Người soạn: ThS Nguyễn Công Nhật i MỤC LỤC DANH MỤC CÁC HÌNH VẼ v DANH MỤC CÁC BẢNG v MỞ ĐẦU vi CHƯƠNG I. TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1 1.1. Mở đầu về an toàn thông tin 1 1.2. Nguy cơ và hiểm họa đối với hệ thống thông tin 3 1.3. Phân loại tấn công phá hoại an toàn thông tin 5 1.3.1. Tấn công vào máy chủ hoặc máy trạm độc lập 5 1.3.2. Tấn công bằng cách phá mật khẩu 6 1.3.3. Virus, sâu mạng và trojan horse 7 1.3.4. Tấn công bộ đệm (buffer attack) 8 1.3.5. Tấn công từ chối dịch vụ 9 1.3.6. Tấn công định tuyến nguồn (source routing attack) 10 1.3.7. Tấn công giả mạo 11 1.3.8. Tấn công sử dụng e-mail 11 1.3.9. Tấn công quét cổng 12 1.3.10. Tấn công không dây 15 1.4. Vai trò của hệ điều hành trong việc đảm bảo an toàn thông tin 15 1.4. Tính cần thiết của an toàn thông tin 18 1.4.1. Bảo vệ thông tin và tài nguyên 19 1.4.2. Bảo đảm tính riêng tư 20 1.4.3. Kích thích luồng công việc 21 1.4.4. Phát hiện các lỗ hổng an toàn và gỡ rối phần mềm 21 1.4.5. Tổn thất vì lỗi hay sự bất cẩn của con người 23 1.5. Chi phí để đảm bảo an toàn 25 CHƯƠNG II: CÁC PHẦN MỀM PHÁ HOẠI 27 2.1. Phân loại các phần mềm phá hoại 27 2.1.1. Virus 27 2.1.2. Sâu mạng 30 2.1.3. Con ngựa tơ roa (Trojan horse) 32 2.1.4. Phần mềm gián điệp (Spyware) 34 2.2. Các phương pháp tấn công thường được sử dụng bởi phần mềm phá hoại 35 2.2.1. Các phương pháp thực hiện (Excutable methods) 36 2.2.2. Các phương pháp tấn công Boot và Partition sector 37 2.2.3. Các phương pháp tấn công dùng Macro 38 2.2.4. Các phương pháp tấn công dùng E-mail 39 2.2.5. Khai thác lỗi phần mềm (Software exploitation) 40 2.2.6. Các phương pháp tấn công giữa vào hạ tầng mạng 41 2.3. Bảo vệ thông tin khỏi các phần mềm phá hoại 44 2.3.1. Cài đặt các bản cập nhật 45 2.3.2. Giám sát qúa trình khởi động hệ thống 49 2.3.3. Sử dụng các bộ quét phần mềm độc hại 50 2.3.4. Sử dụng chữ ký số cho các tệp điều khiển và tệp hệ thống 52 2.3.5. Sao lưu hệ thống và tạo các đĩa sửa chữa 53 ii 2.3.6. Tạo và cài đặt các chính sách của tổ chức 57 2.3.7. Thiết lập tường lửa 58 CÂU HỎI VÀ BÀI TẬP THỰC HÀNH 77 CHƯƠNG III: AN TOÀN BẰNG CÁCH DÙNG MẬT MÃ 78 3.1. Mã cổ điển 78 3.1.1. Mã đối xứng 78 3.1.1.1. Các khái niệm cơ bản 78 3.1.1.2. Các yêu cầu 81 3.1.1.3. Mật mã 81 3.3.1.4. Thám mã 82 3.1.1.5. Tìm duyệt tổng thể (Brute-Force) 83 3.1.1.6. Độ an toàn 83 3.2. Các mã thế cổ điển thay thế 83 3.2.1. Mã Ceasar 84 3.2.2. Các mã bảng chữ đơn 85 3.2.3. Mã Playfair 88 3.2.4. Mã Vigenere 90 3.2.5. Mã Rail Fence 92 3.2.6. Mã dịch chuyển dòng 92 3.3. Mã khối hiện đại 93 3.3.1. Phân biệt mã khối với mã dòng 93 3.3.2. Claude Shannon và mã phép thế hoán vị 94 3.3.3. Cấu trúc mã Fiestel 95 3.4. Chuẩn mã dữ liệu (DES) 97 3.4.1. Lịch sử DES: 97 3.4.2. Sơ đồ mã DES 98 3.4.3. Tính chất của DES 101 3.4.4. Các kiểu thao tác của DES 105 3.5. Chuẩn mã nâng cao (AES) 111 3.5.1. Nguồn gốc 111 3.5.2. Tiêu chuẩn triển khai của AES 112 3.5.3. Chuẩn mã nâng cao AES – Rijndael 113 3.6. Các mã đối xứng đương thời 122 3.6.1. Triple DES 122 3.6.2. Blowfish 124 3.6.3. RC4 125 3.6.5. RC5 127 3.6.6 Các đặc trưng của mã khối và mã dòng 128 CHƯƠNG V: AN TOÀN MẠNG KHÔNG DÂY 176 5.1. Giới thiệu về an toàn mạng không dây 176 5.1.1. Các tấn công đối với mạng không dây 176 5.1.2. Các công nghệ sóng vô tuyến 182 5.2. Giới thiệu về IEEE 802.11 183 5.2.1. Các thành phần của mạng không dây 183 5.2.2. Các phương pháp truy nhập mạng không dây 186 iii 5.2.3. Kiểm soát lỗi dữ liệu 187 5.2.3. Tốc độ truyền 188 5.2.4. Sử dụng xác thực để huỷ bỏ kết nối 190 5.3. Mạng Boluetooth 190 5.4. Phân tích các tấn công mạng không dây 191 5.4.1. Các tấn công thăm dò 191 5.4.2. Các tấn công DoS 192 5.4.3 Các tấn công xác thực 193 5.4.4. Các tấn công trên giao thức EAP 195 5.4.5. Các điểm truy nhập giả mạo 195 5.5. Các biện pháp an toàn mạng không dây 196 5.5.1. Xác thực hệ thống mở 196 5.5.2. Xác thực khoá chung 197 5.5.3. An toàn tương đương mạng có dây (WEP) 197 5.5.4. Dịch vụ thiết lập định danh 200 5.5.5. An toàn 802.1x, 802.1i 201 5.6. Cấu hình an toàn kết nối không dây trong các mạng WINDOWS, LINUX. .202 5.6.1. Cấu hình an toàn kết nối không dây trong hệ điều hành Windows 202 5.6.2. Cấu hình an toàn kết nối không dây trong hệ điều hành Linux 204 CÂU HỎI VÀ BÀI TẬP THỰC HÀNH 205 TÀI LIỆU THAM KHẢO 206 iv DANH MỤC CÁC HÌNH VẼ Hình 2-1:Nội dung của tệp win.ini trong hệ điều hành WinXP 34 Hình 2-2: Đặt tính năng an toàn macro trong Microsoft Office 2003 40 Hình 5-1: Các loại Antena trong WLAN 184 Hình 5-2: Antena hướng trong mạng WLAN 185 Hình 5.3: Khuôn dạng gói dữ liệu WEP 199 Hình 5.4: Quá trình đóng gói dữ liệu WEP 200 Hình 5-5: Cởi gói dữ liệu WEP 200 DANH MỤC CÁC BẢNG Bảng 2-1: Những xuất phát điểm của các phần mềm phá hoại 34 Bảng 2-2: Một số phần mềm quét virus 52 v MỞ ĐẦU Giáo trình an toàn thông tin được xây dựng nhằm cung cấp cho người đọc những kiến thức cơ bản về an toàn thông tin, khai thác sử dụng các dịch vụ an toàn trong hệ thống thông tin, sử dụng các ứng dụng cài đặt trên các hệ điều hành nhằm đảm bảo tính an toàn của hệ thống. Nội dung của giáo trình bao gồm: Chương 1: Khái niệm về an toàn hệ điều hành Chương này sẽ trình bày các vấn đề: Hệ điều hành và an toàn hệ điều hành, tính cần thiết của an toàn hệ điều hành, các tấn công đối với hệ điều hành, chi phí để thiết lập an toàn cho các hệ điều hành và các mức của an toàn hệ điều hành. Chương 2: Các phần mềm phá hoại Nội dung của chương này bao gồm: Phân loại các phần mềm phá hoại, các kiểu tấn công của các phần mềm phá hoại và phương pháp bảo vệ hệ điều hành khỏi các tấn công của các phần mềm phá hoại. Chương 3: An toàn bằng cách dùng mật mã Chương này trình bày các vấn đề: các phương pháp mã hoá, các phương pháp xác thực. Chương 4: An toàn IP và web Chương này chúng ta sẽ xét đến cơ chế an toàn IPSec và một số giao thức bảo mật lớp vận chuyển ứng dụng trên Web. Chương 5: An toàn mạng không dây Chương này trình bày các vấn đề tổng quan về an toàn mạng không dây, các công nghệ sóng radio, mạng sóng bluetooth, chuẩn IEEE 802.11 cũng như việc phân tích các tấn công đối với mạng không dây. Một số biện pháp an toàn mạng không dây và cách thức cấu hình an toàn kết nối không dây trên các hệ điều hành . vi Giáo trình được biên tập lần đầu và dựa trên các tài liệu tham khảo đã chỉ ra cũng như một số nguồn tài liệu khác, chắc chắn còn rất nhiều khiếm khuyết về nội dung cũng như phương pháp thể hiện, tôi rất mong nhận được những ý kiến đóng góp của các đồng nghiệp và các bạn đọc để có thể hoàn chỉnh tiếp trong quá trình thực hiện. Vinh, 09/2008 Tác giả. vii CHƯƠNG I. TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1.1. Mở đầu về an toàn thông tin Ngày nay với sự phát triển bùng nổ của công nghệ thông tin, hầu hết các thông tin của doanh nghiệp như chiến lược kinh doanh, các thông tin về khách hàng, nhà cung cấp, tài chính, mức lương nhân viên,…đều được lưu trữ trên hệ thống máy tính. Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ với khách hàng. Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin của doanh nghiệp. Vì vậy an toàn thông tin là nhiệm vụ rất nặng nề và khó đoán trước được, nhưng tựu trung lại gồm ba hướng chính sau: - Bảo đảm an toàn thông tin tại máy chủ - Bảo đảm an toàn cho phía máy trạm - An toàn thông tin trên đường truyền Đứng trước yêu cầu an toàn thông tin, ngoài việc xây dựng các phương thức an toàn thông tin thì người ta đã đưa ra các nguyên tắc về bảo vệ dữ liệu như sau: - Nguyên tắc hợp pháp trong lúc thu thập và xử lý dữ liệu. - Nguyên tắc đúng đắn. - Nguyên tắc phù hợp với mục đích. 1 - Nguyên tắc cân xứng. - Nguyên tắc minh bạch. - Nguyên tắc được cùng quyết định cho từng cá nhân và bảo đảm quyền truy cập cho người có liên quan. - Nguyên tắc không phân biệt đối xử. - Nguyên tắc an toàn. - Nguyên tắc có trách niệm trước pháp luật. - Nguyên tắc giám sát độc lập và hình phạt theo pháp luật. - Nguyên tắc mức bảo vệ tương ứng trong vận chuyển dữ liệu xuyên biên giới. Ở đây chúng ta sẽ tập trung xem xét các nhu cầu an ninh và đề ra các biện pháp an toàn cũng như vận hành các cơ chế để đạt được các mục tiêu đó. Nhu cầu an toàn thông tin:  An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây. Trước kia hầu như chỉ có nhu cầu an toàn thông tin, nay đòi hỏi thêm nhiều yêu cầu mới như an ninh máy chủ và trên mạng.  Các phương pháp truyền thống được cung cấp bởi các cơ chế hành chính và phương tiện vật lý như nơi lưu trữ bảo vệ các tài liệu quan trọng và cung cấp giấy phép được quyền sử dụng các tài liệu mật đó.  Máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các thông tin lưu trữ. Nhu cầu an toàn rất lớn và rất đa dạng, có mặt khắp mọi nơi, mọi lúc. Do đó không thể không đề ra các qui trình tự động hỗ trợ bảo đảm an toàn thông tin.  Việc sử dụng mạng và truyền thông đòi hỏi phải có các phương tiện bảo vệ dữ liệu khi truyền. Trong đó có cả các phương tiện phần mềm và 2 phần cứng, đòi hỏi có những nghiên cứu mới đáp ứng các bài toán thực tiễn đặt ra. Các khái niệm:  An toàn thông tin: Bảo mật + toàn vẹn + khả dụng + chứng thực  An toàn máy tính: tập hợp các công cụ được thiết kế để bảo vệ dữ liệu và chống hacker.  An toàn mạng: các phương tiện bảo vệ dữ liệu khi truyền chúng.  An toàn Internet: các phương tiện bảo vệ dữ liệu khi truyền chúng trên tập các mạng liên kết với nhau.Mục đích của môn học là tập trung vào an toàn Internet gồm các phương tiện để bảo vệ, chống, phát hiện, và hiệu chỉnh các phá hoại an toàn khi truyền và lưu trữ thông tin. 1.2. Nguy cơ và hiểm họa đối với hệ thống thông tin Các hiểm họa đối với hệ thống có thể được phân loại thành hiểm họa vô tình hay cố ý, chủ động hay thụ động. 3 [...]... đến việc công ty đó sẽ phá sản Chi phí để triển khai các chức năng an toàn bao gồm: - Đào tạo các chuyên gia an toàn - Đạo tạo người dùng - Chi phí thêm cho các hệ thống có các tính năng an toàn - Mua các công cụ an toàn thứ ba - Chi phí thời gian mà các chuyên gia mà người dùng sử dụng để cài đặt và cấu hình các chức năng an toàn - Thử nghiệm các chức năng an toàn hệ thống - Vá lỗ hổng an toàn trong... hệ 24 thống để tìm ra các lỗ hổng an toàn cần phải sửa chữa, để bảo đảm rằng các hệ thống và dữ liệu đó đã được bảo vệ 1.5 Chi phí để đảm bảo an toàn Có hai vấn đề về chi phí liên quan đến quá trình bảo đảm an toàn: - Một là: Chi phí để triển khai các chức năng an toàn - Hai là: Chi phí khi không triển khai các chức năng an toàn Việc không triển khai các chức năng an toàn có vẻ tiết kiệm được tiền (ví... internet cung cấp một kênh an toàn để thực hiện giao dịch và bảo đảm tất cả những thông tin cung cấp không bị lộ; phòng nhân sự của một công 18 ty luôn phải bảo đảm bí mật những thông tin nhạy cảm của nhân viên trong công ty Đây chỉ là những ví dụ lý giải tại sao an toàn hệ điều hành và an toàn mạng là cần thiết Mục đích của an toàn có thể được chia thành các nhóm sau: 1.4.1 Bảo vệ thông tin và tài nguyên... cơ sở dữ liệu kiểm kê Phòng thanh toán sẽ xử lý thông tin thẻ tín dụng để bảo đảm đúng thủ tục thanh toán Sự an toàn là rất quan trọng trong từng công đoạn của luồng công việc Nếu một công đoạn bị lộ do một vấn đề an toàn nào đó, khi đó một tổ chức có thể mất tiền, mất dữ liệu hoặc mất cả hai Ví dụ trong đơn hàng, nếu người đại diện khách hàng nhập đơn hàng, nhưng một tấn công vào một dịch vụ nào đó... tấn công phá hoại an toàn thông tin Các hệ thống trên mạng có thể là đối tượng của nhiều kiểu tấn công Có rất nhiều kiểu tấn công vào các máy tính, một số kiểu tấn công nhằm vào các hệ điều hành, một số lại nhằm vào các mạng máy tính, còn một số lại nhằm vào cả hai Dưới đây là một số kiểu tấn công điển hình: - Tấn công vào máy chủ hoặc máy trạm độc lập (Standalone workstation or server) - Tấn công. .. cắp tài sản có giá trị - Trong kiến trúc hệ thống thông tin: tổ chức hệ thống kỹ thuật không có cấu trúc hoặc không đủ mạnh để bảo vệ thông tin - Ngay trong chính sách an toàn an toàn thông tin: không chấp hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống - Thông tin trong hệ thống máy tính cũng sẽ dễ bị xâm nhập nếu không có công cụ quản lý, kiểm tra và điều khiển hệ thống... hàng - Số thẻ tín dụng - Thông tin về gia đình - Thông tin về sức khoẻ - Thông tin việc làm - Thông tin về sinh viên - Thông tin về các khoản mục đầu tư - Thông tin về sổ hưu trí Tính riêng tư là yêu cầu rất quan trọng mà các ngân hàng, các công ty tín dụng, các công ty đầu tư và các hãng khác cần phải đảm bảo để gửi đi các tài liệu thông tin chi tiết về cách họ sử dụng và chia sẻ thông tin về 20 khách... nguyên Các hệ thống máy tính lưu giữ rất nhiều thông tin và tài nguyên cần được bảo vệ Trong một công ty, những thông tin và tài nguyên này có thể là dữ liệu kế toán, thông tin nguồn nhân lực, thông tin quản lý, bán hàng, nghiên cứu, sáng chế, phân phối, thông tin về nhà máy và thông tin về các hệ thống nghiên cứu Đối với rất nhiều công ty, toàn bộ dữ liệu quan trọng của họ thường được lưu trong một cơ... liệu của công ty có nguy cơ mất an toàn với những người đã chuyển đi, những người biến chất hoặc những người săn tìm thông tin bí mật để bán hay để cho Có rất nhiều lý do dẫn đến việc không sử dụng đầy đủ các tính năng an toàn, các lý do này bao gồm: - Thiếu đào tạo, hiểu biết về những tính năng này - Chọn sự tiện lợi và dễ sử dụng hơn là an toàn - Thiếu thời gian - Do chính sách của các cơ quan, tổ... tất cả người dùng sử dụng các trình duyệt internet Triển khai các chính sách an toàn bằng văn bản là một cách khác để bảo đảm người dùng trong một tổ chức biết được các chính sách này và tầm quan trọng của chúng Các thành phần của chính sách an toàn bằng văn bản có thể được cấu hình trong hệ điều hành và các chính sách an toàn phần mềm mạng Ngoài ra, các chính sách an toàn bằng văn bản còn có thể được . đảm an toàn thông tin tại máy chủ - Bảo đảm an toàn cho phía máy trạm - An toàn thông tin trên đường truyền Đứng trước yêu cầu an toàn thông tin, ngoài việc xây dựng các phương thức an toàn thông. Người soạn: ThS Nguyễn Công Nhật i MỤC LỤC DANH MỤC CÁC HÌNH VẼ v DANH MỤC CÁC BẢNG v MỞ ĐẦU vi CHƯƠNG I. TỔNG QUAN VỀ AN TOÀN THÔNG TIN 1 1.1. Mở đầu về an toàn thông tin 1 1.2. Nguy cơ. 52 v MỞ ĐẦU Giáo trình an toàn thông tin được xây dựng nhằm cung cấp cho người đọc những kiến thức cơ bản về an toàn thông tin, khai thác sử dụng các dịch vụ an toàn trong hệ thống thông tin,