Tài liệu Tìm hiểu về hệ thống phòng chống xâm nhập (ips) và xây dựng mô hình mạng ngăn chặn một số kiểu tấn công thông thường

LỜI MỞ ĐẦU An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết. Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và mạng riêng ảo (VPN). Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Qua đó, đồ án tốt nghiệp này em mong muốn có thể tìm hiểu, nghiên cứu về hệ thống phát hiện và phòng chống xâm nhập mạng với mục đích nắm bắt được các giải pháp, các kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang của mình sau khi ra trường. Qua đó, giúp em nắm được các kiểu tấn công mạng phổ biến hiện nay. Nguyên lý hoạt động, cách thức phát hiện và phòng chống của hệ thống. Từ đó có thể sử dụng công cụ để ngăn chặn các kiểu tấn công mạng thông thường. LỜI CẢM ƠN Để hoàn thành khóa luận này, em xin tỏ lòng biết ơn sâu sắc đến thầy Ngô Văn Công đã tận tình hướng dẫn trong suốt quá trình viết đồ án tốt nghiệp. Cung cấp kiến thức và giúp đỡ em rất nhiều. Em cũng xin chân thành cảm ơn quý thầy cô trong khoa Công nghệ thông tin - trường Đại học Nha Trang đã tận tình truyền đạt kiến thức trong 4 năm học tập. Với vốn kiến thức được tiếp thu trong quá trình học không chỉ là nền tảng cho quá trình nghiên cứu đề tài mà còn là hành trang quý báu để em bước vào đời một cách vững chắc và tự tin. Em cũng thầm biết ơn sự ủng hộ của gia đình, bạn bè – những người thân yêu luôn là chỗ dựa vững chắc cho em trong suốt quá trình nghiên cứu. Mong tiếp nhận những ý kiến, nhận xét từ quý thầy cô. Cuối cùng, em xin kính chúc quý thầy cô và gia đình dồi dào sức khỏe và thành công trong sự nghiệp giảng dạy. Nha Trang, ngày tháng năm 2012 Sinh viên thực hiện Võ Trọng Quang NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... ..................................................................................................................... MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG ................................... 1 1.1 Tại sao phải cần bảo mật mạng? ......................................................... 1 1.2 Một số khái niệm về bảo mật ............................................................... 1 1.2.1 Các yếu tố bảo mật........................................................................ 1 1.2.2 Hành vi xâm nhập là gì?................................................................ 2 1.2.3 Các đối tượng tấn công mạng........................................................ 2 1.2.4 Các lỗ hổng bảo mật...................................................................... 3 1.3 Một số kiểu, hình thức tấn công mạng ................................................ 4 1.3.1 Các kiểu tấn công.......................................................................... 4 1.3.2 Một số hình thức tấn công mạng ................................................... 5 1.3.3 Các bước hacker thường tấn công ................................................. 8 1.3.4 Một số dấu hiệu xâm nhập thông thường..................................... 10 1.3.5 Các khai thác thông dụng ............................................................ 10 1.4 Các mức bảo vệ an toàn mạng ........................................................... 11 1.5 Các quy tắc bảo mật........................................................................... 12 1.6 Nhiệm vụ của người quản trị ............................................................. 13 CHƯƠNG 2: TỔNG QUAN VỀ IDS/IPS ................................................... 15 2.1 Tổng quan về IDS/IPS........................................................................ 15 2.1.1 Định nghĩa IDS/IPS .................................................................... 15 2.1.2 Chức năng của IDS/IPS............................................................... 16 2.1.3 Sự khác nhau giữa IDS/IPS ......................................................... 17 2.2 Các phương pháp nhận diện của hệ thống IDS/IPS ......................... 18 2.2.1 Phát hiện sự lạm dụng ................................................................. 19 2.2.2 Phát hiện sự bất thường............................................................... 20 2.2.3 So sánh giữa 2 mô hình ............................................................... 23 2.3 Kiến trúc của hệ thống IDS/IPS ........................................................ 23 2.3.1 Các thành phần cơ bản ................................................................ 23 2.3.2 Kiến trúc của hệ IDS/IPS ............................................................ 24 2.4 Phân loại IDS/IPS............................................................................... 25 2.4.1 Network based IDS/IPS (NIDS).................................................. 26 2.4.2 Host-based IDS/IPS (HIDS)...................................................... 31 2.4.3 So sánh giữa NIDS và HIDS ....................................................... 34 CHƯƠNG 3: GIỚI THIỆU IPS................................................................... 36 3.1 Đặt vấn đề ........................................................................................... 36 3.2 Định nghĩa IPS ................................................................................... 36 3.3 Chức năng IPS.................................................................................... 36 3.4 Kiến trúc chung của hệ thống IPS ..................................................... 38 3.4.1 Module phân tích luồng dữ liệu................................................... 38 3.4.2 Module phát hiện tấn công .......................................................... 38 3.4.3 Module phản ứng ....................................................................... 40 3.5 Phân loại hệ thống IPS ....................................................................... 41 3.5.1 IPS ngoài luồng (Promiscuous Mode IPS)................................... 41 3.5.2 IPS trong luồng (In-line IPS)....................................................... 41 3.6 Các công cụ hỗ trợ IPS (IDS)............................................................. 41 3.6.1 Hệ thống phân tích đánh giá tổn thương ...................................... 42 3.6.2. Kiểm tra toàn vẹn dữ liệu ........................................................... 43 3.6.3. Honey Pot và Padded Cell System ............................................. 43 3.7 Các kỹ thuật xử lý IPS ....................................................................... 43 3.7.1 Anomaly detection ...................................................................... 44 3.7.2.Misuse detection ......................................................................... 46 3.7.3 Policy-Based IPS ........................................................................ 48 3.7.4 Protocol Analysis-Based IPS....................................................... 49 CHƯƠNG 4: NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS..... 50 4.1 Giới thiệu về Snort ............................................................................. 50 4.2 Kiến trúc Snort................................................................................... 50 4.2.1 Module giải mã gói tin ................................................................ 51 4.2.2 Module tiền xử lý........................................................................ 51 4.2.3 Module phát hiện ....................................................................... 52 4.2.4 Module log và cảnh báo .............................................................. 53 4.2.5 Module kết xuất thông tin ........................................................... 53 4.3 Bộ luật của Snort ................................................................................ 54 4.3.1 Giới thiệu.................................................................................... 54 4.3.2 Cấu trúc luật của Snort ................................................................ 54 4.4 Chế độ ngăn chặn của Snort : Snort – Inline .................................... 62 CHƯƠNG 5: CÀI ĐẶT SNORT TRONG MÔ HÌNH MẠNG .................. 64 5.1 Cài đặt Snort trên Ubuntu 10.04 ....................................................... 64 5.1.1 Chuẩn bị môi trường ................................................................... 64 5.1.2 Cài đặt các gói bổ trợ .................................................................. 64 5.1.3 Cài đặt Snort ............................................................................... 64 5.2 Các chế độ thực thi trong Snort......................................................... 65 5.3 Cấu hình 1 số rules cơ bản cảnh báo, ngăn chặn Snort.................... 65 5.3.1 Ngăn chặn 1 ping thông thường .................................................. 