CÁC KHÁI NIỆM CƠ BẢN VỀ AN TOÀN THÔNG TIN
Tổng quan an toàn thông tin
Mục tiêu: Trình bày được tổng quan về an toàn và bảo mật thông tin
Khi nhu cầu trao đổi thông tin ngày càng tăng, các tiến bộ trong điện tử, viễn thông và công nghệ thông tin đã thúc đẩy việc nâng cao chất lượng và lưu lượng truyền tin Điều này dẫn đến việc đổi mới các quan niệm và biện pháp bảo vệ thông tin dữ liệu Bảo vệ an toàn thông tin là một chủ đề phong phú, liên quan đến nhiều lĩnh vực, với nhiều phương pháp khác nhau được áp dụng Các phương pháp bảo vệ an toàn thông tin dữ liệu có thể được phân loại thành ba nhóm chính.
- Bảo vệ an toàn thông tin bằng các biện pháp hành chính
- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)
- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)
Ba nhóm biện pháp bảo vệ an toàn thông tin có thể được áp dụng độc lập hoặc kết hợp với nhau Môi trường mạng và truyền tin là nơi khó bảo vệ an toàn thông tin nhất, đồng thời cũng là điểm dễ bị xâm nhập nhất Hiện nay, biện pháp hiệu quả và tiết kiệm nhất cho mạng truyền tin và mạng máy tính là sử dụng các thuật toán bảo mật.
An toàn thông tin bao gồm các nội dung sau:
- Tính bí mật: tính kín đáo riêng tư của thông tin
- Tính xác thực của thông tin, bao gồm xác thực đối tác (bài toán nhận danh), xác thực thông tin trao đổi
Tính trách nhiệm trong việc gửi thông tin là rất quan trọng, nhằm đảm bảo người gửi không thể thoái thác trách nhiệm về nội dung đã gửi Để bảo vệ an toàn thông tin dữ liệu trên đường truyền và mạng máy tính, cần lường trước các khả năng không an toàn, xâm phạm và rủi ro có thể xảy ra Việc xác định chính xác các nguy cơ này giúp đưa ra các giải pháp hiệu quả nhằm giảm thiểu thiệt hại.
Có hai loại hành vi xâm phạm thông tin dữ liệu: vi phạm chủ động và vi phạm thụ động Vi phạm thụ động nhằm mục đích thu thập thông tin mà không làm thay đổi nội dung, thường khó phát hiện nhưng có thể ngăn chặn hiệu quả Ngược lại, vi phạm chủ động có khả năng thay đổi, xóa bỏ, hoặc làm sai lệch nội dung thông tin, dễ phát hiện nhưng khó ngăn chặn Việc hiểu rõ hai loại vi phạm này là cần thiết để bảo vệ an toàn thông tin trong môi trường số.
Không có biện pháp bảo vệ an toàn thông tin nào là hoàn hảo Dù hệ thống được bảo vệ tốt đến đâu, vẫn không thể đảm bảo an toàn tuyệt đối cho dữ liệu.
1.2 Vai trò của an toàn thông tin: Yếu tố con người, công nghệ
1.2.1 Giới hạn quyền hạn tối thiểu (Last Privilege) Đây là chiến lược cơ bản nhất theo nguyên tắc này bất kỳ một đối tượng nào cùng chỉ có những quyền hạn nhất định đối với tài nguyên mạng, khi thâm nhập vào mạng đối tượng đó chỉ được sử dụng một số tài nguyên nhất định.
1.2.2 Bảo vệ theo chiều sâu (Defence In Depth)
Nguyên tắc này nhấn mạnh rằng chúng ta không nên chỉ dựa vào một chế độ an toàn duy nhất, dù cho nó có mạnh mẽ đến đâu Thay vào đó, cần thiết lập nhiều cơ chế an toàn khác nhau để hỗ trợ lẫn nhau, tạo ra một hệ thống bảo vệ toàn diện và hiệu quả hơn.
Để đảm bảo an toàn thông tin, cần tạo ra một “cửa khẩu” hẹp, cho phép thông tin chỉ đi vào hệ thống qua con đường duy nhất này Điều này đòi hỏi phải tổ chức một cơ cấu kiểm soát và điều khiển thông tin một cách chặt chẽ qua cửa khẩu đó.
1.2.4 Điểm nối yếu nhất (Weakest Link)
Chiến lược này dựa trên nguyên tắc: “Một dây xích chỉ chắc tại mắt duy nhất, một bức tường chỉ cứng tại điểm yếu nhất”
Kẻ phá hoại thường nhắm vào những điểm yếu của hệ thống để tấn công, vì vậy việc gia cố các yếu điểm này là rất cần thiết Chúng ta thường chỉ chú trọng đến các cuộc tấn công mạng mà bỏ qua nguy cơ từ kẻ tiếp cận hệ thống, dẫn đến an toàn vật lý trở thành một trong những điểm yếu lớn nhất trong hệ thống của chúng ta.
Các hệ thống an toàn cần tính toàn diện của các hệ thống cục bộ Nếu một kẻ xấu có khả năng phá vỡ cơ chế an toàn, họ có thể tấn công hệ thống tự do của người khác và sau đó xâm nhập vào hệ thống từ bên trong.
1.2.6 Tính đa dạng bảo vệ
Để bảo vệ hệ thống hiệu quả, cần áp dụng nhiều biện pháp bảo vệ khác nhau Nếu một hệ thống không được bảo vệ tốt, kẻ tấn công có thể dễ dàng xâm nhập vào các hệ thống khác.
1.3 Các chính sách về an toàn thông tin
Do không có giải pháp an toàn tuyệt đối, cần sử dụng nhiều mức bảo vệ khác nhau để tạo thành hàng rào chắn cho các hoạt động xâm phạm Bảo vệ thông tin trên mạng chủ yếu tập trung vào việc bảo vệ dữ liệu lưu trữ trên máy tính, đặc biệt là các server Do đó, ngoài các biện pháp chống thất thoát thông tin trên đường truyền, mọi nỗ lực đều hướng tới việc xây dựng các rào chắn từ bên ngoài vào bên trong cho các hệ thống kết nối mạng Các mức bảo vệ thường bao gồm nhiều lớp khác nhau.
Lớp bảo vệ trong cùng đóng vai trò quan trọng trong việc quản lý quyền truy cập và kiểm soát tài nguyên mạng Việc kiểm soát này cần được thực hiện một cách chi tiết, đặc biệt là đối với các cấu trúc dữ liệu Hiện nay, quy trình kiểm soát chủ yếu tập trung ở mức tệp, nhưng cần mở rộng để đảm bảo an toàn và hiệu quả hơn.
1.3.2 Đăng ký tên và mật khẩu
Kiểm soát quyền truy nhập ở mức hệ thống là phương pháp bảo vệ phổ biến nhất, vì nó đơn giản, ít tốn kém và hiệu quả Mỗi người sử dụng cần đăng ký tên và mật khẩu để tham gia vào mạng và sử dụng tài nguyên Người quản trị mạng có trách nhiệm quản lý và kiểm soát mọi hoạt động của mạng, đồng thời xác định quyền truy nhập của người sử dụng theo thời gian và không gian, nghĩa là họ chỉ được truy nhập trong một khoảng thời gian và tại một vị trí nhất định.
Nếu mọi người bảo vệ mật khẩu và tên đăng ký của mình, sẽ không có truy cập trái phép Tuy nhiên, trong thực tế, nhiều yếu tố hàng ngày làm giảm hiệu quả bảo vệ này Để khắc phục, người quản lý mạng nên chịu trách nhiệm đặt và thay đổi mật khẩu định kỳ.
Xác thực
3.1 Kerberos Đây là mô hình Hệ thống khoá máy chủ tin cậy của MIT (Trường Đại học Kỹ thuật Massachusetts) để cung cấp xác thực có bên thứ ba dùng khoá riêng và tập trung Cho phép người sử dụng truy cập vào các dịch vụ phân tán trong mạng Tuy nhiên không cần thiết phải tin cậy mọi máy trạm, thay vì đó chỉ cần tin cậy máy chủ xác thực trung tâm Đã có hai phiên bản đang sử dụng là: Kerberos 4 và Kerberos 5 a Các yêu cầu của Kerrberos
Báo cáo đầu tiên của Kerberos chỉ ra các yêu cầu cơ bản bao gồm an toàn, tin cậy, tính trong suốt và khả năng mở rộng Hệ thống này sử dụng thủ tục xác thực Needham-Schroeder để đảm bảo các tiêu chí trên Tổng quan về Kerberos 4 cho thấy những cải tiến và tính năng nổi bật của hệ thống này trong việc bảo vệ thông tin.
Kerberos 4 là một sơ đồ xác thực bên thứ ba cơ bản, bao gồm máy chủ xác thực (AS - Authentication Server) Người dùng thỏa thuận với AS về danh tính của mình, từ đó AS cung cấp sự tin cậy xác thực thông qua thẻ cấp TGT (Ticket Granting Ticket) Sau đó, máy chủ cấp thẻ (TGS - Ticket Granting Server) cho phép người dùng yêu cầu truy cập vào các dịch vụ khác dựa trên thẻ TGT mà họ đã nhận được.
Người sử dụng nhận thẻ từ máy chủ xác thực AS, với mỗi thẻ tương ứng cho một phiên làm việc Họ cũng nhận thẻ cấp dịch vụ (service granting ticket) từ TGT Mỗi thẻ được sử dụng cho các dịch vụ khác nhau thông qua việc trao đổi giữa máy chủ và trạm để yêu cầu dịch vụ Hệ thống này hoạt động trong các lãnh địa Kerberos.
Môi trường Kerberos bao gồm máy chủ Kerberos, các máy trạm đã đăng ký và các máy chủ ứng dụng chia sẻ khóa với máy chủ, tạo thành một lãnh địa Kerberos Thông thường, lãnh địa này là một miền hành chính duy nhất Khi có nhiều lãnh địa, các máy chủ Kerberos cần chia sẻ khóa và thiết lập độ tin cậy lẫn nhau Hệ thống này sử dụng phiên bản Kerberos 5.
Kerberos 5 được phát triển vào giữa những năm 1990, được thiết kế theo chuẩn RFC 1510 Nó cung cấp những cải tiến so với phiên bản 4, cụ thể hướng tới các thiếu xót về môi trường, thuật toán mã, thủ tục mạng thứ tự byte, thời gian sử dụng thẻ, truyền tiếp xác thực, xác thực lãnh địa con Và các sự khác biệt về kỹ thuật như: mã kép, các dạng sử dụng không chuẩn, khoá phiên, chống tấn công mật khẩu
Kerberos là một giao thức xác thực mạng giúp cá nhân giao tiếp an toàn trên mạng không an toàn bằng cách xác thực người dùng với nhau Giao thức này ngăn chặn việc nghe trộm và tấn công thay thế, đồng thời đảm bảo tính toàn vẹn của dữ liệu Kerberos hoạt động theo mô hình máy trạm/máy chủ và thực hiện xác thực hai chiều giữa người dùng và dịch vụ Được xây dựng trên mô hình mã hóa khóa đối xứng, Kerberos yêu cầu một thành phần thứ ba tin cậy để tham gia vào quá trình xác thực.
Kerberos là một hệ thống chứng thực sử dụng một bên thứ ba tin cậy, gọi là Trung tâm phân phối khóa, bao gồm hai thành phần chính: máy chủ chứng thực (AS) và máy chủ cấp thẻ (TGS) Hệ thống này hoạt động dựa trên việc sử dụng thẻ để xác thực người dùng.
Kerberos duy trì cơ sở dữ liệu chứa các khoá bí mật, trong đó mỗi thực thể trên mạng, bao gồm máy trạm và máy chủ, chia sẻ một khoá bí mật riêng với Kerberos Để hỗ trợ giao tiếp giữa hai thực thể, Kerberos tạo ra một khoá phiên, đảm bảo bảo mật cho quá trình tương tác giữa các thực thể này.
Quá trình hoạt động của giao thức (AS = Máy chủ xác thực, TGS = Máy chủ cấp thẻ, C = Máy trạm, S = Dịch vụ):
+ Người dùng nhập vào tên truy cập và mật khẩu ở phía máy trạm
+ Máy trạm thực hiện thuật toán băm một chiều trên mật khẩu được nhập vào và nó trở thành khoá bí mật của máy trạm
Máy trạm gửi thông điệp rõ ràng đến AS để yêu cầu dịch vụ mà không cần sử dụng khóa bí mật hay mật khẩu.
+ AS kiểm tra xem có tồn tại người dùng C trong cở sở dữ liệu của nó hay không
Nếu có, nó gởi ngược lại cho máy trạm 2 thông điệp:
Thông điệp A: chứa khoá phiên Máy trạm/TGS được mã hóa bởi khoá bí mật của người dùng
Thông điệp B bao gồm Thẻ, trong đó chứa ID của máy trạm, địa chỉ mạng của máy trạm, thời hạn hiệu lực của thẻ và một khóa phiên máy trạm/TGS Thẻ này được mã hóa bằng khóa bí mật của TGS.
Khi máy trạm nhận thông điệp A và B, nó sẽ giải mã thông điệp A để lấy khóa phiên máy trạm/TGS, khóa này được sử dụng cho quá trình giao tiếp tiếp theo với TGS Tuy nhiên, máy trạm không thể giải mã thông điệp B vì nó được mã hóa bằng khóa bí mật của TGS.
+ Khi yêu cầu dịch vụ (S), máy trạm gởi 2 thông điệp sau đến TGS:
- Thông điệp C: Gồm thông điệp B và ID của dịch vụ được yêu cầu
- Thông điệp D: chứa Authenticator (gồm ID máy trạm và nhãn thời gian - timestamp) được mã hóa bởi khoá phiên Máy trạm/TGS.
+ Khi nhận được thông điệp C và D, TGS giải mã thông điệp D sử dụng khoá phiên máy trạm/TGS và gởi 2 thông điệp ngược lại cho máy trạm:
Thông điệp E chứa thẻ từ máy trạm đến máy chủ, bao gồm ID máy trạm, địa chỉ mạng, thời gian hiệu lực của thẻ và khóa phiên dịch vụ, tất cả được mã hóa bằng khóa bí mật của dịch vụ.
- Thông điệp F: chứa khoá phiên của máy trạm/máy chủ được mã hóa bởi khoá phiên máy trạm/TGS
Khi nhận thông điệp E và F, máy trạm sẽ gửi một Authenticator mới cùng với một thẻ từ máy trạm đến máy chủ chứa dịch vụ mà người dùng yêu cầu.
- Thông điệp G: chứa thẻ (máy trạm đến máy chủ) được mã hóa sử dụng khoá bí mật của máy chủ
- Thông điệp H: một Authenticator mới chứa ID máy trạm, Timestamp và được mã hóa sử dụng khoá phiên máy trạm/máy chủ
Máy chủ sử dụng khóa bí mật của mình để giải mã thẻ và gửi thông điệp xác nhận tính hợp lệ của máy trạm, đồng thời thông báo sự sẵn sàng cung cấp dịch vụ cho máy trạm.
- Thông điệp I: chứa giá trị Timestamp trong Authenticator được gởi bởi máy trạm sẽ được cộng thêm 1, được mã hóa bởi khoá phiên máy trạm/máy chủ
Những dịch vụ và phương thức không thiết yếu
4.1 Các giao thức xoá bỏ những hệ thống
Tính năng Tối ưu hóa Hệ thống kiểm tra các mục bị hỏng hoặc không hợp lệ trong tập hợp các thông số cấu hình hệ thống (registry), giúp cải thiện hiệu suất và ổn định cho máy tính.
DLL dùng chung - Nếu nhiều chương trình dùng chung các DLL thì các mục bị hỏng có thể ảnh hưởng đến chúng
Tệp Trợ giúp - Các chương trình sử dụng các đường dẫn này để tìm các tệp trợ giúp
Tệp Trợ giúp HTML - Các chương trình sử dụng các đường dẫn này để tìm các tệp trợ giúp HTML
Các đường dẫn Ứng dụng - Các đường dẫn ứng dụng bị hỏng do gỡ bỏ chương trình không đúng cách vì thế các lối tắt không làm việc
Gỡ cài đặt phần mềm có thể gặp sự cố do các đường dẫn bị hỏng và chương trình gỡ bỏ không hoạt động hiệu quả Việc sử dụng lối tắt hoặc tính năng Add/Remove Programs trong Windows có thể dẫn đến những rắc rối khi loại bỏ phần mềm.
ARP Cache là phần sổ đăng ký lưu trữ thông tin về các chương trình trong tính năng Thêm/Bỏ chương trình của Windows, nhưng đôi khi cũng có thể chứa dấu vết của các chương trình đã bị xóa.
Môi trường Người dùng Hiện tại - Các biến môi trường này, chẳng hạn như biến
%Path% (trong đó xác định nơi mà trình thông dịch lệnh có thể tìm thấy các tệp), áp dụng đối với người hiện đang sử dụng máy tính
Môi trường Máy Cục bộ bao gồm các biến môi trường như %Path%, xác định vị trí mà trình thông dịch lệnh tìm thấy các tệp thi hành Những biến này áp dụng cho tất cả người dùng máy tính.
4.2 Chương trình không cần thiết.
Các thiết lập tự động khởi động cho phép chương trình và dịch vụ khởi động cùng lúc với Windows Tính năng Tối ưu hóa Hệ thống kiểm tra và loại bỏ các thiết lập khởi động không cần thiết, giúp khắc phục sự cố liên quan đến quá trình khởi động bằng cách xóa các tệp thiếu.
Bạn có thể tùy chỉnh các chương trình và dịch vụ không cần khởi động tự động cùng với Windows Việc tối ưu hóa hệ thống giúp cải thiện hiệu suất máy tính của bạn.
Hệ thống sẽ loại bỏ các thiết lập tự động khởi động cho các chương trình và các dịch vụ này.
Các topo mạng an toàn
DMZ là 1 vùng của mạng được thiết kế đặc biệt, cho phép những người dùng bên ngoài truy xuất vào
Truy cập vào vùng DMZ luôn được điều khiển và giới hạn bởi Firewall và hệ thống Router
Nếu vùng DMZ bị tấn công và gây hại thì vẫn không ảnh hưởng đến mạng riêng của tổ chức
Hình 1.1 Mô tả vùng DMZ 5.1.2 Intranet
Mạng nội bộ (intranet) là một phiên bản thu nhỏ của INTERNET, hoạt động trong một cơ quan, công ty, tổ chức hoặc bộ/ngành, với phạm vi người sử dụng được giới hạn Mạng này sử dụng các công nghệ kiểm soát truy cập và bảo mật thông tin, được phát triển từ các mạng LAN và WAN, nhằm tối ưu hóa việc chia sẻ dữ liệu và thông tin trong nội bộ.
• Dễ dàng truy xuất các tài nguyên
• Sử dụng các dạng mạng như:
Hình 1.2 Mô hình Intranet 5.1.3 Extranet
Là một Intranet có kết nối với mạng dùng ở ngoài như các khách hàng, đối tác, nhà cung cấp, …
Sử dụng để trao đổi thông tin, hợp tác hoặc chia sẻ các dữ liệu đặc biệt
Có thể nối kết được với Internet
Yêu cầu tính riêng tư và bảo mật
Có thể dùng PKI hoặc kỹ thuật VPN để thiết lập nếu cần độ an toàn cao
Hình 1.3 Mô hình kết nối
Phân mạng lớn thành nhiều mạng nhỏ theo chức năng.
• Dùng switch có hỗ trợ tính năng VLAN
• Muốnliên lạc giữa các máy tính trong các VLAN khác nhau phải dùng 1 router.
VLAN (Virtual Local Area Network) là một nhóm các máy tính và thiết bị mạng được tổ chức theo cách logic, không bị giới hạn bởi vị trí địa lý hay kết nối vật lý Lợi ích của VLAN là giúp ngăn chặn các tín hiệu broadcast, từ đó tăng cường hiệu suất mạng.
• Tiết kiệm thiết bị switch
• Nâng cao tính bảo mật trong mạng.
• Dễ dàng triển khai và quản lý các nhóm làm việc theo từng VLAN
Khi NAT lần đầu tiên được phát minh, mục đích chính của nó là giải quyết vấn đề thiếu địa chỉ IP Thời điểm đó, không ai ngờ rằng NAT lại có nhiều ứng dụng hữu ích khác, và có thể còn nhiều vấn đề tiềm năng khác của NAT chưa được khám phá.
Trong bối cảnh hiện tại, nhiều người đang tìm hiểu vai trò và lợi ích của NAT trong tương lai Khi IPv6 được triển khai, nó không chỉ giải quyết vấn đề thiếu hụt địa chỉ IP mà còn mang lại nhiều lợi ích khác Các thử nghiệm đã chứng minh rằng việc chuyển đổi hoàn toàn sang IPv6 diễn ra suôn sẻ; tuy nhiên, việc giải quyết các vấn đề liên quan giữa IPv6 và IPv4 lại gặp khó khăn Do đó, có khả năng IPv4 sẽ tiếp tục là giao thức chính cho Internet và Intranet trong thời gian dài hơn mong đợi.
Trước khi phân tích vai trò của NAT trong hiện tại và tương lai, bài viết sẽ chỉ ra sự khác biệt về phạm vi sử dụng NAT trong quá khứ Giải thích này sẽ cung cấp cái nhìn tổng quan mà không khuyến nghị cách thức hay loại NAT nào nên sử dụng Bài viết sẽ giới thiệu và phân loại các loại NAT, với các chi tiết sẽ được thảo luận trong chương sau khi thực hiện NAT như một cách bố trí.
Phần trình bày được chia làm 2 phần:
CLASSIC NAT là những kỹ thuật NAT được phát triển vào đầu những năm 90, được mô tả chi tiết trong RFC 1931 Nó chủ yếu được áp dụng để giải quyết vấn đề thiếu hụt địa chỉ IP trên Internet.
- Phần hai trình bày những kỹ thuật NAT được tìm ra gần đây và ứng dụng trong nhiều mục đích khác.
5.3 2 Các kỹ thuật NAT cổ điển:
NAT có hai loại chính: NAT tĩnh và NAT động NAT tĩnh cho phép một địa chỉ IP nguồn luôn được chuyển đổi thành một địa chỉ IP đích cố định, trong khi NAT động cho phép địa chỉ IP thay đổi theo thời gian và các kết nối khác nhau Sự phân chia IP trong NAT tĩnh là rõ ràng, trong khi NAT động mang tính linh hoạt hơn.
Trong phần này, chúng ta định nghĩa m là số IP cần được chuyển đổi, tức là IP nguồn, và n là số IP có sẵn cho việc chuyển đổi, được gọi là IP NATs hay IP đích.
Yêu cầu m, n >= 1; m = n (m, n là số tự nhiên)
Cơ chế NAT tĩnh cho phép chuyển đổi giữa các địa chỉ IP nguồn và đích, đặc biệt là trong trường hợp chỉ có một IP duy nhất với netmask 255.255.255.255 Việc thực hiện NAT tĩnh rất đơn giản nhờ vào công thức: Địa chỉ đích = Địa chỉ mạng mới OR (Địa chỉ nguồn AND (NOT netmask)) Quá trình này không yêu cầu thông tin về trạng thái kết nối, chỉ cần xác định các IP đích phù hợp Do các kết nối từ bên ngoài vào bên trong hệ thống chỉ khác nhau về IP, NAT tĩnh hoạt động một cách hoàn toàn trong suốt.
Ví dụ một rule cho NAT tĩnh:
Dịch toàn bộ IP trong mạng 138.201.148.0 đến mạng có địa chỉ là 94.64.15.0, netmask là 255.255.255.0 cho cả hai mạng
Dưới đây là mô tả việc dịch từ địa chỉ có IP là 138.201.148.27 đến 94.64.15.27, các cái khác tương tự
NAT động được áp dụng khi số địa chỉ IP nguồn không tương đương với số địa chỉ IP đích Số lượng host chia sẻ thường bị giới hạn bởi số lượng địa chỉ IP đích có sẵn NAT động có độ phức tạp cao hơn NAT tĩnh, do đó, nó cần lưu trữ thông tin kết nối và thậm chí xác định thông tin TCP trong gói dữ liệu.
NAT động có thể hoạt động như NAT tĩnh trong một số trường hợp, và nhiều người sử dụng nó để tăng cường bảo mật Bằng cách này, các kẻ tấn công bên ngoài khó có thể xác định địa chỉ IP kết nối với máy chủ, vì địa chỉ IP của máy chủ có thể thay đổi liên tục Đặc biệt, trong một số tình huống, số địa chỉ đích có thể nhiều hơn số địa chỉ nguồn, tạo ra một lớp bảo vệ bổ sung cho hệ thống mạng.
Kết nối từ bên ngoài chỉ khả thi khi các host vẫn giữ được một IP trong bảng NAT động NAT router lưu trữ thông tin về IP bên trong (IP nguồn) liên kết với NAT-IP (IP đích).
Trong một phiên làm việc của FPT non-passive, server cố gắng thiết lập kênh truyền dữ liệu bằng cách gửi một IP packet đến FTP client, yêu cầu phải có một entry cho client trong bảng NAT IP client cần được liên kết với cùng một NAT-IPs khi client bắt đầu kênh truyền control, trừ khi FTP session hết thời gian timeout Giao thức FTP sử dụng hai cơ chế: passive và non-passive, với hai port (control và data) Trong cơ chế passive, host kết nối nhận thông tin về data port từ server, trong khi ở non-passive, host chỉ định data port và yêu cầu server lắng nghe kết nối Tham khảo thêm về giao thức FTP trong RFC 959 Khi một kẻ từ bên ngoài muốn kết nối vào một host bên trong mạng, chỉ có hai trường hợp xảy ra.
+ Host bên trong không có một entry trong bảng NAT khi đó sẽ nhận được thông tin
“host unreachable” hoặc có một entry nhưng NAT-IPs là không biết
Khi một kết nối từ host bên trong ra ngoài mạng, bạn có thể biết được địa chỉ IP của kết nối đó Tuy nhiên, đây chỉ là địa chỉ IP NAT và không phải là địa chỉ IP thực của host Thông tin này sẽ bị mất sau một khoảng thời gian timeout của mục nhập trong bảng NAT của router.
Ví dụ về một rule cho NAT động:
Dịch toàn bộ những IP trong class B, địa chỉ mạng 138.201.0.0 đến IP trong class
B 178.201.112.0 Mỗi kết nối mới từ bên trong sẽ được liên kết với tập IP của class B khi mà IP đó không được sử dụng
Vd: xem quá trình NAT trong trường hợp sau:
Hình 1.5: Mô tả quá trình NAT tĩnh
Quá trình NAT bắt đầu khi Client gửi yêu cầu đến webserver, với địa chỉ nguồn là 10.1.1.170/1074 và đích là cổng 80 trên webserver có địa chỉ 203.154.1.20 Gói tin này bị chặn tại cổng 80 của NAT Server (10.1.1.1), nơi NAT Server sẽ gắn header mới cho gói tin trước khi chuyển tiếp đến webserver Header mới sẽ chỉ ra rằng gói tin xuất phát từ 203.154.1.5/1563, trong khi địa chỉ đích không thay đổi.
- Webserver nhận yêu cầu tại cổng 80 của nó và đáp ứng yêu cầu trở lại cho NAT server
- Header của gói tin cho biết gói tin được gởi lại từ Webserver và đích của nó là cổng 1563 trên 203.154.1.5
Xác định rủi ro
Xác định phạm vi và ranh giới của hệ thống ISMS là bước quan trọng, phù hợp với đặc điểm hoạt động kinh doanh, tổ chức, vị trí địa lý, tài sản và công nghệ Điều này bao gồm việc nêu rõ các chi tiết liên quan và cung cấp minh chứng cho những loại trừ trong phạm vi áp dụng.
Quan tâm đến các hoạt động kinh doanh và các yêu cầu của luật hoặc pháp lý, và các bổn phận bảo mật thõa thuận
6.2 Đánh giá rủi ro Đánh giá các tác động ảnh hưởng đến hoạt động của tổ chức có thể có do lỗi bảo mật, Quan tâm xem xét các hậu quả của việc mất tính bảo mật, toàn vẹn hoặc sẳn có của các tài sản Đánh giá khả năng thực tế có thể xãy ra các lỗi bảo mật do khinh suất các mối đe dọa và yếu điểm phổ biến hoặc thường gặp, và do các ảnh hưởng liên quan đến các tài sản này, và do việc áp dụng các biện pháp kiểm soát hiện hành Ước lượng các mức độ rủi ro Định rõ xem coi các rủi ro có thể chấp nhận được hay cần thiết phải có xử lý bằng cách sử dụng các tiêu chuẩn chấp nhận rủi ro đã được lập trong mục
6.3 Xác định mối đe dọa
Xác định các tài sản thuộc phạm vi của hệ thống mạng và các chủ nhân của những tài sản này
Xác định các rủi ro cho các tài sản đó
Xác định những điểm yếu có thể bị khai thác bởi các mối đe dọa là rất quan trọng Đồng thời, cần đánh giá các ảnh hưởng có thể làm mất tính bí mật, toàn vẹn và sẵn có của các tài sản này Việc nhận diện rõ ràng những rủi ro này sẽ giúp tăng cường bảo mật và bảo vệ tài sản hiệu quả hơn.
Chủ động chấp nhận rủi ro một cách khách quan, miễn là chúng tuân thủ rõ ràng các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức Đồng thời, chuyển giao các rủi ro liên quan cho các tổ chức hoặc cá nhân khác như nhà bảo hiểm và nhà cung cấp.
6.5 An toàn thông tin bằng mật mã
Mục tiêu: Trình bày được cách bảo mật an toàn thông tin bằng mật mã.
Mật mã là một lĩnh vực nghiên cứu chuyên sâu về các phương pháp truyền tin bí mật, bao gồm lập mã và phá mã Quá trình lập mã diễn ra qua hai bước chính: mã hóa và giải mã Mã hóa là việc chuyển đổi thông tin từ dạng nhận thức được sang dạng không nhận thức được để bảo vệ thông tin trong quá trình truyền tải Ngược lại, giải mã là quá trình chuyển đổi dữ liệu đã được mã hóa trở lại dạng gốc Đây là một lớp bảo vệ thông tin quan trọng, được áp dụng rộng rãi trong môi trường mạng Để bảo vệ thông tin, người ta thường tiếp cận từ hai hướng chính.
- Theo đường truyền (Link_Oriented_Security)
- Từ nút đến nút (End_to_End)
Thông tin được mã hoá để bảo vệ an toàn trên đường truyền giữa hai nút mà không phụ thuộc vào nguồn và đích Cần lưu ý rằng bảo vệ chỉ diễn ra trong quá trình truyền tải, với mỗi nút thực hiện giải mã và sau đó mã hoá lại để tiếp tục truyền Do đó, việc bảo vệ các nút là rất quan trọng.
