Bài giảng Mạng máy tính - Nguyễn Cao Đạt - Chương 6: Bảo mật mạng

hông điệp được kí 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
28 
Chữ kí số (tt) 
 Giả sử Alice nhận t/điệp m, chữ kí số KB(m) 
 Alice kiểm tra m kí bởi Bob: giải mã KB(m) bằng khóa 
công khai của Bob KB, kiểm tra xem KB(KB(m) ) = m. 
 Nếu KB(KB(m) ) = m, thì người kí vào m phải có khóa cá 
nhân của Bob. 
+ + 
- 
- 
- 
- 
+ 
Alice bằng cách đó có thể kiểm tra: 
 Bob đã kí vào m. 
 không ai khác kí vào m. 
 Bob kí vào m mà không phải m’. 
Không-thoái-thác: 
 Alice có thể lấy m, và chữ kí KB(m) tới tòa án và chứng 
mình rằng Bob kí vào m. 
- 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
29 
Sự chứng nhận khóa-Công khai 
 Động cơ: Trudy muốn “chơi xỏ” Bob 
 Trudy tạo một email đặt hàng: 
Xin chào cửa hàng Pizza, Làm ơn đem cho tôi 4 bánh pizza 
pepperoni. Cám ơn, Bob 
 Trudy kí vô đơn đặt hàng với khóa cá nhân của cô 
 Trudy gửi đơn đặt hàng tới của hàng Pizza 
 Trudy gửi tới cửa hàng Pizza khóa công khai của cô, nhưng nói rằng 
đó là khóa công khai của Bob. 
 Pizza Store kiểm tra chữ kí; sau đó giao cho Bob 4 bánh pizza. 
 Bob hoàn toàn không biết gì. 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
30 
Các nhà có thẩm quyền chứng nhận 
 Nhà thẩm quyền chứng nhận (CA): liên kết khóa công 
khai tới một thực thể cụ thể E. 
 E (người, BĐT) đăng kí khóa công khai của nó với 
CA. 
 E cung cấp “bằng chứng định danh” cho CA. 
 CA tạo ra chứng chỉ mà liên kết E với khóa công khai của nó. 
 chứng chỉ chứa khóa công khai của E được kí số bởi CA – CA 
nói “đây là khóa công khai của E” 
khóa công 
khai của 
Bob K B 
+ 
thông tin định 
danh của Bob 
chữ kí số 
(mã hóa) 
khóa cá 
nhân 
của CA K CA 
- 
K B 
+ 
chứng chỉ cho khóa 
công khai của Bob, 
được kí bởi CA 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
31 
Các nhà có thẩm quyền chứng nhận 
 Khi Alice muốn có khóa công khai của Bob: 
 lấy chứng chỉ của Bob (từ Bob hoặc ai khác). 
 dùng khóa công khai của CA giải mã chứng chỉ của Bob, lấy 
khóa công khai của Bob 
khóa công 
khai Bob 
K B 
+ 
chữ kí số 
(giải mã) 
khóa công 
khai CA K CA 
+ 
K B 
+ 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
32 
Chứng chỉ: tóm tắt 
 Chuẩn nguyên thủy X.509 (RFC 2459) 
 Chứng chỉ chứa: 
 Tên người phát hành 
 Tên, địa chỉ, tên miền, v.v.. của thực thể. 
 Khóa công khai của thực thể 
 Chữ kí số (kí với khóa cá nhân của ng phát hành) 
 Cơ sở hạ tầng khóa công khai (PKI) 
 Chứng chỉ và các nhà có thầm quyền chứng nhận 
 Thường bị xem là “nặng nề” 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
33 
Mục lục 
Bảo mật mạng là gì? 
Các nguyên lý của mật mã 
Toàn vẹn thông điệp 
Bảo vệ E-mail 
Bảo vệ kết nối TCP: SSL 
Bảo mật hành vi: tường lửa và IDS 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
34 
Bảo mật E-mail 
Alice: 
 sinh ngẫu nhiên khóa cá nhân đối xứng , KS. 
 mã hóa t/điệp với KS (tăng hiệu suất) 
 đồng thời mã hóa KS với khóa công khai của Bob. 
 gửi cả hai KS(m) và KB(KS) cho Bob. 
 Alice muốn gửi email bí mật, m, cho Bob. 
KS( ) 
. 
KB( ) 
. + 
 + - 
KS(m ) 
KB(KS ) 
+ 
m 
KS 
KS 
KB 
+ 
Internet 
KS( ) 
. 
KB( ) 
. - 
KB 
- 
KS 
m 
KS(m ) 
KB(KS ) 
+ 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
35 
Bảo mật E-mail (tt) 
Bob: 
 sử dụng khóa cá nhân của anh để giải mã và lấy 
được KS 
 sử dụng KS để giải mã KS(m) để lấy được m 
 Alice muốn gửi email bí mật, m, cho Bob. 
KS( ) 
. 
KB( ) 
. + 
 + - 
KS(m ) 
KB(KS ) 
+ 
m 
KS 
KS 
KB 
+ 
Internet 
KS( ) 
. 
KB( ) 
. - 
KB 
- 
KS 
m 
KS(m ) 
KB(KS ) 
+ 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
36 
Bảo mật E-mail (tt) 
• Alice muốn cung cấp sự xác thực người gửi, tính toàn vẹn 
thông điệp. 
• Alice kí số vào thông điệp. 
• gửi cả thông điệp (chưa mã hóa) và chữ kí số. 
H( ) . KA( ) . - 
 + - 
H(m ) KA(H(m)) 
- 
m 
KA 
- 
Internet 
m 
KA( ) 
. + 
KA 
+ 
KA(H(m)) 
- 
m 
H( ) . 
H(m ) 
compare 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
37 
Bảo mật E-mail (tt) 
• Alice muốn cung cấp tính bí mật, sự xác thực người gửi, tính toàn 
vẹn thông điệp. 
Alice sử dụng 3 khóa: khóa cá nhân của cô ta, khóa công khai 
của Bob, khóa đối xứng vừa tạo ra 
H( ) . KA( ) . - 
 + 
KA(H(m)) 
- 
m 
KA 
- 
m 
KS( ) 
. 
KB( ) 
. + 
 + 
KB(KS ) 
+ 
KS 
KB 
+ 
Internet 
KS 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
38 
Mục lục 
Bảo mật mạng là gì? 
Các nguyên lý của mật mã 
Toàn vẹn thông điệp 
Bảo vệ email 
Bảo vệ kết nối TCP: SSL 
Bảo mật hành vi: tường lửa và IDS 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
39 
SSL: Secure Sockets Layer 
 Giao thức bảo mật được 
triển khai rộng rãi 
 được hỗ trợ bởi hầu hết các 
trình duyệt và máy chủ web 
 https 
 hàng chục tỉ $ được sử dụng 
hàng năm qua SSL 
 Thiết kế bởi Netscape vào 
1993 
 Có vài biến đổi: 
 TLS: transport layer security, 
RFC 2246 
 Cung cấp: 
 Bí mật 
 Toàn vẹn 
 Xác thực 
 Các mục tiêu ban đầu: 
 Có giao dịch thương mại 
điện tử 
 Mã hóa (đặc biệt là số thẻ-
tín dụng) 
 xác thực máy chủ Web 
 xác thực khách (tùy chọn) 
 Hạn chế thủ tục khi mà 
buôn bán với bạn hàng mới 
 Có sẵn trong tất cả ứng 
dụng TCP 
 giao diện hốc kết nối an 
toàn (Secure socket 
interface) 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
40 
SSL and TCP/IP 
Ứng dụng 
TCP 
IP 
Ứng dụng th/thường 
Ứng dụng 
SSL 
TCP 
IP 
Ứng dụng 
 với SSL 
• SSL cung cấp giao diện lập trình ứng dụng (API) 
cho ứng dụng 
• các thư viện/lớp SSL trong C và Java đã có sẵn 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
41 
Quá trình làm việc: 
4
1 
 Nhưng cần gửi luồng byte và dữ liệu tương tác 
 Cần một bộ các khóa bí mật cho toàn bộ kết nối 
 Cần phần trao đổi chứng chỉ của giao thức: 
 pha bắt-tay 
H( ) . KA( ) . - 
+ 
KA(H(m)) 
- 
m 
KA 
- 
m 
KS( ) 
. 
KB( ) 
. + 
+ 
KB(KS ) 
+ 
KS 
KB 
+ 
Internet 
KS 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
42 
Mục lục 
Bảo mật mạng là gì? 
Các nguyên lý của mật mã 
Toàn vẹn thông điệp 
Bảo vệ E-mail 
Bảo vệ kết nối TCP: SSL 
Bảo mật hành vi: tường lửa và IDS 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
43 
Tường lửa 
cách li mạng bên trong tổ chức với mạng Internet, 
cho phép vài gói tin đi qua, chặn những gói khác. 
Tường lửa 
mạng 
nội bộ 
Internet 
công cộng 
tường lửa 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
44 
Tường lửa: Để làm gì? 
ngăn chặn tấn công từ chối dịch vụ: 
 Sự gửi tràn SYN: kẻ tấn công thiết lập nhiều kết nối TCP 
giả , không còn tài nguyên cho những kết nối “thật” 
ngăn chặn sự truy cập/thay đổi không hợp pháp vào dữ liệu 
nội bộ. 
 vd: kẻ tấn công thay đổi trang chủ của công ty 
chỉ cho phép những truy cập được xác thực vào bên trong 
mạng (nhóm các n.dùng, máy đã được xác thực) 
ba loại tường lửa: 
 bộ lọc gói không trạng thái 
 bộ lọc gói trạng thái 
 cổng kiểm soát ứng dụng 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
45 
Hệ thống phát hiện xâm nhập 
 sự lọc gói: 
 chỉ làm việc với mào đầu TCP/IP 
 không kiểm tra sự tương qua giữa các phiên 
 IDS: hệ thống phát hiện xâm nhập 
 Kiểm tra gói sâu: xem xét nội dung gói tin (vd: kiểm tra 
chuỗi kí tự trong gói tin, so sánh với cơ sở dữ liệu của vi-rút, 
chuỗi tấn công) 
 xem xét mối tương quan giữa nhiều gói tin 
 sự dò cổng 
 ánh xạ mạng 
 tấn công DoS 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
46 
máy chủ 
Web 
máy chủ 
FTP 
máy chủ 
DNS 
cổng kiểm tra 
ứng dụng 
Internet 
vùng phi quân sự 
mạng 
nội bộ 
tường lửa 
cảm biến 
IDS 
Hệ thống phát hiện xâm nhập 
 nhiều IDS: nhiều loại kiểm tra khác nhau tại nhiều vị 
trí khác nhau 
Trường Đại Học Bách Khoa Tp.HCM 
Khoa Khoa Học và Kỹ Thuật Máy Tính 
© 2011 
MẠNG MÁY TÍNH CĂN BẢN 
Bài giảng 12 - Chương 6: Bảo mật mạng 
47 
Tổng kết 
Kĩ thuật cơ bản…... 
 mã hóa (đối xứng hoặc công khai) 
 toàn vẹn thông điệp 
 xác thực đầu cuối 
Các kịch bản bảo mật 
 Hệ thống Email an toàn 
 Truyền tải an toàn (SSL) 
 … 
Bảo mật hành vi 
 Bức tường lửa 
 Hệ thống phát hiện thâm nhập bất hợp pháp