Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT

Bài 4:
Bảo mật máy chủ, ứng dụng, dữ liệu và
mạng

Củng cố lại bài 3
Các hình thức tấn công vào ứng dụng
+ Tấn công vào ứng dụng Web (XSS, SQL Injection, XML
Injection…)
+ Tấn công phía máy khách (Xử lý phần đầu của HTTP…)
+ Tấn công làm tràn vùng đệm
Các hình thức tấn công vào mạng
+ Từ chối dịch vụ (Lũ PING...)
+ Can thiệp (Kẻ đứng giữa...)
+ Đầu độc (Đầu độc ARP...)
+ Tấn công vào quyền truy cập
5 bước trong quá trình đánh giá thiệt hại
Các kỹ thuật và công cụ đánh giá
Các hình thức tấn công vào ứng dụng
+ Tấn công vào ứng dụng Web (XSS, SQL Injection, XML
Injection…)
+ Tấn công phía máy khách (Xử lý phần đầu của HTTP…)
+ Tấn công làm tràn vùng đệm
Các hình thức tấn công vào mạng
+ Từ chối dịch vụ (Lũ PING...)
+ Can thiệp (Kẻ đứng giữa...)
+ Đầu độc (Đầu độc ARP...)
+ Tấn công vào quyền truy cập
5 bước trong quá trình đánh giá thiệt hại
Các kỹ thuật và công cụ đánh giá
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 2

Mục tiêu của bài học
Liệt kê các bước để bảo mật cho máy chủ
Định nghĩa bảo mật cho ứng dụng
Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất
thoát dữ liệu (DLP)
Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất
thoát dữ liệu (DLP)
Liệt kê các loại thiết bị bảo mật mạng khác nhau và giải thích cách sử
dụng những thiết bị đó
Định nghĩa quá trình chuyển đổi địa chỉ và điều khiển truy cập mạng
Giải thích phương thức tăng cường bảo mật thông qua thiết kế mạng

Các yếu tố quan trọng
cần được bảo mật
Các yếu tố quan trọng cần được bảo mật
Máy chủ (host) (máy chủ của mạng hoặc máy khách)
Ứng dụng (application)
Dữ liệu (data)
Mạng (network)
Các yếu tố quan trọng cần được bảo mật
Máy chủ (host) (máy chủ của mạng hoặc máy khách)
Ứng dụng (application)
Dữ liệu (data)
Mạng (network)

Bảo mật máy chủ (2/2)
Bảo mật cho máy chủ bao gồm:
Bảo mật các thiết bị vật lý (SV tự đọc)
Bảo mật phần mềm hệ điều hành
Bảo mật bằng phần mềm chống phần mềm độc hại
Giám sát nhật ký hệ thống (SV tự đọc)

Bảo mật phần mềm
hệ điều hành (1/5)
Quá trình năm bước để bảo mật cho hệ điều hành
Phát triển chính sách bảo mật
Tạo đường cơ sở cho phần mềm máy chủ
Cấu hình bảo mật hệ điều hành và các cài đặt
Triển khai các cài đặt
Thực thi việc quản lý các bản vá
Quá trình năm bước để bảo mật cho hệ điều hành
Cấu hình bảo mật hệ điều hành và các cài đặt

Các tài liệu xác định cơ chế bảo mật của tổ chức
Đường cơ sở: tiêu chuẩn hay danh mục kiểm tra để đánh
giá hệ thống
Các thiết lập cấu hình được áp dụng cho từng máy tính
trong tổ chức
Chính sách bảo mật xác định phải bảo vệ cái gì, đường
cơ sở xác định bảo vệ như thế nào?
Các tài liệu xác định cơ chế bảo mật của tổ chức
Đường cơ sở: tiêu chuẩn hay danh mục kiểm tra để đánh
giá hệ thống
Các thiết lập cấu hình được áp dụng cho từng máy tính
trong tổ chức
Chính sách bảo mật xác định phải bảo vệ cái gì, đường
cơ sở xác định bảo vệ như thế nào?

Cấu hình bảo mật hệ điều hành (HĐH) và các cài đặt
HĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau,
có thể sử dụng để điều chỉnh cho phù hợp với đường cơ
sở.
Cấu hình đường cơ sở tiêu biểu
Thay đổi các thiết lập mặc định không an toàn
Loại bỏ các phần mềm, dịch vụ, giao thức không cần thiết
Kích hoạt các chức năng bảo mật, ví dụ như tường lửa
Cấu hình bảo mật hệ điều hành (HĐH) và các cài đặt
HĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau,
có thể sử dụng để điều chỉnh cho phù hợp với đường cơ
sở.
Cấu hình đường cơ sở tiêu biểu
Thay đổi các thiết lập mặc định không an toàn
Loại bỏ các phần mềm, dịch vụ, giao thức không cần thiết
Kích hoạt các chức năng bảo mật, ví dụ như tường lửa

Mẫu bảo mật: tập các thiết lập cấu hình bảo mật
Quá trình triển khai các thiết lập có thể được tự động hóa
Chính sách nhóm (Group policy)
Một tính năng của Windows cho phép quản lý tập trung hệ
thống máy tính
Một cấu hình đơn lẻ có thể được triển khai tới nhiều người
dùng
Mẫu bảo mật: tập các thiết lập cấu hình bảo mật
Quá trình triển khai các thiết lập có thể được tự động hóa
Chính sách nhóm (Group policy)
Một tính năng của Windows cho phép quản lý tập trung hệ
thống máy tính
Một cấu hình đơn lẻ có thể được triển khai tới nhiều người
dùng

Các hệ điều hành hiện nay đều có khả năng tự động thực
hiện cập nhật
Đôi khi các bản vá có thể làm nảy sinh những vấn đề mới
Dịch vụ cập nhật bản vá tự động
Quản lý các bản vá trên máy cục bộ thay vì phụ thuộc vào
dịch vụ cập nhật bản vá trực tuyến của nhà cung cấp
Dịch vụ cập nhật bản vá tự động có nhiều ưu điểm (*)
Các hệ điều hành hiện nay đều có khả năng tự động thực
hiện cập nhật
Đôi khi các bản vá có thể làm nảy sinh những vấn đề mới
Dịch vụ cập nhật bản vá tự động
Quản lý các bản vá trên máy cục bộ thay vì phụ thuộc vào
dịch vụ cập nhật bản vá trực tuyến của nhà cung cấp
Dịch vụ cập nhật bản vá tự động có nhiều ưu điểm (*)

Bảo mật bằng phần mềm
chống phần mềm độc hại
Các phần mềm chống phần mềm độc hại của bên thứ
ba có thể cung cấp thêm sự bảo mật.
Nhóm này bao gồm:
Phần mềm chống vi rút
Phần mềm chống thư rác
Phần mềm phong tỏa pop-up
Tường lửa dựa trên máy chủ
Các phần mềm chống phần mềm độc hại của bên thứ
ba có thể cung cấp thêm sự bảo mật.
Nhóm này bao gồm:
Phần mềm chống vi rút

Phần mềm diệt vi rút
Phần mềm diệt virus
Phần mềm kiểm tra một máy tính có bị tiêm nhiễm virus
hay không
Quét các tài liệu mới có thể chứa virus
Tìm kiếm các mẫu virus đã được biết trước
Nhược điểm của phần mềm diệt virus
Nhà cung cấp phải liên tục tìm các virus mới, cập nhật và
phân phối các file chữ ký (signature file) tới người dùng
Phương pháp khác: giả lập mã (code emulation)
Các mã khả nghi được thực thi trong một môi trường ảo
Phần mềm diệt virus
Phần mềm kiểm tra một máy tính có bị tiêm nhiễm virus
hay không
Quét các tài liệu mới có thể chứa virus
Tìm kiếm các mẫu virus đã được biết trước
Nhược điểm của phần mềm diệt virus
Nhà cung cấp phải liên tục tìm các virus mới, cập nhật và
phân phối các file chữ ký (signature file) tới người dùng
Phương pháp khác: giả lập mã (code emulation)
Các mã khả nghi được thực thi trong một môi trường ảo

Những kẻ gửi thư rác có thể phát tán phần mềm độc hại
thông qua các thư điện tử có file đính kèm
Thư rác có thể được sử dụng trong các cuộc tấn công
dùng kỹ nghệ xã hội
Các phương thức lọc thư rác
Lọc Bayesian
Lọc trên máy chủ cục bộ
Danh sách đen
Danh sách trắng
Chặn các kiểu file đính kèm khả nghi
Những kẻ gửi thư rác có thể phát tán phần mềm độc hại
thông qua các thư điện tử có file đính kèm
Thư rác có thể được sử dụng trong các cuộc tấn công
dùng kỹ nghệ xã hội
Các phương thức lọc thư rác
Lọc Bayesian
Lọc trên máy chủ cục bộ
Danh sách đen
Danh sách trắng
Chặn các kiểu file đính kèm khả nghi

Pop-up
Một cửa sổ xuất hiện trên Web site
Thường do các nhà quảng cáo tạo ra
Một chương trình riêng biệt, giống như một phần của gói
phần mềm chống phần mềm gián điệp
Được tích hợp vào trong trình duyệt
Cho phép người dùng hạn chế hoặc ngăn chặn hầu hết
các cửa sổ pop-up
Có thể hiển thị cảnh báo trong trình duyệt
Cho phép người dùng có thể lựa chọn để hiển thị pop-up
Pop-up
Một cửa sổ xuất hiện trên Web site
Thường do các nhà quảng cáo tạo ra
Một chương trình riêng biệt, giống như một phần của gói
phần mềm chống phần mềm gián điệp
Được tích hợp vào trong trình duyệt
Cho phép người dùng hạn chế hoặc ngăn chặn hầu hết
các cửa sổ pop-up
Có thể hiển thị cảnh báo trong trình duyệt
Cho phép người dùng có thể lựa chọn để hiển thị pop-up

Tường lửa (firewall)
Được thiết kế nhằm ngăn chặn các gói tin độc hại truy cập
hoặc gửi đi từ máy tính
Có thể dựa trên phần cứng hoặc phần mềm
Phần mềm tường lửa dựa trên máy chủ hoạt động trên hệ
thống cục bộ
Tường lửa trong Microsoft Windows 7
Ba kiểu thiết lập dành cho các mạng: public, home, hoặc
work
Người dùng có thể cấu hình các thiết lập riêng cho từng
kiểu mạng
Tường lửa (firewall)
Được thiết kế nhằm ngăn chặn các gói tin độc hại truy cập
hoặc gửi đi từ máy tính
Có thể dựa trên phần cứng hoặc phần mềm
Phần mềm tường lửa dựa trên máy chủ hoạt động trên hệ
thống cục bộ
Tường lửa trong Microsoft Windows 7
Ba kiểu thiết lập dành cho các mạng: public, home, hoặc
work
Người dùng có thể cấu hình các thiết lập riêng cho từng
kiểu mạng

Bảo mật ứng dụng
Bảo mật việc phát triển ứng dụng
Đường cơ sở trong cấu hình ứng dụng (SV tự đọc)
Khái niệm viết mã an toàn (SV tự đọc)
Tôi luyện ứng dụng và Quản lý bản vá

Tôi luyện ứng dụng
và Quản lý bản vá (1/2)
Tôi luyện ứng dụng (Application Hardening)
Nhằm ngăn chặn khai thác lỗ hổng
Tấn công Mô tả Ngăn chặn
Tấn công các
file thực thi
Lừa đảo các ứng dụng sơ hở để
điều chỉnh hoặc tạo ra các file
thực thi trên hệ thống
Ngăn không cho ứng dụng
tạo hay điều chỉnh các file
thực thi
Lừa đảo các ứng dụng sơ hở để
điều chỉnh hoặc tạo ra các file
thực thi trên hệ thống
Ngăn không cho ứng dụng
tạo hay điều chỉnh các file
thực thi
Giả mạo hệ
thống
Lợi dụng ứng dụng sơ hở để
chỉnh sửa các khu vực đặc biệt
nhạy cảm của hệ điều hành và
sau đó khai thác các điều chỉnh
đó
Không cho phép ứng dụng
chỉnh sửa các vùng đặc biệt
của hệ điều hành
Điều khiển
việc sinh ra
các tiến trình
Lừa đảo ứng dụng sơ hở để sinh
ra các file thực thi trên hệ thống
Loại bỏ khả năng sinh ra tiến
trình của ứng dụng

Tôi luyện ứng dụng
và Quản lý bản vá (2/2)
Quản lý bản vá
Ít được quan tâm cho tới thời gian gần đây
Người dùng không biết sự tồn tại của các bản vá hay vị trí
để lấy được các bản vá
Hiện nay, nhiều hệ thống quản lý bản vá ứng dụng đang
được phát triển
Quản lý bản vá
Ít được quan tâm cho tới thời gian gần đây
Người dùng không biết sự tồn tại của các bản vá hay vị trí
để lấy được các bản vá
Hiện nay, nhiều hệ thống quản lý bản vá ứng dụng đang
được phát triển

Bảo mật dữ liệu (1/2)
Hiện nay, quá trình làm việc liên quan rất nhiều tới hợp
tác điện tử
Dữ liệu phải lưu thông tự do
Đảm bảo an toàn dữ liệu là điều rất quan trọng
Ngăn chặn mất mát dữ liệu
Hệ thống các công cụ đảm bảo an toàn được sử dụng để
nhận diện và xác định các dữ liệu quan trọng và đảm bảo
sự an toàn cho những dữ liệu đó
Mục tiêu: bảo vệ dữ liệu khỏi những người dùng trái phép
Hiện nay, quá trình làm việc liên quan rất nhiều tới hợp
tác điện tử
Dữ liệu phải lưu thông tự do
Đảm bảo an toàn dữ liệu là điều rất quan trọng
Ngăn chặn mất mát dữ liệu
Hệ thống các công cụ đảm bảo an toàn được sử dụng để
nhận diện và xác định các dữ liệu quan trọng và đảm bảo
sự an toàn cho những dữ liệu đó
Mục tiêu: bảo vệ dữ liệu khỏi những người dùng trái phép

Bảo mật dữ liệu (2/2)
Ngăn chặn mất mát dữ liệu thường kiểm tra:
Dữ liệu đang sử dụng (ví dụ: đang được in)
Dữ liệu đang di chuyển (đang truyền nhận)
Dữ liệu đang được lưu trữ (ví dụ: DVD)
Kiểm tra nội dung
Phân tích sự an toàn của quá trình giao dịch
Ngăn chặn mất mát dữ liệu thường kiểm tra:
Dữ liệu đang sử dụng (ví dụ: đang được in)
Dữ liệu đang di chuyển (đang truyền nhận)
Dữ liệu đang được lưu trữ (ví dụ: DVD)
Kiểm tra nội dung
Phân tích sự an toàn của quá trình giao dịch

Bảo mật mạng
Không phải tất cả các ứng dụng đều chú trọng đến việc
bảo mật trong quá trình thiết kế và viết mã
+ Chính vì vậy mạng cần được bảo vệ
Những mạng bảo mật yếu là mục tiêu thu hút những kẻ
tấn công
Các khía cạnh của việc xây dựng một mạng bảo mật:
Thiết bị mạng tiêu chuẩn (SV tự đọc)
Phần cứng bảo mật mạng
Bảo mật thông qua công nghệ mạng
Bảo mật thông qua thành phần thiết kế mạng
Không phải tất cả các ứng dụng đều chú trọng đến việc
bảo mật trong quá trình thiết kế và viết mã
+ Chính vì vậy mạng cần được bảo vệ
Những mạng bảo mật yếu là mục tiêu thu hút những kẻ
tấn công
Các khía cạnh của việc xây dựng một mạng bảo mật:
Thiết bị mạng tiêu chuẩn (SV tự đọc)
Bảo mật thông qua công nghệ mạng
Bảo mật thông qua thành phần thiết kế mạng

Các thiết bị phần cứng được thiết kế đặc biệt
Bảo mật tốt hơn so với các thiết bị mạng thông thường
Các dạng phần cứng bảo mật mạng
Tường lửa (Firewall)
Ủy nhiệm (Proxy) (SV tự đọc)
Bộ lọc thư rác (Spam Filter)
Bộ góp mạng riêng ảo (SV tự đọc)
Bộ lọc nội dung Internet (Internet Content Filter)
Cổng bảo mật Web (Web Security Gateway)
Phát hiện và ngăn chặn việc thâm nhập
Thiết bị bảo mật mạng tất cả trong một
Các thiết bị phần cứng được thiết kế đặc biệt
Bảo mật tốt hơn so với các thiết bị mạng thông thường
Các dạng phần cứng bảo mật mạng
Ủy nhiệm (Proxy) (SV tự đọc)
Bộ lọc thư rác (Spam Filter)
Bộ góp mạng riêng ảo (SV tự đọc)
Bộ lọc nội dung Internet (Internet Content Filter)
Cổng bảo mật Web (Web Security Gateway)
Phát hiện và ngăn chặn việc thâm nhập
Thiết bị bảo mật mạng tất cả trong một

Tường lửa (1/3)
Có chức năng kiểm tra các gói tin
Có thể chấp nhận hoặc từ chối gói tin
Thường được đặt bên ngoài vành đai bảo mật mạng
Các hành động của tường lửa đối với một gói tin
Cho phép (cho phép gói tin đi qua)
Chặn (loại bỏ gói tin)
Nhắc nhở (yêu cầu người dùng lựa chọn hành động)
Các thiết lập dựa trên nguyên tắc của tường lửa
Tập các chỉ dẫn để điều khiển hành động
Tường lửa dựa trên các thiết lập
Cho phép quản trị viên tạo ra các tham số
Có chức năng kiểm tra các gói tin
Có thể chấp nhận hoặc từ chối gói tin
Thường được đặt bên ngoài vành đai bảo mật mạng
Các hành động của tường lửa đối với một gói tin
Cho phép (cho phép gói tin đi qua)
Chặn (loại bỏ gói tin)
Nhắc nhở (yêu cầu người dùng lựa chọn hành động)
Các thiết lập dựa trên nguyên tắc của tường lửa
Tập các chỉ dẫn để điều khiển hành động
Tường lửa dựa trên các thiết lập
Cho phép quản trị viên tạo ra các tham số

Các phương pháp lọc gói tin của tường lửa
Lọc gói tin không dựa vào trạng thái (stateless packet
filtering)
Kiểm tra các gói tin gửi đến và cho phép hoặc từ chối gói tin
dựa trên các điều kiện do quản trị viên thiết lập
Lọc gói tin dựa vào trạng thái (stateful packet filtering)
Lưu giữ bản ghi trạng thái của kết nối
Đưa ra quyết định dựa trên kết nối và các điều kiện
Các phương pháp lọc gói tin của tường lửa
Lọc gói tin không dựa vào trạng thái (stateless packet
filtering)
Kiểm tra các gói tin gửi đến và cho phép hoặc từ chối gói tin
dựa trên các điều kiện do quản trị viên thiết lập
Lọc gói tin dựa vào trạng thái (stateful packet filtering)
Lưu giữ bản ghi trạng thái của kết nối
Đưa ra quyết định dựa trên kết nối và các điều kiện

Tường lửa ứng dụng Web
Kiểm tra sâu hơn cấu trúc bên trong của gói tin truyền tải
HTTP
Các trình duyệt Web
FTP
Telnet
Có thể chặn các web site xác định hoặc những kiểu tấn
công đã được biết trước
Có thể chặn tấn công tiêm nhiễm XSS và SQL
Tường lửa ứng dụng Web
Kiểm tra sâu hơn cấu trúc bên trong của gói tin truyền tải
HTTP
Các trình duyệt Web
FTP
Telnet
Có thể chặn các web site xác định hoặc những kiểu tấn
công đã được biết trước
Có thể chặn tấn công tiêm nhiễm XSS và SQL

Bộ lọc thư rác (1/3)
Bộ lọc thư rác (spam filter)
Các bộ lọc thư rác cấp doanh nghiệp có thể chặn các thư
rác trước khi chúng đi tới máy chủ
Các hệ thống email sử dụng hai giao thức
Simple Mail Transfer Protocol (SMTP)
Xử lý mail gửi đi
Post Office Protocol (POP)
Xử lý mail gửi đến
Bộ lọc thư rác (spam filter)
Các bộ lọc thư rác cấp doanh nghiệp có thể chặn các thư
rác trước khi chúng đi tới máy chủ
Các hệ thống email sử dụng hai giao thức
Simple Mail Transfer Protocol (SMTP)
Xử lý mail gửi đi
Post Office Protocol (POP)
Xử lý mail gửi đến

Các bộ lọc thư rác được cài đặt với máy chủ SMTP
Bộ lọc được cấu hình để “nghe ngóng” tại cổng 25
Những thư điện tử không phải thư rác được chuyển tới
máy chủ SMTP đang “nghe ngóng” tại một cổng khác
Phương pháp ngăn không cho máy chủ SMTP gửi lại thông
báo cho kẻ gửi thư rác biết việc phân phát thư rác bị thất
bại
Các bộ lọc thư rác được cài đặt với máy chủ SMTP
Bộ lọc được cấu hình để “nghe ngóng” tại cổng 25
Những thư điện tử không phải thư rác được chuyển tới
máy chủ SMTP đang “nghe ngóng” tại một cổng khác
Phương pháp ngăn không cho máy chủ SMTP gửi lại thông
báo cho kẻ gửi thư rác biết việc phân phát thư rác bị thất
bại

Bộ lọc thư rác được cài đặt trên máy chủ POP 3
Trước tiên, tất cả thư rác phải truyền qua máy chủ SMTP,
sau đó chúng được chuyển tới hộp thư của người dùng
Có thể làm tăng chi phí
Lưu trữ, truyền dẫn, sao lưu, xóa hủy
Lọc thư rác thông qua hợp đồng với một đối tác thứ ba
Tất cả thư điện tử được đi qua một bộ lọc thư rác từ xa
của đối tác thứ ba
Thư điện tử được “làm sạch” trước khi chuyển tiếp tới tổ
chức
Bộ lọc thư rác được cài đặt trên máy chủ POP 3
Trước tiên, tất cả thư rác phải truyền qua máy chủ SMTP,
sau đó chúng được chuyển tới hộp thư của người dùng
Có thể làm tăng chi phí
Lưu trữ, truyền dẫn, sao lưu, xóa hủy
Lọc thư rác thông qua hợp đồng với một đối tác thứ ba
Tất cả thư điện tử được đi qua một bộ lọc thư rác từ xa
của đối tác thứ ba
Thư điện tử được “làm sạch” trước khi chuyển tiếp tới tổ
chức

Bộ lọc nội dung Internet
Kiểm soát lưu lượng mạng Internet
Chặn truy cập tới các web site và file được lựa chọn trước
Các web site bị chặn được xác định thông qua URL hoặc
thông qua đối chiếu từ khóa

Cổng bảo mật Web
Cổng bảo mật Web (We security gateway)
Có thể chặn các nội dung độc hại trong thời gian thực
Chặn nội dung thông qua việc lọc ở cấp ứng dụng
Ví dụ về lưu lượng Web bị chặn
Các đối tượng ActiveX
Phần mềm quảng cáo, phần mềm gián điệp
Việc chia sẻ dữ liệu ngang hàng (peer-to-peer)
Khai thác mã kịch bản
Cổng bảo mật Web (We security gateway)
Có thể chặn các nội dung độc hại trong thời gian thực
Chặn nội dung thông qua việc lọc ở cấp ứng dụng
Ví dụ về lưu lượng Web bị chặn
Các đối tượng ActiveX
Phần mềm quảng cáo, phần mềm gián điệp
Việc chia sẻ dữ liệu ngang hàng (peer-to-peer)
Khai thác mã kịch bản

Phát hiện và ngăn
chặn thâm nhập
Bảo mật thụ động và bảo mật chủ động có thể được áp
dụng trong mạng
Các biện pháp chủ động đem lại mức an toàn cao hơn
Biện pháp thụ động
Tường lửa
Hệ thống phát hiện thâm nhập (IDS)
Biện pháp bảo mật chủ động
Có thể phát hiện tấn công ngay khi nó xảy ra
Các khía cạnh của IDS
Các phương pháp giám sát
Các dạng IDS
Bảo mật thụ động và bảo mật chủ động có thể được áp
dụng trong mạng
Các biện pháp chủ động đem lại mức an toàn cao hơn
Biện pháp thụ động
Tường lửa
Hệ thống phát hiện thâm nhập (IDS)
Biện pháp bảo mật chủ động
Có thể phát hiện tấn công ngay khi nó xảy ra
Các khía cạnh của IDS
Các dạng IDS

Các phương pháp giám sát (monitoring methodology)
Giám sát dựa trên sự bất thường (anomaly-based
monitoring)
So sánh hành vi phát hiện được với đường cơ sở
Giám sát dựa trên chữ ký (signature-based monitoring )
Tìm kiếm các đặc điểm, dấu hiệu đặc trưng của tấn công
Giám sát dựa trên hành vi (behavior-based monitoring)
Phát hiện các hành vi bất thường của tiến trình hay chương
trình
Cảnh báo người dùng để họ đưa ra quyết định chặn hay
cho phép hành vi
Giám sát kiểu tự khám phá (heuristic monitoring)
Sử dụng các kỹ thuật dựa trên kinh nghiệm
Các phương pháp giám sát (monitoring methodology)
Giám sát dựa trên sự bất thường (anomaly-based
monitoring)
So sánh hành vi phát hiện được với đường cơ sở
Giám sát dựa trên chữ ký (signature-based monitoring )
Tìm kiếm các đặc điểm, dấu hiệu đặc trưng của tấn công
Giám sát dựa trên hành vi (behavior-based monitoring)
Phát hiện các hành vi bất thường của tiến trình hay chương
trình
Cảnh báo người dùng để họ đưa ra quyết định chặn hay
cho phép hành vi
Giám sát kiểu tự khám phá (heuristic monitoring)
Sử dụng các kỹ thuật dựa trên kinh nghiệm

Các dạng IDS (1/4)
Hệ thống phát hiện xâm nhập máy chủ (Host Intrusion
Detection System - HIDS)
Ứng dụng phần mềm có chức năng phát hiện tấn công khi
xảy ra
Được cài đặt trên từng hệ thống cần sự bảo vệ
Giám sát các lời gọi và truy cập file hệ thống
Có thể nhận dạng hành vi điều chỉnh Registry trái phép
Giám sát tất cả thông tin giao tiếp đầu vào và đầu ra
Phát hiện các hành vi bất thường
Hệ thống phát hiện xâm nhập máy chủ (Host Intrusion
Detection System - HIDS)
Ứng dụng phần mềm có chức năng phát hiện tấn công khi
xảy ra
Được cài đặt trên từng hệ thống cần sự bảo vệ
Giám sát các lời gọi và truy cập file hệ thống
Có thể nhận dạng hành vi điều chỉnh Registry trái phép
Giám sát tất cả thông tin giao tiếp đầu vào và đầu ra
Phát hiện các hành vi bất thường

Nhược điểm của HIDS
Không thể giám sát các lưu lượng mạng không hướng tới
hệ thống cục bộ
Tất cả dữ liệu nhật ký (log) được lưu trữ trên máy cục bộ
Tiêu tốn tài nguyên và có thể làm chậm hệ thống

Hệ thống phát hiện xâm nhập mạng (Network Intrusion
Detection System - NIDS)
Theo dõi tấn công trên mạng
Các cảm biến NIDS được cài đặt trên tường lửa và bộ định
tuyến:
Thu thập thông tin và báo cáo về thiết bị trung tâm
NIDS thụ động sẽ phát âm thanh báo động
NIDS chủ động sẽ phát âm thanh báo động, đồng thời
thực hiện hành động ứng phó
Hành động ứng phó có thể bao gồm việc tìm ra địa chỉ IP
của kẻ xâm nhập hoặc kết thúc phiên TCP
Hệ thống phát hiện xâm nhập mạng (Network Intrusion
Detection System - NIDS)
Theo dõi tấn công trên mạng
Các cảm biến NIDS được cài đặt trên tường lửa và bộ định
tuyến:
Thu thập thông tin và báo cáo về thiết bị trung tâm
NIDS thụ động sẽ phát âm thanh báo động
NIDS chủ động sẽ phát âm thanh báo động, đồng thời
thực hiện hành động ứng phó
Hành động ứng phó có thể bao gồm việc tìm ra địa chỉ IP
của kẻ xâm nhập hoặc kết thúc phiên TCP

Kỹ thuật Mô tả
Kiểm tra ngăn xếp giao
thức
Một số cuộc tấn công sử dụng các giao thức
IP, TCP, UDP hoặc ICMP không hợp lệ; kiểm
tra ngăn xếp giao thức có thể xác định và
báo hiệu các gói tin không hợp lệ
Kiểm tra giao thức ứng
dụng
Một số vụ tấn công cố ý sử dụng hành vi
giao thức không hợp lệ hoặc có dấu hiệu gây
hại (như đầu độc DNS); NIDS sẽ thực hiện
lại các giao thức ứng dụng khác nhau để tìm
ra mẫu
Các kỹ thuật
đánh giá của NIDS
Kiểm tra giao thức ứng
dụng
Một số vụ tấn công cố ý sử dụng hành vi
giao thức không hợp lệ hoặc có dấu hiệu gây
hại (như đầu độc DNS); NIDS sẽ thực hiện
lại các giao thức ứng dụng khác nhau để tìm
ra mẫu
Tạo các file log mở rộng NIDS có thể ghi lại file log đối với các sự
kiện bất thường, sau đó các hệ thống giám
sát ghi nhật ký mạng khác có thể sử dụng
những file nhật ký

Hệ thống ngăn chặn xâm nhập mạng (Network Intrusion
Prevention - NIPS)
Tương tự NIDS
Giám sát lưu lượng mạng để ngay lập tức ngăn chặn tấn
công gây nguy hại
Các cảm biến NIPS được đặt bên trong tường lửa
Hệ thống ngăn chặn xâm nhập mạng (Network Intrusion
Prevention - NIPS)
Tương tự NIDS
Giám sát lưu lượng mạng để ngay lập tức ngăn chặn tấn
công gây nguy hại
Các cảm biến NIPS được đặt bên trong tường lửa

Thiết bị bảo mật mạng
tất cả trong một
Các thiết bị bảo mật mạng tất cả trong một
Một thiết bị tích hợp thay thế cho nhiều thiết bị bảo mật
Xu hướng gần đây:
Kết hợp các thiết bị bảo mật đa năng với thiết bị truyền
thống như bộ định tuyến
Ưu điểm của phương pháp
Khi thiết bị mạng xử lý xong các gói tin
Bộ chuyển mạch (switch) chứa phần mềm anti-malware kiểm
tra các gói tin và chặn lại trước khi chuyển đi để không bị lây
nhiễm toàn mạng
Các thiết bị bảo mật mạng tất cả trong một
Một thiết bị tích hợp thay thế cho nhiều thiết bị bảo mật
Xu hướng gần đây:
Kết hợp các thiết bị bảo mật đa năng với thiết bị truyền
thống như bộ định tuyến
Ưu điểm của phương pháp
Khi thiết bị mạng xử lý xong các gói tin
Bộ chuyển mạch (switch) chứa phần mềm anti-malware kiểm
tra các gói tin và chặn lại trước khi chuyển đi để không bị lây
nhiễm toàn mạng

Bảo mật thông qua
các công nghệ mạng (1/2)
• Các bộ định tuyến mạng thường loại bỏ các gói tin
có địa chỉ riêng (private)
Quá trình chuyển đổi địa chỉ mạng (NAT)
Cho phép sử dụng các địa chỉ IP riêng trên mạng Internet
Thay thế địa chỉ IP cá nhân bằng địa chỉ public
Chuyển đổi địa chỉ cổng (PAT)
Biến thể của NAT
Các gói tin gửi đi có cùng địa chỉ IP nhưng khác nhau về số
cổng TCP
• Các bộ định tuyến mạng thường loại bỏ các gói tin
có địa chỉ riêng (private)
Quá trình chuyển đổi địa chỉ mạng (NAT)
Cho phép sử dụng các địa chỉ IP riêng trên mạng Internet
Thay thế địa chỉ IP cá nhân bằng địa chỉ public
Chuyển đổi địa chỉ cổng (PAT)
Biến thể của NAT
Các gói tin gửi đi có cùng địa chỉ IP nhưng khác nhau về số
cổng TCP

Bảo mật thông qua
các công nghệ mạng (2/2)
Các ưu điểm của NAT
Che dấu địa chỉ IP của các thiết bị trong nội bộ
Cho phép nhiều thiết bị chia sẻ chung một số ít các địa chỉ
IP public
Điều khiển truy cập mạng (NAC)
Kiểm tra trạng thái hiện tại của hệ thống hay thiết bị
mạng:
Trước khi cho phép kết nối mạng
Thiết bị phải đáp ứng một tập tiêu chuẩn
Nếu không đáp ứng, NAC sẽ cho phép client kết nối tới một
mạng cách ly, cho tới khi các thiếu sót được khắc phục
Các ưu điểm của NAT
Che dấu địa chỉ IP của các thiết bị trong nội bộ
Cho phép nhiều thiết bị chia sẻ chung một số ít các địa chỉ
IP public
Kiểm tra trạng thái hiện tại của hệ thống hay thiết bị
mạng:
Trước khi cho phép kết nối mạng
Thiết bị phải đáp ứng một tập tiêu chuẩn
Nếu không đáp ứng, NAC sẽ cho phép client kết nối tới một
mạng cách ly, cho tới khi các thiếu sót được khắc phục

Bảo mật thông qua các
thành phần thiết kế mạng
Các phần tử trong một thiết kế mạng an toàn
Khu phi quân sự
Phân chia mạng con
Mạng LAN ảo
Truy cập từ xa

Khu phi quân sự (1/2)
Khu phi quân sự (Demilitarized Zone - DMZ)
Một mạng riêng được đặt bên ngoài vành đai của một
mạng bảo mật
Những người dùng không đủ tin cậy bên ngoài có thể
truy cập vào DMZ nhưng không thể truy cập được mạng
bảo mật bên trong
Có thể dùng DMZ với một hoặc hai tường lửa.
Khu phi quân sự (Demilitarized Zone - DMZ)
Một mạng riêng được đặt bên ngoài vành đai của một
mạng bảo mật
Những người dùng không đủ tin cậy bên ngoài có thể
truy cập vào DMZ nhưng không thể truy cập được mạng
bảo mật bên trong
Có thể dùng DMZ với một hoặc hai tường lửa.

Khu phi quân sự (2/2)

Phân chia mạng con (1/2)
Các địa chỉ IP có thể được phân tách tại bất kỳ vị trí nào
trong 32 bit độ dài
Một mạng có thể được chia thành phần
Mạng
Mạng con
Máy chủ
Mỗi một mạng có thể chứa nhiều mạng con
Mỗi một mạng con có thể chứa nhiều máy chủ
Nâng cao bảo mật cho mạng thông qua việc cách ly các
nhóm máy chủ
Cho phép quản trị viên che giấu cấu trúc mạng nội bộ
Các địa chỉ IP có thể được phân tách tại bất kỳ vị trí nào
trong 32 bit độ dài
Một mạng có thể được chia thành phần
Mạng
Mạng con
Máy chủ
Mỗi một mạng có thể chứa nhiều mạng con
Mỗi một mạng con có thể chứa nhiều máy chủ
Nâng cao bảo mật cho mạng thông qua việc cách ly các
nhóm máy chủ
Cho phép quản trị viên che giấu cấu trúc mạng nội bộ

Phân chia mạng con (2/2)

Ưu điểm Giải thích
Giảm lưu lượng mạng Các tin quảng cáo gửi tới các máy chủ mạng thường
bị hạn chế vào các mạng con riêng lẻ
Linh động Số mạng con và máy chủ trong mỗi mạng con có
thể được tùy chỉnh cho từng tổ chức, và dễ dàng
thay đổi khi cần thiết
Cải thiện khả năng gỡ lỗi Truy vết các vấn đề trên mạng con nhanh và dễ
dàng hơn so với một mạng lớn
Ưu điểm của việc
phân chia mạng con
Cải thiện khả năng gỡ lỗi Truy vết các vấn đề trên mạng con nhanh và dễ
dàng hơn so với một mạng lớn
Cải thiện việc khai thác
địa chỉ
Do mạng được phân thành các mạng con nên giúp
giảm số địa chỉ IP rác
Tối thiểu hóa ảnh hưởng
tới các bộ định tuyến
bên ngoài
các bộ định tuyến bên ngoài không phải cập nhật
khi có các thay đổi xảy ra
Phản ánh mạng vật lý Các máy chủ có thể được nhóm với nhau thành các
mạng con, giúp phản ánh chính xác hơn cách thức
chúng được tổ chức trong mạng vật lý

Tóm tắt (1/2)
Chính sách bảo mật phải được xây dựng, do đó một
đường cơ sở cần được thiết lập
Phần mềm chống phần mềm độc hại của hãng thứ ba
có thể giúp nâng cao tính bảo mật
Bảo mật ứng dụng hoạt động trên phần cứng
Ngăn chặn mất mát dữ liệu (DLP) có thể nhận diện dữ
liệu quan trọng, kiểm soát và bảo vệ dữ liệu đó
Chính sách bảo mật phải được xây dựng, do đó một
đường cơ sở cần được thiết lập
Phần mềm chống phần mềm độc hại của hãng thứ ba
có thể giúp nâng cao tính bảo mật
Bảo mật ứng dụng hoạt động trên phần cứng
Ngăn chặn mất mát dữ liệu (DLP) có thể nhận diện dữ
liệu quan trọng, kiểm soát và bảo vệ dữ liệu đó

Tóm tắt (2/2)
Các thiết bị phần cứng được thiết kế riêng cho bảo mật
đem lại mức độ bảo mật cao hơn
Hệ thống phát hiện xâm nhập được thiết kế nhằm phát
hiện tấn công khi nó xảy ra
Công nghệ mạng có thể giúp bảo mật cho mạng
Dịch địa chỉ mạng (NAT)
Các phương pháp thiết kế một mạng bảo mật bao gồm
Khu phi quân sự
Các thiết bị phần cứng được thiết kế riêng cho bảo mật
đem lại mức độ bảo mật cao hơn
Hệ thống phát hiện xâm nhập được thiết kế nhằm phát
hiện tấn công khi nó xảy ra
Công nghệ mạng có thể giúp bảo mật cho mạng
Dịch địa chỉ mạng (NAT)
Các phương pháp thiết kế một mạng bảo mật bao gồm
Khu phi quân sự

Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (16)

Semelhante a Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT

Semelhante a Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT (20)

Mais de MasterCode.vn

Mais de MasterCode.vn (20)

Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT