ATMNC-Chuong 1 - Gioi Thieu ATM-NC

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
BÀI GIẢNG MÔN HỌC

AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ
CÔNG NGHỆ ĐẢM BẢO
AN TOÀN MẠNG
Giảng viên: PGS.TS. Hoàng Xuân Dậu

E-mail: dauhx@ptit.edu.vn
Khoa: An toàn thông tin
BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO
CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG
TÀI LIỆU THAM KHẢO

1. Roberta Bragg, Mark Rhodes-Ousley and Keith Strassberg.
Network Security: The Complete Reference, McGraw-Hill
Osborne Media, 1st edition, 2003.
2. Mark Rhodes-Ousley. Information Security: The Complete
Reference, McGraw-Hill Osborne Media, 2nd edition, 2013.
3. William Stallings. Cryptography and Network Security Principles
And Practice, 7th edition, Pearson Education Limited, 2017.
4. Michael E. Whitman, Herbert J. Mattord. Principles of Information
Security, 7th edition, Cengage Learning, 2021.
5. Michael T. Simpson, Nicholas Antill. Hands-On Ethical Hacking
and Network Defense, 3rd edition, Cengage Learning, 2016.
Trang 2
ĐÁNH GIÁ MÔN HỌC
❖ Các điểm thành phần:

▪ Chuyên cần: 10%
▪ Kiểm tra: 10%
▪ Bài tập/thảo luận: 30%
▪ Thi cuối kỳ: 50%
Trang 3
NỘI DUNG MÔN HỌC
1. Các kỹ thuật và công nghệ đảm

bảo an toàn mạng
2. Các kỹ thuật bảo mật thông tin
trên đường truyền
3. Bảo mật cho các hệ thống mạng
4. Bảo mật cho điện toán đám mây.
Trang 4
NỘI DUNG CHƯƠNG 1
1. Kiểm soát truy cập

2. Tường lửa
3. Công nghệ mạng riêng ảo
4. Honeypot và honeynet
Trang 5
1.1 Kiểm soát truy cập
❖ Khái quát về kiểm soát truy cập

❖ Các biện pháp kiểm soát truy cập
❖ Các mô hình kiểm soát truy cập
❖ Các dạng phương pháp xác thực
❖ Các giao thức xác thực.
Trang 6
Khái quát về kiểm soát truy cập
❖ Kiểm soát truy cập là quá trình mà trong đó người dùng

được nhận dạng và trao quyền truy cập đến các thông tin,
các hệ thống và tài nguyên.
Trang 7
❖ Một hệ thống kiểm soát truy cập có thể được cấu thành từ 3
dịch vụ:
▪ Xác thực (Authentication):
• Là quá trình xác minh tính chân thực của các thông tin nhận dạng mà
người dùng cung cấp.
▪ Trao quyền (Authorization):
• Trao quyền xác định các tài nguyên mà người dùng được phép truy cập
sau khi người dùng đã được xác thực.
▪ Quản trị (Administration):
• Cung cấp khả năng thêm, bớt và sửa đổi các thông tin tài khoản người
dùng, cũng như quyền truy cập của người dùng.
❖ Trong 3 dịch vụ trên, xác thực và trao quyền là 2 dịch vụ
thiết yếu của một hệ thống kiểm soát truy cập.
Trang 8
❖ Mục đích chính của kiểm soát truy cập là để đảm bảo tính bí
mật, toàn vẹn và sẵn dùng của thông tin, hệ thống và các tài
nguyên:
▪ Tính bí mật (confidentiality): đảm bảo chỉ những người có thẩm quyền
mới có khả năng truy cập vào dữ liệu và hệ thống.
▪ Tính toàn vẹn (Integrity): đảm bảo dữ liệu không bị sửa đổi bởi các
bên không có đủ thẩm quyền.
▪ Tính sẵn dùng: đảm bảo tính sẵn sàng (đáp ứng nhanh/kịp thời) của
dịch vụ cung cấp cho người dùng thực sự.
Trang 9
Các biện pháp kiểm soát truy cập
❖ Access Control:
▪ Discretionary (controlled by
user): tùy chọn, tùy quyền
▪ Nondiscretionary (controlled by
organization): không tùy chọn,
không tùy quyền
• Lattice-based: Dựa trên mạng/
Lưới
• Mandatory: bắt buộc
• Role-based/Task-based: Dựa
trên vai trò/Nhiệm vụ.
Trang 10
Các biện pháp kiểm soát truy cập
❖ Kiểm soát truy cập tuỳ chọn – Discretionary Access Control (DAC)
❖ Kiểm soát truy cập bắt buộc – Mandatory Access Control (MAC)
❖ Kiểm soát truy cập dựa trên vai trò – Role-Based Access Control
(RBAC)
❖ Kiểm soát truy cập dựa trên nhiệm vụ – Task-Based Access
Control (TBAC)
❖ Kiểm soát truy cập dựa trên luật – Rule-Based Access Control
❖ Kiểm soát truy cập dựa trên thuộc tính – Attribute-Based Access
Control (ABAC)
❖ Kiểm soát truy cập dựa trên lưới – Lattice-Based Access Control
(LBAC)
Trang 11
Các biện pháp kiểm soát truy cập - DAC
❖ Kiểm soát truy cập tuỳ chọn được định nghĩa là các cơ chế
hạn chế truy cập đến các đối tượng dựa trên thông tin nhận
dạng của các chủ thể và/hoặc nhóm của các chủ thể.
❖ Thông tin nhận dạng có thể gồm:
▪ Bạn là ai? (CMND, bằng lái xe, vân tay,...)
▪ Những cái bạn biết (tên truy cập, mật khẩu, số PIN...)
▪ Bạn có gì? (Thẻ ATM, thẻ tín dụng, ...)
Trang 12
❖ DAC cho phép người dùng có thể cấp hoặc huỷ quyền truy
cập cho các người dùng khác đến các đối tượng thuộc
quyền điều khiển của họ.
❖ Chủ sở hữu của các đối tượng (owner of objects) là người
dùng có toàn quyền điều khiển các đối tượng này.
Trang 13
❖Ví dụ: Với DAC:

▪ Người dùng được cấp 1 thư mục riêng và là chủ sở hữu
của thư mục này;
▪ Người dùng có quyền tạo, sửa đổi và xoá các files trong
thư mục của riêng mình (home directory);
▪ Họ cũng có khả năng trao hoặc huỷ quyền truy cập vào
các files của mình cho các người dùng khác.
Trang 14
❖Hai kỹ thuật được sử dụng phổ biến đề cài đặt

DAC:
▪ Ma trận kiểm soát truy cập (Access Control Matrix - ACM);
▪ Danh sách kiểm soát truy cập (Access Control List - ACL).
Trang 15
Các biện pháp kiểm soát truy cập – DAC - ACM
❖ Ma trận kiểm soát truy cập (Access Control Matrix - ACM) là

một phương pháp mô tả kiểm soát truy cập thông qua 1 ma
trận 2 chiều gồm chủ thể (subject), đối tượng (object) và các
quyền truy cập.
▪ Đối tượng/Khách thể (Objects) là các thực thể cần bảo vệ. Objects có
thể là các files, các tiến trình (processes).
▪ Chủ thể (Subjects) là người dùng (users), tiến trình tác động lên
objects.
▪ Quyền truy cập là hành động mà Subject thực hiện trên Object.
Trang 16
Các biện pháp kiểm soát truy cập – DAC - ACM
Objects
O1 O2 O3 O4
Subjects
S1 rw rwxo r rwxo
S2 rw rx rw rwx
S3 r rw rwo rw
Các chủ thể: S1, S2, S3

Các đối tượng: O1, O2, O3
Các quyền: r(read), w(write), x(execute) và o(own)
Trang 17
Các biện pháp kiểm soát truy cập – DAC - ACL
❖ Danh sách kiểm soát truy cập (Access Control List - ACL) là
một danh sách các quyền truy cập của một chủ thể đối với
một đối tượng.
▪ Một ACL chỉ ra các người dùng hoặc tiến trình được truy cập vào đối
tượng nào và các thao tác cụ thể (quyền) được thực hiện trên đối
tượng đó.
▪ Một bản ghi điển hình của ACL có dạng (subject, operation). Ví dụ bản
ghi (Alice, write) của 1 file có nghĩa là Alice có quyền ghi vào file đó.
▪ Khi chủ thể yêu cầu truy cập, hệ điều hành sẽ kiểm tra ACL xem yêu
cầu đó có được phép hay không.
▪ ACL có thể được áp dụng cho một hoặc 1 nhóm đối tượng.
Trang 18
Các biện pháp kiểm soát truy cập – DAC - ACL
Profiles ACL
A B C User
space
Files F1 A: RW; B: R
ACL
Kernel
F2 A: R; B: RW; C:R
space
F3 B: RWX; C: RX
Sử dụng ACL để quản lý việc truy cập file

