Tất cả tài liệu: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing
1 Trình bày nguyên lý loại honeypot Nguyên lý honeypot : - Honeypot hệ thống tài ngun thơng tin xây dựng với mục đích giả dạng đánh lừa kẻ xâm nhập, không cho kẻ xâm nhập hợp pháp, thu hút ý, không cho tiếp xúc với hệ thống thật - Honeypot giả dạng máy chủ tài nguyên DNS, mail server, trực tiếp tương tác với tin tặc tìm cách khai thác thơng tin tin tặc : hình thức cơng, cơng cụ cơng, cách thức tiến hành thay bị cơng Các loại honeypot: gồm loại - Tương tác thấp: Mô giả dịch vụ, ứng dụng, hệ điều hành Mức độ rủi ro thấp, dễ triển khai bảo dưỡng bị giới hạn dịch vụ - Tương tác cao: Là dịch vụ, ứng dụng hệ điều hành thực Mức độ thông tin thu thập cao Nhưng rủi ro cao tốn thời gian để vận hành bảo dưỡng Ví dụ : - BackOfficer Friendly (BOF): o Một loại hình Honeypot dễ vận hành cấu hình o Có thể hoạt động phiên Windows Unix o Chỉ tương tác với số dịch vụ đơn giản FTP, Telnet, SMTP… - Specter: o Cũng loại hình Honeypot tương tác thấp khả tương tác tốt BOF, o Giả lập 14 cổng, cảnh báo quản lý từ xa o Tuy nhiên giống BOF specter bị giới hạn số dịch vụ không linh hoạt - Honeyd: o Honeyd lắng nghe tất cổng TCP UDP, dịch vụ mô thiết kế với mục đích ngăn chặn ghi lại công, tương tác với kẻ cơng với vai trị hệ thống nạn nhân o Honeyd mơ lúc nhiều hệ điều hành khác o Hiện nay, Honeyd có nhiều phiên mơ khoảng 473 hệ điều hành o Honeyd loại hình Honeypot tương tác thấp có nhiều ưu điểm nhiên Honeyd có nhược điểm o khơng thể cung cấp hệ điều hành thật để tương tác với tin tặc o khơng có chế cảnh báo phát hệ thống bị xâm nhập hay gặp nguy hiểm - Honeynet: o Là hình thức honeypots tương tác cao o Khác với honeyd, honeynet hệ thống thật, hoàn toàn giống mạng làm việc bình thường o Cung cấp hệ thống, ứng dụng, dịch vụ thật o Đặc biệt honeywall: o Ngăn honeypots mạng bên o Hoạt động tầng thứ Bridged o Các luồng liệu vào honeypot phải qua honey wall 2 Mô tả cấu trúc chứng số theo chuẩn X509 - Version: Xác định phiên chứng - Certificate Serial Number: CA cấp, định danh - Signature algorithm identifier: Chỉ thuật toán CA sử dụng để đăng ký chứng - Issuer name: tên CA thực chứng - Period of validity: Thời hạn chứng chỉ: - Not before: thời gian chứng bắt đầu có hiệu lực - Not after: thời gian chứng hết hiệu lực - Subject name: Xác định thực thể mà khố cơng khai xác nhận Tên subject phải thực thể CA xác nhận - Subject’s public key info: Chứa thuật tốn cơng khai tham số liên quan, khóa sử dụng - Issuer Unique Identifier: Là trường không bắt buộc, cho phép sử dụng tên lại tên người cấp Trường thường không sử dụng thực tế - Subject Unique Identifier: Là trường tùy chọn cho phép sử dụng lại tên subject hạn - Extensions: Là thành phần mở rộng, có chức X.509 v3 - Signature: gồm phần o phần chứa tất trường lại o phần chứa tóm tắt phần mã hố khố cơng khai CA o phần gồm thuật toán sử dụng phần Trình bày mơ hình hoạt động kiến trúc Hạ tầng khóa cơng khai PKI - Các mơ hình hoạt động bao gồm : Single CA Hierarchical PKI Mesh PKI a Single CA Đây mơ hình PKI phù hợp với tổ chức nhỏ có CA cung cấp dịch vụ cho toàn hệ thống tất người dùng đặt tin cậy vào CA Mọi thực thể muốn tham gia vào PKI xin cấp chứng phải thông qua CA Mơ hình dễ thiết kế triển khai có hạn chế riêng Thứ khả co giãn – quy mô tổ chức mở rộng, CA khó mà quản lý đáp ứng tốt dịch vụ Hạn chế thứ hai CA điểm chịu lỗi nhất, ngưng hoạt động dịch vụ bị ngưng trệ Cuối cùng, bị xâm hại nguy hại tới độ tin cậy tồn hệ thống tất chứng số phải cấp lại CA phục hồi b Hierarchical PKI Đây mơ hình PKI áp dụng rộng rãi tổ chức lớn Có CA nằm cấp gọi root CA, tất CA lại Subordinate CA (gọi tắt sub CA) hoạt động bên root CA Ngoại trừ root CA CA cịn lại có CA khác cấp Hệ thống tên miền DNS Internet có cấu trúc tương tự mơ hình c Mesh PKI Nổi lên thay cho mơ hình Hierarchical PKI truyền thống, thiết kế Mesh PKI giống với kiến trúc Web-of-Trust khơng có CA làm root CA CA có vai trị ngang việc cung cấp dịch vụ Tất người dùng mạng lưới tin cậy CA bất kỳ, không thiết hai hay nhiều người dùng phải tin CA người dùng tin cậy CA nhận chứng CA cấp Các CA mơ hình sau cấp chứng cho Khi hai CA cấp chứng cho tin cậy hai chiều thiết lập hai CA Các CA thêm vào cách tạo mối tin cậy hai chiều chúng với CA cịn lại mạng lưới Dưới góc độ hoạt động quản lý hệ thống PKI, đối tượng tham gia vào hệ thống PKI bao gồm: đối tượng sử dụng(End Entity - EE), đối tượng quản lý chứng số (Certificate Authority - CA) đối tượng quản lý đăng ký (Registration Authorities - RA) hệ thống lưu trữ Kiến trúc : (1) : Người dùng gửi yêu cầu phát hành thẻ chứng thư số khóa cơng khai đến RA; (2) : Sau xác nhận tính hợp lệ định danh người dùng RA chuyển yêu cầu đến CA; (3) : CA phát hành thẻ chứng thư số cho người dùng; (4) : Sau người dùng “ký” thông điệp trao đổi với thẻ chứng thư số vừa nhận từ CA sử dụng chúng (thẻ chứng thực số + chữ ký số) giao dịch; (5) : Định danh người dùng kiểm tra đối tác thông qua hỗ trợ VA; VA (validation authority) : Cơ quan xác thực bên thứ ba cung cấp thơng tin thực thể thay mặt cho CA.) (6) : Nếu chứng thư số người dùng xác nhận tính hợp lệ đối tác tin cậy người dùng bắt đầu q trình trao đổi thơng tin với (VA nhận thơng tin thẻ chứng thư số phát hành từ CA (a)) Trình bày phương pháp điều khiển truy cập Điều khiển truy nhập truỳ chọn – Discretionary Access Control : Là chế hạn chế truy nhập đến đối tượng dựa thông tin nhận dạng chủ thể nhóm chủ thể (bạn ai, bạn biết gì, bạn có gì) Cơ chế cho phép người dùng cấp huỷ quyền truy nhập cho người dùng khác đến đối tượng thuộc quyền sở hữu họ Điều khiển truy nhập bắt buộc – Mandatory Access Control (MAC) : - Là chế hạn chế truy nhập đến đối tượng dựa yếu tố chính: tính nhạy cảm thơng tin chứa đối tượng trao quyền thức cho chủ thể truy nhập thong tin nhạy cảm Đặc điểm bật chế khơng cho phép người tạo đối tượng có toàn quyền truy nhập đến đối tượng Quyền truy nhập phải tuân thủ theo sách mà tổ chức đặt - Các mức nhạy cảm: o Tối mật: gây thiệt hại trầm trọng đến an ninh quốc gia bị lộ o Tuyệt mật: gây loạt thiệt hại đến an ninh quốc gia bị lộ o Bí mật: dẫn đến thiệt hại với an ninh quốc gia bị lộ o Không phân loại: không gây thiệt