An ninh mạng - Chương 5: Bảo đảm an toàn mạng
I. Tổng quan về an ninh mạng.
II. Một số phương thức tấn công mạng
phổ biến.
III. Biện pháp đảm bảo an ninh mạng.
IV. Mạng riêng ảo VPN (Virtual Private
Networks).
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Bạn đang xem 10 trang mẫu của tài liệu "An ninh mạng - Chương 5: Bảo đảm an toàn mạng", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: An ninh mạng - Chương 5: Bảo đảm an toàn mạng
1CHƢƠNG 5 BẢO ĐẢM AN TOÀN MẠNG CuuDuongThanCong.com https://fb.com/tailieudientucntt 2Nội dung I. Tổng quan về an ninh mạng. II. Một số phương thức tấn công mạng phổ biến. III. Biện pháp đảm bảo an ninh mạng. IV. Mạng riêng ảo VPN (Virtual Private Networks). CuuDuongThanCong.com https://fb.com/tailieudientucntt 3V.1. Tổng quan về an ninh mạng 1. Khái niệm an ninh mạng 2. Các đặc trưng kỹ thuật của an toàn mạng 3. Các lỗ hổng và điểm yếu của mạng 4. Các biện pháp phát hiện hệ thống bị tấn công CuuDuongThanCong.com https://fb.com/tailieudientucntt 4V.1.1. Khái niệm an ninh mạng Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau. Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyên thông tin trên mạng, tránh sự mất mát, xâm phạm là cần thiết và cấp bách. An ninh mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định với những người có thẩm quyền tương ứng. CuuDuongThanCong.com https://fb.com/tailieudientucntt 5An ninh mạng bao gồm: Xác định chính xác các khả năng, nguy cơ xâm phạm mạng, các sự cố rủi ro đối với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng. Đánh giá nguy cơ tấn công của Hacker đến mạng, sự phát tán virus... Phải nhận thấy an toàn mạng là một trong những vấn đề cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và trong việc khai thác sử dụng các tài nguyên mạng. CuuDuongThanCong.com https://fb.com/tailieudientucntt 6Khó khăn của việc bảo đảm an ninh mạng Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng. Đánh giá các nguy cơ, các lỗ hổng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trúc. Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp.., nguy cơ xoá, phá hoại CSDL, ăn cắp mật khẩu,... nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễu điện tử... Đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất. CuuDuongThanCong.com https://fb.com/tailieudientucntt 7Hình thức tấn công an ninh Về bản chất có thể phân loại các vi phạm thành hai loại vi phạm thụ động và vi phạm chủ động. Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội dung và luồng thông tin có bị tráo đổi hay không. Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông tin. Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặc thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại. Các hành động vi phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặn hiệu quả. Trái lại vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn. CuuDuongThanCong.com https://fb.com/tailieudientucntt 8V.1.2. Các đặc trƣng kỹ thuật của an toàn mạng a. Tính xác thực (Authentification) b. Tính khả dụng (Availability) c. Tính bảo mật (Confidentialy) d. Tính toàn vẹn (Integrity) e. Tính khống chế (Accountlability) f. Tính không thể chối cãi (Nonreputation) CuuDuongThanCong.com https://fb.com/tailieudientucntt 9a. Tính xác thực (Authentification) Kiểm tra tính xác thực của một thực thể giao tiếp trên mạng. Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc một thiết bị phần cứng. Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhất trong các hoạt động của một phương thức bảo mật. Một hệ thống thông thường phải thực hiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệ thống. Cơ chế kiểm tra tín xác thực của các phương thức bảo ật dựa vào 3 mô ình chính sau: Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như Password, hoặc mã số thông số cá nhân PIN (Personal Information Number). Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tín dụng. Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình ví dụ như thông qua giọng nói, dấu vân tay, chữ ký ... Có thể phân loại bảo mật trên VPN theo các cách sau: mật khẩu truyền thống hay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP, RADIUS) hay phần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc) CuuDuongThanCong.com https://fb.com/tailieudientucntt 10 Một số mức xác thực password Level 0 password One way function Level 1 password identity One way function Level 2 password identity timestamp Encryptio n Level 3 CuuDuongThanCong.com https://fb.com/tailieudientucntt 11 One way functions Các hàm này được đưa ra nhằm mục đích “xáo trộn” thông tin đầu vào sao cho thông tin đầu ra không thể được phục hồi thành thông tin ban đầu. Hàm exclusive-OR (XOR): C = b1 b2 b3 bn Tuy nhiên hàm XOR có thể bị bẻ khóa dễ dàng. CuuDuongThanCong.com https://fb.com/tailieudientucntt 12 Thuật toán “Tiêu hoá” MD5 Dùng cho chứng nhận thông tin đòi hỏi tính bảo mật cao. Làm thế nào chúng ta biết được thông tin gửi đến không bị thay đổi? message MD5 digest MD5 = ? CuuDuongThanCong.com https://fb.com/tailieudientucntt 13 Xác thực mức cao - tạo chữ ký số Bản tóm lược Hàm băm Gắn với thông điệp dữ liệu Mã hóa Thông điệp dữ liệu Khóa bí mật Chữ ký số Thông điệp dữ liệu được ký số CuuDuongThanCong.com https://fb.com/tailieudientucntt 14 Thẩm định chữ ký số Bản tóm lược Hàm băm Tách Giải mã Thông điệp dữ liệu Khóa công khai Chữ ký số Thông điệp dữ liệu ... t 34 V.3.2. Bức tƣờng lửa (Firewall) Firewall là một hệ thống dùng để tăng cường khống chế truy xuất, phòng ngừa đột nhập bên ngoài vào hệ thống sử dụng tài nguyên của mạng một cách phi pháp. Tất cả thông tin đến và đi nhất thiết phải đi qua Firewall và chịu sự kiểm tra của bức tường lửa. Firewall có 5 chức năng lớn sau: Lọc gói dữ liệu đi vào/ra mạng lưới. Quản lý hành vi khai thác đi vào/ra mạng lưới Ngăn chặn một hành vi bất hợp pháp nào đó. Ghi chép nội dung tin tức và hoạt động qua bức tường lửa. Tiến hành đo thử giám sát và cảnh báo sự tấn công đối với mạng lưới. CuuDuongThanCong.com https://fb.com/tailieudientucntt 35 Ƣu điểm, nhƣợc điểm của bức tƣờng lửa a. Ưu điểm: Bảo vệ mạng nội bộ. Cho phép người quản trị mạng xác định một điểm khống chế ngăn chặn để phòng ngừa tin tặc, kẻ phá hoại, xâm nhập mạng nội bộ. Cấm không cho các loại dịch vụ kém an toàn ra vào mạng, đồng thời chống trả sự công kích đến từ các đường khác. Tính an toàn tập trung, tính an toàn mạng được củng cố trên hệ thống Firewall mà không phải phân bố trên tất cả máy chủ của mạng. Bảo vệ những dịch vụ yếu kém trong mạng. Firewall dễ dàng giám sát tính an toàn mạng và phát ra cảnh bảo. Firewall có thể giảm đi vấn đề không gian địa chỉ và che dấu cấu trúc của mạng nội bộ. Tăng cường tính bảo mật, nhấn mạnh quyền sở hữu. Firewall được sử dụng để quản lý lưu lượng từ mạng ra ngoài, xây dựng phương án chống nghẽn. b. Nhược điểm Hạn chế dịch vụ có ích, vì để nâng cao tính an toàn mạng, người quản trị hạn chế hoặc đóng nhiều dịch vụ có ích của mạng. Không phòng hộ được sự tấn công của kẻ phá hoại trong mạng nội bộ. Không thể ngăn chăn sự tấn công thông qua những con đường khác ngoài bức tường lửa. Firewall Internet không thể hoàn toàn phòng ngừa được sự phát tán phần mềm hoặc tệp đã nhiễm virus. CuuDuongThanCong.com https://fb.com/tailieudientucntt 36 Lọc gói tin tại firewall CuuDuongThanCong.com https://fb.com/tailieudientucntt 37 V.3.3. Các loại Firewall Firewall lọc gói: - Thường là một bộ định tuyến có lọc. - Khi nhận một gói dữ liệu, nó quyết định cho phép qua hoặc từ chối bằng cách thẩm tra gói tin để xác định quy tắc lọc gói dựa vào các thông tin của Header để đảm bảo quá trình chuyển phát IP. Firewall cổng mạng hai ngăn: - Là loại Firewall có hai cửa nối đến mạng khác. - Ví dụ một cửa nối tới một mạng bên ngoài không tín nhiệm còn một cửa nối tới một mạng nội bộ có thể tín nhiệm. - Đặc điểm lớn nhất Firewall loại này là gói tin IP bị chặn lại. Firewall che chắn (Screening): - Máy chủ bắt buộ ó sự kết nối tới tất cả máy chủ bên ngoài với máy chủ kiên cố, không cho phép kết nối trực tiếp với áy chủ nội bộ. - Firewall che chắn máy chủ là do bộ định tuyến lọc gói và máy chủ kiên cố hợp thành. - Hệ thống Firewall có cấp an toàn cao hơn so với hệ thống Firewall lọc gói thông thường vì nó đảm bảo an toàn tầng mạng (lọc gói) và tầng ứng dụng (dịch vụ đại lý). Firewall e chắn mạng con: - Hệ thống Firewall che chắn mạng con dùng hai bộ định tuyến lọc gói và một máy chủ kiên cố, cho phép thiết lập hệ thống Firewall an toàn nhất, vì nó đảm bảo chức năng an toàn tầng mạng v tầng ứng dụng. CuuDuongThanCong.com https://fb.com/tailieudientucntt 38 V.3.4. Kỹ thuật Firewall Lọc khung (Frame Filtering): Hoạt động trong tầng 2 của mô hình OSI, có thể lọc, kiểm tra được ở mức bit và nội dung của khung tin (Ethernet/802.3, Token Ring 802.5, FDDI,...). Trong tầng này các khung dữ liệu không tin cậy sẽ bị từ chối ngay trước khi vào mạng - Một số Firewall hoạt động ở tầng mạng (tương tự như một Router) thường cho phép tốc độ xử lý nhanh vì chỉ kiểm tra địa chỉ IP nguồn mà không thực hiện lệnh trên Router, không xác định địa chỉ sai hay bị cấm. - Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin mang địa chỉ nguồn là địa chỉ giả thì nó sẽ chiếm được quyền truy nhập vào hệ thống. - Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, ngoài trường địa chỉ IP được kiểm tra, còn có các thông tin khác được kiểm tra với các quy tắc được tạo ra trên Firewall, các thông tin này có thể là thời gian truy nhập, giao thức sử dụng, cổng ... Lọc gói (Packet Filtering): Kiểu Firewall chung nhất là kiểu dựa trên tầng mạng của mô hình OSI. Lọc gói cho phép hay từ chối gói tin mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các quy định của lọc Packet hay không. Các quy tắc lọc Packet dựa vào các thông tin trong Packet Header. CuuDuongThanCong.com https://fb.com/tailieudientucntt 39 III.5. Kỹ thuật Proxy Là hệ thống Firewall thực hiện các kết nối thay cho các kết nối trực tiếp từ máy khách yêu cầu. Proxy hoạt động dựa trên phần mềm. Khi một kết nối từ một người sử dụng nào đó đến mạng sử dụng Proxy thì kết nối đó sẽ bị chặn lại, sau đó Proxy sẽ kiểm tra các trường có liên quan đến yêu cầu kết nối. Nếu việc kiểm tra thành công, có nghĩa là các trường thông tin đáp ứng được các quy tắc đã đặt ra, nó sẽ tạo một cầu kết nối giữa hai node với nhau. Ưu điểm của kiểu Firewall loại này là không có chứ năng chuyển tiếp các gói tin IP, và có thể điểu khiển một cách chi tiết hơn các kết nối thông qua Firewall. Cung cấp nhiều công cụ cho phép ghi lại các quá trình kết nối. Các gói tin chuyển qua Firewall đều được kiểm tra kỹ lưỡng với các quy tắc trên Firewall, điều này phải trả giá cho tốc độ xử lý. Khi một máy chủ nhận các gói tin từ mạng ngoài rồi chuyển chúng vào mạng trong, sẽ tạo ra một lỗ hổng cho các kẻ phá hoại (Hacker) xâm nhập từ mạng ngoài vào mạ trong. Nhược điểm của kiểu Firewall này là hoạt động dựa trên trình ứng dụng uỷ quyền (Proxy). CuuDuongThanCong.com https://fb.com/tailieudientucntt 40 V.4. Mạng riêng ảo (VPN-Virtual Private Network) 1. Khái niệm 2. Kiến trúc của mạng riêng ảo 3. Những ưu điểm của mạng VPN 4. Giao thức PPTP (Point to Point Tunnelling Protocol) 5. Giao thức L2F (Layer Two Forwarding Protocol) 6. Giao thức L2TP (Layer Two Tunnelling Protocol) 7. Giao thức IPSEC CuuDuongThanCong.com https://fb.com/tailieudientucntt 