Trang 19
Các biện pháp kiểm soát truy cập - MAC
❖ Điều khiển truy bắt buộc được định nghĩa là các cơ chế hạn
chế truy cập đến các đối tượng dựa trên
▪ Tính nhạy cảm (sensitivity) của thông tin (thường được gán nhãn)
chứa trong các đối tượng, và
▪ Sự trao quyền chính thức (formal authorization) cho các chủ thể truy
cập các thông tin nhạy cảm này.
Trang 20
❖ Các mức nhạy cảm của thông tin:

▪ Tối mật (Top Secret - T): Được áp dụng với thông tin mà nếu bị lộ có
thể dẫn đến những thiệt hại trầm trọng đối với an ninh quốc gia.
▪ Tuyệt mật (Secret - S): Được áp dụng với thông tin mà nếu bị lộ có thể
dẫn đến một loạt thiệt hại đối với an ninh quốc gia.
▪ Mật (Confidential - C): Được áp dụng với thông tin mà nếu bị lộ có thể
dẫn đến thiệt hại đối với an ninh quốc gia.
▪ Không phân loại (Unclassified - U): Những thông tin không gây thiệt
hại đối với an ninh quốc gia nếu bị tiết lộ.
Trang 21
❖ MAC không cho phép người tạo ra các đối tượng (thông
tin/tài nguyên) có toàn quyền truy cập các đối tượng này.
❖ Quyền truy cập đến các đối tượng (thông tin/tài nguyên) do
người quản trị hệ thống định ra trước trên cơ sở chính sách
an toàn thông tin của tổ chức đó.
❖ MAC thường được sử dụng phổ biến trong các cơ quan an
ninh, quân đội và ngân hàng.
Trang 22
❖ Ví dụ: một tài liệu được tạo ra và được đóng dấu “Mật”:
▪ Chỉ những người có trách nhiệm trong tổ chức mới được quyền xem
và phổ biến cho người khác;
▪ Tác giả của tài liệu không được quyền phổ biến đến người khác.
Trang 23
Các biện pháp kiểm soát truy cập - RBAC
❖ Kiểm soát truy cập dựa trên vai trò cho phép người dùng
truy cập vào thông tin và hệ thống dựa trên vai trò (role) của
họ trong công ty/tổ chức đó.
❖ Kiểm soát truy cập dựa trên vai trò có thể được áp dụng cho
một nhóm người dùng hoặc từng người dùng riêng lẻ.
❖ Quyền truy cập được tập hợp thành các nhóm “vai trò” với
các mức quyền truy cập khác nhau.
Trang 24
❖ Ví dụ: một trường học chia người dùng thành các nhóm gán
sẵn quyền truy cập vào các phần trong hệ thống:
▪ Nhóm Quản lý được quyền truy cập vào tất cả các thông tin trong hệ
thống;
▪ Nhóm Giáo viên được truy cập vào CSDL các môn học, bài báo khoa
học, cập nhật điểm các lớp phụ trách;
▪ Nhóm Sinh viên chỉ được quyền xem nội dung các môn học, tải tài liệu
học tập và xem điểm của mình.
Trang 25
❖ Liên kết giữa người dùng và vai trò:

▪ Người dùng được cấp “thẻ thành viên” của các nhóm “vai trò” trên
cơ sở năng lực và vai trò, cũng như trách nhiệm của họ trong một
tổ chức.
❖ Trong nhóm “vai trò”, người dùng được cấp vừa đủ quyền
để thực hiện các thao tác cần thiết cho công việc được giao.
❖ Liên kết giữa người dùng và vai trò có thể được tạo lập và
huỷ bỏ dễ dàng.
❖ Quản lý phân cấp vai trò: các vai trò được tổ chức thành một
cây theo mô hình phân cấp tự nhiên của các công ty/tổ
chức.
Trang 26
Một mô hình
RBAC đơn giản
Trang 27
Các biện pháp kiểm soát truy cập - TBAC
❖ Kiểm soát truy cập dựa trên nhiệm vụ cho phép người dùng
truy cập vào thông tin và hệ thống dựa trên nhiệm vụ (task)
họ được giao thực hiện.
❖ Nhiệm vụ có tính tạm thời hơn so với vai trò.
Trang 28
Các biện pháp kiểm soát truy cập – Rule-Based AC
❖ Kiểm soát truy cập dựa trên luật cho phép người dùng truy
cập vào hệ thống và thông tin dựa trên các luật (rules) đã
được định nghĩa trước.
❖ Các luật có thể được thiết lập để hệ thống cho phép truy
cập đến các tài nguyên của mình cho người dùng thuộc một
tên miền, một mạng hay một dải địa chỉ IP.
Trang 29
Các biện pháp kiểm soát truy cập – Rule-Based AC
❖ Firewalls/Proxies là ví dụ điển hình về kiểm soát truy cập

dựa trên luật;
❖ Các hệ thống này sử dụng một tập các luật (rules) để kiểm
soát truy cập. Các thông tin sử dụng trong các luật có thể
gồm:
▪ Địa chỉ IP nguồn và đích của các gói tin;
▪ Phần mở rộng các files để lọc các mã độc hại;
▪ Địa chỉ IP hoặc các tên miền để lọc/chặn các website bị cấm;
▪ Tập các từ khoá để lọc các nội dung bị cấm.
Trang 30
Các biện pháp kiểm soát truy cập - ABAC
❖ Kiểm soát truy cập dựa trên thuộc tính (ABAC), còn được
gọi là kiểm soát truy cập dựa trên chính sách cho quản lý
danh tính (IAM) xác định mô hình kiểm soát truy cập, theo
đó quyền của chủ thể để thực hiện một tập hợp các hoạt
động được xác định bằng cách đánh giá các thuộc tính liên
quan đến chủ thể, đối tượng, các hoạt động được yêu cầu,
và, trong một số trường hợp, thuộc tính môi trường.
Trang 31
Các biện pháp kiểm soát truy cập - ABAC
Trang 32
Các biện pháp kiểm soát truy cập - LBAC
❖ Kiểm soát truy cập dựa trên lưới là phương pháp kiểm soát
truy cập sử dụng ma trận hoặc mạng lưới các chủ thể
(người dùng) và các đối tượng (tài nguyên) để gán đặc
quyền.
❖ LBAC là một ví dụ về NDAC (Non-Discretionary Access
Control).
Trang 33
Các mô hình kiểm soát truy cập
❖ Mô hình bí mật Bell-LaPadula

❖ Mô hình toàn vẹn Biba
❖ Mô hình toàn vẹn Clark-Wilson
❖ Mô hình kiểm soát truy cập Graham-Denning
❖ Mô hình Harrison-Ruzzo-Ullman
❖ Mô hình Brewer-Nash (Bức tường Trung Hoa)
Trang 34
Mô hình bí mật Bell-LaPadula
❖ Mô hình Bell-LaPadula là mô hình bảo mật đa cấp thường

được sử dụng trong quân sự, nhưng nó cũng có thể áp dụng
cho các lĩnh vực khác.
❖ Trong quân sự, các tài liệu được gán một mức độ bảo mật,
chẳng hạn như không phân loại, mật, bí mật và tối mật.
Người dùng cũng được ấn định các cấp độ bảo mật tương
ứng, tùy thuộc vào những tài liệu mà họ được phép xem.
▪ Một vị tướng quân đội có thể được phép xem tất cả các tài liệu, trong
khi một trung úy có thể bị hạn chế chỉ được xem các tài liệu mật và
thấp hơn.
▪ Một tiến trình chạy nhân danh một người sử dụng có được mức độ
bảo mật của người dùng đó.
Trang 35
❖ Nguyên tắc bảo mật tài nguyên của mô hình

Bell-LaPadula:
▪ Nguyên tắc đọc xuống:
• Một người dùng ở mức độ bảo mật k chỉ có thể đọc các đối tượng ở
cùng mức bảo mật hoặc thấp hơn.
• Ví dụ:
– Một vị tướng có thể đọc các tài liệu của một trung úy;
– Nhưng một trung úy không thể đọc các tài liệu của vị tướng đó.
Trang 36
❖ Nguyên tắc bảo mật tài nguyên của mô hình

Bell-LaPadula:
▪ Nguyên tắc ghi lên:
• Một người dùng ở mức độ bảo mật k chỉ có thể ghi các đối tượng ở
cùng mức bảo mật hoặc cao hơn.
• Ví dụ:
– Một trung úy có thể nối thêm một tin nhắn vào hộp thư của chung về
tất cả mọi thứ ông biết;
– Nhưng một vị tướng không thể ghi thêm một tin nhắn vào hộp thư của
trung úy với tất cả mọi thứ ông ấy biết vì vị tướng có thể đã nhìn thấy tài
liệu có mức độ bảo mật cao mà không thể được tiết lộ cho một trung úy.
Trang 37
Mô hình Bell-LaPadula: nguyên tắc đọc xuống và ghi lên

Trang 38
Mô hình toàn vẹn Biba
❖ Mô hình Biba đảm bảo tính toàn vẹn theo cách thức tính
toàn vẹn của dữ liệu bị đe dọa khi:
▪ Chủ thể ở mức toàn vẹn thấp có khả năng ghi vào đối tượng (dữ liệu)
có mức toàn vẹn cao hơn và khi
▪ Chủ thể có thể đọc dữ liệu ở mức toàn vẹn thấp hơn.
❖ Mô hình Biba áp dụng hai quy tắc:
▪ Không ghi lên: Chủ thể không thể ghi dữ liệu vào đối tượng có mức
toàn vẹn cao hơn;
▪ Không đọc xuống: Chủ thể không thể đọc dữ liệu có mức toàn vẹn
thấp hơn.
Trang 39
Mô hình toàn vẹn Biba
❖ Mô hình Biba tương tự như Bell-LaPadula sử dụng các nhãn

an ninh để biểu diễn mức độ an toàn mong muốn và kiểm
soát các thao tác của chủ thể lên đối tượng.
❖ Tuy nhiên, luồng thông tin trong mô hình Biba được kiểm
soát ngược với mô hình Bell-LaPadula.
▪ Các đối tượng có mức độ an ninh thấp có nghĩa là độ toàn vẹn thấp
và chủ thể có mức độ an ninh cao không được sử dụng thông tin từ
các đối tượng này.
▪ Nói cách khác chủ thể có yêu cầu an ninh cao không được sử dụng
thông tin từ nguồn có độ tin cậy thấp.
• Tình huống này có thể thấy trong việc tiếp nhận dữ liệu đầu vào của các
máy chủ web, cơ sở dữ liệu hay dịch vụ hệ thống từ các nguồn không tin
cậy.
Trang 40
Bell-LaPadula vs. Biba
Trang 41
Mô hình Clark-Wilson
❖ Mô hình Clark-Wilson cung cấp một cách tiếp cận khác cho
vấn đề toàn vẹn dữ liệu.
❖ Mô hình này tập trung vào việc ngăn chặn người dùng sửa
đổi trái phép dữ liệu.
▪ Trong mô hình này, người dùng không thao tác trực tiếp với các đối
tượng mà thông qua một chương trình.
▪ Chương trình này hạn chế các thao tác người dùng được thực hiện
lên đối tượng và như vậy bảo vệ tính toàn vẹn của đối tượng.
Trang 42
❖ Tính toàn vẹn được dựa trên nguyên tắc các công việc (thủ
tục) được định nghĩa tường minh và việc tách biệt trách
nhiệm.
❖ Nói cách khác, mô hình dựa trên cơ sở qui trình công việc
được xây dựng một cách rõ ràng và nguyên tắc tách biệt
trách nhiệm của người dùng tham gia vào qui trình xử lý
công việc.
Trang 43
Trang 44
Mô hình kiểm soát truy cập Graham-Denning
❖ Mô hình Graham-Denning gồm 3 thành phần:

▪ Một tập các đối tượng (object)
▪ Một tập các chủ thể (subject)
▪ Một tập các quyền.
❖ Mỗi chủ thể lại gồm 2 thành phần: 1 tiến trình (process) và 1
miền (domain);
▪ Mỗi miền là 1 tập các rang buộc kiểm soát việc chủ thể truy cập đối
tượng thế nào.
❖ Tập hợp các quyền chi phối cách các chủ thể có thể xử lý
các đối tượng thụ động.
Trang 45
❖ Mô hình Graham-Denning mô tả tám quyền bảo vệ nguyên

thủy, được gọi là các lệnh, mà các chủ thể có thể thực thi để
tác động lên các chủ thể hoặc đối tượng khác.
❖ Lưu ý rằng các lệnh này tương tự như các quyền mà người
dùng có thể gán cho một thực thể trong các hệ điều hành
hiện đại.
Trang 46
❖ 8 quyền bảo vệ nguyên thủy của mô hình Graham-Denning:

1. Create object
2. Create subject
3. Delete object
4. Delete subject
5. Read access right
6. Grant access right
7. Delete access right
8. Transfer access right.
Trang 47
Mô hình Harrison-Ruzzo-Ullman
❖ Mô hình Harrison-Ruzzo-Ullman (HRU) định nghĩa một

phương pháp cho phép:
▪ Thay đổi quyền truy cập của chủ thể lên đối tượng;
▪ Thêm hoặc xóa các chủ thể và đối tượng.
❖ Lý do là hệ thống thường thay đổi theo thời gian nên các
trạng thái bảo vệ của nó cũng cần thay đổi.
Trang 48
Mô hình Harrison-Ruzzo-Ullman
❖ HRU được xây dựng trên 1 ma trận kiểm soát truy cập và
bao gồm 1 tập các quyền chung và 1 tập cụ thể các lệnh:
▪ Create subject/create object
▪ Enter right X into
▪ Delete right X from
▪ Destroy subject/destroy object
❖ Bằng cách sử dụng tập hợp các quyền và lệnh, đồng thời
giới hạn mỗi lệnh trong một thao tác duy nhất, có thể xác
định nếu (if) và khi nào (when) một chủ thể cụ thể có thể có
được một quyền cụ thể đối trên một đối tượng.
Trang 49
HRU - Ma trận kiểm soát truy cập
Trang 50
Mô hình Brewer-Nash
❖ Mô hình Brewer-Nash thường được biết như là “một Bức

tường Trung Hoa” (Chinese Wall) được thiết kế để ngăn
chặn xung đột giữa 2 bên:
▪ Hãy tưởng tượng rằng một công ty luật đại diện cho hai người có liên
quan đến một vụ tai nạn ô tô: Người này kiện người kia và công ty
phải đại diện cho cả hai.
▪ Để ngăn chặn xung đột lợi ích, các luật sư cá nhân không được phép
truy cập thông tin riêng tư của hai đương sự này.
❖ Các mô hình Brewer-Nash yêu cầu người dùng chọn một
trong hai bộ dữ liệu xung đột, sau đó họ không thể truy cập
dữ liệu xung đột đó.
Trang 51
Mô hình Brewer-Nash
Trang 52
Các dạng phương pháp xác thực
❖ Xác thực dựa trên mật khẩu (Password-based

authentication)
❖ Xác thực đa nhân tố (Multi-factor authentication)
❖ Xác thực sinh trắc học (Biometric authentication)
❖ Xác thực dựa trên chứng chỉ (Certificate-based
authentication)
❖ Xác thực dựa trên mã thông báo (Token-based
authentication)
Trang 53
Xác thực dựa trên mật khẩu
❖ Xác thực dựa trên mật khẩu là phương pháp xác thực đơn
giản, dễ sử dụng, nhưng có độ an toàn thấp;
▪ Xác thực dựa trên mật khẩu dễ bị tấn công dựa trên từ điển, hoặc tấn
công vét cạn, đặc biệt với các mật khẩu đơn giản.
❖ Độ an toàn của xác thực dựa trên mật khẩu phụ thuộc vào
độ khó của mật khẩu:
▪ Độ dài mật khẩu
▪ Số loại ký tự sử dụng
▪ Tuổi thọ của mật khẩu.
Trang 54
Xác thực đa nhân tố
❖ Xác thực đa nhân tố là phương pháp kết hợp nhiều nhân tố

xác thực người dùng:
▪ 2 nhân tố: Thẻ ATM + PIN
▪ 2 nhân tố: Vân tay + PIN
▪ 3 nhân tố : Vân tay + Thẻ truy cập + PIN
❖ Nhiều nhân tố xác thực:
▪ độ an toàn cao
▪ độ phức tạp cao
▪ đắt tiền.
Trang 55
Xác thực sinh trắc học
❖ Xác thực sinh trắc học (Biometric authentication) sử dụng

các đặc điểm sinh trắc để nhận dạng và xác thực người
dùng.
❖ Các đặc điểm sinh trắc thường được sử dụng gồm:
▪ Vân ngón tay (Fingerprint)
▪ Dấu tay và lòng bàn tay (Hand and palm print)
▪ Hình học bàn tay (Hand geometry)
▪ Hình học khuôn mặt (Facial geometry)
▪ Dấu võng mạc (Retinal print)
▪ Mống mắt (Iris pattern)
Trang 56
Trang 57
❖ Trong số tất cả các đặc điểm sinh trắc học có thể có, chỉ có
ba đặc điểm của con người thường được coi là thực sự
riêng (unique):
▪ Vân ngón tay (Fingerprint)
▪ Dấu võng mạc (Retinal print)
▪ Mống mắt (Iris pattern).
Trang 58
Xác thực sinh trắc học - so sánh
Universality: tính phổ quát; Uniqueness: tính duy nhất; Permanence: Thường trực;
Collectability: Khả năng thu thập; Performance: Hiệu năng; Acceptability: Khả năng chấp
nhận; Circumvention: Sự lách luật; H : High; M : Medium; L: Low
Trang 59
Xác thực dựa trên chứng chỉ

❖ Xác thực dựa trên chứng chỉ là phương pháp xác thực sử
dụng các chứng chỉ số (digital certificate) để xác thực người
dùng, hoặc máy chủ;
❖ Chứng chỉ số là 1 tài liệu số do một cơ quan có thẩm quyền
(CA-Certificate Authority) cấp, gồm 3 thông tin chính:
▪ Thông tin định danh của chủ thể
▪ Khóa công khai của chủ thể
▪ Chữ ký số của CA.
❖ Người dùng cung cấp chứng chỉ số khi đăng nhập vào máy
chủ.
▪ Máy chủ xác minh độ tin cậy của chữ ký số và cơ quan cấp chứng chỉ.
▪ Máy chủ sử dụng mật mã để xác nhận rằng người dùng có khóa riêng
chính xác được liên kết khóa công khai lưu trong chứng chỉ.
Trang 60
Xác thực dựa trên chứng chỉ
Trang 61
Xác thực dựa trên mã thông báo
❖ Xác thực dựa trên mã thông báo (token) cho phép người
dùng nhập thông tin xác thực của họ một lần và đổi lại nhận
được một chuỗi ký tự ngẫu nhiên được mã hóa duy nhất.
❖ Sau đó, người dùng có thể sử dụng mã thông báo để truy
cập các hệ thống được bảo vệ thay vì nhập lại thông tin
đăng nhập của mình.
❖ Mã thông báo chứng minh rằng người dùng đã có quyền
truy cập.
❖ Các giao thức xác thực dựa trên mã thông báo, như
Kerberos.
Trang 62
Xác thực dựa trên mã thông báo
Trang 63
Các giao thức xác thực
❖ Các giao thức xác thực là các giao thức được sử dụng để
xác thực người dùng, xác thực thiết bị, máy chủ...
❖ Các giao thức xác thực phổ biến gồm:
▪ PAP (Password authentication protocol)
▪ Kerberos
▪ LDAP (Lightweight Directory Access Protocol)
▪ OAuth2
▪ SAML (Security Assertion Markup Language)
▪ RADIUS (Remote authentication dial-in user service)
▪ CHAP (Challenge-Handshake Authentication Protocol)
▪ EAP (Extensible authentication protocol)
Trang 64
PAP (Password authentication protocol)
❖ Người dùng gửi username+password, máy chủ kiểm tra sự

tồn tại của tài khoản ứng với username+password và trả lời.
Trang 65
Kerberos
❖ Kerberos là một giao thức mật mã dùng để xác thực trong

các mạng máy tính hoạt động trên những đường truyền
không an toàn;
▪ Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ
và đảm bảo tính toàn vẹn của dữ liệu.
▪ Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ-máy
khách (client-server) và đảm bảo nhận thực cho cả hai chiều.
❖ Giao thức được xây dựng dựa trên mật mã hóa khóa đối
xứng và cần đến một bên thứ ba (Trung tâm phân phối khóa
KDC) mà cả hai phía tham gia giao dịch tin tưởng;
▪ Kerberos cho phép 1 client xác thực bản thân với 1 máy chủ ứng dụng
(không lưu tài khoản của client) nhờ sự hỗ trợ của KDC.
Trang 66
Kerberos
Trang 67
LDAP (Lightweight Directory Access Protocol)
❖ LDAP là một giao thức ứng dụng cho phép truy cập và duy
trì các dịch vụ thông tin thư mục phân tán qua mạng
Internet;
▪ Dịch vụ thư mục đóng vai trò quan trọng trong việc phát triển các ứng
dụng mạng nội bộ và Internet bằng cách cho phép chia sẻ thông tin về
người dùng, hệ thống, mạng, dịch vụ và ứng dụng trên toàn mạng;
▪ Ví dụ: dịch vụ thư mục có thể cung cấp bất kỳ tập hợp bản ghi của tổ
chức, thường có cấu trúc phân cấp, chẳng hạn như thư mục email
của công ty.
▪ Dịch vụ Active Directory của Windows server sử dụng LDAP.
Trang 68
LDAP (Lightweight Directory Access Protocol)
Trang 69
OAuth2
❖ OAuth2 là một giao thức ủy quyền cho phép các ứng dụng,
chẳng hạn như Facebook, GitHub có được quyền truy cập
hạn chế vào tài khoản người dùng trên dịch vụ HTTP.
❖ Nó hoạt động bằng cách ủy quyền xác thực người dùng cho
dịch vụ lưu trữ tài khoản người dùng và ủy quyền cho các
ứng dụng của bên thứ ba truy cập vào tài khoản người dùng
đó.
❖ OAuth2 cung cấp các luồng ủy quyền cho các ứng dụng
web và máy tính để bàn cũng như thiết bị di động.
Trang 70
OAuth2
❖ OAuth xác định bốn vai trò:

▪ Chủ sở hữu tài nguyên (Resource owner): Chủ sở hữu tài nguyên là
người dùng cho phép ứng dụng truy cập vào tài khoản của họ. Quyền
truy cập của ứng dụng vào tài khoản người dùng bị giới hạn trong
phạm vi ủy quyền được cấp (ví dụ: quyền truy cập đọc hoặc ghi);
▪ Ứng dụng (Client): Là ứng dụng muốn truy cập vào tài khoản của
người dùng. Trước khi có thể làm như vậy, nó phải được người dùng
ủy quyền và việc ủy quyền đó phải được Máy chủ ủy quyền xác thực.
▪ Máy chủ ủy quyền (Authorisation server): Máy chủ ủy quyền xác minh
danh tính của người dùng sau đó cấp mã thông báo truy cập cho ứng
dụng.
▪ Máy chủ tài nguyên (Resource server): Máy chủ tài nguyên lưu trữ các
tài khoản người dùng được bảo vệ.
Trang 71
OAuth2 - Luồng giao thức
Trang 72
OAuth2
❖ Luồng giao thức:

1. Ứng dụng yêu cầu ủy quyền truy cập tài nguyên dịch vụ từ người dùng.
2. Nếu người dùng cấp phép yêu cầu ủy quyền, ứng dụng sẽ nhận được ủy
quyền.
3. Ứng dụng yêu cầu mã thông báo truy cập từ máy chủ ủy quyền bằng cách
xác thực danh tính của mình và ủy quyền được cấp.
4. Nếu danh tính của ứng dụng được xác thực và ủy quyền được cấp hợp lệ
thì máy chủ ủy quyền sẽ cấp mã thông báo truy cập cho ứng dụng. Việc ủy
quyền đã hoàn tất.
5. Ứng dụng yêu cầu tài nguyên từ máy chủ tài nguyên và xuất trình mã thông
báo truy cập để xác thực.
6. Nếu mã thông báo truy cập hợp lệ, máy chủ tài nguyên sẽ cung cấp tài
nguyên cho ứng dụng.
Trang 73
OAuth2 với Facebook
Trang 74
Giao thức SAML
❖ SAML là một tiêu chuẩn mở cho trao đổi dữ liệu xác thực và
ủy quyền giữa các bên, đặc biệt là giữa nhà cung cấp danh
tính và nhà cung cấp dịch vụ.
▪ SAML là ngôn ngữ đánh dấu dựa trên XML để xác nhận bảo mật (các
câu lệnh mà nhà cung cấp dịch vụ sử dụng để đưa ra quyết định kiểm
soát quyền truy cập).
❖ SAML thường được sử dụng trong cơ chế đăng nhập một
lần trên trình duyệt web (SSO).
Trang 75
Giao thức SAML
Trang 76
RADIUS Protocol
❖ RADIUS (Dịch vụ người dùng quay số xác thực từ xa) là

giao thức cho phép các máy chủ truy cập từ xa liên lạc với
máy chủ trung tâm để xác thực người dùng quay số và cho
phép họ truy cập vào hệ thống hoặc dịch vụ được yêu cầu.
❖ RADIUS xác thực bằng hai cách tiếp cận:
▪ Giao thức xác thực mật khẩu (PAP);
▪ Giao thức xác thực CHAP.
Trang 77
RADIUS Protocol
Trang 78
RADIUS Protocol
Trang 79
Giao thức CHAP
❖ CHAP (Giao thức xác thực bắt tay thử thách) là phương
thức xác thực thử thách và trả lời mà máy chủ Giao thức
điểm-điểm (PPP) sử dụng để xác minh danh tính của người
dùng từ xa.
▪ Xác thực CHAP bắt đầu sau khi người dùng từ xa khởi tạo liên kết
PPP.
❖ CHAP cho phép người dùng từ xa nhận dạng chính họ với
hệ thống xác thực mà không để lộ mật khẩu của họ. Với
CHAP, hệ thống xác thực sử dụng bí mật chung -- là mật
khẩu -- để tạo giá trị băm mật mã bằng thuật toán MD5.
Trang 80
Giao thức PAP vs CHAP

❖ CHAP sử dụng bắt tay ba chiều để xác minh và xác thực
danh tính của người dùng, trong khi PAP (Giao thức xác
thực sử dụng mật khẩu) sử dụng bắt tay hai chiều để xác
thực giữa người dùng từ xa và máy chủ PPP.
Trang 81
Giao thức CHAP
❖ Hoạt động của CHAP:

▪ Máy khách và máy chủ có chung một tham số bí mật (secret). Tham
số bí mật có thể là mật khẩu của người dùng đã được thiết lập trong
quá trình cài đặt.
▪ Sau khi liên kết được tạo, máy chủ sẽ sinh và gửi một thử thách
(challenge) ngẫu nhiên đến máy khách yêu cầu kết nối.
▪ Máy khách tính giá trị hash1 = MD5(challenge + secret) và gửi giá trị
này (response) lên máy chủ.
▪ Máy chủ tự tính giá trị băm hash2 = MD5(challenge + secret), trong đó
challenge và secret là các giá trị lưu trên máy chủ.
• Nếu hash1 = hash2, xác thực sẽ được xác nhận; nếu không, xác thực bị từ
chối và kết nối bị chấm dứt.
Trang 82
EAP Protocol
❖ EAP là một giao thức xác thực được thiết kế để hỗ trợ nhiều
phương pháp xác thực;
❖ EAP chỉ định cấu trúc của giao tiếp xác thực giữa máy
khách và máy chủ xác thực mà không xác định nội dung của
dữ liệu xác thực.
▪ Nội dung này được xác định bằng phương pháp EAP cụ thể được sử
dụng để xác thực. Các phương pháp xác thực phổ biến hỗ trợ bởi
EAP có thể bao gồm:
• Thử thách sử dụng MD5
• Mật khẩu một lần
• Thẻ token chung
• Bảo mật lớp vận chuyển (TLS).
Trang 83
EAP Protocol
Trang 84
1.2 Tường lửa
❖ Khái quát về tường lửa

❖ Các dạng tường lửa
❖ Kiến trúc triển khai tường lửa
❖ Lựa chọn tường lửa
❖ Cấu hình tường lửa
Trang 85
Khái quát về tường lửa
❖ Tường lửa (Firewall) là một thiết bị phần cứng hoặc một

chương trình phần mềm có chức năng cơ bản là sàng lọc
lưu lượng mạng nhằm mục đích ngăn chặn truy cập trái
phép giữa các mạng máy tính.
▪ Như giữa mạng không đáng tin cậy như Internet và mạng đáng tin
cậy như mạng nội bộ của tổ chức.
❖ Tường lửa có thể là:
▪ Một hệ thống máy tính chạy phần mềm tường lửa
▪ Một dịch vụ phần mềm chạy trên 1 router hoặc 1 máy chủ
▪ Một mạng riêng biệt có chứa một số thiết bị hỗ trợ.
Trang 86
Khái quát về tường lửa
Trang 87
Khái quát về FW: Sự phát triển của tường lửa
❖ Tường lửa có quá trình phát triển qua các thế hệ:
▪ Thế hệ 1: lọc đơn giản, cho phép hoặc từ chối các gói tin ở lớp 3 dựa
trên header của gói, tương tự hỗ trợ danh sách kiểm soát truy cập.
▪ Thế hệ 2: hỗ trợ giám sát, lọc theo phiên, kết nối (tường lửa có trạng
thái), có khả năng lọc gói đến lớp 4.
▪ Thế hệ 3: hỗ trợ khả năng lọc đến lớp 7 - lớp ứng dụng. Một số thiết bị
cao cấp hỗ trợ mô hình UTM (unified threat management).
▪ Thế hệ 4: còn gọi là tường lửa thế hệ mới (NGFW), tích hợp hỗ trợ lọc
đa lớp mạng, lọc nội dung, lọc mã độc, lọc lưu lượng mã hóa...
▪ Thế hệ 5: là tường lửa thế hệ mới hỗ trợ bởi học máy (ML-Powered
NGFW). Dạng tường lửa này sử dụng các mô hình học máy để chủ
động phát hiện nhiều dạng tấn công đã biết và chưa biết, kể cả tấn
công zero-day.
Trang 88
Khái quát về FW: Tường lửa thế hệ mới
Trang 89
NGFW hỗ trợ bởi học máy (ML-Powered NGFW)
Trang 90
Khái quát về FW: Các thuộc tính cần có của tường lửa
❖ Để đảm bảo hiệu quả, tường lửa phải có các thuộc tính sau:
▪ Tất cả thông tin trao đổi phải đi qua tường lửa:
• Hiệu quả của tường lửa sẽ giảm đi đáng kể nếu có định tuyến mạng thay thế;
• Lưu lượng truy cập trái phép có thể được gửi vòng qua tường lửa.
▪ Tường lửa chỉ cho phép lưu lượng truy cập được ủy quyền:
• Nếu không thể dựa vào tường lửa để phân biệt giữa lưu lượng được ủy quyền và
trái phép hoặc nếu nó được cấu hình để cho phép các liên lạc nguy hiểm hoặc không
cần thiết thì tính hữu dụng của nó cũng bị giảm đi.
• Trong tình huống lỗi hoặc quá tải, tường lửa phải luôn chuyển sang trạng thái từ chối
hoặc đóng.
--> Thà làm gián đoạn liên lạc còn hơn là để hệ thống không được bảo vệ.
▪ Tường lửa có thể tự chống lại các cuộc tấn công:
• Bởi vì tường lửa dựa vào đó để ngăn chặn các cuộc tấn công và không có gì được
triển khai để bảo vệ tường lửa trước các cuộc tấn công như vậy nên nó phải có khả
năng chống lại các cuộc tấn công trực tiếp vào chính nó.
Trang 91
Khái quát về FW: Điểm mạnh và điểm yếu của tường lửa
❖ Điểm mạnh của tường lửa:

▪ Tường lửa rất hiệu quả trong việc thực thi các chính sách bảo mật của
công ty. Chúng phải được cấu hình để hạn chế truy cập ở mức chấp
nhận được theo chính sách có sẵn.
▪ Tường lửa được sử dụng để hạn chế quyền truy cập vào các dịch vụ
cụ thể. Ví dụ: tường lửa có thể cho phép truy cập công khai vào máy
chủ web nhưng ngăn chặn quyền truy cập vào telnet và các trình nền
không công khai khác.
▪ Tường lửa có mục đích duy nhất, nên không cần phải thỏa hiệp giữa
tính bảo mật và khả năng sử dụng.
▪ Tường lửa hỗ trợ tốt việc kiểm toán: nếu có đủ dung lượng lưu trữ,
chúng có thể ghi lại nhật ký và tất cả lưu lượng truy cập đi qua.
▪ Tường lửa nhanh chóng cảnh báo những người có trách nhiệm về
các sự kiện cụ thể.
Trang 92
Khái quát về FW: Điểm mạnh và điểm yếu của tường lửa
❖ Điểm yếu của tường lửa:

▪ Tường lửa không thể bảo vệ chống lại những gì đã được ủy quyền.
• Tường lửa cho phép liên lạc bình thường của các ứng dụng đã được phê duyệt,
nhưng nếu bản thân ứng dụng có lỗi, tường lửa sẽ không ngăn chặn cuộc tấn công
vì đối với tường lửa, liên lạc được cấp phép.
• Ví dụ: tường lửa cho phép email đi qua máy chủ email nhưng tường lửa sẽ không
phát hiện thấy vi-rút trong email đó.
▪ Tường lửa chỉ có hiệu quả khi các luật mà chúng được cấu hình để thực thi.
Một bộ luật không chặt chẽ/đầy đủ sẽ làm giảm hiệu quả của tường lửa.
▪ Tường lửa không thể ngăn chặn các cuộc tấn công sử dụng kỹ thuật xã hội
hoặc người dùng được ủy quyền cố tình sử dụng quyền truy cập của họ cho
mục đích xấu.
▪ Tường lửa không thể khắc phục các vấn đề, như quản trị kém hoặc các chính
sách bảo mật được thiết kế kém.
▪ Tường lửa không thể ngăn chặn các cuộc tấn công nếu lưu lượng truy cập
không đi qua chúng.
Trang 93
Các dạng tường lửa
❖ Các dạng tường lửa hay các chế độ xử lý của tường lửa
(Firewall Processing Mode), gồm:
▪ Packet-filtering firewalls (Tường lửa lọc gói)
▪ Application layer firewalls (Tường lửa lớp ứng dụng)
▪ Circuit gateways (Cổng chuyển mạch)
▪ MAC layer firewalls (Tường lửa lớp MAC / liên kết dữ liệu)
▪ Hybrid firewalls (Tường lửa lai).
❖ Các tường lửa hiện đại hầu hết đều là tường lửa lai do hầu
hết đều hỗ trợ nhiều chế độ xử lý.
Trang 94
Các lớp mạng và các dạng tường lửa
Trang 95
Tường lửa lọc gói
❖ Tường lửa lọc gói kiểm tra thông tin trong header của các
gói tin đi đến 1 mạng.
❖ Tường lửa lọc gói thường được triển khai tại lớp IP của
mạng TCP/IP để từ chối (chặn) hoặc cho phép các gói tin đi
qua dựa trên các luật (rule) đã được cấu hình.
❖ Tường lửa kiểm tra và lọc từng gói tin dựa trên thông tin
trong header của gói, như địa chỉ đích, địa chỉ nguồn, kiểu
gói tin, hoặc các thông tin quan trọng khác.
Trang 96
Tường lửa lọc gói
❖ Các thông tin trong header của gói tin thường sử dụng để
lọc bao gồm:
▪ Địa chỉ IP đích, địa chỉ IP nguồn
▪ Hướng di chuyển (đi vào, đi ra)
▪ Giao thức (với tường lửa hỗ trợ kiểm tra lớp giao thức IP)
▪ Cổng TCP/UDP nguồn, đích (với tường lửa hỗ trợ kiểm tra lớp giao
thức TCP/UDP).
Trang 97
Tường lửa lọc gói - Router/Tưởng lửa lọc gói
Trang 98
Tường lửa lọc gói - Luật lọc
Trang 99
Tường lửa lọc gói - Các dạng lọc

❖ Tường lửa lọc gói được chia thành 3 dạng theo kỹ thuật lọc:
▪ Static filtering (Lọc tĩnh):
• Các luật lọc được tạo và cài đặt sẵn trong tường lửa.
• Phổ biến dưới dạng các router hoặc các gateway.
▪ Dynamic filtering (Lọc động):
• Có thể phản ứng với một sự kiện mới xuất hiện và cập nhật hoặc tạo luật
để xử lý sự kiện đó;
• Có thể đóng hoặc mở “cửa” dựa trên thông tin trong header của gói tin.
▪ Stateful packet inspection (SPI - Kiểm tra gói có trạng thái):
• Có khả năng giám sát từng kết nối mạng sử dụng bảng trạng thái.
• Bảng trạng thái theo dõi trạng thái và ngữ cảnh của từng gói trong phiên
giao tiếp bằng cách ghi lại trạm nào đã gửi gói nào và vào khi nào.
Trang 100
Tường lửa lớp ứng dụng
❖ Tường lửa lớp ứng dụng, hay còn gọi là tường lửa ứng
dụng (Application firewall), cổng ứng dụng (Application
gateway), hoặc máy chủ proxy (proxy server, reverse proxy)
thường được cài đặt trên một máy tính chuyên dụng tách
biệt với bộ định tuyến lọc (filtering router), hay tường lửa
mạng (lớp 3);
▪ Mặc dù tách rời nhưng tường lửa lớp ứng dụng thường được sử dụng
cùng với bộ định tuyến lọc.
❖ Các tường lửa lớp ứng dụng thường được thiết kế riêng cho
từng lớp ứng dụng, như web proxy server, FTP proxy
server, mail proxy server...
Trang 101
Tường lửa lớp ứng dụng: các proxy lớp ứng dụng
Trang 102
Tường lửa lớp ứng dụng: các proxy lớp ứng dụng
Trang 103
Tường lửa lớp ứng dụng: Web Application Firewall
Trang 104
Tường lửa lớp ứng dụng: Forward Proxy
Trang 105
Tường lửa lớp ứng dụng: Reverse Proxy
Trang 106
Tường lửa lớp MAC
❖ Tường lửa lớp MAC là tường lửa được thiết kế để vận hành
trong lớp con MAC của lớp liên kết dữ liệu:
▪ Tường lửa lớp MAC thực hiện chức năng lọc dựa trên địa chỉ MAC
của các máy (host).
▪ Tường lửa lớp MAC liên kết địa chỉ của các máy cụ thể với các mục
ACL (Access Control List) xác định các loại gói cụ thể có thể được gửi
đến từng máy và chặn tất cả lưu lượng truy cập khác.
Trang 107
Tường lửa lai
❖ Tường lửa lai là dạng tường lửa kết hợp một số dạng tường
lửa khác:
▪ Lọc gói + dịch vụ proxy
▪ Lọc gói + cổng chuyển mạch.
❖ Hệ thống tường lửa lai thường gồm 2 thiết bị tường lửa
riêng biệt, nhưng chúng có kết nối và làm việc song song.
▪ Ví dụ: Một hệ thống tường lửa lai gồm:
• Một tường lửa lọc gói được triển khai để lọc tất cả các yêu cầu truy cập;
• Các yêu cầu truy cập hợp lệ được chuyển đến máy chủ proxy để lọc ở mức
ứng dụng.
❖ Ưu điểm của tường lửa lai là có thể cải thiện mức bảo vệ
mà không cần thay thế toàn bộ các tường lửa hiện có.
Trang 108
Tường lửa lai - UTM
❖ Một dạng tường lửa lai được phát triển và triển khai rất
mạnh là thiết bị bảo vệ toàn bộ được xây dựng bằng cách
kết hợp tính năng của nhiều thiết bị mạng hiện đại;
▪ Thiết bị này có tên là Hệ thống quản lý các mối đe dọa thống nhất
(Unified Threat Management (UTM)), có khả năng thực hiện tính năng
của:
• Tường lửa SPI
• NIDS / NIPS
• Bộ lọc nội dung
• Bộ lọc spam
• Bộ quét và lọc mã độc.
Trang 109
Unified Threat Management (UTM)
❖ Ưu điểm của UTM:

▪ Dễ triển khai và cấu hình nhờ việc chỉ cần triển khai 1 UTM để bảo vệ
tổng thể, thay vì cần triển khai nhiều thiết bị, hệ thống bảo vệ.
▪ Nếu được cài đặt, cấu hình đúng chuẩn, UTM có khả năng bảo vệ tốt,
từ các mối đe dọa vòng ngoài cho đến các mối đe dọa ẩn sâu trong
nội dung gói tin.
❖ Nhược điểm của UTM:
▪ Có thể tạo 1 điểm lỗi duy nhất nếu thiết bị gặp sự cố kỹ thuật do cả hệ
thống đều phụ thuộc vào UTM.
Trang 110
Unified Threat Management (UTM)
Trang 111
Kiến trúc triển khai tường lửa
❖ Các thiết bị tường lửa có thể được cấu hình theo nhiều kiến
trúc kết nối mạng.
❖ Cấu hình tường lửa hoạt động tốt nhất cho một tổ chức cụ
thể phụ thuộc vào ba yếu tố:
▪ Mục tiêu của mạng
▪ Khả năng của tổ chức trong việc phát triển và triển khai
các kiến trúc, và
▪ Ngân sách dành cho chức năng phong thủ mạng.
Trang 112
Kiến trúc triển khai tường lửa
❖ Trên thực tế có hàng trăm biến thể tồn tại, nhưng tựu chung
có 4 cách triển khai kiến trúc phổ biến của tường lửa:
▪ Packet-filtering routers (Bộ định tuyến lọc gói)
▪ Dual homed firewalls / bastion hosts (Tường lửa kép / máy chủ pháo
đài)
▪ Screened host firewalls (Tường lửa lọc host)
▪ Screened subnet firewalls (Tường lửa lọc mạng con).
Trang 113
Packet-filtering routers
❖ Packet-filtering router thường được triển khai ở điểm kết nối

giữa mạng nội bộ và mạng ngoài;
▪ Các router được cấu hình để từ chối các gói tin không được phép xâm
nhập vào mạng của tổ chức;
❖ Ưu điểm: Là cách đơn giản và hiệu quả để giảm rủi ro bị tấn
công từ bên ngoài;
❖ Hạn chế:
▪ Không hỗ trợ kiểm toán và cơ chế xác thực mạnh;
▪ Bộ lọc dựa trên ACL phức tạp có thể làm suy giảm hiệu năng mạng.
Trang 114
Packet-filtering routers
Trang 115
Dual homed firewalls / Bastion hosts
❖ Dạng kiến trúc này thường triển khai 1 tường lửa để cung
cấp việc bảo vệ phía sau router;
❖ Tường lửa phải được triển khai in-line trên đường kết nối
mạng ngoài:
▪ 1 giao diện kết nối với router
▪ 1 giao diện kết nối với switch của mạng nội bộ
==> Dual homed firewall
❖ Tường lửa dạng này thường tích hợp:
▪ NAT (Network Address Translation)
▪ PAT (Port Address Translation).
Trang 116
Dual homed firewalls / Bastion hosts
Trang 117
Screened host firewalls
❖ Dạng kiến trúc này kết hợp của:

▪ Một packet-filtering router
▪ Một tường lửa riêng, chuyên dụng, như 1 máy chủ proxy ứng dụng.
Trang 118
Screened Subnet Firewalls
❖ Dạng kiến trúc này kết hợp của 2 hoặc nhiều bastion host
đứng sau packet-filtering router, trong đó mỗi bastion host
bảo vệ 1 mạng.
Trang 119
Screened Subnet Firewalls
Trang 120
Lựa chọn tường lửa
❖ Khi cố gắng xác định tường lửa tốt nhất cho một tổ chức,
nên xem xét các câu hỏi sau:
▪ Loại công nghệ tường lửa nào mang lại sự cân bằng phù hợp giữa
khả năng bảo vệ và chi phí cho nhu cầu của tổ chức?
▪ Tường lửa với cấu hình cơ bản bao gồm những tính năng gì? Những
tính năng nào có sẵn với chi phí bổ sung? Có phải tất cả các yếu tố
chi phí đều được biết đến?
▪ Việc thiết lập và cấu hình tường lửa có dễ dàng không? Khả năng tiếp
cận của các nhân viên kỹ thuật có thể cấu hình thành thạo tường lửa
như thế nào?
▪ Tường lửa ứng viên có thể thích ứng với mạng lưới đang phát triển
trong tổ chức mục tiêu không?
Trang 121
Cấu hình tường lửa
❖ Sau khi đã lựa chọn công nghệ tường lửa và kiến trúc triển
khai tường lửa, cần thực hiện:
▪ Cấu hình ban đầu cho tường lửa, và
▪ Quản lý hoạt động của tường lửa.
❖ Mỗi tường lửa cần được cấu hình một tập luật (rule) riêng;
▪ Mỗi gói tin / yêu cầu truy cập được kiểm tra sử dụng tập luật để quyết
định cho phép hoặc từ chối gói tin / yêu cầu truy cập.
❖ Mỗi luật cần được tạo, kiểm tra cẩn thận và đưa vào ACL
của tường lửa theo đúng trật tự.
❖ Một tập luật tốt đảm bảo tường lửa thực hiện việc kiểm soát
truy cập tuấn thủ chính sách bảo mật của tổ chức.
Trang 122
Luật tường lửa trong ACL
Trang 123
1.3 Công nghệ mạng riêng ảo
❖ Khái quát về mạng riêng ảo

❖ Các loại mạng riêng ảo
❖ Các giao thức mạng riêng ảo
Trang 124
Khái quát về mạng riêng ảo
❖ Mạng riêng ảo (Virtual Private Network - VPN) là một mạng

riêng được xây dựng trên nền tảng 1 mạng công cộng như
Internet sử dụng các kỹ thuật định tuyến và mật mã;
❖ Các thuộc tính quan trọng của VPN:
▪ Mạng riêng (Private network): Dữ liệu truyền trong mạng được đảm
bảo tính riêng tư (bí mật, toàn vẹn, xác thực) - các bên không có thẩm
quyền không thể truy cập.
• Sử dụng các kỹ thuật mật mã để đảm bảo tính riêng tư về dữ liệu.
▪ Mạng ảo (Virtual network): Là mạng logic được xây dựng trên nền
tảng mạng khác, như các mạng WAN hoặc Internet.
• Sử dụng các kỹ thuật định tuyến để tạo mạng ảo.
Trang 125
Mô hình VPN
Trang 126
Phương thức làm việc của VPN
❖ Mục tiêu của VPN là tạo ra một kênh truyền thông bảo mật
thông qua 1 mạng, thường là tạo 1 kênh riêng thông qua
Internet;
▪ Lưu lượng mạng được mã hóa và đóng gói với phần header gồm các
thông tin giúp định tuyến gói tin đến đích.
❖ VPN sử dụng kỹ thuật tạo đường hầm để định tuyến lưu
lượng mạng riêng.
Trang 127
Lợi ích của việc sử dụng VPN
❖ Sử dụng VPN có những lợi ích sau:

▪ Giữ an toàn truy cập: VPN bảo mật thông tin liên lạc trên internet, cũng như
bảo vệ bạn khỏi các mối đe dọa trực tuyến như lừa đảo, gian lận và tin tặc.
▪ Bảo vệ dữ liệu: VPN bảo mật thông tin liên lạc của bạn bằng cách mã hóa và
gửi thông tin trao đổi qua 1 đường hầm ảo.
▪ Truy cập nội dung bị chặn: Sử dụng VPN, bạn có thể ẩn địa chỉ IP của mình
và thay đổi vị trí của mình từ quốc gia này sang quốc gia khác, đồng thời truy
cập các trang web và dịch vụ bị chặn được kiểm duyệt ở quốc gia của bạn.
▪ Tiết kiệm: Có thể sử dụng VPN để tiết kiệm tiền. Nhiều trang TMĐT như
Amazon hiển thị các mức giá khác nhau cho các quốc gia khác nhau. Giả sử
giá iPhone là 1000 đô la ở quốc gia của bạn nhưng là 800 đô la ở Dubai, chỉ
cần thay đổi vị trí của bạn bằng cách sử dụng VPN và đặt mua nó.
▪ Bảo mật ở mức chấp nhận được: Dịch vụ VPN có thể mua chỉ với vài đô la.
Và có thể bỏ chặn bất kỳ trang web nào và giữ cho kết nối của bạn ẩn danh &
an toàn. VPN rẻ hơn đáng kể so với các dạng gói bảo mật khác. Thay vì thuê
chuyên gia bảo mật, bạn có thể sử dụng VPN để bảo mật mạng của mình.
Trang 128
Ưu điểm và Nhược điểm của VPN
❖ Ưu điểm:
▪ Bỏ chặn trang web và bỏ qua bộ lọc
▪ Bỏ qua các hạn chế truy cập theo khu vực địa lý
▪ Thay đổi địa chỉ IP của bạn
▪ Ẩn danh và quyền riêng tư trực tuyến
▪ Bảo mật nâng cao: ẩn danh tính, dữ liệu mã hóa.
❖ Nhược điểm:
▪ Làm chậm kết nối của bạn
▪ VPN ghi lại hoạt động của bạn
▪ Một số dịch vụ trực tuyến chặn truy cập từ VPN.
▪ Chi phí: VPN miễn phí thường chậm và có hạn mức sử dụng. Người
dùng cần trả phí cho các gói thuê bao.
Trang 129
Các loại mạng riêng ảo
❖ Các loại mạng riêng ảo thường gồm:

▪ Remote Access VPN (VPN truy cập từ xa)
▪ Site to Site VPN (VPN kết nối mạng - mạng)
▪ Cloud VPN (VPN đám mây)
▪ Mobile VPN (VPN di động).
Trang 130
Remote Access VPN
❖ Thường được sử dụng cho người dùng từ xa kết nối đến

mạng riêng, như:
▪ Người dùng từ xa kết nối về mạng gia đình;
▪ Nhân viên từ xa kết nối về mạng công ty.
Trang 131
Site to Site VPN
❖ Thường được sử dụng để tạo kết nối riêng giữa 2 mạng qua
1 mạng công cộng, như kết nối mạng từ 1 hoặc nhiều chi
nhánh về trụ sở chính.
❖ Các dạng Site to Site VPN:
▪ Intranet based VPN: VPN kết nối mạng các VP của 1 đơn vị.
▪ Extranet based VPN: VPN kết nối mạng của đơn vị này với mạng của
đơn vị khác.
Trang 132
Cloud VPN
❖ Cho phép người dùng/ hoặc 1 mạng kết nối VPN đến hạ
tầng hoặc dịch vụ đám mây.
Trang 133
Mobile VPN
❖ Cho phép người dùng kết nối VPN đến 1 mạng riêng sử
dụng mạng di động.
Trang 134
Các giao thức mạng riêng ảo
❖ Các giao thức mạng riêng ảo:

▪ PPTP
▪ L2TP / IPSec
▪ OpenVPN
▪ WireGuard
▪ SSTP (Secure Socket Tunneling Protocol)
❖ Các giao thức bảo mật dữ liệu:
▪ IPSec (sẽ học ở chương 2)
▪ SSL/TLS (sẽ học ở chương 2).
Trang 135
Giao thức PPTP
❖ PPTP (Point-to-Point Tunneling Protocol) là một giao thức

mạng cho phép truyền dữ liệu an toàn từ 1 máy khách ở xa
đến 1 máy chủ riêng bằng cách tạo một VPN trên các mạng
TCP/IP.
❖ PPTP hỗ trợ mạng riêng ảo, đa giao thức, theo yêu cầu trên
các mạng công cộng như Internet.
❖ PPTP là một mở rộng của giao thức truy cập từ xa PPP
(Point-to-Point Protocol):
▪ PPTP sử dụng một kênh điều khiển TCP và một đường hầm GRE để
đóng gói gói tin PPP trong IP datagram để truyền trên mạng Internet.
Trang 136
Giao thức PPTP
❖ Việc triển khai PPTP liên quan đến 3 máy tính:

▪ Một máy khách PPTP
▪ Một máy chủ truy cập mạng
▪ Một máy chủ PPTP
Trang 137
Máy khách kết nối quay số đến mạng riêng
❖ Việc mã hóa dữ liệu trong PPTP dựa vào PPP:

▪ PPP sử dụng hệ mã hóa khóa bí mật để mã hóa - giải mã dữ liệu
▪ Khóa chung cho mã hóa - giải mã được trao đổi sử dụng giao thức
RAS (Remote Access Service). Bản cài đặt của Microsoft- MS-RAS hỗ
trợ các giao thức xác thực PAP, CHAP, MS-CHAP.
Trang 138
Giao thức L2TP
❖ L2TP (Layer 2 Tunneling Protocol) là giao thức tạo đường

hầm được sử dụng để tạo các VPN;
▪ L2TP hoạt động ở lớp mạng 2, chỉ tạo đường hầm truyền các gói tin,
không tích hợp sẵn các tính năng bảo mật dữ liệu.
▪ L2TP sử dụng các giao thức mật mã như IPSec để bảo mật dữ liệu
truyền
• --> L2TP/IPSec VPN sử dụng kết hợp L2TP với IPSec;
• --> L2TP/ PPP VPN sử dụng kết hợp L2TP với PPP.
❖ L2TP kết hợp các tính năng nổi bật của 2 giao thức:
▪ PPTP của Microsoft
▪ L2F của Cisco.
Trang 139
Giao thức L2TP
❖ Hai thành phần đầu cuối chính của L2TP gồm:

