An ninh mạng GVGD: Ks.Trương Minh Tuấn 0937.024.166 References • Network security: A beginer’s guide • Crytography and network security Chương 1: Tổng quan Bảo mật thông tin? • Thông tin bảo mật thỏa yêu cầu sau: – Đảm bảo tính tin cậy(Confidentiality): Thông tin bị truy nhập trái phép người thẩm quyền – Đảm bảo tính nguyên vẹn(Integrity): Thông tin bị sửa đổi, bị làm giả người thẩm quyền – Đảm bảo tính sẵn sàng(Availability): Thông tin sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền – Đảm bảo tính từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp An toàn hệ thống • Hệ thống an toàn: hệ thống có khả chống lại tai hoạ, lỗi tác động không mong đợi, thay đổi tác động đến độ an toàn hệ thống nhỏ • Hệ thống có đặc điểm sau không an toàn: – Các thông tin liệu hệ thống bị người không quyền truy nhập tìm cách lấy sử dụng (thông tin bị rò rỉ) – Các thông tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) Các kiểu công? • Tấn công trực tiếp – Một phương pháp công cổ điển dò tìm tên người sử dụng mật Đây phương pháp đơn giản, dễ thực không đòi hỏi điều kiện đặc biệt để bắt đầu • Nghe trộm – Việc nghe trộm thông tin mạng đưa lại thông tin có ích tên, mật người sử dụng, thông tin mật chuyển qua mạng Việc nghe trộm thường tiến hành sau kẻ công chiếm quyền truy nhập hệ thống Các kiểu công? • Giả mạo địa – Thực thông qua việc sử dụng khả dẫn đường trực tiếp (source-routing) • Kẻ công gửi gói tin IP tới mạng bên với địa IP giả mạo (thông thường địa mạng máy coi an toàn mạng bên trong), đồng thời rõ đường dẫn mà gói tin IP phải gửi • Vô hiệu chức hệ thống – Đây kiểu công nhằm tê liệt hệ thống, không cho thực chức mà thiết kế Kiểu công ngăn chặn được, phương tiện tổ chức công phương tiện để làm việc truy nhập thông tin mạng Các kiểu công? • Lỗi người quản trị hệ thống – Đây kiểu công kẻ đột nhập, nhiên lỗi người quản trị hệ thống thường tạo lỗ hổng cho phép kẻ công sử dụng để truy nhập vào mạng nội • Tấn công vào yếu tố người – Kẻ công liên lạc với người quản trị hệ thống, giả làm người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập hệ thống, chí thay đổi số cấu hình hệ thống để thực phương pháp công khác Ai kẻ công? • Người qua đường – Những kẻ buồn chán với công việc hàng ngày, muốn giải trí cách đột nhập vào hệ thống mạng – Chúng thích thú đột nhập vào máy tính người khác mà không phép – Bọn không chủ định phá hoại, hành vi xâm nhập việc chúng xoá dấu vết rút lui vô tình làm cho hệ thống bị trục trặc • Kẻ phá hoại – Chúng chủ định phá hoại hệ thống, vui thú phá hoại người khác – Gây tác hại lớn, may giới không nhiều kẻ Ai kẻ công? • Kẻ ghi điểm – Những kẻ muốn khẳng định qua kiểu công mới, số lượng hệ thống chúng thâm nhập – Chúng thích đột nhập nơi tiếng, canh phòng cẩn mật • Gián điệp – Truy nhập để ăn cắp tài liệu để phục vụ mục đích khác nhau, để mua bán, trao đổi Các phương pháp mã hóa • Ưu điểm mật mã hóa khóa bất đối xứng là: – Bob Alice không cần phải gửi khóa bí mật – Điều làm giảm nguy kẻ thứ (chẳng hạn nhân viên bưu biến chất) làm giả khóa trình vận chuyển đọc thông tin trao đổi người tương lai – Thêm vào đó, trường hợp Bob sơ suất làm lộ khóa thông tin Alice gửi cho người khác giữ bí mật (vì sử dụng cặp khóa khác) Chọn số ngẫu nhiên lớn để sinh cặp kkhóa Dùng khoá bí mật để ký thông báo;dùng khoá công khai để xác minh chữ ký Dùng khoá công khai để mã hóa, dùng khoá bí mật để giải mã Tổ hợp khoá bí mật với khoá bí mật người khác tạo khoá dùng chung hai người biết Chương 7: Mạng riêng ảo (Virtual Personal Network-VPN) Giới thiệu • Mạng riêng ảo – VPN (Virtual Private Network) ? – Là mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm – Không dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa • Giải pháp VPN: – Thiết kế cho tổ chức có xu hướng tăng cường thông tin từ xa địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) – Tài nguyên trung tâm kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí thời gian Giới thiệu Một mạng VPN điển hình bao gồm: Mạng LAN trụ sở (Văn phòng chính), Các mạng LAN khác văn phòng từ xa Các điểm kết nối (như 'Văn phòng' gia) người sử dụng (Nhân viên di động) truy cập đến từ bên Các loại VPN phổ biến • Gồm hai loại : – VPN truy cập từ xa (Remote-Access VPN) – VPN điểm-nối-điểm (site-to-site VPN) • Hầu hết VPN dựa vào kỹ thuật Tunneling để tạo mạng riêng Internet – Là trình đặt toàn gói tin vào lớp header (tiêu đề) chứa thông tin định tuyến truyền qua hệ thống mạng trung gian theo "đường ống" riêng (tunnel) – Kỹ thuật Tunneling yêu cầu giao thức khác nhau: • Giao thức truyền tải (Carrier Protocol): giao thức sử dụng mạng có thông tin qua • Giao thức mã hóa liệu (Encapsulating Protocol): giao thức (như GRE, IPSec, L2F, PPTP, L2TP) bọc quanh gói liệu gốc • Giao thức gói tin (Passenger Protocol): giao thức liệu gốc truyền (như IPX, NetBeui, IP) VPN điểm-nối-điểm (site-to-site VPN) • Sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng công cộng Internet • Giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền giao thức truyền tải (Carier Protocol) • Phân loại dựa Intranet Extranet – Loại dựa Intranet: Nếu công ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN intranet (VPN nội bộ) để nối LAN với LAN – Loại dựa Extranet: Khi công ty có mối quan hệ mật thiết với công ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trường chung VPN điểm-nối-điểm (site-to-site VPN) Trong mô hình này, gói tin chuyển từ máy tính văn phòng qua máy chủ truy cập, tới router (tại giao thức mã hóa định tuyến GREGeneric Routing Encapsulation diễn ra), qua Tunnel để tới máy tính văn phòng từ xa VPN truy cập từ xa (Remote-Access VPN) • Còn gọi mạng Dial-up riêng ảo (VPDN) • Dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol) • Là kết nối người dùng-đến-LAN, xuất phát từ nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng công ty từ nhiều địa điểm xa – Ví dụ: • Công ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP) • ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ • Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an toàn, có mật mã Bảo mật VPN • Tường lửa (firewall): rào chắn vững mạng riêng Internet – Có thể thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua – Nên cài tường lửa thật tốt trước thiết lập VPN – VD: Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp Bảo mật VPN • Giao thức bảo mật giao thức Internet (IPSec): cung cấp tính an ninh cao cấp thuật toán mã hóa tốt hơn, trình thẩm định quyền đăng nhập toàn diện – IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin Transport mã hóa kích thước – Những hệ thống có hỗ trợ IPSec tận dụng giao thức – Tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống – IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ Bảo mật VPN • Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã • Mật mã chung (Public-Key Encryption) kết hợp mã riêng mã công cộng Mã riêng có máy bạn nhận biết, mã chung máy bạn cấp cho máy muốn liên hệ (một cách an toàn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Máy chủ AAA • AAA viết tắt ba chữ: – Authentication (thẩm định quyền truy cập) – Authorization (cho phép) – Accounting (kiểm soát) • Các server dùng để đảm bảo truy cập an toàn – Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra – Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an toàn Sản phẩm công nghệ dành cho VPN • Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn cần phải cài đặt phận hợp thành để thiết lập mạng riêng ảo Đó là: – Phần mềm cho desktop máy khách dành cho người sử dụng từ xa – Phần cứng cao cấp xử lý trung tâm VPN firewall bảo mật PIX – Server VPN cao cấp dành cho dịch vụ Dial-up – NAS (máy chủ truy cập mạng) nhà cung cấp sử dụng để phục vụ người sử dụng từ xa – Mạng VPN trung tâm quản lý Chương 8: Tường lửa (Firewall) [...]... gửi thư rác, gây khó chịu cho người sử dụng, gây mất an ninh thông tin, đánh cắp thông tin cá nhân, thông tin tài khoản, số thẻ tín dụng… • Một số loại virus còn lợi dụng máy tính của nạn nhân để tạo mạng botnet (mạng máy tính ma), dùng để tấn công hệ thống máy chủ, website khác… Virus máy tính lây lan như thế nào? • • • • • Lây qua mạng nội bộ (mạng LAN), Lây qua các file tải về từ Internet Lây qua email... thời điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn nhân như số thẻ tín dụng, mật khẩu để gửi về cho chủ nhân của nó ở trên mạng hoặc có thể ra tay xoá dữ liệu nếu được lập trình trước Con ngựa Thành Tơ-roa - Trojan Horse • Bên cạnh các Trojan ăn cắp thông tin truyền thống, một số Trojan mang tính chất riêng biệt như sau: – Backdoor: Loại Trojan sau khi được cài đặt vào... …v…v Con ngựa Thành Tơ-roa - Trojan Horse • Điển tích: cuộc chiến giữa người Hy Lạp và người thành Tơ-roa • Phương pháp trên cũng chính là cách mà các Trojan máy tính áp dụng – Khác với virus, Trojan là một đoạn mã chương trình HOÀN TOÀN KHÔNG CÓ TÍNH CHẤT LÂY LAN • Đầu tiên, kẻ viết ra Trojan bằng cách nào đó lừa đối phương sử dụng chương trình của mình hoặc ghép Trojan đi kèm với các virus (đặc biệt... sẽ vô dụng nếu có một con đường khác nữa • Quy tắc xây dựng hệ thống mạng an toàn • Tính toàn cục – Phải quan tâm tới tất cả các máy trong mạng, vì mỗi máy đều có thể là bàn đạp tấn công từ bên trong Bản thân một máy có thể không lưu trữ những thông tin hay dịch vụ quan trọng, nhưng để nó bị đột nhập thì những máy tính khác trong mạng cũng dễ dàng bị tấn công từ trong ra • Tính đa dạng – Nếu tất cả... chịu cho người sử dụng khi chúng cố tình thay đổi trang web mặc định (home page), các trang tìm kiếm mặc định (search page) … hay liên tục tự động hiện ra (popup) các trang web quảng cáo khi bạn đang duyệt web Sâu Internet – Worm • Là loại chương trình có khả năng tự sao chép và tự gửi bản sao chép đó từ máy này sang máy khác thông qua đường truyền mạng Tại máy nạn nhân, Worm sẽ thực thi các chức năng... một địa chỉ nào đó – Mang theo các BackDoor thả lên máy nạn nhân, cho phép chủ nhân của chúng truy nhập vào máy của nạn nhân và làm đủ mọi thứ như ngồi trên máy đó một cách bất hợp pháp • Ngày nay, khái niệm Worm đã được mở rộng, bao gồm: – Các virus lây lan qua mạng chia sẻ ngang hàng – Các virus lây lan qua USB hay dịch vụ “chat” – Các virus khai thác các lỗ hổng phần mềm để lây lan Các biện pháp phòng... người tạo ra nó • Worm kết hợp cả sức phá hoại của virus, đặc tính âm thầm của Trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus trang bị cho nó để trở thành một kẻ phá hoại với vũ khí tối tân – VD: Mellisa hay Love Letter Với sự lây lan đáng sợ theo cấp số nhân, trong vài tiếng đồng hồ, đã có thể lây lan tới hàng chục triệu máy tính trên toàn cầu  làm tê liệt hàng loạt hệ thống máy chủ,... sẵn sàng các giải pháp và phương tiện để khắc phục nhanh và tốt nhất hậu quả nếu chẳng may rủi ro vẫn xảy ra Warning !!!!!!!! • Tội phạm mạng có thể chịu tù tới 12 năm • Người sử dụng trái phép thông tin trên mạng cũng có thể bị phạt tiền, cải tạo không giam giữ hoặc phạt tù tới 3 năm, theo dự thảo sửa đổi, bổ sung bộ Luật hình sự (Theo http://antoanthongtin.org thứ hai ,ngày 29 tháng 6 năm 2009) Chương... lỗ hổng phần mềm, kể cả hệ điều hành để xâm nhập, lây nhiễm lên máy tính thông qua mạng Dấu hiệu nhận biết máy tính bị nhiễm virus? • Truy xuất tập tin, mở các chương trình ứng dụng chậm • Khi duyệt web có các trang web lạ tự động xuất hiện • Duyệt web chậm, nội dung các trang web hiển thị trên trình duyệt chậm • Các trang quảng cáo tự động hiện ra (pop up), màn hình Desktop bị thay đổi • Góc phải màn... phức tạp thì càng nhiều lỗi có thể xảy ra ==> Firewall thường chạy trên các hệ thống đã loại bỏ hết những gì không cần thiết • Quy tắc xây dựng hệ thống mạng an toàn • Bảo vệ theo chiều sâu – Nên áp dụng nhiều chế độ an toàn khác nhau – Nhiều lớp an toàn khác nhau, chia thành các vòng bảo vệ bao lấy nhau, muốn tấn công vào bên trong thì phải lần lượt qua các lớp bảo về bên ngoài > bảo vệ lẫn nhau ... hệ thống mạng an toàn • Tính toàn cục – Phải quan tâm tới tất máy mạng, máy bàn đạp công từ bên Bản thân máy không lưu trữ thông tin hay dịch vụ quan trọng, để bị đột nhập máy tính khác mạng dễ... nhân mạng tay xoá liệu lập trình trước Con ngựa Thành Tơ-roa - Trojan Horse • Bên cạnh Trojan ăn cắp thông tin truyền thống, số Trojan mang tính chất riêng biệt sau: – Backdoor: Loại Trojan sau... mở rộng, bao gồm: – Các virus lây lan qua mạng chia sẻ ngang hàng – Các virus lây lan qua USB hay dịch vụ “chat” – Các virus khai thác lỗ hổng phần mềm để lây lan Các biện pháp phòng chống virus?