Slide An toàn mạng nâng cao PTIT

CHUYÊN ĐỀ AN NINH MẠNG
TS. Đặng Minh Tuấn,
tuanvietkey@gmail.com, 098-868-6636
- Trưởng Lab Blockchain / Học viện Công nghệ Bưu chính Viễn thông
- Phó chủ tịch CLB Fintec / Hiệp hội ngân hàng Việt Nam.
- Trưởng tiêu ban chuẩn quốc gia JTC1/SC35-User interface.
- Giám đốc QNET Blockchain Research Center.
- Nguyên là Đại tá, Phó giám đốc PTN Quốc gia về An toàn thông tin/ Phó
Giám đốc Trung tâm An toàn thông tin/Bộ tư lệnh tác chiến không gian mạng.
-

A. Kiểm soát an toàn vật lý
1. Giới thiệu về an toàn vật lý
 An toàn vật lý (Physical Security) là việc bảo vệ phần cứng, hệ thống mạng, chương trình và dữ liệu
khỏi các mối nguy hiểm vật lý có thể gây ảnh hưởng đến hoạt động của hệ thống.
2. Các mối nguy hiểm vật lý
 Hỏa hoạn và cháy nổ.
 Nhiệt độ và độ ẩm.
 Thiên tai: ngập lụt, bão, sấm chớp, động đất.
 Hóa chất:
 Mất điện.
 Các phần tử phá hoại: nhân viên bên trong, kẻ trộm.
3. Kiểm soát an toàn vật lý
2

A. Kiểm soát an toàn vật lý
3. Kiểm soát an toàn vật lý
 3.1 Quản lý hành chính (Administrative control)
 3.1.1 Xem xét, đánh giá, lập kế hoạch
 3.1.2 Địa điểm, thiết kế cơ sở
 3.1.3 Bảo vệ dữ liệu
 3.2 Quản lý truy cập vật lý (Physical access control)
 3.2.1 Phạm vi bảo vê
 3.2.2 Báo động xâm nhập
 3.3. Quản lý con người
 Chính sách : Các chính sách về mật khẩu, Các chính sách an ninh vật lý.
 Nguyên tắc hoạt động : Đảm bảo an ninh thông tin nhạy cảm và ủy quyền sử dụng tài nguyên.
 Phân quyền : Phân loại các thông tin tối mật, độc quyền, sử dụng nội bộ, sử dụng công cộng.
 Đặc quyền truy cập : cần phải có quản trị viên, người sử dụng các tài khoản phải được ủy quyền.
 Xác thực 2 thành phần : Thay vì mật khẩu cố định, sử dụng xác thực hai thành phần cho những dịch vụ
mạng có nguy cơ cao như VPN và Modem Pool.
 Phòng thủ Anti-Virus/Anti-Phishing : sử dụng nhiều lớp để phòng chống virus.
 Đổi Công tác quản lí : việc thay đổi quy trình quản lí tài liệu sẽ bảo mật hơn quá trình ad-hoc.
3

B. Phương pháp xác thực
1. Thẻ thông minh (Smart Cards)
 1.1 Thẻ tiếp xúc
 1.2. Thẻ không tiếp xúc (RFID (Radio Frequency Identification) ), NFC
2. Kiểm tra truy cập vật lý
3. Mật khẩu (Password & Pin)
4. Khóa (Public-key cryptography)
5. Sinh học (Biometrics)
4

C. Điều khiển truy cập
1. Định nghĩa điều khiển truy cập.
 Một hệ thống điều khiển truy cập có thể được cấu thành từ 2 dịch vụ sau:
 Xác thực (Authentication): Là quá trình xác minh tính chân thực của các thông tin định danh mà người dùng cung cấp.
 Trao quyền (Authorization): Trao quyền xác định các tài nguyên mà người dùng được phép truy cập sau khi người dùng đã được xác
thực.
 Điều khiển tuy nhập:
 Xác định tính chân thực của người dùng.
 Xác định thời gian mà người dùng được truy cập vào mạng.
 Xác định trạm làm việc của người dùng.
 Xác định người lạ mặt.
 Ngày mạn hạn của khoản mục người dùng.
5

2. Sự cần thiết của điều khiển truy cập.
 2.1 Điều khiển truy cập với an toàn truy cập mạng
 2.2 Điều khiển truy cập với an toàn hệ thống
 2.3 Điều khiển truy cập với an toàn truy cập file và thư mục
3. Các mô hình điều khiển truy cập
 3.1 Điều khiển truy cập bắt buộc – (Mandatory Access Control – MAC).
 Được thiết lập cố định ở mức hệ thống, người sử dụng (bao gồm cả người tạo ra tài nguyên) không thay đổi được.
 Khi mô hình điều khiển bắt buộc đã được thiết lập, nó có tác dụng đối với tất cả người dùng và tài nguyên trên hệ thống.
 3.1 Điều khiển truy cập tùy ý - (Discretionary Access Control – DAC)
 Đây là mô hình được sử dụng phổ biến nhất, xuất hiện trong hầu hết các hệ điều hành máy tính
 Người chủ sở hữu của tài nguyên (owner) thường là người tạo ra tài nguyên đó hoặc người được gán quyền sở hữu, có toàn quyền điều
khiển việc truy xuất đến tài nguyên.
 Quyền điều khiển truy xuất trên một tài nguyên có thể được chuyển từ đối tượng (user) này sang đối tượng (user) khác
6

3. Các mô hình điều khiển truy cập
 3.2 Điều khiển truy cập dựa trên vai trò - RBAC (Role Based Access Control – RBAC)
 Quyền truy xuất được cấp dựa trên công việc của người dùng trong hệ thống (user’s role).
 Linh động hơn mô hình điều khiển truy xuất bắt buộc, người quản trị hệ thống có thể cấu hình lại quyền truy xuất cho từng nhóm chức
năng hoặc thay đổi thành viên trong các nhóm.
 Thực hiện đơn giản hơn mô hình điều khiển truy xuất tự do, không cần phải gán quyền truy xuất trực tiếp cho từng người dung.
7

Khái niệm tường lửa
Cơ cấu để bảo vệ một mạng máy tính chống lại sự truy nhập bất hợp pháp từ các (mạng) máy tính khác.
Firewall bao gồm các cơ cấu nhằm:
• Ngăn chặn truy nhập bất hợp pháp.
• Cho phép truy nhập sau khi đó kiểm tra tính xác thực của thực thể yêu cầu truy nhập.
1.1. Firewall làm được những gì
 Chống lại những kẻ đột nhập qua khả năng ngăn chặn những phiên làm việc từ xa (remote login).
 Chặn thông tin từ bên ngoài (Internet) vào, cho phép người sử dụng hợp pháp được truy nhập tự do
mạng bên ngoài.
 Có thể phục vụ như một công cụ theo dõi các cuộc tấn công.
1.2. Firewall không làm được những gì
 Không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó.
 Không thể chống lại các cuộc tấn công bằng dữ liệu (data–drivent attack).
 Không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó.
8

2- Các thành phần của Firewall
2.1. Bộ lọc gói (Packet Filter)
 2.1.1. Nguyên lý hoạt động: Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được theo bộ luật.
 Địa chỉ IP nơi xuất phát ( IP Source address)
 Địa chỉ IP nơi nhận (IP Destination address)
 Những giao thức truyền tin (TCP, UDP, ICMP, IP tunnel)
 Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
 Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
 Dạng thông báo ICMP (ICMP message type)
 Giao diện Packet đến (Incomming interface of Packet)
 Giao diện Packet đi (Outcomming interface of Packet)
 2.1.2. Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gói
 Đa số các hệ thống Firewall đều sử dụng bộ lọc gói.
 Chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm Router.
 Trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt.
 2.1.3 Hạn chế của hệ thống Firewall sử dụng bộ lọc gói
9

 2.1. Bộ lọc gói (Packet Filter)
 2.1.3 Hạn chế của hệ thống Firewall sử dụng bộ lọc gói
 Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp.
 Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
 Không kiểm soát được nội dung thông tin của Packet.
 Các Packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ
xấu.
 2.2. Cổng ứng dụng (Application–Level Gateway)
 2.2.1. Nguyên lý hoạt động
 Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy Service (dịch vụ đại diện).
 Một cổng ứng dụng thường được coi như là một pháo đài (Bastion Host), luôn chạy các version an toàn (secure
version) của các phần mềm hệ thống (Operating system).
 Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên Bastion Host, có ghi logfile.
 Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user password hay smart card.
 2.2.2. Ưu điểm và hạn chế
10

 2.2. Cổng ứng dụng (Application–Level Gateway)
 2.2.2. Ưu điểm và hạn chế
 Hoàn toàn điều khiển được từng dịch vụ trên mạng,
 Cổng ứng dụng cho phép kiểm tra độ xác thực rất cao, và có nhật ký ghi chép lại thông tin về truy nhập hệ thống.
 Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói.
11

2.3. Cổng vòng (Circuit–Level Gateway)
 Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động
xử lý hay lọc gói nào.
 Ưu điểm lớn nhất là một Bastion Host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng
dụng cho những kết nối đến, và cổng vòng cho các kết nối đi.
12

3- Phân loại firewall
 3.1.1. Firewall phần cứng
 Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn.
 Không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.
 Đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.
 Firewall phần cứng có thể kể tới Linksys, NetGear, Cisco. Tính năng Firewall phần cứng do các công
ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh
nghiệp nhỏ và mạng gia đình.
 3.1.2. Firewall phần mềm
13

4-Chức năng và nhiệm vụ của tường lửa
 4.1. Chức năng của tường lửa:
 Tường lửa quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài,
 những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong và cả những dịch vụ nào
bên ngoài được phép truy cập bởi những người bên trong:
 Kiểm soát người dùng và việc truy cập người dung bằng nhiều cơ cấu xác thực khác nhau.
 Quản lý và kiểm soát luồng dữ liệu trên mạng: kiểm tra các gói tin và giám sát các kết nối.
 Kiểm soát nội dung thông tin, gói tin lưu chuyển trên hệ thống mạng.
 Cho phép hoặc cấm các dịch vụ truy cập ra ngoài.
 Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong.
 Firewall hoạt động như một proxy trung gian.
 Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng (Port), giao thức.
 Ghi nhận và báo cáo sự kiện: Firewall sử dụng hai phương pháp là syslog và proprietaty logging format.
 Chặn một số ứng dụng mà bạn muốn: Ví dụ như: Skype, Zalo, Facebook Messenger,…
 Cân bằng tải: Có thể sử dụng nhiều đường truyền internet cùng một lúc,
14

Các kiến trúc của tường lửa
 5.1.1. Kiến trúc Dual – homed Host
 Dual–homed Host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với
mạng ngoài.
 Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.
 Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp.
 Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed
Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ.
15

 5.1.2. Kiến trúc Screened Host
 Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services.
 Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ hệ thống cung cấp
cho người sử dụng qua Proxy Server.
 Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt.
 Cũng như kiến trúc trước, kiến trúc này không chống đỡ được khi bị tấn công vào chính nó.
16

 5.1.3. Kiến trúc Screened Subnet
Host
 Hệ thống này bao gồm hai Packet–Filtering
Router và một Bastion Host.
 Network và Application trong khi định nghĩa
một mạng perimeter network. Mạng trung
gian (DMZ) đóng vai trò như một mạng nhỏ,
cô lập đặt giữa Internet và mạng nội bộ.
 Kẻ tấn công cần phá vỡ ba tầng bảo vệ:
Router ngoài, Bastion Host và Router trong.
 Bởi vì Router ngoài chỉ quảng bá DMZ
Network tới Internet, hệ thống mạng nội bộ
là không thể nhìn thấy (invisible).
 Chỉ có một số hệ thống đã được chọn ra trên
DMZ là được biết đến bởi Internet qua
routing table và DNS information exchange.
 Điều nay đảm bảo rằng những user bên trong
bắt buộc phải truy nhập Internet qua dịch vụ
Proxy.
17

 5.1.4. Sử dụng nhiều Bastion Host
 Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng như tách biệt các
Servers khác nhau.
 Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bên trong (internal user), như dịch
vụ SNMP Server, Proxy Servers …
 Sử dụng 1 Bastion Host khác cung cấp dịch vụ cho Internet hoặc những người sử dụng bên ngoài
(external user) sẽ sử dụng. Như là Anonymous FTP Server mà Server này những người sử dụng bên
trong (local users) không truy xuất đến.
 Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà một Server nào đó bị đột nhập vào
hay bị hỏng thì Server khác vẫn hoạt động tốt
18

 5.1.5. Kiến trúc ghép chung Router trong (Interior Router) và Router ngoài
(Exterior Router)
 Kiến trúc này cũng gần giống với Screened Subnet nhưng exterior Router và interior Router được ghép
chung nên nó giảm đi số lớp bảo vệ.
19

 5.1.6. Kiến trúc ghép chung Bastion Host và Router ngoài (Exterior Router)
 Kiến trúc ghép chung Bastion Host và Router ngoài (Exterior Router) này gần giống với Screened
Subnet.
 Nó cho tốc độ đáp ứng thường thấp nhưng mà vẫn có thể chấp nhận được do tốc độ đường truyền thấp,
chức năng lọc của Router ngoài ít, chức năng lọc gói chủ yếu là Router trong.
20

MẠNG RIÊNG ẢO (VPN)
1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO
2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO
3: CÁC GIAO THỨC MẠNG RIÊNG ẢO
21

1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1.1. Giới thiệu sơ lược về mạng riêng ảo (VPN)
1.2. Đặc điểm của VPN
1.3. Phân loại VPN
22

1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO (1/5)
1.1. Giới thiệu sơ lược về mạng riêng ảo (VPN)
Mạng riêng ảo (Virtual Private Network - VPN) là mạng sử dụng mạng công
cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ
sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và
kiểm soát được truy nhập.
23

1.2. Đặc điểm của VPN
 Mục đích của VPN
Cung cấp mạng riêng cho doanh nghiệp giúp hỗ trợ việc truy cập mạng riêng
của công ty mà vẫn đảm bảo an toàn.
 Lợi ích của VPN
+ Giảm chi phí đường truyền.
+ Giảm chi phí đầu tư.
+ Giảm chi phí quản lý và hỗ trợ.
+ Truy cập mọi lúc mọi nơi.
 Chức năng của VPN: cung cấp kênh truyền riêng và đảm bảo an toàn bảo
mật truyền tin, đảm bảo: tính xác thực, tính toàn vẹn, tính bảo mật.
24

25
• VPN phần mềm: Windows, OpenVPN, OpenSwan…
• VPN phần cứng:
• Cisco Systems Gigabit Dual WAN VPN.
• Zyxel Next Generation VPN Firewall.
• GL.iNet GL-AR150 Mini Travel Router & VPN
• Dell Sonicwall TZ300 VPN

26

1.3.1. Remote Access VPN (VPN truy nhập từ xa)
Cho phép người dùng di động (Mobile users, TeleWorkers) có thế truy cập tài nguyên
mạng nội bộ từ bất kì đâu
27

1.3.2. Site-to-Site VPN (VPN điểm tới điểm)
Cho phép các client của các chi nhánh có thế trao đổi dữ liệu với nhau một cách dễ dàng
 Intranet VPN: Được sử dụng để liên kết trao đổi tài nguyên giữa các chi nhánh khác nhau
của một công ty, tổ chức.
 Extranet VPN: Cho phép truy nhập những tài nguyên mạng cần thiết kế của các đối tác
kinh doanh.
28

2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO
2.1. Các thành phần của VPN
2.2. Định dạng gói dữ liệu VPN
2.3. Cơ chế hoạt động của VPN
29

2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO (1/7)
2.1. Các thành phần của VPN
Để có thể thiết lập hoàn chỉnh một tunnel giữa hai nút thông tin đầu cuối, tunneling
đưa ra 4 thành phần yêu cầu sau :
 Mạng đích (Target network): Là mạng trong đó chứa các dữ liệu tài nguyên mà
người dùng từ xa cần truy cập để sử dụng.
 Nút khởi tạo (Initiator node): Người dùng khách hoặc máy chủ khởi tạo phiên
VPN. Nút khởi tạo có thể là một phần của mạng cục bộ hoặc có thể là người dùng.
 HA (Home Agent): Chương trình thường trú tại các nút mạng (router) trong
mạng đích. HA nhận và xác nhận những yêu cầu gửi đến để xác thực chúng từ
những host đã được ủy quyền. Khi xác nhận thành công nút khởi tạo, HA cho
phép thiết lập tunnel.
 FA (Foreign Agent): Chương trình thường trú tại các nút khởi tạo hoặc ở nút
truy cập (router) của mạng khởi tạo. Các nút khởi tạo dùng FA để yêu cầu một
phiên VPN từ HA ở mạng đích.
30

31

 Routing Protocol Header :Phần đầu chứa địa chỉ nguồn (FA) và đích (HA)
 Tunnel packet header: Phần đầu này chứa 5 phần sau:
+ Protocol type: Trường này chỉ ra loại giao thức của gói dữ liệu nguyên gốc (hoặc pay-load).
+ Kiểm tra tổng (Checksum). Phần này chứa thông tin kiểm tra tổng quát liệu gói dữ liệu có
bị mất mát trong suốt qua trình giao dịch.
+ Khóa (Key): Thông tin này được dùng để nhận dạng hoặc xác nhận nguồn thực của dữ liệu
(bộ khởi tạo).
+ Số tuần tự (Sequence number): Trường này chứa đựng 1 con số mà chỉ ra số tuần tự của
gói dữ liệu trong một loạt các gói dữ liệu đã và đang trao đổi.
+ Source routing: Trường này chứa đựng thêm thông tin định tuyến.
 Payload. Gói dữ liệu nguyên gốc được gửi đến FA bởi bộ khởi tạo. Nó cũng chứa đựng
phần đầu nguyên gốc.
32

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng
trên nền Internet.
Hoạt động của VPN chia làm 2 giai đoạn:
 Giai đoạn 1: Thiết lập tunnel
 Giai đoạn 2: Truyền dữ liệu
33

 Giai đoạn 1: Thiết lập tunnel
+ Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng.
+ FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu được
cung cấp bởi người dùng
+ Nếu tên truy cập và mật khẩu cung cấp bởi người dùng không hợp lệ, yêu
cầu phiên làm việc VPN bị từ chối. Ngược lại, nếu quá trình xác nhận sự
thống nhất của FA thành công, nó sẽ chuyển yêu cầu đến mạng đích HA.
34

 Giai đoạn 1: Thiết lập tunnel
+ Nếu yêu cầu được HA chấp nhận, FA gửi login ID đã được mã hóa và mật
khẩu tương ứng đến nó.
+ HA kiểm chứng thông tin đã được cung cấp. Nếu quá trình kiểm chứng
thành công, HA gửi những Register Reply, phụ thuộc vào một số tunnel
đến FA.
+ Một tunnel được thiết lập khi FA nhận Register Reply và số tunnel
35

 Giai đoạn 2: Truyền dữ liệu
+ Nút khởi tạo bắt đầu chuyển các gói dữ liệu đến FA.
+ FA tạo tunnel header và chèn nó vào từng gói dữ liệu. Thông tin header của
giao thức định tuyến (được đàm phán trong giai đoạn I) sau đó được gắn
vào gói dữ liệu.
+ FA chuyển các gói dữ liệu đã mã hóa đến HA bằng cách sử dụng tunnel
number đã được cung cấp.
+ Trong quá trình nhận thông tin mã hóa, ha gỏ̃ bỏ tunnel header và header
của giao thức định tuyến, đưa gói dữ liệu trở về dạng nguyên bản của nó.
+ Dữ liệu nguyên gốc sau đó được chuyển hướng đến nút mong muốn cần đến
trong mạng.
36

3: CÁC GIAO THỨC MẠNG RIÊNG ẢO
3.1. Giao thức IPSec
3.2. Giao thức PPTP
3.3. Giao thức L2TP
37

3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (1/16)
3.1.1. Khái quát về IPSec
- Internet Protocol Security (IPSec) là một bộ giao thức mạng bảo mật ma
việc xác thực và mã hóa các gói dữ liệu được gửi qua mạng IP.
- Giao thức IPSec được chuẩn hoá vào năm 1995, IPSec định nghĩa 2 loại tiêu
đề cho các gói tin IP để điều khiển quá trình xác thực và mã hoá:
 Xác thực tiêu đề IP-AH
 Bọc gói bảo mật tải ESP
- IPSec VPN cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp mạng
(Network Layer) theo mô hình OSI
38

3.1.2. Đặc điểm cơ bản của IPSec
 Kết hợp bảo mật SA (Security Association)
 Xác thực tiêu đề AH (Authentication Header)
 Bọc gói bảo mật tải ESP (Encapsulation Security Payload)
 Chế độ làm việc
39

40

41

42
 - RFC 2367: PF_KEY Interface.
 - RFC 2401: Security Architecture for the Internet Protocol (IPsec overview), hiện đã được thay thế bởi RFC
4301.
 - RFC 2403: The Use of HMAC-MD5-96 within ESP and AH.
 - RFC 2404: The Use of HMAC-SHA-1-96 within ESP and AH.
 - RFC 2405: The ESP DES-CBC Cipher Algorithm With Explicit IV.
 - RFC 2409: The Internet Key Exchange.
 - RFC 2410: The NULL Encryption Algorithm and Its Use With Ipsec.
 - RFC 2411: IP Security Document Roadmap.
 - RFC 2412: The OAKLEY Key Determination Protocol.
 - RFC 2451: The ESP CBC-Mode Cipher Algorithms.
 - RFC 2857: The Use of HMAC-RIPEMD-160-96 within ESP and AH.
 - RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE).

43
 - RFC 3706: A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers.
 - RFC 3715: IPsec-Network Address Translation (NAT) Compatibility Requirements.
 - RFC 3947: Negotiation of NAT-Traversal in the IKE.
 - RFC 3948: UDP Encapsulation of IPsec ESP Packets.
 - RFC 4106: The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP).
 - RFC 4301: Security Architecture for the Internet Protocol.
 - RFC 4302: IP Authentication Header.
 - RFC 4303: IP Encapsulating Security Payload.
 - RFC 4304: Extended Sequence Number (ESN) Addendum to IPsec Domain of Interpretation (DOI) for Internet
Security Association and Key Management Protocol (ISAKMP).
 - RFC 4306: Internet Key Exchange (IKEv2) Protocol.
 - RFC 4307: Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2)
 - RFC 4308: Cryptographic Suites for IPsec

44
 - RFC 4309: Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload
(ESP).
 - RFC 4478: Repeated Authentication in Internet Key Exchange (IKEv2) Protocol.
 - RFC 4543: The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH.
 - RFC 4555: IKEv2 Mobility and Multihoming Protocol (MOBIKE).
 - RFC 4621: Design of the IKEv2 Mobility and Multihoming (MOBIKE) Protocol.
 - RFC 4718: IKEv2 Clarifications and Implementation Guidelines.
 - RFC 4806: Online Certificate Status Protocol (OCSP) Extensions to IKEv2.
 - RFC 4809: Requirements for an IPsec Certificate Management Profile.
 - RFC 4835: Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP)
and Authentication Header (AH).
 - RFC 4945: The Internet IP Security PKI Profile of IKEv1/ISAKMP, IKEv2, and PKIX.

 Kết hợp bảo mật SA (Security Association)
- Để hai bên có thể truyền và nhận dữ liệu đã được bảo mật, cả bên truyền và nhận
phải cùng thống nhất sử dụng giải thuật mã hoá và phương pháp quản lý và
chuyển khoá.
- Một IPSec SA mô tả các vấn đề sau:
 Thuật giải xác thực sử dụng cho AH và khoá của nó.
 Thuật giải mã hoá ESP và khoá của nó.
 Dạng thức và kích thước của bộ mã sử dụng trong thuật giải mã hoá.
 Giao thức, thuật giải mã hoá, khoá sử dụng cho việc truyền thông.
 Thời gian sống của khoá của SA.
 Địa chỉ nguồn của SA.
46

47

 Xác thực tiêu đề AH (Authentication Header)
- Xác thực tiêu đề AH trong hệ thống IPSec được chèn vào giữa tiêu đề IP và nội
dung, không làm thay đổi nội dung của gói dữ liệu.
- Xác thực tiêu đều AH gồm 5 trường: trường tiêu đề kế tiếp (Next Header Field),
chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter
Index), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data).
48

 Xác thực tiêu đề AH (Authentication Header)
49

 Bọc gói bảo mật tải ESP (Encapsulation Security Payload)
- Bọc gói bảo mật tải ESP có nhiệm vụ mã hoá dữ liệu, nên nội dung của gói sẽ bị thay
đổi.
- ESP gồm các SPI để chỉ cho bên nhận biết cơ chế bảo mật thích hợp cho việc xử lý
gói tin. Số tuần tự trong ESP là bộ đếm tăng mỗi khi gói được gửi đến cùng một địa
chỉ
51

52

53

 Chế độ làm việc: Có hai chế độ làm
việc trong IPSec:
- Chế độ giao vận (Transport Mode):
Chỉ có đoạn trong lớp giao vận trong gói
là được xử lý.
- Chế độ đường hầm (Tunnel Mode):
Toàn bộ gói sẽ được xử lý cho mã hoá xác
thực.
54

3.1.3. Sử dụng IPSec trong VPN
- Có 3 nơi trang bị phần mềm IPSEC: cổng nối bảo mật, client di động (mobile
client) và các host.
- Không phải tất cả các thiết bị đều cần phải cài phần mềm IPSEC mà tuỳ theo
yêu cầu thiết kế mạng.
55

3.1.3. Giao thức IKE (Internet Key Exchange (IKE))
56
• Giao thức IKE là chân thứ 3 trong bộ kiềng IPSec.
• Nó xử lý các vấn đề liên quan đến việc quản lý khóa bằng cách giao tiếp với các SA giữa các
điểm.
• IKE được mô tả trong RFC 2409 [Harkins and Carrel 1998].
• Ý tưởng chính của IKE là: các điểm thực hiện cơ chế trao đổi khóa Diffie-Hellman để có khóa bí
mật chia sẻ mà các điểm này sẽ sử dụng khóa này để sinh ra các bộ khóa được dùng cho mã hóa
và xác thực.
• IKE phải tự bảo vệ được mình trước các tấn công DoS (denial of service), tấn công gửi lại (replay
attack), và các tấn công khác như man-in-the-middle attack.

3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
57
• ISAKMP Cookies
• Chống tấn công DOS và replay, trước các tính toán Diffie-Hellman.
• Hạn chế sử dụng, chỉ được sử dụng 1 lần, có nghĩa là các cookie cũ không
thể được sử dụng, điều này ngăn chặn các tấn công lặp lại (replayed).
• Điều này thường được thực hiện bằng cách làm cho các cookie phụ thuộc
vào thời gian khởi tạo.
• CKY = HASH(src||dst||ts||secret)

Protocol)
58

Protocol)
59

Protocol)
60

Protocol)
61
• DOI cho IPSec có giá
trị là 1. Giá trị 0 biểu
thị pha 1 tổng quát
của ISAKMP SA mà
có thể được sử dụng
cho giao thức bất kỳ ở
pha 2.

Protocol)
62

Protocol)
63

Protocol)
64

3.1.3.ISAKMP (Internet Security Association and Key
Management Protocol)
65

3.1.3.ISAKMP (Internet Security Association and Key
Management Protocol)
66

Protocol)
67

Protocol)
68

Protocol)
69

Protocol)
70

71
• Giao thức IKE là chân thứ 3 trong bộ
kiềng IPSec.
• Nó xử lý các vấn đề liên quan đến việc
quản lý khóa bằng cách giao tiếp với các
SA giữa các điểm.
• IKE được mô tả trong RFC 2409
[Harkins and Carrel 1998].

72

73
• SKEYIDd = prf (SKEYID, gx
i
x
r||CKYi||CKYr||0)
K1 = prf (SKEYIDe, 0)
K2 = prf (SKEYIDe, K1)
. . .
Kn = prf (SKEYIDe, Kn-1)
K = K1||K2|| . . . ||Kn

74
SKEYID = prf (shared_secret, body(NONCEi)||body(NONCEr))
HASHi = prf(SKEYID, gx
i||gx
r||CKYi||CKYr||body(SAi)||body(IDi))
HASHr = prf(SKEYID, gx
r||gx
i||CKYr||CKYi||body(SAi)||body(IDr))

75

76

3.2.1. Khái quát về PPTP
- Giao thức định hướng đường hầm PPTP (Point-to-Point Tunneling Protocol) là
giao thức được dùng để truyền dữ liệu qua các hầm (Tunnel) giữa 2 tầng traffic
trong Internet.
- Ý tưởng cơ bản của giao thức này là tách các chức năng chung và riêng của
truy cập từ xa, lợi dụng lợi ích của các cơ sở hạ tầng Internet sẵn có để tạo kết
nối bảo mật giữa client và mạng riêng.
- Người dùng từ xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa
phương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ
77

3.2.2. Đặc điểm cơ bản của PPTP
 PPTP có thể truyền trong đường hầm bằng nhiều giao thức khác nhau trong
khi IPSec chỉ làm việc với IP.
 PPTP được thiết kế để hoạt động ở tầng liên kết dữ liệu DataLink. Trong khi
IPSec chạy ở tầng Network.
78

3.2.3. Dạng thức của PPTP
 PPTP dựa trên PPP (Point to Point Protocol ) để tạo ra kết nối quay số giữa khách
hàng và máy chủ truy cập mạng. Sau khi PPP thiết lập kết nối, PPTP sử dụng các
quy luật đóng gói của PPP để đóng gói các gói dữ liệu truyền trong đường hầm.
 PPTP định nghĩa 2 loại gói: gói điều khiển và gói dữ liệu, gán chúng vào 2 kênh
riêng. Sau đó PPTP phân tách các kênh điều khiển và kênh dữ liệu thành luồng
điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP.
 Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sử dụng để
chuyển thông báo điều khiển
79

3.2.3. Dạng thức của PPTP
 Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client
PTP và máy chủ PPTP.
 Phần mềm client có thể nằm người dùng thừ xa hay nằm ở tại máy chủ ISP.
 Sau khi đường hầm được thiết lập dữ liệu của người dùng được truyền từ
client đến máy chủ PPTP.
80

3.2.4. Đường hầm
 PPTP cho phép người dùng và các ISP có thể tạo ra nhiều loại đường hầm
khác nhau.
 Người dùng có thể chỉ định điểm kết thúc của đường hầm ngay tại máy
của mình nếu như có cài các client PTP, hay tại máy chủ ISP nếu như máy
tính của họ chỉ có PPP mà không có PPTP.
 Các đường hầm có thể chia làm hai loại tự nguyện và bắt buộc.
81

3.2.4. Đường hầm
Đường hầm tự nguyện được
tạo ra theo yêu cầu của người
dùng cho mục đích xác định.
Đường hầm bắt buộc tạo ra không thông
qua người dùng nên nó trong suốt đối người
dùng đầu cuối. Điểm kết thúc của đường hầm
bắt buộc nằm ở máy chủ truy cập từ xa.
82

3.2.5. Sử dụng PPTP trong VPN
Đặc điểm chủ yếu nhất của giao thức PPTP là cung cấp phương thức quay số
truy cập bảo mật vào VPN và định nghĩa điểm kết thúc của đường hầm, một
trong các điểm kết thúc này có thể nằm ở thiết bị của nhà cung cấp dịch vụ
Internet nên để cấu hình được phải có sự hợp tác giữa ISP và người quản lý
mạng trong việc xác thực người dùng
83

3.3.1. Khái quát về L2TP
Giao thức định hướng đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) là
sự kết hợp giữa 2 giao PPTP và L2F (Layer 2 Forwarding) do vậy L2TP kế thừa
các đặc tính của cả PPTP và L2F.
3.3.2. Đặc điểm của L2TP
 L2TP được thiết kế để hoạt động ở tầng liên kết dữ liệu DataLink.
 L2TP có thể truyền trong đường hầm bằng nhiều giao thức khác nhau.
 Microsoft có kế hoạch hỗ trợ L2TP trong Window NT và Window 98.
84

3.3.3. Khái quát về L2TP
 L2TP dựa trên PPP để tạo kết nối quay số giữa và máy chủ truy cập NAS.
 L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực đầu, tạo gói
dữ liệu PPP và đóng kết nối khi hết phiên làm việc.
 Sau khi PPP tạo kết nối xong, L2TP sẽ xác định NAS tại site chính có chấp nhận
người dùng và sẵn sàng đóng vai trò là điểm kết thúc đường hầm cho người dùng
đó. Sau khi đường hầm được tạo, L2TP sẽ đóng các gói PPP rồi truyền lên môi
trường mà ISP đã gán cho đường hầm đó.
 L2TP tạo đường hầm giữa NAS của ISP và máy chủ mạng của Client, nó có thể gán
nhiều phiên làm việc cho đường hầm. L2TP tạo ra các số nhận dạng cuộc gọi Call
ID cho mỗi phiên làm việc và chèn Call ID vào tiêu đề L2TP của mỗi gói để chỉ ra nó
thuộc phiên làm việc nào.
85

4: HONEYPOT
4.1. Tổng quan
 Honeypots là một hệ thống tài nguyên thông tin được xây dựng với mục đích:
 Giả lập đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp,
 Thu hút sự chú ý của chúng,
 Ngăn không cho chúng tiếp xúc với hệ thống thật.
 Chức năng:
 Kiểm soát dữ liệu,
 Bắt dữ liệu
 Phân tích chúng.
86

4: HONEYPOT
4.1. Tổng quan
 Vị trí đặt Honeypot
 External Placement (đặt ở vùng ngoài).
 Internal Placement (đặt ở vùng trong).
 DMZ Placement (đặt ở vùng DMZ)
87

4: HONEYPOT
4.2. Các loại Honeypot
88

4: HONEYPOT
89
 Tương tác thấp (Low Interaction):
 Mô phỏng giả lập các dịch vụ, ứng dụng, và hệ điều hành.
 Mức độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.
 Tương tác cao (High Interaction):
 Là các dịch vụ, ứng dụng và hệ điều hành thực.
 Mức độ thông tin thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận
hành và bảo dưỡng

4: HONEYPOT
90
 BackOfficer Friendly (BOF)
 Một loại hình Honeypots tương tác thấp rất dễ vận hành và cấu hình và có thể
hoạt động trên bất kỳ phiên bản nào của Windows và Unix nhưng chỉ tương
tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…
 Specter:
 Cũng là loại hình Honeypots tương tác thấp nhưng khả năng tương tác tốt
hơn BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa. Tuy nhiên
giống BOF thì specter bị giới hạn số dịch vụ và cũng không linh hoạt.

4: HONEYPOT
91
 Honeyd
 Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô phỏng
được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công, tương
tác với kẻ tấn công với vai trò một hệ thống nạn nhân.
 Honeyd có thể giả lập cùng một lúc nhiều hệ điều hành khác nhau.
 Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473 hệ
điều hành.
 Honeyd là loại hình Honeypots tương tác thấp có nhiều ưu điểm tuy nhiên
Honeyd có nhược điểm là không thể cung cấp một hệ điều hành thật để tương
tác với tin tặc và không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm
nhập hay gặp nguy hiểm

4: HONEYPOT
92
 Honeynet
 Honeynet là hình thức Honeypots tương tác cao. Khác với các Honeypots,
Honeynet là một hệ thống thật, hoàn toàn giống một mạng làm việc bình
thường. Honeynet cung cấp các hệ thống, ứng dụng, các dịch vụ thật.
 Quan trọng nhất khi xây dựng một honeynet chính là honeywall. Honeywall là
gateway ở giữa Honeypots và mạng bên ngoài. Nó hoạt động ở tầng 2 như là
Bridged Các luồng dữ liệu khi vào và ra từ Honeypots đều phải đi qua
honeywall.

2.2 Hạ tầng khóa công khai PKI
93
 Định nghĩa PKI (Public key Infrastructure):
 Là một framework (hạ tầng) gồm phần cứng, phần mềm, chính sách thủ tục
nhằm cung cấp:
 Chính sách về security
 Các cơ chế mã hóa
 Các ứng dụng tạo, quản lý, lưu trữ khóa và chứng thư số (digital
certificate).

94
Các thành phần của một hạ tầng cơ sở khóa công khai
• Thực thể cuối (End Entity – EE)
• Tổ chức quản lý chứng thư (Certificate Authority – CA)
• Tổ chức đăng ký chứng thư (Registration Authority – RA)
• Kho lưu trữ chứng nhận (Certificate Repository – CR)

95
1.4. Mô hình hoạt động của PKI
1.4.1. Đăng ký và phát hành chứng thư số
• User gửi thông tin bản thân tới RA để đăng ký. Thông tin này có thể là họ tên, số chứng minh thư,
email,…
• RA ký yêu cầu được chấp thuận và gửi thông tin về User đến trung tâm CA
• CA tạo chứng thư trên khóa công khai, ký bằng khóa bí mật của CA và cập nhật chứng thư trên cơ
sở dữ liệu LDAP, MySQL,…
• CA gửi chứng thư trở lại RA.
• RA cấp chứng thư cho người sử dụng.

96
Kiến trúc PKI
 Single CA architecture
 Enterprise PKI architecture
 Hybrid PKI architecture

97
Single CA architecture
 Chỉ có một CA chịu trách nhiệm phát hành, thu hồi certificate.
 Đỡn giản dễ cài đặt nhưng tồn tại single point of failure.

98
Hybrid CA architecture

99
Hybrid CA architecture

100
Cấu trúc Certificate X5.09

101

102

104
Chức năng của CA
 Phát hành chứng thư số (certificate)
 Thu hồi chứng thư số
 Ban hành chính sách về chứng thư số
 Xác thực user

105
Quy trình phát hành chứng thư
 Người dung sinh cặp khóa
 Đăng ký khóa công khai với CA
 Gửi yêu cầu tới RA với form quy định.
 RA kiểm tra xong gửi đến CA.
 CA dung khóa bí mật của mình ký và gưi lại cho RA
 RA gửi lại cho user.
Thu hồi chứng thư: Certificate Revocation List (CRL)
 Lộ khóa bí mật
 Hết hiệu lực
 Người dung chuyển nơi làm việc

106
 Các chuẩn Public key cryptography:
 PKCS#1 RSA Cryptography Standard
 PKCS#2 This standard has now been incorporated into PKCS#1
 PKCS#3 Diffie−Hellman Key Agreement Standard
 PKCS#5 Password−Based Cryptography Standard
 PKCS#6 Extended−Certificate Syntax Standard
 PKCS#7 Cryptographic Message Syntax Standard
 PKCS#8 Private Key Information Syntax Standard
 PKCS#9 Selected Attribute Types
 PKCS#10 Certification Request Syntax Standard
 PKCS#11 Cryptographic Token Interface Standard
 PKCS#12 Personal Information Exchange Syntax Standard
 PKCS#13 Elliptic Curve Cryptography Standard

107
Giao thức PKI (rfc5280)
 PKCS#10
 PKCS#7
 PKCS#14 Pseudorandom Number Generation Standard
 PKCS#15 Cryptographic Token Information Format Standard
 Certificate Management Protocol (CMP)
 Certificate Management using CMS (CMC)
 Simple Certificate Enrollment Protocol (SCEP)

108
Giao thức PKI
 PKCS#10
 PKCS#7
 Các chuẩn khác:
 PKCS#3 Diffie−Hellman Key Agreement Standard
 PKCS#5 Password−Based Cryptography Standard
 PKCS#6 Extended−Certificate Syntax Standard
 PKCS#7 Cryptographic Message Syntax Standard
 PKCS#8 Private Key Information Syntax Standard
 PKCS#9 Selected Attribute Types
 PKCS#10 Certification Request Syntax Standard
 PKCS#11 Cryptographic Token Interface Standard
 PKCS#12 Personal Information Exchange Syntax Standard

109
Ứng dụng PKI
 Với SSL/TLS
 Authentication of servers
 Authentication of clients
 Data encryption)
 S/MIME
 Mailing lists
 Security labels
 Key management flexibility
 Digitally signed receipts
 IPSec
 Authentication Header (AH)
 Encapsulated Security Payload (ESP)
 Internet Key Exchange (IKE)

110
Phần mềm
• Hệ thống quản lý chứng thực Red Hat
• Computer Associates eTrust PKI
• Entrust
• Microsoft
• US Government External Certificate Authority (ECA)
• Nexus
• OpenCA (Một mô hình PKI mã nguồn mở)
• RSA Security
• phpki
• GenCerti
• ejbca

111
Phần mềm
• newpki
• Papyrus CA Software
• pyCA
• IDX-PKI
• EuropePKI (not available)
• TinyCA
• ElyCA
• SimpleCA
• SeguriData
• Safelayer Secure Communications

Slide An toàn mạng nâng cao PTIT

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Slide An toàn mạng nâng cao PTIT

Similar to Slide An toàn mạng nâng cao PTIT (20)

More from NguynMinh294

More from NguynMinh294 (20)

Recently uploaded

Recently uploaded (11)

Slide An toàn mạng nâng cao PTIT