HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Giảng viên: PGS.TS. Hoàng Xuân Dậu E-mail: dauhx@ptit.edu.vn Khoa: An toàn thông tin BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG TÀI LIỆU THAM KHẢO 1. Roberta Bragg, Mark Rhodes-Ousley and Keith Strassberg. Network Security: The Complete Reference, McGraw-Hill Osborne Media, 1st edition, 2003. 2. Mark Rhodes-Ousley. Information Security: The Complete Reference, McGraw-Hill Osborne Media, 2nd edition, 2013. 3. William Stallings. Cryptography and Network Security Principles And Practice, 7th edition, Pearson Education Limited, 2017. 4. Michael E. Whitman, Herbert J. Mattord. Principles of Information Security, 7th edition, Cengage Learning, 2021. 5. Michael T. Simpson, Nicholas Antill. Hands-On Ethical Hacking and Network Defense, 3rd edition, Cengage Learning, 2016. Trang 2 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG ĐÁNH GIÁ MÔN HỌC ❖ Các điểm thành phần: ▪ ▪ ▪ ▪ Chuyên cần: 10% Kiểm tra: 10% Bài tập/thảo luận: 30% Thi cuối kỳ: 50% Trang 3 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG NỘI DUNG MÔN HỌC 1. Các kỹ thuật và công nghệ đảm bảo an toàn mạng 2. Các kỹ thuật bảo mật thông tin trên đường truyền 3. Bảo mật cho các hệ thống mạng 4. Bảo mật cho điện toán đám mây. Trang 4 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG NỘI DUNG CHƯƠNG 1 1. 2. 3. 4. Kiểm soát truy cập Tường lửa Công nghệ mạng riêng ảo Honeypot và honeynet Trang 5 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG 1.1 Kiểm soát truy cập ❖ Khái quát về kiểm soát truy cập ❖ Các biện pháp kiểm soát truy cập ❖ Các mô hình kiểm soát truy cập ❖ Các dạng phương pháp xác thực ❖ Các giao thức xác thực. Trang 6 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về kiểm soát truy cập ❖ Kiểm soát truy cập là quá trình mà trong đó người dùng được nhận dạng và trao quyền truy cập đến các thông tin, các hệ thống và tài nguyên. Trang 7 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về kiểm soát truy cập ❖ Một hệ thống kiểm soát truy cập có thể được cấu thành từ 3 dịch vụ: ▪ Xác thực (Authentication): • Là quá trình xác minh tính chân thực của các thông tin nhận dạng mà người dùng cung cấp. ▪ Trao quyền (Authorization): • Trao quyền xác định các tài nguyên mà người dùng được phép truy cập sau khi người dùng đã được xác thực. ▪ Quản trị (Administration): • Cung cấp khả năng thêm, bớt và sửa đổi các thông tin tài khoản người dùng, cũng như quyền truy cập của người dùng. ❖ Trong 3 dịch vụ trên, xác thực và trao quyền là 2 dịch vụ thiết yếu của một hệ thống kiểm soát truy cập. Trang 8 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về kiểm soát truy cập ❖ Mục đích chính của kiểm soát truy cập là để đảm bảo tính bí mật, toàn vẹn và sẵn dùng của thông tin, hệ thống và các tài nguyên: ▪ Tính bí mật (confidentiality): đảm bảo chỉ những người có thẩm quyền mới có khả năng truy cập vào dữ liệu và hệ thống. ▪ Tính toàn vẹn (Integrity): đảm bảo dữ liệu không bị sửa đổi bởi các bên không có đủ thẩm quyền. ▪ Tính sẵn dùng: đảm bảo tính sẵn sàng (đáp ứng nhanh/kịp thời) của dịch vụ cung cấp cho người dùng thực sự. Trang 9 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập ❖ Access Control: ▪ Discretionary (controlled by user): tùy chọn, tùy quyền ▪ Nondiscretionary (controlled by organization): không tùy chọn, không tùy quyền • Lattice-based: Dựa trên mạng/ Lưới • Mandatory: bắt buộc • Role-based/Task-based: Dựa trên vai trò/Nhiệm vụ. Trang 10 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập ❖ Kiểm soát truy cập tuỳ chọn – Discretionary Access Control (DAC) ❖ Kiểm soát truy cập bắt buộc – Mandatory Access Control (MAC) ❖ Kiểm soát truy cập dựa trên vai trò – Role-Based Access Control (RBAC) ❖ Kiểm soát truy cập dựa trên nhiệm vụ – Task-Based Access Control (TBAC) ❖ Kiểm soát truy cập dựa trên luật – Rule-Based Access Control ❖ Kiểm soát truy cập dựa trên thuộc tính – Attribute-Based Access Control (ABAC) ❖ Kiểm soát truy cập dựa trên lưới – Lattice-Based Access Control (LBAC) Trang 11 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - DAC ❖ Kiểm soát truy cập tuỳ chọn được định nghĩa là các cơ chế hạn chế truy cập đến các đối tượng dựa trên thông tin nhận dạng của các chủ thể và/hoặc nhóm của các chủ thể. ❖ Thông tin nhận dạng có thể gồm: ▪ Bạn là ai? (CMND, bằng lái xe, vân tay,...) ▪ Những cái bạn biết (tên truy cập, mật khẩu, số PIN...) ▪ Bạn có gì? (Thẻ ATM, thẻ tín dụng, ...) Trang 12 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - DAC ❖ DAC cho phép người dùng có thể cấp hoặc huỷ quyền truy cập cho các người dùng khác đến các đối tượng thuộc quyền điều khiển của họ. ❖ Chủ sở hữu của các đối tượng (owner of objects) là người dùng có toàn quyền điều khiển các đối tượng này. Trang 13 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - DAC ❖Ví dụ: Với DAC: ▪ Người dùng được cấp 1 thư mục riêng và là chủ sở hữu của thư mục này; ▪ Người dùng có quyền tạo, sửa đổi và xoá các files trong thư mục của riêng mình (home directory); ▪ Họ cũng có khả năng trao hoặc huỷ quyền truy cập vào các files của mình cho các người dùng khác. Trang 14 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - DAC ❖Hai kỹ thuật được sử dụng phổ biến đề cài đặt DAC: ▪ Ma trận kiểm soát truy cập (Access Control Matrix - ACM); ▪ Danh sách kiểm soát truy cập (Access Control List - ACL). Trang 15 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập – DAC - ACM ❖ Ma trận kiểm soát truy cập (Access Control Matrix - ACM) là một phương pháp mô tả kiểm soát truy cập thông qua 1 ma trận 2 chiều gồm chủ thể (subject), đối tượng (object) và các quyền truy cập. ▪ Đối tượng/Khách thể (Objects) là các thực thể cần bảo vệ. Objects có thể là các files, các tiến trình (processes). ▪ Chủ thể (Subjects) là người dùng (users), tiến trình tác động lên objects. ▪ Quyền truy cập là hành động mà Subject thực hiện trên Object. Trang 16 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập – DAC - ACM Objects O1 O2 O3 O4 S1 rw rwxo r rwxo S2 rw rx rw rwx S3 r rw rwo rw Subjects Các chủ thể: S1, S2, S3 Các đối tượng: O1, O2, O3 Các quyền: r(read), w(write), x(execute) và o(own) Trang 17 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập – DAC - ACL ❖ Danh sách kiểm soát truy cập (Access Control List - ACL) là một danh sách các quyền truy cập của một chủ thể đối với một đối tượng. ▪ Một ACL chỉ ra các người dùng hoặc tiến trình được truy cập vào đối tượng nào và các thao tác cụ thể (quyền) được thực hiện trên đối tượng đó. ▪ Một bản ghi điển hình của ACL có dạng (subject, operation). Ví dụ bản ghi (Alice, write) của 1 file có nghĩa là Alice có quyền ghi vào file đó. ▪ Khi chủ thể yêu cầu truy cập, hệ điều hành sẽ kiểm tra ACL xem yêu cầu đó có được phép hay không. ▪ ACL có thể được áp dụng cho một hoặc 1 nhóm đối tượng. Trang 18 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập – DAC - ACL Profiles ACL B A Files F1 A: RW; B: R F2 A: R; B: RW; C:R F3 C User space ACL Kernel space B: RWX; C: RX Sử dụng ACL để quản lý việc truy cập file Trang 19 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - MAC ❖ Điều khiển truy bắt buộc được định nghĩa là các cơ chế hạn chế truy cập đến các đối tượng dựa trên ▪ Tính nhạy cảm (sensitivity) của thông tin (thường được gán nhãn) chứa trong các đối tượng, và ▪ Sự trao quyền chính thức (formal authorization) cho các chủ thể truy cập các thông tin nhạy cảm này. Trang 20 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - MAC ❖ Các mức nhạy cảm của thông tin: ▪ Tối mật (Top Secret - T): Được áp dụng với thông tin mà nếu bị lộ có thể dẫn đến những thiệt hại trầm trọng đối với an ninh quốc gia. ▪ Tuyệt mật (Secret - S): Được áp dụng với thông tin mà nếu bị lộ có thể dẫn đến một loạt thiệt hại đối với an ninh quốc gia. ▪ Mật (Confidential - C): Được áp dụng với thông tin mà nếu bị lộ có thể dẫn đến thiệt hại đối với an ninh quốc gia. ▪ Không phân loại (Unclassified - U): Những thông tin không gây thiệt hại đối với an ninh quốc gia nếu bị tiết lộ. Trang 21 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - MAC ❖ MAC không cho phép người tạo ra các đối tượng (thông tin/tài nguyên) có toàn quyền truy cập các đối tượng này. ❖ Quyền truy cập đến các đối tượng (thông tin/tài nguyên) do người quản trị hệ thống định ra trước trên cơ sở chính sách an toàn thông tin của tổ chức đó. ❖ MAC thường được sử dụng phổ biến trong các cơ quan an ninh, quân đội và ngân hàng. Trang 22 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - MAC ❖ Ví dụ: một tài liệu được tạo ra và được đóng dấu “Mật”: ▪ Chỉ những người có trách nhiệm trong tổ chức mới được quyền xem và phổ biến cho người khác; ▪ Tác giả của tài liệu không được quyền phổ biến đến người khác. Trang 23 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - RBAC ❖ Kiểm soát truy cập dựa trên vai trò cho phép người dùng truy cập vào thông tin và hệ thống dựa trên vai trò (role) của họ trong công ty/tổ chức đó. ❖ Kiểm soát truy cập dựa trên vai trò có thể được áp dụng cho một nhóm người dùng hoặc từng người dùng riêng lẻ. ❖ Quyền truy cập được tập hợp thành các nhóm “vai trò” với các mức quyền truy cập khác nhau. Trang 24 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - RBAC ❖ Ví dụ: một trường học chia người dùng thành các nhóm gán sẵn quyền truy cập vào các phần trong hệ thống: ▪ Nhóm Quản lý được quyền truy cập vào tất cả các thông tin trong hệ thống; ▪ Nhóm Giáo viên được truy cập vào CSDL các môn học, bài báo khoa học, cập nhật điểm các lớp phụ trách; ▪ Nhóm Sinh viên chỉ được quyền xem nội dung các môn học, tải tài liệu học tập và xem điểm của mình. Trang 25 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - RBAC ❖ Liên kết giữa người dùng và vai trò: ▪ Người dùng được cấp “thẻ thành viên” của các nhóm “vai trò” trên cơ sở năng lực và vai trò, cũng như trách nhiệm của họ trong một tổ chức. ❖ Trong nhóm “vai trò”, người dùng được cấp vừa đủ quyền để thực hiện các thao tác cần thiết cho công việc được giao. ❖ Liên kết giữa người dùng và vai trò có thể được tạo lập và huỷ bỏ dễ dàng. ❖ Quản lý phân cấp vai trò: các vai trò được tổ chức thành một cây theo mô hình phân cấp tự nhiên của các công ty/tổ chức. Trang 26 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - RBAC Một mô hình RBAC đơn giản Trang 27 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - TBAC ❖ Kiểm soát truy cập dựa trên nhiệm vụ cho phép người dùng truy cập vào thông tin và hệ thống dựa trên nhiệm vụ (task) họ được giao thực hiện. ❖ Nhiệm vụ có tính tạm thời hơn so với vai trò. Trang 28 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập – Rule-Based AC ❖ Kiểm soát truy cập dựa trên luật cho phép người dùng truy cập vào hệ thống và thông tin dựa trên các luật (rules) đã được định nghĩa trước. ❖ Các luật có thể được thiết lập để hệ thống cho phép truy cập đến các tài nguyên của mình cho người dùng thuộc một tên miền, một mạng hay một dải địa chỉ IP. Trang 29 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập – Rule-Based AC ❖ Firewalls/Proxies là ví dụ điển hình về kiểm soát truy cập dựa trên luật; ❖ Các hệ thống này sử dụng một tập các luật (rules) để kiểm soát truy cập. Các thông tin sử dụng trong các luật có thể gồm: ▪ ▪ ▪ ▪ Địa chỉ IP nguồn và đích của các gói tin; Phần mở rộng các files để lọc các mã độc hại; Địa chỉ IP hoặc các tên miền để lọc/chặn các website bị cấm; Tập các từ khoá để lọc các nội dung bị cấm. Trang 30 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - ABAC ❖ Kiểm soát truy cập dựa trên thuộc tính (ABAC), còn được gọi là kiểm soát truy cập dựa trên chính sách cho quản lý danh tính (IAM) xác định mô hình kiểm soát truy cập, theo đó quyền của chủ thể để thực hiện một tập hợp các hoạt động được xác định bằng cách đánh giá các thuộc tính liên quan đến chủ thể, đối tượng, các hoạt động được yêu cầu, và, trong một số trường hợp, thuộc tính môi trường. Trang 31 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - ABAC Trang 32 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các biện pháp kiểm soát truy cập - LBAC ❖ Kiểm soát truy cập dựa trên lưới là phương pháp kiểm soát truy cập sử dụng ma trận hoặc mạng lưới các chủ thể (người dùng) và các đối tượng (tài nguyên) để gán đặc quyền. ❖ LBAC là một ví dụ về NDAC (Non-Discretionary Access Control). Trang 33 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các mô hình kiểm soát truy cập ❖ Mô hình bí mật Bell-LaPadula ❖ Mô hình toàn vẹn Biba ❖ Mô hình toàn vẹn Clark-Wilson ❖ Mô hình kiểm soát truy cập Graham-Denning ❖ Mô hình Harrison-Ruzzo-Ullman ❖ Mô hình Brewer-Nash (Bức tường Trung Hoa) Trang 34 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình bí mật Bell-LaPadula ❖ Mô hình Bell-LaPadula là mô hình bảo mật đa cấp thường được sử dụng trong quân sự, nhưng nó cũng có thể áp dụng cho các lĩnh vực khác. ❖ Trong quân sự, các tài liệu được gán một mức độ bảo mật, chẳng hạn như không phân loại, mật, bí mật và tối mật. Người dùng cũng được ấn định các cấp độ bảo mật tương ứng, tùy thuộc vào những tài liệu mà họ được phép xem. ▪ Một vị tướng quân đội có thể được phép xem tất cả các tài liệu, trong khi một trung úy có thể bị hạn chế chỉ được xem các tài liệu mật và thấp hơn. ▪ Một tiến trình chạy nhân danh một người sử dụng có được mức độ bảo mật của người dùng đó. Trang 35 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình bí mật Bell-LaPadula ❖ Nguyên tắc bảo mật tài nguyên của mô hình Bell-LaPadula: ▪ Nguyên tắc đọc xuống: • Một người dùng ở mức độ bảo mật k chỉ có thể đọc các đối tượng ở cùng mức bảo mật hoặc thấp hơn. • Ví dụ: – Một vị tướng có thể đọc các tài liệu của một trung úy; – Nhưng một trung úy không thể đọc các tài liệu của vị tướng đó. Trang 36 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình bí mật Bell-LaPadula ❖ Nguyên tắc bảo mật tài nguyên của mô hình Bell-LaPadula: ▪ Nguyên tắc ghi lên: • Một người dùng ở mức độ bảo mật k chỉ có thể ghi các đối tượng ở cùng mức bảo mật hoặc cao hơn. • Ví dụ: – Một trung úy có thể nối thêm một tin nhắn vào hộp thư của chung về tất cả mọi thứ ông biết; – Nhưng một vị tướng không thể ghi thêm một tin nhắn vào hộp thư của trung úy với tất cả mọi thứ ông ấy biết vì vị tướng có thể đã nhìn thấy tài liệu có mức độ bảo mật cao mà không thể được tiết lộ cho một trung úy. Trang 37 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình bí mật Bell-LaPadula Mô hình Bell-LaPadula: nguyên tắc đọc xuống và ghi lên Trang 38 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình toàn vẹn Biba ❖ Mô hình Biba đảm bảo tính toàn vẹn theo cách thức tính toàn vẹn của dữ liệu bị đe dọa khi: ▪ Chủ thể ở mức toàn vẹn thấp có khả năng ghi vào đối tượng (dữ liệu) có mức toàn vẹn cao hơn và khi ▪ Chủ thể có thể đọc dữ liệu ở mức toàn vẹn thấp hơn. ❖ Mô hình Biba áp dụng hai quy tắc: ▪ Không ghi lên: Chủ thể không thể ghi dữ liệu vào đối tượng có mức toàn vẹn cao hơn; ▪ Không đọc xuống: Chủ thể không thể đọc dữ liệu có mức toàn vẹn thấp hơn. Trang 39 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình toàn vẹn Biba ❖ Mô hình Biba tương tự như Bell-LaPadula sử dụng các nhãn an ninh để biểu diễn mức độ an toàn mong muốn và kiểm soát các thao tác của chủ thể lên đối tượng. ❖ Tuy nhiên, luồng thông tin trong mô hình Biba được kiểm soát ngược với mô hình Bell-LaPadula. ▪ Các đối tượng có mức độ an ninh thấp có nghĩa là độ toàn vẹn thấp và chủ thể có mức độ an ninh cao không được sử dụng thông tin từ các đối tượng này. ▪ Nói cách khác chủ thể có yêu cầu an ninh cao không được sử dụng thông tin từ nguồn có độ tin cậy thấp. • Tình huống này có thể thấy trong việc tiếp nhận dữ liệu đầu vào của các máy chủ web, cơ sở dữ liệu hay dịch vụ hệ thống từ các nguồn không tin cậy. Trang 40 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Bell-LaPadula vs. Biba Trang 41 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình Clark-Wilson ❖ Mô hình Clark-Wilson cung cấp một cách tiếp cận khác cho vấn đề toàn vẹn dữ liệu. ❖ Mô hình này tập trung vào việc ngăn chặn người dùng sửa đổi trái phép dữ liệu. ▪ Trong mô hình này, người dùng không thao tác trực tiếp với các đối tượng mà thông qua một chương trình. ▪ Chương trình này hạn chế các thao tác người dùng được thực hiện lên đối tượng và như vậy bảo vệ tính toàn vẹn của đối tượng. Trang 42 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình Clark-Wilson ❖ Tính toàn vẹn được dựa trên nguyên tắc các công việc (thủ tục) được định nghĩa tường minh và việc tách biệt trách nhiệm. ❖ Nói cách khác, mô hình dựa trên cơ sở qui trình công việc được xây dựng một cách rõ ràng và nguyên tắc tách biệt trách nhiệm của người dùng tham gia vào qui trình xử lý công việc. Trang 43 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình Clark-Wilson Trang 44 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình kiểm soát truy cập Graham-Denning ❖ Mô hình Graham-Denning gồm 3 thành phần: ▪ Một tập các đối tượng (object) ▪ Một tập các chủ thể (subject) ▪ Một tập các quyền. ❖ Mỗi chủ thể lại gồm 2 thành phần: 1 tiến trình (process) và 1 miền (domain); ▪ Mỗi miền là 1 tập các rang buộc kiểm soát việc chủ thể truy cập đối tượng thế nào. ❖ Tập hợp các quyền chi phối cách các chủ thể có thể xử lý các đối tượng thụ động. Trang 45 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình kiểm soát truy cập Graham-Denning ❖ Mô hình Graham-Denning mô tả tám quyền bảo vệ nguyên thủy, được gọi là các lệnh, mà các chủ thể có thể thực thi để tác động lên các chủ thể hoặc đối tượng khác. ❖ Lưu ý rằng các lệnh này tương tự như các quyền mà người dùng có thể gán cho một thực thể trong các hệ điều hành hiện đại. Trang 46 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình kiểm soát truy cập Graham-Denning ❖ 8 quyền bảo vệ nguyên thủy của mô hình Graham-Denning: 1. Create object 2. Create subject 3. Delete object 4. Delete subject 5. Read access right 6. Grant access right 7. Delete access right 8. Transfer access right. Trang 47 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình Harrison-Ruzzo-Ullman ❖ Mô hình Harrison-Ruzzo-Ullman (HRU) định nghĩa một phương pháp cho phép: ▪ Thay đổi quyền truy cập của chủ thể lên đối tượng; ▪ Thêm hoặc xóa các chủ thể và đối tượng. ❖ Lý do là hệ thống thường thay đổi theo thời gian nên các trạng thái bảo vệ của nó cũng cần thay đổi. Trang 48 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình Harrison-Ruzzo-Ullman ❖ HRU được xây dựng trên 1 ma trận kiểm soát truy cập và bao gồm 1 tập các quyền chung và 1 tập cụ thể các lệnh: ▪ ▪ ▪ ▪ Create subject/create object Enter right X into Delete right X from Destroy subject/destroy object ❖ Bằng cách sử dụng tập hợp các quyền và lệnh, đồng thời giới hạn mỗi lệnh trong một thao tác duy nhất, có thể xác định nếu (if) và khi nào (when) một chủ thể cụ thể có thể có được một quyền cụ thể đối trên một đối tượng. Trang 49 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG HRU - Ma trận kiểm soát truy cập Trang 50 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình Brewer-Nash ❖ Mô hình Brewer-Nash thường được biết như là “một Bức tường Trung Hoa” (Chinese Wall) được thiết kế để ngăn chặn xung đột giữa 2 bên: ▪ Hãy tưởng tượng rằng một công ty luật đại diện cho hai người có liên quan đến một vụ tai nạn ô tô: Người này kiện người kia và công ty phải đại diện cho cả hai. ▪ Để ngăn chặn xung đột lợi ích, các luật sư cá nhân không được phép truy cập thông tin riêng tư của hai đương sự này. ❖ Các mô hình Brewer-Nash yêu cầu người dùng chọn một trong hai bộ dữ liệu xung đột, sau đó họ không thể truy cập dữ liệu xung đột đó. Trang 51 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình Brewer-Nash Trang 52 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các dạng phương pháp xác thực ❖ Xác thực dựa trên mật khẩu (Password-based authentication) ❖ Xác thực đa nhân tố (Multi-factor authentication) ❖ Xác thực sinh trắc học (Biometric authentication) ❖ Xác thực dựa trên chứng chỉ (Certificate-based authentication) ❖ Xác thực dựa trên mã thông báo (Token-based authentication) Trang 53 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Xác thực dựa trên mật khẩu ❖ Xác thực dựa trên mật khẩu là phương pháp xác thực đơn giản, dễ sử dụng, nhưng có độ an toàn thấp; ▪ Xác thực dựa trên mật khẩu dễ bị tấn công dựa trên từ điển, hoặc tấn công vét cạn, đặc biệt với các mật khẩu đơn giản. ❖ Độ an toàn của xác thực dựa trên mật khẩu phụ thuộc vào độ khó của mật khẩu: ▪ Độ dài mật khẩu ▪ Số loại ký tự sử dụng ▪ Tuổi thọ của mật khẩu. Trang 54 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Xác thực đa nhân tố ❖ Xác thực đa nhân tố là phương pháp kết hợp nhiều nhân tố xác thực người dùng: ▪ 2 nhân tố: Thẻ ATM + PIN ▪ 2 nhân tố: Vân tay + PIN ▪ 3 nhân tố : Vân tay + Thẻ truy cập + PIN ❖ Nhiều nhân tố xác thực: ▪ độ an toàn cao ▪ độ phức tạp cao ▪ đắt tiền. Trang 55 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Xác thực sinh trắc học ❖ Xác thực sinh trắc học (Biometric authentication) sử dụng các đặc điểm sinh trắc để nhận dạng và xác thực người dùng. ❖ Các đặc điểm sinh trắc thường được sử dụng gồm: ▪ ▪ ▪ ▪ ▪ ▪ Vân ngón tay (Fingerprint) Dấu tay và lòng bàn tay (Hand and palm print) Hình học bàn tay (Hand geometry) Hình học khuôn mặt (Facial