Đăng ký
  1. Trang chủ
  2. » Giáo Dục - Đào Tạo

(TIỂU LUẬN) TỔNG hợp lý THUYẾT AN TOÀN MẠNG NÂNG CAO

28 1 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

TỔNG HỢP LÝ THUYẾT - AN TOÀN MẠNG NÂNG CAO MỤC LỤC CHƯƠNG 1: DÒ QUÉT VÀ LIỆT KÊ CHƯƠNG 2: CONNECTION SECURITY IP sec SSH: Secure Shell SSL TLS VPN CHƯƠNG 4: AN TOÀN DỊCH VỤ Ở XA FPT TFTP TELNET SSH IPMI NTP SNMP LDAP 9 VNC 10 Unix RPC Services – Remote procedure call 10 11 Bảo vệ dịch vụ countermeasures 10 CHƯƠNG 5: REVERSE TCP 10 Các khái niệm 10 Khi dùng reverse TCP 10 Set up reverse TCP 11 Tạo Reverse TCP shellcode: 11 CHƯƠNG 6: APT ATTACK 11 Khái niệm 11 Các đặc trưng 12 Các giai đoạn APT 12 3.1 Nhắm mục tiêu 12 3.2 Quyền truy cập 12 3.3 Trinh sát 13 3.4 Các hành động có mục đích bên lề 13 3.5 Thu thập lọc liệu 13 3.6 Quản lý bảo trì 13 Các chiến dịch APT điển hình 14 Các tool APT 14 Cơ chế malware tộn sau reboot máy 14 Quy trình ứng phó cố 14 Cách công phổ biến 15 Phát APT 17 CHƯƠNG 1: DÒ QUÉT VÀ LIỆT KÊ - Các dịch vụ kiểm tra an toàn, bảo mật - Phương pháp đánh giá an ninh mạng: + Liệt kê mạng để xác định mạng IP máy chủ + Quét thăm dò mạng hàng loạt để xác định máy chủ có khả bị attack + Điều tra lỗ hổng thăm dò mạng để có nhiều thơng tin + Khai thác lỗ hổng bảo mật phá vỡ chế bảo mật CHƯƠNG 2: CONNECTION SECURITY IP sec - IP sec vận hành Internet Layer mơ hình TCP/IP - IP sec không bắt buộc IP v4 bắt buộc IP v6 - IP sec sử dụng để bảo mật traffic LAN VPN Nó cấu hình để đáp ứng thứ tính bảo mật, xác thực, tồn vẹn, packet filtering, chống lại reply attack - IP sec sử dụng nhiều thuật tốn mã hóa khác nhau, tùy vào người admin cài đặt - IP sec gồm chế chính: Authentication Header (AH) Encapsulating security Payload (ESP) + AH bảo vệ tính tồn vẹn xác thực, khơng có tính bảo mật + ESP mang đến khả bảo mật, xác thực nguồn liệu, toàn vẹn liệu, chống reply attack, giới hạn bảo mật dòng liệu * Transport mode: Cả đầu phải cài đặt IP sec Trong gói tin gửi IP header khơng mã hóa, lab ta dùng wire shark bắt gói thấy địa nguồn đích – địa nằm IP header * Tunnel mode: đầu không bắt buộc cài đặt IP sec dataram ban đầu đóng gói nằm datagram với security field Chế độ gateway-to-gateway Chế độ đảm bảo tính bảo mật router trung gian đọc datagram qua, địa nguồn địa đích ẩn giấu Câu hỏi: So sánh transport mode Tunnel mode - Security Associations (SA) trạng thái thiết lập phía host để giao tiếp Nếu giao tiếp chiều cần SA, cịn giao tiếp qua lại cần SA, người ta thường cấu hình SA theo cặp - Chức SA lưu trữ thơng tin thuật tốn, khóa, thời gian tồn khóa để phục vụ cho cơng việc sinh khóa, giải mã, xác thực ESP packet - SA chống lại Reply attack, chứa thơng tin để thơng báo tunnel mode hay transport mode sử dụng - Internet Key Exchange Protocol (IKE): Khi mà số lượng node nhỏ cấu hình key tay Giải pháp mà nhiều node IKEv1 IKEv2 - Mục tiêu IKE xác thực thực thể thiết lập thông tin mật chia bên - IKE vận hành gồm giai đoạn: 1) cài đặt SA secure channel sau thực trao đổi bên 2) trao đổi khóa (có thể nhiều khóa) - Cài đặt IPsec Linux: Phổ biến Openswan Openswan gồm thành phần chính, pluto kernel ip sec (optional) +pluto daemon (chương trình chạy ngầm) để kiểm sốt trao đổi khóa IKE +kernel tùy chọn thơi, cài đặt muốn dùng thêm tính khác - Ở openswan luồng liệu mã hóa, host không liên quan nội dung Một host muốn thiết lập kết nối mã hóa cần tra cứu public key host sau sử dụng - Cài đặt IPsec windows : bật cài đặt Ipsec Group Policy for Windows Network Connection Wizard SSH: Secure Shell - Các mơ hình chi tiết cuối tài liệu - Giao thức SSH phát triển vào năm 1995 Phần Lan, nhà nghiên cứu có tên Tatu Ylonen SSH tạo channel để chạy shell máy đầu xa, với đặc điểm mã hóa liệu hệ thống - SSH sử dụng TCP/IP chế truyền tải, thường port 22 máy chủ nơi mà liệu trao đổi mã hóa giải mã - Giao thức SSH đảm bảo việc xác thực, mã hóa tồn vẹn liệu truyền qua mạng Nó tự động mã hóa giải mã liệu gửi - SSH có cấu trúc Client-Server: - Một đặc tính SSH Port fowarding - Port forwarding gọi tunneling kết nối SSH cung cấp tunnel an toàn - Port forwarding chuyển hướng (redirecting) kết nối TCP/IP vào SSH session Mà SSH session kết nối mã hóa, tồn vẹn xác thực Lệnh kiểu “ssh –L 2001:localhost:143” tạo tunnel Trong đó, cổng 2001 cổng máy local, -L viết tắt local Câu hỏi: Khi dùng Local port forwarding Remote port forwarding Trả lời: Nếu ứng dụng TCP client (có kết nối mà user muốn chuyển tiếp) chạy cục máy SSH client, sử dụng local forwarding Nếu khơng, ứng dụng khách nằm SSH server sử dụng tính remote forwarding - Trong SSH session, SSH tạo nhiều channel logical stream để vận chuyển liệu, đồng thời tạo channel cho lần sử dụng port forwarding SSL TLS - Là viết tắt Secure socket layer Transport layer security - Là giao thức cung cấp khả mã hóa phiên đảm bảo tính tồn vẹn cho gói gửi từ máy tới máy khác - Dùng mơ hình client-to-server server-to-server - Nó có khả cung cấp tính xác thực server cho client xác thực client cho server thông qua chứng bảo mật kỹ thuật số mang tên X.509 - TLS nâng cấp từ SSL - Ứng dụng nhiều SSL web client web server hỗ trợ web browser web server tất tảng Nó tiêu chuẩn mã hóa cho HTTP - HTTP qua giao thức SSL sử dụng port 443 (default) Một firewall nằm internet webserver mà sử dụng SSL cho phép luồng liệu vào cổng 443 - SSL có thành phần: SSL Handshake protocol SSL record layer VPN Virtual Private Networks tunnel an tồn thơng qua mạng khơng an toàn, chẳng hạn internet Các loại VPN: - VPN:PPTP: Point to point tunneling protocol giao thức tunneling layer Giao thức đóng gói PPP packet thành IP datagram cách thêm GRE header IP header vô - VPN:L2TP: giao thức tunneling chuẩn công nghiệp Cung cấp tunneling authentication Sử dụng Ipsec để cung cấp mã hóa - VPN: Hardware VPN solutions: Cung cấp khả mã hóa gồm SSL IPsec Như hệ sinh thái Cisco, Juniper, Nortel Có thể tạo VPN cross-platform Open VPN CHƯƠNG 4: AN TOÀN DỊCH VỤ Ở XA FPT - Cung cấp quyền truy cập tệp từ xa, thường để bảo trì trì ứng dụng web - FTP dễ bị cơng hình thức cơng như: + Brute force password + Duyệt web ẩn danh khai thác lỗi phần mềm + Khai thác xác thực lỗ hổng - Nmap thực dịch vụ mạng fingerprinting hệ điều hành thông qua cờ -A - Cờ -A gọi ftp-anon script để kiểm tra tính xác thực truy cập ẩn danh trả cấu trúc thư mục server TFTP - Trivial file transfer prototol sử dụng UDP port 69 không yêu cầu xác thực, máy khách đọc ghi vào máy chủ định dạng gói liệu - Tuy nhiên, mạng nội lớn, TFTP sử dụng để cung cấp tệp cấu hình image ROM tới thiết bị cầm tay VoIP thiết bị khác - TFTP khai thác qua hình thức cơng như: + Lấy tài liệu, liệu từ máy chủ (vd file cấu hình) + Bypassing điều khiển để ghi liệu lên máy chủ (vd thay image ROM) + Thực thi code qua lỗi tràn đệm lỗi nhớ TELNET - Telnet cung cấp khả truy cập vào command-line server thiết bị nhúng Giao thức khơng bảo mật, session bị đánh hơi/quét thấy bị đối thủ chủ động công quyền truy cập mạng - Telnet dễ bị cơng bởi: Brute-force password, tìm thơng tin xác thực mặc định Khai thác ẩn danh lỗi phần mềm telnet server/ SSH - Các dịch vụ SSH cung cấp quyền truy cập mã hóa vào hệ thống bao gồm thiết bị nhúng máy chủ dựa Unix - Ba hệ thống thường tiếp xúc với người dùng sau: * Secure shell (SSH), cung cấp quyền truy cập dòng lệnh * Bản an toàn (SCP), cho phép người dùng gửi