LUẬN VĂN: NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Trần Tiến Công

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành : Công nghệ thông tin

HÀ NỘI - 2009

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

Trần Tiến Công

NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY

Ngành : Công nghệ thông tin

Cán bộ hướng dẫn : Ths. Đoàn Minh Phương Cán bộ đồng hướng dẫn : Ths. Nguyễn Nam Hải HÀ NỘI – 2009

Lời cảm ơn

Đầu tiên, em xin gửi lời cảm ơn chân thành tới thầy Đoàn Minh Phương và đặc biệt là thầy Nguyễn Nam Hải đã nhiệt tình giúp đỡ em trong quá trình lựa chọn cũng như trong quá trình thực hiện khóa luận. Em cũng xin gửi lời cảm ơn thầy Đỗ Hoàng Kiên, thầy Phùng Chí Dũng và thầy Nguyễn Việt Anh ở trung tâm máy tính, những người đã chỉ dẫn em trong từng bước đề tài.

Để có thể thực hiện và hoàn thành khóa luận này, các kiến thức trong 4 năm học đại học là vô cùng cần thiết, vì vậy em xin gửi lời cảm ơn tới tất cả các thầy cô giáo đã truyền đạt cho em những bài học quý báu trong thời gian vừa qua.

Tôi xin cảm ơn bạn Vũ Hồng Phong và bạn Nguyễn Duy Tùng đã hỗ trợ tôi thực hiện đề tài. Tôi cũng xin cảm ơn các bạn cùng lớp đã giúp đỡ tôi trong học tập.

Cuối cùng, em xin gửi lời cảm ơn tới gia đình em, nguồn động viên to lớn đã giúp em thành công trong học tập và cuộc sống.

Tóm tắt nội dung

Nghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâm nhập trái phép (tấn công) vào các hệ thống mạng ngày nay là một vấn đề có tính thời sự và rất có ý nghĩa, vì quy mô và sự phức tạp của các cuộc tấn công ngày càng tăng.

Khóa luận này trình bày hệ thống hóa về các phương thức tấn công và các biện pháp ngăn chặn chúng bằng cả lý thuyết và những minh họa mô phỏng thực tế; Những tìm hiểu về giải pháp phát hiện sớm và ngăn chặn tấn công của thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia G200, việc thiết lập cấu hình và vận hành thiết bị, thử nghiệm trong môi trường VNUnet, những đánh giá và nhận xét.

Thông qua tiến hành khảo sát hệ thống mạng VNUnet, khóa luận cũng chỉ ra những khó khăn, vấn đề và hướng giải quyết khi triển khai IPS trên những hệ thống mạng lớn như mạng của các trường đại học.

Do “ngăn chặn thâm nhập” là một công nghệ khá mới trên thế giới nên khóa luận này là một trong những tài liệu tiếng việt đầu tiên đề cập chi tiết đến công nghệ này.

Mục lục

BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT ..............................1 DANH SÁCH BẢNG...........................................................1 DANH SÁCH HÌNH MINH HỌA......................................2 ..........................................................................3 MỞ ĐẦU CHƯƠNG 1.AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET

..........................................................................4 1.1. AN NINH MẠNG.............................................................................................4 1.2. HỆ THỐNG MẠNG VNUNET........................................................................4 1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet .........................................4 1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet .................................................5 CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP...................7 2.1. KIẾN THỨC CƠ SỞ.........................................................................................7 2.1.1. Thâm nhập.....................................................................................................7 2.1.2. Tấn công từ chối dịch vụ...............................................................................8 2.1.3. Lỗ hổng bảo mật .........................................................................................10 2.1.4. Virus, Sâu và Trojan ...................................................................................12 2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG...........................13 2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP ...............................................17 2.3.1. Thu thập thông tin .......................................................................................17 2.3.2. Tấn công từ chối dịch vụ.............................................................................17 2.3.3. Thâm nhập qua Trojan................................................................................18 2.3.4. Thâm nhập qua lỗ hổng bảo mật ................................................................19

CHƯƠNG 3.THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP ....................................................................22 3.1. CÁC KHÁI NIỆM CƠ BẢN...........................................................................22 3.2. THIẾT BỊ IPS PROVENTIA G200 ................................................................25 3.3. SITEPROTECTOR SYSTEM ........................................................................27 3.3.1. SiteProtector System là gì? .........................................................................27 3.3.2. Quá trình thiết lập hệ thống SiteProtector .................................................29 3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS .......................................................................31 3.4.1. Cài đặt.........................................................................................................31

3.4.2. Cấu hình hình thái hoạt động .....................................................................31 3.4.3. Cấu hình sự kiện an ninh ............................................................................32 3.4.4. Cấu hình phản hồi.......................................................................................35 3.4.5. Cấu hình tường lửa .....................................................................................42 3.4.6. Cấu hình protection domain .......................................................................44 3.4.7. Cấu hình cảnh báo ......................................................................................46 3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS ............................48 3.5.1. Ngăn chặn các hình thức thu thập thông tin...............................................48 3.5.2. Ngăn chặn tấn công DoS ............................................................................49 3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan ............................................50 3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật ...............................................50 3.6. TRIỂN KHAI THỰC TẾ ................................................................................51 CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI ...........................58 4.1. KẾT QUẢ ĐẠT ĐƯỢC..................................................................................58 4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI ................................58 PHỤ LỤC A .......................................................................60 PHỤ LỤC B .......................................................................63 PHỤ LỤC C .......................................................................65 PHỤ LỤC D .......................................................................68 PHỤ LỤC E .......................................................................72

BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT

Kí hiệu và viết tắt Giải thích

ĐHQGHN Đại học Quốc gia Hà Nội

IDS/IPS Hệ thống phát hiện/ngăn chặn thâm nhập

VNUnet Hệ thống mạng Đại học Quốc gia Hà Nội

Proventia G 200 Tên dòng thiết bị IDS/IPS của hãng IBM

DANH SÁCH BẢNG

1

Bảng 1 – Thuật ngữ IDS/IPS.........................................................................................22 Bảng 2 – Hình thái hoạt động........................................................................................36 Bảng 3 – Phản hồi email................................................................................................36 Bảng 4 – Phản hồi Log Evidence ..................................................................................37 Bảng 5 – Phân loại cách ly ............................................................................................37 Bảng 6 – Phản hồi cách ly .............................................................................................38 Bảng 7 – Phản hồi SNMP..............................................................................................38 Bảng 8 – Phản hồi User Specified.................................................................................39

DANH SÁCH HÌNH MINH HỌA

Hình 1 – Sơ đồ kết nối logic của VNUnet..................................................................................5 Hình 2 - Minh họa trình tự tấn công.........................................................................................14 Hình 3 - Giao diện DoSHTTP ..................................................................................................17 Hình 4 - Giao diện smurf attack ...............................................................................................18 Hình 5 - Giao diện client trojan beast.......................................................................................18 Hình 6 - Lỗi trong dịch vụ RPC ...............................................................................................19 Hình 7 - Giao diện metasploit ..................................................................................................20 Hình 8 - Giao diện metasploit (2).............................................................................................21 Hình 9 – Security Events ..........................................................................................................34 Hình 10 – Response Filters.......................................................................................................42 Hình 11 – Protection Domain...................................................................................................45 Hình 12 - Protection Domain ...................................................................................................46 Hình 13 - Mức độ nghiêm trọng của thông báo .......................................................................47 Hình 14 - Minh họa thông báo .................................................................................................47 Hình 15 - Ngăn chặn thu thập thông tin ...................................................................................48 Hình 16 – Đánh dấu cảnh báo SYNFlood ................................................................................49 Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep)...............................50 Hình 18 - Ngăn chặn thâm nhập qua trojan Beast....................................................................50 Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo ....................................................51 Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive........................................51 Hình 21 – Mô hình mạng VNUnet ...........................................................................................52 Hình 22 – Sơ đồ triển khai IPS.................................................................................................53 Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT............................54 Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS..................................55 Hình 25 - Hệ thống IPS gửi mail cho người quản trị ...............................................................56 Hình 26 - Các dò quét và tấn công thực tế ...............................................................................57 Hình 27 – Các hành vi khai thác điểm yếu an ninh..................................................................60 Hình 28 - Xu hướng phishing sắp tới .......................................................................................61 Hình 29 - Minh họa smurf attack .............................................................................................65 Hình 30 - Minh họa tấn công SYNFlood .................................................................................66 Hình 31 - Sơ đồ kết nối logic ...................................................................................................74 Hình 32 – Mô hình tổ chức.......................................................................................................75

2

MỞ ĐẦU

Với sự phát triển nhanh chóng của công nghệ và thông tin trên Internet, việc bảo vệ an ninh mạng ngày càng quan trọng và có tính thời sự hàng ngày. Để chống lại tin tặc ngày càng phát triển, đã có các ứng dụng phần mềm để hỗ trợ cùng với các thiết bị phần cứng nhằm hạn chế các tác hại của virus và các hoạt động xâm nhập trái phép.

Khoá luận đề cập đến giải pháp phát hiện sớm và ngăn chặn tấn công, có ý nghĩa khoa học là một trong những giải pháp mới và có hiệu quả cao, với thực tiễn có triển khai cài đặt để bảo vệ hệ thống, chống lại được các tấn công mô phỏng, có thể sử dụng để bảo đảm an ninh mạng ở một mức khá cao.

Đối tượng nghiên cứu là các hình thức tấn công thâm nhập và thiết bị phát hiện ngăn chặn, cụ thể là sử dụng một thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia G200 trên hệ thống mạng của Trường Đại học Quốc gia.

Phương pháp nghiên cứu là tìm hiểu tài liệu trên mạng, tham khảo ý kiến các chuyên gia, mô phỏng hệ thống, thiết lập cấu hình và vận hành thiết bị, thử nghiệm trong môi trường VNUnet, sau đó có đánh giá và nhận xét.

3

Nội dung nghiên cứu bao gồm các vấn đề an ninh mạng, khảo sát hiện trạng hệ thống mạng của Trường Đại học Quốc gia, các hình thức tấn công thâm nhập và thiết bị phát hiện ngăn chặn, các bước cài đặt, cầu hình và vận hành thử nghiệm. Phần kết luận nêu các kết quả đạt được, đánh giá và định hướng nghiên cứu tương lai có thể được phát triển từ kết quả của khoá luận.

CHƯƠNG 1. AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET

1.1. AN NINH MẠNG

Theo các báo cáo an ninh năm 2007 và 2008 – phụ lục A và B, vấn đề đe dọa an ninh hiện nay càng ngày càng nghiêm trọng. Có thể thấy rõ mức tăng đột biến của các nguy cơ mạng như tấn công từ xa, spam hay phising. Thêm vào đó, các lỗ hổng bảo mật ngày càng được phát hiện nhiều hơn trong khi người dùng vẫn chưa ý thức được việc cập nhật đầy đủ các bản vá.

Chỉ vừa trong một thời gian ngắn về trước, tường lửa có thể ngăn chặn được hầu hết các tấn công. Tuy nhiên, với sự phát triển ngày càng mạnh của ứng dụng nền Web và worm, hầu hết các mạng hiện nay đều không an toàn kể cả với tường lửa và phần mềm quét virus. Tường lửa giờ đây chỉ hiệu quả đối với những tấn công DoS phổ thông hay những lỗ hổng bình thường, nó khó có thể ngăn chặn những tấn công dựa trên tầng ứng dụng và worm.

Không chỉ lớp mạng ngoài bị tấn công mà kể cả những tài nguyên của mạng trong – bao gồm nhiều những vùng tài nguyên nội bộ giá trị, những vùng lộ ra trên Internet cũng đều bị khai thác và gây cho cơ quan và công ty nhiều thiệt hại. Vì vậy, các thiết bị phát hiện và chống thâm nhập ngày càng trở nên cần thiết trong các cơ quan và công ty hiện nay.

Hiện giờ có nhiều thiết bị phát hiện thâm nhập phổ biến như Internet Security Systems (ISS), Lancope StealthWatch, Snort, và StillSecure Border Guard. Trong số đó, sản phẩm của ISS có tiếng vang lớn nhất. Hiện nay, ngoài tính năng phát hiện thâm nhập, các sản phẩm của hãng này đã được thêm vào tính năng ngăn chặn thâm nhập thậm chí còn trước cả khi chúng đến được máy mục tiêu.

Để có thể quản trị và phát triển một hệ thống mạng an ninh tốt và bảo mật cao, một yêu cầu hiện nay đối với những người quản trị là hiểu biết các tấn công và thâm nhập, đồng thời biết cách ngăn chặn chúng.

1.2. HỆ THỐNG MẠNG VNUNET [4]

1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet

Phần này sẽ được đề cập chi tiết trong phụ lục E – Khảo sát hiện trạng hệ thống

mạng VNUnet. Ta có thể tóm tắt một số ý chính như sau :

4

• Hệ thống mạng ĐHQGHN là một hệ thống mạng có quy mô trung bình.

• Các VNUnet đã có hệ thống đường truyền thông khá tốt

• Kiến trúc phân tầng của mạng còn đơn giản, không ổn định làm giảm hiệu suất mạng, gây lãng phí lớn các đầu tư tài nguyên của ĐHQGHN, gây ức chế tâm lý người dùng, làm xuất hiện tư tưởng kết nối phân tán ra bên ngoài, đặt website ra bên ngoài.

• Sử dụng không gian địa chỉ giả lập với thiết bị Proxy. Hệ thống an ninh và an

INTERNET

CPNET 112

TEIN2 VINAren

Catalyst 2950

203.113.130.192/27

Router 3600

Proxy

Web Mail

172.16.0.0/16

Catalyst 4507

Cáp quang

10.10.0.0/16

10.1.0.0/16

i

i

T T N C n ệ V

D K T Q a o h K

N H G Q H Đ P V

ữ g n i ạ o g N H Đ

V T T T m â t g n u r T

a x ừ t o ạ t o à Đ T T

TRƯỜNG ĐH CÔNG NGHỆ Với hệ thống thiết bị ghép nối mạng riêng

i

i

N T H K H Đ

ì r T ễ M X T K

Đ T n ệ v ư h T

H S N C n ệ V , t ậ u L a o h K , ế t h n K H Đ

V N - H X H K H Đ

H Đ S a o h K , P S a o h K , g n ố h t ệ H T P T T

toàn rất yếu kém.

Hình 1 – Sơ đồ kết nối logic của VNUnet

1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet

Để án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển như sau :

• Là mạng tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, e-

5

Document, ...), voice, DVD video, ...

• Là mạng cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực tuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo. Làm giảm kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia sẻ của cá nhân, tập thể trên toàn hệ thống.

• Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng.

• Có trung tâm dữ liệu mạnh.

• Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến người

dùng cuối 1Gbps.

• Hệ thống kết nối không dây phục vụ các thiết bị xử lý thông tin di động phủ

khắp môi trường làm việc, học tập của ĐHQGHN, kể cả các ký túc xá.

• Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa và tiếp nhận bài

giảng từ xa.

• Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh, đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng như trên một desktop ảo.

• Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả.

• Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động

thông suốt, ổn định, hiệu quả.

• Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy

cập trái phép.

• Hỗ trợ cán bộ, giảng viên có thể truy cập vào mạng nội bộ từ xa.

6

Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết. Trong đó công việc quản trị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng đầu. Để xây dựng hệ thống an ninh mạng VNUnet, việc triển khai thiết bị phát hiện và ngăn chặn thâm nhập IDS/IPS là một khâu quan trọng. Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển mạng Đại học quốc gia Hà Nội.

CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP

2.1. KIẾN THỨC CƠ SỞ

Để đảm bảo được an ninh mạng ngày nay, cần phải hiểu biết chi tiết về các vấn đề liên quan đến an ninh. Đặc biệt là các khái niệm như thâm nhập, tấn công. Phần này sẽ trình bày lý thuyết nền tảng về an ninh liên quan trực tiếp tới hệ thống IDS/IPS được nói tới trong khóa luận.

2.1.1. Thâm nhập [9]

Một thâm nhập có thể coi như là một sự chiếm giữ hệ thống từ những người quản trị. Thâm nhập có thể được thực hiện bởi “người bên trong” (những người có tài khoản người dùng hợp lệ trong hệ thống) và họ dùng lỗ hổng của hệ điều hành để nâng cấp quyền của họ. Thâm nhập cũng có thể được thực hiện bởi “người bên ngoài”, họ khám phá ra những lỗ hổng bảo mật và những chỗ bảo vệ kém trong hệ thống mạng để chiếm quyền điều khiển hệ thống.

Một thâm nhập có thể xảy ra dưới những dạng sau :

• Một virus, sâu hay trojan được cài vào máy qua những con đường như mail,

active X hay java script …

• Một mật khẩu bị mất trộm bằng những phương pháp như nghe trộm (sniffer), nhìn trộm (shoulder surfing), tấn công vét cạn mã hoặc các phương pháp phá mã khác.

• Chiếm đoạt những phiên dịch vụ hay những thiết bị không hỗ trợ mã hóa (telnet

cũ, ftp, IMAP hay POP mail …)

• Một tấn công vào lỗ hổng của các dịch vụ như ftp, Apache hay iis,…

• Thâm nhập vật lý vào máy tính và cướp tài khoản quản trị hay tạo những lỗ

hổng trong hệ thống cho phiên thâm nhập sau.

Một khi kẻ thâm nhập đã có được quyền hợp lệ với một máy tính hay một hệ thống, họ thường cài đặt những phần mềm trojan mà che dấu sự điều khiển của họ với hệ thống. Trojan là một chương trình giống như các chương trình khác mà người dùng có thể muốn sử dụng, tuy nhiên khi sử dụng thì nó lại thực hiện những hoạt động bất hợp pháp.

7

Một hành vi thâm nhập phổ thống khác là cài phần mềm nghe trộm hoặc keylogger. Thông qua những máy bị chiếm quyền, kẻ thâm nhập có thể vươn ra cả mạng bằng những mối quan hệ tin tưởng trên mạng.

Việc xác định được có thâm nhập trong mạng hay không là một việc khá khó khăn vì những phần mềm gián điệp thường có cách để che giấu hoạt động đối với người quản trị và người dùng. Chỉ có một cách để biết chắc chắn rằng có thâm nhập là kiểm tra lưu lượng mạng tới các máy nghi ngờ ở bên ngoài, hoặc kiểm tra máy tính với những công cụ an toàn.

2.1.2. Tấn công từ chối dịch vụ [11]

Tấn công từ chối dịch vụ DoS (Denial of Service) là kiểu tấn công với mục đích làm cho máy bị tấn công không thể hoạt động một cách bình thường trong một khoảng thời gian tạm thời hoặc không xác định. Đối tượng của DoS thường là các router, web server, DNS server... Cách thức tấn công thông dụng là gửi tràn ngập các yêu cầu kết nối đến máy đối tượng làm cho nó không thể phản hồi lại các kết nối hợp lệ hoặc phản hồi một cách chậm chạp. DoS có thể khiến cho máy đối tượng bị khởi động lại hoặc tiêu thụ một lượng lớn tài nguyên khiến cho nó không thể chạy các dịch vụ khác cũng như gây tắc nghẽn đường truyền tới người dùng.

Có 5 loại tấn công DoS cơ bản:

• Tiêu thụ nguồn tài nguyên của máy như băng thông, bộ nhớ hoặc thời gian

xử lý.

• Phá hủy các thông tin cấu hình, như thông tin về định tuyến.

• Phá hủy các thông tin trạng thái, như tự khởi động lại phiên TCP.

• Phá hủy các thành phần vật lý.

• Gây tắc nghẽn đường truyền giữa người dùng với máy bị tấn công.

DoS có thể sử dụng các mã độc hại với mục đích:

• Sử dụng tối đa năng lực của bộ vi xử lý, làm cho nó không thực hiện được các

công việc khác.

• Gây ra các lỗi trong vi mã của máy.

• Gây ra các lỗi tuần tự trong các chỉ thị, khiến cho máy rơi vào trạng thái bất ổn

hoặc treo đơ.

• Khai thác các lỗi trong hệ điều hành gây nên việc thiếu tài nguyên và lỗi

thrashing.

• Làm treo hệ điều hành.

8

• Tấn công iFrame DoS, một văn bản HTML được tạo ra để gọi đến một trang web chứa nhiều thông tin nhiều lần, cho đến khi chúng lưu trữ một lần gọi vượt quá băng thông giới hạn.

Có rất nhiều cách thức cũng như loại tấn công từ chối dịch vụ. Dưới đây là một

số loại tấn công tiêu biểu :

• Smurf Attack • SYNFlood • Land Attack • UDP Flood • Tear Drop

Chi tiết về các cách tấn công này xem trong phụ lục C.

Tấn công từ chối dịch vụ phân tán (Distributed DoS)

Tấn công từ chối dịch vụ phân tán xảy ra khi có nhiều máy trạm cùng tham gia vào quá trình làm ngập lụt băng thông hoặc tài nguyên của máy bị tấn công. Để thực hiện được tấn công DDoS, kẻ tấn công xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều kiển từ xa và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu. Cách thức này có thể huy động tới hàng trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công một lúc (tùy vào sự chuẩn bị trước đó) và có thể ngốn hết băng thông của mục tiêu trong nháy mắt.

Các cách phòng chống

Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. Để phòng chống DoS có thể sử dụng một số biện pháp sau:

• Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức. Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống.

• Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các nguồn tài nguyên quan trọng khác.

• Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên mạng. Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router.

• Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống lại SYN flood.

• Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụ chưa có yêu cầu hoặc không sử dụng.

• Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên trên server để tấn công chính server hoặc mạng và server khác.

• Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời.

• Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường.

9

• Xây dựng và triển khai hệ thống dự phòng.

2.1.3. Lỗ hổng bảo mật [10]

Trong bảo mật máy tính, thuật ngữ lỗ hổng được dùng cho một hệ thống yếu mà cho phép một kẻ tấn công xâm phạm vào sự toàn vẹn của hệ thống. Lỗ hổng có thể là kết quả của mật khẩu yếu, các lỗi phần mềm, một virus máy tính hoặc phần mềm độc hại khác, một đoạn mã lỗi, một lệnh SQL lỗi hoặc cấu hình sai.

Một nguy cơ bảo mật được phân loại là một lỗ hổng nếu nó được công nhận như là một phương pháp được sử dụng để tấn công. Một cửa sổ của lỗ hổng là thời gian từ khi lỗ hổng bảo mật được giới thiệu hoặc chứng tỏ trong các phần mềm được triển khai tới khi một bản vá bảo mật có sẵn hoặc được triển khai .

Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows XP, UNIX; hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, Các hệ databases...

Nguyên nhân

Quản lý mật khẩu sai sót: Người dùng máy tính sử dụng các mật khẩu yếu mà có thể tìm được bởi vét cạn. Người dùng máy tính lưu trữ các mật khẩu trên máy tính ở chỗ mà một chương trình có thể truy cập được nó. Nhiều người dùng sử dụng lại các mật khẩu giữa nhiều chương trình và website.

Thiết kế hệ điều hành cơ bản sai sót: Các nhà thiết kế hệ điều hành chọn thực thi các chính sách tối ưu cho người dùng/chương trình quản lý. Ví dụ hệ điều hành với các chính sách như là cho phép mặc định các chương trình và người dùng đầy đủ quyền truy cập tới máy tính. Hệ điều hành sai lầm khi cho phép các virus và phần mềm độc hại thực thi các lệnh ở chế độ administrator.

Các lỗi phần mềm: Các lập trình viên thường bỏ qua một lỗi có thể khai thác trong một chương trình phần mềm. Lỗi phần mềm này có thể cho phép một kẻ tấn công lạm dụng một phần mềm.

Không kiểm tra nhập vào của người dùng. Một chương trình giả định rằng tất cả các nhập vào của người dùng là an toàn. Các chương trình sẽ không thực hiện việc kiểm tra nhập vào của người dùng có thể cho phép sự thực thi trực tiếp mà không được định trước của các câu lệnh hoặc các câu lệnh SQL (vd như tràn bộ đệm , SQL injection hoặc các đầu vào không có giá trị khác).

10

Phân loại lỗ hổng có thể xem thêm trong phụ lục D.

Công bố lỗ hổng

Các phương pháp làm giảm các lỗ hổng là một đề tài của cuộc tranh luận trong giao tiếp an toàn máy tính. Một số người bảo nên lập tức đưa đầy đủ các thông tin về lỗ hổng ngay khi chúng được phát hiện. Một số khác chứng minh rằng việc giới hạn khi đưa ra các thông tin về lỗ hổng sẽ đặt người dùng vào những rủi ro lớn, và chỉ nên đưa ra các thông tin chi tiết sau một thời gian, thậm chí có thể không đưa ra. Việc đưa ra thông tin về các lỗ hổng sau một thời gian có thể cho phép thông báo để khắc phục các vấn đề bởi nhà phát triển bằng các bản vá, nhưng có thể làm tăng rủi ro với người dùng. Gần đây, hình thức thương mại hóa với việc đưa ra lỗ hổng bảo mật, như một vài công ty bảo mật thương mại đã bỏ tiền cho việc độc quyền đưa ra lỗ hổng zero day. Những người này sẽ cung cấp một thị trường hợp pháp để mua và bán các thông tin lỗ hổng từ các trung tâm bảo mật.

Từ người bảo mật, việc tiết lộ các lỗ hổng miễn phí và công cộng chỉ thành công nếu bên nhận bị ảnh hưởng lấy được thông tin thích đáng trước khi bị tin tặc, nếu không các tin tặc sẽ có ngay lập tức có lợi thế trong việc lợi dụng khai thác. Việc bảo mật thông qua việc che dấu thông tin các lỗ hổng cũng phải tương tự như trên .

Việc cho phép một cách công bằng việc phổ biến các thông tin bảo mật tích cực là rất quan trọng. Thường sẽ có một kênh tin tưởng là nguồn của các thông tin bảo mật (vd .g CERT, SecurityFocus, Secunia and VUPEN). Các nguồn này phân tích và đánh giá rủi ro đảm bảo chất lượng của các thông tin này. Việc phân tích phải bao gồm đầy đủ các chi tiết để cho phép một người dùng có liên quan với phần mềm có thể đánh giá được rủi ro cá nhận của họ hoặc ngay lập tức có các hành động để bảo vệ tài sản của họ.

Ngày công bố lỗ hổng

Thời gian của việc đưa ra một lỗ hổng được định nghĩa khác nhau trong tập đoàn bảo mật và lĩnh vực. Nó thường được coi như là một loại công bố công cộng của các thông tin bảo mật bởi một bên. Thông thường , thông tin lỗ hổng được đưa ra trên một danh sách thư tín hoặc được xuất bản trên một website bảo mật và trong một tư vấn an ninh sau đó.

Thời gian của công bố là ngày đầu tiên lỗ hổng bảo mật được miêu tả trên một

kênh ,nơi được công bố thông tin về lỗ hổng và có đầy đủ các yêu cầu sau :

Thông tin miễn phí và công cộng .

Thông tin lỗ hổng được đưa ra bởi một nguồn hoặc một kênh độc lập được tin cậy

Lỗ hổng chịu phân tích bởi các chuyên gia như thông tin đánh giá mức độ rủi ro

được bao gồm trên công bố.

Nhận ra và gỡ bỏ các lỗ hổng

11

Nhiều các công cụ phần mềm tồn tại để giúp đỡ trong việc khám phá (và thỉnh thoảng là gỡ bỏ) của các lỗ hổng trong hệ thống hệ điều hành. Mặc dù các công cụ này

có thể cung cấp một cái nhìn khái quát tốt về các lỗ hổng, chúng không thể thay thế những đánh giá của con người .

Các lỗ hổng được tìm thấy chủ yếu trong các hệ điều hành bao gồm windows, mac os, linux, các dạng Uni, OpenVMS và các loại khác. Chi có một cách để giảm bớt cơ hội của các lỗ hổng được sử dụng với một hệ thống là sự thận trọng cao độ, bao gồm việc duy trì hệ thống cẩn thận (cập nhật các bản vá ), triển khai tốt nhât (sử dụng tường lửa và điều khiển truy cập) và kiểm tra (trong suốt quá trình phát triển và vòng đời triển khai)

2.1.4. Virus, Sâu và Trojan [8]

Vi rút

Virus là những phần mềm máy tính có khả năng lây nhiễm và phá hủy các phần mềm thậm chí phần cứng máy tính. Các virus không thể lây lan nếu không thông qua phương tiện chia sẻ như trao đổi tệp hoặc thư điện tử.

Sâu

Sâu có khả năng lây lan từ máy này sang máy khác giống như virus, nhưng chúng khác virus ở chỗ chúng có thể tự lây lan mà không cần có sự điều khiển của người phát tán. Chúng có thể nắm quyền điều khiển máy tính, tự động trao đổi file. Bởi vì nó có khả năng sao chép với số lượng rất lớn, sâu có thể làm cho những gói tin lưu thông trong mạng tắc nghẽn, làm chậm tất cả các hoạt động liên quan tới internet. Chúng còn làm cho ta trở thành những kẻ tấn công bằng cách gửi đính kèm chính chúng trong những tệp tin gửi cho danh sách bạn bè hay đồng nghiệp. Sâu cũng có thể là một công cụ được sử dụng bởi những kẻ thâm nhập bằng cách

chiếm quyền hệ thống và tạo cổng sau cho kẻ thâm nhập truy cập vào.

Trojan

12

Trojan là các chương trình máy tính trông có vẻ như là một phần mềm hữu ích, nhưng thực ra chúng làm tổn thương bảo mật và gây ra rất nhiều phá hủy. Chúng chiếm quyền điều khiển máy bị nhiễm và cho phép người ngoài truy cập trái pháp tới, hoặc chúng có thể tự động download các lệnh thực thi từ một địa chỉ ngoài. Trojan thường đi kèm với keylogger, một phần mềm lưu lại các thao tác bàn phím của người dùng và gửi cho kẻ điều khiển hoặc phần mềm theo dõi màn hình

máy tính. Việc có được những mật khẩu hợp lệ làm cho kẻ tấn công chiếm được toàn quyền với tài khoản của người dùng.

Cũng có những thuật ngữ khác về những mối đe dọa an ninh mạng, tuy nhiên

chúng chỉ là phương tiện dẫn đường cho những hoạt động kể trên.

2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG [1]

Thâm nhập vào một hệ thống không phải là một công việc đơn giản nhưng cũng không quá khó khăn cho những người có kiến thức về công nghệ thông tin nói chung. Để đạt được mục đích, các hacker thường thực hiện một tấn công thâm nhập theo những bước sau :

• FootPrinting – In dấu

• Scanning – Dò quét

• Enumeration – Điểm danh

• Gaining Access – Có quyền truy cập

• Escalating Privileges – nâng cấp quyền

• Pilfering – Khai thác hệ thống

• Covering Tracks – Xóa dấu vết

• Creating "Back Doors" – Tạo cổng hậu

• DoS – Tấn công từ chối dịch vụ

13

Chú ý rằng những bước trên hoàn toàn linh động khi áp dụng vào thực tế. Các hành động khi tấn công thâm nhập có thể là đan xen nhau thậm chí một hành động được thực hiện lặp lại nhiều lần hay bỏ qua không cần thực hiện. Tuy nhiên cũng có thể sắp xếp thứ tự các hành động đó theo trình tự như hình dưới đây :

Hình 2 - Minh họa trình tự tấn công [12]

Bây giờ ta sẽ đề cập chi tiết đến từng hành động trong một tấn công thâm nhập của hacker. Như đã nói ở trên, trước khi một tấn công thực sự được thực hiện, hacker cần phải chuẩn bị đầy đủ các thông tin về đối tượng qua 3 bước : footprinting (in dấu), scanning (dò quét), enumaration (điểm danh). Cũng như khi một nhóm cướp muốn cướp một nhà băng, chúng không chỉ cứ đến nhà băng và yêu cầu tiền mà chúng cần tìm hiểu rất nhiều thông tin về nhà băng đó như tuyến đường xe chở tiền đi, thời gian giao tiền, các camera giám sát, lộ trình tẩu thoát và nhiều thứ khác cần thiết. Bước đầu tiên trong 3 bước thu thập thông tin là in dấu.

In dấu

In dấu là chỉ việc sử dụng công cụ và kĩ thuật để thu thập các thông tin cơ bản của đối tượng cần tấn công. Các thông tin có thể lấy được qua nhiều đường như Internet, Intranet, Remote access, extranet. Ví dụ như từ google, chúng ta có thể lấy ra thông tin về tên miền của đối tượng, số địa chỉ IP đã cấp phát hay cả những thông tin cá nhân của nhân viên trong một công ty đối tượng. Những thông tin tưởng chừng đơn giản này lại là những thông tin không thể thiếu được khi bắt đầu một tấn công thâm nhập vào hệ thống của đối tượng. Các thông tin cá nhân về nguồn tài nguyên con người như Số điện thoại, quê, nhà, chức vụ, ngày sinh…, đôi khi chỉ với những thông tin này hacker đã có thể làm chủ hệ thống.

Chỉ có một cách để ngăn ngừa việc in dấu là bảo vệ những thông tin nhạy cảm

khỏi những nơi có thể dễ dàng truy cập đến.

Bước tiếp theo trong quá trình này là dò quét (Scanning)

14

Nếu như in dấu chỉ tìm hiểu các thông tin bên ngoài của một nhà băng thì dò quét là kiểm tra tất cả các cửa sổ hay cửa ra vào của nhà băng đó. Việc đầu tiên trong đó là xác định xem hệ thống có “sống” hay không. Việc này có thể được thực hiện bằng các

công cụ như ping (hay fping hoặc nmap). Tiếp đó là xác định xem có những dịch vụ tcp hay udp nào đang hoạt động trên các máy đối tượng. Có rất nhiều cách thức cũng như công cụ để thực hiện việc này ngày nay. Bước cuối cùng là xác định hệ điều hành trên các máy đó, việc này rất quan trọng trong việc tấn công thâm nhập qua các lỗ hổng bảo mật.

