AN TOÀN BẢO MẬT THÔNG TIN
Contents

1

1






•

Câu 1: Anh/ Chị hãy nêu phương pháp tấn công kiểu Man- in-theMiddle và cách phòng chống.
Man-in-the-Middle (MITM) là hình thức tấn công mà kẻ tấn
công (attacker) nằm vùng trên đường kết nối (mạng LAN) với vai
trò là máy trung gian trong việc trao đổi thông tin giữa hai máy
tính, hai thiết bị, hay giữa một máy tính và server, nhằm nghe
trộm, thông dịch dữ liệu nhạy cảm, đánh cắp thông tin hoặc thay
đổi luồng dữ liệu trao đổi giữa các nạn nhân.
Có hai bước để thực hiện tấn công kiểu man-in-the-middle. Đầu
tiên, kẻ tấn công phải xâm nhập được vào hệ thống mạng. Thứ hai,
kẻ tấn công phải giải mã dữ liệu.
Xâm nhập vào hệ thống mạng
Có bốn cách phổ biến mà kẻ xấu thường dùng để xâm nhập mạng:
1. Giả một điểm truy cập Wi-Fi
2. Giả ARP
3. Chiếm proxy /SSL Bump
4. VPN giả
Giải mã dữ liệu

Có vài cách sau để giải mã dữ liệu trong khi dữ liệu đang di
chuyển trên hệ thống mạng. Trong đó, ba cách sau là thường gặp
nhất:
1. Tấn công chứng thực host
2. SSLStrip
3. Hạ cấp giao thức TLS
Cách phòng chống:
1. Bảo mật mạng LAN
2. Cấu hình lại bảng ARP Cache
3. Sử dụng phần mềm
Câu 2: Anh/ Chị hãy nêu phương pháp tấn công kiểu ManGoogle Hacking và cách phòng chống.
Google hacking là phương pháp được sử dụng khi một hacker cố
gắng tìm các dữ liệu nhạy cảm bằng máy tìm kiếm (Search
engines). Google Hacking Database(GHDB) là một cơ sở dữ liệu
(CSDL) của các truy vấn định vị dữ liệu nhạy cảm. Bằng cách sử
2
2


•
•

•

•

•

dụng một số luật tìm kiếm của Google, không điều gì có thể ngăn
chặn một hacker thu thập dữ liệu website của bạn.

Google hacking thực hiện những công việc như:
Sử dụng bộ máy tìm kiếm để truy tìm thông tin của đối tượng cần
theo dõi.
Cũng là bộ máy tìm kiếm, với những cú pháp tìm kiếm đặc biệt có
thể giúp hacker tìm thấy những thông tin đặc biệt có liên quan đến
bảo mật, như username, computername, password, page logon…
Sử dụng Google để thực hiện các vụ tấn công, điều này được làm
như thế nào, hạ hồi phân giải.
Cách phòng chống:
Xác minh tất cả các trang bằng truy vấn GH(sử dụng phần mềm
Vulnerability Scanner).
Sử dụng tập tin robots.txt, để loại bỏ tất cả các trang mà chúng
không cần được tìm kiếm từ Google. Nếu các trang đó là cần thiết
thì bạn nên đặt luật cho chúng để nó không được Google đánh chỉ
mục để chúng không dễ dàng truy vấn từ GH
Câu 3: Anh/ Chị hãy nêu phương pháp tấn công kiểu Footprinting
và cách phòng chống.
Footprinting hay in dấu ấn, nói dễ hiểu là thám thính. Để tấn
công một mục tiêu nào đó, thì bước đầu tiên là phải thu thập thông
tin về mục tiêu đó từ các dữ liệu mà đối tượng hay tổ chức công
khai trên internet. Các thông tin này rất hữu ích cho hacker. Các
công cụ trực tuyến để thu thập thông tin thường dùng là Whois,
Domain Check… hay công cụ cài đặt trên máy tính như DNS
Walk, DNS Enum.

•

•
•


Cách Phòng chống:
Cấu hình router hay firewall không phản hồi các chương trình dò
tìm như Ping bằng cách chặn tín hiệu ICMP ECHO Request/Reply
Tắt những giao thức không dùng trên máy chủ web.
Kiểm soát cổng dịch vụ với nhũng quy tắt chặt chẽ trên firewall.
3

3


•

•
•

•
•

-

Triển khai hệ thống IDS (dò tìm xâm nhập trái phép) để cảnh báo
cho quản trị viên khi có hành động khả nghi xảy ra.
Kiểm soát thông tin cẩn thận trước khi công bố trên internet.
Tự thực hiện footprinting trên hệ thống của mình để phát hiện các
thông tin nhạy cảm.
Ngăn ngừa những ứng dụng tìm kiếm lưu cache trang web.
Tắt chức năng duyệt thư mục, tách domain nội bộ với domain
dùng cho mục đích công cộng.
Câu 4: Anh/ Chị hãy nêu phương pháp tấn công SQL Injection và
cách phòng chống.

Phương pháp tấn công dạng SQL Injection:
Phương pháp tấn công dạng SQL injection là một kĩ thuật tấn công
lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng
dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để
"tiêm vào" (injection) và thi hành các câu lệnh SQL bất hợp pháp
Có bốn dạng thông thường bao gồm:
Vượt qua kiểm tra lúc đăng nhập (authorization bypass)
Sử dụng câu lện SELECT
Sử dụng câu lệnh INSERT
Sử dụng các Stored-procedures
Cách phòng chống kiểu tấn công SQL Injection:
Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử lí dữ liệu
đến tài khoản người dùng mà ứng dụng web đang sử dụng
Các ứng dụng thông thường nên tránh dùng đến các quyền như
dbo hay sa. Quyền càng bị hạn chế, thiệt hại càng ít.
Loại bỏ bất kì thông tin kĩ thuật nào chứa trong thông điệp
chuyển xuống cho người dùng khi ứng dụng có lỗi. Các thông báo
lỗi thông thường tiết lộ các chi tiết kĩ thuật có thể cho phép kẻ
tấn công biết được điểm yếu của hệ thống.
Câu 5: Theo Anh/ Chị, để thực hiện thành công DDoS cần phải
thỏa điều kiện gì? Đánh giá mức độ nguy hại, đề xuất các biện
pháp ngăn chặn, phòng chống các hình thức tấn công DDoS. Cho
4
4


-

1.


2.

3.

4.

5.

6.

7.

ví dụ về 1 trường hợp tấn công DDoS ở Việt Nam mà các anh chị
biết.
Điều kiện để thực hiện thành công DDoS ?
SYN Flood Attack
Ping Flood Attack (Ping of Death)
Teardrop Attack
Peer-to-Peer Attacks
Mức độ nguy hại của tấn công từ chối dịch vụ lan tràn DDoS
Tê liệt các dịch vụ giao dịch với hệ thống
Thiệt hại về thời gian, tài chính của đơn vị
Một số biện pháp ngăn chặn, phòng chống các hình thức tấn
công DDoS hiện nay và cho ví dụ về tấn công DDoS ở Việt
Nam mà các Anh/ Chị biết ?
Khi phát hiện máy chủ bị tấn công hãy nhanh chóng truy tìm địa
chỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ.
Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các
packet không mong muốn, giảm lượng lưu thông trên mạng và tải
của máy chủ.

Sử dụng các tính năng cho phép đặt rate limit trên router/firewall
để hạn chế số lượng packet vào hệ thống.
Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng
cập nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế.
Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN
Flooding.
Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể
đáp ứng tốt hơn. Nếu được có thể nâng cấp các thiết bị phần cứng
để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm các
máy chủ cùng tính năng khác để phân chia tải.
Tạm thời chuyển máy chủ sang một địa chỉ khác
Câu 6: Anh/ Chị hãy trình bày khái niệm và chức năng hệ thống
phát hiện xâm nhập trái phép IDS (Intrusion Detection System).
Khái niệm IDS: IDS (Intrusion Detection System- hệ thống phát
hiện xâm nhập) là hệ thống phần cứng hoặc phần mềm có chức
5
5


-

-

năng giám sát, phân tích lưu lượng mạng, các hoạt động khả nghi
và cảnh báo cho hệ thống, hoặc nhà quản trị. IDS cũng có thể phân
biệt giữa những tấn công vào hệ thống từ bên trong (từ những
người dùng nội bộ) hay tấn công từ bên ngoài (từ các hacker). IDS
phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết
(giống như cách các phần mềm diệt virus dựa vào các dấu hiệu
đặc biệt để phát hiện và diệt virus), hay dựa trên so sánh lưu lượng

mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống)
để tìm ra các dấu hiệu bất thường
Chức năng của IDS:
Chức năng quan trọng nhất là: Giám sát – Cảnh báo – Bảo vệ:
Giám sát: thực hiện giám sát lưu lượng mạng và các hoạt động
khả nghi.
Cảnh báo: báo cáo về tình trạng mạng cho hệ thống
và nhà quản trị.
Bảo vệ: sử dụng những thiết lập mặc định và cấu hình từ nhà quản
trị để có những hành động tương ứng phù hợp chống lại kẻ xâm
nhập và phá hoại.
Chức năng mở rộng: IDS cần có khả năng phân biệt tấn công từ
bên trong và tấn công từ bên ngoài. Ngoài ra, IDS cũng có khả
năng phát hiện những dấu hiệu bất thường dựa trên những gì đã
biết hoặc nhờ vào sự so sánh lưu lượng mạng hiện tại với
baseline.

6

6


Câu 7: Anh/ Chị hãy trình bày khái niệm và phân loại hệ thống
ngăn chặn xâm nhập trái phép IPS (Intrusion Prevention System)
Khái niệm IPS: Hệ thống IPS (Intrusion Prevention System) là
một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật
firewall với hệ thống phát hiện xâm nhập IDS, có khả năng phát
hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các
cuộc tấn công đó.
IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng

ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó. Chúng cho
phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm
nhập. Phần lớn hệ thống IPS được đặt ở vành đai mạng, dủ khả
năng bảo vệ tất cả các thiết bị trong mạng
Phân loại hệ thống IPS:
-IPS ngoài luồng(Promiscuous Mode IPS)
Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ
liệu. Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa
và IPS. IPS có thể kiểm soát luồng dữ liệu vào, phân tích và phát
hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này, IPS
có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động
7
7


nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của
mạng.
-IPS trong luồng (In-line IPS)
Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS
trước khi tới bức tường lửa. Điểm khác chính so với IPS ngoài
luồng là có thêm chức nǎng chặn lưu thông (traffic-blocking).
Điều đó làm cho IPS có thể ngǎn chặn luồng giao thông nguy
hiểm nhanh hơn so với IPS ngoài luồng (Promiscuous Mode IPS).
Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào
mạng chậm hơn.
Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt
động theo thời gian thực. Tốc độ họat động của hệ thống là một
yếu tố rất quan trọng. Qua trình phát hiện xâm nhập phải đủ nhanh
để có thể ngăn chặn các cuộc tấn công ngay lập tức. Nếu không
đáp ứng được điều này thì các cuộc tấn công đã được thực hiện

xong và hệ thống IPS là vô nghĩa.
Câu 8: Anh/ Chị hãy trình bày các khái niệm, kiến trúc và cơ chế
hoạt động của tường lửa Firewall, IPSec, VPN,…
8.1 Firewall:
− Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để
chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội
bộ cũng như hạn chế sự xâm nhập vào hệ thống nhằm mục đích
phá hoại, gây tổn thất cho tổ chức, doanh nghiệp. Cũng có thể hiểu
firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network)
khỏi các mạng không tin tưởng (untrusted network).
− Các thành phần và Cơ chế hoạt động:
• Bộ lọc packet
Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức
này hoạt động theo thuật toán chia nhỏ dữ liệu nhận được từ ứng
dụng trên mạng, hay nói chính xác hơn là dịch vụ chạy trên các
giao thức (Telnet, SMTP,DNS,SMNP,NFS…) thành các gói dữ
liệu (data packets) rồi gán cho các packet này những địa chỉ có thể
8
8


•

nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall
cũng liên quan rất nhiều đến các packet và những con số địa chỉ
của chúng.
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được.
Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu
đó có thỏa mãn một trong số các luật lệ của lọc packet hay không.
Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi

packet (header), dùng để cho phép truyền các packet đó ở trên
mạng. Bao gồm:
• Địa chỉ IP nơi xuất phát (Source)
• Địa chỉ IP nơi nhận ( Destination)
• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)
• Cổng TCP/UDP nơi xuất phát
• Cổng TCP/UDP nơi nhận
• Dạng thông báo ICMP
• Giao diện packet đến
• Giao diện packet đi
Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì
packet đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ. Việc
kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép
một số loại kết nối nhất định được phép mới vào được hệ thống
mạng cục bộ.
Cổng ứng dụng:
Đây là một loại Tường lửa được thiết kế để tăng cường chức năng
kiểm soát các loại dịch vụ, các giao thức được cho phép truy cập
vào hệ thống mạng. Cơ chế hoạt động của nó dựa trên cách thức
gọi là Proxy service. Proxy service là các bộ mã đặc biệt cài đặt
trên gateway cho từng ứng dụng.
Nếu người quản trị mạng không cài đặt proxy code cho một ứng
dụng nào đó, dịch vụ tương ứng sẽ không được cung cấp và do đó
không thể chuyển thông tin qua firewall. Ngoài ra, proxy code có
thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng
dụng mà người quản trị mạng cho là chấp nhận được trong khi từ
9
9



•

−

chối những đặc điểm khác.
Cổng vòng:
Cổng vòng là 1 chức năng đặc biệt của cổng ứng dụng. Cổng vòng
đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất
kì 1 hành động xử lý hay lọc packet nào.
Kiến trúc:

Trong đó:
– Screening Router: là chặng kiểm soát đầu tiên cho LAN.
– DMZ: là vùng có nguy cơ bị tấn công từ internet.
– Gateway Host: là cổng ra vào giữa mạng LAN và DMZ, kiểm
soát mọi liên lạc, thực thi các cơ chế bảo mật.
– IF1 (Interface 1): là card giao tiếp với vùng DMZ.
– IF2 (Interface 2): là card giao tiếp với vùng mạng LAN.
– FTP Gateway: Kiểm soát truy cập FTP giữa LAN và vùng FTP
từ mạng LAN ra internet là tự do. Các truy cập FTP vào LAN đòi
hỏi xác thực thông qua Authentication server.
– Telnet gateway: Kiểm soát truy cập telnet tương tự như FTP,
người dùng có thể telnet ra ngoài tự do, các telnet từ ngoài vào
yêu cầu phải xác thực thông qua Authentication server.
10

10


– Authentication server: là nơi xác thực quyền truy cập dùng các

kỹ thuật xác thực mạnh như one-time password/token (mật khẩu
sử dụng một lần).
8.2 IPSEC
− Khái niệm: IP Security (IPSec) là một giao thức được chuẩn hoá
bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã
hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng
bằng giao thức IP. Hay nói cách khác, IPSec là sự tập hợp của các
chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo
tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạng
− Cơ chế:
• Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp
cao hơn (TCP, UDP hoặc ICMP). Trong Transport mode, phần
IPSec header được chèn vào giữa phần IP header và phần header
của giao thức tầng trên, như hình mô tả bên dưới, AH và ESP sẽ
được đặt sau IP header nguyên thủy. Vì vậy chỉ có tải (IP payload)
là được mã hóa và IP header ban đầu là được giữ nguyên vẹn.
Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec.
Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho
mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được
địa chỉ đích cuối cùng của gói. Khả năng này cho phép các tác vụ
xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin
trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm
giới hạn khả năng kiểm tra của gói.
• Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói dữ liệu IP
được đóng gói trong một gói dữ liệu IP khác và một IPSec header
được chèn vào giữa phần đầu nguyên bản và phần đầu mới của
IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một
IP header mới sẽ được bao bọc xung quanh gói dữ liệu. Toàn bộ
các gói IP sẽ được mã hóa và trở thành dữ liệu mới của gói IP mới.
Chế độ này cho phép những thiết bị mạng, chẳng hạn như router,

hoạt động như một IPSec proxy thực hiện chức năng mã hóa thay
cho host. Router nguồn sẽ mã hóa các packets và chuyển chúng
dọc theo tunnel. Router đích sẽ giải mã gói IP ban đầu và chuyển
11
11


−

nó về hệ thống cuối. Vì vậy header mới sẽ có địa chỉ nguồn chính
là gateway.
- Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và
đích có thể được mã hóa. Tunnel mode được dùng khi một trong
hai đầu của kết nối IPSec là security gateway và địa chỉ đích thật
sự phía sau các gateway không có hỗ trợ IPSec
Kiến trúc:
Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm
và yêu cầu của IPSec.
- Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao
thức mật mã và xác thực thông tin trong IPSec.
- Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với
chức năng gần giống ESP. Như vậy khi triển khai IPSec, người sử
dụng có thể chọn dùng ESP hoặc AH, mỗi giao thức có ưu và
nhược điểm riêng.
- Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã
sử dụng trong IPSec. IPSec chủ yếu dựa vào các thuật toán mã hoá
đối xứng.
- Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông
tin sử dụng trong AH và ESP.
- Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi

khoá trong IPSec.
- Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi
trường thực thi IPSec. IPSec không phải là một công nghệ riêng
biệt mà là sự tổ hợp của nhiều cơ chế, giao thức và kỹ thuật khác
nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ hoạt
động khác nhau. Việc xác định một tập các chế độ cần thiết để
triển khai IPSec trong một tình huống cụ thể là chức năng của
miền thực thi.
Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động
song song với IP nhằm cung cấp 2 chức năng cơ bản mà IP
nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu. Một
cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành
phần:
12
12


-Giao thức đóng gói, gồm AH và ESP
-Giao thức trao đổi khoá IKE (Internet Key Exchange)

8.3
−

−

−
•


VPN

Khái niệm: Mạng riêng ảo VPN được định nghĩa là một kết nối
mạng triển khai trên cơ sở hạ tầng mạng công cộng (như mạng
Internet) với các chính sách quản lý và bảo mật giống như mạng
cục bộ
Cơ chế: Thực ra, cách thức làm việc của VPN cũng khá đơn giản,
không khác là mấy so với các mô hình server – client thông
thường. Server sẽ chịu trách nhiệm chính trong việc lưu trữ và
chia sẻ dữ liệu sau khi mã hóa, giám sát và cung cấp hệ thống
gateway để giao tiếp và xác nhận các tài khoản client trong khâu
kết nối, trong khi client VPN, cũng tương tự như client của hệ
thống LAN, sẽ tiến hành gửi yêu cầu – request tới server để nhận
thông tin về dữ liệu chia sẻ, khởi tạo kết nối tới các client khác
trong cùng hệ thống VPN và xử lý quá trình bảo mật dữ liệu qua
ứng dụng được cung cấp.
Kiến trúc:
Đường hầm:
Các kết nối được thiết lập trên nhu cầu tổ chức
13

13






•







Một nối chỉ được tạo ra 2 site khi cần thiết
Việc tạo đường hầm ra kết nối đặc biệt giữa 2 điểm cuối
Việc tạo ra đường hầm tạo ra một kết nối đặc biệt giữa dòng dữ
liệu và thông tin người dùng
Các dịch vụ bảo mật trong phần riêng VPN bao gồm
Xác thực
Điều khiển truy cập
Tin cậy
Tính toàn vẹn dữ liệu
Việc xác thực người dùng và tính toàn vẹn dữ liệu phụ thuộc vào
các tiến trình mã hóa

14

14