truy xuất tệp * FTP an toàn (SFTP), cung cấp tính truyền tệp phong phú Cổng TCP 22 sử dụng theo mặc định để hiển thị SSH hệ thống - SSH bị cơng bởi: * Brute-force * Quyền truy cập cấp lộ khóa cá nhân yếu điểm tạo khóa * Khai thác ẩn danh từ xa lỗi phần mềm biết (khơng có thơng tin xác thực) * Khai thác xác thực khiếm khuyết biết, dẫn đến leo thang đặc quyền IPMI Intelligent Platform Management Interface - Giao diện quản lý tảng thông minh - Bộ điều khiển quản lý bo mạch chủ (BMC) máy tính nhúng cung cấp khả giám sát ngồi băng tần cho máy tính để bàn máy chủ Các sản phẩm BMC bán nhiều thương hiệu, bao gồm HP iLO, Dell DRAC Sun ILOM Các thiết bị thường hiển thị dịch vụ IPMI qua cổng UDP 623 - Có thể khai thác lỗi cách: * Truy xuất mã băm mật từ xa qua RAKP * Bỏ qua xác thực mật mã dẫn đến quyền truy cập quản trị NTP - Network Time Protocol (NTP) giao thức mạng để đồng hóa đồng hồ hệ thống máy tính qua mạng liệu chuyển mạch gói, có độ trễ thay đổi - Các dịch vụ NTP thường chạy cổng UDP 123 thiết bị mạng hệ thống dựa Unix - Sử dụng tập lệnh ntp-info ntp-monlist Nmap để truy vấn dịch vụ truy cập Các phản hồi thường tiết lộ phiên phần mềm máy chủ, chi tiết hệ điều hành cấu hình NTP, bao gồm địa IP đối tác công khai không công khai SNMP - Các dịch vụ Giao thức Quản lý Mạng Đơn giản (Simple Network Management Protocol-SNMP) thường chạy thiết bị chuyển mạch, định tuyến hệ điều hành máy chủ quản lý (ví dụ: Microsoft Windows Server Linux) cho mục đích giám sát - SNMP truy cập cung cấp chuỗi community hợp lệ gói liệu UDP đến cổng 16 - Các dịch vụ SNMP dễ bị công từ xa theo lớp sau: * Liệt kê người dùng qua SNMPv3 * Brute-force chuỗi community mật người dùng * Hiển thị thông tin hữu ích thông qua đọc liệu SNMP (đặc quyền thấp) * Khai thác thông qua ghi liệu SNMP (đặc quyền cao) * Khai thác lỗi triển khai phần mềm, dẫn đến hậu khơng mong muốn (ví dụ: thực thi mã từ xa đặc quyền) LDAP -Lightweight Directory Access Protocol - Thường tìm thấy chạy máy chủ Microsoft Active Directory, Exchange IBM Domino - LDAP giao thức mở cung cấp dịch vụ thông tin thư mục qua IP Dịch vụ thư mục cung cấp thông tin người dùng, hệ thống, mạng, dịch vụ ứng dụng toàn mạng - Giao thức nhiều triển khai sử dụng LDAP 3.0 - Các máy chủ LDAP tiếp xúc dễ bị công từ xa lớp sau: * Rị rỉ thơng tin qua ràng buộc ẩn danh * Brute-force * Sửa đổi liệu xác thực thư mục LDAP * Khai thác lỗi phần mềm máy chủ LDAP (có khơng có thơng tin xác thực) VNC - Virtual Network Computing - Máy tính mạng ảo (VNC) ứng dụng sử dụng giao thức remote frame buffer (RFB) để cung cấp quyền truy cập từ xa vào máy chủ - Các dịch vụ RFB thường lắng nghe cổng TCP 5900 sử dụng dịch vụ khác (ví dụ: 4900 6000) Giao thức mở rộng thơng qua loại mã hóa tùy ý, hỗ trợ truyền nén tệp gói bao gồm UltraVNC TightVNC - Triển khai VNC dễ bị công từ xa lớp sau: * Brute-force * Khai thác ẩn danh lỗi phần mềm biết 10 Unix RPC Services – Remote procedure call - Một số Unix daemon (ví dụ: thành phần NIS (Network Information Service) NFS (Network File System)) hiển thị dịch vụ RPC qua dynamic high port - Để theo dõi điểm cuối đăng ký hiển thị cho khách hàng danh sách dịch vụ RPC có sẵn, dịch vụ portmapper lắng nghe TCP UDP cổng 111 (và cổng 32771 Oracle Solaris) Các cách công: Query RPC endpoint, query NIS thu thập liệu 11 Bảo vệ dịch vụ countermeasures - Giảm bề mặt công mạng - Duy trì gói thư viện phần mềm máy chủ để phủ nhận điểm yếu biết - Các hoạt động bảo trì từ xa nên cung cấp thông qua kết nối xác thực an tồn (ví dụ: VPN SSH) - Nếu sử dụng SNMP, đảm bảo sử dụng thông tin đăng nhập mạnh mẽ - Tăng cường bảo mật SSH - Tăng cường bảo mật DNS - Trong