- Trang Chủ
- Cơ sở dữ liệu
- Giáo trình An toàn hệ thống và thông tin mạng (Nghề: Công nghệ thông tin - Cao đẳng) - Trường Cao đẳng Cộng đồng Đồng Tháp
Xem mẫu
- UỶ BAN NHÂN DÂN TỈNH ĐỒNG THÁP
TRƯỜNG CAO ĐẲNG CỘNG ĐỒNG ĐỒNG THÁP
GIÁO TRÌNH
MÔN HỌC: AN TOÀN HỆ THỐNG VÀ THÔNG
TIN MẠNG
NGÀNH, NGHỀ: CÔNG NGHỆ THÔNG TIN
TRÌNH ĐỘ: CAO ĐẲNG
(Ban hành kèm theo Quyết định Số: /QĐ-CĐCĐ-ĐT ngày…… tháng…… năm………
của Hiệu trưởng Trường Cao đẳng Cộng đồng Đồng Tháp)
Đồng Tháp, năm 2017
- TUYÊN BỐ BẢN QUYỀN
Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được
phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo.
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh
thiếu lành mạnh sẽ bị nghiêm cấm.
- LỜI GIỚI THIỆU
Hiện nay việc phát triển vượt bậc của công nghệ Mạng và Internet cùng với
các Website thông tin trực tuyến trong các lĩnh vực của cuộc sống đã làm cho nhu
cầu triển khai các hệ thống ứng dụng trong lĩnh vực mạng máy tính và truyền
thông tăng lên nhanh chóng. Tuy nhiên cùng với phát triển của mạng Internet, tình
hình mất an ninh mạng đang diễn biến phức tạp, vấn đề đảm bảo an toàn thông
tin không chỉ có tầm quan trọng đối phát triển kinh tế - xã hội mà còn cả trong
quốc phòng - an ninh.
An toàn thông tin là lĩnh vực rất rộng bao gồm bảo vệ an toàn mạng và hạ
tầng thông tin, an toàn máy tính, dữ liệu, các phần mềm ứng dụng và còn bao gồm
cả việc nghiên cứu, phát triển các sản phẩm và giải pháp công nghệ … đang được
các cơ quản, tổ chức doanh nghiệp chú trọng.
Giáo trình “An toàn hệ thống và thông tin mạng” đã bám sát nội dung
chương trình chi tiết do nhà trường ban hành gồm 6 chương:
CHƯƠNG 1. TỔNG QUAN VỀ AN TOÀN HỆ THỐNG VÀ THÔNG TIN
MẠNG
CHƯƠNG 2. CÁC KỸ THUẬT MÃ HÓA CỔ ĐIỂN
CHƯƠNG 3. MÃ PUBLIC-KEY VÀ RSA
CHƯƠNG 4. NAT
CHƯƠNG 5: BẢO VỆ MẠNG BẰNG TƯỜNG LỬA
CHƯƠNG 6. VIRUS VA CACH PHÒNG CHỐNG
Nhằm cung cấp cho sinh viên những kiến thức cơ bản trong lĩnh vực an
toàn mạng máy tính.
Tuy đã tham khảo nhiều tài liệu nhưng chắc chắn cuốn giáo trình vẫn có
những hạn chế nhất định rất mong nhận được sự góp ý của quý thầy cô, quý đồng
nghiệp để cuốn giáo trình hoàn thiện hơn.
Xin chân thành cảm!
