1. Trang chủ
  2. » Công Nghệ Thông Tin

Giáo trình phân tích nguyên lý ứng dụng các lổ hỏng bảo mật trên internet khi hệ thống bị tấn công p6

5 7 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 5
Dung lượng 521,55 KB

Nội dung

Tham khảo tài liệu ''giáo trình phân tích nguyên lý ứng dụng các lổ hỏng bảo mật trên internet khi hệ thống bị tấn công p6'', công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả

y o c u -tr a c k c Policies ) Ở phần trước giới thiệu phương thức chung để bảo vệ máy tính tổ chức Phần tơi trình bày phương thức cụ thể theo trình tự, từ trình setup hệ thống, vận hành hệ thống dựa sách an tồn từ basic kĩ advance mà Security Admin cần quan tâm để áp dụng vào việc xây dựng quy trình an tồn thơng tin cho tổ chức Phần trình bày xin đề cập đến vấn đề an ninh account (account security) cách thức tạo account an toàn nhằm đối phó với kiểu cơng phổ biến hiệu trợ giúp công cụ phù thủy… Chính sách account cách thức tạo account nghèo nàn đường dễ dàng cho attacker, hình thức bảo mật khác áp dụng vào hệ thống trang bị công cụ chống maleware (prevent virus, worm, spyware, ad-ware ), triển khai hệ thống phòng thủ Mạng (Firewall) khơng có tác dụng đáng kể, Admin q thờ cách thức tạo account đưa sách tạo account chứa đựng nhiều rủi ro Yêu cầu xác định sách tạo password mạnh đưa chiến lược an toàn account áp dụng vào an tồn thơng tin tổ chức vấn đề mang tính cấp bách A Làm để tạo quản lý Account an toàn Những yếu tố cho thấy cách thức tạo quản lý Account cho an toàn Account phải bảo vệ password phức hợp ( password length, password complexity) Chủ sở hữu account cung cấp quyền hạn truy cập thông tin dịch vụ cần thiết (không thiếu quyền hạn mà để thừa) Mã hóa account giao dịch Mạng (kể giao dịch Mạng nội bộ) d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c Lưu trữ account an toàn ( định database lưu giữ tai khoản phải đặt hệ thống an tồn mã hóa) Huấn luyện nhân viên, người trực tiếp sử dụng Computer cách thức bảo mật account tránh rị rĩ (attacker lợi dụng mối quan hệ với nhân viên giả danh phận kĩ thuật hỗ trợ xử lí cố hệ thống từ xa để khai thác ), hướng dẫn cách thức thay đổi password cần thiết tránh tuyệt đối việc ghi lại account sticknotes gián bừa bãi Monitorhoặc Keyboard ), Khóa (lock) Computer khơng sử dụng, mặc định máy tính thường có sách tự động lock computer sau môt thời gian không sử dụng, để giúp cho nhân viên hay quên tránh lỗi bảo mật sơ đẳng (lỗi giống việc khỏi nhà mà khơng khóa cửa) Những người tạo quản lý account (đặc biệt account hệ thống – System accounts, account vận hành, kiểm soát dịch vụ - service accounts) cho toàn tổ chức người xem AN TOÀN TUYỆT ĐỐI Disable account tạm thời chưa sử dụng, delete account khơng cịn sử dụng Tránh việc dùng chung Password cho nhiều account Khóa (lock) account sau số lần người sử dụng log-on khơng thành cơng vào hệ thống Có thể khơng cho phép số account quản trị hệ thống dịch vụ, không log-on từ xa (remote location log-on), hệ thống dịch vụ quan trọng thơng thường cho phép kiểm sốt từ bên (internal Network), có nhu cầu quản trị support từ xa Security Admin dễ dàng thay đổi sách để đáp ứng nhu cầu Các Security admin log-on vào Server nên dùng account có quyền hạn thấp, cần quản trị hay vận hành dịch vụ, nên dùng account System Service (ví dụ Microsoft Windows hỗ trợ command run as thông qua run as service phép độc lập quản trị thành phần hệ thống, dịch vụ mà không cần phải logon vào máy ban đầu account admin) Điều giúp tránh chương trình nguy hiểm lọt vào máy tính chạy với quyền admin, admin thật Computer gặp nhiều rắc rối Vá tất lỗ hỗng hệ thống để ngăn chặn kiểu công d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c “đặc quyền leo thang” (bắt đầu lọt vào hệ thống với account thông thường sau leo thang đến quyền cao nhất) Trên phần trực quan mà Admin Security cần hình dung cụ thể thiết kế sách bảo mật account (account security policies) Một sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng thơng thường dễ lơ chí coi nhẹ, mà thực hầu hết đường xâm nhập vào hệ thống qua khai thác Credentials (có thông tin account), attacker nắm vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác hiệu B Phân tích thiết kế sách an tồn cho account Phân tích rủi ro xác định mối đe dọa account: Account cho User xác định hành động mà User thực Việc phân loại account cấp độ bảo vệ thích hợp khác Các account hệ thống nhận loại quyền bản: User rights (Quyền hệ thống): Là loại đặc quyền mà User hệ thống cho phép thực thi hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown hệ thống…) Trên Windows bạn type command secpol.msc RUN, để open Local Security Settings\ local policies\ User rights assignment