Phòng chống tấn công mạng_Thầy Bùi Trọng Tùng| Bài giảng Phòng chống tấn công mạng| Trường Đại học Bách Khoa Hà Nội

PHÒNG CHỐNG TẤN CÔNG MẠNG Bùi Trọng Tùng,
Viện CNTT-TT, Đại học BKHN 1 1 Thông tin học phần
• Mã học phần: IT4830/IT4831
• Khối lượng: 3(2-0-1-6) • Lý thuyết: 32 tiết
• Thực hành: 16 tiết (3 buổi) • Nội dung học phần:
• Nguyên lý chung về phòng chống tấn công mạng
• Các nhiệm vụ phòng chống tấn công mạng
• Các hệ thống phòng chống tấn công mạng: VPN, firewal , IDS/IPS, Honeypot • Đánh giá:
• Quá trình(0.4): thực hành, chuyên cần
• Cuối kỳ(0.6): thi viết
• Website: https://users.soict.hust.edu.vn/tungbt/it4830 2 2
Quy định về điểm quá trình
• Điểm quá trình = Điểm TH + Điểm chuyên cần
• Điểm thực hành: Trung bình cộng điểm của 3 bài thực hành • Điểm chuyên cần:
• Đạt điểm tuyệt đối tất cả các bài tập trắc nghiệm: +1
• Không hoàn thành 1-2 bài: 0
• Không hoàn thành 3-4 bài: -1
• Không hoàn thành ≥5 bài: -2 • Tham gia Google Classroom 3 3 Thông tin giảng viên
• Họ tên: Bùi Trọng Tùng
• Email: tungbt@soict.hust.edu.vn • FB: fb/groups/TungBT.QA 4 4 BÀI 1. MỞ ĐẦU Bùi Trọng Tùng,
Viện CNTT-TT, Đại học BKHN 5 5 Nội dung
• Khái niệm cơ bản về phòng chống tấn công mạng
• Lỗ hổng và nguy cơ ATBM
• Nguyên lý chung về phòng chống tấn công mạng
• Phòng thủ theo chiều sâu 6 6
1. AN TOÀN BẢO MẬT VÀ CÁC NGUY CƠ AN TOÀN BẢO MẬT Bùi Trọng Tùng,
Viện CNTT-TT, Đại học BKHN 7 7 An toàn bảo mật là gì?
Ngăn chặn, bảo vệ tài nguyên hệ thống trước các hành vi gây tổn hại • Tài nguyên hệ thống:
• Phần cứng: máy tính, đường truyền, thiết bị mạng... • Phần mềm • Dữ liệu • Người dùng
• Các hành vi gây tổn hại: tấn công
• Vật lý: tấn công vào phần cứng
Ví dụ như tấn công kiểu bê máy tính chứa CSDL đi
• Logic: sử dụng các chương trình phá hoại để can thiệp vào quá
trình xử lý và truyền dữ liệu 8 8
Yêu cầu của an toàn bảo mật
• Confidentiality (Bí mật): tài nguyên
chỉ có thể truy cập bởi đối tượng được cấp quyền
• Integrity (Toàn vẹn, tin cậy): tài
nguyên chỉ có thể sửa đổi bởi đối
tượng được cấp quyền
• Availability (Sẵn sàng): tài nguyên sẵn sàng khi có yêu cầu
• Thời gian đáp ứng chấp nhận được Mô hình CIA
• Tài nguyên được định vị trí rõ ràng • Khả năng chịu lỗi • Dễ dàng sử dụng
• Đồng bộ khi đáp ứng yêu cầu 9 9 Mô hình CNSS
• Committee on National Security Systems
• McCumber Cube: Đặt các yêu cầu CIA trong mối liên hệ
với các giải pháp và trạng thái của thông tin
Policy: chính sách: một chức vụ có thể thược hiện một số chức năng nhất định Education: đào tạo Technology 10 10
Đe dọa an toàn bảo mật(Security Threat)
• Hành vi tiềm ẩn khả năng gây tổn hại tới tài nguyên của
hệ thống => Ở giai đoạn phân tích yêu cầu, còn ở giai đoạn thiết kế hệ thống thì là đưa ra giải pháp phòng chống
• Rủi ro(nguy cơ) an toàn bảo mật: khả năng xảy ra các sự
cố làm mất an toàn an ninh thông tin và thiệt hại của chúng cho hệ thống
• Mô hình hóa mối đe dọa: 3 thành phần
• Mục tiêu(Target): tài nguyên của hệ thống có thể là mục tiêu của các hành vi gây tổn hại
• Chủ thể(Agent): người hoặc tổ chức gây ra mối đe dọa một cách cố ý hoặc vô ý
Nguồn đe dọa là bất kỳ đâu => cần giới hạn lại
VD: hệ thống có thể bị đánh cắp bởi sinh viên
• Sự kiện(Event) gây ra đe dọa 11 11
Các sự kiện gây ra mối đe dọa • Thiên tai:
• Mưa bão, lũ lụt, động đất…
• Giải pháp: xây dựng kế hoạch phản ứng sự cố và phục
hồi, các giải pháp bảo vệ vật lý
• Lỗi phần cứng, phần mềm trong quá trình vận hành:
• Phát sinh do sự không hoàn thiện trong quá trình sản
xuất hoặc suy hao theo thời gian
• Khó kiểm soát và ngăn chặn
• Giải pháp: bảo trì, cập nhật
CSDL tích tụ theo thời gian sẽ đầy đi, query có thể bị lỗi 12 12
Các sự kiện gây ra mối đe dọa
• Lỗi do người vận hành hệ thống
Khoảng 70% sự cố do con người
• Giá trị nhập vào không hợp lệ, thao tác không đúng hướng dẫn • Ngăn chặn:
• Đào tạo một cách chi tiết, đầy đủ
• Xây dựng hệ thống, quy trình vận hành để người dùng khó mắc lỗi vô ý
• Xâm nhập trái phép vào hệ thống:
• Thực hiện bởi bên thứ 3 tấn công
• Xâm phạm bản quyền, bí mật công nghệ • Đánh cắp thông tin
• Gửi thông tin lừa đảo • Phá hủy tài nguyên
• Phát tán phần mềm độc hại… 13 13
Lỗ hổng an toàn bảo mật
• Là các điểm yếu của hệ thống có thể lợi dụng để gây tổn
hại tới tính an toàn bảo mật
• Một số nguyên nhân phát sinh lỗ hổng:
• Lỗ hổng do công nghệ
• Lỗ hổng do chính sách không đầy đủ
• Lỗ hổng do triển khai vận hành không đúng cách 14 14
Tấn công an toàn bảo mật
• Là các hành vi cố ý gây ra tổn hại cho hệ thống • Phân loại:
• Tấn công bên ngoài/Tấn công bên trong
• Tấn công không chủ đích/Tấn công có chủ đích
• Tấn công vật lý/Tấn công logic
• Tấn công chủ động/Tấn công thụ động
• Một số dạng tấn công: • Tấn công do thám • Tấn công truy cập
• Tấn công từ chối dịch vụ • … 15 15 Tấn công do thám nmap
• Tìm kiếm, thu thập thông tin về hệ thống • Địa chỉ IP
• Các dịch vụ đang hoạt động
• Người dùng và quyền truy cập
• Hệ điều hành, phần mềm…
• Thường sử dụng ở giai đoạn bắt đầu của quá trình tấn công
• Các kỹ thuật do thám thông dụng: • Nghe lén • Quét địa chỉ IP • Quét cổng
• Nhận diện hệ điều hành
• Các kỹ thuật đánh lừa(Social Engineering) 16 16 Tấn công truy cập
• Chiếm tài nguyên trên hệ thống đích
• Các kỹ thuật thông dụng: • Nghe lén • Phát lại • Đoạt phiên làm việc • Man-in-the-middle • Mở cổng sau(backdoor) • Tràn bộ đệm • Dò đoán mật khẩu
• Khai thác lỗ hổng giao thức • … 17 17 Kịch bản tấn công
Các giai đoạn thực hiện tấn công: Thăm dò • Chuẩn bị tấn công • Thăm dò thông tin
• Quét, rà soát hệ thống Quét, rà soát • Thực thi tấn công • Giành quyền truy cập Giành • Duy trì truy cập quyền truy cập • Xóa dấu vết Duy trì truy cập Xóa dấu vết 18 18 Thăm dò
Chỉ dừng lại ở thông tin cơ bản
• Là các hành vi mà kẻ tấn công Thăm
thực hiện nhằm thu thập thông tin dò
về hệ thống: người dùng, khách
hàng, các hoạt động nghiệp vụ, Quét, thông tin về tổ chức… rà soát
• Có thể lặp đi lặp lại một cách định Giành
kỳ đến khi có cơ hội tấn công dễ quyền dàng hơn truy cập
• Thăm dò chủ động: có tương tác Duy trì với mục tiêu truy cập
• Thăm dò bị động: không có tương tác với mục tiêu Xóa dấu vết 19 19 Thăm dò(tiếp)
• Sử dụng các công cụ tìm kiếm: Thăm Google, Shodan, Censys dò
• Thông tin từ mạng xã hội: FB, Tweetter, Linkedin Quét,
• Thông tin từ website của đối rà soát
tượng: Burp Suite, ZAP, Web Giành Spider, Web Mirroring quyền
• Thăm dò hệ thống email truy cập • WHOIS, DNS Duy trì truy
• Thăm dò kết nối mạng: trace cập route • Social Engineering Xóa dấu vết 20 20 Quét rà soát nmap
thông tin sâu hơn, cụ thể hơn
• Quét rà soát để xác định các thông Thăm
tin về hệ thống dựa trên các thông dò
tin thu thập được từ quá trình thăm dò Quét,
• Kẻ tấn công có cái nhìn chi tiết rà soát
hơn và sâu hơn về hệ thống: các Giành
dịch vụ cung cấp, các cổng dịch vụ quyền
đang mở, địa chỉ IP, hệ điều hành truy cập và phần mềm… Duy trì
• Trích xuất thông tin từ giai đoạn truy
này cho phép kẻ tấn công lên kế cập
hoạch chi tiết để thực hiện tấn Xóa công dấu vết 21 21 Quét rà soát(tiếp)
• Xác định các nút mạng kết nối: Thăm Ping Sweep dò
• Kiểm tra các cổng dịch vụ đang mở: TCP Scanning, UDP Scanning Quét, rà soát
• Xác định thông tin hệ điều hành
trên hệ thống mục tiêu: ID Serve, Giành Netcraft quyền
• Quét lỗ hổng: Nessus, GFI truy cập LanGuard Duy trì
• Xác định topology của mạng mục truy tiêu: Network Topology Mapper cập • Tương tác và thống Xóa kê(enumeration) dấu vết 22 22 Giành quyền truy cập
• Kẻ tấn công giành được quyền Thăm
truy cập vào hệ thống ở các mức dò
độ khác nhau: mức mạng, mức
hệ điều hành, mức ứng dụng Quét,
• Có thể dựa trên các quyền truy rà soát
cập đã có để leo thang truy cập Giành quyền truy cập Duy trì truy cập Xóa dấu vết 23 23 Duy trì truy cập
• Thay đổi, can thiệp và hoạt động Thăm của hệ thống dò nằm vùng chờ kích hoạt
• Cài đặt các phần mềm gián điệp
• Che giấu các hành vi trên hệ Quét, thống rà soát
• Quét rà soát sâu vào hệ thống Giành quyền
• Mở rộng phạm vi tấn công truy cập • Leo thang tấn công Duy trì
• Nếu cần thiết, kẻ tấn công có thể truy
nằm vùng, chờ thời điểm thích cập
hợp để phát động tấn công Xóa dấu vết 24 24
2. KHÁI NIỆM CHUNG VỀ PHÒNG CHỐNG TẤN CÔNG MẠNG Bùi Trọng Tùng,
Viện CNTT-TT, Đại học BKHN 25 25
Phòng chống tấn công mạng CND
• Computer Network Defense(CND)
• Hoạt động của hệ thống mạng(Computer Network Operation): CNO = CNA + CND
• CNA: Computer Network Attack
• CND là quá trình bảo vệ hệ thống, giám sát, phân tích,
phát hiện và phản ứng với các hành vi trái phép tác động
tới hệ thống mạng máy tính
• Các thành phần giải pháp: • Con người • Tác vụ • Công nghệ 26 26
Các thành phần của CND: Con người
Bao gồm tất cả thành viên trong tổ chức: • Kiến trúc sư ATBM • Kỹ sư ATBM • Phân tích viên • Nhân viên kỹ thuật • Nhân viên vận hành • Người dùng cuối • Nhân viên điều phối 27 27
Các thành phần của CND: Tác vụ
• Xây dựng và triển khai chính sách an toàn bảo mật • Quy trình vận hành
Phải có quy trình xử lý cụ thể cho các tình huống • Gia cố hệ thống
• Quy trình xử lý sự cố(Incident Response) • Điều tra số
• Sao lưu, dự phòng, khôi phục(Disaster Recovery)
• Lập kế hoạch khôi phục hoạt động sau sự cố(Business Continuity) • Đào tạo người dùng 28 28
Các thành phần của CND: Công nghệ
• Kiểm thử, đánh giá các thành phần của hệ thống
• Các hệ thống quản trị cấu hình • Tường lửa • Kiểm soát truy cập • Proxy • Lọc nội dung • Mật mã • Xác thực • … 29 29
Mối quan hệ giữa các thành phần dự phòng hệ thống giám sát vá lỗi nâng cấp
Proxy server: một máy chủ trung gian
đứng giữa người dùng và internet HIDPS
Nó cho phép người dùng truy cập
tài nguyên trên internet thông qua nó => ẩn danh NIDPS cải thiện hiệu suất
bộ lọc: lọc trang web độc hại
vượt qua hạn chế địa lý
bảo mật: ẩn địa chỉ IP thực sự của mã hóa
người dùng khỏi mạn bên ngoài sao lưu chính sách và luật 30 30
Các hướng tiếp cập – Phòng ngừa
Mục tiêu: giảm thiểu khả năng bị tấn công Trước khi bị tấn công • Gia cố hệ thống
biện pháp chính để bảo vệ hệ thống, dữ liệu và
• Quét và vá lỗ hổng bảo mật
thông tin khỏi các mối đe dọa và tấn công. Mục
tiêu của phòng ngừa là ngăn chặn các sự cố
• Lọc lưu lượng truy cập
và hạn chế khả năng bị tấn công bằng cách
triển khai các biện pháp và chiến lược để giảm
• Thẩm tra nguồn truy cập
thiểu các điểm yếu và lỗ hổng có thể bị khai thác. • Ngụy trang hệ thống • Mã hóa firewall xác thực ủy quyền kiểm tra theo dõi sao lưu định kì 31 31
Các hướng tiếp cận – Phát hiện
Mục tiêu: Phát hiện và ngăn chặn tấn công Đang bị tấn công • Giám sát truy cập
• Thu thập thông tin hoạt động của hệ thống
• Các cơ chế phát hiện:
quá trình xác định, nhận biết và cảnh báo về
các hoạt động bất thường, dấu hiệu của các • Dựa trên dấu hiệu
cuộc tấn công, hay các sự kiện có thể gây
nguy hiểm đối với hệ thống, dữ liệu hoặc IDS
• Dựa trên bất thường
mạng. Mục tiêu của phát hiện là phát hiện NIDS
Phân tích • Các mô hình dựa trên hành vi
sớm các mối đe dọa và tấn công để có thể
đưa ra biện pháp ứng phó kịp thời và giảm
bất thường • Các mô hình dựa trên ngưỡng thiểu thiệt hại.
• Cảnh báo và ngăn chặn tấn công tiếp diễn 32 32
Các hướng tiếp cận – Phản ứng Sau khi bị tấn công
Mục tiêu: Đáp ứng với các hành vi tấn công bằng các biện pháp thích đáng • Sao lưu và dự phòng
Xác định độ khẩn cấp và phân loại sự cố
• Phản ứng sự cố: khoanh vùng, cách ly, chuyển hướng
Thông báo báo cáo, phân tích sau sự cố
• Phục hồi sau tấn công
Chấm dứt, ngăn chặn xảy ra trong tương lai • Điều tra số
quá trình ứng phó và xử lý các sự cố bảo mật, tấn công hoặc mối đe dọa một cách hiệu quả và kịp
thời. Mục tiêu của phản ứng là giảm thiểu thiệt hại, khắc phục hệ quả của sự cố và khôi phục lại
trạng thái bình thường của hệ thống cũng như dữ liệu bị ảnh hưởng. 33 33 Quá trình phòng chống Giám Phân Phát sát tích hiện Rút kinh Phản nghiệm ứng 34 34
3. PHÒNG THỦ THEO CHIỀU SÂU Bùi Trọng Tùng,
Viện CNTT-TT, Đại học BKHN 35 35 Phòng thủ theo chiều sâu DID
• Không có giải pháp nào là vạn năng, có thể phòng chống mọi loại tấn công
• Phòng thủ theo chiều sâu(Defense in depth-DID): Các
giải pháp phòng chống tấn công mạng cần phải được xây
dựng với nhiều lớp bảo vệ:
• Mỗi lớp thực hiện một số nhiệm vụ
• Các lớp phải phối hợp để tạo thành sức mạnh chung cho hệ thống
• Làm suy yếu dần khả năng tấn công
• Các hành vi tấn công ngày càng khó tiếp cận vào các lớp bên trong
Mục tiêu của phòng thủ theo chiều
sâu là đảm bảo rằng nếu một lớp
• Phân biệt với dự phòng
bảo mật bị xâm phạm, vẫn còn
những lớp bảo mật khác để ngăn
chặn tấn công tiếp theo và giảm thiểu thiệt hại. 36 36
Nguyên tắc: một lựa chọn các lớp bảo mật
Ngăn chặn và phòng ngừa: IDS IDPS
Phát hiện và ứng phó: IDS Mã hóa và xác thực
Quy trình xử lý và chính sách bảo mật Cô lập nội bộ Sao lưu và phục hồi Đào tạo và giáo dục Phòng thủ theo chiều sâu
• Các giải pháp phòng thủ theo chiều sâu cần được thiết kế
dựa trên các thành phần của CND: • Con người • Tác vụ • Công nghệ Personal Operation Technology Asset 37 37 DID – Con người
• Ít được chú ý khi đề cập tới các giải pháp ATBM, nhưng…
• Giải quyết các vấn đề về con người rất quan trọng và cần
thường xuyên giám sát, đánh giá • Tại sao? 70% lỗi là do con người
• Cần phải có bộ phận chuyên trách về ATBM trong tổ chức đặt ra chính sách, quy
trình xử lý như thế nào
• Người dùng cần được đào tạo và diễn tập tránh sự bị động khi gặp sự cố 38 38 DID- Công nghệ Các lớp con:
• Phòng thủ cho hạ tầng mạng kết nối với bên ngoài
• Phòng thủ vùng đệm của mạng bên trong
• Phòng thủ trên các host lớp bảo vệ external lớp bảo vệ internal phát hiện nỗ lực xâm nhập lệch răn đe bên ngoài 39 39 DID – Tác vụ
• Bao gồm tất cả các hoạt động định kỳ được thực hiện để
duy trì khả năng phòng thủ của hệ thống
• Các tác vụ lớp bảo vệ vật lý
• Xây dựng và triển khai chính sách ATBM
• Lập kế hoạch và giải pháp triển khai cho các hoạt động: • Phản ứng sự cố • Sao lưu và dự phòng
• Khôi phục hệ thống…
• Giám sát và báo cáo tình trạng an ninh mạng 40 40