Một số giao thức mã hoá

Một phần của tài liệu Mật mã và An toàn thông tin trên mạng máy tính (Trang 57)

1. Giao thức mã hoá tầng 2 mô hình OSI

a. PPTP (Point to Point Tunneling Protocol)

PPTP – Giao thức tạo đường hầm điểm nối điểm: được phát triển bởi Microsoft nhằm giải quyết vấn đề tạo một kênh riêng an toàn trên môi trường công cộng mà điểm hình là mạng riêng ảo (VPN).

PPTP không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộng dựa trên TCP/IP mà còn cả các giao dịch qua mạng Intranet riêng.

PPTP đưa ra nhiều dịch vụ bảo mật xây dựng sẵn khác nhau cho PPTP Server và Client. Các dịch vụ bảo mật này bao gồm: Mã hóa và nén dữ liệu, xác thực, kiểm soát truy cập và lọc gói tin.

b. Giao thức chuyển tiếp tầng 2 L2F (Layer 2 Forwarding)

Bất chấp các yêu cầu của Microsoft về giao dịch bảo mật, PPTP dựa trên MS- CHAP là không thật sự an toàn. Vấn đề này làm cho các tổ chức công nghiệp và các

chuyên gia tìm đến các giải pháp thay thế có thể đem lại sự bảo mật liền mạch cho nhiều dịch vụ quay số ảo và nhiều giao thức.

Cisco System cùng với Nortel là một trong các nhà cung cấp hàng đầu các giải pháp theo hướng:

- Có khả năng bảo mật các giao dịch.

- Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trung gian khác.

- Hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay.

Ngoài việc thực hiện đầy đủ những mục đích trên, L2F mang lại những thuận lợi khác trong công nghệ truy cập từ xa. Các đường hầm L2F có thể hỗ trợ nhiều phiên đồng thời trong cùng một đường hầm.

Tuy nhiên L2F cũng có một số hạn chế như:

- Việc thực thi giải pháp dựa trên L2F phụ thuộc nhiều vào ISP, nếu ISP không hỗ trợ L2F thì không thể thực hiện được giải pháp này.

- L2F không cung cấp kiểm soát luồng. Và như vậy, nếu đường hầm bị đầy thì các gói dữ liệu có thể bị xoá tuỳ tiện. Điều này là nguyên nhân của việc phải phát lại gói dữ liệu, nó làm chậm tốc độ truyền.

- Do kết hợp cả xác thực và mã hoá, các giao dịch thực hiện qua đường hầm dựa trên L2F là chậm khi so sánh với PPTP.

c. Giao thức đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol)

Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco, Microsoft, 3COM, và Ascend. L2TP là một sự kết hợp của các giao thức VPN trước đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F. L2TP cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP.

Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tích hợp các đặc trưng của L2F và PPTP. Đó là những lợi ích sau:

- L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP. Kết quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập thông

- L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình điều khiển hay hỗ trợ hệ điều hành. Cho nên người dùng từ xa cũng như người dùng trong Intranet riêng không cần phải thực thi các phần mềm đặc biệt.

- L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy cập một mạng từ xa qua một mạng công cộng.

- Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền truy cập cho người dùng từ xa. Hơn nữa, trong mạng Intranet cũng có thể định nghĩa chính sách bảo mật và truy cập cho chính họ. Điều này làm cho tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức đường hầm trước.

2. Giao thức mã hoá tầng 3 mô hình OSI – IPSec (IP Security)

IPSec mang lại chức năng mã hóa với giao thức đóng gói tải bảo mật và sử dụng giao thức trao đổi khóa Internet cho việc sinh khóa và làm tươi khóa. ESP có khả năng mã hóa trên từng gói dữ liệu trong một phiên giao dịch và đưa ra thuật toán mã hóa ở các mức độ: thấp, trung bình, mạnh và rất mạnh để có thể lựa chọn từ DES 40bit đến Trip DES 192bit. IKE xác thực các bên cần trao đổi thông tin mật dựa trên các thuật toán xác thực mạnh cũng như mã hóa các thông điệp làm tươi khóa. Các khóa được sinh bởi IKE sau đó được sử dụng bởi IKE. ESP cung cấp tùy chọn xác thực trên từng gói dữ liệu và bảo vệ lại. Điều này làm cho IPSec phức tạp và an toàn hơn các tùy chọn xác thực PPP truyền thống. Nhưng nó cũng làm xuất hiện quá trình xử lý Overhead nhiều hơn tại thiết bị thực thi. IPSec là giao thức bảo mật được khuyến cáo cho L2TP và cũng có thể được dùng với L2F.

