Tải bản đầy đủ (.pdf) (104 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

Nghiên cứu và ứng dụng hệ thống phát hiện và chống xâm nhập phối hợp CIDS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.79 MB, 104 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

NGUYỄN THỊ THANH HUYỀN

NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG
XÂM NHẬP PHỐI HỢP - CIDS

Chuyên ngành: KỸ THUẬT TRUYỀN THÔNG

LUẬN VĂN THẠC SĨ KỸ THUẬT
Kỹ thuật truyền thông

NGƯỜI HƯỚNG DẪN KHOA HỌC:
TS. PHẠM DOÃN TĨNH

Hà Nội – Năm 2014


MỤC LỤC
LỜI CAM ĐOAN ....................................................................................................... 3
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT.............................................. 4
DANH MỤC CÁC BẢNG.......................................................................................... 5
DANH MỤC HÌNH VẼ .............................................................................................. 6
LỜI MỞ ĐẦU ............................................................................................................. 8
Chương 1 - TỔNG QUAN VỀ AN NINH MẠNG ................................................. 10
1.1.

Các vấn đề về an ninh mạng ........................................................................ 10


1.1.1.

Một số lỗ hổng về an ninh mạng .......................................................... 10

1.1.2.

Một số phương thức tấn công trong mạng ............................................ 11

1.2.

Các giải pháp trong triển khai an ninh mạng............................................... 21

1.2.1.

Các chiến lược bảo vệ mạng ................................................................. 21

1.2.2.

Các kỹ thuật bảo mật ............................................................................ 23

Chương 2 - MÔ HÌNH PHÁT HIỆN XÂM NHẬP PHỐI HỢP CIDS ................... 33
2.1.

Giới thiệu mô hình hệ thống phát hiện xâm nhập phối hợp ........................ 33

2.2.

Kiến trúc hệ thống, cơ chế phát hiện và cảnh báo tấn công trong hệ thống

CIDS ...................................................................................................................... 37

2.2.1.

Cơ chế phát hiện tấn công mạng trong CIDS ....................................... 37

2.2.2.

Kiến trúc hệ thống, cơ chế phát hiện và cảnh báo tấn công. ................ 40

2.2.3.

Phân loại các mô hình phát hiện xâm nhập phối hợp CIDS ................. 43

2.2.4.

Tính tương đối của các cảnh báo .......................................................... 59

Chương 3 - HỆ THỐNG QUẢN LÝ BẢO MẬT MÃ NGUỒN MỞ OSSIM. ....... 70
3.1.

Giới thiệu về hệ thống quản lý OSSIM ....................................................... 70

3.2.

Các chức năng của hệ thống OSSIM. .......................................................... 72

3.3.

Các thành phần trong OSSIM...................................................................... 77

3.3.1.


OSSIM server. ...................................................................................... 77

3.3.2.

OSSIM frameword. ............................................................................... 78

3.3.3.

OSSIM agent......................................................................................... 79

3.3.4.

Plugin và cơ chế hoạt động. .................................................................. 80

1


3.4.

Ứng dụng OSSIM như một hệ thống phát hiện xâm nhập phối hợp. .......... 82

3.4.1.

Các thành phần cần triển khai trong OSSIM ....................................... 82

3.4.2.

Mô hình triển khai và các bước cài đặt, cấu hình OSSIM .................... 92


KẾT LUẬN ............................................................................................................... 98
TÀI LIỆU THAM KHẢO......................................................................................... 99

2


LỜI CAM ĐOAN

Tôi xin cam đoan Luận văn Thạc sỹ kỹ thuật này là do tôi nghiên cứu và được
thực hiện dưới sự hướng dẫn khoa học của TS. Phạm Doãn Tĩnh. Các kết quả do tôi
tự nghiên cứu và tham khảo từ các nguồn tài liệu cũng như các công trình nghiên
cứu khoa học khác được trích dẫn đầy đủ. Nếu có vấn đề về sai phạm bản quyền, tôi
xin hoàn toàn chịu trách nhiệm trước Nhà trường.

Hà Nội, ngày…….tháng…… năm 2014
Học viên

Nguyễn Thị Thanh Huyền

3


DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
ACID
ARP
CGI Scripts
CIDS
DDOS
DHCP
DIDS

DMZ
DNS
DOS
DRDoS
DSOC
GD
ICMP
IDPS
IDS
IPS
LAN
LD
MAC
MADIDF
NIC
NIDS
OSSIM
P2P
PSKs
RARP
SMTP
SQL
TCP/IP
UDP
WAN

Analysis Console for Intrusion Databases
Address Resolution Protocol
Common Gateway Interface Scripts
Collaborative Intrusion Detection System

Distributed Denial Of Service
Dynamic Host Configuration Protocol
Distributed Intrusion Detection System
Demilitarized Zone
Domain Name System
Denial Of Service
Distributed Reflection Denial of Service
Distributed Security Operation Center
Global detectors
Internetwork Control Message Protocol
IPS + IDS
Intrusion Detection System
Intrusion Prevention System
Local Area Network
Local detectors
Medium Access Control
Mobile Agents based Distributed Intrusion Detection Framework
Network Interface Card
Network Intrusion Detection System
Open Source Security Information Management
Peer – to – Peer
Pre-shared keys
Reverse Address Resolution Protocol
Simple Mail Transfer Protoco
Structured Query Language
Transmission Control Protocol/Internet Protocol
User Datagram Protocol
Wide Area Network

4



DANH MỤC CÁC BẢNG
Bảng 2-1: Bảng các ID và Plugin tương ứng trong hệ thống OSSIM ..................... 42
Bảng 2-2: Bảng tóm tắt các nghiên cứu đạt được của hệ thống CIDS ..................... 69
Bảng 3-1: Cổng kết nối chính của OSSIM server và Ossim Agent .......................... 80

5


DANH MỤC HÌNH VẼ

Hình 1-1:Các tấn công đối với thông tin trên mạng ................................................. 12
Hình 1-2: Smurf attack .............................................................................................. 18
Hình 1-3: Tấn công kiểu DRDoS .............................................................................. 19
Hình 1-4: Mã hóa và giải mã .................................................................................... 24
Hình 1-5: Mô hình mã hóa bí mật ............................................................................. 26
Hình 1-6: Mô hình mã hóa công khai ....................................................................... 26
Hình 1-7: Mô hình Firewall cơ bản........................................................................... 30
Hình 2-1: Mô hình hệ thống phát hiện xâm nhập phối hợp CIDS ............................ 36
Hình 2-2: Firewall bảo vệ mạng LAN bên trong, ngăn chặn kết nối trái phép. ....... 38
Hình 2-3: Firewall không bảo vệ được các tấn công không đi qua nó .................... 38
Hình 2-4: Mô hình hệ thống CIDS bảo vệ ................................................................ 39
Hình 2-5: Cơ chế cảnh báo tấn công và cảnh báo xâm nhập của hệ thống CIDS .... 39
Hình 2-6: Kiến trúc hệ thống CIDS .......................................................................... 40
Hình 2-7: Quá trình gửi và liên kết dữ liệu từ khối Corelation ............................... 43
Hình 2-8: CIDS thu thập thông tin mức thấp, xử lý và đưa ra cảnh báo ở mức cao 45
Hình 2-9: Phương pháp tiếp cận tập trung ............................................................... 47
Hình 2-10: Ứng dụng phương pháp tiếp cận tập trung trong mô hình DIDS ........... 48
Hình 2-11: Phương pháp tiếp cận phân cấp .............................................................. 51

Hình 2-12: Ứng dụng phương pháp tiếp cận phân cấp trong mô hình EMERALD . 53
Hình 2-13: Phương pháp tiếp cận phân phối hoàn toàn ............................................ 55
Hình 3-1: Kiến trúc hệ thống quản lý thông tin OSSIM ........................................... 71
Hình 3-2: Khả năng kết nối Plugins với OSSIM ..................................................... 73
Hình 3-3: Thông tin đánh giá tổng quan về Security trên toàn mạng ....................... 74
Hình 3-4: Bảng hiển thị thông tin: Security Report. ................................................. 75
Hình 3-5: Bảng hiển thị thông tin cảnh báo theo các luật được cấu hình ................. 76
Hình 3-6: Giao diện thiết lập luật cho quá theo dõi tất cả các giao thức của Snort .. 77
6


Hình 3-7: Sơ đồ xử lý thông tin giữa OSSIM server - OSSIM agent - Plugin ......... 81
Hình 3-8: Các thành phần và sơ đồ hoạt động trong hệ thống triển khai OSSIM .... 84
Hình 3-9: Thông tin về các Plugin được OSSIM hỗ trợ ........................................... 84
Hình 3-10: Giao diện đăng nhập đồ họa vào OSSIM ............................................... 86
Hình 3-11: Các Plugin đóng vai trò là Monitor trong hệ thống OSSIM................... 88
Hình 3-12: Các Plugin đóng vai trò là Detector trong hệ thống OSSIM .................. 89
Hình 3-13: Giao diện đồ họa triển khai luật trên OSSIM ......................................... 90
Hình 3-14: Cấu hình luật được lưu tương ứng trên OSSIM server .......................... 91
Hình 3-15: Mô hình triển khai thử nghiệm ............................................................... 93
Hình 3-16: Giao diện phần mềm giả lập tấn công DDoS ......................................... 93
Hình 3-17: website trước khi bị tấn công .................................................................. 96
Hình 3-18: Website sau khi bị tấn công .................................................................... 96
Hình 3-19: Kết quả hiện thị trên OSSIM .................................................................. 97

7


LỜI MỞ ĐẦU
Như chúng ta đã biết, ngày nay khi cuộc sống của con người ngày càng hiện đại,

cùng với sự phát triển như vũ bão của công nghệ thông tin giúp con người có cuộc
sống tốt đẹp hơn, đáp ứng mọi nhu cầu của con người trong cuộc sống như: Giải trí,
gặp gỡ bạn bè, mua sắm, tìm kiếm thông tin, học tập, làm việc, kinh doanh, buôn
bán, v.v.. thì song song với đó tiềm ẩn rất nhiều những nguy cơ luôn luôn rình rập
tới tất cả mọi người. Những thông tin nhạy cảm: Số tài khoản, thẻ tín dụng, địa chỉ
nhà, số điện thoại, mật khẩu mail, thông tin cá nhân, các tài khoản online,… và
nghiêm trọng hơn là các nguy cơ với các hệ thống lớn, các hệ thống cung cấp dịch
vụ, các công ty có quy mô rộng lớn trên khắp các vùng địa lý khác nhau, những nơi
mà sự sẵn sàng của hệ thống là yếu tố quyết định tới sự tồn tại của cả công ty thì
yêu cầu về đảm bảo an toàn thông tin: Bí mật, toàn vẹn, sẵn sàng là vấn đề luôn
được quan tâm, nghiên cứu. Cùng với tư tưởng tạo ra một hệ thống an ninh đảm bảo
an toàn cao, triển khai trên quy mô rộng lớn, quản lý tập trung, hướng đến một hệ
thống tự động phát hiện xâm nhập với quá trính tự động tính toán và đưa ra các
cảnh báo xâm nhập thì hệ thống phát hiện xâm nhập phối hợp CIDS được nghiên
cứu và phát triển.
Hệ thống phát hiện xâm nhập phối hợp hoạt động trên nguyên tắc kết hợp các
thiết bị an toàn thôn tin: Firewall, IDS, IPS trên các phân vùng mạng riêng lẻ thành
một thể thống nhất, quản lý bởi một thiết bị tập trung, nhận dữ liệu từ nhiều nguồn
khác nhau và xử lý tập trung để đưa ra các đánh giá về sự an toàn thông tin trên toàn
bộ mạng. Hệ thống CIDS đưa ra các cảnh báo từ sự tổng hợp thông tin nhận được
từ nhiều nguồn khác nhau nên kết quả đánh giá sẽ có tính chất khách quan, phát
hiện được các kiểu tấn công phức tạp, tinh vi với nhiều kịch bản tấn công khác
nhau: Scan lén lút, tấn công từ chối dịch vụ, sự bùng phát và phá hoại của sâu
mạng, mà có thể với một thiết bị an toàn thông tin đơn lẻ sẽ rất khó để phát hiện ra.
Mô hình hệ thống phát hiện xâm nhập phối hợp là một mô hình triển khai an
toàn thông tin có tính khả thi cao, đã được áp dụng trên nhiều sản phẩm từ mã
nguồn mở như: Hệ thống quản lý bảo mật mã nguồn mở OSSIM, tới các sản phẩm

8



thương mại nổi tiếng: Firewall Site Protecter của IBM, Symantec Endpoint của
hãng bảo mật Symantec,… thực tế đã chứng minh được mô hình hoạt động của hệ
thống an toàn thông tin phối hợp là rất hiệu quả, có tính khả thi cao. Là một người
làm về hệ thống với công việc là triển khai, quản trị và đảm bảo hệ thống bảo mật,
phòng chống virus cho Vietnamairlines thì việc tích hợp triền khai hệ thống phát
hiện, chống xâm nhập phối hợp cho các dịch vụ của đơn vị cung cấp là vô cùng cần
thiết. Do đó tác giả đã lựa chọn đề tài “ Nghiên cứu và ứng dụng hệ thống phát hiện
và chống xâm nhập phối hợp (CIDS)” cho luận văn của mình.
Để hoàn thành được Luận văn Thạc sĩ của mình , em xin gửi lời cảm ơn chân
thành tới Ban giám hiệu, Viện sau đại học, Viện Điện tử Viễn Thông và các Giảng
viên trường Đại học Bách Khoa Hà Nội đã nhiệt tình truyền đạt những kiến thức
quý báu cho em trong suốt quá trình học tập và hoàn thành Luận văn Thạc sĩ.
Em xin gửi lời cảm ơn và lòng biết ơn chân thành tới TS.Phạm Doãn Tĩnh Người đã trực tiếp chỉ bảo, hướng dẫn và giúp đỡ em trong suốt quá trình nghiên
cứu và hoàn thành Luận văn Thạc sĩ.
Cuối cùng, tôi xin chân thành cảm ơn tới các anh, các đồng nghiệp tại Phòng Hạ
tầng CNTT - Công ty Cổ phần tin học viễn thông Hàng Không đã giúp đỡ tôi trong
suốt quá trình thực hiện đề tài.
Xin chân thành cảm ơn!
Hà Nội, Ngày

tháng

năm 2014

Học viên

Nguyễn Thị Thanh Huyền

9



Chương 1 - TỔNG QUAN VỀ AN NINH MẠNG
1.1. Các vấn đề về an ninh mạng
1.1.1. Một số lỗ hổng về an ninh mạng
Lỗ hổng hệ thống là nơi mà đối tượng tấn công có thể khai thác để thực hiện các
hành vi tấn công hệ thống. Lỗ hổng hệ thống có thể tồn tại trong hệ thống mạng
hoặc trong thủ tục quản trị mạng[1] . Việc sử dụng mạng Internet làm tăng nhanh
khả năng kết nối, nhưng đồng thời chứa đựng trong đó những hiểm hoạ không ngờ.
Những lỗ hổng để kẻ tấn công có thể lợi dụng, gây tổn thương cho hệ thống có rất
nhiều. Sau đây là một vài lỗ hổng phổng biến trên cộng đồng mạng hiện nay.
Mật khẩu yếu: Mọi người thường có thói quen sử dụng mật khẩu theo tên, ngày
tháng năm sinh của người thân hay những gì quen thuộc với mình. Với những
mật khẩu dể bị phán đoán, kẻ tấn công có thể chiếm đoạt được quyển quản trị
trong mạng, phá huỷ hệ thống, cài đặt backdoor…Ngày nay, một người ngồi từ
xa cũng có thể đăng nhập được vào hệ thống cho nên ta cần phải sử dụng những
mật khẩu khó đoán, khó dò tìm hơn.
Dữ liệu không được mã hoá: Các dữ liệu được truyền đi trên mạng rất dễ bị xâm
phạm, xem trộm, sửa chữa… Với những dữ liệu không được mã hoá, kẻ tấn
công chẳng tốn thời gian để có thể hiểu được chúng. Những thông tin nhạy cảm
càng cần phải mã hoá cẩn thận trước khi gửi đi trên mạng.
Chia sẻ file qua mạng: Việc mở các file chia sẻ thông tin là một trong những vấn
đề bảo mật rất dễ gặp. Điều này cho phép bất kỳ ai cũng có thể truy nhập các file
nếu ta không có cơ chế bảo mật, phân quyền tốt.
Bộ giao thức TCP/IP hiện nay cũng được sử dụng rộng rãi trên mạng và luôn
tiềm
ẩn những hiểm hoạ khôn lường. Kẻ tấn công có thể sử dụng ngay chính các quy
tắc trong bộ giao thức này để thực hiện tấn công DOS. Sau đây là một số lỗ
hổng đáng chú ý liên quan đến bộ giao thức TCP/IP
o Tấn công DNS: DNS server thường là mục tiêu chính hay bị tấn công. Do

hậu quả rất lớn là nó làm ách tắc toàn mạng.

