An toàn và bảo mật thông tin

 Mục tiêu tấn công nhằm vào các mạng tài chính Truy cập trái phép thông tin  Đánh cắp thông tin cá nhân Tội phạm tài chính mạng financial cybercriminal  Buôn bán thẻ tín dụng và thôn

An toàn và bảo mật thông tin

admin 02/10/2015 An toàn và bảo mật Chưa có bình luận

An toàn và bảo mật thông tin cung

 Thiết lập tường lửa

 Danh sách điều khiển truy cập

 Có thể đảm nhận nhiệm vụ kỹ thuật viên an ninh hệ thống cho mạng máy tính của các doanh nghiệp nhỏ và vừa

 Có thể thi lấy chứng chỉ kỹ thuật viên bảo mật quốc tế CompTIA Security+

Mô tả môn học an toàn và bảo mật

thông tin

 Các kiến thức chung về bảo mật

 Các phần mềm độc hại và các dạng tấn công bằng kỹ nghệ xã hội

 Các cách tấn công vào mạng và vào các ứng dụng

 Đánh giá khả năng thiệt hại và làm giảm bớt các cuộc tấn công

 Bảo đảm an toàn cho máy chủ, cho các ứng dụng và cho dữ liệu

 Bảo đảm an toàn cho mạng

 Quản trị một mạng an toàn

 Bảo đảm an toàn cho mạng không dây

 Các kiến thức cơ bản về điều khiển việc truy cập

 Việc xác thực và cách quản lý các tài khoản

 Các kiến thức cơ bản về mật mã

 Đảm bảo sự hoạt động liên tục trong kinh doanh

 Cách làm giảm bớt rủi ro về an ninh mạng

Nội dung môn học an toàn và bảo mật

thông tin

Bài 1: Giới thiệu về bảo mật thông tin

 Các thử thách đối với bảo mật thông tin

 Bảo mật thông tin là gì

 Đánh giá các điểm yếu

 Quét tìm lỗ hổng và kiểm tra sự thâm nhập

 Làm giảm và ngăn chặn Các cuộc tấn công

Bài 4: Bảo mật máy chủ, ứng dụng và mạng

 Bảo mật cho máy chủ

 Bảo mật cho ứng dụng

 Đảm bảo an toàn cho dữ liệu

 Bảo mật thông qua các thiết bị mạng

 Bảo mật thông qua các công nghệ mạng

 Bảo mật thông qua các thành phần thiết kế mạng

Bài 5: Xây dựng hệ thống tường lửa

 Giới thiệu phần mềm tường lửa Microsoft Forefront Threat Management

Gateway

 Cài đặt Microsoft Forefront Threat Management Gateway

 Tạo các Access Rule

Bài 6: Bảo mật mạng

 Các giao thức mạng phổ biến

 Các nguyên tắc quản trị mạng

 Đảm bảo an toàn cho các ứng dụng mạng

 Các vụ tấn công vào mạng không dây

 Các lỗ hổng trong bảo mật của IEEE 802.11

 Các giải pháp bảo mật cho mạng không dây

Bài 7: Điều khiển truy cập

 Điều khiển truy cập là gì?

 Thực thi việc điều khiển truy cập

 Các dịch vụ xác Thực

Bài 8: Xác thực và quản lý tài khoản

 Các tín vật dùng cho xác thực

 Các dạng ký một lần (Single Sign-on)

 Quản lý các tài khoản

 Các hệ điều hành tin cậy được

Bài 1: Giới thiệu về bảo mật thông tin

admin 05/10/2015 An toàn và bảo mật 1 Bình luận

Tổng quan về bảo mật thông tin

 Những thử thách đối với bảo mật thông tin

 Những số liệu nổi bật về bảo mật trên thế giới trong thế kỷ 21

 Bảo mật thông tin

Bảo mật thông tin

 Không có giải pháp đơn giản

 Nhiều dạng tấn công khác nhau

 Việc phòng thủ chống lại các cuộc tấn công thường khó khăn

Các cuộc tấn công hiện nay

 Sức mạnh tính toán ngày càng được nâng cao: Giúp cho việc phá mật khẩu dễ dàng

 Những lỗ hổng phần mềm thường không được vá: Các điện thoại thông minh trở thành mục tiêu tấn công mới

Các ví dụ về những cuộc tấn công gần đây

 Phần mềm diệt vi rút giả mạo (Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụng)

 Các vụ tấn công ngân hàng trực tuyến

 Cuộc tranh luận ở Hội nghị về Tin tặc

 Vụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria (Một kiểu lừa đảo qua Internet hàng đầu)

 Đánh cắp danh tính nhờ sử dụng Firesheep

 Phần mềm độc hại

 Các thiết bị USB đã bị lây nhiễm

Các vụ đánh cắp thông tin điển hình

Tổ chức Mô tả cách thông tin bị đánh cắp Số danh tính bị lộ

Trường Đại học Tổng

hợp bang Ohio, OH

Một số cá nhân đăng nhập trái phép và truy cập thông tin về sinh viên và các thành viên

Gawker, NY

Kẻ tấn công truy cập vào cơ sở

dữ liệu, lấy được mật khẩu + mail của người dùng và nhân

Những khó khăn trong việc phòng thủ chống lại tấn công

 Các thiết bị kết nối toàn cầu

 Sự gia tăng tốc độ của các vụ tấn công

 Các cuộc tấn công ngày càng tinh vi

 Các công cụ tấn công ngày càng đơn giản và sẵn dùng

 Các lỗ hổng được phát hiện nhanh hơn

 Vá lỗi chậm: việc cung cấp các bản vá còn yếu kém

 Các vụ tấn công phân tán

 Người dùng bị bối rối

Bảo mật thông tin là gì? Trước khi có thể phòng thủ, bạn cần hiểu:

 Bảo mật thông tin là gì?

 Tại sao bảo mật thông tin lại quan trọng?

 Những kẻ tấn công là ai?

Bảo mật thông tin là

 Bảo mật (security)

 Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại

 Mối nguy hại có thể do chủ ý hoặc vô ý

 Phải hy sinh sự tiện lợi để đổi lấy sự an toàn

 Bảo mật thông tin (information security): Bảo vệ các thông tin ở dạng số hóa: Thông tin cung cấp giá trị cho con người và cho tổ chức

Ba hình thức bảo mật thông tin: thường gọi là CIA

 Sự cẩn mật (Confidentiality): Chỉ những cá nhân được phép mới có thể truy cậpthông tin

 Sự toàn vẹn (Integrity): Đảm bảo thông tin chính xác và không bị thay đổi

 Sự sẵn sàng (Availability): Những người có quyền đều có thể truy cập được thông tin

Các biện pháp cần thực hiện để bảo mật thông tin

 Sự xác thực (authentication): Đảm bảo một cá nhân là người mà họ tự khai nhận

 Sự ủy quyền (authorization): Cấp phép truy cập thông tin

 Kiểm toán (accounting): Cung cấp khả năng theo dõi các sự kiện

Các tầng bảo mật thông tin

Sản phẩm bảo mật

Là hình thức bảo mật vật lý, có thể đơn giản như những chiếc khóa cửa, hay phức tạp như các thiết bị bảo mật mạng

Con người

Những người cài đặt và sử dụng một cách đúng đắn các sản phẩm bảo mật để bảo vệ dữ liệu

Thủ tục, quy trình

Các kế hoạch và chính sách do tổ chức thiết lập để đảm bảo rằng con người sử dụng các sản phẩm một cách đúng đắn

Các thuật ngữ bảo mật thông tin

 Tài sản (asset): Là phần tử có giá trị

 Mối đe dọa (threat): Là các hành động hoặc sự kiện có khả năng gây nguy hại

 Tác nhân đe dọa (threat agent): Người hoặc phần tử có sức mạnh gây ra mối đedọa

Các tài sản công nghệ thông tin

Tên thành phần

Ví dụ Tài sản quan trọng?

Thông tin

Cơ sở dữ liệu khách hàng, nhân viên, sản xuất, bán hàng, tiếp thị, tài chính Có: Cực kỳ khó thay thế

Phần mềm ứng

dụng

Ứng dụng giao dịch đơn hàng chuyên dụng, bộ xử

lý văn bản phổ dụng

Có: Là phần tùy chỉnh dành riêng cho tổ chứcKhông: Phần mềm phổ dụngPhần mềm hệ thống Hệ điều hành Không: Có thể thay thế dễ dàng

Các phần tử vật lý

Server, bộ định tuyến (router), đĩa DVD, bộ cấp nguồn Không: Có thể thay thế dễ dàng

Các dịch vụ Dịch vụ truyền âm thanh và dữ liệu Không: Có thể thay thế dễ dàng

Các thuật ngữ bảo mật thông tin

 Lỗ hổng (vulnerability)

 Là những thiếu sót hay điểm yếu có thể bị khai thác

 Tác nhân đe dọa có thể lợi dụng để vượt qua sự bảo mật

 Rủi ro (risk)

 Khả năng tác nhân đe dọa khai thác lỗ hổng

 Không thể được loại bỏ hoàn toàn

 Mất quá nhiều thời gian để thực hiện

 Một số cấp độ rủi ro phải được giả định

Các lựa chọn để đối phó với rủi ro

 Chấp nhận rủi ro

 Cần biết rằng mất mát có thể xảy ra

 Làm giảm rủi ro

 Thực hiện các biện pháp phòng ngừa

 Hầu hết các rủi ro bảo mật thông tin đều có thể được phòng ngừa

 Chuyển rủi ro sang một người khác

 Ví dụ: mua bảo hiểm

Tầm quan trọng của bảo mật thông tin

– Phòng ngừa đánh cắp dữ liệu

 Bảo mật thường đi đôi với việc phòng ngừa đánh cắp dữ liệu

 Đánh cắp dữ liệu kinh doanh

 Thông tin về quyền sở hữu

 Đánh cắp dữ liệu cá nhân

 Mã số thẻ tín dụng

– Cản trở việc đánh cắp danh tính

 Sử dụng trái phép thông tin của người khác

 Thường nhằm mục đích thu lợi về tài chính

 Ví dụ:

 Tạo một tài khoản tín dụng mới

 Sử dụng tài khoản để mua hàng

 Để lại các khoản nợ chưa thanh toán

– Tránh các hậu quả liên quan tới pháp luật

Luật pháp bảo vệ quyền riêng tư đối với dữ liệu điện tử

 Đạo luật trách nhiệm giải trình và tính khả chuyển trong bảo hiểm sức khỏe năm 1996 (HIPAA)

 Đạo luật Sarbanes-Oxley năm 2002 (Sarbox)

 Đạo luật Gramm-Leach-Bliley (GLBA)

 Đạo luật khai báo vi phạm bảo mật cơ sở dữ liệu của bang California (2003)– Duy trì sản xuất

 Việc khắc phục hậu quả sau khi bị tấn công làm lãng phí các tài nguyên

 Thời gian và tiền bạc

– Đẩy lui chủ nghĩa khủng bố tin học (cyberterrorism)

 Mục tiêu của khủng bố tin học: thông tin, hệ thống máy tính, dữ liệu

 Năng lượng (các nhà máy điện)

 Giao thông (các trung tâm điều khiển hàng không)

Kẻ tấn công là ai?

