Bài Giảng An Toàn Mạng Máy Tính

An toàn mạng máy tính4.1 - An toàn mạng và các yêu cầu 4.2 - Mã hoá cryptography 4.3 - Chứng thực authentication 4.4 - Tính liêm chính và nguyên vẹn integrity 4.5 - Key Distribution and

Trang 1

Chương 3:

AN TOÀN MẠNG MÁY TÍNH

Giáo viên: ThS Tạ Minh Thanh E-mail: taminhjp@gmail.com

Trang 2

An ninh truyền tin người-người

??????

-Ăn trộm -Sửa đổi -Huỷ bỏ -…

-Kẻ trộm không hiểu được nội dung

-Thông điệp không bị sửa đổi

-Gửi đúng địa chỉ

-…

Trang 3

An toàn mạng máy tính

4.1 - An toàn mạng và các yêu cầu

4.2 - Mã hoá (cryptography)

4.3 - Chứng thực (authentication)

4.4 - Tính liêm chính và nguyên vẹn (integrity)

4.5 - Key Distribution and Certification

4.6 - Kiểm soát truy cập (access control): firewalls 4.7 - Tấn công mạng (network attacks)

4.8 - An ninh tại các tầng mạng

Trang 4

Truyền tin an toàn trong mạng máy tính

• Alice, Bob, Trudy: các máy tính cụ thể, các dịch vụ cụ thể (web, m ail, DNS, bank…).

• Bob, Alice muốn “trò chuyện” bí mật; nạn nhân (victim) của Trudy

• Trudy (kẻ trộm) muốn và có thể nghe thấy, lưu lại, huỷ bỏ, sửa đ

ổi thông điệp, gửi thông điệp giả mạo.

Trang 5

Các yêu cầu về an toàn truyền tin

• Bí mật (confidentiality): msg truyền đi chỉ có sender (snd

r) và receiver (rcvr) hiểu được.

– sndr mã hoá msg

– rcvr giải mã msg

• Chứng thực (authentication): đảm bảo sndr và rcvr đan

g trao đổi thông tin với đúng đối tượng (không bị giả mạo).

• Tính liêm chính và nguyên vẹn (integrity): msg nhận đ

ược không bị sửa đổi và nếu bị sửa đổi phải phát hiện đư

ợc; msg phải đảm bảo đến từ đúng sndr.

• Kiểm soát truy cập (access control):

– kiểm soát được sự truy nhập dịch vụ (firewalls).

– dịch vụ luôn sẵn sàng với người dùng hợp lệ.

Trang 6

Mã hoá (cryptography)

• Mã hoá (encryption): chuyển msg thành dạng khác mà chỉ có sndr và rcvr hiểu được bằng cách giải mã (decryption).

• Khoá (key): thông tin sử dụng để mã hoá hay giải mã

– Khoá đối xứng (symmetric); khoá chia sẻ (shared): cả sndr và rcvr cùng biết – Khoá công khai (public): khoá dùng để mã hoá được công khai.

Trang 7

Mã hoá đối xứng (SKC - Symmetric Key Cryptography)

• Mã Caesar: thay thế các ký tự của msg bởi ký tự đứng s

au nó k vị trí.

– Vd: k=1 thì ab, bc,…,za.

• Phương pháp thế (substitution):

– thay thế ký tự theo bảng thay thế.

– mã Caecar là trường hợp đặc biệt.

Trang 8

SKC: DES

• DES: Data Encryption Standard

• Đưa ra bởi NIST (National Institute of Standard and Technology, US).

• Khoá (key) là một số nhị phân 56-bit; dữ liệu (data) là số nhị phân 64-bit.

• Mức độ an toàn của DES:

– RSA Inc 1997, msg = “Strong cryptography makes the world a safer place”

, khoá 56-bit giải mã bằng brute-force: 4 tháng.

• Tăng độ an toàn của DES:

– cipher-block chaining: đầu ra của bộ 64-bit thứ j XOR với 64-bit vào kế tiếp.

– mã hoá nhiều lần liên tiếp (3 lần  triple-DES: 3DES).

– Advanced Encryption Standard (AES):

• NIST cải tiến DES, 2001; Khoá: 128, 256, 512-bit;

• brute-force: 149 nghìn tỷ (trillion) năm đối với 1 giây để giải mã DES 56-bit key.

Trang 9

Basic DES operation

Trang 10

Public Key Cryptography (PKC)

• Sử dụng khoá đối xứng (SKC):

– khoá mã và khoá giải mã giống nhau (khoá bí mật).

– sndr và rcvr cần phải thoả thuận trước khoá bí mật.

– nếu khoá dùng chung được gửi qua mạng thì cũng có kh

ả năng bị “ăn cắp”.

• Mã hoá sử dụng khoá công khai:

– mỗi bên (sndr, rcvr) sử dụng một cặp khoá (khoá mã và k hoá giải mã).

– khoá mã được công khai (PK - public key).

– khoá giải mã là bí mật (SK - secret key; sndr không cần b iết khoá này của rcvr).

Trang 11

PKC (cont)

• KB- : khoá bí mật (khoá giải mã) của Bob

Trang 12

PKC (cont)

• Yêu cầu đối với PKC:

– Cần có hai “hàm” K B+ ( ) và K B- ( ) sao cho:

– “Không thể” tìm ra K B- khi biết K B+

• Ví dụ:

– RSA (Rivest, Shamir, Adelson) algorithm

– Khoá công khai và khoá bí mật là các cặp số nguyên.

m = KB- (KB+ ( m))

Trang 13

RSA: Chọn khoá thế nào?

• Chọn hai số nguyên tố lớn p, q (vd: 1024-bits);

Trang 14

RSA: Encryption, decryption

Trang 15

RSA example Bob chooses p=5, q=7 Then n=35, z=24

e=5 (so e, z relatively prime).

d=29 (so ed-1 exactly divisible by z)

Trang 16

Thứ tự sử dụng khoá công khai và bí mật không

ảnh hưởng tới kết quả mã hoá/giải mã

Trang 17

4.1 - An toàn mạng và các yêu cầu

4.3 - Chứng thực (authentication)

Trang 18

Chứng thực

• Mục đích của chứng thực là đảm bảo chắc chắn đối phư

ơng không bị giả mạo.

• Authentication Protocol – ap (textbook #1).

• ap1.0: Alice say “I’m Alice”

Failed

Bob không “nhìn thấy” Alice trong

Trang 19

Authentication: ap2.0

• Alice says “I am Alice” và gửi kèm địa chỉ của mình để chứng minh: g

ói tin của Alice có chứa IP của Alice (src addr).

• Trudy có thể tạo các gói tin giả mạo có chứa src addr là IP của Alice

Trang 20

• Alice gửi kèm password để chứng minh.

• Trudy có khả năng “nghe” được password của Alice.

– Trudy ghi lại password rồi dùng nó để gửi cho Bob khi bị hỏi password (record and playback).

Failed

Trang 21

• Alice gửi kèm password đã được mã hoá (encrypted passwor d) để chứng minh.

• Trudy có khả năng “nghe” được password đã mã hoá của Alic

e, nhưng không biết password là gì !!!

• Tuy nhiên, Trudy chẳng cần biết password của Alice làm gì, ch

Trang 22

• Nonce: số ngẫu nhiên được Bob sử dụn

g để “chứng thực” Alice.

• Mỗi lần cần chứng thực, Bob tạo ra một

nonce rồi gửi cho Alice, yêu cầu Alice

mã hoá (sử dụng khoá bí mật chung K

A-B) rồi gửi lại.

• Bob kiểm tra xem Alice mã hoá có đúng

không? để chứng thực.

• Trudy có thể ghi lại nhưng không thể d

ùng lại do nonce là khác nhau với mỗi l

ần chứng thực.

• Nhược điểm: khoá bí mật; liệu có thể s

Trang 23

• Sử dụng nounce và mã hoá công khai.

Trang 24

ap5.0: lỗ hổng (security hole)

• Trudy giả mạo Alice.

Trang 25

Lỗ hổng ap5.0:

man-in-the-middle attack

• Trudy đứng ở giữ

a, giả mạo Bob với

Alice và giả mạo Al

ice với Bob.

Trang 26

4.4 - Tính liêm chính và nguyên vẹn (integrity)

Trang 27

• Để đảm bảo dữ liệu được nguyên vẹn, có thể sử dụng các phương pháp kiểm soát lỗi (checksum, CRC…).

• Để kiểm tra được dữ liệu nhận được đến từ một

sndr cụ thể nào đó, sử dụng chữ ký điện tử (ch

ữ ký số - digital signature).

• Chữ ký thông thường: giống nhau với mọi msg.

• Chữ ký điện tử: phải khác nhau với các msg khá

c nhau.

Trang 28

Simple digital signature

• Bob sử dụng K B- để mã hoá msg m  K B- (m).

• Alice nhận được K B- (m), kiểm tra K B+ (K B- (m)) =

Trang 29

Tóm tắt msg: Message Digests

• Nếu msg lớn, việc tính toán chữ ký điện tử tiêu t

ốn nhiều thời gian  cần tóm tắt msg.

• Sử dụng hash function để tóm lược một msg bất

kỳ  msg có kích thước cố định: msg digests.

Trang 30

Sender: Bob sends digitally signed message

Trang 31

Receiver: Alice verifies signature and i

ntegrity of digitally signed message

Trang 32

Hash Function Algorithms : Intern

et checksum

problem (poor has crypto f unction): msg khác nhau n hưng checksum giống nha u.

Trang 33

Hash Function Algorithms (cont)

– US standard [ NIST, FIPS PUB 180-1]

– 160-bit message digest

Trang 34

4.5 - Key Distribution and Certification

Trang 35

Key Distribution and Certification

• Mã công khai:

– Khi Bob nhận khoá công kh

ai của Alice Làm thế nào b iết được đó chính xác là kh

oá công khai của Alice mà không phải là của Trudy?

Trang 37

– Lấy certificate của Alice

– Sử dụng CA’s public key để giải mã  Alice p ublic key.

Trang 38

4.6 - Kiểm soát truy cập (access control): firew

alls

4.7 - Tấn công mạng (network attacks)

Trang 39

• Firewall: “Cửa” ra/vào giữa mạng nội bộ và mạng Interne

t, làm nhiệm ngăn cấm các luồng dữ liệu “bất hợp pháp”

Trang 41

Packet filtering example

• Example 1: block incoming and outgoing datagra

ms with IP protocol field = 17 and with either sou rce or dest port = 23.

– All incoming and outgoing UDP flows and teln

et connections are blocked.

• Example 2: Block inbound TCP segments with A CK=0.

– Prevents external clients from making TCP co nnections with internal clients, but allows inter nal clients to connect to outside.

Trang 42

Application gateway

• Nhược điểm của packet filtering

– không lọc được dữ liệu tầng ứng dụng

– không thiết lập được đặc quyền cho một vài người sử dụng trong một số trường hợp (lọc mọi gói tin).

• Application gateway:

– Lọc các luồng dữ liệu của các ứng dụng

– lọc các luồng IP/UDP/TCP

• Một số firewalls:

– Windows XP Personal firewall

– Microsoft ISA server (đa chức năng)

Trang 43

4.6 - Kiểm soát truy cập (access control): firewalls

4.7 - Tấn công mạng (network attacks)

Trang 44

Internet security threats: mapping

• Mapping: trước khi tấn công:

– phải xác định địa chỉ IP của victim (ping …)

– dò tìm các dịch vụ đang chạy (port scanning): thử thiế

t lập liên kết TCP hoặc gửi các segment UDP rồi “ngh

e ngóng” xem có chuyện gì xảy ra!

– nmap (http://www.insecure.org/nmap/) mapper: “netw ork exploration and security auditing”

Để phát hiện mapping, quản trị mạng có thể ghi

lại các luồng ra/vào, thống kê và tìm ra các dấu

Trang 45

Internet security threats: packet sniffing

• Packet sniffing (nghe trộm/bắt gói tin)

– broadcast media: mọi nút mạng đều cảm được gói tin

Trang 46

Internet security threats: IP spoofing

• IP spoofing (giả mạo gói tin):

– tạo các gói tin giả (thay đổi src addr) rồi gửi đi

– rcvr không phát hiện được liệu gói tin có bị giả mạo không?

Giải pháp: cấu hình router để nó không forward các g

ói tin có src addr sai lệch (không khả thi với mọi route

r, đôi khi, kẻ phá hoại lại là quản trị mạng)

src:B dest:A payload

Trang 47

Internet security threats: DoS

• DoS (Denial of Service): tấn công “từ chối dịch vụ”:

– hàng loạt các requests (flood) được gửi tới server

– server không thể xử lý hết  quá tải, dịch vụ ngừng…

– DDoS (Distributed DoS): các gói tin request được gửi từ các m

áy khác nhau trong mạng (bị điều khiển bởi attacker machine).

Giải pháp: lọc các gói tin flood (SYN packet); tìm src IP r

ồi lọc các gói tin

Trang 48

Something about Computer Viruses

• Virus/Worm/Trojan/Backdoor…: các chương trình

có hại cho người dùng, có lợi cho “người khác”.

• Virus mạng:

– Lan truyền qua mạng (Vd: Blaster).

– Cho phép điều khiển máy tính của nạn nhân.

NET

Chương trình

ra lệnh phản hồi

Trang 49

4.8 - An ninh tại các tầng mạng

Trang 50

Các giao thức an toàn tại các tầng

• Network layer security:

– IPsec (IP secure): AH (mã hoá IP header) & ESP (mã hoá I

P payload).

• Wireless security:

– Wired Equivalent Privacy (WEP).

Trang 51

Q & A

Định dạng
Số trang	51
Dung lượng	796,5 KB