Đang tải... (xem toàn văn)
Bài giảng An toàn mạng máy tính nâng cao - Chương 2: Các giao thức bảo mật cung cấp cho người học các kiến thức: Ip security, secure socket layer transport layer security, pretty good privacy, secure shell. Mời các bạn cùng tham khảo nội dung chi tiết.
CHƯƠNG CÁC GIAO THỨC BẢO MẬT 2/28/17 ThS.Nguyễn Duy duyn@uit.edu.vn Nội dung duyn@uit.edu.vn Ø Ø Ø Ø IP Security Secure Socket Layer /Transport Layer Security Pretty Good Privacy Secure Shell 2/28/17 Nội dung duyn@uit.edu.vn Ø Ø Ø Ø IP Security Secure Socket Layer /Transport Layer Security Pretty Good Privacy Secure Shell IP Security Tổng quan duyn@uit.edu.vn Ø Ø Ø Là giao thức bảo mật lớp Mạng (Network Layer – OSI) lớp Internet (Internet Layer – TCP/IP) IPsec yếu tố quan trọng để xây dựng mạng riêng ảo (VPN – Virtual Private Networks) Bao gồm giao thức chứng thực, giao thức mã hoá, giao thức trao đổi khoá: Ø AH (Authentication header): sử dụng để xác định nguồn gốc gói tin IP đảm bảo tính tồn vẹn Ø ESP (Encapsulating Security Payload): sử dụng để chứng thực mã hố gói tin IP (phần payload gói tin) Ø IKE (Internet key exchange): sử dụng để thiết lập khố bí mật cho người gởi người nhận IP Security – tt Tổng quan duyn@uit.edu.vn Ø Ứng dụng IPsec: Ø Bảo mật kết nối chi nhánh văn phòng qua Internet Ø Bảo mật truy cập từ xa qua Internet Ø Thực kết nối Intranet Extranet với đối tác (Partners) Ø Nâng cao tính bảo mật thương mại điện tử IP Security – tt Tổng quan duyn@uit.edu.vn IP Security – tt Tổng quan duyn@uit.edu.vn Ø Ví dụ minh hoạ: Ø Khi Alice muốn giao tiếp với Bob sử dụng IPsec, Alice trước tiên phải chọn tập hợp giải thuật mã hóa thơng số, sau thơng báo cho Bob lựa chọn Ø Bob chấp nhận lựa chọn Alice thương lượng với Alice cho tập hợp khác giải thuật thông số Ø Một giải thuật thông số lựa chọn, IPsec thiết lập kết hợp bảo mật (Security Association - SA) Alice Bob cho phần lại phiên làm việc IP Security – tt Tại cần sử dụng IP Security duyn@uit.edu.vn Ø Ø IPv4 khơng thiết kế với tính bảo mật Những cơng xảy với IPv4 Eavesdropping Ø Data modification Ø Identity spoofing (IP address spoofing) Ø Denial-of-service attack Ø Man-in-the-middle attack Ø IP Security – tt Tại cần sử dụng IP Security duyn@uit.edu.vn Ø Eavesdropping Ø Ø Data modification Ø Ø Sử dụng chế xác thực lẫn Denial-of-service attack Ø Ø IP sử dụng thuật toán hàm băm Identity spoofing (IP address spoofing) Ø Ø Mã hóa liệu Cho phép block traffic Man-in-the-middle attack Ø Sử dụng chế xác thực lẫn + Shared Key IP Security – tt Security Association (SA) 10 duyn@uit.edu.vn Ø Một SA cung cấp thông tin sau: Ø Chỉ mục thông số bảo mật (SPI - Security parameters index): chuỗi nhị phân 32 bit sử dụng để xác định tập cụ thể giải thuật thông số dùng phiên truyền thông SPI bao gồm AH ESP để chắn hai sử dụng giải thuật thông số Ø Địa IP đích Ø Giao thức bảo mật: AH hay ESP IPsec không cho phép AH hay ESP sử dụng đồng thời SA S/MIME 58 duyn@uit.edu.vn S/MIME 59 duyn@uit.edu.vn Ø Các tính Webmail client hỗ trợ S/ MIME: Ø Tạo chữ ký số cho email gửi để đảm bảo người nhận email tin khơng có can thiệp đến từ người gửi Ø Mã hóa email gửi để ngăn chặn xem, thay đổi Nội dung email trước đến với người nhận Ø Xác minh chữ ký số email ký đến với trình liên quan đến danh sách thu hồi chứng (CRL) Ø Tự động giải mã email gửi đến để người nhận đọc nội dung email Ø Trao đổi chữ ký email mã hóa với người dùng khác S/MIME S/MIME 60 duyn@uit.edu.vn S/MIME 61 duyn@uit.edu.vn S/MIME 62 duyn@uit.edu.vn S/MIME 63 duyn@uit.edu.vn Nội dung 64 duyn@uit.edu.vn Ø Ø Ø Ø IP Security Secure Socket Layer /Transport Layer Security Pretty Good Privacy Secure Shell Secure Shell Tổng quan 65 duyn@uit.edu.vn Ø SSH định nghĩa RFC 4251 Ø SSH sử dụng cổng TCP 22 Ø SSH hoạt động flatform khác nhau: Ø Kết nối đến máy chủ SSH router Cisco từ máy khách chạy Windows Ø Kết nối đến máy chủ Linux từ router Cisco hay kết nối đến máy chủ Windows 2008 từ máy khách sử dụng hệ điều hành Linux Secure Shell Tổng quan 66 duyn@uit.edu.vn Ø Ø Ø SSH tạo kết nối bảo mật hai máy tính sử dụng giải thuật mã hố chứng thực Có khả nén liệu, bảo mật cho liệu truyền (SFTP) chép file (SCP) Là giao thức ứng dụng client-server SSH chia thành lớp lớp ứng dụng mơ hình mạng TCP/ IP: Ø Connection Layer Ø User Authentication Layer Ø Transport Layer Secure Shell Tổng quan 67 duyn@uit.edu.vn Secure Shell Cách thức hoạt động 68 duyn@uit.edu.vn Ø SSH thực qua bước: 1. Định danh host: Ø Việc định danh host thực qua việc trao đổi khoá Mỗi máy tính có hỗ trợ kiểu truyền thơng SSH có khoá định danh Khoá gồm hai thành phần: khố riêng khố cơng khai Khố cơng khai sử dụng cần trao đổi máy chủ với phiên làm việc SSH, liệu mã hố khố cơng khai giải mã khố riêng Secure Shell Cách thức hoạt động 69 duyn@uit.edu.vn Secure Shell Cách thức hoạt động 70 duyn@uit.edu.vn 2. Mã hoá: Ø Ø Sau hoàn tất việc thiết lập phiên làm việc bảo mật (trao đổi khố, định danh), q trình trao đổi liệu diễn thông qua bước trung gian mã hố/giải mã Dữ liệu gửi/nhận đường truyền mã hoá giải mã theo chế thoả thuận trước máy chủ máy khách Việc lựa chọn chế mã hoá thường máy khách định Các chế mã hoá thường chọn bao gồm: 3DES, IDEA, Blowfish Khi chế mã hoá lựa chọn, máy chủ máy khách trao đổi khoá mã hoá cho Secure Shell Cách thức hoạt động 71 duyn@uit.edu.vn 3. Chứng thực: Ø Ø Mỗi định danh truy nhập người sử dụng cung cấp theo nhiều cách khác Chẳng hạn, kiểu chứng thực rhosts sử dụng, khơng phải mặc định; đơn giản kiểm tra định danh máy khách liệt kê file rhost (theo DNS địa IP) Việc chứng thực mật cách thông dụng để định danh người sử dụng, ngồi có cách khác: chứng thực RSA, sử dụng ssh-keygen ssh-agent để chứng thực cặp khoá 72 ... Internet (hay mạng công cộng khác) Tunel Mode cung cấp bảo vệ Gateway-to-Gateway (cửa-đến-cửa) IP Security – tt Định dạng AH 20 duyn@uit.edu.vn IP Security – tt Định dạng AH 21 duyn@uit.edu.vn... (Preshared-Key, Kerberos Certification) IP Security - tt IKE – Main Mode 13 duyn@uit.edu.vn IP Security - tt IKE – Main Mode 14 duyn@uit.edu.vn IP Security - tt IKE – Main Mode 15 duyn@uit.edu.vn... Identity spoofing (IP address spoofing) Ø Denial-of-service attack Ø Man-in-the-middle attack Ø IP Security – tt Tại cần sử dụng IP Security duyn@uit.edu.vn Ø Eavesdropping Ø Ø Data