môi trường Microsoft, cân nhắc việc thực thi cấp chức miền cao CHƯƠNG 5: REVERSE TCP Các khái niệm Bind shell loại shell, mà máy nạn nhân mở port để giao tiếp listen kết nối tới Attacker sau kết nối đến máy nạn nhân để thực thi lệnh Reverse shell loại shell mà máy nạn nhân giao tiếp ngược lại với máy attacker Máy attacker có listen port để nhận kết nối từ máy nạn nhân, có nghĩa code lệnh attacker trước thực thành cơng Reverse TCP loại shell Reverse shell nhiều khả vượt firewall, client/victim kết nối trở lại máy attacker Khi dùng reverse TCP - Khi máy mục tiêu phía sau mạng riêng khác - Tường lửa máy mục tiêu chặn lại kết nối mà ta muốn bind shell - Payload attacker khơng thể bind port lý Những kẻ cơng thường cố gắng cải tiến phương pháp truy cập họ để phản ánh gần hồ sơ người dùng tiêu chuẩn, thay tiếp tục dựa vào cơng cụ phần mềm độc hại chọn Các chiến dịch APT điển hình Một số cơng APT, đặt tên mã nhà điều tra: Aurora, Nitro, ShadyRAT, Lurid, Night Dragon, Stuxnet, DuQu Mỗi hoạt động liên quan đến hoạt động, bao gồm truy cập, trinh sát, di chuyển bên, thao túng hệ thống thông tin đánh cắp thông tin cá nhân thông tin bảo vệ Ví dụ Aurora: Những kẻ cơng giành quyền truy cập vào mạng nạn nhân cách sử dụng e-mail lừa đảo có chủ đích gửi đến nhân viên công ty Email chứa liên kết đến trang web Đài Loan lưu trữ JavaScript độc hại Khi người nhận e-mail nhấp vào liên kết truy cập trang web, JavaScript khai thác lỗ hổng Internet Explorer cho phép thực thi mã từ xa JavaScript độc hại không bị phát chữ ký chống vi-rút Nó hoạt động cách chèn mã shell với đoạn code chuẩn bị trước Các tool APT Gh0st Attack DarkComet RAT PlasmaRAT NingaliNET Marble codes Cơ chế malware tộn sau reboot máy Sử dụng khóa “Run” Registry keys khác Tạo dịch vụ Tham gia vào dịch vụ có Sử dụng scheduled task Ngụy trang thông tin liên lạc dạng lưu lượng truy cập hợp lệ Ghi đè ghi khởi động Ghi đè BIOS hệ thống Quy trình ứng phó cố - Các nhà điều tra sử dụng TOOL trường hợp bao gồm kết hợp Sysinternals công cụ pháp y: • AccessData FTK Imager • Sysinternals Autoruns • Sysinternals Process Explorer - Thứ tự thu thập chứng dựa biến động liệu: 7.1• Memory capture Đầu tiên thực kết xuất nhớ máy tính bị xâm phạm Kết xuất hữu ích cho việc phân tích phần mềm độc hại liên quan Cơng cụ khung biến động, ví dụ FTK Imager Một số cơng cụ phân tích nhớ có sẵn bao gồm HBGary FDPro Responder Pro, Mandiant Memoryze The Volatile Framework Phân tích nhớ phần quan trọng phân tích APT nhiều công cụ phương pháp sử dụng kẻ cơng liên quan đến q trình tiêm kỹ thuật làm xáo trộn khác 7.2• Page swap page Bộ nhớ ảo sử dụng hệ điều hành Windows lưu trữ tệp có tên Pagefile.sys (Pagefile) Tệp trang chứa thơng tin có giá trị việc lây nhiễm phần mềm độc hại cơng có chủ đích Hyberfil.sys chứa liệu nhớ lưu trữ hệ thống chế độ Ngủ đơng cung cấp thêm liệu cho người kiểm tra 7.3• Thơng tin process chạy 7.4• Dữ liệu mạng cổng lắng nghe kết nối có với hệ thống khác 7.5• System Registry (nếu có) 7.6• Tệp nhật ký hệ thống ứng dụng 7.7• Hình ảnh pháp y (các) đĩa 7.8• Phương tiện lưu Cách cơng phổ biến Gửi mail Mở mail, bấm phải link độc Link trỏ đến địa độc Trang tự tải trojan máy, sau tự chạy Sau thực thi, trình tải xuống truyền tải hướng dẫn mã hóa base64 tới dropsite khác mà từ ống nhỏ giọt Trojan phân phối Trojan dropper sử dụng để cài đặt cửa hậu Trojan: a Được đóng gói vào ống nhỏ giọt sau tự xóa, cửa hậu Trojan bắt đầu báo hiệu cho máy chủ C&C lập trình thành tệp nhị phân b Được yêu cầu từ dropsite (có thể giống nhau), theo chi tiết cấu hình hệ thống mà ống nhỏ giọt giao tiếp với dropsite Sau đó, ống nhỏ giọt tự xóa cửa hậu Trojan bắt