Tải bản đầy đủ (.pdf) (86 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Xây dựng hệ thống cảnh báo chống xâm nhập IDS SNORT bảo vệ web server trường đại học kinh tế

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (7.5 MB, 86 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
ĐẠI HỌC ĐÀ NẴNG

TRẦN HỮU PHỤNG

XÂY DỰNG HỆ THỐNG CẢNH BÁO CHỐNG
XÂM NHẬP IDS SNORT BẢO VỆ WEB SERVER
TRƯỜNG ĐẠI HỌC KINH TẾ

Chuyên ngành: HỆ THỐNG THÔNG TIN
Mã số: 60.48.01.04

LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN

Người hướng dẫn khoa học: PGS.TS. VÕ TRUNG HÙNG

Đà Nẵng - Năm 2016


LỜI CAM ĐOAN
Tôi xin cam đoan:
Những nội dung trong luận văn này là do tôi thực hiện dưới sự
hướng dẫn trực tiếp của PGS.TS. Võ Trung Hùng.
Mọi tham khảo dùng trong luận văn đều được trích dẫn rõ ràng tên
tác giả, tên cơng trình, thời gian, địa điểm cơng bố.
Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá,
tơi xin chịu hồn tồn trách nhiệm.
Tác giả

Trần Hữu Phụng



MỤC LỤC
MỞ ĐẦU ...........................................................................................................1
1. Tính cấp thiết của đề tài.......................................................................1
2. Mục tiêu nghiên cứu ............................................................................2
3. Đối tượng và phạm vi nghiên cứu .......................................................2
4. Phương pháp nghiên cứu .....................................................................2
5. Ý nghĩa khoa học và thực tiễn của đề tài.............................................3
6. Bố cục đề tài.........................................................................................3
CHƯƠNG 1. TỔNG QUAN VỀ AN NINH MẠNG .....................................4
1.1. TẦM QUAN TRỌNG AN NINH MẠNG .................................................4
1.1.1.Một số thông tin về bảo mật ...........................................................4
1.1.2. Các Website và hệ thống Server liên tục bị tấn cơng ....................5
1.1.3.Tình hình về an ninh mạng .............................................................6
1.2. GIỚI THIỆU VỀ AN NINH MẠNG..........................................................7
1.2.1. Các khái niệm về an ninh mạng ....................................................7
1.2.2. Các thành phần cần được bảo vệ trong hệ thống mạng.................8
1.2.3. Các thành phần đảm bảo an tồn thơng tin ...................................8
1.3. CÁC LỖ HỔNG BẢO MẬT ....................................................................10
1.3.1. Lỗ hổng loại C..............................................................................11
1.3.2. Lỗ hổng loại B..............................................................................11
1.3.3. Lỗ hổng loại A..............................................................................12
1.4. CÁC KIỂU TẤN CÔNG CỦA HACKER ...............................................13
1.4.1. Tấn công trực tiếp.........................................................................13
1.4.2. Kỹ thuật đánh lừa Social Engineering..........................................13
1.4.3. Kỹ thuật tấn công vào vùng ẩn.....................................................13
1.4.4. Tấn cơng vào các lỗ hổng bảo mật...............................................14
1.4.5. Khai thác tình trạng tràn bộ đệm..................................................14



1.4.6. Nghe trộm.....................................................................................14
1.4.7. Kỹ thuật giả mạo địa chỉ ..............................................................15
1.4.8. Kỹ thuật chèn mã lệnh..................................................................15
1.4.9. Tấn công vào hệ thống có cấu hình khơng an tồn......................16
1.4.10. Tấn cơng dùng cookies...............................................................16
1.4.11. Can thiệp vào tham số URL .......................................................16
1.4.12. Vơ hiệu hóa dịch vụ ...................................................................17
1.4.13. Một số kiểu tấn công khác..........................................................17
1.5. CÁC BIỆN PHÁP BẢO MẬT..................................................................18
1.5.1. Mã hóa..........................................................................................18
1.5.2. Bảo mật máy trạm ........................................................................19
1.5.3. Bảo mật truyền thông ...................................................................20
1.5.4. Các công nghệ và kỹ thuật bảo mật .............................................21
1.6. NHỮNG CÁCH PHÁT HIỆN HỆ THỐNG BỊ TẤN CÔNG..................24
CHƯƠNG 2. HỆ THỐNG CẢNH BÁO XÂM NHẬP IDS - SNORT ......26
2.1.

TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS ........26
2.1.1. Tổng quan.....................................................................................26
2.1.2. Định nghĩa IDS.............................................................................26
2.1.3. Lợi ích của IDS ............................................................................28
2.1.4. Thành phần và nguyên lý hoạt động IDS.....................................29
2.1.5. Chức năng của IDS ......................................................................31

2.2. PHÂN LOẠI IDS......................................................................................32
2.2.1. Network-base IDS – NIDS...........................................................32
2.2.2. Host-based IDS – HIDS ...............................................................34
2.2.3. Cơ chế hoạt động của IDS............................................................36
2.2.4. Cách phát hiện tấn công thông dụng của IDS..............................38
2.3. HỆ THỐNG IDS SNORT.........................................................................40



