Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT

Bài 4:Bảo mật máy chủ, ứng dụng, dữ liệu và

mạng

Củng cố lại bài 3

Các hình thức tấn công vào ứng dụng+ Tấn công vào ứng dụng Web (XSS, SQL Injection, XML

Injection…)+ Tấn công phía máy khách (Xử lý phần đầu của HTTP…)+ Tấn công làm tràn vùng đệm

Các hình thức tấn công vào mạng+ Từ chối dịch vụ (Lũ PING...)+ Can thiệp (Kẻ đứng giữa...)+ Đầu độc (Đầu độc ARP...)+ Tấn công vào quyền truy cập

5 bước trong quá trình đánh giá thiệt hạiCác kỹ thuật và công cụ đánh giá

Các hình thức tấn công vào ứng dụng+ Tấn công vào ứng dụng Web (XSS, SQL Injection, XML

Injection…)+ Tấn công phía máy khách (Xử lý phần đầu của HTTP…)+ Tấn công làm tràn vùng đệm

Các hình thức tấn công vào mạng+ Từ chối dịch vụ (Lũ PING...)+ Can thiệp (Kẻ đứng giữa...)+ Đầu độc (Đầu độc ARP...)+ Tấn công vào quyền truy cập

5 bước trong quá trình đánh giá thiệt hạiCác kỹ thuật và công cụ đánh giá

Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 2

Mục tiêu của bài học

Liệt kê các bước để bảo mật cho máy chủ

Định nghĩa bảo mật cho ứng dụng

Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thấtthoát dữ liệu (DLP)


Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thấtthoát dữ liệu (DLP)

Liệt kê các loại thiết bị bảo mật mạng khác nhau và giải thích cách sửdụng những thiết bị đó

Định nghĩa quá trình chuyển đổi địa chỉ và điều khiển truy cập mạng

Giải thích phương thức tăng cường bảo mật thông qua thiết kế mạng

Các yếu tố quan trọngcần được bảo mật

Các yếu tố quan trọng cần được bảo mậtMáy chủ (host) (máy chủ của mạng hoặc máy khách)Ứng dụng (application)Dữ liệu (data)Mạng (network)

Các yếu tố quan trọng cần được bảo mậtMáy chủ (host) (máy chủ của mạng hoặc máy khách)Ứng dụng (application)Dữ liệu (data)Mạng (network)


Bảo mật máy chủ (2/2)

Bảo mật cho máy chủ bao gồm:Bảo mật các thiết bị vật lý (SV tự đọc)Bảo mật phần mềm hệ điều hànhBảo mật bằng phần mềm chống phần mềm độc hạiGiám sát nhật ký hệ thống (SV tự đọc)


Bảo mật phần mềmhệ điều hành (1/5)

Quá trình năm bước để bảo mật cho hệ điều hànhPhát triển chính sách bảo mậtTạo đường cơ sở cho phần mềm máy chủCấu hình bảo mật hệ điều hành và các cài đặtTriển khai các cài đặtThực thi việc quản lý các bản vá

Quá trình năm bước để bảo mật cho hệ điều hànhPhát triển chính sách bảo mậtTạo đường cơ sở cho phần mềm máy chủCấu hình bảo mật hệ điều hành và các cài đặtTriển khai các cài đặtThực thi việc quản lý các bản vá



Phát triển chính sách bảo mậtCác tài liệu xác định cơ chế bảo mật của tổ chức

Tạo đường cơ sở cho phần mềm máy chủĐường cơ sở: tiêu chuẩn hay danh mục kiểm tra để đánhgiá hệ thốngCác thiết lập cấu hình được áp dụng cho từng máy tínhtrong tổ chức

Chính sách bảo mật xác định phải bảo vệ cái gì, đườngcơ sở xác định bảo vệ như thế nào?

Phát triển chính sách bảo mậtCác tài liệu xác định cơ chế bảo mật của tổ chức

Tạo đường cơ sở cho phần mềm máy chủĐường cơ sở: tiêu chuẩn hay danh mục kiểm tra để đánhgiá hệ thốngCác thiết lập cấu hình được áp dụng cho từng máy tínhtrong tổ chức

Chính sách bảo mật xác định phải bảo vệ cái gì, đườngcơ sở xác định bảo vệ như thế nào?



