BẢO MẬT THÔNG TIN

1

1


-

-

-

Câu 4: Anh/ Chị hãy nêu phương pháp tấn công SQL Injection
và cách phòng chống.
Phương pháp tấn công dạng SQL Injection:
Phương pháp tấn công dạng SQL injection là mộtkĩ thuật tấn
công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong
các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở
dữ liệu để "tiêm vào" (injection) và thi hành các câu lệnh SQL
bất hợppháp
Có bốn dạng thông thường bao gồm:
Vượtquakiểmtralúcđăngnhập(authorizationbypass)
Sử dụng câu lện SELECT
Sử dụng câu lệnh INSERT
Sử dụng các Stored-procedures
Cách phòng chống kiểu tấn công SQL Injection:
Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử lí dữ
liệu đến tài khoản người dùng mà ứng dụng web đang sửdụng
Các ứng dụng thông thường nên tránh dùng đến các quyền
như dbo hay sa. Quyền càng bị hạn chế, thiệt hại càngít.

Loạibỏbấtkìthôngtinkĩthuậtnàochứatrongthôngđiệp
chuyển
xuống cho người dùng khi ứng dụngcólỗi.Các thông báo lỗi
thông
thường
tiết
lộ
các
chi
tiếtkĩthuậtcóthểchophépkẻtấncôngbiếtđượcđiểmyếucủahệ
thống.
Câu 5: Theo Anh/ Chị, để thực hiện thành công DDoS cần
phải thỏa điều kiện gì? Đánh giá mức độ nguy hại, đề xuất các
biện pháp ngăn chặn, phòng chống các hình thức tấn công
DDoS. Cho ví dụ về 1 trường hợp tấn công DDoS ở Việt Nam
mà các anh chị biết.
Điều kiện để thực hiện thành công DDoS ?
2

2


-

-

1.

2.


3.

4.

5.

6.

7.

SYN FloodAttack
Ping Flood Attack (Ping ofDeath)
TeardropAttack
Peer-to-PeerAttacks
Mức độ nguy hại của tấn công từ chối dịch vụ lan tràn
DDoS
Tê liệt các dịch vụ giao dịch với hệthống
Thiệt hại về thời gian, tài chính của đơnvị
Một số biện pháp ngăn chặn, phòng chống các hình thức
tấn công DDoS hiện nay và cho ví dụ về tấn công DDoS ở
Việt Nam mà các Anh/ Chị biết ?
Khi phát hiện máy chủ bị tấn công hãy nhanhchóng truy tìm
địa chỉ IP đó và cấm không cho gửi dữ liệu đến máychủ.
Dùng tính năng lọc dữ liệu của router/firewall đểloại bỏ các
packet không mong muốn, giảm lượng lưu thông trên mạng và
tải của máychủ.
Sử dụng các tính năng cho phép đặt rate limit trên
router/firewall để hạn chế số lượng packet vào hệthống.
Nếu bị tấn công do lỗi của phần mềm hay thiết bịthì nhanh
chóng cập nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế.

Dùng một số cơ chế, công cụ, phần mềm để chốnglại TCP
SYNFlooding.
Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể
đáp ứng tốt hơn. Nếu được có thể nâng cấp các thiết bị phần
cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng
thêm các máy chủ cùng tính năngkhác để phân chiatải.
Tạm thời chuyển máy chủ sang một địa chỉkhác
Câu 6: Anh/ Chị hãy trình bày khái niệm và chức năng hệ
thống phát hiện xâm nhập trái phép IDS (Intrusion Detection
System).
3

3


KháiniệmIDS:IDS(IntrusionDetectionSystem-hệ thống phát
hiện xâm nhập) là hệ thống phần cứng hoặc phần mềm có
chức năng giám sát, phân tích lưu lượng mạng, các hoạt động
khả nghi và cảnh báo cho hệ thống, hoặc nhà quản trị. IDS
cũng có thể phân biệt giữa những tấn công vào hệ thống từ
bên trong (từ những người dùng
nộibộ)haytấncôngtừbênngoài(từcáchacker).IDSphát hiện dựa
trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như
cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để
phát hiện và diệt virus), hay dựa trên so sánh lưu lượng mạng
hiện tại với baseline (thông số đođạc chuẩn của hệ thống) để
tìm ra các dấu hiệu bấtthường
Chức năng của IDS:
Chứcnăngquantrọngnhấtlà:Giámsát–Cảnhbáo–Bảo vệ:
-


-

-

-

Giám sát: thực hiện giámsát lưu lượng mạng và các hoạt động
khảnghi.
Cảnh báo: báo cáo về tình trạng mạng cho hệthống
và nhà quản trị.
Bảo vệ: sử dụng những thiết lập mặc định và cấu hình từ nhà
quản trị để có những hành động tương ứng phù hợp chống lại
kẻ xâm nhập và phá hoại.
Chức năng mở rộng: IDS cần có khả năng phân biệt tấn công
từ bên trong và tấn công từ bên ngoài. Ngoài ra, IDS cũngcó
khảnăngpháthiệnnhữngdấuhiệubất thườngdựa trên những gì đã
biết hoặc nhờ vào sự so sánh lưu lượng mạng hiện tại
vớibaseline.

4

4


Câu 7: Anh/ Chị hãy trình bày khái niệm và phân loại hệ
thống ngăn chặn xâm nhập trái phép IPS (Intrusion Prevention
System)
Khái niệm IPS: Hệ thống IPS (Intrusion Prevention System) là
một kỹ thuật an ninh mới, kết hợp các ưu điểm

củakỹthuậtfirewallvớihệthốngpháthiệnxâmnhậpIDS, có khả
năng phát hiện sự xâm nhập, các cuộc tấn công và tự động
ngăn chặn các cuộc tấn côngđó.
IPSkhôngđơngiảnchỉdòcáccuộctấncông,chúngcó
khảnăngngănchặncáccuộchoặccảntrởcáccuộctấncông
đó.
Chúng cho phép tổ chức ưu tiên, thực hiện các bước để
ngănchặnlạisựxâmnhập.PhầnlớnhệthốngIPSđượcđặt
ởvànhđaimạng,dủkhảnăngbảovệtấtcảcácthiếtbịtrong mạng
Phân loại hệ thống IPS:
-IPS ngoài luồng(Promiscuous Mode IPS)
5

5


Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng
dữ liệu. Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua
tường lửa và IPS. IPS có thể kiểm soát luồng
dữliệuvào,phântíchvàpháthiệncácdấuhiệucủasựxâm
nhập,tấncông.Vớivịtrínày,IPScóthểquảnlýbứctường lửa, chỉ
dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh
hưởng đến tốc độ lưu thông củamạng.
-IPS trong luồng (In-line IPS)
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua
IPS trước khi tới bức tường lửa. Điểm khác chính so với IPS
ngoài luồng là có thêm chức nǎng chặn lưu thông (trafficblocking). Điều đó làm cho IPS có thể ngǎn chặn luồng giao
thông
nguy
hiểm

nhanh
hơn
so
với
IPSngoàiluồng(PromiscuousModeIPS).Tuynhiên,vịtrí này sẽ
làm cho tốc độ luồng thông tin ra vào mạng chậm hơn.
Với mục tiêu ngăn chặn các cuộc tấn công, hệthống IPS phải
hoạt động theo thời gian thực. Tốc độ họat động của hệ thống
là một yếu tố rất quan trọng. Qua trình phát
hiệnxâmnhậpphảiđủnhanhđểcóthểngănchặncáccuộc tấn công
ngay lập tức. Nếu không đáp ứng được điều này thì các cuộc
tấn công đã được thực hiện xong và hệ thống IPS là vô nghĩa.
Câu 1: Anh/ Chị hãy nêu phương pháp tấn công kiểu Man- inthe-Middle và cách phòng chống.
Man-in-the-Middle (MITM) là hình thức tấn công mà kẻ tấn
công (attacker) nằm vùng trên đường kết nối (mạng LAN) với
vai trò là máy trung gian trong việc trao đổi thông tin giữa hai
máy tính, hai thiết bị, hay giữa một máy tính và server, nhằm
nghe trộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin
6

6






•

hoặc thay đổi luồng dữ liệu trao đổi giữa các nạn nhân.

Có hai bước để thực hiện tấn công kiểu man-in-the-middle.
Đầu tiên, kẻ tấn công phải xâm nhập được vào hệ thống mạng.
Thứ hai, kẻ tấn công phải giải mã dữ liệu.
Xâm nhập vào hệ thống mạng
Có bốn cách phổ biến mà kẻ xấu thường dùng để xâm nhập
mạng:
1. Giả một điểm truy cập Wi-Fi
2. Giả ARP
3. Chiếm proxy /SSL Bump
4. VPN giả
Giải mã dữ liệu
Có vài cách sau để giải mã dữ liệu trong khi dữ liệu đang di
chuyển trên hệ thống mạng. Trong đó, ba cách sau là thường
gặp nhất:
1. Tấn công chứng thực host
2. SSLStrip
3. Hạ cấp giao thức TLS
Cách phòng chống:
1. Bảo mật mạng LAN
2. Cấu hình lại bảng ARP Cache
3. Sử dụng phần mềm

7

7


•

•


•

•

•

Câu 2: Anh/ Chị hãy nêu phương pháp tấn công kiểu ManGoogle Hacking và cách phòng chống.
Google hacking là phương pháp được sử dụng khi một hacker
cố gắng tìm các dữ liệu nhạy cảm bằng máy tìm kiếm (Search
engines). Google Hacking Database(GHDB) là một cơ sở dữ
liệu (CSDL) của các truy vấn định vị dữ liệu nhạy cảm. Bằng
cách sử dụng một số luật tìm kiếm của Google, không điều gì
có thể ngăn chặn một hacker thu thập dữ liệu website của bạn.
Google hacking thực hiện những công việc như:
Sử dụng bộ máy tìm kiếm để truy tìm thông tin của đối tượng
cần theo dõi.
Cũng là bộ máy tìm kiếm, với những cú pháp tìm kiếm đặc
biệt có thể giúp hacker tìm thấy những thông tin đặc biệt có
liên quan đến bảo mật, như username, computername,
password, page logon…
Sử dụng Google để thực hiện các vụ tấn công, điều này được
làm như thế nào, hạ hồi phân giải.
Cách phòng chống:
Xác minh tất cả các trang bằng truy vấn GH(sử dụng phần
mềm Vulnerability Scanner).
Sử dụng tập tin robots.txt, để loại bỏ tất cả các trang mà chúng
không cần được tìm kiếm từ Google. Nếu các trang đó là cần
thiết thì bạn nên đặt luật cho chúng để nó không được Google
đánh chỉ mục để chúng không dễ dàng truy vấn từ GH

Câu 3: Anh/ Chị hãy nêu phương pháp tấn công kiểu
Footprinting và cách phòng chống.
Footprinting hay in dấu ấn, nói dễ hiểu là thám thính. Để tấn
công một mục tiêu nào đó, thì bước đầu tiên là phải thu thập
thông tin về mục tiêu đó từ các dữ liệu mà đối tượng hay tổ
8

8


chức công khai trên internet. Các thông tin này rất hữu ích cho
hacker. Các công cụ trực tuyến để thu thập thông tin thường
dùng là Whois, Domain Check… hay công cụ cài đặt trên máy
tính như DNS Walk, DNS Enum.

•

•
•

•

•
•

•
•

Cách Phòng chống:
Cấu hình router hay firewall không phản hồi các chương trình

dò tìm như Ping bằng cách chặn tín hiệu ICMP ECHO
Request/Reply
Tắt những giao thức không dùng trên máy chủ web.
Kiểm soát cổng dịch vụ với nhũng quy tắt chặt chẽ trên
firewall.
Triển khai hệ thống IDS (dò tìm xâm nhập trái phép) để cảnh
báo cho quản trị viên khi có hành động khả nghi xảy ra.
Kiểm soát thông tin cẩn thận trước khi công bố trên internet.
Tự thực hiện footprinting trên hệ thống của mình để phát hiện
các thông tin nhạy cảm.
Ngăn ngừa những ứng dụng tìm kiếm lưu cache trang web.
Tắt chức năng duyệt thư mục, tách domain nội bộ với domain
dùng cho mục đích công cộng.

Câu 8: Anh/ Chị hãy trình bày các khái niệm, kiến trúc và cơ
chế hoạt động của tường lửa Firewall, IPSec, VPN,…
8.1 Firewall:
− Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để
chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin
nội bộ cũng như hạn chế sự xâm nhập vào hệ thống nhằm mục
đích phá hoại, gây tổn thất cho tổ chức, doanh nghiệp. Cũng
có thể hiểu firewall là một cơ chế để bảo vệ mạng tin tưởng
9

9


−
•


•

(trusted network) khỏi các mạng không tin tưởng (untrusted
network).
Các thành phần và Cơ chế hoạt động:
Bộ lọc packet
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao
thức này hoạt động theo thuật toán chia nhỏ dữ liệu nhận được
từ ứng dụng trên mạng, hay nói chính xác hơn là dịch vụ chạy
trên các giao thức (Telnet, SMTP,DNS,SMNP,NFS…) thành
các gói dữ liệu (data packets) rồi gán cho các packet này
những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến,
do đó các loại Firewall cũng liên quan rất nhiều đến các
packet và những con số địa chỉ của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận
được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem
đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc
packet hay không. Các luật lệ lọc packet này là dựa trên các
thông tin ở đầu mỗi packet (header), dùng để cho phép truyền
các packet đó ở trên mạng. Bao gồm:
• Địa chỉ IP nơi xuất phát (Source)
• Địa chỉ IP nơi nhận ( Destination)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP
• Giao diện packet đến
• Giao diện packet đi
Nếu packet thỏa các luật lệ đã được thiết lập trước của
Firewall thì packet đó được chuyển qua, nếu không thỏa thì sẽ

bị loại bỏ. Việc kiểm soát các cổng làm cho Firewall có khả
năng chỉ cho phép một số loại kết nối nhất định được phép
mới vào được hệ thống mạng cục bộ.
Cổng ứng dụng:
10
10


Đây là một loại Tường lửa được thiết kế để tăng cường chức
năng kiểm soát các loại dịch vụ, các giao thức được cho phép
truy cập vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên
cách thức gọi là Proxy service. Proxy service là các bộ mã đặc
biệt cài đặt trên gateway cho từng ứng dụng.

•

−

Nếu người quản trị mạng không cài đặt proxy code cho một
ứng dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp
và do đó không thể chuyển thông tin qua firewall. Ngoài ra,
proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc
điểm trong ứng dụng mà người quản trị mạng cho là chấp
nhận được trong khi từ chối những đặc điểm khác.
Cổng vòng:
Cổng vòng là 1 chức năng đặc biệt của cổng ứng dụng. Cổng
vòng đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực
hiện bất kì 1 hành động xử lý hay lọc packet nào.
Kiến trúc:


Trong đó:
11

11


– Screening Router: là chặng kiểm soát đầu tiên cho LAN.
– DMZ: là vùng có nguy cơ bị tấn công từ internet.
– Gateway Host: là cổng ra vào giữa mạng LAN và DMZ,
kiểm soát mọi liên lạc, thực thi các cơ chế bảo mật.
– IF1 (Interface 1): là card giao tiếp với vùng DMZ.
– IF2 (Interface 2): là card giao tiếp với vùng mạng LAN.
– FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng
FTP từ mạng LAN ra internet là tự do. Các truy cập FTP vào
LAN đòi hỏi xác thực thông qua Authentication server.
– Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP,
người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào
yêu cầu phải xác thực thông qua Authentication server.
– Authentication server: là nơi xác thực quyền truy cập dùng
các kỹ thuật xác thực mạnh như one-time password/token (mật
khẩu sử dụng một lần).
8.2 IPSEC
− Khái niệm: IP Security (IPSec) là một giao thức được chuẩn
hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ
chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi
trên mạng bằng giao thức IP. Hay nói cách khác, IPSec là sự
tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn
mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ
liệu giữa các thiết bị mạng
− Cơ chế:

• Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các
lớp cao hơn (TCP, UDP hoặc ICMP). Trong Transport mode,
phần IPSec header được chèn vào giữa phần IP header và phần
header của giao thức tầng trên, như hình mô tả bên dưới, AH
và ESP sẽ được đặt sau IP header nguyên thủy. Vì vậy chỉ có
12

12


•

−

tải (IP payload) là được mã hóa và IP header ban đầu là được
giữ nguyên vẹn. Transport mode có thể được dùng khi cả hai
host hỗ trợ IPSec. Chế độ transport này có thuận lợi là chỉ
thêm vào vài bytes cho mỗi packets và nó cũng cho phép các
thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói.
Khả năng này cho phép các tác vụ xử lý đặc biệt trên các
mạng trung gian dựa trên các thông tin trong IP header. Tuy
nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả
năng kiểm tra của gói.
Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói dữ liệu
IP được đóng gói trong một gói dữ liệu IP khác và một IPSec
header được chèn vào giữa phần đầu nguyên bản và phần đầu
mới của IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc
ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ
liệu. Toàn bộ các gói IP sẽ được mã hóa và trở thành dữ liệu
mới của gói IP mới. Chế độ này cho phép những thiết bị

mạng, chẳng hạn như router, hoạt động như một IPSec proxy
thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ
mã hóa các packets và chuyển chúng dọc theo tunnel. Router
đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối.
Vì vậy header mới sẽ có địa chỉ nguồn chính là gateway.
- Với tunnel hoạt động giữa hai security gateway, địa chỉ
nguồn và đích có thể được mã hóa. Tunnel mode được dùng
khi một trong hai đầu của kết nối IPSec là security gateway và
địa chỉ đích thật sự phía sau các gateway không có hỗ trợ
IPSec
Kiến trúc:
Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái
niệm và yêu cầu của IPSec.
- Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một
giao thức mật mã và xác thực thông tin trong IPSec.
13

13


- Giao thức AH (RFC 2402): Định nghĩa một giao thức khác
với chức năng gần giống ESP. Như vậy khi triển khai IPSec,
người sử dụng có thể chọn dùng ESP hoặc AH, mỗi giao thức
có ưu và nhược điểm riêng.
- Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải
mã sử dụng trong IPSec. IPSec chủ yếu dựa vào các thuật toán
mã hoá đối xứng.
- Thuật toán xác thực: Định nghĩa các thuật toán xác thực
thông tin sử dụng trong AH và ESP.
- Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao

đổi khoá trong IPSec.
- Miền thực thi (Domain of Interpretation – DOI): Định nghĩa
môi trường thực thi IPSec. IPSec không phải là một công nghệ
riêng biệt mà là sự tổ hợp của nhiều cơ chế, giao thức và kỹ
thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều
chế độ hoạt động khác nhau. Việc xác định một tập các chế độ
cần thiết để triển khai IPSec trong một tình huống cụ thể là
chức năng của miền thực thi.
Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt
động song song với IP nhằm cung cấp 2 chức năng cơ bản mà
IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu.
Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai
thành phần:
-Giao thức đóng gói, gồm AH và ESP
-Giao thức trao đổi khoá IKE (Internet Key Exchange)

14

14


8.3
−

−

−
•




VPN
Khái niệm: Mạng riêng ảo VPN được định nghĩa là một kết
nối mạng triển khai trên cơ sở hạ tầng mạng công cộng (như
mạng Internet) với các chính sách quản lý và bảo mật giống
như mạng cục bộ
Cơ chế: Thực ra, cách thức làm việc của VPN cũng khá đơn
giản, không khác là mấy so với các mô hình server – client
thông thường. Server sẽ chịu trách nhiệm chính trong việc lưu
trữ và chia sẻ dữ liệu sau khi mã hóa, giám sát và cung cấp hệ
thống gateway để giao tiếp và xác nhận các tài khoản client
trong khâu kết nối, trong khi client VPN, cũng tương tự như
client của hệ thống LAN, sẽ tiến hành gửi yêu cầu – request
tới server để nhận thông tin về dữ liệu chia sẻ, khởi tạo kết nối
tới các client khác trong cùng hệ thống VPN và xử lý quá trình
bảo mật dữ liệu qua ứng dụng được cung cấp.
Kiến trúc:
Đường hầm:
Các kết nối được thiết lập trên nhu cầu tổ chức
Một nối chỉ được tạo ra 2 site khi cần thiết
15

15





•







Việc tạo đường hầm ra kết nối đặc biệt giữa 2 điểm cuối
Việc tạo ra đường hầm tạo ra một kết nối đặc biệt giữa dòng
dữ liệu và thông tin người dùng
Các dịch vụ bảo mật trong phần riêng VPN bao gồm
Xác thực
Điều khiển truy cập
Tin cậy
Tính toàn vẹn dữ liệu
Việc xác thực người dùng và tính toàn vẹn dữ liệu phụ thuộc
vào các tiến trình mã hóa

16

16