2.3.1. Giới thiệu về IDS Snort................................................................40
2.3.2. Kiến trúc IDS Snort......................................................................42
2.3.3. Module log và cảnh báo (Logging and Alerting System)............45
2.3.4. Bộ luật của Snort ..........................................................................47
2.4. THIẾT KẾ HỆ THỐNG THÔNG TIN.....................................................50
2.4.1. Hiện trạng hệ thống mạng trường Đại học Kinh tế - ĐHĐN.......50
2.4.2. Các phương thức có thể tấn cơng hệ thống mạng hiện tại trường
Đại học Kinh tế .............................................................................................. 51
2.4.3. Giải pháp ngăn chặn tấn công ......................................................55
CHƯƠNG 3. XÂY DỰNG HỆ THỐNG .....................................................57
3.1. XÂY DỰNG HỆ THỐNG ........................................................................57
3.1.1. Mô tả kịch bản..............................................................................57
3.1.2. Hạ tầng mạng kịch bản.................................................................59
3.1.3. Các bước cài đặt hệ thống ............................................................60
3.2. DEMO HỆ THỐNG IDS ..........................................................................69
3.3. GIẢI PHÁP PHỊNG CHỐNG .................................................................71
3.3.1. Giải pháp phịng chống tự động ...................................................71
3.3.2. Giải pháp phịng chống thủ cơng .................................................73
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN....................................................75
TÀI LIỆU THAM KHẢO .............................................................................77
QUYẾT ĐỊNH GIAO ĐỀ TÀI LUẬN VĂN (bản sao)


DANH MỤC CÁC TỪ VIẾT TẮT
TIẾNG VIỆT
CSDL

Cơ sở dữ liệu


ĐHĐN

Đại học Đà Nẵng

NSD

Người sử dụng

KHKT

Khoa học Kỹ thuật

VN

Việt Nam

TIẾNG ANH
ACID

Atomicity, Consistency,
Isolation, Durability

Tính nguyên tố, tính nhất quán, tính độc
lập, tính bền vững.

AP

Access Point


Thiết bị truyền và nhận tín hiệu sóng vô
tuyến của WLANS.

CPU

Central Processing Unit

Bộ xử lý trung tâm

DMZ

Domain zone

Vùng Domain

DoS

Denial of Services

Từ chối dịch vụ

OS

Operating System

Hệ điều hành

IPSec

Internet

Security

FTP

File Transfer Protocol

Protocol Hệ thống các giao thức để bảo mật quá
trình truyền thông tin trên nền tảng
Internet Protocol.

TCP/IP Internet protocol suite

Giao thức chuyển nhượng tập tin
Bộ giao thức liên mạng

IDS

Intrusion
System

Detection Hệ thống phát hiện xâm nhập

SSH

Secure Shell

Một giao thức mạng dùng để thiết lập
kết nối mạng một cách bảo mật

VPN


Vitual Private Network

Mạng riêng ảo

PHP

Personal Home Page

Ngơn ngữ lập trình kịch bản


DANH MỤC CÁC HÌNH
Số

Tên hình

Trang

hiệu
1.1.

Q trình đánh giá nguy cơ của hệ thống

9

1.2.

Q trình mã hố


19

1.3.

Bảo mật truyền thơng FTP

20

1.4.

Sơ đồ kết nối tường lửa

22

1.5.

Hệ thống mạng

23

1.6.

Hệ thống IDS

23

2.1.

Các vị trí đặt IDS


28

2.2.

Thành phần của IDS

29

2.3.

Nguyên lý hoạt động của IDS

30

2.4

Mơ hình Network based IDS - NIDS

33

2.5.

Mơ hình hoạt động Host based IDS - HIDS

35

2.6.

Cách thức tấn công DDOS


38

2.7.

Sơ đồ khối cài đặt Snort

41

2.8.

Kiến trúc hệ thống Snort

42

2.9.

Bộ tiền xử lý

43

2.10.

Bộ phát hiện

44

2.11.

Bộ kết xuất thông tin


46

2.12.

Cấu trúc luật Snort

47

2.13

Cấu trúc chung của phần Header của một luật Snort

48

2.14

Sơ đồ mạng Trường Đại học Kinh tế

51

3.1.

Mơ hình tổng quan

59

3.2.

Mơ hình cài đặt hệ thống


60


Số

Tên hình

Trang

hiệu
3.3.

Lệnh trợ giúp (Help) trong Snort

62

3.4.

Thực thi lệnh kiểm tra cấu hình Snort

63

3.5.

Snort lắng nghe gói tin với hiển thị đầy đủ

64

3.6.


Kết quả thể hiện giao diện card mạng đang sử dụng

64

3.7.

Ghi log các gói tin snort

65

3.8

Kết quả chương trình lắng nghe gói tin và lưu kết quả ra

65

file log
3.9.

File tạo bảng dữ liệu

66

3.10.

Kết quả thể hiện các bảng trong CSDL Snort

66

3.11.


Cài đặt tham số dữ liệu cho BASE

68

3.12.

Cài đặt tài khoản Admin cho BASE

68

3.13.

Cài đặt các bảng dữ liệu (a) và cài đặt các thao tác cuối

69

cùng (b)
3.14.

Giao diện Base sau khi cài đặt

69

3.15.

Phần mềm LOIC

70


3.16.

Kết quả snort bắt gói tin tấn cơng

70

3.17

Giao diện quản lý, giám sát mạng Kerio Control

71

3.18.

Giám sát truy cập địa chỉ các trang Web

72

3.19.

Kerio Control kết hợp với các phần mềm Antivirus

72

3.20.

Chặn địa chỉ, dãy địa chỉ truy cập vào máy chủ

73


3.21.

Ngăn chặn tên miền truy cập

73

3.22.

Chặn các dịch vụ và cổng

74


1

MỞ ĐẦU
1. Tính cấp thiết của đề tài
Sự phát triển và bùng nổ thơng tin trên tồn cầu dựa vào Internet đã kết nối
các cơ quan chính phủ, tập đồn, doanh nghiệp, bệnh viện, trường học,… Một cơ
quan, tổ chức, cá nhân,... phát triển thông tin và kết nối để cùng chia sẻ cơng việc
thì nhu cầu kết nối Internet rất cần thiết trong giai đoạn hiện nay. Do đó, việc đảm
bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết.
Ngày nay, có nhiều biện pháp an tồn thơng tin cho các hệ thống mạng, đặc biệt là
Internet được nghiên cứu và triển khai. Tuy nhiên, hệ thống này vẫn bị tấn công,
đánh cắp thông tin hoặc bị phá hoại gây nên những hậu quả nghiêm trọng.
Các vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet,
các máy tính của các cơng ty lớn, các trường đại học, các cơ quan nhà nước,
các tổ chức quân sự, ngân hàng với quy mô lớn và ngày càng tinh vi hơn [12].
Hơn nữa những con số thống kê và các vụ tấn công chỉ là phần nổi của tảng
băng. Phần lớn các vụ tấn công không được thông báo vì nhiều lý do, trong đó

có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị mạng
không hề hay biết những vụ tấn công nhằm vào hệ thống của họ.
Không chỉ các vụ tấn cơng tăng lên nhanh chóng mà các phương pháp
tấn cơng cũng liên tục được hồn thiện và khó phát hiện. Điều đó một phần do
các nhân viên quản trị hệ thống ngày càng đề cao cảnh giác, các hệ thống
tường lửa được phát triển dựa vào nhu cầu sử dụng. Vì vậy, việc kết nối vào
mạng Internet mà khơng có các biện pháp đảm bảo an ninh thì hệ thống dễ
dàng trở thành đối tượng tấn công của các hacker.
Các cơ quan, tổ chức, cá nhân phải kết nối mạng Internet vì nhu cầu
trao đổi thơng tin và đồng thời phải đảm bảo an tồn thơng tin trong q trình
tham gia vào hệ thống. Hệ thống Web Service trường Đại học Kinh tế có đến


2

hàng nghìn lượt truy cập mỗi ngày; chưa kể những thời điểm đăng ký tín chỉ,
hệ thống tiếp nhận hàng chục nghìn lượt. Vì vậy, đây là địa chỉ dễ lọt vào tầm
ngắm của những hacker. Vì vậy, việc chọn đề tài “Xây dựng hệ thống cảnh
báo chống xâm nhập IDS Snort trên Web Server tại trường Đại học Kinh tế
- ĐHĐN” là hướng nghiên cứu hợp lý đối với hệ thống Web Service tại
trường Đại học Kinh tế - ĐHĐN trong giai đoạn hiện nay. Mục đích của đề tài
là nghiên cứu giám sát luồng thông tin vào/ra và bảo vệ các hệ thống mạng
khỏi sự tấn công từ Internet. Thông qua đề tài nghiên cứu, hệ thống tập trung
giải pháp phát hiện xâm nhập IDS thông qua công cụ Snort, cách phịng
chống qua cơng cụ tường lửa.
2. Mục tiêu nghiên cứu
Mục tiêu của đề tài là nghiên cứu hệ thống cảnh báo xâm nhập IDS
SNORT trên Web Server, từ đó nghiên cứu giải pháp phịng, chống nhằm
đảm bảo an tồn cho hệ thống thơng tin của trường Đại học Kinh tế - ĐHĐN.
3. Đối tượng và phạm vi nghiên cứu

3.1. Đối tượng nghiên cứu
Đối tượng nghiên cứu của đề tài là các cơ chế an tồn thơng tin mạng,
các bộ luật Snort, các cơ chế hoạt động của Snort và giải pháp phòng, chống
cho hệ thống Server của trường Đại học Kinh tế - ĐHĐN.
3.2. Phạm vi nghiên cứu
Trong khuôn khổ của luận văn này, đề tài tập trung nghiên cứu khả
năng phát hiện cảnh báo xâm nhập của hệ thống, xây dựng hệ thống cảnh báo
xâm nhập IDS SNORT, giải pháp tường lửa bằng phần mềm được thử nghiệm
trên hệ thống mạng trường Đại học Kinh tế - ĐHĐN.
4. Phương pháp nghiên cứu
Chúng tôi sử dụng hai phương pháp chính là phương pháp nghiên cứu
lý thuyết và phương pháp thực nghiệm.


3

Phương pháp nghiên cứu lý thuyết: Với phương pháp này, chúng tôi nghiên
cứu các tài liệu về cơ sở lý thuyết: cơ chế an tồn và bảo mật thơng tin mạng, cơ chế
cảnh báo xâm nhập, các bộ luật và các tài liệu liên quan đến giải pháp phòng, chống.
Phương pháp thực nghiệm: Với phương pháp này, chúng tôi cài đặt và cấu
hình hệ thống cảnh báo xâm nhập, phân tích và thiết kế các chức năng của IDS
SNORT, xây dựng các mô đun xử lý, phát hiện và cảnh báo IDS SNORT, xây dựng
hệ thống tường lửa phòng, chống bằng phần mềm và đánh giá kết quả hệ thống.
5. Ý nghĩa khoa học và thực tiễn của đề tài
Về khoa học: Kết quả nghiên cứu của đề tài góp phần hiểu rõ về cơ chế
xử lý, phát hiện cảnh báo của IDS SNORT. Ứng dụng thành công các bộ luật
của Snort để phát hiện và cảnh báo trên hệ thống mạng cụ thể.
Về thực tiễn: Đề tài sẽ đề xuất giải pháp an tồn thơng tin cho các tổ
chức và doanh nghiệp. Cung cấp một hệ thống hỗ trợ phục vụ cho các nhà
quản trị mạng khai thác và ứng dụng phục vụ công việc cơ quan.

6. Bố cục đề tài
Báo cáo của luận văn được tổ chức thành 3 chương chính:
Chương 1. Tổng quan về an ninh mạng
Trong chương này, chúng tơi trình bày tổng quan về bảo mật thông tin,
những nguy cơ đe dọa đối với bảo mật, các phương pháp xâm nhập – biện
pháp phát hiện và ngăn ngừa, các giải pháp bảo mật an toàn cho hệ thống.
Chương 2. Hệ thống cảnh báo chống xâm nhập IDS - SNORT
Chương này giới thiệu về kiến trúc và nguyên lý hoạt động của IDS.
Phân loại, phương thức phát hiện và cơ chế hoạt động IDS. Cách phát hiện
các kiểu tấn công thông dụng của IDS.
Chương 3. Triển khai ứng dụng
Chương này trình bày về kiến trúc và bộ luật của SNORT và giải pháp
phòng, chống ứng dụng thực tế tại trường Đại học Kinh tế - ĐHĐN.


4

CHƯƠNG 1

TỔNG QUAN VỀ AN NINH MẠNG
Trong chương này, chúng tơi trình bày các vấn đề liên quan đến bảo mật,
an ninh mạng, các yếu tố cần được bảo vệ trong hệ thống mạng, các lỗ hổng
trong bảo mật, các phương pháp xâm nhập – biện pháp phát hiện và ngăn
ngừa.
1.1. TẦM QUAN TRỌNG AN NINH MẠNG
1.1.1. Một số thông tin về bảo mật
Một số chuyên gia bảo mật của Mỹ đã tiết lộ một số chi tiết về một nhóm
hacker Trung Quốc đã tiến hành nhiều cuộc tấn cơng vào các cơ quan chính
phủ Mỹ nhằm thu nhập thơng tin tình báo [13].
Trước “Hồ sơ Panama”, thế giới từng rúng động trước những thông tin

của “người lộ mật” Edward Snowden hay các tài liệu về chính phủ do
WikiLeaks tung ra [14]. Hàng loạt vụ rị rỉ thơng tin diễn ra thời gian cho
thấy những khối lượng dữ liệu khổng lồ có thể bị can thiệp, đánh cắp như thế
nào nhờ công nghệ hiện đại.
Một dấu hiệu cho thấy an ninh mạng cần được nâng cao nhanh chóng,
hai cơng ty, McDonal Corp và Walgreen Co cho biết họ đã bị tấn công. Sau
báo cáo MasterCard và Visa, hệ thống bị tấn cơng bởi một nhóm hacker Pro –
WikiLeaks, được biết đến với tên là “vô danh”, McDonal cho biết hệ thống
của mình đã bị tấn cơng và các thơng tin khách hàng bao gồm email, thông tin
liên lạc, ngày sinh và thông tin chi tiết khác đã bị đánh cắp [15].
Google trở thành đối tượng của chiến dịch lừa đảo khởi nguồn từ Trung
Quốc, và nhắm tới các tài khoản cấp cao của cơ quan tại Mỹ, Nhật và chính
phủ các nước khác cũng như của Trung Quốc [16]. Hacker tấn công bằng
cách gửi đến nạn nhân những thư điện tử lừa đảo, thường từ những tài khoản


5

trơng giống với đối tác làm việc, gia đình, bạn bè. Những thư điện tử này
chứa những đường dẫn đến trang Gmail giả mạo và chiếm lấy tên tài khoản
và mật khẩu bất cứ ai bị dính bẫy.
Tin tặc đã đột nhập vào trang Web của NewYork Tour Company và
khoảng 110.000 số thẻ ngân hàng bị đánh cắp, họ đã phá vỡ bằng cách sử
dụng một cuộc tấn công SQL Injection trên trang này [17]. Trong cuộc tấn
công SQL Injection, tin tặc tìm cách để chèn lệnh cơ sở dữ liệu thực sự vào
máy chủ bằng cách sử dụng Web, họ làm điều này bằng cách thêm vào văn
bản thiết kế đặc biệt vào các hình thức Webbase hoặc các hộp tìm kiếm được
sử dụng để truy vấn cơ sở dữ liệu.
1.1.2. Các Website và hệ thống Server liên tục bị tấn cơng
Hiệp hội an tồn thơng tin VN cho biết: “VN là 1 trong 5 nước có nguy

cơ mất an tồn thơng tin cao nhất” [18].
Năm 2015, tỷ lệ người dùng Internet chiếm gần 52% dân số VN. Đa số
các doanh nghiệp và các tổ chức có hệ thống mạng và Website giới thiệu,
quảng bá thương hiệu, với gần 200.000 tên miền .vn, và hàng triệu tên miền
thương mại. Có rất nhiều doanh nghiệp đã ứng dụng thanh tốn trưc tuyến
vào công việc kinh doanh và giao dịch [19].
Thế nhưng, mạng Internet VN còn tiềm ẩn rất nhiều nguy cơ về an ninh
an tồn thơng tin. Năm 2010 được đánh giá là năm thực sự nóng bỏng của an
ninh an tồn thơng tin trên thế giới chung và an ninh mạng VN nói riêng. Hàng
loạt Website lớn bị tấn công với mức độ phức tạp ngày càng gia tăng. Ở nước
ta, theo đánh giá của một số chuyên gia về an ninh mạng, các tên miền .vn đang
đứng hàng thứ 3 trong bảng xếp hạng các tên miền có nguy cơ bị tấn công.
Các cuộc tấn công trên mạng chủ yếu có mục tiêu vụ lợi, có tổ chức và
mang tính quốc tế đang nở rộ với quy mơ lớn. Thủ phạm các cuộc tấn công
nhằm vào các Website có trình độ cao, hình thức tấn cơng tinh vi, chuyên


6

nghiệp và rất khó chống đỡ. Mục tiêu của hacker khơng chỉ là các tổ chức,
doanh nghiệp tài chính, ngân hàng mà là tất cả hệ thống. Các cuộc tấn cơng
trên là một lời cảnh báo về an tồn thơng tin đối với các báo điện tử và những
Website quan trọng của VN.
1.1.3. Tình hình về an ninh mạng
Các giao dịch ở VN và trên thế giới hiện tại và tương lai đa số diễn ra
trên mạng. Việc bảo mật thông tin thật sự vô cùng quan trọng. Trong năm
2008, có nhiều sự kiện lớn đối với ngành an ninh mạng tại VN. Sự cố bảo mật
của nhà cung cấp tên miền PA VN hay vụ Website ngân hàng Techcombank
bị đột nhập là những ví dụ nổi bật. Nó cho thấy an ninh mạng đang là vấn đề
nóng sốt với nhiều doanh nghiệp ứng dụng CNTT tại VN hiện nay. Nguyên

nhân chính là do nguồn nhân lực chuyên gia an ninh mạng hiện vừa thiếu về
số lượng lại vừa yếu chun mơn.
Chỉ tính riêng thống kê của Hiệp hội Ngân hàng và chứng khoán VN, số
lượng chi nhánh ngân hàng và các cơng ty chứng khốn ở VN đã trên mức
hàng ngàn. Hoạt động của các cơng ty chứng khốn và ngân hàng đều dựa
trên hệ thống CNTT. Giao dịch giữa các ngân hàng với nhau, giữa ngân hàng
với khách hàng,… đều thơng qua mạng Internet.
Ơng Võ Đỗ Thắng, giám đốc một trung tâm đào tạo quản trị và an ninh
mạng, cho biết: “Lực lượng nhân sự an ninh mạng chuyên trách chống các
hacker xâm nhập hệ thống ở các ngân hàng, cơng ty chứng khốn rất mỏng.
Nhiều chi nhánh ngân hàng chỉ có bộ phận giao dịch mà khơng có nhân viên
an ninh mạng. Việc này sẽ rất nguy hiểm vì hacker có thể xâm nhập hệ thống
của các chi nhánh này, rồi từ chi nhánh này sẽ xâm nhập tồn bộ hệ thống
CNTT của chính ngân hàng đó”.
Nếu tính một phép tính đơn giản, VN có hàng ngàn chi nhánh ngân hàng,
hàng ngàn cơ quan chính phủ trải đều khắp 64 tỉnh thành trong cả nước, và


7

trên 200.000 doanh nghiệp tư nhân có ứng dụng CNTT trong hoạt động kinh
doanh, quản lý và sản xuất; mỗi đơn vị cần bình quân một nhân viên phục vụ
việc quản trị và an ninh mạng thì số lượng nhân sự an ninh mạng cần đáp ứng
ngay cho thị trường lao động VN phải tính trên chục ngàn. Số lượng này là
một thách thức rất lớn cho ngành đào tạo CNTT VN thời gian tới.
Trong năm 2015, các cuộc tấn cơng mạng có quy mơ và mức độ lớn gia
tăng dẫn đến gây mất mát dữ liệu, thiệt hại về kinh tế. Theo thống kê của
VNCERT, xu hướng tấn công lừa đảo, mã độc, thay đổi giao diện trở nên phỗ
biến. Cụ thể, đã có 4.484 sự cố tấn cơng lừa đảo, 6.122 sự cố thay đổi giao
diện, 14.115 sự cố về mã độc và 3.257 sự cố khác được ghi nhận trong 11

tháng đầu năm. Bên cạnh đó, trong các trang Web/cổng thông tin điện tử của
Cơ quan nhà nước đã có 9 Website bị tấn cơng thay đổi giao diện với 144
đường dẫn bị thay đổi; 106 Website bị cài mã độc với 227 đường dẫn phát tán
mã độc, 1 Website bị tấn công cài mã lừa đảo. Các hình thức lừa đảo trực
tuyến gia tăng, bao gồm lừa đảo chiếm đoạt thẻ cào điện thoại di động và tài
khoản mạng xã hội, lấy cắp thông tin cá nhân. Các hình thức quảng cáo rác,
tin nhắn rác vẫn chưa được kiểm sốt. Đặc biệt, tấn cơng có chủ đích vào các
cơ quan nhà nước chiếm 2,5% Quý I và gia tăng 7,1% trong Quý II. Theo
thống kê của hãng bảo mật Kaspersky và Symantec, VN nằm trong số các
nước có số người dùng di động bị mã độc tấn cơng nhiều nhất thế giới. Gần
50% người dùng có nguy cơ nhiễm mã độc khi sử dụng Internet trên máy
tính. Loại mã độc đáng lo ngại nhất hiện nay là mã độc tống tiền –
Ransomware.
1.2. GIỚI THIỆU VỀ AN NINH MẠNG
1.2.1. Các khái niệm về an ninh mạng
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các
máy tính nhất là các máy tính trong cơng ty, doanh nghiệp được nối mạng


8

Lan và Internet. Các hacker có thể tấn cơng vào máy tính hoặc cả hệ thống
của chúng ta bất cứ lúc nào.
Vậy an tồn mạng có nghĩa là bảo vệ hệ thống mạng máy tính khỏi sự
phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho
phép từ những người cố ý hay vơ tình. An tồn mạng cung cấp giải pháp,
chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng
trái phép, cũng như các phần mềm chứa mã độc xâm nhập bất hợp pháp vào
máy tính, hệ thống mạng của chúng ta.
1.2.2. Các thành phần cần được bảo vệ trong hệ thống mạng

