Luận văn bảo mật dịch vụ hệ thống mạng máy tính

Tuy nhiêu, các hình thức phá hoại mạng cũng trở nên tình vị và phức tạp hơn, do do déi voi mỗi hệ thủng, nhiệm vụ bảo mat dit ra cho người quân trị lâ hết sức quan trọng và cân thiết Xu

Ngành: Kỹ thuật diện tử viễn thông,

Chuyên ngành: Kỹ thuật Vô tuyến điện tử và thông tin liên lạc

Mi sd: 2.07.00

LUAN VAN THAC sf

114 ni — 2005

1.1.1 Khải niệm chung

1.12 Mạng Internet và bộ giao thức TCP/IP

2111 Phán loại lỗ hông bảo mat: " seoeaeoeoe 35

2112 ảnh hướng eda cae 18 kéng bo mit trén mang Internet: seeeaeooe, đT 2.1.1.3 Các biện pháp phát hiện hệ thống bị tân công: 42

21.3.3 Các vẫn để báo mật đối với địch vụ Web ccoceoee 6

2.2 Một số phương thức tắn công mạng phá biến

223 1rajans

2.3.1 - Khái niém vé Trojan - -

2.2.3.2 Phương thức lây lan của các chương trình trojan:

2.2.3.3 ảnh hưởng của các chương trình trojans:

2.2.4.2 Hoat ding iia sniffer

2.2.43 Mure d6nguy hai ctia sniffer

2.2.44 Mét sé chuong trinh sniffer

3.1 Các biện pháp kiếm soát hệ thống

3.1.1.2 Một số công cụ hữu ích hỗ trợ phân tích logfile: 7

3.113 Cac eéng ou ghi log therdng sit dung trong Windows NT:

3.2 Các biện phap tao kit nếi an toàn

3.2.2, Các hoại động của giao thuïc SSL, đổi với địch và 71

3312 Chức năng của fñrewalls: 78

3.3.14 Nguyên tắc hoại đông của firewalls: ce e7

3.3.23 Các bước cần thiết xây dựng firzwall eo ÑS

4.3 Quy hoạch lại hệ thống mạng Đại học quốc gìn Hà nội

4.3.2 Kệ hoạch thực hiện quy hoạch lại hệ thẳng mạng máy tỉnh của ĐHQG HN 96 43.3, Kết gu thực

Tải liệu tham khău

CAC HINH TRONG KHOA LUAN

Hinh 1 - So sinh mé hinh mang TCP/IP va mé hinh OST

Hinh 2 - Khuôn dạng segrucnl trong TCP, se

Hinh 3 - Cân trúc địa chi lép A

Hình 4 - Câu trúc dia chỉ lớp B

Hinh 5 - Cân trúc địa chỉ lớp C

Hình 6 - Cơ chế hơi động cứn sân kernel —

Hinh 12 - Các loại 18 hỗng bảo mật và mức độ ngưy liểm

Hinh 13 - Một phiên làm việc của dịch vụ Web

11ỉnh 14 - loạt động của các chương trình ŒC

Hình 15 - Hoạt động của các chương trùnh bẻ khóa

Hình 16 - Các vị trí đặt sniffer trên 1 segmen† mạng -

Tình 17 - Ghỉ logs rong Windows 2000 ccceeereee

TTỉnh 18 - Công, cụ Tzveni View của Windows 2000

Hinh 19 - Chủ tiết 1 thông báo lỗi trong Windows 2009

Hinh 20 - Cau binh dichwy ghi logs Irong Windows 2000

inh 21 - Vị trị của SSI trong mô hinh

Hình 22 - Quả trình kiếm tra xác thực ứ phía Server

CP/IP

Hinh 23 - Quả trình kiểm tra xắc thưc của clent c:c:sccs

11inh 24 - Kiên trúc bệ thông mang không có Grewal

Tinh 25 - Kiễn trủe hệ thông, cô firewall

Hinh 26 - Các thành phần của hệ thống ñrewalls se

MO DAU

Sự phát triển của cảng nghệ thông tin, công nghệ mạng máy tính và đặc biệt 1a

trạng Tnternet ngày cảng phát triển đa dạng và phong phú Các dịch vụ trên mạng,

Internet đã xâm nhập vào hầu hết các lĩnh vục trong đời súng xã hội Các thông tin trao đổi trên Internet cũng đa dạng cả vẻ nội dưng và hình thúc, trong đỏ có rất nhiều thông tín cần bảo rnật cao bởi tinh: kinh lế, tinh chính xác và tin cây cửa nó

Bên cạnh đó, những địch vụ mạng ngày cảng só giá trị, yên câu phải đảm bảo tính ổn định và an loàn cao Tuy nhiêu, các hình thức phá hoại mạng cũng trở nên

tình vị và phức tạp hơn, do do déi voi mỗi hệ thủng, nhiệm vụ bảo mat dit ra cho người quân trị lâ hết sức quan trọng và cân thiết

Xuất phát từ những thực tế nêu trên, hiện nay trên thể giới đã xuất hiện rất nhiều công nghệ liên quan đến bảo mật hệ thống và mạng máy tính Việc nắm bắt những công nghệ này là hết sức cân thiết vì công tác bảo mật của các hệ thống, mạng Internet Việt Nam noi chung và mạng nội bộ của khách hàng cũng không nằm ngoài các yêu câu trên

Chỉnh vì vậy, Tôi đã lựa chọn để tải này đề tim biểu, các vấn để mà tối tìm

Hiểu và nghiên cứu là như sau

»> Các vẫn để chưng vẻ hệ thống vả các dịch vụ cùmg cấp trên mạng

Intemet

» Các điểm yếu và lễ hổng bảo mật thường có trên một sẽ hệ thông cung,

cấp địch vụ + _ Các phương thức tấn công mạng phỏ biến và các biển pháp phòng chúng

> Thiết lập các chỉnh sách bảo mật đối với hệ thống

Tôi biên soạn và cầu trúc tải liệu làm bên phân, gằm

Chương 1: Trinh bảy các van dé chung vé mang may tỉnh và báo mật hệ thống

Chương 2: Trình bảy các vân đề vẻ lỗ hỗng bảo mật, điểm yêu của hệ thống và

1nột số dịch vụ cung cấi

Chương 3: Trinh bảy một số giải pháp bảo mật hệ thẳng và mạng như: tạo kết

nỗi bão mật, [Irewalls, xây dụng chính sách bảo một

Chương 4: Phan mé ta mét s6 bai thực hành được làm trong khoá hiện nảy

Bão mật hệ thông là mệt vân đề rộng và mới đối với Việt Nam, tôi nhận được

sự nhiệt tình hướng dẫn của thấy Nguyễn Kim Giao, cùng với những gúp ý quý báu của các anh chị làm việc tại công ty Diện toán và Truyền số liệu (VDC), sự nhiệt

tình Irong phần tực hành của các anh chị và các bạn động nghiệp lại Viện Công nghệ Thông tin - Đại học Quốc gia Hà Nội dã góp sức cho tôi hoàn thành khỏa luận

này Tải tự nhận thây kinh nghiệm và kỹ thuật còn hạn chế, nội dung chắc chắn sẽ

còn sai sói, hy vọng gác đọc giả tham gia đóng góp nhiều y kién bd sung

thiện kiến thức của minh hơn nữa

2

CHU

G 1: CAC VAN DE CHUNG VE MANG MAY TINH

VA BAO MAT HIE THONG 1.1 CAN BAN VE MANG MAY TINH:

111 Khải niệm chung:

1111 Các thành phần của mạng mdy tink:

ta - Định nghĩa mạng máy tính:

Mang may tĩnh là một tập hợp các may tink được nổi với nhau bởi các đường

truyền vật lý theo một kiến trúc nào đĩ Việc hình thành các mạng máy tính cho

phép nâng cao hiệu quả khai thác tài nguyên chưng từ những vị trí địa lý khác nhau

Hai thành phản cơ bân của mang máy tính đĩ là dường truyền vật lý và kiến tric mang,

+ Đường truyền vật lý:

Thường truyện vật lý đủng để chuyển các tín hiệu điện tử giữa các máy tỉnh

Các lin hiệu điện tử đĩ biểu thi các giả trị dữ liệu đưới dạng các xung nhỉ phân (mm -

of) Tắt cả các tin hiệu được truyền giữa các máy tính đếu thuộc một dạng sĩng, điện từ (EM) nào đĩ, trải từ các tản số rađio tới sĩng cực ngắn (viba) và tia hồng nigoai Tuy theo tan số của sơng điện từ cĩ thể dùng các đường truyền vật lý khác nhau đề truyền các tin hiệu

