Chương – An ninh mạng máy tính Phần ThS Lê Văn Hùng Giảng viên Khoa HTTTQL Học viện Ngân hàng Hungolympia2001@gmail.com GV: Lê Văn Hùng Các mức bảo vệ an toàn thông tin mạng Các mức bảo vệ an toàn thông tin mạng Quyền truy cập  Quyền truy cập cấp cho người dùng ứng dụng cho phép thao tác tài nguyên mạng ví dụ đọc, thêm, xóa tập tin máy tính  Quyền truy cập gắn với máy trạm, máy chủ cụ thể, thư mục máy chương trình cụ thể tập tin liệu Mã hóa  Mã hóa trình thay đổi thông tin theo cách làm cho đọc trừ người có quyền Mã hóa thường sử dụng thuật toán phương pháp mật mã Các mức bảo vệ an toàn thông tin mạng Bảo vệ vật lý Bảo mật vật lý bảo vệ phần cứng, liệu, mạng từ hoàn cảnh vật lý kiện gây thiệt hại cho quan, tổ chức An ninh vật lý thường bị đánh giá thấp bị bỏ qua Có ba cách để bảo vệ vật lý:  Đầu tiên, tạo trở ngại cho kẻ công tiềm Các biện pháp bao gồm sử dụng nhiều ổ khóa, hàng rào  Thứ hai, sử dụng hệ thống giám sát thông báo, chẳng hạn hệ thống phát xâm nhập, báo động, camera, thiết bị cảm biến  Thứ ba, phương pháp thực để bắt kẻ công khôi phục nhanh chóng từ tai nạn, hỏa hoạn, thiên tai Các mức bảo vệ an toàn thông tin mạng Tường lửa -Tường lửa chương trình phần mềm hay thiết bị phần cứng dùng để điều khiển truy cập tài nguyên mạng Tường lửa dùng để ngăn chặn xâm nhập trái phép lọc luồng dư liệu độc hại -Tường lửa thường cài mạng để bảo vệ mạng chống lại đe dọa từ bên ngoài, ví dụ đe dọa từ môi trường internet Tường lửa dùng để bảo vệ thông lượng, dải băng mạng riêng để người có quyền làm việc -Chúng ta nên cài tường lửa máy trạm máy chủ Cài tường lửa máy trạm giúp chống lại đe dọa từ internet, từ mạng nội thành phần khác mạng Các mức bảo vệ an toàn thông tin mạng  Quyền hạn tối thiểu (Least Privilege)  Mỗi chương trình người sử dụng hệ thống nên hoạt động cách sử dụng quyền hạn tối thiểu cần thiết để hoàn thành công việc  Nguyên tắc làm hạn chế thiệt hại mà kết tai nạn lỗi  Nó làm giảm số lượng tương tác tiềm quyền hạn chương trình mức tối thiểu cho hoạt động xác, sử dụng không chủ ý, không mong muốn, không quyền hạn có khả xảy  Bảo vệ theo chiều sâu ( Defence in Depth ) Các mức bảo vệ an toàn thông tin mạng 4.Tính đơn giản Giữ thứ đơn giản phần quan trọng an toàn liệu Nó làm cho chúng dễ hiều, dễ quản lý dễ khắc pục cố Khi thứ phức tạp làm cho khó hiểu, khó quản lý phức tạp sử lý cố Thêm khó xác định hệ thống phức tạp đủ an toàn hay chưa Sự đơn giản luôn đạt đặc biệt hạ tầng mạng phần mềm Khi lựa chọn giải pháp đơn giản giải pháp phức tạp giải pháp đơn giản dễ thực dễ kiểm định mức độ an toàn Nút thắt: Nút thắt buộc tất luồng, hoạt động phải qua đường đơn kênh Đường dùng để điều khiển tiêu thụ băng thông, lọc nội dung cung cấp dịch vụ xác thực Các mức bảo vệ an toàn thông tin mạng 5.Liên kết yếu Độ an toàn chuỗi độ an toàn liên kết yếu Độ an toàn sở hạ tầng độ an toàn thành phần yếu Một liên kết yếu xuất Lặp lại vòng để tìm liên kết yếu cải tiến Liên kết yếu tránh khỏi liên kết yếu mạnh tốt liên kết yếu yếu Hỏng an toàn: Hỏng an toàn phương pháp phổ biến để đảm bảo an toàn cho hệ thống Các mức bảo vệ an toàn thông tin mạng 6.Sự đa dạng bảo vệ - Sự dạng bảo vệ tương tự bảo vệ theo chiều sâu không sử dụng lớp khác mà sử dụng loại bảo vệ khác - Thực đúng, đa dạng bảo