Company
LOGO
Tổng quan về
an toàn mạng
Company
LOGO
NETWORK SECURITY
Lecture slides by
Lecture slides by Hoang Sy Tuong
Facculty Of Information Security
08/07/14 Hoàng Sỹ Tương 3
Agenda
Chương I: Tổng quan về an toàn mạng
•
Các hình thức tấn công đối với TT trên mạng
•
Các dịch vụ bảo vệ thông tin trên mạng
•
Mô hình của hệ thống bảo mật thông tin
dùng KTMM
•
Giải pháp tổng thể cho bảo mật thông tin
Trên mạng
Chương I: Tổng quan về an toàn mạng
•
Các hình thức tấn công đối với TT trên mạng
•
Các dịch vụ bảo vệ thông tin trên mạng
•
Mô hình của hệ thống bảo mật thông tin
dùng KTMM

•
Giải pháp tổng thể cho bảo mật thông tin
Trên mạng
08/07/14 Hoàng Sỹ Tương 4
Các hình thức tấn đối với TT trên mạng

Ngăn chặn thông tin (Interruption)

Tài nguyên thông tin bị phá huỷ, không sẵn sàng phục
vụ hoặc không sử dụng được.

Đây là hình thức tấn công làm mất khả năng sẵn sàng
phục vụ của thông tin.

vd: Phá huỷ ổ cứng, cắt đường truyền
08/07/14 Hoàng Sỹ Tương 5
Các hình thức tấn đối với TT trên mạng

Chặn bắt thông tin
(Interception)

Kẻ tấn công truy nhập
tới tài nguyên thông
tin.

Đây là hình thức tấn
công vào tính bí mật
của thông tin.

vd: nghe trộm và sao

chép bất hợp pháp TT
08/07/14 Hoàng Sỹ Tương 6
Các hình thức tấn đối với TT trên mạng

Sửa đổi thông tin
(Modification)

Kẻ tấn công truy nhập
chỉnh sửa TT trên
mạng.

Tấn công lên tính toàn
vẹn của thông tin
08/07/14 Hoàng Sỹ Tương 7
Các hình thức tấn đối với TT trên mạng

Chèn thông tin giả
(Fabrication)

Kẻ tấn công chèn thông
tin và dữ liệu giả vào hệ
thống.

Đây là hình thức tấn
công lên tính xác thực
của thông tin.
08/07/14 Hoàng Sỹ Tương 8
Các hình thức tấn đối với TT trên mạng
Các hình thức tấn trên được phân thành 2 lớp:


Tấn công bị động
(passive attacks)

Tấn công chủ động
(active attacks)
08/07/14 Hoàng Sỹ Tương 9
Các hình thức tấn đối với TT trên mạng

Tấn công bị động
(passive attacks)

Là kiểu tấn công chặn bắt TT như nghe trộm và quan sát truyền
tin.

Mục đích của kẻ tấn công là biết được TT truyền trên mạng.

Có hai kiểu tấn công bị động là khám phá nội dung thông báo và
phân tích luồng thông tin
08/07/14 Hoàng Sỹ Tương 10
Khám phá nội dung thông tin
Thực hiện bằng cách nghe trộm các cuộc nói
chuyện điện thoại, đọc trộm thư điện tử, xem trộm
nội dung tệp tin rõ.
08/07/14 Hoàng Sỹ Tương 11
Phân tích luồng thông tin

Kẻ tấn công thu các thông báo được truyền trên mạng và tìm cách khám phá
thông tin.

Nếu TT bị mã hóa đối phương có thể quan sát các mẫu thông báo để xác

định vị trí và định danh của các máy liên lạc từ đó đoán ra bản chất của các cuộc
liên lạc.
08/07/14 Hoàng Sỹ Tương 12
Kết luận

Tấn công bị động rất khó bị phát
hiện vì nó không làm thay đổi số
liệu và không để lại dấu vết rõ
ràng.

Biện pháp hữu hiệu để chống lại
kiểu tấn công này là ngăn chặn
chứ không phải phát hiện.
08/07/14 Hoàng Sỹ Tương 13
Các hình thức tấn đối với TT trên mạng
Tấn công chủ động
(active attacks)

Là kiểu tấn công sửa đổi luồng số liệu hay tạo ra các luồng dữ liệu giả
và có thể được chia thành 4 loại nhỏ sau:

Đóng giả (Masquerade)

Dùng lại (relay)

Sửa đổi thông báo (Modification of Messages)

Từ chối cung cấp dịch vụ (Denial of Service)
08/07/14 Hoàng Sỹ Tương 14
Đóng giả

(Masquerade)

Một thực thể (người dùng, chương trình, máy tính )
đóng giả một thực thể khác.
08/07/14 Hoàng Sỹ Tương 15
Dùng lại (Relay)

Thụ động bắt các thông báo và sau đó truyền lại
nhằm đạt được mục đích bất hợp pháp.
08/07/14 Hoàng Sỹ Tương 16
Sửa đổi thông báo (Modification of messages)

Một bộ phận của thông báo được sửa đổi hoặc các
thông báo bị làm trễ và thay đổi trật tự để đạt được
mục đích bất hợp pháp.
08/07/14 Hoàng Sỹ Tương 17
Từ chối dịch vụ
(Denial of service)

Ngăn hoặc cấm việc sử dụng bình thường hoặc quản lý các tiện ích
truyền thông.
08/07/14 Hoàng Sỹ Tương 18
Kết luận
Tấn công chủ động và bị động có những đặc trưng khác
nhau

Kiểu tấn công thụ động khó phát hiện nhưng có biện pháp để ngăn
chặn thành công.

Kiểu tấn công chủ động dễ phát hiện nhưng lại khó ngăn chặn tuyệt

đối, nó đòi hỏi việc bảo vệ vật lý tất cả các phương tiện truyền thông
mọi lúc, mọi nơi.

Giải pháp để chống lại kiểu tấn công này là phát hiện chúng và khôi
phục mạng khi bị phá vỡ hoặc khi thông tin bị trễ.
08/07/14 Hoàng Sỹ Tương 19
Chương I: Tổng quan về an toàn mạng
Chương I: Tổng quan về an toàn mạng
•
Các hình thức tấn công đối với TT trên mạng
•
Các dịch vụ bảo vệ thông tin trên mạng
•
Mô hình của hệ thống bảo mật thông tin
dùng KTMM
•
Giải pháp tổng thể cho bảo mật thông tin
Trên mạng
Chương I: Tổng quan về an toàn mạng
•
Các hình thức tấn công đối với TT trên mạng
•
Các dịch vụ bảo vệ thông tin trên mạng
•
Mô hình của hệ thống bảo mật thông tin
dùng KTMM
•
Giải pháp tổng thể cho bảo mật thông tin
Trên mạng
08/07/14 Hoàng Sỹ Tương 20

Các dịch vụ bảo vệ thông tin trên mạng
Dịch vụ bí mật (Confidentiality)

Dịch vụ bí mật bảo đảm TT trong hệ thống máy tính và
thông tin được truyền chỉ được đọc bởi những bên được
uỷ quyền.

Dịch vụ bí mật bảo vệ dữ liệu được truyền chống lại các
tấn công bị động nhằm khám phá nội dung thông báo.

TT được bảo vệ có thể là tất cả dữ liệu được truyền giữa
hai người dùng trong một khoảng thời gian hoặc một
thông báo lẻ, hay một số trường trong thông báo.

Dịch vụ bí mật cung cấp khả năng bảo vệ luồng TT khỏi
bị tấn công phân tích tình huống.
08/07/14 Hoàng Sỹ Tương 21
Dịch vụ xác thực
(Authentication)

Dịch vụ xác thực đảm bảo rằng việc truyền thông là xác thực nghĩa
là cả người gửi và người nhận không bị mạo danh.

Trong trường hợp giao có một giao dịch đang xảy ra, DVXT đảm
bảo với bên nhận rằng thông báo đến đúng từ bên nêu danh.

Nói cách khác, dịch vụ xác thực yêu cầu nguồn gốc của thông báo
được nhận dạng đúng với các định danh đúng.
08/07/14 Hoàng Sỹ Tương 22
Dịch vụ toàn vẹn

(Integrity)

Dịch vụ Toàn vẹn đòi hỏi rằng các tài nguyên hệ thống máy tình và
thông tin được truyền không bị sửa đổi trái phép.

Dịch vụ toàn vẹn có thể áp dụng cho một thông báo, một luồng
thông báo hay chỉ một số trường trong thông báo.

Dịch vụ toàn vẹn có thể là dịch vụ toàn vẹn định hường kết nối
(connection-oriented) hoặc phi kết nối.
08/07/14 Hoàng Sỹ Tương 23
Không thể chối bỏ
(Nonrepudiation)

Dịch vụ không thể chối bỏ ngăn chặn người gửi hay người nhận
chối bỏ thông báo được truyền.

Khi thông báo được gửi đi người nhận có thể chứng minh rằng
người gửi nêu danh đã gửi nó đi.

Khi thông báo nhận được người gửi có thể chứng minh thông báo
đã nhận được bởi người nhận hợp pháp.
08/07/14 Hoàng Sỹ Tương 24
Kiểm soát truy nhập
(Access Control)

Kiểm soát truy nhập là khả năng hạn chế và kiểm soát truy nhập
đến các hệ thống máy tính và các ứng dụng theo các đường
truyền thông.


Mỗi thực thể muốn truy nhập đều phải định danh hay xác nhận
có quyền truy nhập phù hợp.
08/07/14 Hoàng Sỹ Tương 25
Sẵn sàng phục vụ
(Availability)

Sẵn sàng phục vụ đòi hỏi rằng các tài nguyên hệ thống máy
tính luôn sẵn sàng đối với những bên được uỷ quyền khi cần
thiết.

Các tấn công có thể làm mất hoặc giảm khả năng sẵn sàng
phục vụ của các chương trình phần mềm và các tài nguyên
phần cứng của mạng máy tính.