Tải bản đầy đủ (.pdf) (127 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

An toàn mạng máy tính và giải pháp xác thực người dùng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (7.3 MB, 127 trang )

LỜI CAM ĐOAN
Tôi xin cam đoan Luận văn Thạc sĩ kỹ thuật này là do tôi nghiên cứu và
đƣợc thực hiện dƣới sự hƣớng dẫn khoa học của TS.Trần Minh Trung. Các kết quả
do tôi tự nghiên cứu và tham khảo từ các nguồn tài liệu cũng nhƣ các công trình
nghiên cứu khoa học khác đƣợc trích dẫn đầy đủ. Nếu có vấn đề về sai phạm bản
quyền, tôi xin hoàn toàn chịu trách nhiệm trƣớc Nhà trƣờng.
Hà Nội, ngày 20 tháng 04 năm 2015
Học viên

Nguyễn Quý Linh

1


LỜI CẢM ƠN
Để hoàn thành Luận văn Thạc sĩ của mình, em xin gửi lời cảm ơn chân thành
đến Ban Giám Hiệu, Viện Đào Tạo Sau Đại Học, Viện Điện Tử Viễn Thông và các
Giảng viên trƣờng Đại Học Bách khoa Hà Nội đã nhiệt tình truyền đạt những kiến
thức quý báu cho em trong suốt quá trình học tập và hoàn thành Luận văn Thạc sĩ.
Em xin gửi lời cảm ơn tới TS. Trần Minh Trung – Ngƣời trực tiếp chỉ bảo,
hƣớng dẫn em trong suốt quá trình nghiên cứu và hoàn thành Luận văn Thạc sĩ.
Em xin chân thành cảm ơn các anh, chị đồng nghiệp tại Phòng Hạ tầng Công
nghệ thông tin Công ty cổ phần tin học Viễn Thông – Hàng Không (AITS) đã giúp
đỡ em trong suốt quá trình thực hiện đề tài.
Sau cùng tôi xin gửi lời biết ơn sâu sắc đến ngƣời thân trong gia đình đã luôn
tạo điều kiện tốt nhất cho tôi trong suốt quá trình học cũng nhƣ thực hiện luận văn
Do thời gian có hạn và kinh nghiệm nghiên cứu khoa học chƣa nhiều nên
luận văn còn nhiều thiếu soát, rất mong nhận đƣợc ý kiến góp ý của Thầy/Cô và các
anh chị học viên cũng nhƣ các đồng nghiệp.
Hà Nội, ngày 20 tháng 04 năm 2015
Học viên



Nguyễn Quý Linh

2


MỤC LỤC
LỜI CAM ĐOAN .......................................................................................................1
LỜI CẢM ƠN .............................................................................................................2
MỤC LỤC ...................................................................................................................3
DANH MỤC CÁC HÌNH VẼ.....................................................................................7
DANH MỤC CÁC CHỮ VIẾT TẮT .........................................................................9
DANH MỤC CÁC BẢNG........................................................................................11
MỞ ĐẦU ...................................................................................................................12
Chƣơng 1 - TỔNG QUAN VỀ AN NINH MẠNG ..................................................13
1.1.

Mạng máy tính và các vấn đề phát sinh .....................................................13

1.1.1.

Sự cần thiết phải có an ninh mạng trong một hệ thống mạng ............13

1.1.2.

Xác định nguy cơ đối với hệ thống mạng ...........................................15

1.1.3.

Đo lƣờng mức độ nguy cơ của một hệ thống mạng............................16


1.2.

Quá trình thăm dò tấn công ........................................................................17

1.2.1.

Thăm dò (Reconnaissace) ...................................................................17

1.2.2.

Quét hệ thống (Scanning) ...................................................................18

1.2.3.

Chiếm quyền điều khiển (Gainning access) .......................................18

1.2.4.

Duy trì điều khiển hệ thống (Maitaining access) ................................18

1.2.5.

Xoá dấu vết (Clearning tracks) ...........................................................19

1.3.

Các biện pháp bảo mật mạng .....................................................................19

1.3.1.


Mã hoá, nhận dạng, chứng thực ngƣời dùng và phần quyền sử dụng 19

1.3.2.

Bảo mật máy trạm ...............................................................................25

1.3.3.

Bảo mật truyền thông ..........................................................................26

1.4.

Các công nghệ và kỹ thuật bảo mật............................................................27

1.4.1.

Bảo mật bằng firewall .........................................................................27

1.4.2.

Bảo mật bằng VPN .............................................................................28

1.4.3.

Bảo mật bằng IDS (Phát hiện tấn công) .............................................29

1.4.4.

Bảo mật ứng dụng ...............................................................................29


1.4.5.

Thống kê tài nguyên............................................................................31

Chƣơng 2 - TỔNG QUAN VỀ VPN ........................................................................32
3


2.1.

Định nghĩa VPN .........................................................................................32

2.2.

Lợi ích của VPN .........................................................................................33

2.3.

Các thành phần cần thiết để tạo kết nối VPN.............................................33

2.4.

Các giao thức VPN .....................................................................................33

2.4.1.

L2TP....................................................................................................34

2.4.2.


GRE.....................................................................................................34

2.4.3.

IPSec ...................................................................................................34

2.4.4.

Point to Point Tunneling Protocol (PPTP) ..........................................35

Chƣơng 3 - TỔNG QUAN VỀ AAA VÀ CẤU HÌNH AAA TRÊN CISCO ASA
FIREWALL...............................................................................................................37
3.1.

Định nghĩa AAA ........................................................................................37

3.1.1.

Xác thực (Authentication)...................................................................38

3.1.2.

Uỷ quyền (Authorization) ...................................................................38

3.1.3.

Kiểm toán (Accounting) .....................................................................39

3.2.


Giao thức sử dụng trong dịch vụ AAA ......................................................39

3.3.

Dịch vụ AAA trên CISCO ASA FIREWALL ...........................................45

3.3.1.

Đặc điểm của AAA trên ASA FIREWALL .......................................45

3.3.2.

Cấu hình xác thực ...............................................................................46

3.3.3.

Cấu hình uỷ quyền ..............................................................................52

3.3.4.

Cấu hình kiểm toán .............................................................................52

Chƣơng 4 - NETWORK ACCESS SERVER ...........................................................53
4.1.

RouterOS ....................................................................................................53

4.1.1.


Hệ Điều Hành RouterOS ....................................................................53

4.1.2.

Kiến trúc phần cứng ............................................................................53

4.1.3.

Định tuyến (Router) ............................................................................53

4.1.4.

Tƣờng lửa (Firewall) ...........................................................................53

4.1.5.

Quản lý Truy cập Mạng Công Cộng (Hotspot Gateway) ...................54

4.1.6.

Máy chủ Ủy thác Web (Web Proxy Server) .......................................55

4.1.7.

Chất lƣợng Dịch vụ (QoS) ..................................................................56

4.1.8.

Phần mềm Quản lý Thiết bị - The Dude .............................................56


4.1.9.

Cấu hình Thiết bị ................................................................................56
4


4.1.10.

Đẩy dữ liệu (Forwarding) ................................................................56

4.1.11.

Giao thức MPLS..............................................................................57

4.1.12.

VPN .................................................................................................57

4.1.13.

Mạng Không Dây (Wireless) ..........................................................57

4.1.14.

Công cụ hỗ trợ .................................................................................58

4.1.15.

Giấy phép (License) ........................................................................58


4.2.

Cisco secure ACS .......................................................................................59

4.2.1.

Vì sao lại có Cisco Secure ACS.........................................................59

4.2.2.

Một số chức năng AAA nhúng vào trong Cisco Secure ACS ............64

4.2.3.

Cấu trúc của Cisco Secure ACS..........................................................69

4.2.4.

Cách thức hoạt động của Cisco Secure ACS .....................................71

4.2.5.

Lộ trình triển khai Cisco Secure ACS ................................................75

4.3.

So sánh RouterOS, Cisco secure ACS và các sản phẩm khác ...................76

Chƣơng 5 - ỨNG DỤNG TRIỂN KHAI ACS VÀO HỆ THỐNG MẠNG CỦA
VIETNAM AIRLINES .............................................................................................78

5.1.

Thực trạng hệ thống hiện tại.......................................................................78

5.1.1.

Thực trạng về tài khoản quản trị các thiết bị mạng ............................78

5.1.2.

Thực trạng hệ thống VPN ...................................................................78

5.2.

Triển khai Cisco Secure ACS vào mạng Vietnamairlines .........................79

5.3.

Dự kiến kết quả đạt đƣợc ...........................................................................80

5.4.

Mô hình triển khai ......................................................................................80

5.5.

Các công cụ thực hiện mô phỏng ...............................................................81

5.6.


Các bƣớc cài đặt cấu hình hệ thống............................................................81

5.6.1.

Cấu hình cơ bản cho ASA...................................................................81

5.6.2. Cấu hình thông tin xác thực trên AAA server sử dụng phần mềm
Cisco secure ACS ..............................................................................................84
5.6.3.

Tiến hành kiểm tra xác thực................................................................99

5.6.4.

Tạo kết nối VPN ...............................................................................101

5.6.5.

Cấu hình xác thực cho VPN trên ACS..............................................103

5.6.6.

Kiểm tra kết nối VPN .......................................................................118

5.7.

Kết quả .....................................................................................................123
5



KẾT LUẬN ............................................................................................................124
TÀI LIỆU THAM KHẢO.......................................................................................125
PHỤ LỤC ................................................................................................................126
Phụ lục A - Các group hiện có ............................................................................126

6


DANH MỤC CÁC HÌNH VẼ
Hình 1-1 Quá trình đánh giá nguy cơ của hệ thống ............................................................. 15
Hình 1-2 Quá trình thăm dò vào một hệ thống mạng .......................................................... 17
Hình 1-3 Quét trộm đối với cổng không hoạt động ............................................................. 18
Hình 1-4 Đối với cổng hoạt động ........................................................................................ 18
Hình 1-5 Quá trình mã hoá .................................................................................................. 19
Hình 1-6 Mô hình giải thuật băm......................................................................................... 20
Hình 1-7 Giải thuật mã hoá đồng bộ/đối xứng .................................................................... 21
Hình 1-8 Giải thuật mã hóa không đồng bộ/không đối xứng .............................................. 22
Hình 1-9 Chứng thực bằng user và password ...................................................................... 23
Hình 1-10 Hoạt động của CHAP ......................................................................................... 23
Hình 1-11 Mã hóa Kerberos ................................................................................................ 24
Hình 1-12 Bảo mật FTP ....................................................................................................... 26
Hình 1-13 Mô hình tổng quát firewall ................................................................................. 28
Hình 1-14 Bảo mật bằng VPN ............................................................................................. 29
Hình 1-15 Hệ thống chống xâm nhập IDS .......................................................................... 29
Hình 1-16 Thƣ điện tử ......................................................................................................... 30
Hình 1-17 Thống kê tài nguyên bằng Monitoring ............................................................... 31
Hình 2-1 Mô hình mạng VPN.............................................................................................. 32
Hình 2-2 Mô hình L2TP ...................................................................................................... 34
Hình 2-3 Mô hình IPSEC..................................................................................................... 35
Hình 2-4 Mô hình PPTP ...................................................................................................... 35

Hình 3-1 Mô hình AAA chung ............................................................................................ 37
Hình 3-2 Các giao thức cho dịch vụ AAA........................................................................... 39
Hình 3-3 Định dạng gói tin .................................................................................................. 41
Hình 3-4 Gói tin RADIUS ................................................................................................... 44
Hình 3-5 Mô tả tiến trình sử dụng Virtual http .................................................................... 51
Hình 4-1 Mô hình mạng doanh nghiệp ................................................................................ 60
Hình 4-2 Quản lý truy cập đơn giản .................................................................................... 61
Hình 4-3 Giải pháp AAA của Cisco .................................................................................... 63
Hình 4-4 Các loại cơ sở dữ liệu đƣợc hỗ trợ........................................................................ 66
Hình 4-5 Tính năng phân quyền .......................................................................................... 67
Hình 4-6 Tính năng quản lý cấu hình thiết bị ...................................................................... 68
Hình 4-7 Cấu trúc chức năng ............................................................................................... 69
Hình 4-8 Các service của ACS ............................................................................................ 70
Hình 4-9 Cách thức hoạt động ............................................................................................. 71
Hình 4-10 Các bƣớc cụ thể .................................................................................................. 72
Hình 4-11 Xử lý đối với User .............................................................................................. 73
Hình 4-12 Hình 4-13 Xử lý đối với User Unknown ............................................................ 74
Hình 4-14 Lộ trình triển khai ACS ...................................................................................... 76
Hình 5-1 Băng thông sử dụng trung bình ............................................................................ 79
Hình 5-2 Số peer mỗi hệ thống tại Gia Lâm ........................................................................ 79
Hình 5-3 Mô hình sử dụng firewall và AAA Server ........................................................... 80
Hình 5-4 Mô hình mô phỏng trên VMware Workstation .................................................... 81
Hình 5-5 Kiểm tra kết nối từ ASA đến các thiết bị khác ..................................................... 83
Hình 5-6 Join ACS vào Actice Directory ............................................................................ 85
Hình 5-7 Join ACS vào Actice Directory ............................................................................ 85
7


Hình 5-8 Join ACS vào Actice Directory ............................................................................ 86
Hình 5-9 Tạo tài khoản ........................................................................................................ 87

Hình 5-10 Tạo Location ....................................................................................................... 87
Hình 5-11 Tạo Device Type ................................................................................................ 88
Hình 5-12 Add Firewall ASA .............................................................................................. 89
Hình 5-13 Tạo Identity Groups ............................................................................................ 90
Hình 5-14 Tạo Users Local .................................................................................................. 90
Hình 5-15 Tạo Shell Profiles ............................................................................................... 91
Hình 5-16 Tạo Shell Profiles ............................................................................................... 92
Hình 5-17 Tạo Shell Profiles ............................................................................................... 93
Hình 5-18 Tạo Identity Store Sequences ............................................................................. 94
Hình 5-19 Tạo Access Services ........................................................................................... 95
Hình 5-20 Tạo Access Services ........................................................................................... 95
Hình 5-21 Chọn Identity Source .......................................................................................... 96
Hình 5-22 Chọn Authorization ............................................................................................ 97
Hình 5-23 Chọn Authorization ............................................................................................ 98
Hình 5-24 Chọn Rule cho Access Service đang chạy ......................................................... 99
Hình 5-25 Kiểm tra xác thực truy cập ASA với server chứng thực là AAA Server ......... 100
Hình 5-26 Kiểm tra quá trình chứng thực bằng Wireshack ............................................... 100
Hình 5-27 Khai báo AAA Clients...................................................................................... 104
Hình 5-28 Khai báo AAA Clients...................................................................................... 105
Hình 5-29 Tạo User ........................................................................................................... 106
Hình 5-30 Tạo User ........................................................................................................... 107
Hình 5-31 Tạo User ........................................................................................................... 107
Hình 5-32 Tạo Downloadable ACLs ................................................................................. 108
Hình 5-33 Tạo Downloadable ACLs ................................................................................. 109
Hình 5-34 Tạo Downloadable ACLs ................................................................................. 109
Hình 5-35 Tạo Access Services ......................................................................................... 110
Hình 5-36 Tạo Access Services ......................................................................................... 111
Hình 5-37 Cấu hình Identity .............................................................................................. 112
Hình 5-38 Cấu hình Authorization - Cusomize ................................................................. 113
Hình 5-39 Cấu hình Authorization - Rule ......................................................................... 114

Hình 5-40 Cấu hình Authorization - Rule ......................................................................... 115
Hình 5-41 Cấu hình Authorization .................................................................................... 116
Hình 5-42 Cấu hình Rule default ....................................................................................... 116
Hình 5-43 Tạo Service Selection Rules ............................................................................. 117
Hình 5-44 Tạo Service Selection Rules ............................................................................. 118

8


DANH MỤC CÁC CHỮ VIẾT TẮT
DDoS
IDS
SQL
DNS
MD5
SHA-1
DES
3DES
AES
RSA

DSA
Diffie-Hellman
CHAP

KDC
TGS
AS
CA
PKI

FTP
SSH
VPN
HTML
SMTP
PVC

Distributed denial of
service
Intrusion detection
system
Structured Query
Language
Domain Name System
Message Digest 5
Secure Hash
Algorithm
Data Encryption
Standard
Triple DES
Advanced Encryption
Standard
Ron Rivest, Adi
Shamir, and Leonard
Adleman
Digital Signature
Standard
W.Diffie and
Dr.M.E.Hellman
Challenge Hanshake

Authentication
Protocol
key distribution center
ticket granting server
authentication server
Certificates Authority
Public Key
Infrastructure
Transfer Protocol
Secure Shell
Virtual Private
Network
HyperText Markup
Language
Simple Mail Transfer
Protocol
Permanent Virtual
Circuit
9

Tấn công từ chối dịch vụ
Hệ thống phát hiện xâm nhập
Ngôn ngữ truy vấn
Phân giải tên miền
Thuật toán tóm lƣợc tin báo 5
Hàm băm
Mã hóa dữ liệu tiêu chuẩn
Mã hóa dữ liệu tiêu chuẩn 3 lần
Mã hóa dữ liệu nâng cao
(tên riêng)

Chữ ký số tiêu chuẩn
(tên riêng)
Giao thức xác thực bắt tay hai
bƣớc
Trung tâm phân phối khóa
Máy chủ cấp vé
Máy chủ xác thực
Chứng chỉ bảo mật
Cơ sở hạ tầng khóa công khai
Giao thức truyền dẫn
Shell bảo mật
Mạng riêng ảo
Ngôn ngữ đánh dấu siêu văn bản
Giao thức gửi mail đơn giản
Vòng chuyển mạch ảo


L2TP
L2F
IPSec
EAP

RAS
WAN
ESP
IETF
OSI

ISAKMP


SPD
DMZ
PSTN
VoIP
ACL
NAT
PAT
ACS
IEEE

LEAP

OTP

Layer 2 Tunneling
Protocol
Layer 2 Forwarding
Internet Protocol
Security
Extensible
Authentication
Protocol
Remote Access Server
Wide area network
Encapsulation Security
Payload
Internet Engineering
Task Force
Open Systems
Interconnection

Reference Model
Internet Security
Association and Key
Management Protocol
Security Policy
Database
Demilitarized zone
Public switched
telephone network
Voice over Internet
Protocol
Access control list
Network address
translation
Port Address
Translation
Access Control Server
Institute of Electrical
and Electronics
Engineers
Lightweight
Extensible
Authentication
Protocol
One-time password

10

Giao thức đƣờng hầm lớp 2
Chuyển tiếp lớp 2

Giao thức bảo mật IP
Giao thức xác thực mở rộng
Máy chủ điều khiển từ xa
Mạng mở rộng
Đóng gói bảo mật tải
Lực Lƣợng Quản Lý Kỹ Thuật
Mô hình tham chiếu mở
Giao thức quản lý mã khóa
Cơ sở dữ liệu Chính sách bảo
mật
Khu phi quân sự
Mạng điện thoại công cộng
Giao thức thoại qua Internet
Danh sách kiểm soát truy cập
Phân giải địa chỉ
Phân giải cổng
Máy chủ điều khiển truy cập
Học Viện kỹ nghệ Điện và Điện
Tử
Giao thức xác thực mở rộng
Lightweight
Mật khẩu một lần


DANH MỤC CÁC BẢNG
Bảng 1-1 Các phƣơng pháp mã hóa đối xứng thông dụng .................................................. 21
Bảng 5-1 Địa chỉ IP của các Interface ................................................................................. 81

11



MỞ ĐẦU
Hiện nay vấn đề toàn cầu hoá và nền kinh tế thị trƣờng mở cửa đã mang lại
nhiều cơ hội làm ăn hợp tác kinh doanh và phát triển. Các ngành công nghiệp máy
tính và truyền thông phát triển đã đƣa thế giới chuyển sang thời đại mới: thời đại
công nghệ thông tin. Việc nắm bắt và ứng dụng Công nghệ thông tin trong các lĩnh
vực khoa học, kinh tế, xã hội đã đem lại cho các doanh nghiệp và các tổ chức những
thành tựu và lợi ích to lớn. Máy tính đã trở thành công cụ đắc lực và không thể thiếu
của con ngƣời, con ngƣời có thể ngồi tại chỗ mà vẫn nắm bắt đƣợc các thông tin
trên thế giới hàng ngày đó là nhờ vào sự phát triển mạnh mẽ của Internet. Các tổ
chức, công ty hay các cơ quan đều phải (tính đến) xây dựng hệ thống tài nguyên
chung để có thể phục vụ cho nhu cầu của các nhân viên và khách hàng.
Và một nhu cầu tất yếu sẽ nảy sinh là ngƣời quản lý hệ thống phải kiểm soát
đƣợc việc truy nhập sử dụng các tài nguyên đó. Một vài ngƣời có nhiều quyền hơn
một vài ngƣời khác. Ngoài ra, ngƣời quản lý cũng muốn rằng những ngƣời khác
nhau không thể truy nhập đƣợc vào các tài nguyên nào đó của nhau. Để thực hiện
đƣợc các nhu cầu truy nhập trên, chúng ta phải xác định đƣợc ngƣời dùng hệ thống
là ai để có thể phục vụ một cách chính xác nhất, đó chính là việc xác thực ngƣời
dùng. Đây là một vấn đề nóng bỏng và đang đƣợc quan tâm hiện nay.
Là một ngƣời làm về hệ thống với công việc là nghiên cứu, thiết kế, triển
khai và quản trị hệ thống mạng của Tổng Công ty Hàng Không Việt Nam (Vietnam
Airlines Corporation) thì việc tích hợp triển khai hệ thống xác thực ngƣời dùng cho
mạng Vietnamairlines là vô cùng cần thiết và cấp bách. Do đó tác giả đã lựa chọn
đề tài “An toàn mạng máy tính và giải pháp xác thực ngƣời dùng” cho luận văn của
mình.

12


Chƣơng 1 - TỔNG QUAN VỀ AN NINH MẠNG

1.1. Mạng máy tính và các vấn đề phát sinh
1.1.1. Sự cần thiết phải có an ninh mạng trong một hệ thống mạng
An ninh mạng bảo vệ mạng của bạn trƣớc việc đánh cắp và sử dụng sai mục
đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ vi rút và sâu
máy tính trên mạng Internet. Nếu an ninh mạng không đƣợc triển khai công ty của
bạn sẽ gặp rủi ro trƣớc xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự
gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm
pháp.
Từ đây ta thấy đƣợc an ninh trong hệ thống mạng luôn là vấn đề nóng hổi, cần
đƣợc quan tâm và mang tính quan trọng hơn hết.
Theo số liệu từ VNCERT năm 2014 ở Việt Nam có 19.789 sự cố gồm các loại
sự cố tấn công lừa đảo, tấn công thay đổi giao diện và tấn công cài mã độc lên
website…. 1.458 sự cố tấn công lừa đảo, tăng 179% so với năm ngoái. VNCERT đã
gửi yêu cầu điều phối và xử lý đƣợc 1.138 sự cố (tăng 145% so với năm 2013).
10.037 sự cố tấn công cài mã độc lên website, đã gửi yêu cầu điều phối và xử lý
5.976 sự cố, trong đó có 20 sự cố liên quan đến tên miền .gov.vn. 8.291 sự cố tấn
công thay đổi giao diện (tăng 406% so với năm 2013), trong đó có 274 sự cố liên
quan đến tên miền .gov.vn, đã gửi yêu cầu điều phối và xử lý 4.493 sự cố.
Trên 3,37 triệu lƣợt địa chỉ IP của Việt Nam nằm trong mạng botnet.
VNCERT đã gửi cảnh báo cho 8.233 địa chỉ IP thuộc cơ quan nhà nƣớc, đồng thời,
gửi cảnh báo và tài liệu hƣớng dẫn phát hiện gỡ bỏ Botnet tới tất cả các đơn vị quản
lý các địa chỉ IP nêu trên.
88 sự cố tấn công tấn công từ chối dịch vụ (DDoS) đƣợc gửi tới các nhà cung
cấp dịch vụ Internet: Viettel, ODS, CMC, FPT, QTSC, Hanel, Nhân Hòa, SPT và
VDC....

13


1.1.1.1.


Các yếu tố cần được bảo vệ trong hệ thống mạng

Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lƣu trữ trên hệ thống
máy tính cần đƣợc bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp
thời. Thông thƣờng yêu cầu về bảo mật đƣợc coi là yêu cầu quan trọng đối với
thông tin lƣu trữ trên mạng. Tuy nhiên, ngay cả khi những thông tin không đƣợc giữ
bí mật, thì yêu cầu về tính toàn vẹn cũng rất quan trọng. Không một cá nhân, một tổ
chức nào lãng phí tài nguyên vật chất và thời gian để lƣu trữ những thông tin mà
không biết về tính đúng đắn của những thông tin đó.
Yếu tố thứ hai là về tài nguyên hệ thống, sau khi các Attacker đã làm chủ
đƣợc hệ thống chúng sẽ sử dụng các máy này để chạy các chƣơng trình nhƣ dò tím
mật khẩu để tấn công vào hệ thống mạng.
Yếu tố thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc nghi ngờ nhau
trong công ty là điều không tránh khỏi, vì vậy sẽ ảnh hƣởng đến danh tiếng của
công ty rất nhiều.
1.1.1.2.

Các yếu tố đảm bảo an toàn thông tin

An toàn thông tin nghĩa là thông tin đƣợc bảo vệ, các hệ thống và những dịch
vụ có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi. Mục
tiêu của an toàn bảo mật trong công nghệ thông tin là đƣa ra một số tiêu chuẩn an
toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc giảm bớt các nguy
hiểm.
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe dọa tới độ an
toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy
các yêu cầu cần để đảm bảo an toàn thông tin nhƣ sau:
 Tính bí mật: Thông tin phải đảm bảo tính bí mật và đƣợc sử dụng đúng
đối tƣợng.

 Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc,
không mâu thuẫn.
 Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo
đúng mục đích và đúng cách.
14


 Tính chính xác: Thông tin phải chính xác, tin cậy.
 Tính không khƣớc từ (chống chối bỏ): Thông tin có thể kiểm chứng đƣợc
nguồn gốc hoặc ngƣời đƣa tin.
1.1.2. Xác định nguy cơ đối với hệ thống mạng
Nguy cơ hệ thống (Risk) đƣợc hình thành bởi sự kết hợp giữa lỗ hổng hệ
thống và các mối đe dọa đến hệ thống, nguy cơ hệ thống có thể định nghĩa trong ba
cấp độ thấp, trung bình và cao[1] . Để xác định nguy cơ đối với hệ thống trƣớc tiên
ta phải đánh giá nguy cơ hệ thống theo sơ đồ sau.

Hình 1-1 Quá trình đánh giá nguy cơ của hệ thống

1.1.2.1.

Xác định các lỗ hổng hệ thống

Việc xác định các lỗ hổng hệ thống đƣợc bắt đầu từ các điểm truy cập vào hệ
thống nhƣ:
 Kết nối mạng Internet
 Các điểm kết nối từ xa
 Kết nối các tổ chức khác
 Các môi trƣờng truy cập vật lý hệ thống
 Các điểm truy cập ngƣời dùng
 Các điểm truy cập không dây

Ở mỗi điểm truy cập, ta phải xác định đƣợc các thông tin có thể truy cập và
mức độ truy cập vào hệ thống.

15


1.1.2.2.

Xác định các mối đe dọa

Đây là một công việc khó khăn vì các mối đe dọa thƣờng không xuất hiện rõ
ràng (ẩn), thời điểm và quy mô tấn công không biết trƣớc. Các hình thức và kỹ thuật
tấn công đa dạng nhƣ:
 DoS/DDoS, BackDoor, Tràn bộ đệm,…
 Virus, Trojan Horse, Worm
 Social Engineering
1.1.2.3.

Các biện pháp an toàn hệ thống

Các biện pháp an toàn hệ thống gồm các biện pháp nhƣ:
- Firewall
- Phần mềm diệt virus,
- Điều khiển truy cập,
- Hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng),
- Mã hoá dữ liệu,
- Hệ thống chống xâm nhập IDS,
-Ý thức ngƣời dùng,
- Hệ thống chính sách bảo mật và tự động vá lỗ hệ thống
1.1.3. Đo lƣờng mức độ nguy cơ của một hệ thống mạng

Những nguy cơ bảo mật đe dọa mất mát dữ liệu nhạy cảm luôn là mối lo ngại
của những doanh nghiệp vừa và nhỏ. Dƣới đây là các mức độ nguy cơ mà các
doanh nghiệp luôn phải đối mặt:
- Một số doanh nghiệp vừa và nhỏ, những dữ liệu quan trọng hay thông tin
khách hàng thƣờng đƣợc giao phó cho một cá nhân. Điều này tạo nên tình trạng "lệ
thuộc quyền hạn".
- Hệ thống máy tính, mạng của doanh nghiệp luôn phải đối mặt với nhiều
nguy cơ bảo mật, từ việc hƣ hỏng vật lý cho đến các trƣờng hợp bị tấn công từ tin
tặc hay virus đều có khả năng gây tổn hại cho dữ liệu, do đó cần phải có kế hoạch
xử lý rủi ro.
16


- Tin tặc hiện nay thƣờng dùng các tập tin chứa đựng tài khoản mặc định
(username và password) của các thiết bị kết nối mạng để dò tìm quyền hạn truy xuất
khả năng đăng nhập vào hệ thống mạng, đặc biệt là các tài khoản thiết lập mặc định.
- Thiếu cảnh giác với mạng công cộng: một thủ đoạn chung tin tặc hay sử
dụng để dẫn dụ những nạn nhân là đặt một thiết bị trung chuyển wireless accesspoint không cài đặt mật khẩu.
- Các doanh nghiệp không coi trọng việc đặt website của mình tại máy chủ
nào, mức độ bảo mật ra sao. Do đó, website kinh doanh của doanh nghiệp sẽ là mục
tiêu của các đợt tấn công SQL Injection.
Hơn 90% các cuộc tấn công vào hệ thống mạng đều cố gắng khai thác các lỗi
bảo mật đã đƣợc biết đến. Mặc dù các bản vá lỗi vẫn thƣờng xuyên đƣợc những
hãng sản xuất cung cấp ngay sau khi lỗi đƣợc phát hiện nhƣng một vài doanh
nghiệp lại không coi trọng việc cập nhật lỗi này dẫn đến việc các lỗi bảo mật luôn là
những cuộc tấn công.
1.2. Quá trình thăm dò tấn công

Hình 1-2 Quá trình thăm dò vào một hệ thống mạng


1.2.1. Thăm dò (Reconnaissace)
Thăm dò mục tiêu là một trong những bƣớc qua trọng để biết những thông tin
trên hệ thống mục tiêu[2] . Hacker sử dụng kỹ thuật này để khám phá hệ thống mục
tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ đang chạy trên các dịch
vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:
17


 Passive: Thu thập các thông tin chung nhƣ vị trí địa lý, điện thoại, email
của các cá nhân, ngƣời điều hành trong tổ chức.
 Active: Thu thập các thông tin về địa chỉ IP, domain, DNS,… của hệ
thống
1.2.2. Quét hệ thống (Scanning)
Quét thăm dò hệ thống là phƣơng pháp quan trọng mà Attacker thƣờng dùng
để tìm hiểu hệ thống và thu thập các thông tin nhƣ địa chỉ IP cụ thể, hệ điều hành
hay các kiến trúc hệ thống mạng. Một vài phƣơng pháp quét thông dụng nhƣ: quét
cổng, quét dải mạng và quét các điểm yếu trên hệ thống.

Hình 1-3 Quét trộm đối với cổng không hoạt động

Hình 1-4 Đối với cổng hoạt động

1.2.3. Chiếm quyền điều khiển (Gainning access)
o Mức hệ điều hành
o Mức ứng dụng
o Mức mạng
o Từ chối dịch vụ
1.2.4. Duy trì điều khiển hệ thống (Maitaining access)
Upload/download biến đổi thông tin
18



1.2.5. Xoá dấu vết (Clearning tracks)
Sau khi bị tấn công thì hệ thống sẽ lƣu lại những vết do attacker để lại.
Attacker cần xoá chúng đi nhằm tránh bị phát hiện.
1.3. Các biện pháp bảo mật mạng
1.3.1. Mã hoá, nhận dạng, chứng thực ngƣời dùng và phần quyền sử dụng
1.3.1.1.

Mã hoá

Mã hoá là cơ chế chính cho việc bảo mật thông tin. Nó bảo vệ chắc chắn thông
tin trong quá trình truyền dữ liệu, mã hoá có thể bảo vệ thông tin trong quá trình lƣu
trữ bằng mã hoá tập tin. Tuy nhiên ngƣời sử dụng phải có quyền truy cập vào tập tin
này, hệ thống mã hoá sẽ không phân biệt giữa ngƣời sử dụng hợp pháp và bất hợp
pháp nếu cả hai cùng sử dụng một key giống nhau. Do đó mã hoá chính nó sẽ không
cung cấp bảo mật, chúng phải đƣợc điều khiển bởi key mã hoá và toàn bộ hệ thống.

Hình 1-5 Quá trình mã hoá

Mã hoá nhằm đảm bảo các yêu cầu sau:
o Tính bí mật (confidentiality): dữ liệu không bị xem bởi “bên thứ 3”.
o Tính toàn vẹn (Integrity): dữ liệu không bị thay đổi trong quá trình
truyền.
19


Tính không từ chối (Non-repudiation): là cơ chế ngƣời thực hiện hành động
không thể chối bỏ những gì mình đã làm, có thể kiểm chứng đƣợc nguồn gốc hoặc
ngƣời đƣa tin.

1.3.1.2.

Các giải thuật mã hoá

 Giải thuật băm (Hashing Encryption)
Là cách thức mã hoá một chiều tiến hành biến đổi văn bản nhận dạng
(cleartext) trở thành hình thái mã hoá mà không bao giờ có thể giải mã. Kết quả của
tiến trình hashing còn đƣợc gọi là một hash (xử lý băm), giá trị hash (hash value),
hay thông điệp đã đƣợc mã hoá (message digest) và tất nhiên không thể tái tạo lại
dạng ban đầu.
Trong xử lý hàm băm dữ liệu đầu vào có thể khác nhau về độ dài, thế nhƣng
độ dài của xử lý Hash lại là cố định. Hashing đƣợc sử dụng trong một số mô hình
xác thực password. Một giá trị hash có thể đƣợc gắn với một thông điệp điện tử
(electronic message) nhằm hỗ trợ tính tích hợp của dữ liệu hoặc hỗ trợ xác định
trách nhiệm không thể chối từ (non-repudiation).

Hình 1-6 Mô hình giải thuật băm

Một số giải thuật băm
o MD5 (Message Digest 5): giá trị băm 128 bit.
o SHA-1 (Secure Hash Algorithm): giá trị băm 160 bit.
 Giải thuật mã hoá đồng bộ/đối xứng (Symmetric)
Mã hoá đối xứng hay mã hoá chia sẻ khoá (shared-key encryption) là mô hình
mã hoá hai chiều có nghĩa là tiến trình mã hoá và giải mã đều dùng chung một khoá.
20


Khoá này phải đƣợc chuyển giao bí mật giữa hai đối tƣợng tham gia giao tiếp. Có
thể bẻ khoá bằng tấn công vét cạn (Brute Force).


Hình 1-7 Giải thuật mã hoá đồng bộ/đối xứng

Cách thức mã hoá nhƣ sau:
o Hai bên chia sẻ chung 1 khoá (đƣợc giữ bí mật).
o Trƣớc khi bắt đầu liên lạc hai bên phải trao đổi khoá bí mật cho nhau.
o Mỗi phía của thành phần liên lạc yêu cầu một khoá chia sẻ duy nhất, khoá
này không chia sẻ với các liên lạc khác.
Bảng dƣới đây cho thấy chi tiết các phƣơng pháp mã hóa đối xứng thông
dụng.
Các loại mã hóa
Data Encryption Standard (DES)

Đặc tính
- Sử dụng một khối 64 bit hoặc một
khóa 56 bit.
- Có thể dễ dàng bị bẻ khóa.

Triple DES (3DES)

- Áp dụng DES 3 lần.
- Sử dụng một khóa 168bit.
- Bị thay thế bởi AES.

Advanced Encryption Standard
(AES)

- Sử dụng Rhine doll có khả năng đề
kháng với tất cả tấn công đã biết.
- Dùng một khóa và khóa chiều dài có
thể thay đổi (128-192 hoặc 256 bit).


Bảng 1-1 Các phương pháp mã hóa đối xứng thông dụng

 Giải thuật mã hóa không đồng bộ/không đối xứng (Asymmetric)
21


Mã hóa bất đối xứng, hay mã hóa khóa công khai(public-key encryption), là
mô hình mã hóa 2 chiều sử dụng một cặp khóa là khóa riêng (private key) và khóa
công (public keys). Thông thƣờng, một thông điệp đƣợc mã hóa với private key, và
chắc chắn rằng key này là của ngƣời gửi thông điệp (message sender). Nó sẽ đƣợc
giải mã với public key, bất cứ ngƣời nhận nào cũng có thể truy cập nếu họ có key
này. Chú ý, chỉ có public key trong cùng một cặp khóa mới có thể giải mã dữ liệu
đã mã hóa với private key tƣơng ứng. Và private key thì không bao giờ đƣợc chia sẻ
với bất kỳ ai và do đó nó giữ đƣợc tính bảo mật, với dạng mã hóa này đƣợc ứng
dụng trong chữ ký điện tử.

Hình 1-8 Giải thuật mã hóa không đồng bộ/không đối xứng

Các giải thuật
o RSA (Ron Rivest, Adi Shamir, and Leonard Adleman).
o DSA (Digital Signature Standard).
o Diffie-Hellman (W.Diffie and Dr.M.E.Hellman).
1.3.1.3.

Chứng thực người dùng

Là quá trình thiết lập tính hợp lệ của ngƣời dùng trƣớc khi truy cập thông tin
trong hệ thống. Các loại chứng thực nhƣ:
 Username/password: Là loại chứng thực phổ biến nhất và yếu nhất của

chứng thực, username/password đƣợc giữ nguyên dạng chuyển đến Server.

22


Hình 1-9 Chứng thực bằng user và password

- Tuy nhiên phƣơng pháp này xuất hiện những vấn đề nhƣ dễ bị đánh cắp
trong quá trình đến server.
- Giải pháp
o

Đặt mật khẩu dài tối thiểu là tám kí tự, bao gồm chữ cái, số, biểu tƣợng.

o

Thay đổi password: 01 tháng/lần.
 Không nên đặt cùng password ở nhiều nơi.
 Xem xét việc cung cấp password cho ai.

 CHAP (Challenge Hanshake Authentication Protocol): Dùng để mã hóa
mật khẩu khi đăng nhập, dùng phƣơng pháp chứng thực thử thách/hồi đáp. Định kỳ
kiểm tra lại các định danh của kết nối sử dụng cơ chế bắt tay 3 bƣớc và thông tin bí
mật đƣợc mã hóa sử dụng MD5. Hoạt động của CHAP nhƣ sau:

Hình 1-10 Hoạt động của CHAP

 Kerberos
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính
hoạt động trên những đƣờng truyền không an toàn. Giao thức Kerberos có khả năng

chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ
23


liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ-máy khách
(client-server) và đảm bảo nhận thực cho cả hai chiều.
Kerberos hoạt động sử dụng một bên thứ ba tham gia vào quá trình nhận thực
gọi là key distribution center – KDC (KDC bao gồm hai chức năng: "máy chủ xác
thực" (authentication server - AS) và "máy chủ cung cấp vé" (ticket granting server
- TGS). "Vé" trong hệ thống Kerberos chính là các chứng thực chứng minh nhận
dạng của ngƣời sử dụng.). Mỗi ngƣời sử dụng trong hệ thống chia sẻ một khóa
chung với máy chủ Kerberos. Việc sở hữu thông tin về khóa chính là bằng chứng để
chứng minh nhận dạng của một ngƣời sử dụng. Trong mỗi giao dịch giữa hai ngƣời
sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ra một khóa phiên dùng cho phiên
giao dịch đó.

Hình 1-11 Mã hóa Kerberos

 Chứng chỉ (Certificates)
Một Server (Certificates Authority - CA) tạo ra các certificates.
 Có thể là vật lý: smartcard
 Có thể là logic: chữ ký điện tử
Sử dụng public/private key (bất cứ dữ liệu nào đƣợc mã hóa bằng public key
chỉ có thể giải mã bằng private key). Sử dụng “công ty thứ 3” để chứng thực. Đƣợc
sử dụng phổ biến trong chứng thực web, smart cards, chữ ký điện tử cho email và
mã hóa email.
- Nhƣợc điểm
 Triển khai PKI (Public Key Infrastructure) kéo dài và tốn kém.
24



 Smart cards làm tăng giá triển khai và bảo trì.
 Dịch vụ CA tốn kém.
 Sinh trắc học
Có thể dùng các phƣơng pháp sau: mống mắt/võng mạc, vân tay, giọng nói.
Ƣu điểm của phƣơng pháp này rất chính xác, thời gian chứng thực nhanh, tuy nhiên
giá thành cao cho phần cứng và phần mềm, việc nhận diện có thể bị sai lệch.
 Kết hợp nhiều phƣơng pháp (Multi-factor)
Sử dụng nhiều hơn một phƣơng pháp chứng thực nhƣ: mật khẩu/ PIN, smart
card, sinh trắc học, phƣơng pháp này nhằm tạo sự bảo vệ theo chiều sâu với nhiều
tầng bảo vệ khác nhau.
 Ƣu điểm: làm giảm sự phụ thuộc vào password, hệ thống chứng thực
mạnh hơn và cung cấp khả năng cho Public Key Infrastructure (PKI).
o Nhƣợc điểm: tăng chi phí triển khai, tăng chi phí duy trì, chi phí nâng
cấp
1.3.2. Bảo mật máy trạm
Sự kiểm tra đều đặn mức bảo mật đƣợc cung cấp bởi các máy chủ phụ thuộc
chủ yếu vào sự quản lý. Mọi máy chủ ở trong một công ty nên đƣợc kiểm tra từ
Internet để phát hiện lỗ hổng bảo mật. Thêm nữa, việc kiểm tra từ bên trong và quá
trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của hệ
thống, nhƣ khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc.
Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảo mật
tối thiểu và có rất nhiều lỗ hổng bảo mật. Trƣớc khi một máy chủ khi đƣa vào sản
xuất, sẽ có một quá trình kiểm tra theo một số bƣớc nhất định. Toàn bộ các bản sửa
lỗi phải đƣợc cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiết nào phải đƣợc
loại bỏ. Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệ thống.
Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng. Chúng
sẽ cung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảo mật.
25



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×