Bài giảng Mạng máy tính - Trần Bá Nhiệm

hứng chỉ * Số thứ tự (duy nhất) thông tin về người sở hữu chứng chỉ, bao gồm giải thuật và chính giá trị khóa (không hiển thị ra) thông tin về người phát hành chứng chỉ ngày kiểm tra tính hợp lệ chữ ký số bởi người phát hành chứng chỉ Sử dụng chứng chỉ * Tổ chức chứng nhận (CA) Tạo chứng nhận Yêu cầu cấp chứng nhận theo Chuẩn X.509 Chứng nhận X.509 Ký & Mã hóa Đáng tin cậy ? Xác thực chứng nhận Chứng nhận hợp lệ & còn giá trị Ok! Tin tưởng & chấp nhận đề nghị. Sử dụng chứng chỉ * Cần chứng thực giấy chứng nhận CA Khóa bí mật bị BẺ ! ? Yêu cầu HỦY chứng nhận Hủy chứng nhận Chứng nhận đã bị HỦY ngày 25/3/2009 3:10:22 Xác thực chứng nhận Chứng nhận đã bị HỦY vào 25/3/2009 3:10:22 Hủy giao dịch Các Firewall-Tường lửa * cô lập mạng nội bộ của tổ chức với Internet, cho phép một số gói được truyền qua, ngăn chặn các gói khác firewall Firewall: Tại sao phải dùng? * Ngăn chặn các cuộc tấn công từ chối dịch vụ Denial Of Service (DoS): SYN flooding: kẻ tấn công thiết lập nhiều kết nối TCP “ảo”, không còn tài nguyên cho các kết nối “thật” Ngăn chặn việc sửa đổi/truy cập bất hợp pháp các dữ liệu nội bộ. Ví dụ: kẻ tấn công thay thế trang chủ của CIA bằng trang nào đó Chỉ cho phép các truy cập hợp pháp vào bên trong mạng (tập hợp các host/user được chứng thực) 2 kiểu firewall: mức ứng dụng lọc gói tin Lọc gói tin mạng nội bộ kết nối với Internet thông qua router firewall router lọc từng gói một, xác định chuyển tiếp hoặc bỏ các gói dựa trên: địa chỉ IP nguồn, địa chỉ IP đích các số hiệu port TCP/UDP nguồn và đích kiểu thông điệp ICMP các bit TCP SYN và ACK * Các gói đến sẽ được phép vào? Các gói chuẩn bị ra có được phép không? Lọc gói tin Ví dụ 1: chặn các datagram đến và đi với trường giao thức IP = 17 và port nguồn hoặc đích = 23. Tất cả các dòng UDP đến/đi và các kết nối telnet đều bị chặn lại. Ví dụ 2: chặn các đoạn Block TCP với ACK=0. Ngăn chặn các client bên ngoài tạo các kết nối TCP với các client bên trong, nhưng cho phép các client bên trong kết nối ra ngoài. * Các ứng dụng gateway Lọc các gói trên dữ liệu ứng dụng cũng như các trường IP/TCP/UDP. Ví dụ: cho phép chọn các user bên trong được telnet ra ngoài. * phiên telnet từ host đến gateway phiên telnet từ gateway đến host application gateway router và lọc 1. yêu cầu tất cả các user phải telnet thông qua gateway 2. với các user đã được cấp phép, gateway thiết lập kết nối với host đích. gateway tiếp vận dữ liệu giữa 2 kết nối. 3. Router lọc và chặn tất cả các kết nối telnet không xuất phát từ gateway. Các hạn chế của các firewall và gateway giả mạo IP: router không thể biết dữ liệu có thực sự đến từ nguồn tin cậy hay không nếu nhiều ứng dụng cần đối xử đặc biệt, mỗi cái sở hữu gateway riêng… phần mềm client phải biết cách tiếp xúc với gateway. ví dụ: phải thiết lập địa chỉ IP của proxy trong trình duyệt Web các lọc thường dùng tất cả hoặc không có chính sách nào dành cho UDP sự cân bằng: mức độ truyền thông với bên ngoài và sự an toàn nhiều site bảo vệ mức cao vẫn phải chịu đựng sự tấn công * Các loại tấn công và cách phòng chống Phương thức: Trước khi tấn công: hacker tìm hiểu các dịch vụ đã hiện thực/hoạt động trên mạng Dùng ping để xác định các host nào có địa chỉ trên mạng Quét port: liên tục thử thiết lập các kết nối TCP với mỗi port (xem thử chuyện gì xảy ra) Biện pháp đối phó? Ghi nhận lưu thông vào mạng Quan tâm các hành vi nghi ngờ (các địa chỉ IP, port bị quét liên tục) * Các mối đe dọa bảo mật Internet Packet sniffing: Nghe ngóng gói NIC promiscuous (hỗn tạp) đọc tất cả các gói chuyển qua nó Có thể đọc tất cả các dữ liệu được mã hóa (như mật khẩu) Ví dụ: C nghe ngóng các gói của B * A B C Các mối đe dọa bảo mật Internet Packet sniffing: Biện pháp đối phó Tất cả các host trong tổ chức chạy phần mềm kiểm tra định kỳ xem host có ở chế độ promiscuous 1 host mỗi đoạn của phương tiện truyền thông * A B C Các mối đe dọa bảo mật Internet IP Spoofing (giả mạo IP): Có thể sinh ra các gói IP “thô” trực tiếp từ ứng dụng, gán giá trị bất kỳ vào trường địa chỉ IP nguồn Bên nhận không thể xác định nguồn bị giả mạo Ví dụ: C giả mạo là B * A B C Các mối đe dọa bảo mật Internet IP Spoofing: lọc quyền vào Router sẽ không chuyển tiếp các gói đi với trường hợp các địa chỉ nguồn không hợp lệ Tuyệt vời, nhưng lọc như thế không thể áp dụng cho tất cả các mạng * A B C Các mối đe dọa bảo mật Internet Denial of Service (DoS): Gây ra “ngập lụt” bằng các gói sinh ra bởi ý đồ xấu cho bên nhận Distributed DOS (DDoS): nhiều nguồn phối hợp làm “ngập lụt” bên nhận Ví dụ: C và các host ở xa tấn công SYN A * A B C Các mối đe dọa bảo mật Internet Denial of Service (DoS): Biện pháp đối phó? Lọc ra trước các gói dùng làm “ngập lụt” (ví dụ: SYN) Theo dõi ngược lại nguồn gây ra “ngập lụt” (cơ chế giống máy phát hiện nói dối của Mỹ) * A B C Bảo mật e-mail * Alice: sinh ra khóa riêng đối xứng ngẫu nhiên, KS. mã hóa thông điệp với KS cũng mã hóa KS với khóa công cộng của Bob. gửi cả KS(m) và KB(KS) cho Bob. Alice muốn gửi 1 e-mail bí mật, m, đến Bob. Bob: dùng khóa riêng của anh ấy để giải mã và phục hồi KS dùng KS để giải mã KS(m) và phục hồi m Bảo mật e-mail * Alice muốn cung cấp sự toàn vẹn thông điệp chứng thực người gửi. Alice ký số trên thông điệp. gửi cả thông điệp (dạng rõ ràng) và chữ ký số. Bảo mật e-mail * Alice muốn cung cấp sự toàn vẹn thông điệp chứng thực người gửi  sự bí mật Alice dùng 3 khóa: khóa riêng của cô ấy, khóa công cộng của Bob, khóa đối xứng vừa mới tạo Pretty good privacy (PGP) Chuẩn trên thực tế để mã hóa email Internet. Dùng mã hóa khóa đối xứng, khóa công cộng, hàm băm và chữ ký số như đã trình bày ở trước. Hỗ trợ đồng nhất, chứng thực người gửi, bí mật Người phát minh: Phil Zimmerman. ---BEGIN PGP SIGNED MESSAGE--- Hash: SHA1 Bob:My husband is out of town tonight.Passionately yours, A ---BEGIN PGP SIGNATURE--- Version: PGP 5.0 Charset: noconv yhHJRHhGJGhgg/12EpJ+lo8gE4vB3mqJhFEvZP9t6n7G6m5Gw2 ---END PGP SIGNATURE--- * Một thông điệp đã được ký bằng PGP Secure sockets layer (SSL) Bảo mật lớp transport với bất kỳ ứng dụng nào dựa trên TCP dùng các dịch vụ SSL Dùng giữa trình duyệt Web, các server trong thương mại điện tử Các dịch vụ bảo mật: Chứng thực server Mã hóa dữ liệu Chứng thực client (tùy chọn) Chứng thực server: Trình duyệt cho phép SSL chứa các khóa công cộng cho các CA được tin cậy Trình duyệt yêu cầu chứng chỉ server, phát ra bởi CA được tin cậy Trình duyệt dùng khóa công cộng của CA để trích ra khóa công cộng của server từ chứng chỉ Kiểm tra trong trình duyệt của bạn để thấy các CA được tin cậy * SSL (tt) Mã hóa phiên làm việc SSL : Trình duyệt sinh ra khóa phiên đối xứng, mã hóa nó với khóa công cộng của server, gửi khóa (đã mã hóa) cho server. Dùng khóa riêng, server giải mã khóa phiên Trình duyệt, server biết khóa phiên Tất cả dữ liệu gửi vào trong TCP socket (do client hoặc server) được mã hóa bởi khóa phiên. SSL: cơ sở của IETF Transport Layer Security (TLS). SSL có thể dùng cho các ứng dụng không Web, như IMAP. Chứng thực client có thể hoàn thành với các chứng chỉ client * IPSec: bảo mật lớp Network Bảo mật lớp Network: host gửi mã hóa dữ liệu trong IP datagram các đoạn TCP & UDP; các thông điệp ICMP & SNMP. Chứng thực lớp Network: host đích có thể chứng thực địa chỉ IP nguồn 2 giao thức cơ bản: authentication header (AH) encapsulation security payload (ESP) Với cả AH và ESP, nguồn – đích bắt tay nhau: tạo kênh logic lớp network gọi là một security association (SA) Mỗi SA theo 1 chiều duy nhất duy nhất xác định bởi: giao thức bảo mật (AH hoặc ESP) địa chỉ IP nguồn ID của kết nối 32-bit * Giao thức AH Hỗ trợ chứng thực nguồn, toàn vẹn dữ liệu, không tin cậy AH header được chèn vào giữa IP header, trường dữ liệu. Trường giao thức: 51 Trung gian xử lý các datagram như bình thường AH header chứa: Nhân dạng kết nối Dữ liệu chứng thực: thông điệp đã được ký từ nguồn được tính toán dựa trên IP datagram gốc Trường header kế tiếp: xác định kiểu của dữ liệu (vd: TCP, UDP, ICMP) * Giao thức ESP Hỗ trợ toàn vẹn dữ liệu, chứng thực host, tính bí mật Mã hóa dữ liệu, ESP trailer Trường header kế tiếp nằm trong ESP trailer. Trường chứng thực ESP tương tự như của AH Protocol = 50. * IP header TCP/UDP segment ESP header đã mã hóa đã chứng thực Bảo mật IEEE 802.11 Khảo sát: 85% việc sử dụng mà không có mã hóa/chứng thực Dễ dàng bị phát hiện/nghe ngóng và nhiều loại tấn công khác! Bảo mật 802.11 Mã hóa, chứng thực Thử nghiệm bảo mật 802.11 đầu tiên là Wired Equivalent Privacy (WEP): có thiếu sót Thử nghiệm hiện tại: 802.11i * Wired Equivalent Privacy (WEP): Chứng thực như trong giao thức ap4.0 host yêu cầu chứng thực từ access point access point gửi 128 bit host mã hóa dùng khóa đối xứng chia sẻ access point giải mã, chứng thực host Không có cơ chế phân bố khóa Chứng thực: chỉ cần biết khóa chia sẻ * Wi-Fi Protected Access (WPA) Hai sự cải tiến chính so với WEP: Mã hóa dữ liệu cải tiến thông qua giao thức Temporal Key Integrity Protocol (TKIP). TKIP scrambles key sử dụng thuật toán hashing và bằng đặc tính kiểm tra số nguyên, đảm bảo rằng Key sẽ không bị giả mạo. Chứng thực người dùng, thông qua EAP. WPA là tiêu chuẩn tạm thời mà sẽ được thay thế với chuẩn IEEE 802.11i * 802.11i: cải tiến sự bảo mật Rất nhiều (và chắc chắn hơn) dạng mã hóa có thể Hỗ trợ phân bố khóa Dùng chứng thực server tách riêng khỏi AP * EAP: Extensible Authentication Protocol EAP được gửi trên các “link” riêng biệt mobile-đến-AP (EAP trên LAN) AP đến server chứng thực (RADIUS trên UDP) * wired network EAP TLS EAP EAP over LAN (EAPoL) IEEE 802.11 RADIUS UDP/IP TÀI LIỆU THAM KHẢO, ĐỊA CHỈ LIÊN LẠC Giáo trình Mạng máy tính, KS. Nguyễn Bình Dương, TS. Đàm Quang Hồng Hải Giáo trình hệ thống Mạng máy tính CCNA, Nguyễn Hồng Sơn CCNA: Cisco Certified Network Associate – Study Guide, Todde Lammle - 2007 Computer Networking: A Top Down Approach Featuring the Internet, 3rd edition. Jim Kurose, Keith Ross. 2004. Computer Networks, 4th edition. Andrew S. Tanenbaum. 2003 Địa chỉ liên lạc: Trần Bá Nhiệm – Khoa Mạng máy tính & Truyền thông – ĐH CNTT – 34 Trương Định, Q3, Tp.HCM. Email: tranbanhiem@yahoo.com *