ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ AN TỒN MẠNG TS Nguyễn Đại Thọ Bộ mơn Mạng & Truyền thơng Máy tính Khoa Cơng nghệ Thơng tin thond_cn@vnu.edu.vn Năm học 2007-2008 Nguyễn Đại Thọ An toàn Mạng Mục tiêu mơn học • Chú trọng an tồn liên mạng • Nghiên cứu biện pháp ngăn cản, phòng chống, phát khắc phục vi phạm an tồn liên quan đến truyền tải thơng tin Nguyễn Đại Thọ An toàn Mạng Tài liệu tham khảo • Sách tham khảo – William Stallings Cryptography and Network Security : Principles and Practice, Fourth Edition Prentice Hall, 2005 • Sách tham khảo phụ – Charlie Kaufman, Radia Perlman, Mike Speciner Network Security: Private Communication in a Public World, Second Edition Prentice Hall, 2002 – Matt Bishop Computer Security: Art and Science Addison Wesley, 2002 – Man Young Rhee Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons, 2003 • Website – http://williamstallings.com Nguyễn Đại Thọ An toàn Mạng Chương Giới thiệu Nguyễn Đại Thọ An tồn Mạng Bối cảnh • Nhu cầu đảm bảo an tồn thơng tin có biến đổi lớn – Trước • Chỉ cần phương tiện vật lý hành – Từ có máy tính • Cần cơng cụ tự động bảo vệ tệp tin thông tin khác lưu trữ máy tính – Từ có phương tiện truyền thơng mạng • Cần biện pháp bảo vệ liệu truyền mạng Nguyễn Đại Thọ An tồn Mạng Các khái niệm • An tồn thơng tin – Liên quan đến yếu tố tài nguyên, nguy cơ, hành động công, yếu điểm, điều khiển • An tồn máy tính – Các cơng cụ bảo vệ liệu phịng chống tin tặc • An toàn mạng – Các biện pháp bảo vệ liệu truyền mạng • An tồn liên mạng – Các biện pháp bảo vệ liệu truyền tập hợp mạng kết nối với Nguyễn Đại Thọ An toàn Mạng Kiến trúc an toàn OSI • Kiến trúc an toàn cho OSI theo khuyến nghị X.800 ITU-T • Định phương thức chung cho việc xác định nhu cầu an toàn thơng tin • Cung cấp nhìn tổng quan khái niệm môn học đề cập đến • Chú trọng đến hành động công,các chế an toàn, dịch vụ an toàn Nguyễn Đại Thọ An tồn Mạng Hành động cơng • Là hành động phá hoại an tồn thơng tin tổ chức • An tồn thơng tin cách thức ngăn ngừa hành động công, khơng phát khắc phục hậu • Các hành động cơng có nhiều đa dạng • Chỉ cần tập trung vào thể loại chung • Lưu ý : nguy công hành động công thường dùng đồng nghĩa với Nguyễn Đại Thọ An toàn Mạng Các hành động cơng • Các hành động công thụ động – Nghe trộm nội dung thông tin truyền tải – Giám sát phân tích luồng thơng tin lưu chuyển • Các hành động cơng chủ động – – – – Giả danh thực thể khác Phát lại thơng báo trước Sửa đổi thông báo lưu chuyển Từ chối dịch vụ Nguyễn Đại Thọ An toàn Mạng Dịch vụ an tồn • Là dịch vụ nâng cao độ an tồn hệ thống xử lý thơng tin truyền liệu tổ chức • Nhằm phịng chống hành động cơng • Sử dụng hay nhiều chế an tồn • Có chức tương tự đảm bảo an toàn tài liệu vật lý • Một số đặc trưng tài liệu điện tử khiến việc cung cấp chức đảm bảo an tồn khó khăn Nguyễn Đại Thọ An tồn Mạng 10 Các khn dạng ISAKMP Nguyễn Đại Thọ An tồn Mạng 179 Chương AN TỒN WEB Nguyễn Đại Thọ An toàn Mạng 180 Vấn đề an tồn Web (1) • Web sử dụng rộng rãi công ty, tổ chức, cá nhân • Các vấn đề đặc trưng an tồn Web – Web dễ bị cơng theo hai chiều – Tấn công Web server gây tổn hại đến danh tiếng tiền bạc công ty – Các phần mềm Web thường chứa nhiều lỗi an tồn – Web server bị khai thác làm để cơng vào hệ thống máy tính tổ chức – Người dùng thiếu công cụ kiến thức để đối phó với hiểm họa an toàn Nguyễn Đại Thọ An toàn Mạng 181 Vấn đề an tồn Web (2) • Các hiểm họa an tồn Web – – – – Tính tồn vẹn Tính bảo mật Từ chối dịch vụ Xác thực • Các biện pháp an toàn Web Nguyễn Đại Thọ An tồn Mạng 182 SSL • Là dịch vụ an tồn tầng giao vận • Do Netscape khởi xướng • Phiên cơng bố dạng thảo Internet • Trở thành chuẩn TLS – Phiên TLS ≈ SSLv3.1 tương thích ngược với SSLv3 • Sử dùng TCP để cung cấp dịch vụ an tồn từ đầu cuối tới đầu cuối • Gồm tầng giao thức Nguyễn Đại Thọ An toàn Mạng 183 Mơ hình phân tầng SSL Nguyễn Đại Thọ An tồn Mạng 184 Kiến trúc SSL (1) • Kết nối SSL – – – – Liên kết giao tiếp từ điểm nút tới điểm nút Mang tính thời Gắn với phiên giao tác Các tham số xác định trạng thái kết nối • • • • • • • Các số ngẫu nhiên chọn server client Khóa MAC server Khóa MAC client Khóa mã hóa server Khóa mã hóa client Các vector khởi tạo Các số thứ tự Nguyễn Đại Thọ An tồn Mạng 185 Kiến trúc SSL (2) • Phiên SSL – – – – Liên kết client server Tạo lập nhờ giao thức bắt tay Có thể bao gồm nhiều kết nối Xác lập tập tham số an toàn sử dụng tất kết nối phiên giao tác • • • • • • Định danh phiên Chứng thực điểm nút Phương pháp nén Đặc tả mã hóa Khóa bí mật chủ Cờ tiếp tục hay khơng Nguyễn Đại Thọ An tồn Mạng 186 Giao thức ghi SSL • Cung cấp dịch vụ bảo mật xác thực – Khóa bí mật chung giao thức bắt tay xác lập Nguyễn Đại Thọ An tồn Mạng 187 Khn dạng ghi SSL Nguyễn Đại Thọ An toàn Mạng 188 Giao thức đổi đặc tả mã hóa SSL • Một ba giao thức chuyên dụng SSL sử dụng giao thức ghi SSL • Chỉ gồm thơng báo chứa byte liệu có giá trị • Khiến cho trạng thái treo trở thành trạng thái thời – Cập nhật đặc tả mã hóa cho kết nối Nguyễn Đại Thọ An toàn Mạng 189 Giao thức báo động SSL • Dùng chuyển tải báo động liên quan đến SSL tới thực thể điểm nút • Mỗi thơng báo gồm byte – Byte thứ mức độ nghiêm trọng • Cảnh báo : có giá trị • Tai họa : có giá trị – Byte thứ hai nội dung báo động • Tai họa : unexpected_message, bad_record_mac, decompression_failure, handshake_failure, illegal_parameter • Cảnh báo : close_notify, no_certificate, bad_certificate, unsupported_certificate, certificate_revoked, certificate_expired, certificate_unknown Nguyễn Đại Thọ An toàn Mạng 190 Giao thức bắt tay SSL • Cho phép server client – Xác thực lẫn – Thỏa thuận giải thuật mã hóa MAC – Thỏa thuận khóa mật mã sử dụng • Gồm chuỗi thông báo trao đổi client server • Mỗi thơng báo gồm trường – Kiểu (1 byte) – Độ dài (3 byte) – Nội dung (≥ byte) Nguyễn Đại Thọ An toàn Mạng 191 TLS • Là phiên chuẩn Internet SSL – Mô tả RFC 2246 giống với SSLv3 – Một số khác biệt nhỏ so với SSLv3 • Số phiên khn dạng ghi SSL • Sử dụng HMAC để tính MAC • Sử dụng hàm giả ngẫu nhiên để khai triển giá trị bí mật • Có thêm số mã báo động • Khơng hỗ trợ Fortezza • Thay đổi trao đổi chứng thực • Thay đổi việc sử dụng liệu đệm Nguyễn Đại Thọ An toàn Mạng 192 KẾT THÚC ... chống tin tặc • An tồn mạng – Các biện pháp bảo vệ liệu truyền mạng • An tồn liên mạng – Các biện pháp bảo vệ liệu truyền tập hợp mạng kết nối với Nguyễn Đại Thọ An tồn Mạng Kiến trúc an tồn OSI •... tuyến, cơng chứng • Các chế an tồn phổ qt – Tính đáng tin, nhãn an toàn, phát kiện, dấu vết kiểm tra an tồn, khơi phục an tồn Nguyễn Đại Thọ An tồn Mạng 14 Mơ hình an tồn mạng Bên thứ ba đáng tin... thức sử dụng hai bên gửi nhận dựa giải thuật an toàn thơng tin bí mật, làm sở cho dịch vụ an toàn Nguyễn Đại Thọ An toàn Mạng 16 Mơ hình an tồn truy nhập mạng Các tài ngun tính tốn (bộ xử lý, nhớ,