+ Kiến trúc mạng:

Kiến trúc mạng thể hiện cách nổi các máy tình với nhau ra sao vẻ tập hợp các

qui tắc, qui ước mà tật cã các thực thể tham gia truyền thơng trên mạng phải tuần

theo dé dim bao cho mạng hoạt động tết

Các cách nĩi các máy tỉnh được gọi là hình trạng (Iopology) của mạng

Các tập hợp qui tắc, qui ước truyền thơng được gọi là giao thức (protocol) của

Trạng

1.112 Phân loại mạng máy tính:

+» Phân loại theo khậng cách địa lý:

Phân loại theo khoảng cach địa lý là cách phổ biến vả thơng dụng nhật Theo

cách phản loại mày ta cĩ các loại mạng sau

> Mạng cục bộ: La mang duge cai dit trong mét pham vi nhs (trong mét

toà nhà, một trường học ), khoảng cách tối đa giữa các may tinh chi vai

km trở lại

> Mạng đô th: Là mạng được cải đại trong phạm vi một đô thị hoặc một

trưng tâm kinh tế - xã hội; khoảng cách tối đa giữa cáo máy tỉnh khoảng vài chục km trổ lại

> Mạng điện rộng (WAN): Phạm vĩ của mạng lrải rộng trưng phạm ví một

quốc gia, hoặc giữa các quốc gia trên toàn thế giới Mạng Internet ngày này là một ví dụ diễn hình của mạng WAN

+ Phân loại theo hiểu trúc mạng sử dụng:

Ngoài cách phân loại trên, người ta còn có thể phân loại mạng theo kiên trúc

trạng (lopo mạng và giao thức sử dụng) Theo cách phẫu loại này, có cáo loại mạng, như:

1.1.2 Mạng Intcrnct và bộ giao thức TCP/IP

1.1.2.1 Mang Internet:

Thuật ngữ "Internet" được xem như là mốt "mạng của các rrạng" hay một liên kết mạng có tính toàn cầu Công nghệ Internet ra di cho phép người sử dụng trên toàn câu có thẻ chia xẻ, trao đổi thông tin với nhau trong nhiều lĩnh vực Có thể nói các dịch vụ của mạng Internet có mặt trong hâu khắp các lĩnh vực của cuộc sống ngay nay

+» Lịch sử phải triển:

Năm 1969, cơ quan nghiên cứu vả phát triển tiên tiên thuộc Bộ quốc phòng

Mỹ (Advaneed Research Projaot Agency) đã xây dụng thánh công mạng ARPAIet,

cho phép kết nói 4 trung tâm máy tỉnh trên toàn nước Mỹ, phục vụ mục dich quan

sự Khởi đâu ARPANet sử dụng bộ giao thức NCP (Network Control Protocol)

Vào giữa những năm 1970, họ giao thức TCPAP (Transmission Control Protocol/Internet Protocol) được Vint Cerf (Dai hoc Stanford) va Robert Kahn

(BBN) phat triển, bạn đầu cùng tổn lai voi NCP và đến năm 1983 thị hoàn toàn thay thé NCP trong mang ARPANet

Vào dau những nim 1980, mang ARP ANet duoc tach Jam hai phan: phan dan

sự phục vụ mục địch nghiên cửu vẫn giữ tên là ARPANet và phản quân sự có tên là

mạng MILNBT

Tháng 11/1986, Uỷ ban khoa học quốc gia M¥ NSE (National Science

Toundation) da thuc đấy việc xây dựng một mạng xương sống cho phép kết nổi 5

trung tâm máy tính lớn trên toàn liên bang Mỹ Năm 1987, mang NSFNet ra đời với

tốc độ đường truyền cao 1.SMb/s cho phép nổi các trung tầm máy tính với nhau

Vi

ra đời mạng xương sống NSENGt và các mang ving đã trở thành tiên

thân cũa mạng Internet ngày nay Một xa lộ thông tin mới dược hình thành cho phép

kết nổi mạng của các trường đại học, các viện nghiên cứu đã tham gia của cộng déng Internet San dé, các cơ quan chính phủ, các tô chức kinh doanh cũng tham gia

vào mạng Internet Về mặt địa lý Internet nhanh chỏng vượt ra khói nước Mỹ và trở

Thành một mạng toàn cảu Dến nay, theo số liệu thông kề của tập đoàn đữ liệu quốc

tổ IDG thì số lượng người sử dụng mạng Internet đã lên dến hơn 1 5Ô triệu người

Việc phát triển mạnh mẽ mạng Internet gắn liên với việc phát triển bộ giao

thức TCP/TP Ra dời vào những năm 1970, TCPAP sau đó dược lích hợp vào môi

trường điều hảnh Unix (một hệ điều hành mạng của trưởng đại học California ở

Terkeley) Dến khi xuất hiện máy tính cá nhân (Personal Computer - PC) thì

TCP/IP lại dược chuyển sang máy PC chạy DOS và các trạm lam vide Unix od thé kết nổi với nhau T'CP/IP ngày cảng phát triển và hoản thiện, đến nay giao thức nay được tích hợp vao trong hau hét cac san phdm mang nh UNIX, WINDOWS NT,

NETWARE

+ Afôi số khải niệm thưởng sử dựng:

số khải niệm chưng về mạng rnáy tỉnh như đã trình bảy ở trên; còn

Ngoài mí

có một số thuật ngữ thường được sử dụng liên quan đến mang Inlerret đó là

Site: Là một hệ thông mạng, máy tính và người đùng, trên đó có thiết lập và

thí hành các quyết đính riêng biệt

Test: Là một trạm lâm việc trong một site

Sevicers: La các dịch vụ cung cấp trên các site; Ví dụ các địch vụ như: huyền

file, thư điện tử; nhóm tỉn, web

ClienUServer: Là một mô hình xử lý phân lán đối của các services Trong đó

hoạt động của địch vụ đựa trên 2 đổi tượng là các chương trình Server xử lý các yêu

cầu gửi lừ ClienL của một hosL trên mang: Sau khi nhận được đáp ting lr Server, CHent xử lý thông tin đỏ để hiển thị cho người sử dụng

Administration: Là hoạt động quân trị đối vỏi một site; Ví đụ như theo đối,

diều hành, quản lý hoạt động của hệ thông mang và các dịch vụ, thiết lập các chính

sách cần thiết đổi với site đó

1.1.2.2 Căn bản về giao thức TCPTP

+» Kiến trúc phân ting TCPAP

Bộ giao thức TCP/P được thiết kế theo kiến trúc phan (dng; hinh sau minh

hoa chức năng, vai trỏ tương ứng với các tẳng trang mô hình chuẩn OSI

Tầng phiên “ransision Coa Prague est User Datagram rcs CUD) om

Xét vẻ khia cạnh bảo mật, nhược điểm của bộ giao thức TCP/TP là không hỗ trợ xây dựng các cơ chế bão mật, đề dàng đổi với các hoạt động giải mã, nghe trộm, bắt trước gói lăn Ví dụ: Câu trúc chung của một gói dữ liệu TCP như sau:

16-bit sonrce port nnmber 16-bit destination port number

32-bit sequence number

Như hình cho „ loàn bộ phần header 14 duge dink dang chuan nên đữ liện

ở phần này cỏ thể lâm giá, hoặc để đỏ tìm các thông tim, giải rã

Mặt khác, hoạt động của các dịch vụ trong tẳng ứng dụng đụa vào định danh các công dịch vụ trên hệ thống đỏ Có hai loại công;

> Số công nguồn: Có giả tri Lay ¥;

> Số công dich: Có một số loại dịch vụ sử dụng cáo giả trị mặc định (well-

know); din dén nguy cơ để bị xâm nhập và phá hoại dựa vào các loại

dich vụ dùng các công mặc dịnh

Tếu trên hệ thêng, đề hạn chế phá hoại có thể thiết lập chính sách như đóng, cổng dịch vụ; my nhiên điều nay dẫn đến hạn chế là từ chối cùng cấp dịch vụ đó

‘Trong phan hai sé trinh bảy cụ thể hơn các điểm yếu trong các loại dịch vụ và từ đó

Thiết lận các biện pháp và xây dựng chính sách hảo mật hợp lý đổi với mỗi hệ thông,

Một địa chỉ IP có chiều dải 32 bits Cầu trúc một địa chỉ IP dược chia làm hai

phan: Phin network vả phan host Phin network định danh mạng chủa host Phần host dinh danh host trong mang đó Để đâm bảo không có sự nhằm lẫn địa chỉ trên mạng các nhà khoa học đã thánh lập một tổ chức cỏ trách nhiệm phân phối và quản

lý địa chỉ trên mạng,

Các dịa chỉ IP được chia thành 5 lớp A, B, C, D, B Trong đó chỉ có 3 lớp A,

B, C đuợc sử dụng thuc tế đế đánh địa chỉ cho host, còn lớp D đủng cho multioast

address, kip E dành để dự trữ

Dia chi IP co thé viết ở dang cơ số 10, phân tách bởi các đầu chấm (Ví dự

193.139.5.13) hoặc viết ở dạng hệ 16 (0xC08BEA66) Cấu trúc của các lớp địa chỉ

nay nhu sau:

Dia chi lop A

[0 | netid | hostid’

Tinh 3 - Câu trúc địa chi lép A

Lớp A đùng 8 bít đánh dia chi mang va 24 bit dénh dia chi cho host Bit dau tiên là 0 do do dia chi mang oita lop A tir 1-127

‘Diu chi lop B:

THỉnh 4 Cấu trúc địa chỉ lớp B

Lớp B dung 16 bit danh dia chi mang va 16 bit danh dia chi hoạt Hit đầu tiền

‘bang 1 bit thir 2 bang 0, do đó địa chỉ mạng của lớp B từ 128 -191

Lép C dùng 24 bit cho địa chỉ mạng và § bịt cho địa chỉ host Hai bit đầu bằng

1 bịt thử 3 bằng 0, do đó lớp Ở có địa chi mang tir 192 - 223

Dia chi lop D:

Lop D 1a lip dia chi ding cho multicast cé dia chi mang tir 224 - 255

M6t sé dia chi dac biét:

Trong thực tế, để dé dang cho hoạt động quản lý các trạm trong mạng, thường,

phân mãnh các mạng lớn trong các lớp mạng (A, B, C) thánh các mạng nh hơn

Các mạng nhỏ này gợi là các subnet Quá trình này được thực hiện bằng cách lây mệt số bít ở phân định danh host dé sir dumg cho việc đánh địa chỉ mạng Tuỷ theo cách sử dụng của người quấn trị mạng ( số subnet và số host trên mỗi subnet) mà số

lượng bít lẫy ở phản hostid nhiều hay it

Để tách biệt giữa dịa chỉ mạng, và dịa chỉ host người ta đúng netmask, Để tách:

Biệt giữa subnet address và địa chỉ hoat người ta ding subnet mask

Một số vi dụ về địa chí mạng cách đủng netmask: vả subnet mask

C 192 182.86.5 255.255 255.0

B 176 189.B5.9 255.255.0.0

Khi thực hiện subnet một mạng trong một lớp mạng thì số lượng subnet sẽ

quyết định số bát được lấy từ phần host để phục vụ cho subneL Ví dụ bạn muốn chịa

1 mạng thành các mạng con gồm 32 subnet (thực tế chỉ dùng 30 subnet trên mỗi địa chỉ mạng, subnet đâu là subnet zero, subnet cuối la subnet broadcast } cia mdt mang,

ở lớp B; bạn cần S bút (25 32) cho subnel, edn lei 11 bil cho host irén mdi sulmet

(khodng 2046 host trén mai subnet)

Hostname 1a tén ma ngwdi quản trị đặt cho một thiết bị mạng (có thể là router hoặc máy tỉnh ) để dễ quản lý vẻ mặt hành chính Mỗi thiết bị trên mạng thưởng có một

Hoalnarne và địa chỉ TP tương ứng Trên mạng, mnột hoại chỉ được xảo thực bằng địa

chí IP cũa nỏ Do dỏ dễ host có thể hoạt dộng dược trên mạng thì hostoame phải được chuyển đổi sang địa chỉ IP tương ứng với nó Dễ thực hiện được việc chuyển đối này người ta có thể dùng các cơ chê tạo bảng hostname table hoặc Domain

Name Service (DNS) cho phép luu cac anh xa ty dia chi 1P sang hostname tương ứng và ngược lại

+ Afôf số dịch vụ cũa giao thức TCĐXAP:

Các địch vụ này nằm ở tầng ứng dụng trong bộ giao thúc TCP/IP Cùng với

phát triển của Tnternot các ứng dụng ngày cảng da dạng và hoàu thiện hơn Mỗi dịch

vụ có một giao thức riêng; Sau đây sẽ giới thiệu hoạt động của các dịch vụ này:

Dich vu truyén file (File Transfer Protocol)

TP là dịch vụ cho phép truyền các file giữa các máy được nối với Internet với

nhau Dùng địch vu nay ta có thế tuy cập tới hệ thông file ở một máy từ xa và sau

đề tãi các tệp Lit tram làm việc ở xa đó vào máy lính của mình (download) hoặc

chuyển các file từ máy tính của mình vào máy tỉnh trên mang (upload) Dich vu nay

sử đụng giao thúc củng tèn là FTP để thực hiện việc truyền tệp Giao thức FTP có thé hé tro tất cả các kiểu lập (văn bản ASCTI, nhị phân, các lệp ở các hệ điều hành khác nhau ) FTP là một dịch vụ đã từng được sử dụng rất nhiều tuy nhiên nó có

nhược điểm chính là người dùng không phải lúc nào cũng biết được toàn bộ danh

sách các tếp có thể sao chép và quả trình truy nhập các thư mục dễ tìm tệp thường,

chậm

Dịch vụ Lhư tín điện tử (E-mail)

10

Thư điện tử (E-mail) là dịch vụ được sử đụng rộng rãi và lâu đời nhất trên

Internet li-mail giúp ta trao đổi thông ta một cách để dàng, nhanh chóng và thuận tiên với nhiều người trên mạng B-rmarl có ưu điểm là nó dùng phần mễm tương đối dơn giản, để sử dụng, so với các dịch vụ thông tin khác nó là dịch vụ yêu cầu mạng,

có giải thông, phần cứng, phản mềm it nhất Giao thức sử dung trong địch vụ lï-

Mail là giao thức truyền thư đơn giãn (SMTP - Simple mail tranfer protocol) Một

số chương trinh truyền thư đơn giản rất phổ biến trên LINIX là Sendmail; trên

Windows là exchange Server Theo giao thức này, việc trao đối thư được thực hiện

bởi các trạm truyền thư (MTA - Message Tranfer AgenD, rưười gửi không rực tiếp truyền thư đến người nhận, má thư được lưu truyền qua các MA trung gian, do đó

cơ chế hoạt động của E-mail duce goi 1A hm va truyền tiếp Người sử đụng nhận thư

qua giao thúc PỐP 3 (Post office Protocol Version 3) hoặc TMAP Hiện nay các

trình duyệt Web như IE và Netscape hỗ trợ các thành phẩn dong vai to POP3

Client (Netscape Messaging va Internet Mail)

Dịch vụ Lhông tin World Wide Web

Dịch vụ thông tin World Wide Web (WWW - goi lắt là dịch vụ Web) là dich

vụ thông tin mới nhất và có tốc độ phát triển mạnh nhất Điểm mạnh của Wcb là

giao điện thân thiện với người sử đụng, khả năng tích hợp với các dịch vụ thông tin khác nhu FTP, E-nail, Gopher

Ngoài oáo dòng văn bản, địch vụ Web càn hỗ trợ cả các thông tin đưới dạng

đa phương tiện {nullimedia), đồ họa, hình ảnh, âm thanh Trên mỗi một trang Web

có thể tạo kết nói từ bất cứ điểm nảo của tài liệu hiện thời tới một tài liệu khác trong,

mạng Dịch vụ Web sử đựng giao thức truyền siêu văn bản (Hypertext Tranfer

Đrolocol), giao thúc này đuợc đánh giá là một giao thức đơn giản và hiệu quả nhất

trong các giao thức ở tầng ứng dụng Chỉ tiết hoạt đông của địch vụ Web và các vận

dé bảo mật liên quan được trình bảy trong phân 2 - Bão mật địch vụ Web

1.1.23 Xem xét mật số file cấu bình mạng trong UNIX:

Có một số lượng lớn các le trên hệ thống UNTX liên quan đến cầu hình và

hoạt động của giao thức TCP/IP, người quản trị hệ thủng cân nắm được ÿ nghĩa và cách thức cấu hình của các file hệ thống này Liễu phương thức làm việc vả các cầu tình tương ứng sẽ giứp chúng ta nằm được cơ chê hoạt động vả các vấn dé vé bảo

LL

mật của dịch vụ nảy cụ thể và sâu sắc hơn Sau đây sé trình bay cụ thể các hoạt động của các Bles, các tiện ich vả các deamon liên quan đến cẩu hình hệ thống

mang lrên UNTX,

+ AfÔf số jile liên quan đến cầu hình mạng và địch vụ

File /etc/hosts

File nay chia tén hostname tuong ứng với địa chí IP của nó, dùng cho việc

chuyển đổi IP address Khi ban cing hosname, TCP/IP sé ra soat file /eto/hosts đề

tim dia chi IP cia host (gid stt ban khéng dang dich va DNS)

Cau tric néi dung cia file ‘etc/hosts như sau

Address

địa chỉ

official name abas

Vị dụ: Nội dung file /cto/host

thể nói chuyên được với nhau trong mạng local Việc chuyển đối này có thể được

thục hiện bằng giao thức ARP hoặc tao bang dia chi ethernet trong file /eto/ethers

90:80:20:09:90:92 lancude

Kile /ete‘networks

Liệt kê các địa chỉ TP và tên các mạng trên internet

ip 0 IP #buernelprotocdl, pseudo protocol number

icmp I [CMP #imferner control message proiecol

esp 3 GGP i gateway-gateway protocol

icp 6 'TCP # transmission control protocol

egp 8 EGP # exterior gateway protocal

pup 12 PUP #PARC umiversal packet protocol

udp 17 UDP — juser datagram protocol

hmp 20 TIMP — # host momtoring protocol

ans-idp 22 XNS-IDP #Xcrox NS IDP

rdp 27 RDP # "reliable dalagram" protocol

domain 53/cp

bootps 67/udp # BOOTP/DHCP server

bootpe s8/udp # BOOTP/DLUCP dient

hostnames 10L/tep hostname # usually to sti-nic

ĐOP2 109/lep pop2 #Poxl OfliceProocol- V3

File ‘etc/inetd.cont

Š cung cấp các thông tin cho lệnh inetd Inetd nghe

Vile nay được sử dụng

trên port TCP và bật các tiền trình cẩn thiết khi kết nồi yêu cầu trên port đỏ Nó tiết kiệm tải nguyên của hệ thống bằng cach chi bat cae deamon khi chúng được gọi

Qp stream tep nowsil rol fusv/sbivin.ipd imApd

<user> <server pallmuune <args>

telnet streamtcp sowait root /usrisbirintelnetd intelnetd

shell stream tcp nowail root /usrsbininrshd ¡in.rshd

login stream tep nowait root fusrisbin/in.rlogind in.tlogind

exce sticeamtcp nowait root /usr/sbinin.rexecd inrexccd

comsat dgram udp wait root Musr/sbin/in.comsat in.comsat

Jalk dgran udp wail rool /ust/sbin‘intalkd balalkd

#

# Must ran as root (to read /etc/shadow), "-n" tums off logging in utmp/wtmp

#

+» Métsé file liên quan dén hoạt dộng truy nhập vào bệ thẳng

TIai file có tác động rất lớn tới vẫn đề kiểm soát truy nhập của hệ thông từ xa

do là ete/hosls.cquiv và thosts

File ‘etc/hosts equiv

4

File này chứa một danh sách các host tin cậy Các file này dược sử dụng bởi cáo lệnh (r*) nlur rlogin, rep remd, rsh

Nội dụng của ñlle có dạng sau:

Tép thost file duoc dung trong thu muc home via user Né ed ¥ nghia gidng,

nhu file /ete/hosts.equiv Nội dung của hai file cing piéng nbau tile /ete/hosts.equiv cưng cấp sự ngang hãng giữa cdc host con file rhosts thi cung cap

sự ngang hàng giữa các user

Sự ngang làng ở đây có nghĩa là tô cả vac user trên các hosl có tên trong file /eto/hosts.equiy (gọi là các trusted host) dễu có quyền truy cập vào máy ngang hàng,

như các account của chính máy đó

Chú ý: file /cte/hosts.cquiv không được sử dụng cho user roơt Khi dó chỉ có file rhosts được xử lý

Vi du:

Ta có 2 máy: host wabbit user chare va host oreo: user chare Néu user

chare dang login vào máy wabbit và dàng lệnh:

$rlogin oreo

(gia sir wabbit 18 trusted host ctia oreo), Khi dé user chare sé login vao oreo

ma khéng bị hôi password,

‘Trong file rhosts có thêm trường user name cho phép user cé thé login véi bat

cứ một user narne nào có lrong (ile /olafpasswd,

User equivalence là một cơ chế qua do mét user có thể dược biết trên tất cả các máy trên mạng Nó giúp cho người quản trị mạng một cách để dàng hơn, đẳng thời nó cũng rất cần thiết khì dừng hệ thống NES

Dé config user equivalence User tao mét file thosts trong thư mục home File

nay chi cho phép người chủ file có quyền ghi File nay chứa tên các hệ thắng theo

dòng vá chứa user được equivalence

+» Alem xét một số đacmon liên quan đếu TCPTP

Deamon SNMP (SNMPD)

Deamon SNMPD duve cai đặt bởi giao thức quân l7 internet ICMP Giao thức

nay có khả năng nhận thông tín tù SNMP agemt trên các hệ thống khác, rất nhiều hệ

thông không chứa phần mềm quản lý SNMP

Deamon KARP (rarpd)

Deamon rarpd duoc cải đặt 48 dap img giao thite chuyén déi dia chi RARP

ác hệ thống khác sử dụng RARP khi khởi động để tìm ra địa chỉ TP từ địa chỉ Hthernet Máy tình khi khởi động sẽ gửi dịa chỉ Ethernet của nó trong ban tin

RARE IIệ thống chạy rarpd muốn trà lời được ban tin nay thì cần phải có tên và địa

chỉ TP củn host gửi trong [ile /ele/hosts va bang map tén - địa chỉ ethernet trong tle /ete/ethers

Deamon bootp (bootpd)

Deamon nay được cải trên server chạy giao thức Internet boot protoool Nó

được kích hoạt bởi tiền trình inetd khi nhận được yêu cầu boot Internet boot server

dược thiết kế dễ cung cấp thông tia cho client Nó chỉ có chức nẵng lưu trở và cung, cấp thỏng tin chú không cỏ chúc năng hạn chế các chent (như địa chi client,

niclmassk, brondeas! address, domain server address, router address, ets)

Demon route (routed)

Deamon routed duge goi đến khi máy khởi động đế quản lý bing rowing table Routed sử dựng giao thức thông tín tuyển Xerox NS dé quan ly và cập nhật

thông tin vào băng routing table Lúc hoạt động bình thường deamon routed nghe

trên UDP socket 520 để lây cáo thông tín định tuyến Nếu host là một roufor trên mang internet thi né sé copy theo chu ky todn bộ bảng routing †able của nó cho tất

cả các hoat kết nổi trực tiếp với nó trên mạng

16

Lệnh netstat được sử dụng 48 in.ra bang routing table ctia host trén man hình Hau hét céc hé thong déu có khả năng quản ly c& dynamic va static route Dynamic roule duoe quân lý béi deamon routed Khi co lnyén thay déi, deamon

routed sẽ cập nhật vaa bang routing table va thang bao cho các host khác nếu cân

thiết Statie roule được tạo bằng tay bởi các rà quân trị mạng bằng cách đừng lệnh

route và thường không được quản ly bởi routed

Deamon Domain Name Service (named)

Named chay trén Intemet Domain Name server, va no 14 cơ chẻ thứ 2 cho phép chuyến đối giữa hostname va dia chi IP Deamon nay cé thé chay theo nhiễu

kidu: primary, secondary, caching, va slave tay Ibude vio yéu câu của người quãn

trị mạng Nếu khỏng dùng file ‘etc/hosts thi phdi config dich va domain name (DNS), va hé thing doi héi DNS cung cap dia chi TP cho hostname Néu focal DNS không biết dịa chỉ IP của host thì các máy chủ tên miễn khác sẽ được hỏi tới cho tới

khí nhện được địa chỉ IP treng ứng

Dearnon System Logger (syslugd)

Deamon này có nhiệm vụ ghi log lại các bản tin về sự thay đổi hệ thống dưới dạng lile /eloaysiog.con[ Mỗi bản tin được ghi lại theo từng dang trong file 1Deameon syslog nhận các thông tin gửi tới nó và ghi lại tong các lop file của nó

+» Afôf số tiện Ích của TCP4P

Cae tign ich nay dược sứ dụng dé quản trị mạng TCP/IP Mục nảy sẽ dễ cập tới một số lệnh được sử dụng để quản trị các địch vụ TCP/TP trên hệ thống, Các

lệnh này có thể được chạy bởi user thông thường hoặc super-user

PING 203.162.0.88: 56 data bytes

64 byles from test.vnn vn (203.162.0.88): icmp seq=0 tize=1 ms

64 bytes fiom test.vnn.vn (203.162.0.88): icmp_seq 1 time 0 ms

64 byles from test vnn.vn (203.162.0.88): icmp seq=2 limme=0 ane

64 bytes from test.vnn.vn (203.162.0.88): iemp_seq-3 time-0 ms

64 bytes from test vnn.vn (203.162.0.88): iemp_seq=4 time=0 ms

64 bytes from test.vnn.vn (203.162.0.88): icmp seq 5 time 0, ms

64 byles from {eet vin vn (203.162.0.88): icnp seq=6 lime=0, me

64 bytes from test.vnn.vn (203.162.0.88): iemp_seq-7 time-0 ms

Theo mặc định lệnh finger liệt kê tắt cã danh sách các tên login, ftúÌ name, tên

tenninal, trang thai, idle time, login time, office location, phone number cho moi

user hién dang login vao mang

Cũng có thể đúng lệnh fingcr để liệt ké theo timg account N6 sé cho biét thu

mue home ctia user, login shell, user di lam gi (file ,plan) và làm với những thư mug nido (project)

# finger

Logm Name TTY Idle When Where

root Super-User pts/l Tue 12:23 203.162.0.85

root Supertiser pfs/2 10 Tue 12:39 peamm.sp.asep.net

Lénh netstat

Lénh netstat dùng dễ xem thông tin cat hinh mang: Bang routing table, cdc

kết nổi hiện tại „ ete

default 203.1620.250 UG 0 63

127.001 127001 UH © 774100

#

Lệnh traceroute:

Lệnh này dùng dể tìm ra các tuyến ma packet phai di qua dễ tới dược host

đích Lệnh này hoạt động dựa trên một trường trueto-live(LTL) Khi đó mỗi galeway lrên tuyến trả lại gói tin TMP TTME,_RXCREDED

Net to Media Table

Device IP Address Mask Flags Phys Addr

iprb0 galoway.widgels.ca 255.255.255.255 00:00:22:1Ebl;c7

iprbO gateway widgets.ca 255.255.255.255 08:00:20:85:658

iprbO nb.ottawa.nuet.ca 255.255.285.255 00:60:b0:a4.9d:42

iprb0 pateway widgets.ca 255.255.255.258 00:e0:14:a3:4 1:a0

iprb0 newton-widgets.ca 255.255.285.285 00:d0:c9:05:26:69

iprhO gateway widgets.ca 255.255.255.255 0:c0-49:03:26:64

1.2 CAC VAN DR CHUNG VE BAO MAT HE THONG VA

Hoat déng của người quản trị hệ thẳng mang phải dâm bảo các thông từn trên mang là tín cậy và sử dụng đứng rnục đích, đối tượng Dồng thời dim bio mang loạt động én định, không bị tấn công bởi những kế phá hoại

Có mật thực tế là không một hệ thống mạng nào đâm bảo là an toàn tuyệt đối,

tiệ thống bão vệ chắc chắn đến đâu đi nữa rồi cũng có lúc bị vô hiện hoá bởi những

1.2.1.1 Mật số khải niệm về bão mật

Trước khi tìm hiểu các vân đề liên quan đến phương thức phá hoại và các biện pháp bảo vệ cũng như thiết lập các chính sách về bảo mật, phần sau day sé tinh bay một số khải niệm liên quan đến bảo mật thông tin trên mạng, Internet

+» Đối tương tấn công mạng (Infruder):

Là những cả nhân hoặc các tổ chức sử dụng các kiến thức vẻ mạng và các công cụ phá hoại (phần mềm hoặc phân củng) để dò tìm các điểm yếu, lễ hông bão mật trên hệ thống, thực hiện các hoại động xâm nhập và chiếm đoạt tải nguyên

mang trai phép

Một số đối tượng lắn công mạng là

Hacker: La nhimg ke xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của các thành phan truy nhập trên hệ thống

Masquerađer: Là những kẻ giả mạo thông tin trên mạng Một số hình thức giả

mạo như giâ mạo địa chỉ TP, lên miễn, định đanh người dùng,

Tavesdropping: Là những đổi tượng nghe trộm thông tin trên mạng, sử dụng

các công cụ sriffer, sau đó đùng các công cụ phân tích và debug để lấy được các

thang tun có giá trị

20

Những dói tượng tấn công mạng có thể nhằm nhiều mục dich khác nhau: như

ăn cắp những thông tin có giả trị về kinh tế, phả hoại bệ thông mạng có chủ định,

hfe ving cd thé chi là những hành động võ ý thức, thử nghiệm các chương trình

không kiểm wa can thin

+» Cúc lỗ hong bao mit:

Các lỗ hổng bảo mật là những diễm yếu kém trên hệ thống hoặc ẩn chứa trong,

một địch vụ mả đựa vào đó kẻ tắn công có thể xâm nhập trái phép để thực hiện các

anh động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp,

Nguyên nhân gây ra những lỗ hồng bảo mật là khác nhau: Có thế do lỗi của

tám thân bệ thông, toặc phần mềm cung cấp, hoặc đo người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp

Mức độ ảnh hướng của các lỗ hỗng là khác nhau Có những lễ hồng chỉ ảnh hưởng tới chất lượng địch vụ cung cấp, có những lỗ hồng ánh hướng nghiêm trọng,

tái toàn bộ hệ thông

Trong chương 2 tdi sé trình bày chỉ tiết các loại lỗ hỗng bảo mật, các diễm yêu của một số địch vụ vả biện pháp khắc phục

+ Chỉnh sách bảo mật:

Là tập hợp các qui tắc áp dung cho moi đối tượng có tham gia quan ly và sử

dụng các lài nguyên và dịch vụ mạng

Mục tiêu của chỉnh sách bảo mật giúp người sử dụng biết được trách nhiệm

của mình trong việc bảo vệ các tải nguyên thông lún trên rạng, đồng thời giúp các

nhà quấn trị thiết lập các biện pháp bảo đám hữu hiệu trong quá trình trang bị, cầu

tình, kiểm soát hoạt động của hệ thẳng và mạng

Một chỉnh sách bảo mật được coi là hoàn háo nếu nó xây dựng gồm các vẫn

bản pháp quú, kèm theo cáo công eu bão mật hữu biện và nhanh chóng giúp người quấn trị phát hiện, ngăn chặn các xâm nhập trái phép

Chỉ tiết về phương pháp và cách thức xây đụng một chính sách bảo mật sẽ

dược trình bày trong chương 3

2L

1.2.1.2 Lịch sử bảo mật mạng và hệ thẳng:

Có một số sự kiện đánh đâu các hoạt động phá hoại trên mạng, từ đó nảy sinh

các yêu cầu về bảo mật hệ thông như sau:

> Năm 1988: Trên mạng Ilernet xuất hiện một chương trình tự nhận phiên

bản của chính nó lên tất cả các máy trên ruang Internet Cac chong tinh

my gọi là "sâu" Tuy mức độ nguy hại c

nó không lớn, nhưng nó đội ra

các vấn đẻ đối với nhà quản trị vẻ quyển truy nhập hệ thống, cũng như

các lỗi phần mềm Cơ chế hoại động của "sâu" Tnlcrnet duge minh hoa

Hình 6 Cơ chế hoạt động của sâu Internet

>_ Năm 1990: Các hình thức truyền Vims qua địa chỉ Dmail xuất hiện phố

thiển trên mạng Internet

> Năm 1991: Phát hiện các chương trinh wojans

>_ Củng thời gian nảy sự phát triển của địch vụ Web vả các công nghệ liên

quan như Java, Javascipts đã có rất nhiều các thông báo lỗi về bảo mật

liên quan như: Các lỗ hông cho phép đọc nội dung các ñils đữ liệu cúa

người đủng, mệt số lỗ hồng cho phép tấn công bằng hình thức DoS,

Spam mail lam ngưng trệ địch vụ.

> Nam 1998: Virus Melisa lan truyền trên mạng Internet thông qua các

chương trình gửi mail của Microsoft, gây những thiệt hại kinh tế không

nhỏ

> Nam 2000: Một loạt các Web Site lớn như yahoo.com vả ebay.com bị tê

liệt, ngừng cung cap dịch vụ trong nhiều giờ do bị tấn công bởi hình thức DoS

1213 Một số hình thức tắn công mạng

C6 thé tan céng mang theo một trong các hình thức sau đây:

> Dưa vào những lỗ hồng bảo mật trên mạng: Những lỗ hồng nảy có thể là

các điểm yêu của địch vụ mà hệ thông đó cung cấp Vỉ dụ những kẻ tấn

công lợi dụng các điểm yếu trong các dịch vụ mail, ftp, web để xâm nhập và phá hoại

>_ Sử dụng các công cụ để phả hoại: Ví dụ sử dụng các chương trinh phá

khoá mật khẩu đề truy nhập vảo hệ thông bắt hợp pháp, lan truyền virus

trên hệ thông, cải đặt các đoạn mã bắt hợp pháp vào một số chương trình

Nhumg ké tan công mạng cũng cỏ thẻ kết hợp cả 2 hình thức trên với nhau đẻ đạt được mục địch Cụ thẻ phân tích các điểm yếu của các dịch vụ thường sử dụng trên mạng cũng như cơ chế của các phương thức tân công sẽ được trình bảy trong,

chương 2

Hình đưới đây minh hoa mức đồ nguy hại tới hệ thông tương ứng với các hình

emits users have ret (Thay ist ark your uateship!)

‘unauthorized legis

thức tần công khác nhau:

Hit 7 - Các hình Lhức tắm công nưựng, _ Mức 1 (Level 1): Tân công vào mội số dịch vụ mạng: như Wcb, Email, dân

các thông, tin vẻ cấu hình mạng, Các hình thức tân công ở mức

đến các nguy cơ lộ

nay có thể dùng De8 hoặc spam mail

Mức 2 (Level 2); Ké pha hoai dùng tài khoảng của người dùng hợp pháp dé chiếm đoạt tài nguyên hệ thông: (Dựa vào các phương thức tấn công như bề khoá,

danh cắp mật khẩu ); kế phá hoại có thể thay dỗi quyền truy nhập hệ thông qua các

lễ hổng bảo mật hoặc đọc các thông tin trong tập tin liên quan đến truy nhập hệ

thống như /ete4pasawd

'Từ Mức 3 đến mức 5: Kẻ phá hoại không sứ dạng quyền của người dùng, thông thường, mà có thêm một số quyền cao hơn đổi với hệ thông; như quyền kích hoạt một số dịch vụ; xem xét các thông tin khác trên hệ thông,

Mức 6: Kẻ tấn công chiếm dược quyển rooL trên hệ thống,

1.2.1.4 Các mức bản uệ an toàn mạng

Vi không cẻ một giải pháp an toàn tuyệt dối nên người ta thường phải sử dạng, đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp "rào chắn" đổi với các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yên là bảo vệ thông tin cất giữ trong các máy tỉnh, đặc biệt là trong c:

ervor của mạng, Hình sau mô tá

các lớp rào chắn thông đụng hiện nay đề bão vệ thông tin tại các trạm của mạng

Hinh 8 - Các mức độ bảo vé mang

Whi minh hoa trong hình trên, các lớp bảo vệ thông tín trên mang gồm:

Lớp bão vệ trong củng lá quyền truy nhập nhằm kiểm soát cáo tài nguyên (ở

đây là thông tỉn) của mạng và quyền hạn (có thể thực hiện những thao tác gì) trên

2

tải nguyễn đỏ Hiện nay việc kiểm soát ở mức này dược áp dụng sâu nhất dỗi với

tập

Tiớp bão vệ tiếp theo là bạn chế theo tài khoản truy nhập gồm đăng ký tên/ và

mật khăn tương ủng Dây là phương pháp bảo vệ phổ biển nhất vì nó đơn giản, ít

tốn kêm và cũng rất có hiệu quả Mỗi người sử đựng muốn truy nhập được vào

mạng sử dụng các tài nguyên dều phải có đẳng ký tên và mật khẩu Người quản trị

hệ thông có trách nhiệm quản lý, kiếm soát mọi hoạt động của mạng và xác định

quyển truy nhập của những người sử dụng khác tuỷ theo thời gian và không gian

Lớp thứ ba là sử đụng các phương pháp mã hoá (enoryption) Dữ liệu được

tiến đổi từ dạng "đọc được" sang dạng không "đọc được" thee một thuật loan nao

do Ching ta sé xem xét các phương thức và các thuật toán mã hoá hiện được sử

dụng phổ biển ở phân đưới đây

Lớp thử tư là báo vệ vật lý (physical protection) nhằm ngăn cán các tray nhập

vật lý bất hợp pháp vào hệ thông Thường đừng các biện pháp truyền thông như

ngần cấm người không có nhiệm vụ vào phòng đặt máy, dùng hệ thẳng khoá trên

máy tỉnh, cải đặt các hệ thống báo động khi có trưy nhập vào hệ thống

Tuớp thứ năm: Cải đặt các hệ thống bức lường lủa (irewall), nhằm ngăn chắn các thâm nhập trải phép và cho phép lọc các gói tia má ta không muốn gửi đi hoặc

nhận vào vì một lý đo nào đó,

1.2.2 Các phương thức mã hoá

Một trong những biện pháp bão mật thường sử đụng, dỏ là áp dụng các cơ chế

mé hoa Sau day sẽ phân tích một số cơ chế m& hoa đảm báo tính an toàn vả tin cậy

dữ liệu thường được sử dụng trong các dịch vụ trên mạng Internet

Đặc điểm chung của các phương thức mã hóa:

Trong các phương thức mã hòa, mỗi phương thức đều chủ yếu tập trung giải quyết 6 vân đề chính như sau:

Authentication - Lloat 4éng kiểm tra tỉnh xác thực một thực thể trong giao tiếp Authorization - Hoạt động kiểm tra thực thể đỏ có dược phép thực hiện những,

quyên hạn cụ thế nào.

Confidential - Tình bão mật, Xác định mức độ bảo mật đối với mỗi phương thức bảo mật

Trtegrity - Tỉnh toàn ver: Kiém Im lính toàn vẹn dữ liệu khi sử đụng muỗi

Là hoạt động liên quan đến kiểm tra tính đứng đắn một thực thể giao tiếp trên

mạng Một thực thế có thể là mội người, một chương trình raáy tính, hoặc một thiết

bị phản cửng, Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng, nhất trong các hoạt động của một phương thức báo mật Một hệ thông thông thường phải thực hiện kiểm tra tỉnh xác thực của một thực thể trước khú thực thể đó thực

hiện kết nói với hệ thống, Cơ chế kiểm tra tính xác thực của các phương thức báo mật dựa vào 3 mô hình chính sau: Những thông tin biết trước, những thông tin đã

có vả những thông tin xác định lính duy nhất

Với cơ chế kiếm tra dua vao mồ hình những thông tỉn biết trước, đối tượng cân kiểm tra cần phải cưng cấp những thông tìn mà chíng biết, ví dụ như password,

hoặc :nâ số thông số cá nhân PIN (Personal informatien number)

Với cơ chế kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phái thể hiện những thông tin mả chúng sở hữu, ví dụ như private key, hoặc

sé thé tin dung

Với cơ chế kiểm tra dựa vào mô hình những thông tin xác dinh tinh duy nhất,

đối tượng kiểm tra cẳn phải có những thông tin để định danh tính duy nhất của mình

ví dụ như thông qua giọng nói hoặc fingerprint

+» Autharization:

Là hoạt động kiểm tra tinh hợp lệ có dược cấp phát thực hiện một hành déng

cụ thê hay không Do vậy hoạt động này liên quan đến các dịch vụ cấp phát quyền

truy cập, đâm bảo cho phép hoặc không che phép truy nhập đổi với những tài

26

nguyên dã được phân quyển cho các thực thể Nhiing hoat déng ở dây có thẻ là quyển đọc dữ liêu, viết, thì hành một chương trình hoặc sử dụng một thiết bị phản

cứng Cơ chế thực hiện việc phân quyền dựa vào 2 mô hình chính sau: Mô hình

ACL (Access Control List) va mé hinh dựa trên cơ chế thiết lập các chính sách

(Policy)

+» Confidential:

Panh giá mức độ bảo mật, hay tính an toàn đối với mỗi phương thức bảo mật,

mức độ có thễ phục hỏi đữ liệu từ những người không có quyền đối với dữ liệu đó,

Co thê bảo mật dữ liệu theo kiến trúc end-to-end hoặc link-by-link Với mô hình end-to-end, đữ liệu được bảo mật trong toàn bộ quả trình xử lý, lưu truyền trên

xrạng: Với mô hình link-by-link đữ liệu chỉ dược bão vệ trên các dường truyền vật

lý

ws Integrity:

Tỉnh toàn vẹn, hoạt dộng nay dánh giá khả năng súa dỗi dữ liệu sơ với đỡ liệu

nguyên thủy ban đâu; Mệt phương thức bão mật có tính toàn vẹn đữ liệu khi nó đâm

bão các dũ liệu mã hỏa không thể bị thay đổi nội dụng so với tải liêu gốc (khi đã được giái mã) vả trong trường hợp những ke tắn công trên mạng sửa đổi nội dung

dữ liệu đã mã hóa thì không thể khối phục lại đạng ban đầu của dữ liệu

- người gửi message đó.)

phải có khả năng thực hiện trong thực tế đối với các hệ thẳng máy tính, đữ liêu và thực hiện với các lải nguyên phần cứng, phân mềm; dỗng thời phải dâm bảo các yêu cầu vẻ tốc độ tỉnh toán, khả năng chuyển đổi, tỉnh tương thích giữa các hệ thông

khác nhan.

Hình 9 Phương thức mã hóa đổi xứng

Đây là phương thúc mã hoá đổi xtmg: Message ở dang Plaintext (dạng đọc

được) được mã hoá sử đụng Private Key (khoá mà chỉ có người mã hoá mới biết

được) tạo hành message được mmã hoả (CipherlexU Ở phủa nhận, message mã hoá

được giải mã cùng với Private Kev mã hoá ban đầu thành dạng Plaintext

Điểm chị

ửa phương pháp ruã hoá này là việc sử dụng khoá bí mật cho cả

quả trình mã hoa vả quả trình giải mã 2o đó, nhược điểm chính của phương thức nay 1a cam có quá trình trao đổi khoá bỉ mật, dẫn đến tỉnh trạng để bị lộ khoá bí mật

Có hai loại mã hoả dỗi xửng như sau: Ma hoa theo ting khối và mã hoá theo

bins đít liệu

>> Các thuật toán mã hoá đổi xứng theo từng khối đữ liệu (I3lock Cipher)

thực hiện chia message ở đạng plaintext thành cáo khối vi du 64 bits

(hoặc 2n bits), sau đỏ tiên hành mã hoá từng khôi nảy, Dối với khối cuối

cùng nêu không đủ 64 bits sẽ được bử thêm phẩn đữ liệu đệm (padding)

Tiên nhận sẽ thực hiện giải mã theo từng khôi

> Ma hoa theo timg bits dé ligu (Stream Ciphers)

Bang sau dây mô tả một số phương pháp mã hoá đối xứng sử dung khoa bí

mật

28

RCA Theo bít 2048

Tổể khắc phục điểm hạn chế của phương pháp mã hoá đối xứng la quả trình

trao dỗi khoá bí mật, người ta đã sử dụng phương pháp mã hoá phi dối xứng sử dụng một cặp khoả tương ủng với nhau gọi là phương thức mã hoa phi déi xing

dùng khoá công khai (Publie-Key Crytography)

+» Phương thức mã hóa dùng khod công khai (Public-Key Crytography)

Phương thức mã hóa dùng khoá công khai được phát nảnh bởi Wbitficld Diffie và Marin Hellnan vào năm 1975; Phương thức mã hóa này sử dụng 2 khóa

là Publie key và Private Key có các quan hệ toán học với nhau Trong đỏ Private

Key duoc giữ bí mật và không có khả năng bị lộ do không cân phải trao đổi trên mang; Public key không phải giữ bí mật và mọi người dêu có thể nhận dược khoá

nay Do phương thức mã hóa này sử đụng 2 khóa khác nhau, nên người ta gọi nó là phương thức mã hóa phi đổi xứng Mặc đủ Private key được giữ bí mật, nhưng

không giống với "secret Key" được sử dụng trong phương thức mã hóa đối xửng sứ

dụng khoá bí mật đo Private Key không được trao đôi trên mạng

Pubhe key và Private key tương ứng của nó có quan hệ toán học với nhau và được sinh ra sau khi thực hiện các hàm toàn học; nhưng các hàm toán học này luôn thoả mãn điểu kiện là sao cho không thể tim được private key từ public key và ngược lại Do đỏ, một cặp khoá publie key và private key tương ứng được gọi là key pair

Do có mỗi quan hệ toản học với nhau, mét message dược mã hóa bằng public key chỉ có thể giải mã được bằng private key tương ứng; một message được mã hóa ang privale key chỉ có thể giải mã được bằng publie key tương ứng của nó

Thuật toán Public key có tỉnh thuận nghịch nếu nó có khả năng sử đụng cả cho

bão mật và kỷ điện Lữ Nó là không có Lính thuận nghịch nếu chỉ có khả rừng ký

Với các thuật toán bất thuận nghịch, private key chỉ có thể mã hóa plaintext (tức lả

quá trình ký) mả không có khả năng giải mã ciphertext Một loại kháo của thuật

toán mã hỏa public-kcy là hoặc không thé mã hóa hoặc không thê ký; thuật toán này được gọi là thuật toán key exchange (thuật toán chuyển đối khỏa)

2

Thuật toán Public-key dựa tén méi quan hé toan hoo gitta Public key va private key Bang sau day liệt kẻ cáo thuat toan public-key thang dung nhur sau:

tải nay RSA có thể sử đựng cả cho mã hóa, ky, va key exchange Chiều đải của key

có thể thay đối, thông thường trong phạm vì từ 512 đến 2048 bữa Việc lựa chọn chiéu dai key phải đảm báo cân bằng giữa tốc độ tính toán và độ phúc tạp của

phương thức mã hóa

DRA (Digttal Sipnatre Algorthim), phương thức mã hóa này được ra đời từ

chuẩn DSS (Digital Signature Standard), được giới thiệu vào năm 1994 DSA chi cd

thể ký vào một message; nỏ không thể dùng cho mà hóa bảo mật và key cxchangc

Cơ chế lâm việc của phương pháp mã hoá sử dụng khoá công khai được mô tả bằng hình sau:

Plaintext »| Encrytion > Ciphertext | Decrytion > Plaintext

‘Hinh 16 Phương thức mã hứa phi đối xứng

Giả sử A muôn gửi cho 13 một message được mã hỏa theo phương thức public-

key A str dung Public key ctia B để mã hóa Plaintext tao thanh ciphertext (A có thế

nhận được Publie Key của B do Publie Key lá khoá công khai), Sau dé ciphertext

này được chuyển tới 3 Ở phía nhận Ð sử dụng private key của mình để giải mã Ciphertext va dec duoc message ban dau cia A

Do đó, để thục hiện phương thức mã hóa đảng khoá công khai, có một số vẫn

dễ cân giải quyết như snư

30

> Cau héi 1: Lam thé nao dé A có thẻ kiểm tra tính xác thực của Public

Key của B?

> Cân hỏi 2: Lâm thé nao đề B biết được chính xác là message đó được gửi

đi tử A

Chúng la xem xét các lình huồng có thể bị tân công đổi với phương thức nữ

hoà phi đối xửng như sau:

Trường hợp cỏ kế nghe trém thông tín trao đối trên mạng: Ơ là một người

nghe tm, C 6 thé lay duge ciphertext chuyén tu A dén B, nhưng không thể giải

mã được message này vì C không có private key của B

‘Trudng hợp giá mạo khoá công khai: Vấn để đặt ra lá làm thể nảo dé A có thể

tiết chính xáo Publie key mà A sử đụng đúng là Public Key của B Trong trường,

hop nay, nếu D giả mạo B gửi Pubie key của D đến A (A nhận duce Public key là

của ID mả không phải là của B), va A vin mA hoa message cua minh; khi do

message đến D sẽ vẫn giải mã được da D cé private key của mình Đề khắc phục

han ché wiy người Is xây đựng một hệ thông các tổ chức thứ ba đồng vai tré brung gian trong việc xác thực tin đúng đắn của một Publie Key, Đó là các tổ chức xây

dựng tệ thông chứng thục điện tử (trong phân 3 sẽ trình bảy kỹ hơn về Cerilicate)

Trudng hep sit dung Private Key để mã hoá: Nếu như A sử dung private key cia minh dé ma hỏa một message và gửi message đó tới B? Khi đó, B có thể sử

dung Public key cia A dé gidi mi message lừ A Một người thứ ba Ở cũng cô Public key của A (publie key là một khóa công khai) nên nếu nhận duge message

gửi tù Á cứng có thế giải mã được mmessage và đọc nó Do đó, A không thể sử dụng, private key cia minh đẻ ma hóa một message Tuy nhiên dựa vào đặc diém anh xa 1:1 giữa Private Key và Public Key ta có thể thấy rằng message được rã hoá lả

được gũi từ A mà không phải là một người khác Điều này cũng trả lời cho câu hỏi

31L

dễ thực hiện qủa trình trao dỏi đữ liệu (khoá bí mật này chỉ tổn tại trong mét session

thuật mã hoá dùng dùng khoả công khai cho

làm việc duy nhất) Việc sứ dụng,

quá trình bắt tay giữa hai thực thể cân trao đổi thông tin có yêu cầu bão mật kết hợp với thuật toản đùng khoả bí mật cho quá trình trao dối dữ liệu tạo thành một phương,

thức mã hóa lai Dễ thực hiện được phương thúc mã hoá lai, Netscape đã đưa ra

giao thức SSL thực hiện các quá trình trên Phân 3 trình bảy về tạo kết nổi bảo mật

sẽ trình bảy kỹ hơn về vẫn đề nảy

tra tính xác thục của một người ky vao message do (2)

Vấn dễ đặt ra là có thể tận dụng dược hai dặc điểm này để dám báo phiên giao dịch là hoàn toàn bảo mật vả tín cậy Cụ thế như sau:

Người ta sẽ sử dụng privatc key dé ky vao mot message; mà nội dung của

message này là public key của người đó Quá trinh này đảm bao duce ring public

key đúng là của người; điều này khắc phục được nhược điểm (1) đã nêu ở trên

Sau đỏ một message được mã hóa bằng public key vừa gũi đến dam bao rằng

chỉ có người có private key của nó mới có khả nắng giải mã được Điều này khắc phục được nhược điểm (2) đã nêu ở trên

+^ _ Phương thức mã hoá một chiều - thuật toán Băm

Để đảm báo tinh toàn vẹn của dữ liệu không bị thay đổi sơ với dữ liệu bạn

đản, người ta đưa ra cáo phương thức mã hoá một chiều sử đụng các thuật toán

*Băm” Hoạt dệng của phương thức mã hoá này dược mình hoạ trong hình sau:

Hình trên mô tả hoạt động của phương thức mã hỏa 1 chiều (Message -

Digest); ‘Theo dé, đâu ra của phương thúc nảy là một Message Digest có chiều dài

có định (messsge này gọi là message digest, hode digest hoc hash) Voi mdi dau vào Plaintext sẽ chỉ cỏ duy nhất một kết quả dẫu ra tương ứng va tir Message Digest

khéng thé tim ra Message dang Plaintext ban dau, Message (dang Plain text) sau khi

thục hiện ham hashing sé tao ra một chuỗi các ký tự - đặc trưng cho message dau vào, Giải thuật message digest là một thuận toán một chiêu hay thưởng, gọi là thuật

toán hash Phương thức mã hóa nảy không sử dụng để mã hóa dữ liệu mà thường sử

dụng để kiểm tra tính toán vẹrt cửa đữ liệu trong quá trình truyền thông tín trên

mang

Các thuật toán hashing có 3 đặc điểm chính như sau

Không có khả năng tạo ra message ban dau dựa trên digest của nó (nói cach khác là thuật toán hashing phải đảm bảo có tỉnh một chiều, không thể thực hiện theo

chiểu ngược lại)

Khéng thé tim ra mét message gc tir mét digest dic biét

không thẻ tìm 2 message khac nhau cé cing mét digest giéng nhau

Néu chiến dai cia digest 14 m bits, n6 sé can phai thir 2” message để tìm ra mét message với digest mong, muồn tương ứng, và thực hién 2" meesage dé tim 2

message có củng một digest Do đó các hàm thực hiện message-digest phải có đầu

Ta ÍL nhất là 128 bịts, vì tối thiểu 1à 25! là không thể tính tuần được với các khả năng,

tính toản hiện nay Bang sau đây mô tá một số thuật toàn hashing thường sứ dụng:

+» Message Authentication Codes -MAC

MÁC là một đữ liệu có chiều dài cổ định, được gửi củng với một message đề

kiểm tra tính toàn vẹn dữ liệu của message đó Cáo phương thức ruế hóa dùng khóa

bí mật và khóa công khai có thế dược sử dụng như lả nền tăng của việc tạo các

MACs Một cách thông dung dé tao MAC 1a ding nhé mét block cipher text (mot đoạn text đã được má hóa) được tạo từ phương thức mã hóa đổi xứng sử dụng khóa

bí mật Các giao dịch tải chính trên mạng đã sử dụng phương thức nảy một thời gian dài đế bão vệ các giao địch điện tử giữa cáo nhà bank trên mạng, Một hàm mã hóa

hashing duve sit dung két hop giita mdt message va mOL khoa bi mat dé lao ra

MÁC, ở phía người nhận rnessage, (chú ÿ người nảy dimg chung khóa bí một với

phía người gửi), tính toán hash theo đữ liệu gửi đến cùng với khóa bí mật của họ để tạo rảnh một MÁC khác Nếu 2 MÁC náy Irừng với nhan, người nhận sẽ kết luận ring message dé la dược gửi tử một người má người do da biết khỏa bi mat va message dé hoan toàn không bị sửa chữa trong khi truyền đữ liệu Quá trình này

duge goi la ham keys hash va tuoug wag voi no MAC duge gol la HMAC

34

iG 2: CAC LO HONG VA PHUONG THUC TAN

CONG MANG PIO BIEN

trong các ng dụng má người sử dụng thương xuyên

ữ dụng nhủ Word processing,

Các hệ đatabasos Phần sau dây sẽ trình bảy các lỗ hồng bão mật thường gắp trên

một số hệ thông,

2111 Phân loại lỗ hỗng bão mặt:

Có nhiều tô chức khác nhau tiến hành phân loại cáo dạng lỗ hồng đặc biệt Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ héng bảo mật trên mội hệ thông được chia như sau:

T,ỗ hỗng loại C: Các lễ hẳng loại này cho phép thục hiện các phương thúc tận công theo J2o8 (Dinal of Servios - Từ chối dịch vụ) Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lương địch vụ, có thể làm ngưng trẻ, gián đoạn hệ thông; không lâm phá hồng đữ Rên hoặc đạt được quyển truy nhập bất hợp pháp

Lễ hồng laại B: Các lễ hỗng cho phép người sử dựng có thêm các quyển trên

tệ thông mà không cản thực hiện kiểm tra Lính hợp lễ Mức độ nguy hiểm Hung binh, Những lỗ hỗng nảy thường có trong các ứng dụng trên hệ thống, có thể din đến mắt hoặc lô thông tin yêu câu bảo mật

Lễ hổng loại A: Cac 16 héng nay cho phép người sử dung ở ngoái cho thể truy

nhập vào hệ thống tất hợp pháp Lỗ hồng rát nguy hiểm, có thế làm phá hủy toàn bộ

hệ thống,

Hình sau mình họa các mức độ nguy hiểm và loại lỗ hồng lương ứng,