Đang tải... (xem toàn văn)
Mục tiêu của chương cung cấp cho người học một cái nhìn tổng quan về các giải pháp tạo sự an toàn trong truyền thông. Ngoài ra giúp các bạn trình bày được sự quan trọng của an toàn trong truyền thông. Mô tả được các giao thức sử dụng cho truy cập từ xa như PPP, Telnet, mạng không dây , mạng riêng ảo. Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho các giao thức truy cập từ xa. Mô tả được các giao thức truy cập liên mạng thông dụng hiện nay như Mail, Web, FTP, File sharing, Directory, LDAP, …
Chương An tồn truyền thơng • Các giao thức truy cập từ xa: PPP, Telnet, Wireless, VPN, … • Các giao thức truy cập liên mạng: Email, Web, FTP, File Sharing, Directory, LDAP, … Bộ môn HTMT&TT 14/05/2010 Mục tiêu • Cung cấp cho người học nhìn tổng quan giải pháp tạo an tồn truyền thơng • Sau hồn tất chương, sinh viên có khả năng: ▫ Trình bày quan trọng an tồn truyền thơng ▫ Mô tả giao thức sử dụng cho truy cập từ xa PPP, Telnet, mạng không dây , mạng riêng ảo ▫ Hiểu vận dụng số kỹ thuật nâng cao độ an toàn cho giao thức truy cập từ xa ▫ Mô tả giao thức truy cập liên mạng thông dụng Mail, Web, FTP, File sharing, Directory, LDAP, … ▫ Hiểu vận dụng số kỹ thuật nâng cao độ an toàn cho giao thức truy cập liên mạng Bộ môn MMT&TT 14/05/2010 Phần Các giao thức cho truy cập từ xa • Khái niệm • • • • • RAS PPP Telnet SSH TACACS+ RADIUS WLAN VPN Bộ mơn MMT&TT 14/05/2010 An tồn truyền thơng • Sự quan trọng an tồn truyền thơng Với Với tốc tốc độ độ của Internet Internet ngày nhanh, nhanh, truyền truyền thông thông trên mạng, mạng, truy truy cập cập từ từ xa, xa, làm làm việc việc bằng các thiết thiết bị bị cầm cầm tay tay ngày trở trở nên nên phổ phổ biến biến Đòi Đòi hỏi hỏi phải phải có có các cơ chế chế an an toàn toàn trên đường đường truyền, truyền, cho cho các giao giao thức thức mạng mạng và các dịch dịch vụ vụ trên mạng mạng Bộ môn MMT&TT 14/05/2010 Truy cập từ xa • RAS PPP PPP PPP (Point-to-Point (Point-to-Point Protocol) Protocol) •• PPP PPP là giao giao thức thức tầng tầng 22 •• Cho Cho phép phép chứng chứng thực: thực: ++ PAP: PAP: không không mã mã hóa hóa ++ CHAP: CHAP: có có mã mã hóa hóa •• Có Có thể thể dùng dùng cho cho các dạng dạng mạng mạng IP, IP, IPX, IPX, AppleTalk AppleTalk •• Cho Cho phép phép cấp cấp địa địa chỉ IP IP động động •• Cho Cho phép phép nén nén dữ liệu liệu và điều điều khiển khiển chất chất lượng lượng đường đường nối nối kết kết Kết Kết nối nối từ từ xa xa qua qua đường đường điện điện thoại thoại •• Dể Dể sử sử dụng, dụng, tốc tốc độ độ thấp thấp •• Kết Kết nối nối đơn đơn giản giản Bộ môn MMT&TT 14/05/2010 Truy cập từ xa • Telnet •• Đăng Đăng nhập nhập và làm làm việc việc từ từ xa xa •• Dùng Dùng cổng cổng 23 23 TCP TCP •• Cơ Cơ chế chế dòng dòng lệnh lệnh •• Là Là giao giao thức thức khơng khơng an an tồn tồn vì dữ liệu liệu truyền