Tài liệu An toàn trong truyền thông: An toàn trong
truyền thông
• Các giao thức truy cập từ xa: PPP,
Telnet, Wireless, VPN,
• Các giao thức truy cập liên mạng:
Email, Web, FTP, File Sharing,
Directory, LDAP,
Chương 5
14/05/2010 1Bộ môn HTMT&TT
14/05/2010Bộ môn MMT&TT 2
Mục tiêu
• Cung cấp cho người học một cái nhìn tổng quan về các
giải pháp tạo sự an toàn trong truyền thông.
• Sau khi hoàn tất chương, sinh viên có những khả năng:
▫ Trình bày được sự quan trọng của an toàn trong truyền thông.
▫ Mô tả được các giao thức sử dụng cho truy cập từ xa như PPP,
Telnet, mạng không dây , mạng riêng ảo.
▫ Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho
các giao thức truy cập từ xa.
▫ Mô tả được các giao thức truy cập liên mạng thông dụng hiện
nay như Mail, Web, FTP, File sharing, Directory, LDAP,
▫ Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho
các giao thức truy cập liên mạng .
Các giao thức cho
truy cập từ xa
• Khái niệm
• RAS và PPP
• Telnet và SSH
• TACACS+ và...
64 trang |
Chia sẻ: putihuynh11 | Lượt xem: 683 | Lượt tải: 0
Bạn đang xem trước 20 trang mẫu tài liệu An toàn trong truyền thông, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
An toàn trong
truyền thông
• Các giao thức truy cập từ xa: PPP,
Telnet, Wireless, VPN,
• Các giao thức truy cập liên mạng:
Email, Web, FTP, File Sharing,
Directory, LDAP,
Chương 5
14/05/2010 1Bộ môn HTMT&TT
14/05/2010Bộ môn MMT&TT 2
Mục tiêu
• Cung cấp cho người học một cái nhìn tổng quan về các
giải pháp tạo sự an toàn trong truyền thông.
• Sau khi hoàn tất chương, sinh viên có những khả năng:
▫ Trình bày được sự quan trọng của an toàn trong truyền thông.
▫ Mô tả được các giao thức sử dụng cho truy cập từ xa như PPP,
Telnet, mạng không dây , mạng riêng ảo.
▫ Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho
các giao thức truy cập từ xa.
▫ Mô tả được các giao thức truy cập liên mạng thông dụng hiện
nay như Mail, Web, FTP, File sharing, Directory, LDAP,
▫ Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho
các giao thức truy cập liên mạng .
Các giao thức cho
truy cập từ xa
• Khái niệm
• RAS và PPP
• Telnet và SSH
• TACACS+ và RADIUS
• WLAN
• VPN
Phần 1
14/05/2010 3Bộ môn MMT&TT
14/05/2010Bộ môn MMT&TT 4
An toàn trong truyền thông
• Sự quan trọng của an toàn trong truyền thông
Với tốc độ của Internet ngày càng nhanh,
truyền thông trên mạng, truy cập từ xa,
làm việc bằng các thiết bị cầm tay ngày
càng trở nên phổ biến.
i t I t r t ,
tr t tr , tr t ,
l i t i t ị t
tr i .
Đòi hỏi phải có các cơ chế an toàn trên
đường truyền, cho các giao thức mạng
và các dịch vụ trên mạng.
i i i t tr
tr , i t
ị tr .
14/05/2010Bộ môn MMT&TT 5
Truy cập từ xa
• RAS và PPP
Kết nối từ xa qua
đường điện thoại
t i t
i t i
PPP (Point-to-Point Protocol)
• PPP là giao thức tầng 2
• Cho phép chứng thực:
+ PAP: không mã hóa
+ CHAP: có mã hóa
• Có thể dùng cho các dạng
mạng IP, IPX, AppleTalk.
• Cho phép cấp địa chỉ IP động
• Cho phép nén dữ liệu và điều
khiển chất lượng đường nối kết.
( i t-t - i t t l)
• l i t t
• t :
:
:
• t
I , I , l l .
• ị ỉ I
• li i
i t l i t.
• Dể sử dụng, tốc độ thấp.
• Kết nối đơn giản.
• , t t .
• t i i .
14/05/2010Bộ môn MMT&TT 6
Truy cập từ xa
• Telnet
• Đăng nhập và làm việc từ xa
• Dùng cổng 23 TCP
• Cơ chế dòng lệnh
• Là giao thức không an toàn vì
dữ liệu truyền đi trên mạng
không được mã hóa (plaintext)
• l i t
•
• l
• i t t ì
li tr i tr
( l i t t)
• Nên khóa dịch vụ Telnet từ
bên ngoài mạng vào.
• Chuyển sang dùng SSH
• ị l t t
i .
•
14/05/2010Bộ môn MMT&TT 7
Truy cập từ xa
• Secure Shell (SSH)
• Thiết lập kết nối mạng 1 cách bảo mật.
• Cổng 22
• Làm việc qua 3 bước:
+ Định danh host: sử dụng cặp khóa
công cộng và khóa bí mật.
