Tải bản đầy đủ (.docx) (29 trang)

Tìm Hiểu Về Các Kỹ Thuật Bảo Vệ Mạng, Hệ Mật Dựa Trên Định Danh; Cài Đặt Hệ Mật Mã Beaufort.docx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (563.24 KB, 29 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

CHƯƠNG 1: AN NINH MẠNG VÀ TẤN CÔNG MẠNG...5

1.1 An ninh mạng...5

1.1.1 Khái niệm an ninh mạng...5

1.1.2 Mục tiêu của an ninh mạng...6

1.2 Các chiến lược an toàn...7

1.4 Một số giải pháp nhằm đảm bảo an tồn an ninh mạng...11

1.4.1 Cơng nghệ tường lửa (FiraWall)...11

1.4.2 Cơng nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS...11

1.4.3 Mạng ảo riêng (VPN)...13

1.5 An tồn thơng tin bằng mật mã...15

1.6 Giải pháp phịng chống tấn cơng mạng...15

1.6.1 Đối với cá nhân...16

1.6.2 Đối với tổ chức doanh nghiệp...16

CHƯƠNG 2: HỆ MẬT DỰA ĐỊNH DANH...18

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<b>LỜI MỞ ĐẦU</b>

Công nghê thơng tin ngày càng đóng vai trị quan trọng trong mọi lĩnh vực đời sống. Với nhu cầu trao đổi thông tin hiện nay, bắt buộc các cơ quan, tổ chức phải hịa mình vào mạng tồn cầu Internet. An tồn và bảo mật thơng tin là một trong những vấn đề quan trọng hàng đầu khi thực hiện kết nối mạng của các cơ quan, các tổ chức doanh nghiệp, hay cá nhân

Ngày nay, các biện pháp an tồn thơng tin cho máy tính cá nhận cũng như các mạng nội bộ đã và đang nghiên cứu và triển khai. Tuy nhiên vẫn thường xuyên có các tổ chức, cá nhân bị tấn công mạng bị đánh cắp thông tin gây ra những hậu quả vô cùng nghiêm trọng. Các cuộc tấn công mạng đánh cắp thông tin của người dùng có thể dẫn đến thiệt hại hàng tỷ đô la trong lĩnh vực kinh doanh, đặc biệt là khi máy chủ của ngân hàng, các nhà máy điện và các thiết bị thông minh bị xâm nhập. Điều này có thể dẫn đến những thiệt hại nghiêm trọng cho xã hội số thay vì hỗ trợ sự phát triển. Việc thiếu các biện pháp bảo mật hoặc có nhưng khơng đầy đủ có thể khơng gây ra sự cố nghiêm trọng ban đầu, nhưng xã hội số dần dần sẽ mất niềm tin, dẫn đến sự suy giảm nghiêm trọng trong phát triển. Theo Diễn đàn Kinh tế Thế giới, ước tính giá trị thị trường của an toàn, an ninh mạng dự kiến sẽ tăng từ 120 lên 300 tỷ vào năm 2024.

Xuất phát từ lý do trên cũng như nhu cầu sử dụng mạng một cách an toàn cho bản than em đã chọn đi sâu phân tích và nghiên cứu đề tài “Tìm hiểu về các kỹ thuật bảo vệ mạng, hệ mật dựa trên định danh; Cài đặt hệ mật mã Beaufort”

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b>CHƯƠNG 1: AN NINH MẠNG VÀ TẤN CÔNG MẠNG</b>

<b>1.1An ninh mạng</b>

<b>1.1.1 Khái niệm an ninh mạng</b>

An ninh mạng (cybersecurity) là hệ thống mạng bảo vệ máy tính từ các nhà quản lý hoạt động hoặc làm tổn hại đến phần cứng, phần mềm và dữ liệu, cũng như các nhân sự dẫn đến gián đoạn, chuyển hướng của các dịch vụ hiện đang được cung cấp.

An ninh mạng là bảo vệ các hệ thống điện tử, mạng lưới, máy tính, thiết bị di động, chương trình và dữ liệu khỏi những cuộc tấn công kỹ thuật số độc hại. Tội phạm mạng có thể triển khai một loạt các cuộc tấn công vào các nạn nhân hoặc doanh nghiệp đơn lẻ; có thể kể đến như truy cập, làm thay đổi hoặc xóa dữ liệu nhạy cảm; tống tiền; can thiệp vào các quy trình kinh doanh.

An ninh mạng máy tính bao gồm các việc kiểm sốt truy cập vật lý đến phần cứng, cũng như bảo vệ chống lại tác hại có thể xảy ra qua truy cập mạng máy tính, cơ sở dữ liệu (SQL injection) và việc lợi dụng các lỗ hổng phần mềm (code injection). Do sai xót của những người điều hành, dù cố ý hay là do bất cẩn, an ninh cơng nghệ thơng tin có thể bị lừa đảo phi kỹ thuật để vượt qua các thủ tục an toàn thông tin qua các phương pháp khác nhau.

An ninh mạng hoạt động thông qua cơ sở hạ tầng chặt chẽ, được chia thành ba phần chính: bảo mật cơng nghệ thơng tin, an ninh mạng và an ninh máy tính.

 Bảo mật thông tin (với cách gọi khác là bảo mật thông tin điện tử): Bảo vệ dữ liệu ở nơi chúng được lưu trữ và cả khi các dữ liệu này di trao đổi trên các mạng lưới thông tin. Trong khi an ninh mạng chỉ bảo vệ dữ liệu số và bảo mật công nghệ thông tin nắm trong tay trọng trách bảo vệ cả dữ liệu kỹ thuật số với dữ liệu vật lý khỏi những kẻ tấn công trái phép.

 An ninh mạng: Là một tập hợp con của bảo mật công nghệ thông tin. An ninh mạng thực hiện nhiệm vụ đảm bảo an toàn dữ liệu kỹ thuật số trên các mạng lưới, máy tính và thiết bị cá nhân nằm ngồi sự truy cập, tấn công, phá hủy bất hợp pháp.

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

 An ninh máy tính: Là một phần nhỏ của an ninh mạng. Loại bảo mật này sử dụng phần cứng và phần mềm để bảo vệ tất cả các dữ liệu được gửi từ máy tính cá nhân hoặc các thiết bị khác đến hệ thống thông tin. An ninh máy tính thực hiện các chức năng bảo vệ an tồn cho cơ sở hạ tầng cơng nghệ thông tin và chống lại các dữ liệu bị chặn, bị thay đổi hoặc đánh cắp bởi tội phạm mạng.

Lĩnh vực này dần trở nên quan trọng do sự phụ thuộc ngày càng nhiều vào các hệ thống máy tính và Internet tại các quốc gia, cũng như sự phụ thuộc vào hệ thống mạng không dây như Bluetooth, Wi-Fi, cùng với sự phát triển của các thiết bị "thông minh", bao gồm điện thoại thông minh, TV và các thiết bị khác kết nối vào hệ thống Internet of Things.

<b>1.1.2 Mục tiêu của an ninh mạng</b>

Mục tiêu chính của an ninh mạng chính là bảo vệ thơng tin dữ liệu tránh khỏi bị đánh cắp, thâm phạm hoặc bị phá hủy. Tính bảo mật an ninh mạng có thể được đo bằng ít nhất một trong ba mục tiêu dưới đây:

- Bảo vệ tính bảo mật dữ liệu. - Bảo tồn tính tồn ven dữ liệu.

- Thúc đẩy sự sẵn có dữ liệu cho người dùng được quyền truy cập.

<b>1.1.2.1Tính bảo mật (Confidentiality)</b>

Bảo mật tương đương với quyền riêng tư và việc tránh tiết lộ thông tin một cách trái phép. Liên quan đến việc bảo vệ dữ liệu thông tin, bảo mật cung cấp quyền truy cập cho những người được phép, ngăn chặn người khác tiếp xúc với bất kỳ thơng tin gì về nội dung thơng tin cá nhân của chủ sở hữu. Yếu tố này ngăn chặn thông tin cá nhân tiếp cận sai người trong khi đảm bảo rằng người dùng mục tiêu có thể thu thập được thơng tin cần thiết. Mã hóa dữ liệu là một ví dụ điển hình để đảm bảo tính bảo mật của người dùng.

<b>1.1.2.2Tính tồn vẹn (Integrity)</b>

Tính toàn vẹn đề cập đến các phương pháp nhằm đảm bảo nguồn dữ liệu phải thật chính xác và được bảo vệ khỏi sự sửa đổi trái phép của người dùng.

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

<b>1.1.2.3Tính sẵn có (Avaliability)</b>

Mọi hệ thống thơng tin phục vụ cho mục đích riêng của nó và thông tin phải luôn luôn sẵn sàng khi cần thiết. Hệ thống có tính sẵn sàng cao hướng đến sự sẵn có, khả dụng ở mọi nơi mọi thời điểm, tránh rủi ro và đảm bảo an tồn thơng tin có thể được truy cập và sửa đổi kịp lúc bởi những người được ủy quyền.

<b>1.2Các chiến lược an toàn</b>

<b> Giới hạn quyền hạn tối thiêu (Last Privilege):</b>

Đây là chiến lược cơ bản nhất theo nguyên tắc này bất kỳ một đối tượng nào cũng chỉ có những quyền hạn nhất định đối với tài nguyên mạng, khi xâm nhập vào mạng đối tượng đó chỉ được sử dụng một số tài nguyên nhất định.

<b> Bảo vệ theo chiều sâu (Defence In Depth):</b>

Phương pháp này nhắc nhở chúng ta không nên dựa vào một chế độ an toàn nào dù chúng rất mạnh mà nên tạo nhiều cơ chế an toàn để tương trợ lẫn nhau.

<b> Nút thắt (Choke Point):</b>

Tạo ra một đường đi hẹp và chỉ cho phép thông tin đi vào hệ thống của mình bằng con đường duy nhất chính là nối đi này. Phải tổ chức một cơ cấu kiểm soát và điều khiên thông tin đi qua cửa này.

<b> Điểm nối yếu nhất (Weakest Link):</b>

Kẻ phá hoại ăn cắp thông thường tìm những lỗ hổng của hệ thống. Thơng thường chúng ra chỉ quan tâm đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, do đó an toàn vật lý được coi là điểm yếu nhất trong hệ thống của chúng ta.

<b> Tính tồn cục:</b>

Các hệ thống tồn địi hỏi phải có tính tồn cục của các hệ thống cục bộ. Nếu có một kẻ nào đó có thể bẻ gẫy một cơ chết an tồn thì chúng có thể thành cơng bằng cách tấn cơng hệ thống tự do của ai đó và sau đó tấn công hệ thống từ nội bộ bên trong.

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

<b> Tính đa dạng bảo vệ:</b>

Cần phải sử dụng nhiều biện pháp bảo mật khác nhau cho hệ thống khác nhau, nếu khơng có kẻ tấn cơng vào được một hệ thống thì chúng cũng sẽ dễ dàng tấn công vào các hệ thống khác chỉ với một cách như vậy.

<b>1.3Các mực bảo vệ mạng</b>

Vì khơng có một giải pháp an toàn tuyệt đối nào nên người ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp bảo vệ đối với các hoạt động xâm phạm. Việc bảo vệ thông tin người dùng trên mạng chủ yếu là bảo vệ thông tin cất giữ trong máy tính, đặc biệt là các server trên mạng. Bởi thế ngoài một số biện pháp nhằm chống mất thông tin trên đường truyền mọi cố gắng tập trung vào việc xây dựng các mức bảo vệ từ ngoài vào trong cho các hệ thống kết nối internet. Thơng thường có các mức bảo vệ sau:

<b>1.3.1 Quyền truy cập</b>

Lớp bảo vệ trong cùng là quyền truy cập nhằm kiểm soát các tài nguyên của mạng và quyền hạn trên tài ngun đó. Dĩ nhiên là kiểm sốt các cấu trúc dữ liệu càng chi tiết càng tốt. Hiện tại việc kiểm soát thường mới chỉ ở mức tệp.

<b>1.3.2 Đăng ký tên/mật khẩu</b>

Đây cũng giống với kiểm soát quyền truy nhập, nhưng không phải truy nhập ở mức thông tin mà ở mức hệ thống. Đây là phương pháp phổ biến nhất vì nó đơn giản ít phí tổn và cũng rất hiệu quả. Mỗi người sử dụng muốn được thâm gia vào mạng để sử dụng tài nguyên đều phải có đăng ký tên và mật khẩu trước. Người quản trị hệ thơng phải có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác theo thời gian và không gian (nghĩa là người sử dụng chỉ được truy nhập trong một khoảng thời gian nào đó và tại mơt vị trí nhất định nào đó).

Về lý thuyết nếu mọi người đều giữ kín được mật khẩu và tên đăng ký của mình thì sẽ không xẩy ra các truy nhập trái phép. Song điều đó khó đảm bảo trong thực tế vì nhiều nguyên nhân rất đời thương làm giảm hiệu quả của lớp bảo vệ này. Có thể khắc

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

phục bằng cách người quản trị mạng chịu trách nhiệm đặt mật khẩu và thay đổi mật khẩu theo thời gian.

<b>1.3.3 Mã hóa dữ liệu</b>

Để bảo mật thơng tin trên đường truyền người ta phải sử dụng các phương pháp mã hóa. Dữ liệu biến đổi từ dạng nhận thức được sang dạng không nhận thức được theo một thuật tốn nào đó và sẽ được biến đổi ngược lại ở trạm nhận (giải mã). Đây là lớp bảo vệ thông tin rất quan trong.

<b>1.3.4 Bảo vệ vật lý</b>

Ngăn cản truy nhập vật lý vào hệ thống. thường dung các biện pháp truyền thống như ngăn cấm tuyệt đối người khơng phận sự vào phịng đặt máy mạng, dung ổ khóa trên máy tính hoặc máy trạm khơng có ổ mềm.

<b>1.3.5 Tường lửa (FireWall)</b>

Firewall là bức tường phòng vệ chống lại những kẻ hay đi xâm nhập trộm, giúp ngăn chặn ý đồ xâm nhập xấu vào máy tính và hạn chế những gì đi ra khỏi máy nếu chưa có sự cho phép.

Tường lửa được định nghĩa một cách đúng nhất là một hệ thống an ninh mạng. Chúng hoạt động như một hang rào chắn giữa mạng an tồn và mạng khơng an tồn. Tức là chúng sẽ kiểm sốt các thơng tin các truy cập đến nguồn tài nguyên của mạng, lúc này chỉ có những traffic phù hợp với chính sách được định nghĩa trong trường lửa thì mới được truy cập vào mạng cịn lại sẽ bị từ chối.

Tường lửa sẽ đảm bảo rằng máy tính được bảo vệ từ hầu hết các mối tấn cơng nguy hại phổ biến. Và máy tính nào khi kết nối tới internet cũng cần có firewall, điều này giúp quản lý những gì được phép vào mạng và những gì được phép ra khỏi mạng.

 Một số nhiệm vụ chính của Firewall:

- Cho phép hoặc vơ hiệu hóa các dịch vụ truy cập từ bên ngồi, đảm bảo thơng tin chỉ có trong mạng nội bộ.

- Cho phép hoặc vơ hiệu hóa các dịch vị bên ngồi truy cập vào trong. - Phát hiện và ngăn chặn các cuộc tấn cơng xâm nhập từ bên ngồi.

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

- Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm phép hoặc là cho phép).

- Kiểm soát truy cập của người dung.

- Quản lý và kiểm sốt luồng thơng tin dữ liệu trên mạng. - Xác thực quyền truy cập.

- Hỗ trợ kiểm sốt nội dung và gói tin lưu chuyển trên hệ thống mạng.

- Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port, giao thức mạng. - Người quản trị có thể biết được kẻ nào đang cố gắng tấn công để truy cập vào hệ thống mạng.

- Tường lửa hoạt động như một Proxy trung gian.

- Bảo vệ các tài nguyên của hệ thống bởi các mối đe dọa bảo mật.

- Cân bằng tải: có thể sử dụng nhiều đường truyền internet cùng một lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều.

