Sau khi hoàn thành chương này, bạn có thể thực hiện được những nhiệm vụ sau: Đưa ra lý do cho việc cần thiết phải đảm bảo an ninh mạng Định nghĩa thế nào là bẻ khóa máy tính và mô tả
Trang 1Sau khi hoàn thành chương này, bạn có thể thực hiện được những nhiệm vụ sau:
Đưa ra lý do cho việc cần thiết phải đảm bảo an ninh mạng
Định nghĩa thế nào là bẻ khóa máy tính và mô tả 4 mối đe dọa chính liên kết với hành động đó
Định nghĩa 4 cách thức cơ bản để ngăn chặn các mối đe dọa trong an ninh mạng
Mô tả 3 phương pháp chính để ngăn chặn sự tấn công trong các mạng máy tính ngày nay
Mô tả mục đích của Security Whell
Mô tả kiến trúc của Cisco AVVID
Mô tả SAFE framework
2.2 An ninh mạng
Phần này sẽ giải thích an ninh mạng là gì và tại sao lại cần phải đảm bảo an ninh mạng
Trang 2An ninh mạng là vấn đề cần thiết bởi vì Internet là một mạng của các mạng có mối liên hệ với nhau không có ranh giới Vì lý do này mà mạng của các tổ chức có thể được sử dụng và cũng có thể bị tấn công từ bất kỳ một máy tính nào trên thế giới Khi một công ty sử dụng Internet trong kinh doanh, các nguy cơ mới sẽ phát sinh từ những người mà không cần thiết phải truy cập đến tài nguyên máy tính của công ty thông qua môi trường vật lý
Trong một nghiên cứu gần đây của Computer Security Institute (CIS), 70% các tổ chức bị mất mát thông tin do vấn đề an ninh mạng có lỗ thủng và 60% trong số đó nguyên nhân là do chính trong công ty của họ
Trang 3Có 4 mối đe dọa chính đối với an ninh mạng
Mối đe dọa không cấu trúc
Mối đe dọa có cấu trúc
Mối đe dọa từ bên ngoài
Mối đe dọa từ bên trong
Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh
nghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet Một số người thuộc dạng này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài trí
óc và rất tầm thường Chúng được biết đến như là Script kiddies Phần lớn họ không
phải là những người tài giỏi hoặc là những hacker có kinh nghiệm., nhưng họ có những động cơ thúc đẩy, mà những động cơ đó đều quan trọng
Mối đe dọa có cấu trúc bao gồm các hacker - những người có động cơ cao
hơn và có kỹ thuật thành thạo hơn Thông thường họ hiểu biết về thiết kế hệ thống mạng và những chỗ có thể tấn công, và họ có thể hiểu cũng như tạo ra các đoạn mã
để thâm nhập vào những hệ thống mạng này
Mối đe dọa từ bên ngoài là những cá nhân, tổ chức làm việc ở bên ngoài
công ty.Họ không có quyền truy cập đến hệ thống mạng hoặc hệ thống máy tính của
Trang 4công ty Họ làm việc theo cách thức của họ để vào trong mạng chính từ mạng Internet hoặc mạng quay số truy cập vào servers
Mối đe dọa từ bên trong xảy ra khi một số người có quyền truy cập đến hệ
thống mạng thông qua một tài khoản trên một server hoặc truy cập trực tiếp thông qua môi trường vật lý Thông thường những người này đang có bất bình với những thành viên hiện tại hoặc trước đó hoặc bất bình với giám đốc công ty
Có 3 cách thức tấn công mạng:
Tấn công theo kiểu thăm dò: Một kẻ xâm nhập cố gắng khai phá và xây dựng
sơ đồ hệ thống, các dịch vụ và các điểm có thể tấn công
Tấn công theo kiểu truy cập: Một kẻ xâm nhập tấn công mạng hoặc hệ thống
để lấy dữ liệu, giành quyền truy cập hoặc cố gắng tiến tới chế độ truy cập đặc quyền
Tấn công kiểu DoS: Một kẻ xâm nhập tấn công mạng, phá hủy hoặc làm hỏng hệ thống máy tính, hoặc không cho phép bạn và những người khác truy cập vào hệ thống mạng của bạn và các dịch vụ khác
2.2.1 Tấn công theo kiểu thăm dò
Trang 5Thăm dò là một hình thức tính toán, khám phá bất hợp pháp hệ thống, các dịch vụ hoặc những điểm dễ bị tấn công nhất Nó còn được biết đến như là việc thu thập thông tin Trong hầu hết các trường hợp nó xảy ra trước so với các hành động truy xuất hợp pháp khác hoặc là tấn công theo kiểu DoS Kẻ thâm nhập đầu tiên sẽ quét mạng đích để xác định các địa chỉ IP còn hoạt động Sau khi hoàn thành việc này, tin tặc sẽ quyết định các dịch vụ hoặc các cổng được kích hoạt trên các địa chỉ
IP này Từ những thông tin này, tin tặc tính toán để quyết định ứng kiểu của ứng dụng và phiên bản cũng như là kiểu và phiên bản của hệ điều hành đang chạy trên host đích
Thăm dò cũng tương tự như một kẻ trộm có phạm vi hoạt động ra ngoài một láng giềng đối với những ngôi nhà có khả năng bị tấn công mà chúng có thể xâm nhập vào bên trong Giống như một biệt thự bỏ hoang, một cánh cửa chính dễ dàng mở hoặc một cửa sổ Trong nhiều trường hợp kẻ chộm kẻ trộm đã đi xa trước khi tiếng động cánh cửa phát ra Nhưng để khám phá những dịch vụ có thể tấn công được họ
có thể phải mạo hiểm vào khoảng thời gian sau đó khi mà lúc đó có thể có ai đó phát hiện
2.2.2 Tấn công theo kiểu truy cập
Truy cập là một hình thức vượt qua giới hạn để xử lý dữ liệu trái phép, truy cập hệ thống hoặc tiến vào chế độ đặc quyền Truy tìm dữ liệu trái phép thông thường là việc đọc, ghi, sao chép hoặc gỡ bỏ các files mà nó không thể được sử dụng bởi những kẻ thâm nhập Đôi khi nó cũng thật đơn giản cũng giống như việc tìm kiếm các thư mục chia sẻ trong Window 9x hoặc NT hoặc các thư mục đã được xuất dạng NFS trong hệ thống UNIX với việc đọc hoặc đọc và ghi dữ liệu được thực hiện bởi bất cứ ai Kẻ thâm nhập sẽ không gặp bất cứ vấn đề gì đối với các file
dữ liệu và thậm chí là không bao giờ, dễ dàng truy xuất các thông tin mang tính riêng tư cao và hoàn toàn không bị bảo vệ bởi những cặp mắt soi mói, đặc biệt kẻ tấn công là người sử dụng nội bộ
Trang 6Truy cập hệ thống là khả năng của kẻ thâm nhập dành quyền truy cập vào một máy mà nó không được phép truy cập (ví dụ như kẻ thâm nhập không có tài khoản hoặc mật khẩu) Nhập hoặc truy cập vào hệ thống mà nó không có quyên truy
cập thông thường bao gồm việc chạy các hack, các đoạn kịch bản hoặc các công cụ
để khai thác các lỗ hổng của hệ thống hoặc các ứng dụng
Một dạng khác của tấn công theo kiểu truy cập là tiến tới chế độ đặc quyền Việc này được thực hiện bởi những người sử dụng hợp pháp với quyền truy cập thấp hoặc đối với những kẻ thâm nhập có quyền truy cập thấp Mục đích là để thu thập thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cập hiện tại Trong nhiều trường hợp điều này bao gồm việc dành quyền truy cập gốc
trong hệ thống UNIX để cài đặt sniffer để ghi lại tất cả những lưu lượng mạng được
truyền qua, như là username và password có thể được sử dụng để truy cập đến các đích khác
Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập mà không muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mò hoặc là do không biết gì
2.2.3 Tấn công theo kiểu DoS
DoS là khi một kẻ tấn công vô hiệu hóa hoặc làm hỏng mạng, hệ thống hoặc các dịch vụ với mục đích để ngăn cản các dịch vụ dành cho người sử dụng Nó thường bao gồm việc phá hủy hệ thống hoặc làm hệ thống chậm xuống và không thể sử dụng Nhưng Dos cũng có thể dễ dàng xóa sạch hoặc làm hỏng các thông tin cần thiết cho kinh doanh Trong hầu hết các trường hợp thực thi việc tấn công chỉ đơn giản là bao gồm chạy hack, các kịch bản hoặc các công cụ Kẻ tấn công không cần phải truy cập đến đích trước bởi vì tất cả những việc đó thường đòi hỏi một phương pháp để đạt được Vì những lý do này và bởi vì khả năng phá hoại lớn nên Dos đặc biệt làm lo sợ đối với người điều hành các web site thương mại
Trang 7An ninh mạng cần phải là một tiến trình liên tục được xây dựng dựa trên các chính sách an ninh Một chính sách an ninh liên tục mang lại hiệu quả lớn nhất bởi
vì nó xúc tiến quá trình tái áp dụng và tái kiểm tra các cập nhật bảo mật dựa trên cơ
sở liên tục Tiến trình an ninh liên tục này tiêu biểu cho Security Wheel
Để bắt đầu tiến trình liên tục này bạn cần phải tạo một chính sách an ninh mà
nó cho phép bảo mật các ứng dụng Một chính sách an ninh cần phải thực hiện những nhiệm vụ sau:
Nhận dạng mục đích bảo mật của tổ chức
Tài liệu về tài nguyên cần bảo vệ
Nhận dạng cơ sở hạ tầng mạng với sơ đồ hiện tại và một bản tóm tắt
Để tạo hoặc thực thi một chính sách an ninh có hiệu quả, bạn cần phải xác định cái
mà bạn muốn bảo vệ và bảo vệ nó như thế nào Bạn cần phải có hiểu biết vể các điểm yếu hệ thống mạng và cách mà người ta có thể khai thác nó Bạn cũng cần phải hiểu về các chức năng thông thường của hệ thống vì thế mà bạn phải biết là bạn cần cái gì và nó cũng giống với cách mà các thiết bị thông thường được sử dụng Cuối cùng là cân nhắc đến an ninh về mặt vật lý của hệ thống mạng và cách bảo vệ nó Việc truy xuất về mặt vật lý đến một máy tính, router, hoặc tường lửa có thể mang lại cho người sử dụng khả năng tổng điều khiển trên toàn bộ thiết bị Sau chính sách an ninh được phát triển thì nó phải phù hợp với bánh xe an ninh ở phía trên - bốn bước kế tiếp của Security Wheel cần dựa vào:
Trang 8Bước 1: Bảo mật hệ thống: bước này bao gồm việc cung cấp các thiết bị bảo mật như tường lửa, hệ thống chứng thực, mã hóa,…với mục đích là ngăn chặn sự truy cập trái phép đến hệ thống mạng Đây chính là điểm mà các thiết bị tường lửa bảo mật của Cisco có hiệu quả nhất
Bước 2: kiểm tra hệ thống mạng về các vi phạm và sự tấn công chống lại chính
sách bảo mật của công ty Các vi phạm có thể xảy ra từ bên trong vành đai an ninh của mạng do sự phẫn nộ của những người lao động hoặc là từ bên ngoài do các hacker Việc kiểm tra mạng với hệ thống phát hiện sự xâm nhập thời gian thực như
là Cisco Secure Intruction Detection System ( hệ thống phát hiện sự thâm nhập bảo mật của Cisco) có thể đảm bảo các thiết bị bảo mật trong bước 1 được cấu hình đúng
Bước 3: Thử nghiệm để kiểm tra hiệu quả của hệ thống bảo mật Sử dụng thiết bị quét bảo mật của Cisco ( Cisco Secure Scanner) để nhận dạng tình trạng an toàn của mạng
Bước 4: Hoàn thiện an ninh của công ty Sưu tầm và phân tích các thông tin từ các pha kiểm tra, thử nghiệm để hoàn thiện hơn
Cả bốn bước – Bảo mật, kiểm tra, thử nghiệm và hoàn thiện – cần được lặp đi lặp lại liên tục và cần phải kết hợp chặt chẽ với các phiên bản cập nhật chính sách an ninh của công ty
Trang 9Bảo mật mạng bằng cách áp dụng các chính sách an ninh và thực thi các chính sách
an ninh dưới đây:
Chứng thực: chỉ đem lại quyền truy cập của người sử dụng
Mã hóa: Ẩn các luồng nội dung nhằm ngăn cản sự phát hiện không mong muốn đối với các cá nhân có âm mưu phá hoại hoặc cá nhân trái phép
Tường lửa: Lọc các lưu lượng mạng chỉ cho phép các lưu lượng và dịch vụ hợp pháp truyền qua
Vá lỗi: Áp dụng việc sửa chữa hoặc xử lý để dừng quá trình khai thác các lỗ hổng được phát hiện Công việc này bao gồm việc tắt các dịch vụ không cần thiết trên mỗi hệ thống, chỉ cho vài dịch vụ được phép chạy, gây khó khăn cho việc truy cập của hacker
Chú ý: Nhớ rằng cần phải thực thi các giải pháp an ninh mặt vật lý để ngăn cản việc truy cập trái phép mặt vật lý đến hệ thống mạng
Trang 10Viểm kiểm tra hệ thống mạng đối với sự xâm nhập trái phép và các cuộc tấn công chống lại chính sách an ninh của công ty Các cuộc tấn công này có thể xảy ra trong vành đai an ninh của hệ thống mạng từ những người lao động có âm mưu hoặc từ bên ngoài hệ thống mạng Việc kiểm tra hệ thống mạng cũng cần thực hiện với các thiết bị phát hiện sự xâm nhập thời gian thực như là Cisco Secure Intrusion Detection System (CSIDS) Những thiết bị này trợ giúp bạn trong việc phát hiện ra các phần trái phép và nó cũng có vai trò như là một hệ thống kiểm tra – cân bằng
(check – balance system) để đảm bảo rằng các thiết bị trong bước 1 của Security
Wheel được cấu hình và làm việc đúng đắn
Trang 11Việc đánh giá là cần thiết Bạn có thể có một hệ thống an ninh mạng tinh vi nhất, nhưng nếu nó không làm việc thì hệ thống mạng của bạn có thể bị tấn công Điều này giải thích tại sao bạn cần phải kiểm tra, chạy thử các thiết bị trong bước 1 và bước 2 để đảm bảo chúng thực hiện đúng chức năng Cisco Secure Scanner (thiết bị quét bảo mật của Cisco) được thiết kế để đánh giá độ bảo mật của hệ thống mạng
Pha hoàn thiện của Security Wheel bao gồm việc phân tích dữ liệu được tổng hợp từ hai pha kiểm tra và chạy thử nghiệm Kỹ thuật phát triển và hoàn thiện nó phục vụ cho chính sách an ninh của bạn và nó bảo mật cho pha trong bước 1 Nếu bạn muốn duy trì hệ thống mạng được bảo mật thì cần phải lặp lại chu trình của Security
Trang 12Wheel bởi vì lỗ hổng và nguy cơ bị xâm phạm của hệ thống mạng luôn được tạo ra hàng ngày
Cisco AVVID có thể được xem như là một khung để mô tả một mạng tối ưu hỗ trợ giải pháp giao dịch Internet và là bản đồ chỉ dẫn cho việc bổ sung mạng Phần này
sẽ thảo luận về các lớp khác nhau của khung Cisco AVVID Dưới đây là các phần khác nhau của kiến trúc Cisco AVVID:
Clients (khách) – Sư đa dạng của các thiết bị có thể được sử dụng để truy cập đến giải pháp giao dịch Internet thông qua mạng là rộng lớn Những thiết bị này có thể bao gồm phones, PCs, PDAs…Một điểm khác nhau chính từ kiến trúc truyền thống đó là giải pháp Standards-base (chuẩn – cơ sở) có thể mở rộng sự đang dạng của các thiết bị được kết nối Thậm chí đối với cả các thiết bị chưa được sử dụng rộng rãi Không giống như các giải pháp video và điện thoại truyền thống, các thiết bị truy cập riêng là không cần thiết Thay vào đó các chức năng được thêm vào thông qua các dịch vụ mạng thông minh được cung cấp trong cơ sở hạ tầng hiện tại
Network Platforms (các nền tảng của mạng) – Cở sở hạ tầng của mạng cung cấp các kết nối vật lý, logic cho các thiết bị, gắn kết chúng vào trong hệ
Trang 13các thiết bị khác mà nó kết nối người sử dụng với các server Các nền tảng mạng của Cisco được cạnh tranh nhau về đặc tính, hiệu quả và giá thành nhưng sự cạnh tranh chính đó là sự tích hợp và sự tương tác với các yếu tố khác của khung Cisco AVVID Lớp này của Cisco AVVID làm cơ sở cho tất
cả các ứng dụng mà sẽ được tích hợp để giải quyết vấn đề giao dịch
Intelligent Network Services ( Các dịch vụ mạng thông minh) – các dịch vụ mạng thông minh được cung cấp thông qua các phần mềm hoạt động trên
nền tảng mạng, là một lợi ích to lớn của kiến trúc end-to-end cho việc triển
khai giải pháp giao dịch Internet Từ chất lượng của dịch vụ (QoS) đến bảo mật, tính toán, và quản lý, các dịch vụ mạng thông minh phản ánh chính sách
và quy tắc giao dịch của doanh nghiệp Việc thiết lập nhất quán các dịch vụ
end-to-end thông qua mạng là một vấn đề quan trọng bởi vì cơ sở hạ tầng
mạng được sử dụng làm cơ sở cho các tiện ích mạng Các dịch vụ nhất quán này có thể là các ứng dụng giao dịch Internet mới và các sáng kiến giao dịch
để phát triển nhanh chóng mà không cần phải xây dựng lại hệ thống mạng
Ngược lại việc xây dựng mạng dựa trên chiến lược best-of-breed có thể
mang lại nhiều hy vọng hiệu quả hơn đối với một thiết bị nào đó nhưng nó
không thể hy vọng gì việc phân phối đặc tính end-to-end trong một môi
trường đa nhà cung cấp Cisco AVVID cung cấp chuẩn để quy định việc chuyển đổi và kết hợp của các nhà tích hợp giao dịch Internet Nhưng việc thêm vào các dịch vụ mạng thông minh được đưa ra bởi giải pháp AVVID Cisco end-to-end nó đã vượt ra ngoài những gì có thể đạt được một cách tốt
nhất trong môi trường breed
Internet middleware layer (lớp phần mềm chuyên dụng Internet) – trong phần kế tiếp bao gồm các dịch vụ điểu khiển và các dịch vụ truyền thông, là phần chính của bất kỳ một kiến trúc mạng nào, cung cấp các phần mềm và các công cụ để phá tan sự rắc dối phát sinh từ những công nghệ mới Sự kết hợp các lớp này cung cấp cho các công cụ cho người tích hợp và những khách hàng để thiết kế cơ sở hạ thầng mạng và để tùy chỉnh các dịch vụ mạng thông minh nhằm đáp ứng nhu cầu của ứng dụng Các lớp quản lý truy
