Bài giảng Mạng máy tính: Bài 12 do ThS. Nguyễn Cao Đạt biên soạn trình bày về bảo mật mạng. Bài giảng giúp các bạn hiểu được các nguyên lý của bảo mật mạng và bảo mật mạng trong thực tế. Tài liệu hữu ích cho các bạn thuộc chuyên ngành Công nghệ Thông tin.
Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính Bài giảng Mạng máy tính ThS NGUYỄN CAO ĐẠT E-mail:dat@cse.hcmut.edu.vn Bài giảng 12: Bảo mật mạng Tham khảo: Chương 6: “Computer Networking – A top-down approach” Kurose & Ross, 5th ed., Addison Wesley, 2010 Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng Bảo mật Mạng Các mục tiêu: Hiểu rõ nguyên lý bảo mật mạng: mật mã học ứng dụng cho “sự bí mật” xác thực tồn vẹn thơng điệp Bảo mật thực tế: tường lửa hệ thống phát xâm nhập bảo mật tầng ứng dụng, truyền tải, mạng, liên kết Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng Mục lục Bảo mật mạng gì? Các nguyên lý mật mã Tồn vẹn thơng điệp Bảo vệ email Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa IDS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng Bảo mật mạng gì? Tính mật: có n/gửi, n/nhận chủ định “hiểu” nội dung thơng điệp n/gửi mã hóa thơng điệp n/nhận giải mã thông điệp Xác thực: n/gửi, n/nhận muốn xác nhận người mà nói chuyện Tồn vẹn thơng điệp: n/gửi, n/nhận muốn đảm bảo thơng điệp khơng bị thay đổi (trong q trình gửi, sau đó) mà khơng bị phát Khả truy cập tính sẵn sàng: dịch vụ phải ln truy cập sẵn sàng cho n/dùng Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng Bạn bè kẻ thù: Alice, Bob, Trudy phổ biến giới bảo mật mạng Bob, Alice (tình nhân!) muốn liên lạc “một cách bí mật” Trudy (ng xâm phạm) may chặn, xóa, thêm thơng điệp Alice Bob kênh liệu n/gửi an tồn liệu, thơng điệp điều khiển n/nhận an tồn liệu Trudy Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng Ai Bob, Alice? Những Bob Alice đời thực! Trình duyệt/máy chủ Web cho giao dịch điện tử (vd: mua bán on-line) máy chủ/khách thực tác vụ ngân hàng trực tuyến máy chủ DNS định tuyến trao đổi thông tin cập nhật bảng định tuyến ví dụ khác? Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng Ln có kẻ xấu mạng! H: Kẻ xấu làm gì? Đ: Rất nhiều! (xem chương 1) nghe lén: thông điệp chủ động chèn thông điệp vào kết nối giả danh: giả (lừa) địa nguồn gói tin (hoặc chiếm quyền(hijacking): “kiểm sốt” kết nối diễn cách trường gói) vơ hiệu vai trị n/gửi nhận, chèn thân ta vào từ chối dịch vụ: ngăn chặn việc cung cấp dịch vụ cho người dùng khác (vd: cách làm tải nhớ) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng Mục lục Bảo mật mạng gì? Các nguyên lý mật mã Tồn vẹn thơng điệp Bảo vệ email Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa IDS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng Ngôn ngữ mật mã học khóa K mã hóa A Alice văn thơ giải thuật mã hóa văn mã hóa khóa K giải mã B Bob giải thuật giải mã văn thô m thông điệp văn thô KA(m) văn mã hóa, mã khóa với khóa KA m = KB(KA(m)) Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 10 Mục lục Bảo mật mạng gì? Các ngun lý mật mã Tồn vẹn thơng điệp Bảo vệ E-mail Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa IDS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 33 Bảo mật E-mail Alice muốn gửi email bí mật, m, cho Bob KS m K (.) S + KS KS(m ) KS(m ) K+ B( ) K+ B K+ B(KS ) Internet K+ B(KS ) KS( ) m KS K- ( ) B K-B Alice: sinh ngẫu nhiên khóa cá nhân đối xứng , KS mã hóa t/điệp với KS (tăng hiệu suất) đồng thời mã hóa KS với khóa cơng khai Bob gửi hai KS(m) KB(KS) cho Bob Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 34 Bảo mật E-mail (tt) Alice muốn gửi email bí mật, m, cho Bob KS m K (.) S + KS KS(m ) KS(m ) K+ B( ) K+ B K+ B(KS ) Internet K+ B(KS ) KS( ) m KS K- ( ) B K-B Bob: sử dụng khóa cá nhân anh để giải mã lấy KS sử dụng KS để giải mã KS(m) để lấy m Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 35 Bảo mật E-mail (tt) • Alice muốn cung cấp xác thực người gửi, tính tồn vẹn thơng điệp K-A m H( ) K-A( ) + m K-A(H(m)) K-A(H(m)) Internet - K+ A K+ A( ) H(m ) compare H( ) m H(m ) • Alice kí số vào thơng điệp • gửi thơng điệp (chưa mã hóa) chữ kí số Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 36 Bảo mật E-mail (tt) • Alice muốn cung cấp tính bí mật, xác thực người gửi, tính tồn vẹn thơng điệp K-A m H( ) K-A( ) K-A(H(m)) + KS KS( ) + m KS K+ B( ) K+ B Internet K+ B(KS ) Alice sử dụng khóa: khóa cá nhân ta, khóa cơng khai Bob, khóa đối xứng vừa tạo Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 37 Mục lục Bảo mật mạng gì? Các nguyên lý mật mã Tồn vẹn thơng điệp Bảo vệ email Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa IDS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 38 SSL: Secure Sockets Layer Giao thức bảo mật triển khai rộng rãi TLS: transport layer security, RFC 2246 Cung cấp: Bí mật Tồn vẹn Xác thực Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 Các mục tiêu ban đầu: hỗ trợ hầu hết trình duyệt máy chủ web https hàng chục tỉ $ sử dụng hàng năm qua SSL Thiết kế Netscape vào 1993 Có vài biến đổi: Có giao dịch thương mại điện tử Mã hóa (đặc biệt số thẻtín dụng) xác thực máy chủ Web xác thực khách (tùy chọn) Hạn chế thủ tục mà buôn bán với bạn hàng Có sẵn tất ứng dụng TCP giao diện hốc kết nối an toàn (Secure socket interface) MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 39 SSL and TCP/IP Ứng dụng TCP IP Ứng dụng th/thường Ứng dụng SSL TCP IP Ứng dụng với SSL • SSL cung cấp giao diện lập trình ứng dụng (API) cho ứng dụng • thư viện/lớp SSL C Java có sẵn Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 40 Quá trình làm việc: KA m H( ) K-A( ) K-A(H(m)) + KS KS( ) + m KS K+ B( ) K+ B Internet K+ B(KS ) Nhưng cần gửi luồng byte liệu tương tác Cần khóa bí mật cho toàn kết nối Cần phần trao đổi chứng giao thức: pha bắt-tay Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 41 Mục lục Bảo mật mạng gì? Các nguyên lý mật mã Tồn vẹn thơng điệp Bảo vệ E-mail Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa IDS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 42 Tường lửa Tường lửa cách li mạng bên tổ chức với mạng Internet, cho phép vài gói tin qua, chặn gói khác Internet công cộng mạng nội tường lửa Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 43 Tường lửa: Để làm gì? ngăn chặn cơng từ chối dịch vụ: Sự gửi tràn SYN: kẻ công thiết lập nhiều kết nối TCP giả , khơng cịn tài nguyên cho kết nối “thật” ngăn chặn truy cập/thay đổi không hợp pháp vào liệu nội vd: kẻ công thay đổi trang chủ công ty cho phép truy cập xác thực vào bên mạng (nhóm n.dùng, máy xác thực) ba loại tường lửa: lọc gói khơng trạng thái lọc gói trạng thái cổng kiểm soát ứng dụng Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 44 Hệ thống phát xâm nhập lọc gói: làm việc với mào đầu TCP/IP không kiểm tra tương qua phiên IDS: hệ thống phát xâm nhập Kiểm tra gói sâu: xem xét nội dung gói tin (vd: kiểm tra chuỗi kí tự gói tin, so sánh với sở liệu vi-rút, chuỗi công) xem xét mối tương quan nhiều gói tin dị cổng ánh xạ mạng công DoS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 45 Hệ thống phát xâm nhập nhiều IDS: nhiều loại kiểm tra khác nhiều vị trí khác cổng kiểm tra ứng dụng tường lửa Internet mạng nội máy chủ cảm biến Web IDS Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 máy chủ FTP máy chủ DNS vùng phi quân MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 46 Tổng kết Kĩ thuật bản… mã hóa (đối xứng cơng khai) tồn vẹn thơng điệp xác thực đầu cuối Các kịch bảo mật Hệ thống Email an toàn Truyền tải an toàn (SSL) … Bảo mật hành vi Bức tường lửa Hệ thống phát thâm nhập bất hợp pháp Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 47 ... Thuật Máy Tính © 2011 MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 13 AES: Chuẩn mã hóa cao cấp (10/2001) khóa đối xứng thay DES xử lý liệu theo khối 128 bit khóa dài 128 ,... Bách Khoa Tp.HCM Khoa Khoa Học Kỹ Thuật Máy Tính © 2011 MAC MẠNG MÁY TÍNH CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 23 Phịng chống cơng phát-lại: dùng-một-lần “Tôi Alice” R MAC = f(msg,s,R) Trường... CĂN BẢN Bài giảng 12 - Chương 6: Bảo mật mạng 35 Bảo mật E-mail (tt) • Alice muốn cung cấp xác thực người gửi, tính tồn vẹn thơng điệp K-A m H( ) K-A( ) + m K-A(H(m)) K-A(H(m)) Internet - K+ A