vệ tạo nên khác biệt đáng kể an ninh hệ thống Tuy nhiên, nhiều nỗ lực để tạo đa dạng bảo vệ không đặc biệt hiệu Một lý thuyết phổ biến sử dụng loại khác hệ thống - Ví dụ, kiến trúc có hai hệ thống lọc gói, tăng tính đa dạng bảo vệ cách sử dụng hệ thống từ nhà cung cấp khác Nếu toàn hệ thống nhau, biết cách đột nhập vào số chúng biết cách đột nhập vào tất hệ thống Các mức bảo vệ an toàn thông tin mạng - Sử dụng hệ thống bảo mật từ nhà cung cấp khác làm giảm nguy gây lỗi phổ biến lỗi cấu hình Tuy nhiên, có đánh đổi độ phức tạp chi phí Mua sắm lắp đặt nhiều hệ thống khác khó khăn hơn, nhiều thời gian hơn, đắt so với mua sắm lắp đặt hệ thống đơn - Nếu không cẩn thận, tạo đa dạng yếu thay đa dạng bảo vệ Nếu có hai lọc gói khác nhau, số chúng sử dụng trước, sau sử dụng lại giúp bảo vệ điểm yếu - Nếu có hai lọc gói tin khác nhau, lọc riêng biệt cho phép lưu lượng vào, sau sử dụng sản phẩm khác làm cho dễ bị tổn thương hai lọc thay Một số giao thức an ninh Internet Giao thức SSL (Secure Socket Layer) - SSL giao thức cung cấp truyền tin cậy thiết bị đầu cuối SSL record cung cấp dịch vụ an ninh cho giao thức tầng có HTTP Một số giao thức an ninh Internet 3.2 Giao thức liên kết (Connnection Protocol) * SSH Connnection Protocol chạy phía SSH transport layer protocol đảm nhiệm xác thực liên kết * Cơ chế kênh truyền >Các loại truyền sử dụng SSH hỗ trợ sử dụng kênh riêng biệt Mỗi phía mở kênh >Với kênh, phía kết hợp với số hiệu Các kênh điều khiển chế cửa sổ >Dữ liệu truyền không gian cửa sổ sẵn sàng Vòng đời kênh có ba giai đoạn: mở kênh, truyền liệu đóng kênh Một số giao thức an ninh Internet * Một đặc trưng sử dụng nhiều SSH cổng chuyển tiếp  Cổng chuyển tiếp có khả chuyển liên kết TCP không an toàn sang liên kết SSH an toàn  Một cổng định danh người dùng TCP Bởi ứng dụng chạy TCP có số hiệu cổng Dữ liệu đến TCP phân phát tới ứng dụng thích hợp dựa số hiệu cổng  SSH hỗ trợ hai loại cổng chuyển tiếp: công chuyển tiếp địa phương cổng chuyển tiếp xa  Cổng chuyển tiếp địa phương: cho phép chuyển lưu lượng tầng ứng dụng từ liên kết TCP không an toàn sang dạng “đường ống” SSH an toàn  Cổng chuyển tiếp xa: Client nhận luồng liệu với số hiệu cổng đích đặt luồng liệu vào cổng gửi đến đích Một số giao thức an ninh Internet Giao thức IPsec (IP Security Protocol) Vào năm 1994, ban kiến trúc Internet công bố báo cáo với nhan đề “An ninh kiến trúc Internet” Báo cáo vùng cho chế an ninh Internet Hai số an ninh cho sở hạ tầng mạng việc kiểm soát, điều khiển luồng liệu đảm bảo an toàn liệu thiết bị đầu cuối dựa chế xác thực mã hóa Để đảm bảo an ninh, IP hệ bao gồm chế xác thực mã hóa Điều có nghĩa nhà cung cấp đưa IPsec vào sản phẩm họ Ứng dụng IPsec  IPsec đảm bảo an ninh truyền qua LAN, WAN, Internet bao gồm:  An toàn kết nối chi nhánh qua Internet Một số giao thức an ninh Internet 4.1 An toàn kết nối từ xa qua Internet Người dùng xa hệ thống trang bị IPsec truy cập mạng cách an toàn giảm chi phí lại nhân viên Thiết lập kết nối Extranet Intranet với đối tác IPsec sử dụng để đảm bảo an toàn truyền thông với tổ chức khác, đảm bảo tính xác thực, bảo mật cung cấp chế trao đổi khóa Nâng cao an ninh thương mại điện tử • IPsec cho phép nâng cao độ an toàn thương mại điện tử Nó đảm bảo luồng liệu thiết