I.1 Nhập môn Bảo mật hệ thống thông tin: ậ ệ g g • Thông tin chỉ có giá trị cao đảm bảo tính chính xác và kịp thời.p • Mục tiêu của việc đảm bảo ATAN hệ thống là đưa racác giải pháp và
Trang 1AN TOÀN MẠNG
¾ Điều kiện:
1 Sử dụng thành thạo một ngôn ngữ lập trình: Pascal,C++, Visual C
2 Đã học xong môn học Mạng máy tính và môn học
an toàn bảo mật thông tin
¾ Mục tiêu của môn học:
1 Nắm được các khái niệm về an toàn mạng
Trang 2AN TOÀN MẠNG
¾ Yêu cầu đối với sinh viên:
1 Tham dự đầy đủ các tiết học trên lớp
2 Đọc tài liệu trước khi lên lớp
2 Đọc tài liệu trước khi lên lớp
3 Phải tham dự đầy đủ các bài kiểm tra trên lớp
4 Phải hoàn thành Bài tập lớn do giảng viên yêu cầu
5 Hoàn thành bài thi hết môn học
¾ Hình thức thi: Vấn đáp.
Trang 3AN TOÀN MẠNG
¾ Tài liệu tham khảo:
1 Cryptography And Network Security - Williamstalling 4th Edition
2 Computer Viruses and Malware – Jonh Aycock
3 Network Security Architectures Cisco Press 2004
4 Network Intrusion detection, Third Edition, SANS2006
5 Lý thuyết mật mã và An toàn thông tin - Phan ĐìnhDiệu
Diệu
6 Một số vấn đề về An toàn dữ liệu - Trịnh Nhật Tiến
Trang 4AN TOÀN MẠNG
¾ Nội dung chính :
Chương 1 – Nhập môn
Chương 2 – Các phương pháp mã hóa đối xứng
Chương 3 – Các hệ mật mã công khai
Chương 4 – Xác thực thông điệpg ự g ệp
Chương 5 – Chữ ký điện tử và các giao thức xác thựcChương 6 An ninh mạng và hệ thống
Chương 7 – Virus máy tính
Chương 8 – Internet Firewall
Chương 9 – Hệ thống phát hiện và ngăn chặn xâm nhập
Trang 5Chương I – Nhập môn
A T à M
An Toàn Mạng
Trang 6I.1 Nhập môn
Bảo mật hệ thống thông tin: ậ ệ g g
• Thông tin chỉ có giá trị cao đảm bảo tính chính xác và
kịp thời.p
• Mục tiêu của việc đảm bảo ATAN hệ thống là đưa racác giải pháp và ứng dụng các giải pháp này để loạitrừ và giảm bớt các nguy hiểm cho HT
• Các cuộc tấn công hiện nay thì ngay càng tinh vi và
theo nhiều hình thức khác nhau, do đó cần phải đưa racác chính sách và biện pháp đề phòng cần thiết
Trang 7I.1 Nhập môn
Các nguy cơ đe dọa: có rất nhiều nguy cơ anh hưởng g y ọ g y g
đến sự an toàn của một HTTT, các nguy cơ này có thểxuất phát từ bên ngoài hoặc từ bản thân các lỗ hổng trongHT
Tất cả các HT đều mang trong mình lỗ hổng hoặc điểm ế
yếu.
• Phần mềm: việc lập trình phần mềm đã ẩn chứa sẵn
các lỗ hổng(ước tính cứ 1000 dòng mã sẽ có trungbình từ 10-15 lỗi)
• Phần cứng: lỗi các thiết bị phần ứng như firewall,
Router,
Trang 8I.1 Nhập môn
Các nguy cơ đe dọa:
• Chính sách: Đưa ra các quy định không phù hợp,
không đảm bảo an ninh, ví dụ như chính sách về xácô g đả bảo a , v dụ ư c sác về ácthực, qui định về nghĩa vụ và trách nhiệm người dùngtrong hệ thống
• Sử dụng: Cho dù hệ thống được trang bị hiện đại đến
đâu thì đều do những con người sử dụng và quản lý,
sự sai sót và bất cẩn của người dùng có thể gây ranhững lỗ hổng nghiêm trọng
Trang 9I.1 Nhập môn
Một số ví dụ về bảo vệ ATTT: ộ ụ ệ
• Truyền files, trao đổi thông điệp, giả mạo
Trang 11I.2 Các dịch vụ, cơ chế an toàn an ninh thông tin
và các dạng tấn công vào hệ thống mạng
Các dịch vụ ATAN
• Đảm bảo tính riêng tư
• Đảm bảo tính tin cậy
• Toàn vẹn thông tin
Trang 12I.2 Các dịch vụ, cơ chế an toàn an ninh thông tin
và các dạng tấn công vào hệ thống mạng
Các cơ chế ATAN
• Trên thực tế không tồn tại
một cơ chế duy nhất nào cóythể đảm bảo an toàn thông tincho mọi hệ thống
Trang 13I.2 Các dịch vụ, cơ chế an toàn an ninh thông tin
Trang 14I.3 Các dạng tấn công
Các dạng tấn công: tấn công chủ động và thụ động ạ g g g ộ g ụ ộ g
• Thụ động hay chủ động được hiểu theo nghĩa có can
thiệp vào nội dung và vào luồng thông tin trao đổi hayp g g g ykhông
• Tấn công “thụ động” chỉ nhằm đạt mục tiêu cuối cùng
là nắm bắt được thông tin, không biết được nội dungnhưng cũng có thể dò ra được người gửi, người nhận
nhờ vào thông tin điều khiển giao thức chứa trongphần đầu của các gói tin Hơn thế nữa, còn có thểkiểm tra được số lượng độ dài và tần số trao đổi đểbiết được đặc tính trao đổi của dữ liệu
Trang 15Các công cụ được dùng phổ biến như Nmap, StealthHTTP Security Scanner,
Trang 16I.3 Các dạng tấn công
• Các hành vi dò quét: q
1 NMAP là Công cụ quét cực nhanh và mạnh Có thể quét trên mạng diện rộng và đặc biệt tốt đối với mạng đơn lẻ NMAP có ể
thể xem những dịch vụ nào đang chạy trên server (services / ports : webserver , ftpserver , pop3, ),server đang dùng hệ điều hành gì,loại tường lửa mà server sử dụng, NMAP hỗ trợ hầu hết các kỹ thuật quét như : IP protocol , Null scan , TCP SYN,
ỗ
2 Stealth HTTP Security Scanner là công cụ quét lỗi bảo mật tuyệt vời trên Win32 Nó có thể quét được hơn 13000 lỗi bảo mật và nhận diện được 5000 exploits khác ậ ậ ệ ợ p
.
Trang 17I.3 Các dạng tấn công
• Tấn công từ chối dịch vụ - Denial Service Attacks: g ị ụ
đây là kiểu tấn công khó phòng chống nhất và hiệnnay chưa có cách phòng chống triệt để
Nguyên tắc chung của cách tấn công này là:
1 Hacker sẽ gửi liên tục các yêu cầu phục vụ đến máy nạn nhân.
2 Máy bị tấn công sẽ phải trả lời các yêu cầu này.
Trang 18dựa trên các lỗ hổng bảo mật đã được công bố
- Tấn công kiểu Zero-Day: là các cuộc tấn công diễn ra ngay
khi lỗi được công bố và chưa phát hiện bản vá lỗi Kiểu tấn công này rất nguy hiểm vì các hệ thống bảo mật thông thường không thể phát hiện ra.
Trang 19kẻ xâm nhập nắm được quyền điều khiển các dịch vụ
hoặc quyền điều khiển máy chủ bị tấn công
Trang 20I.3 Các dạng tấn công
Dạng tấn công thụ động ạ g g ụ ộ g
Trang 21I.3 Các dạng tấn công
Dạng tấn công thụ động ạ g g ụ ộ g
• Giải phóng nội dung của thông điệp: ngăn chặn đối
phương thu và tìm hiểu nội dung của thông tin truyền
tải
• Phân tích tải: Khi phân tích tải đối phương có thể xác
định được vị trí của các máy tham gia vào quá trìnhtruyền tin; tần suất và kích thước bản tin
• Dạng tấn công thụ động rất khó phát hiện vì không
làm thay đổi dữ liệu, với dạng tấn công này người ta
quan tâm đến vấn để ngăn chặn hơn là vấn đề pháthiện
Trang 22I.3 Các dạng tấn công
Dạng tấn công chủ động ạ g g ộ g
Trang 23• Mục tiêu an toàn của dạng tấn công này là có thể phát
hiện và phục hồi lại thông tin từ mọi trường hợp bịphá hủy và làm trễ
Trang 24I.4 Các dịch vụ an toàn an ninh
• Đảm bảo tính riêng tư: Bảo vệ dữ liệu được truyền g ệ ệ ợ y
tải khỏi các tân công thụ động
• Đảm bảo tính tin cậy: Thông tin không thể bị truy ậy g g y
nhập trái phép bởi những người không có thẩm quyền
• Đảm bảo tính toàn vẹn: Thông tin không thể bị sửa
đổi, bị làm giả bởi những người không có thẩmquyền
• Đảm bảo tính không thể từ chối: Thông tin được
cam kết về mặt pháp luật của người cung cấp
Trang 25I.4 Các dịch vụ an toàn an ninh
• Kiểm soát truy cập: Cung cấp khả năng giới hạn và y ập g p g g ạ
kiểm soát các truy cập tới các máy chủ hoặc tới cácứng dụng thông qua đường truyền tin
• Đảm bảo tính sẵn sàng: Thông tin luôn sẵn sàng để
đáp ứng sử dụng cho người có thẩm quyền
Trang 26I.5 Các mô hình ATAN mạng
Mô hình an toàn mạng: bài toán này được nảy sinh khi
• Cần thiết phải bảo vệ quá trình truyền tin khỏi các
hành động truy cập trái phép
• Đảm bảo tính riêng tư, tính toàn vẹn, tính xác thực
Mô hình an toàn mạng yêu cầu:
• Thiết kế một giải thuật thích hợp cho việc chuyển đổi liên quan
đến an toàn.
• Tạo ra thông tin bí mật (khóa) đi kèm với giải thuật
• Tạo ra thông tin bí mật (khóa) đi kèm với giải thuật
• Phát triển các phương pháp phân bổ và chia sẻ thông tin bí mật
• Đặc tả một giao thức sử dụng bởi hai bên gửi và nhận dựa trên
• Đặc tả một giao thức sử dụng bởi hai bên gửi và nhận dựa trên
giải thuật an toàn và thông tin bí mật, làm cơ sở cho một dịch
vụ an toàn
Trang 27I.5 Các mô hình ATAN mạng
Ví dụ:
Gi thứ SFTP(S Sh ll Fil T f P t l) i
• Giao thức SFTP(Secure Shell File Transfer Protocol): giao
thức truyền tin dùng trình bao bảo mật, là một giao thức dựa trên nền SSH SFTP là FTP được cộng thêm chức năng mã hoá
dữ liệu của SSL hoặc TSL (Transport Layer Security - Bảo mật
tầng giao vận).
• Giao thức SSL(S S k t L ): là giao thức đa m c đích
• Giao thức SSL(Secure Socket Layer): là giao thức đa mục đích
được thiết kế để tạo ra các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) nhằm mã hoá toàn
Trang 28I.5 Các mô hình ATAN mạng
Ví dụ:
KEA thuật toán trao đổi khoá MD5 - thuật toán tạo giá trị “băm”
RC2, RC4 - mã hoá Rivest RSA - thuật toán khoá công khai, cho mã hoá va xác thực RSA key exchange - thuật toán trao đổi khoá cho SSL dựa trên thuật toán RSA
SHA-1 - thuật toán hàm băm an toàn SKIPJACK - thuật toán khoá đối xứng phân loại được thực hiện trong phần cứng Fortezza
Triple-DES - mã hoá DES ba lần.
Trang 29I.5 Các mô hình ATAN mạng
Trang 30 Mô hình an toàn truy cập mạng: mô hình này yêu cầu
• Lựa chọn các chức năng gác cổng thích hợp để định
danh người dùng
• Cài đặt các điều khiển an toàn để đảm bảo chỉ những
người dùng được phép mới có thể truy nhập được vàocác thông tin và tài nguyên tương ứng
các thông tin và tài nguyên tương ứng