Lý thuyết về về kiến trúc an ninh ITU trong an toàn thông tin - Cơ sở an toàn thông tin - Học Viện Kỹ Thuật Mật Mã
Tổng quan về ba yếu tố chính trong ATTT (CIA). Bảo mật (bí mât) (Confidentiality) Bảo mật dữ liệu: Đảm bảo rằng thông tin bí mật không bị tiết lộ cho những cá nhân không được phép. Quyền riêng tư: Đảm bảo rằng cá nhân kiểm soát hoặc ảnh hưởng đến thông tin nào có thể được thu thập và lưu trữ. Tài liệu giúp bạn tham khảo và đạt kết quả tốt. Mời bạn đọc đón xem!
Preview text:
Lý thuyết Bài 1
1. Tổng quan về ba yếu tố chính trong ATTT (CIA)
Bảo mật (bí mât) (Confidentiality)
Bảo mật dữ liệu: Đảm bảo rằng thông tin bí mật không bị tiết lộ cho những cá nhân không được phép
• Quyền riêng tư: Đảm bảo rằng cá nhân kiểm soát hoặc ảnh hưởng đến thông tin nào
có thể được thu thập và lưu trữ Toàn vẹn (Integrity)
• Toàn vẹn dữ liệu: Đảm bảo rằng thông tin và chương trình chỉ được thay đổi trong một
phạm vi nhất định và có cách thức ủy quyền
• Tính toàn vẹn của hệ thống: Đảm bảo rằng một hệ thống thực hiện các hoạt động của
nó trong tình trạng nguyên vẹn cách thức Sẵn sàng (Availability)
• Tính Sẵn sàng: đảm bảo rằng hệ thống hoạt động nhanh chóng và dịch vụ không bị từ
chối đối với người dùng được ủy quyền
2. Tổng quan về kiến trúc an ninh ITU. T x.800 khi áp dụng vào mô hình 7 lớp của OSI
Tầng Vật lý (Physical Layer) => Các thiết bị gửi và nhận được mã hóa đường truyền. Bảo
vệ lớp vật lý nhằm bảo vệ toàn bộ luồng bit dữ liệu và đảm bảo an toàn truyền dẫn qua dây cáp/quang
• Tính bảo mật của lớp kết nối vật lý
• Tính bảo mật của dòng truyền dẫn qua dây cáp/quang
Tầng Liên Kết (Datalink Layer) => Mã hóa được sử dụng để cung cấp bảo mật trong tầng liên kết dữ liệu
• Tính bảo mật khi kết nối (Connection Confidentiality)
• Tính bảo mật khi không kết nối (connectionless confidetiality)
Tầng Mạng (Network Layer) => Áp dụng các cơ chế bảo mật đơn lẻ hoặc kết hợp. Các cơ
chế bảo mật được áp dụng cho các giao thức thực hiện các hoạt động chuyển tiếp và định
tuyến liên quan đến việc cung cấp dịch vụ mạng OSI, từ hệ thống đầu cuối đến hệ thống đầu cuối. • Xác thực ngang hàng;
• Xác thực nguồn gốc dữ liệu;
• Kiểm soát tương tác dịch vụ; • Bảo mật kết nối;
• Bảo mật khi không kết nối;
• Bảo mật luồng truyền dẫn;
• Tính toàn vẹn của kết nối mà không cần khôi phục (Connection Intergrity with Restore)
• Tính toàn vẹn khi không kết nối.
Tầng Vận Chuyển (Transport Layer) => Áp dụng các cơ chế bảo mật cho kết nối, truyền
dẫn dữ liệu cá nhân. Cơ chế bảo mật phải đảm bảo các kết nối vận chuyển riêng lẻ có thể
được cách ly khỏi tất cả các kết nối , truyền dẫn khác. • Xác thực ngang hàng;
• Xác thực tính toàn vẹn của dữ liệu;
• Kiểm soát tương tác dịch vụ; • Bảo mật kết nối;
• Bảo mật phi kết nối;
• Tính toàn vẹn của kết nối thông qua khôi phục;
• Tính toàn vẹn của kết nối mà không cần khôi phục; Và
• Tính toàn vẹn khi không kết nối.
Tầng Phiên (Session Layer) => Không có cơ chế bảo mật về tính bí mật, tuy nhiên sẽ áp
dụng cơ chế đảm báo tính sẵn sàng và kết nối giữa hệ thống, thiết bị, và người dùng
Tầng Trình Bày (Presentation Layer) => Các cơ chế bảo mật được áp dụng bởi tầng trình
bày sẽ là những giải pháp dựa trên các cơ chế chỉ có thể hoạt động trên mã hóa, và cú pháp truyền dữ liệu. • Bảo mật kết nối;
• Bảo mật khi không kết nối;
• Bảo mật trường giá trị;
• Bảo mật luồng truyền dẫn, giao thông; • Xác thực ngang hàng;
• Xác thực nguồn gốc dữ liệu;
• Tính toàn vẹn của kết nối thông qua khôi phục;
• Tính toàn vẹn của kết nối mà không cần khôi phục;
• Tính toàn vẹn của kết nối trường giá trị;
• Tính toàn vẹn khi không kết nối;
• Tính toàn vẹn khi không kết nối trường giá trị; • Chống chối bỏ
Tầng Ứng dụng (Application Layer) => Ngoài các cơ chế bảo mật từ các tầng dưới. Áp
dụng cơ chế xác thực khi cho các truy cập vào hệ thống truyền dẫn OSI và các tài nguyên
không phải OSI (ví dụ: tệp, phần mềm, thiết bị đầu cuối, máy in). • Xác thực ngang hàng;
• Xác thực nguồn gốc dữ liệu; • Kiểm soát truy cập; • Bảo mật kết nối;
• Bảo mật khi không kết nối;
• Bảo mật trường giá trị;
• Bảo mật luồng giao thông;
• Tính toàn vẹn của kết nối thông qua khôi phục;
• Tính toàn vẹn của kết nối mà không cần khôi phục;
• Tính toàn vẹn của kết nối trường giá trị;
• Tính toàn vẹn không kết nối;
• Tính toàn vẹn không kết nối trường giá trị; • Chống chối bỏ
3. Nguyên tắc thiết kế an ninh cơ bản
• Tính kinh tế của cơ chế: việc áp dụng và thiết kế các biện pháp an ninh nên đơn giản để
thực hiện và xác minh . Đảm bảo giảm thiểu được các lỗ hổng
• Mặc định không an toàn: Các quyết định truy cập phải dựa trên các quyền; tức là không
cấp trước quyền truy cập trước khi được xác minh
• Quy trình hoàn chỉnh: mọi truy cập phải được kiểm tra dựa trên một quy trình kiểm soát
truy cập hệ thống thống nhất
• Cô lập: Truy cập vào vùng công cộng nên được cách ly khỏi các tài nguyên quan trọng
(không có kết nối giữa thông tin công khai và quan trọng). Các dữ liệu của người dùng
nên được tách biệt với nhau (dựa theo vai trò). Các điều khiển giải pháp bảo mật nên
được cách ly (nghĩa là có giải pháp ngăn chặn hoặc phòng chống điều khiển trái phép, sai mục ich)
• Che dấu: Ẩn cấu trúc bên trong
• Mô đun hóa: cấu trúc mô-đun bảo mật theo tiêu chuẩn
• Phân lớp (phòng thủ theo chiều sâu): sử dụng nhiều phương pháp bảo vệ chồng chéo
• Thân thiện người dùng: cơ chế bảo mật phải luôn phản hồi theo cách ít có khả năng gây bối rối cho người dùng
• Tách đặc quyền: cần có nhiều đặc quyền để đạt được truy cập (hoặc hoàn thành một nhiệm vụ)
• Ít đặc quyền nhất: mọi người dùng (tiến trình) phải có ít đặc quyền nhất để thực hiện
một nhiệm vụ đảm báo người dùng chỉ tương tác đủ để thực hiện công việc của họ
• Cơ chế ít công bố nhất: một thiết kế nên giảm thiểu chức năng được chia sẻ bởi những
người dùng khác nhau (chung tài khoản)
• Trách nhiệm các bên: các cơ chế bảo mật không nên can thiệp quá mức vào công việc
của người dùng đảm bảo người dùng có thể hoàn thành trách nhiệm của họ Bài 2
Không kiểm tra cuối kỳ Bài 3
1. Định nghĩa phần mềm độc hại và các thuật ngữ quan trọng
Phần mềm độc hại: Một chương trình được chèn vào hệ thống, thường là bí mật, với mục
đích xâm phạm tính bảo mật, tính toàn vẹn hoặc tính sẵn sàng của dữ liệu, ứng dụng, hệ điều
hành của nạn nhân, gây phiền nhiễu, hoặc làm gián đoạn nạn nhân
➢ Virus: gắn vào một chương trình. Thường được dùng để tự động thực hiện một tác
vụ mà không cần thao tác thủ công từ người dùng
➢ Worm: lan truyền các bản sao của chính nó đến các máy tính khác
➢ Quả bom logic: “nổ” khi có điều kiện xảy ra
➢ Trojan horse: giả mạo/chứa chức năng bổ sung
➢ Cửa hậu (cửa sập): cho phép truy cập trái phép bỏ qua xác thực
➢ Mobile code (Mã di động): di chuyển không thay đổi sang các nền tảng không đồng nhất
➢ Auto-rooter Kit (virus generator): bộ tạo mã chương trình tự động (virus)
➢ Các chương trình gửi thư rác và tràn ngập: khối lượng lớn mail không mong muốn
➢ Keylogger: ghi lại thao tác bàn phím
➢ Rootkit: công cụ tin tặc tinh vi để có quyền truy cập cao nhất
➢ Zombie: phần mềm trên các máy tính bị nhiễm tấn công người khác (còn gọi là bot)
➢ Tải trọng (Payload): hành động của phần mềm độc hại
Phần mềm tội phạm (Crimeware): bộ công cụ để xây dựng phần mềm độc hại; bao gồm
các cơ chế lan truyền và tải trọng
◦Zeus, Sakura, Blackhole, Phoenix
APT (tấn công có chủ đích)
◦Loại tấn công nâng cao: tinh vi
◦Liên tục: tấn công trong một khoảng thời gian dài
◦Mối đe dọa: các mục tiêu được chọn (những kẻ tấn công có khả năng, được tài trợ tốt)
2. Cấu trúc và phân loại mã chương trình
Phần mềm lây nhiễm các chương trình nhằm sửa đổi chúng để bao gồm một bản sao của vi-
rút. Thông thường nó thực thi một cách bí mật khi chương trình máy chủ được chạy.
Dành riêng cho hệ điều hành và phần cứng nhằm tận dụng các chi tiết và điểm yếu từ nhà cung cấp
Một virus điển hình trải qua các giai đoạn:
◦ Không hoạt động: đợi
◦ Lan truyền: sao chép chính nó vào chương trình khác
◦ Kích hoạt: được kích hoạt để thực hiện các chức năng
◦ Thực hiện: chức năng được thực hiện Các thành phần:
◦ Cơ chế lây nhiễm: cho phép sao chép
◦ Kích hoạt (trigger): sự kiện kích hoạt payload
◦ Tải trọng (payload): những gì nó làm, độc hại hay lành tính
Các mã chương trình thường được phân loại theo mục tiêu và cách che dấu Theo mục tiêu •
Khu vực khởi động: lây nhiễm một bản ghi khởi động chính •
Trình lây nhiễm tệp: lây nhiễm các tệp hệ điều hành thực thi •
Vi-rút macro: lây nhiễm các tệp được ứng dụng sử dụng •
Multipartite: lây nhiễm theo nhiều cách Bằng cách che dấu •
Virus mã hóa: mã hóa; chìa khóa được lưu trữ trong virus •
Virus tàng hình: ẩn mình (ví dụ: nén) •
Virus đa hình: tái tạo với “chữ ký” khác •
Virus biến chất: tái tạo với chữ ký và hành vi khác
3. Định nghĩa tấn công từ chối dịch vụ
Từ chối dịch vụ (dos) một hành động ngăn chặn hoặc làm suy yếu việc sử dụng mạng, hệ
thống hoặc ứng dụng được ủy quyền bằng cách làm cạn kiệt các tài nguyên như bộ xử lý
trung tâm (CPU), bộ nhớ, băng thông và dung lượng ổ đĩa.
Các cuộc tấn công dịch vụ vào các dịch vụ nhằm quá tải và làm tiêu tốn nhiều tài nguyên như • Băng thông mạng • Tài nguyên hệ thống • Tài nguyên ứng dụng
Phương thức tấn công chính là thông qua flooding thông qua các gói tin từ các giao thức kết nối như (ICMP, UDP, TCP)
• Mục đích của cuộc tấn công này là làm quá tải dung lượng kết nối mạng tới tổ chức mục tiêu.
• Lưu lượng có thể được xử lý bởi các liên kết dung lượng cao hơn trên đường dẫn, nhưng
các gói bị loại bỏ khi dung lượng giảm
4. Các phương pháp bảo vệ được ứng dụng khi thực hiện tấn công từ chối dịch vụ
Giả mạo địa chỉ nguồn - Sử dụng địa chỉ nguồn giả mạo
◦ Thông thường thông qua giao diện ổ cắm trên hệ điều hành
◦ Làm cho các hệ thống tấn công khó xác định hơn
Tán xạ ngược (Backscatter traffic)
◦ Quảng cáo các tuyến đến các địa chỉ IP không được sử dụng để theo dõi lưu lượng
tấn công chia sẻ các khối địa chỉ IP không sử dụng (không sử dụng thực/hợp pháp)
◦ Nếu ICMP/yêu cầu kết nối được thực hiện với số lượng lớn, rất có thể là từ những kẻ tấn công
◦ Giám sát cung cấp thông tin có giá trị về loại và quy mô của cuộc tấn công
4. Định nghĩa tràn bộ đệm (buffer overflow)
Lỗ hổng tràn bộ đệm thông thường xảy ra khi có lỗi do lập trình. Lỗ hổng này khiến cho
một giá trị tại một giao diện, trường giá trị bất kỳ có nhiều giá trị hoặc đầu vào hơn số
lượng mà vùng đệm hoặc vùng chứa dữ liệu có thể lữu trữ. Khiến cho dung lượng được
phân bổ không đủ để chứa giá trị và ghi đè lên các trường giá trị, thông tin khác.
Mục tiêu của kẻ tấn công vào lỗ hổng này thông thường nhằm làm sập hệ thống hoặc
chèn mã được chế tạo đặc biệt cho phép chúng giành quyền kiểm soát hệ thống.
5. Chống tràn bộ đệm Ngôn ngữ lập trình
Các ngôn ngữ cấp cao hiện đại (Python,Java, C#) có cơ chế mạnh mẽ về các loại và các
hoạt động hợp lệ nên không dễ bị tràn bộ đệm
C và các ngôn ngữ liên quan có cấu trúc điều khiển cấp cao, nhưng cho phép truy cập
trực tiếp vào bộ nhớ do đó dễ bị tràn bộ đệm
Hai cách phòng chống tràn bộ đệm rộng rãi
Ngôn ngữ - thời gian (Compile – time) : Ngôn ngữ lập trình bậc cao hiện đại, kỹ thuật
lập trình an toàn, đảm bảo thư viện an toàn trước khi sử dụng
Vận hành – thời gian (Run -time): Lọc giá trị, ngẫu nhiên hóa vị trí các giá trị quan trọng, trang bảo vệ Bài 4
1. Phương tiện xác thực người dùng
Bốn phương tiên xác thực danh tính người dùng chính:
• Dựa trên một thứ mà cá nhân biết (Mật khẩu, PIN)
• Dựa trên một thứ mà cá nhân sở hữu (Chìa khóa, USB, thẻ, điện thoại)
• Dựa trên sinh trắc học tĩnh (Dấu vân tay, võng mạc)
• Dựa trên sinh trắc học động (Giọng nói, động tác)
Các vấn đề chung của các phương tiện xác thực:
• Tấn công máy khách/người dùng: kẻ tấn công cố gắng đạt được xác thực người dùng
thông qua lừa đảo, truy cập máy khách đã được xác thực
• Tấn công máy chủ: kẻ tấn công tấn công máy chủ nơi lưu trữ mật khẩu/mật khẩu
• Nghe lén: kẻ tấn công cố gắng tìm hiểu mật khẩu bằng cách quan sát người dùng, tìm mật
khẩu được viết, hoặc keylogging
• Phát lại: kẻ tấn công lặp lại phản hồi của người dùng đã bắt được trước đó
• Trojan horse: một ứng dụng hoặc thiết bị vật lý giả mạo thành một ứng dụng hoặc thiết bị xác thực
• Từ chối dịch vụ: kẻ tấn công cố gắng vô hiệu hóa dịch vụ xác thực người dùng (thông qua flooding)
2. Định nghĩa của kiểm soát truy cập
• Kiểm soát truy cập là việc ngăn chặn việc sử dụng tài nguyên trái phép, bao gồm việc
ngăn chặn việc sử dụng tài nguyên một cách trái phép. Đây là một trong những yếu tố
trung tâm của bảo mật máy tính và hệ thống thông tin
Các chính sách kiểm soát truy cập thường áp dụng
• Kiểm soát truy cập tùy quyền (Discretionary access control - DAC): dựa trên danh tính
của người yêu cầu và quy tắc truy cập
• Kiểm soát truy cập bắt buộc ( Mandatory access control - MAC): dựa trên việc so sánh
nhãn bảo mật với giấy phép, chứng thư bảo mật (bắt buộc: người có quyền truy cập vào
tài nguyên không được chuyển cho người khác)
• Kiểm soát truy cập dựa trên vai trò (Role-based access control - RBAC): dựa trên vai trò của người dùng
• Kiểm soát truy cập dựa trên thuộc tính (Attribute-based access control): dựa trên các
thuộc tính của người dùng, tài nguyên và môi trường hiện tại
3. Các yêu cầu khi kiểm soát truy cập
• Một cơ chế để xác thực đầu vào đáng tin cậy
• Thông số kỹ thuật rõ ràng và theo vai trò: điều chỉnh quyền truy cập ở các cấp độ khác
nhau (ví dụ: một thuộc tính hoặc toàn bộ DB)
• Đặc quyền tối thiểu: ủy quyền tối thiểu để thực hiện công việc của người dùng
• Tách nhiệm vụ: phân chia các bước giữa các cá nhân, vai trò khác nhau
• Mở và đóng chính sách: truy cập được ủy quyền cụ thể hoặc tất cả các truy cập ngoại trừ những truy cập bị cấm
• Chính sách quản trị: ai có thể thêm, xóa, sửa nội quy
4. Miền bảo mật (Domain) •
Tập hợp các đối tượng cùng với các quyền truy cập vào các đối tượng đó •
Linh hoạt hơn khi liên kết với miền bảo vệ khác nhau •
Người dùng có thể sinh ra các quy trình với một tập hợp quyền truy cập của người dùng •
Liên kết giữa một quy trình truy cập và miền có thể là tĩnh hoặc động •
Đối với người dùng, một số vùng bộ nhớ được bảo vệ khỏi việc sử dụng và một số lệnh
nhất định có thể không được thực thi •
Đối với hệ điều hành, các hướng dẫn đặc quyền có thể được thực thi và các vùng bộ nhớ
được bảo vệ có thể được truy cập
5. Định nghĩa an toàn vật lý và cơ sở hạ tầng
Bảo mật logic : Bảo vệ dữ liệu trên phần cứng khỏi các mối đe dọa từ phần mềm và giao tiếp mạng
Bảo mật vật lý (còn gọi là bảo mật cơ sở hạ tầng)
a. Bảo vệ vật lý hệ thống thông tin chứa dữ liệu và những người sử dụng, vận hành và bảo trì hệ thống
b. Phải ngăn chặn bất kỳ loại truy cập hoặc xâm nhập vật lý nào có thể ảnh hưởng đến bảo mật logic
An ninh cơ sở ( còn được gọi là an ninh công ty hoặc cơ sở vật chất)
c. Bảo vệ người và tài sản trong toàn bộ khu vực, cơ sở hoặc (các) tòa nhà và thường
được yêu cầu bởi luật pháp, quy định và nghĩa vụ ủy thác
d. Cung cấp vành đai an ninh, kiểm soát truy cập vật lý, trang bị hệ thống phát hiện
khói và lửa, dập lửa, cùng một số biện pháp bảo vệ môi trường và thường là hệ
thống giám sát, báo động và bảo vệ. Bài 5
1. Các loại hình kẻ xâm nhập Tội phạm
o Cá nhân hoặc thành viên của một nhóm tội phạm có tổ chức với mục tiêu:
▪ Hành vi trộm cắp danh tính
▪ Trộm cắp thông tin tài chính ▪ Gián điệp công ty ▪ Trộm cắp dữ liệu ▪ Mua chuộc dữ liệu
Các nhà hoạt động không gian mạng
o Các cá nhân, thường làm việc với tư cách là người trong cuộc hoặc là thành viên
của một nhóm lớn hơn những kẻ tấn công bên ngoài, những người được thúc đẩy
bởi các nguyên nhân xã hội hoặc chính trị
o Còn được gọi là hacktivists
▪ Trình độ kỹ năng thường khá thấp
o Mục đích của các cuộc tấn công của họ thường là để thúc đẩy và công khai
nguyên nhân của họ thông qua: ▪ Thay đổi trang web
▪ Tấn công từ chối dịch vụ
▪ Trộm cắp và phân phối dữ liệu dẫn đến công khai tiêu cực hoặc thỏa hiệp các mục tiêu của họ
Tin tặc được nhà nước bảo trợ
• Các nhóm tin tặc được chính phủ tài trợ để tiến hành các hoạt động gián điệp hoặc phá hoại
• Còn được gọi là Mối đe dọa liên tục nâng cao (APT) do tính chất bí mật và tồn tại
trong thời gian dài liên quan đến bất kỳ cuộc tấn công nào trong lớp này Khác
• Tin tặc có động cơ khác với những động cơ được liệt kê trước đó
• Bao gồm các hacker hoặc cracker cổ điển, những người được thúc đẩy bởi thách thức
kỹ thuật hoặc bởi sự tôn trọng và danh tiếng của nhóm
• Nhiều người chịu trách nhiệm khám phá các loại lỗ hổng tràn bộ đệm mới có thể
được coi là thành viên của lớp này
• Với sự sẵn có rộng rãi của các bộ công cụ tấn công, có một nhóm "tin tặc sở thích" sử
dụng chúng để khám phá hệ thống và an ninh mạng
Cấp bậc kỹ năng thường thấy
• Trình độ tay nghề: Script-kiddies - Tin tặc có kỹ năng kỹ thuật tối thiểu chủ yếu sử
dụng các bộ công cụ tấn công hiện có
• Trình độ tay nghề: thợ săn lỗi (bug hunter) - Tin tặc có đủ kỹ năng kỹ thuật để sửa
đổi và mở rộng bộ công cụ tấn công để sử dụng các lỗ hổng mới được phát hiện hoặc đã mua
• Trình độ tay nghề: bậc thầy - Tin tặc có kỹ năng kỹ thuật cao có khả năng khám phá
các loại lỗ hổng hoàn toàn mới
2. Hành vi của các kẻ xâm nhập
Ví dụ cơ bản về xâm nhập thông qua đăng nhập
• Chọn mục tiêu bằng các công cụ tra cứu IP
• Mạng bản đồ cho các dịch vụ có thể truy cập
• Nghiên cứu kết nối hệ thống (thông qua NMAP)
• Xác định các dịch vụ dễ bị tổn thương
• Brute force (đoán) mật khẩu
• Cài đặt công cụ quản trị từ xa
• Chờ admin đăng nhập và chụp lại mật khẩu
• Sử dụng mật khẩu để truy cập phần còn lại của mạng
Ví dụ cơ bản về xâm nhập cổng
• Khai thác vành đai thông qua các cổng dễ bị tấn công
• Sử dụng Trojan horse (phần mềm ẩn) để rời khỏi cửa sau để vào lại
• Sử dụng trình thám thính để lấy mật khẩu
Ví dụ cơ bản về xâm nhập nội bộ
• Tạo tài khoản mạng cho bản thân và bạn bè của họ
• Truy cập các tài khoản và ứng dụng mà họ thường không sử dụng cho công việc hàng ngày của mình
• Gửi email cho các nhà tuyển dụng cũ và tiềm năng
• Thực hiện các cuộc trò chuyện nhắn tin tức thời (bí mật)
• Truy cập các trang web phục vụ cho những nhân viên bất mãn, chẳng hạn như f*dcompany.com
• Thực hiện tải xuống lớn và sao chép tập tin • Vào mạng ngoài giờ
3. Chức năng IDS và phương pháp
Hệ thống phát hiện xâm nhập dựa trên máy chủ : giám sát hoạt động của một máy chủ
• Hai cách tiếp cận, thường được sử dụng kết hợp:
• Phát hiện bất thường: xem xét hành vi bình thường/dự kiến trong một khoảng thời gian;
áp dụng kiểm tra thống kê để phát hiện kẻ xâm nhập
• Phát hiện ngưỡng: cho các sự kiện khác nhau (#/khối lượng sao chép)
• Dựa trên hồ sơ (thời gian/thời lượng đăng nhập)
• Phát hiện chữ ký: xác định hành vi (quy tắc) phù hợp (hoặc xấu)
Hệ thống phát hiện xâm nhập dựa trên mạng : giám sát lưu lượng mạng
IDS dựa trên mạng (NIDS)
• Giám sát lưu lượng truy cập tại các điểm đã chọn trên mạng (ví dụ: đăng nhập vào tài khoản bị vô hiệu hóa)
• Trong (gần) thời gian thực để phát hiện các mẫu xâm nhập
• Của giao thức cấp mạng, vận chuyển và/hoặc ứng dụng hướng tới các hệ thống
• Bao gồm một số cảm biến
• Nội tuyến (có thể là một phần của thiết bị mạng khác) – lưu lượng truy cập đi qua nó
• Bị động (theo dõi bản sao lưu lượng)
• Ghi nhật ký cảnh báo (cho tất cả các loại)
• Thông tin điển hình được ghi bởi cảm biến NIDS bao gồm: ➢ Dấu thời gian ➢ ID kết nối hoặc phiên ➢
Loại sự kiện hoặc cảnh báo ➢ Xếp hạng ➢
Các giao thức lớp mạng, vận chuyển và ứng dụng ➢
Địa chỉ IP nguồn và đích ➢
Các cổng TCP hoặc UDP nguồn và đích, hoặc các loại và mã ICMP ➢
Số byte được truyền qua kết nối ➢
Dữ liệu tải trọng được giải mã, chẳng hạn như yêu cầu và phản hồi của ứng dụng ➢
Thông tin liên quan đến nhà nước
4. Các loại tường lửa
Tường lửa lọc gói tin - Áp dụng các quy tắc cho các gói vào/ra khỏi tường lửa
Dựa trên thông tin trong tiêu đề gói
◦ Src/dest địa chỉ IP & cổng, giao thức IP, giao diện
Điển hình là một danh sách các quy tắc đối sánh trên các trường
◦ Nếu quy tắc khớp cho biết nếu chuyển tiếp hoặc loại bỏ gói
Hai chính sách mặc định:
◦ Hủy bỏ: cấm (trừ khi được cho phép rõ ràng)
◦ Thận trọng hơn, được kiểm soát, hiển thị cho người dùng
◦ Chuyển tiếp: cho phép (trừ khi bị cấm rõ ràng)
◦ Dễ quản lý/sử dụng hơn nhưng kém an toàn hơn
Tường lửa kiểm tra trạng thái - Xem lại thông tin tiêu đề gói và cũng giữ thông tin về các kết nối TCP
o Tường lửa gói kiểm tra trạng thái thắt chặt các quy tắc cho lưu lượng TCP bằng thư mục kết nối TCP
o Chỉ cho phép lưu lượng truy cập đến các cổng được đánh số cao đối với các gói
khớp với một mục trong thư mục này
Tường lửa định tuyến - Với một số tường lữa thế hệ mới NGFW, tường lửa có thể được sử
dụng để định tuyến truyền dẫn.
5. Chức năng của IPS
• Xác định các cuộc tấn công sử dụng cả hai:
o Kỹ thuật chữ ký - gói ứng dụng độc hại
o Kỹ thuật phát hiện bất thường - các mẫu hành vi đã biết của phần mềm độc hại
• Ví dụ về hành vi nguy hiểm: tràn bộ đệm, truy cập vào danh bạ email, duyệt thư mục
• Có thể được điều chỉnh cho phù hợp với nền tảng cụ thể. Bài 6
1. Định nghĩa cơ sở dữ liệu và các thuật ngữ
Cơ sở dữ liệu là dữ liệu có cấu trúc, được ứng dụng để lưu trữ và sử dụng dữ liệu bởi một
hoặc nhiều ứng dụng.
Được xây dựng từ các bảng dữ liệu
◦ Mỗi cột chứa một loại dữ liệu cụ thể
◦ Mỗi hàng chứa một giá trị cụ thể
◦ Lý tưởng là có một cột trong đó tất cả các giá trị là duy nhất, tạo thành mã định danh/khóa cho hàng đó
Có nhiều bảng được liên kết bởi số nhận dạng
Sử dụng ngôn ngữ truy vấn để truy cập các mục dữ liệu đáp ứng các tiêu chí đã chỉ định Thuật ngữ như
• Relation/table/file: Quan hệ/Bảng/Tệp
• Tuple/row/record: Tuple/hàng/bản ghi
• Attribute/column/field: Thông số/Cột/trường giá trị
• Primary key - Khóa chính: Xác định duy nhất một giá trị, đảm bảo không trùng lập
• Foreign key - Khóa ngoại: Xác định giá trị của một bảng có liên kết với các thuộc tính trong một bảng khác
• View/virtual table Xem/bảng ảo: Kết quả của một truy vấn trả về các hàng và cột đã
chọn từ một hoặc nhiều bảng
2. Tấn công SQL injection
Một trong những mối đe dọa bảo mật dựa trên cơ sở dữ liệu phổ biến và nguy hiểm nhất. Gửi các
lệnh SQL độc hại đến máy chủ cơ sở dữ liệu
Tùy thuộc vào môi trường, SQL injection cũng có thể được khai thác để:
a. Sửa đổi hoặc xóa dữ liệu
b. Thực thi các lệnh hệ điều hành tùy ý
c. Khởi chạy các cuộc tấn công từ chối dịch vụ (dos)
3. Mô hình điện toán đám mây
Mô hình dịch vụ đám mây
• A. Saas (Software as a Service) – Phần mềm như một dịch vụ : cung cấp dịch vụ cho
khách hàng dưới dạng phần mềm ứng dụng. Người dùng có thể truy cập ứng dụng
qua nhiều nền tảng khác nhau thông qua giao diện đơn giản (thường là trình duyệt)
• Đối với saas: nhà cung cấp đám mây triển khai, định cấu hình, bảo trì, cập nhật phần mềm ứng dụng
• B. Paas (Platform as a Service) – Nền tảng như một dịch vụ: Cung cấp dịch vụ cho
khách hàng dưới dạng nền tảng mà các ứng dụng của khách hàng có thể chạy trên đó
• Đối với paas: nhà cung cấp đám mây quản lý cơ sở hạ tầng máy tính cho nền tảng
(phần mềm trung gian, cơ sở dữ liệu, HĐH, ngôn ngữ lập trình, công cụ)
• C. Iaas (Infrastructure as a Service) - Cung cấp cho khách hàng quyền truy cập vào cơ
sở hạ tầng đám mây bên dưới
• Đối với iaas: nhà cung cấp đám mây quản lý tài nguyên máy tính vật lý: máy chủ, mạng, lưu trữ, …
Mô hình vận hành đám mây
• Công khai : tài nguyên/dịch vụ đám mây có sẵn cho mọi khách hàng
• Riêng tư : cơ sở hạ tầng đám mây chỉ dành cho một tổ chức
• Cộng đồng : cơ sở hạ tầng đám mây dành cho một cộng đồng cụ thể và được chia sẻ bởi một số tổ chức
• Lai : một thành phần hai hoặc nhiều hơn ở trên
4. Bảo mật đám mây
Rủi ro bảo mật đám mây
• Lạm dụng và sử dụng bất chính điện toán đám mây
• Giao diện không an toàn của API • Nội gián ác ý
• Các vấn đề về nhà cung cấp đám mây
• Mất hoặc rò rỉ dữ liệu
• Chiếm đoạt tài khoản hoặc dịch vụ Biện pháp
• Nghiêm ngặt hơn / hạn chế đăng ký
• Giám sát toàn diện (lưu lượng truy cập)
• Phân tích tính bảo mật của API
• Đảm bảo xác thực mạnh mẽ và kiểm soát truy cập
• Hạn chế sự phụ thuộc giữa các API
• Đánh giá nhà cung cấp toàn diện
• Chỉ định các yêu cầu về nguồn nhân lực như một phần của hợp đồng pháp lý • Yêu cầu minh bạch
• Thực hiện các biện pháp bảo mật tốt nhất trong quá trình triển khai, triển khai, cấu hình
• Giám sát môi trường cho các hoạt động trái phép
• Thúc đẩy xác thực mạnh mẽ và kiểm soát truy cập
• Triển khai kiểm soát truy cập API mạnh mẽ
• Mã hóa và bảo vệ tính toàn vẹn khi chuyển tiếp
• Phân tích bảo vệ dữ liệu tại thời điểm thiết kế và chạy
• Cấm chia sẻ thông tin đăng nhập giữa những người dùng
• Tận dụng xác thực đa yếu tố mạnh mẽ
• Sử dụng giám sát chủ động
5. Tiêu chuẩn OWASP Top 10 liên quan đến lập trình
Tiêu chuẩn Open Web Application Security Top Ten bao gồm 5 lỗi liên quan đến phần mềm, ví
dụ: đầu vào không được xác thực, lỗi tràn bộ đệm, lỗi injection, lỗi xss, lỗi đầu ra
6. Giải pháp bảo mật hệ điều hành
Hệ thống có thể bị xâm phạm trong quá trình cài đặt trước khi hệ thống có thể cài đặt các bản vá mới nhất
Việc xây dựng và triển khai một hệ thống phải là một quy trình có kế hoạch được thiết kế để
chống lại mối đe dọa này Quy trình phải:
a. Đánh giá rủi ro và lập kế hoạch triển khai hệ thống
b. Bảo mật hệ điều hành cơ bản và sau đó là các ứng dụng chính
c. Đảm bảo mọi nội dung quan trọng đều được bảo mật
d. Đảm bảo các cơ chế bảo vệ mạng thích hợp được sử dụng
e. Đảm bảo các quy trình thích hợp được sử dụng để duy trì an ninh
7. Định cấu hình hệ điều hành (OS Hardening)
Bước quan trọng đầu tiên trong việc bảo mật hệ thống là bảo mật hệ điều hành cơ sở Các bước cơ bản
a. Cài đặt và vá hệ điều hành
b. Củng cố và định cấu hình hệ điều hành để giải quyết thỏa đáng các nhu cầu bảo
mật đã xác định của hệ thống
c. Cài đặt và định cấu hình các kiểm soát bảo mật bổ sung, chẳng hạn như chống vi-
rút, tường lửa dựa trên máy chủ và hệ thống phát hiện xâm nhập (IDS)
d. Kiểm tra tính bảo mật của hệ điều hành cơ bản để đảm bảo rằng các bước đã thực
hiện đáp ứng đầy đủ nhu cầu bảo mật của nó
8. Biện pháp bảo mật chung cho các hđh Bảo mật Linux/Unix • Quản lý bản vá • Cấu hình ứng dụng
• Người dùng, nhóm, quyền • Truy cập từ xa • Kiểm tra bảo mật Bảo mật window • Quản lý bản vá
• Quản lý người dùng và kiểm soát truy cập
• Cấu hình ứng dụng và dịch vụ
• Người dùng, nhóm, quyền • Truy cập từ xa • Kiểm tra bảo mật
Bảo mật nền tảng ảo hóa
Các mối quan tâm về bảo mật bao gồm:
◦ Cách ly hệ điều hành khách : đảm bảo rằng các chương trình thực thi trong hệ
điều hành khách chỉ có thể truy cập và sử dụng các tài nguyên được phân bổ cho nó
◦ Giám sát hệ điều hành khách bởi trình ảo hóa : có quyền truy cập đặc quyền vào
các chương trình và dữ liệu trong mỗi hệ điều hành khách và phải được tin cậy
◦ Bảo mật môi trường ảo hóa: đặc biệt là hình anh (os image) và ảnh chụp nhanh
(snapshot) quản lý mà kẻ tấn công có thể cố gắng xem hoặc sửa đổi Thực hành
Sẽ xem xét nếu có thể làm thực hành thông qua trắc nghiệm
Document Outline
- Bài 1
- 1.Tổng quan về ba yếu tố chính trong ATTT (CIA)
- Bài 3
- 1.Định nghĩa phần mềm độc hại và các thuật ngữ quan
- 2.Cấu trúc và phân loại mã chương trình
- 3.Định nghĩa tấn công từ chối dịch vụ
- Tán xạ ngược (Backscatter traffic)
- 4.Định nghĩa tràn bộ đệm (buffer overflow)
- 5.Chống tràn bộ đệm Ngôn ngữ lập trình
- Hai cách phòng chống tràn bộ đệm rộng rãi
- Bài 4
- 2.Định nghĩa của kiểm soát truy cập
- Các chính sách kiểm soát truy cập thường áp dụng
- 4.Miền bảo mật (Domain)
- Các nhà hoạt động không gian mạng
- Khác
- Cấp bậc kỹ năng thường thấy
- 3.Chức năng IDS và phương pháp
- IDS dựa trên mạng (NIDS)
- 4.Các loại tường lửa
- 5.Chức năng của IPS
- Bài 6
- Thuật ngữ như
- 2.Tấn công SQL injection
- 4.Bảo mật đám mây
- Biện pháp
- 5.Tiêu chuẩn OWASP Top 10 liên quan đến lập trình
- 6.Giải pháp bảo mật hệ điều hành
- 7.Định cấu hình hệ điều hành (OS Hardening)
- 8.Biện pháp bảo mật chung cho các hđh Bảo mật Linux/
- Bảo mật window
- Thực hành