intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Giáo trình An toàn mạng và bảo vệ mật dữ liệu (Nghề: Quản trị mạng máy tính - Trung cấp) - Trường Trung cấp nghề Quang Trung

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:74

8
lượt xem
5
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Giáo trình An toàn mạng và bảo vệ mật dữ liệu (Nghề: Quản trị mạng máy tính - Trung cấp) được biên soạn gồm các nội dung chính sau: tổng quan về bảo mật và an toàn mạng; an ninh mạng; mật mã và bảo mật dữ liệu; chứng nhận và quản lý khóa. Mời các bạn cùng tham khảo!

Chủ đề:
Lưu

Nội dung Text: Giáo trình An toàn mạng và bảo vệ mật dữ liệu (Nghề: Quản trị mạng máy tính - Trung cấp) - Trường Trung cấp nghề Quang Trung

  1. ỦY BAN NHÂN DÂN QUẬN GÒ VẤP TRƯỜNG TRUNG CẤP NGHỀ QUANG TRUNG -----  ----- GIÁO TRÌNH MÔ ĐUN: AN TOÀN MẠNG VÀ BẢO MẬT DỮ LIỆU NGHỀ: QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ: TRUNG CẤP (Lưu hành nội bộ) (Ban hành theo Quyết định số:342/QĐ-QT ngày 28 tháng 10 năm 2021 của Trường Trung cấp nghề Quang Trung) Tp.HCM, năm 2021
  2. TUYÊN BỐ BẢN QUYỀN: Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo. Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm.
  3. LỜI GIỚI THIỆU Việc tổ chức biên soạn giáo trình An toàn mạng và bảo mật dữ liệu nhằm phục vụ cho công tác đào tạo ngành Công nghệ thông tin của Trường Trung cấp nghề Quang Trung nói chung và chuyên ngành Quản trị mạng máy tính của khoa Công nghệ thông tin (CNTT) nói riêng. Giáo trình là sự cố gắng lớn của tập thể giáo viên khoa CNTT nhằm từng bước thống nhất nội dung dạy và học môn An toàn mạng và bảo mật dữ liệu. Nội dung của giáo trình được xây dựng nhằm cung cấp kiến thức chuyên ngành về các hình thức bảo mật và mã hoá thông tin nhằm đảm bảo an toàn & bảo mật hệ thống mạng máy tính. Giáo trình được biên soạn ngắn gọn, dễ hiểu, bổ sung nhiều kiến thức và kỹ năng mới phù hợp với ngành nghề đào tạo mà không trái với chương trình khung đào tạo của nhà trường. Tuy nhóm tác giả đã có nhiều cố gắng khi biên soạn, nhưng giáo trình không tránh khỏi những khiếm khuyết. Rất mong nhận được sự góp ý của bạn đọc. Tp. Hồ Chí Minh, 2021 Tham gia biên soạn Khoa Công Nghệ Thông Tin Trường Trung cấp nghề Quang Trung Địa Chỉ: 689 Quang Trung, Phường 8, quận Gò Vấp, Tp.Hồ Chí Minh Tel: 028. 35892025 Chủ biên: Trần Bảo Xuyên Mọi góp ý liên hệ: Ths. Phạm Đắc Hậu – Trưởng Khoa Công Nghệ Thông Tin Mobible: 0772 039 527 Email: phdhau@gmail.com – phdhau@yahoo.com
  4. MỤC LỤC BÀI 1 - TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG ........................ 1 1. Giới thiệu ....................................................................................................... 1 2. Bảo mật mạng ................................................................................................ 3 BÀI 2 – AN NINH MẠNG .................................................................................. 7 1. Giới thiệu lọc gói IP....................................................................................... 7 2. Chính sách IPSec mặc định ......................................................................... 13 3. Tạo một chính sách IPSec............................................................................ 22 4. Tạo quy tắc ngăn chặn ................................................................................. 25 5. Tạo quy tắc cấp phép ................................................................................... 27 6. Cấu hình chế độ khởi động IPSec................................................................ 29 7. Cấu hình các phương pháp chứng thực ....................................................... 31 8. SSL (Secure sockets layer) .......................................................................... 33 9. Bảo mật thư điện tử (Email Security) và mã hóa thông điệp ...................... 34 BÀI 3 – MẬT MÃ VÀ BẢO MẬT DỮ LIỆU .................................................. 37 1. Cơ bản về mật mã và bảo mật dữ liệu ......................................................... 37 2. Các dịch vụ, kỹ thuật, thuật toán bảo mật dữ liệu ....................................... 40 BÀI 4 – CHỨNG NHẬN VÀ QUẢN LÝ KHÓA............................................. 44 1. Quản lý khóa ................................................................................................ 44 2. Chứng nhận quyền (Certification Authorities) ............................................ 45 3. Khóa Cơ sở dữ liệu / Thư mục (Key Database / Directories) ..................... 52 4. Chữ ký số ..................................................................................................... 53 BÀI 5 – VIRUS VÀ CÁCH PHÒNG CHỐNG ................................................. 58 1. Giới thiệu tổng quan về virus ...................................................................... 58 2. Cách thức lây lan và phân loại virus ............................................................ 59 3. Ngăn chặn sự xâm nhập virus ...................................................................... 64
  5. PHỤ LỤC HÌNH ẢNH BÀI 1 - TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG Hình 1- 1 Các hình thức tấn công mạng ............................................................... 2 Hình 1- 2 Các mức độ bảo vệ mạng ...................................................................... 3 BÀI 2 – AN NINH MẠNG Hình 2- 1 - Cấu trúc của gói IP ............................................................................. 8 Hình 2- 2 Cấu trúc gói tin ..................................................................................... 9 Hình 2- 3 Gói tin IP ............................................................................................. 10 Hình 2- 4 Gói tin UDP ........................................................................................ 11 Hình 2- 5 Quá trình đóng gói của UDP .............................................................. 11 Hình 2- 6 Gói TCP .............................................................................................. 12 Hình 2- 7 Header checksum ................................................................................ 13 Hình 2- 8 Option ................................................................................................. 13 Hình 2- 9 Manage ip filter list ............................................................................. 14 Hình 2- 10 Manage ip filter lists and filter actions ............................................. 14 Hình 2- 11 IP filter list ........................................................................................ 14 Hình 2- 12 Filter wizard ...................................................................................... 15 Hình 2- 13 IP trafice destination ......................................................................... 15 Hình 2- 14 IP protocol type ................................................................................. 15 Hình 2- 15 IP protocol port ................................................................................. 16 Hình 2- 16 IP filter list ........................................................................................ 16 Hình 2- 17 Manage filter actions ........................................................................ 17 Hình 2- 18 Filter action name ............................................................................. 17 Hình 2- 19 Filter action general options ............................................................. 18 Hình 2- 20 Create ip security policy ................................................................... 18 Hình 2- 21 IP security policy name..................................................................... 18 Hình 2- 22 Rules ................................................................................................. 19 Hình 2- 23 Network type..................................................................................... 19 Hình 2- 24 IP filter list ........................................................................................ 19 Hình 2- 25 Filter Action ...................................................................................... 20 Hình 2- 26 New rule properties ........................................................................... 20 Hình 2- 27 New ip security policy properties ..................................................... 20 Hình 2- 28 Truy cập modem ............................................................................... 21 Hình 2- 29 Giao diện quản trị ............................................................................. 21 Hình 2- 30 Cấu hình Firewall.............................................................................. 21 Hình 2- 31 Ipsec modes ....................................................................................... 22 Hình 2- 32 Ipsec tunnel ....................................................................................... 23 Hình 2- 33 Encapsulating Security Payload ....................................................... 23 Hình 2- 34 Five steps of IPSec ............................................................................ 25
  6. Hình 2- 35 Dual home host ................................................................................. 27 Hình 2- 36 Cấu hình Rule (Truong Phong)......................................................... 28 Hình 2- 37 Qui định loại nội dung trên rule ........................................................ 28 Hình 2- 38 Cấu hình rule (Nhan Vien)................................................................ 29 Hình 2- 39 Mô hình triển khai IPSec .................................................................. 29 BÀI 3 – MẬT MÃ VÀ BẢO MẬT DỮ LIỆU Hình 3- 1 Quá trình mã hóa................................................................................. 39 Hình 3- 2 Mã hóa đối xứng ................................................................................. 41 Hình 3- 3 Mã hóa bất đối xứng ........................................................................... 42 BÀI 4 – CHỨNG NHẬN VÀ QUẢN LÝ KHÓA Hình 4- 1 DNS manager ...................................................................................... 45 Hình 4- 2 Kerberos properties ............................................................................. 45 Hình 4- 3 Select server roles ............................................................................... 46 Hình 4- 4 Select role services.............................................................................. 47 Hình 4- 5 Installation progress ............................................................................ 47 Hình 4- 6 Credentials .......................................................................................... 47 Hình 4- 7 Role services ....................................................................................... 48 Hình 4- 8 Setup type............................................................................................ 48 Hình 4- 9 CA type ............................................................................................... 48 Hình 4- 10 Private key ........................................................................................ 49 Hình 4- 11 Cryptography for CA ........................................................................ 49 Hình 4- 12 CA name ........................................................................................... 49 Hình 4- 13 Validity period .................................................................................. 50 Hình 4- 14 CA database ...................................................................................... 50 Hình 4- 15 Confirmation ..................................................................................... 50 Hình 4- 16 Results ............................................................................................... 50 Hình 4- 17 Tools ................................................................................................. 51 Hình 4- 18 Cerfiticate Authority local ................................................................ 51 Hình 4- 19 User properties .................................................................................. 51
  7. Giáo trình An toàn mạng và bảo mật dữ liệu BÀI 1 - TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG Mã bài: MĐ20 - 01 ❖ Giới thiệu: - Bài này trình bày các kiến thức tổng quan về An toàn mạng và các hình thức tấn công vào hệ thống mạng; triển khai các giải pháp bảo vệ. Bài này được trình bày thành các mục và sắp xếp như sau: 1. Giới thiệu. 2. Bảo mật mạng. ❖ Mục tiêu: - Xác định được các thành phần của một hệ thống bảo mật; - Trình bày được các hình thức tấn công vào hệ thống mạng. ❖ Nội dung chính: 1. Giới thiệu 1.1. Đối tượng tấn công mạng (Intruder) - Là những cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng và các công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài nguyên mạng trái phép. - Một số đối tượng tấn công mạng là: - Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của các thành phần truy nhập trên hệ thống - Masquerader: Là những kẻ giả mạo thông tin trên mạng. Một số hình thức giả mạo như giả mạo địa chỉ IP, tên miền, định danh người dùng ... - Eavesdropping: Là những đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ sniffer; sau đó dùng các công cụ phân tích và debug để lấy được các thông tin có giá trị - Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau: như ăn cắp những thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc cũng có thể chỉ là những hành động vô ý thức, thử nghiệm các chương trình không kiểm tra cẩn thận ... 1.2. Các lỗ hổng bảo mật: - Các lỗ hổng bảo mật là những điểm yếu kém trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp. Khoa Công nghệ thông tin – TCN Quang Trung Trang 1
  8. Giáo trình An toàn mạng và bảo mật dữ liệu - Nguyên nhân gây ra những lỗ hổng bảo mật là khác nhau: có thể do lỗi của bản thân hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp ... - Mức độ ảnh hưởng của các lỗ hổng là khác nhau. Có những lỗ hổng chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng nghiêm trọng tới toàn bộ hệ thống ... 1.3. Một số hình thức tấn công mạng - Dựa vào những lỗ hổng bảo mật trên mạng: Những lỗ hổng này có thể là các điểm yếu của dịch vụ mà hệ thống đó cung cấp; Ví dụ những kẻ tấn công lợi dụng các điểm yếu trong các dịch vụ mail, ftp, web ... để xâm nhập và phá hoại. Hình 1- 1 Các hình thức tấn công mạng Sử dụng các công cụ để phá hoại: Ví dụ sử dụng các chương trình phá khoá mật khẩu để truy nhập vào hệ thống bất hợp pháp; Lan truyền virus trên hệ thống; cài đặt các đoạn mã bất hợp pháp vào một số chương trình. - Nhưng kẻ tấn công mạng cũng có thể kết hợp cả 2 hình thức trên với nhau để đạt được mục đích. - Mức 1 (Level 1): Tấn công vào một số dịch vụ mạng: như Web, Email, dẫn đến các nguy cơ lộ các thông tin về cấu hình mạng. Các hình thức tấn công ở mức này có thể dùng DoS hoặc spam mail. - Mức 2 (Level 2): Kẻ phá hoại dùng tài khoảng của người dùng hợp pháp để chiếm đoạt tài nguyên hệ thống; (Dựa vào các phương thức tấn công như bẻ khoá, đánh cắp mật khẩu ...); kẻ phá hoại có thể thay đổi quyền truy nhập hệ Khoa Công nghệ thông tin – TCN Quang Trung Trang 2
  9. Giáo trình An toàn mạng và bảo mật dữ liệu thống qua các lỗ hổng bảo mật hoặc đọc các thông tin trong tập tin liên quan đến truy nhập hệ thống như /etc/passwd - Từ Mức 3 đến mức 5: Kẻ phá hoại không sử dụng quyền của người dùng thông thường; mà có thêm một số quyền cao hơn đối với hệ thống; như quyền kích hoạt một số dịch vụ; xem xét các thông tin khác trên hệ thống - Mức 6: Kẻ tấn công chiếm được quyền root trên hệ thống. 2. Bảo mật mạng 2.1 Các mức bảo vệ an toàn mạng - Vì không có một giải pháp an toàn tuyệt đối nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp "rào chắn" đối với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong các máy tính, đặc biệt là trong các server của mạng. Hình sau mô tả các lớp rào chắn thông dụng hiện nay để bảo vệ thông tin tại các trạm của mạng. Hình 1- 2 Các mức độ bảo vệ mạng Như minh hoạ trong hình trên, các lớp bảo vệ thông tin trên mạng gồm: - Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên (ở đây là thông tin) của mạng và quyền hạn (có thể thực hiện những thao tác gì) trên tài nguyên đó. Hiện nay việc kiểm soát ở mức này được áp dụng sâu nhất đối với tệp. - Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy nhập gồm đăng ký tên/ và mật khẩu tương ứng. Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản, ít tốn kém và cũng rất có hiệu quả. Mỗi người sử dụng muốn truy nhập được vào mạng sử dụng các tài nguyên đều phải có đăng ký tên và mật khẩu. Người quản trị hệ thống có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác tuỳ theo thời gian và không gian. Khoa Công nghệ thông tin – TCN Quang Trung Trang 3
  10. Giáo trình An toàn mạng và bảo mật dữ liệu - Lớp thứ ba là sử dụng các phương pháp mã hoá (encryption). Dữ liệu được biến đổi từ dạng "đọc được" sang dạng không "đọc được" theo một thuật toán nào đó. Chúng ta sẽ xem xét các phương thức và các thuật toán mã hoá hiện được sử dụng phổ biến ở phần dưới đây. - Lớp thứ tư là bảo vệ vật lý (physical protection) nhằm ngăn cản các truy nhập vật lý bất hợp pháp vào hệ thống. Thường dùng các biện pháp truyền thống như ngăn cấm người không có nhiệm vụ vào phòng đặt máy, dùng hệ thống khoá trên máy tính, cài đặt các hệ thống báo động khi có truy nhập vào hệ thống ... - Lớp thứ năm: Cài đặt các hệ thống bức tường lửa (firewall), nhằm ngăn chặn các thâm nhập trái phép và cho phép lọc các gói tin mà ta không muốn gửi đi hoặc nhận vào vì một lý do nào đó. 2.2 Các phương thức mã hoá - Một trong những biện pháp bảo mật thường sử dụng đó là áp dụng các cơ chế mã hoá. Sau đây sẽ phân tích một số cơ chế mã hoá đảm bảo tính an toàn và tin cậy dữ liệu thường được sử dụng trong các dịch vụ trên mạng Internet. - Đặc điểm chung của các phương thức mã hóa: ▪ Trong các phương thức mã hóa, mỗi phương thức đều chủ yếu tập trung giải quyết 6 vấn đề chính như sau: ✓ Authentication - Hoạt động kiểm tra tính xác thực một thực thể trong giao tiếp ✓ Authorization - Hoạt động kiểm tra thực thể đó có được phép thực hiện những quyền hạn cụ thể nào. ✓ Confidential - Tính bảo mật; Xác định mức độ bảo mật đối với mỗi phương thức bảo mật. ✓ Integrity - Tính toàn vẹn: Kiểm tra tính toàn vẹn dữ liệu khi sử dụng mỗi phương thức bảo mật cụ thể. ✓ Nonrepudiation - Tính không thể phủ nhận. Xác định tính xác thực của chủ thể gây ra hành động ✓ Availability - Khả năng thực hiện phương thức bảo mật đó trong môi trường và điều kiện thực tế. - Authentication: ▪ Là hoạt động liên quan đến kiểm tra tính đúng đắn một thực thể giao tiếp trên mạng. Một thực thể có thể là một người, một chương trình máy tính, hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống. Cơ chế kiểm tra tính xác thực của các Khoa Công nghệ thông tin – TCN Quang Trung Trang 4
  11. Giáo trình An toàn mạng và bảo mật dữ liệu phương thức bảo mật dựa vào 3 mô hình chính sau: Những thông tin biết trước, những thông tin đã có và những thông tin xác định tính duy nhất. ▪ Với cơ chế kiểm tra dựa vào mô hình những thông tin biết trước, đối tượng cần kiểm tra cần phải cung cấp những thông tin mà chúng biết, ví dụ như password, hoặc mã số thông số cá nhân PIN (Personal information number). ▪ Với cơ chế kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như private key, hoặc số thẻ tín dụng. ▪ Với cơ chế kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình ví dụ như thông qua giọng nói hoặc fingerprint. - Authorization: ▪ Là hoạt động kiểm tra tính hợp lệ có được cấp phát thực hiện một hành động cụ thể hay không. Do vậy hoạt động này liên quan đến các dịch vụ cấp phát quyền truy cập, đảm bảo cho phép hoặc không cho phép truy nhập đối với những tài nguyên đã được phân quyền cho các thực thể. Những hoạt động ở đây có thể là quyền đọc dữ liệu, viết, thi hành một chương trình hoặc sử dụng một thiết bị phần cứng... Cơ chế thực hiện việc phân quyền dựa vào 2 mô hình chính sau: mô hình ACL (Access Control list) và mô hình dựa trên cơ chế thiết lập các chính sách (Policy). - Confidential: ▪ Đánh giá mức độ bảo mật , hay tính an toàn đối với mỗi phương thức bảo mật, mức độ có thể phục hồi dữ liệu từ những người không có quyền đối với dữ liệu đó. Có thể bảo mật dữ liệu theo kiến trúc end-to-end hoặc link-by-link. Với mô hình end-to-end, dữ liệu được bảo mật trong toàn bộ quá trình xử lý, lưu truyền trên mạng; Với mô hình link-by-link dữ liệu chỉ được bảo vệ trên các đường truyền vật lý - Integrity: ▪ Tính toàn vẹn; hoạt động này đánh giá khả năng sửa đổi dữ liệu so với dữ liệu nguyên thủy ban đầu; Một phương thức bảo mật có tính toàn vẹn dữ liệu khi nó đảm bảo các dữ liệu mã hóa không thể bị thay đổi nội dung so với tài liệu gốc (khi đã đượcg giải mã) và trong trường hợp những kẻ tấn công trên mạng sửa đổi nội dung dữ liệu đã mã hóa thì không thể khôi phục lại dạng ban đầu của dữ liệu. - Nonreputation: ▪ Tính không thể phủ nhận; Xác định tính xác thực của chủ thể gây ra hành động có thực hiện bảo mật. (Ví dụ chữ ký điện tử sử dụng trong hệ thống Mail cho phép xác định chính xác đối tượng "ký"- người gửi message đó.) Khoa Công nghệ thông tin – TCN Quang Trung Trang 5
  12. Giáo trình An toàn mạng và bảo mật dữ liệu - Availability: ▪ Đánh giá tính thực thi của một phương thức bảo mật. Phương thức bảo mật đó phải có khả năng thực hiện trong thực tế đối với các hệ thống máy tính, dữ liệu và thực hiện với các tài nguyên phần cứng, phần mềm; đồng thời phải đảm bảo các yêu cầu về tốc độ tính toán, khả năng chuyển đổi, tính tương thích giữa các hệ thống khác nhau. Khoa Công nghệ thông tin – TCN Quang Trung Trang 6
  13. Giáo trình An toàn mạng và bảo mật dữ liệu BÀI 2 – AN NINH MẠNG Mã bài: MĐ20 - 02 ❖ Giới thiệu: - Bài này trình bày các kiến thức tổng quan về gói lọc IP và triển khai kỹ năng cấu hình chính sách bảo mật IPSEC, các giải pháp chứng thực, mã hoá Website và thư điện tử. Bài này được trình bày thành các mục và sắp xếp như sau: 1. Giới thiệu lọc gói IP. 2. Chính sách IPSec mặc định. 3. Tạo quy tắc ngăn chặn. 4. Tạo quy tắc cấp phép. 5. Cấu hình chế độ khởi động IPSec. 6. Cấu hình các phương pháp chứng thực. 7. SSL (Secure sockets layer). 8. Bảo mật thư điện tử (Email Security) và mã hóa thông điệp. ❖ Mục tiêu: - Trình bày được cách thức bảo mật với lọc gói IP; - Thiết kế được các luật bảo mật với lọc gói IP cho một hệ thống mạng; - Mô tả được các hình thức tấn công WLAN - Trình bày kiến trúc của IPSec - Xây dựng được các chính sách bảo mật IPSec - Thiết lập được các chế độ làm việc IPSec - Tìm hiểu được các giao thức quản lý khóa IPSEC, các ứng dụng hỗ trợ bảo mật IP - Trình bày được mục đích của SSL, cách làm việc và đặc tính của SSL (tương hỗ giữa Client và Server; cách truyền dữ liệu thông qua SSL). - Thao tác thành thạo trên các trình duyệt hỗ trợ SSL (cài đặt, khai thác, ...). - Sử dụng được các kỹ thuật bảo mật, các công cụ hỗ trợ bảo mật Email / Message. ❖ Nội dung chính: 1. Giới thiệu lọc gói IP 1.1 Packet là gì? - Như chúng ta đã biết các tín hiệu trao đổi giữa hai máy tính là các tín hiệu điện dưới dạng các bít nhị phân 0/1. - Với việc truyền dữ liệu dưới dạng các bít nhị phân đơn thuần thì chúng ta không thể nào biết được thông tin nhận được là thông tin gì, nó thuộc kiểu dạng dữ liệu nào, và nó gởi cho ứng dụng mạng nào trên máy nhân gói tin. - Để khắc phục các khó khăn đó người ta đưa ra khái niệm gói tin (data packet). Theo khái niệm này thì thông tin dữ liệu trước khi được gởi đi nó sẽ được Khoa Công nghệ thông tin – TCN Quang Trung Trang 7
  14. Giáo trình An toàn mạng và bảo mật dữ liệu chia thành nhiều phần nhỏ, các phần nhỏ này trước khi được gởi đi nó sẽ được đóng vào một khuôn dạng nào đó gọi là gói tin sau đó nó mới được gởi đi. Trong gói tin có một phần dùng để chứa đựng các thông tin về nơi gởi và nhận, cũng như các phương pháp kiểm soát lỗi, mã hóa, … gọi là phần mào đầu của gói tin (data packet header) - Giao thức TCP/IP là một trong những giao thức phổ biến nhất hiện nay sử dụng phương thức truyền dữ liệu dưới dạng gói tin. Trong giao thức này nó có rất nhiều loại gói tin như: gói TCP, gói IP, gói UDP,… 1.2 Gói IP - Đây là loại gói tin được sử dụng trong giao thức IP (internet protocol) ở lớp Internet trong mô hình TCP/IP - Gói tin này có chức năng là đảm bảo cho việc truyền dữ liệu một cách chính xác từ máy đến máy. - Cấu trúc của gói IP như sau: Hình 2- 1 - Cấu trúc của gói IP - Version : trường này có 4 bit nó cho biết phiên bàn của giao thức IP đang được sử dụng . Số version náy hết sức quan trọng nhất là ngày nay ta đang tồn tại hai phiên bản IP song song . Một số phần mềm ứng dụng trên giao thức này khi xử lý một IP datagram nó bắt buột phải biết được số version , nếu nó không nhân biết được số version thì coi như gói tin dó bị lỗi và không được chấp nhận để được xử lý tiếp theo . - Header Length : trường này có độ dài 4 bít , nó cho biết số word được sử dụng IP header , ta sừ dụng trường này bởi vì IP header có hai cấu trúc là short_IP_header có 20 byte , long_IP_header có 24 byte do có sử dụng trường option . - Type Of Service : có độ dài 1 byte cho biết cách thức sử lý gói tin khi nó được truyền trên mạng. Khoa Công nghệ thông tin – TCN Quang Trung Trang 8
  15. Giáo trình An toàn mạng và bảo mật dữ liệu Hình 2- 2 Cấu trúc gói tin Ba bít đầu tiên cho biết mức độ ưu tiên của gói tin 000 : thấp nhất 111: cao nhất Bit D quy định về độ trễ 1 : yêu cầu độ trễ thấp 0 : bình thường Bit T chỉ thông lương yêu cầu 1 : yêu cầu thông lượng cao 0 : bình thường Bít R chỉ độ tin cậy yêu cầu 1 : độ tin cậy cao 0 : bình thường Bit M yêu cầu về chi phí 1 : chi phí thấp 0 : bình thường Bít Z chưa được sử dụng - Total Length : Cho biết độ dài của toàn bộ của một IP datagram bao gồm cả header , đơn vị tính là byte . Nó có giá trị thấp nhất là 20byte và lớn nhất là 65535 byte . Trường này dùng để xác định độ lớn của phần data . - Identification : có độ dài 16 bít , dùng cho việc đánh số các gói tin khi truyền đi , nó cho biết thứ tự của gói tin , số thứ tự này được cho bởi đầu phát và không bị thay đổi trong quá trình đi từ nguồn tới đích . - DF (don’t fragment): bít này cho biết gói tin đó có được phép chia nhỏ trong suốt quá trình truyền hay không 1 : không cho phép chia nhỏ 0 : cho phép chia nhỏ - MD (more fragment) : cho biết sau nó còn có gói tin nào khác hay không. 1 : còn một gói tin đứng sau nó 0 : không còn gói tin nào đứng sau nó bít này chỉ được sử dụng khi DF có giá trị 0 - Fragment offset : có độ dài 13 bít , đơng vị tính của trường này là octect ( 1 ( 1 octect = 8 byte ) nó cho biết vị trí của octect đầu tiên cùa gói bị phân mảnh trong quá trình truyền so với vị trí của octect thứ 0 của gói gốc . Trường này chỉ được sử dụng khi DF có giá trị là 1 . Khoa Công nghệ thông tin – TCN Quang Trung Trang 9
  16. Giáo trình An toàn mạng và bảo mật dữ liệu - Time To Live : có độ dài 1 byte , nó qui định thới gian sống của một gói tin , đơn vị tính là số nút mạng mà nó đi qua , thời gian sống được thuyết lập khi gói tin được gởi đi , và cứ mỗi lần đi qua một nút mạng thời gian sống của nó giảm đi một , nếu thời gian sồng bằng 0 trước khi gói tin đi tới đích thì nó sẽ bị hủy . Mục đích là hạn chế tắc ngẽn trên đường truyền . - Protocol : có độ dài 1 byte , nó cho biết giao thức được sử dụng ở lớp trên . VD : TCP ( 6 ) ; UDP ( 17 ) …… - Header Checksum : có 16 bit dùng để kiểm tra lỗi của IP header , trường này có thề thay đồi sau mổi lần qua một nút mạng nếu DF = 1 . Trường này dùng phương pháp kiểm tra lỗi CRC . Source/Destination address : chi biết địa chỉ nguồn và địa chỉ đích , mỗi trường có độ dài 32 bít . - Option : trường này có độ dày từ 3 đến 4 byte , nó có thể được hoặc không được sử dụng . Nó cung cấp các thông tin về kiểm tra lổi , đo lường , …. Hình 2- 3 Gói tin IP FC (flag copy) : bít này có chức năng là có sao chép trường option khi phân mảnh (đoạn) hay không . 1 : sao chép trường option cho tất cả các phân đoạn . 0 : chỉ có phân đoạn đầu tiên có trường option , các phân đoạn còn lại thì không có trường option. Class : có 2 bít nó có các giá trị sau : 00 : dùng cho điều khiển datagram 10 : dùng cho mục đích điều hành bản giá trị của trường type cùa option: Length : cho biết độ dài của trường option bao gồm cà trường type và length Option data : dùng để chứa đựng các thông tin liên quan do đến trường type . - Padding : trường này được sử dụng khi trường option có độ dài nhỏ hơn 4 byte , trên thực tế trường này chỉ là bộ đệm lót them vào để cho dầy cấu trúc khung. Data : dùng để chứa dữ liệu của gói tin . Nó có độ dài không cố định , tùy thuộc vào độ lớn của thông tin truyền đi cũng như môi trường mạng. Khoa Công nghệ thông tin – TCN Quang Trung Trang 10
  17. Giáo trình An toàn mạng và bảo mật dữ liệu 1.3 Gói UDP - Chức năng: Đây là gói tin được sử dụng trong giao thức UDP chức năng của nó là đảm bảo cho dữ liệu được truyền từ ứng dụng trên host nguồn đến một ứng dụng trên host đích một cách chính xác dựa trên phương pháp hoạt động không kết nối. - Cấu trúc Hình 2- 4 Gói tin UDP ▪ Source port number: cho biết địa chỉ của ứng dụng nguồn gởi gói UDP đi. Destination port number : cho biết địa chỉ của ứng dụng đích sẽ nhận gói UDP đó UDP length : cho biết độ dài của gói UDP bao gồm cả phần header và phần data. UDP checksum : đây là vùng tùy chọn , nó có thể được hoặc không được sử dụng , khi không được sử dụng nó có giá trị là 0 , nhưng khi muốn đảm bảo sự an toàn cũng như độ chính xác của gói tin thì trường này mới được sử dụng. - Quá trình đóng gói của UDP Hình 2- 5 Quá trình đóng gói của UDP - Hoạt động: ▪ Đây là một giao thức hoạt động theo phương thức không liên kết . Tức là khi một ứng dụng trên host nguồn muốn gởi dữ liệu đến host đích mà sử dụng giao thức UDP thì nó chỉ việc gởi dữ liệu đi mà không cần biết dữ liệu đó có tới được host đích hay không. ▪ UDP chỉ được sử dụng với các ứng dụng không yêu cầu độ tin cậy cao hoặc đòi hỏi tính thời gian thực như : TFTP , BOOTP , Multimedia (intenet vedeo , VoIP ….). 1.4 Gói TCP Khoa Công nghệ thông tin – TCN Quang Trung Trang 11
  18. Giáo trình An toàn mạng và bảo mật dữ liệu Hình 2- 6 Gói TCP - Sequence number : đơn vị tính là octect , nó cho biết vị trí của byte đầu tiên trong trường data trong luồng dữ liệu truyền đi . Trường này có giá trị từ 0 đến 2 32 −1 . Khi mới bắt đầu kết nối sequence number chứa đựng giá trị đầu tiên của nó , giá trị này do host nguồn chọn và thường không có giá trị cố định . Khi gói dữ liệu đầu tiên được gởi đi nó có giá trị bằng giá trị đầu cộng thêm 1 . Tổng quát trường sequence number có thể được tính như sau : sequence _ numbern = sequence _ numbern−1 + len(data n−1 ) - Acknowledgement number : trướng này cho biết gói tin mà nơi gởi muốn thông báo cho nơi nhận biết là nó đang đợi phía nhận gởi cho nó gói tin có số sequence number có giá trị bắng với giá trị của Acknowledgement number , khi nhận được thông báo này nơi nhận xác định được rằng các gới tin mà nó gởi đến đầu kia trước đó đã đến đích an toàn . - Hlen : cho biết độ dài của phần TCP header , nhờ vào trường này mà đầu thu biết được trường Option có được xử dụng hay không . - Reserved : trường này hiện chưa được sử dụng . - Flag bit : trường này có 6 bít cờ , mỗi bít được sử dụng vào các mục đích khác nhau , nó gồm các bít sau : URG : cho biết trường Urgent pointer có hiệu lực hay không ACK : cho biết ACK number có được sử dụng hay không PHS : 1 _ đưa thẳng lên lớp trên không cần kiểm tra . 0 _ kiểm tra trước khi đưa lên lớp trên . RST : yêu cầu thiết lập lại kết nối . SYN : thiết lập lại số trình tự . FIN : kết thúc truyền tải . - Window : cho biết độ lớn của của host nguồn - Checksum : dùng để kiểm tra lỗi của của gói TCP , việc kiểm tra lỗi do đầu nhận thực hiện . Việc tính toán do phía gở đảm nhận . TCP sử dụng mã CRC để kiểm tra lỗi . - Khi tính toán trường Header checksum người ta thêm vào gói UDP một phần đầu giả , nội dung của phần đầu giả này giống như nội dung của phần đầu giả của UDP : Khoa Công nghệ thông tin – TCN Quang Trung Trang 12
  19. Giáo trình An toàn mạng và bảo mật dữ liệu Hình 2- 7 Header checksum - Urgent pointer : đây là trường con trỏ khần cấp , nó có các chức năng như : Ngăn cản một quá trình nào đó trong quá trình truyền tải Dùng để chỉ ra ranh giới giữa giữa phần dữ liệu khẩn cấp v1 phần dữ liệu thường (trong TCP phần dữ liệu khẩn cấp được đặt trước) . - Option: trường này là tùy chọn , nó có cấu trúc giống như trường Option của IP Hình 2- 8 Option - Type : cho biết loại thông điệp option - Length : cho biết độ dài của trường option - Optiondata : chứa nội dung của trường option Các loại thông điệp option : - Các loại thông điệp option : 1.5 Khái quát về lọc gói - Bảo mật dựa trên lọc gói tin là phương pháp bảo mật dựa trên các thông tin ở phần header của các gói tin, thông qua các thông tin này mà ta có thể quy định gói tin nào được phép hay không được phép trển qua bộ lọc. - Các thông tin mà chúng ta quan tâm đến là các thông tin như địa chỉ của máy gởi và nhận gói tin, địa chỉ của ứng dụng nhận và gởi gói tin, giao thức sử dụng trong suốt qua trình trao đổi thông tin giữa hai máy. 2. Chính sách IPSec mặc định - Bước 1: Xác định bộ lọc gói tin: - Bộ lọc gói tin có chức năng cho phép hay ngăn cấm một hay một số loại gói tin được phép hay không được phép truyển qua nó. - Các bước xây dựng bộ lọc như sau: ▪ Khởi động IPSEC: ✓ Vào administrative tool Khoa Công nghệ thông tin – TCN Quang Trung Trang 13
  20. Giáo trình An toàn mạng và bảo mật dữ liệu ✓ Local security policy ✓ Right click lên IP security policies ✓ Manage ip filter list ….. Hình 2- 9 Manage ip filter list ✓ Xuất hiện hộp thoại: Hình 2- 10 Manage ip filter lists and filter actions ✓ Chọn mục manage ip filter list and filter action ✓ Chọn add để tiến hành tạo bộ lọc mới: Xuất hiện hộp thoại sau: Hình 2- 11 IP filter list Khoa Công nghệ thông tin – TCN Quang Trung Trang 14
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
3=>0