Thông tin tài liệu
Chương 3: AN TOÀN MẠNG MÁY TÍNH Giáo viên: ThS Tạ Minh Thanh E-mail: taminhjp@gmail.com December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An An ninh truyền tin người-người -Kẻ trộm không hiểu nội dung -Thông điệp không bị sửa đổi -Gửi địa -… -Ăn trộm -Sửa đổi -Huỷ bỏ -… ?????? "Thần tốc, thần tốc Táo bạo, táo bạo Tranh thủ giờ, phút, xốc tới mặt trận, giải phóng miền Nam, chiến toàn thắng" December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An An toàn mạng máy tính 4.1 - An toàn mạng yêu cầu 4.2 - Mã hoá (cryptography) 4.3 - Chứng thực (authentication) 4.4 - Tính liêm nguyên vẹn (integrity) 4.5 - Key Distribution and Certification 4.6 - Kiểm soát truy cập (access control): firewalls 4.7 - Tấn công mạng (network attacks) 4.8 - An ninh tầng mạng December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Truyền tin an toàn mạng máy tính • Alice, Bob, Trudy: máy tính cụ thể, dịch vụ cụ thể (web, mail, DNS, bank…) • Bob, Alice muốn “trò chuyện” bí mật; nạn nhân (victim) Trudy • Trudy (kẻ trộm) muốn nghe thấy, lưu lại, huỷ bỏ, sửa đổi thông điệp, gửi thông điệp giả mạo (Alice’s boyfriend) (Bob’s girlfriend) (Kẻ phá hoại) December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Các yêu cầu an toàn truyền tin • Bí mật (confidentiality): msg truyền có sender (sndr) receiver (rcvr) hiểu – sndr mã hoá msg – rcvr giải mã msg • Chứng thực (authentication): đảm bảo sndr rcvr trao đổi thông tin với đối tượng (không bị giả mạo) • Tính liêm nguyên vẹn (integrity): msg nhận không bị sửa đổi bị sửa đổi phải phát được; msg phải đảm bảo đến từ sndr • Kiểm soát truy cập (access control): – kiểm soát truy nhập dịch vụ (firewalls) – dịch vụ sẵn sàng với người dùng hợp lệ December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Mã hoá (cryptography) • Mã hoá (encryption): chuyển msg thành dạng khác mà có sndr rcvr hiểu cách giải mã (decryption) • Khoá (key): thông tin sử dụng để mã hoá hay giải mã – Khoá đối xứng (symmetric); khoá chia sẻ (shared): sndr rcvr biết – Khoá công khai (public): khoá dùng để mã hoá công khai December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Mã hoá đối xứng (SKC - Symmetric Key Cryptography) • Mã Caesar: thay ký tự msg ký tự đứng sau k vị trí – Vd: k=1 ab, bc,…,za Dễ mã hoá/giải mã • Phương pháp (substitution): Dễ phá mã??? – thay ký tự theo bảng thay thế.(brute-force attack + hiểu biết victim – mã Caecar trường hợp đặc biệt ngôn ngữ tự nhiên) • Ví dụ: Bảng Msg plaintext: bob i love you alice ciphertext: nkn s gktc wky mgsbc December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An SKC: DES • DES: Data Encryption Standard • Đưa NIST (National Institute of Standard and Technology, US) • Khoá (key) số nhị phân 56-bit; liệu (data) số nhị phân 64-bit • Mức độ an toàn DES: – RSA Inc 1997, msg = “Strong cryptography makes the world a safer place” , khoá 56-bit giải mã brute-force: tháng • Tăng độ an toàn DES: – cipher-block chaining: đầu 64-bit thứ j XOR với 64-bit vào – mã hoá nhiều lần liên tiếp (3 lần triple-DES: 3DES) – Advanced Encryption Standard (AES): • NIST cải tiến DES, 2001; Khoá: 128, 256, 512-bit; • brute-force: 149 nghìn tỷ (trillion) năm giây để giải mã DES 56-bit key December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Basic DES operation December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An Public Key Cryptography (PKC) • Sử dụng khoá đối xứng (SKC): – khoá mã khoá giải mã giống (khoá bí mật) – sndr rcvr cần phải thoả thuận trước khoá bí mật – khoá dùng chung gửi qua mạng có khả bị “ăn cắp” • Mã hoá sử dụng khoá công khai: – bên (sndr, rcvr) sử dụng cặp khoá (khoá mã khoá giải mã) – khoá mã công khai (PK - public key) – khoá giải mã bí mật (SK - secret key; sndr không cần biết khoá rcvr) – sndr không cần biết khoá bí mật rcvr December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 10 CA • Mỗi user đăng ký khoá công khai với CA • Mỗi Bob cần khoá công khai Alice không hỏi Alice mà hỏi CA – Lấy certificate Alice – Sử dụng CA’s public key để giải mã Alice public key December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 37 An toàn mạng máy tính 4.1 - An toàn mạng yêu cầu 4.2 - Mã hoá (cryptography) 4.3 - Chứng thực (authentication) 4.4 - Tính liêm nguyên vẹn (integrity) 4.5 - Key Distribution and Certification 4.6 - Kiểm soát truy cập (access control): firewalls 4.7 - Tấn công mạng (network attacks) 4.8 - An ninh tầng mạng December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 38 Firewall • Firewall: “Cửa” ra/vào mạng nội mạng Internet, làm nhiệm ngăn cấm luồng liệu “bất hợp pháp” ra/vào December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 39 Các mức firewalls • Firewall thực thi phần cứng (thiết bị mạng) hay phần mềm (phần mềm firewall) • Hai mức: – packet filtering (vd: router firewall) – application gateway • Packet filtering: Lọc gói tin ra/vào mạng – – – – src/dest