bài giảng an toàn thông tin mạng

Các khái niệm An ninh máy tính : tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chống hackers  An ninh mạng : các phương tiện bảo vệ dữ liệu khi truyền chúng  An ninh Interne

AN TOÀN THÔNG TIN MẠNG

Lương Văn Vân - Khoa CNTT

MỘT SỐ TIÊU ĐIỂM CỦA MÔN HỌC

Các khái niệm

 An ninh máy tính : tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chống hackers

 An ninh mạng : các phương tiện bảo vệ

dữ liệu khi truyền chúng

 An ninh Internet : các phương tiện bảo

vệ dữ liệu khi truyền chúng trên tập các mạng liên kết với nhau

Tấn Công Bảo Mật Web

- 95% Công ty có trang Web đều đã từng bị tấn công và chỉ có 5% Công ty nhận biết

VIRUS VÀ CÁCH PHÒNG CHỐNG

C5.

C1: TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN MẠNG

Sự cần thiết phải có an ninh mạng

Sự cần thiết phải có an ninh mạng

 Các yếu tố cần bảo vệ

• Tính bảo mật: Chỉ người có quyền mới được truy nhập

• Tính toàn vẹn: Không bị sửa đổi, bị hỏng.

• Tính kịp thời: Sẵn sàng bất cứ lúc nào

• Tài nguyên máy có thể bị lợi dụng bởi Tin tặc

Sự cần thiết phải có an ninh mạng

 Tác hại đến doanh nghiệp

 Tốn kém chi phí

 Tốn kém thời gian

 Ảnh hưởng đến tài nguyên hệ thống

 Ảnh hưởng danh dự, uy tín doanh nghiệp

 Mất cơ hội kinh doanh

Các loại tấn công trên mạng

thể nhận vài chục, đến vài trăm thư rác: dung lượng, thời gian tải về

năng tự nhân bản và lan tỏa: chiếm tài nguyên, tốc độ xử lý máy tính chậm đi, có thể xóa file, format lại ổ cứng,…

khác với virus ở chỗ sâu không thâm nhập

Các loại tấn công trên mạng (tt)

Trojan: là một loại chương trình nguy hiểm (malware) được dùng để thâm nhập vào máy tính mà người sử dụng máy tính không hay biết

Ví dụ: cài đặt chương trình theo dõi bàn phím

Lừa đảo qua mạng ( Phishing ): giả dạng những

tổ chức hợp pháp như ngân hàng, dịch vụ thanh toán qua mạng

cá nhân và thông tin tín dụng

thưởng rất lớn

như thật” trên mạng

Các loại tấn công trên mạng (tt)

 chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có sự nhận biết và cho phép của chủ máy

 Một cách điển hình, spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà người ta

có thể tải về từ Internet

 Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác (thường là của những hãng chuyên bán quảng cáo hoặc của các tin tặc)

Các loại tấn công trên mạng (tt)

Hacking: Hacking

 Bị tấn công từ chối phục vụ (Denial of Service – DoS/ DDoS): hacker tự động gửi hàng loạt yêu cầu về server làm server này quá tải

 Bị cướp tên miền :

• Tìm email quản lý tên miền

• Lừa chủ tài khoản email để lấy được password

• Yêu cầu nhà cung cấp dịch vụ quản lý tên miền cung

cấp password để quản lý tên miền

• Thay đổi thông số tên miền, chuyển tên miền sang

website quản lý khác, thay đổi password quản lý,…

Các loại tấn công trên mạng (tt)

Hacking (tt):

 Bị xâm nhập host hoặc dữ liệu trái phép

• Tấn công nội bộ (local attack) tức hacker mua một host trên cùng một server với host

“nạn nhân”

• Tìm cách có được password của host

• Nghiên cứu kẽ hở trong lập trình để thâm nhập vào host

• Tham nhập vào cơ sở dữ liệu của website

Phương Thức Tấn Công

Thu Thập Thông Tin Chung

Khảo Sát Ứng Dụng

Dò tìm lỗi tự động Dò tìm lỗi manual

Khai Thác Lỗi / Tấn Công Chiếm quyền máy chủ / Toàn mạng LAN

Xóa Dấu Vết

Những kẻ tấn công là ai?

 Hacker hay Tin tặc hay Tin tặc

Những kẻ tấn công là ai (tt)

“Người qua đường”

 Những kẻ buồn chán với công việc hàng ngày, muốn giải trí bằng cách đột nhập vào các hệ thống mạng.

 Chúng thích thú khi đột nhập được vào máy tính của người khác mà không được phép.

 Đối tượng này không chủ định phá hoại, nhưng những hành vi xâm nhập và việc chúng xoá dấu vết khi rút lui có thể vô tình làm cho hệ thống bị trục trặc

Những kẻ tấn công là ai (tt)

 Những kẻ muốn khẳng định mình qua những kiểu tấn công mới, số lượng hệ thống chúng đã thâm nhập

 Chúng thích đột nhập những nơi nổi tiếng, canh phòng cẩn mật

Những kẻ tấn công là ai (tt)

 “Gián điệp”

mục đích khác nhau, để mua bán, trao đổi

 Ngoài ra còn bao gồm những kẻ tạo ra virus, bẻ khoá phần mềm

Tin tặc thường là những người tương đối am hiểu hệ thống.

 Cũng có những Tin tặc không hiểu biết nhiều về

hệ thống, chúng chỉ đơn thuần là dùng những

Tổ chức an toàn, an ninh thông tin mạng VN

Bộ Quốc phòng Bộ thông tin và

Bộ Nội vụ

Ban Cơ yếu

Theo Điều 226a Bộ luật Hình sự,

"Tội truy cập bất hợp pháp vào mạng máy tính, mạng viễn thông,

mạng Internet hoặc thiết bị số của người khác thì bị xử phạt từ

20 triệu đồng đến 200 triệu đồng hoặcbị phạt tù từ 1 đến 5 năm"

Tổ chức an toàn, an ninh thông tin mạng HQ

Cơ quan tình báo quốc gia Hàn Quốc NIS Tổng cục An toàn mạng quốc gia NCSC

CÁC CHIẾN LƯỢC ATM

CÁC CHIẾN LƯỢC ATM

 Nên áp dụng nhiều chế độ an toàn khác nhau

 Nhiều lớp an toàn khác nhau, chia thành các vòng bảo vệ bao lấy nhau

CÁC CHIẾN LƯỢC ATM

một cửa khẩu hẹp mà ta quản lý được

CÁC CHIẾN LƯỢC ATM

 Phải quan tâm tới tất cả các máy trong mạng, vì mỗi máy đều có thể là bàn đạp tấn công từ bên trong

 Bản thân một máy có thể không lưu trữ những thông tin hay dịch vụ quan trọng, nhưng để nó bị đột nhập thì những máy tính khác trong mạng cũng dễ dàng bị tấn công từ trong ra

CÁC CHIẾN LƯỢC ATM

 Nếu tất cả cùng dùng một hệ điều hành hay một loại phần mềm duy nhất thì sẽ có thể bị tấn công đồng loạt và không có khả năng hồi phục ngay

 Nếu dùng nhiều loại hệ điều hành cũng như phần mềm ứng dụng thì hỏng cái này,

ta còn cái khác

CÁC CHIẾN LƯỢC ATM

Bức tường lửa – Firewall

 Là kỹ thuật được tích hợp vào mạng để chống lại

sự truy cập trái phép, nhằm bảo vệ nguồn thông tin nội bộ, hạn chế xâm nhập

 Internet Firewall là thiết bị (phần cứng, mềm) nằm giữa mạng nội bộ Intranet (công ty, tổ chức, quốc gia ) và Internet Thực hiện việc bảo mật thông tin của Intranet từ thế giới Internet bên ngoài.

 Thường được xây dựng trên hệ thống mạnh, chịu

ATM dành cho DN VN tham gia TMĐT

 Hacking: DN thường xuyên kiểm tra website để kịp thời phát hiện sự cố

 Bị tấn công từ chối phục vụ: Nếu thuê dịch vụ host,

DN yêu cầu nhà cung cấp dịch vụ xử lý

 Bị cướp tên miền : DN có thể tự quản lý password của tên miền hoặc giao cho nhà cung cấp dịch vụ quản lý

 Bị xâm nhập host hoặc dữ liệu trái phép:

• Khi xảy ra sự cố, doanh nghiệp yêu cầu nhà cung

cấp dịch vụ host nêu rõ phương thức xử lý

• Yêu cầu nhà cung cấp dịch vụ host sao lưu

(backup) dữ liệu website thường xuyên

• Nhà cung cấp dịch vụ phải có ít nhất 2 server để

kịp thời chuyển sang server khác khi có sự cố

 Tự bảo vệ mật khẩu

quản lý website,…) thì ít người biết password của

 An toàn dữ liệu, thông tin

ATM dành cho DN VN tham gia TMĐT

An toàn mạng dành cho cá nhân

 Khi có spam nên xóa đi, đừng gởi reply

 Cài đặt và cập nhật chương trình diệt virus mới nhất

 Bỏ qua mọi email yêu cầu cung cấp thông tin

 Nếu mua qua mạng bằng thẻ tín dụng thì kiểm tra các khoản chi hàng tháng

 Khi có mail lạ gởi file đính kèm, tốt nhất nên xóa mail đó

 Khi duyệt web, có thông báo yêu cầu chọn “Yes”, “No” thì phải đọc kỹ

 Khi đăng nhập tài khoản, sử dụng xong nên “thoát” ra khỏi chương trình

“nhớ mật khẩu”

10 lời khuyên về bảo mật

 1 Khuyến khích hoặc yêu cầu nhân viên chọn mật khẩu không quá rõ ràng.

 2 Yêu cầu nhân viên thay đổi mật khẩu sau 90 ngày.

 3 Đảm bảo rằng chương trình quét virus của bạn là mới nhất.

 4 Hướng dẫn nhân viên về hậu quả bảo mật thông qua việc gửi mail.

 5 Thực thi giải pháp bảo mật mạng đầy đủ và toàn diện.

 6 Đánh giá tình hình bảo mật một cách thường xuyên.

 7 Khi một nhân viên không còn làm việc tại công ty, hãy xoá bỏ quyền truy cầp mạng của anh ta.

 8 Nếu nhân viên làm việc tại nhà, hãy cung cấp dịch vụ quản lý bảo mật tập trung.

Cơ chế mã hóa

 Mã hóa là quá trình trộn văn bản với khóa mã tạo thành văn bản không thể đọc được trên mạng

 Khi nhận được, dùng khóa mã giải mã thành bản gốc

 Mã hóa và giải mã gồm 4 phần cơ bản:

1 Văn bản nhập vào (văn bản gốc) – plaintext

2 Thuật toán mã hóa – Encryption

3 Văn bản đã mã – ciphertext

4 Giải mã – Decryption

Cơ chế mã hóa (tt)

Chữ ký điện tử - Tạo chữ ký số

Bản tóm lược

Hàm băm

Gắn với thông điệp dữ liệu

Chữ ký số

Chữ ký số đơn giản cho thông điệp m:

 Tý ký m bằng cách mã hóa với khóa riêng của anh ấy KB,

tạo thông điệp “đã được ký”, K - B (m)

khóa riêng của

Tý

K B

-thông điệp của a

Tý là m, đã ký (mã hóa) với khóa riêng của a Tý

K B-(m)

 chứng chỉ chứa khóa công cộng của E E được ký

số bởi CA CA – CA CA nói “đây là khóa công cộng của

E”

& còn giá trị

Ok! Tin tưởng &

chấp nhận đề nghị.

Sử dụng chứng chỉ

Cần chứng thực giấy chứng nhận

Cần chứng thực giấy chứng nhận

Chứng nhận đã bị HỦY

vào 25/3/2009 3:10:22Hủy

giao dịch

Các Firewall-Tường lửa

cô lập mạng nội bộ của tổ chức với Internet, cho phép

một số gói được truyền qua, ngăn chặn các gói khác

firewall

mạng đã được quản trị

Internet công cộng

Firewall: Tại sao phải dùng?

 Ngăn chặn các cuộc tấn công từ chối dịch vụ Denial Of Service (DoS):

 Ngăn chặn việc sửa đổi/truy cập bất hợp pháp các dữ liệu nội bộ.

 Chỉ cho phép các truy cập hợp pháp vào bên trong mạng (tập hợp các host/user được chứng thực)

 2 kiểu firewall:

 mức ứng dụng

 lọc gói tin

Lọc gói tin

 mạng nội bộ kết nối với Internet thông qua router firewall

 router lọc từng gói một, xác định chuyển tiếp hoặc bỏ các gói dựa trên:

 địa chỉ IP nguồn, địa chỉ IP đích

 các số hiệu port TCP/UDP nguồn và đích

Các gói đến sẽ được phép vào? Các gói chuẩn bị ra có được phép không?

Lọc gói tin

 Ví dụ 1: chặn các datagram đến và đi với trường giao thức IP = 17 và port nguồn hoặc đích = 23.

 Tất cả các dòng UDP đến/đi và các kết nối telnet đều bị chặn lại

 Ví dụ 2: chặn các đoạn Block TCP với ACK=0.

 Ngăn chặn các client bên ngoài tạo các kết nối TCP với các client bên trong, nhưng cho phép các client bên trong kết nối ra ngoài.

phiên telnet t ừ gateway đ n host ế

application gateway router và l cọc

1 yêu cầu tất cả các user phải telnet thông qua gateway

2 với các user đã được cấp phép, gateway thiết lập kết nối với host

đích gateway tiếp vận dữ liệu giữa 2 kết nối.

3 Router lọc và chặn tất cả các kết nối telnet không xuất phát từ

Các hạn chế của các firewall và gateway

 giả mạo IP: router không thể biết dữ liệu có thực

sự đến từ nguồn tin cậy hay không

 phần mềm client phải biết cách tiếp xúc với gateway.

 ví dụ: phải thiết lập địa chỉ IP của proxy trong trình duyệt Web

 các lọc thường dùng tất cả hoặc không có chính sách nào dành cho UDP

 nhiều site bảo vệ mức cao vẫn phải chịu đựng

sự tấn công

Các loại tấn công và cách phòng chống

Phương thức:

 Trước khi tấn công: hacker tìm hiểu các dịch vụ

đã hiện thực/hoạt động trên mạng

 Dùng ping để xác định các host nào có địa chỉ trên mạng

 Quét port: liên tục thử thiết lập các kết nối TCP với mỗi port (xem thử chuyện gì xảy ra)

Biện pháp đối phó?

 Ghi nhận lưu thông vào mạng

Các mối đe dọa bảo mật Internet

Packet sniffing: Nghe ngóng gói

 Đọc tất cả các gói chuyển qua nó

 Có thể đọc tất cả các dữ liệu được mã hóa (như mật khẩu)

 Ví dụ: C nghe ngóng các gói của B

A

B C

src:B dest:A payload

Các mối đe dọa bảo mật Internet

Packet sniffing: Biện pháp đối phó

 Tất cả các host trong tổ chức chạy phần mềm kiểm tra định kỳ xem host có ở chế độ đ ọc tất

cả các gói chuyển qua nó

 1 host mỗi đoạn của phương tiện truyền thông

src:B dest:A payload

Các mối đe dọa bảo mật Internet

IP Spoofing (giả mạo IP):

 Có thể sinh ra các gói IP “thô” trực tiếp từ ứng dụng, gán giá trị bất kỳ vào trường địa chỉ IP nguồn

 Bên nhận không thể xác định nguồn bị giả mạo

 Ví dụ: C giả mạo là B

A

B C

src:B dest:A payload

Các mối đe dọa bảo mật Internet

IP Spoofing: lọc quyền vào

 Router sẽ không chuyển tiếp các gói đi với trường hợp các địa chỉ nguồn không hợp lệ

 Tuyệt vời, nhưng lọc như thế không thể áp dụng cho tất cả các mạng

src:B dest:A payload

Các mối đe dọa bảo mật Internet

Denial of Service (DoS):

 Gây ra “ngập lụt” bằng các gói sinh ra bởi ý đồ xấu cho bên nhận

 Distributed DOS (DDoS): nhiều nguồn phối hợp làm

SYN

SYN SYN SYN

Các mối đe dọa bảo mật Internet

Denial of Service (DoS): Biện pháp đối phó?

 Lọc ra trước các gói dùng làm “ngập lụt” (ví dụ: SYN)

 Theo dõi ngược lại nguồn gây ra “ngập lụt” (cơ chế giống máy phát hiện nói dối của Mỹ)

SYN SYN SYN

SYN SYN

BẢO MẬT LƯU THÔNG

MẠNG VỚI

MẠNG VỚI IPSEC

MỤC TIÊU CỦA IPSEC

 Bảo vệ nội dung của các gói tin IP

 Cung cấp sự phòng vệ chống lại các cuộc tấn công

IPSEC LÀ GÌ?

cung cấp các dịch vụ bảo mật dạng mã hóa cho các gói

CÁC TÍNH NĂNG BẢO MẬT IPSEC

nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sửa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi người nhận

 Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo,

CÁC TÍNH NĂNG BẢO MẬT IPSEC (tt)

 Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó

IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén

CÁC TÍNH NĂNG BẢO MẬT IPSEC (tt)

Key Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước

và trong suốt phiên giao dịch

 Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa

đó khi được yêu cầu

 Mỗi Policy có thể chứa một hoặc nhiều Rule,

 Mỗi Rule bao gồm:

 Filter: Filter báo cho Policy những thông tin lưu chuyển nào sẽ áp dụng với Filter Action.

 Filter Action: Báo cho Policy phải đưa ra hành động gì nếu thông tin lưu chuyển trùng với định dạng đã xác định tại Filter

NHỮNG CHÍNH SÁCH IPSEC MẶC ĐỊNH

động, chỉ phản hồi sử dụng IPSEC nếu

trên các Workstation

 Chính sách mặc định này chỉ có một rule được gọi là Default Respond Rule

 Rule này cho phép Computer phản hồi đến các yêu cầu IPSEC ESP từ các Computer được tin cậy trong Active directory domain ESP là một chế độ IPSEC cung cấp độ tin cậy cho việc xác

NHỮNG CHÍNH SÁCH IPSEC MẶC ĐỊNH

động với chính sách này luôn chủ động dùng IPSEC trong giao tiếp.

hoặc Workstation Chính sách có 3 Rules :

dùng giao thức ICMP

NHỮNG CHÍNH SÁCH IPSEC MẶC ĐỊNH

Secure Server ( require security ): Bắt buộc dùng

IPSEC cho giao tiếp Mạng Có thể dùng chính sách này cho cả Server, Workstation

 Chính sách có 3 Rules:

(trừ ICMP) phải được mã hóa với ESP, ngược lại Server sẽ không giao tiếp .

CẤU HÌNH IPSEC (TT)

không cho phép truy cập, tạo luật cho phép và không cho phép

 Danh sách cho phép là hai máy tính có địa chỉ IP 100.168.100.30 và 100.168.100.40, hai máy tính này có thể truy cập vào máy chủ có địa chỉ IP 100.168.100.10 thông qua giao thức TCP tại hai cổng 445 và

139