Bài giảng bảo mật thông tin: Tổng quan về bảo mật thông tin

Trình bày: Ths. Lương Trần Hy Hiến http://hienlth.info/hutech/baomatthongtin

(cid:1) 30%: Thi thực hành (do GV thực hành quyết định) (cid:1) 70%: Đồ án môn học

(cid:1) Thực hiện đồ án theo yêu cầu (cid:1) Vấn đáp đồ án (cid:1) Vấn đáp lý thuyết

(cid:1) Bài 1: Tổng quan về Bảo mật Thông tin

(cid:1) Bài 2: Mã hóa đối xứng cổ điển

(cid:1) Bài 3: Mã hóa đối xứng hiện đại

(cid:1) Bài 4: Mã hóa công khai RSA

(cid:1) Bài 5: Quản lý khóa dùng mã công khai

(cid:1) Bài 6: Chứng thực Thông điệp, Hàm băm

(cid:1) Bài 7: Bảo mật mạng nội bộ và An toàn IP

(cid:1) Bài 8: Bảo mật Web và Mail

(cid:1) Bài 9: Ứng dụng kiểm soát truy cập

(cid:1) Giáo trình HUTECH (cid:1) Sách, giáo trình online (cid:1) Google

(cid:1) Sống có đạo đức, làm người tốt; (cid:1) Hiểu luật ‘Nhân – Quả’; (cid:1) Khi làm việc gì cũng cố gắng tập trung, có thái độ

nghiêm túc; (cid:1) Có trách nhiệm; (cid:1) Không ngại tiếp xúc với bất kỳ trở ngại nào, khi gặp mâu thuẫn thì đối diện để giải quyết chứ không trốn tránh. (cid:1) Không sử dụng kiến thức môn học này để làm điều

vi phạm pháp luật.

(cid:1) Bạn hiểu gì về:

(cid:1) Bảo mật? (cid:1) Thông tin? (cid:1) An toàn Thông tin?

(cid:1) Keyword:

(cid:1) Computer Security, Crytography, Network Security,…

(cid:1) Các khóa học trên thế giới:

(cid:1) Stanford (http://crypto.stanford.edu/cs155) (cid:1) Coursera

(cid:1) Mục đích

(cid:1) Tham gia vào các hoạt động seminar

(cid:1) Tập làm việc nhóm

(cid:1) Phát huy trí tuệ tập thể

(cid:1) Yêu cầu

(cid:1) Mỗi nhóm có từ 2-5 thành viên.

(cid:1) Các thành viên phải biết tên nhau.

(cid:1) Có tên nhóm, tiêu chí, băng reo.

(cid:1) Sẽ gọi ngẫu nhiên các nhóm tự giới thiệu trong 30’ !

Sau khi học xong bài này, sinh viên hiểu: (cid:1) Tại sao cần bảo mật thông tin? (cid:1) Các kiểu tấn công mạng xảy ra như thế nào? (cid:1) Giải pháp bảo mật mạng được các nhà nghiên

cứu chuẩn hóa, đề nghị là gì?

(cid:1) Vai trò của lý thuyết mật mã trong bảo mật

thông tin?

(cid:1) Bảo mật thông tin (Information Security) (cid:1) Trước đây mang nghĩa: các biện pháp nhằm đảm bảo cho thông tin được trao đổi hay cất giữ một cách an toàn và bí mật. (cid:1) Đóng dấu và ký niêm phong một bức thư (còn nguyên

vẹn đến người nhận hay không).

(cid:1) Mã hóa thông điệp để chỉ có người gửi và người nhận hiểu được thông điệp (trong chính trị và quân sự). (cid:1) Lưu giữ tài liệu mật trong các két sắt có khóa, tại các nơi được bảo vệ nghiêm ngặt, chỉ có những người được cấp quyền mới có thể xem tài liệu.

Ngày nay, Bảo mật Thông tin : (cid:1) Bảo vệ thông tin trong quá trình truyền thông tin

trên mạng (Network Security).

(cid:1) Bảo vệ hệ thống máy tính, và mạng máy tính,

khỏi sự xâm nhập phá hoại từ bên ngoài (System Security).

(cid:1) Các yếu tố cần bảo vệ

(cid:1) Dữ liệu (cid:1) Tài nguyên: con người, hệ

thống, đường truyền

(cid:1) Danh tiếng

(cid:1) An ninh mạng cần phải có

giải pháp tổng thể

(cid:1) Không có gì gọi là an toàn

tuyệt đối

(cid:1) Tác hại đến doanh nghiệp

(cid:1) Tốn kém chi phí (cid:1) Tốn kém thời gian (cid:1) Ảnh hưởng đến tài nguyên hệ thống (cid:1) Ảnh hưởng danh dự, uy tín doanh nghiệp (cid:1) Mất cơ hội kinh doanh

(cid:1) Cân nhắc

(cid:1) Khả năng truy cập và khả năng bảo mật hệ

thống tỉ lệ nghịch với nhau.

(cid:1) Tính bí mật: Thông tin phải đảm bảo tính bí mật và

được sử dụng đúng đối tượng.

(cid:1) Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên

vẹn về cấu trúc, không mâu thuẫn

(cid:1) Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách.

(cid:1) Tính chính xác: Thông tin phải chính xác, tin cậy (cid:1) Tính không khước từ (chống chối bỏ): Thông tin có thể

kiểm chứng được nguồn gốc hoặc người đưa tin

Không có hệ thống nào tuyệt đối an toàn!!!

Hãng máy bay Boeing đang lưu trữ thông tin về sản phẩm sẽ tham gia hội chợ hàng không quốc tế 9/2013. Thông tin này được đánh giá 1 triệu $. Bạn hãy lựa chọn phương pháp bảo vệ cho Boeing.

- Giải pháp mã hóa trị giá 800.000 với khả năng bảo mật

5 năm

- Giải pháp mã hóa trị giá 500.000 với khả năng bảo mật

2 năm

- Giải pháp mã hóa trị giá 100.000 với khả năng bảo mật

10 tháng

Giá trị thông tin

Confidentiality

- Chu kỳ sống, mức độ đánh giá

Quy tắc CIA

Availability

Integrity

- Confedentiality (Tính bí mật) - Integrity (Tính nguyên vẹn) - Availability (Tính sẵn sàng) ******************************* - Non Repudiation (không thể từ chối)

Yếu tố nào là quan trọng nhất trong quy tắc CIA ?

(cid:1) C = Confidentialy (cid:1) I = Integrity (cid:1) A = Availability

(cid:1) Giới hạn các đối tượng được phép truy xuất

đến các tài nguyên hệ thống.

(cid:1) Bao gồm tính bí mật về nội dung thông tin và bí

mật về sự tồn tại thông tin.

(cid:1) Mã hóa (Encryption) và điều khiển truy xuất (Access Control) là cơ chế đảm bảo tính bí mật của hệ thống.

(cid:1) Đảm bảo thông tin không bị mất mát hoặc thay

đổi ngoài ý muốn.

(cid:1) Bao gồm tính toàn vẹn về nội dung và toàn vẹn

về nguồn gốc.

(cid:1) Các cơ chế xác thực (peer authentication, message authentication) được dùng để đảm bảo tính toàn vẹn thông tin.

(cid:1) Tính sẵn sàng cho các truy xuất hợp lệ. (cid:1) Là đặc trưng cơ bản nhất của hệ thống thông tin. (cid:1) Các mô hình bảo mật hiện đại (ví dụ X.800)

không đảm bảo tính sẵn sàng.

(cid:1) Tấn công dạng DoS/DDoS nhắm vào tính sẵn

sàng của hệ thống.

(cid:1) Không đảm bảo tính “không thể từ chối hành vi”

(non-repudiation).

(cid:1) Không có sự tương quan với mô hình hệ thống

mở OSI.

=> Cần xây dựng mô hình mới.

(cid:1) Là tập các cơ chế nhằm xây dựng hệ thống bảo

mật theo mô hình CIA, bao gồm:

(cid:1) Authentication – sự xác thực

(cid:1) Đảm bảo một cá nhân là người mà họ tự khai nhận

(cid:1) Authorization – sự ủy quyền (cid:1) Cấp phép truy cập thông tin

(cid:1) Accounting – Kiểm toán

(cid:1) Cung cấp khả năng theo dõi các sự kiện

1. Alex và Bob là sinh viên. Alex copy bài tập về

nhà của Bob.

2. Alex và Bob cùng chơi game thông qua LAN.

Alex được thưởng 10 điểm vì giết nhân vật của Bob nhưng Bob lại rút cáp.

3. Alex gửi cho Bob $10 (thông qua check). Anh ta

thay đổi thành $100.

4. Bob đăng ký tài khoản trên cocacola.com trước

khi công ty này đổi tên miền website.

(cid:1) Các loại hình tấn công (cid:1) Kiến trúc mô hình OSI (cid:1) Mô hình mạng an toàn tổng quát (cid:1) Vai trò mã hóa (cid:1) Các giao thức thực hiện bảo mật

Xem xét ba nhân vật tên là Alice, Bob và Trudy, trong đó Alice và Bob thực hiện trao đổi thông tin với nhau, còn Trudy là kẻ xấu, đặt thiết bị can thiệp vào kênh truyền tin giữa Alice và Bob. (cid:1) Xem trộm thông tin (Release of Message Content)

(cid:1) Mô hình truyền thông OSI (Open System

Interconnect) do tổ chức ISO (International Standards Organization) đề xuất (1982)

(cid:1) Các tầng trong mô hình OSI:

(cid:1) Tầng ứng dụng (Application Layer) (cid:1) Tầng trình bày (Presentation Layer) (cid:1) Tầng giao dịch (Session Layer) (cid:1) Tầng vận chuyển (Transport Layer) (cid:1) Tầng mạng (Network Layer) (cid:1) Tầng liên kết dữ liệu (Data Link Layer) (cid:1) Tầng vật lý (Physical Layer)

• Có thể chia thành 2 loại

– Application layers: liên quan tới ứng dụng – Dataflow layers: đảm bảo việc trao đổi dữ liệu

Application

Application Layers

Presentation

Session

Transport

Dataflow Layers

Network

Datalink

Physical

HOP

NODE

Application

Liên lạc

Presentation

Liên lạc

Session

Transport

Network

Datalink

Physical

Liên kết vật lý

Vận chuyển các bit dữ liệu giữa hai node kế cận.

1010110101010

(cid:1) Đảm bảo liên kết trực tiếp giữa hai thiết bị.

IEEE 802.01

Ethernet

(cid:1) Đảm bảo các gói tin đi từ máy tính này đến máy

tính kia trong môi trường liên mạng

(cid:1) Đảm bảo một liên kết giữa hai tiến trình

Process B

Process A

(cid:1) Quản lý các yêu cầu giữa các ứng dụng. (cid:1) Điều khiển đối thoại và đồng bộ hóa tiến trình.

(cid:1) Chuyển đổi dữ liệu, mã hóa, nén.

(cid:1) Giao tiếp với người dùng, ứng dụng khác (User-

OSI).

(cid:1) Cung cấp dịch vụ. (cid:1) Ví dụ: HTTP, DNS

(cid:1) Cồng kềnh (cid:1) Thường dùng trong dạy học

Layers

Protocols

Network Access = Host-to-network = Data link + Physical Network = Internet

APPLICATION

HTTP, FTP, SMTP, SSL, DNS

TRANSPORT

UDP, TCP

INTERNET

IP, IPSEC

NETWORK ACCESS ARP

data

application transport network link physical

network link physical

data

application transport network link physical

source

message

segment

frame

application transport Internet N.Acc

datagram Hl

M Hn Hn Hn Ht Ht M Ht M Ht

switch

destination

network N.Acc

M Hn Hn Ht Ht Hl M M Hn Ht

router

application transport Internet N.Acc

M Ht M Ht M Ht Hn Hn Hl

(cid:1) Vai trò của router trong mạng nội bộ LAN (Local Area

Network): (cid:1) Kết nối các mạng nội bộ (cid:1) Giảm kích thước quảng bá – broadcast domain, để

giảm các lưu lượng mạng không cần thiết.

(cid:1) Vai trò của router trong mạng diện rộng WAN (Wide

Area network): Kết nối mạng LAN với Internet.

LAN

internet

Modem

Router

Đụng độ

Star topology Truyền với tốc độ tối đa (full-duplex, dedicated access):

+ A to A’ + B to B’ + C to C’

hubs

routers switches

yes

traffic isolation

plug & play

yes

optimal routing cut through

(cid:1) DNS (Domain NameSystem)

(cid:1) Là hệ thống dịch tên miền (dễ nhớ đối với con người)

sang địa chỉ IP mà máy tính làm việc.

(cid:1) Domain (cid:1) Đối với

Internet miền là tập hợp các máy tính có

chung vị trí địa lý hay lĩnh vực kinh doanh

(cid:1) DNS Domain Name Space (cid:1) Zones (cid:1) Name Servers (cid:1) DNS của Internet

(cid:1) DNS root (topmost level) của Internet Domain

namespace được quản lý bởi Internet Corporation for Assigned Names and Numbers (ICANN).

(cid:1) Có 3 loại top-level domains tồn tại

(cid:1) Organization domains (cid:1) Geographical domains (cid:1) Reverse domains: có những domain đặc biệt, tên là in-addr.arpa, sử dụng cho ánh xạ từ địa chỉ IP sang tên.

ICANN công bố thêm 7 top-level

(cid:1) 11/2000, domain: (cid:1) .biz (cid:1) .coop (cid:1) .info (cid:1) .museum (cid:1) .name (cid:1) .pro (cid:1) .aero

(cid:1) Hệ thống DNS là một hệ thống có cấu trúc phân cấp. (cid:1) Gốc của Domain Root Domain nằm trên cùng và được kí

hiệu “.” ▪ Root Domain (root layer): Gồm 13 siêu máy tính có tốc độ cực cao. ▪ Top layer: bao gồm các tên miền .com, .vn,... ▪ Second level: có thể là subdomain (vd: .com.vn) hoặc hostname (vd:

microsoft.com.)

(cid:1) Công thức tổng quát của tên miền (cid:1) Hostname + Domain Name + Root

▪ Domain Name = Subdomain. Second Level Domain. Top Level

Domain. Root

(cid:1) Ví dụ

Webserver.training.microsoft.com.

(cid:1) Trong đó:

Webserver là tên Host Training là Subdomain Microsoft là Second Level Domain Com là Top Level Domain Dấu chấm là Root

(cid:1) Một tổ chức có thể có không gian tên miền nội bộ độc lập với không gian tên miền của Internet. (cid:1) Private name có thể không được phân giải trên

Internet.

Ví dụ: mycompany.local

(cid:1) Hệ thống tên miền được chia ra các phần nhỏ

hơn để dễ quản lý đó là các Zone.

(cid:1) Primary Zone

(cid:1) Một máy chủ chứa dữ liệu Primary Zone là máy chủ

có thể toàn quyền trong việc update dữ liệu Zone.

(cid:1) Secondary Zone

(cid:1) Là một bản copy của Primary Zone

(cid:1) máy chủ chứa dữ liệu Primary Zone

(cid:1) A (host name): Địa chỉ IP -> hostname (cid:1) PTR (pointer): hostname -> địa chỉ IP (cid:1) SOA (Start Of Authority): DNS server, đầu tiên có

quyền yêu cầu trả lời DNS client

(cid:1) NS (Name Server): Máy chủ quản lý DNS Zone (cid:1) CNAME: Tên thay thế (bí danh) (cid:1) MX: Xác định mail server nhận mail cho domain

tương ứng

(cid:1) .......

(cid:1) 202.155.43.2 (cid:1) 11001010.10011011.00101011.00000010

ID NETWORK

HOST

1-126 128-191 192 – 223 224 – 239 240 – 247

(cid:1) Class A (cid:1) Class B (cid:1) Class C (cid:1) Class D (cid:1) Class E (cid:1) Private

(cid:1) 10.0.0.0 – 10.255.255.255 (cid:1) 172.16.0.0 – 172.16.255.255 (cid:1) 192.168.0.0 – 192.168.255.255 (cid:1) 169.254.x.y

(cid:1) Class A 255.0.0.0 (cid:1) Class B (cid:1) Class C

255.255.0.0 255.255.255.0

(cid:1) 10100011.00011011.11100010.00001111 (cid:1) 11111111.11111111.00000000.00000000

= 255.255.0.0 (subnet mask)

(cid:1) Broadcasting (cid:1) IP: 165.134.8.123 (cid:1) Network: 165.134.0.0/16 (cid:1) Subnet mask: 255.255.0.0 (cid:1) Broadcast:

165.134.255.255

(cid:1) Công ty HPT có 5 chi nhánh. Theo yêu cầu mỗi chi nhánh phải VLAN riêng với địa chỉ Public IP. Biết rằng HPT có sở hữu (thuê) dãy địa chỉ 163.134.0.0.

1. Phải sử dụng thêm bao nhiêu bits cho subnet

mask để có đủ 5 VLAN?

2. Số lượng tối đa IP thật mà mỗi office có thể có?

0-65535 0-1023 1024 – 49151 49152 - 65535

137

(cid:1) Cổng dịch vụ (cid:1) Well-Known (cid:1) Registered (cid:1) Dynamic (cid:1) Tổ hợp (IP, PORTs) (cid:1) HTTP:80, SMTP:25;POP3:110; FTP:20,21 (cid:1) WIN SHARED: (cid:1) DNS:53; Telnet:23; SSL:443

0 - 15

16 - 31

Source Port

Destination Port

Sequence Number

Acknowledgment number

IHL

Resrved

Windows size

u r g

a c k

p s h

r s t

s y n

f i n

TCP Check sume

Urgent Pointer

Option

(cid:1) SYN – Khởi tạo kết nối (cid:1) ACK – phản hồi (cid:1) FIN – Kết thúc phiên kết nối (cid:1) RESET – khởi tạo lại (cid:1) PUSH – chuyển dữ liệu không qua buffer (cid:1) URG – Thể hiện quyền ưu tiên của dữ liệu (cid:1) Sequence number : 32 bit sinh ra từng 4ms (cid:1) Acknowledgment number: 32 bit

(cid:1) ICMP (cid:1) TCP (cid:1) UDP

- 1 - 6 - 17

(cid:1) Bước 1

- Host A gửi segment cho Host B có: SYN =1, ACK = 0, SN = X, ACKN=0.

(cid:1) Bước 2

- Sau khi nhận từ A, Host B trả lời SYN=1, ACK=1, SN=Y, ACKN=X+1

(cid:1) Bước 3

- Host A gửi tiếp đến B với SYN=0, ACK=1, SN=X+1, ACKN=y+1

(cid:1) 1. FIN=1, ACK=1, SN=x, ACKN=y (cid:1) 2. FIN=0, ACK=1, ACKN=x+1 (cid:1) 3. FIN=1, ACK=1, SN=y, ACKN=x+1 (cid:1) 4. FIN=0, ACK=1, ACKN=y+1

: UDP : 53 : 192.168.3.8 : 203.162.4.1

: TCP : 80 : 192.168.3.8 : 203.162.4.1

Sau khi dùng phần mềm Sniffer để phân tích gói thông tin gửi đi từ host A Gói 1: (cid:1) Protocol (cid:1) Destination Port (cid:1) Source IP (cid:1) Destination IP Gói 2: (cid:1) Protocol (cid:1) Destination Port (cid:1) Source IP (cid:1) Destination IP SYN=1, ACK=0 Mô tả quá trình làm việc của host A, có nhận xét gì từ Source IP của host A

(cid:1) 128 bits Address (cid:1) 8 block 16bits (cid:1) Được thể hiện ở cơ số 16

71ab:1234:0:fdac:234f:2314:acde:0

(cid:1) Chuyển đổi từ IPv4 sang IPv6 (cid:1) 203.123.3.6(cid:2)::ffff:203.123.3.6 (cid:1) ::1 –loopback (cid:1) ff01::1, ff02::01 (cid:1) ff01::02, ff02::02

- Multicasting - to all Gateways

0-7

8-15

16 - 31

Version

IHL

Services

Length

Indenfitication

Flags

Fragment offset

Time to Live

Protocol

Header checksum

Source Address

Destination Address

Options

Data

(cid:1) IHL – Số word (32 bits) của Header thông thường IHL =5 (cid:1) Type Of Services – chất lượng dịch vụ (cid:1) Length – chiều dài headers tính theo bytes (cid:1) Identification – Số thứ tự Datagram (packets) (cid:1) Flags – 3 bits, 0, DF=Don’t fragment, MF = More Fragment (cid:1) Fragment Offset – Số thứ tự FM trong Datagram (bắt đầu

từ 0)

(cid:1) TTL – Thời gian sống tạo bởi sender và giảm dần khi đi

qua từng gateways.

(cid:1) Option – dữ liệu bổ sung và được chèn thêm cho đủ 32

bits

0 - 15

16 - 31

S.Port

D.Port

UDP Length

Checksum

Data

0 - 15

16 - 31

TYPE

CODE

CHECKSUM

Contents

control - not used)

8 0 echo request (ping) 9 0 route advertisement 10 0 router discovery 11 0 TTL expired 12 0 bad IP header

Bạn cần cấm việc dò quét từ mạng khác theo giao thức ICMP. Bạn phải set lệnh deny ICMP với tham số nào?

Type Code description 0 0 echo reply (ping) 3 0 dest. network unreachable 3 1 dest host unreachable 3 2 dest protocol unreachable 3 3 dest port unreachable 3 6 dest network unknown 3 7 dest host unknown 4 0 source quench (congestion control - not used) 8 0 echo request (ping) 9 0 route advertisement 10 0 router discovery 11 0 TTL expired 12 0 bad IP header

(cid:1) MTU – Maximum Transmission Unit (cid:1) MDS – Maximum Datagram Size (cid:1) MSS – Maximum Segment Size (cid:1) Default MDS=576, MSS=536 (cid:1) Một số MTU (bytes) (cid:1) PPP=296, Ethernet=1500 (cid:1) FDDI = 4352, Token Ring 4464

(cid:1) MAC – Media Access Control (cid:1) MAC Address – 48 bits địa chỉ

Each adapter on LAN has unique LAN address

Broadcast address = FF-FF-FF-FF-FF-FF

= adapter

LAN (wired or wireless)

1A-2F-BB-76-09-AD

71-65-F7-2B-08-53 58-23-D7-FA-20-B0

0C-C4-11-6F-E3-98

(cid:1) MAC address allocation administered by IEEE (cid:1) manufacturer buys portion of MAC address space (to

assure uniqueness)

(cid:1) Analogy:

(a) MAC address: like Social Security Number (b) IP address: like postal address

(cid:1) MAC flat address ➜ portability

(cid:1) can move LAN card from one LAN to another

(cid:1) IP hierarchical address NOT portable

(cid:1) depends on IP subnet to which node is attached

Question: how to determine MAC address of B knowing B’s IP address?

(cid:1) Each IP node (Host, Router) on LAN has ARP table

(cid:1) ARP Table: IP/MAC

137.196.7.78

1A-2F-BB-76-09-AD

address mappings for some LAN nodes < IP address; MAC address; TTL> (cid:1) TTL (Time To Live): time

LAN

137.196.7.23 137.196.7.14

after which address mapping will be forgotten (typically 20 min)

71-65-F7-2B-08-53 58-23-D7-FA-20-B0

0C-C4-11-6F-E3-98

137.196.7.88

(cid:1) A wants to send datagram to B, and B’s MAC address not in A’s ARP table. (cid:1) A broadcasts ARP query packet, containing B's IP address (cid:1) Dest MAC address = FF-

(cid:1) A caches (saves) IP-to-MAC address pair in its ARP table until information becomes old (times out) (cid:1) soft state: information that times out (goes away) unless refreshed

(cid:1) ARP is “plug-and-play”: (cid:1) nodes create their ARP

FF-FF-FF-FF-FF (cid:1) all machines on LAN receive ARP query

tables without intervention from net administrator

(cid:1) B receives ARP packet, replies to A with its (B's) MAC address (cid:1) frame sent to A’s MAC

address (unicast)

walkthrough: send datagram from A to B via R

assume A know’s B IP address

(cid:1) Two ARP tables in router R, one for each IP network (LAN)

(cid:1) In routing table at source Host, find router 111.111.111.110 (cid:1) In ARP table at source, find MAC address E6-E9-00-17-

BB-4B, etc

Theo X.800, dịch vụ an ninh là dịch vụ cung cấp bởi một tầng giao thức của các hệ thống mở kết nối nhằm đảm bảo an ninh cho các hệ thống và các cuộc truyền dữ liệu. Có 5 loại hình: (cid:1) Xác thực (cid:1) Quyền truy cập (cid:1) Bảo mật dữ liệu (cid:1) Toàn vẹn dữ liệu (cid:1) Không chối từ