BẢO MẬT MẠNG MÁY TÍNH
I. Bảo mật mạng để làm gì?

An toàn cho sự hoạt động của toàn bộ hệ thống mạng

Bảo mật cao trên nhiều phương diện

Khả năng kiểm soát cao

Đảm bảo tốc độ nhanh

Mềm dẻo và dễ sử dụng

Trong suốt với người sử dụng

Đảm bảo kiến trúc mở
Bảo vệ gì?
Nhu cầu bảo vệ thông tin trên Internet có thể chia thành ba loại
gồm:
a. Bảo vệ dữ liệu;
b. Bảo vệ các tài nguyên sử dụng trên mạng và
c. Bảo vệ danh tiếng của cơ quan
a. Bảo vệ dữ liệu

Bảo mật: Những thông tin có giá trị về kinh tế, quân sự,
chính sách vv cần được giữ kín.

Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa đổi,
đánh tráo.

Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng thời

điểm cần thiết.
b. Bảo vệ các tài nguyên sử
dụng trên mạng
sau khi tấn công thành công kẻ tấn công có thể:

chạy các chương trình dò mật khẩu

sử dụng các liên kết mạng sẵn có để tiếp tục tấn công các
hệ thống khác

Mua bán qua mạng mà không để lại dấu vếtvv
c. Bảo vệ danh tiếng của cơ
quan
Một phần lớn các cuộc tấn công không được thông báo rộng
rãi vì
bị mất uy tín của cơ quan, công ty lớn và các cơ quan quan
trọng trong bộ máy nhà nước.
II.Các kiểu tấn công mạng
1. Tấn công trực tiếp
2. Nghe trộm
3. Giả mạo địa chỉ
4. Vô hiệu các chức năng của hệ thống
5. Lỗi của người quản trị hệ thống
6. Tấn công vào yếu tố con người
1. Tấn công trực tiếp
Mục đích :chiếm được quyền truy nhập bên trong

dò tìm tên người sử dụng và mật khẩu (thủ công
hay dùng chương trình)


sử dụng các lỗi của chương trình ứng dụng và
bản thân hệ điều hành để chiếm quyền
administrator



2. Nghe trộm

Nghe lén

Được tiến hành ngay sau khi kẻ tấn công đã chiếm được
quyền truy nhập hệ thống,

dùng các chương trình điều khiển và bắt tính hiệu phát ra từ
card mạng
Do nguyên tác chung :Tất cả các tính hiệu gửi trên mạng đều
truyền đến tất cả các NIC
3.Giả mạo địa chỉ

với hệ thống mạng chỉ chấp nhận các IP riêng(được cho
là an toàn)

kẻ tấn công gửi các gói tin IP tới mạng bên trong với một
địa chỉ IP giả mạo, đồng thời chỉ rõ đường dẫn mà các gói
tin IP phải gửi đi.

Ví dụ: các trang web chặn các IP từ việt nam , muốn vào thì
fake IP
4. Vô hiệu các chức năng của hệ
thống (DoS)


Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó
thực hiện chức năng mà nó thiết kế.

Kiểu tấn công này ít có khả năng ngăn chặn, do những công
cụ tấn công cũng chính là các phương tiện để làm việc và
truy nhập thông tin trên mạng.

Ví dụ sử dụng lệnh ping
5. Lỗi của người quản trị hệ
thống

Đây không phải là một kiểu tấn công của những kẻ đột
nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo
ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy
nhập vào mạng nội bộ.
6. Tấn công vào yếu tố con
người

Kẻ tấn công có thể liên lạc với một người quản trị hệ
thống, giả làm một người sử dụng để yêu cầu thay đổi mật
khẩu, thay đổi quyền truy nhập của mình đối với hệ thống,
hoặc thậm chí thay đổi một số cấu hình của hệ thống để
thực hiện các phương pháp tấn công khác.

Cần hướng dẫn người sử dụng mạng nội bộ về những yêu
cầu bảo mật đề cao cảnh giác với những hiện tượng đáng
nghi.  khó
III. Bảo mật máy tính


Bảo mật máy tính là gì?

Tại sao chúng ta lạii quan tâm đến bảo mật máy tính?

Ai có thể xâm nhập vào máy tính của chúng ta ?

Có dễ dàng để xâm nhập vào máy tính của chúng ta hay
không
Cách lợi dụng máy tính của bạn
có chủ ý -Intentional misuse of
your computer

Trojan horse programs

Back door and remote administration programs

Denial of service

Being an intermediary for another attack

Unprotected Windows shares

Mobile code (Java, JavaScript, and ActiveX)

Cross-site scripting

Email spoofing

Email-borne viruses


Hidden file extensions

Chat clients

Packet sniffing
Tai nạn và các rủi ro khác

Đĩa bị lỗi hay bị hư

Nguồn điện bị ngắt đột ngột

Trộm cắp

…
Các cách thức bảo vệ

Cấu hình máy tính chi dành riêng cho mình

Dùng phần mềm diệt vi rus

Sử dụng firewall

Không mở các email lạ

Không chạy chương trình mà không rõ nguồn gốc

Bỏ chức năng dấu phần mở rộng của fire

Luôn vá các lỗ hổng của chương trình cũng như hệ điều
hành


Tắt máy hay ngắt kết nối khi không sử dụng đến máy

Không cho các script hoạt động như JS, ActiveX

Không cho các script hoạt động, kích hoạt trong các email

Luôn backup dữ liệu

Làm đĩa boot khẩn cấp khi có sự cố
IV.Firewall

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng
để chống sự truy cập trái phép, nhằm bảo vệ các nguồn
thông tin nội bộ và hạn chế sự xâm nhập không mong muốn
vào hệ thống. Firewall là một cơ chế (mechanism) để bảo vệ
mạng tin tưởng (Trusted network) khỏi các mạng không tin
tưởng (Untrusted network).

Thông thường Firewall đặt giữa mạng bên trong (Intranet)
của một công ty, tổ chức, ngành hay một quốc gia, và
Internet.

Vai trò chính là bảo mật thông tin, ngăn chặn sự truy nhập
không mong muốn từ bên ngoài (Internet) và cấm truy nhập
từ bên trong (Intranet) tới một số địa chỉ nhất định trên
Internet.
firewall
Mạng
nội bộ

bên
trong
1.Chức năng chính

Kiểm soát luồng thông tin từ giữa Intranet và
Internet.

Thiết lập cơ chế điều khiển dòng thông tin giữa mạng
bên trong (Intranet) và mạng Internet.
Cụ thể là:

Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài
hay vào trong (Intranet ra Internet).

Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.

Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.

Kiểm soát người sử dụng và việc truy nhập của
người sử dụng.

Kiểm soát nội dung thông tin thông tin lưu chuyển
trên mạng.
2. Các thành phần

Firewall chuẩn bao gồm một hay nhiều các thành phần
sau đây:
a. Bộ lọc packet (packet-filtering router)
b. Cổng ứng dụng (application-level gateway hay proxy
server)

c. Cổng mạch (circuite level gateway)
a. Bộ lọc paket (Paket filtering
router)
Nguyên lý
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận
được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định Địa
chỉ IP nơi xuất phát ( IP Source address)

Địa chỉ IP nơi nhận (IP Destination address)

Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

Dạng thông báo ICMP ( ICMP message type)

Giao diện packet đến ( incomming interface of packet)

Giao diện packet đi ( outcomming interface of packet)


Các mô hình

Paket filtering router

Screened Host Firewall

Single- Homed Bastion Host


Dual- Homed Bastion Host

Screened-Subnet Firewall
Paket filtering router
Screened Host Firewall

Mô hình single- Homed Bastion Host