Cấu hình bảo mật hệ điều hành (HĐH) và các cài đặtHĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau,có thể sử dụng để điều chỉnh cho phù hợp với đường cơsở.Cấu hình đường cơ sở tiêu biểu

Thay đổi các thiết lập mặc định không an toànLoại bỏ các phần mềm, dịch vụ, giao thức không cần thiếtKích hoạt các chức năng bảo mật, ví dụ như tường lửa

Cấu hình bảo mật hệ điều hành (HĐH) và các cài đặtHĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau,có thể sử dụng để điều chỉnh cho phù hợp với đường cơsở.Cấu hình đường cơ sở tiêu biểu

Thay đổi các thiết lập mặc định không an toànLoại bỏ các phần mềm, dịch vụ, giao thức không cần thiếtKích hoạt các chức năng bảo mật, ví dụ như tường lửa



Triển khai các cài đặtMẫu bảo mật: tập các thiết lập cấu hình bảo mậtQuá trình triển khai các thiết lập có thể được tự động hóaChính sách nhóm (Group policy)

Một tính năng của Windows cho phép quản lý tập trung hệthống máy tínhMột cấu hình đơn lẻ có thể được triển khai tới nhiều ngườidùng

Triển khai các cài đặtMẫu bảo mật: tập các thiết lập cấu hình bảo mậtQuá trình triển khai các thiết lập có thể được tự động hóaChính sách nhóm (Group policy)

Một tính năng của Windows cho phép quản lý tập trung hệthống máy tínhMột cấu hình đơn lẻ có thể được triển khai tới nhiều ngườidùng



Thực thi việc quản lý các bản váCác hệ điều hành hiện nay đều có khả năng tự động thựchiện cập nhậtĐôi khi các bản vá có thể làm nảy sinh những vấn đề mớiDịch vụ cập nhật bản vá tự động

Quản lý các bản vá trên máy cục bộ thay vì phụ thuộc vàodịch vụ cập nhật bản vá trực tuyến của nhà cung cấpDịch vụ cập nhật bản vá tự động có nhiều ưu điểm (*)

Thực thi việc quản lý các bản váCác hệ điều hành hiện nay đều có khả năng tự động thựchiện cập nhậtĐôi khi các bản vá có thể làm nảy sinh những vấn đề mớiDịch vụ cập nhật bản vá tự động

Quản lý các bản vá trên máy cục bộ thay vì phụ thuộc vàodịch vụ cập nhật bản vá trực tuyến của nhà cung cấpDịch vụ cập nhật bản vá tự động có nhiều ưu điểm (*)


Bảo mật bằng phần mềmchống phần mềm độc hại

Các phần mềm chống phần mềm độc hại của bên thứba có thể cung cấp thêm sự bảo mật.Nhóm này bao gồm:

Phần mềm chống vi rútPhần mềm chống thư rácPhần mềm phong tỏa pop-upTường lửa dựa trên máy chủ

Các phần mềm chống phần mềm độc hại của bên thứba có thể cung cấp thêm sự bảo mật.Nhóm này bao gồm:

Phần mềm chống vi rútPhần mềm chống thư rácPhần mềm phong tỏa pop-upTường lửa dựa trên máy chủ


Phần mềm diệt vi rút

Phần mềm diệt virusPhần mềm kiểm tra một máy tính có bị tiêm nhiễm virushay khôngQuét các tài liệu mới có thể chứa virusTìm kiếm các mẫu virus đã được biết trước

Nhược điểm của phần mềm diệt virusNhà cung cấp phải liên tục tìm các virus mới, cập nhật vàphân phối các file chữ ký (signature file) tới người dùng

Phương pháp khác: giả lập mã (code emulation)Các mã khả nghi được thực thi trong một môi trường ảo

Phần mềm diệt virusPhần mềm kiểm tra một máy tính có bị tiêm nhiễm virushay khôngQuét các tài liệu mới có thể chứa virusTìm kiếm các mẫu virus đã được biết trước

Nhược điểm của phần mềm diệt virusNhà cung cấp phải liên tục tìm các virus mới, cập nhật vàphân phối các file chữ ký (signature file) tới người dùng

Phương pháp khác: giả lập mã (code emulation)Các mã khả nghi được thực thi trong một môi trường ảo


Phần mềm chống thư rác

Những kẻ gửi thư rác có thể phát tán phần mềm độc hạithông qua các thư điện tử có file đính kèmThư rác có thể được sử dụng trong các cuộc tấn côngdùng kỹ nghệ xã hộiCác phương thức lọc thư rác

Lọc BayesianLọc trên máy chủ cục bộ

Danh sách đenDanh sách trắng

Chặn các kiểu file đính kèm khả nghi

Những kẻ gửi thư rác có thể phát tán phần mềm độc hạithông qua các thư điện tử có file đính kèmThư rác có thể được sử dụng trong các cuộc tấn côngdùng kỹ nghệ xã hộiCác phương thức lọc thư rác

Lọc BayesianLọc trên máy chủ cục bộ

Danh sách đenDanh sách trắng

Chặn các kiểu file đính kèm khả nghi


Phần mềm phong tỏa pop-up

Pop-upMột cửa sổ xuất hiện trên Web siteThường do các nhà quảng cáo tạo ra

Phần mềm phong tỏa pop-upMột chương trình riêng biệt, giống như một phần của góiphần mềm chống phần mềm gián điệpĐược tích hợp vào trong trình duyệtCho phép người dùng hạn chế hoặc ngăn chặn hầu hếtcác cửa sổ pop-upCó thể hiển thị cảnh báo trong trình duyệt

