Báo cáo tổng hợp bảo mật Email

Báo cáo tổng hợp bảo mật Email

Mục Lục

Lời nói đầu 3

Phần I: Giới thiệu về email 4

1) Cấu trúc của địa chỉ email 5

2) Những chức năng cơ bản của email 6

3) Phương thức hoạt động của một hệ thống thư điện tử 6

Phần II: Nguyên tắc c ơ bản của bảo mật email 9

3) Anti Flood và Malware 19

4) Triển Khai : Chứng Thực và Mã Hóa Mail 21

Phần IV: Tổng kết 23

Phần V: Tài liệu tham khảo 24

Lời nói đầu

Theo các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nước ngoài như McAfee, Kaspersky hay CheckPoint…, năm 2010 Việt Nam tiếp tục được nhắc đến là “địa chỉ đen” trong nhiều danh sách quốc tế, trong giới truyền thông và các hãng bảo mật Nguy cơ mất an toàn thông tin ở Việt Nam đang ngày càng tăng lên khi đã rơi vào top 10 quốc gia có nguy cơ mất an toàn thông tin cao nhất trong năm 2010 Cùng với đó là mối nguy từ những nhân viên “bất mãn” có thể sẵn sàng bán đứng doanh nghiệp, tổ chức bằng việc tuồn nguồn thông tin ra ngoài dang càng trở nên đáng lo ngại

Email là một phương tiện thông tin liên lạc tiện lợi và ngày càng được sử dụng rộng rãi hiện nay Vì vậy nó cũng là phương tiện và mục tiêu để những kẻ tấn công nhắm tới Việc bảo mật email tránh những rò rỉ thông tin người sử dụng email là một nhiệm vụ quan trọng mà các nhà cung cấp và người quản trị cần quan tâm

Để hiểu rõ hơn về những mối đe dọa và những biện pháp bảo mật email, đồng thời thực hiện việc nghiên cứu vấn đề do thầy phụ trách bộ môn hướng dẫn, nhóm chúng em đã tiến hành nghiên cứu và thực hiện bài báo cáo về vấn đề bảo mật email Do thời gian thực hiện có hạn nên chúng em không tránh khỏi những thiếu sót, mong thầy bỏ qua.

Nhóm sinh viên thực hiện.

Phần I: Giới thiệu về email.

Email - Electronic mail (e-mail, email, E-Mail ) hay còn gọi là thư điện tử là

cách gọi phổ thông của cách thức giao tiếp, liên lạc của hệ thống xây dựng dựa trên những chiếc máy tính

Tại 1 thời điểm cách đây khá lâu, thuật ngữ máy tính được dùng để ám chỉ những cỗ máy làm việc với kích thước khổng lồ, người dùng phải áp dụng phương pháp dial-up để truy cập, và mỗi chiếc máy tính đều được trang bị bộ nhớ và thiết bị lưu trữ dành cho nhiều tài khoản Sau đó không lâu, những nhà phát minh đã tìm cách để các bộ máy này “giao tiếp” với nhau Ứng dụng đầu tiên ra đời, nhưng họ chỉ gửi được tin nhắn đến các người sử dụng khác trong cùng 1 hệ thống cho tới tận năm

1971 Và thời gian qua đi, công nghệ đã được phát triển lên 1 tầm cao mới khi Ray

Tomlinson trở thành người đầu tiên trên toàn thế giới gửi được bức thư điện tử tới

người khác sử dụng ký hiệu @ Và đó là nền tảng đầu tiên của khái niệm Email –

chúng ta đang đề cập tới.

Hình 1: Thời kỳ đầu của máy tính và email.

1 Cấu trúc của địa chỉ email

Một địa chỉ email sẽ bao gồm ba phần chính có dạng:

Tên_định_dạng_thêm tên_email@tên_miền

 Phần tên_định_dạng_thêm: Đây là một dạng tên để cho người đọc có thể dễ dàng nhận ra người gửi hay nơi gửi Tuy nhiên, trong các thư điện tử người ta có thể không cần cho tên định dạng và lá thư điện tử vẫn được gửi đi đúng nơi Thí dụ: Trong địa chỉ gửi thư tới viết dưới dạng Nguyễn Thị A nguyenthia111@yahoo.com hay viết dưới dạng nguyenthia111@yahoo.com thì phần mềm thư điện tử vẫn hoạt động chính xác và gửi đi đến đúng địa chỉ.

 Phần tên_email: Đây là phần xác định hộp thư Thông thường, cho dễ nhớ, phần này hay mang tên của người chủ ghép với một vài kí tự đặc biệt Phần tên này thường do người đăng kí hộp thư điện tử đặt ra Phần

này còn được gọi là phần tên địa phương.

 Phần tên_miền: Đây là tên miền của nơi cung cấp dịch vụ thư điện tử Ngay sau phần tên_email bắt đầu bằng chữ "@" nối liền sau đó là

tên miền.

2 Những chức năng cơ bản của email

Ngoài chức năng thông thường để gởi, nhận và soạn thảo email, các phần mềm thư điện tử có thể còn cung cấp thêm những chức năng khác như là:

 Lịch làm việc (calendar): người ta có thể dùng nó như là một thời khoá biểu Trong những phần mềm mạnh, chức năng này còn giữ nhiệm vụ thông báo sự kiện đã đăng kí trong lịch làm việc trước giờ xảy ra cho người chủ hộp thư.

 Sổ địa chỉ (addresses hay contacts): dùng để ghi nhớ tất cả các địa chỉ cần thiết cho công việc hay cho cá nhân.

 Sổ tay (note book hay notes): để ghi chép, hay ghi nhớ bất kì điều gì  Công cụ tìm kiếm thư điện tử (find hay search mail).

Để hiểu hết tất cả các chức năng của một phần mềm thư điện tử người dùng có thể dùng chức năng giúp đỡ (thường có thể mở chức năng này bằng cách nhấn nút <F1> bên trong phần mềm thư điện tử).

3 Phương thức hoạt động của một hệ thống thư điện tử

Hoạt động của hệ thống email hiện nay có thể dược minh họa qua phân tích một thí dụ như sau:

Hình 2: Hoạt động của email.

Khi chúng ta muốn gửi email, cần phải chỉ định rõ ràng địa chỉ của người nhận dưới dạng user@domain.ext Như trong ví dụ trên là freman.alpha@arrakis.com, email được gửi đi từ phía client với chuẩn giao thức Simple Mail Transfer Protocol – SMTP, có thể tạm hình dung đây giống như bưu điện trung gian, có nhiệm vụ kiểm tra tem và địa chỉ trên bức

thư để biết điểm đến chính xác Nhưng nó lại không hiểu rõ về domain – tên miền, khái niệm này khá trừu tượng và tương đối khó hiểu Tại bước này, server SMTP sẽ phải liên lạc với server Domain Name System Server DNS này tương tự như chiếc điện thoại hoặc cuốn sổ địa chỉ trên Internet, nhiệm vụ chính là biên dịch các domain như arrakis.com thành địa chỉ IP như 74.238.23.45 Sau đó, nó sẽ tìm ra bất cứ domain nào có MX hoặc server mail exchange trên hệ thống và tạm thời đánh dấu domain đó Để đơn giản hơn, các bạn hãy hình dung quá trình này như sau: bưu điện nơi bạn gửi thư sẽ tiến hành kiểm tra trên bản đồ để xác định điểm đến, liên lạc với bưu điện tại đó để kiểm tra người nhận có hộp thư để nhận hay không.

Giờ đây, khi server SMTP đã có đủ lượng thông tin cần thiết, tin nhắn sẽ được gửi từ server đó đến server mail exchange của domain - Mail Transfer Agent (MTA) Nó sẽ quyết định chính xác thư đến sẽ đặt tại đâu, tương ứng với việc bưu điện ở khu vực người nhận sẽ chuyển thư đến địa chỉ nào thuận tiện nhất Và sau đó, người bạn sẽ đi nhận thư, thông thường sử dụng chuẩn giao thức POP hoặc IMAP.

<Tìm hiểu cách thức hoạt động của email>.

Phần II: Nguyên tắc cơ bản của bảo mật email.

1 Confidentiality (Tính bảo mật)

Để thực hiện việc đảm bảo dữ liệu không bị phơi bày trước tiên phải quan tâm từ tầng vật lý, phòng làm việc và nơi cất trữ những tài liệu quan trọng phải được bảo mật, bởi khi có kẻ đột nhập copy toàn bộ dữ liệu thì dù hệ thống mạng có an toàn mấy cũng như không, trước tiên cần phải quan tâm tới tầng vật lý, đảm bảo nơi lưu.

Khi các điều kiện về phòng ốc và các thiết bị an ninh đã được đảm bảo bạn cần quan tâm tới việc điều khiển truy cập Trong Access Control hai vấn đề lớn nhất cần được quan tâm đó là Subject và Object phải đảm bảo rằng những người không có thẩm quyền không thể truy cập vào được.

Dữ liệu cần được mã hoá khi lưu trữ và khi truyền tải thông tin trên mạng để tránh rò rỉ thông tin.

2 Integrity (Tính toàn vẹn)

Đảm bảo tính nguyên vẹn của dữ liệu cũng là một yêu cầu trong bảo mật email, ngăn chặn những người không có thẩm quyền chỉnh sửa, phá hoại dữ liệu là việc cần thiết không kém Và với yêu cầu trên các việc cần phải làm để thoả mãn là

trước tiên vẫn phải quan tâm tới tầng vật lý đặc biệt là Clients/Servers cần phải được đảm bảo an toàn Người yêu cầu truy cập dữ liệu là phải được xác thực, và thông tin yêu cầu của đối tượng phải được trả lại đúng như yêu cầu của họ không bị chỉnh sửa khi truyền trên mạng.

3 Availability (Tính sẵn sàng)

Luôn có giải pháp phòng chống sự cố từ tầng vật lý cho tới aplication Nguồn điện phải có giải pháp UPS, chống cháy nổ, với các thiết bị chống sét…Với Server phải có giải pháp cluster, load-balancing Với thiết bị mạng phải có các đường backup khi xảy ra vấn đề với đường truyền.

4 Non-Repudiation (Tính không thể từ chối)

Thông tin được cam kết về mặt pháp luật của người cung cấp Khi thông tin được gửi đi, phải đảm bảo chắc chắn rằng đó là thông tin của người gửi và người gửi không thể từ chối rằng mình đã gửi thông tin đó.

Phần III: Các mối đe dọa

Về bản chất, email được lưu và truyền đi dưới dạng plaintext nên có rất nhiều nguy cơ đe dọa tới tính an toàn và toàn vẹn của email Sau đây là một số mối đe dọa thực tế và tiềm ẩn trong khi chúng ta sử dụng dịch vụ email.

1 Eavesdropping

Nghe trộm là một phương pháp cũ nhưng hiệu quả Phương pháp này sử dụng một thiết bị mạng(Router, Card mạng ) và một chương trình ứng dụng(TCPdump, Ethereal, Wireshark ) để giám sát lưu lượng mạng, bắt gói tin đi qua thiết bị này Kỹ thuật này thực hiện dễ dàng hơn với mạng không dây.

Hình 3: Eavesdropping.

Người dùng gửi nhận email có thể gặp nguy cơ bị nghe trộm các thông điệp của mình bất cứ lúc nào và bất cứ ở đâu

2 Message Modification

Kẻ tấn công cố gắng dàn xếp với thiết bị mạng hoặc đặt một thiết bị của riêng mình giữa hai hoặc nhiều người sử dụng, sau đó chặn và sửa đổi dữ liệu rồi truyền chúng như chưa từng bị tác động bởi kẻ tấn công Người dùng vẫn tin rằng học đang trực tiếp nói chuyện với nhau mà không nhận ra rằng sự bảo mật và tính toàn vẹn dữ liệu của các gói tin mà họ nhận được đã không còn.

Hình 4: Message Modification.

3 Fake message

Tạo ra thư nặc danh, hoặc là giả dạng email để gửi tới nạn nhân Tác hại vô cùng to lớn đến uy tín, chất lượng của công ty, tổ chức, gây ảnh hưởng đến nội bộ…

Hình 5: Fake message.

4 Repudiation

Trong một số trường hợp chủ sở hữu của dữ liệu có thể không thừa nhận quyền sở hữu của dữ liệu để tránh hậu quả pháp lý Người này có thể cho rằng chưa bao giờ gửi hoặc nhận dữ liệu đó Ngay cả khi dữ liệu đã được chứng thực, chủ sở hữu của dữ liệu xác thực có thể thuyết phục quan tòa rằng vì những sơ hở, bất cứ ai cũng có thể dễ dàng chế tạo tin nhắn và làm cho nó giống như thật.

Hình 6: Repudiation.

5 Spam Mail

Spam mail hay còn gọi là thư rác là các thư quảng cáo, giới thiệu hoặc do virus mà người nhận không mong đợi

Định nghĩa về Spam mail theo spamhaus.org là :

Một thông điệp điện tử được cho là “Spam” nếu có đồng thời cả 2 thuộc tính sau:

+ Định danh của người nhận và tình huống nhận là không liên quan đến thông điệp vì thông điệp được gởi đồng đều với một số rất đông người nhận

+ Người nhận chưa xác nhận quyền được gởi mail của người gởi, hoặc đã từ chối nhận mail

Hình 7: Spam Mail

6 Flood Mail

Flood mail – làm ngập lụt hòm mail – là hình thức gửi liên tục một số lượng mail cực kỳ lớn trong thời gian ngắn.

Đây là 1 hình thức phá hoại nhằm làm nghẽn hòm mail của nạn nhân.

Hình 8: Flood Mail

Khi bị flood mail,người dùng thường sẽ tốn khá nhiều thời gian để xóa hết số mail rác đó mà không ảnh hưởng đến các mail quan trọng.

7 Malware

Malware trong email là hình thức đính kèm các file chứa mã độc hoặc gắn các link trỏ đến các website chứa script mã độc hay tự download virus về máy tính nạn nhân.

Hình 9: Malware

Malware có thể mang tính chất phá hoại,lấy cắp thông tin hay thậm chí tiếp tay cho một mưu tấn công làm sập hệ thống !

Phần IV: Các giải pháp bảo mật email

Trước khi đi đưa ra giải pháp bảo mật cho email,chúng ta sẽ thử tìm hiểu 1 chút về chứng chỉ số :

1) CERTIFICATE :

Giới thiệu về Certificate,nhiệm vụ của nó,các CA nổi tiếng và đánh giá … sẽ là nội dung trình bày trong phần này.

Bên cạnh đó sẽ có phần LAB về quy trình xây dựng CA trong môi trường Workgroup và Domain.

Chi tiết được trình bày ở File đính kèm (Certificate.doc)

2) Anti SPAM:

Anti SPAM là 1 vần đề rất bức thiết hiện nay.

Theo thống kê từ tháng 4 năm 2010 của RADICATI GROUP thì mỗi ngày có khoảng 294 tỉ tin nhắn (bao gồm cả email) được

Nội dung Anti Spam mail bao gồm cả từ người dùng đến quy trình cấu hình trên

3) Anti Flood và Malware:

a) Anti Flood :

- Phụ thuộc hoàn toàn vào Server,vì server là nơi lưu trữ mail,việc flood mail sẽ làm tràn hòm mail ở Server,riêng Client chỉ việc load mail về (vd dùng Ms Outlook) hoặc xem mail trực tiếp thông qua trình webmail nên sẽ không thể tác động đến việc Anti Flood.

- Dùng firewall (Iptables,ISA, v v) để thiết lập giới hạn kết nối đến và đi.Lưu ý ở đây chúng ta chỉ xét các kết nối qua port dành cho mail như SMTP,POP3,IMAP

Hình 10 : Cấu hình giới hạn kết nối - Chặn các IP có dấu hiệu Flood.

- Kết hợp firewall và Mail Server để liệt kê ra danh sách tấn công đưa vào blacklist.

b) Anti Malware : - Phía người dùng :

+ Thiết lập các trình antivirus có hỗ trợ scan Incomming Mail như NOD32 (ESET SMART SECURITY 4).

+ Đặt chính sách khuyến cáo người dùng :

 Không mở các email lạ,không rõ nguồn gốc  Không tải các file không rõ nguồn gốc và thực thi  Không click vào các link lạ,có dấu hiệu khác thường.

 Dùng các trình Antivirus để quét file đính kèm (Online hoặc Offline) - Thiết lập ứng dụng Scan trên Mail Server,tuy nhiên không thực tế lắm,vì sẽ tác

động đến thông tin riêng tư (mail),do đó sẽ không khả thi.

- Cấu hình check mail qua Gmail hoặc các Dịch Vụ Mail đáng tin cậy khác có hỗ trợ tính năng này Gmail đáng lưu tâm ở điểm có tính năng scan file đính kèm rất kỹ,bên cạnh đó còn hỗ trợ phát hiện spam và cảnh báo fake message.

- Quy trình cấu hình cho Gmail khá đơn giản,chỉ cần các bạn vào Gmail,phần CÀI ĐẶT  Mục TÀI KHOẢN VÀ NHẬP  KIỂM TRA THƯ BẰNG CÁCH SỬ DỤNG POP3

Hình 11 : Thiết lập check mail qua Gmail.

- Chọn Thêm tài khoản email POP3 và tiến hành điền thông tin đầy đủ để thiết lập.

Hình 12 : Thiết lập check mail qua Gmail – bước 2

Hình 13 : Thiết lập check mail qua Gmail – bước 3

4) Triển Khai : Chứng thực và Mã hóa mail

Bảo mật cho email là nhiệm vụ cần thiết và được xem là sống còn với những hệ thống Có 2 phương pháp bảo mật cho email:

 Chứng thực.

1 Bảo mật email với PGP

PGP (Pretty Good Privacy) là một phần mềm dùng để mật mã hóa dữ liệu và xác thực cho dữ liệu truyền thông Phiên bản PGP đầu tiên do Phil Zimmermann được công bố vào năm 1991

Với mục tiêu ban đầu là phục vụ cho mã hóa thư điện tử, PGP hiện nay đã trở thành một giải pháp mã hóa cho các công ty lớn, chính phủ cũng như các cá nhân Nó còn được dùng để mã hóa và bảo vệ thông tin lưu trữ trên máy tính.

 Mã hóa bất đối xứng RSA, Diffie-Hellman và DSS

 Mã hóa đối xứng CAST-128, IDEA và 3DES

Hoạt động xác thực của PGP:

 Người gửi tạo mẩu tin

 Sử dụng SHA-1 để sinh hash 160 bit của mẩu tin

 Mã hóa hash bằng RSA sử dụng khóa riêng của người gửi và đính kèm vào thư

 Người nhận sử dụng RSA với khóa công khai của người gửi để giải mã và khôi phục bản hash.

 Người nhận kiểm tra mẩu tin nhận, sử dụng bản hash của nó và so sánh với bản hash được giải mã để xác thực

Hoạt động mã hóa của PGP:

 Người gửi tạo thông điệp và số ngẫu nhiên 128 bit (khóa phiên)

 Mã hóa nội dung sử dụng CAST-128/IDEA/3DES dùng khóa phiên làm

2 Bảo mật email với S/MIME

S/MIME: Security/Multipurpose Internet Mail Extensions.

Là một chuẩn mã hóa phục vụ cho việc mã hóa khóa công khai và chứng thực dữ liệu Được xây dựng bởi IETF S/MIME đưa vào 2 phương pháp an ninh cho email:

 Mã hóa email

 Chứng thực

Cả 2 cách đều dựa vào mã hóa bất đối xứng và cơ sở hạ tầng khóa công khai (Public key infrastructure)

Điểm khác biệt nhất của S/MIME và PGP S/MIME là một tiêu chuẩn mã hóa thông điệp còn PGP vừa định ra một tiêu chuẩn vừa là phần mềm S/MIME sử dụng chứng nhận X.509 phiên bản 3 để xác thực.

Sử dụng cơ sở hạ tầng khóa công khai (PKI) bao gồm phần mềm máy khách(client), phần mềm máy chủ(server), phần cứng (như thẻ thông minh) và các quy trình hoạt động liên quan.

 Người sử dụng cũng có thể ký các văn bản điện tử với khóa bí mật của mình và mọi người đều có thể kiểm tra với khóa công khai của người đó

 PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật, toàn vẹn và xác thực lẫn nhau mà không cần phải trao đổi các thông tin mật từ trước

X.509 thường được gọi tắt là PKIX, gồm 4 phần:

 End entity: Là người dùng chứng chỉ hoặc thiết bị có hỗ trợ PKIX.

 Certificate Authority(CA): Tổ chức có trách nhiệm xác minh danh tính của người chủ sở hữu chứng chỉ.

 Registration Authority(RA): Có trách nhiệm xác minh danh tính của người chủ sở hữu chứng chỉ.