Cơ bản về an ninh mạng

Hồ Hải Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 11 Các mối đe dọa và tấn công mạng Nhiều loại tấn công Các cuộc tấn công mạng có thể đa dạng như là các hệ thống mà chúng cố gắn

Trang 1

1

Đại học Công nghệ thông tin

Khoa Mạng máy tính và truyền thông

ThS Hồ Hải

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập 1

Cơ bản về

An ninh mạng

Trang 2

2

5 Các mối đe dọa và tấn công mạng

Packet sniffer, port scan, tấn công password, khai thác

sự tin tưởng, chuyển hướng port, Man-in-the-Midle, DoS, Giả

mạo IP

6 Worm, virus và trojan horse

7 Tấn công tầng Application

Trang 3

3

ThS Hồ Hải

Trang 4

4

ThS Hồ Hải

Open Network

Trang 5

5

ThS Hồ Hải

Nguy hiểm trên mạng ngày càng gia tăng

Trang 6

6

ThS Hồ Hải

Bảo mật mạng là 1 tiến trình

liên tục

Trang 7

7

ThS Hồ Hải

3 tiêu chí chính của bảo mật mạng

Tính bí mật (Confidentiality)

Tính toàn vẹn dữ liệu (Integrity)

Tính sẵn sàn (Availability)

Trang 8

8

ThS Hồ Hải

Chính sách bảo mật là gì?

Chính sách bảo mật là những qui định (luật

lệ) mà những người được phép truy cập vào

tài sản thông tin của tổ chức phải tuân thủ.

Theo RFC 2196, Site Security handbook

Trang 9

9

ThS Hồ Hải

Tại sao phải tạo chính sách

bảo mật

- Tạo ra vạch ranh giới của đặc điểm bảo mật mạng hiện tại trong tổ

chức.

- Thiết lập khuôn khổ cho việc thực hiện an ninh

- Định nghĩa các hành động được phép và không được phép

- Xác định các thủ tục và các công cụ cần thiết

- Truyền thông sự đồng thuận và định nghĩa các vai trò

- Định nghĩa cách xử lý các sự cố an ninh

- Thông báo cho người sử dụng trách nhiệm của mình

- Định nghĩa các tài sản trong mạng và cách sử dụng chúng

- Nêu rõ hậu quả của việc sử dụng sai mục đích

Trang 10

10

Trang 11

11

ThS Hồ Hải

Các mối đe dọa và tấn công mạng

Nhiều loại tấn công

Các cuộc tấn công mạng

có thể đa dạng như là

các hệ thống mà chúng

cố gắng xâm nhập

Trang 12

12

ThS Hồ Hải

Các mối đe dọa bảo mật mạng

4 loại mối đe dọa đến mạng:

- Mối đe dọa phi cấu trúc

- Mối đe dọa có cấu trúc

- Mối đe dọa từ bên ngoài

- Mối đe dọa từ bên trong

Trang 13

13

ThS Hồ Hải

Các cuộc tấn công này thường đến từ

các cá nhân ít kinh nghiệm và kiến

thức về an ninh mạng Họ thường

dùng các công cụ có sẵn như là các

đoạn script hoặc các công cụ bẻ

khóa.

Trang 14

14

ThS Hồ Hải

Các cuộc tấn công này thường được

thực hiện bởi những kẻ tấn công có

kiến thức và kỹ thuật cao về an ninh

mạng Họ có thể tự khai thác các

điểm yếu của hệ thống từ đó có thể

viết và phát triển các đoạn code để

tấn công hệ thống.

Trang 15

15

ThS Hồ Hải

4 loại tấn công chính

- Tấn công thăm dò (Reconnaissance attacks)

- Tấn công truy cập (Access attacks)

- Tấn công từ chối dịch vụ (Denial of service attacks)

- Worms, viruses, and Trojan horses

Trang 16

16

Trang 17

17

ThS Hồ Hải

Packet sniffers

Packet sniffer là một ứng dụng phần mềm sử dụng card mạng để bắt

lại các packet trên mạng Các tính năng của packet sniffers:

-Packet sniffers khai thác thông tin được truyền trong dạng bản rõ (clear

text) Các giao thức truyền thông tin trong dạng bản rõ:

- Telnel, FTP, SNMP, POP, HTTP

- Packet sniffers phải ở trên cùng một collision domain

- Packet sniffers có thể là mục đích chung hoặc có thể được thiết kế riêng

cho cuộc tấn công

Trang 18

18

ThS Hồ Hải

Giảm nhẹ tấn công Packet sniffer

Những kỹ thuật và công cụ sau có thể được sử dụng để làm

giảm nhẹ tấn công sniffer:

- Xác thực (Authentication): dùng các phương pháp xác thực mạnh,

như là one-time password.

- Cơ sở hạ tầng được chuyển mạch (switched infrastructure).

- Các công cụ antisniffer

- Mật mã

Trang 19

19

ThS Hồ Hải

Quét cổng (port scan)

Trang 20

20

ThS Hồ Hải

- Không thể ngăn ngừa hoàn toàn quét port

- Hệ thống IDS có thể thông báo cho người

quản trị mạng khi có tấn công quét port xảy

ra

Trang 21

21

ThS Hồ Hải

Trong các cuộc tấn công truy cập, kẻ xâm nhập

thường tấn công mạng hoặc hệ thống để:

- Lấy dữ liệu

- Lấy quyền truy cập

- Leo thang tới quyền truy cập cao hơn

Trang 22

22

Trang 23

23

ThS Hồ Hải

- Không cho phép người dùng sử dụng password giống

nhau trên nhiều hệ thống

- Vô hiệu quá tài khoản người dùng nếu người đó đăng

nhập không thành công sau một số lần nhất định.

- Không sử dụng password ở dạng bản rõ (clear text).

Trang 24

24

ThS Hồ Hải

Khai thác (lợi dụng) sự tin tưởng

Kẻ xâm nhập tận dụng

mối quan hệ tin cậy hiện có.

Một số mô hình tin cậy:

Trang 25

25

ThS Hồ Hải

Chống lại sự khai thác tin tưởng

- Các hệ thống bên trong

tường lửa không nên tin

tưởng hoàn toàn vào hệ

thống bên ngoài tường lửa

-Sự tin tưởng nên được

giới hạn bằng giao thức

cụ thể và nên được xác

nhận bởi một số yếu tố

khác ngoài địa chỉ IP

Trang 26

26

ThS Hồ Hải

- Chuyển hướng port là một loại

tấn công khai thác sự tin tưởng.

Trong đó, kẻ tấn công sẽ sử dụng

host đã bị tấn công để truyền tải

lưu lượng (mặc định là bị chặn

bởi tường lửa) vượt qua tường lửa.

- Chống lại việc chuyển hướng

port bằng cách sử dụng các mô hình

tin tưởng thích hợp (trust model).

- Phần mềm antivirus và host-based IDS

có thể giúp phát hiện và ngăn chặn

kẻ xâm nhập cài đặt các công cụ

chuyển hướng port lên host.

Trang 27

27

ThS Hồ Hải

Man-in-the-Midle

Tấn công kiểu Man-in-the-midle yêu cầu kẻ tấn công có truy cập tới các

packet di chuyển qua mạng

Tấn công kiểu Man-in-the-midle được thực hiện bằng cách thực hiện:

- Network packet sniffers

- Các giao thức định tuyến và vận chuyển

Tấn công kiểu Man-in-the-midle có thể:

- Lấy cắp thông tin

- Chiếm quyền điều khiển của session hiện tại

- Phân tích lưu lượng

- DoS

- Sửa đổi dữ liệu được truyền

Trang 28

28

Trang 29

29

ThS Hồ Hải

Tấn công từ chối dịch vụ xảy ra khi

kẻ xâm nhập tấn công làm cho hệ

thống mạng bị hư hỏng hoặc từ chối

bạn hoặc các người dùng khác truy

cập vào mạng, hệ thống và dịch vụ.

Trang 30

30

ThS Hồ Hải

Các loại tấn công từ chối dịch vụ

Trang 31

31

ThS Hồ Hải

Chống lại tấn công từ chối dịch vụ

Mối đe DoS có thể được giảm thông

qua các phương pháp sau:

- Antispoof

- Anti-DoS

- Giới hạn tốc độ lưu lượng

Trang 32

32

ThS Hồ Hải

Giả mạo IP xảy ra khi một kẻ tấn công từ bên trong hoặc

bên ngoài giả danh một cuộc đàm thoại của một máy tính

được tính tưởng

2 kỹ thuật chung được sử dụng trong quá trình giả mạo IP:

- Kẻ tấn công sử dụng địa chỉ IP trong phạm vi của các địa chỉ

IP được tin cậy.

- Kẻ tấn công sử dụng địa chỉ IP bên ngoài được ủy quyền (tin

cậy).

Sử dụng giả mạo IP bao gồm:

- Chèn các dữ liệu hoặc các lệnh độc hại vào trong luồng dữ

liệu hiện tại.

- Nếu kẻ tấn công thay đổi bảng định tuyến để trỏ đến địa chỉ

IP giả mạo, thì kẻ tấn công có thể nhận tất cả các packet trên

mạng mà được định địa chỉ tới địa chỉ giả mạo.

Trang 33

33

ThS Hồ Hải

Mỗi đe dọa của giả mạo IP không thể được loại bỏ

hoàn toàn, nhưng có thể được giảm nhẹ:

- Access control: cấu hình access control hợp lý để chống

lại giả mạo IP.

- RFC 2827 filtering: ngăn chặn bất kỳ lưu lượng từ bên

trong mạng ra bên ngoài mà không có địa IP nguồn nằm

trong dãy địa chỉ mạng của tổ chức.

- Dùng các kỹ thuật mật mã

- Dùng password mạnh, one-time password

Trang 34

34

ThS Hồ Hải

Worm, virus, và Trojan horse

Các lỗ hỏng chính của người dùng đầu cuối là worm,

virus và trojan horse

- Worm thực thi mã (code) tùy ý và cài đặt bản sao của nó

vào máy tính bị nhiễm để sau đó lây nhiễm vào các máy

khác.

- Virus là phần mềm độc hại được gắn vào chương trình

khác để thực thi một nhiệm vụ không mong muốn trên

máy tính của người dùng

- Trojan horse không giống như worm hoặc virus Nó

được viết ra trông giống như là 1 chương trình nào đó,

nhưng thực chất nó là công cụ dùng để tấn công

Trang 35

35

Tiêm chủng (Inoculation): bắt đầu vá tất cả hệ thống, và

nếu có thể thì quét tất cả hệ thống dễ bị tổn thương.

Kiểm dịch (Quarantine): theo dõi mỗi máy tính bị nhiễm

bên trong mạng Ngắt kết nối, loại bỏ, hoặc chặn các máy

tính bị nhiễm khỏi mạng

Điều trị (Treatment): làm sạch và vá mỗi hệ thống bị

nhiễm.

Trang 36

36

ThS Hồ Hải

- Sử dụng các chương trình antivirus hiệu quả

- Cập nhật các kiểu tấn công mới nhất

- Cập nhật phiên bản phần mềm antivirus

mới nhất

- Sử dụng hiệu quả bảo vệ xâm nhập

Trang 37

37

ThS Hồ Hải

Tấn công tầng Application có các đặc điểm sau:

- Khai thác các điểm yếu của các giao thức, như là

sendmail, HTTP, FTP

- Thường sử dụng các port được cho phép thông qua

firewall Ví dụ: TCP port 80 được sử dụng trong các cuộc

tấn công web server phía sau firewall

- Có lẽ không bảo giờ được loại bỏ hoàn toàn, bởi vì lỗ

hỏng mới luôn luôn được khám phá

Trang 38

38

ThS Hồ Hải

Chống lại tấn công tầng Application

Các biện pháp sau có thể giảm nguy cơ tấn công tầng

Application:

- Xem xét các tập tin log mạng và hệ điều hành, phân tích

các tập tin này.

- Theo dõi các danh sách gửi thư

- Cập nhật các bản vá lỗi cho hệ điều này và các ứng dụng

- Sử dụng IDS

Trang 39

39

5 Các mối đe dọa và tấn công mạng

Packet sniffer, port scan, tấn công password,

khai thác sự tin tưởng, chuyển hướng port,

Man-in-the-Midle, DoS, Giả mạo IP

6 Worm, virus và trojan horse

7 Tấn công tầng Application

Định dạng
Số trang	39
Dung lượng	767,55 KB