Đồ án tốt nghiệp đề tài nghiên cứu và xây dựng hệ thống giám sát an toàn thông tin dựa trên snort

Đi cùng với những lợi ích khi phát triển hạ tầng mạng như băng thông cao, khối lượng dữ liệu trong mạng lớn, đáp ứng được nhu cầu của người dùng, hệ thống mạng phải đối đầu với rất nhiều

ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP

ĐỀ TÀI: NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG GIÁM SÁT AN TOÀN

THÔNG TIN DỰA TRÊN SNORT

Lớp:

Giảng viên hướng dẫn:

Nhóm sinh viên thực hiện:

Tên sinh viên Mã sinh viên

TP.HCM -2022

ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP

ĐỀ TÀI: NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG GIÁM SÁT AN TOÀN

THÔNG TIN DỰA TRÊN SNORT

Lớp:

Giảng viên hướng dẫn:

Nhóm sinh viên thực hiện:

Tên sinh viên Mã sinh viên

TP.HCM - 2022

DANH SÁCH HỘI ĐỒNG BẢO VỆ KHÓA LUẬN

Hội đồng chấm khóa luận tốt nghiệp, thành lập theo Quyết định số

……… ngày ……… của Hiệu trưởng Trường Đại học Côngnghệ Thông tin

1 ……… – Chủ tịch

2 ……… – Thư ký

3 ……… – Ủy viên

4 ……… – Ủy viên

MỤC LỤC

Chương 1 GIỚI THIỆU TỔNG QUAN VỀ ĐỀ TÀI 9

1.1 Tổng quan đề tài 9

1.1.1 Khái quát về an ninh mạng 9

1.1.2 Những vấn đề đảm bảo an ninh và an toàn mạng 10

1.1.3 Các thành phần cơ bản 11

1.2 Giới thiệu các giải pháp cơ bản 11

1.3 Giới thiệu các giải pháp cơ bản 11

Chương 2 CƠ SỞ LÝ LUẬN 13

2.1 Các nguyên tắc nền tảng của an ninh mạng 13

2.1.1 Tính bí mật 14

2.1.2 Tính toàn vẹn 14

2.1.3 Tính sẵn sàng 15

2.2 Nội dung về tấn công mạng 15

2.2.1 Hacking và khái niệm hacker 15

2.2.2 Phân loại hacker 16

2.2.3 Các nguy cơ mất an ninh mạng 17

2.2.4 Các giai đoạn tấn công 17

2.2.5 Các kiểu tấn công 18

2.3 Giải pháp an ninh mạng 28

2.3.1 Công nghệ tường lửa (Firewall) 28

2.3.2 Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS 29

2.3.3 Công nghệ mạng LAN ảo (VLAN) 34

2.3.4 Nghiên cứu mạng riêng ảo (VPN) 37

2.4 Yếu tố con người 38

2.5 Mô hình ứng dụng giải pháp an ninh mạng 39

2.5.1 Sơ đồ thực tế 39

2.5.2 Sơ đồ logic 40

2.6 Giới thiệu phần mềm 41

2.6.1 Khái niệm 41

2.6.2 Ưu điểm 41

2.6.3 Các yêu cầu đối với hệ thống Snort 42

2.7 Kiến trúc của Snort 42

2.7.1 Modun giải mã gói tin 43

2.7.2 Modun tiền xử lý 44

2.7.3 Modun phát hiện 45

2.7.4 Modun log và cảnh báo 46

2.7.5 Modun kết xuất thông tin 46

2.8 Bộ luật của Snort 47

2.8.1 Giới thiệu 47

2.8.2 Cấu trúc luật của Snort 47

2.8.3 Phần tiêu đề (Header) 48

2.8.4 Các tùy chọn (Option) 53

2.9 Chế độ ngăn chặn của Snort: Snort-Inline 58

2.9.1 Tích hợp khả năng ngăn chặn vào Snort 58

2.9.2 Những bổ sung cho cấu trúc luật của Snort hỗ trợ Inline mode .59 2.10 Kết luận chương 2 59

Chương 3 Triển khai và cài đặt hệ thống giám sát an toàn thông tin dựa trên Snort 60

3.1 Mô hình thực nghiệm 60

3.2 Cài đặt Snort 61

3.3 Kịch bản và triển khai thực tế 68

3.3.1 Kịch bản thử nghiệm 68

3.3.2 Triển khai thực tế 68

Chương 4 Kết luận và hướng phát triển 72

4.1 Kết quả đạt được 72

4.2 4.2 Ưu điểm và nhược điểm 72

4.3 Những hạn chế gặp phải 73

4.4 Hướng phát triển 73

TÀI LIỆU THAM KHẢO 74

DANH MỤC HÌNH VẼ

Hình 2.1: Mô hình bộ ba CIA 10

Hình 2.2: Tấn công Man in The Middle 19

Hình 2.3: Giả mạo ARP 21

Hình 2.4: Giả mạo DNS 21

Hình 2.5: Giả mạo DNS 21

Hình 2.6: Tấn công nội bộ 25

Hình 2.7: Tấn công DDoS 25

Hình 2.8: Firewall 29

Hình 2.9: Hệ thống phát hiện xâm nhập 29

Hình 2.10: Network-based IDS 31

Hình 2.11: Công nghệ VLAN 35

Hình 2.12: VLAN từ đầu cuối – đến – đầu cuối 36

Hình 2.13: Sơ đồ thực tế cài đặt IDS vào hệ thống mạng 39

Hình 2.14: Sơ đồ logic cài đặt IDS 40

Hình 2.15: Mô hình kiến trúc hệ thống Snort 42

Hình 2.16: Xử lý một gói tin Ethernet 44

Hình 2.17: Cấu trúc luật của Snort 47

Hình 2.18: Header luật của Snort 48

Hình 3.1: Mô hình triển khai thực nghiệm 60

Hình 3.2: Cài đặt và update một số gói cần thiết 60

Hình 3.3: Cài đặt Libpcap 61

Hình 3.4: Cài đặt DAQ 62

Hình 3.4a: Cài đặt LuaJIT 64

Hình 3.5: Cài đặt Snort 65

Hình 3.6: Snort đã được cài đặt thành công 65

Hình 3.7: Snort thực hiện chạy thành công 67

Hình 3.8: Thực hiện lệnh tấn công từ máy Kali 69

Hình 3.9: Máy client trước khi bị tấn công 69

Hình 3.10: Máy client sau khi bị tấn công 70 Hình 3.11: Thực hiện câu lệnh giám sát trên Snort 70 Hình 3.12: Thu được kết quả sau khi sử dụng Snort 71

DANH MỤC BẢNG

Bảng 2.1: Các cờ sử dụng với từ khóa flags 57

DANH MỤC TỪ VIẾT TẮT

AAA Authentication, Authorization, Accounting

CIS Center for Internet Security

HTTPS Hypertext Transfer Protocol Secure

IaaS Infrastructure as a Service

MỞ ĐẦU

Cùng với sự phát triển của công nghệ thông tin, sự đầu tư cho hạ tầng mạngtrong mỗi doanh nghiệp ngày càng tăng cao, dẫn đến việc quản trị sự cố một hệ thốngmạng gặp rất nhiều khó khăn Đi cùng với những lợi ích khi phát triển hạ tầng mạngnhư băng thông cao, khối lượng dữ liệu trong mạng lớn, đáp ứng được nhu cầu củangười dùng, hệ thống mạng phải đối đầu với rất nhiều thách thức như các cuộc tấn côngbên ngoài, tính sẵn sàng của thiết bị, tài nguyên của hệ thống,…

Một trong những giải pháp hữu hiệu nhất để giải quyết vấn đề này là thực hiệnviệc giải pháp giám sát mạng, dựa trên những thông tin thu thập được thông qua quátrình giám sát, các nhân viên quản trị mạng có thể phân tích, đưa ra những đánh giá, dựbáo, giải pháp nhằm giải quyết những vấn đề trên Để thực hiện giám sát mạng có hiệuquả, một chương trình giám sát phải đáp ứng được các yêu cầu sau: phải đảm bảochương trình luôn hoạt động, tính linh hoạt, chức năng hiệu quả, đơn giản trong triểnkhai, chi phí thấp Hiện nay, có khá nhiều phần mềm hỗ trợ việc giám sát mạng có hiệuquả như Nagios, Zabbix, Snort, Cacti,…

Vì vậy, em đã chọn đề tài “ Nghiên cứu và xây dựng hệ thống giám sát an toànthông tin dựa trên Snort”, một phần mềm mã nguồn mở với nhiều chức năng mạnh mẽcho phép quản lý các thiết bị, dịch vụ trong hệ thống mạng Với mục tiêu nghiên cứu,tìm hiểu về giải pháp giúp cho mọi người có cái nhìn tổng quan về một hệ thống giámsát mạng hoàn chỉnh, đồng thời đưa ra một giải pháp cụ thể đối với một hệ thống mạngdành cho doanh nghiệp

Mục tiêu của để tài:

Tìm hiểu cơ cấu hoạt động, thành phần, cách triển khai của hệ thống pháthiện và phòng chống xâm nhập (IDS/IPS)

Ứng dụng, triển khai phần mềm phát hiện xâm nhập mã nguồn mởSNORT

Xây dựng ứng dụng hỗ trợ cấu hình, quản lý và phân tích, thống kê trên cơ

sở hoạt động SNORT

Bố cục tiểu luận gồm có:

Chương 1 Tổng quan về an ninh mạng trong nước và thế giới các mối đe dọa vàgiải pháp phát hiện phòng chống xâm nhập trong hệ thống mạng

Chương 2 Đưa ra cái nhìn tổng quan về hệ thống giám sát an ninh mạng và một

số công cụ giám sát an ninh mạng có sẵn Trình bày các cơ sở lý thuyết về phần mềmSnort và khả năng ứng dụng trong giám sát an ninh mạng

Chương 3 Triển khai và cài đặt hệ thống giám sát an toàn thông tin dựa trênSnort

Chương 4 Kết luận và hướng phát triển của đề tài

NHÓM SINH VIÊN THỰC HIỆN ĐỒ ÁN

Phạm Đình Khánh

Cao Thanh Khiết

Chương 1 GIỚI THIỆU TỔNG QUAN VỀ ĐỀ TÀI

1.1 Tổng quan đề tài

1.1.1 Khái quát về an ninh mạng

An ninh mạng máy tính (network security) là tổng thể các giải pháp về mặt tổchức và kỹ thuật nhằm ngăn cản mọi nguy cơ tổn hại đến mạng

Các tổn hại có thể xảy ra do:

Lỗi của người sử dụng

Các lỗ hổng trong các hệ điều hành cũng như các chương trìnhứng dụng

Các hành động hiểm độc

Các lỗi phần cứng

Các nguyên nhân khác từ tự nhiên

An ninh mạng máy tính bao gồm vô số các phương pháp được sử dụng để ngăncản các sự kiện trên, nhưng trước hết tập trung vào việc ngăn cản:

Lỗi của người sử dụng

Các hành động hiểm độc

Số lượng các mạng máy tính tăng lên rất nhanh Ngày càng trở thành phức tạp

và phải thực hiện các nhiệm vụ quan trọng hơn Mang lại những thách thức mới chonhững ai sử dụng và quản lý chúng Sự cần thiết phải hội nhập các dịch vụ vào cùngmột hạ tầng cơ sở mạng tất cả trong một là một điều hiển nhiên Do các nhà quản lýmạng phải cố gắng triển khai những công nghệ mới nhất vào hạ tầng cơ sở mạng củamình

An ninh Mạng – Network Security bảo vệ mạng của bạn trước việc đánh cắp và

sử dụng sai mục đích thông tin kinh doanh bí mật và chống lại tấn công bằng mã độc từ

vi rút và sâu máy tính trên mạng Internet Nếu không có an ninh mạng được triển khai,công ty của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệ hoạt động củamạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí là các hành độngphạm pháp nữa

An ninh Mạng không chỉ dựa vào một phương pháp mà sử dụng một tập hợp cácrào cản để bảo vệ doanh nghiệp của bạn theo những cách khác nhau Ngay cả khi mộtgiải pháp gặp sự cố thì giải pháp khác vẫn bảo vệ được công ty và dữ liệu của bạn trước

đa dạng các loại tấn công mạng

Các lớp an ninh trên mạng của bạn có nghĩa là thông tin có giá trị mà bạn dựavào để tiến hành kinh doanh là luôn sẵn có đối với bạn và được bảo vệ trước các tấncông Cụ thể là, An ninh Mạng:

Bảo vệ chống lại những tấn công mạng từ bên trong và bên ngoài Cáctấn công có thể xuất phát từ cả hai phía, từ bên trong và từ bên ngoàitường lửa của doanh nghiệp của bạn Một hệ thống an ninh hiệu quả sẽgiám sát tất cả các hoạt động mạng, cảnh báo về những hành động viphạm và thực hiện những phản ứng thích hợp

Đảm bảo tính riêng tư của tất cả các liên lạc, ở bất cứ đâu và vào bất cứlúc nào Nhân viên có thể truy cập vào mạng từ nhà hoặc trên đường đivới sự đảm bảo rằng hoạt động truyền thông của họ vẫn được riêng tư vàđược bảo vệ

