Bài giảng Mạng máy tính - Nguyễn Thái Dư. Trong bài giảng này giúp người học nắm bắt được những kiến thức về lịch sử và định nghĩa mạng máy tính, phân biệt các loại mạng, phân biệt mạng LAN - WAN, mô hình phân tầng OSI (Open System Interconnection) của ISO (International Orgnization for Standardization), một số bộ giao thức kết nối mạng.
TÀI LIỆU THAM KHẢO TRƯỜ TRƯỜNG ĐẠ ĐẠI HỌ HỌC AN GIANG KHOA KỸ KỸ THUẬ THUẬT- CÔNG NGHỆ NGHỆ - MƠI TRƯỜ TRƯỜNG MẠNG MÁY TÍNH Giảng viên phụ trách: NGUYỄN THÁI DƯ Bộ môn Tin học email: ntdu@agu.edu.vn Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 1 NỘI DUNG Lê Hoài Nghĩa, Giáo trình mạng bản, NXB ĐHQG Tp Hồ Chí Minh, 2005 Nguyễn Thúc Hải, Mạng máy tính hệ thống mở NXB Giáo dục, 2004 Andrew S Tanenbaum, Computer Networks, Third Edition, Prentice - Hall, 2001 Ngơ Bá Hùng, Mạng máy tính, ĐH Cần Thơ, 2005 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Kiến thức mạng máy tính Tổng quan mạng máy tính Lịch sử định nghĩa mạng máy tính Các thành phần mạng máy tính Phân biệt loại mạng Tầng vật lý (Physical Layer) Phân biệt mạng LAN- WAN Tầng Liên kết liệu (Data Link Layer) Tầng điều khiển truy cập (Medium Access SubLayer) Mơ hình phân tầng OSI (Open Systems Interconnection) ISO (International Orgnization for Standardization) Tầng mạng (Network layer) Một số giao thức kết nối mạng Tầng giao vận (Transport Layer) Tầng ứng dụng (Application Layer) Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Mục tiêu mạng MT Lịch sử Mạng “vụng trộm”: Phương thức chủ yếu để chia sẻ liệu trước mạng máy tính thực thụ đời Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Các máy tính kết nối thành mạng nhằm hướng tới mục tiêu sau: Làm cho tài nguyên trở nên có giá trị cao (thiết bị, chương trình, liệu ) Tăng độ tin cậy hệ thống nhờ khả thay xảy cố máy tính tỷ lệ giá thành máy tính chi phí truyền tin giảm Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Định nghĩa mạng máy tính Định nghĩa mạng máy tính Ở khái niệm mạng bao gồm hai máy tính nối với cáp mạng máy tính Sự hình thành mạng máy tính phát sinh từ nhu cầu chia sẻ dùng chung tài nguyên Cách tổ chức mạng chủ yếu để chia sẻ dùng chung tài nguyên giao tiếp trực tuyến Mạng cịn cho phép người sử dụng chung phiên ứng dụng Đường truyền vật lý: dùng để chuyển tín hiệu điện tử máy tính Các đặc trưng đường truyền vật lý: Băng thông Thông lượng Độ suy hao Độ nhiễu điện từ Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Định nghĩa mạng máy tính Định nghĩa mạng máy tính Băng thơng: độ đo phạm vi tần số mà đáp ứng được, giải thông cáp truyền phụ thuộc vào độ dài cáp Thông lượng: tốc độ truyền liệu đường truyền thường tính số lượng bít truyền giây (bps) Độ suy hao Kiến trúc mạng máy tính: Thể cách nối máy tính với tập quy tắc, quy ước mà tất thực thể tham gia truyền thông mạng phải tuân theo để mạng hoạt động tốt Cách nối máy tính gọi hình trạng (topology) mạng, tập quy tắc, quy ước truyền thông gọi giao thức (protocol) Topology mạng: Giao thức (protocol) Độ nhiễu điện từ Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Định nghĩa mạng máy tính Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 10 Ba yếu tố để định triển khai mạng máy tính Topology mạng: có hai loại chủ yếu point-point quảng bá (broadcast hay point to multipoint) Giao thức (protocol): Tập hợp quy tắc, quy ước khuôn dạng liệu, thủ tục gửi - nhận liệu gọi giao thức Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 11 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 12 Sự cần thiết mơ hình truyền thơng chuẩn hố Sự cần thiết mơ hình truyền thơng chuẩn hố Giao thức – chồng giao thức Giao thức nguyên tắc, thủ tục điều khiển giao tiếp tương tác máy tính kết nối với Chồng giao thức kết hợp giao thức Chồng giao thức có kiến trúc phân tầng: tầng đảm trách chức hệ thống q trình truyền thơng Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 13 Nhiều hãng khác phát triển mơ hình truyền thơng riêng với chồng giao thức riêng Mơ hình truyền thơng chuẩn hố cho phép kết nối liên mạng máy tính nhiều hãng khác Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 14 Sử dụng mạng máy tính Chuẩn hóa tổ chức chuẩn hóa quốc tế Chuẩn hóa Các văn thống thỏa thuận với nội dung xác định đặc tính kỹ thuật tiêu chuẩn tỉ mỉ, xác yêu cầu sản phẩm dịch vụ phải thiết kế thực theo Nhiều nhà sản xuất sử dụng tiêu chuẩn để khẳng định sản phẩm, qui trình dịch vụ phù hợp với mong muốn (đề xuất) họ Các tổ chức chuẩn hóa quốc tế uy tín: ANSI, EIA, IEEE, ITU ISO Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Mơ hình phân tầng 15 • Mạng doanh nghiệp • Mạng đời sống người • Mạng Người dùng di động • Mạng vấn đề xã hội Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 16 Mạng doanh nghiệp Mạng doanh nghiệp (tt) Mơ hình Client-Server Một Mạng máy tính với clients/users server Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 17 Ứng dụng mạng đời sống người (tt) Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 18 Ứng dụng mạng đời sống người (tt) Một vài hình thức e-commerce Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 19 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 20 Ví dụ số mạng Mạng ARPANET Mạng Internet 1960, Bộ Quốc phịng Mỹ (DoD) muốn có mạng thống lĩnh kiểm sốt chịu qua chiến tranh nguyên tử Mạng kết nối có định hướng : X.25, Frame Relay, and ATM ARPA (Advanced Research Projects Agency) sau gọi DARPA giao thực Ethernet Wireless LANs: 802:11 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 21 Internet Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 22 Kiến trúc Internet Ứng dụng truyền thống (1970 – 1990) E-mail News Remote login File transfer Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 23 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 24 Ethernet Wireless LANs Kiến trúc Ethernet nguyên thủy Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 25 Wireless LANs (2) 26 Wireless LANs (3) Có thể có vùng khơng thuộc vùng phủ sóng Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Một mạng multicell 802.11 network 27 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 28 IEEE 802 Standards Phần cứng mạng Mạng cục (Local Area Networks- LAN) Mạng đô thị (Metropolitan Area Networks - MAN) Mạng diện rộng (Wide Area Networks - WAN) Mạng khơng dây (Wireless Networks) Mạng gia đình (Home Networks) Liên mạng (Internetworks) Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 29 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 30 Phân biệt mạng máy tính theo vùng địa lý Phân biệt loại mạng Một số tiêu chí thường dùng để phân loại mạng máy tính: Mạng tồn cầu - GAN (Global Area Network) Phân loại mạng máy tính theo vùng địa lý Phân loại mạng máy tính theo tơpơ Phân loại mạng máy tính theo chức Mạng diện rộng - WAN (Wide Area Network) Phân loại mạng theo kỹ thuật chuyển mạch Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 31 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 32 Phân biệt mạng máy tính theo vùng địa lý Mạng quảng bá (Broadcast Networks) Mạng đô thị - MAN (Metropolitan Area Network) Các công nghệ truyền Liên kết quảng bá Liên kết Point-to-point Mạng cục - LAN (Local Area Network Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 33 Mạng quảng bá (Broadcast Networks) (tt) 34 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Mạng cục (LAN) Phân loại dựa vào khoảng cách Hai mạng quảng bá: Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 35 (a) Bus Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang (b) Ring 36 Mạng đô thị (MAN) Mạng diện rộng (WAN) Mạng đô thị dựa cable TV Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Liên hệ Host với mạng (subnet) 37 Mạng diện rộng (WAN) (tt) Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 38 Phân biệt mạng máy tính theo topology Dịng gói từ Sender đến Receiver Mạng dạng hình (star topology) Mạng dạng hình tuyến (bus topology) Mạng dạng vịng (ring topology) Mạng dạng hình kết hợp Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 39 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 40 Chức giao thức Chức giao thức Đóng gói Phân đoạn hợp lại Điều khiển liên kết Giám sát Đồng hoá Địa hoá Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Đóng gói: Việc thêm thơng tin điều khiển vào gói liệu gọi q trình đóng gói (Encapsulation) Bên thu thực ngược lại, thơng tin điều khiển gỡ bỏ gói tin chuyển từ tầng lên tầng 41 Chức giao thức 42 Chức giao thức Phân đoạn hợp lại: Các giao thức tầng thấp cần phải cắt liệu thành gói có kích thước quy định Q trình gọi trình phân đoạn Ngược với trình phân đoạn bên phát trình hợp lại bên thu Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 43 Điều khiển liên kết: Trao đổi thông tin thực thể thực theo hai phương thức: hướng liên kết (Connection - Oriented) không liên kết (Connectionless) Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 44 Chức giao thức Chức giao thức Giám sát: Các gói tin PDU lưu chuyển độc lập theo đường khác nhau, đến đích khơng theo thứ tự phát Đồng hoá: Hai thực thể truyền thông giao thức cần phải đồng thời trạng thái xác định Ví dụ trạng thái khởi tạo, điểm kiểm tra huỷ bỏ, gọi đồng hoá Mỗi PDU có mã tập hợp đăng ký theo Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 45 Chức giao thức Địa hoá: Hai thực thể truyền thơng với nhau, cần phải nhận dạng Trong mạng quảng bá, thực thể phải nhận dạng định danh gói tin Trong mạng chuyển mạch, mạng cần nhận biết thực thể đích để định tuyến liệu trước thiết lập kết nối Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 47 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 46 TRƯỜ TRƯỜNG ĐẠ ĐẠI HỌ HỌC AN GIANG KHOA KỸ KỸ THUẬ THUẬT- CÔNG NGHỆ NGHỆ - MÔI TRƯỜ TRƯỜNG An ninh truyền tin người-người -Kẻ trộm không hiểu nội dung -Thông điệp không bị sửa đổi -Gửi địa -… -Ăn trộm -Sửa đổi -Huỷ bỏ -… MẠNG MÁY TÍNH Giảng viên phụ trách: NGUYỄN THÁI DƯ Bộ môn Tin học email: ntdu@agu.edu.vn Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang ?????? "Thần tốc, thần tốc Táo bạo, táo bạo Tranh thủ giờ, phút, xốc tới mặt trận, giải phóng miền Nam, chiến tồn thắng" 1 Tổng quan an ninh mạng Tổng quan an ninh mạng An tồn mạng gì? Mục tiêu việc kết nối mạng? Do nhiều người sử dụng, phân tán mặt địa lý -> việc bảo vệ tài nguyên thông tin mạng, tránh mát, xâm phạm cần thiết cấp bách An toàn mạng: cách bảo vệ, đảm bảo an toàn cho tất thành phần mạng bao gồm liệu, thiết bị, sở hạ tầng mạng đảm bảo tài nguyên mạng sử dụng tương ứng với sách hoạt động ấn định với người có thẩm quyền tương ứng Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang An tồn mạng bao gồm: Xác định xác khả năng, nguy xâm phạm mạng, cố rủi ro thiết bị, liệu mạng Đánh giá nguy công Hacker đến mạng, phát tán virus X/đ xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống thành phần mạng Đánh giá nguy cơ, lỗ hổng X/đ nguy ăn cắp, phá hoại máy tính, thiết bị, nguy virus, bọ gián điệp , nguy xoá, phá hoại CSDL, ăn cắp mật khẩu, nguy hoạt động hệ thống nghẽn mạng, nhiễu điện tử Sử dụng hiệu công cụ bảo mật (ví dụ Firewall ) biện pháp, sách cụ thể chặt chẽ Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang CHƯƠNG AN TỒN MẠNG MÁY TÍNH Truyền tin an tồn mạng máy tính An tồn mạng u cầu Mã hoá (cryptography) Chứng thực (authentication) Tính liêm nguyên vẹn (integrity) Key Distribution and Certification Kiểm soát truy cập (access control): firewalls Tấn công mạng (network attacks) Alice, Bob, Trudy: máy tính cụ thể, dịch vụ cụ thể (web, mail, DNS, bank…) Bob, Alice muốn “trò chuyện” bí mật; nạn nhân (victim) Trudy (Alice’s boyfriend) (Bob’s girlfriend) (Kẻ phá hoại) Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Các yêu cầu an tồn truyền tin Mã hố (cryptography) Bí mật (confidentiality): msg truyền có sender (sndr) receiver (rcvr) hiểu sndr mã hoá msg rcvr giải mã msg Chứng thực (authentication): đảm bảo sndr rcvr trao đổi thông tin với đối tượng (khơng bị giả mạo) Tính liêm nguyên vẹn (integrity): msg nhận không bị sửa đổi bị sửa đổi phải phát được; msg phải đảm bảo đến từ sndr Kiểm soát truy cập (access control): kiểm soát truy nhập dịch vụ (firewalls) dịch vụ sẵn sàng với người dùng hợp lệ Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Mã hoá (encryption): chuyển msg thành dạng khác mà có sndr rcvr hiểu cách giải mã (decryption) Khố (key): thơng tin sử dụng để mã hoá hay giải mã Khoá đối xứng (symmetric); khoá chia sẻ (shared): sndr rcvr biết Khố cơng khai (public): khố dùng để mã hố công khai Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang SKC: DES Mã hoá hoá đối xứng (SKC - Symmetric Key Cryptography) Mã Caesar: thay ký tự msg ký tự đứng sau k vị trí Vd: k=1 b, bÅc,…,zÅa Dễ mã hoá hoá/giả /giải mã Phương pháp (substitution): Dễ phá phá mã??? mã??? thay ký tự theo bảng thay mã Caecar trường hợp đặc biệt Ví dụ: Bảng Msg plaintext: bob i love you alice ciphertext: nkn s gktc wky mgsbc Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Public Key Cryptography (PKC) DES: Data Encryption Standard Đưa NIST (National Institute of Standard and Technology, US) Khoá (key) số nhị phân 56-bit; liệu (data) số nhị phân 64-bit Mức độ an toàn DES: RSA Inc 1997, msg = “Strong cryptography makes the world a safer place” , khoá 56-bit giải mã brute-force: tháng Tăng độ an toàn DES: cipher-block chaining: đầu 64-bit thứ j XOR với 64-bit vào mã hoá nhiều lần liên tiếp (3 lần Æ triple-DES: 3DES) Advanced Encryption Standard (AES): – NIST cải tiến DES, 2001; Khoá: 128, 256, 512-bit; – brute-force: 149 nghìn tỷ (trillion) năm giây để giải mã DES 56-bit key Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 10 PKC (cont) Sử dụng khoá đối xứng (SKC): khoá mã khoá giải mã giống (khố bí mật) sndr rcvr cần phải thoả thuận trước khố bí mật khố dùng chung gửi qua mạng có khả bị “ăn cắp” Mã hố sử dụng khố cơng khai: bên (sndr, rcvr) sử dụng cặp khoá (khoá mã khoá giải mã) khố mã cơng khai (PK - public key) khố giải mã bí mật (SK - secret key; sndr khơng cần biết khố rcvr) sndr khơng cần biết khố bí mật rcvr Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 11 KB+ : khố cơng khai (khố mã) Bob KB- : khố bí mật (khoá giải mã) Bob Alice cần biết KB+ để mã hố thơng điệp m Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 12 PKC (cont) Chứng thực Mục đích chứng thực đảm bảo chắn đối phương không bị giả mạo Authentication Protocol – ap (textbook #1) ap1.0: Alice say “I’m Alice” Yêu cầu PKC: Cần có hai “hàm” KB+ ( ) KB- ( ) cho: m = KB- (KB+ ( m)) “Khơng thể” tìm KB- biết KB+ Ví dụ: RSA (Rivest, Shamir, Adelson) algorithm Khố cơng khai khố bí mật cặp số nguyên 13 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Authentication: ap2.0 Failed Bob khơng “nhìn thấy” Alice mạng máy tính (# đời thực) 14 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Authentication: ap3.0 Failed Failed Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 15 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 16 Authentication: ap3.1 Authentication: ap4.0 Alice gửi kèm password mã hoá (encrypted password) để chứng minh Trudy có khả “nghe” password mã hố Alice, khơng biết password !!! Tuy nhiên, Trudy chẳng cần biết password Alice làm gì, cần password mã hố đủ Alice’s encryppted “I’m Alice” IP addr password Alice’s IP addr OK Nonce: số ngẫu nhiên Bob sử dụng để “chứng thực” Alice Mỗi lần cần chứng thực, Bob tạo nonce gửi cho Alice, yêu cầu Alice mã hố (sử dụng khố bí mật chung KA-B) gửi lại Bob kiểm tra xem Alice mã hố có khơng? để chứng thực Trudy ghi lại khơng thể dùng lại nonce khác với lần chứng thực Nhược điểm: khố bí mật; liệu sử dụng khố cơng khai??? Alice’s encrypted “I’m Alice” IP addr password Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 17 Authentication: ap5.0 18 ap5.0: lỗ hổng (security hole) Trudy giả mạo Alice Alice Bob phát việc giả mạo sau thời gian (lần “nói chuyện” sau, thực tế lần trước Alice bị giả mạo) Sử dụng nounce mã hố cơng khai Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 19 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 20 Lỗ hổng ap5.0: man-in-the-middle attack Tính liêm nguyên vẹn (integrity) Trudy đứng giữa, giả mạo Bob với Alice giả mạo Alice với Bob Rất khó phát Trudy ln nhận giả mạo thông điệp Giải pháp: Key Distribution Center Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Để đảm bảo liệu nguyên vẹn, sử dụng phương pháp kiểm soát lỗi (checksum, CRC…) Để kiểm tra liệu nhận đến từ sndr cụ thể đó, sử dụng chữ ký điện tử (chữ ký số - digital signature) Chữ ký thông thường: giống với msg Chữ ký điện tử: phải khác với msg khác 21 Simple digital signature 22 Key Distribution and Certification Bob sử dụng KB- để mã hố msg m Ỉ KB-(m) Alice nhận KB-(m), kiểm tra KB+ (KB-(m)) = m để xác nhận Bob Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 23 Mã đối xứng: Làm để Bob Alice thoả thuận khoá bí mật? Giải pháp: Trusted Key Distribution Center (KDC) đóng vai trị trung gian KDC tạo khố bí mật cho user đăng ký Mã cơng khai: Khi Bob nhận khố cơng khai Alice Làm biết xác khố cơng khai Alice mà khơng phải Trudy? Giải pháp: Trusted Certification Authorities (CA) CA gán khố cơng khai cho user Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 24 KDC KA-KDC CA KA-KDC KB-KDC KB-KDC ? KT-KDC KT-KDC Mỗi user đăng ký khố cơng khai với CA Mỗi Bob cần khố cơng khai Alice khơng hỏi Alice mà hỏi CA Lấy certificate Alice Sử dụng CA’s public key để giải mã Ỉ Alice public key Alice, Bob (thậm chí Trudy, đăng ký) có khố bí mật dùng để liên lạc với KDC: KA-KDC, KB-KDC Bob Alice sử dụng R1 làm session key (KDC generate R1) Trudy biết R1 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 25 Các đặc trưng kỹ thuật an toàn mạng 26 Các đặc trưng kỹ thuật an toàn mạng Xác thực (Authentification) Tính khả dụng (Availability) Tính bảo mật (Confidentialy) Tính tồn vẹn (Integrity) Tính khống chế (Accountlability) Tính khơng thể chối cãi (Nonreputation) Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Xác thực (Authentification) Kiểm tra tính xác thực thực thể giao tiếp mạng Phải thực kiểm tra tính xác thực thực thể trước thực thể thực kết nối với hệ thống 27 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 28 Các đặc trưng kỹ thuật an toàn mạng Các đặc trưng kỹ thuật an toàn mạng Cơ chế kiểm tra tính xác thực dựa vào mơ hình: Đối tượng cần kiểm tra cần phải cung cấp thông tin trước (Password, PIN -Personal Information Number) Kiểm tra dựa vào mơ hình thơng tin có (Private Key, số thẻ tín dụng) Kiểm tra dựa vào mơ hình thơng tin xác định tính (thơng qua giọng nói, dấu vân tay, chữ ký ) Có thể phân loại bảo mật VPN: mật truyền thống, mật lần; xác thực thông qua giao thức (PAP, CHAP…) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, qt võng mạc ) Tính khả dụng (Availability) Các thực thể hợp pháp tiếp cận sử dụng theo yêu cầu, cần thiết nào, hoàn cảnh Dùng tỷ lệ thời gian hệ thống sử dụng bình thường với thời gian trình hoạt động để đánh giá Tính khả dụng cần đáp ứng yêu cầu: Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 29 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 30 Các đặc trưng kỹ thuật an toàn mạng Các đặc trưng kỹ thuật an tồn mạng Tính bảo mật (Confidentialy) Là đặc tính tin tức khơng bị tiết lộ cho thực thể hay q trình khơng uỷ quyền biết khơng đối tượng lợi dụng Kỹ thuật bảo mật? Tính tồn vẹn (Integrity): Là đặc tính thơng tin mạng chưa uỷ quyền khơng thể tiến hành biến đổi Những nhân tố chủ yếu ảnh hưởng tới toàn vẹn thông tin mạng? Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 31 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 32 Các đặc trưng kỹ thuật an toàn mạng Các đặc trưng kỹ thuật an toàn mạng Một số phương pháp bảo đảm tính tồn vẹn thơng tin? Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Tính khống chế (Accountlability): Là đặc tính lực khống chế truyền bá nội dung vốn có tin tức mạng Tính khơng thể chối cãi (Nonreputation): Trong trình giao lưu tin tức mạng, xác nhận tính chân thực đồng thực thể tham gia 33 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 34 Các lỗ hổng điểm yếu mạng Các lỗ hổng điểm yếu mạng Các lỗ hổng bảo mật hệ thống: Là điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng tồn dịch vụ Sendmail, Web,Ftp HĐH mạng Windows NT, Windows 95, UNIX; ứng dụng Các loại lỗ hổng bảo mật hệ thống chia sau: Lỗ hổng loại C: cho phép thực phương thức công theo kiểu từ chối dịch vụ DoS (Dinal of Services) Lỗ hổng loại B: cho phép người sử dụng có thêm quyền hệ thống mà khơng cần thực kiểm tra tính hợp lệ Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng cho thể truy nhập vào hệ thống bất hợp pháp Các phương thức công mạng: Kẻ phá hoại lợi dụng lỗ hổng để tạo lỗ hổng khác tạo thành chuỗi lỗ hổng Để xâm nhập vào hệ thống, kẻ phá hoại tìm lỗ hổng hệ thống, từ sách bảo mật, sử dụng cơng cụ dị xét (như SATAN, ISS) để đạt quyền truy nhập Sau xâm nhập, kẻ phá hoại tiếp tục tìm hiểu dịch vụ hệ thống, nắm bắt điểm yếu thực hành động phá hoại tinh vi Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 35 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 36 Các biện pháp phát hệ thống bị công Các biện pháp phát hệ thống bị công Kiểm tra dấu hiệu hệ thống bị công: Hệ thống thường bị treo bị Crash thơng báo lỗi khơng rõ ràng Khó xác định nguyên nhân thiếu thông tin liên quan Trước tiên, xác định nguyên nhân có phải phần cứng hay không, nghĩ đến khả máy bị công Kiểm tra tài khoản người dùng lạ, ID tài khoản không Kiểm tra xuất tập tin lạ Người quản trị hệ thống nên có thói quen đặt tên tập theo mẫu định để dễ dàng phát tập tin lạ, đặc biệt tập tin Scripts Kiểm tra thời gian thay đổi hệ thống, đặc biệt chương trình Login, Sh Scripts khởi động Kiểm tra hiệu hệ thống: Sử dụng tiện ích theo dõi tài nguyên tiến trình hoạt động hệ thống Ps Top Kiểm tra hoạt động dịch vụ hệ thống cung cấp: Một mục đích cơng làm cho tê liệt hệ thống (hình thức cơng DoS) Sử dụng lệnh Ps, Pstat, tiện ích mạng để phát nguyên nhân hệ thống Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 37 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 38 Các biện pháp phát hệ thống bị công Một số phương thức công mạng phổ biến Kiểm tra truy nhập hệ thống Account thông thường, đề phòng trường hợp Âccount bị truy nhập trái phép thay đổi quyền hạn mà người sử dụng hợp pháp khơng kiểm sốt Kiểm tra file liên quan đến cấu hình mạng dịch vụ /etc/inetd.conf; bỏ dịch vụ không cần thiết; dịch vụ không cần thiết chạy quyền Root khơng chạy quyền yếu hơn; ví dụ Fingerd chạy với quyền Nobody Kiểm tra phiên Sendmail, /bin/mail, ftp, fingerd; tham gia nhóm tin bảo mật để có thơng tin lỗ hổng dịch vụ sử dụng Scanner: Kẻ phá hoạt sử dụng chương trình Scanner tự động rà sốt phát điểm yếu lỗ hổng bảo mật Server xa Scanner chương trình trạm làm việc cục trạm xa Bẻ khoá (Password Cracker): chương trình có khả giải mã mật mã hố vơ hiệu hố chức bảo vệ mật hệ thống Trojans Sniffer: nghĩa đen ”đánh hơi” ”ngửi” Là cơng cụ (có thể phần cứng phần mềm) "tóm bắt" thơng tin lưu chuyển mạng để "đánh hơi" thơng tin có giá trị trao đổi mạng Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 39 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 40 Kiểm soát truy cập (access control): firewalls Firewall Firewall hệ thống dùng để tăng cường khống chế truy xuất, phịng ngừa đột nhập bên ngồi vào hệ thống sử dụng tài nguyên mạng cách phi pháp Firewall có chức lớn? Firewall: “Cửa” ra/vào mạng nội mạng Internet, làm nhiệm vụ ngăn cấm luồng liệu “bất hợp pháp” ra/vào Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 41 Ưu điểm nhược điểm tường lửa 42 Ưu điểm nhược điểm tường lửa Ưu điểm Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nhược điểm 43 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 44 Các mức firewalls Application gateway Firewall thực thi phần cứng (thiết bị mạng) hay phần mềm (phần mềm firewall) Hai mức: packet filtering (lọc gói, vd: router firewall) application gateway (che chắn-sceening) Packet filtering: Lọc gói tin ra/vào mạng src/dest IP addr TCP/UDP src/dest port number ICMP msg type TCP SYN and ACK bits (quản lý liên kết TCP) Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nhược điểm packet filtering không lọc liệu tầng ứng dụng không thiết lập đặc quyền cho vài người sử dụng số trường hợp (lọc gói tin) Application gateway: Lọc luồng liệu ứng dụng lọc luồng IP/UDP/TCP Một số firewalls: Windows XP Personal firewall Microsoft ISA server (đa chức năng) Checkpoint 45 46 Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Tấn công mạng (network attacks) Internet security threats: IP spoofing Mapping: trước công: phải xác định địa IP victim (ping …) dị tìm dịch vụ chạy (port scanning): thử thiết lập liên kết TCP gửi segment UDP “nghe ngóng” xem có chuyện xảy ra! nmap (http://www.insecure.org/nmap/) mapper: “network exploration and security auditing” Để phát mapping, quản trị mạng ghi lại luồng ra/vào, thống kê tìm dấu vết nghi ngờ (địa IP, port nhau) IP spoofing (giả mạo gói tin): tạo gói tin giả (thay đổi src addr) gửi rcvr khơng phát liệu gói tin có bị giả mạo khơng? Giải pháp: cấu hình router để khơng forward gói tin có src addr sai lệch (khơng khả thi với router) Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 47 C A src:B dest:A payload B Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 48 Internet security threats: DoS Something about Computer Viruses DoS (Denial of Service): công “từ chối dịch vụ”: hàng loạt requests (flood) gửi tới server server xử lý hết Æ tải, dịch vụ ngừng… DDoS (Distributed DoS): gói tin request gửi từ máy khác mạng (bị điều khiển attacker machine) Giải pháp: lọc gói tin flood (SYN packet); tìm src IP lọc gói tin Virus/Worm/Trojan/Backdoor…: chương trình có hại cho người dùng, có lợi cho “người khác” Virus mạng: Lan truyền qua mạng (Vd: Blaster) Cho phép điều khiển máy tính nạn nhân lệnh Chương trình virus Chương trình điều khiển VR phản hồi NET Victim Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 49 Attacker Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang 50 ... mạng máy tính: Mạng tồn cầu - GAN (Global Area Network) Phân loại mạng máy tính theo vùng địa lý Phân loại mạng máy tính theo tơpơ Phân loại mạng máy tính theo chức Mạng diện rộng -. .. xảy cố máy tính tỷ lệ giá thành máy tính chi phí truyền tin giảm Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Định nghĩa mạng máy tính Định nghĩa mạng máy tính Ở khái niệm mạng bao... hao Độ nhiễu điện từ Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Nguyễn Thái Dư, BM Tin học, Khoa KTCNMT, ĐH An Giang Định nghĩa mạng máy tính Định nghĩa mạng máy tính Băng thông: độ