Đang tải... (xem toàn văn)
Một số giao thức bảo mật mạng
AN TOAN TOÀÀN N MMẠẠNG MNG MÁÁY TY TÍÍNH NH ThS. Tô NguyThS. Tô Nguyễễn Nhn Nhậật Quangt QuangTrưTrườờng Đng Đạại Hi Họọc Công Nghc Công NghệệThông TinThông TinKhoa MKhoa Mạạng Mng Mááy Ty Tíính vnh vààTruyTruyềền Thôngn Thông ATMMT ATMMT --TNNQTNNQ22NNỘỘI DUNG MÔN HI DUNG MÔN HỌỌCC1.1.TTổổng quan vng quan vềềan ninh man ninh mạạngng2.2.CCáác phc phầần mn mềềm gây hm gây hạạii3.3.CCáác gic giảải thui thuậật mã hot mã hoááddữữliliệệuu4.4.Mã hoMã hoáákhokhoáácông khai vcông khai vààququảản lý khon lý khoáá5.5.ChChứứng thng thựực dc dữữliliệệuu6.6.MMộột st sốốgiao thgiao thứức bc bảảo mo mậật mt mạạngng7.7.BBảảo mo mậật mt mạạng không dâyng không dây8.8.BBảảo mo mậật mt mạạng vng vàành đainh đai9.9.TTììm kim kiếếm phm pháát hit hiệện xâm nhn xâm nhậậpp MMỘỘT ST SỐỐGIAO THGIAO THỨỨC C BBẢẢO MO MẬẬT MT MẠẠNGNGBBÀÀI 6I 6 ATMMT ATMMT --TNNQTNNQ44 ATMMT ATMMT --TNNQTNNQ55NNỘỘI DUNG BI DUNG BÀÀI HI HỌỌCC1.1.VVịịtrtrííccủủa ma mậật mã trong mt mã trong mạạng mng mááy ty tíínhnh2.2.Cơ sCơ sởởhhạạttầầng khong khoáácông khaicông khai3.3.IPsecIPsec4.4.SSL/TLSSSL/TLS5.5.PGP vPGP vààS/MIMES/MIME6.6.KerberosKerberos7.7.SSHSSH8.8.BBàài ti tậậpp ATMMT ATMMT --TNNQTNNQ661.1.VVịịtrtrííccủủa ma mậật mã trong mt mã trong mạạng mng mááy ty tíínhnhTTổổng quanng quanViViệệc sc sửửddụụng mng mậật mã trên mt mã trên mạạng mng mááy ty tíính nhnh nhằằm xây m xây ddựựng cng cáác giao thc giao thứức bc bảảo mo mậật mt mạạng:ng:––GiGiảải thui thuậật mã hot mã hoáákhokhoáá đ đốối xi xứứngng––GiGiảải thui thuậật mã hot mã hoáákhokhoáácông khaicông khai––GiGiảải thui thuậật sinh khot sinh khoáávvàà trao đ trao đổổi khoi khoáá––HHààm bămm băm––GiGiảải thui thuậật cht chứứng thng thựựcc––ChChữữký ský sốố––Cơ sCơ sởởhhạạttầầng khong khoáácông khaicông khai ATMMT ATMMT --TNNQTNNQ771.1.VVịịtrtrííccủủa ma mậật mã trong mt mã trong mạạng mng mááy ty tíínhnhTTổổng quanng quanĐĐểểbbảảo vo vệệtruytruyềền thông trên mn thông trên mạạngng, c, cóóththểểtritriểển khai cn khai cáác c gigiảải thui thuậậttmã hmã hóóaattạại i llớớp p bbấất kt kỳỳtrong kitrong kiếến trn trúúc mc mạạng. Sng. Sửửddụụng cng cáác c gigiảải thui thuậậttmã hmã hóóa a ởởccáác lc lớớp p khkháác nhauc nhaussẽẽcungcungccấấp cp cáác mc mứức đc độộbbảảo vo vệệkhkháác nhauc nhau CCáác giao thc giao thứức bc bảảo mo mậật mt mạạng ng ứứng dng dụụng trong thng trong thựực tc tếế::––TTầầng mng mạạng: ng: Cơ sCơ sởởhhạạttầầng khong khoáácông khai (PKI) công khai (PKI) X.509, giao thX.509, giao thứức IP security (IPsec).c IP security (IPsec).––TTầầng vng vậận chuyn chuyểển: giao thn: giao thứức Secure Sockets c Secure Sockets Layer/Transport Layer Security (SSL/TLS).Layer/Transport Layer Security (SSL/TLS).––TTầầng ng ứứng dng dụụng: Pretty Good Privacy (PGP), Secure/ ng: Pretty Good Privacy (PGP), Secure/ Multipurpose Internet Mail Extension (S/MIME), Multipurpose Internet Mail Extension (S/MIME), Kerberos, Secure Shell (SSH).Kerberos, Secure Shell (SSH). ATMMT ATMMT --TNNQTNNQ881.1.VVịịtrtrííccủủa ma mậật mã trong mt mã trong mạạng mng mááy ty tíínhnhTTổổng quanng quanRiêng tưRiêng tư/Mã ho/Mã hoááChChứứng thng thựựccKý/ ToKý/ Toààn vn vẹẹn n ddữữliliệệuuNhân viên nNhân viên nộội i bbộộhohoặặc tc từừxa xa truy ctruy cậập đp đếến n serverserverSSL 2.0 hoSSL 2.0 hoặặc 3.0 c 3.0 (cung c(cung cấấp bp bởởi Secure i Secure Server ID)Server ID)--Server chServer chứứng thng thựực bc bởởi Server IDi Server ID--Client chClient chứứng thng thựực bc bởởi mi mậật kht khẩẩu u hohoặặc bc bởởi SSL 3.0 vi SSL 3.0 vớới Client IDi Client IDKý vKý vàào văn bo văn bảản, n, S/MIME sS/MIME sửửddụụng ng Client IDClient IDKhKháách hch hààng ng truy ctruy cậập đp đếến n serverserverSSL 2.0 hoSSL 2.0 hoặặc 3.0 c 3.0 (cung c(cung cấấp bp bởởi Secure i Secure Server ID)Server ID)Như trênNhư trênKhông cKhông cầần thin thiếếttNhân viên tNhân viên từừxa sxa sửửddụụng eng e--mailmail--SSL trên POP3 hoSSL trên POP3 hoặặc c IMAP mail serverIMAP mail server--S/MIME Client ID S/MIME Client ID hohoặặc VPN sc VPN sửửddụụng ng IPsecIPsecServer chServer chứứng thng thựực bc bởởi mi mậật kht khẩẩu cu củủa a Server IDServer IDS/MIME sS/MIME sửửddụụng ng Client IDClient IDTruyTruyềền thông n thông vvớới chi nhi chi nháánhnh--SSLSSL--VPN sVPN sửửddụụng IPsecng IPsec--Server chServer chứứng thng thựực bc bởởi Server IDi Server ID-- Router Router/ / tưtườờng lng lửửa cha chứứng thng thựực bc bởởi i IPsec IDIPsec ID--Client chClient chứứng thng thựực bc bởởi mi mậật kht khẩẩu u hohoặặc SSL 3.0 vc SSL 3.0 vớới Client IDi Client IDKý vKý vàào văn bo văn bảản, n, S/MIMES/MIME ATMMT ATMMT --TNNQTNNQ991.1.VVịịtrtrííccủủa ma mậật mã trong mt mã trong mạạng mng mááy ty tíínhnhSSựự tương tương ứứng ging giữữa kia kiếến trn trúúc TCP/IP vc TCP/IP vààmô hmô hìình OSInh OSI ATMMT ATMMT --TNNQTNNQ10101.1.VVịịtrtrííccủủa ma mậật mã trong mt mã trong mạạng mng mááy ty tíínhnhSSựự đ đóóng gng góói vi vààmã homã hoááddữữliliệệu tu tạại ci cáác lc lớớp mp mạạngngMã hoMã hoááttạại li lớớp p ứứng dng dụụng ng (Application Layer): (Application Layer): ––BBảảo mo mậật endt end--toto--end.end.––DDữữliliệệu đưu đượợc mã hoc mã hoááhohoặặc chc chứứng thng thựực tc tạại li lớớp p nnàày sy sẽẽtitiếếp tp tụục đi qua cc đi qua cáác c llớớp khp kháác như dc như dữữliliệệu bu bìình nh thưthườờng (không cng (không cầần gin giảải i mã homã hoặặc kic kiểểm tra).m tra).––TCP header vTCP header vààIP header IP header ssẽẽ không đư không đượợc mã hoc mã hoáá(do n(do nằằm m ởởccáác lc lớớp dưp dướới) i) →→attacker cattacker cóóththểểphân phân ttíích vch vààssửửa đa đổổi ni nộội dung.i dung.––VD: Malice cVD: Malice cóóththểể thay đ thay đổổi i đđịịa cha chỉỉ IP đ IP đíích trong IP ch trong IP header đheader đểểphân phphân phốối gi góói i tin cho ngưtin cho ngườời khi kháác.c. [...]... nhau . . C C á á c giao th c giao th ứ ứ c b c b ả ả o m o m ậ ậ t m t m ạ ạ ng ng ứ ứ ng d ng d ụ ụ ng trong th ng trong th ự ự c t c t ế ế : : – – T T ầ ầ ng m ng m ạ ạ ng: ng: Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai (PKI) công khai (PKI) X.509, giao th X.509, giao th ứ ứ c IP security (IPsec). c IP security (IPsec). – – T T ầ ầ ng v ng v ậ ậ n chuy n chuy ể ể n: giao th n: giao th ứ ứ c... m ạ ạ ng riêng ng riêng ả ả o (VPN o (VPN – – Virtual Private Networks). Virtual Private Networks). Bao g Bao g ồ ồ m c m c á á c giao th c giao th ứ ứ c ch c ch ứ ứ ng th ng th ự ự c, c c, c á á c giao th c giao th ứ ứ c mã ho c mã ho á á , , c c á á c giao th c giao th ứ ứ c trao đ c trao đ ổ ổ i kho i kho á á : : – – AH (A AH (A uthentication header): uthentication header): đư đư ợ ợ c s c...ATMMT ATMMT - - TNNQ TNNQ 42 42 3. IPsec 3. IPsec C C á á c phương th c phương th ứ ứ c c c c ủ ủ a IPsec a IPsec Phương thức đường hầm (Tunel mode): sử dụng mode này khi cần kết nối Site-to-Site thông qua Internet (hay các mạng công cộng khác). Tunel Mode cung cấp sự bảo vệ Gateway-to-Gateway (cửa-đến- cửa). ATMMT ATMMT - - TNNQ TNNQ 32 32 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng... ho á á d d ữ ữ li li ệ ệ u u 4. 4. Mã ho Mã ho á á kho kho á á công khai v công khai v à à qu qu ả ả n lý kho n lý kho á á 5. 5. Ch Ch ứ ứ ng th ng th ự ự c d c d ữ ữ li li ệ ệ u u 6. 6. M M ộ ộ t s t s ố ố giao th giao th ứ ứ c b c b ả ả o m o m ậ ậ t m t m ạ ạ ng ng 7. 7. B B ả ả o m o m ậ ậ t m t m ạ ạ ng không dây ng không dây 8. 8. B B ả ả o m o m ậ ậ t m t m ạ ạ ng v ng v à à nh đai nh đai 9. 9. T T ì ì m... ki m ki ế ế m ph m ph á á t hi t hi ệ ệ n xâm nh n xâm nh ậ ậ p p ATMMT ATMMT - - TNNQ TNNQ 29 29 2. 2. Cơ s Cơ s ở ở h h ạ ạ t t ầ ầ ng kho ng kho á á công khai công khai X.509 X.509 C C á á c giao d c giao d ị ị ch gi ch gi ữ ữ a ngư a ngư ờ ờ i d i d ù ù ng, RA, CA v ng, RA, CA v à à kho: kho: 1. 1. Đăng ký Đăng ký : N : N gư gư ờ ờ i d i d ù ù ng đăng ký v ng đăng ký v ớ ớ i CA ho i CA ho ặ ặ c... ph í í cao v cao v à à k k é é m linh m linh ho ho ạ ạ t khi c t khi c ầ ầ n thay đ n thay đ ổ ổ i. i. ATMMT ATMMT - - TNNQ TNNQ 36 36 3. IPsec 3. IPsec T T ổ ổ ng quan ng quan L L à à m m ộ ộ t giao th t giao th ứ ứ c b c b ả ả o m o m ậ ậ t ch t ch í í nh t nh t ạ ạ i l i l ớ ớ p M p M ạ ạ ng (Network Layer ng (Network Layer – – OSI) ho OSI) ho ặ ặ c l c l ớ ớ p Internet (Internet Layer p Internet... c ng c ả ả hai đ hai đ ề ề u s u s ử ử d d ụ ụ ng c ng c ù ù ng c ng c á á c gi c gi ả ả i i thu thu ậ ậ t v t v à à thông s thông s ố ố . . – – Đ Đ ị ị a ch a ch ỉ ỉ IP đ IP đ í í ch. ch. – – Giao th Giao th ứ ứ c b c b ả ả o m o m ậ ậ t: AH hay ESP. IPsec không cho t: AH hay ESP. IPsec không cho ph ph é é p AH hay ESP s p AH hay ESP s ử ử d d ụ ụ ng đ ng đ ồ ồ ng th ng th ờ ờ i trong c i trong . công khai (PKI) X.509, giao thX.509, giao thứức IP security (IPsec).c IP security (IPsec).––TTầầng vng vậận chuyn chuyểển: giao thn: giao thứức Secure Sockets. khóa bí mậtcủa mình và mọi người đều có thể kiểm tra với khóa công khai của người đó. PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật,