Get Started. It's Free
or sign up with your email address
An Toàn Mạng by Mind Map: An Toàn Mạng

1. Tấn công DOS

1.1. Nguyên lý tấn công DOS tầng DataLink

1.1.1. Nguyên lý

1.1.1.1. • Lợi dụng giơi hạn kịch thước frame tối đa của tâng DataLink, kẻ tấn công gửi các gói tin (IP) có kích thước lớn hơn giới hạn của frame (bao gồm cả header là 65536 byte). • Lợi dụng quá trình phân đoạn gói tin IP thành nhiều gói nhỏ trước khi máy tính người nhận ghép các đoạn IP này lại. Khi hoàn chỉnh gói IP, khích thước của nó quá lớn khiến tràn bộ đệm, bộ nhớ phân bổ cho gói-> Gây ra DOS.

1.1.2. Kịch bản tấn công

1.1.2.1. Một cuộc tấn công Ping Of Death: Attacker gửi nhiều gói tin IP không đúng định dạng hoặc độc hại đến một máy chủ mục tiêu. Lớp DataLink thường đặt giới hạn cho kích thước khung tối đa VD 1500byte qua mạng Ethernet. Trong POD sau khi thao túng nội dung IP đọc hại, máy phía nạn nhân nhận được gói IP có kích thước lớn hơn 65536 byte khi được ghép lại.

1.1.3. Biện pháp giảm thiểu

1.1.3.1. Chặn Ping ICMP

1.1.3.1.1. • Ưu: Dễ thực hiện có thể kết nối với FireWall để đảm bảo an toàn cao.

1.1.3.1.2. • Nhược: Vô tình chặn các port vẫn đan cần sử dụng VD Port FTP để truyền file. Chặn ping sẽ chặn cả các yêu cầu ping hợp lệ từ các ứng dụng web hợp pháp.

1.1.3.2. Chặn phân đoạn gói IP

1.1.3.2.1. Ưu: Cho phép lưu lượng ping thực tế đi qua không bị cản trở.

1.1.3.2.2. Nhược: Khó triển khai và không an toàn bằng Chặn Ping ICMP

1.1.3.3. Sử dụng các dịch vụ bảo vệ DDoS

1.1.3.3.1. Xác định và lọc thông minh và lọc ra tất cả các gói lớn bất thường, ngay cả khi chúng bị phân mảnh, loại bỏ mối đe dọa của PoD và các cuộc tấn công dựa trên gói tương tự hoàn toàn.

1.1.3.3.2. Nhược Chi phí sử dụng cao, cần bảo trì, không thích hợp với hệ thống nhỏ

1.2. Ngyên lý tấn công Dos tầng Transport

1.2.1. Tầng vận tải chịu trách nhiệm chuyển toàn bộ bản tin từ nơi gửi đến nơi nhận một cách toàn vẹn. Nói cách khác, tầng vận tải đảm bảo liên kết giữa các tiến trình trên các máy tính khác nhau trên môi trường mạng

1.2.2. Nguyên lý

1.2.2.1. Lợi dụng lỗ hổng trong các giao thức TCP/UDP bằng cách giả mạo địa chỉ IP, giả mạo các gói tin TCP/UDP để làm cạn kiệt tài nguyên, băng thông, bộ nhớ phía máy chủ mục tiêu, khiến máy chủ mục tiêu không đủ tài nguyên để phục vụ cho người dùng

1.2.3. Kịch bản Attack

1.2.3.1. TCP SYN Flood

1.2.3.1.1. Do giao thức TCP sử dụng các khối TCB (Tranmission control block) là cấu trúc dữ liệu của giao thức vận chuyển chứa toàn bộ thông tin của kết nối. Dung lượng tối thiểu của 1 TCB là 280bytes, trong 1 số hệ thống hiện nay con số này còn lên tới 1,300 bytes. Với việc phải chờ đợi các client dẫn đến không gian lưu trữ TCB dần dần cạn kiệt và không thể phục vụ những client hợp lệ khác.

1.2.3.1.2. Quy trình (3 bước)

1.2.3.2. UDP Flood

1.2.3.2.1. Tấn công UDP bằng cách khái thác các bước mà server thực hiện khi nó phản hồi packet UDP được gửi đến một trong số các port của Client. Trong điều kiện bình thường server nhận packet UDP tại 1 port cụ thể,

1.2.3.2.2. Gồm 2 bươc

1.3. Nguyên Lý tấn công Dos tầng Application

1.3.1. Nguyên lý

1.3.1.1. Kiểu tấn công này nhằm làm cạn kiệt tài nguyên CPU, Ram của các máy chủ lưu trữ ứng dụng web trên đó. Bằng cách mô phỏng (tạo dựng các yêu cấu giả mạo) cho đến khi Appweb không còn đủ tài nguyên để xử lý các yêu cầu của người dùng.

1.3.2. HTTP flood là một kiểu tấn công từ chối dịch vụ tầng Application

1.3.2.1. Kẻ tấn công thao túng các yêu cầu WebServer hoặc AppWeb bằng cách sử dụng các máy tính kết nối với nhau đã được cấu hình trước với sự hỗ trợ của các phần mềm độc hại như trojan.

1.3.2.2. HTTP GET Flood

1.3.2.2.1. Yêu cầu GET được sử dụng để truy xuất nội dung tĩnh như hình ảnh. Thông thường, điều này gây ra tải tương đối thấp trên máy chủ cho mỗi yêu cầu.

1.3.2.3. HTTP POST Flool

1.3.2.3.1. Các yêu cầu POST có nhiều khả năng yêu cầu máy chủ thực hiện một số loại xử lý, chẳng hạn như tìm kiếm các mục trong cơ sở dữ liệu. Do đó, các cuộc tấn công lũ HTTP POST thường áp đặt tải cao hơn cho máy chủ theo yêu cầu.

1.3.2.4. HTTP HEAD Flood

1.3.2.4.1. Thay đổi cấu trúc HTTP Header bằng cách lợi dụng việc giao thức HTTP định nghĩa một dòng trống là hoàn thành một tiêu đề. Một cuộc tấn công DoS HTTP Header tận dụng lợi thế này bằng cách không bao giờ gửi một dòng trống hoàn thành để hoàn thành tiêu đề HTTP.

1.3.2.5. HTTP Connection Food

1.3.2.5.1. Cố chiếm tất cả các kết nối TCP có thể có trên máy chủ. Bằng cách làm ngập máy chủ với các yêu cầu cho các kết nối mới, nó ngăn chặn các yêu cầu hợp pháp được thiết lập và phục vụ.

2. Các kỹ thuật do thám và rà quét

2.1. Do thám DNS

2.1.1. Khái niệm

2.1.1.1. Do thám DNS là quá trình xác định các máy chủ DNS có thẩm quyền, đó là các nguồn hoặc bản ghi DNS để tra cứu tên miền hoặc IP. Đầu tiên, các máy chủ DNS chính sẽ được liệt kê, tiếp theo sẽ là các máy chủ DNS phụ.

2.1.1.2. Do thám DNS là một quá trình tuần hoàn. Kẻ tấn công thực hiện việc đánh dấu DNS để liệt kê chi tiết bản ghi DNS và loại máy chủ. Có nhiều bản ghi DNS cung cấp thông tin quan trọng liên quan đến vị trí mục tiêu như: A / AAAA, SVR, NS, TXT, MX…

2.2. Do thám mạng

2.2.1. Khái niệm

2.2.1.1. Là hình thức tấn công nhằm thu thập các thông tin về hệ thống mục tiêu, từ đó phát hiện ra các điểm yếu. Tấn công do thám thường để làm bàn đạp cho cuộc tấn công truy cập hoặc tấn công từ chối dịch vụ về sau.

2.2.2. Quy trình

2.2.2.1. Sử dụng Ping Sweep để kiểm tra các địa chỉ IP đang hoạt động

2.2.2.2. Kiểm tra dịch vụ đang chạy, các port đang mở

2.2.2.3. Gửi truy vấn tới các port mở để thu thập thông tin phần mềm HĐH đang sử dụng.

2.2.2.4. Khai thác lỗ hổng trên HĐH và App

2.2.3. Công cụ sử dụng

2.2.3.1. - Truy vấn thông tin Internet - Ping sweep - Port Scan - Packet sniffer

2.3. Rà quét mạng

2.3.1. Khái niệm

2.3.1.1. Là bước đầu tiên của quán trình tấn công và hệ thống mạng gọi là Scanning để kiểm tra các cổng mở và các dịch vụ mà AppWeb mục tiêu đang sử dụng và thu thập các thông tin cần thiết cho việc tấn công hoặc phòng thủ.

2.3.2. Phân loại

2.3.2.1. Port Scanning

2.3.2.1.1. Gửi các thông điệp đến mục tiêu vào các cổng để xác định cổng mở. Thông qua các cổng này Attaker sẽ biết được có dịch vụ nào đang chạy. Tool điển hình Nmap

2.3.2.2. Vulnerabitity

2.3.2.2.1. Quá trình quét lỗi nhằm xác định các lỗ hổng bảo mật hay các điểm yếu (điểm nhạy cảm) của các AppWeb, máy chủ hay máy trạm để triển khai phương án tấn công thích hợp.

2.3.2.2.2. • Có thể xác định được các bản cập nhật bị thiếu • Phát hiện lỗi hệ thống chưa được vá.

2.3.2.3. Network Scanning

2.3.2.3.1. Xác định các máy đang hoạt động trên hệ thống mạng, thường được hackers, chuyên gia bảo mật hay quản trị thực hiện.

2.3.3. Quy trình

2.3.3.1. Kiểm tra hệ thống đang hoạt động

2.3.3.1.1. ICMP Scanning

2.3.3.1.2. Ping Sweep

2.3.3.2. Khám phá những port mở

2.3.3.3. Quét IDS ở tầm xa hơn

2.3.3.3.1. Quét các hệ thống phát hiện xâm nhập ở tầm xa hơn

2.3.3.4. Nắm bắt Banner

2.3.3.4.1. Nắm bắt, quét các biểu ngữ

2.3.3.5. Quét điểm yếu

2.3.3.6. Biểu đồ mạng

2.3.3.7. Proxies

2.3.3.7.1. Xây dựng, thu thập danh sách proxy cần thiết.

2.3.4. Môt số phần mềm

2.3.4.1. Brup suit

2.3.4.2. APPTrana

2.3.4.3. Vega

2.3.4.4. Netsparker

3. Tấn Công Vượt tường lửa mà không bị phát hiện

3.1. Tường lửa là tuyến phòng thủ đầu tiên giữa mạng nội bộ và các mạng không tin cậy như Internet.

3.2. Phương pháp tạo đường hầm (tuneling).

3.2.1. Loki ICMP tunneling

3.2.1.1. Loki là một công cụ được thiết kế để chạy một phiên tương tác được ẩn trong lưu lượng ICMP.

3.2.1.2. Phần payload là bất kỳ và không bị kiểm tra bởi hầu hết tường lửa, do đó bất kỳ dữ liệu có thể chèn vào trog phần payload của gói tin ICMP, bao gồm cả ứng dụng backdoor.

3.2.1.3. Giả sử ICMP được cho phép thông qua một Firewall, sử dụng Loki ICMP tunneling để thực hiện các lệnh tùy ý bằng cách chèn chúng ngầm bên trong các payload của các gói tin ICMP echo

3.2.2. ACK tunneling

3.2.2.1. Cho phép ứng dụng chạy ngầm backdoor với các gói tin TCP với các thiết lập bit ACK

3.2.2.2. ACK bit được sử dụng để xác nhận đã nhận một gói tin

3.2.2.3. Môt số tường lửa không kiểm tra các gói dữ liệu với các bit ACK vì bít ACK thường được sử dụng để phản hồi với các traffic hợp pháp đã được cho phép thông qua

3.2.3. HTTP Tunneling

3.2.3.1. Phương pháp này có thể được thực hiện nếu mục tiêu chung có một máy chủ web public với cổng 80 được sủ dụng cho giao tiếp HTTP, không được lọc trên tường lửa của nó

3.2.3.2. Tường lửa không xem xét payload của một gói tin HTTP để xác nhận rằng nó hợp pháp do đó nó có thể trao đổi lưu lượng tennel bên trong TCP cổng 80 vì nó đã được cho phép

3.2.4. SSH Tunneling

3.2.4.1. Sử dụng dịch vụ SSH để tạo ra một SSH Tunneling

3.2.4.2. TCP Port 22 của dịch vụ SSH có chức năng mã hóa phiên truyền thường được các firewall ưu ái cho qua

3.3. Dùng web proxy để vượt tường lửa

3.3.1. OpenDNS

3.3.2. VPN

3.4. Sử dụng các công cụ hỗ trợ vượt tường lửa

3.4.1. Dự án The Onion Router (TOR)

3.4.2. UltraSurf

3.4.3. FreeGate

4. Lỗ hổng DNS và phòng chống

4.1. Nguy cơ, lỗ hổng chủ yếu

4.1.1. DNS spofing (DNS cache poisoning)

4.1.1.1. Tấn công giả mạo DNS hay còn gọi là ngộ độc bộ đệm DNS. Là hành động nhập sai thông tin vào bộ đệm DNS để các DNS phản hồi không chính xác khiến user truy cập vào trang web sai. Lưu lượng truy cập mạng bị thay đổi cho đến khi thông tin trong Cache được sửa lại hoặc timeout.

4.1.2. DNS Amplification Attack

4.1.2.1. Phương pháp tấn công từ chối dịch vụ thuộc lớp relection Attack.

4.1.2.1.1. Địa chỉ tấn công được dấu nhờ ánh xạ sang bên thứ 3 (reflection)

4.1.2.1.2. Traffic (lưu lượng truy cập) mà victim nhận được lớn hơn traffic mà Hacker gửi (Amplification).

4.1.2.2. Biện pháp phòng chống

4.1.2.2.1. Inbound Security: Máy chủ DNS xử lý các yêu cầu nhận được và không gửi đến các điểm cuối nào khác. Phải có một yêu cầu DNS phù hợp cho mọi phản hồi nhận được, nếu không lưu lượng sẽ bị chặn.

4.1.2.2.2. Outbound Security: Sử dụng máy chủ DNS nội bộ được cấu hình để xử lý các yêu cầu nội bộ.

4.1.3. Directly Spoof Response User

4.1.3.1. Thay đổi quá trình truy vấn DNS của nạn nhân bằng cách đánh hơi yêu cầu (gửi DNS xin địa chỉ IP) của người dùng đến máy chủ DNS. Attacker giả mạo một DNS response và gửi về cho nạn nhân.

4.2. Phòng chống tấn công DNS chung

4.2.1. Thông thường thì rất khó để người dùng có thể nhận biết được máy tính cá nhân của mình đang bị tấn công thông qua hệ thống DNS.

4.2.1.1. • Đơn giản nhất chúng ta có thể kiểm tra địa chỉ DNS server trên máy tính của mình, kiểm tra nội dung file host (Hệ điều hành windows).

4.2.1.2. • Chú ý sự thay đổi bất thường về giao diện, nội dung của các website thông thường.

4.2.2. Phòng tránh chủ yếu

4.2.2.1. • Cần thiết lập địa chỉ DNS server trỏ về các DNS server tin cậy, • Thường xuyên kiểm tra các thông số cấu hình DNS, • Cài đặt các phần mềm antivirus để bảo vệ máy tính và truy cập tốt hơn.

5. Lỗ hổng TCP/UDP và phòng chống

5.1. Lỗ hổng UDP

5.1.1. UDP port 53

5.1.1.1. Giả mạo DNS (DNS cache poisoning

5.1.1.2. Tấn công Remote thông qua UDP 53

5.1.1.3. Tấn công vượt tường lửa qua DNS

5.1.2. UDP Flood Attack

5.1.2.1. Dos

5.1.2.1.1. Hacker sẽ tạo ra một lượng rất lớn các truy cập đến máy tính mục tiêu, khiến nó không kịp xử lý kịp các tác vụ cần kíp, từ đó dẫn đến quá tải và ngừng hoạt động.

5.1.2.2. DDos

5.1.2.2.1. Attacker sử dụng băng thông và sự tin cậy tương đối của các máy chủ lớn cung cấp dịch vụ UDP cho nạn nhân gây ngập bởi các lưu lượng không mong muốn

5.1.2.3. Nguyên lý

5.1.2.3.1. Một cuộc tấn công UDP flood có thể bắt đầu bằng việc gửi một lượng các gói tin UDP đến các cổng ngẫu nhiên đền một máy chủ từ xa. Khiến hệ thống Server phải gửi liên tục và một lượng lớn các gói ICMP khiến client khác không thể truy cập được.

5.1.2.3.2. Gây “ngập lụt” đối tượng bằng các gói UDP và ICMP

5.1.3. Phòng chống

5.1.3.1. Sử dụng hệ thống Firewall có khả năng xử lý lớn và lọc chặn hiêu quả.

5.1.3.2. Chặn hoặc giới hạn số lượng UDP để ưu tiên tài nguyên cho các dịch vụ khác.

5.2. Lỗ hổng TCP (6)

5.2.1. TCP SYN Flood

5.2.1.1. Tấn công trực tiếp vào máy chủ tạo ra một lượng lớn kết nối TCP nhưng không hoàn thành những kết nối này.Sử dụng cơ chế bắt tay 3 bước trong thiết lập kết nối giữa 2 thực thể TCP.

5.2.2. IP Spoofing

5.2.2.1. Tạo ra các gói TCP/IP với địa chỉ IP giả để che dấu danh tính hoặc giả mạo danh tính IP thực.

5.2.2.1.1. DOS

5.2.2.1.2. DOS-DRDOS

5.2.2.1.3. Man in the middle

5.2.2.1.4. Tấn công môi trường xác thực bằng địa chỉ IP

5.2.2.2. Phòng chống:

5.2.2.2.1. • Mật mã xác thực: Chống Man in the Middle • Dùng danh sách kiểm tra truy cập (ALC): Loại bỏ traflic từ bên ngoài mà được đóng gói trong mạng cục bộ khi bị Dos Attack. • Bộ lọc gói dữ liệu: Ngăn chặn gói tin không phù hợp, không đáp ứng chính sách bảo mật. • Sử dụng lớp trên: kết hợp phòng vệ tầng trên để ngăn chặn IP giả mạo.

5.2.3. Connection Hacking

5.2.3.1. Lợi dụng quá trình xác thực giữa User và Server tại giai đoạn đầu kết nối bằng cách giả mạo IP server (168.12.25.1) để gửi một thiết lập lại cho user và sau đó tiếp tục giả mạo IP user(156.12.25.4) để làm việc với Server.

5.2.4. Routing Infomation Protocol Attack

5.2.4.1. Hacker có thể giả mạo 1 bản tin RIP, ví dụ xác định máy X có tuyến ngắn nhất ra ngoài mạng. Như vậy, mọi gói tin gửi ra từ mạng này sẽ được định tuyến qua X và máy X có thể kiểm soát, sửa đổi gói tin.

5.2.4.2. RIP sử dụng trong bộ định tuyến TCP/IP để định tuyến các gói dựa trên số chặng(hop). Trước khi quyết định định tuyến, RIP đếm sô bước nhảy trên mọi hướng để chọn đường tới đích với số bước ngắn nhất. Giá trị đếm Maxhop =15, nếu lớn hơn 15 thì coi là vô hạn (Cơ chế tránh gói tin rời vào vòng lặp).

5.2.5. ICMP Packets Flood Attack

5.2.5.1. ICMP hực hiện truyền các thông báo điều khiển (báo cáo về tình trạng lỗi trên mạng ...) giữa các gateway hay các trạm của liên mạng.

5.2.5.2. Các bước Attack

5.2.5.2.1. Hacker giả mạo IP nạn nhân và gửi các gói ICMP với địa chỉ đích là dạng broadcast của một mạng nào đó. Sau đó tất cả các host trong mạng 10.0.0.x đều nhận được một gói ICMP từ host của nạn nhân.

5.2.5.2.2. All các host trong mạng broadcast 10.0.0.x đều gửi về máy nạn nhân một gói ICMP echo receive -> khiến băng thông tới host nạn nhân bị ngập -> nạn nhân không thể giao dịch vs các host khác.

5.2.5.3. Phòng chống

5.2.5.3.1. • Firewall cứng: kích hoạt cơ chế ICMP Flooding Protection • Firewall mềm như linux: cấu hình các luật phù hợp,… • Trên windows: Chặn all gói ping bằng lệnh: # netsh firewall set icmpsetting type all mode disable

5.2.6. DNS Spoofing (DNS Cache Poisoning)

6. Vấn đề phòng, phòng chống và giải pháp

6.1. Các yêu cầu đảm bảo ATM

6.1.1. Bí mật

6.1.1.1. Tránh lộ thông tin đến những đối tượng không được xác thực hoặc để lọt vào các hệ thống khác.

6.1.1.2. Là vấn đề quan tâm đầu tiên trong an ninh mạng và thường xuyên bị tấn công nhất. Vì thế, tính bí mật rất cần thiết (nhưng chưa đủ) để duy trì sự riêng tư của người có thông tin, dữ liệu được hệ thống lưu giữ.

6.1.2. Toàn vẹn

6.1.2.1. Phát hiện và ngăn ngừa việc sửa đổi trái phép về dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của thông tin, dữ liệu và hệ thống.

6.1.2.2. • Ngăn cản việc làm biến dạng nội dung thông tin, dữ liệu từ phía user trái phép • Ngăn cản việc làm biến dạng nội dung thông tin không được phép hoặc không chủ tâm từ phía user có thẩm quyền. • Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài.

6.1.3. Sãn dùng

6.1.3.1. Đảm bảo người dùng hợp pháp sử dụng tài nguyên thông tin mạng mọi lúc mọi nơi

6.1.3.2. Đảm bảo độ ổn định đáng tin cậy của thông tin

6.1.3.3. Tránh được những rủi ro cả về phần cứng, phần mềm như: Sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống và tránh được các cuộc tấn công DOS.

6.2. Các giải pháp phòng ngừa và ngăn chạn tấn công mạng chủ yếu

6.2.1. Để phòng chống tấn công mạng, người dùng cần thực hiện nhiều biện pháp phòng thủ, bảo vệ, đồng thời nâng cao hiểu biết về cách sử dụng internet an toàn. Những phương pháp chống lại tấn công mạng được tổng hợp dưới đây:

6.2.1.1. • Sử dụng một phần mềm diệt virus/malware uy tín. • Bảo vệ các mật khẩu của mình bằng cách sử dụng xác thực 2 bước khi đăng nhập; đặt mật khẩu khó (bao gồm chữ in hoa, số và ký tự đặc biệt) • Không nên sử dụng các thiết bị ngoại vi không rõ nguồn gốc (USB, ổ đĩa cứng, đĩa CD). Nếu bắt buộc phải sử dụng, hãy quét virus trước. • Không nên click vào link lạ, trang web đáng ngờ, không tải file đính kèm không rõ nguồn gốc. • Nâng cấp, cập nhật các phần mềm, hệ điều hành, công cụ thường xuyên. • Đối với doanh nghiệp, cần xây dựng một chiến lược tổng thể để phòng chống những cuộc tấn công mạng phức tạp có thể xảy ra.

6.3. Mô hình phòng thủ trong ATM

6.3.1. Phòng thủ theo chiều sâu

6.3.1.1. Data

6.3.1.1.1. An toàn dữ liệu

6.3.1.2. Application

6.3.1.2.1. Bảo mật ứng dụng

6.3.1.2.2. Cơ chế truy xuất dữ liệu

6.3.1.3. Host

6.3.1.3.1. Bảo mật host

6.3.1.4. Internal

6.3.1.4.1. Quan tâm đến Nhứng mối đe dọa và giải pháp hạn chế tấn công

6.3.1.5. Perimeter

6.3.1.5.1. UTM: Unified Threat Management

6.3.1.6. Physical

6.3.1.6.1. Quản lý, bảo hành hỗ trọ các thiết bị phần cứng và đảm bảo giấy tờ xác minh hợp chuẩn

6.3.1.7. Security Policy

6.3.1.7.1. An toàn về chính sách và bảo mật

6.3.2. Lollipop

6.3.2.1. Hình thức phòng thủ phổ biến nhất, được gọi là an ninh vành đai, liên quan đến việc xây dựng một bức tường xung quanh đối tượng có giá trị.

6.3.2.2. Nhược điểm: • Một khi kẻ tấn công xâm nhập vào bên trong sẽ không có biện pháp phòng thủ nào khác • Không cung cấp các mức độ bảo mật khác nhau phù hợp với từng tài sản, tức là bảo vệ mọi thứ như nhau. • Không bảo vệ chống lại cuộc tấn công bên trong. • Tường lửa là một phần quan trọng của chiến lược an ninh mạng gắn kết, nhưng chỉ mình chúng là không đủ.

6.3.3. Phong thủ Onion

6.3.3.1. Mô hình Onion giải quyết những sự cố khi kẻ tấn công vượt qua tường lừa hoặc những người đáng tin cậy trong tổ chức bỏ qua đặc quyền của họ. Kiến trúc bảo mật phân lớp này cung cấp nhiều mức độ bảo vệ chống lại các mối đe dọa bên trong( điều mà tường lửa không làm được) và bên ngoài.

6.3.3.2. Mô hình phòng thủ này được triển khai trong nhiều trường hợp và không dựa vào một lớp bảo vệ.

6.3.3.3. Mô hình bảo mật này có thể được thiết kế theo nhiều cách:

6.3.3.3.1. • Phân đoạn mạng dựa trên quyền truy cập và nhu cầu của mỗi người.

6.3.3.3.2. • Xác định những vùng đáng tin cậy để phân vùng tải sản.

6.3.3.3.3. • Bảo vệ ở nhiều cấp độ khác nhau:

7. Trịnh Tuấn Cường