Tài liệu Nghiên cứu hệ thống giám sát, chống tấn công mạng

~ i ~ ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CNTT&TT LÊ MỸ TRƢỜNG NGHIÊN CỨU HỆ THỐNG GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG Chuyên ngành: Khoa học máy tính Mã số: 60 48 0101 LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH THÁI NGUYÊN, NĂM 2015 Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ ii ~ LỜI CAM ĐOAN Học viên xin cam đoan luận văn “Nghiên cứ u hê ̣ thố ng giá m sá t , chố ng tấ n công maṇ g” là công trình nghiên cứu của chính bản thân học viên. Các nghiên cứu trong luận văn này dựa trên những tổng hợp kiến thức lý thuyết đã đƣợc học, và sự hiểu biết thực tế dƣới sự hƣớng dẫn khoa học của Thầy giáo TS. Hồ Văn Hƣơng. Các tài liệu tham khảo đƣợc trích dẫn đầy đủ nguồn gốc. Học viên xin chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của mình. Thái Nguyên, ngày 20 tháng 8 năm 2015 Học viên thực hiện Lê Mỹ Trƣờng ~ iii ~ LỜI CẢM ƠN Trƣớc hết học viên cũng xin gửi lời cảm ơn tới các thầy cô giáo trƣờng Đại học Công nghệ thông tin và Truyền thông - Đại học Thái Nguyên nơi các thầy cô đã tận tình truyền đạt các kiến thức quý báu cho học viên trong suốt quá trình học tập. Xin cảm ơn các cán bộ nhà trƣờng đã tạo điều kiện tốt nhất cho học viên học tập và hoàn thành luận văn này. Đặc biệt, học viên xin đƣợc gửi lời cám ơn đến thầy giáo hƣớng dẫn học viên TS Hồ Văn Hƣơng - Ban cơ yếu Chính phủ, thầy đã tận tình chỉ bảo giúp đỡ học viên trong suốt quá trình nghiên cứu để hoàn thành luận văn. Cuối cùng cho phép tôi xin cảm ơn Lãnh đạo, đồng nghiệp, bạn bè, gia đình đã giúp đỡ, động viên ủng hộ tôi rất nhiều trong toàn bộ quá trình học tập cũng nhƣ nghiên cứu để hoàn thành luận văn này. Thái Nguyên, ngày 20 tháng 8 năm 2015 Học viên thực hiện ~ 4 ~ MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN DANH MỤC CÁC HÌNH ẢNH DANH MỤC CÁC BẢNG BIỂU Trang MỞ ĐẦU .....................................................................................................................1 1. Đặt vấn đề ...............................................................................................................1 2. Mục tiêu nghiên cứu................................................................................................1 3. Đối tƣợng và phạm vi nghiên cứu...........................................................................2 4. Phƣơng pháp nghiên cứu.........................................................................................2 5. Ý nghĩa khoa học của đề tài ....................................................................................2 6. Bố cục của luận văn ................................................................................................2 CHƢƠNG 1. TỔNG QUAN AN NINH MẠNG........................................................3 1.1. Tình hình an ninh mạng hiện nay ....................................................................3 1.2. Các yếu tố đảm bảo an toàn thông tin..............................................................3 1.3. Các mối đe dọa đến an toàn thông tin..............................................................3 1.4. Các lỗ hổng hệ thống .......................................................................................4 1.4.1. Các lỗ hổng loại C ..................................................................................4 1.4.2. Các lỗ hổng loại B ..................................................................................4 1.4.3. Các lỗ hổng loại A..................................................................................5 1.5. Các nguy cơ mất an toàn thông tin ..................................................................5 1.5.1. Kiểu tấn công thăm dò. ..........................................................................5 1.5.2. Kiểu tấn công truy cập ...........................................................................5 1.5.3. Kiểu tấn công từ chối dịch vụ ................................................................6 1.6. Giải pháp an ninh mạng ...................................................................................7 1.6.1. Giớ i thiêụ chung về quả n lý hê ̣ thố ng maṇ g ..........................................7 1.6.2. Hai phƣơng thức giám sát Poll và Alert .................................................7 1.6.2.1. Phƣơng thƣ́ c Poll ---------------------------------------------------------------7 1.6.2.2. Phƣơng thức Alert----------------------------------------------------------7 1.6.2.3. So sánh phƣơng thức Poll và Alert ------------------------------------------ 8 1.6.3. Giao thức quản lý giám sát mạng SNMP ...............................................9 1.6.3.1. Giớ i thiêụ SNMP ------------------------------------------------------------------------------- 9 1.6.3.2. Ƣu điể m củ a thiế t kế SNMP -----------------------------------------------10 1.6.3.3. Các phiên bản của SNMP --------------------------------------------------- 10 1.6.4. Kiến trúc giao thức SNMP ...................................................................11 1.6.4.1. Các thành phần chính của SNMP ----------------------------------------- 11 1.6.4.2. ObjectID ------------------------------------------------------------------------- 11 1.6.4.3. Object access ------------------------------------------------------------------- 13 1.6.4.4. Cơ sở thông tin quản trị MIB ----------------------------------------------- 14 1.6.5. Các phƣơng thức của SNMP ................................................................15 1.6.5.1. GetRequest ---------------------------------------------------------------- 15 1.6.5.2. SetRequest----------------------------------------------------------------- 16 1.6.5.3. GetResponse -------------------------------------------------------------- 16 1.6.5.4. Trap ------------------------------------------------------------------------ 16 1.6.6. Các cơ chế bảo mật cho SNMP ............................................................17 1.6.6.1. Community string -------------------------------------------------------- 17 1.6.6.2. View------------------------------------------------------------------------ 17 1.6.6.3. SNMP access control list ------------------------------------------------ 17 1.6.6.4. RMON --------------------------------------------------------------------- 18 1.6.7. Cấu trúc bản tin SNMP ........................................................................18 1.6.8. Hệ thống phát hiện và ngăn chặn xâm nhập mạng (IDS/IPS)..............18 1.6.8.1. Giới thiệu về IDS/IPS --------------------------------------------------- 18 1.6.8.2. Các thành phần và chức năng của IDS/IPS --------------------------- 19 1.6.8.3. Phân loại IDS ------------------------------------------------------------- 20 1.6.8.4. Cơ chế hoạt động của hệ thống IDS/IPS ------------------------------ 23 CHƢƠNG 2. NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG.......................................................................................................................26 2.1. Giới thiệu chung ............................................................................................26 2.2. Bộ công cụ giám sát mạng – Cacti ................................................................26 2.2.1. Kiến trúc của Cacti ...............................................................................26 2.2.2. Nguyên tắc hoạt động...........................................................................28 2.2.3. Các tính năng chính ..............................................................................29 2.2.4. Lƣu trữ và xử lý dữ liệu trong hệ thống giám sát mạng Cacti .............32 2.3. Bộ công cụ chống tấn công mạng - Snort ......................................................34 2.3.1. Kiến trúc của Snort...............................................................................34 2.3.1.1. Module giải mã gói tin -------------------------------------------------- 35 2.3.1.2. Module tiền xử lý -------------------------------------------------------- 36 2.3.1.3. Module phát hiện --------------------------------------------------------- 38 2.3.1.4. Module log và cảnh báo ------------------------------------------------- 39 2.3.1.5. Module kết xuất thông tin ----------------------------------------------- 39 2.3.2. Bộ luật của Snort ..................................................................................40 2.3.2.1. Phần tiêu đề --------------------------------------------------------------- 40 2.3.2.2. Các tùy chọn -------------------------------------------------------------- 43 2.3.3. Chế độ ngăn chặn của Snort: Snort – Inline.........................................46 2.3.3.1. Các chế độ thực thi của Snort ------------------------------------------ 46 2.3.3.2. Nguyên lý hoạt động của inline mode --------------------------------- 47 CHƢƠNG 3. NGHIÊN CỨU ỨNG DỤNG MÃ NGUỒN MỞ CACTI VÀ SNORT ...................................................................................................................................49 3.1. Giới thiệu về hệ thống giám sát, chống tấn công mạng.................................49 3.2. Xây dựng mô hình giả lập để thử nghiệm giám sát, chống tấn công mạng...49 3.2.1. Mô hình mạng trƣờng...........................................................................49 3.2.2. Đề xuất mô hình ...................................................................................50 3.2.3. Mô hình mạng thử nghiệm. ..................................................................51 3.2.4. Triển khai thử nghiệm giám sát mạng ..................................................51 3.2.5. Triển khai thử nghiệm chống tấn công mạng.......................................60 3.2.5.1. Cấu hình Snort ------------------------------------------------------------ 60 3.2.5.2. Chƣơng trình Snort------------------------------------------------------- 64 3.3. Đánh giá kết quả thực nghiệm .......................................................................70 3.4. Kết quả thử nghiệm đạt đƣợc.........................................................................71 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ................................................................73 TÀI LIỆU THAM KHẢO.........................................................................................74 DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN FTP File Tranfer Protocol Giao thức truyền tập tin HTTP Hyper Text Tranfer Protocol Giao thức truyền tải siêu văn bản IP Internet Protocol Giao thức mạng MIB Management Information Base Cơ sở thông tin quản lý OID Object Identifier Định danh đối tƣợng LAN Local Area Network Mạng cục bộ SNMP Simple Network Managerment Giao thức quản lý mạng đơn giản Protocol IDS Intrusion Detection System Hệ thống phát hiện xâm nhập IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập H-IDS Host Based Intrusion Detection Hệ thống phát hiện xâm nhập máy System chủ nhân N-IDS Network Based Intrusion Detection Hệ thống phát hiện xâm nhập mạng System VPN Vitual Private Network Mạng riêng ảo CPU Central Processing Unit Đơn vị xử lý trung tâm DOS Denial of Service Từ chối dịch vụ DDOS Distributed Denial of Service Phân phối từ chối dịch vụ TCP Transmission Control Protocol Giao thức kiểm soát UDP User Datagram Protocol Giao thức sử dụng dữ liệu ICMP Internet Control Message Protocol Giao thức điều khiển thông điệp Internet MAC Media Access Controllers Bộ điều khiển truy cập truyền thông PDU Protocol Data Unit Giao thức dữ liệu đơn vị ~ viii ~ DANH MỤC CÁC HÌNH ẢNH Trang Hình 1.1. Minh họa cơ chế Poll ..................................................................................7 Hình 1.2. Minh họa cơ chế Alert.................................................................................8 Hình 1.3. Trạm quản lý mạng ...................................................................................11 Hình 1.4. Minh họa quá trình lấy sysName.0 ...........................................................13 Hình 1.5. Minh họa MIB tree ..................................................................................14 Hình 1.6. Minh họa các phƣơng thức của SNMPv1……………......……………...17 Hình 1.7. Cấu trúc bản tin SNMP .............................................................................18 Hình 1.8. Các vị trí đặt IDS trong mạng .................................................................19 Hình 1.9. Mô hình NIDS .........................................................................................21 Hình 1.10. Hệ thống kết hợp 2 mô hình phát hiện ...................................................25 Hinh 2.1. Kiến trúc của Cacti ...................................................................................26 Hình 2.2. Các thành phần của hệ quản trị Cacti........................................................28 Hình 2.3. Hoạt động của hệ quản trị Cacti ................................................................28 Hình 2.4. Biểu đồ trong Cacti ...................................................................................30 Hình 2.5. Weather map trong cacti ..........................................................................31 Hình 2.6. Giám sát trạng thái thiết bị trong Cacti ....................................................31 Hình 2.7. Nguyên lý của cơ sở dữ liệu RRD (RRA) ...............................................33 Hình 2.8. Biểu diễn đồ thị trong RRD. .....................................................................33 Hinh 2.9. Mô hình kiến trúc hệ thống Snort ............................................................34 Hinh 2.10. Quy trình xử lý một gói tin Ethernet ......................................................35 Hình 2.11. Cấu trúc luật của Snort ............................................................................40 Hình 2.12. Header luật của Snort ..............................................................................40 Hình 3.1. Mô hình mạng hiện tại ..............................................................................49 Hình 3.2. Đề xuất mô hình ........................................................................................50 Hình 3.3. Mô hình thử nghiệm ..................................................................................51 Hình 3.4. Màn hình giao diện Cacti khởi động cài đặt .............................................52 ~ 10 ~ Hình 3.5. Màn hình giao diện Cacti kiểm tra các công cụ ........................................53 Hình 3.6. Màn hình đăng nhập hệ thống ...................................................................53 Hình 3.7. File SNMP services ...................................................................................54 Hình 3.8. Đặt cấu hình SNMP services ....................................................................54 Hinh 3.9. Thêm thiết bị máy client vào cacti ............................................................55 Hình 3.10. Thêm thiết bị máy 2 vào Cacti ................................................................55 Hình 3.11. Danh sách các nội dung cần giám sát. ....................................................56 Hình 3.12. Lựa chọn thiết bị muốn tạo đồ thị ...........................................................57 Hình 3.13. Đồ thị của máy 2 .....................................................................................57 Hình 3.14. Danh sách các máy có trong cây đồ thị...................................................58 Hình 3.15. Tình trạng thiết bị trên cây đồ thị (máy 2) ..............................................59 Hình 3.16. Tình trạng thiết bị trên cây đồ thị (máy 7) ..............................................59 Hình 3.17. Giao diện hệ điều hành CentOS 5.4 ........................................................60 Hình 3.18. Giao diện Base ........................................................................................63 Hình 3.19. Phát hiện có máy đang ping ....................................................................64 Hình 3.20. Phát hiện truy cập web ............................................................................65 Hình 3.21. Phát hiện truy cập trang web với IP ........................................................66 Hình 3.22. Tiến hành DDOS vào máy ảo Centos .....................................................67 Hình 3.23. Phát hiện tấn công DDOS .......................................................................68 Hình 3.24. Phát hiện tấn công PORTSCAN .............................................................69 DANH MỤC CÁC BẢNG BIỂU Bảng 1.1. So sánh hai phƣơng thức Poll và Alert Bảng 1.2. Các phƣơng thức hoạt động của SNMP Bảng 2.1. Các module tiền xử lý Bảng 2.2. Các cờ sử dụng với từ khoá flags ~ 13 ~ MỞ ĐẦU 1. Đặt vấn đề An ninh, an toàn thông tin (ATTT) thực sự trở thành vấn đề “nóng” sau một loạt các sự kiện ở tầm quốc gia và quốc tế. Vụ việc các chƣơng trình do thám của Cơ quan An ninh quốc gia Mỹ bị đƣa ra công khai và hàng loạt các vụ tấn công của tin tặc đã khiến nhận thức và mối quan tâm của xã hội đối với vấn đề này càng sâu sắc và rõ nét hơn trong những năm tới. Các chuyên gia an ninh mạng đã đoán trƣớc rằng trong kỷ nguyên Internet di động, vấn đề khủng khiếp nhất sẽ là an ninh, dự đoán này bây giờ đang trở thành thực tế. Trong những năm gần đây, các website trên Internet, cũng nhƣ các dữ liệu của các doanh nghiệp, tổ chức, chính phủ,… đã bị nhiều đợt tấn công của các tội phạm mạng. Đã có nhiều website, hệ thống mạng bị ngƣng hoạt động trong nhiều giờ, nhiều dữ liệu quan trọng đã bị đánh cắp. Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và tác động tiêu cực, ảnh hƣởng trực tiếp đến nhiều cá nhân, công việc kinh doanh của các doanh nghiệp, ảnh hƣởng đến nền an ninh quốc phòng của nhiều quốc gia. Các vụ tấn công mạng ngày càng gia tăng, với nhiều loại hình tấn công và mức độ ngày càng nghiêm trọng. Những kẻ tấn công cũng có nhiều mục đích khác nhau nhƣ: chính trị, tài chính, tôn giáo, gián điệp, khủng bố… nhằm đánh cắp dữ liệu, phá hủy dữ liệu, làm cho hệ thống bị ngƣng hoạt động, hoạt động chậm… Tấn công mạng và chiến tranh không gian mạng ngày càng trở nên nghiêm trọng. Vì vậy việc nghiên cứu các hê ̣ th ống giá m sá t , chố ng tấ n công mạng và ứng dụng trong phòng thủ mạng để đảm bảo mạng hoạt động ổn định, bảo đảm an toàn thông tin trên mạng là việc làm rất cần thiết. Giải quyết vấn đề an ninh mạng là việc làm của cả xã hội và là vấn đề cấp bách hiêṇ nay. Với tình hình cấp thiết nhƣ trên, em xin mạnh dạn nghiên cứu và triển khai thành luận văn với đề tài: “Nghiên cứ u hê ̣ thố ng giá m sá t, chố ng tấ n công g”. maṇ 2. Mục tiêu nghiên cứu + Tìm hiểu rõ về hệ thống giá m sá t , chống tấn công mạng mã nguồn mở. + Nghiên cứu triển khai các ứng dụng mã nguồn mở giám sát, chống tấn công ~ 14 ~ mạng (Cacti, Snort). 3. Đối tƣợng và phạm vi nghiên cứu - Đối tượng của đề tài: + Một số phƣơng thức giám sát, chống tấn công mạng: Poll, Alert, SNMP, IDS/IPS. + Bộ công cụ mã nguồn mở: Cacti, Snort. - Phạm vi nghiên cứu: + Tìm hiểu về công nghệ, mô hình, giao thức giám sát mạng. + Kiến trúc giám sát mạng mã nguồn mở. + Chức năng, phân loại, cơ chế hoạt động của hệ thống chống tấn công mạng 4. Phƣơng pháp nghiên cứu tà i liêụ , phân tich, suy diêñ . + Phƣơng pháp nghiên cứu lý thuyết: Tổ ng ́ hơp̣ + Xây dựng bài toán mô phỏ ng , thực nghiệm để chứng minh những nghiên cứu về lý thuyết của đề tài. 5. Ý nghĩa khoa học của đề tài - Về lý thuyết: + Là tài liệu tham khảo về kiến trúc quản trị mạng và phần mềm mã nguồn mở Cacti và Snort. + Nắm vững nội dung nghiên cứu về tổng quan các kiến trúc của hệ thống quản lý hiện tại của mạng, giao thức SNMP và IDS/IPS. - Về thực tiễn: + Ý nghĩa thực tiễn của đề tài : Xây dựng , thiết kế , thử nghiệm và ứng dụng quản trị mạng trong công việc thực tế . Bên cạnh đó , sẽ có những giả i pháp an toà n , an ninh maṇ g để phò ng ngƣ̀ a cá c cuôc̣ 6. Bố cục của luận văn tấ n công maṇ g nhƣ hiện nay . Dựa trên đối tƣợng và phạm vi nghiên cứu, luận văn sẽ đƣợc phân làm 3 chƣơng chính với các nội dung cụ thể nhƣ sau: Chƣơng 1. Tổng quan an ninh mạng Chƣơng 2. Nghiên cứu bộ công cụ giá m sá t , chố ng tấ n công mạng Chƣơng 3. Nghiên cứu ứng dụng mã nguồn mở cacti và Snort CHƢƠNG 1. TỔNG QUAN AN NINH MẠNG 1.1. Tình hình an ninh mạng hiện nay Các nguy cơ từ mã độc, tấn công từ chối dịch vụ, xu hƣớng “Internet of Things” (khái niệm chỉ các thiết bị kết nối đƣợc với nhau và kết nối với Internet) là “mồi ngon” của tin tặc… sẽ đe dọa tình hình an ninh mạng tại Việt Nam. 1.2. Các yếu tố đảm bảo an toàn thông tin - Tính bí mật: Thông tin phải đảm bảo tính bí mật và đƣợc sử dụng đúng đối tƣợng. - Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc. - Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách. - Tính chính xác: Thông tin phải chính xác, tin cậy. - Tính không khƣớc từ (chống chối bỏ): Thông tin có thể kiểm chứng đƣợc nguồn gốc hoặc ngƣời đƣa tin. 1.3. Các mối đe dọa đến an toàn thông tin Các mối đe dọa đến an toàn hệ thống là các hành động hoặc các sự kiện/hành vi có khả năng xâm hại đến độ an toàn của một hệ thống thông tin. - Mục tiêu đe dọa tấn công: Chủ yếu là các dịch vụ an ninh  Khả năng bảo mật thông tin: Sẽ bị đe dọa nếu thông tin không đƣợc bảo mật.  Tính toàn vẹn của thông tin: Đe dọa thay đổi cấu trúc thông tin.  Tính chính xác của thông tin: Đe dọa thay đổi nội dung thông tin.  Khả năng cung cấp dịch vụ của hệ thống: Làm cho hệ thống không thể cung cấp đƣợc dịch vụ (tính sẵn sàng).  Khả năng thống kê tài nguyên hệ thống. - Đối tƣợng đe dọa tấn công: Là chủ thể gây hại đến hệ thống  Khả năng đe dọa tấn công của đối tƣợng: Khả năng truy cập để khai thác các lỗ hổng hệ thống tạo ra mối đe dọa trực tiếp.  Sự hiểu biết của đối tƣợng về mục tiêu đe dọa tấn công: user ID, file mật khẩu, vị trí file, địa chỉ mạng,…  Động cơ tấn công của đối tƣợng: Chinh phục, lợi ích cá nhân, cố tình. - Hành vi đe dọa tấn công:  Lợi dụng quyền truy nhập thông tin hệ thống.  Cố tình hoặc vô tình thay đổi thông tin hệ thống.  Truy cập thông tin bất hợp pháp.  Cố tình hoặc vô tình phá hủy thông tin hoặc hệ thống.  Nghe lén thông tin.  Ăn cắp phần mềm hoặc phần cứng. - Phân loại các mối đe dọa:  Có mục đích.  Không có mục đích.  Từ bên ngoài.  Từ bên trong. 1.4. Các lỗ hổng hệ thống Hiện nay trên thế giới có nhiều cách phân lọai khác nhau về lỗ hổng của hệ thống mạng. Dƣới đây là cách phân loại sau đây đƣợc sử dụng phổ biến theo mức độ tác hại hệ thống. 1.4.1. Các lỗ hổng loại C Các lỗ hổng loại này cho phép thực hiện các phƣơng thức tấn công theo DoS (Denial of Services – Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hƣởng tới chất lƣợng dịch vụ, có thể làm ngƣng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt đƣợc quyền truy nhập bất hợp pháp. 1.4.2. Các lỗ hổng loại B Các lỗ hổng cho phép ngƣời sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình. Những lỗ hổng này thƣờng có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép ngƣời sử dụng nội bộ có thể chiếm đƣợc quyền cao hơn hoặc truy nhập không hợp pháp. Ngƣời sử dụng cục bộ đƣợc hiểu là ngƣời đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. 1.4.3. Các lỗ hổng loại A Các lỗ hổng này cho phép ngƣời sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thƣờng xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát đƣợc cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; ngƣời quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này. 1.5. Các nguy cơ mất an toàn thông tin Cùng với sự phổ cập Internet ngày càng rộng rãi, vấn đề bảo đảm an toàn, an ninh thông tin trên môi trƣờng mạng cũng ngày càng trở nên cấp thiết. Các nguy cơ mất an toàn thông tin đang gia tăng cả về số lƣợng và mức độ nghiêm trọng. Trƣớc các hiểm họa tinh vi và gánh nặng tuân thủ các quy định bảo mật mới, các phƣơng thức và hệ thống bảo mật truyền thống đã không còn hiệu quả để đảm bảo an toàn thông tin và dữ liệu cho các tổ chức, cần có những công cụ và kỹ thuật tiên tiến hơn để bảo vệ lợi ích của tổ chức, đảm bảo an toàn, duy trì kiểm soát các ứng dụng và dữ liệu. 1.5.1. Kiểu tấn công thăm dò. Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống. Các cách tấn công truy cập hay DoS thƣờng đƣợc tiến hành bởi kiểu tấn công thăm dò. Hiển nhiên, các hacker phải biết có thể tấn công cái gì trƣớc khi xâm nhập. Thăm dò giống nhƣ một kẻ trộm nhà băng muốn biết có bao nhiêu bảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí của chúng và đƣờng thoát hiểm. Thăm dò là một kiểu tấn công, nó cũng là một giai đoạn tấn công. 1.5.2. Kiểu tấn công truy cập Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏi ngƣời xâm nhập lấy đƣợc quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền, hay đơn giản chỉ là truy cập vào hệ thống: + Tấn công truy cập hệ thống: Hacker thƣờng tìm kiếm quyền truy cập đến một thiết bị bằng cách chạy một đoạn mã hay bằng những công cụ hack (hacking tool) hay là khai thác một yếu điểm của ứng dụng hoặc một dịch vụ đang chạy trên máy chủ. + Tấn công truy cập thao túng dữ liệu: Thao túng dữ liệu xuất hiện khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu. Nó có thể đơn giản nhƣ việc tìm phần mềm chia sẻ trên máy tính, hay khó hơn nhƣ việc cố gắng xâm nhập một hệ thống tín dụng của cục thông tin. + Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền là một dạng tấn công phổ biến. Bằng cách nâng cao đặc quyền, kẻ xâm nhập có thể truy cập vào các files hay folder dữ liệu mà tài khoản ngƣời sử dụng ban đầu không đƣợc cho phép truy cập. Mục đích chung của hacker là chiếm đƣợc quyền truy cập ở mức độ quản trị. Khi đã đạt đƣợc mục đích đó, họ có toàn quyền điều khiển hệ thống mạng. 1.5.3. Kiểu tấn công từ chối dịch vụ Kiểu tấn công DdoS đƣợc thực hiện nhằm làm vô hiệu hóa, làm hƣ hỏng, hay gây tổn hại đến tài nguyên mạng với mục đích cản trở việc sử dụng những hệ thống này của ngƣời dùng. Tấn công DdoS gồm các giai đoạn sau: + Giai đoạn đầu tiên – Mục tiêu: Là giai đoạn định nghĩa đối tƣợng. Điều đầu tiên cần làm rõ trong mọi hoạt động cũng nhƣ việc hacking là xác định đƣợc mục tiêu. Kết quả của việc xác lập mục tiêu của kiểu tấn công dẫn đến việc hình thành, chọn lựa những công cụ và phƣơng pháp phù hợp. Nếu kẻ xâm nhập có động cơ trả thù thì kiểu tấn công DdoS phù hợp với nhu cầu đó. Nếu kẻ tấn công là một đối thủ thì, xâm nhập hệ thống và thao túng dữ liệu mới là mục tiêu. Khi kẻ xâm nhập tiến hành những bƣớc của một kiểu tấn công, thì mục tiêu có thể và thƣờng thay đổi. + Giai đoạn hai thăm dò: Giai đoạn thăm dò, nhƣ chính tựa đề của nó, là giai đoạn mà hacker sử dụng nhiều nguồn tài nguyên để thu thập thông tin về hệ thống đối tƣợng. + Giai đoạn thứ ba tấn công: Giai đoạn cuối cùng là giai đoạn tấn công. Trong giai đoạn tấn công kẻ xâm nhập bắt đầu cố gắng xâm nhập mạng và tài nguyên hệ thống trên mạng. Bằng cách sử dụng các thông tin đã thu thập đƣợc, một vài hacker có thể thực hiện việc tấn công nhiều lần cho đến khi phát hiện đƣợc lỗi bảo mật để có thể khai thác. 1.6. Giải pháp an ninh mạng 1.6.1. Giớ i thiêụ chung về quả n lý hê ̣ thố ng maṇ g Một loạt các thiết bị điển hình cần đƣợc quản lý gồm : Máy tính cá nhân, máy trạm, server, máy vi tính cỡ nhỏ, máy vi tính cỡ lớn, các thiết bị đầu cuối, modem, các gateway, router và switch, tất cả mới chỉ là một phần của danh sách các thiết bị sẽ phải đƣợc quản lý . 1.6.2. Hai phương thức giám sát Poll và Alert Hai phƣơng thức giám sát “Poll” và “Alert”, đây là 2 phƣơng thức cơ bản của các kỹ thuật giám sát hệ thống, nhiều phần mềm và giao thức đƣợc xây dựng dựa trên 2 phƣơng thức này, trong đó có SNMP. 1.6.2.1. Phương thứ c Poll Nguyên tắc hoạt động: Máy chủ giám sát sẽ thƣờng xuyên hỏi thông tin của thiết bị cần giám sát. Nếu máy giám sát không hỏi thì thiết bị không trả lời, nếu máy giám sát hỏi thì thiết bị phải trả lời. Bằng cách hỏi thƣờng xuyên, máy giám sát sẽ luôn cập nhật đƣợc thông tin mới nhất từ thiết bị. Máy chủ giám sát Thiết bị (Device) Yêu cầu #1 Phản hồi Yêu cầu #1 #2 Phản hồi #2 Hình 1.1. Minh họa cơ chế Poll 1.6.2.2. Phương thức Alert Nguyên tắc hoạt động: Mỗi khi trong thiết bị xảy ra một sự kiện (event) nào đó thì thiết bị sẽ tự động gửi thông báo cho máy giám sát, gọi là Alert. Máy giám sát không hỏi thông tin định kỳ từ thiết bị. Thiết bị chỉ gửi những thông báo mang tính sự kiện chứ không gửi những thông tin thƣờng xuyên thay đổi, nó cũng sẽ không gửi Alert nếu chẳng có sự kiện gì xảy ra. Chẳng hạn khi một port down/up thì thiết bị sẽ gửi cảnh báo, còn tổng số byte truyền qua port đó sẽ không đƣợc thiết bị gửi đi vì đó là thông tin thƣờng