nơi xác lập User rights hệ thống Permissions (Quyền truy cập): Được kiểm soát DACLs (Discretionary access control lists) hệ thống, phép truy cập vào File/Folder hay Active Directory objects (trong Domain) (ví dụ User A quyền Read/Modify Folder C:\Data, User B Full Control OU Business ) Chú ý việc cấp phát Permission cho account, nên đưa account vào Group để dễ kiểm sốt, tránh việc phân quyền mang tính cá nhân cho account Điều tăng cường khả kiểm sốt account, số lượng account hệ thống (Local hay Domain) tăng lên việc tổ chức tạo an toàn dễ kiểm soát .d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c Những kẽ hở từ Account tạo hội cho attacker: Password: Password yếu (độ dài password ngắn, kí tự đơn giản, lấy ngày tháng năm sinh, tên phim, địa danh, nhân vật tiếng , đặt cho password) Dùng password cho nhiều account password dán bừa bãi lên Monitor/Keyboard, lưu password vào text file không bảo vệ Chia password hệ thống cho bạn đồng nghiệp… Cấp phát đặc quyền: Cấp phát đặc quyền Administrator cho User Các services hệ thống không dùng Service account Cấp phát User right không cần thiết cho account Việc sử dụng account: Log-on vào máy với account Administrators thi hành tác vụ thông thường Tạo User account cho phép quyền quản trị tài khoản khác Kích hoạt tài khoản khơng cịn sử dụng (ví dụ nhân viên nghỉ việc, tài khỏan lưu hành hệ thống ) Thiết kế sách tạo Password đáp ứng bảo mật cho Account: Chính sách tạo password cho an tồn thực sư yếu tố để bảo vệ tài khoản Chính sách bao gồm yếu tố sau: Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng tối đa password trước user phải thay đổi password Thay đổi password theo định kì giúp tăng cường an toàn cho tài khoản Thời gian tối thiểu password phải sử dụng trước thay đổi (minimum password age) Admin thiết lập thờigian khoảng vài ngày, trước cho phép user thay đổi password họ Thực thi password history: Số lần password khác biệt phải sử dụng qua, trước quay lại dùng password cũ Số Password history cao độ an tồn lớn Chiều dài password tối thiểu (minimum password length) cần phải đặt Càng dài an tồn Password phải đạt u cầu phức hợp: khơng độ dài mà độ phức hợp kí tự đặt password (ví dụ bạn thấy d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c khác biệt password P@ssW0rd) Khi dùng password phức hợp cần quan tâm: Không sử dụng họ tên Chứa kí tự Có thể đan xen chữ hoa,(A Z) thường (a z), kí tự đặc biệt như: !@#$%^&*() Account lockout: Sẽ bị khóa tài khoản thời gian định, sau số lần log-on không thành cơng vào hệ thống Mục đích sách nhằm ngăn chặn công dạng brute force vào account để dò password Trên vấn đề cốt lõi việc tạo quản lý Account cho an toàn, nhằm đáp ứng yêu cầu khắt khe sách an tồn thơng tin tổ chức Security Admin thiết nghĩ vấn đề không nên chễnh mãng thờ ơ, “ngõ vào” mà attacker ln ưu tiên việc thăm dị, khai thác yếu điểm hệ thống New Horizons VietNam (New Horizons Computer Learning Centers VietNam) Ho Viet Ha Instructor Team Leader Email: hvha@newhorizons.com.vn Bảo vệ máy tính Internet Thực hiện: Lê Thu Chỉ cần kết nối máy tính vào Internet có kẻ tìm cách đột nhập vào máy tính bạn Trước đây, đột nhập thành cơng vào máy tính đó, vi rút máy tính tìm cách ăn cắp thơng tin có máy Ngày nay, khơng vậy, máy tính bạn bị vi rút sử dụng làm bàn đạp cơng vào hệ thống máy tính khác Muốn hệ thống máy tính vững sử dụng giải pháp mà cần phải phối hợp nhiều biện pháp khác nhau: Luôn cập nhật sửa lỗi cho Windows phần mềm ứng dụng, cấu hình lại cho trình duyệt, cài đặt phần mềm chống vi rút cập nhật thông tin vi rút Sử dụng tường lửa (firewall) để giám sát hai chiều thơng tin (từ máy tính từ vào) Và cuối cùng, đừng qn cài đặt thêm tiện ích phịng chống chương trình “gián điệp” (spyware) xâm nhập Thật may, tất cơng cụ có sẵn miễn phí Cập nhật sửa lỗi Đa số phần mềm ứng dụng, sản phẩm Microsoft sản xuất, có tính tự động cập nhật sửa lỗi qua Internet Cơ chế thời gian qua chứng minh tác dụng hữu ích d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c ... giữ tai khoản phải đặt hệ thống an tồn mã hóa) Huấn luyện nhân viên, người trực tiếp sử dụng Computer cách thức bảo mật account tránh rị rĩ (attacker lợi dụng mối quan hệ với nhân viên giả danh... dụng khai thác hiệu B Phân tích thiết kế sách an tồn cho account Phân tích rủi ro xác định mối đe dọa account: Account cho User xác định hành động mà User thực Việc phân loại account cấp độ bảo. .. phân loại account cấp độ bảo vệ thích hợp khác Các account hệ thống nhận loại quyền bản: User rights (Quyền hệ thống) : Là loại đặc quyền mà User hệ thống cho phép thực thi hành động đặc biệt (ví

Ngày đăng: 11/05/2021, 00:48

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN