Bảo mật sử dụng các phương pháp mã hóa

Một phần của tài liệu Bảo mật mạng bằng công nghệ firewall (Trang 50 - 53)

Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau: Mã hoá sử dụng khoá riêng (Symmetric-key encryption) và mã hoá sử dụng khoá công khai (Public-key encryption)

Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được trình tự giải mã đã được quy ước trước. Mã bí mật thì sử dụng để giải mã gói tin. Ví dụ: Bạn tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy A sẽ được thay bằng C, và B sẽ được thay bằng D. Bạn đã

nói với người bạn khoá riêng là Dịch đi 2 vị trí (Shift by 2). Bạn của bạn nhận được thư sẽ giải mã sử dụng chìa khoá riêng đó. Còn những người khác sẽ không đọc được nội dung thư.

Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key), sau đó mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người nhận (public key). Máy tính nhận sử dụng khoá riêng của nó (private key) tương ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử dụng khoá bí mật này để giải mã dữ liệu

Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good Privacy

(PGP) cho phép bạn mã hoá đựợc hầu hết mọi thứ.

Sau đây là 2 ứng dụng điển hình của bảo mật sử dụng kĩ thuật mã hóa:

Giao thức bảo mật IPSec ( Internet Protocol Security Protocol)

IPSec cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị, chẳng hạn như:

o Từ router đến router o Từ firewall đến router o Từ PC đến router o Từ PC đến server

Một trong những biện pháp mã hóa dữ liệu đối với những người dùng từ xa là sử dụng công nghệ VPN nhằm tăng cường khả năng bảo mật cho dữ liệu được truyền trên mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa.

Hình 1.18 . Kết nối từ xa sử dụng VPN

Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote-Access hay kết nối ngang hàng Site- to-Site),ta cần một số thành phần nhất định để hình thành VPN, bao gồm:

• Phần mềm máy trạm cho mỗi người dùng xa

• Các thiết bị phần cứng riêng biệt, ví dụ như: bộ tập trung (VPN Concentrator) hoặc tường lửa (Secure PIX Firewall)

• Các máy chủ VPN sử dụng cho dịch vụ quay số

• Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng VPN ở xa truy nhập

• Trung tâm quản lý mạng và chính sách VPN

• Bảo mật (Security) • Tin cậy (Reliability)

• Dễ mở rộng, nâng cấp (Scalability)

• Quản trị mạng thuận tiện (Network management) • Quản trị chính sách mạng tốt (Policy management)

Một phần của tài liệu Bảo mật mạng bằng công nghệ firewall (Trang 50 - 53)

Tải bản đầy đủ (DOC)

(106 trang)
w