An toàn An ninh m ng Bùi Tr ng Tùng B môn Truy n thông M ng máy tính Tài li u W Stallings – Network and Internetwork Security; Introduction to Cryptography – PGP D Stinson – Cryptography: Theory and Practice Gi i thi u chung Trư c xu t hi n máy tính: B o v thông tin, tài li u: – – Các ch b o v ; Khoá kho h sơ lưu tr văn b n Khi xu t hi n máy tính - b o v thơng tin n t : – – – Sao chép thông tin d dàng C n thi t có cơng c t đ ng ñ b o m t t p, d ng thơng tin ch a máy tính ð c bi t h th ng ñư c chia s tài nguyên m ng V n ñ Computer Security Khi xu t hi n h phân tán s d ng m ng ñ truy n d li u trao đ i thơng tin: B o v thông tin truy n m ng – – – Truy n d li u gi a ngư i s d ng máy tính, Gi a máy tính máy tính Nhu c u b o v d li u truy n → Network Security M t s ví d v v n đ b o v an tồn thơng tin Truy n file – – – A truy n file cho B; Trong file ch a nh ng thơng tin bí m t; C khơng đư c phép đ c file có th theo dõi đư c q trình truy n file chép file trình truy n M t s ví d Trao đ i thơng p – – – – – – Qu n tr m ng D g i thơng p đ n máy tính ch u s qu n tr E; Thơng p ch a nh ng thông tin v danh sách nh ng ngư i s d ng m i Ngư i s d ng F b t thơng p; F thêm user m i vào n i dung thơng p, r i g i ti p cho E; E nh n thơng p, khơng bi t ñã b F thay ñ i, v n tư ng D g i t i thay ñ i danh sách user c a M t s ví d – Gi m o: K ch b n gi ng trư ng h p trư c; F t o m t thơng p c a riêng mình, ch a nh ng thơng tin riêng có l i cho F g i cho E E nh n đư c thơng tin t F, cho r ng thơng tin D g i c p nh t nh ng thông tin gi m o vào CSDL Gi i thi u chung – S ph c t p toán B o m t liên m ng: Không t n t i phương pháp thích h p cho m i trư ng h p Các ch b o m t ln đơi v i bi n pháp đ i phó L a ch n nh ng gi i pháp thích h p v i t ng ng c nh s d ng D ch v ch an toàn an ninh Các d ng t n cơng Ba khía c nh an tồn an ninh thơng tin: – – – T n công vào an ninh thông tin Các ch an toàn an ninh Các d ch v an tồn an ninh thơng tin D ch v ch an toàn an ninh Các d ng t n công – Phân lo i d ch v an toàn an ninh: B o m t riêng tư ( confidentiality Xác th c ( authentication ) Toàn v n thơng tin ( integrity ) Ch ng ph đ nh ( nonrepudiation ) Ki m soát truy c p ( access control ) Tính s n sàng ( availability ) D ch v ch an toàn an ninh Các d ng t n công Các ch an tồn an ninh – Khơng t n t i m t ch nh t; – S d ng k thu t m t mã D ch v ch an toàn an ninh Các d ng t n công Các d ng t n công – – – Truy nh p thông tin b t h p pháp; S a đ i thơng tin b t h p pháp; v.v v.v M t s d ng t n công Các d ng t n cơng vào h th ng máy tính m ng: Nguồn thông tin Nơi nhận thông tin Luồng th«ng tin th«ng th−êng – Gián đo n truy n tin ( interruption ): Luồng thông tin bị gián đoạn M t s d ng t n công – Ch n gi thơng tin ( interception ): Lng th«ng tin bị chặn giữ S a ủ i thụng tin ( modification ): Luồng thông tin bị sửa đổi M t s d ng t n công – Gi m o thơng tin ( fabrication ) Lng th«ng tin bị giả mạo Cỏc d ng t n cụng vào h th ng T n cơng th đ ng T n cơng th đ ng Mèi ®e däa thơ động Chặn giữ thông tin mật Giải phóng nội dung thông điệp Phân tích tải Cỏc d ng t n cơng vào h th ng T n cơng th đ ng – Các d ng t n cơng th đ ng: Gi i phóng n i dung thơng p ( release of message contents ) – Ngăn ch n ñ i phương thu tìm hi u ñư c n i dung c a thông tin truy n t i Phân tích t i ( traffic analysis ) – ð i phương có th xác đ nh: V trí c a máy tham gia vào trình truy n tin, T n su t kích thư c b n tin Các d ng t n công vào h th ng T n cơng th đ ng – – D ng t n cơng th đ ng r t khó b phát hi n khơng làm thay ñ i d li u V i d ng t n cơng th đ ng, nh n m nh v n ñ ngăn ch n v n ñ phát hi n Các d ng t n công vào h th ng T n cơng ch đ ng D ng t n cơng ch đ ng – D ng t n cơng ch đ ng bao g m: s a dịng d li u, đưa nh ng d li u gi , gi danh, phát l i, thay đ i thơng p, ph nh n d ch v Mối đe dọa chủ động Gián đoạn truyền tin ( tính sẵn sàng) Giả mạo thông tin ( tính xác thực) Sửa đổi nội dung ( tính toµn vĐn) Các d ng t n cơng vào h th ng T n cơng ch đ ng Gi danh ( masquerade ): ñ i phương gi m o m t ñ i tư ng ñư c u quy n Phát l i ( replay ): d ng t n cơng đ i phương ch n b t ñơn v d li u phát l i chúng t o nên hi u ng không ñư c u quy n; Các d ng t n cơng vào h th ng T n cơng ch đ ng Thay đ i thơng p ( modification of message ): m t ph n c a thơng p h p pháp b s a ñ i, b làm ch m l i ho c b s p x p l i t o nh ng hi u ng khơng đư c u quy n Ph nh n d ch v ( denial of service): d ng t n cơng đưa đ n vi c c m ho c ngăn ch n s d ng d ch v , kh truy n thông 10 Các mơ hình an tồn m ng h th ng – – Phát tri n nh ng phương pháp đ phân ph i chia s thơng tin m t ð t giao th c trao ñ i: Cho phép hai bên truy n tin trao ñ i thông tin s d ng nh ng thu t tốn an tồn; Nh ng thơng tin m t đ t đư c đ an tồn thích h p Các mơ hình an tồn m ng h th ng Mơ hình an tồn an ninh h th ng – – – Truy nh p c a hacker; Các l h ng an ninh h th ng; Các ti n trình ngo i lai: Các ti n trình truy c p t i thông tin: làm phá h y, s a đ i thơng tin khơng đư c phép Các ti n trình d ch v : phát hiên l i d ch v c a h th ng ñ ngăn ch n vi c s d ng c a nh ng ngư i không đư c y quy n 19 Các mơ hình an ton m ng v h th ng Đối phơng Kênh truy nhập Con ngời Phần mềm Cổng bảo vệ Các tài nguyên hệ thống: Dữ liệu; Các trình ,ứng dụng; Các phần mềm; Mô hình An ninh truy nhËp hƯ thèng M¹ng An ninh h th ng Các l h ng b o m t Quét l h ng b o m t 20 L h ng b o m t Khái ni m l h ng b o m t Phân lo i l h ng b o m t – – – L h ng t ch i d ch v L h ng cho phép ngư i dùng bên m ng v i quy n h n ch có th tăng quy n mà không c n xác th c L h ng cho phép nh ng ngư i khơng đư c y quy n có th xâm nh p t xa khơng xác th c Khái ni m l h ng T t c nh ng đ c tính c a ph n m m ho c ph n c ng cho phép ngư i dùng khơng h p l , có th truy c p hay tăng quy n không c n xác th c T ng quát: l h ng nh ng phương ti n đ i phương có th l i d ng ñ xâm nh p vào h th ng 21 L h ng t ch i d ch v Cho phép ñ i phương l i d ng làm tê li t d ch v c a h th ng ð i phương có th làm m t kh ho t ñ ng c a máy tính hay m t m ng, nh hư ng t i toàn b t ch c M t s lo i t n công t ch i d ch v : Bandwith/Throughput Attacks Protocol Attacks Software Vulnerability Attacks – – – L h ng tăng quy n truy nh p không c n xác th c Là l i nh ng ph n m m hay h ñi u hành có s phân c p ngư i dùng Cho phép lo i ngư i dùng v i quy n s d ng h n ch có th tăng quy n trái phép Ví d : – Sendmail : cho phép ngư i dùng bình thư ng có th kh i đ ng ti n trình sendmail, l i d ng sendmail kh i đ ng chương trình khác v i quy n root 22 L h ng tăng quy n truy nh p không c n xác th c – Tràn b ñ m : Code segment Buffer Data segment Overflow here L h ng cho phép xâm nh p t không xác th c xa Là l i ch quan c a ngư i qu n tr h th ng hay ngư i dùng Do không th n tr ng, thi u kinh nghi m, không quan tâm ñ n v n ñ b o m t M t s nh ng c u hình thi u kinh nghi m : – – – – Tài kho n có password r ng Tài kho n m c đ nh Khơng có h th ng b o v firewall, IDS, proxy Ch y nh ng d ch v khơng c n thi t mà khơng an tồn : SNMP, pcAnywhere,VNC , … 23 M c đích c a quét l h ng Phát hi n l h ng b o m t c a h th ng Phát hi n nghi v n v b o m t ñ ngăn ch n Các phương pháp, k thu t quét l h ng b o m t Quét m ng Quét ñi m y u Ki m tra log Ki m tra tính tồn v n file Phát hi n virus Ch ng t n công quay s Ch ng t n công vào access point 24 Quét m ng Ki m tra s t n t i c a h th ng đích Qt c ng Dị h u hành Qt m ng Ki m tra s t n t i c a h th ng đích – – – Qt ping đ ki m tra xem h th ng có ho t đ ng hay không Phát hi n b ng IDS ho c m t s trình ti n ích C u hình h th ng, h n ch lưu lư ng gói ICMP đ ngăn ng a 25 Qt m ng Quét c ng – – – – Nh m nh n di n d ch v , ng d ng S d ng k thu t quét n i TCP, TCP FIN…, xét s c ng ñ suy d ch v , ng d ng Phát hi n quét d a vào IDS ho c ch b o m t c a máy ch Vô hi u hóa d ch v khơng c n thi t đ d u Qt m ng Dị h ñi u hành – – Dò d a vào ñ c trưng giao th c Phát hi n b ng ph n m m phát hi n quét c ng, phòng ng a, s d ng firewall, IDS 26 Quét ñi m y u h th ng Li t kê thơng tin Qt m y u d ch v Ki m tra an toàn m t kh u Qt m y u Li t kê thơng tin – – Xâm nh p h th ng, t o v n tin tr c ti p Nh m thu th p thông tin v Dùng chung, tài nguyên m ng Tài kho n ngư i dùng nhóm ngư i dùng ng d ng banner – – Ví d v li t kê thơng tin Windows Ví d v li t kê thơng tin Unix/Linux 27 Quét ñi m y u Quét ñi m y u d ch v – – – Quét tài kho n y u: Tìm acc v i t ñi n tài kho n y u Quét d ch v y u: D a xác ñ nh nhà cung c p phiên b n Bi n pháp đ i phó: C u hình d ch v h p lý, nâng c p, vá l i k p th i Qt m y u B khóa m t kh u – Nhanh chóng tìm m t kh u y u – Cung c p thơng tin c th v đ an tồn c a m t kh u – D th c hi n – Giá thành th p 28 Ki m soát log file Ghi l i xác ñ nh thao tác h th ng Dùng ñ xác ñ nh s sai l ch sách b om t Có th b ng tay ho c t đ ng Nên ñư c th c hi n thư ng xuyên thi t b Cung c p thơng tin có ý nghĩa cao Áp d ng cho t t c ngu n cho phép ghi l i ho t đ ng Ki m tra tính tồn v n file Các thơng tin v thao tác file ñư c lưu tr s d li u tham chi u M t ph n m m ñ i chi u file d li u s d li u ñ phát hi n truy nh p trái phép Phương pháp tin c y ñ phát hi n truy nh p trái phép T đ ng hóa cao Giá thành h Khơng phát hi n kho ng th i gian Luôn ph i c p nh t s d li u tham chi u 29 Qt Virus M c đích: b o v h th ng kh i b lây nhi m phá ho i c a virus Hai lo i ph n m m chính: – Cài đ t server Trên mail server ho c tr m (proxy…) B o v c a ngõ vào C p nh t virus database thu n l i – Cài ñ t máy tr m ð c ñi m: thư ng qt tồn b h th ng (file, đĩa, website ngư i dùng truy nh p) ðòi h i ph i ñư c quan tâm nhi u c a ngư i dùng C hai lo i đ u có th ñư c t ñ ng hóa có hi u qu cao, giá thành h p lí War Dialing Ngăn ch n nh ng modem không xác th c quay s t i h th ng Chương trình quay s có th quay t đ ng đ dị tìm c ng vào h th ng Policy: h n ch s ñi n tho i truy nh p cho t ng thành viên Phương pháp địi h i nhi u th i gian 30 Quét LAN không dây Liên k t b ng tín hi u khơng dùng dây d n -> thu n ti n cho k t n i ñ ng th i t o nhi u l h ng m i Hacker có th t n cơng vào m ng v i máy tính xách tay có chu n khơng dây Chu n thư ng dùng 802.11b có nhi u h n ch v b o m t Chính sách b o đ m an tồn: – – – D a n n ph n c ng chu n c th Vi c c u hình m ng ph i ch t ch bí m t G b c ng vào không c n thi t Ki m th thâm nh p Dùng kĩ thu t ñ i phương s d ng Xác ñ nh c th l h ng m c ñ nh hư ng c a chúng Chu trình: 31 Ki m th thâm nh p (Cont) Các lo i l h ng có th đư c phát hi n: – – – – – – Thi u sót c a nhân h th ng Tràn b ñ m Các liên k t ñư ng d n T n công b miêu t file Quy n truy nh p file thư m c Trojan So sánh phương pháp Ki u quét ði m m nh Quét m ng • nhanh so v i qt m y u • hi u qu cho qt tồn m ng • nhi u chương trình ph n m m mi n phí • tính t đ ng hóa cao • giá thành h Qt m y u • có th nhanh, tùy thu c vào s m đư c qt • m t s ph n m m mi n phí • t đ ng cao • ch đư c m y u c th • thư ng đưa ñư c g i ý gi i quy t ñi m y u • giá thành cao cho ph n m m t t cho t i free • d v n hành ði m y u • khơng ch đư c m y u c th • thư ng đư c dùng m đ u cho ki m th thâm nh p • địi h i ph i có ý ki n chun mơn ñ ñánh giá k t q a • nhiên t l th t b i cao • chi m tìa ngun l n t i m qt • khơng có tính n cao (d b phát hi n b i ngư i s d ng, tư ng l a, IDS) • có th tr nên nguy hi m tay nh ng ngư i hi u bi t • thư ng khơng phát hi n đư c m y u m i nh t • ch ch ñư c ñi m y u b m t c a h th ng 32 So sánh (Cont) Ki m th thâm nh p • S d ng kĩ thu t th c t mà k t n cơng s d ng •Ch đư c m y u • Tìm hi u sâu v ñi m y u, chúng có th đư c s d ng th đ t n cơng vào h th ng • Cho th y r ng m y u khơng ch lí thuy t • Cung c p b ng ch ng cho v n ñ b o m t • ðịi h i nhi u ngư i có kh chun mơn cao • T n r t nhi u cơng s c • Ch m, ñi m ki m th có th ph i ng ng làm vi c th i gian dài • Khơng ph i t t c host đ u ñư c th nghi m (do t n th i gian) •Nguy hi m n u đư c th c hi n b i nh ng ngư i khơng có chun mơn • Các cơng c kĩ thu t có th trái lu t • Giá thành đ t ñ 33 ... ch an toàn an ninh Các d ng t n cơng Ba khía c nh an tồn an ninh thông tin: – – – T n công vào an ninh thơng tin Các ch an tồn an ninh Các d ch v an tồn an ninh thơng tin D ch v ch an toàn an ninh. .. sàng ( availability ) D ch v ch an toàn an ninh Các d ng t n cơng Các ch an tồn an ninh – Không t n t i m t ch nh t; – S d ng k thu t m t mã D ch v ch an toàn an ninh Các d ng t n công Các d ng... tồn; Nh ng thơng tin m t đ t đư c đ an tồn thích h p Các mơ hình an tồn m ng h th ng Mơ hình an tồn an ninh h th ng – – – Truy nh p c a hacker; Các l h ng an ninh h th ng; Các ti n trình ngo i