Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 24 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
24
Dung lượng
1,09 MB
Nội dung
Bài thi cuối kì mơn An Ninh Mạng MỞ ĐẦU Trong thời đại Internet công nghệ thông tin phát triển mạnh mẽ nay, ngày có nhiều thơng tin lưu trữ máy tính gửi nhận khơng gian mạng Do nhu cầu an tồn bảo mật thơng tin, kế hoạch, giải thuật hay phương pháp hệ thống, dịch vụ ngành an ninh mạng đưa ra, bàn luận phát triển nhiều Cũng tình vậy, Web sử dụng HTTP gặp nhiều bất lợi vấn đề bảo mật Khi mà tin hay yêu cầu người dùng gửi không qua bước mã hóa Kẻ cơng nhanh chóng nắm bắt điều đó, để đưa loại kiểu công nguy hiểm Không gây hại tới người dùng, làm gói tin, mà chí ảnh hưởng tới hệ thống thơng tin HTTP đời trước bước chân vào ngành công nghiệp Viễn Thông nhiều người dùng khoảng vào năm 1993 [2] Với thách thức lớn bảo mật-an ninh WWW, khơng lâu sau đó, năm 1994, HTTPS đời cho trình duyệt web Netscape Navigator [3] HTTPS sử dụng lớp khiên mã hóa chứng SSL, phiên sau TLS để bảo vệ cho HTTP Những năm sau 2000, HTTPS bắt đầu được đưa vào sử dụng, xác định đánh dấu hiệu nhiều trình duyệt Web, tồn giới, ví dụ Google Như vậy, HTTPS khác so với HTTP? Các công Web diễn nào? HTTPS hay SSL/TLS thực mã hóa cấp chứng để tăng cường an ninh bảo mật cho HTTP, giúp tảng Web chống lại công? Những vấn đề làm rõ phần nội dung tiểu luận nhóm em Phạm vi tiểu luận nằm lĩnh vực Viễn Thông, xét quan điểm kiến thức môn học An Ninh Mạng Bao gồm nội dung chính, thể bảng sau: BẢNG PHÂN CÔNG NỘI DUNG TIỂU LUẬN MỞ ĐẦU 1.1 Giao thức HTTP I TỔNG QUAN VỀ CÁC GIAO THỨC HTTP, HTTPS, SSL/TLS 1.2 Giao thức HTTPs 1.3 Hạ tầng khóa công khai PKI 1.4 Giao thức SSL/TLS II CÁC KIỂU TẤN CÔNG WEB III CƠ CHẾ HOẠT ĐỘNG CỦA SSL/TLS(HTTPS) ĐỂ KHẮC PHỤC CÁC NGUY CƠ TẤN CÔNG IV KẾT LUẬN 2.1 Tổng quan công mạng 2.2.1 Tấn công trung gian 2.2 Các kiểu 2.2.2 Tấn công giả mạo công Web 2.2.3 Tấn công sở liệu 2.2.4 Các kiểu công khác 3.1 Cơ chế bắt tay 3.2 Tác dụng chứng SSL 3.3 Cơ chế mã hóa phiên 3.4 Các cách khắc phục khác ngồi HTTPS Bài thi cuối kì mơn An Ninh Mạng MỤC LỤC MỞ ĐẦU MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC THUẬT NGỮ VIẾT TẮT I TỔNG QUAN VỀ CÁC GIAO THỨC HTTP, HTTPS, SSL/TLS 1.1 Giao thức HTTP 1.2 Giao thức HTTPS 1.3 Hạ tầng khóa cơng khai PKI 10 1.4 Giao thức SSL/TLS 11 II CÁC KIỂU TẤN CÔNG WEB 12 2.1 Tổng quan công mạng 12 2.2 Các kiểu công Web 13 2.2.1 Tấn công trung gian 13 2.2.2 Tấn công giả mạo 15 2.2.3 Tấn công sở liệu 16 2.2.4 Các kiểu công khác 18 III CƠ CHẾ HOẠT ĐỘNG CỦA SSL/TLS (HTTPS) ĐỂ KHẮC PHỤC CÁC NGUY CƠ TẤN CÔNG 19 3.1 Quá trình bắt tay 19 3.2 Tác dụng chứng SSL 20 3.3 Cơ chế mã hóa phiên 21 3.4 Các cách khắc phục khác HTTPS 22 IV KẾT LUẬN 24 LỜI KẾT 25 DANH MỤC TÀI LIỆU THAM KHẢO 26 Bài thi cuối kì mơn An Ninh Mạng DANH MỤC HÌNH ẢNH Hình 1: Phiên làm việc HTTP Hình 2: Sự khác biệt HTTP HTTPS Hình 3: SSL giúp mã hóa liệu gửi từ website tới Web Server Hình 4: Phân biệt trang Web HTTP hay HTTPS Address Hình 5:Cơ chế cấp khóa PKI 11 Hình 6: Man-in-the-Middle attack 13 Hình 7: Tấn cơng mạo danh qua email 16 Hình 8: Tấn cơng DDoS 17 Hình 9: Tấn cơng phần mềm độc hại 18 Hình 10: Quy trình Server-Client bắt tay 19 Hình 11: Mơ hình hệ thống mật mã hóa đối xứng 21 Hình 12: Sử dụng Proxy để tránh DDoS 22 Hình 13: Mơ hình sử dụng IDS 23 Bài thi cuối kì mơn An Ninh Mạng DANH MỤC THUẬT NGỮ VIẾT TẮT AES: Advanced Encryption Standard CA:Certificate Authorities CR: Certificate Repository CRM: Customer Relationship Management DES: Data Encryption Standard DNS: Domain Name System DDoS: Distributed Denial Df Service EE: End Entiny IETF: Internet Engineering Task Force IoT: Internet of Things HTTP: Hyper Text Transfer Protocol HTTPs: Hyper Text Transfer Protocol Secure MITM: Man In The Middle PKI: Public Key Infrastructure RA: Registration Authority TLS: Transport Layer Security SEO: Search Engine Optimization SQL: Structured Query Language SSL: Secure Sockets Layer USB: Universal Serial Bus VA: Validation Authority W3C: World Wide Web Consortium WWW: World Wide Web Bài thi cuối kì mơn An Ninh Mạng I TỔNG QUAN VỀ CÁC GIAO THỨC HTTP, HTTPS, SSL/TLS: 1.1 Giao thức HTTP: - HTTP (Hyper Text Transfer Protocol) giao thức nằm lớp ứng dụng (Application layer) tập giao thức TCP/IP, sử dụng để truyền nhận liệu hệ thống phân tán thông qua internet, cụ thể giao thức hoạt động theo mơ hình Client-Server cách thực trình request-response hệ thống máy tính khác Giao thức HTTP quy định cấu trúc gói tin cách thức truyền nhận liệu client server thông qua môi trường internet [4] - Lịch sử ứng dụng: Giao thức HTTP tạo vào năm 1989, việc phát triển HTTP ban đầu nỗ lực phối hợp IETF W3C HTTP/1.1 chuẩn hóa lần vào năm 1997 Sau đó, HTTP/2 giao thức tiếp tục phát triển phát hành vào năm 2015, hỗ trợ hầu hết trình duyệt web máy chủ web lớn qua Bảo mật tầng truyền tải (TLS) Tiếp tục kế thừa HTTP/2, HTTP/3 sử dụng web UDP thay TCP cho giao thức truyền tải Hỗ trợ cho HTTP/3 thêm vào Cloudflare Google Chrome vào tháng năm 2019, sử dụng phiên ổn định Chrome Firefox [5] - Với khả truyền dẫn siêu văn (text, hình ảnh, âm thanh, video,…), HTTP tảng truyền dẫn liệu ứng dụng duyệt web ứng dụng nhiều hệ thống Internet of Things - Hoạt động: Để dễ hình dung, người dùng sử dụng trình duyệt truy cập vào website, phiên làm việc HTTP (gọi Session) diễn với client máy tính người dùng serer máy chủ website Mặc định HTTP thực thơng qua port 80: Hình 1: Phiên làm việc HTTP Bài thi cuối kì mơn An Ninh Mạng Ví dụ người dùng truy cập vào địa chỉ: https://qldt.ptit.vn//lichthihocki Quá trình phiên làm việc HTTP diễn sau: 1- HTTP client thiết lập kết nối TCP đến server Nếu thiết lập thành công, client server truyền nhận liệu với thông qua kết nối này, kết nối thiết lập gọi socket interface bao gồm thông tin: địa IP, loại giao thức giao vận (chính TCP), port (mặc định 80) 2- Sau kết nối thành công, client gửi HTTP request đến server thông qua socket interface vừa thiết lập Trong gói tin request chứa đường dẫn yêu cầu (path name) //lichthihocki 3- Server nhận xử lý request từ client thơng qua socket, sau đóng gói liệu tương ứng gửi HTTP response cho client Dữ liệu trả file HTML chứa loại liệu khác văn bản, bảng biểu, hình ảnh… 4- Server đóng kết nối TCP 5- Client nhận liệu phản hồi từ server đóng kết nối TCP 1.2 Giao thức HTTPS: - Hiện nay, môi trường mạng Internet ngày phát triển, số người sử dụng để truy cập web ngày nhiều nên kéo theo số tội phạm mạng tăng cao Vậy nên cần có chuẩn bảo mật web an tồn Đó lí xuất HTTPs HTTPs dần thay cho HTTP - HTTPs (Hyper Text Transfer Protocol Secure) phần mở rộng thêm HTTP, giao thức truyền tải siêu văn an toàn Đây giao thức HTTP tích hợp thêm bảo mật, mã hóa tin Có thể thấy, HTTPs phiên bổ sung bảo mật, an tồn HTTP Hình 2: Sự khác biệt HTTP HTTPS Bài thi cuối kì mơn An Ninh Mạng - Sự khác biệt lớn HTTP HTTPs chứng SSL Về HTTPs giao thức HTTP có thêm bảo mật bổ sung, mã hóa liệu đường truyền Hiện nay, thông tin số hóa giao thức HTTPs lại trở nên vơ cần thiết cho bảo mật website Port cổng xác định thông tin máy khách, phân loại để gửi đến máy chủ Giao thức HTTP sử dụng Port 80, HTTPs sử dụng Port 443, cổng hỗ trợ mã hóa kết nối từ máy tính client tới server, nhằm bảo vệ gói liệu truyền tải - Hoạt động: Các trang HTTPS thường sử dụng hai giao thức bảo mật để mã hóa thơng tin liên lạc - SSL (Secure Sockets Layer, tầng ổ bảo mật) TLS (Transport Layer Security, bảo mật tầng truyền tải) Cả hai giao thức TLS SSL sử dụng hệ thống PKI (Public Key Infrastructure, hạ tầng khóa cơng khai) khơng đối xứng Một hệ thống khơng đối xứng sử dụng hai “khóa” để mã hóa thơng tin liên lạc, khóa “cơng khai” khóa “riêng” Bất thứ mã hóa khố cơng khai (public key) giải mã khóa riêng (private key) ngược lại Hình 3: SSL giúp mã hóa liệu gửi từ website tới Web Server - Như tên cho thấy, khóa “riêng” cần bảo vệ nghiêm ngặt truy cập chủ nhân khóa riêng Trong trường hợp trang web, khóa riêng giữ kín máy chủ web Ngược lại, khóa cơng khai phân phối cho tất người cần để giải mã thơng tin mã hố khóa riêng Giao thức HTTPS tăng uy tín website người dùng Hình 4: Phân biệt trang Web HTTP hay HTTPS Address Bài thi cuối kì mơn An Ninh Mạng - Một số trình duyệt web phổ biến Google Chrome, Mozilla Firefox, Microsoft Edge, hay Apple Safari có cảnh báo người dùng website “không bảo mật” sử dụng HTTP Địa Động thái giúp cảnh báo bảo vệ thông tin người dùng lướt web, bao gồm thông tin cá nhân, thẻ ngân hàng liệu nhạy cảm khác.[6] 1.3 Hạ tầng khóa cơng khai PKI: 1.3.1 Các thành phần, vai trò chức năng: - Hạ tầng khóa cơng khai chế cho bên thứ (thường nhà cung cấp chứng thư số) cung cấp xác thực định danh bên tham gia vào q trình trao đổi thơng tin Cơ chế cho phép gán cho người sử dụng hệ thống cặp khố cơng khai/khóa bí mật Mục tiêu PKI cung cấp khóa cơng khai xác định liên hệ khóa định danh người dùng Nhờ người dùng sử dụng số ứng dụng như: Mã hóa giải mã văn Xác thực người dùng ứng dụng Mã hóa email xác thực người gửi email Tạo chữ kí số văn điện tử - PKI gồm thành phần sau: Thực thể cuối (End Entiny - EE): Là đối tượng sử dụng chứng nhận (chứng thư số) Đây tổ chức, người cụ thể dịch vụ server Tổ chức chứng nhận (Certificate Authority - CA): Có nhiệm vụ phát hành, quản lí hủy bỏ chứng thư số Đây thực thể quan trọng PKI mà thực thể cuối tín nhiệm Chứng nhận khóa cơng khai (Public Key Certificate): Một chứng nhận khóa cơng khai thể hiện, chứng nhận ràng buộc danh tính khóa cơng khai thực thể cuối Chứng nhận khóa cơng khai chứa đủ thơng tin cho thực thể khác xác nhận kiểm tra danh tính chủ nhận chứng nhận Định dạng sử dụng rộng rãi chứng thư số dựa chuyển IETF X.509 Tổ chức đăng kí chứng nhận (Registration Authority - RA): Mục đích RA để giảm tải công việc CA xác thực; kiểm tra tính hợp lệ thơng tin chủ thể cung cấp; xác thực quyền chủ thể thuộc tính chứng thư số u cầu; tạo khóa bí mật, cơng khai; thay mặt chủ thể cuối khởi tạo q trình đăng kí với CA Kho lưu trữ chứng nhận (Certificate Repository - CR): Hệ thống (tập trung phân tán) lưu trữ chứng thư danh sách chứng thư bị thu hồi; cung cấp chế phân phối chứng thư danh sách thu hồi chứng thư 1.3.2 Cơ chế cấp: - B1: Người dùng gửi yêu cầu phát hành thẻ chứng thư số khóa cơng khai đến RA - B2: Sau xác nhận tính hợp lệ định danh người dùng RA chuyển yêu cầu đến CA - B3: CA phát hành thẻ chứng thư số cho người dùng - B4: Sau người dùng ký thơng điệp trao đổi thẻ chứng thư số vừa nhận từ CA sử dụng chúng (chứng thư số + chữ kí số) giao dịch Bài thi cuối kì mơn An Ninh Mạng - B5: Định danh người dùng kiểm tra đối tác thông qua hỗ trợ VA (Validation Authority: Cơ quan xác thực bên thứ ba cung cấp thông tin thực thể thay mặt cho CA) Hình 5:Cơ chế cấp khóa PKI - B6: Nếu chứng thư số người dùng xác nhận tính hợp lệ đối tác tin cậy người dùng bắt đầu q trình trao đổi thơng tin với (VA nhận thơng tin thẻ chứng thư số phát hành từ CA(a)).[7] 1.4 Giao thức SSL/TLS: Giới thiệu SSL: - Như giới thiệu phần đặt vấn đề phần mở đầu, từ năm 1994 mà HTTPS đời, giao thức bảo mật sử dụng giao thức SSL để tạo “lớp khiên bảo mật” thêm vào HTTP cho trang Web - SSL hay Secure Sockets Layer/Tầng socket bảo mật giao thức mật mã phát triển để gửi thơng tin cách an tồn qua Internet Nó thực truyền thơng mã hóa máy chủ Web server trình duyệt người dùng SSL đảm bảo tất liệu truyền máy chủ web trình duyệt mang tính riêng tư, tách rời Nhiều trang web sử dụng SSL cho khu vực an toàn trang web họ, chẳng hạn trang tài khoản người dùng tốn trực tuyến Thơng thường, bạn yêu cầu "đăng nhập" trang web, trang kết bảo mật SSL [8] - Bằng cách sử dụng mật mã hóa đối xứng (sử dụng chứng thực X.509) để xác thực bên trao đổi khóa đối xứng Sau đó, khóa phiên dùng để mã hóa liệu tin trình truyền qua lại hai bên Do vậy, phương pháp cho phép bảo mật liệu xác thực tính tồn vẹn thơng điệp/ tin thông qua mã xác thực [9] Chứng SSL: - Trước thực việc mã hóa tin muốn gửi, với chế SSL, có bên xác minh tính xác thực tin cậy người dùng website, tránh nguy bị can thiệp trình trao đổi tin Bài thi cuối kì mơn An Ninh Mạng - Chứng số SSL ban hành Certificate Authorities (CA) (bên thứ ba vừa nói trên) người đóng vai trị tương đương với người cung cấp hộ chiếu để xác nhận danh tính người Các tổ chức muốn cung cấp dịch vụ mã hóa SSL/TLS phải mua chứng từ CA Sau họ xác minh có phải tổ chức cơng nhận (hợp lệ) để mã hóa SSL tham gia vào phiên truyền thơng Ví dụ: doanh nghiệp muốn mua chứng số để bảo mật website abc.com, doanh nghiệp cần phải thực số bước để chứng minh với CA họ kiểm soát domain abc.com Bằng cách đó, có kết nối đến abc.com nhận lại chứng SSL hợp lệ ban hành CA tin cậy – họ chắn họ giao tiếp với chủ sở hữu thực hợp pháp abc.com Các phiên sau SSL-TLS: - SSL thiết kế, thử nghiệm đưa vào hoạt động từ năm 1994 Nhưng năm 1999 tiêu chuẩn hóa tổ chức IETF kể từ cung cấp cho tên mới: Transport Layer Security hay TLS Theo đặc tả thông tin TLS “sự khác biệt giao thức TLS SSL 3.0 ít“ Do đó, khơng có lý để so sánh TLS với SSL cả, thay vào đó, hai gộp lại để tạo thành chuỗi giao thức cập nhật liên tục thường xuyên dạng SSL/TLS Giao thức TLS mã hóa tất loại lưu lượng internet Phổ biến lưu lượng website [10] TLS 1.2 - Là phiên giao thức gần tồn nhiều năm Nó thiết lập loạt tùy chọn mật mã để giao tiếp Tuy nhiên, giống phiên giao thức trước đó, cho phép kỹ thuật mật mã cũ sử dụng – để hỗ trợ dịng máy tính cũ Cũng lỗ hổng bảo mật từ kỹ thuật mật mã cũ dễ trở thành mục tiêu công hacker, theo thời gian, sức mạnh tính tốn nhanh với chi phí ngày rẻ - Đặc biệt, phiên TLS 1.2 trở nên dễ bị công kỹ thuật sử dụng gọi “man-in-the-middle“, hacker chặn gói tin lại, đánh cắp thơng tin, chỉnh sửa gửi gói tin giả mạo TLS 1.3 - Là phiên TLS giúp khắc phục nhiều lỗ hổng tồn phiên TLS 1.2 trước loại bỏ chế mã hóa cũ Nó có khả tương thích ngược với TLS 1.2 – nghĩa kết nối trở lại sử dụng phiên TLS 1.2 hai bên giao tiếp không hỗ trợ phiên TLS 1.3 Ưu điểm sử dụng TLS 1.3 kết nối quay ngược sử dụng TLS 1.2 mà bị hacker sử dụng kỹ thuật “man-in-the-middle” để đánh cắp gói tin bị phát ngắt kết nối II CÁC KIỂU TẤN CÔNG WEB: 2.1 Tổng quan công mạng: - Khái niệm công mạng công không gian mạng tiếng Anh Cyber attack, ghép từ từ: Cyber (không gian mạng Internet) Attack (sự công, phá hoại) Vậy cơng mạng tất hình thức xâm phạm trái phép vào hệ thống máy tính, website, Bài thi cuối kì mơn An Ninh Mạng sở liệu, hạ tầng mạng, thiết cá nhân tổ chức thông qua mạng Internet với mục đích bất hợp pháp - Những kẻ cơng mạng gọi Cyber-crime (tội phạm mạng) hay chúng thường gọi tên hacker Các hacker người có kiến thực chun sâu an ninh mạng, khoa học máy tính, khoa học mật mã, sở liệu - Đối tượng bị cơng mạng cá nhân, doanh nghiệp, tổ chức phủ phi phủ, quan nhà nước, chí đối tượng quốc gia Như đối tượng bị công mạng Tuy nhiên, đối tượng phổ biến công mạng doanh nghiệp, đơn giản mục tiêu kẻ cơng lợi nhuận - Mục tiêu công mạng đa dạng; vi phạm liệu (đánh cắp, thay đổi, mã hóa, phá hủy); nhắm tới toàn vẹn hệ thống gây gián đoạn, cản trở dịch vụ; lợi dụng tài nguyên nạn nhân (hiển thị quảng cáo, mã độc tiền ảo) Bên cạnh mục đích phổ biến trục lợi phi pháp cịn tồn số mục đích khác phức tạp nguy hiểm công an ninh kinh tế quốc gia, 2.2 Các kiểu công Web: 2.2.1 Tấn công trung gian: Hình 6: Man-in-the-Middle attack - Ngày nay, thơng tin người sử dụng ngày có giá trị cao, việc nghe lén, xem trộm hay sửa đổi thông tin để lừa đảo, chế giễu người khác vấn đề nghiêm trọng Một cách để công mạng phổ biến nguy hiểm công trung gian - Tấn công Man In The Middle (MITM) cơng xảy hai máy tính Kẻ cơng nghe lén, xem trộm, sửa thông tin đánh cắp thông tin nhạy cảm Các công trung gian vấn đề nghiêm trọng Kẻ cơng mạo danh hai bên cố gắng gửi cho Kẻ cơng chặn, gửi nhận liệu cho hai bên, mà hai bên khơng biết Tấn cơng trung gian thường chia làm hai giai đoạn: interception decryption Kẻ công ngăn chặn liệu truyền hai Bài thi cuối kì mơn An Ninh Mạng bên Sau giải mã liệu mã hóa, từ thay đổi theo ý kẻ công mong muốn Các công trung gian thường thực theo nhiều cách khác nhằm khai thác thông tin liên lạc bên với - Tấn công trung gian tên gọi chung cho cách thức công vào đoạn trung gian hay đường truyền liệu Trong thực tế có nhiều loại cơng trung gian khác Nhưng phạm vi tiểu luận em nêu sáu loại công trung gian phổ biến mà thường thấy thực tế: Đầu tiên IP spoofing hay gọi giả mạo IP Trên mạng internet thiết bị mạng có địa IP (Internet Protocol address) tương ứng với địa nhà Để cơng vào hệ thống nhà chúng kẻ cơng từ bên ngồi “chiếm” địa IP tin cậy hệ thống mạng nhà Bình thường kẻ cơng công liệu thiết lập lệnh tồn dòng liệu truyền client server Hoặc kẻ cơng cơng vào liệu lệnh kết nối mạng ngang hàng (peer-to-peer) Kẻ cơng lúc thay đổi bảng định tuyến hệ thống mạng Khi bảng định tuyến thay đổi, việc dễ dàng cho kẻ công tin liên lạc bên chuyển gói tin Từ kẻ giả mạo phản hồi lại gói liệu cho bên liên lạc người dùng tin cậy hệ thống Thứ hai cơng DNS spoofing hay cịn gọi giả mạo DNS DNS (Domain Name System) hệ thống phân giải tên miền, DNS làm công việc chuyển từ tên miền thành địa IP ngược lại từ địa IP thành tên miền DNS spoofing kỹ thuật làm cho người dùng vào website giả mạo website mà người dùng định truy cập Người dùng không phát tin tưởng website website kẻ cơng Bình thường, truy vấn DNS chứa nhận dạng gửi qua mạng để phân biệt tin truy vấn đáp trả Một kẻ công chặn DNS gửi từ thiết bị Sau kẻ cơng gửi lại gói tin giả mạo chứa nhận dạng truy vấn DNS để gói tin chấp nhận Từ đó, kẻ cơng lừa người dung truy cập vào website giả mạo mà chúng mong muốn, thay website người dung muốn vào ban đầu Thứ ba HTTPs spoofing – giả mạo HTTPs Khi vào trang website, kẻ cơng đánh lừa trình duyệt truy cập trang website đáng tin cậy không nhận cảnh báo trình duyệt Từ đó, kẻ cơng theo dõi hành động website giả mạo đánh cắp thông tin cá nhân mà tương tác Thứ tư Email hijacking hay gọi đánh cắp email Khi nhận email học viện PTIT yêu cầu đăng nhập vào tài khoản để xác nhận thông tin học bổng Chúng ta nhấp vào liên kết email đưa đến trang website lừa đảo để đăng nhập thông tin vào tài khoản Thực chất lúc khơng đăng nhập vào tài khoản mà bàn giao lại thơng tin cho kẻ lừa đảo Đây dạng lừa đảo phổ biến nay, thể cải tiến thành tin nhắn điện thoại hay qua tin nhắn qua tảng mạng xã hội Thường kẻ công giả mạo ngân hàng, tổ chức uy tín, tổ chức tài khiến cho bất cẩn, làm theo hướng dẫn email chúng Hiện nay, kiểu công Email hijacking hiệu đánh cắp liệu người dùng, tàn phá tài NHĨM 13/ LỚP 04 14 Bài thi cuối kì mơn An Ninh Mạng Tiếp theo WiFi eavesdropping – nghe Wi-Fi kiểu công vào mạng WiFi Thường định tuyến WiFi khơng có bảo mật, bảo mật bảo mật WiFi cá nhân người dùng khiến cho kẻ cơng truy cập vào WiFi Từ đó, kẻ cơng thiết lập kết nối WiFi với tên đăng nhập mật nghe hợp pháp Khi người dùng kết nối với WiFi kẻ cơng chúng theo dõi hoạt động trực tuyến người dùng để đánh cắp liệu quan trọng chặn thông tin đăng nhập, thông tin thẻ ngân hàng… Ở nơi có bảo mật WiFi WiFi cơng cộng cần cẩn thận hạn chế không đăng nhập vào WiFi mật Stealing browser cookies – ăn cắp cookie trình duyệt Trước hết, cookies file tạm tạo máy tính truy cập vào trang website, lưu trữ thông tin cá nhân tài khoản đăng nhập, mật khẩu… Sau lần truy cập, thông tin người dung lưu trữ cookie sau website dung lại thơng tin cookie mà người dung khơng cần làm lại thao tác đăng nhập hay nhập lại thông tin Vấn đề những site quản lý việc dung lại thơng tin lưu cookie khơng xác, kiểm tra không đẩy đủ nên kẻ công hack vượt qua để chiếm quyền điều khiển site Kẻ công bắt chước cookie người dùng trang mạng đăng nhập người dung bình thường.