Chương 5

An toàn trong
truyền thông
• Các giao thức truy cập từ xa: PPP,
Telnet, Wireless, VPN, …

• Các giao thức truy cập liên mạng:
Email, Web, FTP, File Sharing,
Directory, LDAP, …
Bộ môn HTMT&TT

14/05/2010

1


Mục tiêu
• Cung cấp cho người học một cái nhìn tổng quan về các
giải pháp tạo sự an toàn trong truyền thông.
• Sau khi hoàn tất chương, sinh viên có những khả năng:
▫ Trình bày được sự quan trọng của an toàn trong truyền thông.
▫ Mô tả được các giao thức sử dụng cho truy cập từ xa như PPP,
Telnet, mạng không dây , mạng riêng ảo.
▫ Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho
các giao thức truy cập từ xa.
▫ Mô tả được các giao thức truy cập liên mạng thông dụng hiện
nay như Mail, Web, FTP, File sharing, Directory, LDAP, …
▫ Hiểu và vận dụng được một số kỹ thuật nâng cao độ an toàn cho
các giao thức truy cập liên mạng .
Bộ môn MMT&TT

14/05/2010

2


Phần 1

Các giao thức cho
truy cập từ xa
• Khái niệm
•
•
•
•
•

RAS và PPP
Telnet và SSH
TACACS+ và RADIUS
WLAN
VPN

Bộ môn MMT&TT

14/05/2010

3



An toàn trong truyền thông
• Sự quan trọng của an toàn trong truyền thông
Với
Với tốc
tốc độ
độ của
của Internet
Internet ngày
ngày càng
càng nhanh,
nhanh,
truyền
truyền thông
thông trên
trên mạng,
mạng, truy
truy cập
cập từ
từ xa,
xa,
làm
làm việc
việc bằng
bằng các
các thiết
thiết bị
bị cầm
cầm tay
tay ngày
ngày

càng
càng trở
trở nên
nên phổ
phổ biến.
biến.

Đòi
Đòi hỏi
hỏi phải
phải có
có các
các cơ
cơ chế
chế an
an toàn
toàn trên
trên
đường
đường truyền,
truyền, cho
cho các
các giao
giao thức
thức mạng
mạng
và
và các
các dịch
dịch vụ

vụ trên
trên mạng.
mạng.

Bộ môn MMT&TT

14/05/2010

4


Truy cập từ xa
• RAS và PPP
PPP
PPP (Point-to-Point
(Point-to-Point Protocol)
Protocol)
•• PPP
PPP là
là giao
giao thức
thức tầng
tầng 22
•• Cho
Cho phép
phép chứng
chứng thực:
thực:
++ PAP:
PAP: không

không mã
mã hóa
hóa
++ CHAP:
CHAP: có
có mã
mã hóa
hóa
•• Có
Có thể
thể dùng
dùng cho
cho các
các dạng
dạng
mạng
mạng IP,
IP, IPX,
IPX, AppleTalk.
AppleTalk.
•• Cho
Cho phép
phép cấp
cấp địa
địa chỉ
chỉ IP
IP động
động
•• Cho
Cho phép

phép nén
nén dữ
dữ liệu
liệu và
và điều
điều
khiển
khiển chất
chất lượng
lượng đường
đường nối
nối kết.
kết.

Kết
Kết nối
nối từ
từ xa
xa qua
qua
đường
đường điện
điện thoại
thoại

•• Dể
Dể sử
sử dụng,
dụng, tốc
tốc độ

độ thấp.
thấp.
•• Kết
Kết nối
nối đơn
đơn giản.
giản.

Bộ môn MMT&TT

14/05/2010

5


Truy cập từ xa
• Telnet
•• Đăng
Đăng nhập
nhập và
và làm
làm việc
việc từ
từ xa
xa
•• Dùng
Dùng cổng
cổng 23
23 TCP
TCP

•• Cơ
Cơ chế
chế dòng
dòng lệnh
lệnh
•• Là
Là giao
giao thức
thức không
không an
an toàn
toàn vì
vì
dữ
dữ liệu
liệu truyền
truyền đi
đi trên
trên mạng
mạng
không
không được
được mã
mã hóa
hóa (plaintext)
(plaintext)

•• Nên
Nên khóa
khóa dịch

dịch vụ
vụ Telnet
Telnet từ
từ
bên
bên ngoài
ngoài mạng
mạng vào.
vào.
•• Chuyển
Chuyển sang
sang dùng
dùng SSH
SSH

Bộ môn MMT&TT

14/05/2010

6


Truy cập từ xa
• Secure Shell (SSH)

•• Thiết
Thiết lập
lập kết
kết nối
nối mạng

mạng 11 cách
cách bảo
bảo mật.
mật.
•• Cổng
Cổng 22
22
•• Làm
Làm việc
việc qua
qua 33 bước:
bước:
++ Định
Định danh
danh host:
host: sử
sử dụng
dụng cặp
cặp khóa
khóa
công
công cộng
cộng và
và khóa
khóa bí
bí mật.
mật.
++ Mã
Mã hóa:
hóa: DES,

DES, 3DES,
3DES, IDEA,Blowfish
IDEA,Blowfish
++ Chứng
Chứng thực:
thực: RSA,
RSA, DSA
DSA

Bộ môn MMT&TT

14/05/2010

7


Truy cập từ xa
• TACACS+
Terminal
Terminal Access
Access Control
Control
Access
Access Control
Control System
System
Plus
Plus
•• Chứng
Chứng thực

thực tập
tập trung
trung
•• Thích
Thích hợp
hợp cho
cho các
các mạng
mạng với
với
số
số lượng
lượng người
người dùng
dùng lớn
lớn
•• Cung
Cung cấp
cấp riêng
riêng rẻ
rẻ các
các dịch
dịch
vụ
AAA
vụ AAA

•• Giao
Giao thức
thức riêng

riêng của
của Cisco
Cisco
•• Sử
Sử dụng
dụng TCP
TCP cổng
cổng 49
49
•• Hỗ
Hỗ trợ
trợ nhiều
nhiều giao
giao thức
thức tầng
tầng 33 như
như IP,
IP, Apple
Apple Talk
Talk
•• Cung
Cung cấp
cấp khả
khả năng
năng bảo
bảo mật
mật trong
trong trao
trao đổi
đổi dữ

dữ liệu
liệu giữa
giữa
gateway
gateway (Router
(Router -- NAS)
NAS) và
và cơ
cơ sở
sở dữ
dữ liệu
liệu trung
trung tâm
tâm (ACS).
(ACS).
•• Mã
Mã hóa
hóa thông
thông tin
tin toàn
toàn bộ
bộ phiên
phiên giao
giao dịch.
dịch.
•• Dùng
Dùng 11 khóa
khóa bí
bí mật
mật để

để mã
mã hóa
hóa và
và giải
giải mã
mã trên
trên cả
cả 22 hệ
hệ thống.
thống.
Bộ môn MMT&TT

14/05/2010

Điểm
Điểm yếu
yếu
•• Có
Có thể
thể bị
bị tấn
tấn công
công vào
vào
phần
phần mã
mã hóa
hóa vì
vì chỉ
chỉ

dùng
dùng 11 khóa
khóa bí
bí mật
mật =>
=>
nên
thay
đổi
thường
nên thay đổi thường
xuyên.
xuyên.
•• Có
Có thể
thể bị
bị tấn
tấn công
công
theo
theo dạng
dạng Replay.
Replay.

8


Truy cập từ xa
• TACACS+
NAS:

NAS: Router,
Router, Switch,
Switch,
PIX/ASA,
PIX/ASA, VPN3000
VPN3000

Quá
Quá trình
trình phân
phân quyền
quyền
(authorization)
(authorization) dùng
dùng TACACS+
TACACS+

Các
Các bước
bước chứng
chứng thực
thực (authentication)
(authentication)
dùng
dùng TACACS+
TACACS+
Bộ môn MMT&TT

14/05/2010


9


Truy cập từ xa
• RADIUS
Remote
Remote Authentication
Authentication
Dial
Dial In
In User
User Service
Service
•• Tương
tự
như
Tương tự như TACACS+,
TACACS+,
cung
cấp
dịch
vụ
cung cấp dịch vụ AAA
AAA
•• Chuẩn
Chuẩn mở
mở
•• Định
Định nghĩa
nghĩa trong

trong RFC-2865
RFC-2865

•• Chuẩn
Chuẩn chứng
chứng thực
thực an
an toàn
toàn của
của 802.1X
802.1X
•• Sử
Sử dụng
dụng UDP
UDP cổng
cổng 1812
1812
•• Dùng
Dùng mô
mô hình
hình Client-Server,
Client-Server, trong
trong đó
đó RAS
RAS đóng
đóng vai
vai trò
trò là
là RADIUS
RADIUS Client.

Client.
•• RADIUS
RADIUS chỉ
chỉ mã
mã hóa
hóa mật
mật khẩu
khẩu người
người dùng.
dùng.
•• Hỗ
Hỗ trợ
trợ các
các giao
giao thức:
thức: PPP,
PPP, PAP,
PAP, CHAP
CHAP

Bộ môn MMT&TT

14/05/2010

10


Truy cập từ xa
• RADIUS


Kết
Kết hợp
hợp chứng
chứng thực
thực và
và phân
phân quyền
quyền
dùng
dùng RADIUS
RADIUS
Bộ môn MMT&TT

14/05/2010

11


Mạng không dây - WLAN
• Khái niệm

•• Cung
Cung cấp
cấp tính
tính tiện
tiện lợi
lợi
trong
trong kết
kết nối

nối mạng:
mạng: dễ
dễ
dàng,
dàng, mềm
mềm dẻo,
dẻo, nhanh
nhanh
chóng,
chóng, tốc
tốc độ
độ cao.
cao.
•• Cung
Cung cấp
cấp khả
khả năng
năng di
di
động
động trong
trong mạng
mạng LAN
LAN
•• Sử
Sử dụng
dụng phương
phương pháp
pháp
CSMA/CA

CSMA/CA

Bộ môn MMT&TT

14/05/2010

12


Mạng không dây - WLAN
• Các chuẩn
•• Chuẩn
Chuẩn hóa
hóa trong
trong IEEE
IEEE 802.11
802.11
•• Gồm
Gồm các
các chuẩn
chuẩn mạng
mạng ::
++ 802.11
802.11 A:
A: sử
sử dụng
dụng tại
tại Mỹ;
Mỹ; 54
54 Mbps

Mbps
++ 802.11
802.11 B:
B: 11
11 Mbps
Mbps
++ 802.11
802.11 G:
G: 54
54 Mbps
Mbps
++ 802.11
802.11 draft
draft N:
N: 248
248 Mbps
Mbps

Ad hoc mode

Infrastructure mode

Bộ môn MMT&TT

14/05/2010

13


Mạng không dây - WLAN

• Các thông số

•• SSID:
SSID: định
định danh
danh của
của mạng
mạng WLAN
WLAN
•• Chiều
Chiều dài
dài từ
từ 22 –– 32
32 ký
ký tự
tự
•• Không
Không đặt
đặt trùng
trùng nhau
nhau trong
trong cùng
cùng 11
phạm
phạm vi
vi hoạt
hoạt động
động
Bộ môn MMT&TT


•• Chia
Chia kênh
kênh để
để không
không bị
bị nhiễu.
nhiễu.
•• Mỗi
Mỗi kênh
kênh cách
cách nhau
nhau 22
22 MHz
MHz
•• Bắc
Bắc Mỹ:
Mỹ: chia
chia 11
11 kênh
kênh
•• Châu
Châu Âu:
Âu: chia
chia 13
13 kênh
kênh
•• Trong
Trong cùng
cùng phạm
phạm vi,

vi, nên
nên chọn
chọn cách
cách
nhau
nhau 55 kênh:
kênh:
++ 33 AP:
AP: chọn
chọn 1,
1, 6,
6, 11
11
++ 22 AP:
AP: chọn
chọn 5,
5, 10
10 // 4,
4, 99 // 3,
3, 88 // 2,
2,
77
14/05/2010

14


Mạng không dây - WLAN
• Hoạt động (1)


Beacon
Beacon (báo
(báo hiệu)
hiệu)
•• Frame
Frame được
được gửi
gửi từ
từ AP
AP của
của
mạng
mạng WLAN
WLAN thông
thông báo
báo sự
sự hiện
hiện
diện
diện của
của nó.
nó.
•• Sẽ
Sẽ được
được gửi
gửi broadcast
broadcast định
định kỳ
kỳ


Bộ môn MMT&TT

14/05/2010

15


Mạng không dây - WLAN
• Hoạt động (2)

Probing
Probing (thăm
(thăm dò)
dò)
•• Kiểm
Kiểm tra
tra xem
xem có
có mạng
mạng WLAN
WLAN
đúng
đúng với
với SSID
SSID cho
cho trước
trước không
không
•• Hoặc
Hoặc dò

dò tìm
tìm (liệt
(liệt kê
kê các
các SSID)
SSID)
những
những mạng
mạng WLAN
WLAN nào
nào đang
đang
hiện
hiện diện
diện trong
trong vùng
vùng bằng
bằng cách
cách
gửi
gửi Request
Request không
không có
có SSID.
SSID.

Bộ môn MMT&TT

14/05/2010


16


Mạng không dây - WLAN
• Hoạt động (3)

Authentication
Authentication (chứng
(chứng thực)
thực)
•• Nếu
Nếu là
là dạng
dạng mở
mở Open
Open thì
thì không
không
cần
cần key.
key.
•• Nếu
Nếu có
có mã
mã hóa
hóa (chẳng
(chẳng hạn
hạn WEP)
WEP)
thì

thì cần
cần Key
Key

Bộ môn MMT&TT

14/05/2010

17


Mạng không dây - WLAN
• Hoạt động (4)

Association
Association (kết
(kết hợp)
hợp)
•• Thiết
Thiết lập
lập nối
nối kết
kết ở
ở tầng
tầng 22
•• Tạo
Tạo ra
ra 11 port
port ảo
ảo nối

nối kết
kết đến
đến Client
Client
•• Quá
Quá trình
trình gửi
gửi và
và nhận
nhận dữ
dữ liệu
liệu có
có
thể
thể diễn
diễn ra.
ra.

Bộ môn MMT&TT

14/05/2010

18


Mạng không dây - WLAN
• Nguy cơ từ mạng không dây

War
War driving

driving
•• Dò
Dò tìm
tìm các
các mạng
mạng WLAN
WLAN mở
mở
(Open)
(Open)
•• Sử
Sử dụng
dụng Internet
Internet miễn
miễn phí
phí
•• Xâm
Xâm nhập
nhập vào
vào mạng
mạng dễ
dễ dàng
dàng

Hacker
Hacker
•• Tấn
Tấn công
công vào
vào các

các mạng
mạng WLAN
WLAN yếu
yếu
(cấu
(cấu hình
hình không
không cẩn
cẩn thận,
thận, không
không mã
mã
hóa
hóa hoặc
hoặc mã
mã hóa
hóa yếu).
yếu).
•• Khai
thác
mạng
không
Khai thác mạng không dây
dây để
để vào
vào
mạng
LAN
của
tổ

chức.
mạng LAN của tổ chức.
Bộ môn MMT&TT

Nhân
Nhân viên
viên
•• Nhân
Nhân viên
viên tự
tự ýý cắm
cắm 11 Access
Access Point
Point
vào
vào mạng
mạng
++ Tạo
Tạo ra
ra điểm
điểm có
có thể
thể truy
truy cập
cập vào
vào
mạng
từ
bên
ngoài.

mạng từ bên ngoài.
++ Có
Có thể
thể gây
gây nhiễu
nhiễu với
với các
các thiết
thiết bị
bị
WLAN
WLAN đã
đã có
có trong
trong tổ
tổ chức.
chức.
14/05/2010

19


Mạng không dây - WLAN
• Nguy cơ từ mạng không dây
WLAN
WLAN có
có nguy
nguy cơ
cơ bị
bị

tấn
tấn công
công dạng
dạng “Kẻ
“Kẻ
đứng
đứng giữa”
giữa” (Man-in(Man-inthe-middle
the-middle –– MITM)
MITM) tại
tại
giai
đoạn
Association.
giai đoạn Association.

Giải
Giải pháp:
pháp:
Cài
Cài đặt
đặt hệ
hệ thống
thống ngăn
ngăn
chặn
chặn xâm
xâm nhập
nhập
(Intrusion

(Intrusion prevention
prevention
system
system –– IPS)
IPS)

Bộ môn MMT&TT

14/05/2010

20


Mạng không dây - WLAN
• Nguy cơ từ mạng không dây
Tấn
Tấn công
công giả
giả mạo
mạo
Access
Access Point
Point hoặc
hoặc các
các
máy
máy trạm
trạm trong
trong mạng
mạng

bằng
bằng cách
cách giả
giả mạo
mạo AP.
AP.

Tấn
Tấn công
công DoS
DoS
Mạng
Mạng WLAN
WLAN cũng
cũng có
có
thể
thể bị
bị làm
làm nhiễu
nhiễu bởi
bởi
các
các thiết
thiết bị
bị điện
điện tử
tử hay
hay
không

không dây
dây khác.
khác.

Bộ môn MMT&TT

14/05/2010

21


Mạng không dây - WLAN
• Các giao thức an toàn cho mạng WLAN
Open

WEP

WPA

WPA2

• Không chứng thực

• Chứng thực yếu

• Chuẩn tạm thời

• Chuẩn hiện tại

• Không mã hóa


• Khóa tĩnh, dễ bị tấn

• Mã hóa cao

• 802.11i

• Không có cơ chế an

công và phát hiện

• Chứng thực mạnh:

• Mã hóa AES

toàn

• Mã hóa dễ bị phá vỡ

LEAP, PEAP, EAP-

• Quản lý khóa động

• Không linh hoạt

FAST, …

Bộ môn MMT&TT

14/05/2010


22


Mạng không dây - WLAN
• WEP (Wired Equivalent Privacy)

•• Sử
Sử dụng
dụng khóa
khóa chia
chia sẻ.
sẻ.
•• Thường
Thường dùng
dùng khóa
khóa 64
64 bits
bits hay
hay 128
128 bits.
bits.
•• Mã
Mã hóa
hóa dùng
dùng thuật
thuật toán
toán RC4
RC4
•• WEP

có
lổ
hổng
bảo
mật
WEP có lổ hổng bảo mật dễ
dễ bị
bị khai
khai thác
thác
•• Một
số
công
cụ
dùng
để
tấn
công
WEP
Một số công cụ dùng để tấn công WEP như:
như:
AirSnort,
AirSnort, NetStumbler,
NetStumbler, WEPCrack,
WEPCrack, ...
...

Cài
Cài đặt
đặt hệ

hệ thống
thống phát
phát hiện
hiện xâm
xâm nhập
nhập (IDS)
(IDS)
hay
hệ
thống
ngăn
chặn
xâm
nhập
(IPS)
hay hệ thống ngăn chặn xâm nhập (IPS)
Bộ môn MMT&TT

14/05/2010

23


Mạng không dây - WLAN
• Các giao thức chứng thực trong mạng WLAN

Extensible
Extensible Authentication
Authentication
Protocol

Protocol (EAP)
(EAP)
•• EAP
EAP là
là giao
giao thức
thức chứng
chứng
thực
thực mạnh
mạnh
•• Chứng
Chứng thực
thực qua
qua Server.
Server.
•• Chuẩn
Chuẩn hóa
hóa trong
trong RFC
RFC 3748
3748
•• Chứng
Chứng thực
thực ở
ở tầng
tầng 22
•• Là
Là một
một phần

phần của
của PPP.
PPP.
•• Hỗ
Hỗ trợ
trợ nhiều
nhiều cơ
cơ chế
chế chứng
chứng
thực
thực như:
như: EAP
EAP over
over IP,
IP, LEAP
LEAP
Cisco,
Cisco, EAP-MD5-CHAP,
EAP-MD5-CHAP,
PEAP,
PEAP, EAP-TLS,
EAP-TLS, EAP-TTLS,
EAP-TTLS,
RADIUS.
RADIUS.
Bộ môn MMT&TT

14/05/2010


24


Mạng không dây - WLAN
• WPA và WPA2 (WiFi Protected Access)
•• Thay
Thay thế
thế cho
cho WEP
WEP
•• Chứng
Chứng thực
thực không
không cần
cần Server
Server
•• Passphrase
được
lưu
trên
Passphrase được lưu trên
Access
Access Point
Point và
và trên
trên máy
máy cục
cục bộ
bộ
WPA-PSK

WPA-PSK
(Pre-shared
(Pre-shared key)
key)

Enterprise
Enterprise mode
mode

Bộ môn MMT&TT

14/05/2010

•• Chứng
Chứng thực
thực qua
qua 802.1X
802.1X Auth.
Auth. Server
Server
•• Mã
Mã hóa:
hóa:
++ TKIP
TKIP (Temporal
(Temporal Key
Key Integrity
Integrity Protocol)
Protocol)
như

WEP
nhưng
phức
tạp
hơn.
như WEP nhưng phức tạp hơn.
++ AES
AES (Advanced
(Advanced Encryption
Encryption Standard)
Standard)
như
như TKIP
TKIP nhưng
nhưng có
có bổ
bổ sung
sung các
các tính
tính
năng
năng để
để nâng
nâng cao
cao tính
tính bảo
bảo mật.
mật.
•• WPA2
dùng

mã
hóa
AES.
WPA2 dùng mã hóa AES.
25