geometry) Dấu võng mạc (Retinal print) Mống mắt (Iris pattern) Trang 56 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Xác thực sinh trắc học Trang 57 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Xác thực sinh trắc học ❖ Trong số tất cả các đặc điểm sinh trắc học có thể có, chỉ có ba đặc điểm của con người thường được coi là thực sự riêng (unique): ▪ Vân ngón tay (Fingerprint) ▪ Dấu võng mạc (Retinal print) ▪ Mống mắt (Iris pattern). Trang 58 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Xác thực sinh trắc học - so sánh Universality: tính phổ quát; Uniqueness: tính duy nhất; Permanence: Thường trực; Collectability: Khả năng thu thập; Performance: Hiệu năng; Acceptability: Khả năng chấp nhận; Circumvention: Sự lách luật; H : High; M : Medium; L: Low Trang 59 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Xác thực dựa trên chứng chỉ ❖ Xác thực dựa trên chứng chỉ là phương pháp xác thực sử dụng các chứng chỉ số (digital certificate) để xác thực người dùng, hoặc máy chủ; ❖ Chứng chỉ số là 1 tài liệu số do một cơ quan có thẩm quyền (CA-Certificate Authority) cấp, gồm 3 thông tin chính: ▪ Thông tin định danh của chủ thể ▪ Khóa công khai của chủ thể ▪ Chữ ký số của CA. ❖ Người dùng cung cấp chứng chỉ số khi đăng nhập vào máy chủ. ▪ Máy chủ xác minh độ tin cậy của chữ ký số và cơ quan cấp chứng chỉ. ▪ Máy chủ sử dụng mật mã để xác nhận rằng người dùng có khóa riêng chính xác được liên kết khóa công khai lưu trong chứng chỉ. Trang 60 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Xác thực dựa trên chứng chỉ Trang 61 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Xác thực dựa trên mã thông báo ❖ Xác thực dựa trên mã thông báo (token) cho phép người dùng nhập thông tin xác thực của họ một lần và đổi lại nhận được một chuỗi ký tự ngẫu nhiên được mã hóa duy nhất. ❖ Sau đó, người dùng có thể sử dụng mã thông báo để truy cập các hệ thống được bảo vệ thay vì nhập lại thông tin đăng nhập của mình. ❖ Mã thông báo chứng minh rằng người dùng đã có quyền truy cập. ❖ Các giao thức xác thực dựa trên mã thông báo, như Kerberos. Trang 62 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Xác thực dựa trên mã thông báo Trang 63 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các giao thức xác thực ❖ Các giao thức xác thực là các giao thức được sử dụng để xác thực người dùng, xác thực thiết bị, máy chủ... ❖ Các giao thức xác thực phổ biến gồm: ▪ ▪ ▪ ▪ ▪ ▪ ▪ ▪ PAP (Password authentication protocol) Kerberos LDAP (Lightweight Directory Access Protocol) OAuth2 SAML (Security Assertion Markup Language) RADIUS (Remote authentication dial-in user service) CHAP (Challenge-Handshake Authentication Protocol) EAP (Extensible authentication protocol) Trang 64 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG PAP (Password authentication protocol) ❖ Người dùng gửi username+password, máy chủ kiểm tra sự tồn tại của tài khoản ứng với username+password và trả lời. Trang 65 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Kerberos ❖ Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn; ▪ Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. ▪ Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ-máy khách (client-server) và đảm bảo nhận thực cho cả hai chiều. ❖ Giao thức được xây dựng dựa trên mật mã hóa khóa đối xứng và cần đến một bên thứ ba (Trung tâm phân phối khóa KDC) mà cả hai phía tham gia giao dịch tin tưởng; ▪ Kerberos cho phép 1 client xác thực bản thân với 1 máy chủ ứng dụng (không lưu tài khoản của client) nhờ sự hỗ trợ của KDC. Trang 66 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Kerberos Trang 67 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG LDAP (Lightweight Directory Access Protocol) ❖ LDAP là một giao thức ứng dụng cho phép truy cập và duy trì các dịch vụ thông tin thư mục phân tán qua mạng Internet; ▪ Dịch vụ thư mục đóng vai trò quan trọng trong việc phát triển các ứng dụng mạng nội bộ và Internet bằng cách cho phép chia sẻ thông tin về người dùng, hệ thống, mạng, dịch vụ và ứng dụng trên toàn mạng; ▪ Ví dụ: dịch vụ thư mục có thể cung cấp bất kỳ tập hợp bản ghi của tổ chức, thường có cấu trúc phân cấp, chẳng hạn như thư mục email của công ty. ▪ Dịch vụ Active Directory của Windows server sử dụng LDAP. Trang 68 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG LDAP (Lightweight Directory Access Protocol) Trang 69 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG OAuth2 ❖ OAuth2 là một giao thức ủy quyền cho phép các ứng dụng, chẳng hạn như Facebook, GitHub có được quyền truy cập hạn chế vào tài khoản người dùng trên dịch vụ HTTP. ❖ Nó hoạt động bằng cách ủy quyền xác thực người dùng cho dịch vụ lưu trữ tài khoản người dùng và ủy quyền cho các ứng dụng của bên thứ ba truy cập vào tài khoản người dùng đó. ❖ OAuth2 cung cấp các luồng ủy quyền cho các ứng dụng web và máy tính để bàn cũng như thiết bị di động. Trang 70 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG OAuth2 ❖ OAuth xác định bốn vai trò: ▪ Chủ sở hữu tài nguyên (Resource owner): Chủ sở hữu tài nguyên là người dùng cho phép ứng dụng truy cập vào tài khoản của họ. Quyền truy cập của ứng dụng vào tài khoản người dùng bị giới hạn trong phạm vi ủy quyền được cấp (ví dụ: quyền truy cập đọc hoặc ghi); ▪ Ứng dụng (Client): Là ứng dụng muốn truy cập vào tài khoản của người dùng. Trước khi có thể làm như vậy, nó phải được người dùng ủy quyền và việc ủy quyền đó phải được Máy chủ ủy quyền xác thực. ▪ Máy chủ ủy quyền (Authorisation server): Máy chủ ủy quyền xác minh danh tính của người dùng sau đó cấp mã thông báo truy cập cho ứng dụng. ▪ Máy chủ tài nguyên (Resource server): Máy chủ tài nguyên lưu trữ các tài khoản người dùng được bảo vệ. Trang 71 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG OAuth2 - Luồng giao thức Trang 72 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG OAuth2 ❖ Luồng giao thức: 1. 2. 3. 4. 5. 6. Ứng dụng yêu cầu ủy quyền truy cập tài nguyên dịch vụ từ người dùng. Nếu người dùng cấp phép yêu cầu ủy quyền, ứng dụng sẽ nhận được ủy quyền. Ứng dụng yêu cầu mã thông báo truy cập từ máy chủ ủy quyền bằng cách xác thực danh tính của mình và ủy quyền được cấp. Nếu danh tính của ứng dụng được xác thực và ủy quyền được cấp hợp lệ thì máy chủ ủy quyền sẽ cấp mã thông báo truy cập cho ứng dụng. Việc ủy quyền đã hoàn tất. Ứng dụng yêu cầu tài nguyên từ máy chủ tài nguyên và xuất trình mã thông báo truy cập để xác thực. Nếu mã thông báo truy cập hợp lệ, máy chủ tài nguyên sẽ cung cấp tài nguyên cho ứng dụng. Trang 73 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG OAuth2 với Facebook Trang 74 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Giao thức SAML ❖ SAML là một tiêu chuẩn mở cho trao đổi dữ liệu xác thực và ủy quyền giữa các bên, đặc biệt là giữa nhà cung cấp danh tính và nhà cung cấp dịch vụ. ▪ SAML là ngôn ngữ đánh dấu dựa trên XML để xác nhận bảo mật (các câu lệnh mà nhà cung cấp dịch vụ sử dụng để đưa ra quyết định kiểm soát quyền truy cập). ❖ SAML thường được sử dụng trong cơ chế đăng nhập một lần trên trình duyệt web (SSO). Trang 