Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng Internet. Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet). Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet). Theo dõi luồng dữ liệu mạng giữa Internet và Intranet. Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập. Kiểm soát người sử dụng và việc truy nhập của người sử dụng. Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.

Các kĩ thuật điều khiển truy cập:

- Server Control : Điều khiển theo hướng dịch vụ(Internet), đi vào hoặc ra

-Direction Control : Điều khiển theo chiều của dịch vu.

-User Control : điều khiển truy cập dịch vụ theo người dung.

-Behavior Control : điều khiển theo hành vi (cách các dịch vụ được sử dụng như thế nào)

Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:  Bộ lọc packet (packet-filtering router) Cổng ứng dụng (application-level gateway hay proxy server) Cổng mạch (circuite level gateway) Bộ lọc paket (Paket filtering router).

-Phân loại các chương trình mã độc : hai loại

• Các đoạn mã độc cần một chương trình chủ để ký sinh – coi như một phần của chương trình chủ.
• Chương trình mã độc đứng độc lập.

- Phân biệt virus, sâu(worm), zombie.

Cho phép server và client xác thực và thỏa thuận

các thông tin về mã hóa và chứng thực bản tin

 Giao thức này được dùng trước khi việc gửi nhận

dữ liệu bắt đầu

 Thủ tục handshake chứa một chuỗi các message

gửi nhận

 Các message chứa 3 trường dữ liệu: type, length

và content

1 byte                                       3bytes                          >=0bytes

Handshake Protocol

-Các giai đoạn trong qtrinh bắt tay của SSL Handshake

Phase 1:Thiết lập

Phase 2:Server gửi thông tin

Phase 3:Client gửi thông tin

Phase 4:Chờ cập nhập và kết thúc handshake

-Ý nghĩa các thông điệp trao đổi trong các giai đoạn của quá trình bắt tay.

Phase 1:           +  Khởi tạo kết nối và thiết lập các tính năng bảo mật

+  Client gửi bản tin client_hello với các thông số

nonce, session ID, cipher suite, phương thức

nén…

+ Server trả lại bản tin server_hello với các thông

tin nonce và một tập các tham số bảo mật đề xuất

Trao đổi khóa (Key exchanges): RSA | fixed,

ephemeral, anonymous Diffie-Hellman | Fortezza

Phase 2 : Hầu hết các bước trong phase này là tùy chọn

+  Server gửi certificate (X.509) nếu có yêu cầu nhận thực

+ Bản tin server_key_exchange được gửi nếu có yêu cầu.

+Đây chính là giá trị băm chứa tham số nonces để chống gửi lặp

+ Server có thể gửi bản tin certificate_request tới client.

Bản tin này gồm hai tham số: kiểu certificate và CA

+ Bản tin server_done (không có tham số) được gửi để kết thúc phase

+Server đợi phản hồi từ client

Phase 3: Client kiểm tra certificate nếu có yêu cầu và kiểm tra các tham số gửi từ server

+Gửi bản tin certificate tới server nếu server yêu cầu

+ Gửi bản tin client_key_exchange tới server để trao đổi thông tin khóa

+Gửi bản tin certificate_verify nếu cần để kiểm tra tính hợp lệ của khóa trong certificate

Phase 4: Đây là phiên hoàn tất việc thiết lập phiên kết nối bảo mật

+Client gửi bản tin change_cipher_spec và chuyển giá trị CipherSpec

hiện tại thành pending CipherSpec

+Client gửi bản tin finished với các giá trị đã thỏa thuận(thuật toán,

khóa, các thông tin bí mật)

+Server phải hồi lại cho client hai bản tin như trên

+ Quá trình Handshake thành công: client và server bắt đầu trao đổi      dữ liệu mã hóa

-Vấn đề an toàn Web:

+   Internet 2 chiều: dễ bị tấn công(không giống các hệ thống truyền thông cũ)

+   Độ trưc quan cao: dễ phát tán thông tin, tiết lộ bí mật, phạm vi bản quyền

+   Phức tạp về hệ thống: giao thức đơn giản nhưng các ứng dụng client/server phức tạp

+   Các điểm dễ bị tấn công: web server có thể trở thành bàn đạp cho các tấn công khác

+  Người dùng web thường không có đủ công cụ và kiến thức để phòng tránh tấn công

-          Các phương án bảo vệ dữ liệu Web:

+ Phân loại các mối đe dọa theo các vị trí: Máy chủ web, trình duyệt , dữ liệu trao đổi qua mạng

+ Bảo vệ dữ liệu trong quá trình trao đổi: IP sec

+ Secure Sockets Layer(SSL)

+ Transport Layer Security(TLS)

+Secure Electronic Transaction(SET)

Khái niệm SSL, chức năng, kiến trúc SSL

-Khái niệm SSL:

+ SSL và biến thể của nó TLS là các giao thức có thể được sử dụng để thiết lập và sử dụng một kênh truyền thông an toàn giữa hai trình ứng dụng (khách hàng – máy chủ) có trao đổi thông tin.

+ SSL là một giao thức lập mạng máy tính cung cấp tính năng chứng thực, bảo mật và đảm bảo tính toàn vẹn cho thông tin được trao đổi bởi các phương tiện sử dụng mạng máy tính.

-Kiến trúc SSL:

+ Sử dụng TCP để tạo dịch vụ truyền tin cậy

+ 2 lớp giao thức:

SSL record protocol: dịch vụ an toàn cơ bản cho các lớp trên

3 giao thức bậc cao hơn: dùng để quản lý các trao đổi SSL: Handshake protocol, change cipher spec protocol, alert protocol

Khái niệm SSL Conection và SSL Session. Các thuộc tính của SSL Connection và SSL Session

-K/n SSL conection: mối quan hệ peer to peer tại lớp transport(OSI). Các conection được thức hiện tương ứng với một phiên(session)

- K/n SSL Session: một thỏa thuận kết nối giữa client và server được tạo ra qua giao thức bắt tay

+ Định nghĩa một tập hợp các tham số mã hóa và bảo mật được dùng chung trong nhiều connections

+ Giúp tránh việc thiết lập lại thỏa thuận tại mỗi kết nối

-          Phân tách các chức năng thành 3 phần làm tăng thêm tính phức tạp của việc phân tính  bảo mật của một thực thi ISAKMP hoàn chỉnh. Tuy nhiên, phân tách rất quan trọng trong sự tương thích giữa các hệ thống với các yêu cầu bảo mật khác nhau và cũng nên đơn giản hoá việc phân tích sự phát triển xa hơn của một server ISAKMP.

Và có các kiểu trao đổi khóa như sau

Năm kiểu trao đổi ISAKMP (Base, Identity Protection, Authentication Only, Aggressive, Informational)

Base Exchange (Trao đổi cơ sở): 4 bước

1)      Ià R: SA, Nonce: Initator gửi cho Responder các thông số SA, Nonce à đề nghị SA.

2)      RàI: SA, Nonce (Nonce 1  khác Nonce 2): thống nhất SA

3)      Ià R: KE, ID_I: AUTH à tạo khoá, chứng thực thông tin

4)      R à I: KE, ID_R: AUTH à xác nhận khoá, chứng thực + kết thúc

1. 2.      Identity Protection Exchange

1)      Kjfdlsa

2)      I à R

3)      I à R: KE

4)      R à I: KI

5)      I à R: ID_I, AUTH

6)      Rà I: ID_R, AUTH

1. 3.      Authentication only Exchange: 3 bước

1)      Ià R: SA, Nonce

2)      R à I: SA, Nonce,, ID_R, AUTH

3)      I à R: ID_I, AUTH

1. 4.      Aggressive Exchange: 3 bước

1)      I à R: SA: KE, ID_I, Nonce

2)      Rà I: SA: KE, Nonce, ID_R; AUTH

3)      I à R: AUTH

1. 5.      Informational Exchange

I à R: N/D à thông tin lỗi, cảnh báo, xoá

-Bắt giữ 1 bản sao của gói tin đã được chứng thực và sau đó gửi lặp lại gói tin đến nút đích.

-Mục đích là làm tổn hại dịch vụ

-Số trình tự được dùng để ngăn chặn kiểu tấn công này

Quá trình chống tấn công gửi lặp :

Bên gửi khởi tạo bộ đếm số trình tự về 0 và tăng lên 1 mỗi khi có 1 gói tin được gửi

+Khi số trình tự tăng đến 232, thay SA mới

+IP là giao thức không kết nối, dịch vụ không tin cậy

+Bên nhận duy trì dữ liệu nhận qua một “cửa sổ” có kích thước W với cạnh phải của cửa sổ là N, số trình tự lớn nhất đã nhận được cho đến thời điểm hiện tại.

+Nếu gói tin nhận được nằm trong cửa sổ và là gói tin mới, -> kiểm tra chứng thực, nếu đạt yêu cầu -> đánh dấu vào ô

+Nếu gói tin nhận được nằm về bên phải cửa sổ, thực hiện kiểm tra chứng thực và dịch chuyển cửa sổ lên vị trí mới là số trình tự gói tin mới

+Nếu gói tin nhận được nằm về bên trái cửa sổ, hoặc chứng thực không đạt -> hủy gói tin và đánh dấu sự việc.

-Phạm vi bảo vệ chỉ áp dụng cho phần dữ liệu của gói tin IP

-Bảo vệ cho dữ liệu giao thức tầng trên – TCP, UDP, ICMP

- Chủ yếu dùng cho truyền thông giữa các trạm cuối

-Với AH hoặc ESP, dữ liệu là phần tiếp sau tiêu đề gói tin

-Mã hóa và/hoặc chứng thực dữ liệu, nhưng không áp dụng cho tiêu đề

Chế độ Tunnel:

- Bảo vệ toàn bộ gói tin

-Thêm một tiêu đề mới bên ngoài để tạo 1 gói tin IP mới bao gói tin cũ

-Các trường AH hoặc ESP được thêm vào gói tin IP và toàn bộ gói tin cũ được xem như phần dữ liệu của gói tin mới

-Gói tin được coi như truyền qua một đường hầm từ điểm này tới điểm khác trên mạng

Phạm vi ứng dụng của AH trong Transport và Tunnel:

-AH có chút khác biệt trong các phiên bản IPv4 và IPv6

-Transport mode:

• IPv4: AH được chèn vào ngay sau IP header nguyên bản
• IPv6: AH được xem như một phần dữ liệu IP (tiêu đề mở rộng)

-Tunnel mode:

• Toàn bộ gói tin IP được chứng thực
• AH được thêm vào sau ip header mới

NBS(NIST)

-Mã hóa theo từng khối 64 bits, khóa 56 bits.

-Bao gồm 16 vòng, mỗi vòng sinh ra các giá trị trung gian để dùng cho các vòng tiếp theo và hai vòng hoán vị IP, FP

-          Giải thuật DES mã hóa các khối 64bít của văn bản gốc thành 64 bit văn bản mật bằng 1 khóa.Khóa gồm 64bit trong đó 56 bits được dùng mã hóa và 8 bít còn lại được dùng để kiểm soát lỗi.Một khối dữ liệu cần mã hóa sẽ phải trải qua 3 quá trình xử lý: Hoán vị khởi đầu,tính toán phụ thuộc khóa và hoán vị đảo ngược hoán vị khởi đầu.

-          Chuẩn bị chìa khoá:
Bước đầu tiên là chuyển 64 bit chìa khoá qua một bảng hoán vị gọi là Permuted Choice hay PC-1 để thu được chìa khoá mới có 56 bit.
Sau khi vệc chuẩn bị chìa khoá và dữ liệu mã hoá hoàn thành, thực hiện mã hoá bằng thuật toán DES. Đầu tiên, khối dữ liệu đầu vào 64 bit được chia thành hai nửa, L và R. L gồm 32 bit bên trái và R gồm 32 bit bên phải. Quá trình sau đây được lặp lại 16 lần tạo thành 16 vòng của DES gồm 16 cặp L[0]-L[15] và R[0]-R[15]:
1.  R[r-1]- ở đây r là số vòng, bắt đầu từ 1- được lấy và cho qua bảng E (E-bit Selection Table), bảng này giống như một bảng hoán vị, có điều là một số bit được dùng hơn một lần do vậy nó sẽ mở rộng R[r-1] từ 32 bit lên 48 bit để chuẩn bị cho bước tiếp theo.
2.  48 bit R[r-1] được XOR với K[r] và được lưu trong bộ nhớ đệm, vì vậy R[r-1] không thay đổi.
3. Kết quả của bước trước lại được chia thành 8 đoạn, mỗi đoạn 6 bit, từ B[1] đến B[8]. Những đoạn này tạo thành chỉ số cho các bảng S (Substitution) được sử dụng ở bước tiếp theo. Các bảng S, là một bộ 8 bảng (S[1]-S[8]) 4 hàng, 16 cột. Các số trong bảng có độ dài 4 bit vì vậy có giá trị từ 0 đến 15.
4.  Bắt đầu từ B[1], bit đầu và cuối của khối 6 bit được lấy ra và sử dụng làm chỉ số hàng của bảng S[1], nó có giá trị từ 0 đến 3, và 4 bit giữa được dùng làm chỉ số cột, từ 0 đến 15. Giá trị được chỉ đến trong bảng S được lấy ra và lưu lại. Việc này được lặp lại đối với B[2] và S[2] cho đến B[8] và S[8]. Lúc này bạn có 8 số 4 bit, khi nối lại với nhau theo thứ tự thu được sẽ tạo ra một chuỗi 32 bit.
5.  Kết quả của bước trước được hoán vị bit bằng bảng hoán vị P (Permutation).
6.  Kết quả thu được sau khi hoán vị được XOR với L[r-1] và chuyển vào R[r]. R[r-1] được chuyển vào L[r].
7.  Lúc này bạn có L[r] và R[r] mới. Bạn tiếp tục tăng r và lặp lại các bước trên cho đến khi r= 17, đIều đó có nghĩa là 16 vòng đã được thực hiện và các chìa khoá phụ K[1]-K[16] đã được sử dụng.
Khi đã có L[16] và R[16], chúng được ghép lại với nhau theo cách chúng bị tách ra (L[16] ở bên trái và R[16] ở bên phải) thành 64 bit. 64 bit này được hoán vị để tạo ra kết quả cuối cùng là dữ liệu 64 bit đã được mã hoá.

Đạo với Hacker mũ trắng là chính đạo. Đạo với Hacker mũ đen là tà đạo. Vì thế mới sinh ra lắm loại hacker và mục đích của họ khác nhau đến vậy. Đừng bao giờ giới hạn bản thân bạn với cái máy tính. Hãy học một đạo thực sự. Hãy học hàng ngày như bạn đang cầu nguyện. Khi bạn có niềm tin về bản thân và những gì bạn có, hãy không ngừng luyện tập để không bao giờ quên nó. Nó không phải là thứ bạn không thể quên, những kĩ năng sẽ dần mất đi nếu bạn không luyện tập nó.

Vậy nguồn học gồm những gì:

- Thứ nhất là sách : Sách sẽ cho các bạn những góc nhìn của những người khác nhau. Những người này đều có tầm cỡ (đương nhiên rồi vì họ viết sách nổi tiếng cơ mà) và bạn sẽ biết được cách nghĩ của những tư tưởng lớn như thế nào. Và việc của bạn là tìm cho mình những quan điểm và cái nhìn đúng, cuối cùng là… làm theo.

Thứ hai là Báo và tạp chí : Các tạp chí và báo luôn là nguồn thông tin dồi dào và vô tận cho hacker. bạn có những công nghệ mới, có những phát kiến mới.

Thứ ba là các Blog: Các Blog của các hacker và các cá nhân nổi tiếng sẽ giúp các bạn cập nhật được vô số thông tin và kinh nghiệm, kiến thức các bạn có thể tìm ở trong sách, nhưng kinh nghiệm thì bạn phải tìm tai các blog.

Thứ tư là các diễn đàn: Các diễn đàn sẽ là nơi tất cả các “thầy giáo” chia sẻ miễn phí các kĩ năng và kiến thức của mình miễn phí.

Thứ năm là các nguồn của các bạn tự tìm.

Chúc các bạn thành công và tìm được “Đạo” cho riêng mình

ở ví dụ trên đây bạn thấy các khối LEi và REi được xử lý 16 lần, và với khóa khoảng 128 bit thì sẽ mất gần 5 tỉ rưỡi năm để giải mã với bộ nhớ 1 GHz. Và như vậy thì đến lúc giải mã xong, người gửi thông điệp, người nhận và hacker đã biến thành hóa thạch.