AN TOÀN THÔNG TIN TRÊN MẠNG

Đầu những năm 70, các máy tính đã được nối với nhau trực tiếp để tạothành một mạng máy tính nhằm phân tán tải của hệ thống và tăng độ tin cậy.Tiếp theo đó là sự phát triển mạnh mẽ của má

TRƯỜNG ĐẠI HỌC DÂN LẬP PHƯƠNG ĐÔNG

KHOA CÔNG NGHỆ THÔNG TIN

***********

Đề tài

AN TOÀN THÔNG TIN TRÊN MẠNG

LUẬN VĂN TỐT NGHIỆP

THUỘC CHUYÊN NGÀNH TIN HỌC

Sinh viên thực hiện :

Đỗ Quang Hưng

Mã số : PD 511112Giáo viên hướng dẫn :

TS Hồ Văn Canh

Hà Nội 2002

MỤC LỤC LỜI CẢM ƠN

LỜI NÓI ĐẦU

Chương 1: Những khái niệm cơ bản về mạng máy tính … 1

1.1 Khái niệm mạng máy tính …… 1

1.2 Các kiểu nối mạng máy tính ….

2 1.3 Phân loại mạng máy tính …… 3

1.3.1 Mạng cục bộ ( LAN - Local area Network ) … 4

1.3.2 Mạng đô thị (MAN - Metropolitan area Network ) …

5 1.3.3 Mạng diện rộng (WAN - Wide area Network ) … 5

1.3.4 Mạng toàn cầu ( GAN - Global area Network ) … 5

1.3.5 Mạng Internet … 5

1.4 Mô hình OSI 6

1.4.1 Chức năng các tầng … 7

1.5 Các giao thức mạng … 9

1.5.1 Giao thức TCP/IP ……….……

10 1.5.2 Dãy giao thức OSI …… …. 11

1.5.3 X.25 ………… 11

Chương 2: Các khái niệm cơ bản về an toàn thông tin trên mạng ……

12 2.1 Định nghĩa an toàn và an ninh thông tin ……

12 Trang

2.2 Các khu vực yếu kém của hệ bảo mật ………

13 2.3 Các phương pháp tấn công … 14

2.4 Các biện pháp đối phó ……… 15

2.5 FireWall .………

18 2.5.1 Định nghĩa .………

18 2.5.2 Chức năng ………….

19 2.5.3 Cấu trúc của FireWall ………

19 2.5.4 Các thành phần của FireWall ….….

19 Chương 3 : Hệ mật mã … 21

3.1 Bảo mật thông tin trên mạng … 21

3.1.1 Mã hoá theo đường truyền …….… 21

3.1.2 Mã hoá từ nút tới nút

………… 21

3.1.3 Giới thiệu chung về mật mã ……… 22

3.1.4 Một số phương pháp mật mã …………

24 a Phương pháp đổi chỗ …… 24

b Phương pháp thay thế ……….……

24

c Phương pháp mã hoá DES ………

24

d Phương pháp mã hoá với khoá công khai RSA

3.1.5 An toàn thông tin trêm mạng ……… 25

Chương 4 : Thuật toán mã hóa ………

4.3 Thiết lập lược đồ mã hoá … 29

4.3.1 Thiết lập 8 thanh ghi dịch phản hồi tuyến tính …………

Trước hết em xin chân thành cảm ơn thầy hướng dẫn, thầy đã tận tâmdẫn dắt, chỉ ra phương hướng để em hoàn thành bản luận văn tốt nghiệp

cho việc hoàn thành luận văn được tốt hơn

Xin chân thành cảm ơn !

Hà nội tháng 5 năm 2002

LỜI MỞ ĐẦU

Trong số các cách thức (phương pháp) nhằm đảm bảo an toàn thông tin, thì

thuật toán mã hóa (mật mã hóa) đóng một vai trò cực kỳ quan trọng Đặc biệt đối với những thông tin có tính chiến lược hoặc thông tin có những giá trị kinh tế đặc biệt, người ta không thể không bảo mật chúng bằng các thuật toán mã hóa Đó là

an toàn dữ liệu cao nhất mà bất kỳ một quốc gia nào cũng phải tuân thủ.

Ta biết rằng, dữ liệu quan trọng được bảo vệ để chống lại hai dạng tấn công của đối phương: Tấn công tiêu cực ( passive attack)

Tấn công tích cực ( active attack)

Ở đây chúng ta hiểu tấn công tiêu cực là loại tấn công mà ở đó đối phương tiếp cận được dữ liệu mật mà anh ta không được phép.

Còn tấn công tích cực là loại tấn công trong đó đối phương cố gắng điều khiển hoặc thay đổi dữ liệu.

Hiện nay do xu hướng “toàn cầu hóa” trong đó sự hợp tác và đấu tranh đan xen nhau giữa các nước, mỗi nước đều rất quan tâm đến vấn đề bảo mật thông tin ( dữ liệu ) quan trọng của mình Đặc biệt với sự “bùng nổ” thông tin như hiện nay, việc bảo vệ những thông tin quan trọng của từng quỗc gia, bộ ngành, xí nghiệp càng trở nên cấp thiết hơn bao giờ hết.

