Bảo mật trong mạng IPIP sẽ bị tấn công từ nhiều vị trí, qua nhiều phương thức... Bảo mật security: An ninh, an toàn và tin cậy Các kiểu / hình thức tấn công Yêu cầu đối với các hệ
Trang 1Chương 4: Mạng IP
Bộ giao thức TCP/IP
Định tuyến trong mạng IP
QoS trong mạng IP
Bảo mật trong mạng IP
Thoại qua IP (VoIP)
Trang 2Bảo mật trong mạng IP
IP sẽ bị tấn công từ nhiều vị trí, qua nhiều phương thức
Trang 3 Bảo mật (security): An ninh, an toàn
và tin cậy
Các kiểu / hình thức tấn công
Yêu cầu đối với các hệ thống bảo mật
Đảm bảo bảo mật thông tin trong mạng IP
Xác thực
Mã khóa
Đường hầm
Tường lửa
Bảo mật
Trang 4 Các kiểu tấn công:
Sự gián đoạn phục vụ (interruption of service)
Làm thay đổi (Modification)
Làm giả (fabrication)
Chặn (interception)
Nhiễu (jamming)
Tấn công theo kiểu khách hàng với khách hàng (client-to-client)
Tấn công vào mật mã hoá (attacks against
encryption)
Sai cấu hình (Misconfiguration)
Tấn công phá mật khẩu của điểm truy nhập
Tấn công kiểu chèn (Insertion attacks)
Trang 5Bảo mật
Tính toàn vẹn (Intergrity)
Tính bí mật (Confidentiality)
Từ chối phục vụ (Denial of service)
Trang 6 Đảm bảo được bảo mật trong mạng IP
Xác thực (authentication)
Xác nhận ID
Password
Nhận thực
Mã khóa thông tin/mật mã (encryption)
Đường hầm mã khóa
Tường lửa (firewall)
Bảo mật
Trang 7Điều khiển truy nhập
Cỏc thỏa thuận mức dịch vụ
Truyền đường hầm
mọi thực thể liên quan đến thông
tin phải có thể tự nhận dạng mình
với các đối tác liên quan khác và ng
ợc lại
Là tập các chính sách và các kĩ thuật quản lí truy nhập
đến các tài nguyên cho các phía đ ợc trao quyền.
Triển khai cỏc cơ chế mật
mó húa kết hợp với cỏc hệ thống phõn phối khúa an
ninh.
Đường hầm IP Một chặng Kết nối vật lý
Internet
Mạng riờng
A
C
Y Z
Bảo mật trong mạng IP
Trang 8 Nhận thực (Authentication)
Tài liệu hoặc
Bản tin
-Tài liệu hoặc
Bản tin
Hàm hash
160 bit
128 bit
Message Digest
Bảo mật trong mạng IP
Trang 9 Nhận thực (Authentication)
Tài liệu hoặc bản tin Padding Length
Block N
512 bit
Block 2
512 bit
Block 1
512 bit
Hash MD5/SHAHàm hash Hash
Hàm hash MD5/SHA
I
V
Hàm hash
MD5/SHA Hash
512bit XN
MD của bản tin
Cấu trúc cơ bản của hàm băm MD5/SHA-1
Bảo mật trong mạng IP
Trang 10 Nhận thực (Authentication)
Xác thực dữ liệu nhờ chữ kí số
Signature
Encrypt
Private
Step 2
Digital
Signature Step 3
MD5
MD5
Step 1
Public
Bảo mật trong mạng IP
Trang 11 Nhận thực (Authentication)
Bảo mật trong mạng IP
Xác thưc dữ liệu nhờ chữ kí số tại phía thu
Message
Digital
Signature
Hash( MD5 )
Step 1
Hash
Step 2
Public Key
Decrypt
Hash
Compare
Trang 12 Mật mó (Cryptography) sử dụng mó khúa (encryption)
Mã khoá đ ợc thực hiện dựa trên hai thành phần:
• Một thuật toán
• Một khoá
dụng phổ biến đó là:
• Thuật toán mã khoá khoá bí mật (secret key) hay
còn gọi là mã hoá đối xứng (symmetric)
Một thuật toán mã hoá
là một chức năng toán học nối phần văn bản hay các thông tin dễ hiểu với một chuỗi các
số gọi là khoá để tạo ra một văn bản mật mã
khó hiểu.
Bảo mật trong mạng IP
Trang 13 Mã khóa đối xứng
Công nghệ mã khóa
Trang 14Thuật toán mã khoá khoá công cộng
Encrypt Encrypted Message Decrypt Message clear
clear
Message
Transfer’s
Public Key
Receive’s Public Key
Private
Key
Công nghệ mã khóa
Trang 15Mã khóa công cộng
Trong chế độ mật mã khóa công cộng thì mỗi cặp thu/phát sử dụng các khóa khác nhau Chế độ này còn được gọi là chế độ
(asymmetric) hoặc hai khóa
Dựa nhiều trên các công thức toán học
Tiêu biểu là các thuật toán RSA và Diffie-Hillman
Trang 16Thuật toán mã khoá bí mật
Mã khóa bí mật
Trang 17Giao thức mã khóa bí mật
(Secret-Key Encryption Protocols):
Đặc điểm:
Một khóa bí mật sẽ được sử dụng chung giữa phần thu và phần phát và khóa này sẽ được cấp tại các điểm thu và phát->còn được gọi là mật mã hóa đối xứng
Dựa nhiều trên các phép thay thế
(Substitution) và hoán
vị (Permutation)
Tiêu biểu là các thuật toán DES và AES
Trang 18Bảo mật trong mạng IP
M¹ng IP
M¹ng IP
C¸c tunnel IPSec
IPSec GW
IPSec GW
M¹ng IP
M¹ng IP
Client IPSec
GW
M¹ng IP M¹ng IP
Giao thức bảo mật IPSec (đường hầm)
Thí dụ về kiến trúc IPSec (các cổng và các máy chủ).
Trang 19Bảo mật trong mạng IP
Tường lửa:
Tường lửa thực chất là một trạm kiểm soát,
bao gồm một hay nhiều bộ lọc, mỗi bộ lọc có một chức năng lọc riêng, có khả năng phát
hiện và ngăn cản những khối thông tin không mong muốn đi qua, chẳng hạn như virus, truy cập bất hợp pháp, thư rác
Tường lửa thường được sử dụng để phân cách mạng nội bộ hay mạng riêng với một mạng
chung khác, ví dụ Internet.