Professional Documents
Culture Documents
ĐỀ TÀI:
MỤC LỤC
3
tới an ninh mạng thì mới có thể có được những biện pháp tốt nhất để đảm bảo an
ninh mạng.
Sử dụng hiệu quả các công cụ bảo mật (ví dụ như Firewall ...) và những biện
pháp, chính sách cụ thể chặt chẽ.
Về bản chất có thể phân loại các vi phạm thành hai loại vi phạm thụ động và vi
phạm chủ động. Thụ động và chủ động được hiểu theo nghĩa có can thiệp vào nội
dung và luồng thông tin có bị tráo đổi hay không. Vi phạm thụ động chỉ nhằm mục
đích nắm bắt được thông tin. Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặc
thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm mục đích phá hoại. Các
hành động vi phạm thụ động thường khó có thể phát hiện nhưng có thể ngăn chặn
hiệu quả. Trái lại vi phạm chủ động rất dễ phát hiện nhưng lại khó ngăn chặn.
Thông thường, Hacker sẽ tiến hành tấn công người dùng thông qua các lỗ
hổng bảo mật. Hoặc lừa người dùng Click vào một đường Link hoặc Email
(Phishing) để cài phần mềm độc hại tự động vào máy tính. Một khi được cài
đặt thành công, Malware sẽ gây ra những hậu quả nghiêm trọng:
Chặn các truy cập vào hệ thống mạng và dữ liệu quan trọng
(Ransomware).
6
Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng.
Đánh cắp dữ liệu (Spyware).
Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, không thể hoạt
động.
Sao lưu dữ liệu thường xuyên: Việc này sẽ giúp bạn không phải lo
lắng khi dữ liệu bị phá hủy.
Thường xuyên cập nhật phần mềm: Các bản cập nhật của phần mềm
(trình duyệt, hệ điều hành, phần mềm diệt Virus,…) sẽ vá lỗi bảo mật
còn tồn tại trên phiên bản cũ, đảm bảo an toàn thông tin cho người
dùng.
Cẩn thận với các Link hoặc File lạ: Đây là phương thức lừa đảo khá
phổ biến của Hacker. Chúng sẽ gửi Email hoặc nhắn tin qua Facebook,
đính kèm Link Download và nói rằng đó là File quan trọng hoặc chứa
nội dung hấp dẫn. Khi tải về, các File này thường nằm ở
dạng .docx, .xlxs, .pptx hay .pdf, nhưng thực chất là File .exe (chương
trình có thể chạy được). Ngay lúc người dùng Click mở File, mã độc sẽ
lập tức bắt đầu hoạt động.
7
Thông thường, Hacker sẽ giả mạo là ngân hàng, ví điện tử, trang giao dịch
trực tuyến hoặc các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông
tin cá nhân như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín
dụng và các thông tin quan trọng khác.
Phương thức tấn công này thường được thực hiện thông qua việc gửi Email
và tin nhắn. Người dùng khi mở Email và Click vào đường Link giả mạo sẽ
được yêu cầu đăng nhập. Nếu “cắn câu”, tin tặc sẽ có được thông tin cá nhân
của người dùng ngay tức khắc.
Phương thức Phishing được phát hiện lần đầu tiên vào năm 1987. Thuật ngữ
là sự kết hợp của 2 từ: Fishing For Information (câu thông tin) và Phreaking
(trò lừa đảo sử dụng điện thoại của người khác không trả phí). Do sự tương
đồng trong việc “câu cá” và “câu thông tin người dùng”, nên thuật ngữ
Phishing ra đời.
Cảnh giác với các Email có xu hướng thúc giục bạn nhập thông tin cá
nhân, thông tin nhạy cảm (thông tin thẻ tín dụng, thông tin tài khoản,..)
Không Click vào các đường dẫn được gửi đến Email nếu không chắc
chắn an toàn.
Không trả lời những thư rác, lừa đảo.
Luôn cập nhật phần mềm, ứng dụng đề phòng các lỗ hổng bảo mật có
thể bị tấn công.
Một hình thức biến thể của DoS là DDoS (Distributed Denial of Service): Tin
tặc sử dụng một mạng lưới các máy tính (Botnet) để tấn công người dùng.vấn
đề ở đây là chính các máy tính thuộc mạng lưới Botnet sẽ không biết bản thân
đang bị lợi dụng trở thành công cụ tấn công.
4.3.2 Một số hình thức tấn công Ddos.
9
Tấn công gây nghẽn mạng (UDP Flood và Ping Flood)
Mục tiêu: Gây quá tải hệ thống mạng bằng lượng truy cập lớn đến từ nhiều
nguồn để chặn các truy cập thực của người dùng.
Phương thức: Gây nghẽn đối tượng bằng các gói UDP và ICMP.
Mục tiêu: Gây cạn tài nguyên máy chủ, ngăn chặn việc nhận các yêu cầu kết
nối mới.
Phương thức: Lợi dụng quá trình “bắt tay” 3 chặng TCP, gửi đi yêu cầu SYN đến
máy chủ và được phản hồi bằng một gói SYN-ACK. Nhưng không gửi lại gói
ACK, điều này khiến cho tài nguyên máy chủ bị sử dụng hết vào việc đợi gói
ACK gửi về.
Mục tiêu: Làm quá tải hệ thống bằng phản hồi từ các bộ giải mã DNS.
Phương thức: Mạo danh địa chỉ IP của máy bị tấn công để gửi yêu cầu nhiều
bộ giải mã DNS. Các bộ giải mã hồi đáp về IP của máy có kích thước gói dữ liệu
có thể lớn hơn kích thước của yêu cầu tới 50 lần.
Theo dõi lưu lượng truy cập của bạn: Với cách này, bạn có thể phát
hiện được các vụ tấn công DDoS nhỏ mà tin tặc vẫn thường dùng để
Test năng lực của mạng lưới trước khi tấn công thật sự.
Nếu bạn có thể xác định được địa chỉ của các máy tính thực hiện tấn
công: có thể tạo một ACL (danh sách quản lý truy cập) trong tường lửa
để thực hiện chặn các IP này.
10
4.4.1 Các hình thức tấn công trung gian.
Packet Injection: Kẻ tấn công sẽ đưa các gói dữ liệu độc hại vào với
dữ liệu thông thường. Bằng cách này, người dùng thậm chí không nhận
thấy tệp/phần mềm độc hại bởi chúng đến như một phần của luồng
truyền thông hợp pháp. Những tập tin này rất phổ biến trong các cuộc
tấn công trung gian cũng như các cuộc tấn công từ chối dịch vụ.
Gỡ rối phiên: Bạn đã từng gặp thông báo “Phiên hoạt động đã hết hạn”
chưa? Nếu đã từng thực hiện thanh toán trực tuyến hoặc điền vào biểu
mẫu, hẳn bạn sẽ biết thuật ngữ này. Khoản thời gian từ lúc bạn đăng
nhập vào tài khoản ngân hàng của bạn đến khi đăng xuất khỏi tài khoản
đó được gọi là một phiên. Các phiên này là mục tiêu của tin tặc. Bởi
chúng có khả năng chứa thông tin kín đáo. Trong hầu hết các trường
hợp, một Hacker thiết lập sự hiện diện của mình trong phiên. Và cuối
cùng nắm quyền kiểm soát nó. Các cuộc tấn công này có thể được thực
thi theo nhiều cách khác nhau.
Loại bỏ SSL: SSL Stripping hoặc SSL Downgrade Attack là một loài
hiếm khi nói đến các cuộc tấn công MiTM, nhưng cũng là một trong
những nguy hiểm nhất. Chứng chỉ SSL/TLS giữ liên lạc của chúng tôi
an toàn trực tuyến thông qua mã hóa. Trong các cuộc tấn công SSL, kẻ
tấn công loại bỏ kết nối SSL/TLS và chuyển giao thức từ HTTPS an
toàn sang HTTP không an toàn.
13
tiêu đề IPv6 loại trừ các trường có thể thay đổi: DSCP , ECN , Nhãn
dòng và Giới hạn Hop.
Giao thức quản lý khóa (ISAKMP) và cầu nối bảo mật Internet cung cấp một
khuôn khổ để xác thực và trao đổi khóa. ISAKMP cho biết cách thiết lập cầu nối bảo
mật (SA) và cách kết nối trực tiếp giữa hai máy chủ đang sử dụng IPsec.
IKE cung cấp khả năng bảo vệ nội dung gói tin và cũng là một khung mở để
triển khai các thuật toán tiêu chuẩn như SHA và MD5. Thuật toán IPSec tạo ra mã
định danh duy nhất cho mỗi gói tin, cho phép thiết bị xác định xem gói tin đó có đúng
hay không. Các gói không được phép sẽ bị loại bỏ và không được trao cho người
nhận.
Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu.
Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một
IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới
của IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP
header mới sẽ được bao bọc xung quanh gói dữ liệu. Toàn bộ các gói IP sẽ
được mã hóa và trở thành dữ liệu mới của gói IP mới. Chế độ này cho phép
những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec proxy
thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã hóa các
packets và chuyển chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban
đầu và chuyển nó về hệ thống cuối. Vì vậy header mới sẽ có địa chỉ nguồn
chính là gateway.
Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích
có thể được mã hóa. Tunnel mode được dùng khi một trong hai đầu của kết
nối IPSec là security gateway và địa chỉ đích thật sự phía sau các gateway
không có hỗ trợ IPSec.
17
V. Kết luận.
1. An ninh mạng máy tính.
Xét đến sự gia tăng nhanh chóng của việc triển khai công nghệ, an toàn, an
ninh mạng đã trở thành một nhu cầu thiết yếu toàn cầu trong nỗ lực điều chỉnh các
biện pháp bảo vệ, dù là trực tiếp hay gián tiếp, để ngăn chặn các hệ thống khỏi các
cuộc tấn công mạng.
An toàn, an ninh mạng bao gồm việc áp dụng và duy trì các quy trình liên
quan đến việc phát hiện sớm các mối đe dọa mạng và giảm thiểu rủi ro, đây là điều
kiện tiên quyết để áp dụng một hệ sinh thái máy tính bền vững có trách nhiệm bảo
vệ hoạt động của các xã hội hiện đại dựa trên công nghệ.
Các cuộc tấn công an ninh mạng gây ảnh hưởng đến kinh doanh: tài chính
(đánh cắp thông tin, trộm cắp tiền của, gián đoạn giao dịch, mất hợp đồng,..), danh
tiếng ( mất khách hàng, doanh số, giảm lợi nhuận,..), pháp lý. Ngoài ra còn ảnh
hưởng đến các ngành công nghiệp khác nhau.
Vì vậy chúng ta cần phải biết lỗ hỏng, điểm yếu của mạng, các hình thức tấn công
phổ biến hiện nay và các biện pháp để tránh bị tấn công mạng.
2. Giao thức IPSec.
Về cơ bản, nó mã hóa và xác thực các gói dữ liệu trên internet. Không nghi ngờ gì
nữa, IPSec mang lại những lợi thế đáng kể cho môi trường mạng. Tuy nhiên, tương tự như
các công nghệ mạng khác, IPSec có những ưu và nhược điểm riêng. Do đó, trước khi triển
khai IPSec, cần phải xem xét ưu nhược điểm của chúng .
- Ưu điểm của IPSec.
Chuẩn giao thức rãnh.
Hoạt động độc lập cho các ứng dụng mức cao hơn.
Giấu địa chỉ mạng, không sử dụng dịch địa chỉ mạng NAT.
Đáp ứng sự phát triển các kỹ thuật mã hóa.
- Nhược điểm của IPSec.
Không quản lý NSD.
Không khả năng tương tác giữa nhà cung cấp.
18
Không hỗ trợ giao diện.
19
CÁC TỪ VIẾT TẮT
PIN Personal Information Number
Dos Denial of Service
Ddos Distributed Denial of Service
TCP Transmission Control Protocol
SYN Synchronize
UDP User Datagram Protocol
DNS Domain Name System
ICMP Internet Control Message Protocol
IP Internet Protocol
ACL Access Control List
Mitm Man-in-the-middle
SSL Secure Sockets Layer
TLS Transport Layer Security
IPS intrusion prevention systems
IDS Intrusion detection System
IPSec Internet Protocol Security
IETF Internet Engineering Task Force
AH Authentication Header
IPv Internet Protocol version
DSCP Differentiated Service Code Point
ECN Electronic Communications Network
TTL transistor-transistor logic
ESP Encapsulating Security Payload
DARPA Defense Advanced Research Projects Agency
NLSP Network-Layer Security Protocol
IKE Internet Key Exchange
ISAKMP Internet Security Association and Key Management Protocol
SHA Secure Hash Algorithm
MD5 Message-Digest algorithm 5
NAT Network Address Translate
NSD Network Services Data
20
TÀI LIỆU THAM KHẢO
21