Một số kỹ thuật và xây dựng mô hình phòng thủ mạng

Hồ Văn Canh cùng với nhu cầu thực tế vềtấn công, phòng thủ mạng, em thực hiện luận văn tốt nghiệp với những mặtmình đã đạt được: Hiểu được và nắm vững các cách phòng thủ, tấn côngmạng cơ

ĐẠI HỌC THÁI NGUYÊN

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

DƯƠNG THANH TUẤN

MỘT SỐ KỸ THUẬT

VÀ XÂY DỰNG MÔ HÌNH PHÒNG THỦ MẠNG

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

th¸i nguyªn - n¨m 2014

LỜI CAM ĐOAN

Luận văn tốt nghiệp là sản phẩm tổng hợp toàn bộ các kiến thức màsinh viên đã học được trong suốt thời gian học tập tại trường đại học Ý thứcđược điều đó, với tinh thần nghiêm túc, tự giác cùng sự lao động miệt mài củabản than và sự hướng dẫn tận tình của thầy giáo TS Hồ Văn Canh em đãhoàn thành xong luận văn tốt nghiệp cao học của mình

Em xin cam đoan: Nội dung luận văn của em không sao chép nội dung

cơ bản từ các luận văn khác và sản phẩm của luận văn là của chính bản thân

em nghiên cứu xây dựng lên Mọi thông tin sai lệch em xin hoàn toàn chịutrách nhiệm trước hội đồng bảo vệ

Học viên

Dương Thanh Tuấn

LỜI CẢM ƠN

Qua thời gian học tập và rèn luyện tại Trường Công nghệ thông tin – Đạihọc Thái Nguyên, đến nay chúng em đã kết thúc khóa học 2 năm và hoànthành luận án tốt nghiệp Để có được kết quả này em xin chân thành cảm ơn:Ban chủ nhiệm khoa Công nghệ thông tin cùng các thầy, cô giáo trongkhoa đã giảng dạy, quan tâm và tạo điều kiện thuận lợi để chúng em học tập

và rèn luyện trong suốt thời gian theo học tại trường

Thầy giáo - TS Hồ Văn Canh đã tận tình hướng dẫn, giúp đỡ em trongquá trình học tập và đặc biệt là trong suốt thời gian làm luận văn tốt nghiệp.Thầy luôn quan tâm và rất nhiệt tình hướng dẫn em từ việc tìm tài liệu chođến việc định hướng lựa chọn giải pháp để triển khai luận văn Thầy cũngluôn nhắc nhở, động viên em mỗi khi gặp khó khăn, nhờ vậy mà em đã hoànthành tốt luận văn tốt nghiệp của mình đúng thời hạn

Em cũng xin gửi lời cảm ơn tới gia đình, tập thể lớp Cao học CK11G,ban quan hệ quốc tế, trung tâm hợp tác quốc tế (ICC) – Đại học Thái Nguyên

đã động viên, giúp đỡ, tạo điều kiện cho em được giao lưu, học hỏi với cácthầy giáo, sinh viên trên quốc tế trong thời gian học tập tại Thái Nguyên

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN iii

MỤC LỤC iv

DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT vi

DANH MỤC CÁC HÌNH VẼ vii

LỜI MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 2

1.1 Tình hình an ninh mạng trong nước và quốc tế 2

1.1.1 Tình hình an ninh mạng tại Việt Nam 2

1.1.2 Tình hình an ninh mạng tại Thế Giới 5

1.2 Các yếu tố về an ninh mạng 6

1.3 Hacker và ảnh hưởng của hacker 8

1.4 Các lỗ hổng bảo mật của mạng máy tính và hệ điều hành 11

1.4.1 Các lỗ hổng bảo mật của hệ điều hành 11

1.4.2 Các lỗ hổng bảo mật của mạng máy tính 15

1.4.3 Hiểm hoạ chiến tranh thông tin trên mạng 20

1.4.4 Một số sai sót của người sử dụng máy tính 22

1.5 Kết luận chương 24

CHƯƠNG 2: NGHIÊN CỨU MỘT SỐ KỸ THUẬT PHÒNG THỦ 26

2.1 Một số kỹ thuật phòng thủ 26

2.1.1 Firewall 26

2.1.2 IP Security 31

2.1.3 Mã hóa công khai và chứng thực thông tin 36

2.1.4 Hệ thống phát hiện xâm nhập (Intrustion Detection System - IDS) 48

2.2 Kết luận chương 56

CHƯƠNG 3: BẢO MẬT WEB VÀ XÂY DỰNG MỘT SỐ MÔ HÌNH

PHÒNG THỦ MẠNG 58

3.1 Bảo mật Web 58

3.1.1 Tim hiểu ứng dụng web 58

3.1.2 Bảo mật ứng dụng web 59

3.2 Đề xuất phương án phòng thủ 62

3.2.1 SQL Injection 62

3.2.2 Session Hijacking 65

3.2.3 Cross Site Scripting (XSS) 66

3.3 Xây dựng mô hình demo phòng thủ 69

3.4 Kết luận chương 72

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 73

1 Kết quả đạt được 73

2 Hướng phát triển 73

TÀI LIỆU THAM KHẢO 74

DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT

OSI Open System Interconnection

AH Giao thức xác thực AH-Authentication Header

ESP Giao thức đóng gói (xác thực + bảo mật) ESP

-Encapsulating Security Payload

CA Cấp giấy xác nhận - Certification Authority

SPI Chỉ số tham số bảo mật - Security Parameter Index

CVP Thời hạn hiệu lực của chứng chỉ -Certificate Validity PeriodMesh CA

Model

Mô hình CA dạng lưới

DANH MỤC CÁC HÌNH VẼ

Hình 1.1 Mô hình mạng máy tính 16

Hình 2.1 Mô hình firewall phần cứng 26

Hình 2.2 Mô hình firewall phần mềm 27

Hình 2.3 Mô hình sử dụng Packet-Filtering Router 28

Hình 2.4 Mô hình Screen Host Firewall 28

Hình 2.5 Mô hình Screened-subnet firewall 29

Hình 2.6 Mô hình OSI (Open System Interconnection) 32

Hình 2.7 Mô hình hoạt động trong giao thức AH 33

Hình 2.8 Mô hình hoạt động trong giao thức ESP 34

Hình 2.9 Cấu trúc bên trong chia sẻ hệ thống chi sẻ 41

Hình 2.10 Mô hình của Root CA 41

Hình 2.11 Mô hình Mesh CA 42

Hình 2.12 Chuẩn MD5 44

Hình 2.13 Quy trình ký và thẩm tra chữ ký số 45

Hình 2.14 Quá trình ký vào tài liệu điện tử sử dụng Private Key 46

Hình 2.15 Quản lý khóa sử dụng Private Key 48

Hình 2.16 Mô hình kiến trúc phát hiện xâm nhập IDS 48

Hình 2.17 Network base IDS 50

Hình 2.18 Host base IDS 52

Hình 2.19 Cấu trúc IP Header 54

Hình 2.20 Cấu trúc TCP Header 55

Hình 3.1 Mô hình quá trình duyệt Web 58

Hình 3.2 Mô hình phương thức tấn công 60

Hình 3.3 Demo website tinhte.vn bị lộ thông tin phát triển website 70

Hình 3.4 Demo chương trình phòng thủ website 70

Hình 3.5 Demo cách config để xóa thông tin X-AspNet-Version 71

Hình 3.6 Demo cách config để xóa thông tin X-Powered-By 71

Hình 3.7 Kết quả sau khi config để ẩn các thông tin bị lộ 71

LỜI MỞ ĐẦU

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máytính và sự phát triển của mạng internet ngày càng phát triển đa dạng và phongphú Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đờisống xã hội Các thông tin trên internet cũng đa dạng về nội dung và hìnhthức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh

tế, tính chính xác và tính tin cậy của nó

Bên cạnh đó, cách hình thức phá hoại mạng cũng trở nên tinh vi và phức tạphơn Do đó đối với hệ thống, nhiệm vụ bảo mật được đặt ra cho người quảntrị mạng là hết sức quan trọng và cần thiết Xuất phát từ những thực tế đó,chúng ta sẽ tìm hiểu về các cách tấn công phổ biến nhất hiện nay và các cáchphòng thủ các loại tấn công này, đặc biệt là phòng thủ trong website

Được sự giúp đỡ của thầy giáo TS Hồ Văn Canh cùng với nhu cầu thực tế vềtấn công, phòng thủ mạng, em thực hiện luận văn tốt nghiệp với những mặtmình đã đạt được: Hiểu được và nắm vững các cách phòng thủ, tấn côngmạng cơ sở nhất, mong muốn góp một phần nhỏ vào việc nghiên cứu và tìmhiểu về các vấn đề an ninh mạng giúp cho việc học tập và nghiên cứu

Tuy nhiên, trong thời gian có hạn và khả năng tìm hiểu của em cònnhiều hạn chế nên trong luận văn này không thể trách được thiếu sót Kínhmong các thầy cô, cùng các bạn sinh viên trong khoa đóng góp ý kiến để luậnvăn của em không những được hoàn thiện hơn trong đợt bảo vệ tốt nghiệpnày Em mong, với sự đóng góp nhiệt tình của các thầy, cô giáo cùng với cácbạn sinh viên sẽ giúp em hoàn thiện và phát triển luận văn tốt nghiệp của emthành sản phẩm thương mại có tính ứng dụng thực tế mang lợi ích đến ngườidùng đồng thời cũng là một tài liệu quí giá để cho các bạn sinh viên khóa saulấy để tham khảo và phát triển tiếp những phần còn chưa đạt được

Em xin chân thành cảm ơn!

Thái Nguyên, ngày 29 tháng 09 năm 2014

Học viên: Dương Thanh Tuấn

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG

1.1 Tình hình an ninh mạng trong nước và quốc tế

1.1.1 Tình hình an ninh mạng tại Việt Nam

Khi CNTT ngày càng phát triển, Internet ngày càng được sử dụng rộngrãi và đa dạng, thì vấn đề an ninh mạng càng trở nên phức tạp và nóng bỏng.Đặc biệt là trong những năm gần đây

Dưới đây là tình hình an ninh mạng tại Việt Nam một vài năm trở lại

đây:

Số liệu chung:

Máy tính bịnhiễm virus(Triệu lượt)

Dòng virusmới

Số Website ViệtNam bị hacker tấncông

Các website và hệ thống Server liên tục bị tấn công

Hiệp hội an toàn thông tin Việt Nam cho biết: “Việt Nam là 1 trong 5nước có nguy cơ mất an toàn thông tin cao nhất”

Hiện số thuê bao Internet chiếm gần 32% dân số Việt Nam Đa số cácdoanh nghiệp và các tổ chức có hệ thống mạng và website giới thiệu, quảng

bá thương hiệu, với gần 200.000 tên miền vn, và hàng triệu tên miền thươngmại Có rất nhiều doanh nghiệp đã ứng dụng thanh toán trưc tuyến vào côngviệc kinh doanh và giao dịch.

Thế nhưng, mạng Internet Việt Nam còn rất nhiều tiềm ẩn, nguy cơ về

an ninh an toàn thông tin Năm 2010 được đánh giá là năm thực sự nóng bỏngcủa an ninh an toàn thông tin trên thế giới chung và an ninh mạng Việt Namnói riêng Hàng loạt website lớn bị tấn công với mức độ phức tạp ngày cànggia tăng Ở nước ta, theo đánh giá của một số chuyên gia về an ninh mạng,các tên miền vn đang đứng hàng thứ 3 trong bảng xếp hạng các tên miền cónguy cơ bị tấn công Cách đây chưa lâu, cuộc tấn công quy mô lớn, liên tục vàkéo dài đã phá hủy hầu như gần hết cơ sở dữ liệu đã lưu trữ 10 năm của báoVietnamnet

Các cuộc tấn công trên mạng chủ yếu có mục tiêu vụ lợi, có tổ chức vàmang tính quốc tế đang nở rộ với quy mô lớn Thủ phạm các cuộc tấn côngnhằm vào các website có trình độ cao, hình thức tấn công tinh vi, chuyênnghiệp và rất khó chống đỡ Mục tiêu của hacker không chỉ là các tổ chức,doanh nghiệp tài chính, ngân hàng mà là tất cả hệ thống Các cuộc tấn côngtrên là một lời cảnh báo về an toàn thông tin đối với các báo điện tử và nhữngwebsite quan trọng của Việt Nam

Năm 2011, đã có 38.961 dòng virus xuất hiện mới, lây lan nhiều nhất làvirus W32.Sality.PE Virus này đã lây nhiễm trên 4.2 triệu lượt máy tính.Cũng trong 2011, đã có 2,245 website của các cơ quan, doanh nghiệp tại ViệtNam bị tấn công, tính trung bình mỗi tháng có 187 website bị tấn công

Năm 2011 là năm của các cuộc tấn công mạng, liên tiếp xảy ra cáccuộc tấn công với các hình thức khác nhau vào hệ thống của các tổ chức,doanh nghiệp tại Việt Nam Có những cuộc tấn công xâm nhập trái phép pháhoại cơ sở dữ liệu hoặc deface các website Cũng có những cuộc tấn công

DDOS làm tê liệt hệ thống trong thời gian dài Tấn công cướp tên miền củadoanh nghiệp cũng đã diễn ra liên tiếp Nguy hiểm hơn, cũng đã xuất hiệnnhiều cuộc tấn công âm thầm, cài đặt virus gián điệp đánh cắp tài liệu của các

cơ quan quan trọng

Nhu cầu về an ninh mạng

Tại TP HCM, số lượng các trường đào tạo về ngành An ninh mạngchưa nhiều, nên số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu.Nhân lực ngành An Ninh Mạng hiện nay lại vừa thiếu về số lượng vừa khôngmạnh mẽ về chuyên môn

Căn cứ trên số liệu của Trung tâm Dự báo nhu cầu nhân lực và Thôngtin thị trường lao động TP.HCM trong giai đoạn 2011-2015, mỗi năm thànhphố cần từ 8.000 -10.000 nhân lực ngành CNTT Trong đó, ngành Hệ thốngthông tin – An ninh mạng cần khoảng 1.000 người, 50% số này cần có trình độchuyên môn giỏi Nhu cầu tuyển dụng ngành CNTT năm 2011 vừa qua tăng21,21% so với năm 2010 và tiếp tục có xu hướng tăng trong những năm tới

Đa số các Doanh nghiệp Việt Nam hiện nay đã ý thức được tầm quantrọng của việc bảo đảm an toàn các thông tin trên hệ thống mạng vì đó chính

là tài sản của Doanh nghiệp Đặc biệt là trong thời buổi mà hoạt động kinhdoanh đang phát triển theo hướng số hóa Thất thoát thông tin cũng đồngnghĩa với việc túi tiền của Doanh nghiệp bị hao hụt

Các giao dịch ở Việt Nam và trên thế giới hiện tại và tương lai đa sốdiễn ra trên mạng Việc bảo mật thông tin thật sự vô cùng quan trọng Trongnăm 2008, có nhiều sự kiện lớn đối với ngành an ninh mạng tại Việt Nam Sự

cố bảo mật của nhà cung cấp tên miền PA Việt Nam hay vụ website ngânhàng Techcombank bị đột nhập là những ví dụ nổi bật Nó cho thấy an ninhmạng đang là vấn đề nóng sốt với nhiều doanh nghiệp ứng dụng CNTT tại

Việt Nam hiện nay Nguyên nhân chính là do nguồn nhân lực chuyên gia anninh mạng hiện vừa thiếu về số lượng lại vừa yếu chuyên môn.

Chỉ tính riêng thống kê của Hiệp hội Ngân hàng và chứng khoán ViệtNam, số lượng chi nhánh ngân hàng và các công ty chứng khoán ở Việt Nam

đã trên mức hàng ngàn Hoạt động của các công ty chứng khoán và ngân hàngđều dựa trên hệ thống CNTT Giao dịch giữa các ngân hàng với nhau, giữangân hàng với khách hàng… đều thông qua mạng Internet

1.1.2 Tình hình an ninh mạng tại Thế Giới

Hacker Trung Quốc tấn công các trang web của Mỹ bao gồm cảGoogle Một báo cáo mới đây của tờ NEW YORK TIMES đã chỉ ra rằng, với

sự hỗ trợ của chính quyền Trung Quốc hacker đã tiến hành hack máy tínhrộng rãi trên các cơ quan chính phủ Mỹ và cả các công ty, bao gồm cả mạnglưới máy tính của Google

Theo một cuộc kiểm tra 250.000 điện tín ngoại giao được công bố bởiWikiLeaks.org của báo chí Mỹ cho thấy rằng các cuộc tấn công bởi tin tặcnhắm vào các bộ cơ quan cấp cao, nhằm mục đích lấy một lượng lớn cácthông tin quân sự của chính phủ Mỹ Một cuộc tấn công không được công bốtrước đó của hacker Trung Quốc được sự chỉ đạo của Đảng Cộng Sản trongnăm 2008 đã đánh cắp hơn 50 triệu email, tên người dùng và mật khẩu từ một

cơ quan chính phủ Mỹ

Một dấu hiệu cho thấy an ninh mạng cần được nâng cao nhanh chóng,hai công ty, McDonal Corp và Walgreen Co, cho biết họ đã bị tấn công trongtuần qua, cùng với công ty truyền thông Hoa Kỳ Sau báo cáo MasterCard vàVisa, bị tấn công tuần trước bởi một nhóm hacker Pro – WikiLeaks, được biếtđến với tên là “vô danh”, McDonal cho biết hệ thống của mình đã bị tấn công

và các thông tin khách hàng bao gồm email, thông tin liên lạc, ngày sinh vàthông tin chi tiết khác đã bị đánh cắp

Các cuộc tấn công chống lại Visa và MasterCard đã làm tê liệt trangweb của công ty họ trong nhiều giờ, nhưng sau đó mặc dù các cuộc tấn côngtrên đã được ngăn chặn và phát hiện nhưng các trang web bán lẻ sử dụngphương pháp tương tự, nó đã không có tác dụng, các dữ liệu bất hợp pháp trànlan đã được chặn bởi mạng lưới toàn cầu của Akamai Technologies

Tin tặc đã đột nhập vào trang web của NewYork Tour Company vàkhoảng 110.000 số thẻ ngân hàng bị đánh cắp, họ đã phá vỡ bằng cách sửdụng một cuộc tấn công SQL Injection trên trang này Trong cuộc tấn côngSQL Injection, tin tặc tìm cách để chèn lệnh cơ sở dữ liệu thực sự vào máychủ bằng cách sử dụng Web, họ làm điều này bằng cách thêm vào văn bảnthiết kế đặt biệt vào các hình thức webbase hoặc các hộp tìm kiếm được sửdụng để truy vấn cơ sở dữ liệu

1.2 Các yếu tố về an ninh mạng

Mới đây Tập đoàn Dữ liệu Quốc tế IDG, Tổng cục Hậu cần Kỹ thuật(Bộ Công an), Ban Cơ yếu Chính phủ (Bộ Quốc phòng), VNCERT và Hiệp

hội Internet Việt Nam (VIA) đã hợp tác tổ chức Hội thảo về An ninh Bảo mật

2014 (Security World 2014), tại Hà Nội Chủ để xuyên suốt chương trình này

là “Gắn kết chiến lược an toàn thông tin với các mục tiêu tăng trưởng và pháttriển”

Đáng chú ý trong buổi hội thảo này đó là bài phát biểu của Giám đốcBảo mật Mạng của Huawei tại Vương quốc Anh - ông David Francis, chia sẻ

về chiến lược An ninh mạng (cyber security) “tích hợp” Theo ông, chiến

lược này bao gồm 11 yếu tố như sau:

- Chiến lược, quản trị và kiểm soát: Cần xây dựng một chiến lược

tổng thể và trách nhiệm giải trình những gì xảy ra;

- Các tiêu chuẩn và quy trình: Đứng giữa bối cảnh như hiện nay cần

phải tìm phương án bảo vệ trước các nguy cơ đe dọa bằng cách thiết lập cáctiêu chuẩn tốt nhất và các phương pháp luận

- Luật và các quy định: Nhằm hướng các sản phẩm và hoạt động của

công ty tuân thủ pháp luật tại mọi khu vực mà nó hoạt động

- Nguồn nhân lực: Kiểm soát các vấn đề bằng cách sử dụng triệt để

nguồn nhân lực, đúng người, đúng vị trí và với cách hành xử phù hợp

- Nghiên cứu và phát triển: Đảm bảo quy trình thiết kế, xây dựng,

kiểm định các sản phẩm theo một cách thức bảo mật chặt chẽ

- Kiểm tra - Không giả định, không tin ai, kiểm tra mọi thứ: Sử

dụng nhiều cách kiểm tra bảo mật độc lập, theo từng lớp để nâng cao bảomật hơn

- Quản lý nhà cung cấp thứ ba: Khi có sự góp mặt của bên thứ ba thì

cần bảo mật nghiêm ngặt hơn

- Sản xuất: Trước khi đưa ra thị trường, việc sản xuất các sản phẩm

phải đảm bảo bảo mật theo từng bước

- Cung cấp các dịch vụ một cách an toàn: Phải bảo đảm từ quá trình

cài đặt, dịch vụ cho tới việc hỗ trợ bảo mật

- Khi gặp sự cố - vấn đề, lỗ hổng và giải pháp khắc phục: Trong

trường hợp phát sinh lỗi bảo mật, cần nhanh chóng khắc phục và bảo đảm antoàn cho sản phẩm của khách hàng

- Kiểm toán: Thực hiện kiểm toán chặt chẽ để bảo đảm mọi bộ phận

phù hợp với chiến lược

- Các hệ thống mạng mở đã kết nối thế giới, mở rộng cơ hội giao thươnggiữa các khu vực và phát triển thương mại toàn cầu, thúc đẩy tiến bộ xã hội.Tuy nhiên, đi kèm với những đóng góp to lớn này là mối đe dọa an ninhmạng Theo David Francis, vấn đề bảo mật là nhiệm vụ chung của tất cả các

doanh nghiệp trên toàn thế giới Những mối đe dọa phát sinh từ an ninh mạng không chỉ ảnh hưởng tới một doanh nghiệp hay một quốc gia mà nó sẽ

gây tổn hại cho cả một hệ thống xuyên quốc gia Do đó cần có sự hợp tácquốc tế để giải quyết vấn đề này

1.3 Hacker và ảnh hưởng của hacker

- Dĩ nhiên đó là những người am hiểu công nghệ thông tin, đặc biệt là

an ninh mạng Nhiều tiêu chí khác nhau để phân biệt Hacker ví dụ như Mũtrắng, mũ xám, mũ đen Cũng có thể là Newbie, ScriptKiddie

Sự phân chia như trên không có ích gì nhiều lắm cho vấn đề bảo mật, có khi

nó còn mang tính “miệt thị” Vì vậy một Website (TX) chia Hacker theo động

cơ hành động Chính vì hiểu được động cơ mà sẽ ít khó khăn hơn khi điều tracác Hacker quậy phá, cũng như phòng thủ chắc chắn hơn Dưới đây, là cáchphân loại các Hacker trên Website (TX) đề cập đến bảo mật và an ninh mạng

Các loại hacker

1 Chemical Hacker: Hacker do tâm sinh lý

Hoàn toàn không phải chuyện đùa, vì phần lớn các cuộc tấn công trênmạng thuộc về cái lý do không đâu này Chemical là từ người Mỹ dùng đểngầm chỉ các nội tiết tố (hormone) trong cơ thể người Với tình cảm buồn vuithất thường của tuổi mới lớn, các Teenager đang trong giai đoạn dậy thì Mụcđích của họ không gì khác hơn là chứng tỏ họ trước mọi người, nhất là ngườikhác phái Với những Hacker này những lời giáo huấn hay răn đe về mặt luậtpháp ít có ý nghĩa Viễn cảnh ra tòa với họ không ghê gớm lắm (cái này gọi làĐiếc không sợ súng) Họ sẵn sàng xóa bỏ, tiêu hủy các dữ liệu trị giá hàngtriệu đô la một cách lạnh lùng Phá hoại lung tung và thậm chí còn cảm giáchuy hoàng khi bị nêu tên tuổi sau lúc bị bắt, do họ là tội phạm công nghệ cao(cái từ ngữ này có vẻ nổ quá mới khổ ấy chứ!) Là những đặc trưng của cácHacker nhóm này

2 Business hacker và Cybar Crime (Hacker thương mại và tội phạm công nghệ cao)

Động cơ chính của loại hacker này chủ yếu là tiền hay những lợi ích cógiá trị khác Thật ra không cần phân biệt giữa hacker thương mại và tội phạmcông nghệ cao, vì đối với pháp luật là như nhau Tuy nhiên, nếu phân tích kỹ

sẽ thấy động cơ và cách hành động của 2 loại hacker này có sự khác biệt rõrệt Buniness hacker, dùng để chỉ những người có ý thức phạm pháp không rõràng, họ chỉ đơn thuần là những người mang suy nghĩ: "Tôi có kiến thức hơnngười bình thường, tôi có thể lợi dụng nó để kiếm chác chút đỉnh và làm chocuộc sống dễ dàng hơn" Nên nhớ, những lĩnh vực khác trong xã hội cũngkhối kẻ như vậy

Con số thống kê thoạt nghe không tin nổi, nhưng nó là sự thật, chỉ cácHacker Việt Nam thôi, số tiền họ tiêu xài từ các thẻ tín dụng bất hợp pháp là30-60 tỷ VNĐ/tháng

Còn tội phạm công nghệ cao thì khác hẳn đó là những kẻ ý thức rõ rànghành động phạm pháp của mình, có thể là những tội phạm chuyên nghiệp có

kỹ năng cao, có thể là những kẻ nghiệp dư nhưng lại muốn kiếm tiền nhanhchóng Đặc trưng của những hacker này là không phô trương, không đậpphá, am hiểu pháp luật (muốn phạm pháp thì trước hết phải am hiểu!) và đặcbiệt có kiến thức về kinh tế thương mại, nhất là thương mại điện tử

3 Political Hacker - hacker chính trị

Đây là những người hack vì muốn thể hiện một chính kiến nào đó Bạnđừng lầm lẫn những người này với những lực lượng đặc biệt thuộc chính phủ,thật sự họ là những người cô độc hay một nhóm hacker nhỏ mang chút xíu tưtưởng "vô chính phủ" Chính kiến của những người này cũng rất phức tạp, từchống đối các chính phủ hay chống chiến tranh, đến ủng hộ các nhóm phichinh phủ như tổ chức hòa bình xanh chống lại các đại công ty hay chống cáccông ty độc quyền Và bạn cũng đừng nhầm những người này với cácchemical hacker Họ rất ít khi phá hoại và không tấn công lung tung các sitekhông liên quan Thường thì chemical hacker cũng hay mượn các khẩu hiểuchính trị để thể hiện mình

4 Technical hacker - hacker kỹ thuật

Đây là những người hack vì muốn thực nghiệm các kỹ thuật mới Họ

có thể là những chuyên gia bảo mật, những người chuyên nghiên cứu nghệthuật hacking hay đơn giản là những người say mê kỹ thuật Trình độ củanhững người này từ khá trở lên (lưu ý là phân theo mục đích không phải trình

độ Vì vậy, không hẳn là technical hacker nào cũng giỏi hơn chemicalhacker)

Ảnh hưởng của việc hack

Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn côngcủa hacker gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗinăm Hành vi trộm cắp thông tin cá nhân của khách hàng có thể làm giảmdanh tiếng của doanh nghiệp dẫn tới các vụ kiện Hack có thể làm 1 công ty bịphá sản Botnet có thể được sử dụng để khởi động các loại Dos và các cuộctấn công dựa trên web khác dẫn đến các doanh nghiệp bị giảm doanh thu Kẻtấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quantrọng và bán chúng cho các đối thủ cạnh tranh

4 triệu máy tính bị nhiễm virus “nội” trong một tuần đầu tháng 9/2006,hàng trăm trang web bị hacker trong nước và nước ngoài tấn công là vài con

số về tình trạng a n n i n h m ạ n g ở Việt Nam.

1.4 Các lỗ hổng bảo mật của mạng máy tính và hệ điều hành

1.4.1 Các lỗ hổng bảo mật của hệ điều hành.

Khái Niệm lỗ hổng

- Lỗ hổng là các điểm yếu trong phần mềm cho phép kẻ tấn công phá

hoại sự toàn vẹn, độ sẵn sàng hoặc bảo mật của phần mềm hoặc dữ liệu dophần mềm xử lý Một số lỗ hổng nguy hiểm nhất cho phép kẻ tấn công khaithác hệ thống bị xâm phạm bằng cách khiến hệ thống chạy các mã độc hại màngười dùng không hề biết

- Ví dụ về một số lỗ hổng thường gặp: Lỗi xử lý các yêu cầu không được

dự kiến trước trong IIS; Lỗi tràn bộ đệm; Điểm yếu trong việc xác thực đốivới các tài khoản không mật khẩu hoặc mật khẩu yếu;…

Phát hiện và khắc phục các lỗ hổng

Các lỗ hổng từ hệ điều hành và các ứng dụng

Nếu một chương trình có chứa lỗi, lỗi đó có thể có khả năng cho phépmột người nào đó không tin tưởng thực hiện những điều mà họ không được phép Một lỗi như vậy được gọi là lỗ hổng hay một điểm yếu dễ bị tấn công.Một số trường hợp các lỗ hổng xuất hiện do bản thân các chươngtrình chứa lỗi:

- Các lỗ hổng tràn bộ đệm

Tràn bộ đệm thường xuất hiện trong một số trường hợp

- Khi đọc dữ liệu vào trực tiếp vào vùng đệm

- Khi copy dữ liệu vào từ vùng đệm lớn sang vùng nhỏ hơn

- Khi thực hiện xử lý dữ liệu vào khác trên vùng đệm của xâu

Tuy nhiên, nếu dữ liệu vào là hoàn toàn tin tưởng thì nó không phải là

lỗ hổng bảo mật, nó chỉ gây ra một số phiền phức

Trong phần lớn các môi trường Unix, khi mảng là biến địa phương củamột số hàm, dường như là sau đó sẽ trả về địa chỉ ở một nơi nào đó trên ngănxếp Đây có thể là lỗ hổng phổ biến nhất bị khai thác Hàng nghìn lỗ hổngkiểu này đã được tìm thấy trong những năm qua

Thậm chí đôi khi bộ đệm ở những nơi khác cũng có thể bị tràn tạo racác lỗ hổng bảo mật riêng biệt nếu chúng gần với con trỏ hàm hoặc thông tinđáng tin cậy Vì thế để phát hiện lỗ hổng đối với trường hợp này ta tìm kiếm:

+ Các hàm nguy hiểm không kiểm tra giới hạn: strcpy, strlen, strcat,sprintf, gets

+ Các hàm nguy hiểm có kiểm tra giới hạn: strncpy, snprintf- một sốhàm này sẽ không chú ý tới việc viết thêm NULL vào cuối xâu, điều này cóthể dẫn đến sau đó khi copy kết quả, kể cả với dữ liệu khác- dữ liệu có liênquan- và có thể sẽ gây đổ vỡ chương trình

+ Việc lạm dụng hàm strncat, điều này dẫn đến việc không thể ghi mộtbyte null vào cuối mảng

+ Sự đổ vỡ các chương trình dễ ảnh hưởng đến vấn đề an toàn-bất kỳ

sự đổ vỡ nào cũng bắt nguồn từ lỗi con trỏ và có lẽ phần lớn lỗi con trỏ là dotràn bộ đệm

+ Thử cung cấp cho các chương trình nhạy cảm về mặt an toàn các

dữ liệu lớn -ở biến môi trường (nếu biến môi trường không được tin tưởng)- ởcác tham số dòng lệnh (nếu tham số dòng lệnh không được tin tưởng)-trong cácfile không được tin tưởng khi chương trình đọc chúng, trên sự kết nối mạngkhông được tin tưởng Nếu chương trình chia dữ liệu vào thành nhiều phần,hãy thử thực hiện với phần dữ liệu lớn và xem chúng có đổ vỡ hay không, nếu

có thì tại vị trí chương trình đổ vỡ sẽ giống như một phần dữ liệu vào

+ Kiểm tra giới hạn không đúng: Nếu việc kiểm tra giới hạn phải trảiqua hàng trăm dòng mã, thay vì hai hoặc ba vị trí trung tâm, sẽ có nhiều cơhội hơn để phát hiện ra những chỗ sai

- Thiếu tài nguyên (Resource starvation)

Rất nhiều chương trình được viết ra thừa nhận rằng có đủ tài nguyênsẵn có Thậm chí nhiều chương trình được viết ra còn không đặt ra các khảnăng sẽ xảy ra nếu không đủ tài nguyên sẵn có

+ Điều gì sẽ xảy ra nếu không đủ bộ nhớ hoặc một vài định vị bị lỗi,thường trong trường hợp này sẽ trả về NULL đối với các hàm malloc hoặcnew (dùng để cấp phát vùng nhớ)

+ Điều gì sẽ xảy ra nếu chương trình chạy ngoài các đặc tả file (fds-filedescriptors) - việc mở file dùng hàm open() sẽ trả về giá trị –1

+ Điều gì sẽ xảy ra nếu một chương trình không thể fork() hoặc nếutiến trình con bị chết trong khi đang khởi tạo vì thiếu tài nguyên

Như vậy để tránh các lỗ hổng xuất hiện do bản thân các chương trìnhthì người lập trình phải đặt ra tất cả các khả năng, xem xét và giải quyết tất cả

các khả năng đó, đồng thời phải chú ý đến những trường hợp dễ gây ra lỗhổng như đã đề cập đến ở trên

Các lỗ hổng do những nguyên nhân khác

Ngoài những nguyên nhân do hệ điều hành và ứng dụng chứa các lỗi gây

ra các lỗ hổng bảo mật, các lỗi hổng bảo mật còn xuất hiện do các nguyênnhân sau:

- Mạng và máy chủ bị cấu hình sai

- Nhà cung cấp thiếu trách nhiệm

- Thiếu những cá nhân có trình độ

Mật mã và các lỗ hổng bảo mật

Phần lớn các lỗ hổng bảo mật xuất hiện là do mã nguồn của hệ điềuhành hoặc các ứng dụng có chứa các lỗi giúp kẻ tấn công lợi dụng để thâmnhập vào hệ thống và làm cho hệ thống bị tổn thương Một phần khác là dongười sử dụng có các sai sót trong khai thác và vận hành hệ thống, thông qua

đó các lỗ hổng được bộc lộ rõ hơn và kẻ tấn công dễ dàng khai thác hơn

Vậy mật mã có vai trò gì trong việc phát hiện, lấp vá và hạn chế lỗ hổng.Nói chung, mật mã không thể có vai trò gì trong việc phát hiện lỗ hổng

mà mật mã chỉ có thể là công cụ góp phần khắcphục một số lỗ hổng đã xuấthiện hoặc hạn chế sự xuất hiện của các lỗ hổng

Mật mã có thể được sử dụng để mã hoá mật khẩu, xác thực người sửdụng truyền trên kênh nhằm ngăn ngừa kẻ tấn công lấy được mật khẩu và cóđược đăng nhập hợp pháp vào hệ thống, khi đó kẻ tấn công dễ dàng tấn công

hệ thống hơn Chúng ta có thể sử dụng các thuật toán mật mã phức tạp để mãhoá mật khẩu và xác thực người dùng như IDEA, RSA,

Có thể thấy rằng mật mã với chức năng chủ yếu là mã hoá và xác thựcnên cũng chỉ có vai trò khắc phục các lỗ hổng xuất hiện liên quan đến vấn đề

mã hoá mật khẩu và xác thực người dùng mà thôi Nhưng như thế cũng làđóng góp lớn bởi rất nhiều tấn công đã xuất hiện do kẻ tấn công có truy cậphợp pháp vào hệ thống thông qua việc đánh cắp mật khẩu của người sử dụng

Các điểm yếu của mạng máy tính

Việc toàn cầu hoá các hoạt động thương mại mạng, cùng với nó, là sựphụ thuộc tương hỗ ngày càng tăng giữa các hệ thống thông tin và thông tin.Việc chuẩn hoá công nghệ vì tính hiệu quả và kinh tế song cũng dẫn tới chuẩnhoá tính mỏng manh vốn có của mạng cho kẻ thù lợi dụng Các quy tắc và tự

do hoá cũng đóng góp cho việc tăng thêm tính mỏng manh

Trên thực tế, người ta đã thống kê được 14 lỗ hỏng dễ bị xâm nhậpthông qua mạng máy tính Hình 2-1 minh họa một mô hình mạng tổng quátvới các điểm yếu dễ bị xâm nhập, cụ thể:

1 Thiếu điều khiển truy cập bộ định tuyến và lập cấu hình sai ACL sẽcho phép rò rỉ thông tin thông qua các giao thức ICMP, IP, NetBIOS, dẫn đếntruy cập bất hợp pháp các dịch vụ trên máy phục vụ

2 Điểm truy cập từ xa không được theo dõi và bảo vệ sẽ là phương tiệntruy cập dễ dàng nhất đối với mạng công ty

3 Rò rỉ thông tin có thể cung cấp thông tin phiên bản hệ điều hành vàchương trình ứng dụng, người dùng, nhóm, địa chỉ tên miền cho kẻ tấn côngthông qua chuyển vùng và các dịch vụ đang chạy như SNMP, finger, SMTP,telnet, rusers, sunrpc, NetBIOS

4 Máy chủ chạy các dịch vụ không cần thiết (như sunrpc, FTP, DNS,SMTP) sẽ tạo ra lối vào thâm nhập mạng trái phép

5 Mật mã yếu, dễ đoán, dùng lại ở cấp trạm làm việc có thể dồn máyphục vụ vào chỗ thoả hiệp

1

Inter

1

9 Phần mềm chưa được sửa chữa, lỗi thời, dễ bị tấn công, hoặc để ởcấu hình mặc định.

10.Quá nhiều điều khiển truy cập thư mục và tập tin

11.Quá nhiều mối quan hệ uỷ quyền như NT domain Trusts, các tập tin.rhosts và hosts.equiv trong UNIX sẽ cho kẻ tấn công truy cập hệthống bất hợp pháp

12.Các dịch vụ không chứng thực

hệ điều hành và chương trình ứng dụng ví dụ ngày 6/12/2002 Microsoft đãphát hành một miếng vá mới cho trình duyệt web Internet Explorer TheoMicrosoft, đây là một lỗ hổng có mức độ nguy hiểm ''trung bình'' Tuy nhiên,các chuyên gia bảo mật máy tính lại coi đây là một lỗ hổng cực kỳ trầm trọng,

có thể bị hacker khai thác để nắm quyền điều khiển máy tính Lỗ hổng ảnhhưởng đến các phiên bản IE 5.5 và IE 6.0 Lỗ hổng này nằm trong cơ chế thiếtlập vành đai an ninh giữa cửa sổ trình duyệt web và hệ thống máy tính nội bộ.Việc khai thác lỗ hổng này sẽ cho phép hacker đọc thông tin và chạy cácchương trình trong máy tính của người sử dụng Thậm chí, anh ta còn có thểsửa đổi nội dung một file, format toàn bộ ổ cứng Nhưng để khai thác được lỗhổng này, anh ta phải đánh lừa người sử dụng truy cập vào một trang Webđặc biệt do anh ta tạo ra, hoặc mở một e-mail có nhúng mã HTML nguy hại

Theo thống kê của nhóm đề tài các lỗ hổng của hệ điều hành và cácchương trình ứng dụng hiện đang sử dụng trên mạng hiện nay là hơn hàngnghìn lỗ hổng, các hãng sản xuất phần mềm liên tục đưa ra các phiên bản đểsửa chữa các lỗ hổng đó tuy nhiên hiện nay không ai có thể nói trước được làcòn bao nhiêu các lỗ hổng nữa chưa được phát hiện và còn bao nhiêu lỗ hổngđang được sử dụng bí mật bởi các tin tặc và chưa được công bố công khai

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

Do cơ chế trao đổi thông tin trên mạng các dich vụ mạng và các lỗhổng bảo mật hệ thống còn tạo môi trường tốt cho các Virus máy tính pháttriển (Virus là một đoạn mã chương trình được gắn kèm với các chương trìnhứng dụng hoặc hệ thống có tính năng lây lan rất nhanh và gây nhiều tác hạicho máy tính và dữ liệu)

Bảng dưới đây minh hoạ các khả năng tin tặc tấn công vào hệ thốngmạng máy tính qua các điểm yếu của mạng, các lỗ hổng mạng và yếu tố củacon người:

Dựa vào yếu tố con người - các điểm yếu của người sử dụng

- Thông tin có sẵn tự do

- Lựa chọn mật khẩu quá đơn giản

- Cấu hình hệ thống đơn giản

- Tính mỏng manh đối với "nền kỹ nghệ đã mang tính xã hội"

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

Dựa vào khe hở xác thực

- Trộm mật khẩu

- Nền kỹ nghệ đã mang tính xã hội

- Qua hệ thống mật nhưng bị sụp đổ

Dựa vào dữ liệu

- Gắn E-mail vào một chương trình

- Nguồn định tuyến cho các gói dữ liệu

- Các trường header không sử dụng

Từ chối dịch vụ

- Làm tràn ngập mạng

- "Băm nát"

- Sâu Morris

Chặn bắt truyền thông trên mạng

- Bắt dữ liệu trước khi mã hoá

- Loại bỏ mã hoá

- Phát lại

1.4.3 Hiểm hoạ chiến tranh thông tin trên mạng

Mục tiêu của việc kết nối mạng là để nhiều người sử dụng từ những vịtrí địa lý khác nhau, có thể dùng chung những tài nguyên, đặc biệt là tàinguyên thông tin Do đặc điểm của nhiều người sử dụng và phân tán về mặtđịa lý nên việc bảo vệ các tài nguyên đó tránh khỏi sự mất mát, xâm phạm (vôtình hay hữu ý) phức tạp hơn rất nhiều so với trường hợp máy tính đơn lẻ, mộtngười sử dụng

Để việc đảm bảo thông tin đạt kết quả cao, chúng ta phải lường trướcđược càng nhiều càng tốt các khả năng xâm phạm, các sự cố rủi ro đối vớithiết bị và tài nguyên trên mạng Xác định càng chính xác các nguy cơ trên, tacàng quyết định được tốt các giải pháp phù hợp để giảm thiểu các thiệt hại

 Đặ c điểm của chi ến tra nh thô ng tin:

Trong khi ảnh hưởng và hậu quả của CTTT có thể rất lớn thì vũ khí

và phương tiện CTTT lại rất rẻ

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

Điều này là có thể vì thông tin và hệ thống thông tin (đối tượng củacuộc tấn công CTTT) “Một ngôi nhà mà giá trị của nó rẻ hơn cái tàng trữtrong đó”, nhiều khi chỉ là một phần tử khiêm tốn lại quyết định một chứcnăng hoặc một hoạt động quan trọng - như một cơ sở dữ liệu chẳng hạn Chỉcần một chi phí thấp để tạo ra một nội gián, một thông tin giả, thay đổi thôngtin, hoặc đưa ra một vũ khí logic tinh vi chống lại một hệ thống thông tinđược nối vào hạ tầng viễn thông dùng chung toàn cầu Vấn đề cuối này lạicàng hấp dẫn; những thông tin mới nhất về cách thức khai thác các đặc tínhthiết kế và lỗ hổng an ninh của các phần mềm máy tính thương mại đang tự

do lưu truyền trên Internet

Về phía tấn công, CTTT rất hấp dẫn

Chiến tranh thông tin tấn công rất hấp dẫn đối với nhiều người vì nó rẻ

so với chi phí phát triển, duy trì, và dùng các khả năng quân sự tiên tiến.Thêm vào đó, kẻ tấn công có thể bị lôi cuốn vào CTTT bởi tiềm năng đối vớicác kết quả đầu ra không tuyến tính khổng lồ lấy từ các đầu vào khiêm tốn

Rất nhiều người bình thường chỉ cần với một máy tính kết nối mạngđều có khả năng thử sức khai phá cả thế giới tài nguyên hấp dẫn trên mạng,nhiều công cụ họ tạo ra ban đầu chỉ là thử sức và để đùa cho vui và chứng tỏtài năng với mọi người xung quanh sau đã bị các kẻ phá hoại lợi dụng biếnthành các vũ khi tấn công trên mạng

Về phía phòng thủ, CTTT chứa nhiều yếu tố bất ngờ và khó tiên liệu trước

CTTT là một khái niệm rộng lớn, biến đổi theo thời gian và khônggian Cách phòng chống và đánh trả CTTT cũng hết sức linh hoạt vì nó liên

quan đến nhiều lĩnh vực như các tiêu chuẩn an toàn của hệ thống, cơ sở pháp

lý về an ninh mạng của mỗi quốc gia, khả năng cũng như trình độ của con người và sau cùng là các kỹ thuật-công nghệ được áp dụng vào cuộc chiến

tranh này

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

Chi phí cho phòng thủ trong CNTT không rẻ, cũng không dễ dàng thiếtlập Nó sẽ cần các nguồn lực để phát triển các công cụ, quy trình, và các thủtục để đảm bảo tính sẵn sàng và toàn vẹn của thông tin, và để bảo vệ tính bảomật thông tin ở nơi cần đến nó Các nguồn lực bổ sung sẽ cần để phát triểncác hướng dẫn thiết kế cho các kỹ sư hệ thống và phần mềm để đảm bảo các

hệ thống thông tin có thể hoạt động trong một môi trường CTTT Nhiềunguồn lực hơn sẽ cần để phát triển các phương tiện mạnh nhằm phát hiện kẻnội gián đột nhập với ác ý can thiệp vào các hệ thống và để chúng ta có khảnăng tiến hành sửa đổi và khôi phục hệ thống

1.4.4 Một số sai sót của người sử dụng máy tính.

Nếu nghiên cứu kĩ những vụ scandal bảo mật tồi tệ nhất tại các doanhnghiệp, ta có thể thấy rõ rằng nguyên nhân là các nhà quản trị mạng đã liêntục mắc những sai lầm cũ trong khi rất nhiều trong số những lỗi này có thể dễ

dàng tránh được.

Dùng chung một mật khẩu cho nhiều thiết bị mạng

Bộ phận CNTT tại các doanh nghiệp thường sử dụng cùng một mậtkhẩu cho nhiều máy chủ và vài người cùng biết mật khẩu đó Đó có thể là mộtmật mã tốt - một chuỗi con số hay chữ phức tạp - nhưng một khi nó đượcdùng chung trên vài hệ thống thì những hệ thống đó có thể bị xâm hại bất cứlúc nào

Không khắc phục lỗi của mã SQL

79% các vụ tấn công của tin tặc là nhằm vào các "đầu mối" SQL kếtnối trực tiếp với máy chủ web Cách mà các tin tặc đột nhập vào những hệthống này là nhập một lệnh SQL dựa trên nền web Nếu mã SQL chuẩn, nó sẽkhông chấp nhận nhận những mệnh lệnh này Nhưng đôi khi nhân viên pháttriển vô tình tạo ra cái được gọi là lỗi "SQL injection"

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

Cách dễ nhất để ngăn chặn lỗi này là chạy ứng dụng tường lửa trongchế độ kiểm tra để xem người dùng đang nhập dữ liệu vào trường như thế nào

và sau đó đưa ứng dụng này vào chế độ hoạt động, như vậy các câu lệnh SQL

sẽ không thể vô tình bị "bơm" vào các trường trong cơ sở dữ liệu Những vấn

đề về mã SQL là rất phổ biến "Nếu một công ty kiểm tra trên 100 chiếc máychủ, họ có thể tìm ra lỗi SQL kiểu này trên 90 máy

Đặt cấu hình sai danh sách kiểm soát truy cập

Phân tán mạng bằng cách sử dụng các danh sách kiểm soát truy cập làcách đơn giản nhất để đảm bảo rằng các hệ thống chỉ giao tiếp với những đốitượng cần thiết Ví dụ, nếu bạn cho phép đối tác kinh doanh truy cập vào 1máy chủ trên mạng của bạn thông qua mạng riêng ảo VNP, bạn nên sử dụngcác danh sách kiểm soát truy cập để đảm bảo rằng các đối tác kinh doanh chỉ

có thể truy cập vào chiếc máy chủ này mà thôi Ít nhất nếu không may hacker

sử dụng cổng này để tấn công thì chúng chỉ có thể xâm hại dữ liệu trên máychủ này

Không thể bảo vệ các máy chủ trước phần mềm độc hại

Theo thống kê của Verzion Business, những vụ máy chủ chứa mã độcchiếm tới 38% các vụ scandal bảo mật Hầu hết các phần mềm độc hại đãđược cài đặt từ xa và được sử dụng để ăn cắp dữ liệu Thông thường, các phầnmềm độc hại được tùy chỉnh, do đó, các phần mềm chống virus khó có thểphát hiện được Để tìm phần mềm độc hại như keylogger hoặc các phần mềmgián điệp trên máy chủ, cách tốt nhất cho các nhà quản lý mạng là chạy nhữngứng dụng cảnh báo đột nhập (intrusion-detection system) trên mọi máy chủ

Một cách đơn giản nữa để ngăn chặn các cuộc tấn công kiểu này là:khóa máy chủ để không một ứng dụng mới nào chưa được phép có thể cài đặt

và chạy trên máy chủ này Tuy nhiên, các nhà quản trị mạng lại không thích

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

những việc này vì họ luôn thích việc có thể cài đặt thêm những phần mềm bất

kỳ lúc nào

Không tuân thủ những tiêu chuẩn bảo mật dữ liệu chuẩn

Chuẩn PCI DSS thiết lập12 qui định kiểm soát để bảo vệ thông tin chủthẻ thanh toán Hầu hết các doanh nghiệp thậm chí đã không thèm thử ứngdụng các tiêu chuẩn PCI hoặc chỉ ứng dụng cục bộ tại các máy chủ quan trọng

1.5 Kết luận chương

Vấn đề an toàn bảo mật ngày nay đang được các cơ quan, nhà bảo mật

và đặt biệt là an ninh mạng đang được quan tâm hàng đầu, an toàn dữ liệu,thông tin người dùng, và tài chính của công ty, mọi vấn đề đều cần được quantâm Đối với doanh nghiệp, thì quan trọng nhất là thông tin cá nhân, tài khoảncủa người dùng, ví dụ như ngân hàng chẳng hạn, các thông tin này phải đượcbảo mật tuyệt đối, vì thế vấn đề bảo mật đang là một thách thức lớn cho cácnhà doanh nghiệp

Cùng với sự thay đổi của công nghệ từng ngày, từng giờ thì các nhà sảnxuất mạng, phần mềm cũng phải tập trung vào nghiên cứu và đưa ra nhữngsản phẩm mới của mình nhằm đáp ứng nhu cầu của thị trường Cũng chính vìvậy, mặc dù đã rất cố gắng nhưng các nhà sản xuất cũng không thể tránh đượccác lỗ hổng bảo mật trong hệ thống, thiết bị của mình

Bên cạnh đó có thể do sai sót hoặc do một số nguyên nhân khách quannào đó mà những người quả trị mạng vô tình tạo ra lỗ hổng bảo mật trong hệthống Phía trên có đề ra một số sai sót dẫn đến những vấn đề gây ra mất antoàn trong hệ thống

Vì vậy để tránh các vụ xâm nhập và phá hoại trái phép thì người quảntrị luôn phải chú ý cập nhật các bản vá lỗi cho hệ thống cũng như các khuyếncáo từ nhà sản xuất Và bên cạnh đó luôn luôn tìm hiểu công nghệ mới để

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

nâng cao nghiệp vụ cũng như tránh các sai sót dẫn đến việc mất an toàn trong

hệ thống

2.1.1.1 Khái niệm firewall

Firewall là thiết bị ngăn chặn sự truy cập không hợp lệ từ mạng bênngoài vào mạng bên trong Firewall bao gồm cả phần cứng và phần mềm

2.1.1.2 Các chức năng cơ bản của firewall

Firewall cho phép ngăn chặn dịch vụ từ trong ra ngoài và ngược lại;Kiểm soát địa chỉ truy cập và dịch vụ sử dụng; Kiểm soát khả năng truy cập;Kiểm soát nội dung thông tin truyền tải; Ngăn ngừa tấn công từ các mạng bênngoài

2.1.1.3 Phân loại firewall

Firewall có nhiều loại khác nhau và mỗi loại có ưu nhược điểm riêng.Thông thường firewall được chia làm 2 loại: firewall phần cứng và firewallphần mềm

a Firewall phần cứng:

Là thiết bị được tích hợp bộ định tuyến, quy tắc lọc gói tin được đặttrên bộ định tuyến Firewall sẽ dựa trên nguyên tắc để kiểm tra gói tin Môhình firewall phần cứng (Hình 2.1)

Hình 2.1 Mô hình firewall phần cứng

Hình 2.2 Mô hình firewall phần mềm

c Ưu và nhược điểm của firewall:

Firewall phần cứng thường được sử dụng cho các mạng lớn, firewallnhận gói tin và kiểm duyệt rồi chuyển tiếp cho các máy trong mạng, tốc độcủa firewall phần mềm hoạt động chậm hơn so với firewall phần cứng nênảnh hưởng đến tốc độ của hệ thống mạng

Firewall phần mềm sử dụng để đảm bảo anh ninh cho các mạng vừa,nhỏ do đó chi phí thấp, không ảnh hưởng đến tốc độ chuyển các gói tin;Firewall phần mềm thực hiện trên từng hệ điều hành nhất định Firewall phầncứng có thể thực hiện độc lập

Firewall phần mềm có thể lọc được nội dung gói tin còn firewall phầncứng chỉ có thể lọc thông tin của gói tin, nội dung của gói tin thì firewall phầncứng không thể kiểm soát

2.1.1.4.Một số hệ thống firewall khác

a Packet-Filtering Router (Bộ định tuyến có lọc gói) – Hình 3-3.

Có hai chức năng: chuyển tiếp thông tin giữa hai mạng và sử dụng cácquy luật về lọc gói để cho phép hay từ chối truyền thông Quy luật lọc đượcđịnh nghĩa sao cho các host trên mạng nội bộ được quyền truy cập trực tiếp

Hình 2.3 Mô hình sử dụng Packet-Filtering Router

Ưu điểm: Cấu hình đơn giản, chi phí thấp; Trong suốt đối với người dùng Hạn chế: Dễ bị tấn công vào các bộ lọc do cấu hình không hoàn hảo

b Screened Host Firewall – Hình 3-4.

Bao gồm một Packet-Filtering Router và một Bastion Host ScreenedHost Firewall cung cấp độ bảo mật cao hơn Packet-Filtering Router, vì hệthống thực hiện bảo mật ở tầng mạng và tầng ứng dụng Mô hình này, đốitượng tấn công bị ngăn cản ở hai tầng bảo mật

Hình 2.4 Mô hình Screen Host Firewall

c Delimitarized Zone (DMZ – khu vực phi quân sự) – Hình 3-5.

Bao gồm hai Packet-Filtering Router và một Bastion Host, có độ antoàn cao nhất vì cung cấp cả mức bảo mật mạng và ứng dụng Mạng DMZđóng vai trò độc lập đặt giữa internet và mạng nội bộ, được cấu hình sao cho

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

các hệ thống chỉ có thể truy cập được một số dịch vụ mà không thể kết nối trực tiếp với mạng DMZ

Ưu điểm: Ba tầng bảo vệ: Router ngoài, Bastion host và Router trong

2.1.1.5 Các kiến trúc firewall

a Kiến trúc Dual-Home Host.

Phải có ít nhất hai card mạng giao tiếp với hai mạng khác nhau và đóngvai trò router mềm Kiến trúc này rất đơn giản, Dual-Home Host ở giữa, mộtbên được kết nối với internet và một bên kết nối với mạng LAN

b Kiến trúc Screen Host.

Có cấu trúc ngược lại với Dual-Home Host, cung cấp dịch vụ từ mộthost trong mạng nội bộ, dùng một router độc lập với mạng bên ngoài, cơ chếbảo mật của kiến trúc này là phương pháp Packet Filtering

c Kiến trúc Screen Subnet (Hình 3-5).

Kiến trúc này dựa trên nền tảng của kiến trúc Screen Host bằng cáchthêm vào phần an toàn nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, táchBastion Host ra khỏi các host thông thường khác Kiểu Screen Subnet đơngiản gồm hai Screen Router:

- Router ngoài: Nằm giữa mạng ngoại vi và mạng ngoài có chức năngbảo vệ cho mạng ngoại vi

- Router trong: Nằm giữa mạng ngoại vi và mạng nội bộ, nằm bảo vệmạng nội bộ trước khi ra với bên ngoài và mạng ngoại vi

Hình 2.5 Mô hình Screened-subnet firewall

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

2.1.1.6 Chính sách xây dựng firewall.

Một số giải pháp và nguyên tắc cơ bản khi xây dựng firewall

a Quyền hạn tối thiểu (Least Privilege).

Nguyên tắc này có nghĩa là bất cứ một đối tượng nào bên trong hệ thống chỉ nên có những quyền hạn nhất định

b Bảo vệ theo chiều sâu (Defense in Depth).

Lắp đặt nhiều cơ chế an toàn để có thể hỗ trợ lẫn nhau Vì vậy firewallđược xây dựng theo cơ chế có nhiều lớp bảo vệ là hợp lý nhất

c Nút thắt (Choke Point).

Một nút thắt bắt buộc những kẻ đột nhập phải đi qua một ngõ hẹp màngười quản trị có thể kiểm soát

d Điểm xung yếu nhất (Weakest Link).

Cần phải tìm ra những điểm yếu của hệ thống để có phương án bảo vệ,tránh đối tượng tấn công lợi dụng để truy cập trái phép

e Hỏng trong an toàn (Fail-Safe Stance).

Nếu hệ thống đang hỏng thì phải hỏng theo một cách nào đó để ngănchặn sự truy cập bất hợp pháp tốt hơn là để cho kẻ tấn công lọt vào phá hệthống

f Sự tham gia toàn cầu.

Các hệ thống mạng phải có biện pháp bảo vệ an toàn Nếu không, đốitượng truy cập bất hợp pháp có thể truy cập vào hệ thống này, sau đó truy cậpsang hệ thống khác

g Tính đa dạng của việc bảo vệ.

Áp dụng nhiều biện pháp bảo vệ thông tin dữ liệu trong hệ thống mạngtheo chiều sâu

h Tuân thủ các nguyên tắc căn bản (Rule Base).

Thực hiện theo một số quy tắc nhất định, khi có một gói tin đi quafirewall thì phải dựa vào các quy tắc đề ra để phân tích và lọc gói tin

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

i Xây dựng chính sách an toàn (Security Policy).

Firewall phải được thiết kế, xây dựng bằng một chính sách an toàn sẽ tạo

ra được sức mạnh và hiệu quả Một số chính sách an toàn như sau:

- Hạn chế những máy trong mạng nội bộ được truy cập internet

- Thông tin vào ra trong mạng nội bộ đều phải được xác thực và mã hóa

j Thứ tự các quy tắc trong bảng (Sequence of Rule Base)

Cần phải quan tâm đến thứ tự, cấp độ của quy tắc và trong đó có một sốquy tắc đặc biệt Đa số các firewall kiểm tra các gói tin một cách tuần tự vàliên tục, khi firewall nhận một gói tin, nó sẽ kiểm tra gói tin đó có đúng vớinguyên tắc hay không cho đến khi có quy tắc nào thỏa mãn thì nó thực thitheo quy tắc đó

k Các quy tắc căn bản (Rule Base).

- Không có gói tin nào có thể đi qua được, bất kể gói tin đó là gì

- Đầu tiên cho phép đi từ trong ra ngoài mà không có hạn chế nào

- Hạn chế tất cả không có phép một sự xâm nhập nào vào firewall

- Không ai có thể kết nối với firewall, bao gồm cả Admin, phải tạo ramột quy tắc để cho phép Admin truy cập được vào firewall

2.1.2 IP Security

2.1.2.1 Tổng quan

PSec (IP Security) bao gồm các giao thức để bảo mật quá trình truyềnthông tin trên nền tảng Internet Protocol (IP) Gồm xác thực và/hoặc mã hóa(Authenticating, Encrypting) cho mỗi gói IP (IP Packet) trong quá trìnhtruyền thông tin Giao thức IPSec được làm việc tại tầng Network Layer của

mô hình OSI – Hình 3-6

Hình 2.6 Mô hình OSI (Open System Interconnection) 2.1.2.3 Thực trạng

IPSec là một phần bắt buộc của Ipv6, có thể được lựa chọn khi sử dụngIpv4 Trong khi các chuẩn đã được thiết kế cho các phiên bản IP giống nhau,phổ biến nhất hiện nay là áp dụng và triển khai trên nền tảng Ipv4

2.1.2.4 Thiết kế theo yêu cầu

IPSec được cung cấp bởi Transport Mode (End-to-End) đáp ứng bảomật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel Mode(Portal-to-Portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được

sử dụng khi kết nối VPN IPSec đã được giới thiệu và cung cấp các dịch vụbảo mật:

- Mã hóa quá trình truyền thông tin; Đảm bảo tính nguyên vẹn của dữliệu; Được xác thực giữa các giao tiếp; Chống quá trình Replay trong cácphiên bảo mật; Modes – Các mode

h t t p : / / www l r c- tn u e d u v n /

Số hóa bởi Trung tâm Học liệu

- Có hai mode thực hiện IPSec đó là:

+ Transport Mode: Chỉ những dữ liệu giao tiếp các gói tin được mã hóa và/hoặc xác thực

+ Tunnel Mode: Toàn bộ gói IP được mã hóa và xác thực

- IP Encapsolating Security Payload: Cung cấp bảo mật và có thể lựa chọn

cả tính năng Authentication và Integrity để đảm bảo tính toàn vẹn dữ liệu

a Giao thức Authentication Header (AH).

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu Làlựa chọn nhằm chống lại các tấn công Replay Attack bằng cách sử dụng côngnghệ tấn công Sliding Windows và Discarding Older Packets Hình 3-7 là mô

tả của AH

Các Model thực hiện:

- Next Header: Nhận dạng giao thức trong sử dụng truyền thông tin

- Payload Length: Độ lớn của gói tin AH

- Reserved: Sử dụng trong tương lai (được biểu diễn bằng các số 0)

Hình 2.7 Mô hình hoạt động trong giao thức AH