i
MỤC LỤC
Trang phụ bìa
Lời cảm ơn
Lời cam đoan
Tóm tắt luận văn
Mục Lục -------------------------------------------------------------------------------- i
Danh mục các chữ viết tắt ----------------------------------------------------------- iv
Danh mục hình vẽ --------------------------------------------------------------------- v
PHẦN MỞ ĐẦU ---------------------------------------------------------------------- 1
1 Tính cấp thiết của đề tài ---------------------------------------------------------- 1
2 Mục tiêu của đề tài ---------------------------------------------------------------- 2
3 Đối tượng phần mềm nghiên cứu ----------------------------------------------- 2
4 Nội dung nghiên cứu đề tài ------------------------------------------------------ 3
5 Bố cục luận văn ------------------------------------------------------------------- 4
6 Các cơng trình nghiên cứu liên quan ------------------------------------------- 5
CHƯƠNG 1: TỔNG QUAN
1.1 Đánh giá tổng quan về bảo mật mạng máy tính ---------------------------- 6
1.2 Phân loại các mối đe dọa trong bảo mật ------------------------------------- 8
1.2.1 Mối đe dọa bên trong ------------------------------------------------------ 8
1.2.2 Mối đe dọa từ bên ngoài --------------------------------------------------- 9
1.2.3 Mối đe dọa khơng có cấu trúc -------------------------------------------- 9
1.2.4 Mối đe dọa có cấu trúc -------------------------------------------------- 10
1.3 Phân loại một số lỗ hổng trong bảo mật ----------------------------------- 10
1.3.1 Lỗ hổng bảo mật---------------------------------------------------------- 10
1.3.2 Phân loại lỗ hổng bảo mật ----------------------------------------------- 10
1.4 Một số kiểu tấn công mạng -------------------------------------------------- 14
1.5 Các giải pháp phát hiện và phịng chống tấn cơng mạng ---------------- 17
1.5.1 Các biện pháp phát hiện hệ thống bị tấn công ------------------------ 17
1.5.2 Giải pháp phát hiện và phòng chống xâm nhập ---------------------- 19
CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM
NHẬP
ii
2.1 Vai trò, chức năng của hệ thống phát hiện và phòng chống xâm nhập 22
2.1.1 Lịch sử phát triển --------------------------------------------------------- 22
2.1.2 Vai trò, chức năng của hệ thống phát hiện và phòng chống xâm nhập
------------------------------------------------------------------------------------- 23
2.2 Đặc điểm, kiến trúc hệ thống của IDS/IPS -------------------------------- 24
2.2.1 Cơ sở hạ tầng của hệ thống IDS/IPS----------------------------------- 24
2.2.2 Kiến trúc hệ thống phát hiện xâm nhập ------------------------------- 25
2.3 Phân loại IDS/IPS------------------------------------------------------------- 29
2.3.1 Host-based IDS/IPS (HIDS) -------------------------------------------- 31
2.3.2 Network Base IDS/IPS (NIDS/IPS)----------------------------------- 32
2.3.3 Triển khai hệ thống IDS/IPS -------------------------------------------- 34
2.3.4 Khả năng phát hiện và phòng chống xâm nhập của IDS/IPS ------- 36
2.4 Hệ thống giám sát lưu lượng mạng ----------------------------------------- 37
2.5 Hệ thống báo động ------------------------------------------------------------ 38
2.6 SNMP và hệ thống giám sát mạng ----------------------------------------- 39
CHƯƠNG 3: CÁC CÔNG CỤ MÃ NGUỒN MỞ HỖ TRỢ GIÁM SÁT,
PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG
3.1 Giới thiệu ---------------------------------------------------------------------- 41
3.2 Đặc điểm của Snort ----------------------------------------------------------- 42
3.3 Vấn đề của Snort và khả năng triển khai ---------------------------------- 45
3.3.1 Lợi ích của Snort --------------------------------------------------------- 45
3.3.2 Đánh giá tập luật của Snort --------------------------------------------- 46
3.4 Fwsnort chuyển đổi tập luật từ Snort sang Iptables ---------------------- 46
3.5 Hệ thống giám sát trạng thái hoạt động thiết bị và dịch vụ - Nagios--- 46
3.6 Hệ thống giám sát lưu lượng – Cacti --------------------------------------- 50
3.7 Hệ thống báo động qua SMS – Gnokii------------------------------------- 53
3.8 Mơ hình đề xuất kết hợp Snort, Fwsnort, Nagios, Cacti ----------------- 54
CHƯƠNG 4: PHÁT TRIỂN ỨNG DỤNG HỆ THỐNG GIÁM SÁT VÀ
PHÁT HIỆN XÂM NHẬP MẠNG DỰA TRÊN MÃ NGUỒN MỞ
4.1 Mơ hình cài đặt thực nghiệm ------------------------------------------------ 57
4.2 Cài đặt thực nghiệm ---------------------------------------------------------- 57
iii
4.2.1 Cài đặt Gnokii ------------------------------------------------------------ 58
4.2.2 Cài đặt Snort -------------------------------------------------------------- 59
4.2.4 Cài đặt Nagios ------------------------------------------------------------ 63
4.2.5 Cài đặt Cacti -------------------------------------------------------------- 65
4.3 Kết quả đạt được từ thực nghiệm ------------------------------------------- 71
CHƯƠNG 5: KẾT LUẬN, KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT
TRIỂN CỦA ĐỀ TÀI
5.1 Kết luận ------------------------------------------------------------------------ 76
5.2 Kết quả đạt được -------------------------------------------------------------- 77
5.3 Ý nghĩa khoa học và thực tiễn ---------------------------------------------- 78
5.3.1 Ý nghĩa về mặt khoa học ------------------------------------------------ 78
5.3.2 Về mặt thực tiễn ---------------------------------------------------------- 78
5.4 Hướng phát triển cho đề tài -------------------------------------------------- 78
TÀI LIỆU THAM KHẢO
PHỤ LỤC
PHỤ LỤC A: Hướng dẫn cấu hình GSM Gateway trên Linux
PHỤ LỤC B: Hướng dẫn cài đặt Snort
PHỤ LỤC C: Hướng dẫn cài đặt và cấu hình Naigos
PHỤ LỤC D: Hướng dẫn cài đặt và cấu hình Cacti
1
PHẦN MỞ ĐẦU
1 Tính cấp thiết của đề tài
Vào các thập niên 1960, 1980 và đến thập niên 1990, thuật ngữ mạng diện rộng
được phổ biến rộng rãi khởi đầu từ Bộ quốc phịng Hoa Kỳ sau đó thuật ngữ
mạng diện rộng – còn được gọi là WAN được biết đến rộng rãi trên toàn thế
giới, WAN được định nghĩa đơn giản bao gồm sự kết nối của các máy tính đơn
lẻ trên tồn thế giới dựa trên một giao thức kết nối được gọi là TCP/IP.
