Đang tải... (xem toàn văn)
1Câu 21 3Câu 22 8Câu 23 10Câu 24 Câu 21 Trình bày về vấn đề xâm nhập hệ thống trái phép Khái niệm hành vi xâm nhập hệ thống trái phép, phân loại kẻ xâm nhập (Intruder) theo biện pháp xâm nhập, phân lo[.]
Câu 21: Câu 22: Câu 23: Câu 24: .10 Câu 21: Trình bày vấn đề xâm nhập hệ thống trái phép: - Khái niệm hành vi xâm nhập hệ thống trái phép, phân loại kẻ xâm nhập (Intruder) theo biện pháp xâm nhập, phân loại Intruder theo hành vi - Phát xâm nhập: Mục đích, giả thiết phát xâm nhập, hai phương pháp tiếp cận phát xâm nhập (dựa thống kê dựa luật) - Hệ phát xâm nhập phân tán 1) Khái niệm hành vi xâm nhập hệ thống trái phép, phân loại kẻ xâm nhập (Intruder) theo biện pháp xâm nhập, phân loại Intruder theo hành vi Khái niệm hành vi xâm nhập hệ thống trái phép: hành vi xâm nhập vào hệ thống mà khơng phép truy nhập vào, khơng chào đón hệ thống Phân loại kẻ xâm nhập theo biện pháp xâm nhập: o Giả mạo: người dùng bất hợp pháp từ bên xâm nhập vào hệ thống lợi dụng quyền người dùng hợp pháp (xâm nhập từ bên ngoài) o Lạm quyền: người dùng hợp pháp, sử dụng quyền hạn vượt phạm vi cho phép (xâm nhập từ bên trong) o Người dùng lút: chiếm quyền điều khiển giám sát để tránh khỏi kiểm soát điều khiển truy nhập (thường sử dụng hệ quản trị sở liệu khơng tốt) (xâm nhập từ bên bên ngồi) Phân loại kẻ xâm nhập theo hành vi: o Khám phá hệ thống: khơng có ý định phá hoại, xâm nhập vào (thử xem khả xâm nhập vào không ^^) o Phá hoại: xâm nhập hệ thống thực hành vi phá hoại hệ thống (thường kẻ trẻ tuổi, hành động nông nổi, thiếu kiến thức, nhiều thời gian rảnh rỗi) 2)Phát xâm nhập: Mục đích, giả thiết phát xâm nhập, hai phương pháp tiếp cận phát xâm nhập (dựa thống kê dựa luật) Mục đích: o Phát nhanh: để tối thiểu hóa thiệt hại khơi phục hoạt động bình thường cho hệ thống cách nhanh chóng o Ngăn chặn: hệ thống phát xâm nhập có hiệu giúp ngăn chặn xâm nhập o Thu thập thông tin kỹ thuật xâm nhập để tăng khả ngăn chặn Giả thiết phát hành vi xâm nhập là: hành vi kẻ xâm nhập trái phép có khác biệt so với người dùng hợp pháp phát khác biệt Có thể tiến hành sau: o Phân biệt kẻ giả mạo người dùng hợp pháp o Quan sát liệu lịch sử o Thiết lập mẫu hình vi o Quan sát độ lệch quan trọng hành vi phương pháp tiếp cận phát xâm nhập o Phát bất thường theo thống kê: thu thập liệu hành vi người dùng hợp pháp khoảng thời gian định kỳ theo dõi hành vi xác định hành vi trái phép: dựa vào ngưỡng: tần suất xuất kiện định o Đếm số lần xuất kiểu kiện định khoảng thời gian o Tạo lỗi tích cực (người dùng thực bị coi kẻ thâm nhập)và lỗi tiêu cực (kẻ xâm nhập trái phép thực lại không bị coi kẻ xâm nhập trái phép) dựa tiểu sử: từ hồ sơ hoạt động người dùng, phát thay đổi o mô tả hành vi khứ cá nhân người dùng nhóm người dùng có liên quan sau phát chênh lệch đáng kể o Tiểu sử tập tham số o Nền tảng tiếp cận việc phân tích ghi kiểm soát o Các ghi qua thời gian định nghĩa hành vi điển hình Bản ghi kiểm soát thời dùng để phát xâm nhập Không cần hiểu biết trước khe hở bảo mật cách phát thành cơng với kẻ xâm nhập giả mạo, với kẻ xâm nhập vượt quyền khó phát o Phát dựa luật quan sát kiện hệ thống áp dụng tập quy tắc xem hành động có đáng ngờ hay khơng xây dựng hệ thống luật xác định hành vi kẻ xâm nhập phát bất thường: phát sai khác mẫu hành vi trước o tự động sinh luật việc phân tích ghi kiểm soát lịch sử để xác định kiểu sử dụng o giả sử tương lai giống khứ áp dụng luật vào hành vi o không yêu cầu kiến thức điểm yếu bảo mật o cần sở liệu luật lớn (10^4 -> 10^6) nhận diện xâm nhập: hệ chuyên gia tìm kiếm hành vi đáng ngờ o sử dụng luật để nhận diện xâm nhập biết xâm nhập nghi ngờ o luật tạo chuyên gia đặc trưng hệ thống cách tốt so với phát bất thường theo thống kê để phát xâm nhập 3) Hệ phát xâm nhập phân tán Phát truy nhập phân tán: o Host agent module: quy trình thu thập liệu gửi kết tới máy quản lý tập trung o Lan monitor agent module: phân tích lưu lượng giao thơng mạng Lan gửi kết đến máy quản lý tập trung o Central manager module: xử lý phối hợp báo cáo nhận để phát xâm nhập Honeypots: o Là hệ thống giăng bẫy o Nhử mồi kẻ công vào hệ thống quan trọng o Thu thập thông tin kẻ công o Giữ kẻ công lại đủ lâu để phản ứng Câu 22: Trình bày virus máy tính chương trình mã độc: - Khái niệm, phân loại chương trình mã độc Phân biệt virus, sâu (worm), zombie - Trình bày cấu trúc chung virus, kỹ thuật tránh phát việc nén chương trình chủ - Các loại virus (file virus, virus boot sector, virus đa hình, virus macro) Kỹ thuật giải mã họ virus để phát diệt virus đa hình 1) Khái niệm, phân loại chương trình mã độc Phân biệt virus, sâu (worm), zombie Khái niệm: chương trình mã độc chương trình máy tính hay đoạn mã thiết kế để gây hại cách phá hủy, tiêu tốn tài ngun q giá, đặt hệ thống tính tốn vào tình trạng khơng bảo vệ Phân loại: có loại o Các đoạn mã độc cần chương trình chủ để ký sinh, coi phần chương trình chủ o Chương trình mã độc đứng độc lập o Ngồi số loại cịn tự nhân Phân biệt virus, sâu (worm), zombie o Viruses: Đoạn mã nhúng vào chương trình máy tính, tự nhân cách gây hành động chèn vào chương trình khác thực hành vi phá hoại Virus lây nhiễm có tác động người dùng.(Hành vi chèn gọi Lây nhiễm) o Worm: Một chương trình mã độc có khả tự nhân Worm sử dụng kết nối mạng để tự gửi qua mạng đến nút khác mà không cần đến tác động người dùng (ví dụ gửi tới tất địa mail danh sách …) Không giống virus, worm không cần đến chương trình chủ để ký sinh mà tự tồn độc lập o Zombie: Một chương trình chiếm quyền điều khiển máy tính có nối mạng sau sử dụng máy tính để thực thi hành động phá hoại (gửi spam email dùng để cơng DDOS) 2) Trình bày cấu trúc chung virus, kỹ thuật tránh phát việc nén chương trình chủ Cấu trúc chung virus: program V:= {goto main: 1234567;// dấu hiệu đặc biệt xác định xem có bị nhiễm chưa subroutine infect-executable := {loop: file:= get-random-executable-file; if (first-line-of-file = 1234567) then goto loop else prepend V to file;} subroutine do–damage := {whatever damage is to be done} subroutine trigger-pulled := {return true if some condition holds} main: main-program := {infect-executable; if trigger-pulled then do-damage; goto next;} next:// chuyển điều khiển đến chương trình ban đầu } Kỹ thuật tránh phát việc nén chương trình chủ o Phiên bị nhiễm chương trình dài so với phiên gốc (chưa nhiễm) o Giải pháp: Nén file chương trình -> độ dài chương trình nhiễm chưa nhiễm Chương trình nhiễm virus nén lại có kích thước chương trình khơng nhiễm virus không bị nén: 3) Các loại virus (file virus, virus boot sector, virus đa hình, virus macro) Kỹ thuật giải mã họ virus để phát diệt virus đa hình Các loại virus: o Virus ký sinh: gắn vào file thực thi, nhân chương trình chạy o Virus thường trú nhớ: phần chương trình thường trú nhớ, nhiễm vào tất chương trình thực thi o Virus boot sector: Nhiễm vào master boot record lây lan hệ thống khởi động từ đĩa bị virus o Virus giấu mặt: Virus thiết kế để ẩn mình, tránh bị phát phần mềm diệt virus (nén, can thiệp thao tác vào/ra …) o Virus đa hình: Loại virus biến đổi sau lần lây nhiễm (chủ yếu thông qua việc mã hóa khóa khác nhau), làm cho việc phát virus qua mẫu trở nên khó khăn nhiều o Macro virus: Lấy nhiễm tài liệu Microsoft Word Chiếm 2/3 số virus có Kỹ thuật giả mã họ virus để phát virus đa hình o Dễ dàng phát kể virus đa hình phức tạp o Không ảnh hưởng tới hệ thống o Gồm thành phần sau: Giả lập CPU – phần mềm máy tính ảo Bộ quét nhận diện mẫu virus – quét chương trình để nhận diện mẫu virus biết Điều khiển giả lập – Điều khiển việc thực thi mã mã độc môi trường giả lập o Dựa nguyên tắc: Virus đa hình phải tiến hành giải mã thân virus trao quyền điều khiển cho phận o Tạo môi trường ảo, file bị nhiễm thực thi mà không ảnh hưởng tới hệ thống o Khi file bị nhiễm thực thi, phần mềm quét tiến hành rà soát nhận diện mẫu virus sinh Câu 23: Trình bày firewall: - Khái niệm, cần có firewall - Các kỹ thuật điều khiển truy cập firewall, hạn chế firewall - Các loại firewall: packet-filtering firewall, application-level gateway, circuit-level gateway Cơ chế hoạt động loại 1) Khái niệm, cần có firewall FireWall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thông số thông tin khác khơng mong muốn Nó thiết bị tập thiết bị cấu hình phép, từ chối, mã hóa giải mã tất diao dịch máy tính miền bảo mật khác dựa quy tắc tiêu chí Tại cần có firewall: o o o o Các kết nối Internet cho phép mạng riêng nối vào hệ thống mạng toàn cầu Firewall chèn vào mạng riêng phần lại Internet Thiết lập vành đai bảo vệ điểm kiểm sốt anh ninh Firewall áp dụng cho hệ thống máy chủ 2) Các kỹ thuật điều khiển truy cập firewall, hạn chế firewall Các kỹ thuật điều khiển truy cập firewall: o Service Control – Điều khiển theo hướng dịch vụ (Internet) Đi vào o Direction Control – Điều khiển theo chiều dịch vụ o User Control – Điều khiển truy cập dịch vụ theo người dùng o Behavior Control – Điều khiển theo hành vi (các dịch vụ sử dụng nào) Hạn chế firewall: o Không thể chống lại công bỏ qua firewall (bypass) o Không chống lại mối đe dọa từ bên o Không chống lây nhiễm chương trình virus mã độc 3) Các loại firewall: packet-filtering firewall, application-level gateway, circuit-level gateway Cơ chế hoạt động loại Packet – filtering firewall:lọc gói tin, kiểm sốt gói tin một, hoạt động tầng mạng, số tầng giao vận o Áp dụng tập luật cho gói tin qua Router định chuyển tiếp hay hủy gói tin o Lọc gói tin theo hai hướng o Các luật dựa địa nguồn, địa đích số cổng để lọc gói tin o Danh sách luật khớp với tham số gói tin o Nếu khơng có luật khớp, hành động mặc định áp dụng Hai sách mặc định: - default = discard: Những gói tin khơng khai báo rõ ràng cho qua bị hủy - default = forward: Những gói tin khơng khai báo rõ ràng hủy cho qua Application-level gateway: o Hoạt động chuyển tiếp lưu lượng mức ứng dụng o Còn gọi máy chủ ủy quyền (proxy) o Người dùng kết nối tới gateway để thực TELNET tới máy chủ xa, người dùng chứng thực, sau gateway kết nối tới máy chủ xa thông tin chuyển tiếp bên o Proxy từ chối chuyển tiếp thông tin chứng thực người dùng thất bại ứng dụng o Có thể kiểm tra gói tin qua lại để đảm bảo an toàn - full packet awareness o Dễ dàng ghi lại thơng tin tồn nội dung gói tin hiểu o Nhược điểm: Cần phải thực thêm xử lý – tăng độ phức tạp xử lý Circuit-level gateway: o Không cho phép kết nối TCP end-to-end o Thiết lập hai kết nối TCP: Một gateway trạm bên trong, gateway trạm bên o Chuyển tiếp phân đoạn TCP từ kết nối bên tới kết nối bên mà không thực kiểm tra nội dung o Chức an ninh (thực theo sách) xác định kết nối phép o Được dùng người dùng bên tin cậy với tất dịch vụ bên o Thường sử dụng kết hợp với proxy cho dịch vụ bên o Chủ yếu dùng để che giấu thông tin mạng riêng bên Câu 24: Trình bày packet-filtering firewall: - Khái niệm, chế, ưu nhược điểm packet-filtering firewall - Các biện pháp thường sử dụng để công packet-filtering firewall: IP Spoofing, Source routing attack, Tiny fragment attack - Stateless Stateful firewall Ưu điểm Stateful firewall so với Stateless firewall 1) Khái niệm, chế, ưu nhược điểm packet-filtering firewall Khái niệm: packet-filtering firewall phần mềm tường lửa dựa router chạy thơng qua máy tính cấu hình để giám sát gói đến Cơ chế: o Áp dụng tập luật cho gói tin qua Router định chuyển tiếp hay hủy gói tin o Lọc gói tin theo hai hướng o Các luật dựa địa nguồn, địa đích số cổng để lọc gói tin o Danh sách luật khớp với tham số gói tin o Nếu khơng có luật khớp, hành động mặc định áp dụng Hai sách mặc định: - default = discard: Những gói tin khơng khai báo rõ ràng cho qua bị hủy - default = forward: Những gói tin khơng khai báo rõ ràng hủy cho qua o Các luật packet filtering: action ourhost port theirhost port block * * SPIGOT * allow OURGW 25 * * - comment we don’t trust these guys connection to our SMTP port Cho phép gửi mail vào (port 25), gửi cho gateway Không cho phép lưu lượng đến từ máy SPIGOT 10 action ourhost port theirhost port block * * * * - default Chính sách mặc định Ln ln luật cuối Luật cấm tất lưu lượng khác action ourhost port theirhost port allow * * * 25 - Các trạm mạng gửi mail ngồi Một vài ứng dụng kết nối tới cổng 25 Hacker truy cập qua cổng 25 action src port dest port allow our * * 25 25 * * hosts allow * - comment Connection to their SMTP port flags comment connection to their SMTP port ACK their replies Cải tiến trường hợp trước Các trạm bên truy cập tới SMTP server Cho phép xác nhận từ SMTP server bên action src port dest port allow our * * * hosts allow * * * * allow * * >102 comment * flags comment outgoing calls ACK Xử lý kết nối FTP Hai kết nối sử dụng: Một dùng để điều khiển để truyền liệu; dùng cổng khác (20, 21) Các kết nối sử dụng cổng số cao (> 1023) replies to our calls Traffic to nonservers Ưu điểm: đơn giản, nhanh, suốt với người dùng Nhược điểm: khó để thiết lập luật xác khơng có khả chứng thực 11 2) Các biện pháp thường sử dụng để công packet-filtering firewall: IP Spoofing, Source routing attack, Tiny fragment attack IP address spoofing – gói tin từ bên ngồi có sử dụng địa IP giả (tin cậy) trường địa nguồn Source routing attacks – hacker ấn định tuyến nguồn để gói tin tránh điểm kiểm sốt Tiny fragment attack – hacker phân nhỏ gói tin để qua mặt luật lọc gói tin dựa tiêu đề TCP 3)Stateless Stateful firewall Ưu điểm Stateful firewall so với Stateless firewall Stateless firewall: Các packet-filter firewall thông thường (tĩnh – static) dạng stateless o Lọc gói tin độc lập, khơng tham chiếu thơng tin khác o Nếu có phân đoạn TCP SYN/ACK gửi, khơng thể biết trước có phân đoạn SYN để yêu cầu mở kết nối hay chưa (các stateful firewall kiểm tra được) o Các stateless firewall không xử lý ứng dụng đảo cổng (e.g FTP): FTP sử dụng cổng 21 để trao đổi thông tin điều khiển Sử dụng cổng 20 để trao đổi liệu Stateful firewall: o Trạng thái kết nối: Open or Closed State: Thứ tự gói tin trao đổi Thường cho biết gói tin có phải thuộc kết nối mở hay không o Stateful Firewall Operation Với TCP, ghi lại địa số hiệu cổng vào bảng trạng thái với tình trạng OK (mở) o Mặc định, cho phép kết nối từ trạm mạng tới máy chủ ngồi mạng o Các gói tin trao đổi máy cổng phép mà không cần phải xem xét kỹ o Bản ghi bị xóa khỏi bảng trạng thái kết nối TCP ngắt Với UDP, tương tự TCP, địa IP số hiệu cổng ghi lại bảng trạng thái với tình trạng OK o Bản ghi bị xóa xảy time-out Ưu điểm Stateful firewall với Stateless firewall: o Stateful firewall hiểu trạng thái gói tin (gói tin có thuộc kết nối mở hay khơng), stateless khơng o Stateless firewall khơng xử lý ứng dụng đảo cổng 12