ĐỀ CƯƠNG AN TOÀN BẢO MẬT THÔNG TIN

BẢO MẬT THÔNG TIN Câu 4: Anh Chị hãy nêu phương pháp tấn công SQL Injection và cách phòng chống. 2 Phương pháp tấn công dạng SQL Injection: 2 Có bốn dạng thông thường bao gồm: 2 Cách phòng chống kiểu tấn công SQL Injection: 2 Câu 5: Theo Anh Chị, để thực hiện thành công DDoS cần phải thỏa điều kiện gì? Đánh giá mức độ nguy hại, đề xuất các biện pháp ngăn chặn, phòng chống các hình thức tấn công DDoS. Cho ví dụ về 1 trường hợp tấn công DDoS ở Việt Nam mà các anh chị biết. 2 Câu 6: Anh Chị hãy trình bày khái niệm và chức năng hệ thống phát hiện xâm nhập trái phép IDS (Intrusion Detection System). 3 Chức năng của IDS: 4 Câu 7: Anh Chị hãy trình bày khái niệm và phân loại hệ thống ngăn chặn xâm nhập trái phép IPS (Intrusion Prevention System) 5 Phân loại hệ thống IPS: 5 Câu 1: Anh Chị hãy nêu phương pháp tấn công kiểu Man intheMiddle và cách phòng chống. 6 Câu 2: Anh Chị hãy nêu phương pháp tấn công kiểu Man Google Hacking và cách phòng chống. 8 • Sử dụng tập tin robots.txt, để loại bỏ tất cả các trang mà chúng không cần được tìm kiếm từ Google. Nếu các trang đó là cần thiết thì bạn nên đặt luật cho chúng để nó không được Google đánh chỉ mục để chúng không dễ dàng truy vấn từ GH 8 Câu 3: Anh Chị hãy nêu phương pháp tấn công kiểu Footprinting và cách phòng chống. 8 Câu 8: Anh Chị hãy trình bày các khái niệm, kiến trúc và cơ chế hoạt động của tường lửa Firewall, IPSec, VPN,… 9

BẢO MẬT THÔNG TIN

Câu 4: Anh/ Chị hãy nêu phương pháp tấn công SQL

Injection và cách phòng chống 2

Phương pháp tấn công dạng SQL Injection: 2

Có bốn dạng thông thường bao gồm: 2 Cách phòng chống kiểu tấn công SQL Injection: 2

Câu 5: Theo Anh/ Chị, để thực hiện thành công DDoS cần phải

thỏa điều kiện gì? Đánh giá mức độ nguy hại, đề xuất các biện pháp ngăn chặn, phòng chống các hình thức tấn công DDoS Cho

ví dụ về 1 trường hợp tấn công DDoS ở Việt Nam mà các anh chị biết 2

Câu 6: Anh/ Chị hãy trình bày khái niệm và chức năng hệ thống

phát hiện xâm nhập trái phép IDS (Intrusion Detection System) 3 Chức năng của IDS: 4

Câu 7: Anh/ Chị hãy trình bày khái niệm và phân loại hệ thống

ngăn chặn xâm nhập trái phép IPS (Intrusion Prevention System) 5 Phân loại hệ thống IPS: 5

Câu 1: Anh/ Chị hãy nêu phương pháp tấn công kiểu Man-

in-the-Middle và cách phòng chống 6

Câu 2: Anh/ Chị hãy nêu phương pháp tấn công kiểu Man-

Google Hacking và cách phòng chống 8

 Sử dụng tập tin robots.txt, để loại bỏ tất cả các trang mà chúng không cần được tìm kiếm từ Google Nếu các trang đó là cần thiết thì bạn nên đặt luật cho chúng để nó không được Google đánh chỉ mục để chúng không dễ dàng truy vấn từ GH 8

Câu 3: Anh/ Chị hãy nêu phương pháp tấn công kiểu Footprinting

và cách phòng chống 8

Câu 8: Anh/ Chị hãy trình bày các khái niệm, kiến trúc và cơ chế

hoạt động của tường lửa Firewall, IPSec, VPN,… 9

Câu 4: Anh/ Chị hãy nêu phương pháp tấn công SQL

Injection và cách phòng chống

Phương pháp tấn công dạng SQL Injection:

Phương pháp tấn công dạng SQL injection là mộtkĩ thuật tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở

dữ liệu để "tiêm vào" (injection) và thi hành các câu lệnh SQL bất hợppháp

Có bốn dạng thông thường bao gồm:

