An ninh m ngạ

ươ G VG D : Ks.Tr ng M inh Tu n 0937.024.166

R eferences

• N etw ork security: A beginer’s guide • C rytography and netw ork security

ươ

C h ng 1: T ng quan

B o m t thông tin?

ỏ ầ ả

– ậ ậ

ậ ữ ườ

ườ ữ ị

– ẵ ả

để đ ườ ứ ẩ

– ố

ể ừ ế ề ặ ậ ủ đượ ườ m  b o tính không th  t  ch i (N on­repudiation):  c cam  k t v  m t pháp lu t c a ng i

• Thông tin  đượ c b o m t khi th a các  yêu c u sau: ả Đả m  b o tính tin c y(C onfidentiality): Thông tin không  ở ể ị th  b  truy nh p trái phép b i nh ng ng i không có  ẩ th m  quy n. ả Đả ẹ m  b o tính nguyên v n(Integrity): Thông tin không  ả ở ể ị ử đổ th  b  s a  i, b  làm  gi  b i nh ng ng i không có  ẩ th m  quy n. Đả m  b o tính s n sàng(Availability): Thông tin luôn  ử ụ ẵ s n sàng    áp  ng s  d ng cho ng i có th m   quy n.ề Đả ả Thông tin  cung c p. ấ

ệ ố

An toàn h  th ng

ố ạ ả ă là h  th ng • H  th ng an toàn:

ệ ữ ệ ự ố đợ

đổ đế độ ạ ỗ độ ệ ố ủ ỏ

ệ ố

đượ

c quy n

ữ ệ ấ

ườ ị

đặ đ ể ộ có m t trong các  c  i m  sau là không an

ử ụ ị

ế

– C ác thông tin trong h  th ng b  thay th  ho c s a  i làm  sai l ch

ệ ố ị

n i dung (thông tin b  xáo tr n)...

ố có kh  n ng ch ng l i  độ nh ng tai ho , l i và s  tác  ng không m ong  i, các  thay  i tác  ng  n   an toàn c a h  th ng là nh   nh t. ấ • H  th ng  ệ ố toàn:  – C ác thông tin d  li u trong h  th ng b  ng i không  truy nh p tìm  cách l y và s  d ng (thông tin b  rò r).  ặ ử đổ

ể ấ C ác ki u t n công?

• T n công tr c ti p ế

ấ ể

ự ề ộ

ệ i s d ng và m t kh u. Đây là ph ậ ươ ỏ ệ ể ắ ầ

ạ ộ

ủ ẩ ậ

ể ạ

ườ ộ

ự ấ – M t ph ng pháp t n công c đi n là dò tìm tên ổ ươ ộ ng ng pháp ườ ử ụ ẩ đ n gi n, d th c hi n và không đòi h i m t đi u ễ ả ơ t nào đ b t đ u. ki n đ c bi ặ ệ • Nghe tr mộ – Vi c nghe tr m thông tin trên m ng có th đ a l i ệ ể ư ạ nh ng thông tin có ích nh tên, m t kh u c a ng i ườ ư ữ s d ng, các thông tin m t chuy n qua m ng. Vi c ệ ậ ử ụ c ti n hành ngay sau khi k ng đ nghe tr m th ẻ ế t n công đã chi m đ c quy n truy nh p h th ng ế ấ ượ ượ ệ ố ề ậ

ể ấ C ác ki u t n công?

• Gi m o đ a ch ỉ

ả ẫ ử ụ – Th c hi n thông qua vi c s d ng kh năng d n ệ

đ ế ị ệ ự

m o (thông th

ộ ị ặ

ớ ạ

ườ

ị ố ớ

ỉ ủ ạ

i m ng bên trong v i m t đ a ng là đ a ch c a m t m ng ho c ộ c coi là an toàn đ i v i m ng bên trong), đ ng ng d n mà các gói tin IP ph i g i đi.

ả ử

ả ạ ự ườ • K t n công g i các gói tin IP t ử

ng tr c ti p (source-routing). ẻ ấ ạ ch IP gi ỉ m t máy đ ộ th i ch rõ đ ờ ệ ủ

ả ạ ượ ườ • Vô hi u các ch c năng c a h th ng ứ ệ ố – Đây là ki u t n công nh m tê li ệ ấ ệ

ể ự

ể ấ ữ ặ

t h th ng, không t k . Ki u t n ứ c, do nh ng ể ch c t n công cũng chính là các ng ti n đ ệ ng ti n đ làm vi c và truy nh p thông tin trên ậ ệ ứ ấ ệ

ệ ố cho nó th c hi n ch c năng mà nó thi ế ế công này không th ngăn ch n đ ượ c t ph ươ ượ ổ ph ể ươ m ng.ạ

ể ấ C ác ki u t n công?

ả ườ

ả ủ

ậ ườ ố

ng t o ra nh ng l ạ • L i c a ng i qu n tr h th ng ỗ ủ ị ệ ố – Đây không ph i là m t ki u t n công c a nh ng k ẻ ể ấ ộ ữ i qu n tr h th ng i c a ng ị ệ ả ỗ ủ h ng cho phép k t n công ẻ ấ ỗ ổ

ể ộ ộ

• T n công vào y u t

ạ i ườ ớ ạ ộ

ả ầ ả

làm m t ng ổ ẩ ố ệ ố ậ ể ự ậ ệ ủ ệ

đ t nh p, tuy nhiên l ộ th ườ ữ s d ng đ truy nh p vào m ng n i b ậ ử ụ con ng ấ ế ố – K t n công có th liên l c v i m t ng i qu n tr h ị ệ ườ ể ẻ ấ th ng, gi i s d ng đ yêu c u thay ể ườ ử ụ ộ ố đ i m t kh u, thay đ i quy n truy nh p c a mình đ i ố ậ ề ổ v i h th ng, ho c th m chí thay đ i m t s c u ố ấ ổ ặ ớ ng pháp t n hình c a h th ng đ th c hi n các ph ấ ươ công khác

ẻ ấ Ai là k  t n công?

• Ng

ớ ệ ng ườ ồ

gi ộ ạ ả ệ ố – Nh ng k bu n chán v i công vi c hàng ngày, mu n ậ

c vào máy tính c a

– Chúng thích thú khi đ t nh p đ ộ i khác mà không đ ượ

ng ườ ọ i qua đ ườ ẻ ữ ố i trí b ng cách đ t nh p vào các h th ng m ng. ằ ủ ượ ậ c phép. ạ ủ ị ữ

ư ấ ị ụ ệ ố ế ặ

• – B n này không ch đ nh phá ho i, nh ng nh ng hành vi xâm nh p và vi c chúng xoá d u v t khi rút ệ lui có th vô tình làm cho h th ng b tr c tr c. ẻ

ạ ệ ố

ho i ng ạ

i không ể K phá ho i ạ – Chúng ch đ nh phá ho i h th ng, vui thú khi phá ủ ị i khác. ườ ữ – Gây ra nh ng tác h i l n, r t may trên th gi ạ ớ ế ớ ấ

nhi u k nh th ẻ ư ế. ề

ẻ ấ Ai là k  t n công?

ữ ố

ể ng h th ng chúng đã thâm ẻ – Nh ng k mu n kh ng đ nh mình qua nh ng ki u ị ệ ố ẳ ố ượ ớ

• K ghi đi m ẻ ữ t n công m i, s l ấ nh p...ậ

– Chúng thích đ t nh p nh ng n i n i ti ng, canh ơ ổ ế ữ ậ

ộ phòng c n m t. ậ ẩ

• Gián đi pệ

– Truy nh p đ ăn c p tài li u đ ph c v nh ng m c ệ ữ ụ ụ ể ể ậ

ắ đích khác nhau, đ mua bán, trao đ i... ể ụ ổ

ứ ơ ở

ươ

ế C h ng 2: Ki n th c c  s

ệ ố

Q uy t c xây d ng h  th ng m ng an toàn

– Ch nên c p nh ng quy n nh t đ nh c n có v i công vi c t

ng

ấ ị

ệ ươ

– T t c các đ i t

ng: ng

i s d ng, ch

ườ ử ụ

ng trình ng d ng, ứ

h đi u hành... đ u nên tuân theo nguyên t c này.

ươ ắ

• Quy n h n t ề ỉ

ả ơ

• Đ n gi n

ể ễ ể ắ

ượ

i. ắ ỗ ạ ộ

c nó ho t đ ng nh th ư ế

i thi u ạ ố ấ ữ ng và ch nh v y. ư ậ ỉ ố ượ ấ ả ệ ề ề ả ệ ố ễ ể

ẽ ư

i: Càng ph c t p thì càng nhi u l

i có th x y ra. ể ả

ắ ỗ

– Ít m c l ==> Firewall th

ề ỗ ng ch y trên các h th ng đã lo i b h t ệ ố

ơ – H th ng ph i đ n gi n đ d hi u và ít m c l ả – D hi u: S giúp cho d dàng n m đ nào, có nh mong mu n hay không.

ạ ỏ ế ườ

ữ ầ ế . t

ố ứ ạ ạ nh ng gì không c n thi

ệ ố

Q uy t c xây d ng h  th ng m ng an toàn

• B o v theo chi u sâu ệ ề

ề ụ ế ộ

ề ớ

ố ấ ớ ề ả

ả – Nên áp d ng nhi u ch đ an toàn khác nhau. – Nhi u l p an toàn khác nhau, chia thành các vòng b o v bao l y nhau, mu n t n công vào bên trong ấ ệ t qua các l p b o v bên ngoài --> thì ph i l n l ả ầ ượ b o v l n nhau. ệ ẫ ả

• Nút th tắ

ộ ủ ẹ ẩ ọ ắ

ể ả ẻ ấ ố ả

– B t bu c m i thông tin ph i đi qua m t c a kh u h p ả c --> k c k t n công. Gi ng nh ư i đó nhân viên c a kh u s ki m , t ử ẽ ể ẩ

ượ ố ế ạ ữ c nh ng th đ a ra và vào. ứ ư

– Nút th t s vô d ng n u có m t con đ ng khác ộ mà ta qu n lý đ c a kh u qu c t ẩ ử soát đ ượ ắ ẽ ụ ế ộ ườ

n a.ữ

ệ ố

Q uy t c xây d ng h  th ng m ng an toàn

i t • Tính toàn c cụ ả

ừ ấ

ả ư ể ộ

ư ụ ể ậ ọ ị

ữ ị ộ ễ ữ ạ

trong ra. – Ph i quan tâm t t c các máy trong m ng, vì m i ỗ ạ ớ ấ ả bên trong. máy đ u có th là bàn đ p t n công t ạ ể ề B n thân m t máy có th không l u tr nh ng thông ữ tin hay d ch v quan tr ng, nh ng đ nó b đ t nh p thì nh ng máy tính khác trong m ng cũng d dàng b ị t n công t ấ

ộ ệ ề ộ

ừ • Tính đa d ngạ – N u t ế ấ ả ầ ạ t c cùng dùng m t h đi u hành hay m t lo i ạ ph n m m duy nh t thì s có th b t n công đ ng ể ị ấ ẽ ấ ề lo t và không có kh năng h i ph c ngay ụ ả ồ

Bi n pháp b o m t

ố ớ ệ ố

ạ ậ ậ ứ • B o m t v t lý đ i v i h th ng ả ứ

ố ệ ế

ừ ế ử ụ ạ

ạ ỏ ề ườ ụ ơ

khoá c ng, h th ng báo đ ng cho đ n h n ch s d ng thi t ế b . ị Ví dụ: lo i b đĩa m m kh i các máy tr m thông ề c nhi u c quan áp d ng. th ượ ệ

ả – Hình th c b o m t v t lý khá đa d ng, t ậ ậ ộ ạ ỏ ng là bi n pháp đ ệ • B i n pháp hành chính ự ạ ậ

ậ ệ ố ử ụ ầ ấ

– N h n d ng nhân s khi vào văn phòng, đăng nh p h th ng ho c c m cài đ t ph n m m, hay s d ng ặ các ph n m m không phù h p v i h th ng. ề ớ ệ ố ầ

i d dàng đ c ừ ạ ề ọ

đ ặ ợ ề • B o m t d li u b ng m t mã ằ ậ ữ ệ ả – Bi n đ i d li u t ổ ữ ệ c, hi u đ ượ ể ế ượ ạ d ng nhi u ng ườ ễ t. c sang d ng khó nh n bi ậ ế

Bi n pháp b o m t

• M t kh u ẩ

ệ ố ẫ ộ

ữ ề ặ

ậ – Bi n pháp ph bi n và khá hi u qu . ệ ổ ế ả – Tuy nhiên m t kh u không ph i là bi n pháp an toàn ệ ả ẩ ậ tuy t đ i. M t kh u v n có th m t c p sau m t th i ờ ể ấ ắ ẩ ậ gian s d ng. ử ụ • Xây d ng b c t ự ệ ố ệ ố ng l a ử ứ ườ – H th ng bao g m ph n c ng và ph n m m đ t gi a ầ ứ ầ ồ ng bên ngoài nh Internet ch ng ư ườ ẳ

h th ng và môi tr h n. ạ

ủ Q u n lý r i ro C N TT   ự

• Qu n lý r i ro ủ

ệ ố ớ

ứ ạ

các d án, đ c bi ự các d án ng d ng CNTT trong DN. ự ụ • Qu n lý r i ro bao g m ồ : ủ ả – Phòng ng a r i ro (

nh n d ng nguy c ạ t h i ệ

ơ và đánh giá kh ả các ạ , c ch đ giám sát ế ể

ơ

ủ năng x y ra s c cùng thi ự ố ả nguy c đó...) ơ ậ

ế ượ

– X lý h u qu n u x y ra r i ro (chi n l ả c áp d ng, phân b l c l ụ ượ

ử ổ ự ượ

c x lý, các bi n ng đ kh c ể

ệ ắ

ủ ụ

ả ế pháp và công c đ ph c....).

ơ

ệ ế

  “Phòng b nh h n ch a b nh”, phòng ng a r i ro có ý nghĩa quy t đ nh, tuy i nhiên, cũng ph i s n sàng các gi ả ả ng ti n đ kh c ph c pháp và ph ươ ụ ắ ể t nh t h u qu n u ch ng nhanh và t ả ế ấ ố

ẵ ệ ậ

may r i ro v n x y ra.

ả – M t lĩnh v c quan tr ng có tính quy t đ nh thành công c a ế ị t đ i v i các d án l n và ph c t p nh ư ớ

W arning !!!!!!!!

ể ớ ị

• T i ph m m ng có th ch u tù t ộ • Ng i 12 năm ạ

ạ ề ữ ạ ặ

(Theo http://antoanthongtin.org

ă

th  hai ,ngày 29 tháng 6 n m  2009)

ạ ạ i s d ng trái phép thông tin trên m ng cũng có ườ ử ụ i th b ph t ti n, c i t o không giam gi ho c ph t tù t ớ ả ạ ể ị 3 năm, theo d th o s a đ i, b sung b Lu t hình s . ự ộ ổ ự ả ử ậ ổ

ươ

C h ng 3: C ác ph n m m  có  h iạ

(M alicious Softw ares)

Virus m áy tính là gì ?

• Virus là m t đo n ch ạ ươ

ộ c r t nh ng trình có ho c ch ng trình ươ ặ ỏ dùng đ ph c v nh ng m c đích ữ ụ ụ ể ụ ấ

kích th không t ướ t.ố

ế ạ ộ

– D a vào cách th c t n t

ng trình “bám” ký sinh vào các ch

ươ

ng ng trình h th ng (logic

• Cách phân lo i:ạ – D a vào c ch ho t đ ng: ơ ự • Virus nhân b n (Worm) • Virus không nhân b n (logic boms, backdoor, zombie) ự • Virus là đo n ch

ạ ụ

ươ

ng trình t n t

• Virus là m t ch

i đ c l p và có kh năng t

trình ng d ng, ti n ích và ch bombs, backdoor) ươ

ồ ạ ộ ậ

ộ th c thi (worm, zombie)

i: ứ ồ ạ ươ ệ

ạ ủ Tác h i c a virus

ễ ể

ễ ậ ộ ị

• Sau khi lây nhi m vào máy, virus có th làm máy tính ho t đ ng ch m, làm h ng các file b lây nhi m, làm m t d li u, gây l ạ ấ ữ ệ

ỏ i h th ng… ỗ ệ ố ể ử ụ ạ ủ

ấ ợ ư ị

ả ườ ử ụ ấ

ụ ả

ợ ụ

• M t s lo i virus còn l ạ ạ ể ấ

• Virus cũng có th s d ng máy tính c a n n nhân đ ể qu ng cáo b t h p pháp, g i th rác, gây khó ch u cho ử ng i s d ng, gây m t an ninh thông tin, đánh c p ắ thông tin cá nhân, thông tin tài kho n, s th tín d ng… ố ẻ i d ng máy tính c a n n nhân đ ộ ố ạ ể ủ t o m ng botnet (m ng máy tính ma), dùng đ t n công ạ ạ h th ng máy ch , website khác… ủ ệ ố

Virus máy tính lây lan nh th nào?

ư ế

ạ Internet ộ ộ i v t ả ề ừ

các ổ

h ng ph n m m, k c h đi u hành đĩa USB. ỗ ổ ể ả ệ ề ầ

• Lây qua m ng n i b (m ng LAN), • Lây qua các file t • Lây qua email • Lây t ừ • L i d ng các l ợ ụ đ xâm ể ề nh pậ , lây nhi m lên máy tính thông qua m ng. ễ ạ

ế

D u hi u nh n bi t m áy tính b  nhi m  virus?

ng trình ng d ng ch m. ở ươ

t ấ ậ ệ ứ ạ ự ộ

ậ ụ đ ng xu t hi n. ấ ể ệ ị ệ ộ

đ ng hi n ra (pop up), màn hình • Truy xu t t p tin, m các ch • Khi duy t web có các trang web l • Duy t web ch m, n i dung các trang web hi n th trên ậ ậ ả ự ộ ệ

trình duy t ch m. ệ • Các trang qu ng cáo t Desktop b thay đ i. ị ổ

ả ấ ả

ử ệ ấ ặ

• Góc ph i màn hình xu t hi n c nh báo tam giác màu ệ vàng: “Your computer is infected”, ho c xu t hi n c a s “Virus Alert”… ổ

t đĩa USB. ạ ự ộ ở ổ

đ ng sinh ra khi b n m ầ ạ ở ộ

• Các file l • Xu t hi n các file có ph n m r ng .exe có tên trùng v i ớ ệ ấ tên các th m c. ư ụ

• … v… v.

Con ng a Thành T -roa - Trojan Horse ơ

i thành ữ ộ ườ i Hy L p và ng ạ ườ : cu c chi n gi a ng ế

ng pháp trên cũng chính là cách mà các Trojan • Đi n tích ể T -roa. ơ • Ph ươ

là m t đo n mã ch ạ

máy tính áp d ng. ụ – Khác v i virus, Trojan

ươ

• Đ u tiên, k vi ẻ ế ng s d ng ch ử ụ

ng ươ . trình HOÀN TOÀN KHÔNG CÓ TÍNH CH T LÂY LAN t ra Trojan b ng cách nào đó l a đ i ố ng trình c a mình ho c ghép t là các virus d ng

• Đ n th i đi m thu n l

ầ ph ủ ươ Trojan đi kèm v i các virus (đ c bi ệ Worm) đ xâm nh p, cài đ t lên máy n n nhân. ậ ợ

ế

ờ ọ ậ ặ

ủ ữ ệ

ế

i, Trojan s ăn c p thông tin ắ quan tr ng trên máy tính c a n n nhân nh s th tín ư ố ẻ ủ d ng, m t kh u... đ g i v cho ch nhân c a nó trên ở ủ ể ử ề m ng ho c có th ra tay xoá d li u n u đ c l p trình ượ ậ tr

ụ ạ c.ướ

Con ng a Thành T -roa - Trojan Horse ơ

ạ • Bên c nh các Trojan ăn c p thông tin truy n th ng, m t ắ ố ộ

ụ xa t ộ ổ ể ế ớ

ạ ẻ ấ ệ ệ ậ

ề s Trojan mang tính ch t riêng bi t nh sau: ố ệ ư – Backdoor: Lo i Trojan sau khi đ c cài đ t vào máy ạ ượ n n nhân s t m ra m t c ng d ch v cho phép k ẻ ị ẽ ự ở ạ t n công (hacker) có th k t n i t i máy n n ố ừ ấ đó nó s nh n và th c hi n l nh mà k t n nhân, t ự ẽ ừ công đ a ra. ư

– Ph n m m qu ng cáo b t h p pháp ợ ấ ả

ặ ị

ổ ế ệ

(Adware) và ầ ề ệ (Spyware) : Gây khó ch u cho ph n m m gián đi p ề ầ ị i s d ng khi chúng c tình thay đ i trang web ng ườ ử ụ m c đ nh (home page), các trang tìm ki m m c đ nh ị ặ đ ng hi n ra (popup) (search page)… hay liên t c t ụ ự ộ các trang web qu ng cáo khi b n đang duy t web. ệ ạ ả

Sâu Internet – W orm ng trình có kh năng

t và t sao chép ả ự ươ • Là loại ch

ng truy n m ng. T i máy n n nhân, Worm s ạ ạ ề ả ườ g i ự ử máy này sang máy khác thông qua ẽ th c ự

i t o ra nó. theo ý đ ồ “x u” ấ c a ng

ườ ạ ặ ả ứ ợ

ơ

ể ở ầ ữ

i tân. ố

b n sao chép đó t đ ạ thi các ch c năng ứ ủ • Worm k t h p c s c phá ho i c a virus, đ c tính âm ế ạ ủ th m c a Trojan và h n h t là s lây lan đáng s mà ủ ợ ự ế nh ng k vi t virus trang b cho nó đ tr thành m t k ộ ẻ ị ẻ ế phá ho i v i vũ khí t ạ ớ – VD: Mellisa hay Love Letter. V i s lây lan đáng s

ố ế ồ ớ ự ồ

ợ có th ể ầu

, trong vài ti ng đ ng h , đã i hàng ch c tri u máy tính trên toàn c ệ ụ ạ ệ ố ệ ủ ắ

ng truy n Internet. đ theo c p s nhân ấ lây lan t ớ  làm tê li ườ t hàng lo t h th ng máy ch , làm ách t c ề

Sâu Internet – W orm

• Cái tên c a nó, Worm hay "Sâu Internet" cho ta hình máy tính ủ ệ ừ ữ

nhân b n, Worm s d ng m t s c ch m ng • Đ t dung ra vi c nh ng con virus máy tính "bò" t này qua máy tính khác trên các "cành cây" Internet ế ộ ố ơ ử ụ ạ

ự ử ả ừ ả g i b n copy c a nó qua e-mail. ủ ủ xa: th c thi b n copy c a nó ả ự

xa: đăng nh p t ả ể ự ng, VD: thông th ườ – E-mail: worm t – Kh năng th c thi t ự trên m t h th ng khác. ộ ệ ố – Kh năng đăng nh p t ậ ừ ả ộ

xa vào m t s d ng l nh ư ộ ệ ố

ậ ừ hê th ng nh m t user, sau đó nó t ự ử ụ đ copy b n thân nó vào h th ng n n nhân… ạ ệ ố ể ả

Sâu Internet – W orm

• Worm th ườ ề

ượ – kh năng đ nh cùng m t ngày gi ả ng đ ị ồ

c cài thêm nhi u tính năng đ c bi ặ và đ ng lo t t ạ ừ ờ ấ ộ ệ ộ ị

ệ . t các máy n n nhân (hàng tri u máy) t n công vào m t đ a ạ ch nào đó. ỉ

ạ ả

ủ ủ ủ ậ

ủ ọ ứ ư ồ

ạ ộ

– Mang theo các BackDoor th lên máy n n nhân, cho phép ch nhân c a chúng truy nh p vào máy c a n n nhân và làm đ m i th nh ng i trên máy đó m t cách b t h p pháp. • Ngày nay, khái ni m Worm đã đ c m r ng ở ộ , bao g mồ : ấ ợ ệ ượ

. ẻ ạ

– Các virus lây lan qua m ng chia s ngang hàng – Các virus lây lan qua USB hay d ch v “ ụ chat” – Các virus khai thác các l h ng ph n m m đ lây ề ầ ỗ ổ ể

lan.

C ác bi n pháp phòng ch ng virus?

ơ

ữ ” là quy t c vàng.

ắ ặ

• “Phòng ch ng h n là s a ch a t virus t ầ

ử ố – ch n m t ph n m m di ệ ộ

ử ụ ề ầ

ố ể ủ

th di

t virus t

t ph i đáp ng

t đ cài đ t và s d ng ng xuyên, lâu dài cho máy tính c a mình. Ph n m m 3 tiêu chí:

ng xuyên, nhà s n xu t khi có s c ự ố

i virus.

ọ ườ ệ ả • có b n quy n, ề • c p nh t phiên b n m i th ườ ậ ớ ả • có h tr k thu t tr c ti p t ỗ ợ ỹ ậ ự ế ừ liên quan t ớ – ???????????

ươ

ố ệ

C h ng 4: G ia c  h   th ngố

(System  H ardening)

ố ệ ố

G ia c  h  th ng là gì?

• G ia c  h  th ng: ố ệ ố ế ừ – Là ti n trình theo t ng b c

ệ ố đồ để ậ ằ ờ

ố ệ ố ậ ơ

ồ ướ    làm  cho h  th ng an  ạ toàn nh m  ch ng l i các truy c p trái phép,  ng th i  đ giúp cho h  th ng  áng tin c y h n.  •  G ia c  h  th ng g m : ố ệ ố

– G ia c  h   i u hành. ố ệ đ ề – G ia c  h  th ng m ng. ố ệ ố – G ia c   ng d ng. ụ ố ứ

ố ệ ố

T i sao ph i gia c  h  th ng?

ữ ệ đượ đả

ệ ề c kinh nghi m  v

• Tính toàn v n c a d  li u  ả ủ ẹ c  m  b o. • Khi hi u su t c i ti n giúp ta rút ra  đượ ấ ả ế ầ ế ụ ệ ệ

ậ ấ ệ ả ế c c u hình h  th ng thi u hi u qu .

ụ ồ ơ ệ vi c nh n bi t các d ch v  không c n thi t; phát hi n  ế đượ • N u có m t l i h  th ng, b n có th  ph c h i nhanh h n  ạ ế

ả ­> gi m  t i  a thi t h i khi có s  c  x y ra.

ế đượ ể ự ố ả ả ệ ị ệ ố ộ ỗ ệ ố ệ ạ ố đ • D anh ti ng c a công ty c b o v  (các công ty cho

ủ thuê server, thuê host… ).

ố ệ ố

ướ

C ác b c chính khi gia c  h  th ng

ầ ứ ẽ ạ c m nh m

đ đượ đ ậ

c coi là  áng tin c y.  ă ệ ườ ướ – N ó ph i   m i    – Xác  nh các liên k t y u và có bi n pháp t ng c ng

– đị ự ả ườ ậ m  b o m ôi tr ng là m áy tính thân thi n (khí h u,

• B c 1:  m  b o r ng ph n c ng  ó  ả ằ Đả ả đủ ớ để đượ ế ế ủ đĩ ( a d  phòng, m áy ch  clustering v..v).  Đả ệ ị v  trí v..v).

để ạ ỏ ả ạ ậ ậ ặ ả ấ ộ – C ung c p b o m t v t lý   lo i b  gi  m o ho c tr m

c p.ắ

ố ệ ố

ướ

C ác b c chính khi gia c  h  th ng

ọ đặ

ớ ộ ệ đ ề ă • B c 2:  C h n và cài  t m t h   i u hành v ng ch c ắ ặ ữ ồ ạ ủ c th m  dò    t c a tin t c.

ả ă

ệ đ ề ệ đ ề ữ ệ ồ ư ỗ ợ ă ị đự đĩ

ậ đă ự ậ

ệ ướ – H   i u hành m i ch a  ư đượ ậ đ H   i u hành  áng tin c y.  – C ó nh ng tính n ng quan tr ng g m  kh  n ng h  tr   ỗ ợ ọ ỗ các bi n pháp ch u  ng l i nh  h  tr  U PS,  a R AID   ể , logging, và ki m  soát truy c p ( ng nh p, xác th c  và b o v  file).

ụ ầ ế

ỉ ỗ ợ ị ầ ệ ố ứ ế – H   i u hành ch  h  tr  d ch v  c n thi t. – Vô hi u hoá không c n thi t giao th c và h  th ng

ả ệ đ ề ệ con.

ặ đổ ệ ả ọ – H y b , vô hi u hóa, ho c  i tên g i các tài kho n

ủ ỏ ụ "m c tiêu“.

ố ệ ố

ướ

C ác b c chính khi gia c  h  th ng

ậ ừ ẽ để ừ ộ ự ầ ạ – Yêu c u xác th c m nh m    truy c p t  xa và t  n i

b .ộ ả để ể ườ ặ – Q u n lý ch t ch  ng i dùng và các nhóm    ki m

ề ợ

ẽ soát các quy n không thích h p. để ă ự ệ ể – Kích ho t tính n ng ki m  toán   theo dõi s  ki n

ạ ọ

ộ ườ ử ứ ả – C ài  t m t t ng l a bên th  3 và theo dõi các b n

quan tr ng.  đặ ghi (logs).  ụ ấ ả ả ữ ả ỗ

ụ ị

– Áp d ng t t c  b n s a ch a (hot­fixes), b n vá l i  ữ (patches) và gói d ch v  (and service packs) có liên  quan.

ố ệ ố

ướ

C ác b c chính khi gia c  h  th ng

đặ ệ ố ậ

• B c 3:  C ài  t và c u hình h  th ng t p tin ấ   để ạ ỏ ề

ướ – C u hình Access C ontrol Lists (AC L)   lo i b  quy n  ợ ấ ạ

ấ để ẽ ạ ể ă m nh m  và không thích h p (nh t là Privilege).  – Kích ho t tính n ng ki m  toán   theo dõi s  ki n  ự ệ

quan tr ng.ọ ằ ắ đầ ư ụ đ

– B t  u b ng cách khóa ch t các th  m c và sau  ó  ử ể ề đ ề ừ ậ ấ

ụ ặ cung c p quy n  i u khi n truy c p cho t ng nhóm  s   d ng (user groups).

ườ ử ụ ụ ể ữ ỉ

– Truy c p cho nh ng ng i s  d ng c  th  ch  nên  ơ ở ậ ự ạ ệ đượ ệ c th c hi n trên c  s  ngo i l .

ố ệ ố

ướ

C ác b c chính khi gia c  h  th ng

ị • B c 4:  C u hình  ng d ng / d ch v ụ

ứ ứ ị

ụ ầ ệ ấ đặ đặ ế đượ ử ầ ướ ụ – C h  cài  t các  ng d ng và d ch v  c n thi t.  ụ – C h  cài  t ph n m m   ã th  nghi m  và  ề đ c phê

ặ ứ

ỉ ỉ duy t. ệ ủ ỏ ế ị đặ ệ ụ đượ

– ế ể ụ ụ ứ ị t  i u khi n truy c p trong các  ng d ng / d ch v ,

ế

– H y b  ho c vô hi u hóa các  ng d ng không c n  ụ ầ ạ ỏ ặ đị c cài  t theo m c  nh ­ lo i b   thi t và d ch v   ể ậ các t p tin n u có th . ậ Đặ đ ề n u có.  ụ ấ ả ả ữ ả ỗ

ụ ị

– Áp d ng t t c  b n s a ch a (hot­fixes), b n vá l i  ữ (patches) và gói d ch v  (and service packs) có liên  quan.

ữ ệ ả ẫ ị – Xóa  i m t vài d  li u m u (các k ch b n, m u trang  ẫ

đ ộ w eb, vv).

ố ệ ố

ướ

C ác b c chính khi gia c  h  th ng

ủ • B c 5.  C u hình m áy ch  bên applets / script

ế ế ứ ụ ỉ ướ – C h  cài  t các  ng d ng thi t y u, các applet và các

ấ đặ ả ị k ch b n. đặ ệ ề

ệ ả ầ ỉ ứ

ă ự đị ự ị n ng th c hi n d   nh c a m ình.

ệ ấ ả ả ữ ụ ả ỗ

ụ ị

– C ài  t th  nghi m  và ch   ỉ đượ ử c phê duy t ph n m m .  – Xác m inh r ng các applet và các k ch b n ch  có ch c  ằ ủ – Áp d ng t t c  b n s a ch a (hot­fixes), b n vá l i  ữ (patches) và gói d ch v  (and service packs) có liên  quan..

ươ

C h ng 5: Xác th c

(Authentication)

Xác th c (Authentication) là gì ?

nh n d ng s ậ ạ ộ • Là m t quy trình nh m c g ng xác minh ằ

ố ơ ử thông tin đi (sender) trong

user . ậ t ầ

ố ắ (digital identity) c a ủ n i g i giao thông liên l cạ . – VD: xác th c ự m t yêu c u đăng nh p ừ ộ • N i ơ g i ử thông tin c n ph i xác th c có th là ể : ầ ự

i dùng s d ng m t máy tính ộ ườ

ng trình ng d ng máy tính (computer ả ử ụ ộ máy tính ứ – m t ng ộ – b n thân m t ả – m t ộ ươ ụ

ch program).

ố C ác nhân t  xác th c

s h u b m sinh ữ

• Nh ng cái mà ng – VD: v t lăn tay ế ẩ ạ i dùng ẫ

ạ t danh ể ố ữ ệ

• Nh ng cái gì ng i dùng ở ữ ườ ắ , chu i ỗ DNA, , m u hình võng m c m t m u hình v gi ng nói s xác minh ch ký, tín hi u ự ề ọ ệ ữ unique sinh đi n đ c h u do c th s ng t o sinh ( ơ ữ ặ bio-electric signals), ho c nh ng bi sinh tr cắ ặ (biometric identifier) ữ ườ

ư ID card), ch ng ch an ninh (software có – VD: ch ng minh th ( ứ ứ ề

token), ch ng ch ph n m m ầ ộ (cell phone)

• Nh ng gì ng ạ tế bi ườ

– VD: m t kh u (personal ứ (security ỉ token) ho c ặ đi n tho i di đ ng ệ i dùng ữ ẩ , ho c ặ s đ nh danh cá nhân ố ị ậ

identification number - PIN))

ổ ế

ộ ố

ươ

ứ M t s  ph ng th c xác th c ph  bi n

• Xác th c d a trên User Name và Password ự ự

ấ ơ ả

ừ ủ ự ệ

ớ c đ i chi u v i ch ng t ừ ượ ư ứ ế ố

ứ đ ớ ệ ố

ượ ự

– Là cách xác th c c b n nh t. ự – C  ch : y nhi m ế  V i ki u xác th c này, ch ng t ể ơ c l u tr trên User đ ữ ớ ượ database h th ng, n u trùng kh p username và ế c xác th c và n u không User password, thì user đ ế b c m truy c p. ậ

ng th c này không b o m t l m vì ch ng t ả ậ ắ ứ ừ

ự ạ ượ ị ấ – Ph ươ ậ

xác c g i đi xác th c trong tình tr ng plain c mã hóa và có th b tóm trên ử ượ ể ị

ứ nh n User đ text, t c không đ ứ ng truy n. đ ườ ề

ổ ế

ộ ố

ươ

ứ M t s  ph ng th c xác th c ph  bi n

ế

ố ắ ệ

ẽ ử ả ệ ự

• Challenge Handshake Authentication Protocol (CHAP) – Là mô hình xác th c d a trên user name/password. ự – C  ch :  ơ • B1: Khi user c g ng log on, server đ m nhi m vai trò xác th c s g i m t thông đi p th thách ộ (challenge message) tr l ở ạ

i user ồ ạ ẽ ả

ử i máy tính User. • B2: Lúc này máy tính User s ph n h i l ượ

name và password đ ự ả

c l u gi ả

c mã hóa. • B3: Server xác th c s so sánh phiên b n xác ẽ v i phiên b n mã hóa v a ữ ớ c trùng kh p, user s đ ừ ượ ẽ ớ

th c User đ ượ ư ự , n u nh n ế ậ authenticated.

ổ ế

ộ ố

ươ

ứ M t s  ph ng th c xác th c ph  bi n

– B n thân Password không bao gi c g i qua ả đ ờ ượ ử

– Ph ng đ ng th c CHAP th network. ươ ứ ườ

ượ ủ ử ụ ẳ ạ

c s d ng khi User logon vào các remote servers c a cty ch ng h n nh ư RAS server. – D li u ch a password đ ứ ữ ệ ọ

ạ ộ

c mã hóa g i là password ượ băm (hash password). M t gói băm là m t lo i mã ộ hóa không có ph ng cách gi i mã. ươ ả

ổ ế

ộ ố

ươ

ứ M t s  ph ng th c xác th c ph  bi n

• Kerberos

ể ể ẻ ệ

ấ ể ự ể ậ

– Kerberos authentication dùng m t Server trung tâm đ ki m tra vi c xác th c user và c p phát th thông hành (service tickets) đ User có th truy c p vào tài nguyên.

– Kerberos là m t ph ấ ứ ươ

ấ ấ ạ ộ

ộ ở ự ủ ờ

ữ ầ

ự ả ặ ả

c đ ng b time t ộ ồ ượ ừ ộ

ng th c r t an toàn trong authentication b i vì dùng c p đ mã hóa r t m nh. Kerberos cũng d a trên đ chính xác c a th i gian ộ xác th c gi a Server và Client Computer, do đó c n đ m b o có m t time server ho c authenticating các Internet time servers đ server.

– Kerberos là n n t ng xác th c chính c a nhi u OS ủ ự ề ề

ả nh Unix, Windows ư

ổ ế

ộ ố

ươ

ứ M t s  ph ng th c xác th c ph  bi n

Tokens – Tokens là ph ệ ư ươ ẻ

ặ ậ ẻ

ứ ự

ng ti n v t lý nh các th thông minh (smart cards) ho c th đeo c a nhân viên (ID ủ badges) ch a thông tin xác th c. ể ư ậ ạ

– Tokens có th l u tr s nh n d ng cá nhân- ữ ố personal identification numbers (PINs), thông tin v ề user, ho c passwords. ặ

– Các thông tin trên token ch có th đ c đ c và x lý ể ượ ỉ ử ọ

ọ ượ ở ầ ọ t b đ c d ng, b i các thi ế ị ặ ở • ví dụ: th smart card đ ẻ

ắ ử ế

ị ố ặ

c đ c b i đ u đ c smart card g n trên Computer, sau đó thông tin này c g i đ n authenticating server. Tokens ch a đ ứ ượ chu i text ho c giá tr s duy nh t thông th ường ấ ỗ m i giá tr này ch s d ng m t l n. ỉ ử ụ ộ ầ ỗ ị

ổ ế

ộ ố

ươ

ứ M t s  ph ng th c xác th c ph  bi n

ươ ắ • Biometrics (ph

ng pháp nh n d ng sinh tr c h c ọ ) ạ ọ ự ự ủ ể ặ ậ – Là mô hình xác th c d a trên đ c đi m sinh h c c a

ắ ạ

t ng cá nhân. ừ • VD : Quét d u vân tay (fingerprint scanner), quét võng m c ấ ạ m t  (voice- (retinal scanner), nh n d ng gi ng nói ắ ậ ọ ặ  (facerecognition). recognition),nh n d ng khuôn m t – Vì nh n d ng sinh tr c h c hi n r t t n kém chi phí ậ ấ ố ệ ọ c ch p nh n r ng rãi khi tri n khai nên không đ ậ ấ ể ng th c xác th c khác. nh các ph ượ ự ươ ứ ư

ổ ế

ộ ố

ươ

ứ M t s  ph ng th c xác th c ph  bi n

ự ự ề • Multi-Factor Authentication (xác th c d a trên nhi u

ố ế ợ ) k t h p

nhân t ể tra ít nh t 2 nhân t – Là mô hình xác  th c yêu c u ki m ố ấ ầ ự xác th c.ự  Có th đó là s k t h p c a b t c nhân t ấ ứ ự ế ợ ố ể nào ví d nh : b n là ai, b n có gì ch ng minh, và ứ ạ ư ạ b n bi ạ ế

ẻ nh n d ng vào đ u đ c và ậ ạ ầ ọ ? – Ví d :ụ  C n ph i đ a th

ả ư t ti p password là gì cho bi ụ t gì ầ ế ế

ổ ế

ộ ố

ươ

ứ M t s  ph ng th c xác th c ph  bi n

• Mutual Authentication (xác th c l n nhau ) ầ ự ẫ – là k thu t b o m t mà m i thành ph n tham gia giao ỗ ậ ả ậ ỹ

ế ẫ ứ ti p v i nhau ki m tra l n nhau. ể ế – Tr ướ ể ấ

ớ c h t Server ch a tài nguyên ki m tra “gi y i ki m tra ủ ể ạ

phép truy c p” c a client và sau đó client l “gi y phép c p tài nguyên” c a Server. ư ớ ộ ị

ậ ấ ố ạ ủ ầ

ể ộ ủ

i Server bank s ki m tra b n… ấ – Đi u này gi ng nh khi b n giao d ch v i m t Server ạ ề c a bank, b n c n ki m tra Server xem có đúng c a ủ bank không hay là m t cái b y c a hacker giăng ra, à ẫ ng ẽ ể c l ượ ạ ạ

ươ

C h ng 6: M t m ã

(C rytography)

i Hy L p là m t

ủ ụ

G y m t mã c a ng ườ trong nh ng d ng c đ u tiên trong ngành ụ ầ ữ m t mã hoá

ề ậ

G i i thi u v  m t m ã

• M t mã h c ọ

ậ ớ ỹ ộ

ậ – Là m t lĩnh v c liên quan v i các k thu t ngôn ng ữ ả an toàn thông tin, c th là ụ ể ọ

ng di n l ch s , m t mã h c g n li n v i quá ự và toán h c đ đ m b o ể ả trong thông tin liên l cạ . ử ươ – V ph ề ệ ị ề ắ ậ ớ

ọ trình mã hóa và gi i m ã (thám  m ã) ả

• M ã hóa:

ổ thông tin t ể

d ng ừ ạ c thành d ng ạ ượ ứ

ể thông th ể không th nh n th c đ ậ c ườ ể ậ

– Là các cách th c đ chuy n đ i ứ ng có th nh n th c đ ượ – làm cho thông tin tr thành d ng không th đ c đ c ể ọ ượ ạ

. n u nh không có ậ ư ế ứ ở m t m ã

ề ậ

G i i thi u v  m t m ã

• là lĩnh v c nghiên c u v vi c che gi u s ệ ứ t ph i che gi u

ự t n t i ồ ấ n i dung ộ

ế

ạ c a ủ c a ủ

thông đi pệ mà không nh t thi thông đi p đó

ệ • Ví d : ụ m c không màu . ự

– Lĩnh v c có liên quan v i ề ự ớ m ã hóa là steganography ấ

• Thám  m ã

ặ ể ế

ph ươ ữ ứ

– Thám mã có th đ ng th c m t mã hóa ậ ể ượ ữ

ằ ế ế ở ườ ườ

– là tìm nh ng đi m y u ho c không an toàn trong . c th c hi n b i nh ng k t n ẻ ấ ở ự công ác ý, nh m làm h ng h th ng; ho c b i nh ng ỏ ữ i khác) t k ra h th ng (ho c nh ng ng ng ệ ố v i ý đ nh đánh giá đ an toàn c a h th ng. ộ ớ ệ ệ ố ặ ủ ữ ệ ố i thi ị

Các ph

ng pháp mã hóa

ươ

ố ứ : ạ m t mã hóa ậ ườ ử ụ

• Mã hóa đ i x ng – là m t d ng ộ trao đ i các ổ bí m tậ tr ướ i s d ng cho phép ng thông tin m t ậ thông qua khóa chung .

– dùng cùng m t key cho mã hóa và gi i mã ả c đó ộ

Các ph

ng pháp mã hóa

ươ

ậ ượ c phân lo i ạ • N n t ng m t mã h c khác đôi khi cũng đ ọ

ề ả ư ậ ố ứ

i r t khó đ đ o ư ạ ấ ể ả

nh là m t mã h c khóa đ i x ng: ọ – Các hàm băm m t mã • S n sinh ra thông đi p. ệ s bămự • R t d tính toán nh ng nó l i mã ả ễ ấ c ượ – gi ng ả ề )

ế ổ (hàm m t chi u ộ • VD : MD5 và SHA-1 là các hàm băm n i ti ng

nh t.ấ

ự ư

nh các hàm băm, ệ ng t ể

– MAC (mã xác th c thông đi p ệ ) • Là hàm băm có khóa, t ươ ngo i tr vi c c n có khóa đ tính toán vi c băm. ể • Đ c s d ng r ng rãi đ xác th c thông đi p. ạ ừ ệ ử ụ ầ ộ ượ ự ệ

Các ph

ng pháp mã hóa

ươ

ố ứ có m t s tr ng i không ở ạ ộ ố

i mu n trao đ i các thông tin bí m t c n – Mã hóa khóa đ i x ng ệ : ườ ậ ầ ố

ph i chia s khóa bí m t. thu n ti n • hai ng ả ẻ ổ ậ

ả ượ • Khóa c n ph i đ ầ

c trao đ i theo m t cách th c ng th c ổ ằ ứ ứ ươ

ả ng v n dùng đ liên l c. ẫ ườ ạ

ư

ộ an toàn, mà không ph i b ng các ph thông th ậ

khóa b t đ i x ng) đ ấ ố ứ là m t gi ộ

ể   m t mã hóa khóa công khai (hay c đ a ra nh ư ượ i pháp thay th . ế

Các ph

ng pháp mã hóa

ươ

ử ụ

c ph bi n công khai và ổ ế

c gi ượ ữ

ể ậ • Mã hóa khóa công khai: – S d ng hai khóa c ngộ ­public key) đ m tậ (hay khóa cá nhân­private key) đ – Khóa công khai dùng đ m t mã hóa còn

i m t mã (cũng có th th c hi n ng : khóa công khai (hay khóa công khóa bí ượ bí m t ậ . khóa bí m tậ c ượ ệ ậ ể ả ể ự

– S d ng Public/Private key authentification b n có ạ

th tránh đ ượ

ệ ậ

ấ ả

dùng đ gi i).ạ l ử ụ ể • t n công dò m t kh u (bruce password scan) ẩ • b o v m t kh u root c: ậ ẩ

Các ph

ng pháp mã hóa

ươ

– H th ng mã hóa khóa công khai có th s d ng v i ớ ể ử ụ

i có ữ ườ ỉ

i mã đ ệ ố các m c đích: ụ • Mã hóa: gi ậ bí m t thông tin và ch có ng ượ

ậ khóa bí m t m i gi ả ữ c. ể ả ộ

ớ ố: cho phép ki m tra m t văn b n c t o v i m t khóa bí m t nào đó ậ ộ ượ ạ

ế

• T o ạ ch ký s có ph i đã đ ớ ả ự ).  hay không (nh n th c ả

ậ – VD : Tí mã hóa văn b n v i i mã ả ả

• Th a thu n khóa

ớ khóa bí m tậ c a mình. N u v i ớ khóa công khai c a ủ Tí thì có th ể Tèo có th ể gi ừ Tí. tin r ng văn b n th c s xu t phát t ự t l p khóa dùng : cho phép thi ế ậ ỏ

đ trao đ i thông tin m t gi a 2 bên. ữ ể ậ ậ ổ

Các ph

ng pháp mã hóa

ươ

• C ase study:

ố ư

bí m t) t

Alice và Bob trao đ i thông tin m t thông ổ qua h th ng b u chính. Alice c n g i ệ ử ầ ư bí m t m t b c th có n i dung c n gi ậ ữ ầ ộ ứ i th tr i cho Bob và sau đó nh n l t ư ả ậ ạ ớ . l Bob i (cũng c n gi ữ ờ

ậ ừ

Các ph

ng pháp mã hóa

ươ

• Trong h th ng ố ứ :

i r i g i h p ư ậ ứ ạ ồ ử ộ

theo đ ệ ố m t mã hóa khóa đ i x ng – Alice s cho b c th vào h p và khóa l ộ ng b u chính bình th i cho Bob. ng t ườ

ượ ậ ộ ố ộ

ệ ọ

ẽ ớ ư ườ – Khi Bob nh n đ c h p, anh ta dùng m t khóa gi ng h t nh khóa Alice đã dùng đ m h p, đ c thông tin ư và g i th tr l ể ở ộ . i theo cách t ng t ư ả ờ ươ ử

ề ặ ố ự ả

– V n đ đ t ra là Alice và Bob ph i có 2 khóa gi ng c ấ ệ tr ừ ướ ằ

h t nhau b ng m t cách an toàn nào đó t ộ (ch ng h n nh g p m t tr c ti p). ư ặ ặ ự ế ẳ ạ

Các ph

ng pháp mã hóa

ươ

• Trong h th ng ệ ố m t mã hóa khóa b t đ i x ng ậ ấ ố ứ :

ử ầ ầ

ng và gi – Bob và Alice có hai khóa khác nhau. – Đ u tiên, Alice yêu c u Bob g i cho mình khóa công l i ng b u chính bình th ữ ạ ườ ườ ư

– Khi c n g i th , Alice s d ng khóa nh n đ ử ử ụ c t ượ ừ ậ

– Khi nh n đ ư ộ c h p đã khóa b ng khóa công khai c a khai theo đ khóa bí m t. ậ ầ ể ậ ượ ủ ằ

mình, Bob có th m khóa và đ c thông tin. Bob đ khóa h p. ộ ể ở

– Đ tr l ọ i Alice, Bob cũng th c hi n theo quá trình ự ệ

ể ả ờ ng t t v i khóa c a Alice. ươ ự ớ ủ

Các ph

ng pháp mã hóa

ươ

ả ử ơ ộ ẻ ứ

• ậ ấ ố ứ

ư ộ ậ

ư

ế

là: ậ ủ ẳ

ườ

ng lai.

nhân viên b u chính bi n ch t) làm gi chuy n và đ c nh ng thông tin trao đ i gi a 2 ng t ươ

– Thêm vào đó, trong tr

ng h p Bob do s su t làm l

ơ

ộ i khác v n gi

ấ ườ

khóa c a ủ bí ẫ

ườ mình thì các thông tin do Alice g i cho ng m t (vì s d ng các c p khóa khác). ặ

ử ụ

Ư đ ể m t mã hóa khóa b t đ i x ng u  i m   – Bob và Alice không c n ph i g i đi khóa bí m t c a mình. ầ – Đi u này làm gi m nguy c m t k th 3 (ch ng h n nh m t ạ khóa trong quá trình v n i trong

ư

Dùng khoá công khai đ mã hóa, nh ng dùng khoá bí m t đ gi

ể i mã. ậ ể ả

Ch n m t s ng u nhiên l n ẫ ộ ố đ sinh c p kkhóa ặ

ộ ể

ổ ợ ậ ủ

ườ

Dùng khoá bí m t đ ký m t thông ậ ể báo;dùng khoá công khai đ xác minh ch ký.

T h p khoá bí m t mình v i khoá bí ậ m t c a ng i khác t o ra khoá dùng chung ch hai ng

t.

ạ i bi ế

ườ

ươ

ạ C h ng 7: M ng riêng  o

(Virtual Personal N etw ork­ VPN )

G i i thi u

ử ụ

• M ng riêng o – VPN

ệ ố ể

(Virtual Private Network) là gì ? ạ – Là m t m ng riêng s d ng h th ng m ng công c ng (th ng là ườ ộ ạ xa v i i s d ng t ớ ừ ườ ử ụ

ế ố

ư ườ

ch c v i đ a đi m ho c ng

ứ ạ ượ ể

ề ặ

ng dây thuê bao s , c truy n qua Internet gi a m ng ữ xa. i s d ng ở

ườ ử ụ

ả ạ Internet) đ k t n i các đ a đi m ho c ng ể ế m t m ng LAN ạ

ng tăng c

ng thông tin t

ướ

ế ế

ườ

ị ố tr s trung tâm. ở ụ ở – Không dùng k t n i th t khá ph c t p nh đ ậ VPN t o ra các liên k t o ế ả  đ ạ riêng c a m t t ớ ị ộ ổ ủ i pháp VPN ả – Thi

ch c có xu h xa vì đ a bàn ho t đ ng r ng (trên toàn qu c hay toàn c u).

t k cho nh ng t ữ ạ ộ

ứ ộ

nhi u ngu n nên ti

t

ầ ồ

ế

c chi phí và th i gian

ố – Tài nguyên trung tâm có th k t n i đ n t ở c đ ượ

ki m đ ệ

ượ

ể ế ố ế ừ ờ .

• Gi :

G i i thi u

ồ :

ạ ụ ở ạ

i gia) ho c ng

i s d ng

ế

ườ ử ụ

M t m ng VPN đi n hình bao g m ể       1.  M ng LAN chính t       2.  C ác m ng LAN khác t ạ       3. C ác đi m k t n i (nh 'Văn phòng' t ể bên ngoài. (Nhân viên di đ ng) truy c p đ n t ộ

i tr s (Văn phòng chính), i nh ng văn phòng t xa ư ế ừ

ố ậ

ổ ế

C ác lo i ạ VPN  ph bi n hi n nay

• G m  hồ ai lo i ạ :

(Remote-Access VPN )

đ t o ra ể ạ

ế ạ

ộ ớ

ệ ố

ề ộ

– K thu t Tunneling yêu c u 3 giao th c khác nhau:

ế ng ng" riêng (tunnel). ườ ứ ầ i (Carrier Protocol)

c s d ng b i m ng

ượ

ử ụ

ỹ • Giao th c truy n t ứ

ề ả

: là giao th c đ

• Giao th c mã hóa d li u (Encapsulating Protocol)

có thông tin đang đi qua. ữ ệ

ư

: là giao th c (nh GRE,

IPSec, L2F, PPTP, L2TP) đ

c b c quanh gói d li u g c.

ượ

• Giao th c gói tin (Passenger Protocol)

c

ữ ệ

ượ

ữ ệ ứ

: là giao th c c a d li u g c đ ủ

truy n đi (nh IPX, NetBeui, IP).

ư

– VPN truy c p t xa ậ ừ – VPN đi m-n i-đi m ể (site-to-site VPN ) ố • H u h t các VPN d a vào k thu t Tunneling ỹ ự ầ ậ m t m ng riêng trên n n Internet. ộ – Là quá trình đ t toàn b gói tin vào trong m t l p header (tiêu đ ) ch a thông tin đ nh tuy n có th truy n qua h th ng m ng trung gian theo nh ng "đ

đ ể

ố đ ể VPN   i m ­n i­ i m  (site­to­site

VPN )

ườ ể ế ố

• S d ng m t mã

ư

th c mã hóa đ nh

ớ ứ

dành cho nhi u ng ạ ế

i đ k t n i nhi u đi m ề ử ụ c đ nh v i nhau thông qua m t m ng công c ng nh Internet. ộ ộ ố ị • G iao tuy n GRE (Generic Routing Encapsulation) cung c p c c u "đóng gói" giao th c gói tin ơ ấ (Passenger Protocol) đ truy n đi trên giao th c truy n t i ả ề (Carier Protocol).

ự – Lo i d a trên Intranet

a trên Intranet ho c Extranet. ế

• Phân lo i dạ ạ ự ố

: N u m t công ty có vài đ a đi m t ừ ể ạ ộ

xa ộ mu n tham gia vào m t m ng riêng duy nh t, h có th t o ra m t VPN intranet (VPN n i b ) đ n i LAN v i LAN.

ộ ộ ể ố ộ

ộ ạ ự ế ớ

ư ố

– Lo i d a trên Extranet ộ ọ

ở ộ ể

ấ ớ : Khi m t công ty có m i quan h m t thi t v i m t công ty khác (ví d nh đ i tác cung c p, khách ụ hàng...), h có th xây d ng m t VPN extranet (VPN m r ng) ộ ch c khác nhau có th làm k t n i LAN v i LAN đ nhi u t vi c trên m t môi tr

ng chung.

ế ệ

ườ

VPN đi m-n i-đi m (site-to-site

VPN )

m t máy tính

c chuy n t

ể ừ ộ

ở i đây giao th c mã hóa

ượ i router (t ễ

ể ớ

văn phòng chính đ nh tuy n ế GRE­ i máy tính c a văn ủ

Trong mô hình này, gói tin đ qua máy ch truy c p, t ủ G eneric R outing Encapsulation di n ra), qua Tunnel đ t phòng t

xa.

ậ ừ

VPN  truy c p t  xa (R em ote­Access

VPN )

.

xu t phát t

ạ ứ ộ ế ố

nhu c u c a ầ ch c có nhi u nhân viên c n liên h v i m ng riêng

ừ ệ ớ

ộ ổ

xa.

• C òn g i là m ng Dial-up riêng o (VPDN) • D ùng giao th c đi m-n i-đi m PPP (Point-to-Point Protocol) ể ể • Là m t k t n i ng i dùng-đ n-LAN, ế ườ ầ ề r t nhi u đ a đi m ể ở ừ ấ

m t t c a ủ công ty mình t – Ví dụ:

ả ầ

ế

d ch v doanh nghi p (ESP).

• C ông ty mu n thi ụ

• ESP này t o ra m t máy ch truy c p m ng (NAS) và cung c p cho xa m t ph n m m máy khách cho máy tính

i s d ng t

t l p m t VPN l n ph i c n đ n m t nhà cung c p ế ậ ệ ộ ạ ườ ử ụ

ạ ề

ậ ầ

nh ng ng ữ c a h . ủ • Sau đó, ng

ể ọ

ệ ớ

i s d ng có th g i m t s mi n phí đ liên h v i NAS và dùng ph n m m VPN máy khách đ truy c p vào m ng riêng c a công ty. Lo i VPN này cho phép các k t n i an toàn, có m t mã.

ườ ử ụ ầ ạ

ộ ố ể ế ố

ạ ậ

B o m t trong VPN

• T ng l a ườ ữ ữ ắ ạ ắ ử (firewall): là rào ch n v ng ch c gi a m ng

ng ử ườ

ng l a đ h n ch s l ể ạ ứ ượ c khi thi ế ố ượ c chuy n qua. ể t l p VPN. ế ậ ườ

ể ộ ạ ư ữ ề ườ ử ệ ằ

riêng và Internet. – C ó th thi t l p các t ế ậ ể c ng m , lo i gói tin và giao th c đ ở ạ ổ – N ên cài t t tr ng l a th t t ậ ố ướ ử – VD : M t s s n ph m dùng cho VPN nh router ẩ ố ả ộ 1700 c a Cisco có th nâng c p đ g p nh ng tính ủ ể ng l a b ng cách ch y h đi u hành năng c a t ủ Internet Cisco IOS thích h p. ợ

B o m t trong VPN

ả ứ ứ

• Giao th c b o m t giao th c Internet ậ ư ề ẩ ậ ị

ế ơ

(IPSec): cung c p ấ nh ng tính năng an ninh cao c p nh các thu t toán mã ậ ấ ữ t h n, quá trình th m đ nh quy n đăng nh p toàn hóa t ố ơ di n h n. ơ ệ – IPSec có hai c ch mã hóa là Tunnel và Transport. c c a ủ

Tunnel mã hóa tiêu đ (header) và kích th ề m i gói tin còn Transport ch mã hóa kích th ướ c. ỉ

ỗ ợ ụ ướ ể ậ có h tr IPSec m i có th t n d ng ớ – N h ng h th ng

đ

ả ử ụ ộ ệ ố c giao th c này. ứ – T t c các thi

ỗ ệ ố ế ả

ả t b ph i s d ng m t mã khóa chung ế ị t ử ố ng l a trên m i h th ng ph i có các thi ườ ậ

– IPSec có th mã hóa d li u gi a nhi u thi ỗ ữ ượ ấ ả và các t l p b o m t gi ng nhau. ậ ể ế ị ữ ệ ữ

ề ớ ư ớ

t b khác nhau nh router v i router, firewall v i router, PC v i ớ router, PC v i máy ch . ủ ớ

B o m t trong VPN

• M t mã riêng

ộ ậ ề

ỗ c khi g i t ướ ạ ầ

ậ ể ạ ệ ớ ữ ể

ườ ủ ể ậ

(Symmetric-Key Encryption): M i máy tính i đ u có m t mã bí m t đ mã hóa gói tin tr ử ớ máy tính khác trong m ng. Mã riêng yêu c u b n ph i ả t mình đang liên h v i nh ng máy tính nào đ có bi i nh n có th th cài mã lên đó, đ máy tính c a ng ể gi ượ

ế ể ả ậ ế ợ

c. i mã đ • M t mã chung ộ ộ ạ ỉ

ế ủ ấ ủ ạ

ố ớ

ả ộ

ờ ầ ế ồ ồ

(Public-Key Encryption) k t h p mã riêng và m t mã công c ng. Mã riêng này ch có máy c a b n nh n bi t, còn mã chung thì do máy c a b n c p cho ậ b t kỳ máy nào mu n liên h (m t cách an toàn) v i nó. ộ ệ ấ Đ gi i mã m t message, máy tính ph i dùng mã chung ể ả c máy tính ngu n cung c p, đ ng th i c n đ n mã đ ấ ượ riêng c a nó n a. ủ ữ

Máy ch AAA ủ

t t

ế ắ ủ

• AAA là vi

ữ:

t c a ba ch ẩ

ề ậ ị

• Các server này đ

c dùng đ đ m b o truy c p

ượ

ể ả

– Authentication (th m đ nh quy n truy c p) – Authorization (cho phép) – Accounting (ki m soát). ể

an toàn h n. ơ – Khi yêu c u thi ầ

máy i t

ộ ế ố ượ ủ ạ c g i t ể ể ủ ộ

i s ử t đ theo dõi vì m c đích an t l p m t k t n i đ ử ớ ừ ế ậ khách, nó s ph i qua máy ch AAA đ ki m tra. ả ề ườ ầ ế ể ụ

– Các thông tin v nh ng ho t đ ng c a ng ữ d ng là h t s c c n thi ế ứ ụ toàn.

S n ph m công ngh dành cho VPN

ạ ừ ể ậ ố

ạ ẽ ầ ả ặ ộ

ậ ể ạ

• Tùy vào lo i VPN (truy c p t xa hay đi m-n i-đi m), ể b n s c n ph i cài đ t nh ng b ph n h p thành nào ợ ữ t l p m ng riêng o. Đó có th là: đó đ thi ả ể – Ph n m m cho desktop c a máy khách dành cho ế ậ ề ủ

ng i s d ng t ừ

– Ph n c ng cao c p nh b x lý trung tâm VPN ư ộ ử

ho c firewall b o m t PIX. ầ ườ ử ụ ứ ầ ặ xa. ấ ậ ả

ấ ụ ị

ủ ấ

d ng đ ph c v ng xa. – Server VPN cao c p dành cho d ch v Dial-up. – NAS (máy ch truy c p m ng) do nhà cung c p s ử ậ ườ ử ụ ụ ừ ụ ể

ạ i s d ng t – M ng VPN và trung tâm qu n lý. ả ụ ạ

ườ

ươ

C h ng 8: T ng l a

(Firew all)