Chương 6 – An ninh mạng máy tính

Phần 1

ThS. Lê Văn Hùng
Giảng viên
Khoa HTTTQL
Học viện Ngân hàng

GV: Lê Văn Hùng

1


Các mức bảo vệ an toàn thông tin trên mạng
Các mức bảo vệ an toàn thông tin trên mạng
Quyền truy cập
 Quyền truy cập được cấp cho người dùng hoặc một ứng dụng
cho phép thao tác trên tài nguyên mạng ví dụ đọc, thêm, xóa các
tập tin trong máy tính.
 Quyền truy cập có thể được gắn với một máy trạm, máy chủ cụ
thể, các thư mục trong máy hoặc các chương trình cụ thể và các
tập tin dữ liệu.
Mã hóa
 Mã hóa là quá trình thay đổi thông tin theo cách làm cho nó
không thể đọc được bởi bất cứ ai trừ những người có quyền. Mã
hóa thường được sử dụng bởi các thuật toán hoặc phương pháp
mật mã nào đó.


Các mức bảo vệ an toàn thông tin trên mạng

bằng cách sử dụng quyền hạn tối thiểu cần thiết để hoàn thành công
việc.
 Nguyên tắc này làm hạn chế những thiệt hại mà có thể là kết quả
của một tai nạn hoặc lỗi.
 Nó cũng làm giảm số lượng các tương tác tiềm năng giữa các
quyền hạn chương trình ở mức tối thiểu cho hoạt động chính xác,
để mà các sử dụng không chủ ý, không mong muốn, hoặc không
đúng quyền hạn ít có khả năng xảy ra.
 Bảo vệ theo chiều sâu ( Defence in Depth )


Các mức bảo vệ an toàn thông tin trên mạng

4.Tính đơn giản
Giữ các thứ đơn giản là một phần quan trọng của an toàn dữ liệu.
Nó làm cho chúng dễ hiều, dễ quản lý và dễ khắc pục sự cố. Khi mọi
thứ quá phức tạp làm cho khó hiểu, khó quản lý và phức tạp khi sử lý
sự cố. Thêm nữa khó xác định hệ thống phức tạp đủ an toàn hay chưa.
Sự đơn giản không phải luôn luôn có thể đạt được đặc biệt đối với
hạ tầng mạng và phần mềm. Khi lựa chọn giữa một giải pháp đơn giản
và một giải pháp phức tạp hơn thì giải pháp đơn giản dễ thực hiện hơn
và dễ kiểm định mức độ an toàn hơn.
Nút thắt: Nút thắt buộc tất cả các luồng, các hoạt động phải qua một
đường đơn hoặc một kênh. Đường này được dùng để điều khiển tiêu
thụ băng thông, lọc nội dung và cung cấp các dịch vụ xác thực.


Các mức bảo vệ an toàn thông tin trên mạng
5.Liên kết yếu nhất
Độ an toàn của một chuỗi chính là độ an toàn của liên kết yếu nhất.

thống khác nhau là khó khăn hơn, mất nhiều thời gian hơn, và đắt hơn
so với mua sắm và lắp đặt một hệ thống đơn.
- Nếu không cẩn thận, chúng ta có thể tạo ra sự đa dạng yếu thay vì sự
đa dạng trong bảo vệ. Nếu có hai bộ lọc gói khác nhau, một trong số
chúng sử dụng trước, sau đó sử dụng cái còn lại sẽ giúp bảo vệ những
điểm yếu.
- Nếu có hai bộ lọc gói tin khác nhau, mỗi bộ lọc riêng biệt cho phép
lưu lượng đi vào, sau đó sử dụng các sản phẩm khác nhau chỉ làm cho
dễ bị tổn thương cả hai bộ lọc thay vì một.


Một số giao thức an ninh trên Internet
1. Giao thức SSL (Secure Socket Layer)
- SSL là giao thức cung cấp truyền tin cậy giữa các thiết bị đầu cuối.
SSL record cung cấp các dịch vụ an ninh cơ bản cho các giao thức
tầng trên trong đó có HTTP.


Một số giao thức an ninh trên Internet
- Các thành phần của SSL gồm ba giao thức tầng cao hơn: Handshake
Protocol, The Change Cipher Spec Protocol và Alert Protocol
- SSL connection (SLL liên kết): cung cấp dịch vụ thích hợp. Các liên
kết trong SSL là các quan hệ ngang hàng. Các liên kết là tạm thời và
được kết hợp với các phiên.
- SSL session (phiên làm việc): Một phiên làm việc của SSL là một sự
kết hợp của client và server. Một phiên được tạo ra bởi giao thức
Handshake Protocol. Các phiên xác định một tập các tham số an toàn
bảo mật mà có thể được chia sẻ trong các liên kết.



1.4. Giao thức Handshake Protocol
Phần phức tạp nhất của SSL là giao thức Handshake Protocol. Giao
thức này cho phép server và client xác thực lẫn nhau và thỏa thuận
thuật toán và khóa mã hóa để bảo vệ dữ liệu.
Giao thức Handshake Protocol được sử dụng trước khi truyền dữ liệu.
- Giao thức Handshake protocol gồm bốn giai đoạn.
* Giai đoạn 1: Thiết lập
Giai đoạn này thiết lập liên kết logic và mức độ bảo mật giữa server
và client.
* Giai đoạn 2: Xác thực server và trao đổi khóa
Server được xác thực trong giai đoạn này và nó tạo một khóa công
cộng gửi cho client.


Một số giao thức an ninh trên Internet
* Giai đoạn 3: Xác thực client và trao đổi khóa
Client kiểm tra các thông tin nhận được từ server.
Client gửi cho server một thông điệp xác nhận trạng thái thông tin
mà nó nhận được.
Sau đó client gửi tiếp một thông điệp mà nội dung phụ thuộc vào
kiểu khóa trao đổi.
* Giai đoạn 4: Kết thúc
Client gửi một thông điệp kết thúc bao gồm các thuật toán mới, các
khóa và các bí mật.
Thông điệp kết thúc cũng thông báo quá trình trao đổi khóa và xác
thực đã thành công.


Một số giao thức an ninh trên Internet
2. Giao thức HTTPS

không an toàn.
- SSH cũng có thể sử dụng cho truyền file hoặc email. SSH phiên bản 2
xem xét một số lỗ hổng bảo mật.
- SSH client và server được ứng dụng rộng rãi trong các hệ điều hành.
Nó trở thành phương thức được lựa chọn cho các đăng nhập từ xa và trở
thành một trong các ứng dụng phổ biến nhất cho công nghệ mã hóa bên
ngoài hệ thống nhúng.
- SSH gồm ba giao thức SSH Transport layer protocol, SSH User
authentication protocol và SSH connection protocol. Các giao thức này
chạy phía trên giao thức TCP.


Một số giao thức an ninh trên Internet
3.1 Giao thức SSH Transport Layer Protocol
* Xác thực server xảy ra ở tầng giao vận trên trên cơ sở server xử lý
cặp khóa công khai/riêng.
* Một server có thể có nhiều khóa sử dụng các thuật toán mã hóa bất
đối xứng khác nhau. Nhiều máy có thể có chung khóa. Trong trường
hợp bất kỳ, khóa của server được sử dụng trong trao đổi khóa để xác
thực danh tính của client. Trong trường hợp này, client phải biết khóa
công khai của server.


Một số giao thức an ninh trên Internet
Quá trình trao đổi dữ liệu bao gồm một số bước:
Đầu tiên là trao đổi định danh (identification string exchange) giữa client
và server.
Tiếp theo, server và client thỏa thuận về các thuật toán bao gồm trao đổi
khóa, thuật toán mã hóa, thuật toán xác thực và thuật toán nén.
Bước tiếp đến là trao đổi khóa. Sau bước này client và server chia sẻ với

* Cơ chế kênh truyền
>Các loại truyền sử dụng SSH được hỗ trợ sử dụng kênh riêng biệt.
Mỗi phía có thể mở một kênh.
>Với mỗi kênh, mỗi phía kết hợp với một số hiệu duy nhất. Các kênh
được điều khiển bằng cơ chế cửa sổ.
>Dữ liệu chỉ được truyền khi không gian của cửa sổ là sẵn sàng. Vòng
đời của một kênh có ba giai đoạn: mở kênh, truyền dữ liệu và đóng
kênh.


Một số giao thức an ninh trên Internet
* Một trong những đặc trưng được sử dụng nhiều nhất trong SSH là
cổng chuyển tiếp.
 Cổng chuyển tiếp có khả năng chuyển bất kỳ một liên kết TCP không an toàn
sang một liên kết SSH an toàn.
 Một cổng là một định danh của người dùng của TCP. Bởi vậy bất cứ ứng
dụng nào chạy trên TCP đều có một số hiệu cổng. Dữ liệu đến ở TCP được
phân phát tới ứng dụng thích hợp dựa trên số hiệu cổng.
 SSH hỗ trợ hai loại cổng chuyển tiếp: công chuyển tiếp địa phương và cổng
chuyển tiếp ở xa.
 Cổng chuyển tiếp địa phương: cho phép chuyển lưu lượng tầng ứng dụng từ
liên kết TCP không an toàn sang dạng “đường ống” SSH an toàn.
 Cổng chuyển tiếp ở xa: Client nhận được một luồng dữ liệu với một số hiệu
cổng đích nó đặt luồng dữ liệu vào đúng cổng và gửi đến đích.


Một số giao thức an ninh trên Internet
4. Giao thức IPsec (IP Security Protocol)
Vào năm 1994, ban kiến trúc Internet đã công bố một bản báo cáo
với nhan đề “An ninh trong kiến trúc Internet”. Báo cáo đã chỉ ra