ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
BÁO CÁO GIỮA KỲ
Môn học: Mật mã và an toàn dữ liệu
Chủ đề : Các vấn đề chung về bảo mật hệ thống và mạng

Giảng viên: PGS.TS. Trịnh Nhật Tiến
Học viên : Lê Thị Thu Thảo
MSHV: 13025100
Lớp: INT 60102
Số điện thoại: 0984271084

Hà Nội – 2014
NỘI DUNG
Chương I. Các vấn đề về an ninh mạng
Chương II. Các phương thức mã hoá
2
Chương I. Các vấn đề về an ninh mạng
1. Một số khái niệm về bảo mật
2. Lịch sử bảo mật mạng và hệ thống
3. Một số hình thức tấn công mạng
4. Các mức bảo vệ an toàn mạng
3
1. Một số khái niệm về bảo mật
1.1. Đối tượng tấn công mạng
1.2. Các lỗ hổng bảo mật
1.3. Chính sách bảo mật
4
1.1. Đối tượng tấn công mạng

Là những cá nhân hoặc các tổ chức sử dụng các kiến thức về mạng

và các công cụ phá hoại (phần mềm hoặc phần cứng) để dò tìm các
điểm yếu, các lỗ hổng bảo mật trên hệ thống, thực hiện các hoạt
động xâm nhập và chiếm đoạt tài nguyên mạng trái phép.

Một số đối tượng tấn công mạng là:

Hacker:
Hacker: Là những kẻ xâm nhập vào mạng trái phép bằng cách
sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu
của các thành phần truy nhập trên hệ thống

Masquerader:
Masquerader: Là những kẻ giả mạo thông tin trên mạng. Một
số hình thức giả mạo như giả mạo địa chỉ IP, tên miền, định danh
người dùng

Eavesdropping:
Eavesdropping: Là những đối tượng nghe trộm thông tin trên
mạng, sử dụng các công cụ sniffer; sau đó dùng các công cụ
phân tích và debug để lấy được các thông tin có giá trị

Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác
nhau: như ăn cắp những thông tin có giá trị về kinh tế, phá hoại hệ
thống mạng có chủ định, hoặc cũng có thể chỉ là những hành động
vô ý thức, thử nghiệm các chương trình không kiểm tra cẩn thận
5
1.2. Các lỗ hổng bảo mật

Các lỗ hổng bảo mật là những điểm yếu kém trên hệ thống hoặc ẩn
chứa trong một dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập

trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài
nguyên bất hợp pháp.

Nguyên nhân gây ra những lỗ hổng bảo mật là khác nhau: có thể do
lỗi của bản thân hệ thống, hoặc phần mềm cung cấp, hoặc do người
quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp

Mức độ ảnh hưởng của các lỗ hổng là khác nhau. Có những lỗ hổng
chỉ ảnh hưởng tới chất lượng dịch vụ cung cấp, có những lỗ hổng
ảnh hưởng nghiêm trọng tới toàn bộ hệ thống

Trong phần 2 sẽ trình bày chi tiết các loại lỗ hổng bảo mật, các điểm
yếu của một số dịch vụ và biện pháp khắc phục.
6
1.3. Chính sách bảo mật

Là tập hợp các qui tắc áp dụng cho mọi đối tượng có tham gia
quản lý và sử dụng các tài nguyên và dịch vụ mạng.

Mục tiêu của chính sách bảo mật giúp người sử dụng biết được
trách nhiệm của mình trong việc bảo vệ các tài nguyên thông tin
trên mạng, đồng thời giúp các nhà quản trị thiết lập các biện pháp
bảo đảm hữu hiệu trong quá trình trang bị, cấu hình, kiểm soát
hoạt động của hệ thống và mạng.

Một chính sách bảo mật được coi là hoàn hảo nếu nó xây dựng
gồm các văn bản pháp qui, kèm theo các công cụ bảo mật hữu
hiệu và nhanh chóng giúp người quản trị phát hiện, ngăn chặn
các xâm nhập trái phép.


Chi tiết về phương pháp và cách thức xây dựng một chính sách
bảo mật sẽ được trình bày trong phần 3.
7
2. Lịch sử bảo mật mạng và hệ thống

Có một số sự kiện đánh dấu các hoạt động phá hoại trên mạng, từ đó
nảy sinh các yêu cầu về bảo mật hệ thống như sau:

Năm 1988: Trên mạng Internet xuất hiện một chương trình tự
nhận phiên bản của chính nó lên tất cả các máy trên mạng
Internet. Các chương trình này gọi là "sâu". Tuy mức độ nguy hại
của nó không lớn, nhưng nó đặt ra các vấn đề đối với nhà quản
trị về quyền truy nhập hệ thống, cũng như các lỗi phần mềm.

Năm 1990: Các hình thức truyền Virus qua địa chỉ Email xuất
hiện phổ biến trên mạng Internet.

Năm 1991: Phát hiện các chương trình trojans.
8
2. Lịch sử bảo mật mạng và hệ thống

Cùng thời gian này sự phát triển của dịch vụ Web và các công nghệ
liên quan như Java, Javascipts đã có rất nhiều các thông báo lỗi về
bảo mật liên quan như:

Các lỗ hổng cho phép đọc nội dung các file dữ liệu của người
dùng, một số lỗ hổng cho phép tấn công bằng hình thức DoS,
spam mail làm ngưng trệ dịch vụ

Năm 1998: Virus Melisa lan truyền trên mạng Internet thông qua

các chương trình gửi mail của Microsoft, gây những thiết hại
kinh tế không nhỏ.

Năm 2000: Một loạt các Web Site lớn như yahoo.com và
ebay.com bị tê liệt, ngừng cung cấp dịch vụ trong nhiều giờ do bị
tấn công bởi hình thức DoS.
9
3. Một số hình thức tấn công mạng

Có thể tấn công mạng theo một trong các hình thức sau đây:

Dựa vào những lỗ hổng bảo mật trên mạng:

Những lỗ hổng này có thể là các điểm yếu của dịch vụ mà hệ
thống đó cung cấp;

Ví dụ những kẻ tấn công lợi dụng các điểm yếu trong các
dịch vụ mail, ftp, web để xâm nhập và phá hoại

Sử dụng các công cụ để phá hoại:

Ví dụ sử dụng các chương trình phá khoá mật khẩu để truy
nhập vào hệ thống bất hợp pháp;

Lan truyền virus trên hệ thống;

Cài đặt các đoạn mã bất hợp pháp vào một số chương trình.

Nhưng kẻ tấn công mạng cũng có thể kết hợp cả 2 hình thức trên với
nhau để đạt được mục đích.

10
3. Một số hình thức tấn công mạng

Hình dưới đây minh hoạ mức độ nguy hại tới hệ thống tương
ứng với các hình thức tấn công khác nhau:
11
3. Một số hình thức tấn công mạng

Mức 1 (Level 1): Tấn công vào một số dịch vụ mạng: như Web,
Email, dẫn đến các nguy cơ lộ các thông tin về cấu hình mạng.
Các hình thức tấn công ở mức này có thể dùng DoS hoặc spam
mail.

Mức 2 (Level 2): Kẻ phá hoại dùng tài khoản của người dùng
hợp pháp để chiếm đoạt tài nguyên hệ thống; (Dựa vào các
phương thức tấn công như bẻ khoá, đánh cắp mật khẩu ); kẻ
phá hoại có thể thay đổi quyền truy nhập hệ thống qua các lỗ
hổng bảo mật hoặc đọc các thông tin trong tập tin liên quan đến
truy nhập hệ thống như /etc/passwd

Từ Mức 3 đến mức 5: Kẻ phá hoại không sử dụng quyền của
người dùng thông thường; mà có thêm một số quyền cao hơn đối
với hệ thống; như quyền kích hoạt một số dịch vụ; xem xét các
thông tin khác trên hệ thống

Mức 6: Kẻ tấn công chiếm được quyền root trên hệ thống.
12
4. Các mức bảo vệ an toàn mạng

Vì không có một giải pháp an toàn tuyệt đối nên người ta thường

phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành
nhiều lớp "rào chắn" đối với các hoạt động xâm phạm.

Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất
giữ trong các máy tính, đặc biệt là trong các server của mạng.

Hình sau mô tả các lớp rào chắn thông dụng hiện nay để bảo vệ
thông tin tại các trạm của mạng
Hình. Các mức độ bảo vệ mạng
13
Informat ion
Access rights
login/password
data encrytion
Physical protection
firewalls
4. Các mức bảo vệ an toàn mạng

Như minh hoạ trong hình trên, các lớp bảo vệ thông tin trên mạng
gồm:

Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài
nguyên (ở đây là thông tin) của mạng và quyền hạn (có thể thực
hiện những thao tác gì) trên tài nguyên đó. Hiện nay việc kiểm
soát ở mức này được áp dụng sâu nhất đối với tệp

Lớp bảo vệ tiếp theo là hạn chế theo tài khoản truy nhập gồm
đăng ký tên/ và mật khẩu tương ứng.
•
Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản, ít

tốn kém và cũng rất có hiệu quả.
•
Mỗi người sử dụng muốn truy nhập được vào mạng sử dụng
các tài nguyên đều phải có đăng ký tên và mật khẩu.
•
Người quản trị hệ thống có trách nhiệm quản lý, kiểm soát
mọi hoạt động của mạng và xác định quyền truy nhập của
những người sử dụng khác tuỳ theo thời gian và không gian.
14
4. Các mức bảo vệ an toàn mạng

Lớp thứ ba là sử dụng các phương pháp mã hoá (encryption).
•
Dữ liệu được biến đổi từ dạng "đọc được" sang dạng không
"đọc được" theo một thuật toán nào đó.
•
Chúng ta sẽ xem xét các phương thức và các thuật toán mã
hoá hiện được sử dụng phổ biến ở phần dưới đây.

Lớp thứ tư là bảo vệ vật lý (physical protection) nhằm ngăn cản
các truy nhập vật lý bất hợp pháp vào hệ thống.
•
Thường dùng các biện pháp truyền thống như ngăn cấm
người không có nhiệm vụ vào phòng đặt máy, dùng hệ thống
khoá trên máy tính, cài đặt các hệ thống báo động khi có truy
nhập vào hệ thống

Lớp thứ năm
•
Cài đặt các hệ thống bức tường lửa (firewall), nhằm ngăn

chặn các thâm nhập trái phép và cho phép lọc các gói tin mà
ta không muốn gửi đi hoặc nhận vào vì một lý do nào đó.
15
Chương II. Các phương thức mã hoá

Một trong những biện pháp bảo mật thường sử dụng đó là áp dụng các
cơ chế mã hoá. Sau đây sẽ phân tích một số cơ chế mã hoá đảm bảo
tính an toàn và tin cậy dữ liệu thường được sử dụng trong các dịch vụ
trên mạng Internet

1. Đặc điểm chung của các phương thức mã hóa
1.1. Authentication
1.2. Authorization
1.3. Confidential
1.4. Integrity
1.5. Nonreputation
1.6. Availability

2. Các phương thức mã hóa:
2.1. Phương thức mã hóa dùng khoá bí mật (Secret Key Crytography)
2.2. Phương thức mã hóa dùng khoá công khai (Public-Key
Crytography)
2.3. Phương thức mã hoá một chiều - thuật toán Băm
2.4 Message Authentication Codes - MAC
16
1. Đặc điểm chung của các phương thức mã hóa

Trong các phương thức mã hóa, mỗi phương thức đều chủ yếu tập
trung giải quyết 6 vấn đề chính như sau:
1.1 Authentication - Hoạt động kiểm tra tính xác thực một thực

thể trong giao tiếp
1.2 Authorization - Hoạt động kiểm tra thực thể đó có được phép
thực hiện những quyền hạn cụ thể nào.
1.3 Confidential - Tính bảo mật: Xác định mức độ bảo mật đối với
mỗi phương thức bảo mật.
1.4 Integrity - Tính toàn vẹn: Kiểm tra tính toàn vẹn dữ liệu khi sử
dụng mỗi phương thức bảo mật cụ thể.
1.5 Nonrepudiation - Tính không thể phủ nhận. Xác định tính xác
thực của chủ thể gây ra hành động
1.6 Availability - Khả năng thực hiện phương thức bảo mật đó
trong môi trường và điều kiện thực tế.
17
1.1 Authentication

Là hoạt động liên quan đến kiểm tra tính đúng đắn một thực thể
giao tiếp trên mạng.

Một thực thể có thể là một người, một chương trình máy tính, hoặc
một thiết bị phần cứng.

Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng
nhất trong các hoạt động của một phương thức bảo mật.

Một hệ thống thông thường phải thực hiện kiểm tra tính xác thực
của một thực thể trước khi thực thể đó thực hiện kết nối với hệ
thống.

Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào
3 mô hình chính sau:


Những thông tin biết trước,

những thông tin đã có và

những thông tin xác định tính duy nhất.
18
1.2 Authorization

Với cơ chế kiểm tra dựa vào mô hình những thông tin biết
trước, đối tượng cần kiểm tra cần phải cung cấp những thông
tin mà chúng biết:
•
ví dụ như password,
•
hoặc mã số thông số cá nhân PIN (Personal information
number).

Với cơ chế kiểm tra dựa vào mô hình những thông tin đã có, đối
tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở
hữu:
•
ví dụ như private key,
•
hoặc số thẻ tín dụng.

Với cơ chế kiểm tra dựa vào mô hình những thông tin xác định
tính duy nhất, đối tượng kiểm tra cần phải có những thông tin
để định danh tính duy nhất của mình:
•
ví dụ như thông qua giọng nói hoặc fingerprint.

19
1.3 Confidential

Đánh giá mức độ bảo mật, hay tính an toàn đối với mỗi phương thức
bảo mật, mức độ có thể phục hồi dữ liệu từ những người không có
quyền đối với dữ liệu đó.

Có thể bảo mật dữ liệu theo kiến trúc end-to-end hoặc link-by-link:

Với mô hình end-to-end, dữ liệu được bảo mật trong toàn bộ quá
trình xử lý, lưu truyền trên mạng.

Với mô hình link-by-link dữ liệu chỉ được bảo vệ trên các đường
truyền vật lý.
20
1.4 Integrity

Hoạt động này đánh giá khả năng sửa đổi dữ liệu so với dữ liệu
nguyên thủy ban đầu;

Một phương thức bảo mật có tính toàn vẹn dữ liệu khi nó đảm bảo
các dữ liệu mã hóa không thể bị thay đổi nội dung so với tài liệu gốc
(khi đã được giải mã) và trong trường hợp những kẻ tấn công trên
mạng sửa đổi nội dung dữ liệu đã mã hóa thì không thể khôi phục lại
dạng ban đầu của dữ liệu.
21
1.5 Nonrepudiation

Xác định tính xác thực của chủ thể gây ra hành động có thực hiện
bảo mật.


Ví dụ chữ ký điện tử sử dụng trong hệ thống Mail cho phép xác
định chính xác đối tượng "ký"- người gửi message đó.
22
1.6 Availability

Đánh giá tính thực thi của một phương thức bảo mật.

Phương thức bảo mật đó phải có khả năng thực hiện trong thực tế đối
với các hệ thống máy tính, dữ liệu và thực hiện với các tài nguyên
phần cứng, phần mềm;

Đồng thời phải đảm bảo các yêu cầu về tốc độ tính toán, khả năng
chuyển đổi, tính tương thích giữa các hệ thống khác nhau.
23
2. Các phương thức mã hóa
2.1. Phương thức mã hóa dùng khoá bí mật (Secret Key Crytography)
2.2. Phương thức mã hóa dùng khoá công khai(Public-Key Crytography)
2.3. Phương thức mã hoá một chiều - thuật toán Băm
2.4 Message Authentication Codes - MAC
24
2.1. Phương thức mã hóa dùng khoá bí mật
(Secret Key Crytography)

Sơ đồ sau đây minh họa quá trình làm việc của phương thức mã hoá
sử dụng khoá bí mật:
25
Encrytion
Ciphertext
Plaintext

Decrytion
Private key
Hình. Phương thức mã hóa đối xứng