Bài tập lớn An toàn mạng máy tính: Tìm hiểu tấn công Heartbleed và phương pháp phòng chống hiệu quả

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNG TIN



BÀI TẬP LỚN MÔN AN TOÀN MẠNG MÁY TÍNH

ĐỀ TÀI

TÌM HIỂU TẤN CÔNG HEARTBLEED VÀ PHƯƠNG PHÁP PHÒNG CHỐNG

Giáo viên hướng dẫn: CAO MINH TUẤN

Nhóm thực hiện : NGUYỄN HÀ AN

VŨ HOÀNG ĐẠT

LÊ THỊ LINH

LÊ VĂN PHƯƠNG

Lớp : AT8C

Hà Nội, tháng 6 năm 2015

Tìm hiểu tấn công HeartBleed và phương pháp phòng chống

Ý KIẾN CỦA GIÁO VIÊN

Tìm hiểu tấn công HeartBleed và phương pháp phòng chống

MỤC LỤC

LỜI NÓI ĐẦU .......................................................................................................... 4

1.1.1. Tấn công OpenSSL dựa trên lỗ hỗng Heartbleed ....................................................................... 6

1.1.2. Quá trình phát hiện ..................................................................................................................... 6

1.1.3. Phương pháp tấn công và khai thác lỗ hổng ............................................................................... 7

CHƯƠNG II: CÀI ĐẶT VÀ THỰC HIỆN TẤN CÔNG HEARTBLEED ........... 14

2.1. Mô hình cài đặt và thực hiện tấn công ....................................................................................... 14

2.2. Cài đặt máy chủ .......................................................................................................................... 15

2.2.1. Thit lp cấu hnh mng ............................................................................................................ 15

2.2.2. Thit lp cấu hnh dịch vụ DNS................................................................................................. 15

2.2.3. Thit lp Web site cha lỗ hổng bo mt heartbleed ................................................................ 18

2.2.4. Cài đặt cơ sở dữ liệu cho trang web www.test.com .................................................................. 22

2.2. Cài đặt máy trạm ........................................................................................................................ 25

2.2.1. Thit lp cấu hnh mng ............................................................................................................ 25

2.2.2. Truy cp www.test.com ............................................................................................................. 26

2.3. Tấn công khai thác lỗ hổng Heartbleed ...................................................................................... 26

2.3.1. Cài đặt mng trên máy thực hiện tấn công ............................................................................... 26

2.3.2. Tấn công khai thác lỗ hổng Heartbleed .................................................................................... 27

2.4. Phương pháp phòng chống .................................................................................................... 28

2.4.1. Lời khuyên cho các doanh nghiệp ............................................................................................. 28

2.4.2. Lời khuyên cho người dùng cuối ............................................................................................... 29

2.4.3. Lời khuyên khác......................................................................................................................... 29

CHƯƠNG III. KỊCH BẢN DEMO ........................................................................ 30

KẾT LUẬN ............................................................................................................. 34

TÀI LIỆU THAM KHẢO ....................................................................................... 35

Tìm hiểu tấn công HeartBleed và phương pháp phòng chống

LỜI NÓI ĐẦU

Mạng Internet mang lại cho con người những lợi ích to lớn, nó giúp mọi

người trên thế giới xích lại gần nhau hơn, chia sẻ thông tin và liên lạc với nhau

một cách dễ dàng hơn. Lượng thông tin được chia sẻ và trao đổi ngày càng lớn,

trong đó có rất nhiều thông tin nhạy cảm, quan trọng. Do đó môi trường kết nối

Internet vô hình chung lại là một môi trường dễ dàng cho những kẻ xấu lợi dụng

để tấn công khai thác những dữ liệu quan trọng hay thực hiện những mục đích

phá hoại. Do vậy nhu cầu đặt ra là tìm ra những giải pháp bảo vệ thông tin nhạy

cảm, quan trọng được truyền trong môi trường mạng.

