Đang tải... (xem toàn văn)
người dùng bất hợp pháp có khả năng truy nhập vào thông tin nhạy cảm của CSDL.. Kiểm soát mức thấp nhất là đọc CSDL.[r]
(1)CHƯƠNG
PHÁT HIỆN XÂM NHẬP TRÁI PHÉP
Giảng viên:
(2)Nội dung - Phần I
1 Tại phải bảo mật CSDL? 2 Các công vào CSDL
2.1 Tấn cơng tính bí mật 2.2 Tấn cơng tính tồn vẹn 3 Mơ hình đe dọa
(3)Nội dung - Phần II
1 Một số kiểu công mạng bản 2 Tổng quan hệ thống IDS
3 Kiến trúc chung hệ thống IPS, IDS
(4)Phần I
1 Tại phải bảo mật CSDL? 2 Các cơng vào CSDL
2.1 Tấn cơng tính bí mật 2.2 Tấn cơng tính tồn vẹn 3 Mơ hình đe dọa
(5)1 Tại phải bảo mật CSDL?
Một CSDL cung cấp thông tin quan trọng khách
hàng, kế hoạch phát triển doanh nghiệp, dự đoán kinh tế, nhiều mục đích quan trọng khác…
Sẽ có lợi cho tin tặc cơng vào CSDL
nghe nén giao tiếp mạng
Dữ liệu thường mã hóa đường truyền lại
lưu dạng rõ CSDL
Sự cố an ninh xảy với CSDL ảnh hưởng
(6)2 Các công vào CSDL
Tấn công bên trong: tin tặc người bên
trong tổ chức (bên firewall), biết kiến trúc mạng.
Tấn cơng bên ngồi: tin tặc phải vượt qua
firewall, IDS kiến trúc mạng
(7)2.1 Tấn cơng tính bí mật
Định nghĩa: Là loại cơng đó,
người dùng bất hợp pháp có khả truy nhập vào thơng tin nhạy cảm CSDL
Kiểm soát mức thấp đọc CSDL
Ví dụ: tin tặc kiểm sốt tồn máy chủ
CSDL,
Download tồn file CSDL
Nạp file vào Database engine để truy nhập liệu
(8)2.1 Tấn cơng tính bí mật
Kiểm sốt truy nhập: thường sử dụng
để bảo vệ CSDL, chưa đủ!
Thường cấu hình chưa
Tạo khe hở (backdoor) cho người dùng
muốn lạm dùng quyền
Việc backup CSDL khơng an tồn: là
(9)2.1 Tấn cơng tính bí mật
Lỗi SQL Injection: do người lập trình yếu,
tạo khe hở để kẻ công truy nhập trái phép CSDL (thường ứng dụng Web).
(10)2.1 Tấn cơng tính bí mật Giải pháp:
Mã hóa file CSDL, mã hóa CSDL (các bảng,
khung nhìn…những thơng tin bí mật)
Áp dụng chế bảo vệ mức cao cho
(11)2.2 Tấn cơng tính tồn vẹn
Định nghĩa: Là loại công gây
sửa đổi trái phép thông tin CSDL.
u cầu: kẻ cơng phải có khả Write
CSDL
Do đó, ta khơng lo ngại tin tặc
(12)2.2 Tấn cơng tính tồn vẹn
Một số cơng tính tồn vẹn phổ biến:
Tấn công từ admin ác ý
Sự gây hại ứng dụng bị lỗi
Sử dụng tài khoản đánh cắp có truy nhập write
CSDL
Khả leo thang đặc quyền số tài
(13)2.2 Tấn cơng tính tồn vẹn
Giải pháp:
Tách bạch nhiệm vụ (Separaton of duties): Nguyên
tắc đưa nhằm hạn chế tối đa cá nhân phá hoại liệu, để đảm bảo toàn vẹn liệu Tách bạch nhiệm vụ gắn liền với kiểm soát chuỗi giao tác Để chuỗi hồn thành phải có nhiều người tham gia (Ví dụ giao dịch ngân hàng)
Chỉ người dùng hợp pháp phép thực
(14)3 Mơ hình đe dọa
Mơ hình xây dựng dựa điểm yếu
và mối đe dọa khai thác điểm yếu
Một mơ hình tạo dễ dàng trình
phát triển hệ CSDL
Mơ hình ảnh hưởng đến kiến trúc thiết kế
của hệ thống
Các nguyên lý mật mã giao thức an toàn
(15)3 Mơ hình đe dọa
Dựa vào cơng thảo luận, mơ hình đe dọa
bao gồm mối đe dọa sau:
1 Các nhà quản trị CSDL (database administrators) 2 Nhân viên phát triển (development staff)
3 Những kẻ xâm nhập qua mạng (network intruders) 4 Những người dùng hợp pháp (legitimate users)
5 Các cracker ứng dụng (application crackers) 6 Những kẻ ăn trộm truyền thống (traditional
(16)3.1 Các nhà quản trị CSDL Đặc điểm:
Là người dùng có đặc quyền truy nhập
vào thứ miền quản trị họ
Có khả truy nhập thơng tin
CSDL
Có thể che giấu dấu vết công
Ngăn chặn:
(17)3.2 Nhân viên phát triển Đặc điểm:
Chịu trách nhiệm thiết kế, xây dựng kiểm thử
các ứng dụng CSDL
Là người am hiểu tốt hệ thống
CSDL
Có thể truy nhập vào tài khoản để sửa chữa
cố
Ngăn chặn:
(18)3.3 Kẻ xâm nhập qua mạng
Đặc điểm:
Là cá nhân truy nhập bất hợp pháp qua mạng Nghe trộm giao tiếp mạng để thu thông tin
mật giấy ủy nhiệm xác thực
Những người cố gắng phá ứng dụng
CSDL
Ngăn chặn:
Mã hóa đường truyền, dùng IDS ứng dụng
(19)3.4 Các cracker ứng dụng Đặc điểm:
Các cracker cố gắng phá vỡ an toàn ứng dụng
để giành truy nhập bất hợp pháp vào CSDL
Trường hợp xấu cracker thu
các đặc quyền quản trị
Ngăn chặn:
(20)kẻ ăn trộm truyền thống Người dùng hợp pháp:
Cố gắng lạm dụng quyền để thu
những truy nhập thêm (bất hợp pháp)
Hành động giống cracker ứng dụng
Kẻ ăn trộm truyền thống:
Có thể đánh cắp CSDL CSDL
Ngăn chặn: