Bài giảng môn học: An ninh mạng truyền thông

NỘI DUNG Tổng quan vê an ninh mạng truyền thông Mật mã hóa đối xứngMật mã hóa bất đối xứng Các giải thuật toàn vẹn dư liệu Xác thực Các giao thức ứng dụng đảm bảo an ninh... – Kỹ thuật

NGUYỄN THANH TRÀ

Hà nnội,i,i, 2020202020

Số tín chỉ: 3

Lý thuyết: 36 tiết

Bài tập, hoạt động nhóm: 8 tiết.

Thi cuối kỳ: Thi viết theo bộ đề

Hình thức kiểm tra đánh

giá

điểm đánh giá

- Tham gia học tập trên lớp (đi học đầy đủ, tích cực thảo luận)

NỘI DUNG Tổng quan vê an ninh mạng truyền thông Mật mã hóa đối xứng

Mật mã hóa bất đối xứng Các giải thuật toàn vẹn dư liệu Xác thực

Các giao thức ứng dụng đảm bảo an ninh

An ninh mạng truyền thông (Telecommunications Network Security) là một khái niệm rộng được cấu tạo bởi 2 thành phần là mạng truyền thông (Telecommunications Network) và vấn đề an ninh (Security, bảo mật, bảo đảm, an toàn…).

• Bảo mật là một quá trình liên tục bảo vệ một đối tượng khỏi bị truy cập trái phép Đó là trạng thái hiện hữu hoặc cảm giác được bảo vệ khỏi bị tác động xấu hay tổn hại

• Đối tượng ở trạng thái đó có thể là một người, một tổ chức như doanh nghiệp, hoặc truy nhập mạng như hệ thống máy tính hoặc một tệp

• Bảo mật đến từ góc độ an toàn như của con người là trạng thái không

bị làm phiền, lo lắng hoặc sợ hãi.

• Đối tượng : Mạng truyền thông

• Information Security: các quy trình và kỹ thuật được thiết kế để đảm bảo rằng bất

kỳ loại dữ liệu và thông tin nhạy cảm nào ở dạng in hay điện tử khỏi bị truy cậptrái phép, sử dụng, tiết lộ, gián đoạn, sửa đổi, kiểm tra, ghi lại hoặc phá hủy

• Cyber Security: tập con của Information Security Là hoạt động bảo vệ mạng, máytính và dữ liệu của tổ chức khỏi truy nhập, tấn công, phá hoại kỹ thuật số tráiphép bằng cách triển khai các quy trình, công nghệ và dựa trên thực tiễn khácnhau

– Kỹ thuật xã hội: Phishing, Pretexting, Baiting, Quid Pro Quo

• Network Security: Tập con của Cybersecurity, nhằm mục đích bảo vệ bất kỳ dữ liệu nào được gửi qua các thiết bị trong mạng đảm bảo rằng thông tin không bị thay đổi hoặc bị chặn Vai trò của an ninh mạng là bảo vệ cơ sở hạ tầng CNTT của tổ chức khỏi tất cả các loại mối đe dọa mạng (virus, worm, hacker, DoS…)

Tính bảo mật (Confidentiality): đảm bảo thông tin không thể truy cập được đối với những người không được phép — thường được thực thi nhất thông qua mã hóa — có sẵn ở nhiều dạng

Tính toàn vẹn (Integrity): bảo vệ thông tin và hệ thống khỏi bị sửa đổi bởi những người không có thẩm quyền; đảm bảo dữ liệu chính xác và đáng tin cậy

Tính sẵn sàng (Availability): đảm bảo những người được ủy quyền có thể truy cập thông tin khi cần thiết (mọi lúc, mọi nơi) và tất cả phần cứng và phần mềm được duy trì đúng cách và cập nhật khi cần thiết Ngoài ra còn có tính xác thực (Authentication) và tính trách nhiệm giải trình (accountability)

cảnh báo, phòng ngừa, phát hiện và ứng phó.

Cảnh báo thường là tuyến phòng thủ đầu tiên chống lại những kẻ xâm nhập có thể cố gắng xâm nhập qua sự tin tưởng của hệ thống và cảnh báo hậu quả

Ngăn chặn là quá trình cố gắng ngăn chặn những kẻ xâm nhập truy cập vào tài nguyên của hệ thống

Phát hiện xảy ra khi kẻ xâm nhập đã thành công hoặc đang trong quá trình truy cập vào hệ thống

Đáp ứng là một cơ chế tác động sau cố gắng đáp ứng sự thất bại của ba

cơ chế đầu tiên Nó hoạt động bằng cách cố gắng ngăn chặn và/hoặc ngăn chặn thiệt hại trong tương lai

môi trường giao tiếp, chủ yếu để đáp ứng nhu cầu của truyền thông dữ liệu 3 thành phần: Thực thể gửi và nhận thông tin, phương tiện truyền thông và bộ quy tắc hoặc giao thức truyền thông đã được thống nhất

Hai mô hình mạng máy tính tiêu biểu là mô hình tập trung và phân tán

Từ khía cạnh kích thước của nhóm các phần tử mạng và tài nguyên của chúng, mạng máy tính có thể chia thành hai loại mạng chính: mạng cục bộ LAN (Local Area

Network) và mạng diện rộng WAN (Wide Area Network), mạng đô thị MAN.

Công nghệ truyền thông dữ liệu: mã hóa tín hiệu (tương tự/số), ghép/tách kênh (thời gian/tần số); phương tiện truyền dẫn

Cấu hình mạng: hình sao, bus, phân cấp, hình lưới.

Mô hình giao thức kết nối mạng: OSI; TCP/IP Dịch vụ mạng: dịch vụ kết nối (hướng kết nối/ phi kết nối); chuyển mạch (kênh/gói)

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

• Bảo mật hệ thống máy tính là bảo vệ tài nguyên thông tin khỏi việc sử dụng trái phép hoặc có mục đích xấu cũng như bảo vệ thông tin được lưu trữ trong hệ thống máy tính khỏi bị tiết lộ, sửa đổi hoặc phá hủy trái phép.

• Mục tiêu của an ninh truyền thông là bảo vệ thông tin trong quá trình truyền qua phương tiện truyền thông khỏi sự tiết lộ, sửa đổi hoặc phá hủy trái phép

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Kiến trúc an toàn

• Tấn công an ninh: bất kỳ hành động nào mà làm hại đến tính an toàn thông

tin của một tổ chức nào đó (threat, attack)

• Cơ chế an ninh: quá trình được thiết kế để phát hiện, ngăn ngừa, hay khôi

phục lại các kiểu tấn công an toàn.

• Dịch vụ an ninh: dịch vụ truyền thông làm tăng cường tính an toàn của hệ

thống xử lý dữ liệu và thông tin của một tổ chức Các dịch vụ này thường dùng để chống lại các tấn công an toàn, và các dịch vụ này tận dụng một hoặc nhiều cơ chế an toàn để cung cấp dịch vụ.

ITU-T đưa ra khuyến nghị X.800 định nghĩa kiến trúc

an ninh cho mô hình OSI.

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Kiến trúc an toàn

Cần bảo vệ:

Thông tin và dữ liệu bao gồm cảphần mềm và dữ liệu bị động liênquan đến các giải pháp bảo mậtnhư password

Các dịch vụ xử lý dữ liệu và traođổi thông tin

Các thiết bị và phương tiện

Xác định các vấn đề bảo mật cần

được giải quyết để ngăn chặn các

mối đe dọa

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Tấn công an ninh

RFC 4949 (Internet Security Glossary) đã định nghĩa:

Mối đe dọa: Là một khả năng vi phạm bảo mật Nó tồn tại khi có tình

huống, khả năng, hành động hoặc sự kiện có thể vi phạm an ninh và gây ra tác hại Mối đe dọa là một sự nguy hiểm như có thể khai thác một

lỗ hổng (

Tấn công: Một cuộc tấn công vào an ninh hệ thống bắt nguồn từ một

mối đe dọa Đó là một hành động có chủ ý (theo nghĩa là một phương pháp hoặc kỹ thuật) để nỗ lực trốn tránh các dịch vụ an ninh và vi phạm chính sách bảo mật của một hệ thống.

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Tấn công an ninh mạng

Tấn công an ninh nhằm:

a) Phá hủy thông tin và / hoặc các tài nguyên khác;

b) Làm biến chất hoặc sửa đổi thông tin;

c) Trộm cắp, loại bỏ hoặc gây mất thông tin và / hoặc các tài nguyên khác;

d) Tiết lộ thông tin;

e) Gián đoạn dịch vụ.

Các mối đe dọa tình cờ tồn tại mà không có ý định trước Ví dụ về

các mối đe dọa tình cờ đã nhận ra bao gồm trục trặc hệ thống, lỗi vận hành và lỗi phần mềm.

Các mối đe dọa cố ý gồm những công cụ giám sát có sẵn sử dụng

một cách dễ dàng đến những tấn công sử dụng kiến thức hệ thống đặc biệt Một mối đe dọa có chủ đích, nếu được nhận ra, có thể được coi là một “cuộc tấn công”.

hành xử theo những cách không chủ ý hoặc trái phép Các phương pháp bảo vệ mà

có thể được sử dụng để chống lại các cuộc tấn công nội gián bao gồm:

a) sự kiểm tra cẩn thận của nhân viên;

b) xem xét kỹ lưỡng các cấu hình phần cứng, phần mềm, chính sách bảo mật

và hệ thống

c) kiểm tra các dấu vết để tăng khả năng phát hiện các cuộc tấn công như vậy.

Các cuộc tấn công từ bên ngoài có thể sử dụng các kỹ thuật như:

a) Nối dây nghe lén (Wiretapping) b) Ngăn chặn sự truyền tin;

c) Giả dạng người dùng được ủy quyền của hệ thống hoặc như các thành phần của hệ thống;

d) Bỏ qua cơ chế xác thực hoặc kiểm soát truy cập.

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Tấn công an ninh

Tấn công thu động

Mục tiêu của kẻ tấn công là lấy được thông tin đang được truyền đi.

Hai kiểu của tấn công thụ động là xem trộm các nội dung bản tin và phân tích lưu lượng.

Các tấn công thụ động là rất khó để phát

hiện, bởi chúng không liên quan đến bất

kỳ sự thay đổi nào của dữ liệu

Đối với kiểu tấn công này, phòng ngừa tốt hơn là phát hiện

Mục tiêu của kẻ tấn công: sửa đổi dòng dữ liệu hoặc tạo dòng dữ liệu sai lệch Các kiểu tấn công: Mạo danh (Masquerade), phát lại bản tin (replay), sửa đổi bản tin, và từ chối dịch vụ.

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Tấn công an ninh

Tấn công chủ động

• Tấn công mạo danh: tấn công mạo danh là tấn công mà kẻ tấn công mạo

danh bên gửi tin để gửi bản tin cho bên nhận Bên nhận không biết sự mạo danh đó và vẫn nghĩ là bản tin được gửi từ bên gửi hợp lệ.

• Tấn công phát lại: liên quan đến việc sao chép thụ động dữ liệu và sau đó

gửi lại bản sao chép đó cho bên nhận.

• Thay đổi bản tin: Bên thư 3 chặn các bản tin bên gửi truyền cho bên nhận và

ngăn không cho các bản tin này đến đích Sau đó bên thư 3 thay đổi nội dung của bản tin và truyền cho bên nhận.

• Tấn công từ chối dịch vụ: kiểu tấn công này có một mục tiêu cụ thể; ví dụ

kẻ tấn công chặn toàn bộ các bản tin được chuyển tới một đích nào đó Một loại hình khác của kiểu tấn công này là làm sập hoàn toàn mạng hoặc suy giảm hiệu năng mạng.

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Các dịch vụ (yêu cầu) an ninh

X.800 định nghĩa dịch vụ an toàn là một dịch vụ được cung cấp bởi lớp giao thức của các hệ thống truyền thông và đảm bảo tính an toàn của các hệ thống hoặc của việc truyền dữ liệu.

RFC 4949 định nghĩa dịch vụ an toàn thực hiện các chính sách an toàn và được thực thi bởi các cơ chế an toàn.

Dịch vụ xác thực:

• Dịch vụ xác thực liên quan đến việc đảm bảo rằng quá trình truyền thông được xác thực.

• Hai loại dịch vụ xác thực được định nghĩa trong X.800:

– Xác thực toàn bộ các peer: cung cấp chứng thực nhận dạng thực thể peer trong một liên kết Xác thực peer được thực hiện tại thời điểm thiết lập kết nối hoặc tại các thời điểm trong suốt pha truyền dữ liệu của kết nối.

– Xác thực dữ liệu: cung cấp chứng thực nguồn dữ liệu Dịch vụ này không cung cấp bảo vệ chống lại việc nhân bản hoặc chỉnh sửa dữ liệu.

Điều khiển truy nhập

• Trong ngữ cảnh an toàn mạng, điều khiển truy nhập có khả năng hạn chế và điều khiển việc truy nhập tới các hệ thống và các ứng dụng qua các liên kết truyền thông.

Hệ thống kiểm soát truy cập phần cứng

o Thiết bị đầu cuối truy cập

o Giám sát sự kiện trực quan

o Thẻ nhận dạng

o Nhận dạng sinh trắc học

o Giám sát bằng video

Hệ thống kiểm soát truy cập mềm

o Giám sát điểm truy cập

o Giám sát từ xa

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Dịch vụ toàn vẹn dữ liệu

• Cũng giống như dịch vụ bảo mật dữ liệu, dịch vụ toàn vẹn dữ liệu có khả năng áp dụng cho một dòng bản tin, một bản tin, hay một số trường xác định trong một bản tin.

• Dịch vụ toàn vẹn hướng kết nối đảm bảo rằng các bản tin được nhận

mà không bị lặp, chèn, chỉnh sửa, sai thứ tự, hay truyền lại.

Dịch vụ không từ chối (Nonrepudiation)

• Dịch vụ không từ chối phòng ngừa việc bên gửi hoặc bên nhận từ chối đã gửi tin hoặc đã nhận bản tin Ví dụ như sử dụng chữ ký điện

tử để thực hiện dịch vụ này.

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Các dịch vụ an ninh

Tính khả dụng

Đảm bảo rằng không có sự từ chối quyền truy cập được phép vào các thành phần mạng, thông tin được lưu trữ, luồng thông tin, dịch vụ và ứng dụng bởi các sự kiện ảnh hưởng tới mạng Các giải pháp khắc phục thảm họa được tính vào trong mục này.

Quyền riêng tư

Thực hiện việc bảo vệ thông tin có thể bị quan sát bởi các hoạt động mạng Ví dụ về thông tin này bao gồm các trang web người dùng đã truy cập, vị trí địa lý của người dùng, địa chỉ IP và tên DNS của các thiết bị trong mạng nhà cung cấp dịch vụ.

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Cơ chế an ninh

1.Mã hóa

Cung cấp tính bí mật cho dữ liệu hoặc luồng lưu lượng thông tin

Cơ chế mã hóa thuận nghịch và không thuận nghịch

Có 2 thuật toán mã hóa phổ biến là:

• Mã hóa đối xứng: Khóa mã hóa thì cũng được dùng là khóa

để giải mã và ngược lại

• Mã hóa bất đối xứng: Khóa mã hóa không dùng để giải mã được Hệ thống sử dụng 2 khóa một là khóa bí mật và một khóa công khai

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Cơ chế an ninh

2 Chữ ký số (Digital Signature)

Chữ ký số là một dạng của chữ ký điện tử, được xem như là một con dấu của doanh nghiệp để đóng dấu vào các văn bản, nhằm xác định quyền sở hữu cũng như đảm bảo lời cam kết của các bên tham gia giao dịch.

Chữ ký số có vai trò tương đương với chữ ký tay và con dấu Mục đích của chữ ký số:

• Xác thực: xác định ai là chủ của thông điệp

• Tính toàn vẹn : kiểm tra xem thông điệp có bị thay đổi

• Tính chống thoái thác: ngăn chặn việc người dùng từ chối đã tạo ra và gửi thông điệp

3 Điều khiển truy nhập:

Các cơ chế điều khiển truy nhập được dùng để đảm bảo rằng chỉ có một số người dùngđược gán quyền mới có thể truy nhập tới các tài nguyên thông tin (tệp, tiến trình, cổngtruyền thông) và các tài nguyên phần cứng (máy chủ in, Processor, Gateway)

Áp dụng ở cả 2 đầu cuối hoặc điểm trung gian

Các cơ chế điều khiển truy nhập dựa trên:

- Dựa trên thông tin điều khiển truy nhập

- Thông tin xác thực chẳng hạn như mật khẩu, quyền sở hữu hay những bằng chứng về sự ủy quyền của thực thể truy cập

- Nhãn bảo mật được liên kết với một thực thể

- Thời điểm truy nhập

- Lộ trình truy nhập

- Khoảng thời gian truy nhập

4 Cơ chế toàn vẹn dữ liệu

Có 2 khía cạnh của tính toàn vẹn dữ liệu là: toàn vẹn một đơn vị dữ liệu đơn hoặc 1 trường và toàn vẹn dữ liệu cho cả luồng dữ liệu hoặc nhiều trường thông tin.

Liên quan đến 2 qui trình: tại phía gửi và phía nhận Kiểu truyền có định hướng: bảo vệ tính toàn vẹn của chuỗi dữ liệu (bảo

vê chống lại sắp xếp sai, mất, phát lại, chèn hoặc sửa đổi dữ liệu) Cần

cơ chế như đánh số thứ tự, nhãn thời gian hoặc chuỗi mã hóa

Kiểu truyền không định hướng kết nối sử dụng nhãn thời gian cung cấp một hình thức bảo vệ chống phát lại các đơn vị dữ liệu riêng lẻ

5 Trao đổi xác thực

Được sử dụng để đảm bảo định danh của người dùng bằng cách trao đổi thông tin.

Một số kỹ thuật có thể được áp dụng cho trao đổi xác thực là:

• Sử dụng thông tin xác thực, chẳng hạn như mật khẩu được cung cấp bởi một thực thể gửi và được kiểm tra bởi thực thể nhận;

• Kỹ thuật mật mã;

• Sử dụng các đặc điểm và / hoặc sở hữu của thực thể Việc lựa chọn kỹ thuật xác thực phụ thuộc vào trường hợp cụ thể (nhãn thời gian, đồng hồ đồng bộ hóa, qui trình bắt tay 2 hoặc 3 bước, dịch vụ chống thoái thác)

6 Cơ chế đệm lưu lượng

Chèn các bit vào các khoảng trống của luồng dữ liệu để gây khó khăn cho kiểu tấn công phân tích lưu lượng.

Cơ chế đệm lưu lượng có thể được sử dụng để cung cấp các mức bảo vệ khác nhau chống lại phân tích lưu lượng

Cơ chế này chỉ có hiệu quả nếu vùng đệm lưu lượng được bảo

vệ bởi dịch vụ bảo mật.

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG TRUYỀN THÔNG

Cơ chế an ninh

7 Điều khiển định tuyến Cho phép lựa chọn các tuyến an toàn cụ thể nào đó và cho phép thay đổi định tuyến đặc biệt là khi có lỗ hổng an toàn đang xảy ra Các tuyến có thể được chọn một cách linh động hoặc sắp xếp trước

Hệ thống đầu cuối khi phát hiện các cuộc tấn công có thể hướng dẫn nhà các thiết lập kết nối qua một tuyến đường khác.

Dữ liệu mang các nhãn bảo mật nào đó có thể bị chính sách bảo mật cấm đi qua một con đường nào đó Ngoài ra, người khởi tạo kết nối (hoặc người gửi đơn vị dữ liệu không kết nối) có thể chỉ định cảnh báo định tuyến yêu cầu tránh các mạng con, liên kết hoặc các bộ chuyển tiếp cụ thể.

Bên thứ ba (công chứng viên) được các thực thể giao tiếp tin cậy, nắm giữ thông tin cần thiết để cung cấp yêu cầu đảm bảo theo cách có thể chứng thực được