An toàn và an ninh thông tin

Mối đe dọa chủ động Gián đoạn truyền tin tính sẵn sàng Giả mạo thông tin tính xác thực Sửa đổi nội dung tính toàn vẹn... – ðảm bảo tính riêng tư của thông tin: Bảo vệ dữ liệu ñược tru

An toàn và An ninh

Thông tin

Nguy ễ n Linh Giang

B ộ môn Truy ề n thông

và M ạ ng máy tính

I. Nh ậ p môn An toàn thông tin

III. Các h ệ m ậ t khóa công khai

A và B

Nh ậ p môn

Trao ñổ i thông ñ i ệ p :

Danh sách giả mạo

– Sự phức tạp trong bài toán Bảo mật liên mạng:

Không t ồ n t ạ i ph ươ ng pháp thích h ợ p cho m ọ i tr ườ ng

h ợ p

Các c ơ ch ế b ả o m ậ t luôn ñ i ñ ôi v ớ i các bi ệ n pháp ñố i phó

L ự a ch ọ n nh ữ ng gi ả i pháp thích h ợ p v ớ i t ừ ng ng ữ c ả nh

s ử d ụ ng

D ị ch v ụ và c ơ ch ế an toàn an ninh

C ác d ạ ng t ấ n công

Ba khía c ạ nh an toàn an ninh thông tin:

– Tấn công vào an ninh thông tin

– Các cơ chế an toàn an ninh

– Các dịch vụ an toàn an ninh thông tin

– Phân loại các dịch vụ an toàn an ninh:

Các c ơ ch ế an toàn an ninh

– Không tồn tại một cơ chế duy nhất;

– Sử dụng các k ỹ thu ậ t m ậ t mã

D ị ch v ụ và c ơ ch ế an toàn an ninh Các d ạ ng t ấ n công

Các d ạ ng t ấ n công vào h ệ th ố ng

Các d ạ ng t ấ n công vào h ệ th ố ng máy tính và m ạ ng :

– Gián ñ o ạ n truy ề n tin ( interruption ):

Nguån th«ng tin N¬i nhËn th«ng tin

Luång th«ng tin th«ng

th−êng

Luång th«ng tin bÞ gi¸n ®o¹n

Luồng thông tin bị sửa đổi

– Gi ả m ạ o thông tin (

fabrication ).

Luång th«ng tin bÞ gi¶ m¹o

Các d ạ ng t ấ n công vào h ệ th ố ng

– Dạng tấn công thụ ñộng rất khó bị phát hiện vìkhông làm thay ñổi dữ liệu.

– Với dạng tấn công thụ ñộng, nhấn mạnh vấn ñề

ngăn chặn hơn là vấn ñề phát hiện

Các d ạ ng t ấ n công vào h ệ th ố ng

Cỏc d ạ ng t ấ n cụng vào h ệ th ố ng

Dạng tấn cụng chủ ủộng

– D ạ ng t ấ n cụng ch ủ ủộ ng bao g ồ m : s ử a cỏc dũng d ữ li ệ u , ủư a

nh ữ ng d ữ li ệ u gi ả, gi ả danh , phỏt l ạ i , thay ủổ i thụng ủ i ệ p , ph ủ

nh ậ n d ị ch v ụ. Mối đe dọa chủ động

Gián đoạn truyền tin ( tính sẵn sàng)

Giả mạo thông tin ( tính xác thực) Sửa đổi nội dung

( tính toàn vẹn)

Gi ả danh ( masquerade ): khi ñố i ph ươ ng gi ả m ạ o m ộ t

ñố i t ượ ng ñượ c u ỷ quy ề n

Phát l ạ i ( replay ): d ạ ng t ấ n công khi ñố i ph ươ ng ch ặ n

b ắ t các ñơ n v ị d ữ li ệ u và phát l ạ i chúng t ạ o nên các hi ệ u

ứ ng không ñượ c u ỷ quy ề n ;

Các d ạ ng t ấ n công vào h ệ th ố ng

Thay ñổ i thông ñ i ệ p ( modification of message ): m ộ t

– Dạng tấn công chủ ñộng rất khó có thể ngăn chặntuyệt ñối ðiều ñó yêu cầu phải bảo vệ vật lý mọi

ñường truyền thông tại mọi thời ñiểm

– Mục tiêu an toàn: phát hiện và phục hồi lại thôngtin từ mọi trường hợp bị phá huỷ và làm trễ

Các d ạ ng t ấ n công vào h ệ th ố ng

Các d ị ch v ụ an toàn an ninh

ðả m b ả o tính riêng t ư ( Confidentiality ).

– ðảm bảo tính riêng tư của thông tin: Bảo vệ dữ liệu

ñược truyền tải khỏi các tấn công thụ ñộng

– Tương ứng với hình thức phát hiện nội dung thông ñiệp

( release of message content ) có một vài phương pháp

B ả o v ệ các thông ñ i ệ p ñơ n l ẻ ho ặ c m ộ t s ố tr ườ ng ñơ n l ẻ c ủ a thông ñ i ệ p

– Không th ự c s ự h ữ u ích;

– Trong nhi ề u trườ ng h ợ p khá ph ứ c t ạ p;

– Yêu c ầ u chi phí l ớ n khi th ự c hi ệ n.

– ðả m b ả o tính riêng t ư : b ả o v ệ lu ồ ng thông tin trao ñổ i kh ỏ i các thao tác phân tích

Yêu c ầ u: phía t ấ n công không th ể phát hi ệ n ñượ c các ñặ c

ñ i ể m c ủ a quá trình truy ề n tin:

– Ngu ồ n và ñ ích c ủ a thông tin;

– T ầ n su ấ t, ñộ dài;

– Các thông s ố khác c ủ a lu ồ ng thông tin

Các d ị ch v ụ an toàn an ninh

C ác thông báo , báo hi ệ u: d ị ch v ụ xác th ự c:

– ðả m b ả o cho bên nh ậ n r ằ ng các thông ñ i ệ p ñượ c ñư a ra t ừ nh ữ ng ngu ồ n ñ áng tin c ậ y

Các d ị ch v ụ an toàn an ninh

– ðối với những liên kết trực tuyến, có hai khía cạnh

cần phải chú ý tới:

T ạ i th ờ i ñ i ể m kh ở i t ạ o k ế t n ố i , d ị ch v ụ xác th ự c ph ả i hai

th ự c th ể tham gia vào trao ñổ i thông tin ph ả i ñượ c ủ y quy ề n

D ị ch v ụ c ầ n kh ẳ ng ñị nh r ằ ng k ế t n ố i không b ị can thi ệ p

b ở i m ộ t bên th ứ ba Trong ñ ó bên th ứ ba này có th ể gi ả

m ạ o m ộ t trong hai bên ñượ c ủ y quy ề n ñể có th ể tham giâ vào quá trình truy ề n tin và thu nh ậ n các thông ñ i ệ p

Các d ị ch v ụ an toàn an ninh

ðả m b ả o tính toàn v ẹ n ( Integrity ).

– ðảm bảo tính toàn vẹn cũng có thể áp dụng cho luồngthông ñiệp, một thông ñiệp hoặc một số trường ñược

lựa chọn của thông ñiệp

– Phương pháp hữu ích nhất là trực tiếp bảo vệ luồngthông ñiệp

– ðảm bảo tính toàn vẹn:

D ị ch v ụ b ả o ñả m tính toàn v ẹ n d ữ li ệ u h ướ ng liên k ế t;

D ị ch v ụ b ả o ñả m tính toàn v ẹ n h ướ ng không liên k ế t.

Các d ị ch v ụ an toàn an ninh

– Dịch vụ bảo ñảm tính toàn vẹn dữ liệu hướng liên

kết:

Tác ñộ ng lên lu ồ ng thông ñ i ệ p và ñả m b ả o r ằ ng thông

ñ i ệ p ñượ c nh ậ n hoàn toàn gi ố ng khi ñượ c g ử i , không b ị

sao chép , không b ị s ử a ñổ i , thêm b ớ t

Các d ữ li ệ u b ị phá hu ỷ c ũ ng ph ả i ñượ c khôi ph ụ c b ằ ng

d ị ch v ụ này

D ị ch v ụ b ả o ñả m tính toàn v ẹ n d ữ li ệ u h ướ ng liên k ế t x ử

lý các v ấ n ñề liên quan t ớ i s ự s ử a ñổ i c ủ a lu ồ ng các thông ñ i ệ p và ch ố i b ỏ d ị ch v ụ.

Các d ị ch v ụ an toàn an ninh

– Dịch vụ bảo ñảm tính toàn vẹn hướng không liên

D ị ch v ụ ch ố ng ph ủ nh ậ n ( nonrepudiation ).

– Dịch vụ chống phủ nhận ngăn chặn người nhận và

người gửi từ chối thông ñiệp ñược truyền tải

– Khi thông ñiệp ñược gửi ñi, người nhận có thể khẳng

ñịnh ñược rằng thông ñiệp ñích thực ñược gửi tới từ

người ñược uỷ quyền

– Khi thông ñiệp ñược nhận, người gửi có thể khẳng

ñịnh ñược rằng thông ñiệp ñích thực tới ñích

Các d ị ch v ụ an toàn an ninh

D ị ch v ụ ki ể m soát truy nh ậ p

– Dịch vụ kiểm soát truy nhập cung cấp khả năng

giới hạn và kiểm soát các truy nhập tới các máy

chủ hoặc các ứng dụng thông qua ñường truyềntin

– ðể ñạt ñược sự kiểm soát này, mỗi ñối tượng khitruy nhập vào mạng phải ñược nhận biết hoặc

ñược xác thực, sao cho quyền truy cập sẽ ñược

gắn với từng cá nhân

Các d ị ch v ụ an toàn an ninh

Qu¸ tr×nh truyÒn tin ®−îc

b¶o mËt

Qu¸ tr×nh truyÒn tin ®−îc

b¶o mËt Kªnh truyÒn tin

– Tất cả các kỹ thuật ñảm bảo an toàn hệ thống truyền tin

ñều có hai thành phần:

Quá trình truy ề n t ả i có b ả o m ậ t thông tin ñượ c g ử i

– Ví d ụ: m ậ t mã thông ñ i ệ p s ẽ làm cho k ẻ t ấ n công không th ể ñọ c

ñượ c thông ñ i ệ p

– Thêm vào thông ñ i ệ p nh ữ ng thông tin ñượ c t ổ ng h ợ p t ừ n ộ i dung thông ñ i ệ p Các thông tin này có tác d ụ ng xác ñị nh ng ườ i g ử i

M ộ t s ố thông tin m ậ t s ẽ ñượ c chia s ẻ gi ữ a hai bên truy ề n tin

– Các thông tin này ñượ c coi là bí m ậ t v ớ i ñố i ph ươ ng

– Ví d ụ : khóa m ậ t mã ñượ c dùng k ế t h ợ p v ớ i quá trình truy ề n ñể mã hóa thông ñ i ệ p khi g ử i và gi ả i mã thông ñ i ệ p khi nh ậ n

h ệ th ố ng

– Bên thứ ba ñược ủy quyền: trong nhiều trường

hợp, cần thiết cho quá trình truyền tin mật:

Có trách nhi ệ m phân ph ố i nh ữ ng thông tin m ậ t gi ữ a hai bên truy ề n tin;

Gi ữ cho các thông tin trao ñổ i v ớ i các bên ñượ c bí m ậ t

Các thao tác c ơ b ả n thi ế t k ế m ộ t h ệ th ố ng an ninh:

– Thiết kế các thuật toán ñể thực hiện quá trình

truyền tin an toàn;

Các thu ậ t toán này ph ả i ñả m b ả o: t ấ n công không làm m ấ t

kh ả n ă ng an toàn c ủ a chúng

– Tạo ra những thông tin mật sẽ ñược xử lý bằng

thuật toán trên

h ệ th ố ng

– Phát triển những phương pháp ñể phân phối vàchia sẻ các thông tin mật.

– ðặt ra giao thức trao ñổi:

Cho phép hai bên truy ề n tin trao ñổ i thông tin s ử d ụ ng

nh ữ ng thu ậ t toán an toàn;

Nh ữ ng thông tin m ậ t ñạ t ñượ c ñộ an toàn thích h ợ p.

h ệ th ố ng

Mô hình an toàn an ninh h ệ th ố ng

– Truy nhập của các hacker;

– Các lỗ hổng an ninh hệ thống;

– Các tiến trình ngoại lai:

Các ti ế n trình truy c ậ p t ớ i thông tin : làm phá h ủ y , s ử a

ñổ i thông tin không ñượ c phép

Các mô hình an toàn m ạ ng và

h ệ th ố ng

C¸c tµi nguyªn cña hÖ thèng: D÷ liÖu; C¸c qu¸ tr×nh ,øng dông; C¸c phÇn mÒm;

§èi ph−¬ng

M« h×nh An ninh truy nhËp hÖ thèng M¹ng

Kªnh truy nhËp

Cæng b¶o vÖ Con ng−êi

PhÇn mÒm

Các l ỗ h ổ ng b ả o m ậ t

Quét l ỗ h ổ ng b ả o m ậ t

An ninh h ệ th ố ng

L ỗ h ổ ng b ả o m ậ t

Khái ni ệ m l ỗ h ổ ng b ả o m ậ t

Phân lo ạ i l ỗ h ổ ng b ả o m ậ t

– Lỗ hổng từ chối dịch vụ

– Lỗ hổng cho phép người dùng bên trong mạng

với quyền hạn chế có thể tăng quyền mà không

cần xác thực

– Lỗ hổng cho phép những người không ñược ủy

quyền có thể xâm nhập từ xa không xác thực

L ỗ h ổ ng t ă ng quy ề n truy nh ậ p không c ầ n xác th ự c.

L ỗ h ổ ng cho phép xâm nh ậ p t ừ xa không xác th ự c

Là lỗi chủ quan của người quản trị hệ thống hay

người dùng

Do không thận trọng, thiếu kinh nghiệm, và khôngquan tâm ñến vấn ñề bảo mật

Một số những cấu hình thiếu kinh nghiệm :

– Tài kho ả n có password r ỗ ng

– Tài kho ả n m ặ c ñị nh

– Không có h ệ th ố ng b ả o v ệ nh ư firewall, IDS, proxy

– Ch ạ y nh ữ ng d ị ch v ụ không c ầ n thi ế t mà không an toàn : SNMP, pcAnywhere,VNC , …

M ụ c ñ ích c ủ a quét l ỗ h ổ ng

Phát hi ệ n các l ỗ h ổ ng b ả o m ậ t c ủ a h ệ th ố ng

Phát hi ệ n các nghi v ấ n v ề b ả o m ậ t ñể ng ă n

ch ặ n

Các ph ươ ng pháp, k ỹ thu ậ t quét l ỗ

Quét m ạ ng

Ki ể m tra s ự t ồ n t ạ i c ủ a h ệ th ố ng ñ ích

Quét c ổ ng

Dò h ệ ñ i ề u hành

Quét ñ i ể m y ế u h ệ th ố ng

Li ệ t kê thông tin

Ki ể m tra an toàn m ậ t kh ẩ u

Quét ñ i ể m y ế u

Li ệ t kê thông tin

– Xâm nhập hệ thống, tạo các vấn tin trực tiếp

– Nhằm thu thập các thông tin về

Dùng chung, tài nguyên m ạ ng

Tài kho ả n ng ườ i dùng và nhóm ng ườ i dùng

Ứ ng d ụ ng và banner

– Ví dụ về liệt kê thông tin trong Windows

– Ví dụ về liệt kê thông tin trong Unix/Linux

Ki ể m soát log file

Ghi lại xác ñịnh các thao tác trong hệ thống

Cung cấp các thông tin có ý nghĩa cao

Áp dụng cho tất cả các nguồn cho phép ghi lại hoạt

ñộng trên nó

Kiểm tra tính toàn vẹn file

Các thông tin về thao tác file ñược lưu trữ trong cơ

Không phát hiện khoảng thời gian

Luôn phải cập nhật cơ sở dữ liệu tham chiếu

Quét Virus

Mục ñích: bảo vệ hệ thống khỏi bị lây nhiễm và phá

hoại của virus

Hai loại phần mềm chính:

– Cài ñặ t trên server

Trên mail server ho ặ c tr ạ m chính (proxy…)

ð òi h ỏ i ph ả i ñượ c quan tâm nhi ề u c ủ a ng ườ i dùng

Cả hai loại ñều có thể ñược tự ñộng hóa và có hiệu

quả cao, giá thành hợp lí

Quét LAN không dây

Liên kết bằng tín hiệu không dùng dây dẫn -> thuận

– T ấ n công b ộ miêu t ả file

– Quy ề n truy nh ậ p file và th ư m ụ c

– Trojan

So sánh các ph ươ ng pháp

• tuy nhiên t ỉ l ệ th ấ t b ạ i cao

• chi ế m tìa nguyên l ớ n t ạ i ñ i ể m quét

• không có tính ẩ n cao (d ễ b ị phát

hi ệ n b ở i ng ườ i s ử d ụ ng, t ườ ng l ử a, IDS)

• có th ể tr ở nên nguy hi ể m trong tay

•Chỉ ra ñược các ñiểm yếu

• Tìm hiểu sâu hơn về ñiểm yếu, chúng có thể ñược sử dụng như thế nào ñể tấn công vào hệ thống

• Cho thấy rằng các ñiểm yếu không chỉ là trên lí thuyết

• Cung cấp bằng chứng cho vấn ñề bảo mật

Kiểm thử

thâm nhập