Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT

4,814 views

Published on

Liệt kê các bước để bảo mật cho máy chủ
Định nghĩa bảo mật cho ứng dụng
Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất
thoát dữ liệu (DLP)
Bài 4-Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 3
Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất
thoát dữ liệu (DLP)
Liệt kê các loại thiết bị bảo mật mạng khác nhau và giải thích cách sử
dụng những thiết bị đó
Định nghĩa quá trình chuyển đổi địa chỉ và điều khiển truy cập mạng
Giải thích phương thức tăng cường bảo mật thông qua thiết kế mạng

  • Be the first to comment

Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT

  1. 1. Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng
  2. 2. Củng cố lại bài 3 Các hình thức tấn công vào ứng dụng + Tấn công vào ứng dụng Web (XSS, SQL Injection, XML Injection…) + Tấn công phía máy khách (Xử lý phần đầu của HTTP…) + Tấn công làm tràn vùng đệm Các hình thức tấn công vào mạng + Từ chối dịch vụ (Lũ PING...) + Can thiệp (Kẻ đứng giữa...) + Đầu độc (Đầu độc ARP...) + Tấn công vào quyền truy cập 5 bước trong quá trình đánh giá thiệt hại Các kỹ thuật và công cụ đánh giá Các hình thức tấn công vào ứng dụng + Tấn công vào ứng dụng Web (XSS, SQL Injection, XML Injection…) + Tấn công phía máy khách (Xử lý phần đầu của HTTP…) + Tấn công làm tràn vùng đệm Các hình thức tấn công vào mạng + Từ chối dịch vụ (Lũ PING...) + Can thiệp (Kẻ đứng giữa...) + Đầu độc (Đầu độc ARP...) + Tấn công vào quyền truy cập 5 bước trong quá trình đánh giá thiệt hại Các kỹ thuật và công cụ đánh giá Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 2
  3. 3. Mục tiêu của bài học Liệt kê các bước để bảo mật cho máy chủ Định nghĩa bảo mật cho ứng dụng Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất thoát dữ liệu (DLP) Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 3 Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất thoát dữ liệu (DLP) Liệt kê các loại thiết bị bảo mật mạng khác nhau và giải thích cách sử dụng những thiết bị đó Định nghĩa quá trình chuyển đổi địa chỉ và điều khiển truy cập mạng Giải thích phương thức tăng cường bảo mật thông qua thiết kế mạng
  4. 4. Các yếu tố quan trọng cần được bảo mật Các yếu tố quan trọng cần được bảo mật Máy chủ (host) (máy chủ của mạng hoặc máy khách) Ứng dụng (application) Dữ liệu (data) Mạng (network) Các yếu tố quan trọng cần được bảo mật Máy chủ (host) (máy chủ của mạng hoặc máy khách) Ứng dụng (application) Dữ liệu (data) Mạng (network) Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 4
  5. 5. Bảo mật máy chủ (2/2) Bảo mật cho máy chủ bao gồm: Bảo mật các thiết bị vật lý (SV tự đọc) Bảo mật phần mềm hệ điều hành Bảo mật bằng phần mềm chống phần mềm độc hại Giám sát nhật ký hệ thống (SV tự đọc) Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 5
  6. 6. Bảo mật phần mềm hệ điều hành (1/5) Quá trình năm bước để bảo mật cho hệ điều hành Phát triển chính sách bảo mật Tạo đường cơ sở cho phần mềm máy chủ Cấu hình bảo mật hệ điều hành và các cài đặt Triển khai các cài đặt Thực thi việc quản lý các bản vá Quá trình năm bước để bảo mật cho hệ điều hành Phát triển chính sách bảo mật Tạo đường cơ sở cho phần mềm máy chủ Cấu hình bảo mật hệ điều hành và các cài đặt Triển khai các cài đặt Thực thi việc quản lý các bản vá Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 6
  7. 7. Bảo mật phần mềm hệ điều hành (2/5) Phát triển chính sách bảo mật Các tài liệu xác định cơ chế bảo mật của tổ chức Tạo đường cơ sở cho phần mềm máy chủ Đường cơ sở: tiêu chuẩn hay danh mục kiểm tra để đánh giá hệ thống Các thiết lập cấu hình được áp dụng cho từng máy tính trong tổ chức Chính sách bảo mật xác định phải bảo vệ cái gì, đường cơ sở xác định bảo vệ như thế nào? Phát triển chính sách bảo mật Các tài liệu xác định cơ chế bảo mật của tổ chức Tạo đường cơ sở cho phần mềm máy chủ Đường cơ sở: tiêu chuẩn hay danh mục kiểm tra để đánh giá hệ thống Các thiết lập cấu hình được áp dụng cho từng máy tính trong tổ chức Chính sách bảo mật xác định phải bảo vệ cái gì, đường cơ sở xác định bảo vệ như thế nào? Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 7
  8. 8. Bảo mật phần mềm hệ điều hành (3/5) Cấu hình bảo mật hệ điều hành (HĐH) và các cài đặt HĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau, có thể sử dụng để điều chỉnh cho phù hợp với đường cơ sở. Cấu hình đường cơ sở tiêu biểu Thay đổi các thiết lập mặc định không an toàn Loại bỏ các phần mềm, dịch vụ, giao thức không cần thiết Kích hoạt các chức năng bảo mật, ví dụ như tường lửa Cấu hình bảo mật hệ điều hành (HĐH) và các cài đặt HĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau, có thể sử dụng để điều chỉnh cho phù hợp với đường cơ sở. Cấu hình đường cơ sở tiêu biểu Thay đổi các thiết lập mặc định không an toàn Loại bỏ các phần mềm, dịch vụ, giao thức không cần thiết Kích hoạt các chức năng bảo mật, ví dụ như tường lửa Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 8
  9. 9. Bảo mật phần mềm hệ điều hành (4/5) Triển khai các cài đặt Mẫu bảo mật: tập các thiết lập cấu hình bảo mật Quá trình triển khai các thiết lập có thể được tự động hóa Chính sách nhóm (Group policy) Một tính năng của Windows cho phép quản lý tập trung hệ thống máy tính Một cấu hình đơn lẻ có thể được triển khai tới nhiều người dùng Triển khai các cài đặt Mẫu bảo mật: tập các thiết lập cấu hình bảo mật Quá trình triển khai các thiết lập có thể được tự động hóa Chính sách nhóm (Group policy) Một tính năng của Windows cho phép quản lý tập trung hệ thống máy tính Một cấu hình đơn lẻ có thể được triển khai tới nhiều người dùng Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 9
  10. 10. Bảo mật phần mềm hệ điều hành (5/5) Thực thi việc quản lý các bản vá Các hệ điều hành hiện nay đều có khả năng tự động thực hiện cập nhật Đôi khi các bản vá có thể làm nảy sinh những vấn đề mới Dịch vụ cập nhật bản vá tự động Quản lý các bản vá trên máy cục bộ thay vì phụ thuộc vào dịch vụ cập nhật bản vá trực tuyến của nhà cung cấp Dịch vụ cập nhật bản vá tự động có nhiều ưu điểm (*) Thực thi việc quản lý các bản vá Các hệ điều hành hiện nay đều có khả năng tự động thực hiện cập nhật Đôi khi các bản vá có thể làm nảy sinh những vấn đề mới Dịch vụ cập nhật bản vá tự động Quản lý các bản vá trên máy cục bộ thay vì phụ thuộc vào dịch vụ cập nhật bản vá trực tuyến của nhà cung cấp Dịch vụ cập nhật bản vá tự động có nhiều ưu điểm (*) Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 10
  11. 11. Bảo mật bằng phần mềm chống phần mềm độc hại Các phần mềm chống phần mềm độc hại của bên thứ ba có thể cung cấp thêm sự bảo mật. Nhóm này bao gồm: Phần mềm chống vi rút Phần mềm chống thư rác Phần mềm phong tỏa pop-up Tường lửa dựa trên máy chủ Các phần mềm chống phần mềm độc hại của bên thứ ba có thể cung cấp thêm sự bảo mật. Nhóm này bao gồm: Phần mềm chống vi rút Phần mềm chống thư rác Phần mềm phong tỏa pop-up Tường lửa dựa trên máy chủ Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 11
  12. 12. Phần mềm diệt vi rút Phần mềm diệt virus Phần mềm kiểm tra một máy tính có bị tiêm nhiễm virus hay không Quét các tài liệu mới có thể chứa virus Tìm kiếm các mẫu virus đã được biết trước Nhược điểm của phần mềm diệt virus Nhà cung cấp phải liên tục tìm các virus mới, cập nhật và phân phối các file chữ ký (signature file) tới người dùng Phương pháp khác: giả lập mã (code emulation) Các mã khả nghi được thực thi trong một môi trường ảo Phần mềm diệt virus Phần mềm kiểm tra một máy tính có bị tiêm nhiễm virus hay không Quét các tài liệu mới có thể chứa virus Tìm kiếm các mẫu virus đã được biết trước Nhược điểm của phần mềm diệt virus Nhà cung cấp phải liên tục tìm các virus mới, cập nhật và phân phối các file chữ ký (signature file) tới người dùng Phương pháp khác: giả lập mã (code emulation) Các mã khả nghi được thực thi trong một môi trường ảo Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 12
  13. 13. Phần mềm chống thư rác Những kẻ gửi thư rác có thể phát tán phần mềm độc hại thông qua các thư điện tử có file đính kèm Thư rác có thể được sử dụng trong các cuộc tấn công dùng kỹ nghệ xã hội Các phương thức lọc thư rác Lọc Bayesian Lọc trên máy chủ cục bộ Danh sách đen Danh sách trắng Chặn các kiểu file đính kèm khả nghi Những kẻ gửi thư rác có thể phát tán phần mềm độc hại thông qua các thư điện tử có file đính kèm Thư rác có thể được sử dụng trong các cuộc tấn công dùng kỹ nghệ xã hội Các phương thức lọc thư rác Lọc Bayesian Lọc trên máy chủ cục bộ Danh sách đen Danh sách trắng Chặn các kiểu file đính kèm khả nghi Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 13
  14. 14. Phần mềm phong tỏa pop-up Pop-up Một cửa sổ xuất hiện trên Web site Thường do các nhà quảng cáo tạo ra Phần mềm phong tỏa pop-up Một chương trình riêng biệt, giống như một phần của gói phần mềm chống phần mềm gián điệp Được tích hợp vào trong trình duyệt Cho phép người dùng hạn chế hoặc ngăn chặn hầu hết các cửa sổ pop-up Có thể hiển thị cảnh báo trong trình duyệt Cho phép người dùng có thể lựa chọn để hiển thị pop-up Pop-up Một cửa sổ xuất hiện trên Web site Thường do các nhà quảng cáo tạo ra Phần mềm phong tỏa pop-up Một chương trình riêng biệt, giống như một phần của gói phần mềm chống phần mềm gián điệp Được tích hợp vào trong trình duyệt Cho phép người dùng hạn chế hoặc ngăn chặn hầu hết các cửa sổ pop-up Có thể hiển thị cảnh báo trong trình duyệt Cho phép người dùng có thể lựa chọn để hiển thị pop-up Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 14
  15. 15. Tường lửa dựa trên máy chủ Tường lửa (firewall) Được thiết kế nhằm ngăn chặn các gói tin độc hại truy cập hoặc gửi đi từ máy tính Có thể dựa trên phần cứng hoặc phần mềm Phần mềm tường lửa dựa trên máy chủ hoạt động trên hệ thống cục bộ Tường lửa trong Microsoft Windows 7 Ba kiểu thiết lập dành cho các mạng: public, home, hoặc work Người dùng có thể cấu hình các thiết lập riêng cho từng kiểu mạng Tường lửa (firewall) Được thiết kế nhằm ngăn chặn các gói tin độc hại truy cập hoặc gửi đi từ máy tính Có thể dựa trên phần cứng hoặc phần mềm Phần mềm tường lửa dựa trên máy chủ hoạt động trên hệ thống cục bộ Tường lửa trong Microsoft Windows 7 Ba kiểu thiết lập dành cho các mạng: public, home, hoặc work Người dùng có thể cấu hình các thiết lập riêng cho từng kiểu mạng Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 15
  16. 16. Bảo mật ứng dụng Bảo mật việc phát triển ứng dụng Đường cơ sở trong cấu hình ứng dụng (SV tự đọc) Khái niệm viết mã an toàn (SV tự đọc) Tôi luyện ứng dụng và Quản lý bản vá Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 16
  17. 17. Tôi luyện ứng dụng và Quản lý bản vá (1/2) Tôi luyện ứng dụng (Application Hardening) Nhằm ngăn chặn khai thác lỗ hổng Tấn công Mô tả Ngăn chặn Tấn công các file thực thi Lừa đảo các ứng dụng sơ hở để điều chỉnh hoặc tạo ra các file thực thi trên hệ thống Ngăn không cho ứng dụng tạo hay điều chỉnh các file thực thi Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 17 Lừa đảo các ứng dụng sơ hở để điều chỉnh hoặc tạo ra các file thực thi trên hệ thống Ngăn không cho ứng dụng tạo hay điều chỉnh các file thực thi Giả mạo hệ thống Lợi dụng ứng dụng sơ hở để chỉnh sửa các khu vực đặc biệt nhạy cảm của hệ điều hành và sau đó khai thác các điều chỉnh đó Không cho phép ứng dụng chỉnh sửa các vùng đặc biệt của hệ điều hành Điều khiển việc sinh ra các tiến trình Lừa đảo ứng dụng sơ hở để sinh ra các file thực thi trên hệ thống Loại bỏ khả năng sinh ra tiến trình của ứng dụng
  18. 18. Tôi luyện ứng dụng và Quản lý bản vá (2/2) Quản lý bản vá Ít được quan tâm cho tới thời gian gần đây Người dùng không biết sự tồn tại của các bản vá hay vị trí để lấy được các bản vá Hiện nay, nhiều hệ thống quản lý bản vá ứng dụng đang được phát triển Quản lý bản vá Ít được quan tâm cho tới thời gian gần đây Người dùng không biết sự tồn tại của các bản vá hay vị trí để lấy được các bản vá Hiện nay, nhiều hệ thống quản lý bản vá ứng dụng đang được phát triển Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 18