hại với an ninh quốc gia bị lộ Điều khiển truy nhập dựa vai trò – Role Based Access Control : Cho phép người dùng truy nhập vào hệ thống thông tin tuỳ thuộc vào vai trò họ quan, tổ chức Áp dụng theo nhóm người người dùng riêng lẻ Các vai trò tổ chức thành theo mơ hình phân cấp Điều khiển truy nhập dựa luật – Rule Based Access Control : Cơ chế cho phép người dùng truy nhập vào hệ thống thông tin dựa luật định nghĩ trước Áp dụng cho người dùng thuộc tên miền, mạng hay dải địa IP mà hệ thống cho phép truy nhập đến tài ngun Cơ chế kiểm sốt truy nhập cần sử dụng thông tin như: - Địa IP nguồn đích gói tin - Phần moẻ rộng file để lọc mã độc - Địa IP tên miền để lọc, chặn website bị cấm - Tập từ khoá để lọc nội dung bị cấm Trình bày khái niệm tường lửa, phân loại mô tả loại tường lửa phổ biến Khái niệm : Tường lửa kỹ thuật sử dụng phổ biến để bảo vệ hệ thống mạng cục tránh đe doạ từ bên Tường lửa thiết bị phần cứng chuyên dụng mô đun phần mềm Phân loại : Dựa vị trí lớp giao thức mạng mà ta có nhiều loại tường lửa khác nhau: - Tường lửa lọc gói: thực việc lọc gói tin IP, theo dó tập nhóm luật áp dụng cho gói tin gửi / nhận có hợp pháp hay khơng, loại bỏ gói tin khơng hợp lệ - Cổng ứng dụng: cịn gọi la fmasy chủ proxy thường sử dụng để phát lại lưu lượng mạng mức ứng dụng Thường thực lọc yêu cầu / phản hồi giao thức HTTP, SMTP FTP,… - Cổng chuyển mạch: hoạt động mức thấp với chế tương tự chuyển mạch Tường lửa trạng thái: tường lửa theo dõi trạng thái kết nối mạng qua giao thức kết nối cụ thể bị đóng Nó giữ bảng tất giá trị tiêu đề giao thức khác gói qua lại hệ thống Trình bày nguyên lý giao thức IPSec, cấu trúc liệu phương thức hoạt động AH ESP Nguyên lý giao thức IPSec : - Internet Protocol Security (IPSec) giao thức mạng bảo mật mà việc xác thực mã hóa gói liệu gửi qua mạng IP - Giao thức IPSec chuẩn hoá vào năm 1995, IPSec định nghĩa loại tiêu đề cho gói tin IP để điều khiển trình xác thực mã hố: o Xác thực tiêu đề IP-AH o Bọc gói bảo mật tải ESP - IPSec VPN cho phép việc truyền tải liệu mã hóa an tồn lớp mạng (Network Layer) theo mơ hình OSI Xác thực tiêu đề AH (Authentication Header) - Xác thực tiêu đề AH hệ thống IPSec chèn vào tiêu đề IP nội dung, không làm thay đổi nội dung gói liệu - Xác thực tiêu AH gồm trường: trường tiêu đề (Next Header Field), chiều dài tải (Payload Length), số tham số bảo mật SPI (Security Parameter Index), số (Sequence Number), liệu xác thực (Authentication Data) Bọc gói bảo mật tải ESP (Encapsulation Security Payload) - Bọc gói bảo mật tải ESP có nhiệm vụ mã hố liệu, nên nội dung gói bị thay đổi - ESP gồm SPI bên nhận biết chế bảo mật thích hợp cho việc xử lý gói tin Số ESP đếm tăng gói gửi đến địa Trình bày nguyên lý mơ hình hoạt động giao thức SSL Nguyên lý hoạt động SSL : - SSL phát triển Netscape, ngày giao thức SSL sử dụng rộng rãi World Wide Web việc xác thực mã hố thơng tin client server - SSL thiết kế giao thức riêng cho vấn đề bảo mật hỗ trợ cho nhiều ứng dụng Giao thức SSL hoạt động bên TCP/IP bên giao thức ứng dụng tầng cao HTTP, IMAP FTP - SSL giao thức đơn lẻ, mà tập thủ tục chuẩn