Giáo trình Bảo mật hệ thống thông tin - Chương 1: Tổng quan về bảo mật hệ thống thông tin
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Bảo mật hệ thống thông tin - Chương 1: Tổng quan về bảo mật hệ thống thông tin", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Tài liệu đính kèm:
- giao_trinh_bao_mat_he_thong_thong_tin_chuong_1_tong_quan_ve.pdf
Nội dung text: Giáo trình Bảo mật hệ thống thông tin - Chương 1: Tổng quan về bảo mật hệ thống thông tin
- CHCHƯƠƯƠNGNG II TỔNG QUAN VỀ BẢO MẬT Hệ Thống Thông Tin NN BMHTTT 1
- I.1I.1 GiGiớớii thithiệệuu chungchung I.1.1 Mở đầu về bảo mật hệ thống thông tin Gồm ba hướng chính Bảo đảm an toàn thông tin tại máy chủ Bảo đảm an toàn cho phía máy trạm Bảo mật thông tin trên đường truyền Có thể xem xét theo Hệ điều hành và ứng dụng Cơ sở dữ liệu Mạng NN BMHTTT 2
- NhNhữữngng yêuyêu ccầầuu vvềề anan totoàànn Confidentiality (sự tin cậy) Integrity (tính toàn vẹn) Authentication (chứng thực) Non-repudiation (không thể từ chối) Availability (sẵn dùng) Access control (điều khiển truy cập) Combined User authentication used for access control Non-repudiation combined with authentication NN BMHTTT 3
- CCáácc yêuyêu anan totoàànn thôngthông tintin Nhiều yêu cầu mới liên quan tới bảo mật hệ thống thông tin trên mạng Ngoài phương pháp vật lý còn cần các kỹ thuật bảo mật, chính sách bảo mật và các giải pháp bảo mật Phải có các công cụ hỗ trợ bảo đảm an toàn thông tin. Các yêu cầu mới: Bảo mật Outsourcing, bảo mật hệ thống phân bố, bảo mật trong Datamining, cơ sở dữ liệu thống kê, giao dịch thương mại điện tử, tính riêng tư, tội phạm và bản quyền số NN BMHTTT 4
- AttackAttack NN BMHTTT 5
- RiskRisk Customers Competitors Employees (remote workers, mobile workers) Business Partners Hackers C (suppliers, outsourcers, ss y e be consultants)ultants sin er- u -cr l B rim ta e gi Di Contractors Employees Temporaries Visitors NN Sensitive Data BMHTTT 6
- I.1.2I.1.2 NguyNguy ccơơ vvàà hihiểểmm hhọọaa Hiểm họa vô tình: khi người dùng khởi động lại hệ thống ở chế độ đặc quyền, họ có thể tùy ý chỉnh sửa hệ thống. Nhưng sau khi hoàn thành công việc họ không chuyển hệ thống sang chế độ thông thường, vô tình để kẻ xấu lợi dụng. Hiểm họa cố ý: như cố tình truy nhập hệ thống trái phép. Hiểm họa thụ động: là hiểm họa nhưng chưa hoặc không tác động trực tiếp lên hệ thống, như nghe trộm các gói tin trên đường truyền. Hiểm họa chủ động: là việc sửa đổi thông tin, thay đổi tình trạng hoặc hoạt động của hệ thống NN BMHTTT 7
- NguyênNguyên nhânnhân Từ phía người sử dụng: xâm nhập bất hợp pháp, ăn cắp tài sản có giá trị. Trong đó quan trọng nhất là những người dùng nội bộ Kiến trúc hệ thống thông tin: tổ chức hệ thống kỹ thuật không có cấu trúc hoặc không đủ mạnh để bảo vệ thông tin. Chính sách bảo mật an toàn thông tin: không chấp hành các chuẩn an toàn, không xác định rõ các quyền trong vận hành hệ thống. NN BMHTTT 8
- MMộộtt ssốố vvíí ddụụ Tin tặc, từ phía bọn tội phạm, dùng các kỹ thuật và các công cụ: phần mềm gián điệp, bẻ khóa, các phần mểm tấn công, khai thác thông tin, lỗ hổng bảo mật, theo dõi qua vai Hãng sản xuất cài sẵn các loại 'rệp' điện tử theo ý đồ định trước Những chương trình ứng dụng chứa đựng những nguy hại tiềm ẩn: cửa sau, gián điệp NN BMHTTT 9
- Internet Scanner Notebook Notebook Notebook Access Port iPaq Switch Firewall Main Corporate Backbone Corporate Main Access Port 1. Finds the Holes 2. Finds Rogue Access Points or Devices NN BMHTTT 10
- TTấấnn côngcông ddữữ liliệệuu NN BMHTTT 11
- I.1.3I.1.3 PhânPhân loloạạii ttấấnn côngcông mmạạngng Tấn công giả mạo: là một thực thể tấn công giả danh một thực thể khác. Tấn công giả mạo thường được kết hợp với các dạng tấn công khác như tấn công chuyển tiếp và tấn công sửa đổi thông báo. Tấn công chuyển tiếp: xảy ra khi một thông báo, hoặc một phần thông báo được gửi nhiều lần, gây ra các tác động tiêu cực. Tấn công sửa đổi thông báo: xảy ra khi nội dung của một thông báo bị sửa đổi nhưng không bị phát hiện. NN BMHTTT 12
- PhânPhân loloạạii ttấấnn côngcông mmạạngng (tt)(tt) Tấn công từ chối dịch vụ: xảy ra khi một thực thể không thực hiện chức năng của mình, gây cản trở cho các thực thể khác thực hiện chức năng của chúng. Tấn công từ bên trong hệ thống: xảy ra khi người dùng hợp pháp cố tình hoặc vô ý can thiệp hệ thống trái phép. NN BMHTTT 13
- TTấấnn côngcông bbịị đđộộng/chng/chủủ đđộộngng Tấn công bị động: do thám, theo dõi đường truyền để: Nhận được nội dung bản tin hoặc Theo dõi luồng truyền tin Tấn công chủ động: thay đổi luồng dữ liệu để: Giả mạo một người nào đó. Lặp lại bản tin trước Thay đổi bản tin khi truyền Từ chối dịch vụ. NN BMHTTT 14
- SecuritySecurity AttacksAttacks Passive threats Release of message Traffic contents analysis • eavesdropping (nghe lén), monitoring transmissions NN BMHTTT 15
- PassivePassive AttacksAttacks NN BMHTTT 16
- PassivePassive AttacksAttacks NN BMHTTT 17
- Active AttacksAttacks Active threats Masquerade Replay Modification of Denial of (lừa dối) message contents service • some modification of the data stream NN BMHTTT 18
- ActiveActive AttacksAttacks NN BMHTTT 19
- ActiveActive AttacksAttacks NN BMHTTT 20
- I.2I.2 BaBa khkhííaa ccạạnhnh ccủủaa anan totoàànn thôngthông tintin Bảo vệ tấn công Cơ chế an toàn Dịch vụ an toàn Giải pháp an toàn NN BMHTTT 21
- BBảảoo vvệệ ttấấnn côngcông Bảo vệ tấn công nhằm mục đích An toàn thông tin, cách thức chống lại tấn công vào hệ thống thông tin hoặc phát hiện ra chúng. Cần tập trung chống một số kiểu tấn công: thụ động và chủ động. NN BMHTTT 22
- CCáácc ccơơ chchếế anan totoàànn Các cơ chế an ninh khác nhau được thiết kế để phát hiện, bảo vệ hoặc khôi phục do tấn công phá hoại. Không có cơ chế đơn lẻ nào đáp ứng được mọi chức năng yêu cầu của công tác an ninh. Tuy nhiên có một thành phần đặc biệt nằm trong mọi cơ chế an toàn đólà: kỹ thuật mã hoá. NN BMHTTT 23
- CCáácc ddịịchch vvụụ anan totoàànn Có thể dùng một hay nhiều cơ chế an toàn để cung cấp dịch vụ. Người ta thường dùng các biện pháp tương tự như trong thế giới thực: chữ ký, công chứng, bản quyền NN BMHTTT 24
- MMộộtt ssốố llưưuu ýý vvềề bbảảoo mmậậtt Những đe dọa thường do mở rộng kênh thông tin Xem xét hệ thống trong mối quan hệ với môi trường Kỹ thuật bảo mật phải chứng tỏ được khả năng bảo vệ tốt hệ thống (logic authentication) NN BMHTTT 25
- MMốốii đđee dodoạạ trongtrong thôngthông tintin clientclient serverserver replayer DoOperation Request GetRequest o messages execute (wait) request o Replay SendReplay (continue) messages Eaves dropping Client imposter GetRequest execute request SendReplay DoOperation o (wait) server o imposter NN (continue) BMHTTT 26
- NhNhữữngng đđòiòi hhỏỏii vvềề thôngthông tintin clientclient serveserverr Kênh thông tin phảian toànđể tránh việc chen vào mạng. Server phảinhậndạng đượcclient Client phảinhậndạng đượcserver Phảixácđịnh đượcngườilàchủ thậtsự của message và message đó không không hề có sự thay đổi(cóthể nhờ vào tổ chức thứ ba) NN BMHTTT 27
- I.3I.3 MôMô hhììnhnh anan totoàànn mmạạngng Kiến trúc an toàn của hệ thống truyền thông mở OSI Bộ phận chuẩn hóa tiêu chuẩn của tổ chức truyền thông quốc tế (International Telecommunication Union) đã đề ra Kiến trúc an ninh X800 dành cho hệ thống trao đổi thông tin mở OSI X800 là dịch vụ cung cấp nhằm đảm bảo an toàn thông tin thiết yếu và việc truyền dữ liệu của hệ thống RFC 2828 đã nêu định nghĩa cụ thể hơn: dịch vụ an toàn là dịch vụ trao đổi và xử lý, cung cấp cho hệ thống những bảo vệ đặc biệt cho các thông tin nguồn NN BMHTTT 28
- ĐĐịịnhnh nghnghĩĩaa ddịịchch vvụụ theotheo X800X800 Xác thực: tin tưởng là thực thể trao đổi đúng là thực thể đã tuyên bố. Người đang trao đổi với mình đúng như tên của anh ta, không cho phép người khác mạo danh. Quyền truy cập: ngăn cấm việc sử dụng nguồn thông tin không không được phép. Mỗi đối tượng trong hệ thống được cung cấp các quyền nhất định và chỉ được hành động trong khuôn khổ các quyền được cấp. Bảo mật dữ liệu: bảo đảm dữ liệu không bị khám phá bởi người không có quyền. NN BMHTTT 29
- ĐĐịịnhnh nghnghĩĩaa ddịịchch vvụụ theotheo X800X800 Toàn vẹn dữ liệu: dữ liệu được gửi từ người có quyền. Nếu có thay đổi như làm trì hoãn về mặt thời gian hay sửa đổi thông tin, thì xác thực sẽ cho cách kiểm tra nhận biết là có các hiện tượng đó đã xảy ra. Không từ chối: chống lại việc phủ nhận của từng thành viên tham gia trao đổi. Người gửi không thể chối bỏ là mình đã gửi thông tin với nội dung như vậy và người nhận cũng không thể nói dối là tôi chưa nhận được thông tin đó. NN BMHTTT 30
- CCơơ chchếế anan totoàànn theotheo X800X800 Cơ chế an toàn chuyên dụng được cài đặt trong một giao thức của một tầng chuyển vận: mã hoá, chữ ký điện tử, quyền truy cập, toàn vẹn dữ liệu, trao đổi có phép, đệm truyền, kiểm soát định hướng, công chứng. Cơ chế an toàn thông dụng không chỉ rõ việc sử dụng cho giao thức trên tầng nào hoặc dịch vụ an ninh cụ thể nào: chức năng tin cậy, nhãn an toàn, phát hiện sự kiện, lần vết vết an toàn, khôi phục an toàn. NN BMHTTT 31
- MôMô hhììnhnh truytruy ccậậpp mmạạngng anan totoàànn NN BMHTTT 32
- I.4 Bảo mật thông tin trong hệ cơ sở dữ liệu Các hệ cơ sở dữ liệu (CSDL) ngày nay như Oracle, SQL Server, DB2 đều có sẵn các công cụ bảo vệ tiêu chuẩn như hệ thống định danh và kiểm soát truy xuất. Tuy nhiên, các biện pháp bảo vệ này hầu như không có tác dụng trước các tấn công từ bên trong. NN BMHTTT 33
- Data In Motion • Outgoing communications • Internal communications • Databases and documents Communication • Monitoring and enforcement Accidental, Channels Employees Intentional and Malicious Leaks (Honest & Rogue) DataData SecuritySecurity andand ComplianceCompliance TheThe LandscapeLandscape Transaction Data Transaction • Direct Database Access Customers Applications & Criminals • Access via Applications • Web applications • Web services NN Employees Databases (Honest & Rogue) Data At Rest • Data classification • Device control • Content control Data Storage • Application control (SAN and NAS) Employees (Honest & Rogue) Servers, Endpoints BMHTTT 34
- BBảảoo mmậậtt ddựựaa vvààoo ttầầngng CSDLCSDL trungtrung giangian Một CSDL trung gian được xây dựng giữa ứng dụng và CSDL gốc. CSDL trung gian này có vai trò mã hóa dữ liệu trước khi cập nhật vào CSDL gốc, đồng thời giải mã dữ liệu trước khi cung cấp cho ứng dụng. CSDL trung gian đồng thời cung cấp thêm các chức năng quản lý khóa, xác thực người dùng và cấp phép truy cập. Giải pháp này cho phép tạo thêm nhiều chức năng về bảo mật cho CSDL. Tuy nhiên, mô hình CSDL trung gian đòi hỏi xây dựng một ứng dụng CSDL tái tạo tất cả các chức năng của CSDL gốc. NN BMHTTT 35
- BBảảoo mmậậtt ddựựaa vvààoo ttầầngng CSDLCSDL trungtrung giangian NN BMHTTT 36
- MôMô hhììnhnh bbảảngng ảảoo Ngoài các quyền cơ bản do CSDL cung cấp, hai quyền truy cập: Người sử dụng chỉ được quyền đọc dữ liệu ở dạng mã hóa. Quyền này phù hợp với những đối tượng cần quản lý CSDL mà không cần đọc nội dung dữ liệu. Người sử dụng được quyền đọc dữ liệu ở dạng giải mã. NN BMHTTT 37
- KiKiếếnn trtrúúcc mmộộtt hhệệ bbảảoo mmậậtt CSDLCSDL NN BMHTTT 38
- HHệệ bbảảoo mmậậtt CSDLCSDL Trigger: được sử dụng để lấy dữ liệu đến từ các câu lệnh INSERT, UPDATE (để mã hóa). View: các view được sử dụng để lấy dữ liệu đến từ các câu lệnh SELECT (để giải mã). Extended Stored Procedures: được gọi từ các Trigger hoặc View dùng để kích hoạt các dịch vụ được cung cấp bởi Modulo DBPEM từ trong môi trường của hệ quản tri CSDL. DBPEM (Database Policy Enforcing Modulo): cung cấp các dịch vụ mã hóa/giải mã dữ liệu gửi đến từ các Extended Stored Procedures và thực hiện việc kiểm tra quyền truy xuất của người dùng (dựa trên các chính sách bảo mật được lưu trữ trong CSDL về quyền bảo mật). NN BMHTTT 39
- HHệệ bbảảoo mmậậtt CSDLCSDL Security Database: lưu trữ các chính sách bảo mật và các khóa giải mã. Xu hướng ngày nay thường là lưu trữ CSDL về bảo mật này trong Active Directory (một CSDL dạng thư mục để lưu trữ tất cả thông tin về hệ thống mạng). Security Services: chủ yếu thực hiện việc bảo vệ các khóa giải mã được lưu trong CSDL bảo mật. Management Console: dùng để cập nhật thông tin lưu trong CSDL bảo mật (chủ yếu là soạn thảo các chính sách bảo mật) và thực hiện thao tác bảo vệ một trường nào đó trong CSDL để đảm bảo tối đa tính bảo mật, thông tin được trao đổi. NN BMHTTT 40
- EcommerceEcommerce ArchitectureArchitecture Internet Router Application Firewall Firewall DMZ Web Front-End Application Server Firewall Database Encryption Firewall Database Back-End Appliance NN BMHTTT 41
- NhNhữữngng trtrởở ngngạạii chocho DatabaseDatabase SecuritySecurity NN BMHTTT 42
- AnAn totoàànn CSDLCSDL Authentication Who is it? Authorization (sự cấp quyền) Who can do it? Encryption Who can see it? Audit (kiểm tra, kiểm toán) Who did it? NN BMHTTT 43
- DB2DB2 NN BMHTTT 44
- KiKiểểmm tratra sausau khikhi ttấấnn côngcông • You have discovered you have been attacked • Now what??? • Need to collect as much data about attack as possible • When did it occur • How did it occur • Where did it come from • Databases write auditing data in numerous locations • Collect all those locations into a single repository • Correlate events to get a better picture of what happened NN BMHTTT 45
- I.5I.5 hhệệ ththốốngng tintin ccậậyy Kiểm soát truy cập Hệ thống đã xác định được định danh như người sử dụng, xác định các nguồn gốc nào nó có thể truy cập. Mô hình tổng quát là ma trận truy cập với Chủ thể -thực thể chủ động (người sử dụng, quá trình) Đối tượng - thực thể bị động (file hoặc nguồn) Quyền truy cập – cách mà đối tượng được truy cập Có thể được phân tách bởi Các cột như danh sách kiểm soát truy cập Các hàng như các thẻ về khả năng NN BMHTTT 46
- CCấấuu trtrúúcc đđiiềềuu khikhiểểnn truytruy ccậậpp NN BMHTTT 47
- CCáácc hhệệ ththốốngng tintin ccậậyy Phân loại: unclassified (U), confidential (C), secret (S), top secret (TS) Hệ thống an toàn đa mức No read up: chỉ có thể đọc những đối tượng ít hay bằng với quyền được truy cập No write down: chỉ có thể viết những đối tượng nhiều hay bằng với quyền được truy cập Thuộc tính reference monitor (policy): Phốin hợp đầy đủ (Complete mediation) Cô lập (Isolation) Có thể kiểm tra (Verifiability) Hệ thống an toàn phải thỏa các tính chất trên NN BMHTTT 48
- ReferenceReference MonitorMonitor NN BMHTTT 49
- PhòngPhòng chchốốngng TrojanTrojan NN BMHTTT 50
- I.6I.6 PhPhầầnn mmềềmm ccóó hhạạii I.6.1 Virus và các chương trình xâm hại I.6.2 Antivirus I.6.3 Tấn công từ chối dịch vụ NN BMHTTT 51
- I.6.1I.6.1 VirusVirus vvàà ccáácc chchươươngng trtrììnhnh xâmxâm hhạạii Thuật ngữ NN BMHTTT 52
- VirusVirus 4 giai đoạn Nằm im - chờ sự kiện kích hoạt Lan truyền – lặp sinh ra chương trình/đĩa Kích hoạt - bởi sự kiện để thực hiện bộ tải Thực hiện bộ tải Cấu trúc NN BMHTTT 53
- VirusVirus nnéénn NN BMHTTT 54
- CCáácc kikiểểuu VirusVirus Có thể phân loại dựa trên kiểu tấn công Virus cư trú ở bộ nhớ Virus ở sector khởi động Virus Lén lút: ẩn mình trước các chương trình AV Virus nhiều hình thái (Polymorphic, không dùng signature được): thay đổi cách nhiễm Virus biến hoá (Metamorphic): Viết lại chính nó, gia tăng việc khó nhận diện, thay đổi hành vi và sự xuất hiện NN BMHTTT 55
- TTììmm hihiểểuu thêmthêm vvềề virusvirus polymorphic virus: Nhân đôi nhưng có những mẩu bit khác nhau. Hoán vị các lệnh thừa hay các lệnh độc lập Tạo ra phần mã hóa cho phần còn lại, khóa mã hóa sẽ thay đổi ngẫu nhiên khi nghiễm vào chương trình khác virus-creation toolkit NN BMHTTT 56
- MarcoMarco VirusVirus Giữa thập niên 90 Nhiễm MS WORD/Excel và những phần mềm hỗ trợ Macro nhiễm vào tài liệu Macro virus thường phát tán dựa vào email NN BMHTTT 57
- VirusVirus emailemail Đây là loại virus lan truyền khi mở file đính kèm chứa marco virus (Melissa). Virus gởi chính nó tới những người dùng trong mail list Thực hiện phá hoại cục bộ Cuối 1999 những virus này có thể hoạt động khi người dùng chỉ cần mở email NN BMHTTT 58
- CCáácc chchươươngng trtrììnhnh xâmxâm hhạạii Có 2 loại Dựa vào các chương trình khác: Virus, logic bomb và backdoor Chương trình độc lập: Worm and zombie Tiến trình Hoạt động dựa vào trigger Tạo bản copy NN BMHTTT 59
- CCửửaa sausau (Backdoor)(Backdoor) Điểm vào chương trình bí mật, cho phép những người biết truy cập mà không cần các thủ tục thông thường. Những người phát triển thường dùng để phát triển và kiểm tra chương trình Backdoor xuất phát từ ý tưởng của những người phát triển game Rất khó ngăn chặn trong hệ điều hành, đòi hỏi sự phát triển và cập nhật phần mềm tốt. NN BMHTTT 60
- BomBom logiclogic Đây là một trong những phần mềm có hại kiểu cổ, code được nhúng trong chương trình hợp pháp. Nó được kích hoạt khi gặp điều kiện xác định Có mặt hoặc vắng mặt một số file Ngày tháng/thời gian cụ thể Người sử dụng nào đó Khi được kích hoạt thông thường nó làm hỏng hệ thống Biến đổi/xoá file/đĩa, làm dừng máy, NN BMHTTT 61
- NgNgựựaa ththàànhnh TTơơ roaroa (Trojan(Trojan horse)horse) Là chương trình có thể hoàn thành những hoạt động gián tiếp mà những người không có quyền không thể thực hiện trực tiếp Có thể giả dạng các chương trình tiện ích, các chương trình ứng dụng, nó có thể thay đổi hoặc phá hủy dữ liệu Có thể một trình biên dịch insert thêm mã vào ứng dụng login để cho phép người viết có thể login vào hệ thống với 1 PWD đặc biệt NN BMHTTT 62
- ZombieZombie Đây là chương trình bí mật điều khiển máy tính khác trên mạng Sử dụng các máy tính bị nhiễm mà không bị nghi ngờ để tiến hành các tấn công. Rất khó để nhận ra người tạo ra Zombie Thông thường sử dụng để khởi động tấn công từ chối các dịch vụ phân tán (Ddos). Nó có thể sử dụng hàng trăm máy tính bị nhiễm để làm tràn ngập việc di chuyển thông tin trên Internet (traffic) NN BMHTTT 63
- SâuSâu (Worm)(Worm) Tương tự như virus email nhưng nó tự động lan truyền Khi trong hệ thống nó hoạt động như virus Nó có thể lan truyền bằng Email Thực thi từ xa Login từ xa Nó có các giai đoạn như virus, trong giai đoạn lan truyền có thực hiện Tìm để nhiễm các hệ thống khác dựa vào host table hay remote system address Thiết lập connect Copy tới hệ thống từ xa và kích hoạt bản copy NN BMHTTT 64
- SâuSâu MorrrisMorrris Sâu Morris là sâu được tạo bởi Robert Morris vào 1988, nhằm tới các hệ thống Unix. Đối với mỗi host được khám phá nó thực hiện Crack file PWD Phát hiện PWD và ID bằng chương trình crack mà cố thử Tên người dùng và hòan vị đơn giản Danh sách pwd có sẵn (432) Tất cả những từ trong thư muc hệ thống cục bộ Khám phá lỗi của giao thức mà cho biết nơi của người dùng từ xa Khám phá cửa sau trong chọn lựa debug của quá trình remote mà nhận và gời mail NN BMHTTT 65
- SâuSâu MorrrisMorrris Nếu một trong những cách trên thành công Nó đạt được việc truyền thông với bộ phiên dịch lện hệ điều hành Gởi một chương trình tự phát triển ngắn (boostrap) Thực thi chương trình Log off Chương trình boostrap gọi chương trình cha và download phần còn lại của worm NN BMHTTT 66
- TTấấnn côngcông ccủủaa sâusâu đươđươngng ththờờii Code Red 7-2001 Dựa vào lỗ hỗng trong Microsoft Internet Information Server (IIS) Disable system file checker Thăm dò random IP address để vươn tới những host khác Tấn công denial-of-service Nó tạm hoãn và hoạt động theo một khoảng thời gian Trong làn sóng tấn công thứ 2, nó nhiễm 360.000 server trong 14 giờ Code Red II Biến thể tấn công IIS, cài đặt Backdoor NN BMHTTT 67
- NimdaNimda Cuối 2001 Kỹ thuật client to client qua e-mail client to client qua network share Web server to client qua duyệt Web client to Web server qua duyệt thư mục Microsoft IIS 4.0 / 5.0 client to Web server qua backdoor Thay đổi file Web và những file thực thi NN BMHTTT 68
- SQLSQL SlammerSlammer Sâu SQL Slammer Đầu năm 2003 Lỗi tràn bộ đệm của Microsoft SQL server Sâu Sobig.f Khai thác open proxy server tạo động cơ spam từ những máy tính nhiễm Mydoom 2004 Cài đặt backdoor, tạo ra một lượng email khổng lồ NN BMHTTT 69
- KKỹỹ thuthuậậtt ttạạoo sâusâu Chạy trên nhiều platform Khai thác nhiều phương tiện: Web servers, browsers, e-mail, file sharing, và những ứng dụng mạng Phân bổ cực nhanh Đa hình (Polymorphic) Biến hóa (Metamorphic) Transport vehicles Khia thác Zero-day NN BMHTTT 70
- I.6.2I.6.2 AntivirusAntivirus Các bước Phát hiện virus nhiễm trong hệ thống Định danh loại virus nhiễm Loại bỏ khôi phục hệ thống về trạng thái sạch Thế hệ First generation: simple scanners Second generation: heuristic scanners Third generation: activity traps Fourth generation: full-featured protection NN BMHTTT 71
- CCáácc ThThếế hhệệ antivirusantivirus Thế hệ thứ 1 Quét dấu hiệu (signature) virus Độ dài chương trình Thế hệ thứ 2 Heuristic. Kiểm tra checksum, dùng hàm hash mã hóa (ngoài chương trình) Thế hệ thứ 3 Chương trình thường trú kiểm tra hoạt động Thế hệ thứ 4 Đóng gói các kỹ thuật Điều khiển truy cập (không cho phép virus update file) NN BMHTTT 72
- KKỹỹ thuthuậậtt chchốốngng VirusVirus nângnâng caocao Giải mã giống loài Sử dụng mô phỏng CPU Quyét chữ ký virus Module kiểm tra hoạt động NN BMHTTT 73
- Hệ miễn dịch số (Digital Immune System) NN BMHTTT 74
- HHệệ ththốốngng mimiễễnn ddịịchch ssốố (IBM)(IBM) Hoạt động Chương trình theo dõi trên mỗi máy, phát hiện dâu hiệu thì chuyển máy quản trị trung tâm Máy quản trị mã hóa và gởi đến trung tâm phân tích Trung tâm phân tích đề ra cách nhận dạng và remove Gởi mô tả trở lại máy quản trị Máy quản trị chuyển tới client Update NN BMHTTT 75
- PhPhầầnn mmềềmm ngngăănn chchặặnn hhàànhnh vivi Các phần mềm này được tích hợp với hệ điều hành của máy chủ. Chương trình theo dõi các hành vi trong thời gian thực Chẳng hạn truy cập file, định dạng đĩa, các chế độ thực hiện, thay đổi tham số hệ thống, truy cập mạng Có ưu điểm so với quét, nhưng code có hại có thể chạy trước khi phát hiện. NN BMHTTT 76
- I.6.3 Phòng chống Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ từ xa (DDoS) tạo thành đe dọa đáng kể, làm cho hệ thống trở nên không sẵn sàng, làm tràn bởi sự vận chuyển vô ích. Ví dụ Tấn công tài nguyên nội (tấn công đồng bộ) Nhiều host giao tiếp với một máy chủ cần tấn công Gởi TCP/IP SYN (synchronize/initialization) với địa chỉ giả Tiêu thụ tài nguyên truyền dữ liệu Điều khiển nhiều máy yêu cầu ICMP ECHO với địa chỉ giả Nhận request và gởi echo rely NN BMHTTT 77
- TTấấnn côngcông ttừừ chchốốii ddịịchch vvụụ NN BMHTTT 78
- MMộộtt ssốố ccááchch ttấấnn côngcông Trong nhiều hệ thống những tài nguyên dữ liệu rất hạn chế: process identifiers, process table entries, process slots Kẻ xâm nhập có thể viết những chương trình lặp tạo ra nhiều copy tiêu thụ tài nguyên này Kẻ xâm nhập cố tiêu thụ không gian đĩa Message mail Tạo những lỗi mà được log Ghi những file trong vùng anonymous ftp hay vùng chia sẻ NN BMHTTT 79
- CCáácc hhììnhnh ththứứcc ttấấnn côngcông NN BMHTTT 80
- XâyXây ddựựngng mmạạngng ttấấnn côngcông Phần mềm zoobie phải chạy trên một số lớn máy, giấu sự tồn tại của nó, thông tin với máy chủ, có nhiều trigger để thực hiện tấn công tới máy đích Tấn công một số lớn hệ thống dễ xâm nhập Chiến lược sắp đặt dựa vào scan Random Hit-list: danh sách máy dễ bị xâm nhập Topological: dùng thông tin trong máy bị nhiễm Local subnet: sau fireware NN BMHTTT 81
- PhòngPhòng chchốốngng ttấấnn côngcông DOSDOS Ngăn ngừa: chính sách tiêu thụ tài nguyên, backup tài nguyên, điều chỉnh hệ thống và giao thức Phát hiện tấn công và lọc: dựa vào mẫu hành vi Xác định và lần vết NN BMHTTT 82