Giáo trình An ninh mạng: Phần 2 (Dùng cho sinh viên ngành Công nghệ thông tin, An toàn thông tin)

Tiếp nội dung phần 1, Giáo trình "An ninh mạng" Phần 2 cung cấp cho người học những kiến thức như: các giao thức an toàn mạng; an toàn mạng không dây; giải pháp an toàn mạng; an toàn điện toán đám mây. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Giáo trình An ninh mạng: Phần 2 (Dùng cho sinh viên ngành Công nghệ thông tin, An toàn thông tin) CHƯƠNG 5 CÁC GIAO THỨC AN TOÀN MẠNG Chương này trình bày các giải pháp bảo mật tại các tầng trong môhình TCP/IP trong các hệ thống mạng. Các giải pháp được đề xuất dướidạng các giao thức bảo mật tại các tầng khác nhau trong mô hình TCP/IP,chúng được thiết kế với các phương pháp mã hóa, xác thực, nhằm đảmbảo an toàn cho các chức năng hoạt động tại các tầng Network, Transport,Application. Các giao thức được đề cập chi tiết trong chương này gồm:IPSec, SSL, TLS, SSH, HTTPS, PGP, S/MIME. 5.1. Bảo mật tầng trong TCP/IP Để bảo vệ truyền thông trên mạng, các giải pháp bảo mật đã đượctriển khai tại các lớp trong mô hình TCP/IP tại các hệ thống mạng.Trong đó, giải pháp mã hóa được sử dụng khá phổ biến. Việc sử dụngcác giải thuật mã hóa ở các lớp khác nhau sẽ cung cấp các mức độ bảovệ khác nhau. Sau đây là các vấn đề bảo mật tại các tầng trong mô hìnhTCP/IP: Application Layer: Bảo mật end-to-end. Dữ liệu được mã hóa hoặcchứng thực tại lớp này sẽ tiếp tục đi qua các lớp khác như dữ liệu bìnhthường (không cần giải mã hoặc kiểm tra). Tuy nhiên, TCP header và IPheader sẽ không được mã hóa do nằm ở các lớp dưới, kẻ tấn công có thểphân tích và sửa đổi nội dung, ví dụ thay đổi địa chỉ IP đích trong IP headerđể phân phối gói tin cho người khác. Transport Layer: cung cấp sự an toàn cho các gói TCP. Phương phápbảo mật thực hiện mã hóa hoặc chứng thực cho phần payload hoặc cả góitin TCP (mã hóa cả header và payload). Việc mã hóa này không ảnh hưởngđến dữ liệu nhận được từ lớp ứng dụng. Tuy nhiên, IP header không đượcmã hóa, kẻ tấn công có thể thu được giá trị sequence number và sử dụngchúng để tấn công. Network Layer: Bảo mật link-to-link. Các cơ chế bảo mật sẽ mã hóahoặc chứng thực phần payload hoặc cả gói IP, không ảnh hưởng đến chứcnăng định tuyến, được xem như một ứng dụng ở tunnel mode. Data-Link Layer: Cung cấp bảo mật cho các frames. Phương pháp bảomật thực hiện mã hóa hoặc chứng thực cho Payload của frame. Việc phântích traffic trên các frame đã được mã hóa sẽ không thu được nhiều thôngtin đối với các tấn công.212 Hình 5.1: Các giao thức bảo mật trong TCP/IP Các giải pháp bảo mật cần được triển khai đồng thời ở các tầng trongTCP/IP, cụ thể là các phương pháp bảo mật đã được mô hình hóa vào cácgiao thức bảo mật mạng ở các tầng trong mô hình TCP/IP như Hình 5.1,bao gồm: Application Layer: Pretty Good Privacy (PGP), Secure/ MultipurposeInternet Mail Extension (S/MIME), Kerberos, Secure Shell (SSH). Transport Layer: Secure Sockets Layer/ Transport Layer Security(SSL/TLS). Network Layer: giao thức IP security (IPsec). Data Link Layer: Point-to-Point Tunneling Protocol (PPTP), Layer 2Tunneling Protocol (L2TP). 5.2. Giao thức bảo mật tầng Network – IPSec 5.2.1. Giới thiệu IPSec Giao thức IPSec (Internet Protocol Security), được phát triển bởi tổchức IETF, bao gồm một bộ các giao thức chuẩn, cung cấp các dịch vụ bảomật quá trình truyền thông tin trên nền tảng IP gồm xác thực và mã hóa chomỗi gói IP trong quá trình truyền thông tin. IPSec được phát triển ở giao thức tầng mạng trong mô hình TCP/IPdo nó cung cấp các dịch vụ bảo mật cho giao thức IP hoạt động ở tầngNetwork như Hình 5.2. IPSec được thiết kế như phần mở rộng của giaothức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6.Đối với IPv4, việc áp dụng IPSec là một tùy chọn, nhưng đối với IPv6,giao thức bảo mật này được triển khai bắt buộc. 213 Hình 5.2: IPSec trong TCP/IP IPSec cung cấp giải pháp an toàn dữ liệu từ đầu cuối đến đầu cuối trongcấu trúc mạng, và hoàn toàn độc lập với các ứng dụng đang chạy ở tầngApplication. Do đó, các ứng dụng có thể dùng các dịch vụ kế thừa tínhnăng bảo mật mà không cần phải có sự thay đổi lớn nào. IPSec hoạt độngtrong suốt với người dùng cuối, chỉ cần người quản trị cấu hình IPSec bằngcách thiết lập các luật giao tiếp giữa các máy, được gọi là các chính sáchcủa IPSec. Ứng dụng của IPSec IPsec cung cấp khả năng bảo mật thông tin liên lạc qua mạng LAN,WAN cũng như trên Internet. Một số ứng dụng của IPSec bao gồm: Kết nối các mạng nội bộ an toàn qua Internet: Điều này cho phép mộtdoanh nghiệp có thể dựa vào mạng Internet mà không cần thiết phải có mộtmạng riêng để kết nối các văn phòng chi nhánh, từ đó tiết kiệm chi phí xâydựng hệ thống mạng và chi phí quản lý mạng. Truy cập từ xa an toàn qua Internet: Người dùng cuối có thể thực hiệntruy cập đến nhà cung cấp dịch vụ Internet (ISP) để kết nối Internet và sauđó có thể truy cập an toàn vào mạng công ty, ứng dụng này được mô tảở Hình 5.3. Điều này làm giảm chi phí di chuyển cho nhân viên và lệ phíviễn thông. Thiết lập kết nối mạng bên ngoài và mạng nội bộ: IPsec có thể được sửdụng để bảo mật thông tin liên lạc với các tổ chức khác, đảm bảo xác thựcvà bảo mật và cung cấp cơ chế trao đổi khóa. Tăng cường bảo mật thương mại điện tử: Mặc dù một số ứng dụng webvà thương mại điện tử có các giao thức bảo mật tích hợp, việc sử dụngIPsec sẽ tăng cường các bảo mật đó.214 Hình 5.3: Một ví dụ sử dụng IPSec Các lợi ích của IPSec Kết hợp với các thiết bị mạng: Khi IPsec được triển khai bên trongtường lửa hoặc bộ định tuyến, nó cung cấp khả năng bảo mật mạnh mẽ cóthể được áp dụng cho tất cả lưu lượng truy cập mạng bên ngoài. Đối phó với bypass tường lửa: IPsec trong tường lửa có khả năng chốnglại sự vượt tường lửa của các lưu lượng mạng truy cập từ bên ngoài nếu cáclưu lượng mạng phát ra từ nguồn có sử dụng IP và tường lửa là phương tiệnduy nhất để truy cập từ Internet vào tổ chức. Triển khai độc lập: IPsec nằm bên dưới lớp Transport (TCP, UDP) vàdo đó trong suốt đối với các ứng dụng. Không cần thay đổi phần mềm củangười dùng ...