Khái niệm an toàn thông tin, an ninh thông tin - Cơ sở an toàn thông tin - Học Viện Kỹ Thuật Mật Mã

Phân tích luật của tường lửa đòi hỏi sự hiểu biết sâu sắc về cách thức hoạt động của tường lửa, cũng như kiến thức về mạng và bảo mật. Chỉ khi các luật được cấu hình đúng đắn, chúng mới có thể bảo vệ mạng một cách hiệu quả mà không gây cản trở cho hoạt động của người dùng và hệ thống. Luôn kiểm tra và cập nhật các luật tường lửa để đáp ứng với các mối đe dọa và nhu cầu mạng thay đổi liên tục. Tài liệu giúp bạn tham khảo và đạt kết quả tốt. Mời bạn đọc đón xem!

lOMoARcPSD|1 6072870
lOMoARcPSD|1 6072870
Khái niệm an toàn thông tin, an ninh thông tin.
An toàn thông tin an ninh thông tin hai khái niệm liên quan đến việc bảo vệ dữ liệu hệ
thống khi
c mối đe dọa, nhưng có nhng điểm khác biệt:
1.
An toàn thông tin (Information Safety/Security): Tập trung o việc bảo v tính toàn
vẹn,
mật, kh dụng của thông tin. Điều này bao gồm các biện pháp để ngăn chn
truy c
p trái
phép,
đả
m b
o r
ng d
liệ
u không b
s
ửa
đổ
i trái phép, h
th
ng luôn
sẵn ng hoạt động. Đây
khía cạnh kỹ thut phi k thuật của việc bảo v thông tin.
2.
An ninh thông tin (Information Security): mt phần của an tn thông tin nhưng c
th
n v việc phòng ngừa, phát hiện, phản hi khc phc các mối đe da an ninh
đối với thông tin
các h thống thông tin. Nó thường tập trung vào việc bảo v chống
lại c cuộc tấn công ch
đích, như tấn công mạng, trộm cắp dữ liệu, phá hoại hệ
thống.
Nói một cách dễ hiểu, an toàn thông tin việc bảo vệ d liệu khỏi những rủi ro bất ngờ, trong khi an ninh
thông tin việc chống lại các mối đe dọa có chủ đích. Cả hai đều quan trọng trong
việc bảo vệ thông tin
trong một tổ chức hoặc hệ thống.
Nghiên cứu một số hiểm họa trong an toàn thông tin phổ biến.
N
ế
u mu
n h
iể
u v
n
đề
này,
đ
ừn
g ch
đọ
c qua loa ph
i n
m v
ữn
g nh
ữn
g h
iể
m h
a chính y
ế
u trong
nh
v
c an toàn thông tin.
Đ
ây vài m
i
đ
e d
a ph
b
iế
n:
1.
Phishing:
Đây trò lừa đảo kinh điển nhưng vẫn hiệu qu. Tấn công y d dỗ ni dùng cung
cấp thông tin nhạy cảm như mt khu, s th tín dụng bằng cách gi mo
email hoặc trang web
đáng tin cậy. Đừng tưởng mình khôn ngoan không mắc phi,
nhiu người đã gục ngã
trước những email nhìn rất thuyết phục.
2.
Malware (Phn mềm độc hại): Đơn giản, malware bất kỳ phần mềm nào được tạo ra
để
gây h
i.
th
virus, worm, Trojan horse, ransomware, spyware... Ch
c
n m
t
lầ
n cài
đặ
t nh
m,
h
th
ng c
a b
n th
b
k
iể
m soát, d
liệ
u b
hóa, ho
c thông tin b
đ
ánh c
p.
3.
Ransomware: Loi malware này hóa dữ liệu của bạn và yêu cầu một khoản tiền
chuộc đ
giải . ng ng mt hết dữ liệu quan trọng mà không th làm gì ngoài
việc trả tiền cho
hacker - đấy chính cơn ác mộng ransomware mang lại.
4.
Social Engineering (Tấn công tâm lý): Thay vì tấn công k thut, hacker đánh vào yếu
tố con
người. H lợi dụng s tin tưởng, thói quen, hay sự bt cẩn của ngưi dùng đ
xâm nhập h thống.
Đây ch mà nhiều vụ hack lớn đã xảy ra không phải do lỗ
hổng kỹ thuật, do yếu tố
con người.
lOMoARcPSD|1 6072870
5.
Zero-Day Exploits: Đây những lỗ hổng trong phần mềm nhà phát triển chưa phát
hiện
hoc chưa kịp vá. Hacker lợi dụng điều này đ tấn công trưc khi có bn vá. Điều
này ngh
ĩ
a
không cách nào phòng tránh n
ế
u b
n không may m
n tr
thành m
c tiêu.
6.
Man-in-the-Middle (MITM) Attacks: Đây dạng tấn công mà hacker chn đứng có
th
chỉnh sa giao tiếp giữa hai hệ thng mà cả hai bên đều không h biết. Tất cả thông
tin trao
đổ
i, t
d
liệ
u nhân
đế
n tài kho
n ngân hàng,
đề
u th
b
đ
ánh c
p.
7.
DDoS (Distributed Denial of Service): Tn ng này làm ngập lụt hệ thống hoặc trang
web
của bạn vi u ng truy cập quá lớn, khiến không th hot động bình thường.
Đ
ây không ch
v
n
đề
v
h
th
ng b
s
p còn v
iệ
c m
t uy tín th
iệ
t h
i tài chính.
Mỗi hiểm họa trên đều có sức hủy diệt riêng, và nếu không cảnh giác, bạn th trở thành nn
nhân bất c
lúc nào. Hãy đảm bảo rằng bạn và tổ chức của mình luôn cập nhật triển khai
các b
iệ
n pháp b
o v
c
n
th
iế
t
để
tránh b
t
n th
t.
Một số tấn công trong mạng máy tính phổ biến
Nếu bạn muốn tránh bị "ăn nh" trong thế giới mạng, phải hiểu c kiểu tấn công
ph biến
trong mạng y tính. i đây là một s tấn công thường gặp:
1.
Phishing:
Kiểu tấn công lừa đảo y nhằm đánh cắp thông tin nn, n mậtkhu
thông tin th tín dụng, bằng cách gi mạo c email hoặc trang web hợppp. Đừng
tưởng nh không b lừa, ngay cả nhng ni rành ng ngh
cũng đôi khi sập bẫy.
2.
Man-in-the-Middle (MITM):
Trong kiểu tấn công y, k tấn công chặn đường truyền
thông giữa hai bên kng b phát hiện. Hắn thể nghe lén, sửa đổi, hoặc đánh cp
thông tin mà không ai biết. Đây ác mộng cho c kết ni không
an toàn,
đặc
biệt khi
giao
dịch
tài chính.
3.
DDoS (Distributed Denial of Service):
Mc tiêu của tấn công y m liệt
một
máy chủ, trang web hoặc dịch vụ bằng cách làm ngập hệ thống với lưu lượng truy cập giả
mạo. Điều này không chỉ làm cho dịch v không khả dụng mà
còn gây tổn thất tài chính
uy tín nặng nề.
4.
SQL Injection:
Đây là kỹ thuật hacker lợi dụng lỗ hổng trong ng dụng web để
chèn mã
SQL độc hại o truy vấn sở dữ liệu. Kết qu họ th truy cập,sửa đổi hoặc thậm
chí xóa d liệu trong sở d liệu của bạn. Chưa nói đến
việc chiếm quyền
điều
khiển
hoàn toàn hệ thống.
lOMoARcPSD|1 6072870
5.
Cross-Site Scripting (XSS):
Đây kiểu tn ng lợi dụng l hổng trong ng dụng web
để chèn mã độc vào trang web mà ni ng khác truy cập. Điều
này thể dẫn đến
việc đánh cắp thông tin người ng hoặc thực hiện các nh
động
nguy hiểm trên tài
khoản của
họ.
6.
Ransomware:
Đây kiểu tấn ng kẻ xấu hóa dữ liệu của bạn và yêu
cầu tin
chuộc để giải mã. Mt khi d liệu b khóa, bạn ch còn hai lựa chọn: trả
tiền hoặc mất dữ
liệu.
7.
ARP Spoofing:
Kẻ tấn công s dụng kỹ thuật này để giả mạo địa chỉ MAC của
một thiết bị hợp
pháp trên mạng, từ đó chặn hoặc điều khiển toàn b lưu ng
mạng giữa c thiết bị. Điều
này cho phép hắn thu thập thông tin nhạy cảm hoặc
thực hiện các hành
động
xấu khác.
8.
Brute Force Attack:
Đây kỹ thuật th tất cả c kết hợp thể để đoán mật khẩu hoặc
khóa hóa. Nếu mật khẩu của bạn yếu, bạn ch miếng mồi o
bở cho loại tấn công
này.
9.
DNS Spoofing:
Kẻ tấn công thay đổi các bản ghi DNS đ chuyển hướng người ng đến
các trang web giả mạo. Điều này th dẫn đến việc lộ thông tin đăng
nhập hoặc thậm chí
nhiễm phần mềm
độc
hại.
Mỗi kiểu tấn công này đều những cách đối phó riêng, nhưng điểm chung nếu bạn là, h
thống của bạn sẽ tr thành miếng mồi ngon cho những kẻ tấn ng. Đừng để
điều đó xảy ra, y
củng cố các biện pháp an ninh mạng của bạn ngay từ bây giờ.
Trình y một số giải pháp công nghệ thường đc s dụng để đảm bào an toàn
thông tin hiện nay.
Nếu bạn không muốn tr thành nạn nhân của những cuộc tấn công mạng, việc nắm
vững
triển khai c giải pháp công nghệ là bắt buc. Dưi đây mt s giải pháp
công ngh ph biến
để
đảm bo an toàn thông tin hiện nay:
1.
Tường lửa (Firewall):
Đây lớp bảo vệ đầu tiên ngăn chặn truy cập ti phép
vào hệ
thống mạng. Tường lửa giám sát kiểm soát luồng dữ liệu ra vào, ch
cho pp các kết
nối an toàn và hợp lệ. Đừng việc cấu hình và duy trì
tường lửa nếu bạn không
muốn mở cửa cho hacker.
2. Hệ thống phát hiện ngăn chặn xâm nhập (IDS/IPS): IDS giám sát lưu
lượng mạng để phát hiện các hoạt động đáng ngờ hoặc dấu hiệu tấn công,
trong khi IPS
tự động nn chặn chúng trước khi y hại. Đây lớp phòng thủ
cần thiết cho các mạng
phức tạp, i chỉ tường lửa thôi chưa đủ.
3.
a dữ liệu (Data Encryption):
Mã hóa là cách bo v thông tin bằng cách
biến
đổi thành dạng không thể đọc được nếu không khóa giải mã. Mã hóa không chỉ cần
thiết cho dữ liệu lưu tr còn cho dữ liệu truyền tải qua mạng,
lOMoARcPSD|1 6072870
đảm bảo rằng ngay cả khi dữ liệu bị đánh cắp, nó ng dụng nếu không có
khóa
giải
mã.
4.
Quản quyền truy cập (Access Control):
Đừng đ bất c ai ng th truy
cập
vào dữ liệu nhạy cảm của bạn. H thống quản lý quyền truy cập giúp kiểm
soát ai có th
truy cập, sử dụng, và sửa đổi d liệu dựa trên vai trò quyền
hạn. Hãy nh rằng yếu tố
con người điểm yếu lớn nhất, nên việc quản chặt
chẽ quyền truy cập cần thiết.
5.
Xác thực đa yếu tố (Multi-Factor Authentication - MFA):
Đừng
ch
dựa o
mật
khẩu, bởi chúng quá dễ b đoán hoặc đánh cắp. MFA yêu cầu người ng cung cấp nhiều
yếu tố xác thực (như mật khẩu, OTP, hoặc dấu n tay) để
đăng
nhp, tăng ng
đáng
kể độ
bảo mt.
6.
Phần mềm chống virus chống malware:
Không có lý do gì
để
không cài
đặt
cập nht thường xuyên các phn mm chống virus và chng malware. Chúnggiúp phát
hiện tiêu diệt các mi đe dọa tc khi chúng th gây ra thit hi.Đừng tin ởng
hoàn toàn vào chúng, nhưng đây lớp phòng th cơ bản mà
bạn không nên bỏ qua.
7.
Sao lưu khôi phục dữ liệu (Backup and Recovery):
Đừng bao gi ph
thuộc
o một ngun dữ liệu duy nhất. Sao lưu tờng xun có kế hoạch
khôi phục dữ liệu
ràng sẽ giúp bạn tránh được những thiệt hại không th sửa
cha khi h thng
bị
tấn
ng,
đặc
bit từ ransomware.
8.
lỗi bảo mật (Security Patching):
Cập nhật thưng xuyên phn mm, hệ
điều hành,
các ứng dng để đảm bảo rằng các lỗ hổng bảo mt đã đưc vá.
Đừng để h thống của
bạn tr thành mồi ngon cho những cuộc tấn ng khai
thác
lỗ
hổng zero-day.
9.
Giám sát và kiểm tra an ninh (Security Monitoring and Auditing):
Đừng
đợi
đến khi bị tấn công mới bắt đầu lo lắng. Hệ thống giám sát an ninh liên tục
kiểm tra định
kỳ giúp phát hiện kịp thi các mối đe dọa và điểm yếu. Điều này
cho phép bạn phn ng
nhanh chóng trưc khi thiệt
hại
xảy ra.
10.
Đào tạo nhận thức v an ninh thông tin:
Đầu o con người ng quan
trọng không kém công ngh. Đào tạo nhân viên về c ri ro an ninh và ch
phòng
tránh sẽ giúp giảm thiểu các mối đe dọa từ yếu tố con người, chẳng hạn
như tránh các
cuộc tấn công phishing social engineering.
c gii pháp này không
chỉ
thuyết mà yêu cầu thực
tế.
Nếu không nghiêm c
triển
khai duy trì, thì chuyện
bị
tấn công
chỉ
vấn
đề
thi gian. An tn thông tin
không phải
điều
bạn thể xem nhẹ.
lOMoARcPSD|1 6072870
Đề 1: Nội dung về tường lửa: vai trò, chức năng, phân loại.
Tường lửa một trong những công cụ cơ bản nhưng cực kỳ quan trọng trong việc bảovệ mạng máy
tính khỏi các mối đe dọa. Dưới đây những nội dung cần hiểu về
ng lửa: vai trò, chức năng,
phân loi.
1. Vai trò của Tường lửa
Tường lửa đóng vai trò như một "người gác cổng" giữa mạng nội bộ (Internal Network)
mng
n ngoài (External Network), thưng Internet. Nó kim soát u ng d
liệu ra o hệ thống
mạng, đảm bo rằng chỉ nhng kết nối hợp l mi được phép truy
cập hoặc rời khỏi h thống.
Bảo vệ hệ thống khỏi tấn công:
Tường lửa nn chn c cuc tấn ng từ bên ngoài
như truy cập trái phép, tấn công từ chối dịch vụ (DDoS), và nhiều nh
thức tấn công
mạng khác.
Kiểm soát truy cập:
ờng lửa cho phép quản
trị
viên thiết lập các quy tắc
để
kiểm soát
ai th truy cập vào i nguyên mạng và những h có thể làm.
Điều này
đặc
bit
quan trng trong môi tng doanh nghiệp.
Giảm thiểu rủi ro bảo mật:
Bằng cách lọc và giám sát u lượng mạng, tường
lửa giúp
giảm thiểu các rủi ro từ c mối đe dọa bên ngoài ng như ngăn chặn
các
lỗ
hổng bảo
mật
bị
khai thác.
2. Chức năng của Tường lửa
Lọc i tin (Packet Filtering):
Tưng lửa kiểm tra c gói dữ liệu da trên các
thông
tin tiêu đề như địa chỉ IP nguồn và đích, s cổng, giao thức. Dựa trên các quy tắc được
thiết lập trước, tường lửa quyết định cho phép hoặc chặn i
dữ liệu đó.
Kiểm soát truy cập (Access Control):
ng lửa quy
định
ai thể truy cập
vào
mạng i nguyên o. Các quy tắc truy cập thể được định nghĩa dựa
trên người
ng, nhóm,
địa ch
IP, hoc các tiêu chí kc.
Giám t ghi log (Logging and Monitoring):
ng la ghi lại c sự kiện
lưu lượng mạng đ phân tích sau này. Điều này giúp nhận diện các cuộc tấn
công hoặc
các hành vi đáng ngờ trong mạng.
Ngăn chặn tấn công (Intrusion Prevention):
Một số ng lửa hiện đại tích hp tính
ng ngăn chặn m nhập (IPS), cho phép chúng kng ch phát hiện
mà n ch
động chn c cuc tấn công o hệ thống.
