Bài giảng Hệ điều hành mạng nâng cao - Hoàng Xuân Dậu - Chương 7: An toàn và bảo mật

 đệm khi xử lý các file .ida
của IIS).
– Quét các địa chỉ IP ngẫu nhiên để tìm các hệ
thống có lỗi.
– Lây nhiễm vào 360.000 máy chủ trong vòng
14 giờ.
HĐH mạng nâng cao VII. An toàn & bảo mật 29
Ví dụ về sâu (tiếp)
• Nimda (7/2001): có khả năng lây lan theo
nhiều con đường:
– Qua email từ máy client sang client
– Qua các thư mục chia sẻ trên mạng
– Từ máy chủ web sang trình duyệt
– Từ máy khách đến máy chủ nhờ khai thác
các lỗi máy chủ.
HĐH mạng nâng cao VII. An toàn & bảo mật 30
Các giải pháp đảm bảo an toàn
• Các giải pháp phòng chống viruses,
worms và các phần mềm độc hại
• Các giải pháp kiểm soát truy nhập
• Các giải pháp phát hiện đột nhập
• Các giải pháp mã hoá thông tin
HĐH mạng nâng cao VII. An toàn & bảo mật 31
Các giải pháp chống viruses
• Ngăn chặn viruses lây nhiễm vào hệ
thống:
– Luôn cập nhật hệ thống để hạn chế các lỗi
phần mềm
– Sử dụng các biện pháp kiểm soát truy nhập
• Khi hệ thống đã bị nhiễm virus:
– Phát hiện virus
– Nhận dạng virus
– Loại bỏ virus
HĐH mạng nâng cao VII. An toàn & bảo mật 32
Các thế hệ phần mềm chống virus
• Thế hế 1: quét virus kiểu đơn giản
• Thế hế 2: quét dựa trên heuristics
• Thế hế 3: các bẫy hành vi
• Thế hế 4: bảo vệ toàn diện
HĐH mạng nâng cao VII. An toàn & bảo mật 33
Quét virus kiểu đơn giản
• Cần có các chữ ký (signature) của virus
– Các chuỗi đặc trưng
– Các Wildcards
– Các mismatches
• Chỉ có thể phát hiện các virus đã biết
• Do virus thường làm thay đổi kích thước
của các file ứng dụng, nên có thể kiểm tra
kích thước của các chương trình để phát
hiện virus.
HĐH mạng nâng cao VII. An toàn & bảo mật 34
Quét dựa trên heuristics
• Không dựa trên một chữ ký cụ thể của virus.
• Sử dụng các luật heuristics để xác định khả
năng bị nhiễm virus
• Các kỹ thuật:
– Tìm các đoạn mã thường được virus sử dụng
– Kiểm tra tính toàn vẹn: checksum được đính kèm vào
mỗi chương trình.
• Nếu virus thay đổi chương trình mà không thay đổi
checksum, virus sẽ bị phát hiện.
• Nếu virus thay đổi checksum, có thể sử dụng checksum đã
được mã hoá (hash).
HĐH mạng nâng cao VII. An toàn & bảo mật 35
Các bẫy hành vi
• Phát hiện virus dựa trên hành vi của virus,
không dựa trên cấu trúc virus như hai giải
pháp trên.
• Lợi thế: không cần lưu trữ một lượng lớn
chữ ký virus hay luật heuristics.
• Chỉ cần lưu một tập các hành vi của virus
HĐH mạng nâng cao VII. An toàn & bảo mật 36
Bảo vệ toàn diện
• Thường kết hợp nhiều kỹ thuật để phòng
và diệt virus
• Các kỹ thuật thường bao gồm:
– Kiểm soát truy nhập để ngăn chặn virus xâm
nhập và hạn chế virus sửa đổi các files.
– Quét virus dựa trên chữ ký
– Phát hiện virus dựa trên hành vi
HĐH mạng nâng cao VII. An toàn & bảo mật 37
Các giải pháp kiểm soát truy nhập
• Tường lửa (firewall)
• Access control list (ACL)
• Xác thực (Authentication)
• Trao quyền (Authorization)
HĐH mạng nâng cao VII. An toàn & bảo mật 38
Tường lửa
• Tường lửa có thể dùng để bảo hệ hệ thống và
mạng cục bộ tránh các đe doạ từ bên ngoài.
• Tất cả các gói tin từ trong ra và từ ngoài vào đều
phải đi qua tường lửa.
• Chỉ các gói tin hợp lệ được phép đi qua tường
lửa (xác định bởi chính sách an ninh).
• Bản thân tường lửa phải miễn dịch với các loại
tấn công.
• Tường lửa có thể ngăn chặn nhiều hình thức tấn
công mạng, như IP spoofing.
HĐH mạng nâng cao VII. An toàn & bảo mật 39
Tôpô mạng với tường lửa
HĐH mạng nâng cao VII. An toàn & bảo mật 40
Tôpô mạng với tường lửa
HĐH mạng nâng cao VII. An toàn & bảo mật 41
Các loại tường lửa
• Packet-Filtering router: Áp dụng một tập
các luật cho mỗi gói tin đi/đến để quyết
định chuyển tiếp hay loại bỏ gói tin.
• Application-level gateway: còn gọi là proxy
server, thường dùng để phát lại (relay)
traffic của mức ứng dụng.
• Circuit-level gateway: hoạt động tương tự
các bộ chuyển mạch.
HĐH mạng nâng cao VII. An toàn & bảo mật 42
Packet-filtering router/firewall
HĐH mạng nâng cao VII. An toàn & bảo mật 43
Application-level gateway
HĐH mạng nâng cao VII. An toàn & bảo mật 44
Circuit-level gateway
HĐH mạng nâng cao VII. An toàn & bảo mật 45
Kỹ thuật kiểm soát truy nhập
của tường lửa
• Kiểm soát dịch vụ: xác định dịch vụ nào có thể
được truy nhập, hướng đi ra hay đi vào.
• Kiểm soát hướng: điều khiển hướng được phép
đi của các gói tin của mỗi dịch vụ
• Kiểm soát users: xác định người dùng nào được
quyền truy nhập; thường áp dụng cho người
dùng mạng nội bộ
• Kiểm soát hành vi: kiểm soát việc sử dụng các
dịch vụ cụ thể. Ví dụ tường lửa có thể lọc để loại
bỏ các thư rác và hạn chế truy nhập đến một bộ
phận thông tin của máy chủ web.
HĐH mạng nâng cao VII. An toàn & bảo mật 46
Các hạn chế của tường lửa
• Không thể chống lại các tấn công không đi
qua nó.
• Không thể chống lại các tấn công hướng
dữ liệu, hoặc tấn công vào các lỗ hổng an
ninh của các phần mềm.
• Không thể chống lại các hiểm hoạ từ bên
trong (mạng nội bộ).
• Không thể ngăn chặn việc vận chuyển các
chương trình hoặc các file bị nhiễm virus.
HĐH mạng nâng cao VII. An toàn & bảo mật 47
Access control list (ACL)
• Là danh sách các quyền truy nhập gắn liền với
một đối tượng.
• Có 4 giải pháp kiểm soát quyền truy nhập một
đối tượng:
– Tuỳ chọn
– Bắt buộc
– Dựa trên vai trò
– Dựa trên luật
• Kiểm soát quyền truy nhập của hệ thống file và
kiểm soát quyền truy nhập mạng.
HĐH mạng nâng cao VII. An toàn & bảo mật 48
Xác thực (Authentication)
• Là quá trình xác minh tính chân thực của
thông tin mà người dùng cung cấp.
• Xác thực dựa trên:
– What you are: vân tay, các dấu hiệu đặc biệt
– What you have: CMND, thẻ ATM
– What you know: mật khẩu,PIN
– What you do: giọng nói, chữ ký
HĐH mạng nâng cao VII. An toàn & bảo mật 49
Xác thực: các ví dụ
• Kerberos:
– Là giao thức xác thức mạng máy tính, cho phép các
thực thể trong mạng giao tiếp với nhau trong môi
trường mạng không an toàn để kiểm chứng thông tin
nhận dạng về nhau một cách an toàn.
– Thường dùng trong các mạng client/server để client
và server kiểm chứng thông tin nhận dạng của nhau.
• SSH:
– Là một giao thức mạng cho phép tạo một kết nối an
toàn giữa client và server ở xa.
– Sử dụng mã hoá công khai để để xác thực máy chủ
– Đảm vào tính bí mật và toàn vẹn của thông tin
HĐH mạng nâng cao VII. An toàn & bảo mật 50
Xác thực: các ví dụ
• One-time password: password dùng một lần,
thường được tạo ra sử dụng một thuật toán
dựa trên password cũ.
• RADIUS (Remote Authentication Dial In User
Service): là một giao thức truy nhập mạng
kiểu AAA (authentication, authorization and
accounting).
• DIAMETER: là phiên bản kế tiếp của
RADIUS.
• Biometerics: xác thực dựa trên các yếu tố
sinh học.
HĐH mạng nâng cao VII. An toàn & bảo mật 51
Trao quyền (Authorization)
• Xác định các tài nguyên mà người dùng
được phép truy nhập sau khi người dùng
đã được xác thực.
• VD: Quản trị một forum:
– Admins: có toàn quyền quản trị forum
– Moderators: có quyền quản trị một/nhiều
nhóm thảo luận
– Users: được phép xem và post bài viết
– Guests: chỉ được phép xem bài viết
HĐH mạng nâng cao VII. An toàn & bảo mật 52
Các giải pháp phát hiện đột nhập
• Phát hiện đột nhập dựa trên chữ ký
(Signature-based / misuse instrusion
detection)
• Phát hiện đột nhập dựa trên các bất
thường (Anomaly instrusion detection)
• Phát hiện đột nhập cho mạng (Network-
based instrusion detection)
• Phát hiện đột nhập cho máy chủ (Host-
based instrusion detection)
HĐH mạng nâng cao VII. An toàn & bảo mật 53
Các giải pháp phát hiện đột nhập
• Dựa trên phương pháp phân tích (analysis
methods), có hai kỹ thuật phát hiện đột
nhập (instrusion detection):
– Phát hiện đột nhập dựa trên chữ ký
(Signature-based / misuse instrusion
detection)
– Phát hiện đột nhập dựa trên các bất thường
(Anomaly instrusion detection)
HĐH mạng nâng cao VII. An toàn & bảo mật 54
Các giải pháp phát hiện đột nhập
• Dựa trên nguồn cung cấp thông tin (information
sources), có hai loại hệ thống phát hiện đột
nhập:
– Các hệ thống phát hiện đột nhập cho mạng (Network-
based instrusion detection systems): phân t ích các
gói tin truyền qua mạng để phát hiện đột nhập.
– Các hệ thống phát hiện đột nhập cho máy chủ (Host-
based instrusion detection systems): ph át hiện đột
nhập nhờ phân tích thông tin trong nội bộ một hệ
thống.
HĐH mạng nâng cao VII. An toàn & bảo mật 55
Phát hiện đột nhập dựa trên chữ ký
• Xây dựng cơ sở dữ liệu các chữ ký của các loại
đột nhập đã biết;
• Quan sát các hành vi của hệ thống, và cảnh báo
nếu phát hiện chữ ký của đột nhập.
• Ưu điểm: có khả năng phát hiện các đột nhập
đã biết một cách hiệu quả.
• Nhược điểm: không có khả năng phát hiện các
đột nhập mới, do chữ ký của chúng chưa có
trong cơ sở dữ liệu các chữ ký.
HĐH mạng nâng cao VII. An toàn & bảo mật 56
Phát hiện đột nhập dựa trên bất thường
• Xây dựng hồ sơ (profile) của đối tượng
trong chế độ làm việc bình thường.
• Quan sát hành vi hiện tại của hệ thống và
cảnh báo nếu có khác biệt rõ nét giữa
hành vi hiện tại và hồ sơ của đối tượng.
• Phương pháp này dựa trên giả thiết: các
hành vi đột nhập thường có quan hệ chặt
chẽ với các hành vi bất thường.
HĐH mạng nâng cao VII. An toàn & bảo mật 57
Phát hiện đột nhập dựa trên bất thường
HĐH mạng nâng cao VII. An toàn & bảo mật 58
Phát hiện đột nhập dựa trên bất thường
• Ưu điểm:
– Có tiềm năng phát hiện các loại đột nhập mới
mà không yêu cầu biết trước thông tin về
chúng.
• Nhược điểm:
– Tỷ lệ cảnh báo sai tương đối cao so với
phương pháp dựa trên chữ ký
– Tiêu tốn nhiều tài nguyên hệ thống cho việc
xây dựng hồ sơ đối tượng và phân tích hành
vi hiện tại.
HĐH mạng nâng cao VII. An toàn & bảo mật 59
Phát hiện đột nhập dựa trên bất thường
• Các phương pháp xử lý, phân tích dữ liệu
và mô hình hoá trong phát hiện đột nhập
dựa trên bất thường:
– Thống kê (statistics)
– Học máy (machine learning): HMM, state -
based.
– Khai khoáng dữ liệu (data mining)
– Mạng nơ ron (neural networks)
HĐH mạng nâng cao VII. An toàn & bảo mật 60
HMM-
based
Anomaly
detection