Bài giảng Bảo mật thông tin - Đại học Công nghệ TP HCM - Bài 1: Tổng quan về Bảo mật thông tin

Trình bày: Ths. Lương Trần Hy Hiến
30%: Thi thực hành (do GV thực hành quyết định)
70%: Đồ án môn học
Thực hiện đồ án theo yêu cầu
Vấn đáp đồ án
Vấn đáp lý thuyết 2
Bài 1: Tổng quan về Bảo mật Thông tin
Bài 2: Mã hóa đối xứng cổ điển
Bài 3: Mã hóa đối xứng hiện đại
Bài 4: Mã hóa công khai RSA
Bài 5: Quản lý khóa dùng mã công khai
Bài 6: Chứng thực Thông điệp, Hàm băm
Bài 7: Bảo mật mạng nội bộ và An toàn IP
Bài 8: Bảo mật Web và Mail
Bài 9: Ứng dụng kiểm soát truy cập 3
Giáo trình HUTECH
Sách, giáo trình online
Google 4
Sống có đạo đức, làm người tốt;
Hiểu luật ‘Nhân – Quả’;
Khi làm việc gì cũng cố gắng tập trung, có thái độ nghiêm túc;
Có trách nhiệm;
Không ngại tiếp xúc với bất kỳ trở ngại nào, khi gặp mâu thuẫn thì đối diện để giải quyết chứ không trốn tránh.
Không sử dụng kiến thức môn học này để làm điều vi phạm pháp luật. 5
Bạn hiểu gì về:
Bảo mật?
Thông tin?
An toàn Thông tin?
Keyword:
Computer Security, Crytography, Network Security,
Các khóa học trên thế giới:
Stanford (
Coursera 6
Mục đích
Tham gia vào các hoạt động seminar
Tập làm việc nhóm
Phát huy trí tuệ tập thể
Yêu cầu
Mỗi nhóm có từ 2-5 thành viên.
Các thành viên phải biết tên nhau.
Có tên nhóm, tiêu chí, băng reo.
Sẽ gọi ngẫu nhiên các nhóm tự giới thiệu trong 30’ ! 7 8 Sau khi học xong bài này, sinh viên hiểu:
Tại sao cần bảo mật thông tin?
Các kiểu tấn công mạng xảy ra như thế nào?
Giải pháp bảo mật mạng được các nhà nghiên cứu chuẩn hóa, đề nghị là gì?
Vai trò của lý thuyết mật mã trong bảo mật thông tin? 9
Bảo mật thông tin (Information Security)
Trước đây mang nghĩa: các biện pháp nhằm đảm bảo cho thông tin được trao đổi hay cất giữ một cách an toàn và bí mật.
Đóng dấu và ký niêm phong một bức thư (còn nguyên vẹn đến người nhận hay không).
Mã hóa thông điệp để chỉ có người gửi và người nhận hiểu được thông điệp (trong chính trị và quân sự).
Lưu giữ tài liệu mật trong các két sắt có khóa, tại các nơi được bảo vệ nghiêm ngặt, chỉ có những người được cấp quyền mới có thể xem tài liệu. 10 Ngày nay, Bảo mật Thông tin :
Bảo vệ thông tin trong quá trình truyền thông tin trên mạng (Network Security).
Bảo vệ hệ thống máy tính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bên ngoài (System Security). 11
Các yếu tố cần bảo vệ
Dữ liệu
Tài nguyên: con người, hệ thống, đường truyền
Danh tiếng
An ninh mạng cần phải có giải pháp tổng thể
Không có gì gọi là an toàn tuyệt đối 12
Tác hại đến doanh nghiệp
Tốn kém chi phí
Tốn kém thời gian
Ảnh hưởng đến tài nguyên hệ thống
Ảnh hưởng danh dự, uy tín doanh nghiệp
Mất cơ hội kinh doanh 13
Cân nhắc
Khả năng truy cập và khả năng bảo mật hệ thống tỉ lệ nghịch với nhau. 14
Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng.
Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không mâu thuẫn
Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách.
Tính chính xác: Thông tin phải chính xác, tin cậy
Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin Không có hệ thống nào tuyệt đối an toàn!!! 15 Hãng máy bay Boeing đang lưu trữ thông tin về sản phẩm sẽ tham gia hội chợ hàng không quốc tế 9/2013. Thông tin này được đánh giá 1 triệu $. Bạn hãy lựa chọn phương pháp bảo vệ cho Boeing. - Giải pháp mã hóa trị giá 800.000 với khả năng bảo mật 5 năm - Giải pháp mã hóa trị giá 500.000 với khả năng bảo mật 2 năm - Giải pháp mã hóa trị giá 100.000 với khả năng bảo mật 10 tháng 16 Giá trị thông tin - Chu kỳ sống, mức độ đánh giá Quy tắc CIA - Confedentiality (Tính bí mật) - Integrity (Tính nguyên vẹn) - Availability (Tính sẵn sàng) ******************************* - Non Repudiation (không thể từ chối) Yếu tố nào là quan trọng nhất trong quy tắc CIA ? Confidentiality IntegrityAvailability 17
C = Confidentialy
I = Integrity
A = Availability 18
Giới hạn các đối tượng được phép truy xuất đến các tài nguyên hệ thống.
Bao gồm tính bí mật về nội dung thông tin và bí mật về sự tồn tại thông tin.
Mã hóa (Encryption) và điều khiển truy xuất (Access Control) là cơ chế đảm bảo tính bí mật của hệ thống. 19
Đảm bảo thông tin không bị mất mát hoặc thay đổi ngoài ý muốn.
Bao gồm tính toàn vẹn về nội dung và toàn vẹn về nguồn gốc.
Các cơ chế xác thực (peer authentication, message authentication) được dùng để đảm bảo tính toàn vẹn thông tin. 20
Tính sẵn sàng cho các truy xuất hợp lệ.
Là đặc trưng cơ bản nhất của hệ thống thông tin.
Các mô hình bảo mật hiện đại (ví dụ X.800) không đảm bảo tính sẵn sàng.
Tấn công dạng DoS/DDoS nhắm vào tính sẵn sàng của hệ thống. 21
Không đảm bảo tính “không thể từ chối hành vi” (non-repudiation).
Không có sự tương quan với mô hình hệ thống mở OSI. => Cần xây dựng mô hình mới. 22
Là tập các cơ chế nhằm xây dựng hệ thống bảo mật theo mô hình CIA, bao gồm:
Authentication – sự xác thực
Đảm bảo một cá nhân là người mà họ tự khai nhận
Authorization – sự ủy quyền
Cấp phép truy cập thông tin
Accounting – Kiểm toán
Cung cấp khả năng theo dõi các sự kiện 23 1. Alex và Bob là sinh viên. Alex copy bài tập về nhà của Bob. 2. Alex và Bob cùng chơi game thông qua LAN. Alex được thưởng 10 điểm vì giết nhân vật của Bob nhưng Bob lại rút cáp. 3. Alex gửi cho Bob $10 (thông qua check). Anh ta thay đổi thành $100. 4. Bob đăng ký tài khoản trên cocacola.com trước khi công ty này đổi tên miền website. 24
Các loại hình tấn công
Kiến trúc mô hình OSI
Mô hình mạng an toàn tổng quát
Vai trò mã hóa
Các giao thức thực hiện bảo mật 25 Xem xét ba nhân vật tên là Alice, Bob và Trudy, trong đó Alice và Bob thực hiện trao đổi thông tin với nhau, còn Trudy là kẻ xấu, đặt thiết bị can thiệp vào kênh truyền tin giữa Alice và Bob.
Xem trộm thông tin (Release of Message Content) 26 27 28 29
Mô hình truyền thông OSI (Open System Interconnect) do tổ chức ISO (International Standards Organization) đề xuất (1982)
Các tầng trong mô hình OSI:
Tầng ứng dụng (Application Layer)
Tầng trình bày (Presentation Layer)
Tầng giao dịch (Session Layer)
Tầng vận chuyển (Transport Layer)
Tầng mạng (Network Layer)
Tầng liên kết dữ liệu (Data Link Layer)
Tầng vật lý (Physical Layer) 30 • Có thể chia thành 2 loại – Application layers: liên quan tới ứng dụng – Dataflow layers: đảm bảo việc trao đổi dữ liệu Application Layers Application Presentation Session Dataflow Layers Transport Network Datalink Physical 31 Application Presentation Session Transport Network Datalink Physical Network Datalink Physical Network Datalink Physical Application Presentation Session Transport Network Datalink Physical Liên kết vật lý Liên lạc Liên lạc NODE HOP 32 Vận chuyển các bit dữ liệu giữa hai node kế cận. 1010110101010 1010110101010 33
Đảm bảo liên kết trực tiếp giữa hai thiết bị. IEEE 802.01 Ethernet 34
Đảm bảo các gói tin đi từ máy tính này đến máy tính kia trong môi trường liên mạng 35
Đảm bảo một liên kết giữa hai tiến trình Process A Process B 36
Quản lý các yêu cầu giữa các ứng dụng.
Điều khiển đối thoại và đồng bộ hóa tiến trình. 37
Chuyển đổi dữ liệu, mã hóa, nén. 38
Giao tiếp với người dùng, ứng dụng khác (User- OSI).
Cung cấp dịch vụ.
Ví dụ: HTTP, DNS 39
Cồng kềnh
Thường dùng trong dạy học 40 41 Layers Protocols Network Access = Host-to-network = Data link + Physical Network = Internet 42 APPLICATION HTTP, FTP, SMTP, SSL, DNS TRANSPORT UDP, TCP INTERNET IP, IPSEC NETWORK ACCESS ARP 43 application transport network link physical application transport network link physical application transport network link physical application transport network link physical network link physical data data 44 source application transport Internet N.Acc HtHn M segment Ht datagram destination application transport Internet N.AccHtHnHl M HtHn M Ht M M network N.AccHtHnHl M HtHn M HtHn M HtHnHl M router switch message M M frame 45 46
Vai trò của router trong mạng nội bộ LAN (Local Area Network):
Kết nối các mạng nội bộ
Giảm kích thước quảng bá – broadcast domain, để giảm các lưu lượng mạng không cần thiết. 47
Vai trò của router trong mạng diện rộng WAN (Wide Area network): Kết nối mạng LAN với Internet. internet Router `` ` ` Modem LAN 48 49 Đụng độ 50 Star topology Truyền với tốc độ tối đa (full-duplex, dedicated access): + A to A’ + B to B’ + C to C’ 51 52 53 54 hubs routers switches traffic isolation no yes yes plug & play yes no yes optimal routing no yes no cut through yes no yes 55
DNS (Domain NameSystem)
Là hệ thống dịch tên miền (dễ nhớ đối với con người) sang địa chỉ IP mà máy tính làm việc.
Domain
Đối với Internet miền là tập hợp các máy tính có chung vị trí địa lý hay lĩnh vực kinh doanh 56
DNS Domain Name Space
Zones
Name Servers
DNS của Internet 57
DNS root (topmost level) của Internet Domain namespace được quản lý bởi Internet Corporation for Assigned Names and Numbers (ICANN).
Có 3 loại top-level domains tồn tại
Organization domains
Geographical domains
Reverse domains: có những domain đặc biệt, tên là in-addr.arpa, sử dụng cho ánh xạ từ địa chỉ IP sang tên. 58
11/2000, ICANN công bố thêm 7 top-level domain:
.biz
.coop
.info
.museum
.name
.pro
.aero 59
Hệ thống DNS là một hệ thống có cấu trúc phân cấp.
