An ninh mạng và bảo mật cho hệ thống máy tính

MỞ ĐẦUTầm quan trọng của An ninh truyền thông từ lâu đã được ghi nhận trong quân sự và trong những lĩnh vực hoạt động xã hội – nơi có thể xuất hiện sự uy hiếp đến An ninh Quốc gia. Việc làm chủ an ninh truyền thông và những con số bí mật của nó được công nhận như một tác nhân quan trọng đem lại chiến thắng trong rất nhiều cuộc xung đột quân sự từ nhiều thế kỷ qua, trong đó có cả Thế chiến thứ II ở thế kỷ trước. Với khái niệm này An ninh truyền thông là phương tiện che dấu thông tin và bảo vệ nó không bị bóp méo hay mất mát trong quá trình truyền tin. Việc giải mã các mật mã là những phương tiện làm vô hiệu hoá khả năng an ninh của đối phương.Ngày nay hệ thống mạng máy tính đã có những bước phát triển mạnh mẽ, xâm nhập vào rất nhiều lĩnh vực của cuộc sống. Với hệ thống mạng Internet, những dịch vụ như giáo dục từ xa, trao đổi thương mại, giao dịch điện tử, … đã trở thành hiện thực. Tuy nhiên, vì là một hệ thống mạng mở, có phạm vi toàn cầu và không có bất kỳ tổ chức nào quản lý nên mạng Internet cũng trở thành môi trường lý tưởng cho các phần tử xấu thực hiện các hành động phá hoại, đánh cắp thông tin gây tổn hại về kinh tế, uy tín của các cơ quan tổ chức và cá nhân tham gia vào hệ thống mạng. Vì vậy vấn đề đảm bảo an ninh, an toàn thông tin trên mạng máy tính trở thành một yêu cầu tất yếu và quan trọng cả ở góc độ quốc gia và quốc tế.Giáo trình an toàn thông tin được xây dựng nhằm cung cấp cho người đọc những kiến thức cơ bản về an toàn thông tin, khai thác sử dụng các dịch vụ an toàn trong hệ thống thông tin, xây dựng một số giải pháp nhằm đảm bảo tính an toàn của hệ thống.Nội dung của giáo trình bao gồm:

MỞ ĐẦU

Tầm quan trọng của An ninh truyền thông từ lâu đã được ghi nhận trong quân sự

và trong những lĩnh vực hoạt động xã hội – nơi có thể xuất hiện sự uy hiếp đến Anninh Quốc gia Việc làm chủ an ninh truyền thông và những con số bí mật của nó đượccông nhận như một tác nhân quan trọng đem lại chiến thắng trong rất nhiều cuộc xungđột quân sự từ nhiều thế kỷ qua, trong đó có cả Thế chiến thứ II ở thế kỷ trước Vớikhái niệm này An ninh truyền thông là phương tiện che dấu thông tin và bảo vệ nókhông bị bóp méo hay mất mát trong quá trình truyền tin Việc giải mã các mật mã lànhững phương tiện làm vô hiệu hoá khả năng an ninh của đối phương

Ngày nay hệ thống mạng máy tính đã có những bước phát triển mạnh mẽ, xâmnhập vào rất nhiều lĩnh vực của cuộc sống Với hệ thống mạng Internet, những dịch vụnhư giáo dục từ xa, trao đổi thương mại, giao dịch điện tử, … đã trở thành hiện thực.Tuy nhiên, vì là một hệ thống mạng mở, có phạm vi toàn cầu và không có bất kỳ tổchức nào quản lý nên mạng Internet cũng trở thành môi trường lý tưởng cho các phần

tử xấu thực hiện các hành động phá hoại, đánh cắp thông tin gây tổn hại về kinh tế, uytín của các cơ quan tổ chức và cá nhân tham gia vào hệ thống mạng Vì vậy vấn đề đảmbảo an ninh, an toàn thông tin trên mạng máy tính trở thành một yêu cầu tất yếu vàquan trọng cả ở góc độ quốc gia và quốc tế

Giáo trình an toàn thông tin được xây dựng nhằm cung cấp cho người đọc nhữngkiến thức cơ bản về an toàn thông tin, khai thác sử dụng các dịch vụ an toàn trong hệthống thông tin, xây dựng một số giải pháp nhằm đảm bảo tính an toàn của hệ thống.Nội dung của giáo trình bao gồm:

Chương I: Tổng quan về An toàn thông tin trên mạng máy tính

Đưa ra những vấn đề tổng quan về An ninh, an toàn mạng máy tính; các hìnhthức tấn công phổ biến; các dịch vụ an toàn mạng và một số mô hình mạng đảmbảo an toàn

Chương II: Mật mã và An toàn thông tin trên mạng máy tính

Trình bày những kiến thức cơ bản về Mật mã, các giải thuật mã hoá, một sốgiao thức mã hoá đảm bảo an toàn; giải pháp xây dựng mô hình ứng dụng sử dụng

lý thuyết mật mã để đảm bảo an toàn thông tin trong quá trình truyền thông trênmạng máy tính

Chương III: An toàn Hạ tầng mạng

Xem xét, phân tích, đánh giá một số mô hình mạng phổ biến trong thực tế; từ

đó đưa ra các giải pháp kỹ thuật phù hợp nhằm đảm bảo an ninh an toàn cho hạtầng hệ thống mạng

Chương IV: An toàn ứng dụng mạng

Cung cấp các kiến thức cơ bản về An ninh, an toàn các dịch vụ cơ bản trênmạng máy tính Phân tích, đánh giá các nguy cơ đối với các dịch vụ mạng; từ đó

đề xuất và triển khai các giải pháp đảm bảo An ninh, an toàn

Giáo trình được xây dựng dựa trên các tài liệu tham khảo từ nhiều nguồn khácnhau, đã tổng hợp được khá đầy đủ các nguy cơ mất an toàn của một Hệ thống Thôngtin và các giải pháp để đảm bảo an ninh an toàn Tuy nhiên có một thực tế là không cómột biện pháp bảo vệ an toàn thông tin dữ liệu nào là an toàn tuyệt đối Một hệ thống

dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối Vì vậyngười làm công tác đảm bảo an ninh an toàn phải luôn cập nhật và sử dụng kết hợpnhiều biện pháp mới có thể giảm thiểu tối đa rủi ro đối với Hệ thống thông tin củamình

Giáo trình lần đầu tiên được biên soạn chắc chắn không tránh khỏi những sai sót,rất mong nhận được sự góp ý của các đồng nghiệp và bạn đọc

Hà Nội, tháng 11 năm 2010 Tác giả

CHƯƠNG I TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH

I Một số vấn đề về An toàn Thông tin trên mạng máy tính

1 Thực trạng An ninh mạng ở Việt Nam và trên Thế giới

Lịch sử của các cuộc tấn công mạng máy tính khởi đầu vào những năm 1950

-1960, bao trùm cả phần cứng lẫn phần mềm và xoay quanh phòng thí nghiệm trí thôngminh nhân tạo tại Viện công nghệ Massachusetts (MIT - Mỹ) Những sinh viên thôngminh với bản chất tò mò, từng xâm nhập hệ thống điện thoại và trung tâm điều hànhcủa câu lạc bộ đường sắt Tech Model, đã bị cuốn hút bởi những chiếc máy tính đồ sộtrong viện Giám đốc của MIT là Marvin Minsky cho phép họ tiếp cận trực tiếp vớinhững cỗ máy này và đây được coi như nền tảng đầu tiên của các hacker tương lai Cáctên tuổi "sừng sỏ" sau này đều bắt nguồn từ đây như Peter Deutsch, Bill Gosper,Richard Greenblatt, Tom Knight và Jerry Sussman

Sau MIT, các trung tâm đào tạo khác ở Mỹ cũng trở thành "đất" nuôi dưỡng nhiềumầm mống hacker như đại học Carnegie Mellon, Stanford Ví dụ, khi phòng thínghiệm trí thông minh nhân tạo Standford, dưới sự "chỉ đạo" của John McCarthy,chứng kiến chiếc máy SAIL tắt ngấm vào năm 1991 sau khi hacker gửi e-mail với

thông điệp "chào tạm biệt" lên Internet như thể chính SAIL gửi lời "trăng trối" tới bạn

bè Thậm chí các trung tâm nghiên cứu có tính thương mại như ATT, Xerox cũng bịbiến thành ngôi nhà riêng của tin tặc với những cái tên như Ed Fredkin, Brian Reid,Jim Gosling, Brian Kernighan, Dennis Ritchie hay Richard Stallman

Khi máy tính trở nên phổ biến khắp toàn cầu, cùng với sự phát triển mạnh mẽ củamạng Internet, các hoạt động phá hoại từ xa tiềm ẩn nhiều nguy cơ hơn Chính quyền

Mỹ phải thiết lập hành lang pháp lý để uốn nắn hành vi của hacker nhằm bảo vệ lợi íchcủa những tổ chức, cá nhân dùng thiết bị này Cuối những năm 1980, họ ban hành đạoluật chống lạm dụng và lừa đảo thông qua máy tính và thành lập trung tâm cứu hộ máytính nhằm phản ứng nhanh trước các hành vi phạm tội Theo luật pháp Mỹ, mọi hành vithâm nhập máy tính của người khác mà không được phép sẽ bị khởi tố và phạt tù, phạttiền, tùy theo mức độ nghiêm trọng Tuy nhiên thế giới mạng đã bùng nổ chóng mặt,hoạt động của các nhóm Hacker càng trở nên phức tạp hơn và khó kiểm soát hơn dobiên giới quốc gia đã bị dỡ bỏ Tin tặc ở nước này có thể tấn công website, lừa đảongười dùng Internet ở nước khác Hàng loạt quốc gia phải xây dựng luật chống tộiphạm tin học của riêng mình Theo đó, nhiều nước yêu cầu hacker tấn công vào máytính hoặc website đặt máy chủ tại nước nào sẽ bị dẫn độ về nước đó để xử lý và chịu ántheo luật của họ

Kể từ đó đến nay, hệ thống mạng máy tính trên thế giới đã phải hứng chịu vô sốcuộc tấn công để lại những hậu quả rất nặng lề mà khó có thể thống kê được một cáchđầy đủ Theo số liệu thống kê của Uỷ ban chịu trách nhiệm về các vấn đề khẩn cấp cácmáy tính mạng Internet (CERT – internet Computer Emergency Response Team), cóthể điểm một số cuộc tấn công sau:

