Professional Documents
Culture Documents
Giao Trinh An Ninh Mang
Giao Trinh An Ninh Mang
chất lượng
xin hãy thông báo để chúng tôi sửa chữa hoặc thay thế bằng một tài liệu cùng
chủ đề của tác giả khác. Tài li u này bao g m nhi u tài li u nh có cùng ch
đ bên trong nó. Ph n n i dung b n c n có th n m gi a ho c cu i tài li u
này, hãy s d ng ch c năng Search đ tìm chúng.
Bạn có thể tham khảo nguồn tài liệu được dịch từ tiếng Anh tại đây:
http://mientayvn.com/Tai_lieu_da_dich.html
Gmail: frbwrthes@gmail.com
An toàn mạng:
Hệ phát hiện xâm nhập
AN NINH MẠNG
TS. Nguyễn Đại Thọ
Bộ môn Mạng & Truyền thông Máy tính
Khoa Công nghệ Thông tin
thond_cn@vnu.edu.vn
Thông báo
Thông tin Thông tin
bí mật bí mật
Đối thủ
Bản mã
truyền đi
Mã hóa Giải mã
Y = EK(X) X = DK(Y)
1 0 1 0
1 1 1 1
0 1 0 1
L1 R1
. . . . . .
Kn
+ F
Vòng n
Ln Rn
Ln+1 Rn+1
K1
vòng 1 giao hoán dịch vòng trái
K2
vòng 2 giao hoán dịch vòng trái
. . . . . .
Kn
vòng n giao hoán dịch vòng trái
mở rộng g/hoán
--- 48 bit
x Ki
--- 48 bit
hộp S
--- 32 bit
giao hoán
--- 32 bit
x
Li Ri
Nguyễn Đại Thọ An ninh Mạng 57
Phá mã DES
• Khóa 56 bit có 256 = 7,2 x 1016 giá trị có thể
• Phương pháp vét cạn tỏ ra không thực tế
• Tốc độ tính toán cao có thể phá được khóa
– 1997 : 70000 máy tính phá mã DES trong 96 ngày
– 1998 : Electronic Frontier Foundation (EFF) phá mã
DES bằng máy chuyên dụng (250000$) trong < 3 ngày
– 1999 : 100000 máy tính phá mã trong 22 giờ
• Vấn đề còn phải nhận biết được nguyên bản
• Thực tế DES vẫn được sử dụng không có vấn đề
• Nếu cần an ninh hơn : 3DES hay chuẩn mới AES
Nguyễn Đại Thọ An ninh Mạng 58
Hệ mã hóa 3DES
• Sử dụng 3 khóa và chạy 3 lần giải thuật DES
– Mã hóa : C = EK3[DK2[EK1[p]]]
– Giải mã : p = DK1[EK2[DK3[C]]]
• Độ dài khóa thực tế là 168 bit
– Không tồn tại K4 = 56 sao cho C = EK4(p)
• Vì sao 3 lần : tránh tấn công "gặp nhau ở giữa"
– C = EK2(EK1(p)) X = EK1(p) = DK2(C)
– Nếu biết một cặp (p, C)
• Mã hóa p với 256 khóa và giải mã C với 256 khóa
• So sánh tìm ra K1 và K2 tương ứng
• Kiểm tra lại với 1 cặp (p, C) mới; nếu OK thì K1 và K2 là khóa
C1 C2 CN
Mã hóa
C1 C2 CN
p1 p2 pN
Giải mã
C1 C2 CN
Mã hóa
C1 C2 CN
IV CN-1
p1 p2 pN
Giải mã
64 64 64
K Mã hóa K Mã hóa ... K Mã hóa
64 64 64
Chọn Bỏ đi Chọn Bỏ đi Chọn Bỏ đi
s bit 64-s bit s bit 64-s bit s bit 64-s bit
p1 p2 pM
s s s s s s
s
C1 C2 CM
64 64 64
K Mã hóa K Mã hóa ... K Mã hóa
64 s 64 64
Chọn Bỏ đi Chọn Bỏ đi Chọn Bỏ đi
s bit 64-s bit s bit 64-s bit s bit 64-s bit
s s s s s s
C1 C2 CM
p1 p2 pM
64 64 64
K Mã hóa K Mã hóa ... K Mã hóa
64 64 64
Chọn Bỏ đi Chọn Bỏ đi Chọn Bỏ đi
s bit 64-s bit s bit 64-s bit s bit 64-s bit
p1 s p2 s pM s
s s s s
C1 C2 CM
64 64 64
K Mã hóa K Mã hóa ... K Mã hóa
64 s 64 64
Chọn Bỏ đi Chọn Bỏ đi Chọn Bỏ đi
s bit 64-s bit s bit 64-s bit s bit 64-s bit
s
s s s
C1 C2 CM
p1 p2 pM
p1 p2 pN
C1 C2 CN
Mã hóa
Biến đếm Biến đếm + 1 Biến đếm + N - 1
C1 C2 CN
p1 p2 pN
Giải mã
Ted
Joy
Mike Alice
Ted
Joy
Mike Bob
Khóa riêng Khóa công khai
của Bob của Bob
Bản mã
truyền đi
Nguồn A Đích B
Nguồn
cặp khóa
Nguồn A Đích B
Nguồn
cặp khóa
Nguồn
cặp khóa
Nguồn
cặp khóa
Alice Bob
Mã hóa Giải mã
Mã hóa Giải mã
Bản
Nguyên mã Nguyên
bản bản
So sánh
So sánh
b) Xác thực thông báo và bảo mật; MAC gắn vào nguyên bản
So sánh
c) Xác thực thông báo và bảo mật; MAC gắn vào bản mã
(16 - 64 bits)
So sánh
a) Xác thực thông báo và bảo mật; mã băm gắn vào nguyên bản
So sánh
b) Xác thực thông báo; mã băm được mã hóa sử dụng phương pháp đối xứng
So sánh
c) Xác thực thông báo; mã băm được mã hóa sử dụng phương pháp khóa công khai
So sánh
d) Xác thực bằng mã hóa khóa công khai và bảo mật bằng mã hóa đối xứng
So sánh
e) Xác thực không cần mã hóa nhờ hai bên chia sẻ một giá trị bí mật chung
So sánh
f) Xác thực nhờ một giá trị bí mật chung; bảo mật bằng phương pháp đối xứng
Nguyễn Đại Thọ An ninh Mạng 118
Yêu cầu đối với hàm băm
• Có thể áp dụng với thông báo M có độ dài bất kỳ
• Tạo ra giá trị băm h có độ dài cố định
• H(M) dễ dàng tính được với bất kỳ M nào
• Từ h rất khó tìm được M sao cho H(M) = h
– Tính một chiều
• Từ M1 rất khó tìm được M2 sao cho H(M2) = H(M1)
– Tính chống xung đột yếu
• Rất khó tìm được (M1, M2) sao cho H(M1) = H(M2)
– Tính chống xung đột mạnh
Client
TGS
Mỗi dịch vụ
một lần
Server
dịch vụ
Mỗi phiên
dịch vụ
một lần
1
2
3
1. Yêu cầu thẻ cho TGS cục bộ
4
2. Thẻ cho TGS cục bộ
Phân hệ B
So sánh
AN TOÀN IP
AN TOÀN WEB
AN NINH MẠNG
2008
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
AN NINH MẠNG
hợp
2) Chủ tâm và một cách khách quan chấp
2) Công nghệ
soát
6) Các sự kiện bên ngoài, như là luật hay
thống, …
Bị Trojan, Spyware: ăn cắp thông tin, cài đặt
cổng hậu, …
Bị đánh cắp mật khẩu: dẫn đến bị giả mạo để
Remote-Access VPN
Intranet-based VPN
Extranet-based VPN
Lợi ích của mạng riêng ảo
Mở rộng vùng địa lý có thể kết nối được
Card Lan
Card Lan
Card Lan
Metric : 1
Password : saigon
→ Next → Finish.
B3 : Tại cửa sổ Routing and Remote
Access , click chuột phải lên máy 2 ,
chọn Properities → chọn tab IP →
Chọn ô Static address pool → Add →
Tại cửa sổ New Address Range , gõ
vào dãy số IP sau :
Start IP address : 172.16.1.200
Metric : 1
Password : hanoi
→ Next → Finish
B3 : Tại cửa sổ Routing and Remote
Access , click chuột phải lên máy 2 ,
chọn Properities → chọn tab IP →
Chọn ô Static address pool → Add →
Tại cửa sổ New Address Range , gõ
vào dãy số IP sau :
Start IP address : 172.16.2.200
Ẩn thân (Stealth)
bất thường
Chống Virus máy tính thâm nhập qua
cổng Internet : cho máy chủ diệt Virus
máy tính tại cổng Internet .
Chống Virus máy tính thâm nhập qua thư
• Kẻ ghi điểm
– Những kẻ muốn khẳng định mình qua những kiểu tấn
công mới, số lượng hệ thống chúng đã thâm nhập...
– Chúng thích đột nhập những nơi nổi tiếng, canh
phòng cẩn mật.
• Gián điệp
– Truy nhập để ăn cắp tài liệu để phục vụ những mục
đích khác nhau, để mua bán, trao đổi...
Chương 2: Kiến thức cơ sở
Quy tắc xây dựng hệ thống mạng an toàn
• Mật khẩu
– Biện pháp phổ biến và khá hiệu quả.
– Tuy nhiên mật khẩu không phải là biện pháp an toàn
tuyệt đối. Mật khẩu vẫn có thể mất cắp sau một thời
gian sử dụng.
• Xây dựng bức tường lửa
– Hệ thống bao gồm phần cứng và phần mềm đặt giữa
hệ thống và môi trường bên ngoài như Internet chẳng
hạn.
Quản lý rủi ro CNTT
• Quản lý rủi ro
– Một lĩnh vực quan trọng có tính quyết định thành công của
các dự án, đặc biệt đối với các dự án lớn và phức tạp như
các dự án ứng dụng CNTT trong DN.
• Quản lý rủi ro bao gồm:
– Phòng ngừa rủi ro (nhận dạng nguy cơ và đánh giá khả năng
xảy ra sự cố cùng thiệt hại, cơ chế để giám sát các nguy cơ
đó...)
– Xử lý hậu quả nếu xảy ra rủi ro (chiến lược xử lý, các biện
pháp và công cụ được áp dụng, phân bổ lực lượng để khắc
phục....).
“Phòng bệnh hơn chữa bệnh”, phòng ngừa rủi ro có
ý nghĩa quyết định, tuy nhiên, cũng phải sẵn sàng các
giải pháp và phương tiện để khắc phục nhanh và tốt
nhất hậu quả nếu chẳng may rủi ro vẫn xảy ra.
Warning !!!!!!!!
(Theo http://antoanthongtin.org
thứ hai ,ngày 29 tháng 6 năm 2009)
Chương 3: Các phần mềm có hại
(Malicious Softwares)
Virus máy tính là gì ?
• Sau khi lây nhiễm vào máy, virus có thể làm máy tính
hoạt động chậm, làm hỏng các file bị lây nhiễm, làm mất
dữ liệu, gây lỗi hệ thống…
• Virus cũng có thể sử dụng máy tính của nạn nhân để
quảng cáo bất hợp pháp, gửi thư rác, gây khó chịu cho
người sử dụng, gây mất an ninh thông tin, đánh cắp
thông tin cá nhân, thông tin tài khoản, số thẻ tín dụng…
• Một số loại virus còn lợi dụng máy tính của nạn nhân để
tạo mạng botnet (mạng máy tính ma), dùng để tấn công
hệ thống máy chủ, website khác…
Virus máy tính lây lan như thế nào?
• Cái tên của nó, Worm hay "Sâu Internet" cho ta hình
dung ra việc những con virus máy tính "bò" từ máy tính
này qua máy tính khác trên các "cành cây" Internet
• Để tự nhân bản, Worm sử dụng một số cơ chế mạng
thông thường, VD:
– E-mail: worm tự gửi bản copy của nó qua e-mail.
– Khả năng thực thi từ xa: thực thi bản copy của nó
trên một hệ thống khác.
– Khả năng đăng nhập từ xa: đăng nhập từ xa vào một
hê thống như một user, sau đó nó tự sử dụng lệnh để
copy bản thân nó vào hệ thống nạn nhân…
Sâu Internet – Worm
• Worm thường được cài thêm nhiều tính năng đặc biệt.
– khả năng định cùng một ngày giờ và đồng loạt từ các
máy nạn nhân (hàng triệu máy) tấn công vào một địa
chỉ nào đó.
– Mang theo các BackDoor thả lên máy nạn nhân, cho
phép chủ nhân của chúng truy nhập vào máy của nạn
nhân và làm đủ mọi thứ như ngồi trên máy đó một
cách bất hợp pháp.
• Ngày nay, khái niệm Worm đã được mở rộng, bao gồm:
– Các virus lây lan qua mạng chia sẻ ngang hàng.
– Các virus lây lan qua USB hay dịch vụ “chat”
– Các virus khai thác các lỗ hổng phần mềm để lây lan.
Các biện pháp phòng chống virus?
(System Hardening)
Gia cố hệ thống là gì?
• Gia cố hệ thống:
– Là tiến trình theo từng bước để làm cho hệ thống an
toàn nhằm chống lại các truy cập trái phép, đồng thời
giúp cho hệ thống đáng tin cậy hơn.
• Gia cố hệ thống gồm:
– Gia cố hệ điều hành.
– Gia cố hệ thống mạng.
– Gia cố ứng dụng.
Tại sao phải gia cố hệ thống?
• Nền tảng mật mã học khác đôi khi cũng được phân loại
như là mật mã học khóa đối xứng:
– Các hàm băm mật mã
• Sản sinh ra sự băm thông điệp.
• Rất dễ tính toán nhưng nó lại rất khó để đảo
ngược – giải mã (hàm một chiều)
• VD: MD5 và SHA-1 là các hàm băm nổi tiếng nhất.
– MAC (mã xác thực thông điệp)
• Là hàm băm có khóa, tương tự như các hàm băm,
ngoại trừ việc cần có khóa để tính toán việc băm.
• Được sử dụng rộng rãi để xác thực thông điệp.
Các phương pháp mã hóa
• Case study:
Alice và Bob trao đổi thông tin mật thông
qua hệ thống bưu chính. Alice cần gửi
một bức thư có nội dung cần giữ bí mật
tới cho Bob và sau đó nhận lại thư trả
lời (cũng cần giữ bí mật) từ Bob.
Các phương pháp mã hóa
Dùng khoá bí mật để ký một thông Tổ hợp khoá bí mật mình với khoá bí
báo;dùng khoá công khai để xác mật của người khác tạo ra khoá dùng
minh chữ ký. chung chỉ hai người biết.
Chương 7: Mạng riêng ảo
(Virtual Personal Network-VPN)
Giới thiệu
• Sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm
cố định với nhau thông qua một mạng công cộng như
Internet.
• Giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin
(Passenger Protocol) để truyền đi trên giao thức truyền tải
(Carier Protocol).
• Phân loại dựa trên Intranet hoặc Extranet.
– Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa
muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra
một VPN intranet (VPN nội bộ) để nối LAN với LAN.
– Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết
với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...),
họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối
LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên
một môi trường chung.
VPN điểm-nối-điểm (site-to-site VPN)
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính
qua máy chủ truy cập, tới router (tại đây giao thức mã hóa định tuyến GRE-
Generic Routing Encapsulation diễn ra), qua Tunnel để tới máy tính của văn
phòng từ xa.
VPN truy cập từ xa (Remote-Access VPN)
(Firewall)
CHƢƠNG 5
BẢO ĐẢM AN TOÀN MẠNG
1
Nội dung
2
V.1. Tổng quan về an ninh mạng
3
V.1.1. Khái niệm an ninh mạng
Mục tiêu của việc kết nối mạng là để nhiều người sử dụng,
từ những vị trí địa lý khác nhau có thể sử dụng chung tài
nguyên, trao đổi thông tin với nhau.
Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý
nên việc bảo vệ các tài nguyên thông tin trên mạng, tránh
sự mất mát, xâm phạm là cần thiết và cấp bách.
An ninh mạng có thể hiểu là cách bảo vệ, đảm bảo an
toàn cho tất cả các thành phần mạng bao gồm dữ liệu, thiết
bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng
được sử dụng tương ứng với một chính sách hoạt động
được ấn định với những người có thẩm quyền tương ứng.
4
An ninh mạng bao gồm:
Xác định chính xác các khả năng, nguy cơ xâm phạm
mạng, các sự cố rủi ro đối với thiết bị, dữ liệu trên mạng để
có các giải pháp phù hợp đảm bảo an toàn mạng.
Đánh giá nguy cơ tấn công của Hacker đến mạng, sự phát
tán virus...
5
Khó khăn của việc bảo đảm an ninh mạng
Một thách thức đối với an toàn mạng là xác định chính xác
cấp độ an toàn cần thiết cho việc điều khiển hệ thống và
các thành phần mạng.
Đánh giá các nguy cơ, các lỗ hổng khiến mạng có thể bị
xâm phạm thông qua cách tiếp cận có cấu trúc.
Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị,
nguy cơ virus, bọ gián điệp.., nguy cơ xoá, phá hoại CSDL,
ăn cắp mật khẩu,... nguy cơ đối với sự hoạt động của hệ
thống như nghẽn mạng, nhiễu điện tử...
Đánh giá được hết những nguy cơ ảnh hưởng tới an ninh
mạng thì mới có thể có được những biện pháp tốt nhất.
6
Hình thức tấn công an ninh
Về bản chất có thể phân loại các vi phạm thành hai loại vi
phạm thụ động và vi phạm chủ động.
Thụ động và chủ động được hiểu theo nghĩa có can thiệp
vào nội dung và luồng thông tin có bị tráo đổi hay không.
Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông
tin.
Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặc
thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm
mục đích phá hoại.
Các hành động vi phạm thụ động thường khó có thể phát
hiện nhưng có thể ngăn chặn hiệu quả. Trái lại vi phạm chủ
động rất dễ phát hiện nhưng lại khó ngăn chặn.
7
V.1.2. Các đặc trƣng kỹ thuật của an toàn mạng
8
a. Tính xác thực (Authentification)
Cơ chế
Kiểm trakiểm
tính tra thực
xáctính xáccủathực củathực
một phương
các thể giao thức bảo
tiếp trên
mật dựaMột
mạng. vàothực
3 môthể thể sau:
hìnhcóchính là một người sử dụng, một
chương
Đối tượng
trìnhcần kiểmtính,
máy hoặc
tra cần một
phải thiết
cung cấpbị phầnthông
những cứng.
tin trước, ví
dụ như Password, hoặc mã số thông số cá nhân PIN (Personal
Các hoạt động
Information kiểm tra tính xác thực được đánh giá là
Number).
Kiểm
quan trọng nhất
tra dựa vàotrong
mô hình hoạtthông
cácnhững độngtincủa một
đã có, đốiphương
tượng kiểmthức
tra
bảocần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như
mật.
Private Key, hoặc số thẻ tín dụng.
Kiểm
Một tra dựathông
hệ thống hình những
vào môthường phảithông
thựctin
hiện định tính
xác kiểm duy nhất,
tra tính xác
đối tượng kiểm tra cần phải có những thông tin để định danh tính
thực
duycủanhấtmột thực víthể
của mình dụ trước thực
khi qua
như thông thểnói,
giọng đó dấu
thựcvânhiện kết
tay, chữ
nốikývới
... hệ thống.
Có thể phân loại bảo mật trên VPN theo các cách sau: mật
khẩu truyền thống hay mật khẩu một lần; xác thực thông
qua các giao thức (PAP, CHAP, RADIUS…) hay phần cứng
(các loại thẻ card: smart card, token card, PC card), nhận
diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc)
9
Một số mức xác thực
password
password One way
function
Level 0 Level 1
Các hàm này được đưa ra nhằm mục đích “xáo trộn” thông
tin đầu vào sao cho thông tin đầu ra không thể được phục
hồi thành thông tin ban đầu.
Hàm exclusive-OR (XOR):
C = b1 b2 b3 …… bn
Tuy nhiên hàm XOR có thể bị bẻ khóa dễ dàng.
11
Thuật toán “Tiêu hoá” MD5
Dùng cho chứng nhận thông tin đòi hỏi tính bảo mật cao.
Làm thế nào chúng ta biết được thông tin gửi đến không bị
thay đổi?
message
MD5
=?
digest MD5
12
Xác thực mức cao - tạo chữ ký số
Hàm băm
Khóa bí mật
Bản
Mã hóa Chữ ký số
tóm lược
Gắn với
thông điệp dữ liệu
13
Thẩm định chữ ký số
Hàm băm
Bản Bản
Giải mã được?
tóm lược tóm lược
14
b. Tính khả dụng (Availability)
Tính khả dụng là đặc tính mà thông tin trên mạng được các
thực thể hợp pháp tiếp cận và sử dụng theo yêu cầu, khi
cần thiết bất cứ lúc nào, trong hoàn cảnh nào.
Tính khả dụng sử dụng tỷ lệ giữa thời gian hệ thống được
sử dụng bình thường với thời gian quá trình hoạt động.
Tính khả dụng cần đáp ứng những yêu cầu sau:
Nhận biết và phân biệt thực thể
Khống chế tiếp cận (bao gồm cả việc khống chế tự tiếp cận và
khống chế tiếp cận cưỡng bức)
Khống chế lưu lượng (chống tắc nghẽn..)
Khống chế chọn đường (cho phép chọn đường nhánh, mạch
nối ổn định, tin cậy)
Giám sát tung tích (tất cả các sự kiện phát sinh trong hệ thống
được lưu giữ để phân tích nguyên nhân, kịp thời dùng các
biện pháp tương ứng).
15
c. Tính bảo mật (Confidentialy)
Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các thực
thể hay quá trình không được uỷ quyền biết hoặc không để
cho các đối tượng đó lợi dụng.
Thông tin chỉ cho phép thực thể được uỷ quyền sử dụng.
Kỹ thuật bảo mật thường là phòng ngừa dò la thu thập
(làm cho đối thủ không thể dò la thu thập được thông tin),
phòng ngừa bức xạ (phòng ngừa những tin tức bị bức xạ ra
ngoài bằng nhiều đường khác nhau, tăng cường bảo mật
thông tin (dưới sự khống chế của khoá mật mã), bảo mật
vật lý (sử dụng các phương pháp vật lý để đảm bảo tin tức
không bị tiết lộ).
16
c. Tính bảo mật bao gồm:
Giữ bí mật
“Nếu chúng ta không nói cho ai biết các số điện thoại
Thiết
truylập
cậpcơthìcấusẽkiểm tra có
không lọc tin
và các xâm nhập qua các số điện
thoại
“Chúng này”
tôi thiết lập các cơ chế lọc gói tin ngay tại các
gateway,
Nhân viên không
trong cho
cơ phépđều
quan các biết cậpsố
truycác telnet
điệnhay ftp”này.
thoại
Mã hóa
Nếu có một modem trong cơ quan cho phép kết nối từ
“Chúng
Các
bên tôithì
hacker
ngoài mã hoá
cósao? mọitất
thể thử thông tin” số có thể.
cả các
Nếuchế
Cơ thônglọctintinlàcó giá trịbảo
cóđảm việc tất
thì cho sử cả
dụng
cáchệtrường
thống máy
hợp
tính mạnh, đắt tiền để bẻ khóa là hoàn toàn có thể xảy
không?
ra.
Nếu khoá mật mã bị mất ở đâu đó thì sao?
Giải mã sẽ mất nhiều thời gian và công sức, gây khó
khăn nhất định cho công việc chung.
17
d. Tính toàn vẹn (Integrity)
Mộtđặc
Là số phương pháp bảo
tính khi thông đảmmạng
tin trên chưavẹn
tính toàn được uỷ quyền
thông tin: thì
Giaothể
không tiếnan
thức toànbiến
hành đổi được.
có thể kiểm tra thông tin bị sao chép,
sửa đổi. Nếu phát hiện thì thông tin đó sẽ bị vô hiệu hoá.
Nghĩa là: thông tin trên mạng khi đang lưu giữ hoặc trong
Phương
quá trình truyền
phápdẫn đảm
phát hiện
bảosai và sửa
không bị xoá Phương
sai.bỏ, sửa đổi, giả
pháp
mạo,sửalàm sai rối
mãloạn đơn
hoá trật tự,giản
phátnhất xenthường
lại, và vào mộtdùng
cáchlà ngẫu
phép
kiểm tra chẵn - lẻ.
nhiên hoặc cố ý và những sự phá hoại khác.
Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc
Những
và cản tố chủ tin.
trở truyền
nhân yếu ảnh hưởng tới sự toàn vẹn thông
tin trên mạng gồm: sự cố thiết bị, sai mã, bị tác động của
Chữ ký điện tử: bảo đảm tính xác thực của thông tin.
con người, virus máy tính…
Yêu cầu cơ quan quản lý hoặc trung gian chứng minh
tính chân thực của thông tin.
18
e. Tính khống chế (Accountlability)
19
f. Tính không thể chối cãi (Nonreputation)
Trong quá trình giao lưu tin tức trên mạng, xác nhận tính
chân thực đồng nhất của những thực thể tham gia, tức là
tất cả các thực thể tham gia không thể chối bỏ hoặc phủ
nhận những thao tác và cam kết đã được thực hiện.
20
V.1.3. Các lỗ hổng và điểm yếu của mạng
Các Kháilỗniệm:
a. loại hổng bảo mật được chia như sau:
Lỗ hổng Cácloại
lỗ hổng mật thực
bảophép
C: cho hiệnlàcác
hệ thống cácphương
điểm yếuthức
có tấn
thể
công
tạo ra theo kiểu từ
sự ngưng trệ chối dịch vụ,
của dịch vụ thêm
DoS quyền
(Dinal đối
of Services).
với người
Mức nguy hiểm thấp, chỉ ảnh hưởng chất lượng dịch vụ,
sử
có dụng
thể làmhoặc cho trệ,
ngưng phép gián truy nhập
cácđoạn không
hệ thống, hợp phá
không pháphỏng
vào
hệ
dữthống.
liệu hoặc chiếm quyền truy nhập.
Lổ hổng lỗ hổng
Các loại tồn phép
B: cho tại trong
người dịchdụng
các sử vụ như
có Sendmail,
thêm các
quyền Ftp
Web, hệ và
trên ... thống mà không
trong hệ điều cầnhành
thực mạng
hiện kiểm
nhưtratrong
tính
hợp lệ. Mức
Windows NT,độWindows
nguy hiểm 95,trung bình,
UNIX; những
hoặc lỗ hổng
trong này
các ứng
thường có trong các ứng dụng trên hệ thống, có thể dẫn
dụng.
đến hoặc lộ thông tin yêu cầu bảo mật.
Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng
ở ngoài cho thể truy nhập vào hệ thống bất hợp pháp. Lỗ
hổng rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống.
21
b. Các phƣơng thức tấn công mạng:
22
V.1.4. Các biện pháp phát hiện hệ thống bị tấn công
Không có một hệ thống nào đảm bảo an toàn tuyệt đối, mỗi
một dịch vụ đều có những lỗ hổng bảo mật tiềm tàng.
Người quản trị hệ thống không những phải nghiên cứu, xác
định các lỗ hổng bảo mật mà còn phải thực hiện các biện
pháp kiểm tra hệ thống có dấu hiệu tấn công hay không.
Một số biện pháp cụ thể:
a. Kiểm tra các dấu hiệu hệ thống bị tấn công:
b. Kiểm tra các
Hệ thống tài khoản
thường người
bị treo hoặcdùng mới lạ:
bị Crash bằng những thông
Đặc
c. báo
Kiểmlỗi
biệt không
khi
tra sự rõ ràng.
của
IDxuất tài khoản
hiện đó tin
các tập bằnglạ: không.
Người
Khó xácquảnđịnh nguyên
trị hệ thốngnhân
nên có thiếu
do thói thông
quen đặttin
tênliên
tậpquan.
tin
Trước
theo nguyên tắcđịnh
tiên, xác nhấtcác
địnhnguyên
để dễ nhân
dàng có phải
phát hiệnphần
tập cứng
tin
hay không, nếu không phải hãy nghĩ đến khả năng máy bị
lạ.
tấn công.
23
Các biện pháp:
24
V.II. Một số phƣơng thức tấn công mạng:
1. Scanner
2. Bẻ khoá (Password Cracker)
3. Trojans
4. Sniffer
25
V.2.1. Scanner
Dựaphá
Kẻ những
vàohoạt sử dụng
thôngchương những
tin này, trình kẻ tấn công
Scanner tự động thểsoát
có rà tìm
ra những
và có thể điểm yếu trên
phát hiện hệ thống.
ra những điểm yếu lỗ hổng về bảo mật
một Server
Chương
trên ở xa. có thể hoạt động được trong môi
trình Scanner
trường TCP/IP, hệ điều hành UNIX, và các máy tính tương
thích
Scanner một dòng
IBM,làhoặc chươngmáytrình trên một trạm làm việc tại cục
Macintosh.
bộ hoặc trên một trạm ở xa.
Các chương trình Scanner cung cấp thông tin về khả năng
bảo mật
Các yếu kém
chương trìnhcủa một hệcóthống
Scanner mạng.
thể rà soát và phát hiện các
số hiệu thông
Những cổng (Port)
tin nàysử
là dụng
hết sức ích thức
hữugiao
trong và cần thiết đối của
TCP/UDP với
ngườivận
tầng quản trị mạng,
chuyển nhưng
và phát hiệnhết sức nguy
những hiểm
dịch vụ sử khi
dụngnhững
trên
kẻ phá
hệ hoại
thống đó.có thông tin này.
Nó ghi lại những đáp ứng (Response) của hệ thống ở xa
tương ứng với các dịch vụ mà nó phát hiện ra.
26
V.2.2. Bẻ khoá (Password Cracker)
Một
Trojan có nhiều
chương loạiTrojan
trình chạy không hợp lệ trên một hệ
khác nhau:
thống vớilàvai
- Có thể trò như
chương mộtthực
trình chương chứchợp
hiện trình pháp.
năng ẩn dấu
- Cóthực
Nó thể hiện
là một
các chức
tiện ích năng
tạo chỉkhông hợpfile
mục cho trong thưc mục
pháp.
- Một đoạn
Thông thường,
mã phá khoácó thể chạy được là do các chương
Trojans
- Có hợp
trình một đã
thể làpháp bị thaytrình
chương đổi mã bằng
xử lý văn những bất hợp
mã một
bản hoặc tiện
ích mạng...
pháp.
Trojanlàcó
Virus mộtthểloạilâyđiển
lan hình nhiều
trên của cácmôi trường
chương hệ Trojans,
trình điều hànhvì
khác nhau. Đặc biệt thường lây lan qua một số dịch vụ phổ
biếnchương
các như Mail, trình virushoặc
FTP... dấu các
che qua các đoạn trong những
mã chương
tiện ích, trình
chương trên sử
miễn phítrình mạng dụng hợp pháp.
Internet.
Hầuchương
Khi hết cáctrình
chương
hoạt trình
động FTP
thì những đang
Serverđoạn mã sửẩn dụng
sẽ thựclà
những
hiện phiên
một bản cũ,
số chức cómà
năng nguy cơ tiềm
người tàng không
sử dụng lây lanbiết.
Trojans.
28
V.2.4. Sniffer
theo nghĩa
Các chương
Sniffer trìnhđen là ”đánh
Sniffer hoặchơi”
cáchoặc
thiết”ngửi”.
bị Sniffer có thể
”ngửi” các giao thức TCP, UDP, IPX .. ở tầng mạng.
Là các công cụ (có thể là phần cứng hoặc phần mềm) "tóm
Vì vậy
bắt" có thể
cácnóthông tin lưu bắt cáctrên
tóm chuyển gói mạng
tin IP đểDatagram và
"đánh hơi"
Ethernet
những Packet.
thông tin có giá trị trao đổi trên mạng.
Mặt khác, giao thức ở tầng IP được định nghĩa tường minh
Hoạt động của Sniffer cũng giống như các chương trình
và cấu trúc các trường Header rõ ràng, nên việc giải mã
"tóm bắt" các thông tin gõ từ bàn phím (Key Capture).
các gói tin không khó khăn lắm.
Tuy
Mục nhiên các các
đích của tiện chương
ích Key trình
Capture chỉ thực
Sniffer hiện
là thiết chếmột
lậptrên độ
trạm
dùng làm việc(Promiscuous)
chung cụ thể, Sniffertrên
có thể
cácbắt được
Card các Ethernet,
mạng thông tin
trao đổi gói
nơi các giữatinnhiều trạm
trao đổi vàlàm việc
"tóm vớicác
bắt" gói tin tại đây.
nhau.
29
V.3. Biện pháp đảm bảo an ninh mạng
Thực tế không có biện pháp hữu hiệu nào đảm bảo an toàn
tuyệt đối cho mạng.
Hệ thống bảo vệ dù có chắc chắn đến đâu thì cũng có lúc bị
vô hiệu hoá bởi những kẻ phá hoại điêu luyện.
Có nhiều biện pháp đảm bảo an ninh mạng.
30
V.3.1. Bảo vệ thông tin bằng mật mã (Cryptography)
Mật mã là quá trình chuyển đối thông tin gốc sang dạng mã
hóa (Encryption).
Có hai cách tiếp cận để bảo vệ thông tin bằng mật mã:
Theo đường truyền (Link Oriented Security)
Từ mút-đến-mút (End-to-End).
Cách thứ nhất:
Đặc thứ
-Cách điểm:hai:thông tin được mã hoá để bảo vệ trên đường
truyền giữa thông
Đặc điểm: 2 nút tin
khôngđược quanbảotâmvệ đến
trên nguồn và đíchđicủa
toàn đường từ
thông
nguồntintớiđó.
đích. Thông tin được mã hoá ngay khi mới được
-tạo
Ưu và chỉ được
ra điểm: là có giải
thể mã mậtđến
bí khi đượcđích.
luồng thông tin giữa
nguồn
Ưu điểm:và làđích và có
người sử thể
dụng ngăn chặn
có thể được
dùng nó toàn bộ các
mà không vi
ảnh
phạm
hưởngnhằmgì đếnphân tíchsử
người thông
dụngtin trên mạng.
khác.
Nhượcđiểm:
-Nhược điểm:là là
chỉvìcó
thông chỉ được
tin người
dữ liệu sử mã
dụng hoá
được đường
trênmã hoá,
truyền nêntin
còn thông đòiđiều
hỏi các
khiển phảigiữ
nútphải được bảo vệ
nguyên để tốt.
có thể xử lý tại
các node.
