Chapter 12 dịch network security

Các thành phần trong mô hình bảo mật của WindowsSecurity reference monitor Xác nhận rằng một người dùng được cho phép hoặc có quyền truy cập một đối tượng.. nó cũng thực thi các chính s

Trong chương này, các bạn sẽ học để:

 Kỹ thuật lừa đảo qua hình thức xã hội

• Tấn công bằng kỹ thuật lừa đảo qua hình thức xã hội, kẻ tấn công

sẽ làm tổn hại đến hệ thống mạng thông qua tương tác xã hội với một cá nhân, thông qua một tin nhắn thư điện tử hoặc một cú điện thoại, và lừa cá nhân tiết lộ thông tin mà có thể sử dụng để xâm phạm an ninh

• Có rất nhiều ví dụ về tấn công kỹ thuật xã hội Dưới đây là một

số kịch bản phổ biến nhất:

 Hacker mạo danh nhà quản trị

 Hacker mạo danh người dùng

 Hacker mạo danh nhà cung cấp

• Tấn công Phishing:

 Một loại tấn công rất phổ biến hiện nay được biết đến đó là tấn công Phishing! Tấn công phishing là khi hacker tạo ra một web site giả trông chính xác giống như một web site phổ biến như là ngân hàng hoặc eBay

 Tấn công dựa trên mạng

• Hầu hết các loại tấn công đều dựa trên mạng, nơi mà hacker thực hiện tấn công từ một hệ thống từ xa Có nhiều loại tấn công mạng:

 Tấn công nghe lén

 Tấn công giả mạo

 Tấn công – chiếm quyền kiểm soát

 Xác thực

• Xác thực là quá trình tại đó người dùng tự xác nhận bản thân

vào trong hệ thống mạng và sau đó mới có thể bắt đầu truy cập các nguồn mạng.

• Phương pháp được sử dụng để xác thực người dùng phụ thuộc vào môi trường mạng và có các hình thức sau đây: Tên người dùng và mật khẩu, thẻ thông minh, thiết bị sinh trắc.

Đang đăng nhập vào một mạng

 Xác thực

• Có một số pháp xác thực được sử dụng trong thế giới

Microsoft như được mô tả trong danh sách sau đây: Xác thực

ẩn danh, xác thực cơ bản, xác thực tích hợp của Windows.

• Các giao thức xác thực chuẩn được sử dụng trong các dịch vụ

mạng đa dạng như RAS và VPN để xác thực bao gồm các giao thức sau:

 Giao thức xác thực mật khẩu (PAP)

 Challenge Handshake Authentication Protocol (CHAP)

 Microsoft Challenge Handshake Authentication Protocol

(MS-CHAP)

 MS-CHAPv2

 Giao thức xác thực có thể mở rộng (EAP)

 Xác thực

• Khi các bạn đã được xác thực với hệ thống mạng, bạn sẽ được quyền để truy cập các tài nguyên trên mạng Có nhiều loại xác thực, phụ thuộc vào những gì mà bạn đang cố gắng để xác thực cho nó

• Sự cho phép và quyền

 Trong thế giới Microsoft, có sự khác biệt giữa sự cho phép và quyền,

do vậy việc làm rõ sự khác nhau đó rất quan trọng.

 Một sự cho phép đó là cấp độ truy cập của bạn với một nguồn dữ liệu

như là một tập tin, thư mục hoặc một đối tượng Sự cho phép là một đặc điểm của nguồn tài nguyên và không phải đặc điểm của tài khoản người dùng

 Quyền là đặc quyền của bạn trong hệ điều hành để thực hiện một

nhiệm vụ

 Nhiều khi, quyền có thể khống chế các sự cho phép, bởi vì đặc quyền

mà bạn được phân công giữ vị thế ưu tiên hơn cả

Các thành phần trong mô hình bảo mật của Windows

Security reference

monitor

Xác nhận rằng một người dùng được cho phép hoặc có quyền truy cập một đối tượng nó cũng thực thi các chính sách kiểm toán được cung cấp bởi LSA

Net Logon Một dịch vụ mà nó sử dụng để xác nhận một ứng viên trong quá trình đăng nhập

khác với cơ sở dữ liệu SAM

Security account

Manager

Quản lý dịch vu chứng thực cho việc xác thực quyền bảo mật cục bộ trong một hệ thống Windows Cơ sở dữ liệu SAM là cơ sở dữ liệu của người dùng & nhóm tài khoản máy trong hệ thống cục bộ như là Windows XP SAM cũng thường được dùng trong các hệ thống mạng ngang hàng

Active Directory Dịch vụ Active Directory trên Windows 2000/2003/2008 server là dịch vụ mà ở đó

có cơ sở dữ liệu tài khoản người dùng, nhóm người dùng có thể sử dụng để truy cập tài nguyên trên mạng Cơ sở dữ liệu của Active Directory được chứa trên máy chủ quản trị miền & được đồng bộ giữa các máy chủ với nhau

 Bảo mật cho hệ thống phụ Windows

• Quá trình đăng nhập thay đổi phụ thuộc vào việc bạn đăng nhập vào cơ sở dữ liệu SAM hay cơ sở dữ liệu Active Directory Các bước để đăng nhập vào cơ sở dữ liệu SAM

Đang đăng nhập vào cơ sở dữ liệu SAM

 Bảo mật cho hệ thống phụ Windows

• Thẻ truy cập: thẻ truy cập lưu trữ và duy trì các thông tin cần thiết để xác nhận bảo mật và tài nguyên Bao gồm các thông tin sau:

 Bảo mật theo chế độ nhận dạng (SID)

 Bảo mật theo chế độ nhóm

 Phần tự nhận dạng an toàn theo nhóm chính

 Các quyền truy cập

 Bảo mật hệ thống phụ Windows

• Mô tả các dạng bảo mật và danh sách kiểm soát truy cập:

 Hầu hết các môi trường mạng đều dựa trên cơ sở mô hình bảo mật riêng để sử dụng các đối tượng Mọi thứ đều là một đối tượng trong thế giới mạng

 VD : Người dùng, nhóm, máy tính, thư mục, tập tin

Xem ACL với các ACEs trong hệ điều hành Windows

Các thuộc tính trong mô tả bảo mật

Mô t đ c tính ả ặ

b o m t ả ậ

Mô tả

System access

control list (SACL)

Ch a n i dung ki m toán c a đ i t ứ ộ ể ủ ố ượ ng n u tính năng ki m ế ể toán đ ượ c b t trên đ i t ậ ố ượ ng đó Ví d , n u b n quy t đ nh ụ ế ạ ế ị

ki m toán m i ng ể ọ ườ i không đ c đ ọ ượ c th m c, danh sách truy ư ụ

c p h th ng s có m t n i dung cho vi c nhóm everyone b ậ ệ ố ẽ ộ ộ ệ ị

th t b i v i quy n Read (đ c) ấ ạ ớ ề ọ

Discretionary

access control list

(DACL)

Xác đ nh users & groups nào v a truy câp vào đ i t ị ừ ố ượ ng này &

s truy c p v i quy n nào Ví d , b n mu n k toán có th ẽ ậ ớ ề ụ ạ ố ế ể

s a n i dung c a m t file DACL s thêm m t n i dung cho ử ộ ủ ộ ẽ ộ ộ phép k toán s a ế ử

Owner Duy trì m t b n ghi c a ng ộ ả ủ ườ i dùng ng ườ ở ữ i s h u tài nguyên

Trong Microsoft, ng ườ i nào t o ra đ i t ạ ố ượ ng thì ng ườ i đó s ở

h u đ i t ữ ố ượ ng đó Ng ườ ở ữ i s h u đ i t ố ượ ng có quy n thay đ i ề ổ quy n đ i v i m t đ i t ề ố ớ ộ ố ượ ng t i b t c th i đi m nào Có ạ ấ ứ ờ ể nghĩa là ng ườ ở ữ i s h u c a đ i t ủ ố ượ ng là ng ườ i xác đ nh đ c t ị ặ ả quy n c a đ i t ề ủ ố ượ ng.

Primary Group Đ c đi m này các đ nh ID nhóm chính c a ng ặ ể ị ủ ườ ở ữ i s h u m t ộ

đ i t ố ượ ng.

