1

PHÒNG CHỐNG TẤN CÔNG MẠNG

Bùi Trọng Tùng,

Viện CNTT-TT, Đại học BKHN

1

Thông tin học phần

• Mã học phần: IT4830

• Khối lượng: 3(2-0-1-6)• Lý thuyết: 30 tiết

• Thực hành: 15 tiết (3 buổi x 5 tiết)

• Nội dung học phần:• Nguyên lý chung về phòng chống tấn công mạng

• Các nhiệm vụ phòng chống tấn công mạng

• Các hệ thống phòng chống tấn công mạng: VPN, firewall, IDS/IPS, Honeypot

• Đánh giá:• Quá trình(0.4): thực hành, chuyên cần

• Cuối kỳ(0.6): thi viết

• Website: https://users.soict.hust.edu.vn/tungbt/it4830

2

1

2

2

Quy định về điểm quá trình

• Điểm quá trình = Điểm TH + Điểm chuyên cần

• Điểm thực hành: Trung bình cộng điểm của 3 bài thực hành

• Điểm chuyên cần:

• Đạt điểm tuyệt đối tất cả các bài tập trắc nghiệm: +1

• Không hoàn thành 1-2 bài: 0

• Không hoàn thành 3-4 bài: -1

• Không hoàn thành ≥5 bài: -2

3

BÀI 1. MỞ ĐẦU

Bùi Trọng Tùng,

Viện CNTT-TT, Đại học BKHN

4

3

4

3

Nội dung

• Khái niệm cơ bản về phòng chống tấn công mạng

• Lỗ hổng và nguy cơ ATBM

• Nguyên lý chung về phòng chống tấn công mạng

• Phòng thủ theo chiều sâu

5

1. AN TOÀN BẢO MẬT VÀ CÁC NGUY CƠ AN TOÀN BẢO MẬT

Bùi Trọng Tùng,

Viện CNTT-TT, Đại học BKHN

6

5

6

4

An toàn bảo mật là gì?

7

Ngăn chặn, bảo vệ tài nguyên hệ thống trước các hành vi gây tổn hại

• Tài nguyên hệ thống:• Phần cứng: máy tính, đường truyền, thiết bị mạng...

• Phần mềm

• Dữ liệu

• Người dùng

• Các hành vi gây tổn hại: tấn công• Vật lý: tấn công vào phần cứng

• Logic: sử dụng các chương trình phá hoại để can thiệp vào quátrình xử lý và truyền dữ liệu

Yêu cầu của an toàn bảo mật

• Confidentiality (Bí mật): tài nguyên chỉ có thể truy cập bởi đối tượng được cấp quyền

• Integrity (Toàn vẹn, tin cậy): tài nguyên chỉ có thể sửa đổi bởi đối tượng được cấp quyền

• Availability (Sẵn sàng): tài nguyên sẵn sàng khi có yêu cầu• Thời gian đáp ứng chấp nhận được

• Tài nguyên được định vị trí rõ ràng

• Khả năng chịu lỗi

• Dễ dàng sử dụng

• Đồng bộ khi đáp ứng yêu cầu8

7

8

5

Mô hình CNSS

• Committee on National Security Systems

• McCumber Cube: Đặt các yêu cầu CIA trong mối liên hệ với các giải pháp và trạng thái của thông tin

9

Đe dọa an toàn bảo mật(Security Threat)

• Hành vi tiềm ẩn khả năng gây tổn hại tới tài nguyên của hệ thống

• Rủi ro(nguy cơ) an toàn bảo mật: khả năng xảy ra các sự cố làm mất an toàn an ninh thông tin và thiệt hại của chúng cho hệ thống

• Mô hình hóa mối đe dọa: 3 thành phần• Mục tiêu(Target): tài nguyên của hệ thống có thể là mục tiêu của

các hành vi gây tổn hại

• Chủ thể(Agent): người hoặc tổ chức gây ra mối đe dọa một cách cố ý hoặc vô ý

• Sự kiện(Event) gây ra đe dọa

10

9

10

6

Các sự kiện gây ra mối đe dọa

• Thiên tai:

• Mưa bão, lũ lụt, động đất…

• Giải pháp: xây dựng kế hoạch phản ứng sự cố và phục hồi, các giải pháp bảo vệ vật lý

• Lỗi phần cứng, phần mềm trong quá trình vận hành:

• Phát sinh do sự không hoàn thiện trong quá trình sản xuất hoặc suy hao theo thời gian

• Khó kiểm soát và ngăn chặn

• Giải pháp: bảo trì, cập nhật

11

Các sự kiện gây ra mối đe dọa

• Lỗi do người vận hành hệ thống• Giá trị nhập vào không hợp lệ, thao tác không đúng hướng dẫn

• Ngăn chặn:

• Đào tạo một cách chi tiết, đầy đủ

• Xây dựng hệ thống, quy trình vận hành để người dùng khó mắc lỗi vô ý

• Xâm nhập trái phép vào hệ thống:• Thực hiện bởi bên thứ 3 tấn công

• Xâm phạm bản quyền, bí mật công nghệ

• Đánh cắp thông tin

• Gửi thông tin lừa đảo

• Phá hủy tài nguyên

• Phát tán phần mềm độc hại…

12

11

12

7

Lỗ hổng an toàn bảo mật

• Là các điểm yếu của hệ thống có thể lợi dụng để gây tổn hại tới tính an toàn bảo mật

• Một số nguyên nhân phát sinh lỗ hổng:• Lỗ hổng do công nghệ

• Lỗ hổng do chính sách không đầy đủ

• Lỗ hổng do triển khai vận hành không đúng cách

13

Tấn công an toàn bảo mật

• Là các hành vi cố ý gây ra tổn hại cho hệ thống

• Phân loại:• Tấn công bên ngoài/Tấn công bên trong

• Tấn công không chủ đích/Tấn công có chủ đích

• Tấn công vật lý/Tấn công logic

• Tấn công chủ động/Tấn công thụ động

• Một số dạng tấn công:• Tấn công do thám

• Tấn công truy cập

• Tấn công từ chối dịch vụ

• …

14

13

14

8

Tấn công do thám

• Tìm kiếm, thu thập thông tin về hệ thống• Địa chỉ IP

• Các dịch vụ đang hoạt động

• Người dùng và quyền truy cập

• Hệ điều hành, phần mềm…

• Thường sử dụng ở giai đoạn bắt đầu của quá trình tấn công

• Các kỹ thuật do thám thông dụng:• Nghe lén

• Quét địa chỉ IP

• Quét cổng

• Nhận diện hệ điều hành

• Các kỹ thuật đánh lừa(Social Engineering)

15

Tấn công truy cập

• Chiếm tài nguyên trên hệ thống đích

• Các kỹ thuật thông dụng:• Nghe lén

• Phát lại

• Đoạt phiên làm việc

• Man-in-the-middle

• Mở cổng sau(backdoor)

• Tràn bộ đệm

• Dò đoán mật khẩu

• Khai thác lỗ hổng giao thức

• …

16

15

16

9

Kịch bản tấn công

Các giai đoạn thực hiện tấn công:

• Chuẩn bị tấn công• Thăm dò thông tin

• Quét, rà soát hệ thống

• Thực thi tấn công• Giành quyền truy cập

• Duy trì truy cập

• Xóa dấu vết

17

Thăm dò

Quét, rà soát

Giành quyền

truy cập

Duy trì truy cập

Xóa dấu vết

Thăm dò

• Là các hành vi mà kẻ tấn công thực hiện nhằm thu thập thông tin về hệ thống: người dùng, khách hàng, các hoạt động nghiệp vụ, thông tin về tổ chức…

• Có thể lặp đi lặp lại một cách định kỳ đến khi có cơ hội tấn công dễ dàng hơn

• Thăm dò chủ động: có tương tác với mục tiêu

• Thăm dò bị động: không có tương tác với mục tiêu

18

Thăm dò

Quét, rà soát

Giành quyền

truy cập

Duy trì truy cập

Xóa dấu vết

17

18

10

Thăm dò(tiếp)

• Sử dụng các công cụ tìm kiếm: Google, Shodan, Censys

• Thông tin từ mạng xã hội: FB, Tweetter, Linkedin

• Thông tin từ website của đối tượng: Burp Suite, ZAP, Web Spider, Web Mirroring

• Thăm dò hệ thống email

• WHOIS, DNS

• Thăm dò kết nối mạng: trace route

• Social Engineering

19

Thăm dò

Quét, rà soát

Giành quyền

truy cập

Duy trì truy cập

Xóa dấu vết

Quét rà soát

• Quét rà soát để xác định các thông tin về hệ thống dựa trên các thông tin thu thập được từ quá trình thăm dò

• Kẻ tấn công có cái nhìn chi tiết hơn và sâu hơn về hệ thống: các dịch vụ cung cấp, các cổng dịch vụ đang mở, địa chỉ IP, hệ điều hành và phần mềm…

• Trích xuất thông tin từ giai đoạn này cho phép kẻ tấn công lên kế hoạch chi tiết để thực hiện tấn công

20

Thăm dò

Quét, rà soát

Giành quyền

truy cập

Duy trì truy cập

Xóa dấu vết

19

20

11

Quét rà soát(tiếp)

• Xác định các nút mạng kết nối: Ping Sweep

• Kiểm tra các cổng dịch vụ đang mở: TCP Scanning, UDP Scanning

• Xác định thông tin hệ điều hành trên hệ thống mục tiêu: ID Serve, Netcraft

• Quét lỗ hổng: Nessus, GFI LanGuard

• Xác định topology của mạng mục tiêu: Network Topology Mapper

• Tương tác và thống kê(enumeration)

21

Thăm dò

Quét, rà soát

Giành quyền

truy cập

Duy trì truy cập

Xóa dấu vết

Giành quyền truy cập

• Kẻ tấn công giành được quyền truy cập vào hệ thống ở các mức độ khác nhau: mức mạng, mức hệ điều hành, mức ứng dụng

• Có thể dựa trên các quyền truy cập đã có để leo thang truy cập

22

Thăm dò

Quét, rà soát

Giành quyền

truy cập

Duy trì truy cập

Xóa dấu vết

21

22

12

Duy trì truy cập

• Thay đổi, can thiệp và hoạt động của hệ thống

• Cài đặt các phần mềm gián điệp

• Che giấu các hành vi trên hệ thống

• Quét rà soát sâu vào hệ thống

• Mở rộng phạm vi tấn công

• Leo thang tấn công

• Nếu cần thiết, kẻ tấn công có thể nằm vùng, chờ thời điểm thích hợp để phát động tấn công

23

Thăm dò

Quét, rà soát

Giành quyền

truy cập

Duy trì truy cập

Xóa dấu vết

2. KHÁI NIỆM CHUNG VỀ PHÒNG CHỐNG TẤN CÔNG MẠNG

Bùi Trọng Tùng,

Viện CNTT-TT, Đại học BKHN

24

23

24

13

Phòng chống tấn công mạng

• Computer Network Defense(CND)

• Hoạt động của hệ thống mạng(Computer Network Operation):

CNO = CNA + CNE + CND

• CNA: Computer Network Attack

• CNE: Computer Network Exploitation

• CND là quá trình bảo vệ hệ thống, giám sát, phân tích, phát hiện và phản ứng với các hành vi trái phép tác động tới hệ thống mạng máy tính

• Các thành phần giải pháp:• Con người

• Tác vụ

• Công nghệ

25

Các thành phần của CND: Con người

Bao gồm tất cả thành viên trong tổ chức:

• Kiến trúc sư ATBM

• Kỹ sư ATBM

• Phân tích viên

• Nhân viên kỹ thuật

• Nhân viên vận hành

• Người dùng cuối

• Nhân viên điều phối

26

25

26

14

Các thành phần của CND: Tác vụ

• Xây dựng và triển khai chính sách an toàn bảo mật

• Quy trình vận hành

• Gia cố hệ thống

• Quy trình xử lý sự cố(Incident Response)

• Điều tra số

• Sao lưu, dự phòng, khôi phục(Disaster Recovery)

• Lập kế hoạch khôi phục hoạt động sau sự cố(Business Continuity)

• Đào tạo người dùng

27

Các thành phần của CND: Công nghệ

• Kiểm thử, đánh giá các thành phần của hệ thống

• Các hệ thống quản trị cấu hình

• Tường lửa

• Kiểm soát truy cập

• Proxy

• Lọc nội dung

• Mật mã

• Xác thực

• …

28

27

28

15

Mối quan hệ giữa các thành phần

29

Các hướng tiếp cập – Phòng ngừa

Mục tiêu: giảm thiểu khả năng bị tấn công

• Gia cố hệ thống

• Quét và vá lỗ hổng bảo mật

• Lọc lưu lượng truy cập

• Thẩm tra nguồn truy cập

• Ngụy trang hệ thống

• Mã hóa

30

29

30

16

Các hướng tiếp cận – Phát hiện

Mục tiêu: Phát hiện và ngăn chặn tấn công

• Giám sát truy cập

• Thu thập thông tin hoạt động của hệ thống

• Các cơ chế phát hiện:• Dựa trên dấu hiệu

• Dựa trên bất thường

• Các mô hình dựa trên hành vi

• Các mô hình dựa trên ngưỡng

• Cảnh báo và ngăn chặn tấn công tiếp diễn

31

Các hướng tiếp cận – Phản ứng

Mục tiêu: Đáp ứng với các hành vi tấn công bằng các biện pháp thích đáng

• Sao lưu và dự phòng

• Phản ứng sự cố: khoanh vùng, cách ly, chuyển hướng

• Phục hồi sau tấn công

• Điều tra số

32

31

32

17

Quá trình phòng chống

33

Giám sát

Phân tích

Phát hiện

Phản ứng

Rút kinh nghiệm

3. PHÒNG THỦ THEO CHIỀU SÂU

Bùi Trọng Tùng,

Viện CNTT-TT, Đại học BKHN

34

33

34

18

Phòng thủ theo chiều sâu

• Không có giải pháp nào là vạn năng, có thể phòng chống mọi loại tấn công

• Phòng thủ theo chiều sâu(Defense in depth-DID): Các giải pháp phòng chống tấn công mạng cần phải được xây dựng với nhiều lớp bảo vệ:• Mỗi lớp thực hiện một số nhiệm vụ

• Các lớp phải phối hợp để tạo thành sức mạnh chung cho hệ thống

• Làm suy yếu dần khả năng tấn công

• Các hành vi tấn công ngày càng khó tiếp cận vào các lớp bên trong

• Phân biệt với dự phòng

35

Phòng thủ theo chiều sâu

• Các giải pháp phòng thủ theo chiều sâu cần được thiết kế dựa trên các thành phần của CND:• Con người

• Tác vụ

• Công nghệ

36

Asset

Personal

Operation

Technology

35

36

19

DID – Con người

• Ít được chú ý khi đề cập tới các giải pháp ATBM, nhưng…

• Giải quyết các vấn đề về con người rất quan trọng và cần thường xuyên giám sát, đánh giá

• Tại sao?

• Cần phải có bộ phận chuyên trách về ATBM trong tổ chức

• Người dùng cần được đào tạo và diễn tập

37

Hiện trạng tại Việt Nam

38

37

38

20

Hiện trạng tại Việt Nam

39

DID- Công nghệ

Các lớp con:

• Phòng thủ cho hạ tầng mạng kết nối với bên ngoài

• Phòng thủ vùng đệm của mạng bên trong

• Phòng thủ trên các host

40

39

40

21

DID – Tác vụ

• Bao gồm tất cả các hoạt động định kỳ được thực hiện để duy trì khả năng phòng thủ của hệ thống

• Các tác vụ lớp bảo vệ vật lý

• Xây dựng và triển khai chính sách ATBM

• Lập kế hoạch và giải pháp triển khai cho các hoạt động:• Phản ứng sự cố

• Sao lưu và dự phòng

• Khôi phục hệ thống…

• Giám sát và báo cáo tình trạng an ninh mạng

41

Hiện trạng tại Việt Nam

42

41

42

22

Hiện trạng tại Việt Nam

43

• Khả năng nhận biết hệ thống bị tấn công

Giám sát an ninh mạng

• Hệ thống thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện an toàn mạng được sinh ratrong hệ thống CNTT của tổ chức

44

43

44

23

Giám sát an ninh mạng

• Các yếu tố cơ bản:• Các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát

• Thiết bị, giải pháp phần mềm phục vụ giám sát

• Thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả giám sát

• Con người

• Quy trình

• Các mô hình:• Giải pháp quản lý thông tin an ninh (SIM): tập trung vào việc thu

thập, lưu trữ và biểu diễn nhật ký(log)

• Giải pháp quản lý sự kiện an ninh (SEM): tập trung vào việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra các cảnh báo cho người dùng

• Giải pháp quản lý và phân tích sự kiện an ninh (SIEM): SIM + SEM

45

45