10


o Tràn bộ đệm (Buffer Overflows): Có hai kiểu tấn công khai thác lỗi làm tràn
bộ đệm là : DNS overflow (Khi một tên DNS quá dài được gửi tới Server) và
Start overflow (khi một tên file quá dài được cung cấp)
o Tấn công SMTP(Sendmail)
o Giả địa chỉ IP (IP spoofing)
o Tấn công trình duyệt Web: do các trình duyệt Web như của Microsoft,
Netscape có khá nhiều lỗ hổng bảo mật nên xuất hiện các tấn công URL,
HTTP, HTML, Java, JavaScript, Frames và ActiveX.
o Tấn công Webserver: Ngoài các lỗ hổng bảo mật do việc thực thi các chương
trình CGI, các web server còn có thể có các lỗ hổng khác. Ví dụ như Web
Server(IIS 1.0.x.x) có một lỗ hổng mà do đó một tên file có thể chèn thêm
đoạn “../” vào trong tên đường dẫn thì có thể di chuyển tới mọi nơi trong hệ
thống file và có thể lấy được bất kỳ file nào. Một lỗi thông dụng khác là lỗi
tràn bộ đệm trong trường hợp Request hoặc trong các trường hợp HTTP
khác.
o CGI Scripts: Các chương trình của CGI nổi tiếng là kém bảo mật. Bởi nó cho
phép web server thực thi một file chạy, do vậy kho các hacker khai thác được
các lỗ hổng bảo mật này thì các hacker hoàn toàn có thể thực thi bất kỳ cái gì
trên máy chủ.
1.1.2. Một số phương thức tấn công trong mạng
Tấn công (attack) là hoạt động có chủ ý của kẻ phạm tội lợi dụng các thương tổn
của hệ

ến hành phá vỡ tính sẵn sàng, tính toàn vẹn và tính bí


mật củ

ấn công (attack, intrustion) mạng là các tác động hoặc

là trình tự liên kết giữa các tác động với nhau để phá huỷ, dẫn đến việc hiện thực
hoá các nguy cơ bằng cách lợi dụng đặc tính dễ bị tổn thương của các hệ thống
thông tin này[2] . Hình dưới đây thể hiện luồng dữ liệu và một vài cách tấn công
bình thường.

11


Nguồn thông tin

Nguồn thông tin

Đích thông tin

Chặn bắt thông tin

Ngăn chặn thông tin
Nguồn thông tin

Đích thông tin

Đích thông tin

Nguồn thông tin

Sửa đổi

thông tin

Đích thông tin

Chèn thông tin giả

Hình 1-1:Các tấn công đối với thông tin trên mạng
1.1.2.1. Một số loại tấn công trong mạng
Tấn công ngăn chặn thông tin (interruption)
Tài nguyên thông tin bị phá hủy, không sẵn sàng phục vụ hoặc không sử dụng
được. Đây là hình thức tấncông làm mất khả năng sẵn sàng phục vụ của thông tin
(ví dụ như cắt đường dây hoặc làm tràn ngập liên kết khiến cho thông tin bị loại bỏ
vì tắc nghẽn). Tấn công theo kiểu này là một dạng của tấn công từ chối dịch vụ.
Tấn công chặn bắt thông tin (interception)
Tấn công chặn bắt thông tin là kẻ tấn công có thể truy nhập tới tài nguyên thông
tin. Đây là hình thức tấn công vào tính bí mật của thôngtin.
Tấn công sửa đổi thông tin (Modification)
Tấn công sửa đổi thông tin là kẻ tấn công truy nhập, chỉnh sửa thông tin khi
đang truyền từ nguồn tới đích để thay đổi nội dung thông điệp.
Chèn thông tin giả mạo (Fabrication)

12


Kẻ tấn công chèn các thông tin và dữ liệu giả vào hệ thống mà không có hành
động nào của người gửi. Khi một đối tượng bị nghe lén trước đó được chèn vào,
quá trình này được gọi là Replaying. Khi kẻ tấn công giả vờ là nguồn thông tin hợp
pháp và chèn thông tin theo ý muốn thì cuộc tấn công này được gọi là
Masquerading(giả trang). Đây là hình thức tấn công vào tính xác thực của thông tin.
Bốn cách tấn công trên là xâm phạm đến các thuộc tính bảo mật khác nhau của một

hệ thống máy tính.
1.1.2.2. Các kỹ thuật tấn công trong mạng
Có rất nhiều các kỹ thuật tấn công trong mạng nhưng được chia ra làm 4 loại
chủ yếu sau:
a. Tấn công thăm dò
Tấn công thăm dò là việc thu thập thông tin trái phép về tài nguyên, các lỗ hổng
hoặc dịch vụ của hệ thống[2] . Trước khi bắt đầu cuộc tấn công mạng, tin tặc cố gắng
thu thập thông tin càng nhiều càng tốt về mạng đó, để rồi sau đó tung ra cuộc tấn
công tập trung. Họ có thể dùng nhiều cách khác nhau để thăm dò mạng như in ấn
dấu chân (footprint), đếm mạng, truy vấn hệ thống tên miền….Qúa trình thăm dò
mạng đòi hỏi rất nhiều thời gian và công sức, đầu tiên có thể các hacker cần xác
định thông tin về hệ thống đích bằng các công cụ như Whois. Sau khi dùng các biện
pháp truy vấn tên miền và thu được các thông tin như Host thuộc Domain nào và
những địa chỉ được gán cho Domain đó, hacker sẽ sử dụng các công cụ quét cổng
để quét tất cả các cổng trên host nhằm thu được thông tin chi tiết hơn như số cổng
đang mở, cá dịch vụ đang chạy…Tuy khó ngăn cản việc dò quét cổng nhưng có thể
giảm bằng cách vô hiệu hoá tất cả các dịch vụ không cần thiết. Tấn công thăm dò
thường bao gồm các hình thức sau:
Sniffing (Nghe lén)
Sniffer là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc điểm
của cơ chế TCP/IP. Sniffer ban đầu là một kỹ thuật bảo mật, được phát triển nhằm
giúp các nhà quản trị mạng khai thác mạng hiệu quả hơn, và có thể kiểm tra các dữ
liệu ra vào mạng cũng như các dữ liệu trong mạng (kiểm tra lỗi). Sau này, hacker

13


dùng phương pháp này để lấy cắp mật khẩu hay các thông tin nhạy cảm khác. Biến
thể của sniffer là các chương trình nghe lén bất hợp pháp như: công cụ nghe lén
yahoo, ăn cắp password email…

