TRƯỜNG ĐẠI HỌC SÀI GÒN CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH GV: ThS Lương Minh Huấn huanlm@sgu.edu.vn NỘI DUNG I Giới thiệu Tổng quan an ninh mạng An ninh máy tính, an ninh mạng, an ninh thông tin Các thách thức an ninh mạng II Các phương pháp công Phương pháp công thụ động Phương pháp công chủ động NỘI DUNG III Security services Authentication Access Control Data confidentiality Data Integrity Nonrepudiation I GIỚI THIỆU ➢Tình hình an ninh mạng giới Việt Nam diễn phức tạp Các công mạng ngày trở nên khó đốn phức tạp ➢Báo cáo an toàn bảo mật: ▪ IBM X-Force Threat Intelligence Index 2019 ▪ Symatec Internet Security Threat Report 2019 ▪ Verizon 2018 Data Breach Investigations Report ▪ Cisco 2019 Annual Security Report ▪ http://www.networkworld.com/category/security0/ I GIỚI THIỆU I GIỚI THIỆU I GIỚI THIỆU I GIỚI THIỆU Số vụ công ngày năm 2020 I GIỚI THIỆU Phịng thủ Sniffing ❖ Mã hóa liệu: IPsec, SSL, PGP, SSH ❖ Khơng sử dụng hub: chuyển hồn tồn sang mạng chuyển mạch ❖ Sử dụng mã hóa cho khơng dây kênh cáp ❖ Cấu hình switch với địa MAC ▪ Tắt tính tự học (biết ánh xạ cổng địa MAC) ▪ Loại bỏ vấn đề tràn nhớ ❖ Các hệ thống kiểm tra xâm nhập ▪ Xem xét số lượng lớn đáp ứng ARP ❖ Honeypot ▪ Tạo mật giả mạo gửi mật qua mạng ▪ Xác định kẻ công họ sử dụng mật 11 III SECURITY SERVICES ➢Authentication ➢Access Control ➢Data Confidentiality ➢Data Integrity ➢Nonrepudiation III SECURITY SERVICES ➢ Authentication Service (dịch vụ xác thực): Dịch vụ đảm bảo truyền thông tin cậy ➢Nếu quan tâm đến truyền thơng điệp, nhiệm vụ xác thực đơn giản đảm bảo với bên nhận thơng điệp mà nhận đến từ nguồn xác nhận III SECURITY SERVICES ➢Nếu quan tâm đến trình tương tác hai đối tác truyền thơng, ví dụ kết nối giữ Terminal Host, phải quan tâm đến hai khía cạnh ▪ Thứ nhất, thời điểm khởi tạo kết nối, dịch vụ đảm bảo hai đối tác truyền thông đáng tin cậy ▪ Thứ hai, dịch vụ đảm bảo kết nối không bị can thiệp thành phần thứ ba – hacker giả mạo hai đối tác hợp pháp, cho mục đích trao đổi tiếp nhận thơng điệp “khơng phép” ➢Do đó, thực tế u cầu hai loại dịch vụ xác thực: Peer entity authentication Data origin authentication: III SECURITY SERVICES ➢Peer entity authentication: cung cấp chứng thực định danh thực thể ngang hàng liên kết ➢Nó cung cấp để sử dụng thời điểm thiết lập kết nối suốt trình trao đổi liệu kết nối ➢Nó cố gắng cung cấp tin cậy mà hai đối tác truyền thông thực giả mạo replay khơng phép kết nối trước III SECURITY SERVICES ➢Data origin authentication: cung cấp chứng thực nguồn gốc đơn vị liệu, khơng cung cấp bảo vệ để chống lại loại công theo kiểu nhân (duplication) làm thay đổi (modification) đơn vị liệu ➢Loại thường dùng để hỗ trợ xác thực cho ứng dụng email III SECURITY SERVICES ➢Access ControlService (dịch vụ điều khiển truy cập): Trong lĩnh vực an toàn mạng, điều khiển truy cập khả giới hạn điều khiển truy cập đến host ứng dụng qua liên kết truyền thông ➢Nhiệm vụ dịch vụ điều khiển truy cập là: thực thể truyền thơng cố gắng truy cập vào hệ thống trước hết phải nhận dạng xác thực, sau nhận quyền truy cập phù hợp với riêng III SECURITY SERVICES ➢Cụ thể là: ▪ Ai phép truy cập tài nguyên; ▪ Điều kiện để truy cập tài nguyên gì; ▪ Được phép truy cập tài nguyên mức độ (thực thao tác tài nguyên); vv ➢Một cách tổng quát, dịch vụ thực nhiệm vụ ngăn chặn việc sử dụng “không cấp phép” đến tài nguyên III SECURITY SERVICES ➢Data Confidentiality Service(dịch vụ tin cậy liệu): dịch vụ cung cấp bảo vệ cho liệu truyền đi, trước công loại passive (thụ động) ➢Nếu ý đến nội dung liệu truyền tải, thiết lập nhiều cấp khác bảo vệ, để nhận dạng chúng Tức là, định nghĩa để dịch vụ bảo vệ thông điệp đơn trường (field) cụ thể thông điệp III SECURITY SERVICES ➢Một khía cạnh khác tin cậy bảo vệ dịng traffic trước cơng theo kiểu phân tích thơng điệp ➢Nó làm cho kẻ công nhận địa nguồn, địa đích, tầng số xuất hiện, độ dài đặc tính khác traffic di chuyển hệ thống, phương tiện truyền thông III SECURITY SERVICES ➢Data Integrity Service(dịch vụ toàn vẹn liệu): tin cậy, tồn vẹn áp dụng với dịng thơng điệp, thơng điệp đơn trường phạm vi thông điệp ➢Dịch vụ đảm bảo thông điệp mà bên nhận nhận hoàn toàn trung thực với thông điệp gửi từ bên gửi, tức thông điệp không bị nhân bản, không bị thay đổi, không bị xếp lại, không bị phát lại di chuyển đường truyền III SECURITY SERVICES ➢Sự phá hoại liệu bị che chắn (covered) dịch vụ Vì dịch vụ hỗ trợ bảo vệ mạng trước hai kiểu công chủ động (active) phổ biến thay đổi dịng thơng điệp DoS ➢Khi vi phạm tính tồn vẹn liệu phát dịch vụ lập báo cáo vi phạm đó, chuyển báo cáo đến hệ thống để yêu cầu khôi phục lại liệu III SECURITY SERVICES ➢Non-repudiation Service (dịch vụ “sự công nhận”): công nhận ngăn chặn tượng người gửi người nhận từ chối thơng điệp (họ) chuyển ➢Vì thông điệp gửi, người nhận phải chứng tỏ viện chứng – thông điệp nhận từ người gửi ➢Tương tự, thông điệp nhận, người gửi phải chứng tỏ - viện chứng – thông điệp gửi đến người nhận III SECURITY SERVICES ➢Availability Service (Dịch vụ “sẵn dùng”): dịch vụ có nhiệm vụ làm cho tài nguyên hệ thống trở thành truy cập dùng thực thể phép (authorized), giới hạn ➢Tức là, hệ thống gọi sẵn dùng cung cấp dịch vụ – theo thiết kế hệ thống – người sử dụng yêu cầu chúng ➢Sự đa dạng loại cơng làm cho hệ thống sẵn dùng trở nên tác dụng ý nghĩa ... www.abc.com 10 .10 .10 .1 124 .11 1 .1. 10 http://www.abc.com 10 .10 .10 .1 124 .11 1 .1. 10 Src_IP dst_IP Any ( >10 24) Src_port 80 dst_port Giả mạo 11 .11 .11 .1 134 .11 7 .1. 60 Src_IP dst_IP Any ( >10 24) Src_port... I.2 An ninh máy tính, an ninh mạng, an ninh thông tin I.2 An ninh máy tính, an ninh mạng, an ninh thơng tin I.2 An ninh máy tính, an ninh mạng, an ninh thơng tin I.2 An ninh máy tính, an ninh. .. (deterrence) I .1 Tổng quan an ninh mạng I.2 An ninh máy tính, an ninh mạng, an ninh thơng tin ? ?An ninh mạng hoạt động thông qua sở hạ tầng chặt chẽ, chia thành ba phần chính: ▪ An ninh thông tin ▪ An ninh