đầu phát tín hiệu đến máy chủ C&C lập trình thành tệp nhị phân Bước 5, Trojan dropper thường cài đặt cửa sau Trojan vào c: \ windows \ system32 đăng ký DLL EXE phần HKLM \ System \ \ Services sổ đăng ký, thường dịch vụ hỗ trợ netsvcs -k svchost.exe phím (để chạy dịch vụ tồn khởi động lại) Cửa hậu Trojan thường sử dụng tên tệp tương tự, khác với tên tệp Windows Bước 7, 8: command and control server Cửa hậu Trojan sử dụng mã hóa SSL để liên lạc với máy chủ C&C thơng qua máy chủ proxy "cutout" Thông thường, số proxy sử dụng chuyển tiếp để che giấu đường dẫn đến máy chủ C&C thực tế Báo hiệu thường định kỳ, chẳng hạn năm phút lần Kẻ công tương tác với cửa hậu Trojan thông qua mạng proxy trực tiếp từ máy chủ C&C Thơng tin liên lạc thường mã hóa SSL, sử dụng cổng không chuẩn Bước 9, 10 Kẻ công thường bắt đầu với danh sách Tên máy tính tài khoản Người dùng để hiểu quy ước đặt tên sử dụng, sau sử dụng cơng cụ chuyển mã băm công cụ kết xuất bảo mật (thường công cụ HOOKMSGINA GSECDUMP) để thu thập thông tin tài khoản thư mục cục hoạt động Kẻ công thường sử dụng leo thang đặc quyền dịch vụ để trinh sát ban đầu để có chuyển động bên mạng Ví dụ: kẻ cơng khai thác ứng dụng dễ bị công (IE, v.v.) để đạt đặc quyền cục bộ, họ thường sử dụng Tác vụ lên lịch để khởi tạo trình bao lệnh với quyền quản trị dịch vụ Đây lỗ hổng biết đến tất phiên Windows ngoại trừ Win thường sử dụng; đó, Nhiệm vụ lên lịch quan trọng để xem xét Bước 11,12 Kẻ cơng bẻ khóa mật ngoại tuyến sử dụng thông tin đăng nhập để thực việc trinh sát mạng bị xâm nhập thông qua cửa hậu Trojan, bao gồm quét mạng, chia sẻ liệt kê dịch vụ sử dụng DOS Điều giúp kẻ cơng xác định tính khả dụng truy cập bên Sau xác định quyền truy cập ngang qua mạng, kẻ công chuyển sang tiện ích quản trị Windows lệnh MSTSC (RDP), SC, NET, v.v Nếu truy cập bên bị cản trở phân đoạn mạng, kẻ công thường sử dụng tiện ích proxy NAT Bước 13, 14 Khi hoạt động thám di chuyển ngang mạng hồn tất, kẻ cơng chuyển sang giai đoạn thứ hai cài đặt thêm Trojan cửa sau tiện ích proxy ngược (chẳng hạn HTRAN) phép truy cập trực tiếp thiết lập điểm Các điểm đầu sử dụng để thu thập lấy cắp thông tin độc quyền nhắm mục tiêu, thường gói ZIP RAR mã hóa, thường đổi tên thành tệp GIF Phát APT Phương pháp đơn giản thủ tục hành đơn giản Ví dụ: tập lệnh đăng nhập tạo mục hệ thống tệp (c: \ dir / a / s / TC> \ index \% computername% _% date% txt) sử dụng cho kiểm tra thay đổi thực hệ thống tệp Các quy tắc SMS thông báo nhật ký quản trị (cục miền) đến máy trạm máy chủ giúp xác định mơ hình hoạt động tiết lộ thơng tin hữu ích để điều tra cố Các quy tắc tường lửa IDS giám sát RDP / VNC / CMD.EXE gửi đến tài khoản CNTT quản trị khóa báo hoạt động đáng ngờ Các cơng nghệ phát chính: Các sản phẩm bảo mật điểm cuối, bao gồm chống vi-rút, HIPS kiểm tra tính tồn vẹn hệ thống tệp TỔNG HỢP SƠ ĐỒ/MƠ HÌNH Chương 2: SSH Hình Mơ hình SSH Hình Giao thức SSH đảm bảo tính xác thực, mã hóa, tồn vẹn liệu Chương 7: PSAD TỔNG HỢP CÁC LOẠI TẤN CÔNG IPsec(Internet Protocol Security) IPSec bao gồm hệ thống giao thức để bảo mật q trình truyền thơng tin tảng Internet Protocol xác thực và/hoặc mã hố (Authenticating and/or Encrypting) cho gói Internet Protocol q trình truyền thơng tin Mục đích việc phát triển IPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI Các chức IPSec Chứng thực - IPSec bảo vệ mạng cá nhân liệu cá nhân chứa khỏi công man in the middle, từ khả lừa công đến từ truy cập vào mạng, khỏi kẻ cơng thay đổi nội dung gói liệu - IPSec sử dụng chữ kí số để xác định nhân diện người gởi thông tin IPSec dùng kerberos, preshared key, hay chứng nhận số cho việc chứng nhận - Trong phương thức xác thực mặc định Kerberos v5, nhiên máy tính có kết nối mạng khơng nên dùng Kerberos v5 suốt trình dàn xếp chế độ , thành phần ngang cấp chế độ gởi phần nhận dạng máy tính dạng chưa mã hố đến thành phần khác Phần nhận dạng máy tính khơng mã hố mã hố tồn tải trọng diễn giai đoạn xác thực dàn xếp với chế độ Một kẻ cơng gởi gói tin Internet Key Exchange (IKE) nhằm làm cho thành phần IPSec đáp ứng bị lộ thơng tin nhận dạng máy tính Để bảo vệ máy tính kết nối Internet nên sử dụng xác thực chứng nhận Đối với tính an tồn cải tiến, khơng nên sử dụng xác thực PreshareKey phương thức yếu Bên cạnh đó, PreshareKey lưu trử dạng văn Sự xác thực PresharedKey cung cấp cho mục đích liên vận hành phải tuân thủ quy tắc IPSec, nên dùng PreshareKey cho việc kiểm nghiệm Toàn vẹn liệu - Tồn vẹn liệu đảm bảo gói liệu cịn ngun vẹn q trình lưu thơng mạng, không bị bị thay đổi - IPSec dùng thuật toán băm (MD5, SHA-1…) để đảm bảo liệu không bị can thiệp vào Một checksum gọi mã chứng nhận tin nhắn hash tính tốn cho liệu gói Một gói bị thay đổi truyền tin nhắn hash thay đổi lưu lại, thay đổi bị xóa máy tính nhận Bảo mật liệu - IPSec sử dụng thuật toán mã hóa (DES, 3DES…) để mã hóa liệu, đảm bảo gói liệu truyền khơng thể bị giải mã kẻ cơng VPN ? IPsec VPN ? VPN (virtual private network) kết nối mã hóa hay nhiều máy tính với Các kết nối VPN diễn public network, liệu trao đổi VPN riêng tư mã hóa VPN giúp truy cập trao đổi liệu bí mật cách an tồn qua sở hạ tầng mạng dùng chung, chẳng hạn Internet công cộng Nhiều VPN sử dụng giao thức IPsec để thiết lập chạy kết nối mã hóa IPsec hoạt động ? Kết nối IPsec bao gồm bước sau: Trao đổi khóa(key exchange): Key cần thiết để mã hóa; Key chuỗi ký tự ngẫu nhiên sử dụng để "khóa" (mã hóa) "mở khóa" (giải mã) thông điệp IPsec thiết lập Key với trao đổi Key thiết bị kết nối, để thiết bị giải mã tin nhắn thiết bị khác Packet headers and trailers: Tất liệu gửi qua mạng chia thành phần nhỏ gọi gói Các gói chứa payload liệu thực tế gửi header, thông tin liệu để máy tính nhận gói biết phải làm với chúng IPsec thêm số tiêu đề vào gói liệu chứa thơng tin xác thực mã hóa IPsec thêm trailers, sau payload gói Xác thực(authentication): IPsec cung cấp xác thực cho gói tin, giống dấu xác thực vật phẩm Điều đảm bảo gói đến từ nguồn đáng tin cậy khơng phải kẻ cơng Mã hóa(Encryption): IPsec mã hóa payload bên gói header IP gói (trừ chế độ transport sử dụng thay chế độ tunnel) Điều giữ cho liệu gửi qua IPsec an toàn riêng tư Truyền(Transmission): Các gói IPsec mã hóa truyền qua nhiều mạng đến đích chúng giao thức transport Ở giai đoạn này, lưu lượng IPsec khác với lưu lượng IP thơng thường chỗ thường sử dụng UDP làm giao thức truyền tải TCP TCP, thiết lập kết nối chuyên dụng thiết bị đảm bảo tất gói đến nơi UDP, khơng thiết lập kết nối chuyên dụng IPsec sử dụng UDP điều cho phép gói IPsec vượt qua tường lửa Giải mã(Decryption): Ở đầu giao tiếp, gói tin giải mã ứng dụng (ví dụ: trình duyệt) sử dụng liệu gửi tới Các giao thức dùng IPsec Xác thực Header (AH): Giao thức AH đảm bảo gói liệu đến từ nguồn đáng tin cậy liệu không bị giả mạo, giống dấu chống giả mạo sản phẩm tiêu dùng Các header không cung cấp mã hóa nào; chúng khơng giúp che giấu liệu khỏi kẻ công Giao thức bảo mật đóng gói (ESP): ESP mã hóa tiêu đề IP payload cho gói - trừ transport mode sử dụng, trường hợp này, mã hóa payload ESP thêm header riêng trailer vào gói liệu Security Association (SA): SA đề cập đến số giao thức sử dụng để đàm phán khóa thuật tốn mã hóa Một giao thức SA phổ biến Internet Key Exchange (IKE) Cuối cùng, Giao thức Internet (IP) phần IPsec, IPsec chạy trực tiếp IP Khác IPsec tunnel