+ Mã hóa: DES, 3DES, IDEA,Blowfish
+ Chứng thực: RSA, DSA
• i t l t i t.
•
• i :
ị t:
í t.
: , , I , l fi
t : ,
14/05/2010Bộ môn MMT&TT 8
Truy cập từ xa
• TACACS+
Terminal Access Control
Access Control System
Plus
• Chứng thực tập trung
• Thích hợp cho các mạng với
số lượng người dùng lớn
• Cung cấp riêng rẻ các dịch
vụ AAA
r i l tr l
tr l t
l
• t t tr
• í i
l i l
• ri r ị
• Giao thức riêng của Cisco
• Sử dụng TCP cổng 49
• Hỗ trợ nhiều giao thức tầng 3 như IP, Apple Talk
• Cung cấp khả năng bảo mật trong trao đổi dữ liệu giữa
gateway (Router - NAS) và cơ sở dữ liệu trung tâm (ACS).
• Mã hóa thông tin toàn bộ phiên giao dịch.
• Dùng 1 khóa bí mật để mã hóa và giải mã trên cả 2 hệ thống.
• i t ri i
•
• tr i i t t I , l l
• t tr tr i li i
t ( t r - ) li tr t ( ).
• t ti t i i ị .
• í t i i tr t .
Điểm yếu
• Có thể bị tấn công vào
phần mã hóa vì chỉ
dùng 1 khóa bí mật =>
nên thay đổi thường
xuyên.
• Có thể bị tấn công
theo dạng Replay.
i
• t ị t
ì ỉ
í t
t i t
.
• t ị t
t l .
14/05/2010Bộ môn MMT&TT 9
Truy cập từ xa
• TACACS+
Các bước chứng thực (authentication)
dùng TACACS+
t ( t ti ti )
Quá trình phân quyền
(authorization) dùng TACACS+
trì
( t ri ti )
NAS: Router, Switch,
PIX/ASA, VPN3000
: t r, it ,
I / ,
14/05/2010Bộ môn MMT&TT 10
Truy cập từ xa
• RADIUS
Remote Authentication
Dial In User Service
• Tương tự như TACACS+,
cung cấp dịch vụ AAA
• Chuẩn mở
• Định nghĩa trong RFC-2865
t t ti ti
i l I r r i
• t ,
ị
•
• ị ĩ tr -
• Chuẩn chứng thực an toàn của 802.1X
• Sử dụng UDP cổng 1812
• Dùng mô hình Client-Server, trong đó RAS đóng vai trò là RADIUS Client.
• RADIUS chỉ mã hóa mật khẩu người dùng.
• Hỗ trợ các giao thức: PPP, PAP, CHAP
• t t .
•
• ì li t- r r, tr i tr l I li t.
• I ỉ t i .
• tr i t : , ,
14/05/2010Bộ môn MMT&TT 11
Truy cập từ xa
• RADIUS
Kết hợp chứng thực và phân quyền
dùng RADIUS
t t
I
14/05/2010Bộ môn MMT&TT 12
Mạng không dây - WLAN
• Khái niệm
• Cung cấp tính tiện lợi
trong kết nối mạng: dễ
dàng, mềm dẻo, nhanh
chóng, tốc độ cao.
• Cung cấp khả năng di
động trong mạng LAN
• Sử dụng phương pháp
CSMA/CA
• tí ti l i
tr t i :
, ,
, t .
• i
tr
•
/
14/05/2010Bộ môn MMT&TT 13
Mạng không dây - WLAN
• Các chuẩn
• Chuẩn hóa trong IEEE 802.11
• Gồm các chuẩn mạng :
+ 802.11 A: sử dụng tại Mỹ; 54 Mbps
+ 802.11 B: 11 Mbps
+ 802.11 G: 54 Mbps
+ 802.11 draft N: 248 Mbps
• tr I .
• :
. : t i ;
. :
. :
. r ft :
Infrastructure mode
Ad hoc mode
14/05/2010Bộ môn MMT&TT 14
Mạng không dây - WLAN
• Các thông số
• SSID: định danh của mạng WLAN
• Chiều dài từ 2 – 32 ký tự
• Không đặt trùng nhau trong cùng 1
phạm vi hoạt động
• I : ị
• i i t t
• t tr tr
i t
• Chia kênh để không bị nhiễu.
• Mỗi kênh cách nhau 22 MHz
• Bắc Mỹ: chia 11 kênh
• Châu Âu: chia 13 kênh
• Trong cùng phạm vi, nên chọn cách
nhau 5 kênh:
+ 3 AP: chọn 1, 6, 11
+ 2 AP: chọn 5, 10 / 4, 9 / 3, 8 / 2,
7
• i ị i .
• i
• : i
• : i
• r i,
:
: , ,
: , / , / , / ,
14/05/2010Bộ môn MMT&TT 15
Mạng không dây - WLAN
• Hoạt động (1)
Beacon (báo hiệu)
• Frame được gửi từ AP của
mạng WLAN thông báo sự hiện
diện của nó.
• Sẽ được gửi broadcast định kỳ
( i )
• r i t
t i
i .
• i r t ị
14/05/2010Bộ môn MMT&TT 16
Mạng không dây - WLAN
• Hoạt động (2)
Probing (thăm dò)
• Kiểm tra xem có mạng WLAN
đúng với SSID cho trước không
• Hoặc dò tìm (liệt kê các SSID)
những mạng WLAN nào đang
hiện diện trong vùng bằng cách
gửi Request không có SSID.
i (t )
• i tr
i I tr
• tì (li t I )
i i tr
i t I .
14/05/2010Bộ môn MMT&TT 17
Mạng không dây - WLAN
• Hoạt động (3)
Authentication (chứng thực)
• Nếu là dạng mở Open thì không
cần key.
• Nếu có mã hóa (chẳng hạn WEP)
thì cần Key
t ti ti ( t )
• l t ì
.
• ( )
t ì
14/05/2010Bộ môn MMT&TT 18
Mạng không dây - WLAN
• Hoạt động (4)
Association (kết hợp)
• Thiết lập nối kết ở tầng 2
• Tạo ra 1 port ảo nối kết đến Client
• Quá trình gửi và nhận dữ liệu có
thể diễn ra.
i ti ( t )
• i t l i t t
• r rt i t li t
• trì i li
t i r .
14/05/2010Bộ môn MMT&TT 19
Mạng không dây - WLAN
• Nguy cơ từ mạng không dây
War driving
• Dò tìm các mạng WLAN mở
(Open)
• Sử dụng Internet miễn phí
• Xâm nhập vào mạng dễ dàng
r ri i
• tì
( )
• I t r t i í
•
Hacker
• Tấn công vào các mạng WLAN yếu
(cấu hình không cẩn thận, không mã
hóa hoặc mã hóa yếu).
• Khai thác mạng không dây để vào
mạng LAN của tổ chức.
r
•
( ì t ,
).
• i t
t .
Nhân viên
• Nhân viên tự ý cắm 1 Access Point
vào mạng
+ Tạo ra điểm có thể truy cập vào
mạng từ bên ngoài.
+ Có thể gây nhiễu với các thiết bị
WLAN đã có trong tổ chức.
i
• i t i t
r i t tr
t i.
t i i t i t ị
tr t .
14/05/2010Bộ môn MMT&TT 20
Mạng không dây - WLAN
• Nguy cơ từ mạng không dây
WLAN có nguy cơ bị
tấn công dạng “Kẻ
đứng giữa” (Man-in-
the-middle – MITM) tại
giai đoạn Association.
ị
t “
i ” ( -i -
t - i l I ) t i
i i i ti .
Giải pháp:
Cài đặt hệ thống ngăn
chặn xâm nhập
(Intrusion prevention
system – IPS)
i i :
i t t
(I tr i r ti
t I )
14/05/2010Bộ môn MMT&TT 21
Mạng không dây - WLAN
• Nguy cơ từ mạng không dây
Tấn công giả mạo
Access Point hoặc các
máy trạm trong mạng
bằng cách giả mạo AP.
i
i t
tr tr
i .
Tấn công DoS
Mạng WLAN cũng có
thể bị làm nhiễu bởi
các thiết bị điện tử hay
không dây khác.
t ị l i i
t i t ị i t
.
14/05/2010Bộ môn MMT&TT 22
Mạng không dây - WLAN
• Các giao thức an toàn cho mạng WLAN
Open WEP WPA WPA2
• Không chứng thực
• Không mã hóa
• Không có cơ chế an
toàn
• Chứng thực yếu
• Khóa tĩnh, dễ bị tấn
công và phát hiện
•Mã hóa dễ bị phá vỡ
• Không linh hoạt
• Chuẩn tạm thời
•Mã hóa cao
• Chứng thực mạnh:
LEAP, PEAP, EAP-
FAST,
• Chuẩn hiện tại
• 802.11i
•Mã hóa AES
• Quản lý khóa động
14/05/2010Bộ môn MMT&TT 23
Mạng không dây - WLAN
• WEP (Wired Equivalent Privacy)
• Sử dụng khóa chia sẻ.
• Thường dùng khóa 64 bits hay 128 bits.
• Mã hóa dùng thuật toán RC4
• WEP có lổ hổng bảo mật dễ bị khai thác
• Một số công cụ dùng để tấn công WEP như:
AirSnort, NetStumbler, WEPCrack, ...
• i .
• it it .
• t t t
• l t ị i t
• t t :
ir rt, t t l r, r , ...
Cài đặt hệ thống phát hiện xâm nhập (IDS)
hay hệ thống ngăn chặn xâm nhập (IPS)
i t t t i (I )
t (I )
14/05/2010Bộ môn MMT&TT 24
Mạng không dây - WLAN
• Các giao thức chứng thực trong mạng WLAN
Extensible Authentication
Protocol (EAP)
• EAP là giao thức chứng
thực mạnh
• Chứng thực qua Server.
• Chuẩn hóa trong RFC 3748
• Chứng thực ở tầng 2
• Là một phần của PPP.
• Hỗ trợ nhiều cơ chế chứng
thực như: EAP over IP, LEAP
Cisco, EAP-MD5-CHAP,
PEAP, EAP-TLS, EAP-TTLS,
RADIUS.
t i l t ti ti
t l ( )
• l i t
t
• t r r.
• tr
• t t
• t .
• tr i
t : r I ,
i , - - ,
, - , - ,
I .
14/05/2010Bộ môn MMT&TT 25
Mạng không dây - WLAN
• WPA và WPA2 (WiFi Protected Access)
Enterprise modet r ri
WPA-PSK
(Pre-shared key)
-
( r - r )
• Thay thế cho WEP
• Chứng thực không cần Server
• Passphrase được lưu trên
Access Point và trên máy cục bộ
• t
• t r r
• r l tr
i t tr
• Chứng thực qua 802.1X Auth. Server
• Mã hóa:
+ TKIP (Temporal Key Integrity Protocol)
như WEP nhưng phức tạp hơn.
+ AES (Advanced Encryption Standard)
như TKIP nhưng có bổ sung các tính
năng để nâng cao tính bảo mật.
• WPA2 dùng mã hóa AES.
• t . t . r r
• :
I ( r l I t rit r t l)
t .
( r ti t r )
I tí
tí t.
• .
14/05/2010Bộ môn MMT&TT 26
Mạng không dây - WLAN
• Nâng cao tính an toàn của mạng WLAN
1. Ẩn (hidden) SSID
2. Chọn WPA hoặc WPA2 cho chứng thực và mã hóa
3. Lọc các máy trạm dựa theo địa chỉ MAC
. ( i ) I
. t
. tr t ị ỉ
14/05/2010Bộ môn MMT&TT 27
Mạng riêng ảo - VPN
• Lý do ra đời
Phải dùng các đường
thuê bao tốc độ cao
để nối kết
i
t t
i t
Tốn nhiều
chi phí
i
i í
Công ty
xí nghiệp
Chi nhánh
Người dùng ở
xa
Leased Lines
T1, Frame Relay
ISDN, ATM
14/05/2010Bộ môn MMT&TT 28
Mạng riêng ảo - VPN
• Khái niệm
VPN = Virtual Private Network
• Virtual: ảo (không có đường nối kết thực giữa 2 thực thể)
• Private: riêng (được bảo vệ, không truy xuất được từ bên ngoài)
• Network: mạng máy tính (nhóm 2 hoặc nhiều máy tính lại với nhau)
i t l i t t
• i t l: ( i t t i t t )
• i t : ri ( , tr t t i)
• t : tí ( i tí l i i )
Internet
(VPN)
Chi nhánh
Người dùng
từ xa
Người dùng đi động
Công ty
xí nghiệp
14/05/2010Bộ môn MMT&TT 29
Mạng riêng ảo - VPN
• Ích lợi
Sử dụng đường truyền
công cộng không an toàn
(Internet) để thực hiện
việc trao đổi dữ liệu một
cách an toàn.
tr
t
(I t r t) t i
i tr i li t
t .
• Phù hợp với các công
ty có nhiều chi nhánh,
nhân viên làm việc từ xa
hoặc cần có các kết nối
mạng an toàn với các đối
tác.
• Chi phí thấp.
• i
t i i ,
i l i t
t i
t i i
t .
• i í t .
14/05/2010Bộ môn MMT&TT 30
Mạng riêng ảo - VPN
• Phân loại Site-to-Site VPN
(LAN-to-LAN)
i i
( -t - )
Được xây dựng bằng cách sử
dụng Router, Security Appliance
hoặc VPN Concentrator.
t r, rit li
tr t r.
VPN điểm nối điểm có thể được chia
làm 2 loại:
• Intranet VPN: kết nối các chi nhánh,
văn phòng ở xa với công ty, tổ chức.
• Extranet VPN: kết nối khách hàng,
nhà cung cấp, đối tác với công ty.
i i i t i
l l i:
• I t t : t i i ,
i t , t .
• t t : t i ,
, i t i t .
14/05/2010Bộ môn MMT&TT 31
Mạng riêng ảo - VPN
• Phân loại Remote Access VPN
(VPN truy cập từ xa)
( tr t )
• Còn gọi là Dialup riêng ảo
• Cung cấp cho người dùng ở
xa, người dùng di động truy cập
vào mạng công ty
• Chia làm 2 loại:
+ Client-initiated: người dùng
sử dụng VPN Client hoặc trình
duyệt Web để thiết lập nối kết.
+ NAS-initiated: người dùng
dial (gọi) vào mạng của ISP.
NAS sẽ thiết lập nối kết.
• i l i l ri
• i
, i i tr
t
• i l l i:
li t-i iti t : i
li t trì
t t i t l i t.