Thành phần đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên
hệ thống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính tồn
vẹn hay tính kịp thời. Thông thường yêu cầu về bảo mật được coi là yêu cầu
quan trọng đối với thông tin lưu trữ trên mạng. Tuy nhiên, ngay cả khi những
thông tin không được giữ bí mật, thì u cầu về tính tồn vẹn cũng rất quan
trọng. Không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và
thời gian để lưu trữ những thơng tin mà khơng biết về tính đúng đắn của
những thơng tin đó.
Thành phần thứ hai là về tài nguyên hệ thống, sau khi các chương trình
tấn công đã làm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy
các chương trình như dị tìm mật khẩu để tấn cơng vào hệ thống mạng.
Thành phần thứ ba là danh tiếng một khi dữ liệu bị đánh cắp thì việc
nghi ngờ nhau trong cơng ty là điều khơng tránh khỏi, vì vậy sẽ ảnh hưởng
đến danh tiếng của cơng ty rất nhiều. Vì vậy, phịng chống tấn công cũng là
cách để bảo vệ đội ngũ quản trị mạng của công ty.
1.2.3. Các thành phần đảm bảo an tồn thơng tin
An tồn thơng tin nghĩa là thông tin được bảo vệ, các hệ thống và những
dịch vụ có khả năng chống lại những tai họa, lỗi và sự tác động không mong


9

đợi. Mục tiêu của an tồn bảo mật trong cơng nghệ thông tin là đưa ra một số
tiêu chuẩn an toàn và ứng dụng các tiêu chuẩn an toàn này để loại trừ hoặc
giảm bớt các nguy hiểm.
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe dọa tới độ
an tồn thơng tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác
nhau, vì vậy các thành phần cần để đảm bảo an toàn thơng tin như sau:
- Tính bí mật: Thơng tin phải đảm bảo tính bí mật và được sử dụng
đúng đối tượng.

- Tính tồn vẹn: Thơng tin phải đảm bảo đầy đủ, ngun vẹn về cấu
trúc, khơng mâu thuẫn.
- Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục
vụ theo đúng mục đích và đúng cách.
- Tính chính xác: Thơng tin phải chính xác, tin cậy.
- Tính khơng khước từ (chống chối bỏ): Thơng tin có thể kiểm
chứng được nguồn gốc hoặc người đưa tin.
Nguy cơ hệ thống (Risk) được hình thành bởi sự kết hợp giữa lỗ hổng hệ
thống và các mối đe doạ đến hệ thống, nguy cơ hệ thống có thể định nghĩa
trong ba cấp độ thấp, trung bình và cao. Để xác định nguy cơ đối với hệ thống
trước tiên ta phải đánh giá nguy cơ hệ thống theo Hình 1.1.

Hình 1.1. Quá trình đánh giá nguy cơ của hệ thống


10

+ Xác định các lỗ hổng hệ thống
Việc xác định các lỗ hổng hệ thống được bắt đầu từ các điểm truy cập
vào hệ thống như:
- Kết nối mạng Internet
- Các điểm kết nối từ xa
- Kết nối các tổ chức khác
- Các môi trường truy cập vật lý hệ thống
- Các điểm truy cập người dùng
- Các điểm truy cập không dây
Ở mỗi điểm truy cập, ta phải xác định được các thơng tin có thể truy cập
và mức độ truy cập vào hệ thống.
+ Xác định các mối đe dọa
Đây là một cơng việc khó khăn vì các mối đe dọa thường không xuất

hiện rõ ràng (ẩn), thời điểm và quy mô tấn công không biết trước. Các hình
thức và kỹ thuật tấn cơng đa dạng như:
- DoS/DDoS, BackDoor, Tràn bộ đệm,…
- Virus, Trojan Horse, Worm
- Social Engineering
+ Các biện pháp an toàn hệ thống
Các biện pháp an toàn hệ thống gồm firewall, phần mềm diệt vi rút, điều
khiển truy cập, hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng),
mã hoá dữ liệu, hệ thống xâm nhập IDS, các kỹ thuật khác, ý thức người
dùng, hệ thống chính sách bảo mật và tự động vá lỗ hệ thống.
1.3. CÁC LỖ HỔNG BẢO MẬT
Có nhiều các tổ chức đã tiến hành phân loại các dạng lỗ hổng đặc biệt.
Theo Bộ Quốc phòng Mỹ các loại lỗ hổng được phân làm ba loại như sau:


11

1.3.1. Lỗ hổng loại C
Cho phép thực hiện các hình thức tấn công theo DoS. Mức độ nguy hiểm
thấp chỉ ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ hệ thống, không phá
hỏng dữ liệu hoặc đạt được quyền truy cập bất hợp pháp.
DoS là hình thức tấn cơng sử dụng các giao thức ở tầng Internet trong bộ
giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người
sử dụng hợp pháp truy nhập hay sử dụng hệ thống.
Các dịch vụ có lỗ hổng cho phép các cuộc tấn cơng DoS có thể được
nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp
dịch vụ. Hiện nay chưa có một biện pháp hữu hiệu nào để khắc phục tình
trạng tấn cơng kiểu này vì bản thân thiết kế ở tầng Internet (IP) nói riêng và
bộ giao thức TCP/IP nói chung đã ẩn chứa những nguy cơ tiềm tàng của các
lỗ hổng loại này.

1.3.2. Lỗ hổng loại B
Cho phép người sử dụng có thêm các quyền trên hệ thống mà khơng cần
kiểm tra tính hợp lệ dẫn đến mất mát thông tin yêu cầu cần bảo mật. Lỗ hổng
này thường có trong các ứng dụng trên hệ thống. Lỗ hổng loại này có mức độ
nguy hiểm trung bình.
Lỗ hổng loại B này có mức độ nguy hiểm hơn lỗ hổng loại C. Cho phép
người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không
hợp pháp.Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ
thống. Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ
thống với một số quyền hạn nhất định.
Một dạng khác của lỗ hổng loại B xảy ra với các chương trình viết bằng
mã nguồn C. Những chương trình viết bằng mã nguồn C thường sử dụng một
vùng đệm, một vùng trong bộ nhớ sử dụng để lưu trữ dữ liệu trước khi xử lý.
Người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một


12

khoảng không gian bộ nhớ cho từng khối dữ liệu. Ví dụ khi viết chương trình
nhập trường tên người sử dụng quy định trường này dài 20 ký tự bằng khai
báo:
Khai báo trường Char first_name [19] cho phép người sử dụng nhập tối
đa 20 ký tự. Khi nhập dữ liệu ban đầu dữ liệu được lưu ở vùng đệm. Khi
người sử dụng nhập nhiều hơn 20 ký tự sẽ tràn vùng đệm. Những ký tự nhập
thừa sẽ nằm ngoài vùng đệm khiến ta khơng thể kiểm sốt được. Nhưng đối
với những hacker chúng có thể lợi dụng những lỗ hổng này để nhập vào
những ký tự đặc biệt để thực thi một số lệnh đặc biệt trên hệ thống. Thông
thường những lỗ hổng này được lợi dụng bởi những người sử dụng trên hệ
thống để đạt được quyền root không hợp lệ. Để hạn chế được các lỗ hổng loại
B phải kiêm sốt chặt chẽ cấu hình hệ thống và các chương trình.

1.3.3. Lỗ hổng loại A
Cho phép người ngồi hệ thống có thể truy cập bất hợp pháp vào hệ
thống. Có thể làm phá huỷ tồn bộ hệ thống. Loại lỗ hổng này có mức độ rất
nguy hiểm đe dọa tính tồn vẹn và bảo mật của hệ thống. Các lỗ hổng này
thường xuất hiện ở những hệ thống quản trị yếu kém hoặc khơng kiểm sốt
được cấu hình mạng. Ví dụ với các Web Server chạy trên hệ điều hành Novell
các Server này có một scripst là convert.bas chạy scripst này cho phép đọc
toàn bộ nội dung các file trên hệ thống. Những lỗ hổng loại này hết sức nguy
hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng, người quản trị nếu không
hiểu sâu về dịch vụ và phần mềm sử dụng có thể bỏ qua điểm yếu này. Vì vậy
thường xuyên phải kiểm tra các thơng báo của các nhóm tin về bảo mật trên
mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên
bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet,
Sendmail, ARP, finger,...


13

1.4. CÁC KIỂU TẤN CƠNG CỦA HACKER
1.4.1. Tấn cơng trực tiếp
Sử dụng một máy tính để tấn cơng một máy tính khác với mục đích dị
tìm mật mã, tên tài khoản tương ứng,… Họ có thể sử dụng một số chương
trình giải mã để giải mã các file chứa mật khẩu trên hệ thống máy tính của
nạn nhân. Do đó, những mật khẩu ngắn và đơn giản thường rất dễ bị phát
hiện.
Ngồi ra, hacker có thể tấn cơng trực tiếp thơng qua các lỗi của chương
trình hay hệ điều hành làm cho hệ thống đó tê liệt hoặc hư hỏng. Trong một
số trường hợp, hacker đoạt được quyền của người quản trị hệ thống.
1.4.2. Kỹ thuật đánh lừa Social Engineering
Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và

thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của
nó. Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn cơng vào và phá
hủy hệ thống.
Ví dụ : kỹ thuật đánh lừa Fake Email Login.
Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì bạn phải nhập thơng
tin tài khoản của mình bao gồm username và password rồi gửi thông tin đến
Mail Server xử lý. Lợi dụng việc này, những người tấn công đã thiết kế một
trang Web giống hệt như trang đăng nhập mà bạn hay sử dụng. Tuy nhiên, đó
là một trang Web giả và tất cả thông tin mà bạn điền vào đều được gửi đến
cho họ. Kết quả, bạn bị đánh cắp mật khẩu !
Nếu là người quản trị mạng, bạn nên lưu ý các email, messenger, điện
thoại yêu cầu khai báo thông tin. Những mối quan hệ cá nhân hay những cuộc
tiếp xúc là mối nguy hiểm tiềm tàng.
1.4.3. Kỹ thuật tấn công vào vùng ẩn
Những phần bị dấu đi trong các Website thường chứa những thông tin về


14

phiên làm việc của các client. Các phiên làm việc này thường được ghi lại ở
máy khách chứ không tổ chức cơ sở dữ liệu trên máy chủ. Vì vậy, người tấn
cơng có thể sử dụng chiêu thức View Source của trình duyệt để đọc phần đầu
đi này và từ đó có thể tìm ra các sơ hở của trang Web mà họ muốn tấn cơng.
Từ đó, có thể tấn công vào hệ thống máy chủ.
1.4.4. Tấn công vào các lỗ hổng bảo mật
Hiện, nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ
điều hành, các Web Server hay các phần mềm khác,... Và các hãng sản xuất
luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ
hổng của các phiên bản trước. Do đó, người sử dụng phải luôn cập nhật thông
tin và nâng cấp phiên bản cũ mà mình đang sử dụng nếu khơng các hacker sẽ

lợi dụng điều này để tấn công vào hệ thống.
Thông thường, các forum của các hãng nổi tiếng luôn cập nhật các lỗ
hổng bảo mật và việc khai thác các lỗ hổng đó như thế nào thì tùy từng người.
1.4.5. Khai thác tình trạng tràn bộ đệm
Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu được gửi quá nhiều so
với khả năng xử lý của hệ thống hay CPU. Nếu hacker khai thác tình trạng
tràn bộ đệm này thì họ có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ
thống mất khả năng kiểm soát.
Để khai thác được việc này, hacker cần biết kiến thức về tổ chức bộ nhớ,
stack, các lệnh gọi hàm, Shellcode.
Khi hacker khai thác lỗi tràn bộ đệm trên một hệ thống, họ có thể đoạt
quyền root trên hệ thống đó. Đối với nhà quản trị, tránh việc tràn bộ đệm
khơng mấy khó khăn, họ chỉ cần tạo các chương trình an tồn ngay từ khi
thiết kế.
1.4.6. Nghe trộm
Các hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm


15

và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc
đọc trộm luồng dữ liệu truyền qua.
Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing
hoặc snooping. Nó sẽ thu thập những thông tin quý giá về hệ thống như một
packet chứa password và username của một ai đó. Các chương trình nghe
trộm cịn được gọi là các sniffing. Các sniffing này có nhiệm vụ lắng nghe các
cổng của một hệ thống mà hacker muốn nghe trộm. Nó sẽ thu thập dữ liệu
trên các cổng này và chuyển về cho hacker.
1.4.7. Kỹ thuật giả mạo địa chỉ
Thông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng

bức tường lửa. Bức tường lửa có thể hiểu là cổng duy nhất mà người đi vào
nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”. Bức tường lửa hạn chế rất
nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin tưởng lẫn nhau trong
việc sử dụng tào nguyên chia sẻ trong mạng nội bộ.
Sự giả mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính
của mình là một trong những máy tính của hệ thống cần tấn cơng. Họ tự đặt
địa chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong
mạng bị tấn cơng. Nếu như làm được điều này, hacker có thể lấy dữ liệu, phá
hủy thông tin hay phá hoại hệ thống.
1.4.8. Kỹ thuật chèn mã lệnh
Một kỹ thuật tấn công căn bản và được sử dụng cho một số kỹ thuật tấn
công khác là chèn mã lệnh vào trang Web từ một máy khách bất kỳ của người
tấn công.
Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi
vào phiên làm việc trên Web của một người dùng khác. Khi mã lệnh này
chạy, nó sẽ cho phép người tấn công thực hiện nhiều nhiều chuyện như giám
sát phiên làm việc trên trang Web hoặc có thể tồn quyền điều khiển máy tính


16

của nạn nhân. Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào
khả năng và sự linh hoạt của người tấn công.
1.4.9. Tấn công vào hệ thống có cấu hình khơng an tồn
Cấu hình khơng an tồn cũng là một lỗ hổng bảo mật của hệ thống. Các
lỗ hổng này được tạo ra do các ứng dụng có các thiết lập khơng an tồn hoặc
người quản trị hệ thống định cấu hình khơng an tồn. Chẳng hạn như cấu hình
máy chủ Web cho phép ai cũng có quyền duyệt qua hệ thống thư mục. Việc
thiết lập như trên có thể làm lộ các thơng tin nhạy cảm như mã nguồn, mật
khẩu hay các thông tin của khách hàng.

Nếu quản trị hệ thống cấu hình hệ thống khơng an tồn sẽ rất nguy hiểm
vì nếu người tấn cơng duyệt qua được các file pass thì họ có thể download và
giải mã ra, khi đó họ có thể làm được nhiều thứ trên hệ thống.
1.4.10. Tấn công dùng cookies
Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa
Website và trình duyệt của người dùng.
Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới
4KB). Chúng được các site tạo ra để lưu trữ, truy tìm, nhận biết các thơng tin
về người dùng đã ghé thăm site và những vùng mà họ đi qua trong site.
Những thơng tin này có thể bao gồm tên, định danh người dùng, mật khẩu, sở
thích, thói quen,
Cookies được Browser của người dùng chấp nhận lưu trên đĩa cứng của
máy tính, khơng phải Browser nào cũng hỗ trợ cookies.
1.4.11. Can thiệp vào tham số URL
Đây là cách tấn công đưa tham số trực tiếp vào URL. Việc tấn cơng có
thể dùng các câu lệnh SQL để khai thác cơ sở dữ liệu trên các máy chủ bị lỗi.
Điển hình cho kỹ thuật tấn cơng này là tấn công bằng lỗi “SQL INJECTION”.


17

Kiểu tấn công này gọn nhẹ nhưng hiệu quả bởi người tấn công chỉ cần
một công cụ tấn công duy nhất là trình duyệt Web và backdoor.
1.4.12. Vơ hiệu hóa dịch vụ
Kiểu tấn công này thông thường làm tê liệt một số dịch vụ, được gọi là
DoS.
Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng
bảo mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đưa những
u cầu khơng đâu vào đâu đến các máy tính, thường là các Server trên mạng.
Các yêu cầu này được gửi đến liên tục làm cho hệ thống nghẽn mạch và một

số dịch vụ sẽ không đáp ứng được cho khách hàng.
Đôi khi, những u cầu có trong tấn cơng từ chối dịch vụ là hợp lệ. Ví dụ
một thơng điệp có hành vi tấn cơng, nó hồn tồn hợp lệ về mặt kỹ thuật.
Những thông điệp hợp lệ này sẽ gửi cùng một lúc. Vì trong một thời điểm mà
Server nhận quá nhiều u cầu nên dẫn đến tình trạng là khơng tiếp nhận
thêm các yêu cầu. Đó là biểu hiện của từ chối dịch vụ.
1.4.13. Một số kiểu tấn công khác
Lỗ hổng không cần login: Nếu như các ứng dụng không được thiết kế
chặt chẽ, khơng ràng buộc trình tự các bước khi duyệt ứng dụng thì đây là
một lỗ hổng bảo mật mà các hacker có thể lợi dụng để truy cập thẳng đến các
trang thông tin bên trong mà không cần phải qua bước đăng nhập.
Thay đổi dữ liệu: Sau khi những người tấn công đọc được dữ liệu của
một hệ thống nào đó, họ có thể thay đổi dữ liệu này mà không quan tâm đến
người gửi và người nhận nó. Những hacker có thể sửa đổi những thơng tin
trong packet dữ liệu một cách dễ dàng.
Password-base Attact: Thông thường, hệ thống khi mới cấu hình có
username và password mặc định. Sau khi cấu hình hệ thống, một số admin
vẫn không đổi lại các thiết lập mặc định này. Đây là lỗ hổng giúp những


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×