An ninh mạng GVGD: Ks.Trương Minh Tuấn 0937.024.166 References • Network security: A beginer’s guide • Crytography and network security Chương 1: Tổng quan Bảo mật thơng tin? • Thơng tin bảo mật thỏa yêu cầu sau: – Đảm bảo tính tin cậy(Confidentiality): Thơng tin khơng thể bị truy nhập trái phép người khơng có thẩm quyền – Đảm bảo tính ngun vẹn(Integrity): Thơng tin bị sửa đổi, bị làm giả người khơng có thẩm quyền – Đảm bảo tính sẵn sàng(Availability): Thông tin sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền – Đảm bảo tính từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp An tồn hệ thống • Hệ thống an tồn: hệ thống có khả chống lại tai hoạ, lỗi tác động không mong đợi, thay đổi tác động đến độ an toàn hệ thống nhỏ • Hệ thống có đặc điểm sau khơng an tồn: – Các thơng tin liệu hệ thống bị người không quyền truy nhập tìm cách lấy sử dụng (thơng tin bị rị rỉ) – Các thơng tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) Các kiểu cơng? • Tấn cơng trực tiếp – Một phương pháp cơng cổ điển dị tìm tên người sử dụng mật Đây phương pháp đơn giản, dễ thực khơng địi hỏi điều kiện đặc biệt để bắt đầu • Nghe trộm – Việc nghe trộm thơng tin mạng đưa lại thơng tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống Các kiểu cơng? • Giả mạo địa – Thực thông qua việc sử dụng khả dẫn đường trực tiếp (source-routing) • Kẻ cơng gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi • Vơ hiệu chức hệ thống – Đây kiểu công nhằm tê liệt hệ thống, khơng cho thực chức mà thiết kế Kiểu công ngăn chặn được, phương tiện tổ chức công phương tiện để làm việc truy nhập thông tin mạng Các kiểu cơng? • Lỗi người quản trị hệ thống – Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thường tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội • Tấn cơng vào yếu tố người – Kẻ cơng liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Ai kẻ cơng? • Người qua đường – Những kẻ buồn chán với công việc hàng ngày, muốn giải trí cách đột nhập vào hệ thống mạng – Chúng thích thú đột nhập vào máy tính người khác mà khơng phép – Bọn không chủ định phá hoại, hành vi xâm nhập việc chúng xoá dấu vết rút lui vơ tình làm cho hệ thống bị trục trặc • Kẻ phá hoại – Chúng chủ định phá hoại hệ thống, vui thú phá hoại người khác – Gây tác hại lớn, may giới không nhiều kẻ Ai kẻ cơng? • Kẻ ghi điểm – Những kẻ muốn khẳng định qua kiểu công mới, số lượng hệ thống chúng thâm nhập – Chúng thích đột nhập nơi tiếng, canh phịng cẩn mật • Gián điệp – Truy nhập để ăn cắp tài liệu để phục vụ mục đích khác nhau, để mua bán, trao đổi Các phương pháp mã hóa • Ưu điểm mật mã hóa khóa bất đối xứng là: – Bob Alice khơng cần phải gửi khóa bí mật – Điều làm giảm nguy kẻ thứ (chẳng hạn nhân viên bưu biến chất) làm giả khóa q trình vận chuyển đọc thông tin trao đổi người tương lai – Thêm vào đó, trường hợp Bob sơ suất làm lộ khóa thơng tin Alice gửi cho người khác giữ bí mật (vì sử dụng cặp khóa khác) Chọn số ngẫu nhiên lớn để sinh cặp kkhóa Dùng khố bí mật để ký thơng báo;dùng khố cơng khai để xác minh chữ ký Dùng khố cơng khai để mã hóa, dùng khố bí mật để giải mã Tổ hợp khố bí mật với khố bí mật người khác tạo khoá dùng chung hai người biết Chương 7: Mạng riêng ảo (Virtual Personal Network-VPN) Giới thiệu • Mạng riêng ảo – VPN (Virtual Private Network) ? – Là mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm – Không dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa • Giải pháp VPN: – Thiết kế cho tổ chức có xu hướng tăng cường thơng tin từ xa địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) – Tài nguyên trung tâm kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí thời gian Giới thiệu Một mạng VPN điển hình bao gồm: Mạng LAN trụ sở (Văn phịng chính), Các mạng LAN khác văn phòng từ xa Các điểm kết nối (như 'Văn phòng' gia) người sử dụng (Nhân viên di động) truy cập đến từ bên Các loại VPN phổ biến • Gồm hai loại : – VPN truy cập từ xa (Remote-Access VPN) – VPN điểm-nối-điểm (site-to-site VPN) • Hầu hết VPN dựa vào kỹ thuật Tunneling để tạo mạng riêng Internet – Là q trình đặt tồn gói tin vào lớp header (tiêu đề) chứa thông tin định tuyến truyền qua hệ thống mạng trung gian theo "đường ống" riêng (tunnel) – Kỹ thuật Tunneling yêu cầu giao thức khác nhau: • Giao thức truyền tải (Carrier Protocol): giao thức sử dụng mạng có thơng tin qua • Giao thức mã hóa liệu (Encapsulating Protocol): giao thức (như GRE, IPSec, L2F, PPTP, L2TP) bọc quanh gói liệu gốc • Giao thức gói tin (Passenger Protocol): giao thức liệu gốc truyền (như IPX, NetBeui, IP) VPN điểm-nối-điểm (site-to-site VPN) • Sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng cơng cộng Internet • Giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền giao thức truyền tải (Carier Protocol) • Phân loại dựa Intranet Extranet – Loại dựa Intranet: Nếu cơng ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN intranet (VPN nội bộ) để nối LAN với LAN – Loại dựa Extranet: Khi cơng ty có mối quan hệ mật thiết với cơng ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trường chung VPN điểm-nối-điểm (site-to-site VPN) Trong mơ hình này, gói tin chuyển từ máy tính văn phịng qua máy chủ truy cập, tới router (tại giao thức mã hóa định tuyến GREGeneric Routing Encapsulation diễn ra), qua Tunnel để tới máy tính văn phịng từ xa VPN truy cập từ xa (Remote-Access VPN) • Cịn gọi mạng Dial-up riêng ảo (VPDN) • Dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol) • Là kết nối người dùng-đến-LAN, xuất phát từ nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng cơng ty từ nhiều địa điểm xa – Ví dụ: • Cơng ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP) • ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ • Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an tồn, có mật mã Bảo mật VPN • Tường lửa (firewall): rào chắn vững mạng riêng Internet – Có thể thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua – Nên cài tường lửa thật tốt trước thiết lập VPN – VD: Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp Bảo mật VPN • Giao thức bảo mật giao thức Internet (IPSec): cung cấp tính an ninh cao cấp thuật tốn mã hóa tốt hơn, q trình thẩm định quyền đăng nhập tồn diện – IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin cịn Transport mã hóa kích thước – Những hệ thống có hỗ trợ IPSec tận dụng giao thức – Tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống – IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ Bảo mật VPN • Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã • Mật mã chung (Public-Key Encryption) kết hợp mã riêng mã công cộng Mã riêng có máy bạn nhận biết, cịn mã chung máy bạn cấp cho máy muốn liên hệ (một cách an tồn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Máy chủ AAA • AAA viết tắt ba chữ: – Authentication (thẩm định quyền truy cập) – Authorization (cho phép) – Accounting (kiểm sốt) • Các server dùng để đảm bảo truy cập an toàn – Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra – Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an tồn Sản phẩm cơng nghệ dành cho VPN • Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn cần phải cài đặt phận hợp thành để thiết lập mạng riêng ảo Đó là: – Phần mềm cho desktop máy khách dành cho người sử dụng từ xa – Phần cứng cao cấp xử lý trung tâm VPN firewall bảo mật PIX – Server VPN cao cấp dành cho dịch vụ Dial-up – NAS (máy chủ truy cập mạng) nhà cung cấp sử dụng để phục vụ người sử dụng từ xa – Mạng VPN trung tâm quản lý Chương 8: Tường lửa (Firewall) ... lợi, Trojan ăn cắp thơng tin quan trọng máy tính nạn nhân số thẻ tín dụng, mật để gửi cho chủ nhân mạng tay xố liệu lập trình trước Con ngựa Thành Tơ-roa - Trojan Horse • Bên cạnh Trojan ăn cắp... mục • …v…v Con ngựa Thành Tơ-roa - Trojan Horse • Điển tích: chiến người Hy Lạp người thành Tơ-roa • Phương pháp cách mà Trojan máy tính áp dụng – Khác với virus, Trojan đoạn mã chương trình HỒN... hệ thống mạng an toàn • Tính tồn cục – Phải quan tâm tới tất máy mạng, máy bàn đạp công từ bên Bản thân máy khơng lưu trữ thơng tin hay dịch vụ quan trọng, để bị đột nhập máy tính khác mạng dễ