Cho phép người dùng có thể lựa chọn để hiển thị pop-up

Pop-upMột cửa sổ xuất hiện trên Web siteThường do các nhà quảng cáo tạo ra

Phần mềm phong tỏa pop-upMột chương trình riêng biệt, giống như một phần của góiphần mềm chống phần mềm gián điệpĐược tích hợp vào trong trình duyệtCho phép người dùng hạn chế hoặc ngăn chặn hầu hếtcác cửa sổ pop-upCó thể hiển thị cảnh báo trong trình duyệt

Cho phép người dùng có thể lựa chọn để hiển thị pop-up


Tường lửa dựa trên máy chủ

Tường lửa (firewall)Được thiết kế nhằm ngăn chặn các gói tin độc hại truy cậphoặc gửi đi từ máy tínhCó thể dựa trên phần cứng hoặc phần mềmPhần mềm tường lửa dựa trên máy chủ hoạt động trên hệthống cục bộ

Tường lửa trong Microsoft Windows 7Ba kiểu thiết lập dành cho các mạng: public, home, hoặcworkNgười dùng có thể cấu hình các thiết lập riêng cho từngkiểu mạng

Tường lửa (firewall)Được thiết kế nhằm ngăn chặn các gói tin độc hại truy cậphoặc gửi đi từ máy tínhCó thể dựa trên phần cứng hoặc phần mềmPhần mềm tường lửa dựa trên máy chủ hoạt động trên hệthống cục bộ

Tường lửa trong Microsoft Windows 7Ba kiểu thiết lập dành cho các mạng: public, home, hoặcworkNgười dùng có thể cấu hình các thiết lập riêng cho từngkiểu mạng


Bảo mật ứng dụng

Bảo mật việc phát triển ứng dụngĐường cơ sở trong cấu hình ứng dụng (SV tự đọc)Khái niệm viết mã an toàn (SV tự đọc)Tôi luyện ứng dụng và Quản lý bản vá


Tôi luyện ứng dụngvà Quản lý bản vá (1/2)

Tôi luyện ứng dụng (Application Hardening)Nhằm ngăn chặn khai thác lỗ hổng

Tấn công Mô tả Ngăn chặn

Tấn công cácfile thực thi

Lừa đảo các ứng dụng sơ hở đểđiều chỉnh hoặc tạo ra các filethực thi trên hệ thống

Ngăn không cho ứng dụngtạo hay điều chỉnh các filethực thi


Lừa đảo các ứng dụng sơ hở đểđiều chỉnh hoặc tạo ra các filethực thi trên hệ thống

Ngăn không cho ứng dụngtạo hay điều chỉnh các filethực thi

Giả mạo hệthống

Lợi dụng ứng dụng sơ hở đểchỉnh sửa các khu vực đặc biệtnhạy cảm của hệ điều hành vàsau đó khai thác các điều chỉnhđó

Không cho phép ứng dụngchỉnh sửa các vùng đặc biệtcủa hệ điều hành

Điều khiểnviệc sinh racác tiến trình

Lừa đảo ứng dụng sơ hở để sinhra các file thực thi trên hệ thống

Loại bỏ khả năng sinh ra tiếntrình của ứng dụng

Tôi luyện ứng dụngvà Quản lý bản vá (2/2)

Quản lý bản váÍt được quan tâm cho tới thời gian gần đâyNgười dùng không biết sự tồn tại của các bản vá hay vị tríđể lấy được các bản váHiện nay, nhiều hệ thống quản lý bản vá ứng dụng đangđược phát triển

Quản lý bản váÍt được quan tâm cho tới thời gian gần đâyNgười dùng không biết sự tồn tại của các bản vá hay vị tríđể lấy được các bản váHiện nay, nhiều hệ thống quản lý bản vá ứng dụng đangđược phát triển


Bảo mật dữ liệu (1/2)

Hiện nay, quá trình làm việc liên quan rất nhiều tới hợptác điện tử

Dữ liệu phải lưu thông tự doĐảm bảo an toàn dữ liệu là điều rất quan trọng

Ngăn chặn mất mát dữ liệuHệ thống các công cụ đảm bảo an toàn được sử dụng đểnhận diện và xác định các dữ liệu quan trọng và đảm bảosự an toàn cho những dữ liệu đóMục tiêu: bảo vệ dữ liệu khỏi những người dùng trái phép

Hiện nay, quá trình làm việc liên quan rất nhiều tới hợptác điện tử

Dữ liệu phải lưu thông tự doĐảm bảo an toàn dữ liệu là điều rất quan trọng

Ngăn chặn mất mát dữ liệuHệ thống các công cụ đảm bảo an toàn được sử dụng đểnhận diện và xác định các dữ liệu quan trọng và đảm bảosự an toàn cho những dữ liệu đóMục tiêu: bảo vệ dữ liệu khỏi những người dùng trái phép


Bảo mật dữ liệu (2/2)

Ngăn chặn mất mát dữ liệu thường kiểm tra:Dữ liệu đang sử dụng (ví dụ: đang được in)Dữ liệu đang di chuyển (đang truyền nhận)Dữ liệu đang được lưu trữ (ví dụ: DVD)

Kiểm tra nội dungPhân tích sự an toàn của quá trình giao dịch

Ngăn chặn mất mát dữ liệu thường kiểm tra:Dữ liệu đang sử dụng (ví dụ: đang được in)Dữ liệu đang di chuyển (đang truyền nhận)Dữ liệu đang được lưu trữ (ví dụ: DVD)

Kiểm tra nội dungPhân tích sự an toàn của quá trình giao dịch


Bảo mật mạng

Không phải tất cả các ứng dụng đều chú trọng đến việcbảo mật trong quá trình thiết kế và viết mã+ Chính vì vậy mạng cần được bảo vệ

Những mạng bảo mật yếu là mục tiêu thu hút những kẻtấn côngCác khía cạnh của việc xây dựng một mạng bảo mật:

Thiết bị mạng tiêu chuẩn (SV tự đọc)Phần cứng bảo mật mạngBảo mật thông qua công nghệ mạngBảo mật thông qua thành phần thiết kế mạng

Không phải tất cả các ứng dụng đều chú trọng đến việcbảo mật trong quá trình thiết kế và viết mã+ Chính vì vậy mạng cần được bảo vệ

Những mạng bảo mật yếu là mục tiêu thu hút những kẻtấn côngCác khía cạnh của việc xây dựng một mạng bảo mật:

Thiết bị mạng tiêu chuẩn (SV tự đọc)Phần cứng bảo mật mạngBảo mật thông qua công nghệ mạngBảo mật thông qua thành phần thiết kế mạng


Phần cứng bảo mật mạng

Các thiết bị phần cứng được thiết kế đặc biệtBảo mật tốt hơn so với các thiết bị mạng thông thường

Các dạng phần cứng bảo mật mạngTường lửa (Firewall)Ủy nhiệm (Proxy) (SV tự đọc)Bộ lọc thư rác (Spam Filter)Bộ góp mạng riêng ảo (SV tự đọc)Bộ lọc nội dung Internet (Internet Content Filter)Cổng bảo mật Web (Web Security Gateway)Phát hiện và ngăn chặn việc thâm nhậpThiết bị bảo mật mạng tất cả trong một

Các thiết bị phần cứng được thiết kế đặc biệtBảo mật tốt hơn so với các thiết bị mạng thông thường

Các dạng phần cứng bảo mật mạngTường lửa (Firewall)Ủy nhiệm (Proxy) (SV tự đọc)Bộ lọc thư rác (Spam Filter)Bộ góp mạng riêng ảo (SV tự đọc)Bộ lọc nội dung Internet (Internet Content Filter)Cổng bảo mật Web (Web Security Gateway)Phát hiện và ngăn chặn việc thâm nhậpThiết bị bảo mật mạng tất cả trong một


Tường lửa (1/3)

Tường lửa (Firewall)Có chức năng kiểm tra các gói tinCó thể chấp nhận hoặc từ chối gói tinThường được đặt bên ngoài vành đai bảo mật mạng

Các hành động của tường lửa đối với một gói tinCho phép (cho phép gói tin đi qua)Chặn (loại bỏ gói tin)Nhắc nhở (yêu cầu người dùng lựa chọn hành động)

Các thiết lập dựa trên nguyên tắc của tường lửaTập các chỉ dẫn để điều khiển hành động

Tường lửa dựa trên các thiết lậpCho phép quản trị viên tạo ra các tham số

Tường lửa (Firewall)Có chức năng kiểm tra các gói tinCó thể chấp nhận hoặc từ chối gói tinThường được đặt bên ngoài vành đai bảo mật mạng

Các hành động của tường lửa đối với một gói tinCho phép (cho phép gói tin đi qua)Chặn (loại bỏ gói tin)Nhắc nhở (yêu cầu người dùng lựa chọn hành động)

Các thiết lập dựa trên nguyên tắc của tường lửaTập các chỉ dẫn để điều khiển hành động

Tường lửa dựa trên các thiết lậpCho phép quản trị viên tạo ra các tham số



Các phương pháp lọc gói tin của tường lửaLọc gói tin không dựa vào trạng thái (stateless packetfiltering)

Kiểm tra các gói tin gửi đến và cho phép hoặc từ chối gói tindựa trên các điều kiện do quản trị viên thiết lập

Lọc gói tin dựa vào trạng thái (stateful packet filtering)Lưu giữ bản ghi trạng thái của kết nốiĐưa ra quyết định dựa trên kết nối và các điều kiện

Các phương pháp lọc gói tin của tường lửaLọc gói tin không dựa vào trạng thái (stateless packetfiltering)

Kiểm tra các gói tin gửi đến và cho phép hoặc từ chối gói tindựa trên các điều kiện do quản trị viên thiết lập

Lọc gói tin dựa vào trạng thái (stateful packet filtering)Lưu giữ bản ghi trạng thái của kết nốiĐưa ra quyết định dựa trên kết nối và các điều kiện



Tường lửa ứng dụng WebKiểm tra sâu hơn cấu trúc bên trong của gói tin truyền tảiHTTP

Các trình duyệt WebFTPTelnet

Có thể chặn các web site xác định hoặc những kiểu tấncông đã được biết trướcCó thể chặn tấn công tiêm nhiễm XSS và SQL

Tường lửa ứng dụng WebKiểm tra sâu hơn cấu trúc bên trong của gói tin truyền tảiHTTP

Các trình duyệt WebFTPTelnet

Có thể chặn các web site xác định hoặc những kiểu tấncông đã được biết trướcCó thể chặn tấn công tiêm nhiễm XSS và SQL


Bộ lọc thư rác (1/3)

Bộ lọc thư rác (spam filter)Các bộ lọc thư rác cấp doanh nghiệp có thể chặn các thưrác trước khi chúng đi tới máy chủ

Các hệ thống email sử dụng hai giao thứcSimple Mail Transfer Protocol (SMTP)

Xử lý mail gửi điPost Office Protocol (POP)

Xử lý mail gửi đến

Bộ lọc thư rác (spam filter)Các bộ lọc thư rác cấp doanh nghiệp có thể chặn các thưrác trước khi chúng đi tới máy chủ

Các hệ thống email sử dụng hai giao thứcSimple Mail Transfer Protocol (SMTP)

Xử lý mail gửi điPost Office Protocol (POP)

Xử lý mail gửi đến



Các bộ lọc thư rác được cài đặt với máy chủ SMTPBộ lọc được cấu hình để “nghe ngóng” tại cổng 25Những thư điện tử không phải thư rác được chuyển tớimáy chủ SMTP đang “nghe ngóng” tại một cổng khácPhương pháp ngăn không cho máy chủ SMTP gửi lại thôngbáo cho kẻ gửi thư rác biết việc phân phát thư rác bị thấtbại

Các bộ lọc thư rác được cài đặt với máy chủ SMTPBộ lọc được cấu hình để “nghe ngóng” tại cổng 25Những thư điện tử không phải thư rác được chuyển tớimáy chủ SMTP đang “nghe ngóng” tại một cổng khácPhương pháp ngăn không cho máy chủ SMTP gửi lại thôngbáo cho kẻ gửi thư rác biết việc phân phát thư rác bị thấtbại



Bộ lọc thư rác được cài đặt trên máy chủ POP 3Trước tiên, tất cả thư rác phải truyền qua máy chủ SMTP,sau đó chúng được chuyển tới hộp thư của người dùngCó thể làm tăng chi phí

Lưu trữ, truyền dẫn, sao lưu, xóa hủy

Lọc thư rác thông qua hợp đồng với một đối tác thứ baTất cả thư điện tử được đi qua một bộ lọc thư rác từ xacủa đối tác thứ baThư điện tử được “làm sạch” trước khi chuyển tiếp tới tổchức

Bộ lọc thư rác được cài đặt trên máy chủ POP 3Trước tiên, tất cả thư rác phải truyền qua máy chủ SMTP,sau đó chúng được chuyển tới hộp thư của người dùngCó thể làm tăng chi phí

Lưu trữ, truyền dẫn, sao lưu, xóa hủy

Lọc thư rác thông qua hợp đồng với một đối tác thứ baTất cả thư điện tử được đi qua một bộ lọc thư rác từ xacủa đối tác thứ baThư điện tử được “làm sạch” trước khi chuyển tiếp tới tổchức


Bộ lọc nội dung Internet

Bộ lọc nội dung InternetKiểm soát lưu lượng mạng InternetChặn truy cập tới các web site và file được lựa chọn trướcCác web site bị chặn được xác định thông qua URL hoặcthông qua đối chiếu từ khóa


Cổng bảo mật Web

Cổng bảo mật Web (We security gateway)Có thể chặn các nội dung độc hại trong thời gian thựcChặn nội dung thông qua việc lọc ở cấp ứng dụng

Ví dụ về lưu lượng Web bị chặnCác đối tượng ActiveXPhần mềm quảng cáo, phần mềm gián điệpViệc chia sẻ dữ liệu ngang hàng (peer-to-peer)Khai thác mã kịch bản

Cổng bảo mật Web (We security gateway)Có thể chặn các nội dung độc hại trong thời gian thựcChặn nội dung thông qua việc lọc ở cấp ứng dụng

Ví dụ về lưu lượng Web bị chặnCác đối tượng ActiveXPhần mềm quảng cáo, phần mềm gián điệpViệc chia sẻ dữ liệu ngang hàng (peer-to-peer)Khai thác mã kịch bản


Phát hiện và ngănchặn thâm nhập

Bảo mật thụ động và bảo mật chủ động có thể được ápdụng trong mạng

Các biện pháp chủ động đem lại mức an toàn cao hơnBiện pháp thụ động

Tường lửaBộ lọc nội dung Internet

Hệ thống phát hiện thâm nhập (IDS)Biện pháp bảo mật chủ độngCó thể phát hiện tấn công ngay khi nó xảy ra

Các khía cạnh của IDSCác phương pháp giám sátCác dạng IDS

Bảo mật thụ động và bảo mật chủ động có thể được ápdụng trong mạng

Các biện pháp chủ động đem lại mức an toàn cao hơnBiện pháp thụ động

Tường lửaBộ lọc nội dung Internet

Hệ thống phát hiện thâm nhập (IDS)Biện pháp bảo mật chủ độngCó thể phát hiện tấn công ngay khi nó xảy ra

Các khía cạnh của IDSCác phương pháp giám sátCác dạng IDS


Các phương pháp giám sát

Các phương pháp giám sát (monitoring methodology)Giám sát dựa trên sự bất thường (anomaly-basedmonitoring)

So sánh hành vi phát hiện được với đường cơ sởGiám sát dựa trên chữ ký (signature-based monitoring )

Tìm kiếm các đặc điểm, dấu hiệu đặc trưng của tấn côngGiám sát dựa trên hành vi (behavior-based monitoring)

Phát hiện các hành vi bất thường của tiến trình hay chươngtrìnhCảnh báo người dùng để họ đưa ra quyết định chặn haycho phép hành vi

Giám sát kiểu tự khám phá (heuristic monitoring)Sử dụng các kỹ thuật dựa trên kinh nghiệm

Các phương pháp giám sát (monitoring methodology)Giám sát dựa trên sự bất thường (anomaly-basedmonitoring)

So sánh hành vi phát hiện được với đường cơ sởGiám sát dựa trên chữ ký (signature-based monitoring )

Tìm kiếm các đặc điểm, dấu hiệu đặc trưng của tấn côngGiám sát dựa trên hành vi (behavior-based monitoring)

Phát hiện các hành vi bất thường của tiến trình hay chươngtrìnhCảnh báo người dùng để họ đưa ra quyết định chặn haycho phép hành vi

Giám sát kiểu tự khám phá (heuristic monitoring)Sử dụng các kỹ thuật dựa trên kinh nghiệm


Các dạng IDS (1/4)

Hệ thống phát hiện xâm nhập máy chủ (Host IntrusionDetection System - HIDS)

Ứng dụng phần mềm có chức năng phát hiện tấn công khixảy raĐược cài đặt trên từng hệ thống cần sự bảo vệGiám sát các lời gọi và truy cập file hệ thốngCó thể nhận dạng hành vi điều chỉnh Registry trái phépGiám sát tất cả thông tin giao tiếp đầu vào và đầu ra

Phát hiện các hành vi bất thường

Hệ thống phát hiện xâm nhập máy chủ (Host IntrusionDetection System - HIDS)

Ứng dụng phần mềm có chức năng phát hiện tấn công khixảy raĐược cài đặt trên từng hệ thống cần sự bảo vệGiám sát các lời gọi và truy cập file hệ thốngCó thể nhận dạng hành vi điều chỉnh Registry trái phépGiám sát tất cả thông tin giao tiếp đầu vào và đầu ra

Phát hiện các hành vi bất thường



Nhược điểm của HIDSKhông thể giám sát các lưu lượng mạng không hướng tớihệ thống cục bộTất cả dữ liệu nhật ký (log) được lưu trữ trên máy cục bộTiêu tốn tài nguyên và có thể làm chậm hệ thống



Hệ thống phát hiện xâm nhập mạng (Network IntrusionDetection System - NIDS)

Theo dõi tấn công trên mạngCác cảm biến NIDS được cài đặt trên tường lửa và bộ địnhtuyến:

Thu thập thông tin và báo cáo về thiết bị trung tâmNIDS thụ động sẽ phát âm thanh báo độngNIDS chủ động sẽ phát âm thanh báo động, đồng thờithực hiện hành động ứng phó

Hành động ứng phó có thể bao gồm việc tìm ra địa chỉ IPcủa kẻ xâm nhập hoặc kết thúc phiên TCP

Hệ thống phát hiện xâm nhập mạng (Network IntrusionDetection System - NIDS)

Theo dõi tấn công trên mạngCác cảm biến NIDS được cài đặt trên tường lửa và bộ địnhtuyến:

Thu thập thông tin và báo cáo về thiết bị trung tâmNIDS thụ động sẽ phát âm thanh báo độngNIDS chủ động sẽ phát âm thanh báo động, đồng thờithực hiện hành động ứng phó

Hành động ứng phó có thể bao gồm việc tìm ra địa chỉ IPcủa kẻ xâm nhập hoặc kết thúc phiên TCP


Kỹ thuật Mô tả

Kiểm tra ngăn xếp giaothức

Một số cuộc tấn công sử dụng các giao thứcIP, TCP, UDP hoặc ICMP không hợp lệ; kiểmtra ngăn xếp giao thức có thể xác định vàbáo hiệu các gói tin không hợp lệ

Kiểm tra giao thức ứngdụng

Một số vụ tấn công cố ý sử dụng hành vigiao thức không hợp lệ hoặc có dấu hiệu gâyhại (như đầu độc DNS); NIDS sẽ thực hiệnlại các giao thức ứng dụng khác nhau để tìmra mẫu

Các kỹ thuậtđánh giá của NIDS


Kiểm tra giao thức ứngdụng

Một số vụ tấn công cố ý sử dụng hành vigiao thức không hợp lệ hoặc có dấu hiệu gâyhại (như đầu độc DNS); NIDS sẽ thực hiệnlại các giao thức ứng dụng khác nhau để tìmra mẫu

Tạo các file log mở rộng NIDS có thể ghi lại file log đối với các sựkiện bất thường, sau đó các hệ thống giámsát ghi nhật ký mạng khác có thể sử dụngnhững file nhật ký


Hệ thống ngăn chặn xâm nhập mạng (Network IntrusionPrevention - NIPS)

Tương tự NIDSGiám sát lưu lượng mạng để ngay lập tức ngăn chặn tấncông gây nguy hạiCác cảm biến NIPS được đặt bên trong tường lửa

Hệ thống ngăn chặn xâm nhập mạng (Network IntrusionPrevention - NIPS)

Tương tự NIDSGiám sát lưu lượng mạng để ngay lập tức ngăn chặn tấncông gây nguy hạiCác cảm biến NIPS được đặt bên trong tường lửa


Thiết bị bảo mật mạngtất cả trong một

Các thiết bị bảo mật mạng tất cả trong mộtMột thiết bị tích hợp thay thế cho nhiều thiết bị bảo mật

Xu hướng gần đây:Kết hợp các thiết bị bảo mật đa năng với thiết bị truyềnthống như bộ định tuyếnƯu điểm của phương pháp

Khi thiết bị mạng xử lý xong các gói tinBộ chuyển mạch (switch) chứa phần mềm anti-malware kiểmtra các gói tin và chặn lại trước khi chuyển đi để không bị lâynhiễm toàn mạng

Các thiết bị bảo mật mạng tất cả trong mộtMột thiết bị tích hợp thay thế cho nhiều thiết bị bảo mật

Xu hướng gần đây:Kết hợp các thiết bị bảo mật đa năng với thiết bị truyềnthống như bộ định tuyếnƯu điểm của phương pháp

Khi thiết bị mạng xử lý xong các gói tinBộ chuyển mạch (switch) chứa phần mềm anti-malware kiểmtra các gói tin và chặn lại trước khi chuyển đi để không bị lâynhiễm toàn mạng


Bảo mật thông quacác công nghệ mạng (1/2)

• Các bộ định tuyến mạng thường loại bỏ các gói tincó địa chỉ riêng (private)Quá trình chuyển đổi địa chỉ mạng (NAT)

Cho phép sử dụng các địa chỉ IP riêng trên mạng InternetThay thế địa chỉ IP cá nhân bằng địa chỉ public

Chuyển đổi địa chỉ cổng (PAT)Biến thể của NAT

Các gói tin gửi đi có cùng địa chỉ IP nhưng khác nhau về sốcổng TCP

• Các bộ định tuyến mạng thường loại bỏ các gói tincó địa chỉ riêng (private)Quá trình chuyển đổi địa chỉ mạng (NAT)

Cho phép sử dụng các địa chỉ IP riêng trên mạng InternetThay thế địa chỉ IP cá nhân bằng địa chỉ public

Chuyển đổi địa chỉ cổng (PAT)Biến thể của NAT

Các gói tin gửi đi có cùng địa chỉ IP nhưng khác nhau về sốcổng TCP


Bảo mật thông quacác công nghệ mạng (2/2)

Các ưu điểm của NATChe dấu địa chỉ IP của các thiết bị trong nội bộCho phép nhiều thiết bị chia sẻ chung một số ít các địa chỉIP public

Điều khiển truy cập mạng (NAC)Kiểm tra trạng thái hiện tại của hệ thống hay thiết bịmạng:

Trước khi cho phép kết nối mạngThiết bị phải đáp ứng một tập tiêu chuẩn

Nếu không đáp ứng, NAC sẽ cho phép client kết nối tới mộtmạng cách ly, cho tới khi các thiếu sót được khắc phục

Các ưu điểm của NATChe dấu địa chỉ IP của các thiết bị trong nội bộCho phép nhiều thiết bị chia sẻ chung một số ít các địa chỉIP public

Điều khiển truy cập mạng (NAC)Kiểm tra trạng thái hiện tại của hệ thống hay thiết bịmạng:

Trước khi cho phép kết nối mạngThiết bị phải đáp ứng một tập tiêu chuẩn

Nếu không đáp ứng, NAC sẽ cho phép client kết nối tới mộtmạng cách ly, cho tới khi các thiếu sót được khắc phục


Bảo mật thông qua cácthành phần thiết kế mạng

Các phần tử trong một thiết kế mạng an toànKhu phi quân sựPhân chia mạng conMạng LAN ảoTruy cập từ xa


Khu phi quân sự (1/2)

Khu phi quân sự (Demilitarized Zone - DMZ)Một mạng riêng được đặt bên ngoài vành đai của mộtmạng bảo mậtNhững người dùng không đủ tin cậy bên ngoài có thểtruy cập vào DMZ nhưng không thể truy cập được mạngbảo mật bên trongCó thể dùng DMZ với một hoặc hai tường lửa.

Khu phi quân sự (Demilitarized Zone - DMZ)Một mạng riêng được đặt bên ngoài vành đai của mộtmạng bảo mậtNhững người dùng không đủ tin cậy bên ngoài có thểtruy cập vào DMZ nhưng không thể truy cập được mạngbảo mật bên trongCó thể dùng DMZ với một hoặc hai tường lửa.


Khu phi quân sự (2/2)


Phân chia mạng con (1/2)

Các địa chỉ IP có thể được phân tách tại bất kỳ vị trí nàotrong 32 bit độ dàiMột mạng có thể được chia thành phần

MạngMạng conMáy chủ

Mỗi một mạng có thể chứa nhiều mạng conMỗi một mạng con có thể chứa nhiều máy chủNâng cao bảo mật cho mạng thông qua việc cách ly cácnhóm máy chủCho phép quản trị viên che giấu cấu trúc mạng nội bộ

Các địa chỉ IP có thể được phân tách tại bất kỳ vị trí nàotrong 32 bit độ dàiMột mạng có thể được chia thành phần

MạngMạng conMáy chủ

Mỗi một mạng có thể chứa nhiều mạng conMỗi một mạng con có thể chứa nhiều máy chủNâng cao bảo mật cho mạng thông qua việc cách ly cácnhóm máy chủCho phép quản trị viên che giấu cấu trúc mạng nội bộ


Phân chia mạng con (2/2)


Ưu điểm Giải thích

Giảm lưu lượng mạng Các tin quảng cáo gửi tới các máy chủ mạng thườngbị hạn chế vào các mạng con riêng lẻ

Linh động Số mạng con và máy chủ trong mỗi mạng con cóthể được tùy chỉnh cho từng tổ chức, và dễ dàngthay đổi khi cần thiết

Cải thiện khả năng gỡ lỗi Truy vết các vấn đề trên mạng con nhanh và dễdàng hơn so với một mạng lớn

Ưu điểm của việcphân chia mạng con


Cải thiện khả năng gỡ lỗi Truy vết các vấn đề trên mạng con nhanh và dễdàng hơn so với một mạng lớn

Cải thiện việc khai thácđịa chỉ

Do mạng được phân thành các mạng con nên giúpgiảm số địa chỉ IP rác

Tối thiểu hóa ảnh hưởngtới các bộ định tuyếnbên ngoài

các bộ định tuyến bên ngoài không phải cập nhậtkhi có các thay đổi xảy ra

Phản ánh mạng vật lý Các máy chủ có thể được nhóm với nhau thành cácmạng con, giúp phản ánh chính xác hơn cách thứcchúng được tổ chức trong mạng vật lý

Tóm tắt (1/2)

Chính sách bảo mật phải được xây dựng, do đó mộtđường cơ sở cần được thiết lậpPhần mềm chống phần mềm độc hại của hãng thứ bacó thể giúp nâng cao tính bảo mậtBảo mật ứng dụng hoạt động trên phần cứngNgăn chặn mất mát dữ liệu (DLP) có thể nhận diện dữliệu quan trọng, kiểm soát và bảo vệ dữ liệu đó

Chính sách bảo mật phải được xây dựng, do đó mộtđường cơ sở cần được thiết lậpPhần mềm chống phần mềm độc hại của hãng thứ bacó thể giúp nâng cao tính bảo mậtBảo mật ứng dụng hoạt động trên phần cứngNgăn chặn mất mát dữ liệu (DLP) có thể nhận diện dữliệu quan trọng, kiểm soát và bảo vệ dữ liệu đó


Tóm tắt (2/2)

Các thiết bị phần cứng được thiết kế riêng cho bảo mậtđem lại mức độ bảo mật cao hơnHệ thống phát hiện xâm nhập được thiết kế nhằm pháthiện tấn công khi nó xảy raCông nghệ mạng có thể giúp bảo mật cho mạng

Dịch địa chỉ mạng (NAT)Điều khiển truy cập mạng (NAC)

Các phương pháp thiết kế một mạng bảo mật bao gồmKhu phi quân sựPhân chia mạng con

Các thiết bị phần cứng được thiết kế riêng cho bảo mậtđem lại mức độ bảo mật cao hơnHệ thống phát hiện xâm nhập được thiết kế nhằm pháthiện tấn công khi nó xảy raCông nghệ mạng có thể giúp bảo mật cho mạng

Dịch địa chỉ mạng (NAT)Điều khiển truy cập mạng (NAC)

Các phương pháp thiết kế một mạng bảo mật bao gồmKhu phi quân sựPhân chia mạng con


Documents

Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT