An ninh mạng máy tinh - Chương 4: Các kỹ thuật và công nghệ đảm bảo ATTT
Cấp phép hoặc từ chối phê duyệt sử dụng các tài nguyên đã
biết
Cơ chế của hệ thống thông tin cho phép hoặc hạn chế truy
cập đến dữ liệu hoặc các thiết bị
Bốn mô hình tiêu chuẩn
Các phương pháp thực tiễn để thực thi điều khiển truy cập
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Bạn đang xem 10 trang mẫu của tài liệu "An ninh mạng máy tinh - Chương 4: Các kỹ thuật và công nghệ đảm bảo ATTT", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: An ninh mạng máy tinh - Chương 4: Các kỹ thuật và công nghệ đảm bảo ATTT
CÁC KỸ THUẬT VÀ CÔNG NGHỆ ĐẢM BẢO ATTT CHƯƠNG 4 TỔNG QUAN NỘI DUNG 1. Điều khiển truy cập 2. Tường lửa 3. VPN 4. IDS và IPS 5. Honeypot, Honeynet và các hệ thống Padded Cell 2 1. Điều khiển truy cập Điều khiển truy cập 1. Khái niệm về điều khiển truy cập 2. Các mô hình điều khiển truy cập 3. Các công nghệ xác thực và nhận dạng người dùng 4 Cấp phép hoặc từ chối phê duyệt sử dụng các tài nguyên đã biết Cơ chế của hệ thống thông tin cho phép hoặc hạn chế truy cập đến dữ liệu hoặc các thiết bị Bốn mô hình tiêu chuẩn Các phương pháp thực tiễn để thực thi điều khiển truy cập 1.1. Khái niệm về điều khiển truy cập 5 Điều khiển truy cập là quy trình bảo vệ một nguồn lực để đảm bảo nguồn lực này chỉ được sử dụng bởi các đối tượng đã được cấp phép Điều khiển truy cập nhằm ngăn cản việc sử dụng trái phép 1.1. Khái niệm về điều khiển truy cập 6 Cấp phép (authorization) nhằm đảm bảo kiểm soát truy nhập tới hệ thống, ứng dụng và dữ liệu Nhận diện: Xem xét các ủy quyền Ví dụ: người vận chuyển hàng xuất trình thẻ nhân viên Ủy quyền: cấp quyền cho phép Xác thực (chứng thực): Kiểm tra, xác minh các ủy quyền Ví dụ: kiểm tra thẻ của người vận chuyển hàng Các thuật ngữ 7 Đối tượng: Tài nguyên cụ thể Ví dụ: file hoặc thiết bị phần cứng Chủ thể: Người dùng hoặc quá trình hoạt động đại diện cho một người dùng Ví dụ: người dùng máy tính Thao tác: Hành động do chủ thể gây ra đối với một đối tượng Ví dụ: xóa một file Các thuật ngữ (tiếp) 8 Hành động Mô tả Ví dụ tình huống Quá trình trên máy tính Nhận diện Xem xét các ủy quyền Người vận chuyển hàng xuất trình thẻ nhân viên Người dùng nhập tên đăng nhập Xác thực Xác minh các ủy quyền có thực sự chính xác hay không Đọc thông tin trên thẻ để xác định những thông tin đó có thực hay không Người dùng cung cấp mật khẩu Ủy quyền Cấp quyền cho phép mở cửa cho phép người vận chuyển hàng đi vào Người dùng đăng nhập hợp lệ Truy cập Quyền được phép truy cập tới các tài nguyên xác định Người vận chuyển hàng chỉ có thể lấy các hộp ở cạnh cửa Người dùng được phép truy cập tới các dữ liệu cụ thể Các bước điều khiển truy cập cơ bản 9 Vai trò Mô tả Trách nhiệm Ví dụ Chủ sở hữu Người chịu trách nhiệm về thông tin Xác định mức bảo mật cần thiết đối với dữ liệu và gán các nhiệm vụ bảo mật khi cần Xác định rằng chỉ những người quản lý của cơ quan mới có thể đọc được file SALARY.XLSX Người giám sát Cá nhân mà mọi hành động thường ngày của anh ta do chủ sở hữu quy định Thường xuyên rà soát các thiết lập bảo mật và duy trì các bản ghi truy cập của người dùng Thiết lập và rà soát các thiết lập bảomật cho file SALARY.XLSX Người dùng Người truy cập thông tin trong phạm vi trách nhiệm được giao phó Tuân thủ đúng các chỉ dẫn bảo mật của tổ chức và không được cố ý vi phạm bảo mật Mở file SALARY.XSLX Các vai trò trong điều khiển truy cập 10 Các vai trò trong điều khiển truy cập (tiếp) 11 1.2. Các mô hình điều khiển truy cập Các tiêu chuẩn cung cấp nền tảng cơ sở (framework) được định trước cho các nhà phát triển phần cứng hoặc phần mềm Được sử dụng để thực thi điều khiển truy cập trong thiết bị hoặc ứng dụng Người giám sát có thể cấu hình bảo mật dựa trên yêu cầu của chủ sở hữu 12 Bốn mô hình điều khiển truy cập chính Điều khiển truy cập bắt buộc Mandatory Access Control - MAC Điều khiển truy cập tùy ý Discretionary Access Control - DAC Điều khiển truy cập dựa trên vai trò Role Based Access Control - RBAC Điều khiển truy cập dựa trên quy tắc Rule Based Access Control - RBAC 13 Điều khiển truy cập bắt buộc - MAC Điều khiển truy cập bắt buộc Là mô hình điều khiển truy cập nghiêm ngặt nhất Thường bắt gặp trong các thiết lập của quân đội Hai thành phần: Nhãn và Cấp độ Mô hình MAC cấp quyền bằng cách đối chiếu nhãn của đối tượng với nhãn của chủ thể Nhãn cho biết cấp độ quyền hạn Để xác định có mở một file hay không: So sánh nhãn của đối tượng với nhãn của chủ thể Chủ thể phải có cấp độ tương đương hoặc cao hơn đối tượng được cấp phép truy cập 14 Điều khiển truy cập bắt buộc – MAC (tiếp) Hai mô hình thực thi của MAC Mô hình mạng lưới (Lattice model) Mô hình Bell-LaPadula Mô hình mạng lưới Các chủ thể và đối tượng được gán một “cấp bậc” trong mạng lưới Nhiều mạng lưới có thể được đặt cạnh nhau Mô hình Bell-LaPadula Tương tự mô hình mạng lưới Các chủ thể không thể tạo một đối tượng mới hay thực hiện một số chức năng nhất định đối với các đối tượng có cấp thấp hơn 15 Điều khiển truy cập bắt buộc – MAC (tiếp) Ví dụ về việc thực thi mô hình MAC Windows 7/Vista có bốn cấp bảo mật Các thao tác cụ thể của một chủ thể đối với phân hạng thấp hơn phải được sự phê duyệt của quản trị viên Hộp thoại User Account Control (UAC) trong Windows 16 Điều khiển truy cập tùy quyền (DAC) Điều khiển truy cập tùy ý (DAC) Mô hình ít hạn chế nhất Mọi đối tượng đều có một chủ sở hữu Chủ sở hữu có toàn quyền điều khiển đối với đối tượng của họ Chủ sở hữu có thể cấp quyền đối với đối tượng của mình cho một chủ thể khác Được sử dụng trên các hệ điều hành như Microsoft Windows và hầu hết các hệ điều hành UNIX 17 Điều khiển truy cập tùy quyền (DAC) (tiếp) Nhược điểm của DAC Phụ thuộc vào quyết định của người dùng để thiết lập cấp độ bảo mật phù hợp Việc cấp quyền có thể không chính xác Quyền của chủ thể sẽ được “thừa kế” bởi các chương trình mà chủ thể thực thi Trojan là một vấn đề đặc biệt của DAC 18 19 Điều khiển truy cập dựa trên vai trò (RBAC) Điều khiển truy cập dựa trên vai trò (Role Based Access Control – RBAC) Còn được gọi là điều khiển truy cập không tùy ý Quyền truy cập dựa trên chức năng công việc RBAC gán các quyền cho các vai trò cụ thể trong tổ chức Các vai trò sau đó được gán cho người dùng 20 Điều khiển truy cập dựa trên quy tắc Điều khiển truy cập dựa trên quy tắc (Rule Based Access Cont ... ck stimulus False negative False positive Noise 95 Site policy Site policy awareness True attack stimulus Confidence value Alarm filtering Tại sao lại dùng IDPS? Ngăn chặn hành vi có vấn đề bằng cách tăng các rủi ro nhận thức về phát hiện và trừng phạt Phát hiện các cuộc tấn công và vi phạm an ninh khác Phát hiện và đối phó với khởi đầu của các cuộc tấn công Lập tài liệu mối đe dọa hiện có cho tổ chức Kiểm soát chất lượng cho quản trị và thiết kế bảo mật, đặc biệt là các doanh nghiệp lớn và phức tạp Cung cấp thông tin hữu ích về sự xâm nhập diễn ra 96 Các loại hệ thống IDPS Các IDS hoạt động dựa trên mạng (network-based) hoặc dựa trên host (host-based) Tất cả các IDS dùng một trong ba phương pháp phát hiện: Dựa trên dấu hiệu (Signature-based) Dựa trên bất thường thống kê (Statistical anomaly-based) Kiểm tra gói tin mang trang thái (Stateful packet inspection) 97 Các hệ thống IDS 98 Network-Based IDPS (NIDPS) Được đặt trên máy tính hoặc thiết bị kết nối với một phân đoạn mạng của tổ chức; tìm kiếm các dấu hiệu tấn công Khi kiểm tra các gói tin, NIDPS tìm kiếm các mẫu tấn công Được cài đặt tại một điểm cụ thể trên mạng nơi mà nó có thể theo dõi lưu lượng đi vào và đi ra khỏi phân đoạn mạng. 99 So khớp dấu hiệu NIDPS Để phát hiện một cuộc tấn công, NIDPS tìm kiếm mẫu tấn công Việc này được thực hiện bằng cách sử dụng cài đặt đặc biệt của chồng giao thức TCP/IP: Trong quá trình chồng giao thức xác minh, NIDPS tìm kiếm các gói dữ liệu không hợp lệ Trong xác minh giao thức ứng dụng, các giao thức tầng trên được kiểm tra về hành vi gói tin không mong muốn hoặc sử dụng không đúng cách. 100 Ưu điểm và nhược điểm của NIDPS Thiết kế mạng lưới và vị trí của NIDPS tốt cho phép tổ chức chỉ dùng một vài thiết bị có thể giám sát được mạng lớn NIDPS thường thụ động và có thể được triển khai với mạng có sẵn mà không làm gián đoạn đến hoạt động bình thường của mạng NIDPS thường không dễ bị tấn công trực tiếp và có thể không bị kẻ tấn công phát hiện 101 Ưu điểm và nhược điểm của NIDPS (tiếp) Có thể trở nên quá tải bởi khối lượng mạng và không nhận dạng được các tấn công Yêu cầu truy cập vào tất cả các lưu lượng được theo dõi Không thể phân tích các gói dữ liệu được mã hóa Không thể tin cậy xác định xem cuộc tấn công có thành công hay không Một số dạng tấn công không dễ dàng phân biệt bởi các NIDPS, đặc biệt là các dạng liên quan đến các gói tin bị phân mảnh 102 Host-Based IDPS Host-based IDP (HIDPS) được đặt tại một máy tính hoặc server cụ thể và chỉ giám sát hoạt động trên hệ thống đó Đánh giá và theo dõi tình trạng của các tập tin hệ thống quan trọng và phát hiện kẻ xâm nhập khi chúng tạo, chỉnh sửa, hoặc xóa các tập tin Hầu hết các công việc của HIDPS dựa trên nguyên tắc về cấu hình hoặc thay đổi về quản lý Lợi thế hơn NIDPS: thường được cài đặt để có thể truy cập thông tin mã hóa đi qua mạng 103 Ưu điểm và nhược điểm của HIDPS Đặt ra vấn đề quản lý nhiều hơn Dễ bị tổn thương trong cả hai trường hợp tấn công trực tiếp và tấn công chống lại hệ điều hành của host Không phát hiện được quét đa host, cũng không quét được các thiết bị mạng không thuộc host Dễ bị tấn công từ chối dịch vụ (DoS) Có thể sử dụng một lượng lớn không gian đĩa Có thể gây ra vượt quá hiệu năng trên các hệ thống host. 104 IDPS dựa trên dấu hiệu (Signature-Based IDPS) Kiểm tra lưu lượng dữ liệu trong khi tìm kiếm các mẫu so khớp với dấu hiệu đã biết Được sử dụng rộng rãi vì nhiều cuộc tấn công có dấu hiệu rõ ràng và khác biệt Vấn đề với cách tiếp cận này là khi chiến lược tấn công mới được xác định, cơ sở dữ liệu về dấu hiệu của IDPS phải liên tục được cập nhật 105 IDPS dựa trên bất thường thống kê (Statistical Anomaly-Based IDPS) Các IDPS dựa trên bất thường thống kê hoặc IDPS dựa trên hành vi lấy mẫu các hoạt động mạng để so sánh với lưu lượng đã được biết là bình thường Khi hoạt động đo được khác các mức ngưỡng, thì IDP sẽ kích hoạt một cảnh báo IDP có thể phát hiện kiểu tấn công mới Yêu cầu khả năng xử lý lớn hơn nhiều so với IDPS dựa trên dấu hiệu Có thể thường xuyên gây ra cảnh báo nhầm (false positive) 106 IDPS phân tích giao thức trạng thái (Stateful Protocol Analysis IDPS) SP 800-94: Phân tích giao thức trạng thái (SPA) tiến hành so sánh hồ sơ xác định trước của các định nghĩa của các hoạt động ôn hòa cho mỗi trạng thái giao thức đối với sự kiện quan sát để xác định độ lệch Lưu và sử dụng dữ liệu có liên quan được phát hiện trong một phiên để xác định sự xâm nhập liên quan đến nhiều yêu cầu/đáp ứng; cho phép IDPS phát hiện tốt các tấn công đa phiên (multisession) cụ thể (kiểm tra gói tin sâu). Nhược điểm: phức tạp khi phân tích; xử lý lớn; có thể không phát hiện được trừ khi giao thức vi phạm hành vi cơ bản; có thể gây ra vấn đề với giao thức mà nó kiểm tra 107 Giám sát tệp nhật ký (Log File Monitors) Giám sát tệp nhật ký (Log file monitor – LFM) tương tự như NIDPS Xem xét các log file được tạo ra bởi các server, các thiết bị mạng, và thậm chí IDPS khác cho các mẫu và dấu hiệu Các mẫu nhận biết tấn công dễ dàng được xác định khi toàn bộ mạng và hệ thống được xem xét toàn diện Yêu cầu phân bổ các nguồn lực đáng kể vì nó sẽ liên quan đến việc tập hợp, di chuyển, lưu trữ và phân tích một khối lượng lớn dữ liệu log 108 Hành vi đáp ứng IDPS Khi IDPS phát hiện một tình trạng mạng bất thường, nó sẽ có một số tùy chọn Các đáp ứng IDPS có thể được phân thành loại chủ động hoặc bị động Đáp ứng chủ động: hành động được xác định ngay khi một loại cảnh báo nào đó được kích hoạt Các tùy chọn đáp ứng bị động chỉ đơn giản là báo cáo 109 Lựa chọn sản phẩm và cách tiếp cận IDPS Xem xét chính sách và kỹ thuật Môi trường hệ thống của bạn là gì? Mục đích và mục tiêu bảo mật của bạn là gì? Chính sách bảo mật hiện tại của bạn là gì? Yêu cầu của tổ chức và các ràng buộc: Yêu cầu được đánh từ bên ngoài tổ chức là gì? Ràng buộc về tài nguyên của tổ chức là gì? 110 Lựa chọn sản phẩm và loại IDPS (tiếp) Tính năng và chất lượng của IDPS Sản phẩm có đầy đủ khả năng mở rộng cho môi trường của bạn? Làm thế nào có sản phẩm đã được thử nghiệm? Mức người dùng về mục tiêu của sản phẩm là gì? Sản phẩm có được thiết kế để phát triển theo sự phát triển của tổ chức? Các quy định hỗ trợ cho sản phẩm là gì? 111 Điểm mạnh và hạn chế của IDPS IDPS thực hiện tốt các chức năng sau đây: Giám sát và phân tích các sự kiện hệ thống và hành vi người dùng Kiểm tra trạng thái an toàn về cấu hình hệ thống Tạo ra trạng thái an ninh cơ sở cho hệ thống và theo dõi những thay đổi Nhận ra được các mẫu sự kiện hệ thống để so khớp với các tấn công đã biết Nhận ra được các mẫu hoạt động thay đổi từ hoạt động bình thường Quản lý việc kiểm tra hệ điều hành và ghi lại (log) các kỹ thuật đã sử dụng và các dữ liệu đã được tạo ra 112 Điểm mạnh và hạn chế của IDPS (tiếp) IDPS thực hiện tốt các chức năng sau đây (tiếp): Cảnh báo cho nhân viên thích hợp khi các phát hiện được có tấn công Đo lường việc thực thi chính sách an toàn được mã hóa trong công cụ phân tích Cung cấp các chính sách an toàn thông tin mặc định Cho phép các chuyên gia không phải về an toàn có thể thực hiện các chức năng giám sát an toàn quan trọng 113 Điểm mạnh và hạn chế của IDPS (tiếp) IDPS không thể thực hiện các chức năng sau: Bồi thường cho các kỹ thuật bảo mật thiếu/yếu kém trong cơ sở hạ tầng bảo vệ Ngay lập tức phát hiện, báo cáo, ứng phó với tấn công khi có hiện tượng tải mạng nặng Phát hiện các cuộc tấn công mới hoặc các biến thể của các cuộc tấn công hiện tại 114 Điểm mạnh và hạn chế của IDPS (tiếp) IDPS không thể thực hiện các chức năng sau: Phản ứng hiệu quả với các cuộc tấn công từ những kẻ tấn công tinh vi Điều tra các cuộc tấn công không có sự can thiệp của con người Chống lại các cuộc tấn công có ý định cản trở hoặc phá vỡ chúng Bồi thường cho các vấn đề liên quan đến độ trung thực của các nguồn dữ liệu Đối phó hiệu quả với các mạng chuyển mạch 115 Các chiến lược điều khiển của IDPS Một IDPS có thể được cài đặt thông qua một trong ba chiến lược điều khiển cơ bản Tập trung: tất cả các chức năng điều khiển của IDPS được cài đặt và quản lý tại một vị trí trung tâm Phân phối đầy đủ: tất cả các chức năng điều khiển được áp dụng tại vị trí vật lý của mỗi thành phần IDPS Phân phối từng phần: kết hợp cả hai; trong khi các agent cá nhân vẫn có thể phân tích và phản ứng với các mối đe dọa cục bộ, thì chúng có thể báo cáo đến các cơ sở trung tâm phân cấp để cho phép tổ chức phát hiện ra các cuộc tấn công trên diện rộng 116 K iể m so át ID S tậ p tr u n g K iể m so át ID S h o àn to àn p h ân tá n K iể m so át ID S p h ân tá n m ộ t p h ần Triển khai IDPS Giống như các chiến lược kiểm soát quyết định liên quan, quyết định vị trí đặt các phần tử của hệ thống phát hiện xâm nhập là một nghệ thuật Khi xây dựng kế hoạch phải chọn chiến lược triển khai dựa trên việc phân tích kỹ lưỡng những yêu cầu bảo mật thông tin của tổ chức, đồng thời gây tác động tối thiểu tới tổ chức NIDPS và HIDPS có thể được sử dụng song song để bao phủ cả các hệ thống riêng được kết nối tới mạng của tổ chức và cả hệ thống mạng 120 Triển khai Network-Based IDPSs NIST khuyến nghị 4 vị trí cho các cảm biến NIDPS Vị trí 1: Đằng sau mỗi tường lửa ngoài, trong DMZ mạng Vị trí 2: Bên ngoài một tường lửa ngoài Vị trí 3: Trên mạng xương sống chính Vị trí 4: Trên các mạng con quan trọng 121 Các vị trí đặt sensor của IDS mạng 122 Triển khai Host-Based IDPS Cài đặt đúng các HIDPS là một công việc vất vả và tốn nhiều thời gian Trước tiên, bắt đầu với việc cài đặt các hệ thống quan trọng nhất Tiếp tục cài đặt cho đến khi tất cả các hệ thống được cài đặt hoàn toàn, hoặc tổ chức đạt được mức kế hoạch đủ bảo đảm hệ thống sẵn sàng 123 Đo lường hiệu quả của IDPS IDPS được đánh giá bằng cách sử dụng bốn số liệu chi phối: ngưỡng, danh sách đen và danh sách cho phép, các thiết lập cảnh báo, và xem và sửa mã Đánh giá IDPS: vd mức có thể đọc 100 Mb/s, hay IDS đã có thể phát hiện 97% các cuộc tấn công trực tiếp Phát triển tập này có thể khá tẻ nhạt, nhưng hầu hết các nhà cung cấp IDPS đều cung cấp kỹ thuật kiểm tra xác minh rằng hệ thống được thực hiện như mong đợi 124 Đo lường hiệu quả của IDPS (tiếp) Một vài trong số các tiến trình thử nghiệm này sẽ cho phép các quản trị viên: Ghi và truyền lại các gói tin từ một tiến trình quét virus/sâu thật sự Ghi và truyền lại các gói tin từ một tiến trình quét virus/sâu thật sự với phiên kết nối TCP/IP không đầy đủ (thiếu các gói SYN) Quét virus/sâu để có được một hệ thống không có điểm yếu 125 5. Honeypot, Honeynet và hệ thống Padded Cell 5. Honey Pot, Honey Net và hệ thống Padded Cell 1. Honey pot, Honey net và hệ thống Padded cell 2. Các hệ thống bẫy và tìm vết 3. Ngăn chặn xâm nhập tích cực 127 5.1. Honey Pot, Honey Net và hệ thống Padded Cell Honey pot: hệ thống mồi được thiết kế để thu hút những kẻ tấn công tiềm năng tránh xa các hệ thống quan trọng và khuyến khích các cuộc tấn công chống lại chính mình Honey net: tập các honey pot, kết nối một số hệ thống honey pot trên một subnet Honey pot được thiết kế để: Chuyển hướng kẻ tấn công truy cập vào hệ thống quan trọng Thu thập thông tin về hoạt động của kẻ tấn công Khuyến khích kẻ tấn công ở lại trên hệ thống đủ dài để các quản trị viên ghi lại sự kiện, và có thể đáp trả 128 Bộ công cụ mồi 129 Honey Pot, Honey Net và hệ thống Padded Cell (tiếp) Tế bào đệm (Padded Cell): honey pot đã được bảo vệ vì vậy nó không thể dễ dàng bị xâm nhập Ngoài việc thu hút những kẻ tấn công với các dữ liệu hấp dẫn, một tế bào đệm còn hoạt động song song với một IDS truyền thống Khi IDS phát hiện được kẻ tấn công, nó sẽ chuyển chúng vào một môi trường mô phỏng đặc biệt, nơi có thể không gây hại 130 Honey Pot, Honey Net và hệ thống Padded Cell (tiếp) Ưu điểm Kẻ tấn công có thể được chuyển hướng đến mục tiêu mà chúng không thể phá hủy Các quản trị viên có thời gian để quyết định xem đối phó với kẻ tấn công như thế nào Những hành động của kẻ tấn công có thể được theo dõi một cách dễ dàng và rộng rãi hơn, và các bản ghi có thể được sử dụng để tinh chỉnh các mẫu nguy cơ và cải thiện các biện pháp bảo vệ hệ thống Honey pot có thể hiệu quả trong việc bắt những người từ bên trong đang rình mò xung quanh mạng 131 Honey Pot, Honey Net và hệ thống Padded Cell (tiếp) Nhược điểm: Ý nghĩa pháp lý của việc sử dụng các thiết bị này không được xác định rõ Honey pot và các tế bào đệm vẫn chưa được chứng minh là có công nghệ bảo mật hữu ích chung Kẻ tấn công chuyên nghiệp, khi đã bị chuyển hướng vào trong một hệ thống mồi, có thể trở nên tức giận và sẽ khởi động một cuộc tấn công thù địch hơn chống lại các hệ thống hệ thống của một tổ chức Quản trị viên và các nhà quản lý bảo mật sẽ cần đạt được mức độ chuyên môn cao để sử dụng các hệ thống này. 132 5.2. Các hệ thống bẫy và tìm vết Sử dụng kết hợp các kỹ thuật phát hiện xâm nhập và tìm dấu vết nó quay về nguồn Bẫy (trap) thường bao gồm honey pot hoặc tế bào đệm và báo động Hạn chế pháp lý với bẫy và tìm vết Dụ dỗ: quá trình thu hút sự chú ý đến hệ thống bằng cách đặt bit thông tin trêu ngươi tại các địa điểm quan trọng Bẫy : hành động thu hút một cá nhân thực hiện hành vị phạm pháp Dụ dỗ là hợp pháp và có đạo đức, trong khi đó bẫy thì không. 133 5.3. Phòng ngừa xâm nhập chủ động Một số tổ chức cài đặt các biện pháp đối phó tích cực để ngăn chặn các cuộc tấn công Một công cụ (LaBrea) chiếm không gian địa chỉ IP không sử dụng để giả vờ là một máy tính và cho phép kẻ tấn công hoàn thành một yêu cầu kết nối, nhưng sau đó giữ kết nối mở. 134
File đính kèm:
- an_ninh_mang_may_tinh_chuong_4_cac_ky_thuat_va_cong_nghe_dam.pdf