31
Quá trình mã hóa
Thông tin ban đầu (plaintext) cần được thay đổi (mật mã
hoá - encryption) thành thông tin được mã hoá (cyphertext).
Một cơ chế mật mã bằng khóa mật mã được sử dụng để
mật mã hoá thông tin.
Encryption engine
Sau đó, cơ chế giải mã (decryption) bằng khóa giải mã sẽ
giải mã thông tin mã hoá thành thông tin ban đầu.
Nếu khóa mật mã và khoá giải mã giống nhau
plaintext thì đây là hệ
cyphertext
thống mật mã dùng khoá đối xứng (symmetric key). Ngoài
ra còn có hệ thống mật mã dùng khóa không đối xứng
(asymmetric key)
32
Một số giải thuật mật mã kinh điển
33
V.3.2. Bức tƣờng lửa (Firewall)
34
Ƣu điểm, nhƣợc điểm của bức tƣờng lửa
a. Ưu điểm:
b. Nhược
Bảo vệđiểm
mạng nội bộ. Cho phép người quản trị mạng xác
định một điểm khống chế ngăn chặn để phòng ngừa tin
Hạn
tặc,chế dịchhoại,
kẻ phá vụ có vì đểmạng
ích,nhập
xâm nângnội
cao tính an toàn mạng,
bộ.
người quản trị hạn chế hoặc đóng nhiều dịch vụ có ích của
Cấm không cho các loại dịch vụ kém an toàn ra vào mạng,
mạng.
đồng thời chống trả sự công kích đến từ các đường khác.
Không phòng hộ được sự tấn công của kẻ phá hoại trong
Tính an toàn tập trung, tính an toàn mạng được củng cố
mạng nộithống
trên hệ bộ. Firewall mà không phải phân bố trên tất cả
máy chủ
Không thểcủa mạng.
ngăn chăn sự tấn công thông qua những con
đường
Bảo vệ khác ngoài
những bứcvụ
dịch tường lửa. trong mạng. Firewall dễ
yếu kém
dàng giám
Firewall sát tính
Internet khôngan toàn mạngtoàn
thể hoàn và phát
phòng cảnh bảo.
ra ngừa được sự
phát tán phần
Firewall mềm
có thể hoặc
giảm tệp đã
đi vấn đềnhiễm gian địa chỉ và che
khôngvirus.
dấu cấu trúc của mạng nội bộ.
Tăng cường tính bảo mật, nhấn mạnh quyền sở hữu.
Firewall được sử dụng để quản lý lưu lượng từ mạng ra
ngoài, xây dựng phương án chống nghẽn.
35
Lọc gói tin tại firewall
36
V.3.3. Các loại Firewall
37
V.3.4. Kỹ thuật Firewall
Ưuhệ
Là điểm củaFirewall
thống kiểu Firewall loại các
thực hiện này kết nối thay
là không chức
cócho năng
các kết
chuyển
nối trực tiếp
tiếp các gói khách
từ máy tin IP, và thể điểu khiển một cách chi
yêucócầu.
tiết hơn các kết nối thông qua Firewall. Cung cấp nhiều
công cụ
Proxy hoạt
chođộng
phépdựaghi lại
trêncácphần trình kết
quámềm. Khi nối.
một Các
kết gói
nối tin
từ
chuyển
một ngườiquasửFirewall
dụng nào đềuđóđược kiểm sử
đến mạng kỹ lưỡng
tra dụng Proxyvới
thì các
kết
quy tắc trên Firewall, điều này phải trả giá cho tốc độ xử lý.
nối đó sẽ bị chặn lại, sau đó Proxy sẽ kiểm tra các trường
có mộtquan
Khiliên chủ yêu
máy đến nhận các
cầu kếtgói tin từ mạng ngoài rồi chuyển
nối.
chúng vào mạng trong, sẽ tạo ra một lỗ hổng cho các kẻ
Nếu hoại kiểm
phá việc (Hacker) nhậpcótừnghĩa
xâmcông,
tra thành mạng ngoài
là các trường mạng
vào thông
trong.
tin đáp ứng được các quy tắc đã đặt ra, nó sẽ tạo một cầu
Nhược
kết điểmhai
nối giữa của kiểuvới
node nhau. này là hoạt động dựa trên
Firewall
trình ứng dụng uỷ quyền (Proxy).
39
V.4. Mạng riêng ảo (VPN-Virtual Private Network)
1. Khái niệm
2. Kiến trúc của mạng riêng ảo
3. Những ưu điểm của mạng VPN
4. Giao thức PPTP (Point to Point Tunnelling
Protocol)
5. Giao thức L2F (Layer Two Forwarding Protocol)
6. Giao thức L2TP (Layer Two Tunnelling Protocol)
7. Giao thức IPSEC
40
V.4.1. Khái niệm mạng riêng ảo
Mạng máy tính ban đầu được triển khai với 2 kỹ thuật
chính: đường thuê riêng (Leased Line) cho các kết nối cố
định và đường quay số (Dial-up) cho các kết nối không
thường xuyên.
Các mạng này có tính bảo mật cao, nhưng khi lưu lượng
thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình thành
một kiểu mạng dữ liệu mới, mạng riêng ảo.
Mạng riêng ảo được xây dựng trên các kênh logic có tính
“ảo”. Xu hướng hội tụ của các mạng trên nền NGN tạo điều
kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch
vụ mạng riêng ảo.
Mạng riêng ảo là một mạng máy tính, trong đó các điểm
của khách hàng được kết nối với nhau trên một cơ sở hạ
tầng chia sẻ với cùng một chính sách truy nhập và bảo mật
như trong mạng riêng.
41
V.4.1. Khái niệm mạng riêng ảo
Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo
VPN, đó là:
Đường hầm (Tunnelling) cho phép làm “ảo” một mạng
riêng.
Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang
tính riêng tư.
Đường hầm:
Là kết nối giữa 2 điểm cuối khi cần thiết.
Khi kết nối này sẽ được giải phóng khi không truyền dữ liệu
dành băng thông cho các kết nối khác.
Kết nối này mang tính logic “ảo” không phụ thuộc vào cấu trúc
vật lý của mạng.
Nó che giấu các các thiết bị như bộ định tuyến, chuyển mạch
và trong suốt đối với người dùng.
44
Cấu trúc một đƣờng hầm
45
Đƣờng hầm trong các cấu trúc LAN và Client
46
Cách thức tạo đƣờng hầm
Đường hầm được tạo ra bằng cách đóng gói các gói tin
(Encapsulate) để truyền qua Internet. Đóng gói có thể mã hoá
gói gốc và thêm vào tiêu đề IP mới cho gói. Tại điểm cuối, dạng
gói tin tạo đường hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu.
Đường hầm có 2 loại: Thường trực (Permanent) và tạm thời
(Temporary hay Dynamic).
Thông thường các mạng riêng ảo VPN sử dụng dạng đường
hầm động. Đường hầm động rất hiệu quả cho VPN, vì khi không
có nhu cầu trao đổi thông tin thì được huỷ bỏ.
Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN- to - LAN
tại các cổng bảo mật (Security Gateway), khi đó người dùng trên
các LAN có thể sự dụng đường hầm này. Còn đối với trường
hợp Client- to - LAN, thì Client phải khởi tạo việc xây dựng
đường hầm trên máy người dùng để thông tin với cổng bảo mật
để đến mạng LAN đích.
47
V.4.3. Những ƣu điểm của mạng VPN
Chi phí:
Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê
kênh
Truy riêng
nhập hoặc các cuộc gọi đường dài bằng chi phí
dễ dàng:
cuộc gọi nội hạt.
Người sử dụng trên VPN, ngoài việc sử dụng các tài
Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử
nguyên trên VPN còn được sử dụng các dịch vụ khác
dụng VPN vừa truy nhập Internet.
của Internet mà không cần quan tâm đến phần phức tạp
ở tầngnghệ
Công dưới.VPN cho phép sử dụng băng thông đạt hiệu
quả cao nhất. Giảm nhiều chi phí quản lý, bảo trì hệ
thống.
48
V.4.4. Giao thức PPTP (Point to Point Tunnelling Protocol)
PPP là giao thức tầng 2-Data link, truy nhập mạng WAN
như HDLC, SDLC, X.25, Frame Relay, Dial on Demand.
PPP có thể sử dụng cho nhiều giao thức lớp trên như
TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP -
Network Control Protocol.
PPP sử dụng Link Control Protocol để thiết lập và điều
khiển các kết nối. PPP sử dụng giao thức xác thực PAP
hoặc CHAP.
PPTP dựa trên PPP để thực thi các chức năng sau:
Thiết lập và kết thúc kết nối vât lý.
Xác thực người dùng
Tạo gói dữ liệu PPP.
49
V.4.5. Giao thức L2F (Layer Two Forwarding Protocol)
Tuy nhiên
Giao L2FP định
thức L2TP nghĩa
do hãng thứctriển,
giao phát
Cisco tạo tunnel
dùng đểriêng của
truyền
nó, dựa
các khungtrên cơ cấu qua
SLIP/PPP củaInternet.
L2F. CơL2F cấuhoạt tiếp ở
nàyđộng tụctầng
định
2
nghĩa Link)
(Data việc trong
truyềnmôL2TP OSI.các mạng chuyển mạch gói
hình qua
như X25, Frame Relay và ATM.
Cũng như PPTP, L2F được thiết kế như là một giao thức
Mặc dù sử
Tunnel, nhiều
dụng cácthực
cách định hiện đóngtập
nghĩaL2TP góitrung việccủa
vàoriêng
dữ liệu sử
dụng
nó để giao thức
truyền cácUDP trên
gói tin mạng2.IP, ta vẫn có khả năng thiết
ở mức
lập một hệ thống L2TP không sử dụng IP.
Một sự khác nhau giữa PPTP và L2F là tạo Tunnel trong
Một mạng sử dụng ATM hoặc Frame Relay cũng có thể
giao thức L2F không phụ thuộc vào IP và GRE, điều này
được triển khai cho các tunnel L2TP.
cho phép nó làm việc với các môi trường vật lý khác nhau.
Giao thức L2TP được sử dụng để xác thực người sử dụng
Cũng như PPTP, L2F sử dụng chức năng của PPP để cung
Dial-up và Tunnel các kết nối SLIP/PPP qua Internet. Vì
cấp một kết nối truy cập từ xa và kết nối này có thể được đi
L2TPmột
qua là giao
tunnelthức lớpqua
thông 2, nên hỗ trợ
Internet tới người
đểcho đích. sử dụng các
khả năng mềm dẻo như PPTP trong việc truyền tải các giao
thức không phải là IP, ví dụ như là IPX và NETBEUI.
50
V.4.7. Giao thức IPSEC
IPSec bảo đảm tính tin cậy, tính toàn vẹn và tính xác thực truyền
dữ liệu qua mạng IP công cộng. IPSec định nghĩa 2 loại tiêu đề
cho gói IP điều khiển quá trình xác thực và mã hóa:
Một là xác thực tiêu đề Authentication Header (AH), hai là đóng
gói bảo mật tải Encapsulating Security Payload (ESP).
Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ
liệu.
Đóng gói bảo mật tải ESP thực hiện mã hóa và đảm bảo tính
toàn vẹn cho gói dữ liệu nhưng không bảo vệ tiêu đề cho gói IP
như AH.
IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa
thuận liên kết bảo mật SA giữa hai thực thể và trao đổi các thông
tin khóa. IKE cần được sử dụng phần lớn các ứng dụng thực tế
để đem lại thông tin liên lạc an toàn trên diện rộng.
51
Thanksss
52
Chapter 4 – Network Security
1
Introduction
• Open Access :
– An open security model is the easiest to implement .
– Simple passwords and server security become the foundation of this
model.
– If encryption is used, it is implemented by individual users or on servers.
– LANs, which are not connected to the Internet or public WANs, are more
likely to implement this type of model.
Học viện mạng Bach Khoa - Website: www.bkacad.com
Open versus Closed Networks
• Restrictive Access:
– A restrictive security model is more difficult to implement .
– Firewalls and identity servers become the foundation of this model.
– LANs, which are connected to the Internet or public WANs, are
more likely to implement this type of model.
• Closed Access:
– A closed security model is most difficult to implement. All available security
measures are implemented in this design.
– This model assumes that the protected assets are premium, all users are
not trustworthy, and that threats are frequent.
– Network security departments must clarify that they only implement the
policy, which is designed, written, and approved by the corporation.
Học viện mạng Bach Khoa - Website: www.bkacad.com
Developing a Security Policy
• Hardware
• Environmental
• Electrical
• Maintenance
• Structured threats come from hackers that are more highly motivated and
technically competent.
• These people know system vulnerabilities, and can understand and develop
exploit-code and scripts.
• They understand, develop, and use sophisticated hacking techniques to
penetrate unsuspecting businesses.
Học viện mạng Bach Khoa - Website: www.bkacad.com
External threats
• Internal threats occur when someone has authorized access to the network
with either an account on a server or physical access to the network.
• The easiest hack involves no computer skill at all. If an intruder can trick
a member of an organization into giving over valuable information, such
as the location of files or passwords, the process of hacking is made
much easier. This type of attack is called social engineering, and it preys
on personal vulnerabilities that can be discovered by talented attackers.
Social Engineering
• Phishing is a type of social engineering attack that involves using e-mail or other types of
messages in an attempt to trick others into providing sensitive information, such as credit
card numbers or passwords. The phisher masquerades as a trusted party that has a
seemingly legitimate need for the sensitive information.
• Phishing attacks can be prevented by educating users and implementing reporting
guidelines when they receive suspicious e-mail. Administrators can also block access to
certain web sites and configure filters that block suspicious e-mail.
Types of Network Attacks
Types of Network Attacks
• Animation 4.1.3.1
• Animation 4.1.3.2
• Reconnaissance is the unauthorized discovery and mapping of systems,
services, or vulnerabilities. It is also known as information gathering and,
in most cases, it precedes another type of attack.
Reconaissance Attacks
• Network snooping and packet sniffing are common terms for
eavesdropping.
– Eavesdropping is listening in to a conversation, spying, prying,
or snooping.
• Types of Eavesdropping
– A common method for eavesdropping on communications is to
capture TCP/IP or other protocol packets and decode the
contents using a protocol analyzer or similar utility
– 2 common uses of eavesdropping are as follows:
1. Information gathering
2. Information theft
• Tools Used to Perform Eavesdropping
– Network or protocol analyzers
– Packet capturing utilities on networked computers
• Methods to Counteract Attacks
– Implementing and enforcing a policy directive that forbids the
use of protocols with known susceptibilities to eavesdropping
– Using encryption that meets the data security needs of the
organization without imposing an excessive burden on the
system resources or the users
– Using switched networks
• The goal of a trust exploitation attack is to compromise a trusted host, using it to stage
attacks on other hosts in a network. If a host in a network of a company is protected by a
firewall (inside host), but is accessible to a trusted host outside the firewall (outside host),
the inside host can be attacked through the trusted outside host.
• Trust exploitation-based attacks can be mitigated through tight constraints on trust levels
within a network, for example, private VLANs can be deployed in public-service
segments where multiple public servers are available.
• Systems on the outside of a firewall should never be absolutely trusted by systems on
the inside of a firewall. Such trust should be limited to specific protocols and should be
authenticated by something other than an IP address, where possible.
• DoS attacks are the most publicized form of attack and also among the most
difficult to eliminate. But because of their ease of implementation and
potentially significant damage, DoS attacks deserve special attention from
security administrators.
• DoS and DDoS attacks can be mitigated by implementing special anti-spoof
and anti-DoS access control lists. ISPs can also implement traffic rate, limiting
the amount of nonessential traffic that crosses network segments. A common
example is to limit the amount of ICMP traffic that is allowed into a network,
because this traffic is used only for diagnostic purposes.
• A ping of death attack gained popularity back in the late 1990s. It took
advantage of vulnerabilities in older operating systems.
• This attack modified the IP portion of a ping packet header to indicate that
there is more data in the packet than there actually was.
• A ping is normally 64 to 84 bytes, while a ping of death could be up to 65,535
bytes. Sending a ping of this size may crash an older target computer.
• Most networks are no longer susceptible to this type of attack.
• A SYN flood attack exploits the TCP three-way handshake. It involves sending multiple
SYN requests (1,000+) to a targeted server. The server replies with the usual SYN-ACK
response, but the malicious host never responds with the final ACK to complete the
handshake. This ties up the server until it eventually runs out of resources and cannot
respond to a valid host request.
• Other types of DoS attacks include:
– E-mail bombs - Programs send bulk e-mails to individuals, lists, or domains,
monopolizing e-mail services.
– Malicious applets - These attacks are Java, JavaScript, or ActiveX programs that
cause destruction or tie up computer resources.
• Distributed DoS (DDoS) attacks are designed to saturate network links with illegitimate
data. This data can overwhelm an Internet link, causing legitimate traffic to be dropped.
• DDoS uses attack methods similar to standard DoS attacks, but operates on a much
larger scale. Typically, hundreds or thousands of attack points attempt to overwhelm a
target.
• Examples of DDoS attacks include the following:
– SMURF attack
– Tribe flood network (TFN)
– Stacheldraht
– MyDoom
Smurf Attack
• The primary vulnerabilities for end-user workstations are worm, virus, and
Trojan horse attacks.
– A worm executes code and installs copies of itself in the memory of the
infected computer, which can, in turn, infect other hosts.
– A virus is malicious software that is attached to another program for the
purpose of executing a particular unwanted function on a workstation.
– A Trojan horse is different from a worm or virus only in that the entire
application was written to look like something else, when in fact it is an
attack tool.
Worms Attack
Worms Attack
• The following are the recommended steps for worm attack mitigation:
– Containment -Contain the spread of the worm in and within the network.
Compartmentalize uninfected parts of the network.
– Inoculation -Start patching all systems and, if possible, scanning for
vulnerable systems.
– Quarantine -Track down each infected machine inside the network.
Disconnect, remove, or block infected machines from the network.
– Treatment -Clean and patch each infected system. Some worms may
require complete core system reinstallations to clean the system.
• When a new operating system is installed on a computer, the security settings are set to
the default values. In most cases, this level of security is inadequate.
• There are some simple steps that should be taken that apply to most operating systems:
– Default usernames and passwords should be changed immediately.
– Access to system resources should be restricted to only the individuals that are
authorized to use those resources.
– Any unnecessary services and applications should be turned off and uninstalled,
when possible.
• Install host antivirus software to protect against known viruses. Antivirus software can
detect most viruses and many Trojan horse applications, and prevent them from
spreading in the network.
• Antivirus software does this in two ways:
– It scans files, comparing their contents to known viruses in a virus dictionary.
Matches are flagged in a manner defined by the end user.
– It monitors suspicious processes running on a host that might indicate infection. This
monitoring may include data captures, port monitoring, and other methods.
Học viện mạng Bach Khoa - Website: www.bkacad.com
Personal Firewall
• The most effective way to mitigate a worm and its variants is to download
security updates from the operating system vendor and patch all vulnerable
systems. This is difficult with uncontrolled user systems in the local network,
and even more troublesome if these systems are remotely connected to the
network via a virtual private network (VPN) or remote access server (RAS).
• Intrusion detection systems (IDS) detect attacks against a network and send logs to a
management console.
• Intrusion prevention systems (IPS) prevent attacks against the network and should
provide the following active defense mechanisms in addition to detection:
– Prevention -Stops the detected attack from executing.
– Reaction -Immunizes the system from future attacks from a malicious source.
• Either technology can be implemented at a network level or host level, or both for
maximum protection.
• Because routers provide gateways to other networks, they are obvious targets, and are
subject to a variety of attacks.
• Here are some examples of various security problems:
– Compromising the access control can expose network configuration details, thereby
facilitating attacks against other network components.
– Compromising the route tables can reduce performance, deny network
communication services, and expose sensitive data.
– Misconfiguring a router traffic filter can expose internal network components to
scans and attacks, making it easier for attackers to avoid detection.
• Securing routers at the network perimeter is an important first step in securing the
network.
• Think about router security in terms in these categories:
– Physical security
– Update the router IOS whenever advisable
– Backup the router configuration and IOS
– Harden the router to eliminate the potential abuse of unused ports and services
• The type 7 encryption can be used by the enable password, username, and
line password commands including vty, line console, and aux port. It does not
offer very much protection as it only hides the password using a simple
encryption algorithm. Although not as secure as the type 5 encryption, it is still
better than no encryption.
• To encrypt passwords using type 7 encryption, use the service password-
encryption global configuration command as displayed in the figure.
• SSH has replaced Telnet as the best practice for providing remote router
administration with connections that support strong privacy and session
integrity. SSH uses port TCP 22.
• Not all Cisco IOS images support SSH. Only cryptographic images can.
Typically, these images have image IDs of k8 or k9 in their image names.
• Cisco routers are capable of acting as the SSH client and server. By default,
both of these functions are enabled on the router when SSH is enabled. As a
client, a router can SSH to another router. As a server, a router can accept
SSH client connections.
Học viện mạng Bach Khoa - Website: www.bkacad.com
Configuring SSH Security
• Activity 4.2.4.5
R2(config)#service timestamps ?
debug Timestamp debug messages
log Timestamp log messages
<cr>
R2(config)#service timestamps
• Logs allow you to verify that a router is working properly or to determine whether the
router has been compromised.
• In some cases, a log can show what types of probes or attacks are being attempted
against the router or the protected network.
• A syslog server provides a better solution because all network devices can forward their
logs to one central station where an administrator can review them. An example of a
syslog server application is Kiwi Syslog Daemon.
• Accurate time stamps are important to logging. Time stamps allow you to trace network
attacks more credibly.
• A Network Time Protocol (NTP) server may have to be configured to provide a
synchronized time source for all devices
• The figure shows how each router in the update chain creates a signature. The three
components of such a system include:
– 1. Encryption algorithm, which is generally public knowledge
– 2. Key used in the encryption algorithm, which is a secret shared by the routers
authenticating their packets
– 3. Contents of the packet itself
Học viện mạng Bach Khoa - Website: www.bkacad.com
Configuring RIPv2 with Routing Protocol Authentication
Firewall Policies
VPN
Refer to 4.4.6
• There are a number of tools available on Cisco.com to aid in migrating Cisco IOS
software. You can use the tools to get information about releases, feature sets,
platforms, and images. The following tools do not require a Cisco.com login:
1. Cisco IOS Reference Guide -Covers the basics of the Cisco IOS software
family
2. Cisco IOS software technical documents -Documentation for each release
of Cisco IOS software
3. Software Center -Cisco IOS software downloads
4. Cisco IOS Software Selector -Finds required features for a given
technology
Học viện mạng Bach Khoa - Website: www.bkacad.com
Maintaining Cisco IOS Software Image
• Cisco IOS devices provide a feature called the Cisco IOS Integrated
File System (IFS). This system allows you to create, navigate, and
manipulate directories on a Cisco device. The directories available
depend on the platform.
• Although there are several file systems listed, of interest to us will be
the tftp, flash and nvram file systems.
• Network file systems include using FTP, trivial FTP (TFTP), or Remote
Copy Protocol (RCP).
Học viện mạng Bach Khoa - Website: www.bkacad.com
Cisco IOS File Systems and Devices
• To view the contents of NVRAM, you must change the current default
file system using the cd change directory command.
• The pwd present working directory command verifies that we are
located in the NVRAM directory.
• Finally, the dir command lists the contents of NVRAM.
• When you are ready to do the update, carry out these steps:
– Shut down all interfaces on the router not needed to perform the update.
– Back up the current operating system and the current configuration file to a TFTP
server.
– Load the update for either the operating system or the configuration file.
– Test to confirm that the update works properly. If the tests are successful, you can
then re-enable the interfaces you disabled. If the tests are not successful, back out
the update, determine what went wrong, and start again.
• Note: Make sure that the Cisco IOS image loaded is appropriate for
the router platform. If the wrong Cisco IOS image is loaded, the router
could be made unbootable, requiring ROM monitor (ROMmon)
intervention.
• Have you ever forgotten the password to a router? Maybe not, but sometime in your
career, you can expect someone to forget, and you will need to recover it.
• In a router, a configuration register, represented by a single hexadecimal value, tells the
router what specific steps to take when powered on. Configuration registers have many
uses, and password recovery is probably the most used.
Tài liệu
1
Giới thiệu chung
Trước khi xuất hiện máy tính: Bảo vệ thông tin, tài liệu:
– Các cơ chế bảo vệ;
– Khoá kho hồ sơ lưu trữ văn bản.
Khi xuất hiện máy tính - bảo vệ thông tin ñiện tử:
– Sao chép thông tin dễ dàng
– Cần thiết có các công cụ tự ñộng ñể bảo mật các tệp, các dạng thông tin
chứa trong máy tính.
– ðặc biệt khi hệ thống ñược chia sẻ tài nguyên trên mạng. Vấn ñề
Computer Security.
Khi xuất hiện các hệ phân tán và sử dụng mạng ñể truyền dữ liệu và
trao ñổi thông tin: Bảo vệ thông tin truyền trên mạng
– Truyền dữ liệu giữa người sử dụng và máy tính,
– Giữa máy tính và máy tính.
– Nhu cầu bảo vệ các dữ liệu trong khi truyền → Network Security.
Truyền file
– A truyền file cho B;
– Trong file chứa những
thông tin bí mật;
– C không ñược phép ñọc
file nhưng có thể theo
dõi ñược quá trình
truyền file và sao chép
file trong quá trình
truyền.
2
Một số ví dụ
Một số ví dụ
– Giả mạo:
Kịch bản giống trường hợp
trước;
F tạo một thông ñiệp của
riêng mình, chứa những
thông tin riêng có lợi cho F
và gửi cho E.
E nhận ñược thông tin từ F,
cho rằng thông tin ñó do D gửi
và cập nhật những thông tin
giả mạo vào CSDL
3
Giới thiệu chung
Các cơ chế bảo mật luôn ñi ñôi với các biện pháp ñối
phó.
Lựa chọn những giải pháp thích hợp với từng ngữ cảnh
sử dụng.
4
Dịch vụ và cơ chế an toàn an ninh
Các dạng tấn công
5
Dịch vụ và cơ chế an toàn an ninh
Các dạng tấn công
6
Một số dạng tấn công
Luång th«ng
tin bÞ gi¶ m¹o
7
Các dạng tấn công vào hệ thống
Tấn công thụ ñộng
8
Các dạng tấn công vào hệ thống
Tấn công thụ ñộng
9
Các dạng tấn công vào hệ thống
Tấn công chủ ñộng
10
Các dạng tấn công vào hệ thống
Tấn công chủ ñộng
– Dạng tấn công chủ ñộng rất khó có thể ngăn chặn
tuyệt ñối. ðiều ñó yêu cầu phải bảo vệ vật lý mọi
ñường truyền thông tại mọi thời ñiểm.
– Mục tiêu an toàn: phát hiện và phục hồi lại thông
tin từ mọi trường hợp bị phá huỷ và làm trễ.
11
Các dịch vụ an toàn an ninh
ðảm bảo tính riêng tư ( Confidentiality )
Bảo vệ các thông ñiệp ñơn lẻ hoặc một số trường ñơn lẻ của
thông ñiệp.
– Không thực sự hữu ích;
– Trong nhiều trường hợp khá phức tạp;
– Yêu cầu chi phí lớn khi thực hiện.
– ðảm bảo tính riêng tư: bảo vệ luồng thông tin trao ñổi khỏi
các thao tác phân tích
Yêu cầu: phía tấn công không thể phát hiện ñược các ñặc
ñiểm của quá trình truyền tin:
– Nguồn và ñích của thông tin;
– Tần suất, ñộ dài;
– Các thông số khác của luồng thông tin.
12
Các dịch vụ an toàn an ninh
ðảm bảo tính xác thực ( Authentication )
– ðối với những liên kết trực tuyến, có hai khía cạnh
cần phải chú ý tới:
Tại thời ñiểm khởi tạo kết nối, dịch vụ xác thực phải hai
thực thể tham gia vào trao ñổi thông tin phải ñược ủy
quyền.
Dịch vụ cần khẳng ñịnh rằng kết nối không bị can thiệp
bởi một bên thứ ba. Trong ñó bên thứ ba này có thể giả
mạo một trong hai bên ñược ủy quyền ñể có thể tham
giâ vào quá trình truyền tin và thu nhận các thông ñiệp.
13
Các dịch vụ an toàn an ninh
ðảm bảo tính toàn vẹn( Integrity)
14
Các dịch vụ an toàn an ninh
ðảm bảo tính toàn vẹn ( Integrity )
15
Các dịch vụ an toàn an ninh
Dịch vụ kiểm soát truy cập
16
Các mô hình an toàn mạng và
hệ thống
Nhµ cung cÊp ®−îc uû
nhiÖm
Th«ng tin
mËt Th«ng tin
mËt
Qu¸ tr×nh truyÒn tin ®−îc Qu¸ tr×nh truyÒn tin ®−îc
b¶o mËt §èi ph−¬ng b¶o mËt
17
Các mô hình an toàn mạng và
hệ thống
– Bên thứ ba ñược ủy quyền: trong nhiều trường
hợp, cần thiết cho quá trình truyền tin mật:
Có trách nhiệm phân phối những thông tin mật giữa hai
bên truyền tin;
Giữ cho các thông tin trao ñổi với các bên ñược bí mật
ñối với người tấn công.
Có trách nhiệm phân xử giữa hai phía truyền tin về tính
xác thực của thông ñiệp ñược truyền.
18
Các mô hình an toàn mạng và
hệ thống
19
Các mô hình an toàn mạng và
hệ thống
Cæng
§èi ph−¬ng b¶o vÖ C¸c tµi nguyªn
Kªnh truy nhËp
cña hÖ thèng:
Con ng−êi D÷ liÖu;
PhÇn mÒm C¸c qu¸ tr×nh
,øng dông;
C¸c phÇn mÒm;...
An ninh hệ thống
20
Lỗ hổng bảo mật
21
Lỗ hổng từ chối dịch vụ
22
Lỗ hổng tăng quyền truy nhập
không cần xác thực.
– Tràn bộ ñệm :
Code segment
Buffer
Data segment
Overflow here
23
Mục ñích của quét lỗ hổng
Quét mạng
Quét ñiểm yếu
Kiểm tra log
Kiểm tra tính toàn vẹn file
Phát hiện virus
Chống tấn công quay số
Chống tấn công vào access point
24
Quét mạng
Quét mạng
25
Quét mạng
Quét cổng
– Nhằm nhận diện dịch vụ, ứng dụng
– Sử dụng các kỹ thuật quét nối TCP, TCP FIN…,
xét số cổng ñể suy ra dịch vụ, ứng dụng
– Phát hiện quét dựa vào IDS hoặc cơ chế bảo mật
của máy chủ
– Vô hiệu hóa các dịch vụ không cần thiết ñể dấu
mình
Quét mạng
Dò hệ ñiều hành
– Dò dựa vào ñặc trưng giao thức
– Phát hiện bằng các phần mềm phát hiện quét
cổng, phòng ngừa, sử dụng firewall, IDS.
26
Quét ñiểm yếu hệ thống
27
Quét ñiểm yếu
28
Kiểm soát log file
Các thông tin về thao tác file ñược lưu trữ trong cơ
sở dữ liệu tham chiếu
Một phần mềm ñối chiếu file và dữ liệu trong cơ sở
dữ liệu ñể phát hiện truy nhập trái phép
Phương pháp tin cậy ñể phát hiện truy nhập trái
phép
Tự ñộng hóa cao
Giá thành hạ
Không phát hiện khoảng thời gian
Luôn phải cập nhật cơ sở dữ liệu tham chiếu
29
Quét Virus
War Dialing
30
Quét LAN không dây
Liên kết bằng tín hiệu không dùng dây dẫn -> thuận
tiện cho kết nối ñồng thời tạo ra nhiều lỗ hổng mới
Hacker có thể tấn công vào mạng với máy tính xách
tay có chuẩn không dây
Chuẩn thường dùng 802.11b có nhiều hạn chế về bảo
mật
Chính sách bảo ñảm an toàn:
– Dựa trên các nền phần cứng và các chuẩn cụ thể
– Việc cấu hình mạng phải chặt chẽ và bí mật
– Gỡ bỏ các cổng vào không cần thiết
31
Kiểm thử thâm nhập (Cont)
32
So sánh (Cont)
33
Giáo trình An
minh mạng
MẠNG
RIÊNG ẢO
MẠNG RIÊNG ẢO
n Định nghĩa
n Phân loại mạng riêng ảo :
n Remote-Access VPN
n Intranet-based VPN
n Extranet-based VPN
n Lợi ích của mạng riêng ảo
n Mở rộng vùng địa lý có thể kết nối được
W AN truyền thống
n Giảm thời gian và chi phí truyền dữ liệu
n Card Lan
n Card Lan
n Card Lan
n Metric : 1
n Password : saigon
→ Next → Finish.
n B3 : Tại cửa sổ Routing and Remote
Access , click chuột phải lên máy 2 ,
chọn Properities → chọn tab IP →
Chọn ô Static address pool → Add →
Tại cửa sổ New Address Range , gõ
vào dãy số IP sau :
n Start IP address : 172.16.1.200
n Metric : 1
n Password : hanoi
→ Next → Finish
n B3 : Tại cửa sổ Routing and Remote
Access , click chuột phải lên máy 2 ,
chọn Properities → chọn tab IP →
Chọn ô Static address pool → Add →
Tại cửa sổ New Address Range , gõ
vào dãy số IP sau :
n Start IP address : 172.16.2.200
Company
LOGO
Agenda
Tài nguyên thông tin bị phá huỷ, không sẵn sàng phục
vụ hoặc không sử dụng được.
Đây là hình thức tấn công làm mất khả năng sẵn sàng
phục vụ của thông tin.
vd: Phá huỷ ổ cứng, cắt đường truyền ...
6/30/2014 Hoàng Sỹ Tương 4
Các hình thức tấn đối với TT trên mạng
vị trí và định danh của các máy liên lạc từ đó đoán ra bản chất của các cuộc liên
lạc.
Mã hoá
Che dấu thông tin mật được đặt trong hệ
thống.
Được dùng để hỗ trợ cơ chế truyền thông xác
thực giữa các cặp người dùng hợp pháp mà
ta gọi là người uỷ nhiệm (Principal).
Được dùng để cài đặt cơ chế chữ ký số
Truyền file:
A và B trao đổi
thông tin riêng tư
A B
C giữ chặn
thông tin
trao đổi giữa
A và B
1
Trao đổi thông điệp
Giả mạo
A không thông tin Danh sách
cho B giả mạo
A B
C giả mạo
A, gửi danh
sách mới
đến B
Qua thực tế người ta nhận thấy rằng, vấn đề bảo mật trong hệ thống mạng
hay liên mạng là một bài toán rất phức tạp, vì:
- Không tồn tại phương pháp thích hợp cho mọi trường hợp
- Các cơ chế bảo mật luôn đi đôi với các biện pháp đối phó
- Lựa chọn những giải pháp cụ thể đối với từng ngữ cảnh cụ thể.
1.2. Các dịch vụ, cơ chế an toàn an ninh thông tin và các dạng tấn công vào hệ
thống mạng.
Phân loại các dịch vụ an toàn an ninh, bao gồm:
- Bảo mật riêng tư
- Xác thực
- Toàn vẹn thông tin
- Tính không thể từ chối
- Kiểm soát truy cập
- Tính sẵn sàng
Các cơ chế an toàn an ninh
- Trên thực tế không tồn tại một cơ chế duy nhất nào có thể đảm bảo an
toàn thông tin cho mọi hệ thống.
- Để đảm bao an toàn an ninh cho hệ thống thông tin người ta sử các kỹ
thuật mã hóa: Mã đối xứng, mã công khai
2
- Sử dụng Firewall, hệ thống phát hiện xâm nhập - IDS , và các biện pháp
phối hợp khác.
4
Các dạng tấn công thụ động:
- Giải phóng nội dung của thông điệp: ngăn chặn đối phương thu và tìm
hiểu nội dung của thông tin truyền tải.
- Phân tích tải: Khi phân tích tải đối phương có thể xác định được vị trí của
các máy tham gia vào quá trình truyền tin; tần suất và kích thước bản tin.
Dạng tấn công thụ động rất khó phát hiện vì không làm thay đổi dữ liệu, với
dạng tấn công này người ta quan tâm đến vấn để ngăn chặn hơn là vấn đề phát hiện.
Các dạng tấn công chủ động:
- Giả danh
- Phát lại
- Thay đổi nội dung thông điệp
- Từ chối dịch vụ
Dạng tấn công chủ động rất khó có thể ngăn chặn tuyệt đối. Vì vậy yêu cầu
phải bảo vệ vật lý mọi đường truyền thông tại mọi thời điểm. Mục tiêu an toàn của
dạng tấn công này là có thể phát hiện và phục hồi lại thông tin từ mọi trường hợp bị
phá hủy và làm trễ.
1.4. Các dịch vụ an toàn an ninh.
Các dịch vụ an toàn an ninh của hệ thống thông tin phải đảm bảo các yêu cầu
sau:
5
Đảm bảo tính tin cậy: Thông tin không thể bị truy nhập trái phép bởi những
người không có thẩm quyền.
Đảm bảo tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả bởi
những người không có thẩm quyền.
Đảm bảo tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng cho
người có thẩm quyền.
Đảm bảo tính không thể từ chối: Thông tin được cam kết về mặt pháp luật
của người cung cấp.
Đảm bảo tính riêng tư: Bảo vệ dữ liệu được truyền tải khỏi các tân công thụ
động.
Kiểm soát truy cập: Cung cấp khả năng giới hạn và kiểm soát các truy cập
tới các máy chủ hoặc tới các ứng dụng thông qua đường truyền tin.
1.5. Các mô hình an toàn an ninh mạng.
Mô hình an toàn mạng: bài toán an toàn an ninh thông tin mạng nảy sinh khi:
Cần thiết phải bạo vệ quá trình truyền tin khỏi các hành động truy cập trái
phép
Đảm bảo tính riêng tư và tính toàn vẹn
Đảm bảo tính xác thực, . . .
Mô hình an toàn mạng yêu cầu:
- Thiết kế một giải thuật thích hợp cho việc chuyển đổi liên quan đến an
toàn
- Tạo ra thông tin bí mật (khóa) đi kèm với giải thuật
- Phát triển các phương pháp phân bổ và chia sẻ thông tin bí mật
- Đặc tả một giao thức sử dụng bởi hai bên gửi và nhận dựa trên giải thuật
an toàn và thông tin bí mật, làm cơ sở cho một dịch vụ an toàn
6
Mô hình an toàn truy cập mạng:
Mô hình này yêu cầu:
- Lựa chọn các chức năng gác cổng thích hợp để định danh người dùng
- Cài đặt các điều khiển an toàn để đảm bảo chỉ những người dùng được
phép mới có thể truy nhập được vào các thông tin và tài nguyên tương
ứng.
Các hệ thống máy tính đáng tin cậy có thể dùng để cài đặt mô hinh này
Cần nhấn mạnh một thực tế rằng không có một hệ thống nào an toàn tuyệt đối
cả. Bởi vì bất kỳ một hệ thống bảo vệ nào dù hiện đại và chắc chắn đến đâu đi nữa
thì cũng có lúc bị vô hiệu hóa bởi những kẻ phá hoại có trình độ cao và có đủ thời
gian. Chưa kể rằng tính an toàn của một hệ thống thông tin còn phụ thuộc rất nhiều
vào việc sử dụng của con người. Từ đó có thể thấy rằng vấn đề an toàn mạng thực tế
là cuộc chạy tiếp sức không ngừng và không ai dám khẳng định là có đích cuối cùng
hay không.
7
CHƯƠNG 2 – MỘT SỐ PHƯƠNG PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN
2.1 Nguyên lý các phương pháp mã hoá đối xứng
2.1.1.Sơ đồ chung của phương pháp mã hóa đối xứng.
Sơ đồ mã hóa đối xứng
8
Mô hình hệ thống mã hóa đối xứng
9
- Số lượng khóa được dùng trong thuật toán: Hệ thống mã hóa đối xứng;
Hệ thống mã hóa không đối xứng.
- Phương thức mà văn bản đầu được xử lý: mã hóa khối; mã hóa dòng.
Thám mã( phá mã): Là nỗ lực giải mã văn bản đã được mã hóa không biết
trước khóa bí mật.
Có hai phương pháp phá mã
- Vét cạn : Thử tất cả các khóa có thể
Về lý thuyết có thể thử tất cả các giá trị khóa cho đến khi tìm thấy
văn bản thô từ văn bản mã hóa
Dựa trên giả thiết có thể nhận biết được văn bản thô cần tìm
Tính trung bình cần thử một nửa tổng số các trường hợp có thể
Thực tế không khả khi nếu độ dài khóa lớn
- Dùng kỹ thuật :
Khai thác những nhược điểm của giải thuật
Dựa trên những đặc trưng chung của văn bản thô hoặc một số cặp
văn bản thô - văn bản mã hóa mẫu
Các kỹ thuật phá mã:
- Chỉ biết văn bản được mã hóa: Chỉ biết giải thuật mã hóa và văn bản mã
hóa ;
- Biết một số văn bản gốc và mật mã tương ứng: Biết thêm một số cặp văn
bản thô - văn bản mã hóa ;
- Tấn công bằng văn bản rõ được lựa chọn trước: Chọn 1 văn bản thô, biết
văn bản mã hóa tương ứng ;
- Tấn công bằng mật mã cho trước: Chọn 1 văn bản mã hóa, biết văn bản
thô tương ứng ;
- Tấn công bằng bản rõ tùy chọn: Kết hợp chọn văn bản thô và chọn văn
bản mã hóa.
An toàn hệ mã hóa:
- Sơ đồ mã hóa được coi là an toàn vô điều kiện: Văn bản mã hóa không
chứa đủ thông tin để xác định duy nhất văn bản thô tương ứng, bất kể với
số lượng bao nhiêu và tốc độ máy tính thế nào
- Sơ đồ mã hóa được coi là an toàn theo tính toán:
Chi phí phá mã vượt quá giá trị thông tin
Thời gian phá mã vượt quá tuổi thọ thông tin
2.1.2.Một số phương pháp mã hóa đối xứng kinh điển
2.1.2.1.Mã Caesar.
Là hệ mã hóa thay thế sớm nhất và đơn giản nhất. Được sử dụng đầu tiên bởi
Julius Caesar vào mục đích quân sự.
Nội dung:
Các ký tự chữ cái được gán giá trị(a=1, b=2, . . .)
10
C=E(p)=(p+k) mod 26, k=1, 2, . ., 25
k là khóa mật mã
Quá trình giải mã: p=D(C)=(C-K) mod 26
Các vấn đề của mã Caesar:
Thuật tóan mã hóa và giải mã đã biết trước
Thám mã:
- Không gian khóa nhỏ: chỉ có 25 khóa;
- Khi thám mã bằng phương pháp vét cạn: chỉ cần thử với 25 khóa.
Ngôn ngữ trong bản gốc đã biết trước và dễ dàng nhận biết.
2.1.2.2.Mã mật Hill.
Thuật toán mã hóa:
Mỗi ký tự được gán giá trị số: a=0, b=1, . ., z=25
Lựa chọn m ký tự liên tiếp của văn bản gốc
Thay thế các ký tự đã lựa chọn bằng m ký tự mã mật, được tính bằng m
phương trình tuyến tính
Hệ phương trình mã hóa:
C=KP mod 26; K – là ma trận khóa
Thuật toán giải mã:
P=K-1C mod 26
Ví dụ: với m=3 hệ phương trình truyến tính có dạng sau:
c1 = (k11P1 + k12P2 + k13P3) mod 26
c2 = (k21P1 + k22P2 + k23P3) mod 26
c3 = (k31P1 + k32P2 + k33P3) mod 26
Hệ phương trình này có thể biểu diễn theo vecto cột và ma trận sau:
11
Giả sử mã hóa xâu ký tự: “paymoremoney”
Ba ký tự đầu tiên của văn bản được biểu diễn bằng vector
Tiếp tục tính toán ta thu được sâu ký tự mã hóa là: LNSHDLEWMTRW
Giải mã: giải mã thông điệp bằng ma trận K-1
2.1.2.3.Hệ thống Vernam.
• Để chống lại quá trình thám mã, cần lựa chọn khoá thoả mãn:
Khoá có độ dài bằng văn bản rõ.
Khóa được chọn sao cho khoá và văn bản gốc độc lập thống kê.
• Hệ mã mật Vernam:
Dùng cho mã nhị phân
Ci= piki
pi: bit thứ i của văn bản gốc;
ki: bit thứ i của khoá;
Ci: bit thứ i của văn bản được mã hoá;
: phép toán XOR.
• Giải mã bằng phép toán ngược: pi= Ciki
• Tạokhoá: tạo vòng lặp với một khoá. Như vậy thực tế, hệ thống làm việc
với một khóa rất dài nhưng lặp lại.
• Hệ thống Vernam có thể bị phá nếu đối phương biết một văn bản mã có độ
dài đủ lớn, sử dụng một số văn bản gốc đã biết.
• Với khoá được sinh ngẫu nhiên, có độ dài bằng độ dài văn bản gốc, không
lặp lại: sơ đồ mã sử dụng mộtlần: không thể phá khoá. Đầu ra độc lập
thống kê với văn bản gốc.
• Vấn đề nảy sinh: đảm bảo bảo mật cho quá trình gửi và nhận khoá ngẫu
nhiên.
2.1.2.4.Mã hóa khối.
Định nghĩa mã hóa khối:
• Mã khối là mật mã khóa đối xứng thực hiện trên nhóm bit có độ dài cố
định. Nhóm bit này được gọi là một khối.Quá trình chuyển đổi không thay
đổi.
12
• Khi mã hóa, mã khối có thể thực hiện trên từng khối độ dài 128 bit của bản
rõ tại đầu vào thứ nhất và cho ra khối của mã mật.
Quá trình biến đổi được kiểm soát bằng đầu vào thứ hai: khóa mật
Quá trình giải mã thực hiện tương tự: nhận tại đầu vào thứ nhất khối 128 bit
của mật mã, khóa mật và tại đầu ra ta nhận được khối 128 bit của bản rõ.
• Để mã hóa bản tin có độ dài lớn hơn kích thước khối, (ví dụ 128 bit ), các
chế độ xử lý( mode of operation )được sử dụng.
• Mã hóa khối tương phản với mãhóa dòng (stream cipher ), trong đó mỗi ký
tự được thao tác một lần và quá trình chuyển đổi thay đổi trong suốt quá
trình mã hóa.
• Ví dụ mã hóa khối:
Thuật toán DES do công ty IBM xây dựng và công bố năm 1977.
Hậu duệ của DES, Advanced Encryption Standard (AES), ra đời năm
2001.
• Mật mã khối gồm một cặp thuật toán:
Thuật toán mã hóa, E,và
Thuật toán giải mã, E-1.
• Cả hai thuật toán đều có hai đầu vào:
Khối dữ liệu đầu vào kích thước n bit và
Khóa độ dài k bit.
• Đầu ra là khối dữ liệu kích thước n-bit.
2.1.2.5.Mật mã dòng.
• Mật mã dòng là mật mã khóa đối xứng, trong đó các ký tự của bản rõ được
mã hóa lần lượt và quá trình biến đổi các ký tự tiếp theo thay đổi trong
quátrình mã hóa. Một tên khác của mật mã dòng là mật mã trạng thái vì
quá trình mã hóa từng ký tự phụ thuộc vào trạng thái hiện thời. Trong thực
c tiễn, ký tự có thể là từng bít hoặc byte.
Mật mã dòng biểu diễn cách tiếp cận khác của kỹ thuật mã hóa đối xứng dựa
trên kỹ thuật mã hóa khối. Thuật toán mật mã dòng thường được thực hiện ở tốc độ
cao thuật toán mã hóa khối và có phần cứng thấp hơn. Tuy nhiên mật mã dòng dễ bị
các vấn đề an ninh nghiêm trọng nếu sử dụng không đúng.
2.1.3.Phương pháp DES.
• DES là thuật toán mã hóa khối: nó xử lý từng khối thông tin (1 khối =
64bit) của bản rõ có độ dài xác định và biến đổi theo những quá trình phức
tạp để trở thành khối thông tin của bản mã có độ dài không thay đổi.
13
• DES cũng sử dụng khóa để cá biệt hóa quá trình chuyển đổi. Do vậy, chỉ
khi biết khóa mới có thể giải mã được văn bản mã
• Khóa dùng trong DES có độ dài toàn bộ là 64 bit. Tuy nhiên chỉ có 56 bit
thực sự được sử dụng; 8 bit còn lại chỉ dùng cho việc kiểm tra. Vì thế, độ
dài thực tế của khóa chỉ là 56 bit.
2.1.3.1.Sơ đồ mã hóa.
• Mã hóa DES được thực hiện qua 16 vòng
• Trước khi đi vào 16 chu trình chính, khối thông tin 64bit được tách làm 2
phần 32 bit và mỗi phần sẽ được xử lý tuần tự (quá trình này còn gọi là
mạng Feistel).
• Cấu trúc của thuật toán (mạng Feistel) đảm bảo rằng quá trình mã hóa và
giải mã diễn ra tương tự. Điểm khác nhau chỉ ở chỗ các khóa con được sử
dụng theo trình tự ngược nhau.
14
Quá trình mã hóa được chia làm 3 giai đoạn:
• Giai đoạn 1: với bản rõ cho trước x, một xâu x’ sẽ được tạo ra bằng cách
hoán vị các các bit của x theo hoán vị ban đầu IP(Initial permutation)
x’= IP(x)= L0 R0; L0: 32 bit đầu; R0: 32 bit cuối
• Giai đoạn 2: Tính toán 16 lần lập theo 1 hàm xác định. Ta sẽ tính LiRi (1≤
i ≤ 16) theo quy tắc
Li=Ri-1
Ri = Li-1⊕ f (Ri-1, Ki)
⊕ là toán tử Xor
k1, k2, k3. . . k16 là xâu bit độ dài 48 bit được tính qua hàm khoá K (ki
là 1 phép hoán vị bit trong K)
• Giai đoạn 3: áp dụng hoán vị ngược IP-1 cho xâu R16L16 ta thu được bản
mã.
2.1.3.2.Giải mã.
Do là 1 thuật toán đối xứng nên quá trình giải mã và mã hóa cũng gần giống nhau
chỉ khác ở:
Li=Ri-1
15
Ri = Li-1⊕ f (Ri-1, K16-i)
Khóa K của hàm F sẽ đi từ 16 ->0 .
2.1.3.3.Tính Hàm f(Ri , Ki ).
16
S – Box (Phép thay thế)
P – Hàm hoán vị
17
2.1.4.1.Đặt vấn đề.
• Trong kỹ thuật mật mã truyền thống, hai phía tham gia vào truyền tin phải
chia sẻ khoá mật ⇒ khoá phải được đảm bảo bí mật: phải duy trì được
kênh mật phân phối khóa.
• Khóa phải được sử dụng một lần: Khoáphải được thường xuyên thay đổi.
• Mức độ an toàn của bất kỳ hệ mật sẽ phụt huộc vào kỹ thuật phân phối
khoá.
2.1.4.2.Một số kỹ thuật phân phối khóa.
• Phân phối khóa không tập trung: Khoá được A lựa chọn và phân phối vật
lý tới B.
• Phân phối khóa tập trung: Người thứ ba C lựa chọn khoá và phân phối vật
lý tới A và B.
• Nhận xét:
Hai kỹ thuật này khá cồng kềnh khi các bên tham gia vào trao đổi
thông tin với số lượng lớn.
Nếu A và B trước đây và hiện nay đã dùng khoá, một phía có thể gửi
khoá mới dùng khoá cũ để mã hoá.
Nếu A và B có kết nối mã mật với phía thứ ba C, C có thể phân phối
khoá theo đường mã mật tới A và B.
2.1.4.3. Phân cấp khóa.
• Việc sử dụng trung tâm phân phối khoá dựa trên cơ sở của việc phân cấp
các khoá.
• Trên cấp độ tối thiểu, sẽ có hai cấp khoá được sử dụng:
Việc giao tiếp giữa hai trạm đầu cuối sẽ được mã hoá bằng một khoá
tạm thời gọi là khoá phiên.
-Khoá phiên sẽ được sử dụng trong thời gian một kết nối lôgic như
trong mạng ảo hoặc liên kết vận chuyển, sau đó sẽ được loại bỏ.
Mỗi khoá phiên sẽ được nhận từ trung tâm phân phối khoá KDC trên
cùng một hạ tầng mạng với kết nối đầu cuối.
-Khoá phiên được truyền dưới dạng mã hoá bằng mã chính
(masterkey). Khoá chính này được chia sẻ giữa KDC và trạm đầu
cuối hoặc người sử dụng.
-Mỗi trạm đầu cuối sẽ có một khoá chính được chia sẻ với KDC.
- Các khoá chính này phải được chia sẻ theo một cách nào đó giữa
KDC và máy trạm. Số lượng các khoá chính có thể kiểm soát được:
18
Nếu có N đối tượng cần tương tác với nhau theo cặp, như vậy cần
có nhiều nhất N(N-1)/2 khoá phiên sẽ được sử dụng một lúc.
Nhưng khi đó chỉ cần N khoá chính cho mỗi đối tượng. Như vậy
các khoá chính có thể được phân phối theo đường không phải mật
mã như phân phối vật lý.
19
Để ngăn chặ sự giả mạo, dấu hiệu nhận diện phải khó bị đối phương dự
đoán. Như vậy, số ngẫu nhiện là lựa chọn tốt.
• Trung tâm phân phối khóa KDC trả lời A bằng thông điệp được mã hóa
bằng khóa KA. Như vậy chỉ có A là người duy nhất có thể giải mã thành
công thông điệp và A cũng xác định được nguồn gốc của thông điệp( A
xác định được thông điệp là do KDC gửi tới do khóa KA chỉ có duy nhất
A và KDC biết).
Trong thông điệp chứa những thông tin dành cho A
Khóa phiên sử dụng một lần KS;
Thông điệp gốc cùng với dấu hiệu nhận dạng N1. Các thông tin này
cho phép Aso sánh câu trả lời từ KDC với yêu cầu ban đầu.
Như vậy, A có thể kiểm tra rằng yêu cầu ban đầu không bị thay đổi trước khi
KDC nhận được và do có dấu hiệu nhận dạng N1nên thông điệp này không phải là
phiên bản phát lại của một yêu cầu nào đó trước đó.
Trong thông điệp cũng có những thông tin dành cho B:
Khóa phiên sử dụng một lần KS;
Định danh của A – IDA.
Hai thông tin này được mã hóa với khóa mật KB chia sẻ giữa B và KDC.
Những thông tin này được gửi cho B để thiết lập liên kết và chứng minh định danh
của A.
• A lưu lại khóa phiên KS để sử dụng cho liên kết sắp thiết lập và
gửi cho B những thông tin của KDC dành cho B–Ekb[KS|| IDA]. Vì
những thông tin này được mã hóa bằng KB nên chúng được bảo vệ
khỏi hình thức nghe trộm. Sau khi nhận được thông điệp từ A, B biết
được khóa phiên KS, và biết được phía bên kia là A từ định danh của
A. Thêm vào đó, B biết được những thông tin này là do KD cung cấp
vì được mã hóa bằng KB–Ekb.
Như vậy từ thời điểm này, khó phiên đã được phân phối mật tới A và
B. A và B có thể sử dụng khóa phiên để trao đổi thông tin. Tuy nhiên
để tăng độ tin cậy cho quá trình trao đổi thông tin và ngăn chặn các khả
năng tấn công, hai bước sau có thể được áp dụng:
1. B gửi tới cho Adấu hiệu nhận dạng N2 bằng cách mã hóa sử dụng khóa
phiên.
2. Bằng cách sử dụng khóa phiên KS, A trả lời B bằng thông điệp f(N2),
trong đó f là hàm biến đổi N2.
20
o Hai bước này giúp cho B biết được rằng thông điệp nhận được trong
bước trước không bị phát lại.
o Ta thấy các bước phân phối khóa bao gồm các bước từ 1 đến 3. Các
bước 4, 5 cũng như bước 3 dùng vào mục đích xác thực.
21
2.1.4.5.Kiểm soát khóa theo phân cấp và tính trong suốt của sơ đồ kiểm soát
khóa.
Kiểm soát khóa theo phân cấp.
• Hàm phân phối khóa không giới hạn bởi 1 KDC.
• Một trật tự phân cấp các KDC được thiết lập:
Trong hệ thống có các KDC cục bộ: nằm trong các mạng cục bộ, trong
các phân mạng nhỏ. KDC cục bộ có trách nhiệm phân phối khoá trong
những giao dịch giữa những thành phần của một vùng.
Nếu hai thực thể thuộc hai phân vùng mạng khác nhau muốn chia sẻ
khoá phiên, các KDC cục bộ phụ trách hai phân vùng đó sẽ tương tác
với nhau thông qua KDC cấp cao hơn. Trong trường hợp này bất kỳ
một trong ba KDC sẽ có thể sử dụng để lựa chọn khoá.
Sơ đồ phân cấp làm giảm thiểu các nỗ lực trong việc phân phối khóa
chính (masterkeydistribution), bởi vì phần lớn các khoá chính là những
khoá được chia sẻ giữa những KDC cục bộ với các thực thể thuộc vùng
quản lý của chúng.
Sơ đồ này làm giảm khả năng tổn hại tới khoá hoặc phá hoại khoá chỉ
trong miền cục bộ của KDC.
• Vòng đời của khoá phiên( sessionkeylifetime).
Nếu khoá phiên càng được trao đổi với tần suất càng cao thì các khóa
đó càng được bảo mật vì đối phương sẽ có ít văn bản mật tương ứng
với từng khoá để phá mã.
Mặt khác quá trình phân phối khoá trước mỗi phiên làm việc sẽ làm
chậm quá trình trao đổi thông tin và làm gảm hiệu năng của mạng.
Nhà quản trị an ninh phải lựa chọn giải pháp cân bằng hai vấn đề trên.
Đối với các giao thức hướng liên kết:
o Sử dụng một khoá phiên cho một phiên làm việc khi liên kết đang hoạt
động.
o Sử dụng khoá phiên mới cho phiên làm việc mới.
o Nếu liên kết vật lý tồn tại trong thời gian dài: để tăng tính cẩn mật, cần
thay đổi khoá phiên một cách liên tục. Có thể lựa chọn thời gian theo
một chuỗi các PDU.
Đối với các giao thức hướng không liên kết:
o Không có các chu trình khởi tạo và ngắt liên kết ⇒ số lần thay đổi
khoá không hiển nhiên ⇒ sử dụng một khoá phiên mới cho mỗi lần
trao đổi thông tin ⇒ làm giảm ưu thế của giao tiếp không liên kết: tăng
thời gian trễ của mỗi giao dịch.
22
Tính trong suốt của sơ đồ kiểm soát khoá:
• Cung cấp khả năng mã hoá đầu cuối trên tầng mạng hoặc tâng giao vận
sao cho quá trình trao đổi khoá và mã hoá trong suốt với người sử dụng.
• Quá trình truyền thông sử dụng các giao thức hướng liên kết đầu cuối như
TCP, X25.
• Phần tử quan trọng: bộ xử lý ngoại vi( Front-endprocessor–FEP) cung cấp
chức năng mã hoá đầu cuối và nhận các khoá phiên thay cho các trạm làm
việc.
• Ưu điểm : làm giảm nhẹ ảnh hưởng của quá trình mã hoá, trao đổi khoá
đối với các trạm đầu cuối.
• Từ khía cạnh máy trạm, FEP có thể coi là một phần của nút chuyển mạch
gói ⇒ giao tiếp giữa trạm và mạng không đổi.
• Từ hướng mạng, FEP có thể coi là một trạm ⇒ giao tiếp chuyển mạch gói
từ mạng tới trạm không đổi.
• Kịch bản:
Khi một trạm A mong muốn thiết lập liên kết với trạm khác, trạm A
gửi một gói tin yêu cầu liên kết( bước1 ).
Bộ xử lý ngoại vi FEP nhận gói tin và gửi tới KDC để nhận quyền khởi
tạo kết nối (bước2 ).
Liên kết và trao đổi thông tin giữa FEP và KDC được mã hoá bằng
khoá chính được chia sẻ giữa FEP và KDC
23
Nếu KDC phê chuẩn yêu cầu liên kết, KDC sẽ tạo khoá phiên và phân
phối tới hai FEP tương ứng sử dụng khoá duy nhất cố định cho mỗi
giao tiếp( bước3 ).
Bộ xử lý ngoại vi FEP đã đưa ra yêu cầu có thể gửi gói tin yêu cầu thiết
lập liên kết và liên kết sẽ được thiết lập giữa hai trạm đầu cuối (bước4).
Tất cả các dữ liệu được truyền giữa hai trạm đầu cuối sẽ được mã hoá
do hai bộ xử lý ngoại vi tương ứng sử dụng khoá phiên sử dụng một
lần.
2.1.4.6. Kiểm soát khóa không tập trung.
• Sử dụng trung tâm phân phối khoá KDC đưa ra yêu cầu đối với KDC:
KDC phải được uỷ nhiệm và phải được bảo vệ khỏi các tấn công.
• Các yêu cầu này có thể loại bỏ nếu sử dụng sơ đồ phân phối khoá không
tập trung.
• Các yêu cầu của phân phối khoá không tập trung:
Mỗi hệ thống giao tiếp theo liên kết mật với tất cả các hệ thống trạm
khác với mục đích phân phối khoá phiên.
Số lượng khoá phiên cực đại có thể có sẽ bằng: n( n–1 ) / 2.
• Kịch bản phân phối khoá không tập trung.
A gửi yêu cầu khoá phiên tới cho B cùng với dấu hiệu nhận dạng N1;
B trả lời bằng thông điệp được mã hoá bằng khoá chính chung (
sharedmasterkey). Trong câu trả lời chứa khoá phiên do B lựa chọn Ks,
định danh của B, giá trị f( N1), và đấu hiệu nhận dạng N2.
Sử dụng khoá phiên mới, A gửi trả f( N2) cho B.
• Phân tích:
Mỗi nút cần phải có ít nhất (n–1) khoá chính (masterkey) và một số
lượng khoá phiên tuỳ ý có thể được tạo ra và sử dụng.
24
Do thông điệp được truyền sử dụng khoá chính khá ngắn ⇒ việc thám
mã là khó khăn.
Giống như trường hợp quản lý khoá tập trung, khoá phiên chỉ được sử
dụng trong một khoảng thời gian ngắn để bảo vệ khoá.
2.1.4.7. Kiểm soát việc sử dụng khóa.
• Kiểm soát việc sử dụng khoá.
Khái niệm phân cấp khóa và kỹ thuật phân phối khóa tự động làm giảm
mạnh số lượng khóa cần xử lý bằng tay và phân phối bằng tay.
Đặt vấn đề: thiết lập sự kiểm soát những phương pháp phân phối khóa
tự động.
o Vídụ: để phân tách khóa chính và khóa phiên, chúng ta có thể cần một
số các khóa phiên khác nhau tùy theo cách sử dụng:
-Khóa để mã hóa dữ liệu dùng cho truyền dữ liệu qua mạng;
-Khóa PIN ( personalidentificationnumber) sử dụng trong việc truyền
các quỹ điện tử, các ứng dụng bán lẻ;
-Khóa để mã hóa file đối với những file được lưu trữ tại những thư
mục public.
• Kỹ thuật kiểm soát khoá bằng vectơ kiểm soát(controlvector):
Mỗi khoá phiên được đặt tương ứng với một vectơ kiểm soát bao gồm:
o Số lượng các trường để đặc trưng cho việc sử dụng khoávà
o Các giới hạn đối với khoá phiên đang xét.
• Vectơ kiểm soát được mã hoá mật gắn kết với khoá vào thời điểm khoá
được sinh ra tại KDC.
• Sơ đồ hoạ tđộng:
Vectơ kiểm soát được đưa vào hàm băm, hàmb ăm này sinh ra một giá
trị có độ dài bằng độ dài của khoá mã mật. Hàm băm sẽ ánh xạ một giá
trị từ một khoảng lớn vào một khoảng có độ dài nhỏ hơn.
Giá trị băm được thực hiện XOR với khoá chính và kết quả sẽ đi vào
khối mã hoá khoá phiên.
Giá trị băm= H= h( CV);
Key input= Km⊕H;
Mã mật=EKm⊕H[Ks].
Km: khoá chính và Ks: khoáphiên.
• Khoá phiên sẽ được khôi phục từ mã mật bằng sơ đồ giải mã:
Ks=DKmH[EKmH[Ks]].
25
• Khi khoá phiên được phân phối tới người sử dụng, khoá sẽ được kết hợp
với vectơ kiểm soát. Khoá phiên chỉ có thể khôi phục được nếu có cả khoá
chính (được chia sẻ) lẫn vec tơ kiểm soát.
• Ưu điểm của việc sử dụng vectơ kiểm soát khoá đối với việc sử dụng các
thẻ 8-bit:
Không có giới hạn về độ dài của vectơ kiểm soát;
Vectơ kiểm soát tồn tại dưới dạng tường minh tại mọi bước thao tác.
2.2. Nguyên lý các phương pháp mã hoá công khai
2.2.1. Đặc điểm và xuất xứ
Đặc điểm:
• Mật mã công khai dựa trên cơ sở của các hàm toán học chứ không phải
dựa trên phép thay thế và đổi chỗ như trong phương pháp mã hoá đối
xứng.
• Mã mật công khai là bất đối xứng. Trong cơ chế mã mật khoá công khai sử
dụng hai khoá: khoá mật và khoá công khai. Việc sử dụng hai khoá không
đối xứng đưa đến những hệ quả sâu sắc trong lĩnh vực an toàn thông tin:
tính toàn vẹn, tính xác thực, phân phối khoá.
Xuất xứ:
• Hệ mã mật khoá công khai được phát triển nhằm giải quyết hai vấn đề
phức tạp nảy sinh từ phương pháp mã hoá đối xứng:
• Vấn đề thứ nhất: bài toán phân phối khoá;
26
• Vấn đề thứ hai: chữ ký điện tử.
2.2.2. Hệ mật khóa công khai.
Vấn đề phân phối khóa:
• Trong sơ đồ mã hoá truyền thống, quá trình phân phối khoá đưa ra yêu cầu
hai phía tham gia vào trao đổi thông tin:
Phải chia sẻ trước khoá, khoá này phải được phân phối bằng một cách
nào đó ho họ.
Phải sử dụng trung tâm phân phối khoá KDC.
Vấn đề chữ ký điện tử:
• Chữ ký điện tử phải được sử dụng trong các thông điệp điện tử và phải có
hiệu lực tương đương với chữ ký trên giấy.
Hệ mật khóa công khai:
• Mỗi hệ thống đầu cuối tạo một cặp khoá để mã hoá và giải mã các thông
điệp.
• Mỗi hệ thống đầu cuối công bố một khoá trong cặp khoá ,khoá còn lại
được giữ mật.
• Nếu A muốn gửi thông điệp cho B, A sẽ mã hoá văn bản bằng khoá công
khai của B.
• Khi B nhận được thông điệp, B sẽ giải mã bằng khoá mật. Không một bên
thứ ba có thể giải mã được thông điệp vì chỉ có B biết khoá mật của B.
2.2.3. Sơ đồ mã hóa công khai.
• Sơ đồ mã mật khoá công khai sử dụng một khoá để mã hoá và một khoá
khác có liên quan để giải mã. Các thuật toán mã hoá và giải mã có một số
đặc điểm quan trọng sau:
Không thể xác định được khoá giải mã nếu chỉ biết thuật toán mã hoá
và khoá mã hoá.
27
Một số hệ mã mật khoá công khai (như RSA) còn cung cấp khả năng
sử dụng bất kỳ một khoá trong cặp khoá làm khoá mã hoá, khoá còn lại
sẽ được dùng làm khoá giải mã.
Sơ đồ mã hóa:
Sơ đồ chứng thực:
28
2. Mỗi người dùng sẽ giao một trong hai khóa cho người đăng ký khóa công
cộng hoặc một file có khả năng truy cập. Khóa đó là khóa công khai. Cái còn
lại là sẽ được giữ bí mật. Như trong hình trên đã giả thiết, mỗi người dùng sẽ
duy trì một tập các khóa công khai thu được từ các người dùng khác
3. Nếu Bob muốn gửi một thông điệp bí mật cho Alice, Bob mã hóa thông
điệp bằng cách sử dụng khóa công khai của Alice.
4. Khi Alice nhận được thông điệp, cô giải mã nó bằng khóa riêng của mình.
Không có người nhận khác có thể giải mã thông điệp vì chỉ Alice biết khóa
riêng của Alice.
Mô hình đảm bảo bí mật:
• Kẻ phá mã, quan sát Y và có quyền truy cập vào KUb nhưng không có
quyền truy cập vào KRb hoặc X, để xem được thông tin kẻ phá mã phải
phục hồi X và / hoặc KRb.
29
Mô hình kết hợp:
• Trong trường hợp này, chúng ta bắt đầu như trước bằng cách mã hóa các
tin nhắn, sử dụng khóa riêng của người gửi. Công việc này để cung cấp
các chữ ký số. Tiếp theo, chúng ta mã hóa một lần nữa, bằng cách sử dụng
khóa công khai của người nhận. Các bản mã cuối cùng chỉ có thể được giải
mã chỉ bởi người nhận đã được xác định, người có chìa khóa. Vì vậy, tính
bảo mật được cung cấp.
30
• Đối thủ không thể xác định được M khi biết KUb và C
• Một trong hai khóa có thể dùng mã hóa trong khi khóa kia có thể dùng giải
mã
• M = DKRb(EKUb(M)) = DKUb(EKRb(M))
2.2.4. So sánh mã hóa đối xứng và mã hóa công khai.
31
• Công bố khóa mã hóa công khai KU = {e, n}
• Giữ bí mật khóa giải mã riêng KR = {d, n}
Các giá trị bí mật p và q bị hủy bỏ
Tính khả thi của RSA:
• Theo định lý Euler
a, n : gcd(a, n) = 1 a(n) mod n = 1
(n) là số các số nguyên dương nhỏ hơn n và nguyên tố cùng nhau với
n
• Đối với RSA có
n = pq với p và q là các số nguyên tố
(n) = (p - 1)(q - 1)
ed ≡ 1 mod (n) số nguyên k : ed = k(n) + 1
M<n
• Có thể suy ra
Cd mod n = Med mod n = Mk(n) + 1 mod n = M mod n = M
Ví dụ tạo khóa RSA:
Chọn 2 số nguyên tố p = 17 và q = 11
Tính n = pq = 17 11 = 187
Tính (n) = (p - 1)(q - 1) = 16 10 = 160
Chọn e : gcd(e, 160) = 1 và 1 < e < 160; lấy e = 7
Xác định d : de ≡ 1 mod 160 và d ≤ 187
Giá trị d = 23 vì 23 7 = 161 = 1 160 + 1
Công bố khóa công khai KU = {7, 187}
Giữ bí mật khóa riêng KR = {23, 187}
Hủy bỏ các giá trị bí mật p = 17 và q = 11
32
• Trước đây khuyến nghị giá trị của e là 3, nhưng hiện nay được coi là quá
nhỏ
• Thường chọn e = 216 - 1 = 65535
• Giá trị của d sẽ lớn và khó đoán
2.2.5.3. Vấn đề an toàn của RSA.
• Khóa 128 bit là một số giữa 1 và một số rất lớn
340.282.366.920.938.000.000.000.000.000.000.000.000
• Có bao nhiêu số nguyên tố giữa 1 và số này ≈ n / ln(n) = 2128 / ln(2128) ≈
3.835.341.275.459.350.000.000.000.000.000.000.000
• Cần bao nhiêu thời gian nếu mỗi giây có thể tính được 1012 số
Hơn 121,617,874,031,562,000 năm (khoảng 10 triệu lần tuổi của vũ trụ)
• An toàn nhưng cần đề phòng những điểm yếu
2.2.5.4. Phá mã RSA.
• Phương pháp vét cạn
Thử tất cả các khóa riêng có thể: phụ thuộc vào độ dài khóa
• Phương pháp phân tích toán học
Phân n thành tích 2 số nguyên tố p và q
Xác định trực tiếp (n) không thông qua p và q
Xác định trực tiếp d không thông qua (n)
• Phương pháp phân tích thời gian
Dựa trên việc đo thời gian giải mã
Có thể ngăn ngừa bằng cách làm nhiễu
2.2.6. Sơ đồ trao đổi khóa Diffie – Hellman.
• Giải thuật mật mã khóa công khai đầu tiên
• Đề xuất bởi Whitfield Diffie và Martin Hellman vào năm 1976
Malcolm Williamson (GCHQ - Anh) phát hiện trước mấy năm nhưng
đến năm 1997 mới công bố
• Chỉ dùng để trao đổi khóa bí mật một cách an toàn trên các kêch thông tin
không an toàn
• Khóa bí mật được tính toán bởi cả hai bên
• An toàn phụ thuộc vào độ phức tạp của việc tính log rời rạc
Thiết lập Diffie-Hellman:
• Các bên thống nhất với nhau các tham số chung
q là một số nguyên tố đủ lớn
33
là một nguyên căn của q : mod q, 2 mod q,..., p-1 mod q là các số
nguyên giao hoán của các số từ 1 đến q - 1
• Bên A
Chọn ngẫu nhiên làm khóa riêng XA < q
Tính khóa chung YA = XA mod q
• Bên B
Chọn ngẫu nhiên làm khóa riêng XB < q
Tính khóa chung YB = XB mod q
Trao đổi khóa Diffie-Hellman:
• Tính toán khóa bí mật
Bên A biết khóa riêng XA và khóa công khai YB
K = YBXA mod q
Bên B biết khóa riêng XB và khóa công khai YA
K = YAXB mod q
• Chứng minh
YAXB mod q = (XA mod q)XB mod q
= XAXB mod q
= XBXA mod q
= (XB mod q)XA mod q
= YBXA mod q
Hạn chế của khóa công khai:
• Tốc độ xử lý
Các giải thuật khóa công khai chủ yếu dùng các phép nhân chậm hơn
nhiều so với các giải thuật đối xứng
Không thích hợp cho mã hóa thông thường
Thường dùng trao đổi khóa bí mật đầu phiên truyền tin
• Tính xác thực của khóa công khai
Bất cứ ai cũng có thể tạo ra một khóa công bố đó là của một người
khác
Chừng nào việc giả mạo chưa bị phát hiện có thể đọc được nội dung
các thông báo gửi cho người kia
Cần đảm bảo những người đăng ký khóa là đáng tin
2.3 Các giao thức xác thực và chữ kí điện tử
2.3.1.Các hành động tấn công?
34
• Giải phòng nội dung thông điệp: Phát hành nội dung thông điệp tới một
người hoặc một tiến trình nào đó mà không sở hữu khóa mật thích hợp.
• Phân tích tải: để xác định tần suất, thời gian kết nối, số lượng và chiều dài
của thông điệp giữa 2 bên.
• Giả mạo: chèn tin nhắn vào mạng từ một nguồn gian lận, chẳng hạn như
tạo ra các thông điệp có mục đích xấu bởi người có thẩm quyền.
• Thay đổi nội dung: Thay đổi các nội dung của tin nhắn có, bao gồm chèn,
xóa, hoán vị, và sửa đổi
• Thay đổi thứ tự: là bất ky một sự sửa đổi nào cho một chuỗi các thông
điệp giữa các bên, bao gồm chèn, xóa, và sắp xếp lại.
• Thay đổi thời gian: làm trễ hoặc phát lại các tin nhắn.
• Sự từ chối dịch vụ: từ chối gửi các thông điệp từ nguồn gửi hoặc từ chối
nhận các thông điệp ở đích.
2.3.2. Các vấn đề xác thực
• Các tiêu chuẩn cần xác minh
Thông báo có nguồn gốc rõ ràng chính xác
Nội dung thông báo toàn vẹn, không bị thay đổi
Thông báo được gửi đúng trình tự và thời điểm
• Mục đích chống lại tấn công chủ động (xuyên tạc dữ liệu…)
• Các phương pháp xác thực thông báo
Mã hoá thông báo(1)
Sử dụng mã xác thực thông báo(2)
Sử dụng hàm băm(3)
2.3.1.1. Xác thực bằng cách mã hóa.
• Sử dụng mã hóa đối xứng
Thông báo gửi từ đúng nguồn vì chỉ có người gửi đó mới biết khóa bí
mật dùng chung
Nội dung không thể bị thay đổi vì văn bản thô có cấu trúc nhất định
Các gói tin được đánh số thứ tự và mã hóa nên không thể thay đổi trình
tự và thời điểm nhận được
• Sử dụng mã hóa khóa công khai
Không chỉ xác thực thông báo mà còn tạo chữ ký số
Phức tạp và mất thời gian hơn mã hóa đối xứng
2.3.1.2. Xác thực dùng mã CheckSum
• Dùng mã xác thực thông báo(MAC Message Authentication Code)
35
• Là khối có kích thước nhỏ cố định gắn vào thông báo tạo ra từ thông báo
đó và khóa bí mật chung
• Bên nhận thực hiện cùng giải thuật trên thông báo và khoá để so xem
MAC có chính xác không
• Giải thuật tạo MAC giống giải thuật mã hoá nhưng không cần giải ngược.
• Có thể có nhiều thông báo có cùng chung MAC
Nhưng nếu biết 1 thông báo và MAC, rất khó tìm ra một thông báo
khác cùng MAC
Các thông báo có cùng xác suất tạo ra MAC
• Đáp ứng 3 tiêu chuẩn xác thực
36
M: Thông điệp
C: Hàm MAC
K: Khóa bảo mật được chia sẻ
MAC: Mã xác thực thông điệp (báo)
Tại sao dùng MAC:
• Nhiều trường hợp chỉ cần xác thực, không cần mã hóa tốn thời gian và tài
nguyên
Thông báo hệ thống
Chương trình máy tính
• Tách riêng các chức năng bảo mật và xác thực sẽ khiến việc tổ chức linh
hoạt hơn
Chẳng hạn mỗi chức năng thực hiện ở một tầng riêng
• Cần đảm bảo tính toàn vẹn của thông báo trong suốt thời gian tồn tại
không chỉ khi lưu chuyển, vì thông báo có thể bị thay đổi sau khi giải mã.
2.3.1.3. Xác thực dùng hàm băm
• Một hàm băm nhận đầu vào là một thông báo có độ dài tùy ý và tạo ra kết
quả là một xâu ký tự có độ dài cố định, đôi khi được gọi là tóm tắt thông
báo hoặc chữ ký số.
• Tạo ra một giá trị băm có kích thước cố định từ thông báo đầu vào (không
dùng khóa)
h = H(M)
• Hàm băm không cần giữ bí mật
• Giá trị băm gắn kèm với thông báo dùng để kiểm tra tính toàn vẹn của
thông báo
37
• Bất kỳ sự thay đổi M nào dù nhỏ cũng tạo ra một giá trị h khác
Xác thực dùng hàm băm:
38
Yêu cầu đối với hàm băm:
• Có thể áp dụng với thông báo M có độ dài bất kỳ
• Tạo ra giá trị băm h có độ dài cố định
• H(M) dễ dàng tính được với bất kỳ M nào
• Từ h rất khó tìm được M sao cho H(M) = h
Tính một chiều
• Từ M1 rất khó tìm được M2 sao cho H(M2) = H(M1)
Tính chống xung đột yếu
• Rất khó tìm được (M1, M2) sao cho H(M1) = H(M2)
Tính chống xung đột mạnh
Vấn đề an toàn của hàm băm và MAC
• Kiểu tấn công vét cạn
Với hàm băm, nỗ lực phụ thuộc độ dài m của mã băm
- Độ phức tạp của tính một chiều và tính chống xung đột yếu là
2m; của tính chống xung đột mạnh là 2m/2
39
- 128 bit có thể phá được, thường dùng 160 bit
Với MAC, nỗ lực phụ thuộc vào độ dài k của khóa và độ dài n của
MAC
- Độ phức tạp là min(2k, 2n)
- Ít nhất phải là 128 bit
• Kiểu tấn công dùng kỹ thuật
Hàm băm thường gồm nhiều vòng như mã hóa khối nên có thể tập
trung khai thác điểm yếu hàm vòng
2.3.2. Chữ ký điện tử.
Chữ ký số (Digital Signature) hay chữ ký điện tử (Electronic Signature) là
thông tin đi kèm theo dữ liệu nhằm mục đích xác nhận người chủ của dữ liệu đó.
2.3.2.1. Yêu cầu với chữ ký số
- Phụ thuộc vào thông báo được ký
- Có sử dụng thông tin riêng/đặc biệt của người gửi: để tránh giả mảo và chối
bỏ
- Chữ ký phải tương đối dễ tạo ra, tương đối dễ nhận biết và kiếm tra.
- Rất khó giả mạo
- Thuận tiện trong việc lưa trữ
2.3.2.2. Phân loại.
Được chia làm 2 loại
• Chữ ký số trực tiếp:
Loại chữ ký này chỉ liên quan tới bên gửi và bên nhận. Ví dụ như người
gửi biết khóa công khai của người nhận. Một chữ ký số có thể được tạo
ra bằng cách mã hóa toàn bộ thông điệp với khóa riêng của người gửi
hoặc bằng cách mã hóa giá trị băm của thông điệp với khóa riêng của của
người gửi.
Với mật mã công khai
Dùng khóa riêng ký toàn bộ thông báo hoặc giá trị băm
Có thể mã hóa sử dụng khóa công khai của bên nhận
Thực hiện ký trước mã hóa sau
Chỉ có tác dụng khi khóa riêng của bên gửi được đảm bảo an toàn
Bên gửi có thể giả vờ mất khóa riêng : cần bổ xung thông tin thời gian
và báo mất khóa kịp thời
Khóa riêng có thể bị mất thật :Kẻ cắp có thể gửi thông báo với thông
tin thời gian sai lệch
• Chữ ký gián tiếp:
40
Có sự tham gia của một bên trọng tài
Nhận thông báo có chữ ký số từ bên gửi, kiểm tra tính hợp lệ của nó
Bổ xung thông tin thời gian và gửi đến bên nhận
An toàn phụ thuộc chủ yếu vào bên trọng tài
Cần được bên gửi và bên nhận tin tưởng
Có thể cài đặt với mã hóa đối xứng hoặc mã hóa khóa công khai
Bên trọng tài có thể được phép nhìn thấy hoặc không nội dung thông báo
Các kỹ thuật chữ ký số gián tiếp:
(a) Mã hóa đối xứng, trọng tài thấy thông báo
(1) X A : M ║ EKXA[IDX ║ H(M)]
(2) A Y : EKAY[IDX ║ M ║ EKXA[IDX ║ H(M)] ║ T]
(b) Mã hóa đối xứng, trọng tài không thấy thông báo
(1) X A : IDX ║ EKXY[M] ║ EKXA[IDX ║ H(EKXY[M])]
(2) A Y : EKAY[IDX ║ EKXY[M] ║ EKXA[IDX ║ H(EKXY[M])] ║ T
(c) Mã hóa khóa công khai, trọng tài không thấy thông báo
(1) X A : IDX ║ EKRX[IDX ║ EKUY[EKRX[M])]
(2) A Y : EKRA[IDX ║ EKUY[EKRX[M]] ║ T]
41
Chứng thực chữ kí
Với quá trình chứng thực, hệ thống sẽ tách thông điệp đã ký thành ra file và
chữ ký điện tử. Đến giai đoạn này sẽ có 2 quá trình kiểm tra :
1. Kiểm tra file có đúng người gửi hay không?
- Sử dụng thuật toán RSA để giải mã chữ ký điện tử bằng khóa công khai
(username) của người gửi.
- Nếu giải mã không được thì file nhận được không đúng người gửi.
- Nếu giải mã thành công thì file nhận được đúng người gửi và có được Bản
tóm
lược 1.
2. Kiểm tra file có bị thay đổi hay không?
- Từ file được tách ra ta sử dụng hàm băm MD5 mã hóa thành Bản tóm lược
2.
- Kiểm tra Bản tóm lược 1 và Bản tóm lược 2 có giống nhau hay không? Nếu
giống nhau thì file nhận được là vẹn toàn (không bị thay đổi hay tác động),
ngược lại là file đã bị thay đổi
42
2.3.2.4. Digital Certtificate
Certtificate là gì?
Để chứng thực được chữ ký điện tử bắt buộc người nhận phải có khoá chung
của người gửi. Bản chất cặp khoá này không liên hệ với thuộc tính của người
sử dụng vì vậy cần có cơ chế để liên kết chúng với người dùng --> các
certificate
Các Certificate được cung cấp bởi CA
Các thông tin trong Certtificate.
- Phiên bản
- Số serial
- Nhà cung cấp Certifficate
- Người giữ Certificate
- Thời gian hợp pháp của Certificate
- Các thuộc tính
- Chữ ký diện tử của nhà cung cấp
- Khoá công khai của người sở hứu Certificate
- Thuật toán băm dùng để tạo chữ ký.
Tạo Certtificate.
- Các Certificate được tạo ra còn để chứng thực cho bản thân nó
- Các CA có cấu trúc phân cấp
43
44
Cấu trúc phân cấp của CA.
45
2.3.3. Các giao thức xác thực.
Có 3 phương thức xác thực:
Xác thực lẫn nhau: Trong phương pháp xác thực lẫn nhau ta xét vấn đề phân
phối khoá với 2 yếu tố: Tính tin cậy và tính hợp thời. Tính tin cậy là khả năng
ngăn chặn hiện tượng giả mạo và thoả hiệp khoá phiên. Tính hợp thời là khả
năng chống lại kiểu tấn công replay. Với mục đích chống lại tấn công replay
chúng ta sử dụng hai biện pháp:
- Timestamp: gắn1 timestampvào bản tin --> yêu cầu đồng bộ
- Challenge/Response: A sẽ gửi đến B 1 nonce và đợi trả lời của B.Nếu có
chứa giá trị nonce chính xác thì mới bắt đầu gửi bảntin
Timestamp Challenge/Response
- không áp dụng cho các ứng - không áp dụng cho các ứng
dụng hướng kết nối dụng không hướng kết nối
- Yêu cầu đồng bộ giữa các tiến - Yêu cầu bắt tay trước khi
trình đồng hồ truyền thông không kết nối
- Cơ hội tấn công thành công sẽ - Phương pháp tốt nhất: tạo sự
tăng lên nếu có 1 khoảng thời đồng bộ giữa đồng hồở mỗi
gian không đồng bộ bên
- Tính luôn thay đổi và không
dự đoán trước được của các
độ trễ trong mạng
46
2.4 Virus máy tính
2.4.1. Định nghĩa Virus.
Trong khoa học máy tính, virus máy tính (thường được người sử dụng gọi tắt
là virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao
chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính ..).
Trước đây, virus thường được viết bởi một số người am hiểu về lập trình
muốn chứng tỏ khả năng của mình nên thường virus có các hành động như: cho một
chương trình không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng,... hoặc gây ra
những trò đùa khó chịu.
Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa
hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến
việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau
cho tin tặc đột nhập chiếm quyền điều khiển hoặc các hành động khác nhằm có lợi
cho người phát tán virus.
Chiếm trên 90% số virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ
điều hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất
trên thến giới. Do tính thông dụng của Windows nên các tin tặc thường tập trung
hướng vào chúng nhiều hơn là các hệ điều hành khác. (Cũng có quan điểm cho rằng
Windows có tính bảo mật không tốt bằng các hệ điều hành khác (như Linux) nên có
nhiều virus hơn, tuy nhiên nếu các hệ điều hành khác cũng thông dụng như
Windows hoặc thị phần các hệ điều hành ngang bằng nhau thì cũng lượng virus xuất
hiện có lẽ cũng tương đương nhau).
2.4.2. Phân loại Virus.
Một trong những phương pháp thường thấy để phân loại virus là theo cách
lây nhiễm của chúng. Phương pháp này chia virus ra làm 3 loại: Virus lây nhiễm
boot-sector, virus lây nhiễm các file thực thi, và virus lây nhiễm các file dữ liệu.
Virus lây nhiễm boot-sector
Quá trình lây nhiễm boot cơ bản qua các bước:
Bước 1: Khởi động.
Bước 2: Chạy các tập lệnh trong ROM, thực hiện quá trình self-test, nhận
dạng thiết bị và khởi tạo. Thiết bị khởi động được xác định, và khối khởi
động được đọc từ thiết bị này, thông thường khối khởi động là tập hợp các
khối đầu tiên của thiết bị khởi động. Một khi khối khởi động được đọc, quyền
điều khiển được trao cho lại cho khối này. Bước này gọi là primary
47
boot
Bước 3: Trong bước này, tập hợp các chương trình kiểm soát file hệ thống
thiết bị khởi động được trao quyền và thực thi. Bước này gọi là secondary
boot
Bước 4: Hệ điều hành được tải lên bởi các chương trình trên.
Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, được
tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động
(boot sector) của một dĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ dĩa mềm. Đây
là loại "stealth virus" đầu tiên.
Virus lây nhiễm file thực thi
Nguyên tắc của F-virus là gắn lén vào file thực thi (dạng .COM và .EXE)
một đoạn mã ở phần đầu hoặc cuối của cấu trúc file để mỗi lần file thực hiện, đoạn
mã này sẽ được kích hoạt, thường trú trong vùng nhớ, khống chế các tác vụ truy
xuất file, dò tìm các file thực thi sạch khác để tự gắn chúng vào. Ưu điểm của F-
virus là dễ dàng được kích hoạt (do tần suất chạy chương trình COM, EXE của hệ
thống rất cao). Nhược điểm của chúng là chỉ lây trên một hệ điều hành xác định.
Tháng 12 năm 1986, virus cho DOS được khám phá ra là virus "VirDem".
Nó có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá
hoại các máy tính VAX/VMS.
Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh".
Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty
trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ
của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một thời điểm).
Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy
tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000
dollar.
48
Virus lây nhiễm file dữ liệu
Lợi dụng như cầu trao đổi văn bản, thư từ, công văn, hợp đồng … trong thời
đại bùng nổ thông tin, kẻ thiết kế nên virus Concept (thủy tổ của họ virus macro)
chọn ngôn ngữ macro của Microsoft Word làm phương tiện lây lan trên môi trường
Winword. Khi bạn mở một tài liệu *.DOC bị nhiễm virus thì từ văn bản nhiễm
macro virus sẽ được đưa vào file NORMAL.DOT, rồi từ đây, chúng tự chèn vào các
văn bản sạch khác. Dạng thứ hai của virus macro là lây vào bảng tính của Microsoft
Excel, ít phổ biến hơn dạng thứ nhất.
Virus macro độc ở chỗ nó làm mọi người nghi ngờ lẫn nhau. Hãy tưởng
tượng bạn nhận được file *.DOC từ người bạn thân, chắc chắn bạn sẽ không ngần
ngại mở ra xem. Mặc dù người gởi không cố tình hại bạn, nhưng biết đâu có ẩn
chứa virus, và đúng lúc bạn chờ Word in ra màn hình nội dung bức thư thì toàn bộ
đĩa cứng của bạn đã bị xóa trắng. Đó là độc chiêu mà macro virus NTTHNTA sẽ
xóa đĩa cứng khi số lần mở các file nhiễm là 20.
Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã
macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có
thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập
trình Visual Basic cho các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm
trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint,
OutLook,.... Loại macro này, nổi tiếng có virus Baza và virus Laroux, xuất hiện năm
1996, có thể nằm trong cả Word hay Excel. Sau này, virus Melissa, năm 1997, tấn
công hơn 1 triệu máy, lan truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và
gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate,
năm 1999, có thể nằm trong các tệp Word, Excel và Power Point.
Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì
của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng
"ILOVEYOU.txt.exe". Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định
sẵn, đuôi dạng .exe sẽ tự động bị dấu đi. Ngoài ra, virus này còn có một đặc tính
mới của spyware: nó tìm cách đọc tên và mã nhập của máy chủ và gửi về kẻ tạo ra
virus. Tác giả của loại virus này là một sinh viên người Philippines.
2.4.3. Giới thiệu kỹ thuật Anti – Virus và Anti – Anti –Virus.
Anti – Virus
Các phần mềm phòng chống virus thực hiện 3 tác vụ chính:
Sự nhận biết virus: Là phát hiện có hoặc không mã của một loại virus hay
không mà, cách thức cơ bản nhất để phát hiện virus, giá trị trả lại ở dạng Boolean:
YES –có nghĩa là trong mã này có virus; NO - mã này không bị nhiễm bệnh. Cuối
cùng, phát hiện là một mất. Tuy vậy đây cũng không phải là một cách thức thực sự
hiệu quả để phát hiện được virus bởi suy cho cùng cách xuất hiện hoặc hành vi của
virus là khó có thể dự đoán được. Một người với kĩ thuật có thể viết nên một virus
mà các chương trình diệt virus không thể phát hiện được. (Lưu ý rằng: virus này sau
đó có thể được phát hiện bởi các chương trình chống virus với quá trình cập nhật
49
các virus mới. Tuy nhiên tác giả của virus cũng có thể tạo ra một phiên bản mới của
virus . Quá trình phát hiện và phát triển virus này diễn ra một cách liên tục).
Một câu hỏi được đặt ra là : Có nên một virus luôn được phát hiện, ngay cả
khi nó không thể chạy? Câu trả lời là :Có. Bởi ngay cả khi một virus là không hoạt
động trên một hệ thống, nó vẫn còn hữu ích để phát hiện nó để vi rút không ảnh
hưởng đến hệ thống khác. Trong các trường hợp dù virus không chạy trên bất kỳ hệ
thống nào thì việc tìm một virus có thể giúp chỉ ra một số lỗ hổng bảo mật tiềm ẩn,
và do đó nó là hữu ích để phát hiện những virus trên.
Sự xác định virus: Một khi virus được phát hiện, nó cần được xác định xem
đó là loại virus gì? Quá trình xác định có thể là riêng biệt với phát hiện, hoặc nó có
thể được thực hiện như một phần của phương pháp phát hiện virus được sử dụng.
Sự ngăn nhiễm hoặc loại bỏ virus: Là quá trình loại bỏ virus được phát hiện,
đôi khi quá trình này được gọi làm sạch. Thông thường một virus sẽ cần phải được
xác định chính xác trước khi thực hiện làm sạch nhằm có biện pháp hiệu quả nhất.
Quá trình phát hiện và loại bỏ có thể được thực hiện bằng việc sử dụng các
phương pháp chung có khả năng nhận biết cả các virus đã biết và chưa biết. Với các
virus đã biết thường sử dụng các phương pháp cụ thể để nâng cao hiệu quả phát hiện
và loại bỏ (Lưu ý: Các phương pháp cụ thể dành cho các loạivirus đã biết cũng có
thể phát hiện được các các biến thể chưa biết của loại virus đó.)
Trong 3 quá trình trên thì quá trình phát hiện được cho là quan trọng nhất,
bởi vì quá trình xác định và loại bỏ cần quá trình phát hiện như là một điều kiện tiên
quyết. Ngoài ra, phát hiện sớm (tức là, trước khi lây nhiễm xảy ra) hoàn toàn làm
giảm bớt sự cần thiết cho các nhiệm vụ khác. Có năm kết quả có thể phát hiện. Hình
trên cho thấy bốn trong số đó. Phát hiện virus một cách chính xác trong hai trường
hợp: không có virus tồn tại quá trình phát hiện đưa ra kết quả là không tồn tại virus
50
và ngược lại đưa ra kết quả là tồn tại virus khi thực sự có virus tồn tại. Phát hiện
được coi là false positive khi không phần mềm antivirus báo có virus nhưng trên
thực tế virus lại không tồn tại. Và phát hiện được coi là false nagative khi quá trình
phát hiện không thể phát hiện ra virus mặc dù trên thực tế là có tồn tại. Kết quả thứ
năm là ghost positives khi virus thực chất đã không còn xong quá trình phát hiện
vẫn báo tồn tại virus bởi do quá trình loại bỏ trước đó chưa triệt để và vẫn còn tồn
tại tàn dư của virus đủ để quá trình phát hiện báo rằng vẫn còn tồn tại virus.Có hai
phương pháp phát hiện là phát hiện tĩnh và phát hiện động, phụ thuộc vào có hoặc
không mã virus đang chạy khi việc phát hiện xảy ra.
Anti – Anti – Virus
2.4.4. Phòng chống Virus.
Có một câu nói vui rằng Để không bị lây nhiễm virus thì ngắt kết nối khỏi
mạng, không sử dụng ổ mềm, ổ USB hoặc copy bất kỳ file nào vào máy tính. Nhưng
nghiêm túc ra thì điều này có vẻ đúng khi mà hiện nay sự tăng trưởng số lượng virus
hàng năm trên thế giới rất lớn.
Không thể khẳng định chắc chắn bảo vệ an toàn 100% cho máy tính trước
hiểm hoạ virus và các phần mềm hiểm độc, nhưng chúng ta có thể hạn chế đến tối
đa có thể và có các biện pháp bảo vệ dữ liệu của mình.
a. Sử dụng phần mềm diệt virus
Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận
biết nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó
luôn nhận biết được các virus mới.
Trên thị trường hiện có rất nhiều phần mềm diệt virus. Một số hãng nổi tiếng
viết các phần mềm virus được nhiều người sử dụng có thể kể đến là: McAfee,
Symantec, Kaspersky
b. Sử dụng tường lửa
Tường lửa (Firewall) không phải một cái gì đó quá xa vời hoặc chỉ dành cho
các nhà cung cấp dịch vụ internet (ISP) mà mỗi máy tính cá nhân cũng cần
phải sử dụng tường lửa để bảo vệ trước virus và các phần mềm độc hại. Khi
sử dụng tường lửa, các thông tin vào và ra đối với máy tính được kiểm soát
một cách vô thức hoặc có chủ ý. Nếu một phần mềm độc hại đã được cài vào
máy tính có hành động kết nối ra Internet thì tường lửa có thể cảnh báo giúp
người sử dụng loại bỏ hoặc vô hiệu hoá chúng. Tường lửa giúp ngăn chặn
các kết nối đến không mong muốn để giảm nguy cơ bị kiểm soát máy tính
ngoài ý muốn hoặc cài đặt vào các chương trình độc hại hay virus máy tính.
Sử dụng tường lửa bằng phần cứng nếu người sử dụng kết nối với mạng
Internet thông qua một modem có chức năng này. Thông thường ở chế độ
mặc định của nhà sản xuất thì chức năng "tường lửa" bị tắt, người sử dụng có
thể truy cập vào modem để cho phép hiệu lực (bật). Sử dụng tường lửa bằng
51
phần cứng không phải tuyệt đối an toàn bởi chúng thường chỉ ngăn chặn kết
nối đến trái phép, do đó kết hợp sử dụng tường lửa bằng các phần mềm.
Sử dụng tường lửa bằng phần mềm: Ngay các hệ điều hành họ Windows
ngày nay đã được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy
nhiên thông thường các phần mềm của hãng thứ ba có thể làm việc tốt hơn và
tích hợp nhiều công cụ hơn so với tường lửa phần mềm sẵn có của Windows.
Ví dụ bộ phần mềm ZoneAlarm Security Suite của hãng ZoneLab là một bộ
công cụ bảo vệ hữu hiệu trước virus, các phần mềm độc hại, chống spam, và
tường lửa.
c. Cập nhật các bản sửa lỗi của hệ điều hành
Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật
chính bởi sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để
chiếm quyền điều khiển hoặc phát tán virus và các phần mềm độc hại. Người
sử dụng luôn cần cập nhật các bản vá lỗi của Windows thông qua trang web
Microsoft Update (cho việc nâng cấp tất cả các phần mềm của hãng
Microsoft) hoặc Windows Update (chỉ cập nhật riêng cho Windows). Cách
tốt nhất hãy đặt chế độ nâng cấp (sửa chữa) tự động (Automatic Updates) của
Windows. Tính năng này chỉ hỗ trợ đối với các bản Windows mà Microsoft
nhận thấy rằng chúng hợp pháp.
d. Vận dụng kinh nghiệm sử dụng máy tính
Cho dù sử dụng tất cả các phần mềm và phương thức trên nhưng máy tính
vẫn có khả năng bị lây nhiễm virus và các phần mềm độc hại bởi mẫu virus
mới chưa được cập nhật kịp thời đối với phần mềm diệt virus. Người sử dụng
máy tính cần sử dụng triệt để các chức năng, ứng dụng sẵn có trong hệ điều
hành và các kinh nghiệm khác để bảo vệ cho hệ điều hành và dữ liệu của
mình. Một số kinh nghiệm tham khảo như sau:
Phát hiện sự hoạt động khác thường của máy tính: Đa phần người sử
dụng máy tính không có thói quen cài đặt, gỡ bỏ phần mềm hoặc thường
xuyên làm hệ điều hành thay đổi - có nghĩa là một sự sử dụng ổn định - sẽ
nhận biết được sự thay đổi khác thường của máy tính. Ví dụ đơn giản:
Nhận thấy sự hoạt động chậm chạp của máy tính, nhận thấy các kết nối ra
ngoài khác thường thông qua tường lửa của hệ điều hành hoặc của hãng
thứ ba (thông qua các thông báo hỏi sự cho phép truy cập ra ngoài hoặc
sự hoạt động khác của tường lửa). Mọi sự hoạt động khác thường này nếu
không phải do phần cứng gây ra thì cần nghi ngờ sự xuất hiện của virus.
Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập nhật dữ liệu mới nhất
cho phần mềm diệt virus hoặc thử sử dụng một phần mềm diệt virus khác
để quét toàn hệ thống.
Kiểm soát các ứng dụng đang hoạt động: Kiểm soát sự hoạt động của các
phần mềm trong hệ thống thông qua Task Manager hoặc các phần mềm
52
của hãng thứ ba (chẳng hạn: ProcessViewer) để biết một phiên làm việc
bình thường hệ thống thường nạp các ứng dụng nào, chúng chiếm lượng
bộ nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động là gì...ngay
khi có điều bất thường của hệ thống (dù chưa có biểu hiện của sự nhiễm
virus) cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý.
Tuy nhiên cách này đòi hỏi một sự am hiểu nhất định của người sử dụng.
Loại bỏ một số tính năng của hệ điều hành có thể tạo điều kiện cho sự lây
nhiễm virus: Theo mặc định Windows thường cho phép các tính năng
autorun giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm
khi đưa đĩa CD hoặc đĩa USB vào hệ thống. Chính các tính năng này
được một số loại virus lợi dụng để lây nhiễm ngay khi vừa cắm ổ USB
hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền
rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các
file autorun.ini trên ổ USB để tự chạy các virus ngay khi cắm ổ USB vào
máy tính). Cần loại bỏ tính năng này bằng các phần mềm của hãng thứ ba
như TWEAKUI hoặc sửa đổi trong Registry.
e. Bảo vệ dữ liệu máy tính
Nếu như không chắc chắn 100% rằng có thể không bị lây nhiễm virus
máy tính và các phần mềm hiểm độc khác thì bạn nên tự bảo vệ sự toàn
vẹn của dữ liệu của mình trước khi dữ liệu bị hư hỏng do virus (hoặc ngay
cả các nguy cơ tiềm tàng khác như sự hư hỏng của các thiết bị lưu trữ dữ
liệu của máy tính). Trong phạm vi về bài viết về virus máy tính, bạn có
thể tham khảo các ý tưởng chính như sau:
Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo
vệ dữ liệu. Bạn có thể thường xuyên sao lưu dữ liệu theo chu kỳ đến một
nơi an toàn như: các thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra
đĩa quang...), hình thức này có thể thực hiện theo chu kỳ hàng tuần hoặc
khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữ liệu của bạn.
Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích
sẵn có của hệ điều hành (ví dụ System Restore của Windows Me, XP...)
mà có thể cần đến các phần mềm của hãng thứ ba, ví dụ bạn có thể tạo
các bản sao lưu hệ thống bằng các phần mềm ghost, các phần mềm tạo
ảnh ổ đĩa hoặc phân vùng khác.
Thực chất các hành động trên không chắc chắn là các dữ liệu được sao lưu
không bị lây nhiễm virus, nhưng nếu có virus thì các phiên bản cập nhật mới hơn
của phần mềm diệt virus trong tương lai có thể loại bỏ được chúng.
53
2.5. Internet Firewall
Hiện nay, khái niệm mạng toàn cầu - Internet không còn mới mẻ. Nó đã trở
nên phổ biến tới mức không cần phải chú giải gì thêm đặc biệt là trong những tạp
chí kỹ thuật. Khi những tạp chí thông thường chú trọng vào Internet thì giờ đây,
những tạp chí kỹ thuật lại tập trung vào khía cạnh khác: an toàn thông tin. Đó cùng
là một quá trình tiến triển hợp logic: khi những quan tâm ban đầu về một siêu xa lộ
thông tin, bạn nhất định nhận thấy rằng không chỉ cho phép bạn truy nhập vào nhiều
nơi trên thế giới, và ngược lại nhiều người không mời mà có thể ghé thăm máy tính
của bạn thông qua Internet.
Thực vậy, Internet cung cấp những kỹ thuật cho phép mọi người truy nhập,
khai thác, chia sẻ thông tin. Những nó cũng là nguy cơ chính dẫn đến thông tin của
bạn bị sai hỏng hoặc phá huỷ hoàn toàn. Theo số liệu của CERT(Computer
Emegency Response Team - “Đội cấp cứu máy tính”), số lượng các vụ tấn công trên
Internet được thông báo cho tổ chức này là ít hơn 200 vào năm 1989, khoảng 400
vào năm 1991, 1400 vào năm 1993, và 2241 vào năm 1994. Những vụ tấn công này
nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của tất cả các công
ty lớn như AT&T, IBM, các trường đại học, các cơ quan nhà nước, các tổ chức quân
sự, nhà băng... Một số vụ tấn công có quy mô khổng lồ (có tới 100.000 máy tính bị
tấn công). Hơn nữa, những con số này chỉ là phần nổi của tảng băng. Một phần rất
lớn các vụ tấn công không được thông báo, vì nhiều lý do, trong đó có thể kể đến
nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biết
những cuộc tấn công nhằm vào hệ thống của họ.
Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng, mà các phương
pháp tấn công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên
quản trị hệ thống được kết nối với Internet ngày càng đề cao cảnh giác. Cũng theo
CERT, những cuộc tấn công thời kỳ 1988-1989 chủ yếu đoán tên người sử dụng-
mật khẩu (UserID-password) hoặc sử dụng một số lỗi của các chương trình và hệ
điều hành (security hole) làm vô hiệu hệ thống bảo vệ, tuy nhiên các cuộc tấn công
vào thời gian gần đây bao gồm cả các thao tác: giả mạo địa chỉ IP, theo dõi thông tin
truyền qua mạng, chiếm các phiên làm việc từ xa (telnet hoặc rlogin).
2.5.1. Định nghĩa.
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ
thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ
các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số
thông tin khác không mong muốn. Cũng có thể hiểu rằng Firewall là một cơ chế để
bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrusted
network).
Internet Firewall là một thiết bị (phần cứng+phần mềm) giữa mạng của một
tổ chức, một công ty, hay một quốc gia (Intranet) và Internet. Nó thực hiện vai trò
bảo mật các thông tin Intranet từ thế giới Internet bên ngoài.
54
2.5.2. Chức năng.
Internet Firewall (từ nay về sau gọi tắt là firewall) là một thành phần đặt giữa
Intranet và Internet để kiểm soát tất cả các việc lưu thông và truy cập giữa chúng với
nhau bao gồm:
Firewall quyết định những dịch vụ nào từ bên trong được phép truy cập từ
bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên
trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên
trong.
Để firewall làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài và
ngược lại đều phải thực hiện thông qua Firewall.
Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ thống mạng
nội bộ mới được quyền lưu thông qua Firewall.
Sơ đồ chức năng hệ thống của firewall được mô tả như trong hình bên dưới
55
Cổng mạch (circuite level gateway)
Bộ lọc gói tin.
Nguyên lý:
Khi nói đến việc l-u thông dữ liệu giữa các mạng với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức liên
mạng TCP/IP. V giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận
được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các
giao thức (Telnet, SMTP, DNS SMNP, NFS...) thành các gói dữ liệu (data packets)
rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần
gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những
con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm
tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong
số các luật lệ của lọc packet hay không. Các luật lệ lọc packet này là dựa trên các
thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó
ở trên mạng. Đó là:
Địa chỉ IP nơi xuất phát ( IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)
Cổng TCP/UDP nơi nhận (TCP/UDP destination port)
Dạng thông báo ICMP ( ICMP message type)
giao diện packet đến ( incomming interface of packet)
giao diện packet đi ( outcomming interface of packet)
Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall.
Nếu không packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết
nối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào
hệ thống mạng nội bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát
các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định
vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP,
FTP...) được phép mới chạy được trên hệ thống mạng cục bộ.
Ưu điểm
Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu
điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã
được bao gồm trong mỗi phần mềm router.
Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng,
vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả.
56
Hạn chế:
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạng
packet header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường. Khi đòi hỏi
vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó để quản lý
và điều khiển.
Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet không
kiểm soát được nội dung thông tin của packet. Các packet chuyển qua vẫn có thể
mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.
Cổng ứng dụng.
Nguyên lý
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát
các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt
động của nó dựa trên cách thức gọi là Proxy service (dịch vụ đại diện). Proxy
service là các bộ chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu
người quản trị mạng không cài đặt chương trình proxy cho một ứng dụng nào đó,
dịch vụ tương ứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua
firewall. Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc
điểm trong ứng dụng mà ng-òi quản trị mạng cho là chấp nhận được trong khi từ
chối những đặc điểm khác.
Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi
vì nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài. Những biện pháp
đảm bảo an ninh của một bastion host là:
Bastion host luôn chạy các version an toàn (secure version) của các phần
mềm hệ thống (Operating system). Các version an toàn này được thiết kế chuyên
cho mục đích chống lại sự tấn công vào Operating System, cũng nh- là đảm bảo sự
tích hợp firewall.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt
trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể
bị tấn công. Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ
Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host.
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user
password hay smart card.
Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ
nhất định. Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ
đúng với một số máy chủ trên toàn hệ thống.
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao
thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối. Nhật ký này rất có ích trong
việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.
57
Mỗi proxy đều độc lập với các proxies khác trên bastion host. Điều này cho
phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn
để.
Ví dụ: Telnet Proxy
Ví dụ một người (gọi là outside client) muốn sử dụng dịch vụ TELNET để
kết nối vào hệ thống mạng qua môt bastion host có Telnet proxy. Quá trình xảy ra
như sau:
Outside client telnets đến bastion host. Bastion host kiểm tra password, nếu
hợp lệ thì outside client được phép vào giao diện của Telnet proxy. Telnet proxy cho
phép một tập nhỏ những lệnh của Telnet, và quyết định những máy chủ nội bộ nào
outside client được phép truy nhập.
Outside client chỉ ra máy chủ đích và Telnet proxy tạo một kết nối của riêng
nó tới máy chủ bên trong, và chuyển các lệnh tới máy chủ dưới sự uỷ quyền của
outside client. Outside client thì tin rằng Telnet proxy là máy chủ thật ở bên trong,
trong khi máy chủ ở bên trong thì tin rằng Telnet proxy là client thật.
Ưu điểm
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ trên
mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ nào có
thể truy nhập được bởi các dịch vụ.
Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ nào
cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có nghĩa là
các dịch vụ ấy bị khoá.
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký ghi
chép lại thông tin về truy nhập hệ thống.
Luật lệ filltering (lọc) cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra
hơn so với bộ lọc packet.
Hạn chế
Yêu cầu các users biến đổi (modìy) thao tác, hoặc modìy phần mềm đã cài
đặt trên máy client cho truy nhập vào các dịch vụ proxy. Ví dụ, Telnet truy nhập qua
cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không phải là một bước.
Tuy nhiên, cũng đã có một số phần mềm client cho phép ứng dụng trên cổng ứng
dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích chứ không phải cổng
ứng dụng trên lệnh Telnet.
Cổng vòng.
Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng
ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không
thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
58
Hình dưới minh hoạ một hành động sử dụng nối telnet qua cổng vòng. Cổng
vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một sự
kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi
dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên
ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống
firewall, nó che dấu thông tin về mạng nội bộ.
Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các
quản trị mạng thật sự tin tưởng những người dùng bên trong. Ưu điểm lớn nhất là
một bastion host có thể được cấu hình như là một hỗn hợp cung cấp cổng ứng dụng
cho những kết nối đến, và cổng vòng cho các kết nối đi. Điều này làm cho hệ thống
bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp
truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa
để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
59
Hệ thống Internet firewall phổ biến nhất chỉ bao gồm một packet-filtering
router đặt giữa mạng nội bộ và Internet (Hình 2.3). Một packet-filtering router có
hai chức năng: chuyển tiếp truyền thông giữa hai mạng và sử dụng các quy luật về
lọc gói để cho phép hay từ chối truyền thông. Căn bản, các quy luật lọc đựơc định
nghĩa sao cho các host trên mạng nội bộ được quyền truy nhập trực tiếp tới Internet,
trong khi các host trên Internet chỉ có một số giới hạn các truy nhập vào các máy
tính trên mạng nội bộ. Tư tưởng của mô cấu trúc firewall này là tất cả những gì
không được chỉ ra rõ ràng là cho phép thì có nghĩa là bị từ chối.
Ưu điểm:
- giá thành thấp (vì cấu hình đơn giản)
- trong suốt đối với người sử dụng
Hạn chế:
- Có tất cả hạn chế của một packet-filtering router, như là dễ bị tấn công
vào các bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc là bị tấn
công ngầm dưới những dịch vụ đã được phép.
- Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua
router , nguy cơ bị tấn công quyết định bởi số lượng các host và dịch
vụ được phép. Điều đó dẫn đến mỗi một host được phép truy nhập
trực tiếp vào Internet cần phải được cung cấp một hệ thống xác thực
phức tạp, và thường xuyên kiểm tra bởi người quản trị mạng xem có
dấu hiệu của sự tấn công nào không.
- Nếu một packet-filtering router do một sự cố nào đó ngừng hoạt động,
tất cả hệ thống trên mạng nội bộ có thể bị tấn công.
Screened Host Firewall
Hệ thống này bao gồm một packet-filtering router và một bastion host ( xem
hình dưới). Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực
hiện cả bảo mật ở tầng network( packet-filtering ) và ở tầng ứng dụng (application
level). Đồng thời, kẻ tấn công phải phá vỡ cả hai tầng bảo mật để tấn công vào
mạng nội bộ.
60
Trong hệ thống này, bastion host được cấu hình ở trong mạng nội bộ. Qui
luật filtering trên packet-filtering router được định nghĩa sao cho tất cả các hệ thống
ở bên ngoài chỉ có thể truy nhập bastion host; Việc truyền thông tới tất cả các hệ
thống bên trong đều bị khoá. Bởi vì các hệ thống nội bộ và bastion host ở trên cùng
một mạng, chính sách bảo mật của một tổ chức sẽ quyết định xem các hệ thống nội
bộ được phép truy nhập trực tiếp vào bastion Internet hay là chúng phải sử dụng
dịch vụ proxy trên bastion host. Việc bắt buộc những user nội bộ được thực hiện
bằng cách đặt cấu hình bộ lọc của router sao cho chỉ chấp nhận những truyền thông
nội bộ xuất phát từ bastion host.
Ưu điểm:
- Máy chủ cung cấp các thông tin công cộng qua dịch vụ Web và FTP
có thể đặt trên packet-filtering router và bastion. Trong trường hợp
yêu cầu độ an toàn cao nhất, bastion host có thể chạy các dịch vụ
proxy yêu cầu tất cả các user cả trong và ngoài truy nhập qua bastion
host trước khi nối với máy chủ. Trường hợp không yêu cầu độ an toàn
cao thì các máy nội bộ có thể nối thẳng với máy chủ.
- Nếu cần độ bảo mật cao hơn nữa thì có thể dùng hệ thống firewall
dual-home (hai chiều) bastion host (hình 2.5). Một hệ thống bastion
host như vậy có 2 giao diện mạng (network interface), nhưng khi đó
khả năng truyền thông trực tiếp giữa hai giao diện đó qua dịch vụ
proxy là bị cấm.
61
- Bởi vì bastion host là hệ thống bên trong duy nhất có thể truy nhập
được từ Internet, sự tấn công cũng chỉ giới hạn đến bastion host mà
thôi. Tuy nhiên, nếu như người dùng truy nhập được vào bastion host
thì họ có thể dễ dàng truy nhập toàn bộ mạng nội bộ. Vì vậy cần phải
cấm không cho người dùng truy nhập vào bastion host.
Demilitarized Zone (DMZ - khu vực phi quân sự) hay Screened-subnet
Firewall
Hệ thống này bao gồm hai packet-filtering router và một bastion host (hình
2.6). Hệ thống firewall này có độ an toàn cao nhất vì nó cung cấp cả mức bảo mật :
network và application trong khi định nghĩa một mạng “phi quân sự”. Mạng DMZ
đóng vai trò như một mạng nhỏ, cô lập đặt giữa Internet và mạng nội bộ. Cơ bản,
một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ chỉ có
thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ, và sự truyền trực
tiếp qua mạng DMZ là không thể được.
Với những thông tin đến, router ngoài chống lại những sự tấn công chuẩn
(như giả mạo địa chỉ IP), và điều khiển truy nhập tới DMZ. Nó cho phép hệ thống
bên ngoài truynhập chỉ bastion host, và có thể cả information server. Router trong
cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập mạng nội bộ chỉ
với những truyền thông bắt đầu từ bastion host.
Với những thông tin đi, router trong điều khiển mạng nội bộ truy nhập tới
DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion host và có thể cả
information server. Quy luật filtering trên router ngoài yêu cầu sử dung dich vụ
proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ bastion host.
Ưu điểm:
- Kẻ tấn công cần phá vỡ ba tầng bảo vệ: router ngoài, bastion host và
router trong.
- Bởi vì router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống
mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống
62
đã được chọn ra trên DMZ là được biết đến bởi Internet qua routing
table và DNS information exchange (Domain Name Server).
- Bởi vì router trong chỉ quảng cáo DMZ network tới mạng nội bộ, các
hệ thống trong mạng nội bộ không thể truy nhập trực tiếp vào Internet.
Điều nay đảm bảo rằng những user bên trong bắt buộc phải truy nhập
Internet qua dịch vụ proxy.
63
Việc cài đặt bộ chương trình proxy đòi hỏi kinh nghiệm quản lý hệ thống
UNIX, và TCP/IP networking. Tối thiểu, người quản trị mạng firewall phải quen
thuộc với:
- việc quản trị và duy trì hệ thống UNIX hoạt động
- việc xây dựng các package cho hệ thống
Sự khác nhau khi đặt cấu hình cho hệ thống quyết định mức độ an toàn mạng
khác nhau. Người cài đặt firewall phải hiểu rõ yêu cầu về độ an toàn của mạng cần
bảo vệ, nắm chắc những rủi ro nào là chấp nhận được và không chấp nhận được, thu
lượm và phân tích chúng từ những đòi hỏi của người dùng.
Bộ chương trình proxy được thiết kế cho một số cấu hình firewall, trong đó
các dạng cơ bản nhất là dual-home gateway (hình 2.4), screened host gateway(hình
2.5), và screened subnet gateway(hình 2.6). Như chúng ta đã biết, trong những cấu
trúc firewall này, yếu tố căn bản nhất là bastion host, đóng vai trò nh- một người
chuyển tiếp thông tin (forwarder), ghi nhật ký truyền thông, và cung cấp các dịch
vụ. Duy trì độ an toàn trên bastion host là cực kỳ quan trọng, bởi vì đó là nơi tập
trung hầu hết các cố gắng cài đặt một hệ thống firewall.
Các thành phần của bộ chưong trình Proxy.
Bộ chương trình proxy gồm những chương trình bậc ứng dụng (application-
level programs), hoặc là để thay thế hoặc là được cộng thêm vào phần mềm hệ
thống đã có. Bộ chương trình proxy có những thành phần chính bao gồm:
Smap: dịch vụ SMTP(Simple Mail Tranfer Protocol)
Netacl: dịch vụ Telnet, finger, và danh mục các điêu khiển truy nhập mạng
Ftp-Gw: Proxy server cho Ftp
Telnet-Gw: Proxy server cho Telnet
Rlogin-Gw: Proxy server cho rlogin
Plug-Gw: TCP Plug-Board Connection server (server kết nối tức thời dùng
thủ tục TCP)
Smap: Dịch vụ SMTP
SMTP được xây dựng bằng cách sử dụng cặp công cụ phần mềm smap và
smapd. Có thể nói rằng SMTP chống lại sự đe doạ tới hệ thống, bởi vì các chương
trình mail chạy ở mức độ hệ thống để phân phát mail tới các hộp thư của user.
Smap và smapd thực hiện điều đó bằng cách cô lập chương trình mail, bắt nó
chạy trên một thư mục dành riêng (restricted directory) qua chroot (thay đổi thư mục
gốc), như một user không có quyền ưu tiên. Mục đích của smap là cô lập chương
trình mail vốn đã gây ra rất nhiều lỗi trên hệ thống. Phần lớn các công việc xử lý
mail thường được thực hiện bởi chương trình sendmail. Sendmail không yêu cầu
một sự thay đổi hay đặt lại cấu hình gì cả. Khi một hệ thống ở xa nối tới một cổng
SMTP, hệ điều hành khởi động smap. Smap lập tức chroot tới th- mục dành riêng và
64
đặt user-id ở mức bình thường (không có quyền ưu tiên). Bởi vì smap không yêu
cầu hỗ trợ bởi một file hệ thống nào cả, thư mục dành riêng chỉ chứa các file do
smap tạo ra. Do vậy, bạn không cần phải lo sợ là smap sẽ thay đổi file hệ thống khi
nó chroot. Mục đích duy nhất của smap là đối thoại SMTP với các hệ thống khác,
thu lượm thông báo mail, ghi vào đĩa, ghi nhật ký, và thoát.
Smap d có trách nhiệm thường xuyên quét th- mục kho của smap và đ-a ra
các thông báo đã được xếp theo thứ tự (queued messages) tới sendmail để cuối cùng
phân phát. Chú ý rằng nếu sendmail được đặt cấu hình ở mức bình thường, và smap
chạy với uucp user-id (?), mail có thể được phân phát bình thường mà không cần
smapd chạy với mức -u tiên cao. Khi smapd phân phát một thông báo, nó xoá file
chứa thông báo đó trong kho.
Theo ý nghĩa này, sendmail bị cô lập, và do đó một user lạ trên mạng không
thể kết nối với sendmail mà không qua smap. Tuy nhiên, smap và smapd không thể
giải quyết vấn đề giả mạo thư hoặc các loại tấn công khác qua mail. Smap có kích
thước rất nhỏ so với sendmail (700 dòng so với 20,000 dòng) nên việc phân tích file
nguồn để tìm ra lỗi đơn giản hơn nhiều.
Netacl: công cụ điều khiển truy nhập mạng
Chúng ta đã biết rằng inetd không cung cấp một sự điều khiển truy nhập
mạng nào cả: nó cho phép bất kỳ một hệ thống nào trên mạng cũng có thể nối tới
các dịch vụ liệt kê trong file inetd.conf.
Netacl là một công cụ để điều khiển truy nhập mạng, dựa trên địa chỉ
network của máy client, và dịch vụ được yêu cầu. Vì vậy một client (xác định bởi
địa chỉ IP hoặchostname) có thể khởi động telnetd (một version khác của telnet) khi
nó nối với cổng dịch vụ telnet trên firewall.
Thường thường trong các cấu hình firewall, netacl được sử dụng để cấm tất
cả các máy trừ một vài host được quyền login tới firewall qua hoặc là telnet hoặc là
rlogin, và để khoá các truy nhập từ những kẻ tấn công.
Độ an toàn của netacl dựa trên địa chỉ IP và/hoặc hostname. Với các hệ thống
cần độ an toàn cao, nên dụng địa chỉ IP để tránh sự giả mạo DNS. Netacl không
chống lại được sự giả địa chỉ IP qua chuyển nguồn (source routing) hoặc những
phương tiện khác. Nếu có các loại tấn công như vậy, cần phải sử dụng một router có
khả năng soi những packet đã được chuyển nguồn (screening source routed
packages).
Chú ý là netacl không cung cấp điều khiển truy nhập UDP, bởi vì công nghệ
hiện nay không đảm bảo sự xác thực của UDP. An toàn cho các dịch vụ UDP ở đây
đồng nghĩa với sự không cho phép tất cả các dịch vụ UDP.
Netacl chỉ bao gồm 240 dòng mã C (cả giải thích) cho nên rất dễ dàng kiểm
tra và hiệu chỉnh. Tuy nhiên vẫn cần phải cẩn thận khi cấu hình nó.
Ftp-Gw: Proxy server cho Ftp
65
Ftp-Gw là một proxy server cung cấp điều khiển truy nhập mạng dựa trên địa
chỉ IP và/hoặc hostname, và cung cấp điều khiển truy nhập thứ cấp cho phép tuỳ
chọn khoá hoặc ghi nhật ký bất kỳ lệnh ftp nào. Đích cho dịch vụ này cũng có thể
tuỳ chọn được phép hay khoá. Tất cả các sự kết nối và byte dữ liệu chuyển qua đều
bị ghi nhật kí lại.
Ftp-Gw tự bản thân nó không đe doạ an toàn của hệ thống firewall, bởi vì nó
chạy chroot tới một th- mục rỗng, không thực hiện một thủ tục vào ra file nào cả
ngoài việc đọc file cấu hình của nó. Kích thước của Ftp-gw là khoảng 1,300 dòng.
Ftp gateway chỉ cung cấp dịch vụ ftp, mà không quan tâm đến ai có quyền hay
không có quyền kết xuất (export) file. Do vậy, việc xác định quyền phải được thiết
lập trên gateway và phải thực hiện trứơc khi thực hiện kết xuất (export) hay nhập
(import) file. Ftp gateway nên được cài đặt dựa theo chính sách an toàn của mạng.
Bộ chương trình nguồn cho phép người quản trị mạng cung cấp cả dịch vụ ftp và ftp
proxy trên cùng một hệ thống.
Telnet-Gw: Proxy server cho Telnet
Telnet-Gw là một proxy server cung cấp điều khiển truy nhập mạng dựa trên
địa chỉ IP và/hoặc hostname, và cung cấp sự điều khiển truy nhập thứ cấp cho phép
tuỳ chọn khoá bất kỳ đích nào. Tất cả các sự kết nối và byte dữ liệu chuyển qua đều
bị ghi nhật ký lại. Mỗi một lần user nối tới telnet-gw, sẽ có một menu đơn giản của
các chọn lựa để nối tới một host ở xa.
Telnet-gw không phương hại tới an toàn hệ thống, vì nó chạy chroot đến môt
th- mục dành riêng (restricted directory). File nguồn bao gồm chỉ 1,000 dòng lệnh.
Việc xử lý menu là hoàn toàn diễn ra ở trong bộ nhớ, và không có môt subsell hay
chương trình nàotham dự. Cũng không có việc vào ra file ngoài việc đọc cấu hình
file. Vì vậy, telnet-gw không thể cung cấp truy nhập tới bản thân hệ thống firewall.
Rlogin-Gw: Proxy server cho rlogin
Các terminal truy nhập qua thủ tục BSD rlogin có thể được cung cấp qua
rlogin proxy. rlogin cho phép kiểm tra và điêu khiển truy nhập mạng tương tự như
telnet gateway. Rlogin client có thể chỉ ra một hệ thống ở xa ngay khi bắt đầu nối
vào proxy, cho phép hạn chế yêu cầu tương tác của user với máy (trong trường hợp
không yêu cầu xác thực).
Sql-Gw: Proxy Server cho Oracle Sql-net
Thông thường, việc khai thác thông tin từ CSDL Oracle được tiến hành thông
qua dịch vụ WWW. Tuy nhiên để hỗ trợ người sử dụng dùng chương trình plus33
nối vào máy chủ Oracle, bộ firewall của CSE được đ-a kèm vào chương trình Sql-
net proxy. Việc kiểm soát truy nhập được thực hiệu qua tên máy hay địa chỉ IP của
máy nguồn và máy đích.
Plug-Gw: TCP Plug-Board Connection server
66
Firewall cung cấp các dịch vụ thông thường như Usernet news. Người quản
trị mạng có thể chọn hoặc là chạy dịch vụ này trên bản thân firewall, hoặc là cài đặt
một proxy server. Do chạy news trực tiếp trên firewall dễ gây lỗi hệ thống trên phần
mềm này, cách an toàn hơn là sử dụng proxy. Plug-gw được thiết kế cho Usernet
News.
Plug-gw có thể được đặt cấu hình để cho phép hay từ chối một sự kết nối dựa
trên địa chỉ IP hoặc là hostname. Tất cả sự kết nối và các byte dữ liệu chuyển qua
đều được ghi nhật ký lại.
67
CHƯƠNG 3 – AN NINH MẠNG VÀ HỆ THỐNG
3.1. Vấn đề an ninh hệ thống.
An ninh hệ thống có thể bị đe doạ từ rất nhiều góc độ và nguyên nhân
khác nhau gọi chung là các lỗ hổng bảo mật. Đe doạ an ninh có thể xuất phát từ
bên ngoài mạng nội bộ hoặc cũng có thể xuất phát từ ngay bên trong tổ chức.
Do đó,việc đảm bảo an ninh an toàn cho mạng máy tính cần phải có nhiều giải
pháp cụ thể khác nhau. Tuy nhiên, tổng quan nhất có ba giải pháp cơ bản sau:
- ƒ Giải pháp về phần cứng.
- ƒ Giải pháp về phần mềm.
- ƒ Giải pháp về con người.
Đây là ba giải pháp tổng quát nhất mà bất kì một nhà quản trị an ninh nào
cũng phải tính đến trong công tác đảm bảo an ninh an toàn mạng máy tính. Mỗi
giải pháp có một ưu nhược điểm riêng mà người quản trị an ninh cần phải biết
phân tích, tổng hợp và chọn lựa để tạo khả năng đảm bảo an ninh tối ưu nhất cho
tổ chức mình.
3.1.1. Đảm bảo tính riêng tư.
Đối tượng tiềm tàng của tấn công riêng tư là các mạng quảng bá (LAN) và
các điểm kết nối. Với phần lớn các mạng LAN là mạng quảng bá nên thông tin được
truyền giữa hai máy có thểđược các máy khác nhìn thấy.Thông tin truyền tải theo
frame chứa địachỉ nguồn và đích. Đối phương có thể quan sát sự chuyển tải trong
LAN và xác định mọi traffic cần thiếtdựa trên địachỉ nguồn và đích. Nếu LAN cung
cấp khả năng truy nhập theo đường dail-in, đối phương có thể truy cập vào mạng và
theo dõi luồng truyền tải. Từ LAN truy cập ra ngoài thường thông qua: router,
modem,comm server. Từ các comm server thường có các đường kết nối tới các
patch panel. Với đối tượng là các điểm kết nối, đối phương có thể móc nối vào
mạng thông qua các vị trí nối dây dùng các sóng điện từ năng lượng thấp để truyền
tải thông tin ra ngoài.
68
Lưu ý: Các tấn công vào mạng có thể tại mọivị trí của đường truyền thông. Đối với
dạng tấn công chủ động, kẻ tấn công phải kiểm soát vật lý đường truyền và có thể
thêm, bắt giữ thông tin.
3.2. Các cơ chế đảm bảo an toàn hệ thống.
Cơ chế bảomật đường liênkết ( link encryption approaches ).
Mỗi đường truyềnthông có thể bị tấncông đều được kết nối với các thiết bị
mã hóa tại hai đầu ⇒ mọi quá trình truyền tải trên đường đều được bảo mật.
Nhược điểm:
– Yêucầu nhiều thiết bị mã hóa
– Giải mã đối với mạng lớn.
– Thông điệp phải được giải mã mỗi khi đi vào bộ chuyển mạch gói bởi vì bộ
chuyển mạch cần phải đọc địa chỉ ( vitual circuit number ) trong phần đầu gói
tin để định tuyến cho gói.
– Như vậy thông điệp là một điểm yếu tại mỗi bộ chuyển mạch. Do đó nếu
phải làm việc với mạng công cộng, người sử dụng không thể kiểm soát được
an toàn thông tin tại nút mạng.
69
– Như vậy phải dùng nhiều khóa và mỗi khóa chỉ được phân phối tới hai nút.
Cơ chế bảomật đầu – cuối ( end – to – end encryption approaches )
Quá trình mã hóa mật được thực hiện tại hai hệ thống đầu cuối. Máy trạm
nguồn mã hóa thông tin và được truyền qua mạng tới trạm đích. Trong đó, trạm
nguồn và trạm đích cùng chia sẻ khóa mật và do đó có thể giải mã thông điệp. Dạng
bảo mật này cho phép bảo đảm an toàn đối với các tấn công vào các điểm kết nối
hoặc các điểm chuyển mạch. Dạng bảo mật này cũng cho phép người sử dụng yên
tâm về mức độ an toàn của mạng và đường liên kết truyền thông.
Nhược điểm: Dữ liệu truyền bao gồm phần đầu và phần dữ liệu: Nếu mã hóa
toàn bộ gói tin theo sơ đồ mã hóa đối xứng, thông tin không thể truyền tới đích vì:
chỉ có máy đích giải mã được gói tin ⇒ nút chuyển mạch không thể giải mã và đọc
địa chỉ đích do đó không thể định tuyến gói tin. Bên cạnh đó, nếu chỉ mã hóa phần
thân gói tin ⇒ đối phương sẽ biết phần đầu để phân tích tải.
Ưu điểm: Phương pháp bảo mật đầu cuối cho phép thực hiện xác thực: hai
trạm đầu cuối chia sẻ cùng một khóa mật, người nhận sẽ biết được thông điệp tới từ
người gửi. Phương pháp bảo mật đường truyền không có cơ chế xácthực.
3.2.1. Điểm đặt các hàm mã hóa đầu cuối.
Với mã hóa đường truyền, các hàm mã hóa được thực hiện tại mức thấp của
phân cấp mạng truyền thông ( tầng vậtlý hoặc tầng liên kết ). Đối với mã hóa đầu
cuối, mức thấp nhất để đặt các hàm mã hóa là tầng mạng. Ví dụ: các phép mã hóa có
thể được đặt tương ứng với X.25, do đó mọi khối dữ liệu của các khối X.25 đều
được mã hóa. Trên mức mã hóa tầng mạng, số lượng các đối tượng được định danh
và bảo vệ riêng rẽ tương ứng với số lượng trạm đầu cuối. Mỗi trạm đầu cuối có thể
trao đổi mã mật với trạm khác nếu chúng cùng chia sẻ một khóa mật. Như vậy có
thể tách chức năng mã hóa và đưa vào một khối chức năng bộ xử lý ngoại vi.
70
3.2.3. Đảm bảo tính riêng tư cho luồng truyền tải.
Các thông tin có thể được biết bằng phân tích luồng truyền tải bao gồm:
- Định danh của các bên tham gia vào quá trình truyền tin.
- Tần suất truyền tải thông tin giữa hai bên tham gia.
- Mẫu thông điệp, độ dài thông điệp, số lượng thông điệp dùng để truyềntải
những thông tin quan trọng.
- Các sự kiện liên quan tới các đối thoại đặc biệt giữa hai bên tham gia trao đổi
thông tin.
Một vấn đề liên quan tới luồng truyền tải là: có thể sử dụng mẫu của luồng để
tạo các kênh vụng trộm.
Tuỳ vào cơ chế đảm bảo an toàn hệ thống ứng dụng mà có phương pháp
thích hợp tương ứng là phương pháp mã mật đường liên kết và phương pháp bảo
mật đầu cuối.
Phương phápmã mật đường liên kết ( link encryption approach ).
– Các phần đầugóitin ( packet header ) được mã hóa, do đó làm giảm khả
năng phân tích tải.
– Đốiphương vẫncó thể có khả năng đánh giá lưu lượng trên mạng và quan
sát lưu lượng đi đến và đi khỏi hệ thống.
– Để ngăn chặn khả năng phân tích luồng truyền tải,có thể sử dụng thủ tục
đệm luồng truyềntải ( traffic padding )
71
Phương pháp bảo mật đầu cuối.
Nếu sử dụng phương pháp bảo mật đầu cuối, việc bảo vệ càng bị giới hạn.
Ví dụ:
– Nếu mã hóa thực hiện trên tầng ứng dụng, đối phương có thể xác định
được các đối tượng truyền tải tham gia vào quá trình đối thoại.
– Nếu mã hóa được thực hiện trên tầng giao vận, khi đó các địa chỉ tầng
mạng và các mẫu luồng truyền tải có thể bị lộ.
Vậy nên kỹ thuật hữu ích: đệm các đơn vị dữ liệu có độ dài cố định trên tầng
giao vận và cả trên tầng ứng dụng. Thêm vào đó, các thông điệp rỗng có thể được
chèn một cách ngẫu nhiên vào luồng truyền tải. Chiến thuật này làm cho đối phương
không thể biết được lượng dữ liệu được trao đổi giữa các trạm đầu cuối và che giấu
được mẫu luồng truyền tải.
3.3. Lỗ hổng bảo mật.
3.3.1. Khái niệm lỗ hổng.
Tất cả những đặc tính của phần mềm hay phần cứng mà cho phép người dùng
không hợp lệ, có thể truy cập hay tăng quyền truy nhập mà không cần xác thực. Xét
trên phương diện tổng quát: lỗ hổng là tất cả mọi yếu tố mà kẻ tấn công có thể lợi
dụng để xâm nhập vào hệ thống
3.3.2. Phân loại lỗ hổng.
Có 3 loại lỗ hổng bảo mật:
Lỗ hổng làm cho từ chối dịch vụ
Cho phép hacker lợi dụng làm tê liệt một số dịch vụ của hệ thống. Với việc
tấn công lỗ hổng làm từ chối dịch vụ, kẻ tấn công có thể làm mất khả năng hoạt
72
động của máy tính hay một mạng, ảnh hưởng tới toàn bộ tổ chứchaycông ty. Lỗ
hổng bảo mật làm từ chối dịch vụ chia ra làm ba loại:
– Bandwith/Throughput Attacks
– Protocol Attacks
– Software Vulnerability Attacks
Lỗ hổng cho phép tăng quyền của người dùng không xác thực
Là lỗ hổng cho phép người dùng bên trong mạng với quyền hạn chế có thể
tăng quyền mà không cần xác thực. Lỗi này xuất hiện ở những phần mềm hay hệ
điều hành có sự phân cấp người dùng. Cho phép loại người dùng với mức sử dụng
hạn chế có thể tăng quyền trái phép.
Ví dụ : cho phép người dùng bình thường có thể khởi động tiến trình sendmail, lợi
dụng sendmail khởi động chương trình khác với quyền root
Lỗ hổng cho xâm nhập từ xa không xác thực.
Là loại lỗ hổng bảo mật cho phép kẻ không phải là người dùng hệ thống có
thể xâm nhập từ xa không xác thực. Lỗi gây ra lỗ hổng bảo mật này thường là lỗi
chủ quan của người quản trị hệ thống hay người dùng. Do không thận trọng, thiếu
kinh nghiệm, và không quan tâm đến vấn đề bảo mật. Một số biểu hiện thường gặp
của loại lỗ hổng bảo mật này là: Tài khoản có password rỗng, tài khoản mặc định,
không có hệ thống bảo vệ, chạy những dịch vụ không cần thiết mà không an toàn:
SNMP, pcAnywhere,VNC , …
3.4. Các phương pháp, kỹ thuật quét lỗ hổng bảo mật.
Các phương pháp quét lỗ hổng bảo mật hiện nay bao gồm: Quét mạng, quét
điểm yếu, kiểm tra log, kiểm tra tính toàn vẹn file, phát hiện virus, chống tấn công
quay số, chống tấn công vào access point. Mỗi kĩ thuật có những đặc điểm riêng và
được dùng để phát hiện một số loại lỗ hổng điển hình.
Quét mạng
Quét mạng bao gồm kiểm tra sự tồn tại của hệ thống, quét cổng và dò thông
tin hệ điều hành.
- Kiểm tra sự tồn tại của hệ thống đích bằng việc quét ping, dùng IDS, các
phần mềm tiện ích để kiểm tra xem hệ thống có hoạt động hay không và
thông qua đó cấu hình hệ thống, hạn chế lưu lượng các gói ICMP để ngăn
ngừa tấn công.
- Quét cổng nhằm nhận diện dịch vụ, ứng dụng, sử dụng các kỹ thuật quét nối
TCP, TCP FIN…, xét số cổng để suy ra dịch vụ, ứng dụng. Đồng thời phát
hiện quét dựa vào IDS hoặc cơ chế bảo mật của máy chủ và vô hiệu hóa các
dịch vụ không cần thiết để ẩn danh.
- Dò hệ điều hành dựa vào dấu vân tay giao thức và phát hiện bằng các trình
phát hiện quét cổng, phòng ngừa sử dụng firewall, IDS.
73
Quét điểm yếu
Quét điểm yếu bao gồm liệt kê thông tin, quét điểm yếu dịch vụ và kiểm tra
an toàn mật khẩu.
- Liệt kê thông tin là việc xâm nhập hệ thống, tạo các vấn tin trực tiếp nhằm
thu thập các thông tin về tài nguyên dùng chung, tài nguyên mạng, tài khoản
người dùng và nhóm người dùng, ứng dụng và banner. Ví dụ về liệt kê thông
tin trong Windows hay, liệt kê thông tin trong Unix/Linux.
- Quét điểm yếu dịch vụ là quét tài khoản yếu nhằm tìm ra account với từ điển
khi tài khoản yếu, và quét dịch vụ yếu dựa trên xác định nhà cung cấp và
phiên bản. Có thể đối phó với hình thức quét này bằng việc cấu hình dịch vụ
hợp lý, nâng cấp, vá lỗi kịp thời.
- Bẻ khóa mật khẩu nhằm nhanh chóng tìm ra mật khẩu yếu và cung cấp các
thông tin cụ thể về độ an toàn của mật khẩu. Ưu điểm của kĩ thuật này là dễ
thực hiện và giá thành thấp
Kiểm soát log file
Kiểm soát log file được thực hiện bằng cách giám sát ghi lại, xác định các
thao tác trong hệ thống với mục đích xác định các sự sai lệch trong chính sách bảo
mật. Kiểm soát log file có thể bằng tay hoặc tự động và nên được thực hiện thường
xuyên trên các thiết bị chính sẽ giúp cung cấp các thông tin có ý nghĩa cao. Ưu điểm
của kĩ thuật này là có thể áp dụng cho tất cả các nguồn cho phép ghi lại hoạt động
trên nó.
Kiểm tra tính toàn vẹn file
Về cơ bản các thông tin về thao tác file được lưu trữ trong cơ sở dữ liệu tham
chiếu. Việc kiểm tra tính toàn vẹn file được thực hiện bởi một phần mềm đối chiếu
file và dữ liệu trong cơ sở dữ liệu để phát hiện truy nhập trái phép. Đây là phương
pháp tin cậy để phát hiện truy nhập trái phép. Ưu điểm của phương pháp này là có
tính tự động hóa cao, giá thành hạ. Tuy nhiên kĩ thuật này không có khả năng phát
hiện khoảng thời gian và phải luôn cập nhật cơ sở dữ liệu tham chiếu.
Quét Virus
Mục đích của quét virus nhằm bảo vệ hệ thống khỏi bị lây nhiễm và phá hoại
của các loại virus. Quá trình quét virus có thể được thực hiện cả trên phía server và
trên máy trạm. Phần mềm cài đặt trên server như: trên mail server hoặc trạm chính
(proxy…). Ưu điểm của loại phần mềm cài đặt trên server là cập nhật virus database
thuận lợi. Phần mềm cài đặt trên máy trạm sẽ có ưu điểm là thường quét toàn bộ hệ
thống (file, ổ đĩa, website người dùng truy nhập) song lại đòi hỏi phải được quan
tâm nhiều của người dùng. Cả hai loại đều có thể được tự động hóa và có hiệu quả
cao, giá thành hợp lí.
74
Chống tấn công quay số là quá trình ngăn chặn những modem không xác
thực quay số tới hệ thống bởi những chương trình quay số quay tự động để dò tìm
cổng vào hệ thống. Biện pháp hiệu quả nhằm chống tấn công quay số là hạn chế số
điện thoại truy nhập cho từng thành viên. Tuy nhiên phương pháp này đòi hỏi nhiều
thời gian.
Chống tấn công vào access point
Đặc điểm của liên kết bằng tín hiệu không dùng dây dẫn, thuận tiện cho kết
nối đồng thời tạo ra nhiều lỗ hổng mới mà từ đó kẻ tấn công có thể tấn công vào
mạng với máy tính xách tay sử dụng chuẩn kết nối không dây. Chuẩn thường dùng
là 802.11b có nhiều hạn chế về bảo mật. Vì vậy cần có các chính sách bảo đảm an
toàn bao gồm:
– Dựa trên các nền phần cứng và các chuẩn cụ thể
– Việc cấu hình mạng phải chặt chẽ và bí mật
– Gỡ bỏ các cổng vào không cần thiết
So sánh các phương pháp
Kiểu quét Điểm mạnh Điểm yếu
• nhanh so với quét điểm yếu • không chỉ ra được các điểm
• hiệu quả cho quét toàn mạng yếu cụ thể
• nhiều chương trình phần mềm • thường được dùng mởđầu cho
Quét mạng kiểm thử thâm nhập
miễn phí
• tính tựđộng hóa cao • đòi hỏi phải cóý kiến chuyên
môn để đánh giá kết qủa
• giá thành hạ
• có thể nhanh, tùy thuộc vào số • tuy nhiên tỉ lệ thất bại cao
điểm được quét • chiếm tìa nguyên lớn tại điểm
• một số phần mềm miễn phí quét
• tựđộng cao • không có tính ẩn cao (dễ bị
• chỉ ra được điểm yếu cụ thể phát hiện bởi người sử dụng,
Quét điểm tường lửa,IDS)
• thường đưa ra được các gợi ý
yếu • có thể trở nên nguy hiểm trong
giải quyết điểm yếu
tay những người kém hiểu biết
• giá thành cao cho các phần
mềm tốt cho tới free • thường không phát hiện được
các điểm yếu mới nhất
• dễ vận hành
• chỉ chỉ ra được các điểm yếu
trên bề mặt của hệ thống
Kiểm thử •Sử dụng các kĩ thuật thực tế mà • Đòi hỏi nhiều người có khả
thâm nhập các kẻ tấn công sử dụng năng chuyên môn cao
75
•Chỉ ra được các điểm yếu • Tốn rất nhiều công sức
•Tìm hiểu sâu hơn về điểm yếu, • Chậm, các điểm kiểm thử có
chúng có thể được sử dụng như thể phải ngừng làm việc trong
thế nào để tấn công vào hệ thời gian dài
thống • Không phải tất cả các host đều
•Cho thấy rằng các điểm yếu được thử nghiệm (do tốn thời
không chỉ là trên lí thuyết gian)
•Cung cấp bằng chứng cho vấn • Nguy hiểm nếu được thực hiện
đề bảo mật bởi những người không có
chuyên môn
• Các công cụ và kĩ thuật có thể
là trái luật
• Giá thành đắt đỏ
76
CHƯƠNG 4 – HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP
(IDS)
4.1. Kỹ thuật phát hiện xâm nhập trái phép
Nếu như hiểu Firewall là một hệ thống “khóa” chốt chặn ở cửa ngõ mạng, thì
hệ thống IDS có thể được coi như các “cảm ứng giám sát” được dặt khắp nơi trong
mạng để cảnh báo về các cuộc tấn công đã “qua mặt” được Firewall hoặc xuất phát
từ bên trong mạng. Một IDS có nhiệm vụ phân tích các gói tin mà Firewall cho phép
đi qua, tìm kiếm các dấu hiệu tấn công từ các dấu hiệu đã biết hoặc thông qua việc
phân tích các sự kiện bất thường, từ đó ngăn chặn các cuộc tấn công trước khi nó có
thể gây ra những hậu quả xấu với tổ chức.
Hệ thống IDS hoạt động dựa trên 3 thành phần chính là Cảm ứng (Sensor),
Giao diện (Console) và Bộ phân tích (Engine). Xét trên chức năng IDS có thể phân
làm 2 loại chính là Network-based IDS (NIDS) và Host-based IDS (HIDS). NIDS
thường đước đặt tại cửa ngõ mạng để giám sát lưu thông trên một vùng mạng, còn
HIDS thì được cài đặt trên từng máy trạm để phân tích các hành vi và dữ liệu đi đến
máy trạm đó. Xét về cách thức hoạt động thì hệ thống IDS có thể chia làm 5 giai
đoạn chính là: Giám sát, Phân tích, Liên lạc, Cảnh báo và Phản Ứng.
Thời gian gần đây, sự hoành hành của virus, worm nhằm vào hệ điều hành rất
lớn. Nhiều loại virus, worm dùng phương pháp quét cổng theo địa chỉ để tìm ra lỗ
hổng và sau đó mới lây lan vào. Với những loại tấn công này nếu hệ thống mạng có
cài đặt hệ thống IDS thì khả năng phòng tránh được sẽ rất lớn.
4.1.1. Thành phần
Một hệ thống IDS bào gồm 3 thành phần cơ bản là:
Cảm ứng (Sensor): Là bộ phận làm nhiệm vụ phát hiện các sự kiện có khả
năng đe dọa an ninh của hệ thống mạng, Sensor có chức năng rà quét nội
dung của các gói tin trên mạng, so sánh nội dung với các mẫu và phát hiện
ra các dấu hiệu tấn công hay còn gọi là sự kiện.
Giao diện (Console): Là bộ phận làm nhiệm vụ tương tác với người quản trị,
nhận lệnh điều khiển hoạt động bộ Sensor, Engine và đưa ra cảnh báo tấn
công.
Bộ xử lý (Engine): Có nhiệm vụ ghi lại tất cả các báo cáo về các sự kiện
được phát hiện bởi các Sensor trong một cơ sở dữ liệu và sử dụng một hệ
thống các luật để đưa ra các cảnh báo trên các sự kiện an ninh nhận được
cho hệ thống hoặc cho người quản trị.
77
Alerts
Console
Traffic Network
Sensor
Engine
Active
Data Activit
event Response
Source y
Activit
y
Security 78
Security
Policy Policy
Notification
4.2. Phân loại
Có nhiều cách để phân loại các hệ thống IDS tùy theo các tiêu chí khác nhau.
Cách phân loại dựa trên hành vi của IDS có thể phân làm 2 loại là phát hiện xâm
nhập dựa trên dấu hiệu (Misuse-based IDS) và phát hiện xâm nhập dựa trên dấu hiệu
bất thường (Anomaly-based IDS – Xem chương 2):
Nếu xét về đối tượng giám sát thì có 2 loại IDS cơ bản nhất là: Host-based IDS
và Network-based IDS. Từng loại có một cách tiếp cận khác nhau nhằm theo dõi và
phát hiện xâm nhập, đồng thời cũng có những lợi thế và bất lợi riêng. Nói một cách
ngắn gọn, Host-based IDS giám sát dữ liệu trên những máy tính riêng lẻ trong khi
Network-based IDS giám sát lưu thông của một hệ thống mạng.
4.2.1. Host-based IDS (HIDS)
Những hệ thống Host-based là kiểu IDS được nghiên cứu và triển khai đầu
tiên. Bằng cách cài đặt những phần mềm IDS trên các máy trạm (gọi là Agent),
HIDS có thể giám sát toàn bộ hoạt động của hệ thống, các log file và lưu thông
mạng đi tới từng mày trạm.
HIDS kiểm tra lưu thông mạng đang được chuyển đến máy trạm, bảo vệ máy
trạm thông qua việc ngăn chặn các gói tin nghi ngờ. HIDS có khả năng kiểm tra
hoạt động đăng nhập vào máy trạm, tìm kiếm các hoạt động không bình thường như
dò tìm password, leo thang đặc quyền . . . Ngoài ra HIDS còn có thể giám sát sâu
vào bên trong Hệ điều hành của máy trạm để kiểm tra tính toàn vẹn vủa Nhân hệ
điều hành, file lưu trữ trong hệ thống . . .
Hệ thống IDS có hiệu quả cao khi phát hiện việc người dùng sử dụng sai các
tài nguyên trên mạng. Nếu người dùng cố gắng thực hiện các hành vi không hợp
pháp thì những hệ thống HIDS thông thường phát hiện và tập hợp thông tin thích
hợp nhất và nhanh nhất.
Điểm yếu của HIDS là cồng kềnh. Với vài ngàn máy trạm trên một mạng lớn,
việc thu thập và tập hợp các thông tin máy tính đặc biệt riêng biệt cho mỗi máy
riêng lẻ là không có hiệu quả. Ngoài ra, nếu thủ phạm vô hiệu hóa việc thu thập dữ
liệu trên máy tính thì HIDS trên máy đó sẽ không còn có ý nghĩa.
79
Internet
HIDS HIDS
` ` ` ` ` `
80
với các vấn đề giao thức truyền như việc phân tách gói tin (IP fragmentation1), hay
việc điều chỉnh thông số TTL trong gói tin IP . . .
Internet
NIDS NIDS
NIDS
` ` ` ` ` `
HIDS NIDS
Tính quản trị thấp. Hoạt động củaQuản
NIDS trị tập trung.
81
Không ảnh hưởng đến băng thông NIDS do phân tích trên luồng dữ
mạng. liệu chính nên có ảnh hưởng đến
băng thông mạng.
Không gặp vấn đề về giao thức Gặp vấn đề về giao thức truyền:
Packet Fragment, TTL.
Vấn đề mã hóa: Nếu IDS được đặt
trong một kênh mã hóa thì sẽ không
phân tích được gói tin
IP fragmentation1: Là quá trình chia nhỏ gói tin khi thiết bị Switch hay Router phát hiện gói tin có kích
thước to hơn khả năng xử lý của nó (kích thước gói tin gọi là MTU - Maximum transmission Unit).
Knowledge-based IDS
2. Phân tích
Giám sát mạng (Monotoring): Giám sát mạng là quá trình thu thập thông tin
về lưu thông trên mạng. Việc này thông thường được thực hiện bằng các
Sensor. Yêu cầu đòi hỏi đối với giai đoạn này là có được thông tin đầy đủ
và toàn vẹn về tình hình mạng. Đây cũng là một vấn đề khó khăn, bởi vì nếu
theo dòi toàn bộ thông tin thì sẽ tiêu tốn khá nhiều tài nguyên, đồng thời gây
ra nguy cơ tắt nghẽn mạng. Nên cần thiết phải cân nhắc để không làm ảnh
hưởng đến toàn bộ hệ thống. Có thể sử dụng phương án là thu thập liên tục
trong khoảng thời gian dài hoặc thu thập theo từng chu kì. Tuy nhiên khi đó
những hành vi bắt được chỉ là những hành vi trong khoảng thời gian giám
sát. Hoặc có thể theo vết những lưu thông TCP theo gói hoặc theo liên kết.
Bằng cách này sẽ thấy được những dòng dữ liệu vào ra được phép. Nhưng
nếu chỉ theo dõi những liên kết thành công sẽ có thể bỏ qua những thông tin
83
có giá trị về những liên kết không thành công mà đây lại thường là những
phần quan tâm trong một hệ thống IDS, ví dụ như hành động quét cổng.
Phân tích lưu thông (Analyzing): Khi đã thu thập được những thông tin cần
thiết từ những điểm trên mạng. IDS tiến hành phân tích những dữ liệu thu
thập được. Mỗi hệ thống cần có một sự phân tích khác nhau vì không phải
môi trường nào cũng giống nhau. Thông thường ở giai đoạn này, hệ thống
IDS sẽ dò tìm trong dòng traffic mạng những dấu hiệu đáng nghi ngờ dựa
trên kỹ thuật đối sánh mẫu hoặc phân tích hàn vi bất thường. Nếu phát hiện
ra dấu hiệu tấn công, các Sensor sẽ gửi cảnh báo về cho trung tâm để tổng
hợp.
Liên lạc: Giai đoạn này giữ một vai trò quan trọng trong hệ thống IDS. Việc
liên lạc diễn ra khi Sensor phát hiện ra dấu hiệu tấn công hoặc Bộ xử lý thực
hiên thay đổi cấu hình, điều khiển Sensor. Thông thường các hệ thống IDS
sử dụng các bọ giao thức đặc biệt để trao đổi thông tin giữa các thành phần.
Các giao thức này phải đảm bảo tính Tin cậy, Bí mật và Chịu lỗi tốt, ví dụ:
SSH, HTTPS, SNMPv3 . . .Chẳng hạn hệ thống IDS của hãng Cisco thường
sử dụng giao thức PostOffice định nghĩa một tập các Thông điệp để giao
tiếp giữa các thành phần.
Cảnh báo (Alert): Sau khi đã phân tích xong dữ liệu, hệ thống IDS cần phải
đưa ra được những cảnh báo. Ví dụ như:
- Cảnh báo địa chỉ không hợp lệ.
- Cảnh báo khi một máy sử dụng hoặc cố gắng sử dụng những dịch vụ
không hợp lệ.
- Cảnh báo khi máy cố gắng kết nối đến những máy nằm trong danh sách
cân theo dõi ở trong hay ngoài mạng.
- ...
Phản ứng (Response): Trong một số hệ thống IDS tiên tiến hiện nay, sau khi
các giai đoạn trên phát hiện được dấu hiệu tấn công, hệ thống không những
cảnh báo cho người quản trị mà còn đưa ra các hành vi phòng vệ ngăn chặn
hành vi tấn công đó. Điều này giúp tăng cường khả năng tự vệ của Mạng, vì
nếu chỉ cần cảnh báo cho người quản trị thì đôi khi cuộc tấn công sẽ tiếp tục
xảy ra gây ra các tác hại xấu. Một hệ thống IDS có thể phản ứng lại trước
những tấn công phải được cấu hình để có quyền can thiệp vào hoạt động của
Firewall, Switch và Router. Các hành động mà IDS có thể đưa ra như:
- Ngắt dịch vụ.
- Gián đoạn phiên.
- Cấm địa chỉ IP tấn công.
- Tạo log.
84
Client
IDS yêu cầu Firewall chặn port 80 trong 60s để chống lại các tấn công vào
máy chủ Web cài IIS.
Sensor
85
IDS yêu cầu Firewall tạm dừng dịch vụ
4.4. Hệ thống IDS dựa trên phát hiện bất thường
Hệ thống phát hiện bất thường giống các hệ thống IDS truyền thống ở hỗ nó
cũng hướng đến việc kiểm soát và phát hiện sớm các dấu hiệu, các hành vi tấn công
trong hệ thống mạng, từ đó cảnh báo cho nhà quản trị biết được những hiện tượng
cần lưu ý. Tuy nhiên xét về phương pháp hoạt động thì nó khác biệt so với các hệ
thống IDS cũ. Nếu hệ thống IDS truyền thống thường sử dụng các mẫu (pattern) và
kiểm soát các hành vi sử dụng sai đã được định nghĩa, thì phương pháp phát hiện bất
thường hướng đến việc xây dựng profile về hoạt động của mạng ở trạng thái bình
thường, từ đó so sánh, phát hiện và cảnh báo khi có những dấu hiệu khác thường
xảy ra[8].
Firewall Manager
3
2
1
Uses artificial
intelligent and IDS
1 Attack
network Network
2 Analysis history History
3 Notification Database
statistically Attack
Audit Data System profile
deviant ? state
Hoạt động của IDS dựa trên phát hiện bất thường
86
băng thông mạng bị quá tải, nhưng thường thấy hơn cả là do hệ thống thông tin đang
bi xâm nhập tría phép hoặc đang bị tấn công.
Để phân biệt giữa trạng thái binhg thường và trạng thái bất thường trong mạng,
người ta sử dụng khái niệm activity profile (hồ sơ hoạt động). Một cách khái quát,
activity profile mô tả hành vi của một đối tượng nào đó ở một số khía cạnh cụ thể.
Thông thường khía cạnh là các tham số có thể tiến hành đo lường được. Người ta
theo dõi các tham số này trong một thời gian nhất định, theo một đơn vị nào đó như
phút, giờ, ngày, tuần . . . Hoặc có thể đo lường thời gian xảy ra hai sự kiện liên tiếp,
ví dụ như thời gian log-in và log-out hệ thống, thời gian kích hoạt và kết thúc các
ứng dụng . . .
Để phát hiện một profile là “bất thường”, người ta phải tiến hành xây dựng tập
các profile môt tả hoạt động của hệ thống ở trạng thái “bình thường”. Dựa trên sự
khác biệt của một tập các tham số trong profile, người ta có thể phát hiện ra BTTM.
Các BTTM thông thường được phân thành 2 loại chính:
BTTM do hỏng hóc: Trong mạng nảy sinh ra các hiện tượng bất thường do
một hay nhiều thành phần trong mạng bị sự cố, ví dụ như khi một máy chu
bị lỗi, thiết bị switch hay router gặp sự cố, broadcast storm, network paging
. . . Các sự cố này nói chung không ảnh hưởng đến các thành phần khác
trong mạng, chủ yếu là làm giảm hiệu năng hoạt động, hạn chế khả năng
đáp ứng dịch vụ của hệ thống. Ví dụ như khi số lượng các yêu cầu đến một
File Server hay Web Server quá lớn, các Server này sẽ gặp sự cố. Lỗi
Network paging xảy ra khi một ứng dụng bị tràn bộ nhớ và tiến hành Phân
trang bộ nhớ đến một File Server. Ngoài ra các loại BTTM còn xảy ra do
các phần mềm bị lỗi, ví dụ như việc triển khai một giao thức không đúng,
dẫn đến máy trạm liên tục gởi các gói tin nhỏ nhất làm tắt nghẽn mạng . . .
BTTM liên quan đến các sự cố an ninh: Đây là loại BTTM phát sinh từ các
mối đe dọa đối với hệ thống thông tin. Một ví dụ điển hình của loại BTTM
này là tấn công từ chối dịch vụ DoS (Denial of Service), có thể mô tả như
hành động ngăn cản những người dùng hợp pháp mất khả năng truy cập và
sử dụng vào một dịch vụ nào đó. Cách tiến hành tấn công DoS bao gồm làm
tràn ngập mạng, mất kết nối với dịch vụ . . . mà mục đích cuối cùng là máy
chủ không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm.
BTTM còn xuất hiện khi có hiện tượng lây lan và bùng nổ các loại mã xấu,
mã nguy hiểm trong mạng như virus, spy. Đôi khi hành vi dò quét trước khi
tấn công cũng tạo ra nhiều gói tin với số lượng bất thường. Ngoài ra khi các
chức năng có bản của mạng như DHCP, DNS bị làm ngưng hoạt động thì
cũng tạo ra một số lượng lớn các yêu cầu không được đáp ứng làm giảm
thiểu băng thông.
Một trong những nghiên cứu đầu tiên về hệ thống IDS dựa trên phát hiện bất
thường là của Anderson. Trong báo cáo của Anderson, ông đưa ra cách phân loại 3
mối đe dọa chính, là:
87
Xâm nhập từ bên ngoài (external penetrations): Hệ thống bị tấn công từ cá
máy tính hoặc hệ thống không được xác minh.
Xâm nhập từ bên trong (internal penetrations): Các máy tính được xác minh
truy cập vào các dữ liệu không được phân quyền.
Lạm quyền (misfeasance): Sử dụng sai quyền truy cập vào hệ thống và dữ
liệu.
4.4.2. Kỹ thuật phát hiện bất thường
Để phát hiện bất thường trong mạng, người ta sử dụng một số kỹ thuật cụ thể,
các kỹ thuật này có thể dùng tách biệt hoặc phối hợp với nhau. Có 3 kỹ thuật phát
hiện cơ bản là.
Threshold Detection: Kỹ thuật này nhấn mạnh thuật ngữ “đếm”. Các mức
ngưỡng về các hoạt động bình thường được đặt ra, nếu có sự bất thường nào
đó như login với số lần quá quy định, số lượng các tiến trình hoạt động trên
CPU, số lượng một loại gói tin được gửi vượt quá mức. . .
Seft-learning Detection: Kỹ thuật dò này bao gồm hai bước, khi thiết lập hệ
thống phát hiện tấn công, nó sẽ chạy ở chế độ tự học và thiết lập một profile
mạng với các hoạt động bình thường. Sau thời gian khởi tạo, hệ thống sẽ
chạy ở chế độ sensor theo dõi các hoạt động bất thường của mạng so với
profile đã thiết lập. Chế độ tự học có thể chạy song song với chế độ sensor
để cập nhật bản profile của mình nhưng nếu dò ra có tín hiệu tấn công thì
chế độ tự học phải dừng lại tới khi cuộc tấn công kết thúc.
Anomaly protocol detection: Kỹ thuật dò này căn cứ vào hoạt động của các
giao thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp lệ, các
hoạt động bất thường là dấu hiệu của sự xâm nhập, tấn công. Kỹ thuật này
rất hiệu quả trong việc ngăn chặn các hình thức quét mạng, quét cổng để thu
thập thông tin của các hacker.
4.4.3. Ưu nhược điểm của phát hiện bất thường
Phương pháp thăm dò bất thường của hệ thống rất hữu hiệu trong việc phát
triển các cuộc tấn công như dạng tấn công từ chối dịch vụ. Ưu điểm của phương
pháp này là có thể phát hiện ra các kiểu tấn công mới, cung cấp các thông tin hữu
ích bổ sung cho phương pháp do sự lạm dụng, tuy nhiên chúng có nhược điểm
thường tạo ra một số lượng lớn các cảnh báo sai làm giảm hiệu suất hoạt động của
mạng. Tuy nhiên vai trò của phương pháp này rất quan trọng, bởi một kẻ tấn công
dù biết rõ về hệ thống cũng không thể tính toán được các hành vi nào là hành vi mà
hệ thống coi là “bình thường”. Do đó đây sẽ là hướng được nghiên cứu nhiều hơn,
hoàn thiện hơn để hệ thống chạy ngày càng chuẩn xác.
Ngoài IDS dựa trên phát hiện bất thường còn có thể phát hiện các cuộc tấn
công từ bên trong, ví dụ như một người ăn cắp tài khoản của một người khác và
thực hiện các hành vi không giống như chủ nhân của tài khoản đó thường làm, hệ
thống IDS có thể nhận thấy các bất thường đó.
88
IDS dựa trên Misuse IDS dựa trên phân tích hành vi
Là phương pháp truyền thống, sử dụng Là phương pháp tiên tiến, không cần sử
một tập các mẫu mô tả hành vi bất dụng tập mẫu
thường
Không phát hiện được các dạng tấn công Có khẳ năng phát hiện các cuộc tấn công
lạ, chẳng hạn như Zero-Day attact mới
Biến thể của bất thường không được Không bị điểm yếu này do không sử
phát hiện dụng tập mẫu
Tỉ lệ False positive2 thấp hơn Tỉ lệ False positive thường cao
Tỉ lệ False negative3 thường cao Tỉ lệ False negative thấp hơn
Khi tập dữ liệu lớn sẽ bị overload Không bị overload nhờ các phương pháp
mô hình hóa dữ liệu và thuật toán
heuristic
Dựa vào bảng trên chúng ta có thể thấy IDS dựa trên phát hiện bất thường
mang tính trí tuệ và có nhiều ưu điểm hơn so với các hệ thống IDS truyền thống.
Tuy nhiên, để tăng cường tính chính xác của cảnh báo thì nên có sự kết hợp giữa
IDS bất thường và IDS kiểu cũ.
Cách nhận dạng các kiểu tấn công của IDS dựa trên phát hiện bất thường:
TT Dạng tấn công Cách phát hiện
Phát hiện bằng các profile bất thường hoặc sự
1 Xâm nhập leo thang
vi phạm chính sách an ninh
Phát hiện bằng các profile bất thường hoặc sự
2 Tấn công giả dạng
vi phạm các chính sách an ninh
Thâm nhập vào hệ thống Phát hiện bằng cách giám sát một số hành vi
3
điều khiển đặc biệt
Phát hiện bằng cách giám sát việc sử dụng tài
4 Rò rỉ thông tin
nguyên bất thường
Phát hiện bằng cách giám sát việc sử dụng tài
5 Tấn công từ chối dịch vụ
nguyên bất thường
Phát hiện các hành vi bất thường, vi phạm
6 Mã độc hại chính sách an ninh, sử dụng các đặc quyền bất
thường
False positive2: Là trường hợp hệ thống IDS sinh ra các cảnh báo khi luồng dữ liệu
bình thường đi qua, không có tấn công xâm nhập. Loại cảnh báo sai này hầu hết các
hệ thống IDS đều có. Khi tỉ lệ này quá cao sẽ gây nhiễu cho người quản trị.
89
False negative3: Có ý nghĩa ngược lại với False positive. Cảnh báo này xảy ra khi
một IDS không nhận ra được những cuộc tấn công thật sự. Nguyên nhân của False
negative có thể là do thông tin về dạng tấn công chưa được IDS biết, hoặc do chính
sách an ninh và điều khiển của người quản trị. Hầu hết các hệ thống IDS có khuynh
hướng tối thiểu hóa False negative. Tuy nhiên, rất khó loại trừ toàn bộ False
negative. Hơn nữa khi hệ thống có một vài False negative, người quản trị có xu
hướng thắt chặt việc kiểm soát và lài làm tăng số lượng false positive. Do đó cần có
sự tính toán cân bằng hợp lý.
4.4.4. Dữ liệu phát hiện bất thường
Nguồn dữ liệu đóng vai trò quan trọng trong phương pháp phát hiện bất
thường. Số liệu chính xác về tình trạng hoạt động của mạng sẽ có tính chất quyết
định đến việc các bất thường có được phát hiện hay không. Do bản chất của phương
pháp phát hiện bất thường là mô hình hóa và lập một hồ sơ về trạng thái bình
thường rồi từ đó so sánh để phân biệt khi có sự cố xảy ra, nên nếu số liệu phân tích
được cung cấp càng đầy đủ và chuẩn xác thì hiệu quả hoạt động của các thuật toán
phát hiện bất thường sẽ càng cao. Sau đây ta đi liệt kê một số nguồn dữ liệu thường
được sử dụng:
a. Network Probes
Network Probes là những công cụ chuyên dụng dùng để đo lường các tham số
mạng. Một ví dụ đơn giản về Network Probes là 2 lệnh ping và tracerouter, các lệnh
này dùng để đo độ trễ (end-to-end delay), tỉ lệ mấy gói tin (packet loss), bước truyền
(hop), . . .
Network Probes có thể cung cấp các số liệu tức thời, phương pháp này không
yêu cầu sự phối hợp của nhà cung cấp dịch vụ. Tuy nhiên, Network Probes có thể
không hoạt động nếu như trên Firewall đặt các tập luật ngăn chặn loại traffic này.
Ngoài ra các gói tin mà giao thức này sử dụng thường được các thiết bị mạng đối xử
một cách đặc biệt không giống như các gói tin bình thường khác, do vậy các số liệu
của Network Probes cần được tinh chỉnh thêm.
90
ping statistics for 67.220.210.150:
10 packets transmitted, 10 receiverd, 0% packet loss, time 9898 ms
Kỹ thuật lọc gói tin
Có một kỹ thuật được dùng để cung cấp dữ liệu cho các thuật toán phát hiện
bất thường đó là kỹ thuật lọc gói tin để thống kê luồng (packet filtering for flow-
based statistics). Luồng thông tin được dẫn qua một bộ lọc để lấy mẫu, các IP
header của các gói tin trong những thời điểm khác nhau tại các địa điểm khác nhau
trong mạng được ghi lại.
Việc tổng hợp các IP header cho phép cung cấp các thông tin chi tiết về tình
trạng hoạt động của hệ thống mạng. Các luồng thông tin được giám sát, một luồng
được xác định bằng địa chỉ nguồn-đích và cổng nguồn-đích. Phương pháp lọc gói
tin cho phép có được các thống kê chính xác về giao dịch trong mạng.
b. Dữ liệu từ các giao thức định tuyến
Các giao thức định tuyến cũng là một nguồn cung cấp dữ liệu cho thuật toán
phát hiện bất thường trong mạng. Trong quá trình định tuyến, các router liên lạc với
nhau để trao đổi các thông tin về trạng thái đường truyền ví dụ như: băng thông, độ
trễ, kết nối có bị tắt nghẽn hay không. Ví dụ với giao thức định tuyến OSPF (Open-
Shortest Path First), tại mỗi router có các bảng thông số mô tả về hình trạng mạng
cũng như trạng thái các đường truyền.
c. Dữ liệu từ các giao thức quản trị mạng
Các giao thức quản trị mạng cung cấp các thống kê về lưu thông mạng. Những
giao thức này có các tham số có thể giám sát hoạt động của thiết bị mạng một cách
hiệu quả. Các tham số không cung cấp trực tiếp các thông tin đo lường về giao
thông mạng nhưng có thể dùng để nhận dạng các hành vi trên mạng, do đó phù hợp
với phương pháp phát hiện bất thường.
SNMP: là giao thức hoạt động theo mô hình client-server có mục đích quản lý,
giám sát, điều khiển các thiết bị mạng từ xa. SNMP hoạt động dựa trên giao thức
UDP. SNMP server thu thập các thông tin gửi từ agent. Tuy nhiên nó không có chức
năng xử lý thông tin. SNMP server lưu trữ các thông tin này trong một cơ sở dữ liệu
gọi là MIB (Management Information Base). Các giá trị trong CSDL này chứa các
thông tin được ghi nhận khi các thiết bị mạng thực hiện các chức năng khác nhau.
Từng thiết bị mạng có một tập các giá trị MIB tương ứng với chức năng của
nó. Các giá trị MIB được xác định dựa trên loại thiết bị và các giao thức mạng hoạt
động dựa trên các thiết bị đó. Ví dụ như một switch sẽ có các giá trị MIB đo lường
lưu thông mạng ở mức đường truyền (link-level) trong khi một router sẽ có các
tham số ở mức dạng (network-level) cung cấp các thông tin về tầng mạng trong mô
dình OSI. Ưu điểm của việc sử dụng SNMP là tính chuẩn hóa do SNMP đã được
chấp nhận và triển khai rộng rãi trên các thiết bị khác nhau. Do tính đầy đủ và có
chọn lọc của dữ liệu nên SNMP là nguồn thông tin đầu vào rất quan trọng cho các
thuật toán phát hiện bất thường trong mạng.
91
4.4.5. Các phương pháp phát hiện bất thường
4.4.5.1 Xác suất thống kê
Phương pháp xác suất thống kê được sử dụng ở nhiều trong các hệ thống phát
hiện bất thường. Như tên gọi của nó, phương pháp này sử dụng mô hình Xác suất để
mô tả tất cả các hoạt động trong Hệ thống mạng. Mục tiêu của phương pháp này là
thiết một mô hình dữ liệu phù hợp để lưu trữ tri thức về tính bình thường của lưu
thông mạng, dựa vào đó có thể đánh giá được tính bất thường tại từng thời điểm cụ
thể.
Trong phương pháp này, hệ thống quan sát hành vi của các đối tượng và lập
profile về tập hành vi đó. Profile thông thường bao gồm các đại lượng đo lường về
mật độ, cường độ hoạt động, đo lường theo từng loại hoạt động, các thông số kỹ
thuật (như sử dụng CPU, RAM) . . .
Một số hệ thống phát hiện bất thường dựa trên xác suất:
4.4.5.1.1 Haystack
Haystack là một trong những hệ thống phát hiện bất thường đầu tiên sử dụng
phương pháp xác suất thống kê. Haystack sử dụng cả chiến lược phát hiện bất
thường trên máy trạm và trên một vùng mạng, mô hình hóa các tham số như là các
biến độc lập và ngẫu nhiên. Đối với từng yếu tố quan sát, Haystack định nghĩa một
khoẳng các giá trị được coi là “bình thường”. Trong một phiên, khi yếu tố quan sát
có giá trị đi ra ngoài “khoảng bình thường” thì hệ thống sẽ tính điểm dựa trên phân
bố xác suất và một cảnh báo được sinh ra nếu điểm số tính quá cao. Ngoài ra đối với
từng người sử dụng, Haystack còn lưu trữ các thông tin về các quyền được cấp phép
và giám sát hành vi. Nếu hành vi vượt ra ngoài các quyền đó thì hệ thống sẽ được
coi là bất thường. Điểm yếu của Haystack là nó được thiết kế để chạy offline, không
thể giám sát thời gian thực do không đảm bảo hiệu năng xử lý.
4.4.5.1.2 SPADE
SPADE (Statistical Packet Anomaly Detection Engine) là một hệ thống phát
hiện bất thường dựa trên thống kê, SPADE là nghiên cứu đầu tiên đưa khái niệm
“chỉ số bất thường” (anomaly score) nhằm phát hiện các dấu hiệu tấn công. Phương
pháp này sử dụng cách tiếp cận tính toán tần suất xuất hiện của yếu tố quan sát để
tính ra “chỉ số bất thường”, thay vì thống kê p sự kiện trong q đơn vị thời gian như
các phương pháp truyền thống.
Phương pháp này sử dụng một hàm chỉ số A(x) để đánh giá mức độ bất thường
của sự kiẹện x. Giá trị A(x) được tính bằng hàm logarit của phân phối xác suất xảy
ra sự kiện x. Để hỗ trợ việc lưu trữ dữ liệu và tính toán trong trường hợp số lượng
thông số lớn, người ta sử dụng mạng Bayes để mô tả mối liên hệ phục thuộc giữa
các thông số. Từ đó có thể tính xác suất hợp bằng các xác suất có điều kiện và xác
suất không điều kiện của tổ hợp ít thông số hơn.
Nguyên lý hoạt động của phương pháp này như sau:
92
Giả sử rằng chúng ta đã có một cơ sở dữ liệu thống kê về hoạt động mạng bình
thường, bao gồm các phân bố xác suất về các sự kiện. Khi nhận được một biến cố x,
ta dễ dàng tính ra được P(x) là xác suất xuất hiện x hoạt động bình thường của mạng
là bao nhiêu. Từ đó có thể tính ra chỉ số bất thường A(x) bằng cách thực hiện làm
Logarit trên P(x):
A(x) = -log(P(x))
Hàm EC là hàm đánh giá sự kiện x có phải là bất thường hay không:
Xây dựng
Các nguồn
CSDL xác suất
dữ liệu
P(x)
Tính
Tri thức
X=Tập sự
ngưỡng I’
kiện x1, x2, . .,
xk
93
Có
Không ACK ?
Không Có
Việc phát hiện sự kiện bất thường bằng máy trạng thái hữu hạn dựa trên các
đặc điểm như sau:
Tính đơn nhất (Atomicity): Các sự kiện phải được hoàn thành. Ví dụ như mỗi
kết nối được coi như một đối tượng, một thực thể độc lập và được theo dõi
để phát hiện bất thường
Tính bền vững (Consistency): Các hệ thống phải đưa hệ thống từ trạng thái
bền vững này qua trạng thái bền vững khác.
95
Tính phân tách (Isolation): Mỗi sự kiện xảy ra mà không bị can thiệp bởi một
sự kiện khác.
Từ những đặc điểm trên, FSM mô tả các sự kiện và phát hiện bất thường dựa
trên sự khác nhau giữa sự kiện thực tế và sự kiện đã được mô tả.
Ưu điểm của phương pháp này là có cái nhìn nguyên nhân – kết quả đối với
bất thường, từ đó phân được bất thường có phải tấn công không. Tuy nhiên, phương
pháp này có điểm yếu là rất tốn tài nguyên để thực hiện. Ngoài ra, nó cũng yêu cầu
có tập dữ liệu tương đối đầy đủ về hoạt động mạng. Khi số lượng node tăng cao, cần
thiết phải có các máy hiệu năng lớn để tính toán. Do đó các phương pháp này gần
như không được triển khai trong thực tế.
Cảnh
báo
Mô
hình
hóa
FSM
96
số hệ thống IDS điển hình như: IDS sử dụng mạng Nơ-ron lan truyền ngược trong
nghiên cứu của Ghost hay mạng Nơ-ron hồi quy trong nghiên cứu của Elman .
Một hướng khác để giải quyết vấn đề bất thường là sử dụng Bản đồ tự tổ chức
SOM (Self Organizing Maps) như trong nghiên cứu của Ramadas. SOM được sử
dụng nhẵm mục đích đào tạo và phát hiện hành vi bất thường. SOM, còn được biết
đến là SOFM (Self Organizing Feature Map) là một trong những mô hình biến dạng
của mạng Nơ-ron. SOM được Kohonen phát triển vào đầu những năm 80, nên cũng
thường được gọi là mạng Kohonen. SOM thường được dùng để học không có
hướng dẫn (unsupervised learning).
Học không hướng dẫn dùng SOM cung cấp một phương thức đơn giản và hiệu
quả để phân lớp các tập dữ liệu. SOM cũng được xem là một trong những hướng
tiếp cận tốt cho việc phân lớp tập dữ liệu theo thời gian thực bởi tốc độ xử lý cao
của thuật toán và tỷ lệ hội tụ nhanh khi so sánh với các kỹ thuật học khác.
Trong hệ thống phát hiện bất thường sử dụng SOM, ngừoi ta thiết lập các
mạng nhằm phân lớp các hành vi, từ đó phát hiện ra các hành vi nghi vấn. Sơ đồ
khối của giải thuật này như sau:
Đầu tiên các dữ liệu về mạng cần phân tích phải được thể hiện ở dạng vectơ
các tham số đặc trưng. Tiếp theo các vectơ này được lưu trữ trong một input vectơ
để tiến hành phân lớp. Việc phân lớp này tiên hành lặp đi lặp lại cho đến khi hội tụ.
Sau đó với các SOMs đã xây dựng được ta có thể tiến hành phân tích để xác định
“khoảng cách” giữa hành vi đang xét với hành vi “bình thường”. Nếu khoảng cách
này ra ngoài ngưỡng cho phép thì tiến hành cảnh báo.
4.4.5.4 Phát hiện bất thường bằng Hệ chuyên gia
Phương pháp này có tên gọi là Rule-based Detection (Phát hiện dựa trên tập
luật). Đây là một trong những hướng tiệp cận đầu tiên để giải quyết vấn đề phát hiện
bất thường trong mạng. Phương pháp Rule-base này dựa trên Hệ chuyên gia, cần có
một cơ sở dữ liệu đồ sộ bao gồm các luật để mô tả hành vi bất thường để phát hiện
lỗi trong hệ thống. Các hệ thống Rule-based này trong thực tế không được sử dụng
nhiều do hệ thống chạy quá chậm không thể đaps ứng thời gian thực, đồng thời cần
97
phải có trước tri thức về triệu chứng của các cuộc tấn công. Một số triệu chứng như:
mạng bị quá tải, số lượng kết nối TCP nhiều bất thường, thông lượng của các thiết
bị đạt tới mức độ tối đa . . .
Phương pháp Rule-based phụ thuộc rất lớn vào kinh nghiệm của người quản trị
vì khi hệ thống mạng có sự thay đổi và tăng trưởng về mô hình thì tập luật cũng phải
thay đổi theo.
Phương pháp Rule-based bao gồm các bước sau:
Bước 1: Gia thiết rằng các sự kiện không xảy ra theo một trình tự ngẫu nhiên
mà theo các khuôn dạng cho trước
Bước 2: Sử dụng các luật qui nạp theo thời gian để mô tả hành vi bình thường
của người sử dụng
Bước 3: Các luật được chỉnh sửa và chỉ có những luật có mức entropy4 thấp
mới lưu lại trong tập luật.
Bước 4: Nếu chuỗi các sư kiện phù hợp với vế trái của luật, thì sẽ tiếp tục so
sánh sự kiện tiếp theo để xác định bất thường nếu nó không nằm trong phần vế
phải của luật. Ví dụ cóluật là: E1 ->E2 -> E3 (E4=95%, E5=5%), nghĩa là
nếu thấy liên tiếp các sự kiện E1, E2, E3 thì xác suất xảy ra sự kiện E4 là 95%,
E5 là 5%.
4.4.5.5 Phát hiện bất thường bằng kỹ thuật khai phá dữ liệu
So với một số kỹ khác như Xác suất thống kê, Máy trạng thái thì Khai phá dữ
liệu (KPDL) có một số ưu thế rõ rệt: KPDl có thể sử dụng với các CSDL chứa nhiều
nhiễu, dữ liệu không đầy đủ hoặc biến đổi liên tục, mức độ sử dụng chuyên gia
không quá thường xuyên. Dựa trên các ưu thế đó, KPDL gần đây cũng được các nhà
nghiên cứu áp dụng vào Hệ thống phát hiện xâm nhập trái phép.
Ưu điểm vượt trội của phương pháp này là khả năng xử lý khối lượng dữ liệu
lớn, có thể phục vụ cho các hệ thống thời gian thực. Hệ thống IDS sử dụng KPDL
cũng được chia theo 2 hướng chính là phát hiện dựa trên hành vi lạm dụng và phát
hiện bất thường. Trong hướng phát hiện dựa trên hành vi lạm dụng, các mẫu trong
tập dữ liệu được gán nhãn là “bình thường” hay “bất thường”. Một thuật toán học sẽ
được đầo tạo trên tập dữ liệu được gán nhãn. Kỹ thuật này sẽ được áp dụng tự động
trên các dữ liệu đầu vào khác nhau để phát hiện tấn công. Các nghiên cứu theo
hướng này chủ yếu dựa vào việc phân lớp các hành vi sử dụng các thuật toán KPDL
khác nhau như: Phân cụm, Phân tích luật tích hợp. Ưu điểm của hướng này là khả
năng phát hiện chính xác các tấn công đã biết đến và các biến thể của nó với độ
chính xác cao. Nhược điểm là nó không thể phát hiện các tấn công mới mà chưa có
mẫu hay biến thể nào được quan sát.
Đối với hướng tiếp cận bất thường, gần đây trong lĩnh vực KPDL, người ta
thường nhắc đến Bài toán phát hiện phần tử tách biệt (Outlier Detection – phần tử
ngoại lai hay phần tử tách rời). Mục tiêu của bài toán này là phát hiện phần tử tách
98
biệt, với dữ liệu là tập thông tin quan sát hoạt động mạng, còn phần tử tách biệt
tương ứng với các dạng tấn công. Các thuật toán Phát hiện phần tử tách biệt, cũng
thừa hưởng ưu điểm của phương pháp KPDL, đó là khả năng hoạt động ổn định
trong tập dữ liệu, đó là khả năng hoạt động ổn định trong tập dữ liệu nhiễu, dữ liệu
không đầy dủ, dữ liệu khối lượng lớn và có tính chất phân bố.
Dữ liệu
tấn công Bổ sung dấu hiệu mới
đã biết
Network
Tấn công
Bắt gói Trích đã biết Phát
tin hiện
xuất
PTTB
Tấn công
mới rút
Lọc tin Bộ tổng hợp gọn
Hệ thống phát hiện bất thường dựa trên kỹ thuật KPDL lấy ý tưởng chủ đạo là
sử dụng các giải thuật phát hiện phần tử tách biệt. Bên cạnh đó, hệ thống còn có
một số cải tiến như sử dụng bộ lọc các kiểu tấn công đã biết dấu hiệu (các dấu hiệu
này được hệ thống tự học), sử dụng một bộ tổng hợp nhằm rút gọn cảnh báo lên
chuyên gia. Đồng thời bộ tổng hợp này cũng có chức năng xây dựng luật rút gọn để
bổ sung tri thức cho hệ thống. Module tổng hợp được xây dựng dựa trên một số kỹ
thuật khác của KPDL là kỹ thuật tổng hợp (Summarization). Ngoài ra hệ thống còn
có các thành phần tương tụ như các hệ thống IDS khác như Module lọc tin, Module
trích xuất thông tin.
4.4.5.5.1 Khái niệm phần tử tách biệt
Định nghĩa phần tử tách biệt theo định nghĩa của Hawkins năm 1980 cho ràng:
Phần tử tách biệt là một quan sát có độ sai lệch lớn hơn so với các quan sát khác và
do đó có thể nghi ngờ nó được sinh ra từ một cơ chế khác.
99
Ta biết rằng các sự kiện khác biệt thường mang lại thông tin nhiều hơn so với
các sự kiện bình thường. Do đó việc phát hiện phần tử tách biết là cần thiết trong
nhiều lĩnh vực khác nhau. Dựa trên các yếu tố cấu thành nên phần tử tách biệt, ta
chia chúng thành 2 loại: Phần tử tách biệt một chiều và phần tử tách biệt nhiều
chiều.
IP Source=10.20.10.25 25.20.10.25
IP Source=10.20.10.15
IP Source=10.20.10.13 Outlier
Ánh xạ bài toán Phát hiện bất
IP thường về bài toán Phát hiện PTTB
Source=10.20.10.20
100
Tuy nhiên phần tử tách biệt nhiều chiều không thể suy ra phần tử tách biệt một
chiều. Bởi vì một phần tử có nhiều yếu tố tách biệt một chiều chưa hẳn là tách biệt
nhiều chiều. Ngược lại, một phần tử tách biệt nhiều chiều có thể chỉ có một thuộc
tính là tách biệt một chiều.
Bài toán phát hiện phần tử tách biệt nhiều chiều là bài toán cơ bản nhất trong
các hệ thống IDS dựa trên phát hiện bất thường. Với cách tiếp cận dựa trên xác suất,
có nhiều nghiên cứu được đưa ra nhằm giải bài toán phát hiện phần tử tách biệt,
người ta xây dựng các mô hình dữ liệu dựa trên phân bố ngẫu nhiên và xác định
phần tử tách biệt thông qua mối tương quan với mô hình đó. Tuy nhiên khi số chiều
của không gian mẫu tăng lên thì việc tính toán trở nên khó khăn và không chính xác.
Dựa trên kỹ thuật KPDL, vấn đề tìm kiếm phần tử tách biệt trong một tập dữ
liệu được xử lý bằng nhiều cách khác nhau. Trên thực tế có nhiều thuật toán được sử
dụng để tìm kiếm phần tử tách biệt, tuy nhiên có một thuật toán thường được sử
dụng trong hệ thống phát hiện bất thường là thuật toán LOF. Thuật toán này được
trình bày ở mục sau.
4.4.5.5.2 Thuật toán LOF
Thuật toán LOF (Local Outlier Factor) sử dụng hướng tiếp cận dựa trên mật độ
được Breuning đưa ra trong [12]. Ý tưởng chính của phương pháp này là gán cho
mỗi mẫu dữ liệu một cấp độ tách biệt. Cấp độ này còn được gọi là nhân tố tách biệt
địa phương (Local Outlier Factor) của mẫu dữ liệu.
Như vậy đối với từng mẫu, mật độ phần tử lân cận đóng một vai trò then chốt.
Lúc này, một mẫu không phải được phân loại là “tách biệt” hay “không tách biệt”
mà được đánh giá là mức độ tách biệt như thế nào, tùy theo giá trị LOF của mẫu đó.
Ký hiệu k – dis(x) là khoảng cách đến phần tử lân cận thứ k của mẫu x
Ký hiệu Nk-dis(x) là số lượng phần tử lân cận của x có khoảng cách tới x bé
hơn k-dis(x)
Khoảng cách tiếp cận trung bình của một mẫu x đối với một mẫu y, ký hiệu
là R-dis(x,y) được tính như sau: R-dis(x,y)=max(k-dis(x),d(x,y))
P1
R-dis(p1,O)=k-dis(O)
R-dis(p2,O)
P2
Trong đó:
Hàm lrd(.) chỉ Mật độ tiếp cận địa phương(Local reachability density) của một
mẫu. Hàm lrd(.) dựa trên tích nghịch đảo của R-dis(x,y) và dựa trên MnPts (số
lượng mẫu tối thiểu) các phần tử lân cận của mẫu x.
Thuật toán tính LOF cho tất cả các mẫu dữ liệu được thực hiện qua các bước
sau:
Bước 1: Đối với mỗi mẫu x tính k-dis(x)
Bước 2: Đối với mỗi mẫu y tính R-dis(x,y)
Bước 3: Tính hàm lrd(.)
Bước 4: Tình LOF(x)
4.4.5.5.3 Môđun lọc tin
Dữ liệu được thu thập từ nhiều nguồn khác nhau như Sensor, thiết bị mạng, từ
SNMP MIB hay file log của các hệ thống. Do khối lượng dữ liệu rất lớn nên hệ
thống không thể lưu trữ toàn bộ dữ liệu này. Hệ thống sẽ tiến hành quan sát theo
dạng cửa sổ thời gian. Chẳng hạn như chỉ lưu trữ thông tin trong vòng 1giờ trở lại.
Độ dài cửa sổ quan sát cũng là một yếu tố mà người quản trị phải lựa chọn sao cho
phù hợp với hệ thống mạng của mình. Nếu cửa sổ quá ngắn, hệ thống của sổ có thể
bỏ lỡ nhiều tấn công dạng “chậm”. Ngược lại, trong trường hợp cửa sổ quá dài thì
hệ thống có thể sẽ không đảm bảo tốc độ, không thích hợp trong môi trường thời
gian thực.
Các bộ dữ liệu thông thường được lưu trên file ở dạng bản ghi. Hệ thống sẽ
truy cập các file này để lấy thông tin. Môđun lọc tin có chức năng loại bổ những
thông tin thừa, các lưu lượng mà hệ thống biết chắc không có tấn công. Những
thông tin có ích cho hệ thống chỉ chiếm khoảng 20% tổng số thông tin mà công cụ
bắt gói tin đưa về.
4.4.5.5.4 Môđun trích xuất dữ liệu
Dữ liệu sau khi qua module lọc sẽ được tiến hành trích xuất các yếu tố quan
sát. Mỗi một thuật toán phát hiện bất thường sẽ có một tập các thông số quan sát
riêng. Thông thường đối với các gói tin mạng, thông tin qua trọng chủ yếu nằm ở
phần Header của gói tin. Sau đây là một số thông số mà module trích xuất thông tin
có thể sử dụng đến:
102
Header Thông tin trích xuất
Ethernet header Packet size
Source address
Destination address
Protocol
IP header Source address
Destination address
Header length
TOS
Packet size
IP Fragment ID
IP Flag & Pointer
TTL
Checksum
TCP header Source port, Destination port
Sequency & ACK Number
Header length
Window size
Checksum
UDP header Source port, Destination port
Checksum
Length
ICMP Type & Code
Checksum
103
Trong một hệ thống mạng lớn có nhiều nốt mạng, số lượng kết nối cần phải
giám sát là rất lớn. Chẳng hạn trong 10 phút, có thể có đến hàng triệu kết nối được
hình thành trong hệ thống mạng. Nếu 0,1% tổng só lượng các kết nối được đánh giá
là có dấu hiệu bất thường, thì trong 10 phút có hàng trămcảnh báo được phát ra, điều
này gây khó khăn cho khẳ năng giám sát và nhận định của người quản trị. Do đó cần
thiết phải có một biện pháp nhằm tổng hợp các kết nối được đánh dấu là bất thường
để rút gọn dữ liệu đầu ra, trong khi vẫn phản ánh chính xác tình trạng bất thường.
Ngoài ra, sau khi các dạng tấn công mới được phát hiện, cần thiết phảu bổ
sung các mẫu của dạng rấn công này cho hệ thống phát hiện xâm nhập dựa trên dấu
hiệu. Các mẫu này phải là các tậpluật ở dạng rút gọn, có thẻ phản ánh đúng được các
cuộ tấn công mới và thuận tiện trong việc so sánh kiểm tra trong tương lai.
Để đáp ứng các yêu cầu đó, người ta sử dụng kỹ thuật tổng hợp trong KPDL
nhằm rút gọn các cảnh báo và tập mẫu. Sau đây là một ví dụ về cách tổng hợp cảnh
báo. Một bảng gồm 10 cảnh báo tương đối giống nhau sẽ được rút gọn thành một
cảnh báo.
Dest Number
SrcIP Start time Dest IP
port of bytes
X.Y.Z.95 11.07.20 A.B.C.223 139 192
X.Y.Z.95 11.13.56 A.B.C.219 139 195
X.Y.Z.95 11.14.29 A.B.C.217 139 180 Summarization
X.Y.Z.95 11.14.30 A.B.C.255 139 199 SrcIP=X.Y.Z.95,
X.Y.Z.95 11.14.32 A.B.C.254 139 186 DestPort=139
X.Y.Z.95 11.14.35 A.B.C.253 139 177
X.Y.Z.95 11.14.36 A.B.C.252 139 172
X.Y.Z.95 11.14.38 A.B.C.251 139 192
X.Y.Z.95 11.14.41 A.B.C.250 139 195
X.Y.Z.95 11.14.44 A.B.C.249 139 163
Ví dụ về tổng hợp luật
Ý tưởng của module này tương tự quá trình tóm tắt văn bản. Có thể sử dụng
các thuật toán Tóm tắt văn bản để thực hiện chức năng module này. Ở đây trình bày
một thuật toán tổng hợp dựa trên 2 yếu tố là độ nén và tỉ lệ mất tin.
Độ nén nhấn mạnh đến tính rụt gọn của dữ liệu, tỷ lệ mất tin nhấn mạnh sự mất
mát thông tin sau khi áp dụng quá trình tổng hợp dữ liệu. Trong cùng một thuật toán
thì nếu ta tăng độ nén, tỷ lệ mất tin cũng tăng theo. Do vậy cần phải có sự cân đối
hợp lý giữa 2 yếu tó này. Bằng cánh sử dụng hàm định lượng:
S=k*(độ nén) – (tỷ lệ mất tin)
Trong đó, k là hằng số do người dùng chọn, nó là biến điều chỉnh mức độ quan
tâm giữa tỷ lệ nén và tỷ lệ mất gói tin.
Dữ liệu đầu vào của Module Tổng hợp là các kết nối được gán chỉ số bất
thường từ Module Phát hiện PTTB, đầu ra là các mẫu rút gọn mô tả cuộc tấn công.
104
Kết nối
được phân attack
loại
Hệ thống phát hiện
bất thường
Bộ tổng hợp
normal
update
Module tổng hợp sử dụng các thuật toán heuristic để lựa chọn cách rút gọn tập
cảnh báo sao cho phù hợp. Một thuật toán heuristic giải quyết vấn đề này thường
trải qua những bước sau:
Bước 1: Dựa trên tập cảnh báo từ module Phát hiện tách biệt, tiến hành tính
toán các tần suất xuất hiện của các tập yếu tố quan sát
Bước 2: Đưa ra một danh sách các ứng cử viên rút gọn
Bước 3: Tính toán vét cạn đối với từng trường hợp. Mỗi trường hợp sẽ tính
hàm định lượng S=k*(độ nén) – (tỷ lệ mất tin).
Bước 4: Chọn ra một ứng cử viên có hàm S lớn nhất. Thực hiện rút gọn theo
ứng cử viên này. Loại bỏ các cảnh báo đã nằm trong quá trình rút gọn này. Tiếp tục
với ứng cử viên khác cho đến khi toàn bộ danh sách cảnh báo được rút gọn.
Ví dụ ta có các cảnh báo sau:
105
dPor packe
src IP sPort dst IP pro flags bytes
t ts
T 100.10.20. tc APRS
1 4 p -
Tập ứng cử viên có thể là các yếu tố quan sát hoặc bộ yếu tố quan sát có tần
suất xuất hiện cao như:{[srcIP=192.168.22.4],[dstIP=100.10.20.4;pro=tcp;
flags=APRS,packets=2,20],[dPort=80],[srcIP=192.168.22.4;dstIP=100.10.20.3],[
dstIP=100.10.20.4;dPort=80] . . .}
Lần lượt thực hiện thuật toán rút gọn, các cảnh báo sau sẽ chỉ còn 3 dòng như
sau:
dPor packe
src IP sPort dst IP pro flags bytes
t ts
106
Hạn chế của nhiều hệ thống phát hiện bất thường trước đây là không có quá
trình học phản hồi từ chuyên gia, Nghĩa là các cảnh báo sai sẽ tiếp tục được đưa ra ở
những lần sau. Đối với hệ thống sử dụng KPDL, sau khi hình thành các cảnh báo rút
gọn, module tổng hợp chuyển cho các chuyên gia xem xét và quyết định những cảnh
báo nào là cảnh báo đúng và có tấn công thực sự. Các tri thức này sẽ được cập nhật
vào Bộ dữ liệu của hệ thống nhằm phát hiện các tấn công đã biết ở những lần sau.
Sử dụng phản hồi của chuyên gia là một hướng mới giúp chi hệ thống liên tục được
cập nhật và ổn định hơn khi phát hiện tấn công.
Các hệ thống IDS được đặt ở các vùng mạng khác nhau và giám sát lưu thông
vào ra ở các vùng mạng đó. Mỗi hệ thống hoạt động và học tập tri thức một cách
độc lập về tấn công ở từng vùng. Để nâng cao khả năng phối hợp giữa các hệ thống
IDS, cần thiết nên có một bộ tri thức chung và sự phối hợp giữa các hệ thống IDS.
Tri thức về
dấu hiệu
tấn công
107
KỸ THUẬT TẤN CÔNG VÀ PHÒNG
THỦ TRÊN KHÔNG GIAN MẠNG
• Port Scanning
• Network Scanning
• Vulnerability Scanning
• Mục tiêu
– Các hệ thống đang hoạt động
– Những cổng dịch vụ
– Hệ điều hành nào
– Dò ra các dịch vụ
– Dò ra các địa chỉ IP
– ….
• Angry IP Scanner
• Ping Sweep
• Firewalking Tool
• Firewalking Tool
– Tìm các port đang mở
• Nmap
• Nmap
• Nmap
• Hping2 Commands
• IDLE Scan
– B1: Chọn một “zombie” để thăm dò só IPID
• IDLE Scan
– B2: Gửi gói tin SYN đến máy tính mục tiêu (giả mạo địa chỉ IP
của "Zombie“)
• IDLE Scan
– B3: Các mục tiêu sẽ gửi RST đến "zombie“. Nếu cổng được
đóng lại, Zombie sẽ không gửi gì cả.
• IDLE Scan
– B4: Thăm dò "zombie" IPID một lần nữa.
• http://news.netcraft.com/
• http://news.netcraft.com/
• Scan hệ thống.
• Các công cụ cần thiết.
• Các điểm cần lưu ý.
40
Institute of Network Security - istudy.vn
An ninh mạng LAN không dây
(IEEE 802.11)
1 9/4/2012
Các nội dung trình bày
1. Công nghệ WLAN
2. An ninh trong WLAN
3. Giao thức WEP
4. Giao thức WPA/WPA2
2 9/4/2012
1. Công nghệ WLAN
Năm 1985, Ủy ban liên lạc liên bang Mỹ FCC (Federal
Communications Commission), quyết định “mở cửa” một
số băng tần của giải sóng vô tuyến, cho phép sử dụng
chúng mà không cần giấy phép của chính phủ.
FCC đã đồng ý “thả” 3 giải sóng công nghiệp, khoa học và
y tế cho giới kinh doanh viễn thông.
Ba giải sóng này, gọi là các “băng tần rác” (garbage bands
– 900 MHz, 2,4 GHz, 5,8 GHz), được phân bổ cho các thiết
bị sử dụng vào các mục đích ngoài liên lạc.
3 9/4/2012
Vai trò và vị trí của WLAN
4 9/4/2012
Các chuẩn WLAN
Chuẩn IEEE 802.11 chính thức được ban hành năm
1997.
IEEE 802.11 (chuẩn WiFi) biểu thị một tập hợp các
chuẩn WLAN được phát triển bởi ủy ban chuẩn hóa
IEEE LAN/MAN (IEEE 802.11).
Thuật ngữ 802.11x có thể được sử dụng để biểu thị
một tập hợp các chuẩn đối với tất cả các chuẩn thành
phần của nó.
IEEE 802.11 có thể được sử dụng để biểu thị chuẩn
802.11, đôi khi được gọi là 802.11 gốc (802.11
legacy).
5 9/4/2012
Sau đó 2 chuẩn, IEEE 802.11a (băng tần 5,8
GHz) và IEEE 802.11b (băng tần 2,4 GHz), lần
lượt được phê duyệt tháng 12/1999 và
tháng 1/2000.
Sau khi có chuẩn 802.11b, các công ty bắt
đầu phát triển những thiết bị tương thích
với nó.
6 9/4/2012
Có 6 công ty bao gồm Intersil, 3Com, Nokia,
Aironet, Symbol và Lucent liên kết với nhau
để tạo ra Liên minh tương thích Ethernet
không dây WECA (The Wireless Ethernet
Compatibility Alliance).
Mục tiêu hoạt động của tổ chức WECA là xác
nhận sản phẩm của những nhà cung cấp
phải tương thích thực sự với nhau.
7 9/4/2012
Quan hệ giữa IEEE 802.11 và OSI
8 9/4/2012
Cấu trúc WLAN
9 9/4/2012
Chuẩn IEEE 802.11 và hạ tầng
Có hai loại mạng không dây cơ bản:
Kiểu Ad-hoc: Mỗi máy trong mạng giao tiếp trực
tiếp với nhau thông qua các thiết bị không dây mà
không dùng đến các thiết bị định tuyến (Wireless
Router) hay thu phát không dây (Wireless Access
Point).
Kiểu Infrastructure: Các máy trong mạng sử dụng
một hoặc nhiều thiết bị định tuyến hay thiết bị
thu phát để thực hiện các hoạt động trao đổi dữ
liệu với nhau.
10 9/4/2012
Các chế độ hoạt động
(a, Infrastructure; b, Ad-hoc)
11 9/4/2012
Các chuẩn an ninh hỗ trợ IEEE 802.11
12 9/4/2012
Chuẩn an Các phương Các phương Kích thước Giải thích
ninh pháp xác pháp mã hóa khóa mã (bit)
thực
IEEE 802.11 Hệ thống mở WEP 40 và 104 Xác thực và
và khóa chia mã hóa yếu
xẻ
IEEE 802.1x Các phương N/A N/A EAP cung cấp
pháp xác thực khả năng xác
EAP thực mạnh
WPA– 802.1X TKIP/AES 128 Xác thực
Enterprise (Tùy chọn) mạnh, TKIP/
AES.
WPA– PSK TKIP/AES 128
Personal (Tùy chọn)
WPA2– 802.1X TKIP và AES 128
Enterprise
WPA2– PSK TKIP và AES 128
13 Personal 9/4/2012
2. An ninh trong WLAN
Tại sao an toàn thông tin trong WLAN lại rất
quan trọng?
Điều này bắt nguồn từ tính cố hữu của môi
trường không dây. Sóng vô tuyến có thể xuất
hiện trên đường phố, từ các trạm phát của các
mạng LAN này, và như vậy ai cũng có thể truy
cập nhờ thiết bị thích hợp.
14 9/4/2012
Các dịch vụ an ninh trong IEEE 802.11
Ba dịch vụ an ninh cơ bản:
Sự xác thực: Cung cấp khả năng điều khiển truy nhập
tới mạng nhờ ngăn cấm truy nhập đối với các thiết bị
được xác nhận không hợp lệ. Dịch vụ này hướng đến
vấn đề – chỉ những người dùng hợp lệ mới được
phép truy nhập tới mạng?
Tính bí mật (hoặc tính riêng tư): Mục tiêu của nó
nhằm ngăn chặn việc đọc thông tin từ các đối tượng
phi pháp. Dịch vụ này hướng đến vấn đề – chỉ những
người dùng hợp lệ mới được phép đọc thông tin của
mình?
15 9/4/2012
Tính toàn vẹn: Được phát triển nhằm mục
đích đảm bảo cho các bản tin không bị sửa
đổi khi truyền giữa các trạm và các điểm
truy nhập. Dịch vụ này hướng đến vấn đề –
thông tin trong mạng là đáng tin cậy hay nó
đã bị giả mạo?
Các dịch vụ trên chỉ ra rằng chuẩn IEEE
802.11 không đề cập đến các dịch vụ an
ninh khác như kiểm toán, cấp quyền, và
chống từ chối.
16 9/4/2012
Các phương pháp thực hiện các dịch vụ
17 9/4/2012
Các kiểu tấn công trên WLAN
Một số kiểu tấn công chủ yếu:
Tấn công chủ động (kết nối, dò và cấu hình mạng – Active
attacks).
18 9/4/2012
Tấn công bị động
20 9/4/2012
Tấn công theo kiểu chèn ép
21 9/4/2012
3. Giao thức WEP
22 9/4/2012
Đối với mạng LAN (chuẩn IEEE 802.3), bảo mật dữ liệu
trên đường truyền đối với các tấn công bên ngoài
được đảm bảo qua biện pháp giới hạn vật lý, tức là
hacker không thể truy xuất trực tiếp đến hệ thống
đường truyền cáp. Do đó chuẩn 802.3 không đặt ra
vấn đề mã hóa dữ liệu để chống lại các truy cập trái
phép.
Đối với chuẩn 802.11, vấn đề mã hóa dữ liệu được ưu
tiên hàng đầu do đặc tính của mạng không dây là
không thể giới hạn về mặt vật lý truy cập đến đường
truyền, bất cứ ai trong vùng phủ sóng đều có thể truy
cập dữ liệu nếu không được bảo vệ.
23 9/4/2012
WEP là một phương pháp mã hoá dữ liệu được
thực hiện tại lớp điều khiển truy cập (Media Access
Control – MAC).
Phương pháp này sử dụng thuật toán mã hoá RC4
(IV, k) với một véc tơ IV có thể thay đổi được và
một khoá k không thay đổi, được gán trước trong
các máy trạm và các AP.
Phương pháp này còn sử dụng một tổng kiểm tra
CRC để xác thực bản tin.
24 9/4/2012
Trong vài năm đầu, thuật toán này được bảo mật và
không sẵn có, tháng 9 năm 1994, một vài người đã
đưa mã nguồn của nó lên mạng.
Mặc dù bây giờ mã nguồn là sẵn có, nhưng RC4 vẫn
được đăng ký bởi RSADSI.
RC4 mã hóa và giải mã rất nhanh, nó rất dễ thực
hiện, và đủ đơn giản để các nhà phát triển phần
mềm có thể dùng nó để mã hóa các phần mềm của
mình.
25 9/4/2012
Sơ đồ quá trình mã hóa sử dụng WEP
26 9/4/2012
Mô tả
WEP dựa trên một khóa bí mật k được chia xẻ giữa
các bên truyền thông để bảo vệ dữ liệu truyền.
Mã hóa của 1 khung (frame) dữ liệu được thực hiện
như sau:
Tính tổng kiểm tra: Một tổng kiểm tra của bản tin cần
mã hoá M (tổng kiểm tra được tính theo CRC) được
tính và kí hiệu là c(M). Rồi kết hợp c(M) và M lại với
nhau để tạo thành bản rõ (kí hiệu là P = (M, c(M)), P
được dùng làm đầu vào cho giai đoạn thứ hai. Chú ý
rằng, c(M) và P không phụ thuộc vào khoá k.
27 9/4/2012
Mã hóa: Tiếp theo bản rõ P được mã hoá sử dụng thuật
toán mã hoá RC4.
Một véc tơ khởi tạo (IV) v có thể thay đổi và một khoá k
không đổi được chọn. Thuật toán RC4 sinh ra một khoá
dòng (keystream – là một chuỗi dài các byte giả ngẫu nhiên,
chúng là hàm của v và k). Dòng khoá được kí hiệu là RC4 (v,
k) có độ dài bằng P.
Sau đó bản rõ P và dòng khóa RC4 (v, k) được cộng mô đun
hai (XOR hoặc ) với nhau tạo nên bản mã (ciphertext), kí
hiệu là C và
C = P RC4 (v, k).
28 9/4/2012
Truyền tin: Cuối cùng, véc tơ khởi tạo v và bản mã C
được truyền vào môi trường vô tuyến. Điều này có
thể được biểu diễn như sau:
A→ B: v, (P RC4 (v, k)).
Dạng của khung dữ liệu được mã hóa chỉ ra trên
hình sau:
29 9/4/2012
Sơ đồ quá trình giải mã sử dụng WEP
30 9/4/2012
Trước tiên, thực hiện việc XOR dòng khóa RC4 (v, k)
và bản mã C để nhận được bản rõ P’.
31 9/4/2012
Các rủi ro và các biện pháp đối phó trên giao thức
WEP
Các nguy cơ rủi ro:
Sử dụng các khóa WEP tĩnh (static WEP keys) để chia xẻ
khóa định danh trong một thời gian dài gây ra nguy cơ bị
lộ khóa.
Điều này bởi vì các giao thức WEP không cung cấp sự
quản lý khóa dự phòng vì vậy trong trường hợp một máy
tính bị hack (hoặc mất) sẽ gây tổn hại đến tất cả các máy
tính khác có sử dụng khóa này.
Thêm nữa, nếu mọi trạm trong mạng sử dụng cùng khóa
thì số lượng các gói dữ liệu khóa sẽ tăng lên rất nhanh và
đó chính là điều kiện thuận lợi cho phép các hacker thực
hiện các tấn công trên khóa.
32 9/4/2012
Do WEP sử dụng RC4, một thuật toán sử dụng phương
thức mã hóa dòng (stream cipher), nên cần một cơ chế
đảm bảo hai dữ liệu giống nhau sẽ không cho kết quả
giống nhau sau khi được mã hóa hai lần khác nhau. Đây là
một yếu tố quan trọng trong vấn đề mã hóa dữ liệu nhằm
hạn chế khả năng suy đoán khóa của hacker.
Để đạt mục đích trên, một giá trị véctơ khởi tạo
(Initialization Vector – IV) được sử dụng để cộng thêm với
khóa nhằm tạo ra khóa khác nhau mỗi lần mã hóa.
IV là một giá trị có chiều dài 24 bit và được chuẩn IEEE
802.11 đề nghị (không bắt buộc) phải thay đổi theo từng
gói dữ liệu. Vì máy gửi tạo ra IV không theo định luật hay
tiêu chuẩn, IV bắt buộc phải được gửi đến máy nhận ở
dạng không mã hóa.
Cách sử dụng giá trị IV là nguồn gốc của đa số các vấn đề
với WEP.
33 9/4/2012
Do giá trị IV được truyền đi ở dạng không mã hóa và đặt
trong phần đầu (header) của gói dữ liệu 802.11 nên bất cứ
ai "tóm được" dữ liệu trên mạng đều có thể thấy được.
Với độ dài 24 bit, giá trị của IV dao động trong khoảng
16.777.216 trường hợp.
Những chuyên gia bảo mật tại đại học California-
Berkeley đã phát hiện ra là khi cùng giá trị IV được sử dụng
với cùng khóa trên một gói dữ liệu mã hóa (khái niệm này
được gọi nôm na là va chạm IV), hacker có thể bắt gói dữ
liệu và tìm ra được khóa WEP.
34 9/4/2012
IV là một phần của khóa mã RC4, nên trên thực tế khi
một hacker biết được 24 bit của mỗi gói dữ liệu khóa
và kết hợp với các điểm yếu trong thời gian biểu sử
dụng khóa sẽ cho phép thực hiện các tấn công phân
tích thành công chỉ sau khi thu và phân tích một số
lượng nhỏ các gói dữ liệu thu được.
35 9/4/2012
WEP không cung cấp khả năng bảo vệ tính toàn
vẹn bằng mật mã.
Tuy nhiên 802.11 MAC cung cấp một cơ chế
(Cyclic Redundancy Check – CRC) để kiểm tra tính
toàn vẹn của các gói dữ liệu và các gói được xác
nhận với tổng kiểm tra đúng.
Sự kết hợp giữa các kiểm tra không bằng các
thuật toán mật mã kết hợp các khóa dòng là một
giải pháp rất không an toàn.
36 9/4/2012
Tại sao WEP được lựa chọn?
Chuẩn 802.11 đưa ra các tiêu chuẩn cho một vấn đề
để được gọi là bảo mật, đó là:
Có thể xuất khẩu.
Đủ mạnh.
Khả năng tương thích.
Khả năng ước tính được.
Tùy chọn, không bắt buộc.
WEP hội tụ đủ các yếu tố này, khi được đưa vào để
thực hiện, WEP hỗ trợ bảo mật cho mục đích tin cậy,
điều khiển truy nhập, và toàn vẹn dữ liệu.
37 9/4/2012
Các biện pháp đối phó
38 9/4/2012
Giao diện nhập khóa WEP
Có thể phân phối khóa WEP bằng tay hoặc sử dụng một phương
pháp tiên tiến khác.
Hệ thống phân bố khóa WEP có thể đơn giản như sự thực hiện khóa
tĩnh, hoặc tiên tiến sử dụng Server quản lí khóa tập trung.
39 9/4/2012
Quản lý khóa mã hóa tập trung
Với những mạng WLAN quy mô lớn sử dụng WEP như một
phương pháp bảo mật căn bản, server quản lý khóa mã hóa
tập trung nên được sử dụng vì những lí do sau:
Quản lí sinh khóa tập trung.
Quản lí việc phân bố khóa một cách tập trung.
Thay đổi khóa luân phiên.
Giảm bớt công việc cho admin.
Thay vì sử dụng khóa WEP tĩnh, mà có thể dễ dàng bị phát
hiện bởi hacker. WLAN có thể được bảo mật hơn bởi việc thực
hiện các khóa trên từng phiên, sử dụng một hệ thống phân
phối khóa tập trung.
40 9/4/2012
Server quản lý khóa mã hóa tập trung cho phép sinh
khóa trên mỗi gói, mỗi phiên, hoặc các phương pháp
khác, phụ thuộc vào sự thực hiện của các nhà sản
xuất.
41 9/4/2012
Sử dụng nhiều khóa WEP
Hầu hết các máy trạm và AP có thể đưa ra đồng thời
4 khóa WEP, nhằm hỗ trợ cho việc phân đoạn mạng.
42 9/4/2012
Giải pháp mạng riêng ảo (VPN)
Khi VPN server được tích hợp vào AP, các máy trạm sử dụng
phần mềm tạo VPN, sử dụng các giao thức như PPTP hoặc
IPSec để hình thành một đường hầm kết nối trực tiếp tới AP.
43 9/4/2012
Gia tăng mức độ bảo mật cho WEP
Sử dụng khóa WEP có độ dài 104 bit.
Thực thi chính sách thay đổi khóa WEP định kỳ.
44 9/4/2012
Rủi ro và các biện pháp đối phó trên SSID
Các nguy cơ rủi ro:
Chuẩn IEEE 802.11 định rõ SSID như là một dạng mật khẩu
đối với một người dùng khi kết nối với một mạng WLAN.
802.11 yêu cầu người dùng cần phải có cùng SSID như trên
AP để có thể truy nhập và truyền thông đối với các thiết bị
khác.
Trên thực tế, SSID sẽ chỉ “an toàn” khi nó được sử dụng kết
hợp với các dịch vụ an toàn khác.
45 9/4/2012
Một vài lỗi
46 9/4/2012
Các biện pháp đối phó
Xóa SSID khỏi các beacon frame (nếu thiết bị cho phép
thực hiện điều đó).
Thay đổi SSID so với giá trị mặc định (hầu hết các AP đều
cho phép thực hiện điều này).
Luôn luôn sử dụng SSID không liên quan đến Công ty.
47 9/4/2012
Rủi ro và các biện pháp đối phó trên MAC
Các nguy cơ rủi ro
WLAN có thể lọc dựa vào địa chỉ MAC của các máy trạm.
Người quản trị mạng có thể biên tập, phân phối và bảo trì
một danh sách những địa chỉ MAC được phép và ghichúng
vào các AP.
Mặc dù Lọc MAC trông có vẻ là một phương pháp bảo mật
tốt, chúng vẫn còn dễ bị ảnh hưởng bởi những thâm nhập
sau:
Sự ăn trộm một Card PC trong có một bộ lọc MAC của AP.
Việc thăm dò WLAN và sau đó giả mạo với một địa chỉ MAC
để thâm nhập vào mạng.
48 9/4/2012
Các biện pháp đối phó
49 9/4/2012
Rủi ro và các biện pháp đối phó với nghe trộm
Các nguy cơ rủi ro
Khi sử dụng các anten có độ nhạy cao, cho phép có
khả năng nhận được tín hiệu sóng vô tuyến từ các
khoảng cách xa hơn. Trên thực tế, khi sử dụng các
anten loại này cho phép nhận được (capture) các tín
hiệu từ khoảng vài km tới các AP.
Trên thực tế có rất nhiều các phần mềm (trên
Internet – như AirSnort, Network Stumbler) cho phép
bẻ khóa WEP khi thu nhận đủ số lượng các gói dữ liệu
truyền.
50 9/4/2012
Các biện pháp đối phó
Chọn vị trí đặt an ten thích hợp (tại ví trí các trạm trong mạng đều có khả
năng thu được thông tin, những tín hiệu không phát xạ đi quá xa) và có thể
sử dụng các tấm che để giảm bớt việc bức xạ các tín hiệu RF đi quá xa.
Điều chỉnh mức ngưỡng phát và thu thông qua các phần mềm điều khiển.
51 9/4/2012
Rủi ro và các biện pháp đối phó với sự giả dạng
Nếu một bên thứ ba có khả năng nghe trộm trên mạng WLAN
thì nó có khả năng giả dạng để trở thành một thành viên chính
Đây là một nguy cơ mất an toàn rất nguy hiểm và khả năng
thực hiện giả dạng phụ thuộc vào mức độ bảo mật của công ty.
52 9/4/2012
Các biện pháp đối phó
Các biện pháp này được thực hiện thông qua các
chính sách xác thực, cấp quyền và kiểm toán (AAA –
authentication, authorization and accounting).
53 9/4/2012
Với chuẩn IEEE 802.11, xác thực có thể thực hiện
bằng cách mở hoặc chia xẻ khóa.
Với phương thức xác thực đầu tiên (hệ thống mở)
không cung cấp khả năng xác thực.
Phương thức xác thực thông qua chia xẻ khóa
cũng không an toàn.
Có thể thực hiện một số biện pháp làm cho việc
xác thực trở nên an toàn hơn.
Hai trong số các biện pháp đó là sử dụng xác thực
theo địa chỉ MAC và EAP.
54 9/4/2012
Trong chuẩn IEEE 802.11 không cung cấp dịch vụ cấp
quyền. Để thay thế, cấp quyền thường được thực hiện
theo cách gắn các định danh của người dùng (User–ID)
và mật khẩu tới các tài nguyên mạng khác nhau.
Nhờ cấu hình các tham số cấp quyền hợp lý có thể tối
thiểu hóa khả năng một bên thứ ba truy nhập tới tài
nguyên mạng.
Dịch vụ cấp quyền rất quan trọng, nhưng nó có thể bị
tổn thương nếu sử dụng khóa WEP tĩnh hoặc không
sử dụng.
55 9/4/2012
Vớidịch vụ kiểm toán, nhờ ghi lại các
phiên truy nhập tới các tài nguyên
mạng khác nhau, một cơ sở dữ liệu sẽ
được tạo ra.
Dựa trên cơ sở dữ liệu này có thể thực
hiện các phân tích và đánh giá các kết
quả nhận được
56 9/4/2012
Rủi ro và các biện pháp đối phó với các điểm truy
nhập giả (rogue AP)
Các nguy cơ rủi ro
Đây là kiểu nguy cơ mà hacker đứng ở giữa và trộm
lưu lượng truyền giữa 2 nút.
Nguy cơ này rất mạnh vì hacker có thể trộm tất cả lưu
lượng đi qua mạng.
Để thực hiện, hacker cần phải tạo ra một AP thu hút
nhiều sự lựa chọn hơn AP chính thống. AP giả này có
thể được thiết lập bằng cách sao chép tất cả các cấu
hình của AP chính thống đó là: SSID, địa chỉ MAC, ...
57 9/4/2012
Các biện pháp đối phó
58 9/4/2012
4. Wi-Fi Protected Access –WPA/WPA2
Wi-fi allience cùng với IEEE đã cùng nhau xây dựng
một giải pháp bảo mật mạnh hơn.
Vào tháng 10/2002, WPA ra đời như một giải pháp bảo
mật tăng cường cho WLAN.
59 9/4/2012
WPA đã làm tăng rất nhiều mức độ bảo vệ dữ liệu và
điều khiển truy nhập cho các mạng WLAN đang tồn tại,
nó đã giải quyết tất cả các vấn đề về các nguy cơ tổn
thương trong giải pháp WLAN trước đó. Và nó được
dùng để thay thế hoàn toàn WEP trong đảm bảo an
toàn WLAN.
WPA cung cấp bảo mật cho tất cả các phiên bản đã tồn
tại của các thiết bị WLAN 802.11: a, b, nó cũng được
thiết kế để tối thiểu hóa sự ảnh hưởng đến hiệu năng
hoạt động của mạng.
60 9/4/2012
Nó chạy như phần mềm nâng cấp trong các thiết bị
bán trên thị trường (AP, NIC).
Các công ty sẽ được yêu cầu sử dụng các server xác
thực như RADIUS, nhưng WPA cho phép những văn
phòng nhỏ/người sử dụng cá nhân hoạt động ở một
chế độ đặc biệt không cần chúng (sử dụng cơ chế
mật khẩu chia xẻ để thực hiện kích hoạt bảo vệ
WPA).
WPA cung cấp việc bảo mật dữ liệu ở mức độ cao và
chỉ những người dùng có quyền mới có thể truy
nhập mạng nhờ một thuật toán mã hóa mạnh và khả
năng xác thực mạnh.
61 9/4/2012
WPA hoạt động như thế nào
Sử dụng TKIP để mã hóa (Temporary Key Integrity
Protocol), sử dụng xác thực 802.1x với giao thức xác
thực mở rộng EAP.
TKIP sử dụng thuật toán RC4 đối với thiết kế chuẩn,
một số nhà cung cấp có thể cung cấp AES như là một
lựa chọn trong các sản phẩm WPA của họ.
WPA sử dụng 48 bit IV thay cho 24 bit IV, nó làm tăng
đáng kể mức an toàn.
WPA có thể sử dụng khóa mới cho mỗi 802.11 frame,
hoặc có thể dựa trên một thời khoảng được xác định
trước trên AP.
62 9/4/2012
Sử dụng 8 byte MIC (Michael Message Integrity
Check) để kiểm tra tính toàn vẹn bản tin.
63 9/4/2012
So sánh các tính năng của WPA và WEP
64 9/4/2012
Các tính năng của WPA
65 9/4/2012
IEEE 802.11i
Tháng 1/2001, nhóm i được thành lập trong IEEE nhằm thực
hiện nhiệm vụ nâng cao tính an toàn của vấn đề bảo mật và
xác thực trong 802.11. IEEE 802.11i (WPA2), được phê chuẩn
vào 24/6/2004, được thiết kế để tăng cường tính an ninh
trong lớp MAC trong IEEE 802.11.
Chuẩn 802.11i được giới thiệu như là một sự thay đổi nền
tảng của các vấn đề xác thực, bảo mật và toàn vẹn, vì thế nó
cung cấp một kiến trúc mới về an toàn mạng.
Kiến trúc mới cho các mạng không dây được gọi là mạng an
ninh mạnh (Robust Security Network - RSN) và sử dụng xác
thực 802.1X, cơ chế phân phối khóa mạnh và các cơ chế kiểm
tra toàn vẹn và bảo mật mới.
66 9/4/2012
67 9/4/2012
Nguyên tắc hoạt động
802.11 quảng bá, xác thực và kết hợp: Khi một trạm
(STA) bắt đầu hoạt động, nó sẽ dò tìm các AP trong
khoảng cách cho phép sử dụng các frame yêu cầu tìm
kiếm.
Các frame yêu cầu tìm kiếm được gửi trên mỗi kênh
STA hỗ trợ, trong một cố gắng tìm kiếm tất cả các AP
có SSID phù hợp và có tốc độ dữ liệu đáp ứng yêu
cầu.
68 9/4/2012
Tất cả các AP trong phạm vi tìm kiếm và phù hợp
với các yêu cầu quét tìm kiếm của STA sẽ đáp lại
với một frame đáp trả tìm kiếm bao gồm các thông
tin đồng bộ, tải của AP và các thông số bảo mật.
STA sẽ xác định kết nối vào AP nào thông qua việc
xem xét các thông tin nhận được.
Sau khi STA xác định được AP tối ưu để kết nối tới
chúng, khi đó WPA được hỗ trợ.
69 9/4/2012
Giao thức xác thực IEEE 802.1X
IEEE 802.1X (điều khiển truy nhập mạng dựa trên
cổng - Port-Based Network Access Control) được phát
triển dành cho các mạng không dây, cung cấp các cơ
chế xác thực, cấp quyền và phân phối khóa, và thực
hiện điều khiển truy nhập đối với user truy nhập
mạng.
Cấu trúc IEEE 802.1X bao gồm 3 thành phần chính:
User truy nhập mạng.
Xác thực cung cấp điều khiển truy nhập mạng.
Server xác thực.
70 9/4/2012
Trong các mạng không dây, AP hoạt động như xác
thực cung cấp điều khiển truy nhập mạng.
Mỗi cổng vật lý (cổng ảo trong WLAN) được chia
thành 2 cổng logic tạo nên thực thể truy nhập
mạng - PAE (Port Access Entity).
Authenticator PAE luôn luôn mở để cho phép các
frame xác thực đi qua, trong khi các dịch vụ PAE
chỉ được mở khi xác thực thành công. Quyết định
cho phép truy nhập thường được thực hiện bởi
thành phần thứ ba, được gọi là server xác thực
(nó có thể là một server Radius dành riêng hoặc
chỉ là một phần mềm chạy trên AP).
71 9/4/2012
Chuẩn 802.11i thực hiện một số thay đổi nhỏ đối
với 802.1X để các mạng không dây kiểm toán khả
năng ăn trộm ID.
Bản tin xác thực được kết hợp chặt chẽ để đảm
bảo rằng cả user và AP tính toán khóa bí mật và
cho phép mã hóa trước khi truy nhập vào mạng.
User và authenticator liên lạc với nhau sử dụng
giao thức dựa trên EAP. Chú ý rằng vai trò của
authenticator chủ yếu là thụ động – nó chỉ đơn
giản chuyển tiếp tất cả các bản tin đến server xác
thực.
72 9/4/2012
73 9/4/2012
EAP là một khung cho sử dụng các phương pháp xác
thực khác nhau (cho phép chỉ một số giới hạn các
loại message – Request, Respond, Succcess, Failure)
và dựa trên việc lựa chọn các phương pháp xác
thực: EAP-TLS, EAP-TTLS, PEAP, Kerberos v5, EAP-
SIM, ... Khi quá trình này hoàn thành, cả hai thực
thể có một khóa bí mật chủ (Master key).
Truyền thông giữa authenticator và server xác thực
sử dụng giao thức EAPOL (EAP Over LAN), được sử
dụng trong các mạng không dây để chuyển tiếp các
dữ liệu EAP sử dụng các giao thức lớp cao như
Radius.
74 9/4/2012
Một RSN đặc thù sẽ chỉ chấp nhận các thiết bị có khả
năng RSN, nhưng IEEE 802.1i cũng hỗ trợ một kiến
trúc mạng an toàn chuyển tiếp (Transitional Security
Network - TSN) để cả hai hệ thống RSN và WEP cùng
tham gia, cho phép các user nâng cấp các thiết bị của
họ theo thời gian.
Các thủ tục xác thực và kết hợp sử dụng cơ chế bắt
tay 4 bước, kết hợp được gọi là kết hợp mạng an toàn
mạnh (Robust Security Network Association - RSNA).
75 9/4/2012
Thiết lập một phiên truyền thông bao gồm 4
giai đoạn:
Tán thành các chính sách bảo mật.
Xác thực 802.1X.
Nhận được khóa nguồn và phân phối.
Bảo mật và toàn vẹn dữ liệu RSNA.
76 9/4/2012
Thiết lập một phiên truyền thông
77 9/4/2012
Giai đoạn 1 - tán thành các chính sách bảo mật:
Ở giai đoạn này yều cầu các bên truyền thông thỏa
thuận các chính sách bảo mật để sử dụng.
Các chính sách bảo mật được hỗ trợ bởi AP được
phát quảng bá trên các beacon hoặc trong các bản
tin Probe Respond (tiếp sau một Probe Respond từ
client).
Tiếp theo là các xác thực mở (giống như trong các
mạng TSN, ở đó xác thực là luôn luôn thành công).
78 9/4/2012
79 9/4/2012
Client phản ứng đưa ra các yêu cầu trong
Associaton Request và được phê chuẩn bởi
Associaton Respond từ AP. Các thông tin chính
sách an toàn được gửi trong trường RSN IE, bao
gồm:
Các phương pháp xác thực được hỗ trợ (802.1X,
PSK).
Các giao thức an toàn cho truyền thông unicast
(CCMP, TKIP, ...) – cặp khóa mã hóa.
Các giao thức an toàn cho truyền thông multicast
(CCMP, TKIP, ...) - nhóm khóa mã hóa.
Hỗ trợ tiền xác thực, cho phép các user tiền xác
thực trước khi được chuyển tới truy nhập mạng.
80 9/4/2012
Giai đoạn 2 – xác thực 802.1X
Dựa trên EAP và các phương pháp xác thực được
thỏa thuận ở giai đoạn 1 (EAP-TLS cho client và các
chứng chỉ server (yêu cầu sử dụng PKI);, ...).
802.1X được bắt đầu khi AP yêu cầu định danh client,
các thông tin đáp trả từ client bao gồm các thông tin
về phương thức xác thực. Các bản tin hợp lệ sau đó
được trao đổi giữa client và AS để sinh ra một khóa
chủ (Master Key - MK).
Tại điểm cuối của thủ tục một bản tin chấp nhận
Radius được gửi từ AP tới client bao gồm MK và bản
tin thành công EAP.
81 9/4/2012
82 9/4/2012
Giai đoạn 3 – cây khóa và phân phối
Kết nối an toàn dựa trên các khóa bí mật. Trong RSN,
mỗi khóa có một thời gian sống giới hạn và bảo mật
tổng thể được đảm bảo nhờ sử dụng một tập hợp các
khóa khác nhau, được tổ chức thành cây. Khi một
phiên bảo mật được thiết lập sau khi xác thực thành
công, các khóa tạm thời (khóa phiên) được tạo và
thường xuyên cập nhật cho đến khi phiên bảo mật
kết thúc.
Có 2 bước bắt tay trong khi sinh khóa.
4-way Handshake sinh ra PTK (Pair-wire Transient
Key) và GTK (Group Transient Key).
Group Handshake Key: tạo mới cho GTK.
83 9/4/2012
84 9/4/2012
PMK (Pairwire Master Key) nhận được dựa trên
phương pháp xác thực được sử dụng:
Nếu sử dụng PSK, PMK = PSK. PSK được sinh ra từ
mật khẩu thông thường (từ 8-63 ký tự) hoặc là
một chuỗi 256 bit, cung cấp các giải pháp bảo mật
cho cá nhân hoặc văn phòng nhỏ (không cần
server xác thực).
Nếu một AS được sử dụng, PMK nhận được từ MK
của xác thực 802.11 X.
85 9/4/2012
86 9/4/2012
PMK bản thân không bao giờ được sử dụng cho
mã hóa và kiểm tra toàn vẹn. nó được sử dụng để
sinh ra một khóa mã hóa tạm thời PTK. Độ dài của
PTK phụ thuộc vào giao thức mã hóa: 512 bit cho
TKIP và 384 cho CCMP.
PTK bao gồm các phần sau:
KCK – 128 bit: khóa dành cho xác thực các bản tin
(MIC) trong quá trình 4-way handshake và group
handshake key.
KEK - 128 bit: khóa để đảm bảo bảo mật dữ liệu
trong quá trình 4-way handshake và group
handshake key.
TK – 128 bit: khóa cho mã hóa dữ liệu (được sử
dụng bởi TKIP hoặc CCMP).
TMK – 2x64 bit: khóa dành cho xac thực dữ liệu
(được sử dụng chỉ với MIC). Một khóa dành riêng
cho mỗi kênh liên lạc.
87 9/4/2012
88 9/4/2012
4-way handshake: được khởi nguồn từ AP, tạo cho nó
có các khả năng:
89 9/4/2012
90 9/4/2012
91 9/4/2012
Giai đoạn 4 – RSNA bảo mật và toàn vẹn dữ liệu
Tất cả các khóa sinh ra ở các giai đoạn trên được sử dụng
trong các giao thức hỗ trợ RSNA bảo mật và toàn vẹn.
92 9/4/2012
TKIP
WPA được xây dựng tương thích hoàn toàn với các
thiết bị WLAN đang tồn tại. TKIP tăng nâng cao khả
năng bảo mật và phải tuân theo các yêu cầu tương
thích, vì vậy nó cũng sử dụng thuật toán mật mã dòng
RC4. Vì vậy để sử dụng TKIP chỉ cần nâng cấp phần
mềm.
Trong thực tế hầu hết các chuyên gia tin rằng TKIP là
một giải pháp mã hóa mạnh hơn WEP. Tuy nhiên họ
cũng đồng ý rằng TKIP chỉ là một giải pháp tạm thời vì
nó sử dụng RC4.
93 9/4/2012
Ưu điểm chính của TKIP so với WEP là sự
luân phiên khóa.
TKIP sử dụng thay đổi thường xuyên các
khóa mã cho RC4 (khoảng 10000 packet),
và véc tơ khởi tại IV được tạo khác.
TKIP được bao gồm trong 802.11i như là
một lựa chọn.
94 9/4/2012
Trên thực tế, TKIP bao gồm 4 thuật toán để thực hiện
tốt nhất các khả năng an toàn:
Mã kiểm tra tính toàn vẹn bản tin (MIC): có thể thực
hiện trên phần mềm chạy trên các CPU tốc độ thấp.
95 9/4/2012
Chức năng trộn khóa trên mỗi gói
96 9/4/2012
Giá trị MIC được tính
97 9/4/2012
CCMP
Không giống như TKIP bắt buộc phải được xây dựng
để tương thích với các phần cứng WEP đã có. CCMP
là một giao thức được thiết kế mới.
CCMP sử dụng chế độ đếm (Counter mode) kết hợp
với một phương thức xác thực bản tin được gọi là
CBC-MAC để tạo MIC.
Một số tính năng mới cũng được phát triển thêm như
sử dụng một khóa đơn cho mã hóa và xác thực (với
các IV khác nhau) hoặc bao phủ phần dữ liệu không
được mã hóa bởi xác thực.
98 9/4/2012
99 9/4/2012
Các điểm yếu trong WPA/WPA2
Chỉ một ít các điểm yếu nhỏ được phát hiện trên WPA/WPA2
từ khi chúng được phê chuẩn, không có điểm yếu là là quá
nguy hiểm.
Hầu hết các điểm yếu thực tế là tấn công chống lại khóa PSK
của WPA/WPA2.
Như đã biết PSK là phương án thay thế của 802.1x PMK sinh ra
bởi AS. Nó là một chuỗi 256 bit hoặc một mật khẩu từ 8-63 ký
tự, được sử dụng để sinh ra sử dụng thuật toán: PSK = PMK =
PBKDF2 (pass, SSID, SSID length, 4096, 256), ở đây PBKDF2 là
một phương pháp được sử dụng trọng PKCS #5, 4096 là số
lượng của các hàm hash và 256 là giá trị lối ra. PTK được sinh
ra từ PMK sử dụng 4-way handshake và tất cả thông tin được
sử dụng để tính toán giá trị của nó được truyền ở dạng
plaintext.
100 9/4/2012
Sức mạnh của PTK vì thế dựa trên các giá trị của
PMK, để PSK hiệu quả bằng cách sử dụng các mật
khẩu mạnh. Như đã được chỉ ra bởi Robert
Moskiwitz, bản tin thứ hai của 4-way handshake
phải chịu được các tấn công sử dụng từ điển và
brute force.
Có một số tiện ích được tạo ra để lợi dụng điểm
yếu này, aicrack được sử dụng để tấn công PSK
trong WPA.
101 9/4/2012
Giao thức thiết kế (4096 hàm hash cho mỗi pass)
nghĩa là một tấn công brute force sẽ rất chậm.
Một biện pháp chống lại tấn công mật khẩu là sử dụng
ít nhất mật khẩu 20 ký tự.
Để thực hiện tấn công này attacker phải bắt được các
bản tin trong quá trình 4-way handshake nhờ chế độ
giám sát thụ động mạng không dây hoặc sử dụng tấn
công không xác thực.
102 9/4/2012
Các bước tấn công
Bước 1: kích hoạt chế độ quan sát.
# airmon.sh start ath0
Bước tiếp theo sẽ tìm kiếm các mạng và các
client kết nối tới nó.
Bước cuối là thực hiện một tấn công sử dụng
từ điển
103 9/4/2012
104 9/4/2012
105 9/4/2012