Khái niệm an toàn thông tin, an ninh thông tin - Cơ sở an toàn thông tin - Học Viện Kỹ Thuật Mật Mã
Phân tích luật của tường lửa đòi hỏi sự hiểu biết sâu sắc về cách thức hoạt động của tường lửa, cũng như kiến thức về mạng và bảo mật. Chỉ khi các luật được cấu hình đúng đắn, chúng mới có thể bảo vệ mạng một cách hiệu quả mà không gây cản trở cho hoạt động của người dùng và hệ thống. Luôn kiểm tra và cập nhật các luật tường lửa để đáp ứng với các mối đe dọa và nhu cầu mạng thay đổi liên tục. Tài liệu giúp bạn tham khảo và đạt kết quả tốt. Mời bạn đọc đón xem!
Preview text:
lOMoARcPSD|16072870 lOMoARcPSD|16072870
Khái niệm an toàn thông tin, an ninh thông tin.
An toàn thông tin và an ninh thông tin là hai khái niệm liên quan đến việc bảo vệ dữ liệu và hệ thống khỏi
các mối đe dọa, nhưng có những điểm khác biệt:
1. An toàn thông tin (Information Safety/Security): Tập trung vào việc bảo vệ tính toàn vẹn,
bí mật, và khả dụng của thông tin. Điều này bao gồm các biện pháp để ngăn chặn truy cập trái
phép, đảm bảo rằng dữ liệu không bị sửa đổi trái phép, và hệ thống luôn sẵn sàng hoạt động. Đây
là khía cạnh kỹ thuật và phi kỹ thuật của việc bảo vệ thông tin.
2. An ninh thông tin (Information Security): Là một phần của an toàn thông tin nhưng cụ thể
hơn về việc phòng ngừa, phát hiện, phản hồi và khắc phục các mối đe dọa an ninh đối với thông tin
và các hệ thống thông tin. Nó thường tập trung vào việc bảo vệ chốnglại các cuộc tấn công có chủ
đích, như tấn công mạng, trộm cắp dữ liệu, và phá hoại hệ thống.
Nói một cách dễ hiểu, an toàn thông tin là việc bảo vệ dữ liệu khỏi những rủi ro bất ngờ, trong khi an ninh
thông tin là việc chống lại các mối đe dọa có chủ đích. Cả hai đều quan trọng trongviệc bảo vệ thông tin
trong một tổ chức hoặc hệ thống.
Nghiên cứu một số hiểm họa trong an toàn thông tin phổ biến.
Nếu muốn hiểu rõ vấn đề này, đừng chỉ đọc qua loa mà phải nắm vững những hiểm họa chính yếu trong lĩnh
vực an toàn thông tin. Đây là vài mối đe dọa phổ biến:
1. Phishing: Đây là trò lừa đảo kinh điển nhưng vẫn hiệu quả. Tấn công này dụ dỗ người dùng cung
cấp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng bằng cách giả mạo email hoặc trang web
đáng tin cậy. Đừng tưởng mình khôn ngoan mà không mắc phải, nhiều người đã gục ngã
trước những email nhìn rất thuyết phục.
2. Malware (Phần mềm độc hại): Đơn giản, malware là bất kỳ phần mềm nào được tạo rađể gây hại.
Nó có thể là virus, worm, Trojan horse, ransomware, spyware.. Chỉ cần một lần cài đặt nhầm,
hệ thống của bạn có thể bị kiểm soát, dữ liệu bị mã hóa, hoặc thông tin bị đánh cắp.
3. Ransomware: Loại malware này mã hóa dữ liệu của bạn và yêu cầu một khoản tiền chuộc để
giải mã. Tưởng tượng mất hết dữ liệu quan trọng mà không thể làm gì ngoài việc trả tiền cho
hacker - đấy chính là cơn ác mộng mà ransomware mang lại.
4. Social Engineering (Tấn công tâm lý): Thay vì tấn công kỹ thuật, hacker đánh vào yếutố con
người. Họ lợi dụng sự tin tưởng, thói quen, hay sự bất cẩn của người dùng để xâm nhập hệ thống.
Đây là cách mà nhiều vụ hack lớn đã xảy ra – không phải do lỗ hổng kỹ thuật, mà do yếu tố con người. lOMoARcPSD|16072870
5. Zero-Day Exploits: Đây là những lỗ hổng trong phần mềm mà nhà phát triển chưa phát hiện
hoặc chưa kịp vá. Hacker lợi dụng điều này để tấn công trước khi có bản vá. Điều này có nghĩa là
không có cách nào phòng tránh nếu bạn không may mắn trở thành mục tiêu.
6. Man-in-the-Middle (MITM) Attacks: Đây là dạng tấn công mà hacker chặn đứng và cóthể
chỉnh sửa giao tiếp giữa hai hệ thống mà cả hai bên đều không hề biết. Tất cả thông tin trao đổi, từ dữ
liệu cá nhân đến tài khoản ngân hàng, đều có thể bị đánh cắp.
7. DDoS (Distributed Denial of Service): Tấn công này làm ngập lụt hệ thống hoặc trang web
của bạn với lưu lượng truy cập quá lớn, khiến nó không thể hoạt động bình thường. Đây không chỉ
là vấn đề về hệ thống bị sập mà còn là việc mất uy tín và thiệt hại tài chính.
Mỗi hiểm họa trên đều có sức hủy diệt riêng, và nếu không cảnh giác, bạn có thể trở thành nạn nhân bất cứ
lúc nào. Hãy đảm bảo rằng bạn và tổ chức của mình luôn cập nhật và triển khai các biện pháp bảo vệ cần
thiết để tránh bị tổn thất.
Một số tấn công trong mạng máy tính phổ biến
Nếu bạn muốn tránh bị "ăn hành" trong thế giới mạng, phải hiểu rõ các kiểu tấn côngphổ biến
trong mạng máy tính. Dưới đây là một số tấn công thường gặp:
1. Phishing: Kiểu tấn công lừa đảo này nhằm đánh cắp thông tin cá nhân, như mậtkhẩu và
thông tin thẻ tín dụng, bằng cách giả mạo các email hoặc trang web hợppháp. Đừng
tưởng mình không bị lừa, vì ngay cả những người rành công nghệ cũng đôi khi sập bẫy.
2. Man-in-the-Middle (MITM): Trong kiểu tấn công này, kẻ tấn công chặn đường truyền
thông giữa hai bên mà không bị phát hiện. Hắn có thể nghe lén, sửa đổi, hoặc đánh cắp
thông tin mà không ai biết. Đây là ác mộng cho các kết nối khôngan toàn, đặc biệt khi giao dịch tài chính.
3. DDoS (Distributed Denial of Service): Mục tiêu của tấn công này là làm tê liệt một
máy chủ, trang web hoặc dịch vụ bằng cách làm ngập hệ thống với lưu lượng truy cập giả
mạo. Điều này không chỉ làm cho dịch vụ không khả dụng màcòn gây tổn thất tài chính và uy tín nặng nề.
4. SQL Injection: Đây là kỹ thuật hacker lợi dụng lỗ hổng trong ứng dụng web đểchèn mã
SQL độc hại vào truy vấn cơ sở dữ liệu. Kết quả là họ có thể truy cập,sửa đổi hoặc thậm
chí xóa dữ liệu trong cơ sở dữ liệu của bạn. Chưa nói đến việc chiếm quyền điều khiển hoàn toàn hệ thống. lOMoARcPSD|16072870
5. Cross-Site Scripting (XSS): Đây là kiểu tấn công lợi dụng lỗ hổng trong ứng dụng web
để chèn mã độc vào trang web mà người dùng khác truy cập. Điều này có thể dẫn đến
việc đánh cắp thông tin người dùng hoặc thực hiện các hànhđộng nguy hiểm trên tài khoản của họ.
6. Ransomware: Đây là kiểu tấn công mà kẻ xấu mã hóa dữ liệu của bạn và yêu cầu tiền
chuộc để giải mã. Một khi dữ liệu bị khóa, bạn chỉ còn hai lựa chọn: trảtiền hoặc mất dữ liệu.
7. ARP Spoofing: Kẻ tấn công sử dụng kỹ thuật này để giả mạo địa chỉ MAC củamột thiết bị hợp
pháp trên mạng, từ đó chặn hoặc điều khiển toàn bộ lưu lượng mạng giữa các thiết bị. Điều
này cho phép hắn thu thập thông tin nhạy cảm hoặcthực hiện các hành động xấu khác.
8. Brute Force At ack: Đây là kỹ thuật thử tất cả các kết hợp có thể để đoán mật khẩu hoặc
khóa mã hóa. Nếu mật khẩu của bạn yếu, bạn chỉ là miếng mồi béo bở cho loại tấn công này.
9. DNS Spoofing: Kẻ tấn công thay đổi các bản ghi DNS để chuyển hướng người dùng đến
các trang web giả mạo. Điều này có thể dẫn đến việc lộ thông tin đăngnhập hoặc thậm chí
là nhiễm phần mềm độc hại.
Mỗi kiểu tấn công này đều có những cách đối phó riêng, nhưng điểm chung là nếu bạnlơ là, hệ
thống của bạn sẽ trở thành miếng mồi ngon cho những kẻ tấn công. Đừng để điều đó xảy ra, hãy
củng cố các biện pháp an ninh mạng của bạn ngay từ bây giờ.
Trình bày một số giải pháp công nghệ thường đc sử dụng để đảm bào an toàn thông tin hiện nay.
Nếu bạn không muốn trở thành nạn nhân của những cuộc tấn công mạng, việc nắm vững và
triển khai các giải pháp công nghệ là bắt buộc. Dưới đây là một số giải phápcông nghệ phổ biến
để đảm bảo an toàn thông tin hiện nay:
1. Tường lửa (Firewal ): Đây là lớp bảo vệ đầu tiên ngăn chặn truy cập trái phépvào hệ
thống mạng. Tường lửa giám sát và kiểm soát luồng dữ liệu ra vào, chỉ cho phép các kết
nối an toàn và hợp lệ. Đừng lơ là việc cấu hình và duy trì tường lửa nếu bạn không muốn mở cửa cho hacker.
2. Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS): IDS giám sát lưu
lượng mạng để phát hiện các hoạt động đáng ngờ hoặc có dấu hiệu tấn công,trong khi IPS
tự động ngăn chặn chúng trước khi gây hại. Đây là lớp phòng thủcần thiết cho các mạng
phức tạp, nơi mà chỉ tường lửa thôi là chưa đủ.
3. Mã hóa dữ liệu (Data Encryption): Mã hóa là cách bảo vệ thông tin bằng cách biến
đổi nó thành dạng không thể đọc được nếu không có khóa giải mã. Mã hóa không chỉ cần
thiết cho dữ liệu lưu trữ mà còn cho dữ liệu truyền tải qua mạng, lOMoARcPSD|16072870
đảm bảo rằng ngay cả khi dữ liệu bị đánh cắp, nó cũng vô dụng nếu không cókhóa giải mã.
4. Quản lý quyền truy cập (Access Control): Đừng để bất cứ ai cũng có thể truycập
vào dữ liệu nhạy cảm của bạn. Hệ thống quản lý quyền truy cập giúp kiểm soát ai có thể
truy cập, sử dụng, và sửa đổi dữ liệu dựa trên vai trò và quyền hạn. Hãy nhớ rằng yếu tố
con người là điểm yếu lớn nhất, nên việc quản lý chặtchẽ quyền truy cập là cần thiết.
5. Xác thực đa yếu tố (Multi-Factor Authentication - MFA): Đừng chỉ dựa vào mật
khẩu, bởi chúng quá dễ bị đoán hoặc đánh cắp. MFA yêu cầu người dùng cung cấp nhiều
yếu tố xác thực (như mật khẩu, mã OTP, hoặc dấu vân tay) để đăng nhập, tăng cường đáng kể độ bảo mật.
6. Phần mềm chống virus và chống malware: Không có lý do gì để không cài đặtvà
cập nhật thường xuyên các phần mềm chống virus và chống malware. Chúnggiúp phát
hiện và tiêu diệt các mối đe dọa trước khi chúng có thể gây ra thiệt hại.Đừng tin tưởng
hoàn toàn vào chúng, nhưng đây là lớp phòng thủ cơ bản mà bạn không nên bỏ qua.
7. Sao lưu và khôi phục dữ liệu (Backup and Recovery): Đừng bao giờ phụ thuộc
vào một nguồn dữ liệu duy nhất. Sao lưu thường xuyên và có kế hoạch khôi phục dữ liệu
rõ ràng sẽ giúp bạn tránh được những thiệt hại không thể sửachữa khi hệ thống bị tấn
công, đặc biệt là từ ransomware.
8. Vá lỗi bảo mật (Security Patching): Cập nhật thường xuyên phần mềm, hệ điều hành,
và các ứng dụng để đảm bảo rằng các lỗ hổng bảo mật đã được vá.Đừng để hệ thống của
bạn trở thành mồi ngon cho những cuộc tấn công khai thác lỗ hổng zero-day.
9. Giám sát và kiểm tra an ninh (Security Monitoring and Auditing): Đừng đợi
đến khi bị tấn công mới bắt đầu lo lắng. Hệ thống giám sát an ninh liên tục và kiểm tra định
kỳ giúp phát hiện kịp thời các mối đe dọa và điểm yếu. Điều này cho phép bạn phản ứng
nhanh chóng trước khi thiệt hại xảy ra.
10.Đào tạo và nhận thức về an ninh thông tin: Đầu tư vào con người cũng quan
trọng không kém công nghệ. Đào tạo nhân viên về các rủi ro an ninh và cách phòng
tránh sẽ giúp giảm thiểu các mối đe dọa từ yếu tố con người, chẳng hạn như tránh các
cuộc tấn công phishing và social engineering.
Các giải pháp này không chỉ là lý thuyết mà là yêu cầu thực tế. Nếu không nghiêm túctriển
khai và duy trì, thì chuyện bị tấn công chỉ là vấn đề thời gian. An toàn thông tin không phải là
điều bạn có thể xem nhẹ. lOMoARcPSD|16072870
Đề 1: Nội dung về tường lửa: vai trò, chức năng, phân loại.
Tường lửa là một trong những công cụ cơ bản nhưng cực kỳ quan trọng trong việc bảovệ mạng máy
tính khỏi các mối đe dọa. Dưới đây là những nội dung cần hiểu rõ về tường lửa: vai trò, chức năng, và phân loại.
1. Vai trò của Tường lửa
Tường lửa đóng vai trò như một "người gác cổng" giữa mạng nội bộ (Internal Network)và mạng
bên ngoài (External Network), thường là Internet. Nó kiểm soát lưu lượng dữ liệu ra vào hệ thống
mạng, đảm bảo rằng chỉ những kết nối hợp lệ mới được phép truy cập hoặc rời khỏi hệ thống.
● Bảo vệ hệ thống khỏi tấn công: Tường lửa ngăn chặn các cuộc tấn công từ bên ngoài
như truy cập trái phép, tấn công từ chối dịch vụ (DDoS), và nhiều hìnhthức tấn công mạng khác.
● Kiểm soát truy cập: Tường lửa cho phép quản trị viên thiết lập các quy tắc đểkiểm soát
ai có thể truy cập vào tài nguyên mạng và những gì họ có thể làm. Điều này đặc biệt
quan trọng trong môi trường doanh nghiệp.
● Giảm thiểu rủi ro bảo mật: Bằng cách lọc và giám sát lưu lượng mạng, tường lửa giúp
giảm thiểu các rủi ro từ các mối đe dọa bên ngoài cũng như ngăn chặn các lỗ hổng bảo mật bị khai thác.
2. Chức năng của Tường lửa
● Lọc gói tin (Packet Filtering): Tường lửa kiểm tra các gói dữ liệu dựa trên cácthông
tin tiêu đề như địa chỉ IP nguồn và đích, số cổng, và giao thức. Dựa trên các quy tắc được
thiết lập trước, tường lửa quyết định cho phép hoặc chặn góidữ liệu đó.
● Kiểm soát truy cập (Access Control): Tường lửa quy định ai có thể truy cập vào
mạng và tài nguyên nào. Các quy tắc truy cập có thể được định nghĩa dựatrên người
dùng, nhóm, địa chỉ IP, hoặc các tiêu chí khác.
● Giám sát và ghi log (Logging and Monitoring): Tường lửa ghi lại các sự kiệnvà
lưu lượng mạng để phân tích sau này. Điều này giúp nhận diện các cuộc tấn công hoặc
các hành vi đáng ngờ trong mạng.
● Ngăn chặn tấn công (Intrusion Prevention): Một số tường lửa hiện đại tích hợp tính
năng ngăn chặn xâm nhập (IPS), cho phép chúng không chỉ phát hiệnmà còn chủ
động chặn các cuộc tấn công vào hệ thống.
3. Phân loại Tường lửa lOMoARcPSD|16072870
Tường lửa có thể được phân loại dựa trên nhiều tiêu chí khác nhau, bao gồm:
● Theo mức độ kiểm tra gói tin:
○ Tường lửa lọc gói (Packet-Filtering Firewal ): Đây là loại cơ bản nhất,hoạt
động ở tầng mạng (Layer 3) và tầng vận chuyển (Layer 4) của môhình OSI. Nó
chỉ kiểm tra các thông tin tiêu đề của gói tin mà không quantâm đến nội dung bên trong.
○ Tường lửa trạng thái (Stateful Inspection Firewal ): Loại này theo dõi
trạng thái của các kết nối mạng và đưa ra quyết định dựa trên ngữ cảnh,chẳng hạn
như cho phép gói tin thuộc về một kết nối đã được thiết lập trước đó.
○ Tường lửa lớp ứng dụng (Application Firewal ): Loại này hoạt động ởtầng
ứng dụng (Layer 7), kiểm tra nội dung của gói tin và quyết định dựa trên ứng dụng
cụ thể, chẳng hạn như web, email, hoặc FTP.
● Theo hình thức triển khai:
○ Tường lửa phần cứng (Hardware Firewal ): Là thiết bị vật lý chuyên dụng,
thường được sử dụng trong các doanh nghiệp lớn để bảo vệ toànbộ hệ thống mạng.
○ Tường lửa phần mềm (Software Firewal ): Là các ứng dụng phần mềm
được cài đặt trên máy tính cá nhân hoặc máy chủ, phù hợp cho người dùng cá
nhân hoặc doanh nghiệp nhỏ.
○ Tường lửa trên nền tảng đám mây (Cloud Firewal ): Được triển khai
trên nền tảng đám mây, phù hợp với các doanh nghiệp có hạ tầng đám mây
hoặc môi trường làm việc phân tán.
● Theo mô hình sử dụng:
○ Tường lửa mạng (Network Firewal ): Bảo vệ toàn bộ mạng cục bộ khỏi các mối
đe dọa từ bên ngoài. Thường được triển khai tại các điểm ra/vào của mạng.
○ Tường lửa cá nhân (Personal Firewal ): Được cài đặt trên từng thiết bị cá
nhân để bảo vệ người dùng khỏi các mối đe dọa trên Internet. Kết luận
Tường lửa là một công cụ không thể thiếu trong việc bảo vệ an toàn thông tin. Với vai trò là lớp
bảo vệ đầu tiên, nó giúp ngăn chặn các mối đe dọa từ bên ngoài và kiểm soátlưu lượng mạng một
cách hiệu quả. Tùy thuộc vào nhu cầu và môi trường sử dụng, bạn có thể lựa chọn các loại tường
lửa khác nhau để đảm bảo an toàn cho hệ thống của mình. Đừng xem nhẹ vai trò của tường lửa, vì
một khi hệ thống bị tấn công, bạn sẽthấy tầm quan trọng của nó. lOMoARcPSD|16072870
Đề 2: Công nghệ xác nhận và ngăn chặn xâm nhập. Ưu, nhược điểm
theo phân loại cách thức nhận diện IPS.
Công nghệ xác nhận và ngăn chặn xâm nhập (Intrusion Detection and Prevention Systems -
IDPS) là một trong những lớp bảo vệ quan trọng trong an ninh mạng. Hệ thống này không chỉ
phát hiện các cuộc tấn công mà còn chủ động ngăn chặn chúng trước khi chúng có thể gây thiệt
hại cho hệ thống. Dưới đây là nội dung chi tiết về côngnghệ này, bao gồm ưu và nhược điểm của
các loại IPS (Intrusion Prevention Systems) dựa trên cách thức nhận diện.
1. Công nghệ Xác nhận và Ngăn chặn Xâm nhập (IPS)
IPS là hệ thống hoạt động ở thời gian thực để giám sát lưu lượng mạng và hệ thống, phát hiện các
hoạt động bất thường hoặc xâm nhập tiềm năng, và thực hiện hành độngđể ngăn chặn chúng ngay
lập tức. IPS thường được triển khai ngay sau tường lửa, tạo thành một lớp bảo vệ bổ sung.
2. Phân loại IPS theo Cách thức Nhận diện
IPS có thể được phân loại dựa trên cách thức nhận diện và ngăn chặn xâm nhập, baogồm:
● 1. Signature-Based IPS (Dựa trên chữ ký)
● 2. Anomaly-Based IPS (Dựa trên bất thường)
● 3. Policy-Based IPS (Dựa trên chính sách)
● 4. Behavioral-Based IPS (Dựa trên hành vi)
1. Signature-Based IPS (Dựa trên chữ ký)
Nguyên lý hoạt động: Loại IPS này hoạt động dựa trên cơ sở dữ liệu chứa các mẫu chữ ký của
các cuộc tấn công đã biết. Khi một gói tin hoặc hoạt động mạng khớp với một chữ ký trong cơ sở dữ
liệu, IPS sẽ nhận diện đó là một cuộc tấn công và thực hiệnhành động ngăn chặn. Ưu điểm:
● Hiệu quả cao với các cuộc tấn công đã biết: Signature-Based IPS rất chính
xác trong việc phát hiện các cuộc tấn công đã được định nghĩa trước trong cơsở dữ liệu. lOMoARcPSD|16072870
● Phản hồi nhanh: Hệ thống có thể nhanh chóng phát hiện và ngăn chặn cáccuộc
tấn công dựa trên các mẫu chữ ký mà không cần phân tích thêm. Nhược điểm:
● Không hiệu quả với các cuộc tấn công mới: Nếu cuộc tấn công sử dụng phương
pháp mới hoặc chưa có trong cơ sở dữ liệu chữ ký, hệ thống sẽ khôngphát hiện ra.
● Cần cập nhật thường xuyên: Để duy trì hiệu quả, cơ sở dữ liệu chữ ký cầnđược
cập nhật liên tục với các mẫu mới.
2. Anomaly-Based IPS (Dựa trên bất thường)
Nguyên lý hoạt động: Anomaly-Based IPS thiết lập một đường cơ sở của hoạt động mạng bình
thường. Bất kỳ hành vi nào vượt quá ngưỡng bình thường được xem là bất hường và có thể là dấu
hiệu của một cuộc tấn công, từ đó hệ thống sẽ tiến hành ngănchặn. Ưu điểm:
● Phát hiện được các cuộc tấn công mới: Loại này có thể phát hiện các mối đedọa
chưa từng thấy trước đây, bao gồm cả các cuộc tấn công zero-day.
● Linh hoạt: Có thể nhận diện các mối đe dọa dựa trên sự bất thường mà khôngcần dựa vào các mẫu chữ ký. Nhược điểm:
● Tỷ lệ báo động giả cao: Do hệ thống có thể coi những thay đổi hợp pháp trongmạng
là bất thường, tỷ lệ báo động giả có thể cao.
● Phức tạp trong việc thiết lập đường cơ sở: Việc xác định và duy trì một
đường cơ sở chính xác cho hoạt động mạng là khá phức tạp.
3. Policy-Based IPS (Dựa trên chính sách)
Nguyên lý hoạt động: Loại IPS này hoạt động dựa trên các quy tắc và chính sách đượcđịnh nghĩa
trước bởi quản trị viên. Bất kỳ hoạt động nào vi phạm các quy tắc này sẽ bị hệ thống ngăn chặn. Ưu điểm:
● Tùy chỉnh cao: Quản trị viên có thể tùy chỉnh chính sách dựa trên yêu cầu vàmôi
trường cụ thể của tổ chức.
● Chính xác nếu chính sách được thiết lập tốt: Khi các quy tắc được định nghĩađúng,
hệ thống có thể ngăn chặn hiệu quả các mối đe dọa. lOMoARcPSD|16072870 Nhược điểm:
● Phụ thuộc vào kỹ năng của quản trị viên: Nếu chính sách không được thiết lập
chính xác, hệ thống có thể bỏ sót các mối đe dọa hoặc tạo ra nhiều báo độnggiả.
● Khó khăn trong quản lý: Việc duy trì và cập nhật các chính sách cho phù hợpvới
môi trường mạng luôn thay đổi có thể là một thách thức.
4. Behavioral-Based IPS (Dựa trên hành vi)
Nguyên lý hoạt động: Behavioral-Based IPS theo dõi và phân tích hành vi của người
dùng và hệ thống. Khi phát hiện hành vi bất thường hoặc nghi ngờ, hệ thống sẽ kích hoạt
cảnh báo hoặc thực hiện hành động ngăn chặn. Ưu điểm:
● Phát hiện các cuộc tấn công liên quan đến người dùng nội bộ: Loại này có
thể nhận diện các hoạt động xâm nhập từ bên trong hoặc các cuộc tấn công liênquan đến hành vi người dùng.
● Hiệu quả với các cuộc tấn công phức tạp: Có thể phát hiện các cuộc tấn công
phức tạp liên quan đến nhiều bước hoặc nhiều giai đoạn. Nhược điểm:
● Yêu cầu tài nguyên xử lý lớn: Phân tích hành vi thường đòi hỏi tài nguyên hệ thống đáng kể.
● Khó khăn trong việc thiết lập và duy trì: Cần thời gian để xây dựng mô hình
hành vi, và hệ thống có thể dễ dàng bị lạm dụng nếu mô hình này không chínhxác. Kết luận
Công nghệ xác nhận và ngăn chặn xâm nhập (IPS) là một phần không thể thiếu tronghệ thống
an ninh mạng. Mỗi loại IPS có ưu và nhược điểm riêng, tùy thuộc vào cáchthức nhận diện và
nhu cầu bảo vệ của hệ thống. Việc lựa chọn và triển khai IPS phù hợp là điều cực kỳ quan trọng để
đảm bảo an toàn cho hệ thống mạng của tổ chức.
Không có giải pháp nào là hoàn hảo, nhưng kết hợp các loại IPS với nhau hoặc cùngcác biện
pháp bảo mật khác có thể tăng cường đáng kể khả năng bảo vệ hệ thống.
Phân tích luật của tường lửa. lOMoARcPSD|16072870
Phân tích luật của tường lửa (firewal rules) là một quá trình quan trọng để bảo đảm rằng tường
lửa hoạt động đúng theo ý muốn, bảo vệ mạng khỏi các mối đe dọa đồng thời cho phép lưu lượng hợp
lệ qua lại. Một luật của tường lửa là một tập hợp các quytắc được định nghĩa để kiểm soát lưu lượng
mạng dựa trên nhiều tiêu chí khác nhau.
### 1. **Khái niệm Luật của Tường lửa**
Luật của tường lửa là các quy tắc được cấu hình để xác định hành động tường lửa sẽthực hiện đối với
các gói tin đi qua nó. Mỗi luật có thể chỉ định:
- **Nguồn gốc (Source):** Địa chỉ IP hoặc dải địa chỉ IP nơi gói tin bắt đầu.
- **Đích (Destination):** Địa chỉ IP hoặc dải địa chỉ IP nơi gói tin hướng tới.
- **Giao thức (Protocol):** Giao thức truyền thông mà gói tin sử dụng, chẳng hạn nhưTCP, UDP, ICMP.
- **Cổng (Port):** Cổng nguồn và cổng đích của gói tin, tương ứng với dịch vụ cụ thể(VD: HTTP
- cổng 80, HTTPS - cổng 443).
- **Hành động (Action):** Quy định xem tường lửa sẽ cho phép (al ow), chặn (deny),hay ghi log (log) gói tin đó.
### 2. **Phân tích Cấu trúc Luật của Tường lửa**
Một luật tường lửa có thể có nhiều thành phần, và mỗi thành phần này đều ảnh hưởngđến quyết định
của tường lửa. Phân tích một luật tường lửa có nghĩa là hiểu rõ cách từng thành phần được định nghĩa
và cách chúng tương tác với nhau để tạo ra hành vi mong muốn.
#### Ví dụ về Cấu trúc Luật Tường lửa: ```
Rule 1: ALLOW TCP from 192.168.1.0/24 to 10.0.0.5 on port 80
Rule 2: DENY ALL from any to any ``` Trong ví dụ này:
- **Rule 1:** Luật này cho phép tất cả lưu lượng TCP từ bất kỳ thiết bị nào trong mạng
192.168.1.0/24 tới máy chủ 10.0.0.5 trên cổng 80 (HTTP).
- **Rule 2:** Luật này chặn tất cả các lưu lượng còn lại, không phân biệt nguồn, đích,hay giao thức.
### 3. **Quy trình Phân tích Luật của Tường lửa**
Khi phân tích các luật tường lửa, cần tuân theo các bước sau: lOMoARcPSD|16072870
1. **Xem xét thứ tự các luật:** Tường lửa thường xử lý các luật theo thứ tự từ trênxuống
dưới. Khi một luật khớp, hành động được thực hiện và các luật tiếp theo sẽkhông được kiểm tra.
Điều này có nghĩa là thứ tự của các luật là rất quan trọng.
2. **Xác định ý định của từng luật:** Mỗi luật tường lửa được thiết lập với một mục đíchcụ thể, như bảo
vệ chống lại các cuộc tấn công từ bên ngoài, cho phép truy cập vào một dịch vụ cụ thể, hoặc hạn
chế truy cập giữa các mạng.
3. **Đánh giá tác động:** Xem xét xem luật có thực hiện đúng mục đích ban đầu hay không, và
có gây ra bất kỳ tác dụng phụ nào không mong muốn không. Điều này bao gồm kiểm tra xem
liệu luật có thể vô tình chặn hoặc cho phép lưu lượng không mongmuốn.
4. **Kiểm tra tính tương thích:** Đảm bảo rằng các luật không mâu thuẫn với nhau. Mộtluật cho
phép có thể bị phủ định bởi một luật chặn sau đó, hoặc ngược lại.
5. **Hiệu chỉnh các luật:** Dựa trên phân tích, có thể cần phải điều chỉnh các luật để tốiưu hóa bảo
mật và hiệu suất. Điều này có thể bao gồm thay đổi thứ tự của các luật, chỉnh sửa các tiêu chí
nguồn/đích, hoặc thêm các luật mới.
### 4. **Ưu tiên trong Thiết lập Luật Tường lửa**
- **Luật mặc định:** Thường được đặt cuối cùng trong danh sách các luật, luật mặc định quyết định
hành vi khi không có luật nào khác khớp với gói tin. Luật mặc định thường là “DENY ALL”, nhằm đảm
bảo rằng bất kỳ lưu lượng không xác định nào cũngbị chặn.
- **Luật đặc biệt:** Các luật được thiết lập để bảo vệ hoặc cho phép truy cập vào các tàinguyên quan
trọng như máy chủ ứng dụng, cơ sở dữ liệu, hoặc dịch vụ quản trị. Nhữngluật này nên được đặt cao
hơn trong thứ tự để đảm bảo chúng được xử lý trước.
### 5. **Ví dụ về Phân tích Luật của Tường lửa**Giả
sử chúng ta có các luật sau: ```
1. DENY TCP from 10.0.0.0/24 to 10.0.0.5 on port 22
2. ALLOW TCP from 192.168.1.0/24 to 10.0.0.5 on port 22
3. ALLOW TCP from any to 10.0.0.5 on port 80 lOMoARcPSD|16072870 4. DENY ALL from any to any ``` **Phân tích:**
- **Rule 1:** Chặn truy cập SSH (TCP port 22) từ mạng 10.0.0.0/24 đến máy chủ 10.0.0.5.
- **Rule 2:** Cho phép truy cập SSH từ mạng 192.168.1.0/24 đến cùng máy chủ trêncùng cổng.
- **Rule 3:** Cho phép truy cập HTTP (TCP port 80) từ bất kỳ địa chỉ nào đến máy chủ10.0.0.5.
- **Rule 4:** Chặn tất cả lưu lượng không được đề cập trong các luật trên. **Tác động:**
- Các máy trong mạng 10.0.0.0/24 không thể SSH đến máy chủ 10.0.0.5, nhưng cácmáy
trong mạng 192.168.1.0/24 thì có thể.
- HTTP từ bất kỳ địa chỉ nào cũng được phép, nhưng tất cả các dịch vụ khác đều bịchặn, do luật cuối cùng. ### 6. **Kết luận**
Phân tích luật của tường lửa đòi hỏi sự hiểu biết sâu sắc về cách thức hoạt động của tường lửa, cũng
như kiến thức về mạng và bảo mật. Chỉ khi các luật được cấu hình đúng đắn, chúng mới có thể bảo vệ
mạng một cách hiệu quả mà không gây cản trở chohoạt động của người dùng và hệ thống. Luôn kiểm
tra và cập nhật các luật tường lửa để đáp ứng với các mối đe dọa và nhu cầu mạng thay đổi liên tục.
Document Outline
- Khái niệm an toàn thông tin, an ninh thông tin.
- Nghiên cứu một số hiểm họa trong an toàn thông tin
- Một số tấn công trong mạng máy tính phổ biến
- Trình bày một số giải pháp công nghệ thường đc sử
- Đề 1: Nội dung về tường lửa: vai trò, chức năng, p
- 1.Vai trò của Tường lửa
- 2.Chức năng của Tường lửa
- 3.Phân loại Tường lửa
- ●Theo mức độ kiểm tra gói tin:
- ●Theo hình thức triển khai:
- ●Theo mô hình sử dụng:
- Kết luận
- Đề 2: Công nghệ xác nhận và ngăn chặn xâm nhập. Ưu
- 1.Công nghệ Xác nhận và Ngăn chặn Xâm nhập (IPS)
- 2.Phân loại IPS theo Cách thức Nhận diện
- ●1. Signature-Based IPS (Dựa trên chữ ký)
- ●3. Policy-Based IPS (Dựa trên chính sách)
- 1.Signature-Based IPS (Dựa trên chữ ký)
- Ưu điểm:
- Nhược điểm:
- Ưu điểm:
- Nhược điểm:
- Ưu điểm:
- Nhược điểm:
- Ưu điểm:
- Nhược điểm:
- Kết luận
- Phân tích luật của tường lửa.