Professional Documents
Culture Documents
ATMNC-Chuong 1 - Gioi Thieu ATM-NC
ATMNC-Chuong 1 - Gioi Thieu ATM-NC
Trang 2
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 3
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 4
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 5
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 6
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 7
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Một hệ thống kiểm soát truy cập có thể được cấu thành từ 3
dịch vụ:
▪ Xác thực (Authentication):
• Là quá trình xác minh tính chân thực của các thông tin nhận dạng mà
người dùng cung cấp.
▪ Trao quyền (Authorization):
• Trao quyền xác định các tài nguyên mà người dùng được phép truy cập
sau khi người dùng đã được xác thực.
▪ Quản trị (Administration):
• Cung cấp khả năng thêm, bớt và sửa đổi các thông tin tài khoản người
dùng, cũng như quyền truy cập của người dùng.
❖ Trong 3 dịch vụ trên, xác thực và trao quyền là 2 dịch vụ
thiết yếu của một hệ thống kiểm soát truy cập.
Trang 8
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Mục đích chính của kiểm soát truy cập là để đảm bảo tính bí
mật, toàn vẹn và sẵn dùng của thông tin, hệ thống và các tài
nguyên:
▪ Tính bí mật (confidentiality): đảm bảo chỉ những người có thẩm quyền
mới có khả năng truy cập vào dữ liệu và hệ thống.
▪ Tính toàn vẹn (Integrity): đảm bảo dữ liệu không bị sửa đổi bởi các
bên không có đủ thẩm quyền.
▪ Tính sẵn dùng: đảm bảo tính sẵn sàng (đáp ứng nhanh/kịp thời) của
dịch vụ cung cấp cho người dùng thực sự.
Trang 9
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Access Control:
▪ Discretionary (controlled by
user): tùy chọn, tùy quyền
▪ Nondiscretionary (controlled by
organization): không tùy chọn,
không tùy quyền
• Lattice-based: Dựa trên mạng/
Lưới
• Mandatory: bắt buộc
• Role-based/Task-based: Dựa
trên vai trò/Nhiệm vụ.
Trang 10
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Kiểm soát truy cập tuỳ chọn – Discretionary Access Control (DAC)
❖ Kiểm soát truy cập bắt buộc – Mandatory Access Control (MAC)
❖ Kiểm soát truy cập dựa trên vai trò – Role-Based Access Control
(RBAC)
❖ Kiểm soát truy cập dựa trên nhiệm vụ – Task-Based Access
Control (TBAC)
❖ Kiểm soát truy cập dựa trên luật – Rule-Based Access Control
❖ Kiểm soát truy cập dựa trên thuộc tính – Attribute-Based Access
Control (ABAC)
❖ Kiểm soát truy cập dựa trên lưới – Lattice-Based Access Control
(LBAC)
Trang 11
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Kiểm soát truy cập tuỳ chọn được định nghĩa là các cơ chế
hạn chế truy cập đến các đối tượng dựa trên thông tin nhận
dạng của các chủ thể và/hoặc nhóm của các chủ thể.
❖ Thông tin nhận dạng có thể gồm:
▪ Bạn là ai? (CMND, bằng lái xe, vân tay,...)
▪ Những cái bạn biết (tên truy cập, mật khẩu, số PIN...)
▪ Bạn có gì? (Thẻ ATM, thẻ tín dụng, ...)
Trang 12
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ DAC cho phép người dùng có thể cấp hoặc huỷ quyền truy
cập cho các người dùng khác đến các đối tượng thuộc
quyền điều khiển của họ.
❖ Chủ sở hữu của các đối tượng (owner of objects) là người
dùng có toàn quyền điều khiển các đối tượng này.
Trang 13
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 14
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 15
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 16
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Objects
O1 O2 O3 O4
Subjects
S1 rw rwxo r rwxo
S2 rw rx rw rwx
S3 r rw rwo rw
❖ Danh sách kiểm soát truy cập (Access Control List - ACL) là
một danh sách các quyền truy cập của một chủ thể đối với
một đối tượng.