Đồng Tháp, ngày…..........tháng…........... năm 2017
Chủ biên
Lương Phụng Tiên
i
- MỤC LỤC
LỜI GIỚI THIỆU ................................................................................................... i
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN HỆ THỐNG VÀ THÔNG TIN
MẠNG ................................................................................................................... 1
1. Giới thiệu về an toàn thông tin .......................................................................... 1
1.1. Sự cần thiết phải có an ninh mạng ................................................................. 1
1.2. Các yếu tố cần được bảo vệ: .......................................................................... 2
1.3. Tác hại đến doanh nghiệp .............................................................................. 2
1.4. Khái niệm ....................................................................................................... 3
2. Các xu hướng bảo mật....................................................................................... 3
3. Các loại tấn công ............................................................................................... 7
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 1 ................................................................ 10
CHƯƠNG 2: CÁC KỸ THUẬT MÃ HÓA CỔ ĐIỂN ...................................... 11
1. Kiểu mật mã đối xứng ..................................................................................... 11
2. Các kỹ thuật thay thế ....................................................................................... 12
3. Các kỹ thuật hoán vị ........................................................................................ 13
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 2 ................................................................ 15
CHƯƠNG 3: MÃ PUBLIC-KEY VÀ RSA ....................................................... 16
1. Các nguyên tắc của mã public-key.................................................................. 16
2. Thuật toán RSA ............................................................................................... 17
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 3 ................................................................ 22
CHƯƠNG 4: NAT (NETWORK ADDRESS TRANSLATION ) ..................... 23
1. Giới thiệu ......................................................................................................... 23
2. Các kỹ thuật Nat cổ điển ................................................................................. 24
2.1. NAT tĩnh ...................................................................................................... 24
2.2. NAT động ..................................................................................................... 25
3. NAT trong Windows Server ........................................................................... 28
4.3.1. Windows Server cung cấp khái niệm NAT .............................................. 28
3.2. Hoạt động của NAT: .................................................................................... 29
3.3. Cài Đặt và cấu hình: ..................................................................................... 29
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 4 ................................................................ 31
CHƯƠNG 5: BẢO VỆ MẠNG BẰNG TƯỜNG LỬA ..................................... 32
1. Các mức bảo vệ an toàn .................................................................................. 32
2. Internet Firewall .............................................................................................. 34
ii
- 2.1. Định nghĩa .................................................................................................... 34
2.2. Chức năng..................................................................................................... 34
2.3. Cấu trúc ........................................................................................................ 35
2.4. Các thành phần của Firewall và cơ chế hoạt động ....................................... 35
2.4.1. Bộ lọc Paket ( Paket filtering router) ........................................................ 35
2.4.2. Cổng ứng dụng (Application- Level Getway) .......................................... 37
2.4.3. Cổng vòng (Circult-level Getway) ............................................................ 39
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 5................................................................ 41
CHƯƠNG 6: VIRUS VÀ CÁCH PHÒNG CHỐNG ......................................... 42
1. Giới thiệu tổng quan về virus .......................................................................... 42
2. Cách thức lây lan và phân loại virus ............................................................... 43
2.1. Compiled Virus ............................................................................................ 43
2.2. Interpreted Virus .......................................................................................... 44
3. Ngăn chặn sự xâm nhập virus ......................................................................... 45
3.1. Vô hiệu quá chức năng autorun ................................................................... 45
3.2. Sử dụng tường lửa ........................................................................................ 45
3.3. Sử dụng phần mềm diệt virus....................................................................... 46
CÂU HỎI VÀ BÀI TẬP CHƯƠNG 6................................................................ 48
BẢNG THUẬT NGỮ ANH - VIỆT ................................................................... 49
TÀI LIỆU THAM KHẢO ................................................................................... 51
iii
- GIÁO TRÌNH MÔN HỌC
Tên môn học: AN TOÀN HỆ THỐNG VÀ THÔNG TIN MẠNG.
Mã mô đun: CCN460
I. Vị trí, tính chất, ý nghĩa và vai trò của mô đun:
- Vị trí: Môn học được bố trí sau khi sinh viên học xong các môn học chung/ đại cương
và sau môn Mạng máy tính.
- Tính chất: Thuộc môn học cơ sở và chuyên ngành tự chọn.
- Ý nghĩa và vai trò của mô đun: Mô đun này cung cấp cho sinh viên các kỹ năng cơ bản
trong lĩnh vực mạng máy tính.
II. Mục tiêu của mô đun:
- Về kiến thức:
+ Xác định được các thành phần cần bảo mật cho một hệ thống mạng;
+ Trình bày được các hình thức tấn công vào hệ thống mạng;
+ Mô tả được cách thức mã hoá thông tin;
+ Trình bày được quá trình NAT trong hệ thống mạng;
+ Xác định được khái niệm về danh sách truy cập;
- Về kỹ năng:
+ Sử dụng được các kỹ thuật mã hóa cổ điển.