▪ L2TP access concentrator (LAC): bộ tập trung truy cập (từ máy khách)
là thiết bị khởi tạo đường hầm.
▪ L2TP network server (LNS): máy chủ mạng L2TP.
Trang 140
OpenVPN
❖ OpenVPN là một giao thức và hệ thống VPN cung cấp các

kỹ thuật cho phép tạo các kết nối bảo mật điểm-điểm hoặc
mạng-mạng.
❖ OpenVPN bao gồm máy khách VPN và máy chủ VPN.
❖ OpenVPN sử dụng thư viện mật mã OpenSSL và giao thức
TLS để cung cấp tính năng bảo mật dữ liệu.
❖ OpenVPN cũng hỗ trợ NAT và tường lửa.
❖ OpenVPN đã được triển khai trên các phần cứng và cả phần
mềm.
Trang 141
WireGuard
❖ WireGuard là một giao thức truyền thông và phần mềm hỗ

trợ VPN bảo mật;
❖ WireGuard vận hành trên giao thức UDP, được thiết kế dễ
sử dụng, hiệu năng cao và bề mặt tấn công thấp;
❖ WireGuard sử dụng nhiều giao thức/thuật toán mật mã cho
bảo mật dữ liệu:
▪ Curve25519 để trao đổi khóa
▪ ChaCha20 mã hóa / giải mã dữ liệu (khóa đối xứng)
▪ Poly1305 để tạo và kiểm tra mã xác thực thông điệp.
Trang 142
So sánh các giao thức VPN
Trang 143
1.4 Honeypot và honeynet
❖ Honeypot: Hệ thống bẫy, mồi nhử được thiết kế để thu hút

kẻ tấn công tiềm năng tránh xa các hệ thống quan trọng.
❖ Honeynet: Một tập hợp các hệ thống honeypot kết nối trên
một phân đoạn mạng.
❖ Honeypot hoặc Honeynet chứa các dịch vụ giả mô phỏng
các dịch vụ thực nhưng được định cấu hình theo cách khiến
nó có vẻ dễ bị tấn công.
▪ Sự kết hợp này nhằm mục đích thu hút những kẻ tấn công lộ diện -
▪ Ý tưởng là một khi các tổ chức đã phát hiện ra những kẻ tấn công
này, họ có thể bảo vệ mạng của mình tốt hơn trước các cuộc tấn công
trong tương lai nhắm vào tài sản thực.
Trang 144
Honeypot và honeynet
Trang 145
Trang 146
❖ Các honeypot được thiết kế để thực hiện các nhiệm vụ:

▪ Chuyển hướng kẻ tấn công khỏi các hệ thống quan trọng.
▪ Thu thập thông tin về hoạt động của kẻ tấn công.
▪ Khuyến khích kẻ tấn công ở lại hệ thống đủ lâu để quản trị viên ghi
lại sự kiện và có thể phản hồi.
Trang 147
Phân loại Honeypot
Trang 148
Phân loại Honeypot

❖ Theo mục đích sử dụng (Purpose):
▪ Để nghiên cứu (Research)
▪ Để ứng dụng thực tế (Production)
❖ Theo mức độ tương tác:
▪ Thuần túy (Pure)
▪ Tương tác thấp (Low interaction)
▪ Tương tác trung bình (Mid interaction)
▪ Tương tác cao (High interaction)
❖ Theo miền chức năng:
▪ Để bẫy thư rác (Spam)
▪ Để bẫy cơ sở dữ liệu (Database)
▪ Để bẫy mã độc (Malware)
▪ Để tạo Honeynet (Honeynet).
Trang 149
❖ Các dạng triển khai Honeypot:
▪ Honeypot thuần túy là các hệ thống hoàn chỉnh giám sát các cuộc tấn
công thông qua việc dò lỗi trên liên kết kết nối honeypot với mạng.
Các hệ thống này không quá phức tạp.
▪ Honeypot có mức độ tương tác thấp thực hiện bắt chước các dịch vụ
và hệ thống thực để thu hút sự chú ý của tội phạm. Chúng cung cấp
một phương pháp thu thập dữ liệu từ các cuộc tấn công mù, như các
botnet và sâu mạng.
▪ Honeypot có tính tương tác trung bình và cao gồm các thiết lập phức
tạp hoạt động giống như hạ tầng sản xuất thực sự. Chúng không hạn
chế mức độ hoạt động của tội phạm mạng, cung cấp thông tin chuyên
sâu về an ninh mạng.
• Đòi hỏi yêu cầu bảo trì cao hơn và yêu cầu chuyên môn cũng như sử dụng
các công nghệ bổ sung như máy ảo để đảm bảo kẻ tấn công không thể truy
cập vào hệ thống thực.
Trang 150
❖ Hạn chế của Honeypot:

▪ Không thể phát hiện các vi phạm bảo mật trong các hệ thống hợp
pháp
▪ Không phải lúc nào cũng xác định được kẻ tấn công.
▪ Ngoài ra còn có rủi ro là sau khi khai thác thành công honeypot, kẻ tấn
công có thể di chuyển ngang để xâm nhập vào mạng sản xuất thực.
❖ Để ngăn chặn vấn đề kẻ tấn công có thể di chuyển ngang để
xâm nhập vào mạng sản xuất thực sau khi khai thác thành
công honeypot, cần đảm bảo rằng Honeypot được cách ly
đầy đủ với mạng sản xuất thực.
Trang 151

ATMNC-Chuong 1 - Gioi Thieu ATM-NC

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

ATMNC-Chuong 1 - Gioi Thieu ATM-NC

Uploaded by

Copyright:

Available Formats

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÀI GIẢNG MÔN HỌC

Giảng viên: PGS.TS. Hoàng Xuân Dậu

TÀI LIỆU THAM KHẢO

ĐÁNH GIÁ MÔN HỌC

❖ Các điểm thành phần:

NỘI DUNG MÔN HỌC

1. Các kỹ thuật và công nghệ đảm

NỘI DUNG CHƯƠNG 1

1. Kiểm soát truy cập

1.1 Kiểm soát truy cập

❖ Khái quát về kiểm soát truy cập

Khái quát về kiểm soát truy cập

❖ Kiểm soát truy cập là quá trình mà trong đó người dùng

Khái quát về kiểm soát truy cập

Khái quát về kiểm soát truy cập

Các biện pháp kiểm soát truy cập

Các biện pháp kiểm soát truy cập

Các biện pháp kiểm soát truy cập - DAC

Các biện pháp kiểm soát truy cập - DAC

Các biện pháp kiểm soát truy cập - DAC

❖Ví dụ: Với DAC:

Các biện pháp kiểm soát truy cập - DAC

❖Hai kỹ thuật được sử dụng phổ biến đề cài đặt

Các biện pháp kiểm soát truy cập – DAC - ACM

❖ Ma trận kiểm soát truy cập (Access Control Matrix - ACM) là

Các biện pháp kiểm soát truy cập – DAC - ACM

Các chủ thể: S1, S2, S3

Các biện pháp kiểm soát truy cập – DAC - ACL

Các biện pháp kiểm soát truy cập – DAC - ACL

Sử dụng ACL để quản lý việc truy cập file

Các biện pháp kiểm soát truy cập - MAC

Các biện pháp kiểm soát truy cập - MAC

❖ Các mức nhạy cảm của thông tin:

Các biện pháp kiểm soát truy cập - MAC

Các biện pháp kiểm soát truy cập - MAC

Các biện pháp kiểm soát truy cập - RBAC

Các biện pháp kiểm soát truy cập - RBAC

Các biện pháp kiểm soát truy cập - RBAC

❖ Liên kết giữa người dùng và vai trò:

Các biện pháp kiểm soát truy cập - RBAC

Các biện pháp kiểm soát truy cập - TBAC

Các biện pháp kiểm soát truy cập – Rule-Based AC

Các biện pháp kiểm soát truy cập – Rule-Based AC

❖ Firewalls/Proxies là ví dụ điển hình về kiểm soát truy cập

Các biện pháp kiểm soát truy cập - ABAC

Các biện pháp kiểm soát truy cập - ABAC

Các biện pháp kiểm soát truy cập - LBAC

Các mô hình kiểm soát truy cập

❖ Mô hình bí mật Bell-LaPadula

Mô hình bí mật Bell-LaPadula

❖ Mô hình Bell-LaPadula là mô hình bảo mật đa cấp thường

Mô hình bí mật Bell-LaPadula

❖ Nguyên tắc bảo mật tài nguyên của mô hình

Mô hình bí mật Bell-LaPadula

❖ Nguyên tắc bảo mật tài nguyên của mô hình

Mô hình bí mật Bell-LaPadula

Mô hình Bell-LaPadula: nguyên tắc đọc xuống và ghi lên

Mô hình toàn vẹn Biba

Mô hình toàn vẹn Biba

❖ Mô hình Biba tương tự như Bell-LaPadula sử dụng các nhãn

Bell-LaPadula vs. Biba

Mô hình kiểm soát truy cập Graham-Denning

❖ Mô hình Graham-Denning gồm 3 thành phần: