giáo trình an ninh mạng - huỳnh thanh hòa

 b Xác định một chính sách của hệ thống bảo mật phù hợp với đặc điểm của hoạt động kinh doanh, việc tổ chức, vị trí địa lý, tài sản và công nghệ mà:  1 Bao gồm cơ cấu cho việc thiết lậ

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

AN NINH MẠNG

(Dùng cho sinh viên hệ đào tạo đại học từ xa)

Lưu hành nội bộ

2008

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

AN NINH MẠNG

Biên soạn : HUỲNH THANH HÒA

Tổng quan về an toàn bảo mật.

 An toàn hệ thống thông tin là gì ?

 Mục tiêu bảo vệ hệ thống thông tin

 Các yêu cầu an toàn bảo mật hệ thốngthông tin : có 4 yêu cầu chính

 Đảm bảo tính tin cậy(Confidentiality ): Thông tin không thể bị truy nhập tráiphép bởi những người không có thẩmquyền

 Đảm bảo tính nguyên vẹn(Integrity ): Thông tin không thể bị sửa đổi, bị làmgiả bởi những người không có thẩm

quyền

 Các nguyên tắc cơ bản khi thiết kế cácgiải pháp bảo vệ hệ thống thông tin

 Các bước xây dựng "chương trình bảo

vệ thông tin" : có 6 bước

 Xây dựng chính sách an toàn thông tin

Ví dụ: một chính sách ATTT

Phân tích - đánh giá rủi ro

 Các mối đe doạ (Threats)

 Các điểm yếu (Vulnerabilites)

 Các rủi ro (Risk)

Hiện trạng an toàn bảo mật.

 Nhận thức và đầu tư cho Security

Mục tiêu và nguồn gốc của tấn công

Thiệt hại.

 Tính trung bình số tiền thiệt hại của các tổ chức, doanh nghiệp và các dịch vụ được thống kê trong bảng dưới đây:

 Tổng số tiền thiệt hại hàng năm của các

tổ chức doanh nghiệp được thống kê

trong bảng sau:

Các kiểu tấn công và thiệt hại

 Denial of Service

 Virus

 Unauthorized insider access

Các công nghệ được lựa chọn

 Bức tường lửa (Firewall)

 Phòng chống virus

 Bảo vệ vật lý

 hệ thống phát hiện xâm nhập (IDS)

* Mô Hình Bảo Mật

THANKS

TIÊU CHUẨN AN TOÀN MẠNG

 An toàn thông tin là các biện pháp nhằm đảm bảo tính bí mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của

thông tin

 ISO 17799: Mục tiêu của BS7799 / ISO 17799

là “tạo nền móng cho sự phát triển các tiêu

chuẩn về ATTT và các biện pháp quản lý

ATTT hiệu quả trong một tổ chức , đồng thời tạo ra sự tin cậy trong các giao dịch liên tổ

chức”

 ISO 17799 nhằm để thiết lập hệ thống quản

lý bảo mật thông tin, gồm các bước như

 b) Xác định một chính sách của hệ thống bảo mật phù hợp với đặc điểm của hoạt động

kinh doanh, việc tổ chức, vị trí địa lý, tài sản

và công nghệ mà:

 1) Bao gồm cơ cấu cho việc thiết lập các mục tiêu và xây dựng ý thức chung trong định hướng và các nguyên tắc hành động

về bảo mật thông tin

 2) Quan tâm đến các hoạt động kinh doanh

và các yêu cầu của luật hoặc pháp lý, và các bổn phận bảo mật thõa thuận

 3) Sắp xếp thực hiện việc thiết lập và duy trì

hệ thống ISMS trong chiến lược của tổ chức

về việc quản lý các rủi ro

 4) Thiết lập tiêu chuẩn để đánh giá các rủi ro

 5) Được duyệt bởi lãnh đạo

 c) Xác định cách thức đánh giá rủi ro của tổ

chức

 1) Xác định phương pháp đánh giá rủi ro

phù hợp với hệ thống mạng, và những thông tin của hoạt động kinh doanh đã xác định,

