Bài giảng Bảo mật hệ thống thông tin - Lê Phúc

Nội dung text: Bài giảng Bảo mật hệ thống thông tin - Lê Phúc

1. HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CƠ SỞ TP. HỒ CHÍ MINH BÀI GIẢNG BẢO MẬT HỆ THỐNG THÔNG TIN DÀNH CHO HỆ ĐÀO TẠO TỪ XA Biên soạn: Lê Phúc Tháng 7/2007
2. MỞ ĐẦU Tài liệu này được xây dựng với mục đích giúp sinh viên hệ đào tạo từ xa nghiên cứu các vấn đề về bảo mật hệ thống thông tin. Bảo mật hệ thống thông tin là tập các kỹ thuật, dịch vụ, cơ chế và ứng dụng phụ trợ giúp triển khai các hệ thống thông tin với độ an toàn cao nhất, mà cụ thể là để bảo vệ ba đặc trưng cơ bản của một hệ thống an toàn là tính Bí mật, tính Toàn vẹn và tính Khả dụng của thông tin. Tính bảo mật của hệ thống là vấn đề được cân nhắc ngay khi thiết kế hệ thống và được thực hiện xuyên suốt trong quá trình thi công, vận hành và bảo dưỡng hệ thống. Trong thời điểm mà việc kết nối vào mạng Internet, nơi chứa rất nhiều nguy cơ tấn công tiềm ẩn, đã trở thành một nhu cầu sống còn của các hệ thống thông tin thì vấn đề bảo mật càng cần phải được quan tâm và đầu tư đúng mức. Tài liệu này nhắm đến đối tượng sinh viên là những người vừa học vừa làm, do đó các vấn đề bảo mật thực tế trên mạng được quan tâm nhiều hơn là các cơ sở lý thuyết. Các chuyên đề về mật mã cũng được trình bày đơn giản theo cách nhìn của người sử dụng, không quá chuyên sâu về cơ sở toán học, do đó, nếu có nhu cầu tìm hiểu sâu hơn hoặc chứng minh các thuật toán, sinh viên cần phải đọc thêm các tài liệu về lý thuyết số. Nội dung tài liệu được chia thành 3 chương: -Chương 1:Tổng quan về bảo mật hệ thống thông tin, trình bày các vấn đề chung về bảo mật và an toàn hệ thống, các nguy cơ và các phương thức tấn công vào hệ thống thông tin, các ứng dụng bảo vệ hệ thống thông tin đang được sử dụng như Firewall và IDS -Chương 2: Mật mã và xác thực thông tin, trình bày các cơ chế mật mã và xác thực nhằm đảm bảo tính Bí mật và Toàn vẹn của thông tin. Phần này mô tả nguyên lý của các thuật toán mật mã thông dụng, hàm băm, chữ ký số và các vấn đề quản lý khoá. -Chương 3: Các ứng dụng bảo mật trong hệ thống thông tin, trình bày các ứng dụng thực tế như các giao thức xác thực, bảo mật trong kết nối mạng với IPSec, bảo mật trong ứng dụng Internet với SSL và SET. Cuối mỗi chương đều có phần tóm tắt, các câu hỏi trắc nghiệm và bài tập, giúp sinh viên hệ thống hoá lại kiến thức đã học. Đặc biệt, các bài tập thực hành và lập trình sẽ giúp sinh viên nắm rõ hơn phần lý thuyết, nên cố gắng thực hiện các bài tập này một cách chu đáo. Hy vọng tài liệu này sẽ ít nhiều giúp ích cho việc nghiên cứu chuyên đề an toàn hệ thống thông tin của các bạn sinh viên. Tháng 7/2007. Tác giả. 1
3. CHƯƠNG I TỔNG QUAN VỀ BẢO MẬT HỆ THỐNG THÔNG TIN Giới thiệu: Chương này giúp học viên nắm được các khái niệm thường dùng trong bảo mật và an toàn hệ thống, nguyên tắc xây dựng một hệ thống thông tin bảo mật, nhận diện và phân tích các nguy cơ và rủi ro đối với hệ thống thông tin, từ đó có kế hoạch nâng cấp và bảo vệ hệ thống. Nội dung chương này gồm các phần như sau: -Các đặc trưng của một hệ thống bảo mật. -Nguy cơ và rủi ro đối với hệ thống thông tin. -Các khái niệm dùng trong bảo mật hệ thống -Chiến lược bảo mật hệ thống AAA. -Một số hình thức xâm nhập hệ thống. -Kỹ thuật ngăn chặn và phát hiện xâm nhập. I.1 TỔNG QUAN Vấn đề bảo đảm an toàn cho các hệ thống thông tin là một trong những vấn đề quan trọng cần cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng hệ thống thông tin. Cũng như tất cả các hoạt động khác trong đời sống xã hội, từ khi con người có nhu cầu lưu trữ và xử lý thông tin, đặc biệt là từ khi thông tin được xem như một bộ phận của tư liệu sản xuất, thì nhu cầu bảo vệ thông tin càng trở nên bức thiết. Bảo vệ thông tin là bảo vệ tính bí mật của thông tin và tính toàn vẹn của thông tin. Một số loại thông tin chỉ còn ý nghĩa khi chúng được giữ kín hoặc giới hạn trong một số các đối tượng nào đó, ví dụ như thông tin về chiến lược quân sự chẳng hạn. Đây là tính bí mật của thông tin. Hơn nữa, thông tin không phải luôn được con người ghi nhớ do sự hữu hạn của bộ óc, nên cần phải có thiết bị để lưu trữ thông tin. Nếu thiết bị lưu trữ hoạt động không an toàn, thông tin lưu trữ trên đó bị mất đi hoặc sai lệch toàn bộ hay một phần, khi đó tính toàn vẹn của thông tin không còn được bảo đảm. Khi máy tính được sử dụng để xử lý thông tin, hiệu quả xử lý thông tin được nâng cao lên, khối lượng thông tin được xử lý càng ngày càng lớn lên, và kéo theo nó, tầm quan trọng của thông tin trong đời sống xã hội cũng tăng lên. Nếu như trước đây, việc bảo vệ thông tin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lý để bảo vệ thông tin theo đúng nghĩa đen của từ này, thì càng về sau, vấn đề bảo vệ thông tin đã trở nên đa dạng hơn và phức tạp hơn. Có thể kể ra hai điều thay đổi lớn sau đây đối với vấn đề bảo vệ thông tin: 1-Sự ứng dụng của máy tính trong việc xử lý thông tin làm thay đổi dạng lưu trữ của thông tin và phương thức xử lý thông tin. Cần thiết phải xây dựng các cơ chế bảo vệ thông tin theo đặc thù hoạt động của máy tính. Từ đây xuất hiện yêu cầu bảo vệ sự an toàn hoạt động của máy tính (Computer Security) tồn tại song song với yêu cầu bảo vệ sự an toàn của thông tin (Information Security). 2-Sự phát triển mạnh mẽ của mạng máy tính và các hệ thống phân tán làm thay đổi phạm vi tổ chức xử lý thông tin. Thông tin được trao đổi giữa các thiết bị xử lý thông qua một khoảng cách vật lý rất lớn, gần như không giới hạn, làm xuất hiện thêm nhiều nguy cơ hơn đối với sự an toàn của thông tin. Từ đó xuất hiện yêu cầu bảo vệ sự an toàn của hệ thống mạng (Network 2
4. Security), gồm các cơ chế và kỹ thuật phù hợp với việc bảo vệ sự an toàn của thông tin khi chúng được trao đổi giữa các thiết bị trên mạng. Cùng với việc nhận diện hai điều thay đổi lớn đối với vấn đề bảo đảm an toàn thông tin, hiện nay, khái niệm bảo đảm thông tin (Information Assurance) được đề xuất như một giải pháp toàn diện hơn cho bảo mật thông tin. Theo đó, vấn đề an toàn của thông tin không còn chỉ giới hạn trong việc đảm bảo tính bí mật và tính toàn vẹn của thông tin, phạm vi bảo vệ không còn giới hạn trong các hệ thống máy tính làm chức năng xử lý thông tin nữa, mà diễn ra trong tất cả các hệ thống tự động (automated systems). Yêu cầu bảo vệ không còn chỉ tập trung ở vấn đề an toàn động (Security) nữa mà bao gồm cả vấn đề an toàn tĩnh (Safety) và vấn đề tin cậy của hệ thống (Reliability). Trong phạm vi tài liệu này, vấn đề Bảo mật hệ thống thông tin (Information System Security) là vấn đề trọng tâm nhất. Toàn bộ tài liệu sẽ tập trung vào việc mô tả, phân tích các cơ chế và kỹ thuật nhằm cung cấp sự bảo mật cho các hệ thống thông tin. Một hệ thống thông tin, theo cách hiểu ngầm định trong tài liệu này, là hệ thống xử lý thông tin bằng công cụ máy tính, được tổ chức tập trung hoặc phân tán. Do vậy, nội dung của tài liệu sẽ vừa đề cập đến vấn đề bảo mật máy tính (Computer Security) và bảo mật mạng (Network Security). Tuy vậy, các kỹ thuật bảo mật mạng chỉ được đề cập một cách giản lược, dành phần cho một tài liệu khác thuộc chuyên ngành Mạng máy tính và truyền thông, đó là tài liệu Bảo mật mạng. I.2 CÁC ĐẶC TRƯNG CỦA MỘT HỆ THỐNG THÔNG TIN BẢO MẬT Một hệ thống thông tin bảo mật (Secure Information System) là một hệ thống mà thông tin được xử lý trên nó phải đảm bảo được 3 đặc trưng sau đây: -Tính bí mật của thông tin (Confidentiality) -Tính toàn vẹn của thông tin (Integrity) -Tính khả dụng của thông tin (Availability). Confidentiality Secure Integrity Availability Hình 1.1: Mô hình CIA Ba đặc trưng này được liên kết lại và xem như là mô hình tiêu chuẩn của các hệ thống thông tin bảo mật, hay nói cách khác, đây là 3 thành phần cốt yếu của một hệ thống thông tin Bảo mật. Mô hình này được sử dụng rộng rãi trong nhiều ngữ cảnh và nhiều tài liệu khác nhau, và 3
5. được gọi tắt là mô hình CIA (chú ý phân biệt với thuật ngữ CIA với ý nghĩa Confidentiality, Itegrity, Authentication trong một số tài liệu khác). Phần sau đây sẽ trình bày chi tiết về từng đặc trưng này. I.2.1 Tính bí mật: Một số loại thông tin chỉ có giá trị đối với một đối tượng xác định khi chúng không phổ biến cho các đối tượng khác. Tính bí mật của thông tin là tính giới hạn về đối tượng được quyền truy xuất đến thông tin. Đối tượng truy xuất có thể là con người, là máy tính hoặc phần mềm, kể cả phần mềm phá hoại như virus, worm, spyware, Tuỳ theo tính chất của thông tin mà mức độ bí mật của chúng có khác nhau. Ví dụ: các thông tin về chính trị và quân sự luôn được xem là các thông tin nhạy cảm nhất đối với các quốc gia và được xử lý ở mức bảo mật cao nhất. Các thông tin khác như thông tin về hoạt động và chiến lược kinh doanh của doanh nghiệp, thông tin cá nhân, đặc biệt của những người nổi tiếng, thông tin cấu hình hệ thống của các mạng cung cấp dịch vụ, v.v đều có nhu cầu được giữ bí mật ở từng mức độ. Để đảm bảo tính bí mật của thông tin, ngoài các cơ chế và phương tiện vật lý như nhà xưởng, thiết bị lưu trữ, dịch vụ bảo vệ, thì kỹ thuật mật mã hoá (Cryptography) được xem là công cụ bảo mật thông tin hữu hiệu nhất trong môi trường máy tính. Các kỹ thuật mật mã hoá sẽ được trình bày cụ thể ở chương II. Ngoài ra, kỹ thuật quản lý truy xuất (Access Control) cũng được thiết lập để bảo đảm chỉ có những đối tượng được cho phép mới có thể truy xuất thông tin. Access control sẽ được trình bày ở phần 3 của chương này. Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố tách rời: sự tồn tại của thông tin và nội dung của thông tin đó. Đôi khi, tiết lộ sự tồn tại của thông tin có ý nghĩa cao hơn tiết lộ nội dung của nó. Ví dụ: chiến lược kinh doanh bí mật mang tính sống còn của một công ty đã bị tiết lộ cho một công ty đối thủ khác. Việc nhận thức được rằng có điều đó tồn tại sẽ quan trọng hơn nhiều so với việc biết cụ thể về nội dung thông tin, chẳng hạn như ai đã tiết lộ, tiết lộ cho đối thủ nào và tiết lộ những thông tin gì, Cũng vì lý do này, trong một số hệ thống xác thực người dùng (user authentication) ví dụ như đăng nhập vào hệ điều hành Netware hay đăng nhập vào hộp thư điện tử hoặc các dịch vụ khác trên mạng, khi người sử dụng cung cấp một tên người dùng (user-name) sai, thay vì thông báo rằng user-name này không tồn tại, thì một số hệ thống sẽ thông báo rằng mật khẩu (password) sai, một số hệ thống khác chỉ thông báo chung chung là “Invalid user name/password” (người dùng hoặc mật khẩu không hợp lệ). Dụng ý đằng sau câu thông báo không rõ ràng này là việc từ chối xác nhận việc tồn tại hay không tồn tại một user-name như thế trong hệ thống. Điều này làm tăng sự khó khăn cho những người muốn đăng nhập vào hệ thống một cách bất hợp pháp bằng cách thử ngẫu nhiên. I.2.2 Tính toàn vẹn: Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm. Tính toàn vẹn được xét trên 2 khía cạnh: -Tính nguyên vẹn của nội dung thông tin. -Tính xác thực của nguồn gốc của thông tin. 4
6. Nói một cách khác, tính toàn vẹn của thông tin phải được đánh giá trên hai mặt: toàn vẹn về nội dung và toàn vẹn về nguồn gốc. Ví dụ: một ngân hàng nhận được lệnh thanh toán của một người tự xưng là chủ tài khoản với đầy đủ những thông tin cần thiết. Nội dung thông tin được bảo toàn vì ngân hàng đã nhận được một cách chính xác yêu cầu của khách hàng (đúng như người xưng là chủ tài khoản gởi đi). Tuy nhiên, nếu lệnh thanh toán này không phải cho chính chủ tài khoản đưa ra mà do một người nào khác nhờ biết được thông tin bí mật về tài khoản đã mạo danh chủ tài khoản để đưa ra, ta nói nguồn gốc của thông tin đã không được bảo toàn. Một ví dụ khác, một tờ báo đưa tin về một sự kiện vừa xảy ra tại một cơ quan quan trọng của chính phủ, có ghi chú rằng nguồn tin từ người phát ngôn của cơ quan đó. Tuy nhiên, nếu tin đó thật sự không phải do người phát ngôn công bố mà được lấy từ một kênh thông tin khác, không xét đến việc nội dung thông tin có đúng hay không, ta nói rằng nguồn gốc thông tin đã không được bảo toàn. Sự tòan vẹn về nguồn gốc thông tin trong một số ngữ cảnh có ý nghĩa tương đương với sự đảm bảo tính không thể chối cãi (non-repudiation) của hệ thống thông tin. Các cơ chế đảm bảo sự toàn vẹn của thông tin được chia thành 2 loại: các cơ chế ngăn chặn (Prevention mechanisms) và các cơ chế phát hiện (Detection mechanisms). Cơ chế ngăn chặn có chức năng ngăn cản các hành vi trái phép làm thay đổi nội dung và nguồn gốc của thông tin. Các hành vi này bao gồm 2 nhóm: hành vi cố gắng thay đổi thông tin khi không được phép truy xuất đến thông tin và hành vi thay đổi thông tin theo cách khác với cách đã được cho phép. Ví dụ: một người ngoài công ty cố gắng truy xuất đến cơ sở dữ liệu kế toán của một công ty và thay đổi dữ liệu trong đó. Đây là hành vi thuộc nhóm thứ nhất. Trường hợp một nhân viên kế toán được trao quyền quản lý cơ sở dữ liệu kế toán của công ty, và đã dùng quyền truy xuất của mình để thay đổi thông tin nhằm biển thủ ngân quỹ, đây là hành vi thuộc nhóm thứ hai. Nhóm các cơ chế phát hiện chỉ thực hiện chức năng giám sát và thông báo khi có các thay đổi diễn ra trên thông tin bằng cách phân tích các sự kiện diễn ra trên hệ thống mà không thực hiện chức năng ngăn chặn các hành vi truy xuất trái phép đến thông tin. Nếu như tính bí mật của thông tin chỉ quan tâm đến việc thông tin có bị tiết lộ hay không, thì tính toàn vẹn của thông tin vừa quan tâm tới tính chính xác của thông tin và cả mức độ tin cậy của thông tin. Các yếu tố như nguồn gốc thông tin, cách thức bảo vệ thông tin trong quá khứ cũng như trong hiện tại đều là những yếu tố quyết định độ tin cậy của thông tin và do đó ảnh hưởng đến tính toàn vẹn của thông tin. Nói chung, việc đánh giá tính toàn vẹn của một hệ thống thông tin là một công việc phức tạp. I.2.3 Tính khả dụng: Tính khả dụng của thông tin là tính sẵn sàng của thông tin cho các nhu cầu truy xuất hợp lệ. Ví dụ: các thông tin về quản lý nhân sự của một công ty được lưu trên máy tính, được bảo vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin không bị tiết lộ hay thay đổi. Tuy nhiên, khi người quản lý cần những thông tin này thì lại không truy xuất được vì lỗi hệ thống. Khi đó, thông tin hoàn toàn không sử dụng được và ta nói tính khả dụng của thông tin không được đảm bảo. 5
7. Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệ thống thông tin nào. Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu quả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra. Trong thực tế, tính khả dụng được xem là nền tảng của một hệ thống bảo mật, bởi vì khi hệ thống không sẵn sàng thì việc đảm bảo 2 đặc trưng còn lại (bí mật và toàn vẹn) sẽ trở nên vô nghĩa. Hiện nay, các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) và DDoS (Distributed Denial of Service) được đánh giá là các nguy cơ lớn nhất đối với sự an toàn của các hệ thống thông tin, gây ra những thiệt hại lớn và đặc biệt là chưa có giải pháp ngăn chặn hữu hiệu. Các hình thức tấn công này đều nhắm vào tính khả dụng của hệ thống. Một số hướng nghiên cứu đang đưa ra các mô hình mới cho việc mô tả các hệ thống an toàn. Theo đó, mô hình CIA không mô tả được đầy đủ các yêu cầu an toàn của hệ thống mà cần phải định nghĩa lại một mô hình khác với các đặc tính của thông tin cần được đảm bảo như: -Tính khả dụng (Availability) -Tính tiện ích (Utility) -Tính toàn vẹn (Integrity) -Tính xác thực (Authenticity) -Tính bảo mật (Confidentiality) -Tính sở hữu (Possession) I.3 CÁC NGUY CƠ VÀ RỦI RO ĐỐI VỚI HỆ THỐNG THÔNG TIN I.3.1 Nguy cơ: Nguy cơ (threat) là những sự kiện có khả năng ảnh hưởng đến an toàn của hệ thống. Ví dụ: tấn công từ chối dịch vụ (DoS và DDoS) là một nguy cơ đối với hệ thống các máy chủ cung cấp dịch vụ trên mạng. Khi nói đến nguy cơ, nghĩa là sự kiện đó chưa xảy ra, nhưng có khả năng xảy ra và có khả năng gây hại cho hệ thống. Có những sự kiện có khả năng gây hại, nhưng không có khả năng xảy ra đối với hệ thống thì không được xem là nguy cơ. Ví dụ: tấn công của sâu Nimda (năm 2001) có khả năng gây tê liệt toàn bộ hệ thống mạng nội bộ. Tuy nhiên, sâu Nimda chỉ khai thác được lỗi bảo mật của phần mềm IIS (Internet Information Service) trên Windows (NT và 2000) và do đó chỉ có khả năng xảy ra trên mạng có máy cài đặt hệ điều hành Windows. Nếu một mạng máy tính chỉ gồm toàn các máy cài hệ điều hành Unix hoặc Linux thì sâu Nimda hoàn toàn không có khả năng tồn tại, và do vậy, sâu Nimda không phải là một nguy cơ trong trường hợp này. Có thể chia các nguy cơ thành 4 nhóm sau đây: -Tiết lộ thông tin / truy xuất thông tin trái phép -Phát thông tin sai / chấp nhận thông tin sai -Phá hoại / ngăn chặn hoạt động của hệ thống -Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống Đây là cách phân chia rất khái quát. Mỗi nhóm sẽ bao gồm nhiều nguy cơ khác nhau. 6
8. Nghe lén, hay đọc lén (gọi chung là snooping) là một trong những phương thức truy xuất thông tin trái phép. Các hành vi thuộc phương thức này có thể đơn giản như việc nghe lén một cuộc đàm thoại, mở một tập tin trên máy của người khác, hoặc phức tạp hơn như xen vào một kết nối mạng (wire-tapping) để ăn cắp dữ liệu, hoặc cài các chương trình ghi bàn phím (key-logger) để ghi lại những thông tin quan trọng được nhập từ bàn phím. Nhóm nguy cơ phát thông tin sai / chấp nhận thông tin sai bao gồm những hành vi tương tự như nhóm ở trên nhưng mang tính chủ động, tức là có thay đổi thông tin gốc. Nếu thông tin bị thay đổi là thông tin điều khiển hệ thống thì mức độ thiệt hại sẽ nghiêm trọng hơn nhiều bởi vì khi đó, hành vi này không chỉ gây ra sai dữ liệu mà còn có thể làm thay đổi các chính sách an toàn của hệ thống hoặc ngăn chặn hoạt động bình thường của hệ thống. Trong thực tế, hình thức tấn công xen giữa Man-in-the-middle (MITM) là một dạng của phương thức phát thông tin sai / chấp nhận thông tin sai. Hoạt động của hình thức tấn công này là xen vào một kết nối mạng, đọc lén thông tin và thay đổi thông tin đó trước khi gởi đến cho nơi nhận. Giả danh (spoofing) cũng là một dạng hành vi thuộc nhóm nguy cơ phát thông tin sai / chấp nhận thông tin sai. Hành vi này thực hiện việc trao đổi thông tin với một đối tác bằng cách giả danh một thực thể khác. Phủ nhận hành vi (repudiation) cũng là một phương thức gây sai lệch thông tin. Bằng phương thức này, một thực thể thực hiện hành vi phát ra thông tin, nhưng sau đó lại chối bỏ hành vi này, tức không công nhận nguồn gốc của thông tin, và do đó vi phạm yêu cầu về tính toàn vẹn của thông tin. Ví dụ: một người chủ tài khoản yêu cầu ngân hàng thanh toán từ tài khoản của mình. Mọi thông tin đều chính xác và ngân hàng đã thực hiện lệnh. Tuy nhiên sau đó người chủ tài khoản lại phủ nhận việc mình đã đưa ra lệnh thanh toán. Khi đó, thông tin đã bị sai lệch do nguồn gốc của thông tin không còn xác định. Nhóm nguy cơ thứ 3 bao gồm các hành vi có mục đích ngăn chặn hoạt động bình thường của hệ thống bằng cách làm chậm hoặc gián đoạn dịch vụ của hệ thống. Tấn công từ chối dịch vụ hoặc virus là những nguy cơ thuộc nhóm này. Chiếm quyền điều khiển hệ thống gây ra nhiều mức độ thiệt hại khác nhau, từ việc lấy cắp và thay đổi dữ liệu trên hệ thống, đến việc thay đổi các chính sách bảo mật và vô hiệu hoá các cơ chế bảo mật đã được thiết lập. Ví dụ điển hình cho nhóm nguy cơ này là các phương thức tấn công nhằm chiếm quyền root trên các máy tính chạy Unix hoặc Linux bằng cách khai thác các lỗi phần mềm hoặc lỗi cấu hình hệ thống. Tấn công tràn bộ đệm (buffer overflow) là cách thường dùng nhất để chiếm quyền root trên các hệ thống Linux vốn được xây dựng trên nền tảng của ngôn ngữ lập trình C. I.3.2 Rủi ro và quản lý rủi ro: Rủi ro (risk) là xác suất xảy ra thiệt hại đối với hệ thống. Rủi ro bao gồm 2 yếu tố: Khả năng xảy ra rủi ro và thiệt hại do rủi ro gây ra. Có những rủi ro có khả năng xảy ra rất cao nhưng mức độ thiệt hại thì thấp và ngược lại. 7
9. Ví dụ: rủi ro mất thông tin trên hệ thống không có cơ chế bảo vệ tập tin, chẳng hạn như Windows 98. Windows 98 không có cơ chế xác thực người sử dụng nên bất cứ ai cũng có thể sử dụng máy với quyền cao nhất. Nếu trên đó chỉ có chứa các tập tin văn bản không có tính bí mật thì việc mất một tập tin thì thiệt hại gây ra chỉ là mất công sức đánh máy văn bản đó. Đây là dạng rủi ro có xác suất xảy ra cao nhưng thiệt hại thấp. Một ví dụ khác: trên máy chủ cung cấp dịch vụ có một phần mềm có lỗi tràn bộ đệm, và nếu khai thác được lỗi này thì kẻ tấn công có thể chiếm được quyền điều khiển toàn bộ hệ thống. Tuy nhiên, đây là phần mềm không phổ biến và để khai thác được lỗi này, kẻ tấn công phải có những kỹ năng cao cấp. Rủi ro hệ thống bị chiếm quyền điều khiển được đánh giá là có khả năng xảy ra thấp, nhưng nếu có xảy ra, thì thiệt hại sẽ rất cao. Cần chú ý phân biệt giữa nguy cơ và rủi ro. Nguy cơ là những hành vi, những sự kiện hoặc đối tượng có khả năng gây hại cho hệ thống. Rủi ro là những thiệt hại có khả năng xảy ra đối với hệ thống. Ví dụ: Tấn công từ chối dịch vụ là một nguy cơ (threat). Đây là một sự kiện có khả năng xảy ra đối với bất kỳ hệ thống cung cấp dịch vụ nào. Thiệt hại do tấn công này gây ra là hệ thống bị gián đoạn hoạt động, đây mới là rủi ro (risk). Tuy nhiên, không phải bất kỳ tấn công từ chối dịch vụ nào xảy ra cũng đều làm cho hệ thống ngưng hoạt động, và hơn nữa, tấn công từ chối dịch vụ không phải là nguồn gốc duy nhất gây ra gián đoạn hệ thống; những nguy cơ khác như lỗi hệ thống (do vận hành sai), lỗi phần mềm (do lập trình), lỗi phần cứng (hư hỏng thiết bị, mất điện, ) cũng đều có khả năng dẫn đến gián đoạn hệ thống. Một ví dụ khác, xét trường hợp lưu trữ tập tin trên một máy tính chạy hệ điều hành Windows 98 đã nói ở trên. Nguy cơ đối với hệ thống là các hành vi sửa hoặc xoá tập tin trên máy người khác. Những người hay sử dụng máy tính của người khác cũng được xem là nguy cơ đối với hệ thống. Rủi ro đối với hệ thống trong trường hợp này là việc tập tin bị mất hoặc bị sửa. Trong thực tế, việc đề ra chính sách bảo mật cho một hệ thống thông tin phải đảm bảo được sự cân bằng giữa lợi ích của việc bảo đảm an toàn hệ thống và chi phí thiết kế, cài đặt và vận hành các cơ chế bảo vệ chính sách đó. Công việc quản lý rủi ro trên một hệ thống là quy trình cần thiết để nhận diện tất cả những rủi ro đối với hệ thống, những nguy cơ có thể dẫn đến rủi ro và phân tích lợi ích / chi phí của giải pháp ngăn chặn rủi ro. Quy trình phân tích rủi ro bao gồm các bước: -Nhận dạng các rủi ro đối với hệ thống -Chọn lựa và thực hiện các giải pháp để giảm bớt rủi ro. -Theo dõi và đánh giá thiệt hại của những rủi ro đã xảy ra, làm cơ sở cho việc điều chỉnh lại hai bước đầu. I.3.3 Vấn đề con người trong bảo mật hệ thống: Con người luôn là trung tâm của tất cả các hệ thống bảo mật, bởi vì tất cả các cơ chế, các kỹ thuật được áp dụng để bảo đảm an toàn hệ thống đều có thể dễ dàng bị vô hiệu hoá bởi con người trong chính hệ thống đó. Ví dụ: hệ thống xác thực người sử dụng yêu cầu mỗi người trong hệ thống khi muốn thao tác trên hệ thống đều phải cung cấp tên người dùng và mật khẩu. Tuy nhiên, nếu người được cấp mật khẩu không bảo quản kỹ thông tin này, hoặc thậm chí đem tiết lộ cho người khác biết, thì khả năng xảy ra các vi phạm đối với chính sách an toàn là rất cao vì hệ thống xác thực đã bị vô hiệu hoá. 8
10. Những người có chủ ý muốn phá vỡ chính sách bảo mật của hệ thống được gọi chung là những người xâm nhập (intruder hoặc attacker) và theo cách nghĩ thông thường thì đây phải là những người bên ngoài hệ thống. Tuy nhiên, thực tế đã chứng minh được rằng chính những người bên trong hệ thống, những người có điều kiện tiếp cận với hệ thống lại là những người có khả năng tấn công hệ thống cao nhất. Đó có thể là một nhân viên đang bất mãn và muốn phá hoại, hoặc chỉ là một người thích khám phá và chứng tỏ mình. Các tấn công gây ra bởi các đối tượng này thường khó phát hiện và gây thiệt hại nhiều hơn các tấn công từ bên ngoài. Những người không được huấn luyện về an toàn hệ thống cũng là nơi tiềm ẩn các nguy cơ do những hành vi vô ý của họ như thao tác sai, bỏ qua các khâu kiểm tra an toàn, không tuân thủ chính sách bảo mật thông tin như lưu tập tin bên ngoài thư mục an toàn, ghi mật khẩu lên bàn làm việc, I.4 NGUYÊN TẮC XÂY DỰNG MỘT HỆ THỐNG BẢO MẬT I.4.1 Chính sách và cơ chế: Hai khái niệm quan trọng thường được đề cập khi xây dựng một hệ thống bảo mật: -Chính sách bảo mật (Security policy) -Cơ chế bảo mật (Security mechanism) Chính sách bảo mật là hệ thống các quy định nhằm đảm bảo sự an toàn của hệ thống. Cơ chế bảo mật là hệ thống các phương pháp, công cụ, thủ tục, dùng để thực thi các quy định của chính sách bảo mật. Chính sách bảo mật có thể được biểu diễn bằng ngôn ngữ tự nhiên hoặc ngôn ngữ toán học. Ví dụ: trong một hệ thống, để bảo đảm an toàn cho một tài nguyên (resource) cụ thể, chính sách an toàn quy định rằng chỉ có người dùng nào thuộc nhóm quản trị hệ thống (Administrators) mới có quyền truy xuất, còn những người dùng khác thì không. Đây là cách biểu diễn bằng ngôn ngữ tự nhiên. Có thể biểu diễn quy định này bằng ngôn ngữ toán học như sau: Gọi: U là tập hợp các người dùng trong hệ thống. A là tập hợp các người dùng thuộc nhóm quản trị. O là tập hợp các đối tượng (tài nguyên) trong hệ thống Thao tác Access(u, o) cho giá trị TRUE nếu người dùng u có quyền truy xuất đến đối tượng o, ngược lại, cho giá trị FALSE. Quy định p trong chính sách an toàn được phát biểu như sau:  u U,  o O: Access(u, o) = TRUE u A Ma trận cũng thường được dùng để biểu diễn một chính sách bảo mật. Ví dụ: một hệ thống với các tập người dùng U = {u1, u2, u3, u4} và tập đối tượng O = {o1, o2, o3, o4}. Các thao tác mà một người dùng u có thể thực hiện được trên một đối tượng o bao gồm đọc (r), ghi (w) và thực thi (x). Quy định về khả năng truy xuất của từng người dùng đến từng đối tượng trong hệ thống được biểu diễn bằng ma trận như sau: 9
11. u1 u2 U3 u4 o1 x x R o2 x r R o3 w R o4 w R Quan sát ma trận, ta biết rằng người dùng u3 được quyền đọc trên tất cả các đối tượng từ o1 đến o4, trong khi đó người dùng u4 thì không có quyền truy xuất đến bất kỳ đối tượng nào. Cơ chế bảo mật thông thường là các biện pháp kỹ thuật. Ví dụ: xây dựng bức tường lửa (firewall), xác thực người dùng, dùng cơ chế bảo vệ tập tin của hệ thống quản lý tập tin NTFS để phân quyền truy xuất đối với từng tập tin / thư mục trên đĩa cứng, dùng kỹ thuật mật mã hoá để che giấu thông tin, v.v Tuy nhiên, đôi khi cơ chế chỉ là những thủ tục (procedure) mà khi thực hiện nó thì chính sách được bảo toàn. Ví dụ: phòng thực hành máy tính của trường đại học quy định: sinh viên không được sao chép bài tập của sinh viên khác đã được lưu trên máy chủ. Đây là một quy định của chính sách bảo mật. Để thực hiện quy định này, các cơ chế được áp dụng bao gồm: tạo thư mục riêng trên máy chủ cho từng sinh viên, phân quyền truy xuất cho từng sinh viên đến các thư mục này và yêu cầu sinh viên phải lưu bài tập trong thư mục riêng, mỗi khi rời khỏi máy tính phải thực hiện thao tác logout khỏi hệ thống. Trong cơ chế này, các biện pháp như tạo thư mục riêng, gán quyền truy xuất, là các biện pháp kỹ thuật. Biện pháp yêu cầu sinh viên thóat khỏi hệ thống (logout) khi rời khỏi máy là một biện pháp thủ tục. Nếu sinh viên ra về mà không thóat ra khỏi hệ thống, một sinh viên khác có thể sử dụng phiên làm việc đang mở của sinh viên này để sao chép bài tập. Khi đó, rõ ràng chính sách bảo mật đã bị vi phạm. Cho trước một chính sách bảo mật, cơ chế bảo mật phải đảm bảo thực hiện được 3 yêu cầu sau đây: -Ngăn chặn các nguy cơ gây ra vi phạm chính sách -Phát hiện các hành vi vi phạm chính sách -Khắc phục hậu quả của rủi ro khi có vi phạm xảy ra. Thông thường, việc xây dựng một hệ thống bảo mật phải dựa trên 2 giả thiết sau đây: 1-Chính sách bảo mật phân chia một cách rõ ràng các trạng thái của hệ thống thành 2 nhóm: an toàn và không an toàn. 2-Cơ chế bảo mật có khả năng ngăn chặn hệ thống tiến vào các trạng thái không an toàn. Chỉ cần một trong hai giả thiết này không đảm bảo thì hệ thống sẽ không an toàn. Từng cơ chế riêng lẻ được thiết kế để bảo vệ một hoặc một số các quy định trong chính sách. Tập hợp tất cả các cơ chế triển khai trên hệ thống phải đảm bảo thực thi tất cả các quy định trong chính sách. Hai nguy cơ có thể xảy ra khi thiết kế hệ thống bảo mật do không đảm bảo 2 giả thiết ở trên: 1-Chính sách không liệt kê được tất cả các trạng thái không an toàn của hệ thống, hay nói cách khác, chính sách không mô tả được một hệ thống bảo mật thật sự. 10
12. 2-Cơ chế không thực hiện được tất cả các quy định trong chính sách, có thể do giới hạn về kỹ thuật, ràng buộc về chi phí, Dựa trên những nhận thức này, có thể đánh giá mức độ an toàn của một cơ chế như sau: Gọi P là tập hợp tất cả các trạng thái của hệ thống, Q là tập hợp các trạng thái an toàn theo định nghĩa của chính sách bảo mật, giả sử cơ chế đang áp dụng có khả năng giới hạn các trạng thái của hệ thống trong tập R. Ta có các định nghĩa như sau: -Nếu R  Q: cơ chế được đánh giá là an toàn (secure mechanism). -Nếu R = Q: cơ chế được đánh giá là chính xác (precise mechanism). -Nếu tồn tại trạng thái r R sao cho r Q: cơ chế được đánh giá là lỏng lẻo (broad mechanism). I.4.2 Các mục tiêu của bảo mật hệ thống: Một hệ thống bảo mật, như trình bày ở phần 2 của chương này, là hệ thống thoả mãn 3 yêu cầu cơ bản là tính bí mật, tính toàn vẹn và tính khả dụng, gọi tắt là CIA. Để thực hiện mô hình CIA, người quản trị hệ thống cần định nghĩa các trạng thái an toàn của hệ thống thông qua chính sách bảo mật, sau đó thiết lập các cơ chế bảo mật để bảo vệ chính sách đó. Một hệ thống lý tưởng là hệ thống: -Có chính sách xác định một cách chính xác và đầy đủ các trạng thái an toàn của hệ thống; -Có cơ chế thực thi đầy đủ và hiệu quả các quy định trong chính sách. Tuy nhiên trong thực tế, rất khó xây dựng những hệ thống như vậy do có những hạn chế về kỹ thuật, về con người hoặc do chi phí thiết lập cơ chế cao hơn lợi ích mà hệ thống an toàn đem lại. Do vậy, khi xây dựng một hệ thống bảo mật, thì mục tiêu đặt ra cho cơ chế được áp dụng phải bao gồm 3 phần như sau: Ngăn chặn (prevention): mục tiêu thiết kế là ngăn chặn các vi phạm đối với chính sách. Có nhiều sự kiện, hành vi dẫn đến vi phạm chính sách. Có những sự kiện đã được nhận diện là nguy cơ của hệ thống nhưng có những sự kiện chưa được ghi nhận là nguy cơ. Hành vi vi phạm có thể đơn giản như việc để lộ mật khẩu, quên thóat khỏi hệ thống khi rời khỏi máy tính, hoặc có những hành vi phức tạp và có chủ đích như cố gắng tấn công vào hệ thống từ bên ngoài. Các cơ chế an toàn (secure mechanism) hoặc cơ chế chính xác (precise mechanism) theo định nghĩa ở trên là các cơ chế được thiết kế với mục tiêu ngăn chặn. Tuy nhiên, khi việc xây dựng các cơ chế an toàn hoặc chính xác là không khả thi thì cần phải quan tâm đến 2 mục tiêu sau đây khi thiết lập các cơ chế bảo mật: Phát hiện (detection): mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính sách đã và đang xảy ra trên hệ thống. Thực hiện các cơ chế phát hiện nói chung rất phức tạp, phải dựa trên nhiều kỹ thuật và nhiều nguồn thông tin khác nhau. Về cơ bản, các cơ chế phát hiện xâm nhập chủ yếu dựa vào việc theo dõi và phân tích các thông tin trong nhật ký hệ thống (system log) và dữ liệu đang lưu thông trên mạng (network traffic) để tìm ra các dấu hiệu của vi phạm. Các dấu hiệu vi phạm này (gọi là signature) thường phải được nhận diện trước và mô tả trong một cơ sở dữ liệu của hệ thống (gọi là signature database). Ví dụ: khi máy tính bị nhiễm virus. Đa số các trường hợp người sử dụng phát hiện ra virus khi nó đã thực hiện phá hoại trên máy tính. Tuy nhiên có nhiều virus vẫn đang ở dạng tiềm ẩn chứ 11
13. chưa thi hành, khi đó dùng chương trình quét virus sẽ có thể phát hiện ra. Để chương trình quét virus làm việc có hiệu quả thì cần thiết phải cập nhật thường xuyên danh sách virus. Quá trình cập nhật là quá trình đưa thêm các mô tả về dấu hiệu nhận biết các loại virus mới vào cơ sở dữ liệu (virus database hoặc virus list). Phục hồi (recovery): mục tiêu thiết kế bao gồm các cơ chế nhằm chặn đứng các vi phạm đang diễn ra (response) hoặc khắc phục hậu quả của vi phạm một cách nhanh chóng nhất với mức độ thiệt hại thấp nhất (recovery). Tùy theo mức độ nghiêm trọng của sự cố mà có các cơ chế phục hồi khác nhau. Có những sự cố đơn giản và việc phục hồi có thể hoàn toàn được thực hiện tự động mà không cần sự can thiệp của con người, ngược lại có những sự cố phức tạp và nghiêm trọng yêu cầu phải áp dụng những biện pháp bổ sung để phục hồi. Một phần quan trọng trong các cơ chế phục hồi là việc nhận diện sơ hở của hệ thống và điều chỉnh những sơ hở đó. Nguồn gốc của sơ hở có thể do chính sách an toàn chưa chặt chẽ hoặc do lỗi kỹ thuật của cơ chế. I.5 CHIẾN LƯỢC BẢO MẬT HỆ THỐNG AAA AAA (Access control, Authentication, Auditing) được xem là bước tiếp cận cơ bản nhất và là chiến lược nền tảng nhất để thực thi các chính sách bảo mật trên một hệ thống được mô tả theo mô hình CIA. Cơ sở của chiến lược này như sau: 1-Quyền truy xuất đến tất cả các tài nguyên trong hệ thống được xác định một cách tường minh và gán cho các đối tượng xác định trong hệ thống. 2-Mỗi khi một đối tượng muốn vào hệ thống để truy xuất các tài nguyên, nó phải được xác thực bởi hệ thống để chắc chắn rằng đây là một đối tượng có quyền truy xuất. 3-Sau khi đã được xác thực, tất cả các thao tác của đối đượng đều phải được theo dõi để đảm bảo đối tượng không thực hiện quán quyền hạn của mình. Cần phân biệt với AAA trong ngữ cảnh quản lý mạng truy nhập với ý nghĩa Authentication, Authorization, Accounting – là dịch vụ trên các máy chủ truy nhập từ xa (remote access server) để thực hiện quản lý truy nhập mạng của người sử dụng, theo dõi lưu lượng sử dụng và tính cước truy nhập. AAA trong trường hợp này thường triển khai cùng với các dịch vụ như RADIUS, TACACS+, AAA gồm 3 lĩnh vực tách rời nhưng hoạt động song song với nhau nhằm tạo ra các cơ chế bảo vệ sự an toàn của hệ thống. Phần sau đây trình bày chi tiết về 3 lĩnh vực của AAA. I.5.1 Điều khiển truy xuất: Điều khiển truy xuất (Access control) được định nghĩa là một quy trình được thực hiện bởi một thiết bị phần cứng hay một module phần mềm, có tác dụng chấp thuận hay từ chối một sự truy xuất cụ thể đến một tài nguyên cụ thể. Điều khiển truy xuất được thực hiện tại nhiều vị trí khác nhau của hệ thống, chẳng hạn như tại thiết bị truy nhập mạng (như remote access server-RAS hoặc wireless access point - WAP), tại hệ thống quản lý tập tin của một hệ điều hành ví dụ NTFS trên Windows hoặc trên các hệ thống Active Directory Service trong Netware 4.x hay Windows 2000 server, Trong thực tế, điều khiển truy xuất được thực hiện theo 3 mô hình sau đây: 12
14. -Mô hình điều khiển truy xuất bắt buộc (Mandatory Access Control_MAC): là mô hình điều khiển truy xuất được áp dụng bắt buộc đối với toàn hệ thống. Trong môi trường máy tính, cơ chế điều khiển truy xuất bắt buộc được tích hợp sẵn trong hệ điều hành, và có tác dụng đối với tất cả các tài nguyên và đối tượng trong hệ thống, người sử dụng không thể thay đổi được. Ví dụ: trong hệ thống an toàn nhiều cấp (multilevel security), mỗi đối tượng (subject) hoặc tài nguyên (object) được gán một mức bảo mật xác định. Trong hệ thống này, các đối tượng có mức bảo mật thấp không được đọc thông tin từ các tài nguyên có mức bảo mật cao, ngược lại các đối tượng ở mức bảo mật cao thì không được ghi thông tin vào các tài nguyên có mức bảo mật thấp. Mô hình này đặc biệt hữu dụng trong các hệ thống bảo vệ bí mật quân sự (mô hình Bell- LaPadula, 1973). Những đặc điểm phân biệt của mô hình điều khiển truy xuất bắt buộc: -Được thiết lập cố định ở mức hệ thống, người sử dụng (bao gồm cả người tạo ra tài nguyên) không thay đổi được. -Người dùng và tài nguyên trong hệ thống được chia thành nhiều mức bảo mật khác nhau, phản ánh mức độ quan trọng của tài nguyên và người dùng. -Khi mô hình điều khiển bắt buộc đã được thiết lập, nó có tác dụng đối với tất cả người dùng và tài nguyên trên hệ thống. -Mô hình điều khiển truy xuất tự do (Discretionary Access Control_DAC): là mô hình điều khiển truy xuất trong đó việc xác lập quyền truy xuất đối với từng tài nguyên cụ thể do người chủ sở hữu của tài nguyên đó quyết định. Đây là mô hình được sử dụng phổ biến nhất, xuất hiện trong hầu hết các hệ điều hành máy tính. Ví dụ: trong hệ thống quản lý tập tin NTFS trên Windows XP, chủ sở hữu của một thư mục có toàn quyền truy xuất đối với thư mục, có quyền cho phép hoặc không cho phép người dùng khác truy xuất đến thư mục, có thể cho phép người dùng khác thay đổi các xác lập về quyền truy xuất đối với thư mục. Xem và thay đổi quyền truy xuất DAC trên một thư mục trong Windows XP: -Khởi động Windows Explorer bằng cách click phải vào biểu tượng My Computer và chọn Explorer. -Mặc định, Windows XP không thể hiện các thông tin chi tiết về quyền truy xuất đối với thư mục. Muốn thể hiện các thông tin này, vào menu Tools, chọn Folder Options, click vào tab View, trong cửa sổ Advanced settings, tìm dòng Use simple file sharing (Recommended) ở cuối danh sách và bỏ tuỳ chọn này (uncheck), chọn OK. -Click phải vào một thư mục tuỳ ý trong cửa sổ Windows Explorer, chọn Properties, click vào tab Security (Hình 1.2). -Cửa sổ Group or User names liệt kê các người dùng và nhóm người dùng hiện có trong hệ thống. Cửa sổ Permissions for liệt kê các quyền đã được gán cho nhóm Hình 1.2: Điều khiển truy xuất tự do hoặc người dùng tương ứng. trong Windows XP -Thử cho phép hoặc xoá bỏ các quyền mặc định của một người dùng bất kỳ. Đặc điểm phân biệt của mô hình điều khiển truy xuất tự do: 13
15. -Không được áp dụng mặc định trên hệ thống -Người chủ sở hữu của tài nguyên (owner), thường là người tạo ra tài nguyên đó hoặc người được gán quyền sở hữu, có toàn quyền điều khiển việc truy xuất đến tài nguyên. -Quyền điều khiển truy xuất trên một tài nguyên có thể được chuyển từ đối tượng (user) này sang đối tượng (user) khác. -Mô hình điều khiển truy xuất theo chức năng (Role Based Access Control_RBAC): đây là mô hình điều khiển truy xuất dựa trên vai trò của từng người dùng trong hệ thống (user’ roles). Ví dụ: một người quản lý tài chính cho công ty (financial manager) thì có quyền truy xuất đến tất cả các dữ liệu liên quan đến tài chính của công ty, được thực hiện các thao tác sửa, xóa, cập nhật trên cơ sở sữ liệu. Trong khi đó, một nhân viên kế toán bình thường thì chỉ được truy xuất đến một bộ phận nào đó của cơ sở dữ liệu tài chính và chỉ được thực hiện các thao tác có giới hạn đối với cơ sở dữ liệu. Vấn đề quan trọng trong mô hình điều khiển truy xuất theo chức năng là định nghĩa các quyền truy xuất cho từng nhóm đối tượng tùy theo chức năng của các đối tượng đó. Việc này được định nghĩa ở mức hệ thống và áp dụng chung cho tất cả các đối tượng. Cơ chế quản lý theo nhóm (account group) của Windows NT chính là sự mô phỏng của mô hình RBAC. Trong cơ chế này, người sử dụng được gán làm thành viên của một hoặc nhiều nhóm trong hệ thống, việc phân quyền truy xuất đến các tài nguyên được thực hiện đối với các nhóm chứ không phải đối với từng người dùng, khi đó các người dùng thành viên trong nhóm sẽ nhận được quyền truy xuất tương đương một cách mặc định. Việc thay đổi quyền truy xuất đối với từng người dùng riêng biệt được thực hiện bằng cách chuyển người dùng đó sang nhóm khác có quyền truy xuất thích hợp. Đặc điểm phân biệt của mô hình điều khiển truy xuất theo chức năng: -Quyền truy xuất được cấp dựa trên công việc của người dùng trong hệ thống (user’s role) -Linh động hơn mô hình điều khiển truy xuất bắt buộc, người quản trị hệ thống có thể cấu hình lại quyền truy xuất cho từng nhóm chức năng hoặc thay đổi thành viên trong các nhóm. -Thực hiện đơn giản hơn mô hình điều khiển truy xuất tự do, không cần phải gán quyền truy xuất trực tiếp cho từng người dùng. Ứng dụng các mô hình điều khiển truy xuất trong thực tế: Trong thực tế, mô hình điều khiển truy xuất tự do (DAC) được ứng dụng rộng rãi nhất do tính đơn giản của nó đối với người dùng. Tuy nhiên, DAC không đảm bảo được các yêu cầu đặc biệt về an toàn hệ thống. Do vậy, một mô hình thích hợp nhất là phối hợp cả 3 mô hình: mô hình điều khiển truy xuất bắt buộc, mô hình điều khiển truy xuất tự do và mô hình điều khiển truy xuất theo chức năng. Ngoài mô hình DAC đã được tích hợp trong hấu hết các hệ điều hành; mô hình RBAC đã được ứng dụng trong dịch vụ Active Directory của Netware 4.11 và Windows 2000 trở về sau; mô hình MAC được đưa vào trong các hệ điều hành như Windows Vista (dưới dạng cơ chế Mandatory Integrity Control), SELinux (kể cả Red Hat Enterprise Linux version 4), Trusted Solaris và Apple Computer (MAC OS X version 10.5 Leopard). I.5.2 Xác thực: 14
16. Xác thực (Authentication) là một thủ tục có chức năng xác minh nhận dạng (identity) của một đối tượng trước khi trao quyền truy xuất cho đối tượng này đến một tài nguyên nào đó. Xác thực được thực hiện dựa trên 3 cơ sở: -What you know (điều mà đối tượng biết), ví dụ mật khẩu. -What you have (cái mà đối tượng có), ví dụ thẻ thông minh Smartcard. -What you are (đặc trưng của đối tượng): các đặc điểm nhận dạng sinh trắc học như dấu vân tay, võng mạc, Trong môi trường máy tính, xác thực được dùng ở nhiều ngữ cảnh khác nhau, ví dụ: xác thực tên đăng nhập và mật khẩu của người sử dụng (hình 1.3) trước khi cho phép người sử dụng thao tác trên hệ thống máy tính (xác thực của hệ điều hành), xác thực tên đăng nhập và mật khẩu trước khi cho phép người dùng kiểm tra hộp thư điện tử (xác thực của Mail server); trong giao dịch ngân hàng, thủ tục xác thực dùng để xác định người đang ra lệnh thanh toán có phải là chủ tài khoản hay không; trong trao đổi thông tin, thủ tục xác thực dùng để xác định chính xác nguồn gốc của thông tin. Trạm làm việc (workstation) Máy chủ (server) Hình 1.3: Xác thực bằng tên đăng nhập và mật khẩu Nhiều kỹ thuật khác nhau được áp dụng để thực thi cơ chế xác thực. Cơ chế xác thực dùng tên đăng nhập và mật khẩu là cơ chế truyền thống và vẫn còn được sử dụng rộng rãi hiện nay. Khi việc xác thực được thực hiện thông qua mạng, một số hệ thống thực hiện việc mật mã hoá tên đăng nhập và mật khẩu trước khi truyền đi để tránh bị tiết lộ, nhưng cũng có nhiều hệ thống gởi trực tiếp những thông tin nhạy cảm này trên mạng (ví dụ như các dịch vụ FTP, Telnet, ) gọi là cleartext authentication. Một số kỹ thuật tiên tiến hơn được dùng trong xác thực như thẻ thông minh (Smartcard), chứng thực số (digital certificate), các thiết bị nhận dạng sinh trắc học (biometric devices), Để tăng độ tin cậy của cơ chế xác thực, nhiều kỹ thuật được sử dụng phối hợp nhau gọi là multi-factor authentication. Ví dụ: xác thực dùng thẻ thông minh kèm với mật khẩu, nghĩa là người sử dụng vừa có thẻ vừa phải biết mật khẩu thì mới đăng nhập được, tránh trường hợp lấy cắp thẻ của người khác để đăng nhập. 15
17. Trong thực tế tồn tại hai phương thức xác thực: xác thực một chiều (one way authentication) và xác thực hai chiều (mutual authentication). Phương thức xác thực một chiều chỉ cung cấp cơ chế để một đối tượng (thường là máy chủ) kiểm tra nhận dạng của đối tượng kia (người dùng) mà không cung cấp cơ chế kiểm tra ngược lại (tức không cho phép người dùng kiểm tra nhận dạng của máy chủ). Xét trường hợp một người sử dụng đăng nhập vào một hộp thư điện tử ở xa thông qua dịch vụ web (web mail). Người sử dụng dĩ nhiên phải cung cấp tên đăng nhập và mật khẩu đúng thì mới được phép truy xuất hộp thư. Để đánh cắp mật khẩu của người dùng, kẻ tấn công có thể xây dựng một trang web hòan tòan giống với giao diện của máy chủ cung cấp dịch vụ thư điện tử (mail server) và đánh lừa người sử dụng kết nối đến trang web này. Do không có cơ chế xác thực máy chủ, người sử dụng không thể nhận biết đây là một máy chủ giả mạo nên yên tâm cung cấp tên đăng nhập và mật khẩu. Phương thức kiểm tra hai chiều cho phép hai đối tượng tham gia giao tác xác thực lẫn nhau, do đó tính chính xác của quá trình xác thực được đảm bảo. Giao thức bảo mật SSL (Secure Sockets Layer) dùng trong dịch vụ web (được trình bày ở chương III) cung cấp cơ chế xác thực hai chiều dùng chứng thực số. Có nhiều giải thuật xác thực khác nhau. Giải thuật đơn giản nhất chỉ cần so sánh tên đăng nhập và mật khẩu mà người sử dụng cung cấp với tên đăng nhập và mật khẩu đã được lưu trong hệ thống, nếu giống nhau nghĩa là thủ tục xác thực thành công (PAP). Giải thuật phức tạp hơn như CHAP thì thực hiện việc mật mã hóa thông tin trên một giá trị ngẫu nhiên nào đó do máy chủ đưa ra (gọi là challenge) để tránh trường hợp mật khẩu bị đọc lén trên mạng và các hình thức tấn công phát lại (replay attack). Một giải thuật phức tạp khác là Kerberos thực hiện thủ tục xác thực theo một quá trình phức tạp gồm nhiều bước nhằm đảm bảo hạn chế tất cả các nguy cơ gây nên xác thực sai. Các giải thuật xác thực được trình bày cho tiết ở phần I của chương III. I.5.3 Kiểm tra: Kiểm tra (Auditing) là cơ chế theo dõi hoạt động của hệ thống, ghi nhận các hành vi diễn ra trên hệ thống và liên kết các hành vi này với các tác nhân gây ra hành vi. Ví dụ: cài đặt cơ chế kiểm tra cho một thư mục trong hệ thống tập tin NTFS sẽ cho phép người quản trị theo dõi các hoạt động diễn ra trên thư mục như: thao tác nào đã được thực hiện, ngày giờ thực hiện, người sử dụng nào thực hiện, Các mục tiêu của kiểm tra: -Cung cấp các thông tin cần thiết cho việc phục hồi hệ thống khi có sự cố -Đánh giá mức độ an toàn của hệ thống để có kế hoạch nâng cấp kịp thời -Cung cấp các thông tin làm chứng cứ cho việc phát hiện các hành vi truy xuất trái phép trên hệ thống. Trong một hệ thống tin cậy (reliable system) thì việc kiểm tra cũng là một yêu cầu quan trọng bởi vì nó đảm bảo rằng các hành vi của bất kỳ người dùng nào trong hệ thống (kể cả những người dùng hợp hệ đã được xác thực – authenticated user) cũng đều được theo dõi để chắc chắn rằng những hành vi đó diễn ra đúng theo các chính sách an toàn đã được định nghĩa trên hệ thống. Nguyên tắc chung khi xây dựng các hệ thống an tòan là chia nhỏ các thủ tục thành nhiều công đoạn được thực hiện bởi nhiều tác nhân khác nhau, và do đó việc thực hiện hoàn chỉnh một thủ tục yêu cầu phải có sự tham gia của nhiều tác nhân. Đây là cơ sở để thực thi các cơ chế kiểm tra. 16
18. Ví dụ: công việc giữ kho hàng và công việc quản lý sổ sách phải được thực hiện bởi hai nhân viên khác nhau để tránh trường hợp một nhân viên vừa có thể lấy hàng ra ngoài vừa có thể thay đổi thông tin trong sổ quản lý. Nguyên tắc này được áp dụng triệt để trong cơ chế kiểm tra trên hệ thống nhằm phân biệt rõ ràng giữa chức năng kiểm tra với các hoạt động được kiểm tra. Thông thường, một đối tượng được kiểm tra sẽ không có quyền thay đổi các thông tin mà cơ chế kiểm tra ghi lại. Các thành phần của hệ thống kiểm tra: -Logger: Ghi lại thông tin giám sát trên hệ thống -Analyzer: Phân tích kết quả kiểm tra -Notifier: Cảnh báo về tính an toàn của hệ thống dựa trên kết quả phân tích. Song song với cơ chế kiểm tra thường trực trên hệ thống (auditing), việc kiểm tra hệ thống định kỳ (system scanning) có chức năng kiểm tra và phát hiện các sơ hở kỹ thuật ảnh hưởng đến sự an toàn của hệ thống. Các chức năng có thể thực hiện bởi các chương trình kiểm tra hệ thống trên máy tính thường gặp: -Kiểm tra việc tuân thủ chính sách an toàn về mật khẩu (password policy), ví dụ: người dùng có đổi mật khẩu thường xuyên không, độ dài mật khẩu, độ phức tạp của mật khẩu, -Đánh giá khả năng xâm nhập hệ thống từ bên ngoài. -Kiểm tra phản ứng của hệ thống đối với các dấu hiệu có thể dẫn đến tấn công từ chối dịch vụ hoặc sự cố hệ thống (system crash). Lưu ý rằng, các công cụ kiểm tra hệ thống cũng đồng thời là các công cụ mà những kẻ tấn công (attacker) sử dụng để phát hiện các lổ hổng bảo mật trên hệ thống, từ đó thực hiện các thao tác tấn công khác. Có nhiều phần mềm quét hệ thống, điển hình như SATAN (System Administrator Tool for Analyzing Network), Nessus, Nmap, Cài đặt chức năng Audit của hệ điều hành Windows XP lên một thư mục trên một phân vùng NTFS: -Mặc định, Windows XP không áp dụng cơ chế kiểm tra, do đó cần phải kích hoạt cơ chế kiểm tra của Windows XP dùng Local Security Policy như sau: Vào Control Panel, chọn Administrative Tools, chọn Local Security Policy, trong khung Security Settings ở bên trái cửa sổ, double-click vào mục Local Policy, sau đó click vào mục Audit Policy. Khi đó, khung bên phải cửa sổ liệt kê các chức năng kiểm tra của Windows XP. Để kích hoạt cơ chế kiểm tra trên thư mục, tìm dòng Audit object access, double-click vào dòng này và chọn cả hai mục Success và Failure trong cửa sổ mới mở. Click OK và đóng tất cả các cửa sổ lại. -Để áp dụng cơ chế kiểm tra trên một thư mục nào đó: khởi động Windows explorer, tìm một thư mục muốn kiểm tra và click phải vào thư mục này, chọn Properties, click vào tab Security, click vào nút Advanced, sau đó click vào tab Auditing. Trong cửa sổ Auditing entries liệt kê các mục kiểm tra đã cài đặt. Để tạo một mục mới, click vào nút Add, chọn tên người dùng hoặc nhóm cần kiểm tra trong cửa sổ Select User or Group vừa xuất hiện, click OK. Cửa sổ Aditing Entry for xuất hiện, chọn các thao tác muốn kiểm tra, ví dụ Delete Subfolders and Files để theo dõi các hành vi xoá tập tin và thư mục con trong mục này. Cần chọn cả hai loại sự kiện là Successful và Failed. Click OK và đóng tất cả các cửa sổ lại. -Bắt đầu từ đây, tất cả các thao tác xoá các tập tin và thư mục con trong thư mục đã chọn được thực hiện bởi người dùng hoặc nhóm đã chỉ định ở trên đều được theo dõi và ghi lại trong nhật ký hệ thống. Muốn xem các thông tin này thì vào Control Panel, chọn Administrative Tools, chọn Event Viewer và chọn mục Security. 17
19. Hình 1.4: Cài đặt Auditing trên thư mục NTFS Tóm lại, AAA là phương pháp tiếp cận cơ bản nhất để thực hiện một hệ thống bảo mật theo mô hình CIA. Phương pháp này gồm 3 phần tách rời: -Thiết lập các cơ chế điều khiển truy xuất cho từng đối tượng (Access control) -Xác thực các đối tượng trước khi cho phép thao tác trên hệ thống (Authentication) -Theo dõi các thao tác của đối tượng trên hệ thống (Auditing) I.6 CÁC HÌNH THỨC XÂM NHẬP HỆ THỐNG Thuật ngữ xâm nhập (intrusion) và tấn công (attack) được sử dụng với ý nghĩa gần giống nhau trong ngữ cảnh bảo mật hệ thống. Xâm nhập mang ý nghĩa phổ quát hơn, chỉ bất kỳ một sự kiện nào có xâm hại đến sự an toàn của hệ thống, một cách chủ động hoặc thụ động. Tấn công thường được dùng để chỉ các hành vi xâm nhập chủ động, được thực hiện bởi con người nhằm vào một hệ thống với mục đích khai thác hoặc phá hoại. Mục tiêu của xâm nhập là tác động vào 3 thuộc tính CIA của hệ thống. Một cách tổng quát, sự an toàn của một hệ thống thông tin có thể bị xâm phạm bằng những cách sau đây: -Interruption: làm gián đoạn hoạt động của hệ thống thông tin, ví dụ như phá hoại phần cứng, ngắt kết nối, phá hoại phần mềm, Hình thức xâm nhập này tác động vào đặc tính Khả dụng của thông tin. -Interception: truy xuất trái phép vào hệ thống thông tin. Tác nhân của các hành vi xâm nhập kiểu Interception có thể là một người, một phần mềm hay một máy tính làm việc bằng cách quan sát dòng thông tin (monitor) nhưng không làm thay đổi thông tin gốc. Hình thức xâm nhâp này tác động vào đặc tính Bí mật của thông tin. 18
20. -Modification: truy xuất trái phép vào hệ thống thông tin, đồng thời làm thay đổi nội dung thông tin, ví dụ xâm nhập vào máy tính và làm thay đổi nội dung một tập tin, thay đổi một chương trình làm cho chương trình làm việc sai, thay đổi nội dung một thông báo đang gởi đi trên mạng, v.v Hình thức xâm nhập này tác động vào tính Toàn vẹn của thông tin. -Ngoài ra, một hình thức xâm nhập thứ tư là hình thức xâm nhập bằng thông tin giả danh (Farbrication), ví dụ, giả danh một người nào đó để gởi mail đến một người khác, giả mạo địa chỉ IP của một máy nào đó để kết nối với một máy khác, Hình thức xâm nhập này làm thay đổi nguồn gốc thông tin, tức cũng là tác động vào đặc tính Toàn vẹn của thông tin. Đối tượng xâm nhập Mạng Người dùng Máy chủ Hình 1.5: Xâm nhập kiểu Interruption Đối tượng xâm nhập Mạng Người dùng Người dùng Hình 1.6: Xâm nhập kiểu Interception Trong thực tế, việc xâm nhập hệ thống được thực hiện bởi rất nhiều phương thức, công cụ và kỹ thuật khác nhau, thêm vào đó, việc phát hiện ra các phương thức xâm nhập mới là việc xảy ra rất thường xuyên, nên vấn đề nhận dạng và phân loại các xâm nhập một cách có hệ thống là khó khăn và không chính xác. Có thể phân loại xâm nhập theo các tiêu chí sau đây: 19
21. -Phân loại theo mục tiêu xâm nhập (xâm nhập mạng, xâm nhập ứng dụng, xâm nhập hỗn hợp) -Phân loại theo tính chất xâm nhập (xâm nhập chủ động, xâm nhập thụ động) -Phân loại theo kỹ thuật xâm nhập (dò mật khẩu, phần mềm khai thác, ) Trong tài liệu này, với mục tiêu là giúp người đọc nhận diện được những phương thức xâm nhập hệ thống cơ bản và phổ biến đã được ghi nhận và phân tích, nên các hình thức xâm nhập được trình bày theo hai nhóm như sau: 1-Các phương thức tấn công (attacks) 2-Các phương thức xâm nhập hệ thống bằng phần mềm phá hoại (malicious codes) Đối tượng xâm nhập Mạng Người dùng Người dùng Hình 1.7: Xâm nhập kiểu Modification Đối tượng xâm nhập Mạng Người dùng Người dùng Hình 1.8: Xâm nhập kiểu Farbrication I.6.1 Các phương thức tấn công: -Tấn công từ chối dịch vụ DoS (Denial of Service): Dạng tấn công này không xâm nhập vào hệ thống để lấy cắp hay thay đổi thông tin mà chỉ nhằm vào mục đích ngăn chặn hoạt động bình thường của hệ thống, đặc biệt đối với các hệ thống phục vụ trên mạng công cộng như Web server, Mail server, 20
22. Ví dụ: kẻ tấn công dùng phần mềm tự động liên tục gởi dữ liệu đến một máy chủ trên mạng, gây quá tải cho máy chủ, làm cho máy chủ không còn khả năng cung cấp dịch vụ một cách bình thường. Các tấn công từ chối dịch vụ thường rất dễ nhận ra do tác động cụ thể của nó đối với hệ thống. Mục tiêu tấn công của từ chối dịch vụ có thể là một máy chủ hoặc một mạng con (bao gồm cả thiết bị mạng như router và kết nối mạng). Cơ sở của tấn công từ chối dịch vụ là các sơ hở về bảo mật trong cấu hình hệ thống (cấu hình firewall), sơ hở trong giao thức kết nối mạng (TCP/IP) và các lỗ hổng bảo mật của phần mềm, hoặc đơn giản là sự hạn chế của tài nguyên như băng thông kết nối (connection bandwidth), năng lực của máy chủ (CPU, RAM, đĩa cứng, ). Tấn công từ chối dịch vụ thường được thực hiện thông qua mạng Intrenet, nhưng cũng có thể xuất phát từ trong nội bộ hệ thống dưới dạng tác động của các phần mềm độc như worm hoặc trojan. Hai kỹ thuật thường dùng để gây ra các tấn công từ chối dịch vụ truyền thống tương ứng với hai mục tiêu tấn công là Ping of Death và buffer-overflow. Ping of Death tấn công vào kết nối mạng (bao gồm cả router) bằng cách gởi liên tục và với số lượng lớn các gói dữ liệu ICMP (Internet Control Message Protocol) đến một mạng con nào đó, chiếm toàn bộ băng thông kết nối và do đó gây ra tắc nghẽn mạng. Buffer-overflow (được mô tả ở phần software exploitation attacks) tấn công vào các máy chủ bằng cách nạp dữ liệu vượt quá giới hạn của bộ đệm (buffer) trên máy chủ, gây ra lỗi hệ thống. Các tấn công từ chối dịch vụ nổi tiếng trong lịch sử bảo mật máy tính như Code Red, Slapper, Slammer, là các tấn công sử dụng kỹ thuật buffer-overflow. Tấn công từ chối dịch vụ thường không gây tiết lộ thông tin hay mất mát dữ liệu mà chỉ nhắm vào tính khả dụng của hệ thống. Tuy nhiên, do tính phổ biến của từ chối dịch vụ và đặc biệt là hiện nay chưa có một giải pháp hữu hiệu cho việc ngăn chặn các tấn công loại này nên từ chối dịch vụ được xem là một nguy cơ rất lớn đối với sự an toàn của các hệ thống thông tin. -Tấn công từ chối dịch vụ phân tán (Distributed DoS hay DDoS): Là phương thức tấn công dựa trên nguyên tắc của từ chối dịch vụ nhưng có mức độ nguy hiểm cao hơn do huy động cùng lúc nhiều máy tính cùng tấn công vào một hệ thống duy nhất. Tấn công từ chối dịch vụ phân tán được thực hiện qua 2 giai đoạn: 1-Kẻ tấn công huy động nhiều máy tính trên mạng tham gia từ chối dịch vụ phân tán bằng cách cài đặt các phần mềm điều khiển từ xa trên các máy tính này. Các máy tính đã được cài đặt phần mềm điều khiển này được gọi là các zoombie. Để thực hiện bước này, kẻ tấn công dò tìm trên mạng những máy có nhiều sơ hở để tấn công và cài đặt các phần mềm điều khiển từ xa lên đó mà người quản lý không hay biết. Những phần mềm này được gọi chung là backdoor. 2-Kẻ tấn công điều khiển các zoombie đồng loạt thực hiện tấn công vào mục tiêu. Mô hình một chuỗi tấn công chối dịch vụ phân tán điển hình được mô tả ở hình 1.9. Các thành phần tham gia trong chối dịch vụ phân tán bao gồm: -Client: phần mềm điều khiển từ xa được kẻ tấn công sử dụng để điều khiển các máy khác tham gia tấn công. Máy tính chạy phần mềm này được gọi là master. 21
23. -Deamon: phần mềm chạy trên các zoombie, thực hiện yêu cầu của master và là nơi trực tiếp thực hiện tấn công chối dịch vụ (DoS) đến máy nạn nhân. Master (client) Zoombie (Deamon) Mục tiêu Hình 1.9: Tấn công từ chối dịch vụ phân tán (DDoS) -Tấn công giả danh (Spoofing attack): Đây là dạng tấn công bằng cách giả danh một đối tượng khác (một người sử dụng, một máy tính với một địa chỉ IP xác định hoặc một phần mềm nào đó) để thực hiện một hành vi. Ví dụ 1: một người có thể giả danh địa chỉ e-mail của một người khác để gởi thư đến một người thứ ba, đây là trường hợp đối tượng bị giả danh là một người sử dụng. Ví dụ 2: một máy tính trên mạng có thể tạo ra các gói dữ liệu mang địa chỉ IP nguồn (source IP address) không phải là địa chỉ của mình để gởi cho máy khác (gọi là IP spoofing), đây là trường hợp đối tượng bị giả danh là một máy tính. Ví dụ 3: trường hợp thứ ba là trường hợp mà đối tượng bị giả danh là một phần mềm, ví dụ chương trình xác thực người sử dụng (user logon) trên hệ điều hành Windows. Bằng cách tạo ra một chương trình có giao diện giống như cửa sổ logon của Windows và cho thực hiện khi Windows khởi động. Người sử dụng không phân biệt được đây là cửa sổ giả nên nhập tên đăng nhập và mật khẩu cho chương trình này và hậu quả là những thông tin này bị tiết lộ. Tấn công giả danh như đề cập ở trên là hình thức điển hình nhất của spoofing attack, tồn tại song song với những khiếm khuyết về kỹ thuật của bộ giao thức TCP/IP. Ngày nay, Tấn công giả danh đã phát triển thêm một hướng mới dựa trên sự phổ biến của mạng Internet, đó là Phishing. Phishing hoạt động bằng cách giả danh các địa chỉ e-mail hoặc địa chỉ trang web để đánh lừa người sử dụng. -Tấn công xen giữa (Man-in-the-middle attack): Đây là phương thức tấn công bằng cách xen vào giữa một thủ tục đang diễn ra, thường xảy ra trên mạng IP, nhưng cũng có thể xảy ra trong nội bộ một máy tính. Trên mạng, kẻ tấn công bằng một cách nào đó xen vào một kết nối, đặc biệt ở giai đoạn thiết lập kết nối giữa người dùng với máy chủ, và thông qua đó nhận được những thông tin quan 22
24. trọng của người dùng. Tấn công xen giữa đặc biệt phổ biến trên mạng không dây (wireless network) do đặc tính dễ xâm nhập của môi trường không dây. Do vậy, việc áp dụng các kỹ thuật mã hoá (như WEP, WPA, ) là điều rất quan trọng để đảm bảo an toàn cho mạng không dây. Còn trên một máy tính, tấn công dạng này có thể được thực hiện dưới dạng một chương trình thu thập thông tin ẩn (key-logger), chương trình này sẽ âm thầm chặn bắt tất cả những thông tin mà người dùng nhập vào từ bàn phím, trong đó có thể sẽ có nhiều thông tin quan trọng. Kẻ tấn công xen vào giữa một I.1.1 Cli thủ tục bắt tay để lấy thông tin. I.1.2 Se Hình 1.10: Tấn công xen giữa (Man-in-the-middle) -Tấn công phát lại (Replay attack): Trong phương thức tấn công này, các gói dữ liệu lưu thông trên mạng được chặn bắt và sau đó phát lại (replay). Trong môi trường mạng, thông tin xác thực giữa người dùng và máy chủ được truyền đi trên mạng. Đây là nguồn thông tin thường bị tấn công nhất. Nếu khi phát lại, máy chủ chấp nhận thông tin này thì máy tấn công có khả năng truy xuất vào máy chủ với quyền của người dùng trước đó. Thông tin xác thực gởi cho server Client Thông tin xác thực Server bị chặn bắt Thông tin xác thực được phát lại Kẻ tấn công Hình 1.11: Tấn công phát lại (Replay) -Nghe lén (Sniffing attack): Đây là hình thức lấy cắp dữ liệu bằng cách đọc lén trên mạng. Hầu hết các card mạng điều có khả năng chặn bắt (capture) tất cả các gói dữ liệu lưu thông trên mạng, mặc dù gói dữ liệu đó không được gởi đến cho mình. Những card mạng có khả năng như thế được gọi là đang ở chế độ promiscuous. Có rất nhiều phần mềm cho phép thực hiện chặn bắt dữ liệu từ một máy đang kết nối vào mạng, ví dụ Ethereal, Common view hoặc Network monitor có sẵn trên Windows server (2000 23
25. hoặc 2003 server). Bằng việc đọc và phân tích các gói dữ liệu bắt được, kẻ tấn công có thể tìm thấy nhiều thông tin quan trọng để tiến hành các hình thức tấn công khác. -Tấn công mật khẩu (Password attack): Là hình thức truy xuất trái phép vào hệ thống bằng cách dò mật khẩu. Có hai kỹ thuật dò mật khẩu phổ biến: -Dò tuần tự (Brute force attack): Dò mật khẩu bằng cách thử lần lượt các tổ hợp ký tự, thông thường việc này được thực hiện tự động bằng phần mềm. Mật khẩu càng dài thì số lần thử càng lớn và do đó khó bị phát hiện hơn. Một số hệ thống quy định chiều dài tối thiểu của mật khẩu. Ngoài ra để ngăn chặn việc thử mật khẩu nhiều lần, một số hệ thống ngắt kết nối nếu liên tiếp nhận được mật khẩu sai sau một số lần nào đó. -Dò theo tự điển (Dictionary attack): thử lần lượt các mật khẩu mà người sử dụng thường dùng. Để cho dơn giản, người sử dụng thường có thói quen nguy hiểm là dùng những thông tin dễ nhớ để làm mật khẩu, ví dụ như tên mình, ngày sinh, số điện thoại, Một số hệ thống hạn chế nguy cơ này bằng cách định ra các chính sách về mật khẩu (password policy), quy định độ khó tối thiểu của mật khẩu, ví dụ mật khẩu phải khác với những thông tin liên quan đến cá nhân người sử dụng, phải bao gồm cả chữ hoa và chữ thường, chữ cái và các mẫu tự khác chữ cái, Một số kỹ thuật tấn công dựa trên giao thức TCP/IP: Giao thức TCP/IP là giao thức chuẩn được sử dụng trong hầu hết các mạng máy tính, và là giao thức bắt buộc trên mạng Internet. Nhưng không may, TCP/IP chứa trong nó nhiều sơ hở về bảo mật dẫn đến những tấn công dựa trên nguyên lý của TCP/IP như sau: -Làm tràn kết nối TCP (TCP SYN/ACK flooding attack): Đây là tấn công khai thác thủ tục bắt tay ba chiều (three-way handshake) của TCP. Mục đích của tấn công là gây ra quá tải kết nối trên máy chủ và dẫn tới từ chối dịch vụ (DoS). Hình 1.12 mô tả thủ tục bắt tay ba chiều trong tình huống bình thường. Khi một máy (client) muốn kết nối một máy khác (server) qua một dịch vụ nào đó, nó bắt đầu bằng cách gởi bản tin SYN tới server trên cổng (port) tương ứng của dịch vụ đó. Ngay sau đó, server dành riêng một kết nối cho client này và trả lời bằng một bản tin SYN/ACK cho client. Để hoàn thành kết nối, client phải một lần nữa trả lời bằng một bản tin ACK gởi đến server. Trong trường hợp không SYN message SYN/ACK message ACK message Hình 1.12: Thủ tục bắt tay ba chiều của TCP/IP nhận được bản tin ACK trả lời từ phía client thì server phải chờ cho đến khi hết thời hiệu (timeout) rồi mới giải toả kết nối này. Với sơ hở này, nếu một kẻ tấn công cố tình tạo ra các bản ACK liên tiếp gởi đến server nhưng không hồi đáp (tức không gởi lại bản tin ACK cho server), thì đến một thời điểm nào đó, tất cả các kết nối có thể có của server đều dành hết cho việc chờ đợi này và do không có khả năng phục vụ cho các kết nối khác. Hình 1.13 trình bày phương thức tấn công dùng SYN/ACK flooding. 24
26. ACK message ACK message ACK message ACK message Máy chủ Kẻ tấn công ACK message ACK message Hình 1.13: Tấn công TCP SYN/ACK flooding -Tấn công dựa vào số thứ tự của TCP (TCP sequence number attack): Trong quá trình truyền dữ liệu giữa các máy sử dụng giao thức TCP, số thứ tự (sequence number) là một thông tin quan trọng giúp xác định thứ tự các gói dữ liệu và xác nhận các gói đã được nhận thành công. Số thứ tự được đánh theo từng byte dữ liệu và được duy trì một cách đồng bộ giữa bên gởi và bên nhận. Nếu một máy thứ ba, bằng cách nào đó, chặn bắt được các gói dữ liệu đang được trao đổi và đoán được số thứ tự của quá trình truyền nhận dữ liệu, nó sẽ có khả năng xen vào kết nối, làm ngắt kết nối của một đầu và nhảy vào thay thế (hijacking). Hình 1.14 mô tả phương thức hoạt động của tấn công này. Server Kẻ tấn công Số thứ tự Máy bị tấn công Hình 1.14: Tấn công dựa vào số thứ tự TCP (TCP sequence number attack) -Chiếm kết nối TCP (TCP Hijacking): Giống như phương thức tấn công ở trên (sequence number attack), nhưng sau khi đoán được số thứ tự, máy tấn công sẽ cố gắng chiếm lấy một đầu của kết nối hiện hữu mà đầu kia không hay biết để tiếp tục truyền nhận dữ liệu, khi đó thông tin trao đổi giữa hai máy ban đầu bị chuyển sang một máy thứ ba. Hình 1.15 trình bày hoạt động của phương thức tấn công này. -Tấn công dùng giao thức ICMP (ICMP attack): ICMP (Internet Control Message Protocol) là một giao thức điều khiển dùng trong mạng IP. Giao thức này thường được sử dụng để thực hiện các thủ tục điều khiển trên mạng IP như 25
27. kiểm tra các kết nối (ví dụ khi thực hiện các lệnh Ping, Tracert, ). Hai phương thức tấn công phổ biến dựa trên ICMP bao gồm: Ngắt kết nối của client đến server Chiếm kết nối hiện tại của client Server Client Máy tấn công Hình 1.15: Chiếm kết nối TCP (TCP connection hijacking) -Smurf attack: (còn được gọi la Ping of Death). Nguyên lý hoạt động của ICMP là hồi đáp lại (reply) khi nhận được các yêu cầu (echo request) từ các máy khác, do chức năng của ICMP là để kiểm tra các kết nối IP. Dựa vào nguyên lý này, một kẻ tấn công có thể giả danh một địa chỉ IP nào đó (IP spoofing) và gởi một yên cầu (echo request) đến tất cả các máy trong mạng nội bộ (bằng cách sử dụng địa chỉ quảng bá broadcast). Ngay lập tức, tất cả các máy này đều đồng loạt trả lời cho máy có địa chỉ IP bị giả danh, dẫn đến máy này bị tắc nghẽn không còn khả năng hoạt động bình thường. Mục tiêu của tấn công smurf là làm tê liệt một máy nào đó bằng các gói ICMP. Hình 1.16 mô tả hoạt động của phương thức tấn công smurf. Các máy trong nhóm quảng bá Máy tấn công Thực hiện lệnh Ping đến địa chỉ quảng bá của mạng từ địa chỉ giả danh Tất cả các máy trong nhóm quảng bá đồng loạt gởi trả lời về máy có địa chỉ IP bị giả danh, gây tắc nghẽn Máy bị tấn công Hình 1.16: Tấn công Ping of Death 26
28. -ICMP tunneling: Do gói dữ liệu ICMP thường được chấp nhận bởi nhiều máy trên mạng, nên kẻ tấn công có thể lợi dụng điều này để chuyển các thông tin không hợp lệ thông qua các gói dữ liệu ICMP. Để ngăn chặn các tấn công này, cách tốt nhất là từ chối tất cả các gói dữ liệu ICMP. -Tấn công khai thác phần mềm (Software exploitation): Đây là tên gọi chung của tất cả các hình thức tấn công nhắm vào một chương trình ứng dụng hoặc một dịch vụ nào đó ở lớp ứng dụng. Bằng cách khai thác các sơ hở và các lỗi kỹ thuật trên các phần mềm và dịch vụ này, kẻ tấn công có thể xâm nhập hệ thống hoặc làm gián đoạn hoạt động bình thường của hệ thống. Tấn công tràn bộ đệm (buffer overflow attack): là phương thức tấn công vào các lỗi lập trình của số phần mềm. Lỗi này có thể do lập trình viên, do bản chất của ngôn ngữ hoặc do trình biên dịch. Ngôn ngữ C là ngôn ngữ có nhiều khả năng gây ra các lỗi tràn bộ đệm nhất, và không may, đây là ngôn ngữ vốn được dùng rộng rãi nhất trong các hệ điều hành, các chương trình hệ thống, đặc biệt trong môi trường Unix và Linux. Đa số các trình biên dịch C không kiểm tra giới hạn vùng nhớ đã cấp phát cho các biến, do đó, khi dữ liệu lưu vào vùng nhớ vượt qua giới hạn đã cấp phát, nó sẽ ghi chồng qua những vùng nhớ kế cận và gây ra lỗi. Ví dụ: khi lập trình, mật khẩu mà người dùng nhập vào thường được xử lý dưới dạng một chuỗi (string), và được khai báo với chiều dài xác định, ví dụ 32 ký tự. Tuy nhiên, nếu trong chương trình không thực hiện việc kiểm tra chiều dài mật khẩu trước khi xử lý và trình biên dịch cũng thông tự động thực hiện việc này thì khi người sử dụng nhập mật khẩu có chiều dài lớn hơn 32 ký tự, toàn bộ chuỗi ký tự này sẽ tràn vùng nhớ đã cấp phát và có thể gây ra lỗi tràn bộ đệm. Ngoài tấn công tràn bộ đệm, các phương thức tấn công khác nhắm vào việc khai thác các sơ hở của phần mềm và dịch vụ bao gồm: khai thác cơ sở dữ liệu (database exploitation), khai thác ứng dụng (application exploitation) ví dụ như các loại macro virus, khai thác các phần mềm gởi thư điện tử (e-mail exploitation), -Các kỹ thuật đánh lừa (Social enginerring): Đây là phương thức tấn công không sử dụng kỹ thuật hay máy tính để xâm nhập hệ thống mà bằng các kỹ xảo gian lận để tìm kiếm các thông tin quan trọng, rồi thông qua đó mà xâm nhập hệ thống. Ví dụ, một kẻ tấn công giả danh là một nhân viên hỗ trợ kỹ thuật gọi điện thoại đến một người trong hệ thống để trao đổi công việc, thông qua cuộc trao đổi này để khai thác các thông tin cần thiết để thực hiện hành vi xâm nhập hệ thống. Rõ ràng, phương thức này không sử dụng các kỹ thuật để tấn công, nên được gọi là “social engineering”. Đây cũng là một trong những loại tấn công phổ biến, và đối tượng mà nó nhắm đến là vấn đề con người trong hệ thống. I.6.2 Các phương thức xâm nhập hệ thống bằng phần mềm phá hoại Kỹ thuật và hình thức tấn công mới thường xuyên được phát hiện và nâng cấp. Ở trên chỉ giới thiệu các hình thức tấn công phổ biến đã được phát hiện và phân tích. Ngoài các hình thức tấn công như trên, các hệ thống thông tin còn phải đối mặt với một nguy cơ xâm nhập rất lớn đó là các phần mềm virus, worm, spyware, gọi chung là các phần mềm phá hoại hay phần mềm độc (malicious code). Sau đây sẽ tập trung trình bày các hình thức xâm nhập này. Các phần mềm độc được chia thành các nhóm sau đây: Virus, worm, Trojan horse và logic bomb. 27
29. -Virus: Là phần mềm ẩn, kích thước nhỏ và được gắn vào một tập tin chủ nào đó, thông thường là các tập tin thực thi được, nhờ đó virus mới có khả năng phá hoại và lan truyền sang các máy khác. Một số loại virus lại gắn với các tập tin tài liệu (ví dụ như word, excel, ) và được gọi là các virus macro. Virus lan truyền giữa các máy tính thông qua việc sao chép các tập tin có nhiễm virus từ đĩa mềm, đĩa CD, đĩa flash, hoặc thông qua các tập tin gởi kèm theo e-mail. Phạm vi phá hoại của virus là rất lớn. Thông thường nhất, các virus thường gây ra mất mát dữ liệu, hư hỏng phần mềm và hư hỏng cả hệ điều hành. Nếu trên máy chưa cài đặt sẵn các chương trình quét virus thì dấu hiệu thông thường nhất để nhận biết có virus trên máy tính là: -Xuất hiện các thông báo lạ trên màn hình -Máy tính làm việc chậm đi đáng kể, đặc biệt khi khởi động chương trình. -Mất đột ngột một hoặc nhiều tập tin trên đĩa. -Lỗi phần mềm không rõ lý do. -Kích thước một số tập tin, đặc biệt là các tập tin thực thi, tăng lên bất thường. -Máy tính tự khởi động lại khi đang làm việc - Hình 1.17 mô tả việc lây lan của virus thông qua đường sao chép tập tin (bằng đĩa hoặc qua các tập tin dùng chung trên mạng). Hình 1.18 mô tả quá trình phát tán virus thông qua email. Có thể thấy mức độ phát tán của virus thông qua e-mail nghiêm trọng hơn nhiều, bởi vì đối với hình thức lây lan qua đường sao chép tập tin thì chỉ có các máy tính chủ động sao chép tập tin mới bị nhiễm virus; ngược lại trong phương thức phát tán bằng e-mail, những máy không chủ động sao chép tập tin cũng có khả năng bị lây nhiễm nếu vô ý mở những tập tin nhiễm virus được gởi kèm theo e-mail. Máy bị nhiễm virus Máy chưa bị nhiễm virus Hình 1.17: Virus lây lan từ máy này sang máy khác qua phương tiện lưu trữ (đĩa) hoặc qua thư mục dùng chung trên mạng 28
30. Hình 1.18: Virus phát tán qua e-mail -Worm: Là loại phần mềm độc có cơ chế hoạt động và tầm phá hoại gần giống như virus. Điểm khác nhau cơ bản giữa worm và virus là worm có khả năng tự sao chép thông qua mạng (trong khi virus phải nhờ vào thao tác sao chép của người sử dụng) và tự tồn tại như một chương trình độc lập (trong khi virus phải gắn vào một tập tin khác). Đặc trưng cơ bản nhất của worm là tính phát tán nhanh trên phạm vi rộng bằng nhiều phương tiện khác nhau, như sử dụng trực tiếp giao thức TCP/IP, sử dụng các dịch vụ mạng ở lớp ứng dụng, phát tán qua e-mail và nhiều phương tiện khác. Worm Nimda xuất hiện năm 2001 là một worm điển hình với tốc độ phát tán cực nhanh và mức độ nguy hiểm lớn, có thể gây tê liệt các hệ thống mạng lớn sử dụng hệ điều hành Windows trong nhiều giờ. -Trojan horse: Một dạng phần mềm độc hoạt động núp dưới danh nghĩa một phần mềm hữu ích khác, và sẽ thực hiện các hành vi phá hoại hệ thống khi chương trình giả danh được kích hoạt bởi người sử dụng. Trojan không có khả năng tự sao chép như worm (mà phải giả dạng thành một phần mềm có ích hoặc được gắn vào một phần mềm thực thi khác để được cài đặt vào máy), không có khả năng tự thực thi như virus (mà chỉ thực hiện khi người sử dụng khởi động chương trình). Mức độ phá hoại của Trojan cũng rất đa dạng, trong đó quan trong nhất là thực thi như một phần mềm gián điệp (back-door) giúp cho những kẻ tấn công từ xa có thể dễ dàng xâm nhập hệ thống. Spyware là một ví dụ của Trojan, đây là các phần mềm được tự động cài vào máy khi người sử dụng tải các phần mềm trên Internet về cài trên máy của mình. Spyware có thể tự động gởi e-mail, tự động mở các trang web hoặc thực hiện các hành vi khác gây ảnh hưởng đến hoạt động bình thường của máy tính bị nhiễm. 29
31. -Logic bomb: Là các phần mềm nằm ẩn trên máy tính và chỉ thực hiện khi có một sự kiện nào đó xảy ra, ví dụ khi người quản trị mạng đăng nhập vào hệ thống, khi một ứng dụng nào đó được chạy hoặc đến một ngày giờ định trước nào đó. Thông thường, khi được thực hiện, logic bomb gởi một thông báo về một máy trung tâm định trước nào đó để thông báo sự kiện xảy ra. Nhận được thông báo này, kẻ tấn công từ máy tính trung tâm đó sẽ thực hiện tiếp các thủ thuật tấn công vào hệ thống, ví dụ khởi động một cuộc tấn công từ chối dịch vụ (DoS hoặc DDoS). Trên đây là các phương thức xâm nhập vào hệ thống sử dụng các phần mềm phá hoại. Mặc dù sự xâm nhập vào một hệ thống cụ thể nào đó của các phần mềm này có thể không do chủ đích của một cá nhân nào, nhưng thiệt hại do các hình thức xâm nhập này gây ra là rất lớn, do tính phổ biến của nó. Bất kỳ máy nào cũng có thể bị nhiễm phần mềm độc, đặc biệt khi kết nối đến mạng Internet. Các nguyên tắc chung để tránh sự xâm nhập của các phần mềm độc vào máy tính nói riêng và vào một hệ thống thông tin nói chung bao gồm: -Không sao chép dữ liệu từ các nguồn không tin cậy (từ đĩa hay qua mạng). -Không cài đặt các phần mềm không rõ nguồn gốc, đặc biệt là các phần mềm download từ Internet. -Thường xuyên cập nhật các bản sửa lỗi (Hotfixes hoặc service pack) cho hệ thống (cả hệ điều hành và chương trình ứng dụng). -Cài đặt các chương trình Antivirus, Antispyware và cập nhật thường xuyên cho các chương trình này. -Theo dõi các thông tin về các loại virus mới, phương thức hoạt động và cách thức ngăn chặn trên các trang web chuyên về bảo mật (ví dụ trang CERT tại địa chỉ I.7 KỸ THUẬT NGĂN CHẶN VÀ PHÁT HIỆN XÂM NHẬP Sau khi nhận diện các nguy cơ và rủi ro đối với hệ thống, phân tích các phương thức và kỹ thuật tấn công có khả năng ảnh hưởng đến sự an toàn của hệ thống, các hệ thống thông tin thường triển khai các biện pháp kỹ thuật cần thiết để ngăn chặn và phát hiện xâm nhập. Phần này giới thiệu về tường lửa (Firewall) và hệ thống phát hiện xâm nhập (IDS), là hai ứng dụng bảo mật điển hình nhất hiện nay. I.7.1 Tường lửa: Tường lửa hay firewall là kỹ thuật ngăn chặn các tấn công xâm nhập từ bên ngoài (mạng Internet) vào hệ thống bên trong (mạng LAN và server). Hình 1.19 mô tả một cấu trúc mạng điển hình trong đó firewall được lắp đặt trước router, với vai trò bảo vệ cho toàn bộ hệ thống mạng bên trong. Nguyên tắc chung của các bức tường lửa là điều khiển truy xuất mạng bằng cách giám sát tất cả các gói dữ liệu được gởi thông qua tường lửa, và tuỳ vào các cài đặt trong chính sách bảo mật mà cho phép hoặc không cho phép chuyển tiếp các gói này đến đích. Hình 1.20 mô tả hoạt động điển hình của một bứac tường lửa, trong đó, lưu lượng HTTP (TCP port 80) được phép đi qua tường lửa, còn lưu lượng NetBIOS (TCP port 445) thì bị chặn lại. 30
32. Internet Router Firewall Web server Mail server Các máy tính khác trong mạng nội bộ Hình 1.19: Bức tường lửa đặt trước Router để bảo vệ toàn bộ mạng bên trong Chức năng của tường lửa trên mạng là quản lý lưu lượng vào/ra trên kết nối Internet và ghi lại các sự kiện diễn ra trên kết nối này phục vụ cho các mục đích an toàn mạng. Tuy nhiên, do bản chất của tường lửa là giám sát lưu lượng luân chuyển thông qua một kết nối giữa mạng nội bộ và mạng công cộng bên ngoài, cho nên tường lửa không có khả năng giám sát và ngăn chặn các tấn công xuất phát từ bên trong mạng nội bộ. Có thể tóm tắt chức năng chủ yếu của tường lửa như sau: -Separator: Tách rời giữa mạng nội bộ và mạng công cộng, ràng buộc tất cả các kết nối từ trong ra ngoài hoặc từ ngoài vào trong phải đi qua tường lửa như một đường đi duy nhất. -Restricter: Chỉ cho phép một số lượng giới hạn các loại lưu lượng được phép xuyên qua tường lửa, nhờ đó người quản trị có thể thực thi chính sách bảo mật bằng cách thiết lập các quy tắc lọc gói tương ứng gọi là các access rules. -Analyzer: Theo dõi (tracking) lưu lượng luân chuyển qua tường lửa, ghi lại các thông tin này lại (logging) theo yêu cầu của người quản trị để phục vụ cho các phân tích để đánh giá mức độ an toàn của hệ thống. Ngoài các chức năng cơ bản trên, một số bức tường lửa còn có chức năng xác thực (authentication) đối với người sử dụng trước khi chấp nhận kết nối. HTTP (port 80) Mạng nội bộ Internet NetBios (port 445) Firewall Hình 1.20: Hoạt động cơ bản của bức tường lửa *-Phân loại tường lửa theo đặc tính kỹ thuật: Tường lửa có thể là một phần mềm chạy trên một máy tính nào đó với ít nhất là hai giao tiếp mạng (dual-home host), khi đó nó được gọi là firewall mềm. Các firewall mềm thông dụng hiện nay gồm: SunScreen, ISA server, Check point, Gauntlet, IPTables, 31
33. Ngược lại, chức năng tường lửa cũng có thể được thực hiện trong một khối phần cứng riêng biệt và được gọi là firewall cứng. Các sản phầm firewall cứng điển hình hiện nay bao gồm: Cisco PIX, NetScreen firewalls, SonicWall appliances, WatchGuard Fireboxes, Nokia firewalls, *-Phân loại firewall theo phạm vi bảo vệ: Căn cứ vào phạm vi mà tường lửa bảo vệ, có thể chia tường lửa thành 2 nhóm riêng biệt: tường lửa dành cho máy tính cá nhân (personal firewalls) và tường lửa dành cho mạng (network firewalls). -Personal firewall thông thường là các firewall mềm, được cài đặt trên máy cá nhân để bảo vệ cho máy cá nhân. Hệ điều hành Windows (2000 và XP) đã có tích hợp sẵn personal firewall. Ngoài ra, các phần mềm antivirus chuyên nghiệp cũng có chức năng của personal firewall như Norton Antivirus, McAfee, -Network firewall có thể là firewall mềm hoặc firewall cứng, thường được lắp đặt trước hoặc sau bộ định tuyến (router) nhằm mục đích bảo vệ cho toàn hệ thống mạng. *-Phân loại firewall theo cơ chế làm việc: Dựa trên cơ chế làm việc, firewall được chia thành 3 loại như sau: -Tường lửa lọc gói (packet filtering firewall hay stateless firewall) Nguyên lý của các bức tường lửa lọc gói là đọc tất cả các thông tin trong tiêu đề của các gói dữ liệu IP luân chuyển qua bức tường lửa, và dựa trên các thông tin này để quyết định chấp nhận (accept) hay loại bỏ gói dữ liệu (drop). Như vậy, khi thiết lập các quy tắc lọc gói của tường lửa, người quản trị mạng phải căn cứ trên các thông tin sau đây: -Địa chỉ IP, bao gồm địa chỉ IP của máy gởi và địa chỉ IP của máy nhận (source IP address và destination IP address). -Số cổng kết nối (port number), bao gồm cả cổng của máy gởi và cổng của máy nhận (source port và destination port) -Giao thức kết nối (protocol), ví dụ TCP, UDP hay ICMP. Packet filtering firewall chỉ phân tích tiêu đề của gói IP, không phân tích nội dung gói và do đó không có khả năng ngăn chặn truy xuất theo nội dung dữ liệu. Packet filtering firewall hữu ích trong các trường hợp muốn ngăn chặn một hoặc một số cổng xác định nào đó, từ chối một hoặc một số địa chỉ IP xác định hoặc một giao thức xác định nào đó (ví dụ ICMP). Trong thực tế, các tấn công xâm nhập thường được thực hiện thông qua các cổng khác với các cổng dịch vụ phổ biến. Bảng 1.1 liệt kê danh sách một số dịch vụ thông dụng trên Internet và số cổng tương ứng. -Tường lửa lớp ứng dụng (Application Layer gateway): Hoạt động của tường lửa lớp ứng dụng tương tự như tường lửa lọc gói, tức là cũng dựa trên việc phân tích các gói dữ liệu IP để quyết định có cho phép đi xuyên qua bức tường lửa hay không. Điểm khác của tường lửa lớp ứng dụng là nó có khả năng phân tích cả nội dung của gói dữ liệu IP (phần data payload), và do đó cho phép thiết lập các quy tắc lọc gói phức tạp hơn. Ví dụ, có thể chấp nhận lưu lượng HTTP đi qua bức tường lửa, tuy nhiên với những gói nào có chứa nội dung trùng với mẫu định trước thì chặn lại. Do đặc tính của tường lửa lớp ứng dụng can thiệp trực tiếp vào tất cả các gói dữ liệu đi qua nó, nên nhìn dưới góc độ truy xuất mạng, bức tường lửa lớp ứng dụng trực tiếp thực hiện các 32
34. giao dịch với mạng bên ngòai thay cho các máy tính bên trong. Do vậy, tường lửa lớp ứng dụng cũng còn được gọi là các phần mềm Proxy. Kỹ thuật này có ích trong các trường hợp cần quản lý nội dung truy cập của người sử dụng hoặc để nhận dạng dấu hiệu của một số loại phần mềm độc (virus, worm, trojan, ), ví dụ ngăn chặn người sử dụng tải các tập tin hình ảnh hoặc phim với kích thước lớn. Do phải phân tích toàn bộ cấu trúc gói dữ liệu để lấy thông tin nên nhược điểm của tường lửa lớp ứng dụng là yêu cầu năng lực xử lý mạnh, và là nơi có thể xảy ra tắc nghẽn tiềm năng của mạng. -Tường lửa kiểm soát trạng thái (stateful inspection firewall): Là loại tường lửa kết hợp cả hai nguyên lý làm việc của tường lửa lọc gói và tường lửa lớp ứng dụng. Tường lửa kiểm sóat trạng thái cho phép thiết lập các quy tắc lọc gói phức tạp hơn so với tường lửa lọc gói, tuy nhiên không mất quá nhiều thời gian cho việc phân tích nội dung của tất cả các gói dữ liệu như trường hợp tường lửa lớp ứng dụng. Tường lửa kiểm sóat trạng thái theo dõi trạng thái của tất cả các kết nối đi qua nó và các gói dữ liệu liên quan đến từng kết nối. Theo đó, chỉ các các gói dữ liệu thuộc về các kết nối hợp lệ mới được chấp nhận chuyển tiếp qua tường lửa, các gói khác đều bị loại bỏ tại đây. Tường lửa kiểm sóat trạng thái phức tạp hơn do phải tích hợp chức năng của cả 2 loại tường lửa ở trên. Tuy nhiên, cơ chế thực hiện của tường lửa này đã chứng tỏ được tính hiệu quả của nó và trong thực tế, các sản phẩm tường lửa mới đều hỗ trợ kỹ thuật này. Bảng 1.1: Một số dịch vụ phổ biến trên TCP Cổng Dịch vụ 20 FTP, kênh điều khiển (Control port) 21 FTP, kênh dữ liệu (Data port) 22 Secure Shell (SSH) 23 Telnet 25 Simple Mail Transfer Protocol (SMTP) 80 HyperText Transfer Protocol (HTTP) 110 Post Office Protocol, version 3 (POP3) 143 Internet Message Access Protocol 443 Secure Sockets Layer (SSL) I.7.2 Hệ thống phát hiện xâm nhập: Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là hệ thống phát hiện các dấu hiệu của tấn công xâm nhập. Khác với bức tường lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và cảnh báo cho người quản trị mạng. IDS không thực hiện chức năng phân tách giữa mạng nội bộ và mạng công cộng như bức tường lửa nên không gánh toàn bộ lưu lượng qua nó và do đó không có nguy cơ làm tắc nghẽn mạng. 33
35. Intrusion (xâm nhập) được định nghĩa là bất kỳ một sự kiện hay hành vi nào tác động vào 3 thành phần cơ bản của một hệ thống an tòan là tính Bảo mật, tính Tòan vẹn và tính Khả dụng. IDS phát hiện dấu vết của tấn công bằng cách phân tích hai nguồn thông tin chủ yếu sau đây: 1-Thông tin về các thao tác thực hiện trên máy chủ được lưu trong nhật ký hệ thống (system log) 2-Lưu lượng đang lưu thông trên mạng. Chức năng ban đầu của IDS chỉ là phát hiện các dấu hiện xâm nhập, do đó IDS chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra hoặc thậm chí sau khi tấn công đã hoàn tất. Càng về sau, nhiều kỹ thuật mới được tích hợp vào IDS, giúp nó có khả năng dự đóan được tấn công (prediction) và thậm chí phản ứng lại các tấn công đang diễn ra (Active response). Hai thành phần quan trọng nhất cấu tạo nên hệ thống IDS là sensor (bộ cảm nhận) có chức năng chặn bắt và phân tích lưu lượng trên mạng và các nguồn thông tin khác để phát hiện dấu hiệu xâm nhập; signature database là cơ sở dữ liệu chứa dấu hiệu (signature) của các tấn công đã được phát hiện và phân tích. Cơ chế làm việc của signature database giống như virus database trong các chuơng trình antivirus, do vậy, việc duy trì một hệ thống IDS hiệu quả phải bao gồm việc cập nhận thường xuyên cơ sở dữ liệu này. *-Phân loại IDS theo phạm vi giám sát: Dựa trên phạm vi giám sát, IDS được chia thành 2 lọai: -Networ- based IDS (NIDS): Là những IDS giám sát trên tòan bộ mạng. Nguồn thông tin chủ yếu của NIDS là các gói dữ liệu đang lưu thông trên mạng. NIDS thường được lắp đặt tại ngõ vào của mạng, có thể đứng trước hoặc sau bức tường lửa. Hình 1.21 mô tả một NIDS điển hình. -Host-based IDS (HIDS): Là những IDS giám sát họat động của từng máy tính riệng biệt. Do vậy, nguồn thông tin chủ yếu của HIDS ngòai lưu lượng dữ liệu đến và đi từ máy chủ còn có hệ thống dữ liệu nhật ký hệ thống (system log) và kiểm tra hệ thống (system audit). Hình 1.22 trình bày cấu trúc của HIDS. IDS được thiết kế để phối hợp với hệ điều hành để xử lý các thông tin giám sát hệ thống. Dịch vụ nhật ký hệ thống (logging) ghi lại các sự kiện và trạng thái của hệ thống vào một cơ sở dữ liệu (Event database). Ngoài ra, kết quả giám sát trên mạng của IDS cũng được ghi vào Event Database. Để phát hiện xâm nhập, IDS duy trì một cơ sở dữ liệu (IDS database) chứa các mô tả về từng loại tấn công. *-Phân loại IDS theo kỹ thuật thực hiện: Dựa trên kỹ thuật thực hiện, IDS cũng được chia thành 2 loại: -Signature-based IDS: Signature-based IDS phát hiện xâm nhập dựa trên dấu hiệu của hành vi xâm nhập, thông qua phân tích lưu lượng mạng và nhật ký hệ thống. Kỹ thuật này đòi hỏi phải duy trì một cơ sở dữ liệu về các dấu hiệu xâm nhập (signature database), và cơ sở dữ liệu này phải được cập nhật thường xuyên mỗi khi có một hình thức hoặc kỹ thuật xâm nhập mới. -Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang tính thống kê) các hành vi hiện tại với họat động bình thường của hệ thống để phát hiện các bất thường (anomaly) có thể là dấu hiệu của xâm nhập. Ví dụ, trong điều kiện bình thường, lưu lượng trên một giao tiếp 34
36. mạng của server là vào khỏang 25% băng thông cực đại của giao tiếp. Nếu tại một thời điểm nào đó, lưu lượng này đột ngột tăng lên đến 50% hoặc hơn nữa, thì có thể giả định rằng server đang bị tấn công DoS. Router Firewall IDS Signature Quản trị database hệ thống Hình 1.21: Network-based IDS (NIDS) Network Host Hệ điều hành Logging Hình 1.22: Host-based IDS (HIDS) Để họat động chính xác, các IDS lọai này phải thực hiện một quá trình “học”, tức là giám sát họat động của hệ thống trong điều kiện bình thường để ghi nhận các thông số họat động, đây là cơ sở để phát hiện các bất thường về sau. Trong thực tế, IDS là một kỹ thuật mới so với firewall, tuy nhiên, cho đến thời điểm này, với sự phát triển khá mạnh mẽ của kỹ thuật tấn công thì IDS vẫn chưa thật sự chứng tỏ được tính hiệu quả của nó trong việc đảm bảo an tòan cho các hệ thống mạng. Một trong những phần mềm IDS phổ biến hiện nay là Snort. Đây là một sản phẩm NIDS mã nguồn mở với hệ thống signature database (được gọi là rule database) được cập nhật thường xuyên bởi nhiều thành viên trong cộng đồng Internet. 35
37. Tóm tắt chương: -Một hệ thống thông tin an tòan là hệ thống đảm bảo được 3 đặc trưng cơ bản: -Tính Bảo mật (Confidentiality) -Tính Tòan vẹn (Integrity) -Tính Khả dụng (Availability) Ba đặc trưng này được gọi tắt là CIA. -Chiến lược cơ bản nhất để đảm bảo tính bảo mật của một hệ thống thông tin: -Access Control -Authentication -Auditing Kỹ thuật này gọi tắt là AAA. -Nguy cơ (threat) của một hệ thống thông tin là các sự kiện, hành vi có khả năng ảnh hưởng đến 3 đặc trưng CIA của hệ thống. Rủi ro đối với hệ thống thông tin là xác suất xảy ra các thiệt hại đối với hệ thống. -Chính sách bảo mật (security policy) định nghĩa các trạng thái an tòan của hệ thống, các hành vi mà người sử dụng được phép hoặc không được phép thực thi. Cơ chế bảo mật (security mechianism) là các biện pháp kỹ thuật (technical) hoặc thủ tục (procedure) nhằm đảm bảo chính sách. Nguyên tắc xây dựng một hệ thống thông tin an toàn bao gồm xây dựng chính sách bảo mật để định nghĩa một cách chính xác và đầy đủ các trạng thái an toàn của hệ thống, sau đó thiết lập các cơ chế để đảm bảo thực thi chính sách. -Có nhiều hình thức xâm nhập / tấn công khác nhau trên hệ thống. Các tấn công này dựa trên các sơ hở về an tòan của giao thức (TCP/IP), của hệ điều hành (Windows, Linux, ) hoặc của các chương trình ứng dụng chạy trên các hệ điều hành đó. Kỹ thuật tất công luôn luôn được phát triển và hòan thiện, do đó công nghệ an toàn mạng cũng phải được phát triển tương xứng. -Hai giải pháp kỹ thuật giúp phát hiện và ngăn chặn các tấn công trên một hệ thống thông tin là IDS và Firewall. IDS giám sát hệ thống để phát hiện các dấu hiệu tấn công và tạo ra cảnh báo. Firewall ngăn chặn hoặc cho phép các truy xuất thông qua Firewall theo các quy luật định trước (access rules). CÂU HỎI VÀ BÀI TẬP. A- Câu hỏi trắc nghiệm Câu 1. Thế nào là tính bảo mật của hệ thống thông tin? a- Là đặc tính của hệ thống trong đó thông tin được giữ bí mật không cho ai truy xuất. b- Là đặc tính của hệ thống trong đó tất cả thông tin được lưu trữ dưới dạng mật mã. c- Là đặc tính của hệ thống trong đó chỉ có những người dùng được cho phép mới có thể truy xuất được thông tin d- Tất cả đều đúng Câu 2. Chọn câu đúng khi nói về tính bảo mật của hệ thống thông tin: a- Một hệ thống đảm bảo tính bí mật (confidential) là một hệ thống an toàn (secure). b- Tính bí mật của thông tin bao gồm tính bí mật về sự tồn tại của thông tin và tính 36
38. bí mật nội dung thông tin. c- Tính bí mật của thông tin bao gồm tính bí mật về nội dung thông tin và tính bí mật về nguồn gốc thông tin. d- Tất cả đều sai. Câu 3. Thế nào là tính toàn vẹn của hệ thống thông tin? a- Là đặc tính của hệ thống trong đó thông tin không bị sửa đổi hoặc xoá bỏ bởi người sử dụng. b- Là đặc tính của hệ thống trong đó thông tin không bị thay đổi theo thời gian c- Là đặc tính của hệ thống trong đó thông tin không bị truy xuất bởi những người không được phép. d- Là đặc tính của hệ thống trong đó thông tin không bị thay đổi, hư hỏng hay mất mát. Câu 4. Chọn câu đúng khi nói về tính toàn vẹn của thông tin: a- Một hệ thống an toàn là một hệ thống đảm bảo tính toàn vẹn của thông tin. b- Tính toàn vẹn của thông tin bao gồm toàn vẹn về nội dung và toàn vẹn về nguồn gốc thông tin. c- Tính toàn vẹn của thông tin bao gồm toàn vẹn về nội dung và sự tồn tại của thông tin. d- Câu a và b. Câu 5. Các cơ chế đảm bảo tính toàn vẹn của thông tin: a- Gồm các cơ chế ngăn chặn và cơ chế phát hiện các vi phạm về toàn vẹn thông tin. b- Mật mã hoá toàn bộ thông tin trong hệ thống. c- Lưu toàn bộ thông tin trong hệ thống dưới dạng nén. d- Tất cả các cơ chế trên. Câu 6. Hành vi nào sau đây ảnh hưởng đến tính toàn vẹn của hệ thống thông tin: a- Một sinh viên sao chép bài tập của một sinh viên khác. b- Virus xóa mất các tập tin trên đĩa cứng. c- Mất điện thường xuyên làm hệ thống máy tính làm việc gián đọan. d- Tất cả các hành vi trên. Câu 7. Hành vi nào sau đây ảnh hưởng đến tính khả dụng của hệ thống thông tin: a- Một sinh viên sao chép bài tập của một sinh viên khác. b- Virus xóa mất các tập tin trên đĩa cứng. c- Mất điện thường xuyên làm hệ thống máy tính làm việc gián đọan. d- Tất cả các hành vi trên. Câu 8. Hành vi nào sau đây ảnh hưởng đến tính bí mật của hệ thống thông tin: a- Một sinh viên sao chép bài tập của một sinh viên khác. b- Virus xóa mất các tập tin trên đĩa cứng. c- Mất điện thường xuyên làm hệ thống máy tính làm việc gián đọan. d- Tất cả các hành vi trên. Câu 9. Các cơ chế bảo vệ tính bí mật của thông tin: 37
39. a- Mật mã hoá toàn bộ thông tin trong hệ thống. b- Xây dựng các cơ chế điều khiển truy xuất (access control) phù hợp. c- Lắp đặt các phương tiện bảo vệ hệ thống thông tin ở mức vật lý. d- Tất cả các cơ chế trên. Câu 10. Thế nào là tính khả dụng của hệ thống thông tin? a- Là tính sẵn sàng của thông tin trong hệ thống cho mọi nhu cầu truy xuất. b- Là tính sẵn sàng của thông tin trong hệ thống cho các nhu cầu truy xuất hợp lệ. c- Là tính dễ sử dụng của thông tin trong hệ thống. d- Tất cả đều sai. Câu 11. Thế nào là nguy cơ đối với hệ thống thông tin? a- Là các sự kiện, hành vi ảnh hưởng đến sự an toàn của hệ thống thông tin. b- Là các thiệt hại xảy ra đối với hệ thống thông tin c- Là các hành vi vô ý của người sử dụng làm ảnh hưởng đến tính khả dụng của hệ thống thông tin. d- Tất cả đều đúng. Câu 12. Các nguy cơ nào sau đây có thể ảnh hưởng đến tính khả dụng của hệ thống thông tin: a- Thiết bị không an toàn. b- Các tấn công từ chối dịch vụ (DoS và DDoS). c- Virus và các loại phần mềm phá hoại khác trên máy tính. d- Tất cả các nguy cơ trên. Câu 13. Chọn câu sai khi nói về các nguy cơ đối với sự an toàn của hệ thống thông tin: a- Những kẻ tấn công hệ thống (attacker) có thể là con người bên trong hệ thống. b- Người sử dụng không được huấn luyện về an toàn hệ thống cũng là một nguy cơ đối với hệ thống. c- Một hệ thống không kết nối vào mạng Internet thì không có các nguy cơ tấn công. d- Xâm nhập hệ thống (intrusion) có thể là hành vi xuất phát từ bên ngoài hoặc từ bên trong hệ thống. Câu 14. Chọn câu đúng khi nói về các nguy cơ và rủi ro đối với hệ thống thông tin: a- Tất cả các rủi ro đều có ít nhất một nguy cơ đi kèm với nó. b- Có thể ngăn chặn rủi ro bằng cách ngăn chặn các nguy cơ tương ứng. c- Mục tiêu của an toàn hệ thống là ngăn chặn tất cả các rủi ro xảy ra trên hệ thống. d- Tất cả các câu trên. Câu 15. Nguyên tắc xây dựng một hệ thống bảo mật: a- Áp dụng các cơ chế an toàn phù hợp với hệ thống. b- Xây dựng các chính sách an toàn chặt chẽ. c- Xây dựng chính sách bảo mật và triển khai các cơ chế để đảm bảo chính sách đó. d- Tất cả đều đúng. Câu 16. Mục tiêu của chính sách bảo mật hệ thống: 38
40. a- Xác định các trạng thái an toàn mà hệ thống cần đảm bảo. b- Ngăn chặn các nguy cơ đối với hệ thống. c- Hạn chế các rủi ro đối với hệ thống. d- Tất cả các câu trên. Câu 17. Mục tiêu của an tòan hệ thống theo thứ tự ưu tiên giảm dần: a- Ngăn chặn, phát hiện, phục hồi. b- Phát hiện, ngăn chặn, phục hồi. c- Phát hiện và ngăn chặn. d- Phát hiện và phục hồi. Câu 18. Chọn câu đúng khi nói về các mô hình điều khiển truy xuất (access control): a- MAC là cơ chế điều khiển bắt buộc được áp dụng cho toàn hệ thống b- Cơ chế quản lý theo nhóm trên Windows 2000 là một dạng thực thi tương đương với cơ chế RBAC. c- Đa số các hệ điều hành đều có thực hiện mô hình DAC. d- Tất cả đều đúng. Câu 19. Các cơ chế xác thực thông dụng trong hệ thống thông tin: a- Dùng các cơ chế quản lý truy xuất tập tin trên đĩa cứng. b- Dùng cơ chế phân quyền cho người sử dụng. c- Dùng user-name/password. d- Tất cả đều sai. Câu 20. Các giao thức xác thực thông dụng trong hệ thống thông tin: a- Kerberos b- CHAP c- Cả hai đều sai d- Cả hai đều đúng Câu 21. Chức năng của cơ chế kiểm tra (auditing) trên hệ thống: a- Ghi lại (Logger), phân tích (Analyzer) và thông báo (Notifier). b- Theo dõi và ghi nhận các sự kiện và hành vi diễn ra trên hệ thống. c- Cung cấp thông tin để phục hồi hệ thống khi có sự cố. d- Cung cấp thông tin làm chứng cứ cho các hành vi vi phạm chính sách an toàn hệ thống. Câu 22. Chọn câu đúng: a- Tấn công kiểu Interception tác động vào đặc tính toàn vẹn của hệ thống thông tin. b- Modification là kiểu tấn công vào đặc tính bí mật của hệ thống thông tin. c- Tấn công bằng hình thức giả danh (farbrication) tác động đến đặc tính toàn vẹn của thông tin. d- Vấn đề phủ nhận hành vi (repudiation) là một hình thức tấn công hệ thống kiểu Interruption. Câu 23. Phương thức tấn công nào ngăn chặn các user hợp lệ truy xuất các tài nguyên hệ thống? 39
41. a- Sniffing b- Spoofing c- DoS d- Man-In-The-Middle. Câu 24. Chọn câu đúng: a- Có thể ngăn chặn các tấn công tràn bộ đệm (buffer overflow) bằng các phần mềm antivirus. b- Có thể ngăn chặn các tấn công tràn bộ đệm bằng cách cài đặt firewall. c- Tất cả các phần mềm viết bằng ngôn ngữ C đều có chứa lỗi tràn bộ đệm. d- Lỗi tràn bộ đệm chỉ xảy ra trên các phần mềm có nhập liệu từ người dùng. Câu 25. Một máy tính nghe lén thông tin trên mạng và dùng các thông tin này để xâm nhập trái phép vào một hệ thống thông tin, đây là phương thức tấn công nào? a- Spoofing b- Replay c- Man-In-The-Middle d- Sniffing Câu 26. Phương thức tấn công nào sau đây không dựa trên bản chất của giao thức TCP/IP: a- SYN/ACK flooding b- TCP sequence number attack c- ICMP attack d- Software exploitation Câu 27. Chọn câu đúng khi nói về các phương thức tấn công bằng phần mềm độc (malicious code): a- Virus có thể tự sao chép và lan truyền thông qua mạng máy tính. b- Worm là loại phần mềm độc hoạt động dựa vào một phần mềm khác. c- Trojan horse là một loại phần mềm độc nhưng có tên giống như các tập tin bình thường. d- Logic bomb không thể phá hoại hệ thống nếu đồng hồ hệ thống luôn chậm hơn thời gian hiện hành. Câu 28. Chọn câu đúng khi nói về firewall: a- Firewall chỉ có thể ngăn chặn các tấn công từ bên ngoài hệ thống. b- Tất cả các gói dữ liệu đi qua firewall đều bị đọc toàn bộ nội dung, nhờ đó firewall mới có cơ sở để phân biệt các tấn công với các loại lưu lượng khác. c- Nếu mở tất cả các cổng (port) trên firewall thì firewall sẽ hoàn toàn bị vô hiệu hoá. d- Tất cả đều đúng. Câu 29. Ứng dụng nào sau đây có chức năng thay đổi địa chỉ IP của tất cả các gói dữ liệu đi qua nó: a- IDS b- Proxy 40
42. c- NAT d- Không có ứng dụng nào như vậy Câu 30. Nguyên lý hoạt động của IDS: a- Phân tích các gói dữ liệu lưu thông trên mạng để tìm dấu hiện của tấn công. b- Phân tích các dữ liệu trong nhật ký hệ thống (system log) để phát hiện dấu hiệu của tấn công. c- Duy trì một cơ sở dữ liệu về các dấu hiệu tấn công (signature database). d- Tất cả các điều trên. Câu 31. Chọn câu đúng khi nói về IDS: a- IDS là một ứng dụng có chức năng phát hiện và ngăn chặn các tấn công vào hệ thống thông tin. b- IDS chỉ có thể phát hiện được các tấn công từ bên ngoài vào hệ thống. c- Network-based IDS không có khả năng phát hiện tấn công vào một máy chủ cụ thể. d- Signature-based IDS không có khả năng phát hiện các tấn công hoàn toàn mới, chưa từng được mô tả trong cơ sở dữ liệu. B- Bài tập Câu 32. Liệt kê và sắp xếp các phương thức tấn công theo hai loại: tấn công chủ động (active attacks) và tấn công thụ động (passive attacks). Câu 33. Liệt kê và sắp xếp các phương thức tấn công theo hai loại: tấn công vào giao thức TCP/IP và tấn công vào phần mềm (chương trình ứng dụng và hệ điều hành). Câu 34. Cài đặt và cấu hình phần mềm IDS Snort trên Hệ điều hành Linux. Câu 35. Cài đặt và cấu hình ISA server 2004 trên Windows.  41
43. CHƯƠNG II MẬT MÃ VÀ XÁC THỰC THÔNG TIN Giới thiệu: Chương này trình bày cơ chế mật mã và các vấn đề liên quan như hàm băm, chữ ký số, chứng thực và cơ sở hạ tầng khoá công khai PKI. Mật mã là cơ chế cơ bản nhất nhằm đảm bảo tính Bí mật của thông tin. Các cơ chế xác thực như hàm băm và chữ ký số có chức năng bảo vệ tính Toàn vẹn của thông tin. Các nội dung đề cập trong chương này bao gồm: -Tổng quan về kỹ thuật mật mã. -Kỹ thuật mật mã đối xứng -Kỹ thuật mật mã bất đối xứng -Các hàm băm bảo mật -Chữ ký số -Vấn đề quản lý khoá và cơ sở hạ tầng khoá công khai II.1 TỔNG QUAN VỀ MẬT MÃ: II.1.1 Giới thiệu: Mật mã (Encryption) là một kỹ thuật cơ sở quan trọng trong bảo mật thông tin. Nguyên tắc của mật mã là biến đổi thông tin gốc thành dạng thông tin bí mật mà chỉ có những thực thể tham gia xử lý thông tin một cách hợp lệ mới hiểu được. Một thực thể hợp lệ có thể là một người, một máy tính hay một phần mềm nào đó được phép nhận thông tin. Để có thể giải mã được thông tin mật, thực thể đó cần phải biết cách giải mã (tức là biết được thuật tóan giải mã) và các thông tin cộng thêm (khóa bí mật). Quá trình chuyển thông tin gốc thành thông tin mật theo một thuật toán nào đó được gọi là quá trình mã hoá (encryption). Quá trình biến đổi thông tin mật về dạng thông tin gốc ban đầu gọi là quá trình giải mã (decryption). Đây là hai quá trình không thể tách rời của một kỹ thuật mật mã bởi vì mật mã (giấu thông tin) chỉ có ý nghĩa khi ta có thể giải mã (phục hồi lại) được thông tin đó. Do vậy, khi chỉ dùng thuật ngữ mật mã thì nó có nghĩa bao hàm cả mã hóa và giải mã. Kỹ thuật mã hoá được chia thành hai loại: mã hoá dùng khoá đối xứng (symmetric key encryption) và mã hoá dùng khoá bất đối xứng (asymmetric key encryption) như sẽ trình bày trong các phần tiếp theo. II.1.2 Các thành phần của một hệ thống mã hoá: Hình 2.1 mô tả nguyên tắc chung của một hệ thống mật mã quy ước. Các thành phần trong một hệ thống mật mã điển hình bao gồm: -Plaintext: là thông tin gốc cần truyền đi giữa các hệ thống thông tin -Encryption algorithm: thuật tóan mã hóa, đây là cách thức tạo ra thông tin mật từ thông tin gốc. -Key: khóa mật mã, gọi tắt là khóa. Đây là thông tin cộng thêm mà thuật tóan mã hóa sử dụng để trộn với thông tin gốc tạo thành thông tin mật. -Ciphertext: thông tin đã mã hóa (thông tin mật). Đây là kết quả của thuật toán mã hóa. 42