Bài giảng Phòng chống tấn công mạng: Chương 1 - Bùi Trọng Tùng
lượt xem 4
download
Bài giảng "Phòng chống tấn công mạng: Chương 1 - Mở đầu" trình bày những nội dung chính sau đây: Khái niệm cơ bản về phòng chống tấn công mạng; Lỗ hổng và nguy cơ ATBM; Nguyên lý chung về phòng chống tấn công mạng; Phòng thủ theo chiều sâu. Mời các bạn cùng tham khảo!
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Bài giảng Phòng chống tấn công mạng: Chương 1 - Bùi Trọng Tùng
- PHÒNG CHỐNG TẤN CÔNG MẠNG Bùi Trọng Tùng, Viện CNTT-TT, Đại học BKHN 1 1 Thông tin học phần • Mã học phần: IT4830/IT4831 • Khối lượng: 3(2-0-1-6) • Lý thuyết: 32 tiết • Thực hành: 16 tiết (3 buổi) • Nội dung học phần: • Nguyên lý chung về phòng chống tấn công mạng • Các nhiệm vụ phòng chống tấn công mạng • Các hệ thống phòng chống tấn công mạng: VPN, firewall, IDS/IPS, Honeypot • Đánh giá: • Quá trình(0.4): thực hành, chuyên cần • Cuối kỳ(0.6): thi viết • Website: https://users.soict.hust.edu.vn/tungbt/it4830 2 2
- Quy định về điểm quá trình • Điểm quá trình = Điểm TH + Điểm chuyên cần • Điểm thực hành: Trung bình cộng điểm của 3 bài thực hành • Điểm chuyên cần: • Đạt điểm tuyệt đối tất cả các bài tập trắc nghiệm: +1 • Không hoàn thành 1-2 bài: 0 • Không hoàn thành 3-4 bài: -1 • Không hoàn thành ≥5 bài: -2 • Tham gia Google Classroom 3 3 Thông tin giảng viên • Họ tên: Bùi Trọng Tùng • Email: tungbt@soict.hust.edu.vn • FB: fb/groups/TungBT.QA 4 4
- BÀI 1. MỞ ĐẦU Bùi Trọng Tùng, Viện CNTT-TT, Đại học BKHN 5 5 Nội dung • Khái niệm cơ bản về phòng chống tấn công mạng • Lỗ hổng và nguy cơ ATBM • Nguyên lý chung về phòng chống tấn công mạng • Phòng thủ theo chiều sâu 6 6
- 1. AN TOÀN BẢO MẬT VÀ CÁC NGUY CƠ AN TOÀN BẢO MẬT Bùi Trọng Tùng, Viện CNTT-TT, Đại học BKHN 7 7 An toàn bảo mật là gì? Ngăn chặn, bảo vệ tài nguyên hệ thống trước các hành vi gây tổn hại • Tài nguyên hệ thống: • Phần cứng: máy tính, đường truyền, thiết bị mạng... • Phần mềm • Dữ liệu • Người dùng • Các hành vi gây tổn hại: tấn công • Vật lý: tấn công vào phần cứng Ví dụ như tấn công kiểu bê máy tính chứa CSDL đi • Logic: sử dụng các chương trình phá hoại để can thiệp vào quá trình xử lý và truyền dữ liệu 8 8
- Yêu cầu của an toàn bảo mật • Confidentiality (Bí mật): tài nguyên chỉ có thể truy cập bởi đối tượng được cấp quyền • Integrity (Toàn vẹn, tin cậy): tài nguyên chỉ có thể sửa đổi bởi đối tượng được cấp quyền • Availability (Sẵn sàng): tài nguyên sẵn sàng khi có yêu cầu • Thời gian đáp ứng chấp nhận được • Tài nguyên được định vị trí rõ ràng Mô hình CIA • Khả năng chịu lỗi • Dễ dàng sử dụng • Đồng bộ khi đáp ứng yêu cầu 9 9 Mô hình CNSS • Committee on National Security Systems • McCumber Cube: Đặt các yêu cầu CIA trong mối liên hệ với các giải pháp và trạng thái của thông tin Policy: chính sách: một chức vụ có thể thược hiện một số chức năng nhất định Education: đào tạo Technology 10 10
- Đe dọa an toàn bảo mật(Security Threat) • Hành vi tiềm ẩn khả năng gây tổn hại tới tài nguyên của hệ thống => Ở giai đoạn phân tích yêu cầu, còn ở giai đoạn thiết kế hệ thống thì là đưa ra giải pháp phòng chống • Rủi ro(nguy cơ) an toàn bảo mật: khả năng xảy ra các sự cố làm mất an toàn an ninh thông tin và thiệt hại của chúng cho hệ thống • Mô hình hóa mối đe dọa: 3 thành phần • Mục tiêu(Target): tài nguyên của hệ thống có thể là mục tiêu của các hành vi gây tổn hại • Chủ thể(Agent): người hoặc tổ chức gây ra mối đe dọa một cách cố ý hoặc vô ý Nguồn đe dọa là bất kỳ đâu => cần giới hạn lại VD: hệ thống có thể bị đánh cắp bởi sinh viên • Sự kiện(Event) gây ra đe dọa 11 11 Các sự kiện gây ra mối đe dọa • Thiên tai: • Mưa bão, lũ lụt, động đất… • Giải pháp: xây dựng kế hoạch phản ứng sự cố và phục hồi, các giải pháp bảo vệ vật lý • Lỗi phần cứng, phần mềm trong quá trình vận hành: • Phát sinh do sự không hoàn thiện trong quá trình sản xuất hoặc suy hao theo thời gian • Khó kiểm soát và ngăn chặn • Giải pháp: bảo trì, cập nhật CSDL tích tụ theo thời gian sẽ đầy đi, query có thể bị lỗi 12 12
- Các sự kiện gây ra mối đe dọa • Lỗi do người vận hành hệ thống Khoảng 70% sự cố do con người • Giá trị nhập vào không hợp lệ, thao tác không đúng hướng dẫn • Ngăn chặn: • Đào tạo một cách chi tiết, đầy đủ • Xây dựng hệ thống, quy trình vận hành để người dùng khó mắc lỗi vô ý • Xâm nhập trái phép vào hệ thống: • Thực hiện bởi bên thứ 3 tấn công • Xâm phạm bản quyền, bí mật công nghệ • Đánh cắp thông tin • Gửi thông tin lừa đảo • Phá hủy tài nguyên • Phát tán phần mềm độc hại… 13 13 Lỗ hổng an toàn bảo mật • Là các điểm yếu của hệ thống có thể lợi dụng để gây tổn hại tới tính an toàn bảo mật • Một số nguyên nhân phát sinh lỗ hổng: • Lỗ hổng do công nghệ • Lỗ hổng do chính sách không đầy đủ • Lỗ hổng do triển khai vận hành không đúng cách 14 14
- Tấn công an toàn bảo mật • Là các hành vi cố ý gây ra tổn hại cho hệ thống • Phân loại: • Tấn công bên ngoài/Tấn công bên trong • Tấn công không chủ đích/Tấn công có chủ đích • Tấn công vật lý/Tấn công logic • Tấn công chủ động/Tấn công thụ động • Một số dạng tấn công: • Tấn công do thám • Tấn công truy cập • Tấn công từ chối dịch vụ • … 15 15 Tấn công do thám nmap • Tìm kiếm, thu thập thông tin về hệ thống • Địa chỉ IP • Các dịch vụ đang hoạt động • Người dùng và quyền truy cập • Hệ điều hành, phần mềm… • Thường sử dụng ở giai đoạn bắt đầu của quá trình tấn công • Các kỹ thuật do thám thông dụng: • Nghe lén • Quét địa chỉ IP • Quét cổng • Nhận diện hệ điều hành • Các kỹ thuật đánh lừa(Social Engineering) 16 16
- Tấn công truy cập • Chiếm tài nguyên trên hệ thống đích • Các kỹ thuật thông dụng: • Nghe lén • Phát lại • Đoạt phiên làm việc • Man-in-the-middle • Mở cổng sau(backdoor) • Tràn bộ đệm • Dò đoán mật khẩu • Khai thác lỗ hổng giao thức • … 17 17 Kịch bản tấn công Các giai đoạn thực hiện tấn công: Thăm dò • Chuẩn bị tấn công • Thăm dò thông tin • Quét, rà soát hệ thống Quét, rà soát • Thực thi tấn công • Giành quyền truy cập Giành • Duy trì truy cập quyền truy cập • Xóa dấu vết Duy trì truy cập Xóa dấu vết 18 18
- Thăm dò Chỉ dừng lại ở thông tin cơ bản • Là các hành vi mà kẻ tấn công Thăm thực hiện nhằm thu thập thông tin dò về hệ thống: người dùng, khách hàng, các hoạt động nghiệp vụ, Quét, thông tin về tổ chức… rà soát • Có thể lặp đi lặp lại một cách định Giành kỳ đến khi có cơ hội tấn công dễ quyền dàng hơn truy cập • Thăm dò chủ động: có tương tác Duy trì với mục tiêu truy cập • Thăm dò bị động: không có tương tác với mục tiêu Xóa dấu vết 19 19 Thăm dò(tiếp) • Sử dụng các công cụ tìm kiếm: Thăm Google, Shodan, Censys dò • Thông tin từ mạng xã hội: FB, Tweetter, Linkedin Quét, • Thông tin từ website của đối rà soát tượng: Burp Suite, ZAP, Web Giành Spider, Web Mirroring quyền truy cập • Thăm dò hệ thống email • WHOIS, DNS Duy trì truy • Thăm dò kết nối mạng: trace cập route Xóa • Social Engineering dấu vết 20 20
- Quét rà soát nmap thông tin sâu hơn, cụ thể hơn • Quét rà soát để xác định các thông Thăm dò tin về hệ thống dựa trên các thông tin thu thập được từ quá trình thăm dò Quét, • Kẻ tấn công có cái nhìn chi tiết rà soát hơn và sâu hơn về hệ thống: các Giành dịch vụ cung cấp, các cổng dịch vụ quyền đang mở, địa chỉ IP, hệ điều hành truy cập và phần mềm… Duy trì • Trích xuất thông tin từ giai đoạn truy cập này cho phép kẻ tấn công lên kế hoạch chi tiết để thực hiện tấn Xóa công dấu vết 21 21 Quét rà soát(tiếp) • Xác định các nút mạng kết nối: Thăm Ping Sweep dò • Kiểm tra các cổng dịch vụ đang mở: TCP Scanning, UDP Scanning Quét, rà soát • Xác định thông tin hệ điều hành trên hệ thống mục tiêu: ID Serve, Giành Netcraft quyền • Quét lỗ hổng: Nessus, GFI truy cập LanGuard Duy trì • Xác định topology của mạng mục truy tiêu: Network Topology Mapper cập • Tương tác và thống Xóa kê(enumeration) dấu vết 22 22
- Giành quyền truy cập • Kẻ tấn công giành được quyền Thăm dò truy cập vào hệ thống ở các mức độ khác nhau: mức mạng, mức hệ điều hành, mức ứng dụng Quét, • Có thể dựa trên các quyền truy rà soát cập đã có để leo thang truy cập Giành quyền truy cập Duy trì truy cập Xóa dấu vết 23 23 Duy trì truy cập • Thay đổi, can thiệp và hoạt động Thăm dò của hệ thống nằm vùng chờ kích hoạt • Cài đặt các phần mềm gián điệp • Che giấu các hành vi trên hệ Quét, rà soát thống • Quét rà soát sâu vào hệ thống Giành quyền • Mở rộng phạm vi tấn công truy cập • Leo thang tấn công Duy trì • Nếu cần thiết, kẻ tấn công có thể truy nằm vùng, chờ thời điểm thích cập hợp để phát động tấn công Xóa dấu vết 24 24
- 2. KHÁI NIỆM CHUNG VỀ PHÒNG CHỐNG TẤN CÔNG MẠNG Bùi Trọng Tùng, Viện CNTT-TT, Đại học BKHN 25 25 Phòng chống tấn công mạng CND • Computer Network Defense(CND) • Hoạt động của hệ thống mạng(Computer Network Operation): CNO = CNA + CND • CNA: Computer Network Attack • CND là quá trình bảo vệ hệ thống, giám sát, phân tích, phát hiện và phản ứng với các hành vi trái phép tác động tới hệ thống mạng máy tính • Các thành phần giải pháp: • Con người • Tác vụ • Công nghệ 26 26
- Các thành phần của CND: Con người Bao gồm tất cả thành viên trong tổ chức: • Kiến trúc sư ATBM • Kỹ sư ATBM • Phân tích viên • Nhân viên kỹ thuật • Nhân viên vận hành • Người dùng cuối • Nhân viên điều phối 27 27 Các thành phần của CND: Tác vụ • Xây dựng và triển khai chính sách an toàn bảo mật • Quy trình vận hành Phải có quy trình xử lý cụ thể cho các tình huống • Gia cố hệ thống • Quy trình xử lý sự cố(Incident Response) • Điều tra số • Sao lưu, dự phòng, khôi phục(Disaster Recovery) • Lập kế hoạch khôi phục hoạt động sau sự cố(Business Continuity) • Đào tạo người dùng 28 28
- Các thành phần của CND: Công nghệ • Kiểm thử, đánh giá các thành phần của hệ thống • Các hệ thống quản trị cấu hình • Tường lửa • Kiểm soát truy cập • Proxy • Lọc nội dung • Mật mã • Xác thực •… 29 29 Mối quan hệ giữa các thành phần dự phòng hệ thống giám sát vá lỗi Proxy server: một máy chủ trung gian nâng cấp đứng giữa người dùng và internet Nó cho phép người dùng truy cập HIDPS tài nguyên trên internet thông qua nó => ẩn danh cải thiện hiệu suất NIDPS bộ lọc: lọc trang web độc hại vượt qua hạn chế địa lý bảo mật: ẩn địa chỉ IP thực sự của mã hóa người dùng khỏi mạn bên ngoài sao lưu chính sách và luật 30 30
- Các hướng tiếp cập – Phòng ngừa Mục tiêu: giảm thiểu khả năng bị tấn công Trước khi bị tấn công • Gia cố hệ thống biện pháp chính để bảo vệ hệ thống, dữ liệu và thông tin khỏi các mối đe dọa và tấn công. Mục • Quét và vá lỗ hổng bảo mật tiêu của phòng ngừa là ngăn chặn các sự cố • Lọc lưu lượng truy cập và hạn chế khả năng bị tấn công bằng cách triển khai các biện pháp và chiến lược để giảm thiểu các điểm yếu và lỗ hổng có thể bị khai • Thẩm tra nguồn truy cập thác. • Ngụy trang hệ thống • Mã hóa firewall xác thực ủy quyền kiểm tra theo dõi sao lưu định kì 31 31 Các hướng tiếp cận – Phát hiện Mục tiêu: Phát hiện và ngăn chặn tấn công Đang bị tấn công • Giám sát truy cập • Thu thập thông tin hoạt động của hệ thống quá trình xác định, nhận biết và cảnh báo về • Các cơ chế phát hiện: các hoạt động bất thường, dấu hiệu của các • Dựa trên dấu hiệu cuộc tấn công, hay các sự kiện có thể gây IDS nguy hiểm đối với hệ thống, dữ liệu hoặc NIDS • Dựa trên bất thường mạng. Mục tiêu của phát hiện là phát hiện Phân tích • Các mô hình dựa trên hành vi sớm các mối đe dọa và tấn công để có thể bất thường đưa ra biện pháp ứng phó kịp thời và giảm • Các mô hình dựa trên ngưỡng thiểu thiệt hại. • Cảnh báo và ngăn chặn tấn công tiếp diễn 32 32
- Các hướng tiếp cận – Phản ứng Sau khi bị tấn công Mục tiêu: Đáp ứng với các hành vi tấn công bằng các biện pháp thích đáng • Sao lưu và dự phòng Xác định độ khẩn cấp và phân loại sự cố • Phản ứng sự cố: khoanh vùng, cách ly, chuyển hướng Thông báo báo cáo, phân tích sau sự cố • Phục hồi sau tấn công Chấm dứt, ngăn chặn xảy ra trong tương lai • Điều tra số quá trình ứng phó và xử lý các sự cố bảo mật, tấn công hoặc mối đe dọa một cách hiệu quả và kịp thời. Mục tiêu của phản ứng là giảm thiểu thiệt hại, khắc phục hệ quả của sự cố và khôi phục lại trạng thái bình thường của hệ thống cũng như dữ liệu bị ảnh hưởng. 33 33 Quá trình phòng chống Giám Phân Phát sát tích hiện Rút kinh Phản nghiệm ứng 34 34
- 3. PHÒNG THỦ THEO CHIỀU SÂU Bùi Trọng Tùng, Viện CNTT-TT, Đại học BKHN 35 35 Phòng thủ theo chiều sâu DID • Không có giải pháp nào là vạn năng, có thể phòng chống mọi loại tấn công • Phòng thủ theo chiều sâu(Defense in depth-DID): Các giải pháp phòng chống tấn công mạng cần phải được xây dựng với nhiều lớp bảo vệ: • Mỗi lớp thực hiện một số nhiệm vụ • Các lớp phải phối hợp để tạo thành sức mạnh chung cho hệ thống • Làm suy yếu dần khả năng tấn công • Các hành vi tấn công ngày càng khó tiếp cận vào các lớp bên trong Mục tiêu của phòng thủ theo chiều sâu là đảm bảo rằng nếu một lớp • Phân biệt với dự phòng bảo mật bị xâm phạm, vẫn còn những lớp bảo mật khác để ngăn chặn tấn công tiếp theo và giảm thiểu thiệt hại. 36 Nguyên tắc: một lựa chọn các lớp bảo mật 36 Ngăn chặn và phòng ngừa: IDS IDPS Phát hiện và ứng phó: IDS Mã hóa và xác thực Quy trình xử lý và chính sách bảo mật Cô lập nội bộ Sao lưu và phục hồi Đào tạo và giáo dục
- Phòng thủ theo chiều sâu • Các giải pháp phòng thủ theo chiều sâu cần được thiết kế dựa trên các thành phần của CND: • Con người • Tác vụ • Công nghệ Personal Operation Technology Asset 37 37 DID – Con người • Ít được chú ý khi đề cập tới các giải pháp ATBM, nhưng… • Giải quyết các vấn đề về con người rất quan trọng và cần thường xuyên giám sát, đánh giá • Tại sao? 70% lỗi là do con người • Cần phải có bộ phận chuyên trách về ATBM trong tổ chức đặt ra chính sách, quy trình xử lý như thế nào • Người dùng cần được đào tạo và diễn tập tránh sự bị động khi gặp sự cố 38 38
- DID- Công nghệ Các lớp con: • Phòng thủ cho hạ tầng mạng kết nối với bên ngoài • Phòng thủ vùng đệm của mạng bên trong • Phòng thủ trên các host lớp bảo vệ external lớp bảo vệ internal phát hiện nỗ lực xâm nhập lệch răn đe bên ngoài 39 39 DID – Tác vụ • Bao gồm tất cả các hoạt động định kỳ được thực hiện để duy trì khả năng phòng thủ của hệ thống • Các tác vụ lớp bảo vệ vật lý • Xây dựng và triển khai chính sách ATBM • Lập kế hoạch và giải pháp triển khai cho các hoạt động: • Phản ứng sự cố • Sao lưu và dự phòng • Khôi phục hệ thống… • Giám sát và báo cáo tình trạng an ninh mạng 40 40
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Bài giảng Các công nghệ tấn công mạng
23 p | 245 | 61
-
Phòng chống tấn công SQL Injection với GreenSQL trên Debian Etch
5 p | 181 | 21
-
Bài giảng Kỹ thuật tấn công và phòng thủ trên không gian mạng - Module 09: Session Hijacking
41 p | 39 | 8
-
Bài giảng Kỹ thuật tấn công và phòng thủ trên không gian mạng - Module 07: Các công cụ phân tích an ninh mạng
49 p | 45 | 7
-
Bài giảng Tội phạm công nghệ cao năm 2011 và định hướng phòng chống tấn công mạng của doanh nghiệp
30 p | 28 | 7
-
Bài giảng An ninh mạng: Bài 10 - Bùi Trọng Tùng
20 p | 29 | 6
-
Bài giảng Phòng chống tấn công mạng: Chương 3 - Bùi Trọng Tùng
30 p | 9 | 4
-
Bài giảng Phòng chống tấn công mạng: Chương 4 - Bùi Trọng Tùng
37 p | 7 | 4
-
Bài giảng Phòng chống tấn công mạng: Chương 5 - Bùi Trọng Tùng
40 p | 11 | 4
-
Bài giảng Phòng chống tấn công mạng: Chương 6 - Bùi Trọng Tùng
28 p | 10 | 4
-
Bài giảng Phòng chống tấn công mạng: Chương 2 - Bùi Trọng Tùng
43 p | 10 | 4
-
Bài giảng Phòng chống tấn công mạng: Chương 7 - Bùi Trọng Tùng
20 p | 13 | 3
-
Bài giảng ZombieZERO giải pháp phòng chống tấn công APT hai lớp
31 p | 16 | 3
-
Bài giảng Các xu hướng tấn công trên mạng năm 2016 và các giải pháp phòng chống
12 p | 20 | 3
-
Bài giảng An ninh mạng: Chương 12 - Bùi Trọng Tùng
17 p | 8 | 2
-
Bài giảng An ninh mạng: Chương 10 - Bùi Trọng Tùng
20 p | 8 | 2
-
Bài giảng An ninh mạng: Chương 6 - Bùi Trọng Tùng
25 p | 6 | 2
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn