Tải bản đầy đủ (.docx) (67 trang)

TRIỂN KHAI HỆ THÔNG BẢO MẬT BẰNG CÔNG CỤ SNORT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.13 MB, 67 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HCM

ĐỒ ÁN TỔNG HỢP
TRIỂN KHAI HỆ THÔNG BẢO MẬT BẰNG CƠNG CỤ SNORT

Ngành:

CƠNG NGHỆ THƠNG TIN

Chun ngành:

AN TỒN THƠNG TIN

Giảng viên hướng dẫn

: NGUYỄN MINH THẮNG

Sinh viên thực hiện

: Phạm Văn Lộc Hoa - 1711061243

Lớp

: 17DTHB1

TP. Hồ Chí Minh, 2021


LỜI NĨI ĐẦU
Trong thời đại cơng nghệ thơng tin phát tri ển nhanh và vượt bậc như hi ện


nay, đặc biệt là cơng nghệ máy tính và mạng máy tính với sự bùng nổ của hàng
ngàn cuộc cách mạng lớn nhỏ. Sự ra đời của các mạng máy tính và những d ịch v ụ
của nó đã mang lại cho con người nhiều lợi ích to lớn, góp ph ần thúc đẩy n ền
kinh tế phát triển mạnh mẽ, đơn giản hóa những thủ tục lưu trữ, xử lý, trao đổi
thông tin phức tạp, liên lạc và kết nối giữa những vị trí, khoảng cách r ất l ớn m ột
cách nhanh chóng, hiệu quả...
Bên cạnh sự phát triển mạnh mẽ của mạng máy tính, vấn đề an ninh
mạng cũng trở thành yếu tố quan trọng. An ninh thông tin nói chung và an ninh
mạng nói riêng đang là vấn đề được quan tâm không ch ỉ ở Việt Nam mà cịn trên
tồn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, vi ệc đ ảm
bảo an ninh cho các hệ thống thông tin càng tr ở nên cấp thi ết hơn bao gi ờ h ết.
Kỹ thuật tấn công ngày càng tinh vi hơn khiến các h ệ th ống an ninh m ạng tr ở
nên mất hiệu quả.
Nhận thức được tầm quan trọng của các giải pháp an ninh m ạng, nhóm
chúng em đã chọn đề tài “ Triển khai hệ thống bảo mật Snort ” để nghiên cứu,
mục đích chính là để học hỏi, và cũng muốn tìm hiểu những gi ải pháp ứng phó
an ninh mạng và quy trình xử lý sự cố tối ưu cho một hệ thống mạng.


LỜI CẢM ƠN
Trong quá trình xây dựng đồ án này, em đã nhận được rất nhiều ự giúp đỡ, góp ý,
và ủng hộ của thầy NGUYỄN MINH THẮNG, là thầy giáo trực tiếp hướng dẫn về
đồ án cơ sở của em, cảm ơn thầy NGUYỄN MINH THẮNG đã tạo điều ki ện giúp
đỡ em hoàn thành đồ án này.
Do kinh nghiệm và kỹ thuật còn hạn chế, nội dụng đồ án chắc chắn sẽ cịn
nhiều sai sót, hy vọng các thầy cơ trong khoa Cơng Nghệ Thơng Tin sẽ đóng góp ý
kiến bổ sung để em hồn thiện đồ án.
Em xin chân thành cảm ơn.



MỤC LỤC
LỜI NÓI ĐẦU............................................................................................................... 3
LỜI CẢM ƠN................................................................................................................ 4
KÝ HIỆU CÁC CỤM TỪ VIẾT TẮT...........................................................................8
CHƯƠNG I: TỔNG QUAN..........................................................................................1
1.1. Tổng quan đề tài..................................................................................................1
1.1.1. Các kiến thức cơ sở........................................................................................................1
1.1.1.1. Khái quát về an ninh mạng.....................................................................1
1.1.1.2. Những vấn đề đảm bảo an ninh và an toàn mạng....................................2
1.1.1.3. Các thành phần cơ bản............................................................................3
1.1.2. Giới thiệu các giải pháp cơ bản................................................................................4
1.2. Lý do chọn đề tài.................................................................................................4
CHƯƠNG II: CƠ SỞ LÝ LUẬN..................................................................................5
2. Incident Response Models ( Các mơ hình ứng phó sự cố)......................................5
2.1. Các ngun tắc nền tảng của an ninh mạng...........................................................5
2.1.1. Tính bí mật.................................................................................................6
2.1.2. Tính tồn vẹn.............................................................................................6
2.1.3. Tính sẵn sàng.............................................................................................6
2.2. Nội dung về tấn cơng mạng..........................................................................................6
2.2.1. Hacking và khái niệm hacker.....................................................................6
2.2.2. Phân loại hacker.........................................................................................7
2.2.3. Các nguy cơ mất an ninh mạng..................................................................7
2.3. “7 Steps of the Cyber Kill Chain”...................................................................................8
2.4. The Diamond Model of Intrusion (Mơ hình kim cương)....................................9
2.4.1. Tổng quan về The Diamond Model ( Mơ hình kim cương).......................9
2.4.3. The Diamond Model and the Cyber Kill Chain........................................11
2.5. The VERIS Schema ( Lược đồ VERIS)......................................................................12
2.6. Các kiểu tấn công.............................................................................................................13
2.6.1. Man in The Middle..................................................................................13
2.6.2. Tấn công bị động.....................................................................................13

