Giai Phap

HỌC VIỆN KỸ THUẬT MẬT MÃ
Các khái niệm cơ bản
Trước Sau
RISK= f(Asset,Threat,Vulnerability)
www.trungtamtinhoc.edu.vn
2
Các khái niệm cơ bản
How much is Enough? 1 2
Security Security
Policy Organization
9 8 7
10 6
3 4
Computer Personnel
1 5
2 3 4 & Network Security
Management
5 6
Classification
Compliance & Control
of Assets
9 8
10 6
7 7 8
1 Environmental
5
System
2 3 4
& Physical Development
Security & Maintenance
9 10
Business System
Continuity Access
Planning Controls
3
Vai trò của phân loại hiểm họa
4
Hiểm họa an toàn thông tin
Xác định danh sách hiểm họa đối với HTTT là

khâu quan trọng trong đảm bảo ATTT cho hệ
thống, bởi nó cho biết cần phải áp dụng những
biện pháp bảo vệ nào!
5
Các giải pháp chủ yếu
1 Tường lửa
2 Phát hiện và ngăn chặn xâm nhập
3 Phòng chống mã độc
4 Xác thực đa nhân tố
5 Mạng riêng ảo
6 Mật mã
6
Khái niệm
• Là thiết bị hoặc hệ thống dùng
để điều khiển luồng lưu thông
giữa các vùng mạng hoặc giữa
các máy tính và mạng
Cũng có thể hiểu rằng Firewall là một cơ chế để ngăn
cách bảo vệ mạng tin tưởng (trusted network) khỏi
các mạng không tin tưởng (untrusted network).
=> Chú ý: Firewall không gắn liền với việc “bảo vệ mạng trước Internet”
7
Cơ chế hoạt động
• Kiểm soát tất cả lưu thông và truy cập giữa các vùng cần
bảo vệ
– Những dịch vụ (port ) nào bên trong được phép truy cập từ bên ngoài và
ngược lại
– Những node mạng (user, địa chỉ IP) nào từ bên ngoài được phép truy cập
đến các dịch vụ bên trong và ngược lại
Đi đâu ?
Gặp ai ?...
8
Phân loại
• Packet Filter
• Application – Proxy Gateway
• Stateful Inspection
9
Packet Filter
• Ưu điểm:
– Giá thành thấp
– Hoạt động nhanh
– Có khả năng chống lại
các tấn công từ chối dịch
vụ hay các tấn công ở
tầng thấp
• Nhược điểm:
– Chỉ giới hạn kiểm soát
gói tin ở header
– Không kiểm soát được
thông tin ở tầng cao (từ
network trở lên)
– Khả năng ghi Log kém
– Xác thực người sử dụng
khó khăn
10
Application-Proxy Gateway
• Ưu điểm:
– Hoạt động tới lớp 7
– Có khả năng xác thực
người sử dụng tốt
– Ít bị tấn công spoofing
– Có khả năng ghi lại nhiều
thông tin nhật ký
– Hoạt động chậm
– Không phù hợp với đường
truyền đòi hỏi tốc độ cao
hoặc các ứng dụng đòi hỏi
thời gian thực
– Khả năng hỗ trợ cho các
ứng dụng và giao thức mới
kém
11
Stateful Inspection
Được phát minh bởi CheckPoint
• Tường lửa kiểm soát
trạng thái là bộ lọc gói
có kết hợp chặt chẽ
với thông tin lấy từ
lớp 4 của mô hình
OSI
• Cho phép client kết
nối trực tiếp với
server
• Có khả năng thực
hiện kiểm tra tại bất
kỳ phần nào của gói
tin
12
Firewall Rule
• Tường lửa kiểm soát lưu thông mạng dựa
trên các tập luật:
Source Address Source Port Destination Address Destination Port Action
192.168.0.1 any any 80 allow
Any Any Any Any Drop
13
• Ví dụ về bảng luật trong tường lửa lọc gói:
14
Ví dụ
15
1 Tường lửa
6 Mật mã
16
Khái niệm
• Phát hiện xâm nhập (Intrusion
Detection): Là quá trình giám sát các sự
kiện xảy ra trong một hệ thống máy tính
hoặc mạng và phân tích chúng để tìm ra
các dấu hiệu của sự xâm nhập hoặc dấu
hiệu về khả năng hệ thống bị xâm nhập.
• Phòng chống xâm nhập (Intrusion
Prevention): Là hành vi của hệ thống tự
động ngăn chặn các xâm nhập trái phép, có
khả năng gây hại cho hệ thống
 Hệ thống phát hiện xâm nhập ( Intrusion Detection System- IDS):
Là phần mềm hoặc thiết bị chuyên dụng làm nhiệm vụ tự động thực
hiện các hành động phát hiện xâm nhập.
 Hệ thống chống xâm nhập ( Intrusion Prevention System –IPS): Là
phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm
nhập và có thể ngăn chặn các nguy cơ gây mất an ninh