Kiểm soát truy cập thông tin bằng cách xác định chính xác người dùng và

hệ thống của họ Các doanh nghiệp có thể đặt ra các quy tắc của riêng họ

về truy cập dữ liệu Phê duyệt hoặc từ chối có thể được cấp trên cơ sởdanh tính người dùng, chức năng công việc hoặc các tiêu chí kinh doanh

cụ thể khác

Giúp bạn trở nên tin cậy hơn Bởi vì các công nghệ an ninh cho phép hệthống của bạn ngăn chặn những dạng tấn công đã biết và thích ứng vớinhững dạng tấn công mới, nhân viên, khách hàng và các doanh nghiệp cóthể an tâm rằng dữ liệu của họ được an toàn

1.1.2 Những vấn đề đảm bảo an ninh và an toàn mạng

Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lưu trữ trên hệthống máy tính cần được bảo vệ do các yêu cầu về tính bảo mật, tính toànvẹn hay tính kịp thời

Yếu tố thứ hai là về tài nguyên hệ thống, sau khi những kẻ tấn công đãlàm chủ được hệ thống chúng sẽ sử dụng các máy này để chạy cácchương trình như dò tìm mật khẩu để tấn công vào hệ thống mạng.Sau đây là một số phương thức bảo đảm an toàn, bảo mật thông tin, dữliệu:

Mật mã (Cryptography): là việc thực hiện chuyển đổi dữ liệu theo mộtquy tắc nào đó thành dạng mới mà kẻ tấn công không nhận biết được.Xác thực (Authentication): là các thao tác để nhận dạng người dùng, nhậndạng client hay server…

Ủy quyền (Authorization): chính là việc phân định quyền hạn cho mỗithành phần đã đăng nhập thành công vào hệ thống Quyền hạn này là cácquyền sử dụng dịch vụ, truy cập dữ liệu…

Kiểm toán (Auditing): là các phương pháp để xác định được client đãtruy cập đến dữ liệu nào và bằng cách nào

Các thiết bị hạ tầng mạng: Router, switch, Hub…

Các thiết bị, hệ thống phát hiện và phòng chống xâm nhập: IDS/IPS,Snort, FireWall…

Các ứng dụng chạy trên các máy chủ và máy trạm

Ngoài ra, log hệ thống cũng là một thành phần quan trọng của hệ thống mạng

Nó lưu lại một cách chính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệthống, các ứng dụng, các thiết bị đã và đang hoạt động trong hệ thống Log là mộtthành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc phục các sự cố trong hệthống mạng Bao gồm:

Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng tới

hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu…

Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện.Log ứng dụng, log của hệ điều hành…

Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng

và phần mềm đang được sử dụng: Router, Switch, IDS, IPS…

1.2 Giới thiệu các giải pháp cơ bản

Giải pháp phân mảnh mạng

Quản lý các điểm truy nhập

Các bộ định tuyến và chuyển mạch

Giải pháp bức tường lửa

Giải pháp lọc nội dung

Giải pháp phát hiện và phòng chống xâm nhập

Điều khiển truy nhập từ xa

Quản lý các sự kiện an ninh

Quản lý các tổn thương

Giải pháp mật mã

1.3 Giới thiệu các giải pháp cơ bản

Mạng – Internet dường như trong thời đại phát triển như hiện nay thì từ nhà,công ty, doanh nghiệp, Nơi đâu cũng có mạng Ta thấy rõ được rằng mạng internet

đã mang lại cho chúng ta rất nhiều điều hữu ích Tuy nhiên, trong hệ thống mạng, vấn

đề an toàn và bảo mật đóng một vai trò hết sức quan trọng Nếu không có an ninh mạngđược triển khai, hệ thống của bạn sẽ gặp rủi ro trước xâm nhập trái phép, sự ngừng trệhoạt động của mạng, sự gián đoạn dịch vụ, sự không tuân thủ quy định và thậm chí làcác hành động phạm pháp nữa

Nhận thức được tầm quan trọng của nó, nhóm chúng em đã chọn đề tàinày để nghiên cứu Mục đích chính là để học hỏi, và cũng muốn tìm hiểu những giảipháp an ninh mạng tối ưu cho một hệ thống mạng

Chương 2 CƠ SỞ LÝ LUẬN

2.1 Các nguyên tắc nền tảng của an ninh mạng

Đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thông tin và dữ liệu đóng mộtvai trò hết sức quan trọng trong đời sống và có khi ảnh hưởng tới sự tồn vong của họ

Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất làtrong bối cảnh hiện nay các hệ thống thông tin ngày càng được mở rộng và trở nênphức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được

Điều này cho thấy vai trò cốt yếu của an ninh mạng trong việc bảo hệ hệ thốngmạng Và nền tảng quan trọng của an ninh mạng bao gồm 3 yếu tố:

Tính bí mật

Tính toàn vẹn

Tính sẵn sàng

Tùy thuộc vào ứng dụng và hoàn cảnh cụ thể, mà một trong ba nguyên tắc này

sẽ quan trọng hơn những cái khác

Hình 2.1: Mô hình bộ ba CIAConfidentiality, Integrity, Availability, được gọi là: Mô hình bộ ba CIA Banguyên tắc cốt lõi này phải dẫn đường cho tất cả các hệ thống an ninh mạng Bộ ba

CIA cũng cung cấp một công cụ đo (tiêu chuẩn để đánh giá) đối với các thực hiện anninh Mọi vi phạm bất kỳ một trong ba nguyên tắc này đều có thể gây hậu quả nghiêmtrọng đối với tất cả các thành phần có liên quan.

2.1.1 Tính bí mật

Bí mật là sự ngăn ngừa việc tiết lộ trái phép những thông tin quan trọng, nhạycảm Đó là khả năng đảm bảo mức độ bí mật cần thiết được tuân thủ và thông tin quantrọng, nhạy cảm đó được che giấu với người dùng không được cấp phép Tính bí mậtcủa thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý, ví dụ nhưtiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập thôngtin đó từ xa qua môi trường mạng Sau đây là một số cách thức như vậy:

Khóa kín và niêm phong thiết bị

Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + passwordhay đặc điểm về sinh trắc để xác thực

Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép

Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh: SSL/TLS,AES, …

Đối với an ninh mạng thì tính bí mật rõ ràng là điều đầu tiên được nói đến và nóthường xuyên bị tấn công nhất

2.1.2 Tính toàn vẹn

Toàn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về dữ liệu, thôngtin và hệ thống, do đó đảm bảo được sự chính xác của thông tin và hệ thống Có ba mụcđích chính của việc đảm bảo tính toàn vẹn:

Ngăn cản sự làm biến dạng nội dung thông tin của những người sử dụngkhông được phép

Ngăn cản sự làm biến dạng nội dung thông tin không được phép hoặckhông chủ tâm của những người sử dụng được phép

Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngoài

Đảm bảo tính toàn vẹn của thông tin, tức là thông tin chỉ được phép xóa hoặcsửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xáckhi được lưu trữ hay truyền đi Về điểm này, nhiều người thường hay nghĩ tính

“integrity” đơn giản chỉ là đảm bảo thông tin không bị thay đổi (modify) là chưa đẩy

đủ Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồngốc của thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ

dự án, và không còn hứng thú hoàn tất những phần chi tiết Thái độ này sẽ là rào cảntrong môi trường cộng tác, gây khó khăn cho những lập trình viên khác trong vấn đềhoàn tất dự án Trong một số trường hợp, nếu người hacker không mô tả bằng văn bản

kỹ lưỡng các đoạn mã lập trình, sẽ gây khó khăn cho công ty tìm người thay thế nếungười này rời vị trí

Hacker là chuyên gia mạng và hệ thống: Về lĩnh vực mạng và hệ thống,

hacker là người có kiến thức chuyên sâu về các giao thức và hệ thống mạng Có khảnăng hoàn thiện và tối ưu hóa hệ thống mạng Mặt tối của những hacker này là khảnăng tìm ra điểm yếu mạng và lợi dụng những điểm yếu này để đột nhập vào hệ thốngmạng Đa số những hacker mũ đen hiện nay có kiến thức sơ đẳng về mạng và sử dụngnhững công cụ sẵn có để đột nhập, họ thường được gọi là "script kiddies"

Hacker là chuyên gia phần cứng: Một loại hacker khác là những người yêu

thích và có kiến thức sâu về phần cứng, họ có khả năng sửa đổi một hệ thống phầncứng để tạo ra những hệ thống có chức năng đặc biệt hơn, hoặc mở rộng các chức năngđược thiết kế ban đầu Các ví dụ về hacker ở phân loại này bao gồm:

Sửa đổi phần cứng máy tính để tối ưu hóa và tăng tốc hệ thống.Sửa đổi hệ thống game Xbox để chạy hệ điều hành Linux

Sửa đổi hệ thống iPhone để sử dụng hệ thống mạng khác ngoài AT&T Phá mã máy iPhone để sử dụng các phần mềm lậu của hãng thứ 3…

2.2.3 Các nguy cơ mất an ninh mạng

Các mối đe dọa (Threats): Một mối đe dọa là bất kỳ điều gì mà có thể phá vỡ

tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của một hệ thống mạng

Các lỗ hổng (Vulnerabilities): Một lỗ hổng là một điểm yếu vốn có trong thiết

kế, cấu hình hoặc thực hiện của một mạng mà có thể gây cho nó khả năng đối đầu vớimột mối đe dọa

Sự rủi ro (Risk): Là độ đo đánh giá tính dễ bị tổn thương kết hợp với khả năng

tấn công thành công

2.2.4 Các giai đoạn tấn công

Thăm dò (Reconnaissace): Thăm dò mục tiêu là một trong những bước quan

trọng để biết những thông tin trên hệ thống mục tiêu Hacker sử dụng kỹ thuật này đểkhám phá hệ thống mục tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ

đang chạy trên các dịch vụ đó, cổng dịch vụ nào đang đóng và cổng nào đang mở, gồmhai loại:

Passive: Thu thập các thông tin chung như vị trí địa lý, điện thoại, emailcủa các cá nhân, người điều hành trong tổ chức

Active: Thu thập các thông tin về địa chỉ IP, domain, DNS, của hệthống

Quét hệ thống (Scanning): Quét thăm dò hệ thống là phương pháp quan trọng

mà Attacker thường dùng để tìm hiểu hệ thống và thu thập các thông tin như địa chỉ IP

cụ thể, hệ điều hành hay các kiến trúc hệ thống mạng Một vài phương pháp quét thôngdụng như: quét cổng, quét mạng và quét các điểm yếu trên hệ thống

Chiếm quyền điều khiển (Gainning access): Đến đây hacker đã bắt đầu dần

dần xâm nhập được hệ thống và tấn công nó, đã truy cập được nó bằng các lệnh khaithác Các lệnh khai thác luôn ở bất cứ không gian nào, từ mạng LAN cho tớiINTERNET và đã lan rộng ra mạng không dây Hacker có thể chiếm quyền điều khiểntại:

Mức hệ điều hành/mức ứng dụng

Mức mạng

Từ chối dịch vụ

Duy trì điều khiển hệ thống (Maitaining access): Đến đây hacker bắt đầu phá

hỏng làm hại, hoặc có thể cài trojan, rootkit, backdoor để lấy thông tin thêm Thườngđược thấy sử dụng để đánh cắp tài khoản tín dụng, ngân hàng

Xoá dấu vết (Clearning tracks): Được đề cập đến hoạt động được thực hiện

bằng cách hacker cố tình che dấu hành động xâm nhập của mình Hacker phải tìm cáchxóa đi dấu vết mỗi khi đột nhập bằng các phương thức như Steganography, tunneling,andaltering log file

2.2.5 Các kiểu tấn công

2.2.5.1 Man in The Middle

Man in the Middle là một trong những kiểu tấn công mạng thường thấy nhấtđược sử dụng để chống lại những cá nhân và các tổ chức lớn chính, nó thường đượcviết tắt là MITM Man-in-the-middle attack (MITM), là một cuộc tấn công mà kẻ tấncông bí mật chuyển tiếp và có thể làm thay đổi giao tiếp giữa hai bên mà họ tin rằng họđang trực tiếp giao tiếp với nhau

MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân vàchuyển tiếp dữ liệu giữa chúng Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là

họ đang truyền thông một cách trực tiếp với nạn nhân kia, nhưng sự thực thì các luồngtruyền thông lại bị thông qua host của kẻ tấn công Và kết quả là các host này khôngchỉ có thể thông dịch dữ liệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổiluồng dữ liệu để kiểm soát sâu hơn những nạn nhân của nó

Một ví dụ về các cuộc tấn công man-in-the-middle là nghe trộm(eavesdropping), trong đó kẻ tấn công kết nối độc lập với các nạn nhân và chuyển tiếpthông tin giữa họ để họ tin rằng họ đang nói chuyện trực tiếp với nhau qua kết nối riêng

tư, trong khi thực ra toàn bộ cuộc trò chuyện được kiểm soát bởi kẻ tấn công Người tấncông phải có khả năng đánh chặn tất cả các thông tin liên quan đi lại giữa hai nạn nhân

và tiêm những thông tin mới

Hình 2.2: Tấn công Man in The MiddleMột số hình thức tấn công MITM hay được sử dụng nhất, chẳng hạn như tấncông giả mạo ARP Cache, DNS Spoofing, chiếm quyền điều khiển (hijacking) HTTPsession,

Giả mạo ARP Cache (ARP Cache Poisoning)

Đây là một hình thức tấn công MITM hiện đại có xuất xứ lâu đời nhất (đôi khicòn được biết đến với cái tên ARP Poison Routing), tấn công này cho phéphacker (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe trộm tất

cả các lưu lượng mạng giữa các máy tính nạn nhân Nó là một trong những hìnhthức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi đượcthực hiện bởi kẻ tấn công.

Giả mạo ARP là một kĩ thuật tấn công, mà theo đó kẻ tấn công sẽ gửi mạo danh(“lừa đảo”) Address Resolution Protocol (ARP) trên Local Network Kĩ thuật giảmạo ARP cho phép kẻ tấn công có thể chặn dữ liệu trên LAN, thay đổi đường

đi, hoặc ngăn chặn hoàn toàn truy cập Thông thường của tấn công này là được

sử dụng để mở ra các tấn công khác như là: tấn công từ chối dịch vụ, cướpphiên, …

Các cuộc tấn công chỉ có thể được sử dụng trên các mạng sử dụng giao thứcARP, được giới hạn trong các phân đoạn mạng cục bộ

Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữacác lớp thứ hai và thứ ba trong mô hình OSI Lớp thứ hai (lớp data-link) sử dụngđịa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cáchtrực tiếp Lớp thứ ba (lớp mạng), sử dụng địa chỉ IP để tạo các mạng có khảnăng mở rộng trên toàn cầu Lớp data-link xử lý trực tiếp với các thiết bị đượckết nối với nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và khôngtrực tiếp Mỗi lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc vớinhau để tạo nên một mạng truyền thông Với lý do đó, ARP được tạo với RFC

826, “một giao thức phân định địa chỉ Ethernet - Ethernet Address ResolutionProtocol”

Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một góiARP request và một gói ARP reply Mục đích của request và reply là tìm ra địachỉ MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu lượng có thể đếnđược đích của nó trong mạng

Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thứcARP Không giống như các giao thức khác, chẳng hạn như DNS (có thể đượccấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụnggiao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào Điềunày có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tínhkhác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mớinày Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi

là việc gửi ARP “vu vơ” Khi các ARP reply vu vơ này đến được các máy tính

đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mìnhđang tìm kiếm để truyền thông, tuy nhiên thực chất họ lại đang truyền thông vớimột kẻ tấn công.

Hình 2.3: Giả mạo ARP

- Giả mạo DNS

Hình 2.4 Giả mạo DNSGiả mạo DNS là một kỹ thuật MITM được sử dụng nhằm cung cấp thông tin DNSsai cho một host để khi người dùng duyệt đến một địa chỉ nào đó

Giao thức Domain Naming System (DNS) như được định nghĩa trong RFC1034/1035 có thể được xem như là một trong những giao thức quan trọng nhất được

sử dụng trong Internet

DNS hoạt động theo hình thức truy vấn và đáp trả (query/response) Một máy kháchcần phân giải DNS cho một địa chỉ IP nào đó sẽ gửi đi một truy vấn đến máy chủDNS, máy chủ DNS này sẽ gửi thông tin được yêu cầu trong gói đáp trả của nó.Đứng trên phối cảnh máy khách, chỉ có hai gói xuất hiện lúc này là truy vấn và đáptrả Nhờ có cấu trúc thứ bậc DNS của Internet, các máy chủ DNS cần có khả năngtruyền thông với nhau để đưa ra câu trả lời cho các truy vấn được đệ trình bởi máykhách Nếu tất cả đều diễn ra thuận lợi như mong đợi, máy chủ DNS bên trong củachúng ta sẽ biết tên để bản đồ hóa địa chỉ IP cho máy chủ bên trong mạng nội bộ.DNS spoofing (DNS cache poisoning): Là một phương pháp tấn công máy tính nhờ

đó mà dữ liệu được thêm vào hệ thống cache của các DNS server Từ đó, các địa chỉ

IP sai (thường là các địa chỉ IP do attacker chỉ định) được trả về cho các truy vấntên miền nhằm chuyển hướng người dùng tư một website này sang một websitekhác Để khai thác theo hướng này, attacker lợi dụng lỗ hổng của phần mềm DNS,

do các DNS responses không được xác nhận để đảm bảo chúng được gửi từ cácserver được xác thực, các bản ghi không đúng đắn sẽ được cache lại và phục vụ chocác user khác

DNS Amplification Attack: Đây là một trong những phương pháp được sử dụng đểtấn công từ chối dịch vụ, thuộc vào lớp reflection attack

Giả mạo máy chủ DNS: Là cách một số phần mềm quảng cáo hay trojan thường haythực hiện Đầu tiên, chúng dựng lên các DNS server, giống với chức năng DNSserver thông thường Tuy nhiên, các DNS server này có khả năng điều khiển được

để thêm, bớt hay chỉnh sửa các bản ghi DNS nhằm chuyển hướng người dùng tớicác địa chỉ IP không chính xác với mục đích: gia tăng quảng cáo, cài mã độc, thayđổi kết quả tìm kiếm… Để thực hiện hành vi này, các phần mềm độc hại sau khiđược cài vào máy tính người dùng, chúng sẽ tìm cách để thay đổi cấu hình DNS củangười dùng thành địa chỉ DNS của phần mềm đã thiết lập từ trước Qua đó, các truyvấn DNS của người dùng thay vì đi qua các DNS server của ISP hoặc do ngườidùng thiết lập thì lại đi qua các DNS server của attacker

2.2.5.2 Tấn công bị động

Trong một cuộc tấn công bị động, các hacke sẽ kiểm soát traffic không được mãhóa và tìm kiếm mật khẩu không được mã hóa (Clear Text password), các thông tinnhạy cảm có thẻ được sử dụng trong các kiểu tấn công khác Các cuộc tấn công bị độngbao gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải mã cáctraffic mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu

Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có thểxem xét các hành động tiếp theo Kết quả của các cuộc tấn công bị động là các thôngtin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hề hay biết

2.2.5.3 Tấn công chủ động

Tấn công chủ động như tên gọi của nó là các cuộc tấn công mà người tấn cônghoàn toàn công khai và chủ động trong tổ chức và thực hiện cuộc tấn công với mụcđích làm giảm hiệu năng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ thống.Đối với kiểu tấn công chủ động chúng ta hoàn nhận biết được qua kết quả tác động của

nó Một vài phương pháp tấn công chủ động khá nổi tiếng hiện nay như: Tấn công từchối dịch vụ, tràn bộ đệm, tấn công ký tự điều khiển đồng bộ SYN, và giả mạo IP

2.2.5.4 Tấn công Phishing

Phishing là một phương thức lừa đảo nhằm giả mạo các tổ chức có uy tín nhưngân hàng, trang web giao dịch trực tuyến và các công ty thẻ tín dụng để lừa ngườidùng chia sẻ thông tin tài chính như: tên đăng nhập, mật khẩu giao dịch, những thôngtin nhạy cảm khác của họ Phương thức tấn công này còn có thể cài phần mềm độc hạivào thiết bị của người dùng Chúng thực sự là mối quan ngại lớn nếu người dùng chưa

có kiến thức về kiểu tấn công này hoặc thiếu cảnh giác về nó

Hình 2.5: Lừa đảo chiếm đoạt thông tinCác giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là các giaodịch có vẻ xuất phát từ các website xã hội phổ biến, các trung tâm chi trả trực tuyếnhoặc các quản trị mạng Tấn công fishing thường được thực hiện qua thư điện tử hoặctin nhắn nhanh và hay yêu cầu người dùng nhập thông tin vào một website giả mạo gầnnhư giống hệt với website thật Ngay cả khi có sử dụng chứng thực máy chủ, có khi vẫnphải cần vài kĩ năng phức tạp mới xác định được website là giả mạo Tấn công fishing

là một đơn cử của những kĩ thuật lừa đảo qua mạng (social engineering) nhằm đánh lừangười dùng và khai thác sự bất tiện hiện nay của công nghệ bảo mật web

