Bài giảng Bảo mật thông tin - Đại học Công nghệ TP HCM - Bài 1: Tổng quan về Bảo mật thông tin

Bài 1: Tổng quan về Bảo mật Thông tin

 Bài 2: Mã hóa đối xứng cổ điển

 Bài 3: Mã hóa đối xứng hiện đại

 Bài 4: Mã hóa công khai RSA

 Bài 5: Quản lý khóa dùng mã công khai

 Bài 6: Chứng thực Thông điệp, Hàm băm

 Bài 7: Bảo mật mạng nội bộ và An toàn IP

 Bài 8: Bảo mật Web và Mail

 Bài 9: Ứng dụng kiểm soát truy cập

pdf105 trang | Chia sẻ: tieuaka001 | Lượt xem: 1139 | Lượt tải: 0download
Bạn đang xem trước 20 trang nội dung tài liệu Bài giảng Bảo mật thông tin - Đại học Công nghệ TP HCM - Bài 1: Tổng quan về Bảo mật thông tin, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Trình bày: Ths. Lương Trần Hy Hiến  30%: Thi thực hành (do GV thực hành quyết định)  70%: Đồ án môn học  Thực hiện đồ án theo yêu cầu  Vấn đáp đồ án  Vấn đáp lý thuyết 2  Bài 1: Tổng quan về Bảo mật Thông tin  Bài 2: Mã hóa đối xứng cổ điển  Bài 3: Mã hóa đối xứng hiện đại  Bài 4: Mã hóa công khai RSA  Bài 5: Quản lý khóa dùng mã công khai  Bài 6: Chứng thực Thông điệp, Hàm băm  Bài 7: Bảo mật mạng nội bộ và An toàn IP  Bài 8: Bảo mật Web và Mail  Bài 9: Ứng dụng kiểm soát truy cập 3  Giáo trình HUTECH  Sách, giáo trình online  Google 4  Sống có đạo đức, làm người tốt;  Hiểu luật ‘Nhân – Quả’;  Khi làm việc gì cũng cố gắng tập trung, có thái độ nghiêm túc;  Có trách nhiệm;  Không ngại tiếp xúc với bất kỳ trở ngại nào, khi gặp mâu thuẫn thì đối diện để giải quyết chứ không trốn tránh.  Không sử dụng kiến thức môn học này để làm điều vi phạm pháp luật. 5  Bạn hiểu gì về:  Bảo mật?  Thông tin?  An toàn Thông tin?  Keyword:  Computer Security, Crytography, Network Security,  Các khóa học trên thế giới:  Stanford (  Coursera 6  Mục đích  Tham gia vào các hoạt động seminar  Tập làm việc nhóm  Phát huy trí tuệ tập thể  Yêu cầu  Mỗi nhóm có từ 2-5 thành viên.  Các thành viên phải biết tên nhau.  Có tên nhóm, tiêu chí, băng reo.  Sẽ gọi ngẫu nhiên các nhóm tự giới thiệu trong 30’ ! 7 8 Sau khi học xong bài này, sinh viên hiểu:  Tại sao cần bảo mật thông tin?  Các kiểu tấn công mạng xảy ra như thế nào?  Giải pháp bảo mật mạng được các nhà nghiên cứu chuẩn hóa, đề nghị là gì?  Vai trò của lý thuyết mật mã trong bảo mật thông tin? 9  Bảo mật thông tin (Information Security)  Trước đây mang nghĩa: các biện pháp nhằm đảm bảo cho thông tin được trao đổi hay cất giữ một cách an toàn và bí mật.  Đóng dấu và ký niêm phong một bức thư (còn nguyên vẹn đến người nhận hay không).  Mã hóa thông điệp để chỉ có người gửi và người nhận hiểu được thông điệp (trong chính trị và quân sự).  Lưu giữ tài liệu mật trong các két sắt có khóa, tại các nơi được bảo vệ nghiêm ngặt, chỉ có những người được cấp quyền mới có thể xem tài liệu. 10 Ngày nay, Bảo mật Thông tin :  Bảo vệ thông tin trong quá trình truyền thông tin trên mạng (Network Security).  Bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bên ngoài (System Security). 11  Các yếu tố cần bảo vệ  Dữ liệu  Tài nguyên: con người, hệ thống, đường truyền  Danh tiếng  An ninh mạng cần phải có giải pháp tổng thể  Không có gì gọi là an toàn tuyệt đối 12  Tác hại đến doanh nghiệp  Tốn kém chi phí  Tốn kém thời gian  Ảnh hưởng đến tài nguyên hệ thống  Ảnh hưởng danh dự, uy tín doanh nghiệp  Mất cơ hội kinh doanh 13  Cân nhắc  Khả năng truy cập và khả năng bảo mật hệ thống tỉ lệ nghịch với nhau. 14  Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng.  Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không mâu thuẫn  Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách.  Tính chính xác: Thông tin phải chính xác, tin cậy  Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin Không có hệ thống nào tuyệt đối an toàn!!! 15 Hãng máy bay Boeing đang lưu trữ thông tin về sản phẩm sẽ tham gia hội chợ hàng không quốc tế 9/2013. Thông tin này được đánh giá 1 triệu $. Bạn hãy lựa chọn phương pháp bảo vệ cho Boeing. - Giải pháp mã hóa trị giá 800.000 với khả năng bảo mật 5 năm - Giải pháp mã hóa trị giá 500.000 với khả năng bảo mật 2 năm - Giải pháp mã hóa trị giá 100.000 với khả năng bảo mật 10 tháng 16 Giá trị thông tin - Chu kỳ sống, mức độ đánh giá Quy tắc CIA - Confedentiality (Tính bí mật) - Integrity (Tính nguyên vẹn) - Availability (Tính sẵn sàng) ******************************* - Non Repudiation (không thể từ chối) Yếu tố nào là quan trọng nhất trong quy tắc CIA ? Confidentiality IntegrityAvailability 17  C = Confidentialy  I = Integrity  A = Availability 18  Giới hạn các đối tượng được phép truy xuất đến các tài nguyên hệ thống.  Bao gồm tính bí mật về nội dung thông tin và bí mật về sự tồn tại thông tin.  Mã hóa (Encryption) và điều khiển truy xuất (Access Control) là cơ chế đảm bảo tính bí mật của hệ thống. 19  Đảm bảo thông tin không bị mất mát hoặc thay đổi ngoài ý muốn.  Bao gồm tính toàn vẹn về nội dung và toàn vẹn về nguồn gốc.  Các cơ chế xác thực (peer authentication, message authentication) được dùng để đảm bảo tính toàn vẹn thông tin. 20  Tính sẵn sàng cho các truy xuất hợp lệ.  Là đặc trưng cơ bản nhất của hệ thống thông tin.  Các mô hình bảo mật hiện đại (ví dụ X.800) không đảm bảo tính sẵn sàng.  Tấn công dạng DoS/DDoS nhắm vào tính sẵn sàng của hệ thống. 21  Không đảm bảo tính “không thể từ chối hành vi” (non-repudiation).  Không có sự tương quan với mô hình hệ thống mở OSI. => Cần xây dựng mô hình mới. 22  Là tập các cơ chế nhằm xây dựng hệ thống bảo mật theo mô hình CIA, bao gồm:  Authentication – sự xác thực  Đảm bảo một cá nhân là người mà họ tự khai nhận  Authorization – sự ủy quyền  Cấp phép truy cập thông tin  Accounting – Kiểm toán  Cung cấp khả năng theo dõi các sự kiện 23 1. Alex và Bob là sinh viên. Alex copy bài tập về nhà của Bob. 2. Alex và Bob cùng chơi game thông qua LAN. Alex được thưởng 10 điểm vì giết nhân vật của Bob nhưng Bob lại rút cáp. 3. Alex gửi cho Bob $10 (thông qua check). Anh ta thay đổi thành $100. 4. Bob đăng ký tài khoản trên cocacola.com trước khi công ty này đổi tên miền website. 24  Các loại hình tấn công  Kiến trúc mô hình OSI  Mô hình mạng an toàn tổng quát  Vai trò mã hóa  Các giao thức thực hiện bảo mật 25 Xem xét ba nhân vật tên là Alice, Bob và Trudy, trong đó Alice và Bob thực hiện trao đổi thông tin với nhau, còn Trudy là kẻ xấu, đặt thiết bị can thiệp vào kênh truyền tin giữa Alice và Bob.  Xem trộm thông tin (Release of Message Content) 26 27 28 29  Mô hình truyền thông OSI (Open System Interconnect) do tổ chức ISO (International Standards Organization) đề xuất (1982)  Các tầng trong mô hình OSI:  Tầng ứng dụng (Application Layer)  Tầng trình bày (Presentation Layer)  Tầng giao dịch (Session Layer)  Tầng vận chuyển (Transport Layer)  Tầng mạng (Network Layer)  Tầng liên kết dữ liệu (Data Link Layer)  Tầng vật lý (Physical Layer) 30 • Có thể chia thành 2 loại – Application layers: liên quan tới ứng dụng – Dataflow layers: đảm bảo việc trao đổi dữ liệu Application Layers Application Presentation Session Dataflow Layers Transport Network Datalink Physical 31 Application Presentation Session Transport Network Datalink Physical Network Datalink Physical Network Datalink Physical Application Presentation Session Transport Network Datalink Physical Liên kết vật lý Liên lạc Liên lạc NODE HOP 32 Vận chuyển các bit dữ liệu giữa hai node kế cận. 1010110101010 1010110101010 33  Đảm bảo liên kết trực tiếp giữa hai thiết bị. IEEE 802.01 Ethernet 34  Đảm bảo các gói tin đi từ máy tính này đến máy tính kia trong môi trường liên mạng 35  Đảm bảo một liên kết giữa hai tiến trình Process A Process B 36  Quản lý các yêu cầu giữa các ứng dụng.  Điều khiển đối thoại và đồng bộ hóa tiến trình. 37  Chuyển đổi dữ liệu, mã hóa, nén. 38  Giao tiếp với người dùng, ứng dụng khác (User- OSI).  Cung cấp dịch vụ.  Ví dụ: HTTP, DNS 39  Cồng kềnh  Thường dùng trong dạy học 40 41 Layers Protocols Network Access = Host-to-network = Data link + Physical Network = Internet 42 APPLICATION HTTP, FTP, SMTP, SSL, DNS TRANSPORT UDP, TCP INTERNET IP, IPSEC NETWORK ACCESS ARP 43 application transport network link physical application transport network link physical application transport network link physical application transport network link physical network link physical data data 44 source application transport Internet N.Acc HtHn M segment Ht datagram destination application transport Internet N.AccHtHnHl M HtHn M Ht M M network N.AccHtHnHl M HtHn M HtHn M HtHnHl M router switch message M M frame 45 46  Vai trò của router trong mạng nội bộ LAN (Local Area Network):  Kết nối các mạng nội bộ  Giảm kích thước quảng bá – broadcast domain, để giảm các lưu lượng mạng không cần thiết. 47  Vai trò của router trong mạng diện rộng WAN (Wide Area network): Kết nối mạng LAN với Internet. internet Router `` ` ` Modem LAN 48 49 Đụng độ 50 Star topology Truyền với tốc độ tối đa (full-duplex, dedicated access): + A to A’ + B to B’ + C to C’ 51 52 53 54 hubs routers switches traffic isolation no yes yes plug & play yes no yes optimal routing no yes no cut through yes no yes 55  DNS (Domain NameSystem)  Là hệ thống dịch tên miền (dễ nhớ đối với con người) sang địa chỉ IP mà máy tính làm việc.  Domain  Đối với Internet miền là tập hợp các máy tính có chung vị trí địa lý hay lĩnh vực kinh doanh 56  DNS Domain Name Space  Zones  Name Servers  DNS của Internet 57  DNS root (topmost level) của Internet Domain namespace được quản lý bởi Internet Corporation for Assigned Names and Numbers (ICANN).  Có 3 loại top-level domains tồn tại  Organization domains  Geographical domains  Reverse domains: có những domain đặc biệt, tên là in-addr.arpa, sử dụng cho ánh xạ từ địa chỉ IP sang tên. 58  11/2000, ICANN công bố thêm 7 top-level domain:  .biz  .coop  .info  .museum  .name  .pro  .aero 59  Hệ thống DNS là một hệ thống có cấu trúc phân cấp.  Gốc của Domain Root Domain nằm trên cùng và được kí hiệu “.” ▪ Root Domain (root layer): Gồm 13 siêu máy tính có tốc độ cực cao. ▪ Top layer: bao gồm các tên miền .com, .vn,... ▪ Second level: có thể là subdomain (vd: .com.vn) hoặc hostname (vd: microsoft.com.) 60 61  Công thức tổng quát của tên miền  Hostname + Domain Name + Root ▪ Domain Name = Subdomain. Second Level Domain. Top Level Domain. Root 62  Ví dụ Webserver.training.microsoft.com.  Trong đó: Webserver là tên Host Training là Subdomain Microsoft là Second Level Domain Com là Top Level Domain Dấu chấm là Root 63 64  Một tổ chức có thể có không gian tên miền nội bộ độc lập với không gian tên miền của Internet.  Private name có thể không được phân giải trên Internet. Ví dụ: mycompany.local 65  Hệ thống tên miền được chia ra các phần nhỏ hơn để dễ quản lý đó là các Zone.  Primary Zone  Một máy chủ chứa dữ liệu Primary Zone là máy chủ có thể toàn quyền trong việc update dữ liệu Zone.  Secondary Zone  Là một bản copy của Primary Zone 66  máy chủ chứa dữ liệu Primary Zone 67 68  A (host name): Địa chỉ IP -> hostname  PTR (pointer): hostname -> địa chỉ IP  SOA (Start Of Authority): DNS server, đầu tiên có quyền yêu cầu trả lời DNS client  NS (Name Server): Máy chủ quản lý DNS Zone  CNAME: Tên thay thế (bí danh)  MX: Xác định mail server nhận mail cho domain tương ứng  ....... 69  202.155.43.2  11001010.10011011.00101011.00000010 ID NETWORK HOST 70  Class A 1-126  Class B 128-191  Class C 192 – 223  Class D 224 – 239  Class E 240 – 247  Private  10.0.0.0 – 10.255.255.255  172.16.0.0 – 172.16.255.255  192.168.0.0 – 192.168.255.255  169.254.x.y 71  Class A 255.0.0.0  Class B 255.255.0.0  Class C 255.255.255.0  10100011.00011011.11100010.00001111  11111111.11111111.00000000.00000000 = 255.255.0.0 (subnet mask) 72 73  Broadcasting  IP: 165.134.8.123  Network: 165.134.0.0/16  Subnet mask: 255.255.0.0  Broadcast: 165.134.255.255 74  Công ty HPT có 5 chi nhánh. Theo yêu cầu mỗi chi nhánh phải VLAN riêng với địa chỉ Public IP. Biết rằng HPT có sở hữu (thuê) dãy địa chỉ 163.134.0.0. 1. Phải sử dụng thêm bao nhiêu bits cho subnet mask để có đủ 5 VLAN? 2. Số lượng tối đa IP thật mà mỗi office có thể có? 75  Cổng dịch vụ 0-65535  Well-Known 0-1023  Registered 1024 – 49151  Dynamic 49152 - 65535  Tổ hợp (IP, PORTs)  HTTP:80, SMTP:25;POP3:110; FTP:20,21  WIN SHARED: 137  DNS:53; Telnet:23; SSL:443 76 0 - 15 16 - 31 Source Port Destination Port Sequence Number Acknowledgment number IHL Resrved u r g a c k p s h r s t s y n f i n Windows size TCP Check sume Urgent Pointer Option 77  SYN – Khởi tạo kết nối  ACK – phản hồi  FIN – Kết thúc phiên kết nối  RESET – khởi tạo lại  PUSH – chuyển dữ liệu không qua buffer  URG – Thể hiện quyền ưu tiên của dữ liệu  Sequence number : 32 bit sinh ra từng 4ms  Acknowledgment number: 32 bit 78  ICMP - 1  TCP - 6  UDP - 17 79 80  Bước 1 - Host A gửi segment cho Host B có: SYN =1, ACK = 0, SN = X, ACKN=0.  