hoá để thực nhiệm vụ bảo mật sau: o Xác thực server o Xác thực Client o Mã hố kết nối Mơ hình hoạt động SSL : Qua ví dụ thì: - A server, B client - Chứng minh thư SSL - Cơ quan công an tổ chức CA (Certification Authority); tổ chứng mà ông A, B tin cậy, người cấp SSL - Nếu ông C mà nghe thông tin A, B khơng giải mã khơng có key Có cách tạo SSL: 10 - Nhờ tổ chức CA cấp, tổ chức có độ tin cậy cao, quyền cấp chứng nhận SSL Tất nhiên phải tiền để mua chứng SSL - Self-signed SSL: tự server cấp, tự kí, tự xác thực (ko an tồn tin tưởng nhờ bên thứ 3) Trình bày ngun lý cơng phương pháp phịng chống DdoS Nguyên lý công DdoS : - Tấn công DDoS (Distributed Denial of Service) loại công DoS đặc biệt, liên quan đến việc gây ngập lụt máy nạn nhân với lượng lớn yêu cầu kết nối giả mạo - Điểm khác biệt DDoS DoS phạm vi (scope) công: số lượng máy tham gia công DoS thường tương đối nhỏ, gồm số máy một, số địa điểm, số lượng máy tham gia công DDoS thường lớn, lên đến hàng ngàn, hàng trăm ngàn máy, máy tham gia công DDoS đến từ nhiều vị trí địa lý khác tồn cầu Do vậy, việc phịng chống cơng DDoS gặp nhiều khó khăn so với việc phịng chống cơng DoS - Có thể chia cơng DDoS thành dạng theo mơ hình kiến trúc: o công DDoS trực tiếp (Direct DDoS) : yêu cầu công máy công gửi trực tiếp đến máy nạn nhân o công DDoS gián tiếp hay phản xạ (Indirect/Reflective DDoS) : yêu cầu công gửi đến máy phản xạ (Reflectors) sau gián tiếp chuyển đến máy nạn nhân a Tấn công DDoS trực tiếp - Kẻ công (Attacker) chiếm quyền điều khiển hàng ngàn, chí hàng chục ngàn máy tính mạng Internet, sau bí mật cài chương trình cơng tự động (Automated agents) lên máy Các automated agents gọi Bot Zombie (Máy tính ma); - Các máy bị chiếm quyền điều khiển hình thành mạng máy tính ma, gọi botnet hay zombie network Các botnet, hay zombie network không bị giới hạn chủng loại thiết bị tô pô mạng vật lý; 11 - Kẻ cơng giao tiếp với máy botnet, zombie thông qua mạng lưới máy trung gian (handler) gồm nhiều tầng Phương thức giao tiếp IRC (Internet Relay Chat), P2P (Peer to Peer), HTTP,… - Tiếp theo, kẻ công lệnh cho automated agents đồng loạt tạo yêu cầu giả mạo gửi đến máy nạn nhân tạo thành công DDoS; - Lượng yêu cầu giả mạo lớn đến từ nhiều nguồn, vị trí địa lý khác nên khó đối phó lần vết để tìm kẻ công thực b Tấn công DDoS gián tiếp 12 - Kẻ công chiếm quyền điều khiển lượng lớn máy tính mạng Internet, cài đặt phần mềm cơng tự động bot/zombie (cịn gọi slave), hình thành nên mạng botnet; - Theo lệnh kẻ công điều khiển Slave/Zombie gửi lượng lớn yêu cầu giả mạo với địa nguồn địa máy nạn nhân đến số lớn máy khác (Reflectors) mạng Internet; - Các Reflectors gửi phản hồi (Reply) đến máy nạn nhân địa máy nạn nhân đặt vào địa nguồn yêu cầu giả mạo; - Khi Reflectors có số lượng lớn, số phản hồi lớn gây ngập lụt đường truyền mạng làm cạn kiệt tài nguyên máy nạn nhân, dẫn đến ngắt quãng ngừng dịch vụ cung cấp cho người dùng Các Reflectors bị 13 lợi dụng để tham gia cơng thường hệ thống máy chủ có công suất lớn mạng Internet không chịu điều khiển tin tặc Phương pháp phòng chống DDoS Nhìn chung, để phịng chống cơng DDoS hiệu quả, cần kết hợp nhiều biện pháp phối hợp nhiều bên cơng DDoS có tính phân tán cao hệ thống mạng máy tính ma (botnet) hình thành điều khiển theo nhiều tầng, lớp Một số biện pháp xem xét áp dụng: - Sử dụng phần mềm rà quét vi rút phần mềm độc hại khác nhằm loại bỏ loại bot, zombie, slaves khỏi hệ thống máy tính; - Sử dụng hệ thống lọc đặt router, tường lửa nhà cung cấp dịch vụ Internet (ISP) để lọc yêu cầu điều khiển (C&C – Command and Control) gửi từ kẻ công đến bot; - Sử dụng hệ thống giám sát, phát bất thường, nhằm phát sớm dấu hiệu công DDoS - Sử dụng tường lửa để chặn (block) tạm thời cổng dịch vụ bị cơng Trình bày kỹ thuật chữ ký số bảo đảm an tồn thơng tin đường truyền: sơ đồ ký, sơ đồ xác thực, chức của chữ ký số Sơ đồ ký xác thực 14 - Giả sử bob alice có khố: khố cơng khai khố bí mật đăng ký CA kí lên tài liệu khố bí mật để đảm bảo thay đổi tài liệu bị phát - Ký lển tài liệu bob băm tài liệu hàm băm hash() Sau thực ký lên mã băm với thuật tốn mã hố Và gửi mã băm ký tài liệu cho alice - Alice nhận văn lẫn mã băm ký Alice sử dụng khố cơng khai bob giải mã mã băm ký bob thu mã băm Alice băm tài liệu hàm băm hash() so sánh mã băm nhận từ bob để kiểm tra tính tồn vẹn tài liệu nhận Chức chữ ký số - Xác thực người ký: chữ ký bị giả mạo người ký kiểm soát với khoá bí mật - Xác thực thơng báo: nhận dạng tài liệu ký với độ xác chắn lớn chữ ký giấy - Tạo chứng pháp lý: việc ký khố bí mật chứng tỏ họ hoàn thành giao dịch, chống chối bỏ 15 - Tính hiêu quả: q trình tạo xác minh chữ ký số đảm bảo chữ ký người ký Quá trình tạo xác minh chữ ký hoàn toàn tự động, tương tác người yêu cầu trường hợp ngoại lệ 10 Trình bày ứng dụng PKI Mã hóa - Lợi ích chứng số tính bảo mật thơng tin Khi người gửi mã hóa thơng tin khóa cơng khai bạn, chắn có bạn giải mã dược thơng tin để đọc - Đây tính quan trọng, giúp người sử dụng hoàn toàn tin cậy khả bảo mật thông tin Những trao đổi thông tin cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, tốn thẻ tín dụng, cần phải có chứng số để đảm bảo an toàn Chống giả mạo - Khi bạn gửi thơng tin, liệu Email, có sử dụng chứng số, người nhận kiểm tra thơng tin bạn có bị thay đổi hay không Bất kỳ sửa đổi hay thay nội dung thông điệp gốc bị phát - Địa mail, tên domain bị kẻ xấu làm giả để đánh lừa người nhận lây lan virus, ăn cắp thơng tin quan trọng Tuy nhiên, chứng số làm giả, nên việc trao đổi thông tin có kèm chứng số ln đảm bảo an tồn Xác thực - Khi sử dụng chứng số, người nhận – đối tác kinh doanh, tổ chức quan quyền- xác định rõ danh tính bạn Có nghĩa dù khơng nhìn thấy bạn, qua hệ thống chứng số mà bạn người nhận sử dụng, người nhận biết chắn bạn khơng phải khác - Xác thực tính quan trọng việc giao dịch điện tử qua mạng, thủ tục hành với quan với quan pháp quyền Chống chối bỏ nguồn gốc - Khi sử dụng chứng số, bạn phải chịu trách nhiệm hoàn toàn thông tin mà chứng số kèm Trong trường hợp người gửi chối cãi, phủ nhận thông tin khơng phải gửi (chẳng hạn qua mạng) chứng số mà người nhận có chứng khẳng định người gửi tác giả thơng tin 16 - Trong trường hợp chối bỏ, CA cung cấp chứng số cho hai bên chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin gửi Chữ ký điện tử - Email đóng vai trị quan trọng trao đổi thông tin hàng ngày ưu điểm nhanh, rẻ dễ sử dụng - Tuy nhiên, email dễ bị đọc Hacker Những thơng điệp bị đọc hay bị giả mạo trước đến người nhận - Bằng việc sử dụng chứng cá nhân, bạn ngăn ngừa nguy mà không làm giảm lợi thể Email - Với chứng số cá nhân, bạn tạo thêm chữ ký điện tử vào email chứng xác nhận Chữ ký điện tử có tính xác thực thơng tin, tồn vẹn liệu chống chối bỏ nguồn gốc Bảo mật website - Khi website bạn sử dụng cho mục đích thương mại điện tử hay cho mục đích quan trọng khác, thông tin trao đổi bạn khách hàng bị lộ - Để tránh nguy này, bạn dùng chứng số SSL server để bảo mật cho Website - Chứng số SSL server cho phép bạn lập cấu hình website theo giao thức bảo mật SSL (Secure Sockets Layer) 11 Trình bày bảo mật cho mạng cục Các nội dung an tồn mạng Confidentiality: có người có thâm quyền truy cập mạng Integrity: liệu không sử đổi người khơng có thẩm quyền Access: người có thẩm quyền phép truy cập liệu Xác định nguy an toàn mạng Khả không hoạt động: phần cứng, phần mềm, virus công, liệu… Truy cập trái phép: vào liệu, vào thông tin không cho phép Network Access Controls User cần đăng nhập sử dụng dịch vụ ví dụ: database, file, Web, print, or email server Admin cần đăng nhập với mật router, switch Quản trị rủi ro Liệt kê danh mục tài nguyên mạng 17 o o o o o o o o Security Policies Phân quyền truy cập theo chức Chính ách truy cập từ xa Xử lý cố Quy trình xử lý cố Cần cài đặt số công cụ thể giám sát hành vi mạng Cần có hệ thống IDS, IPS Intrusion Detection System Hoạt động cảnh sát mạng, giám sát hành vi mạng nhận diện hành vi Monitor and analyze user and system activities Verify the integrity of data files Audit system configuration files Recognize activity of patterns, reflecting known attacks Statistical analysis of any undefined activity pattern Snort (NIDS) Một số công mạng phổ biến IP address spoofing MAC address spoofing ARP cache poisoning DNS name corruption Tường lưa Kiểm soát truy nhập mạng Chính sách: chặn luồng khơng mong muốn, điều hướng luồng vào tới node an toàn, ẩn node độc hại, ghi log Các loại tường lửa: Packet filtering Application-layer firewall Stateful-inspection layer Monitor and Analyze System Activities Statistical Analysis Signature Analysis : Pattern matching Stateful pattern matching Protocol decode-based analysis Heuristic-based analysis Anomaly-based analysis 18 ... Authority); tổ chứng mà ông A, B tin cậy, người cấp SSL - Nếu ông C mà nghe thông tin A, B khơng giải mã khơng có key Có cách tạo SSL: 10 - Nhờ tổ chức CA cấp, tổ chức có độ tin cậy cao, quyền... gửi mã băm ký tài liệu cho alice - Alice nhận văn lẫn mã băm ký Alice sử dụng khố cơng khai bob giải mã mã băm ký bob thu mã băm Alice băm tài liệu hàm băm hash() so sánh mã băm nhận từ bob để... chứng số tính bảo mật thơng tin Khi người gửi mã hóa thơng tin khóa cơng khai bạn, chắn có bạn giải mã dược thông tin để đọc - Đây tính quan trọng, giúp người sử dụng hoàn toàn tin cậy khả bảo