Bài giảng An toàn máy tính - Bài 7: Một số giao thức bảo mật mạng cung cấp cho người học các kiến thức: Vị trí của mật mã trong mạng máy tính, cơ sở hạ tầng khóa công khai, IPsec, SSL/TLS, PGP và S/MIME, Kerberos, SSH. Mời các bạn cùng tham khảo nội dung chi tiết.
BÀI MỘT SỐ GIAO THỨC BẢO MẬT MẠNG NỘI DUNG BÀI HỌC Vị trí mật mã mạng máy tính Cơ sở hạ tầng khố cơng khai IPsec SSL/TLS PGP S/MIME Kerberos SSH Bài tập ATMMT - TNNQ Vị trí mật mã mạng máy tính Tổng quan Việc sử dụng mật mã mạng máy tính nhằm xây dựng giao thức bảo mật mạng: – Giải thuật mã hoá khoá đối xứng – Giải thuật mã hố khố cơng khai – Giải thuật sinh khoá trao đổi khoá – Hàm băm – Giải thuật chứng thực – Chữ ký số – Cơ sở hạ tầng khố cơng khai ATMMT - TNNQ Vị trí mật mã mạng máy tính Tổng quan Để bảo vệ truyền thơng mạng, triển khai giải thuật mã hóa lớp kiến trúc mạng Sử dụng giải thuật mã hóa lớp khác cung cấp mức độ bảo vệ khác Các giao thức bảo mật mạng ứng dụng thực tế: – Tầng mạng: Cơ sở hạ tầng khố cơng khai (PKI) X.509, giao thức IP security (IPsec) – Tầng vận chuyển: giao thức Secure Sockets Layer/Transport Layer Security (SSL/TLS) – Tầng ứng dụng: Pretty Good Privacy (PGP), Secure/ Multipurpose Internet Mail Extension (S/MIME), Kerberos, Secure Shell (SSH) ATMMT - TNNQ Vị trí mật mã mạng máy tính Sự tương ứng kiến trúc TCP/IP mơ hình OSI ATMMT - TNNQ Vị trí mật mã mạng máy tính Sự đóng gói mã hố liệu lớp mạng Mã hoá lớp ứng dụng (Application Layer): – Bảo mật end-to-end – Dữ liệu mã hoá chứng thực lớp tiếp tục qua lớp khác liệu bình thường (khơng cần giải mã kiểm tra) – TCP header IP header không mã hố (do nằm lớp dưới) attacker phân tích sửa đổi nội dung – VD: Malice thay đổi địa IP đích IP header để phân phối gói tin cho người khác ATMMT - TNNQ Vị trí mật mã mạng máy tính Sự đóng gói mã hố liệu lớp mạng Mã hoá lớp vận chuyển (Transport Layer): – Nhằm cung cấp an tồn cho gói TCP – Có thể mã hố chứng thực cho phần payload gói tin TCP (mã hoá header payload) – Việc mã hố khơng ảnh hưởng đến liệu nhận từ lớp ứng dụng – IP header không mã hố attacker thu giá trị sequence number sử dụng chúng để công ATMMT - TNNQ Vị trí mật mã mạng máy tính Sự đóng gói mã hố liệu lớp mạng Mã hoá lớp mạng (Network Layer): – Bảo mật link-to-link – Mã hoá chứng thực phần payload gói IP – Không ảnh hưởng đến chức định tuyến – Được xem ứng dụng tunnelmode ATMMT - TNNQ Vị trí mật mã mạng máy tính Sự đóng gói mã hố liệu lớp mạng Mã hoá lớp liên kết liệu (Data-Link Layer): – Cung cấp bảo mật cho frames – Thực mã hoá chứng thực cho Payload frame – Việc phân tích traffic frame mã hố khơng thu nhiều thơng tin attacker – Việc mã hố lớp liên kết liệu giới thiệu (Bảo mật mạng không dây) ATMMT - TNNQ Vị trí mật mã mạng máy tính Các giải thuật mã hố phần cứng phần mềm Các giải thuật mã hố thực phần mềm phần cứng sử dụng cơng nghệ vi mạch tích hợp ứng dụng (Application Specific Integrated Circuit – ASIC) – Tại lớp ứng dụng: thực phần mềm – Tại lớp liên kết liệu: thực phần cứng – Tại lớp khác: thực phần mềm phần cứng hai – Việc triển khai mã hoá thực phần cứng có hiệu suất cao chi phí cao linh hoạt cần thay đổi ATMMT - TNNQ 10 Kerberos Mô tả phiên giao dịch Khi nhận gói tin C D, TGS giải mã D gửi gói tin sau tới người sử dụng: Gói tin E: "Vé" (bao gồm danh người sử dụng, địa mạng người sử dụng, thời hạn sử dụng "Khóa phiên máy chủ/máy khách") mật mã hóa với khóa bí mật máy chủ cung cấp dịch vụ Gói tin F: "Khóa phiên máy chủ/máy khách" mật mã hóa với "Khóa phiên TGS/máy khách" ATMMT - TNNQ 90 Kerberos Mô tả phiên giao dịch Khi nhận gói tin E F, người sử dụng có đủ thơng tin để nhận thực với máy chủ cung cấp dịch vụ SS Máy khách gửi tới SS gói tin: Gói tin E thu từ bước trước (trong có "Khóa phiên máy chủ/máy khách" mật mã hóa với khóa bí mật SS) Gói tin G: phần nhận thực mới, bao gồm danh người sử dụng, thời điểm yêu cầu mật mã hóa với "Khóa phiên máy chủ/máy khách" ATMMT - TNNQ 91 Kerberos Mô tả phiên giao dịch SS giải mã "Vé" khóa bí mật gửi gói tin sau tới người sử dụng để xác nhận định danh khẳng định đồng ý cung cấp dịch vụ: Gói tin H: Thời điểm gói tin yêu cầu dịch vụ cộng thêm 1, mật mã hóa với "Khóa phiên máy chủ/máy khách" 10.Máy khách giải mã gói tin xác nhận kiểm tra thời gian có cập nhật xác Nếu người sử dụng tin tưởng vào máy chủ SS bắt đầu gửi yêu cầu sử dụng dịch vụ 11.Máy chủ cung cấp dịch vụ cho người sử dụng ATMMT - TNNQ 92 Kerberos Mô tả phiên giao dịch ATMMT - TNNQ 93 SSH Tổng quan Telnet, rlogin, rsh, rcp, FTP giao thức lớp ứng dụng phổ biến giúp người dùng đăng nhập vào máy tính từ xa truyền file máy tính mạng Tuy nhiên, giao thức truyền tải liệu thơ mà khơng có bảo vệ nào, nên dễ bị đánh cắp mật khẩu, nghe trộm, giả mạo IP, loại công khác Năm 1995, nhà nghiên cứu người Phần Lan Tatu Ylonen đưa giải thuật Secure Shell (SSH) để bảo vệ việc đăng nhập từ xa công bảo mật ATMMT - TNNQ 94 SSH Tổng quan SSH định nghĩa RFC 4251 SSH sử dụng cổng TCP 22 SSH hoạt động flatform khác nhau: – Kết nối đến máy chủ SSH router Cisco từ máy khách chạy Windows – Kết nối đến máy chủ Linux từ router Cisco hay kết nối đến máy chủ Windows 2008 từ máy khách sử dụng hệ điều hành Linux ATMMT - TNNQ 95 SSH Tổng quan SSH tạo kết nối bảo mật hai máy tính sử dụng giải thuật mã hố chứng thực Có khả nén liệu, bảo mật cho liệu truyền (SFTP) chép file (SCP) Là giao thức ứng dụng client-server SSH chia thành lớp lớp ứng dụng mơ hình mạng TCP/IP: – Connection Layer – User Authentication Layer – Transport Layer ATMMT - TNNQ 96 SSH Tổng quan ATMMT - TNNQ 97 SSH Cách thức hoạt động SSH thực qua bước: Định danh host: – Việc định danh host thực qua việc trao đổi khố Mỗi máy tính có hỗ trợ kiểu truyền thơng SSH có khố định danh Khoá gồm hai thành phần: khố riêng khố cơng khai Khố cơng khai sử dụng cần trao đổi máy chủ với phiên làm việc SSH, liệu mã hố khố cơng khai giải mã khoá riêng ATMMT - TNNQ 98 SSH Cách thức hoạt động SSH thực qua bước: Định danh host: – Khi hai hệ thống bắt đầu phiên làm việc SSH, máy chủ gửi khố cơng khai cho máy khách Máy khách sinh khoá phiên ngẫu nhiên mã hố khố khố cơng cộng máy chủ, sau gửi lại cho máy chủ Máy chủ giải mã khoá phiên khoá riêng nhận khố phiên Khố phiên khoá sử dụng để trao đổi liệu hai máy Quá trình xem bước nhận diện máy chủ máy khách ATMMT - TNNQ 99 SSH Cách thức hoạt động ATMMT - TNNQ 100 SSH Cách thức hoạt động SSH thực qua bước: Mã hoá: – Sau hoàn tất việc thiết lập phiên làm việc bảo mật (trao đổi khố, định danh), q trình trao đổi liệu diễn thông qua bước trung gian mã hố/giải mã Dữ liệu gửi/nhận đường truyền mã hoá giải mã theo chế thoả thuận trước máy chủ máy khách – Việc lựa chọn chế mã hoá thường máy khách định Các chế mã hoá thường chọn bao gồm: 3DES, IDEA, Blowfish Khi chế mã hoá lựa chọn, máy chủ máy khách trao đổi khoá mã hoá cho ATMMT - TNNQ 101 SSH Cách thức hoạt động SSH thực qua bước: Chứng thực: – Mỗi định danh truy nhập người sử dụng cung cấp theo nhiều cách khác Chẳng hạn, kiểu chứng thực rhosts sử dụng, khơng phải mặc định; đơn giản kiểm tra định danh máy khách liệt kê file rhost (theo DNS địa IP) – Việc chứng thực mật cách thơng dụng để định danh người sử dụng, ngồi có cách khác: chứng thực RSA, sử dụng ssh-keygen ssh-agent để chứng thực cặp khoá ATMMT - TNNQ 102 Bài tập Trình bày chế Anti-Replay giao thức AH IPsec Nêu ứng dụng Ipsec Replay attack gì? Sử dụng ví dụ để trình bày chi tiết chế hoạt động SSL Mô tả chi tiết hoạt động giao thức SSH ATMMT - TNNQ 103 Bài tập 10 Nêu khác biệt transport mode tunnel mode Cài đặt VPN dựa IPSec Nêu yêu cầu cần thiết triển khai Kerberos Xây dựng hệ thống PKI hệ điều hành Windows Xây dựng bảng tổng hợp vai trò, cơng dụng, đặc điểm… giao thức nêu ATMMT - TNNQ 104 ... DUNG BÀI HỌC Vị trí mật mã mạng máy tính Cơ sở hạ tầng khố công khai IPsec SSL/TLS PGP S/MIME Kerberos SSH Bài tập ATMMT - TNNQ Vị trí mật mã mạng máy tính Tổng quan Việc sử dụng mật mã mạng máy. .. trình trao đổi ATMMT - TNNQ 11 Cơ sở hạ tầng khố cơng khai Tổng quan ATMMT - TNNQ 12 Cơ sở hạ tầng khố cơng khai Tổng quan ATMMT - TNNQ 13 Cơ sở hạ tầng khố cơng khai Tổng quan Thông thường, PKI... mạng máy tính Sự tương ứng kiến trúc TCP/IP mơ hình OSI ATMMT - TNNQ Vị trí mật mã mạng máy tính Sự đóng gói mã hoá liệu lớp mạng Mã hoá lớp ứng dụng (Application Layer): – Bảo mật end-to-end