ĐỀ CƯƠNG QUẢN TRỊ AN TOÀN HỆ THỐNG (sườn ôn tập, khi thi nhớ phân tích các ý thêm nhé) Đề thi gồm phần lý thuyết và bài tập tình huống Mục lục Câu 1: Các nguyên nhân gây mất an toàn hệ thống ............................................. 2 Câu 2: Các hiểm họa chính đối với an toàn hệ thống ........................................... 3 Câu 3: Các nhiệm vụ trong quản trị an toàn hệ thống......................................... 4 Câu 4: Các yêu cầu thiết lập an toàn hệ thống ...................................................... 5 Câu 5: Phân vùng hệ thống mạng .......................................................................... 6 Câu 6: Thiết lập nền tảng xác thực an toàn .......................................................... 7 Câu 7: Thiết lập an toàn cho mạng LAN không dây ............................................ 8 Câu 8: Tìm kiếm và loại bỏ mạng không dây giả mạo. ........................................ 9 Câu 9: Khái niệm, chức năng, phân loại tường lửa ............................................10 Câu 10: Tạo chính sách tường lửa ........................................................................12 Câu 11: Thiết lập luật tường lửa ..........................................................................14 Câu 12: Tường lửa Iptables trên Linux ...............................................................15 Câu 13: Triển khai công nghệ phát hiện và ngăn chặn xâm nhập ....................16 Câu 14: Quản lý các sự cố an toàn hệ thống .......................................................21 2 Câu 1: Các nguyên nhân gây mất an toàn hệ thống Các nguyên nhân gây mất an toàn hệ thống bao gồm: điểm yếu công nghệ, điểm yếu chính sách, cấu hình yếu. • Điểm yếu công nghệ: o Công nghệ bao gồm: computer, server, firewall, IDSIPS, router, switch… o Điểm yếu trong giao thức TCPIP như tấn công chặn bắt và phân tích gói tin, bắt tay 3 bước TCP, tấn công từ chối dịch vụ SYN flood, ICMP ping of death… o Điểm yếu trong máy tính và hệ điều hành như: ▪ Không lock màn hình khi không sử dụng. ▪ Không đặt mật khẩu cho tài khoản người dùng. ▪ Không cập nhật bản vá cho hệ điều hành và các phần mềm ứng dụng. o Điểm yếu trong thiết bị mạng: ▪ Tài khoản thiết lập lập sẵn trong các thiết bị mạng: router, firewall, default password list, cập nhật phiên bản mới cho hệ điều hành. • Điểm yếu chính sách: o Không có các văn bản chính sách an toàn thông tin. o Thiếu kế hoạch giám sát an ninh. o Thiếu kế hoạch khôi phục sau sự cố. o Chính sách với con người. • Cấu hình yếu: o Danh sách kiểm soát truy cập không chặt chẽ. o Sử dụng mật khẩu không an toàn. o Mở cổng dịch vụ không cần thiết. o Các dịch vụ truy cập từ không đảm bảo an toàn mạnh.
ĐỀ CƯƠNG QUẢN TRỊ AN TỒN HỆ THỐNG (sườn ơn tập, thi nhớ phân tích ý thêm nhé) Đề thi gồm phần lý thuyết tập tình Mục lục Câu 1: Các nguyên nhân gây an toàn hệ thống .2 Câu 2: Các hiểm họa an tồn hệ thống Câu 3: Các nhiệm vụ quản trị an toàn hệ thống .4 Câu 4: Các yêu cầu thiết lập an toàn hệ thống Câu 5: Phân vùng hệ thống mạng Câu 6: Thiết lập tảng xác thực an toàn Câu 7: Thiết lập an tồn cho mạng LAN khơng dây Câu 8: Tìm kiếm loại bỏ mạng không dây giả mạo Câu 9: Khái niệm, chức năng, phân loại tường lửa 10 Câu 10: Tạo sách tường lửa 12 Câu 11: Thiết lập luật tường lửa 14 Câu 12: Tường lửa Iptables Linux .15 Câu 13: Triển khai công nghệ phát ngăn chặn xâm nhập 16 Câu 14: Quản lý cố an toàn hệ thống .21 Câu 1: Các nguyên nhân gây an toàn hệ thống Các nguyên nhân gây an toàn hệ thống bao gồm: điểm yếu công nghệ, điểm yếu sách, cấu hình yếu • Điểm yếu cơng nghệ: o Công nghệ bao gồm: computer, server, firewall, IDS/IPS, router, switch… o Điểm yếu giao thức TCP/IP cơng chặn bắt phân tích gói tin, bắt tay bước TCP, công từ chối dịch vụ SYN flood, ICMP ping of death… o Điểm yếu máy tính hệ điều hành như: ▪ Khơng lock hình khơng sử dụng ▪ Khơng đặt mật cho tài khoản người dùng ▪ Không cập nhật vá cho hệ điều hành phần mềm ứng dụng o Điểm yếu thiết bị mạng: ▪ Tài khoản thiết lập lập sẵn thiết bị mạng: router, firewall, default password list, cập nhật phiên cho hệ điều hành • Điểm yếu sách: o Khơng có văn sách an tồn thơng tin o Thiếu kế hoạch giám sát an ninh o Thiếu kế hoạch khơi phục sau cố o Chính sách với người • Cấu hình yếu: o Danh sách kiểm sốt truy cập khơng chặt chẽ o Sử dụng mật khơng an tồn o Mở cổng dịch vụ không cần thiết o Các dịch vụ truy cập từ khơng đảm bảo an tồn mạnh Câu 2: Các hiểm họa an tồn hệ thống Có hiểm họa là: hiểm họa có cấu trúc, hiểm họa khơng có cấu trúc, hiểm họa từ bên trong, hiểm họa từ bên ngồi • Hiểm họa khơng có cấu trúc: Liên quan đến cơng có tính chất tự phát như: o Cá nhân tị mị thử nghiệm o Lỗ hổng phần mềm tiềm ẩn o Sự vô ý người dùng như: không đặt mật khẩu, mật dễ đốn; máy tính khơng cài chương trình anti – virus; khơng bảo mật liệu quan trọng o Hiểm họa môi trường tạo thiên tai: động đất, cháy, nổ, điện… • Hiểm họa có cấu trúc: Hiểm họa đối tượng có tổ chức có kỹ thuật cao thực hiện, với nhiều mục đích khác như: o Vụ lợi: dị qt thơng tin, ăn cắp thơng tin, tài khoản… o Chính trị: ▪ Hacker Trung Quốc – Mỹ ▪ Vụ việc nghe trộm điện thoại thủ tướng Đức ▪ Vụ việc WikiLeak tung thơng tin phủ Mỹ o So tài o Kinh doanh: ▪ Vụ việc công ty VCCorp ▪ Lỗ hổng “Headbleed’ OpenSSL: Facebook, Yahoo, Facebook… • Hiểm họa từ bên trong: o Chính sách kiểm sốt an ninh, an tồn khơng chặt chẽ o Hiểm họa tạo từ cá nhân bên nội bộ: nghe trộm thông tin, sử dụng USB tùy tiện, leo thang đặc quyền, tài ngun chia sẻ khơng phân quyền thích hợp, xâm nhập máy trạm, máy chủ từ người dung bên (thông qua mạng, thông qua đường vật lý) o Hiểm họa từ mã độc: virus, trojan, backdoor… • Hiểm họa từ bên ngoài: o Nguồn hiểm họa xuất phát từ Internet vào mạng bên trong: ▪ Tấn cơng dị quét ▪ Tấn công ứng dụng ▪ Tấn công từ chối dịch vụ o Hiểm họa từ mã độc: mail, website, software… o Hiểm họa từ mạng xã hội: facebook, phishing… Câu 3: Các nhiệm vụ quản trị an tồn hệ thống Vịng đời quản trị an tồn hệ thống bao gồm giai đoạn: bảo mật, giám sát, kiểm thử đánh giá, nâng cấp Tương ứng với giai đoạn có nhiệm vụ cụ thể • Đảm bảo an ninh: lập kế hoạch, triển khai, thiết lập an toàn cho: o Hệ thống mạng o Hệ điều hành o Các dịch vụ mạng • Giám sát: theo dõi hoạt động hệ thống bao gồm thiết bị, hệ điều hành, dịch vụ mạng nhằm phát dấu hiệu cố o Sử dụng công cụ giám sát IDS, firewall, Arcsight… o Task Manager • Kiểm thử đánh giá: sử dụng kỹ thuật, cơng cụ để dị qt nhẳm phát dấu hiệu công, lỗ hổng, điểm yếu, rủi ro tồn hệ thống • Nâng cấp: o Dựa vào kết giám sát, đánh giá, sách bảo mật tổ chức, cơng ty Cập nhật phần mềm anti-virus o Cập nhật vá cho hệ điều hành, phần mềm dịch vụ o Cập nhật luật cho tường lửa, IDS, router… Câu 4: Các yêu cầu thiết lập an toàn hệ thống • Thay đổi tài khoản mặc định • Bảo mật tài khoản quản trị: o Tên tài khoản quản trị thường dùng: administrator, admin, root, manager… o Tấn công vào mật khẩu: từ điển, vét cạn… o Đặc điểm: có tồn quyền thực hệ thống • Biện pháp: o Thực thi mật an toàn o Hạn chế quyền người dùng có quyền admin o Thay đổi tên thư mục admin • Sử dụng quyền quản trị lúc: o Trong Microsoft Windows: sử dụng Run as o Trong Linux Unix: sử dụng SU SUDO • Đóng cổng khơng cần thiết: o Sử dụng cơng cụ dị qt để phát dịch vụ cổng mở máy chủ, máy trạm o Đóng cổng, dịch vụ khơng sử dụng • Cài đặt chương trình anti – virus: o Bảo vệ máy tính tránh khỏi lây nhiễm phần mềm độc hại thời gian thực o Phát loại bỏ mã độc đính kèm với ứng dụng tải từ Internet máy tính o Bảo vệ máy tính truy cập Internet o Chú ý: ▪ Yêu cầu tài ngun máy tính: RAM, CPU, băng thơng ▪ Gỡ bỏ tệp tin bị lây nhiễm • Kiểm tra chức lưu phục hồi: o Mục đích: khơi phục lại liệu hệ thống có cố xảy cách nhanh o Các liệu liên quan: liệu lưu trữ, mã nguồn website, CSDL website, phần mềm, hệ điều hành, thông tin cấu hình firewall, router… Câu 5: Phân vùng hệ thống mạng • Mục đích: o Dễ dàng quản lý o Áp dụng sách an tồn thơng tin o Bảo vệ mạng bên từ công bên ngồi o Dễ khơi phục gặp cố • Hậu việc không phân vùng mạng: o Kẻ cơng bên ngồi dễ dàng xâm nhập vào mạng bên o Dễ dàng theo dõi, ăn cắp thông tin, phá hủy liệu bên o Người dùng bên dễ dàng xâm nhập vào liệu phận khác o Cài đặt chương trình để cơng mục tiêu bên ngồi • Lựa chọn mơ hình phân vùng mạng Các tiêu chí phân vùng mạng: o Phân vùng mạng dựa vào trách nhiệm theo lĩnh vực công việc o Phân vùng mạng dựa vào mức độ đe dọa, rủi ro an ninh, an toàn o Phân vùng mạng dựa vào kiểu dịch vụ o Phân vùng mạng dựa vào nhu cầu kinh doanh a Phân vùng mạng dựa vào trách nhiệm cơng việc: o Mỗi cơng ty, tổ chức có phận chuyên môn riêng o Đặc trưng mức độ bảo mật liệu phận khác nhau: phịng hành chính, phịng tài chính, phịng quảng bá, phịng IT, phịng lãnh đạo… o Mỗi phận chun mơn cần có sách bảo mật phù hợp b Phân vùng mạng dựa vào mức độ đe dọa, rủi ro an tồn: o Các tiêu chí mà hệ thống mạng cần đảm bảo gồm: tính bí mật, tính tồn vẹn, tính sẵn sàng o Xác định tài sản, thiết bị mạng có nguy bị cơng từ cao xuống thấp: máy chủ dịch vụ web, máy chủ mail, máy chủ lưu trữ liệu, máy tính cá nhân, máy in mạng, thiết bị mạng o Nhóm máy chủ cung cấp dịch vụ vào phân vùng mạng DMZ: router biên, tường lửa, anti – virus gateway, thiết bị phát xâm nhập NIDS o Nhóm máy trạm người dùng vào phân vùng mạng nội o Phân nhỏ mạng nội thành VLAN Câu 6: Thiết lập tảng xác thực an tồn • Xác thực trình thiết lập chứng minh nguồn gốc người tiến trình tin cậy • Mỗi người dùng xác thực cần có định danh ID phải chứng minh định danh đích thực • Xác thực tổ chức có nhiều hệ điều hanh, nhiều thiết bị khác gọi xác thực đa tảng • Phương pháp xác thực thơng qua username password • Thiết lập mật an tồn: o Để tránh bị cơng vào mật nên: đặt mật có độ phức tạp cần thiết, độ dài mật tối thiểu kí tự, kết hợp nhiều ký tự o Hai dạng công vào mật khẩu: vét cạn, công từ điển • Lựa chọn tiến trình xác thực an toàn với phương pháp xác thực phổ biến: o Xác thực dựa biết: ▪ Người xác thực phải biết tên đăng nhập ▪ Xác minh tên đăng nhập mật o Xác thực dựa tính vật lý khơng đổi: ▪ Mỗi người có nhân tố vật lý riêng khơng thay đổi: vân tay, võng mạc, giọng nói, khn mặt… ▪ Xác thực dựa nhân tố vật lý riêng gọi sinh trắc học ▪ Nếu người dùng cung cấp nhân tố nhận dạng mà không cần nhập định danh, hệ thống so sánh với CSDL có sẫn, kết trùng q trình xác thực thành cơng o Xác thực dựa có: ▪ Người dùng hệ thống cần phải có thiết bị vật lý: thẻ khóa, thẻ bài… Ưu điểm phương pháp người dùng không cần nhớ mật ▪ Xác thực dựa ba phương diện chính: - Giá trị mầm ngẫu nhiên: lần xác thực người dùng quan sát để xác định mật Số ngẫu nhiên sinh thiết bị, người dùng, thời gian đăng nhập - Thách thức/ phản hồi: hệ thống đưa yêu cầu, người dùng phải đáp ứng yêu cầu Ví dụ: trả lời câu hỏi bí mật khôi phục mật ứng dụng web - Xác thực sử dụng chứng số: sử dụng cho máy tính, người dùng Sử dụng giao thức bảo mật để chứng thực, mã hóa thư điện tử, chữ ký số, mã hóa liệu Để bảo mật chứng số, cần phải tích hợp vào thiết bị vật lý thẻ thơng minh, USB token… • Các phương pháp xác thực mạnh: o Sử dụng kết hợp nhiều phương pháp xác thực nêu o Xác thực mạnh bao gồm hai lớp bao mật có sẵn: ▪ Một thiết bị vật lý phải đưa thời điểm xác thực ▪ Mã PIN mật để xác thực Câu 7: Thiết lập an toàn cho mạng LAN khơng dây • Thiết lập chức mã hóa: o Sử dụng chuẩn bảo mật cho mạng không dây: WEP, WPA, WPA2, TKIP o Sử dụng kết hợp 802.1x với EAP Điều khiển truy cập thực cách: ▪ Khi người dùng kết nối vào hệ thống mạng, kết nối người dùng đặt trạng thái bị chặn chờ xác thực truy cập ▪ EAP sử dụng định danh: username, password, certificate ▪ Giao thức sử dụng: MD5, TLS, OTP • Sử dụng xác thực thông qua địa MAC: o Kết hợp xác thực địa MAC thông qua máy chủ Radius: • Sử dụng máy chủ xác thực Radius Server: o Việc xác thực người dùng không thực AP mà thực Radius server o Quản lý thông tin tên đăng nhập, mật o Khi người dùng chứng thực, server tra cứu liệu xem người có hợp lệ hay không cấp quyền tới mức Câu 8: Tìm kiếm loại bỏ mạng khơng dây giả mạo • AP giả mạo dùng để mơ tả AP tạo cách vơ tình hay cố ý làm ảnh hưởng tới hoạt động mạng có • Nó dùng để thiết bị hoạt động khơng dây trái phép nhằm mục đích lừa đảo người dùng • AP cấu hình khơng hồn chỉnh • AP giả mạo kẻ cơng tạo ra: o Sao chép tất cấu hình AP thống SSID, địa MAC… o Bước làm cho nạn nhân thực kết nối tới AP giả • AP giả mạo từ mạng WLAN lân cận • Phương pháp phát hiện, ngăn chặn loại bỏ mạng không dây giả mạo: o Triển khai thực thi sách an tồn khơng dây: định nghĩa cách thức để mạng không dây không thực tổ chức Đảm bảo sách thi hành o Cung cấp an toàn mạng vật lý o Cung cấp hạ tầng WLAN đảm bảo o Cô lập mạng WLAN giả mạo cách thực bảo mật cổng thiết bị chuyển mạch mạng WLAN • Hai phương pháp phổ biến để phát mạng không dây giả mạo: o Phát tính khơng dây mạng WLAN trái phép: sử dụng máy trạm truy cập khơng dây định vị WAP phát sóng môi trương hệ thống mạng Hạn chế: máy trạm phải nằm phạm vi WAP, việc phát WAP mà khơng phát SSID khó hăn, khó khảo sát trang web từ xa o Phát mạng khơng dây trái phép từ mạng có dây: giảm bớt khó khăn việc phát mạng không dây giả mạo, dễ dàng khảo sát trang web từ xa Một số công cụ hỗ trợ phổ biến APTools, Arpwatch • Loại bỏ mạng khơng dây giả mạo: o Xác định vị trí vật lý ngắt kết nối WAP giả mạo: tốn thời gian, dễ thất bại o Xác định vị trí cổng switch mà có đạ MAC WAP kết nối vào đóng cổng Câu 9: Khái niệm, chức năng, phân loại tường lửa • Khái niệm: tường lửa thuật ngữ dùng để mô tả thiết bị hay phần mềm có nhiệm vụ lọc thông tin vào hay hệ thống mạng hay máy tính theo quy định thiết lập trước • Chức năng: o Xác thực người dùng truy cập tới nguồn tài nguyên thông tin vùng mạng bảo vệ bên 10 mạng DMZ, cần xác định tiêu chuẩn cần thiết cho tất thiết bị, kết nối, luồng lưu lượng mạng liên quan tới vùng DMZ: trách nhiệm chủ sở hữu, u cầu cấu hình an tồn, yêu cầu hoạt động kiểm soát thay đổi • Chính sách áp dụng chung: o Chính sách mật khẩu: đảm bảo an toàn người quản trị đăng nhập tới tường lửa để cấu hình, giám sát o Chính sách mật mã: liên quan tới việc xác định tất hình thức truy cập sử dụng mật mã (HTTPs, SSL, SSH, IPSec…) o Chính sách ghi nhật ký: xác định yêu cầu ghi nhật ký tường lửa o Chính sách đánh giá rủi ro: xác định phương pháp sử dụng để xác định rủi ro liên quan tới tất thiết bị hệ thống, thay đổi tường lửa… Câu 11: Thiết lập luật tường lửa Thiết lập luật tường lửa có tập quy tắc: • Tập luật lọc đầu vào • Tập luật lọc đầu • Luật quản lý truy cập Tập luật lọc đầu vào o Dùng để giới hạn luồng lưu lượng mạng vào mộ giao diện hay phân vùng mạng o Các luật lọc dựa thông tin: ▪ Địa IP xuất phát ▪ Địa IP nơi nhận ▪ Giao thức sử dụng ▪ Cổng nguồn TCP/UDP ▪ Cổng đích TCP/UDP ▪ Giao diện packet đến/ Tập luật lọc đầu 14 o Hầu hết thông tin tập luật lọc đầu giống với luật lọc đầu vào o Khác nhau: ▪ Lọc đầu vào từ mạng không tin cậy tới mạng tin cậy ▪ Lọc đầu từ mạng tin cậy tới mạng không tin cậy Luật quản lý truy cập o Các quy tắc cần áp dụng bao gồm: ▪ Giới hạn quản lý truy cập, cho phép máy trạm quản lý cụ thể ▪ Không cho phép quản lý truy cập từ mạng không tin cậy ▪ Luôn sử dụng phương pháp mã hóa để quản lý truy cập ▪ Các trường hợp khơng thể sử dụng phương pháp mã hóa quản lý cần xem xét việc thực IPSec để đảm bảo lưu lượng truy cập o Các phương pháp quản lý từ xa ghi nhật ký như: Telnet, SSH, SNMP, Syslog, TFTP va FTP, HTTP HTTPs Câu 12: Tường lửa Iptables Linux • Iptables tường lửa sử dụng lọc gói liệu mạnh mẽ, miễn phí có sẵn Linux • Đặc điểm: o Tích hợp tốt với nhân Linux, cải thiện tốc độ xử lý gói tin tính tin cậy o Lọc tất gói liệu o Lọc gói dựa địa MAC cờ TCP header o Chuyển dịch địa mạng (NAT) tốt o Hỗ trợ tích hợp với chương trình web proxy Squid o Ngăn chặn kiểu công từ chối dịch vụ o Ghi nhật ký hoạt động tường lửa • Xử lý gói tin tường lửa Iptables: 15 o Bảng bảng Mangle: chỉnh sửa chất lượng dịch vụ bit gói tin TCP trước xảy định tuyến TOS (type of service), TTL (time to live) o Bảng thức hai Filter chịu trách nhiệm lọc gói liệu: ▪ Forward chain: lọc gói tin đến máy chủ bảo vệ tường lửa ▪ Input chain: lọc gói vào tường lửa ▪ Output chain: lọc gói tường lửa o Bảng thứ ba NAT chịu trách nhiệm chuyển dịch địa mạng, gồm có hai loại: ▪ Pre-routing chain: gói tin NAT địa đích gói tin cần phải thay đổi ▪ Post-routing chain: gói tin NAT địa nguồn gói tin cần phải thay đổi • Các hành động mà tường lửa áp dụng: ACCEPT, DROP, REJECT, LOG, DNAT, SNAT Câu 13: Triển khai công nghệ phát ngăn chặn xâm nhập • Phát xâm nhập trình theo dõi kiện xảy hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm dấu hiệu xâm nhập bất hợp pháp (sự cố gắng xâm hại đến tính bí mật, tồn vẹn, sẵn sàng, tin cậy hệ thống máy tính) • Việc xâm nhập xuất phát từ mạng bên hay mạng bên • Hệ thống phát xâm nhập hệ thống phần mềm phần cứng, có khả tự động theo dõi phân tích để phát dấu hiệu xâm nhập • IDPS chủ yếu tập trung vào việc xác định cố xảy ra, ghi lại thơng tin cố đó, cố gắng ngăn chặn chúng, báo cáo với quản trị hệ thống mạng • IDPS thành phần bổ sung cần thiết cho hạ tầng an ninh mạng tổ chức, cơng ty • Nhiệm vụ IDPS; o Nhận diện nguy xảy 16 o o o o o Nhận diện công Nhận diện hành vi vi phạm sách Ngăn chặn cơng Gửi cảnh báo Ghi nhật ký • Phân loại: o Hệ thống IDPS dựa mạng (Network IDPS): ▪ Thường dạng thiết bị chuyên dụng ▪ Quản lý phân vùng mạng, gồm nhiều host ▪ Trong suốt với người sử dụng kẻ công ▪ Dễ cài đặt bảo trì ▪ Độc lập với OS ▪ Thường xảy cảnh báo giả ▪ Khơng phân tích lưu lượng mã hóa ▪ ảnh hưởng tới chất lượng mạng o IDPS dựa máy chủ (Host-based IDS): ▪ Sử dụng chương trình phần mềm cài đặt máy chủ ▪ Hoạt động bên máy tính để giám sát tất hoạt động máy ▪ Có khả xác định người dùng liên quan đến kiện ▪ Có thể phân tích liệu mã hóa ▪ Hoạt động phụ thuộc vào host ▪ Cung cấp thông tin host lúc công diễn host • Các kỹ thuật phát xâm nhập: o Phát dựa dấu hiệu: ▪ Dấu hiệu tập hợp mẫu nhóm thơng tin cần thiết để mô tả kiểu công biết, thông tin lưu CSDL IDPS ▪ Hệ thống thực giám sát lưu lượng mạng so sánh với mẫu thơng tin có CSDL, không trùng với dấu hiệu công 17 cho qua, ngược lại hệ thống thực cảnh báo ngăn chặn công ▪ Hiệu việc phát nguy biết, không hiệu việc phát nguy chưa biết o Phát dựa bất thường: ▪ Là trình so sánh hành động coi bình thường với kiện diễn nhằm phát bất thường ▪ IDS dựa vào thơng tin miêu tả hoạt động bình thường nhiều đối tượng người dùng, máy chủ, kết nối mạng, hay ứng dụng ▪ Thông tin ạo giám sát hành động thông thường khoảng thời gian để đưa đặc điểm bật hành động ▪ Yêu cầu thời gian đủ lâu để học tất hành động bình thường hệ thống ▪ Threshold Detection: nhấn mạng thuật ngữ đếm mức ngưỡng hoạt động bình thường đặt Ví dụ: số lần login, tiến trình CPU, số lượng gói tin ▪ Seft-learning Detection: thiết lập hệ thống chạy chế độ tự học thiết lập hồ sơ mạng với hoạt động bình thường ▪ Anomalu protocol Detection: vào hoạt động giao thức, dịch vụ hệ thống để tìm gói tin khơng hợp lệ, hoạt động bất thường dấu hiệu xâm nhập, công o Phát dựa vào phân tích trạng thái giao thức: ▪ Phân tích hành vi giao thức sử dụng sở biết định nghĩa hoạt động hợp lệ giao thức để nhận hành vi cơng ▪ u cầu IDS có khả hiểu theo dõi trạng thái mạng, truyền tải giao thức ứng dụng 18 ▪ Nhược điểm: phức tạp q trình phân tích thực giám sát trạng thái cho nhiều phiên làm việc đồng thời o Kỹ thuật khai phá liệu: ▪ Khai phá liệu khám phá mẫu, mối quan hệ, biến đổi, bất thường, quy luật, cấu trúc kiện quan trọng mang tính chất thống kê liệu ▪ Khai phá liệu phát xâm nhập trái phép để trích lọc tri thức từ tập hợp liệu lớn thông tin truy cập mạng, để phân tích biểu diễn thành mơ hình phát xâm nhập trái phép • Kiến trúc IDPS: o Thành phần thu thập gói tin: có nhiệm vụ lấy tất gói tin qua mạng giám sát o Thành phần phân tích gói tin phát công: dùng để lọc thông tin loại bỏ liệu khơng tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ o Thành phần phản hồi: có dấu hiệu cơng xâm nhập, thành phần phát gửi tín hiệu đến thành phần phản ứng Thành phần phản ứng kích hoạt chức ngăn chặn công hay gửi cảnh báo tới quản trị viên 19 • Triển khai hệ thống: Đối với hệ thống mạng thiết kế có thiết bị IDPS: o Tùy môi trường thực tế tổ chức, doanh nghiệp, người quản trị lập sơ đồ hệ thống mạng phù hợp, bố trí thiết bị máy chủ, máy trạm, tường lửa, IDPS phù hợp với trạng o Lựa chọn sản phẩm IDPS: dựa vào hệ thống mạng lớn hay nhỏ để đầu tư thiết bị hợp lý, lựa chọn IDPS sản phẩm thương mại hay miễn phí, số lượng cần phải đầu tư o Nhận biết nguy gây an toàn hệ thống để từ có sách triển khai phương pháp phịng chống có cố xảy o Thực giám sát liên tục hệ thống thiết lập cảnh báo có cố Đối với hệ thống mạng triển khai thực lắp đặt bổ sung thiết bị IDPS: o Rà soát hệ thống mạng tài sản hệ thống mạng bao gồm: số lượng máy chủ, máy trạm, tường lửa, thiết bị định tuyến, số phân vùng mạng, băng thông… o Nhận biết nguy gây an tồn thiết lập sách phù hợp o Xem xét đầu tư trang thiết bị cho IDPS o Thực triển khai lắp ráp, cài đặt vận hành hệ thống IDPS o Thiết lập sách bảo mật sử dụng cho IDPS • Thiết lập an tồn cho IDPS: Các bước cấu hình an tồn cho NIDS: o Nếu IDPS cài đặt dựa vào hệ điều hành bên thứ ba, phải cấu hình an tồn cho hệ điều hành o Cấu hình an tồn sở hạ tầng mạng nhằm cung cấp mơi trường an tồn cho chức IDPS Bao gồm phân vùng mạng, sử dụng kết hợp thiết bị an toàn cho tường lửa 20 o Cài đặt Snort hay IDS khác hệ thống cấu hình an tồn hệ điều hành hạ tầng mạng Tùy trưng sở hạ tầng mạng để lựa chọn phần mềm có suất cao o Mua thiết bị IDPS chuyên dụng, cài đặt cấu hình an tồn nhà sản xuất, sau lắp ráp cần cấu hình chạy ứng dụng o Đảm bảo an toàn IDS hoạt động: kết nối truyền liệu thành phần IDPS thành phần quản lý tập trung phải bảo vệ kết nối trình điều khiển người quản trị với trung tâm liệu (sử dụng SSL mã hóa luồng liệu nhằm ngăn chặn công chặn bắt, sửa đổi liệu) o Bảo vệ tập tin cấu hình tệp tin chứa mật thơng tin nhạy cảm Ví dụ tệp tin snort.conf lưu mật rõ, snort hoạt động, thực lưu trữ an toàn tệp tin phạm vi an tồn hay sử dụng mã hóa tệp tin Câu 14: Quản lý cố an toàn hệ thống Xác định phân tích cố Các cố thường gặp: o Thông qua thiết bị di động: cơng thiết bị lưu trữ di động, thiết bị ngoại vi mã độc lây lan vào hệ thống qua USB… o Tấn công chiếm dụng dung lượng/ băng thông hệ thống: công DDOS, brute force… o Tấn công website ứng dụng web: công từ trang web dựa ứng dụng trang web Ví dụ sử dụng website giả mạo đánh cắp tài khoảng… o Tấn công vào hệ thống thư điện tử: cơng thực qua thư điện tử cách đính kèm cơng cụ vào thư Ví dụ đính kèm mã độc vào thư dạng tài liệu hay liên kết trang web chứa mã độc 21 o Vi phạm sách tổ chức: ví dụ người dùng sau đăng nhập thành công cài ứng dụng chia sẻ gây mát liệu o Mất bị trộm thiết bị: thiết bị máy tính, thiết bị truyền thơng bị mất, đánh cắp làm mát hay lộ liệu Dấu hiệu nhận biết cố: o Dấu hiệu báo trước: xảy tương lai ▪ Phân tích nhật ký máy chủ thiết bị mạng ▪ Thông tin lỗ hổng bảo mật ▪ Từ người o Các số: xảy xảy ▪ IDS/IPS ▪ Phần mềm chống thư rác virus ▪ Phần mềm kiểm tra tính tồn vẹn tập tin ▪ Dịch vụ giám sát mạng Phân tích cố o Lập hồ sơ mạng hệ thống: thiết lập hồ sơ mức độ hoạt động dự kiến hệ thống => có thay đổi dễ dàng xác định nguyên nhân o Hiểu rõ hoạt động bình thường: thành viên nhóm ứng phó phải hiểu rõ hoạt động bình thường hệ thống để từ nhận biết hoạt động bất thường dễ dàng o Tạo sách trì nhật ký: xác định nhật ký trì bao lâu, hữu ích việc phân tích cố Thời gian trì nhật ký tùy thuộc vào nhiều yếu tố sách khối lượng liệu o Sử dụng liên quan kiện: chứng cố lưu trữ nhiều nơi khác tưởng lửa, IDPS… Mối liên quan kiện nguồn liệu quan trọng việc xác định cố o Đồng thời gian tất máy tính: sử dụng giao thức network time protocol (NTP) để đồng thời gian máy tính mạng 22 Nếu khơng đồng thời gian gây khó khăn liên kết kiện máy o Sử dụng trì kiến thức sở thông tin: kiến thức phải bao gồm thông tin mà đội xử lý cố cần tham khảo nhanh chóng q trình phân tích cố Kiến thức cần có chế linh hoạt nhanh chóng cho việc chia sẻ thành viên nhóm, nên bao gồm nhiều thơng tin giải thích quan trọng dấu hiệu báo trước thị o Sử dụng internet: công cụ tim kiếm internet hỗ trợ hữu ích việc tìm dấu hiệu bất thường hệ thống, đặc biệt chức quét o Sử dụng chương trình nghe Sniffer: phần mềm nghe thu thập quản lý lưu lượng mạng, đem lại thơng tin đầy đủ xác định cố Tuy nhiên cần phải cho phép tổ chức o Lọc liệu: đưa danh sách hoạt động có xu hướng khơng đáng kể hay danh sách hoạt động có xu hướng đáng ngờ để phân tích thay phân tích tất số thu o Tìm kiếm hỗ trợ khác: nhiều nhóm ứng phó cố xác định nguyên nhân đầy đủ chất cố Khi thơng tin cố phận khác cung cấp nguồn tham khảo tốt Phân cấp mức độ ưu tiên xử lý cố Phân cấp theo tiêu chí sau: o Ảnh hưởng đến chức năng: ▪ Không: không ảnh hưởng đến khả cung cấp dịch vụ tổ chức ▪ Thấp: tổ chức cung cấp dịch vụ tính hiệu khơng cịn cao ▪ Trung bình: tổ chức khả cung cấp dịch vụ tới người dùng 23 ▪ Cao: tổ chức khơng cịn khả cung cấp dịch vụ tới tất người dùng o Ảnh hưởng đến thơng tin: ▪ Khơng: khơng có thơng tin bị rị rỉ, thay đổi, xóa bị tồn ▪ Vi phạm quyền riêng tư: thông tin cá nhân nhạy cảm nhân viên, quản lý… bị truy cập bị rò rỉ ▪ Vi phạm quyền sở hữu: thông tin độc quyền chưa phân loại bị rị rỉ truy cập trái phép ▪ Mất tính tồn vẹn: thơng tin nhạy cảm hay độc quyền bị xóa hay thay đổi o Mức độ khơi phục thơng tin: ▪ Bình thường: thời gian phục hồi biết trước với nguồn lực có tổ chức ▪ Bổ sung: thời gian phục hồi biết trước với nguồn lực bổ sung ▪ Mở rộng: thời gian phục hồi trước được, cần có nguồn lực bổ sung giúp đỡ từ bên ngồi ▪ Khơng thể phục hồi: khơng thể phục hồi từ cố Ví dụ liệu bí mật bị rị rỉ hay công khai Hạn chế tác động cố o Lựa chọn chiến lược ngăn chặn Tiêu chí xác định chiến lược bao gồm: ▪ Khả gây thiệt hại mát tài nguyên ▪ Cần giữ chứng ▪ Dịch vụ phải sẵn sàng ▪ Hiệu chiến lược (ngăn chặn phần hay toàn cố) ▪ Thời gian cần thiết cho giải pháp o Thu thập chứng xử lý: ▪ Thơng tin nhận dạng: vị trí, số seri, số hiệu máy… ▪ Tên, chức danh, cách thức liên lạc…của thành viên tham gia xử lý cố 24 ▪ Thời gian (bao gồm vùng thời gian) lần xử lý chứng ▪ Địa điểm nơi chứng lưu trữ o Xác định nguồn cơng: ▪ Kiểm tra tính hợp lệ địa IP nguồn công ▪ Nghiên cứu nguồn công thông qua công cụ tim kiếm ▪ Sử dụng sở liệu cố ▪ Giám sát kênh truyền thơng có khả xảy công Loại bỏ cố o Tùy trường hợp để loại bỏ hoàn toàn hay phần cố Ví dụ: xốc bỏ phần bị lây nhiễm mã độc, xóa bỏ tài khoản người dùng vi phạm, khôi phục lại hệ thống để hoạt động bình thường Bài học kinh nghiệm Việc xử lý cố cần đưa học kinh nghiệm khả hoàn thiện Trả lời câu hỏi: Những xảy thời gian xảy việc? Hành động đắn nhân viên quản lý cố xảy ra? Những thông tin cần thông báo sớm? Những rào cản khắc phục cố? Những hành động có cố tương tự xảy ra? Chia sẻ thông tin với tổ chức khác? Những thông tin cần thơng báo sớm? Hành động khắc phục có ngăn ngừa cố tương tự xảy tương lai? o Công cụ nguồn lực sử dụng trình khắc phục cố? o Lập tài liệu trình khắc phục cố Một số cố điển hình o Xử lý cố công từ chối dịch vụ ▪ Chuẩn bị trước cố xảy ra: o o o o o o o o 25 - Đàm phán với nhà cung cấp dịch vụ ISP tổ chức yêu cầu hỗ trợ - Xem xét điều tra tính khả thi việc tham gia hợp tác đối phó cơng DOS phổ biến có ảnh hưởng tới nhiều tổ chức - Triển khai cấu hình IDPS, giám sát tài nguyên liên tục, ghi log - Xác định xác trang web cung cấp khả thống kê độ trễ ISP khác địa điểm khác - Đàm phán với quản trị viên để hỗ trợ việc phần tích thu thập cơng DOS, DDOS - Duy trì cục ▪ Phịng ngừa cố: - Cấu hình mạng vành đai ngăn chặn tất lưu lượng đến mà không cho phép: ngăn chặn chức echo chargen, lọc đầu vào đầu để chặn gói tin giả mạo, ngăn chặn lưu lượng từ dải địa IP không gán, thiết lập quy tắc tường lửa, danh sách kiểm soát truy cập… - Thực giới hạn tốc độ cho giao thức định Có thể thực mạng vành đai tổ chức, từ ISP tổ chức - Vô hiệu hóa dịch vụ khơng cần thiết máy tính truy cập Internet, hạn chế sử dụng dịch vụ sử dụng cơng DOS - Thiết lập dự phòng cho máy chủ đảm nhiệm chức tường lửa, ISP, máy chủ web… - Đảm bảo hệ thống mạng không hoạt động hết công suất tối đa o Xử lý cố mã độc hại ▪ Chuẩn bị trước cố xảy ra: 26 - Nhận thức cho người sử dụng tác hại mã độc - Tham khảo thông tin nhà cung cấp anti-virus - Triển khai hệ thống IDPS dựa host đến máy chủ, máy trạm quan trọng - Thu thập tài nguyên phân tích cố mã độc - Phần mềm khôi phục cố mã độc ▪ Phòng ngừa cố: - Sử dụng phần mềm anti-virus - Ngăn chặn việc cài đặt phần mềm gián điệp - Ngăn chặn tệp tin đáng ngờ - Lọc thư rác - Hạn chế sử dụng chương trình thiết yếu với khả truyền tệp tin - Giáo dục người sử dụng việc xử lý an tồn tệp tin đính kèm email - Hạn chế mở cửa sổ windows - Sử dụng trình duyệt bảo mật để giới hạn mã điện thoại di động - Ngăn chặn chuyển tiếp email - Cấu hình máy trạm thư để hoạt động an toàn o Xử lý cố truy cập không xác thực ▪ Chuẩn bị trước cố xảy ra: - Cấu hình IDPS dựa mạng dựa máy để xác định cảnh báo hành vi truy cập trái phép - Sử dụng máy chủ lưu trữ tập trung thơng tin cần thiết từ máy tính tổ chức lưu trữ vị trí đảm bảo an toàn - Thiết lập thủ tục kèm tất người dùng ứng dụng, hệ thống, miền tin cậy hay tổ chức nên thay đổi mật thỏa hiệp mật 27 - Khuyến cáo xử lý cố truy cấp trái phép với quản trị hệ thống ▪ Phòng ngừa cố: - Cấu hình mạng vành đai ngăn chặn lưu lượng truy cập không phép - Bảo vệ toàn phương pháp truy cập từ xa, bao gồm modem, mạng riêng ảo - Đặt dịch vụ truy cập công khai DMZ - Đánh giá lỗ hổng thường xuyên để xác định rủi ro giảm thiểu rủi ro - Vơ hiệu hóa dịch vụ không cần thiết máy chủ, chạy dịch vụ với đặc quyền - Sử dụng tường lửa cá nhân hạn chế tiếp xúc với cá nhân công - Hạn chế truy cập vật lý trái phép - Thường xuyên kiểm tra thiết lập cho phép với tài nguyên quan trọng - Tạo sách mật sử dụng phức tạp, sử dụng phương pháp xác thực mạnh - Tạo tiêu chuẩn xác thực ủy quyền cho nhân viên, nhà phát triển để thực thẩm định, phát triển phần mềm - Lập thủ tục dự phòng tài khoản người dùng 28 ... nhiệm vụ quản trị an toàn hệ thống Vịng đời quản trị an tồn hệ thống bao gồm giai đoạn: bảo mật, giám sát, kiểm thử đánh giá, nâng cấp Tương ứng với giai đoạn có nhiệm vụ cụ thể • Đảm bảo an ninh:...Câu 1: Các nguyên nhân gây an toàn hệ thống Các nguyên nhân gây an toàn hệ thống bao gồm: điểm yếu cơng nghệ, điểm yếu sách, cấu hình yếu • Điểm yếu cơng nghệ: o Cơng nghệ bao gồm: computer, server,... cảnh báo tới quản trị viên 19 • Triển khai hệ thống: Đối với hệ thống mạng thiết kế có thiết bị IDPS: o Tùy mơi trường thực tế tổ chức, doanh nghiệp, người quản trị lập sơ đồ hệ thống mạng phù