2.6.3. Tấn công chủ động...................................................................................13
2.6.4. Tấn công Phishing....................................................................................14


2.6.5. Tấn công nội bộ.......................................................................................14
2.6.6. Tấn công từ chối dịch vụ..........................................................................15
2.6.7. Tấn cơng phá mã khóa.............................................................................16
2.6.8. Tấn cơng trực tiếp....................................................................................16
3.Incident Handling ( Xử lý sự cố)...........................................................................17
3.1. CSIRT (Computer Security Incident Response Team )......................................17
3.1.1. CSIRT là gì?.............................................................................................17
3.1.2. Chức năng:...............................................................................................17
3.1.3. Các loại CSIRT:.......................................................................................18
3.2. CERT (Computer Emergency Response Team)....................................................18
3.2.1. CERT là gì?..............................................................................................18
3.4. Incident Response Stakeholders (Các bên liên quan ứng phó s ự cố).........19
3.5. NIST Incident Response Life Cycle ( Vòng đời ứng phó sự cố của NIST).19
3.5.1. NIST là gì?...............................................................................................19
3.5.2. NIST xác định vòng lặp sự cố như sau:...................................................19
4. Một số biện pháp ngăn chặn và khắc phục sự cố An toàn hệ thống mạng máy tính.
.................................................................................................................................. 20
4.1. Cơng nghệ tường lửa (Firewall)................................................................................20
4.2. Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS......................20
4.2.1. Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS)...............20
4.2.2. Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS)...............23
4.3. Công nghệ mạng LAN ảo (VLAN).............................................................................24
4.4. Nghiên cứu mạng riêng ảo (VPN).............................................................................27
4.5. Yếu tố con người............................................................................................................. 28
5. Mô hình ứng dụng giải pháp an ninh mạng..........................................................29
5.1. Sơ đồ thực tế.....................................................................................................................29

5.2. Sơ đồ logic...........................................................................................................................31
6. Giới thiệu về Snort................................................................................................32
6.1. Snort là gì?...........................................................................................................................32
6.2. Triển khai hệ thống Snort...........................................................................................32
6.2.1. Yêu cầu phần cứng......................................................................................................32
6.2.2. Hệ điều hành............................................................................................33
6.3. Đặc điểm của Snort........................................................................................................33


6.4. Luật trong Snort...............................................................................................................34
6.4.1. Giới thiệu.................................................................................................34
........................................................................................................................... 35
6.4.2. Rule Header.............................................................................................35
6.4.3. Rule Options............................................................................................37
CHƯƠNG 3: THỰC NGHIỆM...................................................................................38
1. Sơ đồ hệ thống......................................................................................................38
2. Cài đặt hệ thống...................................................................................................38
2.1. Cài đặt máy ảo..................................................................................................................38
2.2. Cài đặt Snort trên Snort trên Windows Server 2008........................................43
CHƯƠNG 4: KẾT LUẬN...........................................................................................57
1. Kết quả đạt được..................................................................................................57
2. Ưu điểm và nhược điểm........................................................................................57
3. Những hạn chế gặp phải.......................................................................................58
4. Hướng phát triển..................................................................................................58
5. Tài liệu tham khảo :..............................................................................................58



KÝ HIỆU CÁC CỤM TỪ VIẾT TẮT
MITM: Man In The Middle.

ARP: Address Resolution Protocol.
DNS: Domain Naming System.
DoS: Denial of Service.
DDoS: Distributed Denial of Service.
IDS: Intrusion Detect System.
HIDS: Host-based Intrusion Detect System.
NIDS: Network-based Intrusion Detect System.
IPS: Intrusion Prevent System.
TCP: Transmission Control Protocol – giao thức điều khi ển truyền vận.
UDP: User Datagram Protocol – giao thức gửi dữ liệu ngắn.
ICMP: Internet Control Message Protocol – giao thức ki ểm tra kết n ối.
ASCII: American Standard Core for Information Interchange – chu ẩn mã trao đ ổi
thơng tin Hoa Kì.
IP: Internet Protocol.
Firewall: là một bức rào chắn giữa mạng nội bộ và một mạng khác.
Packet Decoder: Mơđun giải mã gói tin.
Preprocessor: Mơđun tiền xử lý.
Detection engine: Môđun phát hiện.
Logging and Alerting System: Môđun log va cảnh báo.
SSH - Secure Shell: Giao thức kết nối bảo mật.


CHƯƠNG I: TỔNG QUAN
1.1. Tổng quan đề tài
1.1.1. Các kiến thức cơ sở
1.1.1.1. Khái quát về an ninh mạng
-

An ninh mạng máy tính (Network Security) là tổng thể các giải pháp về
mặt tổ chức và kỹ thuật nhằm ngăn cản mọi nguy cơ tổn hại đến mạng .

Các tổn hại có thể xảy ra do:
 Lỗi của người sử dụng.
 Các lỗ hổng trong các hệ điều hành cũng như các chương trình ứng

-

dụng.
 Các hành động hiểm độc.
 Các lỗi phần cứng.
 Các nguyên nhân khác từ tự nhiên.
An ninh mạng máy tính bao gồm vơ số các phương pháp được s ử dụng đ ể

-

ngăn cản các sự kiện trên, nhưng trước hết tập trung vào việc ngăn cản:
 Lỗi của người sử dụng.
 Các hành động hiểm độc.
Số lượng các mạng máy tính tăng lên rất nhanh. Ngày càng tr ở thành ph ức
tạp và phải thực hiện các nhiệm vụ quan trọng hơn. Mang lại những thách
thức mới cho những ai sử dụng và quản lý chúng. Sự cần thi ết ph ải h ội
nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng tất cả trong m ột là
một điều hiển nhiên. Do các nhà quản lý mạng phải cố gắng tri ển khai

-

những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình.
An ninh Mạng – Network Security bảo vệ mạng của bạn trước vi ệc đánh
cắp và sử dụng sai mục đích thơng tin kinh doanh bí mật và ch ống l ại t ấn
công bằng mã độc từ vi rút và sâu máy tính trên mạng Internet. N ếu khơng
có an ninh mạng được triển khai, cơng ty của bạn sẽ gặp rủi ro tr ước xâm

nhập trái phép, sự ngừng trệ hoạt động của mạng, sự gián đoạn dịch v ụ,

-

sự không tuân thủ quy định và thậm chí là các hành động phạm pháp nữa.
An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập
hợp các rào cản để bảo vệ doanh nghiệp của bạn theo những cách khác
nhau. Ngay cả khi một giải pháp gặp sự cố thì giải pháp khác vẫn b ảo v ệ
được công ty và dữ liệu của bạn trước đa dạng các loại tấn công mạng.
Page 9


-

Các lớp an ninh trên mạng của bạn có nghĩa là thơng tin có giá tr ị mà b ạn
dựa vào để tiến hành kinh doanh là ln sẵn có đối v ới bạn và được b ảo
vệ trước các tấn công. Cụ thể là, An ninh Mạng:
 Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngồi.
Các tấn cơng có thể xuất phát từ cả hai phía, từ bên trong và từ bên
ngồi tường lửa của doanh nghiệp của bạn. Một hệ thống an ninh
hiệu quả sẽ giám sát tất cả các hoạt động mạng, cảnh báo v ề
những hành động vi phạm và thực hiện những phản ứng thích hợp.
 Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào
bất cứ lúc nào. Nhân viên có thể truy cập vào mạng từ nhà hoặc
trên đường đi với sự đảm bảo rằng hoạt động truyền thông của h ọ
vẫn được riêng tư và được bảo vệ.
 Kiểm soát truy cập thơng tin bằng cách xác định chính xác người
dùng và hệ thống của họ. Các doanh nghiệp có th ể đặt ra các quy
tắc của riêng họ về truy cập dữ liệu. Phê duyệt hoặc từ ch ối có th ể
được cấp trên cơ sở danh tính người dùng, chức năng cơng việc

hoặc các tiêu chí kinh doanh cụ thể khác.
 Giúp bạn trở nên tin cậy hơn. Bởi vì các cơng nghệ an ninh cho phép
hệ thống của bạn ngăn chặn những dạng tấn công đã biết và thích
ứng với những dạng tấn cơng mới, nhân viên, khách hàng và các
doanh nghiệp có thể an tâm rằng dữ liệu của họ được an toàn.
1.1.1.2. Những vấn đề đảm bảo an ninh và an toàn mạng

-

Yếu tố đầu tiên phải nói đến là dữ liệu, những thơng tin lưu trữ trên hệ
thống máy tính cần được bảo vệ do các u cầu về tính bảo mật, tính tồn

-

vẹn hay tính kịp thời.
Yếu tố thứ hai là về tài nguyên hệ thống, sau khi những kẻ tấn công đã
làm chủ được hệ thống chúng sẽ sử dụng các máy này đ ể chạy các chương

-

trình như dị tìm mật khẩu để tấn công vào hệ thống mạng.
Sau đây là một số phương thức bảo đảm an toàn, bảo mật thông tin, dữ
liệu:
 Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo
một quy tắc nào đó thành dạng mới mà kẻ tấn công không nhận
biết được.
Page 10


 Xác thực (Authentication): là các thao tác để nh ận d ạng người dùng,

nhận dạng client hay server…
 Ủy quyền (Authorization): chính là việc phân định quyền hạn cho
mỗi thành phần đã đăng nhập thành công vào hệ thống. Quy ền hạn
này là các quyền sử dụng dịch vụ, truy cập dữ liệu…
 Kiểm toán (Auditing): là các phương pháp để xác định được client
đã truy cập đến dữ liệu nào và bằng cách nào.
1.1.1.3. Các thành phần cơ bản
-

Để một hệ thống an ninh mạng hoạt động tốt nó bao gồm rất nhiều thành
phần, hoạt động trên các nền tảng và mỗi trường khác nhau như:
 Các máy trạm
 Các máy chủ
 Các ứng dụng
 Các server
 Các thiết bị hạ tầng mạng: Router, switch, Hub…
 Các thiết bị, hệ thống phát hiện và phòng chống xâm nhập: IDS/IPS,

-

Snort, FireWall…
 Các ứng dụng chạy trên các máy chủ và máy trạm.
Ngoài ra, log hệ thống cũng là một thành phần quan tr ọng của h ệ th ống
mạng. Nó lưu lại một cách chính xác mọi hoạt động của hệ th ống, tình
trạng hoạt động của hệ thống, các ứng dụng, các thi ết bị đã và đang ho ạt
động trong hệ thống. Log là một thành phần cực kỳ hữu hi ệu cho vi ệc
giám sát cũng như khắc phục các sự cố trong hệ thống mạng. Bao gồm:
 Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng
tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…
 Log Event: là log ghi lại chi tiết những sự ki ện mà h ệ th ống đã th ực

hiện. Log ứng dụng, log của hệ điều hành…
 Log Device: là log ghi lại tình trạng hoạt đ ộng của các thi ết b ị ph ần
cứng và phần mềm đang được sử dụng: Router, Switch, IDS, IPS…

1.1.2. Giới thiệu các giải pháp cơ bản
-

Giải pháp phân mảnh mạng.
Quản lý các điểm truy nhập.
Các bộ định tuyến và chuyển mạch.
Giải pháp bức tường lửa.
Giải pháp lọc nội dung.
Giải pháp phát hiện và phòng chống xâm nhập.
Page 11


-

Điều khiển truy nhập từ xa.
Quản lý các sự kiện an ninh.
Quản lý các tổn thương.
Giải pháp mật mã.

1.2. Lý do chọn đề tài
Mạng – Internet dường như trong thời đại phát tri ển như hiện nay thì t ừ
nhà, cơng ty, doanh nghiệp, ... Nơi đâu cũng có mạng. Ta thấy rõ đ ược r ằng m ạng
internet đã mang lại cho chúng ta rất nhiều đi ều hữu ích. Tuy nhiên, trong h ệ
thống mạng, vấn đề an tồn và bảo mật đóng một vai trị hết s ức quan tr ọng.
Nếu khơng có an ninh mạng được triển khai, hệ th ống của bạn sẽ gặp rủi ro
trước xâm nhập trái phép, sự ngừng trệ hoạt động của mạng, s ự gián đo ạn d ịch

vụ, sự khơng tn thủ quy định và thậm chí là các hành động phạm pháp nữa.
Nhận thức được tầm quan trọng của nó, nhóm chúng em đã ch ọn đ ề tài
này để nghiên cứu dựa trên tài liệu được Giảng Viên cung cấp. Mục đích chính là
để học hỏi, và cũng muốn tìm hiểu những giải pháp an ninh mạng tối ưu cho
một hệ thống mạng.

Page 12


CHƯƠNG II: CƠ SỞ LÝ LUẬN
2. Incident Response Models ( Các mơ hình ứng phó sự cố)
2.1. Các ngun tắc nền tảng của an ninh mạng
Đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thơng tin và d ữ li ệu đóng
một vai trị hết sức quan trọng trong đời sống và có khi ảnh h ưởng t ới s ự t ồn
vong của họ. Vì vậy, việc bảo mật những thơng tin và d ữ li ệu đó là đi ều vô cùng
cần thiết, nhất là trong bối cảnh hiện nay các hệ thống thông tin ngày càng đ ược
mở rộng và trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước
được.
Điều này cho thấy vai trò cốt yếu của an ninh mạng trong vi ệc b ảo h ệ h ệ
thống mạng. Và nền tảng quan trọng của an ninh mạng bao gồm 3 yếu tố:
-

Tính bí mật
Tính tồn vẹn
Tính sẵn sàng
Tùy thuộc vào ứng dụng và hoàn cảnh cụ thể, mà một trong ba nguyên tắc

này sẽ quan trọng hơn những cái khác.

