BÀI GIẢNG BẢO MẬT THÔNG TIN

 Lưu giữ tài liệu mật trong các két sắt có khóa, tại các nơi được bảo vệ nghiêm ngặt, chỉ có những người được cấp quyền mới có thể xem tài liệu... Ngày nay, Bảo mật Thông tin : Bảo vệ

Trình bày:Ths Lương Trần Hy Hiến

www.hutechbmtt.tk

 Bài 1: Tổng quan về Bảo mật Thông tin

 Bài 2: Mã hóa đối xứng cổ điển

 Bài 3: Mã hóa đối xứng hiện đại

 Bài 4: Mã hóa công khai RSA

 Bài 5: Quản lý khóa dùng mã công khai

 Bài 6: Mã hóa chứng thực Thông điệp,

Hàm băm

 Bài 7: Bảo mật mạng nội bộ và An toàn IP

 Bài 8: Bảo mật Web và Mail

 Bài 9: Ứng dụng kiểm soát truy cập

3

 Giáo trình HUTECH

 Sách, giáo trình online

 Google

4

 Sống có đạo đức, làm người tốt;

 Hiểu luật ‘Nhân – Quả’;

 Khi làm việc gì cũng cố gắng tập trung, có thái độ nghiêm túc;

 Có trách nhiệm;

 Không ngại tiếp xúc với bất kỳ trở ngại nào, khi gặp mâu thuẫn thì đối diện để giải quyết chứ không trốn tránh.

 Không sử dụng kiến thức môn học này để làm điều vi phạm pháp luật.

 Computer Security, Crytography, Network Security,…

 Các khóa học trên thế giới:

 Stanford ( http://crypto.stanford.edu/cs155 )

 Coursera

 Các thành viên phải biết tên nhau.

 Có tên nhóm, tiêu chí, băng reo

 Sẽ gọi ngẫu nhiên các nhóm tự giới thiệu trong 30’ !

8

Sau khi học xong bài này, sinh viên hiểu:

 Tại sao cần bảo mật thông tin?

 Các kiểu tấn công mạng xảy ra như thế nào?

 Giải pháp bảo mật mạng được các nhà nghiên

cứu chuẩn hóa, đề nghị là gì?

 Vai trò của lý thuyết mật mã trong bảo mật

thông tin?

9

 Bảo mật thông tin (Information Security)

 Trước đây mang nghĩa: các biện pháp nhằmđảm bảo cho thông tin được trao đổi hay cất giữmột cách an toàn và bí mật

 Đóng dấu và ký niêm phong một bức thư (còn nguyên vẹn đến người nhận hay không).

 Mã hóa thông điệp để chỉ có người gửi và người nhận hiểu được thông điệp (trong chính trị và quân sự).

 Lưu giữ tài liệu mật trong các két sắt có khóa, tại các nơi được bảo vệ nghiêm ngặt, chỉ có những người được cấp quyền mới có thể xem tài liệu.

10

Ngày nay, Bảo mật Thông tin :

 Bảo vệ thông tin trong quá trình truyền thông tin

trên mạng (Network Security).

 Bảo vệ hệ thống máy tính, và mạng máy tính,

khỏi sự xâm nhập phá hoại từ bên ngoài

(System Security)

11

 Các loại hình tấn công

 Kiến trúc mô hình OSI

 Mô hình mạng an toàn tổng quát

 Vai trò mã hóa

 Các giao thức thực hiện bảo mật

12

Xem xét ba nhân vật tên là Alice, Bob và Trudy, trong đó

Alice và Bob thực hiện trao đổi thông tin với nhau, còn Trudy

là kẻ xấu, đặt thiết bị can

thiệp vào kênh truyền tin giữa Alice và Bob.

 Xem trộm thông tin (Release of Message Content)

13

 Mô hình truyền thông OSI (Open System Interconnect) do tổ chức ISO (International Standards Organization) đề xuất (1982)

 Các tầng trong mô hình OSI:

 Tầng ứng dụng (Application Layer)

 Tầng trình bày (Presentation Layer)

 Tầng giao dịch (Session Layer)

 Tầng vận chuyển (Transport Layer)

 Tầng mạng (Network Layer)

 Tầng liên kết dữ liệu (Data Link Layer)

 Tầng vật lý (Physical Layer)

• Có thể chia thành 2 loại

– Application layers: liên quan tới ứng dụng

– Dataflow layers: đảm bảo việc trao đổi dữ liệu

Application Layers Application

Presentation Session

Dataflow Layers Transport

Network Datalink Physical

Network Datalink Physical

Application Presentation Session Transport Network Datalink Physical

Liên kết vật lý

Liên lạc Liên lạc NODE

HOP

Vận chuyển các bit dữ liệu giữa hai node kế cận.

 Đảm bảo liên kết trực tiếp giữa hai thiết bị.

IEEE 802.01

Ethernet

 Đảm bảo các gói tin đi từ máy tính này đến máy tính kia trong môi trường liên mạng

 Đảm bảo một liên kết giữa hai tiến trình

Process A

Process B

 Quản lý các yêu cầu giữa các ứng dụng.

 Điều khiển đối thoại và đồng bộ hóa tiến trình

 Chuyển đổi dữ liệu, mã hóa, nén.

 Giao tiếp với người dùng, ứng dụng khác OSI).

(User- Cung cấp dịch vụ

 Ví dụ: HTTP, DNS

 Cồng kềnh

 Thường dùng trong dạy học

Protocols

Network Access = Host-to-network = Data link + Physical Network = Internet

APPLICATION HTTP, FTP, SMTP, SSL, DNS

NETWORK ACCESS ARP

application transport network link physical

network link physical

data data

source

application transport Internet N.Acc

message M

Ht M

Hn

frame

 Vai trò của router trong mạng nội bộ LAN (Local Area Network):

 Vai trò của router trong mạng diện rộng WAN (Wide Area network): Kết nối mạng LAN với Internet.

Đụng độ

Star topology

Truyền với tốc độ tối đa

(full-duplex, dedicated access):

+ A to A’

+ B to B’

+ C to C’

hubs routers switches

 DNS (Domain Name System)

 Là hệ thống dịch tên miền (dễ nhớ đối với con người) sang địa chỉ IP mà máy tính làm việc.

 Đối với Internet miền là tập hợp các máy tính có chung vị trí địa lý hay lĩnh vực kinh doanh

 DNS Domain Name Space

 Zones

 Name Servers

 DNS của Internet

 DNS root (topmost level) của Internet Domainnamespace được quản lý bởi InternetCorporation for Assigned Names and Numbers(ICANN).

 Có 3 loại top-level domains tồn tại

 Organization domains

 Geographical domains

 Reverse domains: có những domain đặc biệt, tên là in-addr.arpa, sử dụng cho ánh xạ từ địa chỉ IP sang tên.

 11/2000, ICANN công bố thêm 7 top-leveldomain:

 Hệ thống DNS là một hệ thống có cấu trúc phâncấp.

 Gốc của Domain Root Domain nằm trên cùng và

được kí hiệu “.”

cực cao.

hostname (vd: microsoft.com.)

 Công thức tổng quát của tên miền

 Hostname + Domain Name + Root

▪ Domain Name = Subdomain Second Level Domain Top Level Domain Root

 Một tổ chức có thể có không gian tên miền nội

bộ độc lập với không gian tên miền của Internet.

 Private name có thể không được phân giải trênInternet

Ví dụ: mycompany.local

 Hệ thống tên miền được chia ra các phần nhỏhơn để dễ quản lý đó là các Zone.

 Một máy chủ chứa dữ liệu Primary Zone là máy chủ

có thể toàn quyền trong việc update dữ liệu Zone.

 Là một bản copy của Primary Zone

 máy chủ chứa dữ liệu Primary Zone

 A (host name): Địa chỉ IP -> hostname

 PTR (pointer): hostname -> địa chỉ IP

 SOA (Start Of Authority): DNS server, đầu tiên có quyền yêu cầu trả lời DNS client

 NS (Name Server): Máy chủ quản lý DNS Zone

 CNAME: Tên thay thế (bí danh)

 MX: Xác định mail server nhận mail cho domain tương ứng



 202.155.43.2

 11001010.10011011.00101011.00000010

 Công ty HPT có 5 chi nhánh Theo yêu cầu mỗi chi nhánh phải VLAN riêng với địa chỉ Public IP Biết rằng HPT có sở hữu (thuê) dãy địa chỉ

0 - 15 16 - 31

Source Port Destination Port

Sequence Number Acknowledgment number IHL Resrved u

r g

a c k

p s h

r s t

s y n

f i n

Windows size

TCP Check sume Urgent Pointer

Option

 SYN – Khởi tạo kết nối

 ACK – phản hồi

 FIN – Kết thúc phiên kết nối

 RESET – khởi tạo lại

 PUSH – chuyển dữ liệu không qua buffer

 URG – Thể hiện quyền ưu tiên của dữ liệu

 Sequence number : 32 bit sinh ra từng 4ms

 Acknowledgment number: 32 bit

 ICMP - 1

 Bước 1

- Host A gửi segment cho Host B có: SYN =1, ACK = 0, SN = X, ACKN=0

 Bước 2

- Sau khi nhận từ A, Host B trả lời SYN=1,

ACK=1, SN=Y, ACKN=X+1

 Bước 3

- Host A gửi tiếp đến B với SYN=0, ACK=1, SN=X+1, ACKN=y+1

 1 FIN=1, ACK=1, SN=x, ACKN=y

 2 FIN=0, ACK=1, ACKN=x+1

 3 FIN=1, ACK=1, SN=y, ACKN=x+1

 4 FIN=0, ACK=1, ACKN=y+1

Sau khi dùng phần mềm Sniffer để phân tích gói thông tin gửi đi từ host A

Mô tả quá trình làm việc của host A, có nhận xét gì từ

Source IP của host A

0-7 8-15 16 - 31

Version IHL Services Length

Indenfitication Flags Fragment offset Time to Live Protocol Header checksum

Source Address Destination Address

Options Data

 IHL – Số word (32 bits) của Header thông thường IHL

=5

 Type Of Services – chất lượng dịch vụ

 Length – chiều dài headers tính theo bytes

 Identification – Số thứ tự Datagram (packets)

 Flags – 3 bits, 0, DF=Don’t fragment, MF = More

0 - 15 16 - 31

Data

0 - 15 16 - 31

Contents

Type Code description

0 0 echo reply (ping)

3 0 dest network unreachable

3 1 dest host unreachable

3 2 dest protocol unreachable

3 3 dest port unreachable

3 6 dest network unknown

3 7 dest host unknown

4 0 source quench (congestion

control - not used)

8 0 echo request (ping)

9 0 route advertisement

10 0 router discovery

11 0 TTL expired

12 0 bad IP header

Type Code description

0 0 echo reply (ping)

3 0 dest network unreachable

3 1 dest host unreachable

3 2 dest protocol unreachable

3 3 dest port unreachable

3 6 dest network unknown

3 7 dest host unknown

4 0 source quench (congestion control - not used)

8 0 echo request (ping)

Bạn phải set lệnh deny

ICMP với tham số nào?

 MTU – Maximum Transmission Unit

 MDS – Maximum Datagram Size

 MSS – Maximum Segment Size

 MAC – Media Access Control

 MAC Address – 48 bits địa chỉ

Each adapter on LAN has unique LAN address

Broadcast address = FF-FF-FF-FF-FF-FF

= adapter 1A-2F-BB-76-09-AD

58-23-D7-FA-20-B0

0C-C4-11-6F-E3-98

71-65-F7-2B-08-53

LAN (wired or wireless)

 MAC address allocation administered by IEEE

 manufacturer buys portion of MAC address space (to assure uniqueness)

 Analogy:

(a) MAC address: like Social Security Number

(b) IP address: like postal address

 MAC flat address ➜ portability

 can move LAN card from one LAN to another

 IP hierarchical address NOT portable

 depends on IP subnet to which node is attached

 Each IP node (Host, Router) on LAN has

ARP table

 ARP Table: IP/MAC address mappings for some LAN nodes

< IP address; MAC address; TTL>

 TTL (Time To Live): time after which address

mapping will be forgotten (typically 20 min)

Question: how to determine

 A wants to send datagram

to B, and B’s MAC address

not in A’s ARP table.

 A broadcasts ARP query

packet, containing B's IP

address

 Dest MAC address =

FF-FF-FF-FF-FF-FF

 all machines on LAN

receive ARP query

 B receives ARP packet,

replies to A with its (B's)

 soft state: information that times out (goes away)

unless refreshed

 ARP is “plug-and-play”:

 nodes create their ARP tables without intervention from net administrator

walkthrough: send datagram from A to B via R

assume A know’s B IP address

 In routing table at source Host, find router 111.111.111.110

 In ARP table at source, find MAC address

E6-E9-00-17-BB-4B, etc

A

R

B

Theo X.800, dịch vụ an ninh là dịch vụ cung cấp bởi

một tầng giao thức của các hệ thống mở kết nối nhằm đảm bảo an ninh cho các hệ thống và

các cuộc truyền dữ liệu.

Sử dụng mô hình X800 đòi hỏi chúng ta

phải thiết kế:

 Thuật toán phù hợp cho việc truyền an toàn

 Phát sinh các thông tin mật (khóa) được sử

dụng bởi các thuật toán

 Phát triển các phương pháp phân phối và chia

sẻ các thông tin mật

 Đặc tả giao thức cho các bên để sử dụng việc truyền và thông tin mật cho các dịch vụ an toàn

86

 Mật mã hay mã hóa dữ liệu (cryptography), là

một công cụ cơ bản thiết yếu của bảo mật thông tin Mật mã đáp ứng được các dịch vụ như xác thực, bảo mật, toàn vẹn dữ liệu, chống chối bỏ

 Môn học sẽ tập trung tìm hiểu các thuật toán

mật mã cài đặt các dịch vụ bảo mật trên

88

 Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng.

 huẩn chứng thực X509: dùng trong mã hóa

khóa công khai

 Secure Socket Layer (SSL): là giao thức bảo

mật Web, được sử dụng phổ biến trong Web và thương mại điện tử

 PGP và S/MIME: bảo mật thư điện tử email

 Mô hình lý thuyết và nội dung các giao thức trên được trình bày trong bài 6 và 7

89

 Chứng thực truy cập (Authentication)

 xác nhận rằng đối tượng (con người hay

chương trình máy tính) được cấp phép truy cập vào

hệ thống.

 Phân quyền (Authorization)

 các hành động được phép thực hiện sau khi đã truy

cập vào hệ thống

90

 Tìm cách phá bỏ cơ chế Authentication và

Authorization bằng các cách thức sau

 Dùng các đoạn mã phá hoại (Malware): như virus,

worm, trojan, backdoor

 Thực hiện các hành vi xâm phạm (Intrusion).

 Giải pháp: Tường lửa, chương trình chống

virus,…

91