truyền đi trên mạng mạng không không được mã mã hóa hóa (plaintext) (plaintext) •• Nên Nên khóa khóa dịch dịch vụ vụ Telnet Telnet từ từ bên bên ngồi ngồi mạng mạng vào vào •• Chuyển Chuyển sang sang dùng dùng SSH SSH Bộ môn MMT&TT 14/05/2010 Truy cập từ xa • Secure Shell (SSH) •• Thiết Thiết lập lập kết kết nối nối mạng mạng 11 cách cách bảo bảo mật mật •• Cổng Cổng 22 22 •• Làm Làm việc việc qua qua 33 bước: bước: ++ Định Định danh danh host: host: sử sử dụng dụng cặp cặp khóa khóa cơng cơng cộng cộng và khóa khóa bí bí mật mật ++ Mã Mã hóa: hóa: DES, DES, 3DES, 3DES, IDEA,Blowfish IDEA,Blowfish ++ Chứng Chứng thực: thực: RSA, RSA, DSA DSA Bộ môn MMT&TT 14/05/2010 Truy cập từ xa • TACACS+ Terminal Terminal Access Access Control Control Access Access Control Control System System Plus Plus •• Chứng Chứng thực thực tập tập trung trung •• Thích Thích hợp hợp cho cho các mạng mạng với với số số lượng lượng người người dùng dùng lớn lớn •• Cung Cung cấp cấp riêng riêng rẻ rẻ các dịch dịch vụ AAA vụ AAA •• Giao Giao thức thức riêng riêng của Cisco Cisco •• Sử Sử dụng dụng TCP TCP cổng cổng 49 49 •• Hỗ Hỗ trợ trợ nhiều nhiều giao giao thức thức tầng tầng 33 như IP, IP, Apple Apple Talk Talk •• Cung Cung cấp cấp khả khả năng bảo bảo mật mật trong trao trao đổi đổi dữ liệu liệu giữa gateway gateway (Router (Router NAS) NAS) và cơ sở sở dữ liệu liệu trung trung tâm tâm (ACS) (ACS) •• Mã Mã hóa hóa thơng thơng tin tin tồn tồn bộ phiên phiên giao giao dịch dịch •• Dùng Dùng 11 khóa khóa bí bí mật mật để để mã mã hóa hóa và giải giải mã mã trên cả 22 hệ hệ thống thống Bộ môn MMT&TT 14/05/2010 Điểm Điểm yếu yếu •• Có Có thể thể bị bị tấn công công vào vào phần phần mã mã hóa hóa vì chỉ dùng dùng 11 khóa khóa bí bí mật mật => => nên thay đổi thường nên thay đổi thường xun xun •• Có Có thể thể bị bị tấn công công theo theo dạng dạng Replay Replay Truy cập từ xa • TACACS+ NAS: NAS: Router, Router, Switch, Switch, PIX/ASA, PIX/ASA, VPN3000 VPN3000 Quá Quá trình trình phân phân quyền quyền (authorization) (authorization) dùng dùng TACACS+ TACACS+ Các Các bước bước chứng chứng thực thực (authentication) (authentication) dùng dùng TACACS+ TACACS+ Bộ mơn MMT&TT 14/05/2010 Truy cập từ xa • RADIUS Remote Remote Authentication Authentication Dial Dial In In User User Service Service •• Tương tự Tương tự TACACS+, TACACS+, cung cấp dịch vụ cung cấp dịch vụ AAA AAA •• Chuẩn Chuẩn mở mở •• Định Định nghĩa nghĩa trong RFC-2865 RFC-2865 •• Chuẩn Chuẩn chứng chứng thực thực an an toàn toàn của 802.1X 802.1X •• Sử Sử dụng dụng UDP UDP cổng cổng 1812 1812 •• Dùng Dùng mơ mơ hình hình Client-Server, Client-Server, trong đó RAS RAS đóng đóng vai vai trò trò là RADIUS RADIUS Client Client •• RADIUS RADIUS chỉ mã mã hóa hóa mật mật khẩu người người dùng dùng •• Hỗ Hỗ trợ trợ các giao giao thức: thức: PPP, PPP, PAP, PAP, CHAP CHAP Bộ môn MMT&TT 14/05/2010 10 Dịch vụ Email • S/MIME (Secure MIME) •• S/MIME S/MIME cung cung cấp cấp cơ chế chế bảo bảo mật mật cho cho Email Email •• Version Version 2: 2: RFC-2311 RFC-2311 và version version 3: 3: RFC-2633 RFC-2633 S/MIME S/MIME cung cung cấp cấp dịch dịch vụ vụ mật mật mã mã cho cho các ứng ứng dụng dụng email: email: •• Chứng Chứng thực thực •• Tính Tính tồn tồn vẹn vẹn và tính tính khơng khơng thể thể phủ phủ nhận nhận (thông (thông qua qua chữ chữ ký ký số) số) •• Bảo Bảo mật mật và riêng riêng tư tư cho cho thông thơng điệp điệp (thơng (thơng qua qua mã mã hóa) hóa) •• Sử Sử dụng dụng 33 thuật thuật tốn tốn mã mã hóa hóa đối đối xứng: xứng: DES, DES, 3DES, 3DES, RCC2 RCC2 trong việc việc mã mã hóa hóa thơng thơng điệp điệp •• Dùng Dùng giải giải thuật thuật RSA RSA trong việc việc trao trao đổi đổi khóa khóa và chữ chữ ký ký số số •• Windows Windows Mail Mail (Vista), (Vista), Outlook Outlook Express, Express, Thunderbird Thunderbird hỗ hỗ trợ trợ S/MIME S/MIME Bộ môn MMT&TT 14/05/2010 50 Dịch vụ Email • PGP (Pretty Good Privacy) •• Do Do Philip Philip R R Zimmermann Zimmermann tạo tạo ra vào vào năm năm 1991 1991 •• PGP PGP là chuẩn chuẩn đóng đóng thuộc thuộc cơng cơng ty ty PGP PGP •• Sử Sử dụng dụng thuật thuật tốn tốn mã mã hóa hóa bất bất đối đối xứng xứng •• Dùng Dùng hạ hạ tầng tầng khóa khóa cơng cơng khai khai (PKI) (PKI) •• PGP PGP nén nén dữ liệu liệu trước trước khi mã mã hóa hóa •• Dùng Dùng thuật thuật tốn tốn RSA RSA hoặc DH DH •Open •Open PGP PGP được cung cung cấp cấp theo theo chuẩn chuẩn mở mở mô mô tả tả trong RFC-2440 RFC-2440 •• Được Được hỗ hỗ trợ trợ trong nhiều nhiều phần phần mềm mềm thương thương mại mại và mã mã nguồn nguồn mở mở Một Một số số phần phần mềm mềm hỗ hỗ trợ trợ Open Open PGP PGP :: Authora, Authora, WinPT, WinPT, GnuPG, GnuPG, Enigmail, Enigmail, GPGforWin, GPGforWin, PGPFreeware, PGPFreeware, … … Bộ môn MMT&TT 14/05/2010 51 Dịch vụ Email • Các điểm yếu Email SPAM SPAM (Mail (Mail rác) rác) •• Những Những mail mail với với nội nội dung dung quảng quảng cáo cáo hoặc các thông thông tin tin khơng khơng mong mong muốn muốn •• Làm Làm giảm giảm băng băng thông thông và hiệu hiệu năng của dịch dịch vụ vụ •• Làm Làm đầy đầy hộp hộp thư thư và tốn tốn thời thời gian gian lọc lọc mail mail của người người dùng dùng Phishing Phishing (lừa (lừa đảo) đảo) •• Lừa Lừa người người dùng dùng click click vào vào 11 liên liên kết kết dẫn dẫn đến đến 11 URL URL giả giả để để lấy lấy cắp cắp các thông thông tin tin nhậy nhậy cảm cảm như tài tài khoản, khoản, số số thẻ thẻ tín tín dụng, dụng, … … •• Các Các trình trình duyệt duyệt và phần phần mềm mềm diệt diệt virus virus mới đều có có tính tính năng chống chống dạng dạng tấn công công phishing phishing này Bộ môn MMT&TT Hoax Hoax (Mail (Mail đánh đánh lừa) lừa) •• Chứa Chứa các thông thông tin tin không không đúng sự thật thật •• Lừa Lừa người người dùng dùng gửi gửi tiếp tiếp cho cho những người người khác khác Virus, Virus, Trojan Trojan •• Lừa Lừa người người dùng dùng mở mở tập tập tin tin đính đính kèm kèm chứa chứa các mã mã độc độc hại hại như virus, virus, trojan trojan •• Tự Tự động động gửi gửi tiếp tiếp bản thân thân nó cho cho các người người dùng dùng khác khác trong Address Address Book Book 14/05/2010 52 Dịch vụ Email • SMTP Relay •• Lợi Lợi dụng dụng Mail Mail Server Server cấu cấu hình hình khơng khơng chính xác xác gửi gửi email email đến đến các Server Server khác khác •• Thường Thường sử sử dụng dụng để để phát phát tán tán SPAM SPAM Không Không cho cho người người dùng dùng vô vô danh danh từ từ bên bên ngoài mạng mạng (chưa (chưa chứng chứng thực) thực) gửi gửi mail mail đi 11 địa địa chỉ mail mail bên bên ngoài Bộ mơn MMT&TT 14/05/2010 53 Dịch vụ Web • Giao thức •• Dùng Dùng giao giao thức thức HTTP HTTP •• Mơ Mơ tả tả trong RFC-2616 RFC-2616 •• Cổng Cổng phục phục vụ vụ là TCP TCP 80 80 •• Ngơn Ngơn ngữ ngữ sử sử dụng dụng HTML HTML •• Chuyển Chuyển các file file HTML HTML (trang (trang Web) Web) từ từ Server Server đến đến Client Client •• HTTP HTTP là giao giao thức thức khơng khơng an an tồn tồn •• Khơng Khơng chứng chứng thực, thực, khơng khơng mã mã hóa hóa Bộ mơn MMT&TT 14/05/2010 54 Dịch vụ Web • HTTPS Gõ Gõ trong trình trình duyệt duyệt https:// https:// •• HTTPS HTTPS == HTTP HTTP ++ TLS/SSL TLS/SSL •• Cung Cung cấp cấp tính tính bảo bảo mật mật cho cho dịch dịch vụ vụ Web Web •• Thích Thích hợp hợp cho cho các giao giao dịch dịch an an toàn toàn trên Web Web như: như: giao giao dịch dịch ngân ngân hàng, hàng, thơng thơng tin tin thẻ thẻ tín tín dụng, dụng, mua mua hàng hàng trực trực tuyến, tuyến, … … •• Dùng Dùng cổng cổng TCP TCP 443 443 •• Sử Sử dụng dụng mật mật mã mã khóa khóa cơng cơng khai: khai: cặp cặp khóa khóa cơng cơng khai khai ++ khóa khóa bí bí mật mật và chứng chứng chỉ số số X.509 X.509 Bộ mơn MMT&TT 14/05/2010 55 Dịch vụ Web • SSL (Secure Sockets Layer) TLS (Transport Layer Security) •.Độc •.Độc lập lập với với giao giao thức thức của tầng tầng ứng ứng dụng dụng •• Cung cấp Cung cấp cơ chế chế bảo bảo mật mật cho dịch vụ Web, FTP, cho dịch vụ Web, FTP, Telnet, Telnet, LDAP, LDAP, IMAP, IMAP, … … SSL SSL •.Hoạt •.Hoạt động động phía phía trên tầng tầng TCP TCP •• Sử Sử dụng dụng cả khóa khóa cơng cơng khai khai và khóa khóa đối đối xứng xứng cho cho các phiên phiên giao giao dịch dịch •• Sử Sử dụng dụng 33 giao giao thức: thức: ++ SSL SSL handshake handshake protocol protocol ++ SSL SSL Record Record protocol protocol ++ SSL SSL Alter Alter protocol protocol Bộ mơn MMT&TT •• Kết Kết nối nối bí bí mật mật qua qua mã mã hóa hóa đối đối xứng: xứng: DES, DES, RC4, RC4, … … •• Chứng Chứng thực