John Draper

Nổi tiếng với tên hiệu “Cap'n Crunch”, John Draper là mộttrong những con người đầu tiên trên thế giới này được “nhậnmệnh danh là hacker” Trong thập niên 70, Draper đã sử dụngmột chiếc còi đồ chơi tặng kèm trong hộp ngũ cốc Cap'nCrunch để “hack” vào đường dây điện thoại và thoải mái thựchiện các cuộc gọi “miễn phí” Draper vô tình nhận ra rằngchiếc còi tạo ra một âm thanh có tần số giống hệt tần số tínhiệu cuộc gọi trên đường dây điện thoại Nhờ đó mà anh ta đã

có thể điều khiển cuộc gọi tiếp tục được diễn ra mà người nghevẫn cứ tưởng là cuộc gọi đã kết thúc rồi Năm 1972, Draper bịphát hiện khi hãng điện thoại “nhìn thấy sự bất thường” trong hóa đơn tiền điện thoạicủa anh Sau đó Draper bị kết án 2 tháng tù giam Vụ tấn công của Draper đã khai sinh

là thuật ngữ “Phreaking” Nghĩa của thuật ngữ này trong xã hội của chúng ta ngày nay

là “tấn công vào các hệ thống viễn thông”

Kevin Mitnick

Đầu những năm 1990: Kevin Mitnick, hay còn gọi là

"chúa tể các hacker", đã đột nhập thành công vào hệ thống máytính của các công ty truyền thông và kỹ thuật lớn trên thế giới

như Nokia, Fujitsu, Motorola, Sun Microsystems Mitnick bị FBI bắt vào năm 1995,sau đó được thả vào năm 2000 Mitnick không thừa nhận những hoạt động của mình làtấn công mà gọi là "một mánh khóe của xã hội".

Kevin Poulsen

Năm 1983: khi còn là một sinh viên Poulsen đã tấn côngvào mạng Arpanet, tiền thân của mạng Internet Anh ta đã pháthiện ra một lỗ hổng trong cấu trúc của mạng này và tạm chiếmquyền điều khiển mạng mở rộng của nước Mỹ

Năm 1990: Khi một đài phát thanh ở khu vực LosAngeles công bố một cuộc thi với giải thưởng dành cho ngườithứ 102 gọi tới đài, Kevin Poulsen đã tấn công vào mạng lướitổng đài của thành phố nhằm làm cho mình trở thành người gọithứ 102 để đoạt giải thưởng Anh ta bị bắt không lâu sau đó vàphải bị phạt 3 năm tù Hiện tại Poulsen là một biên tập viên có tiếng của trang tin điện

tử Wires News

Robert Morris

Năm 1988, sinh viên 23 tuổi mới tốt nghiệp trường ĐHCornell Robert Morris phát tán 99 dòng mã nguồn độc hạiđược biết đến bằng cái tên Sâu Morris (Morris Worm) lâynhiễm và khiến hàng loạt PC ở hàng loạt quốc gia khác nhaungừng hoạt động Mục tiêu của hacker này là đếm số lượng PCđược kết nối vào mạng Internet và qua đó biết được mạngInternet lớn đến như thế nào Hành động này đã khiến Morris

bị bắt vào năm 1989 và trở thành người đầu tiên bị kết án theoLuật lạm dụng máy tính và có hành vi sử dụng máy tính vàomục đích lừa đảo được Quốc hội Mỹ thông qua năm 1986 Ngoài ra Morris còn phảinộp một khoản tiền phạt lên tới 10.000 USD

David Smith

Năm 1999, David Smith phát tán sâu Melissa từ một máytính ở bang New Jersey (Mỹ) thông qua một tài khoản thư điện

tử AOL đánh cắp được Con sâu máy tính có khả năng tự độngphát tán đến 50 người đầu tiên có tên trong sổ địa chỉ Outlookkhi đã lây nhiễm lên PC Melissa đã lây nhiễm và tấn công PCcủa hơn 300 doanh nghiệp trên toàn thế giới - trong đó có cảnhững tên tuổi lớn như Microsoft, Intel hay LucentTechnologies Những doanh nghiệp này đã buộc phải đóngmáy chủ email (email gateway) do lượng email được gửi điquá nhiều Tổng thiệt hại mà Melissa gây ra ước tính lên tớicon số 80 triệu USD Sau khi bị kết tội, Smith lĩnh án tù 20 tháng và phải làm việc dưới

sự giám sát của FBI nhằm trợ giúp cơ quan này phát hiện ra các loại mã độc mới cũngnhư lần tìm tác giả của chúng

Jonathan James

Cuối tháng 6-1999, Jonathan James hoa mắt khi biết tàiliệu mã nguồn của NASA có thể được bán với giá 1,7 triệuUSD James - khi ấy mới chỉ có 15 tuổi - đã đột nhập thànhcông vào máy tính của NASA nhờ đánh cắp được một mậtkhẩu tài khoản đăng nhập ở Trung tâm vũ trụ Marshall(Alabama, Mỹ) với hi vọng sẽ kiếm được ít tài liệu để bán lấytiền Hậu quả của vụ tấn công là trong tháng 7-1999 NASA đãbuộc phải ngắt kết nối mạng máy tính trong suốt vài tuần lễ.Tài liệu bị đánh cắp là tài liệu liên quan đến kiểm soát môitrường trên trạm vũ trụ như nhiệt độ, độ ẩm… Tròn 16 tuổi,James bị kết án 6 tháng tù giam và phải chấp nhận thời gian giám sát thử thách cho đếnkhi nào tròn 18 tuổi

2001, Calce bị đưa ra xét xử và nhận án phạt 8 tháng tù giam, một năm thử thách, bịhạn chế sử dụng Internet và phải nộp phải một khoản tiền nhỏ

Gary McKinnon

Trong hai năm liên tiếp 2001 và 2002, hacker người Anhnày đã đột nhập vào hệ thống mạng máy tính của Bộ quốcphòng Mỹ, Lầu năm góc, NASA, lực lượng hải quân và khôngquân Mỹ nhằm mục đích tìm kiếm bằng chứng của đĩa bay.Các quan chức tuyên bố thiệt hại của của những vụ tấn côngnày lên tới 700.000 USD Hiện McKinnon đang phải đối mặtvới việc bị dẫn độ sang Mỹ xét xử Nếu bị kết án hacker này cóthể phải nhận án phạt lên tới 70 năm tù.

Những năm gần đây, các cuộc lừa đảo và tấn công mạngdiễn ra trên khắp thế giới ngày càng phức tạp và tinh vi hơnvới sự gia tăng của các công cụ tấn công ngày càng mạnh vàyêu cầu sử dụng chúng thì ngày càng giảm Với sự phát triển của những công cụ này,thậm chí những người không hiểu biết nhiều về máy tính và hệ thống mạng cũng có thểtiến hành được các cuộc tấn công gây ra những hậu quả đáng tiếc

Sự phát triển của các công cụ tấn công mạngTheo báo cáo của tập đoàn Symantec, trong số 12.885 lỗ hổng về mã lệnh (năm2008) thì chỉ có 394 lỗ hổng đã được khắc phục (chiếm 3%), trong đó có 63% các ứngdụng web bị lây nhiễm (năm 2007 là 59%) Trong năm 2008, Symatec đã phát hiện ra55.398 máy chủ đặt website lừa đảo (tăng 66% so với năm 2007) trong đó những lừađảo liên quan đến dịch vụ tài chính chiếm 76% (tăng 52% so với năm 2007)

Cũng theo báo cáo của Symatec, Việt Nam là nước đứng thứ 8 trong khu vựcChâu Á Thái Bình Dương về các hoạt động tấn công đe doạ và đứng thứ 2 trong khuvực Đông Nam Á (sau Thái Lan) Có thể điểm qua một số vụ tấn công vào các hệthống mạng và website tại Việt Nam như sau:

- 14h ngày 27/11/2006 website của Bộ Giáo dục đào tạo bị tấn công bởi một họcsinh trung học

- Chủ nhật ngày 12/3/2006, website thương mại điện tử VietCo.com bị tấn công

từ chối dịch vụ DDos, làm cho hệ thống không thể hoạt động được, nhân viên toàncông ty phải nghỉ việc

- Ngày 27/9/2010, máy ATM của ngân hàng Đông Á bị Virus Conficker tấn công

- Ngày 22/11/2010, website VietNamNet đã bị Hacker tấn công chiếm quyền điềukhiển và xóa sạch dữ liệu trên hệ thống máy chủ Phải mất gần 1 ngày, cácchuyên gia mới đưa VietNamNet hoạt động được trở lại

Theo thống kê từ hệ thống giám sát virus của Trung tâm An ninh mạng BKAV,trong tháng 9 năm 2010 Việt Nam xuất hiện 2.876 virus mới, lây nhiễm trên 5.610.000lượt máy tính Đã có 36 website của các cơ quan, doanh nghiệp của Việt Nam bịHacker xâm nhập, trong đó có 20 trường hợp gây ra bởi Hacker trong nước và 16trường hợp gây ra bởi Hacker nước ngoài.

Thông tin về tình hình virus và an ninh mạng tháng 9/2010

Danh sách 10 virus lây lan nhiều nhất tháng 9/2010

Những cuộc tấn công mà chúng ta biết được thực chất chỉ là phần nổi Trên thực

tế còn rất nhiều cuộc tấn công khác cũng gây nên những hậu quả hết sức nghiêm trọng

mà không có bất kỳ một tài liệu nào thu thập được đầy đủ, một phần là do chính cácnạn nhân từ chối họ bị (hoặc đã bị) thiệt hại

2 Khái niệm An toàn thông tin (ATTT) và một số tiêu chuẩn đảm bảo ATTT trên mạng máy tính

Khái niệm về An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây, tuynhiên về bản chất có thể hiểu An toàn thông tin là sự bảo vệ thông tin một cách tựđộng khỏi các hành vi trái phép (truy cập, sửa đổi, phá hoại v.v…) hoặc tránh việc tấncông vào các tài nguyên và dữ liệu đang có

Theo ISO 17799, An toàn thông tin là khả năng bảo vệ đối với môi trường thôngtin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích của mọicông dân, mọi tổ chức và của quốc gia An toàn thông tin được xây dựng trên nền tảngmột hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mụcđích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như các tàinguyên thông tin của các đối tác, các khách hàng trong một môi trường thông tin toàncầu

Nói chung, đảm bảo an toàn thông tin trong mọi lĩnh vực là phải đảm bảo đượccác yêu cầu sau:

- Đảm bảo tính bí mật (Confidentiality): Thông tin không thể bị truy nhập trái

phép bởi những người không có thẩm quyền

- Đảm bảo tính nguyên vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm

giả bởi những người không có thẩm quyền

- Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn sàng để đáp ứng nhu

cầu sử dụng cho người có thẩm quyền

- Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin được cam kết về

mặt pháp luật của người cung cấp

Trên thực tế hầu hết các cơ quan, tổ chức, doanh nghiệp đều nhận thức rõ sự cầnthiết và lợi ích của việc chuẩn hóa công tác đảm bảo an toàn thông tin, tuy nhiên việctriển khai lại rất hạn chế và gặp nhiều vướng mắc do: hệ thống tiêu chuẩn kỹ thuậtquốc gia về an toàn thông tin hiện không đầy đủ; lúng túng trong lựa chọn các tiêuchuẩn áp dụng

Trước tình hình trên, năm 2007, Bộ Bưu chính, Viễn thông (nay là Bộ Thông tin

và Truyền thông) đã có Chỉ thị số 03/2007/CT-BBCVT ngày 23/02/2007 về việc tăngcường đảm bảo an ninh thông tin trên mạng Internet đã yêu cầu các cơ quan, tổ chức,doanh nghiệp viễn thông, internet tham gia hoạt động trên mạng Internet phải xây dựngquy trình và quy chế đảm bảo an ninh thông tin cho các hệ thống thông tin, tham khảo

các chuẩn quản lý an toàn TCVN 7562, ISO 27001, đảm bảo khả năng truy vết và khôiphục thông tin trong trường hợp có sự cố.

TCVN 7562 là tiêu chuẩn tương đương với tiêu chuẩn quốc tế ISO 17799 phiênbản 2000 (nay đã được cập nhật phiên bản 2005 và đổi tên thành ISO 27002), còn tiêuchuẩn ISO 27001 ở Việt Nam vẫn chưa có tiêu chuẩn tương đương, dẫn đến việc ápdụng gặp nhiều khó khăn (chủ yếu chỉ áp dụng trong một số ít các tổ chức có trình độnhân lực cao, nằm ở các thành phố lớn) Do đó năm 2007, Bộ Thông tin và Truyềnthông đã giao Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thực hiện

đề tài “Nghiên cứu, xây dựng tiêu chuẩn kỹ thuật cho hệ thống quản lý an toàn thôngtin”, mã số 63-07-KHKT-TC, với mục đích xây dựng tiêu chuẩn về hệ thống an toànthông tin trên cơ sở chấp thuận áp dụng tiêu chuẩn quốc tế ISO 27001, áp dụng đượccho các cơ quan, tổ chức ở Việt Nam

Tiêu chuẩn này khuyến khích việc áp dụng cách tiếp cận theo quy trình khi thiếtlập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống ISMS của tổchức

Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cáchhiệu quả Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp nhận cácđầu vào chuyển hóa thành đầu ra có thể coi như một quy trình, Thông thường đầu racủa một quy trình này là đầu vào của một quy trình tiếp theo

Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biếttương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếpcận theo quy trình”

Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày trongtiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng:

- Hiểu các yêu cầu an toàn thông tin của tổ chức và sự cần thiết phải thiết lậpchính sách và mục tiêu cho an toàn thông tin,

- Triển khai và điều hành các biện pháp quản lý rủi ro an toàn thông tin của tổchức trước tất cả các rủi ro chung có thể xảy ra với tổ chức,

- Giám sát và soát xét hiệu suất và hiệu quả của hệ thống ISMS (InformationSecurity Management System)

- Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra

Công tác đảm bảo an toàn thông tin là quá trình áp dụng một cách đồng bộ cácgiải pháp ở tất cả các khâu: Lập kế hoạch – Thực hiện – Kiểm tra - Hành động (PDCA)

để áp dụng cho tất cả các quy trình trong hệ thống ISMS Hình 1 dưới đây mô tả cách

hệ thống ISMS lấy đầu vào là các yêu cầu và kỳ vọng về bảo mật thông tin của các bộphận liên quan, sau khi tiến hành các quy trình xử lý cần thiết sẽ đáp ứng an toàn thôngtin theo như các yêu cầu và kỳ vọng đã đặt ra

Hình 1: Áp dụng mô hình PDCA cho các quy trình hệ thống ISMS

P (Lập kế hoạch) – Thiết lập

ISMS

Thiết lập các chính sách, mục tiêu, quy trình và thủ tục liên quan đến việc quản lý các rủi ro và nâng cao an toàn thông tin nhằm đem lại các kết quả phù hợp với các chính sách và mục tiêu chung của tổ chức

D (Thực hiện) - Triển khai và

điều hành ISMS

Cài đặt và vận hành các chính sách, biện pháp quản

lý, quy trình và thủ tục của hệ thống ISMS

C (Kiểm tra) - giám sát và soát

xét ISMS Xác định hiệu quả việc thực hiện quy trình dựa trên chính sách, mục tiêu mà hệ thống ISMS đã đặt ra và

kinh nghiệm thực tiễn và báo cáo kết quả cho ban quản lý để soát xét

A (Hành động) - Duy trì và nâng

cấp ISMS

Tiến hành các hành động khắc phục và hành động phòng ngừa dựa trên các kết quả của việc kiểm toánnội bộ hệ thống ISMS, soát xét của ban quản lý hoặc các thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS

Chi tiết dự thảo quốc gia về hệ thống quản lý an toàn thông tin (TCVN 2008)tham khảo tại trang tin điện tử: http://www.mic.gov.vn/tccl

II Một số hình thức tấn công mạng phổ biến (Attacks)

Triển khai và điều hành hệ thống ISMS

Triển khai và điều hành hệ thống ISMS

Giám sát và đánh giá hệ thống ISMS

Giám sát và đánh giá hệ thống ISMS

Thiết lập hệ thống ISMS

Duy trì và nâng cấp hệ thống ISMS

Duy trì và nâng cấp hệ thống ISMS

Kết quả quản lý an toàn thông tin

Các bộ phận liên quan

Kết quả quản lý an toàn thông tin

Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máy tính

có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khả năngkhông an toàn, khả năng xâm phạm, nguồn gốc của cuộc tấn công, các sự cố rủi ro cóthể xảy ra đối với thông tin dữ liệu được lưu trữ và trao đổi trên đường truyền tin cũngnhư trên mạng Xác định càng chính xác các nguy cơ nói trên thì càng có các quyếtđịnh, giải pháp tốt để giảm thiểu các thiệt hại

Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động và viphạm thụ động

- Vi phạm thụ động chỉ nhằm mục đích cuối cùng là nắm bắt được thông tin(đánh cắp thông tin) Việc làm đó có khi không biết được nội dung cụ thể nhưng có thể

dò ra được người gửi, người nhận nhờ thông tin điều khiển giao thức chứa trong phầnđầu các gói tin Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài và tần số trao đổi

Vì vậy vi pham thụ động không làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệuđược trao đổi Vi phạm thụ động thường khó phát hiện nhưng có thể có những biệnpháp ngăn chặn hiệu quả

- Vi phạm chủ động là dạng vi phạm có thể làm thay đổi nội dung, xóa bỏ, làmtrễ, xắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thờigian Vi phạm chủ động có thể thêm vào một số thông tin ngoại lai để làm sai lệch nộidung thông tin trao đổi Vi phạm chủ động dễ phát hiện nhưng để ngăn chặn hiệu quảthì khó khăn hơn nhiều

Về nguồn gốc phát sinh tấn công thì có tấn công từ bên ngoài và tấn công từ bêntrong hệ thống mạng

- Tấn công từ bên ngoài hệ thống: có thể xuất phát từ môi trường Internet, kẻtấn công là người không được phép truy nhập vào hệ thống

- Tấn công từ bên trong hệ thống: xuất phát từ bên trong hệ thống mạng, kẻ tấncông là những người được phép truy nhập vào hệ thống Theo thống kê thì có tới 70%nguy cơ các cuộc tấn công xuất phát từ bên trong hệ thống

Ngày nay với sự bùng nổ của các hệ thống mạng, đặc biệt là mạng Internet và sựphát triển rất nhanh chóng các công cụ, phương tiện tấn công nên các hình thức tấncông vào hệ thống mạng cũng rất đa dạng và phong phú Tuy nhiên có thể phân loạivào một số nhóm hình thức tấn công phổ biến sau:

1 Tấn công thăm dò

Thăm dò là việc thu thập thông tin trái phép về tài nguyên, các lỗ hổng hoặc dịch

vụ của hệ thống Thăm dò giống như một kẻ trộm nhà băng muốn biết có bao nhiêubảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí của chúng và đường thoát hiểm,…Các hình thức tấn công truy nhập, DDoS, thường được tiến hành sau khi Hacker đã tấncông thăm dò hệ thống mạng Điều này là hiển nhiên vì các Hacker phải biết tấn côngcái gì trước khi xâm nhập vào hệ thống Thăm dò là một kiểu tấn công và cũng là mộtgiai đoạn tấn công

Có rất nhiều cách để thu thập được thông tin về một hệ thống mạng, có thể liệt kêmột số cách phổ biến sau:

a Nghe lén (Sniffing)

Nghe lén trên mạng là một phần của kỹ thuật tấn công truyền thông dữ liệu củangành bảo mật máy tính Theo đúng như tên gọi, kỹ thuật này không tấn công trực diệnvào các máy người dùng (clients) hay máy chủ (Servers), mà nó nhằm vào không giantruyền dữ liệu giữa các máy tính

Ban đầu, Sniffing là kỹ thuật được các quản trị viên dùng để theo dõi, chuẩn đoán,phát hiện các sự cố nhằm giúp cải thiện hoạt động hệ thống mạng Tuy nhiên, kỹ thuậtnày về sau bị biến tướng, trở thành công cụ đắc lực phục vụ mục đích thu thập tráiphép các thông tin nhạy cảm, tên tài khoản, mật khẩu, credit card,… của người dùngkhi luân chuyển trên mạng

Sniffing chủ yếu xảy ra ở mặt vật lý Nghĩa là kẻ tấn công phải tiếp cận và có thểđiều khiển một thành phần của hệ thống mạng, chẳng hạn như một máy tính nào đó Ví

dụ kẻ tấn công có thể dùng laptop hoặc PC trong các dịch vụ Internet, các quán caféWiFi, trong hệ thống mạng nội bộ doanh nghiệp,… Trường hợp hệ thống máy tínhnghe trộm và kẻ tấn công ở cách xa nhau, kẻ tấn công tìm cách điều khiển một máytính nào đó trong hệ thống rồi cài đặt trình nghe lén vào máy đó để thực hiện nghe trộm

từ xa

Hiện nay, nghe trộm mạng thực hiện rất dễ dàng, bởi có quá nhiều công cụ giúpthực hiện như Cain&Abe, Ettercap, Ethereal, Dsniff, TCPdump, Sniffit, Các công cụnày ngày càng được “tối ưu hóa” để dễ sử dụng và tránh bị phát hiện khi thực thi Sovới các kiểu tấn công khác, tấn công dạng Sniffing cực kỳ nguy hiểm, bởi nó có thể ghilại toàn bộ thông tin được truyền dẫn trên mạng, và người sử dụng không biết là đang

bị nghe trộm lúc nào do máy tính của họ vẫn hoạt động bình thường, không có dấuhiệu bị xâm hại Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rất khó, vàhầu như chỉ có thể phòng chống trong thế bị động (passive), nghĩa là chỉ phát hiệnđược bị nghe trộm khi đang ở tình trạng bị nghe trộm

Để hiểu được bản chất của quá trình Sniffing thì cần hiểu nguyên tắc chuyển tảicác khung (frames) của lớp Datalink từ các gói tin (packets) ở lớp Network trong môhình OSI Cụ thể là qua hai loại thiết bị tập trung các node mạng sử dụng phổ biến hiệnnay là Hub và Switch.

- Nghe lén trong mạng dùng Hub (Thụ động - Passive): Một khung gói tin khichuyển từ máy A sang máy B thì đồng thời nó được gửi đến tất cả các máy khác đangkết nối cùng Hub theo cơ chế loan tin (broadcast) Các máy tính nhận được gói tin này

và tiến hành so sánh yêu cầu về địa chỉ MAC (địa chỉ vật lý của card mạng) trên gói tinvới địa chỉ đích Nếu trùng lập thì sẽ nhận, còn không thì cho qua Do gói tin từ A đượcgửi đến B nên khi so sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có B mớithực hiện tiếp nhận Dựa vào nguyên tắc đó, máy tính được cài đặt chương trình nghetrộm sẽ tự “nhận” bất cứ gói tin nào được lưu chuyển trong mạng dùng Hub, kể cả khiđích đến của gói tin không phải là nó, nhờ card mạng được đặt ở chế độ hỗn tạp(promiscuous mode) Promiscuous mode là chế độ đặc biệt, khi card mạng được đặtdưới chế độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địachỉ đích đến

- Nghe lén trong mạng dùng Switch (Chủ động - Active): Khác với Hub, Switchchỉ chuyển tải các gói tin đến những địa chỉ cổng xác định trong bảng chuyển mạchnên nghe trộm kiểu “tự nhận” như ở Hub là không thực hiện được Tuy nhiên, kẻ tấncông có thể dùng các cơ chế khác để tấn công trong môi trường Switch như ARPspoofing, MAC flooding, MAC duplicating, DNS spoofing, v.v…

 ARP Spoofing: Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông

dịch các địa chỉ giữa các lớp thứ hai và thứ ba trong mô hình OSI Lớp thứ hai(datalink) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhaumột cách trực tiếp Lớp thứ ba (network), sử dụng địa chỉ IP để tạo các mạng có khảnăng mở rộng trên toàn cầu Lớp data-link xử lý trực tiếp với các thiết bị được kết nốivới nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp Mỗilớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên mộtmạng truyền thông Với lý do đó, ARP được tạo ra với chuẩn RFC 826, là “một giaothức phân giải địa chỉ Ethernet - Ethernet Address Resolution Protocol”

Giao thức ARP là rất cần thiết và quan trọng trong hệ thống mạng, tuy nhiên nólại không đề cập đến vấn đề xác thực nào cả Khi một host nhận được gói tin ARPresponse, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng sau này(lưu vào ARP table) mà không cần biết thông tin đó có phải được trả lời từ host màmình mong muốn hay không ARP không có cơ chế nào để kiểm tra việc đó và trênthực tế một host có thể chấp nhận gói ARP response mà trước đó không cần phải gửigói tin ARP request Lợi dụng điều này hacker có thể triển khai tấn công bằng cách gửinhững gói tin ARP response giả mạo với số lượng khổng lồ nhằm làm Switch xử lýkhông kịp và trở nên quá tải Khi đó Switch sẽ không đủ sức thể hiện bản chất Layer2

mà broadcast gói tin ra toàn bộ các port của mình Hacker sẽ dễ dàng bắt được toàn bộthông tin trong mạng

Để phòng chống hình thức tấn công này, đối với một mạng có quy mô nhỏ, ngườiquản trị có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi đó bạn sẽ liệt kê bằng tay

IP nào đi với MAC nào Trong Windows có thể sử dụng câu lệnh ipconfig /all để xem

IP và MAC và dùng câu lệnh arp –s để thêm vào Arp table Khi ép tĩnh như vậy sẽngăn chặn hacker gửi các gói Arp response giả tạo đến máy của mình vì khi sử dụngArp table tĩnh thì nó luôn luôn không thay đổi Chú ý rằng cách thức này chỉ áp dụngđược trong môi trường mạng với quy mô nhỏ, vì với mạng có quy mô lớn chúng ta sẽphải thêm vào Arp table bằng tay với số lượng quá nhiều

Đối với một mạng lớn, ta có thể sử dụng chức năng Port security (chỉ áp dụngđược trên các dòng Switch có hỗ trợ chức năng config port) Khi mở chức năng Portsecurity lên các port của Switch ta có thể quy định port đó chỉ chấp nhận một địa chỉMAC Như vậy sẽ ngăn chặn được việc thay đổi địa chỉ MAC trên máy hacker Ngoài

ra cũng có thể sử dụng các công cụ, ví dụ như ArpWatch Nó sẽ phát hiện và báo cáocác thông tin liên quan đến ARP đang diễn ra trong mạng Nhờ đó nếu có hiện tượngtấn công bằng Arp spoofing thì người quản trị có thể giải quyết kịp thời.

 MAC Flooding:

Địa chỉ MAC (Media Access Control) : là kiểu địa chỉ vật lí, đặc trưng cho mộtthiết bị hoặc một nhóm các thiết bị trong mạng LAN Địa chỉ này được dùng để nhậndiện các thiết bị giúp cho các gói tin lớp 2 có thể đến đúng đích Địa chỉ MAC đượcphân ra làm 3 loại: Unicast (đại diện cho một thiết bị duy nhất), Multicast (đại diện chomột nhóm thiết bị) và Broadcast (FFFF.FFFF.FFFF – đại diện cho tất cả các thiết bị cótrong mạng LAN)

Chức năng chuyển mạch của Switch: Việc đưa thiết bị chuyển mạch vào mộtmạng LAN có nhiều mục đích nhưng mục đích quan trong nhất là để chia một mạngLAN ra thành nhiều vùng khác nhau nhằm giảm thiểu việc xung đột gói tin khi có quánhiều thiết bị được nối vào cùng một môi trường truyền dẫn Các vùng được phân chianày được gọi là các collision domain Chức năng chính của Switch là vận chuyển cácframe lớp 2 qua lại giữa các collision domain này Các collision domain này còn đượcgọi là các đoạn mạng LAN (LAN Segment) Để có thể vận chuyển chính xác được góitin đến đích, switch cần phải có một sơ đồ ánh xạ giữa địa chỉ MAC của các thiết bị vật

lí gắn tương ứng với cổng nào của nó Sơ đồ này được lưu lại trong switch và được gọi

là bảng CAM (Content Address Memory) Quá trình vận chuyển gói tin qua switch cóthể được mô tả như sau:

 Nếu địa chỉ MAC nguồn của gói tin chưa có trong bảng CAM; Switch sẽ cậpnhật với cổng tương ứng Nếu địa chỉ MAC nguồn đã tồn tại trong bảng nhưng với mộtcổng khác, Switch sẽ báo lỗi “MAC flapping” và huỷ gói tin

 Nếu ánh xạ địa chỉ đích của gói tin không tồn tại trong bảng CAM trước đó thìgói tin sẽ được gửi ra tất cả các cổng của switch trừ cổng mà nó nhận được gói tin(cổng kết nối với máy gửi gói tin đó)

 Nếu địa chỉ đích của gói tin là địa chỉ Unicast và ánh xạ của địa chỉ tồn tạitrong bảng CAM đồng thời cổng nguồn khác với cổng mà gói tin cần được chuyển đến(đích) thì nó sẽ gửi gói tin đến chính xác cổng có trong bảng CAM

 Các trường hợp còn lại, gói tin sẽ bị huỷ

Ví dụ:

Trong ví dụ trên, khi host A gửi bản tin đến host B Do switch chưa có địa chỉMAC của B trong bảng CAM của mình nên switch sẽ gửi broadcast ra mọi cổng cònlại đồng thời sẽ lưu lại địa chỉ MAC của A vào bảng CAM Sau khi host B nhận đượcbản tin từ A; B gửi lại tin cho A Khi đó, switch đã có địa chỉ của A nên sẽ gửi unicasttới port 1 đồng thời cập nhật địa chỉ MAC của B vào bảng CAM.

Bảng CAM của thiết bị chuyển mạch chỉ chứa được một số hữu hạn các ánh xạ(ví dụ như switch Catalyst 6000 có thể chứa được tối đa 128000 ánh xạ) và các ánh xạnày không phải tồn tại mãi mãi trong bảng CAM Sau một khoảng thời gian nào đó,thường là 300s; nếu địa chỉ này không được dùng trong việc trao đổi thông tin thì nó sẽ

bị gỡ bỏ khỏi bảng Khi bảng CAM được điền đầy, tất cả thông tin đến sẽ được gửi đếntất cả các cổng của nó trừ cổng nó nhận được Lúc này chức năng của Switch khôngkhác gì chức năng của một Hub Lợi dụng điểm yếu của thiết bị chuyển mạch, Hackertấn công MAC Flooding bằng cách làm tràn bảng CAM của Switch

Ví dụ: mô hình tấn công làm ngập bảng CAM

Trong ví dụ trên, host C của kẻ tấn công gửi đi liên tục hàng loạt các bản tin cóđịa chỉ MAC nguồn là địa chỉ giả mạo (host X và host Y) Switch sẽ cập nhật địa chỉcủa các host giả mạo này vào bảng CAM Kết quả là khi host A gửi tin đến cho host B;địa chỉ của B không tồn tại trong bảng nên gói tin được Switch gửi ra các cổng của nó

và C sẽ nhận được bản tin mà A muốn gửi riêng cho B

Nguyên lý chung của các phương pháp phòng chống là không để các gói tin cóđịa chỉ MAC lạ đi qua Switch Phương pháp phòng chống hiệu quả nhất là cấu hìnhPort Security trên Switch Khi Switch nhận được một gói tin chuyển đến, nó sẽ kiểmtra địa chỉ MAC nguồn của gói tin với danh sách các địa chỉ đã được cấu hình trước đó.Nếu hai địa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị mà Switch sẽ

xử lí gói tin đến với các mức độ khác nhau Như vậy cấu hình Port Security là mộtphương pháp hiệu quả nhất để phòng chống MAC Flooding Tuy nhiên, với nhữngSwitch không hỗ trợ cấu hình Port Security thì có một biện pháp có thể dùng được là

sử dụng phần mềm phát hiện gói tin giả mạo Như ta đã thấy, sau khi bảng CAM củaSwitch bị tràn, mọi gói tin đến Switch đều bị gửi ra các cổng và việc tấn công này cầnphải tiến hành liên tục để đảm bảo rằng bảng CAM luôn bị tràn Do đó trong khoảngthời gian aging (khoảng thời gian để Switch xóa một ánh xạ ra khỏi bảng nếu khôngnhận được thông tin trao đổi trên cổng); kẻ tấn công phải tiến hành gửi đi ít nhất 2 lần

số bản tin giả mạo Ta có thể dùng một máy tính gắn vào một cổng trên Switch để bắtcác gói tin giả mạo này (do chúng bị flood ra tất cả các cổng) Từ các gói tin bị bắtđược, phần mềm sẽ đọc ra địa chỉ MAC nguồn của gói tin Nếu trong một khoảng thờigian nhất định (bằng khoảng thời gian aging của Switch) số địa chỉ MAC nguồn là quálớn, phần mềm sẽ ghi lại kết quả và báo cho người quản trị biết rằng đã có tấn côngtrong mạng Tuy nhiên, phương pháp này lại có rất nhiều nhược điểm:

 Nhược điểm thứ nhất: do phải xử lý quá nhiều gói tin trong một khoảng thờigian ngắn, hiệu năng của máy sẽ giảm Số lượng gói tin ở đây không chỉ là các bản tingiả mạo mà tất cả các bản tin khác được gửi đến Switch sau khi Switch đã bị tấn công

 Nhược điểm thứ hai: các bản tin giả mạo sẽ chỉ được Switch gửi ra tất cả cáccổng thuộc về cùng một VLAN mà thôi Như vậy, nếu kẻ tấn công ở khác VLAN vớimáy dùng để phát hiện giả mạo thì việc tấn công vẫn không bị phát hiện

 Nhược điểm thứ ba: khi một Switch bị tràn bảng CAM thì những Switch bêncạnh nếu có cấu hình VLAN cùng với VLAN của kẻ tấn công cũng sẽ bị tràn (hậu quảdây chuyền)

Như vậy tấn công nghe lén là một hình thức tấn công rất nguy hiểm và tồn tại rấtnhiều kỹ thuật giúp Hacker có thể dễ dàng nghe lén một hệ thống Để phòng chống

hiệu quả thì không thể chỉ sử dụng một vài kỹ thuật riêng lẻ mà phải kết hợp nhiều biệnpháp như:

- Giới hạn mức độ và phạm vi broadcast bằng cách phân chia VLAN (VirtualLocal Area Network);

- Giới hạn khả năng bị cài đặt chương trình nghe lén bằng cách áp dụng chínhsách quản lý cài đặt phần mềm cho hệ thống Áp tính năng port security để hạn chế cácthiết bị mạng kết nối trái phép;

- Đối với mạng nhỏ, nên sử dụng địa chỉ IP tĩnh và bảng ARP tĩnh để hạn chếkhả năng bị tấn công kiểu ARP spoofing thông qua giám sát chặt chẽ sự thay đổi địachỉ MAC (Media Access Control) trên Switch;

- Áp dụng cơ chế one-time password – thay đổi password liên tục;

- Thay thế hoặc hạn chế sử dụng các giao thức truyền thông không mã hóa dữliệu bằng các giao thức mã hóa;

- Đối với hệ thống mạng công ty, cách bảo vệ tốt nhất là ngăn chặn, phòng ngừangay từ đầu bằng cách xây dựng Chính sách bảo mật mạng (Network Security Policy).Trong đó có những chính sách quản lý truy xuất, quản lý bảo vệ vật lý hệ thống mạngvới những quy định như: ai được phép tiếp xúc với các máy; được phép sử dụng máy;được phép gắn thêm thiết bị vào máy; được phép cài đặt những loại chương trình nào(không cho phép người dùng tự ý cài đặt chương trình), v.v…

b Quét địa chỉ IP (Ping Sweep)

Ping là một khái niệm rất đơn giản tuy nhiên lại rất hữu ích cho việc chẩn đoánmạng Tiểu sử của từ "ping" như sau: Ping là tiếng động vang ra khi một tàu ngầmmuốn biết có một vật thể khác ở gần mình hay không, nếu có một vật thể nào đó gầntàu ngầm tiếng sóng âm này sẽ va vào vật thể đó và sẽ có âm thanh phản xạ lại như vậytàu ngầm đó sẽ biết là có gì đó ở gần

Lệnh “Ping” trên hệ thống mạng gửi một gói tin ICMP (Internet Control MessageProtocol) “echo request” đến Host Nếu nhận được thông tin phản hồi (echo reply) thìchứng tỏ Host đó đang hoạt động (đang sống); còn ngược lại thì có thể khẳng định làHost đó đã ngừng hoạt động (hoặc không tồn tại)

Hacker sử dụng các công cụ quét IP phổ biến như: SupperScan, Pinger, Frendlypinger, wsping pro, … để thăm dò xem có những Host nào hoạt động trên hệ thốngmạng, đây là một bước ban đầu và cần thiết để Hacker thực hiện các kỹ thuật tấn côngtiếp theo

Giao diện công cụ SupperScanCách thức phòng chống Ping Sweep tốt nhất là cấu hình chặn gói tin ICMP ngaytại Firewall Ngoài ra còn có thể sử dụng một số kỹ thuật che dấu địa chỉ IP thật củamáy như: NAT, PAT sẽ được trình bày ở phần sau của giáo trình này.

c Quét cổng (Port Sweep)

Truyền thông bằng giao thức TCP/IP sử dụng các cổng TCP hoặc cổng UDP (nếugiao thức UDP được sử dụng cùng với giao thức IP) Cổng TCP hoặc UDP là một conđường để truy nhập hệ thống đích, thông thường nó liên quan đến một dịch vụ, mộttiến trình hay một chức năng nhất định Một cổng tương tự như một mạch ảo kết nốigiữa 2 dịch vụ hoặc 2 tiến trình truyền thông với nhau giữa 2 máy tính hoặc 2 thiết bịmạng khác nhau

Một số cổng TCP thông dụng:

Port

1 Multiplexing 53 DNS server application

5 RJE applications 79 Find active user application

9 Transmission discard 80 HTTP web browsing

15 Status of network 93 Device controls

20 FTP data 102 Service access point (SAP)

21 FTP commands 103 Standadized e-mail service

23 Telnet applications 104 Standadized e-mail exchange

25 SNMTP e-mail applications 119 Usenet news transfers

37 Time transactions 139 NetBIOS applications

Quét cổng là một kỹ thuật Hacker dùng để xác định các cổng dịch vụ đang được

mở trên một máy tính (mục tiêu tấn công); bằng cách khai thác các thông tin từ gói tinTCP

Cấu trúc một gói tin TCP

Để quét cổng, Hacker sẽ quan tâm đến các thiết lập trong phần Flag:

- Thông số SYN để yêu cầu kết nối giữa hai máy tính

- Thông số ACK trả lời kết nối hai máy tính có thể bắt đầu thực hiện

- Thông số FIN để kết thúc quá trình kết nối giữa hai máy tính

- Thông số RST từ Server nói cho Client biết rằng giao tiếp này bị cấm

- Thông số PSH sử dụng kết hợp với thông số URG

- Thông số URG sử dụng để thiết lập độ ưu tiên cho gói tin này

Trên gói tin TCP/UDP có 16 bit dành cho Port Number, điều đó có nghĩa có thểđịnh nghĩa được 65535 port Tuy nhiên, không một hacker nào lại scan toàn bộ các porttrên hệ thống, chúng chỉ scan những port hay sử dụng nhất (thường từ 1 tới 1024) bằngcác phương thức sau:

- SYN Scan: Khi Client bắn gói SYN với một thông số Port nhất định tới

Server nếu server gửi về gói SYN/ACK thì Client biết Port đó trên Server đang đượcmở; còn nếu Server gửi về cho Client gói RST/SYN chứng tỏ port đó trên Server đangđóng

- FIN Scan: Client chưa có kết nối tới Server nhưng vẫn tạo ra gói FIN với số

port nhất định gửi tới Server cần Scan Nếu Server gửi về gói ACK thì Client biếtServer đang mở port đó, nếu Server gửi về gói RST thì Client biết Server đang đóngport đó

- NULL Scan Sure: Client sẽ gửi tới Server những gói TCP với số port cần

Scan mà không chứa thông số Flag nào, nếu Server gửi lại gói RST thì chứng tỏ port

đó trên Server đang bị đóng

- XMAS Scan Sorry: Client sẽ gửi những gói TCP với số Port nhất định cần

Scan chứa nhiều thông số Flag như: FIN, URG, PSH Nếu Server trả về gói RST thìClient biết port đó trên Server đang bị đóng

- TCP Connect: Phương thức này rất thực tế, nó gửi đến Server những gói tin

yêu cầu kết nối tới các port cụ thể trên server Nếu server trả về gói SYN/ACK thìClient biết port đó mở, nếu Server gửi về gói RST/ACK thì Client biết port đó trênServer bị đóng

- ACK Scan: dạng Scan này nhằm mục đích tìm những Access Controll List

trên Server Client cố gắng kết nối tới Server bằng gói ICMP nếu nhận được gói tin làHost Unreachable thì client sẽ hiểu port đó trên server đã bị lọc

Sau khi một Hacker biết được một hoặc nhiều địa chỉ IP của các hệ thống đangsống (tồn tại) trên mạng, kẻ tấn công sẽ chạy phần mềm quét cổng (Nmap, Strobe) đểtìm ra những cổng quan trọng nào đang mở, những cổng nào chưa được sử dụng Ví

dụ, kẻ tấn công có thể truy nhập và tấn công các dịch vụ DNS trên cổng 53 của mộtmáy chủ DNS Cổng 23 của Telnet cũng là một mục tiêu hấp dẫn mà những kẻ tấncông nhắm đến để giành quyền truy nhập vào một máy tính

Một cách để ngăn chặn truy nhập thông qua một cổng mở là dừng các dịch vụhoặc các tiến trình hệ điều hành không sử dụng hoặc chỉ cấu hình khởi động các dịch

vụ một cách thủ công bằng chính hiểu biết của mình

Dừng tiến trình crond (cổng 1249) bằng lệnh kill trong linuxNgoài ra, có thể dùng các thiết bị chuyên dụng để phát hiện và ngăn chặn tấn côngPort Sweep như: IDS/IPS (Instrusion Detection System/Instrusion Prevention System)

d Xác định Hệ điều hành

Một công việc rất quan trọng mà Hacker cần phải làm trước khi tấn công vào một

hệ thống máy tính là phải thăm dò được máy chủ đó đang chạy hệ điều hành gì? Và

phiên bản nào? Những thông tin về Hệ điều hành sẽ giúp cho Hacker tìm được cácđiểm yếu của hệ thống và từ đó có thể dễ dàng tấn công truy nhập vào hệ thống.

Phương thức chung để xác định Hệ điều hành của một máy chủ đang hoạt động làtelnet vào hệ thống, các Hệ điều hành khác nhau sẽ có những đáp trả khác nhau Có 2

kỹ thuật xác định Hệ điều hành:

- Active Stack FingerPrinting: xác định dựa vào việc khởi tạo TCP của các Hệđiều hành khác nhau là khác nhau Với hình thức này, Hacker sử dụng các công cụnhư: Nmap, queso, … tạo ra những gói tin và gửi đến máy định tấn công; sau đó dựavào sự đáp trả để xác định Hệ điều hành

- Passive Stack FingerPrinting: là kỹ thuật không trực tiếp telnet vào hệ thống

để xác định Hệ điều hành và phân tích thụ động các thông tin có được từ hệ thống như:TTL (Time To Live), Kích thước cửa sổ, DF (tính năng phân tách bit), …

Trên thực tế, có thể có nhiều giải pháp được đưa ra nhằm phát hiện và ngăn chặntấn công thăm dò Hệ điều hành Nhưng giải pháp sử dụng FireWall vẫn được coi là cóhiệu quả nhất

Có một số hình thức tấn công truy nhập phổ biến sau:

a Man - In - The – Middle (MITM)

Là hình thức tấn công mà Hacker tìm cách xen vào giữa luồng dữ liệu trao đổigiữa hai máy tính thu thập các thông tin nhạy cảm (số PIN, mật khẩu, …) hoặc thay đổicác thông tin xác thực rồi truyền lại, cố gắng đóng giả người dùng (tấn công Relay).Hình thức tấn công này được coi là rất nguy hiểm vì khi bị tấn công, việc trao đổi dữliệu giữa các máy tính vẫn diễn ra bình thường nên người dùng không hề hay biết mình

bị tấn công

Tấn công MITM

Tấn công chuyển tiếp gói tin (Relay)Ngày nay, cùng với sự phát triển của hệ thống mạng Internet, nhu cầu trao đổi,giao dịch thương mại điện tử tăng lên Nếu không có giải pháp tốt để bảo vệ thông tincủa các phiên giao dịch thì rất có thể sẽ bị các đối tượng xấu tấn công bằng hình thứcMITM và gây ra những thiệt hại hết sức to lớn Ví dụ, Hacker có thể tấn công kiểuRelay, bắt được các gói tin URL khi người dùng thực hiện các câu lệnh chuyển tiềnqua môi trường Web, sau đó thay đổi thông tin và đóng giả người dùng để rút trộmtiền Một số kiểu tấn công Man In The Middle tiêu biểu như: ARP Cache, DNSSpoofing, Hijacking, …

 ARP Cache

Như đã trình bày ở phần trước của giáo trình này, giao thức ARP tồn tại một điểmyếu là không hề có một cơ chế nào để xác thực các thông tin trong gói tin ARPResponse Do đó, Hacker có thể giả mạo để ăn cắp những thông tin nhạy cảm bằngcách đứng giữa đánh lừa cả 2 máy tính đang tham gia giao dịch

Máy Eva (hacker) đánh lừa bảng ARP của cả Bob và Alice rằng địa chỉ IP củaAlice (10.0.0.10) và của Bob (10.0.0.1) tương ứng với địa chỉ MAC của Hacker(ee:ee:ee:ee:ee:ee) Khi đó mọi thông tin trao đổi giữa Bob và Alice sẽ đi qua máy củaHacker.

Để phòng chống hình thức tấn công MITM, đối với một mạng có qui mô nhỏ,chúng ta có thể thực hiện gán tĩnh địa chỉ IP và địa chỉ MAC tương ứng trên bảng ARPcủa các máy Còn đối với một mạng lớn, biện pháp hữu hiệu nhất là áp dụng các kỹthuật mã hoá (trình bày ở chương 2) tất cả các thông tin trao đổi trên mạng (đặc biệt làcác thông tin nhạy cảm), khi đó, cho dù Hacker có bắt được cũng chỉ là những thôngtin vô nghĩa

họ nhận được gói tin DNS Reply thật sự từ DNS Server

Đây là một hình thức tấn công truy nhập hết sức nguy hiểm vì khi Hacker đã đánhlừa được máy người dùng bằng gói tin DNS Reply với địa chỉ IP giả mạo thì thay vìngười dùng truy cập đến trang web mà mình mong muốn lại truy cập vào trang web giả

do Hacker tạo ra Qua đó Hacker có thể lấy được các thông tin về tài khoản, mã Pin, …

do người dùng nhập vào trang web giả

Đối phó với tấn công DNS Spoofing là một vấn đề khá khó vì có rất ít các dấuhiệu bị tấn công Thông thường nạn nhân chỉ biết khi đã bị tấn công Để phòng chống

có hiệu quả, cần phải thực hiện đồng thời một số giải pháp sau:

- Bảo vệ tốt các máy tính bên trong mạng: vì đa phần các cuộc tấn công giả mạoDNS đều xuất phát từ một máy tính ở bên trong mạng;

- Không dựa vào DNS cho các hệ thống bảo mật: không nên duyệt Internet ởcác hệ thống có độ nhạy cảm cao hoặc sử dụng phần mềm hostname để thực hiện một

số công việc thay thế DNS;

- Sử dụng IDS: một hệ thống IDS được đặt và triển khai đúng sẽ phát hiện đượctấn công giả mạo DNS;

- Sử dụng DNSSec: đây là một giải pháp mới thay thế cho DNS, bằng các sửdụng các bản ghi DNS có chữ ký để đảm bảo sự hợp lệ của gói tin DNS Reply Tuynhiên DNSsec vẫn chưa được triển khai rộng rãi nhưng nó đã được chấp thuận là

“tương lai của DNS”

b Backdoor

Backdoor là cổng sau giúp Hacker có thể truy nhập vào máy nạn nhân một cáchbất hợp pháp Hình thức này thường được tiến hành sau khi Hacker đã xâm nhập đượcvào máy nạn nhân và cố tình mở một cổng bí mật để có thể dễ dàng quay lại, hoặcHacker đánh lừa người sử dụng kích hoạt một đoạn mã bí mật (Trojan) để giám sát và

mở cổng hậu trên máy nạn nhân

Việc phát hiện Trojan là khá dễ dàng so với các hình thức tấn công khác vì bất kỳmột Trojan nào khi hoạt động cũng tuân theo 3 nguyên tắc cơ bản: Trojan phải lắngnghe các yêu cầu (request) trên một cổng nào đó, một chương trình đang chạy sẽ phải

có tên trong Process list và Trojan sẽ luôn chạy cùng lúc khi máy tính khởi động Do

đó, người quản trị có thể dùng lệnh “netstat -an” trong Windows để biết hệ thống đang

lắng nghe trên các cổng nào

Một số cổng (Port) được sử dụng bởi các Trojan phổ biến:

- Back Orifice: Sử dụng UDP protocol – Port 31337 và 31338

- Deep Throat: Sử dụng UDP protocol – Port 2140 và 3150

- NetBus: Sử dụng TCP Protocol – Port 12345 và 12346

- Whack-a-mole: Sử dụng TCP – Port 12361 và 12362

- Netbus 2 Pro: Sử dụng TCP – Port 20034

- GrilFriend: Sử dụng Protocol TCP – Qua Port 21544

- Masters Paradise: TCP - Port 3129, 40421,40422, 40423 và 40426

Sử dụng Task Manager trong Windows hoặc phần mềm Process Viewer, để pháthiện các chương trình đang chạy trên hệ thống

Kiểm tra các chương trình khởi động cùng Windows trong Statup và Registry

Một số giải pháp để phòng chống Trojan hiệu quả:

- Không sử dụng các phần mềm không tin cậy;

- Không truy cập vào các trang web nguy hiểm, không cài các ActiveX vàJavaScript trên các trang web đó bởi có thể sẽ có đính kèm Trojan;

- Cập nhật Hệ điều hành thường xuyên để vá các lỗ hổng bảo mật;

- Cài đặt phần mềm diệt virus uy tín: Kaspersky Internet Security, NortonInternet Security, Mcafee Total Security, …

c Social Engineering

Kỹ thuật lừa đảo (Social Engineering) là một thủ thuật được nhiều Hacker sửdụng cho các cuộc xâm nhập vào hệ thống mạng Đây là một phương pháp không đòihỏi phải sử dụng quá nhiều yếu tố kỹ thuật, thậm chí không có liên quan đến kỹ thuậtthuần tuý (non-technical) nhưng lại rất hiệu quả để đánh cắp mật khẩu hoặc các thôngtin giúp Hacker dễ dàng tấn công vào hệ thống

Hacker có thể sử dụng hình thức này thông qua việc gửi thư tín, email, điện thoại,tiếp xúc trực tiếp, thông qua người quen biết, các mối quan hệ cá nhân,… Nhằm dẫn

dụ, khai thác các thông tin do vô tình bị tiết lộ từ phía người dùng (có thể chỉ đơn giảnbằng việc người dùng đứng dậy mà quên không tắt màn hình máy tính và Hacker đangđứng ở gần đó) Ở Việt Nam, kỹ thuật này còn khá mới nên không ít trường hợp đã bịđánh lừa một cách dễ dàng bằng các hình thức gửi tin nhắn trúng thưởng qua điệnthoại, gửi email lừa đảo, …Một vụ tấn công điển hình vào năm 2006, hàng loạt gamethủ MU Global đã mất hết tài sản (ảo) khi ngây thơ điền thông tin tài khoản của mìnhvào một email giả mạo Admin MU do Hacker tạo ra

Do hình thức tấn công này dựa chủ yếu vào yếu tố con người nên các phòngchống hiệu quả nhất là đào tạo người sử dụng có sự am hiểu và cảnh giác khi sử dụngmáy tính

d Khai thác điểm yếu công nghệ

Mỗi công nghệ ra đời đều có sự phát triển quay vòng: Nghiên cứu; đưa vào sửdụng; sửa chữa, cập nhật khi phát hiện có lỗi, điểm yếu và chết khi có một công nghệmới, tiên tiến hơn ra đời.

Bất kỳ một công nghệ nào ra đời, dù hoàn hảo đến đâu cũng đều tồn tại điểm yếu.Việc phát hiện ra những điểm yếu này có thể giúp Hacker khai thác và dễ dàng truynhập vào hệ thống

Một số điểm yếu công nghệ đã được phát hiện và Hacker có thể khai thác để tấncông hệ thống:

 Điểm yếu của các giao thức

Hệ thống mạng ngày nay chủ yếu sử dụng các giao thức trong bộ giao thứcTCP/IP Đây là bộ giao thức có cấu trúc từ trạm đến mạng, phân tầng không chặt chẽ,cốt để gói tin IP đi qua mạng; không có những cơ chế đảm bảo an toàn

Hầu hết các giao thức trong bộ giao thức này đều tồn tại những điểm yếu có thểkhai thác như: giao thức ARP (đã được tìm hiểu trong phần trước), IP, ICMP, TCP, cácgiao thức trong tầng ứng dụng, …

Giao thức TCP với cơ chế bắt tay 3 bước (Three-way-handshake), tạo điều kiệncho Hacker tấn công SynFlood làm quá tải máy chủ

Cơ chế tấn công SynFlood Mô hình tấn công SynFlood

Đa số các giao thức ở tầng ứng dụng (Application) như: HTTP, FTP, SMTP, …đều không có cơ chế mã hoá và xác thực để đảm bảo an toàn cho gói tin khi gửi lênđường truyền Đây cũng là mục tiêu tấn công của rất nhiều Hacker trên mạng Internet

Giải pháp phòng chống các hình thức tấn công này là sử dụng các giao thức mãhoá nhằm đảm bảo độ bí mật của dữ liệu và tính xác thực người dùng khi trao đổithông tin trên mạng (được trình bày ở phần sau của giáo trình này).

 Khai thác lỗ hổng của Hệ điều hành

Các hệ điều hành, đặc biệt là hệ điều hành Windows tồn tại rất nhiều lỗ hổng bảomật nguy hiểm mà Hacker có thể khai thác để tấn công truy nhập vào hệ thống

Có thể khảo sát được số lượng các lỗ hổng của các hệ điều hành đã được pháthiện và khai thác thông qua trang web: http://Milw0rm.com

Giải pháp hiệu quả để phòng chống tấn công khai thác lỗ hổng của hệ điều hành

là thường xuyên cập nhật các bản vá lỗi của các hãng cung cấp

 Khai thác lỗi Buffer OverFlow

Rất nhiều hệ điều hành sử dụng bộ đệm (buffer) để lưu dữ liệu cho đến khi nó sẵnsàng được sử dụng Giả sử, một máy chủ với một kết nối tốc độ cao đang truyền dữliệu đa phương tiện tới một máy trạm trên mạng, và máy chủ truyền nhanh hơn máytrạm có thể nhận Khi đó giao diện mạng của máy trạm sẽ sử dụng phần mềm lưu tạm(đệm) thông tin nhận được cho đến khi máy trạm sẵn sàng xử lý nó Các thiết bị mạngnhư switch cũng sử dụng bộ đệm để khi lưu lượng mạng quá tải nó sẽ có chỗ để lưu dữliệu cho đến khi chuyển tiếp xong dữ liệu đến đích

Cấu trúc của một bộ đệm thông thường:

- Heap: là vùng nhớ được sử dụng để cấp

phát vùng nhớ với kích thước chỉ được xác

định trong quá trình thực thi chương trình

Thường được sử dụng bởi hàm malloc().

- Stack: là vùng nhớ nơi các biến cục bộ

động được cấp phát và giải phóng Thường

được sử dụng trong hàm Call.

- Return Address (RES – địa chỉ trả về) và

các tham số của hàm cũng được lưu trữ tạm

thời trong Stack

Lỗi tràn bộ đệm (Buffer Overflow) xảy ra khi tiến trình phần mềm ghi một khối

dữ liệu lớn hơn kích thước của một Buffer có chiều dài cố định Kết quả là dữ liệu đó

sẽ ghi đè lên các vị trí bộ nhớ liền kề

Các lỗi tràn bộ đệm có thể làm cho một tiến trình đổ vỡ hoặc cho ra các kết quảsai Nguy hiểm hơn, Hacker có thể lợi dụng lỗi này để chèn địa chỉ trả về và thực thiđoạn mã độc để xâm nhập và chiếm quyền điều khiển hệ thống Bằng cách đó, các lỗitràn bộ đệm gây ra nhiều lỗ hổng bảo mật (vulnerability) đối với phần mềm và tạo cơ

sở cho nhiều thủ thuật khai thác khác (exploit)

Ví dụ: một đoạn chương trình bình thường được thực thi

- Cài đặt hệ thống phát hiện và cảnh báo xâm nhập (IDS);

- Giới hạn quyền thực thi của người sử dụng đối với các phần mềm cung cấpdịch vụ;

- Thường xuyên cập nhật các bản vá lỗi

3 Tấn công từ chối dịch vụ (DoS/DDoS)

Tấn công từ chối dịch vụ (DoS – Denial of Service): là hình thức can thiệp vàoquá trình truy nhập đến một máy tính, một trang web hay một dịch vụ mạng và làm lụtmạng đó bằng các thông tin vô ích hoặc bằng các frames, packets chứa các lỗi mà mộtdịch vụ mạng không nhận biết được (thực chất là Hacker chiếm dụng hết tài nguyênmạng: băng thông, bộ nhớ, CPU, …) Mục đích chính của tấn công DoS là chỉ làm sậpmột trang cung cấp thông tin hoặc làm tắt một dịch vụ chứ không làm hại đến thông tinhoặc các hệ thống Trên thực tế, sự phá hoại đó là làm cho người dùng không thể truynhập được một trang web hoặc một máy tính trên mạng trong một khoảng thời giannào đó, điều này làm mất các chức năng của các giao dịch trực tuyến Một số trang webthương mại điện tử đã từng bị tấn công DoS như: Amazon.com, Buy.com, eBay.com

và ngay cả các trang web uy tín như website của chính phủ Mỹ và Hàn Quốc cũng đãtừng bị tấn công bằng hình thức này

Tấn công DDoS (Distributed Denial of Service): là hình thức tấn công mà Hackerkhông những chỉ sử dụng một máy tính để tấn công mà có thể huy động rất nhiều máytính khác (mạng máy tính ma - Botnet) cùng tham gia để nâng cao hiệu quả của cuộctấn công.

Các hình thức tấn công Dos rất đa dạng Có thể kể đến một số kiểu sau: Winnuke,Ping of Death, Teardrop, SYN attack, Land attack, Smurf attack, UDP Flooding, …

Để có thể phòng chống được hình thức tấn công này là việc làm rất khó vì các yêucầu được gửi từ Hacker tới Server thường là các yêu cầu cung cấp dịch vụ hợp lệ Hiện

nay biện pháp phòng chống tỏ ra có hiệu quả nhất là sử dụng thiết bị phát hiện và cảnhbáo xâm nhập (IDS/IPS) với bộ mẫu các dấu hiệu tấn công được liệt kê chi tiết và đầyđủ.

III Một số mô hình tổng quan đảm bảo An toàn mạng

1 Mô hình áp dụng cho trung tâm mạng nhỏ

Sử dụng một Firewall để ngăn cách và kiểm soát sự trao đổi dữ liệu giữa vùngmạng trong (Internal) và vùng mạng ngoài (External)

Thiết bị phát hiện và phòng chống thâm nhập (IDS/IPS) được đặt ở phía trướcmạng LAN (vùng Internal) để theo dõi và cảnh báo khi nhận thấy có dấu hiệu tấn công

 Ưu điểm của mô hình này là lắp đặt đơn giản, dễ cấu hình

 Nhược điểm: kém linh hoạt, do các Server đặt trong vùng mạng trong(Internal) nên không thể cấu hình được các luật ngăn chặn tất cả các truy nhập từ bênngoài (External) vào vùng mạng trong (ví dụ để mọi người truy cập được website trênweb server thì phải mở cổng 80; muốn gửi nhận mail thì phải mở cổng 110 và 25).Điều này gây nguy hiểm cho các máy tính khác của người dùng trong vùng mạng trong

vì Hacker có thể lợi dụng các cổng được mở để tấn công

2 Mô hình áp dụng cho trung tâm mạng trung bình

Sử dụng 2 Firewall để bảo vệ hệ thống mạng

- Firewall thứ nhất đặt ngay sau Router để ngăn tất cả các truy nhập từ vùngmạng ngoài vào hệ thống mạng trừ một số truy nhập vào các Server cung cấp dịch vụnhư: web, mail, FTP, …

- Firewall thứ 2 đặt trước vùng mạng trong để ngăn chặn tất cả các truy nhậpvào từ bên ngoài

Sử dụng một thiết bị phát hiện và phòng chống xâm nhập để phát hiện và xử lýcác thâm nhập trái phép từ bên ngoài

 Ưu điểm: do được bảo vệ 2 lớp nên vùng mạng trong (chứa các dữ liệu quantrọng) là khá an toàn

 Nhược điểm: Các máy chủ cơ sở dữ liệu và ứng dụng (DB & APP Server)được đặt trong vùng Internal nên sẽ không ngăn chặn được các cuộc tấn công từ bêntrong nội bộ mạng trong vào các hệ thống đòi hỏi độ bảo mật cao nhất này

3 Mô hình áp dụng cho trung tâm mạng lớn

Sử dụng 2 Firewall để bảo vệ hệ thống mạng

- Firewall thứ nhất đặt ngay sau Router để ngăn tất cả các truy nhập từ vùngmạng ngoài vào hệ thống mạng trừ một số truy nhập vào các Server cung cấp dịch vụnhư: web, mail, FTP, …

- Firewall thứ 2 cần có 3 giao tiếp mạng để kết nối với 3 vùng mạng khác nhau.Firewall này có chức năng cho phép các vùng mạng PC Zone và DB&APP Zone đi ravùng DMZ nhưng không cho phép chiều ngược lại Đồng thời ngăn chặn được các tấncông từ vùng PC Zone vào các máy chủ DB&APP bằng cách thiết lập các luật phùhợp

Mô hình này cũng sử dụng 2 thiết bị phát hiện và cảnh báo xâm nhập (IDS/IPS):

- Thiết bị thứ nhất đặt ngày trước vùng DMZ để theo dõi và cảnh báo khi có dấuhiệu truy nhập bất thường từ vùng mạng ngoài (External) vào hệ thống

- IDS thứ 2 đặt trước vùng DB&APP Server để phát hiện và phòng chống cácxâm nhập trái phép từ bên trong hệ thống mạng vào các máy chủ chứa dữ liệu quantrọng

 Ưu điểm: mô hình này đã khắc phục được các nhược điểm của mô hình trước.Với sự phân chia minh bạch các vùng mạng nên có thể xây dựng các luật phù hợp đểđáp ứng tốt yêu cầu bảo mật của các vùng mạng riêng biệt

 Nhược điểm: mô hình này đòi hỏi phải có sự đầu tư thiết bị và người quản trịcần có một trình độ cao mới có thể cấu hình và quản trị tốt

CHƯƠNG II MẬT MÃ VÀ AN TOÀN THÔNG TIN TRÊN MẠNG

I Tổng quan về mật mã

1 An toàn thông tin và mật mã

Mật mã học là một ngành có lịch sử từ hàng nghìn năm nay Trong phần lớn thờigian phát triển của mình (ngoại trừ vài thập kỷ trở lại đây), lịch sử mật mã học chính làlịch sử của những phương pháp mật mã cổ điển - các phương pháp mật mã với bút vàgiấy, đôi khi có hỗ trợ từ những dụng cụ cơ khí đơn giản Vào đầu thế kỷ 20, sự xuấthiện của các cơ cấu cơ khí và điện cơ, chẳng hạn như máy Enigma, đã cung cấp những

cơ chế phức tạp và hiệu quả hơn cho việc mã hóa Sự ra đời và phát triển mạnh mẽ của

ngành điện tử và máy tính trong những thập kỷ gần đây đã tạo điều kiện để mật mã họcphát triển nhảy vọt lên một tầm cao mới.

Máy Enigma được Phát xít Đức sử dụng trong thế chiến II

Sự phát triển của mật mã học luôn luôn đi kèm với sự phát triển của các kỹ thuậtphá mã (hay thám mã) Các phát hiện và ứng dụng của các kỹ thuật phá mã trong một

số trường hợp đã có ảnh hưởng đáng kể đến các sự kiện lịch sử Một vài sự kiện đángghi nhớ bao gồm việc phát hiện ra bức điện Zimmermann khiến Hoa Kỳ tham gia Thếchiến I và việc phá mã thành công hệ thống mật mã của Đức Quốc xã góp phần làm

Cho tới đầu thập kỷ 1970, các kỹ thuật liên quan tới mật mã học hầu như chỉ nằm trongtay các chính phủ Hai sự kiện đã khiến cho mật mã học trở nên thích hợp cho mọingười, đó là: sự xuất hiện của tiêu chuẩn mật mã hóa DES và sự ra đời của các kỹ thuậtmật mã hóa khóa công khai

2 Các thuật ngữ và khái niệm mật mã cơ bản

- Mật mã học: là nghệ thuật và khoa học để giữ thông tin được an toàn

- Thám mã: nghiên cứu các nguyên lý và phương pháp giải mã mà không biếtkhoá Thông thường khi đưa các mã mạnh ra làm chuẩn dùng chung giữa các người sửdụng, các mã đó được các kẻ thám mã cũng như những người phát triển mã tìm hiểunghiên cứu các phương pháp giải một phần bản mã với các thông tin không đầy đủ

- Hệ mật mã: là toàn bộ các thuật toán và các thủ tục kết hợp để che dấu thôngtin cũng như làm rõ nó

- Bản rõ (plaintext or cleartext): Chứa các xâu ký tự gốc, thông tin trong bản rõ

là thông tin cần mã hoá để giữ bí mật

- Bản mã (ciphertext): Chứa các ký tự sau khi đã được mã hoá, mà nội dungđược giữ bí mật

- Mã hoá (Encryption): là quá trình chuyển bản rõ thành bản mã, thông thườngbao gồm việc áp dụng thuật toán mã hóa và một số quá trình xử lý thông tin kèm theo

- Giải mã (Decryption): Quá trình biến đổi trả lại bản mã bản thành bản rõ, đây

là quá trình ngược lại của mã hóa

- Thuật toán mã hoá: Là các thủ tục tính toán, sử dụng để che dấu và làm rõthông tin Thuật toán càng phức tạp thì bản mã càng an toàn.

- Khoá (Key): Là một giá trị làm cho thuật toán mã hoá chạy theo cách riêngbiệt Khoá càng lớn thì bản mã có được càng an toàn, kích thước của khoá được đobằng bit; phạm vi các giá trị có thể có của khoá được gọi là “không gian khoá”

II Mật mã khoá đối xứng (khóa bí mật)

Mật mã khoá bí mật hay còn gọi là mật mã đối xứng ra đời từ rất sớm Từ khimáy tính chưa ra đời, mật mã khoá bí mật đã đóng vai trò quan trọng trong việc mã hoáthông tin Phần này trình bày các nội dung liên quan đến việc sử dụng mật mã khoá bímật trong việc bảo mật thông tin trên mạng máy tính

Mã hoá đối xứng hay còn gọi là mã hoá cổ điển là thuật toán mã hoá mà tại đókhoá mã hoá có thể tính toán ra được từ khoá giải mã Trong rất nhiều trường hợp,khoá mã hoá và khoá giải mã là giống nhau Thuật toán này còn có nhiều tên gọi khácnhau như: mã khoá bí mật, thuật toán một khoá, …Thuật toán này yêu cầu người gửi

và người nhận phải thoả thuận một khoá trước khi thông báo được gửi đi, và khoá nàyphải được cất giữ bí mật Độ an toàn của thuật toán này phụ thuộc vào khoá Nếu để lộkhoá có nghĩa bất kỳ người nào cũng có thể mã hoá và giải mã thông báo trong hệthống mã hoá

1 Mô hình mật mã khoá đối xứng

Tại nơi gửi (nguồn thông báo) có một bản rõ R được sinh ra Để mã R cần có mộtkhoá K Nếu K được sinh tại nguồn thông báo thì nó phải được chuyển tới đích thôngbáo theo một kênh an toàn Hoặc một bên thứ ba có thể sinh khoá và chuyển một cách

an toàn tới cả nguồn và đích

Với thông báo R và khoá K, thuật toán mã E sẽ tạo ra bản mã M = EK(R)

Tại nơi nhận (đích thông báo) với bản mã M và khoá mã K, thuật toán dịch D sẽtạo ra bản rõ R = DK(M)

Một kẻ tấn công thu được MY nhưng không có khoá K, anh ta phải cố gắng khôiphục R hoặc khoá K Thừa nhận rằng kẻ tấn công biết thuật toán mã E và thuật toángiải mã D Nếu kẻ tấn công chỉ quan tâm đến nội dung thông báo, họ cố khôi phục Rbằng việc sinh ra một ước lượng R' của R Tuy nhiên thường kẻ tấn công mong muốntìm ra khoá K để giải mã các thông báo tiếp theo, bằng cách sinh ra một khoá ướclượng K' của K

2 Một số hệ mật khoá đối xứng

a Chuẩn mã hoá dữ liệu DES (Data Encryption Standards)

DES (Data Encryption Standards) là mã khối được đưa ra năm 1976 bởi NBS –

văn phòng chuẩn Quốc gia Hoa kỳ (bây giờ là NIST - Viện chuẩn và công nghệ Quốcgia) DES là mã khối với mỗi khối dữ liệu 64 bít và dùng khoá mã dài 64 bít (56 bitkhoá và 8 bit chẵn lẻ kiểm soát lỗi) Nó được sử dụng rộng rãi và đã được tranh luận kỹ

về mặt an toàn