Bước cuối cùng trong các bước tìm kiếm thông tin là enumeration (điểm danh). Hành động này yêu cầu phải kết nối và truy vấn trực tiếp tới máy đối tượng nên nó khá dễ bị lưu vết và cảnh báo. Cách thức cơ bản nhất của của điểm danh là lấy banner (banner grabbing). Thông tin này sẽ cho biết các dịch vụ đang sử dụng và phiên bản của các dịch vụ đó. Ví dụ :

C:\>telnet www.abc.com 80

HTTP/1.0 400 Bad Request

Server: Netscape-Commerce/1.12

Your browser sent a non-HTTP compliant message.

Có nhiều cổng có thể sử dụng cho việc lấy thông tin này như cổng 80 HTTP,

cổng 25 SMTP, cổng 21 FTP.

Một trong những dịch vụ bị khai thác nhiều nhất từ xưa đến nay là dịch vụ DNS với DNS Zone Transfers. Nếu máy chủ của đối tượng đang chạy dịch vụ DNS của Microsoft thì kẻ tấn công có thể thu thập được một lượng thông tin lớn, thậm chí cả các thông tin ẩn về hệ thống mạng của đối tượng, ta có thể thấy trong ví dụ sau :

C:\>nslookup

Default Server: dns01.wayne.net

Address: 10.10.10.1

>

> set type=any

> ls -d wayne.net > dns.wayne.net

> exit

> server 10.10.10.2

Default Server: dns02.wayne.net

Address: 10.10.10.2 >

15

ls -d wayne.net

[dns1.wayne.net] wayne.net. SOA dns04.wayne.net wayne.dns04.wayne.net. (3301 10800 3600

604800 86400)

wayne.net. NS dns04.wayne.net

wayne.net. NS dns02.wayne.net

wayne.net. NS dns01.wayne.net

wayne.net. NS dns05.wayne.net

wayne.net. MX 10 email.wayne.net

rsmithpc TXT "smith, robert payments 214-389-xxxx"

rsmithpc A 10.10.10.21

wmaplespc TXT "Waynes PC"

wmaplespc A 10.10.10.10

wayne CNAME wmaplespc.wayne.net

Ngoài ra, còn một số các dịch vụ khác có thể được khai thác để biết thêm thông tin như MSRPC, NetBIOS, SNMP, …. Có thể xem thêm chi tiết về cách khai thác các dịch vụ này trong cuốn Hacking Exposed ở phần tài liệu tham khảo bên dưới.

Sau khi đã lấy được đầy đủ thông tin về đối tượng, các hacker có thể chọn lựa các phương thức tấn công, thâm nhập khác nhau. Đầu tiên, hacker có thể chọn DoS hoặc DDoS đối tượng. Các cách thức tấn công từ chối dịch vụ này không làm hacker chiếm được quyền điều khiển hệ thống tuy nhiên nó có thể làm ngưng hệ thống tường lửa và các dịch vụ an ninh hay làm phân tán sự chú ý của người quản trị hệ thống mạng qua đó tạo điều kiện cho việc thâm nhập dễ dàng hơn.

Nếu lượng thông tin thu được trong các bước trên đủ để thực hiện một tấn công nhằm vào hệ thống thì hacker không cần phải tấn công từ chối dịch vụ mà sẽ khai thác các lỗ hổng bảo mật hoặc phã mã để có một số tài khoản quản trị thông qua nghe trộm, phishing sử dụng keylogger, worm và trojan. Cũng có một số trường hợp, khi hacker không tìm ra được các điểm yếu của hệ thống, họ tấn công vào điểm yếu con người. Ví dụ như họ giả mạo đối tác kinh doanh để yêu cầu tài khoản hợp lệ, hoặc họ cũng có thể gọi điện cho nhân viên quản lý và giả vờ bị mất tài khoản. Tất nhiên việc có được đầy đủ các thông tin về con người là rất cần thiết.

Nếu hacker chỉ có được những tài khoản quản trị ở mức thấp thì họ sẽ tìm cách nâng cấp quyền quản trị của tài khoản đó bằng cách lợi dụng sự tín nhiệm của tài khoản đó.

16

Nếu sau bước này, hacker có được toàn quyền hệ thống thì việc cuối cùng mà họ làm là xóa dấu vết và đặt backdoor để thâm nhập lần sau dễ dàng hơn. Công việc xóa

dấu vết chỉ đơn giản là xóa các log của hệ thống giám sát hay của hệ điều hành máy thâm nhập, mức độ xóa dấu vết tùy thuộc vào mục đích tấn công của hacker. Một số hacker muốn nổi danh thậm chí còn cố ý để lại dấu vết, ngoài ra có những hacker ăn cắp các tư liệu mật, họ cũng muốn để lại thông điệp tống tiền hay tương tự để người quản trị biết, tuy nhiên hầu như tất cả đều phải xóa những thông tin lộ ra họ là ai. Còn backdoor được sử dụng cũng có nhiều mức độ khác nhau, các hacker có thể tạo một worm hay trojan trong hệ thống, có thể cài đặt một phần mềm keylogger hay đơn giản chỉ tạo một tài khoản ẩn.

2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP

2.3.1. Thu thập thông tin

Sau khi thu thập đầy đủ thông tin về hệ thống đối tượng, có nhiều phương pháp có thể sử dụng trong thâm nhập, trong khóa luận sẽ trình bày 3 mô phỏng tấn công và thâm nhập. Những phương pháp thâm nhập và tấn công khác hoặc không thể mô phỏng (nhìn trộm, nghe trộm hay phá mã tài khoản người dùng) hoặc không còn có nguy cơ xảy ra (chiếm đoạt những phiên dịch vụ không mã hóa). Ngoài ra do không có đủ lượng máy để mô phỏng tấn công DDoS nên trong khóa luận sẽ chỉ nêu phương thức tấn công trên lý thuyết và mô phỏng kiểu tấn công DoS chứ không mô phỏng tấn công DDoS.

2.3.2. Tấn công từ chối dịch vụ

Một trong số những tấn công phổ biến nhất của DoS là SYN Flood. Mô phỏng sử

dụng công cụ DoSHTTP của socketsoft.com.

17

Hình 3 - Giao diện DoSHTTP

Công cụ có giao diện sử dụng rất đơn giản, chỉ cần thiết lập số kết nối đồng thời, xác định mục tiêu và tấn công. Chỉ cần vài máy cùng tiến hành tấn công đồng thời là có thể đánh sập một web server cỡ nhỏ.

Một tấn công nữa được mô phỏng là smurf attack. Công cụ sử dụng là smurf2k. Tương tự như trên, giao diện chương trình cũng rất đơn giản, chỉ việc xác định mục tiêu, kích cỡ gói tin và tiến hành tấn công.

Hình 4 - Giao diện smurf attack

2.3.3. Thâm nhập qua Trojan

Mô phỏng sử dụng Trojan Beast. Trojan này lây nhiễm trên hệ điều hành windows và sử dụng cơ chế client server. Phần server được nhúng vào những phần mềm vô hại và được cài đặt trên máy nạn nhân qua sai sót của người dùng. Phần này sẽ mở một cổng 6666 cho máy client kết nối tới. Trojan này còn có tác dụng vô hiệu hóa phần mềm tường lửa và chống virus đồng thời cài đặt một keylogger để lấy thông tin về mật khẩu của người dùng qua đó hacker có thể truy cập trực tiếp đến máy nạn nhân.

18

Hình 5 - Giao diện client trojan beast

Đây là màn hình xây dựng trojan (nhúng vào các file chạy, đưa trojan lên

webserver).

Sau khi xây dựng trojan và xác định có máy bị nhiễm (có mail gửi về nếu máy đó đã bị nhiễm), ta sử dụng chương trình client này để kết nối tới máy đó qua cổng 6666. Nếu tài khoản bị nhiễm là tài khoản admin thì ta đã có toàn quyền sử dụng với máy đó.

2.3.4. Thâm nhập qua lỗ hổng bảo mật [5]

Đầu tiên, mô phỏng sử dụng công cụ retina network scanner để dò lỗ hổng bảo mật một trên một máy Windows server 2003 sp2. Kết quả cho thấy máy này có một lỗ hổng nghiêm trọng chưa được vá là lỗi RPC DCOM.

Hình 6 - Lỗi trong dịch vụ RPC

19

Chi tiết về lỗi này như sau [7]:

Windows cung cấp khả năng sử dụng RPC để thực thi các ứng dụng phân tán. Microsoft RPC bao gồm các thư viện và các dịch vụ cho phép các ứng dụng phân tán hoạt động được trong môi trường Windows. Các ứng dụng phân tán chính bao gồm nhiều tiến trình thực thi với nhiệm vụ xác định nào đó. Các tiến trình này có thể chạy trên một hay nhiều máy tính.

Microsoft RPC sử dụng name service provider để định vị Servers trên mạng. Microsoft RPC name service provider phải đi liền với Microsoft RPC name service interface (NIS). NIS bao bao gồm các hàm API cho phép truy cập nhiều thực thể trong cùng một name service database (name service database chứa các thực thể, nhóm các thực thể, lịch sử các thực thể trên Server). Khi cài đặt Windows, Microsoft Locator tự động được chọn như là name service provider. Nó là name service provider tối ưu nhất trên môi trường mạng Windows.

Microsoft dễ bị tràn bộ đệm trong giao diện Distributed Component Object Model (DCOM) của dịch vụ RPC (Remote Procedure Call). Bằng cách gửi một thông điệp xấu tới dịch vụ RPC, một kẻ tấn công từ xa có thể làm tràn một bộ đệm và thực thi một đoạn mã tùy ý trên hệ thống bới đặc quyền Local System. Với đoạn mã này, kẻ tấn công có thể toàn quyền xử lý với máy mục tiêu.

Bước tiếp theo ta sử dụng phần mềm nguồn mở metasploit để khai thác lỗ hổng

này. Vào giao diện chương trình, chọn lỗ hổng cần khai thác.

20

Hình 7 - Giao diện metasploit

Tiếp đó chọn hành động cần thực hiện khi khai thác, chọn đối tượng và tấn công.

Hình 8 - Giao diện metasploit (2)

21

Các hành động thực hiện được khi khai thác lỗ hổng này là tạo một giao diện dòng lệnh với quyền quản trị administrator trên máy nạn nhân, tạo một tài khoản với quyền quản trị, … Khi lỗ hổng được khai thác, phía bên máy nạn nhân sẽ xuất hiện một thông báo khởi động lại dịch vụ RPC.

CHƯƠNG 3. THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM

NHẬP

3.1. CÁC KHÁI NIỆM CƠ BẢN [2]

Để hiểu và nắm vững phương pháp phát hiện và ngăn chặn tấn công, thâm nhập, một hệ thống kiến thức cơ sở về hệ thống IDS/IPS là cần thiết. Dưới đây là các thuật ngữ sử dụng trong công nghệ ngăn chặn thâm nhập

Bảng 1 – Thuật ngữ IDS/IPS

Terminology Description

Inline mode

Kiểm tra lưu thông mạng, có khả năng ngăn chặn thâm nhập trước khi nó đến được mục tiêu.

Promiscuous mode Thụ động kiểm tra lưu thông mạng.

(passive mode)

Signature engine Một engine hỗ trợ tín hiệu chia sẻ những thuộc tính chung (tương tự như giao thức)

Meta-Event Generator Khả năng định nghĩa tín hiệu biến đổi dựa trên nhiều tín hiệu khác.

Atomic signature Một tín hiệu phát ra theo nội dung của từng gói tin.

Flow-based signature Một tín hiệu phát ra dựa trên thông tin chứa trong trình tự gói tin giữa 2 hệ thống (ví dụ như gói tin trong kết nối TCP)

Behavior-based signature Một tín hiệu phát ra khi có lưu thông bất thường từ những người dùng thông thường.

22

Anomaly-based signature Một tín hiệu phát ra khi lưu thông vượt quá cấu hình bình thường.

Bảng 1 – Thuật ngữ IDS/IPS

Terminology Description

False negative Tình huống mà hệ thống phát hiện không nhận biết được thông nhập mặc dù có một tín hiệu nhận biết được hoạt động đó.

False positive Tình huống người dùng bình thường gây ra báo động (không có hành vi đột nhập).

True negative Tình huống mà không phát sinh tín hiệu khi có lưu thông bình thường trên mạng.

True positive Tình huống báo động đúng khi có đột nhập, tấn công trên mạng.

Deep-packet inspection Giải mã các giao thức và kiểm tra toàn bộ gói tin để cho những luật dựa trên gói tin hoạt động đúng.

Event correlation Kết hợp với đa thông báo hay đa sự kiện với một tấn công đơn lẻ.

Risk rating (RR) Một đánh giá đe dọa dựa trên nhiều nhà sản xuất mà không dựa

trên tính nghiêm trọng của tấn công.

IPS/IDS Triggers

Mục đích của thiết bị IDS/IPS là nhận diện tấn công và ngăn chặn nó. Tuy nhiên không phải loại thiết bị nào cũng dùng chung một phương thức giống nhau. Có ba phương thức chính được sử dụng trong hệ thống IDS/IPS hiện tại.

Anomaly detection

Misuse detection

Protocol analysis

Chú ý :

23

Phương thức nhận biết dựa trên hành động gây ra các báo động của hệ thống IDS/IPS. Ví dụ phương thức với một hệ thống chống trộm phổ thông chính là sự kiện cửa sổ vỡ. Một IDS có thể gây ra một báo động khi có một gói tin tới một cổng xác định với một dữ liệu xác định.

Anomaly Detection (Nhận biết bất thường)

Nhận biết bất thường còn có thể gọi là nhận biết dựa trên hồ sơ. Trong nhận biết bất thường, ta xây dựng những hồ sơ xác định xem những hành vi nào là bình thường. Những hồ sơ này có khả năng tự học qua những cư xử trong quá khứ. Sau khi định nghĩa những hồ sơ bình thường này, những gì còn lại là bất thường và sẽ tạo ra báo động.

Lợi ích chính của nhận biết bất thường là những báo động tạo ra không dựa trên những tín hiệu của những dạng tấn công cụ thể mà dựa trên những hành động bất thường của nó. Bởi vậy mà hệ thống có thể phát hiện được tấn công ngay cả trước khi tấn công đó được công bố.

Misuse Detection (Nhận biết lạm dụng)

Nhận biết lạm dụng là nhận biết dựa trên những dấu hiệu, nó tạo ra thông báo khi có hoạt động với những dấu hiệu trùng khớp với những dấu hiệu đã xác định trước. Những dấu hiệu này là một tập hợp các luật bịt những lỗ hổng mà kẻ tấn công có thể lợi dụng để thâm nhập vào mạng. Những kĩ sư có kinh nghiệm có thể biết những tấn công và lỗ hổng để phát triển những luật cho mỗi tín hiệu riêng.

Một số lợi ích chính là :

Tín hiệu dựa trên những tấn công đã biết.

Dễ thiết lập những nhận biết tấn công

Hệ thống dễ hiểu

Nhận biết tấn công ngay sau khi cài đặt

Protocol Analysis (Phân tích giao thức)

Phương thức cuối cùng là phân tích giao thức. Phương thức này sẽ phân tích các hoạt động dựa trên các giao thức xác định. Nó sẽ phân tích gói tin dựa trên định nghĩa của giao thức trong RFC và các payload hay tiêu đề gói tin.

Sử dụng phân tích giao thức, những tấn công phải có được các gói tin hợp lệ và

cũng phải không chứa các tấn công trong payload hoặc tiêu đề gói tin.

IPS/IDS Monitoring Locations (Địa điểm giám sát IPS/IDS)

Có hai loại địa điểm giám sát sau :

Host-Based

Network-Based

Host-Based

24

Hệ thống phát hiện thâm nhập dựa trên máy trạm kiểm tra những hoạt động trái phép bằng cách kiểm tra thông tin ở mức máy hoặc mức hệ điều hành. Những hệ thống này thường kiểm tra những cuộc gọi hệ thống, hay những dấu vết chỉnh sửa, thông báo lỗi hệ thống …

Vì IPS/IDS dựa trên máy kiểm tra lưu thông sau khi nó đã đến máy bị tấn công.

Vậy nên nó biết chính xác máy đó có bị tấn công thành công hay không.

Network-Based

Một hệ thống phát hiện thâm nhập dựa trên mạng kiểm tra những gói tin lưu chuyển trên mạng và so sánh những lưu thông với những dấu hiệu đột nhập biết trước. Một thiết bị IPS dựa trên mạng kiểm tra lưu thông như là một thiết bị hoạt động ở tầng 2.

Lưu ý :

Để xem được toàn bộ gói tin của mạng tức là phải kiểm tra tất cả các gói tin lưu chuyển qua mạng. Thông thường, một máy chỉ kiểm tra gói tin mà có địa chỉ tới nó cùng với gói tin quảng bá. Để có khả năng thấy tất cả các gói tin của mạng, thiết bị IDS phải đặt card mạng ở hình thái promiscuous. Trong hình thái này, card mạng kiểm tra tất cả các gói tin mà không cần biết đến địa chỉ đích của nó.

Một hệ thống phát hiện thâm nhập dựa trên mạng lợi hơn một hệ thống dựa trên

máy ở những điểm sau :

Có được cái nhìn tổng quan về toàn mạng

Không phải chạy trên tất cả các máy trong mạng

Vì thiết bị dựa trên mạng có thể thấy được nhiều máy, nên nó có một cái nhìn tổng quan về tấn công với mạng. Nếu có người quét máy trong mạng, thông tin đó sẽ được cảnh báo ngay lập tức.

Một lợi ích khác của hệ thống này là nó không cần phải chạy trên mọi máy trong mạng. Thay vào đó, hệ thống dựa vào một số lượng các sensor nhất định để thu thập lưu thông mạng. Các sensor này có thể tối ưu hóa vì nó chỉ cần làm một số công việc xác định trên mạng.

3.2. THIẾT BỊ IPS PROVENTIA G200

Dựa trên công nghệ Internet Security Systems, Proventia™ G là một hệ thống ngăn chặn xâm nhập nội tuyến (IPS), nó tự động ngăn chặn các tấn công có tính nguy hại trong khi vẫn đảm bảo băng thông cho đường truyền.

Được xây dựng trên các công nghệ hàng đầu thế giới về an ninh mạng, sử dụng các chip xử lý của Intel như Intel Xeon và một hệ điều hành sử dụng nhân Linux được cứng hoá, Proventia G giúp giảm chi phí cho những phát triển, tối ưu hoá việc quản lý và bảo vệ tối đa cho hệ thống với một tốc độ cao tới 100 Mbps.

25

Khác với tường lửa, Proventia G Series kiểm tra sâu tới nội dung gói tin và ngăn chặn các tấn công đã biết cũng như chưa biết trong thời gian thực, bao gồm các tấn công từ chối dịch vụ phân tán (DDoS), BackDoors, và các lỗ hổng an ninh, giảm bớt

công việc cho người quản trị. Cùng với các thành phần bảo vệ mạng, máy chủ, máy trạm khác, Proventia G Series được quản lý tập trung bởi RealSecure SiteProtector ™. Việc quản trị tập trung bao gồm các thao tác cập nhật, thiết lập chính sách an ninh,và báo cáo giúp giảm bớt thời gian cho người quản trị.

Proventia G hoạt động với các stealth interface không có địa chỉ IP nhằm hạn chế các tấn công vào nó và nó trong suốt từ với mạng từ lớp IP.

IPS G200 là một hệ thống phát hiện thâm nhập thuộc dòng sản phẩm G (G series), đây là hệ thống IDS/IPS dựa trên mạng (network based), phân tích tấn công thâm nhập theo cơ chế mibuse detection - nhận biết các tấn công dựa trên dấu hiệu (signature) của tấn công hay thâm nhập có sẵn trong cơ sở dữ liệu của nó. Cơ sở dữ liệu này được cập nhật thường xuyên bởi những đội ngũ nghiên cứu an ninh mạng tiếng tăm X-Force. Ngoài ra thiết bị còn cho phép thiết lập những luật tường lửa và luật kết nối để hỗ trợ cho việc ngăn chặn các tấn công thâm nhập.

Thiết bị có cơ chế cho phép người quản trị tự tạo các dấu hiệu nhận biết tấn công thâm nhập riêng, nhờ vào cơ chế đó mà nó có thể phát hiện và ngăn chặn những tấn công ngay cả trước khi tấn công đó được biết đến rộng rãi. Thiết bị hoạt động ở 3 hình thái sau:

• inline protection • inline simulation • passive monitoring

Ba hình thái này được chọn ngay khi cài đặt hoặc có thể được cấu hình sau đó Inline Protection Hình thái này cho phép ta kết hợp thiết bị vào hạ tầng mạng. Trong hình thái này, ngoài những luật ngăn chặn và cách ly bình thường, tất cả các luật của firewall cùng với tất cả các luật an ninh của thiết bị đều được bật.

Inline Simulation Hình thái này cho phép ta giám sát mạng mà không ảnh hưởng đến lưu thông. Ngoài những luật ngăn chặn phổ thông, nó còn có thể cách ly đối tượng. Không loại bỏ gói tin khi có phản ứng và thiết bị không thiết lập lại kết nối TCP. Hình thái này sử dụng cho việc thử nghiệm những luật an ninh mà không ảnh hưởng đến lưu thông mạng.

26

Passive Monitoring Hình thái này hoạt động như hệ thống phát hiện xâm nhập (IDS), nó giám sát mạng mà không điều khiển. Thường nó phản ứng với thâm nhập bằng những luật ngăn chặn phổ thông. Nếu thiết bị gặp lỗi, nó sẽ gửi một yêu cầu thiết lập lại để ngăn chặn kết nối TCP. Hình thái này sử dụng khi cần xem xét loại hình bảo vệ nào mà hệ thống mạng hiện tại cần.

3.3. SITEPROTECTOR SYSTEM [2]

3.3.1. SiteProtector System là gì?

SiteProtector System là một hệ thống quản lý tập trung cung cấp khả năng ra lệnh,

điều khiển và giám sát cho tất cả các sản phẩm IBM ISS.

Các thành phần của hệ thống SiteProtector

Hệ thống SiteProtector gồm có nhiều thành phần khác nhau, mỗi thành phần có đều có chức năng riêng. Giao diện hệ thống SiteProtector xem các thành phần như là các agent.

• Agent Manager (Desktop Controller): cung cấp khả năng cấu hình, cập nhật và quản lý các thành phần SiteProtector và các sản phẩm IBM ISS khác như:

o X-Press Update Server o Desktop Protection agents o Proventia G appliances o Proventia Network IPS o Proventia Network MFS

• Console: giao diện để chạy tất cả các tác vụ hệ thống SiteProtector, gồm:

o Cấu hình, cập nhật và quản lý hệ thống SiteProtector. o Cấu hình, cập nhật và quản lý các sản phẩm IBM ISS khác như các agent Desktop Protector, máy quét, thiết bị và bộ cảm ứng.

o Tạo và quản lý các chính sách an ninh và các phản ứng. o Thiết lập, tổ chức và quản lý nhóm cho các tài nguyên mà hệ thống SiteProtector giám sát.

o Thiết lập người dùng và phân quyền. o Giám sát các vấn đề an ninh và các tổn hại đến mạng. o Chạy và lập thời gian biểu các công việc như scan, cập nhật sản phẩm, và bảo trì cơ sở dữ liệu.

o Phát sinh các báo cáo o Phát sinh các ticket.

• Databridge: cho phép hệ thống SiteProtector thu thập và hiển thị các dữ liệu bảo mật từ các sản phẩm IBM ISS cũ như System Scanner hoặc từ hệ thống thứ ba.

27

• Deployment Manager: một ứng dụng chạy trên web được sử dụng để cài đặt hệ thống SiteProtector và các sản phẩm ISS khác từ một vị trí trung tâm trên mạng.

• Event Archiver: lưu trữ các sự kiện bảo mật tại một thiết bị từ xa.

• Event Collector: tập hợp dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS và gửi chúng tới Site Database để xử lý. Sau khi xử lý, dữ liệu có thể được hiển thị trong SiteProtector Console. Event Collector cũng gửi dữ liệu chưa được xử lý đến EventViewer.

• Event Viewer: cung cấp một giao diện khác để hiển thị các sự kiện bảo mật. Event Viewer nhận các sự kiện chưa xử lý trực tiếp từ Event Collector. Giao diện này được sử dụng chủ yếu để sửa lỗi. ISS khuyến cáo sử dụng Console cho các tác vụ quản lý an ninh.

• Site Databasse: lưu trữ các thông tin sau

o Dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS o Thống kê các sự kiện bảo mật o Thông tin nhóm o Dữ liệu điều khiển và lệnh o Trạng thái XPU của tất cả các agent o Tài khoản người dùng hệ thống SiteProtector và phân quyền o Các ticket o Tùy chỉnh hiển thị, báo cáo và các thiết lập khác.

• SiteProtector Application Server : làm cho giao tiếp giữa SiteProtector Console và các agent khác trở lên dễ dàng hơn. Application Server giúp cho nhiều Console có thể cùng thực hiện các chức năng sau:

o Giao tiếp với SiteProtector Database o Giám sát và quản lý cùng một tập các Event Collection và agent

• Chú ý: Application Server chứa các Sensor Controller và X-Press Update Server. Ba thành phần này cùng được cài đặt tự động trên cùng một máy tính. Ba thành phần này được tích hợp toàn bộ và không thể tách rời.

• Sensor Controller: giúp các lệnh và điều khiển giữa Console và các agent khác trở lên dễ dàng.

• X-Press Update Server: công cụ chính để cập nhật hệ thống SiteProtector và các sản phẩm ISS khác cùng làm việc. Nó thực hiện các việc sau:

o Kết nối tới trung tâm download ISS o Download các bản cập nhật. o Cung cấp cập nhật cho cả hệ thống SiteProtector phân tán.

28

• Web Console: giao diện web cho phép truy cập tới hệ thống SiteProtector được giới hạn. Web Console được sử dụng chủ yếu để giám sát tài nguyên và các sự kiện bảo mật của hệ thống.

3.3.2. Quá trình thiết lập hệ thống SiteProtector

Các giai đoạn thiết lập

• Cấu hình và cập nhật hệ thống:

o Cấu hình các thành phần. o Cập nhật các thành phần. o Thiết lập tài khoản và phân quyền.

• Thiết lập nhóm:

o Lập kế hoạch tổ chức tài nguyên mạng và các agent thành các nhóm. o Tạo các nhóm và nhóm con. o Cấu hình các thuộc tính cho các nhóm.

• Cấu hình agent:

o Cài đặt, cập nhật và cấu hình các sản phẩm ISS khác mà ta muốn sử dụng với SiteProtector như các thiết bị, máy quét…

o Kiểm tra việc đăng ký và cấu hình các sản phẩm để làm việc được với hệ thống SiteProtector.

• Cấu hình chính sách:

o Cấu hình chính sách an ninh và phản ứng cho các agent. o Cấu hình các phản ứng chính. o Cấu hình ticket.

• Thiết lập tài nguyên:

o Thêm các phân công tài nguyên quan trọng đối với hệ thống SiteProtector mà sẽ được giám sát bởi các agent.

o Điều chỉnh nhóm phân công tài nguyên.

• Sau khi thiết lập xong hệ thống SiteProtector, ta có thể cài đặt và cấu hình thêm các module.

Cấu hình giao diện tương tác

Thiết lập tùy chọn chung

Chúng ta có thể thiết lập các tùy chọn chung trong hệ thống SiteProtector để điều

khiển hành vi của giao diện, như hiển thị mặc định khi khởi động, thời gian…

Để thiết lập các tùy chọn chung, trong giao diện tương tác chọn Tools -> Options.

Trong cửa sổ Options có chứa các loại tùy chọn:

29

1. General

Chứa các tùy chọn khởi động, tùy chọn thời gian…

Dưới General là tab Table có các tùy chọn hiển thị bảng.

2. Logging

Điều khiển cách thức SiteProtector kiểm soát việc ghi log.

3. Documentation

Chọn lựa nguồn tài liệu tham khảo.

4. Browser

Tùy chọn cho trình duyệt tích hợp trên SiteProtector.

5. Global Summary

Chọn nội dung sẽ hiển thị sau khi khởi động giao diện (tương tự như homepage).

6. Notifications

Sử dụng để chỉ định loại và mức độ của thông báo hiển thị trên giao diện và cấu hình cảnh báo bằng email cho các thông báo mức cao và nguy hiểm.

7. Report

Sử dụng để chèn logo công ty vào báo cáo.

8. Authentication

Sử dụng khi Site yêu cầu chứng nhận người dùng để đăng nhập vào hệ thông SiteProtector. Chứng nhận có thể chứa sẵn trong Windows hoặc từ một smart card.

9. Summary

Chọn nội dung được hiển thị trong mục summary

10. Asset

Chứa một số tùy chọn về hiển thị của mục Asset

11. Ticket

Thay đổi hiển thị mặc định của mục Ticket

12. Agent

Thay đổi hiển thị mặc định của mục Agent.

13. Analysis

Chọn nội dung để hiển thị trong mục Analysis

30

SiteProtector được sử dụng trong khóa luận này chỉ với mục đích điều khiển và cấu hình thiết bị IPS một cách dễ dàng hơn. Tuy nhiên trong tương lai, các thiết bị giám

sát mạng được nâng cấp về số lượng và chất lượng thì siteProtector sẽ trở thành hệ thống không thể thiếu trong việc đảm bảo an ninh cho hệ thống mạng đại học quốc gia.

3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS [5]

3.4.1. Cài đặt

Hệ điều hành sử dụng trong IPS Proventia G200 là một hệ điều hành riêng của IBM dựa trên Linux, phiên bản G-Series.1.7_2008.1105_15.57.25. Về cơ bản cài đặt hệ điều hành này cũng giống như cài đặt một hệ điều hành Linux thông thường.

Trong khi cài đặt, hệ điều hành sẽ yêu cầu nhập địa chỉ mạng cho cổng manager

của IPS.

Sau khi cài đặt hệ điều hành, các cấu hình cơ bản của thiết bị như ngày giờ, tên thiết bị, tên miền hay địa chỉ IP của thiết bị được cấu hình trực tiếp trong giao diện dòng lệnh của thiết bị. Giao diện web được truy cập thông qua địa chỉ vừa đặt. Cấu hình các luật tường lửa và sự kiện an ninh, phản hồi được thiết lập tại giao diện này. Một công việc quan trọng khác trong giao diện web này là đăng kí địa chỉ máy cài đặt phần mềm quản lý SiteProtector với IPS.

Sử dụng SiteProtector ta có thể điều khiển và cấu hình IPS một cách dễ dàng hơn. Ngoài ra khi sử dụng phần mềm này, ta có thể đặt thêm signature để nhận biết dễ dàng hơn các tấn công và thâm nhập.

3.4.2. Cấu hình hình thái hoạt động

Thiết bị IPS có 3 hình thái hoạt động như đã nói ở trên :

• passive monitoring

inline simulation •

inline protection •

Thiết bị yêu cầu chọn một trong 3 hình thái này khi mới cài đặt phần mềm cho

thiết bị.

Chú ý : cấu hình tắc nghẽn mạng, những đại lý không phản hồi và những tùy chọn cập nhật đại lý chỉ có ở trong hình thái inline protection. Chúng không được sử dụng trong hình thái passive.

Có thể chọn lại hình thái hoạt động đã sử dụng khi cài đặt thiết bị bằng cách sau.

31

1. Thiết lập một giao diện cấu hình nội bộ (cổng console) và đăng nhập vào.

2. Trong thực đơn cấu hình, chọn Agent Mode và ấn ENTER. Màn hình cấu hình

hình thái sẽ xuất hiện.

3. Chọn hình thái hoạt động bằng cách bấm phím SPACE BAR. Những hình thái

có thể chọn là :

• Inline Protection

• Inline Simulation

• Passive Monitoring

4. Ấn ENTER.

Màn hình cấu hình hình thái sẽ xuất hiện trở lại.

Chúng ta cũng có thể cấu hình các hình thái hoạt động trong site protector. Để

thay đổi hình thái, làm theo các bước sau đây :

1. Trong SiteProtector Site Manager, chọn thiết bị.

2. Trong cửa sổ Inline Appliance Properties, chọn thẻ General.

3. Trong vùng Inline Appliance Mode, chọn hình thái từ danh sách.

4. Nhấn OK.

3.4.3. Cấu hình sự kiện an ninh

Trang security event liệt kê hàng trăm sự kiện tấn công và bảo mật. Một sự kiện tấn công và bảo mật là các lưu lượng mạng mang nội dung tấn công hoặc một hành động đáng ngờ. Các sự kiện này được xảy ra khi mà lưu lượng mạng trùng với một trong các sự kiện trong chính sách bảo mật được kích hoạt.

Chú ý là tất cả các sự kiện đều được liệt kê dưới miền bảo mật toàn cục. Thiết bị luôn luôn sử dụng một chính sách bảo mật toàn cục, điều này có nghĩa là nó sử dụng các sử kiện bảo mật theo cùng một kiểu cho tất cả các vùng của mạng. Nên cấu hình các sự kiện ở cấp độ toàn cục. Nếu muốn cấu hình các chính sách bảo mật cho một segment đặc biệt trên mạng, cần tạo ra các protection domain cho mỗi segment

Để thêm các sự kiện bảo mật :

1. Chọn Security Events.

2. Trên tab Security Events, click Add.

3. Hoàn thành hoặc thay đổi các thiết lập được chỉ ra sau :

• Enabled : chọn ô này để cho phép sự kiện này thành một phần của chính sách

32

bảo mật

• Protection Domain : nếu các protection domain đã được cấu hình, chọn một từ danh sách. Chỉ có thể đặt một sự kiện cho một miền vào một thời điểm , để cấu hình sự kiện này cho một miền khác , phải sao chép và đổi tên sự kiện sau đó gán nó cho miền khác .

• Chú ý : Protection domain sẽ là “Global” trong danh sách nếu không cấu hình

hoặc không sử dụng các protection domain

• Attack/Audit: Nếu tạo ra một sự kiện tùy chọn thì ô này sẽ không sử dụng.

• Nếu chỉnh sửa một sự kiện trong danh sách , vùng này sẽ hiển thị là audit hoặc

attack

• Sự kiện audit là sự kiện về tìm kiếm các thông tin trên mạng

• Sự kiện attack là sự kiện tìm kiếm để làm hỏng mạng .

• Tag Name : điền miêu tả cho sự kiện (không thể thay đổi khi chỉnh sửa)

• Severity: Chọn mức độ nghiêm trọng cho sự kiện

• Protocol : Gõ giao thức (nếu đã có thì nó sẽ ở chế độ read-only)

• Ignore Events : Chọn nếu muốn thiết bị bỏ qua khi sự kiện này xảy ra

• Display: Chọn chế độ hiển thị

• No Display: không hiển thị khi phát hiện ra sự kiện

• WithoutRaw. Ghi lại tóm tắt sự kiện

• WithRaw. Ghi lại và kết hợp với bắt gói

• Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối

TCP

• Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss

• Responses : cho phép phản hồi với các tùy chọn sau

• Email : chọn email phản hồi

• Quarantine : chọn kiểu cách ly

• SNMP . Chọn phản hồi SNMP từ danh sách

• User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa

• XPU : Chỉ cho các sự kiện đã tồn tại, hiển thị phiên bản XPU(read-only)

• Event Throttling : Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo

trong suốt khoảng này . Mặc định là 0 (không cho phép)

• Check Date : hiển thị ngày tháng mà sự kiện được tạo ra (read-only)

• Default Protection : hiển thị protection mặc định được thiết lập cho sự kiện ,

33

như “Block”(read-only)

• User Overridden : nếu tạo mới một sự kiện , mặc định ô này là custom event và

sự kiện đã sửa .

4. click Ok và lưu lại thay đổi

Hình 9 – Security Events

Chỉnh sửa nhiều sự kiện

Để chỉnh sửa nhiều sự kiện :

1. Chọn các Security Event

2. Trên tab Security Event , làm một trong các việc sau :

a. Chọn nhiều sự kiện bằng cách sử dụng [CTRL] và chọn từng sự kiện

b. Chọn một dải sự kiện bằng cách nhấn [SHIFT] và chọn từ sự kiện đầu

tiên đến sự kiện cuối cùng

3. Click Edit

Mỗi mục được chỉnh sửa sẽ thay đổi cho toàn bộ sự kiện . Có một hình chữ nhật màu xanh xuất hiện bên cạnh mỗi mục khi giá trị trong mục đó của mỗi sự kiện là khác nhau. Nếu thay đổi giá trị ở mục này , giá trị sẽ được thiết lập cho toàn bộ các sự kiện được chọn và hình chữ nhật màu xanh không xuất hiện nữa.

Ví dụ , nếu chỉnh sửa 2 sự kiện và một sự kiện cho phép block còn một sự kiện không, một hình chữ nhật xanh xuất hiện bên cạnh Block. Nếu cho phép block thì cả hai sự kiện sẽ cho phép block và hình chữ nhật xanh sẽ không xuất hiện .

4. Click OK và lưu thay đổi

34

Gán một protection domain cho nhiều sự kiện

Khi có các protection domain đã được cấu hình, có thể gán cho chúng nhiều sự

kiện bảo mật.

Để gán một protection domain cho nhiều sự kiện bảo mật :

1. Chọn các Security Event

2. Trên tab Security Event , làm một trong các việc sau :

a. Chọn nhiều sự kiện bằng cách sử dụng [CTRL] và chọn từng sự kiện

b. Chọn một dải sự kiện bằng cách nhấn [SHIFT] và chọn từ sự kiện đầu tiên đến sự kiện cuối cùng

3. Click Copy

4. Click Paste

5. Chọn tất cả các mục bằng cách đánh dấu và chọn Edit

6. Chon protection domain cần gán cho các sự kiện được chọn

7. Chỉnh sửa thêm các thiết lập khác nếu cần

8. Click Ok và lưu lại thay đổi

3.4.4. Cấu hình phản hồi

Phản hồi

Phản hồi là các hành động của thiết bị khi có một sự kiện quan trọng trong mạng hoặc một đột nhập. Công việc của chúng ta là tạo ra các phản hồi và áp dụng nó vào các sự kiện. Chúng ta có thể cấu hình các loại phản hồi sau :

Email. Gửi mail cảnh báo tới một nhóm hoặc một cá nhân.

Thông tin chứng thực. ghi lại những thông tin cần thiết vào file log.

Cách ly. Cách ly mạng với các tấn công.

SNMP. Gửi SNMP trap tới một SNMP server.

Đặc tả người dùng. Gửi cảnh báo dựa trên những yêu cầu đặc biệt người quản trị

tạo ra để giám sát mạng.

35

Một loại phản hồi mặc định của PG là phản hồi ngăn chặn (Block response), nó ngăn chặn tấn công bằng cách ngăn các gói tin và thiết lập lại kết nối TCP. Hoạt động của nó ở các hình thái khác nhau như sau :

Bảng 2 – Hình thái hoạt động

Ở hình thái... Thiết bị...

Passive Monitoring Tắt Block response

Inline Simulation Giám sát mạng và tạo cảnh báo những không ngăn các tấn công

Inline Protection Ngăn chặn tấn công bằng cách loại bỏ gói tin và thiết lập lại kết nối TCP

Một loại khác là phản hồi chối bỏ (Ignore response), được thiết lập cho các sự kiện an ninh, có tác dụng loại bỏ các gói tin phù hợp với những đặc tả trong sự kiện. Phản hồi này cũng có thể được thiết lập trong bộ lọc phản hồi (response filters) hay trong sự kiện an ninh (security events). Thông thường, phản hồi này được sử dụng khi muốn lọc những sự kiện an ninh mà không gây hại tới mạng.

Email

Để cấu hình phản hồi Email, vào các mục sau :

a. Ở Proventia Manager, chọn Responses.

b. Ở SiteProtector, chọn Response Objects.

Chọn thẻ Email.

Bấm Add

Hoàn thành cấu hình chỉ ra trong bảng sau.

Bảng 3 – Phản hồi email

Miêu tả Setting

Name Gõ tên cho phản hồi – nên có liên quan tới loại phản hồi

SMTP Host Gõ domain name hay địa chỉ IP của mail server.

(Chú ý rằng mail server phải truy cập được từ thiết bị)

Gõ địa chỉ mail, ngăn cách bởi dấu phẩy From

Gõ địa chỉ mail, ngăn cách bởi dấu phẩy To

Sensor Parameters Gõ chủ đề và nội dung thông điệp, các tham biến cho nội dung mail

36

Nhấn OK, save và thoát.

Log Evidence

Để cấu hình phản hồi lưu thông tin, vào các mục sau :

a. Ở Proventia Manager, chọn Responses.

b. Ở SiteProtector, chọn Response Objects.

Chọn thẻ Log Evidence

Ghi các thông tin cần thiết trong bảng sau

Bảng 4 – Phản hồi Log Evidence

Setting Miêu tả

Maximum Files

Gõ số file tối đa mà có thể chứa trong file log. Mặc định là 10 file, nếu quá số file tối đa thì file cũ nhất sẽ bị xóa

Maximum File Size (KB) Gõ dung lượng tối đa của file lưu trữ, mặc định là 10000

Log File Prefix Gõ tiền tố của log file, mặc định là “evidence”

Log File Suffix Gõ hậu tố, mặc định là “.enc”

Lưu lại cấu hình.

Quarantince

Phản hồi này dùng để ngăn chặn thâm nhập khi phát hiện sự kiện an ninh hay kết nối. Nó cũng có thể chặn cả worm và trojan. Phản hồi này chỉ hoạt động ở hình thái Inline Protection.

Có 3 loại cách ly trong PG

Bảng 5 – Phân loại cách ly

Đối tượng cách ly Miêu tả

Quarantine Intruder Ngăn chặn hoàn toàn những máy liên quan tới tấn công

Quarantine Trojan Cách ly những máy là nạn nhân của tấn công

Quarantine Worm Cách ly những thứ worm đang tìm kiếm ví dụ như một cổng SQL

Để cấu hình phản hồi, vào các mục sau :

a. Ở Proventia Manager, chọn Responses.

37

b. Ở SiteProtector, chọn Response Objects.

Chọn thẻ Quarantine.

Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit.

Hoàn thành thông tin ghi trong bảng sau

Bảng 6 – Phản hồi cách ly

Setting Miêu tả

Name Gõ tên cho phản hồi, nên có ý nghĩa

Victim Address Ngăn chặn gói tin dựa trên địa chỉ IP nạn nhân

Victim Port Ngăn gói tin dựa trên cổng nạn nhân

Intruder Address Ngăn chặn gói tin dựa trên địa chỉ IP kẻ đột nhập

Intruder Port Ngăn gói tin dựa trên cổng kẻ đột nhập

Ngăn gói tin dựa trên số mã ICMP ICMP Code

Ngăn gói tin dựa trên số phân loại ICMP ICMP Type

Nhấn OK và lưu lại.

SNMP

Phản hồi này lấy các thông tin từ các MIB của SNMP agent và gửi nó tới cho các

server.

Để cấu hình phản hồi, vào các mục sau :

a. Ở Proventia Manager, chọn Responses.

b. Ở SiteProtector, chọn Response Objects.

Chọn thẻ Quarantine.

Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit.

Hoàn thành thông tin ghi trong bảng sau

Bảng 7 – Phản hồi SNMP

Miêu tả Setting

Name Gõ tên cho phản hồi, nên có ý nghĩa

Manager Địa chỉ IP của SNMP server

Community Tên dùng để chứng thực với các SNMP agent

38

Nhấn OK và lưu lại.

User Specified

Chúng ta có thể sử dụng các file mã máy của linux hay file shell để làm file chạy cho phản hồi này. File chạy này cần được sao chép vào thiết bị để chạy. Mỗi sự kiện xác định chỉ chạy một file duy nhất nên nếu muốn chạy nhiều thao tác, cần đặt một tập hợp lệnh vào file đó.

Để cấu hình phản hồi, vào các mục sau :

a. Ở Proventia Manager, chọn Responses.

b. Ở SiteProtector, chọn Response Objects.

Chọn thẻ Quarantine.

Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit.

Hoàn thành thông tin ghi trong bảng sau.

Bảng 8 – Phản hồi User Specified

Miêu tả Setting

Name Gõ tên cho phản hồi, nên có ý nghĩa

Command Gõ lệnh chạy của phản hồi

Sensor Parameters Mở rộng danh sách ra và chọn add để lấy những

tham số cần dùng

Nhấn OK và lưu lại.

Cấu hình bộ lọc phản hồi

Một bộ lọc phản hồi giúp lọc các chính sách bảo mật bằng cách điều khiển số

lượng sự kiện mà thiết bị phản hồi và số sự kiện được báo cáo đến máy quản lý.

Có thể sử dụng theo các cách sau :

• Cấu hình các phản hồi cho các sự kiện mà được gây ra dựa trên việc tắt các tiêu chuẩn được chỉ ra trong bộ lọc

• Giảm bớt số lượng sự kiện bảo mật mà thiết bị báo cáo tới máy quản lý

Ví dụ , nếu có các host trên mạng mà nó an toàn và tin cậy hoặc các host muốn thiết bị bỏ qua vì bất kỳ lý do nào, có thể sử dụng bộ lọc phản hồi với phản hồi IGNORE được cho phép.

Các thuộc tính của bộ lọc sự kiện

• adapter

• virtual LAN (VLAN)

• địa chỉ IP nguồn hay đích

39

• Số hiệu cổng nguồn hoặc đích hoặc mã ICMP

Filters and other events

Khi thiết bị phát hiện ra lưu lượng trùng với một bộ lọc phản hồi, thiết bị sẽ thực thi các phản hồi được chỉ ra trong bộ lọc. Mặt khác thiết bị thực thi các sự kiện bảo mật như được chỉ ra trong bản thân sự kiện.

Bộ lọc phản hồi theo luật thứ tự. Ví dụ, nếu thêm một hay nhiều bộ lọc cho cùng một sự kiện, thiết bị thực thi các phản hồi trùng đầu tiên. Thiết bị sẽ đọc danh sách này từ trên xuống dưới.

Để thêm bộ lọc phản hồi:

1. Chọn Security Events.

2. Chọn tab Response Filters

3. Click Add.

4. Hoàn thành các thiết lập sau

Enabled: mặc định là cho phép

Protection Domain: chọn protection domain muốn thiết lập cho bộ lọc này.

Event Name: Chọn sự kiện muốn thiết lập bộ lọc phản hồi

Chỉ có thể chọn một sự kiện

Event Name Info: hiển thị thông tin về sự kiện nếu cần (chỉ đọc)

Comment: Điền miêu tả bộ lọc sự kiện

Severity: Chọn mức độ nghiêm trọng của sự kiện

Adapter: chọn cổng của thiết bị mà áp dụng bộ lọc.

Chú ý: thiết bị sẽ bỏ qua cổng không áp dụng bộ lọc

VLAN: điền dải VLAN mà bộ lọc áp dụng

Event Throttling: Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo

trong suốt khoảng này. Mặc định là 0 (không cho phép)

Ignore Events: thiết bị sẽ bỏ qua sự kiện này khi nó xuất hiện

Display: Chọn chế độ hiển thị

• No Display: không hiển thị khi phát hiện ra sự kiện

• WithoutRaw. Ghi lại tóm tắt sự kiện

• WithRaw. Ghi lại và kết hợp với bắt gói

Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối

TCP

ICMP Type/Code : điền loại hoặc mã ICMP

40

Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss

Responses : cho phép phản hồi với các tùy chọn sau

• Email : chọn email phản hồi

• Quarantine : chọn kiểu cách ly

• SNMP . Chọn phản hồi SNMP từ danh sách

• User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa

IP Address and Port : Địa chỉ IP nguồn và đích hoặc cổng muốn lọc

5. Hoàn thành các thiết lập về cổng và địa chỉ IP

Address :

Not : Loại những địa chỉ người cấu hình chỉ ra

Any: chọn tất cả các địa chỉ

Single Address : Lọc một địa chỉ và gõ địa chỉ

Address Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range .

Không sử dụng 0.0.0.0-255.255.255.255.

Network Address/# ,Network Bit (CIDR): chọn địa chỉ dựa trên subnet , điền IP

và mask. Ví dụ 128.8.27.18 / 16.

Port :

Not : Loại những cổng người cấu hình chỉ ra

Any: chọn tất cả các cổng

Single Port : Lọc một địa chỉ và gõ địa chỉ

Port Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range .

41

6.Click Ok và lưu thay đổi

Hình 10 – Response Filters

3.4.5. Cấu hình tường lửa

Thiết bị IPS Proventia G200 không những có khả năng ngăn chặn các tấn công thâm nhập qua các dấu hiệu tấn công mà nó còn có khả năng của một tường lửa thông thường, qua đó ngăn chặn một phần những gói tin không hợp lệ vào trong miền mạng cần bảo vệ.

Chúng ta có thể sử dụng các luật firewall để ngăn chặn tấn công từ các nguồn và

đích của gói tin.

Các luật của tường lửa chỉ được thực hiện khi thiết bị ở trong hình thái Inline, ở hình thái Passive, nó sẽ không làm gì, còn ở Simulation, nó sẽ miêu tả quá trình thực hiện luật những không thực hiện nó.

Chúng ta có thể tạo ra các luật cho tường lửa dựa vào những tiêu chí sau

• Adapter

• Tầm VLAN

• Giao thức (TCP, UDP, hay ICMP)

• Khoảng IP và cổng nguồn, đích

Các hành động xử lý của tường lửa khi một gói tin trùng khớp với luật đặt ra

42

như sau :

• Ignore: Cho phép gói tin trùng khớp đi qua, không có bất cứ hành động hay

phản hồi nào sau đó.

• Protect: Gói tin trùng khớp sẽ được xử lý bởi những phản hồi thông thường logging, drop (không phải là hành động drop của tường lửa thông thường),RealSecure Kills, và Dynamic Blocking. (xem thêm trong phần cấu hình phản hồi).

• Monitor: Hoạt động như một danh sách IP “trắng”, tức là bỏ qua phản hồi Dynamic Blocking, Drop, RSKill. Tuy nhiên các phản hồi khác vẫn được áp dụng. Chú ý: hành động monitor mặc định bỏ qua RSKill tuy nhiên chúng ta có thể thiết lập lại bằng cách đặt giá trị sensor.whitelistresets thành true (1).

• Drop: Chặn gói tin không cho qua tường lửa. Khác với những tường lửa thông thường, tường lửa của IPS là trong suốt nên sẽ không có địa chỉ. Những gói tin bị chặn này sẽ phản hồi lại cho bên gửi rằng là mục tiêu không trả lời. Bên gửi sẽ cố gắng gửi lại một số lần và sẽ bị time out.

• Drop and Reset: Giống như hành động drop nhưng sẽ gửi một gói tin ngắt tới

nguồn để bên nguồn ngắt kết nối nhanh hơn.

Cũng như các tường lửa khác, các luật của tường lửa trong IPS được đọc từ trên xuống dưới. Giả sử nếu một gói tin trùng khớp với luật có hành động Ignore đặt ở trên, tất cả phần còn lại của luật tường lửa sẽ không được đọc nữa. Ta có thể thấy rõ hơn qua ví dụ dưới đây :

Adapter any IP src addr any dst addr xxx.xx.x.xx tcp dst port 80

(Action = “ignore”)

adapter any ip src addr any dst addr xxx.xx.x.1-xxx.x.x.255

(Action = “drop”)

Luật đầu tiên cho phép tất cả các lưu thông mạng qua cổng 80 của máy xxx.xx.x.xx đi qua như là một lưu thông hợp lệ, tất cả các lưu thông khác bị chặn. Tuy nhiên nếu đảo ngược 2 luật trên, tất cả các lưu thông đều bị chặn, kể cả lưu thông tới web server trên máy xxx.xx.x.xx ở cổng 80.

Cần nhắc lại rằng các luật của tường lửa chỉ hoạt động khi thiết bị ở hình thái

inline.

Để tắt hay bật tính năng tường lửa

1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules.

2. Muốn bật tính năng tường lửa hay không?

Nếu có, chọn Firewall Rules check box.

Nếu không thì đến bước 3.

43

3. Muốn tắt chức năng tường lửa?

Nếu có, bỏ Firewall Rules check box.

Nếu không, kết thúc ở đây.

Để thêm một luật tường lửa

1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules.

2. Nhấn Add.

Cửa số gõ tên hiện ra.

3. Gõ tên luật rồi nhấn OK. Luật đã được thêm vào danh sách.

4. Muốn bật tính năng lưu vết cho luật này hay không?

Nếu có chọn Log.

Nếu không, bỏ tùy chọn Log.

5. Chọn một hành động cho luật tường lửa từ danh sách hành động. Những hành

động chọn được là :

“Ignore”

“Monitor”

“Protect”

“Drop”

“DropAndReset”

6. Từ thực đơn File, chọn save. Một cửa sổ xác nhận xuất hiện.

7. Nhấn OK.

8. Nhấn Close.

Để loại bỏ một luật tường lửa

1. Trong cửa sổ Policy Editor chọn thẻ Firewall Rules.

2. Chọn một luật trong thanh bên phải rồi nhấn Remove. Luật sẽ được loại bỏ.

3. Từ thực đơn File nhấn Save và xác nhận.

4. Nhấn OK.

5. Từ thực đơn File chọn Close.

Sau khi tùy chỉnh luật tường lửa, cần áp dụng luật vào thiết bị.

3.4.6. Cấu hình protection domain

44

Protection domains cho phép định nghĩa các chính sách bảo mật cho các phân khu mạng khác nhau được giám sát bởi một thiết bị duy nhất. Protection domain hoạt

động như các sensor ảo, giống như là ta có vài thiết bị giám sát mạng. Có thể định nghĩa protection domain theo port, VLAN, hoặc dải địa chỉ IP.

Để sử dụng protection domain, cần phải:

Định nghĩa và áp dụng nhiều protection domain cho thiết bị

Áp dụng nhiều chính sách cho thiết bị, cho phép điều chỉnh phản hồi đối với lưu

thông trên một hoặc nhiều mạng.

Thiết bị luôn sử dụng một chính sách bảo mật global. Có nghĩa là thiết bị luôn điều khiển các sự kiện bảo mật theo cùng một cách cho tất cả các vùng trên mạng. Thiết bị luôn dùng chính sách global để điều khiển các sự kiện nếu không định nghĩa protection domain và chỉnh sửa chính sách sự kiện phù hợp với từng domain.

Sau khi tạo protection domain cần liên kết chúng với các chính sách để có thể

điều khiển được các sự kiện xảy ra trong mạng.

Có thể tạo các chính sách cụ thể cho từng protection domain hoặc có thể dùng

chính sách global cho domain nếu thấy phù hợp.

Thêm protection domain

Vào trang protection domain. Chọn Add và làm tương tự như hình dưới.

45

Hình 11 – Protection Domain

Sau khi tạo protection domain, nó sẽ xuất hiện trong trang security event. Sau đó có thể thêm các chính sách cho protection domain đó, hoặc copy các sự kiện từ global.

Hình 12 - Protection Domain

3.4.7. Cấu hình cảnh báo

Sử dụng trang Alerts trong Proventia Manager để hiển thị và quản lý hệ thống và các thông báo liên quan đến bảo mật. Danh sách thông báo gồm các loại thông báo sau:

46

Intrusion Prevention Alert liên quan đến các nỗ lực tấn công xảy ra trên mạng.

System Alert liên quan đến thiết bị và sự hoạt động của nó.

Các biểu tượng thể hiện mức độ nghiêm trọng của thông báo

Hình 13 - Mức độ nghiêm trọng của thông báo

Để hiện thị thông báo

để hiển thị tất cả thông báo. Chọn

Chọn Notification > Alerts cũng hiển thị tất cả thông báo

Chọn Intrusion Prevention > Alerts để hiển thị chỉ các thông báo về bảo mật

Chọn System > Alerts để hiển thị thông báo hệ thống

Hình 14 - Minh họa thông báo

Có thể xem thông tin chi tiết về thông báo bằng cách nhấp chuột vào tên thông

47

báo. Các thông tin này có thể rất bổ ích cho việc tìm hiểu và khắc phục sự cố.

Có thể sử dụng bộ lọc có sẵn để dễ dàng lọc các thông báo cần quan tâm theo các

tiêu chí như Risk Level, Alert Name, Alert Type…

3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS

Khi tấn công xảy ra IPS sẽ thực hiện các hành động đã được cài đặt đồng thời gửi một thông báo về cuộc tấn công. Thông báo được hiển thị tại màn hình alert của giao diện web. Ngoài ra, thông báo có thể gửi qua mail cho người quản trị trong trường hợp cần thiết.

Chúng ta có thể đặt mức độ cho loại tấn công, các mức độ này sẽ được thể hiện bằng màu trong thông báo Alerts khi phát hiện tấn công (tam giác xanh tương ứng với mức low, ô vuông vàng tương ứng với medium, tam giác đỏ là high – xem thêm trong cấu hình cảnh báo). Ta có thể đặt các tùy chọn phản ứng khi phát hiện tấn công như block để ngăn chặn tấn công xảy ra, log để ghi lại ra một file log, email để gửi mail thông báo, quarantine để cách ly địa chỉ gây ra tấn công…

3.5.1. Ngăn chặn các hình thức thu thập thông tin

Tường lửa có thể ngăn chặn được một số hình thức thu thập thông tin như ping (để dò xem hệ thống bảo vệ có tồn tại hay không) bằng cách cấm gói tin ICMP. Có thể ngăn chặn ftp, telnet, trace route bằng cách cấm cổng. Tuy nhiên hiện nay hacker có nhiều cách thức để vượt qua những tường lửa thông thường này. Ví dụ thay vì ping, hacker có thể sử dụng phương pháp gửi gói tin tới một cổng xác định luôn mở của máy (ví dụ như cổng chạy dịch vụ Net Bios). Thay vì ftp qua cổng mặc định, hacker có thể sử dụng giao thức đó qua những cổng không thể bị cấm (ví dụ như cổng nhận dns). Với thiết bị IPS Proventia G200, tất cả những hành động này đều bị phát hiện và có thể bị ngăn chặn do thiết bị theo dõi một cách tổng quan trên toàn mạng và tra xét theo từng dấu hiệu, không chỉ khuôn dạng gói tin mà nội dung gói tin hay giao thức gửi nó cũng được kiểm tra. Do vậy hiện nay hầu như chưa có một cách thức nào để vượt qua được thiết bị này mà không bị lưu vết.

48

Hình 15 - Ngăn chặn thu thập thông tin

3.5.2. Ngăn chặn tấn công DoS

IPS Proventia G200 Security Events cài đặt sẵn khả năng phòng chống rất nhiều cách thức tấn công DoS. Để kích hoạt khả năng phòng chống một loại tấn công nào, ta chỉ cần đánh dấu vào ô textbox ở cột Enable cho các kiểu tấn công tương ứng. Chúng ta sẽ đánh dấu với tấn công SYN flood.

Chống tấn công SYN flood đã được kích hoạt.

Hình 16 – Đánh dấu cảnh báo SYNFlood

Cơ chế phát hiện và ngăn chặn tấn công SYNFlood.

Dựa trên cách thức hoạt động của tấn công SYNFlood có thể dễ dàng phát hiện các gói tin SYN mà không có gói biên nhận ACK tương ứng. Có thể khắc phục bằng cách gửi lại một gói tin RST yêu cầu khởi động lại kết nối. Kết quả là tài nguyên bị chiếm dụng sẽ được giải phóng.

Với Proventia Network IPS, dấu hiệu một cuộc tấn công SYNFlood được phát hiện bằng cách giám sát số lượng và tỉ lệ gói SYN mà một server nhận được nhưng lại không có biên nhận ACK tương ứng. Có thể điều khiển tỉ lệ này sử dụng hai tham số để định nghĩa số yêu cầu kết nối mới và thời gian timeout.

Cả tấn công SYNFlood và smurf attack (ping sweep) đều được ips phát hiện và

49

ngăn chặn như trong hình dưới đây.

Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep)

3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan

Dựa trên những lưu thông TCP mà phía client của trojan gây ra (ví dụ như yêu cầu kết nối tới cổng 6666), phía client của trojan này sẽ bị chặn và không thể gửi được các tín hiệu điều khiển tới cho phía máy bị nhiễm.

Máy kẻ tấn công có thể bị cách ly ra khỏi toàn mạng nếu đặt tùy chọn quarantine trong cấu hình IPS. Do cơ chế trong suốt của thiết bị IPS, kẻ tấn công không hề biết tại sao trojan cài bên phía máy nạn nhân không hoạt động.

Hình 18 - Ngăn chặn thâm nhập qua trojan Beast

3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật

50

Dấu hiệu của việc tấn công này là sử dụng MSRPC Remote Activation Request hoặc System Activation Request để thực hiện việc tràn bộ đệm. Tiếp đó chiếm quyền

điều khiển máy. IPS sẽ dựa vào các gói tin với các yêu cầu như trên để xác định việc tấn công vào lỗ hổng MSRPC.

Security event của IPS để chống MSRPC RemoteActive

Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo

IPS nhận dạng tấn công MSRPC RemoteActive

Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive

3.6. TRIỂN KHAI THỰC TẾ

Những công việc cần thực hiện khi triển khai hệ thống phát hiện và ngăn chặn

thâm nhập trên hệ thống mạng VNUnet

• Phân tích những yêu cầu bảo vệ dựa trên hệ thống mạng hiện tại

• Đưa ra sơ đồ triển khai.

• Cài đặt và lắp đặt thiết bị.

• Cấu hình thiết bị với những yêu cầu của hệ thống mạng.

• Kiểm tra hoạt động của hệ thống bảo vệ.

51

• Thực tế hoạt động của hệ thống.

Phân tích mô hình mạng hiện tại và đưa ra sơ đồ triển khai

Hình 21 – Mô hình mạng VNUnet

Vùng mạng bên trong VNUnet, bao gồm máy của giảng viên, máy của cán bộ trường, máy thực hành của sinh viên được bảo vệ bằng cơ chế NAT và tường lửa CheckPoint (triển khai cùng thời gian với hệ thống IDS/IPS) nên khó có khả năng bị tấn công. Hơn nữa nếu để thiết bị IPS bảo vệ tất cả các vùng mạng này thì thiết bị sẽ bị quá tải hoặc chi phí để mua thiết bị mới cũng như triển khai hệ thống sẽ lớn. Vì vậy, biện pháp tốt nhất là triển khai thiết bị IPS Proventia G200 bảo vệ vùng vành đai DMZ nơi chứa những máy chủ dịch vụ, có địa chỉ IP thật

và dễ bị tấn công phá hoại.

52

Trong thực tế, một số tấn công có thể bị chặn bằng tường lửa, đặc biệt là những tường lửa chuyên dụng như CheckPoint. Tường lửa này cũng tích hợp một hệ thống IPS hoạt động trên cơ chế anormal detection. Vì vậy, nếu thiết bị IPS Proventia G200 được đặt sau tường lửa thì khối lượng xử lý sẽ giảm.

ISP A

Router

Vùng vành đai DMZ

Internet

Firewall IPS, VPN

T.B cân bằng tải

ISP B

Firewall IPS, VPN

Router

VINAren TEIN2

CPnet

Hiện tại, mạng VNUnet có 3 đường ra Internet với 2 router hoạt động, để hoạt động cân bằng tải, ta có thể sử dụng 2 thiết bị IPS Proventia G200 đặt giữa router và DMZ theo sơ đồ sau.

Hình 22 – Sơ đồ triển khai IPS

Lắp đặt thiết bị

• Cài đặt hệ điều hành

• Đưa thiết bị lên giá

• Nối thiết bị qua cổng điều khiển với TTMT

Cài đặt hệ thống

Khi triển khai cần chú ý tới tính sẵn sàng của hệ thống mạng, phải đảm bảo hệ thống dịch vụ vẫn hoạt động ổn định trong khi triển khai. Ngoài ra, cần làm công việc backup hệ thống trước khi triển khai.

Một yếu tố khác cần tính tới khi triển khai là độ trễ của gói tin do bị kiểm tra bằng thiết bị IPS. Việc này sẽ làm tăng độ trễ của các dịch vụ cần thiết trong hệ thống mạng như web, mail, …. Vấn đề này có thể giải quyết bằng cách loại bỏ các dấu hiệu nhận biết lỗi thời, không phù hợp và không có khả năng bị khai thác. Ví dụ như hệ thống Web của VNUnet sử dụng máy chủ linux, máy chủ này không có khả năng bị tấn công theo các lỗi của hệ điều hành Windows, hoặc những lỗi đã được khắc phục từ lâu như ping of death thì cũng bỏ qua không cần xem xét nữa.

53

Tổng số dấu hiệu nhận biết trong cơ sở dữ liệu của thiết bị IPS là 2375 mục. Trong đó có 2007 dấu hiệu tấn công và 368 dấu hiệu thăm dò thông tin. Số các dấu hiệu mặc định bị chặn đã đặt sẵn là 1181 dấu hiệu tấn công và 0 dấu hiệu thăm dò.

Trong các máy dịch vụ có một máy sử dụng hệ điều hành windows server 2003, vì vậy thiết lập một miền bảo vệ riêng áp dụng tập dấu hiệu mặc định cho máy chủ này. Những máy chủ khác sử dụng tập dấu hiệu dành cho linux trong đó lược bớt những dấu hiệu tấn công và thăm dò của windows và dịch vụ chạy trên đó. Tập này gồm 1092 dấu hiệu tấn công, 0 dấu hiệu thăm dò. Các dấu hiệu thăm dò không bị chặn nhưng vẫn gây ra cảnh báo trong hệ thống. Việc thêm bớt các dấu hiệu khác có thể thực hiện sau này khi có yêu cầu thực tế.

Một vấn đề nữa khi triển khai là xem xét đến việc cảnh báo tức thời của thiết bị với người quản trị. Do người quản trị không thể xem cảnh báo liên tục vì vậy cần đặt cảnh báo theo email để phát hiện và ngăn chặn các hành động chỉ gây nên cảnh báo mà không tự động chặn một cách nhanh nhất. Việc này giúp hệ thống được bảo vệ một cách tốt hơn. Cấu hình ban đầu là tất cả các dấu hiệu thăm dò đều được cảnh báo qua email. Cùng với đó, những tấn công ở mức độ critical (nghiêm trọng) cũng cần được cảnh báo để có biện pháp xử lý lần sau. Ngoài ra, tất cả những thay đổi liên quan tới thiết bị cũng cần được thông báo qua mail để tránh khả năng có người đột nhập vào thiết bị.

Các cấu hình khác liên quan đặc biệt đến hệ thống mạng sẽ do cán bộ của TTMT

thực hiện.

54

Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT

Kiểm tra hoạt động của hệ thống

Sau khi cấu hình thiết bị theo yêu cầu xác định, backup các máy chủ dịch vụ, ta nối cáp mạng tới 2 cổng A và B của 2 thiết bị IPS (đây là 2 cổng giám sát) theo sơ đồ đã nói ở trên. Mô hình mạng sau khi kết nối thiết bị IPS và checkpoint như sau.

Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS

Sau khi lắp đặt hệ thống IPS như theo mô hình, các máy chủ dịch vụ vẫn hoạt

55

động bình thường. Các dịch vụ mạng gần như không bị ảnh hưởng gì.

Khi thử nghiệm các thăm dò đơn giản, hệ thống đều gửi mail cho người quản trị như đã cấu hình. Các tấn công đơn giản đều bị chặn bởi hai lớp bảo vệ là tường lửa CheckPoint và hệ thống IDS/IPS. Các tấn công nghiêm trọng hơn chưa được thử nghiệm do tính an toàn của hệ thống dịch vụ.

Hình 25 - Hệ thống IPS gửi mail cho người quản trị

Thực tế hoạt động của hệ thống

Sau ngày đầu tiên lắp đặt hệ thống, có tới hàng ngàn cảnh báo được sinh ra trong giao diện web của thiết bị IPS, phần nhiều trong số đó là những dò quét hệ thống (TCP port scan, ping sweep, …). Đặc biệt có một tấn công dạng critical theo dấu hiệu SQL_SSRP_Slammer_Worm. Hầu hết tất cả những cảnh báo này đều được gửi qua email tới người quản trị hệ thống.

56

Như vậy số email sinh ra trong thực tế là quá nhiều. Việc này dẫn đến việc phải thay đổi cấu hình sinh cảnh báo. Cấu hình mới sẽ chỉ cảnh báo khi có những dấu hiệu tấn công critical (nghiêm trọng), các dấu hiệu dò quét sẽ chỉ cảnh báo 6 tiếng một lần.

Hình 26 - Các dò quét và tấn công thực tế

57

CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH

HƯỚNG NGHIÊN CỨU TƯƠNG LAI

4.1. KẾT QUẢ ĐẠT ĐƯỢC

Thông qua nghiên cứu và triển khai hệ thống IDS/IPS, em đã nhận thức được tình hình an ninh mạng hiện nay và những yêu cầu cần thiết để thiết lập và duy trì một hệ thống mạng an toàn. Bằng cách tìm hiểu các tài liệu liên quan, tham khảo ý kiến các chuyên gia và thực hành, em đã nắm vững được các kiến thức cơ sở và thử nghiệm được các tấn công thâm nhập một hệ thống.

Hiểu được công nghệ thế giới sử dụng để ngăn chặn các hiểm họa an ninh mạng hiện nay, em đã cài đặt và sử dụng thành thạo một thiết bị chuyên dụng về công nghệ đó trong thời gian làm khóa luận.

Với một vấn đề khá mới, em đã xác định được những khó khăn và hướng giải quyết khi triển khai hệ thống ngăn chặn thâm nhập trên một hệ thống mạng lớn như mạng của trường đại học. Thực tế, hệ thống này đã được triển khai thử nghiệm trên mô hình mạng trường Đại học Quốc gia Hà Nội.

Nhận xét và đánh giá

Sau khi nghiên cứu tìm hiểu công nghệ phòng chống thâm nhập của ISS qua một trong những dòng thiết bị điển hình của IBM Proventia G, em nhận thấy thiết bị này có khả năng ngăn chặn được hầu hết các tấn công trong tấm hiểu biết của các hacker bình thường hiện nay.

Do hoạt động ở tầng ứng dụng và kiểm soát nội dung gói tin, thiết bị này có khả năng ngăn chặn tấn công tốt hơn nhiều so với tường lửa đơn thuần. Thiết bị này có khả năng cập nhật các dấu hiệu tấn công mới do X-Force nghiên cứu, vì vậy nó có khả năng ngăn chặn được các hình thức tấn công mới. Ngoài ra, nếu người quản trị hiểu biết sâu rộng về các cách thức tấn công và điểm yếu trong mạng thì họ có thể thiết lập các dấu hiệu riêng cho mạng của mình và mạng đó chắc chắn sẽ khó có thể bị thâm nhập trái phép.

4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI

Thông qua kết quả nghiên cứu về các nguy cơ đe dọa mạng và các điểm yếu an ninh mạng, em nhận thấy việc đảm bảo an ninh mạng ngày nay là một vấn đề cần thiết song cũng khá khó khăn.

58

Sau khi hoàn thành khóa luận, em mong muốn tiếp tục nghiên cứu chi tiết hơn về các tấn công mạng một cách có hệ thống (hoặc một cách toàn diện hơn), cũng như các biện pháp bảo đảm an ninh mạng có hiệu quả cao hơn. Ví dụ, tìm hiểu về cách thức

phát hiện ra một lỗ hổng trong một hệ thống, đồng thời nghiên cứu cách thức phòng tránh các lỗ hổng đó trước khi kẻ tấn công lợi dụng được nó.

Kết quả nghiên cứu của khoá luận này sẽ giúp định hướng các nghiên cứu sâu

59

hơn về an ninh mạng trong các môi trường và hệ thống mạng khác sau này.

PHỤ LỤC A

Báo cáo an ninh năm 2007

Tháng 9/2007, đội nghiên cứu an ninh X-Force của ISS đã nghiên cứu và phân loại được 4.256 điểm yếu an ninh. Như vậy, so với năm 2006 số lượng các điểm yếu an ninh đã tăng 25,8 % (3.384).

Trong số các hành vi lợi dụng điểm yếu an ninh thì các hành vi nhằm vượt qua tường lửa, proxy, hệ thống phát hiện xâm nhập, hệ thống quét virus... để truy cập được vào hệ thống và hành vi tấn công từ chối dịch vụ có sự thay đổi rõ nét theo từng tháng.

Hình 27 – Các hành vi khai thác điểm yếu an ninh

Các điểm yếu an ninh nghiêm trọng

60

Trong 9 tháng đầu năm 2007, X-Force đã đưa ra rất nhiều cảnh báo về các điểm yếu an ninh nghiêm trọng của các nhà cung cấp các sản phẩm như Microsoft, Apple, Adobe, VMWare... Điển hình là những điểm yếu an ninh trong các PM Internet Explorer, Micrsoft Outlook, Windows DNS Server RPC của Microsoft.

Hình 28 - Xu hướng phishing sắp tới

Các báo cáo về Spam và Phishing

61

Theo X-Force, nước Mỹ chiếm hơn 1/8 lượng spam toàn cầu, còn Tây Ban Nha chiếm tỷ lệ email phishing lớn nhất. Mỹ cũng là nước dẫn đầu về các trang web được trỏ tới từ các liên kết nằm trong spam và email phishing, chiếm tỷ lệ hơn 1/3.

Các phân tích về nội dung web Nhà cung cấp Tỷ lệ điểm yếu

Microsoft 4,2%

Apple 3,0%

Oracle 2,0%

Cisco 1,9%

Sun 1,5%

Qua việc phân tích 150 triệu trang web và hình ảnh mới mỗi tháng (hơn 6,9 tỉ trang web và hình ảnh từ năm 1999), X-Force đã phân thành 62 danh mục với hơn 80 triệu thành phần và bổ sung, cập nhật 100.000 thành phần mỗi ngày. Kết quả cho thấy hơn 10% các nội dung của web là các thông tin khiêu dâm, bạo lực, ma túy.... Mỹ lại là nước có tỷ lệ các trang web chứa các nội dung không mong muốn như bạo lực và tội phạm, khiêu dâm, tội phạm máy tính, ma túy... lớn nhất. IBM 1,3%

Mozilla 1,3%

Các báo cáo phát hiện PM độc hại (malware) XOOPS 1,2%

BEA 1,1%

Linux Kernel 0,9%

62

Trong 9 tháng đầu năm 2007, X-Force đã thu thập và đưa vào cơ sở dữ liệu phòng chống virus, chống spyware và chống các PM độc hại tổng cộng 677.65 mẫu mới. Trong số các PM độc hại, Trojan chiếm tỷ lệ lớn nhất.

PHỤ LỤC B

Báo cáo an ninh năm 2008

Theo báo cáo về các mối đe dọa bảo mật mạng (ISTR) thứ 14 của hãng Symantec năm 2008, các hoạt động tấn công mạng trên thế giới tiếp tục phát triển ở mức kỷ lục, chủ yếu nhắm tới những thông tin quan trọng từ máy tính của người dùng.

Symantec đã tạo ra hơn 1,6 triệu mẫu chữ ký về các loại mã độc mới trong năm 2008, tương đương với hơn 60% tổng số mẫu chữ ký mà Symantec đã từng tạo ra từ trước đến nay - một phản ứng đối với sự tăng trưởng mạnh về số lượng cũng như sự phong phú, đa dạng của những mối đe doạ nguy hại mới.

Bản báo cáo cũng cho thấy duyệt web vẫn là một trong những nguyên nhân chủ đạo gây ra những phát tán và lây nhiễm virus trên mạng trong năm 2008. Hacker ngày nay tận dụng ngày càng nhiều những công cụ sinh mã độc hại khác nhau để phát triển và phát tán những mối đe doạ của chúng.

Nền kinh tế ngầm ngày càng hoạt động phức tạp

Dựa trên số liệu của Bản báo cáo về nền kinh tế ngầm mới nhất, Symantec cho biết có một nền kinh tế ngầm với cơ cấu tổ chức tinh vi chuyên buôn bán những thông tin quan trọng bị đánh cắp, đặc biệt là thông tin về thẻ tín dụng và thông tin về tài khoản ngân hàng.

Nền kinh tế ngầm này đang bùng nổ, một điều minh chứng là trong khi giá thành sản phẩm ở những thị trường hợp pháp đang suy giảm thì giá thành sản phẩm ở thế giới ngầm vẫn không đổi từ năm 2007 đến cuối năm 2008.

Báo cáo cũng cho thấy những kẻ viết mã độc luôn thay đổi để chống lại những nỗ lực ngăn chặn các hành vi của chúng. Chẳng hạn như, việc đánh sập 2 hệ thống hosting mạng ma (botnet) đặt tại Mỹ đã góp phần làm giảm đáng kể các hoạt động botnet chủ động kể từ tháng 9 đến tháng 11 năm 2008; tuy nhiên, những kẻ vận hành botnet đã tìm ra những địa chỉ Web hosting thay thế và sự lây nhiễm botnet lại nở rộ, trở lại ngưỡng trước khi bị đánh sập một cách nhanh chóng.

Ứng dụng web, nguồn gốc của lỗ hổng bảo mật

Theo Symantec, những nền tảng ứng dụng Web lại thường là những nguồn gốc của những lỗ hổng bảo mật. Những sản phẩm phần mềm được xây dựng sẵn này được thiết kế nhằm giúp đơn giản hoá việc triển khai những Website mới và được sử dụng rộng rãi trên Internet. Nhiều trong số những nền tảng này không có chức năng bảo mật, và một hệ quả tất yếu là chúng tiềm ẩn rất nhiều lỗ hổng và trở nên rất dễ bị xâm hại bởi các tấn công mạng.

63

Trong số những lỗ hổng bảo mật được xác định trong năm 2008, có đến 63% là các ứng dụng web bị lây nhiễm, tăng so với con số 59% của năm 2007. Trong số

12.885 lỗ hổng về mã lệnh liên kết chéo của báo cáo năm 2008 thì chỉ có 3% (394 lỗ hổng) đã được khắc phục tại thời điểm báo cáo này được viết ra.

Báo cáo cũng chỉ ra rằng những tấn công trên Web phát sinh từ nhiều quốc gia trên thế giới mà trong đó Mỹ dẫn đầu (38%), sau đó là Trung Quốc (13%) và Ucraina (12%). Sáu trong số 10 quốc gia dẫn đầu về tấn công trên web là các nước trong khu vực Châu Âu, Trung Đông và Châu Phi, những quốc gia này có tỷ lệ tấn công trên web chiếm tới 45% so với con số toàn cầu, nhiều hơn các khu vực khác.

Lừa đảo qua mạng và nạn thư rác tiếp tục gia tăng

Báo cáo cho hay nạn lừa đảo qua mạng tiếp tục phát triển. Trong năm 2008, 55.389 máy chủ đặt website lừa đảo, tăng 66% so với con số 33.428 của năm 2007. Những vụ lừa đảo liên quan đến các dịch vụ tài chính chiếm tới 76% các vụ lừa đảo năm 2008, tăng mạnh so với con số 52% năm 2007.

64

Symantec cũng cho biết, số lượng thư rác trong thời gian trở lại đây lại tiếp tục tăng mạnh. Trong năm vừa qua, Symantec đã theo dõi sự tăng trưởng của thư rác là 192% trên toàn mạng Internet, con số này tăng từ 119.6 tỷ tin nhắn (năm 2007) lên tới 349.6 tỷ trong năm 2008. Năm 2008, các mạng botnet thực hiện việc phát tán tới khoảng 90% tất cả thư rác.

PHỤ LỤC C

Các kiểu tấn công DoS

Smurf attack là một biến thể riêng của tấn công ngập lụt trên mạng Internet công cộng. Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch đại. Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo cho toàn bộ mạng (broadcast). Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công. Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy.

Hình 29 - Minh họa smurf attack

Ping flood là tấn công bằng cách gửi tràn ngập các gói tin ICMP tới máy bị tấn công sử dụng câu lệnh ping với tham số -t. Đây là kiểu tấn công rất đơn giản nhưng đòi hỏi máy tấn công phải truy cập vào một băng thông lớn hơn băng thông của máy cần tấn công.

SYN flood lợi dụng cách thức hoạt động của kết nối TCP/IP. Khi một máy khách

bắt đầu một kết nối TCP tới máy chủ, phải trải qua quá trình bắt tay ba bước.

• Máy khách gửi một TCP SYN packet đến cổng dịch vụ của máy chủ.

• Máy chủ sẽ phản hồi lại máy khách bằng 1 SYN/ACK Packet và chờ nhận một 1 ACK packet từ phía máy khách.

65

• Máy khách phản hồi lại máy chủ bằng một ACK Packet và việc kết nối hòan tất, máy khách và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.

Hình 30 - Minh họa tấn công SYNFlood

Sau khi thực hiện xong bước hai, máy chủ phải chờ nhận gói ACK từ máy khách. Do đó nó cần phải tiêu tốn một lượng tài nguyên để thực hiện công việc này cho đến khi nhận được gói ACK hoặc hết một thời gian timeout. Tấn công SYN flood sẽ lợi dụng điều đó bằng cách gửi liên tiếp nhiều gói TCP SYN yêu cầu kết nối đến máy chủ, nhưng sau đó sẽ ko gửi trả lại gói ACK cho máy chủ. Khi số lượng yêu cầu kết nối quá nhiều, đến một lúc nào đó, máy chủ sẽ bị quá tải và không thể phục vụ các kết nối khác được nữa gây ra hiện tượng từ chối dịch vụ.

Kẻ tấn công có thể sử dụng hai phương thức để tạo nên một cuộc tấn công SYN flood. Thứ nhất là bỏ qua bước cuối cùng, tức là không gửi gói tin ACK lại máy chủ. Cách thứ hai là giả mạo địa chỉ IP nguồn trong gói SYN làm cho server gửi lại gói SYN-ACK đến sai địa chỉ, do đó sẽ không nhận được gói ACK trả lời.

Kiểu tấn công Land Attack

Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng hacker sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó.

Kiểu tấn công UDP flood

Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng. Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng.

66

Tấn công kiểu Tear Drop

67

Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin có một giá trị offset riêng và có thể truyền đi theo nhiều con đường khác nhau để tới đích. Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại như ban đầu. Lợi dụng điều này, hacker có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau gửi đến mục tiêu muốn tấn công. Kết quả là máy tính đích không thể sắp xếp được những gói tin này và dẫn tới bị treo máy vì bị "vắt kiệt" khả năng xử lý.

PHỤ LỤC D

Phân loại lỗ hổng bảo mật

Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt. Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống được chia như sau:

• Lỗ hổng loại C: các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Dinal of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp

• Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.

• Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống.

Sau đây sẽ phân tích một số lỗ hổng bảo mật thường xuất hiện trên mạng và hệ

thống Các lỗ hổng loại C:

Các lỗ hổng loại này cho phép thực hiện các cuộc tấn công DoS.

DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới.

Các dịch vụ có chứa đựng lỗ hổng cho phép thực hiện các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ hổng loại này vì bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng này.

Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và người tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống.

68

Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ yếu với

hình thức tấn công này là sử dụng dịch vụ Web. Giả sử: trên một Web Server có những trang Web trong đó có chứa các đoạn mã Java hoặc JavaScripts, làm "treo" hệ thống của người sử dụng trình duyệt Web của Netscape bằng các bước sau:

• Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape Nếu sử dụng Netscape, sẽ tạo một vòng lặp vô thời hạn, sinh ra vô số các cửa sổ, trong mỗi cửa sổ đó nối đến các Web Server khác nhau. Với một hình thức tấn công đơn giản này, có thể làm treo hệ thống. Đây cùng là một hình thức tấn công kiểu DoS. Người sử dụng trong trường hợp này chỉ có thể khởi động lại hệ thống.

• Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các hành động spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu và chuyển tiếp; một số hệ thống mail không có các xác thực khi người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch vụ mail của hệ thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm những địa chỉ không có thực dẫn đến tình trạng ngưng trệ dịch vụ. Số lượng các messages có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet.

Các lỗ hổng loại B:

Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử

dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp.

Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định.

Sau đây sẽ phân tích một số lỗ hổng loại B thường xuất hiện trong các ứng dụng

Sendmail:

Sendmail là một chương trình được sử dụng rất phổ biến trên hệ thống UNIX để thực hiện gửi thư điện tử cho những người sử dụng trong nội bộ mạng. Thông thường, sendmail là một daemon chạy ở chế độ nền được kích hoạt khi khởi động hệ thống. Trong trạng thái, hoạt động, sendmail mở port 25 đợi một yêu cầu tới sẽ thực hiện gửi hoặc chuyển tiếp thư.

Sendmail khi được kích hoạt sẽ chạy dưới quyền root hoặc quyền tương ứng (vì liên quan đến các hành động tạo file và ghi log file). Lợi dụng đặc điểm này và một số lỗ hổng trong các đoạn mã của sendmail, mà các đối tượng tấn công có thể dùng sendmail để đạt được quyền root trên hệ thống.

69

Để khắc phục lỗi của sendmail cần tham gia các nhóm tin về bảo mật; vì sendmail là chương trình có khá nhiều lỗi; nhưng cũng có nhiều người sử dụng nên các lỗ hổng bảo mật thường được phát hiện và khắc phục nhanh chóng. Khi phát hiện lỗ hổng trong sendmail cần nâng cấp, thay thế phiên bản sendmail đang sử dụng.

Một loạt các vấn đề khác về quyền sử dụng chương trình trên UNIX cũng thường gây nên các lỗ hổng loại B. Vì trên hệ thống UNIX, một chương trình có thể được thực thi với 2 khả năng:

• Người chủ sở hữu chương trình đó kích hoạt chạy

• Người mang quyền của người chủ sở hữu chủ nhân của file đó

Các loại lỗ hổng loại B khác:

• Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình có mã nguồn viết bằng C. Những chương trình viết bằng C thường sử dụng một vùng đệm - là một vùng trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý. Những người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Ví dụ, người sử dụng viết chương trình nhập trường tên người sử dụng; qui định trường này dài 20 ký tự. Do đó họ sẽ khai báo:

char first_name [20];

• Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự. Khi nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào 35 ký tự; sẽ xảy ra hiện tượng tràn vùng đệm và kết quả 15 ký tự dư thừa sẽ nằm ở một vị trí không kiểm soát được trong bộ nhớ. Đối với những người tấn công, có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt, để thực thi một số lệnh đặc biệt trên hệ thống. Thông thường, lỗ hổng này thường được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ.

• Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B.

Các lỗ hổng loại A:

Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.

Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server là Apache, Đối với Web Server này thường cấu hình thư mục mặc định để chạy các scripts là cgi-bin; trong đó có một Scripts được viết sẵn để thử hoạt động của apache là test-cgi. Đối với các phiên bản cũ của Apache (trước version 1.1), có dòng sau trong file test-cgi: echo QUERY_STRING = $QUERY_STRING

70

Biến môi trường QUERY_STRING do không được đặt trong có dấu " (quote) nên khi phía client thưc hiện một yêu cầu trong đó chuỗi ký tự gửi đến gồm một số ký tự đặc biệt; ví dụ ký tự "*", web server sẽ trả về nội dung của toàn bộ thư mục hiện thời (là các thư mục chứa các scipts cgi). Người sử dụng có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ thống server.

Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên hệ điều hành Novell; Các web server này có một scripts là convert.bas, chạy scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống.

Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này.

71

Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger...

PHỤ LỤC E

Khái quát về hiện trạng VNUNet

Mô hình tổ chức

Đại học quốc gia Hà Nội có tổng cộng 28 đơn vị với 2.503 cán bộ và 23.628 sinh viên, học viên các hệ tập trung (26.131 cán bộ và học viên, sinh viên các hệ tập trung), 26.000 sinh viên các hệ không tập trung.

Gần như 100% cán bộ đã có máy tính làm việc. Số lượng máy tính trong các phòng thí nghiệm và phòng thực hành phục vụ công tác giảng dạy và trong các ký túc xá có khoảng 1.500 chiếc, tổng cộng hiện có khoảng 4.000 máy tính kết nối vào VNunet.

Tỷ lệ sinh viên có máy tính ở nhà ước tính khoảng 20%, số lượng sinh viên có các thiết bị xử lý thông tin di động hiện còn rất thấp, chỉ khoảng 2%, các thiết bị di động hiện chưa có khả năng kết nối di động vào VNUnet.

Cơ sở hạ tầng truyền thông của VNUNet

• Hệ thống cáp quang: hiện đã có các đường kết nối từ điểm trung tâm tới

o Các đơn vị tại 144 Xuân Thuỷ: Cơ quan ĐHQGHN, Trường ĐHNN, Trường ĐHCN, Trường ĐHKT, Khoa Quản trị kinh doanh, Trung tâm Thông tin Thư viện.

o Các đơn vị tại 334-336 Nguyễn Trãi: Trường ĐHKHTN, Trường ĐHKHXH-NV

o Ký túc xá Mễ trì

• Mở rộng hệ thống cáp quang nói trên là hệ thống các đường kết nối bằng cáp đồng đến hầu khắp các đơn vị của ĐHQGHN.

• Bốn địa điểm, năm đơn vị chưa được kết nối vào VNUnet gồm có

o Địa điểm 19 Lê Thánh Tông: Khoa Hóa. o Địa điểm 16 Hàng Chuối: Nhà xuất bản, Nhà in. o Khoa Quốc tế o Ban Quản lý dự án Hoà Lạc tại Hoà Lạc.

• Các đường kết nối ra bên ngoài

o Lease line 10 Mbps tới Viettel vào Internet o Lease line 100 Mbps tới Netnam vào VINAren – mạng khoa học giáo dục Việt Nam và qua đó vào TEIN2, APAN.

72

o Lease line tới mạng hành chính của chính phủ (chưa hoạt động).

• Hệ thống thiết bị ghép nối

Tại điểm tập trung của VNUnet có

o Cisco Router 2800. o Switch trung tâm Catalyst 4507 (2005) với 8 cổng quang và 48 cổng Giga Ethernet RJ45.

o Switch phân đoạn Catalyst 2950, 4 chiếc (2003), Catalyst 1900, 2 chiếc (2001).

o Fire wall Cisco Pix 515e (2001, hỏng).

• Kiến trúc ghép nối

o Hệ thống truyền thông được xây dựng theo kiến trúc Ethernet, ở mức mỗi đơn vị thành viên, trực thuộc là một subnet/VLAN, sử dụng không gian địa chỉ IP giả lập (10.0.0.0 và 172.16.0.0). Các kết nối ra bên ngoài với tên miền vnu.edu.vn và vnu.vn được thực hiện qua một số lượng IP được cấp phát hạn chế (32 địa chỉ).

73

o Tại các đơn vị thành viên, trực thuộc, việc phân chia subnet/VLAN mới chỉ được thực hiện ở Trường ĐHCN, chưa được thực hiện ở tất cả các đơn vị còn lại, vì vậy mỗi đơn vị, dù lớn, dù nhỏ đều là một miền broadcast, với tỷ lệ các gói tin broadcast rất lớn, tỷ lệ truyền tin hữu ích rất thấp (chỉ xung quanh 30%). Hơn nữa chất lượng thi công và quản lý kết nối cả ở mức logic và vật lý đều không được quan tâm nên tỷ lệ lỗi thực tế rất cao; làm giảm sút nghiêm trọng hiệu suất hoạt động của hệ thống – gây nên lãng phí không nhỏ các đầu tư của ĐHQGHN. Một số đơn vị đã tự thực hiện các kết nối ra bên ngoài qua ADSL, đặt website ra ngoài.

INTERNET

CPNET 112

TEIN2 VINAren

Catalyst 2950

203.113.130.192/27

Router 3600

Proxy

Web Mail

172.16.0.0/16

Catalyst 4507

Cáp quang

10.10.0.0/16

10.1.0.0/16

i

T T N C n ệ V

D K T Q a o h K

N H G Q H Đ P V

ữ g n i ạ o g N H Đ

TRƯỜNG ĐH CÔNG NGHỆ Với hệ thống thiết bị ghép nối mạng riêng

V T T T m â t g n u r T

a x ừ t o ạ t o à Đ T T

i

i

N T H K H Đ

ì r T ễ M X T K

Đ T n ệ v ư h T

H S N C n ệ V , t ậ u L a o h K , ế t h n K H Đ

V N - H X H K H Đ

H Đ S a o h K , P S a o h K , g n ố h t ệ H T P T T

Hình 31 - Sơ đồ kết nối logic

Hệ thống các server các dịch vụ

Hệ thống server hiện tại có 15 chiếc, trong đó có 12 chiếc được trang bị năm 2004, một chiếc có 2 GB, 11 chiếc có 1 GB RAM, số còn lại đã được trang bị từ năm 2000. Dung lượng đĩa cứng lưu trữ rất hạn chế, chỉ một server có đĩa cứng dung lượng 150 GB, số còn lại chỉ có tối đa 80 GB.

VNU hiện cung cấp các dịch vụ:

Tài khoản truy cập Internet cho khoảng 3000 tài khoản là cán bộ, giảng viên của

ĐHQGHN.

Thư tín điện tử cho cán bộ, giảng viên của ĐHQGHN với dung lượng hộp thư rất

hạn chế, chỉ 10MB/account.

Dịch vụ văn thư điện tử cho Cơ quan ĐHQGHN.

Duy trì kỹ thuật hoạt động của Website ĐHQGHN và Website của ba khoa trực

thuộc là: khoa sau đại học, khoa Sư phạm, khoa Quốc tế.

74

Từ những số liệu thống kê trên, ta có thể thấy ĐHQGHN là một tổ chức đại học quy mô trung bình bao gồm nhiều đơn vị thành viên và trực thuộc, với nhiều campus phân bố trên diện tích khá rộng trong nội thành thủ đô Hà Nội. Một trong trong những

thế mạnh, cũng là tiêu chí xây dựng phát triển ĐHQGHN chính là việc xác lập những cơ chế mới để tập hợp và cùng chia sẻ hiệu quả các tài nguyên tri thức, con người, ... từ những đơn vị thành viên và trực thuộc.

VNUnet có ý nghĩa quan trọng trong ĐHQGHN, như là giải pháp ICT tất yếu cần có không những trong việc tổ chức tập hợp và chia sẻ các tài nguyên trong môi trường ĐHQGHN mà còn là tổ chức cung cấp các dịch vụ hữu ích của ĐHQGHN cho các đơn vị thành viên, trực thuộc; Một thể hiện vai trò cũng như ý nghĩa của mô hình ĐHQGHN.

Hiện trạng mạng CTNet

Trường Đại học Công nghệ hiện triển khai các hoạt động của mình trên mặt bằng rộng gồm 4 địa điểm cách xa nhau từ 3 đến 5 km, trong đó địa điểm tại 144 Xuân Thủy là địa điểm chính, một địa điểm khác có các phòng máy thực hành và truy cập Internet của sinh viên cách xa 5 km.

Sơ đồ mặt bằng tại địa điểm chính gồm các tòa nhà E3, E4, G2, G3, G2B, G5 và G6 được trình bày trên hình vẽ. Trong năm 2007, được sự cho phép của ĐHQGHN, Trường ĐHCN đang triển khai kế hoạch xây dựng nâng tầng nhà G2 để có thêm 1000 m2 mặt bằng để chuyển dần sinh viên về học tại khu vực 144 Xuân Thủy, trong đó định hướng ưu tiên cho hệ đào tạo chất lượng cao và chương trình đào tạo trình độ quốc tế.

Internet

VNUnet Router

Các trường Thành viên và các đơn vị trực thuộc ĐHQG

Switch

Các phòng làm việc và phòng máy tính trong tòa nhà E3

Các phòng làm việc và phòng máy tính trong tòa nhà E4

Các phòng làm việc và phòng máy tính trong tòa nhà G2

Phần mạng Trường ĐHCN

Mô hình tổ chức

Hình 32 – Mô hình tổ chức

75

Hệ thống hiện có 01 Swicth trung tâm Catalyst 6509 đặt trung tâm máy tinh tầng 1 nhà G2B. Từ đây có các đường cáp UTP đến wallplace tại từng phòng (của Khoa Công nghệ cũ; khi thành lập Trường ĐHCN, các phòng này đã được thay đổi thiết kế, thay đổi đơn vị sử dụng, những điều chỉnh, nối tiếp thêm không quản lý được). Kết nối từ mỗi phòng đến máy tính được thực hiện qua các HUB.

Có 04 server với cấu hình như sau

Server Web, 1 CPU P.4, 1 GB RAM, 2 ổ cứng 36 GB (từ phòng HCQT)

Server và các dịch vụ hệ thống

• Server quản lý người dùng, 1 CPU P.4, 1 GB RAM, 1 ổ cứng 36 GB • Server phục vụ tệp, 1 CPU P.4, 512 MB RAM, 3 ổ cứng 36 GB • Server phục vụ các tiện ích, 1 CPU P.4, 512 MB RAM, 1 ổ cứng 36

GB

Những dịch vụ hệ thống

Hệ thống hiện tại chỉ cung cấp những dịch cụ tối thiểu, trong đó có Website môn học, các tư liệu điện tử của MIT và các nhà cung cấp khác. Dịch vụ tệp dù đã được cung cấp cho sinh viên nhưng vì dung lượng đĩa cứng quá hạn chế nên không hiệu quả.

Nhận xét

• VNUnet và CTNet đã có hệ thống đường truyền thông khá tốt: kết

nối ra bên ngoài mạnh, hệ thống đường truyền nội bộ đã phủ được ba khu vực chính.

• Hạn chế:

o Kết nối Internet ra bên ngoài là kết nối đơn, không có dự phòng, mỗi khi có sự cố đường truyền, liên lạc với bên ngoài bị gián đoạn.

o Sử dụng không gian địa chỉ giả lập với thiết bị Proxy. Hệ thống an ninh và an toàn rất yếu kém.

o Còn 4 địa điểm chưa được kết nối vào VNUnet, trong đó có 2 địa điểm cần được quan tâm kết nối sớm là 19 Lê Thánh Tông và Khoa Quốc tế.

o Tốc độ truyền thông trên các đường trục cáp quang phần lớn mới chỉ hạn chế ở tốc độ 100 Mbps theo cấu trúc đơn, halfduplex, không đảm bảo được kết nối liên lục khi có sự cố.

o Kiến trúc phân tầng của mạng còn đơn giản, không ổn định làm giảm hiệu suất mạng, gây lãng phí lớn các đầu tư tài nguyên của ĐHQGHN, gây ức chế tâm lý người dùng, làm xuất hiện tư tưởng kết nối phân tán ra bên ngoài, đặt website ra bên ngoài.

• Hệ thống server dường như không ít về số lượng nhưng cấu hình kỹ thuật, đặc biệt là dung lượng lưu trữ quá hạn chế, không đủ sức mạnh để triển khai các dịch vụ trên phạm vi rộng toàn ĐHQGHN.

76

• Quá nghèo nàn về dịch vụ.

Mục tiêu phát triển hệ thống mạng VNUnet và CTNet

Để án phát triển mạng VNUnet và CTNet đã đưa ra các mục tiêu cần phát triển

như sau:

• Tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, e-

Document, ...), voice, DVD video, ...

• Cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực tuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo. Làm giảm kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia sẻ của cá nhân, tập thể trên toàn hệ thống.

• Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng.

• Có trung tâm dữ liệu mạnh.

• Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến

người dùng cuối 1Gbps.

• Hệ thống kết nối không dây phục vụ các thiết bị xử lý thông tin di động phủ khắp môi trường làm việc, học tập của ĐHQGHN, kể cả các ký túc xá.

• Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa và tiếp nhận

bài giảng từ xa.

• Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh, đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng như trên một desktop ảo.

• Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả.

• Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động

thông suốt, ổn định, hiệu quả.

• Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống

truy cập trái phép.

77

• Hỗ trợ cán bộ, giảng viên có thể truy cập vào mạng nội bộ từ xa.

Tài liệu tham khảo

A. Tiếng Anh

[1]

Stuart McClure, Joel Scambray và George Kurtz. Hacking exposed fifth edition, McGraw-Hill/Osborne, 2005

[2] Internet Security Systems. ProventiaGSeries_Guide, May 2005

[3] Internet Security Systems. Các dấu hiệu tấn công và thâm nhập, 2005

B. Tiếng Việt

[4] Thạc sĩ Nguyễn Nam Hải. Đề án phát triển VNUnet

[5] Vnexperts Research Department. Hack Windows toàn tập

[6] Vietnamnet.vn. Tìm hiểu về tấn công từ chối dịch vụ DoS

C. Các website tham khảo

[7]

Microsoft. Lỗ hổng MSRPC. http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx

[8]

Quantrimang. Các nguy cơ an ninh mạng. www.quantrimang.com.vn/print/23105.aspx

[9] Washington.edu. Khái niệm thâm nhập.

http://www.washington.edu/computing/security/intrusion.html

[10] Wikipedia. Lỗ hổng bảo mật.

http://en.wikipedia.org/wiki/Vulnerability_(computing)

[11] Wikipedia. Tấn công từ chối dịch vụ.

http://www.vi.wikipedia.org/wiki/Denial_of_service

[12] Yahoo blog. Quá trình tấn công của hacker.

78

http://blog.360.yahoo.com/blog-WS_Rh2olbqeTH.tkhm7K.w-- ?cq=1&p=60