CÁC KHÁI NIỆM CƠ BẢN VỀ AN TOÀN THÔNG TIN
Tổng quan an toàn thông tin
Mục tiêu: Trình bày được tổng quan về an toàn và bảo mật thông tin
Khi nhu cầu trao đổi thông tin ngày càng tăng, các tiến bộ trong điện tử - viễn thông và công nghệ thông tin đã thúc đẩy sự phát triển của các ứng dụng nhằm nâng cao chất lượng và lưu lượng truyền tin Điều này dẫn đến việc đổi mới các quan niệm và biện pháp bảo vệ thông tin dữ liệu Bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, liên quan đến nhiều lĩnh vực, và có nhiều phương pháp khác nhau được áp dụng để đảm bảo an toàn cho thông tin dữ liệu Các phương pháp này có thể được phân loại thành ba nhóm chính.
- Bảo vệ an toàn thông tin bằng các biện pháp hành chính
- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)
- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)
Ba nhóm biện pháp này có thể được áp dụng độc lập hoặc kết hợp với nhau Môi trường mạng và truyền tin là nơi khó bảo vệ an toàn thông tin nhất, đồng thời cũng dễ bị xâm nhập nhất Hiện nay, biện pháp thuật toán được xem là giải pháp hiệu quả và tiết kiệm nhất cho việc bảo mật thông tin trên mạng truyền tin và mạng máy tính.
An toàn thông tin bao gồm các nội dung sau:
- Tính bí mật: tính kín đáo riêng tư của thông tin
- Tính xác thực của thông tin, bao gồm xác thực đối tác (bài toán nhận danh), xác thực thông tin trao đổi
Tính trách nhiệm trong việc đảm bảo an toàn thông tin là rất quan trọng, nhằm ngăn chặn người gửi thông tin thoái thác trách nhiệm về dữ liệu đã gửi Để bảo vệ thông tin trên đường truyền và mạng máy tính, cần phải dự đoán các khả năng không an toàn, xâm phạm và rủi ro có thể xảy ra Việc xác định chính xác các nguy cơ này sẽ giúp đưa ra các giải pháp hiệu quả để giảm thiểu thiệt hại.
Có hai loại hành vi xâm phạm thông tin dữ liệu: vi phạm chủ động và vi phạm thụ động Vi phạm thụ động nhằm mục đích đánh cắp thông tin mà không làm sai lệch nội dung, thường khó phát hiện nhưng có thể ngăn chặn hiệu quả Ngược lại, vi phạm chủ động có khả năng thay đổi, xóa bỏ, làm trễ hoặc sắp xếp lại nội dung thông tin, dễ phát hiện nhưng khó ngăn chặn hiệu quả.
Không có biện pháp bảo vệ an toàn thông tin dữ liệu nào là hoàn hảo Dù hệ thống được bảo vệ chặt chẽ đến đâu, vẫn không thể đảm bảo an toàn tuyệt đối.
1.2 Vai trò của an toàn thông tin: Yếu tố con người, công nghệ
1.2.1 Giới hạn quyền hạn tối thiểu (Last Privilege) Đây là chiến lược cơ bản nhất theo nguyên tắc này bất kỳ một đối tượng nào cùng chỉ có những quyền hạn nhất định đối với tài nguyên mạng, khi thâm nhập vào mạng đối tượng đó chỉ được sử dụng một số tài nguyên nhất định.
1.2.2 Bảo vệ theo chiều sâu (Defence In Depth)
Nguyên tắc này nhấn mạnh rằng chúng ta không nên chỉ dựa vào một chế độ an toàn duy nhất, dù nó có mạnh mẽ đến đâu Thay vào đó, cần thiết lập nhiều cơ chế an toàn khác nhau để hỗ trợ lẫn nhau, nhằm tăng cường bảo vệ và giảm thiểu rủi ro.
Để đảm bảo an toàn thông tin, cần thiết lập một “cửa khẩu” hẹp, cho phép dữ liệu chỉ đi vào hệ thống qua con đường duy nhất này Điều này đòi hỏi phải tổ chức một cơ cấu kiểm soát và điều khiển chặt chẽ thông tin qua cửa khẩu, nhằm bảo vệ hệ thống khỏi các mối đe dọa bên ngoài.
1.2.4 Điểm nối yếu nhất (Weakest Link)
Chiến lược này dựa trên nguyên tắc: “Một dây xích chỉ chắc tại mắt duy nhất, một bức tường chỉ cứng tại điểm yếu nhất”
Kẻ phá hoại thường nhắm vào những điểm yếu nhất của hệ thống để thực hiện tấn công, vì vậy cần thiết phải củng cố những điểm này Chúng ta thường chỉ chú trọng đến các cuộc tấn công mạng mà bỏ qua nguy cơ từ những kẻ tiếp cận trực tiếp, dẫn đến việc an toàn vật lý trở thành một trong những yếu điểm lớn nhất trong hệ thống của chúng ta.
Các hệ thống an toàn cần tính toàn diện từ các hệ thống cục bộ Nếu kẻ xấu có thể làm hỏng một cơ chế an toàn, chúng sẽ dễ dàng tấn công hệ thống tự do của người khác và sau đó xâm nhập vào hệ thống từ bên trong.
1.2.6 Tính đa dạng bảo vệ
Để bảo vệ hiệu quả các hệ thống, cần áp dụng nhiều biện pháp bảo vệ khác nhau Nếu một hệ thống không được bảo vệ tốt, kẻ tấn công có thể dễ dàng xâm nhập vào các hệ thống khác.
1.3 Các chính sách về an toàn thông tin
Vì không có giải pháp an toàn tuyệt đối, việc bảo vệ thông tin trên mạng thường yêu cầu áp dụng nhiều mức bảo vệ khác nhau để tạo thành hàng rào chắn chống lại các hoạt động xâm phạm Mục tiêu chính là bảo vệ thông tin lưu trữ trong máy tính, đặc biệt là các server kết nối mạng Do đó, ngoài việc ngăn chặn thất thoát thông tin trên đường truyền, các nỗ lực chủ yếu tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong cho các hệ thống mạng Các mức bảo vệ này thường bao gồm nhiều lớp khác nhau.
Lớp bảo vệ trong cùng đóng vai trò quan trọng trong việc quản lý quyền truy cập và kiểm soát tài nguyên mạng Việc kiểm soát này cần được thực hiện một cách chi tiết, đặc biệt là ở cấp độ cấu trúc dữ liệu Hiện nay, kiểm soát quyền truy cập chủ yếu được thực hiện ở mức tệp.
1.3.2 Đăng ký tên và mật khẩu
Kiểm soát quyền truy nhập hệ thống là phương pháp bảo vệ phổ biến, hiệu quả và tiết kiệm chi phí Để tham gia vào mạng và sử dụng tài nguyên, người dùng cần đăng ký tên và mật khẩu Người quản trị mạng có trách nhiệm theo dõi và quản lý mọi hoạt động, đồng thời xác định quyền truy nhập của người dùng dựa trên thời gian và địa điểm, nghĩa là người dùng chỉ được phép truy cập trong một khoảng thời gian và tại một vị trí cụ thể.
Nếu mọi người giữ kín mật khẩu và tên đăng ký, sẽ không xảy ra truy cập trái phép Tuy nhiên, trong thực tế, nhiều yếu tố hàng ngày làm giảm hiệu quả bảo mật này Để khắc phục, người quản lý mạng nên chịu trách nhiệm thiết lập và thay đổi mật khẩu định kỳ.
Xác thực
3.1 Kerberos Đây là mô hình Hệ thống khoá máy chủ tin cậy của MIT (Trường Đại học Kỹ thuật Massachusetts) để cung cấp xác thực có bên thứ ba dùng khoá riêng và tập trung Cho phép người sử dụng truy cập vào các dịch vụ phân tán trong mạng Tuy nhiên không cần thiết phải tin cậy mọi máy trạm, thay vì đó chỉ cần tin cậy máy chủ xác thực trung tâm Đã có hai phiên bản đang sử dụng là: Kerberos 4 và Kerberos 5 a Các yêu cầu của Kerrberos
Báo cáo đầu tiên của Kerberos đề xuất các yêu cầu cơ bản bao gồm an toàn, tin cậy, tính trong suốt và khả năng mở rộng Hệ thống này áp dụng thủ tục xác thực Needham-Schroeder, mang lại một cái nhìn tổng quan về phiên bản Kerberos 4.
Kerberos 4 là một sơ đồ xác thực bên thứ ba cơ bản, sử dụng máy chủ xác thực (AS - Authentication Server) để xác minh danh tính người dùng Người dùng cần thỏa thuận với AS, từ đó AS cung cấp sự tin cậy thông qua thẻ cấp thẻ TGT (Ticket Granting Ticket) Sau đó, máy chủ cung cấp thẻ (TGS - Ticket Granting Server) cho phép người dùng yêu cầu truy cập vào các dịch vụ khác dựa trên thẻ TGT đã được cấp.
Người sử dụng nhận thẻ từ máy chủ xác thực AS cho mỗi phiên làm việc và nhận thẻ cấp dịch vụ (service granting ticket) từ TGT Mỗi thẻ được sử dụng cho dịch vụ khác nhau, thông qua quá trình trao đổi giữa máy chủ và trạm để yêu cầu dịch vụ.
Môi trường Kerberos bao gồm máy chủ Kerberos, các máy trạm đã đăng ký và các máy chủ ứng dụng chia sẻ khóa với máy chủ, tạo thành một lãnh địa Kerberos Thông thường, lãnh địa này là một miền hành chính duy nhất Trong trường hợp có nhiều lãnh địa, các máy chủ Kerberos cần chia sẻ khóa và thiết lập sự tin cậy lẫn nhau Hệ thống này được gọi là Kerberos phiên bản 5.
Kerberos 5 được phát triển vào giữa những năm 1990, được thiết kế theo chuẩn RFC 1510 Nó cung cấp những cải tiến so với phiên bản 4, cụ thể hướng tới các thiếu xót về môi trường, thuật toán mã, thủ tục mạng thứ tự byte, thời gian sử dụng thẻ, truyền tiếp xác thực, xác thực lãnh địa con Và các sự khác biệt về kỹ thuật như: mã kép, các dạng sử dụng không chuẩn, khoá phiên, chống tấn công mật khẩu
Kerberos là giao thức xác thực mạng giúp người dùng giao tiếp an toàn trên mạng không an toàn Nó bảo vệ thông tin khỏi việc nghe trộm và tấn công thay thế, đồng thời đảm bảo tính toàn vẹn dữ liệu Hoạt động theo mô hình máy trạm/máy chủ, Kerberos thực hiện xác thực hai chiều giữa người dùng và dịch vụ Giao thức này dựa trên mã hóa khóa đối xứng và yêu cầu sự tham gia của một thành phần thứ ba đáng tin cậy trong quá trình xác thực.
Kerberos là một hệ thống chứng thực sử dụng một đối tác tin cậy thứ ba, được gọi là Trung tâm phân phối khóa, bao gồm hai thành phần chính: máy chủ chứng thực (AS) và máy chủ cấp thẻ (TGS) Hệ thống này hoạt động dựa trên các thẻ để thực hiện quá trình xác thực người dùng một cách an toàn và hiệu quả.
Kerberos duy trì một cơ sở dữ liệu chứa các khoá bí mật cho từng thực thể trên mạng, bao gồm máy trạm và máy chủ Mỗi thực thể chỉ chia sẻ một khoá bí mật với Kerberos, đảm bảo tính bảo mật Khi cần giao tiếp giữa hai thực thể, Kerberos tạo ra một khoá phiên để bảo vệ quá trình tương tác, giúp tăng cường an ninh thông tin.
Quá trình hoạt động của giao thức (AS = Máy chủ xác thực, TGS = Máy chủ cấp thẻ, C = Máy trạm, S = Dịch vụ):
+ Người dùng nhập vào tên truy cập và mật khẩu ở phía máy trạm
+ Máy trạm thực hiện thuật toán băm một chiều trên mật khẩu được nhập vào và nó trở thành khoá bí mật của máy trạm
Máy trạm gửi thông điệp rõ ràng đến AS để yêu cầu dịch vụ, mà không kèm theo khóa bí mật hay mật khẩu nào.
+ AS kiểm tra xem có tồn tại người dùng C trong cở sở dữ liệu của nó hay không
Nếu có, nó gởi ngược lại cho máy trạm 2 thông điệp:
Thông điệp A: chứa khoá phiên Máy trạm/TGS được mã hóa bởi khoá bí mật của người dùng
Thông điệp B bao gồm Thẻ, trong đó có các thông tin như ID của máy trạm, địa chỉ mạng của máy trạm, thời gian hiệu lực của thẻ và khóa phiên máy trạm/TGS Tất cả các thông tin này được mã hóa bằng khóa bí mật của TGS.
Khi máy trạm nhận thông điệp A và B, nó tiến hành giải mã thông điệp A để lấy khoá phiên máy trạm/TGS Khoá phiên này sẽ được sử dụng cho quá trình giao tiếp tiếp theo với TGS Tuy nhiên, máy trạm không thể giải mã thông điệp B do nó được mã hóa bằng khoá bí mật của TGS.
+ Khi yêu cầu dịch vụ (S), máy trạm gởi 2 thông điệp sau đến TGS:
- Thông điệp C: Gồm thông điệp B và ID của dịch vụ được yêu cầu
- Thông điệp D: chứa Authenticator (gồm ID máy trạm và nhãn thời gian - timestamp) được mã hóa bởi khoá phiên Máy trạm/TGS.
+ Khi nhận được thông điệp C và D, TGS giải mã thông điệp D sử dụng khoá phiên máy trạm/TGS và gởi 2 thông điệp ngược lại cho máy trạm:
Thông điệp E bao gồm thẻ chứa thông tin quan trọng như ID máy trạm, địa chỉ mạng, kỳ hạn thẻ có giá trị và khóa phiên máy trạm/dịch vụ Tất cả thông tin này được mã hóa bằng khóa bí mật của dịch vụ để đảm bảo tính bảo mật và an toàn trong quá trình truyền tải dữ liệu từ máy trạm đến máy chủ.
- Thông điệp F: chứa khoá phiên của máy trạm/máy chủ được mã hóa bởi khoá phiên máy trạm/TGS
Khi nhận thông điệp E và F, máy trạm sẽ gửi một Authenticator mới cùng với thẻ từ máy trạm đến máy chủ chứa dịch vụ yêu cầu.
- Thông điệp G: chứa thẻ (máy trạm đến máy chủ) được mã hóa sử dụng khoá bí mật của máy chủ
- Thông điệp H: một Authenticator mới chứa ID máy trạm, Timestamp và được mã hóa sử dụng khoá phiên máy trạm/máy chủ
Máy chủ sử dụng khóa bí mật của mình để giải mã thẻ và gửi thông điệp xác nhận tính hợp lệ của máy trạm, đồng thời thông báo về sự sẵn sàng cung cấp dịch vụ cho máy trạm đó.
- Thông điệp I: chứa giá trị Timestamp trong Authenticator được gởi bởi máy trạm sẽ được cộng thêm 1, được mã hóa bởi khoá phiên máy trạm/máy chủ
Những dịch vụ và phương thức không thiết yếu
4.1 Các giao thức xoá bỏ những hệ thống
Tính năng tối ưu hóa hệ thống kiểm tra các mục hỏng hoặc không hợp lệ trong tập hợp các thông số cấu hình hệ thống (registry), bao gồm nhiều mục khác nhau.
DLL dùng chung - Nếu nhiều chương trình dùng chung các DLL thì các mục bị hỏng có thể ảnh hưởng đến chúng
Tệp Trợ giúp - Các chương trình sử dụng các đường dẫn này để tìm các tệp trợ giúp
Tệp Trợ giúp HTML - Các chương trình sử dụng các đường dẫn này để tìm các tệp trợ giúp HTML
Các đường dẫn Ứng dụng - Các đường dẫn ứng dụng bị hỏng do gỡ bỏ chương trình không đúng cách vì thế các lối tắt không làm việc
Gỡ cài đặt phần mềm có thể gặp sự cố do các đường dẫn bị hỏng và chương trình gỡ bỏ không hoạt động đúng cách Điều này thường xảy ra khi sử dụng lối tắt hoặc tính năng Thêm/Bớt chương trình trong Windows.
ARP Cache là phần sổ đăng ký lưu trữ thông tin về các chương trình trong tính năng Thêm/Gỡ bỏ chương trình của Windows, và đôi khi còn chứa dấu vết của những chương trình đã bị xóa.
Môi trường Người dùng Hiện tại - Các biến môi trường này, chẳng hạn như biến
%Path% (trong đó xác định nơi mà trình thông dịch lệnh có thể tìm thấy các tệp), áp dụng đối với người hiện đang sử dụng máy tính
Môi trường máy cục bộ bao gồm các biến môi trường như %Path%, xác định vị trí mà trình thông dịch lệnh có thể tìm thấy các tệp thực thi Những biến này áp dụng cho tất cả người dùng máy tính.
4.2 Chương trình không cần thiết.
Các thiết lập tự động khởi động cho phép chương trình và dịch vụ khởi động cùng Windows Tính năng Tối ưu hóa Hệ thống kiểm tra và có thể xóa các thiết lập tự động khởi động không cần thiết để khắc phục sự cố khởi động.
Bạn có thể tùy chọn các chương trình và dịch vụ không cần khởi động tự động cùng Windows Việc tối ưu hóa hệ thống giúp nâng cao hiệu suất máy tính của bạn.
Hệ thống sẽ loại bỏ các thiết lập tự động khởi động cho các chương trình và các dịch vụ này.
Các topo mạng an toàn
DMZ là 1 vùng của mạng được thiết kế đặc biệt, cho phép những người dùng bên ngoài truy xuất vào
Truy cập vào vùng DMZ luôn được điều khiển và giới hạn bởi Firewall và hệ thống Router
Nếu vùng DMZ bị tấn công và gây hại thì vẫn không ảnh hưởng đến mạng riêng của tổ chức
Hình 1.1 Mô tả vùng DMZ 5.1.2 Intranet
Mạng nội bộ là một phiên bản thu nhỏ của INTERNET, được áp dụng trong các cơ quan, công ty, tổ chức hoặc bộ/ngành, với phạm vi người sử dụng được giới hạn Mạng này sử dụng các công nghệ kiểm soát truy cập và bảo mật thông tin, phát triển từ các mạng LAN và WAN dựa trên công nghệ INTERNET.
• Dễ dàng truy xuất các tài nguyên
• Sử dụng các dạng mạng như:
Hình 1.2 Mô hình Intranet 5.1.3 Extranet
Là một Intranet có kết nối với mạng dùng ở ngoài như các khách hàng, đối tác, nhà cung cấp, …
Sử dụng để trao đổi thông tin, hợp tác hoặc chia sẻ các dữ liệu đặc biệt
Có thể nối kết được với Internet
Yêu cầu tính riêng tư và bảo mật
Có thể dùng PKI hoặc kỹ thuật VPN để thiết lập nếu cần độ an toàn cao
Hình 1.3 Mô hình kết nối
Phân mạng lớn thành nhiều mạng nhỏ theo chức năng.
• Dùng switch có hỗ trợ tính năng VLAN
• Muốnliên lạc giữa các máy tính trong các VLAN khác nhau phải dùng 1 router.
VLAN (Virtual Local Area Network) là một nhóm logic các máy tính và thiết bị mạng, không bị giới hạn bởi vị trí địa lý hay kết nối vật lý Lợi ích chính của VLAN là ngăn chặn tín hiệu broadcast, từ đó cải thiện hiệu suất mạng.
• Tiết kiệm thiết bị switch
• Nâng cao tính bảo mật trong mạng.
• Dễ dàng triển khai và quản lý các nhóm làm việc theo từng VLAN
NAT, ban đầu được phát minh để giải quyết vấn đề thiếu hụt địa chỉ IP, đã chứng minh rằng nó không chỉ hữu ích trong việc này mà còn có nhiều ứng dụng khác Nhiều lợi ích và khả năng của NAT vẫn chưa được khám phá hoàn toàn.
Trong bối cảnh hiện tại, nhiều người đang tìm hiểu về vai trò và lợi ích của NAT trong tương lai Khi IPv6 được triển khai, nó không chỉ giải quyết vấn đề thiếu hụt địa chỉ IP mà còn mang lại nhiều lợi ích khác Các cuộc thử nghiệm cho thấy việc chuyển hoàn toàn sang IPv6 diễn ra nhanh chóng và không gặp vấn đề lớn Tuy nhiên, việc giải quyết mối quan hệ giữa IPv6 và IPv4 lại gặp nhiều khó khăn Do đó, IPv4 có khả năng vẫn là giao thức chính cho Internet và Intranet trong thời gian dài hơn dự kiến.
Trước khi phân tích vai trò của NAT hiện tại và tương lai, cần làm rõ sự khác biệt về phạm vi sử dụng NAT trong quá khứ Bài viết sẽ cung cấp cái nhìn tổng quan mà không khuyến nghị cách thức hoặc loại NAT nào nên được sử dụng Dưới đây là phần giới thiệu và phân loại các loại NAT, chi tiết sẽ được thảo luận trong chương tiếp theo khi hiện thực hóa NAT.
Phần trình bày được chia làm 2 phần:
CLASSIC NAT là những kỹ thuật NAT được phát triển vào đầu những năm 90, được mô tả chi tiết trong RFC 1931 Nó chủ yếu được sử dụng để giải quyết vấn đề thiếu hụt địa chỉ IP trên Internet.
- Phần hai trình bày những kỹ thuật NAT được tìm ra gần đây và ứng dụng trong nhiều mục đích khác.
5.3 2 Các kỹ thuật NAT cổ điển:
NAT (Network Address Translation) có hai loại chính: NAT tĩnh và NAT động NAT tĩnh đảm bảo rằng một địa chỉ IP nguồn luôn được ánh xạ đến một địa chỉ IP đích cố định, trong khi NAT động cho phép địa chỉ IP nguồn thay đổi theo thời gian và các kết nối khác nhau Sự phân chia IP trong NAT tĩnh rõ ràng hơn so với NAT động.
Trong phần này, chúng ta định nghĩa m là số IP cần được chuyển đổi (IP nguồn) và n là số IP sẵn có cho việc chuyển đổi, được gọi là IP NATs hay IP đích.
Yêu cầu m, n >= 1; m = n (m, n là số tự nhiên)
Với cơ chế NAT tĩnh, chúng ta có thể chuyển đổi giữa các địa chỉ IP nguồn và đích, đặc biệt khi cả hai chỉ chứa một IP duy nhất, ví dụ như với netmask 255.255.255.255 Việc thực hiện NAT tĩnh rất đơn giản, vì toàn bộ quá trình dịch địa chỉ chỉ cần áp dụng một công thức: Địa chỉ đích = Địa chỉ mạng mới OR (địa chỉ nguồn AND (NOT netmask)) Không cần thông tin về trạng thái kết nối, chỉ cần xác định các IP đích phù hợp Các kết nối từ bên ngoài vào hệ thống chỉ khác nhau ở IP, do đó cơ chế NAT tĩnh hoạt động hầu như hoàn toàn trong suốt.
Ví dụ một rule cho NAT tĩnh:
Dịch toàn bộ IP trong mạng 138.201.148.0 đến mạng có địa chỉ là 94.64.15.0, netmask là 255.255.255.0 cho cả hai mạng
Dưới đây là mô tả việc dịch từ địa chỉ có IP là 138.201.148.27 đến 94.64.15.27, các cái khác tương tự
NAT động được áp dụng khi số IP nguồn khác với số IP đích, với số lượng host chia sẻ bị giới hạn bởi số IP đích có sẵn So với NAT tĩnh, NAT động phức tạp hơn do yêu cầu lưu giữ thông tin kết nối và truy xuất thông tin TCP trong gói tin.
NAT động có thể hoạt động như NAT tĩnh trong một số trường hợp, giúp tăng cường bảo mật cho người dùng Với NAT động, địa chỉ IP của host có thể thay đổi liên tục, khiến cho kẻ xâm nhập bên ngoài khó khăn trong việc xác định địa chỉ IP kết nối với host đó Điều này đặc biệt hữu ích khi số lượng địa chỉ đích lớn hơn số địa chỉ nguồn, tạo ra một lớp bảo vệ bổ sung cho hệ thống mạng.
Kết nối từ bên ngoài chỉ khả thi khi các host vẫn giữ một địa chỉ IP trong bảng NAT động NAT router lưu trữ thông tin về địa chỉ IP bên trong (IP nguồn) và liên kết với NAT-IP (IP đích).
Trong một phiên làm việc của FPT non-passive, server cố gắng thiết lập kênh truyền dữ liệu bằng cách gửi IP packet đến FTP client, yêu cầu có một entry cho client trong bảng NAT Kết nối giữa IP client và NAT-IPs cần duy trì khi client bắt đầu kênh truyền control, trừ khi phiên FTP hết thời gian timeout Giao thức FTP sử dụng hai cơ chế là passive và non-passive, với hai cổng (control và data) Trong cơ chế passive, host kết nối nhận thông tin về data port từ server, trong khi ở non-passive, host chỉ định data port và yêu cầu server lắng nghe kết nối Tham khảo thêm về giao thức FTP trong RFC 959 Khi một kẻ từ bên ngoài muốn kết nối vào một host bên trong mạng, chỉ có hai trường hợp xảy ra.
+ Host bên trong không có một entry trong bảng NAT khi đó sẽ nhận được thông tin
“host unreachable” hoặc có một entry nhưng NAT-IPs là không biết
Khi một kết nối từ host bên trong ra ngoài mạng, bạn có thể biết được địa chỉ IP của kết nối đó Tuy nhiên, địa chỉ IP mà bạn thấy chỉ là NAT-IPs, không phải là địa chỉ IP thật của host Thông tin này sẽ bị mất sau khi entry trong bảng NAT router hết thời gian timeout.
Ví dụ về một rule cho NAT động:
Dịch toàn bộ những IP trong class B, địa chỉ mạng 138.201.0.0 đến IP trong class
B 178.201.112.0 Mỗi kết nối mới từ bên trong sẽ được liên kết với tập IP của class B khi mà IP đó không được sử dụng
Vd: xem quá trình NAT trong trường hợp sau:
Hình 1.5: Mô tả quá trình NAT tĩnh
Quá trình NAT diễn ra khi Client gửi yêu cầu đến webserver, với gói tin bắt đầu từ địa chỉ 10.1.1.170/1074 và đích đến là cổng 80 trên webserver có địa chỉ 203.154.1.20 Gói tin này bị chặn tại cổng 80 của NAT Server, địa chỉ 10.1.1.1 Trước khi chuyển tiếp đến webserver, NAT Server sẽ gán một header mới cho gói tin, cho biết gói tin xuất phát từ địa chỉ 203.154.1.5/1563, trong khi địa chỉ đích vẫn không thay đổi.
- Webserver nhận yêu cầu tại cổng 80 của nó và đáp ứng yêu cầu trở lại cho NAT server
- Header của gói tin cho biết gói tin được gởi lại từ Webserver và đích của nó là cổng 1563 trên 203.154.1.5
Xác định rủi ro
Xác định phạm vi và ranh giới của hệ thống ISMS là bước quan trọng, cần phù hợp với đặc điểm hoạt động kinh doanh, tổ chức, vị trí địa lý, tài sản và công nghệ Điều này bao gồm việc nêu rõ các chi tiết liên quan và cung cấp minh chứng cho các loại trừ trong phạm vi áp dụng.
Quan tâm đến các hoạt động kinh doanh và các yêu cầu của luật hoặc pháp lý, và các bổn phận bảo mật thõa thuận
6.2 Đánh giá rủi ro Đánh giá các tác động ảnh hưởng đến hoạt động của tổ chức có thể có do lỗi bảo mật, Quan tâm xem xét các hậu quả của việc mất tính bảo mật, toàn vẹn hoặc sẳn có của các tài sản Đánh giá khả năng thực tế có thể xãy ra các lỗi bảo mật do khinh suất các mối đe dọa và yếu điểm phổ biến hoặc thường gặp, và do các ảnh hưởng liên quan đến các tài sản này, và do việc áp dụng các biện pháp kiểm soát hiện hành Ước lượng các mức độ rủi ro Định rõ xem coi các rủi ro có thể chấp nhận được hay cần thiết phải có xử lý bằng cách sử dụng các tiêu chuẩn chấp nhận rủi ro đã được lập trong mục
6.3 Xác định mối đe dọa
Xác định các tài sản thuộc phạm vi của hệ thống mạng và các chủ nhân của những tài sản này
Xác định các rủi ro cho các tài sản đó
Xác định các yếu điểm có thể bị khai thác bởi các mối đe dọa là rất quan trọng Điều này bao gồm việc đánh giá những ảnh hưởng có thể làm mất tính bí mật, toàn vẹn và khả năng sẵn có của các tài sản Việc nhận diện những rủi ro này giúp tăng cường bảo mật và bảo vệ thông tin quan trọng.
Chủ động chấp nhận rủi ro khi chúng phù hợp với chính sách và chuẩn mực chấp nhận rủi ro của tổ chức Đồng thời, chuyển giao các rủi ro cho các tổ chức hoặc cá nhân khác như nhà bảo hiểm và nhà cung cấp để giảm thiểu tác động.
6.5 An toàn thông tin bằng mật mã
Mục tiêu: Trình bày được cách bảo mật an toàn thông tin bằng mật mã.
Mật mã là ngành khoa học nghiên cứu các phương pháp truyền tin bí mật, bao gồm lập mã và phá mã Lập mã diễn ra qua hai quá trình chính: mã hóa và giải mã Mã hóa là quá trình biến đổi thông tin từ dạng có thể nhận thức sang dạng không nhận thức được trước khi truyền tải trên mạng, trong khi giải mã là quá trình khôi phục thông tin về dạng gốc tại trạm nhận Đây là lớp bảo vệ thông tin quan trọng, được áp dụng rộng rãi trong môi trường mạng Để bảo vệ thông tin bằng mật mã, người ta thường tiếp cận theo hai hướng khác nhau.
- Theo đường truyền (Link_Oriented_Security)
- Từ nút đến nút (End_to_End)
Thông tin được mã hoá để bảo vệ an toàn trên đường truyền giữa hai nút mà không cần quan tâm đến nguồn và đích Cần lưu ý rằng thông tin chỉ được bảo vệ trong quá trình truyền tải, vì mỗi nút đều thực hiện giải mã và sau đó mã hoá lại để tiếp tục gửi đi, do đó việc bảo vệ các nút là rất quan trọng.
Thông tin trên mạng được bảo vệ suốt quá trình truyền từ nguồn đến đích thông qua việc mã hóa ngay khi được tạo ra và chỉ được giải mã khi đến đích Tuy nhiên, phương pháp này có nhược điểm là chỉ dữ liệu của người dùng mới có thể được mã hóa, trong khi dữ liệu điều khiển vẫn giữ nguyên để có thể xử lý tại các nút.
6.6 Vai trò của hệ mật mã
Mục tiêu: phân tích được vai trò của hệ mật mã.
Các hệ mật mã phải thực hiện được các vai trò sau:
Hệ mật mã cần phải bảo vệ nội dung văn bản rõ (PlainText) nhằm đảm bảo rằng chỉ những người chủ hợp pháp của thông tin mới có quyền truy cập, từ đó ngăn chặn việc truy nhập không đúng quyền hạn.
- Tạo các yếu tố xác thực thông tin, đảm bảo thông tin lưu hành trong hệ thống đến người nhận hợp pháp là xác thực (Authenticity)
Tổ chức các sơ đồ chữ ký điện tử giúp ngăn chặn giả mạo và mạo danh khi gửi thông tin trực tuyến Ưu điểm lớn nhất của hệ mật mã là khả năng đánh giá độ phức tạp tính toán mà kẻ thù phải vượt qua để truy cập dữ liệu đã mã hóa Mặc dù mỗi hệ mật mã có những ưu và nhược điểm riêng, việc đánh giá độ phức tạp này cho phép chúng ta áp dụng các thuật toán mã hóa khác nhau cho từng ứng dụng cụ thể, tùy thuộc vào yêu cầu về mức độ an toàn.
Các thành phần của một hệ mật mã: Định nghĩa: một hệ mật là một bộ 5 (P, C, K, E, D) thoả mãn các điều kiện sau:
P là không gian bản rõ, bao gồm một tập hợp hữu hạn các bản rõ (PlainText) C là không gian các bản mã, chứa các bản mã (Crypto) hữu hạn Mỗi phần tử trong C được tạo ra bằng cách áp dụng phép mã hoá Ek lên một phần tử của P, với k thuộc tập K.
K là một tập hợp hữu hạn các khóa, hay còn gọi là không gian khóa, trong đó mỗi phần tử k được gọi là một khóa Số lượng khóa trong không gian này cần phải đủ lớn để ngăn chặn "kẻ địch" có thời gian thử nghiệm tất cả các khóa khả thi (phương pháp vét cạn).
Mỗi k thuộc K có một quy tắc mã hóa eK: P → C và quy tắc giải mã tương ứng dk thuộc D Cả eK: P → C và dk: C → P đều là những hàm, trong đó dK(ek(x)) = x cho mọi bản rõ x thuộc P.
6.7 Phân loại hệ mật mã
Mục tiêu: Biết phân loại các hệ mật mã khác nhau, so sánh được điểm ưu, nhược của từng hệ mật mã
Có nhiều cách để phân loại hệ mật mã Dựa vào cách truyền khóa có thể phân các hệ mật mã thành hai loại:
Hệ mật đối xứng, hay còn gọi là mật mã khóa bí mật, là hệ thống mã hóa sử dụng chung một khóa cho cả quá trình mã hóa và giải mã dữ liệu.
Do đó khoá phải được giữ bí mật tuyệt đối
Hệ mật mã bất đối xứng, hay còn gọi là mật mã khóa công khai, sử dụng hai khóa khác nhau: một khóa để mã hóa và một khóa khác để giải mã Các khóa này tạo thành từng cặp chuyển đổi ngược nhau, và không có khóa nào có thể suy ra từ khóa kia Trong khi khóa mã hóa có thể được công khai, khóa giải mã cần phải được giữ bí mật để đảm bảo an toàn thông tin.
Hệ mật mã được phân loại dựa trên thời gian ra đời thành hai loại: mật mã cổ điển, xuất hiện trước năm 1970, và mật mã hiện đại, ra đời sau năm 1970 Ngoài ra, dựa vào cách thức mã hóa, hệ mật mã còn được chia thành mã dòng, trong đó từng khối dữ liệu được mã hóa bằng các khóa khác nhau sinh ra từ hàm sinh khóa, và mã khối, nơi từng khối dữ liệu được mã hóa bằng cùng một khóa.
6.8 Tiêu chuẩn đánh giá hệ mật mã
NHỮNG ĐIỂM YẾU VÀ PHƯƠNG PHÁP TẤN CÔNG VÀO HỆ THỐNG
Các kiểu tấn công
1.1 DOS/DDOS –từ chối dịch vụ
Tấn công từ chối dịch vụ (DOS) là một phương thức tấn công nhằm làm quá tải hệ thống, khiến nó không thể cung cấp dịch vụ hoặc phải ngừng hoạt động Hình thức tấn công này chủ yếu gây gián đoạn hoạt động của hệ thống mà ít khả năng đánh cắp thông tin hay dữ liệu.
Mục tiêu chính của các cuộc tấn công từ chối dịch vụ thường là các máy chủ như FTP, Web và Mail, nhưng cũng có thể nhắm đến các thiết bị mạng như Router, Switch và Firewall.
Tấn công từ chối dịch vụ (DoS) không chỉ diễn ra qua mạng mà còn có thể xảy ra trên máy cục bộ hoặc trong mạng cục bộ, được gọi là tấn công DoS logic chống lại các máy chủ.
Tấn công từ chối dịch vụ (DoS) ban đầu khai thác sự yếu kém của giao thức TCP, sau đó đã phát triển thành tấn công từ chối dịch vụ phân tán (DDoS).
Chúng ta có thể phân nhỏ tấn công từ chối dịch vụ ra thành các dạng Broadcast stom, SYN, Finger, Ping, Flooding …
Hai vấn đề của tấn công từ chối dịch vụ là:
Tấn công tiêu thụ tài nguyên (Resource consumption attacks) thường xảy ra khi một lượng lớn yêu cầu làm cho hệ thống bị quá tải Các tài nguyên chính là mục tiêu của tấn công từ chối dịch vụ (DoS) bao gồm băng thông (bandwidth), thường là mục tiêu bị tấn công nhiều nhất, ổ cứng (hard disk), thường bị tấn công bằng bom mail, cùng với RAM và CPU.
Lỗi trong việc xử lý các chuỗi, dữ liệu đầu vào và gói tin đặc biệt do kẻ tấn công tạo ra (tấn công gói tin không hợp lệ) thường nhắm đến các thiết bị như router và switch Khi nhận phải những gói tin hoặc chuỗi này, phần mềm hoặc hệ thống có thể gặp sự cố, dẫn đến việc router hoặc switch bị treo hoặc sập.
Tấn công từ chối dịch vụ (DDoS) không cho phép kẻ tấn công kiểm soát hệ thống, nhưng nó là một mối đe dọa nghiêm trọng, đặc biệt trong lĩnh vực giao dịch điện tử và thương mại điện tử Thiệt hại về tài chính và uy tín thường rất khó đo lường Hơn nữa, việc phát hiện và phòng ngừa loại tấn công này rất khó khăn, vì thường chỉ nhận ra khi đã bị tấn công Đối với các hệ thống bảo mật tốt, tấn công DDoS thường được coi là biện pháp cuối cùng mà kẻ tấn công sử dụng để hủy hoại hệ thống.
DDOS, hay tấn công từ chối dịch vụ phân tán, là một hình thức tấn công mạng được thực hiện với sự tham gia của nhiều máy tính So với tấn công DoS, DDOS có mức độ nguy hiểm cao hơn rất nhiều, gây ra ảnh hưởng nghiêm trọng đến hệ thống và dịch vụ trực tuyến.
Tấn công DDos bao gồm hai thành phần:
Các máy tính zombie, thường có mặt trên internet, đã bị hacker cài đặt phần mềm để thực hiện các cuộc tấn công như UDP flood hay SYN flood Kẻ tấn công có thể kết hợp với kỹ thuật spoofing để gia tăng mức độ nguy hiểm Phần mềm tấn công thường được triển khai dưới dạng daemon.
Thành phần thứ hai trong hệ thống là các máy tính được cài đặt chương trình client, tương tự như các zombie nhưng với quyền kiểm soát cao hơn Chương trình client cho phép kẻ tấn công gửi các chỉ thị đến Daemon trên các máy zombie, từ đó nâng cao khả năng điều khiển và quản lý các thiết bị này.
Khi thực hiện tấn công, kẻ tấn công sử dụng chương trình client trên máy chủ master để gửi tín hiệu tấn công đến các máy zombie Quá trình daemon trên các máy zombie sẽ tiến hành tấn công vào mục tiêu đã xác định Kẻ tấn công có thể không trực tiếp thực hiện hành động trên máy chủ master mà từ một máy khác, sau khi phát động tấn công sẽ cắt kết nối với master để tránh bị phát hiện.
Hình 2.1 Minh hoạ tấn công DDOS
Mục tiêu chính của tấn công DDoS là chiếm dụng băng thông nhằm gây nghẽn mạng Các công cụ phổ biến để thực hiện tấn công này bao gồm Tri00 (Win Trin00), Tribe Flood Network (TFN hoặc TFN2K), và Sharf Hiện nay, còn có sự phát triển của các loại virus và worm có khả năng thực hiện tấn công DDoS.
Một chương trình, đoạn mã hoặc cấu hình đặc biệt trên hệ thống mà chúng ta không nhận biết có thể cho phép kẻ tấn công truy cập mà không cần xác thực hay đăng nhập.
1.3 Spoofing –giả mạo Đánh lừa ARP (ARP spoofing): ARP (Adress Resolution Protocol) là giao thức phân giải địa chỉ, giao thức này được dùng để lấy địa chỉ MAC tương ứng với một địa chỉ IP nào đó Khi một hệ thống (nguồn) muốn giao dịch để trao đổi thông tin với hệ thống khác (đích), trước hết nó phải gửi một thông điệp yêu cầuđến ARP để tìm MAC tương ứng với địa chỉ IP đích Hệ thống đích sẽ đáp trả địa chỉ MAC, tương ứng với địa chỉ IP, cho yêu cầu ARP đó Sau đó hệ thống nguồn (bên gửi tin) sẽ sử dụng địa chỉ MAC này để gửi thông tin đến đích.
Khi một sniffer nhận yêu cầu tìm địa chỉ MAC, nó sẽ phản hồi yêu cầu ARP với địa chỉ MAC của chính nó, khiến hệ thống gửi thông tin đến sniffer thay vì đích mong muốn Để thành công trong việc đánh lừa ARP, sniffer cần chuyển tiếp thông tin đến địa chỉ đích Nếu không thể thực hiện điều này, sniffer sẽ phải tiến hành một cuộc tấn công DoS Tương tự, trong tấn công đánh lừa DNS, sniffer “thuyết phục” hệ thống gửi tin gửi ARP đến địa chỉ IP của nó bằng cách gửi các phản hồi DNS cung cấp địa chỉ IP của sniffer thay vì địa chỉ thực.
Malicious Code – Các mã độc hại
Virus là đoạn code tự sinh lặp đính kèm với code khác như virus sinh học Cả hai đều lan truyền tự nó và mang đi bộ tải
- Mang theo code để tạo các bản sao của chính nó
- Và cũng như mọi code nó cũng thực hiện nhiệm vụ ngầm nào đó
Các giai đoạn của virus
- Nằm im - chờ sự kiện kích hoạt
- Lan truyền – lặp sinh ra chương trình /đĩa
- Kích hoạt - bởi sự kiện để thực hiện bộ tải
- Cụ thể thông thường mang tính chất chuyên biệt của các máy và hệ điều hành
Nó khai thác các tính chất và điểm yếu
Cấu trúc Virus program V:{goto main;
The subroutine "infect-executable" randomly selects an executable file and checks if its first line matches a specific identifier (1234567); if it does, the process repeats until a different file is found, which is then modified by prepending a "V" to its name The "do-damage" subroutine defines the specific harm to be inflicted, while the "trigger-pulled" subroutine returns true if a certain condition is met In the main program, the "infect-executable" subroutine is executed, and if the "trigger-pulled" condition is satisfied, the "do-damage" subroutine is invoked before proceeding to the next step in the process.
Có thể phân loại dựa trên kiểu tấn công
- Virus cư trúở bộ nhớ
Chương trình có thể ẩn chứa các tác động phụ nguy hiểm, thường được thiết kế để thu hút người dùng như trò chơi hoặc phần mềm nâng cấp Khi người dùng thực hiện các nhiệm vụ bổ sung, kẻ tấn công có thể giành quyền truy cập mà họ không thể làm trực tiếp Các phương pháp thường được sử dụng bao gồm lây lan virus hoặc sâu (worm), cài đặt cửa sau, hoặc đơn giản là phá hoại dữ liệu.
2.3 Logic Bombs Đây là một trong những phần mềm có hại kiểu cổ Nó được kích hoạt khi gặp điều kiện xác định
- Có mặt hoặc vắng mặt một số file
- Ngày tháng/thời gian cụ thể
- Người sử dụng nào đó
Khi được kích hoạt thông thường nó làm hỏng hệ thống
- Biến đổi/xoá file/đĩa, làm dừng máy, …
2.4 Worms Đây là Chương trình sinh lặp nhưng không có tác động, thường lan truyền trên mạng
- Dẫn đến việc tạo ra các đội ứng cứu khẩn cấp máy tính CERT
- Dùng đặc quyền phân tán hoặc khai thác các điểm yếu hệ thống
- Được sử dụng rộng rãi bởi Hackers để tạo zombie PC, kéo theo sử dụng các tấn công khác, đặc biệt từ chối dich vụ DoS
Vấn đề chính là mất sự an toàn của hệ thống kết nối thường xuyên như PC Thao tác của sâu
Các giai đoạn của sâu giống như virus:
+ Tìm hệ thống khác để tác động
+ Thiết lập kết nội với hệ thống đích từ xa
+ Tự sinh lặp mình cho hệ thống từ xa
Sâu Morris là loại sâu cổ điển, được tạo bởi Robert Morris vào 1988, nhằm tới các hệ thống Unix Ở đây sử dụng một số kỹ thuật lan truyền, như
- Phá mật khẩu đơn giản trong file mật khẩu cục bộ
- Tìm lỗi cửa sập trong hệ thống mail
Mọi tấn công thành công sẽ sinh lặp nó b Tấn công của sâu đương thời
Làn sóng tấn công của sâu đương thời mới từ giữa 2001 như:
- Code Red - sử dụng lỗ hổng MS IIS:
+ Thử IP ngẫu nhiên cho hệ thống chạy IIS
+ Có kích hoạt thời gian cho tấn công từ chối dịch vụ
+ Làn sóng thứ hai tác động đến 360000 máy chủ trong vòng 14 giờ
- Code Red 2 – cài đặt cửa sập
- Nimda – cơ chế tác động lặp
- SQL Slammer – đã tấn công máy chủ MS SQL
- Sobig –đã tấn công máy chủ proxy mở
- Mydoom – sâu email có số lượng lớn và có cửa sau c Công nghệ sâu
Công nghệ sâu sở hữu nhiều đặc tính nổi bật, bao gồm khả năng tấn công đa nền tảng và khai thác nhiều chiều Nó lan truyền với tốc độ cực nhanh và có nhiều kiểu tác động khác nhau, cho phép biến hoá và cơ động linh hoạt Đặc biệt, công nghệ này còn có khả năng khai thác lỗ hổng zero day, tạo ra những mối đe dọa nghiêm trọng cho hệ thống bảo mật.
Social Engineering
3.1 Tấn công dựa trên yếu tố con người
Tin tặc có thể tấn công nạn nhân trực tiếp bằng cách mạo danh, giả vờ là nhân viên chính thức của một tổ chức có quyền truy cập vào hệ thống mạng Họ thường sử dụng đồng phục và thẻ giả của công ty để trà trộn vào nội bộ, từ đó thu thập hoặc đánh cắp dữ liệu thông tin quan trọng.
Kẻ xấu có thể lợi dụng thùng rác trong phòng giám đốc để tìm kiếm các tài liệu quan trọng như bản nháp và giấy tờ Do đó, giám đốc cần chú trọng đến việc bảo mật dữ liệu và thông tin, đảm bảo không để lộ những tài liệu nhạy cảm.
– Đóng vai là người dùng cuối:
Tin tặc sử dụng kiểu tấn công Social Engineering bằng cách tự nhận mình là người dùng hợp pháp, sau đó thực hiện cuộc gọi cho nạn nhân với nội dung giới thiệu như “Xin chào, tôi là X ở phòng ban…” để lừa đảo và thu thập thông tin nhạy cảm.
Y Tôi không nhớ mật khẩu, anh có thể đọc mật khẩu giúp tôi không”
Hình 2.3 Các loại hình thức phi tấn công
3.2 Dựa vào yếu tố kỹ thuật
Một số kiểu tấn công bằng phương pháp này mà bạn thường nhìn thấy như:
Popup Windows là những cửa sổ xuất hiện trên màn hình, và khi người dùng nhấp vào chúng, họ sẽ bị chuyển hướng đến trang web của tin tặc Tại đây, tin tặc sẽ yêu cầu người dùng nhập thông tin cá nhân hoặc tải về phần mềm chứa mã độc.
Auditing – Logging, system scanning
Trong giám sát an ninh mạng và phân tích điều tra sự cố, việc hiểu rõ các trạng thái của log Windows là rất quan trọng Điều này giúp xác định các sự kiện cần phân tích Hệ thống giám sát an ninh mạng thường nhận log Windows dưới dạng các mã trạng thái, từ đó hỗ trợ trong việc phát hiện và xử lý sự cố hiệu quả.
Application whitelisting involves blocking certain applications from executing on Windows, particularly those that may be malware when users run executable files This log is generated when Software Restriction Policies (SRP) or AppLocker are activated In many cases, if these services are not enabled, such logs will not be produced.
Ứng dụng gặp sự cố: Giúp xác định nguyên nhân của sự cố, bao gồm mã độc hoặc các lỗi nhẹ như màn hình xanh, treo ứng dụng và ứng dụng bị crash.
Khi hệ thống hoặc dịch vụ gặp sự cố, điều này thường không xảy ra do lỗi tự nhiên, mà có thể là dấu hiệu cho thấy máy tính đã bị tấn công.
Windows update errors: Phát hiện các bản vá chưa được cập nhật cho hệ điều hành, tránh các lỗ hỗng không cần thiết trên windows
Firewall log: Cái này thì ai cũng biết quan trọng trong việc Giám sát An ninh
Việc xóa các sự kiện trong Log thường không diễn ra tự động, do đó khi phát hiện những sự kiện này, nó có thể chỉ ra những hành vi đáng ngờ Điều này cho thấy khả năng hacker đang cố gắng xóa dấu vết của mình.
Monitoring applications and services is essential for effective cybersecurity oversight Therefore, reviewing the logs of these applications and services is crucial for maintaining security.
Account Usage: Log đối với việc truy cập là rất cần thiết đối với việc Giám sát người dùng và các hành vi nghi ngờ bất thường
Kernel driver Signing: Cung cấp thông tin thay đổi liên quan đến Kernel hệ điều hành, phát hiện các nghi ngờ của mã độc
Windows Defender plays a crucial role in malware detection, and if an antivirus is running, it is recommended to configure it to generate logs for Windows, which is extremely beneficial for network security monitoring Additionally, monitoring mobile device activities, including events related to mobile connectivity, Wi-Fi, and Bluetooth, is essential for comprehensive security management.
External Media Detection: Log liên quan khi có thiết bị mới cắm vào như USB
Printing Services: Log liên quan đến máy in
Ngoài ra còn một số dạng Log khác của Window và việc sinh Log này còn phụ thuộc vào phiên bản Windows và loại gì./
Bài tập của học viên
1: Trình bày các kiểu tấn công mạng
2: Trình bày các mã độc hại?
3: Thế nào là Auditing – Logging, system scanning, thao tác trên server 2019
4: Thực hiện tấn công DDoS bằng công cụ Hammer
1 Trình bày các kiểu tấn công mạng, tham khảo mục 2 trang 32 của giáo trình
2 Trình bày các mã độc hại, tham khảo mục 2 trang 37 của giáo trình
3 Thế nào là Auditing – Logging, system scanning và thao tác trên server 2019
Phải chuột Default Domain Controllers Policy -> Edit -> Computer
Configuration (audit policy chỉ có ở mục này) -> Policies -> Windows Settings -
> Security Settings -> Local Policies -> Audit Policy
Hình 2.4 Hộp thoại Để mở Event Viewer trên Server: ta vào Server Manager -> Tools -> Event
Để mở Event Viewer trên máy tính cá nhân, bạn có thể thực hiện theo các bước sau: chạy lệnh "compmgmt.msc" trong hộp thoại Run Nếu bạn muốn truy cập Event Viewer của Server từ xa, hãy sử dụng tùy chọn "Connect to ".
Hình 2.6 Hộp thoại mở Event Viewer
Cơ bản 1 máy tính cài HDH Windwos luôn có 3 loại log: Application, Security,
System Máy tính cài thêm dịch vụ gì thì sẽ xuất hiện thêm Event Viewer của dịch vụ đó Ví dụ: Domain Controller có thêm: Directory Service, DNS server v.v
Những sự kiện giám sát bằng Audit Policy đều lưu trong Security Log
Ta bung Windows Logs -> Security Bên phải là những sự kiện mà mặc định hệ thống sẽ tự Audit.
Hình 2.7 Hộp thoại Windows Logs
4 Thực hiện tấn công DDoS bằng công cụ Hammer
Công cụ này làm bằng Python và chạy yêu cầu Python 3
Hoặc đơn giản hơn là chạy lần lượt các lệnh sau [ Với thao tác này thì ta sẽ bỏ qua bước 2 ]
1 git clone https://github.com/cyweb/hammer.git
Bước 2: Khởi chạy công cụ
Để chạy công cụ trên Ta chỉ cần bật Terminal lên và gõ lệnh sau:
[ Chú ý là hãy giải nén công cụ vừa tải về Sau đó sử dụng lệnh ” cd ” để di chuyển đến thư mục đó ] python3 hammer.py
Bước 3: Xem các tùy chọn của công cụ:
Đây là danh sách các tùy chọn mà hammer hỗ trợ
Bước 4: Xác định mục tiêu cần tấn công
Ví dụ là trang example.com với địa chỉ ip là 1.1.1.1
Để attack tôi sử dụng tùy chọn sau: python3 hammer.py -s -p -t
Và tôi sẽ tấn công trang example với lệnh đơn giản như sau: python3 hammer.py -s example.com
Còn các tùy chọn khác đa số là công cụ tự động mặc định Muốn thì có thể gán vào
-t: Chức năng như nghĩa của nó
Việc còn lại là đợi cho nó sập thôi
Chú ý : Không đượcđi phá hoại người khác
Những trọng tâm cần chú ý:
-Trình bày đầy đủ nội dung Các kiểu tấn công, có cho ví dụ cụ thể
- Trình bày các bước tấn công của DDOS đầy đủ chính xác, chỉ làm trên hệ thống của bài thực hành
- Trình bày xác định rủi ro, xác định chính xác mối đe dọa
- Trình bày các mã độc hại tấn công hệ thống để phòng chống hợp lý
- Thao tác đúng các bước cài đặt, cấu hình Auditing – Logging, system scanning Windows server 2019
Bài mở rộng và nâng cao
Cài Đặt Chương Trình diệt virus Symantec Antivirus cho Server và client trên hệ thống
Yêu cầu đánh giá kết quả học tập
Trình bày được Các kiểu tấn công trên hệ thống
Trình bày được Các mã độc hại tấn công trên hệ thống
Trình bày được các bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus server và symantec antivirus client trên Windows Server 2019
Trình bày được các bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus client
+ Thao tác thành thạo các bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus server và symantec antivirus client trên Windows Server 2019
+ Thực hiện đúng các thao tác bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus client
Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc
Về kiến thức: Đánh giá bằng hình thức kiểm tra viết, trắc nghiệm, vấn đáp.
Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện cài đặt, cấu hình diệt Virus symantec antivirus
Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc.
HẠ TẦNG CƠ SỞ AN TOÀN THÔNG TIN
VPN
VPN, hay Mạng Riêng Ảo, là công nghệ tạo kết nối mạng an toàn khi truy cập Internet hoặc mạng riêng của nhà cung cấp dịch vụ Công nghệ này được các tập đoàn lớn, cơ sở giáo dục và cơ quan chính phủ sử dụng để cho phép người dùng từ xa kết nối an toàn đến mạng riêng của họ.
Hình 3.1 mô phỏng mạng riêng ảo
Hệ thống VPN có khả năng kết nối nhiều địa điểm khác nhau dựa trên khu vực và diện tích địa lý, tương tự như chuẩn Wide Area Network (WAN) Ngoài ra, VPN còn được sử dụng để mở rộng các mô hình Intranet, giúp truyền tải thông tin và dữ liệu hiệu quả hơn Chẳng hạn, các trường học thường sử dụng VPN để kết nối giữa các khuôn viên hoặc giữa các chi nhánh với trụ sở chính.
Để kết nối vào hệ thống VPN, mỗi tài khoản cần được xác thực với Username và Password Thông tin xác thực này sẽ được sử dụng để cấp quyền truy cập thông qua một mã số nhận diện cá nhân (PIN), thường có hiệu lực trong khoảng thời gian ngắn (30 giây hoặc 1 phút).
Khi kết nối máy tính hoặc thiết bị như điện thoại, máy tính bảng với VPN, thiết bị hoạt động như thể đang trên cùng một mạng nội bộ Tất cả lưu lượng truy cập được gửi qua kết nối an toàn đến VPN, cho phép bạn truy cập an toàn vào các tài nguyên mạng nội bộ từ xa.
Sử dụng Internet qua VPN mang lại nhiều lợi ích, đặc biệt khi bạn kết nối với WiFi công cộng hoặc truy cập các trang web bị chặn và giới hạn địa lý.
Khi sử dụng VPN để duyệt web, máy tính của bạn sẽ kết nối với trang web qua một đường truyền mã hóa, đảm bảo mọi thông tin và dữ liệu được trao đổi đều an toàn Nếu bạn sử dụng VPN tại Hoa Kỳ để truy cập Netflix, nền tảng này sẽ nhận diện kết nối của bạn đến từ Hoa Kỳ.
Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm rất nhiều thứ:
VPN là công cụ quan trọng giúp người kinh doanh truy cập vào mạng doanh nghiệp từ xa, bao gồm tất cả tài nguyên trên mạng cục bộ, trong khi di chuyển hoặc du lịch Việc sử dụng VPN cho phép truy cập an toàn vào các nguồn lực trong mạng nội bộ mà không cần tiếp xúc trực tiếp với Internet, từ đó nâng cao tính bảo mật cho thông tin và dữ liệu.
Thiết lập VPN riêng giúp bạn truy cập mạng gia đình từ xa, ngay cả khi không ở nhà Điều này cho phép bạn kết nối với Windows từ xa qua Internet, sử dụng các tập tin chia sẻ trong mạng nội bộ, và chơi game trên máy tính qua Internet như thể bạn đang ở trong cùng một mạng LAN.
Khi duyệt web ẩn danh trên WiFi công cộng và truy cập các trang không sử dụng HTTPS, dữ liệu của bạn có thể bị lộ Để bảo vệ hoạt động duyệt web và đảm bảo an toàn cho dữ liệu, bạn nên sử dụng VPN, giúp mã hóa mọi thông tin truyền qua mạng.
Truy cậpđến những website bịchặn giớihạn địa lý, bỏ qua kiểm duyệt Internet, vượt tường lửa,
Tải BitTorrent qua VPN không chỉ giúp tăng tốc độ tải file mà còn khắc phục các vấn đề về traffic mà nhà cung cấp dịch vụ internet (ISP) có thể gây ra.
RADIUS
RADIUS là dịch vụ xác thực và cấp quyền truy cập từ xa cho người dùng qua các thiết bị như modem, DSL, cáp mạng và thiết bị không dây Một hệ thống điển hình bao gồm máy chủ truy cập kết nối với modem và máy chủ dịch vụ RADIUS trên mạng để thực hiện xác thực Khi người dùng từ xa kết nối, máy chủ truy cập yêu cầu xác thực từ máy chủ RADIUS, nơi xác nhận danh tính người dùng và cấp quyền truy cập tài nguyên Các quản trị viên mạng thiết lập hồ sơ người dùng trên máy chủ RADIUS để xác định quyền hạn truy cập cho từng người dùng từ xa, với các giao thức hỏi đáp được sử dụng trong quá trình kết nối.
TACACS / +
- TACACS là giao thức sử dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49
- TACACS có các ưu điểm sau:
Với tính năng nhận gói reset (RST) trong giao thức TCP, thiết bị có khả năng thông báo ngay lập tức cho đầu cuối khác về sự cố xảy ra trong quá trình truyền dữ liệu.
TCP là giao thức mở rộng với khả năng xây dựng cơ chế phục hồi lỗi hiệu quả Nó có thể tương thích với việc phát triển mạng và cũng có thể gây tắc nghẽn, nhờ vào việc sử dụng số thứ tự để truyền lại dữ liệu.
Toàn bộ payload được mã hóa bằng TACACS+ thông qua một khóa bí mật chung TACACS+ sử dụng một trường trong header để xác định xem dữ liệu có được mã hóa hay không.
TACACS+ mã hóa toàn bộ gói dữ liệu bằng khóa bí mật chung, nhưng không mã hóa header TACACS chuẩn Header này bao gồm một trường xác định xem body có được mã hóa hay không Thông thường, body của gói được mã hóa hoàn toàn để đảm bảo an toàn trong quá trình truyền thông.
TACACS+ bao gồm ba thành phần chính: xác thực, cấp quyền và tính cước Với cấu trúc mô-đun, TACACS+ cho phép sử dụng các phương thức xác thực khác nhau trong khi vẫn duy trì chức năng cấp quyền và tính cước Một ví dụ điển hình là việc kết hợp xác thực Kerberos với cấp quyền và tính cước thông qua TACACS+, điều này ngày càng trở nên phổ biến.
TACACS+ hỗ trợ nhiều giao thức
Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng lệnh của một user hay một nhóm nhiều user:
Phương pháp đầu tiên là thiết lập một mức phân quyền (privilege) bằng cách sử dụng các câu lệnh giới hạn Người dùng sẽ được xác thực thông qua router và máy chủ TACACS, sau đó sẽ nhận được mức đặc quyền đã được xác định.
Phương pháp thứ hai đó là tạo một danh sách các dòng lệnh xác định trên TACACS+ server để cho phép một user hay một nhóm sử dụng
- TACACS thường được dùng trong môi trường enterprise Nó có nhiều ưu điểm và làm việc tốt đáp ứng yêu cầu quản lý mạng hàng ngày.
L2TP / PPTP
Giao thức Point-to-Point Tunneling (PPTP) là một sự mở rộng của giao thức Internet chuẩn Point-to-Point (PPP), sử dụng các phương thức xác thực giống như PPP như PAP, SPAP, CHAP, MS-CHAP và EAP PPTP là phương pháp VPN được hỗ trợ rộng rãi nhất trên các máy trạm chạy Windows, thiết lập đường hầm (tunnel) mà không thực hiện mã hóa Một trong những ưu điểm của PPTP là không yêu cầu hạ tầng mã khóa công cộng (Public Key Infrastructure).
Giao thức Layer 2 Tunneling Protocol (L2TP) kết hợp những đặc điểm nổi bật của PPTP và giao thức Layer 2 Forwarding (L2F) L2TP có ưu điểm so với PPTP khi có khả năng hoạt động trên các mạng ATM, frame relay và X.25 Tương tự như PPTP, L2TP hoạt động tại lớp liên kết dữ liệu trong mô hình mạng OSI.
L2TP yêu cầu sử dụng chứng chỉ số để đảm bảo an toàn Việc xác thực người dùng có thể thực hiện qua cơ chế xác thực PPP, tương tự như cách mà PPTP hoạt động.
L2TP có nhiều ưu điểm vượt trội so với PPTP, đặc biệt trong việc bảo mật dữ liệu Trong khi PPTP chỉ cung cấp bảo mật cơ bản, L2TP đảm bảo tính toàn vẹn dữ liệu, xác thực nguồn gốc và bảo vệ chống gửi lại Điều này có nghĩa là L2TP bảo vệ dữ liệu khỏi việc sửa đổi trong quá trình truyền tải, xác nhận danh tính người gửi và ngăn chặn hacker tái sử dụng thông tin đã gửi Tuy nhiên, do tính năng bảo mật mở rộng, L2TP có thể hoạt động chậm hơn một chút so với PPTP.
Thư điện tử là một dịch vụ mạng quan trọng và phổ biến, nhưng nội dung của các mẫu tin có thể không an toàn Thông tin có thể bị theo dõi trong quá trình truyền tải hoặc bị truy cập bởi các cơ quan có thẩm quyền tại hệ thống đầu cuối.
Nâng cao an toàn thư điện tử là mục tiêu quan trọng trong mọi hệ thống trao đổi thông tin Để đạt được điều này, cần đảm bảo tính bảo mật nội dung tin gửi, xác thực người gửi, và tính toàn vẹn của mẫu tin Hơn nữa, hệ thống cũng cần bảo vệ khỏi việc sửa đổi, đảm bảo tính chống từ chối gốc và chống từ chối của người gửi.
WEB
SSL, hay dịch vụ an toàn tầng vận chuyển, được phát triển ban đầu bởi Netscape Phiên bản 3 của SSL sau đó đã được thiết kế cho công chúng và trở thành chuẩn Internet, hiện được biết đến với tên gọi an toàn tầng vận chuyển TLS (Transport Layer Security).
SSL sử dụng giao thức TCP để cung cấp dịch vụ đầu cuối đến cuối tin cậy và có
Hình 3.2 Mô hình SSL sử dụng giao thức TCP Ở đây kết nối SSL là:
- Tạm thời, đầu cuối đến đầu cuối, liên kết trao đổi
- Gắn chặt với 1 phiên SSL
- Liên kết giữa người sử dụng và máy chủ
- Được tạo bởi thủ tục HandShake Protocol
- Xác định một tập các tham số mã hoá
- Có thể chia sẻ bởi kết nối SSL lặp a Dịch vụ thủ tục bản ghi SSL
Dịch vụ thủ tục bản ghi SSL đảm bảo tính toàn vẹn của bản tin:
- Sử dụng MAC với khoá mật chia sẻ
- Giống như HMAC nhưng với bộ đệm khác và cung cấp bảo mật:
- Sử dụng mã đối xứng với khoá chung xác định bởi thủ tục HandShake
- IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128
Bản tin SSL được nén trước khi mã hóa, trong đó Thủ tục thay đổi đặc tả mã SSL (SSL Change Cipher Spec Protocol) là một trong ba giao thức chuyên biệt của SSL sử dụng thủ tục bản ghi SSL Đây là mẫu tin đơn, yêu cầu trạng thái treo trở thành hiện thời và cập nhật bộ mã đang sử dụng.
Truyền đi lời nhắc của SSL liên quan cho thành viên Nghiêm khắc: nhắc nhở hoặc cảnh báo
- Cảnh báo: mẳu tin không chờ đợi, bản ghi MAC tồi, lỗi giải nén, lỗi Handshake, tham số không hợp lệ
Trong quá trình sử dụng chứng nhận SSL, cần lưu ý một số vấn đề quan trọng như đóng ghi chú, không chứng nhận, chứng nhận kém chất lượng, chứng nhận không được hỗ trợ, chứng nhận đã bị thu hồi, chứng nhận quá hạn và chứng nhận không được biết đến Tất cả dữ liệu SSL đều cần được nén và mã hóa đúng cách Quy trình bắt tay SSL (SSL HandShake Protocol) cũng đóng vai trò quan trọng trong việc thiết lập kết nối an toàn.
Thủ tục này cho phép máy chủ và máy trạm:
- Thỏa thuận thuật toán mã hoá và MAC
- Thỏa thuận khoá mã sẽ dùng
Nó bao gồm một loạt các thông tin:
- Thiết lập các khả năng an toàn
- Xác thực máy chủ và trao đổi khoá
- Xác thực máy trạm và trao đổi khoá
- Kết thúc e An toàn tầng vận chuyển
IETF chuẩn RFC 2246 giống như SSLv3
- Số ký hiệu kích thước bản ghi
- Sử dụng HMAC thay cho MAC
- Hàm giả ngẫu nhiên tăng độ mật
- Có mã ghi chú bổ sung
- Có một số thay đổi hỗ trợ mã
- Thay đổi kiểu chứng nhận và thỏa thuận
- Thay đổi bộ đệm và tính toán mã
HTTP là một giao thức ở tầng mạng ứng dụng trong mô hình mạng Internet
Đây là giao thức dùng giao tiếp giữa trình Web Browse và Web Server.
HTTP sử dụng giao thức vận chuyển TCP
Thông tin trao đổi chủ yếu là ngôn ngữ HTML
HTTP là giao thức không trạng thái server không lưu lại thông tin về những yêu cầu của client
Version đầu tiên 0.9, chỉ cho truyền đi các tài liệu thô
Từ version 1.0 trở đi đã kết hợp vào giao thức MIME(Multipurpose Internet Mail Extension) cho phép hiển thị các định dạng mutimedia.
URL là địa chỉ dùng để tham chiếu nguồn tài nguyên trong dịch vụ web Mỗi tài liệu và tập tin trên internet đều có một URL riêng
3.3 Tính dễ bị tổn thương trên Web
Spam email là thư điện tử quảng cáo gửi mà không có sự đồng ý từ người nhận, thường được gửi đến một số lượng lớn người dùng Những email này có thể làm đầy hòm thư, ngăn cản người nhận nhận được thư mới và chiếm dụng băng thông, gây tắc nghẽn đường truyền Một số spam còn chứa nội dung lừa đảo, nhằm mục đích đánh cắp thông tin cá nhân như mã số thẻ tín dụng và mật khẩu Để gửi spam, người gửi (spammer) cần có hàng triệu địa chỉ email, có thể thu thập qua các chương trình tự động, tấn công vào diễn đàn để lấy dữ liệu thành viên, hoặc sử dụng phương pháp tấn công kiểu từ điển kết hợp với nhiều tên miền khác nhau.
Spam có đặc điểm là chi phí gửi thấp, cho phép spammer gửi thư đến nhiều người nhận mà không cần chọn lọc Điều này dẫn đến việc cùng một địa chỉ nhận được nhiều thư trùng lặp.
3.3.2 Đánh lừa Đây là sự giả mạo địa chỉ IP hoặc khống chế tập lưu trữ thông tin về địa chỉ này trong hệ thống mạng Hacker thường dùng cách này để mạo danh là máy tính hợp pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn công
Trong tiêu đề của các gói dữ liệu, địa chỉ IP nguồn và chỉ số thứ tự đóng vai trò quan trọng trong việc xác định nguồn gốc và sắp xếp các gói dữ liệu Địa chỉ IP nguồn dễ bị giả mạo, và nếu hacker nắm được quy tắc gán chỉ số thứ tự của hệ điều hành, họ có thể kiểm soát các phiên xác lập kết nối, từ đó khai thác thông tin trên mạng.
Khi hacker áp dụng kỹ thuật lừa đảo IP để chiếm quyền điều khiển trình duyệt web, địa chỉ trang web hợp pháp mà người dùng muốn truy cập sẽ bị thay đổi thành địa chỉ do hacker chỉ định Nếu người dùng tiếp tục tương tác với các nội dung động, như nhập dữ liệu vào các ô trắng, hacker có khả năng thu thập thông tin nhạy cảm.
Các đoạn mã JavaScript độc hại có thể dễ dàng được nhúng vào trang web, và khi người dùng truy cập trang này trên các trình duyệt, mã độc sẽ tự động chạy mà không có bất kỳ cảnh báo nào cho người dùng.
Các chuyên gia nghiên cứu cảnh báo rằng các đoạn mã độc hại này có khả năng vượt qua mọi ứng dụng tường lửa, vì chúng được thực thi trực tiếp qua trình duyệt web.
- ứng dụng hoàn toàn hợp pháp trước con mắt của ứng dụng tường lửa
Một đoạn mã JavaScript độc hại có thể ẩn mình trên trang web của kẻ tấn công, lợi dụng lỗ hổng tấn công kịch bản liên trang (cross-site scripting) để giả mạo các trang web đáng tin cậy Các công ty lớn như Google, Microsoft và eBay đã phải nỗ lực khắc phục nhiều lỗi bảo mật tương tự Gần đây, Nestcape cũng đã phải xử lý một lỗ hổng bảo mật tương tự.
Kẻ tấn công có thể nhúng mã độc vào các trang web động, dễ bị lừa, nhằm thực hiện kịch bản trên máy tính của nạn nhân để thu thập dữ liệu Kỹ thuật này không giống như SQL injection, vì nó không tấn công vào cơ sở dữ liệu mà tấn công trực tiếp từ phía người dùng Bằng cách sử dụng các đoạn mã đơn giản, kẻ tấn công có thể xâm nhập vào hệ thống, đánh cắp cookies và session, từ đó thao túng người dùng và cướp quyền truy cập tài khoản mà không cần mật khẩu.
Non-persistent (Reflected) là loại tấn công phổ biến nhất, xuất hiện khi dữ liệu được gửi từ một web client Để tấn công, hacker cần tìm lỗ hổng bảo mật trên website bằng cách chèn mã test vào web client, khiến web client gửi dữ liệu đến server và chờ phản hồi để phát hiện lỗ hổng Hacker khai thác sự thiếu chú ý trong việc lọc dữ liệu từ URL của website, chèn mã độc để thực hiện tấn công Loại tấn công này chỉ có hiệu lực trong một lần duy nhất.
Tràn bộ đệm là một trong những phương thức tấn công mạng phổ biến, bắt đầu từ năm 1988 với sự xuất hiện của Morris worm, tiếp theo là các mã độc như Code Red, Slammer, Sasser và nhiều loại khác Mặc dù các kỹ thuật phòng chống đã được biết đến, vấn đề này vẫn cần được chú ý do sự lây lan rộng rãi từ các mã độc và sự tồn tại của những kỹ thuật lập trình thiếu cẩn thận.
Lỗi tràn bộ đệm xảy ra khi dữ liệu nhập vào vượt quá kích thước của mảng, thường gặp trong lập trình Ví dụ, trong chương trình sau, hàm `checkserial()` sử dụng mảng ký tự `sn` có kích thước 16 nhưng không kiểm soát độ dài dữ liệu nhập vào, dẫn đến nguy cơ tràn bộ đệm khi sử dụng `scanf()` Việc này có thể gây ra các vấn đề bảo mật và lỗi hệ thống.
File Transfer
- Dịch vụ FTP tạo khả năng sao chép các tập tin giữa các máy tính trên internet
- Với dịch vụ FTP ngưòi dùng có thể:
Chép tập tin từ một FTP server về máy tính cục bộ
Chép tập tin từ máy tính cục bộ về FTP server.
Chép tập tin từ một server đến một server khác
Máy chủ FTP hỗ trợ cả kết nối chủ động và thụ động Trong kết nối chủ động, máy khách mở cổng và chờ, trong khi máy chủ thực hiện kết nối Ngược lại, với kết nối thụ động, máy chủ mở cổng và chờ để máy khách kết nối Để sử dụng Auto FTP Manager, bạn cần cho phép ứng dụng truy cập Internet và chọn chế độ kết nối phù hợp Hầu hết các chương trình FTP mặc định sử dụng kết nối thụ động vì lý do bảo mật, do các tường lửa thường chặn các kết nối chủ động.
Máy khách FTP có thể kết nối với máy chủ bằng cách sử dụng chế độ thụ động, cho phép "vươn" ra bên ngoài Tường lửa sẽ cho phép các kết nối này mà không cần thay đổi các thiết lập của nó.
Khi kết nối đến máy chủ FTP bằng chế độ chủ động, bạn cần cấu hình tường lửa để cho phép các kết nối đến cổng mà phần mềm FTP sử dụng Tuy nhiên, nhiều nhà cung cấp dịch vụ Internet thường chặn kết nối đến các cổng trên 1024 Các máy chủ FTP chủ động thường sử dụng cổng 20 cho dữ liệu.
Hình 3.6 FTP bằng chế độchủ động
Sử dụng chế độ thụ động để kết nối đến máy chủ FTP là một ý kiến hay, vì hầu hết các máy chủ FTP đều hỗ trợ chế độ này Để kết nối thành công, quản trị viên máy chủ cần cấu hình tường lửa để chấp nhận tất cả các kết nối đến cổng mà máy chủ FTP mở Việc này thuộc trách nhiệm của họ, trong khi bạn chỉ cần tạo và sử dụng kết nối.
Hình 3.7 FTP bằng chế độ thụ động
Khi máy khách FTP thiết lập kết nối Internet, nó sẽ tạo ra hai kênh: một cho lệnh và một cho dữ liệu, để giao tiếp với máy chủ Với Auto FTP Manager, bạn có thể dễ dàng chuyển đổi thư mục và tệp tin giữa hai máy tính.
FTP là một phương pháp truyền tập tin truyền thống không an toàn, vì không có cơ chế mã hóa dữ liệu Điều này khiến cho thông tin như tên người dùng, mật khẩu và tập tin truyền tải có thể bị theo dõi bởi những người khác trên cùng một mạng, thông qua phần mềm phân tích giao thức Vấn đề này thường gặp ở các giao thức Internet được thiết kế trước khi SSL ra đời, như HTTP, SMTP và Telnet Giải pháp phổ biến là sử dụng SFTP hoặc FTPS, với SFTP cung cấp mã hóa dữ liệu thông qua SSH, trong khi FTPS sử dụng SSL để bảo vệ thông tin truyền tải.
Packet Sniffer và Protocol Analyzer là công cụ quan trọng trong việc chẩn đoán và phát hiện lỗi hệ thống mạng Chúng giúp phát hiện các vấn đề liên quan đến mạng một cách hiệu quả Tuy nhiên, Packet Sniffers cũng bị lạm dụng bởi các hacker để theo dõi bí mật lưu lượng mạng và thu thập thông tin như mật khẩu người dùng.
Một số Packet Sniffer được kỹ thuật viên sử dụng cho mục đích chuyên dụng để giải quyết vấn đề phần cứng, trong khi những Packet Sniffer khác là phần mềm ứng dụng tiêu chuẩn chạy trên máy tính người dùng, sử dụng phần cứng mạng từ các máy chủ để chặn và thu thập gói dữ liệu.
Thiết bị
Firewall là một công cụ bảo mật quan trọng, giúp ngăn chặn truy cập trái phép từ bên ngoài vào mạng nội bộ, đồng thời hạn chế người dùng trong mạng truy cập các tài nguyên nguy hại từ bên ngoài.
Thiết bị này kết nối các mạng logic, có chức năng kiểm soát và lọc thông tin thông qua việc sử dụng bảng định tuyến.
Hình 3.9 nguyên tắc hoạt động ROUTER
Switch là bộ chuyển mạch thực sự, khác với HUB thông thường, nó chỉ chuyển tín hiệu đến cổng có trạm đích thay vì phát tín hiệu đến tất cả các cổng Điều này khiến switch trở thành thiết bị quan trọng trong các mạng cục bộ lớn, giúp phân đoạn mạng và giảm thiểu tình trạng đụng độ Hiện nay, switch không chỉ là thiết bị mạng thiết yếu mà còn cho phép tùy biến mạng, bao gồm cả việc lập mạng ảo.
Hình 3.10: LAN Switch nối hai Segment mạng
Là thiết bị dùng để kết nối mạng không dây được thiết kế theo chuẩn IEEE802.11 Dùng cơ chế CSMA/CA để giải quyết tranh chấp đường truyền
Hình 3.11 cơ chế CSMA/CA
Dịch vụ truy cập từ xa cho phép người dùng kết nối đến mạng riêng qua máy chủ truy cập, giúp họ sử dụng tài nguyên như máy tính kết nối trực tiếp Nó tạo ra kết nối WAN qua mạng truyền dẫn giá rẻ, như mạng thoại công cộng, và là cầu nối cho máy tính hoặc mạng máy tính kết nối với internet một cách tiết kiệm chi phí, phù hợp cho doanh nghiệp vừa và nhỏ Khi thiết kế giải pháp truy cập từ xa, cần chú ý đến các yếu tố quan trọng để đảm bảo hiệu quả và an toàn.
Kiến trúc GPRS hoạt động tương tự như mạng GSM, nhưng được bổ sung các đơn vị cho phép truyền dữ liệu gói Mạng dữ liệu này chồng lên mạng GSM thế hệ thứ hai, cung cấp khả năng vận chuyển dữ liệu gói với tốc độ từ 9,6 đến 171 kbps GPRS cho phép nhiều người dùng chia sẻ nguồn tài nguyên cùng một lúc, nâng cao hiệu quả sử dụng mạng.
Trong đó các phần tử mạng được mô tả:
Trạm di động mới (MS) yêu cầu sử dụng dịch vụ GPRS vì điện thoại GSM hiện tại không hỗ trợ các giao diện không khí hoặc gói dữ liệu nâng cao Có nhiều loại MS, bao gồm phiên bản tốc độ cao của điện thoại hiện tại để hỗ trợ truy cập dữ liệu nhanh, thiết bị PDA mới với điện thoại GSM nhúng và thẻ PC cho máy tính xách tay Các trạm di động này tương thích ngược để thực hiện các cuộc gọi thoại sử dụng GSM.
Hệ thống con Trạm Cơ sở (MSC, BSS) yêu cầu mỗi BSC phải cài đặt một hoặc nhiều đơn vị Kiểm soát Gói (PCUs) và nâng cấp phần mềm BĐP cung cấp giao diện dữ liệu vật lý và logic cho BSS để xử lý lưu lượng dữ liệu gói BTS có thể cần nâng cấp phần mềm nhưng thường không yêu cầu cải tiến phần cứng Khi giọng nói hoặc lưu lượng dữ liệu xuất phát từ điện thoại di động, chúng được truyền qua giao diện không gian đến các trạm BTS, sau đó từ BTS đến BSC như một cuộc gọi GSM tiêu chuẩn Tuy nhiên, tại đầu ra của BSC, giao thông được tách biệt; giọng nói sẽ được chuyển đến Trung tâm Điện thoại di động (MSC) theo tiêu chuẩn GSM chuyển mạch, trong khi dữ liệu được gửi đến thiết bị SGSN qua BĐP qua giao diện Frame Relay.
GGSN (Gateway GPRS Support Node) đóng vai trò quan trọng như một giao diện và bộ định tuyến với các mạng bên ngoài, cung cấp thông tin định tuyến cho điện thoại di động GPRS và xử lý các gói tin qua đường hầm xương sống IP Đồng thời, GGSN thu thập thông tin về việc sử dụng mạng dữ liệu bên ngoài và có khả năng lọc gói tin cho lưu lượng đến Trong khi đó, SGSN (Serving GPRS Support Node) đảm nhận nhiệm vụ xác thực điện thoại di động GPRS, quản lý đăng ký và di động, cũng như thu thập thông tin về phí sử dụng các giao diện không khí.
Internal backbone (HLR, AUC, EIR) là xương sống nội bộ của một mạng dựa trên
IP được sử dụng để truyền tải gói tin giữa các GSN khác nhau Hầm kết nối giữa SGSNs và GGSNs không yêu cầu thông tin về lĩnh vực bên ngoài mạng GPRS Tín hiệu từ GSN đến MSC, HLR hoặc EIR được thực hiện thông qua giao thức SS7.
Khu vực định tuyến (Routing Area) tương tự như diện tích địa điểm trong hệ thống GSM, nhưng thường có ít thành phần hơn Do khu vực định tuyến nhỏ hơn khu vực vị trí, nên tài nguyên vô tuyến được sử dụng hiệu quả hơn khi phát sóng thông điệp.
A Virtual Private Network (VPN) employs Tunneling Protocols, which encapsulate a data packet within another packet to establish a secure transmission channel.
Hinh 3.13: VPN cung cấp những lợi ích bao gồm:
Hệ thống phát hiện xâm phạm (IDS) là một công cụ bảo mật mạng, có nhiệm vụ phát hiện và ngăn chặn các hành động tấn công vào hệ thống IDS giúp nhận diện các hoạt động bất thường và cảnh báo quản trị viên mạng để khóa các kết nối tấn công Hệ thống này còn có khả năng phân biệt giữa các tấn công nội bộ từ nhân viên hoặc khách hàng và các tấn công bên ngoài từ hacker, góp phần nâng cao an ninh cho mạng lưới tổ chức.
5.9 Chẩn đoán / Theo dõi mạng
Khởi động lại thiết bị
Một trong những cách đơn giản nhất để khắc phục sự cố trên thiết bị công nghệ là khởi động lại thiết bị Việc khởi động lại thường giúp sửa nhiều lỗi hệ thống, bao gồm tình trạng treo, không phản hồi hay quá tải Ngoài việc khởi động lại máy tính, bạn cũng nên khởi động lại modem và router trong mạng Hãy đợi ít nhất vài phút trước khi cấp nguồn trở lại để giúp modem và router xóa sạch bộ nhớ cache.
Sau khi khởi động máy tính và các thiết bị trong hệ thống mạng, hãy thử truy cập Internet Nếu không thành công, hãy kiểm tra với máy tính khác hoặc thiết bị di động Nếu vẫn không vào mạng được, bạn có thể xác định lỗi từ các thiết bị mạng hoặc đường truyền của nhà cung cấp dịch vụ Internet (ISP).
Nếu máy tính hoặc thiết bị di động của bạn có thể kết nối internet, bạn có thể xác định lỗi trên máy tính cá nhân Bạn nên thử sử dụng phần mềm quét virus để kiểm tra xem máy tính có bị nhiễm virus hoặc malware hay không Ngoài ra, bạn cũng có thể thử mở một số trang web bằng trình duyệt khác.
MẬT MÃ CÔNG KHAI MÔ HÌNH ỨNG DỤNG
Attacks
+ Đảm bảo tính riêng tư của thông tin: bảo vệ dữ liệu được truyền tải khỏi các tấn công thụ động
+ Tương ứng với hình thức phát hiện nội dung thông điệp (release of message content) có một vài phương pháp bảo vệ đường truyền
Bảo vệ dữ liệu truyền giữa hai người sử dụng là rất quan trọng, bằng cách thiết lập một đường truyền ảo giữa hai hệ thống, giúp ngăn chặn mọi hình thức phát hiện nội dung thông điệp.
+ Bảo vệ các thông điệp đơn lẻ hoặc một số trường đơn lẻ của thông điệp
+ Đảm bảo tính riêng tư: bảo vệ luồng thông tin trao đổi khỏi các thao tác phân tích Đảm bảo tính xác thực (Authentication)
+ Dịch vụ đảm bảo tính xác thực: Khẳng định các bên tham gia vào qua trình truyền tin được xác thực và đáng tin cậy
Các thông điệp đơn lẻ, bao gồm thông báo, báo hiệu và dịch vụ xác thực, cần phải đảm bảo rằng bên nhận nhận thức được rằng những thông điệp này đến từ các nguồn đáng tin cậy.
+ Đối với những liên kết trực tuyến
Có 2 khía cạnh cần nhắc tới:
- Tại thời điểm khởi tạo kết nối, dịch vụ xác thực hay phải hai thực thể tham gia vào trao đổi thông tin phải được ủy quyền.
Dịch vụ cần đảm bảo rằng kết nối không bị can thiệp bởi bên thứ ba, bên này có thể giả mạo một trong hai bên được ủy quyền để tham gia vào quá trình truyền tin và thu nhận thông điệp Việc này giúp đảm bảo tính sẵn sàng (Availability) của dịch vụ.
+ Tấn công phá hủy tính sẵn sàng của hệ thống: thực hiện các thao tác vật lý tác động đến hệ thống
+ Dịch vụ đảm bảo tính sẵn sàng phải có
Mật mã học là lĩnh vực kết hợp giữa ngôn ngữ và toán học nhằm đảm bảo an toàn thông tin trong giao tiếp Lịch sử của mật mã học gắn liền với quá trình mã hóa, chuyển đổi thông tin từ dạng có thể nhận thức thành dạng không thể nhận thức, bảo vệ thông tin khỏi sự truy cập trái phép Quá trình mã hóa chủ yếu được sử dụng để đảm bảo tính bí mật cho các thông tin quan trọng trong tình báo, quân sự, ngoại giao và kinh tế Gần đây, mật mã hóa đã mở rộng sang nhiều lĩnh vực khác như chứng thực khóa công khai, chữ ký số, bầu cử điện tử và tiền điện tử Ngay cả những người không cần tính bí mật cao cũng sử dụng công nghệ mật mã hóa, thường được tích hợp sẵn trong hạ tầng công nghệ thông tin và viễn thông.
Mật mã học là một lĩnh vực liên ngành, phát triển từ nhiều lĩnh vực khác nhau, với các hình thức cổ xưa chủ yếu liên quan đến ngôn ngữ Gần đây, tầm quan trọng của mật mã hóa đã chuyển hướng mạnh mẽ sang toán học, đặc biệt là toán học rời rạc, bao gồm lý thuyết số, lý thuyết thông tin, độ phức tạp tính toán, thống kê và tổ hợp Mật mã hóa được xem là một nhánh của công nghệ, mặc dù có tính chất không bình thường do liên quan đến các vấn đề an ninh Đây là công cụ thiết yếu trong an ninh máy tính và bảo vệ thông tin.
Tấn công Ngày sinh là một phương pháp tấn công mật mã khai thác hiện tượng xác suất được gọi là "Nghịch lý Ngày sinh" Hiện tượng này tạo ra sự bất ngờ trong cảm nhận của con người về khả năng trùng lặp trong các dữ liệu, dẫn đến các lỗ hổng bảo mật trong hệ thống mã hóa.
Bài viết này phân tích hiện tượng nghịch lý và mối liên hệ giữa ứng dụng mật mã trong tấn công và phòng vệ Cuối bài có chương trình mã nguồn thực thi kèm theo giải thích chi tiết Kiến thức trong bài chủ yếu là kiến thức phổ thông, dễ hiểu cho những ai đã tốt nghiệp phổ thông trung học Nếu bạn có kiến thức cơ bản về tin học, bạn sẽ gặp thuận lợi với một số chi tiết Để hiểu chương trình, bạn cần nắm vững ngôn ngữ C++ và sử dụng hệ điều hành Linux với trình biên dịch gcc.
Bài viết này cung cấp nền tảng cho các khái niệm liên quan đến bí mật thông tin, bao gồm thuật toán mật mã, thuật toán mật mã không an toàn, và các loại tấn công như tấn công tiền ảnh, tấn công tiền ảnh thứ hai, và tấn công xung đột mạnh Nó cũng đề cập đến các chiến lược tìm kiếm, kỹ thuật mật mã khóa công khai, cũng như các thực hành mã hóa, giải mã thông tin, ký kỹ thuật số, xác minh chữ ký kỹ thuật số, và xác nhận chứng chỉ CA-Certificates, đồng thời loại bỏ các chứng chỉ không hợp lệ.
Nếu bạn tham gia một nhóm ngẫu nhiên có hơn 23 người, bạn có thể tự tin cá cược rằng sẽ có ít nhất một cặp người trùng ngày sinh Dù có 365 ngày trong năm không nhuận, con số này dường như lớn hơn 23, khiến nhiều người cảm thấy điều này khó xảy ra Tuy nhiên, lý thuyết xác suất cho thấy rằng với 23 người, xác suất có ít nhất hai người trùng ngày sinh lên đến 50%.
Gọi xác suất cần tính là P(A) Chúng ta giải bài toán ngược lại, tìm xác suất P(A’) để 23 người ngẫu nhiên có ngày sinh hoàn toàn khác nhau
Mỗi người có thể có ngày sinh vào một trong 365 ngày trong năm, do đó, số khả năng về tình trạng ngày sinh của 23 người sẽ được tính bằng cách áp dụng công thức chỉnh hợp lặp chập 23.
Các thuật giải (A lgorithms)
Mẫu tin có kích thước cố định và giả định rằng hàm hash là công khai, không sử dụng khóa Điều này có nghĩa là hash chỉ phụ thuộc vào mẫu tin, trong khi MAC còn phụ thuộc vào khóa.
Hash là công cụ quan trọng trong việc phát hiện sự thay đổi của mẫu tin Nó có thể được áp dụng theo nhiều cách khác nhau và thường được kết hợp để tạo ra chữ ký cho mẫu tin.
Các tính chất của hàm Hash
Hàm Hash tạo nên dấu vân tay (tức là thông tin đặc trưng) của một tệp, mẫu tin hay dữ liệu h = H(M)
Mẫu tin có thể có kích thước tùy ý, trong khi dấu vân tay lại có kích thước cố định Hàm Hash được coi là công khai và được biết đến rộng rãi trong cách sử dụng.
Các yêu cầu của hàm Hash
Có thể áp dụng cho mọi mẫu tin có kích thước tuỳ ý Tuy nhiên phải tạo đầu ra h có kích thước cố định, thường là 128 bit đến 1024 bit
Dễ tính h = H(M)cho mọi mẫu tin M, hàm H tính toán nhanh, hiệu quả phụ thuộc chặt vào mẫu tin M và không tính toán ngược lại
Tính chất một chiều trong hàm số H(x) cho thấy việc tìm x sao cho H(x) = h là rất khó khăn, trong khi đó, việc tìm ảnh lại dễ dàng.
Cho x không thể tìm được y sao cho H(y) = H(x) Đây là tính chất chống đỡ va chạm yếu, không tìm được mẫu tin có cùng Hash với mẫu tin đã cho.
Và không thể tìm được x, y sao cho H(y) = H(x) Đây gọi là tính chất chống đỡ va chạm mạnh, đây là yêu cầu cao hơn tính chống đỡ va chạm yếu
2.2.2 Các hàm hash đơn giản
Có một số đề xuất cho các hàm hash đơn giản, trong đó mẫu tin được biểu diễn dưới dạng bit và chia thành các khối bit với kích thước mong muốn Bằng cách sử dụng phép toán XOR giữa các bit thông tin ở cùng vị trí của các khối, ta có thể tạo ra Hash cho toàn bộ mẫu tin Tuy nhiên, hàm hash này không an toàn, vì có thể tìm thấy nhiều mẫu tin khác nhau có cùng giá trị hàm hash.
Hash 64 bit có thể được coi là an toàn vì khó tìm được bản tin có cùng hash, nhưng thực tế không phải vậy do nghịch lý ngày sinh nhật Để xác suất có ít nhất 2 sinh viên trùng ngày sinh nhật lớn hơn 0.5, cần xác định số sinh viên tối thiểu trong lớp, ký hiệu là k Xác suất q để không có 2 người nào trùng ngày sinh nhật được tính bằng tỷ số giữa số cách chọn k ngày khác nhau trong 365 ngày và số cách chọn k ngày bất kỳ trong 365 ngày, cụ thể là q = Ck365 / 365k.
Do đó, xác suất p để có ít nhất 2 người trùng ngày sinh là p = 1 – q = 1 - Ck365 / 365k Để p > 0.5 thì k > 22 hay k #, cụ thể khi đó p = 0.5073
Trong khi ban đầu chúng ta có thể nghĩ rằng lớp học cần ít nhất 184 sinh viên để có khả năng trùng ngày sinh, thực tế chỉ cần 23 sinh viên là đủ để tạo ra khả năng này Điều này dẫn đến hiện tượng được gọi là nghịch lý ngày sinh, cho thấy xác suất để hai mẫu tin có cùng bản Hash thường lớn hơn dự kiến.
2.2.3 Tính an toàn của hàm Hash và MAC
Hàm hash, giống như mã khối, cũng có thể bị tấn công vét cạn Sức mạnh chống va chạm mạnh của hàm hash được xác định bởi công thức 2^m/2, trong đó m là độ dài mã hash Để đảm bảo an toàn, cần lựa chọn m đủ lớn để việc tìm kiếm 2^m/2 phương án trở nên không khả thi Một đề xuất cho việc sử dụng hàm hash 128 bit là MD5 phần cứng.
Nhưngcó thể tìm được va chạm sau 24 ngày Do đó có thể coi là hash 128 bit có thể có lỗ hổng, không an toàn, tốt hơn dùng hash 160 bit
Tấn công vét cạn trên MAC phức tạp hơn do yêu cầu một cặp MAC từ mẫu tin đã biết, vì nó phụ thuộc vào khóa Có thể thực hiện tấn công vào không gian khóa hoặc vào chính MAC Để đảm bảo an toàn, độ dài tối thiểu của MAC cần đạt ít nhất 128 bit.
Thám mã tấn công có cấu trúc
Giống như mã khối muốn dùng tấn công vét cạn, có một số các tấn công thám mã là lựa chọn tốt nhất hiện có Chẳng hạn
Nếu CVi = f[CVi-1, Mi]; H(M)=CVN
Thì ở đây thông thường khai thác sự va chạm của hàm f
Giống mã khối thường gồm một số vòng lặp
Khi đó tân công sử dụng các tính chất của các hàm vòng
2.2.4 Các thuật toán Hash và MAC
2.2.4.1 Các thuật toán Hash và MAC
Hàm Hash là một công cụ quan trọng trong việc nén dữ liệu, giúp chuyển đổi mẫu tin thành kích thước cố định bằng cách xử lý từng khối dữ liệu Phương pháp này kết hợp với một hàm nén nhất định và có thể áp dụng mã khối để tối ưu hóa quá trình.
Mã xác thực mẫu tin (MAC) là phương pháp tạo xác thực cho mẫu tin có kích thước cố định, đảm bảo tính toàn vẹn và tính xác thực thông qua việc sử dụng khóa Phương pháp này có thể được thực hiện bằng cách sử dụng mã khối với chế độ móc nối hoặc hàm băm.
2.2.4 2 Thuật toán Hash an toàn SHA (Secure Hash Algorithm)
SHA, hay Thuật toán Băm An toàn, được phát triển bởi Viện chuẩn công nghệ quốc gia Hoa Kỳ (NIST) và Cơ quan An ninh Quốc gia (NSA) vào năm 1993, và đã được nâng cấp vào năm 1995 theo tiêu chuẩn của Hoa Kỳ, cụ thể là FIPS 180-1.
1995 và Internet RFC3174, được nhắc đến như SHA-1 Nó được sử dụng với sơ đồ chữ ký điện tử DSA (Digital Signature Algorithm)
Thuật toán SHA được thiết kế dựa trên MD4, tạo ra giá trị Hash 160 bit với một số khác biệt Nghiên cứu năm 2005 về an toàn của SHA-1 đã khuyến nghị việc sử dụng thuật toán này trong tương lai.
Sau đây ta mô tả chi tiết thuật toán SHA-1 và MD5: a Thuật toán SHA-1
Thuật toán SHA-1 nhận vào một thông điệp có độ dài tối đa 264 bit và sản sinh ra một thông điệp rút gọn với độ dài 160 bit.
Mở rộng thông điệp: f(t;B, C, D) được định nghĩa như sau f(t;B, C, D) = (B AND C) OR ((NOT B) AND D) (0≤t≤19) f(t;B, C, D) = B XOR C XOR D (20≤t≤39) f(t;B, C, D) = (B AND C) OR (B AND D) OR (C AND D) (40≤t≤59) f(t;B, C, D) = B XOR C XOR D (60≤t≤79)
Thông điệp M được mở rộng trước khi thực hiện băm nhằm đảm bảo độ dài của thông điệp mở rộng là bội số của 512 Việc mở rộng này giúp tăng cường tính an toàn và hiệu quả trong quá trình băm.
VIRUS VÀ CÁCH PHÒNG CHỐNG
Giới thiệu tổng quan về virus
- Mô tả được virus máy tính
Căn cứ vào tính chất của đoạn mã phá hoại, có thể chia thành hai loại: virus và Trojan horse
- Trojan horse: Thuật ngữ này dựa vào một điển tích cổ, chỉ một đoạn mã được
Trojan horse là một đoạn mã độc không lây lan, ẩn mình trong các phần mềm nhất định, và có khả năng tấn công bất ngờ như những anh hùng từ bụng con ngựa thành Troa Đoạn mã này thường được kích hoạt vào thời điểm mà tác giả đã định sẵn, nhằm phá hoại thông tin trên đĩa như định dạng lại đĩa, xóa FAT, hoặc Root Các phần mềm chứa Trojan horse thường được phát tán dưới dạng phiên bản bổ sung hoặc mới, nhằm trừng phạt những người sử dụng phần mềm từ các nguồn không rõ ràng.
Virus tin học là một chương trình máy tính có khả năng tự sao chép và lây lan sang các đĩa, file khác mà người dùng không hay biết Chúng thường gây ra những hư hỏng nghiêm trọng, như lỗi thi hành, lệch lạc hoặc hủy dữ liệu Lịch sử lây nhiễm virus bắt đầu từ năm 1970, và chúng đã xuất hiện trên máy PC vào năm 1986, phát triển mạnh mẽ song hành với sự tiến bộ của máy tính cá nhân Virus thường xuất hiện tại các trường đại học, nơi tập trung nhiều sinh viên năng động Nhờ các phương tiện giao tiếp như mạng và đĩa, virus lan truyền rộng rãi trên toàn cầu, cho thấy rằng nơi nào có máy tính, nơi đó có virus tin học.
Worm Internet là một tiến bộ đáng kể trong thế giới virus, kết hợp sức phá hoại của virus, sự bí mật của Trojan và khả năng lây lan mạnh mẽ Ví dụ tiêu biểu như worm Melissa và Love Letter đã làm tê liệt nhiều hệ thống máy chủ và gây ách tắc đường truyền Worm lây lan bằng cách tìm kiếm địa chỉ trong sổ địa chỉ của máy tính bị nhiễm, sau đó tự gửi bản sao đến các địa chỉ đó, dẫn đến sự lây lan nhanh chóng trên toàn cầu Với khả năng lây lan chóng mặt, worm thường được trang bị các tính năng đặc biệt, như đồng loạt tấn công vào một địa chỉ cụ thể, gây tê liệt máy chủ Ngoài ra, chúng còn cho phép kẻ tấn công truy cập vào máy tính của nạn nhân một cách bất hợp pháp Theo thống kê, trong tháng 3/2005, virus Zafi.D đứng đầu với tỷ lệ lây nhiễm 45,1%, trong khi Netsky.P đứng thứ hai với 21%.
Xuất hiện vào cuối năm 2004, virus Zafi.D đã liên tục chiếm vị trí hàng đầu trong danh sách các virus nguy hiểm nhất hàng tháng do Sophos bình chọn Gần đây, virus này lại tái xuất hiện trong bảng xếp hạng tháng.
3 là Sober.K- virus lây nhiễm thông qua các tệp tin đính kèm email mang tiêu đề 'You visit illegal websites' hoặc 'Alert! New Sober Worm!'
Theo chuyên gia bảo mật từ Sophos, trong tháng 3 đã ghi nhận hơn một nghìn virus và mã độc xuất hiện Để bảo vệ bản thân, người dùng máy tính cần nắm vững các hướng dẫn bảo mật và thường xuyên cập nhật thông tin về cách phòng chống virus mới.
Cách thức lây lan – phân loại virus
- Trình bày được cách thức lây lan của virus máy tính
- Phân biệt được các loại virus;
Dựa vào đối tượng lây lan là file hay đĩa, chia virus thành hai nhóm chính:
- B-virus (boot virus): Virus chỉ tấn công trên các Boot sector hay Master boot
Virus F (file virus) là loại virus chỉ tấn công các file thực thi, chủ yếu là những file có khả năng thực thi qua chức năng 4Bh của DOS, thay vì các file có đuôi COM hay EXE.
Cách phân loại này chỉ mang tính tương đối, vì trên thực tế có những loại virus lưỡng tính vừa lây trên boot record, vừa trên file thi hành
Dạng tổng quát của một virus có thể biểu diễn bằng sơ đồ sau:
Hình 5.1: cách lây lan F-virus
Virus máy tính cần có quyền điều khiển hệ thống để hoạt động, và chúng thường khai thác các lỗ hổng bảo mật để xâm nhập vào máy.
‘tự nguyện’ trao quyền điều khiển lại cho nó Thực tế có hai khe hở, sẽ lần lượt xét dưới đây
Lây vào các mẫu tin khởi động bao gồm:
- Master boot của đĩa cứng
- Boot sector của đĩa cứng và đĩa mềm
B-virus chỉ có thể được kích hoạt khi ta khởi động máy tính bằng đĩa nhiễm Lúc này hệ thống chưa được một hệ điều hành (HĐH) nào kiểm soát, do đó B-virus có thể khống chế hệ thống bằng cách chiếm các ngắt của BIOS, chủ yếu là Int 13 (phục vụ đĩa), Int 8 (đồng hồ) Nhờ đặc điểm này mà nó có khả năng lây trên mọi Hệ điều hành Nếu một B-virus được thiết kế nhằm mục đích phá hoại thì đối tượng chính của chúng là đĩa và các thành phần của đĩa Để mở rộng tầm hoạt động, một số loại còn có khả năng tấn công lên file khi quá trình khởi động của Hệ điều hành hoàn tất, nhưng đó chỉ là những trường hợp ngoại lệ, có hành vi phá hoại giống như F-virus
Chúng ta sẽ xem xét từng thành phần chính của đĩa, bao gồm master boot, boot sector, bảng FAT, bảng Thư mục, Vùng dữ liệu
Master boot chỉ có mặt trên đĩa cứng, nằm tại sector 1, track 0, side 0 Nó không chỉ chứa mã tìm hệ điều hành mà còn bao gồm bảng phân vùng (Partition table) ở offset 1BEh, ghi nhận cấu trúc vật lý và địa chỉ bắt đầu, kết thúc của mỗi phân vùng Thông tin này rất quan trọng, vì nếu bị sai lệch, hệ thống có thể rối loạn hoặc không nhận dạng được đĩa cứng.
Để loại bỏ B-virus, việc cập nhật lại master boot là cần thiết, vì virus thường giữ lại Partition table Bạn có thể sử dụng lệnh FDISK / MBR để thực hiện quá trình này một cách hiệu quả.
B-virus, giống như master boot, ghi vào boot sector và giữ lại bảng tham số đĩa (BPB-BIOS Parameter Block) ở offset 0Bh, chứa các thông số quan trọng như loại đĩa, số bảng FAT và tổng số sector trên đĩa Việc phục hồi boot sector có thể thực hiện bằng lệnh SYS.COM của DOS Tuy nhiên, một số virus có thể làm hỏng BPB, khiến hệ thống không đọc được đĩa trong môi trường sạch và làm cho lệnh SYS không còn hiệu lực Đối với đĩa mềm, việc phục hồi boot sector, bao gồm BPB, tương đối đơn giản do chỉ có vài loại đĩa mềm thông dụng.
Để khôi phục BPB của đĩa mềm (360KB, 720KB, 1.2 MB, 1.44 MB), người dùng có thể lấy boot sector từ một đĩa cùng loại mà không cần format lại toàn bộ đĩa Tuy nhiên, việc phục hồi BPB trên đĩa cứng phức tạp hơn, vì nó được tạo ra trong quá trình FDISK dựa trên các tùy chọn của người dùng và tham số phân chia đĩa Trong một số trường hợp, phần mềm NDD có thể giúp phục hồi BPB cho đĩa cứng, nhưng do máy phải khởi động từ A (vì BPB đã hư), việc quản lý các phần tiếp theo của đĩa sẽ gặp khó khăn Do đó, việc lưu lại boot sector của đĩa cứng là rất quan trọng để phục hồi khi cần thiết.
2.1.3 Bảng FAT (File Allocation Table) Được định vị một cách dễ dàng ngay sau boot sector, FAT là một "miếng mồi ngon" cho virus Đây là bảng ghi nhận trật tự lưu trữ dữ liệu theo đơn vị liên cung (cluster) trên đĩa ở vùng dữ liệu của DOS Nếu hỏng một trong các mắt xích của FAT, dữ liệu liên quan sẽ không truy nhập được Vì tính chất quan trọng của nó, FAT luôn được DOS lưu trữ thêm một bảng dự phòng nằm kề bảng chính Tuy nhiên các virus đủ sức định vị FAT khiến cho tính cẩn thận của DOS trở nên vô nghĩa Mặt khác, một số DB-virus (Double B-virus) thường chọn các sector cuối của FAT để lưu phần còn lại của progvi Trong đa số trường hợp, người dùng thường cầu cứu các chương trình chữa đĩa, nhưng những chương trình này chỉ có thể định vị các liên cung thất lạc, phục hồi một phần FAT hỏng chứ không thể khôi phục lại toàn bộ từ một bảng FAT chỉ chứa toàn "rác" Hơn nữa thông tin trên đĩa luôn biến động, vì vậy không thể tạo một bảng FAT "dự phòng" trên đĩa mềm như đối với master boot và boot sector được Cách tốt nhất vẫn là sao lưu dự phòng tất cả dữ liệu quan trọng bằng các phương tiện lưu trữ tin cậy
2.1.4 Bảng Thư mục (Root directory)
Sau FAT, bảng Thư mục lưu trữ các tên hiển thị trong lệnh DIR\, bao gồm nhãn đĩa, tên file và tên thư mục Mỗi tên được tổ chức thành entry có độ dài 32 byte, chứa thông tin như tên entry, phần mở rộng, thuộc tính, ngày giờ, địa chỉ lưu trữ và kích thước (đối với entry chỉ định tên file).
DOS quy định rằng một thư mục sẽ kết thúc bằng một entry có giá trị 0 Do đó, để vô hiệu hóa từng phần của Root, virus chỉ cần đặt byte 0 tại một entry nào đó Nếu byte này được đặt ở đầu Root, toàn bộ đĩa sẽ trở nên trống rỗng một cách thảm hại Trường hợp virus lưu phần còn lại của chương trình ở các sector cuối của Root cũng gây ra hậu quả tương tự như bảng FAT, vì nếu vùng này đã được DOS sử dụng, các entry trên đó sẽ bị phá hủy hoàn toàn.
Vì số lượng entry trên Root có hạn, DOS cho phép tạo thêm thư mục con để mở rộng vùng dữ liệu Nội dung của Root thường ít biến động, chủ yếu chứa các file hệ thống như IO.SYS, MSDOS.SYS, COMMAND.COM, CONFIG.SYS, AUTOEXEC.BAT và các tên thư mục gốc Do đó, có thể tạo một bản Root dự phòng miễn là không thay đổi hay cập nhật bất kỳ entry nào Tuy nhiên, điều này không cần thiết trên hệ thống đã áp dụng các biện pháp sao lưu dữ liệu định kỳ.
2.1.5 Vùng dữ liệu Đây là vùng chứa dữ liệu trên đĩa, chiếm tỷ lệ lớn nhất, nằm ngay sau Root Ngoại trừ một số ít DB_virus sử dụng vài sector ở vùng này để chứa phần còn lại của progvi (xác suất ghi đè lên file rất thấp), vùng dữ liệu được coi như vùng có độ an toàn cao, tránh được sự "nhòm ngó" của B_virus Chúng ta sẽ lợi dụng đặc điểm này để bảo vệ dữ liệu khỏi sự tấn công của B_virus (chủ yếu vào FAT và Root, hai thành phần không thể tạo bản sao dự phòng).
Khi sử dụng FDISK để phân chia đĩa cứng, nhiều người thường chỉ tạo một partition duy nhất cho ổ khởi động Tuy nhiên, việc chia đĩa thành hai ổ C và D là hợp lý: ổ C chứa boot sector của hệ điều hành chỉ dùng để khởi động và cài đặt phần mềm, trong khi ổ D lưu trữ dữ liệu quan trọng Nếu ổ C bị tấn công bởi virus, ta có thể cài đặt lại mà không lo mất dữ liệu trên ổ D Đối với đĩa cứng lớn, nên chia theo tỷ lệ 1:1 hoặc 2:3 để tối ưu hiệu quả sử dụng Ngược lại, với đĩa nhỏ, chỉ cần phân bổ đủ dung lượng cho hệ điều hành và các tiện ích, ưu tiên an toàn hơn là kinh tế.
Giải pháp này chỉ mang tính tương đối, vì nếu có một B_virus có khả năng tự định vị địa chỉ vật lý của partition thứ hai để tấn công, thì vấn đề sẽ trở nên phức tạp hơn rất nhiều.
Các B_virus có khả năng lây nhiễm trên nhiều hệ điều hành và chỉ khai thác dịch vụ đĩa của ROM BIOS, trong khi F_virus chỉ lây trên một hệ điều hành cụ thể nhưng có thể khai thác nhiều dịch vụ nhập xuất của hệ điều hành đó Dưới DOS, F_virus chủ yếu sử dụng dịch vụ truy cập file qua các hàm của ngắt 21h, với một số ít sử dụng ngắt 13h, tương tự như B_virus Do đó, chúng ta chỉ cần tập trung vào các trường hợp sử dụng ngắt 21h của F_virus.
Ngăn chặn sự xâm nhập virus
- Phòng ngừa được sự xâm nhập của virus
Virus tin học tuy ranh ma và nguy hiểm nhưng có thể bị ngăn chặn và loại trừ một cách dễ dàng Có một số biện pháp dưới đây
3.1 Chương trình diệt virus - Anti-virus
Chương trình chống virus, hay còn gọi là anti-virus, giúp phát hiện và tiêu diệt virus trên máy tính Thông thường, các phần mềm này tự động xóa virus khi phát hiện, nhưng một số chỉ có khả năng phát hiện mà không diệt được, vì vậy người dùng cần chú ý đến các thông báo Để sử dụng anti-virus hiệu quả, nên trang bị nhiều chương trình khác nhau để bổ sung cho nhau, từ đó nâng cao hiệu quả bảo vệ Ngoài ra, việc chạy anti-virus trong trạng thái bộ nhớ tốt, như khởi động từ đĩa mềm sạch, sẽ giúp quét virus an toàn và hiệu quả hơn, tránh lây lan virus trên ổ cứng Hiện nay có hai loại anti-virus: ngoại nhập và nội địa.
Các phần mềm diệt virus phổ biến hiện nay bao gồm SCAN của McAfee, Norton Anti-virus của Symantec, Toolkit và Dr Solomon Những sản phẩm này đều thuộc loại thương mại, với ưu điểm là có khả năng cập nhật virus rất lớn và hiệu quả trong việc tìm và diệt virus Bên cạnh đó, chúng còn cung cấp đầy đủ các công cụ hỗ trợ người dùng Tuy nhiên, nhược điểm của các phần mềm này là chúng thường cồng kềnh và chiếm nhiều tài nguyên hệ thống.
Các phần mềm diệt virus nội địa phổ biến như D2 và BKAV đều miễn phí và có hiệu suất cao nhờ kích thước nhỏ gọn Chúng phát hiện và loại bỏ virus nội địa hiệu quả, nhưng lại có hạn chế trong việc nhận diện virus ngoại Mặc dù thiếu công cụ hỗ trợ và giao tiếp với người dùng, các phần mềm này liên tục cập nhật virus mới để cải thiện khả năng bảo vệ cho người dùng.
Mặc dù phần mềm diệt virus là công cụ hữu ích, nhưng người dùng không nên quá phụ thuộc vào chúng, vì chúng chỉ có thể phát hiện và loại bỏ các virus đã được cập nhật Những virus mới chưa có trong cơ sở dữ liệu của chương trình sẽ không được diệt Nhược điểm này đã thúc đẩy các nhà phát triển, như Symantec, nghiên cứu các phương pháp nhận dạng virus mà không cần cập nhật, với sự hỗ trợ của cơ chế miễn dịch từ IBM Phần mềm D2 cũng đang nỗ lực trong việc nhận diện virus mới, đặc biệt là qua các phiên bản D2-Plus 2xx, sử dụng công nghệ chẩn đoán thông minh dựa trên lý thuyết hệ chuyên gia Những phiên bản này hứa hẹn sẽ dự báo sự xuất hiện của virus mới trong tương lai Tuy nhiên, người dùng vẫn nên áp dụng thêm các biện pháp phòng chống virus hiệu quả để bảo vệ hệ thống của mình.
Phát hiện virus là bước quan trọng đầu tiên trong quá trình xử lý, vì không thể thực hiện chữa trị nếu không xác định được máy hoặc đĩa có bị nhiễm virus hay không, cũng như loại virus cụ thể nào Việc phát hiện cần được thực hiện trong vùng nhớ trước, bởi vì nếu virus chiếm quyền điều khiển, thông tin trong các tác vụ truy xuất đĩa sau đó sẽ bị sai lệch Sau khi xác định trong vùng nhớ, tiếp theo mới tiến hành kiểm tra trên đĩa Sự tồn tại của virus thường đi kèm với một số dấu hiệu đặc biệt, vì vậy việc dự báo khả năng xuất hiện virus lạ trong vùng nhớ và xác định chính xác loại virus đã biết là rất cần thiết.
Do đặc tính phải tồn tại trong bộ nhớ cao, B - virus rất dễ bị phát hiện Việc phát hiện có thể qua các bước sau:
So sánh tổng số vùng nhớ BIOS với toàn bộ vùng nhớ mà chương trình có được sau khi tự test giúp kiểm tra sự chênh lệch Dấu hiệu này chưa đủ để kết luận về sự tồn tại của virus, mà chỉ là cơ sở để tiến hành bước tiếp theo, vì sự chênh lệch cũng có thể phản ánh tình trạng hỏng hóc của vùng RAM.
Bắt đầu từ địa chỉ của vùng cao, việc dò tìm virus bằng kĩ thuật Scanning cho phép xác định sự tồn tại của virus trong vùng nhớ Tuy nhiên, phương pháp này có nhược điểm, vì khi máy bị nhiễm virus được khởi động lại bằng đĩa mềm sạch, RAM không được kiểm tra, dẫn đến việc virus vẫn có thể tồn tại mà không được phát hiện Để cải thiện tình hình, người dùng cần suy nghĩ và đề ra phương pháp thích hợp Nếu không phát hiện virus, vẫn có khả năng tồn tại một B-virus mới, và một số thủ thuật có thể giúp đưa ra kết quả chính xác về sự hiện diện của loại virus này.
Một số phần mềm chống virus cung cấp tính năng vô hiệu hóa virus trong vùng nhớ bằng cách khôi phục lại int 13h cũ Tuy nhiên, phương pháp này vẫn có hạn chế, vì không thể hoàn trả vùng nhớ cho DOS bằng cách cộng thêm vào giá trị tại BIOS data 40:13 Điều này dẫn đến việc DOS không sử dụng giá trị này nữa, buộc người dùng phải reset máy để BIOS kiểm tra lại RAM Dù vậy, việc vô hiệu hóa virus trước khi reset máy vẫn được coi là phương pháp hiệu quả nhất hiện nay.
Một phương pháp đơn giản được các nhà chữa trị virus trong nước đề xuất, tuy nhiên không đảm bảo tương thích với mọi hệ điều hành Phương pháp này dựa trên việc virus chiếm ngắt 13h, và việc thay thế địa chỉ này sẽ chuyển giá trị segment của ngắt 13h từ ROM sang RAM, cụ thể là từ giá trị lớn hơn 0C000h thành giá trị nhỏ hơn A000h Khi DOS kiểm soát, nó thay địa chỉ này bằng đoạn mã của nó, do đó, cần xác định vị trí mà DOS lưu trữ địa chỉ này Giá trị này được công bố tại địa chỉ 0:7B4h qua nghiên cứu các phiên bản DOS, từ bản cũ đến bản mới nhất DOS 4.xx Mặc dù kiểm tra có thể xác định máy có bị nhiễm virus hay không, phương pháp này vẫn có nhược điểm là không tương thích với các phiên bản mới của DOS Ngoài ra, còn có cách định vị lại giá trị segment để nó được xem như nằm ở ROM mặc dù vẫn nằm trong RAM.
Phương pháp này cần được điều chỉnh để tạo địa chỉ chính xác 20 bit và thực hiện so sánh trên địa chỉ đó Đối với việc dò tìm trên đĩa, cần kiểm tra vùng nhớ trước để đảm bảo không phát hiện virus Khác với vùng nhớ, việc dò tìm trên đĩa có thể thực hiện bằng nhiều phương pháp, bao gồm cả việc phát hiện virus mới nếu có.
Nhiều phần mềm Antivirus sử dụng phương pháp dò tìm đoạn mã để phát hiện virus, tương tự như dò tìm vùng nhớ Tuy nhiên, phương pháp này có nhược điểm là virus có thể ngụy trang, dẫn đến khả năng Boot sector bị nhiễm bởi hai hoặc nhiều virus Hệ quả là phương pháp dò tìm có thể phát hiện virus thứ hai, gây ra kết quả khôi phục không chính xác.
Một bằng chứng rõ ràng là nếu một đĩa mềm bị nhiễm virus Stone trước khi bị tấn công bởi virus Joshi, phần mềm TNT virus (Turbo Antivirus) sẽ cảnh báo rằng đĩa mềm đó đã bị nhiễm.
Stone và do đó sẽ khôi phục Stone hơn là khôi phục Joshi trước
Một phương pháp kiểm tra key value được sử dụng bởi các phần mềm, nhưng do sự phát triển nhanh chóng của virus, giá trị này không còn quan trọng Để dự báo virus mới, khó xác định Boot sector nào chứa dấu hiệu virus vì nó tương tự như B-virus Việc kiểm tra virus mới chỉ cần so sánh Boot record và Partition table với nội dung của file Không nên khởi động máy từ đĩa mềm nếu có đĩa cứng, trừ khi cần thiết, và nếu khởi động từ đĩa mềm, phải đảm bảo nó sạch Việc quên rút đĩa mềm khỏi ổ có thể dẫn đến lây nhiễm B-virus vào đĩa cứng Tuy nhiên, D2-Plus có thể diệt virus này nhờ chức năng chẩn đoán thông minh, chỉ cần chạy thường xuyên để phân tích Boot record và dự báo sự có mặt của virus với tên gọi PROBABLE B-Virus.
Nguyên tắc quan trọng là không nên chạy các chương trình không rõ nguồn gốc, vì hầu hết các phần mềm hợp pháp đều được phát hành từ nhà sản xuất và đảm bảo an toàn cho người dùng.
Vì vậy, khả năng tiềm tàng F-virus trong file COM,EXE chỉ còn xảy ra tại các chương trình trôi nổi (chuyền tay, lấy từ mạng, ).
Để phát hiện một đĩa hoặc file bị nhiễm virus, cần xác định loại virus và áp dụng phương pháp chữa trị tương ứng Quá trình phát hiện bắt đầu từ vùng nhớ để nhận diện RF-Virus trước khi kiểm tra trên đĩa Việc kiểm tra vùng nhớ rất quan trọng, vì nó quyết định liệu có thể tiến hành bước chữa trị tiếp theo hay không Một số loại virus có khả năng lây lan khi mở file hoặc tìm file trên đĩa, do đó, phần mềm Antivirus có thể tạo cơ hội cho virus lây lan Có nhiều phương pháp khác nhau để phát hiện virus.