Để bảo vệ thông tin trên mạng, chúng ta có thể can thiệp mật mã vào

trong môi trường internet nhằm đảm bảo thông tin, dữ liệu tránh được những kẻ

xấu có mục đích tấn công khai thác dữ liệu cũng như phá hoại.Trong đó, giải

pháp sử dụng bộ giao thc SSL để thiết lập các kênh truyền tin an toàn trên

Internet là giải pháp được sử dụng rộng ri và hiệu quả. Khi đó, dữ liệu trên

kênh liên lạc s được m hóa và xác thực để đảm bảo sự an toàn. Tuy nhiên,

trong bộ giao thc này vẫn có một lỗ hổng bảo mật khá nghiêm trọng đó là lỗ

hổng heartbleed . Xuất phát từ lý do trên, nhóm em đ chọn đề tài “Tìm hiểu tấn

công heartbleed và phương pháp phòng chống” để hiểu rõ hơn về lỗ hổng và

dạng tấn công này. Nội dung của bài tập lớn gồm có 3 chương:

Chương I: Nghiên cứu phương pháp tấn công heartbleed vào b giao

thức SSL/TLS: Chương này giới thiệu phương pháp tấn công heartbleed vào bộ

giao thc SSL/TLS

Chương II: Cài đặt, thực hiện tấn công HeartBleed và phương pháp

phòng chống : Chương này trình bày những vấn đề cơ bản về cài đặt và thực

hiện tấn công HeartBleed và đưa ra một số lời khuyên để phong chống.

Chương III: kịch bản demo: chương này nhóm s trình bày chi tiết

những nội dung mà nhóm thực hiện demo trong báo cáo.

Do thời gian và kiến thc còn hạn chế, nên không thể tránh khỏi những

thiếu sót trong nội dung cũng như hình thc, mong thầy và các bạn xem xét và

bổ sung để nhóm hoàn thiện hơn bản báo cáo của mình.

Chúng em xin chân thành cm ơn !!!

Tìm hiểu tấn công HeartBleed và phương pháp phòng chống

CHƯƠNG I: NGHIÊN CỨU PHƯƠNG PHÁP TẤN CÔNG

HEARTBLEED VÀO BỘ GIAO THỨC SSL/TLS

1.1. Tấn công HeartBleed

1.1.1. Tấn công OpenSSL dựa trên lỗ hỗng Heartbleed

Heartbleed tạm dịch là “trái tim rỉ máu” là một lỗi về bảo mật trong thư

viện mật mã dạng mã nguồn mở OpenSSL, thư viện này được sử dụng rộng

ri để phát triển giao thc bảo mật tầng truyền tải (TLS) trên Internet. Lỗ

hổng này chính là kết quả của việc thiếu hàm kiểm tra giới hạn khi xử lý tính

năng mở rộng heartbeat trên TLS. Tính năng heartbeat chính là nguồn gốc

cho tên gọi của lỗ hổng heartbleed. Lỗ hổng này cho phép đối phương lấy

được những thông tin bí mật như: khóa riêng của máy chủ, cookies và mật

khẩu phiên liên lạc của người sử dụng. Nhiều cơ quan bảo mật uy tín trên thế

giới đ đưa ra cảnh báo và tư vấn bảo mật đối với những người quản trị hệ

thống về lỗi nghiêm trọng này.

1.1.2. Quá trình phát hiện

Tính năng mở rộng Heartbeat trong các giao thc TLS và DTLS là một

bộ tiêu chuẩn được mô tả cụ thể trong RFC 6520, công bố vào tháng 2 năm

2012. Nó cho phép dễ dàng kiểm tra và giữ trạng thái “sống” (alive) cho các

liên kết thông tin bảo mật mà không cần phải tiến hành thỏa thuận lại cho mỗi

lần kết nối.

Bài tập lớn môn An toàn mạng máy tính: Tìm hiểu tấn công Heartbleed và phương pháp phòng chống

Nội dung của tài liệu nghiên cứu phương pháp tấn công heartbleed vào bộ giao thức SSL/TLS; cài đặt, thực hiện tấn công HeartBleed và phương pháp phòng chống; kịch bản demo.

Chủ đề:

Tài liệu liên quan

Tài liêu mới

AI tóm tắt

Giới thiệu tài liệu

Đối tượng sử dụng

Từ khoá chính

Nội dung tóm tắt

Hỗ trợ

Phương thức thanh toán

Theo dõi chúng tôi