Giáo trình An toàn hệ thống và thông tin mạng (Nghề Công nghệ thông tin Cao đẳng)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (525.3 KB, 58 trang )
UỶ BAN NHÂN DÂN TỈNH ĐỒNG THÁP
TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG ĐỒNG THÁP
GIÁO TRÌNH
MƠN HỌC: AN TỒN HỆ THỐNG VÀ THƠNG
TIN MẠNG
NGÀNH, NGHỀ: CƠNG NGHỆ THƠNG TIN
TRÌNH ĐỘ: CAO ĐẲNG
(Ban hành kèm theo Quyết định Số: /QĐ-CĐCĐ-ĐT ngày…… tháng…… năm………
của Hiệu trưởng Trường Cao đẳng Cộng đồng Đồng Tháp)
Đồng Tháp, năm 2017
TUYÊN BỐ BẢN QUYỀN
Tài liệu này thuộc loại sách giáo trình nên các nguồn thơng tin có thể được
phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo.
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh
thiếu lành mạnh sẽ bị nghiêm cấm.
LỜI GIỚI THIỆU
Hiện nay việc phát triển vượt bậc của công nghệ Mạng và Internet cùng với
các Website thông tin trực tuyến trong các lĩnh vực của cuộc sống đã làm cho nhu
cầu triển khai các hệ thống ứng dụng trong lĩnh vực mạng máy tính và truyền
thơng tăng lên nhanh chóng. Tuy nhiên cùng với phát triển của mạng Internet, tình
hình mất an ninh mạng đang diễn biến phức tạp, vấn đề đảm bảo an tồn thơng
tin khơng chỉ có tầm quan trọng đối phát triển kinh tế - xã hội mà còn cả trong
quốc phòng - an ninh.
An tồn thơng tin là lĩnh vực rất rộng bao gồm bảo vệ an tồn mạng và hạ
tầng thơng tin, an tồn máy tính, dữ liệu, các phần mềm ứng dụng và còn bao gồm
cả việc nghiên cứu, phát triển các sản phẩm và giải pháp công nghệ … đang được
các cơ quản, tổ chức doanh nghiệp chú trọng.
Giáo trình “An tồn hệ thống và thơng tin mạng” đã bám sát nội dung
chương trình chi tiết do nhà trường ban hành gồm 6 chương:
CHƯƠNG 1. TỔNG QUAN VỀ AN TOÀN HỆ THỐNG VÀ THƠNG TIN
MẠNG
CHƯƠNG 2. CÁC KỸ THUẬT MÃ HĨA CỔ ĐIỂN
CHƯƠNG 3. MÃ PUBLIC-KEY VÀ RSA
CHƯƠNG 4. NAT
CHƯƠNG 5: BẢO VỆ MẠNG BẰNG TƯỜNG LỬA
CHƯƠNG 6. VIRUS VA CACH PHÒNG CHỐNG
Nhằm cung cấp cho sinh viên những kiến thức cơ bản trong lĩnh vực an
tồn mạng máy tính.
Tuy đã tham khảo nhiều tài liệu nhưng chắc chắn cuốn giáo trình vẫn có
những hạn chế nhất định rất mong nhận được sự góp ý của q thầy cơ, q đồng
nghiệp để cuốn giáo trình hồn thiện hơn.
Xin chân thành cảm!
Đồng Tháp, ngày…..........tháng…........... năm 2017
Chủ biên
Lương Phụng Tiên
i
MỤC LỤC
LỜI GIỚI THIỆU ................................................................................................... i
CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN HỆ THỐNG VÀ THƠNG TIN
MẠNG ................................................................................................................... 1
1. Giới thiệu về an tồn thơng tin .......................................................................... 1
1.1. Sự cần thiết phải có an ninh mạng ................................................................. 1
1.2. Các yếu tố cần được bảo vệ: .......................................................................... 2
1.3. Tác hại đến doanh nghiệp .............................................................................. 2
1.4. Khái niệm ....................................................................................................... 3
2. Các xu hướng bảo mật....................................................................................... 3
3. Các loại tấn công ............................................................................................... 7
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 1 ................................................................ 10
CHƯƠNG 2: CÁC KỸ THUẬT MÃ HÓA CỔ ĐIỂN ...................................... 11
1. Kiểu mật mã đối xứng ..................................................................................... 11
2. Các kỹ thuật thay thế ....................................................................................... 12
3. Các kỹ thuật hoán vị ........................................................................................ 13
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 2 ................................................................ 15
CHƯƠNG 3: MÃ PUBLIC-KEY VÀ RSA ....................................................... 16
1. Các nguyên tắc của mã public-key.................................................................. 16
2. Thuật toán RSA ............................................................................................... 17
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 3 ................................................................ 22
CHƯƠNG 4: NAT (NETWORK ADDRESS TRANSLATION ) ..................... 23
1. Giới thiệu ......................................................................................................... 23
2. Các kỹ thuật Nat cổ điển ................................................................................. 24
2.1. NAT tĩnh ...................................................................................................... 24
2.2. NAT động ..................................................................................................... 25
3. NAT trong Windows Server ........................................................................... 28
4.3.1. Windows Server cung cấp khái niệm NAT .............................................. 28
3.2. Hoạt động của NAT: .................................................................................... 29
3.3. Cài Đặt và cấu hình: ..................................................................................... 29
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 4 ................................................................ 31
CHƯƠNG 5: BẢO VỆ MẠNG BẰNG TƯỜNG LỬA ..................................... 32
1. Các mức bảo vệ an toàn .................................................................................. 32
2. Internet Firewall .............................................................................................. 34
ii
2.1. Định nghĩa .................................................................................................... 34
2.2. Chức năng..................................................................................................... 34
2.3. Cấu trúc ........................................................................................................ 35
2.4. Các thành phần của Firewall và cơ chế hoạt động ....................................... 35
2.4.1. Bộ lọc Paket ( Paket filtering router) ........................................................ 35
2.4.2. Cổng ứng dụng (Application- Level Getway) .......................................... 37
2.4.3. Cổng vòng (Circult-level Getway) ............................................................ 39
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 5................................................................ 41
CHƯƠNG 6: VIRUS VÀ CÁCH PHÒNG CHỐNG ......................................... 42
1. Giới thiệu tổng quan về virus .......................................................................... 42
2. Cách thức lây lan và phân loại virus ............................................................... 43
2.1. Compiled Virus ............................................................................................ 43
2.2. Interpreted Virus .......................................................................................... 44
3. Ngăn chặn sự xâm nhập virus ......................................................................... 45
3.1. Vô hiệu quá chức năng autorun ................................................................... 45
3.2. Sử dụng tường lửa ........................................................................................ 45
3.3. Sử dụng phần mềm diệt virus....................................................................... 46
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 6................................................................ 48
BẢNG THUẬT NGỮ ANH - VIỆT ................................................................... 49
TÀI LIỆU THAM KHẢO ................................................................................... 51
iii
GIÁO TRÌNH MƠN HỌC
Tên mơn học: AN TỒN HỆ THỐNG VÀ THƠNG TIN MẠNG.
Mã mơ đun: CCN460
I. Vị trí, tính chất, ý nghĩa và vai trị của mơ đun:
- Vị trí: Mơn học được bố trí sau khi sinh viên học xong các môn học chung/ đại cương
và sau môn Mạng máy tính.
- Tính chất: Thuộc mơn học cơ sở và chuyên ngành tự chọn.
- Ý nghĩa và vai trò của mô đun: Mô đun này cung cấp cho sinh viên các kỹ năng cơ bản
trong lĩnh vực mạng máy tính.
II. Mục tiêu của mơ đun:
- Về kiến thức:
+ Xác định được các thành phần cần bảo mật cho một hệ thống mạng;
+ Trình bày được các hình thức tấn công vào hệ thống mạng;
+ Mô tả được cách thức mã hố thơng tin;
+ Trình bày được q trình NAT trong hệ thống mạng;
+ Xác định được khái niệm về danh sách truy cập;
- Về kỹ năng:
+ Sử dụng được các kỹ thuật mã hóa cổ điển.
+ Ngăn ngừa các phần mềm độc hại
- Năng lực tự chủ và trách nhiệm: Có tính kỹ luật, nghiêm túc khi tham gia học tập hoặc
nghiên cứu
iv
III. Nội dung của mơ đun:
Thời gian (giờ)
Thực
Kiểm tra
hành, thí
Tổng Lý th
(thường
nghiệm,
số
uyết
xuyên,
thảo luận,
định kỳ)
bài tập
Số TT
Tên các bài trong mô đun
1
Chương 1: TỔNG QUAN VỀ AN
TỒN HỆ THỐNG VÀ THƠNG
TIN MẠNG
2
2
0
0
2
Chương 2: CÁC KỸ THUẬT
MÃ HÓA CỔ ĐIỂN
7
3
4
0
3
Chương 3: MÃ PUBLIC-KEY
VÀ RSA
7
2
4
1
4
Chương 4: NAT
6
2
4
0
5
Chương 5: BẢO VỆ MẠNG
BẰNG TƯỜNG LỬA
11
3
8
0
6
Chương 6: VIRUS VÀ CÁCH
PHÒNG CHỐNG
12
3
8
1
45
15
28
2
Tổng cộng
v
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN HỆ THỐNG VÀ THÔNG TIN
MẠNG
Mã chương: CCN460 - 01
Giới thiệu:
Các mối đe dọa về an ninh, an tồn thơng tin từ lâu đã là nỗi lo lắng của khơng ít
tổ chức, doanh nghiệp. Từ những vụ việc do rị rỉ thơng tin khách hàng, mạo danh danh
tính doanh nghiệp để lừa đảo, hạ bệ uy tín ngày một gia tăng đã gióng lên hồi chuông
cảnh báo về mức độ nguy hiểm của môi trường an ninh mạng. Những đe dọa này thường
bao gồm hacker, mã độc, virus…
Trong chương này sẽ giới thiệu tổng quan về an toàn bảo mật mạng, những nguy
cơ đe dọa an ninh an toàn mạng và giới thiệu một số công cụ bảo mật mạng.
Mục tiêu:
Sau khi học xong chương này, sinh viên có khả năng:
- Xác định được các thành phần của một hệ thống bảo mật;
- Trình bày được các hình thức tấn cơng vào hệ thống mạng.
Nội dung chính:
1. Giới thiệu về an tồn thơng tin
1.1. Sự cần thiết phải có an ninh mạng
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về
điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng để
nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo
vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an tồn thơng tin dữ liệu là một chủ đề
rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp
được thực hiện để bảo vệ an tồn thơng tin dữ liệu. Các phương pháp bảo vệ an tồn
thơng tin dữ liệu có thể được quy tụ vào ba nhóm sau:
- Bảo vệ an tồn thơng tin bằng các biện pháp hành chính.
- Bảo vệ an tồn thơng tin bằng các biện pháp kỹ thuật (phần cứng).
- Bảo vệ an tồn thơng tin bằng các biện pháp thuật toán (phần mềm).
1
Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Mơi trường khó bảo
vệ an tồn thông tin nhất và cũng là môi trường đối phương dễ xân nhập nhất đó là
mơi trường mạng và truyền tin. Biện pháp hiệu quả nhất và kinh tế nhất hiện nay trên
mạng truyền tin và mạng máy tính là biện pháp thuật toán.
1.2. Các yếu tố cần được bảo vệ:
Bảo vệ dữ liệu
Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu
sau:
- Bảo mật: những thơng tin có giá trị về kinh tế, quân sự, chính sách vv... cần được
bảo vệ và khơng lộ thơng tin ra bên ngồi.
- Tính tồn vẹn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo.
- Tính kịp thời: u cầu truy nhập thơng tin vào đúng thời điểm cần thiết.
Trong các yêu cầu này, thông thường yêu cầu về bảo mật được coi là yêu cầu số
1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin này khơng
được giữ bí mật, thì những u cầu về tính tồn vẹn cũng rất quan trọng. Khơng một cá
nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông
tin mà không biết về tính đúng đắn của những thơng tin đó.
Bảo vệ tài nguyên sử dụng trên mạng
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm
chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của
mình như chạy các chương trình dị mật khẩu người sử dụng, sử dụng các liên kết mạng
sẵn có để tiếp tục tấn công các hệ thống khác.
Bảo bệ danh tiếng của cơ quan
Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một trong
những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các công ty lớn và
các cơ quan quan trọng trong bộ máy nhà nước. Trong trường hợp người quản trị hệ
thống chỉ được biết đến sau khi chính hệ thống của mình được dùng làm bàn đạp để tấn
cơng các hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài.
1.3. Tác hại đến doanh nghiệp
− Tốn kém chi phí
2
− Tốn kém thời gian
− Ảnh hưởng đến tài nguyên hệ thống
− Ảnh hưởng danh dự, uy tín doanh nghiệp
− Mất cơ hội kinh doanh
1.4. Khái niệm
Là khả năng bảo vệ thông tin và hệ thống thông tin khỏi người dùng trái phép về sử
dụng, tiết lộ, sao chép, thay đổi, làm ngưng trệ, phá hủy tốn kém thời gian
Các yếu tố đảm bảo an tồn thơng tin
Tính bí mật: Thơng tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng
Tính tồn vẹn: Thơng tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không
mâu thuẫn
Tính sẵn sàng: Thơng tin phải ln sẵn sàng để tiếp cận, để phục vụ theo đúng
mục đích và đúng cách
Tính chính xác: Thơng tin phải chính xác, tin cậy
Tính khơng khước từ (chống chối bỏ): Thơng tin có thể kiểm chứng được nguồn
gốc hoặc người đưa tin
2. Các xu hướng bảo mật
Bảo mật thông tin tại máy chủ
Các phương pháp bảo mật máy chủ server là một trong những vấn đề quan trọng
mà hầu hết mọi đơn vị doanh nghiệp đều phải quan tâm. Bởi đây là mảnh đất màu mỡ
cho các hacker tìm kiếm thơng tin giá trị hay gây cản trở vì một vài lý do nào đó, làm
máy chủ gặp nhiều hiểm họa như các nội dung khơng lành mạnh, bị xóa file hay từ chối
dịch vụ,…. Thơng thường, có rất nhiều phương pháp bảo mật máy chủ server khác nhau
- Bảo mật server bằng SSH Key
- Bảo mật dữ liệu bằng tường lửa
- Bảo mật dữ liệu cho máy chủ server bằng PKI, giao thức SSL/TLS và VPN
Bảo mật cho phía máy trạm
3
Các máy trạm có thể gây ra 3 rủi ro chính: Thứ nhất, các tấn cơng đi vịng, thơng
qua kết nối của máy trạm truy cập vào các Website chứa mã độc, né tránh các công cụ
bảo vệ tại vành đai mạng để thâm nhập vào mạng công ty. Thứ hai, những người dùng
di động (sử dụng máy tính xách tay, được dùng cả bên trong lẫn bên ngoài mạng cơng
ty) thường nằm ngồi tầm kiểm sốt của các cơng cụ an ninh. Thứ ba, số lượng các máy
trạm rất lớn, việc triển khai và quản lý nhiều chương trình bảo mật trên từng máy trạm
là thách thức lớn đối với người quản trị mạng. Các máy trạm nếu không được kiểm soát
an ninh chặt chẽ và triển khai đúng đắn sẽ tạo ra các nguy cơ cao như dữ liệu bị đánh
cắp, ngưng trệ hoạt động kinh doanh...
Đặc biệt các máy trạm rất dễ bị tấn công, qua các điểm yếu trong các giao thức
mạng cho phép truy cập qua các cổng được mở hoặc cổng không được kiểm sốt. Các
tấn cơng khác nhằm vào lỗi lập trình, có thể tạo ra lỗi tràn vùng đệm cho phép thực thi
các mã độc. Hầu hết các máy tính đều sử dụng hệ điều hành (HĐH) Windows của
Microsoft. Điểm yếu trên Windows có thể tạo cho hacker cơ hội tấn cơng trên hàng trăm
triệu máy tính chạy HĐH này. Nhưng dù sử dụng HĐH nào thì tất cả các máy trạm sử
dụng IP đều có điểm yếu dễ bị tấn cơng trong hệ thống mạng của công ty.
Việc hợp nhất các chức năng bảo mật cho phép quản lý và triển khai đơn giản và
giảm bớt chi phí tổng thể cho việc đầu tư và bảo trì. Giải pháp bảo vệ máy trạm tốt cần
đáp ứng các yêu cầu sau:
1. Phát hiện và ngăn chặn chương trình độc hại
Phát hiện và ngăn chặn chương trình độc hại thơng thường được thực hiện bởi các
ứng dụng bảo mật riêng rẽ như tường lửa, chống virus và chống spyware.
Tường lửa và khả năng kiểm sốt chương trình - là chức năng quan trọng nhất bởi vì nó
có thể kiểm sốt được luồng tin đi vào/ra ở vùng nhân. Chỉ có tường lửa mới có thể ngăn
được truy cập trái phép như mã độc, kiểm sốt chương trình nào được phép truy cập
mạng, và làm cho các máy trạm trở nên “vơ hình” đối với hacker.
Khả năng chống virus được sử dụng để phát hiện và ngăn chặn sự lây nhiễm của
virus. Khả năng chống spyware là ngăn chặn sự lây nhiễm của sâu, trojans, adware, và
keystroke loggers. Nó có thể cung cấp sự bảo vệ trong thời gian thực, chống việc cài đặt
spyware trên máy trạm, đồng thời có thể phát hiện và gỡ bỏ spyware đã được cài trước
đó.
4
Điều quan trọng đối với tất cả các khả năng trên là người quản trị có thể kiểm sốt
tập trung và theo dõi được các máy trạm để đảm bảo chúng tn thủ với chính sách an
ninh.
2. Mã hóa và chống thất thoát dữ liệu
Bảo vệ dữ liệu trên máy trạm là rất quan trọng bởi vì nó rất dễ bị đánh cắp hay bị
mất. Kiểm soát để bảo vệ dữ liệu là bao gồm mã hóa tồn bộ ổ cứng, mã hóa thiết bị
nhớ di động và kiểm sốt các cổng/thiết bị trên máy trạm. Mã hóa có thể áp dụng các
file riêng rẽ, thư mục, toàn bộ ổ cứng hoặc cho thiết bị nhớ di động.
Kiểm soát cổng/thiết bị ngoại vi là công nghệ tương đối mới, cho phép các tổ chức
quản lý một cách tập trung cổng, thiết bị ngoại vi nào được phép sử dụng trên từng máy
trạm. Một lợi ích thực tế là ngăn cản việc copy dữ liệu được bảo vệ từ máy tính tới một
thiết bị nhớ như USB. Kiểm soát cổng cũng ngăn chặn được việc lây lan virus từ các
thiết bị nhớ ngồi vào máy tính rồi từ đó lây lan ra trong mạng cơng ty.
3. Kiểm sốt tn thủ chính sách bảo mật
Kiểm sốt tn thủ chính sách bảo mật là kiểm tra xem các máy trạm đã thực hiện
đúng chính sách an ninh của tổ chức, doanh nghiệp trước khi cho phép chúng được
quyền truy cập mạng. Ở mức cơ bản nhất, người quản trị thiết lập chương trình kiểm tra
chính sách và thực thi các luật (rule) trong chính sách an ninh trên mỗi máy trạm. Việc
kiểm sốt tn thủ chính sách trên máy trạm có thể được thực hiện kết hợp với các thiết
bị gateway và hệ thống xác thực. Giải pháp cũng cần hỗ trợ việc khắc phục một cách tự
động cho các máy trạm chưa đáp ứng u cầu chính sách và có khả năng kiểm tra sự
tuân thủ chính sách của tổ chức đối với các máy tính bên ngồi khơng thuộc phạm vi
quản lý của tổ chức.
4. Truy cập từ xa an tồn
Cơng nghệ VPN (mạng riêng ảo) là một trong những phương tiện phổ biến nhất
để cho phép truy cập từ xa về mạng cơng ty một cách an tồn. Kết nối truy cập từ xa
được bảo vệ, mã hóa chống lộ thông tin, xác thực chống giả mạo cũng như đảm bảo
thông tin không bị sai lệch trên đường truyền. Giải pháp VPN cũng giải quyết vấn đề về
routing có thể phát sinh giữa máy trạm và cổng kết nối VPN bằng việc đóng gói các gói
5
tin IP với địa chỉ IP gốc của người dùng kết nối từ xa, do đó cho phép các người dùng
kết nối như thể là họ đang ở trong mạng công ty.
5. Quản trị đơn giản
Một giải pháp quản lý được hướng tới như sau: Quản trị tập trung và có khả năng
tạo nhiều người quản trị với các phân quyền khác nhau; Tạo báo cáo, giám sát tập trung
cho mọi môđun bảo vệ máy trạm; Tham gia tạo báo cáo, ghi log và phát hiện nhanh các
trường hợp vi phạm chính sách.
6. Giảm thiểu ảnh hưởng tiêu cực tới người dùng cuối
Điều quan trọng đối với giải pháp là người dùng làm việc một cách bình thường
như là khơng biết sự có mặt của phần mềm bảo vệ trên máy trạm.
Bảo mật thông tin trên đường truyền
Về cơ bản dựa trên kỹ thuật bảo mật ta có thể quy chiếu cơng tác bảo mật thơng
tin thành hai nhóm: bảo mật thông tin dữ liệu bằng các biện pháp kỹ thuật phần cứng và
phần mềm thơng qua các thuật tốn bảo mật. Tuy nhiên để đảm bảo an toàn dữ liệu trên
đường truyền mạng máy tính có hiệu quả nhằm chống các khả năng xâm phạm và các
rủi ro hay sự cố có thể xảy ra trong q trình truyền tin thì việc phịng chống và xác định
chính xác các nguy cơ có thể làm ảnh hưởng đến dữ liệu là vơ cùng quan trọng. Trên
thực tế có hai hình thức gây hại chính cho dữ liệu truyền tin là hình thức chủ động (
Active) và thụ động (passive). Hai hình thức này hướng đến:
+ Đánh cắp thơng tin: Lắng nghe thông tin trên đường truyền, biết được thông tin
về người gửi và nhận nhờ vào thông tin được chứa trong gói tin truyền trên hệ thống
mạng. Hình thức này, kẻ xâm nhập có thể kiểm tra được tần số trao đổi, số lượng gói tin
truyền đi và độ dài của gói tin này. Tuy nhiên, với hành động trên, thơng thường với
mục đích xem thơng tin, sao chép, đánh cắp nội dung thơng tin (ví dụ như mật khẩu,
thơng tin về ngân hàng…) chứ không làm ảnh hưởng nguy hại về mật vật lý đối với dữ
liệu hay làm sai lệch nội dung dữ liệu.
+ Phá hoại thông tin: Thay đổi nội dung dữ liệu, chèn thêm thông tin dữ liệu, phá
hủy làm hỏng các gói tin, làm trễ thời gian truyền tin, sao chép lặp đi lặp lại dữ liệu…
với mục đích phá hỏng hay làm sai lệch nội dung thông tin.
6
Để bảo vệ thông tin dữ liệu trên đường truyền, ở bài báo này tơi trình bày hướng
đến hai thình thức bảo mật:
- Bảo mật hướng theo đường truyền (Link Oriented Security): Thơng tin được mã
hóa để bảo vệ dựa trên đường truyền giữa hai nút và không quan tâm đến nguồn và đích
của thơng tin đó. Các cặp thiết bị mật mã được đặt ở hai đầu của đường truyền. Do đó
tất cả luồng thơng tin trên tất cả các đường truyền sẽ được an toàn.
- Bảo mật dựa trên hai điểm đầu và cuối (End to End Secrity): Mã hóa đường
truyền từ máy tính nguồn đến máy tính đích. Thơng tin được mã hóa ngay khi mới được
tạo ra tại máy nguồn và chỉ được giải mã khi tới máy đích. Phương pháp này làm cho
dữ liệu người dùng an tồn nhưng khơng chống được tấn cơng phân tích tình huống, vì
trong các gói tin chỉ phần dữ liệu người sử dụng được mã hóa cịn các dữ liệu đầu gói
(dữ liệu điều khiển) thì khơng.
3. Các loại tấn cơng
Có hai loại hành vi xâm phạm thơng tin dữ liệu đó là: tấn cơng thụ động và tấn
cơng chủ động.
Tấn cơng thụ động: chỉ nhằm mục đích cuối cùng là nắm bắt được thông tin (đánh
cắp thông tin). Việc làm đó có khi khơng biết được nội dung cụ thể nhưng có thể dị ra
được người gửi, người nhận nhờ thông tin điều khiển giao thức chứa trong phần đầu các
gói tin. Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài và tần số trao đổi. Vì vậy
tấn cơng thụ động khơng làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệu được
trao đổi. Tấn cơng thụ động thường khó phát hiện nhưng có thể có những biện pháp
ngăn chặn hiệu quả.
Một ví dụ cụ thể cho loại tấn công này là xem trộm thông tin. Trong trường hợp
này Trudy chặn các thông điệp Alice gửi cho Bob, và xem được nội dung của thông
điệp.
7
Hình 1.1 Xem trộm thơng điệp
Tấn cơng chủ động: là dạng vi phạm có thể làm thay đổi nội dung, xóa bỏ, làm trễ,
xắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời gian.
Tấn cơng chủ động có thể thêm vào một số thông tin ngoại lai để làm sai lệch nội dung
thông tin trao đổi. Tấn công chủ động dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó
khăn hơn nhiều.
Một thực tế là khơng có một biện pháp bảo vệ an tồn thơng tin dữ liệu nào là an
toàn tuyệt đối. Một hệ thống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo
là an tồn tuyệt đối.
Một số hình thức tấn cơng chủ động:
- Thay đổi thông điệp (Modification of Message):
Trudy chặn các thông điệp Alice gửi cho Bob và ngăn không cho các thơng điệp
này đến đích. Sau đó Trudy thay đổi nội dung của thông điệp và gửi tiếp cho Bob. Bob
nghĩ rằng nhận được thông điệp nguyên bản ban đầu của Alice mà khơng biết rằng chúng
đã bị sửa đổi.
Hình 1.2 Sửa thông điệp
8
- Mạo danh (Masquerade): Trong trường hợp này Trudy giả là Alice gửi thông
điệp cho Bob. Bob không biết điều này và nghĩ rằng thơng điệp là của Alice.
Hình 1.3 Mạo danh
- Phát lại thông điệp (Replay): Trudy sao chép lại thơng điệp Alice gửi cho Bob.
Sau đó một thời gian Trudy gửi bản sao chép này cho Bob. Bob tin rằng thông điệp thứ
hai vẫn là từ Alice, nội dung hai thơng điệp là giống nhau. Thoạt đầu có thể nghĩ rằng
việc phát lại này là vô hại, tuy nhiên trong nhiều trường hợp cũng gây ra tác hại khơng
kém so với việc giả mạo thơng điệp. Xét tình huống sau: giả sử Bob là ngân hàng còn
Alice là một khách hàng. Alice gửi thông điệp đề nghị Bob chuyển cho Trudy 1000$.
Alice có áp dụng các biện pháp như chữ ký điện tử với mục đích khơng cho Trudy mạo
danh cũng như sửa thông điệp. Tuy nhiên nếu Trudy sao chép và phát lại thơng điệp thì
các biện pháp bảo vệ này khơng có ý nghĩa. Bob tin rằng Alice gửi tiếp một thông điệp
mới để chuyển thêm cho Trudy 1000$ nữa.
Hình 1.4 Phát lại thơng điệp
9
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 1
1. Trình bày các đối tượng tấng công hệ thống mạng
2. Đối với dữ liệu, chúng ta cần quan tâm những yếu tố nào?
10
CHƯƠNG 2: CÁC KỸ THUẬT MÃ HÓA CỔ ĐIỂN
Mã chương: CCN460 - 02
Giới thiệu:
Khi chúng ta tham gia trao đổi thơng tin, thì Internet là mơi trường khơng an tồn,
đầy rủi ro và nguy hiểm, khơng có gì đảm bảo rằng thông tin mà chúng ta truyền đi
không bị đọc trộm trên đường truyền. Do đó, mã hố được áp dụng như một biện pháp
nhằm giúp chúng ta tự bảo vệ chính mình cũng như những thơng tin mà chúng ta gửi đi.
Bên cạnh đó, mã hố cịn có những ứng dụng khác như là bảo đảm tính tồn vẹn của dữ
liệu.
Trong chương này sẽ giới thiệu về một số kỹ thuật mã hóa cổ điển.
Mục tiêu:
Sau khi học xong chương này, sinh viên có khả năng:
- Liệt kê và phân biệt được các kiểu mã hóa dữ liệu;
-
Áp dụng được việc mã hóa và giải mã với một số phương pháp cơ bản .
Nội dung chính:
1. Kiểu mật mã đối xứng
Mã hố đối xứng cịn có một số tên gọi khác như Secret Key Cryptography (hay
Private Key Cryptography), sử dụng cùng một khố cho cả hai q trình mã hố và giải
mã.
Q trình thực hiện như sau:
Trong hệ thống mã hoá đối xứng, trước khi truyền dữ liệu, 2 bên gửi và nhận phải
thoả thuận về khoá dùng chung cho q trình mã hố và giải mã. Sau đó, bên gửi sẽ mã
hoá bản rõ (Plaintext) bằng cách sử dụng khố bí mật này và gửi thơng điệp đã mã hoá
cho bên nhận. Bên nhận sau khi nhận được thơng điệp đã mã hố sẽ sử dụng chính khố
bí mật mà hai bên thoả thuận để giải mã và lấy lại bản rõ (Plaintext).
11
Hình 2.1. Mã hóa đối xứng
Hình vẽ trên chính là q trình tiến hành trao đổi thơng tin giữa bên gửi và bên
nhận thông qua việc sử dụng phương pháp mã hố đối xứng. Trong q trình này, thì
thành phần quan trọng nhất cần phải được giữ bí mật chính là khoá. Việc trao đổi, thoả
thuận về thuật toán được sử dụng trong việc mã hố có thể tiến hành một cách cơng
khai, nhưng bước thoả thuận về khố trong việc mã hố và giải mã phải tiến hành bí
mật. Chúng ta có thể thấy rằng thuật tốn mã hố đối xứng sẽ rất có lợi khi được áp dụng
trong các cơ quan hay tổ chức đơn lẻ. Nhưng nếu cần phải trao đổi thông tin với một
bên thứ ba thì việc đảm bảo tính bí mật của khố phải được đặt lên hàng đầu.
2. Các kỹ thuật thay thế
Là phương pháp mà từng kí tự (hay từng nhóm kí tự) trong bản rõ (Plaintext)
được thay thế bằng một kí tự (hay một nhóm kí tự) khác để tạo ra bản mờ (Ciphertext).
Bên nhận chỉ cần đảo ngược trình tự thay thế trên Ciphertext để có được Plaintext ban
đầu.
Các hệ mật mã cổ điển- Hệ mã hóa thay thế(Substitution Cipher)
Chọn một hoán vị p: Z26 → Z26 làm khoá.
VD:
Mã hoá
ep(a)=X
A
B
C
D
E
F
G
H
I
J
K
L
M
d
l
r
y
v
o
h
e
z
x
w
p
t
12
n
o
p
q
r
s
t
u
v
w
x
y
z
S
F
L
R
C
V
M
U
E
K
J
D
I
A
B
C
D
E
F
G
H
I
J
K
L
M
d
l
r
y
v
o
h
e
z
x
w
p
t
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
b
g
f
j
q
n
m
u
s
k
a
c
i
Giải mã:
dp(A)=d
Bảng rõ “nguyenthanhnhut”
Mã hóa “SOUDHSMGXSGSGUM”
3. Các kỹ thuật hốn vị
Bên cạnh phương pháp mã hố thay thế thì trong mã hố cổ điển có một phương
pháp khác nữa cũng nổi tiếng khơng kém, đó chính là mã hố hốn vị. Nếu như trong
phương pháp mã hoá thay thế, các kí tự trong Plaintext được thay thế hồn tồn bằng
các kí tự trong Ciphertext, thì trong phương pháp mã hố hốn vị, các kí tự trong
Plaintext vẫn được giữ ngun, chúng chỉ được sắp xếp lại vị trí để tạo ra Ciphertext.
Tức là các kí tự trong Plaintext hồn tồn khơng bị thay đổi bằng kí tự khác.
Mã hốn vị - Permutation Cipher
Chuyển đổi vị trí bản thân các chữ cái trong văn bản gốc từng khối m chữ cái.
Mã hoá:
eπ(x1, …, xm) = (xπ(1), …, xπm)).
Giải mã:
dπ(y1, …, ym) = (yπ’(1), …, yπ’(m)).
Trong đó, π: Z26 →Z26 là một hoán vị, π’ :=π-1 là nghịch đảo của π.
Hoán vị
13
x
1
Π(x)
2
3
4
5
6
3 5
1
6
4
2
x
1
3
4
5
6
Π-1(x)
3 6
1
5
2
4
2
“shesellsseashellsbytheseashore”.
shesel | lsseas | hellsb | ythese | ashore
EESLSH | SALSES | LSHBLE | HSYEET | HRAEOS
“EESLSHSALSESLSHBLEHSYEETHRAEOS”.
14
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 2
1. Thực hiện với hệ mã hóa thay thế(Ceasar Cipher) mã hóa và giải mã với bảng rõ sau:
“ khoacongnghethongtin”
“sinhviencongnghethongtin”
2. Thực hiện với hệ Mã hố hốn vị (Rail Fence Cipher) mã hóa và giải mã với bảng rõ
sau:
“ khoacongnghethongtin”
“sinhviencongnghethongtin”
15
CHƯƠNG 3: MÃ PUBLIC-KEY VÀ RSA
Mã chương: CCN460 - 03
Giới thiệu:
Trong chương này sẽ giới thiệu về kỹ thuật mã hóa bất đối xứng.
Mục tiêu:
Sau khi học xong chương này, sinh viên có khả năng:
-
Trình bày những kiến thức căn bản về mã Public-key và RSA
-
Áp dụng được việc mã hóa và giải mã sử dụng kỹ thuật RSA.
Nội dung chính:
1. Các ngun tắc của mã public-key
Hay cịn được gọi với một cái tên khác là mã hố khố cơng khai (Public Key
Cryptography), nó được thiết kế sao cho khố sử dụng trong q trình mã hố khác biệt
với khố được sử dụng trong quá trình giải mã. Hơn thế nữa, khố sử dụng trong q
trình giải mã khơng thể được tính tốn hay luận ra được từ khố được dùng để mã hoá
và ngược lại, tức là hai khoá này có quan hệ với nhau về mặt tốn học nhưng khơng thể
suy diễn được ra nhau. Thuật tốn này được gọi là mã hố cơng khai vì khố dùng cho
việc mã hố được cơng khai cho tất cả mọi người. Một người bất kỳ có thể dùng khố
này để mã hoá dữ liệu nhưng chỉ duy nhất người mà có khố giải mã tương ứng mới có
thể đọc được dữ liệu mà thơi. Do đó trong thuật tốn này có 2 loại khố: Khố để mã
hố được gọi là Public Key, khoá để giải mã được gọi là Private Key.
Mã hố khố cơng khai ra đời để giải quyết vấn đề về quản lý và phân phối khoá
của các phương pháp mã hố đối xứng. Hình minh hoạ ở trên cho chúng ta thấy được
quá trình truyền tin an tồn dựa vào hệ thống mã hố khố cơng khai. Q trình truyền
và sử dụng mã hố khố cơng khai được thực hiện như sau:
16
Hình 3.1. Mã hóa bất đối xứng
- Bên gửi u cầu cung cấp hoặc tự tìm khố cơng khai của bên nhận trên một
server chịu trách nhiệm quản lý khoá.
- Sau đó hai bên thống nhất thuật tốn dùng để mã hố dữ liệu, bên gửi sử dụng
khố cơng khai của bên nhận cùng với thuật toán đã thống nhất để mã hố thơng tin
được gửi đi.
- Khi nhận được thơng tin đã mã hố, bên nhận sử dụng khố bí mật của mình để
giải mã và lấy ra thơng tin ban đầu.
Mã hố cơng khai thì khố được quản lý một cách linh hoạt và hiệu quả hơn mã
hóa đối xứng. Người sử dụng chỉ cần bảo vệ Private key. Tuy nhiên nhược điểm của
Mã hố khố cơng khai nằm ở tốc độ thực hiện, nó chậm hơn rất nhiều so với mã hố
đối xứng. Do đó, người ta thường kết hợp hai hệ thống mã hoá khoá đối xứng và công
khai lại với nhau và được gọi là Hybrid Cryptosystems. Một số thuật tốn mã hố cơng
khai nổi tiếng: Diffle-Hellman, RSA,…
2. Thuật toán RSA
Tổng quan về RSA
Tiêu chuẩn Rivest-Shamir-Adleman (RSA) - Giải thuật mã hóa cơng khai RSA là
một tiêu chuẩn được các tác giả Ronal Rivest, Adi Shamir và Leonard Adleman phát
triển tại Học viện Công nghệ Massachusetts (MIT) vào năm 1977, tên tiêu chuẩn được
lấy từ 3 chữ cái đầu của tên 3 tác giả, hiện tiêu chuẩn được các tổ chức Viện Tiêu chuẩn
Quốc gia Hoa Kỳ (American National Standards Institute – ANSI), Viện Kỹ nghệ Điện
và Điện tử (Institute of Electrical and Electronics Engineers – IEEE) và Phịng thí
17
nghiệm RSA công nhận (RSA Laboratories là một bộ phận của Tập đồn EMC). Trước
đó vài năm, Clifford Cox, một chuyên gia mã hoá người Anh đã phát triển riêng một
biến thể của RSA. Tuy nhiên, Chính phủ Anh xem đây là vấn đề mật và đã không công
bố. Khi Rivest, Shamir và Adleman công bố RSA trong ấn phẩm Scientific American
tháng 9/1977, Cơ quan An ninh quốc gia Hoa Kỳ (NSA) không đồng ý về việc phổ biến
rộng rãi RSA và ra lệnh cấm, tuy nhiên lệnh cấm này khơng có cơ sở pháp lý. Năm
1978, các tác giả đã cơng bố thuật tốn trên Tạp chí của Hiệp hội Kỹ thuật Tính tốn
Hoa Kỳ (Communications of the Association for Computing Machinery - ACM). Hiện
nay, có thể tham khảo đặc tả của RSA trên trang thông tin của Tập đồn EMC.
Một số khái niệm
Mã hóa dữ liệu là sử dụng một phương pháp biến đổi dữ liệu từ dạng bình thường
sang một dạng khác, mà một người khơng có thẩm quyền, khơng có phương tiện giải
mã thì khơng thể đọc hiểu được.
Hình 3.2. Mơ hình mã hóa dữ liệu
Giải mã dữ liệu là quá trình ngược lại, là việc sử dụng một phương pháp biến đổi
dữ liệu đã được mã hóa về dạng thơng tin ban đầu. Có thể mơ tả quy trình thực hiện mã
hóa dữ liệu và giải mã dữ liệu như sau:
Hình 3.3. Quy trình mã hóa dữ liệu
Sau đây là một số khái niệm và kí hiệu liên quan về vấn đề mã hóa dữ liệu :
- E (Encryption - Mã hóa): Là q trình chuyển đổi dữ liệu gốc thành dữ liệu được
mã hóa sao người khác không thể đọc hiểu.
18
