Mục tiêu bài giảng môn Mạng máy tính: Chương 7 giúp các bạn hiểu các nguyên lý của bảo mật mạng: mật mã; chứng thực; tính toàn vẹn; khóa phân bố; bảo mật trong thực tế: các firewall; bảo mật trong các lớp application, transport, network, link,...Mời các bạn cùng tham khảo!
Chương Bảo mật mạng Computer Networking: A Top Down Approach Featuring the Internet, 3rd edition Jim Kurose, Keith Ross Addison-Wesley, July 2004 Slide biên dịch sang tiếng Việt theo cho phép tác giả All material copyright 1996-2006 J.F Kurose and K.W Ross, All Rights Reserved CuuDuongThanCong.com Bảo mật mạng https://fb.com/tailieudientucntt Chương 7: Bảo mật mạng Mục tiêu: hiểu nguyên lý bảo mật mạng: mật mã chứng thực tính tồn vẹn khóa phân bố bảo mật thực tế: firewall bảo mật lớp application, transport, network, link Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 7.1 Bảo mật mạng gì? Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt Bảo mật mạng gì? Sự bảo mật: có người gửi, người nhận “hiểu” nội dung thơng điệp người gửi mã hóa thông điệp người nhận giải mã thông điệp Chứng thực: người gửi, người nhận xác định nhận Sự tồn vẹn thơng điệp: người gửi, người nhận muốn bảo đảm thông điệp không bị thay đổi (trên đường truyền sau nhận) mà không bị phát Truy cập & tính sẵn sàng: dịch vụ phải có khả truy cập sẵn sàng user Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt Bạn kẻ thù: Alice, Bob, Trudy Bob, Alice (bạn bè) muốn truyền thơng “an tồn” Trudy (kẻ xâm nhập) ngăn chặn, xóa, thêm thơng điệp Alice liệu kênh truyền an toàn liệu, thơng điệp điều khiển nhận an tồn Bob liệu Trudy Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt Bob, Alice ai? trình duyệt Web/server cho giao dịch điện tử client/server ngân hàng trực tuyến DNS servers router trao đổi thông tin cập nhật bảng routing v.v Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt Bạn kẻ thù Hỏi: Kẻ xấu làm việc gì? Đáp: nhiều! nghe lén: ngăn chặn thơng điệp kích hoạt chèn thơng điệp vào kết nối giả danh: giả mạo địa nguồn gói (hoặc trường đó) cướp: “tiếp tục” kết nối hành thay người gửi người nhận họ từ chối dịch vụ: dịch vụ bị người khác dùng (đồng nghĩa tải) v.v Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 7.2 Các nguyên lý mã hóa Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt Ngơn ngữ mã hóa văn gốc khóa mã K Alice A khóa mã K Bob B giải thuật văn mã hóa mã hóa giải thuật văn gốc giải mã khóa đối xứng: khóa bên gửi bên nhận giống khóa cơng cộng: khóa mã chung, khóa giải mã bí mật (riêng) Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt Mã hóa khóa đối xứng mật mã thay thế: thay thứ thành thứ khác mã hóa ký tự đơn: thay ký tự văn gốc: abcdefghijklmnopqrstuvwxyz văn mã hóa: mnbvcxzasdfghjklpoiuytrewq ví dụ: văn gốc: bob i love you alice mã hóa thành: nkn s gktc wky mgsbc Hỏi: Bẻ khóa kiểu mã hóa đơn giản dễ khơng? brute force (khó nào?) khác? Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 10 Pretty good privacy (PGP) chuẩn thực tế, lược đồ mã hóa email Internet dùng mã hóa khóa đối xứng, khóa công cộng, hàm băm chữ ký số trình bày trước hỗ trợ đồng nhất, chứng thực người gửi, bí mật người phát minh: Phil Zimmerman A PGP signed message: -BEGIN PGP SIGNED MESSAGE Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, Alice -BEGIN PGP SIGNATURE Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJ hFEvZP9t6n7G6m5Gw2 -END PGP SIGNATURE - Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 72 Secure sockets layer (SSL) bảo mật lớp transport với ứng dụng dựa TCP dùng dịch vụ SSL dùng trình duyệt Web, server thương mại điện tử dịch vụ bảo mật: chứng thực server mã hóa liệu chứng thực client (tùy chọn) chứng thực server: trình duyệt cho phép SSL chứa khóa cơng cộng cho CA tin cậy trình duyệt yêu cầu chứng server, phát CA tin cậy trình duyệt dùng khóa cơng cộng CA để trích khóa công cộng server từ chứng kiểm tra trình duyệt bạn để thấy CA tin cậy Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 73 SSL (tt) Mã hóa phiên làm việc SSL : trình duyệt sinh khóa phiên đối xứng, mã hóa với khóa cơng cộng server, gửi khóa (đã mã hóa) cho server dùng khóa riêng, server giải mã khóa phiên trình duyệt, server biết khóa phiên SSL: sở IETF Transport Layer Security (TLS) SSL dùng cho ứng dụng khơng Web, IMAP chứng thực client hồn thành với chứng client tất liệu gửi vào TCP socket (do client server) mã hóa khóa phiên Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 74 IPsec: bảo mật lớp Network bảo mật lớp Network: host gửi mã hóa liệu IP datagram đoạn TCP & UDP; thông điệp ICMP & SNMP chứng thực lớp Network: host đích chứng thực địa IP nguồn giao thức bản: authentication header (AH) encapsulation security payload (ESP) với AH ESP, nguồn – đích bắt tay nhau: tạo kênh logic lớp network gọi security association (SA) SA theo chiều xác định bởi: giao thức bảo mật (AH ESP) địa IP nguồn ID kết nối 32-bit Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 75 Giao thức AH hỗ trợ chứng thực nguồn, tồn vẹn liệu, khơng tin cậy AH header chèn vào IP header, trường liệu trường giao thức: 51 trung gian xử lý datagram bình thường IP header AH header AH header chứa: nhân dạng kết nối liệu chứng thực: thông điệp ký từ nguồn tính tốn dựa IP datagram gốc trường header kế tiếp: xác định kiểu liệu (vd: TCP, UDP, ICMP) liệu (vd: TCP, UDP, ICMP) Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 76 Giao thức ESP hỗ trợ toàn vẹn liệu, chứng thực host, tính bí mật mã hóa liệu, ESP trailer trường header nằm ESP trailer trường chứng thực ESP tương tự AH Protocol = 50 chứng thực mã hóa IP header ESP ESP ESP TCP/UDP segment header trailer authent Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 77 Bảo mật IEEE 802.11 Khảo sát: 85% việc sử dụng mà khơng có mã hóa/chứng thực dễ dàng bị phát hiện/nghe ngóng nhiều loại công khác! Bảo mật 802.11 mã hóa, chứng thực thử nghiệm bảo mật 802.11 đầu tiên: Wired Equivalent Privacy (WEP): có thiếu sót thử nghiệm tại: 802.11i Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 78 Wired Equivalent Privacy (WEP): chứng thực giao thức ap4.0 host yêu cầu chứng thực từ access point access point gửi 128 bit host mã hóa dùng khóa đối xứng chia sẻ access point giải mã, chứng thực host khơng có chế phân bố khóa chứng thực: cần biết khóa chia sẻ Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 79 mã hóa liệu WEP Host/AP chia sẻ khóa đối xứng 40 bit (bán cố định) Host gắn thêm vector 24 bit (initialization vector-IV) để hình thành khóa 64 bit IV khóa 64 bit dùng để sinh dịng khóa, ki IV ki dùng để mã hóa byte thứ i, di, frame: ci = di XOR kiIV IV byte mã hóa, ci gửi frame Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 80 mã hóa 802.11 WEP IV ( p e r fr a m e ) k e y se q u e n c e g e n e to r K S : - b it ( fo r g iv e n K S , I V ) secret s y m m e t r ic key k1 IV k2 IV k3 IV … kN IV k N +1 IV … kN+1 IV h ea d er p la in t e x t fr a m e d a t a 1 d1 d2 d3 … dN c1 c2 c3 … cN W E P -e n c r y p te d d a ta IV p lu s C R C CRC1 … CRC4 p lu s C R C cN +1 … cN +4 mã hóa WEP phía gửi F ig u r e - n e w : 1 W E P p ro to co l Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 81 Bẻ khóa 802.11 WEP Lỗ hổng bảo mật: 24-bit IV, IV frame -> phải dùng lại IV IV truyền với dạng văn thô -> phát việc dùng lại IV Tấn công: Alice mã hóa văn thơ cho trước d1 d2 d3 d4 … IV Trudy nhìn thấy: ci = di XOR ki Trudy biết ci di, tính kiIV IV IV IV Trudy biết mã hóa chuỗi khóa k1 k2 k3 … lần dùng IV lại kế tiếp, Trudy giải mã được! Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 82 802.11i: cải tiến bảo mật nhiều (và chắn hơn) dạng mã hóa hỗ trợ phân bố khóa dùng chứng thực server tách riêng khỏi AP Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 83 802.11i: giai đoạn hoạt động STA: client station AP: access point AS: Authentication server wired network Discovery of security capabilities STA and AS mutually authenticate, together generate Master Key (MK) AP servers as “pass through” STA derives Pairwise Master Key (PMK) AS derives same PMK, sends to AP STA, AP use PMK to derive Temporal Key (TK) used for message encryption, integrity CuuDuongThanCong.com Bảo mật mạng https://fb.com/tailieudientucntt 84 EAP: extensible authentication protocol EAP gửi “link” riêng biệt mobile-đến-AP (EAP LAN) AP đến server chứng thực (RADIUS UDP) wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE 802.11 RADIUS UDP/IP Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 85 Tổng kết bảo mật mạng Các kỹ thuật bản… mã hóa (đối xứng cơng cộng) chứng thực tồn vẹn thơng điệp phân bố khóa … sử dụng nhiều bối cảnh bảo mật khác bảo mật email bảo mật vận chuyển (SSL) IP sec 802.11 Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt 86 ... ký Alice, Bob biết khóa đối xứng họ, KA-KDC KB-KDC , để truyền thông với KDC KDC KB-KDC KP-KDC KA-KDC KA-KDC KP-KDC KX-KDC KY-KDC KB-KDC KZ-KDC Bảo mật mạng CuuDuongThanCong.com https://fb.com/tailieudientucntt... tố nhau) d=29 (vì ed-1 chia hết cho z) mã hóa: giải mã: ký tự m me l 12 1524832 c 17 d c 481968 572 10 675 0915091411825223 071 6 97 c = me mod n 17 m = cd mod n ký tự 12 l Bảo mật mạng CuuDuongThanCong.com... pq, thì: y y mod (p-1)(q-1) x mod n = x mod n e (m mod n) d mod n = m edmod n = m ed mod (p-1)(q-1) mod n (dùng lý thuyết số trên) = m mod n (chọn ed cho chúng chia cho (p-1)(q-1) dư ) = m CuuDuongThanCong.com