MỤC LỤC
MỤC LỤC.........................................................................................................................2
DANH MỤC TỪ VIẾT TẮT............................................................................................5
Chương I: Tổng quan về an ninh mạng máy tính..............................................................8
1.1. Khái niệm An Ninh Mạng......................................................................................8
1.2. Tầm quan trọng của An Ninh Mạng.......................................................................8
1.3. Những mối đe dọa đến vấn đề An Ninh Mạng.....................................................10
1.3.1. Unstructured threats – Các mỗi đe dọa không có cấu trúc............................11
1.3.2. Structured threats – Các mối đe dọa có cấu trúc...........................................11
1.3.3. External threats – Các mối đe dọa bên ngoài................................................11
1.3.4. Internal threats – Các mối đe dọa bên trong..................................................12
1.4. Những điểm yếu trong vấn đề bảo mật.................................................................12
1.4.1. Những điểm yếu trong kỹ thuật.....................................................................12
1.4.1.1. Những điểm yếu trong giao thức TCP/IP...............................................12
1.4.1.2. Những điểm yếu trong Hệ điều hành......................................................13
1.4.1.3. Những điểm yếu trong thiết bị mạng......................................................13
1.4.2. Những điểm yếu trong cấu hình....................................................................13
1.4.2.1. Tài khoản người dùng không được bảo mật...........................................13
1.4.2.2. Tài khoản hệ thống có mật khẩu dễ đoán...............................................13
1.4.2.3. Các dịch vụ Internet bị cấu hình sai.......................................................13
1.4.2.4. Những cài đặt mặc định trong sản phẩm không được bảo mật..............14
1.4.2.5. Cấu hình sai thiết bị mạng......................................................................14
1.4.3. Những điểm yếu trong chính sách bảo mật...................................................14
1.5. Các cách thức tấn công mạng...............................................................................15
1.5.1. Tấn công thăm dò..........................................................................................15
1.5.1.1. Packet sniffers.........................................................................................15
1.5.1.2. Port scans và ping sweeps......................................................................16
1.5.1.3. Internet information queries...................................................................17
1.5.2. Tấn công truy cập..........................................................................................17
1.5.2.1. Password attack......................................................................................18
1.5.2.2. Trust exploitation....................................................................................18
1.5.2.3. Port redirection.......................................................................................19
2
1.5.2.4. Man in the middle attack........................................................................19
1.5.3. Tấn công từ chối dịch vụ...............................................................................20
1.5.4. Worms, Virus và Trojan Horses....................................................................22
Chương II: Giới thiệu một số công nghệ và thiết bị bảo mật..........................................24
2.1. Giới thiệu chung về Firewall................................................................................24
2.1.1. Khái niệm và phân loại Firewall....................................................................24
2.1.2. Phương thức hoạt động của Firewall.............................................................26
2.1.3. Tổng quan về Cisco PIX Firewall.................................................................28
2.1.3.1. Đặc tính và chức năng của PIX firewall.................................................28
2.1.3.2. Các dòng PIX firewall của Cisco...........................................................29
a) PIX Firewall 501.........................................................................................29
b) PIX Firewall 506E.......................................................................................31
c) PIX Firewall 515E.......................................................................................32
d) PIX Firewall 525.........................................................................................33
e) PIX Firewall 535.........................................................................................34
2.1.3.3. Nguyên tắc hoạt động của PIX Firewall.................................................35
2.1.4. Tổng quan về Cisco ASA - Adaptive Security Appliance............................37
2.1.4.1. Đặc điểm của Cisco ASA.......................................................................37
2.1.4.2. Các dòng Cisco ASA phổ biến...............................................................37
a) Cisco ASA 5505..........................................................................................38
b) Cisco ASA 5510..........................................................................................39
c) Cisco ASA 5520..........................................................................................40
d) Cisco ASA 5540..........................................................................................40
e) Cisco ASA 5550..........................................................................................41
f) Cisco ASA 5580-20.....................................................................................41
g) Cisco ASA 5580-40....................................................................................42
2.2. Tổng quan về VPN – Virtual Private Network.....................................................43
2.2.1. Khái niệm và chức năng của VPN.................................................................43
2.2.2. Các dạng kết nối của mạng riêng ảo VPN.....................................................44
2.2.2.1. Truy cập VPN từ xa (Remote Access VPN)..........................................44