▪ Một ACL chỉ ra các người dùng hoặc tiến trình được truy cập vào đối
tượng nào và các thao tác cụ thể (quyền) được thực hiện trên đối
tượng đó.
▪ Một bản ghi điển hình của ACL có dạng (subject, operation). Ví dụ bản
ghi (Alice, write) của 1 file có nghĩa là Alice có quyền ghi vào file đó.
▪ Khi chủ thể yêu cầu truy cập, hệ điều hành sẽ kiểm tra ACL xem yêu
cầu đó có được phép hay không.
▪ ACL có thể được áp dụng cho một hoặc 1 nhóm đối tượng.
Trang 18
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Profiles ACL
A B C User
space
Files F1 A: RW; B: R
ACL
Kernel
F2 A: R; B: RW; C:R
space
F3 B: RWX; C: RX
❖ Điều khiển truy bắt buộc được định nghĩa là các cơ chế hạn
chế truy cập đến các đối tượng dựa trên
▪ Tính nhạy cảm (sensitivity) của thông tin (thường được gán nhãn)
chứa trong các đối tượng, và
▪ Sự trao quyền chính thức (formal authorization) cho các chủ thể truy
cập các thông tin nhạy cảm này.
Trang 20
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 21
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ MAC không cho phép người tạo ra các đối tượng (thông
tin/tài nguyên) có toàn quyền truy cập các đối tượng này.
❖ Quyền truy cập đến các đối tượng (thông tin/tài nguyên) do
người quản trị hệ thống định ra trước trên cơ sở chính sách
an toàn thông tin của tổ chức đó.
❖ MAC thường được sử dụng phổ biến trong các cơ quan an
ninh, quân đội và ngân hàng.
Trang 22
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Ví dụ: một tài liệu được tạo ra và được đóng dấu “Mật”:
▪ Chỉ những người có trách nhiệm trong tổ chức mới được quyền xem
và phổ biến cho người khác;
▪ Tác giả của tài liệu không được quyền phổ biến đến người khác.
Trang 23
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Kiểm soát truy cập dựa trên vai trò cho phép người dùng
truy cập vào thông tin và hệ thống dựa trên vai trò (role) của
họ trong công ty/tổ chức đó.
❖ Kiểm soát truy cập dựa trên vai trò có thể được áp dụng cho
một nhóm người dùng hoặc từng người dùng riêng lẻ.
❖ Quyền truy cập được tập hợp thành các nhóm “vai trò” với
các mức quyền truy cập khác nhau.
Trang 24
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Ví dụ: một trường học chia người dùng thành các nhóm gán
sẵn quyền truy cập vào các phần trong hệ thống:
▪ Nhóm Quản lý được quyền truy cập vào tất cả các thông tin trong hệ
thống;
▪ Nhóm Giáo viên được truy cập vào CSDL các môn học, bài báo khoa
học, cập nhật điểm các lớp phụ trách;
▪ Nhóm Sinh viên chỉ được quyền xem nội dung các môn học, tải tài liệu
học tập và xem điểm của mình.
Trang 25
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 26
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Một mô hình
RBAC đơn giản
Trang 27
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Kiểm soát truy cập dựa trên nhiệm vụ cho phép người dùng
truy cập vào thông tin và hệ thống dựa trên nhiệm vụ (task)
họ được giao thực hiện.
❖ Nhiệm vụ có tính tạm thời hơn so với vai trò.
Trang 28
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Kiểm soát truy cập dựa trên luật cho phép người dùng truy
cập vào hệ thống và thông tin dựa trên các luật (rules) đã
được định nghĩa trước.
❖ Các luật có thể được thiết lập để hệ thống cho phép truy
cập đến các tài nguyên của mình cho người dùng thuộc một
tên miền, một mạng hay một dải địa chỉ IP.
Trang 29
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 30
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Kiểm soát truy cập dựa trên thuộc tính (ABAC), còn được
gọi là kiểm soát truy cập dựa trên chính sách cho quản lý
danh tính (IAM) xác định mô hình kiểm soát truy cập, theo
đó quyền của chủ thể để thực hiện một tập hợp các hoạt
động được xác định bằng cách đánh giá các thuộc tính liên
quan đến chủ thể, đối tượng, các hoạt động được yêu cầu,
và, trong một số trường hợp, thuộc tính môi trường.
Trang 31
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 32
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Kiểm soát truy cập dựa trên lưới là phương pháp kiểm soát
truy cập sử dụng ma trận hoặc mạng lưới các chủ thể
(người dùng) và các đối tượng (tài nguyên) để gán đặc
quyền.
❖ LBAC là một ví dụ về NDAC (Non-Discretionary Access
Control).
Trang 33
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 34
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 35
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 36
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 37
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Mô hình Biba đảm bảo tính toàn vẹn theo cách thức tính
toàn vẹn của dữ liệu bị đe dọa khi:
▪ Chủ thể ở mức toàn vẹn thấp có khả năng ghi vào đối tượng (dữ liệu)
có mức toàn vẹn cao hơn và khi
▪ Chủ thể có thể đọc dữ liệu ở mức toàn vẹn thấp hơn.
❖ Mô hình Biba áp dụng hai quy tắc:
▪ Không ghi lên: Chủ thể không thể ghi dữ liệu vào đối tượng có mức
toàn vẹn cao hơn;
▪ Không đọc xuống: Chủ thể không thể đọc dữ liệu có mức toàn vẹn
thấp hơn.
Trang 39
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 40
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 41
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Mô hình Clark-Wilson
❖ Mô hình Clark-Wilson cung cấp một cách tiếp cận khác cho
vấn đề toàn vẹn dữ liệu.
❖ Mô hình này tập trung vào việc ngăn chặn người dùng sửa
đổi trái phép dữ liệu.
▪ Trong mô hình này, người dùng không thao tác trực tiếp với các đối
tượng mà thông qua một chương trình.
▪ Chương trình này hạn chế các thao tác người dùng được thực hiện
lên đối tượng và như vậy bảo vệ tính toàn vẹn của đối tượng.
Trang 42
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Mô hình Clark-Wilson
❖ Tính toàn vẹn được dựa trên nguyên tắc các công việc (thủ
tục) được định nghĩa tường minh và việc tách biệt trách
nhiệm.
❖ Nói cách khác, mô hình dựa trên cơ sở qui trình công việc
được xây dựng một cách rõ ràng và nguyên tắc tách biệt
trách nhiệm của người dùng tham gia vào qui trình xử lý
công việc.
Trang 43
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Mô hình Clark-Wilson
Trang 44
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 45
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 46
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 47
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Mô hình Harrison-Ruzzo-Ullman
Trang 48
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Mô hình Harrison-Ruzzo-Ullman
❖ HRU được xây dựng trên 1 ma trận kiểm soát truy cập và
bao gồm 1 tập các quyền chung và 1 tập cụ thể các lệnh:
▪ Create subject/create object
▪ Enter right X into
▪ Delete right X from
▪ Destroy subject/destroy object
❖ Bằng cách sử dụng tập hợp các quyền và lệnh, đồng thời
giới hạn mỗi lệnh trong một thao tác duy nhất, có thể xác
định nếu (if) và khi nào (when) một chủ thể cụ thể có thể có
được một quyền cụ thể đối trên một đối tượng.
Trang 49
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 50
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Mô hình Brewer-Nash
Trang 51
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Mô hình Brewer-Nash
Trang 52
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 53
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Xác thực dựa trên mật khẩu là phương pháp xác thực đơn
giản, dễ sử dụng, nhưng có độ an toàn thấp;
▪ Xác thực dựa trên mật khẩu dễ bị tấn công dựa trên từ điển, hoặc tấn
công vét cạn, đặc biệt với các mật khẩu đơn giản.
❖ Độ an toàn của xác thực dựa trên mật khẩu phụ thuộc vào
độ khó của mật khẩu:
▪ Độ dài mật khẩu
▪ Số loại ký tự sử dụng
▪ Tuổi thọ của mật khẩu.
Trang 54
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 55
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 56
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 57
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Trong số tất cả các đặc điểm sinh trắc học có thể có, chỉ có
ba đặc điểm của con người thường được coi là thực sự
riêng (unique):
▪ Vân ngón tay (Fingerprint)
▪ Dấu võng mạc (Retinal print)
▪ Mống mắt (Iris pattern).
Trang 58
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Universality: tính phổ quát; Uniqueness: tính duy nhất; Permanence: Thường trực;
Collectability: Khả năng thu thập; Performance: Hiệu năng; Acceptability: Khả năng chấp
nhận; Circumvention: Sự lách luật; H : High; M : Medium; L: Low
Trang 59
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 61
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Xác thực dựa trên mã thông báo (token) cho phép người
dùng nhập thông tin xác thực của họ một lần và đổi lại nhận
được một chuỗi ký tự ngẫu nhiên được mã hóa duy nhất.
❖ Sau đó, người dùng có thể sử dụng mã thông báo để truy
cập các hệ thống được bảo vệ thay vì nhập lại thông tin
đăng nhập của mình.
❖ Mã thông báo chứng minh rằng người dùng đã có quyền
truy cập.
❖ Các giao thức xác thực dựa trên mã thông báo, như
Kerberos.
Trang 62
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 63
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Các giao thức xác thực là các giao thức được sử dụng để
xác thực người dùng, xác thực thiết bị, máy chủ...
❖ Các giao thức xác thực phổ biến gồm:
▪ PAP (Password authentication protocol)
▪ Kerberos
▪ LDAP (Lightweight Directory Access Protocol)
▪ OAuth2
▪ SAML (Security Assertion Markup Language)
▪ RADIUS (Remote authentication dial-in user service)
▪ CHAP (Challenge-Handshake Authentication Protocol)
▪ EAP (Extensible authentication protocol)
Trang 64
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 65
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Kerberos
Trang 66
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Kerberos
Trang 67
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ LDAP là một giao thức ứng dụng cho phép truy cập và duy
trì các dịch vụ thông tin thư mục phân tán qua mạng
Internet;
▪ Dịch vụ thư mục đóng vai trò quan trọng trong việc phát triển các ứng
dụng mạng nội bộ và Internet bằng cách cho phép chia sẻ thông tin về
người dùng, hệ thống, mạng, dịch vụ và ứng dụng trên toàn mạng;
▪ Ví dụ: dịch vụ thư mục có thể cung cấp bất kỳ tập hợp bản ghi của tổ
chức, thường có cấu trúc phân cấp, chẳng hạn như thư mục email
của công ty.
▪ Dịch vụ Active Directory của Windows server sử dụng LDAP.
Trang 68
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 69
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
OAuth2
❖ OAuth2 là một giao thức ủy quyền cho phép các ứng dụng,
chẳng hạn như Facebook, GitHub có được quyền truy cập
hạn chế vào tài khoản người dùng trên dịch vụ HTTP.
❖ Nó hoạt động bằng cách ủy quyền xác thực người dùng cho
dịch vụ lưu trữ tài khoản người dùng và ủy quyền cho các
ứng dụng của bên thứ ba truy cập vào tài khoản người dùng
đó.
❖ OAuth2 cung cấp các luồng ủy quyền cho các ứng dụng
web và máy tính để bàn cũng như thiết bị di động.
Trang 70
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
OAuth2
Trang 71
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 72
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
OAuth2
Trang 73
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 74
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ SAML là một tiêu chuẩn mở cho trao đổi dữ liệu xác thực và
ủy quyền giữa các bên, đặc biệt là giữa nhà cung cấp danh
tính và nhà cung cấp dịch vụ.
▪ SAML là ngôn ngữ đánh dấu dựa trên XML để xác nhận bảo mật (các
câu lệnh mà nhà cung cấp dịch vụ sử dụng để đưa ra quyết định kiểm
soát quyền truy cập).
❖ SAML thường được sử dụng trong cơ chế đăng nhập một
lần trên trình duyệt web (SSO).
Trang 75
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 76
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
RADIUS Protocol
Trang 77
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
RADIUS Protocol
Trang 78
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
RADIUS Protocol
Trang 79
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ CHAP (Giao thức xác thực bắt tay thử thách) là phương
thức xác thực thử thách và trả lời mà máy chủ Giao thức
điểm-điểm (PPP) sử dụng để xác minh danh tính của người
dùng từ xa.
▪ Xác thực CHAP bắt đầu sau khi người dùng từ xa khởi tạo liên kết
PPP.
❖ CHAP cho phép người dùng từ xa nhận dạng chính họ với
hệ thống xác thực mà không để lộ mật khẩu của họ. Với
CHAP, hệ thống xác thực sử dụng bí mật chung -- là mật
khẩu -- để tạo giá trị băm mật mã bằng thuật toán MD5.
Trang 80
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 81
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 82
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
EAP Protocol
❖ EAP là một giao thức xác thực được thiết kế để hỗ trợ nhiều
phương pháp xác thực;
❖ EAP chỉ định cấu trúc của giao tiếp xác thực giữa máy
khách và máy chủ xác thực mà không xác định nội dung của
dữ liệu xác thực.
▪ Nội dung này được xác định bằng phương pháp EAP cụ thể được sử
dụng để xác thực. Các phương pháp xác thực phổ biến hỗ trợ bởi
EAP có thể bao gồm:
• Thử thách sử dụng MD5
• Mật khẩu một lần
• Thẻ token chung
• Bảo mật lớp vận chuyển (TLS).
Trang 83
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
EAP Protocol
Trang 84
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 85
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 86
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 87
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Tường lửa có quá trình phát triển qua các thế hệ:
▪ Thế hệ 1: lọc đơn giản, cho phép hoặc từ chối các gói tin ở lớp 3 dựa
trên header của gói, tương tự hỗ trợ danh sách kiểm soát truy cập.
▪ Thế hệ 2: hỗ trợ giám sát, lọc theo phiên, kết nối (tường lửa có trạng
thái), có khả năng lọc gói đến lớp 4.
▪ Thế hệ 3: hỗ trợ khả năng lọc đến lớp 7 - lớp ứng dụng. Một số thiết bị
cao cấp hỗ trợ mô hình UTM (unified threat management).
▪ Thế hệ 4: còn gọi là tường lửa thế hệ mới (NGFW), tích hợp hỗ trợ lọc
đa lớp mạng, lọc nội dung, lọc mã độc, lọc lưu lượng mã hóa...
▪ Thế hệ 5: là tường lửa thế hệ mới hỗ trợ bởi học máy (ML-Powered
NGFW). Dạng tường lửa này sử dụng các mô hình học máy để chủ
động phát hiện nhiều dạng tấn công đã biết và chưa biết, kể cả tấn
công zero-day.
Trang 88
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 89
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 90
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Khái quát về FW: Các thuộc tính cần có của tường lửa
❖ Để đảm bảo hiệu quả, tường lửa phải có các thuộc tính sau:
▪ Tất cả thông tin trao đổi phải đi qua tường lửa:
• Hiệu quả của tường lửa sẽ giảm đi đáng kể nếu có định tuyến mạng thay thế;
• Lưu lượng truy cập trái phép có thể được gửi vòng qua tường lửa.
▪ Tường lửa chỉ cho phép lưu lượng truy cập được ủy quyền:
• Nếu không thể dựa vào tường lửa để phân biệt giữa lưu lượng được ủy quyền và
trái phép hoặc nếu nó được cấu hình để cho phép các liên lạc nguy hiểm hoặc không
cần thiết thì tính hữu dụng của nó cũng bị giảm đi.
• Trong tình huống lỗi hoặc quá tải, tường lửa phải luôn chuyển sang trạng thái từ chối
hoặc đóng.
--> Thà làm gián đoạn liên lạc còn hơn là để hệ thống không được bảo vệ.
▪ Tường lửa có thể tự chống lại các cuộc tấn công:
• Bởi vì tường lửa dựa vào đó để ngăn chặn các cuộc tấn công và không có gì được
triển khai để bảo vệ tường lửa trước các cuộc tấn công như vậy nên nó phải có khả
năng chống lại các cuộc tấn công trực tiếp vào chính nó.
Trang 91
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Khái quát về FW: Điểm mạnh và điểm yếu của tường lửa
Trang 92
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Khái quát về FW: Điểm mạnh và điểm yếu của tường lửa
❖ Các dạng tường lửa hay các chế độ xử lý của tường lửa
(Firewall Processing Mode), gồm:
▪ Packet-filtering firewalls (Tường lửa lọc gói)
▪ Application layer firewalls (Tường lửa lớp ứng dụng)
▪ Circuit gateways (Cổng chuyển mạch)
▪ MAC layer firewalls (Tường lửa lớp MAC / liên kết dữ liệu)
▪ Hybrid firewalls (Tường lửa lai).
❖ Các tường lửa hiện đại hầu hết đều là tường lửa lai do hầu
hết đều hỗ trợ nhiều chế độ xử lý.
Trang 94
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 95
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Tường lửa lọc gói kiểm tra thông tin trong header của các
gói tin đi đến 1 mạng.
❖ Tường lửa lọc gói thường được triển khai tại lớp IP của
mạng TCP/IP để từ chối (chặn) hoặc cho phép các gói tin đi
qua dựa trên các luật (rule) đã được cấu hình.
❖ Tường lửa kiểm tra và lọc từng gói tin dựa trên thông tin
trong header của gói, như địa chỉ đích, địa chỉ nguồn, kiểu
gói tin, hoặc các thông tin quan trọng khác.
Trang 96
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Các thông tin trong header của gói tin thường sử dụng để
lọc bao gồm:
▪ Địa chỉ IP đích, địa chỉ IP nguồn
▪ Hướng di chuyển (đi vào, đi ra)
▪ Giao thức (với tường lửa hỗ trợ kiểm tra lớp giao thức IP)
▪ Cổng TCP/UDP nguồn, đích (với tường lửa hỗ trợ kiểm tra lớp giao
thức TCP/UDP).
Trang 97
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 98
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 99
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 100
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Tường lửa lớp ứng dụng, hay còn gọi là tường lửa ứng
dụng (Application firewall), cổng ứng dụng (Application
gateway), hoặc máy chủ proxy (proxy server, reverse proxy)
thường được cài đặt trên một máy tính chuyên dụng tách
biệt với bộ định tuyến lọc (filtering router), hay tường lửa
mạng (lớp 3);
▪ Mặc dù tách rời nhưng tường lửa lớp ứng dụng thường được sử dụng
cùng với bộ định tuyến lọc.
❖ Các tường lửa lớp ứng dụng thường được thiết kế riêng cho
từng lớp ứng dụng, như web proxy server, FTP proxy
server, mail proxy server...
Trang 101
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Tường lửa lớp ứng dụng: các proxy lớp ứng dụng
Trang 102
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Tường lửa lớp ứng dụng: các proxy lớp ứng dụng
Trang 103
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 104
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 105
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 106
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Tường lửa lớp MAC là tường lửa được thiết kế để vận hành
trong lớp con MAC của lớp liên kết dữ liệu:
▪ Tường lửa lớp MAC thực hiện chức năng lọc dựa trên địa chỉ MAC
của các máy (host).
▪ Tường lửa lớp MAC liên kết địa chỉ của các máy cụ thể với các mục
ACL (Access Control List) xác định các loại gói cụ thể có thể được gửi
đến từng máy và chặn tất cả lưu lượng truy cập khác.
Trang 107
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Tường lửa lai là dạng tường lửa kết hợp một số dạng tường
lửa khác:
▪ Lọc gói + dịch vụ proxy
▪ Lọc gói + cổng chuyển mạch.
❖ Hệ thống tường lửa lai thường gồm 2 thiết bị tường lửa
riêng biệt, nhưng chúng có kết nối và làm việc song song.
▪ Ví dụ: Một hệ thống tường lửa lai gồm:
• Một tường lửa lọc gói được triển khai để lọc tất cả các yêu cầu truy cập;
• Các yêu cầu truy cập hợp lệ được chuyển đến máy chủ proxy để lọc ở mức
ứng dụng.
❖ Ưu điểm của tường lửa lai là có thể cải thiện mức bảo vệ
mà không cần thay thế toàn bộ các tường lửa hiện có.
Trang 108
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Một dạng tường lửa lai được phát triển và triển khai rất
mạnh là thiết bị bảo vệ toàn bộ được xây dựng bằng cách
kết hợp tính năng của nhiều thiết bị mạng hiện đại;
▪ Thiết bị này có tên là Hệ thống quản lý các mối đe dọa thống nhất
(Unified Threat Management (UTM)), có khả năng thực hiện tính năng
của:
• Tường lửa SPI
• NIDS / NIPS
• Bộ lọc nội dung
• Bộ lọc spam
• Bộ quét và lọc mã độc.
Trang 109
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 110
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 111
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Các thiết bị tường lửa có thể được cấu hình theo nhiều kiến
trúc kết nối mạng.
❖ Cấu hình tường lửa hoạt động tốt nhất cho một tổ chức cụ
thể phụ thuộc vào ba yếu tố:
▪ Mục tiêu của mạng
▪ Khả năng của tổ chức trong việc phát triển và triển khai
các kiến trúc, và
▪ Ngân sách dành cho chức năng phong thủ mạng.
Trang 112
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Trên thực tế có hàng trăm biến thể tồn tại, nhưng tựu chung
có 4 cách triển khai kiến trúc phổ biến của tường lửa:
▪ Packet-filtering routers (Bộ định tuyến lọc gói)
▪ Dual homed firewalls / bastion hosts (Tường lửa kép / máy chủ pháo
đài)
▪ Screened host firewalls (Tường lửa lọc host)
▪ Screened subnet firewalls (Tường lửa lọc mạng con).
Trang 113
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Packet-filtering routers
Trang 114
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Packet-filtering routers
Trang 115
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Dạng kiến trúc này thường triển khai 1 tường lửa để cung
cấp việc bảo vệ phía sau router;
❖ Tường lửa phải được triển khai in-line trên đường kết nối
mạng ngoài:
▪ 1 giao diện kết nối với router
▪ 1 giao diện kết nối với switch của mạng nội bộ
==> Dual homed firewall
❖ Tường lửa dạng này thường tích hợp:
▪ NAT (Network Address Translation)
▪ PAT (Port Address Translation).
Trang 116
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 117
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 118
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Dạng kiến trúc này kết hợp của 2 hoặc nhiều bastion host
đứng sau packet-filtering router, trong đó mỗi bastion host
bảo vệ 1 mạng.
Trang 119
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 120
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Khi cố gắng xác định tường lửa tốt nhất cho một tổ chức,
nên xem xét các câu hỏi sau:
▪ Loại công nghệ tường lửa nào mang lại sự cân bằng phù hợp giữa
khả năng bảo vệ và chi phí cho nhu cầu của tổ chức?
▪ Tường lửa với cấu hình cơ bản bao gồm những tính năng gì? Những
tính năng nào có sẵn với chi phí bổ sung? Có phải tất cả các yếu tố
chi phí đều được biết đến?
▪ Việc thiết lập và cấu hình tường lửa có dễ dàng không? Khả năng tiếp
cận của các nhân viên kỹ thuật có thể cấu hình thành thạo tường lửa
như thế nào?
▪ Tường lửa ứng viên có thể thích ứng với mạng lưới đang phát triển
trong tổ chức mục tiêu không?
Trang 121
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Sau khi đã lựa chọn công nghệ tường lửa và kiến trúc triển
khai tường lửa, cần thực hiện:
▪ Cấu hình ban đầu cho tường lửa, và
▪ Quản lý hoạt động của tường lửa.
❖ Mỗi tường lửa cần được cấu hình một tập luật (rule) riêng;
▪ Mỗi gói tin / yêu cầu truy cập được kiểm tra sử dụng tập luật để quyết
định cho phép hoặc từ chối gói tin / yêu cầu truy cập.
❖ Mỗi luật cần được tạo, kiểm tra cẩn thận và đưa vào ACL
của tường lửa theo đúng trật tự.
❖ Một tập luật tốt đảm bảo tường lửa thực hiện việc kiểm soát
truy cập tuấn thủ chính sách bảo mật của tổ chức.
Trang 122
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 123
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 124
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 125
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Mô hình VPN
Trang 126
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Mục tiêu của VPN là tạo ra một kênh truyền thông bảo mật
thông qua 1 mạng, thường là tạo 1 kênh riêng thông qua
Internet;
▪ Lưu lượng mạng được mã hóa và đóng gói với phần header gồm các
thông tin giúp định tuyến gói tin đến đích.
❖ VPN sử dụng kỹ thuật tạo đường hầm để định tuyến lưu
lượng mạng riêng.
Trang 127
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 128
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Ưu điểm:
▪ Bỏ chặn trang web và bỏ qua bộ lọc
▪ Bỏ qua các hạn chế truy cập theo khu vực địa lý
▪ Thay đổi địa chỉ IP của bạn
▪ Ẩn danh và quyền riêng tư trực tuyến
▪ Bảo mật nâng cao: ẩn danh tính, dữ liệu mã hóa.
❖ Nhược điểm:
▪ Làm chậm kết nối của bạn
▪ VPN ghi lại hoạt động của bạn
▪ Một số dịch vụ trực tuyến chặn truy cập từ VPN.
▪ Chi phí: VPN miễn phí thường chậm và có hạn mức sử dụng. Người
dùng cần trả phí cho các gói thuê bao.
Trang 129
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 130
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 131
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ Thường được sử dụng để tạo kết nối riêng giữa 2 mạng qua
1 mạng công cộng, như kết nối mạng từ 1 hoặc nhiều chi
nhánh về trụ sở chính.
❖ Các dạng Site to Site VPN:
▪ Intranet based VPN: VPN kết nối mạng các VP của 1 đơn vị.
▪ Extranet based VPN: VPN kết nối mạng của đơn vị này với mạng của
đơn vị khác.
Trang 132
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Cloud VPN
❖ Cho phép người dùng/ hoặc 1 mạng kết nối VPN đến hạ
tầng hoặc dịch vụ đám mây.
Trang 133
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Mobile VPN
❖ Cho phép người dùng kết nối VPN đến 1 mạng riêng sử
dụng mạng di động.
Trang 134
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 135
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 136
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 137
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 138
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
❖ L2TP kết hợp các tính năng nổi bật của 2 giao thức:
▪ PPTP của Microsoft
▪ L2F của Cisco.
Trang 139
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 140
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
OpenVPN
Trang 141
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
WireGuard
Trang 142
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 143
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 144
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Honeypot và honeynet
Trang 145
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Honeypot và honeynet
Trang 146
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Honeypot và honeynet
Trang 147
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Trang 148
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Honeypot và honeynet
❖ Các dạng triển khai Honeypot:
▪ Honeypot thuần túy là các hệ thống hoàn chỉnh giám sát các cuộc tấn
công thông qua việc dò lỗi trên liên kết kết nối honeypot với mạng.
Các hệ thống này không quá phức tạp.
▪ Honeypot có mức độ tương tác thấp thực hiện bắt chước các dịch vụ
và hệ thống thực để thu hút sự chú ý của tội phạm. Chúng cung cấp
một phương pháp thu thập dữ liệu từ các cuộc tấn công mù, như các
botnet và sâu mạng.
▪ Honeypot có tính tương tác trung bình và cao gồm các thiết lập phức
tạp hoạt động giống như hạ tầng sản xuất thực sự. Chúng không hạn
chế mức độ hoạt động của tội phạm mạng, cung cấp thông tin chuyên
sâu về an ninh mạng.
• Đòi hỏi yêu cầu bảo trì cao hơn và yêu cầu chuyên môn cũng như sử dụng
các công nghệ bổ sung như máy ảo để đảm bảo kẻ tấn công không thể truy
cập vào hệ thống thực.
Trang 150
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
Honeypot và honeynet
Trang 151