Giáo trình an toàn và an ninh thông tin mạng

Các chính sách, các chu n.. Các chính sách an ninh m ng cho m ng Cisco... Nguån th«ng tin N¬i nhËn th«ng tin Luång th«ng tin th«ng th−êng Luång th«ng tin bÞ gi¸n ®o¹n... Luång th«ng tin

An toàn và An ninh

thông tin M ng

Nguy n Linh Giang.

B môn Truy n thông

và M ng máy tính.

I Nh p môn An toàn thông tin m ng

II m b o tính m t

I Các h m t khóa đ i x ng (mã hóa đ i x ng)

II Các h m t khóa công khai ( mã hóa b t đ i x ng )

III Bài toán xác th c

N i dung

Tài li u môn h c:

– W Stallings “Networks and Internetwork security”

– W Stallings “Cryptography and network security”

– Introduction to Cryptography – PGP

– D Stinson – Cryptography: Theory and Practice

Các ch đ ti u lu n

1 Các h m t khóa công khai.

– C s xây d ng h m t khóa công khai

– Các h m t khóa công khai

Các ch đ ti u lu n

8 B o m t h th ng, b o m t m ng Các chính sách, các chu n Phân tích đ i v i Windows và Unix-Linux Các chính sách an ninh m ng cho m ng Cisco.

9 B o v d li u đa ph ng ti n trong quá trình phân ph i qua h th ng m ng m V n

đ b o m t, b o v b n quy n và ki m soát s

B o m t cho web services;

ng nh p 1 l n v i GSS-API; Xác th c Kerberos;

SSL và TLS;

IPSecurity;

Xác th c X509

H t ng khóa công khai PKI PGP và b o m t th tín đi n t S/MIME

Secure electronic transaction Firewall, các ki n trúc;

Proxy;

Các h th ng phát hi n xâm nh p d a trên d u hi u; Các h th ng phát hi n xâm nh p d a trên b t

th ng;

B o m t m ng LAN không dây;

Các d ng t n công vào m ng sensor.

B i c nh b o m t thông tin:

– Tr c khi xu t hi n máy tính: B o v thông tin, tài

li u:

Các c ch b o v ;Khoá kho h s l u tr v n b n

– Khi xu t hi n máy tính - b o v thông tin đi n t :

Sao chép thông tin d dàng

C n thi t có các công c t đ ng đ b o m t các t p, các

d ng thông tin ch a trong máy tính

Nh p môn

Nh p môn

– Khi xu t hi n các h phân tán và s d ng m ng đ truy n d li u và trao đ i thông tin: B o v thông tin truy n trên m ng

đ i gi a

A và B

– E nh n thông đi p, không bi t

là đã b F thay đ i, v n t ng là

do D g i t i và thay đ i danh

g i cho E.

– E nh n đ c thông tin t F, cho r ng thông tin đó do D

g i và c p nh t nh ng thông tin gi m o vào CSDL

m i đ n E

Danh sách gi

m o

– S ph c t p trong bài toán B o m t liên m ng:

có th đánh giá đ c nh ng nhu c u v an toàn c a c quan m t cách hi u qu và có th tính toán và l a ch n nh ng s n ph m và chính sách

an ninh, nhà qu n tr c n có nh ng ph ng pháp

có tính h th ng làm c s đ xác đ nh nh ng yêu

c u an toàn an ninh c ng nh đ c t đ c nh ng cách ti p c n th a mãn nh ng yêu c u đó M t trong nh ng ph ng h ng là kh o sát ba khía

Các d ng t n công

D ch v và c ch an toàn an ninh Các d ng t n công

Ba khía c nh an toàn an ninh thông tin:

– T n công vào an ninh thông tin

M i tác đ ng làm gi m m c đ an toàn an ninh thông tin

– Các d ch v an toàn an ninh thông tin:

Các d ch v làm t ng c ng m c đ an toàn c a h

th ng x lý thông tin và nh ng thông tin đ c truy n đi.Các d ch v có nhi m v

– Ch ng l i nh ng t n công thông tin và

– S d ng m t ho c nhi u c ch an toàn an ninh đ cung

c p d ch v

Các d ng t n công

Các d ch v an toàn an ninh.

– Nh ng v n đ n y sinh khi s d ng d li u đi n t :

nh ng b n g c;

D ch v và c ch an toàn an ninh Các d ng t n công

Danh sách các ch c n ng toàn v n thông tin

Identification Endorsement

Authorization Access ( Egress )

Liscen and/or Certification Validation

Signature Time of Occurrence

Witnessing ( notarization ) Authenticity-software and/or file

Liability Ownership

– Phân lo i các d ch v an toàn an ninh:

B o m t riêng t ( confidentiality ): đ m b o thông tin trong

h th ng máy tính c ng nh thông tin chuy n t i trên m ng ch

đ c truy c p b i nh ng ng i đ c u quy n Các d ng truy

c p bao g m: đ c, in, hi n th

Xác th c ( authentication ): đ m b o v ngu n g c c a thông

đi p ho c v n b n đi n t

Toàn v n thông tin ( integrity ): đ m b o r ng ch có nh ng

ng i đ c u quy n m i có th thay đ i tài nguyên c a h

th ng máy tính và truy n t i thông tin M i thay đ i bao g mghi, xoá , s a, t o m i ho c xem l i các thông đi p

Ch ng ph đ nh ( nonrepudiation ): yêu c u ng i g i

c ng nh ng i nh n thông đi p không th ph đ nh

đ c liên k t

Ki m soát truy c p ( access control ): yêu c u m i s

truy c p t i tài nguyên thông tin đ u đ c ki m soát ch t

c ch ph bi n đ cung c p s an toàn thông tin.

Các d ng t n công

Các d ng t n công vào h th ng

Các d ng t n công vào h th ng máy tính và m ng:

– Gián đo n truy n tin ( interruption ):

Các thông tin quý báu có th b phá hu , không s d ng đ c.

D ng t n công vào tính s n sàng c a thông tin ( availability ).

Ví d : phá hu đ a c ng, c t đ ng dây truy n t i, phá h ng h th ng

qu n lý file.

Nguån th«ng tin N¬i nhËn th«ng tin

Luång th«ng tin th«ng th−êng

Luång th«ng tin bÞ gi¸n ®o¹n

Các d ng t n công vào h th ng

– Ch n gi thông tin ( interception ):

Ng i không đ c u quy n c g ng truy c p

t i thông tin.

D ng t n công vào tính riêng t c a thông tin ( confidentiality ).

Ví d : sao chép trái phép thông tin.

Luång th«ng tin bÞ chÆn gi÷

Cỏc d ng t n cụng vào h th ng

– S a đ i thụng tin ( modification ):

Khụng nh ng truy c p trỏi phộp thụng tin mà cũn s a đ i thụng tin

g c.

D ng t n cụng vào tớnh toàn v n thụng tin.

Vớ d : truy c p trỏi phộp vào h th ng, s a đ i thụng tin, thay đ i n i dung thụng đi p đ c truy n t i

Luồng thông tin bị sửa đổi

– Làm gi thông tin ( fabrication ).

Ng i không đ c u quy n đ a nh ng thông tin

Luång th«ng tin bÞ gi¶ m¹o

Các d ng t n công vào h th ng

Mối đe dọa thụ động

Chặn giữ thông tin mật

Giải phóng nội dung

– Các d ng t n công th đ ng:

Phát hi n n i dung thông đi p ( release of messagecontents )

– Ph ng pháp ch ng: Ng n ch n đ i ph ng thu và tìm hi u

đ c n i dung c a thông tin truy n t i.

Phân tích l u l ng ( traffic analysis )

– M c đích c a bên truy n t i thông tin: che d u n i dung c a tin kh i đ i t ng th ba ⇒ c ch m t mã n i dung đ c s

d ng r ng rãi.

Các d ng t n công vào h th ng

– D ng t n công th đ ng r t khó b phát hi n vì không làm thay đ i d li u.

– V i d ng t n công th đ ng, nh n m nh v n đ

ng n ch n h n là v n đ phát hi n.

Các d ng t n công vào h th ng

nh ng d li u gi , gi danh, phỏt l i, thay

đ i thụng đi p, ph

Mối đe dọa chủ động

Gián đoạn truyền tin( tính sẵn sàng)

Giả mạo thông tin( tính xác thực)Sửa đổi nội dung

Gi danh ( masquerade ): khi đ i ph ng gi m o m t

Thay đ i thông đi p ( modification of message ): m t

– D ng t n công ch đ ng r t khó có th ng n ch n tuy t đ i i u đó yêu c u ph i b o v v t lý m i

đ ng truy n thông t i m i th i đi m.

– M c tiêu an toàn: phát hi n và ph c h i l i thông tin t m i tr ng h p b phá hu và làm tr

Các d ng t n công vào h th ng

B o v các thông đi p đ n l ho c m t s tr ng đ n l c a thông đi p

– Không th c s h u ích;

– Trong nhi u tr ng h p khá ph c t p;

– Yêu c u chi phí l n khi th c hi n.

– m b o tính riêng t : b o v lu ng thông tin trao đ i kh icác thao tác phân tích

Yêu c u: phía t n công không th phát hi n đ c các đ c

đi m c a quá trình truy n tin:

– Ngu n và đích c a thông tin;

– T n su t, đ dài;

– Các thông s khác c a lu ng thông tin

Các d ch v an toàn an ninh

Các thông báo, báo hi u: d ch v xác th c:

– m b o cho bên nh n r ng các thông đi p đ c đ a ra t nh ng ngu n đáng tin c y.

Các d ch v an toàn an ninh

m b o tính xác th c ( Authentication )

– i v i nh ng liên k t tr c tuy n, có hai khía c nh

c n ph i chú ý t i:

T i th i đi m kh i t o k t n i, d ch v xác th c ph i hai

th c th tham gia vào trao đ i thông tin ph i đ c yquy n

D ch v c n kh ng đ nh r ng k t n i không b can thi p

b i m t bên th ba Trong đó bên th ba này có th gi

m o m t trong hai bên đ c y quy n đ có th thamgiâ vào quá trình truy n tin và thu nh n các thông đi p

Các d ch v an toàn an ninh

m b o tính xác th c ( Authentication )

m b o tính toàn v n ( Integrity ).

– m b o tính toàn v n c ng có th áp d ng cho lu ng thông đi p, m t thông đi p ho c m t s tr ng đ c

l a ch n c a thông đi p.

– Ph ng pháp h u ích nh t là tr c ti p b o v lu ng thông đi p.

– D ch v b o đ m tính toàn v n d li u h ng liên

k t:

Tác đ ng lên lu ng thông đi p và đ m b o r ng thông

đi p đ c nh n hoàn toàn gi ng khi đ c g i, không bsao chép, không b s a đ i, thêm b t

– D ch v b o đ m tính toàn v n h ng không liên

D ch v ch ng ph nh n ( nonrepudiation ).

– D ch v ch ng ph nh n ng n ch n ng i nh n và

ng i g i t ch i thông đi p đ c truy n t i.

– Khi thông đi p đ c g i đi, ng i nh n có th kh ng

D ch v ki m soát truy nh p.

– D ch v ki m soát truy nh p cung c p kh n ng

gi i h n và ki m soát các truy nh p t i các máy

ch ho c các ng d ng thông qua đ ng truy n tin.

– đ t đ c s ki m soát này, m i đ i t ng khi truy nh p vào m ng ph i đ c nh n bi t ho c

đ c xác th c, sao cho quy n truy c p s đ c

g n v i t ng cá nhân

Các d ch v an toàn an ninh

D ch v ki m soát truy c p

Mô hình an toàn m ng – Bài toán an toàn an ninh thông tin m ng n y sinh khi:

C n thi t ph i b o v quá trình truy n tin kh i các hành đ ng truy c p trái phép;

m b o tính riêng t và tính toàn v n;

m b o tính xác th c; vv.

Các mô hình an toàn m ng và

h th ng

Th«ng ®iÖp

Th«ng tin mËt

Qu¸ tr×nh truyÒn tin ®−îc

b¶o mËt

Qu¸ tr×nh truyÒn tin ®−îc

b¶o mËt Kªnh truyÒn tin

– T t c các k thu t đ m b o an toàn h th ng truy n tin

đ u có hai thành ph n:

Quá trình truy n t i có b o m t thông tin đ c g i

– Ví d : m t mã thông đi p s làm cho k t n công không th đ c

– Bên th ba đ c y quy n: trong nhi u tr ng

h p, c n thi t cho quá trình truy n tin m t:

Có trách nhi m phân ph i nh ng thông tin m t gi a hai bên truy n tin;

Gi cho các thông tin trao đ i v i các bên đ c bí m t

Các thao tác c b n thi t k m t h th ng an ninh:

– Thi t k các thu t toán đ th c hi n quá trình truy n tin an toàn;

Các thu t toán này ph i đ m b o: t n công không làm m t

kh n ng an toàn c a chúng

– T o ra nh ng thông tin m t s đ c x lý b ng thu t toán trên.

Các mô hình an toàn m ng và

h th ng

– Phát tri n nh ng ph ng pháp đ phân ph i và chia s các thông tin m t.

– t ra giao th c trao đ i:

Cho phép hai bên truy n tin trao đ i thông tin s d ng

nh ng thu t toán an toàn;

Nh ng thông tin m t đ t đ c đ an toàn thích h p

Các mô hình an toàn m ng và

h th ng

Mô hình an toàn an ninh h th ng

– Truy nh p c a các hacker;

– Các l h ng an ninh h th ng;

– Các ti n trình ngo i lai:

Các ti n trình truy c p t i thông tin: làm phá h y, s a

đ i thông tin không đ c phép

Các ti n trình d ch v : phát hiên các l i trong các d ch v

c a h th ng đ ng n ch n vi c s d ng c a nh ng

Các mô hình an toàn m ng và

h th ng

Các mô hình an toàn m ng và

h th ng

C¸c tµi nguyªn cña hÖ thèng: D÷ liÖu; C¸c qu¸ tr×nh ,øng dông; C¸c phÇn mÒm;

§èi ph−¬ng

M« h×nh An ninh truy nhËp hÖ thèng M¹ng

Kªnh truy nhËp

Cæng b¶o vÖ Con ng−êi

PhÇn mÒm

S đ mã hóa đ i x ng

M t mã và thám mã

M t s thu c tính c a mô hình m t mã khóa đ i

x ng:

– Thu t toán mã hóa ph i đ m nh đ không th gi i mã

đ c thông đi p n u ch d a trên duy nh t n i dung c a v n

đ i x ng.

Ngu n thông tin:

– T p h p thông đi p c a ngu n:

Khóa m t mã

– T p h p khoá K = { K1, K2, KL},

– Khóa đ dài l: Ki=[ki1, , kil];

kij ∈ C, C - b ng ký t khóa; thông th ng C = {0, 1}

– Phân ph i khóa gi a các bên trao đ i thông tin:

Phân ph i khóa không t p trung: N u khóa K đ c t o ra t phía ngu n, khóa K c n đ c chuy n cho phía nh n tin thông qua m t kênh bí m t

Phân ph i khóa t p trung: Khóa K do bên th ba đ c y quy n

t o ra và đ c phân ph i cho c hai phía g i và nh n tin.

Phía t n công

– V n đ đ t ra: đ i ph ng nh n đ c thông đi p

Y, nh ng không có đ c khóa K D a vào thông

– Phép đ i ch : các ký t trong thông đi p ban đ u đ c phân

S l ng khóa đ c dùng trong thu t toán.

– N u bên g i và bên nh n cùng dùng chung m t khóa: h

Ph ng th c mà v n b n ban đ u đ c x lý:

– Mã hóa kh i ( block cipher ): v n b n nguyên th y

đ c x lý theo t ng kh i thông tin và t o đ u ratheo t ng kh i thông tin

– Mã hóa dòng ( stream cipher ): thông đi p đ u vào

đ c x lý liên t c

Thám mã

– Quá trình xác đ nh X ho c K ho c c hai t phía th

ba g i là thám mã ( cryptanalyst )

– Chi n l c đ c nhà thám mã s d ng ph thu c vào b n ch t c a s đ mã hoá và nh ng thông tin

Ch bi t v n b n đ c mã hoá ( ciphertext only attack ) D ng

b khóa này là khó nh t Nhà phân tích có th bi t:

– Thu t toán mã hoá.

N u đ i ph ng b t đ c m t s v n b n g c và v n b n mã hóa t ng

ng ( known plaintext attack ) Nhà phân tích bi t:

– Thu t toán mã hoá.

– V n b n m t mã.

– M t ho c m t s c p v n b n g c – v n b n mã hoá đ c xây d ng t m t khoá m t.

– D a vào nh ng thông tin trên, nhà phân tích tìm cách phát hi n khóa m t K.

– Nhà phân tích có th d a vào ngu n g c c a thông đi p và c đoán đ c

m t s thông tin trong v n b n g c T đó d a vào c p thông đi p xác đ nh khóa m t.

Khi nhà phân tích thu đ c h th ng ngu n, anh ta có th

V n b n mã hoá cho tr c ( chosen ciphertext attack ) Nhà phân tích

– Nhà phân tích ph i gi i mã v n b n mã hóa ho c xác đ nh đ c khóa m t.

V n b n tu ch n ( chosen text attack ) Nhà phân tích bi t:

– Thu t toán mã hoá.

– V n b n m t mã.

đ c nhà phân tích l a ch n cùng v i v n b n m t sinh ra b i

Ch có các thu t toán mã hóa y u s b phá

đ i v i lo i t n công ch dùng v n b n m t.

Các thu t toán mã hóa đ c thi t k đ

ch ng d ng t n công v i v n b n g c đã bi t ( known plaintext attack ).

S đ mã hóa đ c coi là an toàn vô đi u ki n (

unconditional secure ): n u v n b n mã m t không ch a

đ thông tin đ xác đinh duy nh t v n b n g c t ng

ng, không ph thu c vào phía đ i ph ng có bao nhiêu

S đ mã m t đ c coi là an toàn theo tính toán (

computational secure ) n u th a mãn hai đi u ki n:

– Giá thành đ b khóa m t v t quá giá tr c a thông tin

– Ví d : thu t toán DES ( Data Encryption Standard ): Khoá nh phân

• dài 32 bit ⇒S l ng khoá: 2 32 ⇒ 35.8 phút x lý v i t c

đ 1 phép mã hoá/μs ⇒ 2.15 ms v i t c đ 10 6 phép mã hoá / μs.

• dài 56 bit ⇒S l ng khoá: 2 56 ⇒ 1142 n m x lý v i t c

đ 1 phép mã hoá/μs ⇒ 10.01 gi v i t c đ 10 6 phép mã hoá / μs.

• dài 128 bit ⇒S l ng khoá: 2 128 ⇒ 5.4 x 10 24 n m x lý

v i t c đ 1 phép mã hoá/μs ⇒ 5.4 x 10 18 n m v i t c đ 10 6

/ μs.

C = E( p ) = ( p + k ) mod ( 26 )Trong đó k nh n các giá tr t 1 đ n 25.

Trong ph ng pháp này, k chính là khoá m t mã

P = K-1C ( mod 26 )

– Ví d : v i m = 3, h các ph ng trình tuy n tính có d ng sau:

22 21

13 12

11 2

1

p p p

k k

k

k k

k

k k

k

C C C

21 18

21

5 17

17 K

6 17

15

15 9

M c đ an toàn c a h mã Hill– Mã m t Hill có tính m t cao khi phía t n công ch có v n b n

m t

– Thám mã h mã Hill: d dàng b b khóa n u bên t n công

bi t đ c v n b n rõ và v n b n m t t ng ng ( known plaintext attack )

H mã m t Hill m x m;

Thám mã đã có m c p v n b n g c – v n b n m t, m i

v n b n có đ dài m;

T o các c p: Pj = ( p 1j , p 2j , , p mj ) và C j = ( C 1j , C 2j , , C mj ) sao cho Cj = KPjv i 1≤ j ≤ m đ i v i m t khoá K ch a

bi t.

Xác đ nh hai ma tr n m x m, X = ( pij) và Y = ( Cij)

– Ta có Y = XK ⇒ K = X -1 Y.

– Ví d : v n b n g c: “friday” đ c mã hoá b ng mã m tHill 2 x 2 thành “PQCFKU”

17 5

5 2

16 15

– ki: bit th i c a khoá;

– Ci: bit th i c a v n b n đ c mã hoá;

– ⊕: phép toán XOR.

th ng kê v i v n b n g c.

Khái ni m an toàn

Lý thuy t h m t c a Shannon

– Ngu n thông tin X = [ X1, X2, , XM ], Xi ∈ A; A –

b ng ký t ( latin, nh phân, ).

– Khoá K = [ K1, K2, KL ], khóa K đ c t o ra.

N u khóa K đ c t o ra t phía ngu n, khóa K c n đ cchuy n cho phía nh n tin thông qua m t kênh bí m t

Khóa K có th đ c t o ra b i bên th ba và đ c phân

ph i cho bên g i và bên nh n

Các ký t c a khoá K n m trong m t b ng ký t : b ng ký

t nh phân { 0, 1 }

Lý thuy t h m t c a Shannon