Page 13



Confidentiality, Integrity, Availability, được gọi là: Mơ hình bộ ba CIA. Ba
nguyên tắc cốt lõi này phải dẫn đường cho tất cả các hệ th ống an ninh mạng. Bộ
ba CIA cũng cung cấp một công cụ đo (tiêu chuẩn đ ể đánh giá) đ ối v ới các th ực
hiện an ninh. Mọi vi phạm bất kỳ một trong ba nguyên tắc này đ ều có th ể gây
hậu quả nghiêm trọng đối với tất cả các thành phần có liên quan.
2.1.1. Tính bí mật
Bí mật là sự ngăn ngừa việc tiết lộ trái phép những thông tin quan tr ọng,
nhạy cảm. Đó là khả năng đảm bảo mức độ bí mật cần thiết được tn th ủ và
thơng tin quan trọng, nhạy cảm đó được che giấu với người dùng khơng được
cấp phép.
2.1.2. Tính tồn vẹn
Tồn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi trái phép v ề dữ li ệu,
thông tin và hệ thống, do đó đảm bảo được sự chính xác của thơng tin và hệ
thống. Có ba mục đích chính của việc đảm bảo tính tồn vẹn:
-

Ngăn cản sự làm biến dạng nội dung thông tin của những người s ử d ụng

-

không được phép.
Ngăn cản sự làm biến dạng nội dung thông tin không được phép ho ặc

-

không chủ tâm của những người sử dụng được phép.
Duy trì sự tồn vẹn dữ liệu cả trong nội bộ và bên ngồi.


2.1.3. Tính sẵn sàng
Tính sẵn sàng bảo đảm các người sử dụng hợp pháp của hệ th ống có kh ả
năng truy cập đúng lúc và không bị ngắt quãng tới các thơng tin trong h ệ th ống
và tới mạng. Tính sẵn sàng có liên quan đến đ ộ tin c ậy c ủa h ệ th ống. Đ ể tăng
khả năng chống chọi với các cuộc tấn công cũng như duy trì đ ộ s ẵn sàng c ủa h ệ
thống ta có thể áp dụng một số kỹ thuật như: Load Balancing, Clustering,
Redudancy, Failover…

Page 14


2.2. Nội dung về tấn công mạng
2.2.1. Hacking và khái niệm hacker
Hacking là quá trình tận dụng sơ hở của các hệ thống máy tính đ ể hồn
thành mục tiêu của mình hay nói một cách dễ hi ểu hơn, hacking là hành đ ộng
thâm nhập vào hệ thống quản trị mạng máy tính, phần mềm máy tính hay m ạng
máy tính để thay đổi hệ thống đó theo ý muốn của hacker, m ục đích c ủa hành
động hacking có thể là tốt hoặc xấu.
Hacker là người hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính,
có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính để làm thay đổi, ch ỉnh
sửa nó với nhiều mục đích tốt xấu khác nhau. Cơng vi ệc của hacker bao g ồm l ập
trình, quản trị và bảo mật.
2.2.2. Phân loại hacker
- Black hat: Loại hacker này thường là một cá nhân có ki ến th ức, kĩ
năng un thâm về máy tính, ln có ý định đen t ối, s ắp xếp và lên
kế hoạch tấn công với mục đích phá hoại, hoặc vi ph ạm pháp luật.
-

Black hat cũng có thể là một cracker.
While hat: Trắng ở đây có nghĩa là ln làm vi ệc trong sáng, minh

bạch để chống lại cái ác, cái đen tối. Những người này cũng ph ải có
kiến thức, kĩ năng uyên thâm như black hat, nhưng họ không dùng
kiến thức đó để thực hiện ý đồ đen tối là tấn công, xâm nhập trái
phép mà họ là những người đi tìm ra lỗ hổng và vá l ỗ hổng đó l ại và
họ ln đặt phịng thủ lên hàng đầu. Có thể coi những người này

-

như những người phân tích bảo mật.
Gray hat: Đây là thể loại đứng giữa hai loại hacker mũ tr ắng và mũ
đen. Những gã này tìm ra lỗ hổng và thơng báo chúng cho chính phủ,
cơ quan tình báo hay đơi khi là qn đội. Sau đó, chính phủ sẽ s ử
dụng những thơng tin này để hack vào một cơ quan hay một nhóm
tội phạm hình sự. Họ có thể là cá nhân hay những nhà nghiên cứu
theo đuổi việc tìm kiếm bugs và những sai sót có thể hữu ích cho

-

chính phủ.
Suicide hat: Đây có thể coi như là loại hacker cảm tử, có nghĩa là làm
việc mà khơng sợ gì.
Page 15


Ngồi ra, chúng ta cịn có thể phân loại các Hacker dựa trên các lĩnh v ực.
2.2.3. Các nguy cơ mất an ninh mạng
- Các mối đe dọa (Threats): một mối đe dọa là bất kỳ đi ều gì mà có th ể phá
-

vỡ tính bí mật, tính tồn vẹn hoặc tính sẵn sàng của một hệ th ống mạng.

