2. Đảm bảo an ninh phần ứng dụng
Mục 1: An ninh cho truy cập từ xa – Remote Access Security
Mục 2: An ninh dịch vụ web – Security web traffic
Mục 3: An ninh dịch vụ thư điện tử - Email Security
Mục 4: Application Security Baselines
3. An ninh cho truy cập từ xa – Remote Access Security
Mạng không dây
Mạng riêng ảo VPN
RADIUS
TACACS
PPTP
L2TP
SSH
IPSec
5. TỔNG QUAN VỀ MẠNG WIRELESSS
Các loại wireless networks
Có thể phân chia tạm như sau:
Wireless LAN (Wifi)
Wireless MAN (WiMax)
6. Các chuẩn của mạng wireless
IEEE 802.15: Bluetooth, được sử dụng trong mạng
Personal Area Network (PAN).
IEEE 802.11: Wifi, được sử dụng cho mạng Local Area
Network (LAN).
IEEE 802.16: WiMax ( Worldwide Interoperability for
Microwave Access ), được sử dụng cho Metropolitan Area
Network (MAN).
IEEE 802.20: được sử dụng cho Wide Area Network
(WAN).
7. WLAN
Mạng dựa trên công nghệ 802.11 nên đôi khi
còn được gọi là 802.11 network Ethernet. Và
hiện tại còn được gọi là mạng Wireless Ethernet
hoặc Wi-Fi (Wireless Fidelity).
Chuẩn 802.11 được IEEE phát triển và đưa ra
vào năm 1997. Gồm có: 802.11, 802.11a,
802.11b, 802.11b+, 802.11g, 802.11h
8. WLAN
802.11:
Tốc độ truyền khoảng từ 1 đến 2 Mbps, hoạt động ở băng tần
2.4GHz.
Tầng vật lí sử dụng phương thức DSSS ( Direct Sequence
Spread Spectrum ) hay FHSS ( Frequency Hoping Spread
Spectrum ) để truyền.
802.11a:
Cung cấp tốc độ truyền lên tới 54 Mbps, hoạt động ở dải băng
tần 5 GHz. Sử dụng phương pháp điều chế ghép kênh theo
vùng tần số vuông góc Orthogonal Frequency Division
Multiplexing ( OFDM ).
Có thể sử dụng đến 8 Access Point đặc điểm này ở dải tần
2.4GHz, chỉ sử dụng được đến 3 Access Point
9. WLAN
802.11b, 802.11b+:
Cung cấp tốc độ truyền là 11 Mpbs ( 802.11b ) hay 22 Mbps
( 802.11b+), hoạt động ở dải băng tần 2.4 GHz. Có thể tương thích
với 802.11 và 802.11g. Tốc độ có thể ở 1, 2, hay 5,5 Mbps.
802.11g:
Cung cấp tốc độ truyền khoảng 20+Mbps, hoạt động ở dải băng tần 2.4GHz.
Phương thức điều chế: có thể dùng 1 trong 2 phương thức:
OFDM ( giống 802.11a ) : tốc độ truyền có thể lên tới 54 Mbps.
DSSS: tốc độ giới hạn ở 11 Mbps.
802.11h:
Được sử dụng ở châu Âu, hoạt động ở băng tần 5 GHz.
10. WLAN
Ưu điểm của WLAN so với mạng có dây truyền thống
Mạng Wireless cung cấp tất cả các tính năng của công nghệ
mạng LAN như là Ethernet và Token Ring mà không bị giới
hạn về kết nối vật lý (giới hạn về cable).
Sự thuận lợi đầu tiên của mạng Wireless đó là tính linh động.
Mạng WLAN sử dụng sóng hồng ngoại (Infrared Light) và
sóng Radio (Radio Frequency) để truyền nhận dữ liệu thay vì
dùng Twist-Pair và Fiber Optic Cable.
11. WLAN
Hạn chế của WLAN
Tốc độ mạng Wireless bị phụ thuộc vào băng thông.
Bảo mật trên mạng Wireless là mối quan tâm hàng đầu hiện
nay.
12. Đặc tính kỹ thuật mạng Wireless
WLAN hoạt động như thế nào ?
Wireless LAN sử dụng sóng điện từ (Radio hoặc sóng Hồng
ngoại - Infrared) để trao đổi thông tin giữa các thiết bị mà
không cần bất kỳ một kết nối vật lý nào (cable).
Trong cấu hình của mạng WLAN thông thường, một thiết bị
phát và nhận (transceiver) được gọi là Access Point (AP) và
được kết nối với mạng có dây thông thường thông qua cáp
theo chuẩn Ethernet.
AP thực hiện chức năng chính đó là nhận thông tin, nhớ lại và
gửi dữ liệu giữa mạng WLAN và mạng có dây thông thường.
Một AP có thể hổ trợ một nhóm người dùng và trong một
khoảng cách nhất định (tuỳ theo loại AP).
13. Đặc tính kỹ thuật mạng Wireless
Ngườidùng mạng WLAN truy cập vào mạng thông
qua Wireless NIC, thông thường có các chuẩn sau:
PCMCIA - Laptop, Notebook
ISA, PCI, USB – Desktop
Tích hợp sẵn trong các thiết bị cầm tay
14. Đặc tính kỹ thuật mạng Wireless
Công nghệ chính được sử dụng cho mạng
Wireless là dựa trên chuẩn IEEE 802.11. Hầu hết
các mạng Wireless hiện nay đều sử dụng tầng số
2.4GHz.
Wireless Network Standards:
IEEE 802.11 standard
Bluetooth
15. Đặc tính kỹ thuật mạng Wireless
802.11 Standard
Mạng WLANs hoạt động dựa trên chuẩn 802.11 chuẩn
này được xem là chuẩn dùng cho các thiết bị di động có
hỗ trợ Wireless, phục vụ cho các thiết bị có phạm vi hoạt
động tầm trung bình.
Cho đến hiện tại IEEE 802.11 gồm có 4 chuẩn trong họ
802.11 và 1 chuẩn đang thử nghiệm:
16. Đặc tính kỹ thuật mạng Wireless
802.11 - là chuẩn IEEE gốc của mạng không dây (hoạt động
ở tầng số 2.4GHz, tốc độ 1 Mbps – 2Mbps)
802.11b - (phát triển vào năm 1999, hoạt động ở tầng số 2.4-
2.48GHz, tốc độ từ 1Mpbs - 11Mbps)
802.11a - (phát triển vào năm 1999, hoạt động ở tầng số
5GHz – 6GHz, tốc độ 54Mbps)
802.11g - (một chuẩn tương tự như chuẫn b nhưng có tốc độ
cao hơn từ 20Mbps - 54Mbps, hiện đang phổ biến nhất)
802.11e - là 1 chuẩn đang thử nghiệm: đây chỉ mới là phiên
bản thử nghiệm cung cấp đặc tính QoS (Quality of Service)
và hỗ trợ Multimedia cho gia đình và doanh nghiệp có môi
trường mạng không dây
17. Đặc tính kỹ thuật mạng Wireless
Bluetooth
Bluetooth là một giao thức đơn giản dùng để kết nối những thiết
bị di động như Mobile Phone, Laptop, Handheld computer,
Digital Camera, Printer, v.v..
Bluetooth sử dụng chuẩn IEEE 802.15 với tần số 2.4GHz –
2.5GHz
Bluetooth là công nghệ được thiết kế nhằm đáp ứng một cách
nhanh chóng việc kết nối các thiết bị di động và cũng là giải
pháp tạo mạng WPAN, có thể thực hiện trong môi trường nhiều
tầng số khác nhau.
20. Các mô hình mạng Wireless
Independent Basic Service sets – IBSS
Basic Service sets – BSS
Extended Service sets - ESS
21. Các mô hình mạng Wireless
Independent BSS/ Ad-hoc
Trong mô hình Independent BSS, các Client liên lạc trực
tiếp với nhau mà không phải thông qua AP nhưng phải
trong phạm vi cho phép.
Mạng nhỏ nhất theo chuẩn 802.11 này bao gồm 2 máy
liên lạc trực tiếp với nhau.
Mô hình IBSS còn được gọi với tên là mạng ad-hoc.
22. Các mô hình mạng Wireless
Mô hình independent BSS/Ad-hoc network
23. Các mô hình mạng Wireless
BSS/Infracstructure BSS
Trong mô hình Infrastructure BSS các Client muốn liên
lạc với nhau phải thông qua một thiết bị đặc biệt gọi là
Access Point (AP).
AP là điểm trung tâm quản lý mọi sự giao tiếp trong
mạng, khi đó các Client không thể liên lạc trực tiếp với
như trong mạng Independent BSS.
Để giao tiếp với nhau các Client phải gửi các Frame dữ
liệu đến AP, sau đó AP sẽ gửi đến máy nhận.
24. Các mô hình mạng Wireless
Mô hình Infracstructure BSS
25. Các mô hình mạng Wireless
ESS/Extend Service Set
Nhiều mô hình BSS kết hợp với nhau gọi là mô hình
mạng ESS.
Là mô hình sử dụng từ 2 AP trở lên để kết nối mạng. Khi
đó các AP sẽ kết nối với nhau thành một mạng lớn hơn,
phạm vi phủ sóng rộng hơn, thuận lợi và đáp ứng tốt cho
các Client di động. Đảm bảo sự hoạt động của tất cả các
Client.
27. CÁC KIỂU TẤN CÔNG TRÊN MẠNG WLAN
Hackercó thể tấn công mạng WLAN bằng
các cách sau:
Passive Attack (eavesdropping)
Active Attack (kết nối, thăm dò và cấu hình mạng)
Jamming Attack
Man-in-the-middle Attack
28. Tấn công bị động (Passive Attack)
Tấn công bị động (passive) hay nghe lén
(eavesdropping) là một phương pháp tấn công
WLAN đơn giản nhất nhưng vẫn rất hiệu quả.
Passive attack không để lại một dấu vết nào chứng
tỏ đã có sự hiện diện của hacker trong mạng vì
hacker không thật kết nối với AP để lắng nghe các
gói tin truyền trên đoạn mạng không dây
29. Tấn công bị động (Passive Attack)
WLAN sniffer có thể được sử
dụng để thu thập thông tin về
mạng không dây ở khoảng cách
xa bằng cách sử dụng anten
định hướng.
Phương pháp này cho phép
hacker giữ khoảng cách với
mạng, không để lại dấu vết
trong khi vẫn lắng nghe và thu
thập được những thông tin quý
giá.
Ví dụ: Tấn công bị động
30. Tấn công chủ động (Active Attack )
Tấn công chủ động được sử dụng để truy cập vào
server và lấy được những dữ liệu có giá trị hay sử
dụng đường kết nối Internet của doanh nghiệp để
thực hiện những mục đích phá hoại hay thậm chí là
thay đổi cấu hình của hạ tầng mạng.
Bằng cách kết nối với mạng không dây thông qua
AP, hacker có thể xâm nhập sâu hơn vào mạng
hoặc có thể thay đổi cấu hình của mạng.
31. Tấn công chủ động (Active Attack )
Ví dụ: Một hacker có thể
sửa đổi để thêm MAC
address của hacker vào
danh sách cho phép của
MAC filter trên AP hay vô
hiệu hóa tính năng MAC
filter giúp cho việc đột
nhập sau này dễ dàng
hơn.
Ví dụ: Kiểu tấn công chủ động
32. Tấn công chèn ép (Jamming)
Jamming là một kỹ thuật được sử dụng chỉ
đơn giản để làm hỏng (shut down) mạng
không dây.
Khi một hacker chủ động tấn công jamming,
hacker có thể sử dụng một thiết bị WLAN đặc
biệt, thiết bị này là bộ phát tín hiệu RF công
suất cao hay sweep generator.
33. Tấn công chèn ép (Jamming)
Để loại bỏ kiểu tấn
công này thì yêu cầu
đầu tiên là phải xác
định được nguồn tín
hiệu RF. Việc này có
thể làm bằng cách sử
dụng một Spectrum
Analyzer (máy phân
tích phổ) Tấn công jamming
34. Tấn công bằng cách thu hút (Man in the Middle)
Tấn công theo kiểu Man-in-the-middle là trường
hợp trong đó hacker sử dụng một AP để đánh cắp
các node di động bằng cách gửi tín hiệu RF mạnh
hơn AP hợp pháp đến các node đó.
Các node di động nhận thấy có AP phát tín hiệu RF
tốt hơn nên sẽ kết nối đến AP giả mạo này, truyền
dữ liệu có thể là những dữ liệu nhạy cảm đến AP
giả mạo và hacker có toàn quyền xử lý
35. Tấn công bằng cách thu hút (Man in the Middle)
Hacker muốn tấn công theo
kiểu Man-in-the-middle này
trước tiên phải biết được
giá trị SSID là các client
đang sử dụng (giá trị này
rất dễ dàng có được). Sau
đó, hacker phải biết được
giá trị WEP key nếu mạng
có sử dụng WEP
Tấn công Man in the Middle
36. TỔNG QUAN BẢO MẬT CHO MẠNG KHÔNG DÂY
Tại sao phải bảo mật mạng không dây?
39. Mã hóa
Mã hóa là biến đổi dữ liệu
để chỉ có các thành phần
được xác nhận mới có thể
giải mã được nó. Quá trình
mã hóa là kết hợp plaintext
với một khóa để tạo thành
văn bản mật (Ciphertext).
Sự giải mã được bằng
cách kết hợp Ciphertext
với khóa để tái tạo lại
plaintext
Quá trình mã hóa và giải mã
Quá trình xắp xếp và phân
bố các khóa gọi là sự quản
lý khóa.
