bài 4: bảo mật máy chủ, ứng dụng, dữ liệu và mạng - giáo trình fpt
DESCRIPTION
Liệt kê các bước để bảo mật cho máy chủ Định nghĩa bảo mật cho ứng dụng Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất thoát dữ liệu (DLP) Bài 4-Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 3 Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thất thoát dữ liệu (DLP) Liệt kê các loại thiết bị bảo mật mạng khác nhau và giải thích cách sử dụng những thiết bị đó Định nghĩa quá trình chuyển đổi địa chỉ và điều khiển truy cập mạng Giải thích phương thức tăng cường bảo mật thông qua thiết kế mạngTRANSCRIPT
Bài 4:Bảo mật máy chủ, ứng dụng, dữ liệu và
mạng
Củng cố lại bài 3
Các hình thức tấn công vào ứng dụng+ Tấn công vào ứng dụng Web (XSS, SQL Injection, XML
Injection…)+ Tấn công phía máy khách (Xử lý phần đầu của HTTP…)+ Tấn công làm tràn vùng đệm
Các hình thức tấn công vào mạng+ Từ chối dịch vụ (Lũ PING...)+ Can thiệp (Kẻ đứng giữa...)+ Đầu độc (Đầu độc ARP...)+ Tấn công vào quyền truy cập
5 bước trong quá trình đánh giá thiệt hạiCác kỹ thuật và công cụ đánh giá
Các hình thức tấn công vào ứng dụng+ Tấn công vào ứng dụng Web (XSS, SQL Injection, XML
Injection…)+ Tấn công phía máy khách (Xử lý phần đầu của HTTP…)+ Tấn công làm tràn vùng đệm
Các hình thức tấn công vào mạng+ Từ chối dịch vụ (Lũ PING...)+ Can thiệp (Kẻ đứng giữa...)+ Đầu độc (Đầu độc ARP...)+ Tấn công vào quyền truy cập
5 bước trong quá trình đánh giá thiệt hạiCác kỹ thuật và công cụ đánh giá
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 2
Mục tiêu của bài học
Liệt kê các bước để bảo mật cho máy chủ
Định nghĩa bảo mật cho ứng dụng
Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thấtthoát dữ liệu (DLP)
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 3
Giải thích phương thức bảo mật cho dữ liệu bằng cách ngăn chặn thấtthoát dữ liệu (DLP)
Liệt kê các loại thiết bị bảo mật mạng khác nhau và giải thích cách sửdụng những thiết bị đó
Định nghĩa quá trình chuyển đổi địa chỉ và điều khiển truy cập mạng
Giải thích phương thức tăng cường bảo mật thông qua thiết kế mạng
Các yếu tố quan trọngcần được bảo mật
Các yếu tố quan trọng cần được bảo mậtMáy chủ (host) (máy chủ của mạng hoặc máy khách)Ứng dụng (application)Dữ liệu (data)Mạng (network)
Các yếu tố quan trọng cần được bảo mậtMáy chủ (host) (máy chủ của mạng hoặc máy khách)Ứng dụng (application)Dữ liệu (data)Mạng (network)
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 4
Bảo mật máy chủ (2/2)
Bảo mật cho máy chủ bao gồm:Bảo mật các thiết bị vật lý (SV tự đọc)Bảo mật phần mềm hệ điều hànhBảo mật bằng phần mềm chống phần mềm độc hạiGiám sát nhật ký hệ thống (SV tự đọc)
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 5
Bảo mật phần mềmhệ điều hành (1/5)
Quá trình năm bước để bảo mật cho hệ điều hànhPhát triển chính sách bảo mậtTạo đường cơ sở cho phần mềm máy chủCấu hình bảo mật hệ điều hành và các cài đặtTriển khai các cài đặtThực thi việc quản lý các bản vá
Quá trình năm bước để bảo mật cho hệ điều hànhPhát triển chính sách bảo mậtTạo đường cơ sở cho phần mềm máy chủCấu hình bảo mật hệ điều hành và các cài đặtTriển khai các cài đặtThực thi việc quản lý các bản vá
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 6
Bảo mật phần mềmhệ điều hành (2/5)
Phát triển chính sách bảo mậtCác tài liệu xác định cơ chế bảo mật của tổ chức
Tạo đường cơ sở cho phần mềm máy chủĐường cơ sở: tiêu chuẩn hay danh mục kiểm tra để đánhgiá hệ thốngCác thiết lập cấu hình được áp dụng cho từng máy tínhtrong tổ chức
Chính sách bảo mật xác định phải bảo vệ cái gì, đườngcơ sở xác định bảo vệ như thế nào?
Phát triển chính sách bảo mậtCác tài liệu xác định cơ chế bảo mật của tổ chức
Tạo đường cơ sở cho phần mềm máy chủĐường cơ sở: tiêu chuẩn hay danh mục kiểm tra để đánhgiá hệ thốngCác thiết lập cấu hình được áp dụng cho từng máy tínhtrong tổ chức
Chính sách bảo mật xác định phải bảo vệ cái gì, đườngcơ sở xác định bảo vệ như thế nào?
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 7
Bảo mật phần mềmhệ điều hành (3/5)
Cấu hình bảo mật hệ điều hành (HĐH) và các cài đặtHĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau,có thể sử dụng để điều chỉnh cho phù hợp với đường cơsở.Cấu hình đường cơ sở tiêu biểu
Thay đổi các thiết lập mặc định không an toànLoại bỏ các phần mềm, dịch vụ, giao thức không cần thiếtKích hoạt các chức năng bảo mật, ví dụ như tường lửa
Cấu hình bảo mật hệ điều hành (HĐH) và các cài đặtHĐH hiện tại có hàng trăm thiết lập bảo mật khác nhau,có thể sử dụng để điều chỉnh cho phù hợp với đường cơsở.Cấu hình đường cơ sở tiêu biểu
Thay đổi các thiết lập mặc định không an toànLoại bỏ các phần mềm, dịch vụ, giao thức không cần thiếtKích hoạt các chức năng bảo mật, ví dụ như tường lửa
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 8
Bảo mật phần mềmhệ điều hành (4/5)
Triển khai các cài đặtMẫu bảo mật: tập các thiết lập cấu hình bảo mậtQuá trình triển khai các thiết lập có thể được tự động hóaChính sách nhóm (Group policy)
Một tính năng của Windows cho phép quản lý tập trung hệthống máy tínhMột cấu hình đơn lẻ có thể được triển khai tới nhiều ngườidùng
Triển khai các cài đặtMẫu bảo mật: tập các thiết lập cấu hình bảo mậtQuá trình triển khai các thiết lập có thể được tự động hóaChính sách nhóm (Group policy)
Một tính năng của Windows cho phép quản lý tập trung hệthống máy tínhMột cấu hình đơn lẻ có thể được triển khai tới nhiều ngườidùng
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 9
Bảo mật phần mềmhệ điều hành (5/5)
Thực thi việc quản lý các bản váCác hệ điều hành hiện nay đều có khả năng tự động thựchiện cập nhậtĐôi khi các bản vá có thể làm nảy sinh những vấn đề mớiDịch vụ cập nhật bản vá tự động
Quản lý các bản vá trên máy cục bộ thay vì phụ thuộc vàodịch vụ cập nhật bản vá trực tuyến của nhà cung cấpDịch vụ cập nhật bản vá tự động có nhiều ưu điểm (*)
Thực thi việc quản lý các bản váCác hệ điều hành hiện nay đều có khả năng tự động thựchiện cập nhậtĐôi khi các bản vá có thể làm nảy sinh những vấn đề mớiDịch vụ cập nhật bản vá tự động
Quản lý các bản vá trên máy cục bộ thay vì phụ thuộc vàodịch vụ cập nhật bản vá trực tuyến của nhà cung cấpDịch vụ cập nhật bản vá tự động có nhiều ưu điểm (*)
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 10
Bảo mật bằng phần mềmchống phần mềm độc hại
Các phần mềm chống phần mềm độc hại của bên thứba có thể cung cấp thêm sự bảo mật.Nhóm này bao gồm:
Phần mềm chống vi rútPhần mềm chống thư rácPhần mềm phong tỏa pop-upTường lửa dựa trên máy chủ
Các phần mềm chống phần mềm độc hại của bên thứba có thể cung cấp thêm sự bảo mật.Nhóm này bao gồm:
Phần mềm chống vi rútPhần mềm chống thư rácPhần mềm phong tỏa pop-upTường lửa dựa trên máy chủ
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 11
Phần mềm diệt vi rút
Phần mềm diệt virusPhần mềm kiểm tra một máy tính có bị tiêm nhiễm virushay khôngQuét các tài liệu mới có thể chứa virusTìm kiếm các mẫu virus đã được biết trước
Nhược điểm của phần mềm diệt virusNhà cung cấp phải liên tục tìm các virus mới, cập nhật vàphân phối các file chữ ký (signature file) tới người dùng
Phương pháp khác: giả lập mã (code emulation)Các mã khả nghi được thực thi trong một môi trường ảo
Phần mềm diệt virusPhần mềm kiểm tra một máy tính có bị tiêm nhiễm virushay khôngQuét các tài liệu mới có thể chứa virusTìm kiếm các mẫu virus đã được biết trước
Nhược điểm của phần mềm diệt virusNhà cung cấp phải liên tục tìm các virus mới, cập nhật vàphân phối các file chữ ký (signature file) tới người dùng
Phương pháp khác: giả lập mã (code emulation)Các mã khả nghi được thực thi trong một môi trường ảo
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 12
Phần mềm chống thư rác
Những kẻ gửi thư rác có thể phát tán phần mềm độc hạithông qua các thư điện tử có file đính kèmThư rác có thể được sử dụng trong các cuộc tấn côngdùng kỹ nghệ xã hộiCác phương thức lọc thư rác
Lọc BayesianLọc trên máy chủ cục bộ
Danh sách đenDanh sách trắng
Chặn các kiểu file đính kèm khả nghi
Những kẻ gửi thư rác có thể phát tán phần mềm độc hạithông qua các thư điện tử có file đính kèmThư rác có thể được sử dụng trong các cuộc tấn côngdùng kỹ nghệ xã hộiCác phương thức lọc thư rác
Lọc BayesianLọc trên máy chủ cục bộ
Danh sách đenDanh sách trắng
Chặn các kiểu file đính kèm khả nghi
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 13
Phần mềm phong tỏa pop-up
Pop-upMột cửa sổ xuất hiện trên Web siteThường do các nhà quảng cáo tạo ra
Phần mềm phong tỏa pop-upMột chương trình riêng biệt, giống như một phần của góiphần mềm chống phần mềm gián điệpĐược tích hợp vào trong trình duyệtCho phép người dùng hạn chế hoặc ngăn chặn hầu hếtcác cửa sổ pop-upCó thể hiển thị cảnh báo trong trình duyệt
Cho phép người dùng có thể lựa chọn để hiển thị pop-up
Pop-upMột cửa sổ xuất hiện trên Web siteThường do các nhà quảng cáo tạo ra
Phần mềm phong tỏa pop-upMột chương trình riêng biệt, giống như một phần của góiphần mềm chống phần mềm gián điệpĐược tích hợp vào trong trình duyệtCho phép người dùng hạn chế hoặc ngăn chặn hầu hếtcác cửa sổ pop-upCó thể hiển thị cảnh báo trong trình duyệt
Cho phép người dùng có thể lựa chọn để hiển thị pop-up
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 14
Tường lửa dựa trên máy chủ
Tường lửa (firewall)Được thiết kế nhằm ngăn chặn các gói tin độc hại truy cậphoặc gửi đi từ máy tínhCó thể dựa trên phần cứng hoặc phần mềmPhần mềm tường lửa dựa trên máy chủ hoạt động trên hệthống cục bộ
Tường lửa trong Microsoft Windows 7Ba kiểu thiết lập dành cho các mạng: public, home, hoặcworkNgười dùng có thể cấu hình các thiết lập riêng cho từngkiểu mạng
Tường lửa (firewall)Được thiết kế nhằm ngăn chặn các gói tin độc hại truy cậphoặc gửi đi từ máy tínhCó thể dựa trên phần cứng hoặc phần mềmPhần mềm tường lửa dựa trên máy chủ hoạt động trên hệthống cục bộ
Tường lửa trong Microsoft Windows 7Ba kiểu thiết lập dành cho các mạng: public, home, hoặcworkNgười dùng có thể cấu hình các thiết lập riêng cho từngkiểu mạng
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 15
Bảo mật ứng dụng
Bảo mật việc phát triển ứng dụngĐường cơ sở trong cấu hình ứng dụng (SV tự đọc)Khái niệm viết mã an toàn (SV tự đọc)Tôi luyện ứng dụng và Quản lý bản vá
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 16
Tôi luyện ứng dụngvà Quản lý bản vá (1/2)
Tôi luyện ứng dụng (Application Hardening)Nhằm ngăn chặn khai thác lỗ hổng
Tấn công Mô tả Ngăn chặn
Tấn công cácfile thực thi
Lừa đảo các ứng dụng sơ hở đểđiều chỉnh hoặc tạo ra các filethực thi trên hệ thống
Ngăn không cho ứng dụngtạo hay điều chỉnh các filethực thi
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 17
Lừa đảo các ứng dụng sơ hở đểđiều chỉnh hoặc tạo ra các filethực thi trên hệ thống
Ngăn không cho ứng dụngtạo hay điều chỉnh các filethực thi
Giả mạo hệthống
Lợi dụng ứng dụng sơ hở đểchỉnh sửa các khu vực đặc biệtnhạy cảm của hệ điều hành vàsau đó khai thác các điều chỉnhđó
Không cho phép ứng dụngchỉnh sửa các vùng đặc biệtcủa hệ điều hành
Điều khiểnviệc sinh racác tiến trình
Lừa đảo ứng dụng sơ hở để sinhra các file thực thi trên hệ thống
Loại bỏ khả năng sinh ra tiếntrình của ứng dụng
Tôi luyện ứng dụngvà Quản lý bản vá (2/2)
Quản lý bản váÍt được quan tâm cho tới thời gian gần đâyNgười dùng không biết sự tồn tại của các bản vá hay vị tríđể lấy được các bản váHiện nay, nhiều hệ thống quản lý bản vá ứng dụng đangđược phát triển
Quản lý bản váÍt được quan tâm cho tới thời gian gần đâyNgười dùng không biết sự tồn tại của các bản vá hay vị tríđể lấy được các bản váHiện nay, nhiều hệ thống quản lý bản vá ứng dụng đangđược phát triển
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 18
Bảo mật dữ liệu (1/2)
Hiện nay, quá trình làm việc liên quan rất nhiều tới hợptác điện tử
Dữ liệu phải lưu thông tự doĐảm bảo an toàn dữ liệu là điều rất quan trọng
Ngăn chặn mất mát dữ liệuHệ thống các công cụ đảm bảo an toàn được sử dụng đểnhận diện và xác định các dữ liệu quan trọng và đảm bảosự an toàn cho những dữ liệu đóMục tiêu: bảo vệ dữ liệu khỏi những người dùng trái phép
Hiện nay, quá trình làm việc liên quan rất nhiều tới hợptác điện tử
Dữ liệu phải lưu thông tự doĐảm bảo an toàn dữ liệu là điều rất quan trọng
Ngăn chặn mất mát dữ liệuHệ thống các công cụ đảm bảo an toàn được sử dụng đểnhận diện và xác định các dữ liệu quan trọng và đảm bảosự an toàn cho những dữ liệu đóMục tiêu: bảo vệ dữ liệu khỏi những người dùng trái phép
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 19
Bảo mật dữ liệu (2/2)
Ngăn chặn mất mát dữ liệu thường kiểm tra:Dữ liệu đang sử dụng (ví dụ: đang được in)Dữ liệu đang di chuyển (đang truyền nhận)Dữ liệu đang được lưu trữ (ví dụ: DVD)
Kiểm tra nội dungPhân tích sự an toàn của quá trình giao dịch
Ngăn chặn mất mát dữ liệu thường kiểm tra:Dữ liệu đang sử dụng (ví dụ: đang được in)Dữ liệu đang di chuyển (đang truyền nhận)Dữ liệu đang được lưu trữ (ví dụ: DVD)
Kiểm tra nội dungPhân tích sự an toàn của quá trình giao dịch
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 20
Bảo mật mạng
Không phải tất cả các ứng dụng đều chú trọng đến việcbảo mật trong quá trình thiết kế và viết mã+ Chính vì vậy mạng cần được bảo vệ
Những mạng bảo mật yếu là mục tiêu thu hút những kẻtấn côngCác khía cạnh của việc xây dựng một mạng bảo mật:
Thiết bị mạng tiêu chuẩn (SV tự đọc)Phần cứng bảo mật mạngBảo mật thông qua công nghệ mạngBảo mật thông qua thành phần thiết kế mạng
Không phải tất cả các ứng dụng đều chú trọng đến việcbảo mật trong quá trình thiết kế và viết mã+ Chính vì vậy mạng cần được bảo vệ
Những mạng bảo mật yếu là mục tiêu thu hút những kẻtấn côngCác khía cạnh của việc xây dựng một mạng bảo mật:
Thiết bị mạng tiêu chuẩn (SV tự đọc)Phần cứng bảo mật mạngBảo mật thông qua công nghệ mạngBảo mật thông qua thành phần thiết kế mạng
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 21
Phần cứng bảo mật mạng
Các thiết bị phần cứng được thiết kế đặc biệtBảo mật tốt hơn so với các thiết bị mạng thông thường
Các dạng phần cứng bảo mật mạngTường lửa (Firewall)Ủy nhiệm (Proxy) (SV tự đọc)Bộ lọc thư rác (Spam Filter)Bộ góp mạng riêng ảo (SV tự đọc)Bộ lọc nội dung Internet (Internet Content Filter)Cổng bảo mật Web (Web Security Gateway)Phát hiện và ngăn chặn việc thâm nhậpThiết bị bảo mật mạng tất cả trong một
Các thiết bị phần cứng được thiết kế đặc biệtBảo mật tốt hơn so với các thiết bị mạng thông thường
Các dạng phần cứng bảo mật mạngTường lửa (Firewall)Ủy nhiệm (Proxy) (SV tự đọc)Bộ lọc thư rác (Spam Filter)Bộ góp mạng riêng ảo (SV tự đọc)Bộ lọc nội dung Internet (Internet Content Filter)Cổng bảo mật Web (Web Security Gateway)Phát hiện và ngăn chặn việc thâm nhậpThiết bị bảo mật mạng tất cả trong một
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 22
Tường lửa (1/3)
Tường lửa (Firewall)Có chức năng kiểm tra các gói tinCó thể chấp nhận hoặc từ chối gói tinThường được đặt bên ngoài vành đai bảo mật mạng
Các hành động của tường lửa đối với một gói tinCho phép (cho phép gói tin đi qua)Chặn (loại bỏ gói tin)Nhắc nhở (yêu cầu người dùng lựa chọn hành động)
Các thiết lập dựa trên nguyên tắc của tường lửaTập các chỉ dẫn để điều khiển hành động
Tường lửa dựa trên các thiết lậpCho phép quản trị viên tạo ra các tham số
Tường lửa (Firewall)Có chức năng kiểm tra các gói tinCó thể chấp nhận hoặc từ chối gói tinThường được đặt bên ngoài vành đai bảo mật mạng
Các hành động của tường lửa đối với một gói tinCho phép (cho phép gói tin đi qua)Chặn (loại bỏ gói tin)Nhắc nhở (yêu cầu người dùng lựa chọn hành động)
Các thiết lập dựa trên nguyên tắc của tường lửaTập các chỉ dẫn để điều khiển hành động
Tường lửa dựa trên các thiết lậpCho phép quản trị viên tạo ra các tham số
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 23
Tường lửa (2/3)
Các phương pháp lọc gói tin của tường lửaLọc gói tin không dựa vào trạng thái (stateless packetfiltering)
Kiểm tra các gói tin gửi đến và cho phép hoặc từ chối gói tindựa trên các điều kiện do quản trị viên thiết lập
Lọc gói tin dựa vào trạng thái (stateful packet filtering)Lưu giữ bản ghi trạng thái của kết nốiĐưa ra quyết định dựa trên kết nối và các điều kiện
Các phương pháp lọc gói tin của tường lửaLọc gói tin không dựa vào trạng thái (stateless packetfiltering)
Kiểm tra các gói tin gửi đến và cho phép hoặc từ chối gói tindựa trên các điều kiện do quản trị viên thiết lập
Lọc gói tin dựa vào trạng thái (stateful packet filtering)Lưu giữ bản ghi trạng thái của kết nốiĐưa ra quyết định dựa trên kết nối và các điều kiện
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 24
Tường lửa (3/3)
Tường lửa ứng dụng WebKiểm tra sâu hơn cấu trúc bên trong của gói tin truyền tảiHTTP
Các trình duyệt WebFTPTelnet
Có thể chặn các web site xác định hoặc những kiểu tấncông đã được biết trướcCó thể chặn tấn công tiêm nhiễm XSS và SQL
Tường lửa ứng dụng WebKiểm tra sâu hơn cấu trúc bên trong của gói tin truyền tảiHTTP
Các trình duyệt WebFTPTelnet
Có thể chặn các web site xác định hoặc những kiểu tấncông đã được biết trướcCó thể chặn tấn công tiêm nhiễm XSS và SQL
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 25
Bộ lọc thư rác (1/3)
Bộ lọc thư rác (spam filter)Các bộ lọc thư rác cấp doanh nghiệp có thể chặn các thưrác trước khi chúng đi tới máy chủ
Các hệ thống email sử dụng hai giao thứcSimple Mail Transfer Protocol (SMTP)
Xử lý mail gửi điPost Office Protocol (POP)
Xử lý mail gửi đến
Bộ lọc thư rác (spam filter)Các bộ lọc thư rác cấp doanh nghiệp có thể chặn các thưrác trước khi chúng đi tới máy chủ
Các hệ thống email sử dụng hai giao thứcSimple Mail Transfer Protocol (SMTP)
Xử lý mail gửi điPost Office Protocol (POP)
Xử lý mail gửi đến
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 26
Bộ lọc thư rác (2/3)
Các bộ lọc thư rác được cài đặt với máy chủ SMTPBộ lọc được cấu hình để “nghe ngóng” tại cổng 25Những thư điện tử không phải thư rác được chuyển tớimáy chủ SMTP đang “nghe ngóng” tại một cổng khácPhương pháp ngăn không cho máy chủ SMTP gửi lại thôngbáo cho kẻ gửi thư rác biết việc phân phát thư rác bị thấtbại
Các bộ lọc thư rác được cài đặt với máy chủ SMTPBộ lọc được cấu hình để “nghe ngóng” tại cổng 25Những thư điện tử không phải thư rác được chuyển tớimáy chủ SMTP đang “nghe ngóng” tại một cổng khácPhương pháp ngăn không cho máy chủ SMTP gửi lại thôngbáo cho kẻ gửi thư rác biết việc phân phát thư rác bị thấtbại
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 27
Bộ lọc thư rác (3/3)
Bộ lọc thư rác được cài đặt trên máy chủ POP 3Trước tiên, tất cả thư rác phải truyền qua máy chủ SMTP,sau đó chúng được chuyển tới hộp thư của người dùngCó thể làm tăng chi phí
Lưu trữ, truyền dẫn, sao lưu, xóa hủy
Lọc thư rác thông qua hợp đồng với một đối tác thứ baTất cả thư điện tử được đi qua một bộ lọc thư rác từ xacủa đối tác thứ baThư điện tử được “làm sạch” trước khi chuyển tiếp tới tổchức
Bộ lọc thư rác được cài đặt trên máy chủ POP 3Trước tiên, tất cả thư rác phải truyền qua máy chủ SMTP,sau đó chúng được chuyển tới hộp thư của người dùngCó thể làm tăng chi phí
Lưu trữ, truyền dẫn, sao lưu, xóa hủy
Lọc thư rác thông qua hợp đồng với một đối tác thứ baTất cả thư điện tử được đi qua một bộ lọc thư rác từ xacủa đối tác thứ baThư điện tử được “làm sạch” trước khi chuyển tiếp tới tổchức
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 28
Bộ lọc nội dung Internet
Bộ lọc nội dung InternetKiểm soát lưu lượng mạng InternetChặn truy cập tới các web site và file được lựa chọn trướcCác web site bị chặn được xác định thông qua URL hoặcthông qua đối chiếu từ khóa
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 29
Cổng bảo mật Web
Cổng bảo mật Web (We security gateway)Có thể chặn các nội dung độc hại trong thời gian thựcChặn nội dung thông qua việc lọc ở cấp ứng dụng
Ví dụ về lưu lượng Web bị chặnCác đối tượng ActiveXPhần mềm quảng cáo, phần mềm gián điệpViệc chia sẻ dữ liệu ngang hàng (peer-to-peer)Khai thác mã kịch bản
Cổng bảo mật Web (We security gateway)Có thể chặn các nội dung độc hại trong thời gian thựcChặn nội dung thông qua việc lọc ở cấp ứng dụng
Ví dụ về lưu lượng Web bị chặnCác đối tượng ActiveXPhần mềm quảng cáo, phần mềm gián điệpViệc chia sẻ dữ liệu ngang hàng (peer-to-peer)Khai thác mã kịch bản
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 30
Phát hiện và ngănchặn thâm nhập
Bảo mật thụ động và bảo mật chủ động có thể được ápdụng trong mạng
Các biện pháp chủ động đem lại mức an toàn cao hơnBiện pháp thụ động
Tường lửaBộ lọc nội dung Internet
Hệ thống phát hiện thâm nhập (IDS)Biện pháp bảo mật chủ độngCó thể phát hiện tấn công ngay khi nó xảy ra
Các khía cạnh của IDSCác phương pháp giám sátCác dạng IDS
Bảo mật thụ động và bảo mật chủ động có thể được ápdụng trong mạng
Các biện pháp chủ động đem lại mức an toàn cao hơnBiện pháp thụ động
Tường lửaBộ lọc nội dung Internet
Hệ thống phát hiện thâm nhập (IDS)Biện pháp bảo mật chủ độngCó thể phát hiện tấn công ngay khi nó xảy ra
Các khía cạnh của IDSCác phương pháp giám sátCác dạng IDS
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 31
Các phương pháp giám sát
Các phương pháp giám sát (monitoring methodology)Giám sát dựa trên sự bất thường (anomaly-basedmonitoring)
So sánh hành vi phát hiện được với đường cơ sởGiám sát dựa trên chữ ký (signature-based monitoring )
Tìm kiếm các đặc điểm, dấu hiệu đặc trưng của tấn côngGiám sát dựa trên hành vi (behavior-based monitoring)
Phát hiện các hành vi bất thường của tiến trình hay chươngtrìnhCảnh báo người dùng để họ đưa ra quyết định chặn haycho phép hành vi
Giám sát kiểu tự khám phá (heuristic monitoring)Sử dụng các kỹ thuật dựa trên kinh nghiệm
Các phương pháp giám sát (monitoring methodology)Giám sát dựa trên sự bất thường (anomaly-basedmonitoring)
So sánh hành vi phát hiện được với đường cơ sởGiám sát dựa trên chữ ký (signature-based monitoring )
Tìm kiếm các đặc điểm, dấu hiệu đặc trưng của tấn côngGiám sát dựa trên hành vi (behavior-based monitoring)
Phát hiện các hành vi bất thường của tiến trình hay chươngtrìnhCảnh báo người dùng để họ đưa ra quyết định chặn haycho phép hành vi
Giám sát kiểu tự khám phá (heuristic monitoring)Sử dụng các kỹ thuật dựa trên kinh nghiệm
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 32
Các dạng IDS (1/4)
Hệ thống phát hiện xâm nhập máy chủ (Host IntrusionDetection System - HIDS)
Ứng dụng phần mềm có chức năng phát hiện tấn công khixảy raĐược cài đặt trên từng hệ thống cần sự bảo vệGiám sát các lời gọi và truy cập file hệ thốngCó thể nhận dạng hành vi điều chỉnh Registry trái phépGiám sát tất cả thông tin giao tiếp đầu vào và đầu ra
Phát hiện các hành vi bất thường
Hệ thống phát hiện xâm nhập máy chủ (Host IntrusionDetection System - HIDS)
Ứng dụng phần mềm có chức năng phát hiện tấn công khixảy raĐược cài đặt trên từng hệ thống cần sự bảo vệGiám sát các lời gọi và truy cập file hệ thốngCó thể nhận dạng hành vi điều chỉnh Registry trái phépGiám sát tất cả thông tin giao tiếp đầu vào và đầu ra
Phát hiện các hành vi bất thường
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 33
Các dạng IDS (2/4)
Nhược điểm của HIDSKhông thể giám sát các lưu lượng mạng không hướng tớihệ thống cục bộTất cả dữ liệu nhật ký (log) được lưu trữ trên máy cục bộTiêu tốn tài nguyên và có thể làm chậm hệ thống
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 34
Các dạng IDS (3/4)
Hệ thống phát hiện xâm nhập mạng (Network IntrusionDetection System - NIDS)
Theo dõi tấn công trên mạngCác cảm biến NIDS được cài đặt trên tường lửa và bộ địnhtuyến:
Thu thập thông tin và báo cáo về thiết bị trung tâmNIDS thụ động sẽ phát âm thanh báo độngNIDS chủ động sẽ phát âm thanh báo động, đồng thờithực hiện hành động ứng phó
Hành động ứng phó có thể bao gồm việc tìm ra địa chỉ IPcủa kẻ xâm nhập hoặc kết thúc phiên TCP
Hệ thống phát hiện xâm nhập mạng (Network IntrusionDetection System - NIDS)
Theo dõi tấn công trên mạngCác cảm biến NIDS được cài đặt trên tường lửa và bộ địnhtuyến:
Thu thập thông tin và báo cáo về thiết bị trung tâmNIDS thụ động sẽ phát âm thanh báo độngNIDS chủ động sẽ phát âm thanh báo động, đồng thờithực hiện hành động ứng phó
Hành động ứng phó có thể bao gồm việc tìm ra địa chỉ IPcủa kẻ xâm nhập hoặc kết thúc phiên TCP
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 35
Kỹ thuật Mô tả
Kiểm tra ngăn xếp giaothức
Một số cuộc tấn công sử dụng các giao thứcIP, TCP, UDP hoặc ICMP không hợp lệ; kiểmtra ngăn xếp giao thức có thể xác định vàbáo hiệu các gói tin không hợp lệ
Kiểm tra giao thức ứngdụng
Một số vụ tấn công cố ý sử dụng hành vigiao thức không hợp lệ hoặc có dấu hiệu gâyhại (như đầu độc DNS); NIDS sẽ thực hiệnlại các giao thức ứng dụng khác nhau để tìmra mẫu
Các kỹ thuậtđánh giá của NIDS
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 36
Kiểm tra giao thức ứngdụng
Một số vụ tấn công cố ý sử dụng hành vigiao thức không hợp lệ hoặc có dấu hiệu gâyhại (như đầu độc DNS); NIDS sẽ thực hiệnlại các giao thức ứng dụng khác nhau để tìmra mẫu
Tạo các file log mở rộng NIDS có thể ghi lại file log đối với các sựkiện bất thường, sau đó các hệ thống giámsát ghi nhật ký mạng khác có thể sử dụngnhững file nhật ký
Các dạng IDS (4/4)
Hệ thống ngăn chặn xâm nhập mạng (Network IntrusionPrevention - NIPS)
Tương tự NIDSGiám sát lưu lượng mạng để ngay lập tức ngăn chặn tấncông gây nguy hạiCác cảm biến NIPS được đặt bên trong tường lửa
Hệ thống ngăn chặn xâm nhập mạng (Network IntrusionPrevention - NIPS)
Tương tự NIDSGiám sát lưu lượng mạng để ngay lập tức ngăn chặn tấncông gây nguy hạiCác cảm biến NIPS được đặt bên trong tường lửa
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 37
Thiết bị bảo mật mạngtất cả trong một
Các thiết bị bảo mật mạng tất cả trong mộtMột thiết bị tích hợp thay thế cho nhiều thiết bị bảo mật
Xu hướng gần đây:Kết hợp các thiết bị bảo mật đa năng với thiết bị truyềnthống như bộ định tuyếnƯu điểm của phương pháp
Khi thiết bị mạng xử lý xong các gói tinBộ chuyển mạch (switch) chứa phần mềm anti-malware kiểmtra các gói tin và chặn lại trước khi chuyển đi để không bị lâynhiễm toàn mạng
Các thiết bị bảo mật mạng tất cả trong mộtMột thiết bị tích hợp thay thế cho nhiều thiết bị bảo mật
Xu hướng gần đây:Kết hợp các thiết bị bảo mật đa năng với thiết bị truyềnthống như bộ định tuyếnƯu điểm của phương pháp
Khi thiết bị mạng xử lý xong các gói tinBộ chuyển mạch (switch) chứa phần mềm anti-malware kiểmtra các gói tin và chặn lại trước khi chuyển đi để không bị lâynhiễm toàn mạng
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 38
Bảo mật thông quacác công nghệ mạng (1/2)
• Các bộ định tuyến mạng thường loại bỏ các gói tincó địa chỉ riêng (private)Quá trình chuyển đổi địa chỉ mạng (NAT)
Cho phép sử dụng các địa chỉ IP riêng trên mạng InternetThay thế địa chỉ IP cá nhân bằng địa chỉ public
Chuyển đổi địa chỉ cổng (PAT)Biến thể của NAT
Các gói tin gửi đi có cùng địa chỉ IP nhưng khác nhau về sốcổng TCP
• Các bộ định tuyến mạng thường loại bỏ các gói tincó địa chỉ riêng (private)Quá trình chuyển đổi địa chỉ mạng (NAT)
Cho phép sử dụng các địa chỉ IP riêng trên mạng InternetThay thế địa chỉ IP cá nhân bằng địa chỉ public
Chuyển đổi địa chỉ cổng (PAT)Biến thể của NAT
Các gói tin gửi đi có cùng địa chỉ IP nhưng khác nhau về sốcổng TCP
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 39
Bảo mật thông quacác công nghệ mạng (2/2)
Các ưu điểm của NATChe dấu địa chỉ IP của các thiết bị trong nội bộCho phép nhiều thiết bị chia sẻ chung một số ít các địa chỉIP public
Điều khiển truy cập mạng (NAC)Kiểm tra trạng thái hiện tại của hệ thống hay thiết bịmạng:
Trước khi cho phép kết nối mạngThiết bị phải đáp ứng một tập tiêu chuẩn
Nếu không đáp ứng, NAC sẽ cho phép client kết nối tới mộtmạng cách ly, cho tới khi các thiếu sót được khắc phục
Các ưu điểm của NATChe dấu địa chỉ IP của các thiết bị trong nội bộCho phép nhiều thiết bị chia sẻ chung một số ít các địa chỉIP public
Điều khiển truy cập mạng (NAC)Kiểm tra trạng thái hiện tại của hệ thống hay thiết bịmạng:
Trước khi cho phép kết nối mạngThiết bị phải đáp ứng một tập tiêu chuẩn
Nếu không đáp ứng, NAC sẽ cho phép client kết nối tới mộtmạng cách ly, cho tới khi các thiếu sót được khắc phục
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 40
Bảo mật thông qua cácthành phần thiết kế mạng
Các phần tử trong một thiết kế mạng an toànKhu phi quân sựPhân chia mạng conMạng LAN ảoTruy cập từ xa
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 41
Khu phi quân sự (1/2)
Khu phi quân sự (Demilitarized Zone - DMZ)Một mạng riêng được đặt bên ngoài vành đai của mộtmạng bảo mậtNhững người dùng không đủ tin cậy bên ngoài có thểtruy cập vào DMZ nhưng không thể truy cập được mạngbảo mật bên trongCó thể dùng DMZ với một hoặc hai tường lửa.
Khu phi quân sự (Demilitarized Zone - DMZ)Một mạng riêng được đặt bên ngoài vành đai của mộtmạng bảo mậtNhững người dùng không đủ tin cậy bên ngoài có thểtruy cập vào DMZ nhưng không thể truy cập được mạngbảo mật bên trongCó thể dùng DMZ với một hoặc hai tường lửa.
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 42
Khu phi quân sự (2/2)
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 43
Phân chia mạng con (1/2)
Các địa chỉ IP có thể được phân tách tại bất kỳ vị trí nàotrong 32 bit độ dàiMột mạng có thể được chia thành phần
MạngMạng conMáy chủ
Mỗi một mạng có thể chứa nhiều mạng conMỗi một mạng con có thể chứa nhiều máy chủNâng cao bảo mật cho mạng thông qua việc cách ly cácnhóm máy chủCho phép quản trị viên che giấu cấu trúc mạng nội bộ
Các địa chỉ IP có thể được phân tách tại bất kỳ vị trí nàotrong 32 bit độ dàiMột mạng có thể được chia thành phần
MạngMạng conMáy chủ
Mỗi một mạng có thể chứa nhiều mạng conMỗi một mạng con có thể chứa nhiều máy chủNâng cao bảo mật cho mạng thông qua việc cách ly cácnhóm máy chủCho phép quản trị viên che giấu cấu trúc mạng nội bộ
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 44
Phân chia mạng con (2/2)
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 45
Ưu điểm Giải thích
Giảm lưu lượng mạng Các tin quảng cáo gửi tới các máy chủ mạng thườngbị hạn chế vào các mạng con riêng lẻ
Linh động Số mạng con và máy chủ trong mỗi mạng con cóthể được tùy chỉnh cho từng tổ chức, và dễ dàngthay đổi khi cần thiết
Cải thiện khả năng gỡ lỗi Truy vết các vấn đề trên mạng con nhanh và dễdàng hơn so với một mạng lớn
Ưu điểm của việcphân chia mạng con
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 46
Cải thiện khả năng gỡ lỗi Truy vết các vấn đề trên mạng con nhanh và dễdàng hơn so với một mạng lớn
Cải thiện việc khai thácđịa chỉ
Do mạng được phân thành các mạng con nên giúpgiảm số địa chỉ IP rác
Tối thiểu hóa ảnh hưởngtới các bộ định tuyếnbên ngoài
các bộ định tuyến bên ngoài không phải cập nhậtkhi có các thay đổi xảy ra
Phản ánh mạng vật lý Các máy chủ có thể được nhóm với nhau thành cácmạng con, giúp phản ánh chính xác hơn cách thứcchúng được tổ chức trong mạng vật lý
Tóm tắt (1/2)
Chính sách bảo mật phải được xây dựng, do đó mộtđường cơ sở cần được thiết lậpPhần mềm chống phần mềm độc hại của hãng thứ bacó thể giúp nâng cao tính bảo mậtBảo mật ứng dụng hoạt động trên phần cứngNgăn chặn mất mát dữ liệu (DLP) có thể nhận diện dữliệu quan trọng, kiểm soát và bảo vệ dữ liệu đó
Chính sách bảo mật phải được xây dựng, do đó mộtđường cơ sở cần được thiết lậpPhần mềm chống phần mềm độc hại của hãng thứ bacó thể giúp nâng cao tính bảo mậtBảo mật ứng dụng hoạt động trên phần cứngNgăn chặn mất mát dữ liệu (DLP) có thể nhận diện dữliệu quan trọng, kiểm soát và bảo vệ dữ liệu đó
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 47
Tóm tắt (2/2)
Các thiết bị phần cứng được thiết kế riêng cho bảo mậtđem lại mức độ bảo mật cao hơnHệ thống phát hiện xâm nhập được thiết kế nhằm pháthiện tấn công khi nó xảy raCông nghệ mạng có thể giúp bảo mật cho mạng
Dịch địa chỉ mạng (NAT)Điều khiển truy cập mạng (NAC)
Các phương pháp thiết kế một mạng bảo mật bao gồmKhu phi quân sựPhân chia mạng con
Các thiết bị phần cứng được thiết kế riêng cho bảo mậtđem lại mức độ bảo mật cao hơnHệ thống phát hiện xâm nhập được thiết kế nhằm pháthiện tấn công khi nó xảy raCông nghệ mạng có thể giúp bảo mật cho mạng
Dịch địa chỉ mạng (NAT)Điều khiển truy cập mạng (NAC)
Các phương pháp thiết kế một mạng bảo mật bao gồmKhu phi quân sựPhân chia mạng con
Bài 4 - Bảo mật máy chủ, ứng dụng, dữ liệu và mạng 48