An toan mang

Bảo Mật An Toàn Hệ Thống Mạng

1

I. Bảo mật thông tin: ..................................................................................................................................................... 5

1. Chính sách bảo mật .............................................................................................................................................. 5

2. Quy trình bảo mật: ................................................................................................................................................ 5

3. Kỹ thuật an toàn thông tin: .................................................................................................................................... 6

a) Anti-Virus: ........................................................................................................................................................ 6

b) Access control: .................................................................................................................................................. 6

c) Authentication: .................................................................................................................................................. 6

d) Services and protocols: ...................................................................................................................................... 7

4. Mô hình hệ thống ATTT: ...................................................................................................................................... 7

a) Thiết kế: ............................................................................................................................................................ 7

b) Phân vùng bảo mật: ........................................................................................................................................... 7

5. Kỹ thuật sử dụng: .................................................................................................................................................. 7

6. Yêu cầu: ................................................................................................................................................................ 8

7. Kết luận: ............................................................................................................................................................... 8

II. Network vulnerabilities and attacks: .......................................................................................................................... 8

1. Network vulnerabilities: ........................................................................................................................................ 8

2. Threat Capabilities—More Dangerous and Easier to Use: ...................................................................................... 8

3. Network threats: .................................................................................................................................................... 9

4. Attacks:................................................................................................................................................................. 9

5. Common attacks: ................................................................................................................................................ 10

a) Packet sniffers: ................................................................................................................................................ 10

b) Packet Sniffer Mitigation: ................................................................................................................................ 10

c) Spoofing attack: .............................................................................................................................................. 10

d) IP Spoofing Mitigation: ................................................................................................................................... 10

e) Man-in-the-Middle Attacks: ............................................................................................................................ 11

f) Replay attack: .................................................................................................................................................. 11

g) Password attack: .............................................................................................................................................. 11

h) Back door attacks: ........................................................................................................................................... 12

6. TCP/IP weakness ................................................................................................................................................ 12

a) TCP/IP Suite ................................................................................................................................................... 12

Network interface layer: .............................................................................................................................. 12

Internet layer: .............................................................................................................................................. 13

Transport layer: ........................................................................................................................................... 13

Application layer: ........................................................................................................................................ 13

Encapsulation: ............................................................................................................................................. 13

Protocol and service: ................................................................................................................................... 13

TCP Three-way handshake: ......................................................................................................................... 14

Application Programming Interfaces(APIs): ................................................................................................ 14

b) TCP/IP Attacks: .............................................................................................................................................. 14

Port scan:..................................................................................................................................................... 14

SYN Flood: ................................................................................................................................................. 15

7. TCP sequence number attack: .............................................................................................................................. 15

a) TCP/IP Hijacking: ........................................................................................................................................... 15

b) UDP attacks: ................................................................................................................................................... 15

c) ICMP attacks: .................................................................................................................................................. 15


2

d) Virus: .............................................................................................................................................................. 16

e) Worm, trojan horse và logic bomb: .................................................................................................................. 16

f) Social engineering: .......................................................................................................................................... 16

III. Cryptography: ..................................................................................................................................................... 16

1. Căn bản về mã hóa: ............................................................................................................................................. 16

2. Các thuật ngữ: ..................................................................................................................................................... 16

3. Các ví dụ về thuật toán mã hóa cổ điển: ............................................................................................................... 16

4. Phân loại mã hóa: ................................................................................................................................................ 17

5. Những nguy cơ bẻ khóa....................................................................................................................................... 18

6. Các thuật toán mã hóa ......................................................................................................................................... 18

7. Mục đích của mã hóa .......................................................................................................................................... 20

IV. PKI - Public Key Infrastructure: .......................................................................................................................... 20

1. Giới thiệu PKI: .................................................................................................................................................... 20

2. Digital signature .................................................................................................................................................. 21

3. Digital certificate: ............................................................................................................................................... 22

4. PKI planning: ...................................................................................................................................................... 23

5. Certificate Authority(CA): .................................................................................................................................. 23

6. Certificate revocation lists (CRL): ....................................................................................................................... 24

V. Authentication: ....................................................................................................................................................... 24

1. Authentication:.................................................................................................................................................... 24

2. Static password: .................................................................................................................................................. 24

3. OTP: ................................................................................................................................................................... 25

a) S/Key: ............................................................................................................................................................. 25

b) Token: ............................................................................................................................................................. 25

4. Biometric: ........................................................................................................................................................... 26

5. AAA ................................................................................................................................................................... 26

a) AAA trong Cisco:............................................................................................................................................ 26

b) Cisco ACS server: ........................................................................................................................................... 26

c) Cấu hình AAA ................................................................................................................................................ 27

VI. Network device ................................................................................................................................................... 29

1. Router: ................................................................................................................................................................ 29

2. Switch: ................................................................................................................................................................ 29

3. Firewall:.............................................................................................................................................................. 29

4. IDS/IPS: ............................................................................................................................................................. 29

5. Server: ................................................................................................................................................................ 29

6. Wireless: ............................................................................................................................................................. 30

7. VPN: ................................................................................................................................................................... 30

VII. Network infrastructure security: .......................................................................................................................... 30

1. Router: ................................................................................................................................................................ 30

2. Switch: ................................................................................................................................................................ 30

3. Firewall:.............................................................................................................................................................. 31

a) Packet filter firewall: ....................................................................................................................................... 31

b) Stateful firewall: .............................................................................................................................................. 31

c) Security level concept:..................................................................................................................................... 31

4. IDS/IPS: ............................................................................................................................................................. 31


3

5. VPN: ................................................................................................................................................................... 31

VIII. Network and application hardening: .................................................................................................................... 31

1. Hệ điều hành: ...................................................................................................................................................... 31

2. OS/NOS hardening: ............................................................................................................................................ 32

3. Filesystem: .......................................................................................................................................................... 32

4. Network hardening: ............................................................................................................................................. 33

IX. Intrusion Detection: ............................................................................................................................................. 34

1. Intrusion Detection System (IDS): ....................................................................................................................... 35

2. Kết nối monitoring Interface: .............................................................................................................................. 35

a) SPAN: ............................................................................................................................................................. 35

b) Hub: ................................................................................................................................................................ 36

c) Tap (Test Access Port): ................................................................................................................................... 36

d) NIDS Signature Types: .................................................................................................................................... 36

e) Network IDS Reactions: .................................................................................................................................. 37

3. Host-based IDS: .................................................................................................................................................. 37

4. HIDS Method of Operation: ................................................................................................................................ 37

5. HIDS Active Monitoring Capabilities: ................................................................................................................. 37

6. Passive Detection Systems: ................................................................................................................................. 37

7. Active Detection Systems:................................................................................................................................... 37

8. Signature-based and Anomaly-based IDS: ........................................................................................................... 37

9. Intrusion Detection Products: .............................................................................................................................. 37

10. Honeypots: ...................................................................................................................................................... 38

a) Commercial Honeypots: .................................................................................................................................. 38

b) Open Source Honeypots .................................................................................................................................. 38

c) Honeypot Deployment: .................................................................................................................................... 38

d) Honeypot Design: ............................................................................................................................................ 38

e) Honeypots, Ethics, and the Law: ...................................................................................................................... 38

11. Information Security Incident Response Team (SIRT). .................................................................................... 38

X. IPSec/VPN: ............................................................................................................................................................ 39

1. Bảo mật tại các tầng OSI: .................................................................................................................................... 39

2. IP Security: ......................................................................................................................................................... 39

3. Virtual Private Networks (VPNs) Ipsec: .............................................................................................................. 39

4. Security associations (SAs): ................................................................................................................................ 40

5. Security Association Database (SAD): ................................................................................................................ 40

6. Security Policy Database (SPD) .......................................................................................................................... 40

7. IPsec: Overview .................................................................................................................................................. 41

a) AH protocol: ................................................................................................................................................... 41

b) ESP protocol: .................................................................................................................................................. 43

c) Internet Key Exchange: ................................................................................................................................... 44

XI. Web Security: ..................................................................................................................................................... 45

1. Secure Sockets Layer (SSL) và Transport Layer Security (TLS): ......................................................................... 46

a) Secure Sockets Layer (SSL): ........................................................................................................................... 46

b) Transport Layer Security (TLS): ...................................................................................................................... 46

2. Secure Hypertext Transfer Protocol (HTTPS): ..................................................................................................... 47

3. Instant Messaging (IM): ...................................................................................................................................... 47


4

a) IM Security Issues: .......................................................................................................................................... 47

b) IM Applications: ............................................................................................................................................. 47

4. Vulnerabilities of Web Tools:.............................................................................................................................. 47

a) JavaScript:....................................................................................................................................................... 47

b) ActiveX:.......................................................................................................................................................... 47

c) Buffer:............................................................................................................................................................. 48

d) Cookies: .......................................................................................................................................................... 48

e) Java Applets: ................................................................................................................................................... 48

Sandbox Model: ...................................................................................................................................................... 48

f) Common Gateway Interface (CGI): ................................................................................................................. 49

g) Simple Mail Transfer Protocol (SMTP): .......................................................................................................... 50


5

I. Bảo mật thông tin:

Bảo mật thông tin là gì ?

- Physical security

- Operational security

- Management security

Mục tiêu của bảo mật thông tin:

- Phát hiện

- Ngăn chặn

- Xử lý

Bảo mật con người: Chính sách bảo mật về con người

Công nghệ:

- Anti-Virus

- Access control

- Authentication

- …

Bao trùm trong chính sách về an toàn thông tin (security policy)

1. Chính sách bảo mật

Định nghĩa:

"A security policy is a formal statement of the rules by which people who are given access to an organization's technology

and information assets must abide." RFC 2196

Cung cấp một nền tảng bảo mật chung để xây dựng hệ thống.

- Định nghĩa những hành động được và không được phép.

- Sử dụng để xác định các công cụ cần thiết cho tổ chức.

- Xác định quy trình xử lý sự cố về bảo mật thông tin

- Đề cập đến luật pháp nếu cần

2. Quy trình bảo mật:

Bao gồm 4 bước

Bước 1: Secure

Bước 2: Monitor

Bước 3: Test

Bước 4: Improve


6

Secure the Network:

- Xây dựng hệ thống bảo mật để bảo vệ hệ thống thông tin:

Chứng thực

Mã hóa

Tường lửa

Vá lỗi bảo mật

Monitor Security:

Phát hiện những sai sót trong chính sách

Đánh giá hệ thống dựa trên việc giám sát

Kiểm tra lại chính sách

Test Security:

- Tiến hành khảo sát, đánh giá toàn bộ hệ thống để kiểm tra tính hợp lý của chính sách

Improve Security:

- Sử dụng thông tin trong 2 bước trước để nâng cấp chính sách.

- Thay đổi chính sách dựa trên các điểm yếu đã được xác định.

3. Kỹ thuật an toàn thông tin:

Anti-Virus

Access control

Authentication

Services and protocols

a) Anti-Virus:

- Norton, Kasperky, Bit defender, Symantec, …

- Client – server

- Email anti-virus

- Virus signatures

- Licenses

b) Access control:

- Mandatory access control(MAC)

Cố định

Cần được định nghĩa trước

- Discretionary access control

Phân chia quyền hạn bởi người sở hữu

Dễ dàng cho việc chia sẻ tài nguyên

- Role-Based access control(RBAC)

Định nghĩa vai trò người sử dụng

Hành động, quyền hạn dựa trên vai trò

c) Authentication:

- Chứng thực dựa trên 1 trong 3 yếu tố

Something you know: mật khẩu, PIN

Something you have: token, smart card

Something you are: finger print, voice

- Các phương pháp chứng thực

Mật khẩu

CHAP

Token


7

Certificate

Kerberos

Smartcard

d) Services and protocols:

- Dịch vụ và giao thức phổ biến

Mail (SMTP, POP, POP3)

Web (HTTP, HTTPS)

Telnet

FTP

…

- Các dịch vụ và giao thức không phổ biến

RPC

NetBios

- Cần nắm rõ phương thức hoạt động của các giao thức hoạt động trong hệ thống mạng của mình

4. Mô hình hệ thống ATTT:

- Mô hình hệ thống an toàn thông tin đề cập đến việc thiết kế và triển khai hệ thống nhìn từ góc độ bảo mật.

- Bao gồm 4 lĩnh vực:

Thiết kế

Phân vùng bảo mật

Kỹ thuật sử dụng

Yêu cầu

a) Thiết kế:

- Mục tiêu của thiết kế hệ thống ATTT bao gồm:

Bảo mật

Toàn vẹn

Sẵn sàng

Trách nhiệm

b) Phân vùng bảo mật:

- Hệ thống phải được phân chia thành nhiều vùng khác nhau, phụ thuộc vào tính năng của từng vùng.

- Chính sách bảo mật được áp dụng khác nhau trên từng vùng bảo mật.

- Có 4 loại phân vùng bảo mật chính:

Internet

Intranet

Extranet

DMZ

5. Kỹ thuật sử dụng:

- 3 kỹ thuật chính:

VLAN: Phân chia người dùng (PC) thành từng nhóm tách biệt.

NAT:

- Tiết kiệm địa chỉ IP thật.

- Che dấu địa chỉ IP người sử dụng

- Một cổng ra Internet

Tunneling (VPN)

- Kết nối ảo giữa 2 hệ thống mạng

- Được mã hóa thông tin


8

6. Yêu cầu:

- Định danh tài sản

Đặt tên, mã số, …

Xác định giá trị tài sản

- Xác định các nguy cơ

Internal: Mất cắp, tham ô, hư hỏng, phá hoại, …

External: Tự nhiên: động đất, thiên tai, hỏa hoạn, …Con người: hacker, virus, …

- Đánh giá rủi ro

Xác định thiệt hại nếu rủi ro xảy ra

7. Kết luận:

- Bảo mật thông tin

- Kỹ thuật an toàn thông tin

- Mô hình hệ thống thông tin

II. Network vulnerabilities and attacks:

۞ Network vulnerabilities, threads và attacks

۞ Các kiểu tấn công thường gặp.

۞ TCP/IP weakness.

۞ Virus, worm, logic bomb

۞ Social engineering

1. Network vulnerabilities:

- Là những điểm yếu luôn tồn tại trong hệ thống mạng hoặc trong thiết bị.

- Technology:

Điểm yếu trong TCP/IP.

Điểm yếu trong hệ điều hành.

Điểm yếu trong các thiết bị mạng.

- Configuration

Không có mật khẩu.

Mật khẩu dễ đoán.

Cấu hình thiết bị mặc định.

- Policy

Thiếu các quy định trong chính sách.

Thiếu các quy trình xử lý sự cố.

Các phần mềm không được cài đặt đúng quy định

2. Threat Capabilities—More Dangerous and Easier to Use:


9

3. Network threats:

- Là những nguy cơ đối với hệ thống mạng dựa trên các điểm yếu:

Unstructured threats:

Không có kiến thức sâu rộng.

Chủ yếu là ―for fun‖ hay testing.

Vẫn có thể gây thiệt hại lớn cho hệ thống.

Structured threats:

Hiểu rõ về điểm yếu sẽ khai thác.

Có thể phát triển các công cụ để khai thác.

Nguy cơ cao.

External threats: Xuất phát từ Internet

Internal threats: Xuất phát từ nội bộ tổ chức

4. Attacks:

- Access attacks

Truy cập vào các tài nguyên không được phép

Có thể sử dụng nhiều phương pháp

Physical (dumpsters diving, snooping).

Nghe lén.

Can thiệp (bị động, chủ động).

- Modification and repudiation attacks

Thêm, xóa, sửa thông tin không được phép sử dụng

Tạo ra thông tin sai sự thật(repudiation attack)

- Denial of service attacks(DoS)

Tìm cách làm cho hệ thống bị tê liệt, bị quá tải, …

Ngăn chặn người dùng hợp lệ sử dụng hệ thống.


10

Distributed DoS sử dụng nhiều máy tính để tấn công 1 hệ thống, các máy tính được điều khiển bởi máy trung tâm

gọi là master.

5. Common attacks:

- Packet sniffers

- Spoofing attack

- Man in the middle (MITM) attack

- Replay attack

- Password attack

- Back door attacks

a) Packet sniffers:

- Packet sniffer là một phần mềm sử dụng các mạng ở chế độ promiscuous để bắt tất cả các gói tin đi đến card mạng

đó.

Có thể phát hiện mật khẩu nếu mật khẩu được truyền đi dưới dạng clear text, ví dụ các giao thức sau:

Telnet

FTP

SNMP

POP

Packet sniffers chỉ bắt được các gói tin trong cùng collision domain.

b) Packet Sniffer Mitigation:

- Để tránh packet sniffer:

Authentication—Sử dụng các phương thức chứng thực mạnh như OPT.

Switched infrastructure—Triển khai hệ thống trong môi trường switch.

Antisniffer tools—Sử dụng các phần mềm hoặc phần cứng để phát hiện các packet sniffer trên mạng.

Cryptography—Mã hóa dữ liệu khi truyền đi.

c) Spoofing attack:

- Spoofing attack là phương pháp tấn công mà hacker từ ngoài hoặc trong hệ thống giả dạng là một máy tính đã

được tin tưởng.

- 2 cách thông thường:

Hacker sử dụng dãy địa chỉ mà hệ thống tin tưởng (địa chỉ nội bộ).

Hacker sử dụng địa chỉ bên ngoài mà được hệ thống tin tưởng (ví dụ như các địa chỉ CA, microsoft, …).

- Mục tiêu của spoofing attack:

Chỉ một chiều, thường sử dụng để đưa các dữ liệu độc hại vào hệ thống.

Nếu muốn 2 chiều, hacker phải chỉnh sửa được các thông tin định tuyến của hệ thống.

d) IP Spoofing Mitigation:


11

- Các phương pháp hạn chế:

Access Phương pháp chủ yếu nhất.

RFC 2827 filtering—Sử dụng để ngăn chặn người dùng từ hệ thống tiến hành spoof hệ thống khác bằng cách

bắt buộc dữ liệu đi ra khỏi hệ thống phải có địa chỉ nguồn nằm trong dãy địa chỉ của hệ thống.

Không nên tin tưởng mà chỉ dựa vào IP address.

e) Man-in-the-Middle Attacks:

- Hacker phải bắt và đọc được gói tin chuyển trên mạng.

- Chủ yếu sử dụng các công cụ:

Packet sniffers

Routing and transport protocols

- Có thể sử dụng để:

Ăn cắp thông tin

Chiếm phiên làm việc, kết nối.

Phân tích dữ liệu

DoS

Ngăn chặn vận chuyển dữ liệu

Man-in-the-Middle Mitigation:

- Có thể loại bỏ nguy cơ tấn công này bằng phương pháp mã hóa.

f) Replay attack:

- Thu và phát lại lưu lượng mạng.

- Có thể sử dụng để:

Spoofing

DoS

- Mặt tích cực: Sử dụng để phát lại các traffic tấn công, traffic sinh ra bởi virus phục vụ cho nghiên cứu.

Replay attack mitigation:

- Có thể giảm thiểu nguy cơ bằng cách sử dụng các dấu hiệu riêng duy nhất cho mỗi kết nối (session token, session

ID, …).

g) Password attack:

- Hackers có thể tấn công vào mật khẩu người dùng theo các cách sau:


12

Brute-force attacks

Dictionary Attacks

Trojan horse programs

IP spoofing

Packet sniffers

Password Attacks Mitigation:

- Các phương pháp phòng chống:

Không sử dụng cùng mật khẩu trên nhiều máy.

Khóa account sau một số lần đăng nhập không thành công.

Không chuyển, lưu mật khẩu dưới dạng clear text. Sử dụng OTP.

Sử dụng mật khẩu mạnh bao gồm chữ cái thường, chữ cái hoa, số, ký tự đặc biệt, …

h) Back door attacks:

- Back door là một ―cổng hậu‖ cho phép hacker có thể truy cập vào hệ thống ngoài sự giám sát của người quản trị.

- Hầu hết được sử dụng sau khi đã chiếm được hệ thống.

- Có thể sử dụng các phần mềm giả dạng để cài back door.

- Có những back door cực kỳ khó phát hiện như kernel back door, login back door.

Back door attack mitigation:

- Kiểm tra hệ thống thường xuyên với các phần mềm anti rootkit.

- Không cài đặt các phần mềm lạ, không mở các email có file đính kèm, …

- Quản lý lưu lượng mạng chặt chẽ

6. TCP/IP weakness

- TCP/IP Suite

- TCP/IP Attacks

a) TCP/IP Suite

Network interface layer:

- Gửi và nhận dữ liệu từ thiết bị vật lý và thiết bị truyền dẫn

- Gồm các thiết bị phần cứng như card mạng, dây dẫn

- Sử dụng địa chỉ MAC

- Giao thức:


13

Ethernet

ATM (Asynchronous Transfer Mode)

FDDI (Fiber Distributed Data Interface)

Frame Relay

Internet layer:

- Đánh địa chỉ, đóng gói và định tuyến dữ liệu

- Giao thức:

IP(Internet Protocol)

ARP (Address Resolution Protocol)

ICMP (Internet Control Message Protocol)

IGMP (Internet Group Management Protocol)

Transport layer:

- Điều khiển luồng dữ liệu giữa 2 host.

- Kiểm tra lỗi

- Giao thức

TCP (Transmission Control Protocol)

UDP (User Datagram Protocol)

Application layer:

- Cung cấp dịch vụ và giao thức cho ứng dụng để truyền dữ liệu

- Các giao thức:

DNS

FTP

DHCP

HTTP

…

Encapsulation:

Protocol and service:

- Port:

Phân biệt các ứng dụng chạy trên host

Nằm trong layer 4 header

16 bit độ dài

- Phân loại

Well-know ports:


14

o < 1024

o Đã được quy định

Registered Ports :

o 1024 – 49151

o Đã được đăng ký

Dynamic/private ports

o 49151 – 65535

o Sử dụng tự do

TCP Three-way handshake:

Application Programming Interfaces(APIs):

- Cung cấp những interface cho người lập trình sử dụng các function có sẵn.

- Microsoft cung cấp một API để sử dụng các chức năng TCP/IP gọi là Windows Socket API.

b) TCP/IP Attacks:

- Network sniffers

- Port scans

- TCP attacks

SYN flood

TCP sequence number attack

TCP/IP hijacking

- UDP attacks

- ICMP attacks

Smurf attack

ICMP Tunneling

Port scan:

- Sử dụng công cụ để liệt kê danh sách port đang mở.


15

- Có thể xác định ứng dụng đã mở port nhờ vào tín hiệu hồi đáp của port.

- Có thể xác định các thông tin khác như version, OS, …

- Là một bước quan trọng để tấn công hệ thống

SYN Flood:

7. TCP sequence number attack:

- Sử dụng điểm yếu trong việc khởi tạo và tăng dần sequence number trong kết nối TCP.

- Ví dụ: giả sử attacker muốn giả dạng máy A để kết nối với máy B.

Attacker giả dạng máy A và send SYN packet với sequence number bất kỳ tới máy B.

Máy B trả lời cho máy A với số sequence number của mình.

Attacker không thể nhận được trả lời từ máy B nhưng có thể đoán số sequence của máy B vừa gửi để gửi ACK,

nếu thành công, máy B sẽ mở kết nối và chấp nhận gói tin do Attacker gửi.

a) TCP/IP Hijacking:

- Sử dụng tấn công để ngắt kết nối của một máy đang có kết nối với server.

- Giả dạng máy vừa mới bị ngắt kết nối để duy trì kết nối với server.

- Khá khó để thực hiện.

b) UDP attacks:

- Khai thác lỗ hổng ứng dụng sử dụng UDP

- Chủ yếu là UDP flood làm dịch vụ UDP bị tê liệt hoặc nghẽn đường truyền.

c) ICMP attacks:

- Smurf attack

Gửi ICMP với địa chỉ nguồn là máy nạn nhân và địa chỉ đích là broadcast.

Khi các máy nhận được gói ICMP, tất cả đều reply lại với địa chỉ đích là máy nạn nhân, dẫn đến việc bị DoS.

- CMP tunneling

Sử dụng ICMP để ―cõng‖ dữ liệu.


16

Có thể dùng để truyền virus, backdoor.

d) Virus:

- Những đoạn code nhỏ gắn vào các ứng dụng, tập tin và thực thi khi các ứng dụng, tập tin đó thực thi.

- Có thể tự nhân bản.

- Chủ yếu là phá hoại hệ thống.

- Các kiểu virus

Stealth virus: Cố gắng che dấu chính nó bằng cách can thiệp vào các chương trình đọc file để bỏ qua nó khi đọc.

Polymorphic virus: Cố gắng thay đổi chính nó khi nhân bản để tránh bị phát hiện.

Armored virus: sử dụng các thủ đoạn để cho việc phân tích chúng trở nên khó khăn.

…

e) Worm, trojan horse và logic bomb:

Worm là một đoạn chương trình hoàn chỉnh sử dụng các lỗ hổng bảo mật để phát tán chính nó.

Trojan horse là các chương trình độc hại nhưng được lập trình vẻ bề ngoài như những chương trình bình thường.

Logic bomb là chương trình thực hiện các hành vi phá hoại khi một sự kiện nào đó xảy ra trên máy tính.

f) Social engineering:

- Rất nguy hiểm, khó phòng ngừa

- Không cần sử dụng kiến thức tin học

- Ví dụ:

Gọi điện thoại

Email

…

III. Cryptography: ۞ Căn bản về mã hóa

۞ Các thuật toán mã hóa

۞ Hashing

۞ Symmetric

۞ Asymmetric

۞ Mục đích của mã hóa

1. Căn bản về mã hóa:

- Lịch sử

Hơn 4000 năm trước.

Bắt nguồn từ Ai Cập cổ đại.

Bắt đầu được quan tâm và phát triển từ thế kỷ 19.

Có sự tranh cãi về việc cho phép hay không cho phép sử dụng mã hóa trong công cộng.

2. Các thuật ngữ:

Algorithms

Alice, Bob

Symmetric, Asymmetric

Cipher, Dycipher

Digest

Encrypt, Decrypt, Hashing

Plain text, cyber text

Key

3. Các ví dụ về thuật toán mã hóa cổ điển:


17

Caesar cipher

Substitution cipher

Playfair cipher

Homophonic cipher

Polyalphabetic cipher

Transposition cipher

Steganography cipher

Vigenère Ciphers

Super cipher (hybrid)

4. Phân loại mã hóa:

- Vật lý (physical)

Substitution ciphers

Transposition ciphers

Steganography

Hybrid systems

- Toán học(mathematical)

- Lượng tử (quantum)

Substitution cipher:

o Thay thế 1 ký tự bằng một ký tự khác

o Dễ phát hiện và giải mã

o Ví dụ:

- Chạy 25 cây số rẽ trái, lô 10, đường số 3

- Ehạy 25 eây tố rẽ trái, lô 10, đường tố 3

Transposition cipher

o Thay đổi, xáo trộn thứ tự thông điệp

o Vẫn dễ bị phát hiện, giải mã

o Ví dụ

- Chạy 25 cây số rẽ trái, lô 10, đường số 3

- hạyC 25 âyc ốs ẽr ráit, ôl 10, ườngđ ốs 3

Steganography cipher:

o Ẩn thông điệp trong một thông điệp khác.

o Có thể ẩn thông điệp trong:

- Tranh ảnh

- Tiếng nói

- …

o Phức tạp hơn, nhưng vẫn dễ bị phát hiện, giải mã

o Ví dụ

- Chạy 25 cây số rẽ trái

- Chạy alo nói 25 cười khóc cây mười hai số không được rẽ không biết trái

Hybrid

o Kết hợp 2, hoặc cả 3 phương pháp trên.

o Hay được sử dụng

o Khá phức tạp để giải mã

Toán học (mathematical)


18

o Sử dụng các công thức toán học để xử lý thông điệp

o Thông thường rất phức tạp

o Ngày càng phát triển

o Ứng dụng quan trọng nhất là hashing

Lượng tử (Quantum)

o Một công nghệ mới, hiện đại

o Sử dụng hạt photon để truyền dữ liệu với thứ tự và khoảng cách đã quy định sẵn.

o Nếu hạt photon bị nghe lén hoặc bị thay đổi, thông điệp sẽ bị sai lệch

o Cực kỳ đắt tiền và chưa được phổ biến

5. Những nguy cơ bẻ khóa

- Frequency analysis: Cố gắng tìm kiếm những đoạn lặp lại và đoán. Ví dụ: the, and, that, it, is thường lặp lại trong

tiếng Anh

- Algorithm error: Xuất hiện trong quá trình sử dụng thuật toán để mã hóa

- Brute force attack: Tấn công kiểu vét cạn

- Human error: Do con người gây ra.

- Social engineering: Ko sử dụng kiến thức kỹ thuật

6. Các thuật toán mã hóa

- Symmetric

- Asymmetric

- Hashing

Symmetric

- Các thuật ngữ sử dụng chính

o Plaintext

o Ciphertext

o Encryption algorithm

o Secret key

o Decryption algorithm

o Alice, Bob

- Alice muốn gửi một

thông điệp cho Bob

o Alice và Bob quy định trước một khóa bí mật.

o Alice mã hóa thông điệp bằng khóa bí mật

o Alice gửi thông điệp cho Bob

o Bob giải mã thông điệp bằng khóa bí mật.

- Công thức chung

o Gọi khóa bí mật là K, thuật toán mã hóa là E, thuật

o toán sử dụng khóa K là EK,thuật toán giải mã là DK,

o thông điệp là P, thông điệp đã được mã hóa là C, ta có:

- C=EK(P)

- P=DK(C)

Block Cipher

- Chia thông điệp ra thành những khối nhỏ và mã hóa riêng lẻ cho từng khối.

- Các thuật toán block cipher

DES (Data Encryption Standard)


19

3DES

AES

Blowfish

Stream cipher

- Mã hóa từng bit một trong luồng dữ liệu.

- Giả sử thông điệp là P, khóa là K, thông điệp đã mã hóa là C. Pi, Ki,Ci là bit thứ i trong thông điệp, khóa và thông

điệp đã mã hóa. Vậy thì

Ci = Pi XOR Ki

Pi = Ci XOR Ki

Message authentication codes

- Hash function

Mã hóa 1 chiều

Một thông điệp cho ra 1 kết quả mã hóa

Sử dụng để xác nhận thông điệp không bị sửa đổi trong quá trình truyền

Các thuật toán: MD5, SHA-1

Asymmetric

- Còn gọi là public key cryptography

- Quá trình mã hóa và giải mã sử dụng 2 khóa khác nhau

- Hai khóa luôn tồn tại một cặp, mã bằng khóa này thì giải mã bằng khóa kia và ngược lại.

- Ví dụ:

o Alice muốn gửi một thông điệp cho Bob

o Alice sử dụng public key của Bob để mã hóa thông điệp

o Alice gửi thông điệp

o Bob sử dụng private key của mình để giải mã thông điệp.

RSA

- Thuật toán cho public key cryptography

- Sinh ra cặp khóa public key và private key

- Được Ron Rivest, Adi Shamir, Leonard Aldeman sáng chế, RSA là viết tắt của 3 tên.

- Sử dụng rộng rãi ngày nay.

Cách tính:

- Chọn 2 số nguyên tố lớn ngẫu nhiên p và q khác nhau

- Tính n = pq

- Tính φ(n) = (p-1)(q-1)

- Chọn một số e sao cho 1 < e < φ(n) và e, φ(n) là số nguyên tố cùng nhau.

- Số e chính là public key.

- Tính số d sao cho de và 1 là 2 số đồng dư module n.

- Hay de ≡ 1 (mod(φ(n))

- Số d chính là private key.

- Public key e và private key d phải đi kèm với modulus n.

- Giả sử Bob sinh ra cặp public key và private key, Bob gửi public key cho Alice (n,e).

- Alice muốn gửi thông điệp cho Bob.

- Giả sử thông điệp của Alice có giá trị là m (bỏ qua trường hợp padding)

- Alice mã hóa thông điệp theo công thức: c=me mod n

- Alice gửi c cho Bob

- Bob nhận được c, giải mã ra thông điệp m qua công thức m=cd mod n


20

Chứng minh

- Sử dụng định lý fermat nhỏ:

Nếu p là một số nguyên tố, thì với bất kỳ số nguyên a thì ap-a chia hết cho p hay ap và a đồng dư modulus p

(ap ≡a (mod p))

Nếu p là một số nguyên tố và a là số nguyên tố cùng nhau với p thì ap-1-1 sẽ chia hết cho p hay ap-1 ≡ 1 (mod

p).

- Các công thức modulo

Nếu a1 ≡ b1 (mod n) và a2 ≡ b2 (mod n) thì :

o (a1 + a2) ≡ (b1 + b2) (mod n)

o (a1 - a2) ≡ (b1 – b2) (mod n)

o (a1a2) ≡ (b1b2) (mod n)

a ≡ b (mod n) ↔ ma ≡ mb (mod n)

Diffie-Hellman:

- Được phát triển bởi WhitField Diffie và Martin Hellman năm 1976.

- Là thuật toán sử dụng để trao đổi khóa

- Sử dụng nhiều trong PKI và VPN.

- Diffie Hellman Key Exchange:

7. Mục đích của mã hóa

۞ Bảo mật (confidentiality)

۞ Toàn vẹn (integrity)

۞ Chứng thực (authentication)

۞ Không thể khước từ (non-repudiation)

IV. PKI - Public Key Infrastructure: ۞ Giới thiệu PKI

۞ Digital signatures

۞ Digital certificates

۞ PKI planning and requirements analysis

۞ Certification authorities

1. Giới thiệu PKI:

- Là một nền tảng bảo mật


21

- Đảm bảo sự tin tưởng khi truy cập và trao đổi thông tin

- Sử dụng trong nhiều lĩnh vực

PKI cung cấp:

- Authentication

- Integrity

- Confidentiality

- Non-repudiation

PKI có thể sử dụng:

- Bảo mật việc trao đổi thông tin

- Bảo mật dịch vụ Web

- Thiết lập VPN

- …

Các khái niệm:

- Public and secret key: RSA

- Digital signatures: Sử dụng để xác nhận người gửi và xác nhận tính toàn vẹn của thông điệp

- Digital certificates: Định danh

- Certificate Revocation List (CRL)

Các giao thức

- X.509 Certificates

- PKI for X.509 certificates (PKIX)

- Public Key Cryptography Standard (PKCS)

- Secure socket layer (SSL)

- VPN – IPSec

PKI functions

- Registration

- Certificate management

o Certificate Issuance

o Certificate revocation

- Key life cycle management

2. Digital signature

- Tương tự handwritten signature: Khó tìm thấy 2 người có cùng 1 chữ ký

- Là một ―electronic method‖ để ―ký nhận‖ một thông điêp điện tử mà:


22

o Tin cậy

o Thuận tiện

o An toàn

- Mục đích của chữ ký điện tử:

o Chứng thực người gửi thông điệp

o Xác định sự toàn vẹn của thông điệp

- Tính chất

o Xác định người ký với tất cả các trạng thái của thông điệp (ngày, tháng, nội dung, …)

o Thông điệp không được thay đổi sau khi ―ký‖

o Chữ ký số không thể chuyển từ thông điệp này sang thông điệp khác

- Các yêu cầu

o Liên quan đến thông điệp được ký (hashing)

o Chứa thông tin ―đặc điểm‖ của người gửi(private key)

o Dễ dàng để tạo ra chữ ký và kiểm tra chữ ký.

- Mục tiêu bảo mật của chữ ký điện tử

o Chứng thực: xác định người gửi

o Không thể khước từ: chỉ có thể là người gửi.

o Bảo đảm tính toàn vẹn.

Digital envelop:

- Sử dụng sesion encryption key

- Mã hóa toàn bộ thông điệp

- Đảm bảo thêm tính bí mật (confidentiality)

3. Digital certificate:

- Chứng chỉ số, chứng nhận cho một tổ chức, cá nhân, hay thiết bị

- Chứa các thông tin như tên công ty, serial number, tên cá nhân, …

- Được chứng nhận bởi một tổ chức thứ 3(third party) gọi là CA

- Certificate format

o X.509

o Simple public key infrastructure (SPKI)

o Pretty good privacy (PGP)

o IPSec

o Attribute

- Phân loại

o Identity certificates

CA certificates

End-entity certificates

o Attribute certificates

X.509

- The structure of a X.509 v3 digital certificate is as follows:

- Certificate

o Version

o Serial Number

o Algorithm ID

o Issuer

o Validity


23

Not Before

Not After

o Subject

o Subject Public Key Info

Public Key Algorithm

Subject Public Key

o Issuer Unique Identifier (Optional)

o Subject Unique Identifier (Optional)

o Extensions (Optional)

...

- Certificate Signature Algorithm

- Certificate Signature

4. PKI planning:

- Kế hoạch xây dựng một PKI cần bao gồm

Bước 1: xây dựng kế hoạch

Bước 2: thử nghiệm

Bước 3: Hoạt động\

Bước 1: lập kế hoạch

- Lấy yêu cầu từ công việc kinh doanh

- Xây dựng dự án và các kế hoạch cho dự án

- Xây dựng mô hình kỹ thuật

- Xây dựng các kế hoạch dự phòng, các kế hoạch khắc phục sự cố.

Bước 2: thử nghiệm

- Đào tạo quản trị mạng

- Cài đặt các PKI server

- Hoạt động và thử nghiệm

o Xây dựng database

o Ứng dụng liên quan

- Phát triển và kiểm tra

o Chu trình quản lý người dùng

o Chu trình kiểm tra hoạt động các server

- Chuẩn bị help desk và support

Bước 3: Hoạt động

- Đưa các ứng dụng vào hoạt động

- Đào tạo người dùng

- Giám sát.

5. Certificate Authority(CA):

- Là tổ chức được tin tưởng để tạo, phân phối, thu hồi chứng chỉ số.

- ―Công An‖ ?

- Trách nhiệm của CA

o Đăng ký: cho phép người dùng đăng ký cấp CA. ðăng ký thông thường dưới format Certificate request.

o Chứng nhận: Xác nhận thông tin của người đăng ký.

o Tạo certificate: Sinh ra CA và xác nhận CA

o Phân phối certificate: phân phối cho người sử dụng ,lưu giữ,backup


24

o Thu hồi certificate: Thu hồi certificate nếu cần thiết. ðưa ra CRL.

6. Certificate revocation lists (CRL):

- Danh sách các certificate đã bị thu hồi.

- Một số lý do thu hồi:

Key compromise

CA compromise

Có sự thay đổi về người dùng

Bỏ hoặc thay thế

Ngừng hoạt động

Tạm dừng

Unspecified

- CA phải publish CRL cho các tổ chức có đăng ký nhận.

- Ngoài ra, có thể sử dụng OCSP (Online Certificate Status Protocol) để kiểm tra danh sách các revoked certificate.

V. Authentication:

۞ Authentication

۞ Static

۞ One-time password (OTP)

۞ Biometric

۞ AAA

1. Authentication:

- Chứng thực là một quá trình định danh một đối tượng.

- Có thể dựa trên 4 yếu tố:

o What you know: mật khẩu, mã khóa, …

o What you have: token, smart card, …

o What you are: vân tay, giọng nói, …

o Where you are: nơi sử dụng để chứng thực, nơi đã được tin cậy, …

- Có thể kết hợp các yếu tố với nhau:

o Two factor authentication: token + PIN

2. Static password:

- Password là một đoạn thông tin mà gắn liền với một đối tượng, thực thể nào đó với mục đích là định danh cho đối

tượng, thực thể đó.


25

- Thông thường được hệ thống lưu trong password file:

o /etc/shadow

o C:\WINDOWS\system32\config\SAM

- Mật khẩu phải được lưu dưới dạng one-way hashing.

Password attack:

- Hackers có thể tấn công vào mật khẩu người dùng theo các cách sau:

Brute-force attacks

Dictionary Attacks

Trojan horse programs

IP spoofing

Packet sniffers

Social engineering

Password Attacks Mitigation:

Các phương pháp phòng chống:

- Không sử dụng cùng mật khẩu trên nhiều máy.

- Khóa account sau một số lần đăng nhập không thành công.

- Không chuyển, lưu mật khẩu dưới dạng clear text. Sử dụng OTP.

- Sử dụng mật khẩu mạnh bao gồm chữ cái thường, chữ cái hoa, số, ký tự đặc biệt, …

3. OTP:

- One-time password là mật khẩu mà sẽ không còn giá trị nếu nó đã được sử dụng.

- Thông thường sử dụng kỹ thuật challenge-response.

- S/Key, token.

a) S/Key:

- Là một danh sách one-time password được liệt kê sẵn và được tạo ra bởi S/Key Hash function.

- Mỗi password sử dụng 1 lần

- Được gửi đi trên mạng dưới dạng clear text

- Bao gồm 3 thành phần chính

Client: nơi người dùng đăng nhập.

Host: xử lý đăng nhập của người dùng.

Password calculator: tạo ra danh sách mật khẩu.

b) Token:

- Challenge-response

Token card và server chứa cùng một mã khóa

Token server sinh chuỗi ngẫu nhiên và gửi cho client


26

Client nhập chuỗi ngẫu nhiên vào token card

Token card dùng mã khóa để mã hóa hoặc hash chuỗi ngẫu nhiên, xuất kết quả cho client

Client gửi kết quả cho server

Server mã hóa hoặc hash chuỗi ngẫu nhiên và so sánh

- Time-based

Client và server đồng bộ thời gian bắt đầu

Client và server có cùng thuật toán và mã khóa

Trong cùng 1 khoảng thời gian, client và server có cùng password

4. Biometric:

- Sử dụng dấu hiệu sinh học để định danh.

- Đòi hỏi thiết bị phức tạp.

- Rất an toàn

- Ví dụ: Vân tay, giọng nói, tròng mắt, khuôn mặt, cách gõ phím, …

5. AAA

- Authentication

Who are you?

―I am user student and my password validateme proves it.‖

- Authorization

What can you do? What can you access?

―I can access host 2000_Server with Telnet.‖

- Accounting

What did you do? How long did you do it? How often did you do it?

―I accessed host 2000_Server with Telnet 15 times.‖

a) AAA trong Cisco:

b) Cisco ACS server:

- Sản phẩm của Cisco

- Cung cấp dịch vụ AAA cho các AAA client

- Giúp quản lý tập trung.


27

- Quản lý thuận tiện (thêm, xóa, sửa)

- Sử dụng cả 2 giao thức RADIUS và

- TACACS+

- Có thể kết hợp với token server

- Cấu hình ACS server:

-

c) Cấu hình AAA

- Cấu hình AAA trên Cisco router

- Enable AAA:

router(config)# aaa new-model

tacacs-server Commands

- router(config)# tacacs-server key keystring

o router(config)# tacacs-server key 2bor!2b@?

- router(config)# tacacs-server host ipaddress

o router(config)# tacacs-server host 10.1.2.4

- router(config)# tacacs-server host ipaddress key keystring

o router(config)# tacacs-server host 10.1.2.4 key 2bor!2b@?

RADIUS Server Command:

- router(config)# radius-server key keystring

o router(config)# radius-server key 2bor!2b@?

- router(config)# radius-server host {host-name | ipaddress}

o router(config)# radius-server host 10.1.2.4

- router(config)# radius-server host ipaddress key keystring

o router(config)# radius-server host 10.1.2.4 key 2bor!2b@?

AAA Configuration Commands

- router(config)# aaa authentication {login | enable default | arap | ppp | nasi} {default | list-name} method1

[method2 [method3 [method4]]]

- router(config)# aaa authorization {network | exec | commands level | reverse-access} {default | list-name} {if-

authenticated | local | none | radius | tacacs+ | krb5-instance}

- router(config)# aaa accounting {system | network | exec | connection | commands level}{default | list-name}

{start-stop | wait-start | stop-only | none} [method1 [method2]]

Authentication proxy

- Quy định chính sách cho từng người sử dụng

- Sử dụng telnet, HTPP, FTP, HTTPS để kích hoạt authentication.

Hoạt động của authentication proxy

- User khởi tạo traffic telnet, http, https, ftp

- Proxy (router) kích hoạt authentication proxy. Kiểm tra user đã được chứng thực chưa.

- Nếu user chưa được chứng thực, proxy sẽ trả lời cho user một màn hình đăng nhập

- User cung cấp username, password

- Proxy kiểm tra username, password qua AAA server. Download ACL và hướng người dùng đến URL mong muốn

Specify Authentication Protocols:

- Router(config)# aaa authentication login default method1 [method2]

Có thể sử dụng nhiều phương thức chứng thực

Ví dụ: TACACS+, RADIUS, or both

- Router(config)# aaa authentication login default group tacacs+


28

- Router(config)# aaa authorization auth-proxy default method1 [method2]

- Sử dụng auth-proxy để kích hoạt chức năng authentication proxy

- Các phương thức chứng thực: TACACS+, RADIUS, or both

- Router(config)# aaa authorization auth-proxy default group tacacs+

- Cấu hình TACACS+ server:

Router(config)# tacacs-server host ip_addr

- Cấu hình địa chỉ IP của tacacs server:

Router(config)# tacacs-server key string

- Cấu hình key

Router(config)# tacacs-server host 10.0.0.3

Router(config)# tacacs-server key secretkey

- Cấu hình RADIUS server:

Router(config)# radius-server host ip_addr

- Cấu hình địa chỉ IP của RADIUS server:

Router(config)# radius-server key string

- Cấu hình khóa:

Router(config)# radius-server host 10.0.0.3

Router(config)# radius-server key secretkey

- Cấu hình HTTP server:

Router(config)# ip http server

- Enables the HTTP server

Router(config)# ip http authentication aaa

- Cấu hình HTTP server authenticate qua AAA

- Proxy sử dụng HTTP server để chứng thực người dùng

Router(config)# ip http secure-server

- Enables the HTTPS server

Router(config)# ip http server

Router(config)# ip http authentication aaa

- Đặt các Timers:

Router(config)# ip auth-proxy {inactivity-timer min | absolute-timer min}

Thời gian tối đa lưu giữ session khi không có hoạt động (default = 60 minutes)

Thời gian tối đa của một session (default = 0 minutes)

- Định nghĩa các rules:

Router(config)# ip auth-proxy name auth-proxy-name {ftp | http | telnet} [inactivity-time min] [absolute-

timer min][list {acl | acl-name}]

- Tạo một authorization proxy rule:

Router(config-if)# ip auth-proxy auth-proxy-name

- Đưa authorization proxy rule vào 1 interface

Để chứng thực traffic đi ra ngoài, áp rule vào inside inside interface

Để chứng thực traffic đi vào, áp vào outside interface

Router(config)# ip auth-proxy name aprule http

Router(config)# interface ethernet0

Router(config-if)# ip auth-proxy aprule

- Sử dụng ACL trong rules:

Router(config)# ip auth-proxy name auth-proxy-name http list {acl-num | acl-name}


29

- Creates an authorization proxy rule with an access list

Router(config)# ip auth-proxy name aprule http list 10

Router(config)# access-list 10 permit 10.0.0.0 0.0.0.255

Router(config)# interface ethernet0

Router(config-if)# ip auth-proxy aprule

VI. Network device

Router, Switch, Firewall, Server, IDS/IPS, Wireless, VPN.

1. Router:

- Hoạt động ở lớp 3 mô hình OSI

- Có nhiệm vụ định tuyến gói tin

- Trung tâm của các mạng

- Có khả năng trao đổi thông tin định tuyến

- Có khả năng lọc gói tin

- Tạo broadcast domain

2. Switch:

- Hoạt động ở tầng 2 mô hình OS

- Có nhiệm vụ forward frame

- Tạo collision domain

3. Firewall:

- Quản lý và điều khiển traffic giữa 2 hay nhiều

mạng

- Có thể hoạt động từ tầng 2 đến tầng 7 mô hình OSI

- Chủ yếu phân làm 3 loại

Appliance-based firewall

Server-based firewall

Integrated firewall

4. IDS/IPS:

- Hệ thống phát hiện và chống xâm nhập

- Phát hiện dựa trên signature và abnormal.

- Host-based và network-based

5. Server:

- Máy tính cấu hình mạnh, chạy ổn định

- Có khả năng chạy 24/7 trong thời gian dài


30

- Có khả năng chịu lỗi cao

- Có khả năng hot-swap

- Có thể chạy các hệ điều hành riêng biệt

6. Wireless:

- Access Point

- Client

7. VPN:

- Kết nối riêng tư trên môi trường Internet

- Có các mô hình

Remote access

Site to site

- Sử dụng các giao thức lớp 2,3 như IPSec, GRE, …

VII. Network infrastructure security:

Router, Switch, Firewall, IDS/IPS, VPN.

1. Router:

- Đặt mật khẩu truy cập

- Áp dụng access list trên các cổng truy cập

- Loại bỏ các TCP, UDP small service

- Loại bỏ các ICMP không cần thiết

- Loại bỏ source routing

- Chứng thực cho routing update

2. Switch:


31

- Sử dụng STP (spanning tree protocol)

- Đặt mật khẩu truy cập

- Chia VLAN

- Sử dụng port security

3. Firewall:

- Packet filter firewall

- Stateful firewall

- Security level concept

a) Packet filter firewall:

- Lọc dựa trên thông tin trên từng gói tin

- Thông tin có thể là địa chỉ IP, port, cờ, …

- Nặng nề nếu số lượng rules lớn

- Không quản lý được connection

b) Stateful firewall:

- Lưu giữ và quản lý connection

- Quyết định dựa trên thông tin connection

- Linh động và an toàn

c) Security level concept:

- Mỗi interface được gán một security level

- Traffic đi từ security level cao đến security evel thấp thì được phép mặc định

- Traffic đi từ security level thấp không thể đi qua security level cao mặc định

- Không có traffic đi giữa 2 interface có cùng security level.

4. IDS/IPS:

- Detection

o Dựa trên signature

o Dựa trên hành động bất thường

- Prevention

o Bị động: gửi các gói tin ngắt kết nối

o Chủ động: ngăn chặn traffic đi qua

- Reaction

o Sau khi phát hiện có thể ngăn chặn luôn nguồn tấn công hoặc tách rời hệ thống mạng bị tấn công.

5. VPN:

- Remote access: Người dùng từ xa kết nối với hệ thống mạng

- Site to site: Các hệ thống mạng kết nối với nhau

- Transport mode: Sử dụng header cũ

- Tunnel mode: Tạo một header mới thay thế header cũ

VIII. Network and application hardening: ۞ OS/NOS.

۞ Filesystem

۞ Network hardening

۞ Network service

1. Hệ điều hành:

Có nhiệm vụ:

- Nhận input từ input device

- Xử lý

- Xuất output ra các output device

- Quản lý dữ liệu

- Quản lý các thiết bị ngoại vi


32

Hệ điều hành mạng:

- Có thêm chức năng:

o Kết nối máy tính với nhau

o Bổ sung các dịch vụ mạng

2. OS/NOS hardening:

- Chỉnh sửa các cấu hình mặc định nhằm mục đích làm cho hệ điều hành an toàn hơn

- Loại bỏ các dịch vụ

- Vá lỗi

- Các nguy cơ

o Tấn công

o Hoạt động sai

o Lỗi

- Hướng dẫn:

o Loại bỏ các dịch vụ không cần thiết

o Cài đặt các cơ chế mật khẩu mạnh, loại bỏ các user không cần thiết.

o Hạn chế administrator account

o Hạn chế số lần đăng nhập sai

o Theo dõi các tin tức cập nhật mới nhất

o Lưu lại các hoạt động của các user

o Sao lưu hệ thống một cách định kỳ

o Lưu giữ thông tin của các bản sao cũng như các quá trình cập nhật

3. Filesystem:

- Lưu giữ dữ liệu và cho phép các ứng dụng ruy cập dữ liệu

- Phân quyền và điều khiển truy cập đến dữ liệu

o Phân quyền đọc, ghi, xóa, sửa

o Phân quyền trên user, group

- Hướng dẫn:

o Tạo các nhóm người dùng khác nhau

o Phân quyền dựa trên nhóm

o Một user phải thuộc 1 nhóm người dùng

o Hạn chế tối đa quyền thực thi và quyền ghi cho các ứng dụng quan trọng

o Ngăn cấm truy cập đến các file hệ thống

o Unix:

Không đặt quyền ghi cho người dùng không phải owner nếu ko cần thiết

Mount filesystem dưới dạng readonly và nosuid

- NT: Không đặt quyền ghi cho nhóm everyone

- Đặt thuộc tính immutable cho các file kernel

- Đặt quyền append cho log file

- Chú ý về vấn đề thừa kế quyền khi đặt quyền cho các thư mục

- Mã hóa dữ liệu:

o Một số filesystem có hỗ trợ mã hóa dữ liệu

o Mã hóa dữ liệu có lợi trong trường hợp:

Cơ chế phân quyền không đầy đủ

Không hỗ trợ các chức năng chia sẻ dữ liệu

o Mã hóa đòi hỏi hệ thống rất nhiều tài nguyên


33

- Cập nhật:

o Theo dõi hoặc có cơ chế cập nhật bản vá lỗi nhanh nhất

o Lựa chọn những bản cập nhật đúng đắn nhấ

o Triển khai những hệ thống mới với bản vá lỗi sau cùng.

4. Network hardening:

- Tăng cường bảo mật cho hệ thống mạng

o Các thiết bị

o Các dịch vụ

- Firmware update:

o Cập nhật firmware cho các thiết bị mạng.

o Firmware do nhà cung cấp phát hành

o Thận trọng khi cập nhật firmware

- Router configuration:

o Lưu giữ các tập tin cấu hình của router và các thiết bị mạng khác ở nơi an toàn

o Cấu hình thiết bị mang những tên có nghĩa

o Cấu hình miêu tả cho từng interface

o Chỉ rõ bandwidth trên mỗi interface

o Tắt SNMP nếu không cần thiết

o Tránh đặt password và tên dễ đoán

o Ghi lại các trạng thái của interface, events, debug

o Hạn chế traffic bằng ACL

- ACL:

o Trên filesystem: Phân quyền người dùng đối với dữ liệu

o Trên network: Quản lý và lọc traffic đi trên mạng

o Xuất phát từ security policy

o Thông thường là packet filtering

- Packet filtering:

o Ngăn chặn hay cho phép từng gói tin đi qua thiết bị

o Dựa vào nội dung packet (< layer 4) để quyết định

- Hướng dẫn ACL:

o Luôn luôn để deny any any tại cuối bộ rules Xây dựng các luật căn bản về chống spoofing

o Chỉ rõ ràng thông tin về dịch vụ và máy chủ phục vụ dịch vụ.

- Dịch vụ:

o Dịch vụ thừa có thể làm hao tốn tài nguyên và là nguy cơ bảo mật

o Kiểm tra và loại bỏ các dịch vụ không cần thiết.

o Các nguy cơ từ các dịch vụ: RPC, NFS, HTTP, SMTP, Bootstrap

o Các nguy cơ trên Cisco: CDP, TCP/UDP small server, Finger, HTTP, Bootp, IP source routing, Proxy

ARP, …

- Application hardening: HTTP, Mail, FTP, DNS, File server, DHCP, Data repositories, Directory services

- HTTP server:

o Nguy cơ lớn nhất

o Thiết kế ra với mục đích dễ dàng truy cập hơn là bảo mật

o Nguy cơ từ nhiều phía

OS

Service


34

Website

o Hướng dẫn

Đặt HTTP server nằm trong DMZ

Loại bỏ các dịch vụ

Logging

Sử dụng các công cụ bảo vệ

Mã hóa và chứng thực

- E-Mail server:

o Nguy cơ đến nhiều từ nội dung email

Virus

Script embedded

Flash

…

o Bomb mail, spam mail

Loại bỏ chức năng open relay

o Hướng dẫn:

Sử dụng phần mềm mail server mới nhất

Sử dụng mail gateway giữa internal và external

Cài đặt các anti virus

Kiểm tra các tập tin đính kèm

Sử dụng các phương pháp kiểm tra nội dung mail

- FTP:

o Truyền dữ liệu dưới dang clear text

o FTP server có thể bị lỗi

o Hướng dẫn:

Hạn chế sử dụng trong môi trường công cộng

Thay đổi port mặc định

Cập nhật FTP server thường xuyên

Thay thế bằng SFTP nếu cần thiết

- DNS:

o Phân giải địa chỉ thành IP

o Có thể làm ngược lại

o Nguy cơ lớn nhất là spoofing

o Các nguy cơ khác như: DNS cache poisoning

o Hướng dẫn:

Update phiên bản cuối cùng của DNS server

Hạn chế zone transfer

Sử dụng stateful firewall

IX. Intrusion Detection: ۞ Intrusion detection system

۞ Host-based và network-based IDS

۞ Active detection và passive detection

۞ Honey pot

۞ Security incident response teams


35

1. Intrusion Detection System (IDS):

- Phát hiện các hành động nguy hại đến hệ thống

o Phát hiện và ngăn chặn tấn công

o Hướng dẫn việc tìm nguyên nhân khi tấn công đã được khắc phục

- Ý nghĩa của IDS:

o Phát hiện và ngăn chặn tấn công ngay cả khi các thiết bị bảo mật khác không ngăn chặn được

o Bổ sung thêm chức năng bảo vệ hệ thống của một hệ thống mạng.

- Negatives and Positives:

o Các hoạt động đúng đắn của IDS

True positives

True negatives

o False negatives: IDS không phát hiện được tấn công

o False positives: IDS phát hiện tấn công sai (traffic bình thường)

- Xử lý các hoạt động sai của IDS:

o False negatives

Bổ sung IDS để phát hiện nhiều tầng, rộng rãi hơn

Cập nhật IDS thường xuyên

o False positives: Tinh chỉnh các dấu hiệu nhận biết của IDS (Signature)

- Types of IDS:

o Network-based (NIDS)

Giám sát traffic toàn mạng

Phát hiện tấn công kịp thời

o Host-based (HIDS)

Giám sát hoạt động trên host

Có khả năng giám sát chi tiết hơn trên host

- Network-based IDS:

o Mục đích là giám sát toàn bộ các hoạt động trên mạng

o Phân tích tất cả traffic đi qua

o Thông thường có 2 card mạng

Một hoạt động ở chế độ promiscuous để lắng nghe traffic

Một sử dụng để thông báo, quản trị, …

o Là kiểu IDS được sử dụng nhiều nhất

- Vị trí của IDS:

o Các vị trí trọng yếu, có các tài sản giá trị

o Thông thường

Ngay sau firewall

Trong DMZ

Trong vùng chứa các server quan trọng

Trong vùng network làm việc tập trung

2. Kết nối monitoring Interface:

- Kết nối với Switch Port Analyzer (SPAN) hoặc chức năng tương đương

- Kết hợp Hub với switch

- Sử dụng taps kết hợp với switch

a) SPAN:

- Cho phép tất cả traffic đi qua switch đều được copy sang port monitor.


36

- Thông thường được sử dụng để phục vụ sniffer hoặc NIDS

- Limitations of SPAN:

o Hiệu suất hệ thống

o Số lượng SPAN port hạn chế

b) Hub:

- Thiết bị forward dữ liệu ra tất cả các port

- Chỉ cần giám sát tại một port

c) Tap (Test Access Port):

- Tạo ra port access cho traffic giữa 2 thiết bị bất kỳ

- Có thể nghe tất cả các loại traffic, kể cả traffic lỗi, …

d) NIDS Signature Types: - Signature-based IDS


37

- Port signature

- Header signatures

e) Network IDS Reactions:

- TCP resets

- IP session logging

- Shunning or blocking

3. Host-based IDS:

- Sử dụng để bảo vệ những server quan trọng

- Phần mềm cài đặt trên hệ thống cần được bảo vệ

- Phát hiện tấn công bằng cách phân tích syslogs, resource, network và các hoạt động khác

- Có thể làm giảm hiệu suất của hệ thống

4. HIDS Method of Operation:

- Phân tích logs (system logs, event logs, security logs, syslog)

- Giám sát file checksums để phát hiện thay đổi Sử dụng các signature đơn giản

- Phân tích và kiểm tra các yêu cầu xin tài nguyên của ứng dụng trước khi cấp phát

- Giám sát các system processes để phát hiện bất thường

5. HIDS Active Monitoring Capabilities:

- Ghi lại các sự kiện

- Thông báo đến người quản trị

- Hủy kết nối, đăng nhập người dùng

- Khóa tài khoản

- Advantages of Host-based IDS:

o Xác định rõ ràng tấn công thành công hay thất bại

o Giám sát hoạt động của hệ thống, thuận tiện cho việc phân tích sau tấn công

o Bảo vệ cả những tấn công không phải từ network

o Xử lý nhanh chóng.

o Không phụ thuộc vào kiến trúc mạng, không phụ thuộc vào môi trường switch hay hub

o Không cần triển khai thêm phần cứng, không cần thay đổi kiến trúc mạng

6. Passive Detection Systems:

- Thực hiện các hành động thụ động (logging and alerting) khi phát hiện tấn công

- Không thể ngăn chặn tấn công đang xảy ra

7. Active Detection Systems:

- Có khả năng logging, alerting, and recording đồng thời đưa ra hành động ngăn chặn tấn công.

- Options

o IDS shunning or blocking

o TCP reset

- Sử dụng cẩn thận, hạn chế tối đa false positive Alarms

8. Signature-based and Anomaly-based IDS:

- Signature detections

o Also know as misuse detection

o IDS phân tích thông tin lắng nghe được và so sánh với cơ sở dữ liệu attacks của nó.

- Anomaly detection

o Định nghĩa ra các hoạt động được gọi là bình thường.

o Hành động nào không phải bình thường được xem là tấn công.

9. Intrusion Detection Products:

- Aladdin Knowledge Systems - Entercept Security Technologies


38

- Cisco Systems, Inc.

- Computer Associates International Inc.

- CyberSafe Corp.

- Cylant Technology

- Enterasys Networks Inc.

- Internet Security Systems Inc.

- Intrusion.com Inc. family of IDS products

- NFR Security

- Network-1 Security Solutions

- Raytheon Co.

- Recourse Technologies

- Sanctum Inc.

- Snort

- Sourcefire, Inc.

- Symantec Corp.

- TripWire Inc.

10. Honeypots:

- Hệ thống giả lập cho hacker xâm nhập nhằm ghi lại các thông tin về hoạt động xâm nhập của hacker

- Giả lập các dịch vụ mạng không được bảo vệ

- Dễ dàng phân tích các thông tin

a) Commercial Honeypots:

- ManTrap

- Specter

- Smoke Detector

- NetFacade

b) Open Source Honeypots

- BackOfficer Friendly

- BigEye

- Deception Toolkit

- LaBrea Tarpit

- Honeyd

- Honeynets

- User Mode Linux

c) Honeypot Deployment:

- Goal: Ghi nhận thông tin về kỹ thuật, phương pháp, lý thuyết, công cụ mà hacker sử dụng

- Options

o Nghiên cứu về các phương pháp hacker sử dụng

o Phát hiện ra vị trí attacker

d) Honeypot Design:

- Phải hấp dẫn hacker, có những hướng dẫn nhỏ cho hacker

- Không nên liên quan đến các máy khác trong hệ thống.

e) Honeypots, Ethics, and the Law:

- Không vi phạm luật pháp nếu thiết kế Honey pot đánh lừa hacker

- Giá trị pháp lý của logs file honey pot không cao.

- Incident Response:

o Khi triển khai IDS, người quản trị nên đưa ra 2 loại văn bản:

Chính sách và quy trình giám sát của IDS

Kết hoạch xử lý sự cố

IDS Monitoring:

Chi tiết hóa, văn bản hóa những thông báo, hành động của IDS

11. Information Security Incident Response Team (SIRT).

- Chịu trách nhiệm giám sát các tài nguyên và xử lý các sự cố xảy ra.

Typical SIRT Objectives:


39

Xác định sự cố đã xảy ra như thế nào

Xây dựng quy trình nhằm tránh việc lặp lại sự cố

Đánh giá thiệt hại và anh hưởng của sự cố

Khôi phục lại hệ thống sau sự cố

Nâng cấp quy trình sử lý sự cố nếu cần thiết

Xác định người chịu trách nhiệm chính

Yêu cầu luật pháp can thiệp nếu cần thiết

Chapter Sumary:

Two major types of intrusion detection

Network-based IDS (monitor network traffic)

Host-based IDS (monitor activity on individua computers)

Honeypots

Incident response

X. IPSec/VPN:

1. Bảo mật tại các tầng OSI:

- Link layer: WEP / 802.11i

- Application layer: PGP

- Transport layer: SSL

- Network layer: Ipsec

- Vị trí của IPSec:

2. IP Security:

- IP datagrams không tích hợp bảo mật:

o Địa chỉ IP nguồn có thể bị giả dạng (spoof)

o Dữ liệu của gói tin IP có thể bị nghe lén

o Dữ liệu của gói tin IP có thể bị sửa đổi

o Gói tin IP có thể bị replay

- IPSec là một phương pháp để bảo vệ gói tin IP: Là một tiêu chuẩn của IETF

3. Virtual Private Networks (VPNs) Ipsec:

- Bảo vệ cho các kết nối giữa các chi nhánh thông qua Internet

o Không cần phải thuê mạng riêng: Tiết kiệm

- Bảo vệ các remote access từ Internet

o Người dùng có thể kết nối một cách an toàn về công ty thông qua Internet

- Bảo vệ kết nối giữa các đối tác với nhau

o Đảm bảo tính bảo mật và chứng thực lẫn nhau.

HTTP/SMTP/IM

TCP/UDP/ICMP

ÍPsec


40

- Các dịch vụ của Ipsec:

o Toàn vẹn dữ liệu

o Chứng thực

o Chống lại Replay attack

o Bảo mật dữ liệu

o 2 giao thức của IPSec: AH, ESP.

- IPsec Transport Mode:

o Kết nối IPsec giữa end-system. Sử dụng IP của 2 điểm kết nối để vận chuyển.

o Bảo vệ các giao thức cao hơn

- IPsec – tunneling mode:

Kết nối IPsec giữa 2 gateway. Hosts không biết có sự can thiệp của IPSec.

Mô hình khác của tunneling mode:

4. Security associations (SAs):

- Trước khi gửi dữ liệu, một kết nối ảo được thiết lập giữa 2 điểm kết nối

o Có trạng thái kết nối giữa 2 điểm kết nối.

o Các trạng thái kết nối này được gọi là ―security association‖

o Trạng thái kết nối bao gồm: keys, current seq. num., anti-replay window; Security Parameter Index (SPI)

o SAs là một chiều cho từng chiều kết nối. Mỗi điểm kết nối có 1 cặp SAs: input and output

- Tạo SA

o Thủ công: xác định bởi người quản trị

o IKE: Internet key Exchange, thỏa thuận nếu cần thiết

5. Security Association Database (SAD):

- Các điểm kết nối lưu giữ SAs trong SAD, nơi mà chúng có thể truy cập khi cần thiết

- Khi nhận được một gói tin IPSec, điểm kết nối dựa vào SPI trong gói tin đó để xác định vị trí của SA trong SAD

và xử lý gói tin dựa vào SA đó

- Tương tự, khi gửi gói tin IPSec.

6. Security Policy Database (SPD)

- Policy: Chính sách để phân biệt gói tin nhận được hoặc gửi đi có cần phải sử dụng IPSec

o Có thể sử dụng: source and destination IP address; source and destination port number; transport-layer

protocol


41

7. IPsec: Overview

- Main protocols:

o Authentication Header (AH): Cung cấp tính toàn vẹn và tính chứng thực

o Encapsulated Security Payload (ESP): Mã hóa dữ liệu

o Internet Key Exchange (IKE) Protocol: Trao đổi và thương lượng SA (methods, algorithms, keys)

a) AH protocol:

- Hỗ trợ toàn vẹn dữ liệu, chứng thực và chống lại replay attacks: Nhưng không có mã hóa

- Chứng thực/toàn vẹn sử dụng HMAC(Message Authentication Code ) với một shared secret key, HMAC

có thể sử dụng MD5 hoặc SHA-1

- Có thể thiết lập thủ công hoặc sử dụng IKE protocol để chia sẽ khóa

- AH protocol framing:

- Authentication Header:

o Next header: Chỉ ra header tiếp theo (tầng trên) TCP, UDP, ICMP, …

o Payload length: ðộ dài của AH header

o SPI: identifies SA

o Sequence number: Số thứ tự của gói tin trong SA

o Authentication data: HMAC

- AH: sequence numbers

- Với mỗi SA mới, sender khởi tạo seq. # to 0

- Mỗi lần gói tin được gửi trong SA:

o Sender tăng bộ đếm seq #

o Đặt giá trị trong seq # field

- Goal: Ngăn chặn hacker sniffing và replaying gói tin

- Method:

o Destination kiểm tra sự trùng lặp

o Không lưu giữ thông tin của tất cả gói tin nhận được, chỉ sử dụng một window

- Thuật toán kiểm tra tại receiver:


42

o Nếu rcvd packet nằm trong window, packet là mới, sẽ tiến hành MAC checks đánh dấu.

o Nếu rcvd packet nằm ở bên phải window, mới, MAC checks window advanced & right-most

slot marked.

o Nếu rcvd packet nằm ở bên trái window, hoặc đã marked, hoặc MAC check fail packet is

discarded.

- AH: transport mode

o Tính toán MAC dựa trên:

+ IP header fields ngoại trừ các giá trị thay đổi khi vận chuyển (TTL, ToS, ..)

+ AH header ngoại trừ Authentication Data field (the MAC itself)

+ Toàn bộ các dữ liệu tầng trên (ví dụ TCP segment)

Source IP address = source host address;

Destination IP address = destination host address

- AH: tunnel mode

o Tính toán MAC dựa trên:

+ Toàn bộ gói tin IP ban đầu

+ IP header mới ngoại trừ các giá trị thay đổi (TTL, checksum fields)

+ AH header ngoại trừ Authentication Data field (the MAC itself)

Gói tin ban đầu được mang như là payload của gói tin mới

Nếu mà 2 điểm kết nối là routers, thì source và dest IP addresses đều là của router.

- AH: Summary:

o Chứng thức: Kết hợp giữa shared key và MAC

o Toàn vẹn: MAC


43

o Chống lại playback attack: Sequence numbers.

b) ESP protocol:

- ESP protocol cung cấp tính bí mật thông qua việc mã hóa

- Thông thường kết hợp thêm với AH để chứng thực header

- Mã hóa đối xứng với shared secret key.

- Để thiết lập shared secrets:

o Thủ công

o IKE protocol

- Transport mode:

o Tính toán giá trị chứng thực không bao gồm các trường trong IP header (như là với AH)

o IP header cũ vẫn được sent bằng clear:

ttacker có thể thực hiện việc phân tích protocol numbers, destination, và các IP header fields khác.

- Tunnel mode:

Hosts không cần phải thực hiện encryption – Router sẽ làm việc đó

- ESP header/trailer:

- ESP example:


44

1. Remote host chuẩn bị gói tin với địa chỉ đích là server.

2. ESP trailer được thêm vào, mã hóa tất cả kết quả.

3. ESP header được thêm vào; tính toán MAC

4. Datagram header được thêm vào. Source = remote host, Dest = firewall

5. Firewall nhận gói tin và kiểm tra MAC; sử dụng SPI trong ESP header, firewall giải mã gói tin.

Firewall gửi gói tin cho server.

Các thuật toán mã hóa:

DES, 3DES, AES, RC5, IDEA, 3-IDEA, CAST, Blowfish, ….

c) Internet Key Exchange:

Ví dụ SA

SPI: 12345

Source IP: 192.168.1.100

Dest IP: 192.168.2.100

Protocol: ESP

Encryption algorithm: 3DES

HMAC algorithm: SHA-1

Encryption key: 0x7f5c146b…

HMAC key: 0x9a01d45….

- IKE được sử dụng để thiết lập SAs một cách tự động:

o SPI number, protocol, algorithms, & keys

o Đồng thời, cung cấp chứng thực 2 chiều

- Chứng thực với

o pre-shared key (PSK)

o PKI (pubic/private keys and certificates).

- Với PSK, 2 bên sử dụng PSK để: Chạy IKE để chứng thực và tạo lập Ipsec SAs, bao gồm cả session keys.

- Với PKI, 2 bên sử dụng public/private key pair và certificates: Chạy IKE để chứng thực và tạo lập IPsec

Sas

- IKE bao gồm 2 phases

o Phase 1: thiết lập IKE SA (IKE SA khác IPsec SA)

o Phase 2: IKE SA được sử dụng để trao đổi và thiết lập IPsec SAs

- Phase 1 bao gồm 2 mode: aggressive mode and main mode

o Aggressive mode sử dụng ít bước hơn

o Main mode bổ sung các bước đầy đủ hơn

Nhắc lại Diffie-Hellman: Cho phép 2 đối tượng đồng ý cùng một shared key.

- IKE phases:

o Phase 1: Chứng thực song phương và thiết lập IKE SA


45

Authentication:

Pre-shared secret key

Public encryption key (sử dụng public key)

Public signature key (Sử dụng certificate)

Thiết lập IKE SA: Diffie-Hellman key exchange,

o Phase 2: Thiết lập IPSec SA

- IKE Phase 1 Policy Parameters:

- IKE: Phase 2

o Sau phase 1, thiết lập được bộ IKE SA, tạo ra một secure channel: Phase 2 sử dụng secured channel từ

phase 1

o Mục tiêu là thiết lập IPsec SAs

o Hay bên gửi SPIA , SPIB cho nhau

o Dữ liệu nào sẽ được bảo vệ.

o Giao thức nào sẽ được sử dụng, AH hay ESP đối với IPSec.

o Dựa trên giao thức sử dụng, sử dụng các phương pháp bảo vệ dữ liệu nào. Ví dụ sử dụng thuật toán mã

hóa nào, sử dụng chức năng HMAC nào?

o Mô hình sử dụng, tunnel mode hay transport mode.

o When refreshing keying information, should the ISAKMP/IKE

o Phase 1 management be used to share the new keys or should perfect forward secrecy be used instead?

o Thời gian sống (lifetime) của SA. Có thể dựa trên thời gian hoặc lượng dữ liệu chuyển qua.

Summary of IPsec

IKE trao ñổi ñể thiết lập các SA (algorithms, secret keys, SPI numbers)

Sử dụng 2 giao thức AH hoặc ESP

AH protocol cung cấp tính toàn vẹn và chứng thực

ESP protocol (with AH) bổ sung thêm tính bảo mật (mã hóa)

IPsec peers có thể là end systems,routers/firewalls, hoặc router/firewall và một end system

XI. Web Security:

SSL/TLS

HTTPS

Instant messaging applications

JavaScript, buffer overflow, ActiveX, cookies, CGI, applets, SMTP relay


46

1. Secure Sockets Layer (SSL) và Transport Layer Security (TLS):

Commonly used protocols for managing the security of a message transmission across the ―insecure‖ Internet

a) Secure Sockets Layer (SSL):

- Phát triển bởi Netscape với mục đích chuyển dữ liệu an toàn qua Internet.

- Sử dụng public/private key để mã hóa dữ liệu.

- URLs ―https:‖ thay vì ―http:

b) Transport Layer Security (TLS):

- Phiên bản mới nhất của SSL

SSL/TLS Protocol:

- Chạy trên nền tầng TCP và dưới các tầng cao hơn

- Uses TCP/IP on behalf of higher-level protocols

- Allows SSL-enabled server to authenticate itself to SSL-enabled client

- Allows client to authenticate itself to server

- Allows both machines to establish an encrypted connection

- Uses ciphers to enable encryption of data between two parties

- Uses digital certificates to enable authentication of the parties involved in a secure transaction.

Secure Sockets Layer Protocol:

Cipher Types Used by SSL/TLS

- Asymmetric encryption (public key encryption)

- Symmetric encryption (secret key encryption)

Digital Certificates:

- Components

- Certificate user’s name

- Entity for whom certificate is being issued

- Public key of the subject

- Time stamp


47

- Typically issued by a CA that acts as a trusted third party

- Public certificate authorities

- Private certificate authorities

2. Secure Hypertext Transfer Protocol (HTTPS):

- Communications protocol designed to transfer encrypted information between computers over the WWW.

- An implementation of HTTP

- Often used to enable online purchasing or exchange of private information over insecure networks

- Combines with SSL to enable secure communication between a client and a server

3. Instant Messaging (IM):

- Communications service that enables creation of a private chat room with another individual

- Based on client/server architecture

- Typically alerts you whenever someone on your private list is online

- Categorized as enterprise IM or consumer IM systems

- Examples: AOL Instant Messenger, ICQ, NetMessenger, Yahoo! Messenger

a) IM Security Issues:

- Cannot prevent transportation of files that contain viruses and Trojan horses

- Misconfigured file sharing can provide access to sensitive or confidential data

- Lack of encryption

- Could be utilized for transportation of copyrighted material; potential for substantial legal consequences

- Transferring files reveals network addresses of hosts; could be used for Denial-of-Service attack

b) IM Applications:

- Do not use well-known TCP ports for communication and file transfers; use registered ports

- Ports can be filtered to restrict certain functionalities or prevent usage altogether

4. Vulnerabilities of Web Tools:

- Security of Web applications and online services is as important as intended functionality

o JavaScript

o ActiveX

o Buffers

o Cookies

o Signed applets

o Common Gateway Interface (CGI)

o Simple Mail Transfer Protocol (SMTP) relay

a) JavaScript:

- Scripting language developed by Netscape to enable Web authors to design interactive sites

- Code is typically embedded into an HTML document and placed between the <head> and </head> tags

- Programs can perform tasks outside user’s control

- JavaScript Security Loopholes:

o Monitoring Web browsing

o Reading password and other system files

o Reading browser’s preferences

b) ActiveX:

- Loosely defined set of technologies developed by Microsoft: Outgrowth of OLE (Object Linking and Embedding)

and COM (Component Object Model)

- Provides tools for linking desktop applications to WWW content


48

- Utilizes embedded Visual Basic code that can compromise integrity, availability,and confidentiality of a target

system

c) Buffer:

- Temporary storage area, usually in RAM

- Acts as a holding area, enabling the CPU to manipulate data before transferring it to a device

- Buffer Overflow Attacks:

Triggered by sending large amounts of data that exceeds capacity of receiving application within a given field

Take advantage of poor application programming that does not check size of input field

Not easy to coordinate; prerequisites:

o Place necessary code into program’s address space

o Direct application to read and execute embedded code through effective manipulation of registers and

memory of system

d) Cookies:

- Messages given to Web browsers by Web servers

o Browser stores message in a text file

o Message is sent back to server each time browser requests a page from server

- Verify a user’s session

- Designed to enhance browsing experience

- Vulnerabilities of Cookies:

- Contain tools that are easily exploited to provide information about users without consent

o Attacker convinces user to follow malicious hyperlink to targeted server to obtain the cookie through error

handling process on the server

o User must be logged on during time of attack

- To guard against EHE attacks

o Do not return unescaped data back to user

o Do not echo 404 file requests back to user

e) Java Applets:

- Internet applications (written in Java programming language) that can operate on most client hardware and

software platforms

- Stored on Web servers from where they can be downloaded onto clients when first accessed

- With subsequent server access, the applet is already cached on the client and can be executed with no download

delay

- Signed Applets:

o Technique of adding a digital signature to an applet to prove that it came unaltered from a particular

trusted source

o Can be given more privileges than ordinary applets

o Unsigned applets are subject to sandbox restrictions

- Unsigned Applets:

Sandbox Model:

- Prevent the applet from:

o Performing required operations on local system resources


49

o Connecting to any Web site except the site from which the applet was loaded

o Accessing client’s local printer

o Accessing client’s system clipboard and properties

- Signed Applets:

- Reasons for Using Code Signing Features:

o To release the application from sandbox restrictions imposed on unsigned code

o To provide confirmation regarding source of the applications code

f) Common Gateway Interface (CGI):

- Interface specification that allows communication between client programs and Web servers that understand

HTTP

- Uses TCP/IP

- Can be written in any programming language

- Parts of a CGI script

o Executable program on the server (the script itself)

o HTML page that feeds input to the executable

- Interactive nature leads to security loopholes: Allowing input from other systems to a program that runs on a local

server exposes the system to potential security hazards

- Precautions to Take When Running Scripts on a Server:

o Deploy IDS, access list filtering, and screening on the border of the network

o Design and code applications to check size and content of input received from clients


50

o Create different user groups with different permissions; restrict access to hierarchical file system based on

those groups

o Validate security of a prewritten script before deploying it in your production environment

g) Simple Mail Transfer Protocol (SMTP):

- Standard Internet protocol for global e-mail communications

- Transaction takes place between two SMTP servers

- Designed as a simple protocol

o Easy to understand and troubleshoot

o Easily exploited by malicious users

- Vulnerabilities of SMTP Relay:

o Spam via SMTP relay can lead to:

Loss of bandwidth

Hijacked mail servers that may no longer be able to serve their legitimate purpose

o Mail servers of innocent organizations can be subject to blacklisting

--- The End ---

Documents

An toan mang