Đang tải... (xem toàn văn)
Chương 6 đề cập đến các vấn đề bảo mật mạng. Trong chương này người học sẽ tập trung tìm hiểu các nguyên lý của bảo mật mạng và bảo mật trong thực tế. Mời các bạn cùng tham khảo bài giảng để nắm bắt thêm các nội dung chi tiết.
CHƯƠNG 6: BẢO MẬT MẠNG • Các nguyên lý bảo mật mạng • Bảo mật thực tế Bảo mật mạng gì? Sự bảo mật: có người gửi, người nhận “hiểu” nội dung thông điệp – người gửi mã hóa thơng điệp – người nhận giải mã thông điệp Chứng thực: người gửi, người nhận xác định nhận Sự toàn vẹn thông điệp: người gửi, người nhận muốn bảo đảm thông điệp không bị thay đổi (trên đường truyền sau nhận) Truy cập & tính sẵn sàng: dịch vụ phải có khả truy cập sẵn sàng user Các đối tượng cần bảo mật • Trình duyệt Web/server cho giao dịch điện tử • Client/Server ngân hàng trực tuyến • DNS servers • Các router trao đổi thông tin cập nhật bảng routing • v.v Kẻ xấu làm việc gì? – nghe lén: ngăn chặn thơng điệp – kích hoạt chèn thơng điệp vào kết nối – giả danh: giả mạo địa nguồn gói (hoặc trường đó) – cướp: “tiếp tục” kết nối hành thay người gửi người nhận họ – từ chối dịch vụ: dịch vụ bị người khác dùng (đồng nghĩa tải) – v.v Các nguyên lý mã hóa K văn gốc A khóa mã Alice giải thuật văn mã hóa mã hóa khóa mã K Bob B giải thuật văn gốc giải mã Hacker khóa đối xứng: khóa bên gửi bên nhận giống khóa cơng cộng: khóa mã chung, khóa giải mã bí mật (riêng) Mã hóa khóa đối xứng mật mã thay thế: thay thứ thành thứ khác – mã hóa ký tự đơn: thay ký tự văn gốc: abcdefghijklmnopqrstuvwxyz văn mã hóa: mnbvcxzasdfghjklpoiuytrewq ví dụ: văn gốc: Bob i love you Alice mã hóa thành: nko s gktc wky mgsbc • Bẻ khóa kiểu mã hóa đơn giản dễ khơng? brute force (khó nào?) khác? Mã hóa khóa đối xứng: DES DES: Data Encryption Standard • Chuẩn mã hóa Hoa Kỳ [NIST 1993] • Khóa đối xứng 56-bit, văn gốc vào 64-bit • Bảo mật DES nào? – chưa có cách tiếp cận “backdoor-cửa sau” để giải mã • làm cho DES bảo mật hơn: – dùng khóa (3-DES) datum – dùng chế liên kết khối mã Mã hóa khóa đối xứng: DES DES hoạt động • hốn hốn vị vị đầu tiên • 16 16 vòng vòng giống giống nhau, nhau, vòng vịng dùng dùng khóa khóa 48 bit bit khác khác nhau 48 • hốn hốn vị vị cuối cuối cùng AES: Advanced Encryption Standard • Chuẩn NIST khóa đối xứng (tháng 11-2001) thay cho DES • Dữ liệu xử lý khối 128 bit • Các khóa 128, 192 256 bit • Giải mã brute force (thử sai) tốn 1s với DES, tốn 149 tỷ tỷ năm với AES Mã hóa khóa cơng cộng khóa đối xứng • u cầu người gửi, người nhận phải biết khóa cơng cộng • Làm biết khóa cơng cộng lần (đặc biệt với người chưa gặp trước)? Mã hóa khóa cơng cộng tiếp cận khác hồn tồn người gửi, người nhận khơng chia sẻ khóa cơng cộng khóa cơng cộng cho người biết khóa giải mã riêng có người nhận biết 10 Bảo mật e-mail Alice muốn gửi e-mail bí mật, m, đến Bob KS m K ( ) S + KS KS(m ) KS(m ) + KB ( ) K+ B Internet + - KS + KB ( ) KB(KS ) KB(KS ) KS ( ) - m KB- Alice: Bob: sinh khóa riêng đối xứng dùng khóa riêng anh để ngẫu nhiên, KS mã hóa thơng điệp với KS mã hóa KS với khóa cơng cộng Bob gửi KS(m) KB(KS) cho Bob giải mã phục hồi KS dùng KS để giải mã KS(m) phục hồi m 35 Bảo mật e-mail Alice muốn cung cấp toàn vẹn thông điệp chứng thực người gửi KA+ KA- m H(.) - KA ( ) - - KA(H(m)) KA(H(m)) + Internet m - + KA ( ) H(m ) compare m H( ) H(m ) Alice ký số thông điệp gửi thông điệp (dạng rõ ràng) chữ ký số 36 Bảo mật e-mail • Alice muốn cung cấp tồn vẹn thơng điệp chứng thực người gửi bí mật KA- m H( ) - - KA(H(m)) KA ( ) + KS KS ( ) + m KS + KB ( ) K+ B Internet + KB(KS ) Alice dùng khóa: khóa riêng ấy, khóa cơng cộng Bob, khóa đối xứng vừa tạo 37 Pretty good privacy (PGP) • • • • Chuẩn thực tế để mã hóa email Internet Dùng mã hóa khóa đối xứng, khóa cơng cộng, hàm băm chữ ký số trình bày trước Hỗ trợ đồng nhất, chứng thực người gửi, bí mật Người phát minh: Phil Zimmerman Một thông điệp ký PGP -BEGIN PGP SIGNED MESSAGE Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, A -BEGIN PGP SIGNATURE Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJ hFEvZP9t6n7G6m5Gw2 -END PGP SIGNATURE - 38 Secure sockets layer (SSL) • Bảo mật lớp transport với ứng dụng dựa TCP dùng dịch vụ SSL • Dùng trình duyệt Web, server thương mại điện tử • Các dịch vụ bảo mật: – Chứng thực server – Mã hóa liệu – Chứng thực client (tùy chọn) • Chứng thực server: – Trình duyệt cho phép SSL chứa khóa cơng cộng cho CA tin cậy – Trình duyệt yêu cầu chứng server, phát CA tin cậy – Trình duyệt dùng khóa cơng cộng CA để trích khóa cơng cộng server từ chứng • Kiểm tra trình duyệt bạn để thấy CA tin cậy 39 SSL (tt) Mã hóa phiên làm việc SSL : • SSL: sở IETF Transport Layer • Trình duyệt sinh khóa phiên đối xứng, mã hóa Security (TLS) với khóa cơng cộng • SSL dùng cho server, gửi khóa (đã mã ứng dụng khơng hóa) cho server Web, IMAP • Dùng khóa riêng, server • Chứng thực client có giải mã khóa phiên thể hồn thành với chứng client • Trình duyệt, server biết khóa phiên – Tất liệu gửi vào TCP socket (do client server) mã hóa khóa phiên 40 IPSec: bảo mật lớp Network • • • Bảo mật lớp Network: • – host gửi mã hóa liệu IP datagram – đoạn TCP & UDP; thơng điệp ICMP & SNMP • Chứng thực lớp Network: • – host đích chứng thực địa IP nguồn giao thức bản: – authentication header (AH) – encapsulation security payload (ESP) Với AH ESP, nguồn – đích bắt tay nhau: – tạo kênh logic lớp network gọi security association (SA) Mỗi SA theo chiều nhất xác định bởi: – giao thức bảo mật (AH ESP) – địa IP nguồn – ID kết nối 32-bit 41 Giao thức AH • Hỗ trợ chứng thực nguồn, tồn vẹn liệu, khơng tin cậy • AH header chèn vào IP header, trường liệu • Trường giao thức: 51 • Trung gian xử lý datagram bình thường IP header AH header AH header chứa: • Nhân dạng kết nối • Dữ liệu chứng thực: thông điệp ký từ nguồn tính tốn dựa IP datagram gốc • Trường header kế tiếp: xác định kiểu liệu (vd: TCP, UDP, ICMP) liệu (vd: TCP, UDP, ICMP) 42 Giao thức ESP • Hỗ trợ tồn vẹn liệu, chứng thực host, tính bí mật • Mã hóa liệu, ESP trailer • Trường header nằm ESP trailer • Trường chứng thực ESP tương tự AH • Protocol = 50 chứng thực mã hóa IP header ESP ESP ESP TCP/UDP segment header trailer authent 43 Bảo mật IEEE 802.11 • Khảo sát: – 85% việc sử dụng mà khơng có mã hóa/chứng thực – Dễ dàng bị phát hiện/nghe ngóng nhiều loại cơng khác! • Bảo mật 802.11 – Mã hóa, chứng thực – Thử nghiệm bảo mật 802.11 Wired Equivalent Privacy (WEP): có thiếu sót – Thử nghiệm tại: 802.11i 44 Wired Equivalent Privacy (WEP): • Chứng thực giao thức ap4.0 – host yêu cầu chứng thực từ access point – access point gửi 128 bit – host mã hóa dùng khóa đối xứng chia sẻ – access point giải mã, chứng thực host • Khơng có chế phân bố khóa • Chứng thực: cần biết khóa chia sẻ 45 Wi-Fi Protected Access (WPA) • Hai cải tiến so với WEP: – Mã hóa liệu cải tiến thơng qua giao thức Temporal Key Integrity Protocol (TKIP).TKIP scrambles key sử dụng thuật tốn hashing đặc tính kiểm tra số nguyên, đảm bảo Key không bị giả mạo – Chứng thực người dùng, thơng qua EAP • WPA tiêu chuẩn tạm thời mà thay với chuẩn IEEE 802.11i 46 802.11i: cải tiến bảo mật • Rất nhiều (và chắn hơn) dạng mã hóa • Hỗ trợ phân bố khóa • Dùng chứng thực server tách riêng khỏi AP 47 EAP: Extensible Authentication Protocol • EAP gửi “link” riêng biệt – mobile-đến-AP (EAP LAN) – AP đến server chứng thực (RADIUS UDP) wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE 802.11 RADIUS UDP/IP 48 TÀI LIỆU THAM KHẢO, ĐỊA CHỈ LIÊN LẠC • Giáo trình Mạng máy tính, KS Nguyễn Bình Dương, TS Đàm Quang Hồng Hải • Giáo trình hệ thống Mạng máy tính CCNA, Nguyễn Hồng Sơn • CCNA: Cisco Certified Network Associate – Study Guide, Todde Lammle - 2007 • Computer Networking: A Top Down Approach Featuring the Internet, 3rd edition Jim Kurose, Keith Ross 2004 • Computer Networks, 4th edition Andrew S Tanenbaum 2003 • Địa liên lạc: Trần Bá Nhiệm – Khoa Mạng máy tính & Truyền thông – ĐH CNTT – 34 Trương Định, Q3, Tp.HCM Email: tranbanhiem@yahoo.com • Website: http://sites.google.com/site/tranbanhiem 49 ... [NIST 1993] • Khóa đối xứng 5 6- bit, văn gốc vào 64 -bit • Bảo mật DES nào? – chưa có cách tiếp cận “backdoor-cửa sau” để giải mã • làm cho DES bảo mật hơn: – dùng khóa (3-DES) datum – dùng chế liên... mã KS(m) phục hồi m 35 Bảo mật e-mail Alice muốn cung cấp toàn vẹn thông điệp chứng thực người gửi KA+ KA- m H(.) - KA ( ) - - KA(H(m)) KA(H(m)) + Internet m - + KA ( ) H(m ) compare m H(... điệp gửi thông điệp (dạng rõ ràng) chữ ký số 36 Bảo mật e-mail • Alice muốn cung cấp tồn vẹn thơng điệp chứng thực người gửi bí mật KA- m H( ) - - KA(H(m)) KA ( ) + KS KS ( ) + m KS + KB