Professional Documents
Culture Documents
Trước Sau
RISK= f(Asset,Threat,Vulnerability)
www.trungtamtinhoc.edu.vn
2
Các khái niệm cơ bản
How much is Enough? 1 2
Security Security
Policy Organization
9 8 7
10 6
3 4
Computer Personnel
1 5
2 3 4 & Network Security
Management
5 6
Classification
Compliance & Control
of Assets
9 8
10 6
7 7 8
1 Environmental
5
System
2 3 4
& Physical Development
Security & Maintenance
9 10
Business System
Continuity Access
Planning Controls
www.trungtamtinhoc.edu.vn
3
Vai trò của phân loại hiểm họa
www.trungtamtinhoc.edu.vn
4
Hiểm họa an toàn thông tin
www.trungtamtinhoc.edu.vn
5
Các giải pháp chủ yếu
1 Tường lửa
5 Mạng riêng ảo
6 Mật mã
www.trungtamtinhoc.edu.vn
6
Khái niệm
• Là thiết bị hoặc hệ thống dùng
để điều khiển luồng lưu thông
giữa các vùng mạng hoặc giữa
các máy tính và mạng
Cũng có thể hiểu rằng Firewall là một cơ chế để ngăn
cách bảo vệ mạng tin tưởng (trusted network) khỏi
các mạng không tin tưởng (untrusted network).
=> Chú ý: Firewall không gắn liền với việc “bảo vệ mạng trước Internet”
www.trungtamtinhoc.edu.vn
7
Cơ chế hoạt động
• Kiểm soát tất cả lưu thông và truy cập giữa các vùng cần
bảo vệ
– Những dịch vụ (port ) nào bên trong được phép truy cập từ bên ngoài và
ngược lại
– Những node mạng (user, địa chỉ IP) nào từ bên ngoài được phép truy cập
đến các dịch vụ bên trong và ngược lại
Đi đâu ?
Gặp ai ?...
www.trungtamtinhoc.edu.vn
8
Phân loại
• Packet Filter
• Application – Proxy Gateway
• Stateful Inspection
www.trungtamtinhoc.edu.vn
9
Packet Filter
• Ưu điểm:
– Giá thành thấp
– Hoạt động nhanh
– Có khả năng chống lại
các tấn công từ chối dịch
vụ hay các tấn công ở
tầng thấp
• Nhược điểm:
– Chỉ giới hạn kiểm soát
gói tin ở header
– Không kiểm soát được
thông tin ở tầng cao (từ
network trở lên)
– Khả năng ghi Log kém
– Xác thực người sử dụng
khó khăn
www.trungtamtinhoc.edu.vn
10
Application-Proxy Gateway
• Ưu điểm:
– Hoạt động tới lớp 7
– Có khả năng xác thực
người sử dụng tốt
– Ít bị tấn công spoofing
– Có khả năng ghi lại nhiều
thông tin nhật ký
• Nhược điểm:
– Hoạt động chậm
– Không phù hợp với đường
truyền đòi hỏi tốc độ cao
hoặc các ứng dụng đòi hỏi
thời gian thực
– Khả năng hỗ trợ cho các
ứng dụng và giao thức mới
kém
www.trungtamtinhoc.edu.vn
11
Stateful Inspection
Được phát minh bởi CheckPoint
• Tường lửa kiểm soát
trạng thái là bộ lọc gói
có kết hợp chặt chẽ
với thông tin lấy từ
lớp 4 của mô hình
OSI
• Cho phép client kết
nối trực tiếp với
server
• Có khả năng thực
hiện kiểm tra tại bất
kỳ phần nào của gói
tin
www.trungtamtinhoc.edu.vn
12
Firewall Rule
• Tường lửa kiểm soát lưu thông mạng dựa
trên các tập luật:
Source Address Source Port Destination Address Destination Port Action
192.168.0.1 any any 80 allow
www.trungtamtinhoc.edu.vn
13
• Ví dụ về bảng luật trong tường lửa lọc gói:
www.trungtamtinhoc.edu.vn
14
Ví dụ
www.trungtamtinhoc.edu.vn
15
Các giải pháp chủ yếu
1 Tường lửa
5 Mạng riêng ảo
6 Mật mã
www.trungtamtinhoc.edu.vn
16
Khái niệm
• Phát hiện xâm nhập (Intrusion
Detection): Là quá trình giám sát các sự
kiện xảy ra trong một hệ thống máy tính
hoặc mạng và phân tích chúng để tìm ra
các dấu hiệu của sự xâm nhập hoặc dấu
hiệu về khả năng hệ thống bị xâm nhập.
