Đại Học Mỏ Địa Chất Khoa Công Nghệ Thông Tin Bài Tập Lớn Mơn Mạng Máy Tính Chủ Đề 10: An Ninh Mạng Giảng Viên Hướng Dẫn Ks.Đào Anh Thư Sinh Viên Thực Hiện Phạm Công Khiên Lê Thị Hải Yến Trần Bảo Quốc Đoàn Đắc Dũng Chủ Đề 10: An Ninh Mạng Hà Nội 18-03-2012 I Tổng quan an ninh mạng Giới thiệu Mạng máy tính tập máy tính kết nối với để trao đổi thông tin, chúng tham gia vào mạng để chia sẻ phương tiện vật lý chung, quan trọng chia sẻ khai thác thông tin Cùng với phát triển vượt trội Internet, thực đem đến cách mạng cơng nghệ, thay đổi hồn tồn cách làm việc mang lại hiệu thực Internet mạng mạng, hệ thống máy tính lớn giới Bạn nói “thế sao? Tôi nghe bánh sinh nhật lớn giới, q xấu ăn q tệ, chẳng có hấp dẫn cả” Vâng, mạng khơng giống bánh sinh nhật, phát triển ngày, giờ, hấp dẫn đến người dùng đem lại Mọi người kết nối, chia sẻ tài nguyên thông tin bất chấp khoảng cách địa lý, dân tộc, tôn giáo Trong môi trường công nghệ vậy, hẳn nảy sinh nhiều nguy mới: Mất thông tin, thông tin quan trọng rơi vào tay kẻ xấu, phá hoại tổ chức, giả mạo thông tin… An ninh mạng đời để đối phó với mối hiểm họa Nói đơn giản an ninh mạng giống tường để bảo vệ thông tin, luân chuyển đến người dùng Để xây dựng hệ thống an ninh mạng tốt, ta phải hiểu thủ phạm ai? cách thức công nào? Các phương pháp mã hóa, giải thuật khóa, chữ ký điện tử, tường lửa….Tất vấn đề tìm hiểu giải phần An Ninh Mạng Thủ phạm Thủ phạm người xâm nhập mạng trái pháp luật với mục đích ý đồ khơng tốt Vậy họ ai? Vâng! Có thể phân chia họ theo nhóm người sau: - Sinh Viên: Họ tham gia diễn đàn công nghệ, thấy hấp dẫn IT, với tìm hiểu, ham muốn có domain, hosting hay vps… Hoặc lý đó, bạn sinh viên biết mặt trái tồn song hành internet mà người ta quen gọi UG (Under Groud) hay “thế giới ngầm” Tại bạn biết đến credit card – thẻ tín dụng, với “tuts” mà bậc đàn anh trước để lại Là hội để thể thân, tò mò bắt đầu cơng phá hoại Chủ Đề 10: An Ninh Mạng - Doanh Nhân: Họ xâm nhập an ninh mạng để đánh cắp thông tin, tìm hiểu chiến lược kinh doanh đối thủ Nhằm tạo điều kiện thuận lợi cho kinh doanh, công việc Ngồi cịn nhiều thức khác giả mạo thông tin đánh lừa đối phương, tác động tâm lý khách hang, làm đảo lộn thị trường Tất hành động nhằm với - mục đích trục lợi, kiếm tiền cho thân Hacker: Họ người có tài thực sự, có ý hướng mục đích rõ ràng Ở ta cần ý đến khác biệt hacker mũ trắng hacker mũ đen Hacker mũ trắng người cộng đồng, họ tìm hiểu bảo mật (security) lỗ hổng hệ thống Ngược lại hacker mũ đen, người công vào lỗ hổng phần mềm, ăn cắp - quyền, chống phá tổ chức tiền lợi ích Khủng Bố: Thật dễ nhận thấy hành động công an ninh mạng để đạt mục đích kinh tế, trị Thường tổ chức, có hoạt động chặt chẽ, hệ thống, có sức phá hủy ảnh hưởng lớn đến an ninh mạng Để bảo vệ thông tin hiệu cao, cần phải lường trước tốt khả xâm phạm, cố rủi ro thiết bị liệu mạng Xác định xác nguy việc tìm giải pháp xác giảm thiểu thiệt hại Các loại vi phạm chia làm hai loại: vi phạm chủ động vi phạm thụ động Chủ động thụ động hiểu theo nghĩa có can thiệp vào nội dung luồng thông tin trao đổi hay không? Vi phạm thụ động nhằm mục tiêu cuối nắm bắt thơng tin, khơng biết nội dung, dị thông tin người gửi, người nhận nhờ vào thông thông tin điều khiển nằm header gói tin Hơn nữa, kẻ phá hoại cịn kiểm tra số lượng, độ dài, lưu lượng, tần suất trao đổi liệu trao đổi Tóm lại, vi phạm loại không làm sai lệch hủy hoại thơng tin Trong đó, vi phạm chủ động làm biến đổi, xóa bỏ, làm trễ, xếp lại thứ tự, chèn vào số thông tin ngoại lai vào để làm sai lệch thông tin gốc Một hình thức vi phạm chủ động làm vơ hiệu chức phục vụ người dùng tạm thời lâu dài Vi phạm thụ động thường khó Chủ Đề 10: An Ninh Mạng phát dễ ngăn chặn, ngược lại, vi phạm chủ động dễ phát khó ngăn chặn Kẻ phá hoại xâm nhập đâu có thơng tin mà họ quan tâm Có thể đường truyền, máy chủ nhiều người dùng, máy trạm, hay thiết bị kết nối (bridge, router, gateway,…) thiết bị ngoại vi, bàn phím, hình cửa ngõ thuật lợi cho loại xâm nhập trái phép Cách thức công Thế giới mạng rộng lớn bao la, hàng ngày có nhiều dịch vụ, ứng dụng đời, lẽ mà chế cách thức công tội phạm mạng ngày nhiều, biến đổi khơn lường Khó phân nhóm nêu hết cách thức cơng tội phạm mạng, nên xin đưa vài loại hình bật, giúp có nhìn sơ hoạt động xâm phạm an ninh mạng 3.1 Tấn công đến người dùng, cá nhân Ngày người sử dụng Internet phải đối mặt với nhiều rủi ro như: virus, lừa đảo, bị theo dõi (gián điệp – spyware) bị đánh cắp liệu, bị đánh phá website (nếu chủ sở hữu website) v.v Bên liệt kê nguy điển hình: a Spam (thư rác): người nhận ngày nhận vài, vài chục, đến vài trăm thư rác, gây thời gian, tài nguyên (dung lượng chứa, thời gian tải ) b Virus máy tính: xuất lần vào năm 1983 Virus chương trình máy tính có khả tự nhân lan tỏa Mức độ nghiêm trọng virus dao động khác tùy vào chủ ý người viết virus, virus chiếm tài nguyên máy tính làm tốc độ xử lý máy tính chậm đi, nghiêm trọng hơn, virus xóa file, format lại ổ cứng gây hư hỏng khác Ngày xưa virus chủ yếu lan tỏa qua việc sử dụng chung file, đĩa mềm ngày môi trường Internet, virus có hội lan tỏa rộng hơn, nhanh Virus đa phần gửi qua email, ẩn file gửi kèm (attachment) lây nhiễm mạng nội doanh nghiệp, làm doanh Chủ Đề 10: An Ninh Mạng nghiệp phải tốn thời gian, chi phí, hiệu quả, liệu Cho đến hàng chục nghìn loại virus nhận dạng ước tính tháng có khoảng 400 loại virus tạo c Sâu máy tính (worms): sâu máy tính khác với virus chỗ sâu máy tính khơng thâm nhập vào file mà thâm nhập vào hệ thống Ví dụ: sâu mạng (network worm) tự nhân toàn hệ thống mạng Sâu Internet tự nhân tự gửi chúng qua hệ thống Internet thông qua máy tính bảo mật Sâu email tự gửi nhân chúng qua hệ thống email d Trojan (đặt tên theo truyền thuyết ngựa Trojan thành Troy): loại chương trình nguy hiểm (malware) dùng để thâm nhập vào máy tính mà người sử dụng máy tính khơng hay biết Trojan cài đặt chương trình theo dõi bàn phím (keystroke logger) để lưu lại hết phím gõ sau gửi “báo cáo” cho địa email quy định trước (thường địa email chủ nhân Trojan) Như vậy, người sử dụng máy tính bị nhiễm Trojan bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín dụng thông tin quan trọng khác Phương pháp thông dụng dùng để cài Trojan gửi email ngẫu nhiên với nội dung khuyến cáo người sử dụng nên click vào đường link cung cấp email để đến website Và người nhận email tin lời click máy tính họ tự động bị cài Trojan Không giống virus, Trojan không tự nhân e Lừa đảo qua mạng (Phishing): xuất từ năm 1996, Phishing dạng kẻ lừa đảo giả dạng tổ chức hợp pháp ngân hàng, dịch vụ toán qua mạng để gửi email hàng loạt yêu cầu người nhận cung cấp thông tin cá nhân thơng tin tín dụng Nếu người tin cung cấp thơng tin kẻ lừa đảo dùng thơng tin để lấy tiền từ tài khoản “khổ chủ” Một dạng lừa đảo hay gặp khác email gửi hàng loạt đến người nhận, tuyên bố người nhận may mắn trúng giải thưởng lớn, yêu cầu người nhận gửi số tiền nhỏ (vài nghìn dollar Mỹ) để làm thủ tục nhận giải thưởng (vài triệu dollar Mỹ) Đã có số báo Việt Nam nêu vài “nạn nhân” Việt Nam Một nguy khác xuất nhiều gần kẻ lừa đảo tạo website bán hàng, bán dịch vụ “y thật” mạng tối ưu hóa chúng Google để “nạn nhân” tự tìm thấy mua hàng/dịch vụ website Thực tế, nạn nhân chọn hàng/dịch vụ cung cấp đầy đủ thông tin thẻ tín dụng, nạn nhân khơng nhận hàng/dịch vụ mua mà bị đánh cắp toàn thơng tin thẻ tín dụng, dẫn đến bị tiền tài khoản 3.2 Tấn công từ chối dịch vụ đến trang mạng (dos, ddos, drdos, botnet) Tấn công từ chối dịch vụ khơng q khó thực hiện, khó phịng chống tính bất ngờ thường phòng chống bị động việc Các kỹ thuật công từ chối dịch vụ vấn nạn nguy hại lớn cho Internet tồn cầu Có nhiều việc phải làm chuẩn bị để kiểm soát chúng Chúng ta phải có Chủ Đề 10: An Ninh Mạng bước cụ thể mạnh mẽ để khống chế loại hình cơng Vì thế, việc tìm hiểu kỹ nhé! a Tấn cơng từ chối dịch vụ Dos Tấn công DoS kiểu công mà người làm cho hệ thống sử dụng, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống Nếu kẻ cơng khơng có khả thâm nhập vào hệ thống, chúng cố gắng tìm cách làm cho hệ thống sụp đổ khơng có khả phục vụ người dùng bình thường tấ n công Denial of Service (DoS) Mặc dù cơng DoS khơng có khả truy cập vào liệu thực hệ thống làm gián đoạn dịch vụ mà hệ thống cung cấp Như định nghĩa DoS công vào hệ thống khai thác yếu hệ thống để cơng Mục đích: Cố gắng chiếm băng thông mạng làm hệ thống mạng bị ngập (flood), hệ thống mạng khơng có khả đáp ứng dịch vụ khác cho người dùng bình thường Cố gắng làm ngắt kết nối hai máy, ngăn chặn trình truy cập vào dịch vụ Băng thông Chủ Đề 10: An Ninh Mạng hệ thống mạng (Network Bandwidth), nhớ, ổ đĩa, CPU Time hay cấu trúc liệu mục tiêu công DoS Tấn công vào hệ thống khác phục vụ cho mạng máy tính như: hệ thống điều hoà, hệ thống điện, quạt làm mát nhiều tài nguyên khác doanh nghiệp Bạn thử tưởng tượng nguồn điện vào máy chủ web bị ngắt người dùng truy cập vào máy chủ khơng? b Tấn cơng từ chối dịch vụ phân tán Ddos Trên Internet công Distributed Denial of Service (DDoS) hay cịn gọi cơng từ chối dịch vụ phân tán dạng công từ nhiều máy tính tới đích, gây từ chối yêu cầu hợp lệ user bình thường Bằng cách tạo gói tin cực nhiều đến đích cụ thể, gây tình trạng tương tự hệ thống bị shutdown Nhìn chung, có nhiều biến thể kỹ thuật cơng DDoS nhìn góc độ chun mơn chia biến thề thành hai loại dựa mụch đích cơng: Làm cạn kiệt băng thông làm cạn kiệt tài nguyên hệ thống DDos cơng từ hệ thống máy tính cực lớn Internet, thường dựa vào dịch vụ có sẵn máy tính mạng botnet Là dạng cơng khó phát công sinh từ nhiều địa IP Internet Nếu địa IP cơng cơng ty, chặn Firewall Nếu từ 30.000 địa IP khác, điều vơ khó khăn Thủ phạm gây nhiều ảnh hưởng công từ chối dịch vụ DoS, điều nguy hiểm chúng sử dụng hệ thống mạng Bot internet thực cơng DoS gọi công DDoS C DRdos (Distributed Reflection Denial of Service) Chủ Đề 10: An Ninh Mạng Xuất vào đầu năm 2002, kiểu công nhất, mạnh họ DoS Nếu thực kẻ cơng có tay nghề hạ gục hệ thống giới phút chốc DRDoS phối hợp hai kiểu DoS DDoS Mục tiêu DRDoS chiếm đoạt tồn băng thơng máy chủ, tức làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống Internet tiêu hao tài nguyên máy chủ Ta có Server A Victim, giả sử ta gửi SYN packet đến Server A IP nguồn bị giả mạo thành IP Victim Server A mở connection gủi SYN/ACK packet cho Victim nghĩ Victim muốn mở connection với Và khái niệm Reflection (Phản xạ ) Hacker điều khiển Spoof SYN generator, gửi SYN packet đến tất TCP Server lớn, lúc TCP Server vơ tình thành Zombie cho Hacker để công Victim làm nghẽn đường truyền Victim Với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị tải, bandwidth bị chiếm dụng server lớn Tính “nghệ thuật” chỗ cần với máy tính với modem 56kbps, hacker lành nghề đánh bại máy chủ giây lát mà không cần chiếm đoạt máy để làm phương tiện thực cơng D Tìm hiểu Bot, Botnet Bot gì? chương trình tương tự Trojan backdoor cho phép kẻ công sử dụng máy họ Zoombie (máy tính thây ma – máy tính bị chiếm quyền điều khiển hồn tồn) chúng chủ động kết nối với Server để dễ dàng điều khiển, bạn lưu ý chữ “chủ động” đặc điểm khác bot so với trojan backdoor Chính chủ động mà máy tính bị cài đặt chúng kết nối trở nên chậm chạp, đặc điểm giúp ta dễ dàng nhận diện bot Tại gọi mạng botnet: Mạng botnet mạng lớn gồm hàng trăm hàng ngàn máy tính Zombie kết nối với máy chủ mIRC (Internet Replay Chat) qua máy chủ DNS để nhận lệnh từ hacker cách nhanh Các mạng bot gồm hàng ngàn “thành viên” công cụ lý tưởng cho chiến tranh đọ máu DDOS, spam, cài đặt chương trình quảng cáo … 3.3 Tấn công vào lỗ hổng bảo mật phần mềm, mã nguồn, nhà cung cấp dịch vụ… Gần bạn có biết đến kiện Bkav bị hacker đột nhập chiếm đoạt quyền quản trị, bên cạnh có nhiều đợt cơng ddos khiến cho bkav.com.vn gặp khó khăn việc truy cập Hacker xâm nhập vào forum diễn đàn bkav qua lỗ hổng mã nguồn vbb, qua dịch vụ mà bkav cung cấp qua server chủ bkav Hậu trang web bị thay đổi giao diện, tồn database forum bị drop (xóa), hàng nghìn thông tin cá nhân, email bị lộ… Chủ Đề 10: An Ninh Mạng Hay kiện Sau trở thành trình duyệt bất khả chiến bại thi Pwn2own 2011, Google tuyên bố thưởng 60.000 USD cho khai thác thành công lỗ hổng Chrome Windows năm thi năm (2012) Cơ chế bảo mật Chrome đánh giá mạnh nhiều so với trình duyệt đối thủ nhờ trang bị công nghệ gọi sandbox (hộp cát) giúp Chrome hoạt động tách biệt với phần cịn lại hệ điều hành Do đó, bị cơng, hacker khơng giành tồn quyền kiểm soát hệ thống Tuy thế, thi này, khơng Sergey Glazunov, nhóm hacker khác đến từ Pháp Vupen khống chế Chrome chưa đầy phút "Chúng muốn chứng minh Chrome phá vỡ", đại diện Vupen cho hay "Năm ngối, chúng tơi đọc nhiều tin nói việc khơng khai thác Chrome Internet Explorer Firefox bị hack dễ dàng Chúng muốn Chrome bị hạ gục năm nay" Vupen tuần để phát hai lỗ hổng chưa biết đến Chrome Họ tìm cách tương tự để hạ Firefox Internet Explorer muốn thành công với Chrome trước Nói khơng đâu cho xa, Anh Phạm Kim Long, tác giả phần mềm Unikey xác nhận thông tin website http://unikey.org bị hacker kiểm soát dẫn đến đường link có phần mềm bị chèn mã độc Anh Long cho biết, người tải phần mềm từ unikey.org tháng 2/2012 vừa bị ảnh hưởng Bởi bị Đây lối cơng địi hỏi hacker cần có kiến thức chun sâu, bỏ thời gian công sức nhiều để nghiên cứu victim Các phần mềm (chrome, kis, office…) hay mã nguồn web (vbb, nuke, jomla ) nạn nhân tầm ngắm hacker Cũng lý mà version - phiên sau update để dần hồn thiện đối phó với hacker Khi mà việc bảo mật trở thành tường lửa vững trãi, khó nhăm nhe, lúc hacker lại nghĩ đến việc xâm nhập đến nhà cung cấp dịch vụ mạng Để hình dùng cách thức này, ta nhìn đến trang bảo mật lớn Việt Nam Hvaonline.net Kể từ giai đoạn (khoảng năm 2002), bảo mật HVA vươn tới đỉnh cao “toàn cõi” hệ thống mạng Việt Chủ Đề 10: An Ninh Mạng Nam HVA khơng cịn tình trạng “dời nhà” hay bị “đột nhập” nữa, dù thực tế không ngày không bị cơng, tình trạng DoS, flood,… xảy liên miên không dứt Lần HVA “bị hack” domain hackervn.net (domain ngày trước) bị VHF lấy tiếp tay phi pháp tổ chức internet nước bất cẩn khơng đáng có quan quản lý domain HVA, dù trước HVA nhiều lần cảnh báo với họ lỗ hổng nguy hiểm hệ thống họ Trong thật server HVA lúc vững vàng hết VHF khơng xâm nhập vào nên “đi dạo” lịng vịng ngồi tìm cách hack domain (vốn không thuộc quyền quản lý hay nhận được bảo vệ trực tiếp HVA) Trên vài ví dụ giúp hình dung có nhìn đơn giản mối đe dọa mà haker thường dùng Trong đó, thực tế lại có vơ vàn, hàng ngàn cách thức mà hacker xâm phạm an ninh mạng Internet miếng mồi ngon để hacker ngó đến, mà an ninh mạng trọng, nâng cao vai trò thiết thực hết! II Mật mã truyền thống, mật mã máy tính, mã hóa liệu Từ người có nhu cầu trao đổi thông tin, thư từ cho nhau, đặc biệt internet đời phát triển, đòi hỏi phải giữ an tồn, bí mật cho liệu Để bảo mật thông tin, người ta sớm nghĩ đến việc che dấu nội dung cách biến dạng để người ngồi khơng thể đọc hiểu được, đồng thời có cách khơi phục lại ngun dạng ban đầu để người đọc hiểu Theo cách gọi ngày dạng biến đổi gọi mật mã văn bản, làm mật mã cho văn gọi phép lập mật mã, cách khôi phục lại nguyên dạng ban đầu phép giải mã Phép lập mật mã giải mã thực nhờ chìa khóa riêng mà người biết, sau ta gọi khóa mật mã Từ thập niên gần đây, bước vào kỷ nguyên máy tính, nhiều lĩnh vực khác, lĩnh vực mật mã có chuyển biến to lớn từ giai đoạn mật mã truyền thống sang giai đoạn mật mã máy tính Việc chuyển sang giai đoạn mật mã máy tính trước hết có tác dụng phát triển đại hóa hệ thống mật mã theo kiểu truyền thống, làm cho hệ thống có cấu trúc tinh tế hơn, đòi hỏi lập mật mã giải mã phức tạp nhiều, hiệu giữ bí mật giải pháp mật mã nâng cao trước nhiều Tuy nhiên, bước chuyển có tính chất cách mạng mà mật mã máy tính lại phát minh hệ mật mã có khóa công khai, năm 1970 Chúng ta tìm hiểu đơi nét phát triển việc mã hóa qua giải thuật từ truyền thống đến đại Mật mã truyền thống 10 Chủ Đề 10: An Ninh Mạng Để đạt độ an tồn tương đương, thuật tốn mật mã hóa khóa bất đối xứng địi hỏi khối lượng tính tốn nhiều đáng kể so với thuật tốn mật mã hóa khóa đối xứng Vì thực tế hai dạng thuật toán thường dùng bổ sung cho để đạt hiệu cao Trong mơ hình này, bên tham gia trao đổi thông tin tạo khóa đối xứng dùng cho phiên giao dịch Khóa trao đổi an tồn thơng qua hệ thống mã hóa khóa bất đối xứng Sau bên trao đổi thơng tin bí mật hệ thống mã hóa đối xứng suốt phiên giao dịch So sánh phương pháp mật mã Để đánh giá giải thuật mã hoá cần dựa vào yếu tố độ phức tạp, thời gian mã hoá vấn đề phân phối khố mơi trường nhiều người sử dụng Các phương pháp mã hoá cổ điển phương pháp đổi chỗ thay đơn giản sử dụng sớm Nhược điểm chúng độ an tồn khơng cao thường khơng đạt độ phức tạp cần thiết đồng thời dễ bị lộ khoá người gửi lẫn người nhận phải biết khố Cịn phương pháp mã hố sử dụng khố cơng khai (như RSA) khắc phục vấn đề phân phối khố song lại có chi phí cao chậm chạp Trong thời gian mã hố phương pháp DES địi hỏi vài micro giây phương pháp RSA lại địi hỏi tới vài mili giây, hạn chế thơng lượng mức 50 Kb/s Hai nguyên tắc mật mã Sự dư thừa (Redundancy): Nguyên tắc tất tin nhắn mã hóa phải chứa số dự phịng, có nghĩa thơng tin khơng cần thiết để hiểu thơng điệp Lấy ví dụ để minh họa Công ty TKT54 bán sản phẩm cơng nghệ, lập trình viên họ định tin nhắn đặt hàng nên bao gồm tên khách hàng 16-byte theo sau trường liệu 3-byte (1 byte cho số lượng byte cho sản phẩm số) byte cuối mã hóa cách sử dụng chìa khóa dài biết đến khách hàng TCP Nghe an tồn, thật khơng may, có lỗ hổng chết người làm cho vô dụng Giả sử nhân viên gần bị đuổi việc muốn trừng phạt công ty TT54 Trước rời đi, nhân viên có danh sách khách hàn viết chương trình để tạo đơn đặt hàng giả cách sử dụng tên khách hàng thực Chỉ cần đặt số ngẫu nhiên byte cuối cùng, gửi hàng trăm đơn đặt hàng đến TKT54 Vấn đề giải việc bổ sung dự phòng cho tất tin nhắn Ví dụ, tin nhắn để mở rộng đến 12 byte, với dã dư thừa dự phịng, nhân viên cũ khơng cịn tạo dòng tin nhắn hợp lệ Bài học câu chuyện tất tin nhắn phải 15 Chủ Đề 10: An Ninh Mạng có dư thừa đáng kể để kẻ xâm nhập hoạt động khơng thể gửi rác ngẫu nhiên hiểu tin nhắn hợp lệ Đổi (Freshness): Nguyên tắc mật mã thứ hai số biện pháp phải thực để đảm bảo tin nhắn nhận được xác nhận tươi Biện pháp cần thiết để ngăn chặn kẻ xâm nhập hoạt động từ chơi lại tin nhắn cũ Nếu khơng có biện pháp thực hiện, nhân viên cũ chúng tơi khai thác đường dây điện thoại cơng ty giữ lặp lặp lại trước gửi tin nhắn hợp lệ Giới thiệu hàm băm với thuật toán MD5 Mã hóa kỹ thuật bảo mật làm biến đổi (converts) liệu từ hình thức đơn giản, rõ ràng (plain cleartext form) sang hình thức liệu biến thành mật mã (coded, ciphertext form) Chỉ có thơng tin giải mã cần thiết decode đọc nội dung liệu Encryption chiều, có nghĩa mã hóa thiết kế để ẩn cleartext khơng giải mã Hoặc chiều chuỗi ki tự mã hóa (ciphertext) chuyển trở lại thành cleartext đọc Hàm băm (tiếng Anh: hash function) giải thuật nhằm sinh giá trị băm tương ứng với khối liệu (có thể chuỗi kí tự, đối tượng lập trình hướng đối tượng, v.v ) Giá trị băm đóng vai gần khóa để phân biệt khối liệu Các hàm băm ứng dụng nhiều lĩnh vực, chúng thường thiết kế phù hợp với ứng dụng Một hàm băm tốt 16 Chủ Đề 10: An Ninh Mạng phép biến đổi "một chiều", nghĩa khơng có phương pháp thực tiễn để tính tốn liệu vào tương ứng với giá trị băm mong muốn, việc giả mạo khó khăn Trong xử lý hàm băm liệu đầu vào khác độ dài, độ dài xử lý Hash lại cố định Hashing sử dụng số mơ hình xác thực password Một giá trị hash gắn với thơng điệp đện tử (electronic message) nhằm hỗ trợ tính tích hợp liệu hỗ trợ xác định trách nhiệm chối từ (non-repudiation) Mặt khác, hai chuỗi đầu vào cho giá trị đầu Bất thay đổi đầu vào ạo giá trị khác đầu ra, sử dụng để kiểm tra tính tồn vẹn tin Thơng thường sử dụng hàm băm MD 2, Mã hóa MD5: MD5 "Message-Digest algorithm 5", function MD5 tạo hash Tại phải hash? Giả sử user A có password a, password application "hash" thành 0cc175b9c0f1b6a831c399e269772661 chứa vào CSDL Khi user A login dùng password a để đăng nhập, application hash a so sánh giá trị vừa hash xong với giá trị lưu CSDL Nếu chúng trùng nhau, user A vào Nếu hệ thống bị nhân nhượng, kẻ công thu thập hashed password muốn dùng chúng, phải brute force (mất thời gian thành cơng) 17 Chủ Đề 10: An Ninh Mạng III Chữ ký điện tử việc xác minh Giới thiệu tổng quan Trong giới số, có cách để xác thực người mức độ tin cậy thông tin máy tính Một Pass Card (Thẻ thơng hành) mà nước ta chưa phổ biến Hai Password, cách sử dụng tên truy nhập (User Name) mật (Password) cung cấp cho Form đăng nhập xác thực thông tin Thứ ba, dùng Digital Signature (chữ ký điện tử) Chữ ký điện tử phương thức để đảm bảo xác thực tài liệu điện tử (E-mail, File text, bảng tính ) Chuẩn chữ ký điện tử DSS (Digital Signature Standard) tiêu chuẩn dựa dạng phương pháp mã hóa khóa cơng khai sử dụng thuật tốn DSA (Digital Signature Algorithm), định dạng cho chữ ký điện tử chứng thực phủ Mỹ Thuật tốn DSA gồm có khóa riêng (Private Key) biết người chủ tài liệu khóa cơng khai (Public Key) mà cần biết Đầu tiên vấn đề ký tài liệu Với chữ ký thơng thường, phần vật lý tài liệu Tuy nhiên, chữ ký số không gắn theo kiểu vật lý vào điện nên thuật tốn dùng phải “khơng nhìn thấy” theo cách điện Thứ hai vấn đề kiểm tra Chữ ký thông thường kiểm tra cách so sánh với chữ ký xác thực khác Ví dụ, ký séc để mua hàng, người bán phải so sánh chữ ký mảnh giấy với chữ ký nằm mặt sau thẻ tín dụng để kiểm tra Dĩ nhiên, khơng phải phương pháp an tồn dể dàng giả mạo Mắt khác, chữ ký số kiểm tra nhờ dùng thuật tốn kiểm tra cơng khai Như vậy, kiểm tra chữ ký số Việc dùng sơ đồ chữ ký an tồn ngăn chặn khả giả mạo Bản thân bạn người cấp cho khóa điện tử Public Key Private Key nêu Bạn phải giữ gìn Private Key cẩn thận giữ chìa khóa xe Khi có người dùng Public Key để mã hóa thư gửi cho bạn, bạn phải dùng Private Key để giải mã 18 Chủ Đề 10: An Ninh Mạng đọc thư Đồng nghiệp hay người thân bạn dù có biết thư chịu khơng tài giải mã Dùng Private Key, với phần mềm phù hợp, bạn ký tên lên văn hay tập tin liệu Chữ ký điện tử tương tự tem độc vô nhị dán lên văn bản, khó giả mạo Ngồi ra, chữ ký đảm bảo phác giác thay đổi liệu “ký” Để ký lên văn bản, phần mềm ký tên bạn nghiền (crunch down) liệu để kết lại vài dịng, gọi thơng báo tóm tắt, tiến trình gọi “kỹ thuật băm” (hashing), tạo thành chữ ký điện tử Cuối cùng, phần mềm ký tên bạn gắn chữ ký điện tử vào văn Khi bạn gửi văn ký tên đến cho đồng nghiệp dùng Public Key giải mã chữ ký ngược trở lại thành thông báo tóm tắt để biết có phải bạn ký tên vào văn hay không Đồng thời dùng phần mềm tạo thơng báo tóm tắt từ liệu văn so sánh với thơng báo tóm tắt bạn tạo Nếu hai thơng báo tóm tắt giống tức liệu văn toàn vẹn, không bị thay đổi người khác Để cho ăn hơn, tránh tình trạng người khác làm giả chữ ký để đánh lừa người nhận, bạn xin chứng điện tử (Digital Certificate) quan có thẩm quyền để chứng thực cho Public Key bạn Để xác định xác tính trung thực văn trường hợp này, trước tiên đồng nghiệp bạn phải dùng Public Key quan chứng thực cung cấp kiểm tra chứng bạn để xác nhận có chứng thật khơng Tiếp theo, phần mềm mình, lấy Public Key từ chứng bạn dùng để kiểm tra giải mã chữ ký bạn Nếu Public Key bạn giải mã thành công chữ ký, yên tâm chữ ký tạo từ Private Key bạn Bất kỳ người khác khó lịng xen vào q trình tổ chức chặt chẽ để sửa đổi liệu văn hịng đánh lừa người nhận Nói dài dịng thực tế q trình bao gồm có bước đơn giản kích vào chữ ký xem báo cáo kiểm tra phần mềm chứng thực chữ ký để biết kết Sơ đồ hình thức chữ ký 19 Chủ Đề 10: An Ninh Mạng Người gửi (chủ nhân văn bản) tạo chữ ký văn khóa riêng mình; Người gửi chuyển văn chữ ký cho người nhận Người nhận văn sử dụng chìa khóa cơng khai người gửi kiểm thử chữ ký văn nhận Chữ ký làm giả có người gửi có chìa khóa bí mật để ký, khơng giả mạo khơng có khóa bí mật Văn ký thay đổi nội dung Người ký khoong thể thối thác chữ ký Bài tốn xác nhận với chữ ký điện tử, theo nghĩa xem đối ngẫu với tốn mã hóa hệ mã cơng khai Và nên an toàn sơ đồ ký giống thuật tốn mã khóa cơng khai phụ thuộc vào độ khó tốn Một sơ đồ chữ ký số 5( P, A, K, S, V) thoả mãn điều kiện đây: - P tập hữu hạn điện - A tập hữu hạn chữ ký - K khơng gian khố tập hữu hạn khố Với k thuộc K tồn thuật toán ký sig(k) ∈ S thuật toán xác minh ver(k) ∈ V Mỗi sig(k): P → A ver(k): P×a →{true,false} hàm cho điện x∈ P chữ ký y∈ A thoả mãn phương trình ver(k)True-nếu y=sig(x) ver(k)False-nếu y# sig(x) Với k thuộc K hàm sig(k) ver(k) hàm thời than đa thức Ver(k) hàm công khai sig(k) mật Không thể dể dàng tính tốn để giả mạo chữ ký anh A điện x Nghĩa x cho trước, có anh A tính y để ver(k) = True Như vậy, giống trường hợp hệ thống mã khố cơng khai, mục đích tìm sơ đồ chữ ký số an toan mặt tính tốn Sơ đồ chữ ký RSA Chúng ta nghiên cứu đến sơ đồ chữ ký RSA Đặc điểm sơ đồ chữ ký mức độ tính tốn phụ thuộc hồn tồn vàođộ lớn giải thuật giải toán nhân số nguyên toán luỹ thừa Sơ đồ chữ ký RSA phát minh nhà nghiên cứu Rivest, Shamir Adleman, 20 Chủ Đề 10: An Ninh Mạng sơ đồ có ứng dụng thực tế rộng rãi dựa cơng nghệ sử dụng khố chung Các phương pháp công RSA (multicative property) vấn đề khác liên quan tới chữ ký RSA đưa Davia, Jonge Chaum Cho n= p.q, p q số nguyên tố Cho P =A= Z n ab ≡ 1(mod( φ (n))) Các giá trị n b công khai, a giữ bí mật Hàm kí: a sig (x)= x mod n kiểm tra k chữ kí: ver (x,y)= true ⇔ x ≡ yb (mod n) (x, y ∈ Z ) k n Dễ chứng minh sơ đồ định nghĩa hợp thức, tức với x thuộc P, chữ ký y thuộc A: ver (x,y)= true ⇔y = sig (x) k k Chú ý rằng, hai vấn đề xác nhận bảo mật theo sơ đồ RSA có bề ngồi giống nhau, nội dung chúng hoàn toàn khác nhau: Khi A gửi thông báo x cho B, để có xác nhận thực thông báo A gửi, A phải gửi kèm theo chữ ký Sig k(x), tức A gửi cho B (x, Sigk(x)), thơng tin gửi đó, thơng báo x hồn tồn khơng giữu bí mật Cũng tương tự vậy, dùng sơ đồ mật mã RSA, chủ thể A nhận mật mã e k(x) từ B A biết thơng báo x bảo mật, khơng có để xác nhận x B IV: Tường lửa – firewall FireWall gì? Trong ngành mạng máy tính, tường lửa (tiếng Anh: firewall) rào chắn mà số cá nhân, tổ chức, doanh nghiệp, quan nhà nước lập nhằm ngăn chặn người dùng mạng Internet truy cập thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên truy nhập thông tin bảo mật nằm mạng nội Đã có nhiều giải pháp bảo mật cho mạng máy tính đưa dùng phần mềm, chương trình để bảo vệ tài nguyên, tạo tài khoản truy xuất mạng địi hỏi có mật … giải pháp bảo vệ phần mạng máy tính mà thơi, kẻ phá hoại mạng máy tính thâm nhập sâu vào bên mạng có nhiều cách để phá hoại hệ thống mạng Vì đặt u cầu phải có cơng cụ để 21 Chủ Đề 10: An Ninh Mạng chống xâm nhập mạng bất hợp pháp từ bên ngồi mạng, nguyên nhân dẫn tới đời Firewall (Tường lửa) Tường lửa thiết bị phần cứng phần mềm hoạt động môi trường máy tính nối mạng để ngăn chặn số liên lạc bị cấm sách an ninh cá nhân hay tổ chức, việc tương tự với hoạt động tường ngăn lửa tòa nhà Tường lửa gọi Thiết bị bảo vệ biên giới (Border Protection Device - BPD) Nhìn chung lại, Firewall có chức sau: - Lọc gói liệu vào mạng lưới Quán lý hành vi khai thác vào mạng lưới Ngăn chặn hành vi Ghi chép nội dung tin tức hoạt động thông qua tường lửa Tiến hành đo thử giám sát cảnh báo công mạng lưới Ưu nhược điểm Firewall Ưu điểm dễ nhận thấy Firewall bảo vệ mạng cục Cho phép người quản trị xác định điểm khống chế ngăn chặn để phòng ngừa tin tặc, hacker xâm nhập vào mạng nội Cấm không cho loại dịch vụ an toàn vào mạng, đồng thời chống trả cơng kích đến từ nơi khác Tính an toàn mạng củng cố hệ thống Firewall mà phân bố tất máy chủ mạng Bảo vệ dịch vụ yếu mạng Firewall dễ dàng giám sát tính an tồn mạng phát cảnh báo Firewall sử dụng để quản lý lưu lượng từ mạng ngoài, xây dựng phương án chống nghẽn Nhược điểm Firewall không đủ thông minh người để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công cơng khơng "đi qua" Một cách cụ thể, Firewall chống lại cơng từ đường dial-up, rị rỉ thơng tin liệu bị 22 Chủ Đề 10: An Ninh Mạng chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall khơng thể làm nhiệm vụ rà qt virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, khỏi khả kiểm sốt Firewall Firewall ngǎn chặn kẻ xấu từ bên ngồi cịn kẻ xấu bên Tuy nhiên, Firewall giải pháp hữu hiệu áp dụng rộng rãi Để có khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên sử dụng kết hợp với biện pháp an ninh mạng phần mềm diệt virus, phần mềm đóng gói, mã hố liệu Đặc biệt, sách bảo mật thực cách phù hợp có chiều sâu vấn đề sống cịn để khai thác tối ưu hiệu phần mềm bảo mật Và cần nhớ công nghệ phần giải pháp bảo mật Một nhân tố quan trọng định thành công giải pháp hợp tác nhân viên, đồng nghiệp Firewall phần cứng, Firewall phần mềm Firewall phần cứng cung cấp mức độ bảo vệ cao so với Firewall phần mềm dễ bảo trì Firewall phần cứng có ưu điểm khác không chiếm dụng tài nguyên hệ thống máy tính Firewall phần mềm Firewall phần cứng lựa chọn tốt doanh nghiệp nhỏ, đặc biệt cho cơng ty có chia sẻ kết nối Internet Có thể kết hợp Firewall định tuyến hệ thống phần cứng sử dụng hệ thống để bảo vệ cho toàn mạng Firewall phần cứng lựa chọn đỡ tốn chi phí so với Firewall phần mềm thường phải cài máy tính cá nhân mạng 23 Chủ Đề 10: An Ninh Mạng Trong số cơng ty cung cấp Firewall phần cứng kể tới Linksys (http://www.linksys.com) NetGear (http://www.netgear.com) Tính Firewall phần cứng công ty cung cấp thường tích hợp sẵn định tuyến dùng cho mạng doanh nghiệp nhỏ mạng gia đình Firewall phần mềm: Nếu khơng muốn tốn tiền mua Firewall phần cứng bạn sử dụng Firewall phần mềm Về giá cả, Firewall phần mềm thường khơng đắt firewall phần cứng, chí số cịn miễn phí (phần mềm Comodo Firewall Pro, PC Tools Firewall Plus, ZoneAlarm Firewall …) bạn tải từ mạng Internet So với Firewall phần cứng, Firewall phần mềm cho phép linh động hơn, cần đặt lại thiết lập cho phù hợp với nhu cầu riêng cơng ty Chúng hoạt động tốt nhiều hệ thống khác nhau, khác với Firewall phần cứng tích hợp với định tuyến làm việc tốt mạng có qui mơ nhỏ Firewall phần mềm lựa chọn phù hợp máy tính xách tay máy tính bảo vệ cho dù mang máy tính nơi Phân loại Firewall Hiện có nhiều loại Firewall, để tiện cho q trình nghiên cứu phát triển, người ta chia Firewall làm hai loại bao gồm: - Packet Filtering Firewall: hệ thống tường lửa thành phần bên mạng - bên ngồi mạng có kiểm sốt Application-proxy Firewall: hệ thống cho phép kết nối trực tiếp máy khách host 24 Chủ Đề 10: An Ninh Mạng 4.1 Packet Filtering Firewall Đây kiểu Firewall thông dụng hoạt động dựa mô hình OSI mức mạng Firewall mức mạng thường hoạt động theo nguyên tắc router hay gọi router, tức tạo luật lệ quyền truy cập mạng dựa mức mạng Mơ hình hoạt động theo nguyên tắc lọc gói tin Ở kiểu hoạt động gói tin kiểm tra địa nguồn nơi chúng xuất phát Sau địa IP nguồn xác định, tiếp tục kiểm tra với luật đặt router Với phương thức hoạt động vậy, Firewall hoạt động lớp mạng có tốc độ xử lý nhanh kiểm tra địa IP nguồn mà khơng cần biết địa địa sai hay bị cấm Đây hạn chế kiểu Firewall khơng đảm bảo tính tin cậy Lỗ hổng kiểu Firewall sử dụng địa IP nguồn để làm thị Khi gói tin mang địa nguồn địa giả vượt qua số mức truy nhập để vào bên mạng Firewall kiểu packet filtering chia làm hai loại: - Packet filtering firewall: Hoạt động lớp mạng (Network Layer) mơ hình OSI Các luật lọc gói tin dựa trường IP header, transport header, địa IP nguồn địa IP đích … Securityperimeter Private Network Internet Packet filtering router Packet filtering firewall - Circuit level gateway: Hoạt động lớp phiên (Session Layer) mơ hình OSI Mơ hình khơng cho phép kết nối end to end 25 Chủ Đề 10: An Ninh Mạng Circuitlevel gateway outside connection out in out in out in Outsidehost Circuit level gateway inside connection Insidehost 4.2 Application-proxy firewall Khi mộ kết nối từ người dùng đến mạng sử dụng Firewall kiểu kết nối bị chặn lại, sau Firewall kiểm tra trường có liên quan gói tin yêu cầu kết nối Nếu việc kiểm tra thành cơng, có nghĩa trường thông tin đáp ứng luật đặt Firewall Firewall tạo mộ cầu kết nối cho gói tin qua * Ưu điểm: - Khơng có chức chuyển tiếp gói tin IP - Điều khiển cách chi tiết kết nối thông qua Firewall - Đưa công cụ cho phép ghi lại trình kết nối * Nhược điểm: - Tốc độ xử lý chậm - Sự chuyển tiếp gói tin IP mộ máy chủ nhận mộ yêu cầu từ mạng chuyển chúng vào mạng lỗ hổng cho hacker xâm nhập - Kiểu firewallnày hoạt động dựa ứng dựng phần mềm nên phải tạo cho dịch vụ mạng trình ứng dựng uỷ quyền (proxy) Firewall (Ex Ftp proxy, Http proxy) * Firewall kiểu Application- proxy chia thành hai loại: - Applicatin level gateway: Hoạt động lớp ứng dụng (Application Layer) mơ hình TCP/IP Application level gateway outside connection Outsidehost TELNET inside connection FTP SMTP HTTP Application-proxy firewall 26 Insidehost Chủ Đề 10: An Ninh Mạng - Stateful multilayer inspection firewall: Đây loại Firewall kết hợp tính loại Firewall trên, mơ hình lọc gói tin lớp mạng kiểm tra nội dung gói tin lớp ứng dụng Loại Firewall cho phép kết nối trực tiếp client host nên giảm thiểu lỗi, cung cấp tính bảo mật cao suốt End Users Lời kết : Bạn phủ nhận phát triển mạng, internet Vì chắn phải thừa nhận quan trọng an ninh mạng Ý thức điều khiến cho giới công nghệ phát triển ngày an toàn vững mạnh hơn! 27 Chủ Đề 10: An Ninh Mạng Mục Lục 28 .. .Chủ Đề 10: An Ninh Mạng Hà Nội 18-03-2012 I Tổng quan an ninh mạng Giới thiệu Mạng máy tính tập máy tính kết nối với để trao đổi thông tin, chúng tham gia vào mạng để chia sẻ... bậc đàn anh trước để lại Là hội để thể thân, tị mị bắt đầu cơng phá hoại Chủ Đề 10: An Ninh Mạng - Doanh Nhân: Họ xâm nhập an ninh mạng để đánh cắp thơng tin, tìm hiểu chiến lược kinh doanh đối... virus có hội lan tỏa rộng hơn, nhanh Virus đa phần gửi qua email, ẩn file gửi kèm (attachment) lây nhiễm mạng nội doanh nghiệp, làm doanh Chủ Đề 10: An Ninh Mạng nghiệp phải tốn thời gian, chi phí,