Mạng máy tính - Bài 12: Bảo mật mạng

Nội dung text: Mạng máy tính - Bài 12: Bảo mật mạng

1. Trường Đại Học Bách Khoa Tp.HCM Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng Mạng máy tính ThS. NGUYỄN CAO ĐẠT E-mail:dat@cse.hcmut.edu.vn
2. Bài giảng 12: Bảo mật mạng Tham khảo: Chương 6: “Computer Networking – A top-down approach” Kurose & Ross, 5th ed., Addison Wesley, 2010. Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 2
3. Bảo mật Mạng Các mục tiêu:  Hiểu rõ các nguyên lý của bảo mật mạng:  mật mã học và những ứng dụng của nó cho “sự bí mật”  xác thực  toàn vẹn thông điệp  Bảo mật trong thực tế:  tường lửa và các hệ thống phát hiện xâm nhập  bảo mật trong các tầng ứng dụng, truyền tải, mạng, liên kết Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 3
4. Mục lục Bảo mật mạng là gì? Các nguyên lý của mật mã Toàn vẹn thông điệp Bảo vệ email Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa và IDS Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 4
5. Bảo mật mạng là gì? Tính cơ mật: chỉ có n/gửi, n/nhận chủ định có thể “hiểu” nội dung thông điệp  n/gửi mã hóa thông điệp  n/nhận giải mã thông điệp Xác thực: n/gửi, n/nhận muốn xác nhận đúng người mà mình đang nói chuyện Toàn vẹn thông điệp: n/gửi, n/nhận muốn đảm bảo rằng thông điệp không bị thay đổi (trong quá trình gửi, hoặc sau đó) mà không bị phát hiện Khả năng truy cập và tính sẵn sàng: dịch vụ phải luôn truy cập được và sẵn sàng cho n/dùng Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 5
6. Bạn bè và kẻ thù: Alice, Bob, Trudy  rất phổ biến trong thế giới bảo mật mạng  Bob, Alice (tình nhân!) muốn liên lạc “một cách bí mật”  Trudy (ng xâm phạm) có thể may chặn, xóa, thêm thông điệp Alice Bob kênh dữ liệu, thông điệp điều khiển dữ liệu n/gửi n/nhận dữ liệu an toàn an toàn Trudy Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 6
7. Ai có thể là Bob, Alice?  Những Bob và Alice ngoài đời thực!  Trình duyệt/máy chủ Web cho giao dịch điện tử (vd: mua bán on-line)  máy chủ/khách thực hiện tác vụ ngân hàng trực tuyến  máy chủ DNS  bộ định tuyến trao đổi thông tin cập nhật bảng định tuyến  những ví dụ khác? Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 7
8. Luôn có những kẻ xấu trong mạng! H: Kẻ xấu có thể làm gì? Đ: Rất nhiều! (xem chương 1)  nghe lén: các thông điệp  chủ động chèn thông điệp vào kết nối  giả danh: có thể giả (lừa) địa chỉ nguồn trong gói tin (hoặc bất kì trường nào trong gói)  chiếm quyền(hijacking): “kiểm soát” kết nối đang diễn ra bằng cách vô hiệu vai trò n/gửi và nhận, chèn bản thân hắn ta vào.  từ chối dịch vụ: ngăn chặn việc cung cấp dịch vụ cho người dùng khác (vd: bằng cách làm quá tải bộ nhớ) Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 8
9. Mục lục Bảo mật mạng là gì? Các nguyên lý của mật mã Toàn vẹn thông điệp Bảo vệ email Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa và IDS Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 9
10. Ngôn ngữ của mật mã học khóa khóa K mã hóa của A K giải mã Alice B của Bob văn bản giải thuật văn bản mã hóa giải thuật văn bản thô mã hóa giải mã thô m thông điệp văn bản thô KA(m) văn bản mã hóa, mã khóa với khóa KA m = KB(KA(m)) Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 10
11. Các loại mã hóa  Mật mã thường sử dụng khóa:  Giải thuật được công bố rộng rãi  Chỉ có “khóa” là bí mật  Mã hóa khóa công khai  Sử dụng hai khóa  Mã hóa khóa đối xứng  Sử dụng một khóa  Các hàm băm  Không sử dụng khóa  Không có gì bí mật: Làm sao để có thể hữu dụng? Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 11
12. Mã hóa khóa đối xứng K K S S văn bản giải thuật văn bản mã hóa giải thuật văn bản thô thô, m mã hóa giải mã K (m) m = K (K (m)) S S S mã hóa khóa đối xứng: Bob và Alice chia sẻ cùng một khóa (đối xứng): K S  vd: khóa là một mẫu thay thế đã biết trong mã hóa thay thế một kí tự H: làm sao để Bob và Alice có thể thống nhất về khóa? Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 12
13. Mã hóa khóa đối xứng: DES DES: Chuẩn mã hóa dữ liệu (Data Encryption Standard )  chuẩn mã hóa US [NIST 1993]  khóa đối xứng 56-bit, dữ liệu đầu vào 64-bit  mã hóa Khối với chuỗi mã hóa khối (CBC)  DES an toàn như thế nào?  Thử thách của DES: khóa mã hóa 56-bit bị giải mã (vét cạn) trong t/gian ít hơn 1 ngày  Chưa có kiểu tấn công phân tích nào mạnh  tăng độ an toàn cho DES:  3DES: mã hóa 3 3 lần với 3 khóa khác nhau (Mã hóa, Giải mã, Mã hóa) Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 13
14. AES: Chuẩn mã hóa cao cấp  mới (10/2001) khóa đối xứng thay thế DES  xử lý dữ liệu theo khối 128 bit  khóa dài 128, 192 hoặc 256 bit  giải mã vét cạn (thử từng khóa) tốn 1 giây với DES, tốn 149 tỉ tỉ năm với AES Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 14
15. Mã hóa khóa công khai mã hóa khóa đối xứng  yêu cầu n/gửi, nhận mã hóa khóa công khai phải biết khóa bí mật . phương án tiếp cận khác [Diffie-Hellman76, RSA78]  H: làm sao để thống nhất về khóa từ đầu . n/gửi, nhận không chia sẻ khóa bí mật (nếu không gặp trực . Mọi người biết khóa mã tiếp nhau)? hóa công khai . chỉ có n/nhận biết khóa giải mã cá nhân Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 15
16. Mã hóa khóa công khai + K Khóa công khai B của Bob - Khóa cá nhân K B của Bob văn bản thông điệp giải thuật mã hóa giải thuật thông điệp mã hóa + văn bản thô, m K (m) giải mã văn bản thô B m = K - (K + (m)) B B Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 16
17. Mục lục Bảo mật mạng là gì? Các nguyên lý của mật mã Toàn vẹn thông điệp Bảo vệ E-mail Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa và IDS Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 17
18. Tính toàn vẹn thông điệp  Cho phép các bên liên lạc xác minh rằng các tin nhắn nhận được được xác thực.  Nội dung thông điệp chưa bị thay đổi  Nguồn của thông điệp chính là người mà bạn nghĩ  Thông điệp chưa bị phát lại  Sự liên tục của thông điệp được duy trì  Đầu tiên hãy xem xét “Sự chuyển hóa thông điệp” Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 18
19. Sự chuyển hóa thông điệp (message digest) thông  Hàm H( ) có tham số là một H: Hàm điệp19 lớn thông điệp có độ dài bất kì và băm xuất ra một chuỗi văn bản độ dài xác định: “kí hiệu nhận biết thông điệp” H(m)  Chú ý rằng H( ) là hàm nhiều- tới-1  Các tính chất cần thiết:  H( ) thường được gọi là “hàm  Dễ tính toán băm”  Không tính ngược: không thể tính được m từ H(m)  Chống đụng độ: rất khó về phương diện tính toán để có thể tìm ra m và m’ sao cho H(m) = H(m’)  Kết quả gần ngẫu nhiên Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 19
20. Giải thuật Hàm Băm  MD5 được sử dụng rộng rãi (RFC 1321)  tính ra giá trị băm 128-bit sau một quá trình 4 bước.  SHA-1 cũng được dùng.  chuẩn của Mĩ [NIST, FIPS PUB 180-1]  giá trị băm 160-bit Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 20
21. Mã xác thực thông điệp(MAC) s = chia sẻ, bí mật s s t/điệp H( ) t/điệp t/điệp H( ) so sánh  Xác thực người gửi  Kiểm tra tín toàn vẹn  Không mã hóa !  Còn được gọi là “Băm có khóa”  Chú thích: MDm = H(s||m) ; gửi m||MDm Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 21
22. Xác thực đầu-cuối  Muốn chắc chắn về người gửi thông điệp – xác thực đầu- cuối.  Giả sử Alice và Bob có một bí mật chia sẻ, liệu MAC có cung cấp sự xác thực đầu cuối không?.  Ta biết được là Alice tạo ra thông điệp.  Nhưng có đúng là cô ta gửi nó đi không? Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 22
23. Tấn công “Phát lại” MAC = f(msg,s) Gửi $1M từ Bill tới Trudy MAC Gửi $1M từ Bill tới Trudy MAC Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 23
24. Phòng chống tấn công phát-lại: dùng-một-lần “Tôi là Alice” R MAC = f(msg,s,R) Gửi $1M từ Bill tới Susan MAC Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 24
25. Chữ kí số Là kĩ thuật mật mã tương tự như chữ kí viết tay.  n/gửi (Bob) kí số vào văn bản, chứng minh rằng anh ta là người tạo ra văn bản.  Mục đích tương tự như MAC, ngoại trừ việc sử dụng mật mã khóa công khai  có thể xác minh, không thể làm giả: n/nhận (Alice) có thể chứng minh rằng chỉ có Bob, mà không ai khác (kể cả Alice), đã kí vào văn bản Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 25
26. Chữ kí số Chữ kí số đơn giản cho thông điệp m:  Bob kí vào m bằng cách mã hóa với khóa cá nhân của anh ta KB, tạo ra thông điệp “đã kí”, KB(m) - Khóa cá nhân - t/điệp của Bob, m K K (m) B của Bob B Dear Alice t/điệp của Bob, m, Oh, how I have missed giải thuật you. I think of you all the đã được kí (mã time! (blah blah blah) mã hóa hóa) với khóa cá khóa c/khai nhân của anh ta Bob Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 26
27. Chữ kí số = chuỗi băm thông điệp được kí Alice kiểm tra chữ kí và sự toàn Bob giửi thông điệp được kí số: vẹn của thông điệp được kí số: t/điệp lớn, m H: Hàm giá trị băm băm H(m) được mã hóa - KB(H(m)) khóa cá chữ kí số t/điệp nhân (mã hóa) lớn m của Bob - khóa chữ kí số K công B (giải mã) khai của + giá trị băm H: Hàm Bob K B được mã hóa băm - + KB(H(m)) H(m) H(m) = ? Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 27
28. Chữ kí số (tt) -  Giả sử Alice nhận t/điệp m, chữ kí số KB(m) -  Alice kiểm tra m kí bởi Bob: giải mã KB(m) bằng khóa + + - công khai của Bob KB, kiểm tra xem KB(KB(m) ) = m. + -  Nếu KB(KB(m) ) = m, thì người kí vào m phải có khóa cá nhân của Bob. Alice bằng cách đó có thể kiểm tra:  Bob đã kí vào m.  không ai khác kí vào m.  Bob kí vào m mà không phải m’. Không-thoái-thác:  Alice có thể lấy m, và chữ kí K (m) tới tòa án và chứng B - mình rằng Bob kí vào m. Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 28
29. Sự chứng nhận khóa-Công khai  Động cơ: Trudy muốn “chơi xỏ” Bob  Trudy tạo một email đặt hàng: Xin chào cửa hàng Pizza, Làm ơn đem cho tôi 4 bánh pizza pepperoni. Cám ơn, Bob  Trudy kí vô đơn đặt hàng với khóa cá nhân của cô  Trudy gửi đơn đặt hàng tới của hàng Pizza  Trudy gửi tới cửa hàng Pizza khóa công khai của cô, nhưng nói rằng đó là khóa công khai của Bob.  Pizza Store kiểm tra chữ kí; sau đó giao cho Bob 4 bánh pizza.  Bob hoàn toàn không biết gì. Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 29
