Trên TCP,

Một phần của tài liệu Ôn tập an toàn bảo mật thông tin trong mạng LAN (Trang 26)

- Hiện nhân của người sử dụng hợp pháp.

trên TCP,

-SSL nằm trong tầng ứng dụng của giao thức TCP/IP. Do vậy, SSL có thể được dùng trong hầu hết mọi hệ điều hành hỗ trợ TCP/IP mà không cần phải chỉnh sửa nhân của hệ thống hoặc ngăn xếp TCP/IP.

-SSL cũng có thể dễ dàng vượt qua tường lửa và proxy, cũng như NAT (Network Address Translation) mà không cần nguồn cung cấp.

c)Khái niệm SSL Connection và SSL Session. Các thuộc tính của SSL Connection và SSL Session. *SSL Connection: Mối quan hệ ngang hàng ở tầng giao vận của 2 nút. Mọi connection đều kết nối với một session

-Các thuộc tính của SSL session +Session ID

+Chứng chỉ số cảu các bên

+Tập thông số an toàn (cipher spec): các thuật toán sử dụng +Master Secret: Khoá chính

+Isresumable: session có thể tạo các connection mới không

*SSL session: là một kết hợp giữa client và server, được thiết lập bởi HandShake Protocol (giao thức bắt tay):Xác định một tập các tham số an toàn mật mã có thể được chia sẻ giữa nhiều connection. +-Session có nhiều connection

-Session định nghĩa tập tham số an toàn được sử dụng chung bởi nhiều connection  Tránh việc phải trao đổi tham số an toàn nhiều lần

-Session có 2 trạng thái: + current: Đang hoạt động và có thể thực hiện gửi tin nhắn + pending: Đang trong quá trình đàm phán kết nối

-Các thuộc tính của SSL connection

+Nonce: số ngẫu nhiên dùng để chống DOS attack +MAC secret: khoá dùng để tạo mã chứng thực (HMAC) +Encryption key: khoá dùng cho mã hoá truyền thống +Initial vector: Dùng trogn mã hoá CBC

+Seg number: số hiệu

Câu 18:Trình bày giao thức SSL Record: Khái niệm, các dịch vụ của SSL Record. Các bước thực hiện SSL Record.

Cấu trúc gói tin SSL Record, ý nghĩa các trường.

a)Khái niệm, các dịch vụ của SSL Record

*Khái niệm: là giao thức thuộc SSLxác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu.

*Các dịch vụ: Cung cấp 2 dịch vụ quan trọng cho SSL connection

-Tính bảo mật: định nghĩa khoá bảo mật cho mã hoá truyền thống của các tải tin SSL. -Tính toàn vẹn :định nghĩa khóa bí mật để tính toán và kiểm tra chứng thực bản tin(MÁC)

b)Các bước thực hiện SSL Record

-Bước đầu tiên của quá trình chuẩn bị dữ liệu là phân mảnh dữ liệu thành các mảnh kích thước 16KB(hoặc nhỏ hơn).

-Những mảnh dữ liệu này sau đó có thể nén trước khi truyền. Sau đó bắt đầu quá trình tạo các bản ghi cho mỗi đơn vị dữ liệu bằng cách bổ sung thêm header, 1 số byte cho đủ kích thước quy định của mỗi bản ghi..Phần header của mỗi bản ghi chứa 2 thông tin quan trọng đó là độ dài của bản ghi và độ dài của khối dữ liệu thêm vào phần dữ liệu gốc. Phần dữ liệu của 1 bản ghi gồm: dữ liệu dốc, các byte bổ sung cho đủ kích thước gói tin quy định, giá trị MAC.

-MAC được sử đụng để kiểm chứng sự toàn vẹn của thông điệp chứa trong bản ghi gửi cùng MAC đó. MAC được tính toán dưa trên việc áp dụng hàm băm trên các dữ liệu sau: khóa bí mật, dữ liệu gốc, phần thông tin bố sung, số thứ tự.Khóa bí mật ở đây có thể là khóa ghi MAC của client hoặc của server tùy thuộc và ai tạo gói tin.Sau khi nhận được 1 gói tin thì bên nhận tự tính lại giá trị MAC và so sánh với giá trị MAC chứa trong gói tin đó.

-Tiếp theo phần dữ liệu cộng với MAC sẽ được mã hóa sử dụng phương pháp mã hóa (đối xứng) đã thỏa thuận trước . Như vậy cả dữ liệu và MAC đều được mã hóa

- Phần dữ liệu đã được mã hóa đó được gắn thêm header bao gồm các trường sau:

+ Kiểu nôi dung: xác định DL nào chưa trong gói tin để quyết định xem giao thức nào ở lớp cao hơn sẽ chịu trách nhiệm xử lý dữ liệu của gói tin đó. + Phiên bản chính: phần chỉ số chính của phiên bản SSL đang sử dụng

+ Phiên bản phụ : phần chỉ số phụ của phiên bản đang sử dụng.

-Sau khi tính toàn xong các trường này bản ghi đã được tạo xong và sẵn sàng gửi đến cho máy đích

c)Cấu trúc gói tin SSL Record, ý nghĩa các trường

-Tiêu đề SSL Record:

+Content Type: Kiểu gói tin SSL, xác định giao thức lớp cao hơn vốn phải được sử dụng để sau đó xử lý tải trọng dữ liệu bản ghi SSL (sau khi giải nén và giải mã hóa thích hợp).

+Version – phiên bản (chính phụ), xác định phiên bản SSL đang sử dụng (thường là version 3.0) +Compressed Length: Độ dài bản tin gốc

+MAC: mã chứng thực *Các loại content type:

-Change Cipher Spec: Giao thức đơn giản nhát bao gồm message 1 byte. Báo bên nhận thay đổi bộ tham số an toàn (áp dụng trạng thái pending vào current), Data = 1 byte.

-Alert:0020Truyền tải thông tin cảnh báo / lỗi. Data = 2 byte: Byte 1 chỉ mức độ, byte 2 thể hiện nội dung cảnh báo.

-Application Data: dữ liệu tầng ứng dụng SSL truyền tải (Data > 1 byte)

-HandShake: Chứa các thông tin cho phép client/server đàm phán, trao đổi tham số an toàn (sử dụng trước khi truyền dữ liệu tầng ứng dụng)

Khái niệm, mục đích của SSL Handshake.

Các giai đoạn trong quá trình bắt tay của SSL Handshake.

Ý nghĩa các thông điệp trao đổi trong các giai đoạn của quá trình bắt tay.

a)Khái niệm, mục đích của SSL Handshake

-Khái niệm: SSL Handshake protocol là giao thức con SSL chính được sử dụng để hỗ trợ xác thực client và server và để trao đổi một khóa session

+Giao thức này được dùng trước khi việc gửi nhận dữ liệu bắt đầu + Thủ tục handshake chứa một chuỗi các message gửi nhận

+ Các message chứa 3 trường dữ liệu: type(1 byte), length(3 bytes) và content(>= 0 bytes)

Type Length content

Handshake Protocol

-Mục đích: Cho phép server và client xác thực lẫn nhau, đàm phán, mã hoá, sử dụng thuật toán MAC. Được sử dụng trước khi dữ liệu tầng ứng dụng được truyền. Bao gồm một chuỗi các message.

b)Các giai đoạn trong quá trình bắt tay của SSL Handshake: Gồm 4 giai đoạn: Phase 1:Thiết lập

Phase 2:Server gửi thông tin Phase 3:Client gửi thông tin

Phase 4:Chờ cập nhập và kết thúc handshake

c)Ý nghĩa các thông điệp trao đổi trong các giai đoạn của quá trình bắt tay. Phase 1: + Khởi tạo kết nối và thiết lập các tính năng bảo mật + Client gửi bản tin client_hello với các thông số

nonce, session ID, cipher suite, phương thức nén...

+ Server trả lại bản tin server_hello với các thông tin nonce và một tập các tham số bảo mật đề xuất Trao đổi khóa (Key exchanges): RSA | fixed, ephemeral, anonymous Diffie-Hellman | Fortezza Phase 2 : Hầu hết các bước trong phase này là tùy chọn + Server gửi certificate (X.509) nếu có yêu cầu nhận thực + Bản tin server_key_exchange được gửi nếu có yêu cầu.

+Đây chính là giá trị băm chứa tham số nonces để chống gửi lặp + Server có thể gửi bản tin certificate_request tới client.

Bản tin này gồm hai tham số: kiểu certificate và CA

+ Bản tin server_done (không có tham số) được gửi để kết thúc phase +Server đợi phản hồi từ client

Phase 3: Client kiểm tra certificate nếu có yêu cầu và kiểm tra các tham số gửi từ server +Gửi bản tin certificate tới server nếu server yêu cầu

+ Gửi bản tin client_key_exchange tới server để trao đổi thông tin khóa

+Gửi bản tin certificate_verify nếu cần để kiểm tra tính hợp lệ của khóa trong certificate Phase 4: Đây là phiên hoàn tất việc thiết lập phiên kết nối bảo mật

+Client gửi bản tin change_cipher_spec và chuyển giá trị CipherSpec hiện tại thành pending CipherSpec

+Client gửi bản tin finished với các giá trị đã thỏa thuận(thuật toán, khóa, các thông tin bí mật)

+Server phải hồi lại cho client hai bản tin như trên

Câu 20:Trình bày về giao thức SET (Secure Electronic Transaction): Sơ đồ thanh toán trực tuyến trong giao dịch thương mại điện tử (TMĐT). Khái niệm SET, lợi ích của việc sử dụng SET trong bảo mật TMĐT.

Kỹ thuật chữ ký kép trong SET, tại sao cần dùng chữ ký kép, cách tạo chữ ký kép trong SET.

a)Sơ đồ thanh toán trực tuyến trong giao dịch thương mại điện tử (TMĐT).

b)Khái niệm SET, lợi ích của việc sử dụng SET trong bảo mật TMĐT *Khái niệm: SETlà viết tắt của các từ Secure Electronic Transaction

-Đây là một kỹ thuật bảo mật, mã hóa được phát triển bởi VISA, MASTER CARD và các tổ chức khác trên thế giới. SET là một đặc tả mã hóa và an ninh mở được thiết kế nhằm bảo vệ các giao dịch thẻ tín dụng trên Internet.

-Ngoài ra, SET thiết lập một phương thức hoạt động phối hợp tương hỗ nhằm bảo mật các dịch vụ qua mạng trên các phần cứng và phần mềm khác nhau.

-SET không phải là 1 hệ thống thanh toán trực tuyến. Nó là một tập các giao thức và các khuôn dạng an ninh cung cấp cho những người sử dụng hạ tầng thanh toán bằng thẻ tín dụng hiện thời trên mạng mở (Internet) theo một cơ chế an toàn

*Lợi ích của việc sử dụng SET trong bảo mật TMDT

. Về cơ bản, SET cung cấp 3 dịch vụ:

+Cung cấp 1 kênh liên lạc an toàn giữa các bên thực hiện giao dịch. +Cung cấp xác thực nhờ sử dụng các chứng chỉ số X509v.3

+Đảm bảo tính riêng tư vì thông tin chỉ khả dụng đối với các bên vào lúc cần thiết và ở nơi cần thiết. c)Kỹ thuật chữ ký kép trong SET, tại sao cần dùng chữ ký kép, cách tạo chữ ký kép trong SET.

*Kỹ thuật chữ ký kép trong SET:

-Khái niệm: Liên kết 2 bản tin để gửi cho 2 người nhận khác nhau:

+Thông tin đặt hàng - Order Information (OI): Khách hàng gửi cho nhà cung cấp +Thông tin thanh toán - Payment Information (PI): Khách hàng gửi ngân hàng. -Mục đích: Giới hạn thông tin chỉ được biết bởi người cần biết:

+Nhà cung cấp không cần biết số thẻ tín dụng +Ngân hàng không cần biết thông tin đặt hàng.

-Sự liên kết giữa 2 thông tin là cần thiết để xác nhận số tiền thanh toán là cho đơn đặt hàng này (tránh việc lợi dụng bất hợp pháp).

*Tại sao cần dùng chữ ký kép: Có nhiều trường hợp các bản tin có liên quan nhưng được gửi cho những người riêng rẽ và những người nhận này chỉ được phép biết thông tin dành cho mình  chữ ký kép

c)Tạo chữ ký kép trong SET:

-Các bước:

+Tính giá trị băm (SHA-1) của

thông tin thanh toán và đơn

hàng.

+Ghép hai giá trị băm lại [H(PI) ||

H(OI)] và băm tiếp lần nữa

+Khách hàng mã hóa kết quả băm

cuối với khóa bí mật để tạo chữ ký kép DS = EKRC [ H(H(PI) || H(OI)) ]

Câu 21:Trình bày về vấn đề xâm nhập hệ thống trái phép:

Khái niệm hành vi xâm nhập hệ thống trái phép, phân loại kẻ xâm nhập (Intruder) theo biện pháp xâm nhập, phân loại Intruder theo hành vi.

Phát hiện xâm nhập: Mục đích, giả thiết cơ bản trong phát hiện xâm nhập, hai phương pháp tiếp cận trong phát hiện xâm nhập (dựa trên thống kê và dựa trên luật).

Hệ phát hiện xâm nhập phân tán.

a) Khái niệm

*Khái niệm hành vi xâm nhập hệ thống trái phép: là hành vi xâm nhập vào hệ thống mà mình không được phép, không được chào đón bởi người quản lý hệ thống.

*Phân loại kẻ xâm nhập theo biện pháp xâm nhập:

-Giả mạo: người dùng bất hợp pháp từ bên ngoài xâm nhập vào hệ thống và lợi dụng quyền của một người dùng hợp pháp. (xâm nhập từ bên ngoài)

-Lạm quyền: người dùng hợp pháp, nhưng sử dụng quyền hạn vượt quá phạm vi cho phép (xâm nhập từ bên trong)

-Người dùng lén lút: chiếm quyền điều khiển giám sát để tránh khỏi sự kiểm soát và điều khiển truy nhập (thường sử dụng đối với hệ quản trị cơ sở dữ liệu không tốt) (xâm nhập từ bên trong hoặc bên ngoài)

*Phân loại kẻ xâm nhập theo hành vi:

-Khám phá hệ thống: không có ý định phá hoại, chỉ xâm nhập

-Phá hoại: xâm nhập hệ thống và thực hiện các hành vi phá hoại hệ thống (thường là những kẻ trẻ tuổi, hành động nông nổi, thiếu kiến thức, nhiều thời gian rảnh rỗi)

b)Phát hiện xâm nhập: *Mục đích:

-Phát hiện nhanh: để tối thiểu hóa thiệt hại và khôi phục hoạt động bình thường cho hệ thống một cách nhanh chóng.

-Ngăn chặn: hệ thống phát hiện xâm nhập có hiệu quả có thể giúp ngăn chặn các xâm nhập -Thu thập thông tin về các kỹ thuật xâm nhập để tăng khả năng ngăn chặn

*Giả thiết cơ bản trong phát hiện hành vi xâm nhập là: hành vi của kẻ xâm nhập trái phép có sự khác biệt so với người dùng hợp pháp và có thể phát hiện được sự khác biệt này. Có thể tiến hành như sau:

-Phân biệt giữa kẻ giả mạo và người dùng hợp pháp -Quan sát các dữ liệu lịch sử

-Thiết lập các mẫu hình vi

-Quan sát các độ lệch quan trọng trong hành vi *2 phương pháp tiếp cận trong phát hiện xâm nhập -Phát hiện bất thường theo thống kê:

+thu thập dữ liệu về hành vi của người dùng hợp pháp trong một khoảng thời gian

+định kỳ theo dõi các hành vi và xác định hành vi trái phép:dựa vào ngưỡng: tần suất xuất hiện của các sự kiện nhất định;dựa trên tiểu sử: từ hồ sơ của hoạt động người dùng, phát hiện ra các thay đổi +Không cần hiểu biết trước về khe hở bảo mật

+cách này thì phát hiện thành công với kẻ xâm nhập giả mạo, còn với kẻ xâm nhập vượt quyền thì khó phát hiện hơn.

-Phát hiện dựa trên quy tắc:

+quan sát các sự kiện trong hệ thống và áp dụng tập các quy tắc xem hành động có đáng ngờ hay không

+xây dựng một hệ thống luật xác định hành vi kẻ xâm nhập:phát hiện bất thường: phát hiện sự sai khác trong các mẫu hành vi trước đó;nhận diện xâm nhập: hệ chuyên gia tìm kiếm các hành vi đáng ngờ.

+Tính chính xác và hiệu quả tương tự phương pháp phát hiện qua thống kê bất thường +Tập luật được tạo ra thông qua phân tích các bản ghi kiểm soát trong một quá trình +Giả thiết các hoạt động tiếp theo sẽ tương tự các hoạt động đã chuẩn hoá.

+Không cần nhiều kiến thức về lỗ hổng bảo mật +Yêu cầu cơ sở dữ liệu lưu trữ lớn

+Nhận dạng xâm nhập dựa trên tập quy tắc : #Dựa trên kỹ thuật hệ chuyên gia

#Sử dụng các quy tắc, luật để định danh các kiểu thâm nhập hoặc kiểu khai thác điểm yếu đã biết #Tập quy tắc được tạo ra bởi các chuyên gia và hệ thống cụ thể

#Tính chính xác phụ thuộc vào năng lực của chuyên gia.

+đây là cách tốt hơn so với phát hiện bất thường theo thống kê để phát hiện xâm nhập c) Hệ phát hiện xâm nhập phân tán

+Các hệ thống IDS đơn hoặc động quá tải.

+Môi trường ko đồng nhất dẫn đến việc kiểm soát khó khăn, ko đồng bộ +IDS cần triển khai tại nhiều điểm trên mạng lưới

*Phát hiện truy nhập phân tán:

-Host agent module: quy trình nền thu thập dữ liệu và gửi kết quả tới máy quản lý tập trung

-Lan monitor agent module: phân tích lưu lượng giao thông trong mạng Lan và gửi kết quả đến máy quản lý tập trung

-Central manager module: xử lý và phối hợp các báo cáo nhận được để phát hiện xâm nhập *Honeypots:

-Là các hệ thống giăng bẫy

-Nhử mồi kẻ tấn công vào những hệ thống quan trọng -Thu thập thông tin về kẻ tấn công

-Giữ kẻ tấn công lại đủ lâu để có thể phản ứng được

Câu 22:Trình bày về virus máy tính và các chương trình mã độc:

Khái niệm, phân loại các chương trình mã độc. Phân biệt virus, sâu (worm), zombie.

Trình bày cấu trúc chung của một virus, kỹ thuật tránh phát hiện bằng việc nén chương trình chủ.

Các loại virus (file virus, virus boot sector, virus đa hình, virus macro). Kỹ thuật giải mã họ virus để phát hiện và diệt các virus đa hình.

a)Khái niệm:

*Khái niệm: chương trình mã độc là một loại phần mềm hệ thống do các tay tin tặc hay các kẻ nghịch ngợm tạo ra nhằm gây hại cho các máy tính. Tùy theo cách thức mà tin tặc dùng, sự nguy hại của các lọai phần mềm ác tính có khác nhau từ chỗ chỉ hiển thị các cửa sổ hù dọa cho đến việc tấn

Một phần của tài liệu Ôn tập an toàn bảo mật thông tin trong mạng LAN (Trang 26)

(39 trang)