40. Mã hóa
Có hai phương pháp mã:
Mã dòng (stream ciphers)
Mã khối ( block ciphers)
Cả hai loại mật mã này hoạt động bằng cách
sinh ra một chuỗi khóa ( key stream) từ một giá
trị khóa bí mật. Chuỗi khóa sau đó sẽ được trộn
với dữ liệu (plaintext) để sinh dữ liệu đã được
mã hóa.
Hai loại mật mã này khác nhau về kích thước
của dữ liệu mà chúng thao tác tại một thời điểm
41. Bảo mật Lan không dây
Một WLAN gồm có 3 phần: Wireless Client,
Access Points và Access Server.
Wireless Client: Điển hình là một chiếc laptop với NIC
(Network Interface Card) không dây được cài đặt để
cho phép truy cập vào mạng không dây.
Access Points (AP): Cung cấp sự bao phủ của sóng vô
tuyến trong một vùng nào đó và kết nối đến mạng
không dây.
Access Server: Điều khiển việc truy cập. Một Access
Server (như là Enterprise Access Server (EAS) ) cung
cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên
tiến cho mạng không dây Enterprise .
42. Mã dòng
Mã dòng phương thức mã hóa
theo từng bit, mã dòng phát
sinh chuỗi khóa liên tục dựa
trên giá trị của khóa
Ví dụ: một mã dòng có thể sinh
ra một chuỗi khóa dài 15 byte
để mã hóa một frame và môt
chuỗi khóa khác dài 200 byte
để mã hóa một frame khác.
Mật mã dòng là một thuật toán Hoạt động của mã dòng
mã hóa rất hiệu quả, ít tiêu tốn
tài nguyên (CPU).
43. Mã khối
Mã khối sinh ra một chuỗi khóa
duy nhất và có kích thước cố
định(64 hoặc 128 bit).
Chuỗi kí tự chưa được mã
hóa( plaintext) sẽ được phân
mảnh thành những khối(block)
và mỗi khối sẽ được trộn với
chuỗi khóa một cách độc lập.
Nếu như khối plaintext nhỏ hơn
khối chuỗi khóa thì plaintext sẽ
được đệm thêm vào để có được Hoạt động của mã khối
kích thước thích hợp
44. Nhận xét
Tiến trình mã hóa dòng và mã hóa khối còn được
gọi là chế độ mã hóa khối mã điện tử ECB
( Electronic Code Block).
Chế độ mã hóa này có đặc điểm là cùng một đầu
vào plaintext ( input plain) sẽ luôn luôn sinh ra
cùng một đầu ra ciphertext (output ciphertext).
Đây chính là yếu tố mà kẻ tấn công có thể lợi
dụng để nhận dạng của ciphertext và đoán được
plaintext ban đầu
45. WEP – Wired Equivalent Privacy
WEP là một hệ thống mã hóa dùng cho việc bảo
mật dữ liệu cho mạng Wireless. WEP là một phần
của chuẩn 802.11 và dựa trên thuật toán mã hóa
RC4, mã hóa dữ liệu 40 bit.
Đặc tính kỹ thuật của WEP
Điều khiển việc truy cập, ngăn chặn sự truy cập của
những Client không có khóa phù hợp
Bảo mật nhằm bảo vệ dữ liệu trên mạng bằng mã hóa
chúng và chỉ cho những client có khóa WEP đúng giải
mã
46. Thuật toán WEP
Thuật toán mã hóa RC4 là
thuật toán mã hóa đối
xứng( thuật toán sử dụng
cùng một khóa cho việc mã
hóa và giải mã).
WEP là thuật toán mã hóa
được sử dụng bởi tiến trình
xác thực khóa chia sẻ để
xác thực người dùng và mã
hóa dữ liệu trên phân đoạn
mạng không dây.
Frame được mã hóa bởi WEP
47. Thuật toán WEP
Để tránh chế độ ECB(Electronic Code Block)
trong quá trình mã hóa, WEP sử dụng 24 bit IV,
nó được kết nối vào khóa WEP trước khi được
xử lý bởi RC4.
Giá trị IV phải được thay đổi theo từng frame để
tránh hiện tượng xung đột. Hiện tượng xung đột
IV xảy ra khi sử dụng cùng một IV và khóa WEP
kết quả là cùng một chuỗi khóa được sử dụng
để mã hóa frame.
48. Thuật toán WEP
Chuẩn 802.11 yêu cầu khóa WEP phải được cấu hình
trên cả client và AP khớp với nhau thì chúng mới có
thể truyền thông được.
Mã hóa WEP chỉ được sử dụng cho các frame dữ liệu
trong suốt tiến trình xác thực khóa chia sẻ. WEP mã hóa
những trường sau đây trong frame dữ liệu:
Phần dữ liệu (payload)
Giá trị kiểm tra tính toàn vẹn của dữ liệu ICV (Integrity Check
value)
Tất cả các trường khác được truyền mà không được mã
hóa. Giá trị IV được truyền mà không cần mã hóa để cho
trạm nhận sử dụng nó để giải mã phần dữ liệu và ICV
49. SƠ ĐỒ QUÁ TRÌNH MÃ HÓA SỬ DỤNG WEP
Initalization IV
Vector
IV
Key Sequence
Seed
WEP
PRNG
Secret Key
Ciphertext
Plaintext
Message
Intergrity Algorithm
Integrity Check Value (ICV)
51. WPA - Wi-fi Protected Access
WPA được thiết kế nhằm thay thế cho WEP vì có tính
bảo mật cao hơn. Temporal Key Intergrity Protocol
(**IP), còn được gọi là WPA key hashing là một sự cải
tiến dựa trên WEP, nó tự động thay đổi khóa, điều này
gây khó khăn rất nhiều cho các Attacker dò thấy khóa
của mạng.
Mặt khác WPA cũng cải tiến cả phương thức chứng
thực và mã hóa. WPA bảo mật mạnh hơn WEP rất
nhiều. Vì WPA sử dụng hệ thống kiểm tra và bảo đảm
tính toàn vẹn của dữ liệu tốt hơn WEP
52. WPA2 – Wi-fi Protected Access 2
WPA2 là một chuẩn ra đời sau đó và được kiểm định lần
đầu tiên vào ngày 1/9/2004. WPA2 được National Institute
of Standards and Technology (NIST) khuyến cáo sử dụng,
WPA2 sử dụng thuật toán mã hóa Advance Encryption
Standar (AES).
WPA2 cũng có cấp độ bảo mật rất cao tương tự như
chuẩn WPA, nhằm bảo vệ cho người dùng và người quản
trị đối với tài khoản và dữ liệu.
Trên thực tế WPA2 cung cấp hệ thống mã hóa mạnh hơn
so với WPA, WPA2 sử dụng rất nhiều thuật toán để mã
hóa dữ liệu như **IP, RC4, AES và một vài thuật toán
khác. Những hệ thống sử dụng WPA2 đều tương thích với
WPA.
53. Những giải pháp dựa trên EAS
Kiến trúc tổng thể sử dụng EAS trong “Gateway
Mode” hay “Controller Mode”.
Trong Gateway Mode EAS được đặt ở giữa
mạng AP và phần còn lại của mạng Enterprise.
Vì vậy EAS điều khiển tất cả các luồng lưu
lượng giữa các mạng không dây và có dây và
thực hiện như một tường lửa
54.
55. Những giải pháp dựa trên AES
Trong Controll Mode, EAS quản lý các AP và điều
khiển việc truy cập đến mạng không dây, nhưng nó
không liên quan đến việc truyền tải dữ liệu người
dùng.
Trong chế độ này, mạng không dây có thể bị phân
chia thành mạng dây với firewall thông thường hay
tích hợp hoàn toàn trong mạng dây Enterprise.
57. Mạng riêng ảo (VPN)
Là phương thức đảm bảo an ninh truy cập từ xa
Dựa trên các phương thức mã hóa và cơ chế chứng thực
Cung cấp cơ chế “tunnel” cho phép truyền thông tin từ hệ
thống mạng này sang hệ thống khác
58. Mạng riêng ảo (VPN)
Site to Site VPN Remote Access
Có hai hình thức hoạt động
59. Mạng riêng ảo (VPN)
Các công nghệ sử dụng:
Point-to-Point Tunneling Protocol (PPTP)
Layer 2 Tunneling Protocol (L2TP)
IPSec
Public Key Infrastructure (PKI)
Phần mềm Remote Control
60. Các vấn đề về VPN
Làm tăng thông lượng sử dụng của mạng
Các vấn đề về cài đặt và duy trì hệ thống
Các vấn đề về cơ chế an ninh
Vấn đề về trình độ người sử dụng
Vấn đề về khả năng tương thích
61. An ninh cho VPN
Sử dụng giao thức an ninh mới nhất (L2TP, IPSec)
Sử dụng thay thế cho các dịch vụ truy cập từ xa
(Terminal Services, PC Anywhere, VNC)
Thường xuyên cập nhật các bản vá lỗi cho phần
mềm và cho hệ điều hành
Lập kế hoạch triển khai thật cẩn thận
62. RADIUS
Romote Access Dial-In User Service
Được các ISP sử dụng trong việc chứng thực trong dịch vụ Dial-in
Được sử dụng trong việc thực hiện chứng thực giữa các thiết bị mạng
như Router với Domain Controller (Active Directory, iPlannet...)
63. RADIUS
Tính chất
Chỉ mã hóa password
Phạm vi sử dụng rộng
Cài đặt tương đối phức tạp
Mã nguồn mở
Sử dụng cổng UDP 1812
64. RADIUS
An ninh
Sử dụng mã hóa Kerberos để chứng thực
Thường xuyên cập nhật phần mềm cho các ứng
dụng sử dụng RADIUS
65. TACACS
Terminal Access controller
Access Control System.
Giao thức chứng thực của UNIX
Quản lý tập chung việc chứng
thực người dùng
66. TACACS
Tính chất
Không phổ biến
Giao thức TACACS+ không tương thích với các phiên
bản trước đó
Sử dụng cổng TCP 49
67. PPTP
Point-to-Point Tunnelling Protocol (PPTP)
Hoạt động trên mô hình Client/Server
Nén dữ liệu các gói tin PPP
Sử dụng cổng 1723 TCP để khởi tạo
68. PPTP
Tính chất
Là giao thức không thể mở rộng việc mã hóa
Dễ bị lợi dụng tấn công
Việc chứng thực là một nguy cơ dễ bị tấn công
69. L2TP
Kết hợp giữa giao thức PPTP và giao thức L2P
(Layer 2 Protocol, Cisco)
Có thể mở rộng phương thức mã hóa
Có thể sử dụng giấy phép trong cả việc chứng thực
và mã hóa
70. L2TP
Tính chất
Cài đặt phức tạp
Một số thiết bị không tương thích
Chi phí đắt
Không tương thích với NAT (Network Address
Translation)
71. SSH
Secure Shell
Là một công cụ quản trị
truy nhập từ xa sử dụng
dòng lệnh (CLI –
Command Line Interface)
Thường được sử dụng
thay thế cho Telnet và
rlogin
73. SSH
Tính chất
Sử dụng mã hóa công khai trong việc chứng thực
và mã hóa
Cung cấp các tính năng copy file và FTP
Được phát triển bởi một số nhà sản xuất và có mã
nguồn mở (Open SSH)
Giao tiếp giữa Client và Server thông qua tunnel
Các dịch vụ (mail, web...) có thể sử dụng để trao
đổi thông tin thông qua tunnel.
74. SSH
Một số vấn đề
Sử dụng cơ chế “chìa khóa” để chứng thực
Những phiên bản đầu tiên có nhiều lỗi
Hiện nay các lỗi security vẫn được tìm thấy
Giao diện dạng CLI vẫn là trở ngại cho người quản
trị
76. IPSec là gì?
IPSec (Internet Protocol Security).
Nó có quan hệ tới một số bộ giao
thức (AH, ESP, và một số chuẩn
khác) được phát triển bởi Internet
Engineering Task Force (IETF).
Mục đích chính của việc phát triển
IPSec là cung cấp một cơ cấu bảo
mật ở tầng 3 (Network layer) của
mô hình OSI.
77. IPSec là gì?
Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên
các giao thức IP.
Khi một cơ chế bảo mật được tích hợp với giao thức IP,
toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua
tầng 3.
với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng
của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ
liệu từ nguồn đến đích.
IPSec trong suốt với người dùng cuối, là người mà không
cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng
sau một chuổi các hoạt động.
78. IPSec Security Associations (SA)
Security Associations (SAs) là một kết nối luận lý theo
một phương hướng duy nhất giữa hai thực thể sử dụng
các dịch vụ IPSec.
Các giao thức xác thực, các khóa, và các thuật toán
Phương thức và các khóa cho các thuật toán xác thực được dùng
bởi các giao thức Authentication Header (AH) hay Encapsulation
Security Payload (ESP) của bộ IPSec.
Thuật toán mã hóa và giải mã và các khóa.
Thông tin liên quan khóa, như khoảng thời gian thay đổi hay
khoảng thời gian làm tươi của các khóa.
Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ
nguồn SA và khoảng thời gian làm tươi.
Cách dùng và kích thước của bất kỳ sự đồng bộ mã hóa dùng,
nếu có.
79. IPSec Security Associations (SA)
IPSec SA gồm có 3 trường:
SPI (Security Parameter Index). Đây là một trường 32 bit dùng nhận
dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol.
SPI thường được chọn bởi hệ thống đích trong suốt quá trình thỏa
thuận của SA.
Destination IP address. Đây là địa chỉ IP của nút đích. Mặc dù nó có
thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý
hiện tại của SA chỉ được định nghĩa cho hệ thống unicast.
Security protocol. Phần này mô tả giao thức bảo mật IPSec, có thể là
AH hoặc ESP.
80. IPSec Security Protocols
Bộ IPSec đưa ra 3 khả năng chính bao gồm :
Tính xác thực và Tính toàn vẹn dữ liệu (Authentication and
data integrity). IPSec cung cấp một cơ chế xác nhận tính chất
xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi nội
dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra
khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo,
đánh hơi và từ chối dịch vụ.
Sự bí mật (Confidentiality). Các giao thức IPSec mã hóa dữ
liệu bằng cách sử dụng kỹ thuật mã hóa giúp ngăn cản người
chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec
cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người
gửi) và nút đích (người nhận) từ những kẻ nghe lén.
81. IPSec Security Protocols
Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba,
Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và
các thuật toán mã hóa trước và trong suốt phiên giao dịch. Một phần
quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật
những khóa đó khi được yêu cầu.
Hai tính năng đầu tiên của bộ IPSec, xác thực và toàn vẹn, và bí mật,
được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec.
Những giao thức này bao gồm Authentication Header (AH) và
Encapsulating Security Payload (ESP).
Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được
bộ IPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao
thức này là IKE.
82. Technical details
Có hai giao thức được phát triển và cung cấp bảo mật
cho các gói tin:
IP Authentication Header giúp đảm bảo tính toàn vẹn
và cung cấp xác thực.
IP Encapsulating Security Payload cung cấp bảo mật,
và là option bạn có thể lựa chọn cả tính năng
authentication và Integrity đảm bảo tính toàn vẹn dữ
liệu.
Thuật toán mã hoá được sử dụng trong IPsec bao gồm:
HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection)
TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ
an toàn của gói tin.
83. Authentication Header (AH)
AH được sử dụng trong các kết nối không có tính đảm
bảo dữ liệu.
AH là lựa chọn nhằm chống lại các tấn công replay attack
bằng cách sử dụng công nghệ tấn công sliding windows
và discarding older packets.
AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Trong
IPv4, IP header có bao gồm TOS, Flags, Fragment
Offset, TTL, và Header Checksum.
AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP.
84. Authentication Header (AH)
Next header: Nhận dạng giao thức trong sử
dụng truyền thông tin.
Payload length: Độ lớn của gói tin AH.
RESERVED: Sử dụng trong tương lai (cho
tới thời điểm này nó được biểu diễn bằng các
số 0).
Security parameters index (SPI): Nhận ra
các thông số bảo mật, được tích hợp với địa
chỉ IP, và nhận dạng các thương lượng bảo
mật được kết hợp với gói tin.
Sequence number: Một số tự động tăng lên
mỗi gói tin, sử dụng nhằm chống lại tấn công
dạng replay attacks.
Authentication data: Bao gồm thông số
Integrity check value (ICV) cần thiết trong gói
tin xác thực. Mô hình AH header
85. Encapsulating Security Payload (ESP)
Giao thức ESP cung cấp xác thực, độ
toàn vẹn, đảm bảo tính bảo mật cho
gói tin.
ESP cũng hỗ trợ tính năng cấu hình
sử dụng trong tính huống chỉ cần tính
năng mã hoá hoặc xác thực.
86. Encapsulating Security Payload (ESP)
Security parameters index (SPI): Nhận ra
các thông số được tích hợp với địa chỉ IP.
Sequence number:Tự động tăng có tác
dụng chống tấn công kiểu replay attacks.
Payload data: Dữ liệu truyền đi
Padding: Sử dụng vài block mã hoá
Pad length: Độ lớn của padding.
Next header: Nhận ra giao thức được sử
dụng trong quá trình truyền thông tin.
Authentication data: Bao gồm dữ liệu để
xác thực cho gói tin.
Mô hình ESP
87. Các chế độ IPSec
SAs trong IPSec hiện
tại được triển khai
bằng 2 chế độ.
Transport.
Tunnel.
Cả AH và ESP có thể
làm việc với một trong
hai chế độ này
Hai chế độ IPSec
88. Transport Mode
Transport mode bảo
vệ giao thức tầng trên
và các ứng dụng.
Trong Transport
mode, phần IPSec
header được chèn vào
giữa phần IP header
và phần header của
giao thức tầng trên Biểu diễn của IPSec Transport Modes
91. Tunnel Mode
Tunnel mode bảo vệ
toàn bộ gói dữ liệu.
Toàn bộ gói dữ liệu IP
được đóng gói trong
một gói dữ liệu IP khác
và một IPSec header
được chèn vào giữa
phần đầu nguyên bản
và phần đầu mới của IP
Biểu diển chung của IPSec Tunnel Modes
92. AH Tunnel mode
Trong AH Tunnel mode, phần đầu mới
(AH) được chèn vào giữa phần header mới
và phần header nguyên bản, như hình bên
dưới
94. Internet Key Exchange
Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắc của
Internet Security Association and Key Management Protocol.
IKE giúp các bên giao tiếp thỏa thuận các tham số bảo mật và khóa xác
nhận trước khi một phiên bảo mật IPSec được triển khai.
Ngoài việc thỏa thuận và thiết lập các tham số bảo mật và khóa mã hóa,
IKE cũng sữa đổi những tham số khi cần thiết trong suốt phiên làm việc.
IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một
phiên giao dịch hoàn thành.
95. Internet Key Exchange
Chức năng chủ yếu của IKE là thiết lập và duy trì các SA.
Các thuộc tính sau đây là mức tối thiểu phải được thống
nhất giữa hai bên như là một phần của ISAKMP.
Thuật toán mã hóa được dùng
Thuật toán băm được dùng
Phương thức xác thực được dùng
Thông tin về nhóm và giải thuật Diffie-Hellman
IKE thực hiện quá trình dò tìm, quá trình xác thực, quản
lý vào trao đổi khóa.
Sau khi dò tìm thành công, các thông số SA hợp lệ sẽ
được lưu trong cơ sở dữ liệu của SA.
96. Internet Key Exchange
Thuận lợi chính của IKE include bao gồm:
IKE không phải là một công nghệ độc lập, do đó nó có
thể dùng với bất kỳ cơ chế bảo mật nào.
Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao
bởi vì một lượng lớn những hiệp hội bảo mật thỏa
thuận với nhau với một vài thông điệp khá ít.
97. IKE Phases
Giai đoạn I và II là hai giai đoạn
tạo nên phiên làm việc dựa trên
IKE.
Trong một phiên làm việc IKE,
nó giả sử đã có một kênh bảo
mật được thiết lập sẵn. Kênh
bảo mật này phải được thiết lập
trước khi có bất kỳ thỏa thuận
nào xảy ra. Hai IKE phases – Phase I và Phase II
98. Giai đoạn I của IKE
Giai đoạn I của IKE đầu tiên xác nhận các điểm
thông tin, và sau đó thiết lập một kênh bảo mật cho
sự thiết lập SA. Tiếp đó, các bên thông tin thỏa
thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm
các thuật toán mã hóa, hàm băm, và các phương
pháp xác thực, mã khóa.
99. Giai đoạn I của IKE
Sau khi cơ chế mã hóa và hàm băm đã được thỏa thuận, một khóa chia
sẽ bí mật được tạo. Theo sau là những thông tin được dùng để tạo
khóa bí mật :
Giá trị Diffie-Hellman
SPI của ISAKMP SA ở dạng cookies
Số ngẩu nhiên - nonces
Nếu hai bên đồng ý sử dụng phương pháp xác thực dựa trên public
key, chúng cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần
thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng
chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa được
phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua
mạng.
100. Giai đoạn II của IKE
Giai đoạn II giải quyết việc thiết lập SAs cho IPSec. Trong
giai đoạn này, SAs dùng nhiều dịch vụ khác nhau thỏa
thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa
bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP).
Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn
giai đoạn I. Điển hình, sự thỏa thuận có thể lặp lại sau 4-5
phút. Sự thay đổi thường xuyên các mã khóa ngăn cản
các hacker bẻ gãy những khóa này và sau đó là nội dung
của gói dữ liệu.
101. IKE Modes
4 chế độ IKE phổ biến thường được triển
khai :
Chế độ chính (Main mode)
Chế độ linh hoạt (Aggressive mode)
Chế độ nhanh (Quick mode)
Chế độ nhóm mới (New Group mode)
102. Main Mode
Main mode xác nhận và bảo vệ tính
đồng nhất của các bên có liên quan
trong qua trình giao dịch. Trong chế
độ này, 6 thông điệp được trao đổi
giữa các điểm:
2 thông điệp đầu tiên dùng để thỏa
thuận chính sách bảo mật cho sự thay
đổi.
2 thông điệp kế tiếp phục vụ để thay
đổi các khóa Diffie-Hellman và
nonces. Những khóa sau này thực
hiện một vai tro quan trọng trong cơ
chế mã hóa.
Hai thông điệp cuối cùng của chế độ
này dùng để xác nhận các bên giao
dịch với sự giúp đỡ của chữ ký, các
hàm băm, và tuỳ chọn với chứng
nhận.
103. Aggressive Mode
Aggressive mode về bản chất giống
Main mode. Chỉ khác nhau thay vì
main mode có 6 thông điệp thì chết độ
này chỉ có 3 thông điệp được trao đổi.
Do đó, Aggressive mode nhanh hơn
mai mode. Các thông điệp đó bao
gồm :
Thông điệp đầu tiên dùng để đưa ra
chính sách bảo mật, trao đổi nonces
cho việc ký và xác minh tiếp theo.
Thông điệp kế tiếp hồi đáp lại cho
thông tin đầu tiên. Nó xác thực người
nhận và hoàn thành chính sách bảo
mật bằng các khóa.
Thông điệp cuối cùng dùng để xác
nhận người gửi (hoặc bộ khởi tạo của
phiên làm việc).
104. Quick Mode
Chế độ thứ ba của IKE,
Quick mode, là chế độ
trong giai đoạn II. Nó
dùng để thỏa thuận SA
cho các dịch vụ bảo mật
IPSec.
105. New Group Mode
New Group mode được dùng
để thỏa thuận một private
group mới nhằm tạo điều kiện
trao đổi Diffie-Hellman key
được dễ dàng.
Mặc dù chế độ này được thực
hiện sau giai đoạn I, nhưng
nó không thuộc giai đoạn II.
108. Giao thức bảo mật SSL
(Secure Sockets Layer)
Được phát triển bởi Netscape
Phiên bản đầu tiên (SSL 1.0): Không công bố
SSL 2.0: Công bố năm 1994, chứa nhiều lỗi bảo
mật.
SSL 3.0: Công bố năm 1996.
SSL 3.1: Năm 1999, được chuẩn hóa thành TLS
1.0 (Transport Layer Security)
Hiện nay: SSL 3.2 (Tương đương TLS 1.1)
109. Công dụng của SSL
Mã hóa dữ liệu và xác thực cho dịch vụ web.
Mã hóa dữ liệu và xác thực cho dịch vụ mail
(SMTP và POP)
Bảo mật cho FTP và các ứng dụng khác
Thực thi SSL không “trong suốt” với ứng dụng như
IPSec.
111. Cấu trúc SSL
SSL Handshake protocol: Giao thức bắt tay, thực
hiện khi bắt đầu kết nối.
SSL Change Cipher Spec protocol: Giao thức cập
nhật thông số mã hóa.
SSL Alert protocol: Giao thức cảnh báo.
SSL Record protocol: Giao thức chuyển dữ liệu
( thực hiện mã hóa và xác thực)
112. Connection và session
Kết nối (connection): quan hệ truyền dữ liệu giữa
hai hệ thống ở lớp vận chuyển dữ liệu.
Phiên (session): Quan hệ bảo mật giữa hai hệ
thống. Mỗi quan hệ có thể khởi tạo nhiều
connection.
Giữa hai hệ thống có thể tồn tại nhiều connection
=> có thể tồn tại nhiều session theo lý thuyết.
113. Session state
Trạng thái của phiên làm việc được xác định bằng
các thông số:
Session identifier:nhận dạng phiên.
Peer Certificate: Chứng chỉ số của đối tác.
Compression method: thuật toán nén.
Cipher spec: thông số mã hóa và xác thực.
Master secret: khóa dùng chung.
Is resumable: có phục hồi kết nối không.
114. Connection state
Trạng thái kết nối xác định với các thông số:
Server and client random: Chuỗi byte ngẫu nhiên.
Server write MAC secret: Khóa dùng chung cho
thao tác MAC phía server.
Server write key: Khóa mã hóa phía server.
Client write key: Khóa mã hóa phía client.
IV và sequence number.
115. Giáo thức SSL record
Cung cấp hai dịch vụ cơ bản:
Confidentiality
Message integrity
117. Giao thức SSL record
Phân đoạn (fragmentation): mỗi khối dữ liệu gốc
được chia thành đoạn, kích thước mỗi đoạn tối đa
= 214 byte.
Nén (compression): có thể sử dụng các thuật toán
nén để giảm kích thước dữ liệu truyền đi, tuy nhiên
trong các phiên bản thực thi ít chấp nhận thao tác
này
121. Giao thức SSL Change Cipher Spec
Có chức năng cập nhật thông số mã hóa cho kết
nối hiện tại.
Chỉ gồm một message duy nhất có kích thước 1
byte được gửi đi cùng giao thức SSL record.
122. Giao thứ SSL Alert
Một số bản tin cảnh báo trong SSL:
Unexpected_message: bản tin không phù hợp.
Bad_record_mac: MAC không đúng.
