Tải bản đầy đủ (.docx) (18 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

giải ngân hàng kiểm thử xâm nhập PTIT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (677.1 KB, 18 trang )

1 Trình bày nguyên lý và các loại honeypot

 Nguyên lý của honeypot :
- Honeypot là hệ thống tài nguyên thông tin xây dựng với mục đích giả
dạng và đánh lừa kẻ xâm nhập, không cho kẻ xâm nhập hợp pháp, thu hút
sự chú ý, không cho tiếp xúc với hệ thống thật
- Honeypot có thể giả dạng bất kì máy chủ tài nguyên nào như DNS, mail
server,.. trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin của tin
tặc như : hình thức tấn công, công cụ tấn công, cách thức tiến hành thay vì bị
tấn công
 Các loại honeypot: gồm 2 loại
- Tương tác thấp: Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành. Mức
độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.
- Tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ
thông tin thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành
và bảo dưỡng
 Ví dụ :
- BackOfficer Friendly (BOF):
o Một loại hình Honeypot rất dễ vận hành và cấu hình
o Có thể hoạt động trên bất kì phiên bản nào của Windows và Unix
o Chỉ tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…
- Specter:
1


o Cũng là loại hình Honeypot tương tác thấp nhưng khả năng tương tác tốt
hơn BOF,
o Giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa.
o Tuy nhiên giống BOF thì specter bị giới hạn số dịch vụ và cũng không linh
hoạt.
- Honeyd:


o Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô
phỏng được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công,
tương tác với kẻ tấn công với vai trò một hệ thống nạn nhân.
o Honeyd có thể mô phỏng cùng một lúc nhiều hệ điều hành khác nhau.
o Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473
hệ điều hành.
o Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm tuy nhiên
Honeyd có nhược điểm
o là không thể cung cấp một hệ điều hành thật để tương tác với tin tặc
o không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hay gặp nguy
hiểm.
- Honeynet:
o Là hình thức honeypots tương tác cao.
o Khác với honeyd, honeynet là hệ thống thật, hoàn toàn giống mạng làm việc
bình thường.
o Cung cấp hệ thống, ứng dụng, dịch vụ thật.
o Đặc biệt là honeywall:
o Ngăn giữa honeypots và mạng bên ngoài.
o Hoạt động tầng thứ 2 như Bridged
o Các luồng dữ liệu vào ra honeypot đều phải đi qua honey wall

2


2 Mô tả cấu trúc chứng chỉ số theo chuẩn X509.

- Version: Xác định phiên bản của chứng chỉ
- Certificate Serial Number: do CA cấp, là định danh duy nhất
- Signature algorithm identifier: Chỉ ra thuật toán CA sử dụng để đăng ký
chứng chỉ

- Issuer name: tên của CA thực hiện chứng chỉ này
- Period of validity: Thời hạn của chứng chỉ:
- Not before: thời gian chứng chỉ bắt đầu có hiệu lực
- Not after: thời gian chứng chỉ hết hiệu lực
- Subject name: Xác định thực thể mà khoá công khai này được xác nhận. Tên
của subject phải là duy nhất đối với mỗi thực thể được CA xác nhận
- Subject’s public key info: Chứa thuật toán công khai và các tham số liên
quan, khóa được sử dụng
- Issuer Unique Identifier: Là trường không bắt buộc, cho phép sử dụng tên lại
tên người cấp. Trường này thường không được sử dụng trong thực tế
- Subject Unique Identifier: Là trường tùy chọn cho phép sử dụng lại khi tên
subject quá hạn.
- Extensions: Là thành phần mở rộng, chỉ có trong chức chỉ X.509 v3
- Signature: gồm 3 phần.
o phần 1 chứa tất cả những trường còn lại
3


o phần 2 chứa bản tóm tắt của phần 1 được mã hoá bằng khoá công khai của
CA
o phần 3 gồm các thuật toán được sử dụng trong phần 2.

3 Trình bày các mô hình hoạt động và kiến trúc cơ bản Hạ tầng khóa
công khai PKI.

-

Các mô hình hoạt động bao gồm :
Single CA
Hierarchical PKI

Mesh PKI
a. Single CA

Đây là mô hình PKI cơ bản nhất phù hợp với các tổ chức nhỏ trong đó chỉ có
một CA cung cấp dịch vụ cho toàn hệ thống và tất cả người dùng đặt sự tin cậy vào
CA này. Mọi thực thể muốn tham gia vào PKI và xin cấp chứng chỉ đều phải thông
qua CA duy nhất này. Mô hình này dễ thiết kế và triển khai nhưng cũng có các hạn
chế riêng. Thứ nhất là ở khả năng co giãn – khi quy mô tổ chức được mở rộng, chỉ
một CA thì khó mà quản lý và đáp ứng tốt các dịch vụ. Hạn chế thứ hai là CA này
sẽ là điểm chịu lỗi duy nhất, nếu nó ngưng hoạt động thì dịch vụ bị ngưng trệ. Cuối
cùng, nếu nó bị xâm hại thì nguy hại tới độ tin cậy của toàn bộ hệ thống và tất cả
các chứng chỉ số phải được cấp lại một khi CA này được phục hồi.
b. Hierarchical PKI
Đây là mô hình PKI được áp dụng rộng rãi trong các tổ chức lớn. Có một
CA nằm ở cấp trên cùng gọi là root CA, tất cả các CA còn lại là các Subordinate
CA (gọi tắt là sub. CA) và hoạt động bên dưới root CA. Ngoại trừ root CA thì các
CA còn lại trong đều có duy nhất một CA khác là cấp trên của nó. Hệ thống tên
miền DNS trên Internet cũng có cấu trúc tương tự mô hình này.

4


c. Mesh PKI
Nổi lên như một sự thay thế chính cho mô hình Hierarchical PKI truyền
thống, thiết kế của Mesh PKI giống với kiến trúc Web-of-Trust trong đó không có
một CA nào làm root CA và các CA sẽ có vai trò ngang nhau trong việc cung cấp
dịch vụ. Tất cả người dùng trong mạng lưới có thể tin cậy chỉ một CA bất kỳ,
không nhất thiết hai hay nhiều người dùng phải cùng tin một CA nào đó và người
dùng tin cậy CA nào thì sẽ nhận chứng chỉ do CA đó cấp


Các CA trong mô hình này sau đó sẽ cấp các chứng chỉ cho nhau. Khi hai CA
cấp chứng chỉ cho nhau thì một sự tin cậy hai chiều được thiết lập giữa hai CA đó.
Các CA mới có thể được thêm vào bằng cách tạo các mối tin cậy hai chiều giữa
chúng với các CA còn lại trong mạng lưới.
Dưới góc độ các hoạt động quản lý hệ thống PKI, những đối tượng tham gia vào hệ
thống PKI bao gồm: các đối tượng sử dụng(End Entity - EE),
các đối tượng quản lý chứng chỉ số (Certificate
Authority - CA) và các đối tượng quản lý đăng ký (Registration
Authorities - RA) và các hệ thống lưu trữ
 Kiến trúc cơ bản :
5




(1) : Người dùng gửi yêu cầu phát hành thẻ chứng thư số và khóa công khai
của nó đến RA;



(2) : Sau khi xác nhận tính hợp lệ định danh của người dùng thì RA sẽ
chuyển yêu cầu này đến CA;



(3) : CA phát hành thẻ chứng thư số cho người dùng;



(4) : Sau đó người dùng “ký” thông điệp trao đổi với thẻ chứng thư số mới

vừa nhận được từ CA và sử dụng chúng (thẻ chứng thực số + chữ ký số)
trong giao dịch;



(5) : Định danh của người dùng được kiểm tra bởi đối tác thông qua sự hỗ
trợ của VA;

VA (validation authority) : Cơ quan xác thực của bên thứ ba có thể cung cấp thông
tin thực thể này thay mặt cho CA.)


(6) : Nếu chứng thư số của người dùng được xác nhận tính hợp lệ thì đối tác
mới tin cậy người dùng và có thể bắt đầu quá trình trao đổi thông tin với nó
(VA nhận thông tin về thẻ chứng thư số đã được phát hành từ CA (a))

6


4 Trình bày các phương pháp điều khiển truy cập
 Điều khiển truy nhập truỳ chọn – Discretionary Access Control :
Là các cơ chế hạn chế truy nhập đến các đối tượng dựa trên thông tin nhận
dạng của các chủ thể hoặc nhóm các chủ thể (bạn là ai, bạn biết những gì,
bạn có gì). Cơ chế này cũng cho phép người dùng có thể cấp hoặc huỷ quyền
truy nhập cho các người dùng khác đến các đối tượng thuộc quyền sở hữu
của họ.
 Điều khiển truy nhập bắt buộc – Mandatory Access Control (MAC) :
- Là các cơ chế hạn chế truy nhập đến các đối tượng dựa trên 2 yếu tố chính:
tính nhạy cảm của thông tin chứa trong các đối tượng và sự trao quyền
chính thức cho các chủ thể truy nhập các thong tin nhạy cảm này. Đặc điểm

nổi bật của cơ chế là nó cũng không cho phép người tạo ra đối tượng có toàn
quyền truy nhập đến các đối tượng này. Quyền truy nhập phải tuân thủ theo
chính sách mà tổ chức đặt ra.
- Các mức nhạy cảm:
o Tối mật: gây thiệt hại trầm trọng đến an ninh quốc gia nếu bị lộ
o Tuyệt mật: gây 1 loạt thiệt hại đến an ninh quốc gia nếu bị lộ
o Bí mật: có thể dẫn đến thiệt hại với an ninh quốc gia nếu bị lộ
o Không phân loại: không gây thiệt hại với an ninh quốc gia nếu bị lộ
 Điều khiển truy nhập dựa trên vai trò – Role Based Access Control :
Cho phép người dùng truy nhập vào hệ thống và thông tin tuỳ thuộc vào vai
trò của họ trong cơ quan, tổ chức. Áp dụng theo từng nhóm người hoặc
người dùng riêng lẻ. Các vai trò được tổ chức thành một cây theo mô hình
phân cấp.
 Điều khiển truy nhập dựa trên luật – Rule Based Access Control :
Cơ chế này cho phép người dùng truy nhập vào hệ thống và thông tin dựa
trên các luật đã được định nghĩ trước. Áp dụng cho các người dùng thuộc 1
tên miền, một mạng hay một dải địa chỉ IP mà hệ thống cho phép truy nhập
đến tài nguyên của mình. Cơ chế kiểm soát truy nhập này cần sử dụng các
thông tin như:
- Địa chỉ IP nguồn và đích các gói tin.
- Phần moẻ rộng các file để lọc các mã độc.
7


- Địa chỉ IP hoặc các tên miền để lọc, chặn các website bị cấm.
- Tập từ khoá để lọc các nội dung bị cấm.

5 Trình bày khái niệm về tường lửa, phân loại và mô tả các loại tường
lửa phổ biến
 Khái niệm :

Tường lửa là một trong các kỹ thuật được sử dụng phổ biến nhất để bảo vệ
hệ thống và mạng cục bộ tránh các đe doạ từ bên ngoài. Tường lửa có thể là
một thiết bị phần cứng chuyên dụng hoặc mô đun phần mềm
 Phân loại :
Dựa trên vị trí lớp giao thức mạng mà ta có nhiều loại tường lửa khác nhau:
- Tường lửa lọc gói: thực hiện việc lọc gói tin IP, theo dó một tập hoặc 1
nhóm luật được áp dụng cho mỗi gói tin gửi / nhận có hợp pháp hay không,
loại bỏ bất kỳ gói tin nào không hợp lệ.
- Cổng ứng dụng: còn gọi la fmasy chủ proxy thường sử dụng để phát lại lưu
lượng mạng ở mức ứng dụng. Thường thực hiện lọc các yêu cầu / phản hồi ở
các giao thức HTTP, SMTP. FTP,…
- Cổng chuyển mạch: hoạt động ở mức thấp nhất với cơ chế tương tự như các
bộ chuyển mạch
Tường lửa trạng thái: đây là tường lửa theo dõi trạng thái của mọi kết nối
mạng đi qua các giao thức cho đến khi kết nối cụ thể bị đóng. Nó giữ một
bảng tất cả các giá trị tiêu đề giao thức khác nhau trong khi các gói đi qua lại
trong hệ thống

6 Trình bày về nguyên lý của giao thức IPSec, cấu trúc dữ liệu và
phương thức hoạt động của AH và ESP
 Nguyên lý của giao thức IPSec :
- Internet Protocol Security (IPSec) là một bộ giao thức mạng bảo mật mà
việc xác thực và mã hóa các gói dữ liệu được gửi qua mạng IP.
- Giao thức IPSec được chuẩn hoá vào năm 1995, IPSec định nghĩa 2 loại
tiêu đề cho các gói tin IP để điều khiển quá trình xác thực và mã hoá:
o Xác thực tiêu đề IP-AH
o Bọc gói bảo mật tải ESP
- IPSec VPN cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp
mạng (Network Layer) theo mô hình OSI
 Xác thực tiêu đề AH (Authentication Header)

8


- Xác thực tiêu đề AH trong hệ thống IPSec được chèn vào giữa tiêu đề IP và
nội dung, không làm thay đổi nội dung của gói dữ liệu.

- Xác thực tiêu đều AH gồm 5 trường: trường tiêu đề kế tiếp (Next Header
Field), chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security
Parameter Index), số tuần tự (Sequence Number), dữ liệu xác thực
(Authentication Data).
 Bọc gói bảo mật tải ESP (Encapsulation Security Payload)
- Bọc gói bảo mật tải ESP có nhiệm vụ mã hoá dữ liệu, nên nội dung của gói
sẽ bị thay đổi.
- ESP gồm các SPI để chỉ cho bên nhận biết cơ chế bảo mật thích hợp cho
việc xử lý gói tin. Số tuần tự trong ESP là bộ đếm tăng mỗi khi gói được gửi
đến cùng một địa chỉ

7 Trình bày nguyên lý và mô hình hoạt động của giao thức SSL
 Nguyên lý hoạt động SSL :
9


- SSL được phát triển bởi Netscape, ngày nay giao thức SSL đã được sử dụng
rộng rãi trên World Wide Web trong việc xác thực và mã hoá thông tin giữa
client và server.
- SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ
trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên
dưới các giao thức ứng dụng tầng cao hơn như là HTTP, IMAP và FTP.
- SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được
chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

o Xác thực server
o Xác thực Client
o Mã hoá kết nối
 Mô hình hoạt động SSL :

Qua ví dụ trên thì:
- A là server, B là client
- Chứng minh thư là chính chỉ SSL
- Cơ quan công an là tổ chức CA (Certification Authority); là một tổ chứng
mà 2 ông A, B đều tin cậy, là người cấp SSL
- Nếu ông C mà nghe lén được thông tin của A, B thì cũng không giải mã
được vì không có key
 Có 2 cách tạo SSL:
10


- Nhờ một tổ chức CA cấp, là tổ chức có độ tin cậy cao, được quyền cấp và
chứng nhận SSL. Tất nhiên là chúng ta phải mất tiền để mua chứng chỉ SSL.
- Self-signed SSL: là tự server cấp, tự kí, tự xác thực (ko an toàn và tin tưởng
bằng nhờ bên thứ 3)

8 Trình bày nguyên lý tấn công và phương pháp phòng chống DdoS
 Nguyên lý tấn công DdoS :
- Tấn công DDoS (Distributed Denial of Service) là một loại tấn công DoS
đặc biệt, liên quan đến việc gây ngập lụt các máy nạn nhân với một lượng rất
lớn các yêu cầu kết nối giả mạo.
- Điểm khác biệt chính giữa DDoS và DoS là phạm vi (scope) tấn công: trong
khi số lượng máy tham gia tấn công DoS thường tương đối nhỏ, chỉ gồm
một số ít máy tại một, hoặc một số ít địa điểm, thì số lượng máy tham gia tấn
công DDoS thường rất lớn, có thể lên đến hàng ngàn, hoặc hàng trăm ngàn

máy, và các máy tham gia tấn công DDoS có thể đến từ rất nhiều vị trí địa lý
khác nhau trên toàn cầu. Do vậy, việc phòng chống tấn công DDoS gặp
nhiều khó khăn hơn so với việc phòng chống tấn công DoS.
- Có thể chia tấn công DDoS thành 2 dạng chính theo mô hình kiến trúc:
o tấn công DDoS trực tiếp (Direct DDoS) : các yêu cầu tấn công được
các máy tấn công gửi trực tiếp đến máy nạn nhân
o tấn công DDoS gián tiếp hay phản xạ (Indirect/Reflective DDoS) : các
yêu cầu tấn công được gửi đến các máy phản xạ (Reflectors) và sau đó
gián tiếp chuyển đến máy nạn nhân
a.

Tấn công DDoS trực tiếp

- Kẻ tấn công (Attacker) chiếm quyền điều khiển hàng ngàn, thậm chí
hàng chục ngàn máy tính trên mạng Internet, sau đó bí mật cài các
chương trình tấn công tự động (Automated agents) lên các máy này.
Các automated agents còn được gọi là các Bot hoặc Zombie (Máy tính
ma);
- Các máy bị chiếm quyền điều khiển hình thành mạng máy tính ma,
gọi là botnet hay zombie network. Các botnet, hay zombie network
không bị giới hạn bởi chủng loại thiết bị và tô pô mạng vật lý;

11


- Kẻ tấn công có thể giao tiếp với các máy botnet, zombie thông qua
một mạng lưới các máy trung gian (handler) gồm nhiều tầng. Phương
thức giao tiếp có thể là IRC (Internet Relay Chat), P2P (Peer to Peer),
HTTP,…
- Tiếp theo, kẻ tấn công ra lệnh cho các automated agents đồng loạt tạo

các yêu cầu giả mạo gửi đến các máy nạn nhân tạo thành cuộc tấn
công DDoS;
- Lượng yêu cầu giả mạo có thể rất lớn và đến từ rất nhiều nguồn, vị trí
địa lý khác nhau nên rất khó đối phó và lần vết để tìm ra kẻ tấn công
thực sự

b.

Tấn công DDoS gián tiếp

12


- Kẻ tấn công chiếm quyền điều khiển của một lượng lớn máy tính trên mạng
Internet, cài đặt phần mềm tấn công tự động bot/zombie (còn gọi là slave),
hình thành nên mạng botnet;
- Theo lệnh của kẻ tấn công điều khiển các Slave/Zombie gửi một lượng lớn
yêu cầu giả mạo với địa chỉ nguồn là địa chỉ máy nạn nhân đến một số lớn
các máy khác (Reflectors) trên mạng Internet;
- Các Reflectors gửi các phản hồi (Reply) đến máy nạn nhân do địa chỉ của
máy nạn nhân được đặt vào địa chỉ nguồn của yêu cầu giả mạo;
- Khi các Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngập lụt
đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến
ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng. Các Reflectors bị
13


lợi dụng để tham gia tấn công thường là các hệ thống máy chủ có công suất
lớn trên mạng Internet và không chịu sự điều khiển của tin tặc.
 Phương pháp phòng chống DDoS

Nhìn chung, để phòng chống tấn công DDoS hiệu quả, cần kết hợp nhiều
biện pháp và sự phối hợp của nhiều bên do tấn công DDoS có tính phân tán
cao và hệ thống mạng máy tính ma (botnet) được hình thành và điều khiển
theo nhiều tầng, lớp. Một số biện pháp có thể xem xét áp dụng:
- Sử dụng các phần mềm rà quét vi rút và các phần mềm độc hại khác
nhằm loại bỏ các loại bot, zombie, slaves khỏi các hệ thống máy tính;
- Sử dụng các hệ thống lọc đặt trên các router, tường lửa của các nhà cung
cấp dịch vụ Internet (ISP) để lọc các yêu cầu điều khiển (C&C –
Command and Control) gửi từ kẻ tấn công đến các bot;
- Sử dụng các hệ thống giám sát, phát hiện bất thường, nhằm phát hiện
sớm các dấu hiệu của tấn công DDoS.
- Sử dụng tường lửa để chặn (block) tạm thời các cổng dịch vụ bị tấn công

9 Trình bày kỹ thuật chữ ký số bảo đảm an toàn thông tin trên đường
truyền: sơ đồ ký, sơ đồ xác thực, chức năng của của chữ ký số.
 Sơ đồ ký và xác thực.

14


- Giả sử bob và alice đều có 2 khoá: khoá công khai và khoá bí mật được đăng
ký tại CA. cả 2 đều có thể kí lên tài liệu bằng khoá bí mật của mình để đảm
bảo rằng mọi thay đổi trên tài liệu này đều sẽ bị phát hiện.
- Ký lển 1 tài liệu bob sẽ băm tài liệu bằng hàm băm hash(). Sau đó thực hiện
ký lên mã băm với thuật toán mã hoá nào đó. Và gửi cả mã băm đã được ký
và tài liệu cho alice
- Alice nhận được cả văn bản lẫn mã băm đã được ký. Alice sử dụng khoá
công khai của bob và giải mã mã băm được ký bởi bob thu được mã băm.
Alice băm tài liệu bằng hàm băm hash() và so sánh mã băm nhận được từ
bob để kiểm tra tính toàn vẹn của tài liệu đã nhận được.

 Chức năng của chữ ký số.
- Xác thực người ký: chữ ký không thể bị giả mạo trừ phi người ký mất kiểm
soát với khoá bí mật.
- Xác thực thông báo: nhận dạng tài liệu đã ký với độ chính xác và chắc chắn
lớn hơn các chữ ký trên giấy.
- Tạo chứng cứ pháp lý: việc ký bằng khoá bí mật chứng tỏ răng họ đã hoàn
thành một giao dịch, chống chối bỏ.

15


- Tính hiêu quả: quá trình tạo và xác minh chữ ký số đảm bảo chữ ký là của
người ký. Quá trình tạo và xác minh chữ ký hoàn toàn tự động, tương tác
con người chỉ yêu cầu trong trường hợp ngoại lệ.

10 Trình bày ứng dụng của PKI
 Mã hóa
- Lợi ích đầu tiên của chứng chỉ số là tính bảo mật thông tin. Khi người gửi đã
mã hóa thông tin bằng khóa công khai của bạn, chắc chắn chỉ có bạn mới
giải mã dược thông tin để đọc.
- Đây là một tính năng rất quan trọng, giúp người sử dụng hoàn toàn tin cậy
về khả năng bảo mật thông tin. Những trao đổi thông tin cần bảo mật cao,
chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, thanh toán bằng thẻ
tín dụng, đều cần phải có chứng chỉ số để đảm bảo an toàn.
 Chống giả mạo
- Khi bạn gửi đi một thông tin, có thể là một dữ liệu hoặc một Email, có sử
dụng chứng chỉ số, người nhận sẽ kiểm tra được thông tin của bạn có bị thay
đổi hay không. Bất kỳ một sự sửa đổi hay thay thế nội dung của thông điệp
gốc đều sẽ bị phát hiện
- Địa chỉ mail, tên domain... đều có thể bị kẻ xấu làm giả để đánh lừa người

nhận lây lan virus, ăn cắp thông tin quan trọng. Tuy nhiên, chứng chỉ số thì
không thể làm giả, nên việc trao đổi thông tin có kèm chứng chỉ số luôn đảm
bảo an toàn
 Xác thực
- Khi sử dụng một chứng chỉ số, người nhận – có thể là đối tác kinh doanh, tổ
chức hoặc cơ quan chính quyền- sẽ xác định rõ được danh tính của bạn. Có
nghĩa là dù không nhìn thấy bạn, nhưng qua hệ thống chứng chỉ số mà bạn
và người nhận cùng sử dụng, người nhận sẽ biết chắc chắn đó là bạn chứ
không phải ai khác.
- Xác thực là một tính năng rất quan trọng trong việc giao dịch điện tử qua
mạng, cũng như các thủ tục hành chính với cơ quan với cơ quan pháp quyền
 Chống chối bỏ nguồn gốc
- Khi sử dụng một chứng chỉ số, bạn phải chịu trách nhiệm hoàn toàn về
những thông tin mà chứng chỉ số đi kèm. Trong trường hợp người gửi chối
cãi, phủ nhận một thông tin nào đó không phải do mình gửi (chẳng hạn qua
mạng) chứng chỉ số mà người nhận có được sẽ là bằng chứng khẳng định
người gửi là tác giả của thông tin đó

16


- Trong trường hợp chối bỏ, CA cung cấp chứng chỉ số cho hai bên sẽ chịu
trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin
được gửi
 Chữ ký điện tử
- Email đóng vai trò khá quan trọng trong trao đổi thông tin hàng ngày của
chúng ta vì ưu điểm nhanh, rẻ và dễ sử dụng
- Tuy nhiên, email rất dễ bị đọc bởi các Hacker. Những thông điệp có thể bị
đọc hay bị giả mạo trước khi đến người nhận.
- Bằng việc sử dụng chứng chỉ cá nhân, bạn sẽ ngăn ngừa được các nguy cơ

này mà vẫn không làm giảm những lợi thể của Email
- Với chứng chỉ số cá nhân, bạn có thể tạo thêm một chữ ký điện tử vào email
như một bằng chứng xác nhận của mình. Chữ ký điện tử cũng có tính năng
xác thực thông tin, toàn vẹn dữ liệu và chống chối bỏ nguồn gốc
 Bảo mật website
- Khi website của bạn sử dụng cho mục đích thương mại điện tử hay cho
những mục đích quan trọng khác, những thông tin trao đổi giữa bạn và
khách hàng có thể bị lộ
- Để tránh nguy cơ này, bạn có thể dùng chứng chỉ số SSL server để bảo mật
cho Website của mình.
- Chứng chỉ số SSL server sẽ cho phép bạn lập cấu hình website của mình
theo giao thức bảo mật SSL (Secure Sockets Layer).

11 Trình bày bảo mật cho mạng cục bộ






Các nội dung của an toàn mạng
Confidentiality: chỉ có người có thâm quyền mới được truy cập mạng
Integrity: dữ liệu không được sử đổi bởi người không có thẩm quyền
Access: người có thẩm quyền thì được phép truy cập dữ liệu
Xác định các nguy cơ mất an toàn mạng
Khả năng không hoạt động: phần cứng, phần mềm, virus tấn công, mất dữ
liệu…
Truy cập trái phép: vào dữ liệu, vào thông tin không cho phép.
Network Access Controls
User cần đăng nhập sử dụng dịch vụ ví dụ: database, file, Web, print, or

email server.
Admin cần đăng nhập với mật khẩu đối với router, switch
Quản trị rủi ro
Liệt kê danh mục tài nguyên mạng
17







o
o
o

o
o
o
o
o

Security Policies
Phân quyền truy cập theo chức năng
Chính ách truy cập từ xa
Xử lý sự cố
Quy trình xử lý sự cố
Cần cài đặt một số công cụ thể giám sát các hành vi trên mạng.
Cần có hệ thống IDS, IPS
Intrusion Detection System

Hoạt động như cảnh sát mạng, giám sát các hành vi trên mạng và nhận diện
các hành vi .
Monitor and analyze user and system activities
Verify the integrity of data files
Audit system configuration files
Recognize activity of patterns, reflecting known attacks
Statistical analysis of any undefined activity pattern
Snort (NIDS)
Một số tấn công mạng phổ biến
IP address spoofing
MAC address spoofing
ARP cache poisoning
DNS name corruption
Tường lưa
Kiểm soát truy nhập giữa 2 mạng.
Chính sách: chặn các luồng không mong muốn, điều hướng các luồng vào
tới các node an toàn, ẩn các node độc hại, ghi log.
Các loại tường lửa:
Packet filtering
Application-layer firewall
Stateful-inspection layer
Monitor and Analyze System Activities
Statistical Analysis
Signature Analysis :
Pattern matching
Stateful pattern matching
Protocol decode-based analysis
Heuristic-based analysis
Anomaly-based analysis


18



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×