HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐIỂM YẾU HỆ THỐNG Giảng viên: TS Hoàng Xuân Dậu Điện thoại/E-mail: dauhx@ptit.edu.vn Bộ mơn: An tồn thơng tin - Khoa CNTT1 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG NỘI DUNG CHƯƠNG Tổng quan lỗ hổng bảo mật điểm yếu hệ thống Các dạng lỗ hổng hệ điều hành phần mềm ứng dụng Quản lý, khắc phục lỗ hổng bảo mật tăng cường khả đề kháng cho hệ thống Giới thiệu số công cụ rà quét lỗ hổng bảo mật www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG 2.1 Tổng quan lỗ hổng bảo mật điểm yếu hệ thống  Các thành phần hệ thống máy tính  Khái niệm điểm yếu hệ thống lỗ hổng bảo mật  Phân bố lỗ hổng bảo mật:  Phần cứng / phần mềm  Các hệ điều hành phổ biến  Các ứng dụng phổ biến www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG 2.1 Tổng quan lỗ hổng bảo mật điểm yếu hệ thống Các thành phần hệ thống máy tính:  Hệ thống phần cứng • CPU, ROM, RAM, Bus, • Các giao diện ghép nối thiết bị ngoại vi  Hệ thống phần mềm • Hệ điều hành – Nhân hệ điều hành, trình điều khiển thiết bị – Các trình cung cấp dịch vụ, tiện ích,… • Các phần mềm ứng dụng – Các dịch vụ (máy chủ web, CSDL, DNS, ) – Trình duyệt web, ứng dụng giao tiếp,… – Các ứng dụng văn phịng, lập trình www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THÔNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG 2.1 Tổng quan lỗ hổng bảo mật điểm yếu hệ thống Mơ hình hệ điều hành Unix/Linux, dịch vụ ứng dụng www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG 2.1 Tổng quan lỗ hổng bảo mật điểm yếu hệ thống  Các điểm yếu hệ thống (system weaknesses) lỗi hay khiếm khuyết (thiết kế, cài đặt, phần cứng phần mềm) tồn hệ thống  Có điểm yếu biết khắc phục;  Có điểm yếu biết chưa khắc phục;  Có điểm yếu chưa biết/chưa phát www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG 2.1 Tổng quan lỗ hổng bảo mật điểm yếu hệ thống  Lỗ hổng bảo mật (Security vulnerability) điểm yếu hệ thống cho phép kẻ công khai thác gây tổn hại đến thuộc tính an ninh, an tồn hệ thống đó:  Tồn vẹn (integrity)  Bí mật (confidentiality)  Sẵn dùng (availability) www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG 2.1 Tổng quan lỗ hổng bảo mật điểm yếu hệ thống  Toàn vẹn (integrity): • Mọi sửa đổi đến thơng tin/hệ thống thực bên có đủ thẩm quyền; • Kẻ cơng lợi dụng điểm yếu an ninh để lặng lẽ sửa đổi thông tin/hệ thống  phá vỡ tính tồn vẹn; • Ví dụ: – Thơng thường hệ thống kiểm sốt truy nhập, người quản trị có quyền thay đổi quyền truy nhập đến file; – Một điểm yếu hệ thống cho phép người dùng bình thường thay đổi quyền truy nhập đến file tương tự người quản trị www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG 2.1 Tổng quan lỗ hổng bảo mật điểm yếu hệ thống  Bí mật (confidentiality): • Chỉ người có thẩm phép truy nhập đến thơng tin/hệ thống; • Kẻ cơng lợi dụng điểm yếu an ninh để truy nhập trái phép  phá vỡ tính bí mật; • Ví dụ: – Một điểm yếu an ninh cho phép người dùng web thông thường đọc nội dung file mà lẽ người khơng quyền đọc; – Một điểm yếu hệ thống kiểm soát truy nhập cho phép nhân viên bình thường đọc báo cáo “mật” công ty mà Ban Giám đốc phép đọc www.ptit.edu.vn GIẢNG VIÊN: TS HOÀNG XUÂN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG 2.1 Tổng quan lỗ hổng bảo mật điểm yếu hệ thống  Sẵn dùng (availability): • Đảm bảo khả truy nhập đến thông tin/hệ thống cho người dụng hợp pháp; • Kẻ cơng lợi dụng điểm yếu an ninh để ngăn chặn gây khó khăn cho người dụng hợp pháp truy nhập vào thơng tin/hệ thống; • Ví dụ: – Một điểm yếu an ninh cho phép kẻ công làm máy chủ ngừng hoạt động  cung cấp dịch vụ cho người dùng hợp pháp  phá vỡ tính sẵn dùng; – Kẻ cơng gửi lượng lớn yêu cầu giả mạo đến máy chủ gây cạn kiệt tài nguyên tắc ngẽn đường truyền  người dùng hợp pháp truy cập  phá vỡ tính sẵn dùng www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THÔNG TIN - KHOA CNTT1 Trang 10 ... XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 22 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG 2. 2.1 Các dạng lỗ hổng - Lỗi tràn đệm  Lỗi tràn đệm... XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 21 BÀI GIẢNG MÔN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ HỔNG BẢO MẬT VÀ ĐỂM YẾU HỆ THỐNG 2. 2.1 Các dạng lỗ hổng - Lỗi tràn đệm  Lỗi tràn đệm... đoạn 20 07 -2 0 12 (US National Vulnerability Database) www.ptit.edu.vn GIẢNG VIÊN: TS HỒNG XN DẬU BỘ MƠN: AN TỒN THƠNG TIN - KHOA CNTT1 Trang 14 BÀI GIẢNG MƠN HỌC CƠ SỞ AN TỒN THƠNG TIN CHƯƠNG - LỖ