IP addr TCP/UDP src/dest port number ICMP msg type TCP SYN and ACK bits (quản lý liên kết TCP) December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 40 Packet filtering example • Example 1: block incoming and outgoing datagrams with IP protocol field = 17 and with either source or dest port = 23 – All incoming and outgoing UDP flows and telnet connections are blocked • Example 2: Block inbound TCP segments with ACK=0 – Prevents external clients from making TCP connections with internal clients, but allows internal clients to connect to outside December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 41 Application gateway • Nhược điểm packet filtering – không lọc liệu tầng ứng dụng – không thiết lập đặc quyền cho vài người sử dụng số trường hợp (lọc gói tin) • Application gateway: – Lọc luồng liệu ứng dụng – lọc luồng IP/UDP/TCP • Một số firewalls: – Windows XP Personal firewall – Microsoft ISA server (đa chức năng) – Checkpoint December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 42 An toàn mạng máy tính 4.1 - An toàn mạng yêu cầu 4.2 - Mã hoá (cryptography) 4.3 - Chứng thực (authentication) 4.4 - Tính liêm nguyên vẹn (integrity) 4.5 - Key Distribution and Certification 4.6 - Kiểm soát truy cập (access control): firewalls 4.7 - Tấn công mạng (network attacks) 4.8 - An ninh tầng mạng December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 43 Internet security threats: mapping • Mapping: trước công: – phải xác định địa IP victim (ping …) – dò tìm dịch vụ chạy (port scanning): thử thiết lập liên kết TCP gửi segment UDP “nghe ngóng” xem có chuyện xảy ra! – nmap (http://www.insecure.org/nmap/) mapper: “network exploration and security auditing” Để phát mapping, quản trị mạng ghi lại luồng ra/vào, thống kê tìm dấu vết nghi ngờ (địa IP, port nhau) December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 44 Internet security threats: packet sniffing • Packet sniffing (nghe trộm/bắt gói tin) – broadcast media: nút mạng cảm gói tin gửi – promiscuous NIC nhận gói tin cảm Giải pháp: Quản trị mạng dùng phần mềm để phát promiscuous NIC C A src:B dest:A December 3, 2016 payload Học viện Kỹ thuật Quân Khoa CNTT - An B 45 Internet security threats: IP spoofing • IP spoofing (giả mạo gói tin): – tạo gói tin giả (thay đổi src addr) gửi – rcvr không phát liệu gói tin có bị giả mạo không? Giải pháp: cấu hình router để không forward gói tin có src addr sai lệch (không khả thi với router, đôi khi, kẻ phá hoại lại quản trị mạng) C A src:B dest:A payload B December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 46 Internet security threats: DoS • DoS (Denial of Service): công “từ chối dịch vụ”: – hàng loạt requests (flood) gửi tới server – server xử lý hết tải, dịch vụ ngừng… – DDoS (Distributed DoS): gói tin request gửi từ máy khác mạng (bị điều khiển attacker machine) Giải pháp: lọc gói tin flood (SYN packet); tìm src IP lọc gói tin December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 47 Something about Computer Viruses • Virus/Worm/Trojan/Backdoor…: chương trình có hại cho người dùng, có lợi cho “người khác” • Virus mạng: – Lan truyền qua mạng (Vd: Blaster) – Cho phép điều khiển máy tính nạn nhân lệnh Chương trình virus phản hồi Chương trình điều khiển VR NET Victim December 3, 2016 Attacker Học viện Kỹ thuật Quân Khoa CNTT - An 48 An toàn mạng máy tính 4.1 - An toàn mạng yêu cầu 4.2 - Mã hoá (cryptography) 4.3 - Chứng thực (authentication) 4.4 - Tính liêm nguyên vẹn (integrity) 4.5 - Key Distribution and Certification 4.6 - Kiểm soát truy cập (access control): firewalls 4.7 - Tấn công mạng (network attacks) 4.8 - An ninh tầng mạng December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 49 Các giao thức an toàn tầng • Secure email: – Pretty good privacy (PGP) sử dụng chữ ký điện tử (PGG signature) • Secure web: – SSL (Secure Socket Layer): Hoạt động tầng trung gian HTTP Transport HTTPS (Secure HTTP) • Network layer security: – IPsec (IP secure): AH (mã hoá IP header) & ESP (mã hoá IP payload) • Wireless security: – Wired Equivalent Privacy (WEP) – WAP December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 50 Q&A December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 51 ... triple-DES: 3DES) – Advanced Encryption Standard (AES): • NIST cải tiến DES, 2001; Khoá: 128, 256, 512-bit; • brute-force: 149 nghìn tỷ (trillion) năm giây để giải mã DES 56-bit key December 3, 2016... ciphertext: nkn s gktc wky mgsbc December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An SKC: DES • DES: Data Encryption Standard • Đưa NIST (National Institute of Standard and Technology, US) • Khoá... cố định: msg digests December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 29 Sender: Bob sends digitally signed message December 3, 2016 Học viện Kỹ thuật Quân Khoa CNTT - An 30 Receiver: Alice
Ngày đăng: 03/12/2016, 13:07
Xem thêm: Bài Giảng An Toàn Mạng Máy Tính
