HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN CƠ SỞ AN TOÀN THÔNG TIN Đề tài TÌM HIỂU CÁCH THỨC SỬ DỤNG TRÌNH DUYỆT WEB AN TOÀN, TÌM HIỂU GIẢI PHÁP DUYỆT WEB AN TOÀN VỚI BROWSER IN THE BOX LỜI NÓI ĐẦU Năm 2021, toàn cầu có hơn 1,83 tỷ website và hơn 4,8 tỷ người sử dụng Internet. Mỗi người trung bình dành 6 giờ và 43 phút trực tuyến mỗi ngày. Lên mạng nhiều là thế nhưng không phải ai cũng hiểu trình duyệt là gì và tại sao trình duyệt an toàn lại quan trọng.Trình duyệt là phần mềm dùng để truy cập vào các trang web trên Internet. Khi người dùng nhập một địa chỉ website lên thanh URL, trình duyệt sẽ gửi yêu cầu truy vấn đến máy chủ chứa nội dung người dùng cần, khi máy chủ phản hồi và gửi lại dữ liệu, trình duyệt sẽ đọc và hiển thị nội dung đó lên màn hình.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN CƠ SỞ AN TỒN THƠNG TIN Đề tài: TÌM HIỂU CÁCH THỨC SỬ DỤNG TRÌNH DUYỆT WEB AN TỒN, TÌM HIỂU GIẢI PHÁP DUYỆT WEB AN TỒN VỚI BROWSER IN THE BOX Sinh viên thực hiện: NHÓM Hà Nội, – 2022 LỜI NĨI ĐẦU Năm 2021, tồn cầu có 1,83 tỷ website 4,8 tỷ người sử dụng Internet Mỗi người trung bình dành 43 phút trực tuyến ngày Lên mạng nhiều khơng phải hiểu trình duyệt trình duyệt an tồn lại quan trọng Trình duyệt phần mềm dùng để truy cập vào trang web Internet Khi người dùng nhập địa website lên URL, trình duyệt gửi yêu cầu truy vấn đến máy chủ chứa nội dung người dùng cần, máy chủ phản hồi gửi lại liệu, trình duyệt đọc hiển thị nội dung lên hình Bằng việc lựa chọn thực đề tài “TÌM HIỂU CÁCH THỨC SỬ DỤNG TRÌNH DUYỆT WEB AN TỒN, TÌM HIỂU GIẢI PHÁP DUYỆT WEB AN TOÀN VỚI BROWSER IN THE BOX”, nhóm em muốn tìm hiểu đưa giải pháp tốt nhằm đảm bảo an toàn người dùng lướt web Nội dung đề tài gồm chương: CHƯƠNG 1: KHẢO SÁT VÀ NGHIÊN CỨU THỰC TIỄN CHƯƠNG 2: PHÂN TÍCH BROWSER IN THE BOX CHƯƠNG 3: KẾT QUẢ THỰC NGHIỆM Tuy đề tài hoàn thành điều kiện thời gian khơng cho phép tài liệu không đầy đủ nên website số hạn chế định Rất mong nhận đóng góp ý kiến thầy, cô bạn để báo cáo ngày hoàn thiện hơn, phục vụ tốt LỜI CẢM ƠN Trong thời gian làm đề tài sở an toàn thông tin, chúng em nhận nhiều giúp đỡ, đóng góp nhiệt tình thầy cơ, gia đình bạn bè Chúng em xin chân thành cảm ơn thầy cô giáo Học viện Kỹ thuật Mật Mã nói chung thầy khoa An tồn thơng tin nói riêng tận tình giảng dạy, truyền đạt cho chúng em kiến thức kinh nghiệm quý báu suốt thời gian học tập, giúp chúng em có sở lý thuyết vững vàng quan tâm tạo điều kiện thuận lợi cho chúng em trình thực đề tài sở an tồn thơng tin Cuối cùng, chúng em xin chân thành cảm ơn gia đình bạn bè, tạo điều kiện, quan tâm, giúp đỡ, động viên chúng em suốt trình học tập hoàn thành đề tài sở an toàn thông tin Với điều kiện thời gian kinh nghiệm cịn hạn chế nên khơng thể tránh thiếu sót Chúng em mong nhận bảo, đóng góp ý kiến thầy để chúng em có điều kiện bổ sung, nâng cao ý thức mình, phục vụ tốt cơng tác thực tế sau Chúng em xin chân thành cảm ơn! MỤC LỤC DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT i CHƯƠNG KHẢO SÁT VÀ Tìm hiểu thực tiễn 1.1 Đặt vấn đề 1.2 Xác định mục tiêu 1.3 Phương pháp nghiên cứu .1 1.4 Tổng quan trình duyệt web an toàn 1.4.1 HTTP 1.4.2 HTTPS 1.4.3 HTTP HTTPS khác ? 1.4.4 Cách sử dụng trình web an tồn CHƯƠNG PHÂN TÍCH BROWSER IN THE BOX 11 2.1 Giới thiệu chung Browser in the box 11 2.1.1 Tổng quan 11 2.1.2 Các ưu điểm Browser in the box .13 2.1.3 Công nghệ phương thức hoạt động .13 2.2 Tìm hiểu sâu chế Browser in the box 15 KẾT LUẬN 18 TÀI LIỆU THAM KHẢO .19 DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT HTTP HTTPS MAC DAC VPN SSL Hyper Text Transfer Protocol Hyper Text Transfer Protocol Secure Mandatory access control Discretionary access control Virtual Private Network Secure Sockets Layer CHƯƠNG KHẢO SÁT VÀ TÌM HIỂU THỰC TIỄN 1.1 Đặt vấn đề Browser in the box ứng dụng hàng đầu cung cấp giải pháp bảo mật, tích hợp cơng nghệ nhằm giúp người dùng truy cập trình duyệt web cách an toàn 1.2 Xác định mục tiêu Tìm hiểu lý thuyết trình duyệt web an tồn Áp dụng vào việc nghiên cứu giải pháp duyệt web an toàn với Browser in the box 1.3 Phương pháp nghiên cứu Tham khảo tài liệu : Sử dụng kiến thức học trường kết hợp với thông tin thu thập từ tài liệu khác Internet tạp chí, sách, website lập trình Phân tích, ứng dụng kiến thức tìm hiểu vào việc sử dụng Browser in the box 1.4 Tổng quan trình duyệt web an tồn 1.4.1 HTTP 1.4.1.1 HTTP gì? HTTP từ viết tắt Hyper Text Transfer Protocol nghĩa Giao thức Truyền tải Siêu Văn Bản sử dụng www HTTP giao thức cho phép tìm nạp tài nguyên, chẳng hạn HTML doc Nó tảng trao đổi liệu Web giao thức client (thường trình duyệt hay loại thiết bị, chương trình nào) server (thường máy tính đám mây) doc hồn chỉnh tái tạo từ doc khác fetch – tìm nạp, chẳng hạn văn bản, mơ tả layout, hình ảnh, video, script v v… Được thiết kế lần đầu từ năm 90, HTTP giao thức mở rộng vốn phát triển dần theo thời gian giao thức lớp ứng dụng gửi thông qua tảng TCP/IP , hay qua kết nối TCP mã hóa TLS Mặc dù mặt lý thuyết, giao thức truyền tải đáng tin cậy sử dụng Nhờ vào khả mở rộng nó, HTTP sử dụng để khơng tìm nạp tài liệu siêu văn mà cịn hình ảnh video để đăng tải nội dung lên server, giống với kết form HTML HTTP sử dụng để tìm nạp phần doc nhằm cập nhật trang web theo yêu cầu 1.4.1.2 Các khía cạnh Http HTTP đơn giản: HTTP thường thiết kế để trở nên đơn giản thân thiện để người đọc được, có thêm phức tạp giới thiệu HTTP/2 cách đóng gói HTTP message thành frame Với HTTP message, đọc hiểu được, cung cấp khả testing cho dev giảm thiểu độ phức tạp cho người HTTP mở rộng: Được giới thiệu HTTP/1.0, header HTTP làm cho giao thức dễ dàng mở rộng thử nghiệm Chức chí giới thiệu thỏa thuận đơn giản client máy chủ ngữ nghĩa header HTTP stateless, khơng sessionless: Khơng có liên kết yêu cầu thực liên tiếp kết nối Điều có khả trở thành vấn để với người dùng cố gắng tương tác với trang định cách mạch lạc, chẳng hạn sử dụng shopping cart trang e-commerce, tức thương mại điện tử Nhưng cốt lõi thân HTTP stateless, cookie HTTP cho phép sử dụng session trạng thái Sử dụng khả mở rộng header, cookie HTTP thêm vào quy trình vận hành, cho phép tạo session yêu cầu HTTP để chia sẻ ngữ cảnh hay trạng thái 1.4.1.3 Cấu trúc HTTP Giao thức HTTP ? HTTP cịn giao thức Yêu cầu – Phản hồi dựa cấu trúc Client – Server Client Server giao tiếp với cách trao đổi message độc lập (trái ngược với luồng liệu) Các message gửi client, thơng thường trình duyệt web, gọi yêu cầu message gửi server trả lời, gọi phản hồi 1.4.1.4 Kết nối HTTP Một kết nối kiểm sốt layer truyền tải, nằm ngồi phạm vi HTTP Dù HTTP khơng u cầu giao thức truyền tải phải dựa kết nối, u cầu đáng tin cậy khơng bị message (ít trình báo lỗi) Trong số hai giao thức truyền tải phổ biến Internet, TCP đáng tin cậy cịn UDP khơng HTTP dựa vào tiêu chuẩn TCP vốn connection-based (dựa kết nối) Trước client server trao đổi cặp yêu cầu – phản hồi HTTP, chúng phải thiết lập kết nối TCP, trình vốn u cầu số vịng lặp Hoạt động mặc định HTTP/1.0 mở kết nối TCP riêng biệt cho cặp yêu cầu – phản hồi HTTP Điều làm hiệu việc chia sẻ kết nối TCP đơn lẻ nhiều yêu cầu gửi liên tiếp Để giảm thiểu lỗ hỏng này, HTTP/1.1 giới thiệu pipelining (nhưng chứng minh khó để thực hiện) kết nối liên tục: kết nối TCP bên kiểm soát phần cách sử dụng tiêu đề Connection HTTP/2 tiến bước xa cách ghép thông báo qua kết nối nhất, giúp giữ cho kết nối ổn định hiệu Các thử nghiệm tiến hành để thiết kế giao thức truyền tải tốt phù hợp với HTTP Ví dụ: Google thử nghiệm QUIC xây dựng UDP để cung cấp giao thức truyền tải đáng tin cậy hiệu 1.4.2 HTTPS 1.4.2.1 HTTPS ? HTTPS (Hypertext Transfer Protocol Secure) giao thức truyền tải siêu văn an tồn Thực chất, giao thức HTTP tích hợp thêm Chứng bảo mật SSL nhằm mã hóa thơng điệp giao tiếp để tăng tính bảo mật Có thể hiểu, HTTPS phiên HTTP an toàn, bảo mật HTTPS hoạt động tương tự HTTP, nhiên bổ sung thêm chứng SSL (Secure Sockets Layer – tầng ổ bảo mật) TLS (Transport Layer Security – bảo mật tầng truyền tải) Hiện tại, tiêu chuẩn bảo mật hàng đầu cho hàng triệu website toàn giới Cả SSL TLS sử dụng hệ thống PKI (Public Key Infrastructure -hạ tầng khóa cơng khai) khơng đối xứng Hệ thống sử dụng hai “khóa” để mã hóa thơng tin liên lạc, “khóa cơng khai” (public key) “khóa riêng” (private key) Bất thứ mã hóa khóa cơng khai giải mã khóa riêng ngược lại Các tiêu chuẩn đảm bảo nội dung mã hóa trước truyền đi, giải mã nhận Điều khiến hacker dù có chen ngang lấy thơng tin khơng thể “hiểu” thơng tin 1.4.3 HTTP HTTPS khác ? Mặc dù giao thức truyền tải thông tin mạng internet, HTTP HTTPS có điểm khác cốt lõi khiến cho HTTPS ưa chuộng toàn giới 1.4.3.1 Chứng SSL Sự khác biệt lớn HTTP HTTPS chứng SSL Về bản, HTTPS giao thức HTTP với bảo mật bổ sung Tuy nhiên, thời đại mà thơng tin số hóa, giao thức HTTPS lại trở nên cần thiết cho bảo mật website Dù sử dụng máy tính cá nhân hay cơng cộng, tiêu chuẩn SSL đảm bảo liên lạc máy khách máy chủ an toàn, chống bị dịm ngó 1.4.3.2 Port HTTP HTTPS Port cổng xác định thông tin máy khách, sau phân loại để gửi đến máy chủ Mỗi Port mang số hiệu riêng với chức riêng biệt Giao thức HTTP sử dụng Port 80, HTTPS sử dụng Port 443 – cổng hỗ trợ mã hóa kết nối từ máy tính client đến server, nhằm bảo vệ gói liệu truyền 1.4.3.3 Mức độ bảo mật HTTP HTTPS Khi máy khách truy cập website, giao thức HTTPS hỗ trợ xác thực tính đích danh website thơng qua việc kiểm tra xác thực bảo mật (Security Certificate) Các xác thực bảo mật cung cấp xác minh Certificate Authority (CA) – tổ chức phát hành chứng thực loại chứng thư số cho người dùng, doanh nghiệp, máy chủ, mã nguồn, phần mềm Các tổ chức đóng vai trị bên thứ ba, hai bên tin tưởng để hỗ trợ trình trao đổi thơng tin an tồn Đối với HTTP, liệu khơng xác thực bảo mật nên khơng có đảm bảo phiên kết nối người dùng có bị “nghe lén” hay không, người dùng cung cấp thông tin cho website thật hay website giả mạo 1.4.3.4 Có nên sủ dụng HTTPS Trước đây, HTTPS thường sử dụng cho website tài chính, ngân hàng, thương mại điện tử để bảo mật thơng tin tốn online Tuy nhiên thời điểm tại, HTTPS trở thành tiêu chuẩn bảo mật tối thiểu mà tất website doanh nghiệp cần phải đáp ứng Vì lý sau đây: HTTPS bảo mật thông tin người dùng: Giao thức HTTPS sử dụng phương thức mã hóa (encryption) để đảm bảo thơng điệp trao đổi máy khách máy chủ không bị kẻ thứ ba (hackers) đọc Nếu truy cập website không cài đặt giao thức HTTPS, người dùng đối diện với nguy bị công sniffing Hacker “chen ngang” vào kết nối máy khách máy chủ, đánh cắp liệu mà người dùng gửi (password, thơng tin thẻ tín dụng, văn email,…) thơng tin sẵn có từ website Thậm chí, thao tác người dùng website bị quan sát, ghi lại mà họ không hay biết Với giao thức HTTPS, người dùng máy chủ hồn tồn tin tưởng thông điệp chuyển giao qua trạng thái ngun vẹn, khơng qua chỉnh sửa, sai lệch so với liệu đầu vào Tránh lừa đảo website giả mạo: Trên thực tế, server giả dạng server để lấy thông tin từ người dùng, lừa đảo hình thức Phishing Với giao thức HTTPS, trước liệu máy khách máy chủ mã hóa để tiếp tục trao đổi, trình duyệt máy khách yêu cầu kiểm tra chứng SSL từ máy chủ, đảm bảo rằng người dùng giao tiếp với đối tượng mà họ muốn Chứng SSL/TSL HTTPS giúp xác minh website thức doanh nghiệp khơng phải website giả mạo Giao thức HTTPS tăng uy tín website người dùng: Một số trình duyệt web phổ biến Google Chrome, Mozilla Firefox, Microsoft Edge, hay Apple Safari có cảnh báo người dùng website “không bảo mật” sử dụng HTTP Động thái giúp bảo vệ thông tin người dùng lướt web, bao gồm thông tin cá nhân, thẻ ngân hàng liệu nhạy cảm khác HTTPS chậm HTTP không đáng kể: Nhược điểm HTTPS so với HTTP sử dụng HTTPS khiến tốc độ giao tiếp (duyệt web, tải trang đích) Client Server chậm HTTP Tuy nhiên nhờ công nghệ phát triển, khác biệt đạt tới giới hạn tiệm cận 1.4.4 Cách sử dụng trình web an tồn 1.4.4.1 Cập nhật trình duyệt thường xun Các phần mềm mà người dùng sử dụng ngày tạo từ hàng nghìn, chí hàng triệu dòng lệnh khác Trước xuất bản, lập trình viên kiểm tra cách cẩn thận khơng thể tránh sai sót Hacker nhắm đến cơng phần mềm có lượng người sử dụng nhiều Vậy nên, phần mềm đầu tư nhà phát triển họ phát hành cập nhật định kỳ (có thể hàng tháng năm), cập nhật vá lỗi, vá lỗ hổng bảo mật, bổ sung thêm tính cho phần mềm Trình duyệt web phần mềm, khơng cịn cánh cửa để máy tính kết nối với Internet Chính vậy, việc đảm bảo cho trình duyệt cập nhật phiên việc nên làm 1.4.4.2 Tắt cookie không thực cần thiết Cookie file tạm tạo cách tự động truy cập vào trang web Lúc này, Cookie lưu lại tồn thơng tin người dùng tài khoản cá nhân, lịch sử truy cập trang web, thiết bị dùng để lướt web Trên lý thuyết Cookie vơ hại, sử dụng để mang lại trải nghiệm tốt hơn, liền mạch Tuy nhiên bị lợi dụng, chủ yếu để khai thác quảng cáo bán cho nhà quảng cáo Vì nên hạn chế tắt Cookie cảm thấy không thực cần thiết 1.4.4.3 Sử dụng VPN VPN hay Virtual Private Network công nghệ cho phép người dùng tạo kết nối an toàn cho riêng mạng cơng cộng (thường Internet) Với VPN, lưu lượng truy cập Internet người dùng mã hóa; lưu lượng truy cập định tuyến lại qua máy chủ VPN thay dùng ISP thơng thường Nói cách ngắn gọn, liệu người dùng bảo vệ họ online VPN không giúp bảo vệ liệu người dùng, mà dùng để truy cập trang web vốn bị hạn chế mặt địa lý Người dùng chọn sử dụng ứng dụng VPN miễn phí trả phí Lẽ dĩ nhiên, ứng dụng VPN tính phí hỗ trợ nhiều tính cho tốc độ truyền tải liệu nhanh 1.4.4.4 Proxy server Ngoài cách sử dụng VPN, sử dụng máy chủ Proxy (Proxy Server) cách giúp người dùng tự bảo vệ mơi trường Internet đầy nguy hiểm Người dùng chọn lựa sử dụng Proxy tảng web chúng dễ dùng Chỉ cần khởi động trình duyệt, truy cập vào địa cung cấp Proxy Anonymouse hay Kproxy nhập địa trang web cần xem xong Những proxy đáp ứng tốt nhu cầu duyệt nhanh website Người dùng chọn cách cấu hình máy chủ Proxy thủ công với địa Proxy đáng tin cậy HideMyAss ProxyNova Những dịch vụ cập nhật thường xuyên cung cấp chi tiết thông tin quốc gia, tốc độ kết nối, thời gian cập nhật lần cuối Proxy Server Một có địa Proxy Server đáng tin cậy, người dùng tùy theo trình duyệt sử dụng có bước cấu hình khác Người dùng cần truy cập mục Settings trình duyệt dùng, sau tìm tiếp lựa chọn kết nối mạng (Network hay Network Options) để chọn tùy chỉnh Proxy Server thủ công (manual) nhập IP Port để sử dụng Proxy 1.4.4.5 Sử dụng HTTPS Những địa website dùng giao thức HTTPS có khả mã hóa thơng tin hoạt động người dùng Internet Thay truy cập website theo giao thức http, người dùng thay cụm từ https trước địa trang web cần xem Tuy nhiên, hầu hết website hỗ trợ giao thức Vì tập thói quen đừng truy cập website không dùng HTTPS nơi công cộng 1.4.4.6 Sử dụng vitural browser Là trình duyệt cài đặt máy ảo có chứa hệ điều hành, trình duyệt ảo hóa ứng dụng độc lập bên máy ảo, không liên quan đến môi trường máy thật Khi trình duyệt bị cơng không gây ảnh hưởng tới môi trường thật 10 CHƯƠNG PHÂN TÍCH BROWSER IN THE BOX 2.1 Giới thiệu chung Browser in the box 2.1.1 Tổng quan Brower in the Box giải pháp truy cập web an toàn hãng Rohde & Schwarz (R&S) thông qua môi trường ảo tách biệt với hệ điều hành Windows Giải pháp sử dụng nhiều quan Chính phủ Đức nhận giải Bạc cho hạng mục sản phẩm Xác thực - Bảo mật thi sản phẩm tiêu biểu cho phủ điện tử Đức người dùng bình chọn năm 2018 Bài toán đặt Việc truy cập đến trang web trở thành hoạt động thiếu người dùng truy cập Internet Tuy nhiên, trình phải đối mặt với mối nguy hiểm không ngừng gia tăng từ công mạng Nguyên nhân giao diện lập trình JavaScript, Java, ActiveX, Flash cho phép truy cập vào máy tính người dùng, bao gồm hệ thống tệp hệ điều hành Cụ thể, mã chương trình bên thứ ba chạy trực tiếp máy tính, hệ điều hành sở hạ tầng liệu Do đó, phần mềm độc hại thực thi trang web có chứa nội dung động mở mà khơng có tương tác người dùng Điều có nghĩa cần truy cập đến trang web, người dùng có nguy bị nhiễm phần mềm độc hại Đối với việc sử dụng Internet cụ thể quan/doanh nghiệp, hạn chế mối đe dọa giải pháp sau: Chỉ sử dụng máy tính chuyên dụng để truy cập Internet Các máy tính khơng kết nối với mạng nội tách biệt khỏi hệ thống mạng Tuy nhiên, Internet phần thiếu công việc hàng ngày dẫn đến phương pháp khả thi 11 Truy cập Internet với chức giới hạn Điều có nghĩa vơ hiệu hóa nội dung động (dynamic content) Tuy nhiên, hạn chế giải pháp phần lớn trang web duyệt nội dung Thực thi trình duyệt web máy chủ đầu cuối Có nghĩa, truy cập máy tính thông qua Desktop Viewer Nhược điểm giải pháp nằm chỗ việc khôi phục phức tạp máy chủ bị ảnh hưởng sau bị nhiễm phần mềm độc hại Không phải lúc xác định trạng thái máy chủ đầu cuối thực cần khơi phục Ngồi ra, việc sử dụng nhiều băng thơng mạng có sẵn yếu tố tác động bất lợi đến việc mở rộng quy mô với số lượng lớn người dùng Bảo vệ Internet máy chủ proxy/tường lửa khu vực DMZ công ty Tính hiệu giải pháp bảo vệ phụ thuộc vào khả phát phần mềm độc hại proxy/tường lửa Nó hiệu phần mềm độc hại biết đến hạn chế mối nguy hiểm Việc lọc nội dung động phải cân khả sử dụng tính an tồn Tất giải pháp có giá trị riêng, hạn chế khả truy cập nội dung động người dùng Hơn nữa, cách tiếp cận không cung cấp giải pháp cho vấn đề bảo vệ chống lại công chưa biết Điểm mấu chốt cần có sở đảm bảo an toàn mạng cách phù hợp Phương pháp tiếp cận "an toàn thiết kế" triển khai Brower in the Box (BitBox) giải vấn đề Nguyên tắc hệ điều hành trình duyệt hồn tồn tách biệt với Trình duyệt gói gọn máy ảo Điều làm cho phần mềm độc hại tách biệt máy tính, cấu trúc liệu người dùng mạng lưới công ty Không giống hộp cát (sandbox) hay giải pháp khác, BitBox vùng nhớ hay lệnh nhân chia sẻ Do đó, tất khía cạnh trang web, bao gồm hình ảnh, biểu ngữ quảng cáo, văn video, chạy môi trường biệt lập mà không làm suy yếu hệ điều hành tệp tin 12 2.1.2 Các ưu điểm Browser in the box Bảo vệ chủ động: Trojan, Ransomware, công APT khai thác lỗ hổng zero-day khơng cịn hiệu với giải pháp hai trình duyệt Nhờ cơng nghệ ảo hóa, trường hợp trình duyệt bị nhiễm phần mềm độc hại, khu vực quan trọng hệ thống tệp người dùng sở hạ tầng công ty bị xâm phạm Cài đặt quản trị đơn giản: Hệ thống quản trị riêng, trình quản lý đối tượng tin cậy R&S cho phép quản trị tập trung kiến trúc cơng nghệ có sẵn Nó liên kết với dịch vụ Windows Active Directory qua đến người dùng mạng Điều cho phép triển khai BitBox máy tính nhân viên cho tồn nhóm người dùng, cấp phát quyền riêng lẻ Phân tách mạng nội bộ/Internet cấp độ mạng: Với mạng riêng ảo (Virtual Private Network - VPN) tin cậy cổng Web an toàn hãng R&S, Internet mạng nội cách ly lẫn không cấp độ máy tính mà cịn cấp độ mạng An toàn lướt mạng hotspot WLAN làm việc nhà: Với BitBox có kích hoạt chế độ hotspot quyền, máy tính bảo vệ hiệu trước cơng xen mạng WLAN công cộng Người dùng lướt web an tồn mạng WLAN riêng làm việc nhà Thực thống lệnh phù hợp: Với BitBox, việc lọc truy vấn giải pháp tường lửa kết hợp máy chủ proxy khơng cịn cần thiết Bởi đảm bảo an toàn với tất dạng lưu lượng truy cập Internet cá nhân Thuận tiện cho người sử dụng: BitBox cho phép plugin, in dấu trang, tải xuống tải lên tệp, cấu hình trình duyệt (dấu trang, plugin, cài đặt proxy, ) lưu không gian người dùng không thiết lập lại khởi động lại 13 2.1.3 Công nghệ phương thức hoạt động Khái niệm an toàn BitBox bao gồm ba lớp tách biệt: Lớp Linux gia cố với danh sách trắng AppArmor; Lớp thứ hai thành phần ảo hóa hồn tồn với phần mềm mã nguồn mở VirtualBox; Lớp thứ ba không gian người dùng Windows, không gian giới hạn, không tương tác riêng biệt 2.1.3.1 Linux AppArmor Linux họ hệ điều hành tự nguồn mở tương tự Unix dựa Linux kernel, hạt nhân hệ điều hành phát hành lần vào ngày 17 tháng năm 1991, Linus Torvalds Các phân phối bao gồm nhân Linux thư viện phần mềm hệ thống hỗ trợ, nhiều thư viện cung cấp GNU Project AppArmor Hệ thống Kiểm soát Truy cập Bắt buộc (MAC) giống hệ thống bảo mật dành cho Linux AppArmor giới hạn chương trình riêng lẻ tập hợp tệp, khả năng, quyền truy cập mạng giới hạn, gọi chung sách AppArmor cho chương trình Chính sách sửa đổi áp dụng cho hệ thống chạy mà khơng cần khởi động lại AppArmor nhằm mục đích dễ hiểu dễ sử dụng cho hầu hết yêu cầu phổ biến cách trình bày hồ sơ ngơn ngữ thân thiện với quản trị viên AppArmor chọn lọc việc hạn chế để số chương trình hệ thống bị hạn chế, chương trình khác khơng Hạn chế có chọn lọc cho phép quản trị viên linh hoạt tắt hồ sơ có vấn đề để khắc phục cố để phần khác hệ thống bị giới hạn Các chương trình chưa xác định chạy bảo mật Kiểm soát truy cập tùy ý (DAC) tiêu chuẩn Linux AppArmor tăng cường DAC truyền thống chương trình hạn chế đánh giá theo DAC truyền thống trước tiên DAC cho phép hành vi sách AppArmor tư vấn AppArmor hỗ trợ chế độ học tập (phàn nàn) theo hồ sơ để giúp người dùng viết trì sách Chế độ học tập cho phép tạo hồ sơ cách chạy chương trình bình thường học hành vi Sau AppArmor học đủ hành 14 vi, hồ sơ chuyển sang chế độ thực thi Mặc dù hồ sơ kết dễ chịu hồ sơ thủ công thiết kế riêng cho môi trường ứng dụng cụ thể, chế độ học tập giảm đáng kể nỗ lực kiến thức cần thiết để sử dụng AppArmor thêm lớp bảo mật quan trọng 2.1.3.1.1 DAC (Discretionary access control) Kiểm soát truy cập tùy ý nguyên tắc hạn chế quyền truy cập vào đối tượng dựa danh tính chủ thể (người dùng nhóm mà người dùng thuộc về) Kiểm soát truy cập tùy ý thực cách sử dụng danh sách kiểm soát truy cập Hồ sơ tài nguyên chứa danh sách kiểm soát truy cập xác định người dùng truy cập tài nguyên quyền (chẳng hạn đọc cập nhật) người dùng phép tham chiếu đến tài nguyên Quản trị viên bảo mật xác định cấu hình cho đối tượng (một tài nguyên nhóm tài nguyên) cập nhật danh sách kiểm soát truy cập cho cấu hình Loại kiểm sốt tùy ý theo nghĩa mà đối tượng thao túng nó, chủ sở hữu tài ngun, ngồi người quản lý bảo mật, xác định truy cập tài nguyên với quyền hạn 2.1.3.1.2 MAC (Mandatory access control) Kiểm soát truy cập bắt buộc phương pháp giới hạn quyền truy cập vào tài nguyên dựa độ nhạy cảm thông tin mà cho phép người dùng truy cập thông tin với mức độ nhạy cảm MAC xác định độ nhạy tài nguyên nhãn bảo mật Nhãn bảo mật bao gồm cấp độ bảo mật không nhiều danh mục bảo mật Mức độ bảo mật cho biết mức độ phân loại thứ bậc thơng tin (ví dụ: Bị hạn chế, Bí mật Nội bộ) Danh mục bảo mật xác định danh mục nhóm mà thơng tin thuộc (chẳng hạn Dự án A Dự án B) Người dùng truy cập thơng tin tài nguyên mà nhãn bảo mật họ cho phép họ Nếu nhãn bảo mật người dùng đủ quyền hạn, người dùng khơng thể truy cập thơng tin tài ngun 15 2.1.3.2 Ảo hóa VirtualBox Là tảng ứng dụng cho phép tạo, quản lý chạy máy ảo (VMs) Máy ảo máy tính có phần cứng mơ máy tính chủ Cho phép bạn thiết lập nhiều máy ảo (VM) máy tính vật lý sử dụng chúng đồng thời với máy tính vật lý thật Mỗi máy ảo cài đặt thực thi hệ điều hành riêng mình, bao gồm phiên Microsoft Windows, Linux, BSD MS-DOS Bạn cài đặt chạy máy ảo bạn thích được, hạn chế dung lượng ổ cứng nhớ RAM thơi 2.2 Tìm hiểu sâu chế Browser in the box Hệ điều hành Linux gia cố hệ điều hành tối giản có trình duyệt mà khơng có ứng dụng khác Nhân hệ điều hành gia cố với danh sách trắng AppArmor Ở cấp độ tiến trình, AppArmor sử dụng để xác định truy cập cho phép bên hệ điều hành Linux ảo Nếu ứng dụng trình duyệt thực thi tác vụ khơng phép, ví dụ ứng dụng bị kẻ cơng thay đổi, tiến trình từ chối truy cập đến tác vụ Khác với giải pháp khác, nhớ nhân sử dụng BitBox không chia sẻ với hệ thống chủ Windows Việc sử dụng Linux làm cho việc cơng khó cơng phải thiết kế nhắm mục tiêu đến Linux Windows Điều làm tăng đáng kể nỗ lực kẻ cơng, làm giảm khả bị công Như đề cập trước đây, phân tách đưa vào danh sách trắng chiến lược bảo mật chủ động có lợi ích rõ ràng với BitBox nhờ lớp cách ly khác Thay dùng máy tính khác để vào mạng Internet, máy ảo tạo máy tính thơng thường Các ứng dụng người dùng chạy trực tiếp hệ điều hành, trình duyệt chạy máy ảo môi trường Linux gia cố Các thành phần không truy cập vào phần cứng hay hệ điều hành chủ Windows, mà vào phần cứng ảo hoạt động tường lửa Phần mềm độc hại từ 16 trang web không an tồn mơi trường khơng thể lây lan sang máy tính mạng LAN nội Trong bước đầu tiên, ảo hóa phân tách trình duyệt khỏi phần cịn lại máy tính Nếu yêu cầu mức độ bảo mật cao hơn, tổ chức/doanh nghiệp sử dụng BitBox để phân tách Internet khỏi mạng nội công ty Với thành phần bảo mật bổ sung này, phần mềm độc hại tiềm cách ly với mạng hạ tầng bên Việc tách biệt thực thông qua máy ảo với Linux gia cố trình khách VPN thực đường hầm VPN qua mạng nội giao thức IPsec đến cổng Web Cổng Web sau chuyển yêu cầu giải mã đến Internet Tất liệu truyền từ Internet đến trình duyệt theo cách thức Điều có nghĩa việc cơng lên định tuyến chuyển mạch mạng nội khơng thể, tất liệu tạo trình duyệt mạng đóng gói mã hóa gói VPN để ngăn chặn việc bị phân tích nội dung Điều giúp tách biệt hiệu trình duyệt với máy tính mạng nội với Internet Tầng ảo hóa theo dõi tất phần cứng ảo, cho phép ghi nhật ký xác định trạng thái máy ảo (ổ cứng nội dung nhớ) Cơ chế “snapshot” sử dụng để xác định trạng thái khởi động rõ ràng cho trình duyệt Nếu trình duyệt bị nhiễm phần mềm độc hại phiên kết nối Internet, thiết lập lại trạng thái bắt đầu Điều thực dễ dàng cách khởi động lại trình duyệt Việc khơi phục hồn tồn máy tính hay máy chủ đầu cuối thay khởi động lại đơn giản trình duyệt ảo hóa Tất tiến trình làm việc Windows hoạt động bình thường ứng dụng Word Excel sử dụng theo cách quen thuộc Nhấp vào biểu 17 tượng BitBox máy tính để bàn khởi chạy trình duyệt Web hình thức máy tính ảo độc lập 18 KẾT LUẬN Giải pháp Brower in the Box hãng R&S thiết kế dựa nguyên tắc “an toàn nhờ thiết kế” Browser in the Box triển khai số quan thuộc phủ Đức, có lực lượng cảnh sát bang Baden-Wurttemberg, theo nhân viên đồn cảnh sát sử dụng Browser in the Box điều tra, tra cứu thông tin Internet mà có trang web khơng đáng tin cậy Điều có nghĩa họ sử dụng Internet mà khơng phải lo lắng 19 TÀI LIỆU THAM KHẢO [1] Mandatory access control (MAC) - IBM Documentation [2] Discretionary access control (DAC) - IBM-ova dokumentacija [3] R&S®Browser in the Box - Workstation | Rohde & Schwarz (rohdeschwarz.com) [4] Tổng quan phần mềm ảo hóa Virtual Box , cách cài đặt tạo máy ảo từ VirtualBox ubuntu (P1) (viblo.asia) [5] Bảo đảm an toàn truy cập web với Browser in the Box - Tạp chí An tồn thơng tin (antoanthongtin.vn) 20 ... “TÌM HIỂU CÁCH THỨC SỬ DỤNG TRÌNH DUYỆT WEB AN TỒN, TÌM HIỂU GIẢI PHÁP DUYỆT WEB AN TỒN VỚI BROWSER IN THE BOX? ??, nhóm em muốn tìm hiểu đưa giải pháp tốt nhằm đảm bảo an toàn người dùng lướt web. .. thiệu chung Browser in the box 2.1.1 Tổng quan Brower in the Box giải pháp truy cập web an toàn hãng Rohde & Schwarz (R&S) thông qua môi trường ảo tách biệt với hệ điều hành Windows Giải pháp sử... nghiên cứu giải pháp duyệt web an toàn với Browser in the box 1.3 Phương pháp nghiên cứu Tham khảo tài liệu : Sử dụng kiến thức học trường kết hợp với thông tin thu thập từ tài liệu khác Internet