Đồ án tốt nghiệp đề tài nghiên cứu và xây dựng hệ thống giám sát an toàn thông tin dựa trên snort

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (10.02 MB, 80 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

<b>ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINHTRƯỜNG ĐẠI HỌC CƠNG NGHỆ THƠNG TIN</b>

<b>ĐỒ ÁN TỐT NGHIỆPĐỀ TÀI</b>

<b>NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG GIÁM SÁT AN TỒNTHƠNG TIN DỰA TRÊN SNORT</b>

<b>Giảng viên hướng dẫn:Nhóm sinh viên thực hiện:</b>

<b>Tên sinh viênMã sinh viên</b>

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<b>ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINHTRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN</b>

<b>ĐỒ ÁN TỐT NGHIỆPĐỀ TÀI</b>

<b>NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG GIÁM SÁT AN TỒNTHƠNG TIN DỰA TRÊN SNORT</b>

<b>Giảng viên hướng dẫn:Nhóm sinh viên thực hiện:</b>

<b>Tên sinh viênMã sinh viên</b>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

Hội đồng chấm khóa luận tốt nghiệp, thành lập theo Quyết định số ……… ngày ……….. của Hiệu trưởng Trường Đại học Công

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b>Chương 1. GIỚI THIỆU TỔNG QUAN VỀ ĐỀ TÀI...9</b>

1.1.1. Khái quát về an ninh mạng...9

1.1.2. Những vấn đề đảm bảo an ninh và an toàn mạng...10

1.1.3. Các thành phần cơ bản...11

<b>1.2. Giới thiệu các giải pháp cơ bản...11</b>

<b>1.3. Giới thiệu các giải pháp cơ bản...11</b>

<b>Chương 2. CƠ SỞ LÝ LUẬN...13</b>

<b>2.1. Các nguyên tắc nền tảng của an ninh mạng...13</b>

2.1.1. Tính bí mật...14

2.1.2. Tính tồn vẹn...14

2.1.3. Tính sẵn sàng...15

2.2.1. Hacking và khái niệm hacker...15

2.2.2. Phân loại hacker...16

2.2.3. Các nguy cơ mất an ninh mạng...17

2.2.4. Các giai đoạn tấn công...17

2.2.5. Các kiểu tấn công...18

2.3.1. Công nghệ tường lửa (Firewall)...28

2.3.2. Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS...29

2.3.3. Công nghệ mạng LAN ảo (VLAN)...34

2.3.4. Nghiên cứu mạng riêng ảo (VPN)...37

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

<b>2.4. Yếu tố con người...38</b>

2.6.3. Các yêu cầu đối với hệ thống Snort...42

<b>2.7. Kiến trúc của Snort...42</b>

2.7.1. Modun giải mã gói tin...43

2.7.2. Modun tiền xử lý...44

2.7.3. Modun phát hiện...45

2.7.4. Modun log và cảnh báo...46

2.7.5. Modun kết xuất thông tin...46

<b>2.8. Bộ luật của Snort</b>...<b>47</b>

2.8.1. Giới thiệu...47

2.8.2. Cấu trúc luật của Snort...47

2.8.3. Phần tiêu đề (Header)...48

2.8.4. Các tùy chọn (Option)...53

<b>2.9. Chế độ ngăn chặn của Snort: Snort-Inline...58</b>

2.9.1. Tích hợp khả năng ngăn chặn vào Snort...58

2.9.2. Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode. .59 <b>2.10. Kết luận chương 2...59</b>

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

<b>Chương 3. Triển khai và cài đặt hệ thống giám sát an toàn thông tin dựa trên Snort.60</b>

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

Hình 2.1: Mơ hình bộ ba CIA...10

Hình 2.2: Tấn cơng Man in The Middle...19

Hình 2.3: Giả mạo ARP...21

Hình 2.12: VLAN từ đầu cuối – đến – đầu cuối...36

Hình 2.13: Sơ đồ thực tế cài đặt IDS vào hệ thống mạng...39

Hình 2.14: Sơ đồ logic cài đặt IDS...40

Hình 2.15: Mơ hình kiến trúc hệ thống Snort...42

Hình 2.16: Xử lý một gói tin Ethernet...44

Hình 2.17: Cấu trúc luật của Snort...47

Hình 2.18: Header luật của Snort...48

Hình 3.1: Mơ hình triển khai thực nghiệm...60

Hình 3.2: Cài đặt và update một số gói cần thiết...60

Hình 3.3: Cài đặt Libpcap...61

Hình 3.4: Cài đặt DAQ...62

Hình 3.4a: Cài đặt LuaJIT...64

Hình 3.5: Cài đặt Snort...65

Hình 3.6: Snort đã được cài đặt thành cơng...65

Hình 3.7: Snort thực hiện chạy thành cơng...67

Hình 3.8: Thực hiện lệnh tấn cơng từ máy Kali...69

Hình 3.9: Máy client trước khi bị tấn cơng...69

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

Hình 3.10: Máy client sau khi bị tấn cơng...70 Hình 3.11: Thực hiện câu lệnh giám sát trên Snort...70 Hình 3.12: Thu được kết quả sau khi sử dụng Snort...71

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

Bảng 2.1: Các cờ sử dụng với từ khóa flags...57

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<b>AAA</b> Authentication, Authorization, Accounting

<b>CIS</b> Center for Internet Security

<b>HTTPS</b> Hypertext Transfer Protocol Secure

<b>IaaS</b> Infrastructure as a Service

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

Cùng với sự phát triển của công nghệ thông tin, sự đầu tư cho hạ tầng mạng trong mỗi doanh nghiệp ngày càng tăng cao, dẫn đến việc quản trị sự cố một hệ thống mạng gặp rất nhiều khó khăn. Đi cùng với những lợi ích khi phát triển hạ tầng mạng như băng thông cao, khối lượng dữ liệu trong mạng lớn, đáp ứng được nhu cầu của người dùng, hệ thống mạng phải đối đầu với rất nhiều thách thức như các cuộc tấn cơng bên ngồi, tính sẵn sàng của thiết bị, tài nguyên của hệ thống,…

Một trong những giải pháp hữu hiệu nhất để giải quyết vấn đề này là thực hiện việc giải pháp giám sát mạng, dựa trên những thơng tin thu thập được thơng qua q trình giám sát, các nhân viên quản trị mạng có thể phân tích, đưa ra những đánh giá, dự báo, giải pháp nhằm giải quyết những vấn đề trên. Để thực hiện giám sát mạng có hiệu quả, một chương trình giám sát phải đáp ứng được các yêu cầu sau: phải đảm bảo chương trình ln hoạt động, tính linh hoạt, chức năng hiệu quả, đơn giản trong triển khai, chi phí thấp. Hiện nay, có khá nhiều phần mềm hỗ trợ việc giám sát mạng có hiệu quả như Nagios, Zabbix, Snort, Cacti,…

Vì vậy, em đã chọn đề tài “ Nghiên cứu và xây dựng hệ thống giám sát an tồn thơng tin dựa trên Snort”, một phần mềm mã nguồn mở với nhiều chức năng mạnh mẽ cho phép quản lý các thiết bị, dịch vụ trong hệ thống mạng. Với mục tiêu nghiên cứu, tìm hiểu về giải pháp giúp cho mọi người có cái nhìn tổng quan về một hệ thống giám sát mạng hoàn chỉnh, đồng thời đưa ra một giải pháp cụ thể đối với một hệ thống mạng dành cho doanh nghiệp.

Mục tiêu của để tài:

Tìm hiểu cơ cấu hoạt động, thành phần, cách triển khai của hệ thống phát hiện và phòng chống xâm nhập (IDS/IPS).

Ứng dụng, triển khai phần mềm phát hiện xâm nhập mã nguồn mở SNORT.

Xây dựng ứng dụng hỗ trợ cấu hình, quản lý và phân tích, thống kê trên cơ sở hoạt động SNORT.

Chương 1. Tổng quan về an ninh mạng trong nước và thế giới các mối đe dọa và giải pháp phát hiện phòng chống xâm nhập trong hệ thống mạng.

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

Chương 2. Đưa ra cái nhìn tổng quan về hệ thống giám sát an ninh mạng và một số công cụ giám sát an ninh mạng có sẵn. Trình bày các cơ sở lý thuyết về phần mềm Snort và khả năng ứng dụng trong giám sát an ninh mạng

Chương 3. Triển khai và cài đặt hệ thống giám sát an tồn thơng tin dựa trên Snort.

Chương 4. Kết luận và hướng phát triển của đề tài.

Phạm Đình Khánh Cao Thanh Khiết

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

<b>Chương 1. GIỚI THIỆU TỔNG QUAN VỀ ĐỀ TÀI1.1. Tổng quan đề tài</b>

An ninh mạng máy tính (network security) là tổng thể các giải pháp về mặt tổ chức và kỹ thuật nhằm ngăn cản mọi nguy cơ tổn hại đến mạng.

Các tổn hại có thể xảy ra do: Lỗi của người sử dụng.

Các lỗ hổng trong các hệ điều hành cũng như các chương trình ứng dụng.

Các hành động hiểm độc. Các lỗi phần cứng.

Các nguyên nhân khác từ tự nhiên.

An ninh mạng máy tính bao gồm vô số các phương pháp được sử dụng để ngăn cản các sự kiện trên, nhưng trước hết tập trung vào việc ngăn cản:

Lỗi của người sử dụng. Các hành động hiểm độc.

Số lượng các mạng máy tính tăng lên rất nhanh. Ngày càng trở thành phức tạp và phải thực hiện các nhiệm vụ quan trọng hơn. Mang lại những thách thức mới cho những ai sử dụng và quản lý chúng. Sự cần thiết phải hội nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng tất cả trong một là một điều hiển nhiên. Do các nhà quản lý mạng phải cố gắng triển khai những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình.

An ninh Mạng – Network Security bảo vệ mạng của bạn trước việc đánh cắp và sử dụng sai mục đích thơng tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet. Nếu khơng có an ninh mạng được triển khai, công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự khơng tn thủ quy định và thậm chí là các hành động phạm pháp nữa.

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập hợp các rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau. Ngay cả khi một giải pháp gặp sự cố thì giải pháp khác vẫn bảo vệ được cơng ty và dữ liệu của bạn trước đa dạng các loại tấn công mạng.

Các lớp an ninh trên mạng của bạn có nghĩa là thơng tin có giá trị mà bạn dựa vào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ trước các tấn công. Cụ thể là, An ninh Mạng:

Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngồi. Các tấn cơng có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngồi tường lửa của doanh nghiệp của bạn. Một hệ thống an ninh hiệu quả sẽ giám sát tất cả các hoạt động mạng, cảnh báo về những hành động vi phạm và thực hiện những phản ứng thích hợp.

Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứ lúc nào. Nhân viên có thể truy cập vào mạng từ nhà hoặc trên đường đi với sự đảm bảo rằng hoạt động truyền thông của họ vẫn được riêng tư và được bảo vệ.

Kiểm sốt truy cập thơng tin bằng cách xác định chính xác người dùng và hệ thống của họ. Các doanh nghiệp có thể đặt ra các quy tắc của riêng họ về truy cập dữ liệu. Phê duyệt hoặc từ chối có thể được cấp trên cơ sở danh tính người dùng, chức năng cơng việc hoặc các tiêu chí kinh doanh cụ thể khác.

Giúp bạn trở nên tin cậy hơn. Bởi vì các cơng nghệ an ninh cho phép hệ thống của bạn ngăn chặn những dạng tấn cơng đã biết và thích ứng với những dạng tấn công mới, nhân viên, khách hàng và các doanh nghiệp có thể an tâm rằng dữ liệu của họ được an toàn.

<b>1.1.2. Những vấn đề đảm bảo an ninh và an tồn mạng</b>

Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính tồn vẹn hay tính kịp thời.

Yếu tố thứ hai là về tài nguyên hệ thống, sau khi những kẻ tấn công đã làm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy các chương trình như dị tìm mật khẩu để tấn công vào hệ thống mạng.

Sau đây là một số phương thức bảo đảm an toàn, bảo mật thông tin, dữ liệu:

Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo một quy tắc nào đó thành dạng mới mà kẻ tấn công không nhận biết được.

Xác thực (Authentication): là các thao tác để nhận dạng người dùng, nhận dạng client hay server…

Ủy quyền (Authorization): chính là việc phân định quyền hạn cho mỗi thành phần đã đăng nhập thành công vào hệ thống. Quyền hạn này là các quyền sử dụng dịch vụ, truy cập dữ liệu…

Kiểm toán (Auditing): là các phương pháp để xác định được client đã truy cập đến dữ liệu nào và bằng cách nào.

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

<b>1.1.3. Các thành phần cơ bản</b>

Để một hệ thống an ninh mạng hoạt động tốt nó bao gồm rất nhiều thành phần, hoạt động trên các nền tảng và mỗi trường khác nhau như:

Các máy trạm Các máy chủ Các ứng dụng Các server

Các thiết bị hạ tầng mạng: Router, switch, Hub…

Các thiết bị, hệ thống phát hiện và phòng chống xâm nhập: IDS/IPS, Snort, FireWall…

Các ứng dụng chạy trên các máy chủ và máy trạm.

Ngoài ra, log hệ thống cũng là một thành phần quan trọng của hệ thống mạng. Nó lưu lại một cách chính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng dụng, các thiết bị đã và đang hoạt động trong hệ thống. Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc phục các sự cố trong hệ thống mạng. Bao gồm:

Log Access: Là log ghi lại tồn bộ thơng tin truy cập của người dùng tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…

Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện. Log ứng dụng, log của hệ điều hành…

Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng và phần mềm đang được sử dụng: Router, Switch, IDS, IPS…

<b>1.2. Giới thiệu các giải pháp cơ bản</b>

Giải pháp phân mảnh mạng. Quản lý các điểm truy nhập. Các bộ định tuyến và chuyển mạch. Giải pháp bức tường lửa.

Giải pháp lọc nội dung.

Giải pháp phát hiện và phòng chống xâm nhập. Điều khiển truy nhập từ xa.

Quản lý các sự kiện an ninh. Quản lý các tổn thương. Giải pháp mật mã.

<b>1.3. Giới thiệu các giải pháp cơ bản</b>

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

Mạng – Internet dường như trong thời đại phát triển như hiện nay thì từ nhà, cơng ty, doanh nghiệp, ... Nơi đâu cũng có mạng. Ta thấy rõ được rằng mạng internet đã mang lại cho chúng ta rất nhiều điều hữu ích. Tuy nhiên, trong hệ thống mạng, vấn đề an tồn và bảo mật đóng một vai trị hết sức quan trọng. Nếu khơng có an ninh mạng được triển khai, hệ thống của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành động phạm pháp nữa.

Nhận thức được tầm quan trọng của nó, nhóm chúng em đã chọn đề tài này để nghiên cứu. Mục đích chính là để học hỏi, và cũng muốn tìm hiểu những giải pháp an ninh mạng tối ưu cho một hệ thống mạng.

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

<b>Chương 2. CƠ SỞ LÝ LUẬN</b>

<b>2.1. Các nguyên tắc nền tảng của an ninh mạng</b>

Đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thơng tin và dữ liệu đóng một vai trò hết sức quan trọng trong đời sống và có khi ảnh hưởng tới sự tồn vong của họ. Vì vậy, việc bảo mật những thơng tin và dữ liệu đó là điều vơ cùng cần thiết, nhất là trong bối cảnh hiện nay các hệ thống thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được.

Điều này cho thấy vai trò cốt yếu của an ninh mạng trong việc bảo hệ hệ thống mạng. Và nền tảng quan trọng của an ninh mạng bao gồm 3 yếu tố:

Tính bí mật Tính tồn vẹn Tính sẵn sàng

Tùy thuộc vào ứng dụng và hoàn cảnh cụ thể, mà một trong ba nguyên tắc này sẽ quan trọng hơn những cái khác.

Hình 2.1: Mơ hình bộ ba CIA

Confidentiality, Integrity, Availability, được gọi là: Mô hình bộ ba CIA. Ba nguyên tắc cốt lõi này phải dẫn đường cho tất cả các hệ thống an ninh mạng. Bộ ba

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

CIA cũng cung cấp một công cụ đo (tiêu chuẩn để đánh giá) đối với các thực hiện an ninh. Mọi vi phạm bất kỳ một trong ba nguyên tắc này đều có thể gây hậu quả nghiêm trọng đối với tất cả các thành phần có liên quan.

Bí mật là sự ngăn ngừa việc tiết lộ trái phép những thơng tin quan trọng, nhạy cảm. Đó là khả năng đảm bảo mức độ bí mật cần thiết được tn thủ và thơng tin quan trọng, nhạy cảm đó được che giấu với người dùng không được cấp phép. Tính bí mật của thơng tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý, ví dụ như tiếp cận trực tiếp tới thiết bị lưu trữ thơng tin đó hoặc logic, ví dụ như truy cập thơng tin đó từ xa qua mơi trường mạng. Sau đây là một số cách thức như vậy:

Khóa kín và niêm phong thiết bị.

u cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc điểm về sinh trắc để xác thực.

Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép. Mã hóa thơng tin sử dụng các giao thức và thuật toán mạnh: SSL/TLS, AES, …

Đối với an ninh mạng thì tính bí mật rõ ràng là điều đầu tiên được nói đến và nó thường xuyên bị tấn cơng nhất.

Tồn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữ liệu, thơng tin và hệ thống, do đó đảm bảo được sự chính xác của thơng tin và hệ thống. Có ba mục đích chính của việc đảm bảo tính tồn vẹn:

Ngăn cản sự làm biến dạng nội dung thơng tin của những người sử dụng không được phép.

Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặc không chủ tâm của những người sử dụng được phép.

Duy trì sự tồn vẹn dữ liệu cả trong nội bộ và bên ngồi.

Đảm bảo tính tồn vẹn của thơng tin, tức là thơng tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thơng tin vẫn cịn chính xác khi được lưu trữ hay truyền đi. Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là đảm bảo thông tin không bị thay đổi (modify) là chưa đẩy đủ. Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn gốc của thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ

</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">

dự án, và khơng cịn hứng thú hồn tất những phần chi tiết. Thái độ này sẽ là rào cản trong mơi trường cộng tác, gây khó khăn cho những lập trình viên khác trong vấn đề hồn tất dự án. Trong một số trường hợp, nếu người hacker không mô tả bằng văn bản kỹ lưỡng các đoạn mã lập trình, sẽ gây khó khăn cho cơng ty tìm người thay thế nếu người này rời vị trí.