 Một hệ thống tự động phát hiện và phòng chống xâm nhập được gọi
là IDPS (Intrusion Detection and Prevention System)
17
Công nghệ IDPS
18
Phương pháp phát hiện xâm
nhập
1 2 3
Phát hiện dựa trên Phát hiện dựa trên Phát hiện dựa trên
dấu hiệu sự bất thường phân tích trạng
(Signature-Based) (Abnomaly-Based) thái của giao thức
(Stateful Protocol
Analysis-Based)
19
Phát hiện dựa trên dấu hiệu
– Hệ thống sẽ thu thập các thông tin của các truy nhập và so sánh
với các mẫu dấu hiệu đặc trưng về tấn công đã được lưu trữ
trong hệ thống
– Ví dụ:
• Telnet với username là “root”, được coi là vi phạm chính sách an ninh của
tổ chức
• Một e-mail với tiêu đề: “Free pictures!” và đính kèm một file với tên
“freepics.exe”, những ký tự này được coi như một dạng của mailware
• Ưu điểm:
– Nhanh chóng phát hiện ra các tấn công đã được xác định trước
– Giúp người có quản trị có thể theo dõi được tấn công
– Ít tạo ra cảnh báo sai
– Cần phải thường xuyên cập nhật mẫu tấn công mới
– Không có khả năng nhớ các yêu cầu trước đó khi đang xử lý yêu
cầu hiện tại
20
Phát hiện dựa trên sự bất thường
– Các hoạt động bình thường của hệ thống sẽ được ghi
nhận và lưu lại thành một hồ sơ theo dõi
– Nếu có bất kỳ một hành động không bình thường, hệ
thống sẽ theo dõi và phân tích để cảnh báo
• Ưu điểm:
– Có khả năng phát hiện ra những tấn công mới
– Không cần dựa vào mẫu sẵn có để phát hiện tấn công
– Có thể dựa vào đó để bổ sung các tấn công mới vào
mẫu tấn công
– Yêu cầu người quản trị cần phải hiểu biết nhiều về tấn
công
– Tạo ra nhiều cảnh báo nhầm
21
Phát hiện dựa trên phân tích
trạng thái của giao thức
– Phân tích các hành vi của giao thức được sử dụng trên
cơ sở biết được các định nghĩa về các hoạt động hợp
lệ của giao thức để nhận ra các hành vi tấn công
– Dựa vào định nghĩa về giao thức của Internet
Engineering Task Force [IETF] trong tài liệu [RFC]
• Ưu điểm:
– Có thể phát hiện được tấn công dựa trên giao thức
– Không thể phát hiện các tấn công mà không vi phạm
giao thức, ví dụ thực hiện nhiều hành động với giao
thức được phép: DOS.
– Có thể hiểu nhầm một vài giao thức được phép sử
dụng trong ứng dụng hoặc hệ thống đặc biệt là hành
động tấn công
22
Các loại IDPS
• Network-Based:
– Giám sát các lưu thông qua mạng nhằm bảo vệ các thiết bị hoặc
các phân đoạn mạng đặc biệt
– Phân tích các hành động tại lớp mạng hoặc lớp ứng dụng để phát
hiện các sự kiện bất thường
– Được triển khai tại đường biên giữa các mạng, gần với firewall
hoặc router, VPN server, remote access server và mạng không
dây
• Host-Based:
– Giám sát các hành động, các sự kiện trên host nhằm phát hiện
các sự kiện bất thường trên chính host đó
• Lưu thông qua mạng (chỉ đối với host cần giám sát)
• Hệ thống Log
• Các tiến trình/ ứng dụng đang hoạt động
• Các thay đổi về cấu hình hệ thống và ứng dụng
– Được triển khai trên host, server, destop, laptop, …
23
Các thành phần và kiến trúc
• Sensor or Agent
– Giám sát và phân tích các hành động
• Management Server
– Thiết bị trung tâm nhận thông tin từ sensor/ agent và quản trị
• Database Sever
– Là nơi lưu trữ thông tin về các sự kiện được ghi lại bởi sensor,
agent, hoặc management server
• Console
– Là chương trình cung cấp giao diện cho người sử dụng hoặc
người quản trị IDPS
– Phần mềm console thường được cài đặt trên máy trạm nhằm:
• Cấu hình sensor/ agent
• Cập nhật phần mềm
• Giám sát và phân tích
24
Kiến trúc Network IDPS
25
Triển khai bảo vệ hệ thống mạng
26
Ví dụ
27
1 Tường lửa
6 Mật mã
28
Quy trình xử lý Malware
Xử lý malware theo 4 bước:
 sa
 Công tác chuẩn bị (Preparation)

