HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG TÊN CHUN ĐỀ: AN NINH MẠNG MÁY TÍNH, NGUY CƠ CÁC CUỘC TẤN CÔNG VÀ GIẢI PHÁP BẢO MẬT AAA Tiến Giảng viên: Nguyễn Ban Hệ đào tạo: Chính quy V KẾT CẤU CHUYÊN ĐỀ Chương 1: AN NINH MẠNG MÁY TÍNH VÀ NGUY CƠ CÁC CUỘC TẤN CÔNG Chương 2: GIẢI PHÁP BẢO MẬT AAA Chương 1: AN NINH MẠNG MÁY TÍNH VÀ NGUY CƠ CÁC CUỘC TẤN CƠNG 1.1 Nguy của các cuộc tấn công 1.2 An ninh mạng máy tính Chương 1: AN NINH MẠNG MÁY TÍNH VÀ NGUY CƠ CÁC CUỘC TẤN CÔNG 1.1 Nguy của các cuộc tấn công 1.1.1 Các đối tượng tấn công mạng Vớiđối phát triển đa dạng của công nghệ thông tin nay, Các tượng công Là đối tấn tượng sử mạng dụng cụ cácthể kỹlà: thuật Internet để dị tìm các lỗ nảy sinh lỗ hổng bảo mật với mức đợ nghiêm •hổng Hacker: (tin tặc) Xâm nhậpkhắc hợphiện pháp vào mạng cách sử trọng khác bảo mật biện hệ thống pháp đểbất thực phục phức xâm tạp nhập khó vàbằng chiếm đoạt khăn dụng cụ phá mật chiếm thác cácthông điểm tin yếudữ của hệ thông tincác bấtcông hợp pháp nhằm đoạt khai tài sản liệu thống để sửa đổi phần cứng phần mềm của máy tính quan trọng • Masquerader: Giả mạo thông tin, địa IP, tên miền, định danh người dùng… • Eavesdropping: Là đối tượng nghe trợm thơng tin nhằm đánh cắp liệu các cuộc hội thoại 1.1.2 Các lỗ hổng bảo mật Là điểm yếu hệ thống mà dựa vào đối tượng tấn cơng xâm nhập trái phép vào hệ thống A: Cho Cho phép phépthực người hợptheo pháp vàoDoS hệ • Lỗ hổng loại C: hìnhtruy thứccập tấnbất cơng kiểu thống, cóofthể phá hủy– tồn bợ hệdịch thống (Denial Services Từ chối vụ) làm ảnh hưởng tới chất lượng • Lỗ loại B: trệ, Là lỗ hổng không cần kiểm tra tính hợpphá lệ hỏng của hệdữthống dịchhổng vụ, ngưng gián đoạn hệ thống, không liễu mà chođược phépquyền ngườitruy sử dụng thêm các quyền hệ thống dẫn hoặctựđoạt cập hệ có thống đến lợ lọt thông tin 1.1.3 Một số phương thức tất cơng mạng thác tình trạng trànsố bợ đệm: Tràn bợmợt đệm tính mợt tình xảyđược • Khai Tấn công Nghe Can thiệp lén: trực vào Các các tiếp: hệ thống tham Dùng trao máy URL: đổitính thông Đây tấnlàtin công qua máy cuộc mạng tấnđôi khác công khitrạng với đưa khơng mục các tham đích bảo dị sốdữ mật trực mật liệu gửikhoản quá nhiều với khả xử lý của hệcác thống haySQL CPU khẩu, tốt tiếp vàđược vào tên lợiURL dụng tài Những điều tương này, kẻso hacker tấn ứng, cơng cócó thể thể truy sử cập dụng vào các câu đường lệnh dẫn đểHacker liệu khaiđểthác làm tê liệt hệ thống chiếm quyền kiểm soát nghe đọc liệuchủ sở trợm liệu cácdữmáy bị truyền lỗi • Kỹ thuật lừathống (Social sửan dụng đểCác nhập vào mạng Tấn cơngđánh vào hệ có Engineering): cấu hình khơng tồn: lỗcơng hổngcụ tạovà ứng các thiết lập khơng anthường tồn người quản hệ thống • máycác Kỹ Vô thuật hiệu tính hoá giảdụng Dịch mạocó địa vụ: chỉ: Kiểu Họ tấn tựcơng đặt địa nàychỉ IP của làm máy tê tính liệt mợt mìnhsốtrị trùng dịch với vụ địa định ancầu toàn hạn cấuthống hìnhnhư máy chủ webvà cho phép IPcấu Hacker của sẽhình gửi mợtkhơng các máyu tính nàyChẳng mạng liên tục bị khiến tấn công hệ Nếu bị tắc làm nghẽn điều mợt này, số • Kỹ thuật tấn công vàoqua vùng ẩn : kẻthư tấnmục côngViệc sử lập dụng kỹtrên thuật cócó quyền duyệt thống thiết cóView thể làm lợ hacker thể lấy liệu, phá hủy thông tin thực hay phá hoại hệ thống dịch vụ không khả dụnghệ cho khách hàng Source củatin trình duyệt đọc đề từ đóhay tìmcác các lỗ tin hổng trang các thông nhạy cảmđể mãtiêu nguồn, mậtvàkhẩu thông củacủa khách • hàng Webthuật Kỹ mà chúng chèn mã muốn lệnh: tấnChèn cơng mãTừcho đóphép kẻtấn tấncơng cơngvào đưahệmãthống thựcmáy thi vào chủ để • Các c̣c cơng cách sử dụng cookie: Cookie các phần liệu có lấy thông phiên webtấn tin củavề người cácbằng phiên dùng của khác khách Khi hàng mã chạy, chotửphép kẻ tấn cấu nhỏ chiahành sẻ duyệt dùng.web Chúng côngtrúc thực nhiều độngtrang web giámvà sáttrình phiên làm của việcngười trang • Tấn vàocác cáctrang lỗ hổng Cáctruy lỗ hổng bảoxác mậtđịnh pháttin đượccông tạo webbảo để mật: lưu trữ, x́t thơng ngày chiếm toàn quyền kiểm soát máy tính của nạn nhân hệcập điềutrang hành,web máy phần ngườinhiều dùngtrong truy vàchủ cácweb khu hay vực các họ quamềm trongkhác, trang web * Mợt số kiểu tấn cơng khác: • Lỗ hổng khơng đăng nhập: • Thay đổi liệu • Password-base Attact • Identity Spoofing Chương 1: AN NINH MẠNG MÁY TÍNH VÀ NGUY CƠ CÁC CUỘC TẤN CƠNG 1.2 An ninh mạng máy tính 1.2.1 Các yếu tố cần đảm bảo an ninh mạng • Dữ liệu • Tài nguyên hệ thống • Danh tiếng 1.2.2 Các phương thức đảm bảo an tồn an ninh mạng Mợt số phương thức bảo đảm an tồn, bảo mật thơng tin, liệu:  Mật mã (Cryptography)  Xác thực (Authentication)  Phân quyền (Authorization)  Tính cước (Accounting) Chương 2: GIẢI PHÁP BẢO MẬT AAA 2.1 Giải pháp bảo mật AAA 2.2 Định nghĩa 2.3 Giao thức sử dụng giải pháp AAA Chương 2: GIẢI PHÁP BẢO MẬT AAA 2.1 Giải pháp bảo mật AAA AAA cho phép người quản trị mạng biết các thơng tin tình hệ thống bảo mật mạng AAA với ba thành phần: • Xác thực (authentication) • Phân quyền (authorization) • Tính cước (accounting) AAA dùng để tập hợp thơng tin từ nhiều thiết bị mạng 2.2 Định nghĩa 2.2.1 Xác thực (Authentication) Là mợt quá trình kiểm tra dùng để định danh, nhận dạng (identify user) người dùng Trong suốt quá trình xác thực, username password của người dùng kiểm tra đối chiếu với sở liệu lưu AAA Server external database 2.2.2 Phân quyền (Authorization) Phân quyền thực thi sau xác thực hoàn thành Phân quyền AAA cho phép hoạt động giống một tập các thuộc tính mô tả mợt người dùng xác thực có 2.2.3 Tính cước (Accounting) Tính cước cho phép quản trị viên thu thập thơng tin thời gian bắt đầu, kết thúc truy cập hệ thống của người dùng, các câu lệnh thực thi, thống kê lưu lượng, tài nguyên sử dụng sau lưu trữ thông tin một hệ thống sở liệu quan hệ Nói cách khác, tính cước cho phép giám sát các dịch vụ tài nguyên sử dụng người dùng 2.3 Giao thức sử dụng giải pháp AAA 2.3.1 Giới thiệu Phân Có hai biệt giao thức TACACS+ bảo mật dùng RADIUS dịch vụ AAA: • • TACACS (Terminal Access Controller Access Control System) RADIUS (Remote Authentication Dial-In User Service) TACACS RADIUS sử dụng từ một thiết bị máy chủ truy cập mạng (NAS) đến máy chủ AAA 2.3.2 TACACS+ 2.3.2.1 Khái niệm TACACS+ TACACS mợt giao chuẩn hóa sử dụng giao thức hướng kết nối + chiathức thànhđược ba phần: (connection-oriented) TCP cổng 49,chuyển biết nhưloại mợt hợp các • Chứng thực: Các giao thức TACACS+ tiếpđến nhiều têntập người giao thứcvàđược tạotinramật nhằm đích soát quyền vào với các thiết dùng thông mục Thơng tinkiểm mã hóatruy trêncập mạng bị đầu cuối máy tính lớn Unix MD5 • Cấp quyền: TACACS + cung cấp một chế máy chủ truy cập theo Cisco đãsách tạo mợt dùng giao thức mớicập gọiđược TACACS +, phát hành một danh người truy kết nối đến một cổng để sử dụng tiêu chuẩn mở TACACS vào đầu nămthông 1990,tin tính cước cho sở liệu thơng • Tính cước: cung cấp qua TCP để đảm bảo mợt ghi tính cước hồn chỉnh an tồn 2.3.2.2 Ngun lý hoạt đợng của TACACS+ A, Xác thực TACACS+ Các giá trị có sử dụng thể ba loại trả gói từ tin máy cho tiến chủ trình AAAxác đếnthực: máy khách AAA thơng báo REPLY cuối sau: • START: Gói tin khởi tạo yêu cầu xác thực phiên người dùng, gửi đến - CHẤP NHẬN: Xác thực người dùng thành cơng quy trình phân quyền bắt máy chủ AAA đầu AAA client định cấu hình cho phân quyền • REPLY: Gói tin trả lời yêu cầu tới AAA client, thông điệp muốn - TỪ CHỐI: Xác thực người dùng không thành công Đăng nhập bị từ chối gửi đến AAA client người dùng cuối nhắc thử lại, tùy tḥc vào cấu hình của AAA client • CONTINUE: Gói tin đáp ứng cho thơng điệp gửi từ gói tin REPLY - LỖI: Đã xảy lỗi tại mợt số điểm quá trình xác nhận Máy khách AAA thường mà máy chủ AAA gửi cố gắng xác thực lại người dùng thử một phương pháp xác thực người dùng khác Tiến trình xác thực của TACACS+ 2.3.2.2 Nguyên lý hoạt động của TACACS+ B, Phân quyền tính cước  Giống REQUEST: Thông báo gửi từ máy khách AAA đến máyviệc AAA để PASS_REPL: phân quyền, Cho biết phân có hai quyền loại thành tincông đượcnhưng sử dụng máy chủ đãchủ chọn tính bỏ cước qua yêu cầu phân (Accounting): U CẦUquyền thay thơng tin gửi lại RESPONSE RESPONSE: Thông báo gửi từtừmáy chủ AAA trởmáy lại máy khách AAA RESPONSE: báo gửi từ AAA máy chủ AAA trởAAA lại khách AAA với kết ** REQUEST: báorằng gửi máy khách đến máy chủyêu FOLLOW:Thông Cho biết máy chủ muốn máy khách AAA gửi cầu quảcho REQUEST tính vàphân chứa mợt ba câu trảtiết lời: với kết của yêucước cầuvề quyền, bao gồm các cụ thể, hạnliệt để biết thông báo hoạt đợng MợtThơng bachi giá trị cómới thể chẳng bao gồm phân quyền đến một máy chủ khác tin máy chủ kê - SUCCESS: Cho biết gán cho máyngười chủ nhận Bản ghi từtinmáy khách cấp đặc quyền dùng cuối * RESPONSE YÊU góiCẦU: RESPONSE Máy khách AAA sử dụng máy chủ đóchứa - ERROR: Chỉ lỗi máy chủ ghi không lưu trữ năm câu trả một lời: dịch vụ bắt đầu -một START: Chỉ coi phản hồira làrằng FAIL - FOLLOW: Cho biết máy chủ muốn máy khách gửi ghi đến một máy chủ AAA  - STOP: rabiết dịch vụ kếtrabị thúc FAIL:Chỉ ChoCho người nên từ chối vàovà dịch đượcphục yêu cầu ERROR: biết dùng cố xảy máytruy chủcập AAA cầnvụkhắc cố khác bao gồm thông tin máy chủ RESPONSE  - CONTINUE: dịch vụ phân bắtquyền đầu tiếntrong hànhthơng nhưngbáo có PASS_ADD:Cho Chobiết biếtmợt phân quyền thành cơngvàvà thơng tin có thêm Tiến trình Tiến trình tính cước TACACS+ thông tin cập nhật cung liên quan dịch đôiyêu khicầu gọi RESPONSE nênđể sử cấp dụng vớiđến thông tinvụ; TACACS+ ghi Watchdog CẬP NHẬT 2.3.2.3 Ưu tiên của TACACS+ + TACACS+ Có khả nănghỗnhận trợ đa góidạng resetgiao thức TCP, mợt thiết bị thơng báo cho một thiết + VớibịTACACS đầu cuối khác +, chúng ta xảy lỗi sử đường dụng hai truyền phương pháp để kiểm soát quyền thực thi + TCP lệnh củalàmợt mợtngười giao dùng thức có thểmợt mởnhóm rợng nhiều chế người khơi dùng: phục lỗi tích hợp của Nó ⁻ Phương đầutriển tiêncũng tạonhư mộtlàm mức đặc mạng quyềnbằng với một hạntựvàđểngười tương thích pháp để phát nghẽn việcsố sửlệnh dụnggiới số thứ truyềndùng lại bộ xáctải thực bợ địnhmã tuyến máyTACACS chủ TACACS khóa quyền + Tồn trọng hóa + sử sau dụng bí cấp mậtmức đượcđặcchia sẻ định TACACS + đánh dấu một trường tiêu đề để xác định thử xem có mã hóa hay khơng ⁻ Phương pháp bợ tạo gói mợttin danh lệnh cụ bí thểmật trênchung máy chủ TACACS cho + TACACS+ mãthứ hóahai tồn với sách việc các dùng khóa bỏ qua để header phép mợt người dùng hoặclàmợt dụng TACACS chuẩn, với header mợtnhóm trườngsửxác định body có mã hóa hay khơng + TACACS thường sử dụng mơi trường doanh nghiệp Nó có nhiều ưu điểm hoạt động tốt để đáp ứng các yêu cầu quản lý mạng thường nhật 2.3.3 RADIUS 2.3.3.1 Khái niệm RADIUS RADIUS một giao thức mạng sử dụng để xác thực cho phép người dùng truy cập vào một mạng từ xa Thông tin sử dụng để xác thực lưu trữ tập trung Radius Server Khi cần xác thực người dùng, NAS (Radius client) chuyển thông tin của người dùng đến Radius Server để kiểm tra Kết máy chủ Radius trả cho NAS Thông tin trao đổi Radius Server Radius Client mã hóa Có thể hiểu Radius Server cung cấp cho Radius Client khả truy cập tài khoản người dùng Active directory  ... 1: AN NINH MẠNG MÁY TÍNH VÀ NGUY CƠ CÁC CUỘC TẤN CƠNG Chương 2: GIẢI PHÁP BẢO MẬT AAA Chương 1: AN NINH MẠNG MÁY TÍNH VÀ NGUY CƠ CÁC CUỘC TẤN CƠNG 1.1 Nguy của các cuộc tấn công 1.2 An. .. Spoofing Chương 1: AN NINH MẠNG MÁY TÍNH VÀ NGUY CƠ CÁC CUỘC TẤN CÔNG 1.2 An ninh mạng máy tính 1.2.1 Các yếu tố cần đảm bảo an ninh mạng • Dữ liệu • Tài nguy? ?n hệ thống • Danh tiếng 1.2.2... An ninh mạng máy tính Chương 1: AN NINH MẠNG MÁY TÍNH VÀ NGUY CƠ CÁC CUỘC TẤN CƠNG 1.1 Nguy của các cuộc tấn công 1.1.1 Các đối tượng tấn công mạng Vớiđối phát triển đa dạng của công