Để đảm bảo an toàn cho mạng IP, ngoài việc thiết kế mạng phân chia thành các khối module thực hiện các chức năng khác nhau, hệ thống mạng cũng cần phải được phân thành các lớp an toàn mạng khác nhau.
Việc phân lớp an toàn mạng khác nhau nhằm phân định các quyền truy cập đến các vùng dịch vụ (vùng Front-End, Back-End), các máy chủ CSDL, mạng quay số RAS và khu vực mạng nội bộ của Hà Nội - Portal. Việc kiểm soát truy nhập, dịch vụ giữa các vùng mạng được thực hiện bởi thiết bị FireWall.
Với nguyên tắc đảm bảo an toàn của hệ thống mạng, FireWall sẽ kiểm soát thông tin truy nhập từ Internet, kiểm soát truy nhập từ mạng này sang mạng khác. Với khả năng cung cấp các tính năng VPN, NAT, PAT FireWall sẽ che dấu các địa chỉ thật của mạng trong. Firewall đặt trong mạng thực hiện các công việc sau
- Cho phép hệ thống có thể được cấu hình để chỉ mở một số cổng dịch vụ cần thiết truy xuất đến các máy chủ dịch vụ bên trong vùng Front-End, Back-End.
- Firewall được sử dụng cùng với hệ thống IDS tạo thành hệ thống an ninh phát hiện và chống các kiểu tấn công DoS, Bomb Mail từ bên ngoài, kể cả các cuộc tấn công xuất phát từ các máy tính. IDS được đặt trước Firewall hoạt động như một camera giám sát cửa trước, nó sẽ giúp phát hiện ra việc có ai đó đang đột nhập vào mạng kể cả trường hợp đột nhập không thành công. Có thể tăng cường bảo mật trong các vùng DMZ bằng cách đặt các hệ thống IDS khác vào vùng này. Tuy nhiên, hiện tại chưa cần thiết phải đầu tư thêm IDS cho các vùng DMZ vì giá phần cứng của thiết bị này không nhỏ. Có thể tính đến khả năng này trong dự án nâng cấp mở rộng hệ thống.
- Tách vùng LAN và vùng Dial-up đối với các truy xuất từ Internet.
- Bảo vệ cho vùng LAN của Hà Nội Portal (nơi cất giữ các thông tin nhạy cảm ví dụ như CSDL LDAP - bản chính, mail box của thuê bao, dữ liệu sao lưu của các website) đối với các vùng còn lại kể cả vùng Dial-up.Hạn chế đúng quyền với các dial-up users khi truy xuất vào các vùng mạng khác nhau.
60 Để tăng độ bảo mật, người quản trị có thể thực hiện dịch vụ NAT, che dấu toàn bộ các địa chỉ IP riêng bên trong. Có một số cơ chế NAT như sau:
- NAT tĩnh: 1 địa chỉ IP Internet tương ứng với 1 địa chỉ mạng trong.
- NAT động: Mỗi một cổng của địa chỉ IP Internet tương ứng với 1 cổng nào đó của 1 địa chỉ IP mạng bên trong. Với giải pháp này ta có thể tận dụng được khoảng địa chỉ IP Internet, và che dấu được cấu trúc thực sự của mạng bên trong. Ví dụ: với 1 địa chỉ IP Internet 203.162.10.120, ta có thể gán dịch vụ HTTP (80) cho địa chỉ bên trong 192.168.1.1 (80), dịch vụ POP3 (110) cho địa chỉ 192.168.1.10(110), dịch vụ SMTP(25) cho địa chỉ 192.168.1.11 (25),… Internet M¹ng m¸y chñ DMZ thùc sù 192.168.X.Y (203.162.X.Y) FireWall (NAT) M¹ng DMZ FireWall thùc hiÖn c¬ chÕ NAT
Hình vẽ: Cơ chế NAT của Firewall
FIREWALL THỰC HIỆN CƠ CHẾ NAT FIREWALL NAT MÁY CHỦ DMZ THỰC SỰ MẠNG DMZ
61
Chƣơng 3. THỬ NGHIỆM CÔNG NGHỆ SSL
TRONG VIỆC ĐẢM BẢO ATTT TRÊN ĐƢỜNG TRUYỀN
3.1 GIAO THỨC SSL 3.1.1 Giới thiệu về SSL
SSL là giao thức đa mục đích được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn bộ thông tin gửi/ nhận. Giao thức SSL được hình thành và phát triển đầu tiên năm 1994 bởi nhóm nghiên cứu Netscape dẫn dắt bởi Elgamal và nay đã trở thành chuẩn bảo mật cài đặt trên Internet.
SSL được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ giữa webserver và các trình duyệt khách (browsers), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá phiên (session key) được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng thứ ba (CA) thông qua chứng chỉ điện tử (digital certificate) dựa trên mật mã công khai (ví dụ RSA).
62 SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các ứng dụng tầng cao hơn như là HTTP (HyperText Transfer Protocol), LDAP (Lightweight Directory Access Protocol) hoặc IMAP (Internet Messaging Access Protocol). Hiện nay SSL được sử dụng chính cho các giao dịch trên Web.
SSL cho phép một server có hỗ trợ SSL tự xác thực với một Client cũng hỗ trợ SSL, cho phép client tự xác thực với server, và cho phép cả hai máy thiết lập một kết nối được mã hoá.
Các phiên bản
SSLv2: phiên bản đầu tiên của giao thức SSL do Netscape Corporation thiết kế. SSLv3: phiên bản SSL version 3.0 do Netscape Corporation thiết kế, đã có trợ giúp chain certificate (chứng chỉ nhóm) và được hỗ trợ cho tất cả các trình duyệt phổ thông.
TLSv1: giao thức Transport Layer Security version 1.0 dựa trên cơ sở của SSLv3, thiết kế bởi IETF, nhưng hiện chưa hỗ trợ cho tất cả các trình duyệt thông dụng.
63
3.1.2 Các khả năng của SSL 1/. Chứng thực SSL
Chứng thực Server:
Cho phép client xác thực được server muốn kết nối. Lúc này, phía trình duyệt sử dụng các kỹ thuật mã hóa công khai để chắc chắn rằng chứng chỉ và publicID của server là có giá trị và được cấp phát bởi một CA (Certificate Authority) trong danh sách các CA đáng tin cậy của client.
Chứng thực Client:
Cho phép server xác thực được client muốn kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá khoá công khai để kiểm tra chứng chỉ của client và publicID là đúng, được cấp phát bởi một CA trong danh sách các CA đáng tin cậy của Server.
2/. Mã hoá kết nối
Tất cả các thông tin trao đổi giữa client và server được mã hoá trên đường
truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên
khi có các giao dịch mang tính riêng tư. Ngoài ra tất cả các dữ liệu được gửi đi trên
một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát hiện các
xáo trộn, thay đổi trong dữ liệu.
Giao thức SSL gồm hai tầng. Tầng thấp nhất là tầng SSL Record Protocol. SSL Record Protocol được sử dụng để đóng gói một vài giao thức ở mức cao hơn. Một trong những giao thức được đóng gói đó là SSL Handshake Protocol, giao thức này cho phép server và client thực hiện việc xác thực lẫn nhau, thoả thuận một thuật toán mã hoá và các khoá mật mã trước khi giao thức ứng dụng gửi hoặc nhận dữ liệu.
3/. Các thuộc tính cơ bản Kết nối an toàn
Quá trình mã hóa dữ liệu được áp dụng sau khi quá trình bắt tay (handshake) đầu tiên xác định được một khoá bí mật. Mật mã đối xứng được sử dụng cho quá trình mã hoá dữ liệu (ví dụ DES, RC4…). Đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba.
Danh tính của người bên kia có thể được xác thực bằng mật mã khoá công khai (ví dụ RSA, DSS…).
64
Kết nối tin cậy
Việc vận chuyển các thông điệp bao gồm một quá trình kiểm tra tính toàn vẹn của thông điệp sử dụng một hàm kiểm tra MAC có khoá. Các hàm băm an toàn (ví dụ SHA, MD5…) được sử dụng cho quá trình thực hiện hàm MAC, nhằm đảm bảo thông tin không bị sai lệch và thể hiện chính xác thông tin gốc gửi đến.
Khả năng tƣơng tác giữa các phần tử
Các nhà lập trình độc lập có thể phát triển các ứng dụng sử dụng SSL 3.0 sau khi trao đổi các tham số mật mã mà không phải biết mã chương trình của các ứng dụng khác.
Khả năng mở rộng
SSL cung cấp một framework mà trong đó các phương pháp mã hoá và khóa công khai kết hợp lại chặt chẽ với nhau.
65
3.1.3 Các giao thức trong SSL
