Giáo trình an toàn thông tin được xây dựng nhằm cung cấp cho người đọc nhữngkiến thức cơ bản về an toàn thông tin, khai thác sử dụng các dịch vụ an toàn trong hệthống thông tin, xây dựng
Trang 1LỜI NÓI ĐẦU
Tầm quan trọng của An ninh truyền thông từ lâu đã được ghi nhận trong quân sự
và trong những lĩnh vực hoạt động xã hội – nơi có thể xuất hiện sự uy hiếp đến Anninh Quốc gia Việc làm chủ an ninh truyền thông và những con số bí mật của nó đượccông nhận như một tác nhân quan trọng đem lại chiến thắng trong rất nhiều cuộc xungđột quân sự từ nhiều thế kỷ qua, trong đó có cả Thế chiến thứ II ở thế kỷ trước Vớikhái niệm này An ninh truyền thông là phương tiện che dấu thông tin và bảo vệ nókhông bị bóp méo hay mất mát trong quá trình truyền tin Việc giải mã các mật mã lànhững phương tiện làm vô hiệu hoá khả năng an ninh của đối phương
Ngày nay hệ thống mạng máy tính đã có những bước phát triển mạnh mẽ, xâmnhập vào rất nhiều lĩnh vực của cuộc sống Với hệ thống mạng Internet, những dịch vụnhư giáo dục từ xa, trao đổi thương mại, giao dịch điện tử, … đã trở thành hiện thực.Tuy nhiên, vì là một hệ thống mạng mở, có phạm vi toàn cầu và không có bất kỳ tổchức nào quản lý nên mạng Internet cũng trở thành môi trường lý tưởng cho các phần
tử xấu thực hiện các hành động phá hoại, đánh cắp thông tin gây tổn hại về kinh tế, uytín của các cơ quan tổ chức và cá nhân tham gia vào hệ thống mạng Vì vậy vấn đềđảm bảo an ninh, an toàn thông tin trên mạng máy tính trở thành một yêu cầu tất yếu
và quan trọng cả ở góc độ quốc gia và quốc tế
Giáo trình an toàn thông tin được xây dựng nhằm cung cấp cho người đọc nhữngkiến thức cơ bản về an toàn thông tin, khai thác sử dụng các dịch vụ an toàn trong hệthống thông tin, xây dựng một số giải pháp nhằm đảm bảo tính an toàn của hệ thống.Nội dung của giáo trình bao gồm:
Chương I: Tổng quan về An toàn thông tin trên mạng máy tính
Đưa ra những vấn đề tổng quan về An ninh, an toàn mạng máy tính; cáchình thức tấn công phổ biến; các dịch vụ an toàn mạng và một số mô hình mạngđảm bảo an toàn
Chương II: Mật mã và An toàn thông tin trên mạng máy tính
Trình bày những kiến thức cơ bản về Mật mã, các giải thuật mã hoá, một sốgiao thức mã hoá đảm bảo an toàn; giải pháp xây dựng mô hình ứng dụng sửdụng lý thuyết mật mã để đảm bảo an toàn thông tin trong quá trình truyền thôngtrên mạng máy tính
Chương III: An toàn Hạ tầng mạng
Xem xét, phân tích, đánh giá một số mô hình mạng phổ biến trong thực tế;
từ đó đưa ra các giải pháp kỹ thuật phù hợp nhằm đảm bảo an ninh an toàn cho hạtầng hệ thống mạng
Chương IV: An toàn ứng dụng mạng
Cung cấp các kiến thức cơ bản về An ninh, an toàn các dịch vụ cơ bản trênmạng máy tính Phân tích, đánh giá các nguy cơ đối với các dịch vụ mạng; từ đó
đề xuất và triển khai các giải pháp đảm bảo An ninh, an toàn
Giáo trình được xây dựng dựa trên các tài liệu tham khảo từ nhiều nguồn khácnhau, đã tổng hợp được khá đầy đủ các nguy cơ mất an toàn của một Hệ thống Thôngtin và các giải pháp để đảm bảo an ninh an toàn Tuy nhiên, có một thực tế là không có
Trang 2một biện pháp bảo vệ an toàn thông tin dữ liệu nào là an toàn tuyệt đối Một hệ thống
dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối Vìvậy người làm công tác đảm bảo an ninh an toàn phải luôn cập nhật và sử dụng kếthợp nhiều biện pháp mới có thể giảm thiểu tối đa rủi ro đối với Hệ thống thông tin củamình
Giáo trình lần đầu tiên được biên soạn chắc chắn không tránh khỏi những sai sót,rất mong nhận được sự góp ý của các đồng nghiệp và bạn đọc
Hà Nội, tháng 11 năm 2010 Tác giả
Trang 3MỤC LỤC
LỜI NÓI ĐẦU 1
MỤC LỤC 3
CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG MÁY TÍNH 5
I Một số vấn đề về An toàn Thông tin trên mạng máy tính 5
1 Thực trạng An ninh mạng ở Việt Nam và trên Thế giới 5
2 Khái niệm An toàn thông tin (ATTT) và một số tiêu chuẩn đảm bảo ATTT trên mạng máy tính 11
II Một số hình thức tấn công mạng phổ biến (Attacks) 14
1 Tấn công thăm dò 15
2 Tấn công truy nhập 24
3 Tấn công từ chối dịch vụ (DoS/DDoS) 32
III Một số mô hình tổng quan đảm bảo An toàn mạng 34
1 Mô hình áp dụng cho trung tâm mạng nhỏ 34
2 Mô hình áp dụng cho trung tâm mạng trung bình 34
3 Mô hình áp dụng cho trung tâm mạng lớn 35
CÂU HỎI ÔN TẬP CHƯƠNG 1 36
CHƯƠNG 2: MẬT MÃ VÀ AN TOÀN THÔNG TIN TRÊN MẠNG 37
I Tổng quan về mật mã 37
1 An toàn thông tin và mật mã 37
2 Các thuật ngữ và khái niệm mật mã cơ bản 37
II Mật mã khoá đối xứng (khóa bí mật) 38
1 Mô hình mật mã khoá đối xứng 39
2 Một số hệ mật khoá đối xứng 39
III Mật mã khoá công khai (bất đối xứng) 42
1 Mô hình mật mã khoá công khai và những nguyên tắc của các hệ mã khoá công khai 43
2 Một số kỹ thuật phân phối khoá công khai 43
3 Hệ mã khoá công khai RSA 47
4 Cơ sở hạ tầng khoá công khai PKI (Public Key Infrastructure) 48
5 Hàm băm và chữ ký số 54
IV Một số giao thức mã hoá 57
1 Giao thức mã hoá tầng 2 mô hình OSI 57
2 Giao thức mã hoá tầng 3 mô hình OSI – IPSec (IP Security) 59
3 Giao thức mã hoá tầng 4 mô hình OSI (SSL và TLS ) 60
4 Giao thức mã hoá tầng 7 mô hình OSI 61
CÂU HỎI ÔN TẬP VÀ BÀI TẬP THỰC HÀNH CHƯƠNG 2 63
CHƯƠNG 3: AN TOÀN HẠ TẦNG MẠNG 65
I Cơ chế dịch địa chỉ (NAT – Network Address Translation) 65
1 Tổng quan về NAT 65
2 Triển khai cài đặt và cấu hình NAT Server 68
II Mạng LAN ảo (VLAN – Virtual LAN) 73
1 Tổng quan về VLAN 74
2 Phân loại VLAN 74
III Mạng riêng ảo (VPN – Virtual Private Network) 75
1 Tổng quan về VPN 76
Trang 42 Giải pháp bảo mật trong VPN 78
3 Triển khai VPN 79
IV Tường lửa (Firewall) 83
1 Tổng quan về Firewall 83
2 Các công nghệ Firewall 85
3 Triển khai Firewall 90
V Phát hiện và ngăn chặn xâm nhập (IDS/IPS – Intrusion Detection System/Intrusion Protection System) 95
1 Tổng quan về phát hiện và phòng chống xâm nhập IDP (Intrusion Detection Prevention) 95
2 Phân loại IDS/IPS 97
3 Một số sản phẩm IDS/IPS 100
VI An toàn mạng không dây 102
1 Tổng quan về mạng không dây 102
2 Một số hình thức tấn công mạng WLAN 104
3 Giải pháp phòng chống 107
CÂU HỎI ÔN TẬP VÀ BÀI TẬP THỰC HÀNH CHƯƠNG 3 113
CHƯƠNG 4: AN TOÀN ỨNG DỤNG MẠNG 115
I Kiểm soát truy nhập mạng 115
1 Điều khiển truy nhập 115
2 Các phương pháp chứng thực (Authentication) 115
3 Các phương pháp cấp quyền (Authorization) 122
4 Giám sát thống kê (Accounting) 122
II An toàn dịch vụ Web 123
1 Tổng quan về an toàn Web 123
2 Một số hình thức tấn công Web và giải pháp phòng chống 126
3 Triển khai giải pháp đảm bảo an toàn Web 139
III An toàn dịch vụ Email 141
1 Tổng quan về an toàn Email 141
2 Một số hình thức tấn công Email 142
3 Triển khai dịch vụ Email đảm bảo an toàn 147
IV Virus và phần mềm gây hại 151
1 Tổng quan về Virus máy tính 151
2 Một số giải pháp phòng chống Virus máy tính 162
CÂU HỎI ÔN TẬP VÀ BÀI TẬP THỰC HÀNH CHƯƠNG 4 166
TÀI LIỆU THAM KHẢO 168
Trang 5CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN THÔNG TIN TRÊN MẠNG MÁY
TÍNH
I Một số vấn đề về An toàn Thông tin trên mạng máy tính
1 Thực trạng An ninh mạng ở Việt Nam và trên Thế giới
Lịch sử của các cuộc tấn công mạng máy tính khởi đầu vào những năm 1950
-1960, bao trùm cả phần cứng lẫn phần mềm và xoay quanh phòng thí nghiệm trí thôngminh nhân tạo tại Viện công nghệ Massachusetts (MIT - Mỹ) Những sinh viên thôngminh với bản chất tò mò, từng xâm nhập hệ thống điện thoại và trung tâm điều hànhcủa câu lạc bộ đường sắt Tech Model, đã bị cuốn hút bởi những chiếc máy tính đồ sộtrong viện Giám đốc của MIT là Marvin Minsky cho phép họ tiếp cận trực tiếp vớinhững cỗ máy này và đây được coi như nền tảng đầu tiên của các hacker tương lai.Các tên tuổi "sừng sỏ" sau này đều bắt nguồn từ đây như Peter Deutsch, Bill Gosper,Richard Greenblatt, Tom Knight và Jerry Sussman
Sau MIT, các trung tâm đào tạo khác ở Mỹ cũng trở thành "đất" nuôi dưỡngnhiều mầm mống hacker như đại học Carnegie Mellon, Stanford Ví dụ, khi phòng thínghiệm trí thông minh nhân tạo Standford, dưới sự "chỉ đạo" của John McCarthy,chứng kiến chiếc máy SAIL tắt ngấm vào năm 1991 sau khi hacker gửi e-mail vớithông điệp "chào tạm biệt" lên Internet như thể chính SAIL gửi lời "trăng trối" tới bạn
bè Thậm chí các trung tâm nghiên cứu có tính thương mại như ATT, Xerox cũng bịbiến thành ngôi nhà riêng của tin tặc với những cái tên như Ed Fredkin, Brian Reid,Jim Gosling, Brian Kernighan, Dennis Ritchie hay Richard Stallman
Khi máy tính trở nên phổ biến khắp toàn cầu, cùng với sự phát triển mạnh mẽ củamạng Internet, các hoạt động phá hoại từ xa tiềm ẩn nhiều nguy cơ hơn Chính quyền
Mỹ phải thiết lập hành lang pháp lý để uốn nắn hành vi của hacker nhằm bảo vệ lợi íchcủa những tổ chức, cá nhân dùng thiết bị này Cuối những năm 1980, họ ban hành đạoluật chống lạm dụng và lừa đảo thông qua máy tính và thành lập trung tâm cứu hộ máytính nhằm phản ứng nhanh trước các hành vi phạm tội Theo luật pháp Mỹ, mọi hành
vi thâm nhập máy tính của người khác mà không được phép sẽ bị khởi tố và phạt tù,phạt tiền, tùy theo mức độ nghiêm trọng Tuy nhiên thế giới mạng đã bùng nổ chóngmặt, hoạt động của các nhóm Hacker càng trở nên phức tạp hơn và khó kiểm soát hơn
do biên giới quốc gia đã bị dỡ bỏ Tin tặc ở nước này có thể tấn công website, lừa đảongười dùng Internet ở nước khác Hàng loạt quốc gia phải xây dựng luật chống tộiphạm tin học của riêng mình Theo đó, nhiều nước yêu cầu hacker tấn công vào máytính hoặc website đặt máy chủ tại nước nào sẽ bị dẫn độ về nước đó để xử lý và chịu
án theo luật của họ
Kể từ đó đến nay, hệ thống mạng máy tính trên thế giới đã phải hứng chịu vô sốcuộc tấn công để lại những hậu quả rất nặng lề mà khó có thể thống kê được một cáchđầy đủ Theo số liệu thống kê của Uỷ ban chịu trách nhiệm về các vấn đề khẩn cấp cácmáy tính mạng Internet (CERT – internet Computer Emergency Response Team), cóthể điểm một số cuộc tấn công sau:
John Draper
Nổi tiếng với tên hiệu “Cap'n Crunch”, John Draper là một trong những con ngườiđầu tiên trên thế giới này được “nhận mệnh danh là hacker” Trong thập niên 70,Draper đã sử dụng một chiếc còi đồ chơi tặng kèm trong hộp ngũ cốc Cap'n Crunch để
Trang 6“hack” vào đường dây điện thoại và thoải mái thực hiện các
cuộc gọi “miễn phí” Draper vô tình nhận ra rằng chiếc còi
tạo ra một âm thanh có tần số giống hệt tần số tín hiệu cuộc
gọi trên đường dây điện thoại Nhờ đó mà anh ta đã có thể
điều khiển cuộc gọi tiếp tục được diễn ra mà người nghe
vẫn cứ tưởng là cuộc gọi đã kết thúc rồi Năm 1972, Draper
bị phát hiện khi hãng điện thoại “nhìn thấy sự bất thường”
trong hóa đơn tiền điện thoại của anh Sau đó Draper bị kết
án 2 tháng tù giam Vụ tấn công của Draper đã khai sinh là
thuật ngữ “Phreaking” Nghĩa của thuật ngữ này trong xã
hội của chúng ta ngày nay là “tấn công vào các hệ thống viễn thông”
Kevin Mitnick
Đầu những năm 1990, Kevin Mitnick, hay còn gọi là
"chúa tể các hacker", đã đột nhập thành công vào hệ thốngmáy tính của các công ty truyền thông và kỹ thuật lớn trên thếgiới như Nokia, Fujitsu, Motorola, Sun Microsystems Mitnick
bị FBI bắt vào năm 1995, sau đó được thả vào năm 2000.Mitnick không thừa nhận những hoạt động của mình là tấncông mà gọi là "một mánh khóe của xã hội"
Kevin Poulsen
Năm 1983, khi còn là một sinh viên Poulsen đã tấn côngvào mạng Arpanet, tiền thân của mạng Internet Anh ta đã pháthiện ra một lỗ hổng trong cấu trúc của mạng này và tạm chiếmquyền điều khiển mạng mở rộng của nước Mỹ
Năm 1990: Khi một đài phát thanh ở khu vực LosAngeles công bố một cuộc thi với giải thưởng dành cho ngườithứ 102 gọi tới đài, Kevin Poulsen đã tấn công vào mạng lướitổng đài của thành phố nhằm làm cho mình trở thành ngườigọi thứ 102 để đoạt giải thưởng Anh ta bị bắt không lâu sau
đó và phải bị phạt 3 năm tù Hiện tại Poulsen là một biên tậpviên có tiếng của trang tin điện tử Wires News
Robert Morris
Năm 1988, sinh viên 23 tuổi mới tốt nghiệp trường ĐHCornell Robert Morris phát tán 99 dòng mã nguồn độc hạiđược biết đến bằng cái tên Sâu Morris (Morris Worm) lâynhiễm và khiến hàng loạt PC ở hàng loạt quốc gia khác nhaungừng hoạt động Mục tiêu của hacker này là đếm số lượng
PC được kết nối vào mạng Internet và qua đó biết được mạngInternet lớn đến như thế nào Hành động này đã khiến Morris
bị bắt vào năm 1989 và trở thành người đầu tiên bị kết án theoLuật lạm dụng máy tính và có hành vi sử dụng máy tính vàomục đích lừa đảo được Quốc hội Mỹ thông qua năm 1986 Ngoài ra Morris còn phảinộp một khoản tiền phạt lên tới 10.000 USD
Trang 7Vladimir Levin
Năm 1994, Vladimir Levin lần đầu tiên trên thế giới thựchiện thành công việc chuyển bất hợp pháp một khoản tiền lớn rakhỏi một ngân hàng có tiếng Levin đã đánh cắp được một loạttài khoản ngân hàng doanh nghiệp lớn ở Mỹ thông qua mạngtruyền dẫn analog (analog wire transfer network) của ngân hàngCitiBank Hacker này đã chuyển tổng cộng 10,7 triệu USD sangmột loạt các tài khoản ở Mỹ, Phần Lan, Hà Lan, Israel và Đức
Ba đồng phạm của Levin đã bị bắt khi đến rút tiền ở các ngânhàng nhưng riêng Levin thì phải đến năm 1995 mới bị các cơquan bảo vệ pháp bắt giữ tại Sân bay Stansted (London, Anh) Năm 1997, Levin bịdẫn độ sang Mỹ, bị kết án 3 năm tù và phải đền bù cho CitiBank một khoản tiền lên tới240.015 USD Về số tiền bị đánh cắp, CitiBank chỉ có thể lấy lại khoảng 400.000USD
80 triệu USD Sau khi bị kết tội, Smith lĩnh án tù 20 tháng và phải làm việc dưới sựgiám sát của FBI nhằm trợ giúp cơ quan này phát hiện ra các loại mã độc mới cũngnhư lần tìm tác giả của chúng
Jonathan James
Cuối tháng 6-1999, Jonathan James hoa mắt khi biết tàiliệu mã nguồn của NASA có thể được bán với giá 1,7 triệuUSD James - khi ấy mới chỉ có 15 tuổi - đã đột nhập thànhcông vào máy tính của NASA nhờ đánh cắp được một mậtkhẩu tài khoản đăng nhập ở Trung tâm vũ trụ Marshall(Alabama, Mỹ) với hi vọng sẽ kiếm được ít tài liệu để bán lấytiền Hậu quả của vụ tấn công là trong tháng 7-1999 NASA đãbuộc phải ngắt kết nối mạng máy tính trong suốt vài tuần lễ.Tài liệu bị đánh cắp là tài liệu liên quan đến kiểm soát môitrường trên trạm vũ trụ như nhiệt độ, độ ẩm… Tròn 16 tuổi,James bị kết án 6 tháng tù giam và phải chấp nhận thời giangiám sát thử thách cho đến khi nào tròn 18 tuổi
MafiaBoy
Tại thời điểm diễn ra vụ tấn công nổi tiếng, Mike Calce chỉ được biết đến bằngcái tên MafiaBoy bởi các cơ quan bảo vệ pháp luật của Canada đã ra lệnh cấm báo giới
Trang 8khác nhau, Calce đã tổ chức một cuộc tấn công từ chối dịch vụ(Denial-of-Service) cực lớn hạ gục liên tiếp website của 10công ty có tên tuổi như Amazon, eBay, E*TRADE, DELL…Không có bất kỳ con số thiệt hại chính thức nào được công bố.Giới phân tích ước tính thiệt hại có thể lên tới 1,7 tỉ đô laCanada (tính theo giá trị hiện nay là vào khoảng 1,6 tỉ USD).Năm 2001, Calce bị đưa ra xét xử và nhận án phạt 8 tháng tùgiam, một năm thử thách, bị hạn chế sử dụng Internet và phảinộp phải một khoản tiền nhỏ
Gary McKinnon
Trong hai năm liên tiếp 2001 và 2002, hacker người Anhnày đã đột nhập vào hệ thống mạng máy tính của Bộ quốcphòng Mỹ, Lầu năm góc, NASA, lực lượng hải quân và khôngquân Mỹ nhằm mục đích tìm kiếm bằng chứng của đĩa bay.Các quan chức tuyên bố thiệt hại của của những vụ tấn côngnày lên tới 700.000 USD Hiện McKinnon đang phải đối mặtvới việc bị dẫn độ sang Mỹ xét xử Nếu bị kết án hacker này
có thể phải nhận án phạt lên tới 70 năm tù
Những năm gần đây, các cuộc lừa đảo và tấn công mạngdiễn ra trên khắp thế giới ngày càng phức tạp và tinh vi hơnvới sự gia tăng của các công cụ tấn công ngày càng mạnh vàyêu cầu sử dụng chúng thì ngày càng giảm Với sự phát triển của những công cụ này,thậm chí những người không hiểu biết nhiều về máy tính và hệ thống mạng cũng cóthể tiến hành được các cuộc tấn công gây ra những hậu quả đáng tiếc
Sự phát triển của các công cụ tấn công mạngTheo báo cáo của tập đoàn Symantec, trong số 12.885 lỗ hổng về mã lệnh (năm2008) thì chỉ có 394 lỗ hổng đã được khắc phục (chiếm 3%), trong đó có 63% các ứngdụng web bị lây nhiễm (năm 2007 là 59%) Trong năm 2008, Symatec đã phát hiện ra55.398 máy chủ đặt website lừa đảo (tăng 66% so với năm 2007) trong đó những lừađảo liên quan đến dịch vụ tài chính chiếm 76% (tăng 52% so với năm 2007)
Cũng theo báo cáo của Symatec, Việt Nam là nước đứng thứ 8 trong khu vực
Trang 9vực Đông Nam Á (sau Thái Lan) Có thể điểm qua một số vụ tấn công vào các hệthống mạng và website tại Việt Nam như sau:
- 14h ngày 27/11/2006 website của Bộ Giáo dục đào tạo bị tấn công bởi một họcsinh trung học
- Chủ nhật ngày 12/3/2006, website thương mại điện tử VietCo.com bị tấn công
từ chối dịch vụ DDos, làm cho hệ thống không thể hoạt động được, nhân viên toàncông ty phải nghỉ việc
- Ngày 27/9/2010, máy ATM của ngân hàng Đông Á bị Virus Conficker tấncông
- Ngày 22/11/2010, website VietNamNet đã bị Hacker tấn công chiếm quyềnđiều khiển và xóa sạch dữ liệu trên hệ thống máy chủ Phải mất gần 1 ngày, cácchuyên gia mới đưa VietNamNet hoạt động được trở lại
Trang 10Theo thống kê từ hệ thống giám sát virus của Trung tâm An ninh mạng BKAV,trong tháng 9 năm 2010 Việt Nam xuất hiện 2.876 virus mới, lây nhiễm trên 5.610.000lượt máy tính Đã có 36 website của các cơ quan, doanh nghiệp của Việt Nam bịHacker xâm nhập, trong đó có 20 trường hợp gây ra bởi Hacker trong nước và 16trường hợp gây ra bởi Hacker nước ngoài.
Thông tin về tình hình virus và an ninh mạng tháng 9/2010
Trang 11Danh sách 10 virus lây lan nhiều nhất tháng 9/2010Những cuộc tấn công mà chúng ta biết được thực chất chỉ là phần nổi Trên thực
tế còn rất nhiều cuộc tấn công khác cũng gây nên những hậu quả hết sức nghiêm trọng
mà không có bất kỳ một tài liệu nào thu thập được đầy đủ, một phần là do chính cácnạn nhân từ chối họ bị (hoặc đã bị) thiệt hại
2 Khái niệm An toàn thông tin (ATTT) và một số tiêu chuẩn đảm bảo ATTT trên mạng máy tính
Khái niệm về An toàn thông tin đã thay đổi rất nhiều trong thời gian gần đây, tuynhiên về bản chất có thể hiểu An toàn thông tin là sự bảo vệ thông tin một cách tựđộng khỏi các hành vi trái phép (truy cập, sửa đổi, phá hoại v.v…) hoặc tránh việc tấncông vào các tài nguyên và dữ liệu đang có
Theo ISO 17799, An toàn thông tin là khả năng bảo vệ đối với môi trường thôngtin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì lợi ích củamọi công dân, mọi tổ chức và của quốc gia An toàn thông tin được xây dựng trên nềntảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằmmục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như các tàinguyên thông tin của các đối tác, các khách hàng trong một môi trường thông tin toàncầu
Nói chung, đảm bảo an toàn thông tin trong mọi lĩnh vực là phải đảm bảo đượccác yêu cầu sau:
- Đảm bảo tính bí mật (Confidentiality): Thông tin không thể bị truy nhập trái
phép bởi những người không có thẩm quyền
- Đảm bảo tính nguyên vẹn (Integrity): Thông tin không thể bị sửa đổi, bị làm
giả bởi những người không có thẩm quyền
- Đảm bảo tính sẵn sàng (Availability): Thông tin luôn sẵn sàng để đáp ứng nhu
cầu sử dụng cho người có thẩm quyền
- Đảm bảo tính không thể từ chối (Non-repudiation): Thông tin được cam
kết về mặt pháp luật của người cung cấp
Trên thực tế hầu hết các cơ quan, tổ chức, doanh nghiệp đều nhận thức rõ sự cầnthiết và lợi ích của việc chuẩn hóa công tác đảm bảo an toàn thông tin, tuy nhiên việc
Trang 12triển khai lại rất hạn chế và gặp nhiều vướng mắc do: hệ thống tiêu chuẩn kỹ thuậtquốc gia về an toàn thông tin hiện không đầy đủ; lúng túng trong lựa chọn các tiêuchuẩn áp dụng
Trước tình hình trên, năm 2007, Bộ Bưu chính, Viễn thông (nay là Bộ Thông tin
và Truyền thông) đã có Chỉ thị số 03/2007/CT-BBCVT ngày 23/02/2007 về việc tăngcường đảm bảo an ninh thông tin trên mạng Internet đã yêu cầu các cơ quan, tổ chức,doanh nghiệp viễn thông, internet tham gia hoạt động trên mạng Internet phải xâydựng quy trình và quy chế đảm bảo an ninh thông tin cho các hệ thống thông tin, thamkhảo các chuẩn quản lý an toàn TCVN 7562, ISO 27001, đảm bảo khả năng truy vết
và khôi phục thông tin trong trường hợp có sự cố
TCVN 7562 là tiêu chuẩn tương đương với tiêu chuẩn quốc tế ISO 17799 phiênbản 2000 (nay đã được cập nhật phiên bản 2005 và đổi tên thành ISO 27002), còn tiêuchuẩn ISO 27001 ở Việt Nam vẫn chưa có tiêu chuẩn tương đương, dẫn đến việc ápdụng gặp nhiều khó khăn (chủ yếu chỉ áp dụng trong một số ít các tổ chức có trình độnhân lực cao, nằm ở các thành phố lớn) Do đó năm 2007, Bộ Thông tin và Truyềnthông đã giao Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thực hiện
đề tài “Nghiên cứu, xây dựng tiêu chuẩn kỹ thuật cho hệ thống quản lý an toàn thôngtin”, mã số 63-07-KHKT-TC, với mục đích xây dựng tiêu chuẩn về hệ thống an toànthông tin trên cơ sở chấp thuận áp dụng tiêu chuẩn quốc tế ISO 27001, áp dụng đượccho các cơ quan, tổ chức ở Việt Nam
Tiêu chuẩn này khuyến khích việc áp dụng cách tiếp cận theo quy trình khi thiếtlập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống ISMS của tổchức
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cáchhiệu quả Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp nhận cácđầu vào chuyển hóa thành đầu ra có thể coi như một quy trình, Thông thường đầu racủa một quy trình này là đầu vào của một quy trình tiếp theo
Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biếttương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếpcận theo quy trình”
Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày trongtiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng:
- Hiểu các yêu cầu an toàn thông tin của tổ chức và sự cần thiết phải thiết lậpchính sách và mục tiêu cho an toàn thông tin,
- Triển khai và điều hành các biện pháp quản lý rủi ro an toàn thông tin của tổchức trước tất cả các rủi ro chung có thể xảy ra với tổ chức,
- Giám sát và soát xét hiệu suất và hiệu quả của hệ thống ISMS (InformationSecurity Management System)
- Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra
Công tác đảm bảo an toàn thông tin là quá trình áp dụng một cách đồng bộ cácgiải pháp ở tất cả các khâu: Lập kế hoạch – Thực hiện – Kiểm tra - Hành động(PDCA) để áp dụng cho tất cả các quy trình trong hệ thống ISMS Hình 1 dưới đây mô
tả cách hệ thống ISMS lấy đầu vào là các yêu cầu và kỳ vọng về bảo mật thông tin của
Trang 13các bộ phận liên quan, sau khi tiến hành các quy trình xử lý cần thiết sẽ đáp ứng antoàn thông tin theo như các yêu cầu và kỳ vọng đã đặt ra.
Hình 1: Áp dụng mô hình PDCA cho các quy trình hệ thống ISMS
P (Lập kế hoạch) – Thiết lập
ISMS
Thiết lập các chính sách, mục tiêu, quy trình và thủ tục liên quan đến việc quản lý các rủi ro và nâng cao an toàn thông tin nhằm đem lại các kết quả phù hợp với các chính sách và mục tiêu chung của tổ chức
D (Thực hiện) - Triển khai và
điều hành ISMS
Cài đặt và vận hành các chính sách, biện pháp quản
lý, quy trình và thủ tục của hệ thống ISMS
C (Kiểm tra) - giám sát và soát
xét ISMS Xác định hiệu quả việc thực hiện quy trình dựa trên chính sách, mục tiêu mà hệ thống ISMS đã đặt ra và
kinh nghiệm thực tiễn và báo cáo kết quả cho ban quản lý để soát xét
A (Hành động) - Duy trì và nâng
cấp ISMS
Tiến hành các hành động khắc phục và hành động phòng ngừa dựa trên các kết quả của việc kiểm toánnội bộ hệ thống ISMS, soát xét của ban quản lý hoặc các thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS
Triển khai và điều hành hệ thống ISMS
Triển khai và điều hành hệ thống ISMS
Giám sát và đánh giá hệ thống ISMS
Giám sát và đánh giá hệ thống ISMS
Thiết lập hệ thống ISMS
Thiết lập hệ thống ISMS
Thiết lập hệ thống ISMS
Duy trì và nâng cấp hệ thống ISMS
Duy trì và nâng cấp hệ thống ISMS
Kết quả quản lý an toàn thông tin
Các bộ phận liên quan
Kết quả quản lý an toàn thông tin
Trang 14Chi tiết dự thảo quốc gia về hệ thống quản lý an toàn thông tin (TCVN 2008)tham khảo tại trang tin điện tử: http://www.mic.gov.vn/tccl
II Một số hình thức tấn công mạng phổ biến (Attacks)
Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máytính có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khảnăng không an toàn, khả năng xâm phạm, nguồn gốc của cuộc tấn công, các sự cố rủi
ro có thể xảy ra đối với thông tin dữ liệu được lưu trữ và trao đổi trên đường truyền tincũng như trên mạng Xác định càng chính xác các nguy cơ nói trên thì càng có cácquyết định, giải pháp tốt để giảm thiểu các thiệt hại
Có hai loại hành vi xâm phạm thông tin dữ liệu đó là: vi phạm chủ động và viphạm thụ động
- Vi phạm thụ động chỉ nhằm mục đích cuối cùng là nắm bắt được thông tin(đánh cắp thông tin) Việc làm đó có khi không biết được nội dung cụ thể nhưng có thể
dò ra được người gửi, người nhận nhờ thông tin điều khiển giao thức chứa trong phầnđầu các gói tin Kẻ xâm nhập có thể kiểm tra được số lượng, độ dài và tần số trao đổi
Vì vậy vi pham thụ động không làm sai lệch hoặc hủy hoại nội dung thông tin dữ liệuđược trao đổi Vi phạm thụ động thường khó phát hiện nhưng có thể có những biệnpháp ngăn chặn hiệu quả
- Vi phạm chủ động là dạng vi phạm có thể làm thay đổi nội dung, xóa bỏ, làmtrễ, xắp xếp lại thứ tự hoặc làm lặp lại gói tin tại thời điểm đó hoặc sau đó một thờigian Vi phạm chủ động có thể thêm vào một số thông tin ngoại lai để làm sai lệch nộidung thông tin trao đổi Vi phạm chủ động dễ phát hiện nhưng để ngăn chặn hiệu quảthì khó khăn hơn nhiều
Về nguồn gốc phát sinh tấn công thì có tấn công từ bên ngoài và tấn công từ bêntrong hệ thống mạng
- Tấn công từ bên ngoài hệ thống: có thể xuất phát từ môi trường Internet, kẻtấn công là người không được phép truy nhập vào hệ thống
- Tấn công từ bên trong hệ thống: xuất phát từ bên trong hệ thống mạng, kẻ tấncông là những người được phép truy nhập vào hệ thống Theo thống kê thì có tới 70%nguy cơ các cuộc tấn công xuất phát từ bên trong hệ thống
Trang 15Ngày nay với sự bùng nổ của các hệ thống mạng, đặc biệt là mạng Internet và sựphát triển rất nhanh chóng các công cụ, phương tiện tấn công nên các hình thức tấncông vào hệ thống mạng cũng rất đa dạng và phong phú Tuy nhiên có thể phân loạivào một số nhóm hình thức tấn công phổ biến sau:
1 Tấn công thăm dò
Thăm dò là việc thu thập thông tin trái phép về tài nguyên, các lỗ hổng hoặc dịch
vụ của hệ thống Thăm dò giống như một kẻ trộm nhà băng muốn biết có bao nhiêubảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí của chúng và đường thoát hiểm,…Các hình thức tấn công truy nhập, DDoS, thường được tiến hành sau khi Hacker đã tấncông thăm dò hệ thống mạng Điều này là hiển nhiên vì các Hacker phải biết tấn côngcái gì trước khi xâm nhập vào hệ thống Thăm dò là một kiểu tấn công và cũng là mộtgiai đoạn tấn công
Có rất nhiều cách để thu thập được thông tin về một hệ thống mạng, có thể liệt kêmột số cách phổ biến sau:
a Nghe lén (Sniffing)
Nghe lén trên mạng là một phần của kỹ thuật tấn công truyền thông dữ liệu củangành bảo mật máy tính Theo đúng như tên gọi, kỹ thuật này không tấn công trựcdiện vào các máy người dùng (clients) hay máy chủ (Servers), mà nó nhằm vào khônggian truyền dữ liệu giữa các máy tính
Ban đầu, Sniffing là kỹ thuật được các quản trị viên dùng để theo dõi, chuẩnđoán, phát hiện các sự cố nhằm giúp cải thiện hoạt động hệ thống mạng Tuy nhiên, kỹthuật này về sau bị biến tướng, trở thành công cụ đắc lực phục vụ mục đích thu thậptrái phép các thông tin nhạy cảm, tên tài khoản, mật khẩu, credit card,… của ngườidùng khi luân chuyển trên mạng
Sniffing chủ yếu xảy ra ở mặt vật lý Nghĩa là kẻ tấn công phải tiếp cận và có thểđiều khiển một thành phần của hệ thống mạng, chẳng hạn như một máy tính nào đó
Ví dụ kẻ tấn công có thể dùng laptop hoặc PC trong các dịch vụ Internet, các quán caféWiFi, trong hệ thống mạng nội bộ doanh nghiệp,… Trường hợp hệ thống máy tínhnghe trộm và kẻ tấn công ở cách xa nhau, kẻ tấn công tìm cách điều khiển một máytính nào đó trong hệ thống rồi cài đặt trình nghe lén vào máy đó để thực hiện nghetrộm từ xa
Trang 16Hiện nay, nghe trộm mạng thực hiện rất dễ dàng, bởi có quá nhiều công cụ giúpthực hiện như Cain&Abe, Ettercap, Ethereal, Dsniff, TCPdump, Sniffit, Các công cụnày ngày càng được “tối ưu hóa” để dễ sử dụng và tránh bị phát hiện khi thực thi Sovới các kiểu tấn công khác, tấn công dạng Sniffing cực kỳ nguy hiểm, bởi nó có thểghi lại toàn bộ thông tin được truyền dẫn trên mạng, và người sử dụng không biết làđang bị nghe trộm lúc nào do máy tính của họ vẫn hoạt động bình thường, không códấu hiệu bị xâm hại Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rấtkhó, và hầu như chỉ có thể phòng chống trong thế bị động (passive), nghĩa là chỉ pháthiện được bị nghe trộm khi đang ở tình trạng bị nghe trộm.
Để hiểu được bản chất của quá trình Sniffing thì cần hiểu nguyên tắc chuyển tảicác khung (frames) của lớp Datalink từ các gói tin (packets) ở lớp Network trong môhình OSI Cụ thể là qua hai loại thiết bị tập trung các node mạng sử dụng phổ biếnhiện nay là Hub và Switch
- Nghe lén trong mạng dùng Hub (Thụ động - Passive): Một khung gói tin khichuyển từ máy A sang máy B thì đồng thời nó được gửi đến tất cả các máy khác đangkết nối cùng Hub theo cơ chế loan tin (broadcast) Các máy tính nhận được gói tin này
và tiến hành so sánh yêu cầu về địa chỉ MAC (địa chỉ vật lý của card mạng) trên góitin với địa chỉ đích Nếu trùng lập thì sẽ nhận, còn không thì cho qua Do gói tin từ Ađược gửi đến B nên khi so sánh thì chỉ có B mới giống địa chỉ đích đến nên chỉ có Bmới thực hiện tiếp nhận Dựa vào nguyên tắc đó, máy tính được cài đặt chương trìnhnghe trộm sẽ tự “nhận” bất cứ gói tin nào được lưu chuyển trong mạng dùng Hub, kể
cả khi đích đến của gói tin không phải là nó, nhờ card mạng được đặt ở chế độ hỗn tạp(promiscuous mode) Promiscuous mode là chế độ đặc biệt, khi card mạng được đặtdưới chế độ này, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địachỉ đích đến
- Nghe lén trong mạng dùng Switch (Chủ động - Active): Khác với Hub,Switch chỉ chuyển tải các gói tin đến những địa chỉ cổng xác định trong bảng chuyểnmạch nên nghe trộm kiểu “tự nhận” như ở Hub là không thực hiện được Tuy nhiên, kẻtấn công có thể dùng các cơ chế khác để tấn công trong môi trường Switch như ARPspoofing, MAC flooding, MAC duplicating, DNS spoofing, v.v…
ARP Spoofing: Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông
dịch các địa chỉ giữa các lớp thứ hai và thứ ba trong mô hình OSI Lớp thứ hai(datalink) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhaumột cách trực tiếp Lớp thứ ba (network), sử dụng địa chỉ IP để tạo các mạng có khảnăng mở rộng trên toàn cầu Lớp data-link xử lý trực tiếp với các thiết bị được kết nốivới nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp.Mỗi lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên
Trang 17một mạng truyền thông Với lý do đó, ARP được tạo ra với chuẩn RFC 826, là “mộtgiao thức phân giải địa chỉ Ethernet - Ethernet Address Resolution Protocol”.
Giao thức ARP là rất cần thiết và quan trọng trong hệ thống mạng, tuy nhiên nólại không đề cập đến vấn đề xác thực nào cả Khi một host nhận được gói tin ARPresponse, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng saunày (lưu vào ARP table) mà không cần biết thông tin đó có phải được trả lời từ host
mà mình mong muốn hay không ARP không có cơ chế nào để kiểm tra việc đó và trênthực tế một host có thể chấp nhận gói ARP response mà trước đó không cần phải gửigói tin ARP request Lợi dụng điều này hacker có thể triển khai tấn công bằng cách gửinhững gói tin ARP response giả mạo với số lượng khổng lồ nhằm làm Switch xử lýkhông kịp và trở nên quá tải Khi đó Switch sẽ không đủ sức thể hiện bản chất Layer2
mà broadcast gói tin ra toàn bộ các port của mình Hacker sẽ dễ dàng bắt được toàn bộthông tin trong mạng
Để phòng chống hình thức tấn công này, đối với một mạng có quy mô nhỏ, ngườiquản trị có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi đó bạn sẽ liệt kê bằng tay
IP nào đi với MAC nào Trong Windows có thể sử dụng câu lệnh ipconfig /all để xem
IP và MAC và dùng câu lệnh arp –s để thêm vào Arp table Khi ép tĩnh như vậy sẽngăn chặn hacker gửi các gói Arp response giả tạo đến máy của mình vì khi sử dụngArp table tĩnh thì nó luôn luôn không thay đổi Chú ý rằng cách thức này chỉ áp dụngđược trong môi trường mạng với quy mô nhỏ, vì với mạng có quy mô lớn chúng ta sẽphải thêm vào Arp table bằng tay với số lượng quá nhiều
Đối với một mạng lớn, ta có thể sử dụng chức năng Port security (chỉ áp dụngđược trên các dòng Switch có hỗ trợ chức năng config port) Khi mở chức năng Portsecurity lên các port của Switch ta có thể quy định port đó chỉ chấp nhận một địa chỉMAC Như vậy sẽ ngăn chặn được việc thay đổi địa chỉ MAC trên máy hacker Ngoài
Trang 18các thông tin liên quan đến ARP đang diễn ra trong mạng Nhờ đó nếu có hiện tượngtấn công bằng Arp spoofing thì người quản trị có thể giải quyết kịp thời.
MAC Flooding:
Địa chỉ MAC (Media Access Control) : là kiểu địa chỉ vật lí, đặc trưng cho mộtthiết bị hoặc một nhóm các thiết bị trong mạng LAN Địa chỉ này được dùng để nhậndiện các thiết bị giúp cho các gói tin lớp 2 có thể đến đúng đích Địa chỉ MAC đượcphân ra làm 3 loại: Unicast (đại diện cho một thiết bị duy nhất), Multicast (đại diệncho một nhóm thiết bị) và Broadcast (FFFF.FFFF.FFFF – đại diện cho tất cả các thiết
bị có trong mạng LAN)
Chức năng chuyển mạch của Switch: Việc đưa thiết bị chuyển mạch vào mộtmạng LAN có nhiều mục đích nhưng mục đích quan trong nhất là để chia một mạngLAN ra thành nhiều vùng khác nhau nhằm giảm thiểu việc xung đột gói tin khi có quánhiều thiết bị được nối vào cùng một môi trường truyền dẫn Các vùng được phân chianày được gọi là các collision domain Chức năng chính của Switch là vận chuyển cácframe lớp 2 qua lại giữa các collision domain này Các collision domain này còn đượcgọi là các đoạn mạng LAN (LAN Segment) Để có thể vận chuyển chính xác được góitin đến đích, switch cần phải có một sơ đồ ánh xạ giữa địa chỉ MAC của các thiết bịvật lí gắn tương ứng với cổng nào của nó Sơ đồ này được lưu lại trong switch và đượcgọi là bảng CAM (Content Address Memory) Quá trình vận chuyển gói tin qua switch
có thể được mô tả như sau:
Nếu địa chỉ MAC nguồn của gói tin chưa có trong bảng CAM; Switch sẽ cậpnhật với cổng tương ứng Nếu địa chỉ MAC nguồn đã tồn tại trong bảng nhưng vớimột cổng khác, Switch sẽ báo lỗi “MAC flapping” và huỷ gói tin
Nếu ánh xạ địa chỉ đích của gói tin không tồn tại trong bảng CAM trước đóthì gói tin sẽ được gửi ra tất cả các cổng của switch trừ cổng mà nó nhận được gói tin(cổng kết nối với máy gửi gói tin đó)
Nếu địa chỉ đích của gói tin là địa chỉ Unicast và ánh xạ của địa chỉ tồn tạitrong bảng CAM đồng thời cổng nguồn khác với cổng mà gói tin cần được chuyển đến(đích) thì nó sẽ gửi gói tin đến chính xác cổng có trong bảng CAM
Các trường hợp còn lại, gói tin sẽ bị huỷ
Ví dụ:
Trang 19Trong ví dụ trên, khi host A gửi bản tin đến host B Do switch chưa có địa chỉMAC của B trong bảng CAM của mình nên switch sẽ gửi broadcast ra mọi cổng cònlại đồng thời sẽ lưu lại địa chỉ MAC của A vào bảng CAM Sau khi host B nhận đượcbản tin từ A; B gửi lại tin cho A Khi đó, switch đã có địa chỉ của A nên sẽ gửi unicasttới port 1 đồng thời cập nhật địa chỉ MAC của B vào bảng CAM.
Bảng CAM của thiết bị chuyển mạch chỉ chứa được một số hữu hạn các ánh xạ(ví dụ như switch Catalyst 6000 có thể chứa được tối đa 128000 ánh xạ) và các ánh xạnày không phải tồn tại mãi mãi trong bảng CAM Sau một khoảng thời gian nào đó,thường là 300s; nếu địa chỉ này không được dùng trong việc trao đổi thông tin thì nó
sẽ bị gỡ bỏ khỏi bảng Khi bảng CAM được điền đầy, tất cả thông tin đến sẽ được gửiđến tất cả các cổng của nó trừ cổng nó nhận được Lúc này chức năng của Switchkhông khác gì chức năng của một Hub Lợi dụng điểm yếu của thiết bị chuyển mạch,Hacker tấn công MAC Flooding bằng cách làm tràn bảng CAM của Switch
Ví dụ: mô hình tấn công làm ngập bảng CAM
Trong ví dụ trên, host C của kẻ tấn công gửi đi liên tục hàng loạt các bản tin cóđịa chỉ MAC nguồn là địa chỉ giả mạo (host X và host Y) Switch sẽ cập nhật địa chỉcủa các host giả mạo này vào bảng CAM Kết quả là khi host A gửi tin đến cho host B;địa chỉ của B không tồn tại trong bảng nên gói tin được Switch gửi ra các cổng của nó
và C sẽ nhận được bản tin mà A muốn gửi riêng cho B
Nguyên lý chung của các phương pháp phòng chống là không để các gói tin cóđịa chỉ MAC lạ đi qua Switch Phương pháp phòng chống hiệu quả nhất là cấu hìnhPort Security trên Switch Khi Switch nhận được một gói tin chuyển đến, nó sẽ kiểmtra địa chỉ MAC nguồn của gói tin với danh sách các địa chỉ đã được cấu hình trước
đó Nếu hai địa chỉ này khác nhau thì tuỳ theo sự cấu hình của người quản trị màSwitch sẽ xử lí gói tin đến với các mức độ khác nhau Như vậy cấu hình Port Security
là một phương pháp hiệu quả nhất để phòng chống MAC Flooding Tuy nhiên, với
Trang 20được là sử dụng phần mềm phát hiện gói tin giả mạo Như ta đã thấy, sau khi bảngCAM của Switch bị tràn, mọi gói tin đến Switch đều bị gửi ra các cổng và việc tấncông này cần phải tiến hành liên tục để đảm bảo rằng bảng CAM luôn bị tràn Do đótrong khoảng thời gian aging (khoảng thời gian để Switch xóa một ánh xạ ra khỏi bảngnếu không nhận được thông tin trao đổi trên cổng); kẻ tấn công phải tiến hành gửi đi ítnhất 2 lần số bản tin giả mạo Ta có thể dùng một máy tính gắn vào một cổng trênSwitch để bắt các gói tin giả mạo này (do chúng bị flood ra tất cả các cổng) Từ cácgói tin bị bắt được, phần mềm sẽ đọc ra địa chỉ MAC nguồn của gói tin Nếu trong mộtkhoảng thời gian nhất định (bằng khoảng thời gian aging của Switch) số địa chỉ MACnguồn là quá lớn, phần mềm sẽ ghi lại kết quả và báo cho người quản trị biết rằng đã
có tấn công trong mạng Tuy nhiên, phương pháp này lại có rất nhiều nhược điểm:
Nhược điểm thứ nhất: do phải xử lý quá nhiều gói tin trong một khoảng thờigian ngắn, hiệu năng của máy sẽ giảm Số lượng gói tin ở đây không chỉ là các bản tingiả mạo mà tất cả các bản tin khác được gửi đến Switch sau khi Switch đã bị tấn công
Nhược điểm thứ hai: các bản tin giả mạo sẽ chỉ được Switch gửi ra tất cả cáccổng thuộc về cùng một VLAN mà thôi Như vậy, nếu kẻ tấn công ở khác VLAN vớimáy dùng để phát hiện giả mạo thì việc tấn công vẫn không bị phát hiện
Nhược điểm thứ ba: khi một Switch bị tràn bảng CAM thì những Switch bêncạnh nếu có cấu hình VLAN cùng với VLAN của kẻ tấn công cũng sẽ bị tràn (hậu quảdây chuyền)
Như vậy tấn công nghe lén là một hình thức tấn công rất nguy hiểm và tồn tại rấtnhiều kỹ thuật giúp Hacker có thể dễ dàng nghe lén một hệ thống Để phòng chốnghiệu quả thì không thể chỉ sử dụng một vài kỹ thuật riêng lẻ mà phải kết hợp nhiềubiện pháp như:
- Giới hạn mức độ và phạm vi broadcast bằng cách phân chia VLAN (VirtualLocal Area Network);
- Giới hạn khả năng bị cài đặt chương trình nghe lén bằng cách áp dụng chínhsách quản lý cài đặt phần mềm cho hệ thống Áp tính năng port security để hạn chế cácthiết bị mạng kết nối trái phép;
- Đối với mạng nhỏ, nên sử dụng địa chỉ IP tĩnh và bảng ARP tĩnh để hạn chếkhả năng bị tấn công kiểu ARP spoofing thông qua giám sát chặt chẽ sự thay đổi địachỉ MAC (Media Access Control) trên Switch;
- Áp dụng cơ chế one-time password – thay đổi password liên tục;
- Thay thế hoặc hạn chế sử dụng các giao thức truyền thông không mã hóa dữliệu bằng các giao thức mã hóa;
Trang 21- Đối với hệ thống mạng công ty, cách bảo vệ tốt nhất là ngăn chặn, phòngngừa ngay từ đầu bằng cách xây dựng Chính sách bảo mật mạng (Network SecurityPolicy) Trong đó có những chính sách quản lý truy xuất, quản lý bảo vệ vật lý hệthống mạng với những quy định như: ai được phép tiếp xúc với các máy; được phép sửdụng máy; được phép gắn thêm thiết bị vào máy; được phép cài đặt những loại chươngtrình nào (không cho phép người dùng tự ý cài đặt chương trình), v.v…
b Quét địa chỉ IP (Ping Sweep)
Ping là một khái niệm rất đơn giản tuy nhiên lại rất hữu ích cho việc chẩn đoánmạng Tiểu sử của từ "ping" như sau: Ping là tiếng động vang ra khi một tàu ngầmmuốn biết có một vật thể khác ở gần mình hay không, nếu có một vật thể nào đó gầntàu ngầm tiếng sóng âm này sẽ va vào vật thể đó và sẽ có âm thanh phản xạ lại nhưvậy tàu ngầm đó sẽ biết là có gì đó ở gần
Lệnh “Ping” trên hệ thống mạng gửi một gói tin ICMP (Internet Control MessageProtocol) “echo request” đến Host Nếu nhận được thông tin phản hồi (echo reply) thìchứng tỏ Host đó đang hoạt động (đang sống); còn ngược lại thì có thể khẳng định làHost đó đã ngừng hoạt động (hoặc không tồn tại)
Hacker sử dụng các công cụ quét IP phổ biến như: SupperScan, Pinger, Frendlypinger, wsping pro, … để thăm dò xem có những Host nào hoạt động trên hệ thốngmạng, đây là một bước ban đầu và cần thiết để Hacker thực hiện các kỹ thuật tấn côngtiếp theo
Giao diện công cụ SupperScanCách thức phòng chống Ping Sweep tốt nhất là cấu hình chặn gói tin ICMP ngaytại Firewall Ngoài ra còn có thể sử dụng một số kỹ thuật che dấu địa chỉ IP thật củamáy như: NAT, PAT sẽ được trình bày ở phần sau của giáo trình này
c Quét cổng (Port Sweep)
Truyền thông bằng giao thức TCP/IP sử dụng các cổng TCP hoặc cổng UDP (nếugiao thức UDP được sử dụng cùng với giao thức IP) Cổng TCP hoặc UDP là một conđường để truy nhập hệ thống đích, thông thường nó liên quan đến một dịch vụ, mộttiến trình hay một chức năng nhất định Một cổng tương tự như một mạch ảo kết nối
Trang 22giữa 2 dịch vụ hoặc 2 tiến trình truyền thông với nhau giữa 2 máy tính hoặc 2 thiết bịmạng khác nhau.
Một số cổng TCP thông dụng:
Port
1 Multiplexing 53 DNS server application
5 RJE applications 79 Find active user application
9 Transmission discard 80 HTTP web browsing
15 Status of network 93 Device controls
20 FTP data 102 Service access point (SAP)
21 FTP commands 103 Standadized e-mail service
23 Telnet applications 104 Standadized e-mail exchange
25 SNMTP e-mail applications 119 Usenet news transfers
37 Time transactions 139 NetBIOS applications
Quét cổng là một kỹ thuật Hacker dùng để xác định các cổng dịch vụ đang được
mở trên một máy tính (mục tiêu tấn công); bằng cách khai thác các thông tin từ gói tinTCP
Cấu trúc một gói tin TCP
Để quét cổng, Hacker sẽ quan tâm đến các thiết lập trong phần Flag:
- Thông số SYN để yêu cầu kết nối giữa hai máy tính
- Thông số ACK trả lời kết nối hai máy tính có thể bắt đầu thực hiện
- Thông số FIN để kết thúc quá trình kết nối giữa hai máy tính
- Thông số RST từ Server nói cho Client biết rằng giao tiếp này bị cấm
- Thông số PSH sử dụng kết hợp với thông số URG
- Thông số URG sử dụng để thiết lập độ ưu tiên cho gói tin này
Trên gói tin TCP/UDP có 16 bit dành cho Port Number, điều đó có nghĩa có thểđịnh nghĩa được 65535 port Tuy nhiên, không một hacker nào lại scan toàn bộ cácport trên hệ thống, chúng chỉ scan những port hay sử dụng nhất (thường từ 1 tới 1024)bằng các phương thức sau:
Trang 23- SYN Scan: Khi Client bắn gói SYN với một thông số Port nhất định tới
Server nếu server gửi về gói SYN/ACK thì Client biết Port đó trên Server đang đượcmở; còn nếu Server gửi về cho Client gói RST/SYN chứng tỏ port đó trên Server đangđóng
- FIN Scan: Client chưa có kết nối tới Server nhưng vẫn tạo ra gói FIN với số
port nhất định gửi tới Server cần Scan Nếu Server gửi về gói ACK thì Client biếtServer đang mở port đó, nếu Server gửi về gói RST thì Client biết Server đang đóngport đó
- NULL Scan Sure: Client sẽ gửi tới Server những gói TCP với số port cần
Scan mà không chứa thông số Flag nào, nếu Server gửi lại gói RST thì chứng tỏ port
đó trên Server đang bị đóng
- XMAS Scan Sorry: Client sẽ gửi những gói TCP với số Port nhất định cần
Scan chứa nhiều thông số Flag như: FIN, URG, PSH Nếu Server trả về gói RST thìClient biết port đó trên Server đang bị đóng
- TCP Connect: Phương thức này rất thực tế, nó gửi đến Server những gói tin
yêu cầu kết nối tới các port cụ thể trên server Nếu server trả về gói SYN/ACK thìClient biết port đó mở, nếu Server gửi về gói RST/ACK thì Client biết port đó trênServer bị đóng
- ACK Scan: dạng Scan này nhằm mục đích tìm những Access Controll List
trên Server Client cố gắng kết nối tới Server bằng gói ICMP nếu nhận được gói tin làHost Unreachable thì client sẽ hiểu port đó trên server đã bị lọc
Sau khi một Hacker biết được một hoặc nhiều địa chỉ IP của các hệ thống đangsống (tồn tại) trên mạng, kẻ tấn công sẽ chạy phần mềm quét cổng (Nmap, Strobe) đểtìm ra những cổng quan trọng nào đang mở, những cổng nào chưa được sử dụng Ví
dụ, kẻ tấn công có thể truy nhập và tấn công các dịch vụ DNS trên cổng 53 của mộtmáy chủ DNS Cổng 23 của Telnet cũng là một mục tiêu hấp dẫn mà những kẻ tấncông nhắm đến để giành quyền truy nhập vào một máy tính
Một cách để ngăn chặn truy nhập thông qua một cổng mở là dừng các dịch vụhoặc các tiến trình hệ điều hành không sử dụng hoặc chỉ cấu hình khởi động các dịch
vụ một cách thủ công bằng chính hiểu biết của mình
Trang 24Ngoài ra, có thể dùng các thiết bị chuyên dụng để phát hiện và ngăn chặn tấncông Port Sweep như: IDS/IPS (Instrusion Detection System/Instrusion PreventionSystem).
d Xác định Hệ điều hành
Một công việc rất quan trọng mà Hacker cần phải làm trước khi tấn công vào một
hệ thống máy tính là phải thăm dò được máy chủ đó đang chạy hệ điều hành gì? Vàphiên bản nào? Những thông tin về Hệ điều hành sẽ giúp cho Hacker tìm được cácđiểm yếu của hệ thống và từ đó có thể dễ dàng tấn công truy nhập vào hệ thống
Phương thức chung để xác định Hệ điều hành của một máy chủ đang hoạt động làtelnet vào hệ thống, các Hệ điều hành khác nhau sẽ có những đáp trả khác nhau Có 2
kỹ thuật xác định Hệ điều hành:
- Active Stack FingerPrinting: xác định dựa vào việc khởi tạo TCP của các Hệđiều hành khác nhau là khác nhau Với hình thức này, Hacker sử dụng các công cụnhư: Nmap, queso, … tạo ra những gói tin và gửi đến máy định tấn công; sau đó dựavào sự đáp trả để xác định Hệ điều hành
- Passive Stack FingerPrinting: là kỹ thuật không trực tiếp telnet vào hệ thống
để xác định Hệ điều hành và phân tích thụ động các thông tin có được từ hệ thống như:TTL (Time To Live), Kích thước cửa sổ, DF (tính năng phân tách bit), …
Trên thực tế, có thể có nhiều giải pháp được đưa ra nhằm phát hiện và ngăn chặntấn công thăm dò Hệ điều hành Nhưng giải pháp sử dụng FireWall vẫn được coi là cóhiệu quả nhất
Có một số hình thức tấn công truy nhập phổ biến sau:
a Man - In - The – Middle (MITM)
Là hình thức tấn công mà Hacker tìm cách xen vào giữa luồng dữ liệu trao đổigiữa hai máy tính thu thập các thông tin nhạy cảm (số PIN, mật khẩu, …) hoặc thayđổi các thông tin xác thực rồi truyền lại, cố gắng đóng giả người dùng (tấn côngRelay) Hình thức tấn công này được coi là rất nguy hiểm vì khi bị tấn công, việc trao
Trang 25đổi dữ liệu giữa các máy tính vẫn diễn ra bình thường nên người dùng không hề haybiết mình bị tấn công.
Tấn công MITM
Tấn công chuyển tiếp gói tin (Relay)Ngày nay, cùng với sự phát triển của hệ thống mạng Internet, nhu cầu trao đổi,giao dịch thương mại điện tử tăng lên Nếu không có giải pháp tốt để bảo vệ thông tincủa các phiên giao dịch thì rất có thể sẽ bị các đối tượng xấu tấn công bằng hình thứcMITM và gây ra những thiệt hại hết sức to lớn Ví dụ, Hacker có thể tấn công kiểuRelay, bắt được các gói tin URL khi người dùng thực hiện các câu lệnh chuyển tiềnqua môi trường Web, sau đó thay đổi thông tin và đóng giả người dùng để rút trộmtiền Một số kiểu tấn công Man In The Middle tiêu biểu như: ARP Cache, DNSSpoofing, Hijacking, …
ARP Cache
Như đã trình bày ở phần trước của giáo trình này, giao thức ARP tồn tại mộtđiểm yếu là không hề có một cơ chế nào để xác thực các thông tin trong gói tin ARPResponse Do đó, Hacker có thể giả mạo để ăn cắp những thông tin nhạy cảm bằngcách đứng giữa đánh lừa cả 2 máy tính đang tham gia giao dịch
Trang 26Máy Eva (hacker) đánh lừa bảng ARP của cả Bob và Alice rằng địa chỉ IP củaAlice (10.0.0.10) và của Bob (10.0.0.1) tương ứng với địa chỉ MAC của Hacker(ee:ee:ee:ee:ee:ee) Khi đó mọi thông tin trao đổi giữa Bob và Alice sẽ đi qua máy củaHacker.
Để phòng chống hình thức tấn công MITM, đối với một mạng có qui mô nhỏ,chúng ta có thể thực hiện gán tĩnh địa chỉ IP và địa chỉ MAC tương ứng trên bảngARP của các máy Còn đối với một mạng lớn, biện pháp hữu hiệu nhất là áp dụng các
kỹ thuật mã hoá (trình bày ở chương 2) tất cả các thông tin trao đổi trên mạng (đặc biệt
là các thông tin nhạy cảm), khi đó, cho dù Hacker có bắt được cũng chỉ là những thôngtin vô nghĩa
họ nhận được gói tin DNS Reply thật sự từ DNS Server
Đây là một hình thức tấn công truy nhập hết sức nguy hiểm vì khi Hacker đãđánh lừa được máy người dùng bằng gói tin DNS Reply với địa chỉ IP giả mạo thì thay
vì người dùng truy cập đến trang web mà mình mong muốn lại truy cập vào trang webgiả do Hacker tạo ra Qua đó Hacker có thể lấy được các thông tin về tài khoản, mãPin, … do người dùng nhập vào trang web giả
Đối phó với tấn công DNS Spoofing là một vấn đề khá khó vì có rất ít các dấuhiệu bị tấn công Thông thường nạn nhân chỉ biết khi đã bị tấn công Để phòng chống
có hiệu quả, cần phải thực hiện đồng thời một số giải pháp sau:
- Bảo vệ tốt các máy tính bên trong mạng: vì đa phần các cuộc tấn công giảmạo DNS đều xuất phát từ một máy tính ở bên trong mạng;
Trang 27- Không dựa vào DNS cho các hệ thống bảo mật: không nên duyệt Internet ởcác hệ thống có độ nhạy cảm cao hoặc sử dụng phần mềm hostname để thực hiện một
số công việc thay thế DNS;
- Sử dụng IDS: một hệ thống IDS được đặt và triển khai đúng sẽ phát hiện đượctấn công giả mạo DNS;
- Sử dụng DNSSec: đây là một giải pháp mới thay thế cho DNS, bằng các sửdụng các bản ghi DNS có chữ ký để đảm bảo sự hợp lệ của gói tin DNS Reply Tuynhiên DNSsec vẫn chưa được triển khai rộng rãi nhưng nó đã được chấp thuận là
“tương lai của DNS”
b Backdoor
Backdoor là cổng sau giúp Hacker có thể truy nhập vào máy nạn nhân một cáchbất hợp pháp Hình thức này thường được tiến hành sau khi Hacker đã xâm nhập đượcvào máy nạn nhân và cố tình mở một cổng bí mật để có thể dễ dàng quay lại, hoặcHacker đánh lừa người sử dụng kích hoạt một đoạn mã bí mật (Trojan) để giám sát và
mở cổng hậu trên máy nạn nhân
Việc phát hiện Trojan là khá dễ dàng so với các hình thức tấn công khác vì bất kỳmột Trojan nào khi hoạt động cũng tuân theo 3 nguyên tắc cơ bản: Trojan phải lắngnghe các yêu cầu (request) trên một cổng nào đó, một chương trình đang chạy sẽ phải
có tên trong Process list và Trojan sẽ luôn chạy cùng lúc khi máy tính khởi động Do
đó, người quản trị có thể dùng lệnh “netstat -an” trong Windows để biết hệ thống đang
lắng nghe trên các cổng nào
Một số cổng (Port) được sử dụng bởi các Trojan phổ biến:
- Back Orifice: Sử dụng UDP protocol – Port 31337 và 31338
- Deep Throat: Sử dụng UDP protocol – Port 2140 và 3150
- NetBus: Sử dụng TCP Protocol – Port 12345 và 12346
- Whack-a-mole: Sử dụng TCP – Port 12361 và 12362
- Netbus 2 Pro: Sử dụng TCP – Port 20034
- GrilFriend: Sử dụng Protocol TCP – Qua Port 21544
- Masters Paradise: TCP - Port 3129, 40421,40422, 40423 và 40426
Trang 28Sử dụng Task Manager trong Windows hoặc phần mềm Process Viewer, để pháthiện các chương trình đang chạy trên hệ thống.
Kiểm tra các chương trình khởi động cùng Windows trong Statup và Registry
Một số giải pháp để phòng chống Trojan hiệu quả:
- Không sử dụng các phần mềm không tin cậy;
- Không truy cập vào các trang web nguy hiểm, không cài các ActiveX vàJavaScript trên các trang web đó bởi có thể sẽ có đính kèm Trojan;
- Cập nhật Hệ điều hành thường xuyên để vá các lỗ hổng bảo mật;
- Cài đặt phần mềm diệt virus uy tín: Kaspersky Internet Security, NortonInternet Security, Mcafee Total Security, …
c Social Engineering
Kỹ thuật lừa đảo (Social Engineering) là một thủ thuật được nhiều Hacker sửdụng cho các cuộc xâm nhập vào hệ thống mạng Đây là một phương pháp không đòihỏi phải sử dụng quá nhiều yếu tố kỹ thuật, thậm chí không có liên quan đến kỹ thuậtthuần tuý (non-technical) nhưng lại rất hiệu quả để đánh cắp mật khẩu hoặc các thôngtin giúp Hacker dễ dàng tấn công vào hệ thống
Trang 29Hacker có thể sử dụng hình thức này thông qua việc gửi thư tín, email, điện thoại,tiếp xúc trực tiếp, thông qua người quen biết, các mối quan hệ cá nhân,… Nhằm dẫn
dụ, khai thác các thông tin do vô tình bị tiết lộ từ phía người dùng (có thể chỉ đơn giảnbằng việc người dùng đứng dậy mà quên không tắt màn hình máy tính và Hacker đangđứng ở gần đó) Ở Việt Nam, kỹ thuật này còn khá mới nên không ít trường hợp đã bịđánh lừa một cách dễ dàng bằng các hình thức gửi tin nhắn trúng thưởng qua điệnthoại, gửi email lừa đảo, …Một vụ tấn công điển hình vào năm 2006, hàng loạt gamethủ MU Global đã mất hết tài sản (ảo) khi ngây thơ điền thông tin tài khoản của mìnhvào một email giả mạo Admin MU do Hacker tạo ra
Do hình thức tấn công này dựa chủ yếu vào yếu tố con người nên các phòngchống hiệu quả nhất là đào tạo người sử dụng có sự am hiểu và cảnh giác khi sử dụngmáy tính
d Khai thác điểm yếu công nghệ
Mỗi công nghệ ra đời đều có sự phát triển quay vòng: Nghiên cứu; đưa vào sửdụng; sửa chữa, cập nhật khi phát hiện có lỗi, điểm yếu và chết khi có một công nghệmới, tiên tiến hơn ra đời
Bất kỳ một công nghệ nào ra đời, dù hoàn hảo đến đâu cũng đều tồn tại điểm yếu.Việc phát hiện ra những điểm yếu này có thể giúp Hacker khai thác và dễ dàng truynhập vào hệ thống
Một số điểm yếu công nghệ đã được phát hiện và Hacker có thể khai thác để tấncông hệ thống:
Điểm yếu của các giao thức
Hệ thống mạng ngày nay chủ yếu sử dụng các giao thức trong bộ giao thứcTCP/IP Đây là bộ giao thức có cấu trúc từ trạm đến mạng, phân tầng không chặt chẽ,cốt để gói tin IP đi qua mạng; không có những cơ chế đảm bảo an toàn
Hầu hết các giao thức trong bộ giao thức này đều tồn tại những điểm yếu có thểkhai thác như: giao thức ARP (đã được tìm hiểu trong phần trước), IP, ICMP, TCP,các giao thức trong tầng ứng dụng, …
Giao thức TCP với cơ chế bắt tay 3 bước (Three-way-handshake), tạo điều kiệncho Hacker tấn công SynFlood làm quá tải máy chủ
Trang 30Cơ chế tấn công SynFlood Mô hình tấn công SynFlood
Đa số các giao thức ở tầng ứng dụng (Application) như: HTTP, FTP, SMTP, …đều không có cơ chế mã hoá và xác thực để đảm bảo an toàn cho gói tin khi gửi lênđường truyền Đây cũng là mục tiêu tấn công của rất nhiều Hacker trên mạng Internet.Giải pháp phòng chống các hình thức tấn công này là sử dụng các giao thức mãhoá nhằm đảm bảo độ bí mật của dữ liệu và tính xác thực người dùng khi trao đổithông tin trên mạng (được trình bày ở phần sau của giáo trình này)
Khai thác lỗ hổng của Hệ điều hành
Các hệ điều hành, đặc biệt là hệ điều hành Windows tồn tại rất nhiều lỗ hổng bảomật nguy hiểm mà Hacker có thể khai thác để tấn công truy nhập vào hệ thống
Có thể khảo sát được số lượng các lỗ hổng của các hệ điều hành đã được pháthiện và khai thác thông qua trang web: http://Milw0rm.com
Giải pháp hiệu quả để phòng chống tấn công khai thác lỗ hổng của hệ điều hành
là thường xuyên cập nhật các bản vá lỗi của các hãng cung cấp
Trang 31Rất nhiều hệ điều hành sử dụng bộ đệm (buffer) để lưu dữ liệu cho đến khi nó sẵnsàng được sử dụng Giả sử, một máy chủ với một kết nối tốc độ cao đang truyền dữliệu đa phương tiện tới một máy trạm trên mạng, và máy chủ truyền nhanh hơn máytrạm có thể nhận Khi đó giao diện mạng của máy trạm sẽ sử dụng phần mềm lưu tạm(đệm) thông tin nhận được cho đến khi máy trạm sẵn sàng xử lý nó Các thiết bị mạngnhư switch cũng sử dụng bộ đệm để khi lưu lượng mạng quá tải nó sẽ có chỗ để lưu dữliệu cho đến khi chuyển tiếp xong dữ liệu đến đích.
Cấu trúc của một bộ đệm thông thường:
- Heap: là vùng nhớ được sử dụng để cấp
phát vùng nhớ với kích thước chỉ được xác
định trong quá trình thực thi chương trình
Thường được sử dụng bởi hàm malloc().
- Stack: là vùng nhớ nơi các biến cục bộ
động được cấp phát và giải phóng Thường
được sử dụng trong hàm Call.
- Return Address (RES – địa chỉ trả về) và
các tham số của hàm cũng được lưu trữ tạm
thời trong Stack
Lỗi tràn bộ đệm (Buffer Overflow) xảy ra khi tiến trình phần mềm ghi một khối
dữ liệu lớn hơn kích thước của một Buffer có chiều dài cố định Kết quả là dữ liệu đó
sẽ ghi đè lên các vị trí bộ nhớ liền kề
Các lỗi tràn bộ đệm có thể làm cho một tiến trình đổ vỡ hoặc cho ra các kết quảsai Nguy hiểm hơn, Hacker có thể lợi dụng lỗi này để chèn địa chỉ trả về và thực thiđoạn mã độc để xâm nhập và chiếm quyền điều khiển hệ thống Bằng cách đó, các lỗitràn bộ đệm gây ra nhiều lỗ hổng bảo mật (vulnerability) đối với phần mềm và tạo cơ
sở cho nhiều thủ thuật khai thác khác (exploit)
Ví dụ: một đoạn chương trình bình thường được thực thi
Trang 32- Cài đặt hệ thống phát hiện và cảnh báo xâm nhập (IDS);
- Giới hạn quyền thực thi của người sử dụng đối với các phần mềm cung cấpdịch vụ;
- Thường xuyên cập nhật các bản vá lỗi
3 Tấn công từ chối dịch vụ (DoS/DDoS)
Tấn công từ chối dịch vụ (DoS – Denial of Service): là hình thức can thiệp vàoquá trình truy nhập đến một máy tính, một trang web hay một dịch vụ mạng và làm lụtmạng đó bằng các thông tin vô ích hoặc bằng các frames, packets chứa các lỗi mà mộtdịch vụ mạng không nhận biết được (thực chất là Hacker chiếm dụng hết tài nguyênmạng: băng thông, bộ nhớ, CPU, …) Mục đích chính của tấn công DoS là chỉ làm sậpmột trang cung cấp thông tin hoặc làm tắt một dịch vụ chứ không làm hại đến thông
Trang 33truy nhập được một trang web hoặc một máy tính trên mạng trong một khoảng thờigian nào đó, điều này làm mất các chức năng của các giao dịch trực tuyến Một sốtrang web thương mại điện tử đã từng bị tấn công DoS như: Amazon.com, Buy.com,eBay.com và ngay cả các trang web uy tín như website của chính phủ Mỹ và HànQuốc cũng đã từng bị tấn công bằng hình thức này.
Tấn công DDoS (Distributed Denial of Service): là hình thức tấn công mà Hackerkhông những chỉ sử dụng một máy tính để tấn công mà có thể huy động rất nhiều máytính khác (mạng máy tính ma - Botnet) cùng tham gia để nâng cao hiệu quả của cuộctấn công
Các hình thức tấn công Dos rất đa dạng Có thể kể đến một số kiểu sau: Winnuke,Ping of Death, Teardrop, SYN attack, Land attack, Smurf attack, UDP Flooding, …
Để có thể phòng chống được hình thức tấn công này là việc làm rất khó vì cácyêu cầu được gửi từ Hacker tới Server thường là các yêu cầu cung cấp dịch vụ hợp lệ
Trang 34cảnh báo xâm nhập (IDS/IPS) với bộ mẫu các dấu hiệu tấn công được liệt kê chi tiết vàđầy đủ.
III Một số mô hình tổng quan đảm bảo An toàn mạng
1 Mô hình áp dụng cho trung tâm mạng nhỏ
Sử dụng một Firewall để ngăn cách và kiểm soát sự trao đổi dữ liệu giữa vùngmạng trong (Internal) và vùng mạng ngoài (External)
Thiết bị phát hiện và phòng chống thâm nhập (IDS/IPS) được đặt ở phía trướcmạng LAN (vùng Internal) để theo dõi và cảnh báo khi nhận thấy có dấu hiệu tấncông
Ưu điểm của mô hình này là lắp đặt đơn giản, dễ cấu hình
Nhược điểm: kém linh hoạt, do các Server đặt trong vùng mạng trong(Internal) nên không thể cấu hình được các luật ngăn chặn tất cả các truy nhập từ bênngoài (External) vào vùng mạng trong (ví dụ để mọi người truy cập được website trênweb server thì phải mở cổng 80; muốn gửi nhận mail thì phải mở cổng 110 và 25).Điều này gây nguy hiểm cho các máy tính khác của người dùng trong vùng mạngtrong vì Hacker có thể lợi dụng các cổng được mở để tấn công
2 Mô hình áp dụng cho trung tâm mạng trung bình
Sử dụng 2 Firewall để bảo vệ hệ thống mạng
- Firewall thứ nhất đặt ngay sau Router để ngăn tất cả các truy nhập từ vùngmạng ngoài vào hệ thống mạng trừ một số truy nhập vào các Server cung cấp dịch vụnhư: web, mail, FTP, …
- Firewall thứ 2 đặt trước vùng mạng trong để ngăn chặn tất cả các truy nhập
Trang 35Sử dụng một thiết bị phát hiện và phòng chống xâm nhập để phát hiện và xử lýcác thâm nhập trái phép từ bên ngoài
Ưu điểm: do được bảo vệ 2 lớp nên vùng mạng trong (chứa các dữ liệu quantrọng) là khá an toàn
Nhược điểm: Các máy chủ cơ sở dữ liệu và ứng dụng (DB & APP Server)được đặt trong vùng Internal nên sẽ không ngăn chặn được các cuộc tấn công từ bêntrong nội bộ mạng trong vào các hệ thống đòi hỏi độ bảo mật cao nhất này
3 Mô hình áp dụng cho trung tâm mạng lớn
Sử dụng 2 Firewall để bảo vệ hệ thống mạng
- Firewall thứ nhất đặt ngay sau Router để ngăn tất cả các truy nhập từ vùngmạng ngoài vào hệ thống mạng trừ một số truy nhập vào các Server cung cấp dịch vụnhư: web, mail, FTP, …
- Firewall thứ 2 cần có 3 giao tiếp mạng để kết nối với 3 vùng mạng khác nhau.Firewall này có chức năng cho phép các vùng mạng PC Zone và DB&APP Zone đi ravùng DMZ nhưng không cho phép chiều ngược lại Đồng thời ngăn chặn được các tấncông từ vùng PC Zone vào các máy chủ DB&APP bằng cách thiết lập các luật phùhợp
Mô hình này cũng sử dụng 2 thiết bị phát hiện và cảnh báo xâm nhập (IDS/IPS):
- Thiết bị thứ nhất đặt ngày trước vùng DMZ để theo dõi và cảnh báo khi códấu hiệu truy nhập bất thường từ vùng mạng ngoài (External) vào hệ thống
- IDS thứ 2 đặt trước vùng DB&APP Server để phát hiện và phòng chống cácxâm nhập trái phép từ bên trong hệ thống mạng vào các máy chủ chứa dữ liệu quantrọng
Ưu điểm: mô hình này đã khắc phục được các nhược điểm của mô hình trước.Với sự phân chia minh bạch các vùng mạng nên có thể xây dựng các luật phù hợp đểđáp ứng tốt yêu cầu bảo mật của các vùng mạng riêng biệt
Nhược điểm: mô hình này đòi hỏi phải có sự đầu tư thiết bị và người quản trị
Trang 36CÂU HỎI ÔN TẬP CHƯƠNG 1
Câu 1: Nêu và phân tích các hình thức tấn công mạng phổ biến?
Câu 2: Phân biệt rõ đặc trưng của tấn công chủ động và tấn công thụ động?
Câu 3: Trình bày các tiêu chuẩn an toàn cho một hệ thống mạng?
Câu 4: Đưa ra và phân tích các mô hình ứng dụng mạng đảm bảo an toàn?
Trang 37CHƯƠNG 2: MẬT MÃ VÀ AN TOÀN THÔNG TIN TRÊN MẠNG
I Tổng quan về mật mã
1 An toàn thông tin và mật mã
Mật mã học là một ngành có lịch sử từ hàng nghìn năm nay Trong phần lớn thờigian phát triển của mình (ngoại trừ vài thập kỷ trở lại đây), lịch sử mật mã học chính làlịch sử của những phương pháp mật mã cổ điển - các phương pháp mật mã với bút vàgiấy, đôi khi có hỗ trợ từ những dụng cụ cơ khí đơn giản Vào đầu thế kỷ 20, sự xuấthiện của các cơ cấu cơ khí và điện cơ, chẳng hạn như máy Enigma, đã cung cấp những
cơ chế phức tạp và hiệu quả hơn cho việc mã hóa Sự ra đời và phát triển mạnh mẽ củangành điện tử và máy tính trong những thập kỷ gần đây đã tạo điều kiện để mật mãhọc phát triển nhảy vọt lên một tầm cao mới
Máy Enigma được Phát xít Đức sử dụng trong thế chiến II
Sự phát triển của mật mã học luôn luôn đi kèm với sự phát triển của các kỹ thuậtphá mã (hay thám mã) Các phát hiện và ứng dụng của các kỹ thuật phá mã trong một
số trường hợp đã có ảnh hưởng đáng kể đến các sự kiện lịch sử Một vài sự kiện đángghi nhớ bao gồm việc phát hiện ra bức điện Zimmermann khiến Hoa Kỳ tham gia Thếchiến I và việc phá mã thành công hệ thống mật mã của Đức Quốc xã góp phần làmđẩy nhanh thời điểm kết thúc thế chiến II Cho tới đầu thập kỷ 1970, các kỹ thuật liênquan tới mật mã học hầu như chỉ nằm trong tay các chính phủ Hai sự kiện đã khiếncho mật mã học trở nên thích hợp cho mọi người, đó là: sự xuất hiện của tiêu chuẩnmật mã hóa DES và sự ra đời của các kỹ thuật mật mã hóa khóa công khai
2 Các thuật ngữ và khái niệm mật mã cơ bản
- Mật mã học: là nghệ thuật và khoa học để giữ thông tin được an toàn
- Thám mã: nghiên cứu các nguyên lý và phương pháp giải mã mà không biếtkhoá Thông thường khi đưa các mã mạnh ra làm chuẩn dùng chung giữa các người sửdụng, các mã đó được các kẻ thám mã cũng như những người phát triển mã tìm hiểunghiên cứu các phương pháp giải một phần bản mã với các thông tin không đầy đủ
- Hệ mật mã: là toàn bộ các thuật toán và các thủ tục kết hợp để che dấu thôngtin cũng như làm rõ nó
- Bản rõ (plaintext or cleartext): Chứa các xâu ký tự gốc, thông tin trong bản rõ
là thông tin cần mã hoá để giữ bí mật
Trang 38- Bản mã (ciphertext): Chứa các ký tự sau khi đã được mã hoá, mà nội dungđược giữ bí mật
- Mã hoá (Encryption): là quá trình chuyển bản rõ thành bản mã, thông thườngbao gồm việc áp dụng thuật toán mã hóa và một số quá trình xử lý thông tin kèm theo
- Giải mã (Decryption): Quá trình biến đổi trả lại bản mã bản thành bản rõ, đây
là quá trình ngược lại của mã hóa
- Thuật toán mã hoá: Là các thủ tục tính toán, sử dụng để che dấu và làm rõthông tin Thuật toán càng phức tạp thì bản mã càng an toàn
- Khoá (Key): Là một giá trị làm cho thuật toán mã hoá chạy theo cách riêngbiệt Khoá càng lớn thì bản mã có được càng an toàn, kích thước của khoá được đobằng bit; phạm vi các giá trị có thể có của khoá được gọi là “không gian khoá”
II Mật mã khoá đối xứng (khóa bí mật)
Mật mã khoá bí mật hay còn gọi là mật mã đối xứng ra đời từ rất sớm Từ khimáy tính chưa ra đời, mật mã khoá bí mật đã đóng vai trò quan trọng trong việc mãhoá thông tin Phần này trình bày các nội dung liên quan đến việc sử dụng mật mãkhoá bí mật trong việc bảo mật thông tin trên mạng máy tính
Mã hoá đối xứng hay còn gọi là mã hoá cổ điển là thuật toán mã hoá mà tại đókhoá mã hoá có thể tính toán ra được từ khoá giải mã Trong rất nhiều trường hợp,khoá mã hoá và khoá giải mã là giống nhau Thuật toán này còn có nhiều tên gọi khácnhau như: mã khoá bí mật, thuật toán một khoá, …Thuật toán này yêu cầu người gửi
và người nhận phải thoả thuận một khoá trước khi thông báo được gửi đi, và khoá nàyphải được cất giữ bí mật Độ an toàn của thuật toán này phụ thuộc vào khoá Nếu để lộkhoá có nghĩa bất kỳ người nào cũng có thể mã hoá và giải mã thông báo trong hệthống mã hoá
Trang 391 Mô hình mật mã khoá đối xứng
Tại nơi gửi (nguồn thông báo) có một bản rõ R được sinh ra Để mã R cần có mộtkhoá K Nếu K được sinh tại nguồn thông báo thì nó phải được chuyển tới đích thôngbáo theo một kênh an toàn Hoặc một bên thứ ba có thể sinh khoá và chuyển một cách
an toàn tới cả nguồn và đích
Với thông báo R và khoá K, thuật toán mã E sẽ tạo ra bản mã M = EK(R)
Tại nơi nhận (đích thông báo) với bản mã M và khoá mã K, thuật toán dịch D sẽtạo ra bản rõ R = DK(M)
Một kẻ tấn công thu được MY nhưng không có khoá K, anh ta phải cố gắng khôiphục R hoặc khoá K Thừa nhận rằng kẻ tấn công biết thuật toán mã E và thuật toángiải mã D Nếu kẻ tấn công chỉ quan tâm đến nội dung thông báo, họ cố khôi phục Rbằng việc sinh ra một ước lượng R' của R Tuy nhiên thường kẻ tấn công mong muốntìm ra khoá K để giải mã các thông báo tiếp theo, bằng cách sinh ra một khoá ướclượng K' của K
2 Một số hệ mật khoá đối xứng
a Chuẩn mã hoá dữ liệu DES (Data Encryption Standards)
DES (Data Encryption Standards) là mã khối được đưa ra năm 1976 bởi NBS –
văn phòng chuẩn Quốc gia Hoa kỳ (bây giờ là NIST - Viện chuẩn và công nghệ Quốcgia) DES là mã khối với mỗi khối dữ liệu 64 bít và dùng khoá mã dài 64 bít (56 bitkhoá và 8 bit chẵn lẻ kiểm soát lỗi) Nó được sử dụng rộng rãi và đã được tranh luận
kỹ về mặt an toàn
Trang 40Sơ đồ mã DES
Một số đặc điểm của chuẩn mã hoá DES:
- Sử dụng khoá 56 bits
- Xử lý khối dữ liệu vào 64 bits, biến đổi thành khối ra 64 bits
- Mã hoá và giải mã được sử dụng cùng một khoá
- Được thiết kế để chạy trên phần cứng DES thường được sử dụng để mã hoácác luồng dữ liệu mạng và mã hoá dữ liệu được lưu trữ trên đĩa
Đánh giá độ an toàn của DES
Tính bảo mật của một hệ mã hoá đối xứng là một hàm hai tham số: độ phức tạpcủa thuật toán và độ dài của khoá
Giả sử thuật toán sử dụng mã hoá là an toàn, có nghĩa là chỉ có một phương phápduy nhất để phá vỡ hệ thống mật mã là cố gắng thử mọi khoá có thể Phương pháp nàyđược gọi là Brute-force attack (tấn công vét cạn) Nếu khoá có độ dài 8 bít, suy ra sẽ
có 28=256 khoá Vì vậy, sẽ mất nhiều nhất 256 lần thử để tìm ra khoá đúng Nếu khoá
có độ dài 56 bít, thì sẽ có 256 khoá có thể sử dụng Giả sử một SupperComputer có thểthử một triệu khoá trong một giây, thì nó sẽ cần 2000 năm để tìm ra khoá đúng Nếukhoá có độ dài 64 bít, thì với chiếc máy trên sẽ cần 600,000 năm để tìm ra khoá đúngtrong số 264 khoá Nếu khoá có độ dài 128 bít, thì sẽ mất 1025 năm để tìm ra khoá đúng
Vũ trụ chỉ mới tồn tại 1010 năm, vì vậy 1025 thì một thời gian quá dài Với một khoá