Gốc của Domain Root Domain nằm trên cùng và được kí hiệu “.” ▪ Root Domain (root layer): Gồm 13 siêu máy tính có tốc độ cực cao. ▪ Top layer: bao gồm các tên miền .com, .vn,... ▪ Second level: có thể là subdomain (vd: .com.vn) hoặc hostname (vd: microsoft.com.) 60 61
Công thức tổng quát của tên miền
Hostname + Domain Name + Root ▪ Domain Name = Subdomain. Second Level Domain. Top Level Domain. Root 62
Ví dụ Webserver.training.microsoft.com.
Trong đó: Webserver là tên Host Training là Subdomain Microsoft là Second Level Domain Com là Top Level Domain Dấu chấm là Root 63 64
Một tổ chức có thể có không gian tên miền nội bộ độc lập với không gian tên miền của Internet.
Private name có thể không được phân giải trên Internet. Ví dụ: mycompany.local 65
Hệ thống tên miền được chia ra các phần nhỏ hơn để dễ quản lý đó là các Zone.
Primary Zone
Một máy chủ chứa dữ liệu Primary Zone là máy chủ có thể toàn quyền trong việc update dữ liệu Zone.
Secondary Zone
Là một bản copy của Primary Zone 66
máy chủ chứa dữ liệu Primary Zone 67 68
A (host name): Địa chỉ IP -> hostname
PTR (pointer): hostname -> địa chỉ IP
SOA (Start Of Authority): DNS server, đầu tiên có quyền yêu cầu trả lời DNS client
NS (Name Server): Máy chủ quản lý DNS Zone
CNAME: Tên thay thế (bí danh)
MX: Xác định mail server nhận mail cho domain tương ứng
....... 69
202.155.43.2
11001010.10011011.00101011.00000010 ID NETWORK HOST 70
Class A 1-126
Class B 128-191
Class C 192 – 223
Class D 224 – 239
Class E 240 – 247
Private
10.0.0.0 – 10.255.255.255
172.16.0.0 – 172.16.255.255
192.168.0.0 – 192.168.255.255
169.254.x.y 71
Class A 255.0.0.0
Class B 255.255.0.0
Class C 255.255.255.0
10100011.00011011.11100010.00001111
11111111.11111111.00000000.00000000 = 255.255.0.0 (subnet mask) 72 73
Broadcasting
IP: 165.134.8.123
Network: 165.134.0.0/16
Subnet mask: 255.255.0.0
Broadcast: 165.134.255.255 74
Công ty HPT có 5 chi nhánh. Theo yêu cầu mỗi chi nhánh phải VLAN riêng với địa chỉ Public IP. Biết rằng HPT có sở hữu (thuê) dãy địa chỉ 163.134.0.0. 1. Phải sử dụng thêm bao nhiêu bits cho subnet mask để có đủ 5 VLAN? 2. Số lượng tối đa IP thật mà mỗi office có thể có? 75
Cổng dịch vụ 0-65535
Well-Known 0-1023
Registered 1024 – 49151
Dynamic 49152 - 65535
Tổ hợp (IP, PORTs)
HTTP:80, SMTP:25;POP3:110; FTP:20,21
WIN SHARED: 137
DNS:53; Telnet:23; SSL:443 76 0 - 15 16 - 31 Source Port Destination Port Sequence Number Acknowledgment number IHL Resrved u r g a c k p s h r s t s y n f i n Windows size TCP Check sume Urgent Pointer Option 77
SYN – Khởi tạo kết nối
ACK – phản hồi
FIN – Kết thúc phiên kết nối
RESET – khởi tạo lại
PUSH – chuyển dữ liệu không qua buffer
URG – Thể hiện quyền ưu tiên của dữ liệu
Sequence number : 32 bit sinh ra từng 4ms
Acknowledgment number: 32 bit 78
ICMP - 1
TCP - 6
UDP - 17 79 80
Bước 1 - Host A gửi segment cho Host B có: SYN =1, ACK = 0, SN = X, ACKN=0.
Bước 2 - Sau khi nhận từ A, Host B trả lời SYN=1, ACK=1, SN=Y, ACKN=X+1
Bước 3 - Host A gửi tiếp đến B với SYN=0, ACK=1, SN=X+1, ACKN=y+1 81
1. FIN=1, ACK=1, SN=x, ACKN=y
2. FIN=0, ACK=1, ACKN=x+1
3. FIN=1, ACK=1, SN=y, ACKN=x+1
4. FIN=0, ACK=1, ACKN=y+1 82 Sau khi dùng phần mềm Sniffer để phân tích gói thông tin gửi đi từ host A Gói 1:
Protocol : UDP
Destination Port : 53
Source IP : 192.168.3.8
Destination IP : 203.162.4.1 Gói 2:
Protocol : TCP
Destination Port : 80
Source IP : 192.168.3.8
Destination IP : 203.162.4.1 SYN=1, ACK=0 Mô tả quá trình làm việc của host A, có nhận xét gì từ Source IP của host A 83
128 bits Address
8 block 16bits
Được thể hiện ở cơ số 16 71ab:1234:0:fdac:234f:2314:acde:0
Chuyển đổi từ IPv4 sang IPv6
203.123.3.6::ffff:203.123.3.6
::1 –loopback
ff01::1, ff02::01 - Multicasting
ff01::02, ff02::02 - to all Gateways 84 0-7 8-15 16 - 31 Version IHL Services Length Indenfitication Flags Fragment offset Time to Live Protocol Header checksum SourceAddress DestinationAddress Options Data 85
IHL – Số word (32 bits) của Header thông thường IHL =5
Type Of Services – chất lượng dịch vụ
Length – chiều dài headers tính theo bytes
Identification – Số thứ tự Datagram (packets)
Flags – 3 bits, 0, DF=Don’t fragment, MF = More Fragment
Fragment Offset – Số thứ tự FM trong Datagram (bắt đầu từ 0)
TTL – Thời gian sống tạo bởi sender và giảm dần khi đi qua từng gateways.
Option – dữ liệu bổ sung và được chèn thêm cho đủ 32 bits 86 0 - 15 16 - 31 S.Port D.Port UDP Length Checksum Data 87 0 - 15 16 - 31 TYPE CODE CHECKSUM Contents 88 Type Code description 0 0 echo reply (ping) 3 0 dest. network unreachable 3 1 dest host unreachable 3 2 dest protocol unreachable 3 3 dest port unreachable 3 6 dest network unknown 3 7 dest host unknown 4 0 source quench (congestion control - not used) 8 0 echo request (ping) 9 0 route advertisement 10 0 router discovery 11 0 TTL expired 12 0 bad IP header 89 Type Code description 0 0 echo reply (ping) 3 0 dest. network unreachable 3 1 dest host unreachable 3 2 dest protocol unreachable 3 3 dest port unreachable 3 6 dest network unknown 3 7 dest host unknown 4 0 source quench (congestion control - not used) 8 0 echo request (ping) 9 0 route advertisement 10 0 router discovery 11 0 TTL expired 12 0 bad IP header Bạn cần cấm việc dò quét từ mạng khác theo giao thức ICMP. Bạn phải set lệnh deny ICMP với tham số nào? 90
MTU – Maximum Transmission Unit
MDS – Maximum Datagram Size
MSS – Maximum Segment Size
Default MDS=576, MSS=536
Một số MTU (bytes)
PPP=296, Ethernet=1500
FDDI = 4352, Token Ring 4464 91
MAC – Media Access Control
MAC Address – 48 bits địa chỉ 92 Each adapter on LAN has unique LAN address Broadcast address = FF-FF-FF-FF-FF-FF = adapter 1A-2F-BB-76-09-AD 58-23-D7-FA-20-B0 0C-C4-11-6F-E3-98 71-65-F7-2B-08-53 LAN (wired or wireless) 93
MAC address allocation administered by IEEE
manufacturer buys portion of MAC address space (to assure uniqueness)
Analogy: (a) MAC address: like Social Security Number (b) IP address: like postal address
MAC flat address ➜ portability
can move LAN card from one LAN to another
IP hierarchical address NOT portable
depends on IP subnet to which node is attached 94
Each IP node (Host, Router) on LAN has ARP table
ARP Table: IP/MAC address mappings for some LAN nodes
TTL (Time To Live): time after which address mapping will be forgotten (typically 20 min) Question: how to determine MAC address of B knowing B’s IP address? 1A-2F-BB-76-09-AD 58-23-D7-FA-20-B0 0C-C4-11-6F-E3-98 71-65-F7-2B-08-53 LAN 137.196.7.23 137.196.7.78 137.196.7.14 137.196.7.88 95
A wants to send datagram to B, and B’s MAC address not in A’s ARP table.
A broadcasts ARP query packet, containing B's IP address
Dest MAC address = FF- FF-FF-FF-FF-FF
all machines on LAN receive ARP query
B receives ARP packet, replies to A with its (B's) MAC address
frame sent to A’s MAC address (unicast)
A caches (saves) IP-to-MAC address pair in its ARP table until information becomes old (times out)
soft state: information that times out (goes away) unless refreshed
ARP is “plug-and-play”:
nodes create their ARP tables without intervention from net administrator 96 walkthrough: send datagram from A to B via R assume A know’s B IP address
Two ARP tables in router R, one for each IP network (LAN)
In routing table at source Host, find router 111.111.111.110
In ARP table at source, find MAC address E6-E9-00-17- BB-4B, etc A R B 97 Theo X.800, dịch vụ an ninh là dịch vụ cung cấp bởi một tầng giao thức của các hệ thống mở kết nối nhằm đảm bảo an ninh cho các hệ thống và các cuộc truyền dữ liệu. Có 5 loại hình:
Xác thực
Quyền truy cập
Bảo mật dữ liệu
Toàn vẹn dữ liệu
Không chối từ 98 Sử dụng mô hình X800 đòi hỏi chúng ta phải thiết kế:
Thuật toán phù hợp cho việc truyền an toàn.
Phát sinh các thông tin mật (khóa) được sử dụng bởi các thuật toán.
Phát triển các phương pháp phân phối và chia sẻ các thông tin mật.
Đặc tả giao thức cho các bên để sử dụng việc truyền và thông tin mật cho các dịch vụ an toàn. 99 100
Mật mã hay mã hóa dữ liệu (cryptography), là một công cụ cơ bản thiết yếu của bảo mật thông tin. Mật mã đáp ứng được các dịch vụ như xác thực, bảo mật, toàn vẹn dữ liệu, chống chối bỏ.
Môn học sẽ tập trung tìm hiểu các thuật toán mật mã cài đặt các dịch vụ bảo mật trên. 101
Keberos: là giao thức dùng để chứng thực dựa trên mã hóa đối xứng.
huẩn chứng thực X509: dùng trong mã hóa khóa công khai.
Secure Socket Layer (SSL): là giao thức bảo mật Web, được sử dụng phổ biến trong Web và thương mại điện tử.
PGP và S/MIME: bảo mật thư điện tử email.
Mô hình lý thuyết và nội dung các giao thức trên được trình bày trong bài 6 và 7. 102
Chứng thực truy cập (Authentication)
xác nhận rằng đối tượng (con người hay chương trình máy tính) được cấp phép truy cập vào hệ thống.
Phân quyền (Authorization)
các hành động được phép thực hiện sau khi đã truy cập vào hệ thống. 103
Tìm cách phá bỏ cơ chế Authentication và Authorization bằng các cách thức sau.
Dùng các đoạn mã phá hoại (Malware): như virus, worm, trojan, backdoor
Thực hiện các hành vi xâm phạm (Intrusion).
Giải pháp: Tường lửa, chương trình chống virus, 104 105