Tham khảo tài liệu ''giáo trình hình thành ứng dụng các chế độ bảo mật trên internet khi hệ thống bị tấn công p3'', công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
y o c u -tr a c k c Những cơng từ bên ngồi: Khi admin cài đặt software computer mới, Virus lây nhiễm vào Computer trước Admin cài service pack bảo vệ hệ thống Virus khai thác lỗ hổng xác định, cài tiếp vào hệ thống Trojan Horse (ví dụ Bo 2k) Admin hoàn thành việc cài software đưa vào sử dụng mà khơng biết Computer nằm tầm kiểm sốt attacker ngồi hệ thống Mạng tổ chức ! Hiểm họa từ bên trong: Admin chọn cách cài đặt cho Computer tổ chức cài đặt từ xa không cần phải theo dõi suốt trình cài đặt (unattended Installation) , cách cài đặt nhanh chóng tỏ “professional” Trong suốt trình cài đặt operating system qua Mạng này, tài khỏan Local administrator máy cài đặt chuyển qua Mạng dạng Clear-text (khơng mã hóa) Một nhân viên có chút trình độ hệ thống Network, thúc đẩy động bất hợp pháp cài cơng cụ nghe thâu tóm thơng tin chuyển Mạng, đặc biệt Local Administrator Password (nếu admin Mạng tiến hành cài đặt qua Mạng cho Computer sếp password chuyển qua Mạng dạng cleart-text nguy to…vì liệu Manager important hầu hết có giá trị economic ) Đây rất, nhiều nguy attack từ bên Mạng nội Những mối đe dọa phổ biến: Mặc dù kĩ thuật bảo mật trang bị Computer, rủi ro lại đến từ yếu tố người kẽ hở quy trình làm việc với Computer .d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c Ví dụ attacker lấy thơng tin từ Đĩa cứng, truy cập vào máy tính qua ứng dụng (không cài đặt vá lỗi), mà nhân viên sử dụng, đặc biệt ứng dung connecting với Internet Chat, Internet Browser, E-mail… Thiết kế Security cho Computer Những phương thức chung secure Computer Tiến hành cài đặt an toàn từ ban đầu cho Hệ điều hành Ứng dụng theo hướg dẫn: Thực thi cấu hình bảo mật mặc định cho HDH ứng dụng Chỉ cài đặt ứng dụng dịch vụ cần thiết Server (ví dụ: nkhông cài lung tung ứng dụng triễn khai dich vụ không cần thiết Mail, Web server tổ chức ) Xác lập bảo vệ cho tất tài khỏan mặc định hệ thống (ví dụ: tài khoản mặc định Administrator nên rename tên biết, set password phức hợp, có tác dụng lớn để đối phó với attacker công dạng Brute force password) Những file cài đặt cho HDH application phải an toàn, phải xác nhận (digitally sign) từ nhà cung cấp, dùng nhiều utility để kiểm tra vấn đề , ví dụ Sign verification… Tiến hành cài đặt phải Người có đủ độ tin cậy tổ chức Nên lập Mạng q trình cài đặt Tạo Network riêng dành cho việc cài đặt phải cài đặt HDH, ứng dụng qua Mạng (ví dụ dùng dịch vụ RIS Microsoft ), điều thiết yếu tăng an tồn, chống lây nhiễm Virus từ bên Built-in account Administrator tạo qua Mạng từ unattended installation scripts khơng bị thâu tóm CD cài đặt HDH, ứng dụng nên tích hợp đầy đủ Service packs, security updates (vá lỗi trình cài đặt) d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c Làm để cấu hình xác lập chuẩn bảo mật cho tổ chức (Security baseline) Trước triển khai Computer cho tổ chức, cần xác định security baseline Các security admin triển khai security baseline suốt q trình cài đặt sau Trên Microsoft Windows 2000 Microsoft Windows XP, admin taọ triển khai security templates để đạt yêu cầu bảo mật cần thiết Tuân thủ hướng dẫn sau để tạo security baseline cho Computer Tạo sách security baseline cho Computer theo quy định tổ chức an tồn thơng tin phục vụ cho quy trình nghiệp vụ Chính sách phải đảm bảo an tồn cho Computer, HDH ứng dụng nghiệp vụ… Ví dụ: sách định tất HDH tổ chức phải chống kiểu công SYN-ACK (synchronize acknowledge) denial of service (DoS) công từ chối dịch vụ Một sách tốt hình dung vai trị Computer cần bảo vệ Tạo sẵn security templates mẫu, cho phép chỉnh sửa Ví dụ để bảo vệ HDH chống lại SYN-ACK attacks, đơn giản thêm vào Registry giá trị mong muốn nhằm thay đổi cách thức vận hành TCP/IP stack giao tiếp Mạng với Computer khác, chống công kiểu vận hành thử Kiểm tra security templates Mỗi security template triển khai khơng có yếu tố gây cản trở HDH, dich vụ khác, xung đột với ứng dụng d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c Triển khai security templates cho Computer thông qua công cụ command Secedit Group Policy, tự động hóa triển khai cho hàng loạt Computer thông qua Group Policy Active Directory Domain (GPO) Security cho Computer có vai trị đặc biệt Admin cài đặt Ứng dụng dịch vụ phụ thuộc vào vai trị Computer Như Computer đặc biệt cần có Security baseline tương đối khác để phù hợp với dịch vụ vận hành Ví dụ: Web server chạy dịch vụ Internet Information Services (IIS) cho phép hàng ngàn truy cập ngày từ Internet với mối nguy hiểm rình rập Ngược lại File server khơng chạy dịch vụ IIS truy cập user mạng nội Thiết kế bảo mật cho Computer có vai trị đặc biệt địi hỏi có kinh nghiệm am hiểu chi tiết ứng dụng dịch vụ mà chúng vận hành Ví dụ Windows 2000 administrator khơng có kiến thức để hiểu cách hoạt động database server Microsoft SQL Server 2000, cho dù cài đặ Windows 2000 Phải đảm bảo cá nhân chịu trách nhiệm thiết kế bảo mật cho Server có hiểu biết cần thiết kinh nghiệm đáp ứng yêu cầu bảo mật cua tổ chức Và đảm bảo tổ chức có sách sẵn sàng, quản lý bảo mật cho server ày chúng thay đổi vai trị hoạt động ví dụ File Server triển khai lại thành Web server Những Phương pháp chung để áp dụng Security Updates (cập nhật security) Có thể dùng phương pháp sau để tiến hành cập nhật security cho Computer Mạng .d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c Dùng tính Windows Update: Để scan Computer, đảm bảo tất security updates nhất, thành phần liên quan đến Windows (Windows components) , driver cho thiết bị cài đặt Để sử dụng Windows Update phải thành viên nhóm Administrators Nếu phải scan nhiều máy Mạng từ location, sử dụng tool: MBSA (Microsoft Baseline Security Analyzer) hãng Shavlik, partner Microsoft Hoặc chuyên dụng cung cấp giải pháp scan bảo mật tồn diện dùng GFI Languard network security scanner GFI, phổ biến với Admin Office Update: Scan cập nhật secuirty cho sản phẩm Microsoft Office Vá lỗi cho sản phẩm việc quan mà Security admin cần ý Chỉ thành viên nhóm Administrators đuợc dùng tính Dùng Group Policy: Nếu triển khai security updates cho hàng loạt Computer môi trường Active directory domain, admin sử dụng sách Domain GPO cho OU Domain Khi dùng Group Policy, User không cần phải làm động tác thơng qua Active Directory service, Group Policy thực hồn toan tự động Dùng dịch vụ Microsoft Windows Software Update Services (WSUS/SUS): Server cài đặt dịch vụ này, xem trung tâm phân phối security updateas cho Computer Mạng Admin cấu hình Computer để tự động download security updates lập lịch biểu (scheduling) download từ WSUS server Dùng tính Feature Pack (Microsoft Systems Management Server (SMS) Update Services Feature Pack) có dịch vu SMS: Bao gồm Wizard hướng dẫn đóng gói Security updates triển khai chúng đến Computer thông qua kho lưu trữ Software Inventory New Horizons VietNam (New Horizons Computer Learning centers Viet Nam) Ho Viet Ha Instructor Team Leader Email: hvha@newhorizons.com.vn Chính sách an toàn Account cho Computer (Security Account d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c Policies ) Ở phần trước giới thiệu phương thức chung để bảo vệ máy tính tổ chức Phần tơi trình bày phương thức cụ thể theo trình tự, từ trình setup hệ thống, vận hành hệ thống dựa sách an toàn từ basic kĩ advance mà Security Admin cần quan tâm để áp dụng vào việc xây dựng quy trình an tồn thơng tin cho tổ chức Phần trình bày tơi xin đề cập đến vấn đề an ninh account (account security) cách thức tạo account an toàn nhằm đối phó với kiểu cơng phổ biến hiệu trợ giúp công cụ phù thủy… Chính sách account cách thức tạo account nghèo nàn đường dễ dàng cho attacker, hình thức bảo mật khác áp dụng vào hệ thống trang bị công cụ chống maleware (prevent virus, worm, spyware, ad-ware ), triển khai hệ thống phịng thủ Mạng (Firewall) khơng có tác dụng đáng kể, Admin q thờ cách thức tạo account đưa sách tạo account chứa đựng nhiều rủi ro Yêu cầu xác định sách tạo password mạnh đưa chiến lược an toàn account áp dụng vào an tồn thơng tin tổ chức vấn đề mang tính cấp bách A Làm để tạo quản lý Account an toàn Những yếu tố cho thấy cách thức tạo quản lý Account cho an toàn Account phải bảo vệ password phức hợp ( password length, password complexity) Chủ sở hữu account cung cấp quyền hạn truy cập thông tin dịch vụ cần thiết (không thiếu quyền hạn mà để thừa) Mã hóa account giao dịch Mạng (kể giao dịch Mạng nội bộ) d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c Lưu trữ account an toàn ( định database lưu giữ tai khoản phải đặt hệ thống an tồn mã hóa) Huấn luyện nhân viên, người trực tiếp sử dụng Computer cách thức bảo mật account tránh rị rĩ (attacker lợi dụng mối quan hệ với nhân viên giả danh phận kĩ thuật hỗ trợ xử lí cố hệ thống từ xa để khai thác ), hướng dẫn cách thức thay đổi password cần thiết tránh tuyệt đối việc ghi lại account sticknotes gián bừa bãi Monitorhoặc Keyboard ), Khóa (lock) Computer khơng sử dụng, mặc định máy tính thường có sách tự động lock computer sau mơt thời gian không sử dụng, để giúp cho nhân viên hay quên tránh lỗi bảo mật sơ đẳng (lỗi giống việc khỏi nhà mà không khóa cửa) Những người tạo quản lý account (đặc biệt account hệ thống – System accounts, account vận hành, kiểm soát dịch vụ - service accounts) cho toàn tổ chức người xem AN TOÀN TUYỆT ĐỐI Disable account tạm thời chưa sử dụng, delete account khơng cịn sử dụng Tránh việc dùng chung Password cho nhiều account Khóa (lock) account sau số lần người sử dụng log-on khơng thành cơng vào hệ thống Có thể khơng cho phép số account quản trị hệ thống dịch vụ, khơng log-on từ xa (remote location log-on), hệ thống dịch vụ quan trọng thơng thường cho phép kiểm sốt từ bên (internal Network), có nhu cầu quản trị support từ xa Security Admin dễ dàng thay đổi sách để đáp ứng nhu cầu Các Security admin log-on vào Server nên dùng account có quyền hạn thấp, cần quản trị hay vận hành dịch vụ, nên dùng account System Service (ví dụ Microsoft Windows hỗ trợ command run as thơng qua run as service phép độc lập quản trị thành phần hệ thống, dịch vụ mà không cần phải logon vào máy ban đầu account admin) Điều giúp tránh chương trình nguy hiểm lọt vào máy tính chạy với quyền admin, admin thật Computer gặp nhiều rắc rối Vá tất lỗ hỗng hệ thống để ngăn chặn kiểu công d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c “đặc quyền leo thang” (bắt đầu lọt vào hệ thống với account thơng thường sau leo thang đến quyền cao nhất) Trên phần trực quan mà Admin Security cần hình dung cụ thể thiết kế sách bảo mật account (account security policies) Một sách bảo vệ hệ thống cần phải xem xet kĩ lưỡng thơng thường dễ lơ chí coi nhẹ, mà thực hầu hết đường xâm nhập vào hệ thống qua khai thác Credentials (có thông tin account), attacker nắm vulnerabilities ( yếu điểm ) này, nên lợi dụng khai thác hiệu B Phân tích thiết kế sách an tồn cho account Phân tích rủi ro xác định mối đe dọa account: Account cho User xác định hành động mà User thực Việc phân loại account cấp độ bảo vệ thích hợp khác Các account hệ thống nhận loại quyền bản: User rights (Quyền hệ thống): Là loại đặc quyền mà User hệ thống cho phép thực thi hành động đặc biệt (ví dụ: Quyền Backup Files Và Folders, thay đổi thời gian hệ thống, shutdown hệ thống…) Trên Windows bạn type command secpol.msc RUN, để open Local Security Settings\ local policies\ User rights assignment nơi xác lập User rights hệ thống Permissions (Quyền truy cập): Được kiểm soát DACLs (Discretionary access control lists) hệ thống, phép truy cập vào File/Folder hay Active Directory objects (trong Domain) (ví dụ User A quyền Read/Modify Folder C:\Data, User B Full Control OU Business ) Chú ý việc cấp phát Permission cho account, nên đưa account vào Group để dễ kiểm sốt, tránh việc phân quyền mang tính cá nhân cho account Điều tăng cường khả kiểm sốt account, số lượng account hệ thống (Local hay Domain) tăng lên việc tổ chức tạo an tồn dễ kiểm sốt .d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c