Active sniffer:
o Môi trường hoạt động: Chủ yếu hoạt động trên các mạng sử dụng thiết bị
chuyển mạch (switch).
o Cơ chế hoạt động: Thay đổi đường đi của dòng dữ liệu, áp dụng cơ chế ARP
và RARP (hai cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng
cách phát đi các gói tin đầu độc.
o Đặc điểm: Do phải gửi gói tin đi nên chiếm băng thông của mạng, nếu sniff
quá nhiều trong mạng thì lượng gói tin gửi đi sẽ rất lớn (do liên tục gửi đi các
thông tin giả mạo) có thể dẫn tới nghẽn mạng hay gây quá tải lên chính NIC
của máy (thắt nút cổ chai)
o Một số kỹ thuật ép dòng dữ liệu đi qua NIC của mình như:
 ARP poisoning: thay đổi thông tin ARP
 MAC flooding: làm tràn bộ nhớ switch, từ đó switch sẽ chạy chế độ
forwarding mà không chuyển mạch gói.
 Giả MAC: các sniffer sẽ thay đổi MAC của mình thành một MAC của
một máy hợp lệ và qua được chức năng lọc MAC của thiết bị.
 Đầu độc DHCP để thay đổi gateway của máy client.
 DNS spoofing: làm phân giải sai tên miền.
Passtive sniffer
o Môi trường hoạt động: Chủ yếu hoạt động trong môi trường không có thiết
bị switch mà dùng hub.
o Cơ chế hoạt động: Hoạt động dựa trên cơ chế broadcast gói tin trong mạng,
do không có thiết bị switch nên các các gói tin được broadcast đi trong mạng,
có thể bắt các gói tin lại để xem (dù host nhận gói tin không phải là nơi gói
tin đó gửi tới)

14


o Đặc điểm: Do máy tự broadcast gói tin nên hình thức Passtive sniff này rất

khó phát hiện.
Ping sweep
o Ping: Đưa ra một gói yêu cầu ICMP và đợi trả một thông báo trả lời từ một
máy hoạt động.
o Ping Sweep: Xác định hệ thống đang “sống” hay không rất quan trọng vì có
thể hacker ngừng ngay tấn công khi xác định hệ thống đó đã “chết”. Việc xác
định trạng thái hệ thống có thể sử dụng kỹ thuật Ping Scan hay còn gọi với
tên Ping Sweep. Bản chất của quá trình này là gửi một ICMP Echo Request
đến máy chủ mà hacker đang muốn tấn công và mong đợi một ICMP Reply.
Ngoài lệnh ping có sẵn trên Windows, còn có một số công cụ ping sweep
như: Pinger, Friendly Pinger, Ping Pro…
Ports scanning
o Port scanning là một quá trình kết nối các cổng (TCP và UDP) trên một hệ
thống mục tiêu nhằm xác định xem dịch vụ nào đang “chạy” hoặc đang trong
trạng thái “nghe”. Xác định máy đang mở cổng nào, hệ thống đang sử dụng
dịch vụ nào. Xác định các cổng nghe là một công việc rất quan trọng nhằm
xác định được loại hình hệ thống và những ứng dụng đang được sử dụng.
o Mỗi công cụ có cơ chế port scan riêng. Ví dụ hoạt động của công cụ Nmap là
hỗ trợ nhiều kỹ thuật scan port như: TCP scan, SYN scan, Null scan,
Windows scan, ACK scan…kỹ thuật TCP scan tức là Nmap sẽ kiểm tra cổng
trên hệ thống đích mở hay đóng bằng cách thực hiện kết nối TCP đầy đủ.
b. Tấn công xâm nhập (access attack)
Tấn công xâm nhập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi
hỏi người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật
với mục đích thao túng dữ liêu, nâng cao đặc quyền. Tấn công truy nhập hệ thống:
Là hành động nhằm đạt được quyền truy cập bất hợp pháp đến một hệ thống mà ở
đó hacker không có tài khoản sử dụng. Kẻ xâm nhập sẽ thao túng dữ liệu đọc, viết,
xóa, sao chép hay thay đổi dữ liệu.

15



c. Tấn công từ chối dịch vụ (DoS)
Về cơ bản, tấn công từ chối dịch vụ là tên gọi chung của cách tấn công làm cho
một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt động
của hệ thống hoặc hệ thống phải ngưng hoạt động[2] . Tùy theo phương thức thực
hiện mà nó được biết dưới nhiều tên gọi khác nhau. Đầu tiên là lợi dụng sự yếu kém
của giao thức TCP để thực hiện tấn công từ chối dịch vụ DoS, tiếp theo là tấn công từ
chối dịch vụ phân tán DDoS, mới nhất là tấn công từ chối dịch vụ theo phương pháp
phản xạ DRDoS
Tấn công từ chối dịch vụ cổ điển DoS
o SYN Attack: SYN Attack được xem là một trong những kiểu tấn công
DoS kinh điển nhất. Lợi dụng sơ hở của thủ tục TCP khi “bắt tay ba
bước”, mỗi khi client muốn thực hiện kết nối với server thì nó thực hiện
việc bắt tay ba bước thông qua các gói tin (packet)
 Bước 1: client sẽ gửi gói tin (packet chứa SYN=1) đến máy chủ để
yêu cầu kết nối.
 Bước 2: khi nhận được gói tin này, server gửi lại gói tin SYN/ACK
để thông báo cho client biết là nó đã nhận được yêu cầu kết nối và
chuẩn bị tài nguyên cho việc yêu cầu này. Server sẽ dành một phần
tài nguyên để nhận và truyền dữ liệu. Ngoài ra, các thông tin khác
của client như địa chỉ IP và cổng (port) cũng được ghi nhận.
 Bước 3: cuối cùng client hoàn tất việc bắt tay ba bước bằng cách

hồi âm lại gói tin chứa ACK cho server và tiến hành kết nối. Thường
để giả địa chỉ IP, các hacker hay dùng Raw Sockets(không phải gói
tin TCP hay UDP) để giả mạo hay ghi đè giả lên IP gốc của gói tin.
Khi một gói tin SYN với IP giả mạo được gửi đến server, nó cũng
như bao gói tin khác, vẫn hợp lệ đối với server và server sẽ cấp vùng
tài nguyên cho đường truyền này, đồng thời ghi nhận toàn bộ thông

tin và gửi gói SYN/ACK ngược lại cho client. Vì địa chỉ IP của
client là giả mạo nên sẽ không có client nào nhận được SYN/ACK
packet này để hồi đáp cho máy chủ. Sau một thời gian không nhận

16


được gói tin ACK từ client, server nghĩ rằng gói tin bị thất lạc nên lại
tiếp tục gửi tiếp SYN/ACK, cứ như thế, các kết nối tiếp tục mở.
o Flood attack: Một kiểu tấn công DoS nữa cũng rất hay được dùng vì tính đơn
giản của nó và vì có rất nhiều công cụ sẵn có hỗ trợ đắc lực cho kẻ tấn công
là Flood Attack, chủ yếu thông qua các website. Về nguyên tắc, các website
đặt trên máy chủ khi chạy sẽ tiêu tốn một lượng tài nguyên nhất định của
máy chủ. Dựa vào đặc điểm đó, những kẻ tấn công dùng các phần mềm như
smurf chẳng hạn để liên tục yêu cầu máy chủ phục vụ trang web đó để chiếm
dụng tài nguyên.
o Smurf attack: Thủ phạm sinh ra cực nhiều giao tiếp ICMP (ping) tới địa chỉ
Broadcast của các mạng với địa chỉ nguồn là mục tiêu cần tấn công. Khi ping
tới một địa chỉ là quá trình hai chiều – Khi máy A ping tới máy B máy B
reply lại hoàn tất quá trình. Khi ping tới địa chỉ Broadcast của mạng nào đó
thì toàn bộ các máy tính trong mạng đó sẽ Reply lại. Nhưng nếu thay đổi địa
chỉ nguồn (máy C) và ping tới địa chỉ Broadcast của một mạng nào đó, thì
toàn bộ các máy tính trong mạng đó sẽ reply lại vào máy C và đó là tấn công
Smurf

17


Hình 1-2: Smurf attack
Tấn công dịch vụ phân tán DDoS

Xuất hiện vào năm 1999, so với tấn công DoS cổ điển, sức mạnh của DDoS cao
hơn gấp nhiều lần. Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng
băng thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt
động. Để thực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều
máy tính/mạng máy tính trung gian(đóng vai trò zombie) từ nhiều nơi để đồng
loạt gửi ào ạt các gói tin với số lượng rất lớn nhằm chiếm dụng tài nguyên và
làm tràn ngập đường truyền của một mục tiêu xác định nào đó. Các giai đoạn
của một cuộc tấn công kiểu DDoS:
o Giai đoạn chuẩn bị.
o Giai đoạn xác định mục tiêu và thời điểm.
o Phát động tấn công.
o Xoá dấu vết.
Tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS

18


TCP
server

Các máy chủ trên
mạng

Tạo gọi tin SYN giả mạo

Gói SYN chứa địa chỉ
nạn nhân

TCP
server


TCP
server

TCP
server

Gói SYN/ACK trả
lại nạn nhân

TCP
server

TCP
server

TCP
server

TCP
server

TCP
server

TCP
server

TCP
server


TCP
server

TCP
server

Nạn nhân

Hình 1-3: Tấn công kiểu DRDoS
Sử dụng các server phản xạ, máy tấn công sẽ gửi yêu cầu kết nối tới các server có
bandwitch rất cao trên mạng – server phản xạ, các gói tin yêu cầu kết nối này mang
địa chỉ IP giả - chính là địa chỉ IP của máy nạn nhân. Các server phản xạ này gửi lại
máy nạn nhân các gói SYN/ACK dẫn tới hiện tượng nhân băng thông. Tuy nhiên
với cách tấn công này, kẻ tấn công cũng không thu được thông tin gì thêm về hệ
thống. Nó chỉ đơn thuần làm hệ thống tê liệt không hoạt động được mà thôi.
Tấn công sử dụng mã độc (malicious software): Phần mềm độc hại là một phần
mềm máy tính được thiết kế với mục đích thâm nhập hoặc gây hỏng hóc máy
tính mà người sử dụng không hề hay biết. Tùy theo cách thức mà tin tặc sử
dụng, mà sự nguy hại của các lọai phần mềm độc hại khác nhau. Phần mềm độc
hại bao gồm một số loại cơ bản sau: virus, worm, trojan horse, adware,
spyware….
o Virus: Virus máy tính là một malware có thể lây nhiễm nhưng phải dựa vào
những phương tiện khác để phát tán. Một loại virus thật sự có thể lan tràn từ
19


những máy tính bị nhiễm tới một máy tính chưa nhiễm bằng cách đính một
mã vào file thực thi được truyền qua nhau. Ví dụ, một virus có thể ẩn trong
một file PDF được đính vào một email. Hầu hết virus đều gồm có 3 thành

phần sau:
- Replicator: Khi kích hoạt chương trình chủ thì đồng thời virus cũng được
kích hoạt, và ngay lập tức chúng sẽ phát tán malcode.
- Concealer: Biện pháp virus sử dụng để lẩn tránh anti-malware.
- Payload: Lượng malcode của một virus có thể được sử dụng để hủy chức
năng của máy tính và phá hủy dữ liệu.
o Sâu (Worm): Sâu máy tính tinh vi hơn nhiều so với virus. Chúng có thể tự tái
tạo mà không cần tới can thiệp của người dùng. Nếu malware cần đến
Internet để phát tán, nó giống sâu hơn virus. Những thành phần chính của sâu
bao gồm:
- Penetration tool: Là malcode khai thác những lỗ hổng trên máy tính của
nạn nhân để dành quyền truy cập. Installer là công cụ thâm nhập giúp sâu
máy tính vượt qua hệ thống phòng thủ đầu tiên. Lúc đó, installer đưa và
chuyển thành phần chính của malcode vào máy tính của nạn nhân.
- Discovery tool (công cụ khai thác): Khi đã xâm nhập vào máy, sâu sử
dụng cách thức để truy lục những máy tính khác trên mạng, gồm địa chỉ
email, danh sách máy chủ và các truy vấn DNS.
- Scanner: Sâu sử dụng một công cụ kiểm tra để xác định những máy tính
mục tiêu mới trong penetration tool có lỗ hổng để khai thác.
- Payload: Lượng malcode tồn tại trên mỗi máy tính của nạn nhân. Những
malcode này có thể từ một ứng dụng truy cập từ xa hay một key logger
được dùng để đánh cắp tên đăng nhập và mật khẩu của người dùng. Loại
malware này lại sinh sôi rất nhanh. Khởi đầu với sâu Morris vào năm
1988 và hiện nay là sâu Conficker.
o Trojan horse: Theo Ed Skoudis và Lenny Zelter, Trojan horse là một chương
trình thoạt nhìn có vẻ hữu dụng nhưng trong nó lại ẩn chứa nhiều “tính năng”
độc hại. Trojan horse malware chứa đựng nhiều payload cản trở cài đặt và

20



chạy chương trình, như ngăn cản malware nhận ra malcode. Một số kĩ thuật
che giấu bao gồm:
- Đổi tên malware thành những file giống với file bình thường trên hệ thống.
- Cản trở cài đặt anti-malware để không thông báo vị trí của malware.
- Sử dụng nhiều loại mã khác nhau để thay đổi đăng ký của malware nhanh
hơn những phần mềm bảo mật. Ví dụ như: Vundo là loại Trojan horse
điển hình. Nó tạo ra nhiều quảng cáo popup để quấy rối những chương
trình chống spyware, làm suy giảm khả năng thực thi của hệ thống và cản
trở trình duyệt web. Đặc biệt, nó cản trở cài đặt chương trình quét
malware trực tiếp đĩa CD.
o Adware/spyware
- Adware là phần mềm tạo ra trình đơn quảng cáo popup mà không có sự
cho phép của người dùng. Adware thường được cài đặt bởi một thành
phần của phần mềm miễn phí. Ngoài việc làm phiền, adware có thể làm
giảm đáng kể sự thực thi của máy tính.
- Spyware là một phần mềm thực hiện đánh cắp thông tin từ máy tính mà
người dùng không hề hay biết. Phần mềm miễn phí thường có rất nhiều
spyware.
1.2. Các giải pháp trong triển khai an ninh mạng
1.2.1. Các chiến lược bảo vệ mạng
Quyền hạn tối thiểu (Least Privilege)
Đây là chiến lược cơ bản nhất về an toàn, không chỉ cho an ninh mạng mà còn
cho mọi cơ chế an ninh khác. Về cơ bản nguyên tắc này có nghĩa là bất kỳ một đối
tượng nào (người sử dụng, người quản trị hệ thống.....) chỉ có những quyền hạn nhất
định nhằm phục vụ cho công việc của đối tượng đó và không hơn nữa. Quyền hạn
tối thiểu là nguyên tắc quan trọng nhằm giảm bớt những sự phô bày mà kẻ tấn công
có thể tấn công vào hệ thống và hạn chế sự phá hoại do các vụ phá hoại gây ra
Bảo vệ theo chiều sâu (Defence In Depth)
Một nguyên tắc khác của mọi cơ chế an ninh là bảo vệ theo chiều sâu không phụ

thuộc vào chỉ một cơ chế an ninh, cho dù nó mạnh đến đâu đi nữa. Thay vào đó là
sử dụng nhiều cơ chế an ninh để chúng hỗ trợ nhau.

21


Nút thắt (Choke Point)
Với cách xây dựng nút thắt, ta đã buộc tất cả mọi luồng thông tin qua đó và
những kẻ tấn công cũng không ngoại lệ. Chính nhờ đặc điểm này mà có thể kiểm
tra và điều khiển các luồng thông tin ra vào mạng. Với an ninh mạng thì nút thắt
chính là các firewall đặt giữa mạng cần bảo vệ và internet, bất kỳ ai muốn vào trong
mạng đều phải đi qua các Firewall này.
Liên kết yếu nhất (Weakest Link)
Đối với một hệ thống bảo vệ thì cho dù có nhiều khâu có mức an toàn nhưng chỉ
cần một khâu mất an toàn thì toàn bộ hệ thống sẽ mất an toàn. Những kẻ tấn công
thông minh sẽ tìm ra các điểm yếu và tập trung tấn công vào đó. Cần phải cẩn trọng
tới các điểm yếu này bởi kẻ tấn công luôn biết tìm cách khai thác nó.
Hỏng an toàn
Một điểm yếu cơ bản khác trong chiến lược an ninh là khả năng cho phép hệ
thống hỏng an toàn (Faile safe) - có nghĩa là nếu hệ thống có hỏng thì sẽ hỏng theo
cách chống lại sự tấn công của đối phương. Sự sụp đổ này có thể cùng ngăn cản sự
truy cập của người dùng hợp pháp nhưng trong một số trường hợp thì vẫn phải áp
dụng chiến lược này. Hầu hết các ứng dụng hiện nay đều có cơ chế hỏng an toàn. Ví
dụ: Nếu một Router lọc gói bị down, nó sẽ không cho bất kỳ một gói tin nào đi qua.
Nếu 1 Proxy bị down, nó sẽ không cung cấp một dịch vụ nào cả. Nhưng nếu một hệ
thống lọc gói tin được cấu hình mà tất cả các gói tin được hướng tới một máy chạy
ứng dụng lọc gói và một máy khác cung cấp ứng dụng thì khi máy chạy ứng dụng
lọc gói bị down, các gói tin sẽ di chuyển toàn bộ đến các ứng dụng cung cấp dịch
vụ. Kiểu thiết kế này không phải là dạng hỏng an toàn và cần phải được ngăn ngừa.
Điểm quan trọng trong chiến lược này là nguyên tắc, quan điểm của ta về an ninh.

Có hai nguyên tắc cơ bản mà ta có thể quyết định đến chính sách an ninh:
o Mặc định từ chối: chỉ quan tâm những gì ta cho phép và cấm tất cả những cái
còn lại.
o Mặc định cho phép: chỉ quan tâm những gì mà ta ngăn cấm và cho qua tất cả
những cái còn lại.
Tính toàn cục
Để đạt được hiệu quả cao, hầu hết các hệ thống an toàn đòi hỏi phải có tính toàn
cục của hệ thống cục bộ. Nếu một kẻ nào đó có thể dễ dàng bẻ gãy một cơ chế an

22


toàn thì chúng có thể thành công bằng cách tấn công hệ thống tự do của ai đó rồi
tiếp tục tấn công hệ thống nội bộ từ bên trong. Có rất nhiều hình thức làm hệ thống
mất an toàn và chúng ta cần được báo lại những hiện tượng là xảy ra có thể liên
quan đến an toàn của hệ thống cục bộ.
Đa dạng trong bảo vệ (Diversity of Defence)
Ý tưởng thực sự đằng sau "đa dạng trong bảo vệ" chính là sử dụng các hệ thống
an ninh của nhiều nhà cung cấp khác nhau nhằm giảm sự rủi ro về các lỗi phổ biến
mà mỗi hệ thống mắc phải. Nhưng bên cạnh đó là những khó khăn đi kèm khi sử
dụng hệ thống bao gồm nhiều sản phẩm của những nhà cung cấp khác nhau như:
Cài đặt, cấu hình khó hơn, chi phí cao hơn, bỏ ra nhiều thời gian hơn để có thể vận
hành hệ thống.
Phải thận trọng với ý tưởng đa dạng này vì khi sử dụng nhiều hệ thống khác nhau như
vậy chưa chắc đã có sự đa dạng trong bảo vệ mà còn có thể gây ra trường hợp hệ thống
này hạn chế hoạt động của hệ thống khác mà không hỗ trợ nhau như mong muốn.
Đơn giản (Simplicity)
Đơn giản là một trong những chiến lược an ninh vì hai lý do sau:
o Thứ nhất: Với những gì đơn giản thì có nghĩa là dễ hiểu, nếu ta không hiểu
phần nào đó, ta không chắc chắn liệu nó có an toàn hay không.

o Thứ hai: Sự phức tạp sẽ tạo ra nhiều ngóc ngách mà ta không thể quản lý nổi,
nhiều thứ sẽ ẩn trong đó mà ta không biết. Rõ ràng bảo vệ một căn hộ dễ
dàng hơn bảo vệ một tòa lâu đài to lớn.
1.2.2. Các kỹ thuật bảo mật
Các kỹ thuật bảo mật khác nhau có thể được sử dụng để tăng cường các đặt tính
an ninh được đề ra trong một số sách lược an ninh. Tùy thuộc vào các cuộc tấn công
đã được lường trước, các phương tiện khác nhau đã được áp dụng để làm thỏa mãn
các đặc tính mong muốn. Có ba cách để chống lại các cuộc tấn công là: Ngăn chặn
tấn công, tránh tấn công và phát hiện tấn công. Chi tiết được giải thích trong các
phần tiếp sau.
Tránh tấn công (Attack avoidance)

23


Kỹ thuật bảo mật này giả định rằng kẻ xâm nhập có thể truy nhập đến tài nguyên
mong muốn, nhưng những thông tin đã bị sửa đổi nên kẻ tấn công không thể sử
dụng dữ liệu đó được. Thông tin được xử lý trước từ người gửi trước khi được
truyền trên kênh liên lạc và xử lý sau tại đường nhận. Khi thông tin được truyền qua
kênh liên lạc, nó chống lại các cuộc tấn công bằng cách trở nên gần như vô dụng
đối với kẻ xâm nhập, một ngoại lệ đáng chú ý của các cuộc tấn công chống lại tính
hữu dụng của thông tin vì kẻ tấn công có thể ngăn chặn thông tin. Trong suốt bước
xử lý tại người nhận, sự sửa đổi hoặc lỗi có thể xảy ra trước đó có thể được phát
hiện. Khi không có sự sửa đổi nào diễn ra, thông tin tại người nhận là đúng với
thông tin tại người nhận trước bước xử lý. Phần quan trọng nhất trong mục này là
mã hóa, yếu tố được xem như khoa học giữ an toàn các thông điệp. Nó cho phép
người gửi truyền thông tin vào các luồng dữ liệu gần như ngẫu nhiên đối với kẻ tấn
công nhưng có thể dễ dàng được giải mã bời người nhận đã xác thực.

Key


Plan text

Encryption
Sender

Key

Cipher text

Original Plan Text
Encryption
Receiver

Hình 1-4: Mã hóa và giải mã
Thông điệp ban đầu được gọi là bản rõ. Qúa trình chuyển thông điệp này qua
ứng dụng và luật chuyển dạng vào một định dạng mà dấu đi lõi của nó được gọi là
mã hóa. Thông điệp tương ứng đã được ngụy trang được gọi là bản mã. Phải chú ý
đảm bảo quá trình chuyển từ bản rõ sang bản mã không bị mất thông tin để người
nhận có thể phục hồi lại thông điệp trong bất cứ tình huống nào. Các luật chuyển
đổi được miêu tả bằng một thuật toán mã hóa. Chức năng của thuật toán này được
dựa trên hai nguyên tắc cơ bản: Phép thế và hoán vị. Trong trường hợp phép thế,
từng phần tử của bản rõ(ví dụ bít, khối) được phản xạ tới một phần tử khác của bản
mẫu tự được sử dụng. Phép hoán vị miêu tả quá trình các phần tử của bản rõ được
sắp xếp lại. Hầu hết các hệ thống bao gồm nhiều bước (còn gọi là nhiều vòng) của
24


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×