Quá trình tấn công bao gồm:

Lên kế hoạch: Những kẻ lừa đảo trực tuyến xác định mục tiêu doanhnghiệp nào “xứng đáng” là nạn nhân và xác định cách lấy địa chỉ emailkhách hàng của doanh nghiệp đó Chúng thường sử dụng cách gửi nhiềuemail và phương pháp thu thập địa chỉ email như những spammer

Thiết lập: Sau khi xác định được doanh nghiệp và nạn nhân, phisher sẽtìm cách để phát tán email và thu thập dữ liệu Thông thường, chúng sửdụng địa chỉ email và một trang web nào đó

Tấn công: Đây là bước mọi người đều biết – phisher sẽ gửi một thông báogiả mạo, như đến từ một nguồn đáng tin cậy

Thu thập: Phisher sẽ thu thập thông tin mà nạn nhân điền vào các trangWeb hoặc các cửa sổ pop-up

Ăn cắp dữ liệu cá nhân và lừa đảo: Phisher sử dụng thông tin mà chúngthu thập được để thực hiện mua bán bất hợp pháp hoặc thậm chí là thực hiệnlừa đảo.

2.2.5.5 Tấn công nội bộ

Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong cuộc,chẳng hạn như một nhân viên nào đó “bất mãn” với công ty của mình, …các cuộc tấncông hệ thống mạng nội bộ có thể gây hại hoặc vô hại

Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng cácthông tin một cách gian lận hoặc truy cập trái phép các thông tin

Hình 2.6: Tấn công nội bộ

2.2.5.6 Tấn công từ chối dịch vụ

Hình 2.7: Tấn công DDosTấn công từ chối dịch vụ DoS (Denial of Service): Tấn công từ chối dịch vụDoS là một sự kiện bảo mật xảy ra khi kẻ tấn công có hành động ngăn cản người dùnghợp pháp truy cập hệ thống máy tính, thiết bị hoặc các tài nguyên mạng khác

Trong tấn công từ chối dịch vụ, kẻ tấn công nhằm vào các máy tính và sửdụng mạng máy tính mà bạn đang dùng để ngăn cản truy cập email,website, tài khoản trực tuyến (ví dụ như ngân hàng) và các dịch vụ khác.Một kiểu Dos rõ ràng và phổ biến nhất là kẻ tấn công "tuồn" ồ ạt trafficvào máy chủ, hệ thống hoặc mạng, làm cạn kiệt tài nguyên của nạn nhân,khiến người dùng hợp pháp gặp khó khăn hoặc thậm chí không thể sửdụng chúng Cụ thể hơn, khi bạn nhập vào URL của một website vàotrình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của trang này

để xem Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong mộtkhoảng thời gian, vì vậy nếu kẻ tấn công làm gửi ồ ạt nhiều yêu cầu đếnmáy chủ sẽ làm nó bị quá tải và yêu cầu của bạn không được xử lý Đây

là kiểu “từ chối dịch vụ” vì nó làm cho bạn không thể truy cập đến trangđó

Kẻ tấn công có thể sử dụng thư rác để thực hiện các tấn công tương tựtrên tài khoản email của bạn Dù bạn có một tài khoản email được cungcấp bởi nhân viên của bạn hay có sẵn qua một dịch vụ miễn phí nhưYahoo hay Hotmail thì vẫn bị giới hạn số lượng dữ liệu trong tài khoản.Bằng cách gửi nhiều email đến tài khoản của bạn, kẻ tấn công có thể tiêuthụ hết phần nhận mail và ngăn chặn bạn nhận được các mail khác.Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service): Tấncông DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó vớitraffic từ nhiều nguồn.

Trong tấn công từ chối dịch vụ phân tán (DDoS), một kẻ tấn công có thể

sử dụng máy tính của bạn để tấn công vào các máy tính khác Bằng cáchlợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này

có thể giành quyền điều khiển máy tính của bạn Sau đó chúng sử dụngmáy tính của bạn để gửi số lượng lớn dữ liệu đến một website hoặc gửithư rác đến một địa chỉ hòm thư nào đó Tấn công này được được gọi là

“phân tán” vì kẻ tấn công sử dụng nhiều máy tính trong đó có cả máy tínhbạn để thực hiện tấn công DoS

Mặc dù DDoS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấncông mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn

Có ba loại tấn công cơ bản: Volume-based: Sử dụng lưu lượng truy cậpcao để làm tràn ngập băng thông mạng Protocol: Tập trung vào việc khaithác các tài nguyên máy chủ Application: Tập trung vào các ứng dụngweb và được xem là loại tấn công tinh vi và nghiêm trọng nhất

2.2.5.7 Tấn công phá mã khóa

Mã khóa ở đây là mã bí mật hoặc các con số quan trọng để “giải mã” các thôngtin bảo mật Mặc dù rất khó để có thể tấn công phá một mã khóa, nhưng với các hackerthì điều này là có thể Sau khi các hacker có được một mã khóa, mã khóa này sẽ đượcgọi là mã khóa gây hại

Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin liênlạc mà không cần phải gửi hoặc nhận các giao thức tấn công Với các mã khóa gây hại,các hacker có thể giải mã hoặc sửa đổi dữ liệu

2.2.5.8 Tấn công trực tiếp

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu

để chiếm quyền truy nhập bên trong Một phương pháp tấn công cổ điển là dò tìm tênngười sử dụng và mật khẩu Đây là phương pháp đơn giản, dễ thực hiện và không đòihỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấn công có thể sử dụng những thông tinnhư tên người dùng, ngày sinh, địa chỉ, số nhà… để đoán mật khẩu Trong trường hợp

có được danh sách người sử dụng và những thông tin về môi trường làm việc, có mộtchương trình tự động hoá về việc dò tìm mật khẩu này

Một chương trình có thể dễ dàng lấy được từ Internet để giải các mật khẩu đã mãhoá của hệ thống unix có tên là crack, có khả năng thử các tổ hợp các từ trong một từđiển lớn, theo những quy tắc do người dùng tự định nghĩa Trong một số trường hợp,khả năng thành công của phương pháp này có thể lên tới 30%

Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điềuhành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếmquyền truy nhập Trong một số trường hợp phương pháp này cho phép kẻ tấn công cóđược quyền của người quản trị hệ thống (root hay administrator) Hai ví dụ thườngxuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương trìnhsendmail và chương trình rlogin của hệ điều hành UNIX

Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dònglệnh của ngôn ngữ C Sendmail được chạy với quyền ưu tiên của người quản trị hệthống, do chương trình phải có quyền ghi vào hộp thư của những người sử dụng máy

Và Sendmail trực tiếp nhận các yêu cầu về thư tín trên mạng bên ngoài Đây chính lànhững yếu tố làm cho sendmail trở thành một nguồn cung cấp những lỗ hổng về bảomật để truy nhập hệ thống

Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào mộtmáy khác sử dụng tài nguyên của máy này Trong quá trình nhận tên và mật khẩu củangười sử dụng, rlogin không kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thểđưa vào một xâu đã được tính toán trước để ghi đè lên mã chương trình của rlogin, qua

đó chiếm được quyền truy nhập

2.3 Giải pháp an ninh mạng

2.3.1 Công nghệ tường lửa (Firewall)

Tường lửa (Firewall) là một bức rào chắn giữa mạng nội bộ (local network) vớimột mạng khác (chẳng hạn như Internet), điều khiển lưu lượng ra vào giữa hai mạngnày Nếu như không có tường lửa thì lưu lượng ra vào mạng nội bộ sẽ không chịu bất

kỳ sự điều tiết nào, còn một khi tường lửa được xây dựng thì lưu lượng ra vào sẽ do cácthiết lập trên tường lửa quy định

Tác dụng của tường lửa: một tường lửa có thể lọc lưu lượng từ các nguồn truycập nguy hiểm như hacker, một số loại virus tấn công để chúng không thể phá hoại haylàm tê liệt hệ thống của bạn Ngoài ra vì các nguồn truy cập ra vào giữa mạng nội bộ vàmạng khác đều phải thông qua tường lửa nên tường lửa còn có tác dụng theo dõi, phântích các luồng lưu lượng truy cập và quyết định sẽ làm gì với những luồng lưu lượngđáng ngờ như khoá lại một số nguồn dữ liệu không cho phép truy cập hoặc theo dõimột giao dịch đáng ngờ nào đó Do đó, việc thiết lập tường lửa là hết sức quan trọng,đặc biệt là đối với những máy tính thường xuyên kết nối internet

Hình 2.8: Firewall

2.3.2 Công nghệ phát hiện và ngăn chặn xâm nhập mạng IDS/IPS 2.3.2.1 Hệ thống phát hiện xâm nhập (Intrusion Detect System - IDS)

Hệ thống phát hiện xâm nhập cung cấp thêm cho việc bảo vệ thông tin mạng ởmức độ cao hơn IDS cung cấp thông tin về các cuộc tấn công vào hệ thống mạng Tuynhiên IDS không tự động cấm hoặc là ngăn chặn các cuộc tấn công

Hình 2.9: Hệ thống phát hiện xâm nhậpMột tính năng chính của hệ thống IDS là cung cấp thông tin nhận biết về nhữnghành động không bình thường và đưa ra các báo cảnh thông báo cho quản trị viên mạngkhóa các kết nối đang tấn công này Thêm vào đó công cụ IDS cũng có thể phân biệtgiữa những tấn công từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấncông bên ngoài (tấn công từ hacker) Chức năng của IDS:

- Chức năng quan trọng nhất: giám sát -cảnh báo - bảo vệ:

Giám sát: lưu lượng mạng + các hoạt động khả nghi

Cảnh báo: báo cáo về tình trạng mạng cho hệ thống + nhà quản trị.Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà

có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại

- Chức năng mở rộng:

Phân biệt các cuộc tấn công từ trong hoặc từ bên ngoài: nó có thể phânbiệt được đâu là những truy cập hợp lệ (hoặc không hợp lệ) từ bên trong

và đâu là cuộc tấn công từ bên ngoài

Phát hiện: dựa vào so sánh lưu lượng mạng hiện tại với baseline, IDS cóthể phát hiện ra những dấu hiệu bất thường và đưa ra các cảnh báo và bảo

vệ ban đầu cho hệ thống

Nhiệm vụ chính của các hệ thống phát hiện xâm phạm là phòng chống cho một

hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó Việcphát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp Để ngănchặn xâm phạm tốt cần phải kết hợp tốt giữa “bả và bẫy” được trang bị cho việc nghiêncứu các mối đe dọa Việc làm lệnh hướng sự tập trung của kẻ xâm nhập vào tài nguyênđược bảo vệ là một nhiệm vụ quan trọng khác Cả hệ thống thực và hệ thống bẫy cầnphải được kiểm tra một cách liên tục Dữ liệu được tạo ra bằng các hệ thống phát hiệnxâm nhập được kiểm tra một cách cẩn thận (đây là nhiệm vụ chính cho mỗi IDS) đểphát hiện các dấu hiệu tấn công (sự xâm phạm)

Hệ thống IDS được chia làm 2 loại cơ bản:

- Network-based IDS (NIDS): sử dụng dữ liệu trên toàn bộ lưu thông mạng cùng dữliệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập Hệ thống IDSdựa trên mạng sẽ kiểm tra các giao tiếp trên mạng với thời gian thực (real-time)

Nó kiểm tra các giao tiếp, quét header của các gói tin, và có thể kiểm tra nội dungcủa các gói đó để phát hiện ra các đoạn mã nguy hiểm hay các dạng tấn công khácnhau Một Network-Based IDS hoạt động tin cậy trong việc kiểm tra, phát hiệncác dạng tấn công trên mạng, ví dụ như dựa vào băng thông (bandwidth-based)của tấn công Denied of Service (DoS)

Hình 2.10 Network-based IDS

Ưu điểm:

Quản lý được cả một network segment (gồm nhiều host)

Trong suốt với người sử dụng lẫn kẻ tấn công

Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng

Tránh DOS ảnh hưởng tới một host nào đó

Có khả năng xác định lỗi ở tầng Network

Độc lập với OS

Nhược điểm:

Có thể xảy ra trường hợp báo động giả

Không thể phân tích các dữ liệu đã được mã hóa (VD: SSL, SSH, IPSec ).NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn

Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động Khi báođộng được phát hiện, hệ thống có thể đã bị tổn hại

Không cho biết việc tấn công có thành công hay không

Hạn chế lớn nhất là giới hạn băng thông Những bộ dò mạng phải nhận tất

cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó và phân tích chúng.Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng phải tăng theo

- Host-based IDS (HIDS): sử dụng dữ liệu kiểm tra tự một máy trạm đơn để pháthiện xâm nhập Bằng cách cài đặt một phần mềm trên máy chủ, IDS dựa trên máy

chủ quan sát tất cả những hoạt động về hệ thống và các file log, lưu lượng mạngthu thập Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc gọi hệ thống,lịch sử và những thông điệp báo lỗi trên hệ thống máy chủ HIDS thường được càiđặt trên một máy tính nhất định thay vì giám sát hoạt động của một network,HIDS chỉ giám sát các hoạt động trên một máy tính HIDS thường được đặt trêncác host quan trọng và các server trong vùng DMS Nhiệm vụ của HIDS là theodõi các thay đổi trên hệ thống gồm:

Có khả năng xác định user liên quan tới event

HIDS có khả năng phát hiện tấn công diễn ra trên một máy, NIDS thì không

Có thể phân tích các dữ liệu mã hóa

Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host này

Nhược điểm:

Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host nàythành công

Khi OS bị sập do tấn công, đồng thời HIDS cũng sập

HIDS phải được thiết lập trên từng host cần giám sát

HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap, Netcat )

HIDS cần tài nguyên trên host để hoạt động

HIDS có thể không hiệu quả khi bị DOS

2.3.2.2 Hệ thống ngăn chặn xâm nhập (Intrusion Prevent System-IPS)

Giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu vàmạng Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượngmạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục IPSngăn chặn các cuộc tấn công dưới những dạng sau:

- Ứng dụng không mong muốn và tấn công kiểu “Trojanhorse” nhằm vào mạng

và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sáchkiểm soát truy nhập

- Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùngcác thuật toán dựa trên cơ sở “ngưỡng”

- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giaothức ứng dụng và chữ kí

- Những tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tàinguyên dựa trên cơ sở ngưỡng

Modul phân tích gói: Nhiệm vụ phân tích cấu trúc thông tin trong các góitin Card giao tiếp mạng (NIC) của máy giám sát được đặt ở chế độkhông phân loại, các gói tin qua chúng đều được sao chép và chuyển lênlớp trên

Modul phát hiện tấn công: Modul quan trọng nhất trong hệ thống, có khảnăng phát hiện các cuộc tấn công

Modul phản ứng: Khi có dấu hiệu của sự tấn công hoặc xâm nhập thìmodul phát hiện tấn công sẽ gửi tín hiệu thông báo đến modul phản ứng.Khi đó, modul phản ứng sẽ kích hoạt Firewall thực hiện chức năng ngănchặn cuộc tấn công Tại đây nếu chỉ đưa ra các cảnh báo tới người quảntrị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bịđộng

Ba modul trên hoạt động tuần tự tạo nên IPS hoàn chỉnh IPS đượcxem là thành công nếu chúng hội tụ được các yếu tố như thực hiện nhanh, chínhxác, đưa ra các thôngbáo hợp lý, phân tích được toàn bộ thông lượng, ngăn chặnthành công và có chính sách quản lí mềm

Một số kĩ thuật ngăn chặn:

- Chấm dứt phiên làm việc (Terminate Session): Hệ thống IPS gửi các gói tinreset thiết lập lại cuộc giao tiếp tới Client vàServer Kết quả cuộc giao tiếp sẽđược bắt đầu lại và cuộc tấn công bị ngừng lại.

- Nhược điểm: thời gian gửi gói tin reset là quá chậm so với cuộc tấn công;phương pháp này không hiệu quả với các giao thức hoạt động trên UDP nhưDNS; các gói reset phải có trường Sequence number đúng thì server mới chấpnhận: Cảnh báo tức thì (Realtime Alerting), Tạo ra bản ghi log (Log packet).Những hạn chế của IDS /IPS: So với Firewall, IDS/IPS đã thể hiện được nhiềutính năng ưu việt Nó không chỉ có khả năng phát hiện ra các cuộc tấn công, mà cònchống lại các cuộc tấn công này một cách hữu hiệu Tuy vậy hệ thống này vẫn cònnhững hạn chế sau: Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứngdụng (chỉ có thể nhận biết được các dòng thông tin trên tầng mạng) Do vậy các cuộctấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn

2.3.3 Công nghệ mạng LAN ảo (VLAN)

VLAN là một mạng LAN ảo Về mặt kỹ thuật, VLAN là một miền quảng báđược tạo bởi các switch Bình thường thì router đóng vai tạo ra miền quảng bá VLAN

là một kỹ thuật kết hợp chuyển mạch lớp 2 và định tuyến lớp 3 để giới hạn miền đụng

độ và miền quảng bá VLAN còn được sử dụng để bảo mật giữa các nhóm VLAN theochức năng nhóm

Khái niệm về VLAN: VLAN là một nhóm các thiết bị mạng không giới hạn theo

vị trí vật lý hoặc theo LAN switch mà chúng tham gia kết nối vào VLAN là mộtsegment mạng theo logic dựa trên chức năng, đội nhóm, hoặc ứng dụng của một tổchức chứ không phụ thuộc vào vị trí vật lý hay kết nối vật lý trong mạng Tất cả cáctrạm và server được sử dụng bởi cùng một nhóm làm việc sẽ được đặt trong cùngVLAN bất kể vị trí hay kết nối vật lý của chúng

Hình 2.11: Công nghệ VLANMiền quảng bá với VLAN và router: Một VLAN là một miềm quảng bá đượctạo nên một hay nhiều switch Hình trên cho thấy tạo 3 miền quảng bá riêng biệt trên 3swich như thế nào Định tuyến lớp 3 cho phép router chuyển gói giữa các miền quảng

bá với nhau

Hoạt động của VLAN: Mỗi cổng trên switch có thể gán cho một VLAN khácnhau Các cổng nằm trong cùng một VLAN sẽ chia sẻ gói quảng bá với nhau Các cổngkhông nằm trong cùng VLAN sẽ không chia sẻ gói quảng bá với nhau Nhờ đó mạngLAN hoạt động hiệu quả hơn

Ưu điểm của VLAN: Lợi ích của VLAN là cho phép người quản trị mạng tổchức mạng theo logic chứ không theo vật lý nữa Nhờ đó những công việc sau thựchiện dễ dàng hơn:

- Có tính linh động cao: di chuyển máy trạm trong LAN dễ dàng

- Thêm máy trạm vào LAN dễ dàng: Trên một switch nhiều cổng, có thể cấu hìnhVLAN khác nhau cho từng cổng, do đó dễ dàng kết nối thêm các máy tính vớicác VLAN

- Tiết kiệm băng thông của mạng: do VLAN có thể chia nhỏ LAN thành các đoạn(là một vùng quảng bá) Khi một gói tin quảng bá, nó sẽ được truyền đi chỉ trongmột LAN duy nhất, không truyền đi ở các VLAN khác nên giảm lưu lượngquảng bá, tiết kiệm băng thông đường truyền

Ứng dụng của VLAN: Sử dụng VLAN để tạo ra các LAN khác nhau của nhiềumáy tính cùng văn phòng, sử dụng VLAN để tạo mạng dữ liệu ảo (Virtual DataNetwork)