bài 4 bảo mật máy chủ, ứng dụng, dữ liệu và mạng

nn Bảo mật phần mềm =m Câu hinh bảo mật hệ điều hành HĐH và các cài đặt se HĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau, có thể sử dụng để điều chỉnh cho phù hợp với đường cơ

" 5 bước trong quá trinh đánh giá thiệt hai

= Cac ky thuat va cong cu đánh giá

GIB Muc tiéu cua bai hoc

FPT POLYTECHNIC

Liệt kê các bước để bảo mật cho máy chủ

8D vm Cac yéu to quan trong

= Cac yéu to quan trong can duoc bao mat

e May chu (host) (may chu cua mang hoac may khách)

® Ung dung (application)

_ BE men Bảo mật máy chủ (2/2)

= Bao mat cho may chu bao gom:

e Bao mật các thiết bị vật lý (SV tự đọc)

® Bao mat phan mềm hệ điều hành

e Bao mật bang phan mém chống phần mềm độc hại

BG nn Bảo mật phần mềm

= Quá trình năm bước để bảo mật cho hệ điều hành

e Phát triển chính sách bảo mật

® Tao đường cơ sở cho phần mêm máy chủ

e Cấu hình bảo mật hệ điều hành và các cải đặt

e Triển khai các cài đặt

e Thực thi việc quản lý các bản vá

BG nn Bảo mật phần mềm

= Phát triển chính sách bảo mật

e Các tài liệu xác định cơ chế bảo mật của tổ chức

= Tao đường cơ sở cho phần mềm máy chủ

se Đường cơ sở: tiêu chuẩn hay danh mục kiểm tra để đánh

gia he thong

® Cac thiét lap cau hinh dudc ap dung cho tung may tinh

trong tổ chức

=m Chính sách bảo mật xác định phải bảo vệ cái gi, đường

CO sỞ xác định bảo vệ như thể nào?

BG nn Bảo mật phần mềm

=m Câu hinh bảo mật hệ điều hành (HĐH) và các cài đặt

se HĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau,

có thể sử dụng để điều chỉnh cho phù hợp với đường cơ

SỞ

se Cấu hình đường cơ sở tiêu biểu

Thay đổi các thiết lập mặc định không an toàn

s Loại bỏ các phần mềm, dịch vụ, giao thức không cần thiết

= Kích hoạt các chức nắng bao mật, ví dụ như tường lửa

BG nn Bảo mật phần mềm

= Triển khai các cài đặt

se Mẫu bảo mật: tập các thiết lập cấu hình bảo mật

® Quá trình triển khai các thiết lập có thể được tự động hóa

BG nn Bảo mật phần mềm

m Thực thi việc quản ly các bản vá

e Các hệ điều hành hiện nay đều có khả nắng tự động thực hiện cập nhật

e Đôi khi các bản vá có thể làm nảy sinh những vấn đề mới

® Dich vu cap nhật bản vá tự động

s Quan lý các bản vá trên máy cục bộ thay vị phụ thuộc vào

dịch vụ cập nhật bản vá trực tuyến của nhà cung cap

= Dich vu cap nhật bản vá tự động có nhiều ưu điểm (*)

BIG - ¬ Bao mat bang phan mém

= Cac phan mem chong phan mem doc hại của bên thứ

ba co thé cung cap thém su bao mat

=» Nhóm này bao gom:

e Phan mem chong vi rut

® Phan mem chong thu rac

* Phan mem phong toa pop-up

® Tường lửa dựa trên may chu

Bai 4 - Bao mat may chu, ung dung, dif liéu va mang 11

hoclaptrinhweb.com

80 rptUnNvensty \A `^ oA = Zz

= Phan mem diệt virus

e Phần mềm kiểm tra một máy tính có bị tiêm nhiễm virus

hay không

e Quét các tài liệu mới có thể chứa virus

e Tìm kiếm các mẫu virus đã được biết trước

= Nhược điểm của phần mềm diệt virus

e Nha cung cấp phải liên tục tim các virus mới, cập nhật và phân phối các file chữ ký (signature file) tới người dùng

=» Phương pháp khác: giả lập mã (code emulation)

e Các mã khả nghi được thực thi trong một mỗi trường ao

8 › =

"¬ Phần mém chong thu rac

= Những kẻ gửi thư rác có thể phát tán phần mềm độc hại

thông qua các thư điện tử có file đính kem

= Thư rác có thể được sử dụng trong các cuộc tấn công

dùng kỹ nghệ xã hội

=" Các phương thức lọc thư rác

* Loc Bayesian

e Loc trén may chủ cục bộ

= Danh sach den

= Danh sach trang

e Chăn các kiểu file đính kèm khả nghi

Bai 4 - Bao mat may chu, ung dung, dif liéu va mang 13

hoclaptrinhweb.com

= Pop-up

e Một cửa số xuất hiện trên Web site

e® Thường do các nhà quảng cáo tạo ra

=» Phan mem phong tỏa pop-up

® Một chương trinh riêng biệt, giỗng như một phân của gói

phan mem chong phan mềm gián điệp

® Được tịch hợp vào trong trinh duyệt

e Cho phép người dùng hạn chế hoặc ngắn chặn hầu hết

các cửa số pop-up

e Có thể hiển thị cảnh báo trong trình duyệt

s Cho phép người dùng có thể lựa chọn để hiển thị pop-up

oem Tường lửa dựa trên may chu

= Tuong lua (firewall)

se Được thiết kế nhằm ngăn chặn các gói tin độc hại truy cập hoặc gửi di tu may tinh

e Có thể dựa trên phần cứng hoặc phần mềm

e Phan mem tường lửa dựa trên máy chủ hoạt động trên hệ thống cục bộ

=m Tường lửa trong Microsoft Windows Z7

e Ba kiểu thiết lập dành cho cac mang: public, home, hoac

GIN, toc 2 Ag Z

= Bao mat viéc phát triển ứng dụng

® Đường cơ sở trong cấu hinh ung dung (SV tu doc)

e Khái niệm viết mã an toàn (SV tự đọc)

® Tôi luyện ứng dụng và Quan ly ban va

Tấn công các Lừa đảo các ứng dụng sơ hở để Ngăn không cho ứng dụng

file thực thi điều chính hoặc tạo ra các file tạo hay điều chỉnh các file

thực thi trên hệ thống thực thi

Giả mạo hệ Lợi dụng ứng dụng sơ hở để Không cho phép ứng dụng

thông chính sửa các khu vực đặc biệt chính sửa các vùng đặc biệt

nhạy cảm của hệ điều hànhvà của hệ điêu hành sau đó khai thác các điêu chỉnh

| ‹ - Toi luyén ung dung

= Quan ly ban va

e It dudc quan tâm cho tới thời gian gần đây

e Người dùng không biết sự tồn tại của các bản vá hay vị trí

s DỮ liệu phải lưu thông tự do

e Dam bảo an toàn dữ liệu là điều rất quan trọng

= Ngan chặn mất mát dữ liệu

e Hệ thống các công cụ đảm bảo an toàn được sử dụng để

nhận diện và xác định các dữ liệu quan trọng và đảm bảo

sự an toàn cho những dữ liệu đó

se Mục tiêu: bảo vệ dữ liệu khỏi những người dùng trái phép

hoclaptrinhweb.com

ele Bảo mật dữ liệu (2/2)

= Ngăn chặn mất mát dữ liệu thường kiểm tra:

s Dữ liệu đang sử dụng (ví dụ: đang được in)

e Dữ liệu đang di chuyển (đang truyền nhận)

e Du liệu đang được lưu trữ (vi dụ: DVD)

= Kiểm tra nội dung

e Phân tích sự an toàn của quá trình giao dịch

FPT POLYTECHNIC Bao mat mang

= Khong phai tat ca cac Ung dung déu chu trong đến việc

bảo mật trong qua trinh thiết kế và viết mã

+ Chính vi vậy mạng cân được bảo vệ

=» Những mạng bảo mật yếu là mục tiêu thu hút những kẻ

tan cong

= Cac khia canh cua viec xay dung mot mang bao mat:

e Thiết bị mạng tiêu chuẩn (SV tự đọc)

se Phân cứng bảo mật mạng

s Bảo mặt thông qua công nghệ mạng

se Bao mật thông qua thành phần thiết kế mạng

Bai 4 - Bao mat may chu, ung dung, dif liéu va mang 21

hoclaptrinhweb.com

G Eg For University `^ a ? ^

= Cac thiét bi phan cứng được thiết kế đặc biệt

e® Bảo mật tốt hơn so với các thiết bị mạng thông thường

am Các dạng phần cứng bảo mặt mang

s Tường lửa (Firewall)

® Uy nhiệm (Proxy) (SV tu doc)

e Bo loc thu rac (Spam Filter)

® BỘ góp mạng riêng ao (SV tu doc)

® Bo loc noi dung Internet (Internet Content Filter)

® COng bao mat Web (Web Security Gateway)

e Phat hién va ngan chan viéc tham nhap

e Thiet bi bao mat mang tat ca trong mot

= Tuong lua (Firewall)

e Có chức năng kiểm tra các gói tin

e Có thể chấp nhận hoặc từ chối gói tin

se Thường được đặt bên ngoài vành đai bảo mật mạng

= Các hành động của tường lửa đối với một gói tin

e Cho phép (cho phép gói tin di qua)

se Chắn (loại bỏ gói tin)

se Nhắc nhở (yêu cầu người dùng lựa chọn hành động)

= Các thiết lập dựa trên nguyên tắc của tường lửa

s Tập các chỉ dẫn để điều khiển hành động

=m Tường lửa dựa trên các thiết lập

se Cho phép quản trị viên tạo ra các tham số

hoclaptrinhweb.com

am Các phương pháp lọc gói tin của tường lửa

® Lọc gói tin không dựa vào trạng thái (stateless packet

filtering)

= Kiểm tra các gói tin gửi đến và cho phép hoặc từ chối gói tin

dựa trên các điều kiện do quản trị viễn thiết lập

® Lọc gói tin dựa vào trạng thái (stateful packet filtering)

s Lưu giữ bản ghi trạng thái của kết nổi

= Đưa ra quyết định dựa trên kết nối và các điều kiện

m Tường lua ứng dụng Web

se Kiểm tra sâu hơn cấu trúc bên trong của gói tin truyền tải HTTP

= Cac trinh duyệt Web

= FTP

= Telnet

® Co thể chặn các web site xác định hoặc những kiểu tấn

công đã được biết trước

e Có thể chặn tấn công tiêm nhiễm XSS và SQL

hoclaptrinhweb.com

co Bộ lọc thư rác (1/3)

= Bo loc thu rac (spam filter)

e Các bộ lọc thư rác cấp doanh nghiệp có thể chặn các thư

rác trước khi chúng đi tới máy chủ

= Cac hé thong email sử dụng hai giao thức

® Simple Mail Transfer Protocol (SMTP)

= Xu ly mail gui di

® Post Office Protocol (POP)

= Xu ly mail gui den

co Bộ lọc thư rác (2/3)

=m Các bộ lọc thư rác được cai đặt với máy chủ SMTP

e Bộ lọc được cấu hình để "nghe ngóng” tại cổng 25

s Những thư điện tử không phải thư rác được chuyển tới

may chu SMTP dang “nghe ngóng” tại một công khác

se Phương pháp ngăn không cho máy chu SMTP gui lại thông

báo cho kẻ gửi thư rác biết việc phân phát thư rác bị that

FG me Bộ lọc thư rác (3/3)

FPT POLYTECHNIC

= Bo loc thu rac duoc cai dat tren may chu POP 3

® Trudc tién, tat ca thu rac phải truyền qua may chu SMTP,

sau đó chúng được chuyển tới hộp thư của người dùng

e Có thể lam tang chi phi

= Lưu trữ, truyền dẫn, sao lưu, xóa hủy

= Loc thu rac thong qua hop đồng với một đối tác thứ ba

se Tất cả thư điện tử được di qua mot bd loc thu rac tu xa

của đối tác thứ ba

se Thư điện tử được "làm sạch” trước khi chuyển tiếp tới tổ chức

8 LD, For vewversty ^ An

= Bo loc noi dung Internet

e Kiểm soát lưu lượng mạng Internet

e Chăn truy cập tới các web site và file được lựa chọn trước

se Các web site bị chắn được xác định thông qua URL hoặc

thông qua đối chiếu từ khóa

hoclaptrinhweb.com

8 LD, For vriversity nr ? A

= COng bao mat Web (We security gateway)

e Có thể chặn các nội dung độc hại trong thời gian thực

® Chan nội dung thông qua việc lọc ở cấp ứng dụng

m Vị dụ về lưu lượng Web bị chặn

e Các đối tượng ActiveX

e Phan mem quảng cáo, phần mềm gián điệp

® Viéc chia se du lieu ngang hang (peer-to-peer)

® Khai thac ma kich ban

BG nn Phat hién va ngan

= Bảo mật thụ động và bảo mật chủ động có thể được áp

dụng trong mạng

e Các biện pháp chủ động đem lại mức an toàn cao hơn

= Bien phap thu dong

e Tuong lua

® BỘ lọc nội dung Internet

= He thong phát hiện thâm nhập (IDS)

s Biện pháp bao mat chu động

e Có thể phát hiện tấn công ngay khi nó xảy ra

" Cac khía cạnh của IDS

® Cac phương pháp giám sát

® Cac dang IDS

80 Ppt University

FPT POLYTECHNIC Các phương pháp giám sát

= Cac phuong phap giam sat (monitoring methodology)

e Giám sát dựa trên sự bất thường (anomaly-based

monitoring)

s So sánh hành vi phát hiện được với đường cơ sở

se Giảm sát dựa trên chữ ký (signature-based monitoring )

= Tim kiếm các đặc điểm, dấu hiệu đặc trưng của tấn công

® Giam sat dua trén hanh vi (behavior-based monitoring)

s Phát hiện các hành vi bất thường của tiến trình hay chương trinh

s Cảnh báo người dùng để họ đưa ra quyết định chan hay

cho phép hành vì

e Giám sát kiểu tự khám phá (heuristic monitoring)

s Sử dụng các kỹ thuật dựa trên kinh nghiệm

co Cac dang IDS (1/4)

= He thong phat hiện xâm nhập may chu (Host Intrusion

Detection System - HIDS)

s Ứng dụng phần mềm có chức năng phát hiện tấn công khi

xảy ra

® Được cài đặt trên từng hệ thống cần sự bảo vệ

e Giảm sát các lời gọi và truy cập file hệ thống

e Có thể nhận dạng hành vi điều chinh Registry trai phép

e Giảm sát tất cả thông tin giao tiếp đầu vào và đầu ra

s Phát hiện các hành vi bất thường

hoclaptrinhweb.com

co Cac dang IDS (2/4)

= Nhược điểm của HIDS

se Không thể giám sát các lưu lượng mạng không hướng tới

hệ thống cục bộ

e Tât cả dữ liệu nhật ký (log) được lưu trữ trên máy cục bộ

e Tiêu tốn tài nguyên và có thể làm chậm hệ thống

co Cac dang IDS (3/4)

= He thong phat hién xam nhap mang (Network Intrusion

Detection System - NIDS)

se Theo dõi tân công trên mạng

® Cac cam biến NIDS được cài đặt trên tường lửa và bộ định tuyến:

s Thu thập thông tin và báo cáo về thiết bị trung tâm

e NIDS thu dong se phát âm thanh bao dong

e NIDS chu dong sé phát âm thanh báo động, đồng thời thực hiện hành động ứng phó

= Hành động ứng phó có thể bao gồm việc tìm ra dia chi IP

của kẻ xâm nhập hoặc kết thúc phiên TCP

hoclaptrinhweb.com

Kiểm tra ngắn xếp giao Một số cuộc tấn công sử dụng các giao thức

tra ngăn xếp giao thức có thể xác định và

báo hiệu các gói tin không hợp lệ

dụng giao thức không hợp lệ hoặc có dấu hiệu gây

hại (như đầu độc DNS); NIDS sẽ thực hiện

lại các giao thức ứng dụng khác nhau để tìm

ra mẫu

Tạo các file log mở rộng _NIDS có thể ghi lại file log đối với các sự

kiện bất thường, sau đó các hệ thống giảm

sát ghi nhật ký mạng khác có thể sử dụng

những file nhật ký

co Cac dang IDS (4/4)

= He thong ngan chan xam nhap mang (Network Intrusion

Prevention - NIPS)

e Tuong tu NIDS

e Giám sát lưu lượng mạng để ngay lập tức ngăn chặn tấn

công gây nguy hại

se Các cảm biến NIPS được đặt bên trong tường lửa

Bai 4 - Bao mat may chu, ung dung, dif liéu va mang 37

hoclaptrinhweb.com

8Ø ven Thiet bi bao mat mang

= Cac thiet bi bao mat mang tat ca trong mot

e Mot thiét bi tich hop thay the cho nhiéu thiét bi bao mat

= Xu hướng gan day:

se Kết hợp các thiết bị bào mật đa năng với thiết bị truyền

thống như bộ định tuyến

se Ưu điểm của phương pháp

= Khi thiết bị mạng xử ly xong các gói tin

= Bộ chuyển mạch (switch) chứa phần mềm anti-malware kiểm

tra các gói tin và chặn lại trước khi chuyển đi để không bị lây

nhiễm toàn mạng