BÀI AN TOÀN BẢO MẬT TRONG MẠNG TCP/IP Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội Nội dung • Tổng quan mạng máy tính • An tồn bảo mật tầng vật lý • An tồn bảo mật tầng liên kết liệu • An tồn bảo mật tầng mạng • An tồn bảo mật tầng giao vận • An toàn bảo mật tầng ứng dụng 1 Tổng quan mạng máy tính • Mạng máy tính gì? • Giao thức? • Hạ tầng mạng Internet ISP Backbone ISP Kiến trúc phân tầng Ứng dụng Giao vận Mạng Liên kết liệu - Cung cấp dịch vụ cho người dùng - Gồm tiến trình: client server - Sử dụng dịch vụ tầng giao vận để trao đổi liệu tiến trình - Giao thức tầng ứng dụng: DNS, DHCP, HTTP, SMTP, POP, IMAP Vật lý Kiến trúc phân tầng (tiếp) Ứng dụng Giao vận Mạng Liên kết liệu - Điều khiển trình truyền liệu tiến trình - Dồn kênh/Phân kênh: số hiệu cổng dịch vụ - TCP: hướng liên kết, tin cậy, truyền theo dòng byte - UDP: hướng khơng liên kết, truyền theo tin (datagram) Vật lý Kiến trúc phân tầng (tiếp) Ứng dụng Giao vận Mạng Liên kết liệu Kết nối liên mạng (Internetworking): - Đóng gói, phân mảnh liệu - Định danh: địa IP - Định tuyến - Chuyển tiếp gói tin - Đảm bảo chất lượng dịch vụ Vật lý Kiến trúc phân tầng (tiếp) Ứng dụng Giao vận Mạng Liên kết liệu Vật lý - Điều khiển truyền liệu liên kết vật lý: đóng gói, đồng bộ, phát sửa lỗi - Chuyển mạch liệu liên kết vật lý - Điều khiển truy cập đường truyền - Hỗ trợ truyền thông quảng bá - VLAN Kiến trúc phân tầng (tiếp) Ứng dụng Giao vận Mạng Liên kết liệu Vật lý - Mã hóa bit thành tín hiệu - Điều chế tín hiệu truyền tín hiệu liên kết vật lý Kiến trúc phân tầng (tiếp) Ứng dụng Chỉ triển khai hệ thống đầu cuối Giao vận Mạng Triển khai tất hệ thống Liên kết liệu Khác đường truyền vật lý khác Vật lý Chồng giao thức (protocol stack) Giao thức ứng dụng Ứng dụng Ứng dụng TCP/UDP Giao vận Mạng Giao thức IP Liên kết liệu Giao thức liên kết liệu Vật lý Mạng Liên kết liệu Giao vận Giao thức IP Mạng Giao thức liên kết liệu Liên kết liệu Vật lý Vật lý Tín hiệu Tín hiệu 10 Đóng gói liệu (TCP) • Nút gửi: Thêm thơng tin điều khiển (header) • Nút nhận: Loại bỏ thông tin điều khiển TCP Header Ứng dụng Giao vận (TCP, UDP) segment Mạng (IP) packet Liên kết liệu frame Vật lý Dữ liệu/thông điệp tầng ứng dụng message IP Header TCP data TCP data IP TCP data ETH IP TCP data Link (Ethernet) Header TCP data ETF Link (Ethernet) Trailer 11 Hop-by-Hop vs End-to-End Truyền thông nút A nút B A B Hop-by-Hop: Lớp Vật lý Liên kết liệu khác 12 Hop-by-Hop vs End-to-End Truyền thông nút A nút B A B End-to-End: Lớp Mạng, Giao vận, Ứng dụng sử dụng giao thức giống 13 Coffee Shop Kết nối mạng WiFi Probe Request HEY, CÓ MẠNG WIFI NÀO Ở ĐÂY KHÔNG? 14 Coffee Shop Kết nối mạng WiFi Probe Response HI, TÔI LÀ SSID HÃY KẾT NỐI VỚI TÔI !!! 15 Coffee Shop Kết nối mạng WiFi Thiết lập kết nối (Có thể thực giao thức xác thực, mã hóa bảo vệ) 16 Coffee Shop Cấu hình kết nối HEY, CĨ AI ĐĨ NĨI CHO TƠI THƠNG SỐ CẤU HÌNH ĐƯỢC KHƠNG? 17 Coffee Shop Cấu hình kết nối CẤU HÌNH CỦA ANH ĐÂY: - Địa IP - Địa gateway - Địa DNS server 192.168.0.10 DHCP Server 18 Coffee Shop Tìm địa vnexpress.net vnexpress.net - Laptop gửi thông điệp DNS Query “địa vnexpress.net gì?” - DNS Server không nằm mạng cục  cần gửi thông điệp tới gateway DHCP Server 192.168.0.10 19 Coffee Shop Tìm địa vnexpress.net ARP Request: HEY, AI ĐANG DÙNG ĐỊA CHỈ 192.168.0.1? 