kế người quản trị xác thực mã hóa Một số giao thức an ninh Internet 4.2.Lợi ích IPsec * Khi IPsec cài tường lửa (firewall) định tuyến(router) cung cấp mức độ an toàn cao * IPsec firewall để ngăn chặn luồng liệu bất hợp pháp từ Internet vào tổ chức * IPsec nằm phía tầng giao vận (TCP, UDP) suốt với ứng dụng Khi cài IPsec firewall định tuyến không cần phải thay đổi phần mềm server user Thậm chí cài IPsec hệ thống user phần mềm tầng cao (gồm ứng dụng) không bị ảnh hưởng Một số giao thức an ninh Internet * IPsec cung cấp an toàn cho người dùng độc lập Điều có ích cho việc thiết lập an ninh cho mạng ảo tổ chức * Các ứng dụng định tuyến IPsec có vai trò sống kiến trúc định tuyến yêu cầu cho kết nối liên mạng IPsec đảm bảo rằng:  Quảng bá định tuyến từ định tuyến ủy quyền  Quảng bá hàng xóm từ định tuyến ủy quyền  Không bị giả mạo cập nhật định tuyến Một số giao thức an ninh Internet 4.3 Các dịch vụ IPsec * IPsec cung cấp dịch vụ an ninh tầng IP cách cho phép hệ thống chọn giao thức an ninh theo yêu cầu, xem xét thuật toán sử dụng cho dịch vụ đặt khóa mã hóa vào nơi yêu cầu * Hai giao thức cung cấp dịch vụ an ninh là: giao thức xác thực định tiêu đề giao thức (Authentication Header-AH) giao thức kết hợp mã hóa/xác thực định khuôn dạng gói tin (Encapsulating Security Payload-ESP ) * Chuẩn RFC 4301 liệt kê dịch vụ sau:      Điều khiển truy cập Tính toàn vẹn Xác thực nguồn gốc liệu Xóa gói tin bị lặp Tính bảo mật Một số giao thức an ninh Internet Chế độ giao vận (Transport) Chế độ giao vận cung cấp bảo vệ cho giao thức tầng Chế độ giao vận bảo vệ cho liệu trường Payload gói tin Chế độ cung cấp bảo vệ truyền thông hai thiết bị đầu cuối Khi máy dùng AH ESP IPv4 liệu gói tin IP payload theo sau tiêu đề (IP header) Với IPv6, liệu theo sau hai tiêu đề IP (IP header) tiêu đề mở rộng IPv6 ESP chế độ giao vận mã hóa xác thực liệu không mã hóa xác thực tiêu đề AH chế độ giao vận xác thực liệu gói tin IP cổng chọn tiêu đề Một số giao thức an ninh Internet Chế độ đường ống(Tunnel)  Chế độ đường ống bảo vệ toàn gói tin IP  Toàn gói tin gốc qua đường ống đầu đầu mạng Bởi gói tin gốc đóng gói nên gói tin kích thước to có địa nguồn đích khác  Chế độ đường ống sử dụng hai đầu cuối hai đầu kết hợp an ninh (security association-SA) cổng an toàn tường lửa(firewall) router cài IPsec Với chế độ đường ống, máy mạng phía sau tường lửa tham gia vào truyền thông an toàn mà không cần cài IPsec  Các gói tin không bảo vệ tạo máy truyền qua đường ống qua mạng bên theo chế đường ống Các SA thiết lập phần mềm IPsec dạng tường tửa(firewall) định tuyến an toàn(security router) đường biên mạng cục  ESP chế độ đường ống mã hóa xác thực toàn gói liệu IP bên bao gồm tiêu đề IP bên AH chế đường ống xác thực liệu gói tin IP bên cổng chọn tiêu đề bên Một số giao thức an ninh Internet 4.4 Chính sách an ninh IPsec * Chính sách an ninh IPsec an toàn gói tin truyền từ nguồn đến đích * Chính sách IPsec tương tác sở liệu an ninh kết hợp (Security Association Database-SAD) sở liệu sách an ninh (Security Policy Database) 4.4.1 An ninh kết hợp (Security Association-SA) * An ninh kết hợp kết hợp hai chế xác thực mã hóa Một kết hợp kết nối logic chiều nơi gửi nơi nhận mà đảm bảo an toàn cho luồng giữ liệu Nếu mối quan hệ ngang hàng cần thiết cho trao đổi hai chiều an toàn hai an ninh kết hợp yêu cầu Một số giao thức an ninh Internet * An ninh kết hợp xác định ba tham số:  Chỉ số tham số an ninh (Security Parameter Index-SPI)  Một bit dạng string gán cho SA có ý nghĩa địa phương SPI đặt tiêu đề AH ESP cho phép hệ thống nhận chọn SA mà gói tin nhận xử lý  Địa đích IP  Đây địa đích SA mà hệ thống người dùng hệ thống tường lửa định tuyến  Trường định danh giao thức an ninh (Security Protocol Identifier)  Trường có hay không an ninh kết hơp AH hay ESP Một số giao thức an ninh Internet 4.4.2 Cơ sở liệu an ninh kết hợp  Trong cài đặt IPsec có sở liệu an ninh kết hợp mà định nghĩa tham số kết hợp với SA Một an ninh kết hợp bao gồm tham số sau:  Chỉ số tham số an toàn(Security Parameter Index): Là giá trị 32 bit chọn phía nhận SA để xác định SA  Bộ đếm số thứ tự: Một giá trị 32 bit dùng để tạo trường số thứ tự tiêu đề AH ESP  Sự tràn đếm thứ tự: Một cờ có hay không tràn đếm số thứ tự tạo kiện kiểm tra ngăn chặn truyền thêm gói tin SA  Cửa sổ chống phát lại: Sử dụng để xem xét có hay không gói tin AH hay ESP bên phát lại Một số giao thức an ninh Internet Thông tin AH: Thuật toán xác thực, khóa, vòng đời khóa tham số khác sử dụng với AH Thông tin ESP: Các thuật toán mã hóa xác thực, khóa, giá trị khởi tạo, vòng đời khóa tham số khác sử dụng với ESP Vòng đời an ninh kết hợp: Khoảng thời gian mà SA thay SA kết thúc Chế độ giao thức IPsec: kiều đường ống, truyền thông(transport) Kích thước gói tin lớn nhất: Là kích thước lớn gói tin mà phân mảnh truyền Một số giao thức an ninh Internet 4.4.3 Cơ sở liệu sách an ninh (Security Policy DatabaseSPD) Một SPD gồm thực thể mà chúng xác định tập luồng liệu IP điểm đến SA cho luồng Trong môi trường phức tạp hơn, có nhiều thực thể có quan hệ với SA đơn nhiều SA kết hợp với thực thể SPD đơn Mỗi thực thể SPD xác định tập IP giá trị trường giao thức tầng Xử lý gói tin IP:Mỗi gói tin IP bên xử lý IPsec trước truyền Mỗi gói tin IP bên xử lý sau nhận trước truyền nội dung lên tầng cao Một số giao thức an ninh Internet Trao đổi khóa: Kiến trúc IPsec hỗ trợ hai loại quản lý khóa: + Thủ công: Người quản lý hệ thống đặt cho hệ thống khóa riêng Cách thực với môi trường tương đối nhỏ tĩnh + Tự động: Hệ thống tự động cho phép tạo khóa cho SA làm cho sử dụng khóa thuận tiện hệ thống phân tán Giao thức quản lý khóa tự động cho IPsec ISAKMP/Oakley  Giao thức xác định khóa Oakley: giao thức trao đổi khóa sở thuật toán Diffie-Hellman an toàn cao  Giao thức quản lý khóa an ninh kết hợp (SAKMP): SAKMP cung cấp tảng cho quản lý khóa hỗ trợ cho giao thức riêng biệt định dạng thuộc tính an toàn ... phiên xác định tập tham số an toàn bảo mật mà chia sẻ liên kết Một số giao thức an ninh Internet 1. 1 SSL Record * Giao thức SSL Record cung cấp hai dịch vụ cho SSL liên kết: Tính bảo mật: Giao thức... liệu: Giải mã, xác thực, giải nén, hợp liệu truyền liệu lên tầng Một số giao thức an ninh Internet 1. 2 Giao thức The Change Cipher Spec Protocol -The Change Cipher Spec Protocol giao thức đơn giản... giao thức SSL Giao thức gồm thông điệp chứa byte đơn với giá trị Mục đích byte để thể trạng thái 1. 3 Giao thức Alert Protocol -Giao thức Alert Protocol sử dụng để chuyển cảnh báo đến thực thể ngang