TRƯỜNG ĐẠI HỌC KINH TẾ QUỐC DÂN

VIỆN CÔNG NGHỆ THÔNG TIN & KINH TẾ SỐ

CHƯƠNG IV
BẢO MẬT MẠNG
 MỤC TIÊU

❖ Sau khi học xong chương này, sinh viên có thể:

 Nhận biết được các lỗ hổng, các điểm yếu, các nguy cơ mất an toàn thông tin
của hệ thống mạng
 Trình bày được một số nguy cơ tấn công mạng phổ biến như: tấn công bằng
quét cổng, giả mạo địa chỉ IP , tấn công từ chối dịch vụ , giả mạo trung gian…
 Trình bày được những kiến thức cơ bản về chính sách bảo mật
 Trình bày được một số giải pháp bảo mật mạng như: hệ thống IDS, hệ thống
tường lửa

2
 CHƯƠNG IV: BẢO MẬT MẠNG

4.1. Các khái niệm cơ bản về bảo mật mạng

4.2. Một số nguy cơ tấn công

4.3. Một số giải pháp bảo mật mạng

3
 BẢO MẬT MẠNG LÀ GÌ?

❖ So sánh với bảo mật thông tin:

 Bảo mật thông tin là bảo vệ dữ liệu từ bất kỳ hình thức truy cập trái phép nào
 Bảo mật mạng là bảo vê dữ liệu an toàn trên môi trường trực tuyến.

❖ → định nghĩa chính xác hơn tuân thủ các tiêu chuẩn của Liên minh
Viện thông Quốc tế (ITU):
 “Bảo mật mạng là tập hợp các công cụ, chính sách, khái niệm về bảo mật,
hướng dẫn, phương pháp quản lý rủi ro, phản ứng, đào tạo, diễn tập, thiết bị và
công nghệ có thể được dùng để bảo vệ hệ thống mạng và tài sản"
 4.1. CÁC KHÁI NIỆM CƠ BẢN VỀ BẢO MẬT MẠNG

❖ Sự cần thiết phải có an ninh mạng

 Các yếu tố cần bảo vệ
o Dữ liệu
o Tài nguyên: con người, hệ thống, đường truyền
o Danh tiếng
 Tác hại đến doanh nghiệp
o Tốn kém chi phí
o Tốn kém thời gian
o Ảnh hưởng đến tài nguyên hệ thống
o Ảnh hưởng danh dự, uy tín doanh nghiệp
o Mất cơ hội kinh doanh
❖ LƯU Ý: Khả năng truy cập tỉ lệ nghịch với khả năng bảo mật hệ thống.
5
 CÁC YẾU TỐ ĐẢM BẢO AN TOÀN THÔNG TIN

❖ Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng
đối tượng.
❖ Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc
❖ Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo
đúng mục đích và đúng cách.
❖ Tính chính xác: Thông tin phải chính xác, tin cậy
❖ Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng
được nguồn gốc hoặc người đưa tin

6
 CÁC MỐI ĐE DỌA (THREAT)

❖ Các mối đe dọa (threat) đến an toàn hệ thống là các hành động hoặc
các sự kiện/hành vi có khả năng xâm hại đến độ an toàn của một hệ
thống thông tin
 Mục tiêu đe dọa tấn công.
 Đối tượng đe dọa tấn công (chủ thể tấn công)
 Hành vi đe dọa tấn công

7
 CÁC MỐI ĐE DỌA …

❖ Mục tiêu đe dọa tấn công (Target): chủ yếu là các dịch vụ an
ninh (dịch vụ WWW, DNS, …)
 Khả năng bảo mật thông tin: sẽ bị đe dọa nếu thông tin không được bảo
mật
 Tính toàn vẹn của thông tin: đe dọa thay đổi cấu trúc thông tin
 Tính chính xác của thông tin: đe dọa thay đổi nội dung thông tin
 Khả năng cung cấp dịch vụ của hệ thống: làm cho hệ thống không thể
cung cấp được dịch vụ (tính sẵn sàng)
 Khả năng thống kê tài nguyên hệ thống

8
 CÁC MỐI ĐE DỌA …

❖ Đối tượng đe dọa tấn công (Agent) là chủ thể gây hại đến hệ thống
 Khả năng đe dọa tấn công của đối tượng: khả năng truy cập để khai thác các lỗ
hổng hệ thống tạo ra mối đe dọa trực tiếp
 Sự hiểu biết của đối tượng về mục tiêu đe dọa tấn công: user ID, file mật khẩu,
vị trí file, địa chỉ mạng,…
 Động cơ tấn công của đối tượng: chinh phục, lợi ích cá nhân, cố tình

9
 CÁC MỐI ĐE DỌA …

❖ Hành vi đe dọa tấn công

 Lợi dụng quyền truy nhập thông tin hệ thống
 Cố tình hoặc vô tình thay đổi thông tin hệ thống
 Truy cập thông tin bất hợp pháp
 Cố tình hoặc vô tình phá hủy thông tin hoặc hệ thống
 Nghe lén thông tin
 Ăn cắp phần mềm hoặc phần cứng
 …..

10
 CÁC MỐI ĐE DỌA …

❖ Phân loại các mối đe dọa

 Có mục đích
 Không có mục đích
 Từ bên ngoài
 Từ bên trong

11
 LỖ HỔNG HỆ THỐNG (VULNERABLE)

❖ Lỗ hổng hệ thống
 là nơi mà đối tượng tấn công có thể khai thác để thực hiện các hành vi tấn công
hệ thống. Lỗ hổng hệ thống có thể tồn tại trong hệ thống mạng hoặc trong thủ
tục quản trị mạng.
o Lỗ hổng lập trình (back-door)
o Lỗ hổng Hệ điều hành
o Lỗ hổng ứng dụng
o Lỗ hổng vật lý
o Lỗ hổng trong thủ tục quản lý (mật khẩu, chia sẻ,…)

12
 NGUY CƠ HỆ THỐNG (RISK)

❖ Nguy cơ hệ thống: được hình thành bởi sự kết hợp giữa lỗ hổng hệ
thống và các mối đe dọa đến hệ thống

Nguy cơ = Mối đe dọa + Lỗ hổng hệ thống

❖ Các cấp độ nguy cơ

 Nguy cơ cao
 Nguy cơ trung bình
 Nguy cơ thấp

13
 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG

Xác định lỗ Xác định các mối đe

hổng hệ thống dọa đến hệ thống

Nguy cơ hệ thống

Các biện pháp an toàn

hệ thống hiện có 14
 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG…

❖ Xác định các lỗ hổng hệ thống: việc xác định các lỗ hổng hệ
thống được bắt đầu từ các điểm truy cập vào hệ thống như:
 Kết nối mạng Internet
 Các điểm kết nối từ xa
 Kết nối đến các tổ chức khác
 Các môi trường truy cập vật lý đến hệ thống
 Các điểm truy cập người dùng
 Các điểm truy cập không dây

❖ Ở mỗi điểm truy cập, phải xác định được các thông tin có thể truy
cập và mức độ truy cập vào hệ thống 15
 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG …

❖ Xác định các mối đe dọa: đây là một công việc khó khăn vì
 Các mối đe dọa thường không xuất hiện rõ ràng
 Các hình thức và kỹ thuật tấn công đa dạng:
o DoS/DDoS, BackDoor, Tràn bộ đệm,…
o Virus, Trojan Horse, Worm
o Social Engineering

 Thời điểm tấn công không biết trước

 Qui mô tấn công không biết trước

16
 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG …

❖ Kiểm tra các biện pháp an ninh mạng

 Yếu tố tự nhiên:
o Thiết bị chống cháy, chống sét
o Giải pháp chống côn trùng, chuột
o Điều kiện phòng máy chủ, thiết bị: nhiệt độ, bụi…
o Ổn định nguồn điện, UPS…
 Yếu tố con người
o Ý thức người sử dụng
o Chính sách bảo mật hệ thống

17
 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG …

❖ Kiểm tra các biện pháp an ninh mạng…

 Yếu tố quản trị hệ thống:
o Phần mềm diệt virus

o Hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng,…)

o Hệ thống IDS

o Tường lửa – Firewall

o Các kỹ thuật khác: AD, VPN, NAT

o Cập nhật các bản vá lỗi hệ thống

o Sao lưu dữ liệu, cấu hình hệ thống

18
 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG …

❖ Xác định mức độ nguy cơ

 Sau khi xác định được các lỗ hổng hệ thống, các mối đe dọa và các biện pháp an
ninh hiện có
 Xác định được mức độ nguy cơ hệ thống:
o Tại một điểm truy cập cho trước với các biện pháp an ninh hiện có, xác định
các tác động của các mối đe dọa đến hệ thống:
• khả năng bảo mật
• tính bảo toàn dữ liệu
• khả năng đáp ứng dịch vụ
• khả năng phục hồi dữ liệu thông qua điểm truy cập

19
 ĐÁNH GIÁ NGUY CƠ HỆ THỐNG …

❖ Xác định mức độ nguy cơ …

 Căn cứ vào 5 tiêu chí đánh giá (Chi phí, Thời gian, Danh dự, Tài nguyên hệ
thống, Cơ hội kinh doanh) ta có thể phân nguy cơ an toàn mạng ở một trong các
mức: cao, trung bình, thấp.
 Nếu hệ thống kết nối vật lý không an toàn thì hệ thống cũng ở mức nguy cơ cao

20
 4.2. MỘT SỐ NGUY CƠ TẤN CÔNG

❖ Tấn công quét mạng (Scanning Attacks)

❖ Tấn công giả mạo địa chỉ IP (Spoofing Attacks)
❖ Tấn công chiếm quyền máy chủ (Hijacking Attacks)
❖ Tấn công từ chối dịch vụ (Denial of Service (DoS) Attacks)
❖ Tấn công từ chối dịch vụ phân tán (DDoS Attacks)
❖ Tấn công cổng sau (Backdoor Attacks)

(Tham khảo từ nguồn tài liệu CEH của của Trung tâm Đào tạo Quản trị mạng & An ninh mạng
Quốc tế (ATHENA))
21
 TẤN CÔNG QUÉT MẠNG

❖ Các kiểu Scanning:

 Port Scanning: Kẻ tấn công sẽ gửi một loạt các thông điệp đến mục tiêu nhằm
xác định các cổng đang mở, và thông qua các cổng này → sẽ biết được có những
dịch vụ nào đang chạy trên máy tính mục tiêu. Một trong các ứng dụng port
scanning phổ biến là Nmap.
 Vulnerability Scanning: Là quá trình quét lỗi nhằm xác định ra các lỗ hổng bảo
mật của các ứng dụng hay máy chủ, máy trạm → đưa ra các phương án tấn
công thích hợp. Tiến trình quét lỗi có thể xác định được các bản cập nhật hệ
thống bị thiếu, hay những lỗi hệ thống chưa được vá. (Các chuyên gia bảo mật
cũng thường tiến hành vulnerability scanning trong công tác bảo vệ hệ thống
mạng của mình)
 Network Scanning: Quá trình này dùng để xác định các máy đang hoạt động
trên hệ thống mạng (thường được các hacker, chuyên gia bảo mật hay những
quản trị hệ thống thực hiện)
 TẤN CÔNG QUÉT MẠNG

Ping Sweep
Phòng Chống Ping Sweep

Hầu hết các hệ thống IDS

(Instruction Detect System)
đều có thể nhận biết được
dạng tấn công Ping Sweep
và gửi cảnh báo về cho
quản trị hệ thống mạng.
Hoặc có thể cấu hình ở các
firewalll để chặn ICMP mặc
định, giúp phòng chống Ping
Sweep hiệu quả.
 TẤN CÔNG QUÉT MẠNG
Quét cổng Komodia packet crafter cho phép thiết
lập các giá trị flag thích hợp của gói tin
cũng như số hiệu port muốn kiểm tra khi
gởi từ máy tính có IP 192.168.168.10 đến
máy tính 192.168.168.11

Quá trình bắt tay ba bước

 TẤN CÔNG QUÉT MẠNG

❖ Phòng chống quét cổng

 Các hệ thống cần triển khai firewall và thiết lập các chính sách ngăn chặn những
tín hiệu dò tìm hay khởi tạo kết nối không hợp lệ.
 Triển khai IDS để phát hiện dấu hiệu khi bị quét cổng.
 Che dấu các cổng mở như một số hệ thống tường lửa có chức năng hidden port.
 Chỉ mở các cổng cần thiết cho quá trình vận hành, đối với các dịch vụ không
hoạt động → đóng những cổng liên quan.
 TẤN CÔNG GIẢ MẠO ĐỊA CHỈ IP

❖ Một hacker có thể giả mạo địa chỉ IP khi quét máy hệ thống để hạn chế thấp nhất
khả năng bị phát hiện.

❖ Source routing cho phép kẻ tấn công chỉ định việc định tuyến một gói tin có
thông qua Internet. Điều này cũng có thể giảm thiểu cơ hội phát hiện bằng cách bỏ
qua IDS và tường lửa.

Quá trình tấn công giả địa chỉ IP

 TẤN CÔNG GIẢ MẠO ĐỊA CHỈ IP

❖ Biện pháp đối phó

 Để phát hiện giả mạo địa chỉ IP, có thể so sánh thời gian sống (TTL) các giá trị:
TTL của kẻ tấn công sẽ khác với TTL của địa chỉ giả mạo.
 TẤN CÔNG CHIẾM QUYỀN MÁY CHỦ

❖ Session Hijacking là hình thức tấn công vào phiên làm việc giữa client và
server cách đánh cắp cookie của người sử dụng sau khi họ đã qua bước xác
thực với máy chủ, sau đó sẽ chiếm quyền điều khiển của phiên làm việc
này.
❖ Session là thuật ngữ nói đến một phiên kết nối giữa hai máy tính trên hệ
thống mạng thường được duy trì bởi các giá trị như thời gian tồn tại của
session, thông tin cookie của trình duyệt hay các thẻ bài thích hợp.
❖ Phân biệt Spoofing và Hijacking: trong tình huống tấn công spoofing các
hacker sẽ nghe lén dữ liệu truyền trên mạng từ người gởi đến nơi nhận sau
đó sử dụng các thông tin thu thập được giả mạo địa chỉ (hoặc sử dụng
ngay các địa chỉ đã lấy trộm) nhằm qua mặt các hệ thống kiểm tra. Trong
khi đó hình thức tấn công hijacking sẽ làm cho kết nối của nạn nhân đến
máy chủ bị ngắt khi đã xác thực thành công sau đó cướp lấy phiên làm việc
này của người dùng nhằm vượt qua bước kiểm tra của máy chủ.
 TẤN CÔNG CHIẾM QUYỀN MÁY CHỦ

❖ Quá trình tấn công Session Hijacking gồm 3 bước:

 Dò tìm Session: Hacker sẽ dò tìm các session đang mở và tính toán giá
trị tuần tự của gói tin tiếp theo.
 Tái đồng bộ kết nối: Hacker gửi các tín hiệu TCP reset (RST) hay FIN để
yêu cầu khởi động lại quá trình kết nối đồng thời đóng phiên làm việc cũ.
 Chèn các packet tấn công: lúc này hacker sẽ gửi đến máy chủ những gói
tin TCP với số hiệu tuần tự đã được tính toán thích hợp với phiên làm việc
do đó máy chủ sẽ chấp nhận những thông tin này giống như là các dữ
liệu hợp lệ tiếp theo của người dùng bị tấn công.
 TẤN CÔNG CHIẾM QUYỀN MÁY CHỦ

Attacker nghe lén đường truyền khi tấn công Session Hijacking
TẤN CÔNG CHIẾM QUYỀN MÁY CHỦ

Một số công cụ tấn công Session Hijacking:

 Juggernaut: chuyên bắt giữ (sniff) các TCP
session trong môi trường mạng hoạt động với
hub
 Hunt: giả mạo địa chỉ MAC với cơ chế ARP
spoofing, reset và giám sát các kết nối, nghe
lén đường truyền.
 Burp Suite: có khả năng thay đổi dữ liệu trên
quá trình truyền, đánh cướp session hay giả
mạo cả các chứng chỉ điện tử dùng trong xác
thực https
 TẤN CÔNG TỪ CHỐI DỊCH VỤ

❖ Tấn công từ chối dịch vụ (DoS): là dạng tấn công làm cho các hệ thống máy chủ,
trang web bị tê liệt không thể đáp ứng lại các yêu cầu của người dùng.

❖ Đây là một trong các hình thức tấn công đem lại hiệu quả cao cho các hacker cũng
như là giải pháp sau cùng nếu không tìm được cách đột nhập vào mục tiêu.

❖ DoS dựa vào quá trình truyền thông của client và server, nếu có quá nhiều client
truy cập cùng lúc thì server sẽ bị quá tải → từ chối các yêu cầu truy cập khác.
 TẤN CÔNG TỪ CHỐI DỊCH VỤ

❖ Một số công cụ tấn công DoS:

 Ping of Death: Các công cụ tấn công Ping of Death gởi nhiều gói tin IP với kích
thước lớn đến mục tiêu làm cho các máy này phải mất nhiều thời gian và tài
nguyên hệ thống để xử lý, kết quả là không thể đáp ứng được các yêu cầu kết
nối thông thường của những máy tính khác dẫn đến bị từ chối dịch vụ.
 LAND Attack: Những công cụ có chức năng tấn công LAND Attack sẽ gởi các
gói tin có địa chỉ IP trùng lắp với các địa chỉ IP đích khiến cho việc xử lý các yêu
cầu này có thể dẫn đến tình trạng bị lặp lại (loop) và không thể tiếp nhận thêm
các yêu cầu truy cập khác.
 WinNuke: Chương trình này tìm kiếm các máy tính đang mở port 139 để gởi
các gói tin IP rác đến mục tiêu. Dạng tấn công này còn được gọi là Out of Bound
(OOB) và làm tràn ngập bộ nhớ đệm của giao thức IP.
 TẤN CÔNG TỪ CHỐI DỊCH VỤ

❖ Một số công cụ tấn công DoS…

 CPU Hog: Công cụ này làm quá tải nguồn tài nguyên CPU của các máy bị tấn
công .
 Bubonic: Là công cụ DoS hoạt động bằng cách gởi các gói tin TCP với những
thiết lập ngẫu nhiên làm cho mục tiêu bị tấn công bị quá tãi hay thậm chí bị gãy
đổ.
 RPC Locator: Đây là một dịch vụ nếu như không được vá lỗi có khả năng bị tấn
công gây tràn bộ đệm. Dịch vụ này hoạt động trên các hệ thống Windows để
phân phối các bản cài đặt hay ứng dụng trên toàn hệ thống, đây cũng là một
dịch vụ dễ bị tấn công gây ra tình trạng từ chối dịch vụ trên các máy chủ.
 SSPing hay Targa: có thể gửi các gói tin với kích thước lớn đến mục tiêu làm tê
liệt khả năng đáp ứng cũng như xử lý các dữ liệu này, dẫn đến tình trạng “từ
chối dịch vụ”.
 TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN

❖ DoS là dạng tấn công khi hacker sử dụng một máy tính để tiến
hành, còn DDoS hay Distribute Denial of Services (tấn công từ chối
dịch vụ phân tán) là khi hacker tiến hành tấn công DoS từ nhiều
máy tính khác nhau, thông thường là một hệ thống mạng botnet.
❖ Thông thường DDoS gồm có 3 thành phần :
 Master hay Handler: Chương trình dùng để điều khiển.
 Slave hay zombie, bot: là các máy tính bị cài đặt hay lây nhiễm các chương
trình nguy hiểm và bị điều khiển bởi các Master / Handler.
 Victim: Những mục tiêu bị tấn công từ chối dịch vụ.
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
 TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN

❖ Phòng chống tấn công DoS và DDoS:

 Network-ingress filtering: Tất cả các hệ thống hay thiết bị cung cấp những kết
nối và truy cập mạng cần thực hiện cơ chế lọc Network-infgress filtering nhằm
loại bỏ các luồn dữ liệu xuất phát từ các địa chỉ giả mạo, có nguồn gốc không rõ
ràng. Điều này không ngăn ngừa được các cuộc tấn công nhưng có thể giúp
ngăn chặn và truy tìm khi có những hành động trái phép diễn ra.
 Rate-limiting network system: Nhiều bộ định tuyến hiện nay có khả năng hạn
chế và kiểm soát băng thông trên những giao thức khác nhau, kỹ thuật này còn
được gọi là trafic shapping.
 TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN

❖ Phòng chống tấn công DoS và DDoS…

 Instruction Detect System: Triển khai các hệ thống dò tìm xâm phạm trái phép để
phát hiện kịp thời các luồng truyền thông nguy hiểm, những cuộc tấn công hay các
virus / worm lan truyền trên mạng.
 Sử dụng công cụ Host-auditing: Một số chương trình có khả năng quét các tập tin
trên hệ thống để tìm ra các công cụ tấn công DDoS hay các chương trình botnet
nguy hiểm.
 Sử dụng công cụ Network-auditing: Chạy các chương trình quét mạng để phát hiện
các agent (các thành viên của mạng botnet) và loại bỏ chúng.
 Sử dụng các chương trình dò tìm công cụ DoS: Thường xuyên quét tìm các công cụ
DoS trên hệ thống với những chương trình thích hợp như Find_ddos, SARA, Zombi
Zapper để phát hiện và xử lý kịp thời các mầm mống gây nên sự cố từ chối dịch vụ.
 TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN

❖ Phòng chống tấn công DoS và DDoS…

 Tắt các dịch vụ không cần thiết: Đóng các cổng hay tắt những dịch vụ không
cần thiết hay hạn chế sự dụng những chức năng như get, strcpy …
 Cấu hình firewall để chặn tất cả các tín hiệu ICMP từ bên ngoài.
 Thường xuyên cập nhật hệ thống: Cập nhật các bản vá lỗi mới nhất cho hệ
thống và ứng dụng liên quan.
 Sử dụng các hệ thống bảo vệ DDoS chuyên dụng như IntelliGuard DDoS
Protection System (DPS) hay các chương trình phòng chống DDoS như
FortGuard, NetScaler, Advanced Denial of Service Protection…
 TẤN CÔNG CỔNG SAU

❖ Backdoor hay còn gọi là “cổng sau” là chương trình mà hacker cài đặt trên
máy tính của nạn nhân để có thể điều khiển hay xâm nhập lại dễ dàng.
❖ Một chức năng khác của backdoor là xóa tất cả những thông tin hay các
chứng cứ mà hacker có thể để lại khi họ xâm nhập trái phép vào hệ thống,
các backdoor tinh vi đôi khi tự nhân bản hay che dấu để có thể duy trì
“cổng sau” cho phép các hacker truy cập hệ thống ngay cả khi chúng bị
phát hiện.
❖ Kỹ thuật mà backdoor thường thực hiện đó là thêm một dịch vụ mới trên
các hệ điều hành Windows, và dịch vụ này càng khó nhận dạng thì hiệu
quả càng cao. Do đó tên của chúng thường đặt giống với tên của những
dịch vụ của hệ thống hay thậm chi các hacker sẽ tìm tên các tiến trình hệ
thống nào không hoạt động và dùng tên này đặt cho các backdoor của
mình. Điều này sẽ qua mặt được cả những chuyên gia hệ thống giàu kinh
nghiệm.
 4.3. MỘT SỐ GIẢI PHÁP BẢO MẬT MẠNG

❖ 4.3.1. Hệ thống phát hiện xâm nhập (IDS)

❖ 4.3.2. Hệ thống tường lửa (Firewall)

41
 4.3.1. HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS)

❖ Định nghĩa: Intrusion Detection System- hệ thống phát hiện xâm nhập: là
một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh
báo cho hệ thống, nhà quản trị.
❖ IDS cũng có thể phân biệt giữa những tấn công từ bên trong (từ người
dùng trong hệ thống) hay tấn công từ bên ngoài (từ các hacker).
❖ IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống
như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát
hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với
baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác
thường.

42
 PHÂN BIỆT NHỮNG HỆ THỐNG KHÔNG PHẢI LÀ IDS

❖ Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải
là IDS:
 Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn
công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra lưu
lượng mạng.
 Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ
mạng (các bộ quét bảo mật).
 Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như
virus, Trojan horse, worm... Mặc dù những tính năng mặc định có thể rất giống hệ
thống phát hiện xâm phạm và thường cung cấp một công cụ phát hiện lỗ hổng bảo
mật hiệu quả.
 Tường lửa
 Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos, Radius
 TẠI SAO NÊN SỬ DỤNG IDS

❖ Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp
hoặc phá hoại dữ liệu.
❖ Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
❖ Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập
thông tin của người dùng hợp pháp.
❖ Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của
hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự
truy nhập thông tin bất hợp pháp.
❖ Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục,
sửa chữa…
 CHỨC NĂNG CỦA IDS

❖ Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
 Giám sát: lưu lượng mạng và các hoạt động khả nghi
 Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
 Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có
những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
❖ Chức năng mở rộng:
 Phân biệt: tấn công bên trong và tấn công bên ngoài.
 Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào
sự so sánh thông lượng mạng hiện tại với baseline.
 CHỨC NĂNG CỦA IDS

❖ Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:
 Ngăn chặn sự gia tăng của những tấn công
 Bổ sung những điểm yếu mà các hệ thống khác chưa làm được
 Đánh giá chất lượng của việc thiết kế hệ thống

❖ Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là
điều hiển nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất
lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của
các nhà quản trị mạng.
 IDS

❖ Có hai phương pháp khác nhau trong việc phân tích các sự kiện để
phát hiện các vụ tấn công:
 Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập
hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn
công.
 Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động
bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi
hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.
❖ Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng
kết hợp cả hai.
 IDS TASK

❖ Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập
trái phép và những hành động dị thường.
❖ Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng
sau:
 Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên
mạng.
 Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết
hành động nào là tấn công.
 Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở
trên.
IDS TASK
KIẾN TRÚC CỦA HỆ THỐNG IDS
KIẾN TRÚC CỦA HỆ THỐNG IDS
 NETWORK BASE IDS (NIDS)

❖ Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn
mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng
với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm
biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một
mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị
và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa
hơn. NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin
trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công
hay không.
❖ Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát
toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập
sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng
được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng
mạng hoạt động ở mức cao.
 NETWORK BASE IDS (NIDS)

❖ Lợi thế của Network-Based IDSs:

 Quản lý được cả một network segment (gồm nhiều host)
 "Trong suốt" với người sử dụng lẫn kẻ tấn công
 Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
 Tránh DoS ảnh hưởng tới một host nào đó.
 Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
 Độc lập với OS
 NETWORK BASE IDS (NIDS)

❖ Hạn chế của Network-Based IDSs:

 Có thể xảy ra trường hợp báo động giả (false positive), tức không có intrusion mà NIDS báo là có
intrusion.
 Không thể phân tích các traffic đã được encrypt (vd: SSL, SSH, IPSec…)
 NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
 Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động được phát ra, hệ thống
có thể đã bị tổn hại.
 Không cho biết việc attack có thành công hay không.
 Một trong những hạn chế là giới hạn băng thông. Những bộ dò mạng phải nhận tất cả các lưu lượng
mạng, sắp xếp lại những lưu lượng đó cũng như phân tích chúng. Khi tốc độ mạng tăng lên thì khả
năng của đầu dò cũng vậy. Một giải pháp là bảo đảm cho mạng được thiết kế chính xác để cho phép
sự sắp đặt của nhiều đầu dò. Khi mà mạng phát triển, thì càng nhiều đầu dò được lắp thêm vào để
bảo đảm truyền thông và bảo mật tốt nhất.
 NETWORK BASE IDS (NIDS)

❖ Một cách mà các kẻ xâm nhập cố gắng nhằm che đậy cho hoạt động của
họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin
của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu
truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân
mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu
nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất
hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ
cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng
ngăn chặn phát hiện bằng cách gửi nhiều gói dữ liệu phân mảnh chồng
chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ
cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.
 HOST BASED IDS (HIDS)

❖ Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa
trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log
và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng
theo dõi OS, những cuộc gọi hệ thống, nhật ký hệ thống và những thông
điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có
thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới
có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là,
hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công
đã làm trên máy chủ bị tấn công (compromised host).
 HOST BASED IDS (HIDS)

❖ Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn
các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải
nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên
host có thể giám sát chuyện này.
❖ HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám
sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt
động trên một máy tính. HIDS thường được đặt trên các host xung
yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu
bị tấn công đầu tiên.
 HOST BASED IDS (HIDS)

❖ Nhiệm vụ chính của HIDS là giám sát các thay đổi trên hệ thống,
bao gồm:
 Các tiến trình.
 Các mục của Registry.
 Mức độ sử dụng CPU.
 Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
 Một vài thông số khác.
❖ Các thông số này khi vượt qua một ngưỡng định trước hoặc những
thay đổi khả nghi trên hệ thống file sẽ gây ra báo động.
 HOST BASED IDS (HIDS)

❖ Lợi thế của HIDS:

 Có khả năng xác đinh user liên quan tới một sự kiện (event).
 HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một
máy, NIDS không có khả năng này.
 Có thể phân tích các dữ liệu mã hoá.
 Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra
trên host này.
 HOST BASED IDS (HIDS)

❖ Hạn chế của HIDS:

 Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này
thành công.
 Khi OS bị "hạ" do tấn công, đồng thời HIDS cũng bị "hạ".
 HIDS phải được thiết lập trên từng host cần giám sát
 HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat…).
 HIDS cần tài nguyên trên host để hoạt động.
 HIDS có thể không hiệu quả khi bị DOS.
 Đa số chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy được
trên UNIX và những hệ điều hành khác.
4.3.2. HỆ THỐNG TƯỜNG LỬA (FIREWALL)

61
 4.3.2. HỆ THỐNG TƯỜNG LỬA (FIREWALL)

❖ Các thành phần trong mạng:

 Vùng mạng nội bộ: Còn gọi là mạng LAN, là nơi đặt các thiết bị mạng, máy trạm
và máy chủ thuộc mạng nội bộ của đơn vị.
 Vùng mạng DMZ: Vùng DMZ (Demilitarized Zone) là một vùng mạng trung lập giữa
mạng nội bộ và mạng Internet, là nơi chứa các thông tin cho phép người dùng từ
Internet truy xuất vào và chấp nhận các rủi ro tấn công từ Internet. Các dịch vụ
thường được triển khai trong vùng DMZ là: máy chủ Web, máy chủ Mail, máy chủ
DNS, máy chủ FTP,…
 Vùng mạng Server (Server Farm): Vùng mạng Server hay Server Farm, là nơi
đặt các máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet ( Các máy chủ
triển khai ở vùng mạng này thường là Database Server, LDAP Server,…)
 Vùng mạng Internet: Còn gọi là mạng ngoài, kết nối với mạng Internet toàn cầu.
12/15/2023

62
 HỆ THỐNG TƯỜNG LỬA…

❖ Tường lửa (Firewall):

 Là một hệ thống an ninh mạng, có thể dựa trên phần cứng hoặc phần mềm.
Hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn.
 Điều khiển truy cập bằng việc cho phép hoặc từ chối các dòng dữ liệu vào/ra,
dựa trên một tập luật, thường gọi là chính sách Firewall.
 PHÂN LOẠI TƯỜNG LỬA…

❖ Theo vị trí:
 Network Firewall
 Host Firewall
❖ Theo nền tảng hardware và software
 Software Firewall
 Hardware Firewall
❖ Theo khả năng xử lý gói tin
 Packet Filter: Hoạt động ở Layer 3 – 4 (Mô hình OSI)
 Application Filter: Hoạt động ở Layer 7
 State Full Filter: Hoạt động từ Layer 3 – 7
 MỘT SỐ MÔ HÌNH PHỔ BIẾN

Mô hình 1
❖ Trong mô hình này, vùng mạng Internet, vùng mạng nội bộ và vùng mạng
DMZ được thiết kế tách biệt nhau. Ngoài ra, đặt một firewall giữa các vùng
mạng nhằm kiểm soát luồng thông tin giữa các vùng mạng với nhau và bảo
vệ các vùng mạng khỏi các tấn công trái phép.
 MỘT SỐ MÔ HÌNH PHỔ BIẾN…

Mô hình 2
❖ Trong mô hình này, đặt một firewall giữa vùng mạng Internet và vùng
mạng DMZ và một firewall giữa vùng mạng DMZ và vùng mạng nội bộ.
Như vậy, vùng mạng nội bộ nằm sâu bên trong và cách vùng mạng
Internet bằng 2 lớp firewall.
 MỘT SỐ MÔ HÌNH PHỔ BIẾN…

Mô hình 3
❖ Trong mô hình này, đặt một firewall giữa vùng mạng Internet và vùng
mạng DMZ , một firewall giữa vùng mạng DMZ và vùng mạng nội bộ và
một firewall giữa vùng mạng nội bộ và vùng mạng Internet. Mỗi truy cập
giữa các vùng với nhau đều được kiểm soát bởi một firewall.
 CHÍNH SÁCH TƯỜNG LỬA

❖ Firewall điều khiển truy cập bằng việc cho phép hoặc từ chối các dòng dữ
liệu vào/ra, dựa trên một tập luật, mà ta thường gọi là chính sách Firewall
❖ Mỗi luật trong Firewall thường có 7 thuộc tính mô tả dưới đây:
 Chiều đi của gói tin (vào hoặc ra)
 Giao thức (TCP hoặc UDP)
 Địa chỉ IP nguồn, hoặc một dải địa chỉ IP nguồn
 Cổng nguồn
 Địa chỉ IP đích hoặc một dải địa chỉ IP đích
 Cổng đích
 Hành động (chấp nhận hoặc từ chối)
THIẾT LẬP CHÍNH SÁCH TƯỜNG LỬA
 CÁC THUẬT NGỮ, TỪ VIẾT TẮT

DDoS Distribute Denial of Services Từ chối dịch vụ phân tán

DMZ Demilitarized Zone Vùng phi quân sự

DoS Denial of Service Từ chối dịch vụ
Host Base Instruction Detect Hệ thống phát hiện xâm nhập dựa
HIDS
System trên máy chủ
IDS Instruction Detect System Hệ thống phát hiện xâm nhập
Network Base Instruction Hệ thống phát hiện xâm nhập dựa
NIDS
Detect System trên mạng

70