Mô hình nguyên lý kỹ thuật đảm bảo An Ninh Mạng

Các mô hình nguyên lý đảm bảo an ninh mạng, phát hiện và chống xâm nhập trên mạng, bảo vệ hệ thống thông tin trên mạng, bảo vệ ứng dụng mạng.

PGS TSKH Hoàng Đăng Hải Học viện Công nghệ Bưu chính Viễn thông (PTIT)

Email: hoangdanghai@hn.vnn.vn

2012

đảm bảo an ninh mạng

Nội dung

™ Các mô hình, nguyên lý đảm bảo an ninh mạng

™ Phát hiện và chống xâm nhập trên mạng

™ Bảo vệ ứng dụng mạng

™ Bảo vệ hệ thống thông tin trên mạng

C á c mô h ì nh, nguyên lý

đảm bảo an ninh mạng

‰ Bảo vệ mức vật lý: khóa phòng, các thiết bị kiểm soát, cáp…

‰ Bảo vệ mức giao diện hệ thống: kiểm soát đăng nhập (ví dụ: với mật khẩu…)

‰ Bảo vệ truy cập, sử dụng hệ thống: kiểm soát truy nhập, quyền sử dụng

Mô hình an ninh trong

truyền thông mạng (1)

Mô hình an ninh trong

truyền thông mạng (2)

Ví dụ: các quan hệ xác thực

Mô hình an ninh trong truy cập mạng

Tổng quan các mô hình an ninh

• Được thiết kế từ những năm 60s: VD Máy chủ được bảo vệ trong phòng

riêng bằng các hệ thống khóa vật lý…

• Kernel trong hệ điều hành kiểm soát “all”

• Kernel là gatekeeper, kiểm soát người dùng

• Tương tự các bức tường pháo đài Analogous to castle walls & maginot line

‰ Các mô hình không dùng vành đai bảo vệ: Mật mã

‰ Vành đai bảo vệ: mô hình phổ biến tới nay

‰ Các mô hình mới:

• Hệ thống miễn dịch: Không vành đai Phát hiện cục bộ các lỗi ứng dụng.

• Phòng thủ tích cực (chủ động): Dùng 1 số tác vụ ở vùng giao tranh với tin tặc Các hệ thống bảo vệ tới nay vẫn còn là thụ động.

• Sử dụng các đặc tính vật lý: Nhúng thông tin vật lý (Sensor, RFID, Chip…)

• Các mô hình mới?: bắt chước hệ miễn dịch sinh học Active Networks và Active Agents, Detector networks,…

Tổng quan các mô hình an ninh mạng

• Mô hình Bell LaPadula (trạng thái hữu hạn, phân mức nhạy cảm)

• Mô hình Biba (BLP+ cấp+ tập chính sách)

• Mô hình Harrison-Ruzzo-Ullman (BLP + cấp phép)

• Mô hình chính sách Unix System V/MLS Security Policy

• Mô hình lưới mắt cáo của luồng tin (Lattice Model of Information Flow)

• Mô hình không can thiệp (Noninterference Security Model)

• Mô hình Clark-Wilson

• Mô hình Chinese Wall

• Các mô hình kiểm soát truy nhập theo vai trò (Role-Based Access Control)

• Các mô hình cấp phép dựa theo tác vụ (Task-Based Authorisation Models for Workflow)

- Workflow Authorisation Model (WAM)

- Task-Based Authorisation Controls (TBAC)

• Security Models for Object-Oriented Information Systems

- The Authorisation Model by Fernandez

- The Orion Authorisation Model

- The DORIS Personal Model of Data

- Further Relevant Research

• Resource Allocation Model for Denial of Service Protection

• Multiple Security Policies Modelling Approaches 75

- The Generalised Framework for Access Control (GFAC)

- The Multipolicy Paradigm and Multipolicy Systems

Policy

Information Flow

ƒ Còn gọi là mô hình nhiều lớp,

ƒ Được Bell và LaPadula đề xuất nhằm

thực thi kiểm soát truy nhập trong các ứng

dụng cho chính phủ và quân đội Mỹ.

ƒ Các ứng dụng, đối tượng, chủ thể thông

tin được phân loại thành nhiều mức an ninh

khác nhau

ƒ Một chủ thể chỉ có thể truy nhập các đối

tượng thông tin ở các cấp đã được xác định

trước ứng với cấp độ an ninh nó được phép

ƒ Ví dụ về quy định an ninh điển hình:

“Một nhân viên thuần túy không thể đọc thông tin được phân loại là bí mật”

“Các dữ liệu tối mật không thể ghi vào các tệp ở mức không kiểm soát”.

Phân lớp mức nhạy cảm của

thông tin

Mô hình Bell-LaPadula (BLP)

Mô hình Bell-LaPadula (BLP)

Cho L(S)= ls là cấp an ninh cho chủ thể S.

Cho L(O)= lo là phân loại an ninh cho đối tượng O.

Đối với mọi phân loại thông tin li, (i=0,…, k-1), và (li < li+1) cần có:

• Điều khiện an ninh đơn giản (Đọc dữ liệu): No Read UP

S chỉ có thể đọc O khi và chi khi lo < = ls (cấp an ninh rộng hơn phân loại đối tượng)

và S có quyền truy nhập để đọc nội dung cụ thể của O.

• Đặc tính “Sao” (*) (Star property) (Ghi dữ liệu): No Write DOWN

S chỉ có thể ghi vào O khi và chỉ khi ls < = lo (cấp an ninh nhỏ hơn phân loại đối tượng)

Và S có quyền truy nhập để đọc nội dung cụ thể của O

Chủ thể TS (Top Secret) không thể ghi dữ liệu vào file có phân cấp thấp hơn TS

Æ Chống dò rỉ thông tin đã phân loại.

No Read UP; No Write Down!

Vấn đề tồn tại: Các nhóm chủ thể khác loại trao đổi thông tin với nhau như thế nào?

Định lý an toàn thông tin cơ bản Cho S là một hệ thống với trạng thái an toàn ban đầu là σ0

Cho L là tập các chuyển đổi trạng thái.

i là chỉ số trạng thái

Nếu như mỗi phần tử của tập L bảo toàn điều kiện an ninh đơn

mọi trạng thái σi , được coi là an toàn, với mọi i ≥ 0.

Mô hình Bell-LaPadula (BLP)

Ví dụ: Phân cấp thư mục

ƒ Một thư mục với tập các thư mục con, mỗi thư mục gán 1 tên

ƒ Các thư mục ẩn bình thường không hiển thị cho người dùng.

ƒ Khi một tiến trình có tên MAC_A tạo một tệp trong /tmp, nó sẽ tạo

một file trong thư mục ẩn trong /tmp with tên MAC_A

ƒ Thư mục cha của 1 file trong /tmp là thư mục ẩn

ƒ Mọi tham chiếu đến thư mục cha sẽ đến thẳng thư mục ẩn.

ƒ Tiến trình A với MAC_A sẽ tạo /tmp/a Tiến trình B với MAC_B sẽ

tạo /tmp/b Mỗi tiến trình sẽ thực hiện:

“cd /tmp/a; cd ”

Câu lệnh hệ thống: stat(“.”, &stat_buffer) sẽ cho lại số hiệu nút I

khác nhau đối với mỗi tiến trình Số hiệu nút này là của thư mục ẩn

tương ứng.

Mô hình Biba

ƒ Bản sao của BLP

ƒ Dựa trên Mô hình máy trạng thái hữu hạn như BLP.

ƒ Định nghĩa các cấp toàn vẹn (tương tự phân cấp an ninh / mức độ nhạy

Mô hình Harrison-Ruzzo-Ullman (HRU)

ƒ Mô hình BLP không có chính sách cho:

ƒ Thay đổi quyền truy nhập

ƒ Tạo mới và xóa bỏ các chủ thể và đối tượng

ƒ Mô hình HRU định nghĩa hệ thống cấp phép để giải quyết vấn đề trên

Khái niệm mô hình:

ƒ Định nghĩa các tập:

ƒ Tập các chủ thể S, Tập các đối tượng O

ƒ Tập các quyền truy nhập R – (Các thao tác truy nhập như BLP)

ƒ Ma trận truy nhập Mso (mô tả trạng thái hệ thống) Mỗi lệnh được ghi nhận bằng

việc thay đổi trạng thái từ M Æ M’

ƒ Định nghĩa 6 thao tác nguyên thủy:

• Enter r into Mso (thêm quyền truy nhập cho Mso)

• Delete r from Mso (xóa quyền truy nhập của Mso)

• Create subject s …………

• Create object o

• Delete subject s

• Delete object o

ƒMô hình HRU cho phép:

ƒ Kiểm tra việc cần thiết phải tránh cấp phép quyền truy nhập không mong muốn

ƒ Kiểm chứng các đặc tính an ninh của đối tượng và chủ thể

Các mô hình luồng tin

Lưới mắt cáo (Lattice), Không can thiệp, Clark-Wilson, Chinese Wall

ƒ Xem xét mọi luồng tin đi qua, kể cả các luồng tin ẩn (thông qua việc kiểm

soát các hành vi truy cập)

ƒ Sử dụng mô hình lý thuyết Entropy của luồng tin Entropy là lượng thông tin

có thể thu được qua quan sát luồng tin.

ƒ Sử dụng các mô hình theo kiểu lưới mắt cáo (lọc thông tin)

Khái niệm mô hình lattice:

ƒ Một luồng tin FM định nghĩa bởi: FM = { N, P, SC, ⊕, Æ }

ƒ N = {a, b, …} là tập các đối tượng logic (ví dụ files, segments, các biến chương

trình…) Mỗi người dùng có thể coi là 1 object

ƒ P = {p,q,…} là tập các tiến trình SC = {A, B,…} là tập các lớp an ninh tương ứng với

phân lớp các thông tin

ƒ Mỗi object a được giới hạn trong một lớp an ninh Có 2 phương pháp liên kết: liên

kết tĩnh và liên kết động

ƒ ⊕ là toán tử kết hợp lớp Kết hợp binary của 2 lớp a và b là a⊕b

ƒ Æ là biểu thị quan hệ giữa các luồng tin Ví dụ cho các lớp A, B: AÆ B nghĩa là chỉ

và chỉ khi thông tin của lớp A được phép đưa vào lớp B

Mô hình Chinese Wall

ƒ Kiểm soát các quyền truy nhập động

ƒ Dựa trên tập luật truy nhập và giảm thiểu mâu thuẫn về lợi ích theo quy luật:

Không luồng tin nào được gây ra xung đột lợi ích với luồng tin khác

ƒ Cho tập các công ty, Các nhà phân tích= Subjects, Các đơn vị thông tin = Objects

ƒ Objects trong cùng công ty = Tập dữ liệu của công ty

ƒ Các công ty tương tranh = Xung đột giữa các lớp quyền lợi

ƒ Nhãn an ninh đối tượng = cặp (Cdataset, Col Class)

ƒ Thông tin làm sạch = thông tin đã xóa bỏ phần nhạy cảm

Chinese Wall Model:

ƒ Đặc tính ss (ss-Property):

Cấm mọi chủ thể để lộ ra xung đột về quyền lợi

ƒ Quyền truy nhập được cấp nếu object thuộc:

ƒ Dataset của công ty đã cấp cho người dùng hoặc

ƒ Một xung đột khác của lớp lợi ích

Mô hình Chinese Wall (2)

ƒ Đặc tính “sao” (*-Property):

Cấm thông tin chưa làm sạch được lấy ra khỏi tập dữ liệu của một công ty

ƒ Quyền truy nhập ghi ra được cấp nếu không có object nào khác được đọc với điều

kiện:

ƒ Object đó thuộc tập dữ liệu của một công ty khác

ƒ Object đó chưa thông tin chưa làm sạch

Mô hình Clark-Wilson

ƒ Thiết kế cho các yêu cầu an ninh cho các ứng dụng thương mại (khác yêu cầu quân

sự theo BLP)

ƒ Các yêu cầu chủ yếu về tính toàn vẹn của thông tin !

ƒ Các yêu cầu về tính toàn vẹn:

ƒ Tính nhất quán trong: các đặc tính về trạng thái bên

trong hệ thông (có thể thực thi bởi hệ thống)

ƒ Tính nhất quán ngoài: quan hệ trạng thái bên trong

một hệ thống với thế giới bên ngoài (thực thi bởi bên

ngoài – ví dụ kiểm toán)

ƒ Thực thi tính toàn vẹn nghĩa là:

ƒ Giao dịch chuẩn xác

ƒ Phân chia được trách nhiệm

Các chương trình được dùng làm phương tiện kiểm soát

trung gian cho subject-object

Subject= chủ thể có quyền thực thi 1 số chương trình

ƒ Thể hiện tính toàn vẹn:

ƒ Chủ thể được cấp quyền thực hiện một

chương trình trên một đối tượng (data item)

mà đối tượng này có thể được truy nhập từ

Ph á t hiện v à chống xâm nhập

Nguyên lý IDS/IPS

‰ IDS = Intrusion Detection System

‰ IPS = Intrusion Prevention System

‰ IDPS = Intrusion Detection and Prevention System

- Giám sát an ninh mạng.

- Nhận biết những nguy cơ mất an ninh

- Nhận biết những vi phạm chính sách an ninh

- Nhận biết, Phát hiện các lưu lượng bất thường, dấu hiệu khả nghi

- Phát hiện tấn công gây hại cho hệ thống, mạng qua khai thác những lỗ hổng bảo mật của hệ thống mạng

- Ghi lại thông tin và đưa ra cảnh báo

- Ngăn chặn vi phạm an ninh, vi phạm chính sách, ngăn chặn tấn công

Phương pháp phát hiện xâm nhập

- Dựa theo dấu hiệu (signature-based);

- Dựa theo hành vi bất thường (anormaly-based);

- Dựa vào phân tích trạng thái giao thức (stateful protocol analysis)

Phát hiện dựa theo dấu hiệu

•Dấu hiệu (signature) =mẫu tương ứng với một nguy cơ đã biết trước

•Phát hiện dựa theo dấu hiệu= quá trình so sánh dấu hiệu với những sự kiện quan sát được

•Dấu hiệu được lưu dưới những file, so sánh trực tiếp với thông tin có trong chuỗi sự kiện

Phát hiện dựa theo hành vi bất thường

• Căn cứ vào các phương pháp thống kê và kinh nghiệm để đưa ra các mức ngưỡng về hoạt động bình thường

• So sánh các sự kiện quan sát được với giá trị ngưỡng bình thường tương ứng để phát hiện xâm nhập

Phân tích trạng thái giao thức

• So sánh giá trị ngưỡng (đã định nghĩa trước) trạng thái hoạt động bình thường của giao thức với các sự kiện quan sát được để nhận biết sự khác biệt

Phân tích dấu hiệu và hành vi

Bên trong IDPS

Các công nghệ IDS/IPS

‰ Phân loại

- Network-based IDPS (NIDPS)

- Host-based IDPS (HIDPS)

- Application-based IDPS (AIDPS)

Mô hình này phổ biến cho các hệ thống NIDPS thực tế Ví dụ như ISS RealSecure, Cisco

IDS, và Enterasys Dragon…

NIDS phát hiện các tấn công bằng cách bắt và phân tích các gói tin trong mạng, giám sát lưu

lượng mạng

NIDS thường là thiết bị thụ động, nó nghe trên các dây mạng mà không làm ảnh hưởng tới

hoạt động bình thường của mạng

‰ Network-based IDPS

Network-based IDS/IPS (1)

Network-based IDPS:

- Giám sát lưu lượng mạng tại những thiết bị mạng hoặc các phân đoạn mạng riêng biệt

- Phân tích các giao thức tại lớp mạng, lớp truyền tải và lớp ứng dụng để xác định những hoạt động khả nghi

Sensor (cảm biến):

Sensor thực hiện giám sát và phân tích hoạt động mạng trên một hoặc nhiều phân đoạn mạng

Có hai dạng Sensor:

- Sensor theo thiết bị (appliance-based sensor) gồm phần cứng và phần mềm chuyên dụng

- Sensor phần mềm (software-only sensor) được cài đặt trên các host cụ thể

Sensor có thể là nội tuyến (inline Sensor) và thụ động (passive sensor)

- Sensor nội tuyến giám sát tất cả lưu lượng mạng đi qua nó (thường kèm theo các

phương pháp ngăn chặn)

- Sensor thụ động giám sát bản sao của lưu lượng mạng thực tế (thường không sử

dụng các biện pháp ngăn chặn)

Network-based IDS/IPS (2)

Network-Base IDPS sử dụng sensor thụ động

Network-Base IDPS sử

dụng sensor nội tuyến

Host-based IDS/IPS

Host-based IDPS (HIDPS) hoạt động dựa vào thông tin được thu thập từ trong một hệ thống máy tính độc lập

HIDPS sử dụng 2 nguồn thông tin:

- các dấu vết hoạt động của hệ điều hành

- các log hệ thống

Nhiều HIDPS được thiết kế hỗ trợ nền tảng báo cáo và

quản lý IDS tập trung, điều này có thể cho phép một cổng

quản lý đơn theo dõi được nhiều host

Một IDS đơn giản nhất là thiết bị giám sát logfile (logfile monitors),

phát hiện xâm nhập bằng cách phân tích các log sự kiện của hệ

thống (dễ bị tin tặc thay đổi log !)

Một khả năng khác là giám sát tính toàn vẹn của cấu trúc hệ thống

Ví dụ: tìm ra sự thay đổi do tin tặc xâm nhập

Các thuộc tính giám sát có thể sử dụng: cờ báo file, thời gian, kích thước, hash, thuộc tính file, quyền truy cập,…

Triển khai Host-based IDS/IPS

- Hầu hết công nghệ HIDPS có các phần

mềm phát hiện gọi là Agent, được cài đặt trên

những host quan tâm

- Mỗi một agent giám sát hoạt động trên một

host riêng, có thể có khả năng ngăn chặn

hành động xâm phạm (HIPS)

- Các agent trao đổi và truyền dữ liệu giám

sát được đến các máy chủ quản lý

- Mỗi một agent thường được thiết kế để bảo

vệ một máy chủ, một máy tính để bàn, một

máy tính laptop hoặc một dịch vụ ứng dụng

Application-based IDS/IPS

- IDPS d ựa trên ứng dụng (AIDPS) là một dạng của IDPS dựa trên host.

- AIDPS phân tích các s ự kiện trong một ứng dụng phần mềm để giám sát và phát

Bảo vệ hệ thống thông tin

an toàn !

Các khả năng bảo vệ mạng

• Không nối Internet !

• Lọc gói tin với Access Control List (ACL)

• Tường lửa (Firewalls)

• Mã hóa (Privacy with encryption)

Encryption

Address Translation

User Authentication

Secure Routing Access

Control

Legacy Integration

Event Logging

Multiprotocol Tunnels Enterprise

Gateways

Các lớp an ninh và yêu cầu về chính sách

• Là nơi kiểm soát, theo dõi thông tin vào ra Kết nối giữa hai mạng có độ tin

• Ngăn chặn tấn công từ Internet (không chặn từ trong !)

• Có thể là 1 chương trình phần mềm hoặc thiết bị phần cứng lọc thông tin

Firewalls

Mô hình cơ bản của Firewalls

ứng dụng gửi tới / nhận từ các hệ thống có yêu cầu

sánh các phần cốt lõi của gói tin với cơ sở dữ liệu xác thực Theo dõi thông tin dựa theo

các đặc tính xác định trước để cho qua hoặc chặn lại.

‰ Phương thức kiểm soát lưu lượng vào / ra

Firewalls – Packet Filter

• Filter = Phần cơ bản nhất, tốc độ cần nhanh nhất của Firewall Là thành phần cấu

thành mọi loại Firewall

• Kiểm tra mọi gói tin IP, cho phép hoặc bỏ theo luật Æ hạn chế truy nhập dịch vụ/cổng

• examine each IP packet (no context) and permit or deny according to rules

– Những gì không cho phép rõ ràng đều bị cấm !

– Những gì cấm không rõ ràng đều được phép !

Cấu hình Firewalls

‰ Các đặc trưng cấu hình Firewall

ƒ IP adr, Domain names: set barrier on.

ƒ Protocols: different hosts handle specific protocols and ban other.

ƒ Ports: enable / disable ports

ƒ Specific words and phrases

‰ Ví dụ về tập luật lọc của Firewall

Proxy Firewalls

ƒ Các chương trình đặc biệt ở máy trạm pháo đài (bastion host)

ƒ Nhận và Chuyển yêu cầu người dùng tới real servers (Proxy là trung gian)

ƒ Nhận và Chuyển trả lời của server tới người dùng (Proxy là trung gian)

ƒ Thực thi chính sách an ninh phía máy trạm và có thể từ chối yêu cầu

ƒ Hoạt động tương tự các gateways mức ứng dụng

ƒ Với các chương trình "Proxy client" đặc biệt, proxy servers hầu như trong suốt đối với

người dùng