mode IPsec transport mode IPsec tunnel mode sử dụng hai định tuyến chuyên dụng(routers), với định tuyến hoạt động đầu "đường hầm" ảo thông qua mạng public Trong tunnel mode IPsec, IP header gốc chứa đích đến cuối gói tin mã hóa, với payload gói tin Để cho định tuyến trung gian biết nơi chuyển tiếp gói tin, IPsec thêm IP header Tại đầu cuối đường hầm, định tuyến giải mã IP header để chuyển gói tin đến đích chúng Trong transport mode, payload gói mã hóa, IP header ban đầu khơng Do đó, định tuyến trung gian xem đích cuối gói - trừ sử dụng giao thức đường hầm riêng biệt (chẳng hạn GRE ) IPsec thường dùng port ? IPsec thường sử dụng cổng 500 APT Thuật ngữ APT (Advanced Persistent Threat) dùng để tập hợp q trình cơng hệ thống máy tính bí mật liên tục, thường xếp người nhóm người (hackers) nhắm vào thực thể cá biệt Tấn công APT thường nhắm tới tổ chức tư nhân, nhà nước hai động kinh doanh trị Advanced: Kẻ cơng thơng thạo phương pháp xâm nhập mạng kỹ thuật quản trị có khả tạo cách khai thác tùy chỉnh cơng cụ Persistent: Kẻ cơng có mục tiêu dài hạn nỗ lực để đạt mục tiêu mà khơng bị phát Threat: Kẻ cơng có tổ chức, tài trợ, có động có mặt khắp nơi hội Các Giai Đoạn Targeting (Nhắm mục tiêu): thu thập thông tin từ nguồn public private, dùng phương pháp kiểm tra quét lỗ hỏng, spear-phishing, social engineering  Access (Truy cập): Truy cập xác định cách khai thác hiệu hệ thống thông tin an ninh tổ chức Xâm nhập vào liệu máy chủ (địa IP, DNS/DHCP server…) thu thập thông tin xác thực thông tin hồ sơ, cài phần mềm giả mạo phần mềm độc hại  Reconnaissance (Do thám): Liệt kê chia sẻ mạng, khám phá kiến trúc mạng, tên dịch vụ, kiểm tra dịch vụ quyền admin để truy cập vào hệ thống ứng dụng Cố gắng xâm phạm vào tài khoản AD  Lateral Movement (Mở rộng khai thác): tiếp tục mở rộng diện chúng hệ thống khác TTDL mạng doanh nghiệp bị nhiễm, lây lan, xâm nhập đánh cắp quyền điều khiển User quan trọng (cả User Administrator)  Data collection and exfiltration (Thu thập đánh cắp liệu): đánh cắp sau tuồn Internet cách truyền thống giao thức cho phép thông thường hệ thống Firewall FTP hay HTTP Chúng mã hoá liệu trước hành động chuyển liệu khỏi doanh nghiệp tới máy tính bị nhiễm khác  Administration and maintenance (Quản lí trì): Duy trì truy cập lúc, thành lập nhiều phương pháp truy cập vào mạng máy bị xâm phạm, gắn cờ kích hoạt trigger Giải pháp: Giám sát đường truyền, lưu lượng nội bộ,triển khai tường lửa, cập nhật vá, mã hóa kênh truyền kết nối, sử dụng công cụ lọc thư rác quét virus cho hệ thông mail, ghi lại nhật kí hoạt động, nâng cao nhận thức phishing  IPSec G Giải pháp dạng công mạng phổ biến  Tấn công + Spyware + Ransomware + Virus + Worm Malware Giải pháp: Sao lưu liệu thường xuyên Thường xuyên cập nhật phần mềm Cẩn thận với Link File lạ  Phishing + Giả mạo Email + Giả mạo Website Giải pháp: Không Click vào đường dẫn gửi đến Email không chắn an toàn Dùng lọc thư rác, lừa đảo Ln cập nhật phần mềm, ứng dụng đề phịng lỗ hổng bảo mật bị cơng Cảnh giác với Email có xu hướng thúc giục Dùng công cụ hạn chế Phishing: SpoofGuard, Anti-phishing Domain Advisor, Netcraf Anti-phishing Extension  Tấn công từ chối + SYN Flood + UDP Flood/Ping Flood + Khuếch đại DNS dịch vụ Theo dõi lưu lượng truy cập bạn dùng tool SiLK, Argus Nếu biết IP dùng ACL để lọc  Tấn công trung + Sniffing + Packet Injection + Gỡ rối phiên + Loại bỏ SSL gian (Man-in-the-middle attack) Giải pháp: Đảm bảo Website truy cập cài SSL Không mua hàng gửi liệu nhạy cảm dùng mạng công cộng Không nhấp vào Link Email độc hại Có cơng cụ bảo mật thích hợp cài đặt hệ thống Tăng cường bảo mật cho hệ thống mạng  Khai thác lỗ hỏng