1. NETWORK SECURITY
Phần IV
Application Security

2. Đảm bảo an ninh phần ứng dụng
 Mục 1: An ninh cho truy cập từ xa – Remote Access Security
 Mục 2: An ninh dịch vụ web – Security web traffic
 Mục 3: An ninh dịch vụ thư điện tử - Email Security
 Mục 4: Application Security Baselines

3. An ninh cho truy cập từ xa – Remote Access Security
 Mạng không dây
 Mạng riêng ảo VPN
 RADIUS
 TACACS
 PPTP
 L2TP
 SSH
 IPSec

4. Mạng không dây (wireless LAN)

5. TỔNG QUAN VỀ MẠNG WIRELESSS
 Các loại wireless networks
 Có thể phân chia tạm như sau:
 Wireless LAN (Wifi)
 Wireless MAN (WiMax)

6. Các chuẩn của mạng wireless
 IEEE 802.15: Bluetooth, được sử dụng trong mạng
Personal Area Network (PAN).
 IEEE 802.11: Wifi, được sử dụng cho mạng Local Area
Network (LAN).
 IEEE 802.16: WiMax ( Worldwide Interoperability for
Microwave Access ), được sử dụng cho Metropolitan Area
Network (MAN).
 IEEE 802.20: được sử dụng cho Wide Area Network
(WAN).

7. WLAN
 Mạng dựa trên công nghệ 802.11 nên đôi khi
còn được gọi là 802.11 network Ethernet. Và
hiện tại còn được gọi là mạng Wireless Ethernet
hoặc Wi-Fi (Wireless Fidelity).
 Chuẩn 802.11 được IEEE phát triển và đưa ra
vào năm 1997. Gồm có: 802.11, 802.11a,
802.11b, 802.11b+, 802.11g, 802.11h

8. WLAN
 802.11:
 Tốc độ truyền khoảng từ 1 đến 2 Mbps, hoạt động ở băng tần
2.4GHz.
 Tầng vật lí sử dụng phương thức DSSS ( Direct Sequence
Spread Spectrum ) hay FHSS ( Frequency Hoping Spread
Spectrum ) để truyền.
 802.11a:
 Cung cấp tốc độ truyền lên tới 54 Mbps, hoạt động ở dải băng
tần 5 GHz. Sử dụng phương pháp điều chế ghép kênh theo
vùng tần số vuông góc Orthogonal Frequency Division
Multiplexing ( OFDM ).
 Có thể sử dụng đến 8 Access Point đặc điểm này ở dải tần
2.4GHz, chỉ sử dụng được đến 3 Access Point

9. WLAN
 802.11b, 802.11b+:
 Cung cấp tốc độ truyền là 11 Mpbs ( 802.11b ) hay 22 Mbps
( 802.11b+), hoạt động ở dải băng tần 2.4 GHz. Có thể tương thích
với 802.11 và 802.11g. Tốc độ có thể ở 1, 2, hay 5,5 Mbps.
 802.11g:
 Cung cấp tốc độ truyền khoảng 20+Mbps, hoạt động ở dải băng tần 2.4GHz.
 Phương thức điều chế: có thể dùng 1 trong 2 phương thức:
 OFDM ( giống 802.11a ) : tốc độ truyền có thể lên tới 54 Mbps.
 DSSS: tốc độ giới hạn ở 11 Mbps.
 802.11h:
 Được sử dụng ở châu Âu, hoạt động ở băng tần 5 GHz.

10. WLAN
 Ưu điểm của WLAN so với mạng có dây truyền thống
 Mạng Wireless cung cấp tất cả các tính năng của công nghệ
mạng LAN như là Ethernet và Token Ring mà không bị giới
hạn về kết nối vật lý (giới hạn về cable).
 Sự thuận lợi đầu tiên của mạng Wireless đó là tính linh động.
 Mạng WLAN sử dụng sóng hồng ngoại (Infrared Light) và
sóng Radio (Radio Frequency) để truyền nhận dữ liệu thay vì
dùng Twist-Pair và Fiber Optic Cable.

11. WLAN
 Hạn chế của WLAN
 Tốc độ mạng Wireless bị phụ thuộc vào băng thông.
 Bảo mật trên mạng Wireless là mối quan tâm hàng đầu hiện
nay.

12. Đặc tính kỹ thuật mạng Wireless
 WLAN hoạt động như thế nào ?
 Wireless LAN sử dụng sóng điện từ (Radio hoặc sóng Hồng
ngoại - Infrared) để trao đổi thông tin giữa các thiết bị mà
không cần bất kỳ một kết nối vật lý nào (cable).
 Trong cấu hình của mạng WLAN thông thường, một thiết bị
phát và nhận (transceiver) được gọi là Access Point (AP) và
được kết nối với mạng có dây thông thường thông qua cáp
theo chuẩn Ethernet.
 AP thực hiện chức năng chính đó là nhận thông tin, nhớ lại và
gửi dữ liệu giữa mạng WLAN và mạng có dây thông thường.
Một AP có thể hổ trợ một nhóm người dùng và trong một
khoảng cách nhất định (tuỳ theo loại AP).

13. Đặc tính kỹ thuật mạng Wireless
 Ngườidùng mạng WLAN truy cập vào mạng thông
qua Wireless NIC, thông thường có các chuẩn sau:
 PCMCIA - Laptop, Notebook
 ISA, PCI, USB – Desktop
 Tích hợp sẵn trong các thiết bị cầm tay

14. Đặc tính kỹ thuật mạng Wireless
 Công nghệ chính được sử dụng cho mạng
Wireless là dựa trên chuẩn IEEE 802.11. Hầu hết
các mạng Wireless hiện nay đều sử dụng tầng số
2.4GHz.
 Wireless Network Standards:
 IEEE 802.11 standard
 Bluetooth

15. Đặc tính kỹ thuật mạng Wireless
 802.11 Standard
 Mạng WLANs hoạt động dựa trên chuẩn 802.11 chuẩn
này được xem là chuẩn dùng cho các thiết bị di động có
hỗ trợ Wireless, phục vụ cho các thiết bị có phạm vi hoạt
động tầm trung bình.
 Cho đến hiện tại IEEE 802.11 gồm có 4 chuẩn trong họ
802.11 và 1 chuẩn đang thử nghiệm:

16. Đặc tính kỹ thuật mạng Wireless
 802.11 - là chuẩn IEEE gốc của mạng không dây (hoạt động
ở tầng số 2.4GHz, tốc độ 1 Mbps – 2Mbps)
 802.11b - (phát triển vào năm 1999, hoạt động ở tầng số 2.4-
2.48GHz, tốc độ từ 1Mpbs - 11Mbps)
 802.11a - (phát triển vào năm 1999, hoạt động ở tầng số
5GHz – 6GHz, tốc độ 54Mbps)
 802.11g - (một chuẩn tương tự như chuẫn b nhưng có tốc độ
cao hơn từ 20Mbps - 54Mbps, hiện đang phổ biến nhất)
 802.11e - là 1 chuẩn đang thử nghiệm: đây chỉ mới là phiên
bản thử nghiệm cung cấp đặc tính QoS (Quality of Service)
và hỗ trợ Multimedia cho gia đình và doanh nghiệp có môi
trường mạng không dây

17. Đặc tính kỹ thuật mạng Wireless
 Bluetooth
 Bluetooth là một giao thức đơn giản dùng để kết nối những thiết
bị di động như Mobile Phone, Laptop, Handheld computer,
Digital Camera, Printer, v.v..
 Bluetooth sử dụng chuẩn IEEE 802.15 với tần số 2.4GHz –
2.5GHz
 Bluetooth là công nghệ được thiết kế nhằm đáp ứng một cách
nhanh chóng việc kết nối các thiết bị di động và cũng là giải
pháp tạo mạng WPAN, có thể thực hiện trong môi trường nhiều
tầng số khác nhau.

18. Kênh trong mạng Wireless

19. Kênh trong mạng Wireless

20. Các mô hình mạng Wireless
 Independent Basic Service sets – IBSS
 Basic Service sets – BSS
 Extended Service sets - ESS

21. Các mô hình mạng Wireless
 Independent BSS/ Ad-hoc
 Trong mô hình Independent BSS, các Client liên lạc trực
tiếp với nhau mà không phải thông qua AP nhưng phải
trong phạm vi cho phép.
 Mạng nhỏ nhất theo chuẩn 802.11 này bao gồm 2 máy
liên lạc trực tiếp với nhau.
 Mô hình IBSS còn được gọi với tên là mạng ad-hoc.

22. Các mô hình mạng Wireless
Mô hình independent BSS/Ad-hoc network

23. Các mô hình mạng Wireless
 BSS/Infracstructure BSS
 Trong mô hình Infrastructure BSS các Client muốn liên
lạc với nhau phải thông qua một thiết bị đặc biệt gọi là
Access Point (AP).
 AP là điểm trung tâm quản lý mọi sự giao tiếp trong
mạng, khi đó các Client không thể liên lạc trực tiếp với
như trong mạng Independent BSS.
 Để giao tiếp với nhau các Client phải gửi các Frame dữ
liệu đến AP, sau đó AP sẽ gửi đến máy nhận.

24. Các mô hình mạng Wireless
Mô hình Infracstructure BSS

25. Các mô hình mạng Wireless
 ESS/Extend Service Set
 Nhiều mô hình BSS kết hợp với nhau gọi là mô hình
mạng ESS.
 Là mô hình sử dụng từ 2 AP trở lên để kết nối mạng. Khi
đó các AP sẽ kết nối với nhau thành một mạng lớn hơn,
phạm vi phủ sóng rộng hơn, thuận lợi và đáp ứng tốt cho
các Client di động. Đảm bảo sự hoạt động của tất cả các
Client.

26. Các mô hình mạng Wireless
Mô hình ESS network

27. CÁC KIỂU TẤN CÔNG TRÊN MẠNG WLAN
 Hackercó thể tấn công mạng WLAN bằng
các cách sau:
 Passive Attack (eavesdropping)
 Active Attack (kết nối, thăm dò và cấu hình mạng)
 Jamming Attack
 Man-in-the-middle Attack

28. Tấn công bị động (Passive Attack)
 Tấn công bị động (passive) hay nghe lén
(eavesdropping) là một phương pháp tấn công
WLAN đơn giản nhất nhưng vẫn rất hiệu quả.
 Passive attack không để lại một dấu vết nào chứng
tỏ đã có sự hiện diện của hacker trong mạng vì
hacker không thật kết nối với AP để lắng nghe các
gói tin truyền trên đoạn mạng không dây

29. Tấn công bị động (Passive Attack)
 WLAN sniffer có thể được sử
dụng để thu thập thông tin về
mạng không dây ở khoảng cách
xa bằng cách sử dụng anten
định hướng.
 Phương pháp này cho phép
hacker giữ khoảng cách với
mạng, không để lại dấu vết
trong khi vẫn lắng nghe và thu
thập được những thông tin quý
giá.
Ví dụ: Tấn công bị động

30. Tấn công chủ động (Active Attack )
 Tấn công chủ động được sử dụng để truy cập vào
server và lấy được những dữ liệu có giá trị hay sử
dụng đường kết nối Internet của doanh nghiệp để
thực hiện những mục đích phá hoại hay thậm chí là
thay đổi cấu hình của hạ tầng mạng.
 Bằng cách kết nối với mạng không dây thông qua
AP, hacker có thể xâm nhập sâu hơn vào mạng
hoặc có thể thay đổi cấu hình của mạng.

31. Tấn công chủ động (Active Attack )
 Ví dụ: Một hacker có thể
sửa đổi để thêm MAC
address của hacker vào
danh sách cho phép của
MAC filter trên AP hay vô
hiệu hóa tính năng MAC
filter giúp cho việc đột
nhập sau này dễ dàng
hơn.
Ví dụ: Kiểu tấn công chủ động

32. Tấn công chèn ép (Jamming)
 Jamming là một kỹ thuật được sử dụng chỉ
đơn giản để làm hỏng (shut down) mạng
không dây.
 Khi một hacker chủ động tấn công jamming,
hacker có thể sử dụng một thiết bị WLAN đặc
biệt, thiết bị này là bộ phát tín hiệu RF công
suất cao hay sweep generator.

33. Tấn công chèn ép (Jamming)
 Để loại bỏ kiểu tấn
công này thì yêu cầu
đầu tiên là phải xác
định được nguồn tín
hiệu RF. Việc này có
thể làm bằng cách sử
dụng một Spectrum
Analyzer (máy phân
tích phổ) Tấn công jamming

34. Tấn công bằng cách thu hút (Man in the Middle)
 Tấn công theo kiểu Man-in-the-middle là trường
hợp trong đó hacker sử dụng một AP để đánh cắp
các node di động bằng cách gửi tín hiệu RF mạnh
hơn AP hợp pháp đến các node đó.
 Các node di động nhận thấy có AP phát tín hiệu RF
tốt hơn nên sẽ kết nối đến AP giả mạo này, truyền
dữ liệu có thể là những dữ liệu nhạy cảm đến AP
giả mạo và hacker có toàn quyền xử lý

35. Tấn công bằng cách thu hút (Man in the Middle)
 Hacker muốn tấn công theo
kiểu Man-in-the-middle này
trước tiên phải biết được
giá trị SSID là các client
đang sử dụng (giá trị này
rất dễ dàng có được). Sau
đó, hacker phải biết được
giá trị WEP key nếu mạng
có sử dụng WEP
Tấn công Man in the Middle

36. TỔNG QUAN BẢO MẬT CHO MẠNG KHÔNG DÂY
 Tại sao phải bảo mật mạng không dây?

37. Tại sao phải bảo mật mạng không dây?

38. Các thiết lập bảo mật trong WLAN

39. Mã hóa
 Mã hóa là biến đổi dữ liệu
để chỉ có các thành phần
được xác nhận mới có thể
giải mã được nó. Quá trình
mã hóa là kết hợp plaintext
với một khóa để tạo thành
văn bản mật (Ciphertext).
 Sự giải mã được bằng
cách kết hợp Ciphertext
với khóa để tái tạo lại
plaintext
Quá trình mã hóa và giải mã
 Quá trình xắp xếp và phân
bố các khóa gọi là sự quản
lý khóa.

40. Mã hóa
 Có hai phương pháp mã:
 Mã dòng (stream ciphers)
 Mã khối ( block ciphers)
 Cả hai loại mật mã này hoạt động bằng cách
sinh ra một chuỗi khóa ( key stream) từ một giá
trị khóa bí mật. Chuỗi khóa sau đó sẽ được trộn
với dữ liệu (plaintext) để sinh dữ liệu đã được
mã hóa.
 Hai loại mật mã này khác nhau về kích thước
của dữ liệu mà chúng thao tác tại một thời điểm

41. Bảo mật Lan không dây
 Một WLAN gồm có 3 phần: Wireless Client,
Access Points và Access Server.
 Wireless Client: Điển hình là một chiếc laptop với NIC
(Network Interface Card) không dây được cài đặt để
cho phép truy cập vào mạng không dây.
 Access Points (AP): Cung cấp sự bao phủ của sóng vô
tuyến trong một vùng nào đó và kết nối đến mạng
không dây.
 Access Server: Điều khiển việc truy cập. Một Access
Server (như là Enterprise Access Server (EAS) ) cung
cấp sự điều khiển, quản lý, các đặc tính bảo mật tiên
tiến cho mạng không dây Enterprise .

42. Mã dòng
 Mã dòng phương thức mã hóa
theo từng bit, mã dòng phát
sinh chuỗi khóa liên tục dựa
trên giá trị của khóa
 Ví dụ: một mã dòng có thể sinh
ra một chuỗi khóa dài 15 byte
để mã hóa một frame và môt
chuỗi khóa khác dài 200 byte
để mã hóa một frame khác.
 Mật mã dòng là một thuật toán Hoạt động của mã dòng
mã hóa rất hiệu quả, ít tiêu tốn
tài nguyên (CPU).

43. Mã khối
 Mã khối sinh ra một chuỗi khóa
duy nhất và có kích thước cố
định(64 hoặc 128 bit).
 Chuỗi kí tự chưa được mã
hóa( plaintext) sẽ được phân
mảnh thành những khối(block)
và mỗi khối sẽ được trộn với
chuỗi khóa một cách độc lập.
 Nếu như khối plaintext nhỏ hơn
khối chuỗi khóa thì plaintext sẽ
được đệm thêm vào để có được Hoạt động của mã khối
kích thước thích hợp

44. Nhận xét
 Tiến trình mã hóa dòng và mã hóa khối còn được
gọi là chế độ mã hóa khối mã điện tử ECB
( Electronic Code Block).
 Chế độ mã hóa này có đặc điểm là cùng một đầu
vào plaintext ( input plain) sẽ luôn luôn sinh ra
cùng một đầu ra ciphertext (output ciphertext).
 Đây chính là yếu tố mà kẻ tấn công có thể lợi
dụng để nhận dạng của ciphertext và đoán được
plaintext ban đầu

45. WEP – Wired Equivalent Privacy
 WEP là một hệ thống mã hóa dùng cho việc bảo
mật dữ liệu cho mạng Wireless. WEP là một phần
của chuẩn 802.11 và dựa trên thuật toán mã hóa
RC4, mã hóa dữ liệu 40 bit.
 Đặc tính kỹ thuật của WEP
 Điều khiển việc truy cập, ngăn chặn sự truy cập của
những Client không có khóa phù hợp
 Bảo mật nhằm bảo vệ dữ liệu trên mạng bằng mã hóa
chúng và chỉ cho những client có khóa WEP đúng giải
mã

46. Thuật toán WEP
 Thuật toán mã hóa RC4 là
thuật toán mã hóa đối
xứng( thuật toán sử dụng
cùng một khóa cho việc mã
hóa và giải mã).
 WEP là thuật toán mã hóa
được sử dụng bởi tiến trình
xác thực khóa chia sẻ để
xác thực người dùng và mã
hóa dữ liệu trên phân đoạn
mạng không dây.
Frame được mã hóa bởi WEP

47. Thuật toán WEP
 Để tránh chế độ ECB(Electronic Code Block)
trong quá trình mã hóa, WEP sử dụng 24 bit IV,
nó được kết nối vào khóa WEP trước khi được
xử lý bởi RC4.
 Giá trị IV phải được thay đổi theo từng frame để
tránh hiện tượng xung đột. Hiện tượng xung đột
IV xảy ra khi sử dụng cùng một IV và khóa WEP
kết quả là cùng một chuỗi khóa được sử dụng
để mã hóa frame.

48. Thuật toán WEP
 Chuẩn 802.11 yêu cầu khóa WEP phải được cấu hình
trên cả client và AP khớp với nhau thì chúng mới có
thể truyền thông được.
 Mã hóa WEP chỉ được sử dụng cho các frame dữ liệu
trong suốt tiến trình xác thực khóa chia sẻ. WEP mã hóa
những trường sau đây trong frame dữ liệu:
 Phần dữ liệu (payload)
 Giá trị kiểm tra tính toàn vẹn của dữ liệu ICV (Integrity Check
value)
 Tất cả các trường khác được truyền mà không được mã
hóa. Giá trị IV được truyền mà không cần mã hóa để cho
trạm nhận sử dụng nó để giải mã phần dữ liệu và ICV

49. SƠ ĐỒ QUÁ TRÌNH MÃ HÓA SỬ DỤNG WEP
Initalization IV
Vector
IV
Key Sequence
Seed
WEP
PRNG
Secret Key
Ciphertext
Plaintext
Message
Intergrity Algorithm
Integrity Check Value (ICV)

50. SƠ ĐỒ QUÁ TRÌNH GIÃI MÃ WEP

51. WPA - Wi-fi Protected Access
 WPA được thiết kế nhằm thay thế cho WEP vì có tính
bảo mật cao hơn. Temporal Key Intergrity Protocol
(**IP), còn được gọi là WPA key hashing là một sự cải
tiến dựa trên WEP, nó tự động thay đổi khóa, điều này
gây khó khăn rất nhiều cho các Attacker dò thấy khóa
của mạng.
 Mặt khác WPA cũng cải tiến cả phương thức chứng
thực và mã hóa. WPA bảo mật mạnh hơn WEP rất
nhiều. Vì WPA sử dụng hệ thống kiểm tra và bảo đảm
tính toàn vẹn của dữ liệu tốt hơn WEP

52. WPA2 – Wi-fi Protected Access 2
 WPA2 là một chuẩn ra đời sau đó và được kiểm định lần
đầu tiên vào ngày 1/9/2004. WPA2 được National Institute
of Standards and Technology (NIST) khuyến cáo sử dụng,
WPA2 sử dụng thuật toán mã hóa Advance Encryption
Standar (AES).
 WPA2 cũng có cấp độ bảo mật rất cao tương tự như
chuẩn WPA, nhằm bảo vệ cho người dùng và người quản
trị đối với tài khoản và dữ liệu.
 Trên thực tế WPA2 cung cấp hệ thống mã hóa mạnh hơn
so với WPA, WPA2 sử dụng rất nhiều thuật toán để mã
hóa dữ liệu như **IP, RC4, AES và một vài thuật toán
khác. Những hệ thống sử dụng WPA2 đều tương thích với
WPA.

53. Những giải pháp dựa trên EAS
 Kiến trúc tổng thể sử dụng EAS trong “Gateway
Mode” hay “Controller Mode”.
 Trong Gateway Mode EAS được đặt ở giữa
mạng AP và phần còn lại của mạng Enterprise.
Vì vậy EAS điều khiển tất cả các luồng lưu
lượng giữa các mạng không dây và có dây và
thực hiện như một tường lửa

55. Những giải pháp dựa trên AES
 Trong Controll Mode, EAS quản lý các AP và điều
khiển việc truy cập đến mạng không dây, nhưng nó
không liên quan đến việc truyền tải dữ liệu người
dùng.
 Trong chế độ này, mạng không dây có thể bị phân
chia thành mạng dây với firewall thông thường hay
tích hợp hoàn toàn trong mạng dây Enterprise.

56. Mô hình Enterprise Access Server trong chế độ Controller Mode

57. Mạng riêng ảo (VPN)
 Là phương thức đảm bảo an ninh truy cập từ xa
 Dựa trên các phương thức mã hóa và cơ chế chứng thực
 Cung cấp cơ chế “tunnel” cho phép truyền thông tin từ hệ
thống mạng này sang hệ thống khác

58. Mạng riêng ảo (VPN)
Site to Site VPN Remote Access
 Có hai hình thức hoạt động

59. Mạng riêng ảo (VPN)
 Các công nghệ sử dụng:
 Point-to-Point Tunneling Protocol (PPTP)
 Layer 2 Tunneling Protocol (L2TP)
 IPSec
 Public Key Infrastructure (PKI)
 Phần mềm Remote Control

60. Các vấn đề về VPN
 Làm tăng thông lượng sử dụng của mạng
 Các vấn đề về cài đặt và duy trì hệ thống
 Các vấn đề về cơ chế an ninh
 Vấn đề về trình độ người sử dụng
 Vấn đề về khả năng tương thích

61. An ninh cho VPN
 Sử dụng giao thức an ninh mới nhất (L2TP, IPSec)
 Sử dụng thay thế cho các dịch vụ truy cập từ xa
(Terminal Services, PC Anywhere, VNC)
 Thường xuyên cập nhật các bản vá lỗi cho phần
mềm và cho hệ điều hành
 Lập kế hoạch triển khai thật cẩn thận

62. RADIUS
 Romote Access Dial-In User Service
 Được các ISP sử dụng trong việc chứng thực trong dịch vụ Dial-in
 Được sử dụng trong việc thực hiện chứng thực giữa các thiết bị mạng
như Router với Domain Controller (Active Directory, iPlannet...)

63. RADIUS
 Tính chất
 Chỉ mã hóa password
 Phạm vi sử dụng rộng
 Cài đặt tương đối phức tạp
 Mã nguồn mở
 Sử dụng cổng UDP 1812

64. RADIUS
 An ninh
 Sử dụng mã hóa Kerberos để chứng thực
 Thường xuyên cập nhật phần mềm cho các ứng
dụng sử dụng RADIUS

65. TACACS
 Terminal Access controller
Access Control System.
 Giao thức chứng thực của UNIX
 Quản lý tập chung việc chứng
thực người dùng

66. TACACS
 Tính chất
 Không phổ biến
 Giao thức TACACS+ không tương thích với các phiên
bản trước đó
 Sử dụng cổng TCP 49

67. PPTP
 Point-to-Point Tunnelling Protocol (PPTP)
 Hoạt động trên mô hình Client/Server
 Nén dữ liệu các gói tin PPP
 Sử dụng cổng 1723 TCP để khởi tạo

68. PPTP
 Tính chất
 Là giao thức không thể mở rộng việc mã hóa
 Dễ bị lợi dụng tấn công
 Việc chứng thực là một nguy cơ dễ bị tấn công

69. L2TP
 Kết hợp giữa giao thức PPTP và giao thức L2P
(Layer 2 Protocol, Cisco)
 Có thể mở rộng phương thức mã hóa
 Có thể sử dụng giấy phép trong cả việc chứng thực
và mã hóa

70. L2TP
 Tính chất
 Cài đặt phức tạp
 Một số thiết bị không tương thích
 Chi phí đắt
 Không tương thích với NAT (Network Address
Translation)

71. SSH
 Secure Shell
 Là một công cụ quản trị
truy nhập từ xa sử dụng
dòng lệnh (CLI –
Command Line Interface)
 Thường được sử dụng
thay thế cho Telnet và
rlogin

72. SSH
 4 Bước khởi tạo một giao dịch của SSH

73. SSH
 Tính chất
 Sử dụng mã hóa công khai trong việc chứng thực
và mã hóa
 Cung cấp các tính năng copy file và FTP
 Được phát triển bởi một số nhà sản xuất và có mã
nguồn mở (Open SSH)
 Giao tiếp giữa Client và Server thông qua tunnel
 Các dịch vụ (mail, web...) có thể sử dụng để trao
đổi thông tin thông qua tunnel.

74. SSH
 Một số vấn đề
 Sử dụng cơ chế “chìa khóa” để chứng thực
 Những phiên bản đầu tiên có nhiều lỗi
 Hiện nay các lỗi security vẫn được tìm thấy
 Giao diện dạng CLI vẫn là trở ngại cho người quản
trị

75. IPSec

76. IPSec là gì?
 IPSec (Internet Protocol Security).
Nó có quan hệ tới một số bộ giao
thức (AH, ESP, và một số chuẩn
khác) được phát triển bởi Internet
Engineering Task Force (IETF).
 Mục đích chính của việc phát triển
IPSec là cung cấp một cơ cấu bảo
mật ở tầng 3 (Network layer) của
mô hình OSI.

77. IPSec là gì?
 Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên
các giao thức IP.
 Khi một cơ chế bảo mật được tích hợp với giao thức IP,
toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua
tầng 3.
 với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng
của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ
liệu từ nguồn đến đích.
 IPSec trong suốt với người dùng cuối, là người mà không
cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng
sau một chuổi các hoạt động.

78. IPSec Security Associations (SA)
 Security Associations (SAs) là một kết nối luận lý theo
một phương hướng duy nhất giữa hai thực thể sử dụng
các dịch vụ IPSec.
 Các giao thức xác thực, các khóa, và các thuật toán
 Phương thức và các khóa cho các thuật toán xác thực được dùng
bởi các giao thức Authentication Header (AH) hay Encapsulation
Security Payload (ESP) của bộ IPSec.
 Thuật toán mã hóa và giải mã và các khóa.
 Thông tin liên quan khóa, như khoảng thời gian thay đổi hay
khoảng thời gian làm tươi của các khóa.
 Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ
nguồn SA và khoảng thời gian làm tươi.
 Cách dùng và kích thước của bất kỳ sự đồng bộ mã hóa dùng,
nếu có.

79. IPSec Security Associations (SA)
 IPSec SA gồm có 3 trường:
 SPI (Security Parameter Index). Đây là một trường 32 bit dùng nhận
dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol.
SPI thường được chọn bởi hệ thống đích trong suốt quá trình thỏa
thuận của SA.
 Destination IP address. Đây là địa chỉ IP của nút đích. Mặc dù nó có
thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý
hiện tại của SA chỉ được định nghĩa cho hệ thống unicast.
 Security protocol. Phần này mô tả giao thức bảo mật IPSec, có thể là
AH hoặc ESP.

80. IPSec Security Protocols
 Bộ IPSec đưa ra 3 khả năng chính bao gồm :
 Tính xác thực và Tính toàn vẹn dữ liệu (Authentication and
data integrity). IPSec cung cấp một cơ chế xác nhận tính chất
xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi nội
dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra
khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo,
đánh hơi và từ chối dịch vụ.
 Sự bí mật (Confidentiality). Các giao thức IPSec mã hóa dữ
liệu bằng cách sử dụng kỹ thuật mã hóa giúp ngăn cản người
chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec
cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người
gửi) và nút đích (người nhận) từ những kẻ nghe lén.

81. IPSec Security Protocols
 Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba,
Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và
các thuật toán mã hóa trước và trong suốt phiên giao dịch. Một phần
quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật
những khóa đó khi được yêu cầu.
 Hai tính năng đầu tiên của bộ IPSec, xác thực và toàn vẹn, và bí mật,
được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec.
Những giao thức này bao gồm Authentication Header (AH) và
Encapsulating Security Payload (ESP).
 Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được
bộ IPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao
thức này là IKE.

82. Technical details
 Có hai giao thức được phát triển và cung cấp bảo mật
cho các gói tin:
 IP Authentication Header giúp đảm bảo tính toàn vẹn
và cung cấp xác thực.
 IP Encapsulating Security Payload cung cấp bảo mật,
và là option bạn có thể lựa chọn cả tính năng
authentication và Integrity đảm bảo tính toàn vẹn dữ
liệu.
 Thuật toán mã hoá được sử dụng trong IPsec bao gồm:
 HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection)
 TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ
an toàn của gói tin.

83. Authentication Header (AH)
 AH được sử dụng trong các kết nối không có tính đảm
bảo dữ liệu.
 AH là lựa chọn nhằm chống lại các tấn công replay attack
bằng cách sử dụng công nghệ tấn công sliding windows
và discarding older packets.
 AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP. Trong
IPv4, IP header có bao gồm TOS, Flags, Fragment
Offset, TTL, và Header Checksum.
 AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP.

84. Authentication Header (AH)
 Next header: Nhận dạng giao thức trong sử
dụng truyền thông tin.
 Payload length: Độ lớn của gói tin AH.
 RESERVED: Sử dụng trong tương lai (cho
tới thời điểm này nó được biểu diễn bằng các
số 0).
 Security parameters index (SPI): Nhận ra
các thông số bảo mật, được tích hợp với địa
chỉ IP, và nhận dạng các thương lượng bảo
mật được kết hợp với gói tin.
 Sequence number: Một số tự động tăng lên
mỗi gói tin, sử dụng nhằm chống lại tấn công
dạng replay attacks.
 Authentication data: Bao gồm thông số
Integrity check value (ICV) cần thiết trong gói
tin xác thực. Mô hình AH header

85. Encapsulating Security Payload (ESP)
Giao thức ESP cung cấp xác thực, độ
toàn vẹn, đảm bảo tính bảo mật cho
gói tin.
 ESP cũng hỗ trợ tính năng cấu hình
sử dụng trong tính huống chỉ cần tính
năng mã hoá hoặc xác thực.

86. Encapsulating Security Payload (ESP)
 Security parameters index (SPI): Nhận ra
các thông số được tích hợp với địa chỉ IP.
 Sequence number:Tự động tăng có tác
dụng chống tấn công kiểu replay attacks.
 Payload data: Dữ liệu truyền đi
 Padding: Sử dụng vài block mã hoá
 Pad length: Độ lớn của padding.
 Next header: Nhận ra giao thức được sử
dụng trong quá trình truyền thông tin.
 Authentication data: Bao gồm dữ liệu để
xác thực cho gói tin.
Mô hình ESP

87. Các chế độ IPSec
 SAs trong IPSec hiện
tại được triển khai
bằng 2 chế độ.
 Transport.
 Tunnel.
 Cả AH và ESP có thể
làm việc với một trong
hai chế độ này
Hai chế độ IPSec

88. Transport Mode
 Transport mode bảo
vệ giao thức tầng trên
và các ứng dụng.
 Trong Transport
mode, phần IPSec
header được chèn vào
giữa phần IP header
và phần header của
giao thức tầng trên Biểu diễn của IPSec Transport Modes

89. AH Transport mode

90. ESP Transport mode

91. Tunnel Mode
 Tunnel mode bảo vệ
toàn bộ gói dữ liệu.
 Toàn bộ gói dữ liệu IP
được đóng gói trong
một gói dữ liệu IP khác
và một IPSec header
được chèn vào giữa
phần đầu nguyên bản
và phần đầu mới của IP
Biểu diển chung của IPSec Tunnel Modes

92. AH Tunnel mode
 Trong AH Tunnel mode, phần đầu mới
(AH) được chèn vào giữa phần header mới
và phần header nguyên bản, như hình bên
dưới

93. ESP Tunnel mode

94. Internet Key Exchange
 Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắc của
Internet Security Association and Key Management Protocol.
 IKE giúp các bên giao tiếp thỏa thuận các tham số bảo mật và khóa xác
nhận trước khi một phiên bảo mật IPSec được triển khai.
 Ngoài việc thỏa thuận và thiết lập các tham số bảo mật và khóa mã hóa,
IKE cũng sữa đổi những tham số khi cần thiết trong suốt phiên làm việc.
 IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một
phiên giao dịch hoàn thành.

95. Internet Key Exchange
 Chức năng chủ yếu của IKE là thiết lập và duy trì các SA.
Các thuộc tính sau đây là mức tối thiểu phải được thống
nhất giữa hai bên như là một phần của ISAKMP.
 Thuật toán mã hóa được dùng
 Thuật toán băm được dùng
 Phương thức xác thực được dùng
 Thông tin về nhóm và giải thuật Diffie-Hellman
 IKE thực hiện quá trình dò tìm, quá trình xác thực, quản
lý vào trao đổi khóa.
 Sau khi dò tìm thành công, các thông số SA hợp lệ sẽ
được lưu trong cơ sở dữ liệu của SA.

96. Internet Key Exchange
 Thuận lợi chính của IKE include bao gồm:
 IKE không phải là một công nghệ độc lập, do đó nó có
thể dùng với bất kỳ cơ chế bảo mật nào.
 Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao
bởi vì một lượng lớn những hiệp hội bảo mật thỏa
thuận với nhau với một vài thông điệp khá ít.

97. IKE Phases
 Giai đoạn I và II là hai giai đoạn
tạo nên phiên làm việc dựa trên
IKE.
 Trong một phiên làm việc IKE,
nó giả sử đã có một kênh bảo
mật được thiết lập sẵn. Kênh
bảo mật này phải được thiết lập
trước khi có bất kỳ thỏa thuận
nào xảy ra. Hai IKE phases – Phase I và Phase II

98. Giai đoạn I của IKE
 Giai đoạn I của IKE đầu tiên xác nhận các điểm
thông tin, và sau đó thiết lập một kênh bảo mật cho
sự thiết lập SA. Tiếp đó, các bên thông tin thỏa
thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm
các thuật toán mã hóa, hàm băm, và các phương
pháp xác thực, mã khóa.

99. Giai đoạn I của IKE
 Sau khi cơ chế mã hóa và hàm băm đã được thỏa thuận, một khóa chia
sẽ bí mật được tạo. Theo sau là những thông tin được dùng để tạo
khóa bí mật :
 Giá trị Diffie-Hellman
 SPI của ISAKMP SA ở dạng cookies
 Số ngẩu nhiên - nonces
 Nếu hai bên đồng ý sử dụng phương pháp xác thực dựa trên public
key, chúng cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần
thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng
chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa được
phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua
mạng.

100. Giai đoạn II của IKE
 Giai đoạn II giải quyết việc thiết lập SAs cho IPSec. Trong
giai đoạn này, SAs dùng nhiều dịch vụ khác nhau thỏa
thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa
bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP).
 Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn
giai đoạn I. Điển hình, sự thỏa thuận có thể lặp lại sau 4-5
phút. Sự thay đổi thường xuyên các mã khóa ngăn cản
các hacker bẻ gãy những khóa này và sau đó là nội dung
của gói dữ liệu.

101. IKE Modes
4 chế độ IKE phổ biến thường được triển
khai :
 Chế độ chính (Main mode)
 Chế độ linh hoạt (Aggressive mode)
 Chế độ nhanh (Quick mode)
 Chế độ nhóm mới (New Group mode)

102. Main Mode
 Main mode xác nhận và bảo vệ tính
đồng nhất của các bên có liên quan
trong qua trình giao dịch. Trong chế
độ này, 6 thông điệp được trao đổi
giữa các điểm:
 2 thông điệp đầu tiên dùng để thỏa
thuận chính sách bảo mật cho sự thay
đổi.
 2 thông điệp kế tiếp phục vụ để thay
đổi các khóa Diffie-Hellman và
nonces. Những khóa sau này thực
hiện một vai tro quan trọng trong cơ
chế mã hóa.
 Hai thông điệp cuối cùng của chế độ
này dùng để xác nhận các bên giao
dịch với sự giúp đỡ của chữ ký, các
hàm băm, và tuỳ chọn với chứng
nhận.

103. Aggressive Mode
 Aggressive mode về bản chất giống
Main mode. Chỉ khác nhau thay vì
main mode có 6 thông điệp thì chết độ
này chỉ có 3 thông điệp được trao đổi.
Do đó, Aggressive mode nhanh hơn
mai mode. Các thông điệp đó bao
gồm :
 Thông điệp đầu tiên dùng để đưa ra
chính sách bảo mật, trao đổi nonces
cho việc ký và xác minh tiếp theo.
 Thông điệp kế tiếp hồi đáp lại cho
thông tin đầu tiên. Nó xác thực người
nhận và hoàn thành chính sách bảo
mật bằng các khóa.
 Thông điệp cuối cùng dùng để xác
nhận người gửi (hoặc bộ khởi tạo của
phiên làm việc).

104. Quick Mode
 Chế độ thứ ba của IKE,
Quick mode, là chế độ
trong giai đoạn II. Nó
dùng để thỏa thuận SA
cho các dịch vụ bảo mật
IPSec.

105. New Group Mode
 New Group mode được dùng
để thỏa thuận một private
group mới nhằm tạo điều kiện
trao đổi Diffie-Hellman key
được dễ dàng.
 Mặc dù chế độ này được thực
hiện sau giai đoạn I, nhưng
nó không thuộc giai đoạn II.

106. Secure Web Traffic
Secure Sockets Layer

107. Bảo mật trong mô hình TCP/IP

108. Giao thức bảo mật SSL
(Secure Sockets Layer)
 Được phát triển bởi Netscape
 Phiên bản đầu tiên (SSL 1.0): Không công bố
 SSL 2.0: Công bố năm 1994, chứa nhiều lỗi bảo
mật.
 SSL 3.0: Công bố năm 1996.
 SSL 3.1: Năm 1999, được chuẩn hóa thành TLS
1.0 (Transport Layer Security)
 Hiện nay: SSL 3.2 (Tương đương TLS 1.1)

109. Công dụng của SSL
 Mã hóa dữ liệu và xác thực cho dịch vụ web.
 Mã hóa dữ liệu và xác thực cho dịch vụ mail
(SMTP và POP)
 Bảo mật cho FTP và các ứng dụng khác
 Thực thi SSL không “trong suốt” với ứng dụng như
IPSec.

110. Cấu trúc SSL

111. Cấu trúc SSL
 SSL Handshake protocol: Giao thức bắt tay, thực
hiện khi bắt đầu kết nối.
 SSL Change Cipher Spec protocol: Giao thức cập
nhật thông số mã hóa.
 SSL Alert protocol: Giao thức cảnh báo.
 SSL Record protocol: Giao thức chuyển dữ liệu
( thực hiện mã hóa và xác thực)

112. Connection và session
 Kết nối (connection): quan hệ truyền dữ liệu giữa
hai hệ thống ở lớp vận chuyển dữ liệu.
 Phiên (session): Quan hệ bảo mật giữa hai hệ
thống. Mỗi quan hệ có thể khởi tạo nhiều
connection.
 Giữa hai hệ thống có thể tồn tại nhiều connection
=> có thể tồn tại nhiều session theo lý thuyết.

113. Session state
 Trạng thái của phiên làm việc được xác định bằng
các thông số:
 Session identifier:nhận dạng phiên.
 Peer Certificate: Chứng chỉ số của đối tác.
 Compression method: thuật toán nén.
 Cipher spec: thông số mã hóa và xác thực.
 Master secret: khóa dùng chung.
 Is resumable: có phục hồi kết nối không.

114. Connection state
 Trạng thái kết nối xác định với các thông số:
 Server and client random: Chuỗi byte ngẫu nhiên.
 Server write MAC secret: Khóa dùng chung cho
thao tác MAC phía server.
 Server write key: Khóa mã hóa phía server.
 Client write key: Khóa mã hóa phía client.
 IV và sequence number.

115. Giáo thức SSL record
 Cung cấp hai dịch vụ cơ bản:
 Confidentiality
 Message integrity

116. Giao thức SSL record

117. Giao thức SSL record
 Phân đoạn (fragmentation): mỗi khối dữ liệu gốc
được chia thành đoạn, kích thước mỗi đoạn tối đa
= 214 byte.
 Nén (compression): có thể sử dụng các thuật toán
nén để giảm kích thước dữ liệu truyền đi, tuy nhiên
trong các phiên bản thực thi ít chấp nhận thao tác
này

118. Giao thức SSL record
 Tạo mã xác thực MAC

119. Giao thức SSL record
 Mã hóa

120. Giao thức SSL record
 Cấu trúc tiêu đề SSL record

121. Giao thức SSL Change Cipher Spec
 Có chức năng cập nhật thông số mã hóa cho kết
nối hiện tại.
 Chỉ gồm một message duy nhất có kích thước 1
byte được gửi đi cùng giao thức SSL record.

122. Giao thứ SSL Alert
 Một số bản tin cảnh báo trong SSL:
 Unexpected_message: bản tin không phù hợp.
 Bad_record_mac: MAC không đúng.
 Decompression_failure: giải nén không thành công.
 Handshake_failure: không thương lượng được các
thông số bảo mật.
 Illegal_parameter: bản tin bắt tay không hợp lệ.
 Close_notify: thông báo kết thúc kết nối

123. Giao thức SSL Alert
 Một số bản tin cảnh báo trong SSL (tt):
 No_certificate: Không có certificate để cung cấp theo yêu cầu.
 Bad_certificate: Certificate không hợp lệ (chữ ký sai).
 Unsupported_certificate: Kiểu certificate không chuẩn.
 Certificate_revoked: Certificate bị thu hồi.
 Certificate_expired: Certificate hết hạn.
 Certificate_unknown: Không xử lý được certificate (khác với
các lý do ở trên)

124. Giao thức SSL handshake
 Là phần quan trọng nhất của SSL.
 Có chức năng thỏa thuật các thông số bảo mật
giữa hai thực thể.
 Thủ tục bắt tay phải được thực hiện trước khi trao
đổi dữ liệu.
 SSL handshake gồm 4 giai đoạn (phase).

125. Giao thức SSL handshake
 Phase 1:

126. Giao thức SSL handshake
 Phase 2:
 Certificate: Chứng chỉ của server.
 Server_key_exchange: Thông số
trao đổi khóa (***).
 Certificate_request: yêu cầu client
gửi chứng chỉ.
 Server_hello_done: kết thúc
thương lượng phía server.

127. Giao thức SSL handshake
 Phase 3:
 Certificate: Chứng chỉ của client.
 Client_key_exchange: Thông số
trao đổi khóa (***).
 Certificate_verify: Thông tin xác
minh chứng chỉ của client (xác
thực khóa PR của client).

128. Giao thức SSL handshake
 Phase 4:
 Chang_cipher_spec: cập nhật
thông số mã.
 Finish: Kết thúc quá trình bắt
tay thành công.

129. Giao thức SSL handshake
 Trao đổi khóa trong SSL handshake:
 Dùng RSA (certificate chứa PU)
 Fixed Diffie-Hellman: Dùng Diffie-Hellman với khóa cố
định.
 Ephemeral Diffie-Hellman: Dùng Diffie-Hellman với khóa
tức thời.
 Anonymous Diffie-Hellman: Dùng khóa Diffie-Hellman
nguyên thủy.

130. Tấn công kết nối SSL
 Nếu chặn được các thông số của quá trình trao
đổi khóa Diffie-Hellman, có thể thu được khóa bí
mật bằng kỹ thuật Man-in-the-midle.
 Dùng khóa bí mật để giải mã thông tin của giao
thức SSL record.

131. Triển khai SSL với dịch vụ web
 Các web client (internet browser) đã tích hợp sẵn
giao thức SSL.
 Phía server:
 Đảm bảo hỗ trợ của server đối với SSL (IIS,
Apache,…)
 Tạo và cài đặt certificate cho server.
 Ràng buộc SSL đối với tất cả các giao dịch.

132. Các vấn đề về SSL
 Trongquá trình chứng thực cả Client và Server
đều phải cần PKI
 Cần phải thiết lập các qui định chung cho hệ thống
 Ảnh hưởng đến Performance của hệ thống mạng
 Việc triển khai tiềm tàng một số vấn đề: Cách
triển khai, cấu hình hệ thống, chọn phần mềm....
 Kiểu tấn công Man-in-the-Middle

133. Đảm bảo an ninh trong SSL
 Triểnkhai PKI
 Thường xuyên cập nhật, vá lỗi phần mềm sử dụng
 Cài đặt việc chứng thực trong giao dịch giữa Client
và Server
 Hướng dẫn người sử dụng dấu hiệu nhận biết tấn
công Man-in-the-Middle

134. Các điểm yếu của Web Client
 javaScript
 ActiveX
 Cookies
 Applets

135. JavaScript
 Là một đoạn mã lệnh được tích hợp trong trang web và
được thực thi bởi trình duyệt web.
 Được sử dụng rất phổ biến và hữu ích

136. JavaScript
 Các nguy cơ:
 Ăn trộm địa chỉ Email
 Ăn trộm thông tin người sử dụng
 Kill một số tiến trình
 Chiếm tài nguyên CPU và bộ nhớ
 Shutdown hệ thống
 Relay email để phục vụ cho gửi spam
 Phục vụ cho việc chiếm đoạt website

137. JavaScript
 Các biện pháp phòng
chống
 Disable chức năng chạy
JavaScript trong trình
duyệt.
 Thường xuyên cập
nhập phiên bản mới của
trình duyệt
 Kiểm tra kỹ mã lệnh của
web Server

138. ActiveX
 ActiveX cung cấp những nội dung động cho trình duyệt
web
 ActiveX có thể giao tiếp với những ứng dụng khác, tiếp
nhận các thông số từ người dùng, cung cấp các ứng dụng
hữu ích cho người sử dụng.

139. ActiveX
 Các nguy cơ:
 Ăn cắp thông tin
 Kẻ tấn công có thể lợi dụng các lỗ hổng bảo mật
của các trình ứng dụng ActiveX để xâm nhập, tấn
công hệ thống

140. ActiveX
 Các biện pháp phòng
chống
 Disable ActiveX trên trình
duyệt web và mail client
 Lọc các ActiveX từ firewall
 Hướng dẫn người sử dụng
chỉ sử dụng các ActiveX đã
được chứng thực

141. Cookies
 Filecookies lưu trữ một số các thông tin cá nhân
của người dùng:
 Số thẻ tín dụng
 Username/Password
 Có thế sử dụng chung cho nhiều website khác
nhau
 Trình duyệt có thể cho phép web server lưu trữ
thông tin trên đó

142. Cookies
 Các nguy cơ:
 Kẻ tấn công có thể sử dụng Telnet để gửi các dạng
cookies mà chúng muốn để đánh lừa web server.
 Kẻ tấn công có thể lợi dụng cookies để lấy trộm các
thông tin về người dùng, về tổ chức và câu hình Security
của mạng nội bộ
 Kẻ tấn công có thể lợi dụng lỗi Script Injection để cài các
script nguy hiểm lên hệ thống nhằm chuyển các cookies
về hệ thống thay vì phải chuyển lên web server

143. Cookies
 Các biện pháp phòng chống:
 Disable Cookies trên trình duyệt web
 Sử dụng những trình xóa cookies không cần thiết
 Cấu hình web server không được “tin tưởng” vào các
cookies dạng yêu cầu cung cấp thông tin, yêu cầu điều
khiển hoặc yêu cầu dịch vụ.. Được lưu ở client
 Không lưu trữ các thông tin nhạy cảm trên cookies
 Sử dụng SSL/TLS

144. Applets
 Là những chương trình Java nhỏ, có thể thực thi trên các
trình duyệt.
 Java Applets chạy trên những client dựa vào Java Virtual
Machine (VM) được hầu hết các hệ điều hành hỗ trợ.

145. Applets
 Các nguy cơ:
 Các chương trình Applets có thể truy cập các tài
nguyên hệ thống
 Có thể sử dụng để giả mạo chữ ký
 Có thể dùng để cài đặt Virus, Trojan, worm
 Có thể sử dụng tài nguyên mạng để tấn công, thăm
dò hệ thống mạng khác.

146. Applets
 Các biện pháp phòng chống:
 Không sử dụng Applets, tắt hỗ trợ Java trên các
trình duyệt
 Tuyên truyền, hướng dẫn người sử dụng

147. Email Security

148. Email Security
 E-mail
 MIME
 S/MIME
 Các vấn đề về S/MIME
 PGP
 Các vấn đề về PGP
 Các nguy cơ
 Bảo vệ hệ thống E-mail

149. E-Mail
 Kỹ thuật gửi thư điện tử
đến SMTP Server
 Có rất nhiều lỗi bảo mật
 Sử dụng giao thức SMTP
(TCP 25) để gửi mail
 Sử dụng giao thức
POP3/IMAP (TCP
110/143) để nhận mail

150. MIME
 Sửdụng text để mã hóa e-mail
 RFC 1521, và RFC 1522

151. S/MIME
 Làmột chuẩn mới của MIME (Multipurpose Internet
mail Extentions)
 Mã hóa và số hóa các dấu hiệu nhận biết của email
 Sử dụng mã hóa công khai
 Được tích hợp với các trình mail client thông dụng

152. Các vấn đề về S/MIME
 Người gửi phải có Public key của người nhận nếu
muốn mã hóa
 Người nhận phải có Public Key của người gửi nếu
muốn chứng thực người gửi
 Người sử dụng phải mất thêm thời gian cho các
bước truy vấn, kiểm hóa khóa với PKI (Public Key
Infrashtructure).

153. PGP
 Pretty Good Privacy
 Phương thức mã hóa công khai
 Cung cấp khả năng mã hóa chữ kí điện tử, nội
dung và các thông tin khác của email
 Người dùng được cung cấp một Public Key và 1
Private key.
 Các tiện ích hỗ trợ PGP thường được tích hợp vào
mail client hoặc sử dụng riêng biệt

154. Các vấn đề về PGP
 Hiện nay có nhiều phiên bản ứng dụng khác nhau
nên đôi khi không tương thích.
 Một số các trình ứng dụng mail client không còn
được phát triển nữa nhưng vẫn được người dùng
sử dụng
 Để triển khai cần có người phụ trách việc quản lý
key

155. Các nguy cơ
 Spam
 Sử dụng email để quảng cáo
 Gửi kiểu bomb thư
 Người gửi không hề biết người nhận
 Người nhận phải chịu sự phiền phức, khó chịu
 Cấu hính mail server không tốt sẽ tiếp tay cho spam.

156. Các nguy cơ
 Hoax (Lừa đảo)
 Hình thức: Gửi thông báo cảnh báo virus, các vấn đề an
ninh, bảo mật....
 Lây lan dựa vào sự lo sợ và kém hiểu biết của người
dùng.
 Mức độ: Khá nguy hiểm

157. Các nguy cơ
 Virus, worm, Trojan
 Hầu hết các loại virus và trojan hiện nay đều lây qua
email
 Lây lan dựa trên sự mất cảnh giác và thiếu kiến thức của
người sử dụng.
 Mức độ: rất nguy hiểm

158. Các nguy cơ
 Mail relay
 Cho phép gửi mail không cần kiểm tra
 Giả mạo
 Lợi dụng để gửi spam

159. Bảo vệ hệ thống Email
 Sử dụng S/MIME nếu có thể
 Sử dụng phần mềm Mail gateway Scan
 Cấu hình mail server tốt, không bị open relay
 Ngăn chặn spam trên Server
 Hướng dẫn sử dụng cho người dùng
 Cảnh giác với những email lạ, có nội dung đáng nghi

160. Security Baselines – Ghi tài liệu
 Ghi tài liệu cụ thể về cấu hình security mạng
 Nên xem lại và sửa chữa mỗi khi có một sự thay
đổi trong mạng

161. Security Baselines
 Liệt kê những thứ cần thiết
 Các dịch vụ
 Các giao thức
 Các ứng dụng
 Tài khoản người dùng
 Quyền truy nhập file
 Quyền truy nhập hệ thống

162. Security Baselines – OS Update
 Kiểm tra các bản update của hệ điều hành thường
xuyên.
 Triển khai WSUS (Windows Update Services)

163. Security Baselines – Bản vá (patching)
 Bản vá lỗi cả cho OS và phần mềm
 Ví dụ:
 Bản và windows chống Blaster và Sasser
 Bản vá Oracle chống 80 lỗ hổng (10/2005)
 Cácbản và được đưa ra nhanh để vá những lỗ
hổng nào đó. Có thể chưa được kiểm nghiệm

164. Security Baselines – Service Packs
 Khi
có quá nhiều bản vá nhà sản xuất tập hợp
chúng lại và đưa ra bản SP

165. Security Baselines – Network Hardening
 Cập nhật các bản sửa lỗi
 Bước bảo mật quan trọng sau bước duy trì là diệt virus
 Là sản phẩm của các nhà sản xuất
 Đăng kí mailing list của nhà sản xuất để nhận được
thông tin sớm, đầy đủ
 Cập nhật định kỳ

166. Security Baselines – Network Hardening
 Đóng những dịch vụ không cần thiết
 Dịch vụ mạng
 ứng dụng mạng
 Cổng
 Giao thức

167. Security Baselines – Application Hardening
 Quản lý tất cả các phần mềm đang chạy
 Đảm bảo chúng đã được cập nhật và sử lỗi đầy đủ
 Mức độ bảo mật của máy chủ bằng với mức độ
bảo mật thấp nhất của một ứng dụng chạy trên
máy đó

168. Security Baselines – web server
 Xóa những mã ví dụ mẫu
 Triển khai tường lửa/IDS trên server
 Ghi lại log
 Áp dụng cảnh báo thời gian thực
 Có hệ thống sao lưu để cân bằng tải và đề phòng
hỏng hóc

169. Security Baselines – Email
 Là hệ thống quan trọng, chứa rất nhiều thông tin
của công ty
 Cài đặt chương trình quét mail
 Đề phòng spam
 Cập nhật bản vá lỗi thường xuyên

170. Security Baselines – FTP
 Là ứng dụng không có bảo mật
 Nên triển khai VPN hoặc SSH
 Nên để hệ thống tài khoản do server khác quản lý
 Kiểm tra virus thường xuyên

171. Security Baselines – DNS
 DNS trên nền UNIX hay có điểm yếu
 Cập nhật các bản vá thường xuyên
 Triển khai hệ thống DNS dự phòng (secondary)

172. Security Baselines – Cấu hình
 Nên được ghi lại thành tài liệu
 Thử nghiệm kỹ trước khi đưa vào triển khai thật
 Tuân theo hướng dẫn của nhà sản xuất

173. Security Baselines – Cấu hình
 Tắt/bậtcác dịch vụ và giao thức
 Hầu hết các cuộc tấn công mạng đều dựa vào
điểm yếu của dịch vụ hay giao thức nào đó
 Vá những lỗ hổng an ninh mạng
 Đóng những dịch vụ không cần thiết để giảm độ
phức tạp

174. Security Baselines – Cấu hình
 Access Control List
 Tăng cường cho xác thực
 Qui định quyền hạn cho mỗi cá nhân
 Dùng để ghi lại các truy cập mạng