• Phòng chống xâm nhập (Intrusion
Prevention): Là hành vi của hệ thống tự
động ngăn chặn các xâm nhập trái phép, có
khả năng gây hại cho hệ thống
Hệ thống phát hiện xâm nhập ( Intrusion Detection System- IDS):
Là phần mềm hoặc thiết bị chuyên dụng làm nhiệm vụ tự động thực
hiện các hành động phát hiện xâm nhập.
Hệ thống chống xâm nhập ( Intrusion Prevention System –IPS): Là
phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm
nhập và có thể ngăn chặn các nguy cơ gây mất an ninh
Một hệ thống tự động phát hiện và phòng chống xâm nhập được gọi
là IDPS (Intrusion Detection and Prevention System)
www.trungtamtinhoc.edu.vn
17
Công nghệ IDPS
www.trungtamtinhoc.edu.vn
18
Phương pháp phát hiện xâm
nhập
1 2 3
Phát hiện dựa trên Phát hiện dựa trên Phát hiện dựa trên
dấu hiệu sự bất thường phân tích trạng
(Signature-Based) (Abnomaly-Based) thái của giao thức
(Stateful Protocol
Analysis-Based)
www.trungtamtinhoc.edu.vn
19
Phát hiện dựa trên dấu hiệu
– Hệ thống sẽ thu thập các thông tin của các truy nhập và so sánh
với các mẫu dấu hiệu đặc trưng về tấn công đã được lưu trữ
trong hệ thống
– Ví dụ:
• Telnet với username là “root”, được coi là vi phạm chính sách an ninh của
tổ chức
• Một e-mail với tiêu đề: “Free pictures!” và đính kèm một file với tên
“freepics.exe”, những ký tự này được coi như một dạng của mailware
• Ưu điểm:
– Nhanh chóng phát hiện ra các tấn công đã được xác định trước
– Giúp người có quản trị có thể theo dõi được tấn công
– Ít tạo ra cảnh báo sai
• Nhược điểm:
– Cần phải thường xuyên cập nhật mẫu tấn công mới
– Không có khả năng nhớ các yêu cầu trước đó khi đang xử lý yêu
cầu hiện tại
www.trungtamtinhoc.edu.vn
20
Phát hiện dựa trên sự bất thường
– Các hoạt động bình thường của hệ thống sẽ được ghi
nhận và lưu lại thành một hồ sơ theo dõi
– Nếu có bất kỳ một hành động không bình thường, hệ
thống sẽ theo dõi và phân tích để cảnh báo
• Ưu điểm:
– Có khả năng phát hiện ra những tấn công mới
– Không cần dựa vào mẫu sẵn có để phát hiện tấn công
– Có thể dựa vào đó để bổ sung các tấn công mới vào
mẫu tấn công
• Nhược điểm:
– Yêu cầu người quản trị cần phải hiểu biết nhiều về tấn
công
– Tạo ra nhiều cảnh báo nhầm
www.trungtamtinhoc.edu.vn
21
Phát hiện dựa trên phân tích
trạng thái của giao thức
– Phân tích các hành vi của giao thức được sử dụng trên
cơ sở biết được các định nghĩa về các hoạt động hợp
lệ của giao thức để nhận ra các hành vi tấn công
– Dựa vào định nghĩa về giao thức của Internet
Engineering Task Force [IETF] trong tài liệu [RFC]
• Ưu điểm:
– Có thể phát hiện được tấn công dựa trên giao thức
• Nhược điểm:
– Không thể phát hiện các tấn công mà không vi phạm
giao thức, ví dụ thực hiện nhiều hành động với giao
thức được phép: DOS.
– Có thể hiểu nhầm một vài giao thức được phép sử
dụng trong ứng dụng hoặc hệ thống đặc biệt là hành
động tấn công
www.trungtamtinhoc.edu.vn
22
Các loại IDPS
• Network-Based:
– Giám sát các lưu thông qua mạng nhằm bảo vệ các thiết bị hoặc
các phân đoạn mạng đặc biệt
– Phân tích các hành động tại lớp mạng hoặc lớp ứng dụng để phát
hiện các sự kiện bất thường
– Được triển khai tại đường biên giữa các mạng, gần với firewall
hoặc router, VPN server, remote access server và mạng không
dây
• Host-Based:
– Giám sát các hành động, các sự kiện trên host nhằm phát hiện
các sự kiện bất thường trên chính host đó
• Lưu thông qua mạng (chỉ đối với host cần giám sát)
• Hệ thống Log
• Các tiến trình/ ứng dụng đang hoạt động
• Các thay đổi về cấu hình hệ thống và ứng dụng
– Được triển khai trên host, server, destop, laptop, …
www.trungtamtinhoc.edu.vn
23
Các thành phần và kiến trúc
• Sensor or Agent
– Giám sát và phân tích các hành động
• Management Server
– Thiết bị trung tâm nhận thông tin từ sensor/ agent và quản trị
• Database Sever
– Là nơi lưu trữ thông tin về các sự kiện được ghi lại bởi sensor,
agent, hoặc management server
• Console
– Là chương trình cung cấp giao diện cho người sử dụng hoặc
người quản trị IDPS
– Phần mềm console thường được cài đặt trên máy trạm nhằm:
• Cấu hình sensor/ agent
• Cập nhật phần mềm
• Giám sát và phân tích
www.trungtamtinhoc.edu.vn
24
Kiến trúc Network IDPS
www.trungtamtinhoc.edu.vn
25
Triển khai bảo vệ hệ thống mạng
www.trungtamtinhoc.edu.vn
26
Ví dụ
www.trungtamtinhoc.edu.vn
27
Các giải pháp chủ yếu
1 Tường lửa
5 Mạng riêng ảo
6 Mật mã
www.trungtamtinhoc.edu.vn
28
Quy trình xử lý Malware
Xử lý malware theo 4 bước:
sa
www.trungtamtinhoc.edu.vn
30
Xử lý Malware
• Chính sách
• Nâng cao nhận thức
• Khắc phục lỗ hổng bảo mật,
cập nhật các bản vá lỗi thường
xuyên
• Sử dụng các giải pháp kĩ thuật :
• Hệ thống Anti- virus (phần
mềm/ phần cứng)
– Symantec, Trend Micro,
McAfee, Kaspersky,…. 31
www.trungtamtinhoc.edu.vn
Các giải pháp chủ yếu
1 Tường lửa
5 Mạng riêng ảo
6 Mật mã
www.trungtamtinhoc.edu.vn
32
Các nhân tố xác thực
• Tính đảm bảo của phương pháp xác thực
dựa trên 3 yếu tố cơ bản:
– Cái bạn biết - Something a person knows (số
PIN, mật khẩu)
– Cá bạn có - Something a person has
(SmartCard, Token…)
– Cái bạn là - Something a person is (Những đặc
tính sinh trắc học: Vân tay, mống mắt…)
www.trungtamtinhoc.edu.vn
33
Xác thực một yếu tố
• Các hệ thống xác thực người dùng bằng
Username/Password được gọi là xác thực
1 yếu tố
PassWord
Authenticate
www.trungtamtinhoc.edu.vn
35
Xác thực bằng mã PIN
www.trungtamtinhoc.edu.vn
36
Xác thực bằng SmartCard
www.trungtamtinhoc.edu.vn
37
Xác thực bằng Token
www.trungtamtinhoc.edu.vn
38
Xác thực bằng sinh trắc
Các mô hình dấu
vân lồi và lõi
5 Mạng riêng ảo
6 Mật mã
www.trungtamtinhoc.edu.vn
40
Giới thiệu về các loại mạng
• Private Network
– Kết hợp được toàn bộ đặc tính kỹ thuật của Private và Public
network để giao tiếp với môi trường bên ngoài
– Điều hướng các mối liên kết, chia sẻ dữ liệu qua Private Network
– Phần còn lại của hệ thống, cùng với việc gửi dữ liệu, tiếp nhập
hoặc xử lý thông tin sẽ đi qua Public Network
www.trungtamtinhoc.edu.vn
42
Giới thiệu về các loại mạng
• Virtual Private Network
www.trungtamtinhoc.edu.vn
44
Các loại mạng riêng ảo
• VPN truy cập từ xa (Remote-Access)
– Gọi là mạng Dial-up riêng ảo (VPDN)
– Là một kết nối người dùng đến mạng LAN
– Sử dụng phần mềm VPN để thực hiện truy cập
– Cho phép các kết nối an toàn, có mật mã
• VPN điểm-nối-điểm (Site-to-Site)
– Kết nối nhiều điểm cố định với nhau thông qua
một mạng công cộng
– Có thể dựa trên Intranet hoặc Extranet
– Sử dụng mật mã để thực hiện kết nối
www.trungtamtinhoc.edu.vn
45
VPN Tunneling
• Là 1 dạng đường hầm trong đám mây Internet
• Tại nơi gửi: giao thức Tunneling sẽ “gói” toàn
bộ lượng thông tin này vào 1 package khác,
sau đó mã hóa chúng và tiến hành gửi
qua tunnel
• Tại nơi nhận: các giao thức hoạt động tương
ứng của tunneling sẽ giải mã package, sau
đó lọc nội dung nguyên bản, kiểm tra nguồn
gốc của gói tin cũng như các thông tin, dữ liệu
đã được phân loại khác
www.trungtamtinhoc.edu.vn
46
Các giao thức trong VPN
• Có 4 giao thức được sử dụng trong
mạng riêng ảo:
– L2F (Layer 2 Forwarding Protocol)
– PPTP (Point-to-Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– IPSec (IP Security)
www.trungtamtinhoc.edu.vn
47
Các giao thức trong VPN
• Giao thức L2F
– Được Cisco nghiên cứu và phát triển
– Dựa trên giao thức PPP – Point to Point
Protocol
– Có thể làm việc với nhiều công nghệ mạng
khác nhau: IP, IPX, Frame Relay, ATM,
FDDI,…
– Đóng gói những gói tin lớp 2 (PPP) sau đó
truyền qua mạng
www.trungtamtinhoc.edu.vn
48
Các giao thức trong VPN
• Giao thức PPTP
– Được PPTP Forum phát triển
– Sử dụng trên các máy client chạy HĐH
Windows
– Hỗ trợ mã hóa 40-bit hoặc 128-bit
– Không được phát triển trên dạng kết nối LAN-
to-LAN và giới hạn 255 kết nối tới 1 server
www.trungtamtinhoc.edu.vn
49
Các giao thức trong VPN
• Giao thức L2TP
– Là sản phẩm của sự hợp tác giữa các thành viên
PPTP Forum, Cisco và IETF
– Là dạng kết hợp của giao thức L2F và PPTP
– Được sử dụng để tạo kết nối độc lập, đa giao thức cho
mạng riêng ảo quay số (Virtual Private Dail-up
Network)
– Cho phép người dùng có thể kết nối thông qua các
chính sách bảo mật của công ty (security policies) để
tạo VPN hay VPDN như là sự mở rộng của mạng nội
bộ công ty
– Không cung cấp thêm cơ chế mã hóa thông tin mà dựa
vào PPP để mã hóa các lớp dữ liệu khác nhau
www.trungtamtinhoc.edu.vn
50
Các giao thức trong VPN
• Giao thức IPSec
– Được phát triển bởi IETF
– Mục đích chính là cung cấp một cơ chế bảo
mật lớp 3 (network layer) trong mô hình OSI
– Các gói dữ liệu được mã hóa bởi AES, DES
hoặc 3DES
– Cung cấp thêm chức năng nén dữ liệu và xác
nhận tài khoản đối với từng lớp network khác
nhau
www.trungtamtinhoc.edu.vn
51
Các giải pháp chủ yếu
1 Tường lửa
5 Mạng riêng ảo
6 Mật mã
www.trungtamtinhoc.edu.vn
52
HỌC VIỆN KỸ THUẬT MẬT MÃ