30. Các nhà có thẩm quyền chứng nhận  Nhà thẩm quyền chứng nhận (CA): liên kết khóa công khai tới một thực thể cụ thể E.  E (người, BĐT) đăng kí khóa công khai của nó với CA.  E cung cấp “bằng chứng định danh” cho CA.  CA tạo ra chứng chỉ mà liên kết E với khóa công khai của nó.  chứng chỉ chứa khóa công khai của E được kí số bởi CA – CA nói “đây là khóa công khai của E” chữ kí số khóa công + (mã hóa) khai của + K B Bob K B khóa cá chứng chỉ cho khóa nhân thông tin định - công khai của Bob, của CA K CA danh của Bob được kí bởi CA Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 30
31. Các nhà có thẩm quyền chứng nhận  Khi Alice muốn có khóa công khai của Bob:  lấy chứng chỉ của Bob (từ Bob hoặc ai khác).  dùng khóa công khai của CA giải mã chứng chỉ của Bob, lấy khóa công khai của Bob + chữ kí số khóa công K khai Bob B (giải mã) + K B khóa công khai CA + K CA Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 31
32. Chứng chỉ: tóm tắt  Chuẩn nguyên thủy X.509 (RFC 2459)  Chứng chỉ chứa:  Tên người phát hành  Tên, địa chỉ, tên miền, v.v của thực thể.  Khóa công khai của thực thể  Chữ kí số (kí với khóa cá nhân của ng phát hành)  Cơ sở hạ tầng khóa công khai (PKI)  Chứng chỉ và các nhà có thầm quyền chứng nhận  Thường bị xem là “nặng nề” Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 32
33. Mục lục Bảo mật mạng là gì? Các nguyên lý của mật mã Toàn vẹn thông điệp Bảo vệ E-mail Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa và IDS Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 33
34. Bảo mật E-mail  Alice muốn gửi email bí mật, m, cho Bob. KS KS(m ) KS(m ) m KS(. ) KS(. ) m + - Internet KS K+( . ) K- (. ) KS B + + B KB(KS ) KB(KS ) + - KB KB Alice:  sinh ngẫu nhiên khóa cá nhân đối xứng , KS.  mã hóa t/điệp với KS (tăng hiệu suất)  đồng thời mã hóa KS với khóa công khai của Bob.  gửi cả hai KS(m) và KB(KS) cho Bob. Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 34
35. Bảo mật E-mail (tt)  Alice muốn gửi email bí mật, m, cho Bob. KS KS(m ) KS(m ) m KS(. ) KS(. ) m + - Internet KS K+( . ) K- (. ) KS B + + B KB(KS ) KB(KS ) + - KB KB Bob:  sử dụng khóa cá nhân của anh để giải mã và lấy được KS  sử dụng KS để giải mã KS(m) để lấy được m Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 35
36. Bảo mật E-mail (tt) • Alice muốn cung cấp sự xác thực người gửi, tính toàn vẹn thông điệp. - + KA KA - - - KA(H(m)) KA(H(m)) + . H(m ) m H( .) KA(. ) KA( ) compare + Internet - H( .) m m H(m ) • Alice kí số vào thông điệp. • gửi cả thông điệp (chưa mã hóa) và chữ kí số. Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 36
37. Bảo mật E-mail (tt) • Alice muốn cung cấp tính bí mật, sự xác thực người gửi, tính toàn vẹn thông điệp. - KA - - . KA(H(m)) m H( .) KA( ) KS + KS(. ) m + Internet K+( . ) KS B + KB(KS ) + KB Alice sử dụng 3 khóa: khóa cá nhân của cô ta, khóa công khai của Bob, khóa đối xứng vừa tạo ra Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 37
38. Mục lục Bảo mật mạng là gì? Các nguyên lý của mật mã Toàn vẹn thông điệp Bảo vệ email Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa và IDS Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 38
39. SSL: Secure Sockets Layer  Giao thức bảo mật được  Các mục tiêu ban đầu: triển khai rộng rãi  Có giao dịch thương mại  được hỗ trợ bởi hầu hết các điện tử trình duyệt và máy chủ web  Mã hóa (đặc biệt là số thẻ-  https tín dụng)  hàng chục tỉ $ được sử dụng  xác thực máy chủ Web hàng năm qua SSL  xác thực khách (tùy chọn)  Thiết kế bởi Netscape vào  Hạn chế thủ tục khi mà 1993 buôn bán với bạn hàng mới   Có vài biến đổi: Có sẵn trong tất cả ứng dụng TCP  TLS: transport layer security, RFC 2246  giao diện hốc kết nối an toàn (Secure socket  Cung cấp: interface)  Bí mật  Toàn vẹn  Xác thực Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 39
40. SSL and TCP/IP Ứng dụng Ứng dụng SSL TCP TCP IP IP Ứng dụng th/thường Ứng dụng với SSL • SSL cung cấp giao diện lập trình ứng dụng (API) cho ứng dụng • các thư viện/lớp SSL trong C và Java đã có sẵn Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 40
41. Quá trình làm việc: - KA - - . KA(H(m)) m H(. ) KA( ) KS + KS(. ) m + Internet K+ (. ) KS B + KB(KS ) + KB . Nhưng cần gửi luồng byte và dữ liệu tương tác . Cần một bộ các khóa bí mật cho toàn bộ kết nối . Cần phần trao đổi chứng chỉ của giao thức: pha bắt-tay Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 441 1
42. Mục lục Bảo mật mạng là gì? Các nguyên lý của mật mã Toàn vẹn thông điệp Bảo vệ E-mail Bảo vệ kết nối TCP: SSL Bảo mật hành vi: tường lửa và IDS Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 42
43. Tường lửa Tường lửa cách li mạng bên trong tổ chức với mạng Internet, cho phép vài gói tin đi qua, chặn những gói khác. mạng Internet nội bộ công cộng tường lửa Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 43
44. Tường lửa: Để làm gì? ngăn chặn tấn công từ chối dịch vụ:  Sự gửi tràn SYN: kẻ tấn công thiết lập nhiều kết nối TCP giả , không còn tài nguyên cho những kết nối “thật” ngăn chặn sự truy cập/thay đổi không hợp pháp vào dữ liệu nội bộ.  vd: kẻ tấn công thay đổi trang chủ của công ty chỉ cho phép những truy cập được xác thực vào bên trong mạng (nhóm các n.dùng, máy đã được xác thực) ba loại tường lửa:  bộ lọc gói không trạng thái  bộ lọc gói trạng thái  cổng kiểm soát ứng dụng Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 44
45. Hệ thống phát hiện xâm nhập  sự lọc gói:  chỉ làm việc với mào đầu TCP/IP  không kiểm tra sự tương qua giữa các phiên  IDS: hệ thống phát hiện xâm nhập  Kiểm tra gói sâu: xem xét nội dung gói tin (vd: kiểm tra chuỗi kí tự trong gói tin, so sánh với cơ sở dữ liệu của vi-rút, chuỗi tấn công)  xem xét mối tương quan giữa nhiều gói tin  sự dò cổng  ánh xạ mạng  tấn công DoS Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 45
46. Hệ thống phát hiện xâm nhập  nhiều IDS: nhiều loại kiểm tra khác nhau tại nhiều vị trí khác nhau cổng kiểm tra tường lửa ứng dụng Internet mạng nội bộ máy chủ cảm biến Web máy chủ IDS máy chủ DNS FTP vùng phi quân sự Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 46
47. Tổng kết Kĩ thuật cơ bản  mã hóa (đối xứng hoặc công khai)  toàn vẹn thông điệp  xác thực đầu cuối Các kịch bản bảo mật  Hệ thống Email an toàn  Truyền tải an toàn (SSL)  Bảo mật hành vi  Bức tường lửa  Hệ thống phát hiện thâm nhập bất hợp pháp Trường Đại Học Bách Khoa Tp.HCM MẠNG MÁY TÍNH CĂN BẢN Khoa Khoa Học và Kỹ Thuật Máy Tính Bài giảng 12 - Chương 6: Bảo mật mạng © 2011 47