-i iti t : i
i l ( i) I .
t i t l i t.
Client có thể sử dụng router, thiết bị phần
cứng VPN hoặc phần mềm VPN.
li t t r t r, t i t ị
.
14/05/2010Bộ môn MMT&TT 32
Mạng riêng ảo - VPN
• Các thành phần trong hệ thống VPN
VPN Client VPN Server
(hoặc Gateway)
Tunnel
(đường hầm)
Mạng công cộng (Internet)
Kết nối
VPN
14/05/2010Bộ môn MMT&TT 33
Mạng riêng ảo - VPN
• Công nghệ VPN
Có khá nhiều công nghệ mạng VPN từ nhiều
công ty và cài đặt trên nhiều tầng khác nhau.
i t i
t i t tr i t .
14/05/2010Bộ môn MMT&TT 34
Mạng riêng ảo - VPN
• VPN trên các lớp của mô hình OSI
Tầng mạng cung cấp
nhiều giải pháp khác
nhau cho VPN
i i i
14/05/2010Bộ môn MMT&TT 35
Mạng riêng ảo - VPN
• Web VPN
• Thiết lập VPN truy cập từ xa
thông qua trình duyệt Web.
• Có khả năng:
+ Truy cập website nội bộ
thông qua HTTPS.
+ Truy cập hệ thống file chia
sẻ trên mạng cục bộ.
+ Truy cập hệ thống email
POP, SMTP, IMAP qua SSL.
• i t l tr t
t trì t .
• :
r it i
t .
r t fil i
tr .
r t il
, , I . Sử dụng SSL để mã hóa và TLS
(Transport layer Security) để cung
cấp kết nối an toàn từ máy người
dùng đến site.
( r rt l r rit )
t i t t i
it .
14/05/2010Bộ môn MMT&TT 36
Mạng riêng ảo - VPN
• Tunneling
Các giao thức Tunneling
(đường hầm) cung cấp
tính bảo mật cho dữ liệu
gửi và nhận bên trong.
i t li
( )
tí t li
i tr .
Bao gói dữ liệu gốc
vào 1 bên trong gói
dữ liệu đã được mã
hóa.
i li
tr i
li
.
Site-to-Site
Remote Access
IP
20 Bytes
L2TP Header
4 - 12 Bytes Payload (Data)
14/05/2010Bộ môn MMT&TT 37
Mạng riêng ảo - VPN
• Các giao thức tạo đường hầm (Tunneling)
• GRE hỗ trợ nhiều giao
thức bên trong IP tunnel
• MPLS thích hợp cho ISP
và các doanh nghiệp lớn.
• tr i i
t tr I t l
• t í I
i l .
14/05/2010Bộ môn MMT&TT 38
Mạng riêng ảo - VPN
• L2TP/PPTP
L2TP
• Tương thích ngược với L2F
• Sử dụng cổng UDP 1701
• Có chứng thực, nhưng không mạnh
• Kết hợp với IPSec để mã hóa
• Thường dùng cho dạng VPN truy
cập từ xa qua RAS (đường dialup)
• Dùng cho IP, IPX,
• t í i
•
• t ,
• t i I
• tr
t ( i l )
• I , I ,
PPTP
• Được Windows hỗ trợ
• Sử dụng cổng TCP 1723
• Chứng thực dùng MSCHAP-v2 hoặc
EAP-TLS.
• Có thể dùng Microsoft Point-to-Point
Encryption (MPPE) để mã hóa.
• Chỉ dùng cho giao thức IP
• i tr
•
• t -
- .
• t i r ft i t-t - i t
r ti ( ) .
• ỉ i t I
L2TP và PPTP
đều “bao gói” gói
tin PPP truyền đi
trong mạng IP.
“ i” i
ti tr i
tr I .
Windows NT/2K/XP/Vista hỗ trợ cả PPTP/L2TPi / / / i t tr /
14/05/2010Bộ môn MMT&TT 39
Mạng riêng ảo - VPN
• IPSec – Giới thiệu
IPSec được sử dụng rộng rãi
trong cài đặt các loại VPN
I r r i
tr i t l i
14/05/2010Bộ môn MMT&TT 40
Mạng riêng ảo - VPN
• IPSec – Giới thiệu
• IPSec là tập các giao thức dùng
cho mạng VPN, cung cấp tính
bảo mật và toàn vẹn cho gói tin
(tầng 3) khi truyền trên mạng IP.
• Sử dụng TCP cổng 50 và 51.
• I l t i t
, tí
t t i ti
(t ) i tr tr I .
• .
14/05/2010Bộ môn MMT&TT 41
Mạng riêng ảo - VPN
• IPSec – Các chế độ truyền
Tunnel mode
• Peer-to-peer
• Sử dụng khi
truyền qua đường
truyền mạng
không tin cậy.
• Mã hóa cả dữ
liệu (payload) và
phần header.
l
• r-t - r
• i
tr
tr
ti .
•
li ( l )
.
Transport mode
• Host-to-host
• Truyền trực tiếp giữa bên gửi và bên nhận.
• Mã hóa chỉ phần dữ liệu, giữ nguyên header.
t
• t-t - t
• r tr ti i i .
• ỉ li , i .
14/05/2010Bộ môn MMT&TT 42
Mạng riêng ảo - VPN
• IPSec – Chế độ truyền Tunnel mode
14/05/2010Bộ môn MMT&TT 43
Mạng riêng ảo - VPN
• IPSec – Chế độ truyền Transport mode
14/05/2010Bộ môn MMT&TT 44
Mạng riêng ảo - VPN
• IPSec – Giao thức Encapsulating Security
Payload (ESP)
• Cung cấp mã hóa dữ liệu, cung
cấp chứng thực có giới hạn
• Bao gói dữ liệu (mã hóa payload),
nhưng không mã hóa Header
• li ,
t i i
• i li ( l ),
r
14/05/2010Bộ môn MMT&TT 45
Mạng riêng ảo - VPN
• IPSec – Giao thức Authentication Header (AH)
Bảo vệ (mã hóa) toàn
bộ gói tin kể cả phần
header, đảm bảo tính
toàn vẹn của gói tin IP
( ) t
i ti
r, tí
t i ti I
14/05/2010Bộ môn MMT&TT 46
Mạng riêng ảo - VPN
• IPSec – Hoạt động của IPSec
14/05/2010Bộ môn MMT&TT 47
Mạng riêng ảo - VPN
• IPSec – Hoạt động của IPSec
Internet Key
Exchange (IKE)
đảm bảo tính an
toàn khi trao đổi
khóa bí mật giữa 2
bên khi thiết lập
đường hầm.
I t r t
(I )
tí
t i tr i
í t i
i t i t l
.
Internet Security
Association and Key
Management Protocol
(ISAKMP) được sử dụng
để đàm phán và cung cấp
chứng thực
I t r t rit
i ti
t r t l
(I )
t
IPSec SA: IPSec Security Association
Các giao thức
truy cập liên mạng
• Email
• Web
• FTP
• File Sharing
• Directory và LDAP,
Phần 2
14/05/2010 48Bộ môn HTMT&TT
14/05/2010Bộ môn MMT&TT 49
Dịch vụ Email
• Các giao thức
SMTP
• Gửi mail
• Cổng TCP 25
• i il
•
POP/IMAP
• Nhận mail
• Cổng TCP 110
/I
• il
•
MIME
• RFC-1512 và 1522
• Hỗ trợ gửi mail có đính kèm file
I
• -
• tr i il í fil
• Các giao thức chuẩn của email không
cung cấp cơ chế an toàn.
• Dịch vụ Email có nhiều điểm yếu có
thể dễ dàng bị tấn công và khai thác.
• i t il
t .
• ị il i i
t ị t i t .
14/05/2010Bộ môn MMT&TT 50
Dịch vụ Email
• S/MIME (Secure MIME)
• S/MIME cung cấp cơ
chế bảo mật cho Email.
• Version 2: RFC-2311
và version 3: RFC-2633
• / I
t il.
• r i : -
r i : -
S/MIME cung cấp dịch vụ mật mã cho các ứng dụng email:
• Chứng thực
• Tính toàn vẹn và tính không thể phủ nhận (thông qua chữ ký số)
• Bảo mật và riêng tư cho thông điệp (thông qua mã hóa)
/ I ị t il:
• t
• í t tí t (t )
• t ri t t i (t )
• Sử dụng 3 thuật toán mã hóa đối xứng: DES, 3DES, RCC2 trong việc
mã hóa thông điệp.
• Dùng giải thuật RSA trong việc trao đổi khóa và chữ ký số.
• Windows Mail (Vista), Outlook Express, Thunderbird hỗ trợ S/MIME.
• t t t i : , , tr i
t i .
• i i t t tr i tr i .
• i il ( i t ), tl r , r ir tr / I .
14/05/2010Bộ môn MMT&TT 51
Dịch vụ Email
• PGP (Pretty Good Privacy)
• Do Philip R. Zimmermann
tạo ra vào năm 1991.
• PGP là chuẩn đóng thuộc
công ty PGP
• ili . i r
t r .
• l t
t
• Sử dụng thuật toán mã hóa bất đối xứng
• Dùng hạ tầng khóa công khai (PKI)
• PGP nén dữ liệu trước khi mã hóa
• Dùng thuật toán RSA hoặc DH
• t t t t i
• t i ( I)
• li tr i
• t t t
•Open PGP được cung cấp theo
chuẩn mở mô tả trong RFC-2440
• Được hỗ trợ trong nhiều phần
mềm thương mại và mã nguồn mở.
• t
t tr -
• tr tr i
t i .
Một số phần mềm hỗ trợ Open PGP : Authora, WinPT,
GnuPG, Enigmail, GPGforWin, PGPFreeware,
t tr : t r , i ,
, i il, f r i , r r ,
14/05/2010Bộ môn MMT&TT 52
Dịch vụ Email
• Các điểm yếu của Email
SPAM (Mail rác)
• Những mail với nội dung quảng cáo hoặc các
thông tin không mong muốn.
• Làm giảm băng thông và hiệu năng của dịch vụ
• Làm đầy hộp thư và tốn thời gian lọc mail của
người dùng.
( il )
• il i i
t ti .
• i t i ị
• t t t i i l il
i .
Hoax (Mail đánh lừa)
• Chứa các thông tin không đúng sự thật.
• Lừa người dùng gửi tiếp cho những người khác.
( il l )
• t ti t t.
• i i ti i .
Virus, Trojan
• Lừa người dùng mở tập tin đính kèm
chứa các mã độc hại như virus, trojan
• Tự động gửi tiếp bản thân nó cho các
người dùng khác trong Address Book.
i , j
• i t ti í
i ir , tr j
• i ti t
i tr r .
Phishing (lừa đảo)
• Lừa người dùng click vào 1 liên
kết dẫn đến 1 URL giả để lấy cắp
các thông tin nhậy cảm như tài
khoản, số thẻ tín dụng,
• Các trình duyệt và phần mềm diệt
virus mới đều có tính năng chống
dạng tấn công phishing này.
i i (l )
• i li li
t i l
t ti t i
, t tí ,
• trì t i t
ir i tí
t i i .
14/05/2010Bộ môn MMT&TT 53
Dịch vụ Email
• SMTP Relay
• Lợi dụng Mail Server cấu
hình không chính xác gửi
email đến các Server khác.
• Thường sử dụng để phát
tán SPAM.
• i il r r
ì í i
il r r .
• t
t .
Không cho người dùng vô
danh từ bên ngoài mạng
(chưa chứng thực) gửi mail
đi 1 địa chỉ mail bên ngoài.
i
t i
( t ) i il
i ị ỉ il i.
14/05/2010Bộ môn MMT&TT 54
Dịch vụWeb
• Giao thức
• Dùng giao thức HTTP
• Mô tả trong RFC-2616
• Cổng phục vụ là TCP 80
• i t
• t tr -
• l
• Ngôn ngữ sử dụng HTML
• Chuyển các file HTML (trang Web)
từ Server đến Client.
•
• fil (tr )
t r r li t.
• HTTP là giao thức không an toàn
• Không chứng thực, không mã hóa
• l i t t
• t ,
14/05/2010Bộ môn MMT&TT 55
Dịch vụWeb
• HTTPS
• HTTPS = HTTP + TLS/SSL
• Cung cấp tính bảo mật cho dịch vụWeb.
• Thích hợp cho các giao dịch an toàn trên Web như: giao dịch ngân
hàng, thông tin thẻ tín dụng, mua hàng trực tuyến,
• Dùng cổng TCP 443
• Sử dụng mật mã khóa công khai: cặp khóa công khai + khóa bí mật và
chứng chỉ số X.509.
• /
• tí t ị .
• í i ị t tr : i ị
, t ti t tí , tr t ,
•
• t i: i í t
ỉ . .
Gõ trong
trình duyệt
https://
tr
trì t
tt ://
14/05/2010Bộ môn MMT&TT 56
Dịch vụWeb
• SSL (Secure Sockets Layer) và TLS (Transport
Layer Security)
SSL
•.Hoạt động phía trên tầng TCP
• Sử dụng cả khóa công khai và
khóa đối xứng cho các phiên
giao dịch.
• Sử dụng 3 giao thức:
+ SSL handshake protocol
+ SSL Record protocol
+ SSL Alter protocol
•. t í tr t
• i
i i
i ị .
• i t :
r t l
r r t l
lt r r t l
• Kết nối bí mật qua mã hóa đối xứng: DES, RC4,
• Chứng thực qua mã hóa bất đối xứng: RSA, DSS,
• Kết nối tin cậy qua kiểm tra tính toàn vẹn bằng các
giải thuật băm: SHA, MD5,
• t i í t i : , ,
• t t i : , ,
• t i ti i tr tí t
i i t t : , ,
•.Độc lập với giao thức của
tầng ứng dụng
• Cung cấp cơ chế bảo mật
cho các dịch vụWeb, FTP,
Telnet, LDAP, IMAP,
•. l i i t
t
• t
ị , ,
l t, , I ,
TLS
• Kế thừa từ SSL, nhưng không tương thích với SSL.
• Cung cấp các chức năng bảo mật nâng cao hơn.
• t t , t t í i .
• t .
14/05/2010Bộ môn MMT&TT 57
Dịch vụWeb
• Một số vấn đề cần quan tâm
Quyền trên thư mục:
list, read, write, execute,
tr t :
li t, r , rit , t ,
14/05/2010Bộ môn MMT&TT 58
Dịch vụWeb
• Một số vấn đề cần quan tâm
Quản lý điều khiển truy cập: người dùng,
địa chỉ cho phép truy cập
l i i tr : i ,
ị ỉ tr
14/05/2010Bộ môn MMT&TT 59
Dịch vụWeb
• Một số vấn đề cần quan tâm
• Giám sát hệ thống: ghi log file, IDS,
• Thực hiện backup định kỳ
• Bảo trì thường xuyên: update, vá lỗi,
• Kiểm tra tính đúng đắn trong cấu hình
Web Server: có thể dùng NMAP.
• i t t : i l fil , I ,
• i ị
• trì t : t , l i,
• i tr tí tr ì
r r: t .
14/05/2010Bộ môn MMT&TT 60
Dịch vụWeb
• Một số vấn đề cần quan tâm
• Đặt mức độ bảo mật
cho trình duyệt.
• Giới hạn các script
thực thi: VBScript,
JavaScript,
• Cẩn thận khi sử dụng
cookie, ActiveX, CGI
• t t
trì t.
• i i ri t
t t i: ri t,
ri t,
• t i
i , ti , I
14/05/2010Bộ môn MMT&TT 61
Dịch vụ FTP
• Giao thức
• Dùng giao thức FTP
• Mô tả trong RFC-959
• Cổng phục vụ là :
+ TCP 21 cho nối kết
+ TCP 20 cho dữ liệu
• i t
• t tr -
• l :
i t
li
• Standard mode: có 2 giao dịch
+ Client nối kết đến Server ở cổng 21 để
yêu cầu file.
+ Server (dùng cổng 20) nối kết đến Client
để upload file đến Client.
• Passive mode: có 2 giao dịch
+ Client nối kết đến Server (cổng 21).
Server trả lời lại Client giá trị cổng phục vụ.
+ Client nối kết đến Server qua cổng đó để
nhận file.
• t : i ị
li t i t r r
fil .
r r ( ) i t li t
l fil li t.
• i : i ị
li t i t r r ( ).
r r tr l i l i li t i trị .
li t i t r r
fil .
• FTP là giao thức không an toàn
• Mọi thứ gửi đi trên đường truyền đều
không được mã hóa (kể cả password)
• l i t t
• i t i i tr tr
( r )
• Có 2 dạng tài khoản người dùng:
+ Tài khoản vô danh (anonymous):
đa số chỉ cho download.
+ Người dùng riêng: có thể cho
upload vào thư mục riêng.
• t i i :
i ( ):
ỉ l .
i ri : t
l t ri .
14/05/2010Bộ môn MMT&TT 62
Dịch vụ FTP
• FTPS
• FTPS = FTP + TLS/SSL
• Cung cấp tính bảo mật cho dịch vụ FTP.
• Thích hợp cho các giao dịch an toàn và bảo mật khi truyền file bằng FTP.
• Dùng cổng TCP 990 cho điều khiển và TCP 898 cho dữ liệu.
• Sử dụng mật mã khóa công khai
• Chữ ký số (chuẩn X.509): dùng RSA, DSA
• Mã hóa dữ liệu dùng khóa bí mật (khóa chia sẻ) : DES, 3DES, AES,
• /
• tí t ị .
• í i ị t t i tr fil .
• i i li .
• t i
• ( . ): ,
• li í t ( i ) : , , ,
14/05/2010Bộ môn MMT&TT 63
Dịch vụ chia sẻ file
• File sharing
NetBIOS
• Tạo ra bởi IBM, phát triển bởi
Microsoft.
• Cung cấp dịch vụ vận chuyển
và giao dịch.
• Dùng cổng TCP 137, 138, 139
t I
• r i I , t tri i
i r ft.
• ị
i ị .
• , ,
NetBEUI
• Chuẩn định dạng khung của NetBIOS.
• Giao thức tầng 4 (nhưng không hỗ trợ
vạch đường)
NetBIOS trên TCP (NBT)
• Dùng vận chuyển dữ liệu NetBIOS trên
các mạng tầng 3 (như IP)
t I
• ị t I .
• i t t ( tr
)
t I t ( )
• li t I tr
t ( I )
14/05/2010Bộ môn MMT&TT 64
Dịch vụ LDAP
• Lightweight Directory Access Protocol
Dịch vụ thư mục cung cấp truy cập đến 1 CSDL
trung tâm lưu trữ các tài nguyên hiện có trên mạng:
tài khoản người dùng, TK máy tính, TK mail,
ị t tr
tr t l tr t i i tr :
t i i , tí , il,
LDAP là giao thức chuẩn cho phép
Client có thể truy cập vào tài
nguyên trong dịch vụ thư mục .
l i t
li t t tr t i
tr ị t .
• LDAP theo chuẩn X.500
• Sử dụng cổng TCP 389, 636
• LDAP thường dùng để cung cấp
chứng thực cho các dịch vụ khác
trên mạng.
• t .
• ,
• t
t ị
tr .
SLDAP (Secure LDAP)
• Dùng SSL/TLS để cung cấp
chứng thực và mã hóa.
( )
• /
t .
Các file đính kèm theo tài liệu này:
- an_toan_chuong5_3982_1997428.pdf