+ Ngăn ngừa các phần mềm độc hại
- Năng lực tự chủ và trách nhiệm: Có tính kỹ luật, nghiêm túc khi tham gia học tập hoặc
nghiên cứu
iv
- III. Nội dung của mô đun:
Thời gian (giờ)
Thực
Kiểm tra
Số TT Tên các bài trong mô đun hành, thí
Tổng Lý th (thường
nghiệm,
số uyết xuyên,
thảo luận,
định kỳ)
bài tập
Chương 1: TỔNG QUAN VỀ AN
1 TOÀN HỆ THỐNG VÀ THÔNG 2 2 0 0
TIN MẠNG
Chương 2: CÁC KỸ THUẬT
2 7 3 4 0
MÃ HÓA CỔ ĐIỂN
Chương 3: MÃ PUBLIC-KEY
3 7 2 4 1
VÀ RSA
4 Chương 4: NAT 6 2 4 0
Chương 5: BẢO VỆ MẠNG
5 11 3 8 0
BẰNG TƯỜNG LỬA
Chương 6: VIRUS VÀ CÁCH
6 12 3 8 1
PHÒNG CHỐNG
Tổng cộng 45 15 28 2
v
- CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN HỆ THỐNG VÀ THÔNG TIN
MẠNG
Mã chương: CCN460 - 01
Giới thiệu:
Các mối đe dọa về an ninh, an toàn thông tin từ lâu đã là nỗi lo lắng của không ít
tổ chức, doanh nghiệp. Từ những vụ việc do rò rỉ thông tin khách hàng, mạo danh danh
tính doanh nghiệp để lừa đảo, hạ bệ uy tín ngày một gia tăng đã gióng lên hồi chuông
cảnh báo về mức độ nguy hiểm của môi trường an ninh mạng. Những đe dọa này thường
bao gồm hacker, mã độc, virus…
Trong chương này sẽ giới thiệu tổng quan về an toàn bảo mật mạng, những nguy
cơ đe dọa an ninh an toàn mạng và giới thiệu một số công cụ bảo mật mạng.
Mục tiêu:
Sau khi học xong chương này, sinh viên có khả năng:
- Xác định được các thành phần của một hệ thống bảo mật;
- Trình bày được các hình thức tấn công vào hệ thống mạng.
Nội dung chính:
1. Giới thiệu về an toàn thông tin
1.1. Sự cần thiết phải có an ninh mạng
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về
điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng dụng để
nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo
vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ liệu là một chủ đề
rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phương pháp
được thực hiện để bảo vệ an toàn thông tin dữ liệu. Các phương pháp bảo vệ an toàn
thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:
- Bảo vệ an toàn thông tin bằng các biện pháp hành chính.
- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng).
- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm).
1
- Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Môi trường khó bảo
vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ xân nhập nhất đó là
môi trường mạng và truyền tin. Biện pháp hiệu quả nhất và kinh tế nhất hiện nay trên
mạng truyền tin và mạng máy tính là biện pháp thuật toán.
1.2. Các yếu tố cần được bảo vệ:
Bảo vệ dữ liệu
Những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu
sau:
- Bảo mật: những thông tin có giá trị về kinh tế, quân sự, chính sách vv... cần được
bảo vệ và không lộ thông tin ra bên ngoài.
- Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa đổi, đánh tráo.
- Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời điểm cần thiết.
Trong các yêu cầu này, thông thường yêu cầu về bảo mật được coi là yêu cầu số
1 đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin này không
được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng rất quan trọng. Không một cá
nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông
tin mà không biết về tính đúng đắn của những thông tin đó.
Bảo vệ tài nguyên sử dụng trên mạng
Trên thực tế, trong các cuộc tấn công trên Internet, kẻ tấn công, sau khi đã làm
chủ được hệ thống bên trong, có thể sử dụng các máy này để phục vụ cho mục đích của
mình như chạy các chương trình dò mật khẩu người sử dụng, sử dụng các liên kết mạng
sẵn có để tiếp tục tấn công các hệ thống khác.
Bảo bệ danh tiếng của cơ quan
Một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một trong
những nguyên nhân là nỗi lo bị mất uy tín của cơ quan, đặc biệt là các công ty lớn và
các cơ quan quan trọng trong bộ máy nhà nước. Trong trường hợp người quản trị hệ
thống chỉ được biết đến sau khi chính hệ thống của mình được dùng làm bàn đạp để tấn
công các hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài.
1.3. Tác hại đến doanh nghiệp
− Tốn kém chi phí
2
- − Tốn kém thời gian
− Ảnh hưởng đến tài nguyên hệ thống
− Ảnh hưởng danh dự, uy tín doanh nghiệp
− Mất cơ hội kinh doanh
1.4. Khái niệm
Là khả năng bảo vệ thông tin và hệ thống thông tin khỏi người dùng trái phép về sử
dụng, tiết lộ, sao chép, thay đổi, làm ngưng trệ, phá hủy tốn kém thời gian
Các yếu tố đảm bảo an toàn thông tin
Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng
Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc, không
mâu thuẫn
Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng
mục đích và đúng cách
Tính chính xác: Thông tin phải chính xác, tin cậy
Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được nguồn
gốc hoặc người đưa tin
2. Các xu hướng bảo mật
Bảo mật thông tin tại máy chủ
Các phương pháp bảo mật máy chủ server là một trong những vấn đề quan trọng
mà hầu hết mọi đơn vị doanh nghiệp đều phải quan tâm. Bởi đây là mảnh đất màu mỡ
cho các hacker tìm kiếm thông tin giá trị hay gây cản trở vì một vài lý do nào đó, làm
máy chủ gặp nhiều hiểm họa như các nội dung không lành mạnh, bị xóa file hay từ chối
dịch vụ,…. Thông thường, có rất nhiều phương pháp bảo mật máy chủ server khác nhau
- Bảo mật server bằng SSH Key
- Bảo mật dữ liệu bằng tường lửa
- Bảo mật dữ liệu cho máy chủ server bằng PKI, giao thức SSL/TLS và VPN
Bảo mật cho phía máy trạm
3
- Các máy trạm có thể gây ra 3 rủi ro chính: Thứ nhất, các tấn công đi vòng, thông
qua kết nối của máy trạm truy cập vào các Website chứa mã độc, né tránh các công cụ
bảo vệ tại vành đai mạng để thâm nhập vào mạng công ty. Thứ hai, những người dùng
di động (sử dụng máy tính xách tay, được dùng cả bên trong lẫn bên ngoài mạng công
ty) thường nằm ngoài tầm kiểm soát của các công cụ an ninh. Thứ ba, số lượng các máy
trạm rất lớn, việc triển khai và quản lý nhiều chương trình bảo mật trên từng máy trạm
là thách thức lớn đối với người quản trị mạng. Các máy trạm nếu không được kiểm soát
an ninh chặt chẽ và triển khai đúng đắn sẽ tạo ra các nguy cơ cao như dữ liệu bị đánh
cắp, ngưng trệ hoạt động kinh doanh...
Đặc biệt các máy trạm rất dễ bị tấn công, qua các điểm yếu trong các giao thức
mạng cho phép truy cập qua các cổng được mở hoặc cổng không được kiểm soát. Các
tấn công khác nhằm vào lỗi lập trình, có thể tạo ra lỗi tràn vùng đệm cho phép thực thi
các mã độc. Hầu hết các máy tính đều sử dụng hệ điều hành (HĐH) Windows của
Microsoft. Điểm yếu trên Windows có thể tạo cho hacker cơ hội tấn công trên hàng trăm
triệu máy tính chạy HĐH này. Nhưng dù sử dụng HĐH nào thì tất cả các máy trạm sử
dụng IP đều có điểm yếu dễ bị tấn công trong hệ thống mạng của công ty.
Việc hợp nhất các chức năng bảo mật cho phép quản lý và triển khai đơn giản và
giảm bớt chi phí tổng thể cho việc đầu tư và bảo trì. Giải pháp bảo vệ máy trạm tốt cần
đáp ứng các yêu cầu sau:
1. Phát hiện và ngăn chặn chương trình độc hại
Phát hiện và ngăn chặn chương trình độc hại thông thường được thực hiện bởi các
ứng dụng bảo mật riêng rẽ như tường lửa, chống virus và chống spyware.
Tường lửa và khả năng kiểm soát chương trình - là chức năng quan trọng nhất bởi vì nó
có thể kiểm soát được luồng tin đi vào/ra ở vùng nhân. Chỉ có tường lửa mới có thể ngăn
được truy cập trái phép như mã độc, kiểm soát chương trình nào được phép truy cập
mạng, và làm cho các máy trạm trở nên “vô hình” đối với hacker.
Khả năng chống virus được sử dụng để phát hiện và ngăn chặn sự lây nhiễm của
virus. Khả năng chống spyware là ngăn chặn sự lây nhiễm của sâu, trojans, adware, và
keystroke loggers. Nó có thể cung cấp sự bảo vệ trong thời gian thực, chống việc cài đặt
spyware trên máy trạm, đồng thời có thể phát hiện và gỡ bỏ spyware đã được cài trước
đó.
4
- Điều quan trọng đối với tất cả các khả năng trên là người quản trị có thể kiểm soát
tập trung và theo dõi được các máy trạm để đảm bảo chúng tuân thủ với chính sách an
ninh.
2. Mã hóa và chống thất thoát dữ liệu
Bảo vệ dữ liệu trên máy trạm là rất quan trọng bởi vì nó rất dễ bị đánh cắp hay bị
mất. Kiểm soát để bảo vệ dữ liệu là bao gồm mã hóa toàn bộ ổ cứng, mã hóa thiết bị
nhớ di động và kiểm soát các cổng/thiết bị trên máy trạm. Mã hóa có thể áp dụng các
file riêng rẽ, thư mục, toàn bộ ổ cứng hoặc cho thiết bị nhớ di động.
Kiểm soát cổng/thiết bị ngoại vi là công nghệ tương đối mới, cho phép các tổ chức
quản lý một cách tập trung cổng, thiết bị ngoại vi nào được phép sử dụng trên từng máy
trạm. Một lợi ích thực tế là ngăn cản việc copy dữ liệu được bảo vệ từ máy tính tới một
thiết bị nhớ như USB. Kiểm soát cổng cũng ngăn chặn được việc lây lan virus từ các
thiết bị nhớ ngoài vào máy tính rồi từ đó lây lan ra trong mạng công ty.
3. Kiểm soát tuân thủ chính sách bảo mật
Kiểm soát tuân thủ chính sách bảo mật là kiểm tra xem các máy trạm đã thực hiện
đúng chính sách an ninh của tổ chức, doanh nghiệp trước khi cho phép chúng được
quyền truy cập mạng. Ở mức cơ bản nhất, người quản trị thiết lập chương trình kiểm tra
chính sách và thực thi các luật (rule) trong chính sách an ninh trên mỗi máy trạm. Việc
kiểm soát tuân thủ chính sách trên máy trạm có thể được thực hiện kết hợp với các thiết
bị gateway và hệ thống xác thực. Giải pháp cũng cần hỗ trợ việc khắc phục một cách tự
động cho các máy trạm chưa đáp ứng yêu cầu chính sách và có khả năng kiểm tra sự
tuân thủ chính sách của tổ chức đối với các máy tính bên ngoài không thuộc phạm vi
quản lý của tổ chức.
4. Truy cập từ xa an toàn
Công nghệ VPN (mạng riêng ảo) là một trong những phương tiện phổ biến nhất
để cho phép truy cập từ xa về mạng công ty một cách an toàn. Kết nối truy cập từ xa
được bảo vệ, mã hóa chống lộ thông tin, xác thực chống giả mạo cũng như đảm bảo
thông tin không bị sai lệch trên đường truyền. Giải pháp VPN cũng giải quyết vấn đề về
routing có thể phát sinh giữa máy trạm và cổng kết nối VPN bằng việc đóng gói các gói
5
- tin IP với địa chỉ IP gốc của người dùng kết nối từ xa, do đó cho phép các người dùng
kết nối như thể là họ đang ở trong mạng công ty.
5. Quản trị đơn giản
Một giải pháp quản lý được hướng tới như sau: Quản trị tập trung và có khả năng
tạo nhiều người quản trị với các phân quyền khác nhau; Tạo báo cáo, giám sát tập trung
cho mọi môđun bảo vệ máy trạm; Tham gia tạo báo cáo, ghi log và phát hiện nhanh các
trường hợp vi phạm chính sách.
6. Giảm thiểu ảnh hưởng tiêu cực tới người dùng cuối
Điều quan trọng đối với giải pháp là người dùng làm việc một cách bình thường
như là không biết sự có mặt của phần mềm bảo vệ trên máy trạm.
Bảo mật thông tin trên đường truyền
Về cơ bản dựa trên kỹ thuật bảo mật ta có thể quy chiếu công tác bảo mật thông
tin thành hai nhóm: bảo mật thông tin dữ liệu bằng các biện pháp kỹ thuật phần cứng và
phần mềm thông qua các thuật toán bảo mật. Tuy nhiên để đảm bảo an toàn dữ liệu trên
đường truyền mạng máy tính có hiệu quả nhằm chống các khả năng xâm phạm và các
rủi ro hay sự cố có thể xảy ra trong quá trình truyền tin thì việc phòng chống và xác định
chính xác các nguy cơ có thể làm ảnh hưởng đến dữ liệu là vô cùng quan trọng. Trên
thực tế có hai hình thức gây hại chính cho dữ liệu truyền tin là hình thức chủ động (
Active) và thụ động (passive). Hai hình thức này hướng đến:
+ Đánh cắp thông tin: Lắng nghe thông tin trên đường truyền, biết được thông tin
về người gửi và nhận nhờ vào thông tin được chứa trong gói tin truyền trên hệ thống
mạng. Hình thức này, kẻ xâm nhập có thể kiểm tra được tần số trao đổi, số lượng gói tin
truyền đi và độ dài của gói tin này. Tuy nhiên, với hành động trên, thông thường với
mục đích xem thông tin, sao chép, đánh cắp nội dung thông tin (ví dụ như mật khẩu,
thông tin về ngân hàng…) chứ không làm ảnh hưởng nguy hại về mật vật lý đối với dữ
liệu hay làm sai lệch nội dung dữ liệu.
+ Phá hoại thông tin: Thay đổi nội dung dữ liệu, chèn thêm thông tin dữ liệu, phá
hủy làm hỏng các gói tin, làm trễ thời gian truyền tin, sao chép lặp đi lặp lại dữ liệu…
với mục đích phá hỏng hay làm sai lệch nội dung thông tin.
6
- Để bảo vệ thông tin dữ liệu trên đường truyền, ở bài báo này tôi trình bày hướng
đến hai thình thức bảo mật:
- Bảo mật hướng theo đường truyền (Link Oriented Security): Thông tin được mã
hóa để bảo vệ dựa trên đường truyền giữa hai nút và không quan tâm đến nguồn và đích
của thông tin đó. Các cặp thiết bị mật mã được đặt ở hai đầu của đường truyền. Do đó
tất cả luồng thông tin trên tất cả các đường truyền sẽ được an toàn.
- Bảo mật dựa trên hai điểm đầu và cuối (End to End Secrity): Mã hóa đường
truyền từ máy tính nguồn đến máy tính đích. Thông tin được mã hóa ngay khi mới được
tạo ra tại máy nguồn và chỉ được giải mã khi tới máy đích. Phương pháp này làm cho
dữ liệu người dùng an toàn nhưng không chống được tấn công phân tích tình huống, vì
trong các gói tin chỉ phần dữ liệu người sử dụng được mã hóa còn các dữ liệu đầu gói
(dữ liệu điều khiển) thì không.
3. Các loại tấn công
Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: tấn công thụ động và tấn
công chủ động.
Tấn công thụ động: chỉ nhằm mục đích cuối cùng là nắm bắt được thông tin (đánh
cắp thông tin). Việc làm đó có khi không biết được nội dung cụ thể nhưng có thể dò ra
được người gửi, người nhận nhờ thông tin điều khiển giao thức chứa trong phần đầu các
gói tin. Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài và tần số trao đổi. Vì vậy
tấn công thụ động không làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệu được
trao đổi. Tấn công thụ động thường khó phát hiện nhưng có thể có những biện pháp
ngăn chặn hiệu quả.
Một ví dụ cụ thể cho loại tấn công này là xem trộm thông tin. Trong trường hợp
này Trudy chặn các thông điệp Alice gửi cho Bob, và xem được nội dung của thông
điệp.
7
- Hình 1.1 Xem trộm thông điệp
Tấn công chủ động: là dạng vi phạm có thể làm thay đổi nội dung, xóa bỏ, làm trễ,
xắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thời gian.
Tấn công chủ động có thể thêm vào một số thông tin ngoại lai để làm sai lệch nội dung
thông tin trao đổi. Tấn công chủ động dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó
khăn hơn nhiều.
Một thực tế là không có một biện pháp bảo vệ an toàn thông tin dữ liệu nào là an
toàn tuyệt đối. Một hệ thống dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo
là an toàn tuyệt đối.
Một số hình thức tấn công chủ động:
- Thay đổi thông điệp (Modification of Message):
Trudy chặn các thông điệp Alice gửi cho Bob và ngăn không cho các thông điệp
này đến đích. Sau đó Trudy thay đổi nội dung của thông điệp và gửi tiếp cho Bob. Bob
nghĩ rằng nhận được thông điệp nguyên bản ban đầu của Alice mà không biết rằng chúng
đã bị sửa đổi.
Hình 1.2 Sửa thông điệp
8
- - Mạo danh (Masquerade): Trong trường hợp này Trudy giả là Alice gửi thông
điệp cho Bob. Bob không biết điều này và nghĩ rằng thông điệp là của Alice.
Hình 1.3 Mạo danh
- Phát lại thông điệp (Replay): Trudy sao chép lại thông điệp Alice gửi cho Bob.
Sau đó một thời gian Trudy gửi bản sao chép này cho Bob. Bob tin rằng thông điệp thứ
hai vẫn là từ Alice, nội dung hai thông điệp là giống nhau. Thoạt đầu có thể nghĩ rằng
việc phát lại này là vô hại, tuy nhiên trong nhiều trường hợp cũng gây ra tác hại không
kém so với việc giả mạo thông điệp. Xét tình huống sau: giả sử Bob là ngân hàng còn
Alice là một khách hàng. Alice gửi thông điệp đề nghị Bob chuyển cho Trudy 1000$.
Alice có áp dụng các biện pháp như chữ ký điện tử với mục đích không cho Trudy mạo
danh cũng như sửa thông điệp. Tuy nhiên nếu Trudy sao chép và phát lại thông điệp thì
các biện pháp bảo vệ này không có ý nghĩa. Bob tin rằng Alice gửi tiếp một thông điệp
mới để chuyển thêm cho Trudy 1000$ nữa.
Hình 1.4 Phát lại thông điệp
9
- CÂU HỎI VÀ BÀI TẬP CHƯƠNG 1
1. Trình bày các đối tượng tấng công hệ thống mạng
2. Đối với dữ liệu, chúng ta cần quan tâm những yếu tố nào?
10
- CHƯƠNG 2: CÁC KỸ THUẬT MÃ HÓA CỔ ĐIỂN
Mã chương: CCN460 - 02
Giới thiệu:
Khi chúng ta tham gia trao đổi thông tin, thì Internet là môi trường không an toàn,
đầy rủi ro và nguy hiểm, không có gì đảm bảo rằng thông tin mà chúng ta truyền đi
không bị đọc trộm trên đường truyền. Do đó, mã hoá được áp dụng như một biện pháp
nhằm giúp chúng ta tự bảo vệ chính mình cũng như những thông tin mà chúng ta gửi đi.
Bên cạnh đó, mã hoá còn có những ứng dụng khác như là bảo đảm tính toàn vẹn của dữ
liệu.
Trong chương này sẽ giới thiệu về một số kỹ thuật mã hóa cổ điển.
Mục tiêu:
Sau khi học xong chương này, sinh viên có khả năng:
- Liệt kê và phân biệt được các kiểu mã hóa dữ liệu;
- Áp dụng được việc mã hóa và giải mã với một số phương pháp cơ bản .
Nội dung chính:
1. Kiểu mật mã đối xứng
Mã hoá đối xứng còn có một số tên gọi khác như Secret Key Cryptography (hay
Private Key Cryptography), sử dụng cùng một khoá cho cả hai quá trình mã hoá và giải
mã.
Quá trình thực hiện như sau:
Trong hệ thống mã hoá đối xứng, trước khi truyền dữ liệu, 2 bên gửi và nhận phải
thoả thuận về khoá dùng chung cho quá trình mã hoá và giải mã. Sau đó, bên gửi sẽ mã
hoá bản rõ (Plaintext) bằng cách sử dụng khoá bí mật này và gửi thông điệp đã mã hoá
cho bên nhận. Bên nhận sau khi nhận được thông điệp đã mã hoá sẽ sử dụng chính khoá
bí mật mà hai bên thoả thuận để giải mã và lấy lại bản rõ (Plaintext).
11
- Hình 2.1. Mã hóa đối xứng
Hình vẽ trên chính là quá trình tiến hành trao đổi thông tin giữa bên gửi và bên
nhận thông qua việc sử dụng phương pháp mã hoá đối xứng. Trong quá trình này, thì
thành phần quan trọng nhất cần phải được giữ bí mật chính là khoá. Việc trao đổi, thoả
thuận về thuật toán được sử dụng trong việc mã hoá có thể tiến hành một cách công
khai, nhưng bước thoả thuận về khoá trong việc mã hoá và giải mã phải tiến hành bí
mật. Chúng ta có thể thấy rằng thuật toán mã hoá đối xứng sẽ rất có lợi khi được áp dụng
trong các cơ quan hay tổ chức đơn lẻ. Nhưng nếu cần phải trao đổi thông tin với một
bên thứ ba thì việc đảm bảo tính bí mật của khoá phải được đặt lên hàng đầu.
2. Các kỹ thuật thay thế
Là phương pháp mà từng kí tự (hay từng nhóm kí tự) trong bản rõ (Plaintext)
được thay thế bằng một kí tự (hay một nhóm kí tự) khác để tạo ra bản mờ (Ciphertext).
Bên nhận chỉ cần đảo ngược trình tự thay thế trên Ciphertext để có được Plaintext ban
đầu.
Các hệ mật mã cổ điển- Hệ mã hóa thay thế(Substitution Cipher)
Chọn một hoán vị p: Z26 → Z26 làm khoá.
VD:
Mã hoá
ep(a)=X
A B C D E F G H I J K L M
d l r y v o h e z x w p t
12
- n o p q r s t u v w x y z
S F L R C V M U E K J D I
Giải mã:
dp(A)=d
A B C D E F G H I J K L M
d l r y v o h e z x w p t
N O P Q R S T U V W X Y Z
b g f j q n m u s k a c i
Bảng rõ “nguyenthanhnhut”
Mã hóa “SOUDHSMGXSGSGUM”
3. Các kỹ thuật hoán vị
Bên cạnh phương pháp mã hoá thay thế thì trong mã hoá cổ điển có một phương
pháp khác nữa cũng nổi tiếng không kém, đó chính là mã hoá hoán vị. Nếu như trong
phương pháp mã hoá thay thế, các kí tự trong Plaintext được thay thế hoàn toàn bằng
các kí tự trong Ciphertext, thì trong phương pháp mã hoá hoán vị, các kí tự trong
Plaintext vẫn được giữ nguyên, chúng chỉ được sắp xếp lại vị trí để tạo ra Ciphertext.
Tức là các kí tự trong Plaintext hoàn toàn không bị thay đổi bằng kí tự khác.
Mã hoán vị - Permutation Cipher
Chuyển đổi vị trí bản thân các chữ cái trong văn bản gốc từng khối m chữ cái.
Mã hoá:
eπ(x1, …, xm) = (xπ(1), …, xπm)).
Giải mã:
dπ(y1, …, ym) = (yπ’(1), …, yπ’(m)).
Trong đó, π: Z26 →Z26 là một hoán vị, π’ :=π-1 là nghịch đảo của π.
Hoán vị
13
nguon tai.lieu . vn