Decompression_failure: giải nén không thành công.
Handshake_failure: không thương lượng được các
thông số bảo mật.
Illegal_parameter: bản tin bắt tay không hợp lệ.
Close_notify: thông báo kết thúc kết nối
123. Giao thức SSL Alert
Một số bản tin cảnh báo trong SSL (tt):
No_certificate: Không có certificate để cung cấp theo yêu cầu.
Bad_certificate: Certificate không hợp lệ (chữ ký sai).
Unsupported_certificate: Kiểu certificate không chuẩn.
Certificate_revoked: Certificate bị thu hồi.
Certificate_expired: Certificate hết hạn.
Certificate_unknown: Không xử lý được certificate (khác với
các lý do ở trên)
124. Giao thức SSL handshake
Là phần quan trọng nhất của SSL.
Có chức năng thỏa thuật các thông số bảo mật
giữa hai thực thể.
Thủ tục bắt tay phải được thực hiện trước khi trao
đổi dữ liệu.
SSL handshake gồm 4 giai đoạn (phase).
126. Giao thức SSL handshake
Phase 2:
Certificate: Chứng chỉ của server.
Server_key_exchange: Thông số
trao đổi khóa (***).
Certificate_request: yêu cầu client
gửi chứng chỉ.
Server_hello_done: kết thúc
thương lượng phía server.
127. Giao thức SSL handshake
Phase 3:
Certificate: Chứng chỉ của client.
Client_key_exchange: Thông số
trao đổi khóa (***).
Certificate_verify: Thông tin xác
minh chứng chỉ của client (xác
thực khóa PR của client).
128. Giao thức SSL handshake
Phase 4:
Chang_cipher_spec: cập nhật
thông số mã.
Finish: Kết thúc quá trình bắt
tay thành công.
129. Giao thức SSL handshake
Trao đổi khóa trong SSL handshake:
Dùng RSA (certificate chứa PU)
Fixed Diffie-Hellman: Dùng Diffie-Hellman với khóa cố
định.
Ephemeral Diffie-Hellman: Dùng Diffie-Hellman với khóa
tức thời.
Anonymous Diffie-Hellman: Dùng khóa Diffie-Hellman
nguyên thủy.
130. Tấn công kết nối SSL
Nếu chặn được các thông số của quá trình trao
đổi khóa Diffie-Hellman, có thể thu được khóa bí
mật bằng kỹ thuật Man-in-the-midle.
Dùng khóa bí mật để giải mã thông tin của giao
thức SSL record.
131. Triển khai SSL với dịch vụ web
Các web client (internet browser) đã tích hợp sẵn
giao thức SSL.
Phía server:
Đảm bảo hỗ trợ của server đối với SSL (IIS,
Apache,…)
Tạo và cài đặt certificate cho server.
Ràng buộc SSL đối với tất cả các giao dịch.
132. Các vấn đề về SSL
Trongquá trình chứng thực cả Client và Server
đều phải cần PKI
Cần phải thiết lập các qui định chung cho hệ thống
Ảnh hưởng đến Performance của hệ thống mạng
Việc triển khai tiềm tàng một số vấn đề: Cách
triển khai, cấu hình hệ thống, chọn phần mềm....
Kiểu tấn công Man-in-the-Middle
133. Đảm bảo an ninh trong SSL
Triểnkhai PKI
Thường xuyên cập nhật, vá lỗi phần mềm sử dụng
Cài đặt việc chứng thực trong giao dịch giữa Client
và Server
Hướng dẫn người sử dụng dấu hiệu nhận biết tấn
công Man-in-the-Middle
134. Các điểm yếu của Web Client
javaScript
ActiveX
Cookies
Applets
135. JavaScript
Là một đoạn mã lệnh được tích hợp trong trang web và
được thực thi bởi trình duyệt web.
Được sử dụng rất phổ biến và hữu ích
136. JavaScript
Các nguy cơ:
Ăn trộm địa chỉ Email
Ăn trộm thông tin người sử dụng
Kill một số tiến trình
Chiếm tài nguyên CPU và bộ nhớ
Shutdown hệ thống
Relay email để phục vụ cho gửi spam
Phục vụ cho việc chiếm đoạt website
137. JavaScript
Các biện pháp phòng
chống
Disable chức năng chạy
JavaScript trong trình
duyệt.
Thường xuyên cập
nhập phiên bản mới của
trình duyệt
Kiểm tra kỹ mã lệnh của
web Server
138. ActiveX
ActiveX cung cấp những nội dung động cho trình duyệt
web
ActiveX có thể giao tiếp với những ứng dụng khác, tiếp
nhận các thông số từ người dùng, cung cấp các ứng dụng
hữu ích cho người sử dụng.
139. ActiveX
Các nguy cơ:
Ăn cắp thông tin
Kẻ tấn công có thể lợi dụng các lỗ hổng bảo mật
của các trình ứng dụng ActiveX để xâm nhập, tấn
công hệ thống
140. ActiveX
Các biện pháp phòng
chống
Disable ActiveX trên trình
duyệt web và mail client
Lọc các ActiveX từ firewall
Hướng dẫn người sử dụng
chỉ sử dụng các ActiveX đã
được chứng thực
141. Cookies
Filecookies lưu trữ một số các thông tin cá nhân
của người dùng:
Số thẻ tín dụng
Username/Password
Có thế sử dụng chung cho nhiều website khác
nhau
Trình duyệt có thể cho phép web server lưu trữ
thông tin trên đó
142. Cookies
Các nguy cơ:
Kẻ tấn công có thể sử dụng Telnet để gửi các dạng
cookies mà chúng muốn để đánh lừa web server.
Kẻ tấn công có thể lợi dụng cookies để lấy trộm các
thông tin về người dùng, về tổ chức và câu hình Security
của mạng nội bộ
Kẻ tấn công có thể lợi dụng lỗi Script Injection để cài các
script nguy hiểm lên hệ thống nhằm chuyển các cookies
về hệ thống thay vì phải chuyển lên web server
143. Cookies
Các biện pháp phòng chống:
Disable Cookies trên trình duyệt web
Sử dụng những trình xóa cookies không cần thiết
Cấu hình web server không được “tin tưởng” vào các
cookies dạng yêu cầu cung cấp thông tin, yêu cầu điều
khiển hoặc yêu cầu dịch vụ.. Được lưu ở client
Không lưu trữ các thông tin nhạy cảm trên cookies
Sử dụng SSL/TLS
144. Applets
Là những chương trình Java nhỏ, có thể thực thi trên các
trình duyệt.
Java Applets chạy trên những client dựa vào Java Virtual
Machine (VM) được hầu hết các hệ điều hành hỗ trợ.
145. Applets
Các nguy cơ:
Các chương trình Applets có thể truy cập các tài
nguyên hệ thống
Có thể sử dụng để giả mạo chữ ký
Có thể dùng để cài đặt Virus, Trojan, worm
Có thể sử dụng tài nguyên mạng để tấn công, thăm
dò hệ thống mạng khác.
146. Applets
Các biện pháp phòng chống:
Không sử dụng Applets, tắt hỗ trợ Java trên các
trình duyệt
Tuyên truyền, hướng dẫn người sử dụng
148. Email Security
E-mail
MIME
S/MIME
Các vấn đề về S/MIME
PGP
Các vấn đề về PGP
Các nguy cơ
Bảo vệ hệ thống E-mail
149. E-Mail
Kỹ thuật gửi thư điện tử
đến SMTP Server
Có rất nhiều lỗi bảo mật
Sử dụng giao thức SMTP
(TCP 25) để gửi mail
Sử dụng giao thức
POP3/IMAP (TCP
110/143) để nhận mail
151. S/MIME
Làmột chuẩn mới của MIME (Multipurpose Internet
mail Extentions)
Mã hóa và số hóa các dấu hiệu nhận biết của email
Sử dụng mã hóa công khai
Được tích hợp với các trình mail client thông dụng
152. Các vấn đề về S/MIME
Người gửi phải có Public key của người nhận nếu
muốn mã hóa
Người nhận phải có Public Key của người gửi nếu
muốn chứng thực người gửi
Người sử dụng phải mất thêm thời gian cho các
bước truy vấn, kiểm hóa khóa với PKI (Public Key
Infrashtructure).
153. PGP
Pretty Good Privacy
Phương thức mã hóa công khai
Cung cấp khả năng mã hóa chữ kí điện tử, nội
dung và các thông tin khác của email
Người dùng được cung cấp một Public Key và 1
Private key.
Các tiện ích hỗ trợ PGP thường được tích hợp vào
mail client hoặc sử dụng riêng biệt
154. Các vấn đề về PGP
Hiện nay có nhiều phiên bản ứng dụng khác nhau
nên đôi khi không tương thích.
Một số các trình ứng dụng mail client không còn
được phát triển nữa nhưng vẫn được người dùng
sử dụng
Để triển khai cần có người phụ trách việc quản lý
key
155. Các nguy cơ
Spam
Sử dụng email để quảng cáo
Gửi kiểu bomb thư
Người gửi không hề biết người nhận
Người nhận phải chịu sự phiền phức, khó chịu
Cấu hính mail server không tốt sẽ tiếp tay cho spam.
156. Các nguy cơ
Hoax (Lừa đảo)
Hình thức: Gửi thông báo cảnh báo virus, các vấn đề an
ninh, bảo mật....
Lây lan dựa vào sự lo sợ và kém hiểu biết của người
dùng.
Mức độ: Khá nguy hiểm
157. Các nguy cơ
Virus, worm, Trojan
Hầu hết các loại virus và trojan hiện nay đều lây qua
email
Lây lan dựa trên sự mất cảnh giác và thiếu kiến thức của
người sử dụng.
Mức độ: rất nguy hiểm
158. Các nguy cơ
Mail relay
Cho phép gửi mail không cần kiểm tra
Giả mạo
Lợi dụng để gửi spam
159. Bảo vệ hệ thống Email
Sử dụng S/MIME nếu có thể
Sử dụng phần mềm Mail gateway Scan
Cấu hình mail server tốt, không bị open relay
Ngăn chặn spam trên Server
Hướng dẫn sử dụng cho người dùng
Cảnh giác với những email lạ, có nội dung đáng nghi
160. Security Baselines – Ghi tài liệu
Ghi tài liệu cụ thể về cấu hình security mạng
Nên xem lại và sửa chữa mỗi khi có một sự thay
đổi trong mạng
161. Security Baselines
Liệt kê những thứ cần thiết
Các dịch vụ
Các giao thức
Các ứng dụng
Tài khoản người dùng
Quyền truy nhập file
Quyền truy nhập hệ thống
162. Security Baselines – OS Update
Kiểm tra các bản update của hệ điều hành thường
xuyên.
Triển khai WSUS (Windows Update Services)
163. Security Baselines – Bản vá (patching)
Bản vá lỗi cả cho OS và phần mềm
Ví dụ:
Bản và windows chống Blaster và Sasser
Bản vá Oracle chống 80 lỗ hổng (10/2005)
Cácbản và được đưa ra nhanh để vá những lỗ
hổng nào đó. Có thể chưa được kiểm nghiệm
164. Security Baselines – Service Packs
Khi
có quá nhiều bản vá nhà sản xuất tập hợp
chúng lại và đưa ra bản SP
165. Security Baselines – Network Hardening
Cập nhật các bản sửa lỗi
Bước bảo mật quan trọng sau bước duy trì là diệt virus
Là sản phẩm của các nhà sản xuất
Đăng kí mailing list của nhà sản xuất để nhận được
thông tin sớm, đầy đủ
Cập nhật định kỳ
166. Security Baselines – Network Hardening
Đóng những dịch vụ không cần thiết
Dịch vụ mạng
ứng dụng mạng
Cổng
Giao thức
167. Security Baselines – Application Hardening
Quản lý tất cả các phần mềm đang chạy
Đảm bảo chúng đã được cập nhật và sử lỗi đầy đủ
Mức độ bảo mật của máy chủ bằng với mức độ
bảo mật thấp nhất của một ứng dụng chạy trên
máy đó
168. Security Baselines – web server
Xóa những mã ví dụ mẫu
Triển khai tường lửa/IDS trên server
Ghi lại log
Áp dụng cảnh báo thời gian thực
Có hệ thống sao lưu để cân bằng tải và đề phòng
hỏng hóc
169. Security Baselines – Email
Là hệ thống quan trọng, chứa rất nhiều thông tin
của công ty
Cài đặt chương trình quét mail
Đề phòng spam
Cập nhật bản vá lỗi thường xuyên
170. Security Baselines – FTP
Là ứng dụng không có bảo mật
Nên triển khai VPN hoặc SSH
Nên để hệ thống tài khoản do server khác quản lý
Kiểm tra virus thường xuyên
171. Security Baselines – DNS
DNS trên nền UNIX hay có điểm yếu
Cập nhật các bản vá thường xuyên
Triển khai hệ thống DNS dự phòng (secondary)
172. Security Baselines – Cấu hình
Nên được ghi lại thành tài liệu
Thử nghiệm kỹ trước khi đưa vào triển khai thật
Tuân theo hướng dẫn của nhà sản xuất
173. Security Baselines – Cấu hình
Tắt/bậtcác dịch vụ và giao thức
Hầu hết các cuộc tấn công mạng đều dựa vào
điểm yếu của dịch vụ hay giao thức nào đó
Vá những lỗ hổng an ninh mạng
Đóng những dịch vụ không cần thiết để giảm độ
phức tạp
174. Security Baselines – Cấu hình
Access Control List
Tăng cường cho xác thực
Qui định quyền hạn cho mỗi cá nhân
Dùng để ghi lại các truy cập mạng