tiểu luận AN TOÀN MẠNG máy TÍNH đề tài trình bày về xây dựng mô hình an ninh mạng

Mã hoá nhằm đảm bảo các yêu cầu sau: • Tính bí mật: bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép • Tính toàn vẹn: dữ liệu không bị thay đổi trong quá trình truyền.. 2.2.1.Giải

Đề tài 10: Trình bày về xây dựng

mô hình an ninh mạng

AN TOÀN MẠNG MÁY TÍNH

Nhóm 5: Lã Hải Nam - AT150241

Đỗ Xuân Bách - AT150305 Đào Văn Dương - AT150313 Đào Văn Mạnh - AT150138 Nguyễn Hải Long - AT15

Hà Ngọc Hiếu - AT150218

Giảng viên hướng dẫn: Lê Anh Tú

NỘI DUNG

2 MỘT SỐ PHƯƠNG PHÁP BẢO MẬT

3 CÁC HỆ THỐNG PHẦN CỨNG CƠ BẢN

1 MÔ HÌNH AN NINH MẠNG

1.Mô hình an ninh mạng

• Phân tích bảng dữ liệu.

• Thiết kế CSDL

• Thiết kế truy vấn, thủ tục, hàm.

• Thiết kế giao diện chương trình.

• Thiết kế chức năng chương trình.

• Thiết kế báo cáo.

• Thiết kế các kiểm soát.

• Lựa chọn hệ quản trị cơ sở dữ liệu.

• Lựa chọn công cụ lập trình.

• Lựa chọn công cụ.

• Lựa chọn công cụ kiểm thử.

• Viết test case theo yêu cầu.

• Kiểm chứng các module.

• Thử nghiệm hệ thống thông tin.

• Khắc phục các lỗi

• Lắp đặt phần cứng.

• Cài đặt phần mềm

• Phát hiện các sai sót, khuyết điểm.

• Đào tạo và hướng dẫn sử dụng.

• Cải tiến và chỉnh sửa.

• Nâng cấp và bảo trì

hệ thống

• Lớp quyền truy cập – Right Access

• Lớp đăng nhập tên/mật khẩu Login Password

• Lớp mã hoá thông tin Data Encryption

• Lớp bảo vệ vật lý Physical Protection

• Lớp bảo vệ bức tường lửa

Right Access Login Password Data Encryption Physical Protection

2 Một số phương pháp bảo mật

2.1 Phương pháp mã hoá

Phương pháp mã hoá là cơ chế chính cho việc bảo mật thông tin

Mã hoá nhằm đảm bảo các yêu cầu sau:

• Tính bí mật: bảo vệ dữ liệu không bị lộ ra ngoài một cách trái phép

• Tính toàn vẹn: dữ liệu không bị thay đổi trong quá trình truyền

• Tính không từ chối: là cơ chế người thực hiện hành động không thể chối bỏ những gì mình đã làm, có thể kiểm chứng được nguồn gốc hoặc người đưa tin

• Hàm băm là hàm thực hiện quá trình biến một dữ liệu đầu vào có độ dài bất

kỳ thành một chuỗi đầu ra đặc trưng có độ dài cố định

• Hàm băm là hàm một chiều, ta có thể tính toán giá trị băm từ dữ liệu đã cho, nhưng không thể lấy một giá trị băm và tạo lại thông điệp từ nó

2.2 Các giải thuật mã hoá

2.2.1.Giải thuật băm (Hashing Encryption)

Một số hàm băm phổ biến:

+ MD5: giá trị băm 128 bit

+ SHA-1: giá trị băm 160 bit

2.2.1.Giải thuật băm (Hashing Encryption)

Ứng dụng:

• Key Stretching (tạo khóa bí mật từ mật khẩu)

• Integrity checking (kiểm tra tính toàn vẹn dữ liệu)

• HMAC - Hashed Message Authentication Code (mã chứng thực thông điệp sử dụng hàm băm)

• Chữ ký điện tử

2.2.2.Giải thuật mã hoá đối xứng (Symmetric)

• Mã hóa đối xứng hay mã hoá chia sẻ khóa (shared-key encryption) là mô hình mã hóa hai chiều, là tiến trình mã hoá và giải mã đều dùng chung một khoá

• Quy trình mã hoá:

2.2.2.Giải thuật mã hoá đối xứng (Symmetric)

• Ưu điểm: Các thuật toán mã hóa đối xứng có tốc độ nhanh hơn và đòi hỏi sức mạnh tính toán thấp hơn

• Nhược điểm: Vấn đề bảo mật nằm ở chỗ, làm thế nào để chuyển key cho người nhận một cách an toàn Nếu key này bị lộ, bất kỳ ai sử dụng giải thuật phía trên đều có thể giải mã được

dữ liệu như vậy thì tính bảo mật sẽ không còn nữa

• Ứng dụng: Do có tốc độ nhanh nên mã hóa đối xứng được sử dụng rộng rãi để bảo vệ thông tin trong các hệ thống máy tính hiện đại

2.2.2.Giải thuật mã hoá đối xứng (Symmetric)

Một số giải thuật mã hoá đối xứng phổ biến:

+Data Encryption Standard (DES):

• Sử dụng một khối 64 bit hoặc một khóa 56 bit

• Có thể dễ dàng bị bẻ khóa

+Triple DES (3DES):

• Áp dụng DES 3 lần

• Sử dụng một khóa 168bit

• Bị thay thế bởi AES

+Advanced Encryption Standard (AES):

• Sử dụng Rhine doll có khả năng đề kháng với tất cả tấn công đã biết

• Dùng một khóa và khóa chiều dài có thể thay đổi (128-192 hoặc 256 bit)

• Mã hóa bất đối xứng, hay mã hóa khóa công khai(public-key encryption), là mô hình mã hóa 2 chiều sử dụng một cặp khóa là khóa riêng (private key) và khoá công khai (public keys).

• Để thực hiện mã hoá bất đối xứng:

2.2.3.Giải thuật mã hóa bất đối xứng (Asymmetric)

• Không bền vững, lâu dài.

+ Ứng dụng: Có thể sử dụng cho các hệ thống có nhiều người dùng

+ Một số giải thuật mã hoá bất đối xứng phổ biến:

• RSA (Ron Rivest, Adi Shamir, and Leonard Adleman)

• DSA (Digital Signature Standard)

• Diffie-Hellman (W.Diffie and Dr.M.E.Hellman)

2.2.3.Giải thuật mã hóa bất đối xứng (Asymmetric)

Là loại chứng thực phổ biến nhất và yếu nhất của chứng

thực, username/password được giữ nguyên dạng chuyển

đến Server

Tuy nhiên phương pháp này xuất hiện những vấn đề như

dễ bị đánh cắp trong quá trình đến server

Giải pháp:

• Đặt mật khẩu dài tối thiểu tám ký tự, bao gồm chữ cái,

số, biểu tượng

• Thay đổi password: 1 tháng/ lần

• Không nên đặt cùng password ở nhiều nơi

• Xem xét việc cung cấp password cho ai

2.3.1 Username/password

User

e

• Dùng để mã hóa mật khẩu khi đăng nhập, dùng phương pháp chứng thực

thử thách/hồi đáp Định kỳ kiểm tra lại các định danh của kết nối sử dụng cơ

chế bắt tay 3 bước và thông tin bí mật được mã hóa sử dụng MD5

• Hoạt động của CHAP như sau:

2.3.2 CHAP (Challenge Hanshake Authentication Protocol)

• Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn mã hóa sử dụng MD5

• Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu

2.3.3 Kerberos

Một Server (Certificates Authority - CA) tạo ra các certificates.

• Có thể là vật lý: smartcard

• Có thể là logic: chữ ký điện tử

Nhược điểm:

• Triển khai PKI (Public Key Infrastructure) kéo dài và tốn kém

• Smart cards làm tăng giá triển khai và bảo trì

• Dịch vụ CA tốn kém

2.3.4 Chứng chỉ (Certificates)

Có thể dùng các phương pháp sau: mống mắt/võng mạc, vân tay, giọng nói Ưu điểm của phương pháp này rất chính xác, thời gian chứng thực nhanh, tuy nhiên giá thành cao cho phần cứng và phần mềm, việc nhận diện có thể bị sai lệch.

2.3.5 Sinh trắc học

Sử dụng nhiều hơn một phương pháp chứng thực như: mật khẩu/ PIN, smart card, sinh trắc học, phương pháp này nhằm tạo sự bảo vệ theo chiều sâu với nhiều tầng bảo vệ khác nhau.

+ Ưu điểm: Làm giảm sự phụ thuộc vào password, hệ thống chứng thực mạnh hơn và cung cấp khả năng cho Public Key Infrastructure (PKI)

+ Nhược điểm Tăng chi phí triển khai, tăng chi phí duy trì, chi phí nâng cấp

2.3.6 Kết hợp nhiều phương pháp (Multi factor)

Máy chủ bảo mật phát ra một con số ngẫu nhiên khi người dùng đăng nhập vào mạng Một con số thách đố xuất hiện trên màn hình, người dùng nhập vào số các số trong thẻ bài Thẻ bài mã hoá các con số thách đố này với mã khoá bí mật của nó và hiển thị lên màn hình LCD, sau đó người dùng nhập kết quả này vào máy tính Trong khi đó , máy chủ mã hoá con số thách đố với cùng một khoá và nếu như hai kết quả này phù hợp thì người dùng sẽ được phép vào mạng.

2.3.7 Cơ chế đáp ứng thách đố

Ở đây thẻ bài hiển thị một số được mã hoá với khoá bí mật mà khoá này thay đổi cứ 60 giây Người dùng được nhắc cho con số khi cố gắng đăng nhập vào máy chủ Bởi đồng hồ trên máy chủ và thẻ được đồng bộ, cho nên 28 máy chủ

có thể xác nhận người dùng bằng cách giải mã con số thẻ và so sánh kết quả

2.3.8 Cơ chế đồng bộ thời gian

Ở đây, một bộ đếm ghi lại số lần vào mạng của người dùng Sau mỗi lần vào mạng, bộ đếm được cập nhật và một mã nhận dạng khác được tạo ra cho lần đăng nhập kế tiếp.

2.3.9 Cơ chế đồng bộ sự kiện

%

3.1 Bảo mật máy trạm

Mọi máy chủ ở trong một công ty nên được kiểm tra từ Internet để phát hiện lỗ hổng bảo mật, để giảm thiểu tính rủi ro của hệ thống trước khi một máy chủ khi đưa vào sản xuất, sẽ có một quá trình kiểm tra theo

một số bước nhất định

FTP (viết tắt của File Transfer Protocol) là giao

thức truyền tệp tin khá phổ biến hiện nay

Nguyên lý và cách hoạt động: Cần có 2 kết nối

TCP trong phiên làm việc của FTP: TCP Data

connection trên cổng 20, TCP Control connection

trên cổng 21

• Control connection : luôn được mở ở mọi thời

điểm khi dữ liệu hoặc lệnh được gửi

• Data connection : chỉ được mở khi có trao đổi dữ liệu thực

3.2 Bảo mật truyền thông

Bảo mật truyền thông SSH(Secure Socket Shell): là giao thức đăng nhập vào server từ xa, cho phép người dùng kiểm soát, chỉnh sửa và quản trị dữ liệu của server thông qua nền tảng Internet SSH cũng giúp việc kết nối của mạng lưới máy chủ và máy khách an toàn, hiệu quả và bảo mật thông tin tốt hơn.

Quy trình rút gọn hoạt động của SSH:

• Bước 1: Định danh host

• Bước 2: Mã hoá dữ liệu

• Bước 3: Chứng thực và giải mã

3.2 Bảo mật truyền thông

3.3 Bảo mật ứng dụng

Bảo vệ hệ thống email :

• Sử dụng S/MIME nếu có thể

• Cấu hình Mail Server tốt, không bị open relay

• Ngăn chặn Spam trên Mail Server

• Cảnh giác với email lạ

• Thiết lập tường lửa Email

3.3 Bảo mật ứng dụng

Bảo vệ ứng dụng web:

• Web traffic: Sử dụng giao thức bảo mật SSL/TSL để mã hóa thông tin giữa

Client và Server, hoạt động tầng Transport, sử dụng mã hoá không đối xứng và MD5, sử dụng Public Key để chứng thực và mã hóa giao dịch giữa Client và Server và TSL bảo mật tốt hơn

• Web Client: Trong mô hình client/server, máy client là một máy trạm mà chỉ

được sử dụng bởi 1 người dùng với để muốn thể hiện tính độc lập cho nó Các điểm yếu của Client như JavaScript, ActiveX, Cookies, Applets

• Web Server: Server cung cấp và điều khiển các tiến trình truy cập vào tài

nguyên của hệ thống Vai trò của server như là một nhà cung cấp dịch vụ cho các clients yêu cầu tới khi cần, các dịch vụ như cơ sở dữ liệu, in ấn,truyền file,

hệ thống Các lỗi thường xảy ra trong WEB Server: lỗi tràn bộ đệm, CGI/ Server Script và HTTP, HTTPS

3.4 Thống kê tài nguyên

Là khả năng kiểm soát (kiểm kê) hệ thống mạng, bao gồm:

• Logging

• Scanning

• Monitoring

Xin cảm ơn!