Nghiên cứu lựa chọn giải pháp công nghệ cho hệ thống giám sát an toàn mạng NIX

Nghiên cứu lựa chọn giải pháp công nghệ tối ưu cho hệ thống giám sát an toàn mạng nội bộ NIX của Trung tâm Internet Quốc gia Lào. Đảm bảo an ninh mạng.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Đề án tốt nghiệp
97
0
0

Phí lưu trữ

35 Point

Mục lục chi tiết

LỜI CAM ĐOAN

LỜI CẢM ƠN

MỤC LỤC

MỞ ĐẦU

1. Chương I: KHÁI QUÁT VỀ MẠNG NỘI BỘ NIX VÀ VẤN ĐỀ GIÁM SÁT AN TOÀN MẠNG

1.1. Khái quát về kiến trúc mạng nội bộ NIX của LANIC

1.2. Một số loại tấn công điển hình trong mạng nội bộ

1.2.1. Khái niệm, đối tượng và mục đích tấn công mạng

1.2.2. Các giai đoạn của quá trình tấn công mạng

1.2.3. Các loại tấn công mạng điển hình và phổ biến nhất

1.3. Nhu cầu và vai trò của hệ thống giám sát an toàn mạng

1.4. Kết luận chương

2. Chương II: CÁC THÀNH PHẦN CỦA HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG

2.1. Khái quát mô hình kiến trúc hệ thống giám sát an toàn mạng

2.1.1. Khái quát về khung kiến trúc hệ thống giám sát

2.1.2. Thành phần trung tâm của hệ thống giám sát an toàn mạng

2.1.3. Kết nối giữa các thành phần hệ thống

2.1.4. Các thành phần phát hiện và ngăn chặn tấn công

2.2. Các chức năng chủ yếu của hệ thống giám sát an toàn mạng

2.2.1. Bốn chức năng hoạt động thiết yếu

2.2.2. Các chức năng chủ yếu của hệ thống giám sát an toàn mạng

2.2.4. Các kỹ thuật phân tích

2.2.5. Cảnh báo của hệ thống giám sát an toàn mạng

2.3. Kiến trúc hệ thống thu thập thông tin

2.3.1. Kiến trúc hệ thống

2.3.2. Các thiết bị phục vụ thu thập mẫu, thu thập thông tin

2.4. Mô hình và các giải pháp phát hiện tấn công mạng

2.4.1. Một số vấn đề cần quan tâm trong xây dựng mô hình và lựa chọn giải pháp

2.4.2. Một số phương pháp phát hiện bất thường

2.4.3. Lựa chọn giải pháp phát hiện tấn công trên mạng và trên máy đơn lẻ

2.4.4. Lựa chọn mô hình phát hiện hành vi bất thường

2.4.5. Kết luận chương

3. Chương III: NGHIÊN CỨU LỰA CHỌN GIẢI PHÁP CÔNG NGHỆ TRONG TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG CHO MẠNG NỘI BỘ NIX CỦA TRUNG TÂM INTERNER QUỐC GIA LÀO

3.1. Mô hình tổng quát cho hệ thống giám sát an toàn mạng nội bộ NIX

3.1.1. Các thành phần chính của mô hình

3.1.2. Mô hình triển khai

3.1.3. Chức năng chính của hệ thống giám sát

3.2. Hệ thống thu thập thông tin từ mạng

3.3. Lựa chọn giải pháp công nghệ cho hệ thống giám sát an toàn mạng

3.4. Lựa chọn phần mềm nguồn mở cho hệ thống giám sát an toàn mạng

3.4.1. Kiến trúc phần mềm Suricata

3.4.2. Chức năng của các thành phần Suricata

3.5. Demo thử nghiệm và đánh giá kết quả

3.5.1. Mục tiêu và mô hình thử nghiệm

3.5.2. Cài đặt công cụ phần mềm

3.5.3. Các kịch bản thử nghiệm

3.5.4. Thực hiện Demo

3.5.5. Đánh giá kết quả thử nghiệm

3.6. Giải pháp triển khai cho mạng nội bộ NIX của Trung tâm Internet Quốc gia Lào

3.6.1. Lý do triển khai HTGSATM

3.6.2. Giải pháp triển khai HTGSATM

3.7. Kết luận chương

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN

TÀI LIỆU THAM KHẢO

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT

DANH MỤC HÌNH VẼ

Tóm tắt

I. Tổng quan về Giải pháp Giám sát An toàn Mạng NIX

Hệ thống giám sát an toàn mạng đóng vai trò sống còn trong việc bảo vệ hạ tầng mạng NIX của Trung tâm Internet Quốc gia Lào (LANIC). Nó cho phép thu thập, lưu trữ và phân tích các sự kiện và bất thường trong toàn hệ thống. Một hệ thống hiệu quả cần có khả năng theo dõi các thiết bị, phát hiện các hành động bất thường, thu thập sự kiện, phân tích dữ liệu và đưa ra cảnh báo kịp thời. Để giám sát an toàn mạng hiệu quả, cần xác định rõ các hệ thống, thiết bị, hệ điều hành và dịch vụ cần theo dõi. Ngoài ra, cần xác định các công cụ hỗ trợ phân tích như NMAP, TCPDUMP, Wireshark, Nessus. Yếu tố con người cũng rất quan trọng. Các giải pháp công nghệ giám sát an toàn mạng có thể tập trung vào thu thập và lưu trữ dữ liệu nhật ký, phân tích và xử lý dữ liệu để đưa ra cảnh báo, hoặc kết hợp cả hai để khắc phục hạn chế. SIEM (Security Information and Event Management) là một giải pháp cốt lõi, hỗ trợ phát hiện mối đe dọa, tuân thủ và quản lý sự cố bảo mật thông qua việc thu thập và phân tích các sự kiện bảo mật, cũng như nhiều nguồn dữ liệu theo ngữ cảnh và sự kiện khác. Hệ thống SIEM sử dụng các quy tắc và mối tương quan thống kê để biến các mục nhật ký và sự kiện từ hệ thống bảo mật thành thông tin có thể hành động được, giúp các nhóm bảo mật phát hiện các mối đe dọa trong thời gian thực, quản lý ứng phó sự cố, thực hiện điều tra pháp y về các sự cố bảo mật trước đây và chuẩn bị kiểm tra cho các mục đích tuân thủ. Trong hệ thống mạng công nghệ thông tin, thông thường giám sát các thiết bị cốt lõi trong hệ thống như các Router, Switch Firewall, Servers , điện thoại VoIP và các thiết bị khác vv. tất cả các thiết bị đó có hỗ trợ giám sát. Trong công việc giám sát các thiết bị hoặc hệ điều hành sẽ thông qua các cổng giao thức mà của nó cung cấp, và một trong những giao thức quan trọng và được sử dụng rộng rãi là SNMP, nhưng trong hệ thống SIEM có rất nhiều giao thức phổ biến như OSSEC, Sagan, Splunk Free, Snort, Elasticsearch, MozDef, Wazuh…

1.1. SIEM Giải pháp cốt lõi cho Giám sát An toàn Mạng NIX

SIEM (Security Information and Event Management) đóng vai trò trung tâm trong việc giám sát an ninh mạng. Theo tài liệu, SIEM hỗ trợ phát hiện mối đe dọa, tuân thủ và quản lý sự cố thông qua việc thu thập và phân tích các sự kiện bảo mật. Hệ thống SIEM không chỉ giúp phát hiện các mối đe dọa mà còn hỗ trợ ứng phó sự cố và điều tra pháp y. Việc lựa chọn một giải pháp SIEM phù hợp là yếu tố then chốt để bảo vệ mạng NIX.

1.2. Các yếu tố then chốt để Giám sát An toàn Mạng NIX hiệu quả

Để giám sát an toàn mạng hiệu quả, cần xác định rõ các thành phần cần theo dõi (hệ thống, thiết bị, dịch vụ), các thiết bị cốt lõi và các công cụ hỗ trợ phân tích. Yếu tố con người cũng đóng vai trò quan trọng. Các giải pháp công nghệ có thể tập trung vào thu thập dữ liệu, phân tích dữ liệu, hoặc kết hợp cả hai. Điều này đảm bảo một hệ thống giám sát an ninh toàn diện cho mạng NIX.

1.3. Giao thức và phần mềm phổ biến trong Giám sát An toàn Mạng

Trong giám sát an toàn mạng, các giao thức như SNMP và các phần mềm như OSSEC, Sagan, Splunk Free, Snort, Elasticsearch, MozDef, Wazuh... được sử dụng rộng rãi. Chúng giúp thu thập và xử lý thông tin từ các thiết bị trong mạng NIX, từ đó phát hiện ra các dấu hiệu bất thường. Việc hiểu rõ và lựa chọn các giao thức và phần mềm phù hợp là rất quan trọng.

II. Thách thức và Phương pháp Phát hiện Tấn công Mạng NIX

Phát hiện tấn công mạng là quá trình phân tích hệ sinh thái bảo mật để xác định các hoạt động tấn công tiềm ẩn có thể xâm nhập vào mạng NIX. Tốc độ là yếu tố quan trọng trong phát hiện và giảm thiểu mối đe dọa. Các chương trình bảo mật phải có khả năng phát hiện các mối đe dọa một cách nhanh chóng và hiệu quả để ngăn chặn sự xâm nhập vào dữ liệu nhạy cảm. Trí thông minh về mối đe dọa là một cách tiếp cận, sử dụng dữ liệu chữ ký từ các cuộc tấn công đã biết để so sánh với dữ liệu của đơn vị, giúp xác định các mối đe dọa. Điều này đặc biệt hiệu quả trong việc phát hiện các mối đe dọa đã biết, nhưng không phải là chưa biết. Công nghệ phát hiện mối đe dọa sự kiện bảo mật tổng hợp dữ liệu từ các sự kiện trên toàn mạng, bao gồm xác thực, truy cập mạng và nhật ký từ các hệ thống quan trọng. Công nghệ phát hiện mối đe dọa mạng được sử dụng để hiểu các mẫu lưu lượng truy cập trên mạng và giám sát lưu lượng truy cập mạng, cũng như với internet. Công nghệ phát hiện mối đe dọa điểm cuối cung cấp thông tin chi tiết về các sự kiện độc hại có thể xảy ra trên máy người dùng, cũng như thông tin hành vi hoặc pháp y để hỗ trợ điều tra các mối đe dọa. Cần có các công cụ phát hiện mối đe dọa sự kiện bảo mật để tổng hợp dữ liệu từ các sự kiện trên toàn mạng NIX, bao gồm xác thực, truy cập mạng và nhật ký từ các hệ thống quan trọng, từ dữ liệu mạng để hiểu các mẫu lưu lượng truy cập và giám sát lưu lượng truy cập mạng, cũng như từ điểm cuối để cung cấp thông tin chi tiết về các sự kiện độc hại có thể xảy ra trên máy người dùng.

2.1. Trí thông minh về mối đe dọa và Phân tích hành vi cho NIX

Threat intelligence đóng vai trò quan trọng trong việc phát hiện các mối đe dọa đã biết trong mạng NIX. Việc phân tích hành vi người dùng (UEBA) và thực thể giúp xác định các hoạt động bất thường. Các hệ thống phát hiện xâm nhập như OSSEC, AIDE hoặc McAfee HIPS giúp xác định các điểm bất thường cần điều tra. Các công nghệ này giúp bảo vệ hệ thống NIX khỏi các rủi ro an ninh mạng.

2.2. Các lớp Tấn công và Kỹ thuật phát hiện

Các cuộc tấn công khác nhau nhắm vào các phần khác nhau của mạng và chúng được phân loại theo các lớp kết nối mạng mà chúng nhắm mục tiêu. Một kết nối trên internet bao gồm bảy “tầng” khác nhau, như được định nghĩa bởi mô hình Kết nối Hệ thống Mở (OSI) do tổ chức tiêu chuẩn hóa quốc tế tạo ra. Các lớp này bao gồm Volumetric attacks, Protocol attacks, Application layer attacks. Các kỹ thuật phát hiện bao gồm, kết hợp để nhận biết các lớp tấn công khác nhau.

2.3. Tầm quan trọng của phát hiện nhanh chóng và hiệu quả các mối đe dọa

Khi nói đến việc phát hiện và giảm thiểu các mối đe dọa, tốc độ là rất quan trọng. Các chương trình bảo mật phải có khả năng phát hiện các mối đe dọa một cách nhanh chóng và hiệu quả để những kẻ tấn công không có đủ thời gian để xâm nhập vào dữ liệu nhạy cảm.

III. Xây dựng Hệ thống thu thập Thông tin An ninh cho NIX

Hệ thống thu thập thông tin đóng vai trò then chốt trong giải pháp an ninh mạng. Nó phải có khả năng thu thập dữ liệu từ nhiều nguồn khác nhau, bao gồm nhật ký hệ thống, sự kiện bảo mật và dữ liệu mạng. Mục tiêu là tạo ra một bức tranh toàn diện về tình hình an ninh của mạng NIX. Các công cụ như Network Tap và SPAN port được sử dụng để trích xuất gói tin từ các vị trí giám sát trên mạng. Cơ sở dữ liệu (SAN) được xây dựng để lưu giữ nhật ký. Việc cấu hình phần cứng và phần mềm thu thập dữ liệu cũng rất quan trọng. Quá trình tiền xử lý có thể diễn ra tại các bộ thu biên, chỉ một số sự kiện và dữ liệu sự kiện được chuyển đến bộ lưu trữ tập trung.

3.1. SPAN Port và Network Tap trong Thu thập Thông tin Mạng

SPAN port và Network Tap là các công cụ quan trọng để thu thập dữ liệu gói tin từ mạng NIX. Network Tap cho phép trích xuất lưu lượng mạng mà không ảnh hưởng đến hiệu suất. SPAN port cũng có thể được sử dụng, nhưng cần lưu ý đến các hạn chế về hiệu suất. Việc lựa chọn công cụ phù hợp phụ thuộc vào yêu cầu cụ thể của hệ thống giám sát.

3.2. Xây dựng Cơ sở Dữ liệu Lưu trữ Nhật ký An ninh SAN

Việc xây dựng một cơ sở dữ liệu lưu trữ nhật ký an ninh (SAN) là cần thiết để lưu trữ và quản lý dữ liệu an ninh thu thập được. SAN phải có khả năng mở rộng để đáp ứng nhu cầu ngày càng tăng về lưu trữ dữ liệu. Các công nghệ như Elasticsearch có thể được sử dụng để xây dựng SAN.

3.3. Các điểm yếu trong hệ thống và giải pháp giảm thiểu rủi ro

Các giải pháp giảm thiểu rủi ro bao gồm triển khai tường lửa, hệ thống phát hiện xâm nhập, sử dụng mật khẩu mạnh, cập nhật phần mềm, thực hiện kiểm tra bảo mật thường xuyên, đào tạo nhân viên về an ninh mạng, thực hiện các giao thức bảo mật, kiểm soát truy cập, mã hóa dữ liệu, giám sát hoạt động mạng và sao lưu dữ liệu thường xuyên.

IV. Chức năng Chính và Cảnh báo trong Giám sát An toàn Mạng

SIEM cho phép nhân viên quản trị mạng xác định hồ sơ, chỉ định cách hệ thống hoạt động trong điều kiện bình thường. Sau đó, họ có thể đặt các quy tắc và ngưỡng để xác định loại bất thường nào được coi là sự cố bảo mật. SIEM ngày càng tận dụng khả năng học máy và lập hồ sơ hành vi tự động để tự động phát hiện các điểm bất thường và xác định động các quy tắc trên dữ liệu nhằm khám phá các sự kiện bảo mật cần điều tra. Giám sát nhật ký có thể giúp xác định các vấn đề trước khi người dùng gặp phải. Nó có thể phát hiện ra hành vi đáng ngờ có thể đại diện cho một cuộc tấn công vào các hệ thống của tổ chức. Nó cũng có thể giúp ghi lại hành vi cơ bản của thiết bị, kèm với một số gói phần mềm phổ biến như: Snort IDS, Suricata IDS và Bro IDS. Phân tích các sự kiện và giúp nâng cấp cảnh báo để thông báo cho nhân viên bảo mật về các vấn đề tức thời, qua email, các loại tin nhắn khác hoặc qua bảng điều khiển bảo mật, sau đó sẽ đưa thông tin cảnh báo tới người quản trị và thực hiện những công việc tiếp theo. Cảnh báo bảo mật là tín hiệu từ phần mềm SIEM tới các nhà phân tích an ninh mạng biết rằng đã có gì đó bất thường xảy ra. Cảnh báo bảo mật cho phép các nhà phân tích ngăn chặn cuộc tấn công trước khi nó gây ra thiệt hại lớn hơn.

4.1. Các loại Log Chính trong Hệ thống Giám sát An toàn Mạng

Việc phân tích được dựa trên các loại log chính trong hệ thống như sau: Nhật ký ứng dụng, Nhật ký hệ thống, Nhật ký bảo mật, Nhật ký dịch vụ thư mục, Nhật ký máy chủ DNS, Nhật ký dịch vụ sao chép tệp, Log Access: Ghi lại thông tin truy cập của người dùng tới hệ thống, Log Event: Ghi lại chi tiết những sự kiện xảy ra trong hệ thống, Log Device: Ghi lại tình trạng hoạt động của các thiết bị phần cứng và phần mềm.

4.2. Phân tích và Cảnh báo Dựa trên Dữ liệu Nhật ký Log Analysis

Giám sát nhật ký liên quan đến việc quét các tệp nhật ký, tìm kiếm các mẫu, quy tắc hoặc hành vi được suy luận cho biết các sự kiện quan trọng và kích hoạt cảnh báo được gửi đến nhân viên vận quản trị hoặc nhân viên an ninh. Tổng hợp nhật ký và giám sát nhật ký là hoạt động trọng tâm của các nhóm bảo mật. Thu thập thông tin nhật ký từ các hệ thống quan trọng và công cụ bảo mật, đồng thời phân tích các nhật ký đó, là cách phổ biến nhất để xác định các sự kiện bất thường hoặc đáng ngờ, có thể là một sự cố bảo mật.

4.3. Thiết lập Ngưỡng và Quy tắc Cảnh báo cho Mạng NIX

Việc thiết lập ngưỡng và quy tắc cảnh báo là cần thiết để xác định các sự kiện bất thường. Các quy tắc có thể dựa trên các chỉ số tấn công đã biết hoặc các mẫu hành vi bất thường. Ngưỡng có thể được sử dụng để giảm thiểu số lượng cảnh báo sai. Việc cấu hình cảnh báo phải được thực hiện một cách cẩn thận để đảm bảo rằng các sự kiện quan trọng không bị bỏ qua.

V. Lựa chọn Giải pháp Công nghệ cho Giám sát An ninh NIX

Qua nghiên cứu, có thể thấy việc lựa chọn giải pháp giám sát an ninh phù hợp cho mạng NIX là một quyết định quan trọng. Cần xem xét các yếu tố như chi phí, khả năng mở rộng, khả năng tích hợp và khả năng đáp ứng các yêu cầu bảo mật cụ thể. Đánh giá giải pháp cần dựa trên các tiêu chí rõ ràng. Các giải pháp nguồn mở như Suricata có thể là một lựa chọn tốt để giảm chi phí giải pháp, nhưng cần có kiến thức chuyên môn để triển khai và quản lý.

5.1. So sánh Giải pháp Giám sát An ninh Mạng Nguồn mở vs. Thương mại

Cần thực hiện so sánh giải pháp giám sát một cách kỹ lưỡng, bao gồm cả giải pháp nguồn mở và giải pháp thương mại. Giải pháp nguồn mở thường có chi phí thấp hơn, nhưng đòi hỏi kiến thức chuyên môn cao hơn. Giải pháp thương mại thường có nhiều tính năng hơn và hỗ trợ tốt hơn, nhưng chi phí cao hơn. Quyết định cuối cùng phụ thuộc vào ngân sách và yêu cầu cụ thể.

5.2. Các tiêu chí quan trọng trong Đánh giá Giải pháp Giám sát NIX

Các tiêu chí quan trọng trong đánh giá giải pháp bao gồm khả năng phát hiện mối đe dọa, khả năng mở rộng, khả năng tích hợp với các hệ thống hiện có, khả năng đáp ứng các yêu cầu tuân thủ, và chi phí. Cần xây dựng một bảng tiêu chí rõ ràng để so sánh các giải pháp khác nhau.

5.3. Suricata Giải pháp mã nguồn mở phát hiện xâm nhập cho NIX

Suricata là một công cụ IDS/IPS (Hệ thống phát hiện/ngăn chặn xâm nhập) mã nguồn mở mạnh mẽ, cung cấp khả năng giám sát mạng thời gian thực, phát hiện xâm nhập ngoại tuyến và hỗ trợ giao thức mở, Suricata có thể chạy trên nhiều nền tảng hệ điều hành, bao gồm Windows, Linux và FreeBSD, đây là một lợi thế cho môi trường NIX đa dạng. Kiến trúc mô-đun của Suricata cho phép tùy chỉnh và tích hợp dễ dàng với các công cụ và nền tảng bảo mật khác. Khả năng tích hợp với nhiều nguồn dữ liệu và định dạng nhật ký khác nhau giúp đơn giản hóa quá trình thu thập và phân tích nhật ký, đồng thời cung cấp khả năng hiển thị toàn diện hơn về lưu lượng mạng.

VI. Triển khai và Tối ưu hóa Giải pháp An ninh Mạng NIX

Sau khi lựa chọn giải pháp an ninh mạng, việc triển khai và tối ưu hóa là rất quan trọng. Cần lập kế hoạch triển khai giải pháp một cách cẩn thận, đảm bảo rằng tất cả các thành phần được cấu hình đúng cách. Việc giám sát và đánh giá hiệu suất của hệ thống là cần thiết để xác định các vấn đề tiềm ẩn. Cần có quy trình ứng phó sự cố để xử lý các sự kiện bảo mật.

6.1. Kế hoạch Triển khai Chi tiết cho Hệ thống Giám sát An ninh NIX

Kế hoạch triển khai giải pháp cần bao gồm các bước cụ thể, thời gian biểu, và trách nhiệm. Cần xác định các nguồn lực cần thiết và đảm bảo rằng tất cả các thành viên trong nhóm đều hiểu rõ vai trò của mình. Việc thử nghiệm hệ thống trước khi triển khai chính thức là rất quan trọng.

6.2. Giám sát và Đánh giá Hiệu suất của Hệ thống Giám sát

Việc giám sát và đánh giá hiệu suất của hệ thống là cần thiết để đảm bảo rằng hệ thống hoạt động hiệu quả và đáp ứng các yêu cầu bảo mật. Cần theo dõi các chỉ số hiệu suất như tốc độ xử lý, mức sử dụng tài nguyên, và số lượng cảnh báo được tạo ra. Cần có quy trình để xử lý các vấn đề hiệu suất.

6.3. Quy trình Ứng phó Sự cố và Khắc phục Rủi ro An ninh Mạng NIX

Cần có quy trình ứng phó sự cố để xử lý các sự kiện bảo mật. Quy trình này cần bao gồm các bước để xác định, phân tích, ngăn chặn, và khắc phục các sự cố. Cần có kế hoạch dự phòng để đảm bảo rằng các hệ thống quan trọng vẫn hoạt động trong trường hợp xảy ra sự cố.

22/09/2025

Trích đoạn nội dung tài liệu

chương 1 trình bày tóm tắt về kiến trúc hệ thống mạng nội bộ NIX và các nguy cơ tấn công, một số loại tấn công điển hình và phổ biến nhất, đồng thời chỉ ra nhu cầu xây dựng HTGSATM cho mạng nội bộ NIX của Trung tâm Internet Quốc gia Lào.1 Khái quát về kiến trúc mạng nội bộ NIX của LANIC. Hệ thống mạng của Trung tâm Inetnet Quốc gia Lào kết nối các nhà cung cấp dịch vụ Internet Quốc tế với các nhà cung cấp dịch vụ Internet tại Lào thông qua trạm cửa ngõ quốc tế (IIG - International Internet Gateway), đồng thời kết nối các cơ quan Nhà nước và các nhà mạng Internet nội bộ qua mạng nội bộ (gọi là National Internet Exchange NIX). Kiến trúc hệ thống mạng nội bộ NIX của Trung tâm Internet Quốc gia Lào được mô tả trên hình 1.1 gồm các thành phần sau: Hình 1.1: Kiến trúc hệ thống mạng nội bộ của LANIC (Nguồn: https://lanic.la)  Hệ thống của trung tâm Lao National Internet Center (LANIC) bao gồm các thiết bị cốt lõi trong hệ thống hạ tầng mạng Lào đã kết nối -5- Internet. Hệ thống mạng quốc gia bao gồm các bộ Router, Core Switch và Firewall.

 Hệ thống Router được kết nối ra Internet với các nước láng giềng như: Việt Nam, Thái Lan, Trung Quốc, và các thiết bị đặt tại trung tâm tạo thành International Internet Gateway, thực hiện kiểm soát cổng kết nối vào/ra Internet.  Hệ thống Core Switch là hệ thống kết nối nội bộ của trung tâm và các cơ quan nhà nước, các nhà dịch vụ Internet được gọi là National Internet Exchange, thục hiện kiểm soát cổng kết nối vào/ra Internet nội bộ.  Hệ thống Firewall là hệ thống kiểm tra và ngăn chặn những dấu hiệu của cuộc tấn công từ bền ngoại và bên trong mạng, thực hiện ngăn chặn vào/ra Internet.  Hệ thống hạ tầng mạng của trung tâm được kết nối với các ISP (Internet Service Provider) trong nước và hiện tại có 6 Nhà cung cấp dịch vụ Internet kết nối vào hạ tầng mạng của trung tâm bao gồm: LTC, ETL, Unitel, Plannet, Best Telecom và LaoSat.

Ngoại ra các ISP lớn còn có các cơ quan nhà nước đã kết nối với trung tâm LANIC. Chi tiết về các thành phần hệ thống mạng NIX cũng như hệ thống LANIC có trong 4 5 [11,12]. Hệ thống giám sát an toàn mạng có thể triển khai tại hệ thống trung tâm và có các điểm giám sát đặt tại các cơ quan, nhà mạng. sẽ trình bày trong các chương tiếp theo.2 Một số loại tấn công điển hình trong mạng nội bộ.1 Khái niệm, đối tượng và mục đích tấn công mạng.

 Tấn công mạng là gì? 4 LaoCert:http://www.la 5 Thông báo cuộc tấn công mạng tại Lào của Trung tâm ứng cứu khẩn cấp máy tính Lào, LaoCert 2020 -6- Tấn công mạng là bất kỳ nỗ lực nào nhằm giành quyền truy cập trái phép vào máy tính, hệ thống máy tính hoặc mạng máy tính với mục đích gây thiệt hại. Các cuộc tấn công mạng nhằm mục đích vô hiệu hóa, làm gián đoạn, phá hủy hoặc kiểm soát các hệ thống máy tính hoặc thay đổi, chặn, xóa, thao túng hoặc đánh cắp dữ liệu được lưu giữ trong các hệ thống này. Bất kỳ cá nhân hoặc nhóm nào cũng có thể khởi động một cuộc tấn công mạng từ bất cứ đâu bằng cách sử dụng một hoặc nhiều chiến lược tấn công khác nhau.  Tại sao các cuộc tấn công mạng xảy ra? Các cuộc tấn công mạng không chỉ được thiết kế để gây ra thiệt hại và có thể có nhiều mục tiêu khác nhau, bao gồm những điều sau đây: Lợi ích tài chính: Tội phạm mạng thực hiện hầu hết các cuộc tấn công mạng, đặc biệt là các cuộc tấn công chống lại các tổ chức thương mại, để thu lợi tài chính.

Các cuộc tấn công này thường nhằm đánh cắp dữ liệu nhạy cảm, chẳng hạn như số thẻ tín dụng của khách hàng hoặc thông tin cá nhân của nhân viên, sau đó tội phạm mạng sử dụng để truy cập tiền hoặc hàng hóa bằng danh tính của nạn nhân. Quấy rối và trả thù: Những kẻ xấu cũng tiến hành các cuộc tấn công đặc biệt để gieo rắc hỗn loạn, nhầm lẫn, bất mãn, thất vọng hoặc mất lòng tin. Họ có thể thực hiện hành động đó như một cách để trả thù cho những hành động chống lại họ. Họ có thể nhằm mục đích làm xấu hổ công khai các thực thể bị tấn công hoặc làm tổn hại danh tiếng của các tổ chức.

Các cuộc tấn công này thường nhắm vào các tổ chức chính phủ nhưng cũng có thể tấn công các tổ chức thương mại hoặc tổ chức phi lợi nhuận. Chiến tranh mạng: Các chính phủ trên khắp thế giới cũng tham gia vào các cuộc tấn công mạng, với nhiều chính phủ quốc gia thừa nhận hoặc bị nghi ngờ thiết kế và thực hiện các cuộc tấn công chống lại các quốc gia khác như một phần của các tranh chấp chính trị, kinh tế và xã hội đang diễn ra. Những kiểu tấn công này được phân loại là chiến tranh mạng. -7-  Các cuộc tấn công mạng hoạt động như thế nào? Các tác nhân đe dọa sử dụng nhiều kỹ thuật khác nhau để khởi động các cuộc tấn công mạng, phần lớn tùy thuộc vào việc chúng đang tấn công một thực thể được nhắm mục tiêu hay không được nhắm mục tiêu.

Trong một cuộc tấn công không có mục tiêu, trong đó những kẻ xấu đang cố gắng xâm nhập vào càng nhiều thiết bị hoặc hệ thống càng tốt, chúng thường tìm kiếm các lỗ hổng trong mã phần mềm cho phép chúng có quyền truy cập mà không bị phát hiện hoặc chặn. Hoặc, họ có thể sử dụng một cuộc tấn công lừa đảo, gửi email cho một số lượng lớn người với các thông điệp được thiết kế theo kiểu xã hội nhằm lôi kéo người nhận nhấp vào liên kết sẽ tải xuống mã độc hại. Tin tặc cũng sử dụng các chiến dịch lừa đảo trực tuyến trong một cuộc tấn công có chủ đích, tạo email cho các cá nhân cụ thể, nếu họ nhập vào các liên kết được bao gồm, họ sẽ tải xuống phần mềm độc hại được thiết kế để phá hoại công nghệ của tổ chức hoặc dữ liệu nhạy cảm mà tổ chức đó nắm giữ. Tội phạm mạng thường tạo ra các công cụ phần mềm để sử dụng trong các cuộc tấn công của chúng và thường chia sẻ chúng trên cái gọi là web tối.

 Mục đích tấn công mạng là gì? Tích cực: Kiểm thử để tìm ra những lỗ hổng bảo mật của hệ thống, những nguy cơ tấn công mạng cho cá nhân hoặc tổ chức từ đó chỉ ra các giải pháp phòng chống, ngăn chặn sự đe dọa từ tin tặc. Tiêu cực: Phá hoại, lừa đảo, tống tiền, mua vui, đe dọa nạn nhân. Ví dụ: Trong cùng một hệ thống mạng LAN (mạng nội bộ), tin tặc có thể xâm nhập vào hệ thống của công ty. Hacker đó sẽ đóng vai như một người dùng thật trong hệ thống, sau đó tiến hành xâm nhập vào tệp chứa tài liệu bí mật của công ty.

Tin tặc có thể lấy cắp thông tin, hoặc thay đổi các con số, ẩn file…Nghiên cứu về các tấn công mạng được tham khảo từ6 7 [3,4]. 6 Hoàng Đăng Hải, tài liệu bài giảng “An toàn thông tin nâng cao”, Học viện Công nghệ Bưu chính Viễn thông 2023 7 Hoàng Xuân Dậu, tài liệu bài giảng “An toàn bảo mật hệ thống thông tin”, Học viện Công nghệ Bưu chính Viễn thông -8- Hình 1.2: Tấn công mạng nội bộ (Nguồn: https://aboutdigitalcertificate.com/2013/12/06/network-attacks- types-and-how-to-prevent/) 1.2 Các giai đoạn của quá trình tấn công mạng. Tấn công mạng là một hoạt động nhằm khai thác các điểm yếu của hệ thống để phục vụ các mục đích khác nhau. Điểm yếu hệ thống là những điểm nhạy cảm hoặc những rủi ro tiềm ẩn trong hệ thống thông tin, hệ thống.

Có tồn tại điểm yếu thì dễ bị nguy cơ tấn công nhiều hơn. Để khắc phục điều đó cần hiểu rõ 5 bước thực hiện cuộc tấn công mạng như sau:. Đạt được quyền truy cập (Gaining Access) 4. Duy trì quyền truy cập (Maintaining Access) 5.

 Giai đoạn 1: Trinh sát Trinh sát là một giai đoạn đầu mà kẻ tấn công chuẩn bị để thu thập thông tin của mục tiêu càng nhiều càng tốt trước khi phát động cuộc tấn công. Trong giai đoạn này, kẻ tấn công sử dụng trí thông minh để tìm hiểu thêm về mục tiêu được ghi nhận là dễ dàng xâm nhập cho một cuộc tấn công khi biết thêm về mục tiêu trên quy mô rộng. Phạm vi mục tiêu trinh sát có thể bao gồm hệ thống của tổ chức, hệ thống mạng, nhân viên, khách hàng và vv.của mục tiêu. -9-  Giai đoạn 2: Quét Quét là giai đoạn ngay trước cuộc tấn công.

Trong giai đoạn này, kẻ tấn công sử dụng các thông tin thu thập được trong quá trình trước để quét mạng tìm thêm thông tin cụ thể hơn. Quét là một phần mở rộng hợp lý của trinh sát tích cực và trên thực tế, một số chuyên gia không phân biệt quét với trinh sát tích cực. Tuy nhiên, có một sự khác biệt nhỏ là quá trình quét liên quan đến việc thăm dò sâu hơn về phía kẻ tấn công. Thường thì các giai đoạn trinh sát và quét chồng lên nhau và không phải lúc nào cũng có thể tách biệt hai giai đoạn này.

Kẻ tấn công có thể thu thập thông tin mạng quan trọng như ánh xạ hệ thống, bộ định tuyến và tường lửa bằng cách sử dụng các công cụ đơn giản như tiện ích Windows tiêu chuẩn Trace route. Ngoài ra, họ có thể sử dụng các công cụ như Cheops để thêm thông tin bổ sung vào kết quả theo dõi lộ trình.  Giai đoạn 3: Giành quyền truy cập Phần này là nơi kẻ tấn công đột nhập vào hệ thống mạng để khai thác nhiều công cụ hoặc chiến lược. Khi vào hệ thống, họ phải tăng đặc quyền của mình lên cấp quản trị viên để anh ta có thể cài đặt ứng dụng mình muốn hoặc sửa đổi thông tin hoặc ẩn thông tin.

Trong phần ba, kẻ tấn công sẽ khai thác lỗ hổng để đạt được quyền truy cập vào mục tiêu. Điều này thường liên quan đến việc quản lý hoặc nhiều thiết bị mạng để trích xuất thông tin từ mục tiêu hoặc sử dụng thiết bị đó để thực hiện các cuộc tấn công vào các mục tiêu thay thế.  Giai đoạn 4: Duy trì quyền truy cập Duy trì quyền truy cập là giai đoạn kẻ tấn công cố gắng giữ quyền sở hữu hệ thống của mình.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