65 5.3.1 Tấn công Ping of death ............................................................... 67 5.3.4 Tấn công Dos với HTTP Post...................................................... 67 5.3.3 Tấn công Smurt Attack ............................................................... 69 5.3.4 Tấn công Land attack .................................................................. 69 5.3.5 Tấn công Winnuke ...................................................................... 70 5.3.6 Tấn công ARP Cache .................................................................. 70 5.3.7 Tấn công UDP flood ................................................................... 71 5.4 Cấu hình 1 số rules cho Iptables:....................................................... 71 5.4.1 Ngăn chặn ping ........................................................................... 71 5.4.2 Chặn truy cập web ...................................................................... 71 5.4.3 Chặn IMCP có kích thước lớn..................................................... 72 5.4.4 Chặn SYN flood.......................................................................... 72 5.4.5 Ngăn port scanning ..................................................................... 72 5.4.5 Hạn chế UDP DOS ..................................................................... 72 KẾT LUẬN................................................................................................... 73 TÀI LIỆU THAM KHẢO............................................................................ 74 DANH MỤC Hình 1: Các kiểu tấn công mạng ...................................................................... 5 Hình 2: Các bước hacker thường tấn công ....................................................... 9 Hình 3: Các mức độ bảo vệ của mạng ............................................................ 11 Hình 4: Các vị trí đặt IDS trong mạng............................................................ 16 Hình 5: Các thành phần chính........................................................................ 25 Hình 5: Mô hình NIDS ................................................................................... 26 Hình 6: Mô hình IDS inline ............................................................................ 27 Hình 7: Mô hình IDS pasive ........................................................................... 28 Hình 8: Mô hình HIDS ................................................................................... 32 Hình 9: Mô hình kiến trúc hệ thống Snort....................................................... 51 Hình 10: Cấu trúc phần header ...................................................................... 55 -1- CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG 1.1 Tại sao phải cần bảo mật mạng? Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết. Mục tiêu của việc nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên từ những vị trí địa lý khác nhau. Cũng chính vì vậy mà các tài nguyên cũng rất dễ dàng bị phân tán, dẫn đến một điều hiển nhiên là chúng sẽ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị. Càng giao thiệp rộng thì càng dễ bị tấn công, đó là một quy luật. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện. Bảo mật ra đời. Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin mà còn nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến,…. Mỗi nguy cơ trên mạng đều là mối nguy hiểm tiềm tàng. Từ một lổ hổng bảo mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng với tầng suất cao và kỹ thuật hack điêu luyện thì cũng có thể trở thành tai họa. 1.2 Một số khái niệm về bảo mật Trước hết khi tìm hiểu các vấn đề liên quan đến phương thức phá hoại và các biện pháp bảo vệ cũng như thiết lập các chính sách bảo mât. Chúng ta sẽ tìm hiểu 1 số khái niệm liên quan đến bảo mật trên Internet. 1.2.1 Các yếu tố bảo mật Bảo mật là trạng thái tổ chức tốt của thông tin và kiến trúc mà trong đó khả năng ăn cắp, giả mạo hay làm hư hỏng thông tin hay dịch vụ là rất thấp. Bảo mật được gói gọn trong 4 tiêu chuẩn: độ tin cậy(confidentiality), tính xác thực(authenticity), tính toàn vẹn(integrity), tính sẵn sàng(availability).  Độ tin cậy: thể hiện tính che dấu của thông tin hay tài nguyên.  Tính xác thực: là sự xác định và bảo đảm nguồn gốc của thông tin.  Tính toàn vẹn: tham chiếu đến tính tin cậy của dữ liệu hay tài nguyên theo nghĩa ngăn không cho người không có quyền chỉnh sửa trên nó. GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -2-  Tính sẵn sàng: tham chiếu đến khả năng sử dụng thông tin, tài nguyên mong muốn. 1.2.2 Hành vi xâm nhập là gì? Hành vi xâm nhập được định nghĩa là sự vi phạm hoặc cố vượt qua các chính sách an ninh của máy tính hoặc mạng. Các xâm nhập có thể được thực hiện thông qua sâu mạng, phần mềm gián điệp, hacker đang kiếm quyền truy cập hợp pháp vào máy tính từ Internet, người sử dụng hợp lệ có các hành vi vượt qua các đặc quyền truy cập được định trước hoặc lạm dụng đặc quyền của họ. 1.2.3 Các đối tượng tấn công mạng Là các cá nhân hoặc các tổ chức sử dụng kiến thức về mạng và các công cụ phá hoại để dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ thống. Thực hiện các hoạt động chiếm đoạt và xâm nhập tài nguyên mạng trái phép. Một số đối tượng tấn công mạng là:  Hacker: những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai phá điểm yếu của các thành phần truy nhập trên hệ thống.  Masquerader: là những kẻ giả mạo thông tin trên mạng. Một số hình thức giả mạo như giả mạo địa chỉ IP, tên miền, định danh người dùng…  Eavesdropping: là các đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin giá trị. Hoặc có thể chia làm 2 loại: Kẻ xâm nhập từ bên ngoài: thực hiện xâm nhập từ bên ngoài hệ thống của chúng ta và những kẻ tấn công các tài nguyên bên ngoài (tấn công máy chủ web, gửi thư rác bằng máy chủ mail…). Những kẻ xâm nhập này cũng có thể tìm cách vượt qua tường lửa để tấn công vào mạng bên trong. Kẻ xâm nhập từ bên ngoài có thể tấn công thông qua Internet, qua đường quay số, tấn công qua môi trường vật lý hoặc thông qua hệ thống mạng của các đối tác (nhà cung cấp các sản phẩm mạng, khách hàng…) có liên kết với hệ thống mạng của bạn. GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -3- Kẻ xâm nhập bên trong: Có thể là các nhân viên trong cơ quan, tổ chức… sử dụng sai quyền của họ, truy cập các tài nguyên không được phép, lợi dụng các quyền của người khác để truy cập tài nguyên thông tin của hệ thống.. Các đối tượng tấn công mạng nhằm nhiều mục đích khác nhau: ăn cắp thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định hoặc là thử nghiệm, vô tình. Một số thuật ngữ thường dùng:  Hacking: chỉ quá trình phát triển nhanh một phần mềm mới hay phát triển lại (revers engineering) một phần mềm đã có để làm cho nó tốt hơn và hiệu quả hơn.  Cracker: chỉ người dùng kỹ năng hacking vào mục đích thực hiện các cuộc tấn công.  Ethical hacker: chỉ những chuyên gia bảo mật, những người dùng kiến thức hacking của mình để bảo mật hệ thống.  Threat: là một hành động hay sự kiện có thể làm tổn hại đến tính an toàn của hệ thống, nó giống như là một mối đe dọa tiềm tàng.  Vulnerability: các điểm yếu tiềm ẩn, các lỗi cài đặt có thể dẫn tới làm mất tính an toàn của hệ thống.  Attack: Là hành động cố găng làm mất đi tính an toàn của hệ thống.  Exploit: Hành động khám phá hệ thống. 1.2.4 Các lỗ hổng bảo mật Các lỗ hổng bảo mật là những lỗ hổng yếu kém trên hệ thống hoặc ẩn chứa trong một dịch vụ mà dựa vào đó một kẻ tấn công có thể xâm nhập trái phép để thực hiện hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp. Nguyên nhân gây ra các lỗ hổng bảo mật là khác nhau: có thể là do lỗi bản thân của hệ thống, hoặc phần mềm cung cấp, hoặc do người quản trị yếu kém không hiểu được các dịch vụ cung cấp…Các lỗi bao gồm: Các lỗi phần mềm : Các lỗi phần mềm có thể bị khai thác trên deamon, trên các ứng dụng client, trên hệ điều hành và các ngăn xếp mạng. Các lỗi phần mềm có thể được chia ra làm các loại sau: tràn bộ đệm, các kết quả bất ngờ khi GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -4- đưa vào một dữ liệu được nhiều lớp mã lệnh trong cùng một chương tình xử lý, các dữ liệu đầu vào không hợp lệ. Các sai sót trong cấu hình hệ thống: các sai sót này có thể do người sử dụng để nguyên cấu hình mặc định, do người quản trị lười biếng, do trong các chương trình trong quá trình hoạt động tạo ra các lỗ hổng. Hoạt động phá mật khẩu: Các mật khẩu yếu dễ dàng bị lộ, ngoài ra kẻ xâm nhập có thể thực hiện các hành vi phá mật khẩu bằng tấn công từ điển,… Các hành vi nghe lén các giao thông mạng không được bảo vệ: nghe lén trên môi trường chia sẻ (Ethernet), nghe lén các hoạt động của máy chủ và nghe lén từ xa. Các thiếu sót trong thiết kế: Các phần mềm có thể hoàn toàn đúng như yêu cầu thiết kế, tuy nhiên vẫn có thiếu sót ngay từ khi thiết kế, tạo điều kiện cho kẻ tấn công thực hiện hành vi xâm nhập. Ví dụ như lỗi trong giao thức TCP/IP, dẫn đến các vấn để như tấn công kiểu smurf, IP spoofing, và SYN floods. Mức độ ảnh hưởng của các lỗ hổng là khác nhau. Có những lỗ hổng chỉ ảnh hưởng đến chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng nghiêm trọng đến toàn hệ thống,… 1.3 Một số kiểu, hình thức tấn công mạng 1.3.1 Các kiểu tấn công  Interruption: Tấn công trên tính sẵn sàng của thông tin.  Interception: Tấn công trên độ tin cậy của thông tin.  Modification: Tấn công trên tính toàn vẹn của thông tin.  Fabrication: Tấn công trên tính xác thực của thông tin. GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -5- Hình 1: Các kiểu tấn công mạng 1.3.2 Một số hình thức tấn công mạng Tấn công trực tiếp Sử dụng một máy tính để tấn công một máy tính khác với mục đích dò tìm mật mã, tên tài khoản tương ứng, …. Họ có thể sử dụng một số chương trình giải mã để giải mã các file chứa password trên hệ thống máy tính của nạn nhân. Do đó, những mật khẩu ngắn và đơn giản thường rất dễ bị phát hiện. Ngoài ra, hacker có thể tấn công trực tiếp thông qua các lỗi của chương trình hay hệ điều hành làm cho hệ thống đó tê liệt hoặc hư hỏng. Trong một số trường hợp, hacker đoạt được quyền của người quản trị hệ thống. Kỹ thuật đánh lừa : Social Engineering Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công và thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó. Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống. Ví dụ : kỹ thuật đánh lừa Fake Email Login. Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì bạn phải nhập thông tin tài khoản của mình bao gồm username và password rồi gởi thông tin đến Mail Server xử lý. Lợi dụng việc này, những người tấn công đã thiết kế một trng web GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -6- giống hệt như trang đăng nhập mà bạn hay sử dụng. Tuy nhiên, đó là một trang web giả và tất cả thông tin mà bạn điền vào đều được gởi đến cho họ. Kỹ thuật tấn công vào vùng ẩn Những phần bị dấu đi trong các website thường chứa những thông tin về phiên làm việc của các client. Các phiên làm việc này thường được ghi lại ở máy khách chứ không tổ chức cơ sở dữ liệu trên máy chủ. Vì vậy, người tấn công có thể sử dụng chiêu chức View Source của trình duyệt để đọc phần đầu đi này và từ đó có thể tìm ra các sơ hở của trang Web mà họ muốn tấn công. Từ đó, có thể tấn công vào hệ thống máy chủ. Tấn công vào các lỗ hổng bảo mật Hiện, nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các web server hay các phần mềm khác, ... Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước. Do đó, người sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản cũ mà mình đang sử dụng nếu không các hacker sẽ lợi dụng điều này để tấn công vào hệ thống. Khai thác tình trạng tràn bộ đệm Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu được gởi quá nhiều so với khả năng xử lý của hệ thống hay CPU. Nếu hacker khai thác tình trạng tràn bộ đệm này thì họ có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ thống mất khả năng kiểm soát. Để khai thác được việc này, hacker cần biết kiến thức về tổ chức bộ nhớ, stack, các lệnh gọi hàm: shellcode. Khi hacker khai thác lỗi tràn bộ đệm trên một hệ thống, họ có thể đoạt quyền root trên hệ thống đó. Đối với nhà quản trị, tránh việc tràn bộ đệm không mấy khó khăn, họ chỉ cần tạo các chương trình an toàn ngay từ khi thiết kế. Nghe trộm Các hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc đọc trộm luồng dữ liệu truyền qua. GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -7- Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing hoặc snooping. Nó sẽ thu thập những thông tin quý giá về hệ thống như một packet chứa password và username của một ai đó. Các chương trình nghe trộm còn được gọi là các sniffing. Các sniffing này có nhiệm vụ lắng nghe các cổng của một hệ thống mà hacker muốn nghe trộm. Nó sẽ thu thập dữ liệu trên các cổng này và chuyển về cho hacker. Kỹ thuật giả mạo địa chỉ Thông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng bức tường lửa(fire wall). Bức tường lửa có thể hiểu là cổng duy nhất mà người đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”. Bức tường lửa hạn chế rất nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin tưởng lẫn nhau trong việc sử dụng tào nguyên chia sẻ trong mạng nội bộ. Sự giả mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính của mình là một trong những máy tính của hệ thống cần tấn công. Họ tự đặt địa chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn công. Nếu như làm được điều này, hacker có thể lấy dữ liệu, phá hủy thông tin hay phá hoại hệ thống. Kỹ thuật chèn mã lệnh Một kỹ thuật tấn công căn bản và được sử dụng cho một số kỹ thuật tấn công khác là chèn mã lệnh vào trang web từ một máy khách bất kỳ của người tấn công. Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi vào phiên làm việc trên web của một người dùng khác. Khi mã lệnh này chạy, nó sẽ cho phép người tấn công thực hiện nhiều nhiều chuyện như giám sát phiên làm việc trên trang web hoặc có thể toàn quyền điều khiển máy tính của nạn nhân. Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào khả năng và sự linh hoạt của người tấn công. Tấn công vào hệ thống có cấu hình không an toàn Cấu hình không an toàn cũng là một lỗ hổng bảo mật của hệ thống. Các lỗ hổng này được tạo ra do các ứng dụng có các thiết lập không an toàn hoặc người quản trị hệ thống định cấu hình không an toàn. Chẳng hạn như cấu hình GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -8- máy chủ web cho phép ai cũng có quyền duyệt qua hệ thống thư mục. Việc thiết lập như trên có thể làm lộ các thông tin nhạy cảm như mã nguồn, mật khẩu hay các thông tin của khách hàng. Tấn công dùng Cookies Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website và trình duyệt của người dùng. Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới 4KB). Chúng được các site tạo ra để lưu trữ, truy tìm, nhận biết các thông tin về người dùng đã ghé thăm site và những vùng mà họ đi qua trong site. Những thông tin này có thể bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen, Can thiệp vào tham số trên URL Đây là cách tấn công đưa tham số trực tiếp vào URL. Việc tấn công có thể dùng các câu lệnh SQL để khai thác cơ sở dữ liệu trên các máy chủ bị lỗi. Điển hình cho kỹ thuật tấn công này là tấn công bằng lỗi “SQL INJECTION”. Kiểu tấn công này gọn nhẹ nhưng hiệu quả bởi người tấn công chỉ cần một công cụ tấn công duy nhất là trình duyệt web và backdoor. Vô hiệu hóa dịch vụ Kiểu tấn công này thông thường làm tê liệt một số dịch vụ, được gọi là DOS (Denial of Service - Tấn công từ chối dịch vụ). Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng đưa những yêu cầu không đâu vào đâu đến các máy tính, thường là các server trên mạng. Các yêu cầu này được gởi đến liên tục làm cho hệ thống nghẽn mạch và một số dịch vụ sẽ không đáp ứng được cho khách hàng. 1.3.3 Các bước hacker thường tấn công  Reconnaissance  Scanning  Gaining access  Maintaining access  Covering tracks GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -9- Hình 2: Các bước hacker thường tấn công Bước 1 : Reconnaissance  Reconnaissance tham chiếu đến bước chuẩn bị, thời điểm attacker tìm kiếm và thu thập thông tin càng nhiều càng tốt về mục tiêu. Nó thực hiện bằng cách quét (bên trong hay bên ngoài) hệ thống mạng mà không được sự cho phép.  Passive reconnaissance: lắng nghe dữ liệu trong mạng một cách thụ động.  Active reconnaissance: thăm dò mạng để phát hiện ra.. Bước 2: Scanning  Scanning tham chiếu đến bước tiền tấn công, khi mà attacker quét hệ thống mạng sử dụng các thông tin thu thập được tại bước 1.  Scanning có thể dùng các kỹ thuật: port scanners, network mapping, sweeping, vulnerability scanners.  Rủi ro: cao, hacker có thể tìm ra một điểm truy cập vào hệ thống để triển khai tấn công. Bước 3: Gaining access  Tham chiếu đến bước tấn công thực sự vào hệ thống mạng, attacker thăm dò hệ thống.  Quá trình thăm dò có thể trong mạng LAN, Internet Offline.. Ví dụ: stackbased buffer overflows, denial of service, session hijacking, password filtering, etc. GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -10-  Rủi ro: hacker có thể chiếm quyền truy cập hệ điều hành, ứng dụng và dịch vụ. Bước 4: Maintaining access  Maintaining Access tham chiếu đến bước hacker cố gắng duy trì quyền truy cập của mình trên hệ thống.  Hacker khám phá ra một điểm yếu và có thể thay đổi và làm tổn thương hệ thống.  Hacker có thể upload, download hay là thao tác với dữ liệu/ ứng dụng /cấu hình trên hệ thống. Bước 5: Xóa dấu vết  Xóa dấuvết là bước hacker làm cho không thể phát hiện ra hành động của anh ta trên hệ thống.  Lý do là để có thể kéo dài sự hiệndiện của anh ta trong hệ thống, tiếp tục sử dụng tài nguyên...  Hacker có thể duy trì tình trạng không bị phát hiện trong 1 khoảng thời gian hay dùng bước này để tìm hiểu thêm về hệ thống đích. 1.3.4 Một số dấu hiệu xâm nhập thông thường Có 3 loại tấn công được coi là các dấu hiệu xâm nhập thông thường:  Các hành vi do thám: bao gồm ping sweeps, DNS zone transfers, do thám thư điện tử, dò quét TCP/UDP, tìm kiếm các lỗ hổng cgi của máy chủ web, scan port….  Khai thác: khai thác các lỗ hổng để truy cập được vào hệ thống.  Tấn công từ chối dịch vụ: làm hệ thống/dịch vụ ngừng hoạt động, làm quá tải kết nối mạng, làm CPU quá tải, đầy ổ đĩa…. 1.3.5 Các khai thác thông dụng Một số hành vi khai thác thông dụng:  CGI scripts: Các đoạn mã CGI thông dụng mà kẻ tấn công thường khai thác là TextCounter, GuestBook, EWS, info2www, Count.cgi, handler, webdist.cgi, php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, FormMail. Nếu chúng ta thấy có người đang cố gắng sử dụng các mã CGI này thì chắc chắn đang có kẻ muốn thực hiện hành vi xâm nhập. GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -11-  Tấn công máy chủ web: hacker có thể thực hiện xâm nhập bằng cách tấn công vào các lỗ hổng của các ứng dụng, lỗ hổng của hệ điều hành… của máy chủ web.  Tấn công vào trình duyệt web: kẻ xâm nhập có thể khai thác các lỗ hổng liên quan đến trình duyệt web: URL, HTTP, HTML, JavaScript, Frames, Java, và ActiveX.  Tấn công SMTP (SendMail)  Các hành vi truy cập: truy cập khi không có tài khoản, phá mật khẩu, …  IMAP: lấy các e-mail trên máy chủ thông qua giao thức IMAP.  IP spoofing: hành vi smurf, TCP sequence number prediction, DNS poisoning.  Tấn công tràn bộ đệm.  Tấn công DNS: DNS cache poisoning, DNS poisoning , DNS overflow. Một số hành vi do thám: Ping sweeps, TCP scans, UDP scans, OS identification, Account scans. Một số tấn công từ chối dịch vụ thông dụng: Ping-of-Death, SYN Flood, Land/Latierra, WinNuke, Smurf… 1.4 Các mức bảo vệ an toàn mạng Vì không có 1 giải pháp nào là an toàn tuyệt đối nên người ta thường sử dụng nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “ rào chắn” đối với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong các máy tính, đặc biệt là các server của mạng. Hình 3: Các mức độ bảo vệ của mạng GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -12- Như hình trên ta thấy, các lớp bảo vệ mạng trên bao gồm: Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiếm soát các tài nguyên của mạng và quyền hạn đối với tài nguyên đó. Hiện nay việc kiểm soát ở mức sâu nhất là tệp. Lớp bảo vệ thứ 2 là hạn chế theo tài khoản truy nhập gồm đăng kí tên và mật khẩu tương ứng. Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản, hiệu quả và ít tốn kém. Người quản trị có trách nhiệm quản lý, kiếm soát mọi hoạt động của mạng và xác định quyền truy nhập của những người sử dụng khác tùy theo không gian, thời gian. Lớp thứ 3 là sử dụng phương pháp mã hóa. Dữ liệu được mã hóa và sẽ thành dạng dữ liệu “ không đọc được” theo 1 thuật toán nào đó. Lớp thứ 4 là mức bảo vệ vật lý nhằm truy cản các truy nhập vật lý bất hợp pháp truy nhập vào hệ thống. Thường dùng các biện pháp truyền thống như ngăn cấm người lạ vào phòng đặt máy, dùng các máy tính khóa, cài đặt hệ thống báo động khi truy nhập vào hệ thống… Lớp thứ 5 là cài đặt các bức tường lửa nhằm ngăn chặn truy cập trái phép và cho phép lọc các gói tin mà ta không muốn gửi hoặc nhận. 1.5 Các quy tắc bảo mật Tại trung tâm hỏi đáp về an toàn bảo mật thông tin của hãng Microsoft, hàng nghìn các bản báo cáo về an ninh hệ thống đã được nghiên cứu trong mỗi năm. Trong một số trường hợp, kết quả về mức độ an toàn của hệ thống xuất phát từ lỗi trong sản phẩm. Điều này có nghĩa là sẽ có một bản sửa lỗi phát triển ngay sau đó để khắc phục lỗi vừa tìm được. Trong một số trường hợp, các vấn đề được báo cáo là kết quả đơn giản do lỗi của ai đó tạo ra trong quá trình sử dụng sản phẩm. Nhưng lại có rất nhiều trường hợp mà không rơi vào hai trường hợp trên. Đó chính là các vấn đề an toàn bảo mật thông tin thực sự, nhưng các vấn đề này lại không do các thiếu sót từ sản phẩm. Theo năm tháng, một danh sách về những vấn đề như vậy đã được phát triển gọi là “Mười quy tắc then chốt về an toàn và bảo mật”. GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang