HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT Giảng viên: TS Hoàng Xuân Dậu Điện thoại/E-mail: dauhx@ptit.edu.vn Bộ mơn: An tồn thơng tin - Khoa CNTT1 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT NỘI DUNG CHƯƠNG Điều khiển truy nhập Tường lửa IDS IPS www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.1 Điều khiển truy nhập Khái niệm điều khiển truy nhập Các biện pháp điều khiển truy nhập Một số công nghệ điều khiển truy nhập www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.1.1 Khái niệm điều khiển truy nhập  Điều khiển truy nhập trình mà người dùng nhận dạng trao quyền truy nhập đến thông tin, hệ thống tài nguyên www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.1.1 Khái niệm điều khiển truy nhập  Một hệ thống điều khiển truy nhập cấu thành từ dịch vụ:  Xác thực (Authentication): • Là q trình xác minh tính chân thực thông tin nhận dạng mà người dùng cung cấp  Trao quyền (Authorization): • Trao quyền xác định tài nguyên mà người dùng phép truy nhập sau người dùng xác thực  Quản trị (Administration): • Cung cấp khả thêm, bớt sửa đổi thông tin tài khoản người dùng, quyền truy nhập người dùng  Trong dịch vụ trên, dịch vụ thiết yếu hệ thống điều khiển truy nhập xác thực trao quyền www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.1.1 Khái niệm điều khiển truy nhập  Mục đích điều khiển truy nhập để đảm bảo tính bí mật, tồn vẹn sẵn dùng thông tin, hệ thống tài nguyên:  Tính bí mật (confidentiality): đảm bảo người có thẩm quyền có khả truy nhập vào liệu hệ thống  Tính tồn vẹn (Integrity): đảm bảo liệu không bị sửa đổi bên khơng có đủ thẩm quyền  Tính sẵn dùng: đảm bảo tính sẵn sàng (đáp ứng nhanh/kịp thời) dịch vụ cung cấp cho người dùng thực www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.1.2 Các biện pháp điều khiển truy nhập  Điều khiển truy nhập tuỳ chọn – Discretionary Access Control (DAC)  Điều khiển truy nhập bắt buộc – Mandatory Access Control (MAC)  Điều khiển truy nhập dựa vai trò – Role-Based Access Control (RBAC)  Điều khiển truy nhập dựa luật – Rule-Based Access Control www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.1.2 Các biện pháp điều khiển truy nhập - DAC  Điều khiển truy nhập tuỳ chọn định nghĩa chế hạn chế truy nhập đến đối tượng dựa thơng tin nhận dạng chủ thể và/hoặc nhóm chủ thể  Thơng tin nhận dạng gồm:  Bạn ai? (CMND, lái xe, vân tay, )  Những bạn biết (tên truy nhập, mật khẩu, số PIN )  Bạn có gì? (Thẻ ATM, thẻ tín dụng, ) www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.1.2 Các biện pháp điều khiển truy nhập - DAC  DAC cho phép người dùng cấp huỷ quyền truy nhập cho người dùng khác đến đối tượng thuộc quyền điều khiển họ  Chủ sở hữu đối tượng (owner of objects) người dùng có toàn quyền điều khiển đối tượng www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.1.2 Các biện pháp điều khiển truy nhập - DAC Ví dụ: Với DAC:  Người dùng cấp thư mục riêng chủ sở hữu thư mục này;  Người dùng có quyền tạo, sửa đổi xố files thư mục riêng (home directory);  Họ có khả trao huỷ quyền truy nhập vào files cho người dùng khác www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 10 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 Các hệ thống ngăn chặn/phát cơng, xâm nhập www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 72 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 Các hệ thống ngăn chặn/phát cơng, xâm nhập www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 73 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THÔNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – Phân loại  Phân loại theo nguồn liệu:  Hệ thống phát xâm nhập mạng (NIDS – Network-based IDS): phân tích lưu lượng mạng để phát công, xâm nhập cho mạng phần mạng  Hệ thống phát xâm nhập cho host (HIDS – Host-based IDS): phân tích kiện xảy hệ thống/dịch vụ để phát công, xâm nhập cho hệ thống www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 74 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – Phân loại  Phân loại theo kỹ thuật phân tích:  Phát xâm nhập dựa chữ ký phát lạm dụng (Signature-based / misuse instrusion detection);  Phát xâm nhập dựa bất thường (Anomaly instrusion detection) www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 75 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – NIDS HIDS www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 76 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THÔNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT NIDS - Snort www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 77 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT HIDS - OSSEC www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 78 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – Phát xâm nhập dựa chữ ký  Xây dựng sở liệu chữ ký/dấu hiệu loại công, xâm nhập biết;  Hầu hết chữ ký/dấu hiệu nhận dạng mã hóa thủ cơng;  Dạng biểu diễn thường gặp luật (rule) phát  Giám sát sát hành vi hệ thống, cảnh báo phát chữ ký công, xâm nhập; www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 79 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – Phát xâm nhập dựa chữ ký www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 80 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – Phát xâm nhập dựa chữ ký  Ưu điểm:  Có khả phát công, xâm nhập biết cách hiệu quả;  Tốc độ cao, yêu cầu tài ngun tính tốn tương đối thấp  Nhược điểm:  Khơng có khả phát cơng, xâm nhập mới, chữ ký chúng chưa có sở liệu chữ ký;  Đòi hỏi nhiều công sức xây dựng cập nhật sở liệu chữ ký/dấu hiệu công, xâm nhập www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THÔNG TIN - KHOA CNTT1 Trang 81 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – Phát xâm nhập dựa bất thường  Phương pháp dựa giả thiết: hành vi xâm nhập thường có quan hệ chặt chẽ với hành vi bất thường  Quá trình xây dựng triển khai gồm giai đoạn:  Xây dựng hồ sơ (profile) đối tượng chế độ làm việc bình thường • Cần giám sát đối tượng điều kiện bình thường khoảng thời gian đủ dài để thu thập liệu huấn luyện  Giám sát hành vi hệ thống cảnh báo có khác biệt rõ nét hành vi hồ sơ đối tượng www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 82 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – Phát xâm nhập dựa bất thường Một ví dụ tình trạng bình thường (Log(P) lớn) bất thường (Log(P) nhỏ) www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 83 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – Phát xâm nhập dựa bất thường HMM-Based Anomaly Detection www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THÔNG TIN - KHOA CNTT1 Trang 84 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – Phát xâm nhập dựa bất thường  Ưu điểm:  Có tiềm phát loại xâm nhập mà không yêu cầu biết trước thông tin chúng  Nhược điểm:  Tỷ lệ cảnh báo sai tương đối cao so với phương pháp dựa chữ ký;  Tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối tượng phân tích hành vi www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 85 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5.3 IDS/IPS – Phát xâm nhập dựa bất thường  Các phương pháp xử lý, phân tích liệu mơ hình hố phát xâm nhập dựa bất thường:     Thống kê (statistics) Học máy (machine learning): HMM, máy trạng thái (state-based) Khai phá liệu (data mining) Mạng nơ ron (neural networks) www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 86 ... MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 15 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5. 1.2 Các biện pháp điều khiển truy nhập - MAC  Điều khiển truy... TIN - KHOA CNTT1 Trang 22 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5. 1.2 Các biện pháp điều khiển truy nhập - MAC Mơ hình bảo mật đa cấp Bell-LaPadula... MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 25 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG – CÁC KỸ THUẬT & CÔNG NGHỆ ĐẢM BẢO ATTT 5. 1.2 Các biện pháp điều khiển truy nhập - RBAC  Liên kết người