75 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Giao thức SAML Trang 76 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG RADIUS Protocol ❖ RADIUS (Dịch vụ người dùng quay số xác thực từ xa) là giao thức cho phép các máy chủ truy cập từ xa liên lạc với máy chủ trung tâm để xác thực người dùng quay số và cho phép họ truy cập vào hệ thống hoặc dịch vụ được yêu cầu. ❖ RADIUS xác thực bằng hai cách tiếp cận: ▪ Giao thức xác thực mật khẩu (PAP); ▪ Giao thức xác thực CHAP. Trang 77 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG RADIUS Protocol Trang 78 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG RADIUS Protocol Trang 79 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Giao thức CHAP ❖ CHAP (Giao thức xác thực bắt tay thử thách) là phương thức xác thực thử thách và trả lời mà máy chủ Giao thức điểm-điểm (PPP) sử dụng để xác minh danh tính của người dùng từ xa. ▪ Xác thực CHAP bắt đầu sau khi người dùng từ xa khởi tạo liên kết PPP. ❖ CHAP cho phép người dùng từ xa nhận dạng chính họ với hệ thống xác thực mà không để lộ mật khẩu của họ. Với CHAP, hệ thống xác thực sử dụng bí mật chung -- là mật khẩu -- để tạo giá trị băm mật mã bằng thuật toán MD5. Trang 80 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Giao thức PAP vs CHAP ❖ CHAP sử dụng bắt tay ba chiều để xác minh và xác thực danh tính của người dùng, trong khi PAP (Giao thức xác thực sử dụng mật khẩu) sử dụng bắt tay hai chiều để xác thực giữa người dùng từ xa và máy chủ PPP. Trang 81 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Giao thức CHAP ❖ Hoạt động của CHAP: ▪ Máy khách và máy chủ có chung một tham số bí mật (secret). Tham số bí mật có thể là mật khẩu của người dùng đã được thiết lập trong quá trình cài đặt. ▪ Sau khi liên kết được tạo, máy chủ sẽ sinh và gửi một thử thách (challenge) ngẫu nhiên đến máy khách yêu cầu kết nối. ▪ Máy khách tính giá trị hash1 = MD5(challenge + secret) và gửi giá trị này (response) lên máy chủ. ▪ Máy chủ tự tính giá trị băm hash2 = MD5(challenge + secret), trong đó challenge và secret là các giá trị lưu trên máy chủ. • Nếu hash1 = hash2, xác thực sẽ được xác nhận; nếu không, xác thực bị từ chối và kết nối bị chấm dứt. Trang 82 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG EAP Protocol ❖ EAP là một giao thức xác thực được thiết kế để hỗ trợ nhiều phương pháp xác thực; ❖ EAP chỉ định cấu trúc của giao tiếp xác thực giữa máy khách và máy chủ xác thực mà không xác định nội dung của dữ liệu xác thực. ▪ Nội dung này được xác định bằng phương pháp EAP cụ thể được sử dụng để xác thực. Các phương pháp xác thực phổ biến hỗ trợ bởi EAP có thể bao gồm: • • • • Thử thách sử dụng MD5 Mật khẩu một lần Thẻ token chung Bảo mật lớp vận chuyển (TLS). Trang 83 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG EAP Protocol Trang 84 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG 1.2 Tường lửa ❖ Khái quát về tường lửa ❖ Các dạng tường lửa ❖ Kiến trúc triển khai tường lửa ❖ Lựa chọn tường lửa ❖ Cấu hình tường lửa Trang 85 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về tường lửa ❖ Tường lửa (Firewall) là một thiết bị phần cứng hoặc một chương trình phần mềm có chức năng cơ bản là sàng lọc lưu lượng mạng nhằm mục đích ngăn chặn truy cập trái phép giữa các mạng máy tính. ▪ Như giữa mạng không đáng tin cậy như Internet và mạng đáng tin cậy như mạng nội bộ của tổ chức. ❖ Tường lửa có thể là: ▪ Một hệ thống máy tính chạy phần mềm tường lửa ▪ Một dịch vụ phần mềm chạy trên 1 router hoặc 1 máy chủ ▪ Một mạng riêng biệt có chứa một số thiết bị hỗ trợ. Trang 86 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về tường lửa Trang 87 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về FW: Sự phát triển của tường lửa ❖ Tường lửa có quá trình phát triển qua các thế hệ: ▪ Thế hệ 1: lọc đơn giản, cho phép hoặc từ chối các gói tin ở lớp 3 dựa trên header của gói, tương tự hỗ trợ danh sách kiểm soát truy cập. ▪ Thế hệ 2: hỗ trợ giám sát, lọc theo phiên, kết nối (tường lửa có trạng thái), có khả năng lọc gói đến lớp 4. ▪ Thế hệ 3: hỗ trợ khả năng lọc đến lớp 7 - lớp ứng dụng. Một số thiết bị cao cấp hỗ trợ mô hình UTM (unified threat management). ▪ Thế hệ 4: còn gọi là tường lửa thế hệ mới (NGFW), tích hợp hỗ trợ lọc đa lớp mạng, lọc nội dung, lọc mã độc, lọc lưu lượng mã hóa... ▪ Thế hệ 5: là tường lửa thế hệ mới hỗ trợ bởi học máy (ML-Powered NGFW). Dạng tường lửa này sử dụng các mô hình học máy để chủ động phát hiện nhiều dạng tấn công đã biết và chưa biết, kể cả tấn công zero-day. Trang 88 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về FW: Tường lửa thế hệ mới Trang 89 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG NGFW hỗ trợ bởi học máy (ML-Powered NGFW) Trang 90 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về FW: Các thuộc tính cần có của tường lửa ❖ Để đảm bảo hiệu quả, tường lửa phải có các thuộc tính sau: ▪ Tất cả thông tin trao đổi phải đi qua tường lửa: • Hiệu quả của tường lửa sẽ giảm đi đáng kể nếu có định tuyến mạng thay thế; • Lưu lượng truy cập trái phép có thể được gửi vòng qua tường lửa. ▪ Tường lửa chỉ cho phép lưu lượng truy cập được ủy quyền: • Nếu không thể dựa vào tường lửa để phân biệt giữa lưu lượng được ủy quyền và trái phép hoặc nếu nó được cấu hình để cho phép các liên lạc nguy hiểm hoặc không cần thiết thì tính hữu dụng của nó cũng bị giảm đi. • Trong tình huống lỗi hoặc quá tải, tường lửa phải luôn chuyển sang trạng thái từ chối hoặc đóng. --> Thà làm gián đoạn liên lạc còn hơn là để hệ thống không được bảo vệ. ▪ Tường lửa có thể tự chống lại các cuộc tấn công: • Bởi vì tường lửa dựa vào đó để ngăn chặn các cuộc tấn công và không có gì được triển khai để bảo vệ tường lửa trước các cuộc tấn công như vậy nên nó phải có khả năng chống lại các cuộc tấn công trực tiếp vào chính nó. Trang 91 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về FW: Điểm mạnh và điểm yếu của tường lửa ❖ Điểm mạnh của tường lửa: ▪ Tường lửa rất hiệu quả trong việc thực thi các chính sách bảo mật của công ty. Chúng phải được cấu hình để hạn chế truy cập ở mức chấp nhận được theo chính sách có sẵn. ▪ Tường lửa được sử dụng để hạn chế quyền truy cập vào các dịch vụ cụ thể. Ví dụ: tường lửa có thể cho phép truy cập công khai vào máy chủ web nhưng ngăn chặn quyền truy cập vào telnet và các trình nền không công khai khác. ▪ Tường lửa có mục đích duy nhất, nên không cần phải thỏa hiệp giữa tính bảo mật và khả năng sử dụng. ▪ Tường lửa hỗ trợ tốt việc kiểm toán: nếu có đủ dung lượng lưu trữ, chúng có thể ghi lại nhật ký và tất cả lưu lượng truy cập đi qua. ▪ Tường lửa nhanh chóng cảnh báo những người có trách nhiệm về các sự kiện cụ thể. Trang 92 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về FW: Điểm mạnh và điểm yếu của tường lửa ❖ Điểm yếu của tường lửa: ▪ Tường lửa không thể bảo vệ chống lại những gì đã được ủy quyền. • Tường lửa cho phép liên lạc bình thường của các ứng dụng đã được phê duyệt, nhưng nếu bản thân ứng dụng có lỗi, tường lửa sẽ không ngăn chặn cuộc tấn công vì đối với tường lửa, liên lạc được cấp phép. • Ví dụ: tường lửa cho phép email đi qua máy chủ email nhưng tường lửa sẽ không phát hiện thấy vi-rút trong email đó. ▪ Tường lửa chỉ có hiệu quả khi các luật mà chúng được cấu hình để thực thi. Một bộ luật không chặt chẽ/đầy đủ sẽ làm giảm hiệu quả của tường lửa. ▪ Tường lửa không thể ngăn chặn các cuộc tấn công sử dụng kỹ thuật xã hội hoặc người dùng được ủy quyền cố tình sử dụng quyền truy cập của họ cho mục đích xấu. ▪ Tường lửa không thể khắc phục các vấn đề, như quản trị kém hoặc các chính sách bảo mật được thiết kế kém. ▪ Tường lửa không thể ngăn chặn các cuộc tấn công nếu lưu lượng truy cập không đi qua chúng. Trang 93 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các dạng tường lửa ❖ Các dạng tường lửa hay các chế độ xử lý của tường lửa (Firewall Processing Mode), gồm: ▪ ▪ ▪ ▪ ▪ Packet-filtering firewalls (Tường lửa lọc gói) Application layer firewalls (Tường lửa lớp ứng dụng) Circuit gateways (Cổng chuyển mạch) MAC layer firewalls (Tường lửa lớp MAC / liên kết dữ liệu) Hybrid firewalls (Tường lửa lai). ❖ Các tường lửa hiện đại hầu hết đều là tường lửa lai do hầu hết đều hỗ trợ nhiều chế độ xử lý. Trang 94 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các lớp mạng và các dạng tường lửa Trang 95 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lọc gói ❖ Tường lửa lọc gói kiểm tra thông tin trong header của các gói tin đi đến 1 mạng. ❖ Tường lửa lọc gói thường được triển khai tại lớp IP của mạng TCP/IP để từ chối (chặn) hoặc cho phép các gói tin đi qua dựa trên các luật (rule) đã được cấu hình. ❖ Tường lửa kiểm tra và lọc từng gói tin dựa trên thông tin trong header của gói, như địa chỉ đích, địa chỉ nguồn, kiểu gói tin, hoặc các thông tin quan trọng khác. Trang 96 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lọc gói ❖ Các thông tin trong header của gói tin thường sử dụng để lọc bao gồm: ▪ ▪ ▪ ▪ Địa chỉ IP đích, địa chỉ IP nguồn Hướng di chuyển (đi vào, đi ra) Giao thức (với tường lửa hỗ trợ kiểm tra lớp giao thức IP) Cổng TCP/UDP nguồn, đích (với tường lửa hỗ trợ kiểm tra lớp giao thức TCP/UDP). Trang 97 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lọc gói - Router/Tưởng lửa lọc gói Trang 98 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lọc gói - Luật lọc Trang 99 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lọc gói - Các dạng lọc ❖ Tường lửa lọc gói được chia thành 3 dạng theo kỹ thuật lọc: ▪ Static filtering (Lọc tĩnh): • Các luật lọc được tạo và cài đặt sẵn trong tường lửa. • Phổ biến dưới dạng các router hoặc các gateway. ▪ Dynamic filtering (Lọc động): • Có thể phản ứng với một sự kiện mới xuất hiện và cập nhật hoặc tạo luật để xử lý sự kiện đó; • Có thể đóng hoặc mở “cửa” dựa trên thông tin trong header của gói tin. ▪ Stateful packet inspection (SPI - Kiểm tra gói có trạng thái): • Có khả năng giám sát từng kết nối mạng sử dụng bảng trạng thái. • Bảng trạng thái theo dõi trạng thái và ngữ cảnh của từng gói trong phiên giao tiếp bằng cách ghi lại trạm nào đã gửi gói nào và vào khi nào. Trang 100 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lớp ứng dụng ❖ Tường lửa lớp ứng dụng, hay còn gọi là tường lửa ứng dụng (Application firewall), cổng ứng dụng (Application gateway), hoặc máy chủ proxy (proxy server, reverse proxy) thường được cài đặt trên một máy tính chuyên dụng tách biệt với bộ định tuyến lọc (filtering router), hay tường lửa mạng (lớp 3); ▪ Mặc dù tách rời nhưng tường lửa lớp ứng dụng thường được sử dụng cùng với bộ định tuyến lọc. ❖ Các tường lửa lớp ứng dụng thường được thiết kế riêng cho từng lớp ứng dụng, như web proxy server, FTP proxy server, mail proxy server... Trang 101 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lớp ứng dụng: các proxy lớp ứng dụng Trang 102 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lớp ứng dụng: các proxy lớp ứng dụng Trang 103 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lớp ứng dụng: Web Application Firewall Trang 104 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lớp ứng dụng: Forward Proxy Trang 105 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lớp ứng dụng: Reverse Proxy Trang 106 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lớp MAC ❖ Tường lửa lớp MAC là tường lửa được thiết kế để vận hành trong lớp con MAC của lớp liên kết dữ liệu: ▪ Tường lửa lớp MAC thực hiện chức năng lọc dựa trên địa chỉ MAC của các máy (host). ▪ Tường lửa lớp MAC liên kết địa chỉ của các máy cụ thể với các mục ACL (Access Control List) xác định các loại gói cụ thể có thể được gửi đến từng máy và chặn tất cả lưu lượng truy cập khác. Trang 107 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lai ❖ Tường lửa lai là dạng tường lửa kết hợp một số dạng tường lửa khác: ▪ Lọc gói + dịch vụ proxy ▪ Lọc gói + cổng chuyển mạch. ❖ Hệ thống tường lửa lai thường gồm 2 thiết bị tường lửa riêng biệt, nhưng chúng có kết nối và làm việc song song. ▪ Ví dụ: Một hệ thống tường lửa lai gồm: • Một tường lửa lọc gói được triển khai để lọc tất cả các yêu cầu truy cập; • Các yêu cầu truy cập hợp lệ được chuyển đến máy chủ proxy để lọc ở mức ứng dụng. ❖ Ưu điểm của tường lửa lai là có thể cải thiện mức bảo vệ mà không cần thay thế toàn bộ các tường lửa hiện có. Trang 108 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Tường lửa lai - UTM ❖ Một dạng tường lửa lai được phát triển và triển khai rất mạnh là thiết bị bảo vệ toàn bộ được xây dựng bằng cách kết hợp tính năng của nhiều thiết bị mạng hiện đại; ▪ Thiết bị này có tên là Hệ thống quản lý các mối đe dọa thống nhất (Unified Threat Management (UTM)), có khả năng thực hiện tính năng của: • • • • • Tường lửa SPI NIDS / NIPS Bộ lọc nội dung Bộ lọc spam Bộ quét và lọc mã độc. Trang 109 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Unified Threat Management (UTM) ❖ Ưu điểm của UTM: ▪ Dễ triển khai và cấu hình nhờ việc chỉ cần triển khai 1 UTM để bảo vệ tổng thể, thay vì cần triển khai nhiều thiết bị, hệ thống bảo vệ. ▪ Nếu được cài đặt, cấu hình đúng chuẩn, UTM có khả năng bảo vệ tốt, từ các mối đe dọa vòng ngoài cho đến các mối đe dọa ẩn sâu trong nội dung gói tin. ❖ Nhược điểm của UTM: ▪ Có thể tạo 1 điểm lỗi duy nhất nếu thiết bị gặp sự cố kỹ thuật do cả hệ thống đều phụ thuộc vào UTM. Trang 110 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Unified Threat Management (UTM) Trang 111 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Kiến trúc triển khai tường lửa ❖ Các thiết bị tường lửa có thể được cấu hình theo nhiều kiến trúc kết nối mạng. ❖ Cấu hình tường lửa hoạt động tốt nhất cho một tổ chức cụ thể phụ thuộc vào ba yếu tố: ▪ Mục tiêu của mạng ▪ Khả năng của tổ chức trong việc phát triển và triển khai các kiến trúc, và ▪ Ngân sách dành cho chức năng phong thủ mạng. Trang 112 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Kiến trúc triển khai tường lửa ❖ Trên thực tế có hàng trăm biến thể tồn tại, nhưng tựu chung có 4 cách triển khai kiến trúc phổ biến của tường lửa: ▪ Packet-filtering routers (Bộ định tuyến lọc gói) ▪ Dual homed firewalls / bastion hosts (Tường lửa kép / máy chủ pháo đài) ▪ Screened host firewalls (Tường lửa lọc host) ▪ Screened subnet firewalls (Tường lửa lọc mạng con). Trang 113 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Packet-filtering routers ❖ Packet-filtering router thường được triển khai ở điểm kết nối giữa mạng nội bộ và mạng ngoài; ▪ Các router được cấu hình để từ chối các gói tin không được phép xâm nhập vào mạng của tổ chức; ❖ Ưu điểm: Là cách đơn giản và hiệu quả để giảm rủi ro bị tấn công từ bên ngoài; ❖ Hạn chế: ▪ Không hỗ trợ kiểm toán và cơ chế xác thực mạnh; ▪ Bộ lọc dựa trên ACL phức tạp có thể làm suy giảm hiệu năng mạng. Trang 114 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Packet-filtering routers Trang 115 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Dual homed firewalls / Bastion hosts ❖ Dạng kiến trúc này thường triển khai 1 tường lửa để cung cấp việc bảo vệ phía sau router; ❖ Tường lửa phải được triển khai in-line trên đường kết nối mạng ngoài: ▪ 1 giao diện kết nối với router ▪ 1 giao diện kết nối với switch của mạng nội bộ ==> Dual homed firewall ❖ Tường lửa dạng này thường tích hợp: ▪ NAT (Network Address Translation) ▪ PAT (Port Address Translation). Trang 116 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Dual homed firewalls / Bastion hosts Trang 117 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Screened host firewalls ❖ Dạng kiến trúc này kết hợp của: ▪ Một packet-filtering router ▪ Một tường lửa riêng, chuyên dụng, như 1 máy chủ proxy ứng dụng. Trang 118 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Screened Subnet Firewalls ❖ Dạng kiến trúc này kết hợp của 2 hoặc nhiều bastion host đứng sau packet-filtering router, trong đó mỗi bastion host bảo vệ 1 mạng. Trang 119 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Screened Subnet Firewalls Trang 120 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Lựa chọn tường lửa ❖ Khi cố gắng xác định tường lửa tốt nhất cho một tổ chức, nên xem xét các câu hỏi sau: ▪ Loại công nghệ tường lửa nào mang lại sự cân bằng phù hợp giữa khả năng bảo vệ và chi phí cho nhu cầu của tổ chức? ▪ Tường lửa với cấu hình cơ bản bao gồm những tính năng gì? Những tính năng nào có sẵn với chi phí bổ sung? Có phải tất cả các yếu tố chi phí đều được biết đến? ▪ Việc thiết lập và cấu hình tường lửa có dễ dàng không? Khả năng tiếp cận của các nhân viên kỹ thuật có thể cấu hình thành thạo tường lửa như thế nào? ▪ Tường lửa ứng viên có thể thích ứng với mạng lưới đang phát triển trong tổ chức mục tiêu không? Trang 121 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Cấu hình tường lửa ❖ Sau khi đã lựa chọn công nghệ tường lửa và kiến trúc triển khai tường lửa, cần thực hiện: ▪ Cấu hình ban đầu cho tường lửa, và ▪ Quản lý hoạt động của tường lửa. ❖ Mỗi tường lửa cần được cấu hình một tập luật (rule) riêng; ▪ Mỗi gói tin / yêu cầu truy cập được kiểm tra sử dụng tập luật để quyết định cho phép hoặc từ chối gói tin / yêu cầu truy cập. ❖ Mỗi luật cần được tạo, kiểm tra cẩn thận và đưa vào ACL của tường lửa theo đúng trật tự. ❖ Một tập luật tốt đảm bảo tường lửa thực hiện việc kiểm soát truy cập tuấn thủ chính sách bảo mật của tổ chức. Trang 122 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Luật tường lửa trong ACL Trang 123 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG 1.3 Công nghệ mạng riêng ảo ❖ Khái quát về mạng riêng ảo ❖ Các loại mạng riêng ảo ❖ Các giao thức mạng riêng ảo Trang 124 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Khái quát về mạng riêng ảo ❖ Mạng riêng ảo (Virtual Private Network - VPN) là một mạng riêng được xây dựng trên nền tảng 1 mạng công cộng như Internet sử dụng các kỹ thuật định tuyến và mật mã; ❖ Các thuộc tính quan trọng của VPN: ▪ Mạng riêng (Private network): Dữ liệu truyền trong mạng được đảm bảo tính riêng tư (bí mật, toàn vẹn, xác thực) - các bên không có thẩm quyền không thể truy cập. • Sử dụng các kỹ thuật mật mã để đảm bảo tính riêng tư về dữ liệu. ▪ Mạng ảo (Virtual network): Là mạng logic được xây dựng trên nền tảng mạng khác, như các mạng WAN hoặc Internet. • Sử dụng các kỹ thuật định tuyến để tạo mạng ảo. Trang 125 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mô hình VPN Trang 126 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Phương thức làm việc của VPN ❖ Mục tiêu của VPN là tạo ra một kênh truyền thông bảo mật thông qua 1 mạng, thường là tạo 1 kênh riêng thông qua Internet; ▪ Lưu lượng mạng được mã hóa và đóng gói với phần header gồm các thông tin giúp định tuyến gói tin đến đích. ❖ VPN sử dụng kỹ thuật tạo đường hầm để định tuyến lưu lượng mạng riêng. Trang 127 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Lợi ích của việc sử dụng VPN ❖ Sử dụng VPN có những lợi ích sau: ▪ Giữ an toàn truy cập: VPN bảo mật thông tin liên lạc trên internet, cũng như bảo vệ bạn khỏi các mối đe dọa trực tuyến như lừa đảo, gian lận và tin tặc. ▪ Bảo vệ dữ liệu: VPN bảo mật thông tin liên lạc của bạn bằng cách mã hóa và gửi thông tin trao đổi qua 1 đường hầm ảo. ▪ Truy cập nội dung bị chặn: Sử dụng VPN, bạn có thể ẩn địa chỉ IP của mình và thay đổi vị trí của mình từ quốc gia này sang quốc gia khác, đồng thời truy cập các trang web và dịch vụ bị chặn được kiểm duyệt ở quốc gia của bạn. ▪ Tiết kiệm: Có thể sử dụng VPN để tiết kiệm tiền. Nhiều trang TMĐT như Amazon hiển thị các mức giá khác nhau cho các quốc gia khác nhau. Giả sử giá iPhone là 1000 đô la ở quốc gia của bạn nhưng là 800 đô la ở Dubai, chỉ cần thay đổi vị trí của bạn bằng cách sử dụng VPN và đặt mua nó. ▪ Bảo mật ở mức chấp nhận được: Dịch vụ VPN có thể mua chỉ với vài đô la. Và có thể bỏ chặn bất kỳ trang web nào và giữ cho kết nối của bạn ẩn danh & an toàn. VPN rẻ hơn đáng kể so với các dạng gói bảo mật khác. Thay vì thuê chuyên gia bảo mật, bạn có thể sử dụng VPN để bảo mật mạng của mình. Trang 128 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Ưu điểm và Nhược điểm của VPN ❖ Ưu điểm: ▪ ▪ ▪ ▪ ▪ Bỏ chặn trang web và bỏ qua bộ lọc Bỏ qua các hạn chế truy cập theo khu vực địa lý Thay đổi địa chỉ IP của bạn Ẩn danh và quyền riêng tư trực tuyến Bảo mật nâng cao: ẩn danh tính, dữ liệu mã hóa. ❖ Nhược điểm: ▪ ▪ ▪ ▪ Làm chậm kết nối của bạn VPN ghi lại hoạt động của bạn Một số dịch vụ trực tuyến chặn truy cập từ VPN. Chi phí: VPN miễn phí thường chậm và có hạn mức sử dụng. Người dùng cần trả phí cho các gói thuê bao. Trang 129 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các loại mạng riêng ảo ❖ Các loại mạng riêng ảo thường gồm: ▪ ▪ ▪ ▪ Remote Access VPN (VPN truy cập từ xa) Site to Site VPN (VPN kết nối mạng - mạng) Cloud VPN (VPN đám mây) Mobile VPN (VPN di động). Trang 130 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Remote Access VPN ❖ Thường được sử dụng cho người dùng từ xa kết nối đến mạng riêng, như: ▪ Người dùng từ xa kết nối về mạng gia đình; ▪ Nhân viên từ xa kết nối về mạng công ty. Trang 131 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Site to Site VPN ❖ Thường được sử dụng để tạo kết nối riêng giữa 2 mạng qua 1 mạng công cộng, như kết nối mạng từ 1 hoặc nhiều chi nhánh về trụ sở chính. ❖ Các dạng Site to Site VPN: ▪ Intranet based VPN: VPN kết nối mạng các VP của 1 đơn vị. ▪ Extranet based VPN: VPN kết nối mạng của đơn vị này với mạng của đơn vị khác. Trang 132 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Cloud VPN ❖ Cho phép người dùng/ hoặc 1 mạng kết nối VPN đến hạ tầng hoặc dịch vụ đám mây. Trang 133 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Mobile VPN ❖ Cho phép người dùng kết nối VPN đến 1 mạng riêng sử dụng mạng di động. Trang 134 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Các giao thức mạng riêng ảo ❖ Các giao thức mạng riêng ảo: ▪ ▪ ▪ ▪ ▪ PPTP L2TP / IPSec OpenVPN WireGuard SSTP (Secure Socket Tunneling Protocol) ❖ Các giao thức bảo mật dữ liệu: ▪ IPSec (sẽ học ở chương 2) ▪ SSL/TLS (sẽ học ở chương 2). Trang 135 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Giao thức PPTP ❖ PPTP (Point-to-Point Tunneling Protocol) là một giao thức mạng cho phép truyền dữ liệu an toàn từ 1 máy khách ở xa đến 1 máy chủ riêng bằng cách tạo một VPN trên các mạng TCP/IP. ❖ PPTP hỗ trợ mạng riêng ảo, đa giao thức, theo yêu cầu trên các mạng công cộng như Internet. ❖ PPTP là một mở rộng của giao thức truy cập từ xa PPP (Point-to-Point Protocol): ▪ PPTP sử dụng một kênh điều khiển TCP và một đường hầm GRE để đóng gói gói tin PPP trong IP datagram để truyền trên mạng Internet. Trang 136 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Giao thức PPTP ❖ Việc triển khai PPTP liên quan đến 3 máy tính: ▪ Một máy khách PPTP ▪ Một máy chủ truy cập mạng ▪ Một máy chủ PPTP Trang 137 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Máy khách kết nối quay số đến mạng riêng ❖ Việc mã hóa dữ liệu trong PPTP dựa vào PPP: ▪ PPP sử dụng hệ mã hóa khóa bí mật để mã hóa - giải mã dữ liệu ▪ Khóa chung cho mã hóa - giải mã được trao đổi sử dụng giao thức RAS (Remote Access Service). Bản cài đặt của Microsoft- MS-RAS hỗ trợ các giao thức xác thực PAP, CHAP, MS-CHAP. Trang 138 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Giao thức L2TP ❖ L2TP (Layer 2 Tunneling Protocol) là giao thức tạo đường hầm được sử dụng để tạo các VPN; ▪ L2TP hoạt động ở lớp mạng 2, chỉ tạo đường hầm truyền các gói tin, không tích hợp sẵn các tính năng bảo mật dữ liệu. ▪ L2TP sử dụng các giao thức mật mã như IPSec để bảo mật dữ liệu truyền • --> L2TP/IPSec VPN sử dụng kết hợp L2TP với IPSec; • --> L2TP/ PPP VPN sử dụng kết hợp L2TP với PPP. ❖ L2TP kết hợp các tính năng nổi bật của 2 giao thức: ▪ PPTP của Microsoft ▪ L2F của Cisco. Trang 139 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Giao thức L2TP ❖ Hai thành phần đầu cuối chính của L2TP gồm: ▪ L2TP access concentrator (LAC): bộ tập trung truy cập (từ máy khách) là thiết bị khởi tạo đường hầm. ▪ L2TP network server (LNS): máy chủ mạng L2TP. Trang 140 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG OpenVPN ❖ OpenVPN là một giao thức và hệ thống VPN cung cấp các kỹ thuật cho phép tạo các kết nối bảo mật điểm-điểm hoặc mạng-mạng. ❖ OpenVPN bao gồm máy khách VPN và máy chủ VPN. ❖ OpenVPN sử dụng thư viện mật mã OpenSSL và giao thức TLS để cung cấp tính năng bảo mật dữ liệu. ❖ OpenVPN cũng hỗ trợ NAT và tường lửa. ❖ OpenVPN đã được triển khai trên các phần cứng và cả phần mềm. Trang 141 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG WireGuard ❖ WireGuard là một giao thức truyền thông và phần mềm hỗ trợ VPN bảo mật; ❖ WireGuard vận hành trên giao thức UDP, được thiết kế dễ sử dụng, hiệu năng cao và bề mặt tấn công thấp; ❖ WireGuard sử dụng nhiều giao thức/thuật toán mật mã cho bảo mật dữ liệu: ▪ Curve25519 để trao đổi khóa ▪ ChaCha20 mã hóa / giải mã dữ liệu (khóa đối xứng) ▪ Poly1305 để tạo và kiểm tra mã xác thực thông điệp. Trang 142 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG So sánh các giao thức VPN Trang 143 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG 1.4 Honeypot và honeynet ❖ Honeypot: Hệ thống bẫy, mồi nhử được thiết kế để thu hút kẻ tấn công tiềm năng tránh xa các hệ thống quan trọng. ❖ Honeynet: Một tập hợp các hệ thống honeypot kết nối trên một phân đoạn mạng. ❖ Honeypot hoặc Honeynet chứa các dịch vụ giả mô phỏng các dịch vụ thực nhưng được định cấu hình theo cách khiến nó có vẻ dễ bị tấn công. ▪ Sự kết hợp này nhằm mục đích thu hút những kẻ tấn công lộ diện ▪ Ý tưởng là một khi các tổ chức đã phát hiện ra những kẻ tấn công này, họ có thể bảo vệ mạng của mình tốt hơn trước các cuộc tấn công trong tương lai nhắm vào tài sản thực. Trang 144 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Honeypot và honeynet Trang 145 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Honeypot và honeynet Trang 146 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Honeypot và honeynet ❖ Các honeypot được thiết kế để thực hiện các nhiệm vụ: ▪ Chuyển hướng kẻ tấn công khỏi các hệ thống quan trọng. ▪ Thu thập thông tin về hoạt động của kẻ tấn công. ▪ Khuyến khích kẻ tấn công ở lại hệ thống đủ lâu để quản trị viên ghi lại sự kiện và có thể phản hồi. Trang 147 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Phân loại Honeypot Trang 148 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Phân loại Honeypot ❖ Theo mục đích sử dụng (Purpose): ▪ Để nghiên cứu (Research) ▪ Để ứng dụng thực tế (Production) ❖ Theo mức độ tương tác: ▪ ▪ ▪ ▪ Thuần túy (Pure) Tương tác thấp (Low interaction) Tương tác trung bình (Mid interaction) Tương tác cao (High interaction) ❖ Theo miền chức năng: ▪ ▪ ▪ ▪ Để bẫy thư rác (Spam) Để bẫy cơ sở dữ liệu (Database) Để bẫy mã độc (Malware) Để tạo Honeynet (Honeynet). Trang 149 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Honeypot và honeynet ❖ Các dạng triển khai Honeypot: ▪ Honeypot thuần túy là các hệ thống hoàn chỉnh giám sát các cuộc tấn công thông qua việc dò lỗi trên liên kết kết nối honeypot với mạng. Các hệ thống này không quá phức tạp. ▪ Honeypot có mức độ tương tác thấp thực hiện bắt chước các dịch vụ và hệ thống thực để thu hút sự chú ý của tội phạm. Chúng cung cấp một phương pháp thu thập dữ liệu từ các cuộc tấn công mù, như các botnet và sâu mạng. ▪ Honeypot có tính tương tác trung bình và cao gồm các thiết lập phức tạp hoạt động giống như hạ tầng sản xuất thực sự. Chúng không hạn chế mức độ hoạt động của tội phạm mạng, cung cấp thông tin chuyên sâu về an ninh mạng. • Đòi hỏi yêu cầu bảo trì cao hơn và yêu cầu chuyên môn cũng như sử dụng các công nghệ bổ sung như máy ảo để đảm bảo kẻ tấn công không thể truy cập vào hệ thống thực. Trang 150 BÀI GIẢNG MÔN HỌC AN TOÀN MẠNG NÂNG CAO CHƯƠNG 1 – CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO AN TOÀN MẠNG Honeypot và honeynet ❖ Hạn chế của Honeypot: ▪ Không thể phát hiện các vi phạm bảo mật trong các hệ thống hợp pháp ▪ Không phải lúc nào cũng xác định được kẻ tấn công. ▪ Ngoài ra còn có rủi ro là sau khi khai thác thành công honeypot, kẻ tấn công có thể di chuyển ngang để xâm nhập vào mạng sản xuất thực. ❖ Để ngăn chặn vấn đề kẻ tấn công có thể di chuyển ngang để xâm nhập vào mạng sản xuất thực sau khi khai thác thành công honeypot, cần đảm bảo rằng Honeypot được cách ly đầy đủ với mạng sản xuất thực. Trang 151