Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, cho các bạn làm luận văn tham khảo
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, cho các bạn làm luận văn tham khảo
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, cho các bạn làm luận văn tham khảo
Nhận viết luận văn đại học, thạc sĩ trọn gói, chất lượng, LH ZALO=>0909232620
Tham khảo dịch vụ, bảng giá tại: https://baocaothuctap.net
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và xây dựng giải pháp đảm bảo an toàn mạng LAN, cho các bạn làm luận văn tham khảo
Download luận văn bài tập tiểu luận với đề tài: Thiết kế hệ thống mạng máy tính, cho các bạn làm đề tài tham khảo
Nhận viết luận văn đại học, thạc sĩ trọn gói, chất lượng, LH ZALO=>0909232620
Tham khảo dịch vụ, bảng giá tại: https://baocaothuctap.net
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Xây dựng hệ thống giám sát mạng dựa trên phần mềm nguồn mở Zabbix, cho các bạn làm luận văn tham khảo
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPTMasterCode.vn
Mô tả những thách thức của việc bảo mật thông tin
Định nghĩa bảo mật thông tin và giải thích được lý do
khiến bảo mật thông tin trở nên quan trọng
Nhận diện các dạng tấn công phổ biến hiện nay
Liệt kê các bước cơ bản của một cuộc tấn công
Mô tả năm nguyên tắc phòng thủ cơ bản
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPTMasterCode.vn
Mô tả ba kiểu xác thực thông tin
Giải thích những gì mà mô hình đăng nhập đơn nhất có
thể thực hiện
3
Liệt kê các thủ tục quản lý tài khoản để bảo mật mật
khẩu
Định nghĩa các hệ điều hành được tin cậy
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, cho các bạn làm luận văn tham khảo
Nhận viết luận văn đại học, thạc sĩ trọn gói, chất lượng, LH ZALO=>0909232620
Tham khảo dịch vụ, bảng giá tại: https://baocaothuctap.net
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Nghiên cứu kỹ thuật tấn công mạng LAN và xây dựng giải pháp đảm bảo an toàn mạng LAN, cho các bạn làm luận văn tham khảo
Download luận văn bài tập tiểu luận với đề tài: Thiết kế hệ thống mạng máy tính, cho các bạn làm đề tài tham khảo
Nhận viết luận văn đại học, thạc sĩ trọn gói, chất lượng, LH ZALO=>0909232620
Tham khảo dịch vụ, bảng giá tại: https://baocaothuctap.net
Nhận viết luận văn Đại học , thạc sĩ - Zalo: 0917.193.864
Tham khảo bảng giá dịch vụ viết bài tại: vietbaocaothuctap.net
Download luận văn đồ án tốt nghiệp ngành công nghệ thông tin với đề tài: Xây dựng hệ thống giám sát mạng dựa trên phần mềm nguồn mở Zabbix, cho các bạn làm luận văn tham khảo
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPTMasterCode.vn
Mô tả những thách thức của việc bảo mật thông tin
Định nghĩa bảo mật thông tin và giải thích được lý do
khiến bảo mật thông tin trở nên quan trọng
Nhận diện các dạng tấn công phổ biến hiện nay
Liệt kê các bước cơ bản của một cuộc tấn công
Mô tả năm nguyên tắc phòng thủ cơ bản
Bài 7: Xác thực và quản lý tài khoản - Giáo trình FPTMasterCode.vn
Mô tả ba kiểu xác thực thông tin
Giải thích những gì mà mô hình đăng nhập đơn nhất có
thể thực hiện
3
Liệt kê các thủ tục quản lý tài khoản để bảo mật mật
khẩu
Định nghĩa các hệ điều hành được tin cậy
Để xem full tài liệu Xin vui long liên hệ page để được hỗ trợ
:
https://www.facebook.com/garmentspace/
https://www.facebook.com/thuvienluanvan01
HOẶC
https://www.facebook.com/thuvienluanvan01
https://www.facebook.com/thuvienluanvan01
tai lieu tong hop, thu vien luan van, luan van tong hop, do an chuyen nganh
GIÁO TRÌNH 2-TÀI LIỆU SỬA CHỮA BOARD MONO TỦ LẠNH MÁY GIẶT ĐIỀU HÒA.pdf
https://dienlanhbachkhoa.net.vn
Hotline/Zalo: 0338580000
Địa chỉ: Số 108 Trần Phú, Hà Đông, Hà Nội
GIAO TRINH TRIET HOC MAC - LENIN (Quoc gia).pdfLngHu10
Chương 1
KHÁI LUẬN VỀ TRIẾT HỌC VÀ TRIẾT HỌC MÁC - LÊNIN
A. MỤC TIÊU
1. Về kiến thức: Trang bị cho sinh viên những tri thức cơ bản về triết học nói chung,
những điều kiện ra đời của triết học Mác - Lênin. Đồng thời, giúp sinh viên nhận thức được
thực chất cuộc cách mạng trong triết học do
C. Mác và Ph. Ăngghen thực hiện và các giai đoạn hình thành, phát triển triết học Mác - Lênin;
vai trò của triết học Mác - Lênin trong đời sống xã hội và trong thời đại ngày nay.
2. Về kỹ năng: Giúp sinh viên biết vận dụng tri thức đã học làm cơ sở cho việc nhận
thức những nguyên lý cơ bản của triết học Mác - Lênin; biết đấu tranh chống lại những luận
điểm sai trái phủ nhận sự hình thành, phát triển triết học Mác - Lênin.
3. Về tư tưởng: Giúp sinh viên củng cố niềm tin vào bản chất khoa học và cách mạng
của chủ nghĩa Mác - Lênin nói chung và triết học Mác - Lênin nói riêng.
B. NỘI DUNG
I- TRIẾT HỌC VÀ VẤN ĐỀ CƠ BẢN CỦA TRIẾT HỌC
1. Khái lược về triết học
a) Nguồn gốc của triết học
Là một loại hình nhận thức đặc thù của con người, triết học ra đời ở cả phương Đông và
phương Tây gần như cùng một thời gian (khoảng từ thế kỷ VIII đến thế kỷ VI trước Công
nguyên) tại các trung tâm văn minh lớn của nhân loại thời cổ đại. Ý thức triết học xuất hiện
không ngẫu nhiên, mà có nguồn gốc thực tế từ tồn tại xã hội với một trình độ nhất định của
sự phát triển văn minh, văn hóa và khoa học. Con người, với kỳ vọng được đáp ứng nhu
cầu về nhận thức và hoạt động thực tiễn của mình đã sáng tạo ra những luận thuyết chung
nhất, có tính hệ thống, phản ánh thế giới xung quanh và thế giới của chính con người. Triết
học là dạng tri thức lý luận xuất hiện sớm nhất trong lịch sử các loại hình lý luận của nhân
loại.
Với tư cách là một hình thái ý thức xã hội, triết học có nguồn gốc nhận thức và nguồn
gốc xã hội.
* Nguồn gốc nhận thức
Nhận thức thế giới là một nhu cầu tự nhiên, khách quan của con người. Về mặt lịch
sử, tư duy huyền thoại và tín ngưỡng nguyên thủy là loại hình triết lý đầu tiên mà con
người dùng để giải thích thế giới bí ẩn xung quanh. Người nguyên thủy kết nối những hiểu
biết rời rạc, mơ hồ, phi lôgích... của mình trong các quan niệm đầy xúc cảm và hoang
tưởng thành những huyền thoại để giải thích mọi hiện tượng. Đỉnh cao của tư duy huyền
thoại và tín ngưỡng nguyên thủy là kho tàng những câu chuyện thần thoại và những tôn
9
giáo sơ khai như Tô tem giáo, Bái vật giáo, Saman giáo. Thời kỳ triết học ra đời cũng là
thời kỳ suy giảm và thu hẹp phạm vi của các loại hình tư duy huyền thoại và tôn giáo
nguyên thủy. Triết học chính là hình thức tư duy lý luận đầu tiên trong lịch sử tư tưởng
nhân loại thay thế được cho tư duy huyền thoại và tôn giáo.
Trong quá trình sống và cải biến thế giới, từng bước con người có kinh nghiệm và có
tri thức về thế giới. Ban đầu là những tri thức cụ thể, riêng lẻ, cảm tính. Cùng với sự tiến
bộ của sản xuất và đời sống, nhận thức của con người dần dần đạt đến trình độ cao hơn
trong việc giải thích thế giới một cách hệ thống
CÁC BIỆN PHÁP KỸ THUẬT AN TOÀN KHI XÃY RA HỎA HOẠN TRONG.pptxCNGTRC3
Cháy, nổ trong công nghiệp không chỉ gây ra thiệt hại về kinh tế, con người mà còn gây ra bất ổn, mất an ninh quốc gia và trật tự xã hội. Vì vậy phòng chông cháy nổ không chỉ là nhiệm vụ mà còn là trách nhiệm của cơ sở sản xuất, của mổi công dân và của toàn thể xã hội. Để hạn chế các vụ tai nạn do cháy, nổ xảy ra thì chúng ta cần phải đi tìm hiểu nguyên nhân gây ra các vụ cháy nố là như thế nào cũng như phải hiểu rõ các kiến thức cơ bản về nó từ đó chúng ta mới đi tìm ra được các biện pháp hữu hiệu nhất để phòng chống và sử lý sự cố cháy nổ.
Mục tiêu:
- Nêu rõ các nguy cơ xảy ra cháy, nổ trong công nghiệp và đời sống; nguyên nhân và các biện pháp đề phòng phòng;
- Sử dụng được vật liệu và phương tiện vào việc phòng cháy, chữa cháy;
- Thực hiện được việc cấp cứa khẩn cấp khi tai nạn xảy ra;
- Rèn luyện tính kỷ luật, kiên trì, cẩn thận, nghiêm túc, chủ động và tích cực sáng tạo trong học tập.
1. CHUYÊN ĐỀ AN NINH MẠNG
TS. Đặng Minh Tuấn,
tuanvietkey@gmail.com, 098-868-6636
- Trưởng Lab Blockchain / Học viện Công nghệ Bưu chính Viễn thông
- Phó chủ tịch CLB Fintec / Hiệp hội ngân hàng Việt Nam.
- Trưởng tiêu ban chuẩn quốc gia JTC1/SC35-User interface.
- Giám đốc QNET Blockchain Research Center.
- Nguyên là Đại tá, Phó giám đốc PTN Quốc gia về An toàn thông tin/ Phó
Giám đốc Trung tâm An toàn thông tin/Bộ tư lệnh tác chiến không gian mạng.
-
2. A. Kiểm soát an toàn vật lý
1. Giới thiệu về an toàn vật lý
An toàn vật lý (Physical Security) là việc bảo vệ phần cứng, hệ thống mạng, chương trình và dữ liệu
khỏi các mối nguy hiểm vật lý có thể gây ảnh hưởng đến hoạt động của hệ thống.
2. Các mối nguy hiểm vật lý
Hỏa hoạn và cháy nổ.
Nhiệt độ và độ ẩm.
Thiên tai: ngập lụt, bão, sấm chớp, động đất.
Hóa chất:
Mất điện.
Các phần tử phá hoại: nhân viên bên trong, kẻ trộm.
3. Kiểm soát an toàn vật lý
2
3. A. Kiểm soát an toàn vật lý
3. Kiểm soát an toàn vật lý
3.1 Quản lý hành chính (Administrative control)
3.1.1 Xem xét, đánh giá, lập kế hoạch
3.1.2 Địa điểm, thiết kế cơ sở
3.1.3 Bảo vệ dữ liệu
3.2 Quản lý truy cập vật lý (Physical access control)
3.2.1 Phạm vi bảo vê
3.2.2 Báo động xâm nhập
3.3. Quản lý con người
Chính sách : Các chính sách về mật khẩu, Các chính sách an ninh vật lý.
Nguyên tắc hoạt động : Đảm bảo an ninh thông tin nhạy cảm và ủy quyền sử dụng tài nguyên.
Phân quyền : Phân loại các thông tin tối mật, độc quyền, sử dụng nội bộ, sử dụng công cộng.
Đặc quyền truy cập : cần phải có quản trị viên, người sử dụng các tài khoản phải được ủy quyền.
Xác thực 2 thành phần : Thay vì mật khẩu cố định, sử dụng xác thực hai thành phần cho những dịch vụ
mạng có nguy cơ cao như VPN và Modem Pool.
Phòng thủ Anti-Virus/Anti-Phishing : sử dụng nhiều lớp để phòng chống virus.
Đổi Công tác quản lí : việc thay đổi quy trình quản lí tài liệu sẽ bảo mật hơn quá trình ad-hoc.
3
4. B. Phương pháp xác thực
1. Thẻ thông minh (Smart Cards)
1.1 Thẻ tiếp xúc
1.2. Thẻ không tiếp xúc (RFID (Radio Frequency Identification) ), NFC
2. Kiểm tra truy cập vật lý
3. Mật khẩu (Password & Pin)
4. Khóa (Public-key cryptography)
5. Sinh học (Biometrics)
4
5. C. Điều khiển truy cập
1. Định nghĩa điều khiển truy cập.
Một hệ thống điều khiển truy cập có thể được cấu thành từ 2 dịch vụ sau:
Xác thực (Authentication): Là quá trình xác minh tính chân thực của các thông tin định danh mà người dùng cung cấp.
Trao quyền (Authorization): Trao quyền xác định các tài nguyên mà người dùng được phép truy cập sau khi người dùng đã được xác
thực.
Điều khiển tuy nhập:
Xác định tính chân thực của người dùng.
Xác định thời gian mà người dùng được truy cập vào mạng.
Xác định trạm làm việc của người dùng.
Xác định người lạ mặt.
Ngày mạn hạn của khoản mục người dùng.
5
6. C. Điều khiển truy cập
2. Sự cần thiết của điều khiển truy cập.
2.1 Điều khiển truy cập với an toàn truy cập mạng
2.2 Điều khiển truy cập với an toàn hệ thống
2.3 Điều khiển truy cập với an toàn truy cập file và thư mục
3. Các mô hình điều khiển truy cập
3.1 Điều khiển truy cập bắt buộc – (Mandatory Access Control – MAC).
Được thiết lập cố định ở mức hệ thống, người sử dụng (bao gồm cả người tạo ra tài nguyên) không thay đổi được.
Khi mô hình điều khiển bắt buộc đã được thiết lập, nó có tác dụng đối với tất cả người dùng và tài nguyên trên hệ thống.
3.1 Điều khiển truy cập tùy ý - (Discretionary Access Control – DAC)
Đây là mô hình được sử dụng phổ biến nhất, xuất hiện trong hầu hết các hệ điều hành máy tính
Người chủ sở hữu của tài nguyên (owner) thường là người tạo ra tài nguyên đó hoặc người được gán quyền sở hữu, có toàn quyền điều
khiển việc truy xuất đến tài nguyên.
Quyền điều khiển truy xuất trên một tài nguyên có thể được chuyển từ đối tượng (user) này sang đối tượng (user) khác
6
7. C. Điều khiển truy cập
3. Các mô hình điều khiển truy cập
3.2 Điều khiển truy cập dựa trên vai trò - RBAC (Role Based Access Control – RBAC)
Quyền truy xuất được cấp dựa trên công việc của người dùng trong hệ thống (user’s role).
Linh động hơn mô hình điều khiển truy xuất bắt buộc, người quản trị hệ thống có thể cấu hình lại quyền truy xuất cho từng nhóm chức
năng hoặc thay đổi thành viên trong các nhóm.
Thực hiện đơn giản hơn mô hình điều khiển truy xuất tự do, không cần phải gán quyền truy xuất trực tiếp cho từng người dung.
7
8. Khái niệm tường lửa
Cơ cấu để bảo vệ một mạng máy tính chống lại sự truy nhập bất hợp pháp từ các (mạng) máy tính khác.
Firewall bao gồm các cơ cấu nhằm:
• Ngăn chặn truy nhập bất hợp pháp.
• Cho phép truy nhập sau khi đó kiểm tra tính xác thực của thực thể yêu cầu truy nhập.
1.1. Firewall làm được những gì
Chống lại những kẻ đột nhập qua khả năng ngăn chặn những phiên làm việc từ xa (remote login).
Chặn thông tin từ bên ngoài (Internet) vào, cho phép người sử dụng hợp pháp được truy nhập tự do
mạng bên ngoài.
Có thể phục vụ như một công cụ theo dõi các cuộc tấn công.
1.2. Firewall không làm được những gì
Không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không “đi qua” nó.
Không thể chống lại các cuộc tấn công bằng dữ liệu (data–drivent attack).
Không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó.
8
9. 2- Các thành phần của Firewall
2.1. Bộ lọc gói (Packet Filter)
2.1.1. Nguyên lý hoạt động: Bộ lọc gói cho phép hay từ chối mỗi Packet mà nó nhận được theo bộ luật.
Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những giao thức truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP (ICMP message type)
Giao diện Packet đến (Incomming interface of Packet)
Giao diện Packet đi (Outcomming interface of Packet)
2.1.2. Ưu điểm và hạn chế của hệ thống Firewall sử dụng bộ lọc gói
Đa số các hệ thống Firewall đều sử dụng bộ lọc gói.
Chi phí thấp vì cơ chế lọc gói đã được bao gồm trong mỗi phần mềm Router.
Trong suốt đối với người sử dụng và các ứng dụng, vì vậy nó không yêu cầu sự huấn luyện đặc biệt.
2.1.3 Hạn chế của hệ thống Firewall sử dụng bộ lọc gói
9
10. 2- Các thành phần của Firewall
2.1. Bộ lọc gói (Packet Filter)
2.1.3 Hạn chế của hệ thống Firewall sử dụng bộ lọc gói
Việc định nghĩa các chế độ lọc gói là một việc khá phức tạp.
Khi đòi hỏi vể sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển.
Không kiểm soát được nội dung thông tin của Packet.
Các Packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ
xấu.
2.2. Cổng ứng dụng (Application–Level Gateway)
2.2.1. Nguyên lý hoạt động
Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy Service (dịch vụ đại diện).
Một cổng ứng dụng thường được coi như là một pháo đài (Bastion Host), luôn chạy các version an toàn (secure
version) của các phần mềm hệ thống (Operating system).
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên Bastion Host, có ghi logfile.
Bastion Host có thể yêu cầu nhiều mức độ xác thực khác nhau, Ví Dụ như user password hay smart card.
2.2.2. Ưu điểm và hạn chế
10
11. 2- Các thành phần của Firewall
2.2. Cổng ứng dụng (Application–Level Gateway)
2.2.2. Ưu điểm và hạn chế
Hoàn toàn điều khiển được từng dịch vụ trên mạng,
Cổng ứng dụng cho phép kiểm tra độ xác thực rất cao, và có nhật ký ghi chép lại thông tin về truy nhập hệ thống.
Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra hơn so với bộ lọc gói.
11
12. 2- Các thành phần của Firewall
2.3. Cổng vòng (Circuit–Level Gateway)
Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất kỳ một hành động
xử lý hay lọc gói nào.
Ưu điểm lớn nhất là một Bastion Host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng
dụng cho những kết nối đến, và cổng vòng cho các kết nối đi.
12
13. 3- Phân loại firewall
3.1.1. Firewall phần cứng
Firewall phần cứng cung cấp mức độ bảo vệ cao hơn so với Firewall phần mềm và dễ bảo trì hơn.
Không chiếm dụng tài nguyên hệ thống trên máy tính như Firewall phần mềm.
Đỡ tốn chi phí hơn so với Firewall phần mềm thường phải cài trên mọi máy tính cá nhân trong mạng.
Firewall phần cứng có thể kể tới Linksys, NetGear, Cisco. Tính năng Firewall phần cứng do các công
ty này cung cấp thường được tích hợp sẵn trong các bộ định tuyến dùng cho mạng của các doanh
nghiệp nhỏ và mạng gia đình.
3.1.2. Firewall phần mềm
13
14. 4-Chức năng và nhiệm vụ của tường lửa
4.1. Chức năng của tường lửa:
Tường lửa quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài,
những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong và cả những dịch vụ nào
bên ngoài được phép truy cập bởi những người bên trong:
Kiểm soát người dùng và việc truy cập người dung bằng nhiều cơ cấu xác thực khác nhau.
Quản lý và kiểm soát luồng dữ liệu trên mạng: kiểm tra các gói tin và giám sát các kết nối.
Kiểm soát nội dung thông tin, gói tin lưu chuyển trên hệ thống mạng.
Cho phép hoặc cấm các dịch vụ truy cập ra ngoài.
Cho phép hoặc cấm các dịch vụ từ ngoài truy cập vào trong.
Firewall hoạt động như một proxy trung gian.
Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số cổng (Port), giao thức.
Ghi nhận và báo cáo sự kiện: Firewall sử dụng hai phương pháp là syslog và proprietaty logging format.
Chặn một số ứng dụng mà bạn muốn: Ví dụ như: Skype, Zalo, Facebook Messenger,…
Cân bằng tải: Có thể sử dụng nhiều đường truyền internet cùng một lúc,
14
15. Các kiến trúc của tường lửa
5.1.1. Kiến trúc Dual – homed Host
Dual–homed Host là một máy tính có hai giao tiếp mạng: một nối với mạng cục bộ và một nối với
mạng ngoài.
Cài đặt dễ dàng, không yêu cầu phần cứng hoặc phần mềm đặc biệt.
Không đáp ứng được những yêu cầu bảo mật ngày càng phức tạp.
Không có khả năng chống đỡ những cuộc tấn công nhằm vào chính bản thân nó, và khi Dual–homed
Host đó bị đột nhập, nó sẽ trở thành đầu cầu lý tưởng để tấn công vào mạng nội bộ.
15
16. Các kiến trúc của tường lửa
5.1.2. Kiến trúc Screened Host
Kiến trúc này kết hợp 2 kỹ thuật đó là Packet Filtering và Proxy Services.
Proxy Service: Bastion Host sẽ chứa các Proxy Server để phục vụ một số dịch vụ hệ thống cung cấp
cho người sử dụng qua Proxy Server.
Screened Host: Đã tách chức năng lọc các gói IP và các Proxy Server ở hai máy riêng biệt.
Cũng như kiến trúc trước, kiến trúc này không chống đỡ được khi bị tấn công vào chính nó.
16
17. Các kiến trúc của tường lửa
5.1.3. Kiến trúc Screened Subnet
Host
Hệ thống này bao gồm hai Packet–Filtering
Router và một Bastion Host.
Network và Application trong khi định nghĩa
một mạng perimeter network. Mạng trung
gian (DMZ) đóng vai trò như một mạng nhỏ,
cô lập đặt giữa Internet và mạng nội bộ.
Kẻ tấn công cần phá vỡ ba tầng bảo vệ:
Router ngoài, Bastion Host và Router trong.
Bởi vì Router ngoài chỉ quảng bá DMZ
Network tới Internet, hệ thống mạng nội bộ
là không thể nhìn thấy (invisible).
Chỉ có một số hệ thống đã được chọn ra trên
DMZ là được biết đến bởi Internet qua
routing table và DNS information exchange.
Điều nay đảm bảo rằng những user bên trong
bắt buộc phải truy nhập Internet qua dịch vụ
Proxy.
17
18. Các kiến trúc của tường lửa
5.1.4. Sử dụng nhiều Bastion Host
Do các yêu cầu về tốc độ đáp ứng (performance) và dư thừa (redundancy), cũng như tách biệt các
Servers khác nhau.
Sử dụng 1 Bastion Host cung cấp những dịch vụ cho người sử dụng bên trong (internal user), như dịch
vụ SNMP Server, Proxy Servers …
Sử dụng 1 Bastion Host khác cung cấp dịch vụ cho Internet hoặc những người sử dụng bên ngoài
(external user) sẽ sử dụng. Như là Anonymous FTP Server mà Server này những người sử dụng bên
trong (local users) không truy xuất đến.
Sử dụng nhiều Bastion Host cho các Server khác nhau để khi mà một Server nào đó bị đột nhập vào
hay bị hỏng thì Server khác vẫn hoạt động tốt
18
19. Các kiến trúc của tường lửa
5.1.5. Kiến trúc ghép chung Router trong (Interior Router) và Router ngoài
(Exterior Router)
Kiến trúc này cũng gần giống với Screened Subnet nhưng exterior Router và interior Router được ghép
chung nên nó giảm đi số lớp bảo vệ.
19
20. Các kiến trúc của tường lửa
5.1.6. Kiến trúc ghép chung Bastion Host và Router ngoài (Exterior Router)
Kiến trúc ghép chung Bastion Host và Router ngoài (Exterior Router) này gần giống với Screened
Subnet.
Nó cho tốc độ đáp ứng thường thấp nhưng mà vẫn có thể chấp nhận được do tốc độ đường truyền thấp,
chức năng lọc của Router ngoài ít, chức năng lọc gói chủ yếu là Router trong.
20
21. MẠNG RIÊNG ẢO (VPN)
1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO
2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO
3: CÁC GIAO THỨC MẠNG RIÊNG ẢO
21
22. 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1.1. Giới thiệu sơ lược về mạng riêng ảo (VPN)
1.2. Đặc điểm của VPN
1.3. Phân loại VPN
22
23. 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO (1/5)
1.1. Giới thiệu sơ lược về mạng riêng ảo (VPN)
Mạng riêng ảo (Virtual Private Network - VPN) là mạng sử dụng mạng công
cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ
sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và
kiểm soát được truy nhập.
23
24. 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO (2/5)
1.2. Đặc điểm của VPN
Mục đích của VPN
Cung cấp mạng riêng cho doanh nghiệp giúp hỗ trợ việc truy cập mạng riêng
của công ty mà vẫn đảm bảo an toàn.
Lợi ích của VPN
+ Giảm chi phí đường truyền.
+ Giảm chi phí đầu tư.
+ Giảm chi phí quản lý và hỗ trợ.
+ Truy cập mọi lúc mọi nơi.
Chức năng của VPN: cung cấp kênh truyền riêng và đảm bảo an toàn bảo
mật truyền tin, đảm bảo: tính xác thực, tính toàn vẹn, tính bảo mật.
24
25. 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO (3/5)
1.3. Phân loại VPN
25
• VPN phần mềm: Windows, OpenVPN, OpenSwan…
• VPN phần cứng:
• Cisco Systems Gigabit Dual WAN VPN.
• Zyxel Next Generation VPN Firewall.
• GL.iNet GL-AR150 Mini Travel Router & VPN
• Dell Sonicwall TZ300 VPN
26. 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO (3/5)
1.3. Phân loại VPN
26
27. 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO (3/5)
1.3. Phân loại VPN
1.3.1. Remote Access VPN (VPN truy nhập từ xa)
Cho phép người dùng di động (Mobile users, TeleWorkers) có thế truy cập tài nguyên
mạng nội bộ từ bất kì đâu
27
28. 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO (4/5)
1.3. Phân loại VPN
1.3.2. Site-to-Site VPN (VPN điểm tới điểm)
Cho phép các client của các chi nhánh có thế trao đổi dữ liệu với nhau một cách dễ dàng
Intranet VPN: Được sử dụng để liên kết trao đổi tài nguyên giữa các chi nhánh khác nhau
của một công ty, tổ chức.
Extranet VPN: Cho phép truy nhập những tài nguyên mạng cần thiết kế của các đối tác
kinh doanh.
28
29. 2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO
2.1. Các thành phần của VPN
2.2. Định dạng gói dữ liệu VPN
2.3. Cơ chế hoạt động của VPN
29
30. 2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO (1/7)
2.1. Các thành phần của VPN
Để có thể thiết lập hoàn chỉnh một tunnel giữa hai nút thông tin đầu cuối, tunneling
đưa ra 4 thành phần yêu cầu sau :
Mạng đích (Target network): Là mạng trong đó chứa các dữ liệu tài nguyên mà
người dùng từ xa cần truy cập để sử dụng.
Nút khởi tạo (Initiator node): Người dùng khách hoặc máy chủ khởi tạo phiên
VPN. Nút khởi tạo có thể là một phần của mạng cục bộ hoặc có thể là người dùng.
HA (Home Agent): Chương trình thường trú tại các nút mạng (router) trong
mạng đích. HA nhận và xác nhận những yêu cầu gửi đến để xác thực chúng từ
những host đã được ủy quyền. Khi xác nhận thành công nút khởi tạo, HA cho
phép thiết lập tunnel.
FA (Foreign Agent): Chương trình thường trú tại các nút khởi tạo hoặc ở nút
truy cập (router) của mạng khởi tạo. Các nút khởi tạo dùng FA để yêu cầu một
phiên VPN từ HA ở mạng đích.
30
31. 2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO (2/7)
2.2. Định dạng gói dữ liệu VPN
31
32. 2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO (3/7)
2.2. Định dạng gói dữ liệu VPN
Routing Protocol Header :Phần đầu chứa địa chỉ nguồn (FA) và đích (HA)
Tunnel packet header: Phần đầu này chứa 5 phần sau:
+ Protocol type: Trường này chỉ ra loại giao thức của gói dữ liệu nguyên gốc (hoặc pay-load).
+ Kiểm tra tổng (Checksum). Phần này chứa thông tin kiểm tra tổng quát liệu gói dữ liệu có
bị mất mát trong suốt qua trình giao dịch.
+ Khóa (Key): Thông tin này được dùng để nhận dạng hoặc xác nhận nguồn thực của dữ liệu
(bộ khởi tạo).
+ Số tuần tự (Sequence number): Trường này chứa đựng 1 con số mà chỉ ra số tuần tự của
gói dữ liệu trong một loạt các gói dữ liệu đã và đang trao đổi.
+ Source routing: Trường này chứa đựng thêm thông tin định tuyến.
Payload. Gói dữ liệu nguyên gốc được gửi đến FA bởi bộ khởi tạo. Nó cũng chứa đựng
phần đầu nguyên gốc.
32
33. 2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO (4/7)
2.3. Cơ chế hoạt động của VPN
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng
trên nền Internet.
Hoạt động của VPN chia làm 2 giai đoạn:
Giai đoạn 1: Thiết lập tunnel
Giai đoạn 2: Truyền dữ liệu
33
34. 2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO (5/7)
2.3. Cơ chế hoạt động của VPN
Giai đoạn 1: Thiết lập tunnel
+ Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng.
+ FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu được
cung cấp bởi người dùng
+ Nếu tên truy cập và mật khẩu cung cấp bởi người dùng không hợp lệ, yêu
cầu phiên làm việc VPN bị từ chối. Ngược lại, nếu quá trình xác nhận sự
thống nhất của FA thành công, nó sẽ chuyển yêu cầu đến mạng đích HA.
34
35. 2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO (6/7)
2.3. Cơ chế hoạt động của VPN
Giai đoạn 1: Thiết lập tunnel
+ Nếu yêu cầu được HA chấp nhận, FA gửi login ID đã được mã hóa và mật
khẩu tương ứng đến nó.
+ HA kiểm chứng thông tin đã được cung cấp. Nếu quá trình kiểm chứng
thành công, HA gửi những Register Reply, phụ thuộc vào một số tunnel
đến FA.
+ Một tunnel được thiết lập khi FA nhận Register Reply và số tunnel
35
36. 2: CƠ CHẾ HOẠT ĐỘNG CỦA MẠNG RIÊNG ẢO (7/7)
2.3. Cơ chế hoạt động của VPN
Giai đoạn 2: Truyền dữ liệu
+ Nút khởi tạo bắt đầu chuyển các gói dữ liệu đến FA.
+ FA tạo tunnel header và chèn nó vào từng gói dữ liệu. Thông tin header của
giao thức định tuyến (được đàm phán trong giai đoạn I) sau đó được gắn
vào gói dữ liệu.
+ FA chuyển các gói dữ liệu đã mã hóa đến HA bằng cách sử dụng tunnel
number đã được cung cấp.
+ Trong quá trình nhận thông tin mã hóa, ha gỏ̃ bỏ tunnel header và header
của giao thức định tuyến, đưa gói dữ liệu trở về dạng nguyên bản của nó.
+ Dữ liệu nguyên gốc sau đó được chuyển hướng đến nút mong muốn cần đến
trong mạng.
36
37. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO
3.1. Giao thức IPSec
3.2. Giao thức PPTP
3.3. Giao thức L2TP
37
38. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (1/16)
3.1. Giao thức IPSec
3.1.1. Khái quát về IPSec
- Internet Protocol Security (IPSec) là một bộ giao thức mạng bảo mật ma
việc xác thực và mã hóa các gói dữ liệu được gửi qua mạng IP.
- Giao thức IPSec được chuẩn hoá vào năm 1995, IPSec định nghĩa 2 loại tiêu
đề cho các gói tin IP để điều khiển quá trình xác thực và mã hoá:
Xác thực tiêu đề IP-AH
Bọc gói bảo mật tải ESP
- IPSec VPN cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp mạng
(Network Layer) theo mô hình OSI
38
39. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (2/16)
3.1. Giao thức IPSec
3.1.2. Đặc điểm cơ bản của IPSec
Kết hợp bảo mật SA (Security Association)
Xác thực tiêu đề AH (Authentication Header)
Bọc gói bảo mật tải ESP (Encapsulation Security Payload)
Chế độ làm việc
39
42. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (2/16)
42
3.1. Giao thức IPSec
- RFC 2367: PF_KEY Interface.
- RFC 2401: Security Architecture for the Internet Protocol (IPsec overview), hiện đã được thay thế bởi RFC
4301.
- RFC 2403: The Use of HMAC-MD5-96 within ESP and AH.
- RFC 2404: The Use of HMAC-SHA-1-96 within ESP and AH.
- RFC 2405: The ESP DES-CBC Cipher Algorithm With Explicit IV.
- RFC 2409: The Internet Key Exchange.
- RFC 2410: The NULL Encryption Algorithm and Its Use With Ipsec.
- RFC 2411: IP Security Document Roadmap.
- RFC 2412: The OAKLEY Key Determination Protocol.
- RFC 2451: The ESP CBC-Mode Cipher Algorithms.
- RFC 2857: The Use of HMAC-RIPEMD-160-96 within ESP and AH.
- RFC 3526: More Modular Exponential (MODP) Diffie-Hellman groups for Internet Key Exchange (IKE).
43. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (2/16)
43
3.1. Giao thức IPSec
- RFC 3706: A Traffic-Based Method of Detecting Dead Internet Key Exchange (IKE) Peers.
- RFC 3715: IPsec-Network Address Translation (NAT) Compatibility Requirements.
- RFC 3947: Negotiation of NAT-Traversal in the IKE.
- RFC 3948: UDP Encapsulation of IPsec ESP Packets.
- RFC 4106: The Use of Galois/Counter Mode (GCM) in IPsec Encapsulating Security Payload (ESP).
- RFC 4301: Security Architecture for the Internet Protocol.
- RFC 4302: IP Authentication Header.
- RFC 4303: IP Encapsulating Security Payload.
- RFC 4304: Extended Sequence Number (ESN) Addendum to IPsec Domain of Interpretation (DOI) for Internet
Security Association and Key Management Protocol (ISAKMP).
- RFC 4306: Internet Key Exchange (IKEv2) Protocol.
- RFC 4307: Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2)
- RFC 4308: Cryptographic Suites for IPsec
44. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (2/16)
44
3.1. Giao thức IPSec
- RFC 4309: Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload
(ESP).
- RFC 4478: Repeated Authentication in Internet Key Exchange (IKEv2) Protocol.
- RFC 4543: The Use of Galois Message Authentication Code (GMAC) in IPsec ESP and AH.
- RFC 4555: IKEv2 Mobility and Multihoming Protocol (MOBIKE).
- RFC 4621: Design of the IKEv2 Mobility and Multihoming (MOBIKE) Protocol.
- RFC 4718: IKEv2 Clarifications and Implementation Guidelines.
- RFC 4806: Online Certificate Status Protocol (OCSP) Extensions to IKEv2.
- RFC 4809: Requirements for an IPsec Certificate Management Profile.
- RFC 4835: Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP)
and Authentication Header (AH).
- RFC 4945: The Internet IP Security PKI Profile of IKEv1/ISAKMP, IKEv2, and PKIX.
46. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (3/16)
3.1. Giao thức IPSec
3.1.2. Đặc điểm cơ bản của IPSec
Kết hợp bảo mật SA (Security Association)
- Để hai bên có thể truyền và nhận dữ liệu đã được bảo mật, cả bên truyền và nhận
phải cùng thống nhất sử dụng giải thuật mã hoá và phương pháp quản lý và
chuyển khoá.
- Một IPSec SA mô tả các vấn đề sau:
Thuật giải xác thực sử dụng cho AH và khoá của nó.
Thuật giải mã hoá ESP và khoá của nó.
Dạng thức và kích thước của bộ mã sử dụng trong thuật giải mã hoá.
Giao thức, thuật giải mã hoá, khoá sử dụng cho việc truyền thông.
Thời gian sống của khoá của SA.
Địa chỉ nguồn của SA.
46
47. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (4/16)
3.1. Giao thức IPSec
3.1.2. Đặc điểm cơ bản của IPSec
47
48. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (4/16)
3.1. Giao thức IPSec
3.1.2. Đặc điểm cơ bản của IPSec
Xác thực tiêu đề AH (Authentication Header)
- Xác thực tiêu đề AH trong hệ thống IPSec được chèn vào giữa tiêu đề IP và nội
dung, không làm thay đổi nội dung của gói dữ liệu.
- Xác thực tiêu đều AH gồm 5 trường: trường tiêu đề kế tiếp (Next Header Field),
chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter
Index), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data).
48
49. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (4/16)
3.1. Giao thức IPSec
3.1.2. Đặc điểm cơ bản của IPSec
Xác thực tiêu đề AH (Authentication Header)
49
51. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (5/16)
3.1. Giao thức IPSec
3.1.2. Đặc điểm cơ bản của IPSec
Bọc gói bảo mật tải ESP (Encapsulation Security Payload)
- Bọc gói bảo mật tải ESP có nhiệm vụ mã hoá dữ liệu, nên nội dung của gói sẽ bị thay
đổi.
- ESP gồm các SPI để chỉ cho bên nhận biết cơ chế bảo mật thích hợp cho việc xử lý
gói tin. Số tuần tự trong ESP là bộ đếm tăng mỗi khi gói được gửi đến cùng một địa
chỉ
51
52. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (5/16)
3.1. Giao thức IPSec
3.1.2. Đặc điểm cơ bản của IPSec
Bọc gói bảo mật tải ESP (Encapsulation Security Payload)
52
53. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (5/16)
3.1. Giao thức IPSec
3.1.2. Đặc điểm cơ bản của IPSec
Bọc gói bảo mật tải ESP (Encapsulation Security Payload)
53
54. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (6/16)
3.1. Giao thức IPSec
3.1.2. Đặc điểm cơ bản của IPSec
Chế độ làm việc: Có hai chế độ làm
việc trong IPSec:
- Chế độ giao vận (Transport Mode):
Chỉ có đoạn trong lớp giao vận trong gói
là được xử lý.
- Chế độ đường hầm (Tunnel Mode):
Toàn bộ gói sẽ được xử lý cho mã hoá xác
thực.
54
55. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3. Sử dụng IPSec trong VPN
- Có 3 nơi trang bị phần mềm IPSEC: cổng nối bảo mật, client di động (mobile
client) và các host.
- Không phải tất cả các thiết bị đều cần phải cài phần mềm IPSEC mà tuỳ theo
yêu cầu thiết kế mạng.
55
56. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3. Giao thức IKE (Internet Key Exchange (IKE))
56
• Giao thức IKE là chân thứ 3 trong bộ kiềng IPSec.
• Nó xử lý các vấn đề liên quan đến việc quản lý khóa bằng cách giao tiếp với các SA giữa các
điểm.
• IKE được mô tả trong RFC 2409 [Harkins and Carrel 1998].
• Ý tưởng chính của IKE là: các điểm thực hiện cơ chế trao đổi khóa Diffie-Hellman để có khóa bí
mật chia sẻ mà các điểm này sẽ sử dụng khóa này để sinh ra các bộ khóa được dùng cho mã hóa
và xác thực.
• IKE phải tự bảo vệ được mình trước các tấn công DoS (denial of service), tấn công gửi lại (replay
attack), và các tấn công khác như man-in-the-middle attack.
57. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
57
• ISAKMP Cookies
• Chống tấn công DOS và replay, trước các tính toán Diffie-Hellman.
• Hạn chế sử dụng, chỉ được sử dụng 1 lần, có nghĩa là các cookie cũ không
thể được sử dụng, điều này ngăn chặn các tấn công lặp lại (replayed).
• Điều này thường được thực hiện bằng cách làm cho các cookie phụ thuộc
vào thời gian khởi tạo.
• CKY = HASH(src||dst||ts||secret)
58. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
58
59. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
59
60. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
60
61. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
61
• DOI cho IPSec có giá
trị là 1. Giá trị 0 biểu
thị pha 1 tổng quát
của ISAKMP SA mà
có thể được sử dụng
cho giao thức bất kỳ ở
pha 2.
62. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
62
63. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
63
64. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
64
65. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key
Management Protocol)
65
66. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key
Management Protocol)
66
67. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
67
68. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
68
69. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
69
70. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3.ISAKMP (Internet Security Association and Key Management
Protocol)
70
71. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3. Giao thức IKE (Internet Key Exchange (IKE))
71
• Giao thức IKE là chân thứ 3 trong bộ
kiềng IPSec.
• Nó xử lý các vấn đề liên quan đến việc
quản lý khóa bằng cách giao tiếp với các
SA giữa các điểm.
• IKE được mô tả trong RFC 2409
[Harkins and Carrel 1998].
72. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3. Giao thức IKE (Internet Key Exchange (IKE))
72
73. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3. Giao thức IKE (Internet Key Exchange (IKE))
73
• SKEYIDd = prf (SKEYID, gx
i
x
r||CKYi||CKYr||0)
K1 = prf (SKEYIDe, 0)
K2 = prf (SKEYIDe, K1)
. . .
Kn = prf (SKEYIDe, Kn-1)
K = K1||K2|| . . . ||Kn
74. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3. Giao thức IKE (Internet Key Exchange (IKE))
74
SKEYID = prf (shared_secret, body(NONCEi)||body(NONCEr))
HASHi = prf(SKEYID, gx
i||gx
r||CKYi||CKYr||body(SAi)||body(IDi))
HASHr = prf(SKEYID, gx
r||gx
i||CKYr||CKYi||body(SAi)||body(IDr))
75. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3. Giao thức IKE (Internet Key Exchange (IKE))
75
76. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (7/16)
3.1. Giao thức IPSec
3.1.3. Giao thức IKE (Internet Key Exchange (IKE))
76
77. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (8/16)
3.2. Giao thức PPTP
3.2.1. Khái quát về PPTP
- Giao thức định hướng đường hầm PPTP (Point-to-Point Tunneling Protocol) là
giao thức được dùng để truyền dữ liệu qua các hầm (Tunnel) giữa 2 tầng traffic
trong Internet.
- Ý tưởng cơ bản của giao thức này là tách các chức năng chung và riêng của
truy cập từ xa, lợi dụng lợi ích của các cơ sở hạ tầng Internet sẵn có để tạo kết
nối bảo mật giữa client và mạng riêng.
- Người dùng từ xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa
phương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ
77
78. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (9/16)
3.2. Giao thức PPTP
3.2.2. Đặc điểm cơ bản của PPTP
PPTP có thể truyền trong đường hầm bằng nhiều giao thức khác nhau trong
khi IPSec chỉ làm việc với IP.
PPTP được thiết kế để hoạt động ở tầng liên kết dữ liệu DataLink. Trong khi
IPSec chạy ở tầng Network.
78
79. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (10/16)
3.2. Giao thức PPTP
3.2.3. Dạng thức của PPTP
PPTP dựa trên PPP (Point to Point Protocol ) để tạo ra kết nối quay số giữa khách
hàng và máy chủ truy cập mạng. Sau khi PPP thiết lập kết nối, PPTP sử dụng các
quy luật đóng gói của PPP để đóng gói các gói dữ liệu truyền trong đường hầm.
PPTP định nghĩa 2 loại gói: gói điều khiển và gói dữ liệu, gán chúng vào 2 kênh
riêng. Sau đó PPTP phân tách các kênh điều khiển và kênh dữ liệu thành luồng
điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP.
Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sử dụng để
chuyển thông báo điều khiển
79
80. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (11/16)
3.2. Giao thức PPTP
3.2.3. Dạng thức của PPTP
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client
PTP và máy chủ PPTP.
Phần mềm client có thể nằm người dùng thừ xa hay nằm ở tại máy chủ ISP.
Sau khi đường hầm được thiết lập dữ liệu của người dùng được truyền từ
client đến máy chủ PPTP.
80
81. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (12/16)
3.2. Giao thức PPTP
3.2.4. Đường hầm
PPTP cho phép người dùng và các ISP có thể tạo ra nhiều loại đường hầm
khác nhau.
Người dùng có thể chỉ định điểm kết thúc của đường hầm ngay tại máy
của mình nếu như có cài các client PTP, hay tại máy chủ ISP nếu như máy
tính của họ chỉ có PPP mà không có PPTP.
Các đường hầm có thể chia làm hai loại tự nguyện và bắt buộc.
81
82. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (13/16)
3.2. Giao thức PPTP
3.2.4. Đường hầm
Đường hầm tự nguyện được
tạo ra theo yêu cầu của người
dùng cho mục đích xác định.
Đường hầm bắt buộc tạo ra không thông
qua người dùng nên nó trong suốt đối người
dùng đầu cuối. Điểm kết thúc của đường hầm
bắt buộc nằm ở máy chủ truy cập từ xa.
82
83. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (14/16)
3.2. Giao thức PPTP
3.2.5. Sử dụng PPTP trong VPN
Đặc điểm chủ yếu nhất của giao thức PPTP là cung cấp phương thức quay số
truy cập bảo mật vào VPN và định nghĩa điểm kết thúc của đường hầm, một
trong các điểm kết thúc này có thể nằm ở thiết bị của nhà cung cấp dịch vụ
Internet nên để cấu hình được phải có sự hợp tác giữa ISP và người quản lý
mạng trong việc xác thực người dùng
83
84. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (15/16)
3.3. Giao thức L2TP
3.3.1. Khái quát về L2TP
Giao thức định hướng đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) là
sự kết hợp giữa 2 giao PPTP và L2F (Layer 2 Forwarding) do vậy L2TP kế thừa
các đặc tính của cả PPTP và L2F.
3.3.2. Đặc điểm của L2TP
L2TP được thiết kế để hoạt động ở tầng liên kết dữ liệu DataLink.
L2TP có thể truyền trong đường hầm bằng nhiều giao thức khác nhau.
Microsoft có kế hoạch hỗ trợ L2TP trong Window NT và Window 98.
84
85. 3: CÁC GIAO THỨC MẠNG RIÊNG ẢO (16/16)
3.3. Giao thức L2TP
3.3.3. Khái quát về L2TP
L2TP dựa trên PPP để tạo kết nối quay số giữa và máy chủ truy cập NAS.
L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực đầu, tạo gói
dữ liệu PPP và đóng kết nối khi hết phiên làm việc.
Sau khi PPP tạo kết nối xong, L2TP sẽ xác định NAS tại site chính có chấp nhận
người dùng và sẵn sàng đóng vai trò là điểm kết thúc đường hầm cho người dùng
đó. Sau khi đường hầm được tạo, L2TP sẽ đóng các gói PPP rồi truyền lên môi
trường mà ISP đã gán cho đường hầm đó.
L2TP tạo đường hầm giữa NAS của ISP và máy chủ mạng của Client, nó có thể gán
nhiều phiên làm việc cho đường hầm. L2TP tạo ra các số nhận dạng cuộc gọi Call
ID cho mỗi phiên làm việc và chèn Call ID vào tiêu đề L2TP của mỗi gói để chỉ ra nó
thuộc phiên làm việc nào.
85
86. 4: HONEYPOT
4.1. Tổng quan
Honeypots là một hệ thống tài nguyên thông tin được xây dựng với mục đích:
Giả lập đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp,
Thu hút sự chú ý của chúng,
Ngăn không cho chúng tiếp xúc với hệ thống thật.
Chức năng:
Kiểm soát dữ liệu,
Bắt dữ liệu
Phân tích chúng.
86
87. 4: HONEYPOT
4.1. Tổng quan
Vị trí đặt Honeypot
External Placement (đặt ở vùng ngoài).
Internal Placement (đặt ở vùng trong).
DMZ Placement (đặt ở vùng DMZ)
87
89. 4: HONEYPOT
4.2. Các loại Honeypot
89
Tương tác thấp (Low Interaction):
Mô phỏng giả lập các dịch vụ, ứng dụng, và hệ điều hành.
Mức độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.
Tương tác cao (High Interaction):
Là các dịch vụ, ứng dụng và hệ điều hành thực.
Mức độ thông tin thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận
hành và bảo dưỡng
90. 4: HONEYPOT
4.2. Các loại Honeypot
90
BackOfficer Friendly (BOF)
Một loại hình Honeypots tương tác thấp rất dễ vận hành và cấu hình và có thể
hoạt động trên bất kỳ phiên bản nào của Windows và Unix nhưng chỉ tương
tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…
Specter:
Cũng là loại hình Honeypots tương tác thấp nhưng khả năng tương tác tốt
hơn BOF, giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa. Tuy nhiên
giống BOF thì specter bị giới hạn số dịch vụ và cũng không linh hoạt.
91. 4: HONEYPOT
4.2. Các loại Honeypot
91
Honeyd
Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô phỏng
được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công, tương
tác với kẻ tấn công với vai trò một hệ thống nạn nhân.
Honeyd có thể giả lập cùng một lúc nhiều hệ điều hành khác nhau.
Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473 hệ
điều hành.
Honeyd là loại hình Honeypots tương tác thấp có nhiều ưu điểm tuy nhiên
Honeyd có nhược điểm là không thể cung cấp một hệ điều hành thật để tương
tác với tin tặc và không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm
nhập hay gặp nguy hiểm
92. 4: HONEYPOT
4.2. Các loại Honeypot
92
Honeynet
Honeynet là hình thức Honeypots tương tác cao. Khác với các Honeypots,
Honeynet là một hệ thống thật, hoàn toàn giống một mạng làm việc bình
thường. Honeynet cung cấp các hệ thống, ứng dụng, các dịch vụ thật.
Quan trọng nhất khi xây dựng một honeynet chính là honeywall. Honeywall là
gateway ở giữa Honeypots và mạng bên ngoài. Nó hoạt động ở tầng 2 như là
Bridged Các luồng dữ liệu khi vào và ra từ Honeypots đều phải đi qua
honeywall.
93. 2.2 Hạ tầng khóa công khai PKI
93
Định nghĩa PKI (Public key Infrastructure):
Là một framework (hạ tầng) gồm phần cứng, phần mềm, chính sách thủ tục
nhằm cung cấp:
Chính sách về security
Các cơ chế mã hóa
Các ứng dụng tạo, quản lý, lưu trữ khóa và chứng thư số (digital
certificate).
94. 2.2 Hạ tầng khóa công khai PKI
94
Các thành phần của một hạ tầng cơ sở khóa công khai
• Thực thể cuối (End Entity – EE)
• Tổ chức quản lý chứng thư (Certificate Authority – CA)
• Tổ chức đăng ký chứng thư (Registration Authority – RA)
• Kho lưu trữ chứng nhận (Certificate Repository – CR)
95. 95
1.4. Mô hình hoạt động của PKI
1.4.1. Đăng ký và phát hành chứng thư số
• User gửi thông tin bản thân tới RA để đăng ký. Thông tin này có thể là họ tên, số chứng minh thư,
email,…
• RA ký yêu cầu được chấp thuận và gửi thông tin về User đến trung tâm CA
• CA tạo chứng thư trên khóa công khai, ký bằng khóa bí mật của CA và cập nhật chứng thư trên cơ
sở dữ liệu LDAP, MySQL,…
• CA gửi chứng thư trở lại RA.
• RA cấp chứng thư cho người sử dụng.
2.2 Hạ tầng khóa công khai PKI
96. 2.2 Hạ tầng khóa công khai PKI
96
Kiến trúc PKI
Single CA architecture
Enterprise PKI architecture
Hybrid PKI architecture
97. 2.2 Hạ tầng khóa công khai PKI
97
Single CA architecture
Chỉ có một CA chịu trách nhiệm phát hành, thu hồi certificate.
Đỡn giản dễ cài đặt nhưng tồn tại single point of failure.
98. 2.2 Hạ tầng khóa công khai PKI
98
Hybrid CA architecture
99. 2.2 Hạ tầng khóa công khai PKI
99
Hybrid CA architecture
104. 2.2 Hạ tầng khóa công khai PKI
104
Chức năng của CA
Phát hành chứng thư số (certificate)
Thu hồi chứng thư số
Ban hành chính sách về chứng thư số
Xác thực user
105. 2.2 Hạ tầng khóa công khai PKI
105
Quy trình phát hành chứng thư
Người dung sinh cặp khóa
Đăng ký khóa công khai với CA
Gửi yêu cầu tới RA với form quy định.
RA kiểm tra xong gửi đến CA.
CA dung khóa bí mật của mình ký và gưi lại cho RA
RA gửi lại cho user.
Thu hồi chứng thư: Certificate Revocation List (CRL)
Lộ khóa bí mật
Hết hiệu lực
Người dung chuyển nơi làm việc
106. 2.2 Hạ tầng khóa công khai PKI
106
Các chuẩn Public key cryptography:
PKCS#1 RSA Cryptography Standard
PKCS#2 This standard has now been incorporated into PKCS#1
PKCS#3 Diffie−Hellman Key Agreement Standard
PKCS#4 This standard has now been incorporated into PKCS#1
PKCS#5 Password−Based Cryptography Standard
PKCS#6 Extended−Certificate Syntax Standard
PKCS#7 Cryptographic Message Syntax Standard
PKCS#8 Private Key Information Syntax Standard
PKCS#9 Selected Attribute Types
PKCS#10 Certification Request Syntax Standard
PKCS#11 Cryptographic Token Interface Standard
PKCS#12 Personal Information Exchange Syntax Standard
PKCS#13 Elliptic Curve Cryptography Standard
107. 2.2 Hạ tầng khóa công khai PKI
107
Giao thức PKI (rfc5280)
PKCS#10
PKCS#7
PKCS#14 Pseudorandom Number Generation Standard
PKCS#15 Cryptographic Token Information Format Standard
Certificate Management Protocol (CMP)
Certificate Management using CMS (CMC)
Simple Certificate Enrollment Protocol (SCEP)
108. 2.2 Hạ tầng khóa công khai PKI
108
Giao thức PKI
PKCS#10
PKCS#7
Các chuẩn khác:
PKCS#2 This standard has now been incorporated into PKCS#1
PKCS#3 Diffie−Hellman Key Agreement Standard
PKCS#4 This standard has now been incorporated into PKCS#1
PKCS#5 Password−Based Cryptography Standard
PKCS#6 Extended−Certificate Syntax Standard
PKCS#7 Cryptographic Message Syntax Standard
PKCS#8 Private Key Information Syntax Standard
PKCS#9 Selected Attribute Types
PKCS#10 Certification Request Syntax Standard
PKCS#11 Cryptographic Token Interface Standard
PKCS#12 Personal Information Exchange Syntax Standard
109. 2.2 Hạ tầng khóa công khai PKI
109
Ứng dụng PKI
Với SSL/TLS
Authentication of servers
Authentication of clients
Data encryption)
S/MIME
Mailing lists
Security labels
Key management flexibility
Digitally signed receipts
IPSec
Authentication Header (AH)
Encapsulated Security Payload (ESP)
Internet Key Exchange (IKE)
110. 2.2 Hạ tầng khóa công khai PKI
110
Phần mềm
• Hệ thống quản lý chứng thực Red Hat
• Computer Associates eTrust PKI
• Entrust
• Microsoft
• US Government External Certificate Authority (ECA)
• Nexus
• OpenCA (Một mô hình PKI mã nguồn mở)
• RSA Security
• phpki
• GenCerti
• ejbca