Bài giảng An toàn mạng máy tính - Bài 1: Tổng quan về an ninh mạng - Tô Nguyễn Nhật Quang

pdf 66 trang ngocly 160
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng An toàn mạng máy tính - Bài 1: Tổng quan về an ninh mạng - Tô Nguyễn Nhật Quang", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_an_toan_mang_may_tinh_bai_1_tong_quan_ve_an_ninh_m.pdf

Nội dung text: Bài giảng An toàn mạng máy tính - Bài 1: Tổng quan về an ninh mạng - Tô Nguyễn Nhật Quang

  1. Trường Đại Học Công Nghệ Thông Tin Khoa Mạng Máy Tính và Truyền Thông ANAN TOTOÀÀNN MMẠẠNGNG MMÁÁYY TTÍÍNHNH ThS. Tô Nguyễn Nhật Quang
  2. NNỘỘII DUNGDUNG MÔNMÔN HHỌỌCC 1.1. TTổổngng quanquan vvềề anan ninhninh mmạạngng 2.2. CCáácc phphầầnn mmềềmm gâygây hhạạii 3.3. CCáácc gigiảảii thuthuậậtt mãmã hohoáá ddữữ liliệệuu 4.4. MãMã hohoáá khokhoáá côngcông khaikhai vvàà ququảảnn lýlý khokhoáá 5.5. ChChứứngng ththựựcc ddữữ liliệệuu 6.6. MMộộtt ssốố giaogiao ththứứcc bbảảoo mmậậtt mmạạngng 7.7. BBảảoo mmậậtt mmạạngng khôngkhông dâydây 8.8. BBảảoo mmậậtt mmạạngng vvàànhnh đđaiai 9.9. TTììmm kikiếếmm phpháátt hihiệệnn xâmxâm nhnhậậpp ATMMT - TNNQ 2
  3. BBÀÀII 11 TTỔỔNGNG QUANQUAN VVỀỀ ANAN NINHNINH MMẠẠNGNG
  4. TTổổngng quanquan vvềề anan ninhninh mmạạngng 1.1. MMộộtt ssốố khkhááii niniệệmm 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 3.3. LýLý llịịchch ccủủaa nhnhữữngng kkẻẻ ttấấnn côngcông 4.4. MôMô hhììnhnh bbảảoo mmậậtt ccơơ bbảảnn 5.5. BBààii ttậậpp ATMMT - TNNQ 4
  5. 1.1. MMộộtt ssốố khkhááii niniệệmm DDữữ liliệệuu llàà ggìì?? HaiHai trtrạạngng ththááii ccủủaa ddữữ liliệệu:u: – Transmission state – Storage state BBốốnn yêuyêu ccầầuu ccủủaa ddữữ liliệệu:u: – Confidentiality – Integrity – Non-repudiation – Availability ATMMT - TNNQ 5
  6. 1.1. MMộộtt ssốố khkhááii niniệệmm An ninh mạng là một thành phần chủ yếu của an ninh thông tin. Ngoài an ninh mạng, an ninh thông tin còn có mối quan hệ với một số lãnh vực an ninh khác, bao gồm chính sách bảo mật, kiểm toán bảo mật, đánh giá bảo mật, hệ điều hành tin cậy, bảo mật cơ sở dữ liệu, bảo mật mã nguồn, ứng phó khẩn cấp, luật máy tính, luật phần mềm, khắc phục thảm họa Môn học này tập trung vào an ninh mạng, nhưng vẫn có liên hệ với những lãnh vực còn lại. ATMMT - TNNQ 6
  7. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 1. Eavesdropping –– NgheNghe trtrộộmm llàà mmộộtt phphươươngng phpháápp ccũũ nhnhưưngng hihiệệuu ququảả –– SSửử ddụụngng mmộộtt thithiếếtt bbịị mmạạngng (router,(router, cardcard mmạạngng )) vvàà mmộộtt chchươươngng trtrììnhnh ứứngng ddụụngng (Tcpdump,(Tcpdump, Ethereal,Ethereal, WiresharkWireshark )) đđểể gigiáámm ssáátt llưưuu llưượợngng mmạạng,ng, bbắắtt ccáácc ggóóii tintin đđii quaqua thithiếếtt bbịị nnàày.y. –– ThThựựcc hihiệệnn ddễễ ddààngng hhơơnn vvớớii mmạạngng khôngkhông dây.dây. ATMMT - TNNQ 7
  8. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 1. Eavesdropping –– KhôngKhông ccóó ccááchch nnààoo ngngăănn chchậậnn viviệệcc nghenghe trtrộộmm trongtrong mmộộtt mmạạngng côngcông ccộộng.ng. –– ĐĐểể chchốốngng llạạii viviệệcc nghenghe trtrộộm,m, ccáchch ttốốtt nhnhấấtt llàà mãmã hohoáá ddữữ liliệệuu trtrưướớcc khikhi truytruyềềnn chchúúngng trêntrên mmạạng.ng. Plaintext: văn bản gốc Cyphertext: chuỗi mật mã Key: khoá mã hoá hoặc giải mã ATMMT - TNNQ 8
  9. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 2. Cryptanalysis – Là nghệ thuật tìm kiếm thông tin hữu ích từ dữ liệu đã mã hoá mà không cần biết khoá giải mã. – Ví dụ: phân tích cấu trúc thống kê của các ký tự trong phương pháp mã hoá bằng tần suất. – Phương pháp này thường sử dụng các công cụ toán học và máy tính có hiệu suất cao. – Cách chống lại phá mã: Sử dụng những giải thuật mã hoá không thể hiện cấu trúc thống kê trong chuỗi mật mã. Khoá có độ dài lớn để chống Brute-force attacks. ATMMT - TNNQ 9
  10. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 3. Password Pilfering –– CCơơ chchếế chchứứngng ththựựcc đưđượợcc ssửử ddụụngng rrộộngng rãirãi nhnhấấtt llàà ddùùngng usernameusername vvàà password.password. –– CCáácc phphươươngng phpháápp thôngthông ddụụngng baobao ggồồm:m: Guessing Social engineering Dictionary Password sniffing ATMMT - TNNQ 10
  11. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 3. Password Pilfering Guessing: hiệu quả đối với các mật khẩu ngắn hoặc người dùng quên đổi mật khẩu ngầm định. 10 mật khẩu phổ biến nhất trên internet (theo PC Magazine): 1. Password 2. 123456 3. qwerty 4. abc123 5. letmein 6. monkey 7. myspace1 8. password1 9. blink182 10. the user's own first name ATMMT - TNNQ 11
  12. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 3. Password Pilfering Social engineering: là phương pháp sử dụng các kỹ năng xã hội để ăn cắp thông tin mật của người khác. –Mạo danh (Impersonate) –Lừa đảo (Physing) qua email, websites – Thu thập thông tin từ giấy tờ bị loại bỏ –Tạo trang web đăng nhập giả ATMMT - TNNQ 12
  13. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 3. Password Pilfering Dictionary Attacks: –Chỉ những mật khẩu đã được mã hoá mới được lưu trên hệ thống máy tính. –Hệ điều hành UNIX và LINUX: mật khẩu đã được mã hoá với dạng mã ASCII của các user được lưu trong /etc/passwd (các versions cũ) và /etc/shadows (các versions mới hơn). –Hệ điều hành Windows NT/XP: tên user và mật khẩu của user đã được mã hoá được lưu trong registry của hệ thống với tên file là SAM. – Dictionary attacks: duyệt tìm từ một từ điển (thu được từ các file SAM ) các username và password đã được mã hoá. ATMMT - TNNQ 13
  14. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 3. Password Pilfering Password Sniffing: – Là một phần mềm dùng để bắt các thông tin đăng nhập từ xa như username và password đối với các ứng dụng mạng phổ biến như Telnet, FTP, SMTP, POP3. – Để gây khó khăn cho việc Password Sniffing, có thể dùng những chương trình đặc biệt (như SSH trong HTTPS ) để mã hoá tất cả các thông điệp truyền. – Cain & Abel là một công cụ khôi phục mật khẩu trong hệ điều hành Microsoft và cũng là một công cụ password sniffing có thể bắt và phá mã các password đã được mã hoá sử dụng từ điển hoặc brute-force. Có thể download công cụ này tại ATMMT - TNNQ 14
  15. ATMMT - TNNQ 15
  16. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 3. Password Pilfering Một số phương pháp chứng minh danh tính người dùng đang được sử dụng: – Sử dụng mật khẩu bí mật (secret passwords): phổ biến nhất. Sử dụng tên người dùng và mật khẩu của người dùng. – Sử dụng sinh trắc học (biometrics): sử dụng các tính năng độc đáo của sinh học như vân tay, võng mạc nhờ việc kết nối các thiết bị sinh trắc học (khá đắt tiền, chỉ dùng tại những nơi yêu cầu bảo mật ở mức độ cao) vào máy tính như máy đọc dấu vân tay, máy quét võng mạc – Sử dụng chứng thực (authenticating( items): dùng một số giao thức xác thực như Kerberos ATMMT - TNNQ 16
  17. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 3. Password Pilfering Một số quy tắc bảo vệ mật khẩu: – Sử dụng mật khẩu dài kết hợp giữa chữ thường, chữ hoa, số và các ký tự đặc biệt như $ # & %. Không dùng các từ có trong từ điển, các tên và mật khẩu thông dụng. -> gây khó khăn cho việc đoán mật khẩu (guessing attacks) và tấn công sử dụng từ điển (dictionary attacks). – Không tiết lộ mật khẩu với những người không có thẩm quyền hoặc qua điện thoại, thư điện tử -> chống lại social engineering. – Thay đổi mật khẩu định kỳ và không sử dụng trở lại những mật khẩu cũ để chống lại những cuộc tấn công từ điển hoặc mật khẩu cũ đã được nhận diện. ATMMT - TNNQ 17
  18. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 3. Password Pilfering Một số quy tắc bảo vệ mật khẩu: – Không sử dụng cùng một mật khẩu cho các tài khoản khác nhau nhằm đảm bảo các tài khoản khác vẫn an toàn khi mật khẩu của một tài khoản bị lộ. – Không sử dụng những phần mềm đăng nhập từ xa mà không có cơ chế mã hoá mật khẩu và một số thông tin quan trọng khác. – Huỷ hoàn toàn các tài liệu có lưu các thông tin quan trọng. – Tránh nhập các thông tin trong các cửa sổ popup. – Không click vào các liên kết trong các email khả nghi. ATMMT - TNNQ 18
  19. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 4. Identity Spoofing Là phương pháp tấn công cho phép kẻ tấn công mạo nhận nạn nhân mà không cần sử dụng mật khẩu của nạn nhân. Các phương pháp phổ biến bao gồm: – Man-in-the-midle attacks – Message replays attacks – Network spoofing attacks – Software exploitation attacks ATMMT - TNNQ 19
  20. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 4. Identity Spoofing Man-in-the-midle attacks – Kẻ tấn công cố gắng dàn xếp với thiết bị mạng (hoặc cài đặt một thiết bị của riêng mình) giữa hai hoặc nhiều người sử dụng, sau đó chặn và sửa đổi hay làm giả dữ liệu truyền giữa những người sử dụng rồi truyền chúng như chưa từng bị tác động bởi kẻ tấn công. – Các người dùng vẫn tin rằng họ đang trực tiếp nói chuyện với nhau, không nhận ra rằng sự bảo mật và tính toàn vẹn dữ liệu của các gói tin IP mà họ nhận được đã không còn. – Mã hoá và chứng thực các gói IP là biện pháp chính để ngăn chận các cuộc tấn công Man-in-the-midle. Những kẻ tấn công không thể đọc hoặc sửa đổi một gói tin IP đã được mã hoá mà không phải giải mã nó. ATMMT - TNNQ 20
  21. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 4. Identity Spoofing Man-in-the-midle attacks ATMMT - TNNQ 21
  22. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 4. Identity Spoofing Message replays: – Trong một số giao thức xác thực, sau khi người dùng A chứng thực mình với hệ thống là một người dùng hợp pháp, A sẽ được cấp một chứng thực (giấy phép) thông qua. Với giấy phép này, A sẽ nhận được những dịch vụ cung cấp bởi hệ thống. Giấy phép này đã được mã hóa và không thể sửa đổi. – Tuy nhiên, những kẻ tấn công có thể ngăn chặn nó, giữ một bản sao, và sử dụng nó sau này để mạo nhận (đóng vai) người dùng A để có được các dịch vụ từ hệ thống. ATMMT - TNNQ 22
  23. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 4. Identity Spoofing Network Spoofing: IP Spoofing là một trong những kỹ thuật lừa gạt chính trên mạng. Bao gồm: – SYN flooding: Trong một cuộc tấn công SYN flooding, kẻ tấn công lấp đầy bộ đệm TCP của máy tính mục tiêu với một khối lượng lớn các gói SYN, làm cho máy tính mục tiêu không thể thiết lập các thông tin liên lạc với các máy tính khác. Khi điều này xảy ra, các máy tính mục tiêu được gọi là một máy tính câm. ATMMT - TNNQ 23
  24. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ A normal connection between a user and a server. The three-way handshake is correctly performed. ATMMT - TNNQ 24
  25. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 4. Identity Spoofing NetworkNetwork Spoofing:Spoofing: llàà mmộộtt trongtrong nhnhữữngng kkỹỹ thuthuậậtt llừừaa ggạạtt chchíínhnh trêntrên mmạạng.ng. BaoBao ggồồm:m: – TCP hijacking: Là một kỹ thuật sử dụng các gói tin giả mạo để chiếm đoạt một kết nối giữa máy tính nạn nhân và máy đích. Máy nạn nhân bị treo và hacker có thể truyền thông với máy đích như hacker chính là nạn nhân. Để ngăn chận TCP hijacking, có thể sử dụng phần mềm như TCP Wrappers để kiểm tra địa chỉ IP tại tầng TCP (tầng Transport). ATMMT - TNNQ 25
  26. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ TCP hijacking ATMMT - TNNQ 26
  27. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 4. Identity Spoofing Network Spoofing: IP Spoofing là một trong những kỹ thuật lừa gạt chính trên mạng. Bao gồm: – ARP spoofing (ARP poisoning): ARP là một giao thức phân giải địa chỉ tại tầng liên kết có thể chuyển đổi địa chỉ IP đích trong header IP đến địa chỉ MAC của máy tính tại mạng đích. Trong một cuộc tấn công giả mạo ARP, kẻ tấn công thay đổi địa chỉ MAC đích hợp pháp của một địa chỉ IP đến một địa chỉ MAC khác được lựa chọn bởi những kẻ tấn công. Để ngăn chặn các cuộc tấn công ARP spoofing, cần phải tăng cường kiểm tra các tên miền, và chắc chắn rằng địa chỉ IP nguồn và địa chỉ IP đích trong một gói tin IP không được thay đổi trong khi truyền. ATMMT - TNNQ 27
  28. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 4. Identity Spoofing Network Spoofing: IP Spoofing là một trong những kỹ thuật lừa gạt chính trên mạng. Bao gồm: – ARP spoofing (ARP poisoning): Một frame Ethernet tiêu biểu. Một frame giả mạo có địa chỉ MAC nguồn sai có thể đánh lừa các thiết bị trên mạng. ATMMT - TNNQ 28
  29. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 4. Identity Spoofing Network Spoofing: IP Spoofing là một trong những kỹ thuật lừa gạt chính trên mạng. Bao gồm: – ARP spoofing (ARP poisoning): ATMMT - TNNQ 29
  30. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 5. Buffer-Overflow Exploitations Là một lỗ hổng phần mềm phổ biến. Lỗi này xảy ra khi quá trình ghi dữ liệu vào bộ đệm nhiều hơn kích thước khả dụng của nó. Các hàm strcat(), strcpy(), sprintf(), vsprintf(), bcopy(), get(), scanf() trong ngôn ngữ C có thể bị khai thác vì không kiểm tra xem liệu bộ đệm có đủ lớn để dữ liệu được sao chép vào mà không gây ra tràn bộ đệm hay không. ATMMT - TNNQ 30
  31. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ ATMMT - TNNQ 31
  32. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 6. Repudiation Trong một số trường hợp chủ sở hữu của dữ liệu có thể không thừa nhận quyền sở hữu của dữ liệu để tránh hậu quả pháp lý. Người này có thể cho rằng chưa bao giờ gửi hoặc nhận các dữ liệu đó. Ngay cả khi dữ liệu đã được chứng thực, chủ sở hữu của dữ liệu xác thực có thể thuyết phục quan tòa rằng vì những sơ hở, bất cứ ai cũng có thể dễ dàng chế tạo tin nhắn và làm cho nó trông giống như thật. Sử dụng các thuật toán mã hóa và xác thực có thể giúp ngăn ngừa các cuộc tấn công bác bỏ. ATMMT - TNNQ 32
  33. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 7. Intrusion – Là kẻ xâm nhập bất hợp pháp vào một mạng với mục đích truy cập vào hệ thống máy tính của người khác, đánh cắp thông tin và tài nguyên máy tính hoặc băng thông của nạn nhân. – Cấu hình sơ hở, giao thức sai sót, tác dụng phụ của phần mềm đều có thể bị khai thác bởi kẻ xâm nhập. – Mở các cổng UDP hoặc TCP không cần thiết là một sơ hở phổ biến. Đóng các cổng này lại có thể giảm thiểu việc xâm nhập. – IP scan và Port scan là những công cụ hack phổ biến thuộc dạng này và cũng là những công cụ giúp người dùng kiểm tra được các lỗ hổng trong hệ thống. ATMMT - TNNQ 33
  34. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 8. Denial of Service Attacks – Mục tiêu của cuộc tấn công từ chối dịch vụ là ngăn chặn người dùng hợp pháp sử dụng những dịch vụ mà họ thường nhận được từ các máy chủ. – Các cuộc tấn công như vậy thường buộc máy tính mục tiêu phải xử lý một số lượng lớn những thứ vô dụng, hy vọng máy tính này sẽ tiêu thụ tất cả các nguồn tài nguyên quan trọng. – Một cuộc tấn công từ chối dịch vụ có thể được phát sinh từ một máy tính duy nhất (DoS), hoặc từ một nhóm các máy tính phân bố trên mạng Internet (DDoS). ATMMT - TNNQ 34
  35. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 8. Denial of Service Attacks –– DoSDoS ccóó ccáácc hhììnhnh ththứứcc ccơơ bbảảnn sau:sau: Smurf Buffer Overflow Attack Ping of death Teardrop SYN Attack –– CôngCông ccụụ đđểể ththựựcc hihiệệnn ttấấnn côngcông DoSDoS ccóó ththểể llàà Jolt2, Bubonic.c, Land and LaTierra, Targa, Blast20, Nemesy, Panther2, Crazy Pinger, Some Trouble, UDP Flood, FSMax ATMMT - TNNQ 35
  36. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 8. Denial of Service Attacks –– DoS:DoS: SmurfSmurf llàà mmộộtt loloạạii ttấấnn côngcông DoSDoS đđiiểểnn hhìình.nh. MMááyy ccủủaa attackerattacker ssẽẽ ggởởii rrấấtt nhinhiềềuu llệệnhnh pingping đđếếnn mmộộtt ssốố llưượợngng llớớnn mmááyy ttíínhnh trongtrong mmộộtt ththờờii giangian ngngắắnn trongtrong đđóó đđịịaa chchỉỉ IPIP ngunguồồnn ccủủaa ggóóii ICMPICMP echoecho ssẽẽ đưđượợcc thaythay ththếế bbởởii đđịịaa chchỉỉ IPIP ccủủaa nnạạnn nhân.nhân. CCáácc mmááyy ttíínhnh nnààyy ssẽẽ trtrảả llạạii ccáácc ggóóii ICMPICMP replyreply đđếếnn mmááyy nnạạnn nhân.nhân. BuBuộộcc phphảảii xxửử lýlý mmộộtt ssốố llưượợngng ququáá llớớnn ccáácc ggóóii ICMPICMP replyreply trongtrong mmộộtt ththờờii giangian ngngắắnn khikhiếếnn ttààii nguyênnguyên ccủủaa mmááyy bbịị ccạạnn kikiệệtt vvàà mmááyy ssẽẽ bbịị ssụụpp đđổổ ATMMT - TNNQ 36
  37. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 8. Denial of Service Attacks –– DoS:DoS: Smurt attack ATMMT - TNNQ 37
  38. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 8. Denial of Service Attacks –– DDoSDDoS (Distributed( DoS) có cơ chế hoạt động:: Attackers thường sử dụng Trojan để kiểm soát cùng lúc nhiều máy tính nối mạng. Attacker cài đặt một phần mềm đặc biệt (phần mềm zombie) lên các máy tính này (máy tính zombie) để tạo ra một đội quân zombie (botnet) nhằm tấn công DoS sau này trên máy nạn nhân. Phát hành một lệnh tấn công vào các máy tính zombie để khởi động một cuộc tấn công DoS trên cùng một mục tiêu (máy nạn nhân) cùng một lúc. ATMMT - TNNQ 38
  39. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ ATMMT - TNNQ 39
  40. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ Một cuộc tấn công DDoS sử dụng SYN flooding ATMMT - TNNQ 40
  41. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 9.9. Malicious Software CCáácc phphầầnn mmềềmm đđộộcc hhạạii baobao ggồồm:m: –– Virus,Virus, –– Worms,Worms, –– TrojanTrojan horses,horses, –– LogicLogic bombs,bombs, –– BackdoorsBackdoors –– Spyware.Spyware. ATMMT - TNNQ 41
  42. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 9.9. Malicious Software VirusVirus Là một phần mềm có thể sao chép chính nó. Nó không đứng một mình mà phải gắn vào một tập tin hoặc một chương trình khác. Khi một chương trình bị nhiễm virus máy tính được thực hiện hoặc một tập tin bị nhiễm được mở ra, loại virus chứa trong nó sẽ được thực thi. Khi thực hiện, virus có thể làm hại máy tính và sao chép chính nó để lây nhiễm sang máy khác trong hệ thống. ATMMT - TNNQ 42
  43. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 9.9. Malicious Software WormsWorms Cũng là một chương trình có thể tự sao chép chính nó. Nhưng không giống như virus, Worm là một chương trình đứng một mình (stand alone program). Nói cách khác là nó không cần vật chủ để ký sinh. Một Worm có thể tự thực thi tại bất kỳ thời điểm nào nó muốn. Khi thực thi, Worm có thể gây nguy hiểm cho hệ thống nơi nó thường trú hoặc tái sinh chính nó trên các hệ thống qua mạng. ATMMT - TNNQ 43
  44. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 9.9. Malicious Software TrojanTrojan horseshorses:: Thường nguỵ trang mình kèm theo những chương trình ứng dụng thông thường và vô hại như trò chơi hoặc những công cụ miễn phí để người dùng tải về máy. Trojan không tự sinh sản như virus hay worm và chỉ thực hiện khi người dùng chạy chương trình có đính kèm Trojan. Chức năng chính của Trojan là điểu khiển máy tính từ xa, ăn cắp thông tin của nạn nhân hoặc làm nhiệm vụ backdoor. ATMMT - TNNQ 44
  45. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 9.9. Malicious Software LogicLogic bombsbombs – Bom logic là chương trình con hoặc lệnh được nhúng trong một chương trình. Sự thi hành của nó được kích hoạt bởi câu lệnh điều kiện. – Ví dụ, một nhân viên công ty làm việc trên một dự án phát triển có thể cài đặt một quả bom logic bên trong một chương trình. Quả bom được kích hoạt chỉ nếu nhân viên này đã không chạy chương trình trong một thời gian nhất định. Khi điều kiện được đáp ứng, có nghĩa là nhân viên này đã bị sa thải một thời gian trước đó. Quả bom logic trong trường hợp này được sử dụng để trả thù chống lại chủ nhân. ATMMT - TNNQ 45
  46. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 9.9. Malicious Software BackdoorsBackdoors – Backdoors là những đoạn chương trình bí mật thường được đính kèm vào những chương trình khác nhằm giúp kẻ tấn công sau khi đã xâm nhập được vào hệ thống mở sẵn những lối vào (cổng hậu) – Khi được chạy trên máy nạn nhân, Backdoors sẽ thường trực trong bộ nhớ, mở một port (mặc định hoặc do kẻ tấn công quy định) giúp kẻ tấn công dễ dàng đột nhập vào máy nạn nhân thông qua port này. ATMMT - TNNQ 46
  47. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 9.9. Malicious Software SpywaresSpywares –– SpywareSpyware llàà mmộộtt loloạạii phphầầnn mmềềmm ttựự ccààii đđặặtt chchíínhnh nnóó trêntrên mmááyy ttíínhnh ccủủaa ngngưườờii ddùùng.ng. SpywareSpyware ththưườờngng đưđượợcc ssửử ddụụngng đđểể theotheo dõidõi xemxem ngngưườờii ddùùngng llààmm ggìì vvàà ququấấyy rrốốii hhọọ vvớớii nhnhữữngng thôngthông đđiiệệpp ththươươngng mmạạii xuxuấấtt hihiệệnn trongtrong nhnhữữngng ccửửaa ssổổ popuppopup –– ThThưườờngng ggồồmm ccáácc loloạạii Browser hijacking và Zombieware. ATMMT - TNNQ 47
  48. 2.2. CCáácc kkỹỹ thuthuậậtt ttấấnn côngcông phphổổ bibiếếnn vvàà ccơơ chchếế phòngphòng ththủủ 9.9. Malicious Software SpywaresSpywares Browser Hijacking: là một kỹ thuật có thể thay đổi các thiết lập của trình duyệt của người dùng. Nó có thể thay thế Website mặc định của người dùng với một trang web khác được lựa chọn bởi kẻ tấn công. Hoặc nó có thể ngăn chặn người dùng truy cập vào các Websites họ muốn đến thăm. Zombieware: là phần mềm có trên máy tính của người dùng và biến nó thành một zombie để khởi động các cuộc tấn công DDoS hoặc thực hiện các hoạt động có hại như gửi thư rác hoặc phát tán virus. ATMMT - TNNQ 48
  49. 3.3. LýLý llịịchch ccủủaa nhnhữữngng kkẻẻ ttấấnn côngcông CCáácc attackerattacker ccóó ththểể llàà:: –– BlackBlack hathat hackershackers –– ScriptScript kiddieskiddies –– CyberCyber spiesspies –– ViciousVicious employeesemployees –– CyberCyber terroriststerrorists ATMMT - TNNQ 49
  50. 3.3. LýLý llịịchch ccủủaa nhnhữữngng kkẻẻ ttấấnn côngcông BlackBlack hathat hackershackers –– HackersHackers llàà nhnhữữngng ngngưườờii ccóó tritri ththứứcc đđặặcc bibiệệtt vvềề hhệệ ththốốngng mmááyy ttíính.nh. HHọọ quanquan tâmtâm đđếếnn nhnhữữngng chichi titiếếtt tinhtinh ttếế ccủủaa phphầầnn mmềềm,m, gigiảảii thuthuậật,t, mmạạngng mmááyy ttíínhnh vvàà ccấấuu hhììnhnh hhệệ ththốống.ng. HHọọ llàà mmộộtt nhnhóómm ngngưườờii ưưuu ttúú,, nnăăngng đđộộng,ng, đưđượợcc đđààoo ttạạoo ttốốt.t. –– TTùùyy theotheo mmụụcc đđíích,ch, hhackersackers đưđượợcc chiachia ththàànhnh hackershackers mmũũ đđenen,, hackershackers mmũũ trtrắắngng vvàà hackershackers mmũũ xxáám.m. ATMMT - TNNQ 50
  51. 3.3. LýLý llịịchch ccủủaa nhnhữữngng kkẻẻ ttấấnn côngcông ScriptScript kiddieskiddies – Là những người sử dụng các script hoặc các chương trình được phát triển bởi các hacker mũ đen (những công cụ hack) để tấn công các máy tính và gây thiệt hại cho người khác. – Script kiddies chỉ biết sử dụng công cụ hack để tấn công các mục tiêu chứ không hiểu cách thức hoạt động và cũng không có khả năng viết ra những công cụ tương tự. – Đa số Script kiddies chỉ là những thanh thiếu niên, không đủ nhận thức và chín chắn để hiểu hết những hậu quả do mình gây ra. ATMMT - TNNQ 51
  52. 3.3. LýLý llịịchch ccủủaa nhnhữữngng kkẻẻ ttấấnn côngcông CyberCyber spiesspies – Có thể hoạt động trên lãnh vực quân sự, kinh tế – Đánh chặn truyền thông trên mạng và phá mã các thông điệp đã được mã hoá. – Nhiều tổ chức tình báo lớn trên thế giới đã thuê các nhà toán học, các nhà khoa học máy tính, các giáo sư đại học làm việc cho họ để phát triển các công cụ nhằm chống lại loại tội phạm này. ATMMT - TNNQ 52
  53. 3.3. LýLý llịịchch ccủủaa nhnhữữngng kkẻẻ ttấấnn côngcông ViciousVicious employeesemployees –– LLàà nhnhữữngng ngngưườờii ccốố ttììnhnh vivi phphạạmm anan ninhninh đđểể llààmm hhạạii nhnhữữngng ngngưườờii ssửử ddụụngng hhọọ –– TTấấnn côngcông mmááyy ttíínhnh côngcông tyty đđểể kikiếếmm ssựự quanquan tâmtâm ttừừ nhnhữữngng ngngưườờii lãnhlãnh đđạạo.o. –– HoHoạạtt đđộộngng nhnhưư gigiáánn đđiiệệpp mmạạngng đđểể thuthu ththậậpp vvàà bbáánn bbíí mmậậtt ccủủaa côngcông ty.ty. ATMMT - TNNQ 53
  54. 3.3. LýLý llịịchch ccủủaa nhnhữữngng kkẻẻ ttấấnn côngcông CyberCyber terrorists:terrorists: –– LLàà nhnhữữngng kkẻẻ khkhủủngng bbốố ccựựcc đđoanoan ssửử ddụụngng mmááyy ttíínhnh vvàà côngcông nghnghệệ mmạạngng llààmm côngcông ccụụ –– PhPháá hohoạạii ttààii ssảảnn côngcông ccộộngng vvàà cucuộộcc ssốốngng ccủủaa nhnhữữngng ngngưườờii vôvô ttộộii nênnên ccựựcc kkỳỳ nguynguy hihiểểm.m. –– VVẫẫnn chchưưaa ccóó nhnhữữngng bbááoo ccááoo đđầầyy đđủủ vvềề loloạạii ttộộii phphạạmm nnàày.y. ATMMT - TNNQ 54
  55. 4.4. MôMô hhììnhnh bbảảoo mmậậtt ccơơ bbảảnn MôMô hhììnhnh bbảảoo mmậậtt ccơơ bbảảnn ggồồmm 44 ththàànhnh phphầần:n: –– HHệệ ththốốngng mãmã hohoáá (Cryptosystem):(Cryptosystem): Sử dụng mật mã và các giao thức bảo mật để bảo vệ dữ liệu. Các giao thức bảo mật bao gồm các giao thức mã hoá, các giao thức chứng thực, các giao thức quản lý khoá. –– TTưườờngng llửửaa (Firewalls):(Firewalls): llàà nhnhữữngng ggóóii phphầầnn mmềềmm đđặặcc bibiệệtt ccààii trêntrên mmááyy ttíínhnh hohoặặcc thithiếếtt bbịị mmạạngng đđểể kikiểểmm tratra ccáácc ggóóii tintin đđii vvààoo vvàà đđii rara trêntrên mmạạng.ng. ATMMT - TNNQ 55
  56. 4.4. MôMô hhììnhnh bbảảoo mmậậtt ccơơ bbảảnn MôMô hhììnhnh bbảảoo mmậậtt ccơơ bbảảnn ggồồmm 44 ththàànhnh phphầần:n: – Hệ thống phần mềm chống độc hại (Anti-Malicious System software – AMS software): quét các thư mục hệ thống, tập tin, registry, sau đó nhận diện, cách ly hoặc xoá các mã độc hại. – Hệ thống tìm kiếm xâm nhập (Intrusion Detection System – IDS): giám sát việc đăng nhập vào hệ thống và hành vi của người dùng, phân tích file log để nhận diện và đưa ra cảnh báo khi khi phát hiện có sự xâm nhập. ATMMT - TNNQ 56
  57. 4.4. MôMô hhììnhnh bbảảoo mmậậtt ccơơ bbảảnn Bốn thành phần của mô hình bảo mật cơ bản ATMMT - TNNQ 57
  58. 4.4. MôMô hhììnhnh bbảảoo mmậậtt ccơơ bbảảnn Mô hình mạng của hệ thống mã hoá ATMMT - TNNQ 58
  59. 5.5. BBààii ttậậpp 1. Kiến thức cơ bản về mạng máy tính 1. Mô tả cấu trúc của một gói TCP và giải thích các chức năng của TCP header. 2. Mô tả cấu trúc của một gói IP và giải thích các chức năng của IP header. 3. Trình bày chức năng chính của giao thức ARP. 4. Trình bày chức năng chính của giao thức ICMP. 5. Trình bày chức năng chính của giao thức SMTP. 6. Mô tả giao thức bắt tay ba bước (Three-way handshake). 7. Nêu sự khác biệt giữa giao thức TCP và UDP. 8. So sánh những khác biệt chính giữa IPv4 và IPv6. 9. Trình bày chức năng cơ bản của router và switch. ATMMT - TNNQ 59
  60. 5.5. BBààii ttậậpp 2. Sử dụng các công cụ quản trị mạng 1. Nêu công dụng và cách sử dụng các lệnh ipconfig, ping, tracert, nslookup, netstat trong hệ điều hành Windows. 2. Trong hệ điều hành UNIX hay LINUX, nêu cách sử dụng các lệnh ping, nlslookup, netstat, arp và giải thích các kết quả thu được. 3. Nêu cách tìm một số thông tin như host name, địa chỉ MAC, địa chỉ IP, subnet mask, default gateway trên máy PC trong hệ điều hành Windows và Linux. 4. Mở cửa sổ cmd trong hệ điều hành Windows và nhập lệnh netstat –ano. Giải thích các kết quả thu được. Từ số port và PID thu được nhờ lệnh netstat, dùng Windows Task Manager để nhận diện chương trình đang chạy trên port đó là chương trình nào. ATMMT - TNNQ 60
  61. 5.5. BBààii ttậậpp 3. Sử dụng các công cụ Network sniffer. 1. Download TCPdump từ www.tcpdump và Wireshark từ www.wireshark.org và tiến hành cài đặt các phần mềm này. 2. Sử dụng Wireshark, sniff các gói ARP từ việc mở một trình duyệt và thăm một số trang web nào đó. Trình bày cách thực hiện và nêu nhận xét. 3. Tự tìm hiểu rồi nêu cách sử dụng công cụ TCPdump. 4. Tự gởi 1 email rồi lọc các gói tcp từ cổng 25. Nhận xét? 5. Thăm vài Websites và lọc tcp ở cổng 80. Giải thích kết quả thu được. 6. Tìm cách để bắt các gói tcp ở cổng 443. Nhận xét? ATMMT - TNNQ 61
  62. 5.5. BBààii ttậậpp 4.4. SSửử ddụụngng ScanScan portport đđểể kikiểểmm tratra ccáácc portport đđangang mmởở trêntrên mmááyy ttíínhnh 1. Sử dụng một phần mềm scan port bất kỳ để tìm các port đang mở trên máy tính. 2.2. XXáácc đđịịnhnh ccáácc chchươươngng trtrììnhnh đđangang chchạạyy ứứngng vvớớii nhnhữữngng portport đđangang mmởở 3.3. ĐĐóóngng llạạii mmộộtt ssốố ccổổngng đđangang mmởở NhNhậậnn xxéét.t. ATMMT - TNNQ 62
  63. 5.5. BBààii ttậậpp 5.5. CCààii đđặặtt phphầầnn mmềềmm ttưườờngng llửửaa ISAISA 20062006 trêntrên mmááyy WindowsWindows ServerServer 20032003 vvàà ththựựcc hihiệệnn ccáácc yêuyêu ccầầuu sau:sau: 1. So sánh System Policy và Access Rule. 2. Cho biết chức năng các thành phần trên giao diện ISA Management Console. 3. Nêu cách cấu hình ISA trên máy chủ ISA và trên máy tính khác kết nối từ xa. 4. Thực hiện tạo một số Access Rule cơ bản. ATMMT - TNNQ 63
  64. 5.5. BBààii ttậậpp 5. So sánh các loại ISA client: SecureNAT client Web Proxy client Firewall client 6. So sánh công dụng và cách hoạt động của các loại Network Templates: Edge Firewall 3-Leg Perimeter Front Firewall Back Firewall Single Network Adapter 7. Web caching là gì và hoạt động như thế nào? ATMMT - TNNQ 64
  65. 5.5. BBààii ttậậpp 8.8. ThThựựcc hihiệệnn viviệệcc gigiáámm ssáátt vvàà llậậpp bbááoo ccááoo trongtrong ISAISA server:server: Cấu hình Intrusion Detection and IP Preferences. Cấu hình giám sát và cảnh báo (Logging and alerts). Cấu hình và chạy báo cáo (Report). 9.9. GiGiớớii hhạạnn ddịịchch vvụụ vvàà llọọcc nnộộii dung:dung: Giới hạn mạng nội bộ truy cập Internet. Lọc nội dung trang Web. Cấm Internal Network truy xuất đến trang Web. ATMMT - TNNQ 65