Đang tải... (xem toàn văn)
Bài giảng Mạng máy tính - Chương 6: Bảo mật mạng trình bày các nguyên lý của bảo mật mạng như mật mã, chứng thực, tính toán vẹn, khóa phân bố; bảo mật trong thực tế.
CHƯƠNG 6: BẢO MẬT MẠNG • Hiểu nguyên lý bảo mật mạng: – mật mã – chứng thực – tính tồn vẹn – khóa phân bố • Bảo mật thực tế: – firewall – bảo mật lớp application, transport, network, data-link 190 Bảo mật mạng gì? Sự bảo mật: có người gửi, người nhận “hiểu” nội dung thông điệp – người gửi mã hóa thơng điệp – người nhận giải mã thông điệp Chứng thực: người gửi, người nhận xác định nhận Sự tồn vẹn thơng điệp: người gửi, người nhận muốn bảo đảm thông điệp không bị thay đổi (trên đường truyền sau nhận) Truy cập & tính sẵn sàng: dịch vụ phải có khả truy cập sẵn sàng user 191 Các đối tượng cần bảo mật • Trình duyệt Web/server cho giao dịch điện tử • Client/Server ngân hàng trực tuyến • DNS servers • Các router trao đổi thơng tin cập nhật bảng routing • v.v 192 Kẻ xấu làm việc gì? – nghe lén: ngăn chặn thơng điệp – kích hoạt chèn thông điệp vào kết nối – giả danh: giả mạo địa nguồn gói (hoặc trường đó) – cướp: “tiếp tục” kết nối hành thay người gửi người nhận họ – từ chối dịch vụ: dịch vụ bị người khác dùng (đồng nghĩa tải) – v.v 193 Các nguyên lý mã hóa văn gốc khóa mã K A Alice khóa mã K Bob B giải thuật văn mã hóa mã hóa giải thuật văn gốc giải mã Hacker khóa đối xứng: khóa bên gửi bên nhận giống khóa cơng cộng: khóa mã chung, khóa giải mã bí mật (riêng) 194 Mã hóa khóa đối xứng mật mã thay thế: thay thứ thành thứ khác – mã hóa ký tự đơn: thay ký tự văn gốc: abcdefghijklmnopqrstuvwxyz văn mã hóa: mnbvcxzasdfghjklpoiuytrewq ví dụ: văn gốc: Bob i love you Alice mã hóa thành: nko s gktc wky mgsbc • Bẻ khóa kiểu mã hóa đơn giản dễ khơng? brute force (khó nào?) khác? 195 Mã hóa khóa đối xứng: DES DES: Data Encryption Standard • Chuẩn mã hóa Hoa Kỳ [NIST 1993] • Khóa đối xứng 56-bit, văn gốc vào 64-bit • Bảo mật DES nào? – chưa có cách tiếp cận “backdoor-cửa sau” để giải mã • làm cho DES bảo mật hơn: – dùng khóa (3-DES) datum – dùng chế liên kết khối mã 196 Mã hóa khóa đối xứng: DES DES hoạt động • hốn vị • 16 vịng giống nhau, vịng dùng khóa 48 bit khác • hốn vị cuối 197 AES: Advanced Encryption Standard • Chuẩn NIST khóa đối xứng (tháng 112001) thay cho DES • Dữ liệu xử lý khối 128 bit • Các khóa 128, 192 256 bit • Giải mã brute force (thử sai) tốn 1s với DES, tốn 149 tỷ tỷ năm với AES 198 Mã hóa khóa cơng cộng khóa đối xứng • yêu cầu người gửi, người nhận phải biết khóa cơng cộng • Làm biết khóa cơng cộng lần (đặc biệt với người chưa gặp trước)? Mã hóa khóa cơng cộng tiếp cận khác hoàn toàn người gửi, người nhận khơng chia sẻ khóa cơng cộng khóa cơng cộng cho người biết khóa giải mã riêng có người nhận biết 199 Bảo mật e-mail Alice muốn gửi e-mail bí mật, m, đến Bob KS m KS( ) KS(m ) + KS + KB( ) KB+ KS(m ) Internet + KB(KS ) + KB(KS ) KS( ) m KS - KB ( ) KB- Alice: Bob: sinh khóa riêng đối xứng ngẫu dùng khóa riêng anh để giải nhiên, KS mã hóa thơng điệp với KS mã hóa KS với khóa công cộng Bob gửi KS(m) KB(KS) cho Bob mã phục hồi KS dùng KS để giải mã KS(m) phục hồi m 224 Bảo mật e-mail Alice muốn cung cấp toàn vẹn thông điệp chứng thực người gửi KA+ KA- m H( ) - KA( ) - - KA(H(m)) KA(H(m)) + Internet m + KA( ) - H(m ) compare m H( ) H(m ) Alice ký số thông điệp gửi thông điệp (dạng rõ ràng) chữ ký số 225 Bảo mật e-mail • Alice muốn cung cấp tồn vẹn thơng điệp chứng thực người gửi bí mật KA- m H( ) - - KA(H(m)) KA( ) + KS KS( ) + m KS + KB( ) K+ B Internet + KB(KS ) Alice dùng khóa: khóa riêng ấy, khóa cơng cộng Bob, khóa đối xứng vừa tạo 226 Pretty good privacy (PGP) • • • • Chuẩn thực tế để mã hóa Một thơng điệp ký PGP email Internet Dùng mã hóa khóa đối xứng, -BEGIN PGP SIGNED MESSAGE khóa cơng cộng, hàm băm Hash: SHA1 chữ ký số trình bày Bob:My husband is out of town trước tonight.Passionately yours, A Hỗ trợ đồng nhất, chứng thực -BEGIN PGP SIGNATURE người gửi, bí mật Version: PGP 5.0 Charset: noconv Người phát minh: Phil yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJ Zimmerman hFEvZP9t6n7G6m5Gw2 -END PGP SIGNATURE - 227 Secure sockets layer (SSL) • Bảo mật lớp transport với ứng dụng dựa TCP dùng dịch vụ SSL • Dùng trình duyệt Web, server thương mại điện tử • Các dịch vụ bảo mật: – Chứng thực server – Mã hóa liệu – Chứng thực client (tùy chọn) • Chứng thực server: – Trình duyệt cho phép SSL chứa khóa cơng cộng cho CA tin cậy – Trình duyệt yêu cầu chứng server, phát CA tin cậy – Trình duyệt dùng khóa cơng cộng CA để trích khóa cơng cộng server từ chứng • Kiểm tra trình duyệt bạn để thấy CA tin cậy 228 SSL (tt) Mã hóa phiên làm việc SSL : • SSL: sở IETF Transport Layer Security • Trình duyệt sinh khóa (TLS) phiên đối xứng, mã hóa với khóa cơng cộng • SSL dùng cho server, gửi khóa (đã mã hóa) ứng dụng khơng Web, cho server IMAP • Dùng khóa riêng, server giải • Chứng thực client mã khóa phiên hồn thành với chứng client • Trình duyệt, server biết khóa phiên – Tất liệu gửi vào TCP socket (do client server) mã hóa khóa phiên 229 IPSec: bảo mật lớp Network • • • Bảo mật lớp Network: • – host gửi mã hóa liệu IP datagram – đoạn TCP & UDP; thông điệp ICMP & SNMP • Chứng thực lớp Network: – host đích chứng thực • địa IP nguồn giao thức bản: – authentication header (AH) – encapsulation security payload (ESP) Với AH ESP, nguồn – đích bắt tay nhau: – tạo kênh logic lớp network gọi security association (SA) Mỗi SA theo chiều nhất xác định bởi: – giao thức bảo mật (AH ESP) – địa IP nguồn – ID kết nối 32-bit 230 Giao thức AH • Hỗ trợ chứng thực nguồn, tồn vẹn liệu, khơng tin cậy • AH header chèn vào IP header, trường liệu • Trường giao thức: 51 • Trung gian xử lý datagram bình thường IP header AH header AH header chứa: • Nhân dạng kết nối • Dữ liệu chứng thực: thơng điệp ký từ nguồn tính tốn dựa IP datagram gốc • Trường header kế tiếp: xác định kiểu liệu (vd: TCP, UDP, ICMP) liệu (vd: TCP, UDP, ICMP) 231 Giao thức ESP • Hỗ trợ tồn vẹn liệu, chứng thực host, tính bí mật • Mã hóa liệu, ESP trailer • Trường header nằm ESP trailer • Trường chứng thực ESP tương tự AH • Protocol = 50 chứng thực mã hóa ESP ESP IP header ESP TCP/UDP segment header trailer authent 232 Bảo mật IEEE 802.11 • Khảo sát: – 85% việc sử dụng mà khơng có mã hóa/chứng thực – Dễ dàng bị phát hiện/nghe ngóng nhiều loại cơng khác! • Bảo mật 802.11 – Mã hóa, chứng thực – Thử nghiệm bảo mật 802.11 Wired Equivalent Privacy (WEP): có thiếu sót – Thử nghiệm tại: 802.11i 233 Wired Equivalent Privacy (WEP): • Chứng thực giao thức ap4.0 – host yêu cầu chứng thực từ access point – access point gửi 128 bit – host mã hóa dùng khóa đối xứng chia sẻ – access point giải mã, chứng thực host • Khơng có chế phân bố khóa • Chứng thực: cần biết khóa chia sẻ 234 Wi-Fi Protected Access (WPA) • Hai cải tiến so với WEP: – Mã hóa liệu cải tiến thơng qua giao thức Temporal Key Integrity Protocol (TKIP) TKIP scrambles key sử dụng thuật tốn hashing đặc tính kiểm tra số ngun, đảm bảo Key không bị giả mạo – Chứng thực người dùng, thơng qua EAP • WPA tiêu chuẩn tạm thời mà thay với chuẩn IEEE 802.11i 235 802.11i: cải tiến bảo mật • Rất nhiều (và chắn hơn) dạng mã hóa • Hỗ trợ phân bố khóa • Dùng chứng thực server tách riêng khỏi AP 236 EAP: Extensible Authentication Protocol • EAP gửi “link” riêng biệt – mobile-đến-AP (EAP LAN) – AP đến server chứng thực (RADIUS UDP) wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE 802.11 RADIUS UDP/IP 237 TÀI LIỆU THAM KHẢO, ĐỊA CHỈ LIÊN LẠC • Giáo trình Mạng máy tính, KS Nguyễn Bình Dương, TS Đàm Quang Hồng Hải • Giáo trình hệ thống Mạng máy tính CCNA, Nguyễn Hồng Sơn • CCNA: Cisco Certified Network Associate – Study Guide, Todde Lammle - 2007 • Computer Networking: A Top Down Approach Featuring the Internet, 3rd edition Jim Kurose, Keith Ross 2004 • Computer Networks, 4th edition Andrew S Tanenbaum 2003 • Địa liên lạc: Trần Bá Nhiệm – Khoa Mạng máy tính & Truyền thơng – ĐH CNTT – 34 Trương Định, Q3, Tp.HCM Email: tranbanhiem@yahoo.com 238 ... xứng 56- bit, văn gốc vào 64 -bit • Bảo mật DES nào? – chưa có cách tiếp cận “backdoor-cửa sau” để giải mã • làm cho DES bảo mật hơn: – dùng khóa (3-DES) datum – dùng chế liên kết khối mã 1 96 Mã... gì? – nghe lén: ngăn chặn thơng điệp – kích hoạt chèn thơng điệp vào kết nối – giả danh: giả mạo địa nguồn gói (hoặc trường đó) – cướp: “tiếp tục” kết nối hành thay người gửi người nhận họ – từ... với gateway cơng – ví dụ: phải thiết lập địa IP proxy trình duyệt Web 2 16 Các loại cơng cách phịng chống Phương thức: – Trước cơng: hacker tìm hiểu dịch vụ thực/hoạt động mạng – Dùng ping để xác