Bước 2 - Sau khi nhận từ A, Host B trả lời SYN=1, ACK=1, SN=Y, ACKN=X+1  Bước 3 - Host A gửi tiếp đến B với SYN=0, ACK=1, SN=X+1, ACKN=y+1 81  1. FIN=1, ACK=1, SN=x, ACKN=y  2. FIN=0, ACK=1, ACKN=x+1  3. FIN=1, ACK=1, SN=y, ACKN=x+1  4. FIN=0, ACK=1, ACKN=y+1 82 Sau khi dùng phần mềm Sniffer để phân tích gói thông tin gửi đi từ host A Gói 1:  Protocol : UDP  Destination Port : 53  Source IP : 192.168.3.8  Destination IP : 203.162.4.1 Gói 2:  Protocol : TCP  Destination Port : 80  Source IP : 192.168.3.8  Destination IP : 203.162.4.1 SYN=1, ACK=0 Mô tả quá trình làm việc của host A, có nhận xét gì từ Source IP của host A 83  128 bits Address  8 block 16bits  Được thể hiện ở cơ số 16 71ab:1234:0:fdac:234f:2314:acde:0  Chuyển đổi từ IPv4 sang IPv6  203.123.3.6::ffff:203.123.3.6  ::1 –loopback  ff01::1, ff02::01 - Multicasting  ff01::02, ff02::02 - to all Gateways 84 0-7 8-15 16 - 31 Version IHL Services Length Indenfitication Flags Fragment offset Time to Live Protocol Header checksum SourceAddress DestinationAddress Options Data 85  IHL – Số word (32 bits) của Header thông thường IHL =5  Type Of Services – chất lượng dịch vụ  Length – chiều dài headers tính theo bytes  Identification – Số thứ tự Datagram (packets)  Flags – 3 bits, 0, DF=Don’t fragment, MF = More Fragment  Fragment Offset – Số thứ tự FM trong Datagram (bắt đầu từ 0)  TTL – Thời gian sống tạo bởi sender và giảm dần khi đi qua từng gateways.  Option – dữ liệu bổ sung và được chèn thêm cho đủ 32 bits 86 0 - 15 16 - 31 S.Port D.Port UDP Length Checksum Data 87 0 - 15 16 - 31 TYPE CODE CHECKSUM Contents 88 Type Code description 0 0 echo reply (ping) 3 0 dest. network unreachable 3 1 dest host unreachable 3 2 dest protocol unreachable 3 3 dest port unreachable 3 6 dest network unknown 3 7 dest host unknown 4 0 source quench (congestion control - not used) 8 0 echo request (ping) 9 0 route advertisement 10 0 router discovery 11 0 TTL expired 12 0 bad IP header 89 Type Code description 0 0 echo reply (ping) 3 0 dest. network unreachable 3 1 dest host unreachable 3 2 dest protocol unreachable 3 3 dest port unreachable 3 6 dest network unknown 3 7 dest host unknown 4 0 source quench (congestion control - not used) 8 0 echo request (ping) 9 0 route advertisement 10 0 router discovery 11 0 TTL expired 12 0 bad IP header Bạn cần cấm việc dò quét từ mạng khác theo giao thức ICMP. Bạn phải set lệnh deny ICMP với tham số nào? 90  MTU – Maximum Transmission Unit  MDS – Maximum Datagram Size  MSS – Maximum Segment Size  Default MDS=576, MSS=536  Một số MTU (bytes)  PPP=296, Ethernet=1500  FDDI = 4352, Token Ring 4464 91  MAC – Media Access Control  MAC Address – 48 bits địa chỉ 92 Each adapter on LAN has unique LAN address Broadcast address = FF-FF-FF-FF-FF-FF = adapter 1A-2F-BB-76-09-AD 58-23-D7-FA-20-B0 0C-C4-11-6F-E3-98 71-65-F7-2B-08-53 LAN (wired or wireless) 93  MAC address allocation administered by IEEE  manufacturer buys portion of MAC address space (to assure uniqueness)  Analogy: (a) MAC address: like Social Security Number (b) IP address: like postal address  MAC flat address ➜ portability  can move LAN card from one LAN to another  IP hierarchical address NOT portable  depends on IP subnet to which node is attached 94  Each IP node (Host, Router) on LAN has ARP table  ARP Table: IP/MAC address mappings for some LAN nodes  TTL (Time To Live): time after which address mapping will be forgotten (typically 20 min) Question: how to determine MAC address of B knowing B’s IP address? 1A-2F-BB-76-09-AD 58-23-D7-FA-20-B0 0C-C4-11-6F-E3-98 71-65-F7-2B-08-53 LAN 137.196.7.23 137.196.7.78 137.196.7.14 137.196.7.88 95  A wants to send datagram to B, and B’s MAC address not in A’s ARP table.  A broadcasts ARP query packet, containing B's IP address  Dest MAC address = FF- FF-FF-FF-FF-FF  all machines on LAN receive ARP query  B receives ARP packet, replies to A with its (B's) MAC address  frame sent to A’s MAC address (unicast)  A caches (saves) IP-to-MAC address pair in its ARP table until information becomes old (times out)  soft state: information that times out (goes away) unless refreshed  ARP is “plug-and-play”:  nodes create their ARP tables without intervention from net administrator 96 walkthrough: send datagram from A to B via R assume A know’s B IP address  Two ARP tables in router R, one for each IP network (LAN)  In routing table at source Host, find router 111.111.111.110  In ARP table at source, find MAC address E6-E9-00-17- BB-4B, etc A R B 97 Theo X.800, dịch vụ an ninh là dịch vụ cung cấp bởi một tầng giao thức của các hệ thống mở kết nối nhằm đảm bảo an ninh cho các hệ thống và các cuộc truyền dữ liệu. Có 5 loại hình:  Xác thực  Quyền truy cập  Bảo mật dữ liệu  Toàn vẹn dữ liệu  Không chối từ 98 Sử dụng mô hình X800 đòi hỏi chúng ta phải thiết kế:  Thuật toán phù hợp cho việc truyền an toàn.  Phát sinh các thông tin mật (khóa) được sử dụng bởi các thuật toán.  Phát triển các phương pháp phân phối và chia sẻ các thông tin mật.  Đặc tả giao thức cho các bên để sử dụng việc truyền và thông tin mật cho các dịch vụ an toàn. 99 100  Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu của bảo mật thông tin. Mật mã đáp ứng được các dịch vụ như xác thực, bảo mật, toàn vẹn dữ liệu, chống chối bỏ.  Môn học sẽ tập trung tìm hiểu các thuật toán mật mã cài đặt các dịch vụ bảo mật trên. 101  Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng.  huẩn chứng thực X509: dùng trong mã hóa khóa công khai.  Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến trong Web và thương mại điện tử.  PGP và S/MIME: bảo mật thư điện tử email.  Mô hình lý thuyết và nội dung các giao thức trên được trình bày trong bài 6 và 7. 102  Chứng thực truy cập (Authentication)  xác nhận rằng đối tượng (con người hay chương trình máy tính) được cấp phép truy cập vào hệ thống.  Phân quyền (Authorization)  các hành động được phép thực hiện sau khi đã truy cập vào hệ thống. 103  Tìm cách phá bỏ cơ chế Authentication và Authorization bằng các cách thức sau.  Dùng các đoạn mã phá hoại (Malware): như virus, worm, trojan, backdoor  Thực hiện các hành vi xâm phạm (Intrusion).  Giải pháp: Tường lửa, chương trình chống virus, 104 105

Các file đính kèm theo tài liệu này:

  • pdfUnlock-hutech_is_01_gioithieu_6309.pdf
Tài liệu liên quan