các yêu cầu của luật và pháp chế

 2) Xây dựng tiêu chuẩn chấp nhận các rủi ro

và xác định các mức độ chấp nhận

 d) Xác định các rủi ro

 1) Xác định các tài sản thuộc phạm vi của hệ

thống mạng và các chủ nhân của những tài sản này

 2) Xác định các rủi ro cho các tài sản đó

 3) Xác định các yếu điểm mà có thể bị khai thác hoặc lợi dụng bởi các mối đe dọa

 4) Xác định các ảnh hưởng hoặc tác động làm mất tính bí mật, toàn vẹn và sẳn có mà có thể có

ở các tài sản này

 e) Phân tích và đánh giá các rủi ro

và do các ảnh hưởng liên quan đến các tài sản này, và do việc áp dụng các

biện pháp kiểm soát hiện hành

 3) Ước lượng các mức độ rủi ro

 4) Định rõ xem coi các rủi ro có thể

chấp nhận được hay cần thiết phải có

xử lý bằng cách sử dụng các tiêu chuẩn chấp nhận rủi ro đã được lập trong mục

c – 2

 f) Xác định và đánh giá các phương án xử lý các rủi ro

 1) Áp dụng các biện pháp kiểm soát thích hợp

 2) Chủ tâm và một cách khách quan chấp nhận các rủi ro, với điều kiện chúng thõa mãn một cách rõ ràng các chính sách của tổchức và các chuẩn mực chấp nhận rủi ro

 3) Tránh các rủi ro

 4) Chuyển các công việc rủi ro liên đới cho các tổ chức/cá nhân khác như nhàbảo hiểm, nhà cung cấp

 g) Chọn các mục tiêu kiểm soát và các biện pháp kiểm soát để xử lý các rủi ro

 h) Thông qua lãnh đạo các đề suất về các rủi

ro còn lại sau xử lý

 i) Được phép của lãnh đạo để áp dụng và vận hành hệ thống quản lý bảo mật thông tin

 3) Các ngoại lệ của bất kỳ các mục tiêu

kiểm soát và các biện pháp kiểm soát và

minh chứng cho chúng

 Áp dụng và vận hành hệ thống mạng theo

ISO 17799 gồm các bước như sau:

 a) Trình bày một kế hoạch xử lý rủi ro rõ ràng để xác định sự phù hợp của các hành động của lãnh đạo, các nguồn lực, trách nhiệm và ưu tiên của việc quản lý các rủi

ro bảo mật thông tin

 b) Áp dụng kế hoạch xử lý rủi ro để mà đạt được các mục tiêu kiểm soát đã xác định, trong đó bao gồm việc xem xét chi phí (funding) và sự phân công vai trò vàtrách nhiệm

 c) Áp dụng các biện pháp kiểm soát được lựa chọn nhằm đạt được các mục tiêu

kiểm soát

 d) Xác định cách thức đo lường hiệu quảcủa các biện pháp kiểm soát đã chọn hoặc nhóm các kiểm soát và xác định cách

thức sử dụng các cách đo này để kiểm

soát đánh giá một cách hiệu quả để cho ra các kết quả có thể so sánh và tái thực

nghiệm

 e) Đào tạo áp dụng và các chương trình

nhận thức

 f) Quản lý hoạt động của hệ thống mạng

 g) Quản lý nguồn lực cho hệ thống mạng

 h) Áp dụng các thủ tục quy trình và các biện pháp kiểm soát có thể khác để kích hoạt

việc phát hiện kịp thời các sự kiện bảo mật

và đối phó với các sự cố bảo mật

 Giám sát và tái xem xét hệ thống mạng theo

ISO 17799, gồm các bước sau:

 a) Thực hiện giám sát và xem xét các thủ tục

và các biện pháp kiểm soát khác để :

 1) Phát hiện kịp thời sai lỗi ngay trong các kết quả của quá trình xử lý

 2) Nhận biết kịp thời việc thử nghiệm và đột nhập thành công các lỗ hỗng và sự cốbảo mật

 3) Để cho lãnh đạo xác định được hoạt động bảo mật ủy thác cho người hay vận dụng

công nghệ thông tin đang hoạt động có đạt như mong đợi không

 4) Giúp cho việc phát hiện sự kiện bảo mật

và để ngăn ngừa sự cố bảo mật bằng việc sửdụng các chỉ số

 5) Xác định các hành động giải quyết lỗ

hỗng bảo mật có hiệu quả không

 b) Thực hiện việc xem xét định kỳ hiệu quả của hệ thống ISMS (Bao gồm việc đạt được chính sách

bảo mật và các mục tiêu, và xem xét các biện pháp kiểm soát bảo mật) quan tâm đến các kết quả của việc đánh giá bảo mật, các sự cố, các kết quả đo

lường hiệu quả, các kiến nghị và phản hồi từ các bên quan tâm.

 c) Đo lường hiệu quả của các biện pháp kiểm soát

để xác minh là các yêu cầu bảo mật đã được thõa mãn.

 d) Xem xét các việc đánh giá rủi ro ở các

giai đoạn đã hoạch định và xem xét các rủi

ro còn lại và các mức độ chấp nhận rủi ro đã xác định, quan tâm đến các thay đổi đến

 1) Cơ cấu tổ chức

 2) Công nghệ

 3) Mục tiêu kinh doanh và các quá trình

 4) Các mối đe dọa đã xác định

 5) Hiệu quã của việc áp dụng các kiểm

soát

 6) Các sự kiện bên ngoài, như là luật hay môi trường pháp lý thay đổi, càc bổn phận thõa thuận thay đổi, và hoàn cảnh xã hội thay đổi

 e) Thực hiện đánh giá nội bộ hệ thống

ISMS theo chu kỳ đã hoạch định

 f) Thực hiện việc xem xét lãnh đạo cho

hệ thống mạng một cách định kỳ nhằm đảm bảo phạm vi áp dụng vẫn còn đầy đủ

và các cải tiến trong quá trình của hệ

thống mạng được nhận biết

 g) Cập nhật các kế hoạch bảo mật nhằm quan tâm các phát hiện của hoạt động giám sát và xem xét

 h) Hồ sơ của các hành động và sự kiện

mà có thể ảnh hưởng đến hiệu quả hoặc năng lực của hệ thống mạng

 Duy trì và cải tiến hệ thống mạng theo ISO

17799, gồm các bước sau:

 a) Áp dụng các cải tiến đã nhận biết trong

hệ thống mạng

 b) Thực hiện các hành động khắc phục vàphòng ngừa Áp dụng các bài học kinh

nghiệm từ các sự cố bảo mật của các tổ

chức khác và của chính tổ chức

 c) Trao đổi các hành động và các cải tiến cho tất cả các bên quan tâm với mức độchi tiết phù hợp với hoàn cảnh và, khi

thích hợp, thống nhất cách thức thực

hiện

 d) Đảm bảo rằng các cải tiến đạt được

mục tiêu mong muốn cho chúng

 Vài ví dụ về rủi ro mất an toàn thông tin :

 Bị Virus xâm nhập: hỏng dữ liệu, ngừng hệ

thống, …

 Bị Trojan, Spyware: ăn cắp thông tin, cài đặt

cổng hậu, …

 Bị đánh cắp mật khẩu: dẫn đến bị giả mạo để

truy nhập thông tin

 Bị Hacker (Tin tặc) xâm nhập qua mạng: để phá

hoại hệ thống, lấy cắp hay sửa đổi thông tin, …

 Bị “nghe trộm” (sniffer) thông tin khi truyền

qua mạng: lộ bí mật kinh doanh (giá bỏ thầu, giá mua hàng…), bị sửa sai lệch thông tin,…

 Bị thông tin giả mạo gửi đến, dẫn đến những

quyết định sai gây thiệt hại nghiêm trọng (vi phạm tính chống từ chối): PHISHING, …

 Bị sửa đổi trang Web, gây mất uy tín với

KH, bạn hàng, …

 Bị người dùng bên trong làm lộ thông tin

cho đối thủ, …(information leakage)

 Bị người dùng bên trong phá hoại, …

 Bị lỗ hổng, back-door (vô tình hay cố ý) trong các ứng dụng thuê công ty bên ngoài

phát triển ……….

 Bị tấn công từ chối dịch vụ: gây ngừng trệ

hệ thống (mất tính sẵn sàng)

THANKS

 Lợi ích của mạng riêng ảo

 Mở rộng vùng địa lý có thể kết nối đượcTăng cường bảo mật cho hệ thống mạng

 Giảm chi phí vận hành so với mạng

WAN truyền thống

 Giảm thời gian và chi phí truyền dữ liệuđến người dùng ở xa

VPN (Client to Gateway)

 Máy 1 : (card Cross)

 Địa chỉ IP : 172.16.1.2

 Subnet Mask : 255.255.0.0

 Default Gateway : 172.16.1.1

 Máy 3 : (card Lan)

 Địa chỉ IP : 192.168.1.2

 Subnet Mask : 255.255.255.0

 Máy 2 :

 B1: Start → Programs →

Administrative Tools → Routing and Remote Access → tại cửa sổ Routing and Remote Access → click chuột phải lên máy 2 , chọn Configuration and

Enable Routing and Remote Access → tại cửa sổ Welcome to the Routing and Remote Access Server setup wizard,

chọn Next →

→ tại cửa sổ Configuration , đánh dấu

chọn Remote Access (Dial-up or VPN)

→ Next → tại cửa sổ Remote Access , đánh dấu chọn vào ô VPN → Next → tại cửa sổ VPN Connection, chọn card Lan , bỏ dấu chọn tại ô Enable security

on the selected interface by setting up static packet filters → Next →

→ tại cửa sổ IP Address Assignment,

chọn ô From a specified range of

addresses → tại cửa sổ Address Range Assignment, chọn New → tại cửa sổ New Address Range → gõ vào dãy IP như sau :

Start IP address : 172.16.1.200 End IP address : 172.16.1.220

→ tại cửa sổ Managing Multiple Remote Access Servers, đánh dấu chọn ô No, use Routing and Remote Access to

authenticate connection requests →

Next → Finish.

 B2 : Đóng các cửa sổ vào Start → Administrative Tools → Computer

Management → tạo user (user name : h1 ; password : hoa1) và bỏ dấu chọn tại ô User must change password at

next log on → click chuột phải trên

user h1 → Properities → vào tab

Dial-in, trong Remote Access Permission

(Dial-in or VPN) , đánh dấu chọn ô Allow Access → OK

 Máy 3:

 B1 : Click chuột phải trên My Network Places → Properties, chọn Create a new connection → tại cửa sổ Welcome to the New Connection Wizzard, chọn Next → tại cửa sổ Network Connection Type,

đánh dấu chọn ô Connect to the network

at my workplace → Next →

 → tại cửa sổ Network Connection →

đánh dấu chọn Virtual Private Network connection → Next → tại cửa sổ

Connection Name , tại ô Company

Name gõ vào VPIT → Next → tại cửa

sổ VPN Server Selection , gõ địa chỉ IP card Lan của máy 2 (192.168.1.1) vào

ô Host name or IP address → Next →

→ tại cửa sổ Connection Availability,

đánh dấu chọn ô My use only → Next

→ Finish → tại cửa sổ Connect VPIT

→ gõ username : h1 ; password : hoa1

→ connect → sau khi connect thành

công chúng ta có thể ping giữa 2 máy 1

và máy 3

VPN (Gateway to Gateway)

 Máy 4 : (card Cross)

 Địa chỉ IP : 172.16.2.2

 Subnet Mask : 255.255.0.0

 Default Gateway : 172.16.2.1

 Máy 2 :

 B1 : Đóng các cửa sổ vào Start →

Administrative Tools → Computer

Management → tạo user (user name : hanoi ; password : hanoi) và bỏ dấu

chọn tại ô User must change password

at next log on → click chuột phải trên user hanoi → Properities → vào tab

Dial-in, trong Remote Access

Permission

Enable Routing and Remote Access → tại cửa sổ Welcome to the Routing and Remote Access Server setup wizard,

chọn Next →

→ tại cửa sổ Configuration , đánh dấu

chọn ô Custom configuration → Next

→ tại cửa sổ Custom Configuration,

đánh dấu chọn những ô sau : VPN

access ; Demain-dial connections (user for branch office routing) ; LAN

routing → Next → Finish (chọn Yes

khi hệ thống yêu cầu restart service)

→ Trong cửa sổ Routing and Remote Access , click chuột phải trên

Network Interfaces , chọn New

Demand-dial Interface → Tại cửa sổ Welcome chọn Next → tại cửa sổ

Interface Name , gõ “hanoi” vào ô

Interface name → Next →

→ Tại cửa sổ Connection Type , đánh

dấu chọn Connect using virtual private network (VPN) → Next → tại cửa sổ VPN Type → Chọn ô Point to Point

Tunneling Protocol (PPTP) → Next → tại cửa sổ Destination Address , gõ địa chỉ IP card Lan của máy 3

(192.168.1.3) vào ô host name or IP

address → tại cửa sổ Protocol and

Security , để nguyên lựa chọn mặc

định (Route IP Packets on this

interface) → Next → tại cửa sổ

Static Routes for Remote Networks , chọn Add → tại cửa sổ Static

Route , cấu hình như sau :

 User name : saigon

 Domain :

 Password : saigon

 Confirm password : saigon

→ Next → Finish.

 B3 : Tại cửa sổ Routing and Remote Access , click chuột phải lên máy 2 , chọn Properities → chọn tab IP →

Chọn ô Static address pool → Add → Tại cửa sổ New Address Range , gõ vào dãy số IP sau :

 Start IP address : 172.16.1.200

 End IP address : 172.16.1.220

→ OK → OK → tại cửa sổ Routing and Remote Access , click chuột phải lên máy 2 → All Task → Restart

 Máy 3 :

 B1 : Đóng các cửa sổ vào Start →

Administrative Tools → Computer

Management → tạo user (user name :

saigon ; password : saigon) và bỏ dấu chọntại ô User must change password at next log

on → click chuột phải trên user hanoi →

Properities → vào tab Dial-in, trong Remote Access Permission

(Dial-in or VPN) , đánh dấu chọn ô Allow

Access → OK

 B2 : Start → Programs → Administrative

Tools → Routing and Remote Access → tạicửa sổ Routing and Remote Access → click chuột phải lên máy 3 , chọn Configuration and Enable Routing and Remote Access →tại cửa sổ Welcome to the Routing and

Remote Access Server setup wizard, chọn

Next →

→ tại cửa sổ Configuration , đánh dấu

chọn ô Custom configuration → Next

→ tại cửa sổ Custom Configuration,

đánh dấu chọn những ô sau : VPN

access ; Demain-dial connections (user for branch office routing) ; LAN

routing → Next → Finish (chọn Yes

khi hệ thống yêu cầu restart service)

→ Trong cửa sổ Routing and Remote Access , click chuột phải trên

Network Interfaces , chọn New

Demand-dial Interface → Tại cửa sổ Welcome chọn Next → tại cửa sổ

Interface Name , gõ “saigon” vào ô

Interface name → Next →

→ Tại cửa sổ Connection Type , đánh

dấu chọn Connect using virtual private network (VPN) → Next → tại cửa sổ VPN Type → Chọn ô Point to Point

Tunneling Protocol (PPTP) → Next → tại cửa sổ Destination Address , gõ địa chỉ IP card Lan của máy 2

(192.168.1.2) vào ô host name or IP

address → tại cửa sổ Protocol and

 Security , để nguyên lựa chọn mặc định (Route IP Packets on this

interface) → Next → tại cửa sổ

Static Routes for Remote Networks , chọn Add → tại cửa sổ Static

Route , cấu hình như sau :

 User name : hanoi

 Domain :

 Password : hanoi

 Confirm password : hanoi

→ Next → Finish