Đang tải... (xem toàn văn)
Bài giảng An toàn và bảo mật hệ thống thông tin - Chương 4: Các kỹ thuật và công nghệ đảm bảo an toàn thông tin cung cấp cho người học các kiến thức: Điều khiển truy cập, tường lửa, VPN, IDS và IPS, honeypot, honeynet và các hệ thống padded cell.
CHƯƠNG CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO ATTT TỔNG QUAN NỘI DUNG Điều khiển truy cập Tường lửa VPN IDS IPS Honeypot, Honeynet hệ thống Padded Cell Điều khiển truy cập Điều khiển truy cập Khái niệm điều khiển truy cập Các mơ hình điều khiển truy cập Các công nghệ xác thực nhận dạng người dùng 1.1 Khái niệm điều khiển truy cập Cấp phép từ chối phê duyệt sử dụng tài nguyên biết Cơ chế hệ thống thông tin cho phép hạn chế truy cập đến liệu thiết bị Bốn mơ hình tiêu chuẩn Các phương pháp thực tiễn để thực thi điều khiển truy cập 1.1 Khái niệm điều khiển truy cập Điều khiển truy cập quy trình bảo vệ nguồn lực để đảm bảo nguồn lực sử dụng đối tượng cấp phép Điều khiển truy cập nhằm ngăn cản việc sử dụng trái phép Các thuật ngữ Cấp phép (authorization) nhằm đảm bảo kiểm soát truy nhập tới hệ thống, ứng dụng liệu Nhận diện: Xem xét ủy quyền Ví dụ: người vận chuyển hàng xuất trình thẻ nhân viên Ủy quyền: cấp quyền cho phép Xác thực (chứng thực): Kiểm tra, xác minh ủy quyền Ví dụ: kiểm tra thẻ người vận chuyển hàng Các thuật ngữ (tiếp) Đối tượng: Tài nguyên cụ thể Ví dụ: file thiết bị phần cứng Chủ thể: Người dùng trình hoạt động đại diện cho người dùng Ví dụ: người dùng máy tính Thao tác: Hành động chủ thể gây đối tượng Ví dụ: xóa file Các bước điều khiển truy cập Hành động Nhận diện Mô tả Xem xét ủy quyền Ví dụ tình Q trình máy tính Người vận chuyển hàng Người dùng nhập xuất trình thẻ nhân viên tên đăng nhập Xác thực Xác minh ủy quyền Đọc thông tin thẻ để xác Người dùng cung có thực xác định thơng tin có cấp mật hay khơng thực hay không Ủy quyền Cấp quyền cho phép Truy cập Quyền phép Người dùng Người vận chuyển hàng truy cập tới tài phép truy cập tới lấy hộp cạnh cửa nguyên xác định liệu cụ thể mở cửa cho phép người vận Người dùng đăng chuyển hàng vào nhập hợp lệ Các vai trò điều khiển truy cập Vai trị Chủ sở hữu Mơ tả Ví dụ Người chịu trách nhiệm Xác định mức bảo mật Xác định cần thiết liệu người quản lý thông tin gán nhiệm vụ bảo quan có mật cần thể đọc file SALARY.XLSX Người giám Cá nhân mà hành sát động thường ngày chủ sở hữu quy định Người dùng Trách nhiệm Thường xuyên rà soát Thiết lập rà soát các thiết lập bảo mật thiết lập bảomật cho trì ghi truy file SALARY.XLSX cập người dùng Người truy cập thông Tuân thủ dẫn Mở file tin phạm vi trách bảo mật tổ chức SALARY.XSLX nhiệm giao phó khơng cố ý vi phạm bảo mật 10 Triển khai IDPS Giống chiến lược kiểm soát định liên quan, định vị trí đặt phần tử hệ thống phát xâm nhập nghệ thuật Khi xây dựng kế hoạch phải chọn chiến lược triển khai dựa việc phân tích kỹ lưỡng yêu cầu bảo mật thông tin tổ chức, đồng thời gây tác động tối thiểu tới tổ chức NIDPS HIDPS sử dụng song song để bao phủ hệ thống riêng kết nối tới mạng tổ chức hệ thống mạng 120 Triển khai Network-Based IDPSs NIST khuyến nghị vị trí cho cảm biến NIDPS Vị trí 1: Đằng sau tường lửa ngồi, DMZ mạng Vị trí 2: Bên ngồi tường lửa ngồi Vị trí 3: Trên mạng xương sống Vị trí 4: Trên mạng quan trọng 121 Các vị trí đặt sensor IDS mạng 122 Triển khai Host-Based IDPS Cài đặt HIDPS công việc vất vả tốn nhiều thời gian Trước tiên, bắt đầu với việc cài đặt hệ thống quan trọng Tiếp tục cài đặt tất hệ thống cài đặt hoàn toàn, tổ chức đạt mức kế hoạch đủ bảo đảm hệ thống sẵn sàng 123 Đo lường hiệu IDPS IDPS đánh giá cách sử dụng bốn số liệu chi phối: ngưỡng, danh sách đen danh sách cho phép, thiết lập cảnh báo, xem sửa mã Đánh giá IDPS: vd mức đọc 100 Mb/s, hay IDS phát 97% công trực tiếp Phát triển tập tẻ nhạt, hầu hết nhà cung cấp IDPS cung cấp kỹ thuật kiểm tra xác minh hệ thống thực mong đợi 124 Đo lường hiệu IDPS (tiếp) Một vài số tiến trình thử nghiệm cho phép quản trị viên: Ghi truyền lại gói tin từ tiến trình qt virus/sâu thật Ghi truyền lại gói tin từ tiến trình quét virus/sâu thật với phiên kết nối TCP/IP khơng đầy đủ (thiếu gói SYN) Quét virus/sâu để có hệ thống khơng có điểm yếu 125 Honeypot, Honeynet hệ thống Padded Cell Honey Pot, Honey Net hệ thống Padded Cell Honey pot, Honey net hệ thống Padded cell Các hệ thống bẫy tìm vết Ngăn chặn xâm nhập tích cực 127 5.1 Honey Pot, Honey Net hệ thống Padded Cell Honey pot: hệ thống mồi thiết kế để thu hút kẻ công tiềm tránh xa hệ thống quan trọng khuyến khích cơng chống lại Honey net: tập honey pot, kết nối số hệ thống honey pot subnet Honey pot thiết kế để: Chuyển hướng kẻ công truy cập vào hệ thống quan trọng Thu thập thông tin hoạt động kẻ cơng Khuyến khích kẻ công lại hệ thống đủ dài để quản trị viên ghi lại kiện, đáp trả 128 Bộ công cụ mồi 129 Honey Pot, Honey Net hệ thống Padded Cell (tiếp) Tế bào đệm (Padded Cell): honey pot bảo vệ khơng thể dễ dàng bị xâm nhập Ngồi việc thu hút kẻ cơng với liệu hấp dẫn, tế bào đệm hoạt động song song với IDS truyền thống Khi IDS phát kẻ cơng, chuyển chúng vào môi trường mô đặc biệt, nơi khơng gây hại 130 Honey Pot, Honey Net hệ thống Padded Cell (tiếp) Ưu điểm Kẻ cơng chuyển hướng đến mục tiêu mà chúng phá hủy Các quản trị viên có thời gian để định xem đối phó với kẻ cơng Những hành động kẻ cơng theo dõi cách dễ dàng rộng rãi hơn, ghi sử dụng để tinh chỉnh mẫu nguy cải thiện biện pháp bảo vệ hệ thống Honey pot hiệu việc bắt người từ bên rình mị xung quanh mạng 131 Honey Pot, Honey Net hệ thống Padded Cell (tiếp) Nhược điểm: Ý nghĩa pháp lý việc sử dụng thiết bị không xác định rõ Honey pot tế bào đệm chưa chứng minh có cơng nghệ bảo mật hữu ích chung Kẻ công chuyên nghiệp, bị chuyển hướng vào hệ thống mồi, trở nên tức giận khởi động công thù địch chống lại hệ thống hệ thống tổ chức Quản trị viên nhà quản lý bảo mật cần đạt mức độ chuyên môn cao để sử dụng hệ thống 132 5.2 Các hệ thống bẫy tìm vết Sử dụng kết hợp kỹ thuật phát xâm nhập tìm dấu vết quay nguồn Bẫy (trap) thường bao gồm honey pot tế bào đệm báo động Hạn chế pháp lý với bẫy tìm vết Dụ dỗ: trình thu hút ý đến hệ thống cách đặt bit thông tin trêu địa điểm quan trọng Bẫy : hành động thu hút cá nhân thực hành vị phạm pháp Dụ dỗ hợp pháp có đạo đức, bẫy khơng 133 5.3 Phịng ngừa xâm nhập chủ động Một số tổ chức cài đặt biện pháp đối phó tích cực để ngăn chặn công Một công cụ (LaBrea) chiếm không gian địa IP không sử dụng để giả vờ máy tính cho phép kẻ cơng hồn thành u cầu kết nối, sau giữ kết nối mở 134 ... tác: Hệ thống kiểm tra danh sách điều khiển truy cập mục duyệt Danh sách điều khiển truy cập thường xem xét mối liên hệ với file hệ điều hành 24 File chứa quyền truy cập Unix 25 Danh sách... lập bảomật cho trì ghi truy file SALARY.XLSX cập người dùng Người truy cập thông Tuân thủ dẫn Mở file tin phạm vi trách bảo mật tổ chức SALARY.XSLX nhiệm giao phó khơng cố ý vi phạm bảo mật 10... lập cho hệ thống phần AD 27 Giới hạn tài khoản Giới hạn thời gian ngày (time of day restriction) Giới hạn số lần người dùng đăng nhập vào hệ thống ngày Cho phép chọn khối thời gian chặn