Chương Bảo mật mạng Computer Networking: A Top Down Approach Featuring the Internet, 3rd edition Jim Kurose, Keith Ross Addison-Wesley, July 2004 Slide biên dịch sang tiếng Việt theo cho phép tác giả All material copyright 1996-2006 J.F Kurose and K.W Ross, All Rights Reserved SinhVienZone.com Bảo mật mạng https://fb.com/sinhvienzonevn Chương 7: Bảo mật mạng Mục tiêu:  hiểu nguyên lý bảo mật mạng: mật mã  chứng thực  tính tồn vẹn  khóa phân bố   bảo mật thực tế:  firewall  bảo mật lớp application, transport, network, link Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 7.1 Bảo mật mạng gì? Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn Bảo mật mạng gì? Sự bảo mật: có người gửi, người nhận “hiểu” nội dung thơng điệp  người gửi mã hóa thông điệp  người nhận giải mã thông điệp Chứng thực: người gửi, người nhận xác định nhận Sự tồn vẹn thơng điệp: người gửi, người nhận muốn bảo đảm thông điệp không bị thay đổi (trên đường truyền sau nhận) mà không bị phát Truy cập & tính sẵn sàng: dịch vụ phải có khả truy cập sẵn sàng user Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn Bạn kẻ thù: Alice, Bob, Trudy  Bob, Alice (bạn bè) muốn truyền thơng “an tồn”  Trudy (kẻ xâm nhập) ngăn chặn, xóa, thêm thơng điệp Alice liệu kênh truyền an toàn liệu, thơng điệp điều khiển nhận an tồn Bob liệu Trudy Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn Bob, Alice ai?  trình duyệt Web/server cho giao dịch điện tử  client/server ngân hàng trực tuyến  DNS servers  router trao đổi thông tin cập nhật bảng routing  v.v Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn Bạn kẻ thù Hỏi: Kẻ xấu làm việc gì? Đáp: nhiều! nghe lén: ngăn chặn thơng điệp  kích hoạt chèn thơng điệp vào kết nối  giả danh: giả mạo địa nguồn gói  (hoặc trường đó)  cướp: “tiếp tục” kết nối hành thay người gửi người nhận họ  từ chối dịch vụ: dịch vụ bị người khác dùng (đồng nghĩa tải)  v.v Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 7.2 Các nguyên lý mã hóa Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn Ngơn ngữ mã hóa văn gốc khóa mã K Alice A khóa mã K Bob B giải thuật văn mã hóa mã hóa giải thuật văn gốc giải mã khóa đối xứng: khóa bên gửi bên nhận giống khóa cơng cộng: khóa mã chung, khóa giải mã bí mật (riêng) Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn Mã hóa khóa đối xứng mật mã thay thế: thay thứ thành thứ khác  mã hóa ký tự đơn: thay ký tự văn gốc: abcdefghijklmnopqrstuvwxyz văn mã hóa: mnbvcxzasdfghjklpoiuytrewq ví dụ: văn gốc: bob i love you alice mã hóa thành: nkn s gktc wky mgsbc Hỏi: Bẻ khóa kiểu mã hóa đơn giản dễ khơng?  brute force (khó nào?)  khác? Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 10 Pretty good privacy (PGP)  chuẩn thực tế, lược đồ mã hóa email Internet  dùng mã hóa khóa đối xứng, khóa công cộng, hàm băm chữ ký số trình bày trước  hỗ trợ đồng nhất, chứng thực người gửi, bí mật  người phát minh: Phil Zimmerman A PGP signed message: -BEGIN PGP SIGNED MESSAGE Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, Alice -BEGIN PGP SIGNATURE Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJ hFEvZP9t6n7G6m5Gw2 -END PGP SIGNATURE - Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 72 Secure sockets layer (SSL)  bảo mật lớp transport với ứng dụng dựa TCP dùng dịch vụ SSL  dùng trình duyệt Web, server thương mại điện tử  dịch vụ bảo mật:    chứng thực server mã hóa liệu chứng thực client (tùy chọn)  chứng thực server:  trình duyệt cho phép SSL chứa khóa cơng cộng cho CA tin cậy  trình duyệt yêu cầu chứng server, phát CA tin cậy  trình duyệt dùng khóa cơng cộng CA để trích khóa công cộng server từ chứng  kiểm tra trình duyệt bạn để thấy CA tin cậy Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 73 SSL (tt) Mã hóa phiên làm việc SSL :  trình duyệt sinh khóa phiên đối xứng, mã hóa với khóa cơng cộng server, gửi khóa (đã mã hóa) cho server  dùng khóa riêng, server giải mã khóa phiên  trình duyệt, server biết khóa phiên   SSL: sở IETF Transport Layer Security (TLS)  SSL dùng cho ứng dụng khơng Web, IMAP  chứng thực client hồn thành với chứng client tất liệu gửi vào TCP socket (do client server) mã hóa khóa phiên Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 74 IPsec: bảo mật lớp Network  bảo mật lớp Network: host gửi mã hóa liệu IP datagram  đoạn TCP & UDP; thông điệp ICMP & SNMP  chứng thực lớp Network:  host đích chứng thực địa IP nguồn  giao thức bản:  authentication header (AH)  encapsulation security payload (ESP)   với AH ESP, nguồn – đích bắt tay nhau:  tạo kênh logic lớp network gọi security association (SA)  SA theo chiều  