Wireless

2,909 views
2,791 views

Published on

Published in: Education
3 Comments
3 Likes
Statistics
Notes
No Downloads
Views
Total views
2,909
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
323
Comments
3
Likes
3
Embeds 0
No embeds

No notes for slide
  • 1
  • 1
  • Wireless

    1. 1. NETWORK SECURITY Phần IVApplication Security
    2. 2. Đảm bảo an ninh phần ứng dụng  Mục 1: An ninh cho truy cập từ xa – Remote Access Security  Mục 2: An ninh dịch vụ web – Security web traffic  Mục 3: An ninh dịch vụ thư điện tử - Email Security  Mục 4: Application Security Baselines
    3. 3. An ninh cho truy cập từ xa – Remote Access Security  Mạng không dây  Mạng riêng ảo VPN  RADIUS  TACACS  PPTP  L2TP  SSH  IPSec
    4. 4. Mạng không dây (wireless LAN)
    5. 5. TỔNG QUAN VỀ MẠNG WIRELESSS Các loại wireless networks  Có thể phân chia tạm như sau:  Wireless LAN (Wifi)  Wireless MAN (WiMax)
    6. 6. Các chuẩn của mạng wireless IEEE 802.15: Bluetooth, được sử dụng trong mạng Personal Area Network (PAN). IEEE 802.11: Wifi, được sử dụng cho mạng Local Area Network (LAN). IEEE 802.16: WiMax ( Worldwide Interoperability for Microwave Access ), được sử dụng cho Metropolitan Area Network (MAN). IEEE 802.20: được sử dụng cho Wide Area Network (WAN).
    7. 7. WLAN  Mạng dựa trên công nghệ 802.11 nên đôi khi còn được gọi là 802.11 network Ethernet. Và hiện tại còn được gọi là mạng Wireless Ethernet hoặc Wi-Fi (Wireless Fidelity).  Chuẩn 802.11 được IEEE phát triển và đưa ra vào năm 1997. Gồm có: 802.11, 802.11a, 802.11b, 802.11b+, 802.11g, 802.11h
    8. 8. WLAN 802.11:  Tốc độ truyền khoảng từ 1 đến 2 Mbps, hoạt động ở băng tần 2.4GHz.  Tầng vật lí sử dụng phương thức DSSS ( Direct Sequence Spread Spectrum ) hay FHSS ( Frequency Hoping Spread Spectrum ) để truyền. 802.11a:  Cung cấp tốc độ truyền lên tới 54 Mbps, hoạt động ở dải băng tần 5 GHz. Sử dụng phương pháp điều chế ghép kênh theo vùng tần số vuông góc Orthogonal Frequency Division Multiplexing ( OFDM ).  Có thể sử dụng đến 8 Access Point đặc điểm này ở dải tần 2.4GHz, chỉ sử dụng được đến 3 Access Point
    9. 9. WLAN 802.11b, 802.11b+:  Cung cấp tốc độ truyền là 11 Mpbs ( 802.11b ) hay 22 Mbps ( 802.11b+), hoạt động ở dải băng tần 2.4 GHz. Có thể tương thích với 802.11 và 802.11g. Tốc độ có thể ở 1, 2, hay 5,5 Mbps. 802.11g:  Cung cấp tốc độ truyền khoảng 20+Mbps, hoạt động ở dải băng tần 2.4GHz.  Phương thức điều chế: có thể dùng 1 trong 2 phương thức:  OFDM ( giống 802.11a ) : tốc độ truyền có thể lên tới 54 Mbps.  DSSS: tốc độ giới hạn ở 11 Mbps. 802.11h:  Được sử dụng ở châu Âu, hoạt động ở băng tần 5 GHz.
    10. 10. WLAN Ưu điểm của WLAN so với mạng có dây truyền thống  Mạng Wireless cung cấp tất cả các tính năng của công nghệ mạng LAN như là Ethernet và Token Ring mà không bị giới hạn về kết nối vật lý (giới hạn về cable).  Sự thuận lợi đầu tiên của mạng Wireless đó là tính linh động.  Mạng WLAN sử dụng sóng hồng ngoại (Infrared Light) và sóng Radio (Radio Frequency) để truyền nhận dữ liệu thay vì dùng Twist-Pair và Fiber Optic Cable.
    11. 11. WLAN Hạn chế của WLAN  Tốc độ mạng Wireless bị phụ thuộc vào băng thông.  Bảo mật trên mạng Wireless là mối quan tâm hàng đầu hiện nay.
    12. 12. Đặc tính kỹ thuật mạng Wireless  WLAN hoạt động như thế nào ?  Wireless LAN sử dụng sóng điện từ (Radio hoặc sóng Hồng ngoại - Infrared) để trao đổi thông tin giữa các thiết bị mà không cần bất kỳ một kết nối vật lý nào (cable).  Trong cấu hình của mạng WLAN thông thường, một thiết bị phát và nhận (transceiver) được gọi là Access Point (AP) và được kết nối với mạng có dây thông thường thông qua cáp theo chuẩn Ethernet.  AP thực hiện chức năng chính đó là nhận thông tin, nhớ lại và gửi dữ liệu giữa mạng WLAN và mạng có dây thông thường. Một AP có thể hổ trợ một nhóm người dùng và trong một khoảng cách nhất định (tuỳ theo loại AP).
    13. 13. Đặc tính kỹ thuật mạng Wireless Ngườidùng mạng WLAN truy cập vào mạng thông qua Wireless NIC, thông thường có các chuẩn sau:  PCMCIA - Laptop, Notebook  ISA, PCI, USB – Desktop  Tích hợp sẵn trong các thiết bị cầm tay
    14. 14. Đặc tính kỹ thuật mạng Wireless Công nghệ chính được sử dụng cho mạng Wireless là dựa trên chuẩn IEEE 802.11. Hầu hết các mạng Wireless hiện nay đều sử dụng tầng số 2.4GHz. Wireless Network Standards:  IEEE 802.11 standard  Bluetooth
    15. 15. Đặc tính kỹ thuật mạng Wireless 802.11 Standard  Mạng WLANs hoạt động dựa trên chuẩn 802.11 chuẩn này được xem là chuẩn dùng cho các thiết bị di động có hỗ trợ Wireless, phục vụ cho các thiết bị có phạm vi hoạt động tầm trung bình.  Cho đến hiện tại IEEE 802.11 gồm có 4 chuẩn trong họ 802.11 và 1 chuẩn đang thử nghiệm:
    16. 16. Đặc tính kỹ thuật mạng Wireless 802.11 - là chuẩn IEEE gốc của mạng không dây (hoạt động ở tầng số 2.4GHz, tốc độ 1 Mbps – 2Mbps) 802.11b - (phát triển vào năm 1999, hoạt động ở tầng số 2.4- 2.48GHz, tốc độ từ 1Mpbs - 11Mbps) 802.11a - (phát triển vào năm 1999, hoạt động ở tầng số 5GHz – 6GHz, tốc độ 54Mbps) 802.11g - (một chuẩn tương tự như chuẫn b nhưng có tốc độ cao hơn từ 20Mbps - 54Mbps, hiện đang phổ biến nhất) 802.11e - là 1 chuẩn đang thử nghiệm: đây chỉ mới là phiên bản thử nghiệm cung cấp đặc tính QoS (Quality of Service) và hỗ trợ Multimedia cho gia đình và doanh nghiệp có môi trường mạng không dây
    17. 17. Đặc tính kỹ thuật mạng Wireless  Bluetooth  Bluetooth là một giao thức đơn giản dùng để kết nối những thiết bị di động như Mobile Phone, Laptop, Handheld computer, Digital Camera, Printer, v.v..  Bluetooth sử dụng chuẩn IEEE 802.15 với tần số 2.4GHz – 2.5GHz  Bluetooth là công nghệ được thiết kế nhằm đáp ứng một cách nhanh chóng việc kết nối các thiết bị di động và cũng là giải pháp tạo mạng WPAN, có thể thực hiện trong môi trường nhiều tầng số khác nhau.
    18. 18. Kênh trong mạng Wireless
    19. 19. Kênh trong mạng Wireless
    20. 20. Các mô hình mạng Wireless  Independent Basic Service sets – IBSS  Basic Service sets – BSS  Extended Service sets - ESS
    21. 21. Các mô hình mạng Wireless Independent BSS/ Ad-hoc  Trong mô hình Independent BSS, các Client liên lạc trực tiếp với nhau mà không phải thông qua AP nhưng phải trong phạm vi cho phép.  Mạng nhỏ nhất theo chuẩn 802.11 này bao gồm 2 máy liên lạc trực tiếp với nhau.  Mô hình IBSS còn được gọi với tên là mạng ad-hoc.
    22. 22. Các mô hình mạng Wireless Mô hình independent BSS/Ad-hoc network
    23. 23. Các mô hình mạng Wireless BSS/Infracstructure BSS  Trong mô hình Infrastructure BSS các Client muốn liên lạc với nhau phải thông qua một thiết bị đặc biệt gọi là Access Point (AP).  AP là điểm trung tâm quản lý mọi sự giao tiếp trong mạng, khi đó các Client không thể liên lạc trực tiếp với như trong mạng Independent BSS.  Để giao tiếp với nhau các Client phải gửi các Frame dữ liệu đến AP, sau đó AP sẽ gửi đến máy nhận.
    24. 24. Các mô hình mạng Wireless Mô hình Infracstructure BSS
    25. 25. Các mô hình mạng Wireless ESS/Extend Service Set  Nhiều mô hình BSS kết hợp với nhau gọi là mô hình mạng ESS.  Là mô hình sử dụng từ 2 AP trở lên để kết nối mạng. Khi đó các AP sẽ kết nối với nhau thành một mạng lớn hơn, phạm vi phủ sóng rộng hơn, thuận lợi và đáp ứng tốt cho các Client di động. Đảm bảo sự hoạt động của tất cả các Client.
    26. 26. Các mô hình mạng Wireless Mô hình ESS network
    27. 27. CÁC KIỂU TẤN CÔNG TRÊN MẠNG WLAN  Hackercó thể tấn công mạng WLAN bằng các cách sau:  Passive Attack (eavesdropping)  Active Attack (kết nối, thăm dò và cấu hình mạng)  Jamming Attack  Man-in-the-middle Attack
    28. 28. Tấn công bị động (Passive Attack)  Tấn công bị động (passive) hay nghe lén (eavesdropping) là một phương pháp tấn công WLAN đơn giản nhất nhưng vẫn rất hiệu quả.  Passive attack không để lại một dấu vết nào chứng tỏ đã có sự hiện diện của hacker trong mạng vì hacker không thật kết nối với AP để lắng nghe các gói tin truyền trên đoạn mạng không dây
    29. 29. Tấn công bị động (Passive Attack) WLAN sniffer có thể được sử dụng để thu thập thông tin về mạng không dây ở khoảng cách xa bằng cách sử dụng anten định hướng. Phương pháp này cho phép hacker giữ khoảng cách với mạng, không để lại dấu vết trong khi vẫn lắng nghe và thu thập được những thông tin quý giá. Ví dụ: Tấn công bị động
    30. 30. Tấn công chủ động (Active Attack ) Tấn công chủ động được sử dụng để truy cập vào server và lấy được những dữ liệu có giá trị hay sử dụng đường kết nối Internet của doanh nghiệp để thực hiện những mục đích phá hoại hay thậm chí là thay đổi cấu hình của hạ tầng mạng. Bằng cách kết nối với mạng không dây thông qua AP, hacker có thể xâm nhập sâu hơn vào mạng hoặc có thể thay đổi cấu hình của mạng.
    31. 31. Tấn công chủ động (Active Attack ) Ví dụ: Một hacker có thể sửa đổi để thêm MAC address của hacker vào danh sách cho phép của MAC filter trên AP hay vô hiệu hóa tính năng MAC filter giúp cho việc đột nhập sau này dễ dàng hơn. Ví dụ: Kiểu tấn công chủ động
    32. 32. Tấn công chèn ép (Jamming) Jamming là một kỹ thuật được sử dụng chỉ đơn giản để làm hỏng (shut down) mạng không dây. Khi một hacker chủ động tấn công jamming, hacker có thể sử dụng một thiết bị WLAN đặc biệt, thiết bị này là bộ phát tín hiệu RF công suất cao hay sweep generator.
    33. 33. Tấn công chèn ép (Jamming)  Để loại bỏ kiểu tấn công này thì yêu cầu đầu tiên là phải xác định được nguồn tín hiệu RF. Việc này có thể làm bằng cách sử dụng một Spectrum Analyzer (máy phân tích phổ) Tấn công jamming
    34. 34. Tấn công bằng cách thu hút (Man in the Middle)  Tấn công theo kiểu Man-in-the-middle là trường hợp trong đó hacker sử dụng một AP để đánh cắp các node di động bằng cách gửi tín hiệu RF mạnh hơn AP hợp pháp đến các node đó.  Các node di động nhận thấy có AP phát tín hiệu RF tốt hơn nên sẽ kết nối đến AP giả mạo này, truyền dữ liệu có thể là những dữ liệu nhạy cảm đến AP giả mạo và hacker có toàn quyền xử lý
    35. 35. Tấn công bằng cách thu hút (Man in the Middle)  Hacker muốn tấn công theo kiểu Man-in-the-middle này trước tiên phải biết được giá trị SSID là các client đang sử dụng (giá trị này rất dễ dàng có được). Sau đó, hacker phải biết được giá trị WEP key nếu mạng có sử dụng WEP Tấn công Man in the Middle
    36. 36. TỔNG QUAN BẢO MẬT CHO MẠNG KHÔNG DÂY Tại sao phải bảo mật mạng không dây?
    37. 37. Tại sao phải bảo mật mạng không dây?
    38. 38. Các thiết lập bảo mật trong WLAN
    39. 39. Mã hóa Mã hóa là biến đổi dữ liệu để chỉ có các thành phần được xác nhận mới có thể giải mã được nó. Quá trình mã hóa là kết hợp plaintext với một khóa để tạo thành văn bản mật (Ciphertext). Sự giải mã được bằng cách kết hợp Ciphertext với khóa để tái tạo lại plaintext Quá trình mã hóa và giải mã Quá trình xắp xếp và phân bố các khóa gọi là sự quản lý khóa.
    40. 40. Mã hóa  Có hai phương pháp mã:  Mã dòng (stream ciphers)  Mã khối ( block ciphers)  Cả hai loại mật mã này hoạt động bằng cách sinh ra một chuỗi khóa ( key stream) từ một giá trị khóa bí mật. Chuỗi khóa sau đó sẽ được trộn với dữ liệu (plaintext) để sinh dữ liệu đã được mã hóa.  Hai loại mật mã này khác nhau về kích thước của dữ liệu mà chúng thao tác tại một thời điểm
    41. 41. Bảo mật Lan không dây Một WLAN gồm có 3 phần: Wireless Client, Access Points và Access Server.  Wireless Client: Điển hình là một chiếc laptop với NIC (Network Interface Card) không dây được cài đặt để cho phép truy cập vào mạng không dây.  Access Points (AP): Cung cấp sự bao phủ của sóng vô tuyến trong một vùng nào đó và kết nối đến mạng không dây.  Access Server: Điều khiển việc truy cập. Một Access Server (như là Enterprise Access Server (EAS) ) cung cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên tiến cho mạng không dây Enterprise .
    42. 42. Mã dòng  Mã dòng phương thức mã hóa theo từng bit, mã dòng phát sinh chuỗi khóa liên tục dựa trên giá trị của khóa  Ví dụ: một mã dòng có thể sinh ra một chuỗi khóa dài 15 byte để mã hóa một frame và môt chuỗi khóa khác dài 200 byte để mã hóa một frame khác.  Mật mã dòng là một thuật toán Hoạt động của mã dòng mã hóa rất hiệu quả, ít tiêu tốn tài nguyên (CPU).
    43. 43. Mã khối  Mã khối sinh ra một chuỗi khóa duy nhất và có kích thước cố định(64 hoặc 128 bit).  Chuỗi kí tự chưa được mã hóa( plaintext) sẽ được phân mảnh thành những khối(block) và mỗi khối sẽ được trộn với chuỗi khóa một cách độc lập.  Nếu như khối plaintext nhỏ hơn khối chuỗi khóa thì plaintext sẽ được đệm thêm vào để có được Hoạt động của mã khối kích thước thích hợp
    44. 44. Nhận xét  Tiến trình mã hóa dòng và mã hóa khối còn được gọi là chế độ mã hóa khối mã điện tử ECB ( Electronic Code Block).  Chế độ mã hóa này có đặc điểm là cùng một đầu vào plaintext ( input plain) sẽ luôn luôn sinh ra cùng một đầu ra ciphertext (output ciphertext).  Đây chính là yếu tố mà kẻ tấn công có thể lợi dụng để nhận dạng của ciphertext và đoán được plaintext ban đầu
    45. 45. WEP – Wired Equivalent Privacy  WEP là một hệ thống mã hóa dùng cho việc bảo mật dữ liệu cho mạng Wireless. WEP là một phần của chuẩn 802.11 và dựa trên thuật toán mã hóa RC4, mã hóa dữ liệu 40 bit.  Đặc tính kỹ thuật của WEP  Điều khiển việc truy cập, ngăn chặn sự truy cập của những Client không có khóa phù hợp  Bảo mật nhằm bảo vệ dữ liệu trên mạng bằng mã hóa chúng và chỉ cho những client có khóa WEP đúng giải mã
    46. 46. Thuật toán WEP  Thuật toán mã hóa RC4 là thuật toán mã hóa đối xứng( thuật toán sử dụng cùng một khóa cho việc mã hóa và giải mã).  WEP là thuật toán mã hóa được sử dụng bởi tiến trình xác thực khóa chia sẻ để xác thực người dùng và mã hóa dữ liệu trên phân đoạn mạng không dây. Frame được mã hóa bởi WEP
    47. 47. Thuật toán WEP  Để tránh chế độ ECB(Electronic Code Block) trong quá trình mã hóa, WEP sử dụng 24 bit IV, nó được kết nối vào khóa WEP trước khi được xử lý bởi RC4.  Giá trị IV phải được thay đổi theo từng frame để tránh hiện tượng xung đột. Hiện tượng xung đột IV xảy ra khi sử dụng cùng một IV và khóa WEP kết quả là cùng một chuỗi khóa được sử dụng để mã hóa frame.
    48. 48. Thuật toán WEP  Chuẩn 802.11 yêu cầu khóa WEP phải được cấu hình trên cả client và AP khớp với nhau thì chúng mới có thể truyền thông được.  Mã hóa WEP chỉ được sử dụng cho các frame dữ liệu trong suốt tiến trình xác thực khóa chia sẻ. WEP mã hóa những trường sau đây trong frame dữ liệu:  Phần dữ liệu (payload)  Giá trị kiểm tra tính toàn vẹn của dữ liệu ICV (Integrity Check value)  Tất cả các trường khác được truyền mà không được mã hóa. Giá trị IV được truyền mà không cần mã hóa để cho trạm nhận sử dụng nó để giải mã phần dữ liệu và ICV
    49. 49. SƠ ĐỒ QUÁ TRÌNH MÃ HÓA SỬ DỤNG WEP Initalization IV Vector IV Key Sequence Seed WEP PRNG Secret Key Ciphertext Plaintext Message Intergrity Algorithm Integrity Check Value (ICV)
    50. 50. SƠ ĐỒ QUÁ TRÌNH GIÃI MÃ WEP
    51. 51. WPA - Wi-fi Protected Access  WPA được thiết kế nhằm thay thế cho WEP vì có tính bảo mật cao hơn. Temporal Key Intergrity Protocol (**IP), còn được gọi là WPA key hashing là một sự cải tiến dựa trên WEP, nó tự động thay đổi khóa, điều này gây khó khăn rất nhiều cho các Attacker dò thấy khóa của mạng.  Mặt khác WPA cũng cải tiến cả phương thức chứng thực và mã hóa. WPA bảo mật mạnh hơn WEP rất nhiều. Vì WPA sử dụng hệ thống kiểm tra và bảo đảm tính toàn vẹn của dữ liệu tốt hơn WEP
    52. 52. WPA2 – Wi-fi Protected Access 2 WPA2 là một chuẩn ra đời sau đó và được kiểm định lần đầu tiên vào ngày 1/9/2004. WPA2 được National Institute of Standards and Technology (NIST) khuyến cáo sử dụng, WPA2 sử dụng thuật toán mã hóa Advance Encryption Standar (AES). WPA2 cũng có cấp độ bảo mật rất cao tương tự như chuẩn WPA, nhằm bảo vệ cho người dùng và người quản trị đối với tài khoản và dữ liệu. Trên thực tế WPA2 cung cấp hệ thống mã hóa mạnh hơn so với WPA, WPA2 sử dụng rất nhiều thuật toán để mã hóa dữ liệu như **IP, RC4, AES và một vài thuật toán khác. Những hệ thống sử dụng WPA2 đều tương thích với WPA.
    53. 53. Những giải pháp dựa trên EAS  Kiến trúc tổng thể sử dụng EAS trong “Gateway Mode” hay “Controller Mode”.  Trong Gateway Mode EAS được đặt ở giữa mạng AP và phần còn lại của mạng Enterprise. Vì vậy EAS điều khiển tất cả các luồng lưu lượng giữa các mạng không dây và có dây và thực hiện như một tường lửa
    54. 54. Những giải pháp dựa trên AES Trong Controll Mode, EAS quản lý các AP và điều khiển việc truy cập đến mạng không dây, nhưng nó không liên quan đến việc truyền tải dữ liệu người dùng. Trong chế độ này, mạng không dây có thể bị phân chia thành mạng dây với firewall thông thường hay tích hợp hoàn toàn trong mạng dây Enterprise.
    55. 55. Mô hình Enterprise Access Server trong chế độ Controller Mode
    56. 56. Mạng riêng ảo (VPN) Là phương thức đảm bảo an ninh truy cập từ xa Dựa trên các phương thức mã hóa và cơ chế chứng thực Cung cấp cơ chế “tunnel” cho phép truyền thông tin từ hệ thống mạng này sang hệ thống khác
    57. 57. Mạng riêng ảo (VPN) Site to Site VPN Remote Access Có hai hình thức hoạt động
    58. 58. Mạng riêng ảo (VPN)  Các công nghệ sử dụng:  Point-to-Point Tunneling Protocol (PPTP)  Layer 2 Tunneling Protocol (L2TP)  IPSec  Public Key Infrastructure (PKI)  Phần mềm Remote Control
    59. 59. Các vấn đề về VPN  Làm tăng thông lượng sử dụng của mạng  Các vấn đề về cài đặt và duy trì hệ thống  Các vấn đề về cơ chế an ninh  Vấn đề về trình độ người sử dụng  Vấn đề về khả năng tương thích
    60. 60. An ninh cho VPN Sử dụng giao thức an ninh mới nhất (L2TP, IPSec) Sử dụng thay thế cho các dịch vụ truy cập từ xa (Terminal Services, PC Anywhere, VNC) Thường xuyên cập nhật các bản vá lỗi cho phần mềm và cho hệ điều hành Lập kế hoạch triển khai thật cẩn thận
    61. 61. RADIUS Romote Access Dial-In User Service Được các ISP sử dụng trong việc chứng thực trong dịch vụ Dial-in Được sử dụng trong việc thực hiện chứng thực giữa các thiết bị mạng như Router với Domain Controller (Active Directory, iPlannet...)
    62. 62. RADIUS  Tính chất  Chỉ mã hóa password  Phạm vi sử dụng rộng  Cài đặt tương đối phức tạp  Mã nguồn mở  Sử dụng cổng UDP 1812
    63. 63. RADIUS An ninh  Sử dụng mã hóa Kerberos để chứng thực  Thường xuyên cập nhật phần mềm cho các ứng dụng sử dụng RADIUS
    64. 64. TACACS Terminal Access controller Access Control System. Giao thức chứng thực của UNIX Quản lý tập chung việc chứng thực người dùng
    65. 65. TACACS Tính chất  Không phổ biến  Giao thức TACACS+ không tương thích với các phiên bản trước đó  Sử dụng cổng TCP 49
    66. 66. PPTP Point-to-Point Tunnelling Protocol (PPTP) Hoạt động trên mô hình Client/Server Nén dữ liệu các gói tin PPP Sử dụng cổng 1723 TCP để khởi tạo
    67. 67. PPTP  Tính chất  Là giao thức không thể mở rộng việc mã hóa  Dễ bị lợi dụng tấn công  Việc chứng thực là một nguy cơ dễ bị tấn công
    68. 68. L2TP Kết hợp giữa giao thức PPTP và giao thức L2P (Layer 2 Protocol, Cisco) Có thể mở rộng phương thức mã hóa Có thể sử dụng giấy phép trong cả việc chứng thực và mã hóa
    69. 69. L2TP Tính chất  Cài đặt phức tạp  Một số thiết bị không tương thích  Chi phí đắt  Không tương thích với NAT (Network Address Translation)
    70. 70. SSH Secure Shell Là một công cụ quản trị truy nhập từ xa sử dụng dòng lệnh (CLI – Command Line Interface) Thường được sử dụng thay thế cho Telnet và rlogin
    71. 71. SSH 4 Bước khởi tạo một giao dịch của SSH
    72. 72. SSH Tính chất Sử dụng mã hóa công khai trong việc chứng thực và mã hóa Cung cấp các tính năng copy file và FTP Được phát triển bởi một số nhà sản xuất và có mã nguồn mở (Open SSH) Giao tiếp giữa Client và Server thông qua tunnel Các dịch vụ (mail, web...) có thể sử dụng để trao đổi thông tin thông qua tunnel.
    73. 73. SSH Một số vấn đề Sử dụng cơ chế “chìa khóa” để chứng thực Những phiên bản đầu tiên có nhiều lỗi Hiện nay các lỗi security vẫn được tìm thấy Giao diện dạng CLI vẫn là trở ngại cho người quản trị
    74. 74. IPSec
    75. 75. IPSec là gì? IPSec (Internet Protocol Security). Nó có quan hệ tới một số bộ giao thức (AH, ESP, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF). Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
    76. 76. IPSec là gì? Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP. Khi một cơ chế bảo mật được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3. với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích. IPSec trong suốt với người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuổi các hoạt động.
    77. 77. IPSec Security Associations (SA) Security Associations (SAs) là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec.  Các giao thức xác thực, các khóa, và các thuật toán  Phương thức và các khóa cho các thuật toán xác thực được dùng bởi các giao thức Authentication Header (AH) hay Encapsulation Security Payload (ESP) của bộ IPSec.  Thuật toán mã hóa và giải mã và các khóa.  Thông tin liên quan khóa, như khoảng thời gian thay đổi hay khoảng thời gian làm tươi của các khóa.  Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ nguồn SA và khoảng thời gian làm tươi.  Cách dùng và kích thước của bất kỳ sự đồng bộ mã hóa dùng, nếu có.
    78. 78. IPSec Security Associations (SA) IPSec SA gồm có 3 trường:  SPI (Security Parameter Index). Đây là một trường 32 bit dùng nhận dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol. SPI thường được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA.  Destination IP address. Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast.  Security protocol. Phần này mô tả giao thức bảo mật IPSec, có thể là AH hoặc ESP.
    79. 79. IPSec Security Protocols Bộ IPSec đưa ra 3 khả năng chính bao gồm :  Tính xác thực và Tính toàn vẹn dữ liệu (Authentication and data integrity). IPSec cung cấp một cơ chế xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi nội dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ.  Sự bí mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén.
    80. 80. IPSec Security Protocols Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu. Hai tính năng đầu tiên của bộ IPSec, xác thực và toàn vẹn, và bí mật, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec. Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security Payload (ESP). Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này là IKE.
    81. 81. Technical details Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin: IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực. IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu. Thuật toán mã hoá được sử dụng trong IPsec bao gồm:  HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection)  TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ an toàn của gói tin.
    82. 82. Authentication Header (AH) AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. AH là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets. AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum. AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP.
    83. 83. Authentication Header (AH)  Next header: Nhận dạng giao thức trong sử dụng truyền thông tin.  Payload length: Độ lớn của gói tin AH.  RESERVED: Sử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng các số 0).  Security parameters index (SPI): Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với gói tin.  Sequence number: Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replay attacks.  Authentication data: Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực. Mô hình AH header
    84. 84. Encapsulating Security Payload (ESP) Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin.  ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần tính năng mã hoá hoặc xác thực.
    85. 85. Encapsulating Security Payload (ESP)  Security parameters index (SPI): Nhận ra các thông số được tích hợp với địa chỉ IP.  Sequence number:Tự động tăng có tác dụng chống tấn công kiểu replay attacks.  Payload data: Dữ liệu truyền đi  Padding: Sử dụng vài block mã hoá  Pad length: Độ lớn của padding.  Next header: Nhận ra giao thức được sử dụng trong quá trình truyền thông tin.  Authentication data: Bao gồm dữ liệu để xác thực cho gói tin. Mô hình ESP
    86. 86. Các chế độ IPSec SAs trong IPSec hiện tại được triển khai bằng 2 chế độ.  Transport.  Tunnel. Cả AH và ESP có thể làm việc với một trong hai chế độ này Hai chế độ IPSec
    87. 87. Transport Mode Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên Biểu diễn của IPSec Transport Modes
    88. 88. AH Transport mode
    89. 89. ESP Transport mode
    90. 90. Tunnel Mode Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP Biểu diển chung của IPSec Tunnel Modes
    91. 91. AH Tunnel mode Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header mới và phần header nguyên bản, như hình bên dưới
    92. 92. ESP Tunnel mode
    93. 93. Internet Key Exchange Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắc của Internet Security Association and Key Management Protocol. IKE giúp các bên giao tiếp thỏa thuận các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai. Ngoài việc thỏa thuận và thiết lập các tham số bảo mật và khóa mã hóa, IKE cũng sữa đổi những tham số khi cần thiết trong suốt phiên làm việc. IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một phiên giao dịch hoàn thành.
    94. 94. Internet Key Exchange  Chức năng chủ yếu của IKE là thiết lập và duy trì các SA. Các thuộc tính sau đây là mức tối thiểu phải được thống nhất giữa hai bên như là một phần của ISAKMP.  Thuật toán mã hóa được dùng  Thuật toán băm được dùng  Phương thức xác thực được dùng  Thông tin về nhóm và giải thuật Diffie-Hellman  IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý vào trao đổi khóa.  Sau khi dò tìm thành công, các thông số SA hợp lệ sẽ được lưu trong cơ sở dữ liệu của SA.
    95. 95. Internet Key Exchange Thuận lợi chính của IKE include bao gồm:  IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ chế bảo mật nào.  Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bởi vì một lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít.
    96. 96. IKE Phases Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE. Trong một phiên làm việc IKE, nó giả sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được thiết lập trước khi có bất kỳ thỏa thuận nào xảy ra. Hai IKE phases – Phase I và Phase II
    97. 97. Giai đoạn I của IKE Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lập SA. Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác thực, mã khóa.
    98. 98. Giai đoạn I của IKE  Sau khi cơ chế mã hóa và hàm băm đã được thỏa thuận, một khóa chia sẽ bí mật được tạo. Theo sau là những thông tin được dùng để tạo khóa bí mật :  Giá trị Diffie-Hellman  SPI của ISAKMP SA ở dạng cookies  Số ngẩu nhiên - nonces  Nếu hai bên đồng ý sử dụng phương pháp xác thực dựa trên public key, chúng cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng.
    99. 99. Giai đoạn II của IKE  Giai đoạn II giải quyết việc thiết lập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhiều dịch vụ khác nhau thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP).  Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự thỏa thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăn cản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.
    100. 100. IKE Modes4 chế độ IKE phổ biến thường được triển khai :  Chế độ chính (Main mode)  Chế độ linh hoạt (Aggressive mode)  Chế độ nhanh (Quick mode)  Chế độ nhóm mới (New Group mode)
    101. 101. Main Mode Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:  2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.  2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces. Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã hóa.  Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.
    102. 102. Aggressive Mode Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main mode có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive mode nhanh hơn mai mode. Các thông điệp đó bao gồm :  Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, trao đổi nonces cho việc ký và xác minh tiếp theo.  Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận và hoàn thành chính sách bảo mật bằng các khóa.  Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm việc).
    103. 103. Quick Mode Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa thuận SA cho các dịch vụ bảo mật IPSec.
    104. 104. New Group Mode New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều kiện trao đổi Diffie-Hellman key được dễ dàng. Mặc dù chế độ này được thực hiện sau giai đoạn I, nhưng nó không thuộc giai đoạn II.
    105. 105. Secure Web TrafficSecure Sockets Layer
    106. 106. Bảo mật trong mô hình TCP/IP
    107. 107. Giao thức bảo mật SSL(Secure Sockets Layer) Được phát triển bởi Netscape Phiên bản đầu tiên (SSL 1.0): Không công bố SSL 2.0: Công bố năm 1994, chứa nhiều lỗi bảo mật. SSL 3.0: Công bố năm 1996. SSL 3.1: Năm 1999, được chuẩn hóa thành TLS 1.0 (Transport Layer Security) Hiện nay: SSL 3.2 (Tương đương TLS 1.1)
    108. 108. Công dụng của SSL Mã hóa dữ liệu và xác thực cho dịch vụ web. Mã hóa dữ liệu và xác thực cho dịch vụ mail (SMTP và POP) Bảo mật cho FTP và các ứng dụng khác  Thực thi SSL không “trong suốt” với ứng dụng như IPSec.
    109. 109. Cấu trúc SSL
    110. 110. Cấu trúc SSL SSL Handshake protocol: Giao thức bắt tay, thực hiện khi bắt đầu kết nối. SSL Change Cipher Spec protocol: Giao thức cập nhật thông số mã hóa. SSL Alert protocol: Giao thức cảnh báo. SSL Record protocol: Giao thức chuyển dữ liệu ( thực hiện mã hóa và xác thực)
    111. 111. Connection và session Kết nối (connection): quan hệ truyền dữ liệu giữa hai hệ thống ở lớp vận chuyển dữ liệu. Phiên (session): Quan hệ bảo mật giữa hai hệ thống. Mỗi quan hệ có thể khởi tạo nhiều connection. Giữa hai hệ thống có thể tồn tại nhiều connection => có thể tồn tại nhiều session theo lý thuyết.
    112. 112. Session state Trạng thái của phiên làm việc được xác định bằng các thông số: Session identifier:nhận dạng phiên. Peer Certificate: Chứng chỉ số của đối tác. Compression method: thuật toán nén. Cipher spec: thông số mã hóa và xác thực. Master secret: khóa dùng chung. Is resumable: có phục hồi kết nối không.
    113. 113. Connection state Trạng thái kết nối xác định với các thông số: Server and client random: Chuỗi byte ngẫu nhiên. Server write MAC secret: Khóa dùng chung cho thao tác MAC phía server. Server write key: Khóa mã hóa phía server. Client write key: Khóa mã hóa phía client. IV và sequence number.
    114. 114. Giáo thức SSL record Cung cấp hai dịch vụ cơ bản:  Confidentiality  Message integrity
    115. 115. Giao thức SSL record
    116. 116. Giao thức SSL record Phân đoạn (fragmentation): mỗi khối dữ liệu gốc được chia thành đoạn, kích thước mỗi đoạn tối đa = 214 byte. Nén (compression): có thể sử dụng các thuật toán nén để giảm kích thước dữ liệu truyền đi, tuy nhiên trong các phiên bản thực thi ít chấp nhận thao tác này
    117. 117. Giao thức SSL record Tạo mã xác thực MAC
    118. 118. Giao thức SSL record Mã hóa
    119. 119. Giao thức SSL record Cấu trúc tiêu đề SSL record
    120. 120. Giao thức SSL Change Cipher Spec Có chức năng cập nhật thông số mã hóa cho kết nối hiện tại. Chỉ gồm một message duy nhất có kích thước 1 byte được gửi đi cùng giao thức SSL record.
    121. 121. Giao thứ SSL Alert Một số bản tin cảnh báo trong SSL:  Unexpected_message: bản tin không phù hợp.  Bad_record_mac: MAC không đúng.  Decompression_failure: giải nén không thành công.  Handshake_failure: không thương lượng được các thông số bảo mật.  Illegal_parameter: bản tin bắt tay không hợp lệ.  Close_notify: thông báo kết thúc kết nối
    122. 122. Giao thức SSL Alert  Một số bản tin cảnh báo trong SSL (tt):  No_certificate: Không có certificate để cung cấp theo yêu cầu.  Bad_certificate: Certificate không hợp lệ (chữ ký sai).  Unsupported_certificate: Kiểu certificate không chuẩn.  Certificate_revoked: Certificate bị thu hồi.  Certificate_expired: Certificate hết hạn.  Certificate_unknown: Không xử lý được certificate (khác với các lý do ở trên)
    123. 123. Giao thức SSL handshake Là phần quan trọng nhất của SSL. Có chức năng thỏa thuật các thông số bảo mật giữa hai thực thể. Thủ tục bắt tay phải được thực hiện trước khi trao đổi dữ liệu. SSL handshake gồm 4 giai đoạn (phase).
    124. 124. Giao thức SSL handshake Phase 1:
    125. 125. Giao thức SSL handshake Phase 2:  Certificate: Chứng chỉ của server.  Server_key_exchange: Thông số trao đổi khóa (***).  Certificate_request: yêu cầu client gửi chứng chỉ.  Server_hello_done: kết thúc thương lượng phía server.
    126. 126. Giao thức SSL handshake Phase 3:  Certificate: Chứng chỉ của client.  Client_key_exchange: Thông số trao đổi khóa (***).  Certificate_verify: Thông tin xác minh chứng chỉ của client (xác thực khóa PR của client).
    127. 127. Giao thức SSL handshake Phase 4:  Chang_cipher_spec: cập nhật thông số mã.  Finish: Kết thúc quá trình bắt tay thành công.
    128. 128. Giao thức SSL handshake Trao đổi khóa trong SSL handshake:  Dùng RSA (certificate chứa PU)  Fixed Diffie-Hellman: Dùng Diffie-Hellman với khóa cố định.  Ephemeral Diffie-Hellman: Dùng Diffie-Hellman với khóa tức thời.  Anonymous Diffie-Hellman: Dùng khóa Diffie-Hellman nguyên thủy.
    129. 129. Tấn công kết nối SSL Nếu chặn được các thông số của quá trình trao đổi khóa Diffie-Hellman, có thể thu được khóa bí mật bằng kỹ thuật Man-in-the-midle. Dùng khóa bí mật để giải mã thông tin của giao thức SSL record.
    130. 130. Triển khai SSL với dịch vụ web Các web client (internet browser) đã tích hợp sẵn giao thức SSL. Phía server: Đảm bảo hỗ trợ của server đối với SSL (IIS, Apache,…) Tạo và cài đặt certificate cho server. Ràng buộc SSL đối với tất cả các giao dịch.
    131. 131. Các vấn đề về SSL  Trongquá trình chứng thực cả Client và Server đều phải cần PKI  Cần phải thiết lập các qui định chung cho hệ thống  Ảnh hưởng đến Performance của hệ thống mạng  Việc triển khai tiềm tàng một số vấn đề: Cách triển khai, cấu hình hệ thống, chọn phần mềm....  Kiểu tấn công Man-in-the-Middle
    132. 132. Đảm bảo an ninh trong SSL Triểnkhai PKI Thường xuyên cập nhật, vá lỗi phần mềm sử dụng Cài đặt việc chứng thực trong giao dịch giữa Client và Server Hướng dẫn người sử dụng dấu hiệu nhận biết tấn công Man-in-the-Middle
    133. 133. Các điểm yếu của Web Client  javaScript  ActiveX  Cookies  Applets
    134. 134. JavaScript Là một đoạn mã lệnh được tích hợp trong trang web và được thực thi bởi trình duyệt web. Được sử dụng rất phổ biến và hữu ích
    135. 135. JavaScript Các nguy cơ:  Ăn trộm địa chỉ Email  Ăn trộm thông tin người sử dụng  Kill một số tiến trình  Chiếm tài nguyên CPU và bộ nhớ  Shutdown hệ thống  Relay email để phục vụ cho gửi spam  Phục vụ cho việc chiếm đoạt website
    136. 136. JavaScript Các biện pháp phòng chống Disable chức năng chạy JavaScript trong trình duyệt. Thường xuyên cập nhập phiên bản mới của trình duyệt Kiểm tra kỹ mã lệnh của web Server
    137. 137. ActiveX ActiveX cung cấp những nội dung động cho trình duyệt web ActiveX có thể giao tiếp với những ứng dụng khác, tiếp nhận các thông số từ người dùng, cung cấp các ứng dụng hữu ích cho người sử dụng.
    138. 138. ActiveX Các nguy cơ: Ăn cắp thông tin Kẻ tấn công có thể lợi dụng các lỗ hổng bảo mật của các trình ứng dụng ActiveX để xâm nhập, tấn công hệ thống
    139. 139. ActiveX Các biện pháp phòng chống Disable ActiveX trên trình duyệt web và mail client Lọc các ActiveX từ firewall Hướng dẫn người sử dụng chỉ sử dụng các ActiveX đã được chứng thực
    140. 140. Cookies Filecookies lưu trữ một số các thông tin cá nhân của người dùng:  Số thẻ tín dụng  Username/Password Có thế sử dụng chung cho nhiều website khác nhau Trình duyệt có thể cho phép web server lưu trữ thông tin trên đó
    141. 141. Cookies Các nguy cơ:  Kẻ tấn công có thể sử dụng Telnet để gửi các dạng cookies mà chúng muốn để đánh lừa web server.  Kẻ tấn công có thể lợi dụng cookies để lấy trộm các thông tin về người dùng, về tổ chức và câu hình Security của mạng nội bộ  Kẻ tấn công có thể lợi dụng lỗi Script Injection để cài các script nguy hiểm lên hệ thống nhằm chuyển các cookies về hệ thống thay vì phải chuyển lên web server
    142. 142. Cookies Các biện pháp phòng chống:  Disable Cookies trên trình duyệt web  Sử dụng những trình xóa cookies không cần thiết  Cấu hình web server không được “tin tưởng” vào các cookies dạng yêu cầu cung cấp thông tin, yêu cầu điều khiển hoặc yêu cầu dịch vụ.. Được lưu ở client  Không lưu trữ các thông tin nhạy cảm trên cookies  Sử dụng SSL/TLS
    143. 143. Applets Là những chương trình Java nhỏ, có thể thực thi trên các trình duyệt. Java Applets chạy trên những client dựa vào Java Virtual Machine (VM) được hầu hết các hệ điều hành hỗ trợ.
    144. 144. Applets Các nguy cơ: Các chương trình Applets có thể truy cập các tài nguyên hệ thống Có thể sử dụng để giả mạo chữ ký Có thể dùng để cài đặt Virus, Trojan, worm Có thể sử dụng tài nguyên mạng để tấn công, thăm dò hệ thống mạng khác.
    145. 145. Applets Các biện pháp phòng chống: Không sử dụng Applets, tắt hỗ trợ Java trên các trình duyệt Tuyên truyền, hướng dẫn người sử dụng
    146. 146. Email Security
    147. 147. Email Security  E-mail  MIME  S/MIME  Các vấn đề về S/MIME  PGP  Các vấn đề về PGP  Các nguy cơ  Bảo vệ hệ thống E-mail
    148. 148. E-Mail Kỹ thuật gửi thư điện tử đến SMTP Server Có rất nhiều lỗi bảo mật Sử dụng giao thức SMTP (TCP 25) để gửi mail Sử dụng giao thức POP3/IMAP (TCP 110/143) để nhận mail
    149. 149. MIME Sửdụng text để mã hóa e-mail RFC 1521, và RFC 1522
    150. 150. S/MIME Làmột chuẩn mới của MIME (Multipurpose Internet mail Extentions) Mã hóa và số hóa các dấu hiệu nhận biết của email Sử dụng mã hóa công khai Được tích hợp với các trình mail client thông dụng
    151. 151. Các vấn đề về S/MIME Người gửi phải có Public key của người nhận nếu muốn mã hóa Người nhận phải có Public Key của người gửi nếu muốn chứng thực người gửi Người sử dụng phải mất thêm thời gian cho các bước truy vấn, kiểm hóa khóa với PKI (Public Key Infrashtructure).
    152. 152. PGP Pretty Good Privacy Phương thức mã hóa công khai Cung cấp khả năng mã hóa chữ kí điện tử, nội dung và các thông tin khác của email Người dùng được cung cấp một Public Key và 1 Private key. Các tiện ích hỗ trợ PGP thường được tích hợp vào mail client hoặc sử dụng riêng biệt
    153. 153. Các vấn đề về PGP Hiện nay có nhiều phiên bản ứng dụng khác nhau nên đôi khi không tương thích. Một số các trình ứng dụng mail client không còn được phát triển nữa nhưng vẫn được người dùng sử dụng Để triển khai cần có người phụ trách việc quản lý key
    154. 154. Các nguy cơ Spam  Sử dụng email để quảng cáo  Gửi kiểu bomb thư  Người gửi không hề biết người nhận  Người nhận phải chịu sự phiền phức, khó chịu  Cấu hính mail server không tốt sẽ tiếp tay cho spam.
    155. 155. Các nguy cơ Hoax (Lừa đảo)  Hình thức: Gửi thông báo cảnh báo virus, các vấn đề an ninh, bảo mật....  Lây lan dựa vào sự lo sợ và kém hiểu biết của người dùng.  Mức độ: Khá nguy hiểm
    156. 156. Các nguy cơ Virus, worm, Trojan  Hầu hết các loại virus và trojan hiện nay đều lây qua email  Lây lan dựa trên sự mất cảnh giác và thiếu kiến thức của người sử dụng.  Mức độ: rất nguy hiểm
    157. 157. Các nguy cơ Mail relay  Cho phép gửi mail không cần kiểm tra  Giả mạo  Lợi dụng để gửi spam
    158. 158. Bảo vệ hệ thống Email  Sử dụng S/MIME nếu có thể  Sử dụng phần mềm Mail gateway Scan  Cấu hình mail server tốt, không bị open relay  Ngăn chặn spam trên Server  Hướng dẫn sử dụng cho người dùng  Cảnh giác với những email lạ, có nội dung đáng nghi
    159. 159. Security Baselines – Ghi tài liệu Ghi tài liệu cụ thể về cấu hình security mạng Nên xem lại và sửa chữa mỗi khi có một sự thay đổi trong mạng
    160. 160. Security Baselines Liệt kê những thứ cần thiết  Các dịch vụ  Các giao thức  Các ứng dụng  Tài khoản người dùng  Quyền truy nhập file  Quyền truy nhập hệ thống
    161. 161. Security Baselines – OS Update Kiểm tra các bản update của hệ điều hành thường xuyên. Triển khai WSUS (Windows Update Services)
    162. 162. Security Baselines – Bản vá (patching) Bản vá lỗi cả cho OS và phần mềm Ví dụ:  Bản và windows chống Blaster và Sasser  Bản vá Oracle chống 80 lỗ hổng (10/2005) Cácbản và được đưa ra nhanh để vá những lỗ hổng nào đó. Có thể chưa được kiểm nghiệm
    163. 163. Security Baselines – Service Packs Khi có quá nhiều bản vá nhà sản xuất tập hợp chúng lại và đưa ra bản SP
    164. 164. Security Baselines – Network Hardening Cập nhật các bản sửa lỗi  Bước bảo mật quan trọng sau bước duy trì là diệt virus  Là sản phẩm của các nhà sản xuất  Đăng kí mailing list của nhà sản xuất để nhận được thông tin sớm, đầy đủ  Cập nhật định kỳ
    165. 165. Security Baselines – Network Hardening Đóng những dịch vụ không cần thiết  Dịch vụ mạng  ứng dụng mạng  Cổng  Giao thức
    166. 166. Security Baselines – Application Hardening Quản lý tất cả các phần mềm đang chạy Đảm bảo chúng đã được cập nhật và sử lỗi đầy đủ Mức độ bảo mật của máy chủ bằng với mức độ bảo mật thấp nhất của một ứng dụng chạy trên máy đó
    167. 167. Security Baselines – web server Xóa những mã ví dụ mẫu Triển khai tường lửa/IDS trên server Ghi lại log Áp dụng cảnh báo thời gian thực Có hệ thống sao lưu để cân bằng tải và đề phòng hỏng hóc
    168. 168. Security Baselines – Email Là hệ thống quan trọng, chứa rất nhiều thông tin của công ty Cài đặt chương trình quét mail Đề phòng spam Cập nhật bản vá lỗi thường xuyên
    169. 169. Security Baselines – FTP Là ứng dụng không có bảo mật Nên triển khai VPN hoặc SSH Nên để hệ thống tài khoản do server khác quản lý Kiểm tra virus thường xuyên
    170. 170. Security Baselines – DNS DNS trên nền UNIX hay có điểm yếu Cập nhật các bản vá thường xuyên Triển khai hệ thống DNS dự phòng (secondary)
    171. 171. Security Baselines – Cấu hình Nên được ghi lại thành tài liệu Thử nghiệm kỹ trước khi đưa vào triển khai thật Tuân theo hướng dẫn của nhà sản xuất
    172. 172. Security Baselines – Cấu hình Tắt/bậtcác dịch vụ và giao thức Hầu hết các cuộc tấn công mạng đều dựa vào điểm yếu của dịch vụ hay giao thức nào đó Vá những lỗ hổng an ninh mạng Đóng những dịch vụ không cần thiết để giảm độ phức tạp
    173. 173. Security Baselines – Cấu hình Access Control List  Tăng cường cho xác thực  Qui định quyền hạn cho mỗi cá nhân  Dùng để ghi lại các truy cập mạng

    ×