AN NINH MẠNG
ThS. Trần Bá Nhiệm
CHƯƠNG 1 GIỚI THIỆU
Bối cảnh
• Nhu cầu đảm bảo an ninh thông tin có
những biến đổi lớn – Trước: chỉ cần có các phương tiện vật lý và
hành chính
– Khi có máy tính: cần các công cụ tự động bảo vệ tập tin và các thông tin khác lưu trữ trong máy tính
– Khi có mạng: cần các biện pháp bảo vệ dữ
liệu truyền trên mạng
Trần Bá Nhiệm An ninh Mạng 3
An ninh là gì?
• An ninh thông tin: liên quan đến các yếu tố tài nguyên, nguy cơ, hành động tấn công, điểm yếu, điều khiển
• An ninh máy tính: các công cụ để bảo vệ và
phòng chống tin tặc
• An ninh mạng: các biện pháp bảo vệ dữ liệu
truyền trên mạng
• An ninh liên mạng: các biện pháp bảo vệ dữ liệu truyền trên một tập hợp các mạng có kết nối với nhau
Trần Bá Nhiệm An ninh Mạng 4
Mục tiêu
• Chú trọng đến an ninh liên mạng • Nghiên cứu các biện pháp ngăn cản,
phòng chống, phát hiện và khắc phục các vi phạm an ninh liên quan đến truyền tải thông tin
Trần Bá Nhiệm An ninh Mạng 5
Đảm bảo an ninh thông tin
• Để hiệu quả cần đề ra một phương thức chung cho việc xác định các nhu cầu về an ninh thông tin
• Phương thức cần xét trên 3 mặt:
– Hành động tấn công – Cơ chế an ninh – Dịch vụ an ninh
Trần Bá Nhiệm An ninh Mạng 6
Dịch vụ an ninh
• Nâng cao độ an ninh của các hệ thống xử lý
thông tin và các quá trình truyền dữ liệu trong một tổ chức
• Phòng chống và ngăn cản các hành động tấn
công
• Sử dụng một hoặc nhiều cơ chế an ninh • Có các chức năng tương tự như đảm bảo an
ninh tài liệu vật lý
• Do đặc trưng của tài liệu điện tử nên việc này
sẽ khó khăn hơn
Trần Bá Nhiệm An ninh Mạng 7
Cơ chế an ninh
• Để phát hiện, ngăn ngừa và khắc phục
một hành động tấn công
• Cần có cơ chế đồng bộ để hỗ trợ đảm bảo
an ninh
• Cơ chế đặc biệt hỗ trợ là các kỹ thuật mật
mã
• Môn học này cũng chú trọng vào mật mã
Trần Bá Nhiệm An ninh Mạng 8
Hành động tấn công
• Hành động phá hoại an ninh thông tin của
một tổ chức
• Mục tiêu là ngăn ngừa, nếu không được
thì phát hiện và khắc phục hậu quả
• Có rất nhiều dạng tấn công, cần tập trung
vào thể loại chính
• Nguy cơ tấn công và hành động tấn công
thường được đồng nhất với nhau
Trần Bá Nhiệm An ninh Mạng 9
Kiến trúc an ninh OSI
• Theo khuyến cáo X.800 của ITU-T • Định ra phương thức chung cho việc xác định các nhu cầu về an ninh thông tin
• Cung cấp một cái nhìn tổng quan • Chú trọng đến các dịch vụ an ninh, các cơ chế an ninh và các hành động tấn công
Trần Bá Nhiệm An ninh Mạng 10
Các dịch vụ an ninh
• Theo X.800
– Cung cấp bởi một tầng giao thức của các hệ thống mở kết nối nhằm đảm bảo an ninh cho các hệ thống và truyền dữ liệu
– Có 5 loại hình
• RFC 2828
– Là dịch vụ trao đổi và xử lý cung cấp bởi hệ thống cho việc bảo vệ đặc biệt các thông tin nguồn
Trần Bá Nhiệm An ninh Mạng 11
X.800
• Xác thực: tin tưởng là thực thể trao đổi đúng
là cái đã tuyên bố (Authentication)
• Quyền truy cập: ngăn cấm việc sử dụng
nguồn thông tin không đúng vai trò
• Bảo mật dữ liệu: bảo vệ dữ liệu không bị
khám phá bởi người không có quyền
• Toàn vẹn dữ liệu: tin tưởng là dữ liệu nhận được được gửi từ người có thẩm quyền
• Không từ chối: chống lại việc chối bỏ của một
trong các bên tham gia trao đổi.
Trần Bá Nhiệm An ninh Mạng 12
Cơ chế an ninh của X800
• Cơ chế an ninh chuyên dụng: mã hoá,
chữ ký điện tử, quyền truy cập, toàn vẹn dữ liệu, trao đổi có phép, bộ đệm truyền, kiểm soát định hướng, công chứng
• Cơ chế an ninh phổ dụng: chức năng tin cậy, nhãn an ninh, phát hiện sự kiện, vết theo dõi an ninh, khôi phục an ninh.
Trần Bá Nhiệm An ninh Mạng 13
Mô hình an ninh mạng
Bên thứ ba đáng tin
Bên gửi
Bên nhận
Kênh thông tin
Chuyển đổi liên quan đến an ninh
Chuyển đổi liên quan đến an ninh
o á b g n ô h T
o á b g n ô h T
n à o t n a o á b g n ô h T
n à o t n a o á b g n ô h T
Thông tin bí mật
Thông tin bí mật
Đối thủ
Trần Bá Nhiệm
An ninh Mạng
14
Mô hình an ninh mạng
• Sử dụng mô hình trên đòi hỏi chúng ta
phải thiết kế: – Thuật toán phù hợp cho việc truyền an toàn. – Phát sinh các thông tin mật (khoá) được sử việc truyền và thông tin mật cho các dịch vụ dụng bởi các thuật toán.
– Phát triển các phương pháp phân phối và
chia sẻ các thông tin mật.
– Đặc tả giao thức cho các bên để sử dụng an
ninh
Trần Bá Nhiệm An ninh Mạng 15
Mô hình an ninh truy cập mạng
• Sử dụng mô hình trên đòi hỏi chúng ta
phải: – Lựa chọn hàm canh cổng phù hợp cho người
sử dụng có danh tính.
– Cài đặt kiểm soát quyền truy cập để tin tưởng
rằng chỉ có người có quyền mới truy cập được thông tin đích hoặc nguồn.
– Các hệ thống máy tính tin cậy có thể dùng mô hình này với các thuật toán phù hợp cho việc truyền an toàn.
Trần Bá Nhiệm An ninh Mạng 16
Các hành động tấn công
• Tấn công thụ động: do thám, theo dõi đường
truyền để – nhận được nội dung bản tin, hoặc – theo dõi luồng truyền tin
• Tấn công chủ động: thay đổi luồng dữ liệu để
– giả mạo một người nào đó. – lặp lại bản tin trước – thay đổi bản tin khi truyền – từ chối dịch vụ.
Trần Bá Nhiệm An ninh Mạng 17
Tấn công thụ động
Trần Bá Nhiệm An ninh Mạng 18
Tấn công chủ động
Trần Bá Nhiệm An ninh Mạng 19
Mô hình an ninh mạng
• Yêu cầu
– Thiết kế một giải thuật thích hợp cho việc chuyển đổi
liên quan đến an ninh
– Tạo ra thông tin bí mật (khóa) đi kèm với giải thuật – Phát triển các phương pháp phân bổ và chia sẻ thông
tin bí mật
– Đặc tả một giao thức sử dụng bởi hai bên gửi và nhận dựa trên giải thuật an ninh và thông tin bí mật, làm cơ sở cho một dịch vụ an ninh
Trần Bá Nhiệm An ninh Mạng 20
Mô hình an ninh truy nhập mạng
Các tài nguyên tính toán (bộ xử lý, bộ nhớ, ngoại vi)
Đối thủ
Kênh truy nhập
Dữ liệu
- Con người
Các tiến trình
- Phần mềm
Phần mềm
Chức năng gác cổng
Các điều khiển an ninh bên trong
Trần Bá Nhiệm An ninh Mạng 21
Mô hình an ninh truy nhập mạng
• Yêu cầu
– Lựa chọn các chức năng gác cổng thích hợp để định
danh người dùng
– Cài đặt các điều khiển an ninh để đảm bảo chỉ
những người dùng được phép mới có thể truy nhập được vào các thông tin và tài nguyên tương ứng • Các hệ thống máy tính đáng tin cậy có thể dùng
để cài đặt mô hinh này
Trần Bá Nhiệm An ninh Mạng 22