<b>Hacker là chuyên gia mạng và hệ thống: Về lĩnh vực mạng và hệ thống,</b>

hacker là người có kiến thức chuyên sâu về các giao thức và hệ thống mạng. Có khả năng hồn thiện và tối ưu hóa hệ thống mạng. Mặt tối của những hacker này là khả năng tìm ra điểm yếu mạng và lợi dụng những điểm yếu này để đột nhập vào hệ thống mạng. Đa số những hacker mũ đen hiện nay có kiến thức sơ đẳng về mạng và sử dụng những cơng cụ sẵn có để đột nhập, họ thường được gọi là "script kiddies".

<b>Hacker là chuyên gia phần cứng: Một loại hacker khác là những người u</b>

thích và có kiến thức sâu về phần cứng, họ có khả năng sửa đổi một hệ thống phần cứng để tạo ra những hệ thống có chức năng đặc biệt hơn, hoặc mở rộng các chức năng được thiết kế ban đầu. Các ví dụ về hacker ở phân loại này bao gồm:

Sửa đổi phần cứng máy tính để tối ưu hóa và tăng tốc hệ thống. Sửa đổi hệ thống game Xbox để chạy hệ điều hành Linux.

Sửa đổi hệ thống iPhone để sử dụng hệ thống mạng khác ngoài AT&T. Phá mã máy iPhone để sử dụng các phần mềm lậu của hãng thứ 3…

<b>Các mối đe dọa (Threats): Một mối đe dọa là bất kỳ điều gì mà có thể phá vỡ</b>

tính bí mật, tính tồn vẹn hoặc tính sẵn sàng của một hệ thống mạng.

<b>Các lỗ hổng (Vulnerabilities): Một lỗ hổng là một điểm yếu vốn có trong thiết</b>

kế, cấu hình hoặc thực hiện của một mạng mà có thể gây cho nó khả năng đối đầu với một mối đe dọa.

<b>Sự rủi ro (Risk): Là độ đo đánh giá tính dễ bị tổn thương kết hợp với khả năng</b>

tấn cơng thành cơng.

<b>Thăm dị (Reconnaissace): Thăm dò mục tiêu là một trong những bước quan</b>

trọng để biết những thông tin trên hệ thống mục tiêu. Hacker sử dụng kỹ thuật này để khám phá hệ thống mục tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ

</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">

đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang mở, gồm hai loại:

Passive: Thu thập các thơng tin chung như vị trí địa lý, điện thoại, email của các cá nhân, người điều hành trong tổ chức.

Active: Thu thập các thông tin về địa chỉ IP, domain, DNS, ... của hệ thống.

<b>Quét hệ thống (Scanning): Quét thăm dò hệ thống là phương pháp quan trọng</b>

mà Attacker thường dùng để tìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP cụ thể, hệ điều hành hay các kiến trúc hệ thống mạng. Một vài phương pháp quét thông dụng như: quét cổng, quét mạng và quét các điểm yếu trên hệ thống.

<b>Chiếm quyền điều khiển (Gainning access): Đến đây hacker đã bắt đầu dần</b>

dần xâm nhập được hệ thống và tấn cơng nó, đã truy cập được nó bằng các lệnh khai thác. Các lệnh khai thác luôn ở bất cứ không gian nào, từ mạng LAN cho tới INTERNET và đã lan rộng ra mạng không dây. Hacker có thể chiếm quyền điều khiển tại:

Mức hệ điều hành/mức ứng dụng. Mức mạng.

Từ chối dịch vụ

<b>Duy trì điều khiển hệ thống (Maitaining access): Đến đây hacker bắt đầu phá</b>

hỏng làm hại, hoặc có thể cài trojan, rootkit, backdoor để lấy thông tin thêm. Thường được thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng.

<b>Xố dấu vết (Clearning tracks): Được đề cập đến hoạt động được thực hiện</b>

bằng cách hacker cố tình che dấu hành động xâm nhập của mình. Hacker phải tìm cách xóa đi dấu vết mỗi khi đột nhập bằng các phương thức như Steganography, tunneling, andaltering log file.

<b>2.2.5. Các kiểu tấn công2.2.5.1. Man in The Middle</b>

Man in the Middle là một trong những kiểu tấn công mạng thường thấy nhất được sử dụng để chống lại những cá nhân và các tổ chức lớn chính, nó thường được viết tắt là MITM. Man-in-the-middle attack (MITM), là một cuộc tấn công mà kẻ tấn cơng bí mật chuyển tiếp và có thể làm thay đổi giao tiếp giữa hai bên mà họ tin rằng họ đang trực tiếp giao tiếp với nhau.

</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">

MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân và chuyển tiếp dữ liệu giữa chúng. Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, nhưng sự thực thì các luồng truyền thơng lại bị thông qua host của kẻ tấn công. Và kết quả là các host này khơng chỉ có thể thơng dịch dữ liệu nhạy cảm mà nó cịn có thể gửi xen vào cũng như thay đổi luồng dữ liệu để kiểm sốt sâu hơn những nạn nhân của nó.

Một ví dụ về các cuộc tấn công man-in-the-middle là nghe trộm (eavesdropping), trong đó kẻ tấn cơng kết nối độc lập với các nạn nhân và chuyển tiếp thông tin giữa họ để họ tin rằng họ đang nói chuyện trực tiếp với nhau qua kết nối riêng tư, trong khi thực ra tồn bộ cuộc trị chuyện được kiểm sốt bởi kẻ tấn cơng. Người tấn cơng phải có khả năng đánh chặn tất cả các thơng tin liên quan đi lại giữa hai nạn nhân và tiêm những thơng tin mới.

Hình 2.2: Tấn cơng Man in The Middle

Một số hình thức tấn cơng MITM hay được sử dụng nhất, chẳng hạn như tấn công giả mạo ARP Cache, DNS Spoofing, chiếm quyền điều khiển (hijacking) HTTP session, ...

Giả mạo ARP Cache (ARP Cache Poisoning)

Đây là một hình thức tấn cơng MITM hiện đại có xuất xứ lâu đời nhất (đơi khi cịn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép hacker (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe trộm tất

</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">

cả các lưu lượng mạng giữa các máy tính nạn nhân. Nó là một trong những hình thức tấn cơng đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công.

Giả mạo ARP là một kĩ thuật tấn công, mà theo đó kẻ tấn cơng sẽ gửi mạo danh (“lừa đảo”) Address Resolution Protocol (ARP) trên Local Network. Kĩ thuật giả mạo ARP cho phép kẻ tấn cơng có thể chặn dữ liệu trên LAN, thay đổi đường đi, hoặc ngăn chặn hồn tồn truy cập. Thơng thường của tấn cơng này là được sử dụng để mở ra các tấn công khác như là: tấn công từ chối dịch vụ, cướp phiên, …

Các cuộc tấn cơng chỉ có thể được sử dụng trên các mạng sử dụng giao thức ARP, được giới hạn trong các phân đoạn mạng cục bộ.

Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa các lớp thứ hai và thứ ba trong mơ hình OSI. Lớp thứ hai (lớp data-link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thơng với nhau một cách trực tiếp. Lớp thứ ba (lớp mạng), sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn cầu. Lớp data-link xử lý trực tiếp với các thiết bị được kết nối với nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp. Mỗi lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên một mạng truyền thơng. Với lý do đó, ARP được tạo với RFC 826, “một giao thức phân định địa chỉ Ethernet - Ethernet Address Resolution Protocol”.

Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một gói ARP request và một gói ARP reply. Mục đích của request và reply là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu lượng có thể đến được đích của nó trong mạng.

Việc giả mạo bảng ARP chính là lợi dụng bản tính khơng an tồn của giao thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào. Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này. Việc gửi một gói ARP reply khi khơng có request nào được tạo ra được gọi là việc gửi ARP “vu vơ”. Khi các ARP reply vu vơ này đến được các máy tính

</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">

đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thơng, tuy nhiên thực chất họ lại đang truyền thơng với một kẻ tấn cơng.

Hình 2.3: Giả mạo ARP - Giả mạo DNS

Hình 2.4 Giả mạo DNS

Giả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông tin DNS sai cho một host để khi người dùng duyệt đến một địa chỉ nào đó.

</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26">

Giao thức Domain Naming System (DNS) như được định nghĩa trong RFC 1034/1035 có thể được xem như là một trong những giao thức quan trọng nhất được sử dụng trong Internet.

DNS hoạt động theo hình thức truy vấn và đáp trả (query/response). Một máy khách cần phân giải DNS cho một địa chỉ IP nào đó sẽ gửi đi một truy vấn đến máy chủ DNS, máy chủ DNS này sẽ gửi thơng tin được u cầu trong gói đáp trả của nó. Đứng trên phối cảnh máy khách, chỉ có hai gói xuất hiện lúc này là truy vấn và đáp trả. Nhờ có cấu trúc thứ bậc DNS của Internet, các máy chủ DNS cần có khả năng truyền thông với nhau để đưa ra câu trả lời cho các truy vấn được đệ trình bởi máy khách. Nếu tất cả đều diễn ra thuận lợi như mong đợi, máy chủ DNS bên trong của chúng ta sẽ biết tên để bản đồ hóa địa chỉ IP cho máy chủ bên trong mạng nội bộ.

DNS spoofing (DNS cache poisoning): Là một phương pháp tấn cơng máy tính nhờ đó mà dữ liệu được thêm vào hệ thống cache của các DNS server. Từ đó, các địa chỉ IP sai (thường là các địa chỉ IP do attacker chỉ định) được trả về cho các truy vấn tên miền nhằm chuyển hướng người dùng tư một website này sang một website khác. Để khai thác theo hướng này, attacker lợi dụng lỗ hổng của phần mềm DNS, do các DNS responses không được xác nhận để đảm bảo chúng được gửi từ các server được xác thực, các bản ghi không đúng đắn sẽ được cache lại và phục vụ cho các user khác.

DNS Amplification Attack: Đây là một trong những phương pháp được sử dụng để tấn công từ chối dịch vụ, thuộc vào lớp reflection attack.

Giả mạo máy chủ DNS: Là cách một số phần mềm quảng cáo hay trojan thường hay thực hiện. Đầu tiên, chúng dựng lên các DNS server, giống với chức năng DNS server thơng thường. Tuy nhiên, các DNS server này có khả năng điều khiển được để thêm, bớt hay chỉnh sửa các bản ghi DNS nhằm chuyển hướng người dùng tới các địa chỉ IP khơng chính xác với mục đích: gia tăng quảng cáo, cài mã độc, thay đổi kết quả tìm kiếm… Để thực hiện hành vi này, các phần mềm độc hại sau khi được cài vào máy tính người dùng, chúng sẽ tìm cách để thay đổi cấu hình DNS của người dùng thành địa chỉ DNS của phần mềm đã thiết lập từ trước. Qua đó, các truy vấn DNS của người dùng thay vì đi qua các DNS server của ISP hoặc do người dùng thiết lập thì lại đi qua các DNS server của attacker.

</div><span class="text_page_counter">Trang 27</span><div class="page_container" data-page="27">

Trong một cuộc tấn cơng bị động, các hacke sẽ kiểm sốt traffic khơng được mã hóa và tìm kiếm mật khẩu khơng được mã hóa (Clear Text password), các thơng tin nhạy cảm có thẻ được sử dụng trong các kiểu tấn công khác. Các cuộc tấn công bị động bao gồm phân tích traffic, giám sát các cuộc giao tiếp khơng được bảo vệ, giải mã các traffic mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu.

Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn cơng có thể xem xét các hành động tiếp theo. Kết quả của các cuộc tấn công bị động là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hề hay biết.

Tấn cơng chủ động như tên gọi của nó là các cuộc tấn cơng mà người tấn cơng hồn tồn cơng khai và chủ động trong tổ chức và thực hiện cuộc tấn cơng với mục đích làm giảm hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ thống. Đối với kiểu tấn cơng chủ động chúng ta hoàn nhận biết được qua kết quả tác động của nó. Một vài phương pháp tấn công chủ động khá nổi tiếng hiện nay như: Tấn công từ chối dịch vụ, tràn bộ đệm, tấn công ký tự điều khiển đồng bộ SYN, và giả mạo IP.

<b>2.2.5.4. Tấn công Phishing</b>

Phishing là một phương thức lừa đảo nhằm giả mạo các tổ chức có uy tín như ngân hàng, trang web giao dịch trực tuyến và các cơng ty thẻ tín dụng để lừa người dùng chia sẻ thơng tin tài chính như: tên đăng nhập, mật khẩu giao dịch, những thông tin nhạy cảm khác của họ. Phương thức tấn cơng này cịn có thể cài phần mềm độc hại vào thiết bị của người dùng. Chúng thực sự là mối quan ngại lớn nếu người dùng chưa có kiến thức về kiểu tấn cơng này hoặc thiếu cảnh giác về nó.

</div><span class="text_page_counter">Trang 28</span><div class="page_container" data-page="28">

Hình 2.5: Lừa đảo chiếm đoạt thông tin

Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là các giao dịch có vẻ xuất phát từ các website xã hội phổ biến, các trung tâm chi trả trực tuyến hoặc các quản trị mạng. Tấn công fishing thường được thực hiện qua thư điện tử hoặc tin nhắn nhanh và hay yêu cầu người dùng nhập thông tin vào một website giả mạo gần như giống hệt với website thật. Ngay cả khi có sử dụng chứng thực máy chủ, có khi vẫn phải cần vài kĩ năng phức tạp mới xác định được website là giả mạo. Tấn công fishing là một đơn cử của những kĩ thuật lừa đảo qua mạng (social engineering) nhằm đánh lừa người dùng và khai thác sự bất tiện hiện nay của cơng nghệ bảo mật web.

Q trình tấn cơng bao gồm:

Lên kế hoạch: Những kẻ lừa đảo trực tuyến xác định mục tiêu doanh nghiệp nào “xứng đáng” là nạn nhân và xác định cách lấy địa chỉ email khách hàng của doanh nghiệp đó. Chúng thường sử dụng cách gửi nhiều email và phương pháp thu thập địa chỉ email như những spammer.

Thiết lập: Sau khi xác định được doanh nghiệp và nạn nhân, phisher sẽ tìm cách để phát tán email và thu thập dữ liệu. Thông thường, chúng sử dụng địa chỉ email và một trang web nào đó.

Tấn cơng: Đây là bước mọi người đều biết – phisher sẽ gửi một thông báo giả mạo, như đến từ một nguồn đáng tin cậy.

Thu thập: Phisher sẽ thu thập thông tin mà nạn nhân điền vào các trang Web hoặc các cửa sổ pop-up.

</div><span class="text_page_counter">Trang 29</span><div class="page_container" data-page="29">

Ăn cắp dữ liệu cá nhân và lừa đảo: Phisher sử dụng thông tin mà chúng thu thập được để thực hiện mua bán bất hợp pháp hoặc thậm chí là thực hiện lừa đảo.

Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong cuộc, chẳng hạn như một nhân viên nào đó “bất mãn” với cơng ty của mình, …các cuộc tấn cơng hệ thống mạng nội bộ có thể gây hại hoặc vô hại.

Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng các thông tin một cách gian lận hoặc truy cập trái phép các thơng tin.

Hình 2.6: Tấn cơng nội bộ

</div><span class="text_page_counter">Trang 30</span><div class="page_container" data-page="30">

Hình 2.7: Tấn công DDos

Tấn công từ chối dịch vụ DoS (Denial of Service): Tấn công từ chối dịch vụ DoS là một sự kiện bảo mật xảy ra khi kẻ tấn cơng có hành động ngăn cản người dùng hợp pháp truy cập hệ thống máy tính, thiết bị hoặc các tài nguyên mạng khác.

Trong tấn công từ chối dịch vụ, kẻ tấn cơng nhằm vào các máy tính và sử dụng mạng máy tính mà bạn đang dùng để ngăn cản truy cập email, website, tài khoản trực tuyến (ví dụ như ngân hàng) và các dịch vụ khác.

Một kiểu Dos rõ ràng và phổ biến nhất là kẻ tấn công "tuồn" ồ ạt traffic vào máy chủ, hệ thống hoặc mạng, làm cạn kiệt tài nguyên của nạn nhân, khiến người dùng hợp pháp gặp khó khăn hoặc thậm chí khơng thể sử dụng chúng. Cụ thể hơn, khi bạn nhập vào URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này để xem. Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công làm gửi ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn khơng thể truy cập đến trang đó.

</div><span class="text_page_counter">Trang 31</span><div class="page_container" data-page="31">

Kẻ tấn cơng có thể sử dụng thư rác để thực hiện các tấn công tương tự trên tài khoản email của bạn. Dù bạn có một tài khoản email được cung cấp bởi nhân viên của bạn hay có sẵn qua một dịch vụ miễn phí như Yahoo hay Hotmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản. Bằng cách gửi nhiều email đến tài khoản của bạn, kẻ tấn cơng có thể tiêu thụ hết phần nhận mail và ngăn chặn bạn nhận được các mail khác. Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service): Tấn công DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó với traffic từ nhiều nguồn.

Trong tấn công từ chối dịch vụ phân tán (DDoS), một kẻ tấn cơng có thể sử dụng máy tính của bạn để tấn cơng vào các máy tính khác. Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự khơng hiểu biết, kẻ này có thể giành quyền điều khiển máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến một địa chỉ hịm thư nào đó. Tấn cơng này được được gọi là “phân tán” vì kẻ tấn cơng sử dụng nhiều máy tính trong đó có cả máy tính bạn để thực hiện tấn cơng DoS.

Mặc dù DDoS cung cấp một chế độ tấn cơng ít phức tạp hơn các dạng tấn công mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn. Có ba loại tấn cơng cơ bản: Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng. Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ. Application: Tập trung vào các ứng dụng web và được xem là loại tấn công tinh vi và nghiêm trọng nhất.

Mã khóa ở đây là mã bí mật hoặc các con số quan trọng để “giải mã” các thông tin bảo mật. Mặc dù rất khó để có thể tấn cơng phá một mã khóa, nhưng với các hacker thì điều này là có thể. Sau khi các hacker có được một mã khóa, mã khóa này sẽ được gọi là mã khóa gây hại.

Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin liên lạc mà không cần phải gửi hoặc nhận các giao thức tấn cơng. Với các mã khóa gây hại, các hacker có thể giải mã hoặc sửa đổi dữ liệu.

</div><span class="text_page_counter">Trang 32</span><div class="page_container" data-page="32">

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn cơng cổ điển là dị tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và khơng địi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ tấn cơng có thể sử dụng những thơng tin như tên người dùng, ngày sinh, địa chỉ, số nhà… để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc, có một chương trình tự động hố về việc dị tìm mật khẩu này.

Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mã hố của hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong một số trường hợp, khả năng thành cơng của phương pháp này có thể lên tới 30%.

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn cơng có được quyền của người quản trị hệ thống (root hay administrator). Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương trình sendmail và chương trình rlogin của hệ điều hành UNIX.

Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dịng lệnh của ngơn ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngồi. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.

Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin khơng kiểm tra độ dài của dịng nhập, do đó kẻ tấn cơng có thể đưa vào một xâu đã được tính tốn trước để ghi đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.

</div><span class="text_page_counter">Trang 33</span><div class="page_container" data-page="33">

<b>2.3.1. Công nghệ tường lửa (Firewall)</b>

Tường lửa (Firewall) là một bức rào chắn giữa mạng nội bộ (local network) với một mạng khác (chẳng hạn như Internet), điều khiển lưu lượng ra vào giữa hai mạng này. Nếu như khơng có tường lửa thì lưu lượng ra vào mạng nội bộ sẽ khơng chịu bất kỳ sự điều tiết nào, cịn một khi tường lửa được xây dựng thì lưu lượng ra vào sẽ do các thiết lập trên tường lửa quy định.

Tác dụng của tường lửa: một tường lửa có thể lọc lưu lượng từ các nguồn truy cập nguy hiểm như hacker, một số loại virus tấn công để chúng không thể phá hoại hay làm tê liệt hệ thống của bạn. Ngồi ra vì các nguồn truy cập ra vào giữa mạng nội bộ và mạng khác đều phải thơng qua tường lửa nên tường lửa cịn có tác dụng theo dõi, phân tích các luồng lưu lượng truy cập và quyết định sẽ làm gì với những luồng lưu lượng đáng ngờ như khoá lại một số nguồn dữ liệu không cho phép truy cập hoặc theo dõi một giao dịch đáng ngờ nào đó. Do đó, việc thiết lập tường lửa là hết sức quan trọng, đặc biệt là đối với những máy tính thường xuyên kết nối internet.

Hình 2.8: Firewall

</div><span class="text_page_counter">Trang 34</span><div class="page_container" data-page="34">

<b>2.3.2. Cơng nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS2.3.2.1. Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS)</b>

Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ở mức độ cao hơn. IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng. Tuy nhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn cơng.

Hình 2.9: Hệ thống phát hiện xâm nhập

Một tính năng chính của hệ thống IDS là cung cấp thông tin nhận biết về những hành động khơng bình thường và đưa ra các báo cảnh thông báo cho quản trị viên mạng khóa các kết nối đang tấn cơng này. Thêm vào đó cơng cụ IDS cũng có thể phân biệt giữa những tấn cơng từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấn cơng bên ngồi (tấn công từ hacker). Chức năng của IDS:

- Chức năng quan trọng nhất: giám sát -cảnh báo - bảo vệ: Giám sát: lưu lượng mạng + các hoạt động khả nghi.

Cảnh báo: báo cáo về tình trạng mạng cho hệ thống + nhà quản trị. Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. - Chức năng mở rộng:

</div><span class="text_page_counter">Trang 35</span><div class="page_container" data-page="35">

Phân biệt các cuộc tấn công từ trong hoặc từ bên ngồi: nó có thể phân biệt được đâu là những truy cập hợp lệ (hoặc không hợp lệ) từ bên trong và đâu là cuộc tấn cơng từ bên ngồi.

Phát hiện: dựa vào so sánh lưu lượng mạng hiện tại với baseline, IDS có thể phát hiện ra những dấu hiệu bất thường và đưa ra các cảnh báo và bảo vệ ban đầu cho hệ thống.

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn cơng và có thể đẩy lùi nó. Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp. Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiên cứu các mối đe dọa. Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ là một nhiệm vụ quan trọng khác. Cả hệ thống thực và hệ thống bẫy cần phải được kiểm tra một cách liên tục. Dữ liệu được tạo ra bằng các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) để phát hiện các dấu hiệu tấn công (sự xâm phạm).

Hệ thống IDS được chia làm 2 loại cơ bản:

- Network-based IDS (NIDS): sử dụng dữ liệu trên tồn bộ lưu thơng mạng cùng dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập. Hệ thống IDS dựa trên mạng sẽ kiểm tra các giao tiếp trên mạng với thời gian thực (real-time). Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng tấn công khác nhau. Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra, phát hiện các dạng tấn cơng trên mạng, ví dụ như dựa vào băng thông (bandwidth-based) của tấn công Denied of Service (DoS).

</div><span class="text_page_counter">Trang 36</span><div class="page_container" data-page="36">

Hình 2.10 Network-based IDS Ưu điểm:

Quản lý được cả một network segment (gồm nhiều host). Trong suốt với người sử dụng lẫn kẻ tấn công.

Cài đặt và bảo trì đơn giản, khơng ảnh hưởng tới mạng. Tránh DOS ảnh hưởng tới một host nào đó.

Có khả năng xác định lỗi ở tầng Network. Độc lập với OS.

Nhược điểm:

Có thể xảy ra trường hợp báo động giả.

Khơng thể phân tích các dữ liệu đã được mã hóa (VD: SSL, SSH, IPSec...). NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an tồn. Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo động được phát hiện, hệ thống có thể đã bị tổn hại.

Khơng cho biết việc tấn cơng có thành cơng hay khơng.

Hạn chế lớn nhất là giới hạn băng thơng. Những bộ dị mạng phải nhận tất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó và phân tích chúng. Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng phải tăng theo. - Host-based IDS (HIDS): sử dụng dữ liệu kiểm tra tự một máy trạm đơn để phát

hiện xâm nhập. Bằng cách cài đặt một phần mềm trên máy chủ, IDS dựa trên máy

</div><span class="text_page_counter">Trang 37</span><div class="page_container" data-page="37">

chủ quan sát tất cả những hoạt động về hệ thống và các file log, lưu lượng mạng thu thập. Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống, lịch sử và những thông điệp báo lỗi trên hệ thống máy chủ. HIDS thường được cài đặt trên một máy tính nhất định thay vì giám sát hoạt động của một network, HIDS chỉ giám sát các hoạt động trên một máy tính. HIDS thường được đặt trên các host quan trọng và các server trong vùng DMS. Nhiệm vụ của HIDS là theo dõi các thay đổi trên hệ thống gồm:

Các thông số này khi vượt qua một ngưỡng nhất định hoặc có những thay đổi khả nghi sẽ gây ra báo động.

Có khả năng xác định user liên quan tới event.

HIDS có khả năng phát hiện tấn cơng diễn ra trên một máy, NIDS thì khơng.

Có thể phân tích các dữ liệu mã hóa.

Cung cấp các thơng tin về host trong lúc cuộc tấn công diễn ra trên host này.

<b>Nhược điểm:</b>

Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công.

Khi OS bị sập do tấn công, đồng thời HIDS cũng sập. HIDS phải được thiết lập trên từng host cần giám sát.

HIDS khơng có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat ...).

HIDS cần tài ngun trên host để hoạt động. HIDS có thể khơng hiệu quả khi bị DOS.

</div><span class="text_page_counter">Trang 38</span><div class="page_container" data-page="38">

<b>2.3.2.2. Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS)</b>

Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục. IPS ngăn chặn các cuộc tấn công dưới những dạng sau:

- Ứng dụng không mong muốn và tấn công kiểu “Trojanhorse” nhằm vào mạng và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm sốt truy nhập.

- Các tấn cơng từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng các thuật toán dựa trên cơ sở “ngưỡng”.

- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức ứng dụng và chữ kí.

- Những tấn cơng q tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên dựa trên cơ sở ngưỡng.

Modul phân tích gói: Nhiệm vụ phân tích cấu trúc thơng tin trong các gói tin. Card giao tiếp mạng (NIC) của máy giám sát được đặt ở chế độ khơng phân loại, các gói tin qua chúng đều được sao chép và chuyển lên lớp trên.

Modul phát hiện tấn công: Modul quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn cơng.

Modul phản ứng: Khi có dấu hiệu của sự tấn cơng hoặc xâm nhập thì modul phát hiện tấn cơng sẽ gửi tín hiệu thơng báo đến modul phản ứng. Khi đó, modul phản ứng sẽ kích hoạt Firewall thực hiện chức năng ngăn chặn cuộc tấn công. Tại đây nếu chỉ đưa ra các cảnh báo tới người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động.

Ba modul trên hoạt động tuần tự tạo nên IPS hồn chỉnh. IPS được xem là thành cơng nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chính xác, đưa ra các thơngbáo hợp lý, phân tích được tồn bộ thơng lượng, ngăn chặn thành cơng và có chính sách quản lí mềm.

Một số kĩ thuật ngăn chặn:

</div><span class="text_page_counter">Trang 39</span><div class="page_container" data-page="39">

- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tin reset thiết lập lại cuộc giao tiếp tới Client vàServer. Kết quả cuộc giao tiếp sẽ được bắt đầu lại và cuộc tấn công bị ngừng lại.

- Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công; phương pháp này không hiệu quả với các giao thức hoạt động trên UDP như DNS; các gói reset phải có trường Sequence number đúng thì server mới chấp nhận: Cảnh báo tức thì (Realtime Alerting), Tạo ra bản ghi log (Log packet). Những hạn chế của IDS /IPS: So với Firewall, IDS/IPS đã thể hiện được nhiều tính năng ưu việt. Nó khơng chỉ có khả năng phát hiện ra các cuộc tấn cơng, mà cịn chống lại các cuộc tấn công này một cách hữu hiệu. Tuy vậy hệ thống này vẫn còn những hạn chế sau: Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận biết được các dịng thơng tin trên tầng mạng). Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn.

VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì router đóng vai tạo ra miền quảng bá. VLAN là một kỹ thuật kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng độ và miền quảng bá. VLAN còn được sử dụng để bảo mật giữa các nhóm VLAN theo chức năng nhóm.

Khái niệm về VLAN: VLAN là một nhóm các thiết bị mạng khơng giới hạn theo vị trí vật lý hoặc theo LAN switch mà chúng tham gia kết nối vào. VLAN là một segment mạng theo logic dựa trên chức năng, đội nhóm, hoặc ứng dụng của một tổ chức chứ khơng phụ thuộc vào vị trí vật lý hay kết nối vật lý trong mạng. Tất cả các trạm và server được sử dụng bởi cùng một nhóm làm việc sẽ được đặt trong cùng VLAN bất kể vị trí hay kết nối vật lý của chúng.

</div><span class="text_page_counter">Trang 40</span><div class="page_container" data-page="40">

Hình 2.11: Cơng nghệ VLAN

Miền quảng bá với VLAN và router: Một VLAN là một miềm quảng bá được tạo nên một hay nhiều switch. Hình trên cho thấy tạo 3 miền quảng bá riêng biệt trên 3 swich như thế nào. Định tuyến lớp 3 cho phép router chuyển gói giữa các miền quảng bá với nhau.

Hoạt động của VLAN: Mỗi cổng trên switch có thể gán cho một VLAN khác nhau. Các cổng nằm trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau. Các cổng không nằm trong cùng VLAN sẽ không chia sẻ gói quảng bá với nhau. Nhờ đó mạng LAN hoạt động hiệu quả hơn.

Ưu điểm của VLAN: Lợi ích của VLAN là cho phép người quản trị mạng tổ chức mạng theo logic chứ không theo vật lý nữa. Nhờ đó những cơng việc sau thực hiện dễ dàng hơn:

- Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng.

- Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể cấu hình VLAN khác nhau cho từng cổng, do đó dễ dàng kết nối thêm các máy tính với các VLAN.

- Tiết kiệm băng thơng của mạng: do VLAN có thể chia nhỏ LAN thành các đoạn (là một vùng quảng bá). Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ trong một LAN duy nhất, không truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đường truyền.

Ứng dụng của VLAN: Sử dụng VLAN để tạo ra các LAN khác nhau của nhiều máy tính cùng văn phòng, sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual Data Network).

</div>