An toàn hệ thống và an ninh mạng - Chương 5: An toàn trong truyền thông

pdf 64 trang vanle 2650
Bạn đang xem 20 trang mẫu của tài liệu "An toàn hệ thống và an ninh mạng - Chương 5: An toàn trong truyền thông", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfan_toan_he_thong_va_an_ninh_mang_chuong_5_an_toan_trong_truy.pdf

Nội dung text: An toàn hệ thống và an ninh mạng - Chương 5: An toàn trong truyền thông

  1. Chương 5 AnAn totoàànn trongtrong truytruynn thôngthông • Các giao th c truy c p t xa: PPP, Telnet, Wireless, VPN, • Các giao th c truy c p liên mng: Email, Web, FTP, File Sharing, Directory, LDAP, B môn HTMT&TT 14/05/2010 1
  2. MMcc tiêutiêu • Cung cấp cho người học một cái nhìn tổng quan về các giải pháp tạo sự an toàn trong truyền thông. • Sau khi hoàn tất chương, sinh viên có những khả năng: ▫ Trình bày được sự quan trọng của an toàn trong truyền thông. ▫ Mô tả được các giao thức sử dụng cho truy cập từ xa như PPP, Telnet, mạng không dây , mạng riêng ảo. ▫ Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho các giao thức truy cập từ xa. ▫ Mô tả được các giao thức truy cập liên mạng thông dụng hiện nay như Mail, Web, FTP, File sharing, Directory, LDAP, ▫ Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho các giao thức truy cập liên mạng . B môn MMT&TT 14/05/2010 2
  3. Phần 1 CCáácc giaogiao ththcc chocho truytruy ccpp tt xaxa • Khái ni m • RAS và PPP • Telnet và SSH • TACACS+ và RADIUS • WLAN • VPN B môn MMT&TT 14/05/2010 3
  4. AnAn totoàànn trongtrong truytruynn thôngthông • Sự quan trọng của an toàn trong truyền thông VVii tt cc đđ ccaa InternetInternet ngàyngày càngcàng nhanh,nhanh, truytruy nn thôngthông trêntrên mm ng,ng, truytruy cc pp tt xa,xa, làmlàm vivicc bb ngng cáccác thithitt bb ccmm taytay ngàyngày càngcàng trtr nênnên phph bibin.n. ĐĐòiòi hh ii phph ii cócó các các cc ơơ chch anan toàntoàn trêntrên đưđưngng truytruy n,n, chocho cáccác giaogiao thth cc mm ngng vàvà các các dd chch vv trêntrên mm ng.ng. B môn MMT&TT 14/05/2010 4
  5. TruyTruy ccpp tt xaxa • RAS và PPP PPPPPP (Point-to-Point(Point-to-Point Protocol)Protocol) •• PPP PPP làlà giao giao thth cc tt ngng 22 KKtt nn ii tt xaxa quaqua •• Cho Cho phépphép chch ngng thth c:c: đưđưngng đđiinn thotho ii ++ PAP:PAP: khôngkhông mãmã hóahóa ++ CHAP:CHAP: cócó mã mã hóahóa •• Có Có th th dùngdùng chocho cáccác dd ngng mmngng IP,IP, IPX,IPX, AppleTalk.AppleTalk. •• Cho Cho phépphép cc pp đđaa chch IPIP đđngng •• Cho Cho phépphép nénnén dd liliuu vàvà điđiuu khikhinn chch tt llưưngng đưđưngng nn ii kk t.t. •D•D ss ddng,ng, tt cc đđ thth p.p. •K•Ktt nn ii đơđơ nn gigin.n. B môn MMT&TT 14/05/2010 5
  6. TruyTruy ccpp tt xaxa • Telnet •• ĐăngĐăng nhnhpp vàvà làm làm vivicc tt xaxa •• Dùng Dùng cc ngng 2323 TCPTCP •• CơCơ chch dòngdòng llnhnh •• Là Là giao giao thth cc khôngkhông anan toàntoàn vìvì dd liliuu truytruy nn đđii trêntrên mm ngng khôngkhông đưđưcc mãmã hóahóa (plaintext)(plaintext) •• Nên Nên khóakhóa dd chch vv TelnetTelnet tt bênbên ngoàingoài mm ngng vào.vào. •• Chuy Chuy nn sangsang dùngdùng SSHSSH B môn MMT&TT 14/05/2010 6
  7. TruyTruy ccpp tt xaxa • Secure Shell (SSH) •• Thi Thitt llpp kk tt nn ii mm ngng 11 cáchcách bb oo mm t.t. •C•Cngng 2222 •• Làm Làm vivicc quaqua 33 bưbưc:c: ++ ĐĐnhnh danhdanh host:host: ss ddngng cc pp khóakhóa côngcông cc ngng vàvà khóa khóa bíbí m mt.t. ++ MãMã hóa:hóa: DES,DES, 3DES,3DES, IDEA,BlowfishIDEA,Blowfish ++ ChCh ngng thth c:c: RSA,RSA, DSADSA B môn MMT&TT 14/05/2010 7
  8. TruyTruy ccpp tt xaxa • TACACS+ TerminalTerminal AccessAccess ControlControl AccessAccess ControlControl SystemSystem PlusPlus •• Ch Ch ngng thth cc t tpp trungtrung •• Thích Thích h h pp chocho cáccác m m ngng v v ii ss lưlưngng ngng ưưii dùngdùng l lnn •• Cung Cung c c pp riêngriêng r r cáccác d d chch vv AAAAAA •• Giao Giao thth cc riêngriêng cc aa CiscoCisco ĐĐiimm y y uu •S•S ddngng TCPTCP cc ngng 4949 •• Có Có th th bbttnn côngcông vàovào ph n mã hóa vì ch •H•H trtr nhinhiuu giaogiao thth cc tt ngng 33 nhnh ưư IP,IP, AppleApple TalkTalk ph n mã hóa vì ch dùngdùng 11 khóakhóa bíbí m mtt =>=> • Cung c p kh năng bo m t trong trao đi d li u gi a • Cung c p kh năng bo m t trong trao đi d li u gi a nênnên thaythay đđii thth ưưngng gatewaygateway (Router(Router NAS) NAS) vàvà cơcơ ss dd liliuu trungtrung tâmtâm (ACS).(ACS). xuyên.xuyên. •• MãMã hóahóa thôngthông tintin toàntoàn bb phiênphiên giaogiao dd chch •• Có Có th th bbttnn côngcông •• Dùng Dùng 11 khóakhóa bíbí m mtt đđ mãmã hóahóa vàvà gi giii mãmã trêntrên cc 22 hh thth ng.ng. theotheo d d ngng Replay.Replay. B môn MMT&TT 14/05/2010 8
  9. TruyTruy ccpp tt xaxa • TACACS+ NAS:NAS: Router,Router, Switch,Switch, PIX/ASA,PIX/ASA, VPN3000VPN3000 QuáQuá trình trình phânphân quyquy nn (authorization)(authorization) dùngdùng TACACS+TACACS+ CácCác bb ưưcc chch ngng thth cc (authentication)(authentication) dùngdùng TACACS+TACACS+ B môn MMT&TT 14/05/2010 9
  10. TruyTruy ccpp tt xaxa • RADIUS RemoteRemote AuthenticationAuthentication DialDial InIn UserUser ServiceService •• TươngTương tt nhưnhư TACACSTACACS +,+, cungcung c c pp d d chch v v AAAAAA •• Chu Chu nn m m •• ĐĐnhnh nghngh ĩĩaa trongtrong RFC-2865RFC-2865 •• Chu Chu nn chch ngng thth cc anan toàntoàn cc aa 802.1X802.1X •S•S ddngng UDPUDP cc ngng 18121812 •• Dùng Dùng mômô hìnhhình Client-Server,Client-Server, trongtrong đđ óó RASRAS đđ óngóng vaivai tròtrò làlà RADIUS RADIUS Client.Client. •• RADIUS RADIUS chch mãmã hóahóa mm tt khkh uu ngng ưưii dùngdùng •H•H trtr cáccác giaogiao thth c:c: PPP,PPP, PAP,PAP, CHAPCHAP B môn MMT&TT 14/05/2010 10
  11. TruyTruy ccpp tt xaxa • RADIUS KKtt hh pp chch ngng thth cc vàvà phân phân quyquy nn dùngdùng RADIUSRADIUS B môn MMT&TT 14/05/2010 11
  12. MMngng khôngkhông dâydây WLANWLAN • Khái niệm •• Cung Cung cc pp tínhtính titinn llii trongtrong kk tt nn ii mm ng:ng: dd dàng,dàng, mm mm dd o,o, nhanhnhanh chóng,chóng, tt cc đđ cao.cao. •• Cung Cung cc pp khkh năngnăng didi đđngng trongtrong mm ngng LANLAN •S•S ddngng phph ươươ ngng pháppháp CSMA/CACSMA/CA B môn MMT&TT 14/05/2010 12
  13. MMngng khôngkhông dâydây WLANWLAN • Các chuẩn •• Chu Chu nn hóahóa trongtrong IEEEIEEE 802.11802.11 •G•Gmm cáccác chuchu nn mm ngng :: ++ 802.11802.11 A:A: ss ddngng tt ii MM ;; 5454 MbpsMbps ++ 802.11802.11 B:B: 1111 MbpsMbps ++ 802.11802.11 G:G: 5454 MbpsMbps ++ 802.11802.11 draftdraft N:N: 248248 MbpsMbps Ad hoc mode Infrastructure mode B môn MMT&TT 14/05/2010 13
  14. MMngng khôngkhông dâydây WLANWLAN • Các thông số •• ChiaChia kênhkênh đđ khôngkhông bb nhinhiu.u. •M•Mii kênhkênh cáchcách nhaunhau 2222 MHzMHz •B•Bcc MM :: chiachia 1111 kênhkênh •• Châu Châu Âu:Âu: chiachia 1313 kênhkênh • Trong cùng ph m vi, nên ch n cách •• SSIDSSID :: đđnhnh danhdanh cc aa mm ngng WLANWLAN • Trong cùng ph m vi, nên ch n cách nhau 5 kênh: •• Chi Chiuu dàidài tt 22 –– 32 32 kýký tt nhau 5 kênh: + 3 AP: ch n 1, 6, 11 •• KhôngKhông đđtt trùngtrùng nhaunhau trongtrong cùngcùng 11 + 3 AP: ch n 1, 6, 11 + 2 AP: ch n 5, 10 / 4, 9 / 3, 8 / 2, phph mm vivi hoho tt đđngng + 2 AP: ch n 5, 10 / 4, 9 / 3, 8 / 2, 77 B môn MMT&TT 14/05/2010 14
  15. MMngng khôngkhông dâydây WLANWLAN • Hoạt động (1) BeaconBeacon (báo(báo hihi u)u) •• FrameFrame đưđưcc gg ii tt APAP cc aa mmngng WLANWLAN thôngthông báobáo ss hihinn didinn cc aa nó.nó. •S•S đưđưcc gg ii broadcastbroadcast đđnhnh kk ỳỳ B môn MMT&TT 14/05/2010 15
  16. MMngng khôngkhông dâydây WLANWLAN • Hoạt động (2) ProbingProbing (th(thăămm dò)dò) •• Ki Kimm tratra xemxem cócó m mngng WLANWLAN đđúngúng vv ii SSIDSSID chocho trtr ưưcc khôngkhông •• Ho Ho cc dòdò tìmtìm (li(litt kêkê cáccác SSID)SSID) nhnh ngng mm ngng WLANWLAN nàonào đđangang hihinn didinn trongtrong vùngvùng bb ngng cáchcách ggii RequestRequest khôngkhông cócó SSID. SSID. B môn MMT&TT 14/05/2010 16
  17. MMngng khôngkhông dâydây WLANWLAN • Hoạt động (3) AuthenticationAuthentication (ch(ch ngng thth c)c) •N•Nuu làlà d dngng mm OpenOpen thìthì không không ccnn key.key. •N•Nuu cócó mã mã hóahóa (ch(ch ngng hh nn WEP)WEP) thìthì c cnn KeyKey B môn MMT&TT 14/05/2010 17
  18. MMngng khôngkhông dâydây WLANWLAN • Hoạt động (4) AssociationAssociation (k(k tt hh p)p) •• Thi Thitt llpp nn ii kk tt ttngng 22 •T•Too rara 11 portport oo nn ii kk tt đđnn ClientClient •• Quá Quá trình trình gg ii vàvà nh nh nn dd liliuu cócó thth didinn ra.ra. B môn MMT&TT 14/05/2010 18
  19. MMngng khôngkhông dâydây WLANWLAN • Nguy cơ từ mạng không dây WarWar drivingdriving •• Dò Dò tìmtìm cáccác m m ngng WLANWLAN m m (Open)(Open) •S•Sddngng InternetInternet miminn phíphí •• Xâm Xâm nhnh pp vàovào m m ngng d d dàngdàng NhânNhân viênviên HackerHacker •• Nhân Nhân viênviên t t ýý c c mm 11 AccessAccess PointPoint •T•Tnn côngcông vàovào cáccác m m ngng WLANWLAN y y uu vàovào m m ngng (c(c uu hìnhhình khôngkhông c c nn thth n,n, khôngkhông mãmã ++ T T oo rara đđiimm cócó th th truytruy c c pp vàovào hóahóa hoho cc mãmã hóahóa y y u).u). mmngng t t bênbên ngoài.ngoài. •• Khai Khai thácthác m m ngng khôngkhông dâydây đđvàovào ++ CóCó th th gâygây nhinhiuu v v ii cáccác thithitt b b mmngng LANLAN c c aa t t chch c.c. WLANWLAN đđãã cócó trong trong t tchch c.c. B môn MMT&TT 14/05/2010 19
  20. MMngng khôngkhông dâydây WLANWLAN • Nguy cơ từ mạng không dây WLANWLAN cócó nguynguy cơcơ bb ttnn côngcông d d ngng “K“K đđngng gigia”a” (Man-in- (Man-in- the-middlethe-middle –– MITM) MITM) t tii giaigiai đđoonn Association.Association. GiGiii pháppháp:: CàiCài đđtt h h thth ngng ngng ăănn chch nn xâmxâm nhnh pp (Intrusion(Intrusion preventionprevention systemsystem –– IPS) IPS) B môn MMT&TT 14/05/2010 20
  21. MMngng khôngkhông dâydây WLANWLAN • Nguy cơ từ mạng không dây TTnn côngcông gigi mmoo AccessAccess PointPoint hoho cc cáccác máymáy trtr mm trongtrong mm ngng bbngng cáchcách gigi mmoo AP.AP. TTnn côngcông DoSDoS MMngng WLANWLAN cc ũũngng cócó thth bb làmlàm nhinhiuu bb ii cáccác thithitt bb điđinn tt hayhay khôngkhông dâydây khác.khác. B môn MMT&TT 14/05/2010 21
  22. MMngng khôngkhông dâydây WLANWLAN • Các giao thức an toàn cho mạng WLAN Open WEP WPA WPA2 • Không ch ứng th ực • Ch ứng th ực y ếu • Chu ẩn t ạm th ời • Chu ẩn hi ện t ại • Không mã hóa • Khóa t ĩnh, d ễ bị tấn • Mã hóa cao • 802.11i • Không có cơ chế an công và phát hi ện • Ch ứng th ực m ạnh: • Mã hóa AES toàn • Mã hóa d ễ bị phá vỡ LEAP, PEAP, EAP- • Qu ản lý khóa động • Không linh ho ạt FAST, B môn MMT&TT 14/05/2010 22
  23. MMngng khôngkhông dâydây WLANWLAN • WEP (Wired Equivalent Privacy) •S•Sddngng khóakhóa chiachia s s •• ThưThưngng dùngdùng khóakhóa 6464 bitsbits hayhay 128128 bits.bits. •• Mã Mã hóahóa dùngdùng thuthu tt toántoán RC4RC4 •• WEP WEP cócó l lhhngng b b oo m m tt d d bbkhaikhai thácthác •M•Mtt s s côngcông c c dùngdùng đđttnn côngcông WEPWEP nhnh ưư:: AirSnort,AirSnort, NetStumbler,NetStumbler, WEPCrack,WEPCrack, CàiCài đđtt h h thth ngng phátphát hihinn xâmxâm nhnh pp (IDS)(IDS) hayhay h h thth ngng ngng ăănn chch nn xâmxâm nhnh pp (IPS)(IPS) B môn MMT&TT 14/05/2010 23
  24. MMngng khôngkhông dâydây WLANWLAN • Các giao thức chứng thực trong mạng WLAN ExtensibleExtensible AuthenticationAuthentication ProtocolProtocol (EAP)(EAP) •• EAP EAP làlà giao giao thth cc chch ngng thth cc mm nhnh •• Ch Ch ngng thth cc quaqua Server.Server. •• Chu Chu nn hóahóa trongtrong RFCRFC 37483748 •• Ch Ch ngng thth cc ttngng 22 •• Là Là m mtt phph nn cc aa PPP.PPP. •H•H trtr nhinhiuu cc ơơ chch chch ngng thth cc nhnh ưư:: EAPEAP overover IP,IP, LEAPLEAP Cisco,Cisco, EAP-MD5-CHAP,EAP-MD5-CHAP, PEAP,PEAP, EAP-TLS,EAP-TLS, EAP-TTLS,EAP-TTLS, RADIUS.RADIUS. B môn MMT&TT 14/05/2010 24
  25. MMngng khôngkhông dâydây WLANWLAN • WPA và WPA2 (WiFi Protected Access) •• Thay Thay thth chocho WEPWEP •• Ch Ch ngng thth cc khôngkhông c c nn ServerServer •• PassphrasePassphrase đưđưcc l lưưuu trêntrên AccessAccess PointPoint vàvà trên trên máymáy c c cc b b WPA-PSKWPA-PSK (Pre-shared(Pre-shared key)key) •• Ch Ch ngng thth cc quaqua 802.1X802.1X Auth.Auth. ServerServer •• Mã Mã hóa:hóa: ++ TKIPTKIP (Temporal(Temporal KeyKey IntegrityIntegrity Protocol)Protocol) EnterpriseEnterprise modemode nhưnhư WEPWEP nhưngnhưng phphcc t t pp h h ơơn.n. ++ AESAES (Advanced(Advanced EncryptionEncryption Standard)Standard) nhưnhư TKIPTKIP nhưngnhưng c c óó b bsungsung cáccác tínhtính nnăăngng đđnângnâng caocao tínhtính b b oo m m t.t. •• WPA2 WPA2 dùngdùng mãmã hóahóa AES.AES. B môn MMT&TT 14/05/2010 25
  26. MMngng khôngkhông dâydây WLANWLAN • Nâng cao tính an toàn của mạng WLAN 1.1. nn (hidden)(hidden) SSIDSSID 2.2. Ch Ch nn WPAWPA hoho cc WPA2WPA2 chocho chch ngng thth cc vàvà mã mã hóahóa 3.3. L Lcc cáccác máymáy trtr mm dd aa theotheo đđaa chch MACMAC B môn MMT&TT 14/05/2010 26
  27. MMngng riêngriêng oo VPNVPN • Lý do ra đời Công ty xí nghi ệp Chi nhánh Leased Lines T1, Frame Relay ISDN, ATM PhPh ii dùngdùng cáccác đưđưngng thuêthuê baobao tt cc đđ caocao đ ni k t đ ni k t Ng ười dùng ở xa TTnn nhinhiuu chichi phíphí B môn MMT&TT 14/05/2010 27
  28. MMngng riêngriêng oo VPNVPN • Khái niệm Công ty InternetInternet xí nghi ệp Ng ười dùng đi động (VPN)(VPN) Ng ười dùng từ xa Chi nhánh VPNVPN= = VVirtualirtual PPrivaterivate NNetworketwork •• VirtualVirtual :: oo (không(không cócó đưđưngng nn ii kk tt thth cc gigiaa 22 thth cc thth )) •• PrivatePrivate :: riêngriêng ((đưđưcc bb oo vv ,, khôngkhông truytruy xuxu tt đưđưcc tt bênbên ngoài)ngoài) •• NetworkNetwork :: mm ngng máymáy tínhtính (nhóm(nhóm 22 hoho cc nhinhiuu máymáy tínhtính llii vv ii nhau)nhau) B môn MMT&TT 14/05/2010 28
  29. MMngng riêngriêng oo VPNVPN • Ích lợi SS ddngng đưđưngng truytruy nn côngcông cc ngng khôngkhông anan toàntoàn (Internet)(Internet) đđ thth cc hihinn vivicc traotrao đđii dd liliuu mm tt cáchcách anan toàn.toàn. •• Phù Phù h hpp vv ii cáccác côngcông tyty cócó nhi nhiuu chichi nhánh,nhánh, nhânnhân viênviên làmlàm vivicc tt xaxa hoho cc cc nn cócó các các kk tt nn ii mmngng anan toàntoàn vv ii cáccác đđii tác.tác. •• Chi Chi phíphí th th p.p. B môn MMT&TT 14/05/2010 29
  30. MMngng riêngriêng oo VPNVPN • Phân loại SiteSite-to-Site-to -Site VPNVPN (LAN(LAN-to-LAN)-to -LAN) VPNVPN đđiimm nn ii đđiimm cócó th th đưđưcc chiachia làmlàm 22 lolo i:i: ĐưĐưcc xâyxây dd ngng bb ngng cáchcách ss •• IntranetIntranet VPNVPN :: kk tt nn ii cáccác chichi nhánh,nhánh, ddngng Router,Router, SecuritySecurity ApplianceAppliance vvăănn phòngphòng xaxa vv ii côngcông ty,ty, tt chch c.c. hoho cc VPNVPN Concentrator.Concentrator. •• ExtranetExtranet VPNVPN :: kk tt nn ii kháchkhách hàng,hàng, nhànhà cung cung cc p,p, đđii táctác vv ii côngcông ty.ty. B môn MMT&TT 14/05/2010 30
  31. MMngng riêngriêng oo VPNVPN • Phân loại RemoteRemote AccessAccess VPNVPN (VPN(VPN truytruy cc pp tt xa)xa) •• Còn Còn gg ii làlà Dialup Dialup riêngriêng oo •• Cung Cung cc pp chocho ngng ưưii dùngdùng xa,xa, ngngưưii dùngdùng didi đđngng truytruy cc pp vàovào mm ngng côngcông tyty •• Chia Chia làmlàm 22 lolo i:i: ++ Client-initiatedClient-initiated :: ngngưưii dùngdùng ss ddngng VPNVPN ClientClient hoho cc trìnhtrình duyduy tt WebWeb đđ thithitt llpp nn ii kk t.t. ++ NAS-initiatedNAS-initiated :: ngngưưii dùngdùng dialdial (g(g i)i) vàovào mm ngng cc aa ISP.ISP. NASNAS ss thithitt llpp nn ii kk t.t. ClientClient cócó th th ss ddngng router,router, thithitt bb phph nn ccngng VPNVPN hoho cc phph nn mm mm VPN.VPN. B môn MMT&TT 14/05/2010 31
  32. MMngng riêngriêng oo VPNVPN • Các thành phần trong hệ thống VPN Mng công c ng (Internet) VPN Client VPN Server (ho c Gateway) Kt n i Tunnel VPN (đưng h m) B môn MMT&TT 14/05/2010 32
  33. MMngng riêngriêng oo VPNVPN • Công nghệ VPN CóCó khá khá nhi nhiuu côngcông nghngh mmngng VPNVPN tt nhinhiuu côngcông tyty vàvà cài cài đđtt trêntrên nhinhiuu tt ngng kháckhác nhau.nhau. B môn MMT&TT 14/05/2010 33
  34. MMngng riêngriêng oo VPNVPN • VPN trên các lớp của mô hình OSI TTngng mm ngng cungcung cc pp nhinhiuu gigiii pháppháp kháckhác nhaunhau chocho VPNVPN B môn MMT&TT 14/05/2010 34
  35. MMngng riêngriêng oo VPNVPN • Web VPN •• Thi Thitt llpp VPNVPN truytruy cc pp tt xaxa thôngthông quaqua trìnhtrình duyduy tt Web.Web. •• Có Có kh kh năngnăng :: ++ TruyTruy cc pp websitewebsite nn ii bb thôngthông quaqua HTTPS.HTTPS. ++ TruyTruy cc pp hh thth ngng filefile chiachia ss trêntrên mm ngng cc cc bb ++ TruyTruy cc pp hh thth ngng emailemail POP,POP, SMTP,SMTP, IMAPIMAP quaqua SSL.SSL. SS ddngng SSLSSL đđ mãmã hóahóa vàvà TLSTLS (Transport(Transport layerlayer Security)Security) đđ cungcung ccpp kk tt nn ii anan toàntoàn tt máymáy ngng ưưii dùngdùng đđnn site.site. B môn MMT&TT 14/05/2010 35
  36. MMngng riêngriêng oo VPNVPN • Tunneling Site-to-Site CácCác giaogiao thth cc TunnelingTunneling ((đưđưngng hh m)m) cungcung cc pp tínhtính bb oo mm tt chocho dd liliuu ggii vàvà nh nh nn bênbên trong.trong. Remote Access BaoBao góigói dd liliuu gg cc vàovào 11 bênbên trongtrong góigói IP L2TP Header dd liliuu đđãã đưđưcc mãmã 20 Bytes 4 - 12 Bytes Payload (Data) hóa.hóa. B môn MMT&TT 14/05/2010 36
  37. MMngng riêngriêng oo VPNVPN • Các giao thức tạo đường hầm (Tunneling) •• GRE GRE hh trtr nhinhiuu giaogiao thth cc bênbên trongtrong IPIP tunneltunnel •• MPLS MPLS thíchthích hh pp chocho ISPISP vàvà các các doanhdoanh nghinghipp lln.n. B môn MMT&TT 14/05/2010 37
  38. MMngng riêngriêng oo VPNVPN • L2TP/PPTP L2TPL2TP vàvà PPTPPPTP đđuu “bao“bao gói”gói” gói gói tintin PPPPPP truytruy nn đđii trongtrong mm ngng IP.IP. PPTPPPTP L2TPL2TP •• ĐưĐưcc WindowsWindows hh trtr •• TươngTương thth íchích ngng ưưcc vv ii L2FL2F •S•S ddngng cc ngng TCPTCP 17231723 •S•S ddngng cc ngng UDPUDP 17011701 •• Ch Ch ngng thth cc dùngdùng MSCHAP-v2MSCHAP-v2 hoho cc •• Có Có ch ch ngng thth c,c, nhnh ưưngng khôngkhông mm nhnh EAP-TLS.EAP-TLS. •K•Ktt hh pp vv ii IPSecIPSec đđ mãmã hóahóa •• Có Có th th dùngdùng MicrosoftMicrosoft Point-to-PointPoint-to-Point •• ThưThưngng dùngdùng chocho dd ngng VPNVPN truytruy EncryptionEncryption (MPPE)(MPPE) đđ mãmã hóa.hóa. ccpp tt xaxa quaqua RASRAS ((đưđưngng dialup)dialup) •• Ch Ch dùngdùng chocho giaogiao thth cc IPIP •• Dùng Dùng chocho IP,IP, IPX,IPX, WindowsWindows NT/2K/XP/VistaNT/2K/XP/Vista hh trtr cc PPTP/L2TPPPTP/L2TP B môn MMT&TT 14/05/2010 38
  39. MMngng riêngriêng oo VPNVPN • IPSec – Giới thiệu IPSecIPSec đưđưcc ss ddngng rr ngng rãirãi trongtrong càicài đđtt cáccác lolo ii VPNVPN B môn MMT&TT 14/05/2010 39
  40. MMngng riêngriêng oo VPNVPN • IPSec – Giới thiệu •• IPSec IPSec làlà t tpp cáccác giaogiao thth cc dùngdùng chocho mm ngng VPN,VPN, cungcung cc pp tínhtính bboo mm tt vàvà toàn toàn vv nn chocho góigói tintin (t(t ngng 3)3) khikhi truytruy nn trêntrên mm ngng IP.IP. •S•S ddngng TCPTCP cc ngng 5050 vàvà 51. 51. B môn MMT&TT 14/05/2010 40
  41. MMngng riêngriêng oo VPNVPN • IPSec – Các chế độ truyền TunnelTunnel modemode •• Peer-to-peer Peer-to-peer •S•S ddngng khikhi truytruy nn quaqua đưđưngng truytruy nn mm ngng khôngkhông tintin cc y.y. •• MãMã hóahóa cc dd lili uu (payload)(payload) vàvà phph nn header.header. TransportTransport modemode •• Host-to-host Host-to-host •• Truy Truy nn trtr cc titipp gigiaa bênbên gg ii vàvà bên bên nhnh n.n. •• MãMã hóahóa chch phph nn dd lili uu,, gigi nguyênnguyên headerheader B môn MMT&TT 14/05/2010 41
  42. MMngng riêngriêng oo VPNVPN • IPSec – Chế độ truyền Tunnel mode B môn MMT&TT 14/05/2010 42
  43. MMngng riêngriêng oo VPNVPN • IPSec – Chế độ truyền Transport mode B môn MMT&TT 14/05/2010 43
  44. MMngng riêngriêng oo VPNVPN • IPSec – Giao thức Encapsulating Security Payload (ESP) •• Cung Cung cc pp mãmã hóahóa dd liliu,u, cungcung ccpp chch ngng thth cc cócó gi giii hh nn •• Bao Bao góigói dd liliuu (mã(mã hóahóa payload),payload), nhnh ưưngng khôngkhông mãmã hóahóa HeaderHeader B môn MMT&TT 14/05/2010 44
  45. MMngng riêngriêng oo VPNVPN • IPSec – Giao thức Authentication Header (AH) BBoo vv (mã(mã hóa)hóa) toàntoàn bb góigói tintin kk cc phph nn header,header, đđmm bb oo tínhtính toàntoàn vv nn cc aa góigói tintin IPIP B môn MMT&TT 14/05/2010 45
  46. MMngng riêngriêng oo VPNVPN • IPSec – Hoạt động của IPSec B môn MMT&TT 14/05/2010 46
  47. MMngng riêngriêng oo VPNVPN • IPSec – Hoạt động của IPSec InternetInternet KeyKey ExchangeExchange (IKE)(IKE) đđmm b b oo tínhtính anan toàntoàn khikhi traotrao đđii khóakhóa bíbí m mtt gigiaa 22 bênbên khikhi thithitt l lpp đưđưngng h h m.m. InternetInternet SecuritySecurity AssociationAssociation andand KeyKey ManagementManagement ProtocolProtocol (ISAKMP)(ISAKMP) đưđưcc s s ddngng đđ đ đ àmàm phánphán vàvà cung cung c c pp chch ngng thth cc B môn MMT&TT 14/05/2010 IPSec SA: IPSec Security Association47
  48. Phần 2 CCáácc giaogiao ththcc truytruy ccpp liênliên mmngng • Email • Web • FTP • File Sharing • Directory và LDAP, B môn HTMT&TT 14/05/2010 48
  49. DDchch vv EmailEmail • Các giao thức SMTPSMTP •G•Gii mailmail •C•Cngng TCPTCP 2525 POP/IMAPPOP/IMAP •• Nh Nh nn mailmail •C•Cngng TCPTCP 110110 MIMEMIME •• Các Các giaogiao thth cc chuchu nn cc aa emailemail khôngkhông •• RFC-1512 RFC-1512 vàvà 1522 1522 cungcung cc pp cc ơơ chch anan toàn.toàn. •H•H trtr ggii mailmail cócó đđ ínhính kèmkèm filefile •D•Dchch vv EmailEmail cócó nhi nhiuu đđiimm yy uu cócó thth dd dàngdàng bb ttnn côngcông vàvà khai khai thác.thác. B môn MMT&TT 14/05/2010 49
  50. DDchch vv EmailEmail • S/MIME (Secure MIME) •• S/MIME S/MIME cungcung cc pp cc ơơ chch bboo mm tt chocho Email.Email. •• Version Version 2:2: RFC-2311RFC-2311 vàvà version version 3:3: RFC-2633RFC-2633 S/MIMES/MIME cungcung cc pp dd chch vv mmtt mãmã chocho cáccác ngng dd ngng email:email: •• Ch Ch ngng thth cc •• Tính Tính toàntoàn vv nn vàvà tính tính khôngkhông thth phph nhnh nn (thông(thông quaqua chch kýký ss )) •B•Boo mm tt vàvà riêngriêng tưtư chocho thôngthông điđipp (thông(thông quaqua mãmã hóa)hóa) •S•S ddngng 33 thuthu tt toántoán mãmã hóahóa đđii xx ng:ng: DES,DES, 3DES,3DES, RCC2RCC2 trongtrong vivicc mãmã hóahóa thôngthông đđiip.p. •• Dùng Dùng gigiii thuthu tt RSARSA trongtrong vivicc traotrao đđii khóakhóa vàvà ch ch kýký ss •• Windows Windows MailMail (Vista),(Vista), OutlookOutlook Express,Express, ThunderbirdThunderbird hh trtr S/MIME.S/MIME. B môn MMT&TT 14/05/2010 50
  51. DDchch vv EmailEmail • PGP (Pretty Good Privacy) •• Do Do PhilipPhilip R.R. ZimmermannZimmermann ttoo rara vàovào nn ăămm 1991.1991. •• PGP PGP làlà chu chu nn đđóngóng thuthu cc côngcông tyty PGPPGP •S•S ddngng thuthu tt toántoán mãmã hóahóa bb tt đđii xx ngng •Open•Open PGPPGP đưđưcc cungcung cc pp theotheo •• Dùng Dùng hh ttngng khóakhóa côngcông khaikhai (PKI)(PKI) chuchu nn mm mômô tt trongtrong RFCRFC -2440-2440 •• PGP PGP nénnén dd liliuu trtr ưưcc khikhi mãmã hóahóa •• ĐưĐưcc hh trtr trongtrong nhinhiuu phph nn •• Dùng Dùng thuthu tt toántoán RSARSA hoho cc DHDH mmmm thth ươươ ngng mm ii vàvà mã mã ngungu nn mm MMtt ss phph nn mm mm hh trtr OpenOpen PGPPGP :: Authora,Authora, WinPT,WinPT, GnuPG,GnuPG, Enigmail,Enigmail, GPGforWin,GPGforWin, PGPFreeware,PGPFreeware, B môn MMT&TT 14/05/2010 51
  52. DDchch vv EmailEmail • Các điểm yếu của Email SPAMSPAM (Mail(Mail rác)rác) •• Nh Nh ngng mailmail vv ii nn ii dungdung ququ ngng cáocáo hoho cc cáccác thôngthông tintin khôngkhông mongmong mumu n.n. •• Làm Làm gigimm bb ăăngng thôngthông vàvà hi hiuu nn ăăngng cc aa dd chch vv •• Làm Làm đđyy hh pp thth ưư vàvà t tnn thth ii giangian llcc mailmail cc aa ngng ưưii dùng.dùng. HoaxHoax (Mail(Mail đđánhánh ll a)a) •• Ch Ch aa cáccác thôngthông tintin khôngkhông đđúngúng ss thth t.t. PhishingPhishing (l(l aa đđo)o) •L•Laa ngng ưưii dùngdùng gg ii titipp chocho nhnh ngng ngng ưưii khác.khác. •L•Laa ngng ưưii dùngdùng clickclick vàovào 11 liênliên kt d n đn 1 URL gi đ ly c p kt d n đn 1 URL gi đ ly c p Virus,Virus, TrojanTrojan các thông tin nh y c m nh ư tài các thông tin nh y c m nh ư tài •L•Laa ngng ưưii dùngdùng mm ttpp tintin đđínhính kèmkèm kho n, s th tín d ng, kho n, s th tín d ng, chch aa cáccác mãmã đđcc hh ii nhnh ưư virus,virus, trojantrojan • Các trình duy t và ph n m m di t • Các trình duy t và ph n m m di t •T•T đđngng gg ii titipp bb nn thânthân nónó cho cho cáccác virus m i đu có tính n ăng ch ng virus m i đu có tính n ăng ch ng ngng ưưii dùngdùng kháckhác trongtrong AddressAddress Book.Book. ddngng tt nn côngcông phishingphishing này.này. B môn MMT&TT 14/05/2010 52
  53. DDchch vv EmailEmail • SMTP Relay •L•Lii dd ngng MailMail ServerServer cc uu hìnhhình khôngkhông chínhchính xácxác gg ii emailemail đđnn cáccác ServerServer khác.khác. •• ThưThưngng ss ddngng đđ phátphát tántán SPAM.SPAM. KhôngKhông chocho ngng ưưii dùngdùng vôvô danhdanh tt bênbên ngoàingoài mm ngng (ch(chưưaa chch ngng thth c)c) gg ii mailmail đđii 11 đđaa chch mailmail bênbên ngoài.ngoài. B môn MMT&TT 14/05/2010 53
  54. DDchch vv WebWeb • Giao thức •• Dùng Dùng giaogiao thth cc HTTPHTTP •• Ngôn Ngôn ngng ss ddngng HTMLHTML •• Mô Mô tt trongtrong RFC-2616RFC-2616 •• Chuy Chuy nn cáccác filefile HTMLHTML (trang(trang Web)Web) •C•Cngng phph cc vv làlà TCP TCP 8080 tt ServerServer đđnn Client.Client. •• HTTP HTTP làlà giao giao thth cc khôngkhông anan toàntoàn •• Không Không chch ngng thth c,c, khôngkhông mãmã hóahóa B môn MMT&TT 14/05/2010 54
  55. DDchch vv WebWeb • HTTPS GõGõ trongtrong trìnhtrình duyduy tt •• HTTPSHTTPS == HTTPHTTP ++ TLS/SSLTLS/SSL •• Cung Cung cc pp tínhtính bb oo mm tt chocho dd chch vv Web.Web. •• Thích Thích hh pp chocho cáccác giaogiao dd chch anan toàntoàn trêntrên WebWeb nhnh ưư:: giaogiao dd chch ngânngân hàng,hàng, thôngthông tintin thth tíntín dd ng,ng, muamua hànghàng trtr cc tuytuy n,n, •• Dùng Dùng cc ngng TCPTCP 443443 •S•S ddngng mm tt mãmã khóakhóa côngcông khai:khai: cc pp khóakhóa côngcông khaikhai ++ khóakhóa bíbí m mtt vàvà chch ngng chch ss X.509.X.509. B môn MMT&TT 14/05/2010 55
  56. DDchch vv WebWeb • SSL (Secure Sockets Layer) và TLS (Transport Layer Security) •.•.ĐĐcc l lpp v v ii giaogiao thth cc c c aa ttngng ngng d d ngng •• Cung Cung c c pp c c ơơ chch bboo m m tt chocho cáccác d d chch v v Web,Web, FTP,FTP, Telnet,Telnet, LDAP,LDAP, IMAP,IMAP, SSLSSL •K•Ktt nn ii bíbí m mtt quaqua mãmã hóahóa đđii xx ng:ng: DES,DES, RC4,RC4, •.Ho•.Ho tt đđngng phíaphía trêntrên tt ngng TCPTCP •• Ch Ch ngng thth cc quaqua mãmã hóahóa bb tt đđii xx ng:ng: RSA,RSA, DSS,DSS, •S•S ddngng cc khóakhóa côngcông khaikhai vàvà •K•Ktt nn ii tintin cc yy quaqua kikimm tratra tínhtính toàntoàn vv nn bb ngng cáccác khóakhóa đđii xx ngng chocho cáccác phiênphiên gigiii thuthu tt bb ăăm:m: SHA,SHA, MD5,MD5, giaogiao dd ch.ch. •S•S ddngng 33 giaogiao thth c:c: TLSTLS ++ SSLSSL handshakehandshake protocolprotocol •K•K thth aa tt SSLSSL ,, nhnhưưngng khôngkhông tt ươươ ngng thíchthích vv ii SSL.SSL. ++ SSLSSL RecordRecord protocolprotocol •• Cung Cung cc pp cáccác chch cc nn ăăngng bb oo mm tt nângnâng caocao hh ơơn.n. ++ SSLSSL AlterAlter protocolprotocol B môn MMT&TT 14/05/2010 56
  57. DDchch vv WebWeb • Một số vấn đề cần quan tâm QuyQuy nn trêntrên thth ưư mm c:c: list,list, read,read, write,write, execute,execute, B môn MMT&TT 14/05/2010 57
  58. DDchch vv WebWeb • Một số vấn đề cần quan tâm QuQu nn lýlý đđiiuu khikhinn truytruy cc p:p: ngng ưưii dùng,dùng, đđaa chch chocho phépphép truytruy cc pp B môn MMT&TT 14/05/2010 58
  59. DDchch vv WebWeb • Một số vấn đề cần quan tâm •• Giám Giám sátsát h h thth ng:ng: ghighi loglog file,file, IDS,IDS, •• Th Th cc hihinn backupbackup đđnhnh k k ỳỳ •B•Boo trìtrì thưthưngng xuyên:xuyên: update,update, vává l li,i, •• Ki Kimm tratra tínhtính đđúngúng đđnn trongtrong c c uu hìnhhình WebWeb Server:Server: cócó th th dùngdùng NMAP.NMAP. B môn MMT&TT 14/05/2010 59
  60. DDchch vv WebWeb • Một số vấn đề cần quan tâm •• ĐĐtt mm cc đđ bboo mm tt chocho trìnhtrình duyduy t.t. •• Gi Giii hh nn cáccác scriptscript thth cc thi:thi: VBScript,VBScript, JavaScript,JavaScript, •C•Cnn thth nn khikhi ss ddngng cookie,cookie, ActiveX,ActiveX, CGICGI B môn MMT&TT 14/05/2010 60
  61. DDchch vv FTPFTP • Giao thức •• Dùng Dùng giaogiao thth cc FTPFTP •• Mô Mô tt trongtrong RFC-959RFC-959 •C•Cngng phph cc vv làlà : : ++ TCPTCP 2121 chocho nn ii kk tt ++ TCPTCP 2020 chocho dd liliuu • Standard mode : có 2 giao d ch •• Có Có 2 2 dd ngng tàitài khokho nn ngng ưưii dùng:dùng: • Standard mode : có 2 giao d ch + Client n i k t đn Server cng 21 đ ++ TàiTài khokho nn vôvô danhdanh (anonymous):(anonymous): + Client n i k t đn Server cng 21 đ yêu c u file. đđaa ss chch chocho downloaddownload yêu c u file. + Server (dùng c ng 20) n i k t đn Client ++ NgNgưưii dùngdùng riêng:riêng: cócó th th chocho + Server (dùng c ng 20) n i k t đn Client đ upload file đn Client. uploadupload vàovào thth ưư mm cc riêng.riêng. đ upload file đn Client. •• PassivePassive modemode :: cócó 2 2 giaogiao dd chch ++ ClientClient nn ii kk tt đđnn ServerServer (c(c ngng 21).21). •• FTP FTP làlà giao giao thth cc khôngkhông anan toàntoàn ServerServer trtr llii llii ClientClient giágiá tr tr ccngng phph cc vv •M•Mii thth ggii đđii trêntrên đưđưngng truytruy nn đđuu ++ ClientClient nn ii kk tt đđnn ServerServer quaqua cc ngng đđóó đđ khôngkhông đưđưcc mãmã hóahóa (k(k cc password)password) nhnh nn file.file. B môn MMT&TT 14/05/2010 61
  62. DDchch vv FTPFTP • FTPS •• FTPSFTPS == FTPFTP ++ TLS/SSLTLS/SSL •• Cung Cung cc pp tínhtính bb oo mm tt chocho dd chch vv FTP.FTP. •• Thích Thích hh pp chocho cáccác giaogiao dd chch anan toàntoàn vàvà b boo mm tt khikhi truytruy nn filefile bb ngng FTP.FTP. •• Dùng Dùng cc ngng TCPTCP 990990 chocho đđiiuu khikhinn vàvà TCP TCP 898898 chocho dd liliu.u. •S•S ddngng mm tt mãmã khóakhóa côngcông khaikhai •• Ch Ch kýký ss (chu(chu nn X.509):X.509): dùngdùng RSA,RSA, DSADSA •• Mã Mã hóahóa dd liliuu dùngdùng khóakhóa bíbí m mtt (khóa(khóa chiachia ss )) :: DES,DES, 3DES,3DES, AES,AES, B môn MMT&TT 14/05/2010 62
  63. DDchch vv chiachia ss filefile • File sharing NetBEUI NetBIOSNetBIOS NetBEUI • Chu n đnh d ng khung c a NetBIOS. •T•Too rara bb ii IBM,IBM, phátphát tritrinn bb ii • Chu n đnh d ng khung c a NetBIOS. • Giao th c t ng 4 (nhưng không h tr Microsoft.Microsoft. • Giao th c t ng 4 (nhưng không h tr vch đưng) •• Cung Cung cc pp dd chch vv vvnn chuychuy nn vch đưng) NetBIOS trên TCP (NBT) vàvà giao giao dd ch.ch. NetBIOS trên TCP (NBT) • Dùng v n chuy n d li u NetBIOS trên •• Dùng Dùng cc ngng TCPTCP 137,137, 138,138, 139139 • Dùng v n chuy n d li u NetBIOS trên cáccác mm ngng tt ngng 33 (nh(nhưư IP)IP) B môn MMT&TT 14/05/2010 63
  64. DDchch vv LDAPLDAP • Lightweight Directory Access Protocol LDAPLDAP làlà giao giao thth cc chuchu nn chocho phépphép ClientClient cócó th th truytruy cc pp vàovào tàitài nguyênnguyên trongtrong dd chch vv thưthư mmcc DDchch vv thưthư mmcc cungcung cc pp truytruy cc pp đđnn 11 CSDLCSDL trungtrung tâmtâm llưưuu trtr cáccác tàitài nguyênnguyên hihinn cócó trên trên mm ng:ng: tàitài khokho nn ngng ưưii dùng,dùng, TKTK máymáy tính,tính, TKTK mail,mail, • LDAP theo chu n X.500 • LDAP theo chu n X.500 SLDAPSLDAP (Secure(Secure LDAP)LDAP) •S dng c ng TCP 389, 636 •S dng c ng TCP 389, 636 •• Dùng Dùng SSL/TLSSSL/TLS đđ cungcung cc pp • LDAP thưng dùng đ cung c p • LDAP thưng dùng đ cung c p chch ngng thth cc vàvà mã mã hóa.hóa. chch ngng thth cc chocho cáccác dd chch vv kháckhác trêntrên mm ng.ng. B môn MMT&TT 14/05/2010 64