Câu hỏi ôn tập môn An toàn bảo mật hệ thống thông tin (Có đáp án)

I) – chuỗi bit có mục đích cung cấp cho bên nhận biết cần phải lựa chọn SA nào bên nhận để xử lý thông tin đến. -SA là đơn hướng -SA định nghĩa các thao tác trong truyền thông trên 1 hướng -Truyền thông 2 hướng cần 1 cặp SA (ví dụ kênh an toàn) -Hai SAs sử dụng chung một số tham số, nhưng sử dụng 2 bộ khóa khác nhau -Mỗi hệ thống IPSec có một CSDL SA Security Association Database (SAD) -SAD định nghĩa các tham số gắn với mỗi SA -SAD chứa các cặp SA, vì mỗi SA chỉ có một chiều b)Security Association Database (SAD) và Security Policy Database (SPD) *Security Association Database (SAD) -Với mỗi cài đặt IPSec có một Security Association Database (SAD) -SAD xác định các tham số liên kết với mỗi SA. Nắm giữ thông tin liên quan đến mỗi SA. Thông tin này bao gồm thuật toán khóa, thời gian sống của SA, và chuỗi số tuần tự -SAD lưu trữ các cặp SA, bởi vì các SAs là đơn hướng -Thông số bản ghi SAD +Sequence number counter: 32 bit sử dụng để tạo Sequence number cho AH hoặc ESP +Sequence counter overflow: cờ cho biết trạng thái overflow của giá trị counter +Anti-replay window: được dùng để xác định các gói tin AH hoặc ESP có phải là gói gửi lại ko +AH information: thông tin AH như thuật toán, khóa.. +ESP information: thông tin của ESP như thuật toán, khóa... +Lifetime: thời gian tồn tại của SA trước khi tạo một SA khác +IPSec protocol mode: kiểu giao thức như tunnels, transport... +Path MTU: kích thước gói tin lớn nhất *SPD(Security policy database) -Cung cấp sự linh hoạt trong việc áp dụng các dịch vụ IPSec cho lưu lượng IP -Có thể phân biệt giữa lưu lượng được áp dụng sự bảo vệ của IPSec và lưu lượng được bỏ qua bởi IPSec -Security Policy Database (SPD) là phương tiện để kết nối lưu lượng IP với các SA tương ứng -Mỗi bản ghi định nghĩa 1 tập con của lưu lượng IP và trỏ tới 1 SA cho phần lưu lượng đó -Những bộ lọc này được dùng để lọc lưu lượng ra nhằm ánh xạ nó vào 1 SA cụ thể -Các trường trong SPD +Destination IP address +Source IP address +User ID: người dùng IPSec (trường hợp hoạt động trong môi trường hệ điều hành) +Data sensitivity level: hai giá trị secret hoặc unclassified +Transport layer protocol: trích từ header IP (v4 hoặc v6) +IPSec protocol – AH hoặc ESP hoặc AH/ESP +Source and destination ports +IPv6 class: trích từ IPv6 header +IPv6 flow label: trích từ IPv6 header IPv4 type of service (TOS): trích từ IPv4 header -Xử lý gói tin đi ra: +So sánh các trường trong gói tin để tim bản ghi SPD khớp +Xác định SA và chỉ số SPI tương ứng +Thực hiện các xử lý IPSec cần thiết Câu 12Trình bày về chế độ Transport và Tunnel trong IP Security: Khái niệm và đặc điểm của chế độ Transport và Tunnel. Phạm vị áp dụng của AH và EPS trong chế độ Transport và Tunnel. Khi nào sử dụng chế độ Transport hay Tunnel. a)Khái niệm: -Transport – bảo vệ dữ liệu của giao thức tầng trên (không bảo vệ tiêu đề, chỉ bảo vệ dữ liệu) -Tunnel – bảo vệ toàn bộ gói tin (kể cả tiêu đề) *Các chế độ hoạt động của IPSec (IPSec model) 2 chế độ: * Transport: +Bảo vệ toàn bộ phần dữ liệu của gói tin IP +Thường sử dụng trong truyền end – to – end +Các giao thức tầng trên chủ yếu: TCP, UDP, ICMP +Với AH hay ESP thì payload là dữ liệu theo tiêu đề IP header (IPv4) và phần mở rộng của IPv6 +Mã hóa hay xác thực dữ liệu, nhưng không phải IP header * Tunnel: +Bảo vệ toàn bộ gói tin +Thêm vào gói IP mới một tiêu đề mới: toàn bộ gói tin cũ được xem như dữ liệu +Gói tin được xem như chuyển qua đường hầm từ điểm tới điểm trên mạng +Các trường AH hay ESP được bổ sung tới gói IP và toàn bộ gói được xử lý như dữ liệu b)Phạm vi sử dụng: Transport model Tunnel model AH Chứng thực phần dữ liệu IP, các phần được chọn của tiêu đề IP và các tiêu đề mở rộng IPv6 Chứng thực toàn bộ gói tin cũ và một phần tiêu đề mới ESP Mã hóa phần dữ liệu IP và bất kỳ phần tiêu đề mở rộng của IPv6 nào theo tiều đề ESP Mã hóa toàn bộ gói tin cũ ESP Authentication Mã hóa phần dữ liệu. Chứng thực phần dữ liệu (không có tiêu đề) Mã hóa và trứng thực toàn bộ gói tin cũ c) Câu 13:Trình bày về giao thức AH trong IP Security: Khái niệm AH, các dịch vụ an toàn cung cấp bởi AH, lợi ích của AH. Cách áp dụng AH vào gói tin IP, cấu trúc tiêu đề AH, ý nghĩa các trường. Kỹ thuật chống tấn công gửi lặp bằng cửa sổ chống gửi lặp (anti-replay window). a) Khái niệm AH: AH (Authentication Header) là một trong những giao thức bảo mật, cung cấp tính năng đảm bảo toàn vẹn packet headers và data, xác thực nguồn gốc dữ liệu. Giao thức AH không có tính năng mã hoá dữ liệu.  *Các dịch vụ an toàn cung cấp bởi AH : -Cung cấp dịch vụ toàn vẹn dữ liệu và chứng thực cho gói tin IP -Có thể phát hiện ra các thay đổi dữ liệu trong quá trình truyền -Chứng thực người dùng hoặc ứng dụng, qua đó thực hiện lọc lưu lượng tương ứng -Ngăn chặn các tấn công giả mạo địa chỉ -Bảo vệ, chống lại tấn công gửi lặp *Lợi ích của AH:Tiêu đề đơn giản b).Cách áp dụng AH vào gói tin IP : -AH có 2chế độ là : Transport và Tunnel IP header TCP Data *Chế độ Transport : - IPv4: AH được chèn vào ngay sau IP header nguyên bản - IPv6: AH được xem như một phần dữ liệu IP (tiêu đề mở rộng) IPHeader AH TCP Data *Tunnel mode: - Toàn bộ gói tin IP được chứng thực -AH được thêm vào sau ip header mới *Cấu trúc tiêu đề AH , ý nghĩa các trường : -Next Header : Trường này dài 8 bits , chứa chỉ số giao thức IP. Trong Tunnel Mode, Payload là gói tin IP , giá trị Next Header được cài đặt là 4. Trong Transport Mode , Payload luôn là giao thức Transport-Layer. Nếu giao thức lớp Transport là TCP thì trường giao thức trong IP là 6. Nếu giao thức lớp transport là UDP thì trường giao thức trong IP là 17.  -Payload Length : Trường này chứa chiều dài của AH Header. -Reserved : giá trị này được dành để sử dụng trong tương lai ( cho đến thời điểm này nó được biểu thị bằng các chỉ số 0). -Security parameter Index (SPI) : mỗi đầu cuối của mỗi kết nối IPSec tuỳ ý chọn giá trị SPI. Hoạt động này chỉ được dùng để nhận dạng cho kết nối. Bên nhận sử dụng giá trị SPI cùng với địa chỉ IP đích và loại giao thức IPSec (trường hợp này là AH) để xác định chính sách SA được dùng cho gói tin (Có nghĩa là giao thức IPSec và các thuật toán nào được dùng để áp cho gói tin).  -Sequence Number : chỉ số này tăng lên 1 cho mỗi AH datagram khi một host gửi có liên quan đến chính sách SA. Giá trị bắt đầu của bộ đếm là 1. chuỗi số này không bao giờ cho phép ghi đè lên là 0. -Authentication Data: Trường này chứa kết quả của giá trị Integrity Check Value (ICV). Trường này luôn là bội của 32-bit (từ) và phải được đệm vào nếu chiều dài của ICV trong các bytes chưa đầy.  3.Kỹ thuật chống tấn công gửi lặp bằng cửa sổ chống gửi lặp (anti-replay window) : *Tấn công gửi lặp: – Bắt giữ 1 bản sao của gói tin đã được chứng thực và sau đó gửi lặp lại gói tin đến nút đích. -Mục đích là làm tổn hại dịch vụ -Số trình tự được dùng để ngăn chặn kiểu tấn công này *Quá trình chống tấn công gửi lặp : Bên gửi khởi tạo bộ đếm số trình tự về 0 và tăng lên 1 mỗi khi có 1 gói tin được gửi +Khi số trình tự tăng đến 2mũ32, thay SA mới +IP là giao thức không kết nối, dịch vụ không tin cậy +Bên nhận duy trì dữ liệu nhận qua một “cửa sổ” có kích thước W với cạnh phải của cửa sổ là N, số trình tự lớn nhất đã nhận được cho đến thời điểm hiện tại. +Nếu gói tin nhận được nằm trong cửa sổ và là gói tin mới, -> kiểm tra chứng thực, nếu đạt yêu cầu -> đánh dấu vào ô +Nếu gói tin nhận được nằm về bên phải cửa sổ, thực hiện kiểm tra chứng thực và dịch chuyển cửa sổ lên vị trí mới là số trình tự gói tin mới +Nếu gói tin nhận được nằm về bên trái cửa sổ, hoặc chứng thực không đạt -> hủy gói tin và đánh dấu sự việc. Câu 14:Trình bày về giao thức ESP trong IP Security: Khái niệm ESP, các dịch vụ an toàn cung cấp bởi ESP. Cách áp dụng ESP vào gói tin IP, cấu trúc tiêu đề ESP, ý nghĩa các trường. Giá trị mã chứng thực (ICV - Integrity Check Value) trong ESP (và AH) được tạo như thế nào a)Khái niệm: -ESP là giao thức IPSec cung cấp tính bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn dữ liệu các gói tin IP, nó cũng cung cấp chức năng bảo vệ chống lại các cuộc tấn công replay + Cơ chế hoạt động của nó là chèn một tiêu đề mới — tiêu đề ESP —vào sau một tiêu đề IP (và bất kỳ tuỳ chọn IP nào) và trước dữ liệu được bảo vệ, dành cho cả giao thức tầng trên và bó dữ liệu IP toàn phần. *Các dịch vụ an toàn : + Cung cấp dịch vụ bảo mật + Bảo mật nội dung bản tin và bảo mật chống lại việc phân tích thông tin +Cung cấp dịch vụ chứng thực b)Cách áp dụng gói tin ESP vào gói tin IP: -ESP không bảo vệ tiêu đề của gói tin IP. ESP hoạt động trực tiếp trên đầu IP bằng cách sử dụng giao thức IP. -ESP cung cấp tính năng bảo mật bằng cách sử dụng các thuật toán mã hóa khóa đối xứng như DES, 3DES và AES. Các khối mã hóa 64-bit của tin nhắn gốc có thể được móc nối lại với nhau bằng cách sử dụng phương pháp móc xích khối mã hóa (CBC) hoặc CFB. Biện pháp này đạt khả năng chống replay và bảo vệ tính toàn vẹn dữ liệu lớn hơn. -ESP xác định một tiêu đề chứng thực được lập sẵn, dưới dạng một HMAC có khóa. HMAC này được chèn vào phần tiêu đề ESP để cung cấp dịch vụ bảo vệ tính toàn vẹn và chứng thực dữ liệu cho lưu lượng xử lý ESP. IPsec có tất cả các thành phần cần thiết cho việc xây dựng một HMAC như một khóa bí mật được chia sẻ (thường được chia sẻ thông qua giải pháp trao đổi Diffie-Hellman), một hàm băm (IPsec RFC tiếp nhận MD 5 và SHA-1), và đầu vào tin nhắn cố định.  *Cấu trúc tiêu đề ESP và ý nghĩa các trường : ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin. ESP Header được cấu thành bởi hai trường : SPI và Sequence Number. -SPI (32 bits) : mỗi đầu cuỗi của mỗi kêt nối IPSec được tuỳ chọn giá trị SPI. Phía nhận sử dụng giá trị SPI với địa chỉ IP đích và giao thức IPSec để xác định chính sách SA duy nhất mà nó được áp cho gói tin.  -Sequence Number : thưòng được dùng để cung cấp dịch vụ anti-replay. Khi SA được thiết lập, chỉ số này được khởi đầu về 0. Trước khi mỗi gói tin được gửi, chỉ số này luôn tăng lên 1 và được đặt trong ESP header. -Phần kế tiếp của gói tin là Payload, nó được tạo bởi Payload data (được mã hoá) và IV không được mã hoá). Giá trị của IV trong suốt quá trình mã hoá là khác nhau trong mỗi gói tin. phần thứ ba của gói tin là ESP Trailer, nó chứa ít nhất là hai trường. -Padding ( 0-255 bytes) : được thêm vào cho đủ kích thước của mỗi gói tin.  -Pad length: chiều dài của Padding -Next header : Trong Tunnel mode, Payload là gói tin IP, giá trị Next Header được cài đặt là 4 cho IP-in-IP. Trong Transport mode, Payload luôn là giao thức lớp 4. Nếu giao thức lớp 4 là TCP thì trường giao thức trong IP là 6, giao thức lớp 4 là UDP thì trường giao thức IP là 17. Mỗi ESP Trailer chứa một giá trị Next Header. -Authentication data : trường này chứa giá trị Integrity Check Value (ICV) cho gói tin ESP. ICV được tính lên toàn bộ gói tin ESP công nhận cho trường dữ liệu xác thực của nó. ICV bắt đầu trên ranh giới 4-byte và phải là bội số của 32-bit (đơn vị từ).  4.Giá trị mã chứng thực trong ESP +Giữ trong trường Authentication Data +ICV là Message Authentication Code (MAC) +Một phiên bản bị cắt bớt của mã được tạo ra bởi thuật toánMAC +Giá trị HMAC được tình bởi chỉ 96 bit đầu tiên :HMAC-MD5-96,HMAC-SHA-1-96 +MAC được tính theo trường không thay đổi. Ví dụ địac chỉ nguồn trong IPv4 Câu 15 Trình bày về kết hợp SA trong IP Security: Khái niệm về kết hợp SA, tại sao cần phải kết hợp SA. Các phương pháp kết hợp Transport Adjacency và Iterated Tunneling. Bốn tình huống kết hợp SA phổ biến trong thực tế. a)Khái niệm: -SA được áp dụng cho AH hoặc ESP, nhưng không áp dụng đồng thời cho cả 2 -Với các trường hợp có yêu cầu sử dụng cả hai dịch vụ, cần nhiều SA cho một luồng dữ liệu trao đổi - SA có thể cung cấp các dịch vụ bảo mật cho một phiên VPN được bảo vệ bởi AH hoặc ESP. Do vậy, nếu một phiên cần bảo vệ kép bởi cả hai AH và ESP, 2 SA phải được định nghĩa cho mỗi hướng. -Việc thiết lập này của SA được gọi là SA bundle. -Security Association Bundle chỉ một chuỗi các SA được sử dụng -Các SA trong chuỗi có thể kết cuối tại cùng một điểm hoặc tại nhiều điểm cuối khác nhau *Việc kết hợp SA giúp cung cấp các dịch vụ bảo mật an toàn cho các thông tin gửi nhận giữa 2 bên. b)Hai phương pháp kết hợp: -Transport Adjacency: – áp dụng nhiều giao thức an ninh vào cùng 1 gói tin IP mà không thiết lập đường hầm, chỉ dùng 1 mức kết hợp, không lồng nhau -Iterated Tunneling– áp dụng nhiều lớp bảo mật thông qua thiết lập đường hầm, nhiều lớp bảo mật lồng nhau *Transport Adjacency -Ứng dụng ESP với lựa chọn authentication -Sử dụng 2 Sas cho ESP và AH ở chế độ Transport +Áp dụng ESP sau đó AH bên ngoài +Ưu điểm: Chứng thực thêm một số trường của tiêu đề IP *Iterated Tunneling -Áp dụng AH bên trong theo transport -Áp dụng ESP bên ngoài theo Tunnel c)Một số phương án kết hợp phổ biến trong thực tế *TH1 +Dịch vụ an toàn được áp dụng tại các host (không áp dụng tại Gatewway) +Các hình thức kết hợp a.AH với Transport b.ESP với Transport c.AH+ESP Transport d.Bất kỳ một trong các trường hợp a, b, c và AH hay ESP với tunnel *TH2 -Dịch vụ an toàn được áp dụng tại các Gatewway(không áp dụng tại host) -Áp dụng cho VPN -Chỉ tạo một đường hầm (AH, ESP, ESP với Authen) *TH3 -Xây dựng trên cơ sở TH2, bổ sung thêm dịch vụ bảo mật trực tiếp giữa các host -Đường hầm ESP giữa 2 Gateway -Hai host có thể thực thi thêm các giao thức an toàn trực tiếp (AH|ESP) *TH4 -Cung cấp dịch vụ truy cập từ xa an toàn qua Internet -Chỉ tạo một đường hầm giữa Remotehost và Localhost có thể thực thi thêm một số dịch vụ an toàn trực tiếp -1 hoặc 2 Sas có thể được sử dụng giữa remote host và localhost Câu 16:Trình bày về giao thức ISAKMP (Internet Security Association and Key Management) trong IP Security:Khái niệm ISAKMP, tại sao cần có giao thức ISAKMP. Cách sử dụng ISAKMP, cấu trúc gói tin ISAKMP, cấu trúc các tải tin ISAKMP, ý nghĩa các trường. Năm kiểu trao đổi ISAKMP (Base, Identity Protection, Authentication Only, Aggressive, Informational). a)Khái niệm ISAKMP, tại sao cần có giao thức ISAKMP *Khái niệm: ISAKMP là viết tắt của Internet Security Association and Key Management. -Định nghĩa các thủ tục và các định dạng gói tin trong việc thiết lập, đàm phán, chỉnh sửa, hủy bỏ các SAs. SAs chứa tất cả các thông tin được yêu cầu cho việc thự thi của nhiều dịch vụ bảo mật mạng như dịch vụ tầng IP (giống như việc đóng gói các payload và xác thực các header), vận chuyển hoặc các dịch vụ tầng ứng dụng hoặc bảo vệ chính quá trình điều đình của nó. -Định nghĩa các tải tin dùng trong việc trao đổi khoá và các thông tin an toàn khác mà các thông tin này độc lập với kỹ thuật tạo ra khoá, thuật toán mã hoá và cơ chế xác thực. *Tại sao cần có ISAKMP: -ISAKMP phân biệt với các giao thức trao đổi khoá khác để tách các chi tiết về quản lý kết hợp bảo mật (và quản lý khoá) từ các chi tiết về trao đổi khoá.ISAKMP có thể được thực thi trên bất cứ trao thức truyền thông nào. -ISAKMP hỗ trợ việc đàm phán của các SA về cá