Theo em được biết thì vấn đề an toàn dữ liệu trên mạng nói chung đã có nhiều tác giả quan tâm, nghiên cứu bằng nhiều phương pháp khác nhau như sử dụng passwords ( các từ khoá ), sử dụng hàm một chiều ( one_way function), ứng dụng kỹ thuật nhận dạng vân tay sống,…vv Nhưng rất ít tác giả quan tâm sâu bảo mật dữ liệu bằng các kỹ thuật mã hoá ( Cryptography), mặc dù trên thế giới vấn đề này đã và đang được nhiều nhà khoa học quan tâm ( như Hội mật mã EURO_crypt, ASEAN_crypt, …vv và đặc biệt là hội IEEE ).

Em thấy rằng đây là những vấn đề rất hấp dẫn và lý thú Song là vấn đề rất mới mẻ đối với em do đó trong luận văn của mình chắc chắn còn có nhiều thiếu sót em mong được sự chỉ bảo của các thầy, cô giúp em tiến bộ, em xin chân thành cảm ơn.

Hà nội tháng 05 năm 2002

CHƯƠNG 1: NHỮNG KHÁI NIỆM CƠ BẢN VỀ MẠNG

MÁY TÍNH

1.1 KHÁI NIỆM MẠNG MÁY TÍNH:

Mạng máy tính là sự tích hợp của hai hay nhiều máy tính được nối vớinhau theo đường truyền và theo một kiến trúc nhất định để có thể trao đổi

thông tin với nhau, nâng cao hiệu quả khai thác tài nguyên từ những vị tríđịa lý khác nhau.

Mạng máy tính ra đời và phát triển đã đem lại những thành quả lớn lao.Chính vì vậy mà mạng máy tính đã được sử dụng rộng rãi trong các ngành,các lĩnh vực của đời sống xã hội: kinh doanh thương mại, quảng cáo, sảnxuất, xây dựng, kế toán Các công ty,các trường học cũng có thể dùngmột mạng máy tính dùng riêng để phục vụ cho công việc của mình

Có rất nhiều khía cạnh về mạng máy tính cần được nghiên cứu và pháttriển Thông thường đối với một mạng máy tính cần phải đảm bảocác yếu

tố sau: Truyền tin đúng, chính xác và phù hợp tốc độ Sau đây chúng taxem xét về sự hình thành và phát triển của mạng máy tính

Lịch sử phát triển của mạng máy tính:

Từ những năm 60 đã xuất hiện các mạch vi xử lý, trong đó các trạmcuối thụ động được nối vào một máy xử lý trung tâm Máy xử lý trung tâmlàm tất cả các nhiệm vụ: từ quản lý các thủ tục truyền dữ liệu, quản lý việcđồng bộ cho đến xử lý các yêu cầu từ các thiết bị đầu cuối Để giảm nhẹnhiệm vụ của máy trung tâm người ta thêm vào bộ tiền xử lý, để

truyền tin đi thì các mạng truyền tin cùng các bộ tập trung (Concentrator)hoặc dồn kênh (Multiplexor)

Đầu những năm 70, các máy tính đã được nối với nhau trực tiếp để tạothành một mạng máy tính nhằm phân tán tải của hệ thống và tăng độ tin cậy.Tiếp theo đó là sự phát triển mạnh mẽ của máy tính do vậy đòi hỏi phảităng yêu cầu truyền số liệu giữa các máy tính với nhau và với các thiết bịđầu cuối đồng thời cũng phải tăng tốc độ truyền và do đó mạng máy tínhcàng phát triển nhằm đáp ứng nhu cầu truyền và xử lý thông tin, phục vụ sựphát triển của nền tảng kinh tế xã hội Sự hình thành và phát triển của mạngmáy tính có thể được mô tả qua 4 giai đoạn sau:

1- Các terminal nối trực tiếp với máy tính

2- Qua thiết bị tập trung và dồn kênh.

3- Các bộ tiền xử lý

4- Mạng máy tính

Trong giai đoạn 1 và 2, máy trung tâm có chức năng quản lý truyền tinqua các tấm ghép nối điều khiển cứng, giai đoạn 3 và 4 ta có thể thay thếcác tấm ghép nối, quản lý đường truyền bằng máy tính MINI Bộ tiền xử

lý được nối với máy tính trung tâm làm tăng sức mạnh xử lý của hệ thống.Trong giai đoạn 4 việc đưa vào mạch truyền tin cho phép xây dựng mạngmáy tính rộng lớn, mạng truyền tin bao gồm các nút truyền tin và cácđường truyền tin nối giữa các nút để thực hiện việc truyền tin Các thiết bịđầu cuối, thiết bị tập trung, bộ tiền xử lý các máy tính được ghép nối vàocác nút mạng Việc xây dựng mạng truyền tin để xây dựng mạng máy tínhrộng lớn hơn

1.2 CÁC KIỂU NỐI MẠNG MÁY TÍNH :

Để thực hiện kết nối các máy tính với nhau thì có nhiều cách nối khácnhau sao cho đáp ứng được yêu cầu của người sử dụng Trong kiến trúcmạng có đề cập đến vấn đề này Các kiểu nối mạng chủ yếu là: điểm- điểm( Point to point ) và quảng bá (Broadcast hay Point to multipoint )

- Theo kiểu điểm-điểm thì đường truyền nối từ cặp nút với nhau, mỗi

nút có trách nhiệm lưu trữ tạm thời dữ liệu và sau đó chuyển tới đích Kếtnối theo kiểu này ta có các hình dạng mạng như sau:

a.Mạng BUS ( mạng xa lộ ) b Mạng RING ( mạng vòng )

