Giáo trình Hệ điều hành - Chương 7: Các vấn đề về an toàn và bảo mật mạng - Hoàng Xuân Dậu

pdf 60 trang huongle 3570
Download
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Hệ điều hành - Chương 7: Các vấn đề về an toàn và bảo mật mạng - Hoàng Xuân Dậu", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_he_dieu_hanh_chuong_7_cac_van_de_ve_an_toan_va_ba.pdf

Nội dung text: Giáo trình Hệ điều hành - Chương 7: Các vấn đề về an toàn và bảo mật mạng - Hoàng Xuân Dậu

  1. HHệệ điđiềềuu hhàànhnh mmạạngng nângnâng caocao GiGiảảngng viên:viên: HoHoààngng XuânXuân DDậậuu Email:Email: dauhoang@vnn.vndauhoang@vnn.vn KhoaKhoa CôngCông nghnghệệ thôngthông tintin 11 HHọọcc viviệệnn CôngCông nghnghệệ BCBC VTVT
  2. IV.IV. CCáácc vvấấnn đđềề vvềề anan totoàànn vvàà bbảảoo mmậậtt mmạạngng • Các vấn đề về đảm bảo an toàn hệ thống và thông tin. • Các yếu tố gây mất an toàn dữ liệu, hệ thống và mạng. • Các giải pháp đảm bảo an toàn dữ liệu, hệ thống và mạng. HĐH mạng nâng cao VII. An toàn & bảo mật 2
  3. InternetInternet vvàà vvấấnn đđềề anan totoàànn • Cùng với sự phát triển của Internet và mạng WWW, các hệ thống thông tin ngày càng trở thành đích của các cuộc tấn công tội phạm và đột nhập. • Các cuộc tấn công có thể lan toả rất nhanh và có thể được kích hoạt từ bất cứ nơi nào trên địa cầu. • Tấn công mạng ngày càng phổ biến và tăng nhanh chóng qua từng năm. HĐH mạng nâng cao VII. An toàn & bảo mật 3
  4. ThiThiệệtt hhạạii dodo ccáácc ddạạngng ttấấnn côngcông HĐH mạng nâng cao VII. An toàn & bảo mật 4
  5. VirusVirus RelatedRelated StatisticsStatistics • From Message Labs, 17 Jan, 2004, – Processing between 50,000 and 60,000 new copies per hour, "W32/Mydoom.A has exceeded the infamous SoBig.F virus in terms of copies intercepted, and the number continues to rise." – Message Labs collected over 1.2 Million copies of W32/Mydoom.A-mm – At its peak infection rate, about 1 in 12 emails on the Internet were MyDoom Viruses HĐH mạng nâng cao VII. An toàn & bảo mật 5
  6. VirusVirus RelatedRelated StatisticsStatistics • From Trend Micro, 16 Jan, 2004, Computer World Article – It is estimated that PC Viruses cost businesses approximately $55 Billion in damages in 2003. – The same calculations in were done in 2002 and 2001, at $20-30 Billion and $13 Billion, respectively. HĐH mạng nâng cao VII. An toàn & bảo mật 6
  7. VirusVirus RelatedRelated StatisticsStatistics • From Joint CAIDA, ICSI, Silicon Defense, UC Berkeley, and UC San Diego, 01 February 2003, • An analysis of the Sapphire/Slammer SQL worm shows: – "This worm required roughly 10 minutes to spread worldwide making it by far the fastest worm to date ." – "In the early stages [the number of compromised hosts] was doubling in size every 8.5 seconds." – "At its peak, achieved approximately 3 minutes after it was released, Sapphire scanned the net at over 55 million IP addresses per second." – "It infected at least 75,000 victims and probably considerably more." HĐH mạng nâng cao VII. An toàn & bảo mật 7
  8. TTấấnn côngcông//đđộộtt nhnhậậpp llàà ggìì?? • Tấn công (attack), đột nhập (intrusion) lên một hệ thống là một sự vi phạm (breach) chính sách an toàn bảo mật của hệ thống đó. • Các vụ tấn công đều vi phạm chính sách an toàn bảo mật theo một số cách cụ thể: – Cho phép kẻ tấn công đọc một số file, nhưng không cho phép thay đổi các thành phần hệ thống. – Tấn công làm ngắt quãng dịch vụ, nhưng không cho phép truy nhập files. HĐH mạng nâng cao VII. An toàn & bảo mật 8
  9. CCáácc thuthuộộcc ttíínhnh bbảảoo mmậậtt thưthườờngng bbịị vivi phphạạmm khikhi hhệệ ththốốngng bbịị ttấấnn côngcông • Tính bí mật (Confidentiality): Một cuộc tấn công vi phạm tính bí mật nếu nó cho phép truy nhập bất hợp pháp đến dữ liệu. • Tính toàn vẹn (Integrity): Một cuộc tấn công vi phạm tính toàn vẹn nếu nó cho phép sửa đổi dữ liệu hoặc trạng thái hệ thống một cách bất hợp pháp. • Tính sẵn dùng (Availability): Một cuộc tấn công vi phạm tính sẵn dùng nếu nó ngăn cản người dùng thông thường truy cập dịch vụ. • Điều khiển (Control): Cuộc tấn công giành quyền điều khiển hệ thống, vi phạm chính sách kiểm soát truy nhập. Vi phạm về điều khiển sẽ dẫn tới các loại vi phạm về tính bí mật, toàn vẹn và sẵn dùng. HĐH mạng nâng cao VII. An toàn & bảo mật 9
  10. CCáácc ddạạngng ttấấnn côngcông mmááyy ttíínhnh vvàà mmạạngng • Nghe trộm (Eavesdropping), hoặc sniffing • Sửa đổi dữ liệu (Data Modification) • Mạo danh (Identity Spoofing (IP Address Spoofing)) • Tấn công trên cơ sở mật khẩu • Tấn công từ chối dịch vụ (DoS, DDoS) • Tấn công kiểu phát lại hay “người đứng giữa” (Man-in-the-Middle Attack) • Tấn công phá mã khoá (Compromised-Key Attack) • Tấn công tầng ứng dụng (Application-Layer Attack) HĐH mạng nâng cao VII. An toàn & bảo mật 10
  11. NgheNghe trtrộộm,m, ssửửaa đđổổi,i, hohoặặcc sniffingsniffing • Dữ liệu truyền trên mạng hoặc trên máy chủ có thể bị nghe trộm, đọc trộm, hoặc bị sửa đổi. • Ví dụ: – Đọc hộp thư lưu trong các files ở máy chủ POP. – Đọc/quan sát màn hình của người khác sử dụng các chương trình điều khiển từ xa, chẳng hạn như RealVNC. – Cài các chương trình ghi phím gõ và gửi dữ liệu ra ngoài. – Các gói tin truyền trên mạng có thể bị sửa đổi nội dung mà cả người gửi và người nhận đều không biết. HĐH mạng nâng cao VII. An toàn & bảo mật 11
  12. MMạạoo đđịịaa chchỉỉ IPIP • Hầu hết các máy tính đều dùng địa chỉ IP để nhận dạng. • Kẻ tấn công có thể dùng một công cụ đặc biệt để tạo ra các gói tin có địa chỉ IP nguồn là địa chỉ cục bộ của một mạng. • Các gói tin này thường chứa mã độc tấn công phá hoại, hoặc giành quyền kiểm soát hệ thống. • Do các gói tin có địa chỉ IP nguồn là địa chỉ cục bộ nên chúng có khả năng vượt qua một số biện pháp an ninh, như kiểm soát truy nhập. HĐH mạng nâng cao VII. An toàn & bảo mật 12
  13. TTấấnn côngcông trêntrên cơcơ ssởở mmậậtt khkhẩẩuu • Kiểm soát truy nhập dựa trên mật khẩu được dùng ở hầu hết các hệ điều hành và nhiều phần mềm mạng. • Nếu kẻ tấn công có thể truy nhập vào hệ thống như một người dùng bình thường, nếu đánh cắp được username và pwd hợp lệ. • Các kỹ thuật thường dùng: – Nghe trộm để đánh cắp thông tin tài khoản – Phá mã mật khẩu đã mã hoá – Lừa người dùng bấm vào các links, hoặc truy nhập vào các webiste giả và cung cấp thông tin tài khoản. HĐH mạng nâng cao VII. An toàn & bảo mật 13
  14. TTấấnn côngcông ttừừ chchốốii ddịịchch vvụụ • Tấn công từ chối dịch (DoS) vụ thường ngăn chặn người dùng bình thường truy nhập dịch vụ. • Thường tập trung vào các trang web có nhiều người truy cập, như Yahoo.com, hoặc microsoft.com. • DoS có hai dạng chính: – Tấn công làm cho máy chủ sử dụng hết tài nguyên hệ thống và không thể cung cấp dịch vụ; – Tấn công làm nghẽn đường truyền giữa người sử dụng và máy chủ. HĐH mạng nâng cao VII. An toàn & bảo mật 14
  15. CCáácc phươngphương phpháápp ttấấnn côngcông DoSDoS • SYN floods • ICMP floods • UDP floods • Teardrop attack • Tấn công mức ứng dụng • Nukes • Tấn công phân tán (DDoS) HĐH mạng nâng cao VII. An toàn & bảo mật 15
  16. CCáácc loloạạii phphầầnn mmềềmm phpháá hohoạạii Các chương trình độc hại Cần chương Không cần trình chủ chương trình chủ Trap Logic Trojan Viruses Worms Zombie doors bombs horses Các phần mềm có khả năng tự nhân bản HĐH mạng nâng cao VII. An toàn & bảo mật 16
  17. TrapTrap ddoorsoors (c(cổổngng hhậậu)u) • Cổng hậu thường được các lập trình viên tạo ra, dùng để gỡ rối và test chương trình. • Cổng hậu thường cho phép truy nhập trực tiếp vào hệ thống mà không qua các thủ tục kiểm tra an ninh thông thường. • Khi cổng hậu được lập trình viên tạo ra để truy nhập hệ thống bất hợp pháp, nó trở thành một mối đe doạ đến an ninh hệ thống. • Rất khó phát hiện ra cổng hậu vì nó thường được thiết kế và cài đặt khéo léo: cổng hậu chỉ được kích hoạt trong một ngữ cảnh nào đó. HĐH mạng nâng cao VII. An toàn & bảo mật 17
  18. LogicLogic bombsbombs (bom(bom logic)logic) • Bom logic thường được “nhúng” vào các chương trình bình thường và thường hẹn giờ để “phát nổ” trong một số điều kiện củ thể. • Điều kiện để bom “phát nổ” có thể là: – Sự xuất hiện hoặc biến mất của các files cụ thể. – Một ngày nào đó, hoặc một ngày trong tuần • Khi “phát nổ” bom logic có thể xoá dữ liệu, files, tắt cả hệ thống • Ví dụ: Quả bom logic do Tim Lloyd cài lại đã “phát nổ” tại công ty Omega Engieering vào ngày 30/7/1996, 20 ngày sau khi Tim Lloyd bị sa thải. Bom logic này đã xoá sạch các bản thiết kế và các chương trình, gây thiệt hại 10 triệu USD. Tim Lloyd bị phạt 2 triệu USD và 41 tháng tù. HĐH mạng nâng cao VII. An toàn & bảo mật 18
  19. TrTrojanojan horseshorses • Trojan horses chứa mã độc, thường giả danh những chương trình có ích, nhằm lừa người dùng kích hoạt chúng. • Trojan horses thường được sử dụng để thực thi gián tiếp các tác vụ, mà tác giả của chúng không thể thực hiện trực tiếp do không có quyền truy nhập. • VD: trong một hệ thống nhiều users, một user có thể tạo ra một trojan đội lốt một chương trình hữu ích ở thư mục chung. Khi trojan này được thực thi bởi một user khác, nó sẽ cho phép tất cả các users truy nhập vào các files của user đó. HĐH mạng nâng cao VII. An toàn & bảo mật 19
  20. ZombieZombie • Zombie là một chương trình được thiết kế để giành quyền kiểm soát một máy tính có kết nối Internet, và sử dụng máy tính bị kiểm soát để tấn công các hệ thống khác. • Các zombies thường được dùng để tấn công DDoS các máy chủ/website lớn. • Rất khó để lần vết và phát hiện ra tác giả tạo ra và điều khiển các zombies. HĐH mạng nâng cao VII. An toàn & bảo mật 20
  21. VVirusesiruses • Virus và một chương trình có thể “nhiễm” vào các chương trình khác, bằng cách sửa đổi các chương trình này. • Nếu các chương trình đã bị sửa đổi chứa virus được kích hoạt thì virus sẽ tiếp tục “lây nhiễm” sang các chương trình khác. • Giống như virus sinh học, virus máy tính cũng có khả năng tự nhân bản, tự lây nhiễm sang các chương trình khác mà nó tiếp xúc. • Có nhiều con đường lây nhiễm virus: sao chép file, gọi các ứng dụng và dịch vụ qua mạng, email • Virus có thể thực hiện được mọi việc mà một chương trình thông thường có thể thực hiện. Khi đã lây nhiễm vào một chương trình, virus tự động được thực hiện khi chương trình này chạy. HĐH mạng nâng cao VII. An toàn & bảo mật 21
  22. VViruses:iruses: 44 giagiaii đođoạạnn ccủủaa vòngvòng đđờờii • Giai đoạn “nằm im”: Virus trong giai đoạn không được kích hoạt. Trong giai đoạn này virus có thể được kích hoạt nhờ một sự kiện nào đó. • Giai đoạn phát tán: Virus “cài” một bản sao của nó vào các chương trình khác. • Giai đoạn kích hoạt: virus được kích hoạt để thực thi các tác vụ đã thiết được định sẵn. Virus cũng thường được kích hoạt dựa trên một sự kiện nào đó. • Giai đoạn thực hiện: thực thi các tác vụ. Một số viruses có thể vô hại, nhưng một số khác có thể xoá dữ liệu, chương trình HĐH mạng nâng cao VII. An toàn & bảo mật 22
  23. VVirusesiruses (ti(tiếếp)p) Bắt đầu • Virus có thể chèn mã Jump của nó vào đầu hoặc Mã của cuối của chương trình bị chương lây nhiễm. trình bị lây nhiễm • Khi chương trình nhiễm virus được thực hiện, mã virus được thực hiện trước, sau đó mã Mã của chương trình mới được virus thực hiện. HĐH mạng nâng cao VII. An toàn & bảo mật 23
  24. MMacroacro VirusesViruses • Macro viruses thường lây nhiễm vào các files tài liệu của MS-Word và ứng dụng office khác. • Macro viruses hoạt động được nhờ tính năng cho phép tạo và thực hiện các đoạn mã macro trong các tài liệu của bộ ứng dụng MS Office. • Macro viruses thường lây nhiễm vào các files định dạng chuẩn và từ đó lây nhiễm vào tất cả các files tài liệu được mở. • Macro viruses cũng có thể được tự động kích hoạt nhờ các auto-executed macros: AutoExecute, Automacro v à Command macro. • Theo thống kê, macro viruses chiếm khoảng 2/3 tổng lượng viruses đã được phát hiện. HĐH mạng nâng cao VII. An toàn & bảo mật 24
  25. EE mailmail vvirusesiruses • E-mail viruses lây nhiễm bằng cách tự động gửi một bản copy của nó như 1 file đính kèm đến tất cả các địa chỉ email trong sổ địa chỉ của user trên máy bị lây nhiễm. • Nếu user mở email hoặc file đính kèm, virus được kích hoạt. • E-mail viruses có thể lây nhiễm rất nhanh chóng, lan tràn trên khắp thế giới trong một thời gian ngắn. HĐH mạng nâng cao VII. An toàn & bảo mật 25
  26. WormsWorms (Sâu)(Sâu) • Sâu có khả năng tự lây nhiễm từ máy này sang máy khác mà không cần sự trợ giúp của người dùng (khác email viruses). • Khi sâu lây nhiễm vào một máy, nó sử dụng máy này làm “bàn đạp” để tiếp tục tấn công các máy khác. • Các sâu trên mạng sử dụng kết nối mạng để lây lan từ máy này sang máy khác. • Khi sâu hoạt động, nó tương tự virus. HĐH mạng nâng cao VII. An toàn & bảo mật 26
  27. CCáácc phươngphương phpháápp lâylây lanlan ccủủaa sâusâu • Lây lan qua thư điện tử: sử dụng email để gửi bản copy của sâu đến các máy khác. • Lây lan thông qua khả năng thực thi từ xa: Sâu thực thi một bản copy của nó trên một máy khác. • Lây lan thông qua khả năng log-in (đăng nhập) từ xa: sâu đăng nhập vào hệ thống ở xa như một user và sử dụng lệnh để copy bản thân từ máy này sang máy khác. HĐH mạng nâng cao VII. An toàn & bảo mật 27
  28. VVíí ddụụ vvềề sâusâu • Code Red (7/2001): – Lợi dụng một lỗi hổng an ninh trong MS IIS để lây lan (lỗi tràn bộ đệm khi xử lý các file .ida của IIS). – Quét các địa chỉ IP ngẫu nhiên để tìm các hệ thống có lỗi. – Lây nhiễm vào 360.000 máy chủ trong vòng 14 giờ. HĐH mạng nâng cao VII. An toàn & bảo mật 28
  29. VVíí ddụụ vvềề sâusâu (ti(tiếếp)p) • Nimda (7/2001): có khả năng lây lan theo nhiều con đường: – Qua email từ máy client sang client – Qua các thư mục chia sẻ trên mạng – Từ máy chủ web sang trình duyệt – Từ máy khách đến máy chủ nhờ khai thác các lỗi máy chủ. HĐH mạng nâng cao VII. An toàn & bảo mật 29
  30. CCáácc gigiảảii phpháápp đđảảmm bbảảoo anan totoàànn • Các giải pháp phòng chống viruses, worms và các phần mềm độc hại • Các giải pháp kiểm soát truy nhập • Các giải pháp phát hiện đột nhập • Các giải pháp mã hoá thông tin HĐH mạng nâng cao VII. An toàn & bảo mật 30
  31. CCáácc gigiảảii phpháápp chchốốngng virusesviruses • Ngăn chặn viruses lây nhiễm vào hệ thống: – Luôn cập nhật hệ thống để hạn chế các lỗi phần mềm – Sử dụng các biện pháp kiểm soát truy nhập • Khi hệ thống đã bị nhiễm virus: – Phát hiện virus – Nhận dạng virus – Loại bỏ virus HĐH mạng nâng cao VII. An toàn & bảo mật 31
  32. CCáácc ththếế hhệệ phphầầnn mmềềmm chchốốngng virusvirus • Thế hế 1: quét virus kiểu đơn giản • Thế hế 2: quét dựa trên heuristics • Thế hế 3: các bẫy hành vi • Thế hế 4: bảo vệ toàn diện HĐH mạng nâng cao VII. An toàn & bảo mật 32
  33. QuQuéétt virusvirus kikiểểuu đơnđơn gigiảảnn • Cần có các chữ ký (signature) của virus – Các chuỗi đặc trưng – Các Wildcards – Các mismatches • Chỉ có thể phát hiện các virus đã biết • Do virus thường làm thay đổi kích thước của các file ứng dụng, nên có thể kiểm tra kích thước của các chương trình để phát hiện virus. HĐH mạng nâng cao VII. An toàn & bảo mật 33
  34. QuQuéétt ddựựaa trêntrên heuristicsheuristics • Không dựa trên một chữ ký cụ thể của virus. • Sử dụng các luật heuristics để xác định khả năng bị nhiễm virus • Các kỹ thuật: – Tìm các đoạn mã thường được virus sử dụng – Kiểm tra tính toàn vẹn: checksum được đính kèm vào mỗi chương trình. • Nếu virus thay đổi chương trình mà không thay đổi checksum, virus sẽ bị phát hiện. • Nếu virus thay đổi checksum, có thể sử dụng checksum đã được mã hoá (hash). HĐH mạng nâng cao VII. An toàn & bảo mật 34
  35. CCáácc bbẫẫyy hhàànhnh vivi • Phát hiện virus dựa trên hành vi của virus, không dựa trên cấu trúc virus như hai giải pháp trên. • Lợi thế: không cần lưu trữ một lượng lớn chữ ký virus hay luật heuristics. • Chỉ cần lưu một tập các hành vi của virus HĐH mạng nâng cao VII. An toàn & bảo mật 35
  36. BBảảoo vvệệ totoàànn didiệệnn • Thường kết hợp nhiều kỹ thuật để phòng và diệt virus • Các kỹ thuật thường bao gồm: – Kiểm soát truy nhập để ngăn chặn virus xâm nhập và hạn chế virus sửa đổi các files. – Quét virus dựa trên chữ ký – Phát hiện virus dựa trên hành vi HĐH mạng nâng cao VII. An toàn & bảo mật 36
  37. CCáácc gigiảảii phpháápp kikiểểmm sosoáátt truytruy nhnhậậpp • Tường lửa (firewall) • Access control list (ACL) • Xác thực (Authentication) • Trao quyền (Authorization) HĐH mạng nâng cao VII. An toàn & bảo mật 37
  38. TưTườờngng llửửaa • Tường lửa có thể dùng để bảo hệ hệ thống và mạng cục bộ tránh các đe doạ từ bên ngoài. • Tất cả các gói tin từ trong ra và từ ngoài vào đều phải đi qua tường lửa. • Chỉ các gói tin hợp lệ được phép đi qua tường lửa (xác định bởi chính sách an ninh). • Bản thân tường lửa phải miễn dịch với các loại tấn công. • Tường lửa có thể ngăn chặn nhiều hình thức tấn công mạng, như IP spoofing. HĐH mạng nâng cao VII. An toàn & bảo mật 38
  39. TôpôTôpô mmạạngng vvớớii tưtườờngng llửửaa HĐH mạng nâng cao VII. An toàn & bảo mật 39
  40. TôpôTôpô mmạạngng vvớớii tưtườờngng llửửaa HĐH mạng nâng cao VII. An toàn & bảo mật 40
  41. CCáácc loloạạii tưtườờngng llửửaa • Packet-Filtering router: Áp dụng một tập các luật cho mỗi gói tin đi/đến để quyết định chuyển tiếp hay loại bỏ gói tin. • Application-level gateway: còn gọi là proxy server, thường dùng để phát lại (relay) traffic của mức ứng dụng. • Circuit-level gateway: hoạt động tương tự các bộ chuyển mạch. HĐH mạng nâng cao VII. An toàn & bảo mật 41
  42. PacketPacket filteringfiltering router/firewallrouter/firewall HĐH mạng nâng cao VII. An toàn & bảo mật 42
  43. ApplicationApplication levellevel gatewaygateway HĐH mạng nâng cao VII. An toàn & bảo mật 43
  44. CircuitCircuit levellevel gatewaygateway HĐH mạng nâng cao VII. An toàn & bảo mật 44
  45. KKỹỹ thuthuậậtt kikiểểmm sosoáátt truytruy nhnhậậpp ccủủaa tưtườờngng llửửaa • Kiểm soát dịch vụ: xác định dịch vụ nào có thể được truy nhập, hướng đi ra hay đi vào. • Kiểm soát hướng: điều khiển hướng được phép đi của các gói tin của mỗi dịch vụ • Kiểm soát users: xác định người dùng nào được quyền truy nhập; thường áp dụng cho người dùng mạng nội bộ • Kiểm soát hành vi: kiểm soát việc sử dụng các dịch vụ cụ thể. Ví dụ tường lửa có thể lọc để loại bỏ các thư rác và hạn chế truy nhập đến một bộ phận thông tin của máy chủ web. HĐH mạng nâng cao VII. An toàn & bảo mật 45
  46. CCáácc hhạạnn chchếế ccủủaa tưtườờngng llửửaa • Không thể chống lại các tấn công không đi qua nó. • Không thể chống lại các tấn công hướng dữ liệu, hoặc tấn công vào các lỗ hổng an ninh của các phần mềm. • Không thể chống lại các hiểm hoạ từ bên trong (mạng nội bộ). • Không thể ngăn chặn việc vận chuyển các chương trình hoặc các file bị nhiễm virus. HĐH mạng nâng cao VII. An toàn & bảo mật 46
  47. AccessAccess controlcontrol listlist (ACL)(ACL) • Là danh sách các quyền truy nhập gắn liền với một đối tượng. • Có 4 giải pháp kiểm soát quyền truy nhập một đối tượng: – Tuỳ chọn – Bắt buộc – Dựa trên vai trò – Dựa trên luật • Kiểm soát quyền truy nhập của hệ thống file và kiểm soát quyền truy nhập mạng. HĐH mạng nâng cao VII. An toàn & bảo mật 47
  48. XXáácc ththựựcc (Authentication)(Authentication) • Là quá trình xác minh tính chân thực của thông tin mà người dùng cung cấp. • Xác thực dựa trên: – What you are: vân tay, các dấu hiệu đặc biệt – What you have: CMND, thẻ ATM – What you know: mật khẩu,PIN – What you do: giọng nói, chữ ký HĐH mạng nâng cao VII. An toàn & bảo mật 48
  49. XXáácc ththựực:c: ccáácc vvíí ddụụ • Kerberos: – Là giao thức xác thức mạng máy tính, cho phép các thực thể trong mạng giao tiếp với nhau trong môi trường mạng không an toàn để kiểm chứng thông tin nhận dạng về nhau một cách an toàn. – Thường dùng trong các mạng client/server để client và server kiểm chứng thông tin nhận dạng của nhau. • SSH: – Là một giao thức mạng cho phép tạo một kết nối an toàn giữa client và server ở xa. – Sử dụng mã hoá công khai để để xác thực máy chủ – Đảm vào tính bí mật và toàn vẹn của thông tin HĐH mạng nâng cao VII. An toàn & bảo mật 49
  50. XXáácc ththựực:c: ccáácc vvíí ddụụ • One-time password: password dùng một lần, thường được tạo ra sử dụng một thuật toán dựa trên password cũ. • RADIUS (Remote Authentication Dial In User Service): là một giao thức truy nhập mạng kiểu AAA (authentication, authorization and accounting). • DIAMETER: là phiên bản kế tiếp của RADIUS. • Biometerics: xác thực dựa trên các yếu tố sinh học. HĐH mạng nâng cao VII. An toàn & bảo mật 50
  51. TraoTrao quyquyềềnn (Authorization)(Authorization) • Xác định các tài nguyên mà người dùng được phép truy nhập sau khi người dùng đã được xác thực. • VD: Quản trị một forum: – Admins: có toàn quyền quản trị forum – Moderators: có quyền quản trị một/nhiều nhóm thảo luận – Users: được phép xem và post bài viết – Guests: chỉ được phép xem bài viết HĐH mạng nâng cao VII. An toàn & bảo mật 51
  52. CCáácc gigiảảii phpháápp phpháátt hihiệệnn đđộộtt nhnhậậpp • Phát hiện đột nhập dựa trên chữ ký (Signature-based / misuse instrusion detection) • Phát hiện đột nhập dựa trên các bất thường (Anomaly instrusion detection) • Phát hiện đột nhập cho mạng (Network- based instrusion detection) • Phát hiện đột nhập cho máy chủ (Host- based instrusion detection) HĐH mạng nâng cao VII. An toàn & bảo mật 52
  53. CCáácc gigiảảii phpháápp phpháátt hihiệệnn đđộộtt nhnhậậpp • Dựa trên phương pháp phân tích (analysis methods), có hai kỹ thuật phát hiện đột nhập (instrusion detection): – Phát hiện đột nhập dựa trên chữ ký (Signature-based / misuse instrusion detection) – Phát hiện đột nhập dựa trên các bất thường (Anomaly instrusion detection) HĐH mạng nâng cao VII. An toàn & bảo mật 53
  54. CCáácc gigiảảii phpháápp phpháátt hihiệệnn đđộộtt nhnhậậpp • Dựa trên nguồn cung cấp thông tin (information sources), có hai loại hệ thống phát hiện đột nhập: – Các hệ thống phát hiện đột nhập cho mạng (Network- based instrusion detection systems): phân t ích các gói tin truyền qua mạng để phát hiện đột nhập. – Các hệ thống phát hiện đột nhập cho máy chủ (Host- based instrusion detection systems): ph át hiện đột nhập nhờ phân tích thông tin trong nội bộ một hệ thống. HĐH mạng nâng cao VII. An toàn & bảo mật 54
  55. PhPháátt hihiệệnn đđộộtt nhnhậậpp ddựựaa trêntrên chchữữ kýký • Xây dựng cơ sở dữ liệu các chữ ký của các loại đột nhập đã biết; • Quan sát các hành vi của hệ thống, và cảnh báo nếu phát hiện chữ ký của đột nhập. • Ưu điểm: có khả năng phát hiện các đột nhập đã biết một cách hiệu quả. • Nhược điểm: không có khả năng phát hiện các đột nhập mới, do chữ ký của chúng chưa có trong cơ sở dữ liệu các chữ ký. HĐH mạng nâng cao VII. An toàn & bảo mật 55
  56. PhPháátt hihiệệnn đđộộtt nhnhậậpp ddựựaa trêntrên bbấấtt thưthườờngng • Xây dựng hồ sơ (profile) của đối tượng trong chế độ làm việc bình thường. • Quan sát hành vi hiện tại của hệ thống và cảnh báo nếu có khác biệt rõ nét giữa hành vi hiện tại và hồ sơ của đối tượng. • Phương pháp này dựa trên giả thiết: các hành vi đột nhập thường có quan hệ chặt chẽ với các hành vi bất thường. HĐH mạng nâng cao VII. An toàn & bảo mật 56
  57. PhPháátt hihiệệnn đđộộtt nhnhậậpp ddựựaa trêntrên bbấấtt thưthườờngng HĐH mạng nâng cao VII. An toàn & bảo mật 57
  58. PhPháátt hihiệệnn đđộộtt nhnhậậpp ddựựaa trêntrên bbấấtt thưthườờngng • Ưu điểm: – Có tiềm năng phát hiện các loại đột nhập mới mà không yêu cầu biết trước thông tin về chúng. • Nhược điểm: – Tỷ lệ cảnh báo sai tương đối cao so với phương pháp dựa trên chữ ký – Tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối tượng và phân tích hành vi hiện tại. HĐH mạng nâng cao VII. An toàn & bảo mật 58
  59. PhPháátt hihiệệnn đđộộtt nhnhậậpp ddựựaa trêntrên bbấấtt thưthườờngng • Các phương pháp xử lý, phân tích dữ liệu và mô hình hoá trong phát hiện đột nhập dựa trên bất thường: – Thống kê (statistics) – Học máy (machine learning): HMM, state - based. – Khai khoáng dữ liệu (data mining) – Mạng nơ ron (neural networks) HĐH mạng nâng cao VII. An toàn & bảo mật 59
  60. HMMHMM basedbased AnomalyAnomaly detectiondetection HĐH mạng nâng cao VII. An toàn & bảo mật 60