Bài giảng An toàn và an ninh mạng - Bùi Trọng Tùng

 hình thc phát hin ni dung thông ñip .
 
 Ví d: VPN
 11
 Các dch v an toàn an ninh
 ðm bo tính riêng tư ( Confidentiality )
 
 Bo v các thông ñip ñơn l hoc mt s trưng ñơn l ca 
 thông ñip. 
 – Không thc s hu ích;
 – Trong nhiu trưng hp khá phc tp;
 – Yêu cu chi phí ln khi thc hin.
 – ðm bo tính riêng tư: bo v lung thông tin trao ñi khi 
 các thao tác phân tích
 
 Yêu cu: phía tn công không th phát hin ñưc các ñc 
 ñim ca quá trình truyn tin:
 – Ngun và ñích ca thông tin;
 – Tn sut, ñ dài;
 – Các thông s khác ca lung thông tin. 
 Các dch v an toàn an ninh
 ðm bo tính xác thc ( Authentication )

 ðm bo tính xác thc ( Authentication )
 – Dch v ñm bo tính xác thc:
 
 Khng ñnh các bên tham gia vào quá trình truyn tin ñưc xác
 thc và ñáng tin cy .
 – ði vi các thông ñip ñơn l:
 
 Các thông báo , báo hiu: dch v xác thc:
 – ðm bo cho bên nhn rng các thông ñip ñưc ñưa ra t nhng
 ngun ñáng tin cy .
 12
 Các dch v an toàn an ninh
 ðm bo tính xác thc ( Authentication )
 – ði vi nhng liên kt trc tuyn , có hai khía cnh
 cn phi chú ý ti :
 
 Ti thi ñim khi to kt ni , dch v xác thc phi hai
 thc th tham gia vào trao ñi thông tin phi ñưc y
 quyn .
 
 Dch v cn khng ñnh rng kt ni không b can thip
 bi mt bên th ba . Trong ñó bên th ba này có th gi
 mo mt trong hai bên ñưc y quyn ñ có th tham
 giâ vào quá trình truyn tin và thu nhn các thông ñip .
 Các dch v an toàn an ninh
 ðm bo tính sn sàng ( Availability)

 ðm bo tính sn sàng ( Availability ).
 – Tn công phá hy tính sn sàng ca h thng: 
 
 Thc hin các thao tác vt lý tác ñng lên h thng.
 – Dch v ñm bo tín sn sàng phi:
 
 Ngăn chn các nh hưng lên thông tin trong h thng;
 
 Phc hi kh năng phc v ca các phn t h thng trong 
 thi gian nhanh nht.
 13
 Các dch v an toàn an ninh
 ðm bo tính toàn vn( Integrity)

 ðm bo tính toàn vn ( Integrity ).
 – ðm bo tính toàn vn cũng có th áp dng cho lung
 thông ñip , mt thông ñip hoc mt s trưng ñưc
 la chn ca thông ñip .
 – Phương pháp hu ích nht là trc tip bo v lung
 thông ñip .
 – ðm bo tính toàn vn:
 
 Dch v bo ñm tính toàn vn d liu hưng liên kt;
 
 Dch v bo ñm tính toàn vn hưng không liên kt.
 Các dch v an toàn an ninh
 ðm bo tính toàn vn ( Integrity )
 – Dch v bo ñm tính toàn vn d liu hưng liên
 kt :
 
 Tác ñng lên lung thông ñip và ñm bo rng thông
 ñip ñưc nhn hoàn toàn ging khi ñưc gi , không b
 sao chép , không b sa ñi , thêm bt .
 
 Các d liu b phá hu cũng phi ñưc khôi phc bng
 dch v này .
 
 Dch v bo ñm tính toàn vn d liu hưng liên kt x
 lý các vn ñ liên quan ti s sa ñi ca lung các
 thông ñip và chi b dch v .
 14
 Các dch v an toàn an ninh
 ðm bo tính toàn vn ( Integrity )
 – Dch v bo ñm tính toàn vn hưng không liên
 kt :
 
 Ch x lý mt thông ñip ñơn l . Không quan tâm ti
 nhng ng cnh rng hơn .
 
 Ch tp trung vào ngăn chn vic sa ñi ni dung thông
 ñip .
Các dch v an toàn an ninh
Dch v chng ph nhn ( Nonrepudiation)

 Dch v chng ph nhn ( nonrepudiation ).
 – Dch v chng ph nhn ngăn chn ngưi nhn và
 ngưi gi t chi thông ñip ñưc truyn ti .
 – Khi thông ñip ñưc gi ñi , ngưi nhn có th khng
 ñnh ñưc rng thông ñip ñích thc ñưc gi ti t
 ngưi ñưc u quyn .
 – Khi thông ñip ñưc nhn , ngưi gi có th khng
 ñnh ñưc rng thông ñip ñích thc ti ñích .
 15
Các dch v an toàn an ninh
Dch v kim soát truy cp
 
 Dch v kim soát truy nhp .
 – Dch v kim soát truy nhp cung cp kh năng
 gii hn và kim soát các truy nhp ti các máy
 ch hoc các ng dng thông qua ñưng truyn
 tin .
 – ð ñt ñưc s kim soát này , mi ñi tưng khi
 truy nhp vào mng phi ñưc nhn bit hoc
 ñưc xác thc , sao cho quyn truy cp s ñưc
 gn vi tng cá nhân . 
 Các mô hình an toàn mng và 
 h thng
 
 Mô hình an toàn mng
 – Bài toán an toàn an ninh thông tin mng ny 
 sinh khi:
 
 Cn thit phi bo v quá trình truyn tin khi
 các hành ñng truy cp trái phép ;
 
 ðm bo tính riêng tư và tính toàn vn ;
 
 ðm bo tính xác thc ; .. vv .
 – Mô hình truyn thng ca quá trình truyn
 tin an toàn
 16
Các mô hình an toàn mng và 
h thng
 Nh cung cÊp ®−îc uû
 nhiÖm
 Ng−êi uû nhiÖm Ng−êi uû nhiÖm
 Th«ng ®iÖp Th«ng ®iÖp
 Kªnh truyÒn tin
 Th«ng tin
 mËt Th«ng tin
 mËt
 Qu¸ tr×nh truyÒn tin ®−îc Qu¸ tr×nh truyÒn tin ®−îc
 b¶o mËt §èi ph−¬ng b¶o mËt
 Các mô hình an toàn mng và 
 h thng
 – Tt c các k thut ñm bo an toàn h thng truyn tin
 ñu có hai thành phn :
 
 Quá trình truyn ti có bo mt thông tin ñưc gi . 
 – Ví d : mt mã thông ñip s làm cho k tn công không th ñc
 ñưc thông ñip . 
 – Thêm vào thông ñip nhng thông tin ñưc tng hp t ni dung
 thông ñip . Các thông tin này có tác dng xác ñnh ngưi gi .
 
 Mt s thông tin mt s ñưc chia s gia hai bên truyn tin .
 – Các thông tin này ñưc coi là bí mt vi ñi phương . 
 – Ví d: khóa mt mã ñưc dùng kt hp vi quá trình truyn ñ mã
 hóa thông ñip khi gi và gii mã thông ñip khi nhn .
 17
Các mô hình an toàn mng và 
h thng
 – Bên th ba ñưc y quyn: trong nhiu trưng 
 hp, cn thit cho quá trình truyn tin mt: 
 
 Có trách nhim phân phi nhng thông tin mt gia hai 
 bên truyn tin;
 
 Gi cho các thông tin trao ñi vi các bên ñưc bí mt
 ñi vi ngưi tn công. 
 
 Có trách nhim phân x gia hai phía truyn tin v tính 
 xác thc ca thông ñip ñưc truyn.
 Các mô hình an toàn mng và 
 h thng
 
 Các thao tác cơ bn thit k mt h thng an
 ninh:
 – Thit k các thut toán ñ thc hin quá trình
 truyn tin an toàn ;
 
 Các thut toán này phi ñm bo: tn công không làm mt
 kh năng an toàn ca chúng .
 – To ra nhng thông tin mt s ñưc x lý bng
 thut toán trên .
 18
Các mô hình an toàn mng và 
h thng
 – Phát trin nhng phương pháp ñ phân phi và 
 chia s các thông tin mt.
 – ðt ra giao thc trao ñi:
 
 Cho phép hai bên truyn tin trao ñi thông tin s dng
 nhng thut toán an toàn;
 
 Nhng thông tin mt ñt ñưc ñ an toàn thích hp.
Các mô hình an toàn mng và 
h thng

 Mô hình an toàn an ninh h thng
 – Truy nhp ca các hacker ;
 – Các l hng an ninh h thng;
 – Các tin trình ngoi lai :
 
 Các tin trình truy cp ti thông tin : làm phá hy , sa
 ñi thông tin không ñưc phép .
 
 Các tin trình dch v : phát hiên các li trong các dch v
 ca h thng ñ ngăn chn vic s dng ca nhng
 ngưi không ñưc y quyn .
 19
Các mô hình an toàn mng và 
h thng
 Cæng
 b¶o vÖ C¸c ti nguyªn
 §èi ph−¬ng Kªnh truy nhËp
 cña hÖ thèng:
 Con ng−êi D÷ liÖu;
 PhÇn mÒm C¸c qu¸ tr×nh
 ,øng dông;
 C¸c phÇn mÒm;...
 M« h×nh An ninh truy nhËp hÖ thèng M¹ng
An ninh h thng

 Các l hng bo mt

 Quét l hng bo mt
 20
L hng bo mt

 Khái nim l hng bo mt

 Phân loi l hng bo mt
 – L hng t chi dch v 
 – L hng cho phép ngưi dùng bên trong mng 
 vi quyn hn ch có th tăng quyn mà không 
 cn xác thc. 
 – L hng cho phép nhng ngưi không ñưc y 
 quyn có th xâm nhp t xa không xác thc. 
Khái nim l hng

 Tt c nhng ñc tính ca phn mm 
 hoc phn cng cho phép ngưi dùng 
 không hp l, có th truy cp hay tăng 
 quyn không cn xác thc. 

 Tng quát: l hng là nhng phương tin 
 ñi phương có th li dng ñ xâm nhp 
 vào h thng
 21
 L hng t chi dch v 

 Cho phép ñi phương li dng làm tê lit dch 
 v ca h thng.

 ði phương có th làm mt kh năng hot ñng 
 ca máy tính hay mt mng, nh hưng ti toàn 
 b t chc.

 Mt s loi tn công t chi dch v:
 – Bandwith/Throughput Attacks 
 – Protocol Attacks 
 – Software Vulnerability Attacks 
 L hng tăng quyn truy nhp 
 không cn xác thc. 
 
 Là li  nhng phn mm hay h ñiu hành có 
 s phân cp ngưi dùng. 
 
 Cho phép loi ngưi dùng vi quyn s dng 
 hn ch có th tăng quyn trái phép.
 
 Ví d :
 – Sendmail : cho phép ngưi dùng bình thưng có th 
 khi ñng tin trình sendmail, li dng sendmail khi 
 ñng chương trình khác vi quyn root
 22
 L hng tăng quyn truy nhp 
 không cn xác thc.
 – Tràn b ñm :
 Code segment
 Buffer
 Data segment
Overflow here
 L hng cho phép xâm nhp t xa 
 không xác thc. 
 
 Là li ch quan ca ngưi qun tr h thng hay 
 ngưi dùng.
 
 Do không thn trng, thiu kinh nghim, và không 
 quan tâm ñn vn ñ bo mt.
 
 Mt s nhng cu hình thiu kinh nghim :
 – Tài khon có password rng 
 – Tài khon mc ñnh 
 – Không có h thng bo v như firewall, IDS, proxy 
 – Chy nhng dch v không cn thit mà không an toàn : 
 SNMP, pcAnywhere,VNC ,  
 23
Mc ñích ca quét l hng

 Phát hin các l hng bo mt ca h thng

 Phát hin các nghi vn v bo mt ñ ngăn 
 chn
Các phương pháp, k thut quét l 
hng bo mt

 Quét mng

 Quét ñim yu

 Kim tra log

 Kim tra tính toàn vn file

 Phát hin virus

 Chng tn công quay s

 Chng tn công vào access point
 24
Quét mng

 Kim tra s tn ti ca h thng ñích

 Quét cng

 Dò h ñiu hành
Quét mng

 Kim tra s tn ti ca h thng ñích
 – Quét ping ñ kim tra xem h thng có hot ñng 
 hay không
 – Phát hin bng IDS hoc mt s trình tin ích
 – Cu hình h thng, hn ch lưu lưng các gói 
 ICMP ñ ngăn nga
 25
Quét mng

 Quét cng
 – Nhm nhn din dch v, ng dng
 – S dng các k thut quét ni TCP, TCP FIN, 
 xét s cng ñ suy ra dch v, ng dng
 – Phát hin quét da vào IDS hoc cơ ch bo mt 
 ca máy ch
 – Vô hiu hóa các dch v không cn thit ñ du 
 mình
Quét mng

 Dò h ñiu hành
 – Dò da vào ñc trưng giao thc
 – Phát hin bng các phn mm phát hin quét 
 cng, phòng nga, s dng firewall, IDS.
 26
Quét ñim yu h thng

 Lit kê thông tin

 Quét ñim yu dch v

 Kim tra an toàn mt khu
Quét ñim yu

 Lit kê thông tin
 – Xâm nhp h thng, to các vn tin trc tip
 – Nhm thu thp các thông tin v 
 
 Dùng chung, tài nguyên mng
 
 Tài khon ngưi dùng và nhóm ngưi dùng
 
 ng dng và banner
 – Ví d v lit kê thông tin trong Windows
 – Ví d v lit kê thông tin trong Unix/Linux
 27
Quét ñim yu

 Quét ñim yu dch v
 – Quét tài khon yu: Tìm ra acc vi t ñin khi tài 
 khon yu
 – Quét dch v yu: Da trên xác ñnh nhà cung 
 cp và phiên bn
 – Bin pháp ñi phó: Cu hình dch v hp lý, nâng 
 cp, vá li kp thi.
Quét ñim yu

 B khóa mt khu
 – Nhanh chóng tìm ra mt khu yu
 – Cung cp các thông tin c th v ñ an 
 toàn ca mt khu 
 – D thc hin
 – Giá thành thp
 28
Kim soát log file
 
 Ghi li xác ñnh các thao tác trong h thng
 
 Dùng ñ xác ñnh các s sai lch trong chính sách 
 bo mt
 
 Có th bng tay hoc t ñng
 
 Nên ñưc thc hin thưng xuyên trên các thit b 
 chính
 
 Cung cp các thông tin có ý nghĩa cao 
 
 Áp dng cho tt c các ngun cho phép ghi li hot 
 ñng trên nó 
 Kim tra tính toàn vn file
 
 Các thông tin v thao tác file ñưc lưu tr trong cơ 
 s d liu tham chiu
 
 Mt phn mm ñi chiu file và d liu trong cơ s 
 d liu ñ phát hin truy nhp trái phép
 
 Phương pháp tin cy ñ phát hin truy nhp trái 
 phép 
 
 T ñng hóa cao 
 
 Giá thành h 
 
 Không phát hin khong thi gian 
 
 Luôn phi cp nht cơ s d liu tham chiu 
 29
 Quét Virus

 Mc ñích: bo v h thng khi b lây nhim và phá 
 hoi ca virus

 Hai loi phn mm chính: 
 – Cài ñt trên server
 
 Trên mail server hoc trm chính (proxy)
 
 Bo v trên ca ngõ vào
 
 Cp nht virus database thun li
 – Cài ñt trên máy trm
 
 ðc ñim: thưng quét toàn b h thng (file,  ñĩa, website 
 ngưi dùng truy nhp)
 
 ðòi hi phi ñưc quan tâm nhiu ca ngưi dùng

 C hai loi ñu có th ñưc t ñng hóa và có hiu 
 qu cao, giá thành hp lí
War Dialing

 Ngăn chn nhng modem không xác thc 
 quay s ti h thng

 Chương trình quay s có th quay t ñng ñ 
 dò tìm cng vào h thng

 Policy: hn ch s ñin thoi truy nhp cho 
 tng thành viên

 Phương pháp này ñòi hi nhiu thi gian
 30
Quét LAN không dây 

 Liên kt bng tín hiu không dùng dây dn > thun 
 tin cho kt ni ñng thi to ra nhiu l hng mi

 Hacker có th tn công vào mng vi máy tính xách 
 tay có chun không dây

 Chun thưng dùng 802.11b có nhiu hn ch v bo 
 mt

 Chính sách bo ñm an toàn:
 – Da trên các nn phn cng và các chun c th
 – Vic cu hình mng phi cht ch và bí mt
 – G b các cng vào không cn thit
 Kim th các thâm nhp 
 
 Dùng các kĩ thut do 
 ñi phương s dng.
 
 Xác ñnh c th các l 
 hng và mc ñ nh 
 hưng ca chúng
 
 Chu trình:
 31
 Kim th thâm nhp (Cont)
 
 Các loi l hng có th ñưc phát hin:
 – Thiu sót ca nhân h thng. 
 – Tràn b ñm.
 – Các liên kt ñưng dn. 
 – Tn công b miêu t file. 
 – Quyn truy nhp file và thư mc 
 – Trojan 
 So sánh các phương pháp
Kiu quét ðim mnh ðim yu
 • không ch ra ñưc các ñim yu 
 • nhanh so vi quét ñim yu
 c th
 • hiu qu cho quét toàn mng 
 • thưng ñưc dùng m ñu cho 
 • nhiu chương trình phn mm 
Quét mng kim th thâm nhp 
 min phí 
 • ñòi hi phi có ý kin chuyên môn 
 • tính t ñng hóa cao
 ñ ñánh giá kt qa 
 • giá thành h
 • tuy nhiên t l tht bi cao 
 • có th nhanh, tùy thuc vào s 
 • chim tìa nguyên ln ti ñim quét 
 ñim ñưc quét
 • không có tính n cao (d b phát 
 • mt s phn mm min phí
 hin bi ngưi s dng, tưng la, 
 • t ñng cao 
 IDS)
 • ch ra ñưc ñim yu c th
Quét ñim yu • có th tr nên nguy him trong tay 
 • thưng ñưa ra ñưc các gi ý 
 nhng ngưi kém hiu bit
 gii quyt ñim yu 
 • thưng không phát hin ñưc các 
 • giá thành cao cho các phn mm 
 ñim yu mi nht 
 tt cho ti free 
 • ch ch ra ñưc các ñim yu trên 
 • d vn hành
 b mt ca h thng 
 32
 So sánh (Cont)
 • ðòi hi nhiu ngưi có kh năng chuyên 
 • S dng các kĩ thut thc t mà các k tn môn cao 
 công s dng • Tn rt nhiu công sc 
 •Ch ra ñưc các ñim yu • Chm, các ñim kim th có th phi ngng 
Kim th • Tìm hiu sâu hơn v ñim yu, chúng có làm vic trong thi gian dài
 th ñưc s dng như th nào ñ tn công • Không phi tt c các host ñu ñưc th 
thâm nhp vào h thng nghim (do tn thi gian)
 • Cho thy rng các ñim yu không ch là •Nguy him nu ñưc thc hin bi nhng 
 trên lí thuyt ngưi không có chuyên môn
 • Cung cp bng chng cho vn ñ bo mt • Các công c và kĩ thut có th là trái lut
 • Giá thành ñt ñ
 33