Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chínhsau: Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như Password, hoặc mã số thông
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH
Trang 2TPHCM 10/2021 MỤC LỤC
I TỔNG QUAN VỀ AN NINH MẠNG 3
1 An toàn mạng là gì? 3
2 Các đặc trưng kỹ thuật của an toàn mạng 4
3 Các lỗ hổng và điểm yếu của mạng 5
4 Các hình thức tấn công mạng phổ biến hiện nay và cách phòng tránh 6
4.1 Tấn công bằng phần mềm độc hại (Malware) 6
4.2 Tấn công giả mạo (Phishing) 7
4.3 Tấn công từ chối dịch vụ (Dos và Ddos) 9
4.4 Tấn công trung gian (Man-in-the-middle attack) 11
4.5 Khai thác lỗ hổng Zero-day 12
II Giới thiệu chung về giao thức IPSec 13
1 Khái niệm: IPSec là gì? 13
2 Sơ lược về lịch sử của IPSec 13
III Cấu trúc thông điệp của giao thức IPSec và phân tích ý nghĩa các trường tin 13
1 Định dạng tiêu đề (AH) 13
2 Đóng gói tải trọng bảo mật (ESP) 15
3 Trao đổi khóa Internet (IKE) 16
IV Phương thức hoạt động của giao thức IPSec 16
1 Transport Mode (chế độ vận chuyển) 16
2 Tunnel mode (chế độ đường hầm) 17
V Kết luận 18
1 An ninh mạng máy tính 18
2 Giao thức IPSec 18
CÁC TỪ VIẾT TẮT 19
TÀI LIỆU THAM KHẢO 20
Trang 3I TỔNG QUAN VỀ AN NINH MẠNG
1 An toàn mạng là gì?
Mục tiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa
lý khác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau Do đặcđiểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tài nguyênthông tin trên mạng, tránh sự mất mát, xâm phạm là cần thiết và cấp bách An toànmạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả các thành phần mạngbao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được
sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ nhữngngười có thẩm quyền tương ứng
Một thách thức đối với an toàn mạng là xác định chính xác cấp độ an toàn cầnthiết cho việc điều khiển hệ thống và các thành phần mạng Đánh giá các nguy cơ, các
lỗ hổng khiến mạng có thể bị xâm phạm thông qua cách tiếp cận có cấu trúc Xác địnhnhững nguy cơ ăn cắp, phá hoại máy tính, thiết bị, nguy cơ virus, bọ gián điệp , nguy
cơ xoá, phá hoại CSDL, ăn cắp mật khẩu, nguy cơ đối với sự hoạt động của hệ thốngnhư nghẽn mạng, nhiễu điện tử Khi đánh giá được hết những nguy cơ ảnh hưởng
Trang 4tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo anninh mạng.
Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall ) và những biệnpháp, chính sách cụ thể chặt chẽ
Về bản chất có thể phân loại các vi phạm thành hai loại vi phạm thụ động và viphạm chủ động Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nộidung và luồng thông tin có bị tráo đổi hay không Vi phạm thụ động chỉ nhằm mụcđích nắm bắt được thông tin Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặcthêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại Cáchành động vi phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặnhiệu quả Trái lại vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn
2 Các đặc trưng kỹ thuật của an toàn mạng
a) Xác thực (Authentification): Kiểm tra tính xác thực của một thực thể giao tiếp
trên mạng Một thực thể có thể là một người sử dụng, một chương trình máy tính, hoặc mộtthiết bị phần cứng Các hoạt động kiểm tra tính xác thực được đánh giá là quan trọng nhấttrong các hoạt động của một phương thức bảo mật Một hệ thống thông thường phải thựchiện kiểm tra tính xác thực của một thực thể trước khi thực thể đó thực hiện kết nối với hệthống Cơ chế kiểm tra tính xác thực của các phương thức bảo mật dựa vào 3 mô hình chínhsau:
Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụ như Password, hoặc mã số thông số cá nhân PIN (Personal Information Number).Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Key, hoặc số thẻ tín dụng
Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đối tượng kiểm tra cần phải có những thông tin để định danh tính duy nhất của mình ví
dụ như thông qua giọng nói, dấu vân tay, chữ ký
Có thể phân loại bảo mật trên VPN theo các cách sau: mật khẩu truyền thốnghay mật khẩu một lần; xác thực thông qua các giao thức (PAP, CHAP, RADIUS…) hayphần cứng (các loại thẻ card: smart card, token card, PC card), nhận diện sinh trắchọc (dấu vân tay, giọng nói, quét võng mạc )
b) Tính khả dụng (Availability): Tính khả dụng là đặc tính mà thông tin trên mạng
được các thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu, khi cần thiết bất cứ khi nào,trong hoàn cảnh nào Tính khả dụng nói chung dùng tỷ lệ giữa thời gian hệ thống được sử dụngbình thường với thời gian quá trình hoạt động để đánh giá Tính khả dụng cần đáp ứng nhữngyêu cầu sau: Nhận biết và phân biệt thực thể, khống chế tiếp cận (bao gồm cả việc khống chế tựtiếp cận và khống chế tiếp cận cưỡng bức), khống chế lưu lượng (chống tắc nghẽn ), khống chếchọn đường (cho phép chọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cảcác sự kiện phát
Trang 5sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thời dùng các biện pháp tương ứng).
