Sau khi hoàn tất chương, sinh viên có những khả năng: Giải thích được thế nào là an toàn hệ thống và an ninh mạng. Phân loại và trình bày được các mối đe dọa đối với hệ thống máy tính và hệ thống mạng. Trình bày được các kỹ thuật tấn công trên mạng gồm: tấn công thăm dò, tấn công truy cập, tấn công từ chối dịch vụ. Hiểu và phân loại được các phần mềm có hại và cách thức hoạt động của từng loại phần mềm có hại. Mô tả được các yêu cầu cơ bản của 1 hệ thống an toàn mạng: chứng thực, phân quyền và giám sát.
Chương Tổng quan an toàn hệ thống an ninh mạng • Thế an tồn hệ thống an ninh mạng • Tấn cơng mạng • Các phần mềm có hại • Các yêu cầu hệ thống mạng an tồn Bộ mơn MMT&TT 14/05/2010 Mục tiêu • Cung cấp cho người học nhìn tổng quan an tồn mạng vấn đề liên quan an tồn mạng • Sau hồn tất chương, sinh viên có khả năng: ▫ Giải thích an tồn hệ thống an ninh mạng ▫ Phân loại trình bày mối đe dọa hệ thống máy tính hệ thống mạng ▫ Trình bày kỹ thuật công mạng gồm: cơng thăm dò, cơng truy cập, cơng từ chối dịch vụ ▫ Hiểu phân loại phần mềm có hại cách thức hoạt động loại phần mềm có hại ▫ Mơ tả yêu cầu hệ thống an toàn mạng: chứng thực, phân quyền giám sát Bộ môn MMT&TT 14/05/2010 Phần Yêu cầu hệ thống mạng an tồn • Giới thiệu kiến trúc AAA • Authentication • Authorization • Accounting Bộ môn HTMT&TT 14/05/2010 Yêu cầu hệ thống mạng an tồn • Kiến trúc AAA Bộ môn MMT&TT 14/05/2010 Yêu cầu hệ thống mạng an tồn • Kiến trúc AAA nhận nhận dạng dạng đúng người người dùng dùng giám giám sát sát những gì mà mà người người dùng dùng làm làm giới giới hạn hạn quyền quyền mà mà người người dùng dùng có thể làm làm Kiến Kiến trúc trúc AAA AAA cho cho phép phép nhà nhà quản quản trị trị mạng mạng biết biết được các thông thông tin tin quan quan trọng trọng về tình tình hình mức mức độ độ an an toàn toàn của hệ hệ thống thống mạng mạng Bộ môn MMT&TT 14/05/2010 Yêu cầu hệ thống mạng an tồn • Kiến trúc AAA AAA AAA thường thường cung cung cấp cấp 11 phương phương thức thức định định danh danh người người dùng, dùng, xác xác định định mức mức độ độ truy truy cập cập trong mạng mạng và giám giám sát sát hoạt hoạt động động của người người dùng dùng trong mạng mạng Bộ mơn MMT&TT 14/05/2010 Chứng thực (Authentication) • Khái niệm Chứng Chứng thực thực là một quy quy trình trình nhằm nhằm cố cố gắng gắng xác xác minh minh nhận nhận dạng dạng số số (digital (digital identity) identity) của phần phần truyền truyền gửi gửi thông thông tin tin (sender) (sender) trong giao giao thông thông liên liên lạc lạc Bộ môn MMT&TT Điểm Điểm yếu yếu của các hệ hệ thống thống giao giao dịch dịch bằng tài tài khoản-mật khoản-mật khẩu là :: •• mật mật khẩu có thể bị bị qn qn •• mật mật khẩu bị bị lộ lộ •• Dễ Dễ dàng dàng dò dò tìm tìm ra mật mật khẩu yếu yếu 14/05/2010 Chứng thực (Authentication) • Chứng thực chiều chiều Chứng thực chiều (1 way authentication) Client Client sẽ cung cung cấp cấp cho cho Server Server tài tài khoản khoản và mật mật khẩu Bộ môn MMT&TT Chứng thực chiều (2 way authentication) Cả Cả 22 bên bên sẽ phải phải xác xác nhận nhận với với nhau bằng username username và password password tương tương ứng ứng 14/05/2010 Chứng thực (Authentication) • PAP CHAP Password Password Authentication Authentication Protocol Protocol (PAP): (PAP): •• Chứng Chứng thực thực 11 chiều chiều hoặc 22 chiều chiều •• Gửi Gửi trực trực tiếp tiếp username username và password password đi trên đường đường truyền truyền •• Dữ Dữ liệu liệu khơng khơng mã mã hóa hóa (dạng (dạng plaintext) plaintext) •• Kém Kém an an tồn tồn Challenge Challenge Handshake Handshake Authentication Authentication Protocol Protocol (CHAP): (CHAP): •• Chứng Chứng thực thực 22 chiều chiều •• Khơng Khơng gửi gửi trực trực tiếp tiếp username username và password password đi trên đường đường truyền truyền •• Dữ Dữ liệu liệu được mã mã hóa hóa theo theo MD5 MD5 •• An An tồn tồn hơn PAP PAP Bộ môn MMT&TT 14/05/2010 Chứng thực (Authentication) • Hệ thống Kerberos – Mục tiêu Một Một khoá khoá mật mật mã mã càng được sử sử dụng dụng lại lại nhiều nhiều lần lần thì nguy nguy cơ bị bị giải giải mã mã càng lớn lớn Cần Cần một khố khố được mã mã hố hố có có thời thời gian gian sống sống ngắn ngắn mà mà không không tạo tạo ra sự bất bất tiện tiện cho cho người người sử sử dụng dụng •• Khơng Khơng truyền truyền đi trên mạng mạng mật mật khẩu “dưới “dưới dạng dạng plaintext” plaintext” •• Có Có khả khả năng chống chống lại lại dạng dạng tấn công công “sử “sử dụng dụng lại” lại” (replay (replay attack) attack) •• Không Không yêu yêu cầu cầu người người dùng dùng lặp lặp đi lặp lặp lại lại thao thao tác tác nhập nhập mật mật khẩu trước trước khi truy truy nhập nhập vào vào các dịch dịch vụ vụ thường thường dùng dùng Bộ môn MMT&TT 14/05/2010 10 Chứng thực (Authentication) • Mật sử dụng lần Người Người dùng dùng không không cần cần lo lo lắng lắng mật mật khẩu của mình bị bị đánh đánh cắp cắp hay hay bị bị mất One One time time password password (OTP) (OTP) •• OTP OTP thường thường đi kèm kèm với với các thiết thiết bị bị phần phần cứng cứng •• Đồng Đồng hồ hồ được đồng đồng bộ thời thời gian gian với với hệ hệ thống thống Server Server xác xác thực thực •• Định Định sẵn sẵn một phương phương pháp pháp tạo tạo ra OTP OTP như nhau :: hàm hàm tốn tốn học, học, tín tín hiệu hiệu đồng đồng bộ thời thời gian, gian, … … Bộ môn MMT&TT 14/05/2010 13 Chứng thực (Authentication) • Thẻ cứng (Token card) Nhiều Nhiều loại loại thiết thiết bị bị có thể dùng dùng cho cho token token card card là: là: thẻ thẻ cứng, cứng, PC PC card, card, thiết thiết bị bị USB, USB, thiết thiết bị bị Bluetooth, Bluetooth, … … •• Là Là một trong các giải giải pháp pháp bảo bảo mật mật an an toàn tồn nhất •• Được Được dùng dùng kết kết hợp hợp với với một loại loại chứng chứng thực thực khác khác (chẳng (chẳng hạn hạn như số số PIN, PIN, mật mật khẩu) khẩu) Bộ môn MMT&TT 14/05/2010 14 Chứng thực (Authentication) • Sinh trắc học (biometrics) •• khơng khơng thể thể làm làm mất •• Không Không thể thể quên quên •• Rất Rất khó khó giả giả mạo mạo Dùng Dùng để để chứng chứng thực thực người người dùng dùng thông thông qua: qua: •• Đặc Đặc điểm điểm sinh sinh học: học: khuôn khuôn mặt, mặt, bàn bàn tay, tay, mống mống mắt, mắt, võng võng mạc, mạc, dấu dấu vân vân tay, tay, DNA, DNA, … … •• Hành Hành vi vi bên bên ngoài: ngoài: dáng dáng đi, đi, chữ chữ ký, ký, giọng giọng nói, nói, … … Nhận Nhận dạng dạng nhầm nhầm nếu: nếu: •• Thiết Thiết bị bị đọc đọc khơng khơng chính xác xác •• Đặc Đặc điểm điểm của người người cũng có thể thay thay đổi đổi theo theo năm năm tháng tháng Bộ môn MMT&TT 14/05/2010 15 Phân quyền (Authorization) • Khái niệm Sau Sau khi được chứng chứng thực, thực, việc việc phân phân quyền quyền chỉ định định những gì mà mà người người dùng dùng đó có thể thi thi hành hành trên hệ hệ thống thống Phân Phân quyền: quyền: định định nghĩa nghĩa các quyền quyền (rights) (rights) và sự cho cho phép phép (permission) (permission) của người người dùng dùng trong một hệ hệ thống thống •• Điều Điều khiển khiển truy truy cập cập sẽ cho cho phép phép hoặc từ từ chối chối một chủ chủ thể thể (người (người ,, quá trình) trình) sử sử dụng dụng một đối đối tượng tượng (chức (chức năng, năng, tập tập tin, tin, ….) ….) •• Điều Điều khiển khiển truy truy cập cập có có 22 dạng dạng chính là: là: oo Điều Điều khiển khiển truy truy cập cập tùy tùy quyền quyền (Discretionary (Discretionary Access Access Control) Control) oo Điều Điều khiển khiển truy truy cập cập bắt bắt buộc buộc (Mandarory (Mandarory Access Access Control) Control) Bộ mơn MMT&TT 14/05/2010 16 Phân quyền (Authorization) • Điều khiển truy cập tùy quyền (DAC) Chủ Chủ nhân nhân của tài tài nguyên nguyên (file, (file, dữ liệu, liệu, thiết thiết bị, bị, …) …) quyết định định ai là người người được phép phép truy truy cập cập và những đặc đặc quyền quyền (privilege) (privilege) nào mà mà người người đó được phép phép thi thi hành hành Hai Hai khái khái niệm niệm chủ chủ yếu: yếu: •• Sở Sở hữu hữu của tập tập tin tin và dữ liệu: liệu: oo Tài Tài nguyên nguyên nào cũng phải phải có có chủ chủ nhân nhân (Owner) (Owner) oo Thơng Thơng thường thường thì chủ chủ nhân nhân của tài tài nguyên nguyên người người đã tạo tạo ra tài tài nguyên nguyên oo Chính Chính sách sách truy truy cập cập trên tài tài nguyên nguyên là do chủ chủ nhân nhân tài tài nguyên nguyên đó quyết định định •• Các Các quyền quyền và phép phép truy truy cập: cập: là những quyền quyền khống khống chế chế trên tài tài nguyên nguyên mà mà chủ chủ nhân nhân chỉ định định cho cho từng người người dùng dùng hay hay nhóm nhóm người người dùng dùng Bộ mơn MMT&TT 14/05/2010 17 Phân quyền (Authorization) • Điều khiển truy cập tùy quyền (DAC) DAC DAC được áp áp dụng dụng thông thông qua qua các kỹ kỹ thuật: thuật: •• Danh Danh sách sách điều điều khiển khiển truy truy cập cập (ACL): (ACL): định định danh danh các quyền quyền và phép phép được chỉ định định cho cho một chủ chủ thể thể hoặc một đối đối tượng tượng •• Điều Điều khiển khiển truy truy cập cập dựa dựa theo theo vai vai trò trò (RBAC): (RBAC): chỉ định định tư tư cách cách nhóm nhóm hội hội viên viên dựa dựa trên vai vai trò trò của tổ tổ chức chức hoặc chức chức năng của các vai vai trò trò Linux Linux và Windows Windows dùng dùng cách cách thức thức kiểm kiểm soát soát theo theo kiểu kiểu DAC: DAC: •• Tùy Tùy theo theo quyền, quyền, mà mà user user đăng đăng nhập nhập có thể truy truy cập cập những tài tài nguyên nguyên nào trong hệ hệ thống thống •• Root Root sẽ có có tồn tồn quyền quyền truy truy cập cập Bộ mơn MMT&TT 14/05/2010 18 Phân quyền (Authorization) • Điều khiển truy cập bắt buộc (MAC) Điều Điều khiển khiển truy truy cập cập bắt bắt buộc buộc (MAC) (MAC) là một chính sách sách truy truy cập cập không không do cá cá nhân nhân sở sở hữu hữu tài tài nguyên nguyên quyết định, định, mà mà do hệ hệ thống thống quyết định định •• MAC MAC từ từ chối chối người người dùng dùng toàn toàn quyền quyền truy truy cập cập hay hay sử sử dụng dụng tài tài nguyên nguyên do chính họ họ tạo tạo ra •• Quyền Quyền truy truy cập cập vào vào các tài tài nguyên nguyên được người người quản quản trị trị chỉ định định •• MAC MAC thường thường được thiết thiết kế kế cho cho các ứng ứng dụng dụng •• MAC MAC cũng đã được xây xây dựng dựng và cài cài đặt đặt trong các hệ hệ điều điều hành hành như UNIX, UNIX, Linux, Linux, MS MS Windows, Windows, OpenBSD, OpenBSD, … … Bộ môn MMT&TT 14/05/2010 19 Phân quyền (Authorization) • Điều khiển truy cập bắt buộc (MAC) MAC MAC được dùng dùng cho cho hệ hệ thống thống đa đa tầng tầng => => phân phân loại loại các dữ liệu, liệu, thao thao tác tác thành thành nhiều nhiều mức mức độ độ nhạy nhạy cảm cảm khác khác nhau Top Top Secret Secret Secret Secret Classified Classified Để Để truy truy cập cập một đối đối tượng tượng nào đấy, đấy, chủ chủ thể thể phải phải có có một mức mức độ độ nhạy nhạy cảm cảm (tin (tin cẩn) cẩn) tương tương đồng đồng hoặc cao cao hơn mức mức độ độ của đối đối tượng tượng yêu yêu cầu cầu Unclassified Unclassified Một chương trình ứng dụng lạ, chưa thấy (unknown program) phân loại vào chương trình ứng dụng không đáng tin (untrusted application) Bộ môn MMT&TT hệ hệ thống thống phải phải theo theo dõi, dõi, giám giám sát sát và khống khống chế chế những truy truy cập cập của nó vào vào các thiết thiết bị bị và các tập tập tin tin của hệ hệ thống thống 14/05/2010 20 Phân quyền (Authorization) • Điều khiển truy cập dựa vai trò (Role-Based Access Control - RBAC) •• Mỗi Mỗi vai vai trò trò được gắn gắn liền liền với với số quyền quyền hạn hạn (permissions) (permissions) cho cho phép phép thao thao tác tác số hoạt hoạt động động cụ cụ thể thể •• Người Người dùng dùng khơng không được cấp cấp quyền quyền một cách cách trực trực tiếp, tiếp, mà mà nhận nhận được những quyền quyền hạn hạn thông thông qua qua các vai vai trò trò của họ họ => => việc việc cấp cấp quyền quyền sẽ đơn đơn giản giản hơn Việc Việc nắm nắm bắt bắt các nhu nhu cầu cầu về quyền quyền của người người dùng dùng trải trải rộng rộng trên hàng hàng chục, chục, hằng trăm trăm hệ hệ thống thống và trên các chương chương trình trình ứng ứng dụng, dụng, là một việc việc hết sức phức phức tạp tạp => => sử sử dụng dụng RBAC RBAC còn nhiều nhiều tranh tranh luận luận Bộ mơn MMT&TT 14/05/2010 21 Phân quyền (Authorization) • Các mơ hình bảo mật thơng tin (Information secure models) •• Chính Chính sách sách bảo bảo mật mật (security (security policy) policy) đề đề ra nhiều nhiều điểm điểm chính như: như: dữ liệu liệu được truy truy xuất xuất như thế nào, nào, số số lượng lượng các yêu yêu cầu cầu bảo bảo mật, mật, các bước bước thực thực hiện khi các yêu yêu cầu cầu bảo bảo mật mật không không thỏa thỏa mãn mãn •• Mơ Mơ hình hình bảo bảo mật mật (security (security model) model) mô mô tả tả sâu sâu hơn để để hỗ hỗ trợ trợ các chính sách sách bảo bảo mật: mật: •• Một Một số số các mơ mơ hình hình thơng thơng tin tin gồm: gồm: oo Mơ Mơ hình hình Clark-Wilson Clark-Wilson oo Mơ Mơ hình hình Bell Bell La-Padula La-Padula oo Mơ Mơ hình hình Biba Biba Bộ mơn MMT&TT 14/05/2010 22 Phân quyền (Authorization) • Các mơ hình bảo mật thơng tin Mơ Mơ hình hình Bell Bell La-Padula La-Padula •• Hệ Hệ thống thống bảo bảo mật mật đa đa mức mức •• Lấy Lấy ýý tưởng tưởng từ từ của cơ chế chế MAC MAC •• Phân Phân loại loại nhiều nhiều mức mức bảo bảo mật mật •• Tùy thuộc vào mức bảo mật Tùy thuộc vào mức bảo mật của mình mà mà người người dùng có quyền truy xuất đến mức liệu dùng có quyền truy xuất đến mức liệu Mơ Mơ hình hình Biba Biba •• Đưa Đưa phần phần kiểm kiểm tra tra tính tính tồn tồn vẹn vẹn dữ liệu liệu vào vào mơ hình Bell La-Padula mơ hình Bell La-Padula •• Các Các đối đối tượng tượng không thể sửa sửa đổi đổi dữ liệu liệu của cấp cấp cao cao hơn nó Bộ mơn MMT&TT Mơ Mơ hình hình Clark-Wilson Clark-Wilson •• Giải Giải quyết sự toàn toàn vẹn vẹn của dữ liệu liệu •• Cơng Cơng việc việc được phân phân chia chia thành thành nhiều nhiều phần phần khác khác nhau và nhiều nhiều đối đối tượng tượng khác khác nhau sẽ thực thi phần riêng biệt thực thi phần riêng biệt •• Đối Đối tượng tượng sẽ khơng thể truy truy xuất xuất trực trực tiếp tiếp vào vào dữ liệu liệu mà mà phải phải thơng thơng qua qua một chương chương trình trình hoặc qua qua đối đối tác tác thứ thứ 33 14/05/2010 23 Giám sát (Accounting) • Khái niệm Với Với một hệ hệ thống thống giám giám sát sát được xây xây dựng, dựng, các dấu dấu vết vết của xâm xâm nhập nhập sẽ được ghi ghi nhận nhận lại lại để để cung cung cấp cấp một bức tranh tranh rõ rõ ràng ràng các sự kiện kiện đã xảy xảy ra trong hệ hệ thống thống Các Các hình hình thức thức giám giám sát sát chính bao bao gồm: gồm: •• Ghi Ghi file file nhật nhật ký ký (logging) (logging) •• Quét Quét hệ hệ thống thống (scanning) (scanning) •• Kiểm Kiểm sốt sốt (monitoring) (monitoring) Bộ mơn MMT&TT 14/05/2010 24 Giám sát (Accounting) • Ghi file nhật ký (Logging) Log Log file file ghi ghi nhận nhận lại lại các sự kiện kiện và thời thời điểm điểm xảy xảy ra trong hệ hệ thống thống Windows Firewall log file Bộ môn MMT&TT •• Thường Thường được ghi ghi dưới dạng dạng file file Text, Text, từng dòng dòng là một sự kiện kiện •• Ghi Ghi nhận nhận liên liên tục tục khi đang hoạt hoạt động động •• Có Có thể thể được ghi ghi trên thiết thiết bị, bị, đĩa đĩa cục cục bộ, bộ, Server Server (SysLog) (SysLog) hay hay kết kết hợp hợp nhiều nhiều nơi nơi •• Phải Phải được lưu lưu trữ trữ trong 11 thời thời gian gian dài dài và bảo bảo quản quản cẩn cẩn thận thận 14/05/2010 25 Giám sát (Accounting) • Quét hệ thống (System scanning) Theo dõi kiểm tra dịch vụ mạng hoạt động hệ thống •• Quét Quét định định kỳ kỳ rất quan quan trọng trọng trong việc việc giám giám sát sát •• Có Có rất nhiều nhiều các công công cụ cụ về bảo bảo mật mật hỗ hỗ trợ trợ quét quét hệ hệ thống thống Kỹ Kỹ thuật thuật quét quét hệ hệ thống thống có thể phát phát hiện ra những điểm điểm yếu yếu trong hệ hệ thống thống mạng mạng hay hay hệ hệ thống thống máy máy tính tính để để có có hướng hướng khắc khắc phục phục và gia gia cố cố Bộ môn MMT&TT 14/05/2010 26 Giám sát (Accounting) • Kiểm sốt (monitoring) Một Một cách cách duy trì trì và kiểm kiểm sốt sốt hệ hệ thống thống là thường thường xuyên xuyên xem xem lại lại các log log file file Khi Khi có có sự cố cố xảy xảy ra thì quản quản trị trị mạng mạng mới bắt bắt đầu đầu kiểm kiểm tra tra lại lại các log log file file và đôi điều điều này là đã quá muộn muộn Sử Sử dụng dụng các công công cụ cụ hỗ hỗ trợ trợ trong việc việc phân phân tích tích các log log file file và có có cảnh cảnh báo báo các nguy nguy cơ Bộ môn MMT&TT 14/05/2010 27 ... an tồn mạng vấn đề liên quan an tồn mạng • Sau hồn tất chương, sinh viên có khả năng: ▫ Giải thích an tồn hệ thống an ninh mạng ▫ Phân loại trình bày mối đe dọa hệ thống máy tính hệ thống mạng. .. những điểm điểm yếu yếu trong hệ hệ thống thống mạng mạng hay hay hệ hệ thống thống máy máy tính tính để để có có hướng hướng khắc khắc phục phục và gia gia cố cố Bộ mơn MMT&TT 14/05/2010 26 Giám... xác định định mức mức độ độ truy truy cập cập trong mạng mạng và giám giám sát sát hoạt hoạt động động của người người dùng dùng trong mạng mạng Bộ môn MMT&TT 14/05/2010 Chứng thực (Authentication)