Hình 1-2: Các hình dạng mạng

Theo kiểu quảng bá thì tất cả các nút phân chia chung một đường vật

lý, dữ liệu truyền đi từ một nút nào đó có thể được tiếp nhận bởi tất cả cácnút còn lại, bởi vậy cần chỉ ra địa chỉ đích để các nút kiểm tra xem dữ liệu

có phải dành cho mình không Thực hiện kết nối kiểu quảng bá thì ta có cáchình dạng mạng như sau:

1.3 PHÂN LOẠI MẠNG MÁY TÍNH :

Có nhiều cách để phân loại mạng máy tính, tuỳ thuộc vào chỉ tiêu đượcchọn để phân loại mà ta có các loại máy tính như sau:

Dựa vào khoảng cách địa lý:

Theo chỉ tiêu này ta có các loại máy tính như sau: Mạng cục bộ (LAN),mạng đô thị (MAN ) , mạng diện rộng (WAN ) và mạng toàn cầu (GAN )

1.3.1 Mạng cục bộ ( LAN - Local area Network ):

Hình11: Một số hình dạng mạng nối kiểu điểm

-điểm.

a) hình sao (Star ), b) mạng đầy đủ (complet )

c) mạng hình cây (tree )

Là mạng được cài đặt trong phạm vi tương đối nhỏ (ví dụ: một toà nhà,một trường học ) phạm vi chỉ trong khoảng vài chục Kilomet (Km ) trởlại.

Một trong những điểm nổi bật của mạng LAN là chúng sở hữu của một

cá nhân hoặc một tổ chức và họ có quyền xác định mức độ rộng và nhữngthiết bị nào sẽ dùng và nếu họ muốn thay đổi thì họ chỉ đơn giản là đến đầucuối và bổ sung chúng Một mạng LAN chỉ phủ trên một khoảng cách nhỏ

và để liên kết tất cả các máy tính lại với nhau, có thể lựa chọn đường truyềncho mạng nhưng hầu hết các mạng LAN có khuynh hướng dùng một loạiđường truyền với việc lắp đặt dễ dàng, hoạt động tin cậy và bảo quản, bảodưỡng thuận tiện

Giao thức (Protocol ):

Là một lớp các qui tắc có sẵn nào đó để thực hiện việc điều khiển tươngtác giữa các nhiệm vụ hoặc một vấn đề nào đó Người ta cũng có thể dùngvài giao thức để truyền với các kiểu khác nhau của máy chủ trên mạng, ví

dụ như: Ethernet, Token ring ARCnet và FDDI Tốc độ số liệu trên mạngLAN thường có khuynh hướng cao, trong khoảng (1- 100Mbp/s) TCP/IP làmột ví dụ điển hình về họ các giao thức điều khiển việc truyền dữ liệu trênmạng và giao thức mạng

Định nghĩa chung về giao thức ( protocol ):

Ví dụ khi hai người liên lạc điện thoại với nhau thì người gọi xưng tên

và đề nghị yêu cầu của mình Người bị gọi trả lời Nhưng phải có trước cósau, chứ không phải hai người cùng nói thì làm sao mà nghe được Cácbước tiến hành để trao đổi điện thoại giữa hai người là Protocol

1.3.2 Mạng đô thị (MAN - Metropolitan area Network ):

Là mạng được cài đặt trong phạm vi một đô thị hoặc một trung tâmkinh tế – xã hội có bán kính khoảng 100Km trở lại.

1.3.3 Mạng diện rộng ( WAN - Wide area Network ):

Là mạng mà phạm vi của nó có thể vượt qua biên giới quốc gia và thậmchí cả lục địa

Mạng này thuộc quyền sở hữu của những người cung cấp kết nối nhưcông ty điện thoại, những công ty này bán cho kênh thuê WAN trải trênmột khoảng cách dài bao gồm qua các quốc gia và vòng quanh thế giới.Các công ty nối kết xác định các giao thức nào có thể nối kết và sự lựachọn của chúng ta là có giới hạn Mặc dù một số giao thức mới và chuẩntruyền thông đang được phát triển như là một số đa dịch vụ ISDN, ATM(asynchronous Trans Fer Mode), nhưng TCP/IP và X.25 là những giao thứcphổ biến nhất

Tốc độ số liệu của mạng WAN có khuynh hướng giảm so với mạngLAN, tốc độ khoảng 2400Bp/s – 64 Kbp/s là phổ biến, đôi khi thay thếtrong từng vùng, trường hợp này tốc độ số liệu giữa các mạng LAN và

WAN là không thể xác định

1.3.4 Mạng toàn cầu ( GAN - Global area Network ):

Phạm vi của mạng trải rộng khắp các lục địa của trái đất

1.3.5 Mạng Internet :

Internet là mạng toàn cầu bao gồm nhiều mạng LAN, WAN trên thếgiới kết nối với nhau Mỗi mạng thành viên này được kết nối vào Internetqua một Router_là thiết bị phân tuyến các luồng dữ liệu giữa các mạng

1.4 MÔ HÌNH OSI :

-Vào những năm 1978, Tổ chức tiêu chuẩn hoá quốc tế (International

Standard Organizntion – Viết tắt là ISO) ban hành tập hợp đặc điểm kỹthuật mô tả kiến trúc mạng dành cho việc nối kết những thiết bị không cùngchủng loại Ban đầu tài liệu này áp dụng cho những hệ thống mở với nhau

do chúng có thể dùng chung giao thức và tiêu chuẩn để trao đổi thông tin

- Vào năm 1984, ISO phát hành bản sửa đổi mô hình này và gọi là mô

hình tham chiếu mạng hệ thống mở Open Sytems Interconnection–Viết tắt là OSI )

Mô hình này là hướng dẫn thông dụng và nổi tiếng nhất trong việc mô tảmôi trường mạng

- Mô hình OSI là kiến trúc chia truyền thông mạng thành bảy tầng.

