Bảo mật cho hệ thống

Security Awareness Presented by: ATHENA Security Team Security Awareness Bảo mật cho hệ thống Chương 4: Bảo mật cho hệ thống Topologies Management Mạng cục bộ? Mạng diện rộng? Mô hình mạng bảo mật? Bảo vệ cho Hệ điều hành? Bảo vệ hệ thống mạng? Bảo vệ các ứng dụng? Bảo vệ Web server? Bảo vệ E-mail Server? Chương 4: Bảo mật cho hệ thống Devices and Media Management Bảo mật trên trang thiết bị mạng Tường lửa, bộ định tuyến, Hub/Switch, Access point Bảo mật trong truyền dẫn Cáp UTP Cáp quang (Fiber Optic) Công nghệ không dây (Wireless) Topology Management Khái niệm về mạng cục bộ (LAN) Các máy tính cá nhân và các máy tính khác trong phạm vi một khu vực hạn chế được nối với nhau bằng các dây cáp chất lượng tốt. Người sử dụng có thể trao đổi thông tin. Dùng chung các thiết bị ngoại vi, và sử dụng các chương trình. Khái niệm mạng diện rộng (WAN) Là mạng kết nối các mạng LAN lại với nhau. Cho phép trao đổi dữ liệu trên một phạm vi rộng lớn . Ví dụ về mạng WAN: Mạng truyền dữ liệu của các ngân hàng Mạng truyền dữ liệu của bưu điện Mạng internet…. Khái niệm mô hình bảo mật HR Servers Khái niệm mô hình bảo mật Bảo vệ Hệ Điều Hành Hệ điều hành có rất nhiều lỗ hỏng: Ví dụ: Microsoft windows có Hacker có thể sử dụng các lỗ hỏng này để tấn công Chiếm quyền điều khiển hệ thống Làm bàn đạp tấn công hệ thống khác. Bảo vệ các ứng dụng Các ứng dụng hiện nay cũng có rất nhiều lỗ hỏng. Ví dụ : Các ứng dụng web có sử dụng database SQL Server thường bị lỗi SQL injection. Hacker có thể sử dụng lỗi SQL injection để khai thác, thay đổi nội dung website. Ảnh hưởng đến các giao dịch điện tử trên mạng Bảo vệ e-mail Chống lại các mail có virus Spam Đảm bảo hệ thống mail server chạy tốt. Độ ổn định cao Bảo vệ Web server Web server có nhiều lỗ hỏng. Vi dụ: Web server IIS của Microsoft có lỗi Unicode. Hacker có thể khai thác lỗi hỏng này Chiếm quyền điều khiển hệ thống. Thay đổi cơ sở dữ liệu. Device & Media Management Bảo mật dựa trên thiết bị Hầu hết hệ thống bảo mật hiện nay đều dựa trên các thiết bị phần cứng như: Firewall, IDS, IDP,… Cấu hình các thiết bị phần cứng này hợp lý và chính xác, góp phần giảm các lỗ hỏng cho phép hacker khai thác. Hiểu rõ cấu trúc của thiết bị , có thể đưa ra những cấu hình phù hợp . Khái niệm về tường lửa- Firewall Firewall là thiết bị phổ biến nhất hiện nay dùng để bảo vệ hệ thống mạng bên trong chống lại kẻ xâm nhập bên ngoài. Firewall có thể cho phép/ không cho phép user sử dụng một dịch vụ mạng nào đó. Ví dụ: Trong một công ty có kết nối internet. Firewall có thể cho phép user truy cập các website nhưng không cho sử dụng dịch vụ chat của yahoo messenger, không cho dùng dịch vụ Telnet,… Khái niệm về tường lửa- Firewall Firewall sử dụng 3 công nghệ chính: Lọc gói dữ liệu ( Packet filtering) . Kỹ thuật này dựa chủ yếu vào địa chỉ IP của các máy tính. Cho phép/ từ chối máy tính có địa chỉ IP này giao tiếp với máy tính có địa chỉ IP khác. Lọc các ứng dụng (Application filtering). Kỹ thuật này cho phép định nghĩ các ứng dụng được cho phép truy xuất từ trong ra ngoài và ngược lại. Ví dụ: Firewall chỉ cho phép ứng dụng Website, FTP và không cho phép ứng dụng Telnet Khái niệm về tường lửa-Firewall Tường lửa kiểm soát trạng thái- Stateful Inspection Firewall(SIF). Kỹ thuật SIF thu thập nhiều thông tin khác nhau trong đoạn mã mào đầu(header) của các gói lưu lượng, như địa chỉ IP nguồn và đích, số hiệu cổng nguồn và cổng đích ,…. Và “duy trì” trạng thái của mỗi phiên TCP hoặc UDP đi qua tường lửa. Khi có một gói đi tới, tường lửa SIF sẽ so sánh thông tin chứa trong header của gói đó với trạng thái của phiên làm việc tương ứng lưu trong bảng phân tích. Nếu thông tin khớp nhau, gói lưu lượng đó được đi qua. Ngược lại, gói lưu lượng sẽ bị loại bỏ. Khái niệm về Firewall (tt) So sánh tường lửa SIF với lọc gói (Packet Filtering) Tường lửa SIF có mức độ an toàn cao hơn công nghệ lọc gói vì nó chỉ mở ra những “lỗ” nhỏ hơn để lưu lượng đi qua. Ví dụ: thay vì cho tất cả các máy tính gửi bất kỳ dữ liệu nào trên cổng 80(cổng duyệt web) mà không có kiểm duyệt, tường lửa SIF sẽ phải đảm bảo rằng gói dữ liệu được truyền tải thuộc về một phiên làm việc đã xác định trước Khái niệm bộ định tuyến (Router) Router là thiết bị định tuyến dùng để kiểm tra các gói dữ liệu, chọn đường dẫn tốt nhất cho chúng xuyên qua mạng, sau đó dẫn chúng đến các đích thích hợp. Ví dụ: Router định tuyến để dữ liệu đi từ Việt Nam đến đến các nước khác như Mỹ, Úc, Singapore,…. Khái niệm bộ định tuyến (router) Có rất nhiều loại router của nhiều hãng khác nhau : Cisco, Juniper, Nortel,… Khái niệm về Hub/Switch Hub/Switch là thiết bị được thiết kế để kết nối các máy tính lại với nhau. Tái sinh và định thời lại tín hiệu. Giúp tín hiệu truyền đi xa hơn mà không bị nhiễu. So sánh Hub và Switch Hub là thiết bị lớp 1 trong mô hình OSI Switch là thiết bị lớp 2 trong mô hình OSI Switch thông minh hơn Hub Switch có tốc độ xử lý nhanh hơn Hub. Switch bảo mật hơn Hub. Switch có khả năng chống lại có kỹ thuật tấn công nghe lén. Bộ phát sóng wireless - Access point Tương tư như Hub/Switch trong mạng có dây. Chuyển tiếp sóng trong mạng không dây. Bảo mật dựa trên phương tiện truyền dẫn Các phương tiện truyền dẫn là một bộ phận quan trọng cấu thành hệ thống network. Nó là phương tiện truyền tải dữ liệu đi từ nơi này sang nơi khác. Trải dài trên một phạm vi rộng, môi trường và địa hình phức tạp Mức độ nguy hiểm và kém an toàn trong khi truyền cao. Các dữ liệu có thể bị nhiễu trong môi trường truyền làm thông tin bị sai lệch. Hoặc hacker tiến hành nghe lén trên đường truyền,…. Cáp UTP Cáp UTP không thể truyền dẫn dữ liệu đi xa (tối đa khoảng 100m) Thường xuyên bị tác động nhiễu của môi trường bên ngoài. Làm mất tính trung thực khi truyền dữ liệu. Giải pháp tăng cường độ an toàn trên đường truyền. Sử dụng cáp STP. Có lớp vỏ bọc bên ngoài , giúp tác dụng chống nhiễu tốt hơn cáp UTP. Nhưng giá thành của cáp STP cao hơn UTP Cáp quang (Fiber Optic) Cáp sợi quang truyền tín hiệu dữ liệu dạng số ở hình thái xung ánh sáng điều biến Do xung điện không truyền đi qua cáp sợi quang nên không thể lắp thiết bị nghe trộm vào cáp sợi quang để đánh cắp dữ liệu Cáp sợi quang truyền được khối lượng lớn dữ liệu với vận tốc cao do tín hiệu không bị suy yếu trong quá trình truyền. Công nghệ không dây (Wireless) Enterprise Premises Công nghệ không dây (Wireless) Giải pháp bảo mật . Internet Corporate Firewall Tấn công hệ thống Wireless Enterprise Network Neighboring Network ? Rogue AP Honeypot Công nghệ không dây(wireless) Hầu hết mọi người đều có thể nghe lén trong quá trình truyền của hệ thống wireless. Do đó cần mã hóa dữ liệu trước khi truyền. Ví dụ : Mã hóa WEP (wired equivalent Privacy) 64bit, 128bit,256bit Kiểu tấn công War driving trong wireless Kẻ tấn công được sử dụng Laptop và anten dò sóng chuyên dùng. Lái xe chạy tìm một vị trí thu sóng thích hợp được phát ra từ các access-point. Dùng các tool như airsnort, netstumbler,… để tiến hành nghe lén và tấn công mạng Hệ Thống Xác Định Xâm Nhập- Intrusion Detection System (IDS) Giám sát và đưa ra những báo cáo về những xâm nhập bất hợp pháp vào hệ thống. Hệ Thống Xác Định Xâm Nhập- IDS Có 2 loại IDS: Anomaly-based detection Signature-based detection IDS loại Anomaly : Thiết bị có khả năng tự học và xây dựng một database các “hành động” của user .Khi có các “hành động” khác thường mà không được định nghĩa trong database, thiết bị IDS sẽ hủy ngay các “hành động” đó. IDS loại Signature: Các nhà sản xuất xây dựng một tập luật các “hành động” cho phép cố định. Tóm tắt chương Quản lý các mô hình mạng Các thiết bị sử dụng thường xuyên trong mạng Các phương tiện truyền dẫn Hỏi - Đáp Q&A ? ?