Xây dựng qui trình đảm bảo an toàn cho dịch vụ Active Directory trên Windows

Đồ án tốt nghiệp đại học DANH MỤCDANH MỤC CÁC TỪ VIẾT TÁT Từ viết tắt Thuật ngữ Tiếng Anh Thuật ngữ Tiếng Việt AD Active Directory Thu muc dong DNS Domain Name System Hệ thống tên miềnOU

Trang 1

HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG

KHOA AN TOÀN THÔNG TIN

Đề tài: Xây dựng qui trình đảm bảo an toàn cho dịch

vụ

Active Directory trên Windows

Giảng viên hướng dẫn : TS Dinh Trường Duy

Sinh viên thực hiện : Trần Tuấn Minh

Mã sinh viên : BI9DCA T127

Trang 2

[J -Đồ án tốt nghiệp đại học LỜI CẢM ƠN

LỜI CẢM ƠNKết quả của đồ án tốt nghiệp đại học là quá trình tích lũy kiến thức sau hơn 4 nămhọc tại Học Viện Công Nghệ Bưu Chính Viễn Thông Dé có được những kiến thứcquý giá này, em xin gửi lời cảm ơn chân thành và sâu sắc nhất tới tất cả các thầy côgiáo, các cán bộ giảng viên đã và đang giảng dạy tại trường Học viện Công nghệ Bưu

chính viễn Thông, đặc biệt là các thầy, các cô trong khoa An Toàn Thông Tin, cảm on

tat cả các thầy cô trong những năm qua đã diu dắt, day dỗ dé em có được ngày báo cáotốt nghiệp hôm nay

Đặc biệt, em xin gửi lời biết ơn sâu sắc tới Thầy giáo hướng dẫn đồ án tốt nghiệpcủa em — TS Đinh Trường Duy Trong suốt khoảng thời gian làm đồ án, thay đã tậntình hướng dẫn và chỉ dạy, giúp em có những định hướng và phương pháp tiếp cậntrong quá trình tìm hiểu, thực hiện cho tới những bước cuối cùng dé đồ án được hoànthành.

Xin được cảm ơn gia đình, bạn bè và đồng nghiệp đã thường xuyên quan tâm, giúp

đỡ, chia sẻ kinh nghiệm trong thời gian học tập, nghiên cứu cũng như trong suốt quátrình em thực hiện làm đồ án tốt nghiệp

Do trình độ kiến thức cũng như kinh nghiệm thực tế còn nhiều hạn chế, nên trong

đồ án của em không thé tránh khỏi những thiếu sót Vì thế, em rất mong nhận được sự

quan tâm, góp ý của các Thay, Cô dé dé án của em được hoàn thiện hơn.

Những ý kiến cũng như góp ý của các Thay, Cô sẽ giúp em nhận ra những hạn chế,qua đó em sẽ có thêm những nguồn tư liệu cũng như kiến thức mới cho con đường họctập cũng như công việc sau này.

Em xin chân thành cảm on!

Hà Nội, tháng 12 năm 2023

Sinh viên thực hiện

Trân Tuân Minh

Tran Tuan Minh _B19DCAT127

Trang 3

Đồ án tốt nghiệp đại học

NHAN XÉT, ĐÁNH GIÁ, CHO DIEM

(Của Người hướng dẫn)

Điểm (bằng chữ )

Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng cham đồ án tốt nghiệp?

Hà Nội, ngày tháng năm 2024

CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN

(ký, họ tên)

Trang 4

Đồ án tốt nghiệp đại học

NHAN XÉT, ĐÁNH GIÁ, CHO DIEM

(Của Người phản biện)

Hà Nội, ngày tháng năm 2024

CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN

(ký, họ tên)

Trang 5

Đồ án tốt nghiệp đại học MỤC LỤC

MỤC LỤC

0/00/9069 HHdg , i4 i

M.9028)/160/985)n)280.0)) 10007157 iiiDANH MỤC CAC BANG BIEU esssessssesssseessseessneeesneeessseessnecsnneeesnesenneeneeeneeeneeets viDANH MỤC CAC TỪ VIET TẮTT -2¿©5+¿22S++22EYE2EEE2EE122112211221221 2 crkkd vii

NY (O53 On villCHUONG 1 TONG QUAN VE ACTIVE DIRECTORY 5:552 25222525 |

1.1 Giới thiệu Active DIT€CfOTV c- c1 3121112 11101112 1110111011111 1 11H kg 1 1.2 Tính năng của Active IDIT€C{OFV - c1 3 n1 ST TH T1 1k HT nếp 21.3 Kiến trúc của Active Dir€CtO - 22 + S2 2221E2E21122122121121122121121 21c xe 3

1.3.1 Đối tượng trong Active DiT€CfOTY - 5c cc scềEEEEE21121121121121 1111 ctxe 3

1.3.2 Mô hình dit liệu Active IDDIT€CfOTV - c1 2c 12 1112 1111111111111 kg 31.3.3 Các thành phần của Active DireCtOTV -¿- 5-52 SE 2E EEEEEEEeErrrreeg 41.4 Xác thực và Phân quyền trong Active DirectOrV - - c5 cs+scxsxerersrrxerrei 7

1.4.1 Xác thực trong Active DIT€CÍOFV S1 n SH ng ng ng như 71.4.2 Phân quyên trong Active DireCtOFY ¿- 2: +: 5222222 2EEx2E2xczxerrzxees 141.5 Kết chương ¿5c St E1 1211211211211211211211 2111111111 1 1111 gtrrrey 15CHƯƠNG 2 CÁC KỸ THUAT TAN CÔNG ACTIVE DIRECTORY 16

2.1 Các kỹ thuật trích xuất thông tin xác thực - - 2 +s+c+E£2E+EeEeEerrxrksed 16

2.1.1 Chi tiết qui trình xác thực trong Windows - 2-52 c+tccxerererkerees 162.1.2 Các kỹ thuật dé lay được thông tin xác thực -¿cz+cs+sz+xee: 182.2 Các kỹ thuật tắn công -¿ 2 tt St 1E 121111511211121111111111111111 1171111 yeu 18

2.2.1 Kỹ thuật Golden Ticket Attack ccc ecceeccecssceeceeeneceseeeeeeeseessseesteeeenaes 18 2.2.2 Kỹ thuật AS-REP Roasfting - - óc 1k1 2 SH TH TH kg kg kết 202.2.3 Kỹ thuật tắn công Pass-the-Hash 2-2 S252 EE2ESEE2EEEEEEeErkreei 212.2.4 Kỹ thuật KerberoaSfInØ - - - c 111121191111 111111 1111111111111 E11 krrg 23 2.2.5 Kỹ thuật NTLM Relay - - 22c St *S SH TH HH TH HT ng kệ, 232.2.6 Kỹ thuật tan công Pass-the-Ticket ¿+ 2 Sx‡EEEE2EEEE2EEEeEerrkrkes 262.3 Kết chương -:- 2-52 212E1211211217171111111211211211211211111111 21012111 En xe 27CHUONG 3 QUI TRINH DAM BAO AN TOAN CHO DỊCH VỤ ACTIVE

DIRECTORY 0.00 ceecceeccsscescessecseessecesessecesessececececeaecseceaeseeeseceeeseceeeseeeesaaeesneeesnaeeesaes 28

3.1 Tam quan trong của bảo vệ Active Directory eccccsccescesssssessesesseeseeseseseeseees 283.2 Qui trình đảm bảo an toàn ¿c1 1111221111211 1111111582111 111158821111 xe 29

3.3 Kết chương -¿- 2-52 S22St2E2EE21E11811211112112112112112111111111 110111111111 1111 te 36

Trần Tuan Minh B19DCAT127 i

Trang 6

Đồ án tốt nghiệp đại học MỤC LỤC

CHƯƠNG 4 CÀI ĐẶT VA THU NGHIỆM -¿- 2 2+52+E+EE+E£EvEEEEEEEEEeExrkrree 37

4.1 Mô hình ¿- s s5 E12E12112121111111111111111121111111111 111011111111 1e 37 4.2 Kịch bản -¿- 5c t1 111111111 1111211211211 11 1 1 1 11101111111 rryg 47

4.2.1 LLMNR PoIsoning - - - 121121111 v11 11119111101 11H kg rrh 47 4.2.2 AS-REP ROaS(InE - LH vn T TH TH TH TH TH TT HH KH kết 48 4.2.3 Cai đặt va thử nghiệm theo kịch bản - c5 2c s**+++2kkxsseeerresreks 504.3 Kết chương ¿5c s1 1E 215112111211 1121111111111101111 0111011101211 tre 66KET LUẬN - 5c SE 1211211211211211211 111111111 1111211212111 E111 1 tre 67TAI LIEU THAM KHẢO - 2-5: sSE+E‡EE2EEEEEE2EEEE21211121511111111111 1111111 xe 68

Trần Tuan Minh B19DCAT127 ii

Trang 7

Đồ án tốt nghiệp đại học DANH MỤC

DANH MỤC HÌNH ẢNHHình 1.1 Tổng quan về Active Dir€CfOTV 25s 2s+EE9EE2EE2E12E121122121717122 2221 cxeE 1Hình 1.2 Các đối tượng trong Active Directory c cecccsscessessesessessessessessesseseseseseseeees 3

Hình 1.3 Domain trong Active IDIT€C{OTV - - c c1 3211312111191 1118111118 11118111 se 5 Hình 1.4 Vi dụ Ous trong Active IDIT€CfOTV - c 311211 111 1111111111118 1 kg 5Hình 1.5 Ví dụ về cây domain trong Active Dir€CfOFY 5 ScScSzcx2EcEeEerrxrxerres 6Hình 1.6 Ví dụ về rừng domain trong Active DirectOFy 52 ss+x+cscxzEerzxsree 6Hình 1.7 Qui trình xác thực trong WIndOWS - n1 vn 1S TH v1 nh vn 7 Hình 1.8 Quá trình xác thực NTM - c6 2211113211111 11 1181111511118 1 11811 xe 8 Hình 1.9 Qua trình xác thực KerberoS ccccccccccccscccesscccessceeeseecesssseeeeceseessseeeeeeeeees II Hình 1.10 Các thông tin trong AS REQ HH HH HH gu 11 Hình 1.11 Các thông tin trong AS REEP - 2G 011211 312v TH ng ng key 12 Hình 1.12 Các thông tin trong TGS REQ - ngư 12 Hình 1.13 Các thông tin trong TGS RETP G 3S 312112 1111111111111 1151k rree 13 Hình 1.14 Các thông tin trong AP_ REO -Q Q TT S*S SH TH TH TH key 14Hình 2.1 Quá trình đăng nhập trực tiẾp -¿- 2: 5¿+22+2++2E2EE2EEEEE2EE2EEEEEzrzrrred 16Hình 2.2 Access Token được lưu sau khi đăng nhập thành công - -. - 17 Hình 2.3 Qui trình đăng nhập mạng - - c5 11H ng ng ưệt 17Hình 2.4 Sơ đồ qui trình xác thực trong WindOWS ¿2-52 cscEcEeEzEerxerrkrxrei 18Hình 2.5 Điều kiện của tắn công AS-REP Roasting -. 2-5: ++c+2czxvzxzxzxez 20Hình 2.6 Quá trình tan công Pass-the-Hash - 5-2 sSEEE‡EEEEEEE2EEEEEEEEEErEereeg 21Hình 2.7 Qui trình tan công NTLM Relay ccccsccecscsssseesesesessesessseesssvssesvsvsesseeseses 24Hình 2.8 Phân giải hostname ma DNS xác dinh eee eecceeseeeteceseeeenteeeessneeeeneneees 25 Hình 2.9 Phân giải hostname ma DNS không xác định - 55 55c c<sss++c+sss2 25Hình 2.10 Qui trình tan công LLMNR Poisoning - 5c sxeEEeExeExrEerxzrerees 25Hình 2.11 Brute-force mật khẫu ¿tt +E+E+EEEEEEEEEEEESESEEEEEEEESESEEEEEEEErErkrkrrrea 26Hình 3.1 Qui trình đảm bảo an toàn tổng quan 2-5 s5E+2E+E£EE2E+EzE+EerxzEerees 28

Hình 3.2 Qui trình đánh giá rủi ro và lỗ hông ¿+ 2 522 2E £E2E+EeEerrxrrrreei 29

Hình 3.3 Qui trình xử lý tài khoản không còn hoạt động - c3 csssxx 30Hình 3.4 Qui trình triển khai xác thực mạnh -¿-s- + s+x+ESt+E£EvEE+EeEEEsEeErxrrrrrrea 31Hình 3.5 Qui trình han chế thành viên trong các nhóm có đặc quyền cao 32Hình 3.6 Qui trình xác định tài khoản sở hữu đặc quyền quá mức - - 32Hình 3.7 Qui trình triển khai phần mềm antivirus và antimalware - - - s: 33Hình 3.8 Qui trình giám sát và theo dõi các hoạt động bat thường - 35Hình 4.1 Cài đặt thành công AD Domain Se€rvIC€S .- - 5c 2323 * 2 ++sx+ssevxss 37 Hình 4.2 Đặt tên cho dorma1n - - G22 11333222111 1112 5531111158531 11 11111 1 vn ren 38Hình 4.3 Đặt mật khâu cho DSRM 2-5552 t2 trtttrrtttrrrrrrrrtrrrrirrrirrie 38Hình 4.4 Tên Domain sau khi nâng lên DC - 5 6 5E 1E viet 39Hình 4.5 Chuyển Groups users sang OU GrOUDS ¿- 52 2+E+E+2Ee£EzEzEerzrsrred 39Hình 4.6 Nhập thông tin cho User THỚI - .- 25 32183211183 351 E111 xe 40Hình 4.7 Đặt mật khẩu cho user mớii - ¿+ St 2x+EvEEEE+EEEESEEEEEEEEEEE5EE1E1E1E111 1E ExE 40Hình 4.8 Thông tin chi tiết CỦa US€T - - 2-5-5252 SSE2EEEEEEE2EEEEEEEEEEEEEEEEEEEEEErkrkrrrei 40Hình 4.9 Người dùng rdp được copy từ AdminIsfrafOF - -cssss*ss++ssvexsssesrs 41 Hình 4.10 Danh sách các US€TS - G1 2112111111211 111911 1111p 41Hình 4.11 Thiết lập SPN.i ccccecceccsccccessesscssessessessesscsscssessesssssssessessessessessessesseseeeesecsees 41

Trần Tuan Minh B19DCAT127 iii

Trang 8

Hình 4.13 Dia chỉ IP máy AD sàn HH TH HT HH nh HH nếp 42

Hình 4.14 Thiết lập DNS - 2-52-5222 E2E9215715117121121121121121 111121111111 re 43

Hình 4.15 Nhập domain name - - 2+1 1619911 11 E119 1E vn ng rkt 43 Hình 4.16 Nhập thông tin đăng nhập của AdminISfrafOT s6 55s +<*s*vesss 44 Hình 4.17 Danh sách các GTOUDS - c2 1133221111251 13151 1119211118 1111811 11g 1 rrh 44 Hình 4.18 Danh sách user trong ðTOUD - -.- + 1 E91 9 9 ng ngư Hưkt 44 Hình 4.19 Thêm domain user VàO ØTOUD - 5 c0 322101332 11339511 118111181111 1x 45 Hình 4.20 Danh sách user sau khi thêm domain uS€T - - 55 5322 **++=++eex+sesxs+ 45 Hình 4.21 Chia sé folder BIEU-MAAU G2 2112111511351 1 9 111901111 như 46 Hình 4.22 Danh sách user sau khi thêm domain uS©T - - 55 55355 **++£++ee+seexs+ 46

Hình 4.23 Danh sách các máy trong miỄn - 2 ¿+ S92 ềEE£E£EEEEEEEEEEEEEerkrkerees 47

Hình 4.24 Chạy tool reSpo'id€T (2 1221112211121 12 111 111 1111011111 81111188111 ky 47Hình 4.25 Victim truy cập đến hostname không tổn tại - - 2: 2 2 2+x+£e£szxzzz 47Hình 4.26 Responder lay được NTLM Hash -2- 2 S22 S‡E£E£E£E2E‡EeEeErrxzxrei 47Hình 4.27 Dùng tool John the Ripper dé crack NTLM Hash 25 522552 48Hình 4.28 Cấu hình dễ bị tấn công AS-REP Roasting - 2-52: 48

Hình 4.29 Các tùy chọn ctia SCTIDÍ - . c1 1221112111211 1 111112 1111111111 TH kg ky 49Hình 4.30 Lay vé TGT của nạn nhân 2: 2 2 E2E22EE2EE2EE2EEEEEEEEEEEEEEErkererkrree 49Hình 4.31 Dùng tool John the Ripper để giải mã vé TGT -2:©2¿222 5552 49Hình 4.32 Trang web chứa lỗ hồng 2-2 ¿52+ 2EEEEEEEEEEEEEEEEEEEE121121121121E 1E xeE 51Hình 4.33 Kiểm tra sự tồn tại của lỗ hổng Command Injection -: 52Hình 4.34 Tha Webshell vào máy chủ c1 2c 3211121112111 111 111511111111 re 52Hình 4.35 Kiểm tra xem tha thành công Webshell chua c cccccscssesseeseesesssseeeesees 53Hình 4.36 Kiểm tra IP của may Chi cccccsscsssessessssssessesssessessesssesseesessusssesseseceesseeeeees 53Hình 4.37 Liệt kê thư mục home cceeeccccseessssecsesssseesesseesssesesesssesssssssseaes 54 Hình 4.38 Liệt kê thư mục devops(@)MINHIT T.loaÌL - - - -cs se 54 Hình 4.39 Liệt kê thư mục SSỈ -. ¿2E EEE222211EE 1135311111 1E531 111111111 tr rrrrrer 5S Hình 4.40 Đọc nội dung tép id_ r$4 - - 22 2211221112511 111199111 19H key 55 Hình 4.41 Quét dải mạng 192 168 1'74./24 5c 2.11211211119111 1 1H như 56 Hình 4.42 SSH thành công vào DESKTOP-HOST2 - c2 +22 sekrsseres 56Hình 4.43 Kiểm tra đặc quyền của người đùng devOps ¿5-5 52ccccczxcrsrxzes 56Hình 4.44 Tao ban sao của SAM và SYSTEM - 2211 nh, 57Hình 4.45 Truyền tệp sang máy tan công sử dụng S€D 2-2 22c2+c2+Eezzxcreei 57Hình 4.46 Trích xuất băm NTLM trong SAM và SYSTEM - 2-5 s+s+czszc+ 57Hình 4.47 Hién thị thông tin tài khoản A dmin 2: ©525222++2E2E2£Ee£xzxzzzzxez 58Hình 4.48 Bẻ khóa mật khẩu của tài khoản Admin - :-ccc:c5cvccccvvvrerrrrree 58Hình 4.49 Các tệp của MiimIKafZ - . - 1S SH ng nghiệt 58Hình 4.50 Thực hiện kết nối từ xa đến may DESKTOP-HOST2 - 2-2 5+ 58Hình 4.51 Kiểm tra người dùng hiện tại sau khi kết nối ¿- ¿2 2+5 5s+5++: 59Hình 4.52 Tắt tường lửa -¿- ¿S221 E19 121121121121121121121121111111 1111k 59Hình 4.53 Tắt Windows Defendet c.cccccsccssessessessessessesssssesssssssessessessssesesscssseeesscees 59Hình 4.54 Thực hiện kết nói từ xa với folder được liên kết .: :+ccc+cce¿ 60Hình 4.55 Kiểm tra xem folder được kết nối thành công không - - 25: 60Hình 4.56 Copy tệp mimikatz.exe sang máy DESKTOP-HOSTT2 -.«cc se 60Hình 4.57 Chạy mimikatz và thêm đặc quyền debug - ¿2 2 +cs+£+xe£zzzxzed 61Hình 4.58 Trích xuất danh sách người dùng đã đăng nhập 2 552: 61Trần Tuan Minh B19DCAT127 iv

Trang 9

Hình 4.59 Bam NTLM của người dùng bob - - cv ng ng ngư 61Hình 4.60 Tan công máy DESKTOP-HOST3 bang kỹ thuật Pass-the-Hash 62Hình 4.61 Truy cập vào folder BIEU-MAU - S5 1kg như 62Hình 4.62 Thay đôi giá trị Target trong file wOrd - 2-2: s¿22+22s+£xe2xzzxezxzrszxez 62Hình 4.63 Truyền file docx độc hại sang folder BIEU-MAU - 552552 63Hình 4.64 Chạy tool r€SDOTI€T G111 Tnhh nàn 63Hình 4.65 Tool responder lay được băm NTLM -2- - 2 2 +EE+E££E£E+EeEzErxeei 63

0168001 6‹1 1 63Hình 4.67 Lay vé TS ¿- 2s S12 19E12151121212112111211111111111111 11111101111 re 64Hình 4.68 Các lựa chọn giải mã của hashcaf - . - c1 vn Hee 64Hình 4.69 Thu được mật khâu của người dùng rdp - 2-5 5 z+s+c++Eezxeezeerxzed 64Hình 4.70 Leo quyền trên IC ¿2 SE E9EE9EE+EEEE2EEEEEEE2EE11211112121 11111111 xe 65Hình 4.71 Kiểm tra tài khoản hiện tại sau khi leo quyễn - 2-5 cszszzszxze+ 65

Trần Tuan Minh B19DCAT127 v

Trang 10

DANH MỤC CÁC BANG BIEUBảng 1.1: Cau trúc của băm NTILM 2: ©5¿22222E‡2E2E22EEEEE2EE22EE21211221221 22x 8

Trần Tuan Minh B19DCAT127 vi

Trang 11

DANH MỤC CÁC TỪ VIẾT TÁT

Từ viết tắt Thuật ngữ Tiếng Anh Thuật ngữ Tiếng Việt

AD Active Directory Thu muc dong

DNS Domain Name System Hệ thống tên miềnOUs Organizational Units Don vi tổ chứcACLs Access Control Lists Danh sách kiêm soát truy cập

DC Domain Controller Bộ điều khiến miền

SAM Security Account Manager Quan ly tai khoan bao mat

NTLM New Technology LAN Quan lý người dùng va mật khau

PoLP Principle of Least Privilege Nguyên tắc it đặc quyên nhậtGPOs Group Policy Objects Đối tượng chính sách nhóm

LSASS Local Security Authority Dich vụ phụ trách hệ thông bao

Subsystem Service mật cục bộ SMB Server Message Block Giao thức thông điệp máy chủRDP Remote Desktop Protocol Giao thức điều khiên máy tính từ

xa

LLMNR Link-Local MulticastName | Giao thức đa điểm nội liên kết cho

Resolution tên máy tính

Trang 12

Đồ án tốt nghiệp đại học MỞ ĐẦU

MỞ DAUTrong thời đại số ngày nay, dịch vụ Active Directory đóng vai trò quan trọng trongviệc quản lý và duy trì môi trường mạng của doanh nghiệp Active Directory là mộtphần của hệ điều hành Microsoft Windows và được thiết kế dé hoạt động tốt trên nềntảng Windows Là nền tảng chính cho việc quản lý người dùng, tài nguyên, và chínhsách bảo mật, Active Directory không chỉ là bảo vệ chống lại những mối đe dọa ngàycàng tỉnh vi mà còn là nguồn cấp động mạnh mẽ cho sự kết nối và quản lý hiệu quả

Tuy nhiên, với sức mạnh đến từ sự linh hoạt và tính toàn diện của Active Directorycũng đi kèm với những thách thức bảo mật ngày càng phức tạp Đối mặt với nguy cơ

từ các kỹ thuật tan công ngày càng tinh vi, việc xây dựng một qui trình đảm bảo antoàn hiệu quả trở thành một yêu tố không thê phủ nhận

Với dé tài “Xây dựng qui trình dam bảo an toàn cho dịch vụ Active Directorytrên Windows”, đồ án này tập trung nghiên cứu về Active Directory, các kỹ thuật tấncông phô biến từ đó xây dựng qui trình đảm bảo an toàn, giúp bảo vệ Active Directorytrước các cuộc tấn công mạng tiềm ẩn

Đồ án được chia thành 04 chương với nội dung như sau:

Chương 1: Tổng quan về Active Directory

Chương này sẽ tập trung vào giới thiệu tông quan vê Active Directory, bao gôm các khái niệm cơ bản, câu trúc tô chức, chức năng quan trọng, xác thực và phân quyên.

Chương 2: Các kỹ thuật tan công Active Directory

Chương 2 phân tích và đánh giá các kỹ thuật tấn công phố biến mà ActiveDirectory có thể phải đối mặt Băng cách hiểu rõ về những mối đe dọa này, sẽ giúpchuẩn bị tốt hơn trong việc xây dựng các biện pháp bảo mật

Chương 3: Qui trình đảm bảo an toàn cho dịch vụ Active Directory

Chương 3 giới thiệu và phân tích các bước cụ thé dé xây dựng một qui trình dam

bảo an toàn cho Active Directory Các chính sách, và các biện pháp bảo mật sẽ được

thảo luận dé giúp triển khai một hệ thống an toàn và ôn định

Chương 4: Cài đặt và thử nghiệm

Chương này sẽ tập trung vào quá trình triển khai và cài đặt kịch bản thử nghiệmKịch bản thử nghiệm sẽ được sử dụng để đánh giá tính hiệu quả của qui trình đảm bảo

an toàn cho dịch vụ Active Directory được xây dựng ở chương 3.

Trần Tuan Minh B19DCAT127 viii

Trang 13

Đồ án tốt nghiệp đại học CHƯƠNG I

CHUONG 1.TONG QUAN VE ACTIVE DIRECTORYChương nay sé tập trung vào giới thiệu tổng quan về Active Directory, bao gồmcác khái niệm cơ bản, cau trúc t6 chức, chức năng quan trọng, xác thực và phân quyền.

1.1 Giới thiệu Active Directory

Active Directory (AD) — thư mục động là một dịch vụ thư mục được Microsoft

phát triển cho các mạng sử dụng Windows domain Dịch vụ này chạy trên

Windows Server và cho phép quản trị viên quản lý các quyền và quyền truy cập vào

tài nguyên mạng Active Directory lưu trữ dữ liệu dưới dạng đối tượng Đối tượng

là một thành phần duy nhất, chang hạn như người dùng, nhóm, ứng dụng hoặc thiết

bị như máy in.

Group Policies applied

to Users, Groups or

Organizational Units

Administrative tasks easily delegated

Ld * * Michael John

Can reset users Full Control : x “ương a

passwords — Startup and 4 3 nrg

ẰM: £ scripts Configuratt

Configuration

Modify group | Compute |

membership "ee mae Configuration J Group Policy 2

Hình 1.1 Tổng quan về Active Directory

Khi Windows 2000 được phát hành, Microsoft tích hợp một thành phan là Active

Directory Khi máy chủ Windows sử dụng Windows 2000 Server, Windows Server

2003 hay Longhorn Server, công việc của domain controller (bộ điều khiển miền) là

chạy dịch vu Active Directory Active Directory chính là trái tim của Windows Server

2003, hầu như tat cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều

khiển của Active Directory Từ phiên bản Windows NT4.0 trở về sau, Microsoft đãphát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như các đốitượng user, computer, group cung cấp những dich vụ (directory services) tìm kiếm,Trần Tuấn Minh _B19DCATI27 |

Trang 14

kiểm soát truy cập, ủy quyên, và đặc biệt là dịch vụ chứng thực được xây dựng dựa

trên giao thức Kerberos hỗ trợ cơ chế single sign-on, cho phép các user chi cần chứngthực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất cả những tàinguyên và dịch vụ chia sẻ của hệ thống với những quyền hạn hợp lệ

Với những tiện ích và dịch vụ mạng lại, Active Directory đã làm giảm nhẹ côngviệc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thểthực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây có thê tiến

hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách

chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị dé phân chia

khả năng quan lý trong một môi trường rộng lớn [1].

1.2 Tinh năng của Active Directory

Active Directory (AD) là một dich vu quan ly và xác thực người dùng trong một

mang Windows Nó cung cấp một cơ sở dữ liệu trung tâm để quan lý thông tin vềngười dùng, nhóm và các đối tượng khác trong một môi trường mạng doanh nghiệp.Active Directory giúp tô chức quản lý và điều khiển quyền truy cập vào tài nguyênmạng, đồng thời cung cấp tính năng bảo mật và tổ chức hóa dữ liệu Dưới đây là một

số tính năng quan trọng của Active Directory:

- Luu trữ dữ liệu tập trung: Dữ liệu và thông tin hệ thống được lưu trữ tập trung,

cung cấp khả năng truy cập từ mọi nơi vả nâng cao hiệu suất quản tri.

- Kha năng linh hoạt với nhu cầu: Active Directory linh hoạt với nhu cầu cụ thé,

cung cấp giải pháp quan trị đa dạng trên các nền tang hạ tang khác nhau

- _ Cơ sở dữ liệu của Active Directory cho phép tùy chỉnh và phát triển, hỗ trợ việc

phát triển ứng dụng sử dụng cơ sở dữ liệu này

- Kha năng quản trị linh hoạt dé dang: Active Directory được tô chức theo cơ chế

của Directory Service đưới mô hình tô chức Directory giúp các nhà quản trị cócái nhìn tổng quan nhất đối với cả hệ thống, đồng thời giúp user có thể đễ dàngtruy xuất và sử dụng tài nguyên hệ thống

- Tich hợp với Domain Name System (DNS): DNS là một đối tác rất cần thiết

đối với Active Directory, trong một hệ thống mạng, các dich vụ của ActiveDirectory chỉ hoạt động được khi dịch vụ DNS được cài đặt DNS có trách

nhiệm dẫn đường, phân giải các Active Directory Domain Controller trong hệ

thống mạng, và càng quan trọng hơn trong môi trường Multi Domain DNSđược dễ dàng tích hợp vào Active Directory để nâng cao độ bảo mật và khảnăng đồng bộ hóa giữa các Domain Controller với nhau trong môi trường nhiều

Domain.

- Quan lý dựa trên chính sách: Trong Active Directory, việc quản trị hệ thống

mạng được dam bảo một cách chắc chăn thông qua các chính sách quản trị tàinguyên, các quyên truy xuất trên các site, domain và các organization unit Đây

Tran Tuấn Minh B19DCAT127 2

Trang 15

là một trong những tính năng quan trọng nhất được tích hợp vào ActiveDirectory.

- _ Đồng bộ dit liệu: Kha năng đồng bộ dit liệu thông tin giữa các domain dé giảm

rủi ro và nâng cao khả năng hoạt động của hệ thống

- _ Xác thực, ủy quyền linh hoạt và an toàn: Active Directory cung cấp nhiều co

chế xác thực như Kerberos, Secure Socket Layer (SSL) và Transport Layer

Security (TLS) giúp cho việc bảo mật thông tin của user khi xác thực thông tintruy xuất tài nguyên [1]

1.3 Kiến trúc của Active Directory

1.3.1 Đối tượng trong Active Directory

Dữ liệu trong Active Directory như là thông tin người dùng, máy in, may chủ, co

sở đữ liệu, các nhóm, các máy tính và các chính sách bảo mật được tô chức như cácđối tượng (objects) Mỗi đối tượng có những thuộc tính riêng đặc trưng cho đối tượng

đó, ví dụ như đối tượng người dùng có các thuộc tính liên quan như tên đăng nhập,mật khẩu và đối tượng máy tính có các thuộc tính như tên máy tính, mô tả

Một sô đôi tượng đặc biệt bao gôm nhiêu đôi tượng khác bên trong được gọi là các

“container”, ví dụ như domain là một container bao gôm nhiêu người dùng và tài

khoản máy tính [1].

Hình 1.2 minh họa các đối tượng trong Active Directory

Active Directory Gbjects

Contact Organizations’

Uinit

iI

k | 5 iif iii J sưng unnh = ale - -—o- -.-—_- L_

Policy Volume Seneric Object site Site Link Site Link Bridge berve

> mM *$ 3 I

NTDS Site P Subnet Certificat Licemsing Site

Hình 1.2 Cac đối tượng trong Active Directory

Trang 16

1.3.2 Mô hình dữ liệu Active Directory

Trong Active Directory, cơ sở dữ liệu lưu trữ chính là AD Schema, Schema là một

danh sách các định nghĩa xác định các loại đối tượng và các loại thông tin về đối tượng

lưu trữ trong Active Directory.

Schema được định nghĩa gồm hai loại đối tượng là: đối tượng Schema Class và đối

tượng Schema Attribute.

¢ Schema Class: Mỗi Schema Class đại diện cho một loại đối tượng cụ thể trong

Active Directory và định nghĩa cách mà đối tượng được biểu diễn trong hệthống Nó xác định các thuộc tính mà đối tượng thuộc lớp đó có thé có

¢ Schema Attribute: Mỗi Schema Attribute đại diện cho một thuộc tính của một

loại đối tượng cụ thể Các thuộc tính này có thé là thông tin như tên, địa chỉ, sốđiện thoại, Schema Attribute định nghĩa kiểu dữ liệu của thuộc tính, cách mà

nó được lưu trữ và cách nó được hiền thị trong giao diện người dùng

Mặc định thì một tập hợp các Schema Class va Schema Attribute được đóng gói

săn chung với Active Directory Tuy nhiên quản trị viên có khả năng quản lý và mở

rộng Schema bang cách thêm các Schema Class tùy chỉnh dé đáp ứng nhu cầu tổ chức

cụ thể Điều này có thể bao gồm việc tạo ra các lớp mới với các thuộc tính mới

1.3.3 Các thành phan của Active Directory

Active Directory bao gồm nhiều thành phần quan trọng để quản lý người dùng,máy tính, và các đối tượng khác trong một môi trường mạng Trong mô hình mạngdoanh nghiệp, các thành phần của Active Directory được sử dụng, áp dụng để xâydựng nên các mô hình phù hợp với nhu cầu các doanh nghiệp Xét về khía cạnh môhình kiến trúc của AD thi phân làm 2 loại là Vật ly va Logic

Cấu trúc Logic: Trong AD, việc tổ chức tài nguyên theo cấu trúc logic, được ánh

xạ thông qua mô hình domains, Organizational Units (OUs), trees và forest.

lưu trữ hàng triệu đối tượng (objects) Active Directory được kiến tao bởi mộthay nhiều domain và một domain có thê triển khai trên nhiều cấu trúc vật lý

Việc truy cập vào domain được quản trị thông qua Access Control Lists

(ACLs), quyền truy xuất trên domain tương ứng với từng đối tượng

Trang 17

Objects Ñỳ Schema

Hình 1.3 Domain trong Active Directory

® OUs: OU là một container được dùng để tô chức các đối tượng trong một

domain thành các nhóm quản trị luận lí (logical) OUs bao gồm nhiều đối tượngkhác nhau như là tài khoản người dùng, các nhóm, các máy tính và các OUs khác tạo nên các cây OUs trong cùng một domain OU cho phép người quản tri

tổ chức và quản lý các đối tượng theo cách linh hoạt hơn

Trang 18

e Trees (cây): Trees là một nhóm các domain được tổ chức theo cấu trúc hình cây

với mô hình cha-con ánh xạ từ thực tế tổ chức của doanh nghiệp, tô chức Mộtdomain có một hoặc nhiều domain con nhưng một domain con chỉ có một

Hình 1.5 Vi dụ về cây domain trong Active Directory

e Forests (rừng): Forest là một thuật ngữ được dat ra nhằm định nghĩa một mô

hình tổ chức của AD, một forest gồm nhiều domain trees có quan hệ với nhau,các domain trees trong forest là độc lập với nhau về tô chức Các domain trongforest hoạt động độc lập với nhau, tuy nhiên hoạt động của forest là hoạt động

của toàn bộ hệ thống tô chức doanh nghiệp

Domain Forest

(Domain trees joined by trust relationships)

acme.com

sales.acme.com pr.acme.com accounts.tre.com engineering tre.com

=Organizational Unit (OU) YY

Domain Tree

A- Domain

Hinh 1.6 Vi du vé rieng domain trong Active Directory

Physical Structure: Gồm 2 phan là Sites va Domain Controllers Tùy thuộc vào môhình tổ chức của công ty, người quan trị sẽ phải dùng các thành phan này dé thiết kếsao cho phù hợp

Trang 19

Sites: Site là một thuật ngữ được dùng đến khi nói về vị trí địa lý của cácdomain trong hệ thống Khi hệ thống các domain được phân tán ở những vị tríđịa lý, những nơi khác nhau và có quan hệ với nhau thì những nơi đặt các domain nay chính là Site.

Domain Controllers: Domain Controller (DC) là một máy tính hay server chuyên dụng được cài đặt Windows Server và lưu trữ bản sao của Domain

Directory (cơ sở dt liệu domain cục bộ) Một domain có thể có một hay nhiềudomain controller, mỗi domain controller đều có bản sao đữ liệu của Domain

Directory Domain Controller chịu trách nhiệm chứng thực cho người dùng va

chịu trách nhiệm đảm bảo các chính sách bảo mật được thực thi [1].

1.4 Xác thực và Phân quyền trong Active Directory

1.4.1 Xác thực trong Active Directory

a Qui trình xác thực trong Windows

Windows Login Flow

Local user

‘Tai khoản bình thường

+ khong dính dang gì đến AD

! Domainuser @)

Việc kiểm tra credetials của user sẽ do lsass.exe Gumnsaxeseuus eavevaesacssweance + ©

(Local Security Authority Subsystem Service) xử lý Tài khoản chịu sự quan lý

của Active Directory

L——>

Domain Controller

Hình 1.7 Qui trình xác thực trong Windows

Khi một người dùng thực hiện đăng nhập vào máy tính Windows sẽ chia làm hailuồng:

® Người dùng cục bộ: Isass.exe kiểm tra thông tin xác thực của người dùng đối

chiếu với cơ sở dữ liệu SAM (Security Account Manager) — cơ sở dữ liệu trênchính máy cục bộ Trong cơ sở dữ liệu SAM sẽ chứa băm mật khẩu của người

dùng.

Người dùng miền: Isass.exe truy vấn đến Domain Controller để xác định xemthông tin xác thực có đúng không Domain Controller sẽ dựa vào bảng dé đốichiếu với thông tin đăng nhập mà người dùng cung cấp Khá tương đồng với/etc/shadow cua Linux Thông tin xác thực được lưu tập trung trong tập tin NTDS.dit có định dạng là các băm NTLM.

Trang 20

Khi xác thực với Domain Controller, một trong hai giao thức sẽ được sử dụng:

NTLM hoặc Kerberos [2].

b Xác thực NTLM

New Technology LAN Manager (NTLM) là một giao thức bảo mật được sử dụng

dé xác thực danh tinh của người dùng trong AD NTLM có thé được sử dụng dé xácthực bằng cách sử dụng thử thách và phản hồi (challenge-response-based) có tên là

Username Tên tài khoản

RID Relative Identifier, mã số này là độc nhất nhằm giúp AD định danh

Trang 21

1 Khi đã đăng nhập, mật khẩu bản rõ được lưu trong bộ nhớ dưới dạng băm mật khẩu(băm NTLM)

2 Đầu tiên máy khách sẽ gửi gói NEGOTIATE dé bắt đầu quá trình xác thực

3 Máy chủ sẽ gửi thử thách là một con số ngẫu nhiên về cho máy khách

4 Máy khách sẽ mã hóa thử thách đó bằng băm mật khẩu và gửi cho máy chủ Gọi làphản hoi NTLM

5 Máy chủ sé gửi thử thách và phan hồi NTLM cho DC dé nhờ DC xác thực

6 DC dùng băm mật khẩu có sẵn trong NTDS.dit dé mã hóa thử thách và nếu ra đúnggiá trị phản hồi NTLM nhận được thì xác thực thành công

7 Sau đó máy khách và máy chủ có thê nói chuyện với nhau [3]

c Xác thực Kerberos

Kerberos là giao thức mặc định để xác thực các yêu cầu dịch vụ giữa các thiết bịđáng tin cậy trên mạng Kerberos được sử dụng từ Windows 2000 và là một phần quantrọng của Windows Active Directory (AD)

- Các thành phần Kerberos

+ Tầng giao vận

Kerberos sử dụng UDP hoặc TCP làm giao thức truyền tải, gửi dữ liệu ở dạng văn

bản rõ ràng Do đó, kerberos chịu trách nhiệm cung cấp mã hóa

Các port được Kerberos sử dụng là UDP/88 và TCP/88, sẽ được lắng nghe trongKDC

+ Doi tac (Agents)

Một số đối tac làm việc cùng nhau dé cung cấp xác thực trong Kerberos, bao gồm:

e May khách hoặc người dùng muốn truy cập vào dịch vụ

e AP (Application Server) cung cấp dich vụ theo yêu cầu của người dùng

¢ KDC (Key Distribution Center — Trung tâm phân phối khóa), dịch vụ chính của

Kerberos, chịu trách nhiệm phát hành vé (tickets), được cai đặt trên DC

(Domain Controller) Nó được hé trợ bởi AS (Authentication Service), nơi phát

hành TGTs (Ticket Granting Tickets)

+ Khóa mã hóa

Có một số cau trúc được Kerberos xử lý dưới dạng vé Nhiều cấu trúc trong số đóđược mã hóa hoặc ký để tránh bị giả mạo bởi bên thứ ba Các khóa bao gồm:

® Khoa người dùng được lay từ băm NTLM của người dùng

¢ Khóa dich vụ được lấy từ băm NTLM của người sở hữu dịch vụ, có thé là tài

khoản người dùng hoặc máy tính

e Khoa phiên được thương lượng giữa người dùng và KDC

e Khoa phiên dịch vụ được sử dụng giữa người dùng và dich vụ

Trang 22

TGS (Ticket Granting Service) là vé mà người dùng có thé sử dung dé xác thựcmột dịch vụ và được mã hóa bằng khóa dịch vụ

TGT (Ticket Granting Ticket) là vé được xuất trình cho KDC dé yêu cầu TGS

và được mã hóa bằng khóa KDC

+ PAC (Privilege Attribute Certificate)

PAC là phần mở rộng cua vé kerberos chứa thông tin hữu ich về đặc quyền củangười dùng Đó là câu trúc được bao gôm trong các vé được ký bởi bộ điêu khiên miên khi người dùng xác thực vào vùng Active Directory Khi người dùng sử dụng vé Kerberos đê xác thực với các hệ thông khác, PAC có thê được đọc và sử dụng đê xác định mức đặc quyên mà không cân liên hệ với bộ điêu khiên miên đê yêu câu thông tin đó.

+ Thông điệp

Kerberos sử dụng nhiều loại thông điệp khác nhau:

KRB_ AS REQ: Được sử dung để yêu cau TGT tới KDCKRB_AS_REP: Được sử dụng dé phân phối TGT bởi KDCKRB TGS REG: Được sử dụng để yêu cầu TGS tới KDC bang cách sử dụng

TGT

KRB_ TGS REP: Được sử dung dé phan phối TGS bởi KDCKRB_AP REQ: Được sử dung dé xác thực người dùng đối với một dịch vụbằng cách sử dụng TGS

KRB_AP REP: Được dịch vụ sử dụng dé nhận dạng chính nó đối với ngườidùng (Tuy chọn)

KRB_ERROR: Thông báo lỗi

- Quá trình xác thực

Các bước của giao thức Kerberos có thể được nhóm lại thành 3 giai đoạn:

Trao đổi với Authentication Server (AD), giữa máy khách và AD (bước 1 va 2)Trao đôi với Ticket Granting Server (TGS), giữa máy khách và TGS (bước 3 và

Trang 23

User nonce

Hình 1.10 Các thông tin trong AS_REQ

KRB_AS REQ gồm các trường:

e Timestamp (dấu thời gian) được mã hóa bằng băm mật khẩu của người dùng,

dé xác thực người dùng và ngăn chặn tan công relay

® Username của người dùng được xác thực

e Dich vụ SPN được liên kết với tài khoản krbtgt

® Một Nonce được tạo bởi user

Khi máy chủ xác thực AS nhận được yêu cầu AS-REQ, với tên người dùng, têndịch vụ và dấu thời gian được mã hóa, nó sẽ thực hiện các hành động sau: Tìm tảikhoản yêu cầu xác thực trong cơ sở dit liệu (NTDS.dit), trích xuất khóa người dùng vàgiải mã dấu thời gian với khóa người dùng vừa trích xuất Dấu thời gian được xác thựcnếu nó có định dang hợp lệ và sự khác biệt về thời gian giữa dấu thời gian được giải

mã và cái được tạo trên bộ điều khiến miền không lớn hơn 5 phút

AS tạo ra một khóa phiên được sử dụng dé liên lạc thêm giữa máy khách và bộđiều khiển miền thay vì khóa người dùng

Trần Tuan Minh B19DCAT127 11

Trang 24

Bước 2 Nếu thông tin xác thực chính xác thì AS sẽ phản hồi bằng một thông điệpKRB AS REP Thông điệp nay cho phép máy khách có một TGT cũng như khóa phiên (session key)

KRB_AS_REP

Username

_ Username zz

ị Session key | | Session key

| TGT expiration time 7 TGT expiration time —:—]

Hình 1.11 Các thông tin trong AS_REP

KRB_AS REP bao gồm các thông tin:

o Session key

o Ngày hết hạn của TGT

o User nonce, dé ngăn chặn relay attackSau khi máy khách nhận được TGT, nó có thé yêu cầu vé TGS cho phép truy cậpvào các dịch vụ cụ thể trên một máy chủ cụ thể TGT đóng vai trò là băng chứng vềtính hợp lệ của thông tin xác thực.

Bước 3 Máy khách khởi tạo yêu cầu KRB_TGS_REQ tới bộ điều khiển miền Yêucầu KRB TGS REQ là một thông điệp đặc biệt được sử dụng để yêu cầu vé TGS từKDC

Trang 25

e SPN cua dịch vu được yêu cau

e Nonce được tao bởi user

Sau khi KDC nhận được KRB_TGS_ REQ, nó thực hiện các hành động sau: Giải

mã TGT bằng khóa KDC, nó trích xuất khóa phiên từ TGT, xác thực dấu thời gianbang cách sử dụng khóa phiên vừa được trích xuất và nó tạo ra một khóa phiên TGS(TGS session key), sẽ được sử dung dé liên lạc thêm giữa máy khách và máy chủ mụctiêu Một khóa mới, khóa phiên TGS sẽ được sử dụng dé xác thực lẫn nhau

Bước 4 Nếu việc xác thực dấu thời gian thành công, KDC sẽ bắt đầu quá trình tạo

thông điệp KRB_TGS_REP.

KRB_TGS_REP

Username

Service session key re

[Ƒ——————— | | =

Service session key HỊ Username —

TGS expiration time TGS expiration time =

User nonce PAC | Ey cs ~ ~

Trang 26

o_ Ngày hết hạn của TGS

o PAC với quyền của user, được ký bởi KDC

o Service session key

o Ngày hết han TGS

o User nonce, dé ngăn chặn tan công relay

Sau khi may khách nhận được KRB_TGS_REP, nó thực hiện hành động sau: Xácthực dấu thời gian trong KRB_TGS_REP bằng khóa phiên (session key) và trích xuấtkhóa phiên TGS (service session key).

Bước 5 Máy khách không thê giải mã các trường dữ liệu của máy chủ TGS vì nókhông biết khóa máy chủ Sau đó, máy khách sẽ gửi thông điệp KRB_AP_REQ tới

1.4.2 Phân quyền trong Active Directory

Qui trình ủy quyền AD được sử dụng để bảo vệ tài nguyên AD khỏi bị truy cập tráiphép Sau khi người dùng được xác thực bằng qui trình xác thực AD, các tài nguyên

mà người dùng có thê truy cập cũng được xác định Định nghĩa này được thực hiệnbằng cách sử dụng danh sách kiểm soát truy cập (ACL) và kiểm soát truy cập mục

Trần Tuấn Minh _B19DCATI27 14

Trang 27

(ACE) Mỗi đối tượng trong AD có một ACL được liên kết với nó dé xác định ngườidùng có thé truy cập vào đối tượng

Kiêm soát truy cập và kiêm soát truy cập mục:

ACL là các bảng hoặc danh sách đơn giản, xác định những người được ủy thác có

quyền truy cập vào đối tượng được đề cập cũng như loại quyền truy cập mà nhữngngười được ủy thác này có Người được ủy thác có thể là bất kỳ nguyên tắc bảo mậtnào như tài khoản người dùng, tài khoản nhóm hoặc phiên đăng nhập Mỗi ACL có

một danh sách các ACE và mỗi ACE đặt tên cho một người được ủy thác và xác định

loại quyền truy cập mà người được ủy thác có đối với đối tượng được đề cập

Có hai loại ACL:

¢ - Danh sách kiểm soát truy cập tùy ý (DACL) - DACL thực hiện chức năng xác

định quyền truy cập của người được ủy thác đối với đối tượng được đề cập.DACL chứa các ACE chỉ định xem người được ủy thác được cấp hay từ chốiquyên truy cập vào đối tượng

e Danh sách kiểm soát truy cập hệ thống (SACL) - SACL thực hiện chức năng

tạo nhật ký kiểm tra dé xác định liệu người được ủy thác có đang cố gắng giànhquyền truy cập vào một đối tượng hay không Nó cũng chỉ định xem quyên truycập được cấp hay bị từ chối và nếu được cấp, loại quyền truy cập nào là trao

cho người được ủy thác.

Khi người dùng cố gắng truy cập vào một đối tượng trong mạng AD, qui trình ủyquyền AD sẽ kiểm tra DACL để xem liệu người dùng có được đề cập hay không vànếu có thì người dùng có được cấp quyền hay không và loại quyền nào được cấp.Được cấp quyền thì hệ thống sẽ ủy quyền cho người dùng truy cập tài nguyên Đây làcách ủy quyền người dùng hoạt động trong môi trường AD

SACL được sử dụng dé theo đõi tính bao mật của đối tượng dựa trên cách ngườidùng hoặc nhóm truy cập vào đối tượng Ví dụ: có thé kiểm tra xem người dùng có thétruy cập vào đối tượng bằng quyền cụ thê hay không (chăng hạn như Đọc, Viết hoặcKiểm soát hoàn toàn) Thông tin về những gì cần kiểm tra được lưu giữ trong ACE(ACE được lưu trữ trong SACL) Các mục này kiểm soát những gì được kiểm tra vàchứa thông tin về các sự kiện cần ghi lại Khi thực hiện việc này, các hồ sơ có thé được

lưu giữ về tính bảo mật của các đối tượng và liệu người dùng hoặc nhóm cụ thể có thể

truy cập chúng thành công.

DACL là danh sách các ACE dành cho người ding và nhóm, đồng thời bao gồmthông tin về các quyền mà người dùng hoặc nhóm có đối với một tệp DACL kiểmsoát việc người dùng được cấp hay từ chối quyền truy cập vào một đối tượng ACEtrong DACL xác định rõ ràng từng người dùng và nhóm cũng như các quyền được cấpcho từng nhóm Vì chỉ những người dùng và nhóm được xác định trong DACL mới có

Trang 28

thé truy cập vào một đối tượng trong Active Directory nên bất kỳ người dùng hoặcnhóm nảo không được chỉ định đều sẽ bị từ chối truy cập

Active Directory sắp xếp các quyền mà bạn có thể áp dụng cho các đối tượng thànhhai loại: quyền tiêu chuẩn và quyền đặc biệt Quyền tiêu chuẩn là những quyền thườngđược áp dụng cho các đối tượng, trong khi các quyền đặc biệt cung cấp khả năng kiểmsoát truy cập bồ sung [5]

1.5 Kết chương

Như vậy, chương | đã giới thiệu tổng quan về dịch vụ thư mục động ActiveDirectory, bao gồm các khái niệm co bản, cấu trúc tổ chức, chức năng quan trọng, xácthực và phân quyên trong Active Directory

Trang 29

Đồ án tốt nghiệp đại học CHƯƠNG 2

CHƯƠNG 2 CÁC KỸ THUẬT TÁN CÔNG ACTIVE DIRECTORYChương 2 phân tích và đánh giá các kỹ thuật tấn công phổ biến ma ActiveDirectory có thể phải đối mặt Bằng cách hiểu rõ về những mối đe dọa này, sẽ giúpchuẩn bị tốt hơn trong việc xây dựng các biện pháp bảo mật Bên cạnh đó, trongchương này cũng trình bày chỉ tiết qui trình xác thực trong Windows và một sốphương pháp dé lay được thông tin xác thực

2.1 Các kỹ thuật trích xuất thông tin xác thực

2.1.1 Chỉ tiết qui trình xác thực trong Windows

Loại đăng nhập: Chia thành 2 loại là:

e Pang nhập trực tiếp: Loại đăng nhập khi người dùng tự tay dùng ban phím va

chuột dé nhập thông tin đăng nhập vào

e Đăng nhập mạng: Truy cập các tài nguyên được chia sẻ trong mạng, người

dùng không cần phải nhập lại mật khẩu

a Quá trình đăng nhập trực tiếp

NTLM / Kerberos,

ft tt a i LRT >

Đ}——| 1sass.exe rag earns

Memory of Lsass.exe process

Groups mm Kerberos Ticket

Privileges Plaintext Password (old)

Hình 2.15 Quá trình đăng nhập trực tiếp

1 Sau khi lsass.exe nhận được tai khoản và mật khâu do người dùng miên cung cap, nó sẽ giao tiệp với Domain Controller đê nhờ xác thực

2 Sau khi xác thực thành công thì lsass.exe sẽ tạo ra một phiên đăng nhập (Logon

Session - là một object nằm trong bộ nhớ của lsass)

3 Sau đó sẽ lưu thông tin xác thực (băm NTLM, vé Kerberos) trong bộ nhớ củatiến trình Isass, là một phần của phiên đăng nhập

4 Sau khi tạo xong phiên đăng nhập thì Isass tiếp tục tạo Mã token truy cập(Access Token - lưu những thông tin của người dùng).

Trang 30

Hình 2.16 Access Token được lưu sau khi đăng nhập thành công

Access Token là trái tim của cơ chế Single Sign On trong Windows Chứa cácthông tin về danh tính và quyền của user và được tạo ra khi user login thành công Khi

user thực thi một chương trình, một ban copy cua Access Token cũng được tạo ra [6].

b Qui trình đăng nhập mạng

nu NTLM RESPONSE HS ioe eee >

= encrypt(chall, password hash) i ° Ì H

Hình 2.17 Qui trình đăng nhập mang

Gia sử sau khi login thành công, user muốn kết nối đến một máy chủ SMB thi quátrình diễn ra như sau:

1 Người dùng gửi yêu cầu đăng nhập

2 Máy chủ SMB gửi lại thử thách yêu cầu mã hóa bằng băm mật khâu

Trang 31

3 Lúc này, băm mật khẩu sẽ được lấy trong bộ nhớ của tiến trình Isass (thông tinđăng nhập được lưu trữ) để mã hóa thử thách và gửi phản hồi NTLM đến máy chủSMB

4 Máy chủ SMB gửi sang nhờ Domain Controller xác thực

5 Domain Controller phản hồi thì người dùng và máy chủ SMB có thé giao tiếp

Create ccess Token

Hình 2.18 Sơ đồ qui trình xác thực trong Windows

2.1.2 Các kỹ thuật để lay được thông tin xác thực

a Lay thông tin xác thực từ trong bộ nhớ của tiến trình Isass

Sử dụng công cụ Mimikatz: Công cụ giúp truy xuất vào bộ nhớ của tiến trình từ

đó lấy được credentials

Trang 32

Đánh cắp mã Token truy cập có thé dùng dé nâng cao đặc quyền trong Domainhoặc cục bộ tùy thuộc vào mã Token truy cập chiếm được đến từ người dùng nào

Cuộc tan công Golden Ticket thường liên quan đến việc chiếm quyền điều khiển

KRBTGT, tai khoản dịch vụ của trung tâm phân phối khóa KDC Sau khi bị xâm

phạm, tài khoản này có thé tạo ra TGT hợp lệ dé cấp quyền truy cập trái phép vào cáctài nguyên trong tô chức mạng [4]

b Cách thức tấn công

Đề tạo một TGT giả mạo, kẻ tấn công cần bốn thông tin quan trọng:

s FQDN (Fully Qualified Domain Name) của miền

e SID (Security Identifier) của miền

e Tén người dùng của tài khoản mà họ muốn giả mạo

Ba thông tin đầu tiên thường dễ dàng thu thập bằng cách tấn công bất kỳ tài khoảnngười dùng nào trong miễn

Đề lay được băm mật khẩu của tài khoản KRBTGT, có thé sử dụng những kỹ thuật

sau:

s anh cắp tệp NTDS.DIT: Tệp NTDS.DIT là một cơ sở dit liệu lưu trữ dữ liệu

Active Directory, bao gồm băm mật khâu cho tat cả người dùng trong miễn.Một bản sao của tệp này được lưu trữ trên mỗi điều khiển miền, mặc định là

trong C:\Windows\NTDS.

se Sir dụng Mimikatz: Với công cụ Mimikatz, bước đầu tiên là kết xuất băm mật

khẩu của krbtgt, có thé lay được theo hai cách:

o Sử dụng DCSync, một tính năng của Mimikatz nham mạo danh bộ điều

khiển miền và yêu cầu thông tin tài khoản mật khẩuo_ Chạy trực tiếp Mimikatz trên bộ điều khiển miền và truy xuất băm mật

khẩu của tài khoản krbtgt từ LSA (Local Security Authority)Khi có được băm mật khẩu của tài khoản krbtgt, kẻ tan công sử dụng nó dé tạo

một Golden Ticket.

Sau khi tạo thành công, kẻ tan công tiêm Golden Ticket vào trong bộ nhớ và lúcnày kẻ tấn công có quyền truy cập không giới hạn vào hệ thống [4]

c Các biện pháp bảo vệ và phòng ngừa

Trang 33

Dé bảo vệ và phòng ngừa khỏi cuộc tan công Golden Ticket, có thé sử dụng một sốbiện pháp sau đây:

- Phòng ngừa bằng cách bảo vệ DC và các tài khoản nhạy cảm:

mật

se Giảm và loại bỏ các đặc quyền nhạy cảm

- Đặt lại mật khẩu hai lần cho tài khoản KRBTGT Việc này sẽ làm mất hiệu lựcmoi Golden Ticket được tạo bằng băm KRBTGT bị đánh cắp trước đó

- Thực hiện các thay đối cần thiết dé đảm bảo kẻ tấn công không thé sử dụngđường đi của cuộc tấn công trước đó dé lấy lại quyền truy cập [4]

2.2.2 Kỹ thuật AS-REP Roasting

a Tong quan

AS-REP roasting là một cuộc tan công Kerberos cho phép truy xuất các băm mậtkhẩu từ người ding mà không cần bước xác thực trước (preauthentication)

User logon name:

spot @offense local v

User logon name (pre-Windows 2000):

OFFENSE’ spot

Logon Hours Log On To

Unlock account

Account options:

Use Kerberos DES encryption types for this account ^

This account supports Kerberos AES 128 bit encryption.

This account supports Kerberos AES 256 bit encryption.

| Do not require Kerberos preauthentication v

_ Account expires” „

Hình 2.19 Điêu kiện cua tan công AS-REP Roasting

Bước xác thực trước là bước ban đầu trong quá trình xác thực Kerberos, trong đóngười dùng gửi một yêu cầu được mã hóa đến KDC để xác thực đối với một dịch vụ.Tuy nhiên, nếu tùy chọn này bị tắt, người dùng sẽ không gửi một yêu cầu được mã hóađến KDC để yêu cầu xác thực Thay vào đó, họ sẽ gửi một yêu cầu văn bản thường và

nhận các thông điệp (AS-REP) được mã hóa từ máy chủ xác thực mà không có bướcxác thực ban đầu

Vi một trong các thông điệp trong phản hồi được mã hóa bằng băm mật khẩu củangười dùng, kẻ tấn công có thé thu thập băm đó và thử giải mã nó ngoại tuyến dé tiết

lộ các thông tin đăng nhập dạng văn bản thô.

Cuộc tấn công AS-REP roasting hoạt động tốt nhất với mật khâu yếu hoặc thuật

toán mã hóa yếu [4]

b Cách thức hoạt động

Trang 34

Tan công AS-REP Roasting thường bao gồm các bước sau:

- Thu thập thông tin:

e - Kẻ tan công thu thập thông tin về tài khoản người dùng hợp lệ trong domain

- Xác định mục tiêu:

e Kẻ tan công xác định tài khoản người dùng không yêu cầu xác thực trước Đối

với AS-REP Roasting, hiệu quả nhất có thể sử dụng script GetNPUsers trong impacket-collection dé gửi AS-REQ

impacket Giải mã mật khẩu:

® Sau khi nhận được AS-REP, có thé sử dụng các công cụ như John the Ripper,

hashcat dé giải mã mật khẩu [4]

Đề bảo vệ và phòng ngừa khỏi cuộc tấn công AS-REP Roasting, có thể sử dụngmột số biện pháp sau đây:

- Kích hoạt xác thực trước (Pre-Authentication): Kích hoạt cơ chế xác thực trướccho tất cả các tài khoản người dùng Điều này đòi hỏi người dùng phải cung cấp mậtkhâu khi yêu cầu phiếu giả mạo (AS-REQ)

- Sử Dụng Mật Khẩu Mạnh và Chính Sách Mật Khẩu Mạnh: Thúc đây VIỆC SỬdụng mật khâu mạnh và triển khai chính sách mật khâu mạnh dé đảm bao rằng ngườidùng chon mật khâu có độ phức tạp đủ [4]

2.2.3 Kỹ thuật tan công Pass-the-Hash

a Tổng quan ;

Windows lưu trữ mat khâu của người dùng ở dạng băm NT (băm NTLM) Trongquá trình sử dụng, windows có thiết lập hệ thong SSO, lưu trữ thông tin xác thực va sửdụng chúng trong quá trình người dùng truy cập các tài nguyên được chia sẻ trong

mạng (file, may in ) mà không cần nhập lại mật khẩu.

Quá trình xác thực nay sử dụng giao thức NTLMv2 và sử dụng băm NTLM trongphương thức trao đôi khóa thử thách/phản hồi (Challenge/Response) Tính năng naycho phép kẻ tấn công xác thực thông qua băm NTLM mà không cần đến mật khẩuhoặc dùng kỹ thuật MITM dé đánh cắp trực tiếp băm NTLMv?2 để xác thực Vi lí do

này mà nó mang tên là Pass the hash [7].

b Cách thức tấn công

Trang 35

(1) Tôi muốn login

(2) Hay encrypt con số challenge

Attacker

-này bằng password hash Server DC

Password hash

(4) Nhờ DC kim tra hộ xem có đúng

(3) Day a kết quả khong

NTLM Response >

=encrypt(msg=challenge key=password_ hash)

(6) OK/Not OK (5) OK/Not OK

<

Hình 2.20 Quá trình tan công Pass-the-Hash

Có hai bước chính trong quá trình tấn công Pass-the-Hash:

- Trích xuất băm NTLM trên máy tính đã chiếm được quyền: Băm NTLM đượclưu trữ ở rất nhiều nơi trong Windows, dưới đây là một số phương pháp phô biến détrích xuất băm NTLM trên Windows từ các vị trí khác nhau

e SAM: Cơ sở dữ liệu SAM là một tệp registry lưu trữ các băm NTLM của các

tài khoản nội bộ trên máy tính và không bao gồm các tài khoản trong domain.Các thông tin để giải mã SAM đều có thể tìm thấy trên máy tính Do đó, khichiếm được máy tính và có quyền quản trị viên, kẻ tan công có thể trích xuất tat

cả các băm NTLM được lưu trữ trong SAM.

¢ Bộ nhớ LSASS: Tiến trình LSASS cũng có thể chứa băm NTLM Mỗi khi

người dùng đăng nhập vào hệ thống, cấu trúc dữ liệu gồm tên và băm NTLMđược tạo ra và lưu trữ trên vùng nhớ của tiễn trình Isass Các tài khoản lưu trữtrên bộ nhớ cua Isass bao gồm cả tài khoản nội bộ và tài khoản miễn

e NTDS.dit: Khi truy cập được bộ điều khiển miền, kẻ tan công có thé đọc được

nội dung trên cơ sở dt liệu cua Active Directory Cơ sở dữ liệu này mặc định

được lưu tại đường dẫn %SystemRoot%\NTDS\Ntds.dit Kẻ tan công có thé sửdụng các công cụ dé trích xuất băm NTLM từ cơ sở dữ liệu này

- Sử dụng băm NTLM đã trích xuất để xác thực tới máy tính khác: Sau khi có đượcbăm NTLM, kẻ tấn công có nhiều lựa chọn dé áp dụng các băm thu thập được dé truycập cũng như thực thi mã từ xa dựa trên các tài khoản và băm đó quá nhiều giao thứckhác nhau Dưới đây là một số cách thực thi mã thông qua sử dụng băm NTLM:

tạo ra vé Kerberos và thực thi một tiến trình dưới quyền người dùng khác

e Pass-the-Hash thong qua SMB: Khi thực thi qua SMB, kẻ tấn công cần tai

khoản với quyền admin để có thể tạo và chạy dịch vụ mới trên máy tính mục

tiêu Một số công cụ có thể dùng để tấn công Pass-the-Hash qua SMB như SMBExec, PsExec [7].

Trang 36

Dé bảo vệ và phòng ngừa khỏi cuộc tan công Pass-the-Hash, có thé sử dụng một sốbiện pháp sau đây:

- Sử dụng một sỐ công nghệ bảo mật:

e Sw dụng công nghệ bảo mật như Credential Guard (trong Windows) dé giữ an

toàn giá trị băm mật khẩu và ngăn chặn kẻ tan công truy cập trực tiếp

- Giám sát hoạt động hệ thống:

se - Thiết lập hệ thống giám sát dé theo dõi các sự kiện liên quan đến xác thực và

quản lý danh sách kiểm tra sự kiện (Event Log)

mật khẩu

- Giảm thiêu quyền truy cập:

e Áp dụng nguyên tắc đặc quyền tối thiểu dé hạn chế quyền truy cập cho người

dùng và tài khoản dịch vụ chỉ vào những tài nguyên cần thiết [4]

Các cuộc tân công Kerberoasting khai thác sự kết hợp của các kỹ thuật mã hóa yếu

và mật khẩu đơn giản hoặc ít phức tạp Các giai đoạn của cuộc tấn công

Kerberoasting:

- Kẻ tân công xâm phạm tai khoản của người dùng miên

- Liệt kê Service Principal Name: Kẻ tấn công cần tiến hành trinh sát nội bộ dé tìmcác tài khoản dich vụ cụ thé với các đặc quyền mà chúng mong muốn Do đó, kẻ tấncông liệt kê Service Principal Name (SPN) cho các tai khoản dich vụ được nhắm mục

tiêu.

- Yêu cầu vé TGS : Kẻ tan công yêu cầu vé Ticket Granting Service (TGS) cho taikhoản dịch vụ SPN được trích xuất thành công và AD domain phản hồi bằng một vécho tài khoản dịch vụ với các dịch vụ được yêu cầu

- Giải mã mật khẩu: Khi kẻ tan công đã lay được vé dich vụ, chúng có thể sử dụngcác công cụ chuyên dụng dé cố gắng bẻ khóa mật khẩu liên quan đến những vé đó

- Leo quyền: Cuối cùng kẻ tấn công có thể đăng nhập vào tài khoản dịch vụ bằngmật khẩu bị giải mã, xâm phạm đữ liệu hoặc leo thang đặc quyền [4]

Trang 37

Dé bảo vệ và phòng ngừa khỏi cuộc tan công Kerberoasting, có thé sử dụng một sốbiện pháp sau đây:

- Từ chôi các yêu câu xác thực không sử dung Kerberos Armorning, một tiện ích

mở rộng xác thực giúp thiệt lập kênh xác thực trước an toàn giữa máy khách và bộ điêu khiên miên và được thiệt kê đê bảo vệ tôt hơn vé Kerberos khỏi việc giải mã mậtkhâu

- Mật khẩu phải được tạo ngẫu nhiên, tối thiểu 30 ký tự và được thay đổi thường

Lợi dụng nạn nhân mã hóa con số thử thách dé đăng nhập mà không cần biết mậtkhâu [4]

(1) Tôi muốn login (2) Tôi muốn login

”

Domain User số challenge ở bước (3) Hacked Server bang password hash Server

(5) Day B kết qua (6) Forward kết quả ở bước (5) ay +

> (8)

(9) Xác thực thành công

‘ FH

DC

Hình 2.21 Qui trình tan công NTLM Relay

b Cach thirc hoat dong

Đề thực hiện NTLM Relay, cần ép nạn nhân thực hiện xác thực với máy chủ đã bịkiểm soát Hai kỹ thuật được sử dụng là: Hostname Resolution Poisoning va Forced

Authentication [4].

- Hostname Resolution Poisoning:

Hostname Resolution: có 2 cách phân giải Hostname

Trang 38

mạo cái DNS server.

e Gui broadcast request trên network bang các protocol như NETBIOS, LLMNR,

mDNS để tìm xem có máy nào có hostname đó không Attacker có thé listen

request đó và giả làm máy đó.

Hostname Resolution sử dụng giao thức LLMNR

DNS server

(thường chạy trên DC)

® Phan giải hostname bình thường

[m |

c=

Hình 2.22 Phân giải hostname ma DNS xác định

e Phân giải hostname mà DNS không biết Máy Windows chạy giao thức

LLMNR sẽ tự động gửi một gói tin Broadcast ra toàn mạng dé tìm kiếm

Trang 39

= Victim 4 8 Error message: Smth went wrong @ Attacker=~ hl

Hình 2.24 Qui trình tan công LLMNR Poisoning

Sau khi lay được encrypted challenge response — NTLM response (bước 7),attacker sẽ thực hiện brute-force mật khẩu của victim

=| nasn encrypt(’ 123456789’, password_hash)

'EREDGEEHEETID CA

JEBBIEEHSĐ

2

2/,

Có 2 loại forced authentication là:

e Loi dụng tính năng của Windows: UNC (Uniform Naming Convention) Path,

Trang 40

¢ Bugs của hệ điều hành Windows: 1Day, ODay, Print Spooler, Potatoes

Dé bảo vệ và phòng ngừa khỏi cuộc tan công NTLM relay, có thé sử dụng một số

biện pháp sau đây:

- Sử dụng SMB Signing: Kích hoạt tính năng SMB Signing giúp bảo mật việctruyền thông tin xác thực NTLM trên mạng bằng cách ký và xác thực các gói tin SMB.Điều này làm cho việc tái sử dụng các gói tin NTLM replay trở nên không khả thi

- Sử dung Kerberos: Kerberos là một giao thức xác thực mạng an toàn hơn NTLM.

Sử dụng Kerberos thay thé cho NTLM có thé giảm nguy cơ tấn công NTLM replay

- Sử dụng Phiên (Session) An toàn: Phiên an toàn giúp bảo mật giao tiếp giữa cácmáy tính trên mang bằng cách mã hóa dit liệu và bảo vệ khỏi tan công replay Sử dungcác phiên an toàn như IPSec hoặc TLS (Transport Layer Security) có thé giúp ngănchặn tan công NTLM replay [4]

2.2.6 Kỹ thuật tan công Pass-the-Ticket

a Tổng quan

Các cuộc tấn công Pass-the-Ticket nhắm vào Kerberos giống như các cuộc tan

công Golden Ticket Nhưng Pass-the-Ticket không giả mạo vé Kerberos mà nó sẽ

đánh cắp các vé hợp lệ đã được tao và phát hành, đồng thời chuyên các vé giữa các hệthống dé truy cập tài nguyên dưới dạng người dùng hợp pháp, có đặc quyền

Các công cụ hack phổ biến như Mimikatz và Rubeus tạo điều kiện thuận lợi chocác cuộc tấn công Pass-the-Ticket bằng cách trích xuất TGT và service ticket từ

LSASS trong Windows [4].

b Cách hoạt động của Pass-the-Ticket

- Trích xuất ticket: Kẻ tấn công trích xuất các vé Kerberos từ bộ nhớ trên hệthống đã bị xâm nhập Điều này có thé được thực hiện bang cach su dụng các kỹ thuật,công cụ như Mimikatz, Rubeus.

- Pass-the-Ticket: Với các vé đã lay được, kẻ tấn công có thé sử dụng chúng détruy cập các hệ thống và tài nguyên khác trong mạng Kẻ tấn công có thể dùng những

vé này giả mạo một người dùng hợp lệ và đạt được quyền truy cập không được ủyquyền vào những hệ thống đó

- Di chuyển ngang trong mạng: Kẻ tấn công tiếp tục chuyển vé đánh cắp được

đến các hệ thống khác và có thé đạt được quyên truy cập vào tài khoản có đặc quyền

cao hơn hoặc tài nguyên quan trọng hơn Sự di chuyên ngang này có thể tiếp tục chođến khi kẻ tấn công đạt được mục tiêu cuối cùng, chăng hạn như đánh cắp dir liệu,xâm nhập vào hệ thống hoặc đạt được quyền thăng cấp cao hơn [4]

Định dạng
Số trang	83
Dung lượng	22,08 MB

Tiêu đề	Xây dựng qui trình đảm bảo an toàn cho dịch vụ Active Directory trên Windows
Tác giả	Trần Tuấn Minh
Người hướng dẫn	TS. Đinh Trường Duy
Trường học	Học Viện Công Nghệ Bưu Chính Viễn Thông
Chuyên ngành	An Toàn Thông Tin
Thể loại	Đồ án tốt nghiệp đại học
Năm xuất bản	2023
Thành phố	Hà Nội