xác định bởi:  giao thức bảo mật (AH ESP)  địa IP nguồn  ID kết nối 32-bit Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 75 Giao thức AH  hỗ trợ chứng thực nguồn, tồn vẹn liệu, khơng tin cậy  AH header chèn vào IP header, trường liệu  trường giao thức: 51  trung gian xử lý datagram bình thường IP header AH header AH header chứa:  nhân dạng kết nối  liệu chứng thực: thông điệp ký từ nguồn tính tốn dựa IP datagram gốc  trường header kế tiếp: xác định kiểu liệu (vd: TCP, UDP, ICMP) liệu (vd: TCP, UDP, ICMP) Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 76 Giao thức ESP  hỗ trợ toàn vẹn liệu, chứng thực host, tính bí mật  mã hóa liệu, ESP trailer  trường header nằm ESP trailer  trường chứng thực ESP tương tự AH  Protocol = 50 chứng thực mã hóa IP header ESP ESP ESP TCP/UDP segment header trailer authent Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 77 Bảo mật IEEE 802.11  Khảo sát: 85% việc sử dụng mà khơng có mã hóa/chứng thực  dễ dàng bị phát hiện/nghe ngóng nhiều loại công khác!  Bảo mật 802.11  mã hóa, chứng thực  thử nghiệm bảo mật 802.11 đầu tiên: Wired Equivalent Privacy (WEP): có thiếu sót  thử nghiệm tại: 802.11i  Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 78 Wired Equivalent Privacy (WEP):  chứng thực giao thức ap4.0 host yêu cầu chứng thực từ access point  access point gửi 128 bit  host mã hóa dùng khóa đối xứng chia sẻ  access point giải mã, chứng thực host  khơng có chế phân bố khóa  chứng thực: cần biết khóa chia sẻ  Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 79 mã hóa liệu WEP  Host/AP chia sẻ khóa đối xứng 40 bit (bán cố định)  Host gắn thêm vector 24 bit (initialization vector-IV) để hình thành khóa 64 bit IV  khóa 64 bit dùng để sinh dịng khóa, ki IV  ki dùng để mã hóa byte thứ i, di, frame: ci = di XOR kiIV  IV byte mã hóa, ci gửi frame Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 80 mã hóa 802.11 WEP IV ( p e r fr a m e ) k e y se q u e n c e g e n e to r K S : - b it ( fo r g iv e n K S , I V ) secret s y m m e t r ic key k1 IV k2 IV k3 IV … kN IV k N +1 IV … kN+1 IV h ea d er p la in t e x t fr a m e d a t a 1 d1 d2 d3 … dN c1 c2 c3 … cN W E P -e n c r y p te d d a ta IV p lu s C R C CRC1 … CRC4 p lu s C R C cN +1 … cN +4 mã hóa WEP phía gửi F ig u r e - n e w : 1 W E P p ro to co l Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 81 Bẻ khóa 802.11 WEP Lỗ hổng bảo mật:  24-bit IV, IV frame -> phải dùng lại IV  IV truyền với dạng văn thô -> phát việc dùng lại IV  Tấn công:  Alice mã hóa văn thơ cho trước d1 d2 d3 d4 … IV  Trudy nhìn thấy: ci = di XOR ki Trudy biết ci di, tính kiIV IV IV IV  Trudy biết mã hóa chuỗi khóa k1 k2 k3 …  lần dùng IV lại kế tiếp, Trudy giải mã được!  Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 82 802.11i: cải tiến bảo mật  nhiều (và chắn hơn) dạng mã hóa  hỗ trợ phân bố khóa  dùng chứng thực server tách riêng khỏi AP Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 83 802.11i: giai đoạn hoạt động STA: client station AP: access point AS: Authentication server wired network Discovery of security capabilities STA and AS mutually authenticate, together generate Master Key (MK) AP servers as “pass through” STA derives Pairwise Master Key (PMK) AS derives same PMK, sends to AP STA, AP use PMK to derive Temporal Key (TK) used for message encryption, integrity SinhVienZone.com Bảo mật mạng https://fb.com/sinhvienzonevn 84 EAP: extensible authentication protocol  EAP gửi “link” riêng biệt  mobile-đến-AP (EAP LAN)  AP đến server chứng thực (RADIUS UDP) wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE 802.11 RADIUS UDP/IP Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 85 Tổng kết bảo mật mạng Các kỹ thuật bản… mã hóa (đối xứng cơng cộng)  chứng thực  tồn vẹn thơng điệp  phân bố khóa  … sử dụng nhiều bối cảnh bảo mật khác bảo mật email  bảo mật vận chuyển (SSL)  IP sec  802.11  Bảo mật mạng SinhVienZone.com https://fb.com/sinhvienzonevn 86 ... transport, network, link Bảo mật mạng SinhVienZone. com https://fb .com/ sinhvienzonevn 7. 1 Bảo mật mạng gì? Bảo mật mạng SinhVienZone. com https://fb .com/ sinhvienzonevn Bảo mật mạng gì? Sự bảo mật: có người... dùng (đồng nghĩa tải)  v.v Bảo mật mạng SinhVienZone. com https://fb .com/ sinhvienzonevn 7. 2 Các nguyên lý mã hóa Bảo mật mạng SinhVienZone. com https://fb .com/ sinhvienzonevn Ngơn ngữ mã hóa văn... mã: ký tự m me l 12 1524832 c 17 d c 481968 572 10 675 0915091411825223 071 6 97 c = me mod n 17 m = cd mod n ký tự 12 l Bảo mật mạng SinhVienZone. com https://fb .com/ sinhvienzonevn 20 RSA: Tại m = (m