Tài liệu bỏa mật tiếng Việt

Tài liệu Security Tiếng Việt ( Vnexperts Network Academy ) Hà Nội-12/06/2009 http;//vnexperts.net 2 MỤC LỤC Phần 1. An ninh mạng. ........................................................................................................................................4 I. Những khái niệm cơ bản về Security ....................................................................................................4 A. Giới thiệu về Bảo mật thông tin ........................................................................................................4 B. Các khái niệm cơ bản trong bảo mật..............................................................................................4 1. Mục đích bảo mật...............................................................................................................................4 2.Confidentiabilyty Khái niêm AAA (Access control, Authentication, Auditing) ...............4 Access Control. ....................................................................................................................................4 Authentication......................................................................................................................................4 Auditing ..................................................................................................................................................4 2.Truy cập điều khiển(Access Control). ..........................................................................................5 a. MAC. ...................................................................................................................................................5 b. DAC .....................................................................................................................................................5 c. RBAC...................................................................................................................................................6 II. Bảo mật quá trình truyền dữ liệu. ........................................................................................................7 1.Quá trình truyền thông tin. ..................................................................................................................7 2. Access control.( Điều khiển truy cập) ...........................................................................................10 3. Authentication.(Xác thực người dùng) ..........................................................................................10 a.Mã hóa dữ liệu. ...................................................................................................................................10 Phương thức xác thực Kerberos. .................................................................................................11 Phương thức Xác thực CHAP ( Challenge Handshake Authentication Protocol ). .....12 Hình 3.3 Các bước xác thực CHAP. ............................................................................................13 Phương thức xác thực Chứng chỉ số (Certificates). .............................................................13 Phương thức xác thực Username, Password. .........................................................................13 Phương thức xác thực Token ........................................................................................................14 Phương thức xác thực Multi-Factor ............................................................................................14 Phuơng thức xác thực Biosmetrics .............................................................................................14 4. Auditing (Giám sát).........................................................................................................................15 III. Mã hóa. ............................................................................................................................................................16 1. Khái niệm mã hóa. ....................................................................................................................................16 a. Mã hoá DES, Triple DES (Data Encryption Standard) ...................................................16 b.Mã hoá RSA.....................................................................................................................................17 c.Thuật toán HASHING và mã hoá MDx...................................................................................18 2.Các yếu tố quyết định chất lượng của việc mã hoá. ............................................................20 3. Các yếu tố đánh giá một phương thức mã hóa.........................................................................20 Tính toàn vẹn ..........................................................................................................................................20 Tinh sẵn sàng ..........................................................................................................................................20 Tính an toàn.............................................................................................................................................20 IV. Bảo mật hạ tầng thông tin........................................................................................................................20 1. Bảo mật hệ thống phần cứng. .........................................................................................................20 2. Bảo mật hạ tầng phần mềm .............................................................................................................21 3. Bảo mật trên con người. ....................................................................................................................23 V. Bảo mật và an toàn dữ liệu trong hoạt động hàng ngày ................................................................23 Phần 2. Virus. ........................................................................................................................................................25 1. Khái niệm chung về Virus. .....................................................................................................................25 a.Khái niệm...................................................................................................................................................25 b. Quá trình phát triển của Virus..........................................................................................................25 c.Các loại Virus phân biệt theo chức năng. ......................................................................................28 2. Các triệu chứng của máy tính bị nhiễm Virus. ...............................................................................29 3. Chu kỳ sống và hoạt động của Virus. ................................................................................................29 4. Cách lây nhiễm và các phương tiện lây nhiễm của Virus ...........................................................30 Virus lây nhiễm qua thư điện tử ...........................................................................................................30 Virus lây nhiễm qua mạng Internet ....................................................................................................31 5.Biến thể...........................................................................................................................................................31 Virus có khả năng vô hiệu hoá phần mềm diệt virus ........................................................................31 6.Cách phòng chống virus và ngăn chặn tác hại của nó..................................................................31 Sử dụng phần mềm diệt virus ...............................................................................................................32 Sử dụng tường lửa .....................................................................................................................................32 http;//vnexperts.net 3 Cập nhật các bản sửa lỗi của hệ điều hành......................................................................................32 Vận dụng kinh nghiệm sử dụng máy tính .........................................................................................32 Bảo vệ dữ liệu máy tính...........................................................................................................................33 7. Giải pháp triển khai phần mềm diệt virus theo mô hình client- server ................................33 http;//vnexperts.net 4 Phần 1. An ninh mạng. I. Những khái niệm cơ bản về Security A. Giới thiệu về Bảo mật thông tin - Như chúng ta đã biết từ thời xưa con người đã biết sử dụng chữ viết và ngôn ngữ để giao tiếp với nhau. Và trong các cuộc chiến thì con người đã biến những ngôn ngữ thông thường được sử dụng để làm ngôn ngữ truyền thông tin để khỏi bị kẻ địch phát hiện. Những ngôn ngữ này được mã hóa sao cho chỉ có hai bên giao tiếp có thể hiểu được mà bên thứ 3 hay kẻ địch không hiểu được. - Ngày nay với công nghệ tiên tiến con người đã có thể mã hóa ngôn ngữ thông thường thành các tín hiệu điện, điện từ,... dưới sự giúp đỡ của các máy tính, các thiết bị chuyên dụng. Nhưng trên thực tế các hệ thống này luôn có nguy cơ tiềm ẩn về lỗ hổng thông tin. Chính vì vậy để 2 máy tính hay thiết bị nào có thể giao tiếp với nhau một cách an toàn cần đến các chính sách bảo mật. - Đặc biệt trong ngành công nghệ thông tin hiện nay thì vấn đề an toàn mạng càng trở nên cần thiết vì su thế công nghệ thông tin ngày càng phổ biến và đây là nhu cầu thiết yếu cho sự phát triển. Và để đảm bảo được an toàn trong giao tiếp thì chúng ta cần một cơ chế bảo mật phù hợp và không quá phiến phức tới người sử dụng. B. Các khái niệm cơ bản trong bảo mật. 1. Mục đích bảo mật. Tam giác bảo mật thông tin CIA CIA là viết tắt của Confidently,Intergrity,Avaibility Confidention nghĩa là sự tin cậy. Intergrity nghĩa là tính toàn vẹn Avaibility nghĩa là tính sẵn sàng 2.Confidentiabilyty Khái niêm AAA (Access control, Authentication, Auditing) Access Control. Là một sự truy cập vào hệ thống có thể là một kết nối hay một sự can thiệp vào hệ thống gây ảnh hưởng tới hệ thống. Authentication. Là một sự xác thực từ hệ thống đối với người dùng truy cập vào hệ thống. Bất cứ người dùng nào truy cập vào hệ thống đều phải trả lời các câu hỏi mà hệ thống đưa ra nếu đúng hệ thống sẽ cho truy cập nếu sai hệ thống sẽ cấm truy cập. Authentication sử dụng các phương pháp mã hóa để đảm bảo thông tin không bị tiết lộ như Kerberos, CHAP, …. Auditing Sự giám sát người dùng. Khi đã truy cập vào hệ thống người dùng có thể không những truy cập vào quyền hạn của họ và họ có thể sẽ truy cập trái phép vào các quyền hạn khác vậy http;//vnexperts.net 5 phải cần đến một chính sách giám sát công việc của họ và cũng để đảm bảo quyền hạn cho họ. 2.Truy cập điều khiển(Access Control). • MAC (Mandatory Access Control) đây là mô hình thường được sử dụng trên các máy tính hiện nay. Đây là mô hình được xây đựng dựa trên quyền tối cao của người chủ (giống như bạn là chủ nhà và bạn có toàn quyền trong căn nhà của mình bất cứ ai muốn sử dụng đều phải hỏi qua bạn) nếu bạn là chủ của một hệ thống thì các quyền hạn người dùng đều do bạn quyết định. Mô hình này thường được xây dưng trong nhà nước đặc biệt nhà nước thời phong kiến là dõ nhất. • DAC (Descriptionary Access Control) đây là mô hình tùy thuộc vào người sử dụng mà phan quyền hạn cho họ. Mô hình này sử dụng truy cập theo danh sách để quản lý (Access Control List). Mỗi người sử dụng đều có một quyền hạn nhất định và họ có thể làm bất cứ những gi trong quyền hạn mà họ được cấp. • RBAC( Rule Base Access Control) Mô hình này dựa vào vai trò của mỗi người dùng người dùng có vai trò gì trong hệ thống thì sẽ cấp quyền hạn tương ứng sao cho phù hợp và ơhats huy hết khả năng của họ. Mô hình này thường được sử dụng trong nhà nước và một số công ty đa quốc gia. a. MAC. Là một mô hình được xây dựng dựa trên nền tảng và ứng dụng trong Hệ điều hành hay nói cách khác nó cũng được xây dựng trên nền tảng của sự độc tài. Hệ điều hành điều khiển mọi thứ trong nó kể cả phần cứng hay phần mềm mà nó có thể kiểm soát giống như một ông vua có thể làm mọi thứ mà ông ta muốn. Mô hình này là một mô hình được xây dựng theo cấu trúc phân tầng, lớp. Mỗi một tầng, lớp có một quyền xác định mà tất cả các quyền hạn này đều được tập trung tại hệ điều hành bởi vậy Hệ điều hành bị lỗi là hệ thống bị sụp đổ nên mô hình MAC đã phân ra những Level khác nhau để quản lý. Các Level của MAC thường gồm có: bảo mật tối cao, bảo mật, bình thường, và quảng bá, nhạy cảm. MAC phân quyền theo một cơ chế chỉ có chủ của dữ liệu hoặc người quản trị tối cao mới có toàn quyền với dữ liệu còn những người dùng khác không có quyền gì với dữ liệu và thông tin đó. Về tình bảo mật đối với MAC là rất cao nhưng khả năng phục hổi sau tấn công là rất thấp bởi vậy MAC chỉ có thể áp dụng với những thông tin, dữ liệu tuyệt mật mà bất kì ai cũng không thể biết trừ người lắm quyền và dữ liệu đó. b. DAC DAC là mô hình quản lý truy cập dựa trên tính phụ thuộc vào người tạo ra dữ liệu . Mô hình này do nó có tính tùy chọn nên sẽ tạo ra sự thoải mái cho người dùng nhưng vấn đề phân quyền cho người dùng cũng là một vấn đề mà người quản trị phải quan tâm chặt chẽ. DAC xây dựng trên cơ sở thực tiến nên được ứng dụng nhiều vào thực tế giả dụ như ta có một trang Web và trang Web này bắt buộc phải Public trên Internet và người http;//vnexperts.net 6 dùng chỉ có thể đọc thông tin trên nó chứ không thể chỉnh sửa bất cứ thông tin gì trên nó nếu không được cho phép. Phân quyền trong DAC sử dụng Access Control List (ACL) một mô hình quản trị trong Windows hỗ trợ rất rõ: Hình 2.b. Access Control List trên Windows Server 2008. Như ta thấy Windows hỗ trợ việc cấu hình các quyền hạn cho từng người dụng, nhóm người dùng khác nhau. c. RBAC. RBAC là mô hình xây dựng trên vai trò của người dùng nó tương tụ như DAC nhưng mức độ phức tạp sẽ khó hơn DAC vì nó dựa vào những vai trò và tác vụ của người dùng. RBAC thường được sử dụng trong việc quản lý các doanh nghiêp lớn hoặc vừa và ở cấp độ phòng ban hay chi nhánh. Một công ty lớn thường quản tri theo mô hình này với lí do là dẽ quản lý và dễ phân trách nhiệm cho một người quản trị chính vì như vậy mà hệ thống thông tin cũng được phân cấp theo vai trò của người dùng trong công ty. Mô hình này có thể thay thế MAC trong một số trường hợp và nó có thể khôi phục lại sau khi bị tấn công dễ dàng hơn MAC. http;//vnexperts.net 7 RBAC thường được áp dụng cho một nhóm có chức năng giống nhau và ở đây người dùng trong cùng một nhóm đều có các quyền giống nhau. Trong Windows, Linux,Unix đều hỗ trợ việc cấu hình quyền hạn của nhóm (hay chính là RBAC) II. Bảo mật quá trình truyền dữ liệu. 1.Quá trình truyền thông tin. Quá trình truyền thông tin trong đời sống và trong ngành công nghệ thông tin có nét tương đồng. Bởi vì công nghệ thông tin được xây dựng nên từ chính thực tế. Quá trình truyền dữ liệu thường được thực hiên theo 3 bước cơ bản +, Bên gửi xây dựng thông tin, đóng gói và kiểm tra tính an toàn sau đó giao thông tin cho người vận chuyển. +, Người vận chuyển chịu trách nhiệm đưa hàng tới địa chỉ của người nhận chức năng này có thể gọi là người đưa thư. Người đưa thu có trách nhiệm kiểm tra thông tin người nhận (Xác thực người nhận). +, Bên nhận mở thông tin đã được đóng gói sau đó đọc và giải mã gói tin. Nhưng trước khi nhận hàng thì bên nhận phải làm một số thủ tục với người đưa thư nhằm xác định đúng người nhận thông tin và đúng thông tin người gửi. Trong công nghệ thông tin việc truyền dữ liệu được hiểu như là một kết nối giữa hai máy tính (thiết bị truyền tin) thông qua mạng. Chính bởi vậy hai máy tính(thiết bị truyền tin) được coi như bên nhận và bên gửi còn mạng (có thể là Internet có thể là mạng Di động..) là người vận chuyển Mô hình của quá trình vận chuyển Hình 1.1 Mô hình truyền dữ liệu Trên thực tế mô hình truyền dữ liệu trong mạng bao gồm các giao thức khác nhau qua các tầng khác nhau của