Đồ án được cấu trúc thành 3 chương gồm có những nội dung chính như sau: Chương 1: Tìm hiểu về tình hình an ninh mạng và các hình thức tấn côngmang phổ biến hiện nay: Chương này sé dé cập
Trang 1DO AN TOT NGHIỆP ĐẠI HỌC
ĐỀ TÀI:
NGHIÊN CỨU TÌM HIỂU VE CÔNG NGHỆ IPSEC VÀ UNG DUNG
TRONG BAO MAT THONG TIN MẠNG
Giảng viên hướng din: TS Dang Minh Tuấn
Sinh viên thụchiện : Nguyễn Tuấn Anh
Mã sinh viên : BI7DCAT010
Lớp : D17CQAT02-B
Khóa : 2017-2022
Hệ : Đại học chính quy
Hà Nội, 2022
Trang 2HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIÊN THONG
KHOA CÔNG NGHỆ THÔNG TIN
PT,
LS
——
TRONG BAO MAT THONG TIN MANG
Giảng viên hướng dan: TS Đặng Minh Tuấn Sinh viên thuc hién : Nguyễn Tuấn Anh
Mã sinh viên : BI7DCAT010
Lớp : DI7CQAT02-B
Khóa : 2017-2022
Hệ : Đại học chính quy
Hà Nội, 2022
Trang 3Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
em thực hiện đồ án này mà còn phục vụ cho công việc trong tương lai Dé hoàn thànhtốt quá trình học tập em đã được các thầy cô chỉ bảo không chỉ ở kiến thức chuyên môn,
chuyên ngành, mà đó còn là sự chia sẻ, những kinh nghiệm trong cuộc sống
Em xin gửi lời biết ơn sâu sắc tới Thầy giáo hướng dẫn của em - TS Đặng Minh
Tuấn, người đã tận tình chỉ bảo, định hướng cho em trong suốt quá trình học tập và thực
hiện đồ án Thầy luôn theo dõi giúp đỡ, động viên và tin tưởng để em hoàn thành một
cách tốt nhất đồ án này
Cuối cùng, em xin cảm ơn gia đình, bạn bè, những người đã luôn ở bên cạnh,quan tâm, giúp đỡ, động viên dé bản thân có thé hoàn thành được đồ án này Với kiến
thức hiểu biết của em còn hạn chế nên đồ án không tránh khỏi thiếu sót, em rất mong
nhận được sự góp ý từ các thầy cô và các bạn dé đồ án của em được hoàn thiện hon
Em xin chân thành cảm ơn!
Hà Nội, ngày 12, thang 01, năm 2022
SINH VIÊN
Nguyễn Tuấn Anh
Nguyễn Tuan Anh — DI7CQAT02-B 3
Trang 4Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
NHAN XÉT, DANH GIA, CHO DIEM
(Của giảng viên hướng dẫn)
Điểm: (băng chữ: c2 S222 s2 )Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng cham đồ án tốt nghiệp?
Hà Nội, ngày 12, tháng 01, năm 2022
CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN
(ký, họ tên)
Nguyễn Tuan Anh — DI7CQAT02-B 4
Trang 5Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
NHAN XÉT, DANH GIA, CHO DIEM
(Cua giang vién phan bién)
Diem: (bang Chit: c2 ssên )Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng cham đồ án tốt nghiệp?
Hà Nội, ngày 12, tháng 01, năm 2022
CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN
(ký, họ tên)
Nguyễn Tuan Anh — DI7CQAT02-B 5
Trang 6Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
TAN CONG MẠNG PHO BIEN HIEN NA YY 5 5-5 ng 008015000 06 14
1.1 Khái quát chung về tình hình an ninh mạng những năm gần đây 14 1.1.1 Van đề an ninh mạng bên trong và ngoài nước se- se se sseesseessee 14
1.1.2 Những nguy cơ thường trực và hậu qua của các cuộc tắn công mạng 15
1.1.3 Một số biện pháp nâng cao tinh an toàn cho người truy cập mạng 18
1.2 Một số hình thức tắn công mạng phố biến 2s ssssesseessessesssss 19
1.2.1 Hình thức tan công mạng bằng phần mềm độc hại (Malware Attaek) 19 1.2.2 Hình thức tan công giả mạo, lừa đảo (Phishing Attaek) -«- 21 1.2.3 Hình thức tan công trung gian (Man in the middle Attack) .- 24 1.2.4 Hình thức tấn công cơ sớ dữ liệu (SQL Injection) . -s- se s5 se 25 1.2.5 Hình thức tấn công từ chối dịch vu (DoS & DDOS Attaek) - 28 1.2.6 Hình thức tan công khai thác lỗ hồng Zero-Day (Zero-Day Attack) 30
2.1.2 Giới thiệu chung về IPSec
2.2 Kiến trúc và nguyên lý hoạt động của công nghệ IPSec . ° «5° se 35 2.2.1 Mô hình kiến trúc tổng quát của IIPSec -s- 5c se secsessessessessesses 35 2.2.2 Tìm hiểu về các giao thức và thành phần của IPSec . s s-sss 37
2.2.2.1 Giao thức xác thực tiêu dé (Authentication Header) 5 5 37
2.2.2.2 Giao thức đóng gói tải trọng bao mat (Encapsulating Security Payload) 42
2.2.2.3 Các chính sách bảo mật/ liên kết bảo mật (Security Policies/ Security
_ˆÝ 000110777 Ö 48
2.2.2.4 Giao thức trao đối khóa (IKE) 2-sssssse+ssevseevssesseesseessee 48 2.2.3 Các chế độ hoạt động của IPSec
2.2.4 Cách thức hoạt động của IPSec
2.3 Ưu điểm, nhược điểm và ứng dụng của công nghệ IPSec -s-s°s 56 Nguyễn Tuan Anh — DI7CQAT02-B 6
Trang 7Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
c8 n6 6 58
CHƯƠNG 3: TRIEN KHAI MÔ HÌNH UNG DUNG CÔNG NGHỆ IPSEC TRONG
VIỆC TRUYEN THONG TIN AN TOÀN TREN MẠNG INTERNET
3.1 Tim hiểu về các phan mềm sir dụng trong mô hình trién
khai - -3.1.1 Phần mềm StrongSwan s- 2s se se ©ssEEs£EssExsEEseSssExsersetsserserssersee 59
3.1.2 Phần mềm Wireshark và Tcpdump -s- << s<ssssessessesssessesseesses 61 3.2 Cài đặt, triển khai và van hành mô hình áp dung công nghệ IPSec 63 3.2.1 Mô hình triển khai s<-s«°ee©©EE+deeESEA.SoEAAeeetrkeeeorktrepsrsesetie 63
3.2.2 Quá trình cài đặt các phần mềm, công CỤ -. - 2s sessssessessessses 65
3.2.2.1 Cài đặt phần mềm StrongSwan . se 2s sessevssessexserssessersecse 65 3.2.2.2 Cài dat Wireshark và Tcpdump d s55 5s << %5 59 94595559 959956 3.2.3 Thiết lập cau hình StrongSwan và vận hành hệ thống
3.2.4 Phân tích kết quả và đánh giá độ an toàn - s s-sscsscsse
3.3 Ket CHUONG nh 6
KET LUAN 0 75 TÀI LIEU THAM KHẢO 5< s<s£©©Ss£EE+eEE++SEES+SEEAEEvAeETAseErsservasersssrrssee 76
Nguyễn Tuan Anh — DI7CQAT02-B 7
Trang 8Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
DANH MỤC CÁC TU VIET TAT
Ký hiệu Tên Tiếng Anh Ý nghĩa Tiếng Việt
AH Authentication Header | Giao thức xác thực tiêu dé
Berkeley Software Tên của một hệ điều hành dẫn xuất từ UNIX
BSD ara m
Distribution được phát hành
CLI Command line interface | Giao diện dòng lệnh
CPU Central Processing Unit | Bộ xử lý trung tâm
Distributed Denial of Tan công từ chối dịch vu phân tán
DDoS
Service
DH Diffie Hellman Một phương pháp trao đôi khóa được phát
minh sớm nhât trong mật mã học.
DNS Domain Name System | Hệ thống phân giải tên miền
DoS Denial of Service Tan công từ chối dich vụ
Elliptic Curve Digital Thuật toán sinh chữ ký số dựa trên đường
ECDSA =
Signature Algorithm cong Elliptic
ESP Encapsulating Security | Giao thức đóng gói tải trong bảo mật
Payload
FTP File Transfer Protocol Giao thức truyén tải tệp tin
HTTP HyperText Transfer Giao thức truyện tải siêu văn ban
Protocol
Internet Control Message | Một giao thức báo cáo trạng thái thông điệp
ICMP
Protocol
ICV Integrity Check Value Giá trị kiểm tra tính toàn ven
IKE Internet Key Exchange | Giao thức trao đổi khóa
IP Internet Protocol Dia chi giao thức cua internet
IPSec | Internet Protocol Security Mot bộ giao thức mật mã bảo vệ lưu lượngdữ liệu qua mạng
Internet Security Liên kết bảo mật Internet và giao thức quảnISAMP Association and Key lý khóa
Management Protocol
LAN Local Area Network Mạng máy tính cục bộ
MITM Man in the Middle Tan công người đứng giữa
Nguyễn Tuan Anh — DI7CQAT02-B
Trang 9Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
NAT Network Address Một kỹ thuật cho phép chuyền đổi từ một
Translation địa chỉ IP này thành một địa chỉ IP khác
OSI Open system Mô hình tham chiếu kết nỗi các hệ thống mở
Interconnection
Open Web Application | Một tổ chức phi loi nhuận quốc tế chuyên về
OWASP : 1A.
Security Project bao mật ứng dung web
PDO PHP Data Objects Một lớp truy xuất cơ sở dữ liệu
Tap hợp con của các ngôn ngữ script như
PHP H P
ypertext Freprocessor JavaScript va Python
Public Key Cryptography | Tiêu chuẩn về khóa mã hóa
PKCS
Standards
SA Security Association Lién két bao mat
Security Association Co sở đữ liệu liên kết bảo mậtSAD
Database
SMS Short Messaging Service | Dịch vụ tin nhăn ngắn
SPD Security Policy Database | Cơ sở dữ liệu chính sách bảo mật
SOL Structured Query Ngôn ngữ truy van dit liệu
Language
SSL Secure Sockets Layer Mot cong nghệ tiêu chuân cho phép thiệt lập
kêt nôi được mã hóa an toàn trên mạng.
TCP Transmission Control Giao thức gửi những dữ liệu tới may khác
Protocol cung cấp sự tin cậy và thứ tự truyền nhận
Giao thức gửi những dữ liệu tới máy khác
UDP User Datagram Protocol | không cung cap su tin cay va thu tu truyén
nhan
Uniform Resource Trinh dinh VỊ tài nguyên thông nhật, được
URL gọi một cách thông thường là một địa chỉ
Locator
web
USD United States Dollar Don vi tiền tệ chính thức của Hoa Kỳ
VNIS_ | VietNam Internet Security Diễn dan bao mat mang hàng đâu tại ViệtNam
VPN Virtual Private Network | Công nghệ mạng riêng ảo
WAN Wide Area Network Mạng máy tính diện rộng
Nguyễn Tuan Anh — DI7CQAT02-B
Trang 10Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
DANH MỤC CAC HÌNH VE
Hình 1.1: Thống kê các cuộc tấn công mang trọng yếu năm 2021 tại Việt Nam 15
Hình 1.2: Những nguy cơ tiềm ẩn của các cuộc tắn CONG mạng - ccccc-ccc5ssssscccces 16 Hình 1.3: Một số loại mã độc phổ bÏỂN, à 0S S221 1n 21T 1n Tre 19 Hình 1.4: Hình thức tấn công Phishing s 55522cccEEE x11 2e 22 Hình 1.5: Minh họa trực quan cách thức tấn công MMITÌM 2-©2+z22E+se+tcxss+rrrsee+ 24 Hình 1.6: Kịch bản tấn công SYN Flood -222222+2EEEES22EEE112222211111211111 11111 cty, 28 Hình 1.7: Kịch bản tấn công ŠIHƒ 2 2S52s+‡2EEEE+222E211151221111122217111E121111 E11 EEe 29 Hình 1.8: Kịch bản tấn công Ping of DeatÏ : ©222222¿+22EEEE222222+ttSEEEEEEvvzerrrrrrre 29 Hình 1.9: Minh họa vòng đời của cuộc tắn công Zero-D4y c2cccscc22cvvsettcEEvserrrrrrres 31 Hình 2.1: Công nghệ bảo mật gói IP - IIPS€C «tt St nh HH HH ri 34 Hình 2.2: Vi trí của IPSec trong mô hình (2 SÌ, - -cSc se St viec 34 Hình 2.3: Mô hình kiến trúc tong quát của IP.Sec -cc:z+2222222vsvc+ttttcvvvvvveerrrrrrre 36 Hình 2.4: Khuôn dạng của giao thức xác thực tiêu dé AHH -222ccscc22EEvertttErreerrrrrrves 37 Hình 2.5: Dinh dạng gói tin gốc trong IPv4 và ÏPVÓ -©2ccz22E++et2EEEEetEEEExrrtrrkerrrrrres 39 Hình 2.6: Dinh dạng gói tin IPv4 và IPv6 có chứa AH trong chế độ truyen tải - 39
Hình 2.7: Dinh dạng gói tin IPv4 và IPv6 có chứa AH trong chế độ đường hâm 40
Hình 2.8: Quá trình AH xác thực tính toàn vẹn của gói tit Ì c+cseccrersrseveveerers 4I Hình 2.9: Các thành phan và các trường tương ứng trong giao thức ESP - 43
Hình 2.10: Định dạng gói tin IPv4 và IPv6 có chứa ESP trong chế độ truyen tải 45
Hình 2.11: Định dạng gói tin IPv4 và IPv6 có chứa ESP trong chế độ đường hâm 46
Hình 2.12: Hoạt động cua hai chế độ Main Mode và Aggressive Mođe -‹-‹- 50 Hinh 2.13: Hai ché độ hoạt động Của TPSOC.iceecescssssesssesesevessvsesesesesesesenseseseseseseneeeeseseseaeeeenseeesenens SĨ
Hình 2.14: Chế độ truyền tải trong IP.Sec -22222¿¿+2EEEES2+EEE2E1522222211112221111 11111 cEerye, 52
Hình 2.15: Chế độ đường ham trong IPSeC.rscccccsscssssssvssssssssssssessssvssssessssssvessssssisesssssisesssssussesssssee 53
Hình 2.16: Sự kết hợp của AH va ESP trong chế độ truyen tải -55ccccccScccccccrccrrves 54 Hình 2.17: Sự kết hop cua AH và ESP trong chế độ đường hẳMm -ccc:+5555 54
Hình 2.18: Quá trình hoạt động của IPSCC.r.ccccccccccccsvsvevsvsesssssesesesssesneesesesesensesesesesesesseesenseseseseasees 5%
Hình 2.19: Ứng dụng IPSec VPNN c -22EE222E2EEE11522221111 122.112.1112 eee 58
Hình 3.1: Quá trình phát triển của StrongSwan viscccscscsccsssssvsscsssssvsssssssvssssesssssssisssssssseessssssseeseeessee 59 Hình 3.2: Giao điện GNU của Wireshark uicccccccccccccscsccscesccscescsccsecscesssessssessesscssesesssesssesssssessessesses 61
Hình 3.3: Giao diện dong lệnh các chức năng của TCDđMIỊD se Scsccsc+xsvsversrs 62
Hình 3.4: Tình huống thực té cẩn triển khai -2-+2©2s+‡2EE++2EEEE22EE15121111222111 21111 2 11ce 63 Hình 3.5: Mô hình triển khai hệ thống sử dụng StrongSwa -©czc+25:sestcxssesrrrscez 64
Hình 3.6: Bản nén StrongSwan trên trang chủ của nhà phát hành + s<-x+++c+ssss+ ó6
Nguyễn Tuan Anh — DI7CQAT02-B 10
Trang 11Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Hình 3.7: Tcpdump đã được tích hop sẵn giao diện dòng lệnh trên Ubunt - - 67 Hình 3.8: Cài đặt công cu Wireshark bằng giao diện Terminal ccccccccssssssssssssssssssessssseessssees 67 Hình 3.9: Cầu hình file ipsec.conf thiết lập kết nối từ hai đầu @dfeway -::-c-sc:: 69
Hình 3.10: Định dạng cấu hình file ipsec.secrets ở cả hai g@df€Wđy cccccccccccccccrrrees 69
Hình 3.11: Sử dụng tính năng rand của openssl để tạo mật khẩu ngẫu nhiên - 69
Hình 3.12: Khởi động đường ham IPSec ở cả hai MAY ciceesssssssssssssssssssvsssssssssvsssssssssssseesssesseseessesee 70 Hình 3.13: Hoàn tat việc kết noi giữa hai đầu gateway lại với nÌaú cc55ccccccssss 70 Hình 3.14: Trạng thái kết nói đã được thiết lập giữa hai AAU gafeway - - 71
Hình 3.15: Các gói tin IP khi chưa khởi động đường NAM IPSC C cccscssssssevvsssssesvvssesssevsssessessvsee 71
Hình 3.16: Quá trình khởi tao liên kết bảo mật SA ở hai bên gửi nhận -. c-e- 72
Hình 3.17: Toàn bộ thông tin SA trao đổi giữa hai bên đã được mã hóa và xác thực 72
Hình 3.18: Gói tin IP truyền qua IPSec bằng giao thức AH :::522ccccsccc+sttccce 73 Hình 3.19: Gói tin IP truyền qua IPSec bằng giao thức E.SP ©2ccs2cccsccsrrxsrrrrrseee 73 Hình 3.20: Tcpdump bắt được các gói tin IP đã được mã hóa trên mạng công cộng 74
Nguyễn Tuan Anh — D17CQAT02-B 11
Trang 12Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
DANH MỤC CÁC BẢNG
Bang 2.1: Mô tả các trường có trong tiêu đề xác thực AH -225ccsccEEEtecrrEErreerrrrrrves 38
Bang 2.2: Mô tả các trường có trong giao thức đóng gói tai trọng bao mật ESP 44 Bảng 3.1: So sánh hai công cụ Wireshark và TCDUIHD S5 S+SSxsssrrerererererrrrerrrs 62
Bang 3.2: Cau hình hệ thong trong mô hình triển khai -22¿+++22c2vvveccrrrrrrre 65
Nguyễn Tuan Anh — D17CQAT02-B 12
Trang 13Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
LỜI MỞ DAU
Trong cuộc sống ngày nay, ứng dung của công nghệ thông tin ngày càng trở nên
rộng rãi và đóng một vai trò vô cùng quan trọng trong mọi lĩnh vực Tất cả mọi ngườitrên mọi lứa tuổi đều được tiếp xúc với mạng internet dé có thé chia sẻ, trao đổi, lưu trữnhững thông tin Không chỉ những cá nhân, mà các tổ chức, cơ quan, doanh nghiệp dùlớn, dù bé cũng dần dan áp dụng công nghệ vào trong công việc dé có thé một môi
trường làm việc tốt hơn, hiện đại và hiệu quả hơn
Tuy nhiên, song song với những tiện ích không thể phủ nhận mà mạng internetmang tới, người dùng còn đối mặt với hàng loạt các nguy cơ mà trong đó nguy cơ hàngdau là bị đánh cắp thông tin, thay đồi thông tin truyền tai một cách có chủ đích Bài toánđặt ra là làm thế nào dé bảo mật an toàn cho các dit liệu trong quá trình truyền qua mạng?
Làm thé nào có thé bảo vệ chống lại các cuộc tan công trong quá trình truyền tải các ditliệu đó? Một trong những giải pháp kha dụng hiện nay là sử dụng công nghệ IPSec Day
sẽ là chủ đề nghiên cứu chính trong đồ án lần này
Đồ án được cấu trúc thành 3 chương gồm có những nội dung chính như sau:
Chương 1: Tìm hiểu về tình hình an ninh mạng và các hình thức tấn côngmang phổ biến hiện nay: Chương này sé dé cập đến tình hình an ninh mang trong vàngoài nước trong thời gian gần đây, những nguy cơ và hậu quả mà các cuộc tấn công
mạng đem lại cùng với các giải pháp dé ngăn chặn các cuộc tan công mạng Song song
với đó, cũng tìm hiểu khái quát về các hình thức tan công mạng phô biến nhất hiện nay
về các khía cạnh như khái niệm, dấu hiệu nhận biết, hậu quả, giải pháp khắc phục.
Chương 2: Nghiên cứu về công nghệ IPSec (Internet Protocol Security):Chương này trình bày chỉ tiết về các khía cạnh như khái niệm, kiến trúc, nguyên lý hoạt
động, ưu nhược điểm va ứng dụng của công nghệ IPSec
Chương 3: Triển khai mô hình ứng dụng công nghệ IPSec trong việc truyềnthông tin an toàn trên mạng Internet: Trên cơ sở lý thuyết đã đề cập ở các chương 1
và chương 2, chương này tập trung vào việc xây dựng mô hình mạng an toàn dựa trên
công nghệ IPSec, chạy thử nghiệm, phân tích kết quả và đánh giá độ an toàn
Nguyễn Tuan Anh — DI7CQAT02-B 13
Trang 14CHUONG 1: TÌM HIẾU VE TINH HÌNH AN NINH MẠNG VÀ CÁC HÌNH
THỨC TAN CÔNG MẠNG PHO BIEN HIỆN NAY
Chương I trình bày tổng quan về các vấn dé an ninh mạng Tiếp theo, trình bày
về các nguy cơ, hậu quả và các biện pháp khắc phục các cuộc tấn công mạng Chương
1 cũng trình bày khái quát về các hình thức tấn công mạng phổ biến hiện nay, đưa ra
một số nội dung như khái niệm, dau hiệu nhận biết, hậu quả và biện pháp phòng chống
cho từng hình thức tấn công mạng này
1.1 Khái quát chung về tình hình an ninh mạng những năm gần đây
1.1.1 Vấn đề an ninh mạng bên trong và ngoài nước
Thế giới đang sống trong cuộc Cách mạng công nghệ lần thứ 4 với sự phát triểnmạnh mẽ của nên tảng không gian mạng Nó đã đem lại những lợi ích vô cùng to lớntrên nhiều lĩnh vực của đời sống xã hội, làm thay đôi bộ mặt của nhiều quốc gia, đemlại những thành tựu vượt bậc cho nhân loại Tuy nhiên, với tính toàn cầu và khả năngkết nối vô hạn, không gian mạng cũng đặt ra nhiều thách thức rất lớn đối với tình hình
an ninh của các quốc gia trên thế giới như: chiến tranh mạng, chiến tranh thông tin,
khủng bố mạng, tội phạm mạng Những điều này làm cho vấn đề phát triển và làmchủ không gian mạng đã trở thành một trong những mối quan tâm không hề nhỏ đối vớicác quốc gia, trong đó có Việt Nam
Mỗi ngày, trên thế giới đã xảy ra hàng loạt các cuộc tấn công mạng với thủ đoạn
tinh vi gây ra hậu quả vô cùng nghiêm trọng đến các cá nhân, tô chức, doanh nghiệp,thậm chí rộng hơn là hệ thống thông tin quốc gia Đặc biệt, ở thời điểm hiện tại, conngười còn đang phải đối mặt với tình hình dịch bệnh COVID-19 diễn biến hết sức phứctạp, làm ảnh hưởng trực tiếp đến sức khỏe và tình hình kinh tế, chính trị chung Thếnhưng chính vì điều này, con số tội phạm mạng lại ngày càng gia tăng một cách chóngmặt lên đến 600% (theo thống kê của VNIS) Dịch bệnh đã đem lại cho chúng thêmkhông gian, môi trường dé tận dụng khai thác các lỗ hong, đánh cắp thông tin, và có đủthời gian dé ấp ủ các âm mưu thực hiện các cuộc tan công mạng trên quy mô lớn
Cu thé, tại Việt Nam trong nam 2020, theo thong kê được bởi hệ thông giám sát
an ninh mạng Viettel có 3 triệu cuộc tấn công từ chối dịch vụ được ghi nhận Có khoảng
156 tổ chức và 306 website của các tổ chức chính phủ bi tan công Có 4 chiến dịch tan
công phishing lớn vào tất cả các ngân hàng với khoảng 26.000 người dùng ngân hàng
bị ảnh hưởng gây tôn thất một lượng chi phí cực kỳ to lớn trong việc bảo trì và khôi
phục hệ thống Còn trong năm 2021 mới đây, theo ghi nhận từ các nguồn tin an ninhthông tin quốc gia, trong thời điểm ba tháng đầu năm đã ghi nhận 1271 các cuộc tấncông mạng qua nhiều hình thức khác nhau như tan công bang mã độc với 623 sự có, tancông bằng hình thức lừa đảo giả mạo với 449 sự có, Hiện tai, tính đến thời điểm tháng
9/2021, con số này lại tiếp tục gia tăng đáng ké với tong con số ghi nhận là 6156 cuộc
tan công (gồm 1.404 cuộc tan công giả mạo, 1.109 cuộc tan công làm thay đổi giao diện,
3.643 cuộc tan công mã độc, tăng 30,15% so với cùng ky năm 2020)
Trang 15Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Truy cập trái phép: 17.72 niấ
BK
ota
RCác hình thức tin công khác: 0
Hình 1.1: Thống kê các cuộc tấn công mang trong yếu năm 2021 tại Việt Nam
Còn trên thế giới trong năm 2021 vừa qua, theo ghi nhận từ các Diễn đàn kinh tếthế giới rủi ro về an ninh mạng vẫn nằm trong top đầu các rủi ro của toàn cầu Đặc biệt,tình hình dịch COVID-19 không có dấu hiệu giảm nhiệt là một trong các nguyên nhânchính khiến nhịp độ phát triển của công nghệ gia tăng qua đó bộc lộ nhiều điểm yếu và
lỗ hồng cho tin tặc khai thác Một số vụ tan công mạng nỗi tiếng trong năm qua có thé
kế đến như hệ thống máy tính của công ty dược phẩm Pfizer bị tin tặc Triều Tiên xâm
nhập đề lấy thông tin của vacxin và cách điều trị bệnh COVID-19, hay hơn 500 triệu dữ
liệu cá nhân và số điện thoại của người dùng Facebook bị rò rỉ tính đến 4/4/2021, hay
gan đây nhất là trào lưu sử dung ứng dụng “biến đổi khuôn mặt” khiến tiềm ấn rất nhiều
nguy hiểm
Những cuộc tan công mạng được dự báo trong những năm tiếp theo sẽ ngày càng
tăng lên do công nghệ thông tin không ngừng phát triển, tạo điều kiện để cho các cuộc
tấncông mạng có thể diễn ra với quy mô rộng lớn, tinh vi hơn nữa Chính vì thế, các
quốc gia trên thế giới nói chung nên sẽ phải đối mặt với một thách thức không hé nhỏ,
cần phải có bản lĩnh, sự tìm hiểu, đánh giá, một cách nghiêm túc, chính xác và đưa ra các giải pháp đối phó hợp lý dé giải quyết triệt để nhất van đề với các tội phạm mạng.
1.1.2 Những nguy cơ thường trực và hậu quả của các cuộc tan công mang
s* Một số nguy cơ thường trực phải đối mặt với các cuộc tan công mạng:
s_ Nguy cơ bị lộ và mat thông tin cá nhân: Đây là một van đề vô cùng
nghiêm trọng vì hiện nay chúng ta đều sử dụng mạng internet đề truy cập
các ứng dụng và thông thường chúng sẽ yêu cầu ta cung cấp các thông tin
cá nhân trên đó Chúng ta có thé bị đánh cắp những thông tin này nếunhững ứng dụng đó là lừa đảo hoặc không tuân thủ các quy tắc về việcbảo vệ thông tin riêng tư Ngoài ra, những thứ như mật khẩu trong các ứngdung quan trọng có thé bị kẻ tan công khai thác và lấy mat vì chúng tathường đặt mật khẩu theo thói quen dễ nhớ và thường lấy thông tin cánhân làm mật khẩu cho các ứng dụng đó
Nguyễn Tuan Anh — DI7CQAT02-B l5
Trang 16Dé án tốt nghiệp GVHD: TS Đặng Minh Tuần
Nguy cơ bị lừa đảo trên mạng: Các ứng dụng như Facebook, Zalo hay
Email, thường là những thứ mà con người sử dụng công nghệ tiếp xúchằng ngày Đây chính là môi trường lý tưởng đề kẻ tấn công khai thác, lừadao mọi người bằng những hình thức hết sức tinh vi Phố biến nhất là việc
những tài khoản được kẻ tan công ân danh dé gửi rất nhiều các đường dẫn
độc hai gan kèm các hình ảnh kích thích trí tò mò dé người dùng nhắn vào.Hay là việc chúng giả mạo các email của những doanh nghiệp uy tín để
lừa người dùng tin tưởng và làm theo Nếu mắc phải bẫy của chúng, hậu
quả cho người dùng sẽ rất khó lường
Nguy cơ khi truy cập mang Wifi công cộng: Nhiều người sử dụng điệnthoại thông minh, hay laptop đôi khi lại thích ra ngoài để làm việc hay giảitrí Lúc này, họ sẽ phải kết nối với một mạng công cộng ở các địa điểmnhư quán cà phê, quán ăn uống, Tuy nhiên, nêu không cần thận, người
dùng rất có thể sẽ kết nối vào một mạng do kẻ tân công tạo ra, bên trong
có chứa các mã độc và lúc này người dùng sẽ rơi vào trạng thái nguy hiểm,
có thé bị đánh cắp thông tin nếu thực hiện các giao dịch quan trọng
Nguy cơ khi sử dụng phan mềm, hệ điều hành chưa được cập nhật:Nhiều hệ điều hành và các phần mềm ngày nay thường hay được crack về
dé sử dụng nên các bản vá lỗi mới không được cập nhật một cách mớinhất Việc sử dụng phần mềm, hệ điều hành phiên bản cũ có thể chứa các
lỗ hồng bảo mật chính là cơ hội tốt để những kẻ tan công có thé khai tháccác cuộc tấn công Zero-Day Điều này giúp cho chúng có thể gây nguyhiểm đến hệ thống của người dùng
Ngoài ra còn rat nhiêu các nguy cơ, rủi ro tiêm ân khác có thê đên từ bat ky ngóc ngách, kẽ hở nào trên môi trường mạng Internet mà kẻ tân công có thê tận dụng đê gây
ra các cuộc tan công mang.
+* Hau qua của các cuộc tần công mạng gay ra:
Nguyễn Tuan Anh - DI7CQAT02-B 16
Trang 17Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Các cuộc tấn công mạng gây ra cho người dùng truy cập mạng internet những
hậu quả hết sức nặng nề vì nó thường nhắm đến các mục đích xấu, phạm pháp như việc
đánh cắp thông tin, dữ liệu, chiếm đoạt quyền điều khiển của hệ thống, xen vào phiênlàm việc của người dùng, Tat cả những việc làm đó có thé sử dụng dé tống tiền, mạo
danh, tra hình các cá nhân, cơ quan, tổ chức, doanh nghiệp, gây tốn hai rat lớn không
chỉ về vật chất mà còn về tinh thần, danh dự, nhân phẩm và uy tín của họ
Dưới đây là một số cuộc tấn công mạng phô biến trong một vai năm trở lại đây
trên thê giới gây hậu quả nghiêm trọng đên các cá nhân, tô chức, doanh nghiệp:
e Nam 2017:
Hé thống mạng của Uber bị xâm phạm làm ảnh hưởng đến dit liệucủa 50 triệu tài xế xe máy, 7 triệu tài xế ô tô và 600.000 thông tinchỉ tiết về giấy phép lái xe của Hoa Kỳ
Hacker đã xâm nhập vào máy chủ Equifax và làm lộ hơn 143 triệu thông tin cá nhân của người tiêu dùng.
412 triệu tài khoản người dùng bị đánh cắp từ các trang web của
Friendfinder.
e Nam 2018:
Tội phạm mang đã xâm nhập vào hệ thống máy tính quốc tế Marriot
và xâm nhập 500 triệu tài khoản.
Cathy pacific bị tan công và 9,4 triệu tài khoản bị xâm phạm
Mã code Facebook bị hacker khai thác và 50 triệu tài khoản người dùng bị xâm phạm.
e Năm 2019:
Bộ Lao động Maryland bị tin tặc xâm nhập bat hợp pháp tên va số
chứng minh nhân dân của 78.000 người.
Captical One gần đây đã có hơn 106 triệu bản record bị đánh cắp
có chứa thông tin cá nhân và tài chính.
e Nam 2020:
Chuỗi khách sạn Marriott tiết lộ một cuộc tấn công mạng đã ảnh
hưởng đên dữ liệu của hơn 5,2 triệu khách khi sử dụng app khách hàng thân thiệt của công ty.
MGM Resorts bi rò ri 142 triệu thông tin cá nhân của khách.
500.000 mật khẩu Zoom bị đánh cắp dé bán trên các web đen
Magellan Health bị tan công ransomware và 365.000 bệnh nhân đã
bị ảnh hưởng.
Vi phạm trên Twitter khiến những kẻ tấn công lừa được 121.000
USD Bitcoin thông qua gân 300 giao dịch.
Nguyễn Tuan Anh — DI7CQAT02-B 17
Trang 18Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
1.1.3 Một số biện pháp nâng cao tính an toàn cho người truy cập mạng
Hiện nay, với sự phát triển của nền công nghiệp 4.0 hầu hết mọi người đều sởhữu cho mình những chiếc điện thoại thông minh, những chiếc laptop, máy tính bảng,máy tinh dé bàn với day đủ các kết nối truy cập mạng internet dé trao đối, liên lạc với
bạn bè, học tập, làm việc, nghiên cứu tin tức thị hiếu, hay thậm chí là mua bán, giao
dịch, Dé hạn chế tối đa việc bị trở thành nạn nhân của những cuộc tấn công mạngkhông dang có, mỗi cá nhân nói riêng hay các cơ quan, tổ chức, doanh nghiệp cần tuân
thủ một số các biện pháp sau đây:
s* Đôi với cá nhân:
Không tiết lộ thông tin cá nhân: Nên hạn chê cung cấp các thông tin cá
nhân quan trọng trên các ứng dụng, trình duyệt.
Thiết lập mật khẩu mạnh: Tuân thủ quy tắc về việc đặt mật khẩu theo
quy chuân và thường xuyên cập nhật mật khâu định kỳ.
Phòng vệ chiều sâu bằng xác thực hai lóp, bảo mật vân tay: Thiết lập
nhiều tầng lớp bảo mật sẽ càng làm tăng tính an toàn khi sử dụng ứng
dụng.
Không tò mò nhấn vào các đường dan lạ: Tuyệt đối không nhân vào cácđường dẫn lạ, không được kiểm chứng Vì nội dung của các đường dẫnthường sử dụng hình ảnh kích thích trí tò mò của con người nên khi ấn
vào đó nhiều khi sẽ lập tức rơi vào bẫy của tin tặc
Cẩn trọng với những tin nhắn, email: Thông tin cá nhân hiện thời như
số điện thoại, email thường dé lộ hết sức dé dàng, vì vậy tin tặc có thé gui
dén những tin nhắn, email mạo danh từ các tổ chức dé mời gọi, dụ dỗ thậm
chí khủng bố, đe dọa những thứ xung quanh ta Cần thật bình tĩnh xác
minh những tin nhắn, email đó tuyệt đối không tin tưởng, làm theo một
cách mù quáng.
Không tải các phan mềm không rõ nguồn gốc: Các phần mềm hiện nay
được crack cực kì đơn giản, từ đó tin tặc có thể chèn các mã độc vào phần
mềm này và đưa lên những trang web cho người dùng tải về Vì vậy, ngườidùng cần tải về những phần mềm ở các trang chính chủ của nhà sản xuất
có nguồn gốc rõ ràng dé tránh trở thành nạn nhân của chúng
Cài đặt các phan mềm diệt vi-rút: Các phần mềm diệt vi-rút có trả phí sẽ
là một giải pháp hiệu quả dé phát hiện, ngăn chặn sớm nhất các mối nguyhiểm tôn tại trong máy tính cá nhân
Cập nhật các bản vá phan mềm, hệ điều hành: Thường xuyên cập nhậtcác phần mềm, hệ điều hành với phiên ban mới nhất dé được tích hợp cáctính năng, cũng như được vá các lỗ hồng đã tồn tại
Hạn chế truy cập vào mang Wifi công cộng: Các wifi công cộng có thé
là do tin tặc tạo ra, hoặc cung cấp chế độ bảo mật không cao Tuyệt đối
không thực hiện các thao tác quan trọng, bí mật riêng tư dé tránh bị tin tặc
phát hiện, khai thác.
Nguyễn Tuan Anh — DI7CQAT02-B 18
Trang 19Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
s* Đôi với các tô chức, doanh nghiệp:
© Báo mật tuyệt doi thông tin, dữ liệu: Các thông tin, dữ liệu nội bộ như
thông tin cá nhân, doanh nghiệp hay thông tin khách hàng nên được bảo mật một cách cân thận kĩ càng băng các biện pháp bảo mật nhiêu lớp đê
tránh việc rò ri, mat dữ liệu, ảnh hưởng trực tiép đên uy tín của công ty.
e _ Mã hóa thông tin mật: Những thông tin quan trọng nên được mã hóa bằng
các thuật toán mã hóa hiện đại, phòng trừ trường hợp khi bị rò rỉ thì tin tặc
cũng khó có thê khai thác được.
e_ Phân quyền rõ ràng: Trong một doanh nghiệp, việc phân chia các cấp
bậc với những quyên tôi đa trong phạm vi cho phép sẽ giúp cho việc vận hành của toàn hệ thông được an toàn hơn.
e_ Đào tao cho nhân viên về việc tam quan trọng của an ninh mang:
Thuong xuyên mở các hội thảo, những buôi tập huan dé trang bị kiên thức
an ninh mạng cho nhân viên Qua đó, họ sẽ biết cách ứng phó, xử lý các
sự cô khi cân thiệt.
© Cập nhật phan mềm ứng dụng, tích hợp các công cụ rà quét lỗ hong:
Trang bị cho mọi người các thiét bi làm việc với các phân mêm được cập
nhật với phiên bản mới nhất, tích hợp các công cụ rà quét lỗ hồng dé phát
hiện, xử lý kịp thời các tình huống phát sinh
1.2 Một số hình thức tan công mạng pho biến
1.2.1 Hình thức tan công mạng bang phần mềm độc hại (Malware Attack)
Tan công bằng phần mềm độc hại (Malware Attack) là một trong các hình thức
tân công mạng phô biên nhât hiện nay Hăng năm, trên thê giới ghi nhận rât nhiêu các
vụ việc bi tân công băng mã độc gây hậu quả lớn Dién hình nhat trong những nam gan
đây là vụ việc tân công của WannaCry băng loại mã độc tông tiên đã gây thiệt hại rât
lớn cho nhiều quốc gia
phá hoại các hệ thống Mặc dù động cơ của chúng khác nhau, nhưng những kẻ tan công
mạng gần như luôn tập trung chiến thuật, kỹ thuật dé giành quyền truy cập vào thông
tin xác thực và tài khoản đặc quyền nhằm thực hiện các nhiệm vụ riêng của chúng
Nguyễn Tuan Anh — DI7CQAT02-B 19
Trang 20Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
s* Các loại tan công bang phần mềm độc hại phô biên:
e Virus: Khi vi-rút máy tính được thực thi, nó có thé tự sao chép bằng cách
sửa đôi các chương trình khác và chèn mã độc hại của nó Đây là loại phầnmềm độc hại duy nhất có thê “lây nhiễm” các tệp khác và là một trongnhững loại phần mềm độc hại khó loại bỏ nhất
e Worm: Một loại sâu có khả năng tự tái tạo mà không cân sự tham gia của
người dùng cuôi và có thê lây nhiễm toàn bộ mạng một cách nhanh chóng
băng cách di chuyên từ máy này sang máy khác.
e Trojan: Dựa trên cơ chế của câu chuyện con ngựa thành Troy, tan công
băng Trojan sẽ xâm nhập vào máy nạn nhân bằng cách khéo léo cài cắm
các đoạn mã độc vào máy tính của họ Đến thời điểm cụ thể, đoạn mã sẽ
thực thi nhằm đánh cắp thông tin, và chiếm quyền điều khiển máy nannhân Trojan có thể chia làm 3 loại chính:
“ Backdoor: Khi những kẻ tan công cài phan mềm Backdoor vào
máy nạn nhân, nó sẽ tạo một ra một cửa hậu cho phép chiếmquyền điều khiển máy nạn nhân đó Nếu nhiều máy tính bị kẻ
tan công điều khiến sẽ làm tiền đề cho các cuộc tan công từ chối
dịch vụ được triển khai
=" Adware: Là một loại mã độc khi được cài vào máy tính sẽ hiển
thị liên tục các quảng cáo làm phiền đến người dùng Các quảng
cáo có thê dẫn đến các đường dẫn độc hại, hoặc chương trìnhphần mềm có phí
= Spyware: là loại một phần mềm gián điệp được cài vào các phần
mềm khác Khi người dùng tải các phần mềm trên mạng không
rõ nguồn gốc về rất dễ dính phải loại mã độc này Một khi đãxâm nhập nó sẽ chiếm quyền điều khiến máy chủ và truyền dữ
liệu đi các nơi khác.
e Ransomware: Đây là loại mã độc mà xâm nhập chủ yếu qua các email
hay các trang web lừa đảo Khi bị nhiễm Ransomware, máy nạn nhân sẽ
bị ngăn chặn việc truy cập dữ liệu do các file dữ liệu đã được mã hóa Đềgiải mã được nạn nhân phải chuyền tiền kẻ tan công
e Rootkit: Một trong các loại mã độc nguy hiểm nhất hiện nay, nó là một
chương trình được thiết kế dé can thiệp sâu vào bên trong hệ thống máytính một cách thông minh Nó gần như tàng hình và khó bị phát hiện bởicác phần mềm diệt vi-rút
e Botnet: Khi các máy tính bị nhiễm điều khiển bằng khi nhiễm mã độc qua
các hình thức như vi-rút, trojan, , nó sẽ được gọi là botnet Các botnet
này được sử dụng nhằm mục đích đánh cắp thông tin, phá hoại hệ thốngvới quy mô lớn nên thiệt hại sẽ rất đáng gờm
Nguyễn Tuan Anh — DI7CQAT02-B 20
Trang 21Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
e Biên thé: Vi-rút được tạo ra và nó có thê sản sinh ra nhiêu biên thê khác
nhau tùy thuộc vào các môi trường khác nhau Điêu này dan đên việc khó
kiêm soát triệt đê vì hành vi của chúng bị thay đôi liên tục.
“+ Một số biện pháp ngăn chặn các cuộc tần công bang phân mêm độc hại:
Dé tăng cường việc bảo vệ máy tính, hệ thông khỏi các cuộc tan công băng phân
mêm độc hại, các cá nhân, tô chức doanh nghiệp nên thực hiện một sô các biện pháp
như sau:
e Nên cai đặt và sử dụng các phân mém diệt vi-rút nôi tiêng có trả phí đê
tăng khả năng phát hiện ra các phân mêm độc hại biên thê mới.
e Thuong xuyên cập nhật các bản vá hệ điêu hành mới nhat trên máy tính
đang sử dụng.
e Thực hiện nguyên tắc ít đặc quyền nhất và quyền truy cập đúng lúc để
nâng cao đặc quyên tài khoản cho các tác vụ được ủy quyền cụ thê nhằmgiúp người dùng làm việc hiệu quả mà không cung cấp các đặc quyền
không cần thiết.
e Loại bỏ quyên quản trị viên cục bộ khỏi tài khoản người dùng tiêu chuân
đê giảm bê mặt tân công.
e Áp dụng danh sách xám ứng dụng trên các thiết bị đầu cuối của người
dùng dé ngăn các ứng dụng không xác định, chăng hạn như các phiên banransomware mới, truy cập internet và có được quyền đọc, ghi và sửa đôicần thiết dé mã hóa tệp
e Áp dụng danh sách cho phép ứng dụng trên các máy chủ dé tối đa hóa tinh
bảo mật của những nội dung này.
e Thường xuyên và tự động sao lưu đữ liệu từ các thiết bị đầu cuối và máy
chủ dé cho phép khôi phục thảm họa hiệu quả
1.2.2 Hình thức tấn công giả mạo, lừa đảo (Phishing Attack)
Phishing được cấu tạo bởi hai từ fishing (câu cá) và phreaking (trò đùa phạm
pháp liên quan đến hệ thống điện thoại) Nó được biết đến lần đầu tiên vào năm 1987.
Ý nghĩa của từ câu cá ở đây nghĩa là “câu” thông tin của người dùng Hơn nữa, tính chất
của nó cũng gần giống như hình thức tan công Phreaking Vì thế, chữ “f? được thay thé
bằng chữ “ph” Từ đó cái tên Phishing được ra đời và phố biến đến tận bây giờ
Cụ thể, phishing là việc tin tặc giả mạo thành một tổ chức uy tín để lừa ngườidùng cung cấp thông tin cá nhân cho chúng Thông thường, tin tặc sẽ giả mạo ngân hàng
hoặc các tô chức tín dụng để lừa người dùng chia sẻ các thông tin như: tên đăng nhập, mật khẩu và số thẻ tín dụng Hình thức tấn công này còn có thể cài phần mềm độc hại
vào thiết bị của người dùng Chúng thực sự là mối quan ngại lớn nếu người dùng chưa
có kiến thức về hình thức tắn công này hoặc thiếu cảnh giác về nó.
Nguyễn Tuan Anh — DI7CQAT02-B 21
Trang 22Dé án tốt nghiệp GVHD: TS Đặng Minh Tuần
Phishing cũng là một trong những hình thức tan công mạng phổ biến nhất hiện
nay Các vụ tân công phishing có thê gây ra thiệt hại vô cùng lớn cho những doanh nghiệp là nạn nhân của chúng.
* Những dấu hiệu nhận biết một cuộc tan công Phishing:
© Các email, tin nhắn có nội dung bat thường: Nội dung được kẻ tấn công
triên khai có thê là các từ ngữ de dọa, các tin nhăn yêu câu khan cap,
Khi nhận được những email kiêu này, kẻ tân công hy vọng người dùng sẽ đọc nó một cách vội vàng, không cân thận và cả tin vào những điêu đó.
e©_ Kiểu tin nhắn: Một dau hiệu ngay lập tức của lừa đảo là một tin nhắn
được viết bằng ngôn ngữ hoặc giọng điệu không phù hợp Ví dụ điển hình
nhất là việc lay cắp tài khoản Facebook người dùng và nhắn tin yêu cầuchuyên tiền đến những người trong danh sách bạn bè của họ.
e_ Lỗi ngôn ngữ: Lỗi chính tả và sử dung sai ngữ pháp là một dau hiệu khác
của email lừa đảo Hâu hêt các công ty đã thiệt lập tính năng kiêm tra
chính tả trong ứng dụng email của họ đôi với các email gửi đi Do đó, các
email có lỗi chính tả hoặc ngữ pháp sẽ gây nghi ngờ vì chúng có thé không
xuât phát từ nguôn đã xác nhận quyên sở hữu.
e_ Sự không nhất quán trong địa chỉ web: Các trang web có thé bị kẻ tan
công mạo danh băng các tên miên gân giông với tên miên chính chủ Nêu người dùng không đê ý kỹ sẽ khó phân biệt được vì giao diện trang web được kẻ tân công làm giả hoàn toàn giông.
“ Các phương thức tan công Phishing:
e Email Phishing (giả mạo Email): Hầu hết các cuộc tan công lừa đảo được
gửi qua email Những kẻ tân công thường đăng ký tên miên giả mạo bắt chước các tô chức thực và gửi hàng nghìn yêu câu phô biên đên nạn nhân.
Mục đích của chúng là khiến người dùng nhấp vào liên kết đó đề dẫn đến những trang web độc hại, hay tải xuống tệp bị nhiễm phần mềm độc hại.
e Spear Phishing: Tân công kiêu này sẽ bao gồm các email độc hại được
nhắm đến những người cụ thé Kẻ tan công thường đã có một số hoặc tat
Nguyễn Tuan Anh - DI7CQAT02-B 22
Trang 23Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
cả các thông tin sau về nạn nhân như tên, nơi làm việc, chức vụ, địa chỉemail, đồng nghiệp đáng tin cậy, thành viên gia đình, dé tăng độ tin cậy
cho nạn nhân.
e Whaling: Các cuộc tan công này thường nhắm vào quản lý cấp cao và các
vai trò có đặc quyền cao khác với những kỹ thuật thường rat tinh vi Các
nhân viên cấp cao thường có nhiều thông tin trong miền công cộng và
những kẻ tan công có thé sử dụng thông tin này dé tạo ra các cuộc tan công
với quy mô lớn hơn.
e Smishing and Vishing: Day là một cuộc tan công lừa đảo bằng việc gửi
các tin nhắn SMS, hay giả danh các tổ chức uy tin dé gọi điện đến người
dùng nhăm khiến ho tin tưởng và làm theo các mệnh lệnh
s* Một số biện pháp để phòng chống tan công Phishing:
Phishing là một trong những hình thức tan công phổ biển nhất hiện nay và cũngrất dé dang triển khai trong thực tế đơn giản là việc đánh vào lòng tin, sự thiểu hiểu biết
trong nhận thức của con người Dưới đây là một số biện pháp phòng chống tấn công
Phishing cho cá nhân nói riêng và các tổ chức nói chung:
e Phòng chống tan công phishing cho cá nhân:
= Không trả lời các email lạ yêu cầu bạn xác nhận hoặc cung cấp
thông tin cá nhân.
" Không nhấp vào bắt kỳ liên kết nào đính kèm trong thư rác Nó có
thê tiêm ân rât nhiêu rủi ro mạng.
= Không tải xuống bat cứ tệp tin nào trong email lạ
= Bảo vệ máy tinh bang cách sử dụng tường lửa và phần mềm diệt
virus (phiên bản mới nhât).
= Chuyén thư rác đến hòm thư spam@ce.gov Bạn cũng có thé gửi
email tới reportphishing @ antiphishing.org Như tên gọi, day là tô chức giúp chong lại các vụ tân công phishing.
e Phòng chống tan công phishing cho tổ chức:
= Đảo tạo kiến thức an ninh mạng cho toàn bộ nhân viên dé họ năm
được các chiến lược lừa đảo, xác định các dấu hiệu lừa đảo và báo
cáo các sự có đáng ngờ cho nhóm bảo mật
“Thường xuyên tô chức các buổi tập huấn, các budi diễn tập mô
phỏng các tình huống tan công giả mạo
" Mã hóa toàn bộ thông tin quan trọng của tổ chức, doanh nghiệp dé
chăng may khi bị lừa đảo, những thông tin đó còn có thêm một lớp
bảo mật nữa.
= Triển khai các giải pháp bao mật email vì các giải pháp lọc email
hiện đại có thé bảo vệ khỏi phần mềm độc hại và các tải trọng độchại khác trong thư email Các giải pháp có thể phát hiện email có
Nguyễn Tuan Anh — DI7CQAT02-B 23
Trang 24Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
chứa liên kết độc hại, tệp đính kèm, nội dung spam và ngôn ngữ có
thé gợi ý một cuộc tấn công lừa đảo
= Cập nhật hệ điều hành và phần mềm dang sử dụng lên phiên bản
mới nhất
1.2.3 Hình thức tan công trung gian (Man in the middle Attack)
Các cuộc tân công trung gian MITM là một trong những hình thức tan công mạnglâu đời nhất và các nhà khoa học máy tính đã tìm cách ngăn chặn những kẻ xấu giả mạo
hoặc nghe trộm thông tin liên lạc từ đầu những năm 1980 Trong cuộc tấn công MITM,
kẻ tan công sẽ tìm cách xen vào giữa đường truyền giao tiếp giữa hai bên trao đôi dữ
liệu sau đó bí mật nghe trộm hoặc sửa đôi lưu lượng truy cập giữa họ Nạn nhân không
hề hay biết mình đã bị chuyên hướng đến các trang web mà chúng đã thiết lập sẵn, vẫnnhập các thông tin, dữ liệu quan trọng vào đó và giúp chúng đạt được mục đích nhanh
hơn Những kẻ tấn công có thể sử dụng các cuộc tấn công MITM để lấy cắp thông tin
đăng nhập hoặc thông tin cá nhân, theo dõi nạn nhân hoặc phá hoại thông tin liên lạc và
làm hỏng dit liệu gây hậu quả nghiêm trong cho các cá nhân, tổ chức có liên quan
oS
“6à
x BS
Ứng dung web
Hình 1.5: Minh hoa trực quan cách thức tan công MITM
* Một số loại hình tan công trung gian:
Những kẻ tan công có thé sử dụng các cuộc tan công MITM dé giành quyền kiểmsoát các thiết bị theo nhiều cách khác nhau có thé ké đến như:
© Giả mạo (Spoofing): Gồm có IP Spoofing, DNS Spoofing hay HTTPS
Spoofing Day là hình thức tan công mà kẻ tấn công sẽ giả mạo dia chỉ IP,
giả mạo tên miền, hay một URL, dé chuyền hướng người dùng đến cáctrang web mà chúng muốn từ đó có thé lay được thông tin của người dùng
e Đánh cắp, chiếm đoạt (Hijacking): Điền hình là Email Hijacking Trong
cuộc tấn công này, tin tặc sẽ nhắm mục tiêu vào các tài khoản email của
các ngân hàng và các tổ chức tài chính Sau khi có quyền truy cập, họ cóthể theo dõi và giả mạo địa chỉ email của ngân hàng và gửi các hướng dẫncủa riêng chúng cho khách hàng Nếu khách hàng không để ý sẽ rất dễ bịlàm theo hướng dẫn mà chúng viết
Nguyễn Tuan Anh — DI7CQAT02-B 24
Trang 25Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
e Đánh cắp cookie của trình duyệt: Cookie lưu trữ thông tin từ phiên duyệt
web của bạn Nếu có được cookie, những kẻ tấn công có thể dành quyền
truy cập vào mật khâu, địa chỉ và thông tin nhạy cảm khác của bạn.
* Một số biện pháp ngăn chặn tan công trung gian:
Với số lượng các công cụ săn có cho tội phạm mạng đề thực hiện các cuộc tấn
công trung gian ngày càng tinh vi, chúng ta nên thực hiện các bước sau đây đê giúp bảo
vệ thiệt bi, dữ liệu và kêt noi của mình:
e Dam bao “HTTPS” - với chữ S - luôn ở trong thanh URL của các trang
web truy cập.
e Không nên hoặc tránh kết nối trực tiếp với bộ định tuyến Wi-Fi công cộng
nhât có thê Mà nên sử dung VPN dé mã hóa kết nôi internet trên các diém
truy cập công cộng đê bảo vệ dữ liệu riêng tư quan trọng được gửi và nhận
được an toàn.
e Nên cài đặt giải pháp bảo mật internet toàn diện, chang hạn như các phan
mềm diệt vi-rút Kaspersky, Norton Security, trên máy tính của mình
e Luôn cập nhật phân mêm bảo mật.
e Đảm bảo rằng mang Wi-Fi gia đình được trang bi cơ chế bảo mật tốt nhất
như WPA2, WPA3, Cập nhật tất cả tên người dùng và mật khâu mặcđịnh trên bộ định tuyến và tat cả các thiết bị được kết nối thành mật khẩumạnh, duy nhất
1.2.4 Hình thức tan công cơ sở dữ liệu (SQL Injection)
SQL Injection (SQLi) là một kiểu tấn công tiêm nhiễm giúp nó có thé thực thi
các câu lệnh SQL độc hại Các câu lệnh nay kiểm soát một máy chủ cơ sở dữ liệu dang
sau một ứng dụng web Những kẻ tan công có thé sử dung lỗ héng SQL Injection dévượt qua các biện pháp bảo mật ứng dụng Họ có thể tiến hành xác thực và ủy quyền
một trang web hoặc ứng dụng web và truy xuất nội dung của toàn bộ cơ sở dữ liệu hay
có thé thêm, sửa đổi và xóa các bản ghi trong cơ sở dit liệu
Lỗ hồng SQL Injection có thé ảnh hưởng đến bat kỳ trang web hoặc ứng dụng
web nào sử dụng cơ sở dữ liệu SQL như MySQL, Oracle, SQL Server hoặc các trang
web khác Tội phạm có thé sử dụng nó dé truy cập trái phép vào dữ liệu nhạy cảm của
bạn: thông tin khách hàng, dữ liệu cá nhân, bí mật thương mại, sở hữu trí tuệ, v.v Cáccuộc tấn công SQL Injection là một trong những lỗ hồng ứng dụng web lâu đời nhất,
phô biến nhất và nguy hiểm nhất Tô chức OWASP (Dự án bảo mật ứng dụng web mở)liệt kê các tiêm trong tài liệu OWASP Top 10 2017 của họ là mối đe dọa số một đối với
bảo mật ứng dụng web.
“+ Nguyên nhân dẫn đến một cuộc tan công SQL Injection:
Có 2 nguyên nhân của lỗ hồng trong ứng dụng cho phép thực hiện tan công chèn
mã SQL:
Nguyễn Tuan Anh — DI7CQAT02-B 25
Trang 26Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
e_ Dữ liệu đầu vào từ người dùng hoặc từ các nguồn khác không được kiêm
tra hoặc kiểm tra không kỹ lưỡng
e Sử dụng các câu lệnh SQL động trong ứng dụng, trong đó có thao tác nối
dữ liệu người dùng với mã lệnh SQL gốc
Bên dưới là một ví dụ vượt qua khâu xác thực người dùng do dữ liệu đầu vào
không được kiêm tra và sử dụng các câu lệnh SQL động:
SELECT * FROM tbl_accounts WHERE username=" AND password="'.
Đây là một câu truy van SQL dé kiểm tra dữ liệu đầu vào tài khoản người dùng
Nếu đúng tên đăng nhập và mật khâu có trong bảng cơ sở dữ liệu sẽ được thông qua
Tuy nhiên việc sử dụng câu lệnh SQL động như thế này sẽ khiến kẻ tấn công có thể dễdàng sửa đổi cấu trúc câu truy van va dé dàng vượt qua khâu xác thực của người dùng
SELECT * FROM tbl_accounts WHERE username='aaaa' OR 1=1 ' AND
password= 'aaaa'.
Câu truy van sẽ trả về mọi bản ghi trong bảng do thành phan OR 1=1 làm chođiều kiện trong mệnh đề WHERE trở lên luôn đúng và phần kiểm tra mật khẩu đã bịloại bỏ bởi ký hiệu ( ) Phần lệnh sau ký hiệu ( ) được coi là ghi chú và không được
thực hiện N éu trong bang tbl_accounts có chứa it nhat một bản ghi, kẻ tấn công sẽ luôn
đăng nhập thành công vào hệ thống
% Một số loại hình tan công SQL Injection:
Có ba loại SQL Injection, bao gồm: In-band SQLi (Classic), Inferential SQLi
(Blind) và Out-of-band SQLi Dưới đây là thông tin tong quan về từng loại:
e In-band SQLi (Classic): Tin tặc sử dụng cùng một kênh liên lạc dé bắt
đầu các cuộc tan công và thu thập kết quả Chính sự đơn giản và hiệu quảcủa In-band SQLi khiến nó trở thành một trong những kỹ thuật tan côngSQLi phố biến nhất hiện nay Kỹ thuật này có hai biến thé: error-based
SQLi và union-based SQL1.
° Inferential SQLi (Blind): Là kỹ thuật trong đó tin tặc gửi các data payload
đến server, sau đó quan sát phản ứng của server dé tìm hiểu về cấu trúc của nó Inferential SQL được phân thành hai loại là Boolean và time-based
SQLi Khi thực hiện Inferential SQLI, dữ liệu sẽ không được chuyền từ
cơ sở dữ liệu trang web đến tin tặc vì thế tin tặc không thé nhìn thay thông
tin về cuộc tấn như trong in-band SQLI Inferential SQL dựa trên phan
ứng của server nên có tốc độ thực thi chậm
© Out-of-band SQLi: Tin tặc chỉ có thé tan công Out-of-band SQLi khi có
một số tính năng nhất định được kích hoạt trên server cơ sở dữ liệu đượcứng dụng web sử dụng Kỹ thuật này được thực hiện khi tin tặc không thé
sử dung cùng một kênh dé bat đầu tan công và thu thập thông tin Một ly
do khác là do server quá chậm và không ồn định Kỹ thuật Out-of-bandSQLi dựa vào khả năng server tạo ra DNS hay HTTP request dé chuyên
đữ liệu cho tin tặc.
Nguyễn Tuan Anh — DI7CQAT02-B 26
Trang 27Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
“+ Hau quả của cuộc tan công SQL Injection:
Hình thức tan công chèn mã SQL Injection tập trung chủ yếu vào việc vượt quakhâu xác thực người dùng để tin tặc có thể thâm nhập vào cơ sở dữ liệu bên trong hệ
thống, sau đó có thé thêm, sửa, xóa dữ liệu, đánh cắp thông tin bên trong hoặc thậm chí
nguy hiểm hon là chiếm quyền điều khiển hệ thống máy chủ cơ sở dit liệu
Trên thực tế, cơ sở dit liệu như là một phan tat yếu của các cơ quan, doanh nghiệp,
tổ chức Nó chứa đựng rất nhiều các thông tin quan trọng không chỉ của cá nhân tô chức
đó, mà còn của cả những khách hàng sử dụng dịch vụ do tổ chức đó cung cấp Đây chính
là nơi dé cho những tin tặc khai thác dé tan công chèn mã SQL Injection nhiều nhất.Nếu để tin tặc khai thác có thê dẫn đến một số hậu quả nghiêm trọng như sau:
© Làm rò rỉ dữ liệu: Khi tân công SQLi thành công, tin tặc có thê truy cập
vào cơ sở dữ liệu, sau đó chỉnh sửa, xóa hoặc đánh cắp chúng Thiệt hại
mà doanh nghiệp phải chịu sẽ phụ thuộc vào mức độ quan trọng của dữ liệu bi rò ri.
se Làm ảnh hướng đến khách hàng: Nhiều khách hàng hiện nay vẫn có thói
quen dùng một mật khẩu cho nhiều tài khoản Như vậy, chỉ cần mật khẩu
của một tài khoản bị lộ thì các tài khoản khác cũng gặp rủi ro mất an toàn
e Làm giảm uy tín của doanh nghiệp: Uy tín và hình ảnh của doanh nghiệp
sẽ bị ảnh hưởng nghiêm trọng sau khi thông tin về sự cố bị phát ra ngoài.Khách hang sẽ mat niềm tin vào doanh nghiệp và chuyên sang sử dụngsản phẩm / dịch vụ của doanh nghiệp đối thủ Giảm doanh thu là hậu quảtất yêu mà ai cũng có thé nhìn thấy
Chính vì vậy, các cá nhân hay các cơ quan, doanh nghiệp, tô chức nên triển khai,
thiết lập một cách kỹ lưỡng và trang bị phòng thủ có chiều sâu thì nhiều khả năng sẽ bị
tin tặc khai thác triệt việc bị tan công chèn mã SQLi giảm thiêu hậu quả tối đa mà nó cóthé đem lại giúp bảo toàn uy tín, danh dự và nhân phẩm cho mình
* Biện pháp dé phòng chống cuộc tấn công SQL Injection:
Do tính chất nguy hiểm của cuộc tấn công SQL Injection, nhiều giải pháp đãđược đề xuất nhằm hạn chế tác hại và ngăn chặn triệt để dạng tấn công này Nhìn chung,can áp dụng kết hợp các biện pháp phòng chống tan công chèn mã SQL dé đảm bảo antoàn cho hệ thống Các biện pháp, kỹ thuật có thể áp dụng gồm:
e Kiểm tra kỹ lưỡng tất cả dữ liệu đầu vào và tạo các bộ lọc dữ liệu dé loại
bỏ các ký tự đặc biệt.
e Sử dụng cơ sở dữ liệu hướng thủ tục (stored procedures) và cơ chế tham
số hóa dữ liệu để tách dữ liệu ra khỏi mã lệnh SQL
e_ Thiết lập quyền truy nhập người dùng cơ sở dữ liệu một cách hợp lý như
không sử dụng người dùng có quyền quản trị hệ thống hoặc quản trị cơ SỞ
dữ liệu làm người dùng truy nhập dữ liệu, chia nhóm người dùng, chỉ cấp
quyền vừa đủ dé truy nhập các bảng biểu, thực hiện câu truy van và chạy
các thủ tục.
Nguyễn Tuan Anh — DI7CQAT02-B 27
Trang 28Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
e_ Sử dụng các công cụ rà quét lỗ hồng phô biến như SQLMap, Acunetix
Vulnerability Scanner, dé chủ động rà quét, tìm các lỗ héng chèn mã
SQL và có biện pháp khắc phục phù hợp
Ngoài ra, chúng ta có thé tham gia các khóa dao tạo và nâng cao nhận thức bởi
vì để giữ cho ứng dụng web an toàn, mọi người tham gia xây dựng ứng dụng web phảinhận thức được những rủi ro liên quan đến SQL Injection Đồng thời, áp dụng các công
nghệ mới nhất do các công nghệ phát triển web cũ hơn không có tính năng bảo vệ
SQLi Sử dụng phiên bản mới nhất của môi trường và ngôn ngữ phát triển và các công
nghệ mới nhất liên quan đến môi trường của ngôn ngữ đó Ví dụ, trong PHP sử dụng cóthé sử dung PDO thay vì MySQLi
1.2.5 Hình thức tan công từ chối dịch vu (DoS & DDoS Attack)
Tan công từ chối dịch vụ (DoS) là một kiểu tan công mang, trong đó tác nhân
độc hại sẽ làm cho máy tính hoặc thiết bị khác không khả dụng cho người dùng dự định,làm gián đoạn hoạt động bình thường của thiết bị Các cuộc tấn công DoS thường hoạtđộng bằng cách áp đảo hoặc làm ngập một máy được nhắm làm mục tiêu với các yêucầu cho đến khi không thể xử lý lưu lượng truy cập bình thường, dẫn đến việc từ chốidịch vụ đối với người dùng bổ sung
Tan công từ chối dịch vụ phân tán (DDoS) là một loại hình tan công từ chối dịch
vụ ma trong đó số lượng các tác nhân độc hại hoạt động gửi các yêu cầu hoặc làm ngập
lụt một thiết bị mục tiêu là rất nhiều bao gom nhiéu hé thống máy tính tạo thành mạnglưới Nhiều khi những máy được sử dụng cho cuộc tan công này cũng không biết minh
đang bị lợi dụng.
* Một số loại hình tắn công từ chối dịch vụ phố biến:
Hiện nay, có rất nhiều các kỹ thuật tan công từ chối dịch vụ (DoS) được phát hiệntrong thực tế đời sống Một số các kỹ thuật thường gặp như là Flood Attack (gồm: SYN
Flood, HTTP Flood, UDP Flood, ICMP Flood, ), Smurf, Ping of Death,
e Flood Attack: Gây ngập lụt một máy chủ được nhắm mục tiêu với số
lượng gói tin được gửi đến quá nhiều bằng việc sử dụng các địa chỉ IP giảmạo khiến việc phản hôi lại các gói tin đó không thể hoàn tat
SYN a
x Cee = af
=z SYN-ACK
| s
(a) Thủ tục bắt tay 3 bước bình
thường của giao thức TCP (b) Tắn công SYN Flood
Hình 1.6: Kịch bản tấn công SYN Flood
Nguyễn Tuan Anh — DI7CQAT02-B 28
Trang 29Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
© Smurf Attack: Sử dụng giao thức điều khiến truyền ICMP và kiểu phát
quảng bá có định hướng dé gây ngập lụt đường truyền mang của máy nạn
nhân Trên mỗi phân vùng mang IP thường có | địa chỉ quảng bá, theo đó
khi có một gói tin gửi tới địa chỉ này, nó sẽ được router của mạng chuyểnđến tất cả các máy trong mạng đó
Attacker |—2i5%53-| Router | 22s | Device
; Device
Device |
Device
Device
Hình 1.7: Kịch ban tan công Smurf
© Ping of Death: Thường đi kèm với cuộc tan công ngập lụt, cuộc tan công
này liên quan đến việc gửi một gói tin không đúng định dạng (có thể là
một gói tin có kích thước quá lớn tràn khỏi bộ nhớ hệ thống) đến một máy
được nhắm mục tiêu, dẫn đến hành vi có hại như sự cố hoặc treo hệ thông.
(P) Gói tin Ping Of Death
IPheader ICMPheader ICMP data > 65,535 bytes
20 bytes 8 bytes 2 65,508 bytes
Hình 1.8: Kịch bản tan công Ping of Death
* Một số cách nhận biết một máy tính đang bi tan công từ chối dịch vụ:
Mặc dù có thé khó có thé tách một cuộc tấn công DoS với các lỗi kết nối mang
khác hoặc tiêu tôn nhiêu băng thông, nhưng một sô đặc điêm có thê cho thây một cuộc tan công đang dién ra Các chỉ sô của một cuộc tân công DoS bao gôm:
e _ Hiệu suất mang chậm thường xuyên, chang hạn như thời gian tải lâu cho
các tệp hoặc trang web.
e_ Không thê tải một trang web cụ thể
e_ Mất kết nối đột ngột giữa các thiết bị trên cùng một mạng
Nguyễn Tuan Anh — DI7CQAT02-B 29
Trang 30Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
“+ Một sô biện pháp đề ngăn chặn một cuộc tan công từ choi dịch vu:
e Dam bảo mức độ an ninh mang cao: Su dụng tường lửa, các hệ thông
phát hiện ngăn chặn xâm nhập, cài đặt các phân mêm diệt vi-rút hiện đại,
các phân mêm bảo mật web, các bộ lọc gia mạo dia chi,
e_ Có máy chi dự phòng: Các máy chủ khác van không bị ảnh hưởng và
nhận thêm lưu lượng truy cập cho đến khi hệ thong được nhắm mục tiêutrực tuyến trở lại nêu kẻ tan công chỉ nham đến một máy chủ duy nhất
e Chú ý ý các dau hiệu cảnh báo: Như khả năng kết nối kém, hiệu suất chậm,
yêu cầu cao đối với một trang hoặc điểm cuối, lưu lượng truy cập bất
thường đến từ một hoặc một nhóm nhỏ các địa chỉ IP, lưu lượng truy cập
tăng đột biến từ những người dùng có cấu hình chung (mô hình hệ thống,
vị trí địa lý, phiên bản trình duyệt web, ).
© Giám sát liên tục lưu lượng mạng: Việc giám sát lưu lượng mang là điều
bắt buộc và nên làm thường xuyên, có lịch trình cụ thê vì nó là chìa khóa
chính giúp ta nhận diện rõ nét nhât vê cuộc tân công DoS.
© Giới hạn phát sóng mang: Hạn chế hoặc nếu có thé tắt chuyển tiếp
chương trình phát sóng là một cách hiệu quả đề làm gián đoạn nỗ lực DoSkhối lượng lớn
e Tận dụng điện toán dam mây: Cung cấp các tính năng bảo mật toàn diện
với tường lửa và các phần mềm giám sát tiên tiến Ngoài ra nó còn có khối
lượng băng thông lớn, kèm khả năng sao lưu cho hệ thống, thiết bị.
1.2.6 Hình thức tan công khai thác lỗ hong Zero-Day (Zero-Day Attack)
"Zero-Day" là một thuật ngữ rộng mô tả các lỗ héng bảo mật được phát hiện gần
đây mà tin tặc có thé sử dung dé tan công hệ thống Thuật ngữ "Zero-Day" dé cập đếnthực tế là nhà cung cấp hoặc nhà phát triển chỉ mới biết về lỗ hồng - có nghĩa là họ có
"Zero-Day" dé sửa chữa nó Một cuộc tan công Zero-day diễn ra khi tin tặc khai thác lỗ
hồng trước khi các nhà phát triển có cơ hội giải quyết nó Các cuộc tấn công Zero-Dayđặc biệt nguy hiểm vì những người duy nhất biết về chúng là chính những kẻ tấn công.Khi đã xâm nhập được vào hệ thong mang, bon tội phạm có thé tan công ngay lập tứchoặc ngồi chờ thời điểm thuận lợi nhất dé thực hiện
Các tác nhân độc hại thực hiện các cuộc tan công Zero-Day thuộc nhiều loại khác
nhau, tùy thuộc vào động cơ của chúng Những tội phạm mạng, tin tặc có động cơ thường
là thu lợi tài chính Có những tin tặc lại được thúc đây bởi một lý do chính trị hoặc xãhội muốn các cuộc tan công được hiển thị dé thu hút sự chú ý của họ Hay các doanhnghiệp hoạt động gián điệp do thám các công ty dé đạt được thông tin trong cơ quan tôchức của họ Hay chiến tranh mạng - các quốc gia hoặc các tác nhân chính trị theo dõi
hoặc tấn công cơ sở hạ tang mạng của một quốc gia khác
Nguyễn Tuan Anh — DI7CQAT02-B 30
Trang 31Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Phát hiện Tấn công
Nga Khai thác Nhà cungcấp Bản vá được phân phối
tìm hiểu
Hình 1.9: Minh họa vòng đời của cuộc tấn công Zero-Day
* Cách xác định một cuộc tan công Zero-Day:
e Lỗ hồng Zero- -Day có thể có nhiều dạng - chăng hạn như thiếu mã hóa dữ
liệu, thiếu quyền, thuật toán bi hỏng, lỗi, sự cố với bảo mật mật khâu,
nên chúng khó có thé bị phát hiện Do bản chat của các loại lỗ hong này,
thông tin chỉ tiết về khai thác Zero-Day chỉ có sẵn sau khi khai thác được
xác định.
e Các tô chức bị tan công bởi khai thác Zero-Day có thé thay lưu lượng truy
cập không mong muốn hoặc hoạt động quét đáng ngờ bắt nguồn từ ứng
dụng khách hoặc dịch vụ.
Một ví dụ gan đây về cuộc tan công Day trong năm 2021 là lỗ hồng Day của Chrome Năm 2021, Chrome của Google phải chịu một loạt các mối đe dọatrong Zero-Day, khiến Chrome phải đưa ra các bản cập nhật Lỗ hồng bắt nguồn từ một
Zero-lỗi trong công cụ JavaScript V§ được sử dụng trong trình duyệt web.
+* Hậu quả cuộc một cuộc tân công Zero-Day:
Đôi tượng mà kiêu tân công Zero-Day nhăm đên rat rộng rãi có thê kê đên như:
e Các cá nhân sử dụng hệ thống dé bị tan công, chang hạn như trình duyệt
hoặc hệ điêu hành Tin tặc có thê sử dụng các lỗ hông bảo mật đê xâm
nhập thiết bị và xây dựng các mạng botnet lớn
e Các cá nhân có quyên truy cập vào dữ liệu kinh doanh có giá trị, chăng
hạn như tải sản trí tuệ.
e Thiết bị phần cứng, chương trình cơ sở và Internet of Things
e Các doanh nghiệp và tô chức lớn
e Co quan chính phủ, các mục tiêu chính trị va mối đe doa an ninh quốc gia
Với một cuộc tan công Zero-Day hậu quả cuộc nó gây ra là cực kỳ nghiêm trọng, bởi những người bị tan công kiểu này thường không biết mình đang có điểm yếu hay
tồn tại lỗ hong nên chưa kịp thích ứng dé đưa ra các biện pháp phòng thủ từ trước Chính
vì thế những kẻ tan công hoàn toàn làm chủ cuộc chơi, chờ đợi thời cơ dé ra tay sao chothu được mục đích cao cả nhất của chúng Nếu phần mềm của chúng ta sơ hở mà bị tintặc tìm ra được lỗ hồng thiệt hại gây ra sẽ phụ thuộc hoàn toàn vào tầm quan trọng của
lỗ hong đó Vi dụ như có thé gây mat thông tin cá nhân, rò ri dir liệu do chưa mã hóa,
hay thuật toán bị lỗi, hệ thống mật khâu gặp sự có,
Nguyễn Tuan Anh — DI7CQAT02-B 31
Trang 32Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
s* Một số biện pháp nhằm ứng phó với cuộc tan công Zero-Day:
Đề giữ an toàn cho máy tính và dữ liệu tránh khỏi cuộc tấn công Zero-Day, điềucần thiết cho cả cá nhân và tô chức là tuân theo các phương pháp hay nhất về an ninh
mạng Điêu này bao gôm:
Luôn cập nhật tat cả phan mém và hệ điều hành: Điều này là do các nhà
sản xuất cung cấp bao gồm các bản vá bảo mật dé che các lỗ hồng mới
được xác định trong các bản phát hành mới Hãy luôn cập nhật dé đảm
bảo an toàn.
Chi sw dụng các ứng dụng can thiét: Khi càng có nhiêu phân mêm, ban
sẽ càng có nhiêu 16 hông tiêm ân Có thê giảm rủi ro cho mang của mình bang cách chỉ sử dụng các ứng dụng cân thiết.
Sử dụng tường lửa: Tường lửa đóng một vai trò thiết yếu trong việc bảo
vệ hệ thống chống lại các mối đe dọa Zero-Day Bạn có thể sẽ được bảo
vệ tối đa băng cách thiết lập cau hình cho nó dé chỉ cho phép các truy cập
cần thiết
Trong tổ chức, giáo dục người dùng: Nhiều cuộc tan công Zero-Day lợi
dụng lỗi của con người Vì thế, việc trang bị cho nhân viên và người dùngthói quen an toàn và bảo mật tốt sẽ giúp giữ họ an toàn khi trực tuyến vàbảo vệ các tổ chức khỏi bị khai thác Zero-Day và các mỗi đe dọa kỹ thuật
số khác
Sử dụng giải pháp phan mém chống vi-rút toàn diện: Các phần mềm
diệt vi-rut như Kaspersky Total Security, BKAV, Noxton, giúp giữ antoàn cho thiết bị của bạn bằng cách chặn các mối đe dọa đã biết và chưabiết.
1.3 Kết chương
Nhu vậy, trong chương 1 đã trình bày được tông quát về tình hình an ninh manghiện nay bên trong và ngoài nước Tiếp đó là những nguy cơ, rủi ro, những hậu quả phảiđối mặt của người dùng dé thấy rõ tầm nguy hiểm của các cuộc tấn công mạng Cùngvới đó, chương | còn trình bày về các hình thức tan công mạng phổ biến hiện nay cáckhía cạnh về khái niệm, dấu hiệu, hậu quả và biện pháp khắc phục cho từng hình thức
tan công mạng này
Với những sự nguy hiểm thấy rõ qua việc tìm hiểu về các hình thức tấn công
mạng, cân đặt ra một giải pháp đê khăc phục điêu này cho việc đảm bảo thông tin, dữ liệu được an toàn khi sử dụng, truyên đi trên môi trường mạng Giải pháp ở đây chính công nghệ.
Nguyễn Tuan Anh — DI7CQAT02-B 32
Trang 33Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
CHUONG 2: NGHIÊN CUU VE CÔNG NGHỆ IPSEC (INTERNET
PROTOCOL SECURITY)
Chương 2 trình bày chi tiết về công nghệ IPSec — công nghệ bảo mật gói IP
Những khía cạnh được trình bày bao gom: khái niệm, mục dich, chức năng, các dich vu
ho trợ, kiến trúc tổng quát, nguyên lý hoạt động, wu nhược điểm và ứng dụng của IPSec
trong thực tế
2.1 Tổng quan về công nghệ IPSec
2.1.1 Đặt vấn đề
Từ thời điểm ban đầu, một trong những điểm yếu của giao thức internet (IP) là
thiếu đi các cơ chế dé đảm bao tính xác thực và quyền riêng tư của dữ liệu khi nó được
truyền qua mạng internet Vì các gói tin IP thường phải được định tuyến giữa hai thiết
bị qua các mạng không xác định, nên bat kỳ thông tin nào trong đó có thé bị chặn và
thậm chí có thé bị thay đổi Với việc sử dung internet ngày càng phổ biến cho các ứngdụng quan trọng, giao thức internet nên được chú trọng nhiều hơn về việc nâng cao, cải
thiện tính bao mật dem lại sự an toan cho người sử dụng.
Một vấn đề nữa là từ trước đến nay, ta thường sử dụng phiên bản IP gốc (IPv4)
dé truyền tin qua mạng internet Nhưng với sự phát trién quá nhanh chóng và phổ biếncủa mạng internet, số lượng không gian địa chỉ của nó đến thời điểm hiện tại đang dầncạn kiệt và công nghệ cũng đã được sinh sản từ nhiều năm trước đó Điều này dẫn đếnviệc, khi sử dụng IPv4, chúng ta không thể đảm bảo chắc chắn an ninh thông tin trên
các mạng IP Dé khắc phục van dé này, nhiều công nghệ khác nhau đã được phát minh
ra Hầu hết chúng tập trung ở các lớp cao hơn trong mô hình OSI đề bù đắp cho sự thiếubảo mật của IP Những giải pháp này có giá trị đối với một số tình huống nhất định,
nhưng chúng không thé được áp dụng cho tat cả các loại ứng dụng Ví dụ: chúng ta có
thé sử dung lớp công bảo mật (SSL) cho một số ứng dụng cụ thé như quyên truy cập
World Wide Web hoặc giao thức truyền tệp (FTP), nhưng có hàng tá ứng dụng mà loại
bảo mật này không bao giờ có ý định hoạt động.
Điều thực sự cần thiết là một giải pháp cho phép bao mật ở cấp IP dé tat cả cácgiao thức lớp cao hơn trong TCP/IP có thé tận dụng nó Khi đưa ra quyết định phát triển
phiên ban IP mới (IPv6), đây chính là cơ hội vàng tích hợp vào đây một tập hợp các giao
thức bảo mật gói IP hay được gọi là IPSec để vừa có giải quyết các van đề địa chỉ trong
IPv4 cũ hơn mà quan trọng hơn còn là cả vấn đề việc thiếu bảo mật Công nghệ bảo mật
mới này đã được phát triển với IPv6, nhưng vì IPv6 đã mat nhiều năm dé phát triển,triển khai, và nhu cầu sử dụng IPv4 vẫn còn rộng rãi nên hiện tại IPSec đã được thiết kếlinh hoạt dé có thé sử dụng được cho cả IPv4 và IPv6
Nguyễn Tuan Anh — DI7CQAT02-B 33
Trang 34Dé án tốt nghiệp GVHD: TS Đặng Minh Tuần
2.1.2 Giới thiệu chung về IPSec
* Khái niệm về IPSec:
IPSec là viết tắt của Internet Protocol Security hay còn được gọi với nhiều thuậtngữ khác tương đồng như IP Security, IPSEC, IPsec, các từ viết hoa viết thường có
thể thay đổi Nó được coi là một kiến trúc dé bảo mật gói tin IP IPSec bao gồm một bộ
giao thức sử dụng các kỹ thuật mật mã để cung cấp đồng thời hai cơ chế là xác thực(Authentication) và mã hóa (Encryption) cho gói tin IP Với cơ chế xác thực, IPSec sẽgiúp quá trình truyền gói tin từ địa chỉ nguồn đến địa chỉ đích được diễn ra thuận lợi,
chính xác không bị đánh cắp, thay đôi trên đường truyền và chống lại được các cuộc tan
công phát lại (Reply Attack) Còn với cơ chế mã hóa, nó sẽ làm cho các gói tin không ởdang bản rõ, khiến cho nội dung của gói tin khó có thê rò ri đảm bảo được tính riêng tư
và toàn vẹn cho đữ liệu.
„+ Sh amy
COMPUTING PROTECT INTERNET PROTOCOL VPN AUTHENTICATES
Hình 2.1: Công nghệ bao mật gói IP - IPSec
IPSec nằm ở tang thứ ba trong mô hình OSI (Network Layer), nó không phải là
một giao thức riêng lẻ, độc lập mà là một tập hợp các dịch vụ và giao thức cung cấp giải
pháp bảo mật hoàn chỉnh cho mạng IP Các dịch vụ và giao thức này kết hợp với nhau
để cung cấp nhiều loại bảo vệ khác nhau Một điểm mạnh của IPsec là nó hoạt động ởlớp IP nên nó có thể cung cấp các biện pháp bảo vệ này cho bat kỳ ứng dụng hoặc giao
thức TCP/IP nào ở lớp cao hơn mà không cần các phương pháp bảo mật bé sung Không
những thế, việc nằm ở tang IP và cung cấp một số dịch vụ “nền” khiến cho quá trình
bảo mật bằng công nghệ này không hề ảnh hưởng đến người dùng
Tầng Trình bàyTang Phiên
Tang Vận Chuyến
Tầng Liên Kết Tang Vật lý
Hình 2.2: Vi trí cua IPSec trong mô hình OSI
Nguyễn Tuan Anh - DI7CQAT02-B 34
Trang 35Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Trong một vài năm trở lại đây, ta thấy việc sử dụng công nghệ IPSec ngày càngphô biến rộng rãi hơn trên nền tảng internet Một ứng dụng chính của công nghệ này làtriển khai các mạng riêng ảo (VPN) Có vẻ với những gì mà công nghệ IPSec đem lại,
sẽ ngày càng nhiều cá nhân và công ty quyết định tận dụng nó vào trong công việc, vì
nó có thé đảm bảo tinh bảo mật của dữ liệu mà họ vận chuyền trao đổi qua lại mà còn ít
gặp phải vấn đề nghiêm trọng trong quá trình sử dụng
s* Chức năng và dich vụ của IPSec:
Một sỐ loại dịch vụ bảo vệ với các chức năng tương ứng do công nghệ IPSeccung cấp bao gồm:
© Báo vệ chống lại một số loại tan công bảo mật, chẳng hạn như các cuộc
tan công phát lại: Với cuộc tan công phát lại (Reply Attack), kẻ tan công
sẽ chặn bắt gói tin trên đường truyền và thay đổi bằng một gói tin kháctruyền cho người dùng mà họ không hề hay biết và lầm tưởng là thông tin
được nhận vẫn đúng Nhưng với công nghệ IPSec, việc sử dụng kỹ thuật
Sequence Number (đánh số tuần tự) cho các packet dữ liệu sẽ khiến kẻ tấn
công không thé chặn bắt, thay đổi gói tin từ đó ngăn chặn việc bị đánh cắp
dữ liệu.
© Mã hóa dữ liệu người dùng dé bảo mật: Sử dụng các thuật toán mã hóa
và các hàm băm tiên tiến như DES, AES, MDS, SHAI, để mã hóa dữliệu giúp ngăn chặn tối đa kha năng sửa đồi gây mất tính toàn vẹn
e Xác thực tính toàn vẹn của một thông điệp: Việc sử dụng cơ chế xác thực
sẽ dam bảo rằng dit liệu không bị thay đổi trên đường truyền
e_ Trao đối khóa và các thuật toán bảo mật: Việc IPSec có khả năng cho
phép các thiết bị thương lượng các thuật toán bảo mật và khóa cần thiết sẽ
đáp ứng được nhu cầu bảo mật giữa hai bên, đảm bảo tính nhất quán trong
khi liên lạc.
e_ Cung cấp hai chế độ bảo mật: IPSec hoạt động trên hai chế độ chính là
chế độ đường ham và chế độ truyền tải (chi tiết sẽ trình bày ở phan tiếp
theo) với mục dich dé đáp ứng các nhu cầu mạng khác nhau, đem lại tính
đa dạng cho người sử dụng.
2.2 Kiến trúc và nguyên lý hoạt động của công nghệ IPSec
2.2.1 Mô hình kiến trúc tổng quát của IPSec
Như đã dé cập ở phan trước, công nghệ IPSec là một tổ hợp các giao thức và các
thành phần khác nhau cau tạo nên dé cung cấp các dịch vụ bảo mật Hình dưới đây sẽ
thé hiện mô hình kiến trúc tổng quát của công nghệ IPSec Nó được cau tạo từ một cặp
giao thức cốt lõi có tên là xác thực tiêu đề (AH) và đóng gói tải trọng bảo mật (ESP) vớikhả năng cung cấp tính xác thực và quyền riêng tu cho dit liệu và được thêm vào mô hình gói tin IP dưới dang các Header Tuy nhiên, chúng không thé tự hoạt động Chính
vi vay, dé hoat động cua IPSec được dién ra binh thường, những giao thức cốt lõi trên
Nguyễn Tuan Anh — DI7CQAT02-B 35
Trang 36Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
cần đến sự hỗ trợ của một số thành phần, dịch vụ khác như các thuật toán mã hóa/hàm
băm, các chính sách bảo mật/liên kêt bảo mật, hay giao thức trao đôi và quản lý khóa.
Bộ giao thức bảo mat IP (IPsec)
Authentication Header (AH): Giao thức xác thực tiêu đề sẽ cung cấp các dịch
vụ xác thực cho IPSec Nó cho phép người nhận xác minh rằng thông tin họ nhận được
chính là từ người gửi tạo ra thông tin đó Nó cũng cho phép người nhận xác nhận rằng
các thiết bị trung gian trên đường đi không làm thay đổi bat kỳ thông tin nào trong gói
dữ liệu Ngoài ra, nó còn cung cấp kha năng bảo vệ chống lại các cuộc tấn công phát lại,theo đó một dữ liệu được gửi từ người dùng trái phép sẽ bi thu lại hoặc hủy di.
Encapsulating Security Payload (ESP): La giao thức đóng gói tai trọng bảo mật.
Nếu như AH đảm bảo tính toàn vẹn của dữ liệu trong gói tin IP nhưng không đảm baotính riêng tư của nó thì ESP chính là giao thức được đưa vào để phục vụ cho điều nàythông qua cơ chế mã hóa dữ liệu
Encryption/Hashing Algorithms: Được gọi là các thuật toán mã hóa và hàm
băm Vi bản thân giao thức AH va ESP không ấn định một loại thuật toán mã hóa hay
xác thực cụ thể nào cả nên điều này mang lại cho nó sự linh hoạt dé làm VIỆC VỚI nhiềuloại thuật toán khác nhau tùy theo thỏa thuận của đôi bên Hai thuật toán thông thường
hay được sử dụng với IPSec là Message Digest 5 (MD5) va Secure Hash Algorithm 1
(SHA-1) Chúng còn được gọi là các thuật toán băm vi chúng hoạt động bằng cách tínhtoán một công thức được gọi là hàm băm dựa trên dữ liệu đầu vào và một khóa
Security Policies/Security Association (ISAKMP): Được gọi là các chính sáchbảo mật, liên kết bảo mật và phương pháp quản lý khóa Vì IPSec cung cấp sự linh hoạt
trong việc cho phép các thiết bị khác nhau quyết định cách chúng muốn triển khai bảomật, chúng yêu cầu một số phương tiện đề theo dõi các mối quan hệ bảo mật giữa chúng
Điều này được thực hiện trong IPSec bằng cách sử dụng các cấu trúc được gọi là chính
sách bảo mật và liên kết bảo mật, và bằng cách cung cấp các cách dé trao đồi thông tinliên kết bảo mật
Internet Key Exchange/Key Management (IKE): Đây là cơ chế trao đổi và quản
lý khóa Dé cho hai thiết bị trao đổi thông tin được mã hóa, chúng cần có khả năng chia
sẻ khóa dé mở khóa mã hóa Ho cũng cần một cách dé trao đổi thông tin liên kết bao
Nguyễn Tuan Anh — DI7CQAT02-B 36
Trang 37Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
mật Trong IPSec, một giao thức được gọi là Internet Key Exchange (IKE) cung cấp
những khả năng này.
2.2.2 Tìm hiểu về các giao thức và thành phần của IPSec
Ở phần trước, ta chỉ đề cập một cách tổng quát nhất về các giao thức và thànhphần bên trong công nghệ IPSec Còn trong phần này ta sẽ đi vào phân tích hoạt độngchỉ tiết của các giao thức và các thành phần đó dé xem rang chúng lần lượt được cấu tạo
như thé nao, cơ chế triển khai hoạt động ra sao, sử dụng thuật toán mã hóa hay trao đổikhóa nào,
2.2.2.1 Giao thức xác thực tiêu đề (Authentication Header)
Giao thức IPSec Authentication Header (AH) là một trong hai giao thức bao matcốt lõi trong IPsec Nó cho phép người nhận gói tin xác minh tính xác thực cua gói tin
đó Nó được triển khai dưới dạng các Header và được thêm vào sơ đồ gói tin IP giá trikiểm tra tinh toàn ven (ICV), được tính toán dựa trên giá trị của các trường trong so đồgói tin Người nhận có thê sử dụng giá trị này để đảm bảo răng dữ liệu không bị thayđổi khi chuyên tiếp AH không mã hóa dữ liệu và do đó không đảm bao tính riêng tư
của đường truyền
* Dinh dang của giao thức xác thực tiêu đề AH:
IP Header Authentication Header
O 4 =, 2 16 20 24 28 32
Sequence Number
Hình 2.4: Khuôn dạng của giao thức xác thực tiêu dé AH
Nguyễn Tuan Anh — DI7CQAT02-B 37
Trang 38Đồ án tốt nghiệp GVHD: TS Đặng Minh Tuấn
Dé hiêu rõ vê các trường có trong giao thức xác thực tiêu dé ta xem bang sau:
ứng và có thể liên kết các Header lại với nhau
Trường này đo độ dài của chính AH Header, không phảiPayload 1 trọng tải Nó được do bằng đơn vị 32 bit, với 2 trừ đi để
Length nhất quán với cách tính độ dài Header thường được tính
trong IPv6.
Reserved 2 Có giá trị băng 0, với độ dài 2 byte - 16 bit, được bảo lưu
đê sử dụng trong tương lai.
Có giá trị 32 bit, khi được kết hợp với địa chỉ IP đích và
loại giao thức bảo mật giúp nhận dạng một thiết lập kếtSecurity he ` k R ` , : mm
nôi an toàn duy nhât Thông thường, trước khi trao đôi dữ
Parameter 4 LẠ 1 ta kip ca Rok
Index (SPI) liệu hai bên sẽ tạo ra liên kêt bao mật (SA) đê nhat quán
các tham số bảo mật, thuật toán băm và khóa bí mật đangđược sử dụng.
Một trường bộ đếm được khởi tạo băng 0 khi một SAđược hình thành giữa hai thiết bị và sau đó tăng dần choSequence 4 mỗi gói dữ liệu được gửi bằng SA đó Điều nay xác địnhNumber duy nhất mỗi sơ đồ trên một SA và được sử dụng để bảo
vệ chông lại các cuộc tân công phát lại Nêu sô gói vượt
quá con sô 2?” thì phải tạo ra một SA khác.
Trường này có độ dài thay đôi và có chứa giá trị kiêm tratính toàn vẹn (ICV) cho gói tin Sử dụng thuật toán băm
và khóa bí mật, người gửi sẽ tạo bản tóm tắt thông báo sẽđược gửi đến người nhận Mặt khác, người nhận sẽ sử
dụng cùng một thuật toán băm và khóa bí mật N ếu cả hai
4 thông báo tóm tắt trùng khớp thì người nhận sẽ chấp nhận
dữ liệu Nếu không, người nhận sẽ loại bỏ nó băng cáchnói rang tin nhắn đó đã được sửa đổi ở giữa Vì vậy, dữliệu xác thực được sử dụng dé xác minh tính toàn vẹn củaquá trình truyền Ngoài ra, độ dài của nó phụ thuộc vào
thuật toán băm bạn chọn.
Authentication
Data (ICV)
Bảng 2.1: Mô ta các trường có trong tiêu dé xác thực AH
Có thé nhận thấy răng không có địa chi IP nào xuất hiện trong các Header, đó làđiều kiện tiên quyết là nó giống nhau cho cả IPv4 và IPv6
Nguyễn Tuan Anh — DI7CQAT02-B 38