Đề cương An toàn mạng máy tính HV kỹ thuật mật mã

đề cương gồm 16 câu hỏi như sau: Câu 1: Trình bày các nguyên nhân gây mất an toàn, an ninh mạng. Câu 2. Trình bày các hiểm họa an toàn thông tin. Câu 3. Trình bày các hình thức tấn công đối với thông tin trên mạng. Câu 4. Trình bày các dịch vụ bảo vệ thông tin trên mạng.Câu 4. Trình bày các dịch vụ bảo vệ thông tin trên mạng. Câu 5: Đặc trưng cơ bản tấn công chủ động và tấn công bị động. Câu 6. Bảo mật theo chiều sâu là gì.

An toàn mạng máy tính.

Câu 1: Trình bày các nguyên nhân gây mất an toàn, an ninh mạng

Nguyên nhân gây mất an toàn,an ninh mạng:

- Điểm yếu công nghệ:

Điểm yếu trong TCP/IP:Chặn bắt và phân tích gói tin:biết được IP nguồn, đíchtrong kết nối, biết được giao thức, dịch vụ, biết được nội dung; quá trình bắt tay 3bước, giả mạo địa chỉ nguồn,…

Điểm yếu tỏng thiết bị mạng: như tài khoản theiets lập sẵn trong các thiết bị mạng,

…

- Điểm yếu chính sách

- Cấu hình yếu.

Câu 2 Trình bày các hiểm họa an toàn thông tin

 Hiểm họa có cấu trúc

- Hiểm họa do các đối tượng có tổ chức và có trình độ kỹ thuật cao thực hiện

- Mục đích: vụ lợi, chính trị, so sánh tài năng, kinh doanh

Ví du: Vụ lợi: Dò quét thông tin, ăn cắp thông tin, tài khoản

Chính trị: Hacker trung quốc- Mỹ:Vụ nghe trộm ĐT của thủ tướng Đức,

Vụ việc WikiLeak tung tin thông tin của chính phủ Mỹ

So tài năng

Kinh doanh: Vụ việc tại công ty VCCorp, Lỗ hổng heartbleed

 Hiểm họa không có cấu trúc

- Liên quan đên tấn công có tính chất tự phát như:

Cá nhân tò mò thử nghiệm

Lỗ hổng phần mềm tiềm ẩn

Sự vô ý của người dùng:Không đặt mật khẩu, hoặc mật khẩu dễ đoàn, Máy tínhkhông cài anti virus, Không bảo mật dữ liệu quan trọng,…

- Hiểm họa do môi trường tạo ra: do thiên tai,…

 Hiểm họa từ bên trong

- Hiểm họa được tạo ra từ những cá nhân bên trong mạng nội bộ:

Nghe trộm thông tin, Sử dụng USB tùy tiện, Leo thang đặc quyền, Tài nguyên chia

sẻ không được phân quyền thích hợp, Xâm nhập máy trạm, máy chủ từ người dùngbên trong: thông qua mạng, thông qua đường truyền vật lý

- Hiểm họa từ mã độc( virus, trojan, backdoor)

- Số lượng tấn công và mức độ nguy hiểm cao

- Khó phát hiện và ngăn chặn

 Hiểm họa từ bên ngoài

- Nguồn hiểm họa xuất phát từ Internet vào mạng bên trong:

Tấn công dò quét, Tấn công ứng dụng, Tấn công từ chối dịch vụ

- Hiểm họa từ mã độc: mail, website, software

- Hiểm học từ mạng xã hội: facebook, phishing

- Sử dụng kết nối internet để thực hiện hoạt động

- Những kẻ tấn công không có quyền truy cập vào mạng tổ chức

- Có khả năng phát hiện và ngăn chặn

Câu 3 Trình bày các hình thức tấn công đối với thông tin trên mạng

Ngăn chặn thông tin

- Thông tin bao gồm: văn bản, âm thanh, hình ảnh, dữ liệu…

- Được lưu giữ trong các thiết bị: Ổ đĩa, băng từ, đĩa quang…hoặc được truyền quakênh công khai

- Tài nguyên thông tin bị phá hủy, không sẵn sàng phục vụ, không sử dụng được

- Đây là hình thức tấn công làm mất khả năng sẵn sàng phục vụ của thông tin

Ví dụ: Phá hủy đĩa cứng, cắt đứt đường truyền tin, vô hiệu quá hệ thống quản lý tệp.

Chặn bắt thông tin

- Kẻ tấn công có thể truy cập tới tài nguyên thông tin

- Đây là hình thức tấn công vào tính bí mật của thông tin

- Việc chặn bắt có thể là nghe trộm để thu tin và sao chép bất hợp pháp dữ liệu trongquá trình truyền tin

Sửa đổi thông tin:

- Kẻ tấn công truy cập, chỉnh sửa thông tin trên mạng

- Đây là hình thức tấn công vào tính toàn vẹn của thông tin

- Đây có thể là thay đổi giá trị trong tệp dữ liệu, ửa đổi 1 chương trình để nó vậnhành khác đi, sửa đổi nội dung 1 thông báo truyền đi

Chèn thông tin giả:

- Kẻ tấn công chèn các thông tin và dữ liệu giả vào hệ thống

- Đây là hình thức tấn công vào tính xác thực của thông tin

- Đây có thể là chèn thông báo giả mạo vào mạng hay thêm các bản ghi vào tệp

- Có 2 kiểu: tấn công chủ động và tấn công bị động

- Chia làm 2 loại: -Khám phá nội dung thông báo: nghe trộm,…

- Phân tích luồng thông tin: chặn bắt & khám phá tt-Khó bị phát hiện vì k thay đổi số liệu và không có dấu hiệu rõ ràng

Câu 4 Trình bày các dịch vụ bảo vệ thông tin trên mạng.

 Dịch vụ bí mật

- Đảm bảo thông tin lucu trữ trong hệ thống máy tính hoặc thông tin truyền trên mạng chỉ được đọc bởi người dùng hợp lệ

- Chống lại tấn công bị động nhằm khám phá nội dung thông báo

- Ví dụ: HĐH windows sử dụng cơ chế mã hóa file, win7,8, server 2008 sử dụng bitlocket; truyền tin: vpn Ipsec

 Dịch vụ xác thực

- Đảm bảo truyền thông giữa người gửi và người nhận được xác thực không bị mạo danh

- Phương pháp xác thực:

Xác thực dựa trên những gì đã biết: tên đăng nhập, pass

Xác thực dựa trên tính năng vật lý không đổi: sinh trắc học

Xác thực dựa trên những gì đã có: thẻ bài, tocken, chứng thư số

Xá thực đa nhân tố: kết hợp hai hay nhiều pp xác thực

 Dịch vụ toàn vẹn

- Đảm bảo thôgn tin lưu trữ và thông tin truyền tải không bị sửa đổi trái phép

- Các thuật toán được áp dụng: MD5, SHA

- Được áp dụng trong giao thức bảo mật: SSL, TLS, Ipsec, SSH

 Chống chối bỏ

- Ngăn chặn người gửi hay người nhận chối bỏ thông báo được truyền

 Khi thông báo được gửi đi người nhận có thể chúng minh được người nêu danh đã gửi nó

 Khi thông báo được nhận, người gửi có thể chứng minh được thông báo đã nhận bởi người nhận hợp lệ

 Ví dụ: chữ ký sô, tem thời gian

 Kiểm soát truy cập

- Là khả năng hạn chế và kiểm soát truy cập tới tài nguyên hệ thống

- Mỗi một thực thể muốn truy cập đều phải định danh hay xác nhận có quyền truy cập phù hợp

 Sẵn sàng phục vụ

- Đảm bảo các tài nguyên mạng máy tính luôn sẵn sàng đối với người dùng hợp lệ

- Các tấn công có thể làm mất mát hoặc giảm khả năng sẵn sàng phục vụ của tài nguyên mạng

- Ví dụ: thiết bị lưu điện, cân bằng tải, sao lưu dự phòng, cơ chế RAID cho ổ cứng

Câu 5: Đặc trưng cơ bản tấn công chủ động và tấn công bị động

Tấn công bị động:

- Là kiểu tấn công chặn bắt thông tin như nghe trộm và quan sát truyền tin

- Mục đích: biết được thông tin truyền trên mạng

- Rất khó phát hiện vì không thay đổi số liệu và không có dấu hiệu rõ ràng

- Biện pháp: tính bí mật (mã hóa), tính toàn vẹn (ký số),

 Dùng lại: chặn bắt thông báo, sao chép và gửi lại thông báo.

 Sửa đổi thông báo: thông báo bị chặn bắt và sửa đổi và gửi lại

 Từ chối dịch vụ: ngặn chặn người dùng hợp lệ sử dụng dịch vụ

- Giải pháp đối với trường hợp này: phòng thủ, giám sát, phát hiện, ngăn chặn,khắc phục hậu quả

Câu 6 Bảo mật theo chiều sâu là gì.

- Lớp 1( data): mã hóa, xác thực, phân quyền

- Lớp 2(Appliction): cập nhật bản vá, antivrus

- Lớp 3(Computer): xác thực truy cập

- Lớp 4(Network): phân vùng, Firewall, ID/IPS

- Lớp 5(Physical): hệ thống khóa cửa, tủ rack, camera

- Lớp 6(Policy): Quy tắc, quy định về truy cập, sử dụng tài nguyên, thiết lập mật khẩu, chính sách về con người, sao lưu phục hồi

- Chính sách bảo mật:

 Tập các quy ước định nghĩa các trạng thái an toàn của hệ thống

P: tập hợp tất cả các trạng thái của hệ thống

Q: tập hợp các trạng thái an toàn theo nghĩa của security policy

R: tập hợp các trạng thái của HT sau khi áp dụng các cơ chế bảo mật

 R⊆Q: hệ thống tuyệ đối an toàn

 Nếu tồn tại trạng thái r ϵ R sao cho r ∉ Q: hệ thống không an toàn

- Cơ chế bảo mật:

 Tập hợp các biện pháp kỹ thuật hoặc thủ tục được triển khai để đảm bảo thực thi chính sách bảo mật

 Ví dụ: dùng cơ chế cấp quyền trên partition NTFS

Dùng cơ chế cấp quyền hệ thống(User rights)

Đưa ra các quy định mang tính thủ tục

Câu 7 Nêu chức năng và phân loại hệ thống phát hiện và ngăn chặn xâm nhập.

- IDS là 1 thiết bị hoặc phần mềm chịu trách nhiệm giám sát hệ thống mạng để kịp thời phát hiện ra những hoạt động bất thường hoặc những vi phạm chính sách gây hại cho hệ thống và thông báo cho người quản trị

- IPS: hoạt động tương tự như IDS nhưng có thêm chức năng ngăn chặn tấn công

- Chức năng:

 Nhận diện các nguy cơ có thể sảy ra

 Nhận diện được các cuộc tấn công thăm dò

 Network based : IDS/IPS dùng cho toàn mạng, thường giám sát lưu lượng truy cập

mạng cho các segment mạng cụ thể hoặc các thiết bị và phân tích các giao thức

mạng, giao thức vận chuyển, giao thức ứng dụng để nhận diện các hoạt động khả nghi

 Thường dưới dạng thiết bị chuyên dụng

 Quản lý được cả một phân vùng mạng(gồm nhiều host)

 Trong suốt với người dùng lẫn kẻ tấn công

 Dễ cài đặt và bảo trì

 Đọc lập với OS

 Thường sảy ra cảnh báo giả

 Không phân thích được lưu lượn mãng đã mã hóa

 ảnh hưởng tới chất lượng mạng

Hệ thống NIDPS thường được triển khai trong 1 đoạn mạng con riêng, phục vụ chomục đích quản trị hệ thống trong trường hợp k có mạng quản trị riêng thì 1 mạngảo(VLAN) là cần thiết để bảo vệ các kêt nối giữa các hệ thống NIDPS

NIDPS cung cấp các khả năng bí mật:

 khả năng thu thập thông tin: nhận dạng host, HĐH, ứng dụng, đặc điểm mạng

 khả năng ghi log

 khả năng nhận diện: hoạt động thăm dò và tấn công trên các lớp ứng dụng, mạng, vận chuyển; các dịch vụ không mong đợi, vi phạm chính sách

 khả năng ngăn chặn:

kiểu thụ động: ngắt phiên TCP hiện tại

Kiểu inline: thực hiện tác vụ FW thẳng hàng, điều tiết băng thông sử dụng,loại bỏ các nội dung gây hại

Các sản phẩm: snort, ISS, Juniper IDS, cisco IPS

 Host based : IDS/IPS cá nhân

 Được triển khai trên từng host, thông thường là một software hoặc agent Mục tiêu

là giám sát các tính chất cơ bản các sự kiện liên quan đến các thành phần này nhằmnhận diện các hoạt động khả nghi

 Quá trình triển khai các agent HIDPS thường đơn giản do chúng là 1 phần mềm được cài đặt trực tiếp trên host

 Trên phương diện phát hiện và ngăn chặn, agent nên được cài đặt lên host vì agent tương tác trực tiếp với các đặc tính của host và qua đó có thể phát hiện và ngăn chặn 1 cách hiệu quả

 Có khả năng xác định người dùng liên quan tới 1 sự kiện

 Có thể phân tích các sữ liệu mã hóa

 HIDPS hoạt động phụ thuộc vào host

 Không có khả năng phát hiện tấn công dò quét

 Khả năng bảo mật:

Khả năng ghi log

Khả năng phát hiện: phân tích mã( phân tích hành vi mã, nhận diện overflow ) phân tích và lọc lưu lượng mạng, phân tích log

buffer-Khả năng ngăn chặn:

Phân tích mã: ngăn chặn thực thi mã độcPhân tích và lọc lưu lượng mạng: ngăn chặn

Ngăn chặn việc truy cập, thay đổi file system

 Sản phẩm: ossec, iss, broIDS, tripware, snort

 Wireles IDS/IPS

 Thường được triển khai trong tần phủ sóng wireless của hệ thống nhằm giám sat, phân tích các protocol wireless để nhận diện các hoạt động khả nghi Nó giám sát bằng cách lấy mẫu lưu lượng mạng

 Bộ cảm biến( sensor) trong WIDPS sử dụng kỹ thuật quét kênh( chanel scanning)

để thường xuyên đổi kênh giám sát Để hỗ trợ cho việc giám sát hiệu quả, các bộ cảm biến có thể được trang bị nhiều antenna thu phát công suất cao

 Wireless sensor thường gặp dưới 3 hình thức:

Chuyên biệt

Tích hợp trong AP

Tích hợp tring wireless switch

 Thường được triển khai ở các khu vực mở của hệ thống mạng( khu vực khách, công cộng ), ở các vị trí có thể giám sat toàn bộ vùng sóng của mạng wireless hay được triển khai để giám sát trên 1 số băng tần và kênh xác định

 Cung cấp các chức năng bảo mật:

Khả năng bảo mật

Khả năng thu thập thông tin: nhận diện thiết bị wireless, mạng wirelessKhả năng ghi log

Khả năng nhận diện( mạng và thiết bị wireless trái phép, thiết bị wirelesském bảo mật)

Khả năng ngăn chặn(ngắt kết nối wireless, tác động đến switch để chặn kếtnối từ AP hoặc station nghi ngờ là nguồn tấn công

 Tuy nhiên wireless rất nhạy cảm với các dạng tấn công từ chối dịch vụ hoặc các tính chất sử dụng kỹ thuật lẩn tránh

 Sản phẩm: WIDZ, snort-wireless, Airdefense

Câu 8 Phân tích các kỹ thuật phát hiện xâm nhập trái phép.

- Phát hiện dựa trên dấu hiệu(Signature-based):

 Sử dụng pp so sánh các dấu hiệu của đối tượng quan sát với các dấu hiệu của các mối nguy hại đã biết để nhận diện các sự cố có thể xảy ra

Ví dụ: telnet với username là ‘root’ hoặc email với chủ đề ‘free picture’ đính kèmvới 1 file có tên’ freepic.exe’

 Phương pháp này có hiệu quả với các mối đe dọa đã biết nhưng không có hiệu quả đối với các mối nguy cơ chưa biết hoặc các mối đe dọa sử dụng các kỹ thuật lẩn tránh hoặc các biến thể

 Đây là phương pháp đơn giản nhất nó có sự hiểu biết hạn chế vì các giao thức mạng hoặc các giao thức ứng dụng, không thể theo dõi và nhận diện trạng thái của các truyền thông phức tạp

- Phát hiện dựa trên sự bất thường(Anomaly-based):

 Là quá trình so sánh hành động được coi là bình thường với các sự kiện đang diễn

ra nhằm phát hiện ra sự bất htường

 1 IDPS sử dụng pp này có các profile đặc trưng cho các hành vi được coi là bình thường, được phát triển bằng cách giám sát các đặc điểm của các hoạt động tiêu biểu trong 1 khoảng thời gian Sau khi đã xây dựng được tập các profile, IDPS sử dụng pp thống kê để so sánh các hoạt động hiện tại với các ngưỡng định bởi các profile tương ứng để phát hiện ra những bất thường

 Phương pháp này có thể rất hiệu quả trong việc phát hiện các mối đe dọa chưa biết

 Có hai loại profile là static và dynamic

- Phát hiện dựa vào phân tích trạng thái giao thức(Stateful protocol analysis):

 Phân tích trạng thái giao thức là quá trình phân tích hành vi của giao thức được sử dụng trên cơ sở đã biết các định nghĩa về hoạt động hợp lệ của giao thức để nhận rahành vi tấn công.

 Yêu cầu IDS có khả năng và theo dõi trạng thái của mạng, truyền tải và các giao thức ứng dụng

 Yêu cầu IDS có khả năng hiểu và theo dõi trạng thái của mạng, truyền tảivà các giao thức ứng dụng

 Nhược điểm: sự phức tạp trong quá trình phân tích và thực hiện giám sát trạng thái nhiều phiên làm việc đồng thời

- ứng dụng kỹ thuật khai phá dữ liệu cho việc phát hiện xâm nhập trái phép:

 khai phá dữ liệu là sự khám phá ra các mẫu, các mối quan hệ, các biến đổi, những

sự bất thường, những quy luật, những cấu trúc của sự kiện quan trọng mang tính chất thống kê của dl

 Khai phá dữ liệu trong phát hiện xâm nhập trái phép là để trích lọc tri thức từ một tập dl lớn của các thông tin truy cập trên mạng, để phân tích, biểu diễn nó tới mô hình phát hiện xâm nhập trái phép

Câu 9 Trình bày ưu nhược điểm của mạng không dây.

- Mạng không dây là một hệ thống các thiết bị được nhóm lại với nhau

- Có khả năng giao tiếp thông qua sóng vô tuyến thay vì các đường truyền dẫn bằng dây

 Bảo mật: vì mọi người dùng đều có thể phát hiện được định danh của mạng vì vậy:

Kẻ tấn công cố gắng bẻ khóa để vào mạng

Chặn bắt thông tin truyền tin giữa người dùng và AP

 Phạm vi: với mỗi chuẩn và các thiết bị khác nhau ảnh hường đến phạm vi phủ sóng

 Tốc độ: tốc độ mạng không dây chậm hơn so với mạng có dây

Câu 10 Trình bày đặc điểm của các chuẩn trong họ 802.11.

Được phát triển từ năm 1997 bởi tổ chức iEEE

Chuẩn này được xem là chuẩn dùng cho các thiết bị di động có hỗ trợWireless, phục vụ cho các thiết bị có phạm vi hoạt động tầm trung

 IEEE 802.11b : là chuẩn mở rộng của 802.11

 Được đưa vào sử dụng năm 1999

 Cung cấp truyền dữ liệu trong dải tần 2.4GHz, tốc độ truyền 1-11Mbps

 Được sử dụng phổ biến cho các đối tượng doanh nghiệp, gia đình, văn phòng nhỏ

 Nhược điểm: băng tần dễ bị nghẽn, HT dễ bị nhiều với các Ht khác: lò viba,

bluetooth

 Không cung cấp dịch vụ QoS

 IEEE 802.11a : là chuẩn mở rộng của 802.11

 Được đưa vào sử dụng năm 1999

 Được đưa vào sử dụng năm 2009

 Hoạt động ở băng tần 2.4GHz, hoặc 5GHz

 Tốc độc 300Mbps

 Được sử dụng phổ biến nhất hiện nay

 IEEE 802.11ac : wifi thế hệ thứ 5

 Sử dụng năm 2013

 Tốc độ cao gấp 3 lần so với 802.11n( tối đa 800Mbps)

Câu 11 Các hình thức tấn công trong mạng không dây.

 Tấn công bị động : Kẻ tấn công chỉ lắng nghe trên mạng mà không làm ảnh hưởng

tới bất kỳ tài nguyên nào trên mạng

 Không bị tác động trực tiếp vào thiết bị trên mạng

 Tấn công bị động không để lại 1 dấu vết nào chứng tỏ đã có sự hiện diện của hacker trong mạng vì hacker không thật kết nối với AP để lắng nghe các gói tin truyền trên đoạn mạng không dây

Phát hiện mạng: phát hiện AP, phát hiện máy trạm kết nối, phát hiện đcMAC của các thiết bị tham gia, kênh

Nghe trộm: chặn bắt lưu lượng, phân tích giao thức, nguồn và đích kết nối

Ví dụ: WLAN Sniffer có thể được sử dụng để thu thập thông tin về mạngkhông dây ở khoảng cách bằng cách sử dụng anten định hướng

 Phương pháp này cho phép hacker giữ khoảng cách với mạng, không để lại dấu vếttrong mạng khi vẫn lắng nghe và thu thập được những thông tin quý giá

 Tấn công chủ động : kẻ tấn công sử dụng các kỹ thuật làm ảnh hưởng tới mạng

 Là hình thức tấn công tác động trực tiếp lên thông tin, dữ liệu của mạng

Dò tìm mật khẩu AP(vét cạn, từ điển)

 Bằng kết nối với mạng không dây thông qua AP, hacker có thể xâm nhập sâu hơn vào mạng hoặc cơ thể thay đổi cấu hình của mạng

 Ví dụ: 1 hacker có thể sửa đổi để thêm MAC address của hacker vào sanh sách chophép của MAC filter trên AP hay vô hiệu hóa tính năng MAC filter giúp cho việc đột nhập sau này dễ dàng hơn

 Tấn công main in the middle:

 Là trường hợp trong đó hacker sử dụng 1AP để đánh cấp các node di động bằng cách gửi tín hiệu RF mạnh hơn AP hợp pháp tới các node đó Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn sẽ kết nối đến AP giả mạo này, truyền dl

có thể là những dl nhạy cảm tới AP giả mạo và hacker có toàn quyền xử lý