Mục 1: An ninh cho truy cập từ xa – Remote Access Security Mục 2: An ninh dịch vụ web – Security web traffic Mục 3: An ninh dịch vụ thư điện tử Email Security Mục 4: Application Security Baselines Mạng không dây Mạng riêng ảo VPN RADIUS TACACS PPTP L2TP SSH IPSec
Trang 1NETWORK SECURITY
Phần IV Application Security
Trang 2Đảm bảo an ninh phần ứng dụng
Mục 1: An ninh cho truy cập từ xa – Remote Access Security
Mục 2: An ninh dịch vụ web – Security web traffic
Mục 3: An ninh dịch vụ thư điện tử - Email Security
Mục 4: Application Security Baselines
Trang 3An ninh cho truy cập từ xa – Remote Access Security
Trang 4Mạng không dây (wireless LAN)
Trang 5TỔNG QUAN VỀ MẠNG WIRELESSS
Các loại wireless networks
Có thể phân chia tạm như sau:
Wireless LAN (Wifi)
Wireless MAN (WiMax)
Trang 6Các chuẩn của mạng wireless
IEEE 802.15: Bluetooth, được sử dụng trong mạng Personal Area Network (PAN).
IEEE 802.11: Wifi, được sử dụng cho mạng Local Area Network (LAN).
IEEE 802.16: WiMax ( Worldwide Interoperability for Microwave Access ), được sử dụng cho Metropolitan Area Network (MAN).
IEEE 802.20: được sử dụng cho Wide Area Network (WAN).
Trang 7WLAN
Mạng dựa trên công nghệ 802.11 nên đôi khi còn được gọi là 802.11 network Ethernet Và hiện tại còn được gọi là mạng Wireless Ethernet hoặc Wi-Fi (Wireless Fidelity).
Chuẩn 802.11 được IEEE phát triển và đưa ra vào năm
1997 Gồm có: 802.11, 802.11a, 802.11b, 802.11b+, 802.11g, 802.11h
Trang 8 Cung cấp tốc độ truyền lên tới 54 Mbps, hoạt động ở dải băng tần 5 GHz Sử dụng phương pháp điều chế ghép kênh theo vùng tần số vuông góc Orthogonal Frequency Division Multiplexing ( OFDM ).
Có thể sử dụng đến 8 Access Point đặc điểm này ở dải tần 2.4GHz, chỉ sử dụng được đến 3 Access Point
Trang 9 Cung cấp tốc độ truyền là 11 Mpbs ( 802.11b ) hay 22 Mbps ( 802.11b+), hoạt động ở dải băng tần 2.4 GHz Có thể tương thích với 802.11 và 802.11g Tốc độ có thể ở 1, 2, hay 5,5 Mbps.
Cung cấp tốc độ truyền khoảng 20+Mbps, hoạt động ở dải băng tần 2.4GHz.
Phương thức điều chế: có thể dùng 1 trong 2 phương thức:
OFDM ( giống 802.11a ) : tốc độ truyền có thể lên tới 54 Mbps.
DSSS: tốc độ giới hạn ở 11 Mbps.
Được sử dụng ở châu Âu, hoạt động ở băng tần 5 GHz
Trang 10 Ưu điểm của WLAN so với mạng có dây truyền thống
Mạng Wireless cung cấp tất cả các tính năng của công nghệ mạng LAN như là Ethernet và Token Ring mà không bị giới hạn về kết nối vật lý (giới hạn về cable)
Sự thuận lợi đầu tiên của mạng Wireless đó là tính linh động.
Mạng WLAN sử dụng sóng hồng ngoại (Infrared Light) và sóng Radio (Radio Frequency) để truyền nhận dữ liệu thay vì dùng Twist-Pair và Fiber Optic Cable
Trang 11 Hạn chế của WLAN
Tốc độ mạng Wireless bị phụ thuộc vào băng thông
Bảo mật trên mạng Wireless là mối quan tâm hàng đầu hiện nay
Trang 12Đặc tính kỹ thuật mạng Wireless
Wireless LAN sử dụng sóng điện từ (Radio hoặc sóng Hồng ngoại - Infrared) để trao đổi thông tin giữa các thiết bị mà không cần bất kỳ một kết nối vật lý nào (cable)
Trong cấu hình của mạng WLAN thông thường, một thiết bị phát và nhận (transceiver) được gọi là Access Point (AP) và được kết nối với mạng có dây thông thường thông qua cáp theo chuẩn Ethernet
AP thực hiện chức năng chính đó là nhận thông tin, nhớ lại và gửi dữ liệu giữa mạng WLAN và mạng có dây thông thường
Trang 13Đặc tính kỹ thuật mạng Wireless
Người dùng mạng WLAN truy cập vào mạng thông qua Wireless NIC, thông thường có các chuẩn sau:
PCMCIA - Laptop, Notebook
ISA, PCI, USB – Desktop
Tích hợp sẵn trong các thiết bị cầm tay
Trang 14Đặc tính kỹ thuật mạng Wireless
Công nghệ chính được sử dụng cho mạng Wireless là dựa trên chuẩn IEEE 802.11 Hầu hết các mạng Wireless hiện nay đều sử dụng tầng số 2.4GHz.
IEEE 802.11 standard
Bluetooth
Trang 17Đặc tính kỹ thuật mạng Wireless
Bluetooth là một giao thức đơn giản dùng để kết nối những thiết
bị di động như Mobile Phone, Laptop, Handheld computer, Digital Camera, Printer, v.v
Bluetooth sử dụng chuẩn IEEE 802.15 với tần số 2.4GHz – 2.5GHz
Bluetooth là công nghệ được thiết kế nhằm đáp ứng một cách nhanh chóng việc kết nối các thiết bị di động và cũng là giải pháp tạo mạng WPAN, có thể thực hiện trong môi trường nhiều tầng số khác nhau
Trang 18Kênh trong mạng Wireless
Trang 19Kênh trong mạng Wireless
Trang 20Các mô hình mạng Wireless
Trang 21Các mô hình mạng Wireless
Trang 22Các mô hình mạng Wireless
Trang 23Các mô hình mạng Wireless
Trang 24CÁC KIỂU TẤN CÔNG TRÊN MẠNG WLAN
các cách sau:
Passive Attack (eavesdropping)
Active Attack (kết nối, thăm dò và cấu hình mạng)
Jamming Attack
Man-in-the-middle Attack
Trang 25Tấn công bị động (Passive Attack)
WLAN sniffer có thể được sử
dụng để thu thập thông tin về
mạng không dây ở khoảng cách
xa bằng cách sử dụng anten
định hướng
Phương pháp này cho phép
hacker giữ khoảng cách với
mạng, không để lại dấu vết
trong khi vẫn lắng nghe và thu
thập được những thông tin quý
giá
Trang 26Tấn công chủ động (Active Attack )
Ví dụ: Một hacker có thể
sửa đổi để thêm MAC
address của hacker vào
danh sách cho phép của
MAC filter trên AP hay vô
hiệu hóa tính năng MAC
filter giúp cho việc đột
nhập sau này dễ dàng
hơn
Trang 27Tấn công chèn ép (Jamming)
Để loại bỏ kiểu tấn
công này thì yêu cầu
đầu tiên là phải xác
Trang 28Tấn công bằng cách thu hút (Man in the Middle)
Hacker muốn tấn công theo
kiểu Man-in-the-middle này
trước tiên phải biết được giá
trị SSID là các client đang
sử dụng (giá trị này rất dễ
dàng có được) Sau đó,
hacker phải biết được giá trị
WEP key nếu mạng có sử
dụng WEP
Trang 29TỔNG QUAN BẢO MẬT CHO MẠNG KHÔNG DÂY
Tại sao phải bảo mật mạng không dây?
Trang 30Tại sao phải bảo mật mạng không dây?
Trang 31Các thiết lập bảo mật trong WLAN
Trang 33Mã hóa
Có hai phương pháp mã:
Mã dòng (stream ciphers)
Mã khối ( block ciphers)
Cả hai loại mật mã này hoạt động bằng cách sinh ra một chuỗi khóa ( key stream) từ một giá trị khóa bí mật Chuỗi khóa sau đó sẽ được trộn với dữ liệu (plaintext)
để sinh dữ liệu đã được mã hóa
Hai loại mật mã này khác nhau về kích thước của dữ liệu mà chúng thao tác tại một thời điểm
Trang 34Bảo mật Lan không dây
Một WLAN gồm có 3 phần: Wireless Client, Access
Points và Access Server.
Wireless Client: Điển hình là một chiếc laptop với NIC (Network Interface Card) không dây được cài đặt để cho phép truy cập vào mạng không dây
Access Points (AP): Cung cấp sự bao phủ của sóng vô tuyến trong một vùng nào đó và kết nối đến mạng không dây
Access Server: Điều khiển việc truy cập Một Access Server (như là Enterprise Access Server (EAS) ) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây Enterprise
Trang 35Mã dòng
Mã dòng phương thức mã hóa
theo từng bit, mã dòng phát
sinh chuỗi khóa liên tục dựa
trên giá trị của khóa
Ví dụ: một mã dòng có thể sinh
ra một chuỗi khóa dài 15 byte
để mã hóa một frame và môt
chuỗi khóa khác dài 200 byte
để mã hóa một frame khác
Mật mã dòng là một thuật toán
mã hóa rất hiệu quả, ít tiêu tốn Hoạt động của mã dòng
Trang 36Mã khối
Mã khối sinh ra một chuỗi khóa
duy nhất và có kích thước cố định(64 hoặc 128 bit).
Chuỗi kí tự chưa được mã
hóa( plaintext) sẽ được phân mảnh thành những khối(block)
và mỗi khối sẽ được trộn với chuỗi khóa một cách độc lập.
Nếu như khối plaintext nhỏ hơn
khối chuỗi khóa thì plaintext sẽ được đệm thêm vào để có được kích thước thích hợp
Hoạt động của mã khối
Trang 37WEP – Wired Equivalent Privacy
WEP là một hệ thống mã hóa dùng cho việc bảo mật dữ liệu cho mạng Wireless WEP là một phần của chuẩn 802.11 và dựa trên thuật toán mã hóa RC4, mã hóa dữ liệu 40 bit.
Đặc tính kỹ thuật của WEP
Điều khiển việc truy cập, ngăn chặn sự truy cập của những Client không có khóa phù hợp
Bảo mật nhằm bảo vệ dữ liệu trên mạng bằng mã hóa chúng và chỉ cho những client có khóa WEP đúng giải mã
Trang 38Thuật toán WEP
Thuật toán mã hóa RC4 là
thuật toán mã hóa đối
xứng( thuật toán sử dụng
cùng một khóa cho việc mã
hóa và giải mã).
WEP là thuật toán mã hóa
được sử dụng bởi tiến trình
xác thực khóa chia sẻ để
xác thực người dùng và mã
Trang 39Thuật toán WEP
Chuẩn 802.11 yêu cầu khóa WEP phải được cấu hình
trên cả client và AP khớp với nhau thì chúng mới có thể truyền thông được.
Mã hóa WEP chỉ được sử dụng cho các frame dữ liệu trong suốt tiến trình xác thực khóa chia sẻ WEP mã hóa những trường sau đây trong frame dữ liệu:
Trang 40Intergrity Algorithm
Message
Ciphertext
Key Sequence Seed
IV
SƠ ĐỒ QUÁ TRÌNH MÃ HÓA SỬ DỤNG WEP
Trang 41SƠ ĐỒ QUÁ TRÌNH GIÃI MÃ WEP
Trang 42WPA - Wi-fi Protected Access
WPA được thiết kế nhằm thay thế cho WEP vì có tính bảo mật cao hơn Temporal Key Intergrity Protocol (**IP), còn được gọi là WPA key hashing là một sự cải tiến dựa trên WEP, nó tự động thay đổi khóa, điều này gây khó khăn rất nhiều cho các Attacker dò thấy khóa của mạng.
Mặt khác WPA cũng cải tiến cả phương thức chứng thực
và mã hóa WPA bảo mật mạnh hơn WEP rất nhiều Vì WPA sử dụng hệ thống kiểm tra và bảo đảm tính toàn vẹn của dữ liệu tốt hơn WEP
Trang 43WPA2 – Wi-fi Protected Access 2
WPA2 là một chuẩn ra đời sau đó và được kiểm định lần đầu tiên vào ngày 1/9/2004 WPA2 được National Institute
of Standards and Technology (NIST) khuyến cáo sử dụng, WPA2 sử dụng thuật toán mã hóa Advance Encryption Standar (AES).
WPA2 cũng có cấp độ bảo mật rất cao tương tự như chuẩn WPA, nhằm bảo vệ cho người dùng và người quản trị đối với tài khoản và dữ liệu.
Trên thực tế WPA2 cung cấp hệ thống mã hóa mạnh hơn
so với WPA, WPA2 sử dụng rất nhiều thuật toán để mã hóa
dữ liệu như **IP, RC4, AES và một vài thuật toán khác Những hệ thống sử dụng WPA2 đều tương thích với WPA.
Trang 44Những giải pháp dựa trên EAS
Kiến trúc tổng thể sử dụng EAS trong “Gateway
Mode” hay “Controller Mode”
Trong Gateway Mode EAS được đặt ở giữa mạng AP
và phần còn lại của mạng Enterprise Vì vậy EAS điều khiển tất cả các luồng lưu lượng giữa các mạng không dây và có dây và thực hiện như một tường lửa
Trang 46Những giải pháp dựa trên AES
Trong Controll Mode, EAS quản lý các AP và điều khiển
việc truy cập đến mạng không dây, nhưng nó không liên quan đến việc truyền tải dữ liệu người dùng
Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây với firewall thông thường hay tích hợp hoàn toàn trong mạng dây Enterprise
Trang 48Mạng riêng ảo (VPN)
Là phương thức đảm bảo an ninh truy cập từ xa
Dựa trên các phương thức mã hóa và cơ chế chứng thực
Cung cấp cơ chế “tunnel” cho phép truyền thông tin từ hệ
Trang 49Mạng riêng ảo (VPN)
Trang 50Mạng riêng ảo (VPN)
Các công nghệ sử dụng:
Point-to-Point Tunneling Protocol (PPTP)
Layer 2 Tunneling Protocol (L2TP)
IPSec
Public Key Infrastructure (PKI)
Phần mềm Remote Control
Trang 52An ninh cho VPN
Sử dụng giao thức an ninh mới nhất (L2TP, IPSec)
Sử dụng thay thế cho các dịch vụ truy cập từ xa (Terminal Services, PC Anywhere, VNC)
Thường xuyên cập nhật các bản vá lỗi cho phần mềm và cho hệ điều hành
Lập kế hoạch triển khai thật cẩn thận
Trang 53 Romote Access Dial-In User Service
Được các ISP sử dụng trong việc chứng thực trong dịch vụ Dial-in
Trang 56 Terminal Access controller
Access Control System.
Giao thức chứng thực của UNIX
Quản lý tập chung việc chứng
thực người dùng
Trang 58 Point-to-Point Tunnelling Protocol (PPTP)
Hoạt động trên mô hình Client/Server
Trang 63 4 Bước khởi tạo một giao dịch của SSH
Trang 64 Tính chất
Sử dụng mã hóa công khai trong việc chứng thực và mã hóa
Cung cấp các tính năng copy file và FTP
Được phát triển bởi một số nhà sản xuất và có mã nguồn
mở (Open SSH)
Giao tiếp giữa Client và Server thông qua tunnel
Các dịch vụ (mail, web ) có thể sử dụng để trao đổi thông tin thông qua tunnel.
Trang 65 Một số vấn đề
Sử dụng cơ chế “chìa khóa” để chứng thực
Những phiên bản đầu tiên có nhiều lỗi
Hiện nay các lỗi security vẫn được tìm thấy
Giao diện dạng CLI vẫn là trở ngại cho người quản trị
Trang 66IPSec
Trang 67IPSec là gì?
IPSec (Internet Protocol Security)
Nó có quan hệ tới một số bộ giao thức (AH, ESP, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF).
Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của
mô hình OSI.
Trang 68 với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích
IPSec trong suốt với người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng
Trang 69IPSec Security Associations (SA)
Security Associations (SAs) là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec.
Các giao thức xác thực, các khóa, và các thuật toán
Phương thức và các khóa cho các thuật toán xác thực được dùng bởi các giao thức Authentication Header (AH) hay Encapsulation Security Payload (ESP) của bộ IPSec.
Thuật toán mã hóa và giải mã và các khóa.
Thông tin liên quan khóa, như khoảng thời gian thay đổi hay khoảng thời gian làm tươi của các khóa.
Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ nguồn
SA và khoảng thời gian làm tươi.
Cách dùng và kích thước của bất kỳ sự đồng bộ mã hóa dùng,
Trang 70IPSec Security Associations (SA)
IPSec SA gồm có 3 trường:
SPI (Security Parameter Index) Đây là một trường 32 bit dùng nhận
dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol SPI thường được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA.
Destination IP address Đây là địa chỉ IP của nút đích Mặc dù nó có
thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast.
Trang 71IPSec Security Protocols
Bộ IPSec đưa ra 3 khả năng chính bao gồm :
Tính xác thực và Tính toàn vẹn dữ liệu (Authentication and data integrity) IPSec cung cấp một cơ chế xác nhận tính chất
xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi nội dung gói dữ liệu bởi người nhận Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ.
Sự bí mật (Confidentiality) Các giao thức IPSec mã hóa dữ
liệu bằng cách sử dụng kỹ thuật mã hóa giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén
Trang 72IPSec Security Protocols
Quản lý khóa (Key management) IPSec dùng một giao thức thứ ba,
Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu.
Hai tính năng đầu tiên của bộ IPSec, xác thực và toàn vẹn, và bí mật,
được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security Payload (ESP).
Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được
bộ IPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh Giao thức này là IKE.