Mỗi tầng bao gồm những hoạt động, thiết bị và giao thức mạng khác nhau

Hình 1 - 3 : Mô hình OSI bảy tầng.

Hình 1- 3 minh hoạ kiến trúc phân tầng của mô hình OSI Phân tầng

nhằm định rõ chức năng và dịch vụ ở các cấp độ khác nhau Mỗi tầng OSI

có những chức năng mạng định rõ và các chức năng của mỗi tầng giao tiếpvới chức năng của tầng ngay bên trên hoặc ngay bên dưới nó Chẳng hạn,tầng Session (Hội) phải tương tácvới tầng Presenta (Biểu diễn) và tầngTransport (Vận tải)

Tầng thấp nhất (1 và 2) định nghĩa phương tiện vật lý của mạng và các

tác vụ liên quan , như đưa bit dữ liệu lên card mạng và cáp

Tầng cao nhất định nghĩa cách thức chương trình ứng dụng truy cập các dịch vụ truyền thông Tầng càng cao, nhiệm vụ của tầng càng trở lên phức tạp Mỗi tầngcung cấp dịch vụ hoặc hoạt động chuẩn bị dữ liệu để chuyển giao qua mạngđến máy tính khác Các tầng được phân chia bằng những danh giới đượcgọi là giao diện Mọi yêu cầu đều được chuyển từ tầng này qua giao diệnrồi đến tầng tiếp theo Mỗi tầng xây dựng dựa trên các tiêu chuẩn và hoạtđộng của tầng bên dưới.

1.4.1 Chức năng các tầng:

- Tầng vật lý giữ nhiệm vụ chuyển tải các bít thông tin trên kênh truyền

thông Bít thông tin có thể biểu diễn mẩu tin cơ sở dữ liệu (database record)hoặc chuyển các tập tin, nhưng lớp vật lý không quan tâm đến nội dungbiểu diễn của bít thông tin Bít thông tin có thể được mã hoá dưới dạng cácchữ số 1 và 0 hoặc dạng tín hiệu tương tự (analog form)

Tầng vật lý làm việc với các giao diện cơ khí,điện và giao diện thủ

tục trên môi trường vật lý

- Tầng liên kết dữ liệu dựa vào khả năng chuyển tải của lớp vật lý Các

bít thông tin truyền đi hoặc nhận về đều được nhóm lại thành những đơn vịlogic gọi là khung (frame)

(Trong phạm vi mạng LAN, khung (frame) có thể là một mạng vòngToken Ring hoặc mạng khu vực Ethernet)

Tầng này chịu trách nhiệm chuyển khung dữ liệu không lỗi từ máy tính

này sang máy tính khác thông qua tầng Physical (Vật lý), và nó cho phéptầng Network truyền dữ liệu gần như không phạm lỗi qua nối kết mạng

Thông thường khi tầng Data link gửi đi một khung dữ kiệu, nó chờ tín

hiệu từ máy nhận.Tầng Data Link của máy nhận sẽ dò tìm bất cứ vấn đềnào có khả năng xảy ra trong quá trình truyền Khung dữ liệu nào khôngđược báo nhận hoặc bị hư tổn trong quá trình truyền sẽ bị gửi trở lại

Tầng này được xây dựng dựa trên kiểu nối "node - đến - node" do lớp

dữ liệu cung cấp, nó chịu trách nhiệm lập địa chỉ các thông điệp, diễn dịchđịa chỉ và tên logic thành địa chỉ vật lý Tầng này quyết định đường đi từmáy tính nguồn đến máy tính đích, nó quyết định dữ liệu sẽ truyền đi trênđường nào dựa vào tình hình mạng, ưu tiên dịch vụ và các yếu tố khác Nócũng quản lý lưu lượng trên mạng chẳng hạn như truyển đổi gói, địnhtuyến, kiểm soát sự tắc nghẽn dữ liệu và cắt - hợp dữ liệu nếu cần

- Tầng vận tải cung cấp dịch vụ nâng cao cho lớp mạng, nó đảm bảo

gói truyền không phạm lỗi, theo đúng trình tự ,không bị mất mát hay saochép Tầng này đóng gói thông điệp, chia thông điệp ra thành nhiều gói vàgộp các gói nhỏ thành một bộ Tại đầu nhận , tầng vận tải mở gói thôngđiệp, lắp ghép lại thông điệp gốc và gửi tín hiệu báo nhận Tầng Transportkiểm soát lưu lượng, xử lý lỗi và tham gia giải quyết vấn đề liên quan tớitruyền nhận gói

- Tầng hội có thể cung cấp một trong những dịch vụ nâng cao sau đây:

+ Kiểm soát các cuộc hội thoại (Dialog control).

+ Quản lý mã tín hiệu (Token management)

+ Quản lý hoạt động (Activity management).

Tầng này chịu trách nhiệm chuyển đổi giao thức, diễn dịch , dữ liệu mã

hoá dữ liệu , thay đổi hay chuyển đổi bộ ký tự và mở rộng lệnh đồ hoạ Nócòn quản lý các cấp độ nén dữ liệu nhằm giảm bớt số bít cần truyền

- Tầng ứng dụng chứa các giao thức và chức năng cần thiết cho người

sử dụng để thực hiện tác vụ truyền thông như sau:

- Giao thức cung cấp dịch vụ tập tin từ xa, chẳng hạn như mở, đóng,

đọc , ghi, và truy cập cùng lúc đến tập tin

- Dịch vụ truyền file và truy cập cơ sở dữ liệu từ xa.

- Dịch vụ xử lý thông điệp cho các ứng dụng thư điện tử.

- Dịch vụ thư mục toàn cục để định vị tài nguyên trên mạng

- Cách thống nhất để quản lý nhiều kiểu monitor và thiết bị đa dạng của

có thể hoạt động phối hợp nhau trong cái gọi là chồng giao thức hay còngọi là dãy Giống như một mạng phối hợp các chức năng từng tầng của môhình OSI, giao thức cũng hoạt động phối hợp ở những cấp độ khác nhautrong một chồng giao thức Cấp độ trong chồng giao thức tương ứng vớitầng của mô hình OSI

Toàn bộ hoạt động truyền dữ liệu trên mạng phải được chia thành nhiềubước riêng biệt, có hệ thống Ở mỗi bước , một số hoạt nhất định sẽ diễn ra

và không thể diễn ra ở bất kỳ bước nào khác Mỗi bước có nguyên tắc vàgiao thức riêng Các bước phải được thực hiện theo một trình tự nhất quángiống nhau trên mỗi máy tính mạng

- Ở máy tính gửi , những bước này phải được thực hiện từ trên xuống

- Ở máy tính nhận, chúng phải được thực hiện từ dưới lên

Cả máy tính nhận và máy tính gửi đều cần thực hiện từng bước theocùng một cách để dữ liệu lúc nhận được sẽ không thay đổi so với lúc gửi.Chẳng hạn, hai giao thức có thể cùng chia dữ liệu thành nhiều gói và bổsung thêm các thông tin thứ tự , thông tin thời lượng và thông tin kiểm lỗi.Tuy nhiên mỗi giao thức lại thực hiện việc này theo cách khác nhau Do

đó, máy tính dùng giao thức này sẽ không thể giao tiếp thành công với máytính dùng giao thức khác Chồng giao thức là một sự kết hợp các giao thức.Mỗi tầng định rõ một sự kết các giao thức Mỗi tầng định rõ một giao thứcchuyên đảm trách một chức năng hay hệ thống con của quá trình giao tiếp.Mỗi tầng có tập hợp nguyên tắc riêng.

Cũng như mô hình OSI, tầng thấp nhất trong tầng giao thức định rõcách hãng bán làm cho thiết bị của mình nối kết được với thiết bị của hãngkhác Tầng cao định rõ nguyên tắc thức hiện phiên giao tiếp và diễn dịchchương trình ứng dụng Tầng trong chồng giao thức càng cao, tác vụ và cácgiao thức phối hợp càng trở nên phức tạp

Nền công nghiệp máy tính đã thiết kế ra một vài chồng giao thức làm

mô hình giao thức chuẩn

1.5.1 Giao thức TCP/IP ( Transmission Control Protocol/Internet Protocol ):

Là 1 dãy giao thức theo đúng tiêu chuẩn công nghiệp, cung cấp truyềnthông trong môi trường đa chủng loại Ngoài ra TCP/IP còn cung cấp giaothức mạng công ty và truy nhập mạng Internet toàn cầu cũng như truy cậptài nguyên của mạng sau này TCP/IP trở thành giao thức tiêu chuẩn dùngcho khả năng liên kết hoạt động trong nhiều loại máy tính khác nhau Khảnăng liên kết hoạt động là một trong những ưu thế chính của TCP/IP Đại

đa số mạng máy tính chấp nhận TCP/IP như một giao thức TCP/IP cũng

hỗ trợ việc định tuyến và thường được làm giao thức liên mạng

1.5.2 Dãy giao thức OSI :

Dãy giao thức OSI là một chồng giao thức hoàn chỉnh Mỗi giao thứcánh xạ trực tiếp đến một tầng của mô hình OSI Dãy giao thức OSI baogồm các giao thức định tuyến và vận tải, các giao thức thuộc xêri IEEE.802, một giao thức tầng Application được thiết kế để cung cấp đầy đủ chứcnăng mạng, gồm truy cập tập tin, in ấn và mô phỏng terminal

1.5.3 X.25

Là giao thức hợp nhất vào mạng chuyển gói cấu thành từ các dịch vụchuyển Dịch vụ chuyển ban đầu được thiết lập để nối các terminal ở xa hệthống máy tính chủ

CHƯƠNG 2: CÁC KHÁI NIỆM CƠ BẢN VỀ AN TOÀN

THÔNG TIN TRÊN MẠNG

2.1 ĐỊNH NGHĨA AN TOÀN VÀ AN NINH THÔNG TIN:

Một trong các yêu cầu hàng đầu đặt ra đối với các mạng máy tính làxây dựng hệ thống thiết bị bảo đảm an toàn cho mạng để bảo vệ hoạt động

an toàn cuả mạng, phát hiện, đối phó với hoạt động cuả tin tặc và hành vixâm nhập trái phép ăn cắp mật khẩu, ăn cắp nội dung thông tin, hành vi lợidụng mạng để đưa thông tin ra bên ngoài trái phép và truyền tải nội thôngtin xấu từ ngoài vào, v.v

Những mối đe dọa đối với một hệ thống mạng máy tính thường tácđộng vào những bộ phận như: thu tin trên đường truyền, thu tin ở máy tínhchủ, ở bộ phận kết nối như Bridge(thiết bị điều phối các tuyến truyền dữliệu giữa các mạng, Gateway…, ở thiết bị ngoại vi, đặc biệt ở cácTerminal(thiết bị đầu cuối) Bản thân máy tính khi hoạt động cũng bức xạđiện từ mà với kỹ thuật hiện đại, người ta có thể thu được bức xạ đó vàphục hồi thông tin trên máy tính từ một vị trí rất xa so với nơi đặt máy tínhđó

Các mối đe dọa an ninh có cả tự nhiên lẫn cố ý Dữ liệu trên các hệthống dễ bị tổn thương trước các thiên tai và các cuộc phá hoại của những

kẻ ác ý Nguyên nhân có thể là lụt lội, hỏa hoản, các đối thủ cạnh tranh, sựtrả thù,… Các cuộc tấn công của con người có thể tích cực hay tiêu cực

 Các cuộc tấn công tích cực thực tế liên quan đến việc thay

đổi các dữ liệu truyền hay lưu trữ Nó cũng có thể là xóa, phá hủy, gây trễnại, hay làm nghẽn các phiên truyền

 Các cuộc tấn công tiêu cực liên quan đến việc thu thập

thông tin mà không một ai biết về điều đó Trường hợp nghe lén điện tử vàcâu cáp là những ví dụ

2.2 CÁC KHU VỰC YẾU KÉM CỦA HỆ BẢO MẬT:

 Các mật khẩu dễ nhận ( và dễ đoán), hoặc các mật khẩu bị lộ, làmhại đến tiến trình đăng nhập người dùng và thẩm định quyền(Authentication)

 Các xác lập đăng nhập, các quyền tài khoản người dùng, và các giấyphép đăng nhập tập tin không được thực thi tốt

 Các đĩa và thư điện tử có mang virút

 Các cửa bỏ vào các mạng nội bộ, do người dùng Internet tạo ra hoặc

do các bức tường lửa Internet được áp dụng không hiệu quả

 Quay số gọi các máy tính di động từ xa đã bị đánh cắp cùng vớithông tin đăng nhập

 Các kỹ thuật định tuyến (routing) không hiệu quả và không bảo mật

đã mở đường cho các Hacker đột nhập vào hệ thống

Kẻ tấn công sẽ tìm đủ mọi cách để kiếm bằng được một mẩu thông tinqúy giá có thể giúp họ truy cập một hệ thống máy tính Thông thường đíchnhắm vẫn là các mật hiệu tài khoản Các Hacker thường cấy các mối rối,câu đường dây, …để tìm kiếm thông tin họ cần.

 Tấn công điện thoại:

Kẻ trộm điện thoại (phreaker) là người vận dụng hệ viễn thông để thực

hiện các cuộc gọi đường dài, lén nghe các cuộc trò chuyện riêng tư, truycập các hệ thống nội bộ, hoặc đột nhập các hệ thống khác thông qua hệthống đã bị bẻ khóa

 Hacking các tài khoản người dùng và mật hiệu:

Các cuộc tấn công vét cạn (exhaustion attacks) và tấn công từ điển

(dictionary attack) là những phương pháp để bẻ khóa các tập tin mật hiệu

và các thông tin đã mã hóa khác Trong cuộc tấn công vét cạn, hàng ngàn

kiểu phối hợp mật hiệu được dùng cho đến khi đoán ra được một mật hiệu

Trong kiểu tấn công từ điển, một từ điển hoàn chỉnh các mật hiệu chung

bằng nhiều ngôn ngữ được thử cho đến khi đoán ra được một mật hiệu

 Tấn công vào các protocols (thủ tục):

Đây là phương pháp tấn công mới nhưng trong nhiều trường hợp lại tỏ

ra có hiệu quả cao đối với những kẻ tấn công

 Nghe lén điện tử và rà cáp:

Bộ rà gói tin (packet sniffer) là một thiết bị hoặc một phần mềm có thể

đọc các gói tin đã truyền Tiến trình rà gói tin là một kỹ thuật thụ động khóphát hiện Các thiết bị rà gói tin có thể được cài đặt trên mạng nội bộ hoặcbên ngoài

2.4 CÁC BIỆN PHÁP ĐỐI PHÓ:

Bảo mật thông tin là tiến trình bảo vệ an ninh các tài nguyên và dữ liệutrên các hệ máy tính và mạng, bao gồm các thông tin trên các thiết bị lưutrữ và trong truyền thông Để thực hiện vấn đề an toàn và an ninh thông tin,

thì phải điều khiển và giám sát tính năng bảo mật của các hệ thống và thựcthi các thủ tục và nội quy bảo mật.

NIST (National Institute for Stanrdards and Technology _ viện tiêuchuẩn và công nghệ quốc gia của Mỹ) đã đề ra các chuẩn bảo mật dướiđây, chúng được xem là Minimal Security Functional Requirements forMulti-User Operational Systems ( những yêu cầu chức năng tối thiểu dànhcho các hệ điều hành đa người dùng) Có thể dùng các chuẩn này để pháttriển thủ tục và nội quy bảo mật riêng:

 Định danh và thẩm định quyền: định danh và xác minh người dùngthông qua một tiến trình đăng nhập, và quyền hạn sử dụng các hệ thốngkhác dựa trên giấy phép bảo mật này

 Điều khiển truy nhập: các quyền và giấy phép để điều khiểncách thức mà người dùng có thể truy cập các tài nguyên riêng lẻ

 Khả năng kế toán và kiểm toán: một hệ thống theo dõi và ghi

sổ các hoạt động trên các hệ thống mạng và nối kết chúng với các tài khoảnngười dùng cụ thể

 Dùng lại đối tượng: các phương pháp để cho phép nhiều ngườidùng truy cập các tài khoản riêng lẻ

 Độ đúng đắn: các phương pháp để bảo vệ các tài khoản chốnglại các lỗi, sự phá hủy, và việc truy cập trái phép

 Độ tin cậy: các phương pháp để bảo đảm các hệ thống và tàinguyên sẵn có và được bảo vệ chống lại hỏng hóc hay mất mát

 Trao đổi dữ liệu : các phương pháp để bảo mật các phiêntruyền dữ liệu trên các kênh truyền thông bên trong hoặc bên ngoài

Ngoài các chuẩn này, cũng cần phải có các biện pháp an ninh vật lý đểngăn ngừa các trang thiết bị và dữ liệu qúy giá không bị ăn cắp hoặc bị pháhủy

Bảo mật thông tin là tiến trình bảo vệ an ninh các tài nguyên và dữliệu trên các hệ máy tính và mạng, bao gồm các thông tin trên các thiết bịlưu trữ và trong truyền thông.

 Các hệ thống dôi và dung lỗi:

Các hệ thống dung lỗi ( faul-tolerant systems) được thiết kế để đối phóvới các hỏng hóc phần cứng và các lỗi phần mềm Một tính năng dung lỗi

có tên là soi gương dữ liệu (disk mirroring) ghi dữ liệu ra hai đĩa cùng một

lúc Nếu một đĩa bị hỏng, người dùng có thể truy cập đĩa kia

Hệ RAID (redundant arrays of inexpensive disks_ các mảng dôi baogồm các đĩa rẻ tiền) Hệ RAID ghi dữ liệu vào một mảng các ổ đĩa và bảo

vệ chống lại sự hỏng hóc trên bất kỳ một ổ đĩa nào trong mảng Dữ liệuđược “kết sọc” thành một tệp của đĩa, có nghĩa là nó được chia nhỏ thànhcác mẩu mà từng mẩu được ghi ra một đĩa riêng biệt Thông tin ghi qua cácđĩa được mã hóa theo cách đặc biệt để nếu có một đĩa bị hỏng, thông tintrên các đĩa còn lại có thể tái thiết và lập tức sẵn dùng đối với người dùng

 Lưu dự phòng:

Các đợt lưu dự phòng là thiết yếu Nếu các hệ thống bị mật cắp, bị hỏahoạn thiêu hủy, hoặc bị các Hacker phá hỏng, thì cần quay lại bản dựphòng còn tốt sau cùng

Các thủ tục dùng để phục hồi các bản dự phòng cũng quan trọng trongtrường hợp do virút tấn công Các bản dự phòng có thể cũng bị phá hủy,trong trường hợp đó phải quay lui lại theo tiến trình tàng trữ cho đến khitìm thấy bản dự phòng còn tốt Nên thường xuyên thực hiện tiến trình lưu

dự phòng và cũng thường xuyên lưu các vật tải dự phòng vào kho tàng lưutrữ Việc lây nhiễm virút có thể phá hủy trọn cả một tệp dự phòng, và nhưvậy thì có thể vào kho tàng trữ để kiếm loạt dữ liệu cuối cùng còn tốt

 Mã hóa:

Có thể dùng các kỹ thuật mã hóa để bảo vệ các tập tin lưu trữ trên cácđĩa và các bản dự phòng tránh khỏi sự đe dọa của Hacker, hoặc kẻ xấu cólấy được dữ liệu cũng không thể biết được những thông tin chứa trong các

dữ liệu ấy Đây là phương pháp đáng lưu ý nhất

 Bảo vệ chống Virút:

Virút là một mối đe dọa có thực đối với một hệ thống mạng máy tính.Chúng dễ dàng bị nhiễm từ các đĩa lạ hoặc thông qua tiến trình tải các tậptin xuống từ các dịch vụ trực tuyến, các hệ quảng tin,và từ Internet Mộtvirút thường khó phát hiện Nó có thể đợi trên hệ thống trước khi thi hành

Có thể giám sát hệ thống về các dấu hiệu để lộ sự hoạt động của virút,như gia tăng kích cỡ tập tin, thay đổi tem thời gian của tập tin, hoạt độngđĩa thất thường, hoặc có sự sút giảm đột ngột về không gian đĩa Tốt nhất

là phải kiểm tra virus thường xuyên và có chương trình Antivirus để pháthiện và trừ khử Các loại Antivirutses này đều phải được cập nhật thườngxuyên nhưng một loại Antivirút có thể trừ khử được một số loại virut chứkhông thể trừ khử được tất cả Trong lúc đó các loại virut thì ngày càngphát triển

 Bảo mật truyền thông mạng:

Các dạng truyền dữ liệu bằng cáp hay bằng vô tuyến thường chịu sựgiám sát của người có các bộ rà mạng hoặc các thiết bị nhận Mã hóa dữliệu là phương án tốt nhất để ngăn cản các Hacker xem trộm và ăn cắp dữliệu truyền

 Đăng nhập và mật hiệu:

“Sự kiện” đăng nhập có tiềm năng lớn nhất trong quá trình làm hại đếntính năng bảo mật trên các hệ thống Người dùng phải bảo đảm không đểmột ai nhìn thấy họ gõ mật hiệu

Để duy trì các môi trường an ninh, nên dùng các lược đồ thẩm địnhquyền hai chiều sử dụng các thẻ và mật hiệu

 Thẩm định quyền cao cấp:

Các mật hiệu là phương pháp truyền thống để cung cấp một tiến trìnhđăng nhập an toàn cho hệ thống Nhiều hãng kinh doanh đang cung cấpmột số phương pháp thay thế để thẩm định quyền người dùng, kể cả cácthiết bị dưới đây:

+ Các hệ gọi lại ( Dial-Backs Systems) các thiết bị này gọi lại người

dùng theo một số định sẵn để bảo đảm lần gọi ban đầu không xuất phát từmột địa điểm trái phép

+ GPS ( Global Positioning System_Hệ định vị toàn cầu) một số thiết

bị nhất định sử dụng hệ thống này để xác minh vị trí vật lý của người dùngtrên hành tinh, nhờ đó bảo đảm cuộc gọi không đến từ một vị trí trái phép

+ Các thiết bị sinh trắc học ( Biometric Devices) các thiết bị này sẽ

quét cặp mắt hay dấu tay để nhận dạng người dùng, xác minh quyền truycập các hệ máy tính, các trung tâm dữ liệu , và các đặc khu khác

+ Các thiết bị thẻ bài ( Token Devices) các thiết bị tương tự như thẻ

thông minh (smartcards) điều khiển bằng bộ vi xử lý, được dùng để thực thi

tiến trình thẩm định quyền hai yếu tố Thẻ thông minh phát sinh mật hiệu

một lần chỉ có hiệu lực duy nhất cho một phiên đăng nhập Người dùng

nhập mật hiệu này cùng với một mật hiệu mà họ ghi nhớ để truy cập một hệthống

2.5 FIREWALL :

2.5.1 Định nghĩa:

Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xâydựng để ngăn chặn, hạn chễ hoả hoạn Trong Công nghệ mạng thông tin,FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự

truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạnchế sự xâm nhập vào hệ thông của một số thông tin khác không mongmuốn.

Internet FireWall là một thiết bị (bao gồm phần cứng và phần mềm)giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) vàInternet

Trong một số trường hợp Firewall ở trong cùng một mạng nội bộ và côlập các miền an toàn

2.5.2 Chức năng :

FireWall quyết định những dịch vụ nào từ bên trong được phép truycập từ bên ngoài, những người nào từ bên ngoài đượcphép truy cập đến cácdịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cậpbởi những người bên trong

2.5.3 Cấu trúc của FireWall :

2.5.4 Các thành phần của FireWall :

Intranet

Một FireWall bao gồm một hay nhiều thành phần sau :

+ Bộ lọc packet (packet- filtering router)

+ Cổng ứng dụng (Application-level gateway hay proxy server).+ Cổng mạch (Circuite level gateway)

CHƯƠNG 3 : HỆ MẬT MÃ

3.1 BẢO MẬT THÔNG TIN TRÊN MẠNG :

Người sử dụng khi thực hiện truyền tin trên mạng máy tính nhưng với ýmuốn là thông tin này không bị người khác xem trộm ( muốn bí mật ), vàchỉ một người nào đó mới có quyền biết về thông tin đó Để bảo mật thôngtin truyền trên mạng, người ta sử dụng các phương pháp mã hóa Đólà quátrình chuyển đổi dữ liệu gốc sang dạng mật mã Có thể nói phương pháp

mã hóa là công cụ rất thuận tiện trong việc bảo mật thông tin trong môitrường mạng Tuỳ theo đặc điểm của mạng và yêu cầu của người sử dụng

mà ta có thể:

1- Mã hóa theo đường truyền

2- Mã hóa từ nút đến nút

3.1.1 Mã hoá theo đường truyền:

Ở phương thức này thông tin được mã hoá để bảo vệ trên đường truyềngiữa hai nút, không quan tâm đến nguồn và đích của thông tin đó Việc mãhoá được thực hiện ở tầng 1 hoặc 2 trong mô hình OSI Phương thức này

có ưu điểm là bí mật được luồng thông tin trên đường truyền và mã hoáđược tòan bộ thông tin bao gồm cả thông tin điều khiển, song phương thứcnày chỉ thực hiện mã hoá trên đường truyền còn tại các nút thì không, dovậy các nút trên đường truyền cần phải được bảo vệ tốt

3.1.2 Mã hoá từ nút tới nút:

Phương thức mã hóa này thực hiện mã hóa thông tin ngay khi nó mớitạo ra và chỉ được giải mã khi tới đích Như vậy phương thức này chỉ mãhóa thông tin của người sử dụng còn thông tin điều khiển vẫn được giữnguyên do đó không làm ảnh hưởngđến người sử dụng khác Mã hoá theo