  19. 19. Bảo mật dữ liệu (1/2) Hiện nay, quá trình làm việc liên quan rất nhiều tới hợp tác điện tử Dữ liệu phải lưu thông tự do Đảm bảo an toàn dữ liệu là điều rất quan trọng Ngăn chặn mất mát dữ liệu Hệ thống các công cụ đảm bảo an toàn được sử dụng để nhận diện và xác định các dữ liệu quan trọng và đảm bảo sự an toàn cho những dữ liệu đó Mục tiêu: bảo vệ dữ liệu khỏi những người dùng trái phép Hiện nay, quá trình làm việc liên quan rất nhiều tới hợp tác điện tử Dữ liệu phải lưu thông tự do Đảm bảo an toàn dữ liệu là điều rất quan trọng Ngăn chặn mất mát dữ liệu Hệ thống các công cụ đảm bảo an toàn được sử dụng để nhận diện và xác định các dữ liệu quan trọng và đảm bảo sự an toàn cho những dữ liệu đó Mục tiêu: bảo vệ dữ liệu khỏi những người dùng trái phép Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 19
  20. 20. Bảo mật dữ liệu (2/2) Ngăn chặn mất mát dữ liệu thường kiểm tra: Dữ liệu đang sử dụng (ví dụ: đang được in) Dữ liệu đang di chuyển (đang truyền nhận) Dữ liệu đang được lưu trữ (ví dụ: DVD) Kiểm tra nội dung Phân tích sự an toàn của quá trình giao dịch Ngăn chặn mất mát dữ liệu thường kiểm tra: Dữ liệu đang sử dụng (ví dụ: đang được in) Dữ liệu đang di chuyển (đang truyền nhận) Dữ liệu đang được lưu trữ (ví dụ: DVD) Kiểm tra nội dung Phân tích sự an toàn của quá trình giao dịch Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 20
  21. 21. Bảo mật mạng Không phải tất cả các ứng dụng đều chú trọng đến việc bảo mật trong quá trình thiết kế và viết mã + Chính vì vậy mạng cần được bảo vệ Những mạng bảo mật yếu là mục tiêu thu hút những kẻ tấn công Các khía cạnh của việc xây dựng một mạng bảo mật: Thiết bị mạng tiêu chuẩn (SV tự đọc) Phần cứng bảo mật mạng Bảo mật thông qua công nghệ mạng Bảo mật thông qua thành phần thiết kế mạng Không phải tất cả các ứng dụng đều chú trọng đến việc bảo mật trong quá trình thiết kế và viết mã + Chính vì vậy mạng cần được bảo vệ Những mạng bảo mật yếu là mục tiêu thu hút những kẻ tấn công Các khía cạnh của việc xây dựng một mạng bảo mật: Thiết bị mạng tiêu chuẩn (SV tự đọc) Phần cứng bảo mật mạng Bảo mật thông qua công nghệ mạng Bảo mật thông qua thành phần thiết kế mạng Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 21
  22. 22. Phần cứng bảo mật mạng Các thiết bị phần cứng được thiết kế đặc biệt Bảo mật tốt hơn so với các thiết bị mạng thông thường Các dạng phần cứng bảo mật mạng Tường lửa (Firewall) Ủy nhiệm (Proxy) (SV tự đọc) Bộ lọc thư rác (Spam Filter) Bộ góp mạng riêng ảo (SV tự đọc) Bộ lọc nội dung Internet (Internet Content Filter) Cổng bảo mật Web (Web Security Gateway) Phát hiện và ngăn chặn việc thâm nhập Thiết bị bảo mật mạng tất cả trong một Các thiết bị phần cứng được thiết kế đặc biệt Bảo mật tốt hơn so với các thiết bị mạng thông thường Các dạng phần cứng bảo mật mạng Tường lửa (Firewall) Ủy nhiệm (Proxy) (SV tự đọc) Bộ lọc thư rác (Spam Filter) Bộ góp mạng riêng ảo (SV tự đọc) Bộ lọc nội dung Internet (Internet Content Filter) Cổng bảo mật Web (Web Security Gateway) Phát hiện và ngăn chặn việc thâm nhập Thiết bị bảo mật mạng tất cả trong một Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 22
  23. 23. Tường lửa (1/3) Tường lửa (Firewall) Có chức năng kiểm tra các gói tin Có thể chấp nhận hoặc từ chối gói tin Thường được đặt bên ngoài vành đai bảo mật mạng Các hành động của tường lửa đối với một gói tin Cho phép (cho phép gói tin đi qua) Chặn (loại bỏ gói tin) Nhắc nhở (yêu cầu người dùng lựa chọn hành động) Các thiết lập dựa trên nguyên tắc của tường lửa Tập các chỉ dẫn để điều khiển hành động Tường lửa dựa trên các thiết lập Cho phép quản trị viên tạo ra các tham số Tường lửa (Firewall) Có chức năng kiểm tra các gói tin Có thể chấp nhận hoặc từ chối gói tin Thường được đặt bên ngoài vành đai bảo mật mạng Các hành động của tường lửa đối với một gói tin Cho phép (cho phép gói tin đi qua) Chặn (loại bỏ gói tin) Nhắc nhở (yêu cầu người dùng lựa chọn hành động) Các thiết lập dựa trên nguyên tắc của tường lửa Tập các chỉ dẫn để điều khiển hành động Tường lửa dựa trên các thiết lập Cho phép quản trị viên tạo ra các tham số Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 23
  24. 24. Tường lửa (2/3) Các phương pháp lọc gói tin của tường lửa Lọc gói tin không dựa vào trạng thái (stateless packet filtering) Kiểm tra các gói tin gửi đến và cho phép hoặc từ chối gói tin dựa trên các điều kiện do quản trị viên thiết lập Lọc gói tin dựa vào trạng thái (stateful packet filtering) Lưu giữ bản ghi trạng thái của kết nối Đưa ra quyết định dựa trên kết nối và các điều kiện Các phương pháp lọc gói tin của tường lửa Lọc gói tin không dựa vào trạng thái (stateless packet filtering) Kiểm tra các gói tin gửi đến và cho phép hoặc từ chối gói tin dựa trên các điều kiện do quản trị viên thiết lập Lọc gói tin dựa vào trạng thái (stateful packet filtering) Lưu giữ bản ghi trạng thái của kết nối Đưa ra quyết định dựa trên kết nối và các điều kiện Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 24
  25. 25. Tường lửa (3/3) Tường lửa ứng dụng Web Kiểm tra sâu hơn cấu trúc bên trong của gói tin truyền tải HTTP Các trình duyệt Web FTP Telnet Có thể chặn các web site xác định hoặc những kiểu tấn công đã được biết trước Có thể chặn tấn công tiêm nhiễm XSS và SQL Tường lửa ứng dụng Web Kiểm tra sâu hơn cấu trúc bên trong của gói tin truyền tải HTTP Các trình duyệt Web FTP Telnet Có thể chặn các web site xác định hoặc những kiểu tấn công đã được biết trước Có thể chặn tấn công tiêm nhiễm XSS và SQL Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 25
  26. 26. Bộ lọc thư rác (1/3) Bộ lọc thư rác (spam filter) Các bộ lọc thư rác cấp doanh nghiệp có thể chặn các thư rác trước khi chúng đi tới máy chủ Các hệ thống email sử dụng hai giao thức Simple Mail Transfer Protocol (SMTP) Xử lý mail gửi đi Post Office Protocol (POP) Xử lý mail gửi đến Bộ lọc thư rác (spam filter) Các bộ lọc thư rác cấp doanh nghiệp có thể chặn các thư rác trước khi chúng đi tới máy chủ Các hệ thống email sử dụng hai giao thức Simple Mail Transfer Protocol (SMTP) Xử lý mail gửi đi Post Office Protocol (POP) Xử lý mail gửi đến Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 26
  27. 27. Bộ lọc thư rác (2/3) Các bộ lọc thư rác được cài đặt với máy chủ SMTP Bộ lọc được cấu hình để “nghe ngóng” tại cổng 25 Những thư điện tử không phải thư rác được chuyển tới máy chủ SMTP đang “nghe ngóng” tại một cổng khác Phương pháp ngăn không cho máy chủ SMTP gửi lại thông báo cho kẻ gửi thư rác biết việc phân phát thư rác bị thất bại Các bộ lọc thư rác được cài đặt với máy chủ SMTP Bộ lọc được cấu hình để “nghe ngóng” tại cổng 25 Những thư điện tử không phải thư rác được chuyển tới máy chủ SMTP đang “nghe ngóng” tại một cổng khác Phương pháp ngăn không cho máy chủ SMTP gửi lại thông báo cho kẻ gửi thư rác biết việc phân phát thư rác bị thất bại Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 27
  28. 28. Bộ lọc thư rác (3/3) Bộ lọc thư rác được cài đặt trên máy chủ POP 3 Trước tiên, tất cả thư rác phải truyền qua máy chủ SMTP, sau đó chúng được chuyển tới hộp thư của người dùng Có thể làm tăng chi phí Lưu trữ, truyền dẫn, sao lưu, xóa hủy Lọc thư rác thông qua hợp đồng với một đối tác thứ ba Tất cả thư điện tử được đi qua một bộ lọc thư rác từ xa của đối tác thứ ba Thư điện tử được “làm sạch” trước khi chuyển tiếp tới tổ chức Bộ lọc thư rác được cài đặt trên máy chủ POP 3 Trước tiên, tất cả thư rác phải truyền qua máy chủ SMTP, sau đó chúng được chuyển tới hộp thư của người dùng Có thể làm tăng chi phí Lưu trữ, truyền dẫn, sao lưu, xóa hủy Lọc thư rác thông qua hợp đồng với một đối tác thứ ba Tất cả thư điện tử được đi qua một bộ lọc thư rác từ xa của đối tác thứ ba Thư điện tử được “làm sạch” trước khi chuyển tiếp tới tổ chức Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 28
  29. 29. Bộ lọc nội dung Internet Bộ lọc nội dung Internet Kiểm soát lưu lượng mạng Internet Chặn truy cập tới các web site và file được lựa chọn trước Các web site bị chặn được xác định thông qua URL hoặc thông qua đối chiếu từ khóa Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 29
  30. 30. Cổng bảo mật Web Cổng bảo mật Web (We security gateway) Có thể chặn các nội dung độc hại trong thời gian thực Chặn nội dung thông qua việc lọc ở cấp ứng dụng Ví dụ về lưu lượng Web bị chặn Các đối tượng ActiveX Phần mềm quảng cáo, phần mềm gián điệp Việc chia sẻ dữ liệu ngang hàng (peer-to-peer) Khai thác mã kịch bản Cổng bảo mật Web (We security gateway) Có thể chặn các nội dung độc hại trong thời gian thực Chặn nội dung thông qua việc lọc ở cấp ứng dụng Ví dụ về lưu lượng Web bị chặn Các đối tượng ActiveX Phần mềm quảng cáo, phần mềm gián điệp Việc chia sẻ dữ liệu ngang hàng (peer-to-peer) Khai thác mã kịch bản Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 30
  31. 31. Phát hiện và ngăn chặn thâm nhập Bảo mật thụ động và bảo mật chủ động có thể được áp dụng trong mạng Các biện pháp chủ động đem lại mức an toàn cao hơn Biện pháp thụ động Tường lửa Bộ lọc nội dung Internet Hệ thống phát hiện thâm nhập (IDS) Biện pháp bảo mật chủ động Có thể phát hiện tấn công ngay khi nó xảy ra Các khía cạnh của IDS Các phương pháp giám sát Các dạng IDS Bảo mật thụ động và bảo mật chủ động có thể được áp dụng trong mạng Các biện pháp chủ động đem lại mức an toàn cao hơn Biện pháp thụ động Tường lửa Bộ lọc nội dung Internet Hệ thống phát hiện thâm nhập (IDS) Biện pháp bảo mật chủ động Có thể phát hiện tấn công ngay khi nó xảy ra Các khía cạnh của IDS Các phương pháp giám sát Các dạng IDS Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 31
  32. 32. Các phương pháp giám sát Các phương pháp giám sát (monitoring methodology) Giám sát dựa trên sự bất thường (anomaly-based monitoring) So sánh hành vi phát hiện được với đường cơ sở Giám sát dựa trên chữ ký (signature-based monitoring ) Tìm kiếm các đặc điểm, dấu hiệu đặc trưng của tấn công Giám sát dựa trên hành vi (behavior-based monitoring) Phát hiện các hành vi bất thường của tiến trình hay chương trình Cảnh báo người dùng để họ đưa ra quyết định chặn hay cho phép hành vi Giám sát kiểu tự khám phá (heuristic monitoring) Sử dụng các kỹ thuật dựa trên kinh nghiệm Các phương pháp giám sát (monitoring methodology) Giám sát dựa trên sự bất thường (anomaly-based monitoring) So sánh hành vi phát hiện được với đường cơ sở Giám sát dựa trên chữ ký (signature-based monitoring ) Tìm kiếm các đặc điểm, dấu hiệu đặc trưng của tấn công Giám sát dựa trên hành vi (behavior-based monitoring) Phát hiện các hành vi bất thường của tiến trình hay chương trình Cảnh báo người dùng để họ đưa ra quyết định chặn hay cho phép hành vi Giám sát kiểu tự khám phá (heuristic monitoring) Sử dụng các kỹ thuật dựa trên kinh nghiệm Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 32
  33. 33. Các dạng IDS (1/4) Hệ thống phát hiện xâm nhập máy chủ (Host Intrusion Detection System - HIDS) Ứng dụng phần mềm có chức năng phát hiện tấn công khi xảy ra Được cài đặt trên từng hệ thống cần sự bảo vệ Giám sát các lời gọi và truy cập file hệ thống Có thể nhận dạng hành vi điều chỉnh Registry trái phép Giám sát tất cả thông tin giao tiếp đầu vào và đầu ra Phát hiện các hành vi bất thường Hệ thống phát hiện xâm nhập máy chủ (Host Intrusion Detection System - HIDS) Ứng dụng phần mềm có chức năng phát hiện tấn công khi xảy ra Được cài đặt trên từng hệ thống cần sự bảo vệ Giám sát các lời gọi và truy cập file hệ thống Có thể nhận dạng hành vi điều chỉnh Registry trái phép Giám sát tất cả thông tin giao tiếp đầu vào và đầu ra Phát hiện các hành vi bất thường Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 33
  34. 34. Các dạng IDS (2/4) Nhược điểm của HIDS Không thể giám sát các lưu lượng mạng không hướng tới hệ thống cục bộ Tất cả dữ liệu nhật ký (log) được lưu trữ trên máy cục bộ Tiêu tốn tài nguyên và có thể làm chậm hệ thống Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 34
  35. 35. Các dạng IDS (3/4) Hệ thống phát hiện xâm nhập mạng (Network Intrusion Detection System - NIDS) Theo dõi tấn công trên mạng Các cảm biến NIDS được cài đặt trên tường lửa và bộ định tuyến: Thu thập thông tin và báo cáo về thiết bị trung tâm NIDS thụ động sẽ phát âm thanh báo động NIDS chủ động sẽ phát âm thanh báo động, đồng thời thực hiện hành động ứng phó Hành động ứng phó có thể bao gồm việc tìm ra địa chỉ IP của kẻ xâm nhập hoặc kết thúc phiên TCP Hệ thống phát hiện xâm nhập mạng (Network Intrusion Detection System - NIDS) Theo dõi tấn công trên mạng Các cảm biến NIDS được cài đặt trên tường lửa và bộ định tuyến: Thu thập thông tin và báo cáo về thiết bị trung tâm NIDS thụ động sẽ phát âm thanh báo động NIDS chủ động sẽ phát âm thanh báo động, đồng thời thực hiện hành động ứng phó Hành động ứng phó có thể bao gồm việc tìm ra địa chỉ IP của kẻ xâm nhập hoặc kết thúc phiên TCP Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 35
  36. 36. Kỹ thuật Mô tả Kiểm tra ngăn xếp giao thức Một số cuộc tấn công sử dụng các giao thức IP, TCP, UDP hoặc ICMP không hợp lệ; kiểm tra ngăn xếp giao thức có thể xác định và báo hiệu các gói tin không hợp lệ Kiểm tra giao thức ứng dụng Một số vụ tấn công cố ý sử dụng hành vi giao thức không hợp lệ hoặc có dấu hiệu gây hại (như đầu độc DNS); NIDS sẽ thực hiện lại các giao thức ứng dụng khác nhau để tìm ra mẫu Các kỹ thuật đánh giá của NIDS Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 36 Kiểm tra giao thức ứng dụng Một số vụ tấn công cố ý sử dụng hành vi giao thức không hợp lệ hoặc có dấu hiệu gây hại (như đầu độc DNS); NIDS sẽ thực hiện lại các giao thức ứng dụng khác nhau để tìm ra mẫu Tạo các file log mở rộng NIDS có thể ghi lại file log đối với các sự kiện bất thường, sau đó các hệ thống giám sát ghi nhật ký mạng khác có thể sử dụng những file nhật ký
  37. 37. Các dạng IDS (4/4) Hệ thống ngăn chặn xâm nhập mạng (Network Intrusion Prevention - NIPS) Tương tự NIDS Giám sát lưu lượng mạng để ngay lập tức ngăn chặn tấn công gây nguy hại Các cảm biến NIPS được đặt bên trong tường lửa Hệ thống ngăn chặn xâm nhập mạng (Network Intrusion Prevention - NIPS) Tương tự NIDS Giám sát lưu lượng mạng để ngay lập tức ngăn chặn tấn công gây nguy hại Các cảm biến NIPS được đặt bên trong tường lửa Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 37
  38. 38. Thiết bị bảo mật mạng tất cả trong một Các thiết bị bảo mật mạng tất cả trong một Một thiết bị tích hợp thay thế cho nhiều thiết bị bảo mật Xu hướng gần đây: Kết hợp các thiết bị bảo mật đa năng với thiết bị truyền thống như bộ định tuyến Ưu điểm của phương pháp Khi thiết bị mạng xử lý xong các gói tin Bộ chuyển mạch (switch) chứa phần mềm anti-malware kiểm tra các gói tin và chặn lại trước khi chuyển đi để không bị lây nhiễm toàn mạng Các thiết bị bảo mật mạng tất cả trong một Một thiết bị tích hợp thay thế cho nhiều thiết bị bảo mật Xu hướng gần đây: Kết hợp các thiết bị bảo mật đa năng với thiết bị truyền thống như bộ định tuyến Ưu điểm của phương pháp Khi thiết bị mạng xử lý xong các gói tin Bộ chuyển mạch (switch) chứa phần mềm anti-malware kiểm tra các gói tin và chặn lại trước khi chuyển đi để không bị lây nhiễm toàn mạng Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 38
  39. 39. Bảo mật thông qua các công nghệ mạng (1/2) • Các bộ định tuyến mạng thường loại bỏ các gói tin có địa chỉ riêng (private) Quá trình chuyển đổi địa chỉ mạng (NAT) Cho phép sử dụng các địa chỉ IP riêng trên mạng Internet Thay thế địa chỉ IP cá nhân bằng địa chỉ public Chuyển đổi địa chỉ cổng (PAT) Biến thể của NAT Các gói tin gửi đi có cùng địa chỉ IP nhưng khác nhau về số cổng TCP • Các bộ định tuyến mạng thường loại bỏ các gói tin có địa chỉ riêng (private) Quá trình chuyển đổi địa chỉ mạng (NAT) Cho phép sử dụng các địa chỉ IP riêng trên mạng Internet Thay thế địa chỉ IP cá nhân bằng địa chỉ public Chuyển đổi địa chỉ cổng (PAT) Biến thể của NAT Các gói tin gửi đi có cùng địa chỉ IP nhưng khác nhau về số cổng TCP Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 39
  40. 40. Bảo mật thông qua các công nghệ mạng (2/2) Các ưu điểm của NAT Che dấu địa chỉ IP của các thiết bị trong nội bộ Cho phép nhiều thiết bị chia sẻ chung một số ít các địa chỉ IP public Điều khiển truy cập mạng (NAC) Kiểm tra trạng thái hiện tại của hệ thống hay thiết bị mạng: Trước khi cho phép kết nối mạng Thiết bị phải đáp ứng một tập tiêu chuẩn Nếu không đáp ứng, NAC sẽ cho phép client kết nối tới một mạng cách ly, cho tới khi các thiếu sót được khắc phục Các ưu điểm của NAT Che dấu địa chỉ IP của các thiết bị trong nội bộ Cho phép nhiều thiết bị chia sẻ chung một số ít các địa chỉ IP public Điều khiển truy cập mạng (NAC) Kiểm tra trạng thái hiện tại của hệ thống hay thiết bị mạng: Trước khi cho phép kết nối mạng Thiết bị phải đáp ứng một tập tiêu chuẩn Nếu không đáp ứng, NAC sẽ cho phép client kết nối tới một mạng cách ly, cho tới khi các thiếu sót được khắc phục Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 40
  41. 41. Bảo mật thông qua các thành phần thiết kế mạng Các phần tử trong một thiết kế mạng an toàn Khu phi quân sự Phân chia mạng con Mạng LAN ảo Truy cập từ xa Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 41
  42. 42. Khu phi quân sự (1/2) Khu phi quân sự (Demilitarized Zone - DMZ) Một mạng riêng được đặt bên ngoài vành đai của một mạng bảo mật Những người dùng không đủ tin cậy bên ngoài có thể truy cập vào DMZ nhưng không thể truy cập được mạng bảo mật bên trong Có thể dùng DMZ với một hoặc hai tường lửa. Khu phi quân sự (Demilitarized Zone - DMZ) Một mạng riêng được đặt bên ngoài vành đai của một mạng bảo mật Những người dùng không đủ tin cậy bên ngoài có thể truy cập vào DMZ nhưng không thể truy cập được mạng bảo mật bên trong Có thể dùng DMZ với một hoặc hai tường lửa. Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 42
  43. 43. Khu phi quân sự (2/2) Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 43
  44. 44. Phân chia mạng con (1/2) Các địa chỉ IP có thể được phân tách tại bất kỳ vị trí nào trong 32 bit độ dài Một mạng có thể được chia thành phần Mạng Mạng con Máy chủ Mỗi một mạng có thể chứa nhiều mạng con Mỗi một mạng con có thể chứa nhiều máy chủ Nâng cao bảo mật cho mạng thông qua việc cách ly các nhóm máy chủ Cho phép quản trị viên che giấu cấu trúc mạng nội bộ Các địa chỉ IP có thể được phân tách tại bất kỳ vị trí nào trong 32 bit độ dài Một mạng có thể được chia thành phần Mạng Mạng con Máy chủ Mỗi một mạng có thể chứa nhiều mạng con Mỗi một mạng con có thể chứa nhiều máy chủ Nâng cao bảo mật cho mạng thông qua việc cách ly các nhóm máy chủ Cho phép quản trị viên che giấu cấu trúc mạng nội bộ Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 44
  45. 45. Phân chia mạng con (2/2) Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 45
  46. 46. Ưu điểm Giải thích Giảm lưu lượng mạng Các tin quảng cáo gửi tới các máy chủ mạng thường bị hạn chế vào các mạng con riêng lẻ Linh động Số mạng con và máy chủ trong mỗi mạng con có thể được tùy chỉnh cho từng tổ chức, và dễ dàng thay đổi khi cần thiết Cải thiện khả năng gỡ lỗi Truy vết các vấn đề trên mạng con nhanh và dễ dàng hơn so với một mạng lớn Ưu điểm của việc phân chia mạng con Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 46 Cải thiện khả năng gỡ lỗi Truy vết các vấn đề trên mạng con nhanh và dễ dàng hơn so với một mạng lớn Cải thiện việc khai thác địa chỉ Do mạng được phân thành các mạng con nên giúp giảm số địa chỉ IP rác Tối thiểu hóa ảnh hưởng tới các bộ định tuyến bên ngoài các bộ định tuyến bên ngoài không phải cập nhật khi có các thay đổi xảy ra Phản ánh mạng vật lý Các máy chủ có thể được nhóm với nhau thành các mạng con, giúp phản ánh chính xác hơn cách thức chúng được tổ chức trong mạng vật lý
  47. 47. Tóm tắt (1/2) Chính sách bảo mật phải được xây dựng, do đó một đường cơ sở cần được thiết lập Phần mềm chống phần mềm độc hại của hãng thứ ba có thể giúp nâng cao tính bảo mật Bảo mật ứng dụng hoạt động trên phần cứng Ngăn chặn mất mát dữ liệu (DLP) có thể nhận diện dữ liệu quan trọng, kiểm soát và bảo vệ dữ liệu đó Chính sách bảo mật phải được xây dựng, do đó một đường cơ sở cần được thiết lập Phần mềm chống phần mềm độc hại của hãng thứ ba có thể giúp nâng cao tính bảo mật Bảo mật ứng dụng hoạt động trên phần cứng Ngăn chặn mất mát dữ liệu (DLP) có thể nhận diện dữ liệu quan trọng, kiểm soát và bảo vệ dữ liệu đó Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 47
  48. 48. Tóm tắt (2/2) Các thiết bị phần cứng được thiết kế riêng cho bảo mật đem lại mức độ bảo mật cao hơn Hệ thống phát hiện xâm nhập được thiết kế nhằm phát hiện tấn công khi nó xảy ra Công nghệ mạng có thể giúp bảo mật cho mạng Dịch địa chỉ mạng (NAT) Điều khiển truy cập mạng (NAC) Các phương pháp thiết kế một mạng bảo mật bao gồm Khu phi quân sự Phân chia mạng con Các thiết bị phần cứng được thiết kế riêng cho bảo mật đem lại mức độ bảo mật cao hơn Hệ thống phát hiện xâm nhập được thiết kế nhằm phát hiện tấn công khi nó xảy ra Công nghệ mạng có thể giúp bảo mật cho mạng Dịch địa chỉ mạng (NAT) Điều khiển truy cập mạng (NAC) Các phương pháp thiết kế một mạng bảo mật bao gồm Khu phi quân sự Phân chia mạng con Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 48

×