Chương 6 – An ninh mạng máy tính

Phần 1

ThS. Lê Văn Hùng
Giảng viên
Khoa HTTTQL
Học viện Ngân hàng

GV: Lê Văn Hùng

1


Các mức bảo vệ an tồn thơng tin trên mạng
Các mức bảo vệ an tồn thơng tin trên mạng
Quyền truy cập
 Quyền truy cập được cấp cho người dùng hoặc một ứng dụng
cho phép thao tác trên tài nguyên mạng ví dụ đọc, thêm, xóa các
tập tin trong máy tính.
 Quyền truy cập có thể được gắn với một máy trạm, máy chủ cụ
thể, các thư mục trong máy hoặc các chương trình cụ thể và các
tập tin dữ liệu.
Mã hóa
 Mã hóa là q trình thay đổi thơng tin theo cách làm cho nó
khơng thể đọc được bởi bất cứ ai trừ những người có quyền. Mã
hóa thường được sử dụng bởi các thuật toán hoặc phương pháp
mật mã nào đó.


Các mức bảo vệ an tồn thơng tin trên mạng

1. Bảo vệ vật lý
Bảo mật vật lý là sự bảo vệ phần cứng, dữ liệu, mạng từ những hoàn
cảnh vật lý và các sự kiện có thể gây ra thiệt hại cho cơ quan, tổ chức.
An ninh vật lý thường bị đánh giá thấp hoặc bị bỏ qua.
Có ba cách chính để bảo vệ vật lý:
 Đầu tiên, tạo những trở ngại cho những kẻ tấn công tiềm năng. Các biện
pháp như vậy có thể bao gồm sử dụng nhiều ổ khóa, hàng rào...
 Thứ hai, sử dụng hệ thống giám sát và thông báo, chẳng hạn như hệ thống
phát hiện xâm nhập, báo động, camera, thiết bị cảm biến.. .
 Thứ ba, các phương pháp có thể được thực hiện để bắt kẻ tấn cơng và khơi
phục nhanh chóng từ tai nạn, hỏa hoạn, thiên tai.


Các mức bảo vệ an tồn thơng tin trên mạng
2. Tường lửa
-Tường lửa là một chương trình phần mềm hay một thiết bị phần cứng
dùng để điều khiển truy cập tài nguyên trên mạng. Tường lửa dùng để
ngăn chặn sự xâm nhập trái phép và lọc những luồng dư liệu độc hại.
-Tường lửa thường được cài trên mạng để bảo vệ mạng chống lại sự
đe dọa từ bên ngồi, ví dụ đe dọa từ môi trường internet. Tường lửa
cũng dùng để bảo vệ thông lượng, dải băng của mạng riêng để những
người có quyền có thể làm việc.
-Chúng ta nên cài tường lửa trên cả máy trạm và máy chủ. Cài tường
lửa trên máy trạm giúp chống lại sự đe dọa từ internet, từ ngay chính
mạng nội bộ và các thành phần khác trên mạng.


Các mức bảo vệ an tồn thơng tin trên mạng
 3. Quyền hạn tối thiểu (Least Privilege)
 Mỗi chương trình và mỗi người sử dụng hệ thống nên hoạt động

bằng cách sử dụng quyền hạn tối thiểu cần thiết để hồn thành cơng
việc.
 Ngun tắc này làm hạn chế những thiệt hại mà có thể là kết quả
của một tai nạn hoặc lỗi.
 Nó cũng làm giảm số lượng các tương tác tiềm năng giữa các
quyền hạn chương trình ở mức tối thiểu cho hoạt động chính xác,
để mà các sử dụng không chủ ý, không mong muốn, hoặc không
đúng quyền hạn ít có khả năng xảy ra.
 Bảo vệ theo chiều sâu ( Defence in Depth )


Các mức bảo vệ an tồn thơng tin trên mạng

4.Tính đơn giản
Giữ các thứ đơn giản là một phần quan trọng của an tồn dữ liệu.
Nó làm cho chúng dễ hiều, dễ quản lý và dễ khắc pục sự cố. Khi mọi
thứ quá phức tạp làm cho khó hiểu, khó quản lý và phức tạp khi sử lý
sự cố. Thêm nữa khó xác định hệ thống phức tạp đủ an tồn hay chưa.
Sự đơn giản khơng phải ln ln có thể đạt được đặc biệt đối với
hạ tầng mạng và phần mềm. Khi lựa chọn giữa một giải pháp đơn giản
và một giải pháp phức tạp hơn thì giải pháp đơn giản dễ thực hiện hơn
và dễ kiểm định mức độ an toàn hơn.
Nút thắt: Nút thắt buộc tất cả các luồng, các hoạt động phải qua một
đường đơn hoặc một kênh. Đường này được dùng để điều khiển tiêu
thụ băng thông, lọc nội dung và cung cấp các dịch vụ xác thực.


Các mức bảo vệ an tồn thơng tin trên mạng
5.Liên kết yếu nhất
Độ an tồn của một chuỗi chính là độ an toàn của liên kết yếu nhất.

Độ an toàn của một cơ sở hạ tầng chính là độ an tồn của thành phần
yếu nhất của nó.
Một liên kết yếu nhất mới xuất hiện. Lặp lại vịng này để tìm liên
kết yếu nhất và cải tiến nó.
Liên kết yếu nhất là không thể tránh khỏi nhưng liên kết yếu nhất
mạnh ln tốt hơn liên kết yếu nhất yếu.
Hỏng an tồn: Hỏng an toàn cũng là một phương pháp phổ biến để
đảm bảo an toàn cho một hệ thống.


Các mức bảo vệ an tồn thơng tin trên mạng
6.Sự đa dạng của bảo vệ
- Sự dạng của bảo vệ tương tự như bảo vệ theo chiều sâu nhưng nó
khơng chỉ sử dụng các lớp khác nhau mà còn sử dụng các loại bảo vệ
khác nhau.
- Thực hiện đúng, sự đa dạng của sự bảo vệ tạo nên một sự khác biệt
đáng kể đối với an ninh của hệ thống. Tuy nhiên, nhiều nỗ lực để tạo
ra sự đa dạng của sự bảo vệ là không đặc biệt hiệu quả. Một lý thuyết
phổ biến là sử dụng các loại khác nhau của hệ thống.
- Ví dụ, trong một kiến trúc có hai hệ thống lọc gói, có thể tăng tính đa
dạng của sự bảo vệ bằng cách sử dụng hệ thống từ các nhà cung cấp
khác nhau. Nếu toàn bộ hệ thống là như nhau, ai đó biết cách đột nhập
vào một trong số chúng thì có thể biết cách đột nhập vào tất cả hệ
thống.


Các mức bảo vệ an tồn thơng tin trên mạng
- Sử dụng hệ thống bảo mật từ các nhà cung cấp khác nhau có thể làm
giảm nguy cơ gây lỗi phổ biến hoặc lỗi cấu hình. Tuy nhiên, có một
sự đánh đổi về độ phức tạp và chi phí. Mua sắm và lắp đặt nhiều hệ

thống khác nhau là khó khăn hơn, mất nhiều thời gian hơn, và đắt hơn
so với mua sắm và lắp đặt một hệ thống đơn.
- Nếu khơng cẩn thận, chúng ta có thể tạo ra sự đa dạng yếu thay vì sự
đa dạng trong bảo vệ. Nếu có hai bộ lọc gói khác nhau, một trong số
chúng sử dụng trước, sau đó sử dụng cái cịn lại sẽ giúp bảo vệ những
điểm yếu.
- Nếu có hai bộ lọc gói tin khác nhau, mỗi bộ lọc riêng biệt cho phép
lưu lượng đi vào, sau đó sử dụng các sản phẩm khác nhau chỉ làm cho
dễ bị tổn thương cả hai bộ lọc thay vì một.


Một số giao thức an ninh trên Internet
1. Giao thức SSL (Secure Socket Layer)
- SSL là giao thức cung cấp truyền tin cậy giữa các thiết bị đầu cuối.
SSL record cung cấp các dịch vụ an ninh cơ bản cho các giao thức
tầng trên trong đó có HTTP.


Một số giao thức an ninh trên Internet
- Các thành phần của SSL gồm ba giao thức tầng cao hơn: Handshake
Protocol, The Change Cipher Spec Protocol và Alert Protocol
- SSL connection (SLL liên kết): cung cấp dịch vụ thích hợp. Các liên
kết trong SSL là các quan hệ ngang hàng. Các liên kết là tạm thời và
được kết hợp với các phiên.
- SSL session (phiên làm việc): Một phiên làm việc của SSL là một sự
kết hợp của client và server. Một phiên được tạo ra bởi giao thức
Handshake Protocol. Các phiên xác định một tập các tham số an toàn
bảo mật mà có thể được chia sẻ trong các liên kết.



Một số giao thức an ninh trên Internet
1.1. SSL Record
* Giao thức SSL Record cung cấp hai dịch vụ cho SSL liên kết:
Tính bảo mật: Giao thức Handshake Protocol xác định khóa bí mật
được chia sẻ sử dụng cho mã hóa dữ liệu.
Tính tồn vẹn: Giao thức Handshake Protocol xác định khóa bí mật
được chia sẻ sử dụng để tạo mã xác thực thông tin.
* Hoạt động của SSL Record:
Truyền dữ liệu: chia dữ liệu thành các phần nhỏ, nén dữ liệu, tạo mã
xác thực, mã hóa, đặt tiêu đề (header) và truyền các phần dữ liệu.
Nhận dữ liệu: Giải mã, xác thực, giải nén, hợp nhất dữ liệu và truyền
dữ liệu lên tầng trên.


Một số giao thức an ninh trên Internet
1.2. Giao thức The Change Cipher Spec Protocol
-The Change Cipher Spec Protocol là giao thức đơn giản nhất trong ba
giao thức của SSL. Giao thức này gồm một thông điệp chứa một byte
đơn với giá trị 1. Mục đích của byte này để thể hiện trạng thái hiện tại.
1.3. Giao thức Alert Protocol
-Giao thức Alert Protocol sử dụng để chuyển các cảnh báo đến các
thực thể ngang hàng.
-Mỗi thông điệp của giao thức này gồm 2 byte. Byte đầu tiên chứa các
giá trị 1 hoặc 2 để thông báo mức độ nghiêm trọng. Nếu byte này có
giá trị 2 thì SSL kết thúc liên kết hiện tại ngay lập tức. Các liên kết
khác trong cùng phiên có thể tiếp tục nhưng khơng thiết lập thêm các
liên kết mới. Byte thứ hai chứa các mã cảnh báo đặc biệt.


Một số giao thức an ninh trên Internet

1.4. Giao thức Handshake Protocol
Phần phức tạp nhất của SSL là giao thức Handshake Protocol. Giao
thức này cho phép server và client xác thực lẫn nhau và thỏa thuận
thuật tốn và khóa mã hóa để bảo vệ dữ liệu.
Giao thức Handshake Protocol được sử dụng trước khi truyền dữ liệu.
- Giao thức Handshake protocol gồm bốn giai đoạn.
* Giai đoạn 1: Thiết lập
Giai đoạn này thiết lập liên kết logic và mức độ bảo mật giữa server
và client.
* Giai đoạn 2: Xác thực server và trao đổi khóa
Server được xác thực trong giai đoạn này và nó tạo một khóa cơng
cộng gửi cho client.


Một số giao thức an ninh trên Internet
* Giai đoạn 3: Xác thực client và trao đổi khóa
Client kiểm tra các thông tin nhận được từ server.
Client gửi cho server một thơng điệp xác nhận trạng thái thơng tin
mà nó nhận được.
Sau đó client gửi tiếp một thơng điệp mà nội dung phụ thuộc vào
kiểu khóa trao đổi.
* Giai đoạn 4: Kết thúc
Client gửi một thông điệp kết thúc bao gồm các thuật tốn mới, các
khóa và các bí mật.
Thơng điệp kết thúc cũng thơng báo q trình trao đổi khóa và xác
thực đã thành cơng.


Một số giao thức an ninh trên Internet
2. Giao thức HTTPS

- Giao thức HTTPS là sự kết hợp giữa hai giao thức HTTP và SSL
hoặc TLS để đảm bảo an tồn trong truyền thơng giữa web server và
web browser.
Tải bản FULL (36 trang): />Dự phòng: fb.com/TaiHo123doc.net
- Khởi tạo liên kết
Client khởi tạo một liên kết với server trên cổng thích hợp sau đó gửi
một thơng điệp TSL ClientHello để bắt đầu thử tục “bắt tay”.
Khi thủ tục “bắt tay” kết thúc, client có thể khởi tạo yêu cầu HTTP
đầu tiên.


Một số giao thức an ninh trên Internet
- Một liên kết của HTTPS có ba mức:
Ở tầng HTTP, HTTP client yêu cầu một liên kết với HTTP server bằng
việc gửi một yêu cầu đến tầng thấp nhất tiếp theo là TCP hoặc SSL/TLS.
Ở tầng TLS, một phiên được thiết lập giữa TLS client và TLS server. Một
yêu cầu TLS được thực hiện thì cần một liên kết giữa một thực thể TCP
client và TCP server.
Tải bản FULL (36 trang): />Dự phịng: fb.com/TaiHo123doc.net
- Đóng liên kết
HTTP client hoặc HTTP server có thể yêu cầu đóng liên kết. Việc đóng
kết nối ở HTTP cũng yêu cầu đóng liên kết giữa các thực thể ở tầng TLS
và cũng sẽ đóng liên kết ở tầng TCP.
Q trình đóng liên kết ở các tầng TLS và TCP được thực hiện bằng cách
gửi các thông điệp yêu cầu “đóng liên kết” giữa các thực thể ở mỗi tầng.


Một số giao thức an ninh trên Internet
3. Giao thức SSH (Secure Shell)
- SSH là giao thức truyền thông an tồn trên mạng. SSH được thiết kế

đơn giản và khơng đắt khi cài đặt. Phiên bản đầu tiên SSH1 tập trung vào
đăng nhập từ xa an toàn thay cho Telnet và các đăng nhập khác mà
khơng an tồn.
- SSH cũng có thể sử dụng cho truyền file hoặc email. SSH phiên bản 2
xem xét một số lỗ hổng bảo mật.
- SSH client và server được ứng dụng rộng rãi trong các hệ điều hành.
Nó trở thành phương thức được lựa chọn cho các đăng nhập từ xa và trở
thành một trong các ứng dụng phổ biến nhất cho công nghệ mã hóa bên
ngồi hệ thống nhúng.
- SSH gồm ba giao thức SSH Transport layer protocol, SSH User
authentication protocol và SSH connection protocol. Các giao thức này
chạy phía trên giao thức TCP.
4358441