Ngày nay, mạng máy tính phát triển với tốc độ rất lớn và phạm vi của nó khơng
chỉ dừng lại ở đó mà tới thời điểm hiện nay việc cạn kiệt nguồn tài nguyên địa
chỉ mạng phiên bản 4 – địa chỉ IP là một bằng chứng cho thấy tốc độ phát triển
của mạng máy tính nhanh chóng và trở thành một mơi trường tốt phục vụ cho
các hoạt động phát triển của nhân loại, song song với điều đó là sự phát triển
mạnh mẽ của khoa học công nghệ và hệ thống các tri thức liên quan đến mạng
máy tính, các thiết bị thơng minh đã và đang ngày càng góp thêm phần phát
triển mạnh mẽ và vượt trội của hệ thống mạng trên tồn thế giới. Do vậy hệ
thống mạng máy tính là một phần tất yếu và vô cùng quan trọng của một quốc
gia, một doanh nghiệp hay đơn giản chỉ là một hộ gia đình nhỏ, chúng góp phần
vào việc tạo nên những thành công đặc biệt đối với hệ thống mạng quốc gia và
hệ thống mạng của các doanh nghiệp vì phần lớn các cơng việc ngày nay từ giao
dịch đến trao đổi thông tin đều dựa trên hệ thống mạng máy tính.
Sự phát triển mạnh của hệ thống mạng máy tính cũng là một vùng đất có nhiều
thuận lợi cho việc theo dõi và đánh cắp thông tin của các nhóm tội phạm tin học,
việc xâm nhập bất hợp pháp và đánh cắp thông tin của các doanh nghiệp đang
đặt ra cho thế giới vấn đề làm thế nào để có thể bảo mật được thơng tin của
doanh nghiệp mình. Bảo mật thơng tin hay an tồn an ninh mạng là những yếu
tố
được
quan
tâm
hàng
đầu
trong
các
doanh
nghiệp.
Đã
có
2
những doanh nghiệp thực hiện việc thuê một đối tác thứ 3 với việc chuyên bảo
mật hệ thống mạng và bảo mật thơng tin cho đơn vị mình, cũng có những doanh
nghiệp đưa ra các kế hoạch tính tốn chi phí cho việc mua sản phẩm phần mềm
để nhằm đáp ứng việc bảo mật của đơn vị mình. Tuy nhiên đối với những giải
pháp đó các doanh nghiệp đều phải thực hiện cân đối về chính sách tài chính
hằng năm với mục đích làm sao cho giải pháp an tồn thơng tin là tối ưu và có
được chi phí rẻ nhất và đảm bảo thông tin trao đổi được an tồn, bảo vệ thơng
tin của đơn vị mình trước những tấn cơng của tội phạm cơng nghệ từ bên ngồi
do vậy mà đề tài xây dựng hệ thống giám sát mạng dựa trên mã nguồn mở được
phát triển giúp được phần nào yêu cầu của các doanh nghiệp về an tồn thơng tin
và bảo mật hệ thống mạng.
2 Mục tiêu của đề tài
Đề tài được thực hiện nhằm mục đích:
Khảo sát các lỗ hổng bảo mật thông tin, các nguy cơ có thể mất an tồn
thơng tin và các nguy cơ hệ thống mạng bị xâm nhập, tấn công.
Đề xuất giải pháp để giám sát hệ thống mạng bao gồm: phát hiện xâm
nhập, theo dõi các hoạt động của các thiết bị mạng như Router, Switch, Server
… và một số dịch vụ mạng được sử dụng.
Phát triển hệ thống báo động của chương trình qua tin nhắn (SMS), Email,
Web
3 Đối tượng phần mềm nghiên cứu
Đối tượng nghiên cứu trong bài luận văn là các chương trình phần mềm mã
nguồn mở bao gồm:
+ Các chương trình phần mềm mở phát hiện xâm nhập.
+ Các chương trình phần mềm mở phịng chống xâm nhập.
+ Các chương trình phần mềm mở giám sát lưu lượng của hệ thống mạng.
3
+ Các chương trình phần mềm mở giám sát thiết bị mạng và các dịch vụ
mạng.
4 Nội dung nghiên cứu đề tài
Đề tài tập trung nghiên cứu các vấn đề liên quan đến phát hiện xâm nhập trái
phép và giám sát lưu lượng mạng bao gồm;
+ Nghiên cứu các khả năng tấn công mạng.
+ Nghiên cứu các khả năng phát hiện xâm nhập trái phép hệ thống mạng.
+ Nghiên cứu các khả năng phòng chống một số các phương thức tấn
công mạng.
+ Nghiên cứu các khả năng giám sát hoạt động các thiết bị mạng và dịch
vụ mạng trong toàn hệ thống mạng.
Từ những vấn đề nêu trên đề xuất mơ hình giám sát các hoạt động của các thiết
bị mạng, phát hiện và phịng chống xâm nhập được tích hợp từ các chương trình
mã nguồn mở.
Tiến hành thực nghiệm việc cài đặt giải pháp giám sát hoạt động của các thiết bị
mạng, dịch vụ mạng và phát hiện, phòng chống xâm nhập trái phép dựa trên cơ
sở các chương trình mã nguồn mở, có cảnh báo đến quản trị bằng SMS, Email,
Web.
Trong phần nội dung của bài luận văn tốt nghiệp này, tác giả tập trung nghiên
cứu các chương trình phần mềm được cung cấp bằng mã nguồn mở để dựa vào
các phần mềm này tác giả xây dựng giải pháp tổng thể việc theo dõi giám sát hệ
thống mạng, các dịch vụ mạng và các dấu hiệu bất thường trong hệ thống mạng
nhằm cung cấp cho người quản trị hệ thống mạng có cái nhìn tổng quan về phát
hiện và phòng chống xâm nhập mạng trái phép. Cụ thể, tác giả đề xuất sử dụng
các
chương
trình
mã
nguồn
mở
được
cung
cấp
rộng
rãi
4
như: Nagios, Snort, Cacti, Gnokii và sử dụng GSM/GPRS modem hoặc dùng
điện thoại để thực nghiệm giải pháp. Tạo ra một hệ thống giám sát mạng có khả
năng phát hiện và cảnh báo những động thái xâm nhập mạng trái phép, phịng
chống tấn cơng mạng, giám sát hoạt động của các thiết bị mạng trong đó có lưu
lượng sử dụng trên thiết bị các thành phần phần cứng trong thiết bị, các dịch vụ
được sử dụng trong hệ thống mạng.
Dựa trên những giải pháp đó tác giả phát triển một hệ thống cảnh báo cho người
quản trị hệ thống mạng bằng nhiều phương thức như: Email, SMS, Web mục
đích hỗ trợ cho người quản trị một cách nhanh nhất có thể khắc phục và xử lý sự
cố liên quan đến hệ thống mạng đạt được hiệu quả cao.
5 Bố cục luận văn
Phần bố cục của luận văn được trình bày thành 5 chương.
Chương 1 : Tổng quan. Giới thiệu bao quát về vấn đề bảo mật mạng và
các vấn đề liên quan đến tấn công xâm nhập hệ thống mạng.
Chương 2: Hệ thống phát hiện và phòng chống xâm nhập mạng, ở chương
này tác giả trình bày tổng quan về khả năng, vai trị và đặc điểm của chương
trình phát hiện và phòng chống xâm nhập mạng, giám sát lưu lượng, giám sát
dịch vụ mạng.
Chương 3: Các công cụ hỗ trợ trong việc phát hiện và phòng chống xâm
nhập mạng. Trong chương này tác giả trình bày các đặc điểm của các phần mềm
mã nguồn mở sử dụng trong việc cài đặt thực nghiệm của luận văn. Khả năng
tích hợp chúng thành một hệ thống giám sát và phát hiện xâm nhập và cảnh báo
thông tin tức thời qua SMS hoặc Email, Web.
Chương 4: Trong chương này tác giả tập trung phát triển ứng dụng giám
sát hệ thống mạng bằng các chương trình mã nguồn mở, đề xuất mơ hình mạng
và cài đặt thực nghiệm dùng các chương trình mã nguồn mở đã nêu trong đề tài.
5
Chương 5: Đánh giá những mặt đạt được, kết luận và hướng phát triển
thêm của đề tài.
6 Các cơng trình nghiên cứu liên quan
- Báo cáo luận văn thạc sĩ kỹ thuật máy tính đề tài “Xây dựng hệ thống hỗ trợ
giám sát mạng” tác giả Nguyễn Đăng Bảo Phúc – Đại học Đà Nẵng tháng
3/2012. Nội dung của luận văn tác giả hướng dẫn cách cài đặt và cấu hình
chương trình mã nguồn mở Nagios để theo dõi giám sát một hệ thống mạng kết
hợp Gammu để gửi tin nhắn đến quản trị mạng.
- Báo cáo tốt nghiệp kỹ sư đề tài “Nghiên cứu hệ thống giám sát quản trị
mạng trên nền tảng mã nguồn mở Nagios” bài đăng trên website
năm 2008. Nội dung của bài khóa luận tác giả cũng
tập trung vào việc hướng dẫn cài đặt và cấu hình chương trình theo dõi giám sát
hệ thống mạng dựa trên Nagios.
- Báo cáo nghiên cứu khoa học đề tài “Xây dựng hệ thống giám sát mạng dựa
trên mã nguồn mở” tác giả nhóm sinh viên Khoa Cơng nghệ thông tin Đại học
Đà Lạt năm 2010. Nội dung báo cáo là những tìm hiểu ban đầu về cách thức
hoạt động của chương trình Nagios và hướng dẫn cài đặt.
- Báo cáo tốt nghiệp kỹ sư đề tài “ Nghiên cứu triển khai hệ thống giám sát
quản trị mạng trên nền tảng mã nguồn mở Nagios” tháng 5/2009 của tác giả
Phạm Hồng Khai, ngành Công nghệ thông tin Đại học Quốc gia Hà Nội. Nội
dung đề tài tác giả tập trung nghiên cứu mơ hình giám sát mạng dựa trên Nagios,
khai thác các tính ưu việt của chương trình để cài đặt và đưa vào giám sát hệ
thống mạng và áp dụng Snort vào hệ thống.
Các cơng trình nghiên cứu có liên quan, các tác giả tập trung nghiên cứu chủ yếu
vào chương trình mã nguồn mở Nagios và Snort, sử dụng nền tảng mã nguồn
mở với mục đích xây dựng hệ thống giám sát mạng, chưa xây dựng một mơ hình
tổng thể với việc phát hiện và cảnh báo bằng SMS, email một cách trực quan
giúp công tác quản lý điều hành của quản trị viên hiệu quả hơn.
CHƯƠNG 1: TỔNG QUAN
1.1 Đánh giá tổng quan về bảo mật mạng máy tính
Bảo mật mạng máy tính hiện nay được đánh giá là một trong những vấn đề quan
trọng bậc nhất của tất cả các quốc gia trong đó có Việt Nam, theo những thống
kê chưa đầy đủ của Tổng cục thống kê thì tính đến tháng 03/2012 số thuê bao sử
dụng Internet vào khoảng 4,2 triệu thuê bao tăng 17,5% và tổng số người sử
dụng Internet cũng tăng 15,3% tức vào khoảng 32,1 triệu người so với cùng thời
điểm năm 2011. Số liệu trên cho thấy tình hình phát triển công nghệ thông tin tại
Việt Nam trong những năm trở lại đây có tốc độ rất lớn và dự kiến sẽ có chiều
hướng tăng do sự phát triển của thiết bị thông minh và các thiết bị khác. Một số
doanh nghiệp Việt Nam chưa có kế hoạch hoặc có kế hoạch đầu tư nhỏ vào việc
bảo mật cho hệ thống mạng trong khi các doanh nghiệp bắt đầu phát triển các
ứng dụng công nghệ mạng để quảng cáo hoặc cung cấp thơng tin của doanh
nghiệp mình trong thế giới số.
Theo báo cáo về an tồn thơng tin được cơng bố trong ngày “An tồn thơng tin
năm 2011” về vấn đền an tồn thơng tin trong các tổ chức doanh nghiệp Việt
Nam năm 2011, có đến:
- 52% số tổ chức vẫn khơng hoặc chưa có quy trình thao tác chuẩn để ứng
phó với những cuộc tấn cơng máy tính
- Tỷ lệ sử dụng những công nghệ chuyên sâu hoặc hẹp hơn như mã hoá, hệ
thống phát hiện xâm nhập, chứng chỉ số, chữ ký số…chỉ chiếm 20% .
- Đặc biệt tỷ lệ sử dụng những giải pháp cấp cao trong bảo mật an ninh
mạng như quản lý định danh, hệ thống quản lý chống thất thoát dữ liệu,
sinh trắc học chỉ chiếm 5% trong tất cả các giải pháp chống tấn công của
tội phạm công nghệ cao.[1]
Nhận định về an tồn thơng tin trong những năm qua, các chun gia bảo mật
hàng đầu tại Việt Nam đều có chung một nhận định có nhiều biến động lớn và
7
mức độ tấn công là ngày càng rất nguy hiểm và gây nhiều thiệt hại cho các
doanh nghiệp trong nước[2]. Để giải quyết vấn đề này các công ty bảo mật hàng
đầu trên thế giới và của Việt Nam vẫn tiếp tục nghiên cứu phát triển những gói
giải pháp bảo mật bao gồm thiết bị phần cứng và các chương trình phần mềm
phục vụ cho việc an tồn thơng tin và bảo mật hệ thống mạng, các nhà cung cấp
dịch vụ giải pháp bảo mật như Juniper (với các sản phẩm phần cứng tường lửa
như NetScreen), Cisco với các thiết bị tường lửa như ASA, PIX hoặc như các
thiết bị tường lửa tiên tiến hơn như Checkpoint, IPS của nhà cung cấp IBM là
những thiết bị phần cứng liên quan đến bảo mật hệ thống mạng và an tồn thơng
tin liên tục được đưa ra trên thị trường, bên cạnh những thiết bị phần cứng còn
phải kể đến những ứng dụng phần mềm được các nhà cung cấp giải pháp an tồn
thơng tin đưa ra nhằm phục vụ cho việc bảo mật hệ thống thơng tin. Có thể kể
đến một vài tên tuổi nổi tiếng như: Symantec (với giải pháp phần mềm Anti
Virut, Spam, Malware), Microsoft, Kaspersky, TrenPC, McAfee, SolarWin với
những gói phần mềm khá hồn hảo (theo đánh giá của các nhà cung cấp) trong
việc bảo mật và an tồn thơng tin.
Những sản phẩm thương mại của các nhà cung cấp giải pháp an tồn thơng tin
được tung ra trên thị trường trong những năm gần đây được đánh giá cao về mức
độ bảo mật và hiệu năng hoạt động của nó, tuy nhiên vấn đề đầu tư các giải pháp
bảo mật an tồn thơng tin cho doanh nghiệp mang tính đầy đủ đem đến cho các
doanh nghiệp vừa và nhỏ một chi phí đầu tư đáng kể so với hoạt động kinh
doanh của doanh nghiệp.
Theo các nghiên cứu hiện nay có tại Việt Nam cũng như trên thế giới về xây
dựng một hệ thống IDS phát hiện và phòng chống xâm nhập mạng trái phép dựa
trên mã nguồn mở cũng phát triển mạnh, tuy nhiên tại Việt Nam các nghiên cứu
này có mức độ triển khai vào thực tế là chưa cao và cịn là những bài tốn lớn
cho giải pháp bảo mật thông tin dựa trên phần mềm mã nguồn mở.
8
1.2 Phân loại các mối đe dọa trong bảo mật
Như đã nêu trên, việc bảo mật đối với các doanh nghiệp là một vấn đề lớn hiện
nay, việc một tội phạm tin học xâm nhập đã tạo ra rất nhiều cách khác nhau để
có thể thành cơng trong việc làm hư hỏng hoàn toàn một hệ thống mạng hoặc
một dịch vụ ứng dụng Web của một doanh nghiệp. Có nhiều phương pháp đã
được triển khai nhằm giảm thiểu khả năng tấn công như phát triển hạ tầng mạng
và truyền thông trên internet, dùng tường lửa, mã hóa, mạng riêng ảo… Sự phát
hiện xâm nhập cũng là một kỹ thuật gần giống với việc sử dụng tường lửa hay
đại loại như thế. Mục đích của một hệ thống phát hiện xâm nhập là thơng báo
cho nhà quản trị khi có một hành vi xâm nhập hoặc một sự tấn công được phát
hiện. Có thể có nhiều cách khác nhau để tấn cơng và hệ thống phát hiện xâm
nhập cũng có nhiều cách để phát hiện. Để làm rõ vấn đề phát hiện xâm nhập
trước tiên cần hiểu rõ một số các mối đe dọa trong bảo mật một hệ thống mạng
hoạt động ra sao. Thơng thường có 4 mối đe dọa cho việc bảo mật hệ thống
được mô tả như sau:
1.2.1 Mối đe dọa bên trong
Thuật ngữ mối đe dọa bên trong được sử dụng để mô ta một kiểu tấn công
được thực hiện từ một người hoặc một tổ chức có quyền truy cập vào hệ thống
mạng. Các cách tấn công từ bên trong được thực hiện từ một khu vực được coi
là vùng tin cậy trong hệ thống mạng. Mối đe dọa này có thể khó phịng chống
hơn vì các nhân viên hoặc những tổ chức có quyền hạn trong hệ thống mạng sẽ
truy cập vào mạng và dữ liệu bí mật của doanh nghiệp. Phần lớn các doanh
nghiệp hiện nay đều có tường lửa ở các đường biên mạng và họ tin tưởng hoàn
toàn vào các ACL (Access Control List) và quyền truy cập vào server để qui
định cho sự bảo mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên
trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở
bên trong thường được thực hiện bởi các nhân viên, tổ chức bất bình, muốn
“quay mặt” lại với doanh nghiệp. Nhiều phương pháp bảo mật liên quan đến
vành đai của hệ thống mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài,
như là truy cập Internet. Khi vành đai của hệ thống mạng được bảo mật, các
9
phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ
xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của hệ thống mạng, mọi
chuyện còn lại thường là rất đơn giản. Các mạng không dây giới thiệu một lĩnh
vực mới về quản trị bảo mật. Khơng giống như mạng có dây, các mạng khơng
dây tạo ra một khu vực bao phủ có thể bị can thiệp và sử dụng bởi bất kì ai có
phần mềm đúng và một adapter của mạng khơng dây. Khơng chỉ tất cả các dữ
liệu mạng có thể bị xem và ghi lại mà các sự tấn công vào mạng có thể được
thực hiện từ bên trong, nơi mà cơ sở hạ tầng dễ bị nguy hiểm hơn nhiều. Vì vậy,
các phương pháp mã hóa mạnh ln được sử dụng trong mạng không dây.
1.2.2 Mối đe dọa từ bên ngoài
Mối đe dọa ở bên ngoài là từ các tổ chức, chính phủ, hoặc cá nhân cố
gắng truy cập từ bên ngoài mạng của doanh nghiệp và bao gồm tất cả những
người khơng có quyền truy cập vào mạng bên trong. Thơng thường, các kẻ tấn
cơng từ bên ngồi cố gắng từ các server quay số hoặc các kết nối Internet. Mối
đe dọa ở bên ngồi là những gì mà các doanh nghiệp thường phải bỏ nhiều hầu
hết thời gian và tiền bạc để ngăn ngừa.
1.2.3 Mối đe dọa không có cấu trúc
Mối đe dọa khơng có cấu trúc là mối đe dọa phổ biến nhất đối với hệ
thống của một doanh nghiệp. Các hacker mới vào nghề, thường được gọi là
script kiddies, sử dụng các phần mềm để thu thập thông tin, truy cập hoặc thực
hiện một kiểu tấn công DoS vào một hệ thống của một doanh nghiệp. Script
kiddies tin tưởng vào các phần mềm và kinh nghiệm của các hacker đi trước.
