Giáo trình Bảo mật hệ thống thông tin - Chương 1: Tổng quan về bảo mật hệ thống thông tin

pdf 82 trang huongle 3100
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Bảo mật hệ thống thông tin - Chương 1: Tổng quan về bảo mật hệ thống thông tin", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_bao_mat_he_thong_thong_tin_chuong_1_tong_quan_ve.pdf

Nội dung text: Giáo trình Bảo mật hệ thống thông tin - Chương 1: Tổng quan về bảo mật hệ thống thông tin

  1. CHCHƯƠƯƠNGNG II TỔNG QUAN VỀ BẢO MẬT Hệ Thống Thông Tin NN BMHTTT 1
  2. I.1I.1 GiGiớớii thithiệệuu chungchung I.1.1 Mở đầu về bảo mật hệ thống thông tin „ Gồm ba hướng chính „ Bảo đảm an toàn thông tin tại máy chủ „ Bảo đảm an toàn cho phía máy trạm „ Bảo mật thông tin trên đường truyền „ Có thể xem xét theo „ Hệ điều hành và ứng dụng „ Cơ sở dữ liệu „ Mạng NN BMHTTT 2
  3. NhNhữữngng yêuyêu ccầầuu vvềề anan totoàànn „ Confidentiality (sự tin cậy) „ Integrity (tính toàn vẹn) „ Authentication (chứng thực) „ Non-repudiation (không thể từ chối) „ Availability (sẵn dùng) „ Access control (điều khiển truy cập) „ Combined „ User authentication used for access control „ Non-repudiation combined with authentication NN BMHTTT 3
  4. CCáácc yêuyêu anan totoàànn thôngthông tintin „ Nhiều yêu cầu mới liên quan tới bảo mật hệ thống thông tin trên mạng „ Ngoài phương pháp vật lý còn cần các kỹ thuật bảo mật, chính sách bảo mật và các giải pháp bảo mật „ Phải có các công cụ hỗ trợ bảo đảm an toàn thông tin. „ Các yêu cầu mới: Bảo mật Outsourcing, bảo mật hệ thống phân bố, bảo mật trong Datamining, cơ sở dữ liệu thống kê, giao dịch thương mại điện tử, tính riêng tư, tội phạm và bản quyền số NN BMHTTT 4
  5. AttackAttack NN BMHTTT 5
  6. RiskRisk Customers Competitors Employees (remote workers, mobile workers) Business Partners Hackers C (suppliers, outsourcers, ss y e be consultants)ultants sin er- u -cr l B rim ta e gi Di Contractors Employees Temporaries Visitors NN Sensitive Data BMHTTT 6
  7. I.1.2I.1.2 NguyNguy ccơơ vvàà hihiểểmm hhọọaa „ Hiểm họa vô tình: khi người dùng khởi động lại hệ thống ở chế độ đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công việc họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng. „ Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép. „ Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệ thống, như nghe trộm các gói tin trên đường truyền. „ Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống NN BMHTTT 7
  8. NguyênNguyên nhânnhân „ Từ phía người sử dụng: xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị. Trong đó quan trọng nhất là những người dùng nội bộ „ Kiến trúc hệ thống thông tin: tổ chức hệ thống kỹ thuật không có cấu trúc hoặc không đủ mạnh để bảo vệ thông tin. „ Chính sách bảo mật an toàn thông tin: không chấp hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống. NN BMHTTT 8
