Bài giảng An ninh mạng - Chương 5, Phần 1: Bảo đảm an toàn mạng - Nguyễn Đại Thọ

 bằng mật mã:
 . Theo đường truyền (Link Oriented Security)
 . Từ mút-đến-mút (End-to-End).
 . Cách thứ nhất:
 . -CáchĐặcthứđiểmhai: thông: tin được mã hoá để bảo vệ trên đường
 truyềnĐặc điểmgiữa: thông2 nút tinkhôngđượcquanbảotâmvệ đếntrênnguồntoàn đườngvà đíchđicủatừ
 thôngnguồntintớiđóđích. . Thông tin được mã hoá ngay khi mới được
 -tạoƯura điểmvà chỉ: đượclà có giảithể mãbí khimậtđếnđượcđíchluồng. thông tin giữa
 nguồnƯu điểmvà: lđíchà ngườivà cósửthểdụngngăncó thểchặndùngđượcnó toànmà khôngbộ cácảnhvi
 phạmhưởngnhằmgì đếnphânngườitíchsửthôngdụngtinkháctrên. mạng.
 -NhượcNhượcđiểmđiểm: là: làchỉvìcóthôngdữ liệutin ngườichỉ đượcsử mãdụnghoáđượctrênmãđườnghoá,
 truyềncòn thôngnêntinđòiđiềuhỏi cáckhiểnnútphảiphảigiữđượcnguyênbảo vệđể tốtcó.thể xử lý tại
 các node.
31
 Quá trình mã hóa
 . Thông tin ban đầu (plaintext) cần được thay đổi (mật mã
 hoá - encryption) thành thông tin được mã hoá (cyphertext).
 . Một cơ chế mật mã bằng khóa mật mã được sử dụng để
 mật mã hoá thông tin.
 Encryption engine
 . Sau đó, cơ chế giải mã (decryption) bằng khóa giải mã sẽ
 giải mã thông tin mã hoá thành thông tin ban đầu.
 . Nếu khóaplaintextmật mã và khoá giải mã giống nhaucyphertextthì đây là hệ
 thống mật mã dùng khoá đối xứng (symmetric key). Ngoài
 ra còn có hệ thống mật mã dùng khóa không đối xứng
 (asymmetric key)
32
 Một số giải thuật mật mã kinh điển
 . Giải thuật DES (Dataencryption Standard)
 . Khoá. mãcônghoá cáckhaikhối(Public64 key)bits :của văn bản gốc thành 64 bits
 văn bản mật bằng một khoá.
 . Giải. CácthuậtphươngRSA pháp mật mã chỉ dùng một khoá cho cả mã
 . Khoáhoá lẫngồmgiải64mãbitsđòitronghỏiđóngười56 bitsgửiđượcvà ngườidùng mãnhậnhoáphảivà
 . biếtdựakhoátrên nhậnvà giữxétbí saumật:.phân tích ra thừa số của tích của
 82 bitssố nguyêncòn lại tốđượcrất lớndùngcựcđểkỳkiểmkhósoátkhănlỗi. .
 . Tồn tại chính của các phương pháp này là làm thế nào
 .. MộtđểVì vậy,phânkhốitíchphốidữ củaliệukhoá2cầnsốmộtmãnguyêncáchhoá sẽantố phảicótoàn,thểtrảiđặccôngquabiệtkhai,3 trongquácòntrìnhmôi2
 xửtrườngsố nguyênlý: Hoánnhiềutốvịngườilớnkhởicósửđầu,thểdụngdùngtính. toánđể tạophụkhoáthuộcgiảikhoámã màvà
 hoánkhôngvịsợđảobịngượcmất anhoántoàn.vị khởi đầu.
 . Để khắc phục, người ta thường sử dụng phương pháp
 . mãTronghoágiải2 khoá,thuật RSAmột khoámỗi trạmcônglựakhaichọnđểngẫumã hoánhiênvà 2mộtsố
 mãnguyênbí mậttố đểlớngiảip vàmãq. và nhân chúng với nhau để có tích
 n=pq (p và q được giữ bí mật).
33
 V.3.2. Bức tƣờng lửa (Firewall)
 . Firewall là một hệ thống dùng để tăng cường khống chế
 truy xuất, phòng ngừa đột nhập bên ngoài vào hệ thống sử
 dụng tài nguyên của mạng một cách phi pháp.
 . Tất cả thông tin đến và đi nhất thiết phải đi qua Firewall và
 chịu sự kiểm tra của bức tường lửa. Firewall có 5 chức
 năng lớn sau:
 . Lọc gói dữ liệu đi vào/ra mạng lưới.
 . Quản lý hành vi khai thác đi vào/ra mạng lưới
 . Ngăn chặn một hành vi bất hợp pháp nào đó.
 . Ghi chép nội dung tin tức và hoạt động qua bức tường lửa.
 . Tiến hành đo thử giám sát và cảnh báo sự tấn công đối với
 mạng lưới.
34
 Ƣu điểm, nhƣợc điểm của bức tƣờng lửa
 a. Ưu điểm:
 b. . NhượcBảo vệđiểmmạng nội bộ. Cho phép người quản trị mạng xác
 định một điểm khống chế ngăn chặn để phòng ngừa tin
 . Hạntặc,chếkẻ phádịchhoại,vụ cóxâmích,nhậpvì đểmạngnângnộicaobộtính. an toàn mạng,
 người quản trị hạn chế hoặc đóng nhiều dịch vụ có ích của
 . mạngCấm. không cho các loại dịch vụ kém an toàn ra vào mạng,
 đồng thời chống trả sự công kích đến từ các đường khác.
 . Không phòng hộ được sự tấn công của kẻ phá hoại trong
 . Tính an toàn tập trung, tính an toàn mạng được củng cố
 mạngtrên hệnộithốngbộ. Firewall mà không phải phân bố trên tất cả
 . Khôngmáy chủthểcủangănmạngchăn. sự tấn công thông qua những con
 . đườngBảo vệkhácnhữngngoàidịchbứcvụtườngyếu kémlửa. trong mạng. Firewall dễ
 . Firewalldàng giámInternetsát tínhkhôngan toànthể hoànmạngtoànvà phátphòngra ngừacảnh bảođược. sự
 . phátFirewalltán phầncó thểmềmgiảmhoặcđi vấntệp đãđềnhiễmkhôngvirusgian. địa chỉ và che
 dấu cấu trúc của mạng nội bộ.
 . Tăng cường tính bảo mật, nhấn mạnh quyền sở hữu.
 . Firewall được sử dụng để quản lý lưu lượng từ mạng ra
 ngoài, xây dựng phương án chống nghẽn.
35
 Lọc gói tin tại firewall
36
 V.3.3. Các loại Firewall 
 . Firewall lọc gói:
 . -FirewallThườngcổnglà mộtmạngbộ địnhhai ngăntuyến: có lọc.
 . Firewall che chắn (Screening):
 - LàKhiloạinhậnFirewallmột góicó haidữcửaliệu,nốinóđếnquyếtmạngđịnhkháccho. phép qua
 . hoặcFirewall- MáyVí dụtừchủchechốimộtbắtchắnbằngcửabuộcmạngnốicáchcótớithẩmconsựmột:kếttramạngnốigóitớitinbêntấtđể cảxácngoàimáyđịnhkhôngchủquybêntắctín
 lọcngoàinhiệm-góiHệvớicòndựathốngmáymộtvàoFirewallchủcáccửakiênthôngnốichecố,tớichắntinkhôngmộtcủamạngchoHeadermạngphépconnộidùngđểkếtbộđảmnốihaicóbảotrựcbộthểđịnhquátiếptín
 trìnhvớinhiệmtuyếnmáychuyển. chủlọc góinộiphátvàbộIP.một. máy chủ kiên cố, cho phép thiết lập
 - ĐặcFirewallhệ thốngđiểmchelớnFirewallchắnnhất máyFirewallan toànchủnhất,loạilà donàyvìbộnólàđịnhgóiđảmtintuyếnbảoIP bịchứclọcchặngóinănglạivà.
 máyanchủtoànkiêntầngcốmạnghợp thànhvà tầng. ứng dụng.
 - Hệ thống Firewall có cấp an toàn cao hơn so với hệ thống
 Firewall lọc gói thông thường vì nó đảm bảo an toàn tầng
 mạng (lọc gói) và tầng ứng dụng (dịch vụ đại lý).
37
 V.3.4. Kỹ thuật Firewall
 . Lọc khung (Frame Filtering):
 . Lọc. Hoạtgói (Packetđộng trongFiltering)tầng: 2 của mô hình OSI, có thể lọc,
 - Mộtkiểmsố traFirewallđượchoạtở mứcđộngbitở tầngvà nộimạngdung(tươngcủatựkhungnhư mộttin
 . (Ethernet/Kiểu Firewall802.chung3, TokennhấtRinglà kiểu802.dựa5, FDDI,trên...tầng). mạng của
 Router)mô hìnhthườngOSI. cho phép tốc độ xử lý nhanh vì chỉ kiểm tra
 địa. Trongchỉ IPtầngnguồnnày cácmà khungkhôngdữthựcliệuhiệnkhônglệnhtin trêncậy sẽRouter,bị từ
 không. chốiLọc góixácngaychođịnhtrướcphépđịakhichỉhayvàosaitừhaymạngchốibịgóicấmtin. mà nó nhận được.
 -.NóNósửkiểmdụngtrađịatoànchỉbộIP nguồnđoạn dữlàmliệuchỉđểthị,quyếtnếu mộtđịnhgóixemtin
 mangđoạnđịadữchỉliệunguồnđó cólàthoảđịamãnchỉ giảmộtthìtrongnó sốsẽ cácchiếmquyđượcđịnh
 quyềncủa lọctruyPacketnhập vàohayhệkhôngthống. .
 -.TuyCácnhiênquy tắccó nhiềulọc Packetbiện phápdựa kỹvàothuậtcác cóthôngthể tinđượctrongáp
 dụngPacketcho Headerviệc lọc. gói tin nhằm khắc phục nhược điểm trên,
 ngoài trường địa chỉ IP được kiểm tra, còn có các thông tin
 khác được kiểm tra với các quy tắc được tạo ra trên
 Firewall, các thông tin này có thể là thời gian truy nhập,
 giao thức sử dụng, cổng ...
38
 III.5. Kỹ thuật Proxy
 . LàƯuhệđiểmthốngcủaFirewallkiểu Firewallthực hiệnloại cácnàykếtlà khôngnối thaycóchochứccácnăngkết
 nốichuyểntrực tiếptiếp cáctừ máygói kháchtin IP, vàyêucócầuthể. điểu khiển một cách chi
 tiết hơn các kết nối thông qua Firewall. Cung cấp nhiều
 . Proxycông cụhoạtchođộngphépdựaghi lạitrêncácphầnquámềmtrình. kếtKhi nốimột. Cáckết góinối tintừ
 mộtchuyểnngườiquasửFirewalldụng nàođềuđóđượcđến mạngkiểm sửtra dụngkỹ lưỡngProxyvớithìcáckết
 quy tắc trên Firewall, điều này phải trả giá cho tốc độ xử lý.
 nối đó sẽ bị chặn lại, sau đó Proxy sẽ kiểm tra các trường
 . cóKhiliênmộtquanmáyđếnchủyêunhậncầucáckếtgóinốitin. từ mạng ngoài rồi chuyển
 chúng vào mạng trong, sẽ tạo ra một lỗ hổng cho các kẻ
 . Nếuphá việchoạikiểm(Hacker)tra thànhxâmcông,nhậpcótừnghĩamạnglà cácngoàitrườngvào thôngmạng
 tintrongđáp. ứng được các quy tắc đã đặt ra, nó sẽ tạo một cầu
 . kếtNhượcnối giữađiểmhaicủanodekiểuvớiFirewallnhau. này là hoạt động dựa trên
 trình ứng dụng uỷ quyền (Proxy).
39
 V.4. Mạng riêng ảo (VPN-Virtual Private Network)
 1. Khái niệm
 2. Kiến trúc của mạng riêng ảo
 3. Những ưu điểm của mạng VPN
 4. Giao thức PPTP (Point to Point Tunnelling
 Protocol)
 5. Giao thức L2F (Layer Two Forwarding Protocol)
 6. Giao thức L2TP (Layer Two Tunnelling Protocol)
 7. Giao thức IPSEC
40
 V.4.1. Khái niệm mạng riêng ảo
 . Mạng máy tính ban đầu được triển khai với 2 kỹ thuật
 chính: đường thuê riêng (Leased Line) cho các kết nối cố
 định và đường quay số (Dial-up) cho các kết nối không
 thường xuyên.
 . Các mạng này có tính bảo mật cao, nhưng khi lưu lượng
 thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình thành
 một kiểu mạng dữ liệu mới, mạng riêng ảo.
 . Mạng riêng ảo được xây dựng trên các kênh logic có tính
 “ảo”. Xu hướng hội tụ của các mạng trên nền NGN tạo điều
 kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch
 vụ mạng riêng ảo.
 . Mạng riêng ảo là một mạng máy tính, trong đó các điểm
 của khách hàng được kết nối với nhau trên một cơ sở hạ
 tầng chia sẻ với cùng một chính sách truy nhập và bảo mật
 như trong mạng riêng.
41
 V.4.1. Khái niệm mạng riêng ảo
 . Có 2 dạng chính mạng riêng ảo VPN là:
 . Remote Access VPN: cho phép thực hiện các kết nối
 truy nhập từ xa đối với người sử dụng di động (máy tính
 cá nhân hoặc các Personal Digital Assistant) với mạng
 chính (LAN hoặc WAN) qua đường quay số, ISDN,
 đường thuê bao số DSL.
 . Site- to - Site VPN: dùng để kết nối các mạng tại các vị trí
 khác nhau thông qua kết nối VPN.
 . Có thể chia thành 2 loại khác:
 . Intranet VPN kết nối các văn phòng ở xa với trụ sở chính
 thường là các mạng LAN với nhau.
 . Extranet VPN là khi Intranet VPN của một khách hàng
 mở rộng kết nối với một Intranet VPN khác.
42
 V.4.1. Khái niệm mạng riêng ảo
 . Bảo mật là một yếu tố quan trọng bảo đảm cho VPN hoạt
 động an toàn và hiệu quả. Kết hợp với các thủ tục xác thực
 người dùng, dữ liệu được bảo mật thông qua các kết nối
 đường hầm (Tunnel) được tạo ra trước khi truyền dữ liệu.
 . Tunnel là kết nối ảo điểm - điểm (Point to Point) và làm cho
 mạng VPN hoạt động như một mạng riêng.
 . Dữ liệu truyền trên VPN có thể được mã hoá theo nhiều
 thuật toán khác nhau với các độ bảo mật khác nhau.
 . Người quản trị mạng có thể lựa chọn tuỳ theo yêu cầu bảo
 mật và tốc độ truyền dẫn.
 . Giải pháp VPN được thiết kế phù hợp cho những tổ chức
 có xu hướng tăng khả năng thông tin từ xa, các hoạt động
 phân bố trên phạm vi địa lý rộng và có các cơ sở dữ liệu,
 kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm
 bảo an ninh cao.
43
 V.4.2. Kiến trúc của mạng riêng ảo
 . Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo
 VPN, đó là:
 . Đường hầm (Tunnelling) cho phép làm “ảo” một mạng
 riêng.
 . Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang
 tính riêng tư.
 . Đường hầm:
 . Là kết nối giữa 2 điểm cuối khi cần thiết.
 . Khi kết nối này sẽ được giải phóng khi không truyền dữ liệu
 dành băng thông cho các kết nối khác.
 . Kết nối này mang tính logic “ảo” không phụ thuộc vào cấu trúc
 vật lý của mạng.
 . Nó che giấu các các thiết bị như bộ định tuyến, chuyển mạch
 và trong suốt đối với người dùng.
44
 Cấu trúc một đƣờng hầm
45
 Đƣờng hầm trong các cấu trúc LAN và Client
46
 Cách thức tạo đƣờng hầm
 . Đường hầm được tạo ra bằng cách đóng gói các gói tin
 (Encapsulate) để truyền qua Internet. Đóng gói có thể mã hoá
 gói gốc và thêm vào tiêu đề IP mới cho gói. Tại điểm cuối, dạng
 gói tin tạo đường hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu.
 . Đường hầm có 2 loại: Thường trực (Permanent) và tạm thời
 (Temporary hay Dynamic).
 . Thông thường các mạng riêng ảo VPN sử dụng dạng đường
 hầm động. Đường hầm động rất hiệu quả cho VPN, vì khi không
 có nhu cầu trao đổi thông tin thì được huỷ bỏ.
 . Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN- to - LAN
 tại các cổng bảo mật (Security Gateway), khi đó người dùng trên
 các LAN có thể sự dụng đường hầm này. Còn đối với trường
 hợp Client- to - LAN, thì Client phải khởi tạo việc xây dựng
 đường hầm trên máy người dùng để thông tin với cổng bảo mật
 để đến mạng LAN đích.
47
 V.4.3. Những ƣu điểm của mạng VPN
 . Chi phí:
 . Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê
 . Truykênhnhậpriêngdễ dànghoặc :các cuộc gọi đường dài bằng chi phí
 cuộc gọi nội hạt.
 . Người sử dụng trên VPN, ngoài việc sử dụng các tài
 . Hơnnguyênnữa,trênsửVPNdụngcònkết nốiđượcđếnsửISPdụngcòncáccho dịchphépvụvừakhácsử
 dụng VPN vừa truy nhập Internet.
 của Internet mà không cần quan tâm đến phần phức tạp
 . Côngở tầngnghệdưới.VPN cho phép sử dụng băng thông đạt hiệu
 quả cao nhất. Giảm nhiều chi phí quản lý, bảo trì hệ
 thống.
48
 V.4.4. Giao thức PPTP (Point to Point Tunnelling Protocol)
 . PPP là giao thức tầng 2-Data link, truy nhập mạng WAN
 như HDLC, SDLC, X.25, Frame Relay, Dial on Demand.
 . PPP có thể sử dụng cho nhiều giao thức lớp trên như
 TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP -
 Network Control Protocol.
 . PPP sử dụng Link Control Protocol để thiết lập và điều
 khiển các kết nối. PPP sử dụng giao thức xác thực PAP
 hoặc CHAP.
 . PPTP dựa trên PPP để thực thi các chức năng sau:
 . Thiết lập và kết thúc kết nối vât lý.
 . Xác thực người dùng
 . Tạo gói dữ liệu PPP.
49
 V.4.5. Giao thức L2F (Layer Two Forwarding Protocol)
 . GiaoTuy nhiênthức LL22TPFP địnhdo hãngnghĩaCiscogiaophátthứctriển,tạo tunneldùng đểriêngtruyềncủa
 cácnó, dựakhungtrênSLIP/PPPcơ cấuquacủaInternetL2F. Cơ. L2cấuF hoạtnàyđộngtiếp ởtụctầngđịnh2
 (Datanghĩa Link)việc trongtruyềnmôL2hìnhTP quaOSI.các mạng chuyển mạch gói
 như X25, Frame Relay và ATM.
 . Cũng như PPTP, L2F được thiết kế như là một giao thức
 . Tunnel,Mặc dù sửnhiềudụngcáchcácthựcđịnhhiệnnghĩaL2đóngTP tậpgóitrungdữ liệuvàoriêngviệccủasử
 nódụngđểgiaotruyềnthứccácUDPgói tintrênở mứcmạng2IP,. ta vẫn có khả năng thiết
 lập một hệ thống L2TP không sử dụng IP.
 . Một sự khác nhau giữa PPTP và L2F là tạo Tunnel trong
 . Một mạng sử dụng ATM hoặc Frame Relay cũng có thể
 giao thức L2F không phụ thuộc vào IP và GRE, điều này
 được triển khai cho các tunnel L2TP.
 cho phép nó làm việc với các môi trường vật lý khác nhau.
 . Giao thức L2TP được sử dụng để xác thực người sử dụng
 . Cũng như PPTP, L2F sử dụng chức năng của PPP để cung
 Dial-up và Tunnel các kết nối SLIP/PPP qua Internet. Vì
 cấp một kết nối truy cập từ xa và kết nối này có thể được đi
 quaL2TPmộtlà giaotunnelthứcthônglớpqua2, nênInternethỗ trợđểchotới ngườiđích. sử dụng các
 khả năng mềm dẻo như PPTP trong việc truyền tải các giao
 thức không phải là IP, ví dụ như là IPX và NETBEUI.
50
 V.4.7. Giao thức IPSEC
 . IPSec bảo đảm tính tin cậy, tính toàn vẹn và tính xác thực truyền
 dữ liệu qua mạng IP công cộng. IPSec định nghĩa 2 loại tiêu đề
 cho gói IP điều khiển quá trình xác thực và mã hóa:
 . Một là xác thực tiêu đề Authentication Header (AH), hai là đóng
 gói bảo mật tải Encapsulating Security Payload (ESP).
 . Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ
 liệu.
 . Đóng gói bảo mật tải ESP thực hiện mã hóa và đảm bảo tính
 toàn vẹn cho gói dữ liệu nhưng không bảo vệ tiêu đề cho gói IP
 như AH.
 . IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa
 thuận liên kết bảo mật SA giữa hai thực thể và trao đổi các thông
 tin khóa. IKE cần được sử dụng phần lớn các ứng dụng thực tế
 để đem lại thông tin liên lạc an toàn trên diện rộng.
51
 Thanksss
52