mô hinh OSI hoặc TCP/IP http;//vnexperts.net 8 Tầng # Tên Các thí dụ khác nhau Bộ TCP/IP SS7 Bộ AppleTalk Bộ OSI Bộ IPX SNA UMTS AFPFTAM, X.400, X.500, DAPAPPC 7 Ứng dụng HL7, Modbus, SIP 6HTTP, SMTP, SMPP, SNMP, FTP, Telnet, NFS, NTPISUP, INAP, MAP, TUP, TCAP Trình diễn TDI, ASCII, EBCDIC, MIDI, MPEG XDR, SSL, TLS AFP ISO 8823, X.226 5 Phiên làm việc Named Pipes, NetBIOS, SAP, SDP Session establishment for TCP ASP, ADSP, ZIP, PAP ISO 8327, X.225 NWLink DLC? 4 Giao vận NetBEUI TCP, UDP, RTP, SCTP ATP, NBP, AEP, RTMP TP0, TP1, TP2, TP3, TP4, OSPF SPX, RIP 3 Mạng NetBEUI, Q.931 IP, ICMP, IPsec, ARP, RIP, BGP MTP- 3, SCCP DDP X.25 (PLP), CLNP IPX RRC (Radio Resource Control) 2 Liên kết dữ liệu Ethernet, 802.11 (WiFi), Token Ring, FDDI, PPP, HDLC, Q.921, Frame Relay, ATM, Fibre Channel MTP- 2 LocalTalk, TokenTalk, EtherTalk, AppleTalk Remote Access, PPP X.25 (LAPB), Token Bus IEEE 802.3 framing, Ethernet II framing SDLC MAC (Media Access Control) 1 Vật lý RS-232, V.35, V.34, Q.911, T1, E1, 10BASE-T, 100BASE- TX, ISDN, POTS, SONET, DSL, 802.11b, 802.11g MTP- 1 Localtalk on shielded, Localtalk on unshielded (PhoneNet) X.25 (X.21bis, EIA/TIA- 232, EIA/TIA- 449, EIA- 530, G.703) Twinax PHY (Physical Layer) http;//vnexperts.net 9 Hình 1.2 Mô hình OSI http;//vnexperts.net 10 Hình 1.2 Mô hình TCP/IP trong hệ thống mạng 2. Access control.( Điều khiển truy cập) • Trong vấn đề điều khiển truy cập người gửi sẽ định hướng cho công việc vận chuyển tới đâu và người nhận là ai. Vấn đề này trên thực tế thì chính là ciệc mà bạn điền địa chỉ trên phong bì thư còn trong công nghệ thông tin thì đó là hệ thống mạng và địa chỉ IP (Internet Protocol) đây là một giao thức xác định máy tính khác trên một hệ thống mạng. • Vấn đề truyền tin trong một hệ thống mạng không đơn giản chỉ để xác nhận thông tin về địa chỉ mà còn phải trải qua nhiều công đoạn, nhiều giao thức khác nhau. Ví dụ như bạn gửi thông tin qua các giao thức nào SMTP (Simple Mail Server Protocol), POP3 (Post Office Protocol) Http (Hyper Text Transfer Protocol).v.v.. • Những vấn đề truyền tin theo các giao thức này rất quan trọng vì thức chất các giao thức này đều có những phương thức mã hòa dữ liệu riêng. • Trong việc bảo mật riêng ta cũng có thể lựa chọn nhiều phương thức để xác nhập người nhận như IP Sec (IP security), VPN (Virtual Private Network), OpenVPN,.v.v.. • Việc truy cập không chỉ được điều khiển bởi bên gửi mà còn phụ thuộc vào bên nhận. Bên nhận có nhận hay không? Và bên nhận xác nhận có đúng thông tin hay không đó lại là một vấn đề của bên nhận. Bên nhận có sử dụng đúng giao thức nhận, có giải mã đúng theo mã hóa đã thỏa thuận hay không. • Như vậy điều khiển truy cập sẽ xác nhận thông tin từ hai phía sau đó nếu đúng thì bên nhận sẽ nhận được thông tin mà bên gửi gửi. Do đó công việc của một Hacker sẽ là việc mà lắm bắt được thông tin đóvà gói tin mà người gửi gửi. 3. Authentication.(Xác thực người dùng) a.Mã hóa dữ liệu. http;//vnexperts.net 11 • quá trình truyền thông tin trong thực tế và trong côn nghệ thông tin cũng đề bắt buộc cả bên nhận và bên gửi phải mã hóa thông tin tránh việc mất thông tin và lộ thông tin. • Trong côn nghệ thông tin thì yêu cầu mã hóa là một trong những yếu tố lòng cốt quyết định tới sự đảm bảo và tín an toàn của thông tin. Chính bởi vậy mà trong nghành công nghệ thông tin luôn luôn phải tiếp xúc với những đoạn mã của các thuật toán mã hóa. • Mã hóa bao gồm 2 bước chính là: Mã hóa ( Encrypt ) và giải mã (Deencrypt) thông tin. • Trong khi mã hóa người gửi sẽ phải tạo ra một từ khóa để mã hóa dữ liệu. Giả sử phương pháp mã hóa cổ điển như sau: Với các chữ cái A,B,C,D,E,F,G,H,... → 12,23,34,45,56,67,78,89,.... sau đó với mã hóa như vậy ta sẽ cho ra một chuỗi mã hóa từ ABC → 122334 • Với việc giải mã thì người giải mã phải có khóa (key) tương ứng để giải mã ngược lại thành ABC. Với ví dụ trên ta sẽ giải mã như sau. Mỗi chữ cái được mã hóa bởi 2 ký tự nên khi giải mã ta sẽ phải tổ hợp 2 kí tự liền nhau và theo một quy ước là A=12 B=23 C=34. Như vậy kết quả sẽ là