Bảo mật dịch vụ web và email
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (8.84 MB, 47 trang )
1
Bảo mật & An ninh Mạng
Chương 8: An toàn Web & Email
Bảo mật & An ninh Mạng
Chương 8: An toàn Web & Email
Lương Trần Hy Hiến, Khoa CNTT, ĐH SP TpHCM
Cảm ơnCảm ơn
Bài giảng này tham khảo từ các nguồn sau:
• Slide An ninh mạng, ĐH CNTT TpHCM
(Trần Bá Nhiệm, Trương Minh Nhật Quang)
2
Nội dungNội dung
• An toàn Web
• An toàn eMail
3
AN TOÀN WEB
4
Vấn đề an ninh Web (1)Vấn đề an ninh Web (1)
• Web được sử dụng rộng rãi bởi các công ty, tổ
chức, và các cá nhân
• Các vấn đề đặc trưng đối với an ninh Web
– Web dễ bị tấn công theo cả hai chiều
– Tấn công Web server sẽ gây tổn hại đến danh tiếng
và tiền bạc của công ty
– Các phần mềm Web thường chứa nhiều lỗi an ninh
– Web server có thể bị khai thác làm căn cứ để tấn công
vào hệ thống máy tính của một tổ chức
– Người dùng thiếu công cụ và kiến thức để đối phó
với các hiểm họa an ninh
5
Vấn đề an ninh Web (2)Vấn đề an ninh Web (2)
• Các hiểm họa đối với an ninh Web
– Tính toàn vẹn
– Tính bảo mật
– Từ chối dịch vụ
– Xác thực
• Các biện pháp an ninh Web
6
SSLSSL
• Là một dịch vụ an ninh ở tầng giao vận
• Do Netscape khởi xướng
• Phiên bản 3 được công bố dưới dạng bản thảo
Internet
• Trở thành chuẩn TLS
– Phiên bản đầu tiên của TLS ≈ SSLv3.1 tương thích
ngược với SSLv3
• Sử dùng TCP để cung cấp dịch vụ an ninh từ đầu
cuối tới đầu cuối
• Gồm 2 tầng giao thức
7
Mô hình phân tầng SSLMô hình phân tầng SSL
8
Kiến trúc SSL (1)Kiến trúc SSL (1)
• Kết nối SSL
– Liên kết giao tiếp từ điểm nút tới điểm nút
– Mang tính nhất thời
– Gắn với một phiên giao tác
– Các tham số xác định trạng thái kết nối
• Các số ngẫu nhiên chọn bởi server và client
• Khóa MAC của server
• Khóa MAC của client
• Khóa mã hóa của server
• Khóa mã hóa client
• Các vector khởi tạo
• Các số thứ tự
9
Kiến trúc SSL (2)Kiến trúc SSL (2)
• Phiên SSL
– Liên kết giữa client và server
– Tạo lập nhờ giao thức bắt tay
– Có thể bao gồm nhiều kết nối
– Xác lập một tập các tham số an ninh sử dụng bởi tất
cả các kết nối trong phiên giao tác
• Định danh phiên
• Chứng thực điểm nút
• Phương pháp nén
• Đặc tả mã hóa
• Khóa bí mật chủ
• Cờ có thể tiếp tục hay không
10
Giao thức bản ghi SSLGiao thức bản ghi SSL
• Cung cấp các dịch vụ bảo mật và xác thực
– Khóa bí mật chung do giao thức bắt tay xác lập
11
Khuôn dạng bản ghi SSLKhuôn dạng bản ghi SSL
12
Giao thức đổi đặc tả mã hóa SSLGiao thức đổi đặc tả mã hóa SSL
• Một trong ba giao thức chuyên dụng SSL sử
dụng giao thức bản ghi SSL
• Chỉ gồm một thông báo chứa một byte dữ liệu
có giá trị là 1
• Khiến cho trạng thái treo trở thành trạng thái
hiện thời
– Cập nhật đặc tả mã hóa cho kết nối
13
Giao thức báo động SSLGiao thức báo động SSL
• Dùng chuyển tải các báo động liên quan đến SSL
tới các thực thể điểm nút
• Mỗi thông báo gồm 2 byte
– Byte thứ nhất chỉ mức độ nghiêm trọng
• Cảnh báo : có giá trị là 1
• Tai họa : có giá trị là 2
– Byte thứ hai chỉ nội dung báo động
• Tai họa : unexpected_message, bad_record_mac,
decompression_failure, handshake_failure, illegal_parameter
• Cảnh báo : close_notify, no_certificate, bad_certificate,
unsupported_certificate, certificate_revoked,
certificate_expired, certificate_unknown
14
Giao thức bắt tay SSLGiao thức bắt tay SSL
• Cho phép server và client
– Xác thực lẫn nhau
– Thỏa thuận các giải thuật mã hóa và MAC
– Thỏa thuận các khóa mật mã sẽ được sử dụng
• Gồm một chuỗi các thông báo trao đổi giữa
client và server
• Mỗi thông báo gồm 3 trường
– Kiểu (1 byte)
– Độ dài (3 byte)
– Nội dung (≥ 0 byte)
15
TLSTLS
• Là phiên bản chuẩn Internet của SSL
– Mô tả trong RFC 2246 rất giống với SSLv3
– Một số khác biệt nhỏ so với SSLv3
• Số phiên bản trong khuôn dạng bản ghi SSL
• Sử dụng HMAC để tính MAC
• Sử dụng hàm giả ngẫu nhiên để khai triển các giá
trị bí mật
• Có thêm một số mã báo động
• Không hỗ trợ Fortezza
• Thay đổi trong trao đổi chứng thực
• Thay đổi trong việc sử dụng dữ liệu đệm
16
AN TOÀN THƯ ĐIỆN TỬ
17
Giới thiệuGiới thiệu
• E-mail là hình thức liên lạc phổ biến, dễ bị
tấn công
• Các hình thức quấy nhiễu e-mail:
– Chặn nhận, đọc, gửi thư
– Thay đổi, giả mạo nội dung thư
– Thay đổi, giả mạo địa chỉ gửi thư
– Thay đổi, giả mạo nội dung thư
– Thay đổi, giả mạo địa chỉ nhận thư
– Gửi thư rác, quảng cáo, tuyên truyền
– Tấn công phân phối thư…
18
Giới thiệu (tt)Giới thiệu (tt)
• Hiện nay các thông báo không được bảo mật
– Có thể đọc được nội dung trong quá trình thông báo di
chuyển trên mạng
– Những người dùng có đủ quyền có thể đọc được nội
dung thông báo trên máy đích
– Thông báo dễ dàng bị giả mạo bởi một người khác
– Tính toàn vẹn của thông báo không được đảm bảo
• Chính sách an ninh e-mail có thể thay đổi, bổ
sung hoặc giản lược tùy hệ thống
19
An ninh e-mailAn ninh e-mail
• Công tác an ninh e-mail được thực hiện đồng thời và
trong suốt đối với user:
– Khởi tạo: from, to, subject, body…
– Cấu trúc: header, body, attachment
– Mật hóa: sử dụng các pp mã (ngẫu nhiên, công khai…)
20
Đóng gói e-mailĐóng gói e-mail
• Mỗi thành phần email được mật hóa theo nhiều
thuật toán khác nhau (DES, 3-DES, RSA, AES…)
21
Gửi, nhận e-mailGửi, nhận e-mail
• Trong mô hình OSI, e-mail được chuyển qua mạng dưới dạng
các gói tin
• Đến nơi nhận, các gói tin được tích hợp, bóc tách gói, giải mã
và tái hiện nội dung email ban đầu
• Các giải pháp xác thực và bảo mật thường dùng
– PGP (Pretty Good Privacy)
– S/MIME (Secure/Multipurpose Internet Mail Extensions)
22
PGPPGP
• Do Phil Zimmermann phát triển vào năm 1991
• Chương trình miễn phí, chạy trên nhiều môi
trường khác nhau (phần cứng, hệ điều hành)
– Có phiên bản thương mại nếu cần hỗ trợ kỹ thuật
• Dựa trên các giải thuật mật mã an ninh nhất
• Chủ yếu ứng dụng cho thư điện tử và file
• Độc lập với các tổ chức chính phủ
• Bao gồm 5 dịch vụ: xác thực, bảo mật, nén,
tương thích thư điện tử, phân và ghép
– Ba dịch vụ sau trong suốt đối với người dùng
23
Xác thực của PGPXác thực của PGP
Nguồn A Đích B
So sánh
M = Thông báo gốc EP = Mã hóa khóa công khai
H = Hàm băm DP = Giải mã khóa công khai
║ = Ghép KR
a
= Khóa riêng của A
Z = Nén KU
a
= Khóa công khai của A
Z
-1
= Giải nén
24
Bảo mật của PGPBảo mật của PGP
Nguồn A Đích B
EC = Mã hóa đối xứng
DC = Giải mã đối xứng
K
s
= Khóa phiên
25