thực qua qua mã mã hóa hóa bất bất đối đối xứng: xứng: RSA, RSA, DSS, DSS, … … •• Kết Kết nối nối tin tin cậy cậy qua qua kiểm kiểm tra tra tính tính tồn tồn vẹn vẹn bằng các giải giải thuật thuật băm: băm: SHA, SHA, MD5, MD5, … … TLS TLS •• Kế Kế thừa thừa từ từ SSL, SSL, nhưng khơng khơng tương tương thích thích với với SSL SSL •• Cung Cung cấp cấp các chức chức năng bảo bảo mật mật nâng nâng cao cao hơn 14/05/2010 56 Dịch vụ Web • Một số vấn đề cần quan tâm Quyền Quyền trên thư thư mục: mục: list, list, read, read, write, write, execute, execute, … … Bộ môn MMT&TT 14/05/2010 57 Dịch vụ Web • Một số vấn đề cần quan tâm Quản Quản lý lý điều điều khiển khiển truy truy cập: cập: người người dùng, dùng, địa địa chỉ cho cho phép phép truy truy cập cập Bộ mơn MMT&TT 14/05/2010 58 Dịch vụ Web • Một số vấn đề cần quan tâm •• Giám Giám sát sát hệ hệ thống: thống: ghi ghi log log file, file, IDS, IDS, … … •• Thực Thực hiện backup backup định định kỳ kỳ •• Bảo trì thường xuyên: update, Bảo trì thường xuyên: update, vá vá lỗi, lỗi, •• Kiểm tra tính đắn cấu hình Kiểm tra tính đắn cấu hình Web Web Server: Server: có thể dùng dùng NMAP NMAP Bộ mơn MMT&TT 14/05/2010 59 Dịch vụ Web • Một số vấn đề cần quan tâm •• Đặt Đặt mức mức độ độ bảo bảo mật mật cho cho trình trình duyệt duyệt •• Giới Giới hạn hạn các script script thực thực thi: thi: VBScript, VBScript, JavaScript, JavaScript, … … •• Cẩn Cẩn thận thận khi sử sử dụng dụng cookie, cookie, ActiveX, ActiveX, CGI CGI Bộ mơn MMT&TT 14/05/2010 60 Dịch vụ FTP • Giao thức •• Dùng Dùng giao giao thức thức FTP FTP •• Mô Mô tả tả trong RFC-959 RFC-959 •• Cổng Cổng phục phục vụ vụ là :: ++ TCP TCP 21 21 cho cho nối nối kết kết ++ TCP TCP 20 20 cho cho dữ liệu liệu •• Có Có 22 dạng dạng tài tài khoản khoản người người dùng: dùng: ++ Tài Tài khoản khoản vô vô danh danh (anonymous): (anonymous): đa đa số số chỉ cho cho download download ++ Người Người dùng dùng riêng: riêng: có thể cho cho upload upload vào vào thư thư mục mục riêng riêng •• FTP FTP là giao giao thức thức không không an an tồn tồn •• Mọi Mọi thứ thứ gửi gửi đi trên đường đường truyền truyền đều khơng khơng được mã mã hóa hóa (kể (kể cả password) password) Bộ mơn MMT&TT •• Standard Standard mode: mode: có có 22 giao giao dịch dịch ++ Client Client nối nối kết kết đến đến Server Server ở cổng cổng 21 21 để để yêu yêu cầu cầu file file ++ Server Server (dùng (dùng cổng cổng 20) 20) nối nối kết kết đến đến Client Client để để upload upload file file đến đến Client Client •• Passive Passive mode: mode: có có 22 giao giao dịch dịch ++ Client Client nối nối kết kết đến đến Server Server (cổng (cổng 21) 21) Server Server trả trả lời lời lại lại Client Client giá giá trị trị cổng cổng phục phục vụ vụ ++ Client Client nối nối kết kết đến đến Server Server qua qua cổng cổng đó để để nhận nhận file file 14/05/2010 61 Dịch vụ FTP • FTPS •• FTPS FTPS == FTP FTP ++ TLS/SSL TLS/SSL •• Cung Cung cấp cấp tính tính bảo bảo mật mật cho cho dịch dịch vụ vụ FTP FTP •• Thích Thích hợp hợp cho cho các giao giao dịch dịch an an toàn toàn và bảo bảo mật mật khi truyền truyền file file bằng FTP FTP •• Dùng Dùng cổng cổng TCP TCP 990 990 cho cho điều điều khiển khiển và TCP TCP 898 898 cho cho dữ liệu liệu •• Sử Sử dụng dụng mật mật mã mã khóa khóa cơng cơng khai khai •• Chữ Chữ ký ký số số (chuẩn (chuẩn X.509): X.509): dùng dùng RSA, RSA, DSA DSA •• Mã Mã hóa hóa dữ liệu liệu dùng dùng khóa khóa bí bí mật mật (khóa (khóa chia chia sẻ) sẻ) :: DES, DES, 3DES, 3DES, AES, AES, … … Bộ môn MMT&TT 14/05/2010 62 Dịch vụ chia sẻ file • File sharing NetBIOS NetBIOS •• Tạo Tạo ra bởi IBM, IBM, phát phát triển triển bởi Microsoft Microsoft •• Cung Cung cấp cấp dịch dịch vụ vụ vận vận chuyển chuyển và giao giao dịch dịch •• Dùng Dùng cổng cổng TCP TCP 137, 137, 138, 138, 139 139 Bộ môn MMT&TT NetBEUI NetBEUI •• Chuẩn Chuẩn định định dạng dạng khung khung của NetBIOS NetBIOS •• Giao Giao thức thức tầng tầng 44 (nhưng (nhưng không không hỗ hỗ trợ trợ vạch vạch đường) đường) NetBIOS NetBIOS trên TCP TCP (NBT) (NBT) •• Dùng Dùng vận vận chuyển chuyển dữ liệu liệu NetBIOS NetBIOS trên các mạng mạng tầng tầng 33 (như (như IP) IP) 14/05/2010 63 Dịch vụ LDAP • Lightweight Directory Access Protocol LDAP LDAP là giao giao thức thức chuẩn chuẩn cho cho phép phép Client Client có thể truy truy cập cập vào vào tài tài nguyên nguyên trong dịch dịch vụ vụ thư thư mục mục Dịch Dịch vụ vụ thư thư mục mục cung cung cấp cấp truy truy cập cập đến đến 11 CSDL CSDL trung trung tâm tâm lưu lưu trữ trữ các tài tài nguyên nguyên hiện có có trên mạng: mạng: tài tài khoản khoản người người dùng, dùng, TK TK máy máy tính, tính, TK TK mail, mail, … … •• LDAP LDAP theo theo chuẩn chuẩn X.500 X.500 •• Sử Sử dụng dụng cổng cổng TCP TCP 389, 389, 636 636 •• LDAP LDAP thường thường dùng dùng để để cung cung cấp cấp chứng chứng thực thực cho cho các dịch dịch vụ vụ khác khác trên mạng mạng Bộ môn MMT&TT SLDAP SLDAP (Secure (Secure LDAP) LDAP) •• Dùng Dùng SSL/TLS SSL/TLS để để cung cung cấp cấp chứng chứng thực thực và mã mã hóa hóa 14/05/2010 64 ... ngồi) ngồi) •• Network: Network: mạng mạng máy máy tính tính (nhóm (nhóm 22 hoặc nhiều nhiều máy máy tính tính lại lại với với nhau) nhau) Bộ môn MMT&TT 14/ 05/ 2010 28 Mạng riêng ảo - VPN • Ích lợi... liệu liệu truyền truyền đi trên mạng mạng không không được mã mã hóa hóa (plaintext) (plaintext) •• Nên Nên khóa khóa dịch dịch vụ vụ Telnet Telnet từ từ bên bên ngồi mạng mạng vào vào •• Chuyển... Internet Internet miễn miễn phí phí •• Xâm Xâm nhập nhập vào vào mạng mạng dễ dễ dàng dàng Hacker Hacker •• Tấn Tấn cơng cơng vào vào các mạng mạng WLAN WLAN yếu yếu (cấu (cấu hình hình khơng khơng