192.168.0.10 ARP Reply: LÀ TÔI, c0-4a-00-a4-8b-c2, ĐANG DÙNG ĐỊA CHỈ 192.168.0.1 192.168.0.1 DHCP Server 20 10 Transport Layer Protocol • Khng dạng thơng điệp 123 SSH User Authentication Protocol • B1: Client gửi thơng điệp MSG_USERAUTH_REQUEST với thơng tin • • • • • tài khoản phương pháp xác thực đề nghị B2: Server kiểm tra tài khoản người dùng Nếu không hợp lệ gửi thông điệp MSG_USERAUTH_FAILURE Ngược lại chuyển snag bước B3: Server gửi MSG_USERAUTH_FAILURE không hỗ trợ phương pháp xác thực mà client yêu cầu kèm theo danh sách phương pháp mà server đề nghị B4: Client lựa chọn phương pháp xác thực mà server hỗ trợ gửi lại MSG_USERAUTH_REQUEST B5: Nếu xác thực thành công cần thêm bước xác thực khác, quay lại bước B6: Server gửi thông điệp MSG_USERAUTH_SUCCESS báo xác thực thành cơng 124 62 SSH Connection Protocol 125 An tồn bảo mật giao thức SSH • Lỗ hổng: client khơng kiểm tra đầy đủ tính hợp lệ chứng mà server cung cấp • Nguy cơ: giả mạo sever công man-in-the-middle  Tương tự nguy giao thức SSL/TLS 126 63 5.3 AN TOÀN BẢO MẬT DỊCH VỤ DNS Bùi Trọng Tùng, Viện Công nghệ thông tin Truyền thông, Đại học Bách khoa Hà Nội 127 Tổng quan DNS • Tên miền: định danh tầng ứng dụng cho nút mạng  Trên Internet quản lý tập trung  Quốc tế: ICANN  Việt Nam: VNNIC • DNS(Domain Name System): hệ thống tên miền  Không gian thông tin tên miền  Gồm máy chủ quản lý thông tin tên miền cung cấp dịch vụ DNS • Vấn đề phân giải tên miền sang địa IP  Người sử dụng dùng tên miền để truy cập dịch vụ  Máy tính thiết bị mạng khơng sử dụng tên miền mà dùng địa IP trao đổi liệu Dịch vụ DNS: phân giải tên miền thành địa IP ngược lại  UDP, cổng 53 128 64 Hệ thống tên miền    Không gian tên miền Kiến trúc : hình  Root  Zone Mỗi nút tập hợp ghi mô tả tên miền tương ứng với nút  SOA  NS  A  PTR  CNAME 129 Hệ thống máy chủ DNS • Máy chủ tên miền gốc (Root server)  Trả lời truy vấn cho máy chủ cục  Quản lý zone phân quyền quản lý cho máy chủ cấp  Có 13 máy chủ gốc mạng Internet 130 65 Hệ thống máy chủ (tiếp) • Máy chủ tên miền cấp (Top Level Domain) Quản lý tên miền cấp • Máy chủ ủy quyền (Authoritative DNS servers) Quản lý tên miền cấp • Máy chủ tổ chức: ISP Không nằm phân cấp DNS • Máy chủ cục bộ: dành cho mạng nội quan tổ chức Không nằm phân cấp DNS 131 Thông điệp DNS • DNS Query DNS Reply  Chung khuôn dạng • QUESTION: tên miền cần truy vấn  Số lượng: #Question • ANSWER: thơng tin tên miền tìm kiếm  Số lượng: #Answer RRs • AUTHORITY: địa server trả lời truy vấn • ADDITIONAL: thơng tin phân giải tên miền cho địa khác SRC = 53 DST = 53 checksum length Identification Flags #Question #Answer RRs #Authority RRs #Additional RRs QUESTION ANSWER AUTHORITY ADDITIONAL 132 66 Phân giải tên miền • Phân giải tương tác: Cơ chế mặc định máy chủ DNS Tải đặt lên máy chủ tên miền gốc lớn Thực tế máy chủ DNS cục thường biết máy chủ TLD (cơ chế cache) root server soict.hust.edu.vn soict.hust.edu.vn 202.191.56.65 Local/ISP server (DNS Resolver) TLD server Hỏi dns.hust.edu.vn dns.vn Authoritative DNS server dns.hust.edu.vn 133 Phân giải tên miền • Phân giải đệ quy Root server soict.hust.edu.vn 202.191.56.65 soict.hust.edu.vn 202.191.56.65 Local/ISP server Tải đặt lên máy chủ cấp lớn Thực tế máy chủ tên miền gốc máy chủ cấp không thực phân giải đệ quy TLD server dns.vn soict.hust.edu.vn 202.191.56.65 Authoritative DNS server dns.hust.edu.vn 134 67 dig linux.com ; DiG 9.9.2-P1 linux.com ;; global options: +cmd ;; Got answer: ;; ->>HEADERHEADERHEADERHEADERHEADER