Ngược lại, phương pháp thứ hai bảo vệ thông tin trên mạng bằng cách mã hóa dữ liệu từ nguồn đến đích Dữ liệu sẽ được mã hóa ngay khi được tạo ra và chỉ được giải mã khi đến đích Tuy nhiên, nhược điểm của cách này là chỉ dữ liệu của người dùng mới được mã hóa, trong khi dữ liệu điều khiển vẫn giữ nguyên để có thể xử lý tại các nút.
6.6 Vai trò của hệ mật mã
Mục tiêu: phân tích được vai trò của hệ mật mã.
Các hệ mật mã phải thực hiện được các vai trò sau:
Hệ mật mã cần phải bảo vệ nội dung của văn bản rõ (PlainText) để chỉ những người chủ hợp pháp mới có quyền truy cập thông tin (Secrety), nhằm ngăn chặn việc truy cập trái phép.
- Tạo các yếu tố xác thực thông tin, đảm bảo thông tin lưu hành trong hệ thống đến người nhận hợp pháp là xác thực (Authenticity)
Tổ chức sơ đồ chữ ký điện tử giúp ngăn chặn giả mạo và mạo danh trong việc gửi thông tin trực tuyến Một trong những ưu điểm lớn nhất của hệ mật mã là khả năng đánh giá độ phức tạp tính toán mà kẻ xấu phải vượt qua để truy cập dữ liệu được mã hóa Mỗi hệ mật mã đều có những ưu và nhược điểm riêng, nhưng thông qua việc đánh giá độ phức tạp, chúng ta có thể lựa chọn các thuật toán mã hóa phù hợp cho từng ứng dụng cụ thể, tùy thuộc vào yêu cầu về mức độ an toàn.
Các thành phần của một hệ mật mã: Định nghĩa: một hệ mật là một bộ 5 (P, C, K, E, D) thoả mãn các điều kiện sau:
P là không gian bản rõ, bao gồm một tập hợp hữu hạn các bản rõ (PlainText) C là không gian các bản mã, chứa các bản mã (Crypto) cũng có số lượng hữu hạn Mỗi phần tử trong C được tạo ra bằng cách áp dụng phép mã hoá Ek lên một phần tử của P, với k thuộc tập K.
K là một tập hữu hạn các khóa, được gọi là không gian khóa, trong đó mỗi phần tử k thuộc K được xem là một khóa (Key) Để đảm bảo an toàn, không gian khóa cần phải đủ lớn nhằm ngăn chặn kẻ địch có thời gian để thử nghiệm tất cả các khóa khả thi (phương pháp vét cạn).
Mỗi k thuộc K có quy tắc mã hóa eK: P → C và quy tắc giải mã dk thuộc D Các hàm eK: P → C và dk: C → P đảm bảo rằng dK (ek(x)) = x với mọi bản rõ x thuộc P.
6.7 Phân loại hệ mật mã
Mục tiêu: Biết phân loại các hệ mật mã khác nhau, so sánh được điểm ưu, nhược của từng hệ mật mã
Có nhiều cách để phân loại hệ mật mã Dựa vào cách truyền khóa có thể phân các hệ mật mã thành hai loại:
Hệ mật đối xứng, hay còn gọi là mật mã khóa bí mật, là phương pháp mã hóa sử dụng chung một khóa cho cả quá trình mã hóa và giải mã dữ liệu.
Do đó khoá phải được giữ bí mật tuyệt đối
Hệ mật mã bất đối xứng, hay còn gọi là mật mã khóa công khai, sử dụng hai khoá khác nhau: một khoá để mã hoá và một khoá khác để giải mã Các khoá này tạo thành từng cặp chuyển đổi ngược nhau, không thể suy ra khoá này từ khoá kia Trong khi khoá mã hoá có thể được công khai, khoá giải mã cần được giữ bí mật để đảm bảo an toàn thông tin.
Hệ mật mã có thể được phân loại dựa trên thời gian ra đời thành hai loại: mật mã cổ điển, xuất hiện trước năm 1970, và mật mã hiện đại, ra đời sau năm 1970 Ngoài ra, theo cách thức mã hóa, hệ mật mã cũng được chia thành mã dòng, trong đó mỗi khối dữ liệu được mã hóa bằng các khóa khác nhau sinh ra từ hàm sinh khóa, và mã khối, trong đó các khối dữ liệu được mã hóa bằng cùng một khóa.
6.8 Tiêu chuẩn đánh giá hệ mật mã
NHỮNG ĐIỂM YẾU VÀ PHƯƠNG PHÁP TẤN CÔNG VÀO HỆ THỐNG
Các kiểu tấn công
1.1 DOS/DDOS –từ chối dịch vụ
Tấn công từ chối dịch vụ (DOS) là phương thức tấn công nhằm làm cho hệ thống bị quá tải, dẫn đến việc không thể cung cấp dịch vụ hoặc phải ngừng hoạt động Hình thức tấn công này chủ yếu gây gián đoạn hoạt động mà không có khả năng đánh cắp thông tin hay dữ liệu.
Mục tiêu chính của các cuộc tấn công từ chối dịch vụ thường là các máy chủ như FTP, Web và Mail, nhưng cũng có thể nhắm đến các thiết bị mạng như Router, Switch và Firewall.
Tấn công từ chối dịch vụ không chỉ diễn ra qua mạng mà còn có thể xảy ra tại máy cục bộ hoặc trong mạng cục bộ, được gọi là tấn công Logcal Dos Against Hosts.
Tấn công từ chối dịch vụ (DoS) ban đầu khai thác sự yếu kém của giao thức TCP, sau đó đã phát triển thành tấn công từ chối dịch vụ phân tán (DDoS).
Chúng ta có thể phân nhỏ tấn công từ chối dịch vụ ra thành các dạng Broadcast stom, SYN, Finger, Ping, Flooding …
Hai vấn đề của tấn công từ chối dịch vụ là:
Tấn công tiêu thụ tài nguyên (Resource consumption attacks) xảy ra khi một lượng lớn yêu cầu làm cho hệ thống bị quá tải Các tài nguyên chính thường bị nhắm đến trong các cuộc tấn công từ chối dịch vụ bao gồm băng thông (bandwidth), ổ cứng (hard disk), bộ nhớ RAM, và CPU Trong đó, băng thông là mục tiêu phổ biến nhất, trong khi ổ cứng thường bị tấn công thông qua các phương thức như bom mail.
Lỗi trong việc xử lý các chuỗi, đầu vào và gói tin đặc biệt do kẻ tấn công tạo ra (tấn công gói tin bị định dạng sai) có thể gây ra sự cố cho router hoặc switch Khi hệ thống nhận những gói tin hoặc chuỗi này, phần mềm có thể gặp lỗi, dẫn đến việc router hoặc switch bị treo hoặc sập.
Tấn công từ chối dịch vụ (DDoS) không cho phép kẻ tấn công kiểm soát hệ thống, nhưng nó là một mối đe dọa nghiêm trọng, đặc biệt đối với giao dịch điện tử và thương mại điện tử Thiệt hại về tài chính, danh dự và uy tín có thể rất lớn và khó đo đếm Một thách thức lớn là việc phát hiện và ngăn chặn loại tấn công này, thường chỉ nhận biết được khi đã bị tấn công Đối với các hệ thống bảo mật tốt, DDoS thường được xem là phương pháp cuối cùng mà kẻ tấn công sử dụng để làm suy yếu hệ thống.
DDOS, hay tấn công từ chối dịch vụ phân tán, là hình thức tấn công mạng sử dụng nhiều máy tính để gây ra sự cố So với tấn công DoS, DDOS có mức độ nguy hiểm cao hơn nhiều, làm gián đoạn dịch vụ và ảnh hưởng nghiêm trọng đến hệ thống.
Tấn công DDos bao gồm hai thành phần:
Các máy tính zombie, thường được tìm thấy trên internet, là thành phần chính trong các cuộc tấn công mạng Chúng đã bị hacker cài đặt phần mềm độc hại để thực hiện các hình thức tấn công như UDP flood hay SYN flood Để tăng cường mức độ nguy hiểm, kẻ tấn công có thể kết hợp với kỹ thuật spoofing Phần mềm tấn công thường hoạt động dưới dạng các daemon, khiến cho việc phát hiện và ngăn chặn trở nên khó khăn hơn.
Thành phần thứ hai bao gồm các máy tính khác được cài đặt chương trình client, tương tự như các zombie nhưng với quyền kiểm soát cao hơn từ các attacker Chương trình client cho phép attacker gửi các chỉ thị đến Daemon trên các zombie, tạo ra sự kết nối và điều khiển mạnh mẽ hơn trong hệ thống.
Khi tấn công, kẻ tấn công sử dụng chương trình client trên máy chủ (master) để gửi tín hiệu tấn công đồng loạt tới các máy zombie Quá trình daemon trên các máy zombie sẽ thực hiện tấn công vào mục tiêu đã xác định Kẻ tấn công có thể không trực tiếp thực hiện hành động trên máy chủ mà từ một máy khác, sau khi phát động tấn công sẽ cắt kết nối với máy chủ để tránh bị phát hiện.
Hình 2.1 Minh hoạ tấn công DDOS
Mục tiêu chính của cuộc tấn công DDoS là chiếm dụng băng thông nhằm gây nghẽn mạng Các công cụ phổ biến để thực hiện tấn công này bao gồm Tri00 (Win Trin00), Tribe Flood Network (TFN hoặc TFN2K), và Sharf Hiện nay, còn xuất hiện nhiều loại virus và worm mới có khả năng thực hiện các cuộc tấn công DDoS.
Một chương trình, đoạn mã hoặc cấu hình đặc biệt trên hệ thống có thể cho phép kẻ tấn công truy cập mà không cần xác thực hay đăng nhập, điều này gây ra nguy cơ bảo mật nghiêm trọng.
1.3 Spoofing –giả mạo Đánh lừa ARP (ARP spoofing): ARP (Adress Resolution Protocol) là giao thức phân giải địa chỉ, giao thức này được dùng để lấy địa chỉ MAC tương ứng với một địa chỉ IP nào đó Khi một hệ thống (nguồn) muốn giao dịch để trao đổi thông tin với hệ thống khác (đích), trước hết nó phải gửi một thông điệp yêu cầuđến ARP để tìm MAC tương ứng với địa chỉ IP đích Hệ thống đích sẽ đáp trả địa chỉ MAC, tương ứng với địa chỉ IP, cho yêu cầu ARP đó Sau đó hệ thống nguồn (bên gửi tin) sẽ sử dụng địa chỉ MAC này để gửi thông tin đến đích.
Khi một sniffer nhận được yêu cầu tìm địa chỉ MAC, nó sẽ phản hồi yêu cầu ARP tới hệ thống đích với địa chỉ MAC của chính nó, dẫn đến việc hệ thống gửi thông tin đến sniffer thay vì đích mong muốn Để thực hiện điều này, sniffer cần có khả năng chuyển tiếp thông tin đến địa chỉ đích thực sự Nếu không, nó sẽ phải tiến hành một cuộc tấn công từ chối dịch vụ (DoS) Tương tự, trong tấn công đánh lừa DNS, sniffer có thể khiến hệ thống gửi tin gửi thông tin đến nó bằng cách sử dụng địa chỉ MAC của mình Sniffer "thuyết phục" hệ thống gửi tin gửi ARP đến địa chỉ IP của nó, và thông qua việc gửi các phản hồi cho yêu cầu DNS, sniffer cung cấp địa chỉ IP của mình thay vì địa chỉ thực tế.
Malicious Code – Các mã độc hại
Virus là đoạn code tự sinh lặp đính kèm với code khác như virus sinh học Cả hai đều lan truyền tự nó và mang đi bộ tải
- Mang theo code để tạo các bản sao của chính nó
- Và cũng như mọi code nó cũng thực hiện nhiệm vụ ngầm nào đó
Các giai đoạn của virus
- Nằm im - chờ sự kiện kích hoạt
- Lan truyền – lặp sinh ra chương trình /đĩa
- Kích hoạt - bởi sự kiện để thực hiện bộ tải
- Cụ thể thông thường mang tính chất chuyên biệt của các máy và hệ điều hành
Nó khai thác các tính chất và điểm yếu
Cấu trúc Virus program V:{goto main;
The article describes a malicious program with a subroutine that continuously searches for executable files until it finds one that does not start with a specific identifier (1234567) Once a suitable file is found, it prepends a character 'V' to the file Another subroutine outlines the potential damage that can be inflicted, while a third checks if a certain condition is met to trigger the damage The main program orchestrates these actions, executing the infection process and, if the trigger condition is satisfied, proceeds to inflict damage before moving on to the next operation.
Có thể phân loại dựa trên kiểu tấn công
- Virus cư trúở bộ nhớ
Chương trình có thể ẩn chứa các tác động phụ nguy hiểm, thường được ngụy trang dưới dạng trò chơi hoặc phần mềm nâng cấp Khi người dùng thực hiện các nhiệm vụ bổ sung, kẻ tấn công có thể giành quyền truy cập mà họ không thể trực tiếp thực hiện Phương thức tấn công thường bao gồm việc lây lan virus, sâu (worm), cài đặt cửa sau hoặc đơn giản là phá hoại dữ liệu.
2.3 Logic Bombs Đây là một trong những phần mềm có hại kiểu cổ Nó được kích hoạt khi gặp điều kiện xác định
- Có mặt hoặc vắng mặt một số file
- Ngày tháng/thời gian cụ thể
- Người sử dụng nào đó
Khi được kích hoạt thông thường nó làm hỏng hệ thống
- Biến đổi/xoá file/đĩa, làm dừng máy, …
2.4 Worms Đây là Chương trình sinh lặp nhưng không có tác động, thường lan truyền trên mạng
- Dẫn đến việc tạo ra các đội ứng cứu khẩn cấp máy tính CERT
- Dùng đặc quyền phân tán hoặc khai thác các điểm yếu hệ thống
- Được sử dụng rộng rãi bởi Hackers để tạo zombie PC, kéo theo sử dụng các tấn công khác, đặc biệt từ chối dich vụ DoS
Vấn đề chính là mất sự an toàn của hệ thống kết nối thường xuyên như PC Thao tác của sâu
Các giai đoạn của sâu giống như virus:
+ Tìm hệ thống khác để tác động
+ Thiết lập kết nội với hệ thống đích từ xa
+ Tự sinh lặp mình cho hệ thống từ xa
Sâu Morris là loại sâu cổ điển, được tạo bởi Robert Morris vào 1988, nhằm tới các hệ thống Unix Ở đây sử dụng một số kỹ thuật lan truyền, như
- Phá mật khẩu đơn giản trong file mật khẩu cục bộ
- Tìm lỗi cửa sập trong hệ thống mail
Mọi tấn công thành công sẽ sinh lặp nó b Tấn công của sâu đương thời
Làn sóng tấn công của sâu đương thời mới từ giữa 2001 như:
- Code Red - sử dụng lỗ hổng MS IIS:
+ Thử IP ngẫu nhiên cho hệ thống chạy IIS
+ Có kích hoạt thời gian cho tấn công từ chối dịch vụ
+ Làn sóng thứ hai tác động đến 360000 máy chủ trong vòng 14 giờ
- Code Red 2 – cài đặt cửa sập
- Nimda – cơ chế tác động lặp
- SQL Slammer – đã tấn công máy chủ MS SQL
- Sobig –đã tấn công máy chủ proxy mở
- Mydoom – sâu email có số lượng lớn và có cửa sau c Công nghệ sâu
Công nghệ sâu sở hữu những đặc tính nổi bật như khả năng tấn công đa nền tảng, khai thác nhiều chiều và lan truyền cực nhanh Nó có nhiều kiểu tác động, biến hoá linh hoạt, cơ động và đặc biệt là khả năng khai thác lỗ hổng zero day.
Social Engineering
3.1 Tấn công dựa trên yếu tố con người
Tin tặc có thể tấn công nạn nhân trực tiếp bằng cách mạo danh, giả vờ là nhân viên chính thức của một tổ chức có quyền truy cập vào hệ thống mạng Họ thường sử dụng đồng phục và thẻ giả của công ty để trà trộn vào nội bộ, từ đó thu thập hoặc đánh cắp dữ liệu thông tin quan trọng.
Kẻ xấu có thể truy cập vào phòng giám đốc để kiểm tra thùng rác, tìm kiếm các bản nháp, giấy tờ hoặc tài liệu quan trọng Do đó, giám đốc cần phải chú trọng đến việc bảo mật dữ liệu và thông tin để tránh rủi ro bị lộ.
– Đóng vai là người dùng cuối:
Tin tặc sử dụng phương thức tấn công Social Engineering bằng cách giả mạo người dùng hợp pháp, sau đó gọi điện cho nạn nhân và tự giới thiệu là nhân viên từ một phòng ban cụ thể.
Y Tôi không nhớ mật khẩu, anh có thể đọc mật khẩu giúp tôi không”
Hình 2.3 Các loại hình thức phi tấn công
3.2 Dựa vào yếu tố kỹ thuật
Một số kiểu tấn công bằng phương pháp này mà bạn thường nhìn thấy như:
Popup Windows là những cửa sổ xuất hiện bất ngờ trên màn hình, khi người dùng nhấp vào, họ sẽ bị chuyển hướng đến trang web của tin tặc Tại đây, tin tặc yêu cầu người dùng nhập thông tin cá nhân hoặc tải xuống phần mềm chứa mã độc vào máy tính.
Auditing – Logging, system scanning
Trong việc giám sát an ninh mạng và phân tích sự cố, việc hiểu rõ các trạng thái của Log Windows là rất quan trọng Các trạng thái này giúp xác định các sự kiện cần phân tích, từ đó nâng cao hiệu quả của quy trình điều tra Hệ thống giám sát an ninh mạng thường nhận các Log Windows dưới dạng mã trạng thái, điều này cho phép người quản trị dễ dàng theo dõi và phân tích các hoạt động bất thường.
Application whitelisting describes the blocking of applications during execution on Windows Blocked applications may potentially be malware when users run executable files This log is generated when Software Restriction Policies (SRP) or AppLocker are activated In many cases, if these services are not enabled, such logs will not be produced.
Sự cố ứng dụng có thể do mã độc hoặc các lỗi nhẹ khác, bao gồm màn hình xanh, treo ứng dụng và ứng dụng bị crash Việc xác định nguyên nhân của những sự cố này là rất quan trọng để khắc phục và cải thiện hiệu suất của ứng dụng.
Hệ thống và dịch vụ thường hoạt động ổn định, nhưng khi xảy ra sự cố lỗi, có thể là dấu hiệu cho thấy máy tính đang bị tấn công.
Windows update errors: Phát hiện các bản vá chưa được cập nhật cho hệ điều hành, tránh các lỗ hỗng không cần thiết trên windows
Firewall log: Cái này thì ai cũng biết quan trọng trong việc Giám sát An ninh
Việc xóa các sự kiện trong Log thường không diễn ra tự động, do đó khi xuất hiện những sự kiện này, chúng có thể là dấu hiệu của hành vi đáng ngờ, cho thấy khả năng hacker đang cố gắng xóa dấu vết của mình.
Monitoring applications and services is essential for effective cybersecurity oversight Therefore, reviewing application and service logs is crucial for maintaining security.
Account Usage: Log đối với việc truy cập là rất cần thiết đối với việc Giám sát người dùng và các hành vi nghi ngờ bất thường
Kernel driver Signing: Cung cấp thông tin thay đổi liên quan đến Kernel hệ điều hành, phát hiện các nghi ngờ của mã độc
Windows Defender plays a crucial role in detecting malware, and if antivirus software is running, it's advisable to configure it to generate logs for Windows This is highly beneficial for monitoring cybersecurity Additionally, mobile device activities encompass events related to mobile connectivity, including Wi-Fi and Bluetooth interactions.
External Media Detection: Log liên quan khi có thiết bị mới cắm vào như USB
Printing Services: Log liên quan đến máy in
Ngoài ra còn một số dạng Log khác của Window và việc sinh Log này còn phụ thuộc vào phiên bản Windows và loại gì./
Bài tập của học viên
1: Trình bày các kiểu tấn công mạng
2: Trình bày các mã độc hại?
3: Thế nào là Auditing – Logging, system scanning, thao tác trên server 2019
4: Thực hiện tấn công DDoS bằng công cụ Hammer
1 Trình bày các kiểu tấn công mạng, tham khảo mục 2 trang 32 của giáo trình
2 Trình bày các mã độc hại, tham khảo mục 2 trang 37 của giáo trình
3 Thế nào là Auditing – Logging, system scanning và thao tác trên server 2019
Phải chuột Default Domain Controllers Policy -> Edit -> Computer
Configuration (audit policy chỉ có ở mục này) -> Policies -> Windows Settings -
> Security Settings -> Local Policies -> Audit Policy
Hình 2.4 Hộp thoại Để mở Event Viewer trên Server: ta vào Server Manager -> Tools -> Event
Để mở Event Viewer trên máy tính, bạn có thể sử dụng lệnh run và nhập "compmgmt.msc" Phương pháp này rất hữu ích khi bạn muốn xem Event Viewer của Server từ xa bằng cách sử dụng tính năng "Connect to ".
Hình 2.6 Hộp thoại mở Event Viewer
Cơ bản 1 máy tính cài HDH Windwos luôn có 3 loại log: Application, Security,
System Máy tính cài thêm dịch vụ gì thì sẽ xuất hiện thêm Event Viewer của dịch vụ đó Ví dụ: Domain Controller có thêm: Directory Service, DNS server v.v
Những sự kiện giám sát bằng Audit Policy đều lưu trong Security Log
Ta bung Windows Logs -> Security Bên phải là những sự kiện mà mặc định hệ thống sẽ tự Audit.
Hình 2.7 Hộp thoại Windows Logs
4 Thực hiện tấn công DDoS bằng công cụ Hammer
Công cụ này làm bằng Python và chạy yêu cầu Python 3
Hoặc đơn giản hơn là chạy lần lượt các lệnh sau [ Với thao tác này thì ta sẽ bỏ qua bước 2 ]
1 git clone https://github.com/cyweb/hammer.git
Bước 2: Khởi chạy công cụ
Để chạy công cụ trên Ta chỉ cần bật Terminal lên và gõ lệnh sau:
[ Chú ý là hãy giải nén công cụ vừa tải về Sau đó sử dụng lệnh ” cd ” để di chuyển đến thư mục đó ] python3 hammer.py
Bước 3: Xem các tùy chọn của công cụ:
Đây là danh sách các tùy chọn mà hammer hỗ trợ
Bước 4: Xác định mục tiêu cần tấn công
Ví dụ là trang example.com với địa chỉ ip là 1.1.1.1
Để attack tôi sử dụng tùy chọn sau: python3 hammer.py -s -p -t
Và tôi sẽ tấn công trang example với lệnh đơn giản như sau: python3 hammer.py -s example.com
Còn các tùy chọn khác đa số là công cụ tự động mặc định Muốn thì có thể gán vào
-t: Chức năng như nghĩa của nó
Việc còn lại là đợi cho nó sập thôi
Chú ý : Không đượcđi phá hoại người khác
Những trọng tâm cần chú ý:
-Trình bày đầy đủ nội dung Các kiểu tấn công, có cho ví dụ cụ thể
- Trình bày các bước tấn công của DDOS đầy đủ chính xác, chỉ làm trên hệ thống của bài thực hành
- Trình bày xác định rủi ro, xác định chính xác mối đe dọa
- Trình bày các mã độc hại tấn công hệ thống để phòng chống hợp lý
- Thao tác đúng các bước cài đặt, cấu hình Auditing – Logging, system scanning Windows server 2019
Bài mở rộng và nâng cao
Cài Đặt Chương Trình diệt virus Symantec Antivirus cho Server và client trên hệ thống
Yêu cầu đánh giá kết quả học tập
Trình bày được Các kiểu tấn công trên hệ thống
Trình bày được Các mã độc hại tấn công trên hệ thống
Trình bày được các bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus server và symantec antivirus client trên Windows Server 2019
Trình bày được các bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus client
+ Thao tác thành thạo các bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus server và symantec antivirus client trên Windows Server 2019
+ Thực hiện đúng các thao tác bước cài đặt, cấu hình chương trình diệt Virus symantec antivirus client
Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc
Về kiến thức: Đánh giá bằng hình thức kiểm tra viết, trắc nghiệm, vấn đáp.
Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện cài đặt, cấu hình diệt Virus symantec antivirus
Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc.
HẠ TẦNG CƠ SỞ AN TOÀN THÔNG TIN
VPN
VPN, hay Mạng Riêng Ảo (Virtual Private Network), là công nghệ giúp tạo ra kết nối mạng an toàn khi sử dụng mạng công cộng như Internet Công nghệ này được các tập đoàn lớn, cơ sở giáo dục và cơ quan chính phủ áp dụng để cho phép người dùng từ xa kết nối an toàn vào mạng riêng của tổ chức.
Hình 3.1 mô phỏng mạng riêng ảo
Hệ thống VPN cho phép kết nối nhiều địa điểm khác nhau dựa trên khu vực và diện tích địa lý, tương tự như mạng diện rộng (WAN) Ngoài ra, VPN còn được sử dụng để mở rộng các mô hình Intranet, giúp truyền tải thông tin và dữ liệu hiệu quả hơn Ví dụ, các trường học sử dụng VPN để kết nối giữa các khuôn viên hoặc giữa các chi nhánh với trụ sở chính.
Để kết nối vào hệ thống VPN, mỗi tài khoản cần được xác thực bằng Username và Password Thông tin xác thực này được sử dụng để cấp quyền truy cập thông qua Personal Identification Number (PIN), thường có hiệu lực trong khoảng thời gian ngắn (30 giây hoặc 1 phút).
Khi kết nối máy tính hoặc thiết bị như điện thoại, máy tính bảng với VPN, thiết bị hoạt động như thể nằm trên cùng một mạng nội bộ với VPN Tất cả lưu lượng mạng được truyền qua kết nối an toàn đến VPN, cho phép bạn truy cập an toàn vào các tài nguyên mạng nội bộ từ xa.
Sử dụng Internet như một VPN mang lại nhiều lợi ích, đặc biệt khi kết nối với WiFi công cộng hoặc truy cập các trang web bị chặn và giới hạn địa lý.
Khi sử dụng VPN để duyệt web, máy tính của bạn sẽ kết nối với trang web qua một kết nối VPN được mã hóa, đảm bảo an toàn cho mọi thông tin và dữ liệu trao đổi Ví dụ, nếu bạn sử dụng VPN tại Hoa Kỳ để truy cập Netflix, nền tảng này sẽ nhận diện kết nối của bạn đến từ Hoa Kỳ.
Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm rất nhiều thứ:
VPN là công cụ phổ biến cho doanh nhân, cho phép họ truy cập vào mạng doanh nghiệp từ xa, bao gồm các tài nguyên trên mạng cục bộ khi đang di chuyển hoặc du lịch Việc sử dụng VPN giúp bảo vệ các nguồn lực nội bộ khỏi sự tiếp xúc trực tiếp với Internet, từ đó nâng cao tính bảo mật cho dữ liệu và thông tin quan trọng.
Thiết lập VPN riêng giúp bạn truy cập mạng gia đình khi không ở nhà, cho phép bạn kết nối với Windows từ xa qua Internet, sử dụng các tập tin chia sẻ trong mạng nội bộ và chơi game trên máy tính qua Internet như thể bạn đang ở trong cùng một mạng LAN.
Khi sử dụng WiFi công cộng và truy cập các trang web không có HTTPS, dữ liệu của bạn có nguy cơ bị lộ Để bảo vệ hoạt động duyệt web và đảm bảo tính bảo mật cho dữ liệu, bạn nên kết nối với VPN, giúp mã hóa mọi thông tin truyền qua mạng.
Truy cậpđến những website bịchặn giớihạn địa lý, bỏ qua kiểm duyệt Internet, vượt tường lửa,
Tải BitTorrent qua VPN không chỉ giúp tăng tốc độ tải file mà còn giảm thiểu ảnh hưởng của traffic mà nhà cung cấp dịch vụ Internet (ISP) có thể gây ra.
RADIUS
RADIUS là dịch vụ xác thực và cấp quyền truy cập từ xa cho người dùng qua các thiết bị như modem, DSL, cáp mạng hoặc thiết bị không dây Trong một hệ thống thông thường, máy chủ truy cập kết nối với modem và yêu cầu xác thực từ máy chủ dịch vụ RADIUS Sau khi xác nhận, máy chủ RADIUS cho phép người dùng truy cập tài nguyên Các quản trị viên mạng tạo hồ sơ người dùng trên máy chủ RADIUS để xác định quyền hạn truy cập cho người dùng từ xa, với các giao thức hỏi đáp được sử dụng trong quá trình kết nối mạng.
TACACS / +
- TACACS là giao thức sử dụng giao thức hướng kết nối (connection-oriented) là TCP trên port 49
- TACACS có các ưu điểm sau:
Với khả năng nhận gói reset (RST) trong giao thức TCP, thiết bị có thể ngay lập tức thông báo cho đầu cuối khác về sự cố xảy ra trong quá trình truyền dữ liệu.
TCP là một giao thức mở rộng với khả năng xây dựng cơ chế phục hồi lỗi hiệu quả Nó có thể tương thích với việc phát triển mạng và quản lý tình trạng tắc nghẽn thông qua việc sử dụng số thứ tự để truyền lại dữ liệu.
Toàn bộ payload được mã hóa bằng TACACS+ thông qua một khóa bí mật chung TACACS+ sử dụng một trường trong header để xác định trạng thái mã hóa của dữ liệu.
TACACS+ mã hóa toàn bộ gói dữ liệu bằng khóa bí mật chung, trong khi bỏ qua header TACACS chuẩn Header này bao gồm một trường xác định xem body có được mã hóa hay không Thông thường, để đảm bảo an toàn trong truyền thông, body của gói được mã hóa hoàn toàn.
TACACS+ bao gồm ba thành phần chính: xác thực, cấp quyền và tính cước Với cấu trúc mô-đun, TACACS+ cho phép sử dụng các phương thức xác thực khác nhau, đồng thời vẫn duy trì chức năng cấp quyền và tính cước Một ví dụ điển hình là việc kết hợp phương thức xác thực Kerberos với TACACS+ để thực hiện cấp quyền và tính cước, điều này ngày càng trở nên phổ biến.
TACACS+ hỗ trợ nhiều giao thức
Với TACACS+, ta có thể dùng hai phương pháp để điều khiển việc cấp quyền thực thi các dòng lệnh của một user hay một nhóm nhiều user:
Phương pháp đầu tiên là thiết lập một mức phân quyền với các câu lệnh giới hạn Người dùng đã được xác thực qua router và máy chủ TACACS sẽ được cấp quyền truy cập tương ứng với mức phân quyền đã xác định.
Phương pháp thứ hai đó là tạo một danh sách các dòng lệnh xác định trên TACACS+ server để cho phép một user hay một nhóm sử dụng
- TACACS thường được dùng trong môi trường enterprise Nó có nhiều ưu điểm và làm việc tốt đáp ứng yêu cầu quản lý mạng hàng ngày.
L2TP / PPTP
PPTP, hay Giao thức Point-to-Point Tunneling, là một sự mở rộng của giao thức Internet chuẩn Point-to-Point (PPP) và sử dụng các phương thức xác thực tương tự như PPP, bao gồm PAP, SPAP, CHAP, MS-CHAP và EAP Đây là phương pháp VPN phổ biến nhất cho các máy trạm chạy Windows Mặc dù PPTP thiết lập đường hầm (tunnel) nhưng không cung cấp mã hóa, một trong những ưu điểm của nó là không yêu cầu hạ tầng mã khóa công cộng (Public Key Infrastructure).
Giao thức Layer 2 Tunneling Protocol (L2TP) kết hợp các đặc điểm của PPTP và Layer 2 Forwarding (L2F), cho phép sử dụng trên các mạng như ATM, frame relay và X.25 L2TP hoạt động tại lớp liên kết dữ liệu của mô hình mạng OSI, mang lại nhiều ưu điểm so với PPTP.
L2TP yêu cầu sử dụng chứng chỉ số để đảm bảo an toàn Xác thực người dùng có thể được thực hiện thông qua cơ chế xác thực PPP tương tự như trong PPTP.
L2TP có nhiều ưu điểm hơn so với PPTP, đặc biệt trong việc bảo mật dữ liệu Trong khi PPTP chỉ cung cấp khả năng bảo mật cơ bản, L2TP nâng cao hơn với tính toàn vẹn dữ liệu, xác thực nguồn gốc và bảo vệ chống gửi lại Điều này có nghĩa là L2TP bảo vệ dữ liệu khỏi việc sửa đổi, xác nhận người gửi và ngăn chặn các cuộc tấn công từ hacker Tuy nhiên, do các tính năng bảo mật mở rộng, L2TP có thể hoạt động chậm hơn một chút so với PPTP.
Thư điện tử là dịch vụ mạng quan trọng và phổ biến, nhưng nội dung của các mẫu tin có thể không an toàn Thông tin trong thư có thể bị theo dõi trên đường truyền hoặc bị truy cập bởi các cơ quan có thẩm quyền tại hệ thống đầu cuối.
Nâng cao an toàn thư điện tử là mục tiêu thiết yếu cho mọi hệ thống trao đổi thông tin Điều này bao gồm việc đảm bảo tính bảo mật nội dung tin gửi, xác thực danh tính người gửi, và duy trì tính toàn vẹn của mẫu tin Hệ thống cũng cần bảo vệ khỏi việc sửa đổi thông tin, đồng thời chống từ chối gốc và từ chối của người gửi.
WEB
SSL, hay còn gọi là dịch vụ an toàn tầng vận chuyển, được phát triển bởi Netscape và phiên bản 3 của nó đã trở thành tiêu chuẩn Internet công khai, hiện được biết đến với tên gọi là an toàn tầng vận chuyển TLS (Transport Layer Security).
SSL sử dụng giao thức TCP để cung cấp dịch vụ đầu cuối đến cuối tin cậy và có
Hình 3.2 Mô hình SSL sử dụng giao thức TCP Ở đây kết nối SSL là:
- Tạm thời, đầu cuối đến đầu cuối, liên kết trao đổi
- Gắn chặt với 1 phiên SSL
- Liên kết giữa người sử dụng và máy chủ
- Được tạo bởi thủ tục HandShake Protocol
- Xác định một tập các tham số mã hoá
- Có thể chia sẻ bởi kết nối SSL lặp a Dịch vụ thủ tục bản ghi SSL
Dịch vụ thủ tục bản ghi SSL đảm bảo tính toàn vẹn của bản tin:
- Sử dụng MAC với khoá mật chia sẻ
- Giống như HMAC nhưng với bộ đệm khác và cung cấp bảo mật:
- Sử dụng mã đối xứng với khoá chung xác định bởi thủ tục HandShake
- IDEA, RC2-40, DES-40, DES, 3DES, Fortezza, RC4-40, RC4-128
Bản tin SSL được nén trước khi mã hóa, trong đó Thủ tục thay đổi đặc tả mã SSL (SSL Change Cipher Spec Protocol) là một trong ba giao thức quan trọng của SSL sử dụng thủ tục bản ghi SSL Đây là một mẫu tin đơn, giúp buộc trạng thái treo trở thành hiện thời và cập nhật bộ mã đang sử dụng Thủ tục nhắc nhở SSL cũng đóng vai trò quan trọng trong quá trình này.
Truyền đi lời nhắc của SSL liên quan cho thành viên Nghiêm khắc: nhắc nhở hoặc cảnh báo
- Cảnh báo: mẳu tin không chờ đợi, bản ghi MAC tồi, lỗi giải nén, lỗi Handshake, tham số không hợp lệ
Để đảm bảo an toàn cho dữ liệu, cần lưu ý các vấn đề liên quan đến chứng nhận SSL như đóng ghi chú, không chứng nhận, chứng nhận kém chất lượng, chứng nhận không được hỗ trợ, chứng nhận bị thu hồi, chứng nhận quá hạn và chứng nhận không được biết đến Tất cả dữ liệu SSL đều phải được nén và mã hóa Quy trình bắt tay SSL (SSL HandShake Protocol) là bước quan trọng trong việc thiết lập kết nối an toàn.
Thủ tục này cho phép máy chủ và máy trạm:
- Thỏa thuận thuật toán mã hoá và MAC
- Thỏa thuận khoá mã sẽ dùng
Nó bao gồm một loạt các thông tin:
- Thiết lập các khả năng an toàn
- Xác thực máy chủ và trao đổi khoá
- Xác thực máy trạm và trao đổi khoá
- Kết thúc e An toàn tầng vận chuyển
IETF chuẩn RFC 2246 giống như SSLv3
- Số ký hiệu kích thước bản ghi
- Sử dụng HMAC thay cho MAC
- Hàm giả ngẫu nhiên tăng độ mật
- Có mã ghi chú bổ sung
- Có một số thay đổi hỗ trợ mã
- Thay đổi kiểu chứng nhận và thỏa thuận
- Thay đổi bộ đệm và tính toán mã
HTTP là một giao thức ở tầng mạng ứng dụng trong mô hình mạng Internet
Đây là giao thức dùng giao tiếp giữa trình Web Browse và Web Server.
HTTP sử dụng giao thức vận chuyển TCP
Thông tin trao đổi chủ yếu là ngôn ngữ HTML
HTTP là giao thức không trạng thái server không lưu lại thông tin về những yêu cầu của client
Version đầu tiên 0.9, chỉ cho truyền đi các tài liệu thô
Từ version 1.0 trở đi đã kết hợp vào giao thức MIME(Multipurpose Internet Mail Extension) cho phép hiển thị các định dạng mutimedia.
URL là địa chỉ dùng để tham chiếu nguồn tài nguyên trong dịch vụ web Mỗi tài liệu và tập tin trên internet đều có một URL riêng
3.3 Tính dễ bị tổn thương trên Web
Spam email là thư điện tử quảng cáo gửi mà không có sự đồng ý từ người nhận, thường được phát tán đến một số lượng lớn người dùng Những email này không chỉ làm đầy hòm thư của người nhận, khiến họ không nhận được thư mới, mà còn tiêu tốn băng thông và có thể gây tắc nghẽn đường truyền Một số loại spam có thể chứa nội dung lừa đảo, nhằm mục đích đánh cắp thông tin cá nhân như mã số thẻ tín dụng và mật khẩu Để gửi spam, người gửi (spammer) cần có một danh sách lớn các địa chỉ email, có thể lên đến hàng triệu, được thu thập qua nhiều phương pháp như sử dụng chương trình tự động, tấn công vào diễn đàn hoặc sử dụng phương pháp tấn công kiểu từ điển.
Spam có đặc điểm là chi phí gửi thấp, cho phép spammer gửi thư đến nhiều người nhận mà không cần phân loại Điều này dẫn đến việc cùng một địa chỉ người nhận nhận được nhiều thư trùng lặp.
3.3.2 Đánh lừa Đây là sự giả mạo địa chỉ IP hoặc khống chế tập lưu trữ thông tin về địa chỉ này trong hệ thống mạng Hacker thường dùng cách này để mạo danh là máy tính hợp pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn công
Trong tiêu đề của các gói dữ liệu, địa chỉ IP nguồn và chỉ số thứ tự đóng vai trò quan trọng trong việc sắp xếp các gói dữ liệu Địa chỉ IP nguồn dễ bị giả mạo, và nếu hacker nắm được quy tắc gán chỉ số thứ tự của hệ điều hành, họ có thể kiểm soát các phiên xác lập kết nối, từ đó khai thác thông tin trên mạng.
Khi hacker áp dụng kỹ thuật đánh lừa IP để kiểm soát trình duyệt web, địa chỉ trang web hợp pháp mà người dùng muốn truy cập sẽ bị thay thế bằng địa chỉ do hacker chỉ định Nếu người dùng tiếp tục tương tác với các nội dung động, như nhập dữ liệu vào các ô trắng, hacker có khả năng thu thập thông tin nhạy cảm từ họ.
Các đoạn mã JavaScript độc hại có thể được nhúng vào trang web, và khi người dùng truy cập trang này trên các trình duyệt, mã độc sẽ tự động chạy mà không có bất kỳ cảnh báo nào cho người dùng.
Các chuyên gia nghiên cứu cho biết rằng những đoạn mã độc hại này có khả năng vượt qua mọi ứng dụng tường lửa, vì chúng được thực thi trực tiếp qua trình duyệt web.
- ứng dụng hoàn toàn hợp pháp trước con mắt của ứng dụng tường lửa
Một đoạn mã JavaScript độc hại có thể được lưu trữ trên trang web của kẻ tấn công, núp bóng dưới các trang web đáng tin cậy thông qua lỗ hổng tấn công kịch bản liên trang (XSS) Nhiều công ty lớn như Google, Microsoft và eBay đã phải nỗ lực khắc phục những lỗi bảo mật này Gần đây, Nestcape cũng đã phải xử lý một lỗi bảo mật tương tự.
Kẻ tấn công có thể nhúng mã độc vào các trang web động, dễ bị lừa, để thực hiện các kịch bản trên máy tính của nạn nhân nhằm thu thập dữ liệu Kỹ thuật này không tấn công vào cơ sở dữ liệu hệ thống như SQL injection, mà thay vào đó, nó xâm nhập trực tiếp từ phía người dùng bằng cách sử dụng các đoạn mã đơn giản để đánh cắp cookies và session Qua đó, kẻ tấn công có khả năng thao túng người dùng và chiếm quyền truy cập tài khoản mà không cần mật khẩu.
Non-persistent (Reflected) là loại tấn công phổ biến nhất, xảy ra khi dữ liệu được gửi từ một web client Hacker tìm kiếm lỗ hổng bảo mật trên website bằng cách chèn mã test vào web client, sau đó gửi đến server và chờ phản hồi để phát hiện lỗ hổng Tấn công này dựa vào sự thiếu chú ý trong việc lọc dữ liệu từ URL của website, cho phép hacker gắn mã độc vào để thực hiện tấn công Đặc điểm của loại tấn công này là chỉ có hiệu lực trong một lần.
Tràn bộ đệm là một trong những phương thức tấn công phổ biến từ năm 1988, với các ví dụ nổi bật như Morris, Code Red, Slammer và Sasser Mặc dù đã có nhiều kỹ thuật phòng chống được biết đến, vấn đề này vẫn cần được chú ý do sự lây lan rộng rãi của các lỗ hổng bảo mật Sự tồn tại của các kỹ thuật lập trình không cẩn thận tiếp tục là nguyên nhân gây ra những rủi ro tiềm ẩn trong an ninh mạng.
Lỗi tràn bộ đệm xảy ra khi dữ liệu nhập vào vượt quá kích thước của mảng, thường gặp trong lập trình Ví dụ, trong hàm checkserial(), khi sử dụng scanf để nhập chuỗi vào mảng ký tự sn có kích thước 16, nếu người dùng nhập chuỗi dài hơn 15 ký tự, sẽ dẫn đến tràn bộ đệm Điều này có thể gây ra các lỗi bảo mật và hoạt động không mong muốn trong chương trình.
File Transfer
- Dịch vụ FTP tạo khả năng sao chép các tập tin giữa các máy tính trên internet
- Với dịch vụ FTP ngưòi dùng có thể:
Chép tập tin từ một FTP server về máy tính cục bộ
Chép tập tin từ máy tính cục bộ về FTP server.
Chép tập tin từ một server đến một server khác
Máy chủ FTP hỗ trợ cả kết nối chủ động và thụ động Trong kết nối chủ động, máy khách mở cổng và chờ, trong khi máy chủ thực hiện kết nối Ngược lại, trong kết nối thụ động, máy chủ mở cổng và chờ để máy khách kết nối Để sử dụng Auto FTP Manager, bạn cần cho phép ứng dụng này truy cập Internet và chọn chế độ kết nối phù hợp Hầu hết các chương trình FTP mặc định sử dụng kết nối thụ động, vì đây được xem là phương pháp an toàn hơn do các quản trị viên máy chủ áp dụng, do tường lửa thường chặn các kết nối chủ động.
Máy khách FTP có thể kết nối với máy chủ bằng chế độ thụ động, cho phép "vươn" tới từ bên ngoài Tường lửa sẽ cho phép các kết nối ra ngoài mà không cần thay đổi các thiết lập hiện có.
Khi kết nối đến máy chủ FTP bằng chế độ chủ động, bạn cần cấu hình tường lửa để chấp nhận kết nối đến cổng mà phần mềm FTP mở ra Tuy nhiên, nhiều nhà cung cấp dịch vụ Internet thường chặn các kết nối đến các cổng trên 1024 Các máy chủ FTP chủ động thường sử dụng cổng 20 làm cổng dữ liệu.
Hình 3.6 FTP bằng chế độchủ động
Sử dụng chế độ thụ động để kết nối với máy chủ FTP là một lựa chọn hợp lý, vì hầu hết các máy chủ FTP đều hỗ trợ chế độ này Để đảm bảo kết nối thành công, quản trị viên máy chủ cần cấu hình tường lửa để cho phép tất cả các kết nối đến cổng mà máy chủ FTP mở Tuy nhiên, việc này thuộc trách nhiệm của họ, trong khi bạn chỉ cần tạo và sử dụng kết nối.
Hình 3.7 FTP bằng chế độ thụ động
Khi máy khách FTP thiết lập kết nối Internet, nó sẽ tạo hai kênh: một cho lệnh và một cho dữ liệu, từ đó giao tiếp với máy chủ Với Auto FTP Manager, bạn có thể dễ dàng chuyển đổi thư mục và tệp tin giữa hai máy tính.
FTP là một phương pháp truyền tập tin truyền thống không an toàn, vì không có cơ chế mã hóa dữ liệu trong thiết kế gốc Điều này dẫn đến việc thông tin như tên người dùng, mật khẩu và tập tin có thể bị theo dõi bởi những người khác trong cùng mạng lưới thông qua phần mềm phân tích giao thức Vấn đề này thường gặp ở các giao thức Internet được phát triển trước khi SSL ra đời, như HTTP, SMTP và Telnet Giải pháp phổ biến cho vấn đề này là sử dụng SFTP, một giao thức dựa trên SSH, hoặc FTPS, cho phép mã hóa dữ liệu thông qua SSL hoặc TLS.
Packet Sniffer, hay còn gọi là Protocol Analyzer, là công cụ quan trọng trong việc chuẩn đoán và phát hiện lỗi hệ thống mạng Chúng giúp xác định các vấn đề liên quan đến mạng một cách hiệu quả Tuy nhiên, Packet Sniffers cũng bị hacker lợi dụng để theo dõi bí mật lưu lượng mạng và thu thập thông tin nhạy cảm như mật khẩu người dùng.
Một số Packet Sniffer được kỹ thuật viên sử dụng để giải quyết các vấn đề phần cứng, trong khi những Packet Sniffer khác là phần mềm ứng dụng tiêu chuẩn chạy trên máy tính người dùng Chúng sử dụng phần cứng mạng từ các máy chủ để chặn và thu thập gói dữ liệu.
Thiết bị
Firewall đóng vai trò quan trọng trong việc ngăn chặn truy cập trái phép từ bên ngoài vào mạng nội bộ, đồng thời hạn chế người dùng trong mạng truy cập các tài nguyên nguy hại từ bên ngoài.
Thiết bị này kết nối các mạng logic, có khả năng kiểm soát và lọc thông tin thông qua bảng định tuyến (routing table).
Hình 3.9 nguyên tắc hoạt động ROUTER
Switch là các bộ chuyển mạch thực sự, khác với HUB thông thường, vì chúng chỉ chuyển tín hiệu đến cổng có trạm đích thay vì phát tín hiệu đến tất cả các cổng Điều này giúp giảm thiểu đụng độ trên mạng, làm cho switch trở thành thiết bị quan trọng trong các mạng cục bộ lớn để phân đoạn mạng Hiện nay, switch không chỉ là thiết bị mạng thiết yếu mà còn cho phép tùy biến mạng, bao gồm cả việc thiết lập mạng ảo.
Hình 3.10: LAN Switch nối hai Segment mạng
Là thiết bị dùng để kết nối mạng không dây được thiết kế theo chuẩn IEEE802.11 Dùng cơ chế CSMA/CA để giải quyết tranh chấp đường truyền
Hình 3.11 cơ chế CSMA/CA
Dịch vụ truy cập từ xa cho phép người dùng kết nối đến mạng riêng qua internet, như thể họ đang sử dụng máy tính trực tiếp trong mạng đó Người dùng thực hiện kết nối thông qua máy chủ truy cập, từ đó có thể tận dụng tài nguyên mạng như một máy tính được kết nối trực tiếp Dịch vụ này cũng thiết lập kết nối WAN qua các mạng truyền dẫn giá rẻ, như mạng thoại công cộng, và là cầu nối cho máy tính hoặc mạng máy tính kết nối với internet một cách tiết kiệm chi phí, phù hợp cho doanh nghiệp và tổ chức quy mô vừa và nhỏ Khi lựa chọn và thiết kế giải pháp truy cập từ xa, cần chú ý đến nhiều yếu tố quan trọng.
Kiến trúc GPRS hoạt động tương tự như mạng GSM, nhưng có thêm các đơn vị cho phép truyền dữ liệu gói Mạng dữ liệu này chồng lên mạng GSM thế hệ thứ hai, cung cấp tốc độ truyền dữ liệu gói từ 9,6 đến 171 kbps GPRS cho phép nhiều người dùng chia sẻ tài nguyên mạng cùng một lúc, tối ưu hóa khả năng vận chuyển dữ liệu.
Trong đó các phần tử mạng được mô tả:
Trạm di động mới (MS) yêu cầu sử dụng dịch vụ GPRS vì điện thoại GSM hiện tại không xử lý các giao diện không khí hoặc gói dữ liệu nâng cao Có nhiều loại MS, bao gồm phiên bản tốc độ cao của điện thoại hiện tại để hỗ trợ truy cập dữ liệu nhanh, thiết bị PDA mới với điện thoại GSM nhúng, và thẻ PC cho máy tính xách tay Các trạm di động này tương thích ngược, cho phép thực hiện các cuộc gọi thoại sử dụng công nghệ GSM.
Hệ thống con Trạm Cơ sở (MSC, BSS) yêu cầu mỗi BSC cài đặt một hoặc nhiều đơn vị Kiểm soát Gói (PCUs) và nâng cấp phần mềm BĐP cung cấp giao diện dữ liệu vật lý và logic cho BSS để xử lý lưu lượng dữ liệu gói BTS có thể cần nâng cấp phần mềm nhưng thường không yêu cầu cải tiến phần cứng Khi lưu lượng giọng nói hoặc dữ liệu phát sinh từ điện thoại di động, nó được vận chuyển qua giao diện không gian đến các trạm BTS và từ BTS đến BSC giống như một cuộc gọi GSM tiêu chuẩn Tuy nhiên, tại đầu ra của BSC, lưu lượng được tách ra; giọng nói được gửi đến Trung tâm Điện thoại di động (MSC) theo tiêu chuẩn GSM chuyển mạch, trong khi dữ liệu được chuyển đến thiết bị SGSN qua BĐP qua giao diện Frame Relay.
GGSN (Gateway GPRS Support Node) đóng vai trò là giao diện và bộ định tuyến với các mạng bên ngoài, chứa thông tin định tuyến cho điện thoại di động GPRS và hỗ trợ truyền tải gói tin qua đường hầm IP Nó cũng thu thập thông tin về việc sử dụng mạng dữ liệu bên ngoài và hoạt động như bộ lọc gói tin cho lưu lượng đến SGSN (Serving GPRS Support Node) có trách nhiệm xác thực điện thoại di động GPRS, quản lý đăng ký và di động, cũng như thu thập thông tin về phí sử dụng các giao diện không khí.
Internal backbone (HLR, AUC, EIR) là xương sống nội bộ của một mạng dựa trên
IP được sử dụng để truyền tải gói tin giữa các GSN khác nhau, với hầm kết nối giữa SGSNs và GGSNs, cho phép xương sống nội bộ không cần thông tin về lĩnh vực bên ngoài mạng GPRS Tín hiệu từ GSN đến MSC, HLR hoặc EIR được thực hiện thông qua giao thức SS7.
Khu vực định tuyến (Routing Area) trong mạng GSM tương tự như diện tích địa điểm, nhưng thường chứa ít thành phần hơn Do kích thước nhỏ hơn so với khu vực vị trí, nên tài nguyên vô tuyến được sử dụng hiệu quả hơn khi phát sóng thông điệp.
A Virtual Private Network (VPN) utilizes Tunneling Protocols, a technique that encapsulates a data packet within another packet to establish a secure transmission channel.
Hinh 3.13: VPN cung cấp những lợi ích bao gồm:
Hệ thống phát hiện xâm phạm (IDS) là một công cụ bảo mật quan trọng, có chức năng phát hiện và ngăn chặn các hành động tấn công vào mạng IDS giúp nhận diện các hành vi phá hoại và các hoạt động tấn công như thu thập thông tin và quét cổng Một trong những tính năng nổi bật của hệ thống này là khả năng cung cấp thông tin về các hành động bất thường, đồng thời gửi cảnh báo cho quản trị viên mạng để khóa các kết nối đang tấn công Hơn nữa, IDS còn có khả năng phân biệt giữa các cuộc tấn công nội bộ từ nhân viên hoặc khách hàng và các cuộc tấn công bên ngoài từ hacker.
5.9 Chẩn đoán / Theo dõi mạng
Khởi động lại thiết bị
Một trong những cách đơn giản và hiệu quả nhất để khắc phục sự cố trên các thiết bị công nghệ là khởi động lại thiết bị Việc khởi động lại thường giúp giải quyết nhiều lỗi hệ thống như treo máy, không phản hồi hoặc quá tải Ngoài việc khởi động lại máy tính, bạn cũng nên khởi động lại modem và router trong mạng Hãy đợi ít nhất vài phút trước khi cấp nguồn trở lại để giúp modem và router xóa sạch bộ nhớ cache.
Sau khi khởi động máy tính và các thiết bị trong hệ thống mạng, hãy thử truy cập Internet Nếu không vào mạng được, hãy kiểm tra trên máy tính khác hoặc thiết bị di động Nếu vẫn không kết nối được, bạn có thể xác định lỗi từ thiết bị mạng hoặc đường truyền của nhà cung cấp dịch vụ Internet (ISP).
Nếu máy tính hoặc thiết bị di động của bạn có kết nối mạng, bạn có thể xác định lỗi trên máy tính cá nhân Hãy thử sử dụng phần mềm quét virus để kiểm tra xem máy tính có bị nhiễm virus hoặc malware hay không Ngoài ra, bạn cũng có thể thử mở một số trang web bằng trình duyệt khác.
MẬT MÃ CÔNG KHAI MÔ HÌNH ỨNG DỤNG
Attacks
+ Đảm bảo tính riêng tư của thông tin: bảo vệ dữ liệu được truyền tải khỏi các tấn công thụ động
+ Tương ứng với hình thức phát hiện nội dung thông điệp (release of message content) có một vài phương pháp bảo vệ đường truyền
Bảo vệ dữ liệu truyền giữa hai người dùng là rất quan trọng, vì vậy cần thiết lập đường truyền ảo giữa hai hệ thống để đảm bảo an toàn Điều này giúp ngăn chặn mọi hình thức phát hiện nội dung thông điệp, bảo vệ thông tin cá nhân và duy trì tính riêng tư trong giao tiếp.
+ Bảo vệ các thông điệp đơn lẻ hoặc một số trường đơn lẻ của thông điệp
+ Đảm bảo tính riêng tư: bảo vệ luồng thông tin trao đổi khỏi các thao tác phân tích Đảm bảo tính xác thực (Authentication)
+ Dịch vụ đảm bảo tính xác thực: Khẳng định các bên tham gia vào qua trình truyền tin được xác thực và đáng tin cậy
Đối với các thông điệp đơn lẻ như thông báo, báo hiệu và dịch vụ xác thực, cần đảm bảo rằng bên nhận nhận thức rõ nguồn gốc đáng tin cậy của các thông điệp này.
+ Đối với những liên kết trực tuyến
Có 2 khía cạnh cần nhắc tới:
- Tại thời điểm khởi tạo kết nối, dịch vụ xác thực hay phải hai thực thể tham gia vào trao đổi thông tin phải được ủy quyền.
Dịch vụ cần đảm bảo rằng kết nối không bị can thiệp bởi bên thứ ba, người có thể giả mạo một trong hai bên được ủy quyền để tham gia vào quá trình truyền tin và thu nhận thông điệp Việc này rất quan trọng để đảm bảo tính sẵn sàng (Availability) của dịch vụ.
+ Tấn công phá hủy tính sẵn sàng của hệ thống: thực hiện các thao tác vật lý tác động đến hệ thống
+ Dịch vụ đảm bảo tính sẵn sàng phải có
Mật mã học là lĩnh vực kết hợp giữa ngôn ngữ và toán học nhằm bảo đảm an toàn thông tin, đặc biệt trong giao tiếp Lịch sử của mật mã học gắn liền với quá trình mã hóa, chuyển đổi thông tin từ dạng có thể nhận thức thành dạng không thể nhận thức, nhằm bảo vệ thông tin khỏi sự truy cập trái phép Mã hóa chủ yếu được sử dụng để bảo vệ tính bí mật của thông tin quan trọng trong các lĩnh vực như tình báo, quân sự, ngoại giao và kinh tế Gần đây, mật mã hóa đã phát triển với nhiều ứng dụng hơn, bao gồm chứng thực khóa công khai, chữ ký số, bầu cử điện tử và tiền điện tử Ngay cả những người không có nhu cầu cao về tính bí mật cũng sử dụng công nghệ mật mã hóa, thường được tích hợp sẵn trong hạ tầng công nghệ thông tin và viễn thông.
Mật mã học là một lĩnh vực liên ngành, phát triển từ nhiều lĩnh vực khác nhau, với các hình thức cổ xưa chủ yếu liên quan đến ngôn ngữ Gần đây, vai trò của mật mã hóa đã thay đổi, trở nên gắn liền với toán học, đặc biệt là toán học rời rạc, bao gồm lý thuyết số, lý thuyết thông tin, độ phức tạp tính toán, thống kê và tổ hợp Mật mã hóa không chỉ là một nhánh của công nghệ mà còn liên quan đến các vấn đề an ninh, thường được xem là không bình thường do sự chống đối ngầm của nó Đây là công cụ quan trọng trong an ninh máy tính, giúp bảo vệ thông tin và dữ liệu.
Tấn công Ngày sinh là một phương pháp tấn công mật mã dựa trên việc khai thác hiện tượng Ngày sinh, hay còn gọi là “Nghịch lý Ngày sinh” Hiện tượng này phản ánh sự bất hợp lý trong cảm nhận của con người về xác suất, dẫn đến việc dễ dàng tìm ra hai giá trị trùng lặp trong một tập hợp lớn hơn.
Bài viết này phân tích và chứng minh hiện tượng nghịch lý, đồng thời khám phá mối liên hệ giữa ứng dụng mật mã trong các cuộc tấn công và phòng vệ Cuối bài, bạn sẽ tìm thấy một chương trình với mã nguồn thực thi cùng với các giải thích chi tiết Nội dung chủ yếu là kiến thức phổ thông, dễ hiểu cho những ai đã tốt nghiệp trung học phổ thông Nếu bạn có trình độ tin học căn bản, bạn sẽ gặp thuận lợi trong việc nắm bắt một số chi tiết khác Để làm việc với chương trình, bạn cần có kiến thức cơ bản về ngôn ngữ C++ và sử dụng hệ điều hành Linux với trình biên dịch gcc.
Bài viết này cung cấp nền tảng cho các khái niệm liên quan đến bảo mật thông tin, bao gồm các thuật toán mật mã, thuật toán mật mã không an toàn, và các loại tấn công như tấn công tiền ảnh, tấn công tiền ảnh thứ hai và tấn công xung đột mạnh Nó cũng đề cập đến các chiến lược tìm kiếm, kỹ thuật mật mã khóa công khai, cũng như thực hành mã hóa, giải mã, ký kỹ thuật số, xác minh chữ ký kỹ thuật số và xác nhận các chứng chỉ CA-Certificates, đồng thời loại bỏ các chứng chỉ không hợp lệ.
Nếu bạn tham gia một nhóm từ 23 người trở lên, bạn có thể tự tin cá cược rằng sẽ có ít nhất một cặp người trùng ngày sinh Mặc dù có 365 ngày trong năm, điều này có vẻ khó tin nhưng theo lý thuyết xác suất, xác suất có ít nhất hai người trùng ngày sinh trong nhóm 23 người là 50% Điều này cho thấy sự nghịch lý trong cách chúng ta nghĩ về xác suất và ngày sinh.
Gọi xác suất cần tính là P(A) Chúng ta giải bài toán ngược lại, tìm xác suất P(A’) để 23 người ngẫu nhiên có ngày sinh hoàn toàn khác nhau
Mỗi người có thể có ngày sinh trong 365 ngày của năm, do đó, khả năng về tình trạng ngày sinh của 23 người có thể được tính bằng cách sử dụng công thức chỉnh hợp lặp chập 23.
Các thuật giải (A lgorithms)
Mẫu tin có kích thước cố định và hàm hash được công khai mà không cần sử dụng khóa Hash chỉ phụ thuộc vào nội dung của mẫu tin, trong khi MAC không chỉ phụ thuộc vào mẫu tin mà còn vào khóa.
Hash là một công cụ quan trọng để phát hiện sự thay đổi của dữ liệu Nó có thể được áp dụng theo nhiều cách khác nhau cho các mẫu tin và thường được kết hợp để tạo ra chữ ký số cho các mẫu tin đó.
Các tính chất của hàm Hash
Hàm Hash tạo nên dấu vân tay (tức là thông tin đặc trưng) của một tệp, mẫu tin hay dữ liệu h = H(M)
Mẫu tin về dấu vân tay có kích thước tùy ý trong khi kích thước của dấu vân tay là cố định Hàm Hash được cho là công khai và được sử dụng phổ biến.
Các yêu cầu của hàm Hash
Có thể áp dụng cho mọi mẫu tin có kích thước tuỳ ý Tuy nhiên phải tạo đầu ra h có kích thước cố định, thường là 128 bit đến 1024 bit
Dễ tính h = H(M)cho mọi mẫu tin M, hàm H tính toán nhanh, hiệu quả phụ thuộc chặt vào mẫu tin M và không tính toán ngược lại
Tính chất một chiều của hàm H(x) thể hiện sự khó khăn trong việc tìm kiếm x sao cho H(x) = h, trong khi việc tìm ảnh lại trở nên dễ dàng hơn.
Cho x không thể tìm được y sao cho H(y) = H(x) Đây là tính chất chống đỡ va chạm yếu, không tìm được mẫu tin có cùng Hash với mẫu tin đã cho.
Và không thể tìm được x, y sao cho H(y) = H(x) Đây gọi là tính chất chống đỡ va chạm mạnh, đây là yêu cầu cao hơn tính chống đỡ va chạm yếu
2.2.2 Các hàm hash đơn giản
Có nhiều đề xuất cho các hàm hash đơn giản, trong đó mẫu tin được biểu diễn dưới dạng bit và chia thành các khối bit có kích thước mong muốn Bằng cách sử dụng phép toán XOR trên các bit thông tin tại cùng vị trí của các khối, ta có thể tạo ra Hash cho toàn bộ mẫu tin Tuy nhiên, hàm hash này không an toàn vì có thể tìm được nhiều mẫu tin khác nhau có cùng giá trị hash.
Hash 64 bit có thể được coi là an toàn vì khó tìm được bản tin có cùng hash, nhưng thực tế không phải vậy do nghịch lý ngày sinh nhật Để xác suất có ít nhất 2 sinh viên trùng ngày sinh nhật lớn hơn 0.5, cần xác định số sinh viên tối thiểu k trong lớp Theo lý thuyết xác suất, xác suất q để không có 2 người nào trùng ngày sinh là tỷ số giữa cách chọn k ngày khác nhau trong 365 ngày và số cách chọn k ngày bất kỳ trong 365 ngày, với công thức q = Ck365 / 365k.
Do đó, xác suất p để có ít nhất 2 người trùng ngày sinh là p = 1 – q = 1 - Ck365 / 365k Để p > 0.5 thì k > 22 hay k #, cụ thể khi đó p = 0.5073
Nghịch lý ngày sinh nhật cho thấy rằng trong một lớp học, chỉ cần 23 sinh viên là có khả năng cao để hai sinh viên có cùng ngày sinh, mặc dù chúng ta có thể nghĩ rằng cần ít nhất 184 sinh viên Điều này nhấn mạnh rằng xác suất để hai mẫu tin có cùng bản Hash trong nhiều trường hợp không nhỏ như chúng ta tưởng.
2.2.3 Tính an toàn của hàm Hash và MAC
Hàm hash, giống như mã khối, có thể bị tấn công vét cạn, với sức mạnh chống va chạm mạnh là 2^(m/2), trong đó m là độ dài mã hash Để đảm bảo an toàn, cần chọn m đủ lớn để việc duyệt tìm 2^(m/2) phương án trở nên không khả thi Một đề xuất cho độ dài hash là 128 bit cho MD5 trong phần cứng.
Nhưngcó thể tìm được va chạm sau 24 ngày Do đó có thể coi là hash 128 bit có thể có lỗ hổng, không an toàn, tốt hơn dùng hash 160 bit
Tấn công vét cạn trên MAC khó khăn hơn vì yêu cầu một cặp MAC từ mẫu tin đã biết, do phụ thuộc vào khóa Tấn công có thể nhắm vào không gian khóa hoặc trực tiếp vào MAC Để đảm bảo an toàn, độ dài tối thiểu của MAC cần đạt 128 bit.
Thám mã tấn công có cấu trúc
Giống như mã khối muốn dùng tấn công vét cạn, có một số các tấn công thám mã là lựa chọn tốt nhất hiện có Chẳng hạn
Nếu CVi = f[CVi-1, Mi]; H(M)=CVN
Thì ở đây thông thường khai thác sự va chạm của hàm f
Giống mã khối thường gồm một số vòng lặp
Khi đó tân công sử dụng các tính chất của các hàm vòng
2.2.4 Các thuật toán Hash và MAC
2.2.4.1 Các thuật toán Hash và MAC
Hàm Hash là một phương pháp nén dữ liệu, giúp biến đổi mẫu tin thành kích thước cố định bằng cách xử lý từng khối thông tin Phương pháp này kết hợp việc sử dụng hàm nén và mã khối để đảm bảo tính hiệu quả và an toàn cho dữ liệu.
Mã xác thực mẫu tin (MAC) được sử dụng để tạo phần xác thực cho mẫu tin có kích thước cố định, đảm bảo tính toàn vẹn và tính xác thực của dữ liệu thông qua việc sử dụng khóa Phương pháp này có thể được thực hiện bằng cách sử dụng mã khối với chế độ móc nối hoặc hàm băm.
2.2.4 2 Thuật toán Hash an toàn SHA (Secure Hash Algorithm)
SHA, được phát triển bởi Viện chuẩn công nghệ quốc gia Hoa Kỳ (NIST) và NSA vào năm 1993, đã được nâng cấp vào năm 1995 theo tiêu chuẩn của Mỹ, cụ thể là FIPS 180-1.
1995 và Internet RFC3174, được nhắc đến như SHA-1 Nó được sử dụng với sơ đồ chữ ký điện tử DSA (Digital Signature Algorithm)
Thuật toán SHA, được thiết kế dựa trên MD4, tạo ra giá trị Hash 160 bit với những điểm khác biệt nhất định Nghiên cứu năm 2005 về độ an toàn của SHA-1 đã khuyến nghị việc tiếp tục sử dụng thuật toán này trong tương lai.
Sau đây ta mô tả chi tiết thuật toán SHA-1 và MD5: a Thuật toán SHA-1
Thuật toán SHA-1 nhận đầu vào là một thông điệp có chiều dài tối đa 264 bit và sản xuất ra một thông điệp rút gọn với độ dài 160 bit.
Mở rộng thông điệp: f(t;B, C, D) được định nghĩa như sau f(t;B, C, D) = (B AND C) OR ((NOT B) AND D) (0≤t≤19) f(t;B, C, D) = B XOR C XOR D (20≤t≤39) f(t;B, C, D) = (B AND C) OR (B AND D) OR (C AND D) (40≤t≤59) f(t;B, C, D) = B XOR C XOR D (60≤t≤79)
Thông điệp M được mở rộng trước khi tiến hành băm nhằm đảm bảo rằng độ dài của thông điệp mở rộng là bội số của 512 Việc này giúp cải thiện tính toàn vẹn và bảo mật của dữ liệu khi thực hiện các thuật toán băm.
VIRUS VÀ CÁCH PHÒNG CHỐNG
Giới thiệu tổng quan về virus
- Mô tả được virus máy tính
Căn cứ vào tính chất của đoạn mã phá hoại, có thể chia thành hai loại: virus và Trojan horse
- Trojan horse: Thuật ngữ này dựa vào một điển tích cổ, chỉ một đoạn mã được
Trojan horse là một loại mã độc không có khả năng lây lan, thường được nhúng vào các phần mềm cụ thể Nó hoạt động như một "kẻ phá hoại" bất ngờ, tấn công dữ liệu trên đĩa vào thời điểm đã được lập trình trước, có thể bao gồm việc định dạng lại đĩa hoặc xóa thông tin quan trọng như FAT và Root Các phần mềm chứa Trojan horse thường được phát tán dưới dạng bản cập nhật hoặc phiên bản mới, nhằm trừng phạt những người sử dụng phần mềm từ nguồn gốc không rõ ràng.
Virus tin học là một chương trình máy tính có khả năng tự sao chép lên các đĩa và file mà người dùng không hay biết, thường mang tính phá hoại như gây lỗi thi hành hoặc hủy dữ liệu Lịch sử lây nhiễm virus bắt đầu từ năm 1970, với sự xuất hiện trên máy PC vào năm 1986, và chúng đã phát triển mạnh mẽ cùng với sự tiến bộ của máy tính cá nhân Virus thường xuất hiện ở các trường đại học, nơi có nhiều sinh viên thông minh và năng động, và nhờ vào các phương tiện giao tiếp máy tính như mạng và đĩa, chúng đã lan rộng khắp nơi trên thế giới Nơi nào có máy tính, nơi đó có virus tin học.
Worm Internet là một bước tiến đáng kể trong thế giới virus, kết hợp sức phá hoại của virus, sự bí mật của Trojan và khả năng lây lan mạnh mẽ Các ví dụ tiêu biểu như worm Melissa và Love Letter đã làm tê liệt hàng loạt hệ thống máy chủ và ách tắc đường truyền Worm phát tán bằng cách tìm kiếm địa chỉ trong sổ địa chỉ của máy bị nhiễm và tự gửi bản sao đến những địa chỉ đó, dẫn đến sự lây lan nhanh chóng trên toàn cầu Với khả năng lây lan chỉ trong vài giờ, Melissa và Love Letter đã ảnh hưởng tới hàng chục triệu máy tính Ngoài ra, worm còn được trang bị các tính năng đặc biệt, cho phép chúng tấn công đồng loạt vào một địa chỉ, gây tê liệt máy chủ và cho phép kẻ viết worm truy cập vào máy của nạn nhân một cách bất hợp pháp Theo thống kê tháng 3/2005, virus Zafi.D đứng đầu với 45,1% tỷ lệ lây nhiễm, trong khi Netsky.P đứng thứ hai với 21%.
Xuất hiện vào cuối năm 2004, virus Zafi.D đã liên tục chiếm vị trí hàng đầu trong danh sách các virus nguy hiểm nhất hàng tháng do Sophos bình chọn Gần đây, virus này lại xuất hiện trong bảng xếp hạng tháng.
3 là Sober.K- virus lây nhiễm thông qua các tệp tin đính kèm email mang tiêu đề 'You visit illegal websites' hoặc 'Alert! New Sober Worm!'
Theo chuyên gia bảo mật của Sophos, trong tháng 3 đã xuất hiện hơn một nghìn virus và mã độc nguy hiểm Để bảo vệ bản thân, người dùng máy tính cần nắm vững các hướng dẫn bảo mật và thường xuyên cập nhật thông tin về cách phòng ngừa virus mới.
Cách thức lây lan – phân loại virus
- Trình bày được cách thức lây lan của virus máy tính
- Phân biệt được các loại virus;
Dựa vào đối tượng lây lan là file hay đĩa, chia virus thành hai nhóm chính:
- B-virus (boot virus): Virus chỉ tấn công trên các Boot sector hay Master boot
Virus F (file virus) là loại virus chỉ tấn công các tệp thực thi, cụ thể là những tệp có thể thực thi thông qua chức năng 4Bh của DOS, thay vì các tệp có định dạng COM hay EXE.
Cách phân loại này chỉ mang tính tương đối, vì trên thực tế có những loại virus lưỡng tính vừa lây trên boot record, vừa trên file thi hành
Dạng tổng quát của một virus có thể biểu diễn bằng sơ đồ sau:
Hình 5.1: cách lây lan F-virus
Virus máy tính là đoạn mã độc hại cần có quyền kiểm soát để hoạt động Để làm được điều này, virus thường khai thác các lỗ hổng bảo mật trong hệ thống.
‘tự nguyện’ trao quyền điều khiển lại cho nó Thực tế có hai khe hở, sẽ lần lượt xét dưới đây
Lây vào các mẫu tin khởi động bao gồm:
- Master boot của đĩa cứng
- Boot sector của đĩa cứng và đĩa mềm
B-virus chỉ có thể được kích hoạt khi ta khởi động máy tính bằng đĩa nhiễm Lúc này hệ thống chưa được một hệ điều hành (HĐH) nào kiểm soát, do đó B-virus có thể khống chế hệ thống bằng cách chiếm các ngắt của BIOS, chủ yếu là Int 13 (phục vụ đĩa), Int 8 (đồng hồ) Nhờ đặc điểm này mà nó có khả năng lây trên mọi Hệ điều hành Nếu một B-virus được thiết kế nhằm mục đích phá hoại thì đối tượng chính của chúng là đĩa và các thành phần của đĩa Để mở rộng tầm hoạt động, một số loại còn có khả năng tấn công lên file khi quá trình khởi động của Hệ điều hành hoàn tất, nhưng đó chỉ là những trường hợp ngoại lệ, có hành vi phá hoại giống như F-virus
Chúng ta sẽ xem xét từng thành phần chính của đĩa, bao gồm master boot, boot sector, bảng FAT, bảng Thư mục, Vùng dữ liệu
Master boot nằm trên đĩa cứng tại sector 1, track 0, side 0, chứa mã tìm hệ điều hành và bảng phân vùng (Partition table) ở offset 1BEh Bảng này ghi nhận cấu trúc vật lý, địa chỉ bắt đầu và kết thúc của mỗi partition, cũng như thông tin về partition chứa hệ điều hành hoạt động Những thông tin này rất quan trọng, vì nếu bị sai lệch, hệ thống có thể rối loạn hoặc không nhận dạng được đĩa cứng.
Để loại bỏ B-virus, cần cập nhật lại master boot, vì virus thường lưu giữ Partition table Bạn có thể sử dụng lệnh FDISK / MBR để thực hiện việc này.
Giống như master boot, B-virus khi ghi vào boot sector thường giữ lại bảng tham số đĩa (BPB-BIOS Parameter Block) tại offset 0Bh, chứa thông tin quan trọng như loại đĩa, số bảng FAT, số sector dành cho bảng FAT và tổng số sector trên đĩa Việc phục hồi boot sector có thể thực hiện bằng lệnh SYS.COM của DOS Tuy nhiên, một số virus có thể làm hỏng BPB, khiến hệ thống không đọc được đĩa trong môi trường sạch và làm lệnh SYS mất tác dụng Đối với đĩa mềm, phục hồi boot sector (bao gồm BPB) khá đơn giản do chỉ có vài loại đĩa mềm thông dụng.
Để khôi phục BPB từ đĩa mềm, bạn có thể sử dụng boot sector của một đĩa cùng loại mà không cần format lại toàn bộ đĩa Tuy nhiên, việc này trở nên phức tạp hơn với đĩa cứng, vì BPB được tạo ra trong quá trình FDISK dựa trên tùy chọn của người dùng và các tham số phân chia Trong một số trường hợp, phần mềm NDD có thể phục hồi BPB cho đĩa cứng, nhưng yêu cầu máy phải khởi động từ A do BPB bị hỏng, dẫn đến khó khăn trong việc quản lý các phần tiếp theo của đĩa Do đó, việc lưu lại boot sector của đĩa cứng là rất quan trọng để có thể phục hồi khi cần thiết.
2.1.3 Bảng FAT (File Allocation Table) Được định vị một cách dễ dàng ngay sau boot sector, FAT là một "miếng mồi ngon" cho virus Đây là bảng ghi nhận trật tự lưu trữ dữ liệu theo đơn vị liên cung (cluster) trên đĩa ở vùng dữ liệu của DOS Nếu hỏng một trong các mắt xích của FAT, dữ liệu liên quan sẽ không truy nhập được Vì tính chất quan trọng của nó, FAT luôn được DOS lưu trữ thêm một bảng dự phòng nằm kề bảng chính Tuy nhiên các virus đủ sức định vị FAT khiến cho tính cẩn thận của DOS trở nên vô nghĩa Mặt khác, một số DB-virus (Double B-virus) thường chọn các sector cuối của FAT để lưu phần còn lại của progvi Trong đa số trường hợp, người dùng thường cầu cứu các chương trình chữa đĩa, nhưng những chương trình này chỉ có thể định vị các liên cung thất lạc, phục hồi một phần FAT hỏng chứ không thể khôi phục lại toàn bộ từ một bảng FAT chỉ chứa toàn "rác" Hơn nữa thông tin trên đĩa luôn biến động, vì vậy không thể tạo một bảng FAT "dự phòng" trên đĩa mềm như đối với master boot và boot sector được Cách tốt nhất vẫn là sao lưu dự phòng tất cả dữ liệu quan trọng bằng các phương tiện lưu trữ tin cậy
2.1.4 Bảng Thư mục (Root directory)
Sau FAT, bảng Thư mục lưu trữ các tên hiển thị trong lệnh DIR\, bao gồm nhãn đĩa, tên file và tên thư mục Mỗi tên được tổ chức thành entry dài 32 byte, chứa thông tin về tên entry, phần mở rộng, thuộc tính, ngày giờ, địa chỉ lưu trữ và kích thước (nếu entry chỉ định tên file).
DOS quy định rằng một thư mục sẽ kết thúc bằng một mục có giá trị 0 Do đó, để vô hiệu hóa từng phần của Root, virus chỉ cần đặt byte 0 tại một mục nào đó Nếu byte này được đặt ở đầu Root, toàn bộ đĩa sẽ trở nên trống rỗng một cách thảm hại Trường hợp virus lưu phần còn lại của chương trình tại các sector cuối của Root cũng gây ra hậu quả tương tự như trường hợp bảng FAT: nếu vùng này đã được DOS sử dụng, các mục trên đó sẽ bị phá hủy hoàn toàn.
Do số lượng các entry trên Root có hạn, DOS cho phép tạo thêm thư mục con để mở rộng vùng dữ liệu Nội dung của Root thường ít biến động vì chỉ chứa các file hệ thống như IO.SYS, MSDOS.SYS, COMMAND.COM, CONFIG.SYS, AUTOEXEC.BAT và các tên thư mục ở gốc Vì vậy, có thể tạo một bản Root dự phòng miễn là không thay đổi hay cập nhật bất kỳ entry nào Tuy nhiên, điều này không cần thiết trên hệ thống đã áp dụng các biện pháp sao lưu dữ liệu định kỳ.
2.1.5 Vùng dữ liệu Đây là vùng chứa dữ liệu trên đĩa, chiếm tỷ lệ lớn nhất, nằm ngay sau Root Ngoại trừ một số ít DB_virus sử dụng vài sector ở vùng này để chứa phần còn lại của progvi (xác suất ghi đè lên file rất thấp), vùng dữ liệu được coi như vùng có độ an toàn cao, tránh được sự "nhòm ngó" của B_virus Chúng ta sẽ lợi dụng đặc điểm này để bảo vệ dữ liệu khỏi sự tấn công của B_virus (chủ yếu vào FAT và Root, hai thành phần không thể tạo bản sao dự phòng).
Khi sử dụng FDISK để phân chia đĩa, nhiều người thường chỉ tạo một partition cho toàn bộ ổ cứng, dẫn đến việc ổ đĩa khởi động chứa tất cả dữ liệu Để tối ưu hóa, nên chia ổ cứng thành hai phân vùng: ổ C chỉ dùng để khởi động và cài đặt phần mềm, trong khi ổ D lưu trữ dữ liệu quan trọng Nếu ổ C bị tấn công bởi virus, người dùng có thể cài đặt lại phần mềm mà không lo mất dữ liệu trên ổ D Đối với ổ cứng lớn, tỷ lệ phân chia 1:1 hoặc 2:3 là lý tưởng, nhưng với ổ cứng nhỏ, chỉ cần phân vùng C đủ cho hệ điều hành và phần mềm thiết yếu, ưu tiên an toàn dữ liệu hơn là chi phí.
Giải pháp này chỉ mang tính tương đối, vì nếu xuất hiện một B_virus có khả năng tự xác định địa chỉ vật lý của partition thứ hai để tấn công, vấn đề sẽ trở nên phức tạp hơn rất nhiều.
Các B_virus có khả năng lây nhiễm trên nhiều hệ điều hành và chỉ khai thác dịch vụ đĩa của ROM BIOS, trong khi F_virus chỉ lây trên một hệ điều hành cụ thể nhưng có thể khai thác nhiều dịch vụ nhập xuất của hệ điều hành đó F_virus dưới DOS chủ yếu sử dụng dịch vụ truy cập file thông qua các hàm của ngắt 21h, và một số ít sử dụng ngắt 13h, tương tự như B_virus Do đó, cần tập trung vào các trường hợp sử dụng ngắt 21h của F_virus.
Ngăn chặn sự xâm nhập virus
- Phòng ngừa được sự xâm nhập của virus
Virus tin học tuy ranh ma và nguy hiểm nhưng có thể bị ngăn chặn và loại trừ một cách dễ dàng Có một số biện pháp dưới đây
3.1 Chương trình diệt virus - Anti-virus
Chương trình chống virus, hay còn gọi là anti-virus, giúp phát hiện và diệt virus trên máy tính Thông thường, các phần mềm này tự động loại bỏ virus khi phát hiện, nhưng một số chỉ có khả năng phát hiện mà không diệt được, do đó người dùng cần chú ý đến các thông báo Để tối ưu hóa hiệu quả, nên sử dụng kết hợp nhiều chương trình anti-virus để bổ sung cho nhau Quan trọng là phải chạy anti-virus trong điều kiện bộ nhớ tốt, như khởi động từ đĩa mềm sạch, để đảm bảo quá trình quét virus an toàn và hiệu quả, tránh lây lan virus trên ổ cứng Hiện nay, có hai loại anti-virus chính: ngoại nhập và nội địa.
Các phần mềm diệt virus phổ biến hiện nay bao gồm SCAN của McAfee, Norton Anti-virus của Symantec, Toolkit và Dr Solomon Những sản phẩm này đều thuộc loại thương mại, với ưu điểm nổi bật là khả năng cập nhật virus nhanh chóng và hiệu quả trong việc phát hiện và tiêu diệt virus Ngoài ra, chúng còn cung cấp nhiều công cụ hỗ trợ chi tiết Tuy nhiên, nhược điểm lớn nhất của các phần mềm này là kích thước cồng kềnh.
Các phần mềm diệt virus nội địa phổ biến như D2 và BKAV đều miễn phí, mang lại lợi ích lớn cho người dùng Chúng nổi bật với tốc độ quét nhanh nhờ kích thước nhỏ gọn và khả năng phát hiện virus nội địa hiệu quả Tuy nhiên, nhược điểm của chúng là khả năng nhận diện virus ngoại còn hạn chế và thiếu công cụ hỗ trợ cũng như giao tiếp với người dùng Để khắc phục những điểm yếu này, các phần mềm diệt virus nội địa thường xuyên cập nhật danh sách virus và nhanh chóng phát hành bản vá cho người dùng.
Mặc dù các phần mềm diệt virus rất cần thiết, nhưng người dùng không nên quá phụ thuộc vào chúng, vì chúng chỉ có thể phát hiện và tiêu diệt các virus đã được cập nhật Những virus mới chưa có trong thư viện chương trình sẽ không được diệt Nhược điểm này khiến các chương trình diệt virus gặp khó khăn trong việc bảo vệ người dùng Hiện nay, xu hướng của các phần mềm diệt virus là phát triển khả năng nhận dạng virus mà không cần cập nhật, như hệ thống chống virus của Symantec dựa trên cơ chế miễn dịch của IBM Phần mềm D2 nội địa cũng đang nỗ lực nhận diện virus mới thông qua các phiên bản D2-Plus 2xx với mô-đun nhận dạng virus macro mới và New-Bvirus, áp dụng chẩn đoán thông minh dựa trên tri thức của lý thuyết hệ chuyên gia Những nỗ lực này hướng tới việc phát triển phần mềm chống virus thông minh, có khả năng dự đoán sự xuất hiện của virus mới Tuy nhiên, người dùng vẫn nên trang bị thêm các biện pháp phòng chống virus hiệu quả.
Phát hiện virus là bước quan trọng để tiến hành các biện pháp điều trị, vì không thể chữa trị nếu không xác định được máy hoặc đĩa có bị nhiễm virus hay không, cũng như loại virus nào đang tồn tại Quy trình phát hiện bắt đầu từ vùng nhớ, vì virus có thể chiếm quyền điều khiển và làm sai lệch thông tin trong các tác vụ truy xuất đĩa sau đó Sau khi kiểm tra vùng nhớ, việc phát hiện tiếp tục được thực hiện trên đĩa Sự tồn tại của virus thường đi kèm với một số dấu hiệu đặc biệt, và việc phát hiện sẽ bao gồm việc dự đoán khả năng xuất hiện virus lạ trong vùng nhớ và xác định chính xác loại virus đã biết.
Do đặc tính phải tồn tại trong bộ nhớ cao, B - virus rất dễ bị phát hiện Việc phát hiện có thể qua các bước sau:
So sánh tổng số vùng nhớ BIOS với toàn bộ vùng nhớ mà chương trình thu được sau khi tự test giúp kiểm tra sự chênh lệch Dấu hiệu này chưa đủ để kết luận về sự tồn tại của virus, mà chỉ là cơ sở để tiến hành bước tiếp theo, vì sự chênh lệch cũng có thể phản ánh vùng RAM bị hỏng.
Bắt đầu từ địa chỉ của vùng cao, việc dò tìm virus bằng kỹ thuật Scanning cho phép xác định sự tồn tại của virus trong vùng nhớ Tuy nhiên, phương pháp này có nhược điểm, vì nếu máy tính bị nhiễm virus khởi động lại bằng đĩa mềm sạch, RAM sẽ không được kiểm tra và virus vẫn có thể tồn tại Để khắc phục, người dùng cần tự nghĩ ra phương pháp phù hợp Trong trường hợp không phát hiện virus, vẫn có khả năng tồn tại một B-virus mới, và thông qua một số dấu hiệu, chúng ta có thể đưa ra kết luận tương đối chính xác về sự xuất hiện của loại virus mới này.
Một số phần mềm chống virus cung cấp thêm bước chữa trị cho vùng nhớ bằng cách vô hiệu hóa virus thông qua việc khôi phục int 13h cũ Tuy nhiên, phương pháp này vẫn có nhược điểm, vì không thể hoàn trả vùng nhớ cho DOS bằng cách cộng thêm vào giá trị tại BIOS data 40:13, do DOS không còn sử dụng giá trị này Do đó, cần phải Reset máy để BIOS kiểm tra lại RAM Mặc dù vậy, việc vô hiệu hóa virus trước khi Reset máy vẫn là phương pháp tốt nhất hiện nay.
Một phương pháp đơn giản được các nhà chữa trị virus trong nước đề xuất, tuy nhiên không đảm bảo tương thích với mọi hệ điều hành Phương pháp này dựa vào việc virus chiếm ngắt 13h trong vùng nhớ; việc thay thế địa chỉ này sẽ chuyển giá trị segment của ngắt 13h từ ROM sang RAM, tức là từ một giá trị lớn hơn 0C000h thành một giá trị nhỏ hơn A000h Tuy nhiên, khi DOS kiểm soát, nó lại thay địa chỉ này bằng đoạn mã của nó Do đó, cần xác định vị trí mà DOS giữ địa chỉ này, giá trị được công bố ở địa chỉ 0:7B4h qua nghiên cứu các phiên bản DOS, bao gồm cả DOS 4.xx mới nhất Phương pháp này có thể kiểm tra xem máy có bị nhiễm hay không, nhưng vẫn có nhược điểm là không tương thích với các phiên bản mới của DOS Ngoài ra, có thể định vị lại giá trị segment để nó được xem là nằm ở ROM mặc dù thực tế vẫn nằm trong RAM.
Phương pháp cần được điều chỉnh để tạo địa chỉ chính xác 20 bit và tiến hành so sánh Việc dò tìm trên đĩa chỉ được thực hiện sau khi kiểm tra vùng nhớ không phát hiện virus, trong khi trên vùng nhớ có thể áp dụng nhiều phương pháp khác nhau, bao gồm cả việc phát hiện virus mới nếu có.
Nhiều phần mềm Antivirus sử dụng phương pháp dò tìm đoạn mã để phát hiện virus Tuy nhiên, phương pháp này có nhược điểm do tính chất ngụy trang của virus, có thể dẫn đến việc Boot sector bị nhiễm bởi hai hoặc nhiều virus cùng lúc Điều này có thể khiến cho quá trình dò tìm phát hiện được virus thứ hai, dẫn đến kết quả khôi phục không chính xác.
Một bằng chứng rõ ràng là nếu một đĩa mềm bị nhiễm virus Stone trước khi bị tấn công bởi virus Joshi, phần mềm TNT virus (Turbo Antivirus) sẽ cảnh báo rằng đĩa mềm đó đã bị nhiễm.
Stone và do đó sẽ khôi phục Stone hơn là khôi phục Joshi trước
Một phương pháp kiểm tra virus khác mà phần mềm sử dụng là kiểm tra key value, nhưng giá trị này đã trở nên kém quan trọng do sự phát triển nhanh chóng của virus Mặc dù vậy, có thể tham khảo giá trị này với kỹ thuật dò tìm Để dự báo sự xuất hiện của hai virus mới, việc xác định Boot sector nào chứa virus là khó khăn, vì Boot sector có cấu trúc tương tự như B-virus Một số phần mềm tạo file chứa Boot sector và Partition table, do đó việc kiểm tra sự tồn tại của virus mới chỉ đơn giản là so sánh Boot record và Partition table với nội dung của file Cần tránh khởi động máy từ đĩa mềm khi có đĩa cứng, trừ khi thật sự cần thiết, và nếu buộc phải khởi động từ đĩa mềm, phải đảm bảo rằng đĩa mềm hoàn toàn sạch Việc quên rút đĩa mềm khỏi ổ A có thể dẫn đến lây nhiễm B-virus vào đĩa cứng Tuy nhiên, D2-Plus có thể diệt virus bằng cách chẩn đoán thông minh các New B-virus trên đĩa mềm Chỉ cần chạy D2 thường xuyên, chương trình sẽ phân tích Boot record và dự báo sự có mặt của virus với tên gọi PROBABLE B-Virus.
Nguyên tắc quan trọng là tránh chạy các chương trình không rõ nguồn gốc, vì hầu hết các phần mềm hợp pháp được phát hành từ nhà sản xuất đều được đảm bảo an toàn.
Vì vậy, khả năng tiềm tàng F-virus trong file COM,EXE chỉ còn xảy ra tại các chương trình trôi nổi (chuyền tay, lấy từ mạng, ).
Phát hiện virus trên đĩa hoặc file là bước quan trọng đầu tiên để xác định loại virus và phương pháp chữa trị tương ứng Việc nhận diện virus bắt đầu từ vùng nhớ, giúp xác định liệu có thể thực hiện các bước chữa trị tiếp theo hay không Một số virus có thể lây lan khi mở file hoặc tìm kiếm trên đĩa, do đó, phần mềm diệt virus cần được sử dụng cẩn thận để tránh tạo cơ hội cho virus phát tán Có nhiều phương pháp để phát hiện virus, tùy thuộc vào loại virus và tình huống cụ thể.