41 V.4.1. Khái niệm mạng riêng ảo Mạng máy tính ban đầu được triển khai với 2 kỹ thuật chính: đường thuê riêng (Leased Line) cho các kết nối cố định và đường quay số (Dial-up) cho các kết nối không thường xuyên. Các mạng này có tính bảo mật cao, nhưng khi lưu lượng thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình thành một kiểu mạng dữ liệu mới, mạng riêng ảo. Mạng riêng ảo được xây dựng trên các kênh logic có tính “ảo”. Xu hướng hội tụ của các mạng trên nền NGN tạo điều kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch vụ mạng riêng ảo. Mạng riêng ảo là một mạng máy tính, trong đó các điểm của khách hàng được kết nối với nhau trên một cơ sở hạ tầng chia sẻ với cùng một chính sách truy nhập và bảo mật như trong mạng riêng. CuuDuongThanCong.com https://fb.com/tailieudientucntt 42 Có 2 dạng chính mạng riêng ảo VPN là: Remote Access VPN: cho phép thực hiện các kết nối truy nhập từ xa đối với người sử dụng di động (máy tính cá nhân hoặc các Personal Digital Assistant) với mạng chính (LAN hoặc WAN) qua đường quay số, ISDN, đường thuê bao số DSL. Site- to - Site VPN: dùng để kết nối các mạng tại các vị trí khác nhau thông qua kết nối VPN. Có thể chia thành 2 loại khác: Intranet VPN kết nối các văn phòng ở xa với trụ sở chính thường là các mạng LAN với nhau. Extranet VPN là khi Intranet VPN của một khách hàng mở rộng kết nối với một Intranet VPN khác. V.4.1. Khái niệm mạng riêng ảo CuuDuongThanCong.com https://fb.com/tailieudientucntt 43 Bảo mật là một yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn và hiệu quả. Kết hợp với các thủ tục xác thực người dùng, dữ liệu được bảo mật thông qua các kết nối đường hầm (Tunnel) được tạo ra trước khi truyền dữ liệu. Tunnel là kết nối ảo điểm - điểm (Point to Point) và làm cho mạng VPN hoạt động như một mạng riêng. Dữ liệu truyền trên VPN có thể được mã hoá theo nhiều thuật toán khác nhau với các độ bảo mật khác nhau. Người quản trị mạng có thể lựa chọn tuỳ theo yêu cầu bảo mật và tốc độ truyền dẫn. Giải pháp VPN được thiết kế phù hợp cho những tổ chức có xu hướng tăng khả năng thông tin từ xa, các hoạt động phân bố trên phạm vi địa lý rộng và có các cơ sở dữ liệu, kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao. V.4.1. Khái niệm mạng riêng ảo CuuDuongThanCong.com https://fb.com/tailieudientucntt 44 V.4.2. Kiến trúc của mạng riêng ảo Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là: Đường hầm (Tunnelling) cho phép làm “ảo” một mạng riêng. Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tư. Đường hầm: Là kết nối giữa 2 điểm cuối khi cần thiết. Khi kết nối này sẽ được giải phóng khi không truyền dữ liệu dành băng thông cho các kết nối khác. Kết nối này mang tính logic “ảo” không phụ thuộc vào cấu trúc vật lý của mạng. Nó che giấu các các thiết bị như bộ định tuyến, chuyển mạch và trong suốt đối với người dùng. CuuDuongThanCong.com https://fb.com/tailieudientucntt 45 Cấu trúc một đƣờng hầm CuuDuongThanCong.com https://fb.com/tailieudientucntt 46 Đƣờng hầm trong các cấu trúc LAN và Client CuuDuongThanCong.com https://fb.com/tailieudientucntt 47 Cách thức tạo đƣờng hầm Đường hầm được tạo ra bằng cách đóng gói các gói tin (Encapsulate) để truyền qua Internet. Đóng gói có thể mã hoá gói gốc và thêm vào tiêu đề IP mới cho gói. Tại điểm cuối, dạng gói tin tạo đường hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu. Đường hầm có 2 loại: Thường trực (Permanent) và tạm thời (Temporary hay Dynamic). Thông thường các mạng riêng ảo VPN sử dụng dạng đường hầm động. Đường hầm động rất hiệu quả cho VPN, vì khi không có nhu cầu trao đổi thông tin thì được huỷ bỏ. Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN- to - LAN tại các cổng bảo mật (Security Gateway), khi đó người dùng trên các LAN có thể sự dụng đường hầm này. Còn đối với trường hợp Client- to - LAN, thì Client phải khởi tạo việc xây dựng đường hầm trên máy người dùng để thông tin với cổng bảo mật để đến mạng LAN đích. CuuDuongThanCong.com https://fb.com/tailieudientucntt 48 V.4.3. Những ƣu điểm của mạng VPN Chi phí: Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đường dài bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN vừa truy nhập Internet. Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cao nhất. Giảm nhiều chi phí quản lý, bảo trì hệ thống. Truy hập dễ dàng: Người sử dụng trên VPN, ngoài việc sử dụng các tài nguyên trên VPN còn được sử dụng các dịch vụ khác của Internet mà không cần quan tâm đến phần phức tạp ở tầng dưới. CuuDuongThanCong.com https://fb.com/tailieudientucntt 49 V.4.4. Giao thức PPTP (Point to Point Tunnelling Protocol) PPP là giao thức tầng 2-Data link, truy nhập mạng WAN như HDLC, SDLC, X.25, Frame Relay, Dial on Demand. PPP có thể sử dụng cho nhiều giao thức lớp trên như TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP - Network Control Protocol. PPP sử dụng Link Control Protocol để thiết lập và điều khiển các kết nối. PPP sử dụng giao thức xác thực PAP hoặc CHAP. PPTP dựa trên PPP để thực thi các chức năng sau: Thiết lập và kết thúc kết nối vât lý. Xác thực người dùng Tạo gói dữ liệu PPP. CuuDuongThanCong.com https://fb.com/tailieudientucntt 50 V.4.5. Giao thức L2F (Layer Two Forwarding Protocol) Giao thức L2FP do hãng Cisco phát triển, dùng để truyền các khung SLIP/PPP qua Internet. L2F hoạt động ở tầng 2 (Data Link) trong mô hình OSI. Cũng như PPTP, L2F được thiết kế như là một giao thức Tunnel, sử dụng các định nghĩa đóng gói dữ liệu riêng của nó để truyền các gói tin ở mức 2. Một sự khác nhau giữa PPTP và L2F là tạo Tunnel trong giao thức L2F không phụ thuộc vào IP và GRE, điều này cho phép nó làm việc với các môi trường vật lý khác nhau. Cũng như PPTP, L2F sử dụng chức năng của PPP để cung cấp một kết nối truy cập từ xa và kết nối này có thể được đi qua một tunnel thông qua Internet để tới đích. Tuy nhiên T định nghĩa giao t ức tạo tun el riêng của nó, dựa trên cơ cấu của L2F. Cơ cấu này tiếp tục định nghĩ việc t uyền L2TP qua các mạng chuyển mạch gói như X25, Frame Relay và ATM. Mặc dù nhiều cách thực hiện L2TP tập trung vào việc sử dụng giao thức UDP trên ạng IP, ta vẫn có khả năng thiết lập một hệ thống L2TP không sử dụng IP. Một mạng sử dụng ATM hoặc Frame Relay cũng có thể được triển khai cho các tunnel L2TP. Giao thức L2TP được sử dụng để xác thực người sử dụng Dial-up và Tunnel các kết nối SLIP/PPP qua Internet. Vì L2TP là giao thức lớp 2, nên hỗ trợ cho người sử dụng các khả năng mềm dẻo như PPTP trong việc truyền tải các giao thức không phải là IP, ví dụ như là IPX và NETBEUI. CuuDuongThanCong.com https://fb.com/tailieudientucntt 51 V.4.7. Giao thức IPSEC IPSec bảo đảm tính tin cậy, tính toàn vẹn và tính xác thực truyền dữ liệu qua mạng IP công cộng. IPSec định nghĩa 2 loại tiêu đề cho gói IP điều khiển quá trình xác thực và mã hóa: Một là xác thực tiêu đề Authentication Header (AH), hai là đóng gói bảo mật tải Encapsulating Security Payload (ESP). Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu. Đóng gói bảo mật tải ESP thực hiện mã hóa và đảm bảo tính toàn vẹn cho gói dữ liệu nhưng không bảo vệ tiêu đề cho gói IP như AH. IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa thuận liên kết bảo mật SA giữa hai thực thể và trao đổi các thông tin khóa. IKE cần được sử dụng phần lớn các ứng dụng thực tế để đem lại thông tin liên lạc an toàn trên diện rộng. CuuDuongThanCong.com https://fb.com/tailieudientucntt 52 Thanksss CuuDuongThanCong.com https://fb.com/tailieudientucntt
File đính kèm:
- an_ninh_mang_chuong_5_bao_dam_an_toan_mang.pdf