Khi script kiddies khơng có nhiều kiến thức và kinh nghiệm, họ có thể tiến hành
phá hoại lên các doanh nghiệp không được chuẩn bị. Trong khi đây chỉ là trò
chơi đối với các kiddie, các doanh nghiệp thường mất hàng triệu đô la cũng như
là sự tin tưởng của cộng đồng. Nếu một web server của một doanh nghiệp bị tấn
công, cộng đồng cho rằng hacker đã phá vỡ được sự bảo mật của doanh nghiệp
đó, trong khi thật ra các hacker chỉ tấn cơng được một chỗ yếu của server. Các
server Web, FTP, SMTP và một vài server khác chứa các dịch vụ có rất nhiều lổ
hổng để có thể bị tấn cơng, trong khi các server quan trọng được đặt sau rất
10
nhiều lớp bảo mật. Cộng đồng thường không hiểu rằng phá vỡ một trang web
của một doanh nghiệp thì dễ hơn rất nhiều so với việc phá vỡ cơ sở dữ liệu thẻ
tín dụng của doanh nghiệp đó. Cộng đồng phải tin tưởng rằng một doanh nghiệp
rất giỏi trong việc bảo mật các thơng tin riêng tư của nó.
1.2.4 Mối đe dọa có cấu trúc
Mối đe dọa có cấu trúc là khó ngăn ngừa và phịng chống nhất vì nó xuất
phát từ các tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực
hiện tấn công. Các hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra
mối đe dọa này. Các hacker này biết các gói tin được tạo thành như thế nào và
có thể phát triển mã để khai thác các lỗ hổng trong cấu trúc của giao thức. Họ
cũng biết được các biện pháp được sử dụng để ngăn ngừa truy cập trái phép,
cũng như các hệ thống IDS và cách chúng phát hiện ra các hành vi xâm nhập.
Họ biết các phương pháp để tránh những cách bảo vệ này. Trong một vài trường
hợp, một cách tấn cơng có cấu trúc được thực hiện với sự trợ giúp từ một vài
người ở bên trong. Đây gọi là mối đe dọa có cấu trúc ở bên trong. Cấu trúc hoặc
không cấu trúc có thể là mối đe dọa bên ngồi cũng như bên trong.
1.3 Phân loại một số lỗ hổng trong bảo mật
1.3.1 Lỗ hổng bảo mật
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo nên sự
ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép truy
cập bất hợp pháp vào hệ thống. Các lỗ hổng bảo mật có thể nằm ngay các dịch
vụ cung cấp như Web, Email, FTP, … Ngồi ra các chương trình ứng dụng hay
dùng cũng chứa các lỗ hổng bảo mật như Word, các hệ cơ sở dữ liệu như SQL…
1.3.2 Phân loại lỗ hổng bảo mật
Thực hiện phân loại và hiểu được những phương thức bảo mật thực sự
quan trọng trong việc xây dựng một hệ thống lọc và phân loại gói tin của tường
lửa với mục đích phát hiện được những lỗ hổng trong việc bảo mật. Hiện nay
việc phân loại lỗ hổng bảo mật cơ bản được phân thành 03 loại.
11
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự
ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các
truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các
dịch vụ cung cấp như sendmail, Web, Ftp … Ngoài ra các lỗ hổng cịn tồn tại
ngay chính tại hệ điều hành như trong Windows NT, Windows 95, UNIX; hoặc
trong các ứng dụng mà người sử dụng thương xuyên sử dụng như Word
processing, Các hệ databases…[6]
1.3.2.1 Loại C – Ít nguy hiểm
Các lỗ hổng bảo mật thuộc loại này thường cho phép thực hiện việc
tấn cơng DoS. DoS là một hình thức tấn công sử dụng các giao thức tầng ứng
dụng trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ, tràn đệm dẫn đến
tình trạng từ chối tất cả các yêu cầu của người sử dụng hợp pháp truy cập hay sử
dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng
thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng
chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới. Các dịch vụ có chứa
đựng lỗ hổng cho phép thực hiện các cuộc tấn cơng DoS có thể được nâng cấp
hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện
nay, chưa có một giải pháp tồn diện nào để khắc phục các lỗ hổng loại này vì
bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng và bộ giao thức
TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng này. Tuy nhiên,
mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy hiểm vì
chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà
không làm nguy hại đến dữ liệu và người tấn công cũng không đạt được quyền
truy nhập bất hợp pháp vào hệ thống.
Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của
dịch vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng
cuối; Chủ yếu của hình thức tấn công này là sử dụng dịch vụ Web. Với một hình
thức tấn cơng đơn giản như cùng một lúc gửi nhiều yêu cầu truy cập, điều này
có thể làm treo hệ thống. Đây cùng là một hình thức tấn công kiểu DoS. Người
12
quản trị hệ thống Website trong trường hợp này chỉ có thể khởi động lại hệ
thống.[6]
Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail
là không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các
hành động spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư
điện tử là lưu và chuyển tiếp; một số hệ thống mail khơng có các xác thực khi
người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn cơng lợi dụng các máy
chủ mail này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch
vụ mail của hệ thống bằng cách gửi một số lượng lớn các messages tới một địa
chỉ khơng xác định, vì máy chủ mail ln phải tốn năng lực đi tìm những địa chỉ
khơng có thực dẫn đến tình trạng ngưng trệ dịch vụ. Số lượng các messages có
thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet.
1.3.2.2 Loại B – Nguy hiểm
Các lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho
phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập
không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ
trên hệ thống. Người sử dụng local được hiểu là người đã có quyền truy nhập
vào hệ thống với một số quyền hạn nhất định.
Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình
có mã nguồn viết bằng ngơn ngữ lập trình C. Những chương trình viết bằng
ngơn ngữ lập trình C thường sử dụng một vùng đệm – là một vùng trong bộ nhớ
sử dụng để lưu dữ liệu trước khi xử lý. Những người lập trình thường sử dụng
vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng
khối dữ liệu. Ví dụ, người sử dụng viết chương trình nhập trường tên người sử
dụng; qui định trường này dài 20 ký tự. Do đó họ sẽ khai báo: char first_name
[20];
13
Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký
tự. Khi nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng
nhập vào 35 ký tự; sẽ xảy ra hiện tượng tràn vùng đệm và kết quả 15 ký tự dư
thừa sẽ nằm ở một vị trí khơng kiểm sốt được trong bộ nhớ. Đối với những
người tấn cơng, có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt,
để thực thi một số lệnh đặc biệt trên hệ thống. Thông thường, lỗ hổng này
thường được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền
root khơng hợp lệ. Việc kiểm sốt chặt chẽ cấu hình hệ thống và các chương
trình sẽ hạn chế được các lỗ hổng loại B.[6]
1.3.2.3 Loại A – Rất nguy hiểm
Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính tồn vẹn
và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ
thống quản trị yếu kém hoặc khơng kiểm sốt được cấu hình mạng.
Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server
là Apache, Đối với Web Server này thường cấu hình thư mục mặc định để chạy
các đoạn scripts là cgi-bin; trong đó tồn tại một đoạn scripts được viết sẵn để thử
hoạt động của apache là test-cgi. Đối với các phiên bản cũ của Apache (trước
version 1.1), có dịng sau trong file test-cgi:
echo QUERY_STRING = $QUERY_STRING
Biến môi trường QUERY_STRING do không được đặt trong có
dấu ” (quote) nên khi phía client thưc hiện một yêu cầu trong đó chuỗi ký tự gửi
đến gồm một số ký tự đặc biệt; ví dụ ký tự “*”, web server sẽ trả về nội dung
của toàn bộ thư mục hiện thời (là các thư mục chứa các scipts cgi). Người sử
dụng có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ
thống server. Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy
trên hệ điều hành Novell; Các web server này có một scripts là convert.bas, chạy
scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống.
14
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có
trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần
mềm sử dụng sẽ có thể bỏ qua những điểm yếu này.
Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thơng
báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này.
Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A
như: FTP, Gopher, Telnet, Sendmail, ARP, finger…[2]
Các loại bảo mật nêu trên có thể phân loại chung thành 03 mức độ
cơ bản của điểm yếu bảo mật như sau:
- Điểm yếu về kỹ thuật: bao gồm những kỹ thuật gồm có điểm yếu
trong các giao thức, hệ điều hành và các thiết bị phần cứng như
Server, Router, Switch
- Điểm yếu về cấu hình hệ thống: bao gồm lỗi do nhà quản trị tạo ra,
lỗi này do các thiếu sót trong việc cấu hình hệ thống như: không
đảm bảo thông tin mật tài khoản khách hàng, hệ thống tài khoản với
mật khẩu dễ dàng đốn biết, sử dụng các cấu hình mặc định trên
thiết bị.
- Điểm yếu trong chính sách bảo mật: chính sách bảo mật mô tả việc
làm thế nào và ở đâu chính sách bảo mật được thực hiện. Đây là
điều kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất.
1.4 Một số kiểu tấn cơng mạng
Có rất nhiều dạng tấn công mạng đang được biết đến hiện nay, dựa vào hành
động tấn cơng của tội phạm mạng có thể phân làm 02 loại là chủ động và bị
động.
- Tấn công chủ động (active attack): Kẻ tấn công thay đổi hoạt động của hệ
thống và hoạt động của mạng khi tấn cơng và làm ảnh hưởng đến tính
tồn vẹn, sẵn sàng và xác thực của dữ liệu.
15
- Tấn công bị động (passive attack): Kẻ tấn công cố gắng thu thập thông tin
từ hoạt động của hệ thống và hoạt động của mạng làm phá vỡ tính bí mật
của dữ liệu.
Dựa vào nguồn gốc của cuộc tấn cơng thì có thể phân loại tấn cơng thành 2 loại
hình tấn cơng bao gồm: tấn cơng từ bên trong và tấn cơng từ bên ngồi, tấn cơng
trực tiếp.
- Tấn cơng bên trong bao gồm những hành vi mang tính chất xâm nhập hệ
thống nhằm mục đích phá hoại. Kẻ tấn công bên trong thường là những người
nằm trong một hệ thống mạng nội bộ, lấy thông tin nhiều hơn quyền cho phép.
- Tấn cơng bên ngồi là những tấn cơng xuất phát từ bên ngồi hệ thống
như Internet hay các kết nối truy cập từ xa. Tấn công bên ngồi có thể là những
dạng tất cơng trực tiếp, các dạng tấn công này thông thường là sử dụng trong
giai đoạn đầu để chiếm quyền truy cập. Phổ biến nhất vẫn là cách dị tìm tên
người sử dụng và mật khẩu. Tội phạm mạng có thể sử dụng những thơng tin liên
quan đến chủ tài khoản như ngày tháng năm sinh, tên vợ (chồng) hoặc con cái
hoặc số điện thoại để dị tìm thơng tin tài khoản và mật khẩu với mục đích chiếm
quyền điều khiển của một tài khoản, thơng thường đối với những tài khoản có
mật khẩu đơn giản thì tội phạm mạng chỉ dị tìm mật khẩu qua thông tin chủ tài
khoản, một cách tiếp cận việc chiếm quyền truy nhập bằng cách tìm tài khoản và
mật khẩu tài khoảng khác là dùng chương trình để dị tìm mật khẩu. Phương
pháp này trong một số khả năng hữu dụng thì có thể thành cơng đến 30%. Một
kiểu tấn cơng bên ngồi khác được đề cập đến nữa chính là hình thức nghe trộm,
việc nghe trộm thơng tin trên mạng có thể đưa lại những thơng tin có ích như
tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe
trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy
nhập hệ thống, thơng qua các chương trình cho phép đưa card giao tiếp mạng
(Network Interface Card-NIC) vào chế độ nhận tồn bộ các thơng tin lưu truyền
trên mạng. Những thơng tin này cũng có thể dễ dàng lấy được trên Internet.
16
- Một số các lỗi khác liên quan đến con người, hệ thống cũng là những
kiểu tấn công trực tiếp từ bên ngồi nhưng có mức độ phức tạp và khó khăn hơn,
nguy hiểm nhất là yếu tố con người bởi nó là một trong nhiều điểm yếu nhất
trong bất kỳ hệ thống bảo mật nào[5] (trích website quantrimang.com)
- Khi một mạng máy tính bị tấn cơng, nó sẽ bị chiếm một lượng lớn tài
nguyên trên máy chủ, mức độ chiếm lượng tài nguyên này tùy thuộc vào khả
năng huy động tấn công của tội phạm mạng, đến một giới hạn nhất định khả
năng cung cấp tài nguyên của máy chủ sẽ hết và như vậy việc từ chối các yêu
cầu sử dụng dịch vụ của người dùng hợp pháp bị từ chối. Việc phát động tấn
công của tội phạm mạng cịn tùy thuộc vào số lượng các máy tính ma mà tội
phạm mạng đó đang kiểm sốt, nếu khả năng kiểm sốt lớn thì thời gian để tấn
cơng và làm sập hoàn toàn một hệ thống mạng sẽ nhanh và cấp độ tấn công sẽ
tăng nhanh hơn, tội phạm mạng có thể một lúc tấn cơng nhiều hệ thống mạng
khác nhau tùy vào mức độ kiểm soát chi phối các máy tính ma như thế nào.
Các kiểu tấn cơng có nhiều hình thức khác nhau, nhưng thơng thường đều thực
hiện qua các bước theo hướng mô tả sau:
+ Khảo sát thu thập thông tin về nơi chuẩn bị tấn cơng bằng các cơng cụ
để tìm hiểu đầy đủ về hệ thống mạng.
+ Sau khi đã thu thập đủ thông tin, tội phạm mạng sẽ dị tìm những thơng
tin về lỗ hổng của bảo mật hệ thống dựa trên những thơng tin đã tìm được, phân
tích điểm yếu của hệ thống mạng, sử dụng các bộ cơng cụ để dị qt tìm lỗi trên
hệ thống mạng đó.
+ Khi đã có trong tay những điểm yếu của hệ thống mạng, tội phạm mạng
sẽ tiến hành xâm nhập hệ thống mạng bằng các công cụ như làm tràn bộ đệm
hoặc tấn công từ chối dịch vụ.
+ Ở một số cuộc tấn công, người xâm nhập sau khi đã xâm nhập thành
công và khai thác được hệ thống mạng rồi sẽ thực hiện việc duy trì xâm nhập
17
với mục đích khai thác và xâm nhập trong tương lai gần. Tội phạm mạng có thể
sử dụng những thủ thuật như mở cửa sau (backdoor) hoặc cài đặt một trojan để
nhằm mục đích duy trì sự xâm nhập của mình. Việc duy trì và làm chủ một hệ
thống mạng tạo cho tội phạm mạng có đủ những điều kiện để khai thác, phục vụ
những nhu cầu về thông tin. Ngoài ra, hệ thống mạng này khi bị chiếm quyền
xâm nhập cũng sẽ trở thành nạn nhân của một hệ thống botnet được sử dụng
trong các cuộc tấn công khác mà cụ thể là tấn công từ chối dịch vụ đến một hệ
thống mạng khác.
+ Xóa dấu vết. Khi một kẻ tấn công đã xâm nhập thành công sẽ cố gắng
duy trì sự xâm nhập này. Bước tiếp theo là chúng phải làm sao xóa hết dấu vết
để khơng cịn chứng cứ pháp lí xâm nhập. Kẻ tấn cơng phải xóa các tập tin log,
xóa các cảnh báo từ hệ thống phát hiện xâm nhập.
Ở các giai đoạn thu thập thơng tin và dị tìm lỗ hổng trong bảo mật, kẻ tấn công
thường làm lưu lượng kết nối mạng thay đổi khác với lúc mạng bình thường rất
nhiều, đồng thời tài nguyên của hệ thống máy chủ sẽ bị ảnh hưởng đáng kể.
Những dấu hiệu này rất có ích cho người quản trị mạng có thể phân tích và đánh
giá tình hình hoạt động của hệ thống mạng. Hầu hết các cuộc tấn công đều tiến
hành tuần tự như các bước đã nêu trên. Làm sao để nhận biết hệ thống mạng
đang bị tấn công, xâm nhập ngay từ hai bước đầu tiên là hết sức quan trọng. Ở
giai đoạn xâm nhập, bước này không dễ dàng đối với kẻ tấn công. Do vậy, khi
không thể xâm nhập được vào hệ thống, để phá hoại có nhiều khả năng kẻ tấn
công sẽ sử dụng tấn công từ chối dịch vụ để ngăn cản không cho người dùng
hợp lệ truy xuất tài nguyên hệ thống.
1.5 Các giải pháp phát hiện và phịng chống tấn cơng mạng
1.5.1 Các biện pháp phát hiện hệ thống bị tấn cơng
Khơng có một hệ thống nào có thể đảm bảo an tồn tuyệt đối; bản thân
mỗi dịch vụ đều có những lỗ hổng bảo mật tiềm tàng. Đứng trên góc độ người