CHƢƠNG 6: BẢO MẬT MẠNG • Các nguyên lý bảo mật mạng • Bảo mật thực tế SinhVienZone.com https://fb.com/sinhvienzonevn Bảo mật mạng gì? Sự bảo mật: có ngƣời gửi, ngƣời nhận “hiểu” đƣợc nội dung thơng điệp – ngƣời gửi mã hóa thơng điệp – ngƣời nhận giải mã thông điệp Chứng thực: ngƣời gửi, ngƣời nhận xác định nhận Sự tồn vẹn thơng điệp: ngƣời gửi, ngƣời nhận muốn bảo đảm thông điệp không bị thay đổi (trên đƣờng truyền sau nhận) Truy cập & tính sẵn sàng: dịch vụ phải có khả truy cập sẵn sàng user SinhVienZone.com https://fb.com/sinhvienzonevn Các đối tƣợng cần bảo mật • Trình duyệt Web/server cho giao dịch điện tử • Client/Server ngân hàng trực tuyến • DNS servers • Các router trao đổi thơng tin cập nhật bảng routing • v.v SinhVienZone.com https://fb.com/sinhvienzonevn Kẻ xấu làm việc gì? – nghe lén: ngăn chặn thơng điệp – kích hoạt chèn thông điệp vào kết nối – giả danh: giả mạo địa nguồn gói (hoặc trƣờng đó) – cướp: “tiếp tục” kết nối hành nhƣng thay ngƣời gửi ngƣời nhận họ – từ chối dịch vụ: dịch vụ bị ngƣời khác dùng (đồng nghĩa tải) – v.v SinhVienZone.com https://fb.com/sinhvienzonevn Các nguyên lý mã hóa K văn gốc A khóa mã Alice giải thuật văn mã hóa mã hóa khóa mã K Bob B giải thuật văn gốc giải mã Hacker khóa đối xứng: khóa bên gửi bên nhận giống khóa cơng cộng: khóa mã chung, khóa giải mã bí mật (riêng) SinhVienZone.com https://fb.com/sinhvienzonevn Mã hóa khóa đối xứng mật mã thay thế: thay thứ thành thứ khác – mã hóa ký tự đơn: thay ký tự văn gốc: abcdefghijklmnopqrstuvwxyz văn mã hóa: mnbvcxzasdfghjklpoiuytrewq ví dụ: văn gốc: Bob i love you Alice mã hóa thành: nko s gktc wky mgsbc • Bẻ khóa kiểu mã hóa đơn giản dễ khơng?  brute force (khó nhƣ nào?)  khác? SinhVienZone.com https://fb.com/sinhvienzonevn Mã hóa khóa đối xứng: DES DES: Data Encryption Standard • Chuẩn mã hóa Hoa Kỳ [NIST 1993] • Khóa đối xứng 56-bit, văn gốc vào 64-bit • Bảo mật DES nhƣ nào? – chƣa có cách tiếp cận “backdoor-cửa sau” để giải mã • làm cho DES bảo mật hơn: – dùng khóa (3-DES) datum – dùng chế liên kết khối mã SinhVienZone.com https://fb.com/sinhvienzonevn Mã hóa khóa đối xứng: DES DES hoạt động • hốn hốn vị vị đầu tiên  • 16 16 vòng vòng giống giống nhau, nhau,  vòng vòng dùng dùng khóa khóa 48 bit bit khác khác nhau 48 • hốn hoán vị vị cuối cuối cùng  SinhVienZone.com https://fb.com/sinhvienzonevn AES: Advanced Encryption Standard • Chuẩn NIST khóa đối xứng (tháng 11-2001) thay cho DES • Dữ liệu xử lý khối 128 bit • Các khóa 128, 192 256 bit • Giải mã brute force (thử sai) tốn 1s với DES, tốn 149 tỷ tỷ năm với AES SinhVienZone.com https://fb.com/sinhvienzonevn Mã hóa khóa cơng cộng khóa đối xứng • u cầu ngƣời gửi, ngƣời nhận phải biết khóa cơng cộng • Làm biết khóa cơng cộng lần (đặc biệt với ngƣời chƣa gặp trƣớc)? Mã hóa khóa cơng cộng  tiếp cận khác hồn tồn  ngƣời gửi, ngƣời nhận khơng chia sẻ khóa cơng cộng  khóa cơng cộng cho ngƣời biết  khóa giải mã riêng có ngƣời nhận biết 10 SinhVienZone.com https://fb.com/sinhvienzonevn Bảo mật e-mail  Alice muốn gửi e-mail bí mật, m, đến Bob KS m KS K ( ) S + KB( ) K+ B KS(m ) KS(m ) + Internet + - KS + K B( ) - KB(KS ) KB(KS ) KS( ) m KB- Alice: Bob:  sinh khóa riêng đối xứng  dùng khóa riêng anh để ngẫu nhiên, KS  mã hóa thơng điệp với KS  mã hóa KS với khóa cơng cộng Bob  gửi KS(m) KB(KS) cho Bob giải mã phục hồi KS  dùng KS để giải mã KS(m) phục hồi m SinhVienZone.com 35 https://fb.com/sinhvienzonevn Bảo mật e-mail  Alice muốn cung cấp toàn vẹn thông điệp chứng thực ngƣời gửi m H(.) KA- - KA ( ) - - KA(H(m)) KA(H(m)) + KA+ Internet m + KA ( ) - H(m ) compare m H( ) H(m )  Alice ký số thông điệp  gửi thông điệp (dạng rõ ràng) chữ ký số 36 SinhVienZone.com https://fb.com/sinhvienzonevn Bảo mật e-mail • Alice muốn cung cấp tồn vẹn thơng điệp chứng thực ngƣời gửi  bí mật m H( ) KA- - - KA(H(m)) KA ( ) + KS( ) m KS KS + KB( ) K+ B + Internet + KB(KS ) Alice dùng khóa: khóa riêng ấy, khóa cơng cộng Bob, khóa đối xứng vừa tạo 37 SinhVienZone.com https://fb.com/sinhvienzonevn Pretty good privacy (PGP) • Chuẩn thực tế để mã Một thông điệp đƣợc ký PGP hóa email Internet -BEGIN PGP SIGNED MESSAGE • Dùng mã hóa khóa đối Hash: SHA1 xứng, khóa công cộng, hàm băm chữ ký số nhƣ Bob:My husband is out of town trình bày trƣớc tonight.Passionately yours, A • Hỗ trợ đồng nhất, chứng -BEGIN PGP SIGNATURE thực ngƣời gửi, bí mật Version: PGP 5.0 Charset: noconv • Ngƣời phát minh: Phil yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJ Zimmerman hFEvZP9t6n7G6m5Gw2 -END PGP SIGNATURE - 38 SinhVienZone.com https://fb.com/sinhvienzonevn Secure sockets layer (SSL) • Bảo mật lớp transport với ứng dụng dựa TCP dùng dịch vụ SSL • Dùng trình duyệt Web, server thƣơng mại điện tử • Các dịch vụ bảo mật: – Chứng thực server – Mã hóa liệu – Chứng thực client (tùy chọn) • Chứng thực server: – Trình duyệt cho phép SSL chứa khóa cơng cộng cho CA đƣợc tin cậy – Trình duyệt yêu cầu chứng server, phát CA đƣợc tin cậy – Trình duyệt dùng khóa cơng cộng CA để trích khóa cơng cộng server từ chứng • Kiểm tra trình duyệt bạn để thấy CA đƣợc tin cậy 39 SinhVienZone.com https://fb.com/sinhvienzonevn SSL (tt) Mã hóa phiên làm việc SSL : • SSL: sở IETF Transport Layer • Trình duyệt sinh khóa phiên đối xứng, mã hóa Security (TLS) với khóa cơng cộng • SSL dùng cho server, gửi khóa (đã mã ứng dụng khơng hóa) cho server Web, nhƣ IMAP • Dùng khóa riêng, server • Chứng thực client có giải mã khóa phiên thể hồn thành với chứng client • Trình duyệt, server biết khóa phiên – Tất liệu gửi vào TCP socket (do client server) đƣợc mã hóa khóa phiên 40 SinhVienZone.com https://fb.com/sinhvienzonevn IPSec: bảo mật lớp Network • Bảo mật lớp Network: • Với AH ESP, nguồn – đích bắt tay nhau: – host gửi mã hóa liệu IP datagram – tạo kênh logic lớp network gọi security – đoạn TCP & UDP; association (SA) thơng điệp ICMP & SNMP • Mỗi SA theo chiều • Chứng thực lớp Network: • xác định bởi: – host đích chứng thực địa IP nguồn – giao thức bảo mật (AH ESP) • giao thức bản: – địa IP nguồn – authentication header (AH) – ID kết nối 32-bit – encapsulation security payload (ESP) 41 SinhVienZone.com https://fb.com/sinhvienzonevn Giao thức AH • Hỗ trợ chứng thực nguồn, tồn vẹn liệu, khơng tin cậy • AH header đƣợc chèn vào IP header, trƣờng liệu • Trƣờng giao thức: 51 • Trung gian xử lý datagram nhƣ bình thƣờng IP header AH header AH header chứa: • Nhân dạng kết nối • Dữ liệu chứng thực: thông điệp đƣợc ký từ nguồn đƣợc tính tốn dựa IP datagram gốc • Trƣờng header kế tiếp: xác định kiểu liệu (vd: TCP, UDP, ICMP) liệu (vd: TCP, UDP, ICMP) 42 SinhVienZone.com https://fb.com/sinhvienzonevn Giao thức ESP • Hỗ trợ tồn vẹn liệu, chứng thực host, tính bí mật • Mã hóa liệu, ESP trailer • Trƣờng header nằm ESP trailer • Trƣờng chứng thực ESP tƣơng tự nhƣ AH • Protocol = 50 chứng thực mã hóa IP header ESP ESP ESP TCP/UDP segment header trailer authent 43 SinhVienZone.com https://fb.com/sinhvienzonevn Bảo mật IEEE 802.11 • Khảo sát: – 85% việc sử dụng mà mã hóa/chứng thực – Dễ dàng bị phát hiện/nghe ngóng nhiều loại cơng khác! • Bảo mật 802.11 – Mã hóa, chứng thực – Thử nghiệm bảo mật 802.11 Wired Equivalent Privacy (WEP): có thiếu sót – Thử nghiệm tại: 802.11i 44 SinhVienZone.com https://fb.com/sinhvienzonevn Wired Equivalent Privacy (WEP): • Chứng thực nhƣ giao thức ap4.0 – host yêu cầu chứng thực từ access point – access point gửi 128 bit – host mã hóa dùng khóa đối xứng chia sẻ – access point giải mã, chứng thực host • Khơng có chế phân bố khóa • Chứng thực: cần biết khóa chia sẻ 45 SinhVienZone.com https://fb.com/sinhvienzonevn Wi-Fi Protected Access (WPA) • Hai cải tiến so với WEP: – Mã hóa liệu cải tiến thơng qua giao thức Temporal Key Integrity Protocol (TKIP) TKIP scrambles key sử dụng thuật tốn hashing đặc tính kiểm tra số nguyên, đảm bảo Key không bị giả mạo – Chứng thực ngƣời dùng, thơng qua EAP • WPA tiêu chuẩn tạm thời mà đƣợc thay với chuẩn IEEE 802.11i 46 SinhVienZone.com https://fb.com/sinhvienzonevn 802.11i: cải tiến bảo mật • Rất nhiều (và chắn hơn) dạng mã hóa • Hỗ trợ phân bố khóa • Dùng chứng thực server tách riêng khỏi AP 47 SinhVienZone.com https://fb.com/sinhvienzonevn EAP: Extensible Authentication Protocol • EAP đƣợc gửi “link” riêng biệt – mobile-đến-AP (EAP LAN) – AP đến server chứng thực (RADIUS UDP) wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE 802.11 RADIUS UDP/IP 48 SinhVienZone.com https://fb.com/sinhvienzonevn TÀI LIỆU THAM KHẢO, ĐỊA CHỈ LIÊN LẠC • Giáo trình Mạng máy tính, KS Nguyễn Bình Dƣơng, TS Đàm Quang Hồng Hải • Giáo trình hệ thống Mạng máy tính CCNA, Nguyễn Hồng Sơn • CCNA: Cisco Certified Network Associate – Study Guide, Todde Lammle - 2007 • Computer Networking: A Top Down Approach Featuring the Internet, 3rd edition Jim Kurose, Keith Ross 2004 • Computer Networks, 4th edition Andrew S Tanenbaum 2003 • Địa liên lạc: Trần Bá Nhiệm – Khoa Mạng máy tính & Truyền thơng – ĐH CNTT – 34 Trƣơng Định, Q3, Tp.HCM Email: tranbanhiem@yahoo.com • Website: http://sites.google.com/site/tranbanhiem 49 SinhVienZone.com https://fb.com/sinhvienzonevn ... điệp x, khơng thể tính tốn để tìm m dùng x = H(m) 16 SinhVienZone. com https://fb .com/ sinhvienzonevn Khóa phân bố chứng Vấn đề khóa đối xứng: • Làm thực thể thiết lập khóa bí mật mạng? Giải pháp:... datum – dùng chế liên kết khối mã SinhVienZone. com https://fb .com/ sinhvienzonevn Mã hóa khóa đối xứng: DES DES hoạt động • hoán hoán vị vị đầu tiên  • 16 16 vòng vòng giống giống nhau, nhau,... ký m 15 SinhVienZone. com https://fb .com/ sinhvienzonevn Phân loại thông điệp thông điệp lớn m Tính tốn thơng điệp dài có chi phí đắt Mục tiêu: “dấu tay” số hóa có kích thƣớc cố định, dễ tính tốn