- Tính năng lọc ứng dụng cho phép ngăn chặn một số ứng dụng mà bạn muốn như: Facebook, Skype, Zalo…

<b>1.3.6 Quản trị mạng</b>

Trong thời đại phát triển của cơng nghẹ thơng tin, mạng máy tính quyết định toàn bộ hoạt động của một cơ quan, hay một cơng ty xí nghiệp. Vì vậy việc bảo đảm cho hệ thống mạng máy tính hoạt động một cách an tồn, khơng xẩy ra sự cơ là mổ cơng việc cấp thiết hang đầu. Công tác quản trị mạng phải được thực hiện một cách khoa học đảm bảo các u cầu sau:

- Tồn bộ hệ thống hoạt động bình thường trong và ngoài giờ làm

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

- Bảo mật dữ liệu, phân quyền truy cập, tổ chức nhóm làm việc trên khơng gian mạng.

<b>1.4Một số giải pháp nhằm đảm bảo an tồn an ninh mạng1.4.1 Cơng nghệ tường lửa (FiraWall)</b>

<b>Firewall mềm: là nhưng Fire Wall dưới dạng phần mềm và được cài dặt trên </b>

Server. Tính linh hoạt cao có thể theme bớt các quy tắc, các chức năng.

<b>Firewall cứng: là những firewall được tích hợp vào thiết bị phần cứng</b>

<b>1.4.2 Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS</b>

1. Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS).

Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn. IDS cung cấp các thông tin về các cuộc tấn công vào hệ thống mạng. Tuy nhiên IDS không tự động cấm hay là ngăn chặn các cuộc tấn công.

2. Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS).

Giải pháp ngăn chặn xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục.

IPS ngăn chặn các cuộc tấn công dưới những dạng sau:

- Ứng dụng không mong muốn và tấn công nhằm vào mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy nhập.

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

- Các tấn cơng từ chối dịch vụ như các gói tin SYN và ICMP bởi việc dùng các thuật toán dựa trên cơ sở “ngưỡng”.

- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những quy tắc giao thức ứng dụng và chữ kí.

- Những tấn cơng q tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên dựa trên cơ sở ngưỡng.

 <b>Modul phân tích gói:</b>

- Nhiệm vụ phân tích cấu trúc thơng tin trong các gói tin. Card giao tiếp mạng của máy giám sát được đặt ở chế độ không phân loại, các gói tin qua chúng đều được sao chép và chuyển lên lớp trên.

 <b>Modul phát hiện tấn cơng:</b>

- Modul quan trọng nhất trong hệ thống, có khả năng phát hiện ra các cuộc tấn cơng. Có 2 phương pháp phát hiện các cuộc tấn công xâm nhập:

- Dị tìm sự lạm dụng dụng (Missuse Detection): Phương pháp này phân tích các hoạt động của hệ thống, tìm kiếm dựa trên các dấu hiệu tấn cơng, tức là sự kiện giống các mẫu tấn công đã biết.

<b>- Ưu điểm: phát hiện các cuộc tấn công một cách nhanh và chính </b>

xác, khơng đưa ra những cảnh báo sai làm giảm khả năng hoạt động của mạng, giúp người quản trị xác định các định được lỗ hổng bảo mật trong hệ thống của mình.

<b>- Nhược điểm: Khơng phát hiện được các tấn cơng khơng có trong</b>

mẫu, các kiểu tấn cơng mới. Do đó hệ thống phải luôn luôn phải cập nhật các mẫu tấn cơng mới.

<b> Modul phản ứng:</b>

- Khi có dấu hiệu của sự tấn cơng, xâm nhập thì modul phát hiện tấn cơng sẽ gửi tín hiệu thơng báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt Firewall thực hiện chức năng ngăn chặn cuộc tấn công này. Tại đây nếu chỉ đưa ra các thông báo cảnh báo tới người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<b> Một số kỹ thuật ngăn chặn:</b>

- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết lập lại cuộc giao tiếp tới Client và Server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại từ đầu và cuộc tấn công bị ngừng lại.

- Nhược điểm: thời gian gửi gói tin reset là quá chậm so với sự tấn công; phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime

Alerting), Tạo ra bản ghi log (Log packet).

- Ba modul trên hoạt động tuần tự tạo nên một IPS hoàn chỉnh. IPS được xem là thành công nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra thơng báo hợp lý, phân tích được tồn bộ thơng lượng, ngăn chặn thành cơng và có chính sách quản lí mềm.

3. Những hạn chế của IDS/IPS

So với Firewall, IDS/IPS thể hiện được nhiều tính năng ưu việt. IDS/IPS khơng chỉ có khả năng phát hiện ra các cuộc tấn cơng, mà cịn chống lại các cuộc tấn công này một cách hữu hiệu. Tuy vậy hệ thống này vẫn cịn những hạn chế.

Các sản phẩm IPS khơng thể nhận biết được trạng thái tầng ứng dụng và chỉ có thể nhận biết được các dịng thơng tin trên tầng mạng. Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn kịp thời.

<b>1.4.3 Mạng ảo riêng (VPN)</b>

Mạng VPN an toàn bảo vệ sự lưu thông trên mạng và cung cấp sự riêng tư, sự chứng thực và toàn vẹn dữ liệu thơng qua các giải thuật mã hố.

<b>Site to site: Áp dụng cho các tổ chức có nhiều phịng ban và chi nhánh, giữa các </b>

phòng cần trao đổi dữ liệu với nhau.

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

<b>Remote-Access: Được gọi là Virtual Private Dial-up Network (VPDN), đây </b>

là dạng kết nối Remote-Access VPN áp dụng cho các cơ quan mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.

<b>Intranet/ Internal VPN: Trong một số tổ chức, quá trình truyền dữ liệu giữa </b>

một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.

<b>Bảo đảm an tồn thơng tin:</b>

- Xác thực, xác nhận và quản lý tài khoản (AAA - Authentication, Authorization, Accounting): AAA được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN.

- Mã hóa dữ liệu (Enencryption): Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được.

- Mã hóa sử dụng khóa riêng (Symmetric-key encryption): Nhược điểm chính của phương pháp này là khóa được truyền trên mơi trường mạng nên tính bảo mật khơng cao. Ưu điểm là tốc độ mã hóa và giải mã rất nhanh.

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

- Mã hóa sử dụng khóa cơng khai (Public-key encryption): Hệ Public-key encryption sử dụng một tổ hợp khố riêng và khố cơng cộng để thực hiện mã hố, giải mã.

<b>1.5An tồn thơng tin bằng mật mã</b>

Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền tin bí mật. Mật mã bao gồm: Lập mã và phá mã. Lập mã bao gồm hai q trình: mã hóa và giải mã.

Để bảo vệ thông tin trên đường truyền người ta thường biến đổi nó từ dạng nhận thức được sang dạng không nhận thức được trước khi truyền đi trên mạng, quá trình này được gọi là mã hố thơng tin (encryption), ở trạm nhận phải thực hiện quá trình ngược lại, tức là biến đổi thông tin từ dạng không nhận thức được (dữ liệu đã được mã hoá) về dạng nhận thức được (dạng gốc), quá trình này được gọi là giải mã. Đây là một lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi trong môi trường mạng. Để bảo vệ thông tinbằng mật mã người ta thường tiếp cận theo haihướng:

-Theo đường truyền (Link_Oriented_Security). -Từ nút đến nút (End to End).

Theo cách thứ nhất thơng tin được mã hố để bảo vệ trên đường truyền giữa hai nút mà không quan tâm đến nguồn và đích của thơng tin đó. Ở đây ta lưu ý rằng thông tin chỉ được bảo vệ trên đường truyền, tức là ở mỗi nút đều có q trình giải mã sau đó mã hố để truyền đi tiếp, do đó các nút cần phải đượcbảovệ tốt.

Ngược lại theo cách thứ hai thông tin trên mạng được bảo vệ trên tồn đường truyền từ nguồn đến đích. Thơng tin sẽ được mã hố ngay sau khi mới tạo ra và chỉ được giải mã khi về đến đích. Cách này mắc phải nhược điểm là chỉ có dữ liệu của người dùng thì mới có thể mã hóa được cịn dữ liệu điều khiển thì giữ ngun để có thể xử lý tại các nút.

<b>1.6Giải pháp phịng chống tấn công mạng</b>

</div>

×