Những kẽ hở từ Account tạo hội cho attacker: Password: Password yếu (độ dài password ngắn, kí tự đơn giản, lấy ngày tháng năm sinh, tên phim, địa danh, nhân vật tiếng , đặt cho password) Dùng password cho nhiều account password dán bừa bãi lên Monitor/Keyboard, lưu password vào text file không bảo vệ Chia password hệ thống cho bạn đồng nghiệp… Cấp phát đặc quyền: Cấp phát đặc quyền Administrator cho User Các services hệ thống không dùng Service account Cấp phát User right không cần thiết cho account Việc sử dụng account: Log-on vào máy với account Administrators thi hành tác vụ thông thường Tạo User account cho phép quyền quản trị tài khoản khác Kích hoạt tài khoản khơng cịn sử dụng (ví dụ nhân viên nghỉ việc, tài khỏan lưu hành hệ thống ) Thiết kế sách tạo Password đáp ứng bảo mật cho Account: Chính sách tạo password cho an tồn thực sư yếu tố để bảo vệ tài khoản Chính sách bao gồm yếu tố sau: Thời gian tối đa sử dụng password (maximum password age): Hạn sử dụng tối đa password trước user phải thay đổi password Thay đổi password theo định kì giúp tăng cường an toàn cho tài khoản Thời gian tối thiểu password phải sử dụng trước thay đổi (minimum password age) Admin thiết lập thờigian khoảng vài ngày, trước cho phép user thay đổi password họ Thực thi password history: Số lần password khác biệt phải sử dụng qua, trước quay lại dùng password cũ Số Password history cao độ an toàn lớn Chiều dài password tối thiểu (minimum password length) cần phải đặt Càng dài an tồn Password phải đạt u cầu phức hợp: khơng độ dài mà độ phức hợp kí tự đặt password (ví dụ bạn thấy d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c khác biệt password P@ssW0rd) Khi dùng password phức hợp cần quan tâm: Không sử dụng họ tên Chứa kí tự Có thể đan xen chữ hoa,(A Z) thường (a z), kí tự đặc biệt như: !@#$%^&*() Account lockout: Sẽ bị khóa tài khoản thời gian định, sau số lần log-on không thành cơng vào hệ thống Mục đích sách nhằm ngăn chặn công dạng brute force vào account để dò password Trên vấn đề cốt lõi việc tạo quản lý Account cho an toàn, nhằm đáp ứng yêu cầu khắt khe sách an tồn thơng tin tổ chức Security Admin thiết nghĩ vấn đề không nên chễnh mãng thờ ơ, “ngõ vào” mà attacker ln ưu tiên việc thăm dò, khai thác yếu điểm hệ thống New Horizons VietNam (New Horizons Computer Learning Centers VietNam) Ho Viet Ha Instructor Team Leader Email: hvha@newhorizons.com.vn Bảo vệ máy tính Internet Thực hiện: Lê Thu Chỉ cần kết nối máy tính vào Internet có kẻ tìm cách đột nhập vào máy tính bạn Trước đây, đột nhập thành cơng vào máy tính đó, vi rút máy tính tìm cách ăn cắp thơng tin có máy Ngày nay, khơng vậy, máy tính bạn bị vi rút sử dụng làm bàn đạp cơng vào hệ thống máy tính khác Muốn hệ thống máy tính vững khơng thể sử dụng giải pháp mà cần phải phối hợp nhiều biện pháp khác nhau: Luôn cập nhật sửa lỗi cho Windows phần mềm ứng dụng, cấu hình lại cho trình duyệt, cài đặt phần mềm chống vi rút cập nhật thông tin vi rút Sử dụng tường lửa (firewall) để giám sát hai chiều thơng tin (từ máy tính từ vào) Và cuối cùng, đừng quên cài đặt thêm tiện ích phịng chống chương trình “gián điệp” (spyware) xâm nhập Thật may, tất cơng cụ có sẵn miễn phí Cập nhật sửa lỗi Đa số phần mềm ứng dụng, sản phẩm Microsoft sản xuất, có tính tự động cập nhật sửa lỗi qua Internet Cơ chế thời gian qua chứng minh tác dụng hữu ích d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c ... ban đầu cho Hệ điều hành Ứng dụng theo hướg dẫn: Thực thi cấu hình bảo mật mặc định cho HDH ứng dụng Chỉ cài đặt ứng dụng dịch vụ cần thiết Server (ví dụ: nkhông cài lung tung ứng dụng triễn khai... phổ biến hiệu trợ giúp công cụ phù thủy… Chính sách account cách thức tạo account nghèo nàn đường dễ dàng cho attacker, hình thức bảo mật khác áp dụng vào hệ thống trang bị công cụ chống maleware... kế bảo mật cho Server có hiểu biết cần thiết kinh nghiệm đáp ứng yêu cầu bảo mật cua tổ chức Và đảm bảo tổ chức có sách sẵn sàng, quản lý bảo mật cho server ày chúng thay đổi vai trị hoạt động