3. Phân loại Tường lửa
lOMoARcPSD|1 6072870
Tường lửa có th được phân loại dựa trên nhiều tu c khác nhau, bao gồm:
Theo mức độ kiểm tra gói tin:
Tường lửa lọc gói (Packet-Filtering Firewall):
Đây là loi bn nhất,
hot
động tầng mạng (Layer 3) và tầng vận chuyn (Layer 4) của mô
nh OSI. Nó
ch kiểm tra các thông tin tiêu đề của gói tin mà không quan
tâm
đến nội
dung
bên trong.
Tường lửa trạng thái (Stateful Inspection Firewall): Loại này theo dõi
trạng thái của c kết nối mạng đưa ra quyết định dựa trên ng cảnh,chẳng hạn
như cho phép gói tin thuộc về một kết nối đã được thiết lập
trước đó.
Tường lửa lớp ứng dụng (Application Firewall):
Loi này hoạt đng
tầng
ứng dụng (Layer 7), kiểm tra nội dung của gói tin và quyết định dựa
trên ng dng
cụ th, chng hn n web, email, hoặc FTP.
Theo hình thức triển khai:
Tường lửa phần cứng (Hardware Firewall):
thiết
bị
vật chuyên
dụng,
thường được sử dụng trong c doanh nghiệp lớn để bảo v toàn
bộ hệ thống
mạng.
Tường lửa phần mềm (Software Firewall):
c ng dng phn mm
được cài đặt trên máy tính cá nhân hoc máy chủ, phù hợp cho ni
dùng
nhân hoặc doanh nghiệp nhỏ.
Tường lửa trên nền tảng đám y (Cloud Firewall):
Đưc trin khai
trên nền tảng đám y, p hợp với c doanh nghiệp hạ tầng đám
mây
hoặc môi trường làm việc phân tán.
Theo hình s dụng:
Tường lửa mạng (Network Firewall):
Bảo v tn bộ mng cục b khỏi
các mối
đe dọa t bên ngoài. Thường được triển khai tại c điểm ra/vào
của mạng.
Tường lửa nhân (Personal Firewall):
Được i
đặt
trên từng thiết
bị
nhân
để
bảo vệ người dùng khỏi c mối đe dọa trên Internet.
Kết luận
Tường lửa mt ng
cụ
không th thiếu trong việc bảo
vệ
an toàn thông tin. Với vai trò lớp
bảo
vệ đầu
tiên, giúp ngăn chặn c mi
đe
dọa từ n ngi và kiểm soátu ợng mạng mt
ch hiệu qu. y thuộc o nhu cầu môi tng s dụng,
bạn th lựa chọn các loại tường
lửa khác nhau để đảm bảo an toàn cho hệ thống của mình. Đừng xem nhẹ vai trò của tường lửa, vì
một khi hệ thống b tấn công, bạn sẽ
thấy tầm quan trọng của nó.
lOMoARcPSD|1 6072870
Đề 2: Công nghệ xác nhận ngăn chặn xâm nhập. Ưu, nhược điểm
theo phân loại cách thức nhận diện IPS.
ng ngh xác nhn và ngăn chn xâm nhập (Intrusion Detection and Prevention
Systems -
IDPS) là một trong những lớp bảo vệ quan trọng trong an ninh mạng. H thống này không ch
phát hiện các cuc tấn ng mà n chủ động ngăn chặn chúng
trước khi chúng thể gây thiệt
hại cho h thống. Dưới đây nội dung chi tiết v công
nghệ này, bao gồm ưu và nhược điểm của
c loại IPS (Intrusion Prevention Systems)
dựa trên cách thức nhận diện.
1. Công nghệ Xác nhận Ngăn chặn Xâm nhập (IPS)
IPS hệ thống hoạt động thời gian thực đ giám sát u lượng mạng hệ thống, phát hiện các
hoạt động bất thường hoặc xâm nhập tiềm ng, và thực hiện hành độngđể ngăn chặn chúng ngay
lập tức. IPS thường được triển khai ngay sau tường lửa, tạo
thành mt lớp bảo v b sung.
2. Phân loại IPS theo Cách thức Nhận diện
IPS thể được phân loại da tn cách thức nhận din nn chặn xâm nhập, bao
gồm:
1. Signature-Based IPS (Dựa trên chữ ký)
2. Anomaly-Based IPS (Dựa trên bất thường)
3. Policy-Based IPS (Dựa trên chính ch)
4. Behavioral-Based IPS (Dựa trên hành vi)
1. Signature-Based IPS (Dựa trên chữ ký)
Nguyên hoạt động:
Loại IPS này hoạt động dựa tn s dữ liệu chứa các mẫu
chữ ký của
các cuộc tấn ng đã biết. Khi một gói tin hoặc hoạt động mạng khớp với một chữ trong cơ s d
liệu, IPS s nhận diện đó một cuộc tấn công thực hiện
nh đng nn chn.
Ưu điểm:
Hiệu quả cao với các cuộc tấn công đã biết: Signature-Based IPS rất chính
xác trong việc phát hiện các cuộc tấn công đã được định nghĩa trước trong cơ
sở d liệu.
lOMoARcPSD|1 6072870
Phản hồi nhanh:
Hệ thng th nhanh cng pt hiện ngăn chn các
cuc
tấn ng dựa tn các mẫu ch ký mà kng cn phân tích thêm.
Nhược điểm:
Không hiệu quả với các cuộc tấn công mới:
Nếu cuc tn công sử dụng
phương
pháp mới hoặc chưa trong sở dữ liệu ch , hệ thng sẽ không
phát hiện ra.
Cần cập nhật thường xuyên:
Để duy t hiu quả, cơ sở d liệu ch cần
đưc
cập nhật liên tục với các mẫu mới.
2. Anomaly-Based IPS (Dựa trên bất thường)
Ngun hoạt động: Anomaly-Based IPS thiết lập một đưng cơ sở của hoạt động
mạng bình
thường. Bất kỳ nh vi o vượt quá ngưỡng nh thường được xem bấtthường có thể dấu
hiệu của một cuộc tấn công, từ đó hệ thống sẽ tiến nh ngăn
chặn.
Ưu điểm:
Phát hiện được c cuộc tấn công mới:
Loi y th phát hin các mối đe
dọa
chưa từng thấy trước đây, bao gồm cả các cuộc tấn ng zero-day.
Linh hoạt:
th nhn diện các mi đe dọa dựa trên s bất thường mà không
cần da
o c mẫu ch ký.
Nhược điểm:
Tỷ lệ báo động giả cao:
Do h thống có th coi những thay đổi hp pháp trongmạng
bất thường, tỷ lệ báo động gi có th cao.
Phức tạp trong việc thiết lập đường cơ sở:
Vic xác
định
duy trì mt
đường s chính xác cho hoạt động mạng khá phức tạp.
3. Policy-Based IPS (Dựa trên chính sách)
Ngun hoạt động: Loại IPS y hot
động
dựa trên c quy tắc chính sách
được
định nghĩa
trưc bởi qun tr viên. Bt k hoạt động o vi phm c quy tắc y sẽ bị
hệ thống ngăn chặn.
Ưu điểm:
Tùy chỉnh cao:
Quản
trị
viên th y
chỉnh
chính sách dựa trên yêu cầu và
môi
trường cụ thể của
tổ
chức.
Chính xác nếu chính sách được thiết lập tốt:
Khi các quy tắc được định nghĩađúng,
hệ thống th ngăn chặn hiệu qu c mối đe dọa.
lOMoARcPSD|1 6072870
Nhược điểm:
Phụ thuộc vào k ng ca quản trị viên:
Nếu chính ch không đưc thiết
lập
chính xác, hệ thống thể bỏ sót các mối đe dọa hoặc tạo ra nhiều báo động
giả.
Khó khăn trong quản lý:
Vic duy trì và cập nht các chính sách cho phù hpvi
môi trường mạng luôn thay
đổi
th một thách thc.
4. Behavioral-Based IPS (Dựa trên hành vi)
Nguyên hot đng: Behavioral-Based IPS theo i và phân tích nh vi của ngưi
ng và hệ thống. Khi phát hiện hành vi bất thưng hoặc nghi ngờ, h thống s kích
hoạt
cảnh báo hoặc thực hiện hành động ngăn chặn.
Ưu điểm:
Phát hiện các cuộc tấn công liên quan đến người dùng nội bộ: Loại này
thể nhận diện các hoạt động xâm nhập từ bên trong hoặc các cuộc tấn công liên
quan
đến
hành vi người dùng.
Hiệu quả với các cuộc tấn công phức tạp:
th phát hin các cuc tấn ng
phức tạp liên quan đến nhiều c hoc nhiều giai đoạn.
Nhược điểm:
Yêu cầu i nguyên xử lớn:
Phân ch hành vi thường đòi hỏi tài nguyên h
thống đáng kể.
Khó khăn trong việc thiết lập duy trì:
Cần thời gian
để
y dựng mô hình
nh vi, h thống có th d ng
bị
lạm dụng nếu mô hình này không chính
xác.
Kết luận
ng ngh xác nhận ngăn chặn xâm nhp (IPS) một phn không thể thiếu trongh thống
an ninh mng. Mỗi loại IPS ưu và nhược điểm riêng, tùy thuộc vào cách
thức nhận diện và
nhu cầu bảo vệ của hệ thống. Việc lựa chọn triển khai IPS phù
hợp điều cực kỳ quan trọng để
đảm bảo an toàn cho hệ thống mạng của tổ chức.
Không giải pháp o hoàn hảo, nng kết hợp c loại IPS với nhau hoặc cùng
các biện
pháp bảo mật khác thể tăng cường đáng k kh năng bảo vệ hệ thống.
Phân tích luật của tường lửa.
lOMoARcPSD|1 6072870
Phân tích luật của tường lửa (firewall rules) mt q trình quan trọng để bảo đảm
rằng tường
lửa hot đng đúng theo ý muốn, bảo vệ mạng khỏi các mi đe da đồng
thời cho phép u lượng hợp
lệ qua lại. Một luật của tường lửa một tập hợp các quytắc được định nghĩa để kiểm soát u lượng
mạng dựa trên nhiều tiêu chí khác nhau.
### 1. **Khái niệm Luật của ng lửa**
Luật ca tường la các quy tắc đưc cấu hình để xác định nh động ng lửa s
thực hiện đối với
c gói tin đi qua . Mi luật th chỉ định:
-
**Nguồn gc (Source):** Địa ch IP hoc di địa ch IP nơi i tin bt đầu.
-
**Đích (Destination):** Địa ch IP hoc dải địa chỉ IP nơi gói tin hướng tới.
-
**Giao thức (Protocol):** Giao thức truyn thông mà i tin sử dụng, chẳng hạn như
TCP,
UDP, ICMP.
-
**Cổng (Port):** Cổng nguồn cổng đích của i tin, tương ng với dịch vụ c th
(VD: HTTP
- cổng 80, HTTPS - cổng 443).
-
**Hành động (Action):** Quy định xem tường la sẽ cho pp (allow), chặn (deny),
hay ghi
log (log) gói tin đó.
### 2. **Phân ch Cấu trúc Lut của Tường lửa**
Một luật tường lửa có thể nhiều thành phần, mỗi thành phần này đều ảnh hưởngđến quyết định
của tường lửa. Phân tích một luật tường lửa nghĩa hiểu cách từng thành phần được định nghĩa
cách chúng tương tác với nhau để tạo ra nh vi
mong muốn.
#### Ví dụ về Cấu trúc Luật Tường lửa:
```
Rule 1: ALLOW TCP from 192.168.1.0/24 to 10.0.0.5 on port 80
Rule 2: DENY ALL from any to any
```
Trong d này:
-
**Rule 1:** Luật này cho phép tất cả u lượng TCP từ bất kỳ thiết bị nào trong mạng
192.168.1.0/24 tới máy chủ 10.0.0.5 trên cổng 80 (HTTP).
-
**Rule 2:** Luật y chn tất c c u lượng còn lại, không pn biệt nguồn, đích,
hay giao
thức.
### 3. **Quy trình Phân tích Luật của Tường la**
Khi phân tích các luật tường lửa, cần tn theo các c sau:
lOMoARcPSD|1 6072870
1.
**Xem xét thứ tự c luật:** Tường lửa thưng xử lý c luật theo thứ t từ trên
xuống
dưới. Khi một luật khớp, hành động được thực hiện và c luật tiếp theo sẽkhông được kiểm tra.
Điều này có nghĩa thứ tự của các luật rất quan trọng.
2.
**Xác định ý định ca từng luật:** Mỗi luật tường lửa đưc thiết lập với mt mc đích
cụ th, như bảo
vệ chng lại c cuộc tấn công t bên ngoài, cho pp truy cập vào mt dịch vụ c thể, hoặc hạn
chế truy cập giữa các mạng.
3.
**Đánh g c động:** Xem xét xem luật có thực hiện đúng mục đích ban đầu hay không,
y ra bất kỳ tác dụng ph nào không mong muốn không. Điều này bao gồm kim tra xem
liệu luật thể vô tình chặn hoặc cho phép u lượng không mong
muốn.
4.
**Kiểm tra tính tương thích:** Đảm bảo rằng các luật không mâu thun với nhau. Một
luật cho
phép thể bị phủ định bởi một luật chặn sau đó, hoặc ngược lại.
5.
**Hiệu chỉnh các luật:** Dựa trên phân tích, thể cần phải điều chỉnh các luật để tốu a bảo
mật hiệu suất. Điều này th bao gồm thay đổi th tự của các luật,
chỉnh sa các tiêu chí
ngun/đích, hoc thêm các luật mới.
### 4. **Ưu tiên trong Thiết lập Luật ng lửa**
-
**Luật mặc định:** Thường được đặt cuối cùng trong danh sách c luật, luật mặc định quyết định
hành vi khi không luật nào khác khớp với gói tin. Luật mặc định thường “DENY ALL”, nhằm đảm
bảo rằng bất kỳ lưu lượng không xác định o cũngbị
chặn.
-
**Luật đặc biệt:** Các luật được thiết lập để bảo vệ hoặc cho phép truy cập vào c tàinguyên quan
trọng như máy ch ng dụng, sở d liệu, hoặc dịch vụ quản trị. Những
luật này nên đưc đt cao
n trong th t để đảm bảo chúng được x trước.
### 5. **Ví d v Pn tích Luật của ờng la**
Giả
sử chúng ta các luật sau:
```
1. DENY TCP from 10.0.0.0/24 to 10.0.0.5 on port 22
2. ALLOW TCP from 192.168.1.0/24 to 10.0.0.5 on port 22
3. ALLOW TCP from any to 10.0.0.5 on port 80
lOMoARcPSD|1 6072870
4. DENY ALL from any to any
```
**Phân tích:**
-
**Rule 1:** Chn truy cập SSH (TCP port 22) từ mạng 10.0.0.0/24 đến máy chủ
10.0.0.5.
-
**Rule 2:** Cho phép truy cập SSH từ mng 192.168.1.0/24 đến cùng máy ch trên
cùng
cổng.
-
**Rule 3:** Cho phép truy cập HTTP (TCP port 80) t bất kỳ
địa chỉ
o
đến
y ch
10.0.0.5.
-
**Rule 4:** Chặn tất cả lưu lượng không được đề cập trong c luật trên.
**Tác động:**
-
Các máy trong mng 10.0.0.0/24 không th SSH đến máy ch 10.0.0.5, nhưng c
máy
trong mạng 192.168.1.0/24 thì thể.
-
HTTP từ bất kỳ địa ch o ng đưc phép, nhưng tất cả c dịch v khác đều b
chặn, do luật cuối
ng.
### 6. **Kết luận**
Phân tích luật của tường lửa đòi hỏi sự hiểu biết sâu sắc về cách thức hoạt động của tường lửa, cũng
như kiến thức v mạng bảo mật. Chỉ khi các luật được cấu hình đúng đắn, chúng mới thể bảo vệ
mạng mt cách hiệu qu không gây cản trở chohoạt động của người dùng hệ thống. Luôn kiểm
tra cập nhật các luật tường lửa
để đáp ng với c mối đe dọa nhu cầu mạng thay đi liên tục.
| 1/12

Preview text:

lOMoARcPSD|16072870 lOMoARcPSD|16072870
Khái niệm an toàn thông tin, an ninh thông tin.
An toàn thông tin và an ninh thông tin là hai khái niệm liên quan đến việc bảo vệ dữ liệu và hệ thống khỏi
các mối đe dọa, nhưng có những điểm khác biệt:
1. An toàn thông tin (Information Safety/Security): Tập trung vào việc bảo vệ tính toàn vẹn,
bí mật, và khả dụng của thông tin. Điều này bao gồm các biện pháp để ngăn chặn truy cập trái
phép, đảm bảo rằng dữ liệu không bị sửa đổi trái phép, và hệ thống luôn sẵn sàng hoạt động. Đây
là khía cạnh kỹ thuật và phi kỹ thuật của việc bảo vệ thông tin.
2. An ninh thông tin (Information Security): Là một phần của an toàn thông tin nhưng cụ thể
hơn về việc phòng ngừa, phát hiện, phản hồi và khắc phục các mối đe dọa an ninh đối với thông tin
và các hệ thống thông tin. Nó thường tập trung vào việc bảo vệ chốnglại các cuộc tấn công có chủ
đích, như tấn công mạng, trộm cắp dữ liệu, và phá hoại hệ thống.
Nói một cách dễ hiểu, an toàn thông tin là việc bảo vệ dữ liệu khỏi những rủi ro bất ngờ, trong khi an ninh
thông tin là việc chống lại các mối đe dọa có chủ đích. Cả hai đều quan trọng trongviệc bảo vệ thông tin
trong một tổ chức hoặc hệ thống.
Nghiên cứu một số hiểm họa trong an toàn thông tin phổ biến.
Nếu muốn hiểu rõ vấn đề này, đừng chỉ đọc qua loa mà phải nắm vững những hiểm họa chính yếu trong lĩnh
vực an toàn thông tin. Đây là vài mối đe dọa phổ biến:
1. Phishing: Đây là trò lừa đảo kinh điển nhưng vẫn hiệu quả. Tấn công này dụ dỗ người dùng cung
cấp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng bằng cách giả mạo email hoặc trang web
đáng tin cậy. Đừng tưởng mình khôn ngoan mà không mắc phải, nhiều người đã gục ngã
trước những email nhìn rất thuyết phục.
2. Malware (Phần mềm độc hại): Đơn giản, malware là bất kỳ phần mềm nào được tạo rađể gây hại.
Nó có thể là virus, worm, Trojan horse, ransomware, spyware.. Chỉ cần một lần cài đặt nhầm,
hệ thống của bạn có thể bị kiểm soát, dữ liệu bị mã hóa, hoặc thông tin bị đánh cắp.
3. Ransomware: Loại malware này mã hóa dữ liệu của bạn và yêu cầu một khoản tiền chuộc để
giải mã. Tưởng tượng mất hết dữ liệu quan trọng mà không thể làm gì ngoài việc trả tiền cho
hacker - đấy chính là cơn ác mộng mà ransomware mang lại.
4. Social Engineering (Tấn công tâm lý): Thay vì tấn công kỹ thuật, hacker đánh vào yếutố con
người. Họ lợi dụng sự tin tưởng, thói quen, hay sự bất cẩn của người dùng để xâm nhập hệ thống.
Đây là cách mà nhiều vụ hack lớn đã xảy ra – không phải do lỗ hổng kỹ thuật, mà do yếu tố con người. lOMoARcPSD|16072870
5. Zero-Day Exploits: Đây là những lỗ hổng trong phần mềm mà nhà phát triển chưa phát hiện
hoặc chưa kịp vá. Hacker lợi dụng điều này để tấn công trước khi có bản vá. Điều này có nghĩa là
không có cách nào phòng tránh nếu bạn không may mắn trở thành mục tiêu.
6. Man-in-the-Middle (MITM) Attacks: Đây là dạng tấn công mà hacker chặn đứng và cóthể
chỉnh sửa giao tiếp giữa hai hệ thống mà cả hai bên đều không hề biết. Tất cả thông tin trao đổi, từ dữ
liệu cá nhân đến tài khoản ngân hàng, đều có thể bị đánh cắp.
7. DDoS (Distributed Denial of Service): Tấn công này làm ngập lụt hệ thống hoặc trang web
của bạn với lưu lượng truy cập quá lớn, khiến nó không thể hoạt động bình thường. Đây không chỉ
là vấn đề về hệ thống bị sập mà còn là việc mất uy tín và thiệt hại tài chính.
Mỗi hiểm họa trên đều có sức hủy diệt riêng, và nếu không cảnh giác, bạn có thể trở thành nạn nhân bất cứ
lúc nào. Hãy đảm bảo rằng bạn và tổ chức của mình luôn cập nhật và triển khai các biện pháp bảo vệ cần
thiết để tránh bị tổn thất.
Một số tấn công trong mạng máy tính phổ biến
Nếu bạn muốn tránh bị "ăn hành" trong thế giới mạng, phải hiểu rõ các kiểu tấn côngphổ biến
trong mạng máy tính. Dưới đây là một số tấn công thường gặp:
1. Phishing: Kiểu tấn công lừa đảo này nhằm đánh cắp thông tin cá nhân, như mậtkhẩu và
thông tin thẻ tín dụng, bằng cách giả mạo các email hoặc trang web hợppháp. Đừng
tưởng mình không bị lừa, vì ngay cả những người rành công nghệ cũng đôi khi sập bẫy.
2. Man-in-the-Middle (MITM): Trong kiểu tấn công này, kẻ tấn công chặn đường truyền
thông giữa hai bên mà không bị phát hiện. Hắn có thể nghe lén, sửa đổi, hoặc đánh cắp
thông tin mà không ai biết. Đây là ác mộng cho các kết nối khôngan toàn, đặc biệt khi giao dịch tài chính.
3. DDoS (Distributed Denial of Service): Mục tiêu của tấn công này là làm tê liệt một
máy chủ, trang web hoặc dịch vụ bằng cách làm ngập hệ thống với lưu lượng truy cập giả
mạo. Điều này không chỉ làm cho dịch vụ không khả dụng màcòn gây tổn thất tài chính và uy tín nặng nề.
4. SQL Injection: Đây là kỹ thuật hacker lợi dụng lỗ hổng trong ứng dụng web đểchèn mã
SQL độc hại vào truy vấn cơ sở dữ liệu. Kết quả là họ có thể truy cập,sửa đổi hoặc thậm
chí xóa dữ liệu trong cơ sở dữ liệu của bạn. Chưa nói đến việc chiếm quyền điều khiển hoàn toàn hệ thống. lOMoARcPSD|16072870
5. Cross-Site Scripting (XSS): Đây là kiểu tấn công lợi dụng lỗ hổng trong ứng dụng web
để chèn mã độc vào trang web mà người dùng khác truy cập. Điều này có thể dẫn đến
việc đánh cắp thông tin người dùng hoặc thực hiện các hànhđộng nguy hiểm trên tài khoản của họ.
6. Ransomware: Đây là kiểu tấn công mà kẻ xấu mã hóa dữ liệu của bạn và yêu cầu tiền
chuộc để giải mã. Một khi dữ liệu bị khóa, bạn chỉ còn hai lựa chọn: trảtiền hoặc mất dữ liệu.
7. ARP Spoofing: Kẻ tấn công sử dụng kỹ thuật này để giả mạo địa chỉ MAC củamột thiết bị hợp
pháp trên mạng, từ đó chặn hoặc điều khiển toàn bộ lưu lượng mạng giữa các thiết bị. Điều
này cho phép hắn thu thập thông tin nhạy cảm hoặcthực hiện các hành động xấu khác.
8. Brute Force At ack: Đây là kỹ thuật thử tất cả các kết hợp có thể để đoán mật khẩu hoặc
khóa mã hóa. Nếu mật khẩu của bạn yếu, bạn chỉ là miếng mồi béo bở cho loại tấn công này.
9. DNS Spoofing: Kẻ tấn công thay đổi các bản ghi DNS để chuyển hướng người dùng đến
các trang web giả mạo. Điều này có thể dẫn đến việc lộ thông tin đăngnhập hoặc thậm chí
là nhiễm phần mềm độc hại.
Mỗi kiểu tấn công này đều có những cách đối phó riêng, nhưng điểm chung là nếu bạnlơ là, hệ
thống của bạn sẽ trở thành miếng mồi ngon cho những kẻ tấn công. Đừng để điều đó xảy ra, hãy
củng cố các biện pháp an ninh mạng của bạn ngay từ bây giờ.
Trình bày một số giải pháp công nghệ thường đc sử dụng để đảm bào an toàn thông tin hiện nay.
Nếu bạn không muốn trở thành nạn nhân của những cuộc tấn công mạng, việc nắm vững và
triển khai các giải pháp công nghệ là bắt buộc. Dưới đây là một số giải phápcông nghệ phổ biến
để đảm bảo an toàn thông tin hiện nay:
1. Tường lửa (Firewal ): Đây là lớp bảo vệ đầu tiên ngăn chặn truy cập trái phépvào hệ
thống mạng. Tường lửa giám sát và kiểm soát luồng dữ liệu ra vào, chỉ cho phép các kết
nối an toàn và hợp lệ. Đừng lơ là việc cấu hình và duy trì tường lửa nếu bạn không muốn mở cửa cho hacker.
2. Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS): IDS giám sát lưu
lượng mạng để phát hiện các hoạt động đáng ngờ hoặc có dấu hiệu tấn công,trong khi IPS
tự động ngăn chặn chúng trước khi gây hại. Đây là lớp phòng thủcần thiết cho các mạng
phức tạp, nơi mà chỉ tường lửa thôi là chưa đủ.
3. Mã hóa dữ liệu (Data Encryption): Mã hóa là cách bảo vệ thông tin bằng cách biến
đổi nó thành dạng không thể đọc được nếu không có khóa giải mã. Mã hóa không chỉ cần
thiết cho dữ liệu lưu trữ mà còn cho dữ liệu truyền tải qua mạng, lOMoARcPSD|16072870
đảm bảo rằng ngay cả khi dữ liệu bị đánh cắp, nó cũng vô dụng nếu không cókhóa giải mã.
4. Quản lý quyền truy cập (Access Control): Đừng để bất cứ ai cũng có thể truycập
vào dữ liệu nhạy cảm của bạn. Hệ thống quản lý quyền truy cập giúp kiểm soát ai có thể
truy cập, sử dụng, và sửa đổi dữ liệu dựa trên vai trò và quyền hạn. Hãy nhớ rằng yếu tố
con người là điểm yếu lớn nhất, nên việc quản lý chặtchẽ quyền truy cập là cần thiết.
5. Xác thực đa yếu tố (Multi-Factor Authentication - MFA): Đừng chỉ dựa vào mật
khẩu, bởi chúng quá dễ bị đoán hoặc đánh cắp. MFA yêu cầu người dùng cung cấp nhiều
yếu tố xác thực (như mật khẩu, mã OTP, hoặc dấu vân tay) để đăng nhập, tăng cường đáng kể độ bảo mật.
6. Phần mềm chống virus và chống malware: Không có lý do gì để không cài đặtvà
cập nhật thường xuyên các phần mềm chống virus và chống malware. Chúnggiúp phát
hiện và tiêu diệt các mối đe dọa trước khi chúng có thể gây ra thiệt hại.Đừng tin tưởng
hoàn toàn vào chúng, nhưng đây là lớp phòng thủ cơ bản mà bạn không nên bỏ qua.
7. Sao lưu và khôi phục dữ liệu (Backup and Recovery): Đừng bao giờ phụ thuộc
vào một nguồn dữ liệu duy nhất. Sao lưu thường xuyên và có kế hoạch khôi phục dữ liệu
rõ ràng sẽ giúp bạn tránh được những thiệt hại không thể sửachữa khi hệ thống bị tấn
công, đặc biệt là từ ransomware.
8. Vá lỗi bảo mật (Security Patching): Cập nhật thường xuyên phần mềm, hệ điều hành,
và các ứng dụng để đảm bảo rằng các lỗ hổng bảo mật đã được vá.Đừng để hệ thống của
bạn trở thành mồi ngon cho những cuộc tấn công khai thác lỗ hổng zero-day.
9. Giám sát và kiểm tra an ninh (Security Monitoring and Auditing): Đừng đợi
đến khi bị tấn công mới bắt đầu lo lắng. Hệ thống giám sát an ninh liên tục và kiểm tra định
kỳ giúp phát hiện kịp thời các mối đe dọa và điểm yếu. Điều này cho phép bạn phản ứng
nhanh chóng trước khi thiệt hại xảy ra.
10.Đào tạo và nhận thức về an ninh thông tin: Đầu tư vào con người cũng quan
trọng không kém công nghệ. Đào tạo nhân viên về các rủi ro an ninh và cách phòng
tránh sẽ giúp giảm thiểu các mối đe dọa từ yếu tố con người, chẳng hạn như tránh các
cuộc tấn công phishing và social engineering.
Các giải pháp này không chỉ là lý thuyết mà là yêu cầu thực tế. Nếu không nghiêm túctriển
khai và duy trì, thì chuyện bị tấn công chỉ là vấn đề thời gian. An toàn thông tin không phải là
điều bạn có thể xem nhẹ. lOMoARcPSD|16072870
Đề 1: Nội dung về tường lửa: vai trò, chức năng, phân loại.
Tường lửa là một trong những công cụ cơ bản nhưng cực kỳ quan trọng trong việc bảovệ mạng máy
tính khỏi các mối đe dọa. Dưới đây là những nội dung cần hiểu rõ về tường lửa: vai trò, chức năng, và phân loại.
1. Vai trò của Tường lửa
Tường lửa đóng vai trò như một "người gác cổng" giữa mạng nội bộ (Internal Network)và mạng
bên ngoài (External Network), thường là Internet. Nó kiểm soát lưu lượng dữ liệu ra vào hệ thống
mạng, đảm bảo rằng chỉ những kết nối hợp lệ mới được phép truy cập hoặc rời khỏi hệ thống.
Bảo vệ hệ thống khỏi tấn công: Tường lửa ngăn chặn các cuộc tấn công từ bên ngoài
như truy cập trái phép, tấn công từ chối dịch vụ (DDoS), và nhiều hìnhthức tấn công mạng khác.
Kiểm soát truy cập: Tường lửa cho phép quản trị viên thiết lập các quy tắc đểkiểm soát
ai có thể truy cập vào tài nguyên mạng và những gì họ có thể làm. Điều này đặc biệt
quan trọng trong môi trường doanh nghiệp.
Giảm thiểu rủi ro bảo mật: Bằng cách lọc và giám sát lưu lượng mạng, tường lửa giúp
giảm thiểu các rủi ro từ các mối đe dọa bên ngoài cũng như ngăn chặn các lỗ hổng bảo mật bị khai thác.
2. Chức năng của Tường lửa
Lọc gói tin (Packet Filtering): Tường lửa kiểm tra các gói dữ liệu dựa trên cácthông
tin tiêu đề như địa chỉ IP nguồn và đích, số cổng, và giao thức. Dựa trên các quy tắc được
thiết lập trước, tường lửa quyết định cho phép hoặc chặn góidữ liệu đó.
Kiểm soát truy cập (Access Control): Tường lửa quy định ai có thể truy cập vào
mạng và tài nguyên nào. Các quy tắc truy cập có thể được định nghĩa dựatrên người
dùng, nhóm, địa chỉ IP, hoặc các tiêu chí khác.
Giám sát và ghi log (Logging and Monitoring): Tường lửa ghi lại các sự kiệnvà
lưu lượng mạng để phân tích sau này. Điều này giúp nhận diện các cuộc tấn công hoặc
các hành vi đáng ngờ trong mạng.
Ngăn chặn tấn công (Intrusion Prevention): Một số tường lửa hiện đại tích hợp tính
năng ngăn chặn xâm nhập (IPS), cho phép chúng không chỉ phát hiệnmà còn chủ
động chặn các cuộc tấn công vào hệ thống.
3. Phân loại Tường lửa lOMoARcPSD|16072870
Tường lửa có thể được phân loại dựa trên nhiều tiêu chí khác nhau, bao gồm:
Theo mức độ kiểm tra gói tin:
Tường lửa lọc gói (Packet-Filtering Firewal ): Đây là loại cơ bản nhất,hoạt
động ở tầng mạng (Layer 3) và tầng vận chuyển (Layer 4) của môhình OSI. Nó
chỉ kiểm tra các thông tin tiêu đề của gói tin mà không quantâm đến nội dung bên trong.
Tường lửa trạng thái (Stateful Inspection Firewal ): Loại này theo dõi
trạng thái của các kết nối mạng và đưa ra quyết định dựa trên ngữ cảnh,chẳng hạn
như cho phép gói tin thuộc về một kết nối đã được thiết lập trước đó.
Tường lửa lớp ứng dụng (Application Firewal ): Loại này hoạt động ởtầng
ứng dụng (Layer 7), kiểm tra nội dung của gói tin và quyết định dựa trên ứng dụng
cụ thể, chẳng hạn như web, email, hoặc FTP.
Theo hình thức triển khai:
Tường lửa phần cứng (Hardware Firewal ): Là thiết bị vật lý chuyên dụng,
thường được sử dụng trong các doanh nghiệp lớn để bảo vệ toànbộ hệ thống mạng.
Tường lửa phần mềm (Software Firewal ): Là các ứng dụng phần mềm
được cài đặt trên máy tính cá nhân hoặc máy chủ, phù hợp cho người dùng cá
nhân hoặc doanh nghiệp nhỏ.
Tường lửa trên nền tảng đám mây (Cloud Firewal ): Được triển khai
trên nền tảng đám mây, phù hợp với các doanh nghiệp có hạ tầng đám mây
hoặc môi trường làm việc phân tán.
Theo mô hình sử dụng:
Tường lửa mạng (Network Firewal ): Bảo vệ toàn bộ mạng cục bộ khỏi các mối
đe dọa từ bên ngoài. Thường được triển khai tại các điểm ra/vào của mạng.
Tường lửa cá nhân (Personal Firewal ): Được cài đặt trên từng thiết bị cá
nhân để bảo vệ người dùng khỏi các mối đe dọa trên Internet. Kết luận
Tường lửa là một công cụ không thể thiếu trong việc bảo vệ an toàn thông tin. Với vai trò là lớp
bảo vệ đầu tiên, nó giúp ngăn chặn các mối đe dọa từ bên ngoài và kiểm soátlưu lượng mạng một
cách hiệu quả. Tùy thuộc vào nhu cầu và môi trường sử dụng, bạn có thể lựa chọn các loại tường
lửa khác nhau để đảm bảo an toàn cho hệ thống của mình. Đừng xem nhẹ vai trò của tường lửa, vì
một khi hệ thống bị tấn công, bạn sẽthấy tầm quan trọng của nó. lOMoARcPSD|16072870
Đề 2: Công nghệ xác nhận và ngăn chặn xâm nhập. Ưu, nhược điểm
theo phân loại cách thức nhận diện IPS.
Công nghệ xác nhận và ngăn chặn xâm nhập (Intrusion Detection and Prevention Systems -
IDPS) là một trong những lớp bảo vệ quan trọng trong an ninh mạng. Hệ thống này không chỉ
phát hiện các cuộc tấn công mà còn chủ động ngăn chặn chúng trước khi chúng có thể gây thiệt
hại cho hệ thống. Dưới đây là nội dung chi tiết về côngnghệ này, bao gồm ưu và nhược điểm của
các loại IPS (Intrusion Prevention Systems) dựa trên cách thức nhận diện.
1. Công nghệ Xác nhận và Ngăn chặn Xâm nhập (IPS)
IPS là hệ thống hoạt động ở thời gian thực để giám sát lưu lượng mạng và hệ thống, phát hiện các
hoạt động bất thường hoặc xâm nhập tiềm năng, và thực hiện hành độngđể ngăn chặn chúng ngay
lập tức. IPS thường được triển khai ngay sau tường lửa, tạo thành một lớp bảo vệ bổ sung.
2. Phân loại IPS theo Cách thức Nhận diện
IPS có thể được phân loại dựa trên cách thức nhận diện và ngăn chặn xâm nhập, baogồm:
1. Signature-Based IPS (Dựa trên chữ ký)
2. Anomaly-Based IPS (Dựa trên bất thường)
3. Policy-Based IPS (Dựa trên chính sách)
4. Behavioral-Based IPS (Dựa trên hành vi)
1. Signature-Based IPS (Dựa trên chữ ký)
Nguyên lý hoạt động: Loại IPS này hoạt động dựa trên cơ sở dữ liệu chứa các mẫu chữ ký của
các cuộc tấn công đã biết. Khi một gói tin hoặc hoạt động mạng khớp với một chữ ký trong cơ sở dữ
liệu, IPS sẽ nhận diện đó là một cuộc tấn công và thực hiệnhành động ngăn chặn. Ưu điểm:
Hiệu quả cao với các cuộc tấn công đã biết: Signature-Based IPS rất chính
xác trong việc phát hiện các cuộc tấn công đã được định nghĩa trước trong cơsở dữ liệu. lOMoARcPSD|16072870
Phản hồi nhanh: Hệ thống có thể nhanh chóng phát hiện và ngăn chặn cáccuộc
tấn công dựa trên các mẫu chữ ký mà không cần phân tích thêm. Nhược điểm:
Không hiệu quả với các cuộc tấn công mới: Nếu cuộc tấn công sử dụng phương
pháp mới hoặc chưa có trong cơ sở dữ liệu chữ ký, hệ thống sẽ khôngphát hiện ra.
Cần cập nhật thường xuyên: Để duy trì hiệu quả, cơ sở dữ liệu chữ ký cầnđược
cập nhật liên tục với các mẫu mới.
2. Anomaly-Based IPS (Dựa trên bất thường)
Nguyên lý hoạt động: Anomaly-Based IPS thiết lập một đường cơ sở của hoạt động mạng bình
thường. Bất kỳ hành vi nào vượt quá ngưỡng bình thường được xem là bất hường và có thể là dấu
hiệu của một cuộc tấn công, từ đó hệ thống sẽ tiến hành ngănchặn. Ưu điểm:
Phát hiện được các cuộc tấn công mới: Loại này có thể phát hiện các mối đedọa
chưa từng thấy trước đây, bao gồm cả các cuộc tấn công zero-day.
Linh hoạt: Có thể nhận diện các mối đe dọa dựa trên sự bất thường mà khôngcần dựa vào các mẫu chữ ký. Nhược điểm:
Tỷ lệ báo động giả cao: Do hệ thống có thể coi những thay đổi hợp pháp trongmạng
là bất thường, tỷ lệ báo động giả có thể cao.
Phức tạp trong việc thiết lập đường cơ sở: Việc xác định và duy trì một
đường cơ sở chính xác cho hoạt động mạng là khá phức tạp.
3. Policy-Based IPS (Dựa trên chính sách)
Nguyên lý hoạt động: Loại IPS này hoạt động dựa trên các quy tắc và chính sách đượcđịnh nghĩa
trước bởi quản trị viên. Bất kỳ hoạt động nào vi phạm các quy tắc này sẽ bị hệ thống ngăn chặn. Ưu điểm:
Tùy chỉnh cao: Quản trị viên có thể tùy chỉnh chính sách dựa trên yêu cầu vàmôi
trường cụ thể của tổ chức.
Chính xác nếu chính sách được thiết lập tốt: Khi các quy tắc được định nghĩađúng,
hệ thống có thể ngăn chặn hiệu quả các mối đe dọa. lOMoARcPSD|16072870 Nhược điểm:
Phụ thuộc vào kỹ năng của quản trị viên: Nếu chính sách không được thiết lập
chính xác, hệ thống có thể bỏ sót các mối đe dọa hoặc tạo ra nhiều báo độnggiả.
Khó khăn trong quản lý: Việc duy trì và cập nhật các chính sách cho phù hợpvới
môi trường mạng luôn thay đổi có thể là một thách thức.
4. Behavioral-Based IPS (Dựa trên hành vi)
Nguyên lý hoạt động: Behavioral-Based IPS theo dõi và phân tích hành vi của người
dùng và hệ thống. Khi phát hiện hành vi bất thường hoặc nghi ngờ, hệ thống sẽ kích hoạt
cảnh báo hoặc thực hiện hành động ngăn chặn. Ưu điểm:
Phát hiện các cuộc tấn công liên quan đến người dùng nội bộ: Loại này có
thể nhận diện các hoạt động xâm nhập từ bên trong hoặc các cuộc tấn công liênquan đến hành vi người dùng.
Hiệu quả với các cuộc tấn công phức tạp: Có thể phát hiện các cuộc tấn công
phức tạp liên quan đến nhiều bước hoặc nhiều giai đoạn. Nhược điểm:
Yêu cầu tài nguyên xử lý lớn: Phân tích hành vi thường đòi hỏi tài nguyên hệ thống đáng kể.
Khó khăn trong việc thiết lập và duy trì: Cần thời gian để xây dựng mô hình
hành vi, và hệ thống có thể dễ dàng bị lạm dụng nếu mô hình này không chínhxác. Kết luận
Công nghệ xác nhận và ngăn chặn xâm nhập (IPS) là một phần không thể thiếu tronghệ thống
an ninh mạng. Mỗi loại IPS có ưu và nhược điểm riêng, tùy thuộc vào cáchthức nhận diện và
nhu cầu bảo vệ của hệ thống. Việc lựa chọn và triển khai IPS phù hợp là điều cực kỳ quan trọng để
đảm bảo an toàn cho hệ thống mạng của tổ chức.
Không có giải pháp nào là hoàn hảo, nhưng kết hợp các loại IPS với nhau hoặc cùngcác biện
pháp bảo mật khác có thể tăng cường đáng kể khả năng bảo vệ hệ thống.
Phân tích luật của tường lửa. lOMoARcPSD|16072870
Phân tích luật của tường lửa (firewal rules) là một quá trình quan trọng để bảo đảm rằng tường
lửa hoạt động đúng theo ý muốn, bảo vệ mạng khỏi các mối đe dọa đồng thời cho phép lưu lượng hợp
lệ qua lại. Một luật của tường lửa là một tập hợp các quytắc được định nghĩa để kiểm soát lưu lượng
mạng dựa trên nhiều tiêu chí khác nhau.
### 1. **Khái niệm Luật của Tường lửa**
Luật của tường lửa là các quy tắc được cấu hình để xác định hành động tường lửa sẽthực hiện đối với
các gói tin đi qua nó. Mỗi luật có thể chỉ định:
- **Nguồn gốc (Source):** Địa chỉ IP hoặc dải địa chỉ IP nơi gói tin bắt đầu.
- **Đích (Destination):** Địa chỉ IP hoặc dải địa chỉ IP nơi gói tin hướng tới.
- **Giao thức (Protocol):** Giao thức truyền thông mà gói tin sử dụng, chẳng hạn nhưTCP, UDP, ICMP.
- **Cổng (Port):** Cổng nguồn và cổng đích của gói tin, tương ứng với dịch vụ cụ thể(VD: HTTP
- cổng 80, HTTPS - cổng 443).
- **Hành động (Action):** Quy định xem tường lửa sẽ cho phép (al ow), chặn (deny),hay ghi log (log) gói tin đó.
### 2. **Phân tích Cấu trúc Luật của Tường lửa**
Một luật tường lửa có thể có nhiều thành phần, và mỗi thành phần này đều ảnh hưởngđến quyết định
của tường lửa. Phân tích một luật tường lửa có nghĩa là hiểu rõ cách từng thành phần được định nghĩa
và cách chúng tương tác với nhau để tạo ra hành vi mong muốn.
#### Ví dụ về Cấu trúc Luật Tường lửa: ```
Rule 1: ALLOW TCP from 192.168.1.0/24 to 10.0.0.5 on port 80
Rule 2: DENY ALL from any to any ``` Trong ví dụ này:
- **Rule 1:** Luật này cho phép tất cả lưu lượng TCP từ bất kỳ thiết bị nào trong mạng
192.168.1.0/24 tới máy chủ 10.0.0.5 trên cổng 80 (HTTP).
- **Rule 2:** Luật này chặn tất cả các lưu lượng còn lại, không phân biệt nguồn, đích,hay giao thức.
### 3. **Quy trình Phân tích Luật của Tường lửa**
Khi phân tích các luật tường lửa, cần tuân theo các bước sau: lOMoARcPSD|16072870
1. **Xem xét thứ tự các luật:** Tường lửa thường xử lý các luật theo thứ tự từ trênxuống
dưới. Khi một luật khớp, hành động được thực hiện và các luật tiếp theo sẽkhông được kiểm tra.
Điều này có nghĩa là thứ tự của các luật là rất quan trọng.
2. **Xác định ý định của từng luật:** Mỗi luật tường lửa được thiết lập với một mục đíchcụ thể, như bảo
vệ chống lại các cuộc tấn công từ bên ngoài, cho phép truy cập vào một dịch vụ cụ thể, hoặc hạn
chế truy cập giữa các mạng.
3. **Đánh giá tác động:** Xem xét xem luật có thực hiện đúng mục đích ban đầu hay không, và
có gây ra bất kỳ tác dụng phụ nào không mong muốn không. Điều này bao gồm kiểm tra xem
liệu luật có thể vô tình chặn hoặc cho phép lưu lượng không mongmuốn.
4. **Kiểm tra tính tương thích:** Đảm bảo rằng các luật không mâu thuẫn với nhau. Mộtluật cho
phép có thể bị phủ định bởi một luật chặn sau đó, hoặc ngược lại.
5. **Hiệu chỉnh các luật:** Dựa trên phân tích, có thể cần phải điều chỉnh các luật để tốiưu hóa bảo
mật và hiệu suất. Điều này có thể bao gồm thay đổi thứ tự của các luật, chỉnh sửa các tiêu chí
nguồn/đích, hoặc thêm các luật mới.
### 4. **Ưu tiên trong Thiết lập Luật Tường lửa**
- **Luật mặc định:** Thường được đặt cuối cùng trong danh sách các luật, luật mặc định quyết định
hành vi khi không có luật nào khác khớp với gói tin. Luật mặc định thường là “DENY ALL”, nhằm đảm
bảo rằng bất kỳ lưu lượng không xác định nào cũngbị chặn.
- **Luật đặc biệt:** Các luật được thiết lập để bảo vệ hoặc cho phép truy cập vào các tàinguyên quan
trọng như máy chủ ứng dụng, cơ sở dữ liệu, hoặc dịch vụ quản trị. Nhữngluật này nên được đặt cao
hơn trong thứ tự để đảm bảo chúng được xử lý trước.
### 5. **Ví dụ về Phân tích Luật của Tường lửa**Giả
sử chúng ta có các luật sau: ```
1. DENY TCP from 10.0.0.0/24 to 10.0.0.5 on port 22
2. ALLOW TCP from 192.168.1.0/24 to 10.0.0.5 on port 22
3. ALLOW TCP from any to 10.0.0.5 on port 80 lOMoARcPSD|16072870 4. DENY ALL from any to any ``` **Phân tích:**
- **Rule 1:** Chặn truy cập SSH (TCP port 22) từ mạng 10.0.0.0/24 đến máy chủ 10.0.0.5.
- **Rule 2:** Cho phép truy cập SSH từ mạng 192.168.1.0/24 đến cùng máy chủ trêncùng cổng.
- **Rule 3:** Cho phép truy cập HTTP (TCP port 80) từ bất kỳ địa chỉ nào đến máy chủ10.0.0.5.
- **Rule 4:** Chặn tất cả lưu lượng không được đề cập trong các luật trên. **Tác động:**
- Các máy trong mạng 10.0.0.0/24 không thể SSH đến máy chủ 10.0.0.5, nhưng cácmáy
trong mạng 192.168.1.0/24 thì có thể.
- HTTP từ bất kỳ địa chỉ nào cũng được phép, nhưng tất cả các dịch vụ khác đều bịchặn, do luật cuối cùng. ### 6. **Kết luận**
Phân tích luật của tường lửa đòi hỏi sự hiểu biết sâu sắc về cách thức hoạt động của tường lửa, cũng
như kiến thức về mạng và bảo mật. Chỉ khi các luật được cấu hình đúng đắn, chúng mới có thể bảo vệ
mạng một cách hiệu quả mà không gây cản trở chohoạt động của người dùng và hệ thống. Luôn kiểm
tra và cập nhật các luật tường lửa để đáp ứng với các mối đe dọa và nhu cầu mạng thay đổi liên tục.
Document Outline

  • Khái niệm an toàn thông tin, an ninh thông tin.
  • Nghiên cứu một số hiểm họa trong an toàn thông tin
  • Một số tấn công trong mạng máy tính phổ biến
    • Trình bày một số giải pháp công nghệ thường đc sử
  • Đề 1: Nội dung về tường lửa: vai trò, chức năng, p
    • 1.Vai trò của Tường lửa
    • 2.Chức năng của Tường lửa
    • 3.Phân loại Tường lửa
      • ●Theo mức độ kiểm tra gói tin:
      • ●Theo hình thức triển khai:
      • ●Theo mô hình sử dụng:
    • Kết luận
  • Đề 2: Công nghệ xác nhận và ngăn chặn xâm nhập. Ưu
    • 1.Công nghệ Xác nhận và Ngăn chặn Xâm nhập (IPS)
    • 2.Phân loại IPS theo Cách thức Nhận diện
      • ●1. Signature-Based IPS (Dựa trên chữ ký)
      • ●3. Policy-Based IPS (Dựa trên chính sách)
      • 1.Signature-Based IPS (Dựa trên chữ ký)
      • Ưu điểm:
      • Nhược điểm:
      • Ưu điểm:
      • Nhược điểm:
      • Ưu điểm:
      • Nhược điểm:
      • Ưu điểm:
      • Nhược điểm:
    • Kết luận
  • Phân tích luật của tường lửa.