2.2.2.2. Kết nối Site-to-Site VPN (LAN-to-LAN)..............................................47
2.2.3. Các giao thức trong VPN...............................................................................50
2.2.3.1. Giao thức chuyển tiếp lớp 2 (L2F - Layer 2 Forwarding Protocol).......50
3
2.2.3.2. Giao thức PPTP (Point-to-Point Tunneling Protocol)............................52
2.2.3.3. Giao thức định đường hầm lớp 2 (L2TP- Layer 2 Tunneling Protocol) 53
2.2.3.4. Bộ giao thức IPSec (IP Security Protocol).............................................55
a) Cấu trúc bảo mật của IPSec.........................................................................56
b) Các thành phần bên trong IPSec.................................................................56
c) Các vấn đề còn tồn tại trong IPSec..............................................................62
Chương III: Thiết kế hệ thống mạng và một số giải pháp bảo mật cho Tập Đoàn An
Khánh..............................................................................................................................63
3.1. Giới thiệu tổng thể................................................................................................63
3.2. Hiện trạng hệ thống mạng của Tập Đoàn An Khánh...........................................63
3.3. Những yêu cầu đối với hệ thống mạng mới.........................................................65
3.4. Mô hình mạng và hệ thống bảo mật đề xuất.........................................................65
3.4.1. Mô hình mạng tại các chi nhánh....................................................................65
3.4.2. Mô hình bảo mật dự kiến của Tập Đoàn.......................................................66
3.5. Mô phỏng mô hình thiết kế...................................................................................68
3.5.1. Các phần mềm sử dụng trong mô phỏng.......................................................68
3.5.1.1. GNS3- Graphical Network Simulate 3...................................................68
3.5.1.2. VMware Workstation.............................................................................69
3.5.1.3. Virtual PC Simulator..............................................................................69
3.5.1.4. Cisco Adaptive Security Device Manager..............................................70
3.5.2. Triển khai mô phỏng......................................................................................70
3.5.3. Kết quả...........................................................................................................90
KẾT LUẬN.....................................................................................................................97
TÀI LIỆU THAM KHẢO...............................................................................................99
4
DANH MỤC TỪ VIẾT TẮT
3DES
Triple Data Encryption Standard
Chuẩn mã hóa dữ liệu 3
ACL
Access Control List
Danh sách điều khiển truy cập
CHAP
Challenge-Handshake
Giao thức xác thực thử thách - bắt
DDoS
Authentication Protocol
Distributed Denial of Service
tay
Từ chối dịch vụ được phân tán
DES
Data Encryption Standard
Chuẩn mã hóa dữ liệu
DNS
Domain Name System
Hệ thống tên miền
DoS
Denial of Service
Từ chối dịch vụ
ESP
Encapsulation Security Payload
Đóng gói tải tin an toàn
FTP
File Transfer Protocol
Giao thức truyền File
DHCP
Dynamic Host Configuration
Giao thức cấu hình host động
HTTP
Protocol
Hypertext Transfer Protocol
Giao thức truyền siêu văn bản
ICMP
Internet Control Message Protocol Giao thức thông điệp điều khiển
IDS
Intrusion Detection System
mạng
Hệ thống phát hiện xâm nhập
IKE
Internet Key Exchange
Trao đổi khóa
IPS
Intrusion Prevention System
Hệ thống ngăn chặn xâm nhập
IPSec
Internet Protocol Security
Bảo mật giao thức mạng
L2F
Layer 2 Forwarding Protocol
Giao thức chuyển tiếp lớp 2
L2TP
Layer 2 Tunneling Protocol
Giao thức đường hầm lớp 2
MD5
Message-Digest Algorithm 5
Giải thuật Tiêu hóa tin 5
5
NAT
Network address translation
Dịch địa chỉ mạng
NIC
Network Interface Card
Cạc giao tiếp mạng
PAP
Password Authentication Protocol
Giao thức xác thực mật khẩu
PAT
Port Address Translation
Dịch địa chỉ cổng
PKI
Public Key Infrastructure
Hệ thống mã hóa trên cơ sở mã
PPP
Point-to-Point Protocol
công khai
Giao thức điểm – điểm
PPTP
Point-to-Point Tunneling Protocol
Giao thức đường hầm điểm – điểm
SMTP
Simple Mail Transfer Protocol
Giao thức truyền tải thư tín đơn
giản
Giao thức quản lý mạng đơn giản
SNMP Simple Network Management
SSH
Protocol
Secure Shell
Trình bao bảo mật
VLAN Virtual Local Area Network
Mạng LAN ảo
VPN
Mạng riêng ảo
Virtual Private Network
6
Lời mở đầu
Như chúng ta đã biết, ngày nay Công nghệ thông tin là một ngành không
thể thiếu trong sự phát triển của một xã hội hiện đại. Chỉ với một chiếc máy tính
được nối mạng Internet toàn cầu, mọi người có thể liên lạc, trao đổi thông tin
với: gia đình, bạn bè, đối tác làm ăn…ở khắp mọi nơi trên thế giới.
Chúng ta không thể phủ nhận vai trò hết sức quan trọng của Internet đối
với cuộc sống của con người. Nhưng Internet phát triển kéo theo những mối lo về
loại hình tội phạm công nghệ cao đang hoành hành và đang có xu thế phát triển
mạnh mẽ. Những kẻ này đã lợi dụng Internet để tấn công vào hệ thống mạng của
các tổ chức với những mục đích khác nhau nhưng đã gây ra ít nhiều tổn thất cho
họ. Vì vậy chúng ta cần phải xây dựng một hệ thống an ninh mạnh mẽ và có một
chính sách bảo mật phù hợp để ngăn chặn những rủi ro có thể xảy ra.
Sau thời gian thực tập ở Tập đoàn An Khánh, được tiếp xúc với hệ thống
mạng của Tập đoàn và nhận thấy khả năng bảo mật thô sơ của hệ thống mạng nơi
đây. Chính vì vậy em đã quyết định lựa chọn đề tài: “Thiết kế hệ thống mạng và
một số giải pháp bảo mật cho Tập đoàn An Khánh”. Đồ án gồm 3 chương cụ
thể như sau:
• Chương I: Tổng quan về an ninh mạng máy tính
• Chương II: Giới thiệu một số công nghệ và thiết bị bảo mật
• Chương III: Thiết kế hệ thống mạng và một số giải pháp bảo mật cho
Tập đoàn An Khánh
Do còn hạn chế về một số mặt nên Đồ án không tránh khỏi những thiếu
sót. Vì vậy em rất mong được Thầy, Cô và các bạn đóng góp ý kiến để Đồ án có
thể được hoàn thiện và mở rộng hơn nữa.
7
CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG
MÁY TÍNH
1.1. Khái niệm An Ninh Mạng
Có những lúc, ví dụ như khi một nhân viên rời văn phòng về nhà, kết thúc
một ngày làm việc, người nhân viên đó sẽ bật hệ thống cảnh báo an ninh và đóng
cửa để bảo vệ văn phòng và thiết bị, tài liệu mật quan trọng của mình có trong
đó. Mạng máy tính cũng đỏi hỏi cùng một mức độ bảo vệ như vậy.
Các công nghệ An ninh Mạng bảo vệ mạng của chúng ta trước việc đánh
cắp và sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công
bằng mã độc từ virus và sâu máy tính trên mạng Internet. Nếu không có An ninh
Mạng được triển khai, các công ty sẽ gặp rủi ro trước sự xâm nhập trái phép, sự
ngừng trệ hoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định
và thậm chí là các hành động phạm pháp nữa.
1.2. Tầm quan trọng của An Ninh Mạng
Internet ngày nay đã trở thành mạng dữ liệu công cộng làm cho việc liên
lạc cá nhân, công việc trở nên thuận tiện hơn rất nhiều. Khối lượng trao đổi qua
Internet được tăng theo số mũ mỗi ngày. Ngày càng nhiều các công ty, các chi
nhánh ngân hàng thông qua mạng Internet để liên lạc với nhau.
Rõ ràng mạng Internet đã làm thay đổi cuộc sống của con người, làm thay
đổi công việc kinh doanh làm cho nó trở nên dễ dàng hơn. Nhưng đồng thời với
lợi ích to lớn của nó, mạng Internet cùng với các công nghệ liên quan đã mở ra
một cánh cửa làm tăng số lượng các vụ tấn công vào những công ty, cơ quan và
cả những cá nhân, nơi lưu giữ những dữ liệu nhạy cảm như bí mật Quốc gia, số
liệu tài chính, số liệu cá nhân... Hậu quả của các cuộc tấn công này có thể chỉ là
phiền phức nhỏ, nhưng cũng có thể làm suy yếu hoàn toàn, các dữ liệu quan
trọng bị xóa, sự riêng tư bị xâm phạm, và chỉ sau vài ngày, thậm chí vài giờ sau,
toàn bộ hệ thống có thể bị tê liệt hoàn toàn.
8
Quả thực có thể nói rằng, không đâu lại mất an toàn như trên Internet.
Theo những thống kê của các tổ chức an ninh mạng uy tín thì trong năm 2008 ít
nhất 3 lần, tất cả người sử dụng Internet trên thế giới đã bị đặt trong tình huống
nguy hiểm và người sử dụng Việt Nam cũng nằm trong số đó. Điển hình là sự cố
về lỗ hổng DNS Cache Poisoning. Khi lỗi này chưa được vá, kẻ xấu có thể
chuyển hướng truy nhập vào nơi nào chúng muốn và lừa đảo bất kỳ ai. Tình hình
nguy hiểm tới mức, hầu như tất cả các nhà sản xuất phần cứng hay phần mềm
danh tiếng của thế giới như Sun, Cisco, Microsoft, Apple... đều phải tham gia
phối hợp khắc phục. Hai lần khác là việc xuất hiện những lỗ hổng liên quan đến
hệ điều hành Windows. Trong cả hai sự cố, Microsoft đều phải đưa ra bản vá
khẩn cấp, không theo định kỳ như thông lệ.
Bản báo cáo hồi tháng 1/2009 của Trung tâm Nghiên cứu chiến lược và
quốc tế (CSIS) nói rằng những tên tình báo công nghiệp, gián điệp nước ngoài,
tội phạm internet, và các loại khác "đã xâm nhập vào mạng máy tính được bảo vệ
một cách lỏng lẻo của nước Mỹ và lấy đi nhiều thông tin quý giá". Những "thông
tin" CSIS nêu ra bao gồm các công nghệ quân sự quan trọng, những tài sản trí tuệ
quý giá, những bản thiết kế, kế hoạch, quy trình kinh doanh... mà người ta phải
mất hàng tỉ USD để tạo ra.
Năm 2010, sự kiện “quả bom tấn” WikiLeaks (trang Wikileaks.com) do
nhà báo người Úc Julian Assange đứng đầu liên tục “phát nổ” làm điên đảo giới
tài chính, chính trị khi tung ra những thông tin mật, thậm chí tối mật của các tổ
chức, đủ để chấn động toàn cầu. Theo nhận định của nhiều chuyên gia trong và
ngoài nước tại hội thảo Security World 2011 vừa tổ chức tại Hà Nội, một trong
những nguyên nhân chủ yếu dẫn tới tình trạng WikiLeaks có thể thâu tóm được
trong tay hàng loạt nguồn tài liệu “tối mật” là do tài liệu bị rò rỉ bởi nội bộ nhân
viên trong các tổ chức. Cụ thể, những nguồn thông tin của ngành ngoại giao Mỹ,
của một số ngân hàng, công ty bảo hiểm tại Thụy Sỹ bị “tuồn” ra ngoài được
ngành an ninh của các quốc gia này xác định là do chính những người được nắm
quyền truy cập thông tin nhạy cảm như người điều hành, quản lý các thông tin,
dữ liệu quan trọng liên quan đến tài chính, nhân sự… tiết lộ.
9
Tại Việt Nam chỉ trong ba tháng đầu năm 2010 đã có trên 300 website bị
hacker tấn công. Trước đó, năm 2009 có tới trên 1.000 website bị hacker tấn
công, tăng hơn gấp đôi so với năm 2008 (461 website) và gấp 3 so với năm 2007
(342 website), gây thiệt hại hàng ngàn tỷ đồng cho các doanh nghiệp và cá nhân.
Nguyên nhân chính dẫn đến thực trạng trên là các cá nhân, doanh nghiệp sử dụng
các hệ điều hành, phần mềm không có bản quyền còn nhiều. Bởi vậy, đã xuất
hiện nhiều lỗ hổng an toàn thông tin để hacker, virus lợi dụng tấn công. Đồng
thời, người dùng còn thường xuyên tải các phần mềm không rõ nguồn gốc từ trên
mạng Internet. Theo thống kê được Cục Tin học nghiệp vụ (Bộ Công an) đưa ra,
trong năm 2010, mặc dù có 47% số doanh nghiệp, cơ quan hành chính được điều
tra cho biết đã tăng chi phí đầu tư cho vấn đề an ninh bảo mật thông tin (năm
2009 là 37%), nhưng sự đầu tư này vẫn chưa thực sự hiệu quả, khi mà 2/3 doanh
nghiệp cho hay không biết và cũng không có quy trình phản ứng lại các cuộc tấn
công máy tính. Nguy hiểm hơn là trên 50% tổ chức, cơ quan, doanh nghiệp
không có hoặc không biết xây dựng các quy trình phản ứng.
Qua những thống kê thiệt hại ở trên, cho thấy vấn đề An Ninh Mạng đang
là một vấn đề nóng hổi, cấp bách và cần được các tổ chức, cá nhân đặc biệt quan
tâm chú trọng nhằm đưa ra các giải pháp hợp lý, tránh được những tổn thất nặng
nề không đáng có có thể xảy ra.
1.3. Những mối đe dọa đến vấn đề An Ninh Mạng
Về cơ bản có bốn mối đe dọa đến vấn đề An Ninh Mạng:
• Unstructured threats
• Structured threats
• External threats
• Internal threats
10
Hình 1.1: Những mối đe dọa đối với An Ninh Mạng
1.3.1. Unstructured threats – Các mỗi đe dọa không có cấu trúc
Những mối đe doạ thuộc dạng này được tạo ra bởi những hacker không
lành nghề, họ thật sự không có kinh nghiệm. Những người này ham hiểu biết và
muốn download dữ liệu từ mạng Internet về. Họ thật sự bị thúc đẩy khi nhìn thấy
những gì mà họ có thể tạo ra.
1.3.2. Structured threats – Các mối đe dọa có cấu trúc
Hacker tạo ra dạng này tinh tế hơn dạng unstructured rất nhiều. Họ có kỹ
thuật và sự hiểu biết về cấu trúc hệ thống mạng. Họ thành thạo trong việc làm thế
nào để khai thác những điểm yếu trong mạng. Họ tạo ra một hệ thống có “cấu
trúc” về phương thức xâm nhập sâu vào trong hệ thống mạng.
Cả hai dạng structured và unstructured đều thông qua Internet để thực hiện
tấn công mạng.
1.3.3. External threats – Các mối đe dọa bên ngoài
Xuất phát từ Internet, những người này tìm thấy lỗ hổng trong hệ thống
mạng từ bên ngoài. Khi các công ty bắt đầu quảng bá sự có mặt của họ trên
Internet thì cũng là lúc các hacker rà soát để tìm kiếm điểm yếu, đánh cắp dữ liệu
và phá huỷ hệ thống mạng.
11
1.3.4. Internal threats – Các mối đe dọa bên trong
Mối đe doạ này thật sự rất nguy hiểm bởi vì nó xuất phát từ ngay trong
chính nội bộ, điển hình là nhân viên hoặc bản thân những người quản trị. Họ có
thể thực hiện việc tấn công một cách nhanh, gọn và dễ dàng vì họ am hiểu cấu
trúc cũng như biết rõ điểm yếu của hệ thống mạng.
1.4. Những điểm yếu trong vấn đề bảo mật
Hiểu được những điểm yếu trong bảo mật là một vấn đề hết sức quan
trọng để tiến hành những chính sách bảo mật có hiệu quả. Hiểu những điểm yếu
này giúp bảo mật mạng trước khi bị hacker tấn công.
Cisco xác định những điểm yếu trong bảo mật gồm có: những điểm yếu về
kỹ thuật, về cấu hình, về chính sách.
1.4.1. Những điểm yếu trong kỹ thuật
Điểm yếu trong kỹ thuật gồm có:
• Trong Giao thức
• Trong Hệ điều hành
• Trong Phần cứng
1.4.1.1. Những điểm yếu trong giao thức TCP/IP
Giao thức TCP/IP là điểm yếu trong bảo mật vì nó được thiết kế như một
tiêu chuẩn mở để giúp cho việc trao đổi thông tin được dễ dàng. Điều đó làm cho
nó trở nên được sử dụng rộng rãi nhưng cũng làm cho nó dễ dàng bị tấn công vì
hầu hết mọi người đều thân thuộc với cách thức TCP/IP làm việc.
Hai giao thức mà Cisco thích lựa chọn trong chùm giao thức TCP/IP
nhưng vốn cố hữu lại không được bảo mật là SMTP (TCP) và SNMP (UDP).
Điển hình của kỹ thuật tấn công vào hai giao thức này là IP spoofing, man-inthe-middle và session replay.
12
1.4.1.2. Những điểm yếu trong Hệ điều hành
Trong khi tất cả các hệ điều hành đều có điểm yếu thì Linux và Unix được
xem như là có ít điểm yếu hơn Windows. Nhưng thực tế, hầu hết mọi người dùng
các phiên bản của Windows.
1.4.1.3. Những điểm yếu trong thiết bị mạng
Hầu hết các thiết bị mạng như là servers, switchs, routers… đều có điểm
yếu trong bảo mật. Nhưng có một chính sách tốt cho việc cấu hình và lắp đặt các
thiết bị mạng sẽ làm giảm đi rất nhiều sự ảnh hưởng của điểm yếu này.
1.4.2. Những điểm yếu trong cấu hình
Đây là lỗi do nhà quản trị tạo ra. Lỗi này do các thiếu sót trong việc cấu
hình như là: không bảo mật tài khoản khách hàng, hệ thống tài khoản với
password dễ dàng đoán biết, không bảo mật các cấu hình mặc định trên thiết bị
hay lỗi trong việc cấu hình thiết bị.
1.4.2.1. Tài khoản người dùng không được bảo mật
Mỗi user account cần có usename và password cho mục đích bảo mật. Các
username và password này thường được truyền đi ở dạng clear text trên mạng.
Do đó, cần có chính sách bảo mật user account như mã hoá, authentication…
1.4.2.2. Tài khoản hệ thống có mật khẩu dễ đoán
Một điểm yếu trong lỗi cấu hình khác là bảo mật account với password dễ
dàng bị đánh cắp. Để ngăn chặn tình trạng đó, người quản trị cần có chính sách
để không cho phép một password có hiệu lực mãi mãi mà password này phải có
một thời hạn kết thúc.
1.4.2.3. Các dịch vụ Internet bị cấu hình sai
Một vài công ty đã sử dụng địa chỉ thật trên mạng internet để đánh địa chỉ
cho hosts và servers. Điều này tạo nên điểm yếu mà các hacker sẽ dễ dàng khai
thác thông tin.
Sử dụng giao thức NAT hoặc PAT có thể giải quyết vấn đề trên. Sử dụng
địa chỉ riêng (private address) cho phép đánh địa chỉ hosts và servers mà không
13
cần dùng địa chỉ thật trên mạng, trong khi địa chỉ thật thì được border router định
tuyến ra mạng internet. Nhưng đó không phải là biện pháp tối ưu. Vì port trên
interface kết nối ra internet phải ở trạng thái open cho phép users vào mạng
internet và ngược lại. Đó là lỗ hổng trên bức tường lửa (firewall) mà hacker có
thể tấn công vào. Cisco Secure Private Internet eXchange (PIX) firewall hoặc
Cisco ASA Firewall là biện pháp tối ưu tạo ra tính bảo mật tốt cho mạng.
1.4.2.4. Những cài đặt mặc định trong sản phẩm không được bảo mật
Nhiều sản phẩm phần cứng được cung cấp mà không có password hoặc là
password sẵn có giúp cho nhà quản trị dễ dàng cấu hình thiết bị. Nó làm cho
công việc dễ dàng hơn, như một số thiết bị chỉ cần cắm vào và hoạt động. Điều
này sẽ giúp cho sự tấn công mạng trở nên dễ dàng. Do đó, ta cần phải thiết lập
một chính sách cấu hình bảo mật trên mỗi thiết bị trước khi thiết bị được lắp đặt
vào hệ thống mạng.
1.4.2.5. Cấu hình sai thiết bị mạng
Lỗi cấu hình thiết bị là một lổ hổng có thể khai thác để tấn công mạng:
password yếu, không có chính sách bảo mật hoặc không bảo mật user account…
đều là lỗi cấu hình thiết bị. Phần cứng và những giao thức chạy trên thiết bị cũng
tạo ra lỗ hổng bảo mật trong mạng. Nếu không có chính sách bảo mật cho phần
cứng và những giao thức này thì hacker sẽ lợi dụng để tấn công mạng.
Nếu sử dụng SNMP được thiết lập mặc định thì thông tin có thể bị đánh
cắp một cách dễ dàng và nhanh chóng. Do đó, phải chắc chắn làm mất hiệu lực
của SNMP hoặc là thay đổi thiết lập mặc định SNMP có sẵn.
1.4.3. Những điểm yếu trong chính sách bảo mật
Chính sách bảo mật diễn tả làm thế nào và ở đâu chính sách bảo mật được
thực hiện. Đây là điều kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất.
Điểm yếu trong chính sách bao gồm: thiếu chính sách bảo mật, quản lý lỏng lẻo,
người quản trị không tuân teo một chính sách bảo mật đã đề ra và không có kế
hoạch dự phòng khi sự cố xảy ra.
14
1.5. Các cách thức tấn công mạng
Các hình thức tấn công mạng có thể phân thành 4 dạng như sau:
• Tấn công thăm dò
• Tấn công truy cập
• Từ chối dịch vụ DoS
• Worms, Virus và Trojan Horses
1.5.1. Tấn công thăm dò
Bước đầu hacker ping đến tâm ngắm để xác định địa chỉ IP đích. Sau đó,
hacker xác định những port cũng như những dịch vụ đang “sống” trên địa chỉ IP
đó. Từ những thông tin này, hacker bắt đầu xác định được dạng và phiên bản của
hệ điều hành. Hacker tiến hành đánh cắp dữ liệu hoặc phá huỷ hệ điều hành của
mạng.
Các hình thức tấn công dạng này bao gồm: packet sniffers, port scans,
ping sweeps, internet information queries.
1.5.1.1. Packet sniffers
Là phần mềm ứng dụng dùng một card adapter với promiscuous mode để
bắt giữ tất cả các gói tin gởi xuyên qua một mạng LAN. Kỹ thuật này chỉ thực
hiện được trên cùng một collision domain. Packet sniffers sẽ khai thác những
thông tin được truyền ở dạng clear text. Những giao thức truyền ở dạng clear text
bao gồm: Telnet, FTP, SNMP, POP, HTTP… Bởi vì packet được truyền đi
không được mã hoá như trên, nó có thể bị xử lý bởi bất kỳ ai sử dụng kỹ thuật
packet sniffers.
Những công cụ sau được dùng ngăn cản packet sniffers gồm:
authentication, switched infrastructured, antisniffer và cryptography.
Authentication: Kỹ thuật xác thực này được thực hiện phổ biến như one-type
password (OTPs). Kỹ thuật này được thực hiện bao gồm hai yếu tố: personal
identification number (PIN) và token card để xác thực một thiết bị hoặc một phần
mềm ứng dụng.
15
Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một
cách ngẫu nhiên (password) tại một thời điểm, thường là 60 giây.
Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password
duy nhất. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers,
thông tin đó cũng không có giá trị vì nó đã hết hạn.
Switched infrastructured: Kỹ thuật này có thể dùng để ngăn chặn packet sniffers
trong môi trường mạng. Ví dụ: nếu toàn bộ hệ thống sử dụng switch ethernet,
hacker chỉ có thể xâm nhập vào luồng traffic đang lưu thông tại 1 host mà hacker
kết nối đến. Kỹ thuật này không làm ngăn chặn hoàn toàn packet sniffer nhưng
nó có thể giảm được tầm ảnh hưởng của nó.
Antisniffer tools: Là những phần mềm và phần cứng được thiết kế để ngăn chặn
sniffer. Thật sự những ứng dụng này không ngăn chặn được hoàn toàn nguy cơ bị
sniffer nhưng cũng giống như những công cụ khác, nó là một phần của toàn bộ
hệ thống.
Cryptography: Kỹ thuật mã hoá này giúp cho dữ liệu được truyền đi qua mạng
mà không ở dạng clear text. Giả sử hacker có bắt được dữ liệu thì cũng không thể
giải mã được thông tin.
Phương pháp này có hiệu lực hơn so với việc dò tìm và ngăn cản sniffer.
Nếu như một kênh truyền được mã hoá, dữ liệu mà packet sniffer dò tìm được
cũng không có giá trị và không phải là thông tin chính xác ban đầu.
Hệ thống mã hóa của Cisco dựa trên kỹ thuật IPSec, giao thức mã hóa
“đường hầm” dựa trên địa chỉ IP. Những giao thức gồm: Secure Shell Protocol
(SSH) và Secure Socket Layer (SSL).
1.5.1.2. Port scans và ping sweeps
Kỹ thuật này được tiến hành nhằm những mục đích như sau:
• Xác định những dịch vụ trong mạng
• Xác định các host và thiết bị đang vận hành trong mạng
• Xác định hệ điều hành trong hệ thống
16
• Xác định tất cả các điểm yếu trong mạng, từ đó tiến hành những mục
đích khác.
Với kỹ thuật ping sweeps, hacker có thể xác định một danh sách các host
đang sống trong một môi trường. Từ đó, hacker sử dụng công cụ port scans xoay
vòng qua tất cả các port và cung cấp một danh sách đầy đủ các dịch vụ đang chạy
trên host đã tìm thấy bởi ping sweeps. Công viêc tiếp theo là hacker xác định
những dịch vụ có điểm yếu và bắt đầu tấn công vào điểm yếu này.
Kỹ thuật IDS được dùng để cảnh báo cho nhà quản trị khi có
reconnaissance attacks như là port scans va ping sweeps. IDS giúp nhà quản trị
có sự chuẩn bị tốt nhằm ngăn cản hacker.
1.5.1.3. Internet information queries
DNS queries có thể chỉ ra nhiều thông tin như là người sở hữu một
domain nào đó và range địa chỉ nào được ấn định cho domain đó. Hacker sử
dụng công cụ này để “trinh sát” tìm ra các thông tin trên mạng. Cùng với port
scans và ping sweeps, sau khi tìm ra được những thông tin đầy đủ như các port
active, các giao thức chạy trên port đó, hacker tiến hành kiểm tra những đặc
trưng của các ứng dụng này để tìm ra điểm yếu và bắt đầu tấn công.
1.5.2. Tấn công truy cập
Trong phương pháp này, kẻ xâm nhập điển hình tấn công vào mạng nhằm:
đánh cắp dữ liệu, giành lấy quyền access, và giành lấy những đặc quyền access
sau này. Tấn công truy cập có thể bao gồm:
• Password attack
• Trust exploitation
• Port redirection
• Man in the middle attack
17
1.5.2.1. Password attack
Hacker có thể xâm nhập hệ thống dùng các kỹ thuật brute-force attacks,
trojan horce, IP spoofing va packet sniffer.
Thường một cuộc tấn công brute-force attack được thực hiện dùng 1 chu
trình chạy xuyên qua mạng và cố gắng xen vào chia sẻ môi trường. Khi hacker
giành được quyền access đến một nguồn tài nguyên, hacker cùng với user cùng
chia sẻ quyền lợi. Nếu như có đủ tài nguyên thì hacker sẽ tạo ra một của sổ kín
cho lần access sau.
Hacker có thể làm thay đổi bảng định tuyến trong mạng. Điều đó chắc
chắn làm tất cả các gói tin sẽ được gởi đến hacker trước khi được gởi đến đích
cuối cùng. Trong một vài trường hợp, hacker có thể giám sát tất cả các traffic,
thật sự trở thành một man in the middle.
Ta có thể hạn chế password attack bằng những cách sau:
• Không cho phép user dùng cùng password trên các hệ thống.
• Làm mất hiệu lực account sau một vài lần login không thành công. Bước
kiểm tra này giúp ngăn chặn việc rà soát password nhiều lần.
• Không dùng passwords dạng clear text: dùng kỹ thuật OTP hoặc mã hoá
password như đã trình bày phần trên.
• Dùng “strong” passwords: Dạng password này dùng ít nhất 8 ký tự, chứa
các uppercase letters, lowercase letters, những con số và những ký tự đặc
biệt.
1.5.2.2. Trust exploitation
Đây là phương pháp “khai thác tin cậy”, nó dựa vào các mối quan hệ tin
cậy bên trong mạng. Bình thường, nếu hai domain có mối quan hệ tin cậy với
nhau thì cho phép thiết bị domain này có thể access vào domain kia. Hacker sẽ
lợi dụng sơ hở trong mối quan hệ tin cậy nhằm khai thác các sai sót trong mối
quan hệ này để thoả hiệp, tức là để kiểm soát. Hệ thống bên ngoài firewall sẽ có
mối quan hệ hoàn toàn không tin cậy với hệ thống bên trong firewall.
18
1.5.2.3. Port redirection
Là một dạng khác của trust exploitation attack mà nó sử dụng một host
thoả hiệp nhằm lấy giấy phép ra vào firewall. Ta có thể tượng như là một firewall
với 3 interface và mỗi interface kết nối với 1 host. Host ở bên ngoài có thể hướng
đến host ở public services (thường được gọi là demilitanized zone- DMZ). Và
host ở public services có thể hướng tới cả host ở bên trong hay bên ngoài
firewall. Hacker làm cho host ở public service trở thành 1 host thoả hiệp. Hacker
đặt một phần mềm tại host này nhằm tạo ra một traffic trực tiếp từ host outside
đến host inside. Kết nối này sẽ không thực hiện thông qua firewall. Như vậy, host
bên ngoài giành được quyền kết nối với host bên trong thông qua quy trình port
redirection tại host trung tâm (public services host).
1.5.2.4. Man in the middle attack
Kỹ thuật man in the middle được thực hiện bao gồm:
• Netword packet sniffers
• Giao thức routing và transport.
• Tấn công man in the middle nhằm mục đích:
Đánh cắp dữ liệu
Giành lấy một phiên giao dịch
Phân tích traffic trong mạng
DoS tấn công từ chối dịch vụ
Phá hỏng dữ liệu được truyền
Một ví dụ của man in the middle attack đó là: một người làm việc cho ISP
và cố gắng access đến tất cả các gói dữ liệu vận chuyển giữa ISP và bất kỳ một
mạng nào khác. Có thể ngăn chặn hình thức tấn công này bằng kỹ thuật mã hoá:
mã hoá traffic trong một đường hầm IPSec, hacker sẽ chỉ nhìn thấy những thông
tin không có giá trị.
19
1.5.3. Tấn công từ chối dịch vụ
Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối
dịch vụ phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy
tính không thể sử dụng được nhằm vào những người dùng của nó. Mặc dù
phương tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác
nhau, nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người
hay nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành
hiệu quả hoặc trong tất cả, tạm thời hay một cách không xác định. Thủ phạm tấn
công từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân
hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS root servers. Một phương
thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các yêu cầu liên
lạc bên ngoài, đến mức nó không thể đáp ứng giao thông hợp pháp, hoặc đáp ứng
quá chậm. Trong điều kiện chung, các cuộc tấn công DoS được bổ sung bởi ép
máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó
không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng và nạn
nhân.
Hình 1.2: Tấn công từ chối dịch vụ - DoS
20
Nhận diện:
US-CERT xác định dấu hiệu của một vụ tấn công từ chối dịch vụ gồm có :
• Mạng thực thi chậm khác thường (mở file hay truy cập Website).
• Không thể dùng một Website cụ thể.
• Không có thể truy cập bất kỳ Website nào
• Tăng lượng thư rác nhận được (như một trận "boom mail")
• Không phải tất các các dịch vụ ngừng chạy, thậm chí đó là kết quả của
một hoạt động nguy hại, tất yếu của tấn công DoS.
Các phương thức tấn công:
Tấn công từ chối dịch vụ là một loại hình tấn công nhằm ngăn chặn những
người dùng hợp lệ được sử dụng một dịch vụ nào đó. Các cuộc tấn công có thể
được thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm là tấn công vào
các thiết bị định tuyến, web, thư điện tử và hệ thống DNS.
Tấn công từ chối dịch vụ có thể được thực hiện theo một số cách nhất
định. Có năm kiểu tấn công cơ bản sau đây:
• Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng
hoặc thời gian xử lý
• Phá vỡ các thông tin cấu hình như thông tin định tuyến
• Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.
• Phá vỡ các thành phần vật lý của mạng máy tính
• Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng và nạn
nhân dẫn đến việc liên lạc giữa hai bên không được thông suốt.
Một cuộc tấn công từ chối dịch vụ có thể bao gồm cả việc thực thi malware
nhằm:
• Làm quá tải năng lực xử lý, dẫn đến hệ thống không thể thực thi bất kì
một công việc nào khác.
21
• Những lỗi gọi tức thì trong microcode của máy tính.
• Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạng
thái hoạt động không ổn định hoặc bị treo.
1.5.4. Worms, Virus và Trojan Horses
Worm (sâu máy tính) là một loại virus máy tính chuyên tìm kiếm mọi dữ
liệu trong bộ nhớ hoặc trong đĩa, làm thay đổi bất kỳ dữ liệu nào mà nó gặp.
Hành động thay đổi này có thể là chuyển các ký tự thành các con số hoặc là trao
đổi các byte được lưu trữ trong bộ nhớ. Những dữ liệu bị hỏng thường không
khôi phục được.
Virus hay chương trình virus là một chương trình máy tính được thiết kế
mà có thể tự lây lan bằng cách gắn vào các chương trình khác và tiến hành các
thao tác vô ích, vô nghĩa, đôi khi là phá hoại. Khi virus phát tác chúng gây nhiều
hậu quả nghiêm trọng: từ những thông báo sai lệch đến những tác động làm lệch
lạc khả năng thực hiện của phần mềm hệ thống hoặc xóa sạch mọi thông tin trên
đĩa cứng.
Trojan Horse (con ngựa thành Troa) là một chương trình xuất hiện để thực
hiện chức năng có ích, đồng thời có chứa các mã hoặc các lệnh ẩn gây hỏng đối
với hệ máy đang chạy nó.
Các phần mềm nguy hiểm trên được cài đặt vào các máy tính nhằm phá
hủy, hư hại hệ thống hoặc ngăn chặn các dịch vụ, các truy nhập tới mạng. Bản
chất và mức độ nguy hiểm của những mối đe dọa này thay đổi theo thời gian.
Những virus đơn giản từ những năm 80 đã trở nên phức tạp hơn và là những
virus phá hủy, là công cụ tấn công hệ thống trong những năm gần đây. Khả năng
tự lan rộng của “sâu máy tính” đem lại những mối nguy hiểm mới. Như trước
đây chúng cần tới vài ngày hay vài tuần để tự lan rộng thì ngày nay chúng có thể
lan rộng trên toàn thế giới chỉ trong vòng vài phút. Một ví dụ là “sâu” Slammer
bắt đầu từ tháng 01/2003, đã nhân rộng trên toàn thế giới chỉ dưới 10 phút.
Người ta cho rằng các thế hệ tiếp theo của virus có thể tấn công chỉ trong vài
giây. Những loại “sâu máy tính” và virus này có thể làm được nhiều nhiệm vụ
22
khác nữa, không chỉ đơn thuần là phá hủy tài nguyên mạng, chúng còn được sử
dụng để phá hủy những thông tin đang truyền trên mạng hoặc xóa ổ cứng. Vì vậy
trong tương lai sẽ có một mối đe dọa rất lớn ảnh hưởng trực tiếp tới cơ sở hạ tầng
của hệ thống mạng.
23
CHƯƠNG II: GIỚI THIỆU MỘT SỐ CÔNG NGHỆ
VÀ THIẾT BỊ BẢO MẬT
2.1. Giới thiệu chung về Firewall
2.1.1. Khái niệm và phân loại Firewall
Khi máy tính kết nối với Internet hay trong một môi trường mạng cục bộ,
khi đó tất cả các giao tiếp của mạng nội bộ với thế giới bên ngoài coi như là bỏ
ngỏ, mọi thông tin dữ liệu trên máy tính của mạng nội bộ không có sự bảo vệ.
Điều này được ví như nhà không có khóa cửa, khi đó mọi đồ đạc trong nhà đều
không được bảo vệ trước những kẻ có ý nhòm ngó.
Dữ liệu trong máy tính cũng như thế, nếu người dùng không bảo vệ
chúng, không có khóa bảo vệ, không có những chính sách bảo mật, cơ hội bị mất
hay thất thoát là điều không thể tránh khỏi. Để hạn chế tình trạng này và cũng là
để góp phần làm tăng khả năng bảo mật thì việc xây dựng hệ thống tường lửa
Firewall là điều kiện không thể thiếu. Vậy Firewall là gì?
Thuật ngữ Firewall theo như trong tài liệu kỹ thuật thiết kế xây dựng: là
bức tường để ngăn chặn, hạn chế hoả hoạn từ bên trong ra bên ngoài và ngược
lại, nó góp phần đảm bảo an toàn cho kiến trúc công trình, cho nội thất bên trong.
Trong Tin học, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng
để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng
như hạn chế sự xâm nhập vào hệ thống của một số hacker hay gián điệp. Firewall
được miêu tả như là hệ phòng thủ bao quanh với các “chốt” kết nối để kiểm soát
tất cả các luồng thông tin nhập xuất. Firewall có thể theo dõi và khóa truy cập tại
các chốt này.
24
Hình 2.1: Ví dụ về tường lửa trong Tin Học
Các mạng riêng nối với Internet thường bị đe dọa bởi những kẻ tấn công.
Để bảo vệ dữ liệu bên trong người ta thường dùng Firewall. Firewall cho phép
người dùng hợp lệ đi qua và chặn lại những người dùng không hợp lệ.
Firewall có thể là thiết bị phần cứng hoặc chương trình phần mềm hoặc
kết hợp cả hai. Trong mọi trường hợp, nó phải có ít nhất hai giao tiếp mạng, một
cho mạng mà nó bảo vệ, một cho mạng bên ngoài. Firewall có thể là gateway
hoặc điểm nối liền giữa hai mạng, thường là một mạng riêng và một mạng công
cộng như là Internet. Các Firewall đầu tiên là các router đơn giản. Firewall được
chia làm hai loại: Firewall cứng và Firewall mềm
• Firewall cứng:
Không được linh hoạt như Firewall mềm: Không thể thêm chức năng,
thêm quy tắc như firewall mềm
Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng
Network và tầng Transport)
Firewall cứng không thể kiểm tra được nội dung của gói tin.
25
Hình 2.2: Ví dụ về Firewall cứng
• Firewall mềm: Là những Firewall được cài đặt trên Server
Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng
dụng)
Firewal mềm có thể kiểm tra được nội dung của gói tin (thông qua các
từ khóa). Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…
Hình 2.3: Ví dụ về Firewall mềm
2.1.2. Phương thức hoạt động của Firewall
Một Firewall hoạt động dựa trên 3 kỹ thuật sau:
• Packet Filtering: Một tường lửa có thể sử dụng packet filtering để giới
hạn thông tin đi vào một mạng hoặc thông tin di chuyển từ một đoạn
mạng này sang một đoạn mạng khác. Packet filtering sử dụng danh sách
điều khiển truy cập (ACLs), nó cho phép một tường lửa xác nhận hay phủ
nhận việc truy cập dựa trên kiểu của gói tin và các biến khác. Phương
pháp này có hiệu quả khi một mạng được bảo vệ nhận gói tin từ một mạng
không được bảo vệ khác. Bất kỳ gói tin nào được gửi đến một mạng đã
được bảo vệ và không đúng với các tiêu chuẩn được định nghĩa bởi ACLs
đều bị hủy. Một số vấn đề với Packet Filtering:
26