c) Tính bảo mật (Confidentialy): Tính bảo mật là đặc tính tin tức không bị tiết lộ
cho các thực thể hay quá trình không được uỷ quyền biết hoặc không để cho các đối tượng
đó lợi dụng Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng Kỹ thuật bảo mậtthường là phòng ngừa dò la thu thập (làm cho đối thủ không thể dò la thu thập được thôngtin), phòng ngừa bức xạ (phòng ngừa những tin tức bị bức xạ ra ngoài bằng nhiều đườngkhác nhau, tăng cường bảo mật thông tin (dưới sự khống chế của khoá mật mã), bảo mậtvật lý (sử dụng các phương pháp vật lý để đảm bảo tin tức không bị tiết lộ)
d) Tính toàn vẹn (Integrity): Là đặc tính khi thông tin trên mạng chưa được uỷ
quyền thì không thể tiến hành biến đổi được, tức là thông tin trên mạng khi đang lưu giữhoặc trong quá trình truyền dẫn đảm bảo không bị xoá bỏ, sửa đổi, giả mạo, làm rối loạntrật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những sự phá hoại khác Nhữngnhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tin trên mạng gồm: sự cố thiết bị, sai mã,
bị tác động của con người, virus máy tính…
Một số phương pháp bảo đảm tính toàn vẹn thông tin trên mạng: - Giao thức
an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay sao chép Nừu phát hiện thìthông tin đó sẽ bị vô hiệu hoá - Phương pháp phát hiện sai và sửa sai Phương phápsửa sai mã hoá đơn giản nhất và thường dùng là phép kiểm tra chẵn - lẻ - Biện phápkiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trở truyền tin - Chữ ký điện tử:bảo đảm tính xác thực của thông tin - Yêu cầu cơ quan quản lý hoặc trung gianchứng minh tính chân thực của thông tin
e) Tính khống chế (Accountlability): Là đặc tính về năng lực khống chế truyền bá
và nội dung vốn có của tin tức trên mạng
f) Tính không thể chối cãi (Nonreputation): Trong quá trình giao lưu tin tức trên
mạng, xác nhận tính chân thực đồng nhất của những thực thể tham gia, tức là tất cả cácthực thể tham gia không thể chối bỏ hoặc phủ nhận những thao tác và cam kết đã đượcthực hiện
3 Các lỗ hổng và điểm yếu của mạng
a) Các lỗ hổng bảo mật hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của
dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp phápvào hệ thống Các lỗ hổng tồn tại trong các dịch vụ như Sendmail, Web,Ftp và trong hệđiều hành mạng như trong Windows NT, Windows 95, UNIX; hoặc trong các ứng dụng Cácloại lỗ hổng bảo mật trên một hệ thống được chia như sau:
Lỗ hổng loại C: cho phép thực hiện các phương thức tấn công theo kiểu từ
chối dịch vụ DoS (Dinal of Services) Mức nguy hiểm thấp, chỉ ảnh hưởng chất lượngdịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không phá hỏng dữ liệu hoặcchiếm quyền truy nhập
Lổ hổng loại B: cho phép người sử dụng có thêm các quyền trên hệ thống mà
không cần thực hiện kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình, những lỗ
5
Trang 6hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến hoặc lộ thôngtin yêu cầu bảo mật.
Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài cho thể truy
nhập vào hệ thống bất hợp pháp Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ
hệ thống
b) Các phương thức tấn công mạng: Kẻ phá hoại có thể lợi dụng những lỗ hổng
trên để tạo ra những lỗ hổng khác tạo thành một chuỗi những lỗ hổng mới Để xâm nhậpvào hệ thống, kẻ phá hoại sẽ tìm ra các lỗ hổng trên hệ thống, hoặc từ các chính sách bảomật, hoặc sử dụng các công cụ dò xét (như SATAN, ISS) để đạt được quyền truy nhập Saukhi xâm nhập, kẻ phá hoại có thể tiếp tục tìm hiểu các dịch vụ trên hệ thống, nắm bắt đượccác điểm yếu và thực hiện các hành động phá hoại tinh vi hơn
4 Các hình thức tấn công mạng phổ biến hiện nay và cách phòng tránh.
4.1 Tấn công bằng phần mềm độc hại (Malware).
4.1.1 Tấn công Malware là gì?
Tấn công Malware là một trong những hình thức tấn công qua mạng phổ
biến nhất hiện nay Malware bao gồm:
Spyware (phần mềm gián điệp)Ransomware (mã độc tống tiền)Virus
Worm (phần mềm độc hại lây lan với tốc độ nhanh)
Thông thường, Hacker sẽ tiến hành tấn công người dùng thông qua các lỗ hổng bảo mật Hoặc lừa người dùng Click vào một đường Link hoặc Email (Phishing) để cài phần mềm độc hại tự động vào máy tính Một khi được càiđặt thành công, Malware sẽ gây ra những hậu quả nghiêm trọng:
Chặn các truy cập vào hệ thống mạng và dữ liệu quan trọng (Ransomware)
Trang 7Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng.
Đánh cắp dữ liệu (Spyware)
Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, không thể hoạtđộng
4.1.2 Cách phòng chống Malware.
Sao lưu dữ liệu thường xuyên: Việc này sẽ giúp bạn không phải lo
lắng khi dữ liệu bị phá hủy
Thường xuyên cập nhật phần mềm: Các bản cập nhật của phần mềm
(trình duyệt, hệ điều hành, phần mềm diệt Virus,…) sẽ vá lỗi bảo mật còn tồn tại trên phiên bản cũ, đảm bảo an toàn thông tin cho người dùng
Cẩn thận với các Link hoặc File lạ: Đây là phương thức lừa đảo khá
phổ biến của Hacker Chúng sẽ gửi Email hoặc nhắn tin qua Facebook, đính kèm Link Download và nói rằng đó là File quan trọng hoặc chứa nội dung hấp dẫn Khi tải về, các File này thường nằm ởdạng docx, xlxs, pptx hay pdf, nhưng thực chất là File exe (chương trình có thể chạy được) Ngay lúc người dùng Click mở File, mã độc
sẽ lập tức bắt đầu hoạt động
4.2 Tấn công giả mạo (Phishing).
4.2.1 Tấn công Phishing là gì?
Phishing (tấn công giả mạo) là hình thức tấn công mạng bằng giả mạo
thành một đơn vị uy tín để chiếm lòng tin và yêu cầu người dùng cung cấpthông tin cá nhân cho chúng
Trang 8Thông thường, Hacker sẽ giả mạo là ngân hàng, ví điện tử, trang giao dịch trực tuyến hoặc các công ty thẻ tín dụng để lừa người dùng chia sẻ các
thông tin cá nhân như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quan trọng khác
Phương thức tấn công này thường được thực hiện thông qua việc gửi Email
và tin nhắn Người dùng khi mở Email và Click vào đường Link giả mạo sẽ được yêu cầu đăng nhập Nếu “cắn câu”, tin tặc sẽ có được thông tin cá nhâncủa người dùng ngay tức khắc
Phương thức Phishing được phát hiện lần đầu tiên vào năm 1987 Thuật ngữ
là sự kết hợp của 2 từ: Fishing For Information (câu thông tin) và Phreaking (trò lừa đảo sử dụng điện thoại của người khác không trả phí) Do sự tương đồng trong việc “câu cá” và “câu thông tin người dùng”, nên thuật ngữ
Phishing ra đời
4.2.2 Các phương thức tấn công Phishing.
Giả mạo Email
Đây là hình thức Phishing khá căn bản Tin tặc sẽ gửi Email đến người dùngdưới danh nghĩa của một đơn vị/tổ chức uy tín nhằm dẫn dụ người dùngtruy cập đến Website giả mạo
Những Email giả mạo thường rất tinh vi và rất giống với Email chính chủ, khiến người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công
Dưới đây là một số cách mà tin tặc thường ngụy trang:
Địa chỉ người gửi (VD: Địa chỉ đúng là sales.congtyA@gmail.com thì
sẽ được giả mạo thành sale.congtyA@gmail.com)
Thiết kế các cửa sổ Pop-up giống hệt bản gốc (cả màu sắc, Font chữ, …)
Sử dụng kỹ thuật giả mạo đường dẫn để lừa người dùng (VD:
đường dẫn là congtyB.com nhưng khi nhấn vào thì điều hướng đến contyB.com)
Sử dụng hình ảnh thương hiệu của các tổ chức lớn để tăng độ tin cậy
Giả mạo Website
Giả mạo Website trong tấn công Phishing là làm giả một trang chứ không phảitoàn bộ Website Trang được làm giả thường là trang đăng nhập để cướp thông tin của người dùng
Website giả thường có những đặc điểm sau:
Thiết kế giống đến 99% so với Website gốc
Đường dẫn chỉ khác 1 ký tự duy nhất
(VD: facebook.com và fakebook.com, microsoft.com và mircosoft.c om,…)
Trang 9Luôn có những thông điệp khuyến khích người dùng cung cấp thông tin
cá nhân
4.2.3 Cách phòng chống tấn công Phishing.
Cảnh giác với các Email có xu hướng thúc giục bạn nhập thông tin cánhân, thông tin nhạy cảm (thông tin thẻ tín dụng, thông tin tài khoản, )Không Click vào các đường dẫn được gửi đến Email nếu không chắc chắn an toàn
Không trả lời những thư rác, lừa đảo
Luôn cập nhật phần mềm, ứng dụng đề phòng các lỗ hổng bảo mật
có thể bị tấn công
4.3 Tấn công từ chối dịch vụ (Dos và Ddos).
4.3.1 Tấn công từ chối dịch vụ (Dos và Ddos) là gì?
DoS (Denial of Service) là “đánh sập tạm thời” một hệ thống, máy chủ hoặc
mạng nội bộ Để thực hiện được điều này, các Hacker thường tạo ra mộtlượng Traffic/Request khổng lồ ở cùng một thời điểm, khiến cho hệ thống bịquá tải Theo đó, người dùng sẽ không thể truy cập vào dịch vụ trong khoảngthời gian mà cuộc tấn công DoS diễn ra
Một hình thức biến thể của DoS là DDoS (Distributed Denial of Service): Tin
tặc sử dụng một mạng lưới các máy tính (Botnet) để tấn công người dùng.vấn
đề ở đây là chính các máy tính thuộc mạng lưới Botnet sẽ không biết bản thânđang bị lợi dụng trở thành công cụ tấn công
4.3.2 Một số hình thức tấn công Ddos.
Trang 10Tấn công gây nghẽn mạng (UDP Flood và Ping Flood)
Mục tiêu: Gây quá tải hệ thống mạng bằng lượng truy cập lớn đến từ nhiều nguồn để chặn các truy cập thực của người dùng
Phương thức: Gây nghẽn đối tượng bằng các gói UDP và ICMP
Tấn công SYN flood (TCP)
Mục tiêu: Gây cạn tài nguyên máy chủ, ngăn chặn việc nhận các yêu cầu kết nối mới
Phương thức: Lợi dụng quá trình “bắt tay” 3 chặng TCP, gửi đi yêu cầu SYN đến máy chủ và được phản hồi bằng một gói SYN-ACK Nhưng không gửi lại góiACK, điều này khiến cho tài nguyên máy chủ bị sử dụng hết vào việc đợi gói ACK gửi về
Tấn công khuếch đại DNS
Mục tiêu: Làm quá tải hệ thống bằng phản hồi từ các bộ giải mã DNS
Phương thức: Mạo danh địa chỉ IP của máy bị tấn công để gửi yêu cầu nhiều
bộ giải mã DNS Các bộ giải mã hồi đáp về IP của máy có kích thước gói dữ liệu có thể lớn hơn kích thước của yêu cầu tới 50 lần
4.3.3 Cách phòng chống tấn công Ddos.
Theo dõi lưu lượng truy cập của bạn: Với cách này, bạn có thể phát hiện được các vụ tấn công DDoS nhỏ mà tin tặc vẫn thường dùng đểTest năng lực của mạng lưới trước khi tấn công thật sự
Nếu bạn có thể xác định được địa chỉ của các máy tính thực hiện tấn công: có thể tạo một ACL (danh sách quản lý truy cập) trong tường lửa
để thực hiện chặn các IP này
4.4 Tấn công trung gian (Man-in-the-middle attack).
Tấn công trung gian (MitM), còn gọi là tấn công nghe lén, xảy ra khi kẻ tấn
công xâm nhập vào một giao dịch/sự giao tiếp giữa 2 đối tượng Một khi đãchen vào thành công, chúng có thể đánh cắp dữ liệu trong giao dịch đó
Trang 114.4.1 Các hình thức tấn công trung gian.
Sniffing: Sniffing hoặc Packet Sniffing là kỹ thuật được sử dụng để nắm
bắt các gói dữ liệu vào và ra của hệ thống Packet Sniffing cũng tương
tự với việc nghe trộm trong điện thoại Sniffing được xem là hợp pháp nếu được sử dụng đúng cách Doanh nghiệp có thể thực hiện để tăng cường bảo mật
Packet Injection: Kẻ tấn công sẽ đưa các gói dữ liệu độc hại vào với
dữ liệu thông thường Bằng cách này, người dùng thậm chí không nhậnthấy tệp/phần mềm độc hại bởi chúng đến như một phần của luồng truyền thông hợp pháp Những tập tin này rất phổ biến trong các cuộc tấn công trung gian cũng như các cuộc tấn công từ chối dịch vụ
Gỡ rối phiên: Bạn đã từng gặp thông báo “Phiên hoạt động đã hết hạn”
chưa? Nếu đã từng thực hiện thanh toán trực tuyến hoặc điền vào biểu mẫu, hẳn bạn sẽ biết thuật ngữ này Khoản thời gian từ lúc bạn đăng nhập vào tài khoản ngân hàng của bạn đến khi đăng xuất khỏi tài khoản
đó được gọi là một phiên Các phiên này là mục tiêu của tin tặc Bởi chúng có khả năng chứa thông tin kín đáo Trong hầu hết các trường hợp, một Hacker thiết lập sự hiện diện của mình trong phiên Và cuối cùng nắm quyền kiểm soát nó Các cuộc tấn công này có thể được thực thi theo nhiều cách khác nhau
Loại bỏ SSL: SSL Stripping hoặc SSL Downgrade Attack là một loài
hiếm khi nói đến các cuộc tấn công MiTM, nhưng cũng là một trong những nguy hiểm nhất Chứng chỉ SSL/TLS giữ liên lạc của chúng tôi
an toàn trực tuyến thông qua mã hóa Trong các cuộc tấn công SSL, kẻtấn công loại bỏ kết nối SSL/TLS và chuyển giao thức từ HTTPS an toàn sang HTTP không an toàn
4.4.2 Cách phòng chống tấn công trung gian.
Đảm bảo các Website bạn truy cập đã cài SSL
Không mua hàng hoặc gửi dữ liệu nhạy cảm khi dùng mạng công cộng.Không nhấp vào Link hoặc Email độc hại
