tiểu luận AN TOÀN MẠNG máy TÍNH đề tài trình bày về xây dựng mô hình an ninh mạng

Mã hoá nhằm đảm bảo các yêu cầu sau: • Tính bí mật: bảo vệ dữ liệu không bị lộ ra ngoài một cách trái... Giải thuật băm Hashing EncryptionỨng dụng: • Key Stretching tạo khóa bí mật từ mậ

Đề tài 10: Trình bày về xây dựng Nhóm 5: Lã Hải Nam - AT150241

Đỗ Xuân Bách - AT150305 Đào Văn Dương - AT150313

AN TOÀN MẠNG MÁY

TÍNH

mô hình an ninh mạng

Đào Văn Mạnh - AT150138 Nguyễn Hải Long - AT15

Hà Ngọc Hiếu - AT150218

Giảng viên hướng dẫn: Lê Anh Tú

NỘI DUNG

1 MÔ HÌNH AN NINH MẠNG

2 MỘT SỐ PHƯƠNG PHÁP BẢO MẬT

3 CÁC HỆ THỐNG PHÀN CỨNG CƠ BẢN

1.Mô hình an ninh mạng

1 2 3 4 5

Khảo sát dự án

Khảo sát sơ bộ • Xác định yêu cầu • Thiết kế CSDL • Lựa chọn hệ quản

• Lựa chọn công cụ

Khảo sát chi tiết • Phân tích và đặc tả • Thiết kế truy vấn, trị cơ sở dữ liệu kiểm thử.

Đặt ra các vấn đề mô hình phân cấp thủ tục, hàm • Lựa chọn công cụ • Viết test case

theo trọng tâm cần giải chức năng tổng thể • Thiết kế giao diện lập trình yêu cầu.

quyết • Phân tích bảng dữ

liệu.

chương trình.

• Thiết kế chức năng chương trình.

• Thiết kế báo cáo.

• Thiết kế các kiểm soát.

• Lựa chọn công cụ • Kiểm chứng các

module.

• Thử nghiệm hệ thống thông tin.

• Khắc phục các lỗi

• Đào tạo và hướng dẫn sử dụng.

• Cải tiến và chỉnh sửa.

• Nâng cấp và bảo trì

hệ thống

1.2 Xây dựng mô hình an ninh

mạng

• Lớp quyền truy cập - Right Access

• Lớp đăng nhập tên/mật khẩu Login Password

• Lớp mã hoá thông tin Data Encryption

• Lớp bảo vệ vật lý Physical Protection

• Lớp bảo vệ bức tường lửa

Hệ thông phát hiện xâm nhập

Fire Wall Physical Protection Data Encryption

Right Access

2 Một số phương pháp bảo mật

2.1 Phương pháp mã hoá

Phương pháp mã hoá là cơ chế chính cho việc bảo mật thông tin

Mã hoá nhằm đảm bảo các yêu cầu sau:

• Tính bí mật: bảo vệ dữ liệu không bị lộ ra ngoài một cách trái

2.2 Các giải thuật mã hoá

2.2.1.Giải thuật băm (Hashing Encryption)

• Hàm băm là hàm thực hiện quá trình biến một dữ liệu đầu vào có độ dài bất

kỳ thành một chuỗi đầu ra đặc trưng có độ dài cố định

• Hàm băm là hàm một chiều, ta có thể tính toán giá trị băm từ dữ liệu đã cho,

nhưng không thể lấy một giá trị băm và tạo lại thông điệp từ nó

Một số hàm băm phổ biến:

+ MD5: giá trị băm 128 bit

+ SHA-1: giá trị băm 160 bit

Hash Euncriũii

2.2.1 Giải thuật băm (Hashing Encryption)

Ứng dụng:

• Key Stretching (tạo khóa bí mật từ mật khẩu)

• Integrity checking (kiểm tra tính toàn vẹn dữ liệu)

• HMAC - Hashed Message Authentication Code (mã

chứng thực thông điệp sử dụng hàm băm)

• Chữ ký điện tử

Hash Eưncriũii

2.2.2 Giải thuật mã hoá đối xứng (Symmetric)

• Mã hóa đối xứng hay mã hoá chia sẻ khóa (shared-key encryption) là mô hình mã hóahai chiều, là tiến trình mã hoá và giải mã đều dùng chung một khoá

• Quy trình mã hoá:

2.2.2 Giải thuật mã hoá đối xứng (Symmetric)

• Ưu điểm: Các thuật toán mã hóa đối xứng có tốc độ nhanh hơn và đòi hỏi sức mạnh tính toánthấp hơn

• Nhược điểm: Vấn đề bảo mật nằm ở chỗ, làm thế nào để chuyển key cho người nhận mộtcách an toàn Nếu key này bị lộ, bất kỳ ai sử dụng giải thuật phía trên đều có thể giải mã được

dữ liệu như vậy thì tính bảo mật sẽ không còn nữa

• Ứng dụng: Do có tốc độ nhanh nên mã hóa đối xứng được sử dụng rộng rãi để bảo vệ thôngtin trong các hệ thống máy tính hiện đại

2.2.2 Giải thuật mã hoá đối xứng (Symmetric)

A 1 • /1 /\ J r 4- Ấ • < 1 Ẳ 1 • Ấ

Một số giải thuật mã hoá đối xứng phô biên:

+Data Encryption Standard (DES):

• Sử dụng một khối 64 bit hoặc một khóa 56 bit

• Có thể dễ dàng bị bẻ khóa

+Triple DES (3DES):

• Áp dụng DES 3 lần

• Sử dụng một khóa 168bit

• Bị thay thê bởi AES

+Advanced Encryption Standard (AES):

• Sử dụng Rhine doll có khả năng đề kháng với tất cả tấn công đã biêt

• Dùng một khóa và khóa chiều dài có thể thay đôi (128-192 hoặc 256 bit)

2.2.3 Giải thuật mã hóa bất đối xứng (Asymmetric)

• Mã hóa bất đối xứng, hay mã hóa khóa công khai(public-key encryption), là mô hình mãhóa 2 chiều sử dụng một cặp khóa là khóa riêng (private key) và khoá công khai (publickeys)

• Để thực hiện mã hoá bất đối xứng:

Contírtt

2.2.3 Giải thuật mã hóa bất đối xứng (Asymmetric)

• Không bền vững, lâu dài

+ Ứng dụng: Có thể sử dụng cho các hệ thống có nhiều người dùng

+ Một số giải thuật mã hoá bất đối xứng phổ biến:

• RSA (Ron Rivest, Adi Shamir, and Leonard Adleman)

• DSA (Digital Signature Standard)

• Diffie-Hellman (W.Diffie and Dr.M.E.Hellman)

2.3.1 Username/password

Là loại chứng thực phổ biến nhất và yếu nhất của chứng

thực, username/password được giữ nguyên dạng chuyển

đến Server

Tuy nhiên phương pháp này xuất hiện những vấn đề như

dễ bị đánh cắp trong quá trình đến server

Giải pháp:

• Đặt mật khẩu dài tối thiểu tám ký tự, bao gồm chữ cái,

số, biểu tượng

• Thay đổi password: 1 tháng/ lần

• Không nên đặt cùng password ở nhiều nơi

• Xem xét việc cung cấp password cho ai

Use r Passwor

2.3.2 CHAP (Challenge Hanshake Authentication

Protocol

Dùng đê mã hóa mật khâu khi đăng nhập, dùng phương pháp chứng thực

thử thách/hồi đáp Định kỳ kiêm tra lại các định danh của kết nối sử dụng cơchế bắt tay 3 bước và thông tin bí mật được mã hóa sử dụng MD5

Hoạt động của CHAP như sau:

Logon Request

Client

Authoríze / Fail ?

Compare Encrypted Results Challenqe

Encrypts value Server

Kerberos là một giao thức mật mã

dùng đê xác thực trong các mạng máy

tính hoạt động trên những đường truyền không an toàn mã hóa sử dụngMD5

Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các góitin cũ và đảm bảo tính toàn vẹn của dữ liệu

• •

2.3.3 Kerberos

• Triển khai PKI (Public Key Infrastructure) kéo dài và tốn kém.

• Smart cards làm tăng giá triển khai và bảo trì

• Dịch vụ CA tốn kém

• •

Có thể dùng các phương pháp sau: mống

măt/võng mạc, vân tay, giọng nói Ưu

điểm của phương pháp này rất chính xác, thời gian chứng thực nhanh, tuy nhiên

2.3.5 Sinh trăc học

giá thành cao cho phần cứng và phần mềm, việc nhận diện có thể bị sai lệch.

2.3.6 Kêt hợp nhiêu phương pháp (Multi factor)

Sử dụng nhiêu hơn một phương pháp chứng thực như: mật khẩu/ PIN,

2.3.7 Cơ chê đáp ứng thách đô

Máy chủ bảo mật phát ra một con sô ngâu nhiên khi

mạng Một con sô thách đô xuất hiện trên màn hình, người dùng nhập vào sôcác sô trong thẻ bài Thẻ bài mã hoá các con sô thách đô này với mã khoá bí mậtcủa nó và hiển thị lên màn hình LCD, sau đó người dùng nhập kêt quả này vàomáy tính Trong khi đó , máy chủ mã hoá con sô thách đô với cùng một khoá vànêu như hai kêt quả này phù hợp thì người dùng sẽ được phép vào mạng

2.3.8 Cơ chế đồng bộ thời gian

Ở đây thẻ bài hiển thị một số được mã hoá với khoá bí mật mà khoá này

2.3.9 Cơ chê đông bộ sự kiện

Ở đây, một bộ đêm ghi lại số lần vào mạng

của người dùng Sau mỗi lần vào

mạng, bộ đêm được cập nhật và một mã nhận dạng khác được tạo ra cho lầnđăng nhập kê tiêp

3.1 Bảo mật máy trạm

AI* r 1 9 9 J /\ Ả /\ Ả /\ 4- 1 • Ẳ Ả Ả \ T Ả J 4-Ẳ 1 r J

Mọi máy chủ ở trong một công ty nên được kiêm tra từ Internet đê phát

1 • /\ 1 /V I Ắ 1? /V 4-Ẳ • 9 J 1 • Ẳ i r \ ọ • ọ 1 /\ J 1 Ấ ầ r 1 1 •

thông trước khi

3.2 Bảo mật truyền thông

FTP (viết tắt của File Transfer Protocol) là giao

thức truyền tệp tin khá phổ biến hiện nay

Nguyên lý và cách hoạt động: Cần có 2 kết nối

TCP trong phiên làm việc của FTP: TCP Data

connection trên cổng 20, TCP Control connection

trên cổng 21

• Control connection : luôn được mở ở mọi thời

• •điểm khi dữ liệu hoặc lệnh được gửi

• Data connection : chỉ được mở khi có trao đổi dữ

liệu thực.

• •

FTP Client

3.2 Bảo mật truyền thông

Bảo mật truyền thông SSH(Secure Socket Shell): là giao thức đăng nhập vào server từ xa, cho phép

giúp việc kết nối của mạng lưới máy chủ và máy khách an toàn, hiệu quả và bảo mật thông tin tốt

hơn

Quy trình rút gọn hoạt động của SSH:

• Bước 1: Định danh host

• Bước 2: Mã hoá dữ liệu

• Bước 3: Chứng thực và giải mã

3.3 Bảo mật ứng

dụng

Bảo vệ hệ thống email :

• Sử dụng S/MIME nếu có thể

• Cấu hình Mail Server tốt, không bị open relay

• Ngăn chặn Spam trên Mail Server

• Cảnh giác với email lạ

• Thiết lập tường lửa Email

Bảo vệ ứng dụng web:

Client và Server, hoạt động tầng Transport, sử dụng mã hoá không đối xứng vàMD5, sử dụng Public Key để chứng thực và mã hóa giao dịch giữa Client vàServer và TSL bảo mật tốt hơn

được sử dụng bởi 1 người dùng với để muốn thể hiện tính độc lập cho nó Cácđiểm yếu của Client như JavaScript, ActiveX, Cookies, Applets

nguyên của hệ thống Vai trò của server như là một nhà cung cấp dịch vụ chocác clients yêu cầu tới khi cần, các dịch vụ như cơ sở dữ liệu, in ấn,truyền file,

hệ thống Các lỗi thường xảy ra trong WEB Server: lỗi tràn bộ đệm, CGI/Server Script và HTTP, HTTPS

3.4 Thống kê tài nguyên

Là khả năng kiểm soát (kiểm kê) hệ thống mạng, baogồm:

• Logging

• Scanning

• Monitoring

Xin cảm ơn!