ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ AN NINH MẠNG TS Nguyễn Đại Thọ Bộ môn Mạng & Truyền thơng Máy tính Khoa Cơng nghệ Thơng tin thond_cn@vnu.edu.vn Năm học 2007-2008 Nguyễn Đại Thọ An ninh Mạng Chương Giới thiệu Nguyễn Đại Thọ An ninh Mạng Bối cảnh • Nhu cầu đảm bảo an ninh thơng tin có biến đổi lớn – Trước • Chỉ cần phương tiện vật lý hành – Từ có máy tính • Cần công cụ tự động bảo vệ tệp tin thơng tin khác lưu trữ máy tính – Từ có phương tiện truyền thơng mạng • Cần biện pháp bảo vệ liệu truyền mạng Nguyễn Đại Thọ An ninh Mạng Các khái niệm • An ninh thơng tin – Liên quan đến yếu tố tài nguyên, nguy cơ, hành động cơng, yếu điểm, điều khiển • An ninh máy tính – Các cơng cụ bảo vệ liệu phịng chống tin tặc • An ninh mạng – Các biện pháp bảo vệ liệu truyền mạng • An ninh liên mạng – Các biện pháp bảo vệ liệu truyền tập hợp mạng kết nối với Nguyễn Đại Thọ An ninh Mạng Mục tiêu mơn học • Chú trọng an ninh liên mạng • Nghiên cứu biện pháp ngăn cản, phòng chống, phát khắc phục vi phạm an ninh liên quan đến truyền tải thông tin Nguyễn Đại Thọ An ninh Mạng Đảm bảo an ninh thơng tin • Để thực có hiệu cần đề phương thức chung cho việc xác định nhu cầu an ninh thơng tin • Phương thức đưa xét theo mặt – Hành động công – Cơ chế an ninh – Dịch vụ an ninh Nguyễn Đại Thọ An ninh Mạng Dịch vụ an ninh • Là dịch vụ nâng cao độ an ninh hệ thống xử lý thông tin truyền liệu tổ chức • Nhằm phịng chống hành động cơng • Sử dụng hay nhiều chế an ninh • Có chức tương tự đảm bảo an ninh tài liệu vật lý • Một số đặc trưng tài liệu điện tử khiến việc cung cấp chức đảm bảo an ninh khó khăn Nguyễn Đại Thọ An ninh Mạng Cơ chế an ninh • Là chế định để phát hiện, ngăn ngừa khắc phục hành động cơng • Khơng chế đơn lẻ hỗ trợ tất chức đảm bảo an ninh thơng tin • Có yếu tố đặc biệt hậu thuẫn nhiều chế an ninh sử dụng kỹ thuật mật mã • Môn học trọng lĩnh vực mật mã Nguyễn Đại Thọ An ninh Mạng Hành động công • Là hành động phá hoại an ninh thông tin tổ chức • An ninh thơng tin cách thức ngăn ngừa hành động công, khơng phát khắc phục hậu • Các hành động cơng có nhiều đa dạng • Chỉ cần tập trung vào thể loại chung • Lưu ý : nguy công hành động công thường dùng đồng nghĩa với Nguyễn Đại Thọ An ninh Mạng Kiến trúc an ninh OSI • Kiến trúc an ninh cho OSI theo khuyến nghị X.800 ITU-T • Định phương thức chung cho việc xác định nhu cầu an ninh thơng tin • Cung cấp nhìn tổng quan khái niệm mơn học đề cập đến • Chú trọng đến dịch vụ an ninh, chế an ninh hành động công Nguyễn Đại Thọ An ninh Mạng 10 ISAKMP • Viết tắt Internet Security Association and Key Management Protocol • Cung cấp cấu cho việc quản lý khóa • Định nghĩa thủ tục khuôn dạng thông báo cho việc thiết lập, thỏa thuận, sửa đổi, hủy bỏ liên kết an ninh • Độc lập với giao thức trao đổi khóa, giải thuật mã hõa, phương pháp xác thực Nguyễn Đại Thọ An ninh Mạng 190 Các khuôn dạng ISAKMP Nguyễn Đại Thọ An ninh Mạng 191 Chương AN TOÀN WEB Nguyễn Đại Thọ An ninh Mạng 192 Vấn đề an ninh Web (1) • Web sử dụng rộng rãi công ty, tổ chức, cá nhân • Các vấn đề đặc trưng an ninh Web – Web dễ bị công theo hai chiều – Tấn công Web server gây tổn hại đến danh tiếng tiền bạc công ty – Các phần mềm Web thường chứa nhiều lỗi an ninh – Web server bị khai thác làm để công vào hệ thống máy tính tổ chức – Người dùng thiếu cơng cụ kiến thức để đối phó với hiểm họa an ninh Nguyễn Đại Thọ An ninh Mạng 193 Vấn đề an ninh Web (2) • Các hiểm họa an ninh Web – – – – Tính tồn vẹn Tính bảo mật Từ chối dịch vụ Xác thực • Các biện pháp an ninh Web Nguyễn Đại Thọ An ninh Mạng 194 SSL • Là dịch vụ an ninh tầng giao vận • Do Netscape khởi xướng • Phiên cơng bố dạng thảo Internet • Trở thành chuẩn TLS – Phiên TLS ≈ SSLv3.1 tương thích ngược với SSLv3 • Sử dùng TCP để cung cấp dịch vụ an ninh từ đầu cuối tới đầu cuối • Gồm tầng giao thức Nguyễn Đại Thọ An ninh Mạng 195 Mơ hình phân tầng SSL Nguyễn Đại Thọ An ninh Mạng 196 Kiến trúc SSL (1) • Kết nối SSL – – – – Liên kết giao tiếp từ điểm nút tới điểm nút Mang tính thời Gắn với phiên giao tác Các tham số xác định trạng thái kết nối • • • • • • • Các số ngẫu nhiên chọn server client Khóa MAC server Khóa MAC client Khóa mã hóa server Khóa mã hóa client Các vector khởi tạo Các số thứ tự Nguyễn Đại Thọ An ninh Mạng 197 Kiến trúc SSL (2) • Phiên SSL – – – – Liên kết client server Tạo lập nhờ giao thức bắt tay Có thể bao gồm nhiều kết nối Xác lập tập tham số an ninh sử dụng tất kết nối phiên giao tác • • • • • • Định danh phiên Chứng thực điểm nút Phương pháp nén Đặc tả mã hóa Khóa bí mật chủ Cờ tiếp tục hay khơng Nguyễn Đại Thọ An ninh Mạng 198 Giao thức ghi SSL • Cung cấp dịch vụ bảo mật xác thực – Khóa bí mật chung giao thức bắt tay xác lập Nguyễn Đại Thọ An ninh Mạng 199 Khuôn dạng ghi SSL Nguyễn Đại Thọ An ninh Mạng 200 Giao thức đổi đặc tả mã hóa SSL • Một ba giao thức chuyên dụng SSL sử dụng giao thức ghi SSL • Chỉ gồm thơng báo chứa byte liệu có giá trị • Khiến cho trạng thái treo trở thành trạng thái thời – Cập nhật đặc tả mã hóa cho kết nối Nguyễn Đại Thọ An ninh Mạng 201 Giao thức báo động SSL • Dùng chuyển tải báo động liên quan đến SSL tới thực thể điểm nút • Mỗi thơng báo gồm byte – Byte thứ mức độ nghiêm trọng • Cảnh báo : có giá trị • Tai họa : có giá trị – Byte thứ hai nội dung báo động • Tai họa : unexpected_message, bad_record_mac, decompression_failure, handshake_failure, illegal_parameter • Cảnh báo : close_notify, no_certificate, bad_certificate, unsupported_certificate, certificate_revoked, certificate_expired, certificate_unknown Nguyễn Đại Thọ An ninh Mạng 202 Giao thức bắt tay SSL • Cho phép server client – Xác thực lẫn – Thỏa thuận giải thuật mã hóa MAC – Thỏa thuận khóa mật mã sử dụng • Gồm chuỗi thơng báo trao đổi client server • Mỗi thơng báo gồm trường – Kiểu (1 byte) – Độ dài (3 byte) – Nội dung (≥ byte) Nguyễn Đại Thọ An ninh Mạng 203 TLS • Là phiên chuẩn Internet SSL – Mô tả RFC 2246 giống với SSLv3 – Một số khác biệt nhỏ so với SSLv3 • Số phiên khn dạng ghi SSL • Sử dụng HMAC để tính MAC • Sử dụng hàm giả ngẫu nhiên để khai triển giá trị bí mật • Có thêm số mã báo động • Khơng hỗ trợ Fortezza • Thay đổi trao đổi chứng thực • Thay đổi việc sử dụng liệu đệm Nguyễn Đại Thọ An ninh Mạng 204 ... nhìn tổng quan khái niệm mơn học đề cập đến • Chú trọng đến dịch vụ an ninh, chế an ninh hành động công Nguyễn Đại Thọ An ninh Mạng 10 Các dịch vụ an ninh • Theo X.800 – Dịch vụ an ninh dịch vụ... chế an ninh • Có chức tương tự đảm bảo an ninh tài liệu vật lý • Một số đặc trưng tài liệu điện tử khiến việc cung cấp chức đảm bảo an ninh khó khăn Nguyễn Đại Thọ An ninh Mạng Cơ chế an ninh. .. thức đưa xét theo mặt – Hành động công – Cơ chế an ninh – Dịch vụ an ninh Nguyễn Đại Thọ An ninh Mạng Dịch vụ an ninh • Là dịch vụ nâng cao độ an ninh hệ thống xử lý thông tin truyền liệu tổ chức