Mô tả bảo mật của một đối tượng có chứa các thuộc

tính mà mô tả sự bảo mật của đối tượng đó

Chứa danh sách của các nội dung kiểm toán mà quyết định mức của việc kiểm toán trên một đối tượng

System ID của người sở hữu đối tượng

System ID của nhóm chính sở hữu đối tượng.

 Bảo mật theo cấp người dùng

• Trong hệ điều hành Windows, Windows XP, Windows

Server 2003/2008, và Vista, các bạn sẽ dùng bảo mật theo cấp người dùng, không cho phép các bạn lựa chọn, nhưng được chọn một danh sách người dùng có thể truy cập các nguồn tài nguyên

• Khi cấu hình bảo mật theo cấp người dùng, các bạn sẽ cần

phải chọn người dùng hoặc nhóm nào trước (được xem như

là các quy tắc bảo mật) và sau đó sự cho phép trong bất kỳ môi trường làm việc nào sẽ truy cập các nguồn

Bảo mật theo cấp người dùng cho phép

bạn lựa chọn người dùng nào truy cập

nguồn

Những quyền hạn trong định dạng NTFS thường được gán cho các thư mục và tập tin

Quyền truy cập Mô tả

Read & Execute Đây là quyền cho thư mục hoặc file cho phép người dùng đọc nội dung file hoặc thưc

mục & thực thi các file chương trình

Write Đây là quyền cho file hoặc thư mục cho phép một người dùng có thể chỉnh sửa nội dung

của một file hoặc tạo file mới trong một thư mục

Modify Một thư mục hoặc một file ma bao gồm các quyền được đề cập trước đó Có quyền

modify cho phép người dùng có thể đọc, thực thi, xóa, duyệt danh sách nội dung thư mục & ghi nội dung vào thư mục hoặc file

Full Control Một thư mục hoặc file mà cho một người dùng tất cả các quyền có thể Nếu bạn gán

quyền Full control, người dùng không những có quyền modify mà còn có quyền thay đổi

sự cho phép trên một tài nguyên.

Special

Permissions

Special Permission là quyền khác với các quyền trước Bạn có thể gán quyền như là cho phép một người dùng có thể thay đổi sự cho phép nhưng không cho thay sửa chữa file.

 Bảo mật theo mức độ chia sẻ

• Bảo mật theo mức độ chia sẽ là một cơ chế bảo mật được hỗ trợ trong các hệ điều hành Windows trước đây như Windows XP liên quan đến việc cấu hình bảo mật trên một tài nguyên, không bằng việc lựa chọn người dùng nào có thể truy cập nguồn mà bằng việc chỉ định mật khẩu cho nguồn

đó

Cho phép bảo mật theo cấp độ chia sẻ trong các phiên bản trước đây củaWindows

 Bảo mật Registry

• Một phần trong việc bảo mật hệ thống là bảo mật Registry Registry là một cơ sở dữ liệu trung tâm lưu trữ thông tin cài đặt người dùng và máy tính trên hệ thống

• Có hai cách để bảo mật Registry Cách thứ nhất là bảo mật thư mục chứa các tập tin Registry, cách thứ hai liên quan đến việc bảo mật mỗi phần của Registry

Thay đổi sự cho phép trong cửa sổ đăng ký

với regedt32.exe Đảm bảo người dùng đã được xác nhận chỉ được phép ĐỌc

 Cài đặt các quyền trên Registry Keys

• Khi người dùng đăng nhập vào windows XP (vd như user namd Bob), người mà không có quyền truy cập để điều chỉnh Registry Bạn sẽ đăng nhập với vai trò là một nhà quản trị mạng và cấu hình những quyền của Registry và vì vậy Bob có thể thay đổi các nội dung trong Registry Hãy nhớ rằng bình thường bạn không nên cho phép người dung chỉnh sửa Registry

 Cấu hình quyền của người dùng (tiếp)

• Trong thế giới Windows, các hành động người dùng có thể thực hiện trên mạng và trên máy tính của họ được kiểm soát bởi một tính năng được biết đến như là các quyền của người dùng

• Hãy nhớ rằng một quyền là một đặc quyền trên hệ điều hành

để thực hiện một nhiệm vụ cụ thể và các quyền của bạn được lưu trữ trong mã thông báo truy cập sau khi các bạn đăng nhập

 Cấu hình quyền của người dùng (Tiếp)

• Khi các bạn khởi động giao diện Domain Security Policy, các bạn sẽ nhìn thấy một mục các chính sách cục bộ ở bên trái Nếu các bạn mở rộng bằng việc nhấn nút đăng ký và sau đó chọn Phân quyền của người dùng, các bạn sẽ nhìn thấy các quyền của người dùng có thể được điều chỉnh

Nhìn vào bảng phân công quyền của người dùng

 Cấu hình kiểm toán

• Phần lớn việc cấu hình an ninh mạng đảm bảo rằng nếu một người dùng cố gắng truy cập vào khu vực được bảo vệ của mạng, hoặc một hacker nhiều lần cố gắng để có được mật khẩu của người dùng, bạn cần ý thức được các hoạt động nguy hiểm này Việc cấu hình kiểm toán trên máy chủ mạng của bạn, Netware, Linux, hay Windows, sẽ cho phép các bạn xác định được

Chỉ định những thay đồi quyền thời gian hệ thống đối với tất cả người dùng

Các quyền người dùng phổ biến trong Windows

Quy n h n ng ề ạ ườ i

dùng

Mô tả

Access this computer

from the network

Cho phép m t ng ộ ườ i dùng k t n i t i h th ng qua m ng nh ng ch đăng nh p c c b M c đ nh ế ố ớ ệ ố ạ ư ỉ ậ ụ ộ ặ ị

t t c m i ng ấ ả ọ ườ ượ i đ c phép truy c p h th ng qua m ng ậ ệ ố ạ

Allow log On Loally Cho phép các ng ườ i dùng đăng nh p h th ng tr c ti p (b ng bàn phím & chu t c a máy tính ậ ệ ố ự ế ằ ộ ủ

đó) n u h có thông tin chính xác v username & password M c đ nh ch có nhóm Administrators ế ọ ề ặ ị ỉ

có quy n đăng nh p c c b Các user khác đăng nh p c c b thông qua m t Windows Client ề ậ ụ ộ ậ ụ ộ ộ

Backup Files and

Directories

Cho phép ng ườ i dùng ch y các ph n m m backup & backup b t c file nào trên máy tính ho c ạ ầ ề ấ ứ ặ máy ch n u h có quy n trên file đó M c đ nh ch có nhóm qu n tr m ng (network ủ ế ọ ề ặ ị ỉ ả ị ạ

administrators) m i có quy n này ớ ề

Write Đây là quy n cho file ho c th m c cho phép m t ng ề ặ ư ụ ộ ườ i dùng có th ch nh s a n i dung c a m t ể ỉ ử ộ ủ ộ

file ho c t o file m i trong m t th m c ặ ạ ớ ộ ư ụ

Change the System

Cho phép các user đăng nh p h th ng thông qua d ch v Terminal ậ ệ ố ị ụ

Manage Auditing and

Take Ownership files

and Other Objects

Cho phép ng ườ i dùng chi m quy n s h u c a file, th m c, máy in ế ề ở ữ ủ ư ụ Nếu một cá nhân chiếm quyền sở hữu một tài nguyên người đó điều khiển việc truy cập tài nguyên đó Mặc định chỉ có nhóm Administrators mới có thể chiếm quyền sở hữu

 Cấu hình kiểm toán (Tiếp)

• Xác định chính sách kiểm toán: Bước đầu tiên để thực hiện cấu hình kiểm toán là xác định chính sách kiểm toán Khi xác định chính sách kiểm toán, bạn cho phép kiểm toán các sự kiện cụ thể trong hệ điều hành

Cấu hình kiểm toán trên một máy chủ Windows

Kiểm toán các sự kiện trong Windows

S ki n ki m toán ự ệ ể Mô tả

Audit Account Login

Events

Ghi l i nh t ký m i khi m t ng ạ ậ ỗ ộ ườ i dùng đăng nh p vào h th ng ho c mi n n u vi c ki m toán đ ậ ệ ố ặ ề ế ệ ể ượ c m trên áy ch ở ủ

qu n tr mi n N u b n mu n theo dõi khi nào ng ả ị ề ế ạ ố ườ i dùng đăng nh p th t b i vào h th ng t trên m ng, b n có ậ ấ ạ ệ ố ừ ạ ạ

th b t chính sách ki m toán trên máy ch qu n tr mi n & theo dõi M t n i dung s đ ể ậ ể ủ ả ị ề ộ ộ ẽ ượ c ghi l i trên máy ch ạ ủ

qu n tr mi n ch không ph i máy c c b b i vì yêu c u đăng nh p đ ả ị ề ứ ả ụ ộ ở ầ ậ ượ c g i đ n máy ch qu n tr mi n ử ế ủ ả ị ề

Audit Account

Management

B t s ki n này n u b n thông báo khi m t ng ậ ự ệ ế ạ ộ ườ i dùng ho c nhóm đ ặ ượ c t o ho c s a ch a Đây là s ki n nên ạ ặ ử ữ ự ệ

đ ượ c b t b i vì b n có th theo dõi khi m t ng ậ ở ạ ể ộ ườ i dùng đ ượ c t o ra N u b n b t ki m toán trong qu n tr tài ạ ế ạ ậ ể ả ị kho n b n s không c n b n tâm th ng hacker đã t o m t tài kho n ho c backdoor Trong th c t h có th t o nó ả ạ ẽ ầ ậ ằ ạ ộ ả ặ ự ế ọ ể ạ

t xa S ki n này cũng theo dõi vi c reset m t kh u c a user & thay đ i thành viên c a nhóm ừ ự ệ ệ ậ ẩ ủ ổ ủ

Audit Directory Service

access

Ki m toán truy c p đ i t ể ậ ố ượ ng trong Active Directory n u ki m toán toán đ ề ể ượ c cài đ t trên m t đ i t ặ ộ ố ượ ng Active Directory riêng bi t ệ

Audit Logon Events N u b n mu n ki m toán s ki n mà m t ng ế ạ ố ể ự ệ ộ ườ i dùng c g ng đang nh p vào mi n t m t máy tr m và ghi l i d ố ắ ậ ề ừ ộ ạ ạ ữ

li u trên máy tr m B n nên b t tính năng này N u b n đã b t ki m toán s ki n đăng nh p tài kho n thay cho s ệ ạ ậ ậ ế ạ ậ ể ự ệ ậ ả ự

ki n này thì không có d li u nào đ ệ ữ ệ ượ c ghi trên h thông c c b khi ng ệ ụ ộ ườ i dùng đăng nh p trên mi n b i vì h ậ ề ở ệ

th ng c c b không c g ng tr l i các yêu c u đăng nh p ố ụ ộ ố ắ ả ờ ầ ậ

Audit Object Access B n có th ki m toán các th m c, files & máy in n u b n b t chính sách ki m toán Ki m toán các th m c, files, ạ ể ể ư ụ ế ạ ậ ể ể ư ụ

& máy in là quá trình hai b ướ c B n c n b t chính sách này & b t ki m toán trên b t c th m c nào mà b n mu n ạ ầ ậ ậ ể ấ ứ ư ụ ạ ố

ki m toán ể

Audit Policy Change N u b n mu n b t ki m toán s ki n này, nó s cho phép b n theo dõi b t kỳ thay đ i nào trên chính sách b o m t ế ạ ố ậ ể ự ệ ẽ ạ ấ ổ ả ậ

nh là ki m toán & quy n h n ng ư ể ề ạ ườ i dùng

Ki m toán ng ể ườ i dùng đ c ặ

quy n ề

Ki m toán b t kì ai đ ể ấ ượ c h ưở ng l i t b t kỳ quy n mà h có đ ợ ừ ấ ề ọ ượ c Ví d , n u b n cho Bob quy n backup files & ụ ế ạ ề

th m c b n có th mu n bi t khi nào anh y th c s backup đ tránh vi c anh ta có th s d ng vi c backup đ ư ụ ạ ể ố ế ấ ự ự ể ệ ể ử ụ ệ ể copy d li u bí m t c a t ch c v nhà ữ ệ ậ ủ ổ ứ ề

Audit Process tracking Cho phép ki m toán s ki n kh i đ ng & t t máy tính, nó cũng ki m toán b t kỳ s ki n mà có nh h ể ự ệ ở ộ ắ ể ấ ự ệ ả ưở ng đ n nh t ế ậ

 Cấu hình kiểm toán (Tiếp)

• Theo dõi việc đăng nhập bảo mật: Khi bạn được phép kiểm tra, bạn sẽ theo dõi việc đăng nhập bảo mật bằng công cụ cho phép xem lại các sự kiện của Windows, bởi vì đó là nơi tất cả các dữ liệu đã được kiểm tra xuất hiện

Xem xét đăng nhập bảo mật trên máy chủ Windows

Xem các chi tiết trong một đăng nhập lỗi

 Cấu hình kiểm toán (Tiếp)

• Kiểm tra trong Linux và Novell

 Linux sử dụng Syslogd daemon đối với hoạt động kiểm tra ( daemon là một chương trình máy tính luôn chạy trên máy chủ, thậm chí nếu không có ai đăng nhập tương tự vào một dịch vụ Windows)

 Syslogd đọc cấu hình từ sys:etc/syslog.conf để xác định những gì cần kiểm tra và liệu có hay không thông báo đến người quản trị về hoạt động nghi ngờ.

 Máy chủ Novell bao gồm các dịch vụ kiểm tra NSure để kiểm tra hoạt động của thư mục điện tử và hệ thống tập tin Như với hệ điều hành Windows and Linux, các bạn sẽ cấu hình để kiểm tra đối tượng hoặc quyết định xem có thông báo đến người nào đó

về hoạt động nghi ngờ hay không.

 Cấu trúc tường lửa

• Tường lửa được thiết kế để bảo vệ các hệ thống trên một mặt của tường lửa khỏi các hệ thống ở mặt khắc bằng việc phân tích các gói dữ liệu đến tường lửa và quyết định xem gói này có được cho phép truyền qua không

Tường lửa cho phép các gói đã được chọn truyền qua tường lửa

 Cấu trúc tường lửa (Tiếp)

• Trước khi xem xét làm thế nào để tạo ra các quy tắc tường lửa,

chúng ta hãy quan sát một số cấu hình tường lửa hiện đang được sử dụng trong các môi trường mạng.

• Các tường lửa cấu trúc kiểu máy chủ trung gian:

 Một tường lửa cấu trúc kiểu máy chủ trung gian bao gồm một máy tính đơn với hai giao diện mạng cái mà đóng vai trò là cổng kết nối giữa hai mạng

 Khả năng định tuyến của máy chủ bị vô hiệu hóa vì vậy mà tường lửa có thể xử lý tất cả các quản lý lưu lượng.

 Dù ở cấp ứng dụng Proxy hay các phần mềm tường lửa đều chạy trên hệ thống này để chuyển các gói dữ liệu từ bên này của hệ thống máy trung gian sang bên kia.

 Cấu trúc tường lửa (Tiếp)

• Tường lửa bảo vệ máy chủ

 Nhiều người cho rằng cấu hình tường lửa bảo vệ máy chủ an toàn hơn tường lửa cấu trúc kiểu trung gian Ở cấu hình này, bạn có thể

đặt một bộ kiểm tra định tuyến giữa máy chủ trung gian và mạng công cộng.

Hệ một thống trung gian hoạt động như một tường lửa có hai giao diện mạng

.

Cấu hình tường lửa bảo vệ máy chủ an toàn hơn bởi vì có thêm một bộ kiểm tra định tuyển để thực hiện lọc các gói dữ liệu.

 Cấu trúc tường lửa (Tiếp)

• Tưởng lửa bảo vệ mạng con:

 Cấu hình tường lửa bảo vệ mạng con đảm bảo an toàn tới mức độ cao hơn bằng cách cô lập mạng nội bộ khỏi mạng công cộng

Một bộ kiểm tra định tuyến được đặt giữa mạng nội bộ và tường lửa trung gian.

Một mạng con được bảo vệ sử dụng hai bộ kiểm tra định tuyến và một tường lửa.