Phân loại những kẻ tấn công

 Hacker (tin tặc)

 Kẻ viết kịch bản non tay (Script kiddie)

 Gián điệp (Spy)

 Nội gián (Insider)

 Tội phạm máy tính (Cybercriminal)

 Kẻ khủng bố tin học (Cyberterrorist)

Hacker: Tin tặc (hacker)

 Những người sử dụng kỹ năng máy tính để tấn công các máy tính

 Thuật ngữ không phổ biến trong cộng đồng bảo mật

Tin tặc mũ trắng (white hat hacker)

 Mục đích chỉ ra các lỗ hổng bảo mật

 Không đánh cắp hoặc làm hỏng dữ liệu

Tin tặc mũ đen (black hat hacker): Mục đích gây hại và hủy diệt

Kẻ viết kịch bản non tay: Kẻ viết kịch bản non tay (script kiddie)

 Là những người dùng không có kỹ năng

 Mục đích tấn công: bẻ khóa máy tính để phá hoại

 Cách thức tiến hành

 Tải về các phần mềm tấn công tự động (mã kịch bản)

 Sử dụng những phần mềm đó để thực hiện các hành vi nguy hại

 Các phần mềm tấn công hiện nay đa số đều có hệ thống menu Việc tấn công trở nên dễ dàng hơn với những người dùng không có kỹ năng

 40% các vụ tấn công được thực hiện bởi những kẻ viết kịch bản non tay

Gián điệp: Gián điệp máy tính (spy)

 Được thuê để tấn công một máy tính hoặc một hệ thống cụ thể:

 Có kỹ năng máy tính rất xuất sắc: Khả năng tấn công và che đậy dấu vết

 Mục đích: đánh cắp thông tin mà không gây ra sự chú ý đối với các hành động của họ

Nội gián

 Nhân viên, nhà thầu và các đối tác kinh doanh

 Ví dụ về các vụ tấn công do nội gián gây ra

 Nhân viên chăm sóc sức khỏe tiết lộ thông tin về sức khỏe của những người nổi tiếng Do bất mãn vì sắp bị đuổi việc

 Nhân viên chính phủ phát tán mã kịch bản độc hại

 Nhà đầu tư chứng khoán che giấu các khoản lỗ thông qua các giao dịch giả mạo

 Sĩ quan trong quân đội Mỹ tiếp cận các tài liệu nhạy cảm

 48% vi phạm liên quan tới “rò rỉ dữ liệu” có liên quan tới nội gián

Tội phạm máy tính

 Tội phạm máy tính (cybercriminal): Mạng lưới gồm những kẻ tấn công, đánh cắp danh tính, gửi thư rác, và lừa đảo tài chính

 Những điểm khác biệt so với những kẻ tấn công thông thường

 Sẵn sàng chấp nhận rủi ro nhiều hơn

 Kiếm lợi nhiều hơn

 Mục đích: Tập trung vào lợi ích tài chính

Tội ác máy tính (cybercrime)

 Mục tiêu tấn công nhằm vào các mạng tài chính

 Truy cập trái phép thông tin

 Đánh cắp thông tin cá nhân

Tội phạm tài chính mạng (financial cybercriminal)

 Buôn bán thẻ tín dụng và thông tin tài chính

 Sử dụng thư rác để thực hiện lừa đảo

Những kẻ khủng bố tin học: Những kẻ khủng bố tin học (cyberterrorist)

 Động cơ liên quan tới hệ tư tưởng, tín ngưỡng…

 Mục đích tấn công:

 Hủy hoại thông tin điện tử, phát tán thông tin thất thiệt và tuyên truyền

 Ngăn cản các dịch vụ dành cho những người dùng máy tính hợp pháp

 Thực hiện các vụ xâm nhập trái phép

 Làm tê liệt hoạt động của các cơ sở hạ tầng chủ chốt

 Làm sai hỏng các thông tin quan trọng

Tấn công và phòng thủ

 Đặc điểm chung của các dạng tấn công: Đều sử dụng chung các bước cơ bản

 Để bảo vệ máy tính khỏi bị tấn công: Làm theo năm nguyên tắc bảo mật cơ bản

Các bước của một vụ tấn công

 Chứng nghiệm thông tin: Thông tin về loại phần cứng hoặc phần mềm được sử dụng

 Thâm nhập các tuyến phòng thủ: Bắt đầu tấn công

 Sửa đổi các thiết lập bảo mật: Cho phép kẻ tấn công xâm nhập trở lại hệ thống

bị hại một cách dễ dàng

 Vòng sang các hệ thống khác: Sử dụng các công cụ tương tự để tấn công sang các hệ thống khác

 Làm tê liệt các mạng và thiết bị

Phòng thủ chống lại các cuộc tấn công: Các nguyên tắc bảo mật cơ bản

 Giới hạn

 Gây khó hiểu

 Đơn giản

Phân tầng

 Bảo mật thông tin phải tạo thành các tầng

 Cơ chế phòng vệ đơn lẻ có thể bị vượt qua một cách dễ dàng

 Kẻ tấn công sẽ khó khăn hơn khi phải vượt qua tất cả các tầng phòng thủ

 Phương pháp bảo mật phân tầng

 Rất hữu dụng để chống lại nhiều kiểu tấn công khác nhau

 Mang lại sự bảo vệ toàn diện

Giới hạn

 Giới hạn truy cập thông tin: Giảm mối đe dọa đối với thông tin

 Chỉ những người cần sử dụng thông tin mới được cấp phép truy cập: Khối lượngtruy cập bị hạn chế, người dùng chỉ được truy cập những gì cần biết

 Các phương pháp giới hạn truy cập

 Công nghệ: Cấp quyền truy cập file

 Áp dụng thủ tục: Cấm xóa tài liệu khỏi kho tài sản

Đa dạng

 Liên quan mật thiết tới việc phân tầng: Các tầng phải khác nhau (đa dạng)

 Nếu kẻ tấn công vượt qua một tầng: Những kỹ thuật tương tự sẽ không thành công để xuyên phá các tầng khác

 Việc vi phạm một tầng bảo mật không làm ảnh hưởng tới toàn bộ hệ thống

 Ví dụ về sự đa dạng: Sử dụng các sản phẩm bảo mật của các hãng sản xuất khác nhau

Gây khó hiểu

 Làm khó hiểu các chi tiết bên trong đối với thế giới bên ngoài Ví dụ: không tiết

lộ thông tin chi tiết về:

 Thường được thỏa hiệp để những người dùng được tin cậy dễ sử dụng

 Hệ thống bảo mật nên đơn giản: Để những người trong nội bộ có thể hiểu và sửdụng

 Đơn giản với bên trong

 Phức tạp đối với bên ngoài

 Tránh các hậu quả liên quan tới luật pháp do việc không bảo mật thông tin

 Duy trì sản xuất

 Đẩy lùi chủ nghĩa khủng bố tin học

 Những kẻ tấn công máy tính thuộc nhiều thành phần khác nhau, với những động cơ khác nhau

 Năm bước cơ bản của một vụ tấn công

Bài tập thực hành

 Bài thực hành số 1: Sử dụng chương trình Secunia Personal Software

Inspector (PSI) để phát hiện và cài đặt các bản cập nhật phần mềm

 Bài thực hành số 2: Quét phần mềm độc hại sử dụng công cụ Microsoft

Windows Software Removal

 Bài thực hành số 3: Sử dụng phần mềm phân tích EULA – End User Licence

Aggrement

Bài 2: Các phương pháp tấn công mạng

admin 07/10/2015 An toàn và bảo mật Chưa có bình luận

Mục tiêu bài học các phương pháp tấn công mạng

 Mô tả sự khác nhau giữa vi rút và sâu máy tính

 Liệt kê các kiểu phần mềm độc hại giấu mình

 Nhận dạng các loại phần mềm độc hại kiếm lợi

 Mô tả các kiểu tấn công tâm lý sử dụng kỹ nghệ xã hội

 Giải thích các vụ tấn công vật lý sử dụng kỹ nghệ xã hội

Phần mềm độc hại lan truyền

 Phần mềm độc hại lan truyền: Dạng phần mềm độc hại nhắm tới mục tiêu chủ yếu là lan truyền

 Có hai dạng phần mềm độc hại lan truyền:

 Vi rút (virus)

 Phần mềm độc hại lan truyền – Vi rút

 Vi rút (virus): Là các mã máy tính nguy hiểm, có khả năng tái tạo trên cùng máy tính

 Các phương thức lây nhiễm vi rút

 Lây nhiễm kiểu nối thêm

 Lây nhiễm kiểu pho mát Thụy Sĩ

 Lây nhiễm kiểu chia tách

 Khi chương trình nhiễm vi rút được khởi động:

 Tự nhân bản (lây lan sang các file khác trên máy tính)

 Kích hoạt chức năng phá hoại

 Hiển thị một thông điệp gây phiền nhiễu

 Thực hiện một hành vi nguy hiểm hơn

 Các ví dụ về hoạt động của vi rút

 Làm cho máy tính lặp đi lặp lại một sự cố

 Xóa các file hoặc định dạng lại ổ cứng

 Tắt các thiết lập bảo mật của máy tính

 Vi rút không thể tự động lây lan sang máy tính khác Nó phụ thuộc vào hành động của người dùng để lây lan

 Các vi rút được đính kèm theo file

 Vi rút lan truyền bằng cách truyền nhận các file bị nhiễm vi rút

 Các loại vi rút máy tính

 Vi rút chương trình (program virus): Lây nhiễm các file thực thi

 Vi rút macro (macro virus): Thực thi một đoạn mã kịch bản

 Vi rút thường trú (resident virus): Vi rút lây nhiễm các file do người dùng hoặc hệ điều hành mở ra

 Vi rút khởi động (boot virus): Lây nhiễm vào Master Boot Record

 Vi rút đồng hành (companion virus): Chèn thêm các chương trình độc hại vào hệ điều hành

 Phần mềm độc hại lan truyền – Sâu

 Khai thác các lỗ hổng ứng dụng hoặc hệ điều hành

 Gửi các bản sao của chính mình sang các thiết bị mạng khác

 Để lại một đoạn mã làm hại hệ thống bị lây nhiễm

 Các ví dụ về hoạt động của sâu

 Xóa các file trên máy tính

 Cho phép kẻ tấn công có thể điều khiển từ xa máy tính bị hại

 Khác biệt giữa vi-rút và sâu

Hành động Vi-rút Sâu

Lây lan sang các

máy tính khác

Do người dùng truyền những file bị lây nhiễm sang máy tính khác

 Phần mềm độc hại giấu mình (concealing malware)

 Dạng phần mềm độc hại có mục tiêu chính là che giấu sự có mặt của chúng trước người dùng

 Khác hẳn với việc lan truyền nhanh như vi rút và sâu

 Các dạng phần mềm độc hại giấu mình

 Phần mềm độc hại giấu mình – Trojan

 Trojan (ngựa thành Troy)

 Là chương trình thực hiện những mục đích nằm ngoài những điều quảng cáo

 Thường là chương trình có thể thực thi, chứa mã ẩn để thực hiện việc tấn công

 Đôi khi có thể ngụy trang dưới dạng một file dữ liệu

 Ví dụ về cách thức hoạt động:

 Người dùng tải và sử dụng chương trình “free calendar program”

 Chương trình này sẽ quét hệ thống để tìm số tài khoản tín dụng

và mật khẩu

 Chương trình chuyển thông tin thu thập được cho kẻ tấn công qua mạng

 Phần mềm độc hại giấu mình – Rootkit

 Là các công cụ phần mềm được kẻ tấn công sử dụng để che dấu các hành động hoặc sự hiện diện của các phần mềm độc hại khác (trojan, sâu…)

 Che dấu hoặc xóa dấu vết các bản ghi đăng nhập, các mục nhật ký

 Có thể thay đổi hoặc thay thế các file của hệ điều hành bằng các phiên bản sửa đổi, được thiết kế chuyên để che dấu các hành vi gây hại

 Có thể phát hiện rootkit bằng cách sử dụng các chương trình so sánh nộidung file với file gốc ban đầu

 Rootkit hoạt động ở mức thấp trong hệ điều hành, có thể rất khó phát hiện

 Việc loại bỏ rootkit có thể rất khó khăn

 Khôi phục các file gốc của hệ điều hành

 Định dạng và cài đặt lại hệ điều hành

 Phần mềm độc hại giấu mình – Bom lôgíc

 Bom lôgíc (logic bom)

 Mã máy tính ở trạng thái “ngủ đông”

 Được kích hoạt bởi một sự kiện lôgic xác định

 Sau đó thực hiện các hành vi phá hoại

 Rất khó phát hiện cho tới khi được kích hoạt

 Đôi khi, bom lôgíc được các hãng phần mềm hợp pháp sử dụng để đảm bảo việc chi trả cho phần mềm của họ

 Nếu việc chi trả không được thực hiện đúng hạn, bom lôgíc sẽ được kích hoạt và ngăn chặn không cho dùng phần mềm nữa

 Trong một số trường hợp, bom lôgíc thậm chí còn xóa bỏ phần mềm, các file về khách hàng cùng các thông tin liên quan

Mô tả Lý do tấn công Hậu quả

cổ phiếu của công ty để kiếm lợi từ việc giảm giáđó

Bom lôgíc đã phát nổ, nhân viên đó đã phải chịu mức án 8 năm tù,

và phải bồi thường 3.1 triệu đô la

Bom lôgíc đã được phát hiện và vô hiệu hóa; nhà thầu bị buộc tội giả mạo

và lừa đảo, bị phạt 5000

đô la

Một bom lôgíc đã phát

nổ tại công ty dịch vụ

sức khỏe vào đúng ngày

sinh nhật của nhân viên

Nhân viên đó bực tức vì nghĩ mình có thể bị sa thải (mặc dù thực tế anh

ta không bị sa thải)

Nhân viên đó đã bị kết

án 30 tháng tù và phải bồi thường 81.200 đô la

 Phần mềm độc hại giấu mình – Cửa hậu

 Mã phần mềm có mục đích né tránh các thiết lập bảo mật

 Cho phép chương trình có thể truy cập nhanh chóng

 Thường do các lập trình viên tạo ra

 Ý định là sẽ loại bỏ các cửa hậu khi ứng dụng đã hoàn tất

 Tuy nhiên, đôi khi, cửa hậu được giữ lại, và những kẻ tấn công đã dùng chúng để qua mặt (bypass) bảo mật

 Các phần mềm độc hại từ những kẻ tấn công cũng có thể cài đặt cửa hậu lên máy tính Cách làm này cho phép những kẻ tấn công sau đó quay lại máy tính và qua mặt mọi thiết lập bảo mật.

 Phần mềm độc hại nhằm kiếm lợi

 Các kiểu phần mềm độc hại nhằm kiếm lợi

 Phần mềm gián điệp (Spyware)

 Phần mềm quảng cáo (Adware)

 Nhật ký bàn phím (KeyLogger)

 Phần mềm độc hại nhằm kiếm lợi – Botnet

 Máy tính bị lây nhiễm chương trình cho phép kẻ tấn công có thể điều khiển từ xa Thường là các mã của Trojan, sâu và vi rút

 Máy tính bị lây nhiễm được gọi là thây ma (zombie)

 Một nhóm các máy tính thây ma được gọi là botnet

 Ban đầu, những kẻ tấn công sử phần mềm Internet Relay Chat đểđiều khiển các máy tính thây ma Hiện nay, chúng thường sử dụng HTTP

 Lợi ích của Botnet đối với những kẻ tấn công

 Hoạt động ở chế độ nền: Thường không có biểu hiện của

sự tồn tại

 Cung cấp phương tiện để che dấu hành vi của kẻ tấn công

 Có thể duy trì hoạt động trong nhiều năm

 Trong một thời điểm, kẻ tấn công có thể truy cập tới nhiều thây ma Do sự gia tăng không ngừng của các dịch vụ trên Internet

Kiểu tấn công Mô tả

Thư rác Một botnet cho phép kẻ tấn công gửi một khối lượng lớn thư rác; một số botnet có thể thu thập các địa chỉ e-mail

Phát tán phần mềm

độc hại

Các botnet có thể được sử dụng để phát tán phần mềm độc hại, tạo ra các zombie, botnet mới Các zombie có thểtải và thực thi một file do kẻ tấn công gửi đến

Tấn công các mạng

IRC

Botnet thường được dùng để tấn công mạng IRC; chương trình điều khiển ra lệnh cho mỗi botnet kết nối một số lượng lớn các zombie vào mạng IRC Mạng IRC bị quá tải,

do đó không thể thực hiện chức năng của mình

Thao túng bầu cử

trực tuyến

Mỗi “lá phiếu” của một zombie có độ tin tín nhiệm tương đương như “lá phiếu” của một cử tri thực Các trò chơi trực tuyến có thể được thao túng theo cách tương tự

Ngăn cản dịch vụ Botnet làm “ngập” server Web với hàng nghìn yêu cầu, làm server bị quá tải, không đáp ứng được yêu cầu hợp lệ

 Phần mềm độc hại nhằm kiếm lợi – Phần mềm gián điệp

 Phần mềm thu thập thông tin trái phép, không được sự cho phép của người dùng

 Thường được sử dụng với mục đích:

 Thu thập thông tin cá nhân

 Thay đổi cấu hình máy tính

 Những tác động tiêu cực của phần mềm gián điệp

 Làm giảm hiệu năng máy tính

 Làm cho hệ thống bất ổn định

 Có thể cài đặt các menu trên thanh công cụ của trình duyệt

 Có thể tạo ra các đường dẫn (shortcut) mới

 Làm tăng các cửa sổ quảng cáo

Công nghệ Mô tả Ảnh hưởng

Tự động tải

phần mềm

Được dùng để tải và cài đặt phầnmềm, không cần tương tác của người dùng

Có thể được sử dụng để cài đặt phần mềm trái phép

cứ phần mềm nào

Có thể thu thập các thông tin riêng tư như các Website mà người dùng truy cập

Phần mềm thay

đổi hệ thống Điều chỉnh hoặc thay đổi các cấu hình người dùng

Thay đổi các thiết lập cấu hình mà không có sựchấp thuận của người dùng

Phần mềm theo

dõi

Được dùng để kiểm soát các hành vi của người dùng hoặc thu thập thông tin người dùng

Có thể thu thập những thông tin cá nhân được chia sẻ rộng rãi hoặclấy trộm, gây nên các vụ lừađảo hoặc đánh cắp danhtính

 Phần mềm độc hại nhằm kiếm lợi – Phần mềm quảng cáo

 Chương trình cung cấp các nội dung quảng cáo: Theo cách người dùng không mong muốn

 Thường hiển thị các biểu ngữ quảng cáo và các cửa sổ quảng cáo

 Có thể mở cửa sổ trình duyệt một cách ngẫu nhiên

 Có thể theo dõi các hoạt động trực tuyến của người dùng

 Yếu tố bất lợi đối với người dùng

 Có thể hiển thị các nội dung chống đối

 Thường xuyên bật cửa sổ quảng cáo, làm giảm hiệu suất làm việc, làm chậm máy tính hoặc gây ra hiện tượng treo máy

 Những quảng cáo không mong muốn gây ra sự phiền nhiễu

 Phần mềm độc hại nhằm kiếm lợi – Nhật ký bàn phím

 Sao chụp lại các thao tác gõ phím của người dùng

 Thông tin sau đó được truy xuất bởi kẻ tấn công

 Kẻ tấn công có thể tìm ra những thông tin hữu ích

 Kỹ nghệ xã hội (social engineering)

 Là phương tiện thu thập thông tin cho một cuộc tấn công bằng cách dựatrên những điểm yếu của các cá nhân

 Một nhóm những kẻ tấn công tiếp cận một tòa nhà: Bám sau nhân viên

để thâm nhập các khu vực bảo mật

 Do biết giám đốc tài chính không có mặt tại tòa nhà,kẻ tấn công đã

 Đột nhập vào phòng giám đốc tài chính

 Thu thập thông tin từ chiếc máy tính không được bảo vệ

 Lục lọi thùng rác để tìm kiếm các tài liệu hữu ích

 Một nhân viên gọi điện từ bàn giám đốc tài chính: Mạo danh giám đốc tài chính hỏi lấy mật khẩu

 Nhóm tấn công đã rời khỏi tòa nhà và thực hiện thành công việc truy cập mạng

 Các phương pháp tâm lý

 Phương pháp tâm lý (psychology)

 Tiếp cận về mặt tinh thần và cảm xúc hơn là về mặt vật chất

 Nhằm thuyết phục nạn nhân cung cấp thông tin hoặc thuyết phục

họ hành động

 Các phương pháp tâm lý thường được sử dụng

 Thuyết phục (Persuasion)

 Mạo danh (Impersonation)

 Các phương pháp tâm lý – Thuyết phục

 Những phương pháp thuyết phục cơ bản bao gồm

 Lấy lòng (tâng bốc hay giả vờ)

 A dua (những người khác cũng đang làm vậy)

 Kẻ tấn công sẽ hỏi một vài thông tin nhỏ: Tập hợp thông tin từ vài nạn nhân khác nhau

 Đưa ra những yêu cầu đáng tin

 Kẻ tấn công có thể “tạo vỏ bọc” để có được thông tin: Trước khi nạn nhân bắt đầu cảm thấy nghi ngờ

 Kẻ tấn công có thể mỉm cười và yêu cầu sự giúp đỡ từ nạn nhân

 Các phương pháp tâm lý – Mạo danh

 Mạo danh (impersonation): Tạo một nhân cách giả, rồi đóng vai đó đối với nạn nhân

 Những vai phổ biến thường được mạo danh

 Trợ lý hỗ trợ kỹ thuật

 Bên thứ ba đáng tin cậy

 Các cá nhân có quyền lực: Nạn nhân khó có thể nói “không” với người có quyền lực

 Các phương pháp tâm lý – Phishing

 Phishing (lừa đảo)

 Gửi thư điện tử tự xưng là một nguồn hợp pháp: Thư điện tử có thể chứa logo và lý lẽ hợp pháp

 Cố gắng đánh lừa người dùng để họ cung cấp các thông tin riêng tư

 Cập nhật thông tin cá nhân trên một trang Web

 Mật khẩu, mã số thẻ tín dụng, mã số chứng minh thư, số tài khoản ngân hàng, hoặc các thông tin khác

 Tuy nhiên, trang Web này chỉ là một địa chỉ mạo danh và được lập nên nhằm đánh cắp thông tin của người sử dụng

 Những biến thể của Fishing

 Pharming (nuôi cá): Tự động chuyển hướng tới một website giả mạo

 Spear phishing (xiên cá): Gửi e-mail hoặc tin nhắn đến những người dùng xác định

 Whaling (câu cá voi): Nhằm vào những người giàu có

 Vishing (lừa đảo bằng gọi điện thoại)

 Kẻ tấn công gọi cho nạn nhân với nội dung tin nhắn từ phía

“ngân hàng” và yêu cầu nạn nhân gọi lại vào một số điện thoại do hắn cung cấp

 Nạn nhân sau đó gọi vào số điện thoại của kẻ tấn công và nhập các thông tin riêng tư

 Một số cách nhận diện Phishing

 Những liên kết Web: Thường có dấu @ ở chính giữa

 Các biến thể của địa chỉ hợp pháp

 Sự xuất hiện của logo nhà cung cấp trông giống hợp pháp

 Những địa chỉ người gửi giả mạo

 Các phương pháp tâm lý – Thư rác

 Là phương tiện chủ yếu phát tán phần mềm độc hại

 Gửi thư rác là một nghề béo bở

 Tin nhắn rác (Spim): nhắm vào người sử dụng máy nhắn tin

 Sử dụng các hình ảnh tạo thành từ văn bản

 Né tránh các bộ lọc văn bản

 Thường chứa những nội dung vô nghĩa

 Các kỹ thuật được áp dụng bởi kẻ gửi thư rác

 Lớp phủ GIF (GIF Layering)

 Hình ảnh rác được phân chia thành nhiều ảnh khác nhau

 Các lớp tạo thành một tin nhắn hoàn chỉnh, rõ ràng

 Chia tách từ (Word spliting)

 Phân tách các từ theo chiều ngang

 Vẫn có thể đọc được bằng mắt thường

 Biến đổi hình học (Geometric variance): Dùng speckling (điểm lốm đốm) và màu sắc khác nhau sao cho không có hai thư điện tử nào cóhình thức giống nhau

 Các phương pháp tâm lý – Cảnh báo giả

 Cảnh báo giả (Hoax)

 Kẻ tấn công thường sử dụng cảnh báo giả như là bước đầu tiên trong tấn công

 Cảnh báo giả là một cảnh báo sai, thường có trong e-mail, tự nhận là đến từ phòng IT

 Cảnh báo giả có nội dung như có ”vi rút rất xấu” đang lan truyền trên Internet, và khuyên người dùng

 Nên xóa những file tài liệu cụ thể Việc xóa file có thể làm cho máy tính không ổn định

 Hoặc thay đổi cấu hình bảo vệ Thay đổi cấu hình có thể sẽ cho phép kẻ tấn công làm hỏng hệ thống

ví dụ như ổ USB hoặc một ổ

cứng di động Những thiết bị này thường được hủy không đúng quy cách và có thể chứa những thông tin giá trịBảng ghi nhớ Có thể cung cấp những mẩu thông tin hữu dụng cho kẻ tấn công để thực hiện mục đích giả mạoBiểu đồ tổ chức nhân sự Cho phép xác định các cá nhân và vị trí quyền hạn của họ trong tổ chức

Danh mục điện thoại

Có thể cung cấp tên và số điện thoại của các cá nhân trong tổ chức để nhằm vào hoặc để mạo danh

Sổ tay chính sách Có thể tiết lộ chính xác cấp độ an ninh trong tổ chức

Cẩm nang hệ thống

Có thể cho biết loại hệ thống máy tính đang dùng,

kẻ tấn công có thể sử dụng chúng để xác định các

lỗ hổng

 Các thủ đoạn bám đuôi chui cửa

 Những kẻ lợi dụng thường nói “làm ơn hãy giữ cửa”

 Chờ đợi bên ngoài và đi vào bên trong khi một nhân viên hợp lệ đi ra

 Nhân viên có âm mưu đưa người trái phép đi cùng để vượt qua cửa kiểmsoát

Tóm tắt nội dung bài học các phương pháp tấn công mạng

 Phần mềm độc hại là phần mềm xâm nhập hệ thống máy tính không được sự hay biết hoặc cho phép của chủ nhân

 Phần mềm độc hại lây lan gồm có vi rút và sâu máy tính

 Phần mềm độc hại giấu mình gồm có trojan, rootkit, bom lôgic và backdoor (cửa hậu)

 Phần mềm độc hại nhằm kiếm lợi gồm có botnet, phần mềm gián điệp

(spyware), phần mềm quảng cáo (adware), và phần mềm nhật ký bàn phím (keylogger)

 Kỹ nghệ xã hội là phương tiện thu thập thông tin phục vụ cho một vụ tấn công của cá nhân

 Các kiểu phương thức sử dụng kỹ nghệ xã hội bao gồm: mạo danh

(impersonation), phishing (lừa đảo), lục lọi thùng rác (dumpster diving) và bám đuôi chui cửa (tailgating)

Bài tập thực hành các phương pháp tấn công mạng

 Bài thực hành số 1: Sử dụng công cụ Irongeek Thumbscrew để khoá chức

năng ghi lên USB

 Bài thực hành số 2: Sử dụng công cụ Wolfeye Keylogger để sao chụp các

phím được gõ từ bàn phím

 Bài thực hành số 3: Sử dụng công cụ Microsoft RookitRevealer để dò

tìm Rookit

Bài 3: Tấn công mạng và ứng dụng

admin 08/10/2015 An toàn và bảo mật Chưa có bình luận

Mục tiêu bài học tấn công mạng

 Liệt kê và giải thích các dạng tấn công vào ứng dụng

 Liệt kê và giải thích các dạng tấn công vào mạng

 Định nghĩa đánh giá khả năng thiệt hại và tầm quan trọng của nó

 Phân biệt giữa quét tìm lỗ hổng và kiểm tra sự thâm nhập

 Liệt kê các kỹ thuật làm giảm và ngăn chặn các cuộc tấn công

Tấn công vào ứng dụng

 Tấn công vào ứng dụng

 Các nhóm tấn công đang tiếp tục gia tăng

 Tấn công vào các lỗ hổng chưa công bố (Zero-day)

 Khai thác những lỗ hổng chưa được công bố hoặc chưa được khắcphục

 Nạn nhân không có thời gian chuẩn bị phòng thủ

 Các dạng tấn công vào ứng dụng

 Tấn công vào ứng dụng Web

 Tấn công phía máy khách

 Tấn công làm tràn vùng đệm

Tấn công vào ứng dụng Web

 Các ứng dụng Web là một thành phần thiết yếu của các tổ chức hiện nay

 Các lỗ hổng trong các ứng dụng Web được những kẻ tấn công triệt để khai thác

để tiến hành các cuộc tấn công

 Tấn công ứng dụng Web là tấn công phía server

 Các phương pháp đảm bảo an toàn cho ứng dụng Web

 Củng cố server Web (Web server)

 Bảo vệ hệ thống mạng

 Các dạng tấn công ứng dụng Web phổ biến

 Kịch bản giữa các trạm (Cross-site scripting) (XSS)

 Tiêm nhiễm SQL (SQL Injection)

 Tiêm nhiễm XML (XML Injection)

 Duyệt thư mục (Directory Traversal) (SV tự đọc sách)

 Tiêm nhiễm lệnh (Command Injection) (SV tự đọc sách)

 Tấn công vào ứng dụng Web – Kịch bản giữa các trạm

 Tiêm nhiễm mã kịch bản vào một máy chủ ứng dụng Web: Tấn công trựctiếp từ máy khách

 Khi nạn nhân truy cập vào Website bị tiêm nhiễm: Các chỉ lệnh độc hại được gửi tới trình duyệt của nạn nhân

 Trình duyệt không thể phân biệt được đâu là mã hợp lệ, đâu là mã độc

 Website bị tấn công có đặc điểm

 Chấp nhận dữ liệu đầu vào của người dùng mà không kiểm tra tính hợp lệ

 Sử dụng dữ liệu đầu vào trong một phản hồi không được mã hóa

 Một số vụ tấn công XSS được thiết kế nhằm đánh cắp thông tin: Thông tin được lưu giữ bởi trình duyệt

 Tấn công vào ứng dụng Web – Tiêm nhiễm SQL

 Mục tiêu nhằm vào SQL server bằng cách tiêm nhiễm lệnh

 SQL (Structured Query Language), được sử dụng để thao tác dữ liệu lưu trữ trong cơ sở dữ liệu quan hệ

 Cách thức thực hiện

 Kẻ tấn công nhập vào các địa chỉ e-mail sai định dạng

 Phản hồi cho phép kẻ tấn công biết dữ liệu đầu vào có được kiểm tra tính hợp lệ hay không

 Kẻ tấn công nhập trường e-mail vào lệnh SQL

 Lệnh SQL được cơ sở dữ liệu xử lý

SELECT fieldlist FROM table WHERE field = ‘whatever’ or ‘a’=‘a’Kết quả: Tất cả địa chỉ thư điện tử của người dùng sẽ được hiển thị

 Tấn công vào ứng dụng Web – Tiêm nhiễm XML

 Ngôn ngữ đánh dấu: Phương thức thêm các chú thích cho văn bản

 HTML

 Sử dụng các thẻ (tag) được đặt trong các dấu ngoặc nhọn

 Chỉ thị cho trình duyệt hiển thị văn bản theo định dạng cụ thể

 XML

 Chứa dữ liệu thay vì chỉ thị định dạng hiển thị dữ liệu

 Không có tập thẻ được định nghĩa sẵn: Người dùng tự định nghĩa các thẻ của họ

 Tương tự như tấn công thông qua tiêm nhiễm SQL

 Kẻ tấn công phát hiện Website không lọc dữ liệu người dùng

 Tiêm nhiễm các thẻ XML và dữ liệu vào cơ sở dữ liệu

 Xác định kiểu tấn công tiêm nhiễm XML

 Cố gắng khai thác các truy vấn XML Path Language

 Tấn công phía client

 Tấn công phía client (máy khách)

 Nhằm vào các lỗ hổng của các ứng dụng trên client

 Khi client tương tác với một server bị xâm hại

 Khi client khởi tạo kết nối tới server, kết nối này có thể gây ra vụ tấn công

 Các dạng phổ biến tấn công phía client

 Xử lý phần đầu của HTTP (HTTP Header Manipulation)

 Phần đầu của HTTP có thể bắt nguồn từ một trình duyệt

 Trình duyệt thông thường không cho phép xử lý phần đầu đó

 Chương trình của kẻ tấn công có thể xử lý phần đầu đó

 Trường Referer (Tham chiếu)

 Cho biết site tạo ra trang Web

 Kẻ tấn công có thể thay đổi trường này để ẩn thông tin trang Webđược bắt nguồn từ đâu

 Điều chỉnh để trang Web được lưu trữ trên máy tính của kẻ tấn công

 Trường Accept-Language (Ngôn ngữ chấp nhận)

 Một số ứng dụng Web truyền trực tiếp nội dung của trường này tới cơ sở dữ liệu

 Kẻ tấn công có thể tiêm nhiễm câu lệnh bằng cách thay đổi trường này

 Tấn công phía máy khách – Sử dụng cookie

 Cookie lưu trữ thông tin của người dùng trên máy tính cục bộ

 Các Website sử dụng cookie để nhận biết khi khách truy cập lại

 Một số ví dụ thông tin được lưu trữ trong cookie

 Chỉ Website tạo ra cookie mới có thể đọc được cookie

 Cookie gây ra rủi ro đối với sự bảo mật và tính riêng tư

 Các loại cookie:

 Cookie của bên thứ nhất (First-party cookie)

 Cookie của bên thứ ba (Third-party cookie)

 Cookie theo phiên (Session cookie)

 Cookie bền (Persistent cookie)

 Cookie bảo mật (Secure cookie)

 Flash cookie (cookie Flash)

 Tấn công phía máy khách – Cướp theo phiên

 Khi người dùng đăng nhập bằng username (tên người dùng) và

password (mật khẩu)

 Server ứng dụng Web sẽ gán cho một thẻ phiên

 Mỗi yêu cầu tiếp theo từ trình duyệt Web của người dùng sẽ chứa thẻ phiên đó, cho đến khi người dùng đăng xuất

 Cướp theo phiên: Là dạng tấn công trong đó kẻ tấn công có ý định mạo danh người dùng bằng cách sử dụng thẻ phiên của anh ta

 Kẻ tấn công mạo danh người dùng bằng cách:

 Dữ liệu tràn được đẩy sang các vùng nhớ lân cận

 Có thể làm cho máy tính ngừng hoạt động

 Kẻ tấn công có thể thay đổi “địa chỉ trở về”: Chuyển hướng tới địa chỉ chứa mã độc

Tấn công vào mạng

 Mạng được những kẻ tấn công đặc biệt chú ý: Khai thác một lỗ hổng đơn lẻ trênmạng có thể làm lộ ra hàng trăm hoặc hàng ngàn thiết bị để tấn công

 Có nhiều dạng tấn công nhằm vào mạng hoặc các tiến trình dựa trên mạng

 Mục đích là làm tê liệt mạng: người dùng không thể truy cập vào mạng

 Các dạng tấn công mạng phổ biến

 Từ chối dịch vụ (Deny of Services) (DoS):

 Lũ Ping (Ping Flood)

 Tấn công kiểu gây mưa bão (Smurf attack)

 Từ chối dịch vụ phân tán (Distributed Deny of Services) (DDoS)

 Can thiệp (Interception):

 Tấn công vào quyền truy cập (Attacks on Access Rights):

 Leo thang đặc quyền (Privilege escalation)

 Truy cập bắc cầu (Transitive Access)

Đánh giá khả năng thiệt hại

 Các tác nhân liên quan đến việc đánh giá khả năng thiệt hại

 Những kẻ tấn công

 Tác động của tự nhiên

 Bất kỳ thực thể nào có khả năng gây hại

 Năm bước trong quá trình đánh giá khả năng thiệt hại

 Nhận diện tài sản (Asset Identification)

 Đánh giá các mối đe dọa (Threat Evaluation)

 Đánh giá khả năng thiệt hại (Vulnerability Appraisal)

 Đánh giá rủi ro (Risk Assessment)

 Làm giảm rủi ro (Risk Mitigation)

 Đánh giá khả năng thiệt hại – Nhận diện tài sản

 Là quá trình kiểm kê các phần tử có giá trị kinh tế

 Các tài sản thông dụng: Con người, Các tài sản vật lý, Dữ liệu, Phần cứng, Phần mềm

 Xác định giá trị liên quan của tài sản

 Mức độ rủi ro của tài sản đối với mục tiêu của tổ chức

 Doanh thu do tài sản tạo ra

 Mức độ khó khăn khi phải thay thế tài sản

 Mức độ tác động đối với tổ chức nếu thiếu tài sản

 Có thể đánh giá bằng cách sử dụng thang điểm

 Đánh giá khả năng thiệt hại – Đánh giá các mối đe dọa

 Liệt kê các mối đe dọa tiềm ẩn

 Mô hình hóa các mối đe dọa

 Mục đích: để hiểu rõ hơn về những kẻ tấn công và phương thức tấn công của chúng

 Thường được thực hiện bằng cách xây dựng các tình huống

 Cung cấp hình ảnh trực quan về các cuộc tấn công tiềm ẩn

 Có cấu trúc hình cây (lộn ngược)

Nhóm các mối đe dọa Ví dụ

Các thảm họa tự nhiên Hỏa hoạn, ngập lụt hoặc động đất làm hỏng dữ liệu

Đe dọa các tài sản trí tuệ Phần mềm bị ngụy tạo hoặc bị vi phạm bản quyềnGián điệp Gián điệp đánh cắp kế hoạch sản xuất

Hỏng hóc phần cứng Tường lửa phong tỏa toàn bộ giao thông mạng

Lỗi của con người Nhân viên bỏ quên máy tính xách tay ở bãi đỗ xePhá hoại Kẻ tấn công cài đặt sâu máy tính (worm) để xóa các fileTấn công dùng phần mềm Vi rút, sâu máy tính, ngăn cấm dịch vụ bằng phần cứng hoặc phần mềmHỏng hóc phần mềm Các lỗi làm cho chương trình hoạt động sai lệch

Kỹ thuật lạc hậu Chương trình không hoạt động với phiên bản mới của hệ điều hành

 Đánh giá khả năng thiệt hại – Đánh giá rủi ro

 Xác định hậu quả, thiệt hại do cuộc tấn công gây ra

 Đánh giá khả năng lỗ hổng là một nguy cơ đối với tổ chức

 Dự tính tổn thất trung bình đơn lẻ (Single Loss Expectancy) (SLE)

 Tổn thất tính bằng tiền khi xảy ra rủi ro

 Hệ số tổn thất (Exposure Factor) (EF): % giá trị tài sản bị tổn thất khi rủi ro xảy ra

 SLE được tính bằng tích giữa giá trị tài sản [Asset Value] (AV) và

ALE = SLE * ARO

 Đánh giá khả năng lỗ hổng xảy ra thực sự (ARO):

 Dùng các mô hình thống kê để dự báo

 Dùng phương pháp “Dự đoán tốt nhất” (best guess)

 Đánh giá khả năng thiệt hại – Làm giảm rủi ro

 Làm giảm rủi ro

 Xác định những việc cần làm khi rủi ro xảy ra

 Xác định mức độ rủi ro có thể chịu đựng được

 Chuyển giao rủi ro

 Rủi ro để lại (retained risk)

1 Kiểm kê tài sản

2 Xác định giá trị tương đối của tài sản

Nhận diện mối đe dọa

1 Phân loại các mối đe dọa

2 Thiết kế cây tấn công

Đánh giá các khả năng thiệt hại

1 Xác định các khả năng thiệt hại hiện có

trongtài sản

2 Tính tổn thất trung bình

3 Ước lượng xác suất xảy ra mối đe dọa

Làm giảm rủi ro 1 Quyết định làm gì với rủi ro: làm giảm, chuyển giao, hoặc chấp nhận

Các kỹ thuật đánh giá

 Báo cáo đường cơ sở (Baseline Reporting)

 Đường cơ sở: tiêu chuẩn đối với bảo mật vững chắc

 So sánh trạng thái hiện tại với đường cơ sở

 Ghi chú, đánh giá và giải quyết những sự khác biệt

 Các kỹ thuật áp dụng khi phát triển ứng dụng: Tối thiểu hóa các lỗ hổng trong quá trình phát triển phần mềm

 Những khó khăn trong việc tiếp cận khi phát triển ứng dụng

 Kích thước và độ phức tạp của phần mềm

 Thiếu các chỉ tiêu bảo mật

 Không đoán trước được các kỹ thuật tấn công trong tương lai

 Các kỹ thuật đánh giá khi phát triển phần mềm

Các công cụ đánh giá

 Bộ quét cổng (Port Scanner)

 Tìm kiếm trong hệ thống các cổng có sơ hở

 Được sử dụng để xác định trạng thái cổng (Mở, Đóng, Bị khóa)

 Bộ phân tích giao thức (Protocol Analyzer)

 Phần cứng hoặc phần mềm chụp lại các gói tin để phân tích

 Còn được gọi là “sniffer”

 Bộ quét tìm lỗ hổng (Vulnerability Scanner)

 Bình mật ong (Honeypot) và mạng mật ong (Honeynet)

 Bộ quét cổng

 Địa chỉ IP xác định duy nhất một thiết bị mạng

 Giao tiếp TCP/IP: Liên quan đến việc trao đổi thông tin giữa một chương trình của hệ thống này với một chương trình tương ứng của hệ thống khác

 Các số hiệu cổng phổ dụng (0-1023)

 Các số hiệu cổng được đăng ký (1024-49151)

 Các số hiệu cổng động và số hiệu cổng riêng (49152-65535)

 Biết được số hiệu cổng đang sử dụng: Kẻ tấn công có thể sử dụng để xác định dịch vụ mục tiêu

 Bộ phân tích giao thức

 Các mục đích sử dụng phổ biến của bộ phân tích giao thức

 Được sử dụng bởi quản trị viên để gỡ lỗi

 Mô tả đặc điểm lưu lượng mạng

 Kẻ tấn công có thể sử dụng bộ phân tích giao thức để

 Xem nội dung các gói tin được truyền hoặc nhận

 Xem nội dung các trang Web

 Đánh cắp các mật khẩu không được bảo vệ

 Bộ quét tìm lỗ hổng

 Tự động tìm trong hệ thống những yếu điểm bảo mật đã được biết trước

 Báo cáo về những rủi ro tiềm ẩn

 Thường được thực hiện trên các hệ thống hiện có và công nghệ mới triển khai

 Thường được thực hiện từ bên trong phạm vi bảo mật

 Không làm gián đoạn hoạt động bình thường của mạng

 Đa số đều duy trì một cơ sở dữ liệu để phân loại các lỗ hổng phát hiện được

 Đưa ra cảnh báo khi hệ thống mới được thêm vào mạng

 Phát hiện ra một hệ thống trong nội bộ bắt đầu quét cổng của các hệ thống khác

 Duy trì một file nhật ký ghi lại tất cả các phiên tương tác mạng

 Theo dõi tất cả các lỗ hổng của máy khách và máy chủ

 Theo dõi các hệ thống giao tiếp với các hệ thống nội bộ khác

 Vấn đề đối với các công cụ đánh giá về các lỗ hổng: Không có tiêu chuẩn cụ thể cho việc thu thập, phân tích và báo cáo lỗ hổng

Kiểm tra thâm nhập

 Nhằm khai thác các điểm yếu của hệ thống

 Phụ thuộc vào kỹ năng, kiến thức và kỹ xảo của người kiểm tra

 Thường được tiến hành bởi một nhà thầu độc lập

 Quá trình kiểm tra thường được tiến hành từ bên ngoài phạm vi bảo mật: Thậmchí có thể làm gián đoạn hoạt động của mạng

 Kết quả cuối cùng: báo cáo kiểm tra thâm nhập

 Các phương pháp kiểm tra xâm nhập

 Kiểm tra hộp trắng

Giảm thiểu và ngăn chặn tấn công

 Thiết lập tư thế bảo mật

 Tư thế bảo mật mô tả chiến lược liên quan tới bảo mật

 Cấu hình định mức ban đầu

 Kiểm soát bảo mật liên tục

 Cấu hình các điều khiển

 Camera bảo mật: phát hiện, không ngăn cản được tội phạm

 Hàng rào bảo mật: ngăn cản, không phát hiện được tội phạm

 Mở khi gặp lỗi, an toàn khi gặp lỗi/bảo mật khi gặp lỗi

 Tôi luyện (Hardening): Loại bỏ càng nhiều nguy cơ bảo mật càng tốt

 Báo cáo: Cung cấp thông tin liên quan tới các sự kiện xảy ra

Tóm tắt nội dung bài học tấn công mạng

 Những lỗ hổng của ứng dụng Web bị khai thác thông qua các kênh giao tiếp thông thường

 Tấn công XSS sử dụng các Website nhận dữ liệu đầu vào của người dùng mà không kiểm tra tính hợp lệ của dữ liệu

 Tấn công phía client nhằm vào các lỗ hổng của các ứng dụng trên client

 Tấn công theo phiên

 Quyền và đặc quyền truy cập cũng có thể bị khai thác

 Rủi ro là khả năng một tác nhân đe dọa sẽ khai thác lỗ hổng

 Đánh giá khả năng thiệt hại có thể dùng nhiều kỹ thuật khác nhau

 Phần mềm quét cổng và bộ phân tích giao thức được sử dụng như những công

 Bài thực hành số 1: Quét tìm lỗ hổng bằng GFI LANguard

 Bài thực hành số 2: Cấu hình để ngăn cản việc thực thi từ dữ liệu

 Bài thực hành số 3: Sử dụng phần mềm quét cổng từ Internet

Bài 4: Bảo mật máy chủ, ứng dụng và mạngadmin 09/10/2015 An toàn và bảo mật Chưa có bình luận

Mục tiêu bài học bảo mật máy chủ

 Liệt kê các bước bảo mật cho máy chủ

 Định nghĩa bảo mật cho ứng dụng

 Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất thoát dữ liệu (DLP)

 Liệt kê các loại thiết bị bảo mật mạng khác nhau và giải thích cách sử dụng những thiết bị đó

 Định nghĩa quá trình chuyển đổi địa chỉ và điều khiển truy cập mạng

 Giải thích phương thức tăng cường bảo mật thông qua thiết kế mạng

Các yếu tố quan trọng cần được bảo mật

 Máy chủ (host): máy chủ của mạng hoặc máy khách

 Tạo đường cơ sở cho phần mềm máy chủ

 Cấu hình bảo mật hệ điều hành và các cài đặt

 Triển khai các cài đặt

 Thực thi việc quản lý các bản vá: Phát triển chính sách bảo mật

 Các tài liệu xác định cơ chế bảo mật của tổ chức

 Tạo đường cơ sở cho phần mềm máy chủ

 Đường cơ sở: tiêu chuẩn hay danh mục kiểm tra để đánh giá hệ thống

 Các thiết lập cấu hình được áp dụng cho từng máy tính trong tổ chức

 Chính sách bảo mật xác định phải bảo vệ cái gì, đường cơ sở xác định bảo vệ như thế nào?

 Cấu hình bảo mật hệ điều hành (HĐH) và các cài đặt

 HĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau, có thể sử dụng

để điều chỉnh cho phù hợp với đường cơ sở

 Cấu hình đường cơ sở tiêu biểu

 Thay đổi các thiết lập mặc định không an toàn

 Loại bỏ các phần mềm, dịch vụ, giao thức không cần thiết

 Kích hoạt các chức năng bảo mật, ví dụ như tường lửa

 Triển khai các cài đặt

 Mẫu bảo mật: tập các thiết lập cấu hình bảo mật

 Quá trình triển khai các thiết lập có thể được tự động hóa

 Chính sách nhóm (group policy)

 Một tính năng của Windows cho phép quản lý tập trung hệ thống máy tính

 Một cấu hình đơn lẻ có thể được triển khai tới nhiều người dùng

 Thực thi việc quản lý các bản vá

 Các hệ điều hành hiện nay đều có khả năng tự động thực hiện cập nhật

 Đôi khi các bản vá có thể làm nảy sinh những vấn đề mới

 Dịch vụ cập nhật bản vá tự động

 Quản lý các bản vá trên máy cục bộ thay vì phụ thuộc vào dịch

vụ cập nhật bản vá trực tuyến của nhà cung cấp

 Dịch vụ cập nhật bản vá tự động có nhiều ưu điểm

Bảo mật bằng phần mềm chống phần mềm độc hại

 Các phần mềm chống phần mềm độc hại của bên thứ ba có thể cung cấp thêm

sự bảo mật

 Nhóm này bao gồm:

 Phần mềm chống vi rút

 Phần mềm chống thư rác

 Phần mềm phong tỏa pop-up

 Tường lửa dựa trên máy chủ

 Phần mềm diệt vi rút

 Phần mềm diệt vi rút

 Phần mềm kiểm tra một máy tính có bị tiêm nhiễm vi rút hay không

 Quét các tài liệu mới có thể chứa vi rút

 Tìm kiếm các mẫu vi rút đã được biết trước

 Nhược điểm của phần mềm diệt vi rút: Nhà cung cấp phải liên tục tìm các vi rút mới, cập nhật và phân phối các file chữ ký (signature file) tới người dùng

 Phương pháp khác: giả lập mã (code emulation): Các mã khả nghi được thực thi trong một môi trường ảo

 Chặn các kiểu file đính kèm khả nghi

 Phần mềm phong tỏa pop-up

 Một cửa sổ xuất hiện trên Website

 Thường do các nhà quảng cáo tạo ra

 Phần mềm phong tỏa pop-up

 Một chương trình riêng biệt, giống như một phần của gói phần mềm chống phần mềm gián điệp

 Được tích hợp vào trong trình duyệt

 Cho phép người dùng hạn chế hoặc ngăn chặn hầu hết các cửa sổpop-up

 Có thể hiển thị cảnh báo trong trình duyệt: Cho phép người dùng

có thể lựa chọn để hiển thị pop-up

Tường lửa dựa trên máy chủ

 Tường lửa (firewall)

 Được thiết kế nhằm ngăn chặn các gói tin độc hại truy cập hoặc gửi đi từmáy tính

 Có thể dựa trên phần cứng hoặc phần mềm

 Phần mềm tường lửa dựa trên máy chủ hoạt động trên hệ thống cục bộ

 Tường lửa trong Microsoft Windows 7

 Ba kiểu thiết lập dành cho các mạng: public, home, hoặc work

 Người dùng có thể cấu hình các thiết lập riêng cho từng kiểu mạng

Bảo mật ứng dụng

 Bảo mật việc phát triển ứng dụng

 Đường cơ sở trong cấu hình ứng dụng

 Khái niệm viết mã an toàn

 Tôi luyện ứng dụng và Quản lý bản vá

Tôi luyện ứng dụng và quản lý bản vá

Tấn công Mô tả Ngăn chặn

Tấn công các file

thực thi

Lừa đảo các ứng dụng sơ hở để điều chỉnh hoặc tạo ra các file thực thi trên hệ thống

Ngăn không cho ứng dụng tạo hay điều chỉnh các file thực thi

Giả mạo hệ thống

Lợi dụng ứng dụng sơ hở để chỉnh sửa các vùng đặc biệt nhạycảm của hệ điều hành và sau đó khai thác các điều chỉnh đó

Không cho phép ứng dụng chỉnh sửa các vùng đặc biệt của hệ điều hành

Điều khiển việc

sinh ra các tiến

trình

Lừa đảo ứng dụng sơ hở để sinh

ra các file thực thi trên hệ thống

Loại bỏ khả năng sinh

ra tiến trình của ứng dụng

 Quản lý bản vá

 Ít được quan tâm cho tới thời gian gần đây

 Người dùng không biết sự tồn tại của các bản vá hay vị trí để lấy được các bản vá

 Hiện nay, nhiều hệ thống quản lý bản vá ứng dụng đang được phát triển

Bảo mật dữ liệu

 Hiện nay, quá trình làm việc liên quan rất nhiều tới hợp tác điện tử

 Dữ liệu phải lưu thông tự do

 Đảm bảo an toàn dữ liệu là điều rất quan trọng

 Ngăn chặn mất mát dữ liệu

 Hệ thống các công cụ đảm bảo an toàn được sử dụng để nhận diện và xác định các dữ liệu quan trọng và đảm bảo sự an toàn cho những dữ liệu đó

 Mục tiêu: bảo vệ dữ liệu khỏi những người dùng trái phép

 Ngăn chặn mất mát dữ liệu thường kiểm tra:

 Dữ liệu đang sử dụng (ví dụ: đang được in)

 Dữ liệu đang di chuyển (đang truyền nhận)

 Dữ liệu đang được lưu trữ (ví dụ: DVD)

 Kiểm tra nội dung: Phân tích sự an toàn của quá trình giao dịch

Bảo mật mạng

 Không phải tất cả các ứng dụng đều chú trọng đến việc bảo mật trong quá trình thiết kế và viết mã ->Mạng cần được bảo vệ

 Những mạng bảo mật yếu là mục tiêu thu hút những kẻ tấn công

 Các khía cạnh của việc xây dựng một mạng bảo mật:

 Thiết bị mạng tiêu chuẩn (SV tự đọc)

 Bảo mật thông qua công nghệ mạng

 Bảo mật thông qua thành phần thiết kế mạng

Phần cứng bảo mật mạng

 Các thiết bị phần cứng được thiết kế đặc biệt: Bảo mật tốt hơn so với các thiết

bị mạng thông thường

 Các dạng phần cứng bảo mật mạng

 Tường lửa (Firewall)

 Ủy nhiệm (Proxy) (SV tự đọc)

 Bộ lọc thư rác (Spam Filter)

 Bộ tập trung mạng riêng ảo (VPN concentrator) (SV tự đọc)

 Bộ lọc nội dung Internet (Internet Content Filter)

 Cổng bảo mật Web (Web Security Gateway)

 Phát hiện và ngăn chặn việc thâm nhập

 Thiết bị bảo mật mạng tất cả trong một

 Tường lửa

 Tường lửa (Firewall)

 Có chức năng kiểm tra các gói tin

 Có thể chấp nhận hoặc từ chối gói tin

 Thường được đặt bên ngoài vành đai bảo mật mạng

 Các hành động của tường lửa đối với một gói tin

 Cho phép (cho phép gói tin đi qua)

 Chặn (loại bỏ gói tin)

 Nhắc nhở (yêu cầu người dùng lựa chọn hành động)

 Các thiết lập dựa trên nguyên tắc của tường lửa: Tập các chỉ dẫn để điềukhiển hành động

 Tường lửa dựa trên các thiết lập: Cho phép quản trị viên tạo ra các thamsố

 Các phương pháp lọc gói tin của tường lửa

 Lọc gói tin không dựa vào trạng thái (stateless packet filtering): Kiểm tracác gói tin gửi đến và cho phép hoặc từ chối gói tin dựa trên các điều kiện do quản trị viên thiết lập

 Lọc gói tin dựa vào trạng thái (stateful packet filtering)

 Lưu giữ bản ghi trạng thái của kết nối

 Đưa ra quyết định dựa trên kết nối và các điều kiện

 Tường lửa ứng dụng Web

 Kiểm tra sâu hơn cấu trúc bên trong của gói tin truyền tải HTTP

 Các hệ thống email sử dụng hai giao thức

 Simple Mail Transfer Protocol (SMTP): Xử lý mail gửi đi

 Post Office Protocol (POP): Xử lý mail gửi đến

 Các bộ lọc thư rác được cài đặt với máy chủ SMTP

 Bộ lọc được cấu hình để “nghe ngóng” tại cổng 25

 Những thư điện tử không phải thư rác được chuyển tới máy chủ SMTP đang “nghe ngóng” tại một cổng khác

 Phương pháp ngăn không cho máy chủ SMTP gửi lại thông báo cho kẻ gửi thư rác biết việc phân phát thư rác bị thất bại

 Bộ lọc thư rác được cài đặt trên máy chủ POP 3

 Trước tiên, tất cả thư rác phải truyền qua máy chủ SMTP, sau đó chúng được chuyển tới hộp thư của người dùng

 Có thể làm tăng chi phí: Lưu trữ, truyền dẫn, sao lưu, xóa hủy

 Lọc thư rác thông qua hợp đồng với một đối tác thứ ba

 Tất cả thư điện tử được đi qua một bộ lọc thư rác từ xa của đối tác thứ ba

 Thư điện tử được “làm sạch” trước khi chuyển tiếp tới tổ chức

 Bộ lọc nội dung Internet

 Kiểm soát lưu lượng mạng Internet

 Chặn truy cập tới các Website và file được lựa chọn trước

 Các Website bị chặn được xác định thông qua URL hoặc thông qua đối chiếu từ khóa

 Cổng bảo mật Web

 Cổng bảo mật Web (Web security gateway)

 Có thể chặn các nội dung độc hại trong thời gian thực

 Chặn nội dung thông qua việc lọc ở cấp ứng dụng

 Ví dụ về lưu lượng Web bị chặn

 Các đối tượng ActiveX

 Phần mềm quảng cáo, phần mềm gián điệp

 Việc chia sẻ dữ liệu ngang hàng (peer-to-peer)

 Phát hiện và ngăn chặn thâm nhập

 Bảo mật thụ động và bảo mật chủ động có thể được áp dụng trong mạng: Các biện pháp chủ động đem lại mức an toàn cao hơn

 Biện pháp thụ động

 Bộ lọc nội dung Internet

 Hệ thống phát hiện thâm nhập (IDS)

 Biện pháp bảo mật chủ động

 Có thể phát hiện tấn công ngay khi nó xảy ra

 Các khía cạnh của IDS

 Giám sát dựa trên chữ ký (signature-based monitoring): Tìm kiếm các đặc điểm, dấu hiệu đặc trưng của tấn công

 Giám sát dựa trên hành vi (behavior-based monitoring)

 Phát hiện các hành vi bất thường của tiến trình hay chương trình

 Cảnh báo người dùng để họ đưa ra quyết định chặn hay cho phéphành vi

 Giám sát kiểu tự khám phá (heuristic monitoring): Sử dụng các kỹ thuật dựa trên kinh nghiệm

 Các dạng IDS

 Hệ thống phát hiện xâm nhập máy chủ (Host Intrusion Detection System– HIDS)

 Ứng dụng phần mềm có chức năng phát hiện tấn công khi xảy ra

 Được cài đặt trên từng hệ thống cần sự bảo vệ

 Giám sát các lời gọi và truy cập file hệ thống

 Có thể nhận dạng hành vi điều chỉnh Registry trái phép

 Giám sát tất cả thông tin giao tiếp đầu vào và đầu ra: Phát hiện các hành vi bất thường

 Nhược điểm của HIDS

 Không thể giám sát các lưu lượng mạng không hướng tới hệ thống cục bộ

 Tất cả dữ liệu nhật ký (log) được lưu trữ trên máy cục bộ

 Tiêu tốn tài nguyên và có thể làm chậm hệ thống

 Hệ thống phát hiện xâm nhập mạng (Network Intrusion Detection

System – NIDS)

 Theo dõi tấn công trên mạng

 Các cảm biến NIDS được cài đặt trên tường lửa và bộ định

tuyến: Thu thập thông tin và báo cáo về thiết bị trung tâm

 NIDS thụ động sẽ phát âm thanh báo động

 NIDS chủ động sẽ phát âm thanh báo động, đồng thời thực hiện hành động ứng phó: Hành động ứng phó có thể bao gồm việc tìm ra địa chỉ IP của

kẻ xâm nhập hoặc kết thúc phiên TCP

 Các kỹ thuật đánh giá của NIDS

Kiểm tra giao

thức ứng dụng

Một số vụ tấn công cố ý sử dụng hành vi giao thức không hợp

lệ hoặc có dấu hiệu gây hại (như đầu độc DNS) NIDS sẽ thựchiện lại các giao thức ứng dụng khác nhau để tìm ra mẫu

Tạo các file log

mở rộng

NIDS có thể ghi lại file log đối với các sự kiện bất thường, sau

đó các hệ thống giám sát ghi nhật ký mạng khác có thể sử dụng những file nhật ký

 Các cảm biến NIPS được đặt bên trong tường lửa

Thiết bị bảo mật mạng tất cả trong một

 Thiết bị bảo mật mạng tất cả trong một: Thiết bị tích hợp thay thế cho nhiều thiết bị bảo mật

 Xu hướng gần đây:

 Kết hợp các thiết bị bảo mật đa năng với thiết bị truyền thống như bộ định tuyến.

 Phương pháp này có các ưu điểm:

 Thiết bị mạng đã xử lý mọi gói tin đi qua mạng

 Bộ chuyển mạch (switch) chứa phần mềm anti-malware kiểm tra

kỹ tất cả các gói tin và chặn lại trước chúng làm lây nhiễm toàn mạng

Bảo mật thông qua các công nghệ mạng

 Quá trình chuyển đổi địa chỉ mạng (NAT)

 Cho phép sử dụng các địa chỉ IP private trên mạng Internet (các bộ định tuyến mạng thường loại bỏ các gói tin có địa chỉ riêng)

 Thay thế địa chỉ IP private bằng địa chỉ public

 Chuyển đổi địa chỉ cổng (PAT)

 Biến thể của NAT

 Các gói tin gửi đi có cùng địa chỉ IP nhưng khác nhau về số cổng TCP

 Các ưu điểm của NAT

 Che dấu địa chỉ IP của các thiết bị trong nội bộ

 Cho phép nhiều thiết bị chia sẻ chung một số ít các địa chỉ IP public

 Điều khiển truy cập mạng (NAC)

 Kiểm tra trạng thái hiện tại của hệ thống hay thiết bị mạng: Trước khi cho phép kết nối mạng

 Thiết bị phải đáp ứng một tập tiêu chuẩn: Nếu không đáp ứng, NAC sẽ cho phép client kết nối tới một mạng cách ly, cho tới khi các thiếu sót được khắc phục

Bảo mật thông qua các thành phần thiết kế mạng

 Các phần tử trong một thiết kế mạng an toàn

 Khu phi quân sự

 Truy cập từ xa

 Khu phi quân sự

 Một mạng riêng được đặt bên ngoài vành đai của một mạng bảo mật

 Những người dùng không đủ tin cậy bên ngoài có thể truy cập vào DMZ nhưng không thể truy cập được mạng bảo mật bên trong

 Có thể dùng DMZ với một hoặc hai tường lửa

 Phân chia mạng con

 Các địa chỉ IP có thể được phân tách tại bất kỳ vị trí nào trong 32 bit độ dài

 Các mạng có thể được chia thành 3 phần

 Host

 Một mạng có thể chứa nhiều mạng con

 Một mạng con có thể chứa nhiều host

 Nâng cao bảo mật cho mạng thông qua việc cách ly các nhóm máy chủ

 Cho phép quản trị viên che giấu cấu trúc mạng nội bộ

Ưu điểm Giải thích

Giảm lưu lượng mạng

Các tin quảng cáo gửi tới các máy chủ mạng thường

bị hạn chế vào các mạng con riêng lẻ

Linh động

Số mạng con và máy chủ trong mỗi mạng con có thể được tùy chỉnh cho từng tổ chức và dễ dàng thay đổi khi cần thiết

Cải thiện khả năng gỡ lỗi

Truy vết các vấn đề trên mạng con nhanh và dễ dàng hơn so với một mạng lớn

Cải thiện việc khai thác

địa chỉ

Do mạng được phân thành các mạng con nên giúp giảm số địa chỉ IP rác

Tối thiểu hóa ảnh hưởng

tới các bộ định tuyến bên

Tổng kết bài học bảo mật máy chủ

 Chính sách bảo mật phải được xây dựng, do đó đường cơ sở cần được thiết lập

 Phần mềm chống phần mềm độc hại của hãng thứ ba có thể giúp nâng cao tínhbảo mật

 Bảo mật ứng dụng hoạt động trên phần cứng

 Ngăn chặn mất mát dữ liệu (DLP) có thể nhận diện dữ liệu quan trọng, kiểm soát và bảo vệ dữ liệu đó

 Các thiết bị phần cứng được thiết kế riêng cho bảo mật đem lại mức độ bảo mật cao hơn

 Hệ thống phát hiện xâm nhập được thiết kế nhằm phát hiện tấn công khi nó xảy ra

 Công nghệ mạng có thể giúp bảo mật cho mạng

 Dịch địa chỉ mạng (NAT)

 Điều khiển truy cập mạng (NAC)

 Các phương pháp thiết kế một mạng bảo mật bao gồm

 Khu phi quân sự

Bài tập thực hành bảo mật máy chủ

 Bài thực hành số 1: Thiết lập chính sách bảo mật trên máy tính cục bộ chạy

Windows7

 Bài thực hành số 2: Sử dụng một bộ lọc nội dung Internet

 Bài thực hành số 3: Quan sát các thiết lập tường lửa trên Windows 7

 Bài thực hành số 4: Sử dụng công cụ giám sát dựa trên hành vi

Bài 5: Xây dựng hệ thống tường lửa

admin 14/10/2015 An toàn và bảo mật Chưa có bình luận

Mục tiêu bài học xây dựng hệ thống tường lửa

 Giới thiệu Microsoft Forefront Threat Management Gateway 2010

 Yêu cầu cấu hình hệ thống

 Cài đặt và khởi tạo

 Các khái niệm về cấu hình

 Thiết lập Firewall dựa trên Access Policy

 Kiểm tra kết quả

Giới thiệu về Microsoft Forefront Threat Management Gateway 2010

Lớp bảo vệ phía trước và các sản phẩm truy cập

Forefront Edge Security và Access products cung cấp bảo vệ hệ thống mạng và các ứng dụng trung tâm Các chính sách truy cập đến kiến trúc hệ thống CNTT của doanhnghiệp

Quang cảnh mối hiểm họa an ninh

 Tấn công bị giảm, Các mối đe dọa tăng

 Các mối đe dọa tinh vi ngày càng tăng

 Các đe dọa đã di chuyển tới tầng ứng dụng

 Các mối đe dọa khác xuất hiện

 Spam và email có mã độc

 Tổng hợp nhiều hiểm họa

Các giá trị của Microsoft Forefront Threat Management Gateway (TMG)

Các tình huống triển khai Forefront TMG

Tổng hợp các đặc tính của TMG

Tổng kết các đặc điểm

Giấy phép Forefront TMG cho hai phiên bản của TMG

So sánh phiên bản Forefront TMG

Cài đặt và khởi tạo

Yêu cầu hệ thống