3. Giao thức mã hoá tầng 4 mô hình OSI (SSL và TLS )

SSL (Secure socket Layer) là giao thức bảo mật được phát triển bởi hãng truyền

thông Netscape, cùng với hãng bảo mật dữ liệu RSA và được hỗ trợ bởi hầu hết các hãng phần mềm hàng đầu. Mục đích chính của giao thức SSL là cung cấp một kênh riêng giữa các ứng dụng đang liên lạc với nhau, trong đó đảm bảo tính riêng tư của dữ liệu, tính toàn vẹn và xác thực cho các đối tác. SSL cung cấp một khả năng lựa chọn cho API socket TCP/IP chuẩn có thực thi bảo mật bên trong nó. Do đó, về lý thuyết nó có khả năng chạy với bất kỳ ứng dụng TCP/IP nào một cách an toàn mà không phải thay đổi ứng dụng.

Các đường hầm mật mã dựa trên SSL

Giống như SSL, TLS (Tranport Layer Security) cho phép các Server và Client cuối liên lạc một cách an toàn qua các mạng công cộng không an toàn.

Thêm vào các khả năng bảo mật được cung cấp bởi SSL, TLS cũng ngăn chặn kẻ nghe trộm, giả mạo, chặn bắt gói tin.

4. Giao thức mã hoá tầng 7 mô hình OSI

Các ứng dụng hoạt động ở tầng 7 của mô hình OSI đều có thể sử dụng các giao thức mã hoá để đảm bảo an toàn trong quá trình trao đổi trên mạng.

 Dịch vụ Web: sử dụng giao thức HTTPs (HTTP on top of SSL)

Quá trình trao đổi thông tin thông qua giao thức HTTPs được chia thành 2 giai đoạn:

- Giai đoạn 1: sử dụng kỹ thuật mã hoá khoá công khai để trao đổi một khoá bí mật giữa các bên tham gia truyền thông trong một phiên làm việc

- Giai đoạn 2: Sử dụng kỹ thuật mã hoá khoá bí mật để trao đổi thông tin với khoá bí mật là khoá được trao đổi ở giai đoạn một.

 Dịch vụ Email: Sử dụng một số kỹ thuật mã hoá như:

- PEM (Private Enhancement for internet electronic Mail)

- OpenPGP (Pretty Good Privacy)

- S/MINE (Secure MINE)  Secure Shell (SSH):

Là giao thức dùng để kết nối mạng một cách bảo mật. SSH hoạt động ở lớp trên cùng trong mô hình TCP/IP, sử dụng trong các ứng dụng đầu cuối (terminal) thay thế cho Telnet, rLogin, …

Phương thức hoạt động của SSH chia làm 3 giai đoạn:

- Định danh Host: xác định định danh của các hệ thống tham gia phiên làm việc

- Mã hoá: thiết lập kênh làm việc đảm bảo an toàn

CÂU HỎI ÔN TẬP VÀ BÀI TẬP THỰC HÀNH CHƯƠNG 2

Câu 1: Trình bày những khái niệm cơ bản của mật mã và ý nghĩa của mật mã đối với

bảo đảm an toàn thông tin trên mạng máy tính?

Câu 2: Trình bày ý tưởng của các giải thuật mã hoá đối xứng (khoá bí mật)? Câu 3: Phân tích sơ đồ bảo vệ thông tin dùng mật mã khoá bí mật?

Câu 4: Trình bày một số hệ mật mã khoá bí mật tiêu biểu, đánh giá độ an toàn của

từng hệ mật

Câu5: Trình bày ý tưởng của giải thuật mã hóa khoá công khai và ứng dụng của nó? Câu 6: Phân tích sơ đồ bảo vệ thông tin dùng mật mã khoá công khai?

Câu 7: Nêu một số kỹ thuật phân phối khoá công khai hiện nay? câu 8: Trình bày mã hàm băm và chữ ký điện tử

Câu 9: Trình bày hệ mật mã khoá công khai RSA

Câu 10: Trình bày ý nghĩa và các bước để xây dựng cơ sở hạ tầng khoá công khai

(PKI – Public Key Infrastructure)

câu 11: Trình bày một số giao thức mã hoá phổ biến?

câu 12: Thực hiện thiết lập mô hình thực hành trên máy ảo như sau:

Thiết lập:

 Server CA:

- Hệ điều hành: Windows Server 2003 Standard edition

- IP Address: 172.16.1.1/8

- Cài đặt Mail Server: Mdeamon

- Cài đặt Web server

 Client 01:

- Hệ điều hành: Windows XP Professional

- IP Address: 172.16.1.5/8

- Cài đặt Mail Client: Outlook Express

 Client 02:

- Hệ điều hành: Windows XP Professional

- IP Address: 172.16.1.6/8

- Cài đặt Mail Client: Outlook Express Yêu cầu:

 Nâng cấp máy Server thành Root CA

 Tạo các tài khoản Mail cho 2 người dùng trên Mail Server: x@t36.bca, y@t36.bca

 Các máy Client gửi thư cho nhau không sử dụng mã hoá, dùng chương trình chặn bắt gói tin để đọc nội dung của Email. Ghi nhận lại kết quả và rút ra kết luận.

 Các Client xin cấp phát chứng chỉ số từ CA Server thông qua giao diện Web

 Đăng nhập Server CA để duyệt các yêu cầu xin cấp chứng chỉ số của người dùng

 Client sử dụng chứng chỉ số được cấp phát để mã hoá Email. Thử nghiệm gửi Email có sử dụng mã hoá, dùng chương trình chặn bắt gói tin, kiểm tra kết quả nhận được và rút ra kết luận

 Dùng chứng chỉ số để tạo chữ ký điện tử đính kèm theo Email

 Thiết lập tại Server yêu cầu người dùng truy cập Website thông qua giao thức mã hoá HTTPs

CHƯƠNG 3: AN TOÀN HẠ TẦNG MẠNG I. Cơ chế dịch địa chỉ (NAT – Network Address Translation) 1. Tổng quan về NAT

a. Khái niệm NAT

NAT giống như một router, nó chuyển tiếp các gói tin giữa những lớp mạng khác nhau trên một mạng lớn. NAT dịch hay thay đổi một hoặc cả hai địa chỉ bên trong một gói tin khi gói tin đó đi qua router, hay một số thiết bị khác. Thông thường, NAT thường thay đổi địa chỉ (thường là địa chỉ riêng) được dùng bên trong một mạng sang địa chỉ công cộng.

NAT cũng có thể được coi như một firewall cơ bản. Để thực hiện được công việc đó, NAT duy trì một bảng thông tin về mỗi gói tin được gửi qua. Khi một PC trên mạng kết nối đến 1 website trên Internet, header của địa chỉ IP nguồn được thay thế bằng địa chỉ Public đã được cấu hình sẵn trên NAT server, sau khi có gói tin trở về, NAT dựa vào bảng thông tin mà nó đã lưu về các gói tin, thay đổi địa chỉ IP đích thành địa chỉ của PC trong mạng và chuyển tiếp đi. Thông qua cơ chế đó quản trị mạng có khả năng lọc các gói tin được gửi đến hay gửi đi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ thể.

Như vậy kỹ thuật NAT ngoài việc giúp tiết kiệm nguồn tài nguyên địa chỉ IPv4 đang dần cạn kiệt, còn có thể đảm bảo một số yêu cầu bảo mật như : che dấu thông tin về địa chỉ IP thật của các Host thuộc mạng trong và cho phép người quản trị lọc được các gói tin trao đổi qua mạng.

Một số khái niệm cơ bản:

- Inside local address: Địa chỉ IP được gán cho một host của mạng trong. Đây

là địa chỉ được cấu hình như là một tham số của hệ điều hành trong máy tính hoặc được gán một cách tự động thông qua các giao thức như DHCP.

- Inside global address: Là một địa chỉ hợp lệ được cấp bởi NIC hoặc một nhà

cung cấp dịch vụ trung gian. Địa chỉ này đại diện cho một hay nhiều địa chỉ IP inside local trong việc giao tiếp với mạng bên ngoài.

- Outside local address: Là địa chỉ IP của một host thuộc mạng bên ngoài, các

host thuộc mạng bên trong sẽ nhìn host thuộc mạng bên ngoài thông qua địa chỉ này.

- Outside global address: Là địa chỉ IP được gán cho một host thuộc mạng

ngoài bởi người sở hữu host đó. Địa chỉ này được gán bằng một địa chỉ IP hợp lệ trên mạng Internet.

b. Cơ chế làm việc của NAT

NAT sử dụng IP của chính nó làm IP công cộng cho mỗi máy trạm (client). Khi một máy trạm thực hiện kết nối hoặc gửi dữ liệu tới một máy tính nào đó trên Internet, dữ liệu sẽ được gởi tới NAT, sau đó NAT sẽ thay thế địa chỉ IP gốc của máy trạm đó rồi gửi gói dữ liệu đi với địa chỉ IP của NAT. Máy tính từ xa hoặc máy tính nào đó trên Internet khi nhận được tín hiệu sẽ gởi gói tin trở về cho NAT computer bởi vì chúng nghĩ rằng NAT computer là máy đã gởi những gói dữ liệu đi. NAT ghi lại bảng thông tin của những máy tính đã gởi những gói tin đi ra ngoài trên mỗi cổng dịch vụ và gởi những gói tin nhận được về đúng máy tính đó (client).

NAT xử lý một gói tin xuất phát từ bên trong đi ra bên ngoài một mạng theo cách thức sau:

- Khi NAT nhận một gói tin từ một cổng bên trong, gói tin này đáp ứng các tiêu chuẩn để NAT, router sẽ tìm kiếm trong bảng NAT địa chỉ bên ngoài (outside address) của gói tin. Nói cách khác, tiến trình NAT tìm kiếm một hàng ở trong bảng NAT trong đó địa chỉ outside local address bằng với địa chỉ đích của gói tin. Nếu không có phép so trùng nào tìm thấy, gói tin sẽ bị loại bỏ.

- Nếu có một hàng trong bảng NAT là tìm thấy (trong hàng này, địa chỉ đích của gói tin bằng với địa chỉ outside local), NAT sẽ thay thế địa chỉ đích trong gói tin bằng địa chỉ outside global theo thông tin trong bảng NAT.

- Tiến trình NAT tiếp tục tìm kiếm bảng NAT để xem có một địa chỉ inside local nào bằng vớI địa chỉ nguồn của gói tin hay không. Nếu có một hàng là tìm thấy, NAT tiếp tục thay thế địa chỉ nguồn của gói tin bằng địa chỉ inside global. Nếu không có một hàng nào được tìm thấy, NAT sẽ tạo ra một hàng mới trong bảng NAT và chèn địa chỉ mới vào trong gói tin.

NAT sẽ xử lý một gói tin xuất phát từ mạng bên ngoài đi vào mạng bên trong theo cách sau:

- Khi NAT nhận được một gói tin xuất phát từ một cổng bên ngoài, đáp ứng các tiêu chuẩn để NAT, tiến trình NAT sẽ tìm kiếm trong bảng NAT một hàng trong đó địa chỉ inside global là bằng với đia chỉ đích của gói tin.

- Nếu không có hàng nào trong bảng NAT được tìm thấy, gói tin bị loạI bỏ. Nếu có một hàng tìm thấy trong bảng NAT, NAT sẽ thay thế địa chỉ đích bằng địa chỉ inside local từ bảng NAT.

- Router tìm kiếm bảng NAT để tìm ra địa chỉ outside global bằng với địa chỉ nguồn của gói tin. Nếu có một hàng là tìm thấy, NAT sẽ thay thế địa chỉ đích bằng địa chỉ outside local từ bảng NAT. Nếu NAT không tìm thấy một hàng nào, nó sẽ tạo ra một hàng mới trong bảng NAT và cũng thực hiện như ở bước 2.

c. Các kỹ thuật NAT cơ bản

 Kỹ thuật NAT tĩnh (Static NAT):

Với NAT tĩnh, địa chỉ IP thường được ánh xạ tĩnh với nhau thông qua các lệnh cấu hình. Trong NAT tĩnh, một địa chỉ Inside Local luôn luôn được ánh xạ vào địa chỉ Inside Global (ánh xạ 1-1). NAT tĩnh không tiết kiệm địa chỉ thực.

 Kỹ thuật NAT động (Dynamic NAT):

Với NAT động, số IP nguồn không bằng số IP đích. Số host chia sẻ nói chung bị giới hạn bởi số IP đích có sẵn. NAT động phức tạp hơn NAT tĩnh, vì thế chúng phải

Một phần của tài liệu Mật mã và An toàn thông tin trên mạng máy tính (Trang 57)

Tải bản đầy đủ (DOC)

(168 trang)
w