 Nhận dạng và phân tích (Detection and Analysis)
 Ngăn chặn, tiêu diệt và khôi phục (Containment, Eradication and
Recovery)
 Công tác sau sự cố (Post-Incident Activity)
29
Xử lý Malware
• Triển khai từ trên Internet

xuống: Gateway
– Ngăn chặn virus tại các Groupware

“cửa ngõ”. Messaging
– Ngăn chặn virus tại các

điểm có nhiều “giao File and storage server
dịch”
– Hạn chế việc nhiễm Desktop
virus tại các desktop
30
Xử lý Malware
• Chính sách
• Nâng cao nhận thức
• Khắc phục lỗ hổng bảo mật,
cập nhật các bản vá lỗi thường
xuyên
• Sử dụng các giải pháp kĩ thuật :
• Hệ thống Anti- virus (phần
mềm/ phần cứng)
– Symantec, Trend Micro,
McAfee, Kaspersky,…. 31
1 Tường lửa
6 Mật mã
32
Các nhân tố xác thực
• Tính đảm bảo của phương pháp xác thực
dựa trên 3 yếu tố cơ bản:
– Cái bạn biết - Something a person knows (số
PIN, mật khẩu)
– Cá bạn có - Something a person has
(SmartCard, Token…)
– Cái bạn là - Something a person is (Những đặc
tính sinh trắc học: Vân tay, mống mắt…)
33
Xác thực một yếu tố
• Các hệ thống xác thực người dùng bằng
Username/Password được gọi là xác thực
1 yếu tố
Username/password là xác thực yếu ??????

34
Xác thực nhiều yếu tố
• Phương pháp xác thực sử dụng từ 2 yếu tố
trở nên được gọi là xác thực mạnh
• Ví dụ xác thực 2 yếu tố là phương pháp xác thực yêu cầu 2 yếu tố
phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính
dựa trên :
– Những thông tin mà người dùng biết (số PIN, mật khẩu)
– Cùng với những gì mà người dùng có (SmartCard, USB, Token,…)
PassWord
Authenticate
35
Xác thực bằng mã PIN
36
Xác thực bằng SmartCard
37
Xác thực bằng Token
38
Xác thực bằng sinh trắc
Các mô hình dấu
vân lồi và lõi
Dấu vân Dựa vào các

tay đặc điểm trên
Tốc độ đo, áp
khuôn mặt
lực, góc Xác nhận Nhận diện của mỗi người
chữ ký khuôn
Một số mặt
phương pháp
Nhận sinh trắc học
Nhận
dạng bàn
dạng
tay và
Dựa vào chiều giọng nói Dựa vào đặc
dài, rộng, độ ngón tay Nhận diện
điểm âm
dày, diện tích mống mắt thanh của
bề mặt giọng nói
Sử dụng con ngươi
và khu vực màu bao
quanh các đồng tử 39
1 Tường lửa
6 Mật mã
40
Giới thiệu về các loại mạng
• Private Network
– Là 1 dạng hệ thống mạng LAN riêng biệt

– Sử dụng địa chỉ IP để chia sẻ dữ liệu giữa các node
được kết nối với nhau
– Nếu được triển khai ở nhiều vị trí khác nhau, thì cần 1
đường truyền cố định 41
• Hybrid Network
– Kết hợp được toàn bộ đặc tính kỹ thuật của Private và Public
network để giao tiếp với môi trường bên ngoài
– Điều hướng các mối liên kết, chia sẻ dữ liệu qua Private Network
– Phần còn lại của hệ thống, cùng với việc gửi dữ liệu, tiếp nhập
hoặc xử lý thông tin sẽ đi qua Public Network
42
• Virtual Private Network
– Là một mạng riêng sử dụng hệ thống mạng công cộng (thường là

Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với
một mạng LAN ở trụ sở trung tâm
– Tạo ra các liên kết ảo được truyền qua Internet
– Sử dụng các chế độ mã hóa thông tin khác nhau
43
Lợi ích của VPN
• Chi phí thấp hơn mạng riêng
– Giảm chi phí từ 20% đến 40% so với mạng sử
dụng Leased Line
– Giảm chi phí trong việc truy cập từ xa từ 40% đến
60%
• Tính linh hoạt trong kết nối
• Tăng tính bảo mật
• Hỗ trợ các giao thức mạng thông dụng TCP/IP
• Bảo mật địa chỉ IP
44
Các loại mạng riêng ảo
• VPN truy cập từ xa (Remote-Access)
– Gọi là mạng Dial-up riêng ảo (VPDN)
– Là một kết nối người dùng đến mạng LAN
– Sử dụng phần mềm VPN để thực hiện truy cập
– Cho phép các kết nối an toàn, có mật mã
• VPN điểm-nối-điểm (Site-to-Site)
– Kết nối nhiều điểm cố định với nhau thông qua
một mạng công cộng
– Có thể dựa trên Intranet hoặc Extranet
– Sử dụng mật mã để thực hiện kết nối
45
VPN Tunneling
• Là 1 dạng đường hầm trong đám mây Internet
• Tại nơi gửi: giao thức Tunneling sẽ “gói” toàn
bộ lượng thông tin này vào 1 package khác,
sau đó mã hóa chúng và tiến hành gửi
qua tunnel
• Tại nơi nhận: các giao thức hoạt động tương
ứng của tunneling sẽ giải mã package, sau
đó lọc nội dung nguyên bản, kiểm tra nguồn
gốc của gói tin cũng như các thông tin, dữ liệu
đã được phân loại khác
46
Các giao thức trong VPN
• Có 4 giao thức được sử dụng trong
mạng riêng ảo:
– L2F (Layer 2 Forwarding Protocol)
– PPTP (Point-to-Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– IPSec (IP Security)
47
• Giao thức L2F
– Được Cisco nghiên cứu và phát triển
– Dựa trên giao thức PPP – Point to Point
Protocol
– Có thể làm việc với nhiều công nghệ mạng
khác nhau: IP, IPX, Frame Relay, ATM,
FDDI,…
– Đóng gói những gói tin lớp 2 (PPP) sau đó
truyền qua mạng
48
• Giao thức PPTP
– Được PPTP Forum phát triển
– Sử dụng trên các máy client chạy HĐH
Windows
– Hỗ trợ mã hóa 40-bit hoặc 128-bit
– Không được phát triển trên dạng kết nối LAN-
to-LAN và giới hạn 255 kết nối tới 1 server
49
• Giao thức L2TP
– Là sản phẩm của sự hợp tác giữa các thành viên
PPTP Forum, Cisco và IETF
– Là dạng kết hợp của giao thức L2F và PPTP
– Được sử dụng để tạo kết nối độc lập, đa giao thức cho
mạng riêng ảo quay số (Virtual Private Dail-up
Network)
– Cho phép người dùng có thể kết nối thông qua các
chính sách bảo mật của công ty (security policies) để
tạo VPN hay VPDN như là sự mở rộng của mạng nội
bộ công ty
– Không cung cấp thêm cơ chế mã hóa thông tin mà dựa
vào PPP để mã hóa các lớp dữ liệu khác nhau
50
• Giao thức IPSec
– Được phát triển bởi IETF
– Mục đích chính là cung cấp một cơ chế bảo
mật lớp 3 (network layer) trong mô hình OSI
– Các gói dữ liệu được mã hóa bởi AES, DES
hoặc 3DES
– Cung cấp thêm chức năng nén dữ liệu và xác
nhận tài khoản đối với từng lớp network khác
nhau
51
1 Tường lửa
6 Mật mã
52
HỌC VIỆN KỸ THUẬT MẬT MÃ

Giai Phap

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Giai Phap

Uploaded by

Copyright:

Available Formats

HỌC VIỆN KỸ THUẬT MẬT MÃ

Các khái niệm cơ bản

Xác định danh sách hiểm họa đối với HTTT là

2 Phát hiện và ngăn chặn xâm nhập

3 Phòng chống mã độc

4 Xác thực đa nhân tố

Any Any Any Any Drop

2 Phát hiện và ngăn chặn xâm nhập

3 Phòng chống mã độc

4 Xác thực đa nhân tố

2 Phát hiện và ngăn chặn xâm nhập

3 Phòng chống mã độc

4 Xác thực đa nhân tố

 Công tác chuẩn bị (Preparation)

• Triển khai từ trên Internet

– Ngăn chặn virus tại các Groupware

– Ngăn chặn virus tại các

2 Phát hiện và ngăn chặn xâm nhập

3 Phòng chống mã độc

4 Xác thực đa nhân tố

Username/password là xác thực yếu ??????

Dấu vân Dựa vào các

2 Phát hiện và ngăn chặn xâm nhập

3 Phòng chống mã độc

4 Xác thực đa nhân tố

– Là 1 dạng hệ thống mạng LAN riêng biệt

– Là một mạng riêng sử dụng hệ thống mạng công cộng (thường là

2 Phát hiện và ngăn chặn xâm nhập

3 Phòng chống mã độc

4 Xác thực đa nhân tố

You might also like