An ninh mạng GVGD: Ks.Trương Minh Tuấn

• Nghe trộm – Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng.. • Kẻ tấn công gửi các gói

An ninh mạng

GVGD: Ks.Trương Minh Tuấn

0937.024.166

• Network security: A beginer’s guide

• Crytography and network security

Chương 1: Tổng quan

Bảo mật thông tin?

• Thông tin được bảo mật khi thỏa các yêu cầu sau:

– Đảm bảo tính tin cậy(Confidentiality): Thông tin không thể bị truy nhập trái phép bởi những người không có thẩm quyền

– Đảm bảo tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi những người không có thẩm quyền

– Đảm bảo tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền

– Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin được cam kết về mặt pháp luật của người cung cấp

An toàn hệ thống

• Hệ thống an toàn: là hệ thống có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất

• Hệ thống có một trong các đặc điểm sau là không an

Các kiểu tấn công?

• Tấn công trực tiếp

– Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu

• Nghe trộm

– Việc nghe trộm thông tin trên mạng có thể đưa lại

những thông tin có ích như tên, mật khẩu của người

sử dụng, các thông tin mật chuyển qua mạng Việc

nghe trộm thường được tiến hành ngay sau khi kẻ

tấn công đã chiếm được quyền truy nhập hệ thống

Các kiểu tấn công?

• Giả mạo địa chỉ

– Thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing)

• Kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.

• Vô hiệu các chức năng của hệ thống

– Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc

và truy nhập thông tin trên mạng.

Các kiểu tấn công?

• Lỗi của người quản trị hệ thống

– Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công

sử dụng để truy nhập vào mạng nội bộ

• Tấn công vào yếu tố con người

– Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác

Ai là kẻ tấn công?

• Người qua đường

– Những kẻ buồn chán với công việc hàng ngày, muốn giải trí

Ai là kẻ tấn công?

• Kẻ ghi điểm

– Những kẻ muốn khẳng định mình qua những kiểu tấn công mới, số lượng hệ thống chúng đã thâm nhập – Chúng thích đột nhập những nơi nổi tiếng, canh

phòng cẩn mật

• Gián điệp

– Truy nhập để ăn cắp tài liệu để phục vụ những mục đích khác nhau, để mua bán, trao đổi

Chương 2: Kiến thức cơ sở

Quy tắc xây dựng hệ thống mạng an toàn

• Quyền hạn tối thiểu

– Chỉ nên cấp những quyền nhất định cần có với công việc tương ứng

và chỉ như vậy.

– Tất cả các đối tượng: người sử dụng, chương trình ứng dụng, hệ điều hành đều nên tuân theo nguyên tắc này.

• Đơn giản

– Hệ thống phải đơn giản để dễ hiểu và ít mắc lỗi.

– Dễ hiểu: Sẽ giúp cho dễ dàng nắm được nó hoạt động như thế nào, có như mong muốn hay không.

– Ít mắc lỗi: Càng phức tạp thì càng nhiều lỗi có thể xảy ra.

==> Firewall thường chạy trên các hệ thống đã loại bỏ hết những gì không cần thiết

•

Quy tắc xây dựng hệ thống mạng an toàn

• Bảo vệ theo chiều sâu

– Nên áp dụng nhiều chế độ an toàn khác nhau.

– Nhiều lớp an toàn khác nhau, chia thành các vòng bảo vệ bao lấy nhau, muốn tấn công vào bên trong thì phải lần lượt qua các lớp bảo về bên ngoài > bảo vệ lẫn nhau.

• Nút thắt

– Bắt buộc mọi thông tin phải đi qua một của khẩu hẹp mà ta quản lý được > kể cả kẻ tấn công Giống như cửa khẩu quốc tế, tại đó nhân viên cửa khẩu sẽ kiểm soát được những thứ đưa ra và vào.

– Nút thắt sẽ vô dụng nếu có một con đường khác nữa.

•

Quy tắc xây dựng hệ thống mạng an toàn

• Tính toàn cục

– Phải quan tâm tới tất cả các máy trong mạng, vì mỗi máy đều có thể là bàn đạp tấn công từ bên trong Bản thân một máy có thể không lưu trữ những thông tin hay dịch vụ quan trọng, nhưng để nó bị đột nhập thì những máy tính khác trong mạng cũng dễ dàng bị tấn công từ trong ra

• Tính đa dạng

– Nếu tất cả cùng dùng một hệ điều hành hay một loại phần mềm duy nhất thì sẽ có thể bị tấn công đồng loạt và không có khả năng hồi phục ngay

Biện pháp bảo mật

• Bảo mật vật lý đối với hệ thống

– Hình thức bảo mật vật lý khá đa dạng, từ khoá cứng, hệ thống báo động cho đến hạn chế sử dụng thiết bị Ví dụ: loại bỏ đĩa mềm khỏi các máy trạm thông thường là biện pháp được nhiều cơ quan áp dụng

– Nhận dạng nhân sự khi vào văn phòng, đăng nhập hệ thống hoặc cấm cài đặt phần mềm, hay sử dụng các phần mềm không phù hợp với hệ thống.

– Biến đổi dữ liệu từ dạng nhiều người dễ dàng đọc được, hiểu được sang dạng khó nhận biết

Biện pháp bảo mật

• Mật khẩu

– Biện pháp phổ biến và khá hiệu quả

– Tuy nhiên mật khẩu không phải là biện pháp an toàn tuyệt đối Mật khẩu vẫn có thể mất cắp sau một thời gian sử dụng

• Xây dựng bức tường lửa

– Hệ thống bao gồm phần cứng và phần mềm đặt giữa

hệ thống và môi trường bên ngoài như Internet chẳng hạn

Quản lý rủi ro CNTT

• Quản lý rủi ro

– Một lĩnh vực quan trọng có tính quyết định thành công của các

dự án, đặc biệt đối với các dự án lớn và phức tạp như các dự án ứng dụng CNTT trong DN

• Quản lý rủi ro bao gồm:

– Phòng ngừa rủi ro (nhận dạng nguy cơ và đánh giá khả năng xảy

ra sự cố cùng thiệt hại, cơ chế để giám sát các nguy cơ đó ) – Xử lý hậu quả nếu xảy ra rủi ro (chiến lược xử lý, các biện pháp

và công cụ được áp dụng, phân bổ lực lượng để khắc phục )

 “Phòng bệnh hơn chữa bệnh”, phòng ngừa rủi ro có ý nghĩa quyết định, tuy nhiên, cũng phải sẵn sàng các giải pháp và phương tiện để khắc phục nhanh và tốt nhất hậu quả nếu chẳng may rủi ro vẫn xảy ra

Warning !!!!!!!!

• Tội phạm mạng có thể chịu tù tới 12 năm

• Người sử dụng trái phép thông tin trên mạng cũng

có thể bị phạt tiền, cải tạo không giam giữ hoặc phạt

tù tới 3 năm, theo dự thảo sửa đổi, bổ sung bộ Luật hình sự.

(Theo http://antoanthongtin.org

thứ hai ,ngày 29 tháng 6 năm 2009)

Chương 3: Các phần mềm có hại

(Malicious Softwares)

Virus máy tính là gì ?

• Virus là một đoạn chương trình hoặc chương trình có kích thước rất nhỏ dùng để phục vụ những mục đích không tốt.

• Cách phân loại:

– Dựa vào cơ chế hoạt động:

• Virus nhân bản (Worm)

• Virus không nhân bản (logic boms, backdoor, zombie)

– Dựa vào cách thức tồn tại:

• Virus là đoạn chương trình “bám” ký sinh vào các chương trình ứng dụng, tiện ích và chương trình hệ thống (logic bombs, backdoor)

• Virus là một chương trình tồn tại độc lập và có khả năng tự thực thi (worm, zombie)

Tác hại của virus

• Sau khi lây nhiễm vào máy, virus có thể làm máy tính

hoạt động chậm, làm hỏng các file bị lây nhiễm, làm mất dữ liệu, gây lỗi hệ thống…

• Virus cũng có thể sử dụng máy tính của nạn nhân để

quảng cáo bất hợp pháp, gửi thư rác, gây khó chịu cho người sử dụng, gây mất an ninh thông tin, đánh cắp thông tin cá nhân, thông tin tài khoản, số thẻ tín dụng…

• Một số loại virus còn lợi dụng máy tính của nạn nhân

để tạo mạng botnet (mạng máy tính ma), dùng để tấn công hệ thống máy chủ, website khác…

Virus máy tính lây lan như thế nào?

• Lây qua mạng nội bộ (mạng LAN),

• Lây qua các file tải về từ Internet

• Lây qua email

• Lây từ các ổ đĩa USB

• Lợi dụng các lỗ hổng phần mềm, kể cả hệ điều hành

để xâm nhập, lây nhiễm lên máy tính thông qua mạng.

Dấu hiệu nhận biết máy tính bị nhiễm virus?

• Truy xuất tập tin, mở các chương trình ứng dụng chậm

• Khi duyệt web có các trang web lạ tự động xuất hiện

• Duyệt web chậm, nội dung các trang web hiển thị trên trình duyệt chậm

• Các trang quảng cáo tự động hiện ra (pop up), màn hình

Desktop bị thay đổi

• Góc phải màn hình xuất hiện cảnh báo tam giác màu vàng:

“Your computer is infected”, hoặc xuất hiện cửa sổ “Virus Alert”…

• Các file lạ tự động sinh ra khi bạn mở ổ đĩa USB

• Xuất hiện các file có phần mở rộng exe có tên trùng với tên

các thư mục.

• …v…v.

Con ngựa Thành Tơ-roa - Trojan Horse

• Đến thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn nhân như số thẻ tín dụng, mật khẩu để gửi về cho chủ nhân của nó ở trên mạng hoặc có thể ra tay xoá dữ liệu nếu được lập trình trước.

Con ngựa Thành Tơ-roa - Trojan Horse

• Bên cạnh các Trojan ăn cắp thông tin truyền thống, một

số Trojan mang tính chất riêng biệt như sau:

– Backdoor : Loại Trojan sau khi được cài đặt vào máy nạn nhân sẽ tự mở ra một cổng dịch vụ cho phép kẻ tấn công (hacker) có thể kết nối từ xa tới máy nạn nhân, từ

đó nó sẽ nhận và thực hiện lệnh mà kẻ tấn công đưa ra.

– Phần mềm quảng cáo bất hợp pháp ( Adware ) và phần mềm gián điệp (Spyware) : Gây khó chịu cho người sử dụng khi chúng cố tình thay đổi trang web mặc định (home page), các trang tìm kiếm mặc định (search page)

… hay liên tục tự động hiện ra (popup) các trang web quảng cáo khi bạn đang duyệt web

Sâu Internet – Worm

• Là loại chương trình có khả năng tự sao chép và tự gửi bản

sao chép đó từ máy này sang máy khác thông qua đường truyền mạng Tại máy nạn nhân, Worm sẽ thực thi các chức năng theo ý đồ “xấu” của người tạo ra nó.

• Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm

của Trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó để trở thành một kẻ phá hoại với

vũ khí tối tân

– VD: Mellisa hay Love Letter Với sự lây lan đáng sợ theo cấp

số nhân, trong vài tiếng đồng hồ, đã có thể lây lan tới hàng chục triệu máy tính trên toàn cầu

 làm tê liệt hàng loạt hệ thống máy chủ, làm ách tắc đường truyền Internet.

Sâu Internet – Worm

• Cái tên của nó, Worm hay "Sâu Internet" cho ta hình

dung ra việc những con virus máy tính "bò" từ máy tính này qua máy tính khác trên các "cành cây" Internet

• Để tự nhân bản, Worm sử dụng một số cơ chế mạng

thông thường, VD:

– E-mail: worm tự gửi bản copy của nó qua e-mail.

– Khả năng thực thi từ xa: thực thi bản copy của nó trên một hệ thống khác.

– Khả năng đăng nhập từ xa: đăng nhập từ xa vào một hê thống như một user, sau đó nó tự sử dụng lệnh để copy bản thân nó vào hệ thống nạn nhân…

Sâu Internet – Worm

• Worm thường được cài thêm nhiều tính năng đặc biệt.

– khả năng định cùng một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn công vào một địa chỉ nào

đó

– Mang theo các BackDoor thả lên máy nạn nhân, cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân và làm đủ mọi thứ như ngồi trên máy đó một cách bất hợp pháp.

• Ngày nay, khái niệm Worm đã được mở rộng, bao gồm:

– Các virus lây lan qua mạng chia sẻ ngang hàng.

– Các virus lây lan qua USB hay dịch vụ “chat”

– Các virus khai thác các lỗ hổng phần mềm để lây lan

• có bản quyền,

• cập nhật phiên bản mới thường xuyên,

• có hỗ trợ kỹ thuật trực tiếp từ nhà sản xuất khi có sự cố liên quan tới virus.

– ???????????

Chương 4: Gia cố hệ thống

(System Hardening)

Gia cố hệ thống là gì?

• Gia cố hệ thống:

– Là tiến trình theo từng bước để làm cho hệ thống

an toàn nhằm chống lại các truy cập trái phép, đồng thời giúp cho hệ thống đáng tin cậy hơn

• Gia cố hệ thống gồm:

– Gia cố hệ điều hành

– Gia cố hệ thống mạng

– Gia cố ứng dụng

Tại sao phải gia cố hệ thống?

• Tính toàn vẹn của dữ liệu được đảm bảo.

• Khi hiệu suất cải tiến giúp ta rút ra được kinh

nghiệm về việc nhận biết các dịch vụ không cần

thiết; phát hiện được cấu hình hệ thống thiếu hiệu quả

• Nếu có một lỗi hệ thống, bạn có thể phục hồi nhanh

hơn -> giảm tối đa thiệt hại khi có sự cố xảy ra.

• Danh tiếng của công ty được bảo vệ (các công ty

cho thuê server, thuê host…).

Các bước chính khi gia cố hệ thống

• Bước 1: Đảm bảo rằng phần cứng đó được mạnh

mẽ

– Nó phải đủ mới để được coi là đáng tin cậy

– Xác định các liên kết yếu và có biện pháp tăng cường (đĩa dự phòng, máy chủ clustering v v)

– Đảm bảo môi trường là máy tính thân thiện (khí hậu,

vị trí v v)

– Cung cấp bảo mật vật lý để loại bỏ giả mạo hoặc

trộm cắp

Các bước chính khi gia cố hệ thống

• Bước 2: Chọn và cài đặt một hệ điều hành vững

chắc

– Hệ điều hành mới chưa được thăm dò ồ ạt của tin

tặc Hệ điều hành đáng tin cậy

– Có những tính năng quan trọng gồm khả năng hỗ trợ các biện pháp chịu đựng lỗi như hỗ trợ UPS, đĩa

RAID , logging, và kiểm soát truy cập (đăng nhập, xác thực và bảo vệ file)

Các bước chính khi gia cố hệ thống

– Yêu cầu xác thực mạnh mẽ để truy cập từ xa và từ nội bộ

– Quản lý chặt chẽ người dùng và các nhóm để kiểm soát các quyền không thích hợp

– Kích hoạt tính năng kiểm toán để theo dõi sự kiện quan trọng

– Cài đặt một tường lửa bên thứ 3 và theo dõi các bản ghi (logs)

– Áp dụng tất cả bản sữa chữa (hot-fixes), bản vá lỗi (patches) và gói dịch vụ (and service packs) có liên quan

Các bước chính khi gia cố hệ thống

• Bước 3: Cài đặt và cấu hình hệ thống tập tin

– Cấu hình Access Control Lists (ACL) để loại bỏ quyền mạnh mẽ và không thích hợp (nhất là Privilege)

– Kích hoạt tính năng kiểm toán để theo dõi sự kiện

quan trọng

– Bắt đầu bằng cách khóa chặt các thư mục và sau đó cung cấp quyền điều khiển truy cập cho từng nhóm

sử dụng (user groups)

– Truy cập cho những người sử dụng cụ thể chỉ nên

được thực hiện trên cơ sở ngoại lệ

Các bước chính khi gia cố hệ thống

– Áp dụng tất cả bản sữa chữa (hot-fixes), bản vá lỗi

(patches) và gói dịch vụ (and service packs) có liên quan – Xóa đi một vài dữ liệu mẫu (các kịch bản, mẫu trang

web, vv)

Các bước chính khi gia cố hệ thống

• Bước 5 Cấu hình máy chủ bên applets / script

– Chỉ cài đặt các ứng dụng thiết yếu, các applet và các kịch bản

– Cài đặt thử nghiệm và chỉ được phê duyệt phần mềm – Xác minh rằng các applet và các kịch bản chỉ có chức năng thực hiện dự định của mình

– Áp dụng tất cả bản sữa chữa (hot-fixes), bản vá lỗi

(patches) và gói dịch vụ (and service packs) có liên quan

Chương 5: Xác thực

(Authentication)

Xác thực (Authentication) là gì ?

• Là một quy trình nhằm cố gắng xác minh

nhận dạng số (digital identity) của nơi gửi thông tin

đi (sender) trong giao thông liên lạc

– VD: xác thực một yêu cầu đăng nhập từ user

• Nơi gửi thông tin cần phải xác thực có thể là:

– một người dùng sử dụng một máy tính

– bản thân một máy tính

– một chương trình ứng dụng máy tính (computer program).

Các nhân tố xác thực

• Những cái mà người dùng sở hữu bẩm sinh

– VD: vết lăn tay, mẫu hình võng mạc mắt, chuỗi DNA, mẫu hình về giọng nói sự xác minh chữ ký, tín hiệu sinh điện đặc

hữu do cơ thể sống tạo sinh (unique bio-electric signals),

hoặc những biệt danh sinh trắc (biometric identifier)