  9. MMộộtt ssốố vvíí ddụụ „ Tin tặc, từ phía bọn tội phạm, dùng các kỹ thuật và các công cụ: phần mềm gián điệp, bẻ khóa, các phần mểm tấn công, khai thác thông tin, lỗ hổng bảo mật, theo dõi qua vai „ Hãng sản xuất cài sẵn các loại 'rệp' điện tử theo ý đồ định trước „ Những chương trình ứng dụng chứa đựng những nguy hại tiềm ẩn: cửa sau, gián điệp NN BMHTTT 9
  10. Internet Scanner Notebook Notebook Notebook Access Port iPaq Switch Firewall Main Corporate Backbone Corporate Main Access Port 1. Finds the Holes 2. Finds Rogue Access Points or Devices NN BMHTTT 10
  11. TTấấnn côngcông ddữữ liliệệuu NN BMHTTT 11
  12. I.1.3I.1.3 PhânPhân loloạạii ttấấnn côngcông mmạạngng „ Tấn công giả mạo: là một thực thể tấn công giả danh một thực thể khác. Tấn công giả mạo thường được kết hợp với các dạng tấn công khác như tấn công chuyển tiếp và tấn công sửa đổi thông báo. „ Tấn công chuyển tiếp: xảy ra khi một thông báo, hoặc một phần thông báo được gửi nhiều lần, gây ra các tác động tiêu cực. „ Tấn công sửa đổi thông báo: xảy ra khi nội dung của một thông báo bị sửa đổi nhưng không bị phát hiện. NN BMHTTT 12
  13. PhânPhân loloạạii ttấấnn côngcông mmạạngng (tt)(tt) „ Tấn công từ chối dịch vụ: xảy ra khi một thực thể không thực hiện chức năng của mình, gây cản trở cho các thực thể khác thực hiện chức năng của chúng. „ Tấn công từ bên trong hệ thống: xảy ra khi người dùng hợp pháp cố tình hoặc vô ý can thiệp hệ thống trái phép. NN BMHTTT 13
  14. TTấấnn côngcông bbịị đđộộng/chng/chủủ đđộộngng „ Tấn công bị động: do thám, theo dõi đường truyền để: „ Nhận được nội dung bản tin hoặc „ Theo dõi luồng truyền tin „ Tấn công chủ động: thay đổi luồng dữ liệu để: „ Giả mạo một người nào đó. „ Lặp lại bản tin trước „ Thay đổi bản tin khi truyền „ Từ chối dịch vụ. NN BMHTTT 14
  15. SecuritySecurity AttacksAttacks Passive threats Release of message Traffic contents analysis • eavesdropping (nghe lén), monitoring transmissions NN BMHTTT 15
  16. PassivePassive AttacksAttacks NN BMHTTT 16
  17. PassivePassive AttacksAttacks NN BMHTTT 17
  18. Active AttacksAttacks Active threats Masquerade Replay Modification of Denial of (lừa dối) message contents service • some modification of the data stream NN BMHTTT 18
  19. ActiveActive AttacksAttacks NN BMHTTT 19
  20. ActiveActive AttacksAttacks NN BMHTTT 20
  21. I.2I.2 BaBa khkhííaa ccạạnhnh ccủủaa anan totoàànn thôngthông tintin „ Bảo vệ tấn công „ Cơ chế an toàn „ Dịch vụ an toàn Giải pháp an toàn NN BMHTTT 21
  22. BBảảoo vvệệ ttấấnn côngcông „ Bảo vệ tấn công nhằm mục đích An toàn thông tin, cách thức chống lại tấn công vào hệ thống thông tin hoặc phát hiện ra chúng. „ Cần tập trung chống một số kiểu tấn công: thụ động và chủ động. NN BMHTTT 22
  23. CCáácc ccơơ chchếế anan totoàànn „ Các cơ chế an ninh khác nhau được thiết kế để phát hiện, bảo vệ hoặc khôi phục do tấn công phá hoại. „ Không có cơ chế đơn lẻ nào đáp ứng được mọi chức năng yêu cầu của công tác an ninh. Tuy nhiên có một thành phần đặc biệt nằm trong mọi cơ chế an toàn đólà: kỹ thuật mã hoá. NN BMHTTT 23
  24. CCáácc ddịịchch vvụụ anan totoàànn „ Có thể dùng một hay nhiều cơ chế an toàn để cung cấp dịch vụ. „ Người ta thường dùng các biện pháp tương tự như trong thế giới thực: chữ ký, công chứng, bản quyền NN BMHTTT 24
  25. MMộộtt ssốố llưưuu ýý vvềề bbảảoo mmậậtt „ Những đe dọa thường do mở rộng kênh thông tin „ Xem xét hệ thống trong mối quan hệ với môi trường „ Kỹ thuật bảo mật phải chứng tỏ được khả năng bảo vệ tốt hệ thống (logic authentication) NN BMHTTT 25
  26. MMốốii đđee dodoạạ trongtrong thôngthông tintin clientclient serverserver replayer DoOperation Request GetRequest o messages execute (wait) request o Replay SendReplay (continue) messages Eaves dropping Client imposter GetRequest execute request SendReplay DoOperation o (wait) server o imposter NN (continue) BMHTTT 26
  27. NhNhữữngng đđòiòi hhỏỏii vvềề thôngthông tintin clientclient serveserverr „ Kênh thông tin phảian toànđể tránh việc chen vào mạng. „ Server phảinhậndạng đượcclient „ Client phảinhậndạng đượcserver „ Phảixácđịnh đượcngườilàchủ thậtsự của message và message đó không không hề có sự thay đổi(cóthể nhờ vào tổ chức thứ ba) NN BMHTTT 27
  28. I.3I.3 MôMô hhììnhnh anan totoàànn mmạạngng Kiến trúc an toàn của hệ thống truyền thông mở OSI „ Bộ phận chuẩn hóa tiêu chuẩn của tổ chức truyền thông quốc tế (International Telecommunication Union) đã đề ra Kiến trúc an ninh X800 dành cho hệ thống trao đổi thông tin mở OSI „ X800 là dịch vụ cung cấp nhằm đảm bảo an toàn thông tin thiết yếu và việc truyền dữ liệu của hệ thống „ RFC 2828 đã nêu định nghĩa cụ thể hơn: dịch vụ an toàn là dịch vụ trao đổi và xử lý, cung cấp cho hệ thống những bảo vệ đặc biệt cho các thông tin nguồn NN BMHTTT 28
  29. ĐĐịịnhnh nghnghĩĩaa ddịịchch vvụụ theotheo X800X800 „ Xác thực: tin tưởng là thực thể trao đổi đúng là thực thể đã tuyên bố. Người đang trao đổi với mình đúng như tên của anh ta, không cho phép người khác mạo danh. „ Quyền truy cập: ngăn cấm việc sử dụng nguồn thông tin không không được phép. Mỗi đối tượng trong hệ thống được cung cấp các quyền nhất định và chỉ được hành động trong khuôn khổ các quyền được cấp. „ Bảo mật dữ liệu: bảo đảm dữ liệu không bị khám phá bởi người không có quyền. NN BMHTTT 29
  30. ĐĐịịnhnh nghnghĩĩaa ddịịchch vvụụ theotheo X800X800 „ Toàn vẹn dữ liệu: dữ liệu được gửi từ người có quyền. Nếu có thay đổi như làm trì hoãn về mặt thời gian hay sửa đổi thông tin, thì xác thực sẽ cho cách kiểm tra nhận biết là có các hiện tượng đó đã xảy ra. „ Không từ chối: chống lại việc phủ nhận của từng thành viên tham gia trao đổi. Người gửi không thể chối bỏ là mình đã gửi thông tin với nội dung như vậy và người nhận cũng không thể nói dối là tôi chưa nhận được thông tin đó. NN BMHTTT 30
  31. CCơơ chchếế anan totoàànn theotheo X800X800 „ Cơ chế an toàn chuyên dụng được cài đặt trong một giao thức của một tầng chuyển vận: mã hoá, chữ ký điện tử, quyền truy cập, toàn vẹn dữ liệu, trao đổi có phép, đệm truyền, kiểm soát định hướng, công chứng. „ Cơ chế an toàn thông dụng không chỉ rõ việc sử dụng cho giao thức trên tầng nào hoặc dịch vụ an ninh cụ thể nào: chức năng tin cậy, nhãn an toàn, phát hiện sự kiện, lần vết vết an toàn, khôi phục an toàn. NN BMHTTT 31
  32. MôMô hhììnhnh truytruy ccậậpp mmạạngng anan totoàànn NN BMHTTT 32
  33. I.4 Bảo mật thông tin trong hệ cơ sở dữ liệu „ Các hệ cơ sở dữ liệu (CSDL) ngày nay như Oracle, SQL Server, DB2 đều có sẵn các công cụ bảo vệ tiêu chuẩn như hệ thống định danh và kiểm soát truy xuất. Tuy nhiên, các biện pháp bảo vệ này hầu như không có tác dụng trước các tấn công từ bên trong. NN BMHTTT 33
  34. Data In Motion • Outgoing communications • Internal communications • Databases and documents Communication • Monitoring and enforcement Accidental, Channels Employees Intentional and Malicious Leaks (Honest & Rogue) DataData SecuritySecurity andand ComplianceCompliance TheThe LandscapeLandscape Transaction Data Transaction • Direct Database Access Customers Applications & Criminals • Access via Applications • Web applications • Web services NN Employees Databases (Honest & Rogue) Data At Rest • Data classification • Device control • Content control Data Storage • Application control (SAN and NAS) Employees (Honest & Rogue) Servers, Endpoints BMHTTT 34
  35. BBảảoo mmậậtt ddựựaa vvààoo ttầầngng CSDLCSDL trungtrung giangian „ Một CSDL trung gian được xây dựng giữa ứng dụng và CSDL gốc. CSDL trung gian này có vai trò mã hóa dữ liệu trước khi cập nhật vào CSDL gốc, đồng thời giải mã dữ liệu trước khi cung cấp cho ứng dụng. CSDL trung gian đồng thời cung cấp thêm các chức năng quản lý khóa, xác thực người dùng và cấp phép truy cập. „ Giải pháp này cho phép tạo thêm nhiều chức năng về bảo mật cho CSDL. Tuy nhiên, mô hình CSDL trung gian đòi hỏi xây dựng một ứng dụng CSDL tái tạo tất cả các chức năng của CSDL gốc. NN BMHTTT 35
  36. BBảảoo mmậậtt ddựựaa vvààoo ttầầngng CSDLCSDL trungtrung giangian NN BMHTTT 36
  37. MôMô hhììnhnh bbảảngng ảảoo „ Ngoài các quyền cơ bản do CSDL cung cấp, hai quyền truy cập: „ Người sử dụng chỉ được quyền đọc dữ liệu ở dạng mã hóa. Quyền này phù hợp với những đối tượng cần quản lý CSDL mà không cần đọc nội dung dữ liệu. „ Người sử dụng được quyền đọc dữ liệu ở dạng giải mã. NN BMHTTT 37
  38. KiKiếếnn trtrúúcc mmộộtt hhệệ bbảảoo mmậậtt CSDLCSDL NN BMHTTT 38
  39. HHệệ bbảảoo mmậậtt CSDLCSDL „ Trigger: được sử dụng để lấy dữ liệu đến từ các câu lệnh INSERT, UPDATE (để mã hóa). „ View: các view được sử dụng để lấy dữ liệu đến từ các câu lệnh SELECT (để giải mã). „ Extended Stored Procedures: được gọi từ các Trigger hoặc View dùng để kích hoạt các dịch vụ được cung cấp bởi Modulo DBPEM từ trong môi trường của hệ quản tri CSDL. „ DBPEM (Database Policy Enforcing Modulo): cung cấp các dịch vụ mã hóa/giải mã dữ liệu gửi đến từ các Extended Stored Procedures và thực hiện việc kiểm tra quyền truy xuất của người dùng (dựa trên các chính sách bảo mật được lưu trữ trong CSDL về quyền bảo mật). NN BMHTTT 39
  40. HHệệ bbảảoo mmậậtt CSDLCSDL „ Security Database: lưu trữ các chính sách bảo mật và các khóa giải mã. Xu hướng ngày nay thường là lưu trữ CSDL về bảo mật này trong Active Directory (một CSDL dạng thư mục để lưu trữ tất cả thông tin về hệ thống mạng). „ Security Services: chủ yếu thực hiện việc bảo vệ các khóa giải mã được lưu trong CSDL bảo mật. „ Management Console: dùng để cập nhật thông tin lưu trong CSDL bảo mật (chủ yếu là soạn thảo các chính sách bảo mật) và thực hiện thao tác bảo vệ một trường nào đó trong CSDL để đảm bảo tối đa tính bảo mật, thông tin được trao đổi. NN BMHTTT 40
  41. EcommerceEcommerce ArchitectureArchitecture Internet Router Application Firewall Firewall DMZ Web Front-End Application Server Firewall Database Encryption Firewall Database Back-End Appliance NN BMHTTT 41
  42. NhNhữữngng trtrởở ngngạạii chocho DatabaseDatabase SecuritySecurity NN BMHTTT 42
  43. AnAn totoàànn CSDLCSDL „ Authentication „ Who is it? „ Authorization (sự cấp quyền) „ Who can do it? „ Encryption „ Who can see it? „ Audit (kiểm tra, kiểm toán) „ Who did it? NN BMHTTT 43
  44. DB2DB2 NN BMHTTT 44
  45. KiKiểểmm tratra sausau khikhi ttấấnn côngcông • You have discovered you have been attacked • Now what??? • Need to collect as much data about attack as possible • When did it occur • How did it occur • Where did it come from • Databases write auditing data in numerous locations • Collect all those locations into a single repository • Correlate events to get a better picture of what happened NN BMHTTT 45
  46. I.5I.5 hhệệ ththốốngng tintin ccậậyy Kiểm soát truy cập „ Hệ thống đã xác định được định danh như người sử dụng, xác định các nguồn gốc nào nó có thể truy cập. Mô hình tổng quát là ma trận truy cập với „ Chủ thể -thực thể chủ động (người sử dụng, quá trình) „ Đối tượng - thực thể bị động (file hoặc nguồn) „ Quyền truy cập – cách mà đối tượng được truy cập „ Có thể được phân tách bởi „ Các cột như danh sách kiểm soát truy cập „ Các hàng như các thẻ về khả năng NN BMHTTT 46
  47. CCấấuu trtrúúcc đđiiềềuu khikhiểểnn truytruy ccậậpp NN BMHTTT 47
  48. CCáácc hhệệ ththốốngng tintin ccậậyy „ Phân loại: unclassified (U), confidential (C), secret (S), top secret (TS) „ Hệ thống an toàn đa mức „ No read up: chỉ có thể đọc những đối tượng ít hay bằng với quyền được truy cập „ No write down: chỉ có thể viết những đối tượng nhiều hay bằng với quyền được truy cập „ Thuộc tính reference monitor (policy): „ Phốin hợp đầy đủ (Complete mediation) „ Cô lập (Isolation) „ Có thể kiểm tra (Verifiability) „ Hệ thống an toàn phải thỏa các tính chất trên NN BMHTTT 48
  49. ReferenceReference MonitorMonitor NN BMHTTT 49
  50. PhòngPhòng chchốốngng TrojanTrojan NN BMHTTT 50
  51. I.6I.6 PhPhầầnn mmềềmm ccóó hhạạii „ I.6.1 Virus và các chương trình xâm hại „ I.6.2 Antivirus „ I.6.3 Tấn công từ chối dịch vụ NN BMHTTT 51
  52. I.6.1I.6.1 VirusVirus vvàà ccáácc chchươươngng trtrììnhnh xâmxâm hhạạii Thuật ngữ NN BMHTTT 52
  53. VirusVirus „ 4 giai đoạn „ Nằm im - chờ sự kiện kích hoạt „ Lan truyền – lặp sinh ra chương trình/đĩa „ Kích hoạt - bởi sự kiện để thực hiện bộ tải „ Thực hiện bộ tải „ Cấu trúc NN BMHTTT 53
  54. VirusVirus nnéénn NN BMHTTT 54
  55. CCáácc kikiểểuu VirusVirus „ Có thể phân loại dựa trên kiểu tấn công „ Virus cư trú ở bộ nhớ „ Virus ở sector khởi động „ Virus Lén lút: ẩn mình trước các chương trình AV „ Virus nhiều hình thái (Polymorphic, không dùng signature được): thay đổi cách nhiễm „ Virus biến hoá (Metamorphic): Viết lại chính nó, gia tăng việc khó nhận diện, thay đổi hành vi và sự xuất hiện NN BMHTTT 55
  56. TTììmm hihiểểuu thêmthêm vvềề virusvirus „ polymorphic virus: „ Nhân đôi nhưng có những mẩu bit khác nhau. „ Hoán vị các lệnh thừa hay các lệnh độc lập „ Tạo ra phần mã hóa cho phần còn lại, khóa mã hóa sẽ thay đổi ngẫu nhiên khi nghiễm vào chương trình khác „ virus-creation toolkit NN BMHTTT 56
  57. MarcoMarco VirusVirus „ Giữa thập niên 90 „ Nhiễm MS WORD/Excel và những phần mềm hỗ trợ „ Macro nhiễm vào tài liệu „ Macro virus thường phát tán dựa vào email NN BMHTTT 57
  58. VirusVirus emailemail „ Đây là loại virus lan truyền khi mở file đính kèm chứa marco virus (Melissa). „ Virus gởi chính nó tới những người dùng trong mail list „ Thực hiện phá hoại cục bộ „ Cuối 1999 những virus này có thể hoạt động khi người dùng chỉ cần mở email NN BMHTTT 58
  59. CCáácc chchươươngng trtrììnhnh xâmxâm hhạạii „ Có 2 loại „ Dựa vào các chương trình khác: Virus, logic bomb và backdoor „ Chương trình độc lập: Worm and zombie „ Tiến trình „ Hoạt động dựa vào trigger „ Tạo bản copy NN BMHTTT 59
  60. CCửửaa sausau (Backdoor)(Backdoor) „ Điểm vào chương trình bí mật, cho phép những người biết truy cập mà không cần các thủ tục thông thường. „ Những người phát triển thường dùng để phát triển và kiểm tra chương trình „ Backdoor xuất phát từ ý tưởng của những người phát triển game „ Rất khó ngăn chặn trong hệ điều hành, đòi hỏi sự phát triển và cập nhật phần mềm tốt. NN BMHTTT 60
  61. BomBom logiclogic „ Đây là một trong những phần mềm có hại kiểu cổ, code được nhúng trong chương trình hợp pháp. Nó được kích hoạt khi gặp điều kiện xác định „ Có mặt hoặc vắng mặt một số file „ Ngày tháng/thời gian cụ thể „ Người sử dụng nào đó „ Khi được kích hoạt thông thường nó làm hỏng hệ thống „ Biến đổi/xoá file/đĩa, làm dừng máy, NN BMHTTT 61
  62. NgNgựựaa ththàànhnh TTơơ roaroa (Trojan(Trojan horse)horse) „ Là chương trình có thể hoàn thành những hoạt động gián tiếp mà những người không có quyền không thể thực hiện trực tiếp „ Có thể giả dạng các chương trình tiện ích, các chương trình ứng dụng, nó có thể thay đổi hoặc phá hủy dữ liệu „ Có thể một trình biên dịch insert thêm mã vào ứng dụng login để cho phép người viết có thể login vào hệ thống với 1 PWD đặc biệt NN BMHTTT 62
  63. ZombieZombie „ Đây là chương trình bí mật điều khiển máy tính khác trên mạng „ Sử dụng các máy tính bị nhiễm mà không bị nghi ngờ để tiến hành các tấn công. „ Rất khó để nhận ra người tạo ra Zombie „ Thông thường sử dụng để khởi động tấn công từ chối các dịch vụ phân tán (Ddos). Nó có thể sử dụng hàng trăm máy tính bị nhiễm để làm tràn ngập việc di chuyển thông tin trên Internet (traffic) NN BMHTTT 63
  64. SâuSâu (Worm)(Worm) „ Tương tự như virus email nhưng nó tự động lan truyền „ Khi trong hệ thống nó hoạt động như virus „ Nó có thể lan truyền bằng „ Email „ Thực thi từ xa „ Login từ xa „ Nó có các giai đoạn như virus, trong giai đoạn lan truyền có thực hiện „ Tìm để nhiễm các hệ thống khác dựa vào host table hay remote system address „ Thiết lập connect „ Copy tới hệ thống từ xa và kích hoạt bản copy NN BMHTTT 64
  65. SâuSâu MorrrisMorrris „ Sâu Morris là sâu được tạo bởi Robert Morris vào 1988, nhằm tới các hệ thống Unix. Đối với mỗi host được khám phá nó thực hiện „ Crack file PWD „ Phát hiện PWD và ID bằng chương trình crack mà cố thử „ Tên người dùng và hòan vị đơn giản „ Danh sách pwd có sẵn (432) „ Tất cả những từ trong thư muc hệ thống cục bộ „ Khám phá lỗi của giao thức mà cho biết nơi của người dùng từ xa „ Khám phá cửa sau trong chọn lựa debug của quá trình remote mà nhận và gời mail NN BMHTTT 65
  66. SâuSâu MorrrisMorrris „ Nếu một trong những cách trên thành công „ Nó đạt được việc truyền thông với bộ phiên dịch lện hệ điều hành „ Gởi một chương trình tự phát triển ngắn (boostrap) „ Thực thi chương trình „ Log off „ Chương trình boostrap gọi chương trình cha và download phần còn lại của worm NN BMHTTT 66
  67. TTấấnn côngcông ccủủaa sâusâu đươđươngng ththờờii Code Red „ 7-2001 „ Dựa vào lỗ hỗng trong Microsoft Internet Information Server (IIS) „ Disable system file checker „ Thăm dò random IP address để vươn tới những host khác „ Tấn công denial-of-service „ Nó tạm hoãn và hoạt động theo một khoảng thời gian „ Trong làn sóng tấn công thứ 2, nó nhiễm 360.000 server trong 14 giờ Code Red II „ Biến thể tấn công IIS, cài đặt Backdoor NN BMHTTT 67
  68. NimdaNimda „ Cuối 2001 „ Kỹ thuật „ client to client qua e-mail „ client to client qua network share „ Web server to client qua duyệt Web „ client to Web server qua duyệt thư mục Microsoft IIS 4.0 / 5.0 „ client to Web server qua backdoor „ Thay đổi file Web và những file thực thi NN BMHTTT 68
  69. SQLSQL SlammerSlammer Sâu SQL Slammer „ Đầu năm 2003 „ Lỗi tràn bộ đệm của Microsoft SQL server Sâu Sobig.f „ Khai thác open proxy server tạo động cơ spam từ những máy tính nhiễm Mydoom „ 2004 „ Cài đặt backdoor, tạo ra một lượng email khổng lồ NN BMHTTT 69
  70. KKỹỹ thuthuậậtt ttạạoo sâusâu „ Chạy trên nhiều platform „ Khai thác nhiều phương tiện: Web servers, browsers, e-mail, file sharing, và những ứng dụng mạng „ Phân bổ cực nhanh „ Đa hình (Polymorphic) „ Biến hóa (Metamorphic) „ Transport vehicles „ Khia thác Zero-day NN BMHTTT 70
  71. I.6.2I.6.2 AntivirusAntivirus „ Các bước „ Phát hiện virus nhiễm trong hệ thống „ Định danh loại virus nhiễm „ Loại bỏ khôi phục hệ thống về trạng thái sạch „ Thế hệ „ First generation: simple scanners „ Second generation: heuristic scanners „ Third generation: activity traps „ Fourth generation: full-featured protection NN BMHTTT 71
  72. CCáácc ThThếế hhệệ antivirusantivirus „ Thế hệ thứ 1 „ Quét dấu hiệu (signature) virus „ Độ dài chương trình „ Thế hệ thứ 2 „ Heuristic. „ Kiểm tra checksum, dùng hàm hash mã hóa (ngoài chương trình) „ Thế hệ thứ 3 „ Chương trình thường trú kiểm tra hoạt động „ Thế hệ thứ 4 „ Đóng gói các kỹ thuật „ Điều khiển truy cập (không cho phép virus update file) NN BMHTTT 72
  73. KKỹỹ thuthuậậtt chchốốngng VirusVirus nângnâng caocao „ Giải mã giống loài „ Sử dụng mô phỏng CPU „ Quyét chữ ký virus „ Module kiểm tra hoạt động NN BMHTTT 73
  74. Hệ miễn dịch số (Digital Immune System) NN BMHTTT 74
  75. HHệệ ththốốngng mimiễễnn ddịịchch ssốố (IBM)(IBM) „ Hoạt động „ Chương trình theo dõi trên mỗi máy, phát hiện dâu hiệu thì chuyển máy quản trị trung tâm „ Máy quản trị mã hóa và gởi đến trung tâm phân tích „ Trung tâm phân tích đề ra cách nhận dạng và remove „ Gởi mô tả trở lại máy quản trị „ Máy quản trị chuyển tới client „ Update NN BMHTTT 75
  76. PhPhầầnn mmềềmm ngngăănn chchặặnn hhàànhnh vivi „ Các phần mềm này được tích hợp với hệ điều hành của máy chủ. Chương trình theo dõi các hành vi trong thời gian thực „ Chẳng hạn truy cập file, định dạng đĩa, các chế độ thực hiện, thay đổi tham số hệ thống, truy cập mạng „ Có ưu điểm so với quét, nhưng code có hại có thể chạy trước khi phát hiện. NN BMHTTT 76
  77. I.6.3 Phòng chống Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ „ Tấn công từ chối dịch vụ từ xa (DDoS) tạo thành đe dọa đáng kể, làm cho hệ thống trở nên không sẵn sàng, làm tràn bởi sự vận chuyển vô ích. „ Ví dụ „ Tấn công tài nguyên nội (tấn công đồng bộ) „ Nhiều host giao tiếp với một máy chủ cần tấn công „ Gởi TCP/IP SYN (synchronize/initialization) với địa chỉ giả „ Tiêu thụ tài nguyên truyền dữ liệu „ Điều khiển nhiều máy yêu cầu ICMP ECHO với địa chỉ giả „ Nhận request và gởi echo rely NN BMHTTT 77
  78. TTấấnn côngcông ttừừ chchốốii ddịịchch vvụụ NN BMHTTT 78
  79. MMộộtt ssốố ccááchch ttấấnn côngcông „ Trong nhiều hệ thống những tài nguyên dữ liệu rất hạn chế: process identifiers, process table entries, process slots Kẻ xâm nhập có thể viết những chương trình lặp tạo ra nhiều copy tiêu thụ tài nguyên này „ Kẻ xâm nhập cố tiêu thụ không gian đĩa „ Message mail „ Tạo những lỗi mà được log „ Ghi những file trong vùng anonymous ftp hay vùng chia sẻ NN BMHTTT 79
  80. CCáácc hhììnhnh ththứứcc ttấấnn côngcông NN BMHTTT 80
  81. XâyXây ddựựngng mmạạngng ttấấnn côngcông „ Phần mềm zoobie phải chạy trên một số lớn máy, giấu sự tồn tại của nó, thông tin với máy chủ, có nhiều trigger để thực hiện tấn công tới máy đích „ Tấn công một số lớn hệ thống dễ xâm nhập „ Chiến lược sắp đặt dựa vào scan „ Random „ Hit-list: danh sách máy dễ bị xâm nhập „ Topological: dùng thông tin trong máy bị nhiễm „ Local subnet: sau fireware NN BMHTTT 81
  82. PhòngPhòng chchốốngng ttấấnn côngcông DOSDOS „ Ngăn ngừa: chính sách tiêu thụ tài nguyên, backup tài nguyên, điều chỉnh hệ thống và giao thức „ Phát hiện tấn công và lọc: dựa vào mẫu hành vi „ Xác định và lần vết NN BMHTTT 82