Các lỗ hổng (tính tổn thương) (Vulnerabilities): một l ỗ hổng là m ột đi ểm
yếu vốn có trong thiết kế, cấu hình hoặc thực hiện của một mạng mà có

-

thể gây cho nó khả năng đối đầu với một mối đe dọa.
Sự rủi ro (Risk): là độ đo đánh giá tính dễ bị tổn thương kết h ợp v ới kh ả
năng tấn công thành công.

2.3. “7 Steps of the Cyber Kill Chain”
Các chuyên gia an ninh mạng đang dần dần nắm bắt được nhiều thuật ngữ quân sự
hơn. Không có gì ngạc nhiên ở đó, với một cuộc chiến tranh mạng có thể xảy ra. "Kill
Chain" là một thuật ngữ chiến tranh truyền thống thường được Không quân Hoa Kỳ sử
dụng như quy trình chỉ huy và kiểm sốt để xác định mục tiêu và tiêu diệt các lực
lượng đối phương.
Khái niệm "Kill Chain" này đã được đưa vào hoạt động tiếp thị an ninh mạng. Nhiều
nhà cung cấp đã đưa ra các mơ hình, nhưng Websense gần đây đã đưa nó thành một
mơ hình bảy giai đoạn được xác định rõ ràng mà bọn tội phạm mạng sử dụng để tiếp
cận nạn nhân của chúng. Bạn không phải sử dụng tất cả các bước này mọi lúc, nhưng
thường thì đây là cách các cuộc tấn cơng giảm xuống. Đây là những gì nó trơng giống
như:
1. Reconnaissance: Kẻ xâm nhập chọn mục tiêu, nghiên cứu nó và tìm
kiếm các lỗ hổng.
2. Weaponization : Kẻ xâm nhập phát triển phần mềm độc hại (Vũ khí)
được thiết kế để khai thác lỗ hổng.
3. Delivery : Kẻ xâm nhập truyền phần mềm độc hại qua email lừa đảo
hoặc phương tiện khác.
4. Exploitation : Phần mềm độc hại bắt đầu thực thi trên hệ thống đích.
Page 16



5. Installation : Phần mềm độc hại cài đặt một cửa sau hoặc sự xâm nhập
khác mà kẻ tấn công có thể truy cập được.
6. Command and Control : Kẻ xâm nhập có được quyền truy cập liên tục
vào hệ thống / mạng của nạn nhân.
7. Actions on Objectives : Kẻ xâm nhập bắt đầu các hành động mục tiêu
cuối cùng, chẳng hạn như đánh cắp dữ liệu, hỏng dữ liệu hoặc phá hủy
dữ liệu.

2.4. The Diamond Model of Intrusion (Mơ hình kim cương)
2.4.1. Tổng quan về The Diamond Model ( Mơ hình kim cương).
Mơ hình này nhấn mạnh các mối quan hệ và đặc điểm của 4 thành phần cơ bản:
1. Adversary – Đối thủ: Các bên chịu trách nhiệm về sự xâm nhập.
2. Capability – Khả năng: Công cụ hoặc kỹ thuật được sử dụng bởi
tác nhân đe dọa.
3. Infrastructure – Cơ sở hạ tầng: (Các) đường dẫn mạng được sử
dụng bởi tác nhân đe dọa để thiết lập và duy trì chỉ huy và ki ểm
sốt.

Page 17


4. Victim – Nạn nhân: Mục tiêu của cuộc tấn cơng. Các nạn nhân sau
đó có thể được sử dụng như một phần của cơ sở hạ tầng để khởi
động các cuộc tấn công khác.

Adversary sử dụng Capability trên Infrastructure để tấn công Victim.
2.4.2. Pivoting Across the Diamond Model ( Mơ hình kim cương xâm nhập).

1. Một nhân viên báo cáo rằng máy tính của anh ta hoạt đ ộng b ất

thường và q trình qt cho thấy máy tính bị nhiễm phần mềm
độc hại
2. Phân tích phần mềm độc hại cho thấy rằng phần mềm độc hại
chứa danh sách các tên miền CnC.
Page 18


3. Các tên miền này phân giải thành danh sách các địa chỉ IP.
4. Các địa chỉ IP này được sử dụng để điều tra nhật ký để xác định
nếu các nạn nhân khác trong tổ chức đang sử dụng kênh CnC
5. Địa chỉ IP cũng được sử dụng để xác định đối thủ.
2.4.3. The Diamond Model and the Cyber Kill Chain

1. Kẻ thù tiến hành tìm kiếm trên web cho các Ti ện ích của cơng ty n ạn
nhân, Inc. nhận được như một phần của kết quả miền gadgets.com của
họ.
2. Đối thủ tìm kiếm “quản trị viên mạng gadget.com” và khám phá đ ịa ch ỉ
email của quản trị viên mạng.
3. Kẻ thù gửi email lừa đảo có gắn con ngựa thành Troy quản trị viên mạng.
4. Một quản trị viên mạng (NA1) mở tệp đính kèm độc hại mà th ực hi ện
khai thác kèm theo.
5. Máy chủ của NA1 đăng ký với bộ điều khi ển CnC bằng cách gửi HTTP
Đăng tin nhắn và nhận lại Phản hồi HTTP.
6. Phân tích phần mềm độc hại xác định các địa chỉ IP dự phịng bổ sung.
7. Thơng qua thông báo phản hồi CnC HTTP được gửi đến máy ch ủ của NA1,
phần mềm độc hại bắt đầu hoạt động như một proxy cho các kết n ối TCP
mới.
Page 19



8. Thông qua proxy được thiết lập trên máy chủ của NA1, Adversary th ực
hiện một tìm kiếm trên web cho “nghiên cứu quan tr ọng nhất từ trước
đến nay” và tìm thấy Nạn nhân 2, Nghiên cứu thú vị Inc.
9. Đối thủ kiểm tra danh sách liên hệ email của NA1 để tìm bất kỳ địa ch ỉ
liên hệ nào từ. Công ty nghiên cứu thú vị và phát hi ện ra liên h ệ cho Giám
đốc Nghiên cứu Thú vị Inc.
10.Giám đốc nghiên cứu của Interest Research Inc. nhận được một email ma
giáo từ địa chỉ email NA1 của Gadget Inc. đã được gửi từ máy chủ của NA1
với cùng tải trọng như được quan sát trong Sự kiện 3.
2.5. The VERIS Schema ( Lược đồ VERIS)

Lược đồ VERIS xác định năm yếu tố cấp cao nhất, cung cấp m ột khía c ạnh khác
của sự cố.
 Impact Assessment (Đánh giá tác động): Tất cả các sự cố đều có
tác động, cho dù nó là nhỏ hoặc phổ biến, chỉ có thể được xác định
sau khi một sự cố đã xảy ra.
 Discovery and Response (Khám phá và phản hồi) : Xác định tiến
trình của các sự kiện, phương pháp phát hiện sự cố và phản ứng là
sự cố, bao gồm cả cách nó được khắc phục.

Page 20


 Incident Description (Mơ tả sự cố): Mơ tả tồn bộ sự cố, sử dụng
mơ hình mối đe dọa A4 do Verizon phát triển.
 Victim Demographics (Mô tả nạn nhân):  Mơ tả tổ chức có trải
qua sự cố và các đặc điểm của nó.
 Incident Tracking (Theo dõi sự cố): Ghi lại thông tin chung về sự
cố để các tổ chức có thể xác định, lưu trữ và truy xu ất sự cố theo
thời gian.


2.6. Các kiểu tấn công
2.6.1. Man in The Middle
Man in the Middle là một trong những kiểu tấn công mạng th ường th ấy
nhất được sử dụng để chống lại những cá nhân và các tổ ch ức l ớn chính, nó
thường được viết tắt là MITM. Man-in-the-middle attack (MITM), là một cuộc tấn
công mà kẻ tấn cơng bí mật chuyển tiếp và có th ể làm thay đ ổi giao ti ếp gi ữa hai
bên mà họ tin rằng họ đang trực tiếp giao tiếp với nhau.
MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân
và chuyển tiếp dữ liệu giữa chúng. Trong trường hợp bị tấn công, nạn nhân cứ
tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, nh ưng s ự
thực thì các luồng truyền thông lại bị thông qua host của k ẻ tấn công. Và k ết qu ả
là các host này khơng chỉ có thể thơng dịch dữ liệu nhạy cảm mà nó cịn có th ể
gửi xen vào cũng như thay đổi luồng dữ liệu để ki ểm sốt sâu h ơn nh ững n ạn
nhân của nó.
2.6.2. Tấn công bị động
Trong một cuộc tấn công bị động, các hacke sẽ ki ểm sốt traffic khơng
được mã hóa và tìm kiếm mật khẩu khơng được mã hóa (Clear Text password),
các thơng tin nhạy cảm có thẻ được sử dụng trong các ki ểu tấn công khác. Các
cuộc tấn cơng bị động bao gồm phân tích traffic, giám sát các cu ộc giao ti ếp
không được bảo vệ, giải mã các traffic mã hóa yếu, và thu th ập các thông tin xác
thực như mật khẩu.
Page 21


Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép k ẻ tấn
cơng có thể xem xét các hành động tiếp theo. Kết quả của các cu ộc t ấn công b ị
động là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà ng ười
dùng không hề hay biết.
2.6.3. Tấn công chủ động

Tấn công chủ động như tên gọi của nó là các cu ộc tấn cơng mà ng ười t ấn
cơng hồn tồn cơng khai và chủ động trong tổ chức và th ực hi ện cu ộc tấn cơng
với mục đích làm giảm hiệu năng hoặc làm tê li ệt hoạt đ ộng c ủa m ạng máy tính
hoặc hệ thống. Đối với kiểu tấn cơng chủ động chúng ta hoàn nh ận bi ết được
qua kết quả tác động của nó. Một vài phương pháp tấn cơng chủ động khá nổi
tiếng hiện nay như: Tấn công từ chối dịch vụ, tràn bộ đệm, tấn công ký t ự đi ều
khiển đồng bộ SYN, và giả mạo IP.
2.6.4. Tấn công Phishing
Phishing là một phương thức lừa đảo nhằm giả mạo các tổ ch ức có uy tín
như ngân hàng, trang web giao dịch trực tuyến và các công ty th ẻ tín d ụng đ ể l ừa
người dùng chia sẻ thơng tin tài chính như: tên đăng nhập, mật khẩu giao d ịch,
những thông tin nhạy cảm khác của họ. Phương thức tấn cơng này cịn có th ể cài
phần mềm độc hại vào thiết bị của người dùng. Chúng thực sự là m ối quan ng ại
lớn nếu người dùng chưa có kiến thức về kiểu tấn cơng này hoặc thi ếu cảnh
giác về nó.

Page 22


L ừa đ ảo chi ếm đo ạt thông tin
Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là các
giao dịch có vẻ xuất phát từ các website xã hội phổ bi ến, các trung tâm chi tr ả
trực tuyến hoặc các quản trị mạng. Tấn công fishing thường được thực hi ện qua
thư điện tử hoặc tin nhắn nhanh và hay yêu cầu người dùng nhập thông tin vào
một website giả mạo gần như giống hệt với website th ật. Ngay c ả khi có s ử
dụng chứng thực máy chủ, có khi vẫn phải cần vài kĩ năng phức tạp mới xác định
được website là giả mạo. Tấn công fishing là một đơn cử của nh ững kĩ thu ật l ừa
đảo qua mạng (social engineering) nhằm đánh lừa người dùng và khai thác s ự
bất tiện hiện nay của công nghệ bảo mật web.
2.6.5. Tấn công nội bộ

Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong
cuộc, chẳng hạn như một nhân viên nào đó “bất mãn” với cơng ty của mình, …các
cuộc tấn cơng hệ thống mạng nội bộ có thể gây hại hoặc vơ hại.
Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng các
thông tin một cách gian lận hoặc truy cập trái phép các thông tin.

Page 23


2.6.6. Tấn công từ chối dịch vụ

T ấn công DDos
-

Tấn công từ chối dịch vụ DoS (Denial of Service): Tấn công từ ch ối dịch vụ
DoS là một sự kiện bảo mật xảy ra khi kẻ tấn cơng có hành động ngăn cản
người dùng hợp pháp truy cập hệ thống máy tính, thiết bị hoặc các tài

-

ngun mạng khác.
Tấn cơng từ chối dịch vụ phân tán DDoS (Distributed Denial of Service):
Tấn công DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm
tràn ngập nó với traffic từ nhiều nguồn.
2.6.7. Tấn cơng phá mã khóa
Mã khóa ở đây là mã bí mật hoặc các con số quan tr ọng để “giải mã” các

thông tin bảo mật. Mặc dù rất khó để có th ể tấn cơng phá một mã khóa, nh ưng
với các hacker thì điều này là có thể. Sau khi các hacker có đ ược m ột mã khóa, mã
khóa này sẽ được gọi là mã khóa gây hại.

Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông
tin liên lạc mà không cần phải gửi hoặc nhận các giao th ức tấn cơng. V ới các mã
khóa gây hại, các hacker có thể giải mã hoặc sửa đổi dữ li ệu.
Page 24


2.6.8. Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai
đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ
điển là dị tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ
thực hiện và khơng địi hỏi một điều kiện đặc bi ệt nào đ ể b ắt đ ầu. K ẻ t ấn cơng
có thể sử dụng những thơng tin như tên người dùng, ngày sinh, địa chỉ, số nhà…
để đoán mật khẩu. Trong trường hợp có được danh sách người sử dụng và
những thơng tin về mơi trường làm việc, có một chương trình tự động hố về
việc dị tìm mật khẩu này.
Một chương trình có thể dễ dàng lấy được từ Internet để gi ải các m ật
khẩu đã mã hoá của hệ thống unix có tên là crack, có kh ả năng th ử các t ổ h ợp các
từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong
một số trường hợp, khả năng thành cơng của phương pháp này có thể lên tới
30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân h ệ
điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được ti ếp tục
để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho
phép kẻ tấn công có được quyền của người quản trị hệ th ống (root hay
administrator). Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương
pháp này là ví dụ với chương trình sendmail và chương trình rlogin của h ệ đi ều
hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn
dịng lệnh của ngơn ngữ C. Sendmail được chạy với quyền ưu tiên của người
quản trị hệ thống, do chương trình phải có quyền ghi vào hộp thư của những

người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng
bên ngồi. Đây chính là những yếu tố làm cho sendmail tr ở thành m ột ngu ồn
cung cấp những lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào
một máy khác sử dụng tài nguyên của máy này. Trong quá trình nh ận tên và m ật
Page 25


×