ABC=122334. Phương thức xác thực Kerberos. • Kerberos là một phương thức mã hóa được sử dụng nhiều trong hệ thống mạng vứa và lớn. Kerberos là một phương thức mã hóa sử dụng một hệ thống xác thực trung tâm. Hệ thống này có nhiệm vụ xác thực người dùng và các dịch vụ yêu cầu. Hình 3.1 Các thành phần của Kerberos. Như ta thấy Kerberos gồm có 3 thành phần chính KDC, Client, ReSource Server. KDC là một hệ thống trung tâm sử lý các yêu cầu xác thực từ Client tới Server. Nếu Client thỏa mãn yêu cầu thì KDC sẽ cho kết nối tới Resource Server. http;//vnexperts.net 12 Hình 3.2 Mô hình xác thực của Kerberos. Các bước của phương thức xác thực Kerberos. B1. Client giửi một gói tin yêu cầu bao gồm Username, Password và có thể cả thời gian yêu cầu. B2. KDC gửi một vé xác thực (Ticket authentication ). B3. Client gửi lại vé đã được cấp nhằm xác nhận Client đã sẵn sàng hay gọi tắt là TGT ( Ticket Gain Ticket) . B4. KDC yêu cầu một phiên kết nối tới Server gọi tắt là ST (Session Ticket ). B5. KDC được sự chấp nhận của Server sẽ gửi lại ST cho Client. B6. Client sẽ gửi tới Server Session Ticket yêu cầu kết nối. B7. Bắt đầu kết nối giữa Client với Server. Phương thức Xác thực CHAP ( Challenge Handshake Authentication Protocol ). CHAP thường được cấu hình cùng với PPP (Point to Point Protocol) một giao thức điểm điểm và nó có đặc điểm là bảo đảm kết nối giữa hai máy được đảm bảo hơn SLIP nhưng nó bắt buộc hai bên phải đặ địa chỉ IP tĩnh. Các bước xác thực bằng CHAP. B1. Client gửi yêu cầu tới Server (hoặc địa chỉ cần kết nối). B2,3. Client thương lượng với Server để tìm khoá (Key) B4. Client nhận được Key mã hoá và gửi Key+Username, Password đã được mã hoá bởi Key. B 5,6. Server sẽ kiểm tra Username, Password từ client bằng cách giải mã theo Key đã đưọc thương lượng. B7. Kết nối nếu thoả mãn và báo lỗi nêu không thoả mãn. http;//vnexperts.net 13 Mô hình như hình sau. Hình 3.3 Các bước xác thực CHAP. Phương thức xác thực Chứng chỉ số (Certificates). • Certificates là do một hệ thống xây dựng, phân bổ và lưu chữ. Nó được xây dựng trên các mã hoá điện toán, mã code, mã từ.v.v.. • Certificates thường được sử dụng với các máy tính có mục đích xác minh người dùng nó giống như vân tay con người và thông tin người dùng được lưu chữ trong bộ nhớ của máy xác nhận. • Mỗi chứng chỉ bao gồm thông tin người dùng, mã vạch hoặc mã điện toán,.v.v.,Ceritificates thường đi kèm với xác thực Username Password hai phương thức xác thực này thường bôt trợ cho nhau về tính an toàn và bảo mật. • Trong network Certificates thường được sử dụng trong IPSec. IPSec là một phương pháp định địa chỉ IP có tính bảo mật cao thường đi kèm với các chứng chỉ số nhằm mục đích tránh sự giả mạo địa chỉ IP. • Lưu ý nếu như ta để mất Certificates có thể sẽ mất toàn quyền đối với dữ liệu của ta. Vì phương thức xác thực này sử dụng Public key và Private key (Certificates User) Phương thức xác thực Username, Password. • Username, Password là phương thức xác thực thường được sử dụng nhiều nhất trong đời sống và trong công nghệ thông tin. • Username, Password là phương thức nhằm xác định tên người dùng, tài khoản, mật khẩu. Nó giống như tên, họ của bạn và giấy tờ tuỳ thân của bạn. • Lưu ý đối với người dùng Internet hay máy tính nói chung nên đặt mật khẩu dài hơn 8 ký tự và Password bao gồm cả ký tự hoa,thường, chữ số, và ký tự đặc biệt. http;//vnexperts.net 14 • Phương thức xác thực này được coi là yếu nhất trong các phương thức xác thực nhưng giá thành lại dẻ nhất và dễ sử dụng đối với người dùng. Nó giống như là bạn chỉ cần khai tên họ khi vào ra công ty hay cơ quan làm việc. Phương thức xác thực Token • Kĩ thuật xác thực bằng Token là một sự kết hợp giữa một số phương thức xác thực có thể sử dụng trên mạng và hu một số phương thức xác thực người dùng. • Kĩ thuật này được xây dựng trên cơ sở phần cứng và phần mềm và được xem như một phương thức xác thực nhiều thành phần. • Phương thức này thường được sử dụng trong việc thanh toán và ghi giá thành sản phẩm lên bao bì nó bao gồm những đoạn mã vạch, mã từ để xác nhận th