1. Trang chủ
  2. » Công Nghệ Thông Tin

Bài giảng Bảo mật thông tin - Bài 7: Bảo mật mạng nội bộ, an toàn IP

37 117 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 37
Dung lượng 2,2 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Nội dung của bài giảng trình bày về bảo mật mạng cục bộ - Kerberos, mô hình hệ thống khóa máy chủ tin cậy, các thành phần của Kerberos, mô hình chứng thực và trao đổi khóa phiên Kerberos, hoạt động của Kerberos, nhược điểm của Kerberos và các ứng dụng của IPSec.

Trang 1

Trình bày:Ths Lương Trần Hy Hiến

Trang 2

1. Bảo mật mạng cục bộ - Kerberos

2. An toàn IP - IPSec

2

Trang 3

 Đây là mô hình Hệ thống khóa máy chủ tin cậy của MIT để cung cấp xác thực có bên thứ ba

dùng khóa riêng và tập trung

 Cho phép người sử dụng truy cập vào các dịch

Trang 4

 v1-3 are no longer used (and badly broken)

 v4 is still common (and broken)

 v5 is most commonly used

 We start with v4, then we take v5

4

Trang 5

 Authentication Service (AS) – máy chủ dịch vụ

Trang 7

Quá trình hoạt động của giao thức (AS = Máy chủ xác thực, TGS

= Máy chủ cấp thẻ, C = Máy trạm, S = Dịch vụ):

1 Người dùng nhập vào tên truy cập và mật khẩu ở phía máy trạm.

2 Máy trạm thực hiện thuật toán băm một chiều trên mật khẩu được nhập vào và nó trở thành khoá bí mật của máy trạm.

3 Máy trạm gởi một thông điệp dưới dạng bản rõ đến AS để yêu cầu dịch vụ Không có khoá bí mật cũng như mật khẩu nào được gởi đến AS.

4 AS kiểm tra xem có tồn tại người dùng C trong cở sở dữ liệu của nó hay không Nếu có, nó gởi ngược lại cho máy trạm 2 thông điệp:

 Thông điệp A: chứa khoá phiên Máy trạm/TGS được mã hóa bởi khoá bí mật của người dùng.

 Thông điệp B: chứa Thẻ (bao gồm ID của máy trạm, địa chỉ mạng của máy trạm, kỳ hạn thẻ có giá trị và một khoá phiên máy trạm/TGS) được

Trang 8

5 Khi máy trạm nhận được thông điệp A và B, nó giải mã thông điệp A

để lấy khoá phiên máy trạm/TGS Khoá phiên này được sử dụng cho quá trình giao đổi tiếp theo với TGS Ở đây máy trạm không thể giải mã thông điệp B bởi vì nó được mã hóa bởi khoá bí mật của TGS.

6 Khi yêu cầu dịch vụ (S), máy trạm gởi 2 thông điệp sau đến TGS:

 Thông điệp C: Gồm thông điệp B và ID của dịch vụ được yêu cầu

 Thông điệp D: chứa Authenticator (gồm ID máy trạm và nhãn thời gian

-timestamp) được mã hóa bởi khoá phiên Máy trạm/TGS.

7 Khi nhận được thông điệp C và D, TGS giải mã thông điệp D sử

dụng khoá phiên máy trạm/TGS và gởi 2 thông điệp ngược lại cho máy trạm:

 Thông điệp E: chứa thẻ (máy trạm đến máy chủ) (bao gồm ID máy trạm, địa chỉ mạng của máy trạm, kỳ hạn thẻ có giá trị và một khoá phiên máy

trạm/dịch vụ) được mã hóa bởi khoá bí mật của dịch vụ.

 hông điệp F: chứa khoá phiên của máy trạm/máy chủ được mã hóa bởi

khoá phiên máy trạm/TGS.

8

Trang 9

8 Khi nhận được thông điệp E và F, máy trạm sau đó gởi một Authenticator mới và một thẻ (máy trạm đến

máy chủ) đến máy chủ chứa dịch vụ được yêu cầu

 Thông điệp G: chứa thẻ (máy trạm đến máy chủ) được mã hóa

sử dụng khoá bí mật của máy chủ.

 Thông điệp H: một Authenticator mới chứa ID máy trạm,

Timestamp và được mã hóa sử dụng khoá phiên máy

trạm/máy chủ.

Trang 10

9 Sau đó, máy chủ giải mã thẻ sử dụng khoá bí mật

của chính nó, và gởi một thông điệp cho máy trạm để xác nhận tính hợp lệ thực sự của máy trạm và sự sẵn sàng cung cấp dịch vụ cho máy trạm

 Thông điệp I: chứa giá trị Timestamp trong Authenticator được gởi bởi máy trạm sẽ được cộng thêm 1, được mã hóa bởi

khoá phiên máy trạm/máy chủ.

10

Trang 11

10 Máy trạm sẽ giải mã sự xác nhận này sử dụng khóa chia sẽ giữa nó với máy chủ, và kiểm tra xem giá trị timestamp có được cập nhật đúng hay không Nếu đúng, máy trạm có thể tin tưởng máy chủ và bắt đầu đưa ra các yêu cầu dịch vụ gởi đến máy chủ.

11 Máy chủ cung cấp dịch vụ được yêu cầu đến máy trạm.

Trang 12

 Nếu máy chủ trung tâm ngừng hoạt động thì

mọi hoạt động sẽ ngừng lại Khắc phục: sử

dụng nhiều máy chủ Kerberos

 Giao thức đòi hỏi đồng hồ của tất cả những máy tính liên quan phải được đồng bộ Nếu không

đảm bảo điều này, cơ chế nhận thực giữa trên

thời hạn sử dụng sẽ không hoạt động Thiết lập mặc định đòi hỏi các đồng hồ không được sai

lệch quá 10 phút

 Cơ chế thay đổi mật khẩu không được tiêu

chuẩn hóa

12

Trang 13

 Thực hiện mã hóa và xác thực ở lớp mạng

 Cung cấp một giải pháp an toàn dữ liệu đầu cuối

cũng như liên kết mạng.

 4 chức năng quan trọng sau:

Bảo mật (mã hóa) – Confidentiality : Bên gửi có thể mã

hóa dữ liệu trước khi truyền chúng qua mạng.

Toàn vẹn dữ liệu - Data integrity: Bên nhận có thể xác minh

các dữ liệu được truyền qua mạng Internet mà không bị

thay đổi.

Xác thực - Authentication: Xác thực đảm bảo kết nối được

thực hiện và các đúng đối tượng Người nhận có thể xác

thực nguồn gốc của gói tin, bảo đảm, xác thực nguồn gốc của thông tin.

Antireplay protection: xác nhận mỗi gói tin là duy nhất và

không trùng lặp.

Trang 14

CISSP Certification All in One Exam Guide pg 610

Trang 15

 Xây dựng mạng riêng ảo an toàn trên Internet

 Tiết kiệm chi phí thiết lập và quản lý mạng riêng

 Truy nhập từ xa an toàn thông qua Internet

 Tiết kiệm chi phí đi lại

 Giao tiếp an toàn với các đối tác

 Đảm bảo xác thực, bảo mật và cung cấp cơ chế trao đổi khóa

 Tăng cường an ninh thương mại điện tử

 Hỗ trợ thêm cho các giao thức an ninh có sẵn của các ứng dụng Web và thương mại điện tử

Trang 17

 Tại tường lửa hoặc bộ định tuyến, IPSec đảm bảo an ninh cho mọi luồng thông tin vượt biên

 Tại tường lửa, IPSec ngăn chặn thâm nhập trái phép từ Internet vào

 IPSec nằm dưới tầng giao vận, do vậy trong

suốt với các ứng dụng

 IPSec có thể trong suốt với người dùng cuối

 IPSec có thể áp dụng cho người dùng đơn lẻ

 IPSec bảo vệ an ninh kiến trúc định tuyến

Trang 18

IPSEC áp dụng các công cụ mã hóa như sau:

Mã hoá đối xứng: DES hoặc 3 DES.

Xác thực toàn vẹn dữ liệu: các hàm băm

HMAC (Hash – ased Message Authentication Code) hoặc MD5 hoặc SHA-1

Chứng thực đối tác (peer Authentication):

Rivest, Shamir, and Adelman (RSA) Digital

Signatures, RSA Encrypted Nonces

Quản lý khóa: DH (Diffie- Hellman), CA

(Certificate Authority)

18

Trang 19

 Đặc tả IPSec khá phức tạp

 Định nghĩa trong nhiều tài liệu

 Bao gồm RFC 2401 (tổng quan kiến trúc), RFC 2402 (mô tả mở rộng xác thực), RFC 2406 (mô tả mở rộng

mã hóa), RFC 2408 (đặc tả khả năng trao đổi khóa)

 Các tài liệu khác được chia thành 7 nhóm

 Việc hỗ trợ IPSec là bắt buộc đối với IPv6, tùy chọn đối với IPv4

 IPSec được cài đặt như các phần đầu mở rộng sau phần đầu IP

 Phần đầu mở rộng cho xác thực là AH

 Phần đầu mở rộng cho mã hóa là ESP

Trang 21

 Bao gồm

 Điều khiển truy nhập

 Toàn vẹn phi kết nối

 Xác thực nguồn gốc dữ liệu

 Từ chối các gói tin lặp

▪ Một hình thức của toàn vẹn thứ tự bộ phận

 Bảo mật (mã hóa)

 Bảo mật luồng tin hữu hạn

 Sử dụng một trong hai giao thức

 Giao thức xác thực (ứng với AH)

 Giao thức xác thực/mã hóa (ứng với ESP)

Trang 22

 Bộ thỏa thuận an ninh (SA)

 Là quan hệ một chiều giữa bên gửi và bên nhận, cho biết các dịch vụ an ninh đối với luồng tin lưu chuyển

 Mỗi SA được xác định duy nhất bởi 3 tham số

 Chỉ mục các tham số an ninh (SPI)

 Địa chỉ IP đích

 Định danh giao thức an ninh

 Các tham số khác lưu trong CSDL SA (SAD)

 Số thứ tự, các thông tin AH và ESP, thời hạn,

 CSDL chính sách an ninh (SPD) cho phép điều chỉnh mức độ áp dụng IPSec

Trang 23

 Đảm bảo toàn vẹn và xác thực các gói IP

 Cho phép một hệ thống đầu cuối hay một thiết bị mạng xác thực người dùng hoặc ứng dụng

 Tránh giả mạo địa chỉ nhờ xem xét số thứ tự

 Chống lại hình thức tấn công lặp lại

 Sử dụng mã xác thực thông báo

 Bên gửi và bên nhận phải có một khóa bí mật dùng chung

Trang 25

Next Header: độ dài 8 bít để xác định kiểu dữ liệu của

phần Payload phía sau AH Giá trị của trường này được chọn từ các giá trị của IP Protocol number được định

nghĩa bởi IANA (Internet Assigned Numbers Authority).

Payload Length: Trường này chỉ định độ dài của thông điệp gắn sau tiêu đề AH.

Reserved: Trường 16 bit dự trữ để sử dụng cho tương lai, và có giá trị bằng 0.

SPI: Là một số 32 bit bất kì, cùng với địa chỉ IP đích và giao thức an ninh mạng cho phép nhận dạng một thiết

lập an toàn duy nhất cho gói dữ liệu SPI thường được lựa chọn bởi phía thu.

Trang 26

Sequence Number (SN): gồm 32 bit không dấu đếm tăng dần để

sử dụng cho việc chống trùng lặp Chống trùng lặp là một lựa chọn nhưng trường này là bắt buộc đối với phía phát Bộ đếm của phía phát và thu khởi tạo 0 khi một liên kết an toàn (SA) được thiết lập, giá trị SN mỗi gói trong một SA phải hoàn toàn khác nhau để tránh trùng lặp Nếu số gói vượt quá con số 232 thì một SA khác phải

được thiết lập.

Authentication Data: Trường có độ dài biến đổi chứa một giá trị

kiểm tra tính toàn vẹn (ICV) cho gói tin, ICV được tính bằng thuật

toán đã được chọn khi thiết lập SA Độ dài của trường này là số

nguyên lần của 32 bit, chứa một phần dữ liệu đệm để đảm bảo độ dài của AH là n*32 bit Giao thức AH sử dụng một hàm băm và băm toàn bộ gói tin trừ trường Authentication Data để tính ICV.

26

Trang 28

 Đảm bảo bảo mật nội dung và bảo mật luồng tin hữu hạn

 Có thể cung cấp các dịch vụ xác thực giống như với AH

 Cho phép sử dụng nhiều giải thuật mã hóa,

phương thức mã hóa, và cách độn khác nhau

 DES, 3DES, RC5, IDEA, CAST,

 CBC,

 Độn cho tròn kích thước khối, kích thước trường, che dấu lưu lượng luồng tin

Trang 30

 Chế độ giao vận ESP dùng để mã hóa và có thể

có thêm chức năng xác thực dữ liệu IP

 Chỉ mã hóa dữ liệu không mã hóa phần đầu

 Dễ bị phân tích lưu lượng nhưng hiệu quả

 Áp dụng cho truyền tải giữa hai điểm cuối

 Chế độ đường hầm mã hóa toàn bộ gói tin IP

 Phải bổ xung phần đầu mới cho mỗi bước chuyển

 Áp dụng cho các mạng riêng ảo, truyền tải thông qua cầu nối

Trang 31

 Mỗi SA chỉ có thể cài đặt một trong hai giao thức AH và ESP

 Để cài đặt cả hai cần kết hợp các SA với nhau

 Tạo thành một gói liên kết an ninh

 Có thể kết thúc tại các điểm cuối khác nhau hoặc giống nhau

 Kết hợp theo 2 cách

 Gần với giao vận

 Tạo đường hầm theo nhiều bước

 Cần xem xét thứ tự xác thực và mã hóa

Trang 33

 Có chức năng sản sinh và phân phối khóa

 Hai bên giao tiếp với nhau nói chung cần 4 khóa

 Mỗi chiều cần 2 khóa: 1 cho AH, 1 cho ESP

 Hai chế độ quản lý khóa

 Thủ công

▪ Quản trị hệ thống khai báo các khóa khi thiết lập cấu hình

▪ Thích hợp với các môi trường nhỏ và tương đối tĩnh

 Tự động

▪ Cho phép tạo khóa theo yêu cầu cho các SA

▪ Thích hợp với các hệ phân tán lớn có cấu hình luôn thay đổi

▪ Gồm các thành phần Oakley và ISAKMP

Trang 34

 Là một giao thức trao đổi khóa dựa trên giải

thuật Diffie-Hellman

 Bao gồm một số cải tiến quan trọng

 Sử dụng cookie để ngăn tấn công gây quá tải

▪ Cookie cần phụ thuộc vào các bên giao tiếp, không thể sinh ra bởi một bên khác với bên sinh cookie, có thể sinh và kiểm tra một cách nhanh chóng

 Hỗ trợ việc sử dụng các nhóm với các tham số Hellman khác nhau

Diffie- Sử dụng các giá trị nonce để chống tấn công lặp lại

 Xác thực các trao đổi Diffie-Hellman để chống tấn

công người ở giữa

Trang 35

 Viết tắt của Internet Security Association and

Key Management Protocol

 Cung cấp một cơ cấu cho việc quản lý khóa

 Định nghĩa các thủ tục và các khuôn dạng thông báo cho việc thiết lập, thỏa thuận, sửa đổi, và

hủy bỏ các liên kết an ninh

 Độc lập với giao thức trao đổi khóa, giải thuật

mã hõa, và phương pháp xác thực

Ngày đăng: 30/01/2020, 11:24

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm