Bài giảng Mô hình, nguyên lý, kỹ thuật đảm bảo an ninh mạng

pdf 61 trang phuongnguyen 2530
Download
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Mô hình, nguyên lý, kỹ thuật đảm bảo an ninh mạng", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfbai_giang_mo_hinh_nguyen_ly_ky_thuat_dam_bao_an_ninh_mang.pdf

Nội dung text: Bài giảng Mô hình, nguyên lý, kỹ thuật đảm bảo an ninh mạng

  1. MôMô hhìình,nh, nguyênnguyên lý,lý, kkỹỹ thuthuậậtt đđảảmm bbảảoo anan ninhninh mmạạngng PGS. TSKH. Hoàng Đăng Hải Học viện Công nghệ Bưu chính Viễn thông (PTIT) Email: hoangdanghai@hn.vnn.vn 2012 1
  2. NNộộii dungdung ™ Các mô hình, nguyên lý đảm bảo an ninh mạng ™ Phát hiện và chống xâm nhập trên mạng ™ Bảo vệ hệ thống thông tin trên mạng ™ Bảo vệ ứng dụng mạng 2
  3. CCáácc mômô hhìình,nh, nnguyênguyên lýlý đđảảmm bbảảoo anan ninhninh mmạạngng 3
  4. PhPhạạmm vivi bbảảoo vvệệ User Intreface Process Host Host Process Data Data Channel Security Login control Access control ‰ Bảo vệ mức vật lý: khóa phòng, các thiết bị kiểm soát, cáp ‰ Bảo vệ mức giao diện hệ thống: kiểm soát đăng nhập (ví dụ: với mật khẩu ) ‰ Bảo vệ truy cập, sử dụng hệ thống: kiểm soát truy nhập, quyền sử dụng ‰ Bảo vệ mức mạng: kết nối, các nút mạng, mã hóa dữ liệu 4
  5. MôMô hhììnhnh anan ninhninh trongtrong truytruyềềnn thôngthông mmạạngng (1)(1) 5
  6. MôMô hhììnhnh anan ninhninh trongtrong truytruyềềnn thôngthông mmạạngng (2)(2) 6
  7. VVíí ddụụ:: ccáácc quanquan hhệệ xxáácc ththựựcc 7
  8. MôMô hhììnhnh anan ninhninh trongtrong truytruy ccậậpp mmạạngng 8
  9. TTổổngng quanquan ccáácc mômô hhììnhnh anan ninhninh ‰ Vành đai bảo vệ: mô hình phổ biến tới nay • Được thiết kế từ những năm 60s: VD. Máy chủ được bảo vệ trong phòng riêng bằng các hệ thống khóa vật lý • Kernel trong hệ điều hành kiểm soát “all” • Kernel là gatekeeper, kiểm soát người dùng • Tương tự các bức tường pháo đài Analogous to castle walls & maginot line ‰ Các mô hình không dùng vành đai bảo vệ: Mật m㠉 Các mô hình mới: • Hệ thống miễn dịch: Không vành đai. Phát hiện cục bộ các lỗi ứng dụng. • Phòng thủ tích cực (chủ động): Dùng 1 số tác vụ ở vùng giao tranh với tin tặc. Các hệ thống bảo vệ tới nay vẫn còn là thụ động. • Sử dụng các đặc tính vật lý: Nhúng thông tin vật lý (Sensor, RFID, Chip ) • Các mô hình mới?: bắt chước hệ miễn dịch sinh học. Active Networks và Active Agents, Detector networks, 9
  10. TTổổngng quanquan ccáácc mômô hhììnhnh anan ninhninh mmạạngng • Mô hình Bell LaPadula (trạng thái hữu hạn, phân mức nhạy cảm) Policy • Mô hình Biba (BLP+ cấp+ tập chính sách) • Mô hình Harrison-Ruzzo-Ullman (BLP + cấp phép) • Mô hình chính sách Unix System V/MLS Security Policy • Mô hình lưới mắt cáo của luồng tin (Lattice Model of Information Flow) • Mô hình không can thiệp (Noninterference Security Model) Information • Mô hình Clark-Wilson Flow • Mô hình Chinese Wall • Các mô hình kiểm soát truy nhập theo vai trò (Role-Based Access Control) • Các mô hình cấp phép dựa theo tác vụ (Task-Based Authorisation Models for Workflow) - Workflow Authorisation Model (WAM) - Task-Based Authorisation Controls (TBAC) • Security Models for Object-Oriented Information Systems - The Authorisation Model by Fernandez - The Orion Authorisation Model - The DORIS Personal Model of Data - Further Relevant Research • Resource Allocation Model for Denial of Service Protection • Multiple Security Policies Modelling Approaches 75 - The Generalised Framework for Access Control (GFAC) - The Multipolicy Paradigm and Multipolicy Systems 10
  11. MôMô hhììnhnh BellBell LaPadulaLaPadula (BLP)(BLP) ƒ Còn gọi là mô hình nhiều lớp, ƒ Được Bell và LaPadula đề xuất nhằm thực thi kiểm soát truy nhập trong các ứng dụng cho chính phủ và quân đội Mỹ. ƒ Các ứng dụng, đối tượng, chủ thể thông tin được phân loại thành nhiều mức an ninh khác nhau. ƒ Một chủ thể chỉ có thể truy nhập các đối tượng thông tin ở các cấp đã được xác định trước ứng với cấp độ an ninh nó được phép. ƒ Ví dụ về quy định an ninh điển hình: Phân lớp mức nhạy cảm của thông tin “Một nhân viên thuần túy không thể đọc thông tin được phân loại là bí mật” “Các dữ liệu tối mật không thể ghi vào các tệp ở mức không kiểm soát”. 11
  12. MôMô hhììnhnh BellBell LaPadulaLaPadula (BLP)(BLP) Cho L(S)= ls là cấp an ninh cho chủ thể S. Cho L(O)= lo là phân loại an ninh cho đối tượng O. Đối với mọi phân loại thông tin li, (i=0, , k-1), và (li < li+1) cần có: • Điều khiện an ninh đơn giản (Đọc dữ liệu): No Read UP S chỉ có thể đọc O khi và chi khi lo < = ls (cấp an ninh rộng hơn phân loại đối tượng) và S có quyền truy nhập để đọc nội dung cụ thể của O. • Đặc tính “Sao” (*) (Star property) (Ghi dữ liệu): No Write DOWN S chỉ có thể ghi vào O khi và chỉ khi ls < = lo (cấp an ninh nhỏ hơn phân loại đối tượng) Và S có quyền truy nhập để đọc nội dung cụ thể của O. Chủ thể TS (Top Secret) không thể ghi dữ liệu vào file có phân cấp thấp hơn TS Æ Chống dò rỉ thông tin đã phân loại. No Read UP; No Write Down! Vấn đề tồn tại: Các nhóm chủ thể khác loại trao đổi thông tin với nhau như thế nào? 12
  13. MôMô hhììnhnh BellBell LaPadulaLaPadula (BLP)(BLP) ĐĐịịnhnh lýlý anan totoàànn thôngthông tintin ccơơ bbảảnn Cho S là một hệ thống với trạng thái an toàn ban đầu là σ0 Cho L là tập các chuyển đổi trạng thái. i là chỉ số trạng thái Nếu như mỗi phần tử của tập L bảo toàn điều kiện an ninh đơn giản (NO READ UP), và đặc tính “sao” (NO WRITE DOWN), thì mọi trạng thái σi , được coi là an toàn, với mọi i ≥ 0. 13
  14. VVíí ddụụ:: PhânPhân ccấấpp ththưư mmụụcc ƒ Một thư mục với tập các thư mục con, mỗi thư mục gán 1 tên ƒ Các thư mục ẩn bình thường không hiển thị cho người dùng. ƒ Khi một tiến trình có tên MAC_A tạo một tệp trong /tmp, nó sẽ tạo một file trong thư mục ẩn trong /tmp with tên MAC_A ƒ Thư mục cha của 1 file trong /tmp là thư mục ẩn. ƒ Mọi tham chiếu đến thư mục cha sẽ đến thẳng thư mục ẩn. ƒ Tiến trình A với MAC_A sẽ tạo /tmp/a. Tiến trình B với MAC_B sẽ tạo /tmp/b. Mỗi tiến trình sẽ thực hiện: “cd /tmp/a; cd ” Câu lệnh hệ thống: stat(“.”, &stat_buffer) sẽ cho lại số hiệu nút I khác nhau đối với mỗi tiến trình. Số hiệu nút này là của thư mục ẩn tương ứng. 14
  15. MôMô hhììnhnh BibaBiba ƒ Bản sao của BLP ƒ Dựa trên Mô hình máy trạng thái hữu hạn như BLP. ƒ Định nghĩa các cấp toàn vẹn (tương tự phân cấp an ninh / mức độ nhạy cảm như BLP) ƒ Định nghĩa 1 tập các chính sách: ƒ Các mức toàn vẹn tĩnh ƒ Các mức toàn vẹn động ƒ Các chính sách viện dẫn 15
  16. MôMô hhììnhnh HarrisonHarrison RuzzoRuzzo UllmanUllman (HRU)(HRU) ƒ Mô hình BLP không có chính sách cho: ƒ Thay đổi quyền truy nhập ƒ Tạo mới và xóa bỏ các chủ thể và đối tượng ƒ Mô hình HRU định nghĩa hệ thống cấp phép để giải quyết vấn đề trên. Khái niệm mô hình: ƒ Định nghĩa các tập: ƒ Tập các chủ thể S, Tập các đối tượng O ƒ Tập các quyền truy nhập R – (Các thao tác truy nhập như BLP) ƒ Ma trận truy nhập Mso (mô tả trạng thái hệ thống). Mỗi lệnh được ghi nhận bằng việc thay đổi trạng thái từ M Æ M’ ƒ Định nghĩa 6 thao tác nguyên thủy: • Enter r into Mso (thêm quyền truy nhập cho Mso) • Delete r from Mso (xóa quyền truy nhập của Mso) • Create subject s • Create object o • Delete subject s • Delete object o. ƒMô hình HRU cho phép: ƒ Kiểm tra việc cần thiết phải tránh cấp phép quyền truy nhập không mong muốn ƒ Kiểm chứng các đặc tính an ninh của đối tượng và chủ thể 16
  17. Các mô hình luồng tin Lưới mắt cáo (Lattice), Không can thiệp, Clark-Wilson, Chinese Wall ƒ Xem xét mọi luồng tin đi qua, kể cả các luồng tin ẩn (thông qua việc kiểm soát các hành vi truy cập) ƒ Sử dụng mô hình lý thuyết Entropy của luồng tin. Entropy là lượng thông tin có thể thu được qua quan sát luồng tin. ƒ Sử dụng các mô hình theo kiểu lưới mắt cáo (lọc thông tin) Khái niệm mô hình lattice: ƒ Một luồng tin FM định nghĩa bởi: FM = { N, P, SC, ⊕, Æ } ƒ N = {a, b, } là tập các đối tượng logic (ví dụ files, segments, các biến chương trình ). Mỗi người dùng có thể coi là 1 object. ƒ P = {p,q, } là tập các tiến trình. SC = {A, B, } là tập các lớp an ninh tương ứng với phân lớp các thông tin. ƒ Mỗi object a được giới hạn trong một lớp an ninh. Có 2 phương pháp liên kết: liên kết tĩnh và liên kết động ƒ ⊕ là toán tử kết hợp lớp. Kết hợp binary của 2 lớp a và b là a⊕b ƒÆlà biểu thị quan hệ giữa các luồng tin. Ví dụ cho các lớp A, B: AÆ B nghĩa là chỉ và chỉ khi thông tin của lớp A được phép đưa vào lớp B. 17
  18. MôMô hhììnhnh ChineseChinese WallWall ƒ Kiểm soát các quyền truy nhập động ƒ Dựa trên tập luật truy nhập và giảm thiểu mâu thuẫn về lợi ích theo quy luật: Không luồng tin nào được gây ra xung đột lợi ích với luồng tin khác Chinese Wall Model: ƒ Cho tập các công ty, Các nhà phân tích= Subjects, Các đơn vị thông tin = Objects ƒ Objects trong cùng công ty = Tập dữ liệu của công ty ƒ Các công ty tương tranh = Xung đột giữa các lớp quyền lợi ƒ Nhãn an ninh đối tượng = cặp (Cdataset, Col Class) ƒ Thông tin làm sạch = thông tin đã xóa bỏ phần nhạy cảm ƒ Đặc tính ss (ss-Property): Cấm mọi chủ thể để lộ ra xung đột về quyền lợi ƒ Quyền truy nhập được cấp nếu object thuộc: ƒ Dataset của công ty đã cấp cho người dùng hoặc ƒ Một xung đột khác của lớp lợi ích 18
  19. MôMô hhììnhnh ChineseChinese WallWall (2)(2) ƒ Đặc tính “sao” (*-Property): Cấm thông tin chưa làm sạch được lấy ra khỏi tập dữ liệu của một công ty ƒ Quyền truy nhập ghi ra được cấp nếu không có object nào khác được đọc với điều kiện: ƒ Object đóthuộc tập dữ liệu của một công ty khác ƒ Object đó chưa thông tin chưa làm sạch 19
  20. MôMô hhììnhnh ClarkClark WilsonWilson ƒ Thiết kế cho các yêu cầu an ninh cho các ứng dụng thương mại (khác yêu cầu quân sự theo BLP) ƒ Các yêu cầu chủ yếu về tính toàn vẹn của thông tin ! ƒ Các yêu cầu về tính toàn vẹn: ƒ Tính nhất quán trong: các đặc tính về trạng thái bên trong hệ thông (có thể thực thi bởi hệ thống) ƒ Tính nhất quán ngoài: quan hệ trạng thái bên trong một hệ thống với thế giới bên ngoài (thực thi bởi bên ngoài – ví dụ kiểm toán). ƒ Thực thi tính toàn vẹn nghĩa là: ƒ Giao dịch chuẩn xác ƒ Phân chia được trách nhiệm. Các chương trình được dùng làm phương tiện kiểm soát trung gian cho subject-object. Subject= chủ thể có quyền thực thi 1 số chương trình. ƒ Thể hiện tính toàn vẹn: ƒ Chủ thể được cấp quyền thực hiện một chương trình trên một đối tượng (data item) mà đối tượng này có thể được truy nhập từ chương trình này ! 20
  21. PhPháátt hihiệệnn vvàà chchốốngng xâmxâm nhnhậậpp 21
  22. Nguyên lý IDS/IPS ‰ IDS = Intrusion Detection System ‰ IPS = Intrusion Prevention System ‰ IDPS = Intrusion Detection and Prevention System - Giám sát an ninh mạng. -Nhận biết những nguy cơ mất an ninh -Nhận biết những vi phạm chính sách an ninh -Nhận biết, Phát hiện các lưu lượng bất thường, dấu hiệu khả nghi - Phát hiện tấn công gây hại cho hệ thống, mạng qua khai thác những lỗ hổng bảo mật của hệ thống mạng -Ghi lại thông tin và đưa ra cảnh báo - Ngăn chặn vi phạm an ninh, vi phạm chính sách, ngăn chặn tấn công 22
  23. Phương pháp phát hiện xâm nhập -Dựa theo dấu hiệu (signature-based); -Dựa theo hành vi bất thường (anormaly-based); -Dựa vào phân tích trạng thái giao thức (stateful protocol analysis). Phát hiện dựa theo dấu hiệu •Dấu hiệu (signature) =mẫu tương ứng với một nguy cơ đã biết trước. •Phát hiện dựa theo dấu hiệu= quá trình so sánh dấu hiệu với những sự kiện quan sát được. •Dấu hiệu được lưu dưới những file, so sánh trực tiếp với thông tin có trong chuỗi sự kiện. Phát hiện dựa theo hành vi bất thường •Căn cứ vào các phương pháp thống kê và kinh nghiệm để đưa ra các mức ngưỡng về hoạt động bình thường. • So sánh các sự kiện quan sát được với giá trị ngưỡng bình thường tương ứng để phát hiện xâm nhập Phân tích trạng thái giao thức • So sánh giá trị ngưỡng (đã định nghĩa trước) trạng thái hoạt động bình thường của giao thức với các sự kiện quan sát được để nhận biết sự khác biệt. 23
  24. Phân tích dấu hiệu và hành vi signature-detection IDS anomaly-detection IDS 24
  25. Bên trong IDPS 25
  26. Các công nghệ IDS/IPS ‰ Phân loại - Network-based IDPS (NIDPS) - Host-based IDPS (HIDPS) - Application-based IDPS (AIDPS). ‰ NetwoNetworkrk-based IDPS Mô hình này phổ biến cho các hệ thống NIDPS thực tế. Ví dụ như ISS RealSecure, Cisco IDS, và Enterasys Dragon NIDS phát hiện các tấn công bằng cách bắt và phân tích các gói tin trong mạng, giám sát lưu lượng mạng NIDS thường là thiết bị thụ động, nó nghe trên các dây mạng mà không làm ảnh hưởng tới hoạt động bình thường của mạng 26
  27. Network-based IDS/IPS (1) Network-based IDPS: -Giám sát lưu lượng mạng tại những thiết bị mạng hoặc các phân đoạn mạng riêng biệt. - Phân tích các giao thức tại lớp mạng, lớp truyền tải và lớp ứng dụng để xác định những hoạt động khả nghi. Sensor (cảm biến): Sensor thực hiện giám sát và phân tích hoạt động mạng trên một hoặc nhiều phân đoạn mạng. Có hai dạng Sensor: - Sensor theo thiết bị (appliance-based sensor) gồm phần cứng và phần mềm chuyên dụng. - Sensor phần mềm (software-only sensor) được cài đặt trên các host cụ thể. Sensor có thể là nội tuyến (inline Sensor) và thụ động (passive sensor). - Sensor nội tuyến giám sát tất cả lưu lượng mạng đi qua nó (thường kèm theo các phương pháp ngăn chặn). - Sensor thụ động giám sát bản sao của lưu lượng mạng thực tế (thường không sử dụng các biện pháp ngăn chặn). 27
  28. Network-based IDS/IPS (2) Network-Base IDPS sử dụng sensor thụ động Network-Base IDPS sử dụng sensor nội tuyến 28
  29. Host-based IDS/IPS Host-based IDPS (HIDPS) hoạt động dựa vào thông tin được thu thập từ trong một hệ thống máy tính độc lập. HIDPS sử dụng 2 nguồn thông tin: -các dấu vết hoạt động của hệ điều hành -các log hệ thống. Nhiều HIDPS được thiết kế hỗ trợ nền tảng báo cáo và quản lý IDS tập trung, điều này có thể cho phép một cổng quản lý đơn theo dõi được nhiều host Một IDS đơn giản nhất là thiết bị giám sát logfile (logfile monitors), phát hiện xâm nhập bằng cách phân tích các log sự kiện của hệ thống (dễ bị tin tặc thay đổi log !). Một khả năng khác là giám sát tính toàn vẹn của cấu trúc hệ thống. Ví dụ: tìm ra sự thay đổi do tin tặc xâm nhập. Các thuộc tính giám sát có thể sử dụng: cờ báo file, thời gian, kích thước, hash, thuộc tính file, quyền truy cập, 29
  30. Triển khai Host-based IDS/IPS -Hầu hết công nghệ HIDPS có các phần mềm phát hiện gọi là Agent, được cài đặt trên những host quan tâm. -Mỗi một agent giám sát hoạt động trên một host riêng, có thể có khả năng ngăn chặn hành động xâm phạm (HIPS). - Các agent trao đổi và truyền dữ liệu giám sát được đến các máy chủ quản lý. -Mỗi một agent thường được thiết kế để bảo vệ một máy chủ, một máy tính để bàn, một máy tính laptop hoặc một dịch vụứng dụng 30
  31. Application-based IDS/IPS - IDPS dựa trên ứng dụng (AIDPS) là một dạng của IDPS dựa trên host. - AIDPS phân tích các sự kiện trong một ứng dụng phần mềm để giám sát và phát hiện xâm nhập. -Hầu hết các nguồn thông tin chung được sử dụng bởi AIDPS là các log file phiên làm việc của ứng dụng. -Khả năng giao tiếp trực tiếp với ứng dụng cho phép AIDS phát hiện các dấu hiệu nghi ngờ đối với người sử dụng đã được phép vượt quá sự cho phép. Đây là khả năng xuất hiện phổ biến trong quá trình tương tác giữa các người sử dụng, giữa dữ liệu và ứng dụng 31
  32. BBảảoo vvệệ hhệệ ththốốngng thôngthông tintin 32
  33. AnAn ninhninh mmááyy trtrạạmm Nếu một máy trạm không an toàn thì toàn mạng sẽ không - File Sharing an toàn ! - Anonymous FTP - Guest Login -Mail 33
  34. CCáácc khkhảả nnăăngng bbảảoo vvệệ mmạạngng • Không nối Internet ! •Lọc gói tin với Access Control List (ACL) •Tường lửa (Firewalls) • Mã hóa (Privacy with encryption) Các lớp an ninh và yêu cầu về chính sách User Secure Address Multiprotocol Authentication Routing Translation Tunnels Access Enterprise Event Legacy Encryption Control Gateways Logging Integration 34
  35. FirewallsFirewalls •Là nơi kiểm soát, theo dõi thông tin vào ra. Kết nối giữa hai mạng có độ tin cậy khác nhau. •Áp đặt các giới hạn truy nhập dịch vụ mạng = chỉ cho phép lưu lượng được phép đi qua. •Kiểm toán và kiểm soát truy nhập = cảnh báo khi có hành vi bất thường. • Giám sát NAT •Ngăn chặn tấn công từ Internet (không chặn từ trong !) •Cóthể là 1 chương trình phần mềm hoặc thiết bị phần cứng lọc thông tin Lọc gói tin với tường lửa 35
  36. Mô hình cơ bản của Firewalls ‰ Phương thức kiểm soát lưu lượng vào / ra ƒ Packet Filter: Phân tích các gói tin dựa theo tập luật (lọc tin). Chặn gói tin trái phép. ƒ Proxy Firewall (Application): Kiểm soát thông tin mức ứng dụng. Tạo các bản tin lớp ứng dụng gửi tới / nhận từ các hệ thống có yêu cầu ƒ Stateful Inspection: Phương pháp mới. Không cần kiểm tra nội dung từng gói tin. So sánh các phần cốt lõi của gói tin với cơ sở dữ liệu xác thực. Theo dõi thông tin dựa theo các đặc tính xác định trước để cho qua hoặc chặn lại. 36
  37. Firewalls – Packet Filter •Filter = Phần cơ bản nhất, tốc độ cần nhanh nhất của Firewall. Là thành phần cấu thành mọi loại Firewall •Kiểm tra mọi gói tin IP, cho phép hoặc bỏ theo luật Æ hạn chế truy nhập dịch vụ/cổng • examine each IP packet (no context) and permit or deny according to rules • Chính sách Firewall ngầm định: – Những gì không cho phép rõ ràng đều bị cấm ! – Những gì cấm không rõ ràng đều được phép ! 37
  38. Cấu hình Firewalls ‰ Các đặc trưng cấu hình Firewall ƒ IP adr, Domain names: set barrier on. ƒ Protocols: different hosts handle specific protocols and ban other. ƒ Ports: enable / disable ports ƒ Specific words and phrases ‰ Ví dụ về tập luật lọc của Firewall 38
  39. Proxy Firewalls ƒ Các chương trình đặc biệt ở máy trạm pháo đài (bastion host) ƒ Nhận và Chuyển yêu cầu người dùng tới real servers (Proxy là trung gian) ƒ Nhận và Chuyển trả lời của server tới người dùng (Proxy là trung gian) ƒ Thực thi chính sách an ninh phía máy trạm và có thể từ chối yêu cầu ƒ Hoạt động tương tự các gateways mức ứng dụng. ƒ Với các chương trình "Proxy client" đặc biệt, proxy servers hầu như trong suốt đối với người dùng. 39
  40. Firewalls - Application Level Gateway (or Proxy) Outbound Only Outbound Only Internet Proxy Server PublicPublic DNS WWW FTP Mail - Gateway mức ứng dụng (proxy server): chuyển tiếp kết nối lưu lượng lớp ứng dụng. - Client nối với gateway: truy cập các dịch vụ, cần cung cấp chi tiết: dịch vụ, trạm xa, số liệu xác thực. - Gateway kết nối ứng dụng với máy trạm xa, chuyển các dữ liệu giữa hai đầu cuối. -Nếu gateway không chứa mã proxy cho 1 ứng dụng nào đó, nó sẽ không hỗ trợ dịch vụ. - Gateway mức ứng dụng an toàn hơn lọc gói tin, có thể ghi nhật ký, kiểm toán lưu lượng ở mức ứng dụng. 40
  41. TrTrạạmm phphááoo đđààii (Bastion(Bastion Host)Host) Perimeter Network Bastion host & exterior FW router can be merged ƒ Bastions kiểm soát các khu vực quan trọng, thường cần các firewall bảo vệ ƒ Người dùng trong mạng cần 1 cơ chế để truy nhập dịch vụ bên ngoài. Họ cần log vào Bastion Host. ƒ Đặc trưng của một Bastion Host: ƒ hardened (trusted) O/S. Chỉ gài essential services. Bổ sung extra authentication ƒ proxies small (chỉ có app’s command subset cần thiết), secure. Mỗi proxy chạy độc lập ở chế độ non-privileged. ƒ Có 2 hoặc nhiều NIC (ports), hỗ trợ xác thực giữa các kết nối mạng. 41
  42. Cấu hình Bastion Host Hệ thống bảo vệ với Bastion Host gồm hai phần: •Một packet-filtering router Æ Chỉ cho phép các gói tin đến / đi từ Bastion • Bastion host thực hiện các chức năng xác thực và Proxy. • Mô hình thực thi lọc gói tin hai mức: mức gói tin và mức ứng dụng (Firewall 2 tầng). Điều này gây khó khăn cho tin tặc phải thực hiện xâm nhập 2 hệ thống riêng biệt thì mới có khả năng tấn công mạng trong. • Cho phép truy cập trực tiếp vào từng server nội bộ theo yêu cầu. 42
  43. DemilitarizedDemilitarized ZoneZone (DMZ)(DMZ) Internet Public Public DNS WWW FTP Mail Network Services: Telnet, FTP, HTTP (WWW), etc. Thông thường là: one-step connections. Giả thiết chỉ cho phép đi ra. Option 1: users go through two steps Option 2: deploy application proxy-servers Option 3: deploy one-way firewalling Các công nghệ sử dụng: Route Filtering, Access Control Lists & Logging, Network Address Translation Payload Encryption, Reflexive Access Control Lists, Management/Monitoring 43
  44. VirtualVirtual PrivatePrivate DialDial NetworksNetworks Internet Server • Encrypted access Layer 2 Forwarding - Look and feel of dial up - workgroup LAN from anywhere on internet - Multiprotocol: IP, IPX, SNA, AppleTalk, any protocol Address from “Home” Dynamic tunnel User name/password Negotiate at “HOME” 44
  45. Lựa chọn phương thức mã hóa Application-Layer Encryption Application Layers (5–7) Transport/Net Network-Layer Encryption work Layers (3–4) Link/Physical Layers (1–2) Link-Layer Link-Layer Encryption Encryption - Mã hóa có thể ở lớp ứng dụng qua phần mềm đặc biệt ở các trạm client và các máy chủ. Æ Ưu điểm: end-to-end. Nhược điểm: không hỗ trợ mọi ứng dụng, khó quản lý. - Mã hóa có thể ở lớp mạng qua các trình điều khiển giao diện mạng và các giao thức đặc biệt. Æ Ưu điểm: trong suốt giữa các mạng con, dễ quản lý. - Mã hóa ở lớp Link qua các trình điều khiển giao diện và các thiết bị mã hóa đặc biệt. Æ Ưu điểm: không phụ thuộc giao thức, song không end-to-end. 45
  46. Giám sát an ninh mạng Giám sát an ninh mạng: thu thập thông tin về hoạt động mạng, về các sự kiện xảy ra, phân tích tương quan, phát hiện khả năng tấn công và đưa ra cảnh báo sớm về nguy cơ tấn công. Phương thức thu thập thông tin Việc thu thập thông tin có thể thực hiện qua một thiết bị trinh sát (gồm phần cứng và phần mềm) hoặc qua một phần mềm đặc biệt được cài tại thiết bị mạng hoặc máy đầu cuối. Phương thức phát hiện Ba nguyên tắc cơ bản để phát hiện tấn công là: phát hiện dựa trên dấu hiệu (blacklist, signature-based), phát hiện hành vi bất thường (Anomality) và phát hiện vi phạm chính sách (Policy violation) 46
  47. BBảảoo vvệệ ứứngng ddụụngng 47
  48. BBảảoo vvệệ WebWeb SSL (Secure Socket Layer) • Là cơ chế an ninh sử dụng phổ biến nhất cho Web • Transport layer security service (Thiết kế bởi Netscape) • Ngày nay, IETF đưa thành chuẩn dưới tên TLS (Transport Layer Security). •Sử dụng TCP để cung cấp dịch vụ tin cậy end-to-end SSL có hai lớp giao thức: • The SSL Record Protocol: Cung cấp các dịch vụ an ninh cơ bản cho các lớp cao. • Hypertext Transfer Protocol (HTTP): cung cấp dịch vụ truyền tải cho tuơng tác Web client / server. 3 giao thức lớp cao khác được coi là thành phần của SSL: - Handshake Protocol, Change Cipher Spec Protocol, và Alert Protocol. Các giao thức này được sử dụng trong quá trình quản lý trao đổi thông tin SSL 48
  49. KiKiếếnn trtrúúcc SSLSSL • SSL connection –Làmột kết nối mạng sử dụng dịch vụ SSL với tính chất trong suốt, peer-to- peer, gắn liền với 1 SSL session • SSL session –Làmột quan hệ client & server, được tạo bởi Handshake Protocol. –Xác định một tập các tham số mật mã dùng để chia sẻ giữa các kết nối. –Thường dùng để tránh việc lợi dụng việc thương thảo trong quá trình thiết lập kết nối đặt thêm các tham số an ninh mới. 49
  50. CCáácc ddịịchch vvụụ SSLSSL RecordRecord ProtocolProtocol SSL Record Protocol xác định 2 dịch vụ cho kết nối SSL: • message integrity – Handshake Protocol xác định 1 khóa bí mật dùng chung, dùng để tạo ra 1 MAC (Message Authentication Code). • confidentiality – Handshake Protocol xác định 1 khóa bí mật dùng chung, được dùng cho mã hóa nội dung gói tin SSL. –Bản tin được nén trước khi nối với MAC và trước khi mã hóa. Các mã khóa có thể dùng là AES, IDEA, DES, • Record Protocol nhận bản tin ứng dụng, phân mảnh thành các khối bản tin, nén dữ liệu, gắn thêm MAC, mã hóa, chèn thêm header rồi chuyển bản tin đi dưới dạng một TCP- Segment. •Dữ liệu nhận được sẽ được giải mã, kiểm tra, giải nén, ghép mảnh và chuyển cho ứng dụng. 50
  51. SSLSSL HandshakeHandshake ProtocolProtocol ƒ Khởi tạo: với bản tin Hello ƒ Thiết lập kết nối logic (trao đổi Certificate và khóa). ƒ Server yêu cầu Certificate và khóa ƒ Client gửi Certificate và khóa ƒ Xác thực và kết thúc giai đoạn bắt tay. 51
  52. TLSTLS –– TransportTransport LayerLayer SecuritySecurity •TLS làbản chuẩn của SSL áp dụng cho Internet •Chuẩn IETF RFC 2246 tương tự với SSLv3 với 1 số điều chỉnh cơ bản như sau: –Sử dụng Hash MAC –Sử dụng hàm pseudo-random để mở rộng khả năng bảo mật –Bổ sung thêm các mã cảnh báo –Một số thay đổi về mã khóa, kiểu mã, phương thức thương thảo, tính toán mã và chèn thêm mã giả 52
  53. Những lỗ hổng hàng đầu trong ứng dụng Web Điểm yếu Tóm tắt Dữ liệu đầu vào không A1 Không kiểm tra thông tin với HTTP được kiểm tra Lỗi kiểm soát truy cập A2 Không đặt hạn chế quyền truy nhập tài nguyên người dùng. nguồn tài nguyên Lỗi liên quan đến quá A3 trình quản lý xác thực và Không bảo vệ quá trình xác thực và quản lý phiên truy cập phiên truy cập. Lỗi Cross Site Scripting A4 Lỗi chéo trang (nhúng đoạn mã link đến trang khác). (XSS) Thiếu kiểm tra dữ liệu đầu vào (CGI, thư viện, drivers, và các module A5 Lỗi tràn bộ đệm phần mềm). A6 Lỗi Injection Lỗi dùng dữ liệu đầu vào làm tham số cho các hàm gọi vào hệ thống. Những lỗi thông thường không được xử lý phù hợp (thông tin phản A7 Quy trình quản lý báo lỗi hồi về tin tặc). A8 Lưu trữ thiếu an toàn Ứng dụng/hàm mã hóa không an toàn. A9 Từ chối dịch vụ Quản lý cấu hình thiếu an A10 Thiếu an toàn khi lập cấu hình máy chủ toàn 53
  54. FingerprintsFingerprints ƒ 1903: First use of fingerprints identification system in the US ƒ 1918: 12 details of fingerprints were detected giving positive identification result. ƒ 1946: FBI processed 100 million fingerprint cards (manual cards) ƒ 1971: FBI had 200 millions cards ƒ FBI had identified 25-30 million criminals (by computer records) ƒ 2005: FBI identified 49 million individual computerized fingerprint records for known criminals 54
  55. Fingerprints:Fingerprints: todaytoday ƒ Two identical fingers 43 minutiae (right) 39 minutiae (left) ƒ Two different fingers 65 minutiae detected (right) 64 minutiae detected (left) 25 “false” correspondences found 55
  56. CCáácc kkỹỹ thuthuậậtt bbảảoo vvệệ khkháácc ƒ Các kỹ thuật bảo vệ lớp vật lý ƒ Hạ tầng PKI, hệ thống xác thực ƒ Bảo vệ máy chủ (Web, DNS, Mail ) ƒ Bảo vệ mạng không dây ƒ Kỹ thuật Honeypot, Honeynet, Honeywall ƒ Các kỹ thuật đánh chặn, phản công 56
  57. TTấấnn côngcông vvàà phòngphòng ththủủ trongtrong llịịchch ssửử Phòng tuyến sông Như Nguyệt Thành nhà Hồ 57
  58. TTấấnn côngcông vvàà phòngphòng ththủủ trongtrong llịịchch ssửử Hàng rào điện tử McNamara Hầm Đờ Cát Địa đạo Củ Chi 58
  59. TTấấnn côngcông vvàà phòngphòng ththủủ trongtrong llịịchch ssửử Nghe trộm điện thoại Cây nhiệt đới Hệ thống nghe lén tình báo qua điện thoại 59
  60. TTấấnn côngcông vvàà phòngphòng ththủủ hihiệệnn đđạạii Skype attacks Wikileaks Hệ thống tấn công mạng 60
  61. TTấấnn côngcông vvàà phòngphòng ththủủ hihiệệnn đđạạii Chiến binh mạng Sâu Duqu tấn công hệ thống SCADA (hệ thống điện quốc gia) Tấn công hệ thống ngân hàng 61