Professional Documents
Culture Documents
4. QTM-Chương 4 v2
4. QTM-Chương 4 v2
4. QTM-Chương 4 v2
CHƯƠNG IV
BẢO MẬT MẠNG
MỤC TIÊU
2
CHƯƠNG IV: BẢO MẬT MẠNG
3
BẢO MẬT MẠNG LÀ GÌ?
❖ → định nghĩa chính xác hơn tuân thủ các tiêu chuẩn của Liên minh
Viện thông Quốc tế (ITU):
“Bảo mật mạng là tập hợp các công cụ, chính sách, khái niệm về bảo mật,
hướng dẫn, phương pháp quản lý rủi ro, phản ứng, đào tạo, diễn tập, thiết bị và
công nghệ có thể được dùng để bảo vệ hệ thống mạng và tài sản"
4.1. CÁC KHÁI NIỆM CƠ BẢN VỀ BẢO MẬT MẠNG
❖ Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng
đối tượng.
❖ Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc
❖ Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo
đúng mục đích và đúng cách.
❖ Tính chính xác: Thông tin phải chính xác, tin cậy
❖ Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng
được nguồn gốc hoặc người đưa tin
6
CÁC MỐI ĐE DỌA (THREAT)
❖ Các mối đe dọa (threat) đến an toàn hệ thống là các hành động hoặc
các sự kiện/hành vi có khả năng xâm hại đến độ an toàn của một hệ
thống thông tin
Mục tiêu đe dọa tấn công.
Đối tượng đe dọa tấn công (chủ thể tấn công)
Hành vi đe dọa tấn công
7
CÁC MỐI ĐE DỌA …
❖ Mục tiêu đe dọa tấn công (Target): chủ yếu là các dịch vụ an
ninh (dịch vụ WWW, DNS, …)
Khả năng bảo mật thông tin: sẽ bị đe dọa nếu thông tin không được bảo
mật
Tính toàn vẹn của thông tin: đe dọa thay đổi cấu trúc thông tin
Tính chính xác của thông tin: đe dọa thay đổi nội dung thông tin
Khả năng cung cấp dịch vụ của hệ thống: làm cho hệ thống không thể
cung cấp được dịch vụ (tính sẵn sàng)
Khả năng thống kê tài nguyên hệ thống
8
CÁC MỐI ĐE DỌA …
❖ Đối tượng đe dọa tấn công (Agent) là chủ thể gây hại đến hệ thống
Khả năng đe dọa tấn công của đối tượng: khả năng truy cập để khai thác các lỗ
hổng hệ thống tạo ra mối đe dọa trực tiếp
Sự hiểu biết của đối tượng về mục tiêu đe dọa tấn công: user ID, file mật khẩu,
vị trí file, địa chỉ mạng,…
Động cơ tấn công của đối tượng: chinh phục, lợi ích cá nhân, cố tình
9
CÁC MỐI ĐE DỌA …
10
CÁC MỐI ĐE DỌA …
11
LỖ HỔNG HỆ THỐNG (VULNERABLE)
❖ Lỗ hổng hệ thống
là nơi mà đối tượng tấn công có thể khai thác để thực hiện các hành vi tấn công
hệ thống. Lỗ hổng hệ thống có thể tồn tại trong hệ thống mạng hoặc trong thủ
tục quản trị mạng.
o Lỗ hổng lập trình (back-door)
o Lỗ hổng Hệ điều hành
o Lỗ hổng ứng dụng
o Lỗ hổng vật lý
o Lỗ hổng trong thủ tục quản lý (mật khẩu, chia sẻ,…)
12
NGUY CƠ HỆ THỐNG (RISK)
❖ Nguy cơ hệ thống: được hình thành bởi sự kết hợp giữa lỗ hổng hệ
thống và các mối đe dọa đến hệ thống
13
ĐÁNH GIÁ NGUY CƠ HỆ THỐNG
Nguy cơ hệ thống
❖ Xác định các lỗ hổng hệ thống: việc xác định các lỗ hổng hệ
thống được bắt đầu từ các điểm truy cập vào hệ thống như:
Kết nối mạng Internet
Các điểm kết nối từ xa
Kết nối đến các tổ chức khác
Các môi trường truy cập vật lý đến hệ thống
Các điểm truy cập người dùng
Các điểm truy cập không dây
❖ Ở mỗi điểm truy cập, phải xác định được các thông tin có thể truy
cập và mức độ truy cập vào hệ thống 15
ĐÁNH GIÁ NGUY CƠ HỆ THỐNG …
❖ Xác định các mối đe dọa: đây là một công việc khó khăn vì
Các mối đe dọa thường không xuất hiện rõ ràng
Các hình thức và kỹ thuật tấn công đa dạng:
o DoS/DDoS, BackDoor, Tràn bộ đệm,…
o Virus, Trojan Horse, Worm
o Social Engineering
16
ĐÁNH GIÁ NGUY CƠ HỆ THỐNG …
17
ĐÁNH GIÁ NGUY CƠ HỆ THỐNG …
o Hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng,…)
o Hệ thống IDS
18
ĐÁNH GIÁ NGUY CƠ HỆ THỐNG …
19
ĐÁNH GIÁ NGUY CƠ HỆ THỐNG …
20
4.2. MỘT SỐ NGUY CƠ TẤN CÔNG
(Tham khảo từ nguồn tài liệu CEH của của Trung tâm Đào tạo Quản trị mạng & An ninh mạng
Quốc tế (ATHENA))
21
TẤN CÔNG QUÉT MẠNG
Ping Sweep
Phòng Chống Ping Sweep
❖ Một hacker có thể giả mạo địa chỉ IP khi quét máy hệ thống để hạn chế thấp nhất
khả năng bị phát hiện.
❖ Source routing cho phép kẻ tấn công chỉ định việc định tuyến một gói tin có
thông qua Internet. Điều này cũng có thể giảm thiểu cơ hội phát hiện bằng cách bỏ
qua IDS và tường lửa.
❖ Session Hijacking là hình thức tấn công vào phiên làm việc giữa client và
server cách đánh cắp cookie của người sử dụng sau khi họ đã qua bước xác
thực với máy chủ, sau đó sẽ chiếm quyền điều khiển của phiên làm việc
này.
❖ Session là thuật ngữ nói đến một phiên kết nối giữa hai máy tính trên hệ
thống mạng thường được duy trì bởi các giá trị như thời gian tồn tại của
session, thông tin cookie của trình duyệt hay các thẻ bài thích hợp.
❖ Phân biệt Spoofing và Hijacking: trong tình huống tấn công spoofing các
hacker sẽ nghe lén dữ liệu truyền trên mạng từ người gởi đến nơi nhận sau
đó sử dụng các thông tin thu thập được giả mạo địa chỉ (hoặc sử dụng
ngay các địa chỉ đã lấy trộm) nhằm qua mặt các hệ thống kiểm tra. Trong
khi đó hình thức tấn công hijacking sẽ làm cho kết nối của nạn nhân đến
máy chủ bị ngắt khi đã xác thực thành công sau đó cướp lấy phiên làm việc
này của người dùng nhằm vượt qua bước kiểm tra của máy chủ.
TẤN CÔNG CHIẾM QUYỀN MÁY CHỦ
Attacker nghe lén đường truyền khi tấn công Session Hijacking
TẤN CÔNG CHIẾM QUYỀN MÁY CHỦ
❖ Tấn công từ chối dịch vụ (DoS): là dạng tấn công làm cho các hệ thống máy chủ,
trang web bị tê liệt không thể đáp ứng lại các yêu cầu của người dùng.
❖ Đây là một trong các hình thức tấn công đem lại hiệu quả cao cho các hacker cũng
như là giải pháp sau cùng nếu không tìm được cách đột nhập vào mục tiêu.
❖ DoS dựa vào quá trình truyền thông của client và server, nếu có quá nhiều client
truy cập cùng lúc thì server sẽ bị quá tải → từ chối các yêu cầu truy cập khác.
TẤN CÔNG TỪ CHỐI DỊCH VỤ
❖ DoS là dạng tấn công khi hacker sử dụng một máy tính để tiến
hành, còn DDoS hay Distribute Denial of Services (tấn công từ chối
dịch vụ phân tán) là khi hacker tiến hành tấn công DoS từ nhiều
máy tính khác nhau, thông thường là một hệ thống mạng botnet.
❖ Thông thường DDoS gồm có 3 thành phần :
Master hay Handler: Chương trình dùng để điều khiển.
Slave hay zombie, bot: là các máy tính bị cài đặt hay lây nhiễm các chương
trình nguy hiểm và bị điều khiển bởi các Master / Handler.
Victim: Những mục tiêu bị tấn công từ chối dịch vụ.
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN
❖ Backdoor hay còn gọi là “cổng sau” là chương trình mà hacker cài đặt trên
máy tính của nạn nhân để có thể điều khiển hay xâm nhập lại dễ dàng.
❖ Một chức năng khác của backdoor là xóa tất cả những thông tin hay các
chứng cứ mà hacker có thể để lại khi họ xâm nhập trái phép vào hệ thống,
các backdoor tinh vi đôi khi tự nhân bản hay che dấu để có thể duy trì
“cổng sau” cho phép các hacker truy cập hệ thống ngay cả khi chúng bị
phát hiện.
❖ Kỹ thuật mà backdoor thường thực hiện đó là thêm một dịch vụ mới trên
các hệ điều hành Windows, và dịch vụ này càng khó nhận dạng thì hiệu
quả càng cao. Do đó tên của chúng thường đặt giống với tên của những
dịch vụ của hệ thống hay thậm chi các hacker sẽ tìm tên các tiến trình hệ
thống nào không hoạt động và dùng tên này đặt cho các backdoor của
mình. Điều này sẽ qua mặt được cả những chuyên gia hệ thống giàu kinh
nghiệm.
4.3. MỘT SỐ GIẢI PHÁP BẢO MẬT MẠNG
41
4.3.1. HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS)
❖ Định nghĩa: Intrusion Detection System- hệ thống phát hiện xâm nhập: là
một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh
báo cho hệ thống, nhà quản trị.
❖ IDS cũng có thể phân biệt giữa những tấn công từ bên trong (từ người
dùng trong hệ thống) hay tấn công từ bên ngoài (từ các hacker).
❖ IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống
như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát
hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với
baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu khác
thường.
42
PHÂN BIỆT NHỮNG HỆ THỐNG KHÔNG PHẢI LÀ IDS
❖ Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải
là IDS:
Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn
công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra lưu
lượng mạng.
Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ
mạng (các bộ quét bảo mật).
Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểm như
virus, Trojan horse, worm... Mặc dù những tính năng mặc định có thể rất giống hệ
thống phát hiện xâm phạm và thường cung cấp một công cụ phát hiện lỗ hổng bảo
mật hiệu quả.
Tường lửa
Các hệ thống bảo mật/mật mã, ví dụ như VPN, SSL, S/MIME, Kerberos, Radius
TẠI SAO NÊN SỬ DỤNG IDS
❖ Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp
hoặc phá hoại dữ liệu.
❖ Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.
❖ Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập
thông tin của người dùng hợp pháp.
❖ Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của
hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự
truy nhập thông tin bất hợp pháp.
❖ Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục,
sửa chữa…
CHỨC NĂNG CỦA IDS
❖ Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
Giám sát: lưu lượng mạng và các hoạt động khả nghi
Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có
những hành động thiết thực chống lại kẻ xâm nhập và phá hoại.
❖ Chức năng mở rộng:
Phân biệt: tấn công bên trong và tấn công bên ngoài.
Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào
sự so sánh thông lượng mạng hiện tại với baseline.
CHỨC NĂNG CỦA IDS
❖ Ngoài ra hệ thống phát hiện xâm nhập IDS còn có chức năng:
Ngăn chặn sự gia tăng của những tấn công
Bổ sung những điểm yếu mà các hệ thống khác chưa làm được
Đánh giá chất lượng của việc thiết kế hệ thống
❖ Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là
điều hiển nhiên. Việc đưa ra những điểm yếu đó nhằm đánh giá chất
lượng việc thiết kế mạng cũng như cách bố trí bảo vệ phòng thủ của
các nhà quản trị mạng.
IDS
❖ Có hai phương pháp khác nhau trong việc phân tích các sự kiện để
phát hiện các vụ tấn công:
Phát hiện dựa trên dấu hiệu: Phương pháp này nhận dạng các sự kiện hoặc tập
hợp các sự kiện phù hợp với một mẫu các sự kiện đã được định nghĩa là tấn
công.
Phát hiện sự bất thường: công cụ này thiết lập một hiện trạng các hoạt động
bình thường và sau đó duy trì một hiện trạng hiện hành cho một hệ thống. Khi
hai yếu tố này xuất hiện sự khác biệt, nghĩa là đã có sự xâm nhập.
❖ Các sản phẩm IDS có thể sử dụng một trong hai cách hoặc sử dụng
kết hợp cả hai.
IDS TASK
❖ Các hệ thống IDS khác nhau đều dựa vào phát hiện các xâm nhập
trái phép và những hành động dị thường.
❖ Quá trình phát hiện có thể được mô tả bởi 3 yếu tố cơ bản nền tảng
sau:
Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên
mạng.
Sự phân tích (Analysis): Phân tích tất cả các gói tin đã thu thập để cho biết
hành động nào là tấn công.
Cảnh báo (response): hành động cảnh báo cho sự tấn công được phân tích ở
trên.
IDS TASK
KIẾN TRÚC CỦA HỆ THỐNG IDS
KIẾN TRÚC CỦA HỆ THỐNG IDS
NETWORK BASE IDS (NIDS)
❖ Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn
mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng
với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những bộ bộ cảm
biến thu nhận và phân tích lưu lượng trong thời gian thực. Khi ghi nhận được một
mẫu lưu lượng hay dấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị
và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa
hơn. NIDS là tập nhiều sensor được đặt ở toàn mạng để theo dõi những gói tin
trong mạng so sánh với với mẫu đã được định nghĩa để phát hiện đó là tấn công
hay không.
❖ Được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài để giám sát
toàn bộ lưu lượng vào ra. Có thể là một thiết bị phần cứng riêng biệt được thiết lập
sẵn hay phần mềm cài đặt trên máy tính. Chủ yếu dùng để đo lưu lượng mạng
được sử dụng. Tuy nhiên có thể xảy ra hiện tượng nghẽn cổ chai khi lưu lượng
mạng hoạt động ở mức cao.
NETWORK BASE IDS (NIDS)
❖ Một cách mà các kẻ xâm nhập cố gắng nhằm che đậy cho hoạt động của
họ khi gặp hệ thống IDS dựa trên mạng là phân mảnh những gói thông tin
của họ. Mỗi giao thức có một kích cỡ gói dữ liệu giới hạn, nếu dữ liệu
truyền qua mạng lớn hơn kích cỡ này thì gói dữ liệu đó sẽ được phân
mảnh. Phân mảnh đơn giản chỉ là quá trình chia nhỏ dữ liệu ra những mẫu
nhỏ. Thứ tự của việc sắp xếp lại không thành vấn đề miễn là không xuất
hiện hiện tượng chồng chéo. Nếu có hiện tượng phân mảnh chồng chéo, bộ
cảm biến phải biết quá trình tái hợp lại cho đúng. Nhiều hacker cố gắng
ngăn chặn phát hiện bằng cách gửi nhiều gói dữ liệu phân mảnh chồng
chéo. Một bộ cảm biến sẽ không phát hiện các hoạt động xâm nhập nếu bộ
cảm biến không thể sắp xếp lại những gói thông tin một cách chính xác.
HOST BASED IDS (HIDS)
❖ Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa
trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log
và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng
theo dõi OS, những cuộc gọi hệ thống, nhật ký hệ thống và những thông
điệp báo lỗi trên hệ thống máy chủ. Trong khi những đầu dò của mạng có
thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới
có thể xác định xem cuộc tấn công có thành công hay không. Thêm nữa là,
hệ thống dựa trên máy chủ có thể ghi nhận những việc mà người tấn công
đã làm trên máy chủ bị tấn công (compromised host).
HOST BASED IDS (HIDS)
❖ Một ưu điểm khác của IDS dựa trên máy chủ là nó có thể ngăn chặn
các kiểu tấn công dùng sự phân mảnh hoặc TTL. Vì một host phải
nhận và tái hợp các phân mảnh khi xử lí lưu lượng nên IDS dựa trên
host có thể giám sát chuyện này.
❖ HIDS thường được cài đặt trên một máy tính nhất đinh. Thay vì giám
sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt
động trên một máy tính. HIDS thường được đặt trên các host xung
yếu của tổ chức, và các server trong vùng DMZ - thường là mục tiêu
bị tấn công đầu tiên.
HOST BASED IDS (HIDS)
❖ Nhiệm vụ chính của HIDS là giám sát các thay đổi trên hệ thống,
bao gồm:
Các tiến trình.
Các mục của Registry.
Mức độ sử dụng CPU.
Kiểm tra tính toàn vẹn và truy cập trên hệ thống file.
Một vài thông số khác.
❖ Các thông số này khi vượt qua một ngưỡng định trước hoặc những
thay đổi khả nghi trên hệ thống file sẽ gây ra báo động.
HOST BASED IDS (HIDS)
61
4.3.2. HỆ THỐNG TƯỜNG LỬA (FIREWALL)
62
HỆ THỐNG TƯỜNG LỬA…
❖ Theo vị trí:
Network Firewall
Host Firewall
❖ Theo nền tảng hardware và software
Software Firewall
Hardware Firewall
❖ Theo khả năng xử lý gói tin
Packet Filter: Hoạt động ở Layer 3 – 4 (Mô hình OSI)
Application Filter: Hoạt động ở Layer 7
State Full Filter: Hoạt động từ Layer 3 – 7
MỘT SỐ MÔ HÌNH PHỔ BIẾN
Mô hình 1
❖ Trong mô hình này, vùng mạng Internet, vùng mạng nội bộ và vùng mạng
DMZ được thiết kế tách biệt nhau. Ngoài ra, đặt một firewall giữa các vùng
mạng nhằm kiểm soát luồng thông tin giữa các vùng mạng với nhau và bảo
vệ các vùng mạng khỏi các tấn công trái phép.
MỘT SỐ MÔ HÌNH PHỔ BIẾN…
Mô hình 2
❖ Trong mô hình này, đặt một firewall giữa vùng mạng Internet và vùng
mạng DMZ và một firewall giữa vùng mạng DMZ và vùng mạng nội bộ.
Như vậy, vùng mạng nội bộ nằm sâu bên trong và cách vùng mạng
Internet bằng 2 lớp firewall.
MỘT SỐ MÔ HÌNH PHỔ BIẾN…
Mô hình 3
❖ Trong mô hình này, đặt một firewall giữa vùng mạng Internet và vùng
mạng DMZ , một firewall giữa vùng mạng DMZ và vùng mạng nội bộ và
một firewall giữa vùng mạng nội bộ và vùng mạng Internet. Mỗi truy cập
giữa các vùng với nhau đều được kiểm soát bởi một firewall.
CHÍNH SÁCH TƯỜNG LỬA
❖ Firewall điều khiển truy cập bằng việc cho phép hoặc từ chối các dòng dữ
liệu vào/ra, dựa trên một tập luật, mà ta thường gọi là chính sách Firewall
❖ Mỗi luật trong Firewall thường có 7 thuộc tính mô tả dưới đây:
Chiều đi của gói tin (vào hoặc ra)
Giao thức (TCP hoặc UDP)
Địa chỉ IP nguồn, hoặc một dải địa chỉ IP nguồn
Cổng nguồn
Địa chỉ IP đích hoặc một dải địa chỉ IP đích
Cổng đích
Hành động (chấp nhận hoặc từ chối)
THIẾT LẬP CHÍNH SÁCH TƯỜNG LỬA
CÁC THUẬT NGỮ, TỪ VIẾT TẮT
70