ZeroDay Giải pháp: Thường xuyên cập nhật phần mềm hệ điều hành Triển khai giám sát bảo mật theo thời gian thực Triển khai hệ thống IDS IPS Sử dụng phần mềm quét lỗ hổng bảo mật GIẢI PHÁP HẠN CHẾ TỔNG QUÁT: Đối với cá nhân:  Bảo vệ mật cá nhân cách: đặt mật phức tạp, bật tính bảo mật lớp – xác nhận qua điện thoại,… Chi tiết tại: kiểu Tấn công Password & cách phòng chống  Hạn chế truy cập vào điểm Wifi công cộng  Không sử dụng phần mềm bẻ khóa (crack)  Ln cập nhật phần mềm, hệ điều hành lên phiên  Cẩn trọng duyệt Email, kiểm tra kỹ tên người gửi để phòng tránh lừa đảo  Tuyệt đối không tải File nhấp vào đường link không rõ nguồn gốc  Hạn chế sử dụng thiết bị ngoại vi (USB, ổ cứng) dùng chung  Sử dụng phần mềm diệt Virus uy tín Đối với doanh nghiệp:  Xây dựng sách bảo mật với điều khoản rõ ràng, minh bạch  Lựa chọn phần mềm, đối tác cách kỹ Ưu tiên bên có cam kết bảo mật cam kết cập nhật bảo mật thường xuyên  Tuyệt đối không sử dụng phần mềm Crack  Luôn cập nhật phần mềm, Firmware lên phiên    Sử dụng dịch vụ lưu trữ đám mây uy tín cho mục đích lưu trữ Đánh giá bảo mật & Xây dựng chiến lược an ninh mạng tổng thể cho doanh nghiệp, bao gồm thành phần: bảo mật Website, bảo mật hệ thống máy chủ, mạng nội bộ, hệ thống quan hệ khách hàng (CRM), bảo mật IoT, bảo mật hệ thống CNTT – vận hành… Tổ chức buổi đào tạo, Training kiến thức sử dụng Internet an toàn cho nhân viên SSL SSL TLS giao thức cung cấp tính tồn vẹn mã hóa phiên cho gói gửi từ máy tính sang máy tính khác  Chúng sử dụng để bảo mật lưu lượng mạng từ client đến server server đến server  Nó cung cấp xác thực server đến client client đến server thông qua chứng X.509  Giao thức SSL bao gồm giao thức con: giao thức SSL record giao thức SSL handshake Giao thức SSL record xác định định dạng dùng để truyền liệu Giao thức SSL handshake (gọi giao thức bắt tay) sử dụng SSL record protocol để trao đổi số thông tin server client vào lấn thiết lập kết nối SSL Thuật tốn mã hóa dùng SSL: DES, 3-DES, DSA, KEA, RSA, RSA-KeyExchange, RC2 RC4 Trong thuật tốn trao đổi khố KEA, RSA key exchange sử dụng để bên client server xác lập khoá đối xứng Thuật toán băm dùng SSL: MD5, SHA-1 Khi client server trao đổi thông tin giai đoạn bắt tay (handshake), họ xác định mã hố mạnh sử dụng chúng phiên giao dịch SSL  Reverse Shell Bind Shell   Bind Shell loại shell mà máy mục tiêu mở port giao tiếp lắng nghe chờ kết nối tới Attakcer kết nối thẳng tới port lắng nghe mở mục tiêu sau thực thi code lệnh máy mục tiêu Reverse Shell loại shell mà máy mục tiêu kết nối ngược đến máy Attacker Attacker mở port lắng nghe để nhận kết nối tới từ máy mục tiêu cách sử dụng mã thực thi lệnh đạt BotNet Botnet mạng máy tính điều khiển từ xa tin tặc Ở đây, tên tội phạm mạng thực vai trò “botmaster” sử dụng virus Trojan để xâm phạm bảo mật số máy tính kết nối chúng vào mạng mục đích xấu Mỗi máy tính mạng hoạt động “bot”, kẻ xấu kiểm soát để lây truyền malware, spam nội dung độc hại nhằm khởi động công ... QUÉT VÀ LIỆT KÊ - Các dịch vụ kiểm tra an toàn, bảo mật - Phương pháp đánh giá an ninh mạng: + Liệt kê mạng để xác định mạng IP máy chủ + Quét thăm dò mạng hàng loạt để xác định máy chủ có khả... chế độ transport sử dụng thay chế độ tunnel) Điều giữ cho liệu gửi qua IPsec an toàn riêng tư Truyền(Transmission): Các gói IPsec mã hóa truyền qua nhiều mạng đến đích chúng giao thức transport... giá bảo mật & Xây dựng chiến lược an ninh mạng tổng thể cho doanh nghiệp, bao gồm thành phần: bảo mật Website, bảo mật hệ thống máy chủ, mạng nội bộ, hệ thống quan hệ khách hàng (CRM), bảo mật

Ngày đăng: 17/12/2022, 05:02

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w