hướng dẫn sử dụng phần mềm truecrypt

được sử dụng nhiều nhất trên ARPANET trước đây và Internet ngày nay • Cách thức hoạt động: – Soạn thảo thư: Thực hiện nhập các trường chính như: chủ đề, nội dung, đối tượng nhận, .... Gi

AN TOÀN THƯ TÍN ĐIỆN TỬ

Nội dung

• Tổng quan về hệ thống thư tín điện tử

• Các giao thức sử dụng cho thư tín điện tử

• An toàn máy chủ thư tín điện tử và nội dung th ư

tín điện tử

• An toàn thư tín trên máy trạm

• Quản trị an toàn hệ thống thư tín điện tử

TỔNG QUAN VỀ THƯ TÍN ĐIỆN TỬ

• Nội dung:

– Khái niệm email

– Lịch sử phát triển

– Cách thức hoạt động

– Các hiểm hoạ đối với thư tín điện tử

• Khái niệm email:

– Email là thư dựa trên ký tự được gửi qua máy tính từ người

• Lịch sử phát triển:

– Năm 1971 Ray Tomlinson thực hiện gửi thành công mộtthông báo thư tín điện tử đầu tiên trong mạng ARPANET

– Tomlinson đã sửa đổi hệ thống xử lý thông báo để ngườ

được sử dụng nhiều nhất trên ARPANET trước đâ

y và

Internet ngày nay

• Cách thức hoạt động:

– Soạn thảo thư: Thực hiện nhập các trường chính như: chủ

đề, nội dung, đối tượng nhận,

– Gửi thư: Thư sẽ được chuyển đổi sang một định dạng chuẩn

xác định bởi RFC 822 (Standard for the Format of ARPInternet Text Messages)

– Thư sau khi chuyển đổi sẽ gồm hai phần: phần tiêu đề

(header) và phần thân (body) Phần tiêu đề gồm một sốthông tin như: thời gian gửi, đối tượng gửi, đối tượng nhận,

chủ đề, thông tin về định dạng Phần thân chính là nội dung

– MUA cung cấp cho MTA: Định danh đối tượng gửi, định

danh đối tượng nhận thư

– Máy chủ thư sẽ thực hiện các thao tác: Định danh đối tượng

nhận, thiết lập kết nối, truyền thư

– Máy chủ thư sẽ kiểm tra xem đối tượng nhận có nằm trong

miền thuộc máy chủ thư hay không, nếu như thuộc thì máy

chủ thư sẽ sử dụng dịch vụ phân phối cục bộ LDA (Local

Delivery Agent) để phân phối thư Còn nếu không thuộc nó

sẽ gửi tiếp thư đến máy chủ thư có tên miền tương ứng

TỔNG QUAN VỀ THƯ TÍN ĐIỆN TỬ

• Mô hình hệ thống thư điện tử

• Các hiểm họa đối với thư điện tử:

– Bị đọc lén thư (cá nhân, chính phủ trong nước, ngoài nước,

các tổ chức vv )

– Thu thập và phân tích đường truyền

– Giả mạo (giả mạo người gửi thư)

– Bom thư

CÁC GIAO THỨC SỬ DỤNG CHO THƯ TÍN ĐIỆ

Giao thức SMTP Giao thức SMTP

California đã phát triển vào tháng 8 năm 1982

cách

tin cậy và hiệu quả.

ACK Send Mail Local Mail Server

DNS Server

Step 4

Step 5

Step 6

Server A

Server B:

r eceive/store

ACK

Ring Server B B

ACK

SMTP protocol

Giao thức SMTP

• Việc trao đổi mail sử dụng TCP/IP được thực h iện

– MTA chịu trách nhiệm hướng mail tới địa chỉ đích theo

đúng yêu cầu– MTA sử dụng bản ghi MX (Ma

il Exchange) từ máy chủ

DNS để xác định nơi cần gửi tới

• SMTP có vai trò gắn kết giữa các MTA

Host

MTA Across internet the

Local MTA Local MTA

Giao thức SMTP

HÖ thèng

file

SMTP

Sender-SMTP commands/replies

• Thủ tục truyền trong SMTP

Thủ tục truyền tải SMTP có 3 bước:

Bước 1: Sử dụng lệnh MAIL để định danh người gửi.

Bước 2: Sử dụng một hoặc nhiều lệnh RCPT để định danh t hông

tin người nhận.

Bước 3: Sử dụng lệnh DATA để xác định dữ liệu thư.

Các lệnh trên có cú pháp như sau:

thaith, toannq và khoanc trên máy fit-kma.edu như sau:

R: 354 Start mail input; end with <CRLF>.<CRLF>

S: Blah blah blah

S: etc etc etc.

S: <CRLF>.<CRLF>

R: 250 OK

Giao thức SMTP

• Kiểm tra và mở rộng danh sách thư

- SMTP cung cấp thêm một số đặc tính như: kiểm tra tên người

sử dụng bằng lệnh VRFY, và mở rộng danh sách mail bằng

lệnh EXPN Các lệnh này có cú pháp như sau:

R: 250-Fred Fonebone ISIQ.ARPA>

<Fonebone@USC-R: 250-Sam Q Smith <SQSmith@USC-ISIQ.ARPA>R: 250-Quincy Smith <@USC-ISIF.ARPA:Q-

Giao thức SMTP

• Phân phối tới mailbox và terminal

– Việc phân phối thông điệp tới các mailbox của ngư

dùng gửi thông điệp thông qua terminal)

– Dưới đây là 3 lệnh đã được định nghĩa để hỗ trợ "sending"

SEND <SP> FROM:<reverse-path> <CRLF>

SOML <SP> FROM:<reverse-path> <CRLF>

SAML <SP> FROM:<reverse-path> <CRLF>

Giao thức SMTP

nối như sau:

R: 220 BBN-UNIX.ARPA Simple Mail Transfer Service Ready

S: HELO USC-ISIF.ARPA R: 250 BBN-UNIX.ARPA – Lệnh QUIT thực hiện đóng kênh truyền tải thông tin, ví dụ:

S: QUIT R: 221 BBN-UNIX.ARPA Service closing transmission channel

Giao thức SMTP

– Đó là quá trình chuyển thư từ một SMTP Server này sang

một SMTP Server khác

– Hai tham số dùng cho quá trình chuyển là: path và

forward-reverse-path

– Forward-path chứa địa chỉ của SMTP Server mà thư sẽ được

chuyển tới tiếp theo

– Reverse-path là địa chỉ SMTP Server mà thư vừa đi qua

Giao thức SMTP

• Các lệnh SMTP cơ bản

Định danhSender-SMTP đối với Receiver-SMTP, tham số

<domain>

thường là tên máy

CRLF>

Khởi tạo phiên giao dịch mail tới một hoặc nhiều mailbox và

đồng thời định danh người gửi bằng tham số path

định danh người gửi.

• VRFY VRFY <SP> <string> <CRLF>Yêu cầu

người

nhận mail xác nhận một người sử dụng

nhận

tham số để định danh một danh sách thư

gửi

thông tin trợ giúp tới người gửi

người

gửi, tức là không thực hiện gì khác, thì người nhận trả lời OK

Giao thức SMTP

• QUIT QUIT <CRLF>Lệnh này yêu cầu

người

nhận gửi tín hiệu trả lời OK, sau đó đóng phiên giao dịch.

• TURN TURN <CRLF>Lệnh này yêu cầu

người nhận hoặc là phải gửi tín hiệu OK và sau đó

đóng vai trò là Sender-SMTP, hoặc là phải gửi tín

hiệu từ chối và trả về đúng vai trò

Receiver-SMTP.

Giao thức SMTP

• Các mở rộng của giao thức SMTP

– Các phần mềm thư client và các SMTP server ngày đượ

c bổ

sung thêm nhiều tính năng mới

– Đối với các máy chủ SMTP người ta đã mở rộng thêm chức

năng cho giao thức truyền thư đơn giản SMTP

– Các mở rộng được đưa ra trong các tài liệu RFC, các RFC

này bổ sung thêm ba phần chính cho SMTP nguyên thuỷ,

bao gồm:

• Các lệnh SMTP mới (RFC 1425)

• Đăng ký các mở rộng dịch vụ SMTP (RFC 1651)

• Các tham số bổ sung cho các lệnh SMTP MAIL FROM v à

– Nếu máy chủ hỗ trợ các phần mở rộng SMTP, máy chủ sẽ

phúc đáp kết quả thực hiện lệnh đã thành công và liệt kêphần mở rộng hiện máy chủ đó hỗ trợ Nếu máy chủ không

hỗ trợ phần mở rộng SMTP, sẽ có thông báo kết quả thực

hiện lệnh không thành công, khi đó MUA phải thực hiệnlệnh HELO chuẩn

Giao thức SMTP

CÁC GIAO THỨC NHẬN THƯ

Giao thức POP3

(Post office protocol – version 3)

• Các thông báo mail được chuyển tới máy chủ t hư

tín và một chương trình thư client trên một má y

trạm sử dụng POP3 kết nối tới máy chủ thư tín đó

và tải tất cả các thông báo mail tới máy trạm đ ó

Giao thức POP3

• Nguyên tắt hoạt động và các lệnh của giao thức POP3

– Hoạt động của giao thức POP3 được thể hiện ở hình dưới

đáp lại (response) các lệnh đó tới tận khi đóng kết

nối hoặc kết nối bị huỷ bỏ các giao thức nhận t hư

– Trạng thái TRANSACTION: Trong trạng thái này, client có

thể truy nhập tới mailbox của mình trên server để ki

– Các lệnh trong POP3 có thể có một hoặc nhiều đối số Kết

thúc của lệnh bởi một cặp CRLF Các từ khoá và đối sốtrong lệnh là các ký tự trong ASCII

– Một lời đáp lại (response) từ POP3 server gồm một mã trạng

thái và theo sau là các thông tin Có hai mã trạng thái hiện

hành là: thành công (+OK) và lỗi (-ERR)

Giao thức POP3

thái

AUTHORIZATION.

– Có hai cơ chế xác thực: Cơ chế thứ nhất sử dụng kết hợ

• Mô tả: Được sử dụng trong trạng thái AUTHORIZATION

C: USER frated S: -ERR sorry, no mailbox for frated here

Giao thức POP3

• Lệnh PASS

– Cú pháp: PASS password

– Đối số: password là mật khẩu của user để truy nhập tới mailbo

x.

– Mô tả: Lệnh này chỉ được sử dụng trong trạng thái

AUTHORIZATION để gửi mật khẩu của người dùng tới POP 3

server Lệnh này phải được thực hiện sau lệnh USER và một khi

server đáp lại lệnh USER là thành công.

– Ví dụ:

C: USER mrose S: +OK mrose is a real hoopy frood C: PASS secret

S: +OK mrose's maildrop has 2 messages (320 octets)

C: USER mrose S: +OK mrose is a real hoopy frood C: PASS secret

S: -ERR maildrop already locked

Giao thức POP3

Cú pháp: APOP name disgest

Đối số:

name: tên của user

disgest: một chuỗi MD5 disgest

– Việc xác thực trong phiên sử dụng kết hợp lệnh USER/PASS

có nhược điểm là mật khẩu được truyền rõ trên mạng Để

khắc phục nhược điểm này thì cơ chế xác thực sử dụng lệnh

APOP được sử dụng trong giao thức POP3

– Phương pháp xác thực này cho phép cả xác thực và bảo vệ

replay bằng cách không gửi mật khẩu ở dạng rõ trên mạng

dụng cho timestamp của một POP3 server, cú pháp của timestamp có thể là:

<process-ID.clock@hostname>

• Trong đó 'process-ID' là số hiệu tiến trình (PID), clock là clock

của hệ thống và hostname là tên miền đầy đủ.

– POP3 client sẽ lấy timestamp này (bao gồm cả dấu ngoặc

nhọn) cùng với bí mật dùng chung mà chỉ client và server

được biết (mật khẩu truy nhập mailbox của người dùng) để

tính toán tham số disgest sử dụng giải thuật MD5 Sau đó

gửi lệnh APOP với các tham số đi kèm tới server

Giao thức POP3

• Khi POP3 server nhận lệnh APOP, nó kiểm tra disgest đó.

Nếu disgest đúng, thì POP3 server sẽ đáp lại tới client thành công (+OK) và phiên PO3 vào trạng thái

TRANSACTION Trái lại, server sẽ thông báo lỗi tới client và phiên POP3 vẫn ở trạng thái AUTHORIZATI ON.

Ví dụ:

S: +OK POP3 server ready 1896.697170952@dbc.mtview.ca.us

>

C: APOP mrose c4c9334bac560ecc979e58001b3e22fb

S: +OK maildrop has 1 message (369 octets)

Trong ví dụ này bí mật dùng chung là chuỗi 'tanstaaf' Do đó đầu vào

của giải thuật MD5 này là chuỗi

<1896.697170952@dbc.mtview.ca.us>tanstaaf

Đầu ra có giá trị là c4c9334bac560ecc979e58001b3e22fb

Giao thức POP3

– Các lệnh trong trạng thái TRANSACTION là: STAT, LIST,

TOP, NOOP, RETR, DELE, UIDL, QUIT và RSET

Giao thức POP3 Giao thức POP3

thể thực hiện các công việc như: tạo, sửa, xoá, đổi

tên mailbox, kiểm tra thông điệp mới, thiết lập và

• Sử dụng IMAP với các mục đích sau:

– Tương thích đầy đủ với các chuẩn thông điệp Internet (v

file của server

Giao thức IMAP

• Hoạt động của IMAP

– Kết nối IMAP bao gồm: kết nối mạng cho client/server, khởi

tạo trên server hay gọi là "hello message", và những tương

tác client/server tiếp theo

– Những tương tác này bao gồm: lệnh từ client, dữ liệu trên

server, và trả lời trên server Tương tác giữa IMAP clien

• Giao thức gửi của client và nhận của server

– Khi hoạt động, bên client gửi một lệnh, mỗi lệnh có một

định danh (sắp xếp theo alphabel, ví dụ: A00001, A00002)

được gọi là một thẻ Mỗi thẻ này được sinh từ phía clien

– Server có thể gửi một thông tin trả lời cho nhiều lệnh khác

nhau cùng một thời điểm (trong trường hợp gửi nhiều lệnh),

hoặc dữ liệu không gán thẻ

thành lệnh trước khi khởi tạo lệnh mới.

– Giao thức nhận bên server đọc dòng lệnh từ phía clien

• Giao thức gửi của server và nhận của client

– Dữ liệu đã truyền tải sang client cả thông tin trạng thái thông

báo chưa kết thúc lệnh (đặt trước là dấu "*", được gọi làkhông gán thẻ)

– Dữ liệu trên server có thể được gửi theo lệnh từ phía client,

hoặc có thể được gửi từ phía server mà không cần theo lệnh

• Giao thức nhận của client đọc thông báo từ phí a

server gửi sang, sau đó nó thực hiện theo thông báo đó dựa theo dấu hiệu (+, hoặc *) trên thôn g

• Các lệnh IMAP

Giao thức IMAP Giao thức IMAP Giao thức IMAP Giao thức IMAP Giao thức IMAP Giao thức IMAP Giao thức IMAP Giao thức IMAP Giao thức IMAP Giao thức IMAP

– Mail đến có thể nhận từ bất cứ nơi nào trong mạng.

– Các giao thức rất rõ ràng và chuẩn theo các RFC đã được công

bố trên mạng.

– Sử dụng hiệu quả trên nhiều phần mềm miễn phí (có cả so urce)

Cho các client trên máy PC, Mac, và Unix.

– Sử dụng hiệu quả trên nhiều phần mềm thương mại.

– Các giao thức chỉ giải quyết vấn đề truy nhập; cả 2 đều c

ó khả

năng nhận các mail được gửi dựa trên giao thức SMTP.

• Ưu điểm của POP

– Giao thức đơn giản hơn và dễ thực hiện hơn.

– Có nhiều phần mềm client sử dụng hơn.

• Ưu điểm của IMAP

– Có thể thao tác các cờ trạng thái thông điệp trên server.

– Có thể lưu trữ các thông điệp tương tự như khi lấy chúng.

– Có thể truy nhập và quản lý nhiều mailbox.

– Hỗ trợ cập nhật và truy nhập đồng thời tới các mailbox đã chia sẻ.

– Có thể truy nhập dữ liệu không phải là mail: NetNews,

documents,

– Cũng có thể sử dụng lược đồ offline để tối thiểu thời gian kết nối

và không gian đĩa.

– Có cả phần giao thức quản lý cấu hình người sử dụng.

– Xây dựng tối ưu khả năng "online", đặc biệt cho các kết nối tố

c độ

thấp.

AN TOÀN ỨNG DỤNG MÁY CHỦ TÍN

VÀ NỘI DUNG THƯ

AN TOÀN ỨNG DỤNG MÁY CHỦ TÍN

VÀ NỘI DUNG THƯ

• An toàn ứng dụng máy chủ thư tín:

– Cài đặt máy chủ thư tín an toàn

• Trong quá trình cài đặt thiết lập cấu hình cho máy chủ thư nếu

thấy bất kỳ ứng dụng, dịch vụ hay script nào không cần th iết

nên loại bỏ ngay trước khi kết thúc quy trình cài đặt

– Trong quá trình cài đặt máy chủ thư, những bước sau cần

được thực hiện:

• Cài đặt phần mềm máy chủ thư trên máy chủ chuyên dụng ,

• Cài đặt ở mức tối thiểu các dịch vụ Internet cần có.

• Lấp lỗ hổng và nâng cấp hệ thống để chống các hiểm hoạ biết

AN TOÀN ỨNG DỤNG MÁY CHỦ TÍN

VÀ NỘI DUNG THƯ

– Loại bỏ tất cả những tiện ích không rõ nguồn gốc khỏi máy

chủ thư

– Loại bỏ tất cả tiện ích được sử dụng làm ví dụ hoặc các công

cụ đã được sử dụng để test, khỏi máy chủ thư

– Áp dụng các cơ chế an toàn có sẵn đối với một server– Thiết lập lại cấu hình cho các giao thức SMTP, POP, vàIMAP

– Loại bỏ các lệnh không cần thiết hoặc có thể gây nguy hiểm

cho máy chủ thư.

AN TOÀN ỨNG DỤNG MÁY CHỦ TÍN

VÀ NỘI DUNG THƯ

• Cấu hình an toàn ứng dụng máy chủ thư tín

– Máy chủ thư cần thiết lập cấu hình tốt nhất việc quản lý truy

nhập để bảo vệ thông tin được lưu trữ trên máy chủ thư công

khai trong hai mối quan hệ dưới đây:

• Hạn chế sự truy nhập của ứng dụng mail server tới các ng uồn

tài nguyên phụ của máy tính.

• Hạn chế sự truy cập của người sử dụng đến hệ thống thôn

g qua

các quyền bổ sung được hỗ trợ bởi máy chủ thư, nơi mà n hững

mức điều khiển truy nhập được thiết lập chi tiết hơn.

– Việc thiết lập cấu hình quản lý truy nhập có thể ngăn cấm

các thông tin nhạy cảm, riêng tư khỏi những hiểm ho

ạ khi

một máy chủ thư được công khai hoá

AN TOÀN ỨNG DỤNG MÁY CHỦ TÍN

VÀ NỘI DUNG THƯ

• Những đối tượng điển hình trên máy chủ thư c ần

được quản lý truy nhập bao gồm:

– Các tiện ích phần mềm và các tệp cấu hình của phần mềm

mail server

– Các hệ thống file trực tiếp liên quan đến cơ chế bảo mật:

• Các tệp lưu giá trị băm của mật khẩu và các tệp được sử d ụng

AN TOÀN ỨNG DỤNG MÁY CHỦ TÍN

VÀ NỘI DUNG THƯ

– Sử dụng hệ điều hành của máy chủ thư để hạn chế việc truy

nhập đến hệ thống tệp bởi các tiến trình hay các dịch vụ thư

– Sử dụng hệ điều hành trên máy chủ thư để quản lý:

• Những tệp tạm (temporary files) được tạo ra bởi ứng dụng máy

chủ thư bị giới hạn trong các thư mục phụ tương ứng.

• Việc truy nhập đến các tệp tạm được thiết lập bởi ứng dụn g

máy chủ thư cũng bị giới hạn đối các tiến trình khác của m ail

– Mail server không được lưu các tệp ngoài các cấu trúc tệ

p đã

được xác định bởi mail server

– Các thư mục và các tệp (bên ngoài cây thư mục đã được xác

định) không thể bị truy nhập, ngay cả khi người dùng biết

được đường dẫn của chúng

AN TOÀN ỨNG DỤNG MÁY CHỦ TÍN

VÀ NỘI DUNG THƯ

• Thiết lập cấu hình máy chủ thư nhằm hạn chế s ố

lượng nguồn tài nguyên hệ thống mà trong quá trình vận hành có thể gây tổn hại.

– Cài đặt hộp thư của người sử dụng trên các ổ cứng hoặc các

phân vùng logic khác nhau hơn là trên chính hệ điều hành

hay ứng dụng máy chủ thư

– Giới hạn cho phép dung lượng đính kèm

– Bảo đảm các tệp nhật ký sẽ được lưu trữ ở vị trí với dung

lượng phù hợp

AN TOÀN ỨNG DỤNG MÁY CHỦ TÍN

VÀ NỘI DUNG THƯ