- Vượtquakiểmtralúcđăngnhập(authorizationbypass)

- Sử dụng câu lện SELECT

- Sử dụng câu lệnh INSERT

- Sử dụng các Stored-procedures

Cách phòng chống kiểu tấn công SQL Injection:

- Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử lí

dữ liệu đến tài khoản người dùng mà ứng dụng web đang

sửdụng

- Các ứng dụng thông thường nên tránh dùng đến các quyền như dbo hay sa Quyền càng bị hạn chế, thiệt hại càngít

- Loạibỏbấtkìthôngtinkĩthuậtnàochứatrongthôngđiệp chuyển xuống cho người dùng khi ứng dụngcólỗi.Các thông báo lỗi

tiếtkĩthuậtcóthểchophépkẻtấncôngbiếtđượcđiểmyếucủahệ

thống

Câu 5: Theo Anh/ Chị, để thực hiện thành công DDoS cần

phải thỏa điều kiện gì? Đánh giá mức độ nguy hại, đề xuất các biện pháp ngăn chặn, phòng chống các hình thức tấn công DDoS Cho ví dụ về 1 trường hợp tấn công DDoS ở Việt Nam

mà các anh chị biết

Điều kiện để thực hiện thành công DDoS ?

- SYN FloodAttack

- Ping Flood Attack (Ping ofDeath)

- TeardropAttack

- Peer-to-PeerAttacks

Mức độ nguy hại của tấn công từ chối dịch vụ lan tràn DDoS

- Tê liệt các dịch vụ giao dịch với hệthống

- Thiệt hại về thời gian, tài chính của đơnvị

Một số biện pháp ngăn chặn, phòng chống các hình thức tấn công DDoS hiện nay và cho ví dụ về tấn công DDoS ở Việt Nam mà các Anh/ Chị biết ?

1 Khi phát hiện máy chủ bị tấn công hãy nhanhchóng truy tìm địa chỉ IP đó và cấm không cho gửi dữ liệu đến máychủ

2 Dùng tính năng lọc dữ liệu của router/firewall đểloại bỏ các packet không mong muốn, giảm lượng lưu thông trên

mạng và tải của máychủ

3 Sử dụng các tính năng cho phép đặt rate limit trên

router/firewall để hạn chế số lượng packet vào hệthống

4 Nếu bị tấn công do lỗi của phần mềm hay thiết bịthì nhanh chóng cập nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế

5 Dùng một số cơ chế, công cụ, phần mềm để chốnglại TCP SYNFlooding

6 Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và

có thể đáp ứng tốt hơn Nếu được có thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính năngkhác để phân chiatải

7 Tạm thời chuyển máy chủ sang một địa chỉkhác

Câu 6: Anh/ Chị hãy trình bày khái niệm và chức năng hệ

thống phát hiện xâm nhập trái phép IDS (Intrusion Detection System)

KháiniệmIDS:IDS(IntrusionDetectionSystem-hệ thống phát

hiện xâm nhập) là hệ thống phần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu lượng mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, hoặc nhà quản trị IDS cũng có thể phân biệt giữa những tấn công vào hệ thống từ bên trong (từ những người dùng

nộibộ)haytấncôngtừbênngoài(từcáchacker).IDSphát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus), hay dựa trên so sánh lưu lượng mạng hiện tại với baseline (thông số đođạc chuẩn của hệ thống) để tìm ra các dấu hiệu bấtthường

Chức năng của IDS:

Chứcnăngquantrọngnhấtlà:Giámsát–Cảnhbáo–Bảo vệ:

- Giám sát: thực hiện giámsát lưu lượng mạng và các hoạt

động khảnghi

- Cảnh báo: báo cáo về tình trạng mạng cho hệthống

và nhà quản trị

- Bảo vệ: sử dụng những thiết lập mặc định và cấu hình từ

nhà quản trị để có những hành động tương ứng phù hợp chống lại kẻ xâm nhập và phá hoại

- Chức năng mở rộng: IDS cần có khả năng phân biệt tấn

công từ bên trong và tấn công từ bên ngoài Ngoài ra, IDS cũngcó khảnăngpháthiệnnhữngdấuhiệubất thườngdựa trên những gì đã biết hoặc nhờ vào sự so sánh lưu lượng mạng hiện tại vớibaseline

Câu 7: Anh/ Chị hãy trình bày khái niệm và phân loại hệ

thống ngăn chặn xâm nhập trái phép IPS (Intrusion Prevention System)

Khái niệm IPS: Hệ thống IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới, kết hợp các ưu điểm củakỹthuậtfirewallvớihệthốngpháthiệnxâmnhậpIDS, có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn côngđó

khảnăngngănchặncáccuộchoặccảntrởcáccuộctấncông đó Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngănchặnlạisựxâmnhập.PhầnlớnhệthốngIPSđượcđặt

ởvànhđaimạng,dủkhảnăngbảovệtấtcảcácthiếtbịtrong mạng

Phân loại hệ thống IPS:

-IPS ngoài luồng(Promiscuous Mode IPS)

Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng

dữ liệu Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS IPS có thể kiểm soát luồng dữliệuvào,phântíchvàpháthiệncácdấuhiệucủasựxâm

nhập,tấncông.Vớivịtrínày,IPScóthểquảnlýbứctường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông củamạng

-IPS trong luồng (In-line IPS)

Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức tường lửa Điểm khác chính so với IPS ngoài luồng là có thêm chức nǎng chặn lưu thông (traffic-blocking) Điều đó làm cho IPS có thể ngǎn chặn luồng giao thông nguy hiểm nhanh hơn so với IPSngoàiluồng(PromiscuousModeIPS).Tuynhiên,vịtrí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn

Với mục tiêu ngăn chặn các cuộc tấn công, hệthống IPS phải hoạt động theo thời gian thực Tốc độ họat động của hệ thống

là một yếu tố rất quan trọng Qua trình phát

hiệnxâmnhậpphảiđủnhanhđểcóthểngănchặncáccuộc tấn công ngay lập tức Nếu không đáp ứng được điều này thì các cuộc tấn công đã được thực hiện xong và hệ thống IPS là vô nghĩa

Câu 1: Anh/ Chị hãy nêu phương pháp tấn công kiểu Man-

in-the-Middle và cách phòng chống

Man-in-the-Middle (MITM) là hình thức tấn công mà kẻ tấn

công (attacker) nằm vùng trên đường kết nối (mạng LAN) với vai trò là máy trung gian trong việc trao đổi thông tin giữa hai máy tính, hai thiết bị, hay giữa một máy tính và server, nhằm nghe trộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin hoặc thay đổi luồng dữ liệu trao đổi giữa các nạn nhân

Có hai bước để thực hiện tấn công kiểu man-in-the-middle Đầu tiên, kẻ tấn công phải xâm nhập được vào hệ thống mạng Thứ hai, kẻ tấn công phải giải mã dữ liệu

 Xâm nhập vào hệ thống mạng

Có bốn cách phổ biến mà kẻ xấu thường dùng để xâm nhập mạng:

1 Giả một điểm truy cập Wi-Fi

2 Giả ARP

3 Chiếm proxy /SSL Bump

4 VPN giả

 Giải mã dữ liệu

Có vài cách sau để giải mã dữ liệu trong khi dữ liệu đang di chuyển trên hệ thống mạng Trong đó, ba cách sau là thường gặp nhất:

1 Tấn công chứng thực host

2 SSLStrip

3 Hạ cấp giao thức TLS

 Cách phòng chống:

1 Bảo mật mạng LAN

2 Cấu hình lại bảng ARP Cache

3 Sử dụng phần mềm

Câu 2: Anh/ Chị hãy nêu phương pháp tấn công kiểu Man-

Google Hacking và cách phòng chống

Google hacking là phương pháp được sử dụng khi một hacker

cố gắng tìm các dữ liệu nhạy cảm bằng máy tìm kiếm (Search

engines) Google Hacking Database(GHDB) là một cơ sở dữ

liệu (CSDL) của các truy vấn định vị dữ liệu nhạy cảm Bằng cách sử dụng một số luật tìm kiếm của Google, không điều gì

có thể ngăn chặn một hacker thu thập dữ liệu website của bạn Google hacking thực hiện những công việc như:

 Sử dụng bộ máy tìm kiếm để truy tìm thông tin của đối tượng cần theo dõi

 Cũng là bộ máy tìm kiếm, với những cú pháp tìm kiếm đặc biệt có thể giúp hacker tìm thấy những thông tin đặc biệt

có liên quan đến bảo mật, như username, computername, password, page logon…

 Sử dụng Google để thực hiện các vụ tấn công, điều này được làm như thế nào, hạ hồi phân giải

Cách phòng chống:

 Xác minh tất cả các trang bằng truy vấn GH(sử dụng phần mềm Vulnerability Scanner)

 Sử dụng tập tin robots.txt, để loại bỏ tất cả các trang mà chúng không cần được tìm kiếm từ Google Nếu các trang đó

là cần thiết thì bạn nên đặt luật cho chúng để nó không được Google đánh chỉ mục để chúng không dễ dàng truy vấn từ GH

Câu 3: Anh/ Chị hãy nêu phương pháp tấn công kiểu

Footprinting và cách phòng chống

Footprinting hay in dấu ấn, nói dễ hiểu là thám thính Để tấn

công một mục tiêu nào đó, thì bước đầu tiên là phải thu thập thông tin về mục tiêu đó từ các dữ liệu mà đối tượng hay tổ chức công khai trên internet Các thông tin này rất hữu ích cho

hacker Các công cụ trực tuyến để thu thập thông tin thường dùng là Whois, Domain Check… hay công cụ cài đặt trên máy tính như DNS Walk, DNS Enum

Cách Phòng chống:

 Cấu hình router hay firewall không phản hồi các chương trình dò tìm như Ping bằng cách chặn tín hiệu ICMP ECHO Request/Reply

 Tắt những giao thức không dùng trên máy chủ web

 Kiểm soát cổng dịch vụ với nhũng quy tắt chặt chẽ trên firewall

 Triển khai hệ thống IDS (dò tìm xâm nhập trái phép) để cảnh báo cho quản trị viên khi có hành động khả nghi xảy ra

 Kiểm soát thông tin cẩn thận trước khi công bố trên internet

 Tự thực hiện footprinting trên hệ thống của mình để phát hiện các thông tin nhạy cảm

 Ngăn ngừa những ứng dụng tìm kiếm lưu cache trang web

 Tắt chức năng duyệt thư mục, tách domain nội bộ với domain dùng cho mục đích công cộng

Câu 8: Anh/ Chị hãy trình bày các khái niệm, kiến trúc và cơ

chế hoạt động của tường lửa Firewall, IPSec, VPN,…

8.1 Firewall:

 Firewall là một kỹ thuật được tích hợp vào hệ thống

mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống nhằm mục đích phá hoại, gây tổn thất cho tổ chức, doanh

nghiệp Cũng có thể hiểu firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrusted network)

 Các thành phần và Cơ chế hoạt động:

 Bộ lọc packet

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao

thức này hoạt động theo thuật toán chia nhỏ dữ liệu nhận được

từ ứng dụng trên mạng, hay nói chính xác hơn là dịch vụ chạy trên các giao thức (Telnet, SMTP,DNS,SMNP,NFS…) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến,

do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng Bao gồm:

• Địa chỉ IP nơi xuất phát (Source)

• Địa chỉ IP nơi nhận ( Destination)

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

• Cổng TCP/UDP nơi xuất phát

• Cổng TCP/UDP nơi nhận

• Dạng thông báo ICMP

• Giao diện packet đến

• Giao diện packet đi

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa thì sẽ

bị loại bỏ Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ

 Cổng ứng dụng:

Đây là một loại Tường lửa được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, các giao thức được cho phép truy cập vào hệ thống mạng Cơ chế hoạt động của nó dựa trên cách thức gọi là Proxy service Proxy service là các bộ mã đặc biệt cài đặt trên gateway cho từng ứng dụng

Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp

và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng mà người quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác

 Cổng vòng:

Cổng vòng là 1 chức năng đặc biệt của cổng ứng dụng Cổng vòng đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kì 1 hành động xử lý hay lọc packet nào

 Kiến trúc:

Trong đó:

– Screening Router: là chặng kiểm soát đầu tiên cho LAN – DMZ: là vùng có nguy cơ bị tấn công từ internet

– Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật

– IF1 (Interface 1): là card giao tiếp với vùng DMZ

– IF2 (Interface 2): là card giao tiếp với vùng mạng LAN

– FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP từ mạng LAN ra internet là tự do Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server

– Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP, người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào yêu cầu phải xác thực thông qua Authentication server

– Authentication server: là nơi xác thực quyền truy cập dùng các kỹ thuật xác thực mạnh như one-time password/token (mật khẩu sử dụng một lần)

8.2 IPSEC

 Khái niệm: IP Security (IPSec) là một giao thức được

chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các

cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạng

 Cơ chế:

 Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của

các lớp cao hơn (TCP, UDP hoặc ICMP) Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header

và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH và ESP sẽ được đặt sau IP header nguyên thủy Vì