[11] 2.2.2 Tấn cơng giả mạo: - Phishing (Tấn cơng giả mạo) hình thức công mạng mà kẻ công giả mạo thành đơn vị uy tín để lừa đảo người dùng cung cấp thông tin cá nhân cho chúng - Phương thức phishing biết đến lần vào năm 1987 Nguồn gốc từ Phishing kết hợp từ: fishing for information (câu thông tin) phreaking (trò lừa đảo sử dụng điện thoại người khác khơng trả phí) Do giống việc “câu cá” “câu thông tin người dùng”, nên thuật ngữ Phishing đời - Thông thường, tin tặc giả mạo thành ngân hàng, trang web giao dịch trực tuyến, ví điện tử, cơng ty thẻ tín dụng để lừa người dùng chia sẻ thông tin nhạy cảm như: tài khoản & mật đăng nhập, mật giao dịch, thẻ tín dụng thơng tin quý giá khác Đối với email: - Tin tặc gửi email cho người dùng danh nghĩa đơn vị/tổ chức uy tín (ví dụ cơng ty tuyển dụng/ nhà thuốc/một cửa hàng tiếng/một đài truyền hình/một thi tiếng/ Ngân hàng lớn), dụ người dùng click vào đường link dẫn tới website giả mạo “mắc câu” Những email giả mạo thường giống với email chủ, khác vài chi tiết nhỏ, khiến cho nhiều người dùng nhầm lẫn trở thành nạn nhân công - Khi kich vào đường link email, người dùng bị đánh lạc hướng số thông tin gần giống 99% tên email, hình ảnh thương hiệu logo,…Sau đó, người dùng bị dụ đăng nhập đăng kí, chí tốn tiền trang Web theo đường link NHĨM 13/ LỚP 04 15 Bài thi cuối kì mơn An Ninh Mạng Hình 7: Tấn công mạo danh qua email Đối với Website: - Các hành vi giả mạo thực tương tự với email Trang làm giả thường trang đăng nhập để cướp thông tin nạn nhân Kỹ thuật làm giả website có số đặc điểm sau: Thiết kế giống tới 99% so với website gốc; Đường link (url) khác ký tự Và ln có thơng điệp khuyến khích người dùng nhập thơng tin cá nhân vào web Với công vượt lọc Fishing: Hiện nay, nhà cung cấp dịch vụ email Google hay Microsoft có lọc email spam/phishing để bảo vệ người dùng Tuy nhiên lọc hoạt động dựa việc kiểm tra văn (text) email để phát xem email có phải phishing hay khơng Hiểu điều này, kẻ công cải tiến chiến dịch công Phishing lên tầm cao Chúng thường sử dụng ảnh video để truyền tải thơng điệp lừa đảo thay dùng text trước Người dùng cần tuyệt đối cảnh giác với nội dung [12] 2.2.3 Tấn công sở liệu: - Tấn cơng sở liệu hiểu đơn giản kẻ công nhắm tới việc phá hoại server hệ thống chứa nhiều thơng tin nhiều người dùng Có loại công phổ biến Ddos SQL injection.[13] Denial of service (hay gọi distributed denial of service DDoS) - Là hình thức cơng thường xảy hệ thống (web server) nhận nhiều yêu cầu truy cập thời điểm, hệ thống lâm vào tình trạng tải, dẫn tới việc hoạt động không ổn định, phát sinh thêm nhiều vấn đề khác Mục đích chung phương pháp công DDoS khiến cho website đột ngột vượt lượng truy cập thông thường - Tấn cơng thực nhóm nhiều Hacker Hacker cơng lượng khổng lồ yêu cầu tới server - Thực việc cơng mục đích để hạ thấp độ uy tín chủ server Ví dụ trang Web quản lí thời khóa biểu, hay trang Web tư vấn, chăm sóc khách hàng công ty, thời điểm sinh viên khách hàng cần thiết truy cập vào trang Web NHĨM 13/ LỚP 04 16 Bài thi cuối kì mơn An Ninh Mạng Hình 8: Tấn cơng DDoS SQL injection - Là cách thức tận dụng khai thác triệt để khuyết điểm, thiếu sót mặt cơng nghệ sử dụng để xây dựng website, thông thường hacker kết hợp với lỗ hổng quy trình bảo mật sở liệu Nếu thành công việc xâm nhập này, hacker hồn tồn mạo danh tài khoản thức người sử dụng, truy cập vào sở liệu, phá hoại, làm đảo lộn sở liệu người dùng lấy cắp thông tin cá nhân - Mỗi người dùng tiến hành đăng nhập vào tài khoản trực tuyến, họ phải cung cấp thông tin Tên tài khoản Mật Trong quy trình kiểm tra xác nhận tính hợp pháp tài khoản đó, hệ thống ứng dụng web tương ứng chạy câu lệnh truy vấn có dạng sau: SELECT User ID FROM Users WHERE UserName='tentaikhoan' AND Password='matkhau'; - Các phần giá trị câu lệnh query SQL phải kết thúc dấu nháy đơn ( ' ) lý để công diễn sau: Chỉ cần hacker nhập vào trường ‘tentaikhoan’ ‘tentaikhoan’ Do câu lệnh SQL, từ kí tự “ “ đằng sau bị bỏ qua Khi đó, câu lệnh sở liệu xác nhận thành: SELECT UserID FROM Users WHERE UserName='tentaikhoan' => Như vậy, hacker đăng nhập vào tài khoản mà khơng cần nhập mật Tương tự vậy, hacker xóa tồn sở liệu người dùng cách, nhập vào trường ‘tentaikhoan’ ‘tentaikhoan'; DROP TABLE Users;-Dòng lệnh database thực thành: SELECT UserID FROM Users WHERE UserName='tentaikhoan' DROP TABLE Users => Xóa hết bảng thơng tin liệu người dùng NHÓM 13/ LỚP 04 17 Bài thi cuối kì mơn An Ninh Mạng 2.2.4 Các kiểu cơng khác: - Tấn công phần mềm độc hại (Malware Attack): Với phát triển công nghệ phần mềm ngày lớn năm gần đây, hình thức cơng mạng điển hình cơng phần mềm độc hai (malware) Các phần mềm độc hại vô phong phú, số kể đến ransomeware (mã độc tống tiền), spyware (phần mềm gián điệp), virus Các tin tặc thường lợi dụng lỗ hổng bảo mật để cài đặt malware nhằm xâm nhập vào hệ thống cơng hệ thống Hình 9: Tấn công phần mềm độc hại Dĩ việc bị công vô ảnh hưởng ví dụ chặn người dùng truy cập vào file folder định, theo dõi hành động người dùng đánh cắp liệu đặc biệt làm hỏng phần cứng làm ngưng trệ hệ thống.[14] - Tấn công khai thác lỗ hổng Zero Day (Zero Day Attack) Hình thức cơng địi hỏi Hacker có trình độ cao hiểu sâu vào phần mềm nhà sản xuất Đây hình thức cơng lỗ hổng bảo mật mà chưa nhà phát triển phần mềm biết tới, chưa có sửa lỗi cho lỗ hổng kiểu Nói cách khác, công bất ngờ mà nhà phát triển phần mềm lường trước Do hậu việc công lỗ hổng thường gây thiệt hại vô nặng nề Lỗ hổng Zero-day chất lỗ hổng bảo mật phần mềm phần cứng chưa phát Chúng tồn nhiều môi trường như: website, ứng dụng mobile, hệ thống doanh nghiệp, phần mềm - phần cứng máy tính, Lỗ hổng Zero-day coi thứ hàng hóa gía trị khơng tin tặc, công ty phát triển phần mềm mà cịn quan tình báo cấp quốc gia Các tin tặc lợi dụng lỗ hổng để buôn bán trao đổi thơng tin lỗ hổng đó, sử dụng chúng để đánh cắp thơng tin người dùng.[14] NHĨM 13/ LỚP 04 18 Bài thi cuối kì mơn An Ninh Mạng III CƠ CHẾ HOẠT ĐỘNG CỦA SSL/TLS (HTTPS) ĐỂ KHẮC PHỤC CÁC NGUY CƠ TẤN CÔNG: 3.1 Quá trình bắt tay: Như đề cập SSL hoạt động để bảo vệ liệu hệ thống khỏi bị công web trình quan trọng chế chế bắt tay giữ client web server Lưu ý web server HTTPs Hình bên mơ tả q trình máy client muốn truy cập vào web server HTTPs.[15] Bước 1: Một kết nối an toàn client server thiết lập - gọi Handshake (bắt tay) Quá trình bắt đầu browser máy client truy cập vào trang web thông qua url Bằng cách gửi request lên, Client khởi tạo kết nối SSL với Server với thông tin phiên kiểu mã hóa Việc client gửi request khởi tạo kết nối SSL gọi client hello Bước 2: Bước gọi server hello Sau nhận yêu cầu từ Client, Server trả cho Client SSL certificate với public key Hồn tất q trình hello ban đầu Bước 3: Client nhận liệu Server, browser xác minh SSL certificate Những certificate kiếm soát tổ chức bảo mật (Certificate Authority) Symantec, Comodo SSL khối liệu bao gồm nhiều thông tin server như: tên domain, công ty sở hữu, thời gian certificate cấp, thời hạn certificate Bước 4: Sau xác minh xong, Browser sinh Key - K mã hóa Public Key nhận từ Server K sử dụng để mã hóa tất liệu truyền Hình 10: Quy trình Server-Client bắt tay tải Client Server Bước 5: Do q trình mã hóa sử dụng khóa cơng khai nên Client cần gửi cho Server khóa K để giải mã gói tin Server dùng private key để giải mã lấy thơng tin khóa K.[16] NHĨM 13/ LỚP 04 19 Bài thi cuối kì mơn An Ninh Mạng => Rõ ràng tất thơng tin truyền tải Client Server mã hóa xác minh Vì client chống kiểu công man-in-the-middle-attack hay replay attack - Bởi SSL cung cấp tính xác thực, có nghĩa client chắn gửi thơng tin đến máy chủ thực máy chủ đăng kí (có chứng SSL minh chứng), khơng phải đến kẻ mạo danh khác Kẻ công trung gian mạo danh Và Bước 5, cho dù kẻ công trung gian có lấy mã sau mã hóa Public khóa gửi đi, chẳng có khóa Private Server nắm để mã hóa đọc khóa K - Điều thể rõ ràng trang web xem an tồn phải đăng kí SSL Certificate đến tổ chức bảo mật, người dùng sau nhận SSL Certificate xác nhận lại với tổ chức Khi người dùng xác nhận thành cơng chứng SSL trang web xem an tồn 3.2 Tác dụng chứng SSL: - Chứng SSL thứ cho phép trang web chuyển từ HTTP sang HTTPS an toàn Chứng SSL tệp liệu lưu trữ máy chủ gốc trang web Một chứng SSL tích hợp chữ ký mật mã gần làm giả mạo SSL có cặp khóa: khóa cơng khai (public key) khóa riêng (private key) Chứng SSL giúp mã hóa SSL/TLS khả thi chúng chứa khóa cơng khai trang web danh tính trang web Các thiết bị muốn giao tiếp với máy chủ gốc tham chiếu tệp để lấy khóa cơng khai xác minh danh tính máy chủ Khóa bí mật cá nhân giữ bí mật an toàn - SSL/TLS yêu cầu bắt buộc cần xử lý thông tin nhạy cảm thông tin đăng nhập mật khẩu, phải xử lý thơng tin tốn, giao dịch tài SSL cịn sử dụng với trang web tổ chức, quan như: nhà nước, ngân hàng … không để kẻ công viết lên điều sai lệch thông tin nhà nước hay điều gây phản động Vậy nên cá nhân hay tổ chức sử dụng trang web họ để yêu cầu, nhận, xử lý, thu thập, lưu trữ hiển thị thông tin bí mật, nhạy cảm cần chứng SSL Ở việc tốn ví điện tử sàn thương mại điện tử, chuyển tiền qua trang web ngân hàng hay chuyển tiền nước ngồi SSL yếu tố bắt buộc phải có để tránh bị kẻ công cướp làm sai lệch thơng tin khách hàng SSL cịn có số ứng dụng bảo mật webmail ứng dụng Outlook Web Access, Exchange Office Communication Server Bảo mật ứng dụng ảo hóa điện tốn đám mây hay Citrix Delivery Platform Bảo mật cho truy cập control Panel hay truyền số liệu mạng nội - Gần đây, SSL cịn có tác dụng làm SEO web (Search Engine Optimization) Google coi SSL tiêu chí để đánh giá xếp hạng, “độ uy tín” bảo mật website Đối với trang web việc SEO điều quan trọng Google cơng cụ tìm kiếm hàng đầu giới nên người quản trị web nên cài đặt SSL Việc cài đặt chứng SSL trang web tiêu chuẩn – giống thiết kế đáp ứng trước vài năm Một website mà Google đánh giá cao xếp hạng “độ uy tín” NHĨM 13/ LỚP 04 20 Bài thi cuối kì mơn An Ninh Mạng có lượng truy cập cao trang website loại trang website mà khơng có SSL cảnh báo khơng tốt Google ưu tiên trang web có SSL lên phía trước vừa để giúp cho trang web đầu tư bảo mật ưu tiên xếp hạng hơn, vừa để tạo an toàn cho người dùng truy cập Từ khuyến khích tất trang web cần phải có SSL Đối với người quản trị viên web, điều quan trọng đảm bảo họ triển khai chứng SSL cách để đảm bảo trải nghiêm khách truy cập tốt tránh tình trạng giảm thứ hạng SEO tạm thời Từ làm nâng cao hình ảnh, thương hiệu độ uy tín doanh nghiệp, tổ chức [17] 3.3 Cơ chế mã hóa phiên: Sau trải qua bước bắt tay với kiểu mã hóa khóa công khai để cấp chứng SSL Người dùng xác định xác máy chủ Web uy tín mà muốn gửi tin (u cầu/ cập) Tiếp theo tới bước trao đổi thơng tin thực đảm bảo private cách mã hóa khóa đối xứng, thực theo phiên Nghĩa tin phiên trao đổi (gửi phản hồi về) mã hóa khóa đối xứng trước gửi giải mã khóa đối xứng bên nhận => Do tất tin trao đổi dù có bị hacker bắt đường truyền khơng thể đọc khơng có khóa đối xứng (chỉ có client server biết) Và việc thực đổi khóa tăng mức độ khó việc truy tìm khóa đối xứng kẻ công - Yêu cầu phân phối khóa đối xứng: Hình 11: Mơ hình hệ thống mật mã hóa đối xứng [1] Thứ khóa đủ mạnh để để kẻ cơng khơng có khả giải mã khóa để khơi phục tin Điều dựa vào độ dài khóa độ phức tạp việc chọn thuật tốn mã hóa Thứ hai khóa bí mật phải phân phối kênh an toàn Khi bàn giao bên trực tiếp Nhưng bên cách nửa vịng trái đất khơng thể Thì điều sẵn sàng đảm bảo việc gửi khóa trực tuyến với bước bắt tay chứng thực SSL kể Nghĩa khóa đối xứng mã hóa khóa cơng khai trước phân phối sang bên có bên nhận biết khóa có khóa bí mật (private key mã hóa bất đối xứng) giải mã để lấy khóa đối xứng NHĨM 13/ LỚP 04 21 Bài thi cuối kì mơn An Ninh Mạng - Các thuật tốn mã hóa khóa đối xứng để tạo khóa phiên: Có thể mật mã khối (AES, DES) mật mã dịng (RC4) Trong mật mã dịng (RC4) ưu tiên SSL trình truyền liệu Web Server trình duyệt Web Khóa tạo từ kết hợp chuỗi giả ngẫu nhiên độc lập với (không thể suy chuỗi từ chuỗi khác), với thuật tốn phức tạp => Với tính chất phức tạp việc tạo tin bảo mật kèm khóa đối xứng thủ thuật nhỏ công SQL injection kể hồn tồn khơng thể Vì tất chuỗi kí tự tên tài khoản mật hay thông tin/ tin gửi đểu mã hóa giải mã khóa khơng dựa đơn giản xét kí tự dấu ‘ ‘ 3.4 Các cách khắc phục khác HTTPS: Như trình bày trên, hình thức công mạng khắc phục website sử dụng HTTPs Nhờ có HTTPs tính an tồn trang web truy cập độ bảo mật thông tin người dùng cải thiện nhiều Tuy nhiên có nhiều hình thức cơng khác mà HTTPs khơng thể cải thiện mà phải ngăn chặn nhiều hình thức khác Ngăn chặn cơng DdoS - Như nói trên, DDos (Distributes Denial of Server) hình thức cơng từ chối dịch vụ mà hacker làm gián đoạn nghiêm trọng kết nối client thực cần sử dụng dịch vụ Website.[19] Hình 12: Sử dụng Proxy để tránh DDoS - Chúng ta hạn chế cách cơng khơng thể triệt tiêu hồn tồn Để khắc phục điều WebServer thường cài đặt hệ thống firewall (trong Linux gọi iptables) để chặn IP phát cơng DDoS Firewall có nhiều rule khác để chặn theo domain, theo session, theo URL NHĨM 13/ LỚP 04 22 Bài thi cuối kì mơn An Ninh Mạng - Ngoài sử dụng dịch vụ cân tải Server gốc tránh khỏi việc Website bị sập hay nghẽn yêu cầu cân gửi đến Server khác Hoặc sử dụng proxy đứng trước Server Website để lọc lưu lượng truy cập vào trang web.[18] Tấn công khai thác lỗ hổng Zero Day (Zero Day Attack) - Lỗ hổng phần mềm, dù Zero-day công bố tạo rủi ro bảo mật nghiêm trọng cho người dùng Bất kể người dùng máy tính thơng thường hay quản trị hệ thống nên thực biện pháp để bảo mật website - Việc cập nhật phần mềm hệ điều hành thường xuyên từ nhà sản xuất vô cần thiết Ta nên sử dụng hệ điều hành có quyền để tránh gây khó khăn q trình cập nhật Hình 13: Mơ hình sử dụng IDS - Đặc biệt việc triển khai hệ thống phát xâm nhập (IDS) Hệ thống ngăn chặn xâm nhập (IPS) bảo vệ hệ thống chống lại xâm nhập IDS phần mềm công cụ giúp ta bảo mật hệ thống cảnh báo có xâm nhập Các tính IDS bao gồm: giám sát traffic mạng hoạt động khả nghi, đưa cảnh báo điểm bất thường cho hệ thống Với IDS cảnh báo xâm nhập IPS lại có khả ngăn chặn phát tán dựa vào nội dung xâm nhập.[20] Vì sử dụng Web nói riêng, hay Internet nói chung sống công việc nhiều, việc trang bị kiến thức số cách khắc phục khác theo hướng chủ động cho người dùng tổ chức doanh nghiệp thực cần thiết Đối với cá nhân Bảo vệ mật cá nhân cách: đặt mật phức tạp, bật tính bảo mật lớp – xác nhận qua điện thoại,… Hạn chế truy cập vào điểm wifi công cộng Khơng sử dụng phần mềm bẻ khóa (crack) Ln cập nhật phần mềm, hệ điều hành lên phiên Cẩn trọng duyệt email, kiểm tra kỹ tên người gửi để phòng tránh lừa đảo Tuyệt đối không tải file nhấp vào đường link không rõ nguồn gốc Hạn chế sử dụng thiết bị ngoại vi (USB, ổ cứng) dùng chung Sử dụng phần mềm diệt Virus uy tín Ln báo cáo cho người dùng có vấn đề nguy cơng xảy đến NHĨM 13/ LỚP 04 23 Bài thi cuối kì mơn An Ninh Mạng Đối với tổ chức, doanh nghiệp Xây dựng sách bảo mật với điều khoản rõ ràng, minh bạch Lựa chọn phần mềm, đối tác cách kỹ Ưu tiên bên có cam kết bảo mật cam kết cập nhật bảo mật thường xuyên Tuyệt đối không sử dụng phần mềm crack Luôn cập nhật phần mềm, firmware lên phiên Sử dụng dịch vụ đám mây uy tín cho mục đích lưu trữ Đánh giá bảo mật & Xây dựng chiến lược an ninh mạng tổng thể cho doanh nghiệp, bao gồm thành phần: bảo mật website, bảo mật hệ thống máy chủ, mạng nội bộ, hệ thống quan hệ khách hàng (CRM), bảo mật IoT, bảo mật hệ thống CNTT – vận hành… Tổ chức buổi đào tạo, training kiến thức sử dụng internet an toàn cho nhân viên IV KẾT LUẬN: Trên tất nội dung tiểu luận xoay quanh vấn đề HTTP, HTTPS, công Web cách khắc phục chúng Nói chung, từ Web đời, HTTP phương tiện cốt lõi giúp tất nhà cung cấp dịch vụ mạng kết nối với người dùng tảng Web ngược lại Nhưng phát triển đột phá không ngừng nghỉ Internet tiếp cận nhanh chóng người với nghành cơng nghiệp đôi với nhiều vấn đề phát sinh, mà cần giải Đó “Các công mạng” Những công hành vi xấu, vi phạm pháp luật nhằm chuộc lợi bất khơng gian mạng Những kẻ cơng làm điều gọi “hacker” Người bị công không khác người dùng chí Server gốc nhà cung cấp dịch vụ hay hạ tầng/ hệ thống mạng Tất nhiên, đôi với công chiến lược ngăn chặn chúng Nhiều chiến lược đưa ra, SSL hay HTTPS chiến lược mà người nghĩ cung cấp cho Web Những công dụng kịp thời thiết yếu việc đưa quan chứng thực uy tín trước phiên truyền thơng, mã hóa tin gửi đi, sử dụng khóa hợp lí hiệu trình SSL/TLS/HTTPS nhắm tới đạt Trong thời đại nay, SSL/TLS/HTTPS biện pháp hàng đầu người dùng, thiết bị, nhà cung cấp hay hệ thống Web Có phiên không ngừng update để tiến khâu xử lí mục đích hướng tới đảm bảo chọn vẹn tính bảo mật cho người dùng mạng Tuy nhiên, có cơng khác sinh lợi thu từ tảng mạng vơ Sẽ phải có chiến lược khác SSL/TLS/HTTPS phục vụ cho Web Và suy cho cùng, muốn dập tắt cơng này, người phải bên chủ động Người dùng nên nâng cao kiến thức bảo mật an ninh mạng, trang bị nhiều yếu tố cần thiết số/ liệu cá nhân mà đem sử dụng mạng, cẩn trọng lựa chọn đường dẫn, file, nơi truy cập nơi đăng kí,…Đối với tổ chức lớn nên liên kết với bên uy tín vấn đề này, sử dụng phần mềm hay hạ tầng mạng uy tín chất lượng tốt, xây dựng môi trường an ninh mạng/ khơng gian an ninh mạng cho hệ thống quản lí lưu trữ doanh nghiệp, tư nhân viên NHĨM 13/ LỚP 04 24 Bài thi cuối kì mơn An Ninh Mạng LỜI KẾT Bài tiểu luận giúp chúng em ôn tập lại kiểu kiến thức thuộc môn An Ninh Mạng nói riêng hệ thống kiến thức Bộ mơn Mạng Viễn Thơng nói chung Như HTTP/Web, quan hệ Client-Server, Mã hóa khóa cơng khai, Mã hóa khóa đối xứng,…Từ áp dụng nghiên cứu, liên hệ tới vấn đề Tấn công mạng phân tích nhiều hướng giải quyết, khắc phục cơng Ngồi ra, rèn luyện thêm kĩ làm việc nhóm, tìm kiếm tài liệu, đọc tài liệu Tiếng Anh, phân công, làm đề cương cách trình bày tiểu luận hồn chỉnh Bài luận thực ba sinh viên nhóm, hướng dẫn giáo viên mơn An Ninh Mạng – cô Phạm Anh Thư, dựa vào tài liệu tham khảo Mong cô đóng góp thêm kĩ năng, kiến thức chỉnh sửa nhược điểm gặp phải Trân trọng cảm ơn cơ! NHĨM 13/ LỚP 04 25 Bài thi cuối kì mơn An Ninh Mạng DANH MỤC TÀI LIỆU THAM KHẢO [1] TS Phạm Anh Thư, BÀI GIẢNG MÔN An ninh mạng viễn thông TEL1401, II/ 2019-2020 [2] Công ty Cổ phần Công nghệ số Thiên Quang, “World Wide Web Là Gì? Tổng quan Lịch sử hình thành WWW”, https://hostingviet.vn/, [6/2021] [3] “HTTPS”, https://vi.wikipedia.org, [6/2021] [4] Nhóm TAPIT IoTs, “Tổng quan giao thức HTTP, phương thức truyền tải liệu client-server”, https://tapit.vn/, [6/2021] [5] “Hypertext Transfer Protocol”, https://vi.wikipedia.org, [6/2021] [6] “Giao thức HTTP HTTPS gì? Tại nên sử dụng HTTPS?”, https://resources.cystack.net/, [6/2021] [7] HuyenNguyen ,“Tổng quan PKI”, https://viblo.asia/, [6/2021] [8] “SSL”, https://techterms.com/, [6/2021] [9] “Transport Layer Security”, https://vi.wikipedia.org, [6/2021] [10] Quang Vũ, “TLS/SSL gì? SSL hoạt động internet”, https://vsudo.net/, [6/2021] [11] Doan Thi Hanh, “Man-in-the-Middle Attack (MITM)”, https://viblo.asia/, [6/2021] [12] “Phishing gì? Cách phịng chống cơng Phishing hiệu quả”, https://resources.cystack.net/, [6/2021] [13] Nhật Minh, “Một số điểm chế công SQL Injection DDoS”, https://quantrimang.com/, [6/2021] [14] “Toàn kiến thức Tấn Công Mạng (Cyber-attack)”, https://resources.cystack.net/, [6/2021] [15] Bobby, “How Does HTTPS Work? RSA Encryption Explained”, https://tiptopsecurity.com/, [6/2021] [16] Nguyen Tan Duc, “HTTP vs HTTPS: Làm để website bảo mật với SSL”, https://viblo.asia/, [6/2021] [17] “The Importance of SSL Certificates in Your SEO Rankings”, https://www.mooveagency.com, [6/2021] [18] María Bustillos, “How to Prevent a DDoS Attack on Your Website”, https://www.hostpapa.ca/, [6/2021] [19] “Nguyên nhân cách khắc phục Website bị DDOS”, https://www.digistar.vn/, [6/2021] [20] “Zero-day gì? Thế CVE?”, https://resources.cystack.net/, [6/2021] Hà Nội, 25/06/2021 NHÓM 13/ LỚP 04 26 ... 11 II CÁC KIỂU TẤN CÔNG WEB 12 2.1 Tổng quan công mạng 12 2.2 Các kiểu công Web 13 2.2.1 Tấn công trung gian 13 2.2.2 Tấn công giả mạo ... mạo 15 2.2.3 Tấn công sở liệu 16 2.2.4 Các kiểu công khác 18 III CƠ CHẾ HOẠT ĐỘNG CỦA SSL/TLS (HTTPS) ĐỂ KHẮC PHỤC CÁC NGUY CƠ TẤN CÔNG 19 3.1... đổi theo ý kẻ công mong muốn Các công trung gian thường thực theo nhiều cách khác nhằm khai thác thông tin liên lạc bên với - Tấn công trung gian tên gọi chung cho cách thức công vào đoạn trung