An toàn trong truyền thông

An toàn trong truyền thông • Các giao thức truy cập từ xa: PPP, Telnet, Wireless, VPN, • Các giao thức truy cập liên mạng: Email, Web, FTP, File Sharing, Directory, LDAP, Chương 5 14/05/2010 1Bộ môn HTMT&TT 14/05/2010Bộ môn MMT&TT 2 Mục tiêu • Cung cấp cho người học một cái nhìn tổng quan về các giải pháp tạo sự an toàn trong truyền thông. • Sau khi hoàn tất chương, sinh viên có những khả năng: ▫ Trình bày được sự quan trọng của an toàn trong truyền thông. ▫ Mô tả được các giao thức sử dụng cho truy cập từ xa như PPP, Telnet, mạng không dây , mạng riêng ảo. ▫ Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho các giao thức truy cập từ xa. ▫ Mô tả được các giao thức truy cập liên mạng thông dụng hiện nay như Mail, Web, FTP, File sharing, Directory, LDAP, ▫ Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho các giao thức truy cập liên mạng . Các giao thức cho truy cập từ xa • Khái niệm • RAS và PPP • Telnet và SSH • TACACS+ và RADIUS • WLAN • VPN Phần 1 14/05/2010 3Bộ môn MMT&TT 14/05/2010Bộ môn MMT&TT 4 An toàn trong truyền thông • Sự quan trọng của an toàn trong truyền thông Với tốc độ của Internet ngày càng nhanh, truyền thông trên mạng, truy cập từ xa, làm việc bằng các thiết bị cầm tay ngày càng trở nên phổ biến. i t I t r t , tr t tr , tr t , l i t i t ị t tr i . Đòi hỏi phải có các cơ chế an toàn trên đường truyền, cho các giao thức mạng và các dịch vụ trên mạng. i i i t tr tr , i t ị tr . 14/05/2010Bộ môn MMT&TT 5 Truy cập từ xa • RAS và PPP Kết nối từ xa qua đường điện thoại t i t i t i PPP (Point-to-Point Protocol) • PPP là giao thức tầng 2 • Cho phép chứng thực: + PAP: không mã hóa + CHAP: có mã hóa • Có thể dùng cho các dạng mạng IP, IPX, AppleTalk. • Cho phép cấp địa chỉ IP động • Cho phép nén dữ liệu và điều khiển chất lượng đường nối kết. ( i t-t - i t t l) • l i t t • t : : : • t I , I , l l . • ị ỉ I • li i i t l i t. • Dể sử dụng, tốc độ thấp. • Kết nối đơn giản. • , t t . • t i i . 14/05/2010Bộ môn MMT&TT 6 Truy cập từ xa • Telnet • Đăng nhập và làm việc từ xa • Dùng cổng 23 TCP • Cơ chế dòng lệnh • Là giao thức không an toàn vì dữ liệu truyền đi trên mạng không được mã hóa (plaintext) • l i t • • l • i t t ì li tr i tr ( l i t t) • Nên khóa dịch vụ Telnet từ bên ngoài mạng vào. • Chuyển sang dùng SSH • ị l t t i . • 14/05/2010Bộ môn MMT&TT 7 Truy cập từ xa • Secure Shell (SSH) • Thiết lập kết nối mạng 1 cách bảo mật. • Cổng 22 • Làm việc qua 3 bước: + Định danh host: sử dụng cặp khóa công cộng và khóa bí mật. + Mã hóa: DES, 3DES, IDEA,Blowfish + Chứng thực: RSA, DSA • i t l t i t. • • i : ị t: í t. : , , I , l fi t : , 14/05/2010Bộ môn MMT&TT 8 Truy cập từ xa • TACACS+ Terminal Access Control Access Control System Plus • Chứng thực tập trung • Thích hợp cho các mạng với số lượng người dùng lớn • Cung cấp riêng rẻ các dịch vụ AAA r i l tr l tr l t l • t t tr • í i l i l • ri r ị • Giao thức riêng của Cisco • Sử dụng TCP cổng 49 • Hỗ trợ nhiều giao thức tầng 3 như IP, Apple Talk • Cung cấp khả năng bảo mật trong trao đổi dữ liệu giữa gateway (Router - NAS) và cơ sở dữ liệu trung tâm (ACS). • Mã hóa thông tin toàn bộ phiên giao dịch. • Dùng 1 khóa bí mật để mã hóa và giải mã trên cả 2 hệ thống. • i t ri i • • tr i i t t I , l l • t tr tr i li i t ( t r - ) li tr t ( ). • t ti t i i ị . • í t i i tr t . Điểm yếu • Có thể bị tấn công vào phần mã hóa vì chỉ dùng 1 khóa bí mật => nên thay đổi thường xuyên. • Có thể bị tấn công theo dạng Replay. i • t ị t ì ỉ í t t i t . • t ị t t l . 14/05/2010Bộ môn MMT&TT 9 Truy cập từ xa • TACACS+ Các bước chứng thực (authentication) dùng TACACS+ t ( t ti ti ) Quá trình phân quyền (authorization) dùng TACACS+ trì ( t ri ti ) NAS: Router, Switch, PIX/ASA, VPN3000 : t r, it , I / , 14/05/2010Bộ môn MMT&TT 10 Truy cập từ xa • RADIUS Remote Authentication Dial In User Service • Tương tự như TACACS+, cung cấp dịch vụ AAA • Chuẩn mở • Định nghĩa trong RFC-2865 t t ti ti i l I r r i • t , ị • • ị ĩ tr - • Chuẩn chứng thực an toàn của 802.1X • Sử dụng UDP cổng 1812 • Dùng mô hình Client-Server, trong đó RAS đóng vai trò là RADIUS Client. • RADIUS chỉ mã hóa mật khẩu người dùng. • Hỗ trợ các giao thức: PPP, PAP, CHAP • t t . • • ì li t- r r, tr i tr l I li t. • I ỉ t i . • tr i t : , , 14/05/2010Bộ môn MMT&TT 11 Truy cập từ xa • RADIUS Kết hợp chứng thực và phân quyền dùng RADIUS t t I 14/05/2010Bộ môn MMT&TT 12 Mạng không dây - WLAN • Khái niệm • Cung cấp tính tiện lợi trong kết nối mạng: dễ dàng, mềm dẻo, nhanh chóng, tốc độ cao. • Cung cấp khả năng di động trong mạng LAN • Sử dụng phương pháp CSMA/CA • tí ti l i tr t i : , , , t . • i tr • / 14/05/2010Bộ môn MMT&TT 13 Mạng không dây - WLAN • Các chuẩn • Chuẩn hóa trong IEEE 802.11 • Gồm các chuẩn mạng : + 802.11 A: sử dụng tại Mỹ; 54 Mbps + 802.11 B: 11 Mbps + 802.11 G: 54 Mbps + 802.11 draft N: 248 Mbps • tr I . • : . : t i ; . : . : . r ft : Infrastructure mode Ad hoc mode 14/05/2010Bộ môn MMT&TT 14 Mạng không dây - WLAN • Các thông số • SSID: định danh của mạng WLAN • Chiều dài từ 2 – 32 ký tự • Không đặt trùng nhau trong cùng 1 phạm vi hoạt động • I : ị • i i t t • t tr tr i t • Chia kênh để không bị nhiễu. • Mỗi kênh cách nhau 22 MHz • Bắc Mỹ: chia 11 kênh • Châu Âu: chia 13 kênh • Trong cùng phạm vi, nên chọn cách nhau 5 kênh: + 3 AP: chọn 1, 6, 11 + 2 AP: chọn 5, 10 / 4, 9 / 3, 8 / 2, 7 • i ị i . • i • : i • : i • r i, : : , , : , / , / , / , 14/05/2010Bộ môn MMT&TT 15 Mạng không dây - WLAN • Hoạt động (1) Beacon (báo hiệu) • Frame được gửi từ AP của mạng WLAN thông báo sự hiện diện của nó. • Sẽ được gửi broadcast định kỳ ( i ) • r i t t i i . • i r t ị 14/05/2010Bộ môn MMT&TT 16 Mạng không dây - WLAN • Hoạt động (2) Probing (thăm dò) • Kiểm tra xem có mạng WLAN đúng với SSID cho trước không • Hoặc dò tìm (liệt kê các SSID) những mạng WLAN nào đang hiện diện trong vùng bằng cách gửi Request không có SSID. i (t ) • i tr i I tr • tì (li t I ) i i tr i t I . 14/05/2010Bộ môn MMT&TT 17 Mạng không dây - WLAN • Hoạt động (3) Authentication (chứng thực) • Nếu là dạng mở Open thì không cần key. • Nếu có mã hóa (chẳng hạn WEP) thì cần Key t ti ti ( t ) • l t ì . • ( ) t ì 14/05/2010Bộ môn MMT&TT 18 Mạng không dây - WLAN • Hoạt động (4) Association (kết hợp) • Thiết lập nối kết ở tầng 2 • Tạo ra 1 port ảo nối kết đến Client • Quá trình gửi và nhận dữ liệu có thể diễn ra. i ti ( t ) • i t l i t t • r rt i t li t • trì i li t i r . 14/05/2010Bộ môn MMT&TT 19 Mạng không dây - WLAN • Nguy cơ từ mạng không dây War driving • Dò tìm các mạng WLAN mở (Open) • Sử dụng Internet miễn phí • Xâm nhập vào mạng dễ dàng r ri i • tì ( ) • I t r t i í • Hacker • Tấn công vào các mạng WLAN yếu (cấu hình không cẩn thận, không mã hóa hoặc mã hóa yếu). • Khai thác mạng không dây để vào mạng LAN của tổ chức. r • ( ì t , ). • i t t . Nhân viên • Nhân viên tự ý cắm 1 Access Point vào mạng + Tạo ra điểm có thể truy cập vào mạng từ bên ngoài. + Có thể gây nhiễu với các thiết bị WLAN đã có trong tổ chức. i • i t i t r i t tr t i. t i i t i t ị tr t . 14/05/2010Bộ môn MMT&TT 20 Mạng không dây - WLAN • Nguy cơ từ mạng không dây WLAN có nguy cơ bị tấn công dạng “Kẻ đứng giữa” (Man-in- the-middle – MITM) tại giai đoạn Association. ị t “ i ” ( -i - t - i l I ) t i i i i ti . Giải pháp: Cài đặt hệ thống ngăn chặn xâm nhập (Intrusion prevention system – IPS) i i : i t t (I tr i r ti t I ) 14/05/2010Bộ môn MMT&TT 21 Mạng không dây - WLAN • Nguy cơ từ mạng không dây Tấn công giả mạo Access Point hoặc các máy trạm trong mạng bằng cách giả mạo AP. i i t tr tr i . Tấn công DoS Mạng WLAN cũng có thể bị làm nhiễu bởi các thiết bị điện tử hay không dây khác. t ị l i i t i t ị i t . 14/05/2010Bộ môn MMT&TT 22 Mạng không dây - WLAN • Các giao thức an toàn cho mạng WLAN Open WEP WPA WPA2 • Không chứng thực • Không mã hóa • Không có cơ chế an toàn • Chứng thực yếu • Khóa tĩnh, dễ bị tấn công và phát hiện •Mã hóa dễ bị phá vỡ • Không linh hoạt • Chuẩn tạm thời •Mã hóa cao • Chứng thực mạnh: LEAP, PEAP, EAP- FAST, • Chuẩn hiện tại • 802.11i •Mã hóa AES • Quản lý khóa động 14/05/2010Bộ môn MMT&TT 23 Mạng không dây - WLAN • WEP (Wired Equivalent Privacy) • Sử dụng khóa chia sẻ. • Thường dùng khóa 64 bits hay 128 bits. • Mã hóa dùng thuật toán RC4 • WEP có lổ hổng bảo mật dễ bị khai thác • Một số công cụ dùng để tấn công WEP như: AirSnort, NetStumbler, WEPCrack, ... • i . • it it . • t t t • l t ị i t • t t : ir rt, t t l r, r , ... Cài đặt hệ thống phát hiện xâm nhập (IDS) hay hệ thống ngăn chặn xâm nhập (IPS) i t t t i (I ) t (I ) 14/05/2010Bộ môn MMT&TT 24 Mạng không dây - WLAN • Các giao thức chứng thực trong mạng WLAN Extensible Authentication Protocol (EAP) • EAP là giao thức chứng thực mạnh • Chứng thực qua Server. • Chuẩn hóa trong RFC 3748 • Chứng thực ở tầng 2 • Là một phần của PPP. • Hỗ trợ nhiều cơ chế chứng thực như: EAP over IP, LEAP Cisco, EAP-MD5-CHAP, PEAP, EAP-TLS, EAP-TTLS, RADIUS. t i l t ti ti t l ( ) • l i t t • t r r. • tr • t t • t . • tr i t : r I , i , - - , , - , - , I . 14/05/2010Bộ môn MMT&TT 25 Mạng không dây - WLAN • WPA và WPA2 (WiFi Protected Access) Enterprise modet r ri WPA-PSK (Pre-shared key) - ( r - r ) • Thay thế cho WEP • Chứng thực không cần Server • Passphrase được lưu trên Access Point và trên máy cục bộ • t • t r r • r l tr i t tr • Chứng thực qua 802.1X Auth. Server • Mã hóa: + TKIP (Temporal Key Integrity Protocol) như WEP nhưng phức tạp hơn. + AES (Advanced Encryption Standard) như TKIP nhưng có bổ sung các tính năng để nâng cao tính bảo mật. • WPA2 dùng mã hóa AES. • t . t . r r • : I ( r l I t rit r t l) t . ( r ti t r ) I tí tí t. • . 14/05/2010Bộ môn MMT&TT 26 Mạng không dây - WLAN • Nâng cao tính an toàn của mạng WLAN 1. Ẩn (hidden) SSID 2. Chọn WPA hoặc WPA2 cho chứng thực và mã hóa 3. Lọc các máy trạm dựa theo địa chỉ MAC . ( i ) I . t . tr t ị ỉ 14/05/2010Bộ môn MMT&TT 27 Mạng riêng ảo - VPN • Lý do ra đời Phải dùng các đường thuê bao tốc độ cao để nối kết i t t i t Tốn nhiều chi phí i i í Công ty xí nghiệp Chi nhánh Người dùng ở xa Leased Lines T1, Frame Relay ISDN, ATM 14/05/2010Bộ môn MMT&TT 28 Mạng riêng ảo - VPN • Khái niệm VPN = Virtual Private Network • Virtual: ảo (không có đường nối kết thực giữa 2 thực thể) • Private: riêng (được bảo vệ, không truy xuất được từ bên ngoài) • Network: mạng máy tính (nhóm 2 hoặc nhiều máy tính lại với nhau) i t l i t t • i t l: ( i t t i t t ) • i t : ri ( , tr t t i) • t : tí ( i tí l i i ) Internet (VPN) Chi nhánh Người dùng từ xa Người dùng đi động Công ty xí nghiệp 14/05/2010Bộ môn MMT&TT 29 Mạng riêng ảo - VPN • Ích lợi Sử dụng đường truyền công cộng không an toàn (Internet) để thực hiện việc trao đổi dữ liệu một cách an toàn. tr t (I t r t) t i i tr i li t t . • Phù hợp với các công ty có nhiều chi nhánh, nhân viên làm việc từ xa hoặc cần có các kết nối mạng an toàn với các đối tác. • Chi phí thấp. • i t i i , i l i t t i t i i t . • i í t . 14/05/2010Bộ môn MMT&TT 30 Mạng riêng ảo - VPN • Phân loại Site-to-Site VPN (LAN-to-LAN) i i ( -t - ) Được xây dựng bằng cách sử dụng Router, Security Appliance hoặc VPN Concentrator. t r, rit li tr t r. VPN điểm nối điểm có thể được chia làm 2 loại: • Intranet VPN: kết nối các chi nhánh, văn phòng ở xa với công ty, tổ chức. • Extranet VPN: kết nối khách hàng, nhà cung cấp, đối tác với công ty. i i i t i l l i: • I t t : t i i , i t , t . • t t : t i , , i t i t . 14/05/2010Bộ môn MMT&TT 31 Mạng riêng ảo - VPN • Phân loại Remote Access VPN (VPN truy cập từ xa) ( tr t ) • Còn gọi là Dialup riêng ảo • Cung cấp cho người dùng ở xa, người dùng di động truy cập vào mạng công ty • Chia làm 2 loại: + Client-initiated: người dùng sử dụng VPN Client hoặc trình duyệt Web để thiết lập nối kết. + NAS-initiated: người dùng dial (gọi) vào mạng của ISP. NAS sẽ thiết lập nối kết. • i l i l ri • i , i i tr t • i l l i: li t-i iti t : i li t trì t t i t l i t. -i iti t : i i l ( i) I . t i t l i t. Client có thể sử dụng router, thiết bị phần cứng VPN hoặc phần mềm VPN. li t t r t r, t i t ị . 14/05/2010Bộ môn MMT&TT 32 Mạng riêng ảo - VPN • Các thành phần trong hệ thống VPN VPN Client VPN Server (hoặc Gateway) Tunnel (đường hầm) Mạng công cộng (Internet) Kết nối VPN 14/05/2010Bộ môn MMT&TT 33 Mạng riêng ảo - VPN • Công nghệ VPN Có khá nhiều công nghệ mạng VPN từ nhiều công ty và cài đặt trên nhiều tầng khác nhau. i t i t i t tr i t . 14/05/2010Bộ môn MMT&TT 34 Mạng riêng ảo - VPN • VPN trên các lớp của mô hình OSI Tầng mạng cung cấp nhiều giải pháp khác nhau cho VPN i i i 14/05/2010Bộ môn MMT&TT 35 Mạng riêng ảo - VPN • Web VPN • Thiết lập VPN truy cập từ xa thông qua trình duyệt Web. • Có khả năng: + Truy cập website nội bộ thông qua HTTPS. + Truy cập hệ thống file chia sẻ trên mạng cục bộ. + Truy cập hệ thống email POP, SMTP, IMAP qua SSL. • i t l tr t t trì t . • : r it i t . r t fil i tr . r t il , , I . Sử dụng SSL để mã hóa và TLS (Transport layer Security) để cung cấp kết nối an toàn từ máy người dùng đến site. ( r rt l r rit ) t i t t i it . 14/05/2010Bộ môn MMT&TT 36 Mạng riêng ảo - VPN • Tunneling Các giao thức Tunneling (đường hầm) cung cấp tính bảo mật cho dữ liệu gửi và nhận bên trong. i t li ( ) tí t li i tr . Bao gói dữ liệu gốc vào 1 bên trong gói dữ liệu đã được mã hóa. i li tr i li . Site-to-Site Remote Access IP 20 Bytes L2TP Header 4 - 12 Bytes Payload (Data) 14/05/2010Bộ môn MMT&TT 37 Mạng riêng ảo - VPN • Các giao thức tạo đường hầm (Tunneling) • GRE hỗ trợ nhiều giao thức bên trong IP tunnel • MPLS thích hợp cho ISP và các doanh nghiệp lớn. • tr i i t tr I t l • t í I i l . 14/05/2010Bộ môn MMT&TT 38 Mạng riêng ảo - VPN • L2TP/PPTP L2TP • Tương thích ngược với L2F • Sử dụng cổng UDP 1701 • Có chứng thực, nhưng không mạnh • Kết hợp với IPSec để mã hóa • Thường dùng cho dạng VPN truy cập từ xa qua RAS (đường dialup) • Dùng cho IP, IPX, • t í i • • t , • t i I • tr t ( i l ) • I , I , PPTP • Được Windows hỗ trợ • Sử dụng cổng TCP 1723 • Chứng thực dùng MSCHAP-v2 hoặc EAP-TLS. • Có thể dùng Microsoft Point-to-Point Encryption (MPPE) để mã hóa. • Chỉ dùng cho giao thức IP • i tr • • t - - . • t i r ft i t-t - i t r ti ( ) . • ỉ i t I L2TP và PPTP đều “bao gói” gói tin PPP truyền đi trong mạng IP. “ i” i ti tr i tr I . Windows NT/2K/XP/Vista hỗ trợ cả PPTP/L2TPi / / / i t tr / 14/05/2010Bộ môn MMT&TT 39 Mạng riêng ảo - VPN • IPSec – Giới thiệu IPSec được sử dụng rộng rãi trong cài đặt các loại VPN I r r i tr i t l i 14/05/2010Bộ môn MMT&TT 40 Mạng riêng ảo - VPN • IPSec – Giới thiệu • IPSec là tập các giao thức dùng cho mạng VPN, cung cấp tính bảo mật và toàn vẹn cho gói tin (tầng 3) khi truyền trên mạng IP. • Sử dụng TCP cổng 50 và 51. • I l t i t , tí t t i ti (t ) i tr tr I . • . 14/05/2010Bộ môn MMT&TT 41 Mạng riêng ảo - VPN • IPSec – Các chế độ truyền Tunnel mode • Peer-to-peer • Sử dụng khi truyền qua đường truyền mạng không tin cậy. • Mã hóa cả dữ liệu (payload) và phần header. l • r-t - r • i tr tr ti . • li ( l ) . Transport mode • Host-to-host • Truyền trực tiếp giữa bên gửi và bên nhận. • Mã hóa chỉ phần dữ liệu, giữ nguyên header. t • t-t - t • r tr ti i i . • ỉ li , i . 14/05/2010Bộ môn MMT&TT 42 Mạng riêng ảo - VPN • IPSec – Chế độ truyền Tunnel mode 14/05/2010Bộ môn MMT&TT 43 Mạng riêng ảo - VPN • IPSec – Chế độ truyền Transport mode 14/05/2010Bộ môn MMT&TT 44 Mạng riêng ảo - VPN • IPSec – Giao thức Encapsulating Security Payload (ESP) • Cung cấp mã hóa dữ liệu, cung cấp chứng thực có giới hạn • Bao gói dữ liệu (mã hóa payload), nhưng không mã hóa Header • li , t i i • i li ( l ), r 14/05/2010Bộ môn MMT&TT 45 Mạng riêng ảo - VPN • IPSec – Giao thức Authentication Header (AH) Bảo vệ (mã hóa) toàn bộ gói tin kể cả phần header, đảm bảo tính toàn vẹn của gói tin IP ( ) t i ti r, tí t i ti I 14/05/2010Bộ môn MMT&TT 46 Mạng riêng ảo - VPN • IPSec – Hoạt động của IPSec 14/05/2010Bộ môn MMT&TT 47 Mạng riêng ảo - VPN • IPSec – Hoạt động của IPSec Internet Key Exchange (IKE) đảm bảo tính an toàn khi trao đổi khóa bí mật giữa 2 bên khi thiết lập đường hầm. I t r t (I ) tí t i tr i í t i i t i t l . Internet Security Association and Key Management Protocol (ISAKMP) được sử dụng để đàm phán và cung cấp chứng thực I t r t rit i ti t r t l (I ) t IPSec SA: IPSec Security Association Các giao thức truy cập liên mạng • Email • Web • FTP • File Sharing • Directory và LDAP, Phần 2 14/05/2010 48Bộ môn HTMT&TT 14/05/2010Bộ môn MMT&TT 49 Dịch vụ Email • Các giao thức SMTP • Gửi mail • Cổng TCP 25 • i il • POP/IMAP • Nhận mail • Cổng TCP 110 /I • il • MIME • RFC-1512 và 1522 • Hỗ trợ gửi mail có đính kèm file I • - • tr i il í fil • Các giao thức chuẩn của email không cung cấp cơ chế an toàn. • Dịch vụ Email có nhiều điểm yếu có thể dễ dàng bị tấn công và khai thác. • i t il t . • ị il i i t ị t i t . 14/05/2010Bộ môn MMT&TT 50 Dịch vụ Email • S/MIME (Secure MIME) • S/MIME cung cấp cơ chế bảo mật cho Email. • Version 2: RFC-2311 và version 3: RFC-2633 • / I t il. • r i : - r i : - S/MIME cung cấp dịch vụ mật mã cho các ứng dụng email: • Chứng thực • Tính toàn vẹn và tính không thể phủ nhận (thông qua chữ ký số) • Bảo mật và riêng tư cho thông điệp (thông qua mã hóa) / I ị t il: • t • í t tí t (t ) • t ri t t i (t ) • Sử dụng 3 thuật toán mã hóa đối xứng: DES, 3DES, RCC2 trong việc mã hóa thông điệp. • Dùng giải thuật RSA trong việc trao đổi khóa và chữ ký số. • Windows Mail (Vista), Outlook Express, Thunderbird hỗ trợ S/MIME. • t t t i : , , tr i t i . • i i t t tr i tr i . • i il ( i t ), tl r , r ir tr / I . 14/05/2010Bộ môn MMT&TT 51 Dịch vụ Email • PGP (Pretty Good Privacy) • Do Philip R. Zimmermann tạo ra vào năm 1991. • PGP là chuẩn đóng thuộc công ty PGP • ili . i r t r . • l t t • Sử dụng thuật toán mã hóa bất đối xứng • Dùng hạ tầng khóa công khai (PKI) • PGP nén dữ liệu trước khi mã hóa • Dùng thuật toán RSA hoặc DH • t t t t i • t i ( I) • li tr i • t t t •Open PGP được cung cấp theo chuẩn mở mô tả trong RFC-2440 • Được hỗ trợ trong nhiều phần mềm thương mại và mã nguồn mở. • t t tr - • tr tr i t i . Một số phần mềm hỗ trợ Open PGP : Authora, WinPT, GnuPG, Enigmail, GPGforWin, PGPFreeware, t tr : t r , i , , i il, f r i , r r , 14/05/2010Bộ môn MMT&TT 52 Dịch vụ Email • Các điểm yếu của Email SPAM (Mail rác) • Những mail với nội dung quảng cáo hoặc các thông tin không mong muốn. • Làm giảm băng thông và hiệu năng của dịch vụ • Làm đầy hộp thư và tốn thời gian lọc mail của người dùng. ( il ) • il i i t ti . • i t i ị • t t t i i l il i . Hoax (Mail đánh lừa) • Chứa các thông tin không đúng sự thật. • Lừa người dùng gửi tiếp cho những người khác. ( il l ) • t ti t t. • i i ti i . Virus, Trojan • Lừa người dùng mở tập tin đính kèm chứa các mã độc hại như virus, trojan • Tự động gửi tiếp bản thân nó cho các người dùng khác trong Address Book. i , j • i t ti í i ir , tr j • i ti t i tr r . Phishing (lừa đảo) • Lừa người dùng click vào 1 liên kết dẫn đến 1 URL giả để lấy cắp các thông tin nhậy cảm như tài khoản, số thẻ tín dụng, • Các trình duyệt và phần mềm diệt virus mới đều có tính năng chống dạng tấn công phishing này. i i (l ) • i li li t i l t ti t i , t tí , • trì t i t ir i tí t i i . 14/05/2010Bộ môn MMT&TT 53 Dịch vụ Email • SMTP Relay • Lợi dụng Mail Server cấu hình không chính xác gửi email đến các Server khác. • Thường sử dụng để phát tán SPAM. • i il r r ì í i il r r . • t t . Không cho người dùng vô danh từ bên ngoài mạng (chưa chứng thực) gửi mail đi 1 địa chỉ mail bên ngoài. i t i ( t ) i il i ị ỉ il i. 14/05/2010Bộ môn MMT&TT 54 Dịch vụWeb • Giao thức • Dùng giao thức HTTP • Mô tả trong RFC-2616 • Cổng phục vụ là TCP 80 • i t • t tr - • l • Ngôn ngữ sử dụng HTML • Chuyển các file HTML (trang Web) từ Server đến Client. • • fil (tr ) t r r li t. • HTTP là giao thức không an toàn • Không chứng thực, không mã hóa • l i t t • t , 14/05/2010Bộ môn MMT&TT 55 Dịch vụWeb • HTTPS • HTTPS = HTTP + TLS/SSL • Cung cấp tính bảo mật cho dịch vụWeb. • Thích hợp cho các giao dịch an toàn trên Web như: giao dịch ngân hàng, thông tin thẻ tín dụng, mua hàng trực tuyến, • Dùng cổng TCP 443 • Sử dụng mật mã khóa công khai: cặp khóa công khai + khóa bí mật và chứng chỉ số X.509. • / • tí t ị . • í i ị t tr : i ị , t ti t tí , tr t , • • t i: i í t ỉ . . Gõ trong trình duyệt https:// tr trì t tt :// 14/05/2010Bộ môn MMT&TT 56 Dịch vụWeb • SSL (Secure Sockets Layer) và TLS (Transport Layer Security) SSL •.Hoạt động phía trên tầng TCP • Sử dụng cả khóa công khai và khóa đối xứng cho các phiên giao dịch. • Sử dụng 3 giao thức: + SSL handshake protocol + SSL Record protocol + SSL Alter protocol •. t í tr t • i i i i ị . • i t : r t l r r t l lt r r t l • Kết nối bí mật qua mã hóa đối xứng: DES, RC4, • Chứng thực qua mã hóa bất đối xứng: RSA, DSS, • Kết nối tin cậy qua kiểm tra tính toàn vẹn bằng các giải thuật băm: SHA, MD5, • t i í t i : , , • t t i : , , • t i ti i tr tí t i i t t : , , •.Độc lập với giao thức của tầng ứng dụng • Cung cấp cơ chế bảo mật cho các dịch vụWeb, FTP, Telnet, LDAP, IMAP, •. l i i t t • t ị , , l t, , I , TLS • Kế thừa từ SSL, nhưng không tương thích với SSL. • Cung cấp các chức năng bảo mật nâng cao hơn. • t t , t t í i . • t . 14/05/2010Bộ môn MMT&TT 57 Dịch vụWeb • Một số vấn đề cần quan tâm Quyền trên thư mục: list, read, write, execute, tr t : li t, r , rit , t , 14/05/2010Bộ môn MMT&TT 58 Dịch vụWeb • Một số vấn đề cần quan tâm Quản lý điều khiển truy cập: người dùng, địa chỉ cho phép truy cập l i i tr : i , ị ỉ tr 14/05/2010Bộ môn MMT&TT 59 Dịch vụWeb • Một số vấn đề cần quan tâm • Giám sát hệ thống: ghi log file, IDS, • Thực hiện backup định kỳ • Bảo trì thường xuyên: update, vá lỗi, • Kiểm tra tính đúng đắn trong cấu hình Web Server: có thể dùng NMAP. • i t t : i l fil , I , • i ị • trì t : t , l i, • i tr tí tr ì r r: t . 14/05/2010Bộ môn MMT&TT 60 Dịch vụWeb • Một số vấn đề cần quan tâm • Đặt mức độ bảo mật cho trình duyệt. • Giới hạn các script thực thi: VBScript, JavaScript, • Cẩn thận khi sử dụng cookie, ActiveX, CGI • t t trì t. • i i ri t t t i: ri t, ri t, • t i i , ti , I 14/05/2010Bộ môn MMT&TT 61 Dịch vụ FTP • Giao thức • Dùng giao thức FTP • Mô tả trong RFC-959 • Cổng phục vụ là : + TCP 21 cho nối kết + TCP 20 cho dữ liệu • i t • t tr - • l : i t li • Standard mode: có 2 giao dịch + Client nối kết đến Server ở cổng 21 để yêu cầu file. + Server (dùng cổng 20) nối kết đến Client để upload file đến Client. • Passive mode: có 2 giao dịch + Client nối kết đến Server (cổng 21). Server trả lời lại Client giá trị cổng phục vụ. + Client nối kết đến Server qua cổng đó để nhận file. • t : i ị li t i t r r fil . r r ( ) i t li t l fil li t. • i : i ị li t i t r r ( ). r r tr l i l i li t i trị . li t i t r r fil . • FTP là giao thức không an toàn • Mọi thứ gửi đi trên đường truyền đều không được mã hóa (kể cả password) • l i t t • i t i i tr tr ( r ) • Có 2 dạng tài khoản người dùng: + Tài khoản vô danh (anonymous): đa số chỉ cho download. + Người dùng riêng: có thể cho upload vào thư mục riêng. • t i i : i ( ): ỉ l . i ri : t l t ri . 14/05/2010Bộ môn MMT&TT 62 Dịch vụ FTP • FTPS • FTPS = FTP + TLS/SSL • Cung cấp tính bảo mật cho dịch vụ FTP. • Thích hợp cho các giao dịch an toàn và bảo mật khi truyền file bằng FTP. • Dùng cổng TCP 990 cho điều khiển và TCP 898 cho dữ liệu. • Sử dụng mật mã khóa công khai • Chữ ký số (chuẩn X.509): dùng RSA, DSA • Mã hóa dữ liệu dùng khóa bí mật (khóa chia sẻ) : DES, 3DES, AES, • / • tí t ị . • í i ị t t i tr fil . • i i li . • t i • ( . ): , • li í t ( i ) : , , , 14/05/2010Bộ môn MMT&TT 63 Dịch vụ chia sẻ file • File sharing NetBIOS • Tạo ra bởi IBM, phát triển bởi Microsoft. • Cung cấp dịch vụ vận chuyển và giao dịch. • Dùng cổng TCP 137, 138, 139 t I • r i I , t tri i i r ft. • ị i ị . • , , NetBEUI • Chuẩn định dạng khung của NetBIOS. • Giao thức tầng 4 (nhưng không hỗ trợ vạch đường) NetBIOS trên TCP (NBT) • Dùng vận chuyển dữ liệu NetBIOS trên các mạng tầng 3 (như IP) t I • ị t I . • i t t ( tr ) t I t ( ) • li t I tr t ( I ) 14/05/2010Bộ môn MMT&TT 64 Dịch vụ LDAP • Lightweight Directory Access Protocol Dịch vụ thư mục cung cấp truy cập đến 1 CSDL trung tâm lưu trữ các tài nguyên hiện có trên mạng: tài khoản người dùng, TK máy tính, TK mail, ị t tr tr t l tr t i i tr : t i i , tí , il, LDAP là giao thức chuẩn cho phép Client có thể truy cập vào tài nguyên trong dịch vụ thư mục . l i t li t t tr t i tr ị t . • LDAP theo chuẩn X.500 • Sử dụng cổng TCP 389, 636 • LDAP thường dùng để cung cấp chứng thực cho các dịch vụ khác trên mạng. • t . • , • t t ị tr . SLDAP (Secure LDAP) • Dùng SSL/TLS để cung cấp chứng thực và mã hóa. ( ) • / t .