Tài liệu Security Tiếng Việt ( Vnexperts Network Academy ) Hà Nội-12/06/2009 http;//vnexperts.net 2 MỤC LỤC Phần 1. An ninh mạng 4 I. Những khái niệm cơ bản về Security 4 A. Giới thiệu về Bảo mật thông tin 4 B. Các khái niệm cơ bản trong bảo mật 4 1. Mục đích bảo mật 4 2.Confidentiabilyty Khái niêm AAA (Access control, Authentication, Auditing) 4 Access Control. 4 Authentication 4 Auditing 4 2.Truy cập điều khiển(Access Control). 5 a. MAC. 5 b. DAC 5 c. RBAC 6 II. Bảo mật quá trình truyền dữ liệu 7 1.Quá trình truyền thông tin. 7 2. Access control.( Điều khiển truy cập) 10 3. Authentication.(Xác thực người dùng) 10 a.Mã hóa dữ liệu 10 Phương thức xác thực Kerberos 11 Phương thức Xác thực CHAP ( Challenge Handshake Authentication Protocol ) 12 Hình 3.3 Các bước xác thực CHAP. 13 Phương thức xác thực Chứng chỉ số (Certificates). 13 Phương thức xác thực Username, Password 13 Phương thức xác thực Token 14 Phương thức xác thực Multi-Factor 14 Phuơng thức xác thực Biosmetrics 14 4. Auditing (Giám sát) 15 III. Mã hóa. 16 1. Khái niệm mã hóa. 16 a. Mã hoá DES, Triple DES (Data Encryption Standard) 16 b.Mã hoá RSA 17 c.Thuật toán HASHING và mã hoá MDx 18 2.Các yếu tố quyết định chất lượng của việc mã hoá 20 3. Các yếu tố đánh giá một phương thức mã hóa 20 Tính toàn vẹn 20 Tinh sẵn sàng 20 Tính an toàn 20 IV. Bảo mật hạ tầng thông tin 20 1. Bảo mật hệ thống phần cứng. 20 2. Bảo mật hạ tầng phần mềm 21 3. Bảo mật trên con người. 23 V. Bảo mật và an toàn dữ liệu trong hoạt động hàng ngày 23 Phần 2. Virus 25 1. Khái niệm chung về Virus. 25 a.Khái niệm 25 b. Quá trình phát triển của Virus 25 c.Các loại Virus phân biệt theo chức năng. 28 2. Các triệu chứng của máy tính bị nhiễm Virus. 29 3. Chu kỳ sống và hoạt động của Virus. 29 4. Cách lây nhiễm và các phương tiện lây nhiễm của Virus 30 Virus lây nhiễm qua thư điện tử 30 Virus lây nhiễm qua mạng Internet 31 5.Biến thể 31 Virus có khả năng vô hiệu hoá phần mềm diệt virus 31 6.Cách phòng chống virus và ngăn chặn tác hại của nó 31 Sử dụng phần mềm diệt virus 32 Sử dụng tường lửa 32 http;//vnexperts.net 3 Cập nhật các bản sửa lỗi của hệ điều hành 32 Vận dụng kinh nghiệm sử dụng máy tính 32 Bảo vệ dữ liệu máy tính 33 7. Giải pháp triển khai phần mềm diệt virus theo mô hình client- server 33 http;//vnexperts.net 4 Phần 1. An ninh mạng. I. Những khái niệm cơ bản về Security A. Giới thiệu về Bảo mật thông tin - Như chúng ta đã biết từ thời xưa con người đã biết sử dụng chữ viết và ngôn ngữ để giao tiếp với nhau. Và trong các cuộc chiến thì con người đã biến những ngôn ngữ thông thường được sử dụng để làm ngôn ngữ truyền thông tin để khỏi bị kẻ địch phát hiện. Những ngôn ngữ này được mã hóa sao cho chỉ có hai bên giao tiếp có thể hiểu được mà bên thứ 3 hay kẻ địch không hiểu được. - Ngày nay với công nghệ tiên tiến con người đã có thể mã hóa ngôn ngữ thông thường thành các tín hiệu điện, điện từ, dưới sự giúp đỡ của các máy tính, các thiết bị chuyên dụng. Nhưng trên thực tế các hệ thống này luôn có nguy cơ tiềm ẩn về lỗ hổng thông tin. Chính vì vậy để 2 máy tính hay thiết bị nào có thể giao tiếp với nhau một cách an toàn cần đến các chính sách bảo mật. - Đặc biệt trong ngành công nghệ thông tin hiện nay thì vấn đề an toàn mạng càng trở nên cần thiết vì su thế công nghệ thông tin ngày càng phổ biến và đây là nhu cầu thiết yếu cho sự phát triển. Và để đảm bảo được an toàn trong giao tiếp thì chúng ta cần một cơ chế bảo mật phù hợp và không quá phiến phức tới người sử dụng. B. Các khái niệm cơ bản trong bảo mật. 1. Mục đích bảo mật. Tam giác bảo mật thông tin CIA CIA là viết tắt của Confidently,Intergrity,Avaibility Confidention nghĩa là sự tin cậy. Intergrity nghĩa là tính toàn vẹn Avaibility nghĩa là tính sẵn sàng 2.Confidentiabilyty Khái niêm AAA (Access control, Authentication, Auditing) Access Control. Là một sự truy cập vào hệ thống có thể là một kết nối hay một sự can thiệp vào hệ thống gây ảnh hưởng tới hệ thống. Authentication. Là một sự xác thực từ hệ thống đối với người dùng truy cập vào hệ thống. Bất cứ người dùng nào truy cập vào hệ thống đều phải trả lời các câu hỏi mà hệ thống đưa ra nếu đúng hệ thống sẽ cho truy cập nếu sai hệ thống sẽ cấm truy cập. Authentication sử dụng các phương pháp mã hóa để đảm bảo thông tin không bị tiết lộ như Kerberos, CHAP, …. Auditing Sự giám sát người dùng. Khi đã truy cập vào hệ thống người dùng có thể không những truy cập vào quyền hạn của họ và họ có thể sẽ truy cập trái phép vào các quyền hạn khác vậy http;//vnexperts.net 5 phải cần đến một chính sách giám sát công việc của họ và cũng để đảm bảo quyền hạn cho họ. 2.Truy cập điều khiển(Access Control). • MAC (Mandatory Access Control) đây là mô hình thường được sử dụng trên các máy tính hiện nay. Đây là mô hình được xây đựng dựa trên quyền tối cao của người chủ (giống như bạn là chủ nhà và bạn có toàn quyền trong căn nhà của mình bất cứ ai muốn sử dụng đều phải hỏi qua bạn) nếu bạn là chủ của một hệ thống thì các quyền hạn người dùng đều do bạn quyết định. Mô hình này thường được xây dưng trong nhà nước đặc biệt nhà nước thời phong kiến là dõ nhất. • DAC (Descriptionary Access Control) đây là mô hình tùy thuộc vào người sử dụng mà phan quyền hạn cho họ. Mô hình này sử dụng truy cập theo danh sách để quản lý (Access Control List). Mỗi người sử dụng đều có một quyền hạn nhất định và họ có thể làm bất cứ những gi trong quyền hạn mà họ được cấp. • RBAC( Rule Base Access Control) Mô hình này dựa vào vai trò của mỗi người dùng người dùng có vai trò gì trong hệ thống thì sẽ cấp quyền hạn tương ứng sao cho phù hợp và ơhats huy hết khả năng của họ. Mô hình này thường được sử dụng trong nhà nước và một số công ty đa quốc gia. a. MAC. Là một mô hình được xây dựng dựa trên nền tảng và ứng dụng trong Hệ điều hành hay nói cách khác nó cũng được xây dựng trên nền tảng của sự độc tài. Hệ điều hành điều khiển mọi thứ trong nó kể cả phần cứng hay phần mềm mà nó có thể kiểm soát giống như một ông vua có thể làm mọi thứ mà ông ta muốn. Mô hình này là một mô hình được xây dựng theo cấu trúc phân tầng, lớp. Mỗi một tầng, lớp có một quyền xác định mà tất cả các quyền hạn này đều được tập trung tại hệ điều hành bởi vậy Hệ điều hành bị lỗi là hệ thống bị sụp đổ nên mô hình MAC đã phân ra những Level khác nhau để quản lý. Các Level của MAC thường gồm có: bảo mật tối cao, bảo mật, bình thường, và quảng bá, nhạy cảm. MAC phân quyền theo một cơ chế chỉ có chủ của dữ liệu hoặc người quản trị tối cao mới có toàn quyền với dữ liệu còn những người dùng khác không có quyền gì với dữ liệu và thông tin đó. Về tình bảo mật đối với MAC là rất cao nhưng khả năng phục hổi sau tấn công là rất thấp bởi vậy MAC chỉ có thể áp dụng với những thông tin, dữ liệu tuyệt mật mà bất kì ai cũng không thể biết trừ người lắm quyền và dữ liệu đó. b. DAC DAC là mô hình quản lý truy cập dựa trên tính phụ thuộc vào người tạo ra dữ liệu . Mô hình này do nó có tính tùy chọn nên sẽ tạo ra sự thoải mái cho người dùng nhưng vấn đề phân quyền cho người dùng cũng là một vấn đề mà người quản trị phải quan tâm chặt chẽ. DAC xây dựng trên cơ sở thực tiến nên được ứng dụng nhiều vào thực tế giả dụ như ta có một trang Web và trang Web này bắt buộc phải Public trên Internet và người http;//vnexperts.net 6 dùng chỉ có thể đọc thông tin trên nó chứ không thể chỉnh sửa bất cứ thông tin gì trên nó nếu không được cho phép. Phân quyền trong DAC sử dụng Access Control List (ACL) một mô hình quản trị trong Windows hỗ trợ rất rõ: Hình 2.b. Access Control List trên Windows Server 2008. Như ta thấy Windows hỗ trợ việc cấu hình các quyền hạn cho từng người dụng, nhóm người dùng khác nhau. c. RBAC. RBAC là mô hình xây dựng trên vai trò của người dùng nó tương tụ như DAC nhưng mức độ phức tạp sẽ khó hơn DAC vì nó dựa vào những vai trò và tác vụ của người dùng. RBAC thường được sử dụng trong việc quản lý các doanh nghiêp lớn hoặc vừa và ở cấp độ phòng ban hay chi nhánh. Một công ty lớn thường quản tri theo mô hình này với lí do là dẽ quản lý và dễ phân trách nhiệm cho một người quản trị chính vì như vậy mà hệ thống thông tin cũng được phân cấp theo vai trò của người dùng trong công ty. Mô hình này có thể thay thế MAC trong một số trường hợp và nó có thể khôi phục lại sau khi bị tấn công dễ dàng hơn MAC. http;//vnexperts.net 7 RBAC thường được áp dụng cho một nhóm có chức năng giống nhau và ở đây người dùng trong cùng một nhóm đều có các quyền giống nhau. Trong Windows, Linux,Unix đều hỗ trợ việc cấu hình quyền hạn của nhóm (hay chính là RBAC) II. Bảo mật quá trình truyền dữ liệu. 1.Quá trình truyền thông tin. Quá trình truyền thông tin trong đời sống và trong ngành công nghệ thông tin có nét tương đồng. Bởi vì công nghệ thông tin được xây dựng nên từ chính thực tế. Quá trình truyền dữ liệu thường được thực hiên theo 3 bước cơ bản +, Bên gửi xây dựng thông tin, đóng gói và kiểm tra tính an toàn sau đó giao thông tin cho người vận chuyển. +, Người vận chuyển chịu trách nhiệm đưa hàng tới địa chỉ của người nhận chức năng này có thể gọi là người đưa thư. Người đưa thu có trách nhiệm kiểm tra thông tin người nhận (Xác thực người nhận). +, Bên nhận mở thông tin đã được đóng gói sau đó đọc và giải mã gói tin. Nhưng trước khi nhận hàng thì bên nhận phải làm một số thủ tục với người đưa thư nhằm xác định đúng người nhận thông tin và đúng thông tin người gửi. Trong công nghệ thông tin việc truyền dữ liệu được hiểu như là một kết nối giữa hai máy tính (thiết bị truyền tin) thông qua mạng. Chính bởi vậy hai máy tính(thiết bị truyền tin) được coi như bên nhận và bên gửi còn mạng (có thể là Internet có thể là mạng Di động ) là người vận chuyển Mô hình của quá trình vận chuyển Hình 1.1 Mô hình truyền dữ liệu Trên thực tế mô hình truyền dữ liệu trong mạng bao gồm các giao thức khác nhau qua các tầng khác nhau của mô hinh OSI hoặc TCP/IP http;//vnexperts.net 8 Tầng # Tên Các thí d ụ khác nhau Bộ TCP/IP SS7 Bộ AppleTalk Bộ OSI Bộ IPX SNA UMTS AFPFTAM, X.400, X.500, DAPAPPC 7 Ứng dụng HL7, Modbus, SIP 6HTTP, SMTP, SMPP, SNMP, FTP, Telnet, NFS, NTPISUP, INAP, MAP, TUP , TCAP Trình diễn TDI, ASCII, EBCDIC, MIDI, MPEG XDR, SSL, TLS AFP ISO 8823, X.226 5 Phiên làm việc Named Pipes, NetBIOS, SAP, SDP Session establishment for TCP ASP, ADSP , ZIP, PAP ISO 8327, X.225 NWLink DLC? 4 Giao vận NetBEUI TCP, UDP , RTP, SCTP ATP, NBP , AEP, RTMP TP0, TP1, TP2, TP3, TP4, OSPF SPX, RIP 3 Mạng NetBEUI, Q.931 IP, ICMP , IPsec, ARP , RIP, BGP MTP- 3, SCCP DDP X.25 (PLP), CLNP IPX RRC (Radio Resource Control) 2 Liên kết dữ liệu Ethernet, 802.11 (WiFi), Token Ring, FDDI, PPP , HDLC, Q.921, Frame Relay, ATM, Fibre Channel MTP- 2 LocalTalk, TokenTalk, EtherTalk, AppleTalk Remote Access, PPP X.25 (LAPB), Token Bus IEEE 802.3 framing, Ethernet II framing SDLC MAC (Media Access Control) 1 Vật lý RS-232, V.35, V.34, Q.911, T1 , E1, 10BASE-T , 100BASE- TX, ISDN , POTS, SONET, DSL, 802.11b , 802.11g MTP- 1 Localtalk on shielded, Localtalk on unshielded (PhoneNet) X.25 (X.21bis, EIA/TIA- 232, EIA/TIA- 449, EIA- 530, G.703) Twinax PHY (Physical Layer) http;//vnexperts.net 9 Hình 1.2 Mô hình OSI http;//vnexperts.net 10 Hình 1.2 Mô hình TCP/IP trong hệ thống mạng 2. Access control.( Điều khiển truy cập) • Trong vấn đề điều khiển truy cập người gửi sẽ định hướng cho công việc vận chuyển tới đâu và người nhận là ai. Vấn đề này trên thực tế thì chính là ciệc mà bạn điền địa chỉ trên phong bì thư còn trong công nghệ thông tin thì đó là hệ thống mạng và địa chỉ IP (Internet Protocol) đây là một giao thức xác định máy tính khác trên một hệ thống mạng. • Vấn đề truyền tin trong một hệ thống mạng không đơn giản chỉ để xác nhận thông tin về địa chỉ mà còn phải trải qua nhiều công đoạn, nhiều giao thức khác nhau. Ví dụ như bạn gửi thông tin qua các giao thức nào SMTP (Simple Mail Server Protocol), POP3 (Post Office Protocol) Http (Hyper Text Transfer Protocol).v.v • Những vấn đề truyền tin theo các giao thức này rất quan trọng vì thức chất các giao thức này đều có những phương thức mã hòa dữ liệu riêng. • Trong việc bảo mật riêng ta cũng có thể lựa chọn nhiều phương thức để xác nhập người nhận như IP Sec (IP security), VPN (Virtual Private Network), OpenVPN,.v.v • Việc truy cập không chỉ được điều khiển bởi bên gửi mà còn phụ thuộc vào bên nhận. Bên nhận có nhận hay không? Và bên nhận xác nhận có đúng thông tin hay không đó lại là một vấn đề của bên nhận. Bên nhận có sử dụng đúng giao thức nhận, có giải mã đúng theo mã hóa đã thỏa thuận hay không. • Như vậy điều khiển truy cập sẽ xác nhận thông tin từ hai phía sau đó nếu đúng thì bên nhận sẽ nhận được thông tin mà bên gửi gửi. Do đó công việc của một Hacker sẽ là việc mà lắm bắt được thông tin đóvà gói tin mà người gửi gửi. 3. Authentication.(Xác thực người dùng) a.Mã hóa dữ liệu. [...]... là cao nh t nó thư ng ư c s d ng trong tài chính ngân hàng, ch ng khoán, Xác th c theo RSA là xác th c theo Multi-Factor nó k t h p gi a vi c sinh key và th i gian thay i key Khi mà m t ngư i m t Username, Password thì vi c có key s khôi ph c l i cho h Username, Password và tài kho n c a h s không m t ch có i u n u như h m t Private key thì ng nghĩa v i h s m t tài kho n S d ng công ngh Pubic và Private... log c a nó r t tôt Dư i ây là mô hình Client-Server c a h th ng Kaspersky http;//vnexperts.net 33 Hình 7.1 Mô hình Client-Server c a Kaspersky Tài li u tham kh o: Ti ng anh: CEH v6 for Ecouncil: http://www.ecouncil.com CEH v5 for Ecouncil: http://www.ecouncil.com Security + for ComTIA + Ti ng vi t: Các th lo i Sách vi t v mã hóa và công ngh thông tin Các trang công ngh thông tin Http://www.vnexperts.net,... M c ích c a vi c t o ra Botnet là Hacker s d ng các máy n n nhân t n công DDOS t i m t ích nào ó, v n t n công DDOS r t nguy hi m và r t khó phòng ch ng i v i các h th ng nh không áp ng băng thông và tài nguyên h th ng, nó làm cho ngư i dùng khác không th truy c p ư c vào các trang Web gây m t uy tín c a trang Web Keyloger: ây là lo i ph n m m cho phép ghi l i các thao tác trên màn hình, bàn phím,... m Virus trong máy tính r t nhi u nhưng nh ng tri u ch ng sau: i n hình là m t trong • Máy ch y ch m hơn bình thư ng: Tri u ch ng này thì hâu h t các lo i Virus ra nó vì lý do là các Virus u chi m d ng tài nguyên c a máy tính • Máy kh i ng th t thư ng: ây là nh ng tri u ch ng do Virus ã t n công vào nhân h i u hành làm ch m các ti n trình kh i ng M t s lo i Virus còn t n công vào MBR (Master boot Record)... hình th c lây nhi m virus qua Internet tr thành các phương th c chính c a virus ngày nay Có các hình th c lây nhi m virus và ph n m m • • • c h i thông qua Internet như sau: Lây nhi m thông qua các file tài li u, ph n m m: Là cách lây nhi m c i n, nhưng thay th các hình th c truy n file theo cách c i n ( ĩa m m, ĩa USB ) b ng cách t i t Internet, trao i, thông qua các ph n m m Lây nhi m khi ang truy... năng tư ng l a b ng ph n m m, tuy nhiên thông thư ng các ph n m m c a hãng th ba có th làm vi c t t hơn và tích h p nhi u công c hơn so v i tư ng l a ph n m m s n có c a Windows Ví d b ph n m m ZoneAlarm Security Suite c a hãng ZoneLab là m t b công c b o v h u hi u trư c virus, các ph n m m c h i, ch ng spam, và tư ng l a C p nh t các b n s a l i c a h i u hành H i u hành Windows (chi m a s ) luôn luôn... c Username, Password • Username, Password là phương th c xác th c thư ng ư c s i s ng và trong công ngh thông tin d ng nhi u nh t trong • Username, Password là phương th c nh m xác nh tên ngư i dùng, tài kho n, m t kh u Nó gi ng như tên, h c a b n và gi y t tuỳ thân c a b n • Lưu ý 8 ký t i v i ngư i dùng Internet hay máy tính nói chung nên t m t kh u dài hơn và Password bao g m c ký t hoa,thư ng, . Tài liệu Security Tiếng Việt ( Vnexperts Network Academy ) Hà Nội-12/06/2009 http;//vnexperts.net. nhận dạng dữ liệu mã hoá và chứa thuật toán mã hoá, 56 bit là dữ liệu mã hoá. • Trong 56 bit còn lại của dữ liệu thì lại chia thành 8 bit mã hoá con nếu có còn lại 48 bit dành cho dữ liệu khí. thông tin, dữ liệu tuyệt mật mà bất kì ai cũng không thể biết trừ người lắm quyền và dữ liệu đó. b. DAC DAC là mô hình quản lý truy cập dựa trên tính phụ thuộc vào người tạo ra dữ liệu . Mô