ban thich mang may tinh ko slide06

Các vấn đề chung - Một số khái niệmĐối tượng tấn công mạng Intruder : – dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ thống – thực hiện các hoạt động xâm nhập – chiếm đoạt tài nguyên mạn

Bảo mật hệ thống

Bảo mật hệ thống

• Quản lý và xây dựng chính sách cho hệ thống

• Nắm vững về TCP/IP, hoạt động của IP, UDP,

Các vấn đề chung - Một số khái niệm

Đối tượng tấn công mạng (Intruder) :

– dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ thống

– thực hiện các hoạt động xâm nhập

– chiếm đoạt tài nguyên mạng trái phép.

• Một số đối tượng tấn công :

– Hacker (xâm nhập trái phép),

– Masquerader (giả mạo thông tin),

– Eavesdropping (nghe trộm thông tin)

• Mục đích :

– Ăn cắp thông tin kinh tế có giá trị

– Phá hoại có chủ định hoặc hành động vô ý thức.

Các vấn đề chung - Một số khái niệm

Các lỗ hổng bảo mật :

– Là những điểm yếu trên hệ thống, hoặc nằm trong

một dịch vụ– Cho phép kẻ tấn công lợi dụng để xâm nhập trái

phép hoặc phá hoại

• Nguyên nhân gây ra lỗ hổng :

– Do lỗi của hệ thống hoặc phần mềm,

– Do người quản trị kém hiểu biết về các dịch vụ …

• Mức độ ảnh hưởng : từ trung bình tới nghiêm

trọng.

Các vấn đề chung - Một số khái niệm

Chính sách bảo mật :

– Tập hợp các quy tắc áp dụng cho mọi đối tượng

tham gia quản lý và sử dụng các tài nguyên và dịch

vụ mạng

• Cho phép người quản trị thiết lập các biện

pháp bảo đảm hữu hiệu trong quá trình trang

bị, cấu hình và kiểm soát hoạt động của hệ thống mạng

Các vấn đề chung - Lịch sử bảo mật

 1988 : xuất hiện phần mềm tự nhân bản lên các máy tính trên Internet, gọi là “sâu”

 1990 : truyền virus qua e-mail trở nên phổ biến

 1991 : các chương trình Trojan, xuất hiện nhiều lỗ hổng cho phép đọc trộm dữ liệu, tấn công bằng DoS, spam mail

Các lỗ hổng và phương thức

tấn công mạng chủ yếu

Các vấn đề chung - Các lỗ hổng

Các lỗ hổng :

– Là một điểm yếu trên hệ thống

– Nằm ngay tại các dịch vụ cung cấp (mail, web …)

– Trên chính các phần mềm và hệ điều hành được sử

dụng

Phân cấp :

• Loại C : cho phép tấn công DoS, mức độ nguy hiểm thấp,

không bị truy cập trái phép

• Loại B : không cẩn kiểm tra tính hợp lệ của người dùng,

mức độ nguy hiểm trung bình

• Loại A : người sử dụng có toàn quyền truy cập bất hợp

pháp, mức độ nguy hiểm cao

Lỗ hổng loại C – Denial of Service

• Cho phép tấn công kiểu DoS tại tầng Internet

(mô hình TCP/IP).

• Một số lượng lớn các gói tin được gửi tới

server trong một khoảng thời gian liên tục.

• Sử dụng các trang Web làm ngưng trệ hệ

thống của end-users bằng các đoạn mã lệnh.

• Mail server không chống relay nên sinh ra hiện

tượng spam mail.

Lỗ hổng loại C

• Có thể sửa chữa bằng các phiên bản mới hơn

• Không thể khắc phục hoàn toàn vì bản thân IP

và TCP/IP đã chứa đựng những nguy cơ tiềm tàng của loại lỗ hổng này

• Mức độ nguy hiểm thấp

– Làm ngưng trệ sự cung cấp dịch vụ của hệ thống trong một thời gian

– Không ảnh hưởng tới dữ liệu

– Không xâm nhập được vào hệ thống

Lỗ hổng loại B

• Cho phép người dùng nội bộ chiếm quyền của

quản trị và truy cập bất hợp pháp.

• Một dạng khác là các lỗi tràn bộ đệm, sử dụng

các lệnh đặc biệt để chiếm quyền quản trị

• Cách giải quyết : kiểm soát chặt chẽ cấu hình

hệ thống và các chương trình.

Một số phương thức tấn công mạng phổ biến

• Scanner

• Password cracker

• Trojans

• Sniffer

Tấn công mạng - Scanner

• Chương trình tự động dò tìm các điểm yếu về

bảo mật tại máy sử dụng hoặc từ xa

• Cơ chế hoạt động :

– Rà soát các cổng TCP/UDP đang hoạt động trên một

hệ thống cần tấn công– Từ đó phát hiện ra dịch vụ đang được sử dụng

– Dựa vào đây có thể tìm ra điểm yếu của hệ thống

Tấn công mạng - Scanner

• Scanner có thể hoạt động được nếu :

– Hệ thống hỗ trợ và sử dụng TCP/IP

– Kết nối với Internet

• Có ích cho những người quản trị

• Nguy hiểm nếu rơi vào tay kẻ xấu

Tấn công mạng - Password Cracker

• Chương trình có khả năng giải mã một mật khẩu

đã bị mã hoá

• Vô hiệu hoá chức năng bảo vệ mật khẩu

• Để hiểu cách bẻ khoá, phải biết được cách mã hoá

Tấn công mạng - Trojans

• Chương trình chạy ngầm trên một hệ thống

• Thực hiện những chức năng xấu.

– Âm thầm ăn trộm dữ liệu, thông tin cá nhân

– Phá hoại thông tin có trong máy

– Tạo ra những lỗ hổng để tấn công và phá hoại

• Mức độ nghiêm trọng : từ đơn giản đến nguy

hiểm

• Virus là ví dụ điển hình.

Tấn công mạng - Sniffer

• Công cụ phần cứng hoặc phần mềm dùng để “tóm” các thông tin lưu chuyển trên mạng

• Kẻ trộm khai thác những thông tin quan trọng có giá trị

Các mức bảo vệ an toàn mạng

• Không có biện pháp bảo vệ tuyệt đối

• Sử dụng đồng thời nhiều biện pháp để bảo vệ

• Thông tin được bảo vệ chủ yếu cất giữ trong các servers.

Các mức bảo vệ an toàn mạng

• Lớp Access rights : quyền truy cập nhằm kiểm soát tài nguyên và quyền hạn trên các tài nguyên đó

• Lớp Login : hạn chế truy cập bằng username và

password Đơn giản, phổ biến, ít tốn kém, có hiệu quả Người quản trị có trách nhiệm kiểm soát quyền truy cập của người sử dụng

Các mức bảo vệ an toàn mạng

• Lớp Firewall : các hệ thống tường lửa nhằm

ngăn chặn truy cập trái phép và lọc các gói tin đi vào, đi ra

Các biện pháp bảo vệ mạng máy tính

Kiểm soát hệ thống qua logfile

Thiết lập chính sách bảo mật hệ thống

Thiết lập chính sách bảo mật hệ thống

• Xác định đối tượng cần bảo vệ

• Xác định nguy cơ đối với hệ thống

• Xác định phương án thực thi chính sách bảo

mật

• Thiết lập các qui tắc / thủ tục

• Kiểm tra, đánh giá và hoàn thiện chính sách

bảo mật

Xác định đối tượng cần bảo vệ

• Xác định rõ mức độ ưu tiên đối với những đối tượng quan trọng

• Xác định ranh giới giữa các thành phần trong hệ

thống

– Phân tách các dịch vụ tuỳ theo mức độ truy cập và độ tin cậy

– Phân tách hệ thống theo các thành phần vật lý như các

máy chủ, router, các máy trạm

– Phân tách theo phạm vi cung cấp của các dịch vụ như :

dịch vụ bên trong mạng và các dịch vụ bên ngoài như Web, FTP, Mail …

• Dễ dàng cô lập và tìm nguyên nhân khi có sự cố

Xác định nguy cơ đối với hệ thống

Nguy cơ chính là các lỗ hổng trên hệ thống

• Các điểm truy cập : Access points thường được quan

tâm tới đầu tiên, có tính bảo mật lỏng lẻo

• Không kiểm soát được cấu hình hệ thống : không kiểm

soát hoặc mất cấu hình, sử dụng cấu hình có sẵn không đảm bảo an toàn

• Những bugs phần mềm sử dụng : tạo nên lỗ hổng của

dịch vụ, tạo điều kiện cho các hình thức tấn công khác nhau xâm nhập vào mạng

• Những nguy cơ trong nội bộ mạng : vô tình hoặc cố ý,

kẻ tấn công có thể tiếp cận về mặt vật lý với các thiết bị

Thiết lập các qui tắc / thủ tục

Các thủ tục đối với việc truy nhập bất hợp pháp

• Sử dụng một số công cụ có thể phát hiện được việc truy cập

bất hợp pháp vào một hệ thống

• Công cụ logging : hầu hết các OS đều hỗ trợ

– So sánh các hoạt động của logfile hiện tại và quá khứ : logfile

thường giống nhau như thời điểm login, logout … – Nếu logfile dùng để in hoá đơn, dựa vào thông tin trong hoá đơn

để xem xét – Sử dụng các tiện ích kèm theo hệ điều hành để theo dõi

• Sử dụng các công cụ giám sát khác : theo dõi lưu lượng, tài

nguyên trên mạng

Kiểm tra, đánh giá chính sách bảo mật

Đảm bảo luôn phù hợp với thực tế, và có

kế hoạch xây dựng mạng lưới hiệu quả hơn

• Kiểm tra, đánh giá : kết quả của chính sách bảo mật sẽ

thể hiện trong chất lượng dịch vụ mà hệ thống cung cấp

• Một số tiêu chí :

– Tính thực thi

– Khả năng phát hiện và ngăn ngừa các hoạt động phá hoại – Các công cụ hữu hiệu để hạn chế các hoạt động phá hoại

• Hoàn thiện chính sách bảo mật : từ kết quả đánh giá sẽ

rút ra được kinh nghiệm để cải thiện chính sách

• Những hoạt động này có thể diễn ra trong suốt thời gian

tồn tại của hệ thống

Tổng quan về hệ thống firewall

Giới thiệu về Firewall

• Firewall là thiết bị nhằm ngăn chặn sự truy cập không hợp lệ từ mạng ngoài vào mạng trong

• Hệ thống Firewall thường bao gồm cả phần

cứng và phần mềm

• Sử dụng phương pháp ngăn chặn hoặc tạo các rules cho các địa chỉ khác nhau

Các chức năng cơ bản của Firewall

Chức năng chính : Kiểm soát luồng thông tin giữa mạng cần bảo vệ và Internet thông qua các chính sách truy cập

đã được thiết lập

• Cho phép hoặc cấm các dịch vụ truy cập từ trong ra ngoài

và ngược lại

• Kiểm soát địa chỉ truy cập, và dịch vụ sử dụng

• Kiểm soát khả năng truy cập người sử dụng giữa 2 mạng

• Kiểm soát nội dung thông tin truyền tải giữa 2 mạng

• Ngăn ngừa khả năng tấn công từ các mạng ngoài

• Sử dụng thiết bị bảo mật tại đường kết nối ra

ngoài để kiểm soát an ninh : sử dụng tường lửa.

• Firewall có thể là phần cứng, phần mềm hoặc cả hai Tất cả đều có chung một thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn.

Mô hình mạng sử dụng Firewall

Mô hình mạng sử dụng Firewall

Phân loại Firewall

• Packet filtering : hoạt động theo nguyên tắc lọc gói tin, chạy tại lớp network

• Application-proxy firewall : hoạt động dựa trên phần mềm

Packet filtering

• Hoạt động theo nguyên tắc lọc gói tin, chạy tại

lớp network

• Packet filtering đơn giản chỉ kiểm tra địa chỉ

nguồn nên có thể gặp phải địa chỉ giả

• Các công nghệ packet filtering phức tạp còn kiểm tra thêm nhiều tham số như giao thức, port …

– Packet filtering firewall : hoạt động tại lớp network của

mô hình OSI

– Circuit level gateway : hoạt động tại lớp session của mô hình OSI

Application-proxy firewall

• Hoạt động dựa trên phần mềm

• Kết nối sẽ bị chặn lại và bị kiểm tra các trường liên quan

• Nếu được phép, firewall sẽ tạo ra một cầu nối giữa 2 điểm liên lạc

– Application level gateway : hoạt động tại lớp ứng dụng– Stateful multilayer inspection firewall : kết hợp các tính năng của các loại firewall ở trên, lọc gói tại lớp mạng, kiểm tra nội dung tại lớp ứng dụng, cho phép kết nối trực tiếp giữa client và các host

Một số phần mềm Firewall thông dụng

Packet filtering : kiểu lọc gói tin có thể thực hiện mà

không cần xây dựng một firewall hoàn chỉnh

• TCP Wrappers :

– Ghi lại tất cả các yêu cầu kết nối, thời gian , địa chỉ nguồn … – Có khả năng ngăn chặn các địa chỉ IP

• NetGate :

– sử dụng trên hệ thống Sun Sparc OS 4.1.2

– Một hệ thống dựa trên các luật về lọc gói tin

– Kiểm tra các gói tin nhận được và so sánh với các luật đã tạo

• Internet Packet Filter :

– Có khả năng ngăn chặn việc tấn công bằng địa chỉ giả

– Huỷ bỏ các gói tin TCP bị lỗi, không gửi lại thông báo lỗi

– Cho phép kiểm tra các luật trước khi tạo

Một số phần mềm Firewall thông dụng

Application-proxy firewall

• TIS FWTK (Trusted information System Firewall Tool Kit)

– Đầy đủ tính năng của firewall hoạt động theo phương thức ứng dụng

– Mỗi thành phần phục vụ cho một kiểu dịch vụ : Telnet, FTP, sendmail, http ….

– Sau khi cài xong không có khả năng bảo vệ ngay mà phải cấu hình Việc cấu hình khá phức tạp

• Raptor : phần mềm chuyên nghiệp đầy đủ tính năng

– Có phiên bản cho Unix và Windows

– Sử dụng 4 phương thức : Standard Proxies, Generic Service Passer, Virtual Private Network Tunnel và Raptor Mobile.

Thực hành cài đặt và cấu hình firewall

Chương trình ISA