ĐỀ CƯƠNG QUẢN TRỊ AN TOÀN HỆ THỐNG
(sườn ôn tập, khi thi nhớ phân tích các ý thêm nhé)
Đề thi gồm phần lý thuyết và bài tập tình huống
Mục lục
Câu 1: Các nguyên nhân gây mất an toàn hệ thống………………………………………2
Câu 2: Các hiểm họa chính đối với an toàn hệ thống…………………………………….3
Câu 3: Các nhiệm vụ trong quản trị an toàn hệ thống…………………………………..4
Câu 4: Các yêu cầu thiết lập an toàn hệ thống………………………………………………5
Câu 5: Phân vùng hệ thống mạng ………………………………………………………………..6
Câu 6: Thiết lập nền tảng xác thực an toàn ………………………………………………….7
Câu 7: Thiết lập an toàn cho mạng LAN không dây……………………………………..8
Câu 8: Tìm kiếm và loại bỏ mạng không dây giả mạo…………………………………..9
Câu 9: Khái niệm, chức năng, phân loại tường lửa……………………………………..10
Câu 10: Tạo chính sách tường lửa………………………………………………………………12
Câu 11: Thiết lập luật tường lửa ………………………………………………………………..14
Câu 12: Tường lửa Iptables trên Linux………………………………………………………15
Câu 13: Triển khai công nghệ phát hiện và ngăn chặn xâm nhập………………..16
Câu 14: Quản lý các sự cố an toàn hệ thống ……………………………………………….21
2
Câu 1: Các nguyên nhân gây mất an toàn hệ thống
Các nguyên nhân gây mất an toàn hệ thống bao gồm: điểm yếu công nghệ, điểm yếu chính sách, cấu hình yếu.
• Điểm yếu công nghệ:
o Công nghệ bao gồm: computer, server, firewall, IDS/IPS, router,
switch…
o Điểm yếu trong giao thức TCP/IP như tấn công chặn bắt và phân tích
gói tin, bắt tay 3 bước TCP, tấn công từ chối dịch vụ SYN flood, ICMP
ping of death…
o Điểm yếu trong máy tính và hệ điều hành như:
▪ Không lock màn hình khi không sử dụng.
▪ Không đặt mật khẩu cho tài khoản người dùng.
▪ Không cập nhật bản vá cho hệ điều hành và các phần mềm ứng
dụng.
o Điểm yếu trong thiết bị mạng:
▪ Tài khoản thiết lập lập sẵn trong các thiết bị mạng: router,
firewall, default password list, cập nhật phiên bản mới cho hệ
điều hành.
• Điểm yếu chính sách:
o Không có các văn bản chính sách an toàn thông tin.
o Thiếu kế hoạch giám sát an ninh.
o Thiếu kế hoạch khôi phục sau sự cố.
o Chính sách với con người.
• Cấu hình yếu:
o Danh sách kiểm soát truy cập không chặt chẽ.
o Sử dụng mật khẩu không an toàn.
o Mở cổng dịch vụ không cần thiết.
o Các dịch vụ truy cập từ không đảm bảo an toàn mạnh.
3
Câu 2: Các hiểm họa chính đối với an toàn hệ thống
Có 4 hiểm họa chính là: hiểm họa có cấu trúc, hiểm họa không có cấu trúc, hiểm họa
từ bên trong, hiểm họa từ bên ngoài.
• Hiểm họa không có cấu trúc:
Liên quan đến tấn công có tính chất tự phát như:
o Cá nhân tò mò thử nghiệm.
o Lỗ hổng phần mềm tiềm ẩn.
o Sự vô ý của người dùng như: không đặt mật khẩu, mật khẩu dễ đoán;
máy tính không cài chương trình anti – virus; không bảo mật dữ liệu
quan trọng.
o Hiểm họa do môi trường tạo ra như thiên tai: động đất, cháy, nổ, mất
điện…
• Hiểm họa có cấu trúc:
Hiểm họa do các đối tượng có tổ chức và có kỹ thuật cao thực hiện, với nhiều
mục đích khác nhau như:
o Vụ lợi: dò quét thông tin, ăn cắp thông tin, tài khoản…
o Chính trị:
▪ Hacker Trung Quốc – Mỹ.
▪ Vụ việc nghe trộm điện thoại của thủ tướng Đức.
▪ Vụ việc WikiLeak tung thông tin của chính phủ Mỹ.
o So tài năng.
o Kinh doanh:
▪ Vụ việc tại công ty VCCorp.
▪ Lỗ hổng “Headbleed’ trong OpenSSL: Facebook, Yahoo,
Facebook…
• Hiểm họa từ bên trong:
o Chính sách kiểm soát an ninh, an toàn không chặt chẽ.
o Hiểm họa được tạo ra từ những cá nhân bên trong nội bộ: nghe trộm
thông tin, sử dụng USB tùy tiện, leo thang đặc quyền, tài nguyên chia
4
sẻ không được phân quyền thích hợp, xâm nhập máy trạm, máy chủ từ
người dung bên trong (thông qua mạng, thông qua đường vật lý).
o Hiểm họa từ mã độc: virus, trojan, backdoor…
• Hiểm họa từ bên ngoài:
o Nguồn hiểm họa xuất phát từ Internet vào mạng bên trong:
▪ Tấn công dò quét.
▪ Tấn công ứng dụng.
▪ Tấn công từ chối dịch vụ.
o Hiểm họa từ mã độc: mail, website, software…
o Hiểm họa từ mạng xã hội: facebook, phishing…
Câu 3: Các nhiệm vụ trong quản trị an toàn hệ thống
Vòng đời trong quản trị an toàn hệ thống bao gồm 4 giai đoạn: bảo mật, giám sát,
kiểm thử và đánh giá, nâng cấp. Tương ứng với mỗi giai đoạn sẽ có các nhiệm vụ cụ
thể.
• Đảm bảo an ninh: lập kế hoạch, triển khai, thiết lập an toàn cho:
o Hệ thống mạng.
o Hệ điều hành.
o Các dịch vụ mạng.
• Giám sát: theo dõi hoạt động của hệ thống bao gồm các thiết bị, hệ điều hành,
dịch vụ mạng nhằm phát hiện các dấu hiệu sự cố.
o Sử dụng các công cụ giám sát như IDS, firewall, Arcsight…
o Task Manager.
• Kiểm thử và đánh giá: sử dụng các kỹ thuật, công cụ để dò quét nhẳm phát
hiện các dấu hiệu tấn công, lỗ hổng, điểm yếu, rủi ro tồn tại trong hệ thống.
• Nâng cấp:
o Dựa vào kết quả giám sát, đánh giá, chính sách bảo mật của tổ chức,
công ty. Cập nhật phần mềm anti-virus.
o Cập nhật các bản vá cho hệ điều hành, phần mềm dịch vụ.
o Cập nhật các luật cho tường lửa, IDS, router…
5
Câu 4: Các yêu cầu thiết lập an toàn hệ thống
• Thay đổi tài khoản mặc định.
• Bảo mật tài khoản quản trị:
o Tên tài khoản quản trị thường dùng: administrator, admin, root,
manager…
o Tấn công vào mật khẩu: từ điển, vét cạn…
o Đặc điểm: có toàn quyền thực hiện trên hệ thống.
• Biện pháp:
o Thực thi mật khẩu an toàn.
o Hạn chế quyền người dùng có quyền admin.
o Thay đổi tên thư mục admin.
• Sử dụng quyền quản trị đúng lúc:
o Trong Microsoft Windows: sử dụng Run as.
o Trong Linux và Unix: sử dụng SU hoặc SUDO.
• Đóng các cổng không cần thiết:
o Sử dụng các công cụ dò quét để phát hiện các dịch vụ và cổng đang mở
trên máy chủ, máy trạm.
o Đóng các cổng, các dịch vụ không sử dụng.
• Cài đặt chương trình anti – virus:
o Bảo vệ máy tính tránh khỏi sự lây nhiễm các phần mềm độc hại trong
thời gian thực.
o Phát hiện và loại bỏ mã độc đính kèm với các ứng dụng tải từ Internet
về máy tính.
o Bảo vệ máy tính khi truy cập Internet.
o Chú ý:
▪ Yêu cầu tài nguyên máy tính: RAM, CPU, băng thông.
▪ Gỡ bỏ cả tệp tin bị lây nhiễm.
• Kiểm tra chức năng sao lưu và phục hồi:
o Mục đích: khôi phục lại dữ liệu hệ thống khi có sự cố xảy ra một cách
nhanh nhất.
6
o Các dữ liệu liên quan: dữ liệu lưu trữ, mã nguồn website, CSDL
website, phần mềm, hệ điều hành, thông tin cấu hình firewall, router…
Câu 5: Phân vùng hệ thống mạng
• Mục đích:
o Dễ dàng quản lý.
o Áp dụng chính sách an toàn thông tin.
o Bảo vệ mạng bên trong từ các tấn công bên ngoài.
o Dễ khôi phục khi gặp sự cố.
• Hậu quả của việc không phân vùng mạng:
o Kẻ tấn công ở bên ngoài dễ dàng xâm nhập vào mạng bên trong.
o Dễ dàng theo dõi, ăn cắp thông tin, phá hủy dữ liệu bên trong.
o Người dùng bên trong dễ dàng xâm nhập vào dữ liệu của các bộ phận
khác.
o Cài đặt chương trình để tấn công các mục tiêu bên ngoài.
• Lựa chọn mô hình phân vùng mạng
Các tiêu chí phân vùng mạng:
o Phân vùng mạng dựa vào trách nhiệm theo lĩnh vực công việc.
o Phân vùng mạng dựa vào mức độ đe dọa, rủi ro về an ninh, an toàn.
o Phân vùng mạng dựa vào các kiểu dịch vụ.
o Phân vùng mạng dựa vào nhu cầu kinh doanh.
a. Phân vùng mạng dựa vào trách nhiệm công việc:
o Mỗi công ty, tổ chức đều có các bộ phận chuyên môn riêng.
o Đặc trưng mức độ bảo mật dữ liệu mỗi bộ phận khác nhau: phòng hành
chính, phòng tài chính, phòng quảng bá, phòng IT, phòng lãnh đạo…
o Mỗi bộ phận chuyên môn cần có chính sách bảo mật phù hợp.
b. Phân vùng mạng dựa vào mức độ đe dọa, rủi ro về an toàn:
o Các tiêu chí mà hệ thống mạng cần đảm bảo gồm: tính bí mật, tính toàn
vẹn, tính sẵn sàng.
7
o Xác định các tài sản, thiết bị mạng có nguy cơ bị tấn công từ cao xuống
thấp: máy chủ dịch vụ web, máy chủ mail, máy chủ lưu trữ dữ liệu, máy
tính cá nhân, máy in mạng, thiết bị mạng.
o Nhóm các máy chủ cung cấp dịch vụ vào phân vùng mạng DMZ: router
biên, tường lửa, anti – virus gateway, thiết bị phát hiện xâm nhập NIDS.
o Nhóm các máy trạm người dùng vào phân vùng mạng nội bộ.
o Phân nhỏ mạng nội bộ thành từng VLAN.
Câu 6: Thiết lập nền tảng xác thực an toàn
• Xác thực là quá trình thiết lập hoặc chứng minh nguồn gốc của một người nào
đó hoặc một tiến trình là tin cậy.
• Mỗi người dùng khi xác thực cần có 1 định danh ID và phải chứng minh định
danh đó là đích thực.
• Xác thực trong một tổ chức có nhiều hệ điều hanh, nhiều thiết bị khác nhau
gọi là xác thực đa nền tảng.
• Phương pháp xác thực cơ bản nhất là thông qua username và password.
• Thiết lập mật khẩu an toàn:
o Để tránh bị tấn công vào mật khẩu thì nên: đặt mật khẩu có độ phức tạp
cần thiết, độ dài mật khẩu tối thiểu 8 kí tự, kết hợp nhiều ký tự.
o Hai dạng tấn công cơ bản vào mật khẩu: vét cạn, tấn công từ điển.
• Lựa chọn tiến trình xác thực an toàn với 3 phương pháp xác thực phổ biến:
o Xác thực dựa trên những gì đã biết:
▪ Người xác thực phải biết tên đăng nhập.
▪ Xác minh tên đăng nhập là mật khẩu.
o Xác thực dựa trên tính năng vật lý không đổi:
▪ Mỗi người có các nhân tố vật lý riêng không thay đổi: vân tay,
võng mạc, giọng nói, khuôn mặt…
▪ Xác thực dựa trên nhân tố vật lý riêng gọi là sinh trắc học.
▪ Nếu người dùng cung cấp nhân tố nhận dạng mà không cần nhập
định danh, hệ thống sẽ so sánh với CSDL có sẫn, nếu kết quả
trùng thì quá trình xác thực thành công.
8
o Xác thực dựa trên những gì đã có:
▪ Người dùng hệ thống cần phải có thiết bị vật lý: thẻ khóa, thẻ
bài… Ưu điểm của phương pháp này là người dùng không cần
nhớ mật khẩu.
▪ Xác thực dựa trên ba phương diện chính:
– Giá trị mầm ngẫu nhiên: mỗi lần xác thực người dùng quan
sát để xác định mật khẩu hiện tại. Số ngẫu nhiên được sinh
ra là duy nhất đối với từng thiết bị, người dùng, thời gian
đăng nhập.
– Thách thức/ phản hồi: hệ thống đưa ra các yêu cầu, người
dùng phải đáp ứng được các yêu cầu đó. Ví dụ: trả lời các
câu hỏi bí mật khi khôi phục mật khẩu ứng dụng web.
– Xác thực sử dụng chứng chỉ số: sử dụng cho máy tính,
người dùng. Sử dụng các giao thức bảo mật để chứng thực,
mã hóa thư điện tử, chữ ký số, mã hóa dữ liệu. Để bảo mật
chứng chỉ số, cần phải tích hợp vào thiết bị vật lý như thẻ
thông minh, USB token…
• Các phương pháp xác thực mạnh:
o Sử dụng kết hợp nhiều hơn 2 phương pháp xác thực đã nêu ở trên.
o Xác thực mạnh bao gồm hai lớp bao mật có sẵn:
▪ Một thiết bị vật lý phải đưa ra tại thời điểm xác thực.
▪ Mã PIN hoặc mật khẩu để xác thực.
Câu 7: Thiết lập an toàn cho mạng LAN không dây
• Thiết lập chức năng mã hóa:
o Sử dụng các chuẩn bảo mật cho mạng không dây: WEP, WPA, WPA2,
TKIP.
o Sử dụng kết hợp 802.1x với EAP. Điều khiển truy cập được thực hiện
bằng cách:
▪ Khi người dùng kết nối vào hệ thống mạng, kết nối của người
dùng được đặt ở trạng thái bị chặn và chờ xác thực truy cập.
9
▪ EAP sử dụng định danh: username, password, certificate.
▪ Giao thức sử dụng: MD5, TLS, OTP.
• Sử dụng xác thực thông qua địa chỉ MAC:
o Kết hợp xác thực địa chỉ MAC thông qua máy chủ Radius:
• Sử dụng máy chủ xác thực Radius Server:
o Việc xác thực người dùng sẽ không thực hiện trên AP mà thực hiện trên
Radius server.
o Quản lý các thông tin như tên đăng nhập, mật khẩu.
o Khi người dùng chứng thực, server sẽ tra cứu dữ liệu xem người này có
hợp lệ hay không và được cấp quyền tới mức nào.
Câu 8: Tìm kiếm và loại bỏ mạng không dây giả mạo.
• AP giả mạo được dùng để mô tả những AP được tạo ra một cách vô tình hay
cố ý làm ảnh hưởng tới hoạt động mạng hiện có.
• Nó được dùng để chỉ các thiết bị hoạt động không dây trái phép nhằm mục
đích lừa đảo người dùng.
• AP được cấu hình không hoàn chỉnh.
• AP giả mạo do kẻ tấn công tạo ra:
o Sao chép tất cả các cấu hình của AP chính thống như SSID, địa chỉ
MAC…
o Bước tiếp theo là làm cho nạn nhân thực hiện kết nối tới AP giả.
• AP giả mạo từ các mạng WLAN lân cận.
• Phương pháp phát hiện, ngăn chặn và loại bỏ các mạng không dây giả mạo:
10
o Triển khai và thực thi một chính sách an toàn không dây: định nghĩa
cách thức để mạng không dây sẽ được hoặc không được thực hiện trong
tổ chức. Đảm bảo chính sách được thi hành.
o Cung cấp an toàn mạng vật lý.
o Cung cấp hạ tầng WLAN đảm bảo.
o Cô lập mạng WLAN giả mạo bằng cách thực hiện bảo mật các cổng
trên thiết bị chuyển mạch mạng WLAN.
• Hai phương pháp phổ biến để phát hiện các mạng không dây giả mạo:
o Phát hiện tính không dây của các mạng WLAN trái phép: sử dụng một
máy trạm truy cập không dây và định vị các WAP phát sóng trong môi
trương của hệ thống mạng. Hạn chế: máy trạm phải nằm trong phạm vi
của WAP, việc phát hiện 1 WAP mà không phát SSID là khá khó hăn,
khó khảo sát các trang web từ xa.
o Phát hiện mạng không dây trái phép từ mạng có dây: giảm bớt các khó
khăn trong việc phát hiện mạng không dây giả mạo, dễ dàng khảo sát
các trang web từ xa. Một số công cụ hỗ trợ phổ biến như APTools,
Arpwatch.
• Loại bỏ mạng không dây giả mạo:
o Xác định vị trí vật lý và ngắt kết nối của WAP giả mạo: tốn thời gian,
dễ thất bại.
o Xác định vị trí các cổng của switch mà có đạ chỉ MAC của WAP kết
nối vào và đóng cổng đó.
Câu 9: Khái niệm, chức năng, phân loại tường lửa
• Khái niệm: tường lửa là một thuật ngữ dùng để mô tả những thiết bị hay phần
mềm có nhiệm vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng
hay máy tính theo những quy định đã được thiết lập trước đó.
• Chức năng:
o Xác thực người dùng khi truy cập tới nguồn tài nguyên thông tin của
vùng mạng được bảo vệ bên trong.
11
o Kiểm soát tất cả các ứng dụng, dịch vụ vào ra như: web, mail, ftp, telnet,
ssh, vpn, remote desktop…
o Kiểm soát truy cập vào ra dựa vào địa chỉ IP, các cổng TCP/UDP.
o Kiểm soát và quản lý hiệu quả đường dẫn URL và định dạng tệp tin ở
lớp ứng dụng. Ví dụ: cấm truy cập website nào đó, cấm tải các tệp tin
định dạng .exe, rar…
o Chuyển dịch địa chỉ IP (NAT), ánh xạ các cổng TCP/UDP từ mạng
ngoài vào mạng trong và ngược lại.
• Nhược điểm:
o Không thể chống lại các tấn công vòng qua tường lửa.
o Không thể chống lại các nguy cơ đe dọa từ bên trong.
o Không thể chống lại các tấn công bởi virus, sâu mạng, mã độc hại.
• Phân loại tưởng lửa:
o Theo nhà sản xuất:
▪ Tường lửa cứng: được sản xuất thành sản phẩm chuyên dụng,
người quản trị chỉ cần lắp ráp và cấu hình nó. Ví dụ: Check Point,
Juniper, Cisco…
▪ Tường lửa mềm: được đóng gói thành phần mềm, cần phải có
máy chủ và hệ điều hành của hãng thứ ba mới cài đặt được. Ví
dụ ISA, Forefont của Microsoft, ESET Smart Security…
o Theo phạm vi sử dụng:
▪ Tường lửa cá nhân: được cài đặt ở máy tính cá nhân, kiểm sotas
luồng thông tin vào ra ngay tại máy tính cá nhân.
▪ Tường lửa mạng: chạy trên một thiết bị mạng hay máy tính
chuyên dụng đặt tại ranh giới của hai hay nhiều mạng, kiểm soát
toàn bộ lưu lượng vào ra giữa các phân vùng mạng.
o Theo mô hình OSI:
▪ Tầng mạng và giao vận.
▪ Tường lửa hoạt động ở tầng 3 và 4 trong mô hình OSI.
▪ Tường lửa hoạt động ở tầng phiên: giám sát bắt tay giữa các gói
tin TCP vào/ ra để xác định phiên làm việc hợp lệ hay không;
12
không cho phép thực hiện kết nối end-to-end; cổng chuyển mạch
xác định một phiên làm việc hợp lệ nếu cờ SYN, ACK, Sequence
number trong quá trình bắt tay giữa các kết nối là hợp lệ; bảng
thiết lập kết nối…
▪ Tường lửa hoạt động ở tầng ứng dụng: thiết lập nhằm tăng cường
chức năng kiểm soát các loại dịch vụ, giao thức được cho phép
truy cập vào/ra hệ thống mạng; hoạt động theo mô hình Proxy
Service.
o Theo trạng thái:
▪ Tường lửa trạng thái.
▪ Tường lửa phi trạng thái.
Câu 10: Tạo chính sách tường lửa
• Các lớp tường lửa bảo vệ: truy cập tới mạng tường lửa bảo vệ -> giao thức
định tuyến-> truy cập quản trị cập nhật phần mềm -> truy cập vật lý.
• Đảm bảo tính toàn vẹn vật lý cho tường lửa:
o Xác định người được quyền cài đặt, gỡ bỏ và di chuyển tường lửa.
o Xác định người được ủy quyền bảo trì phần cứng và thay đổi cấu hình
vật lý của tường lửa.
o Xác định người được ủy quyền kết nối vật lý với tường lửa, đặc biệt là
thông qua cổng điều khiển của tường lửa.
o Xác định các phương pháp phục hồi thích hợp trong trường hợp khi sự
cố xảy ra về vật lý hoặc bằng chứng về sự tiếp cận với tường lửa.
• Chính sách cấu hình tĩnh cho tường lửa:
o Xác định người được quyền đăng nhập vào tường lửa.
o Xác định quyền hạn tương ứng người dùng và quản trị.
o Xác định thủ tục để thay đổi cấu hình và cập nhật tường lửa.
o Xác định chính sách mật khẩu.
o Xác định phương thức ghi và lưu nhật ký.
• Chính sách cấu hình động cho tường lửa.
o Xác định tiến trình và dịch vụ được phép chạy.
13
o Xác định phân vùng mạng và thiết bị được phép truy cập.
o Xác định các giao thức định tuyến được phép sử dụng.
o Xác định các luồng lưu lượng mạng được phép hoặc bị chặn.
o Xác định các loại giao thức, các cổng, dịch vụ sẽ cho phép hoặc bị chặn.
• Các chính sách bảo mật chung của tường lửa:
o Chính sách quản lý truy cập: xác định phương pháp cho phép và các
tiếp cận quản lý truy cập tới tường lửa, xác định các giao thức quản lý
cả bên ngoài và bên trong mạng sẽ được phép, cũng như người quản trị
có thể kết nối tới tường lửa với các quyền tương ứng nhiệm vụ.
o Chính sách lọc lưu lượng mạng: xác định chính xác các loại lọc phải
được sử dụng và nơi lọc được áp dụng, xác định các yêu cầu chung
trong việc kết nối mạng có mức bảo mật không giống nhau và bảo mật
tài nguyên.
o Chính sách định tuyến: hướng tới giải quyết các cấu hình tĩnh và động
của tường lửa, nên ngăn cấm rõ ràng tường lửa từ việc chia sẻ bảng định
tuyến mạng nội bộ với các tài nguyên mạng bên ngoài; xác định các
trường hợp trong đó giao thức định tuyến động và tĩnh phải thích hợp;
xác định các cơ chế giao thức bảo mật cụ thể cần phải thực hiện.
o Chính sách truy cập từ xa -VPN: xác định các yêu cầu mức độ mã hóa,
xác thực khi một kết nối VPN được yêu cầu; xác định các giao thức bảo
mật được sử dụng (IPSec, L2TP, PPTP…); xác định các phương thức
mà máy trạm được sử dụng; xác định loại truy cập và tài nguyên sẽ
được cung cấp cho kết nối và các kết nối được phép.
o Chính sách giám sát – ghi lại hoạt động của tường lửa: xác định các
phương thức và mức độ giám sát sẽ được thực hiện; cung cấp cơ chế
theo dõi hiệu năng của tường lửa cũng như sự xuất hiện của các sự kiện
liên quan tới an ninh; xác định các luồng thông tin phải được thu thập,
duy trì và báo cáo.
o Chính sách vùng mạng DMZ: xác định các tiêu chuẩn và yêu cầu của
tất cả các thiết bị và kết nối và luồng lưu lượng có liên quan tới DMZ.
Đây là chính sách có liên quan tới nhiều vấn đề bảo mật trong vùng
14
mạng DMZ, cần xác định 3 tiêu chuẩn cần thiết cho tất cả các thiết bị,
kết nối, luồng lưu lượng mạng liên quan tới vùng DMZ: trách nhiệm
của chủ sở hữu, yêu cầu cấu hình an toàn, yêu cầu hoạt động và kiểm
soát sự thay đổi.
• Chính sách áp dụng chung:
o Chính sách mật khẩu: đảm bảo an toàn khi người quản trị đăng nhập tới
tường lửa để cấu hình, giám sát.
o Chính sách về mật mã: liên quan tới việc xác định tất cả các hình thức
truy cập sử dụng mật mã (HTTPs, SSL, SSH, IPSec…).
o Chính sách ghi nhật ký: xác định các yêu cầu ghi nhật ký của tường lửa.
o Chính sách đánh giá rủi ro: xác định các phương pháp được sử dụng để
xác định các rủi ro liên quan tới tất cả các thiết bị trên hệ thống, các
thay đổi của tường lửa…
Câu 11: Thiết lập luật tường lửa
Thiết lập luật tường lửa có 3 tập quy tắc:
• Tập luật lọc đầu vào.
• Tập luật lọc đầu ra.
• Luật quản lý truy cập.
1. Tập luật lọc đầu vào
o Dùng để giới hạn luồng lưu lượng mạng đi vào mộ giao diện hay phân
vùng mạng.
o Các luật lọc dựa trên các thông tin:
▪ Địa chỉ IP xuất phát.
▪ Địa chỉ IP nơi nhận.
▪ Giao thức sử dụng.
▪ Cổng nguồn TCP/UDP.
▪ Cổng đích TCP/UDP.
▪ Giao diện packet đến/ đi.
2. Tập luật lọc đầu ra
15
o Hầu hết các thông tin của tập luật lọc đầu ra đều giống với luật lọc đầu
vào.
o Khác nhau:
▪ Lọc đầu vào từ mạng không tin cậy tới mạng tin cậy.
▪ Lọc đầu ra từ mạng tin cậy tới mạng không tin cậy.
3. Luật quản lý truy cập
o Các quy tắc cần áp dụng bao gồm:
▪ Giới hạn quản lý truy cập, chỉ cho phép các máy trạm quản lý cụ
thể.
▪ Không bao giờ cho phép quản lý truy cập từ mạng không tin cậy.
▪ Luôn luôn sử dụng một phương pháp mã hóa để quản lý truy cập.
▪ Các trường hợp không thể sử dụng phương pháp mã hóa quản lý cần xem xét việc thực hiện IPSec để đảm bảo lưu lượng truy cập.
o Các phương pháp quản lý từ xa và ghi nhật ký như: Telnet, SSH, SNMP, Syslog, TFTP va FTP, HTTP và HTTPs.
Câu 12: Tường lửa Iptables trên Linux
• Iptables là một tường lửa sử dụng lọc gói dữ liệu mạnh mẽ, miễn phí và có
sẵn trên Linux.
• Đặc điểm:
o Tích hợp tốt với nhân Linux, cải thiện tốc độ xử lý gói tin và tính tin
cậy.
o Lọc tất cả các gói dữ liệu.
o Lọc gói dựa trên địa chỉ MAC và các cờ trong TCP header.
o Chuyển dịch địa chỉ mạng (NAT) tốt hơn.
o Hỗ trợ tích hợp với các chương trình web proxy như Squid.
o Ngăn chặn các kiểu tấn công từ chối dịch vụ.
o Ghi nhật ký hoạt động của tường lửa.
• Xử lý gói tin trong tường lửa Iptables:
16
o Bảng đầu tiên là bảng Mangle: chỉnh sửa chất lượng dịch vụ các bit
trong gói tin TCP trước khi xảy ra định tuyến. TOS (type of service),
TTL (time to live).
o Bảng thức hai Filter chịu trách nhiệm lọc gói dữ liệu:
▪ Forward chain: lọc gói tin đến các máy chủ được bảo vệ bởi
tường lửa.
▪ Input chain: lọc gói khi đi vào tường lửa.
▪ Output chain: lọc gói khi đi ra tường lửa.
o Bảng thứ ba NAT chịu trách nhiệm chuyển dịch địa chỉ mạng, gồm có
hai loại:
▪ Pre-routing chain: gói tin được NAT khi địa chỉ đích của gói tin
cần phải được thay đổi.
▪ Post-routing chain: gói tin được NAT khi địa chỉ nguồn của gói
tin cần phải được thay đổi.
• Các hành động mà tường lửa áp dụng: ACCEPT, DROP, REJECT, LOG,
DNAT, SNAT.
Câu 13: Triển khai công nghệ phát hiện và ngăn chặn xâm nhập
• Phát hiện xâm nhập là quá trình theo dõi các sự kiện xảy ra trên hệ thống máy
tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu xâm nhập bất
hợp pháp (sự cố gắng xâm hại đến tính bí mật, toàn vẹn, sẵn sàng, tin cậy của
hệ thống máy tính).
• Việc xâm nhập có thể xuất phát từ mạng bên ngoài hay mạng bên trong.
• Hệ thống phát hiện xâm nhập là hệ thống phần mềm hoặc phần cứng, có khả
năng tự động theo dõi và phân tích để phát hiện ra các dấu hiệu xâm nhập.
• IDPS chủ yếu tập trung vào việc xác định sự cố có thể xảy ra, ghi lại thông tin
về sự cố đó, cố gắng ngăn chặn chúng, báo cáo với quản trị hệ thống mạng.
• IDPS là thành phần bổ sung cần thiết cho hạ tầng an ninh mạng của các tổ
chức, công ty.
• Nhiệm vụ chính của IDPS;
o Nhận diện được các nguy cơ có thể xảy ra.
17
o Nhận diện được các cuộc tấn công.
o Nhận diện được các hành vi vi phạm chính sách.
o Ngăn chặn tấn công.
o Gửi cảnh báo.
o Ghi nhật ký.
• Phân loại:
o Hệ thống IDPS dựa trên mạng (Network IDPS):
▪ Thường dưới dạng thiết bị chuyên dụng.
▪ Quản lý được cả phân vùng mạng, gồm nhiều host.
▪ Trong suốt với người sử dụng và kẻ tấn công.
▪ Dễ cài đặt và bảo trì.
▪ Độc lập với OS.
▪ Thường xảy ra các cảnh báo giả.
▪ Không phân tích được lưu lượng đã được mã hóa.
▪ ảnh hưởng tới chất lượng của mạng.
o IDPS dựa trên máy chủ (Host-based IDS):
▪ Sử dụng các chương trình phần mềm cài đặt trên một máy chủ.
▪ Hoạt động ở bên trong một máy tính để giám sát tất cả các hoạt
động của máy đó.
▪ Có khả năng xác định người dùng liên quan đến 1 sự kiện.
▪ Có thể phân tích dữ liệu được mã hóa.
▪ Hoạt động phụ thuộc vào host.
▪ Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra
trên host này.
• Các kỹ thuật phát hiện xâm nhập:
o Phát hiện dựa trên dấu hiệu:
▪ Dấu hiệu là tập hợp các mẫu hoặc nhóm thông tin cần thiết để
mô tả các kiểu tấn công đã biết, thông tin này được lưu trong
CSDL của IDPS.
▪ Hệ thống thực hiện giám sát lưu lượng mạng và so sánh với mẫu
thông tin có trong CSDL, nếu không trùng với dấu hiệu tấn công
18
thì cho đi qua, ngược lại hệ thống thực hiện cảnh báo và ngăn
chặn tấn công.
▪ Hiệu quả trong việc phát hiện các nguy cơ đã biết, nhưng không
hiệu quả trong việc phát hiện các nguy cơ chưa biết.
o Phát hiện dựa trên sự bất thường:
▪ Là quá trình so sánh hành động được coi là bình thường với các
sự kiện đang diễn ra nhằm phát hiện sự bất thường.
▪ IDS dựa vào thông tin miêu tả hoạt động bình thường của nhiều
đối tượng như người dùng, máy chủ, các kết nối mạng, hay ứng
dụng.
▪ Thông tin này được ạo ra bằng các giám sát các hành động thông
thường trong một khoảng thời gian để đưa ra đặc điểm nổi bật
của hành động đó.
▪ Yêu cầu thời gian đủ lâu để học tất cả các hành động bình thường
của hệ thống.
▪ Threshold Detection: nhấn mạng thuật ngữ đếm các mức ngưỡng
về các hoạt động bình thường được đặt ra. Ví dụ: số lần login,
tiến trình CPU, số lượng gói tin.
▪ Seft-learning Detection: khi thiết lập hệ thống sẽ chạy ở chế độ
tự học và thiết lập hồ sơ mạng với các hoạt động bình thường.
▪ Anomalu protocol Detection: căn cứ vào hoạt động của các giao
thức, các dịch vụ của hệ thống để tìm ra các gói tin không hợp
lệ, các hoạt động bất thường là dấu hiệu của sự xâm nhập, tấn
công.
o Phát hiện dựa vào phân tích trạng thái giao thức:
▪ Phân tích hành vi của giao thức được sử dụng trên cơ sở đã biết
các định nghĩa về hoạt động hợp lệ của giao thức để nhận ra hành
vi tấn công.
▪ Yêu cầu IDS có khả năng hiểu và theo dõi trạng thái của mạng,
truyền tải và các giao thức ứng dụng.
19
▪ Nhược điểm: sự phức tạp trong quá trình phân tích và thực hiện
giám sát trạng thái cho nhiều phiên làm việc đồng thời.
o Kỹ thuật khai phá dữ liệu:
▪ Khai phá dữ liệu là sự khám phá ra các mẫu, các mối quan hệ,
các biến đổi, những sự bất thường, những quy luật, những cấu
trúc và sự kiện quan trọng mang tính chất thống kê trong dữ liệu.
▪ Khai phá dữ liệu trong phát hiện xâm nhập trái phép là để trích
lọc tri thức từ một tập hợp dữ liệu lớn của các thông tin truy cập
trên mạng, để phân tích biểu diễn nó thành mô hình phát hiện
xâm nhập trái phép.
• Kiến trúc IDPS:
o Thành phần thu thập gói tin: có nhiệm vụ lấy về tất cả các gói tin đi qua
mạng được giám sát.
o Thành phần phân tích gói tin và phát hiện tấn công: dùng để lọc thông
tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên
quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động
nghi ngờ.
o Thành phần phản hồi: khi có dấu hiệu của sự tấn công hoặc xâm nhập,
thành phần phát hiện sẽ gửi tín hiệu đến thành phần phản ứng. Thành
phần phản ứng sẽ kích hoạt chức năng ngăn chặn tấn công hay gửi cảnh
báo tới quản trị viên.
20
• Triển khai hệ thống:
Đối với hệ thống mạng được thiết kế có thiết bị IDPS:
o Tùy môi trường thực tế của tổ chức, doanh nghiệp, người quản trị lập
sơ đồ hệ thống mạng phù hợp, bố trí thiết bị máy chủ, máy trạm, tường
lửa, IDPS phù hợp với hiện trạng.
o Lựa chọn sản phẩm IDPS: dựa vào hệ thống mạng lớn hay nhỏ để đầu
tư thiết bị hợp lý, lựa chọn IDPS là sản phẩm thương mại hay miễn phí,
số lượng cần phải đầu tư.
o Nhận biết các nguy cơ gây mất an toàn đối với hệ thống để từ đó có
chính sách triển khai phương pháp phòng chống khi có sự cố xảy ra.
o Thực hiện giám sát liên tục đối với hệ thống và thiết lập cảnh báo khi
có sự cố.
Đối với hệ thống mạng đã được triển khai và thực hiện lắp đặt bổ sung thiết
bị IDPS:
o Rà soát hệ thống mạng cũng như tài sản của hệ thống mạng bao gồm:
số lượng máy chủ, máy trạm, tường lửa, thiết bị định tuyến, số phân
vùng mạng, băng thông…
o Nhận biết các nguy cơ gây mất an toàn và thiết lập chính sách phù hợp.
o Xem xét đầu tư trang thiết bị cho IDPS.
o Thực hiện triển khai lắp ráp, cài đặt và vận hành hệ thống IDPS.
o Thiết lập chính sách bảo mật sử dụng cho IDPS.
• Thiết lập an toàn cho IDPS:
Các bước cấu hình an toàn cho NIDS:
o Nếu IDPS được cài đặt dựa vào hệ điều hành của bên thứ ba, đầu tiên
phải cấu hình an toàn cho hệ điều hành đó.
o Cấu hình an toàn cơ sở hạ tầng mạng nhằm cung cấp một môi trường
an toàn cho chức năng của IDPS. Bao gồm phân vùng mạng, sử dụng
kết hợp các thiết bị an toàn cho bức tường lửa.
21
o Cài đặt Snort hay IDS khác trên hệ thống đã được cấu hình an toàn hệ
điều hành cũng như hạ tầng mạng. Tùy trưng cơ sở hạ tầng mạng để lựa
chọn phần mềm có năng suất cao nhất.
o Mua các thiết bị IDPS chuyên dụng, được cài đặt và cấu hình an toàn
bởi nhà sản xuất, sau khi lắp ráp chỉ cần cấu hình và chạy ứng dụng.
o Đảm bảo an toàn khi IDS hoạt động: mọi kết nối truyền dữ liệu giữa
các thành phần IDPS và thành phần quản lý tập trung phải được bảo vệ
cũng như các kết nối giữa trình điều khiển của người quản trị với trung
tâm dữ liệu (sử dụng SSL mã hóa luồng dữ liệu nhằm ngăn chặn tấn
công chặn bắt, sửa đổi dữ liệu).
o Bảo vệ các tập tin cấu hình bởi các tệp tin này có thể chứa mật khẩu
hoặc thông tin nhạy cảm. Ví dụ tệp tin snort.conf lưu mật khẩu ở bản
rõ, khi snort đã hoạt động, thực hiện lưu trữ an toàn tệp tin này trong
phạm vi an toàn hay sử dụng mã hóa tệp tin.
Câu 14: Quản lý các sự cố an toàn hệ thống
1. Xác định và phân tích sự cố
Các sự cố thường gặp:
o Thông qua các thiết bị di động: tấn công có thể bắt đầu từ các thiết bị
lưu trữ di động, thiết bị ngoại vi như mã độc lây lan vào hệ thống qua
USB…
o Tấn công chiếm dụng dung lượng/ băng thông hệ thống: tấn công
DDOS, brute force…
o Tấn công website hoặc ứng dụng web: tấn công từ các trang web hoặc
dựa trên các ứng dụng của trang web. Ví dụ sử dụng website giả mạo
đánh cắp tài khoảng…
o Tấn công vào hệ thống thư điện tử: tấn công có thể thực hiện qua thư
điện tử bằng cách đính kèm các công cụ vào thư. Ví dụ đính kèm mã
độc vào thư dưới dạng tài liệu hay liên kết trang web chứa mã độc.
22
o Vi phạm chính sách tổ chức: ví dụ người dùng sau khi đăng nhập thành
công cài các ứng dụng chia sẻ gây mất mát dữ liệu.
o Mất hoặc bị trộm các thiết bị: các thiết bị máy tính, thiết bị truyền thông
bị mất, đánh cắp làm mất mát hay lộ dữ liệu.
Dấu hiệu nhận biết sự cố:
o Dấu hiệu báo trước: có thể xảy ra trong tương lai như
▪ Phân tích nhật ký máy chủ và các thiết bị mạng.
▪ Thông tin về các lỗ hổng bảo mật mới.
▪ Từ con người.
o Các chỉ số: sắp xảy ra hoặc đang xảy ra
▪ IDS/IPS.
▪ Phần mềm chống thư rác và virus.
▪ Phần mềm kiểm tra tính toàn vẹn của tập tin.
▪ Dịch vụ giám sát mạng.
2. Phân tích sự cố
o Lập hồ sơ về mạng và hệ thống: thiết lập hồ sơ về các mức độ hoạt động
dự kiến của hệ thống => khi có thay đổi sẽ dễ dàng xác định được
nguyên nhân.
o Hiểu rõ các hoạt động bình thường: các thành viên trong nhóm ứng phó
phải hiểu rõ các hoạt động bình thường của hệ thống để từ đó nhận biết
các hoạt động bất thường dễ dàng hơn.
o Tạo chính sách duy trì nhật ký: xác định các nhật ký có thể được duy
trì trong bao lâu, hữu ích trong việc phân tích các sự cố. Thời gian duy
trì nhật ký tùy thuộc vào nhiều yếu tố như chính sách và khối lượng dữ
liệu.
o Sử dụng liên quan giữa các sự kiện: bằng chứng về sự cố có thể lưu trữ
ở nhiều nơi khác nhau như tưởng lửa, IDPS… Mối liên quan giữa các
sự kiện trong các nguồn là dữ liệu quan trọng trong việc xác định sự cố.
o Đồng bộ thời gian ở tất cả các máy tính: sử dụng giao thức như network
time protocol (NTP) để đồng bộ thời gian ở các máy tính trong mạng.
23
Nếu không đồng bộ thời gian sẽ gây khó khăn khi liên kết các sự kiện
tại các máy.
o Sử dụng và duy trì kiến thức cơ sở về thông tin: kiến thức cơ bản phải
bao gồm các thông tin mà đội xử lý sự cố cần tham khảo nhanh chóng
trong quá trình phân tích sự cố. Kiến thức căn bản cần có cơ chế linh
hoạt và nhanh chóng cho việc chia sẻ giữa các thành viên trong nhóm,
cũng nên bao gồm nhiều thông tin giải thích về sự quan trọng của các
dấu hiệu báo trước và chỉ thị.
o Sử dụng internet: các công cụ tim kiếm trên internet hỗ trợ khá hữu ích
trong việc tìm các dấu hiệu bất thường trên hệ thống, đặc biệt là chức
năng quét.
o Sử dụng các chương trình nghe lén Sniffer: các phần mềm nghe lén thu
thập và quản lý lưu lượng mạng, đem lại những thông tin đầy đủ có thể
xác định được sự cố. Tuy nhiên cần phải được sự cho phép của tổ chức.
o Lọc dữ liệu: đưa ra danh sách các hoạt động có xu hướng không đáng
kể hay danh sách các hoạt động có xu hướng đáng ngờ để phân tích
thay vì phân tích tất các chỉ số thu được.
o Tìm kiếm những sự hỗ trợ khác: nhiều khi nhóm ứng phó sự cố không
thể xác định nguyên nhân đầy đủ và bản chất của sự cố. Khi đó các
thông tin sự cố của các bộ phận khác cung cấp sẽ là nguồn tham khảo
tốt.
3. Phân cấp mức độ ưu tiên xử lý sự cố
Phân cấp theo các tiêu chí sau:
o Ảnh hưởng đến các chức năng:
▪ Không: không ảnh hưởng đến khả năng cung cấp dịch vụ của tổ
chức.
▪ Thấp: tổ chức vẫn có thể cung cấp các dịch vụ nhưng tính hiệu
quả không còn cao.
▪ Trung bình: tổ chức mất khả năng cung cấp các dịch vụ tới một
người dùng.
24
▪ Cao: tổ chức không còn khả năng cung cấp dịch vụ tới tất cả
người dùng.
o Ảnh hưởng đến thông tin:
▪ Không: không có thông tin bị rò rỉ, thay đổi, xóa hoặc bị tồn tại.
▪ Vi phạm quyền riêng tư: thông tin cá nhân nhạy cảm của nhân
viên, quản lý… bị truy cập hoặc bị rò rỉ.
▪ Vi phạm quyền sở hữu: các thông tin độc quyền chưa phân loại
bị rò rỉ hoặc truy cập trái phép.
▪ Mất tính toàn vẹn: các thông tin nhạy cảm hay độc quyền bị xóa
hay thay đổi.
o Mức độ khôi phục thông tin:
▪ Bình thường: thời gian phục hồi có thể biết trước được với các
nguồn lực hiện có trong tổ chức.
▪ Bổ sung: thời gian phục hồi có thể biết trước được với các nguồn
lực bổ sung.
▪ Mở rộng: thời gian phục hồi không biết trước được, cần có nguồn
lực bổ sung và sự giúp đỡ từ bên ngoài.
▪ Không thể phục hồi: không thể phục hồi từ các sự cố này. Ví dụ
các dữ liệu bí mật bị rò rỉ hay công khai.
4. Hạn chế tác động của sự cố
o Lựa chọn chiến lược ngăn chặn. Tiêu chí xác định chiến lược bao gồm:
▪ Khả năng gây thiệt hại và mất mát tài nguyên.
▪ Cần giữ các bằng chứng.
▪ Dịch vụ phải luôn sẵn sàng.
▪ Hiệu quả của chiến lược (ngăn chặn được một phần hay toàn bộ
sự cố).
▪ Thời gian cần thiết cho giải pháp.
o Thu thập bằng chứng và xử lý:
▪ Thông tin nhận dạng: vị trí, số seri, số hiệu máy…
▪ Tên, chức danh, cách thức liên lạc…của các thành viên tham gia
xử lý sự cố.
25
▪ Thời gian (bao gồm cả vùng thời gian) của mỗi lần xử lý bằng
chứng.
▪ Địa điểm nơi các bằng chứng đã được lưu trữ.
o Xác định nguồn tấn công:
▪ Kiểm tra tính hợp lệ của địa chỉ IP nguồn tấn công.
▪ Nghiên cứu về nguồn tấn công thông qua các công cụ tim kiếm.
▪ Sử dụng cơ sở dữ liệu sự cố.
▪ Giám sát các kênh truyền thông có khả năng xảy ra tấn công.
5. Loại bỏ sự cố
o Tùy từng trường hợp để loại bỏ hoàn toàn hay 1 phần sự cố. Ví dụ: xoác
bỏ các phần bị lây nhiễm bởi mã độc, xóa bỏ tài khoản người dùng vi
phạm, khôi phục lại hệ thống để hoạt động bình thường.
6. Bài học kinh nghiệm
Việc xử lý sự cố cần đưa ra được các bài học kinh nghiệm và khả năng hoàn
thiện. Trả lời được các câu hỏi:
o Những gì đã xảy ra và thời gian xảy ra sự việc?
o Hành động đúng đắn của nhân viên và quản lý khi sự cố xảy ra?
o Những thông tin cần được thông báo sớm?
o Những rào cản khi khắc phục sự cố?
o Những hành động khi có sự cố tương tự xảy ra?
o Chia sẻ thông tin với các tổ chức khác?
o Những thông tin cần được thông báo sớm?
o Hành động khắc phục có ngăn ngừa được sự cố tương tự xảy ra trong
tương lai?
o Công cụ và nguồn lực sử dụng trong quá trình khắc phục sự cố?
o Lập tài liệu quá trình khắc phục sự cố.
7. Một số sự cố điển hình
o Xử lý sự cố về tấn công từ chối dịch vụ.
▪ Chuẩn bị trước khi sự cố xảy ra:
26
– Đàm phán với nhà cung cấp dịch vụ ISP của tổ chức yêu
cầu hỗ trợ.
– Xem xét điều tra tính khả thi của việc tham gia hợp tác đối
phó một cuộc tấn công DOS phổ biến có ảnh hưởng tới
nhiều tổ chức
– Triển khai và cấu hình IDPS, giám sát tài nguyên liên tục,
ghi log.
– Xác định xác trang web cung cấp khả năng thống kê về độ
trễ ISP khác nhau và địa điểm khác nhau.
– Đàm phán với quản trị viên để hỗ trợ trong việc phần tích
thu thập các cuộc tấn công DOS, DDOS.
– Duy trì bản sao cục bộ.
▪ Phòng ngừa sự cố:
– Cấu hình mạng vành đai ngăn chặn tất cả các lưu lượng
đến và đi mà không được cho phép: ngăn chặn các chức
năng như echo và chargen, lọc đầu vào và đầu ra để chặn
gói tin giả mạo, ngăn chặn lưu lượng từ dải địa chỉ IP
không được gán, thiết lập quy tắc tường lửa, danh sách
kiểm soát truy cập…
– Thực hiện giới hạn tốc độ cho các giao thức nhất định. Có
thể thực hiện ở mạng vành đai tổ chức, từ các ISP của tổ
chức.
– Vô hiệu hóa các dịch vụ không cần thiết trên các máy tính
truy cập Internet, hạn chế sử dụng các dịch vụ có thể sử
dụng trong tấn công DOS.
– Thiết lập dự phòng cho các máy chủ đảm nhiệm chức năng
chính như tường lửa, ISP, máy chủ web…
– Đảm bảo hệ thống mạng không hoạt động hết công suất
tối đa.
o Xử lý sự cố về mã độc hại.
▪ Chuẩn bị trước khi sự cố xảy ra:
27
– Nhận thức cho người sử dụng tác hại của mã độc.
– Tham khảo thông tin về nhà cung cấp anti-virus.
– Triển khai hệ thống IDPS dựa trên host đến máy chủ, máy
trạm quan trọng.
– Thu thập tài nguyên phân tích sự cố mã độc.
– Phần mềm khôi phục sự cố mã độc.
▪ Phòng ngừa sự cố:
– Sử dụng phần mềm anti-virus.
– Ngăn chặn việc cài đặt các phần mềm gián điệp.
– Ngăn chặn các tệp tin đáng ngờ.
– Lọc thư rác.
– Hạn chế sử dụng các chương trình thiết yếu với khả năng
truyền tệp tin.
– Giáo dục người sử dụng việc xử lý an toàn tệp tin đính
kèm email.
– Hạn chế mở cửa sổ windows.
– Sử dụng trình duyệt bảo mật để giới hạn mã điện thoại di
động.
– Ngăn chặn chuyển tiếp của email.
– Cấu hình máy trạm thư để hoạt động an toàn hơn.
o Xử lý sự cố về truy cập không xác thực.
▪ Chuẩn bị trước khi sự cố xảy ra:
– Cấu hình IDPS dựa trên mạng hoặc dựa trên máy để xác
định và cảnh báo các hành vi truy cập trái phép.
– Sử dụng máy chủ lưu trữ tập trung thông tin cần thiết từ
máy tính trong tổ chức được lưu trữ trong một vị trí đảm
bảo an toàn.
– Thiết lập các thủ tục đi kèm khi tất cả người dùng của ứng
dụng, hệ thống, miền tin cậy hay tổ chức nên thay đổi mật
khẩu vì một sự thỏa hiệp mật khẩu.
28
– Khuyến cáo về xử lý sự cố truy cấp trái phép với quản trị
hệ thống.
▪ Phòng ngừa sự cố:
– Cấu hình mạng vành đai ngăn chặn các lưu lượng truy cập
không được phép.
– Bảo vệ toàn bộ các phương pháp truy cập từ xa, bao gồm
modem, mạng riêng ảo.
– Đặt các dịch vụ truy cập công khai tại DMZ.
– Đánh giá lỗ hổng thường xuyên để xác định rủi ro và giảm
thiểu rủi ro.
– Vô hiệu hóa các dịch vụ không cần thiết trên máy chủ,
chạy dịch vụ với đặc quyền ít nhất.
– Sử dụng các tường lửa cá nhân hạn chế tiếp xúc với cá
nhân cuộc tấn công.
– Hạn chế truy cập vật lý trái phép.
– Thường xuyên kiểm tra các thiết lập sự cho phép với các
tài nguyên quan trọng.
– Tạo chính sách mật khẩu sử dụng phức tạp, sử dụng các
phương pháp xác thực mạnh.
– Tạo các tiêu chuẩn xác thực và ủy quyền cho nhân viên, nhà phát triển để thực hiện khi thẩm định, phát triển phần mềm.
– Lập thủ tục dự phòng tài khoản người dùng.