Trước sự quan trọng và cần thiết của việc xây dựng và triển khai các hệ thống an ninh mạng cũng như các kỹ thuật phát hiện và phòng chống xâm nhập vào các hệ thống trên Internet, đề tài
Trang 1TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN
Lớp : CH.HTTT K12
Trang 2
MỤC LỤC
MỤC LỤC I
PHỤ LỤC HÌNH ẢNH ii
LỜI NÓI ĐẦU iii
CHƯƠNG I: INTRUDERS – KẺ XÂM NHẬP 1
1.1 Intruders? 1
1.2 Các mô hình hành vi của kẻ xâm nhập 2
1.3 Các kĩ thuật của kẻ xâm nhập 5
CHƯƠNG II: INTRUDER DETECTION – PHÁT HIỆN XÂM NHẬP 8
2.1 Tổng quan về phát hiện xâm nhập 8
2.2 Hồ sơ kiểm toán (Audit Records) 8
2.3 Cách tiếp cận phát hiện xâm nhập 9
2.4 Ngụy biện tỉ lệ cơ sở (The Base-Rate Fallacy) 11
2.5 Phát hiện xâm nhập phân tán (Distributed Intrusion Detection) 11
3.2 Chiến lược chọn mật khẩu 18
TÀI LIỆU THAM KHẢO 21
Trang 3PHỤ LỤC HÌNH ẢNH
Hình 1 Quy trình sử dụng 15Hình 2 Một ví dụ Mô hình Markov 20
Trang 4LỜI NÓI ĐẦU
Hiện nay, hệ thống thông tin của Việt Nam có sự phát triển mạnh mẽ, phục vụ đắc lực sự lãnh đạo, quản lý, điều hành của Đảng, Nhà nước, đáp ứng nhu cầu thông tin của xã hội, góp phần đảm bảo quốc phòng, an ninh của đất nước Lĩnh vực viễn thông, Internet, tần số vô tuyến điện có sự phát triển mạnh mẽ, đạt được mục tiêu số hóa hoàn toàn mạng lưới, phát triển nhiều dịch vụ mới, phạm vi phục vụ được mở rộng, bước đầu hình thành những doanh nghiệp mạnh, có khả năng vươn tầm khu vực, quốc tế Hệ thống bưu chính chuyển phát, báo chí, xuất bản phát triển nhanh cả về số lượng, chất lượng và kỹ thuật nghiệp vụ, có đóng góp quan trọng cho sự phát triển kinh tế - xã hội; đảm bảo quốc phòng, an ninh, đối ngoại của đất nước
Tuy nhiên, tình hình an ninh thông tin ở Việt Nam đã và đang có những diễn biến phức tạp Các cơ quan đặc biệt nước ngoài, các thế lực thù địch, phản động tăng cường hoạt động tình báo, gián điệp, khủng bố, phá hoại hệ thống thông tin; tán phát thông tin xấu, độc hại nhằm tác động chính trị nội bộ, can thiệp, hướng lái chính sách, pháp luật của Việt Nam Gia tăng hoạt động tấn công mạng nhằm vào hệ thống thông tin quan trọng quốc gia, hệ thống thông tin quan trọng về an ninh quốc gia
Trước sự quan trọng và cần thiết của việc xây dựng và triển khai các hệ thống an ninh mạng cũng như các kỹ thuật phát hiện và phòng chống xâm nhập vào các hệ thống trên Internet, đề tài này trình bày tổng quan các phương pháp phát hiện và phòng chống xâm nhập phổ biến hiện nay Qua đó cung cấp các thông tin và góc nhìn về tầm quan trọng của phát hiện và phòng chống các xâm nhập trái phép từ bên ngoài vào các hệ thống công nghệ thông tin
Qua đây, chúng tôi xin được gửi lời cảm ơn chân thành nhất đến GVHD TS Nguyễn Bá Nghiễn đã giúp đỡ tận tình, chi tiết, cung cấp các kiến thức hết sức bổ ích giúp chúng tôi hoàn thành bài nghiên cứu này
Chúng em xin gửi lời cảm ơn chân thành và sâu sắc nhất tới thầy!
Trang 5CHƯƠNG I: INTRUDERS – KẺ XÂM NHẬP
1.1 Intruders?
Hai mối đe dọa phổ biến nhất đối với an ninh mạng chính là kẻ xâm nhập và vi-rút, những kẻ xâm nhập thường được gọi là hacker hoặc cracker HIện nay trên thế giới đã xác định ba loại kẻ xâm nhập thường gặp:
̶ Masquerader - kẻ giả mạo: Một cá nhân không được phép sử dụng máy tính và người xâm nhập kiểm soát truy cập của hệ thống để khai thác tài khoản của người dùng hợp pháp Đây thường là nhóm đối tượng nằm ngoài danh sách người dùng hệ thống
̶ Misfeasor- Kẻ phạm tội: Người dùng hợp pháp truy cập dữ liệu, chương trình hoặc tài nguyên cho truy cập đó không được phép hoặc ai được phép truy cập như vậy nhưng lạm dụng đặc quyền của mình Đây thường là người dùng của hệ thống
̶ Clandestine user - Người dùng bí mật: Một cá nhân nắm quyền kiểm soát giám sát hệ thống và sử dụng quyền kiểm soát này để tránh kiểm tra và kiểm soát truy cập hoặc để ngăn chặn kiểm tra bộ sưu tập Đây có thể là người dùng của hệ thống, cũng có thể là một người ngoài
Các cuộc tấn công của kẻ xâm nhập bao gồm từ lành tính đến nghiêm trọng Đối với các cuộc tấn công đơn giản và lành tính, kẻ xâm nhập chỉ đơn giản muốn khám phá internet và xem có gì trong hệ thống đó Ở mức độ nguy hiểm cao hơn, là những cuộc tấn công với mục đích cố gắng đọc đặc quyền về dữ liệu, thực hiện các sửa đổi trái phép đối với dữ liệu hoặc làm gián đoạn hệ thống
Trang 6Dưới đây chúng tôi liệt kê các ví dụ xâm nhập sau: ̶ Đánh sập một máy chủ Web
̶ Đoán và bẻ khóa mật khẩu
̶ Sao chép cơ sở dữ liệu chứa số thẻ tín dụng
̶ Xem dữ liệu nhạy cảm, bao gồm hồ sơ lương và thông tin y tế, không được phép
̶ Chạy chương trình nghe lén gói tin trên máy trạm để ghi lại tên người dùng và mật khẩu
̶ Sử dụng lỗi quyền trên máy chủ FTP ẩn danh để phân phối bản quyền phần mềm và tập tin âm nhạc
̶ Quay số vào một modem không an toàn và truy cập mạng nội bộ
̶ Giả làm giám đốc điều hành, gọi đến bộ phận trợ giúp, đặt lại e-mail của giám đốc điều hành mật khẩu và tìm hiểu mật khẩu mới
̶ Sử dụng máy trạm đăng nhập, không giám sát mà không được phép
1.2 Các mô hình hành vi của kẻ xâm nhập
Các kỹ thuật và mô hình hành vi của những kẻ xâm nhập liên tục thay đổi, để khai thác những điểm yếu mới được phát hiện và để trốn tránh sự phát hiện và các biện pháp đối phó Thậm chí vì vậy, những kẻ xâm nhập thường tuân theo một trong số các mẫu hành vi dễ nhận biết và những mẫu này thường khác với mẫu của người dùng thông thường
Căn cứ vào các mẫu hành vi của kẻ xâm nhập, người ta thường chia ra thành 3 nhóm như sau:
̶ Hackers: Đây là 1 cộng đồng khá tài giỏi, họ thường thực hiện các hành vi xâm nhập vì sở thích và sự nổi tiếng và thường chia sẻ thông tin cho những người khác
̶ CRIMINALS: Các nhóm tin tặc có tổ chức, thường chia sẻ các mẹo phối hợp tấn công hệ thống trên các diễn đàn ngầm như DarkMarket.org hoặc theftservices.com Mục tiêu phổ biến là dữ liệu thẻ tín dụng tại máy chủ của các trang thương mại điện tử
Trang 7̶ INSIDER ATTACKS: Đây là những cuộc tấn công khó ngăn chặn và phát hiện nhất vì những kẻ xâm nhập thường nắm rõ cấu trúc nội dung của hệ thống, cơ sở dữ liệu và mục đích thường là trả thù hoặc cạnh tranh về mặt quyền lợi
Những kẻ xâm nhập lành tính có thể chấp nhận được, mặc dù chúng tiêu tốn tài nguyên và có thể làm chậm hiệu suất đối với người dùng hợp pháp Tuy nhiên, không có cách nào trước để biết kẻ xâm nhập lành tính hay ác tính Do đó, ngay cả đối với các hệ thống không có nguồn lực đặc biệt nhạy cảm, có một động lực để kiểm soát vấn đề này
Hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) được thiết kế để chống lại mối đe dọa tin tặc này Ngoài việc sử dụng các hệ thống như vậy, các tổ chức có thể xem xét hạn chế đăng nhập từ xa vào các địa chỉ IP cụ thể và/hoặc sử dụng công nghệ mạng riêng ảo
Một trong những kết quả của việc nâng cao nhận thức về vấn đề kẻ xâm nhập là việc thành lập một số đội phản ứng khẩn cấp máy tính (CERT) Những liên doanh hợp tác này thu thập thông tin về lỗ hổng hệ thống và phổ biến nó cho các nhà quản lý hệ thống Tin tặc cũng thường xuyên đọc các báo cáo của CERT
Vì vậy, điều quan trọng là quản trị viên hệ thống phải nhanh chóng chèn tất cả các bản vá phần mềm đến các lỗ hổng được phát hiện Thật không may, với sự phức tạp của nhiều hệ thống CNTT và tốc độ phát hành các bản vá, điều này ngày càng khó
đạt được mà không cần cập nhật tự động Thậm chí sau đó, có những vấn đề gây ra bởi sự không tương thích do phần mềm được cập nhật Do đó nhu cầu về nhiều lớp phòng thủ trong việc quản lý các mối đe dọa bảo mật đối với hệ thống CNTT ngày càng cao
Trang 8Trong khi tin tặc truyền thống tìm kiếm mục tiêu cơ hội, tin tặc tội phạm thường có các mục tiêu cụ thể, hoặc ít nhất là các loại mục tiêu trong tâm trí Khi một trang web bị xâm nhập, kẻ tấn công sẽ hành động nhanh chóng, lấy càng nhiều thông tin có giá trị càng tốt và thoát ra
IDS và IPS cũng có thể được sử dụng cho những loại kẻ tấn công này, nhưng có thể ít hơn hiệu quả vì bản chất ra vào nhanh chóng của cuộc tấn công Đối với thương mại điện tử mã hóa cơ sở dữ liệu nên được sử dụng cho thông tin nhạy cảm của khách hàng, đặc biệt là thẻ tín dụng Đối với các trang web thương mại điện tử được lưu trữ (được cung cấp bởi dịch vụ bên ngoài), tổ chức thương mại điện tử nên sử dụng một máy chủ chuyên dụng (không được sử dụng để hỗ trợ nhiều khách hàng) và giám sát chặt chẽ các dịch vụ bảo mật của nhà cung cấp
Mặc dù các cơ sở IDS và IPS có thể hữu ích trong việc chống lại các cuộc tấn công nội bộ, các cách tiếp cận khác trực tiếp hơn được ưu tiên cao hơn Ví dụ bao gồm những điều sau đây:
̶ Thực thi đặc quyền tối thiểu, chỉ cho phép truy cập vào các tài nguyên mà nhân viên cần để làm công việc của họ
̶ Đặt nhật ký để xem những gì người dùng truy cập và những lệnh họ đang nhập
̶ Bảo vệ các tài nguyên nhạy cảm với xác thực mạnh mẽ
̶ Sau khi chấm dứt, xóa quyền truy cập mạng và máy tính của nhân viên ̶ Sau khi chấm dứt hợp đồng, hãy tạo một hình ảnh phản chiếu về ổ cứng của nhân viên trước khi kiện lại Bằng chứng đó có thể cần thiết nếu thông tin công ty của bạn xuất hiện tại một đối thủ cạnh tranh
Trang 91.3 Các kĩ thuật của kẻ xâm nhập
Trong phần này, chúng ta xem xét các kỹ thuật được sử dụng để xâm nhập qua đó tìm ra các cách phát hiện xâm nhập
Mục tiêu của những kẻ xâm nhập là giành quyền truy cập vào hệ thống hoặc tăng phạm vi quyền có thể truy cập trên một hệ thống thông qua các lỗ hổng hoặc phần mềm cho phép người dùng thực thi một lối tắt truy cập vào hệ thống
Thông thường, mật khẩu của hệ thống được bảo mật bằng 2 cách:
̶ One-way function: Hàm được xây dựng dựa trên mật khẩu Khi người dùng xuất trình mật khẩu, hệ thống sẽ chuyển đổi mật khẩu đó và so sánh nó với giá trị được lưu trữ
̶ Access control: Quyền truy cập vào tệp mật khẩu bị giới hạn ở một hoặc rất ít tài khoản
Trang 10Việc áp dụng các cách trên khiến có các kẻ xâm nhập tốn nhiều nỗ lực hơn để có thể tấn công vào hệ thống Tuy nhiên, Dựa trên các cách thức bảo vệ mật khẩu trên, các kẻ xâm nhập xây dựng các kỹ thuật để có được mật khẩu rất tinh vi
1 Hãy thử mật khẩu mặc định được sử dụng với các tài khoản tiêu chuẩn được cung cấp cùng với hệ thống
2 Thử tất cả các mật khẩu ngắn (từ một đến ba ký tự)
3 Thử các từ trong từ điển trực tuyến của hệ thống hoặc danh sách các mật khẩu có khả năng xảy ra, ví dụ như sử dụng kĩ thuật dò mật khẩu bằng từ điển
4 Thu thập thông tin về người sử dụng như họ tên đầy đủ, họ tên vợ/chồng và con cái, những bức tranh trong văn phòng của họ và những cuốn sách trong văn phòng của họ liên quan đến sở thích
5 Thử số điện thoại, số bảo hiểm xã hội, số phòng của người dùng 6 Thử tất cả các biển số xe hợp pháp tại khu vực đó
7 Sử dụng phần mềm độc hại Trojan horse để bỏ qua các hạn chế truy cập => đây là kỹ thuật khó bị ngăn chặn
8 Một ví dụ như: kẻ tấn công đã tạo một chương trình trò chơi và mời người dùng sử dụng Chương trình được cung cấp thực sự là 1 trò chơi, nhưng trong đó còn chứa mã để sao chép tệp mật khẩu
9 Xâm nhập vào liên kết giữa người dùng từ xa và hệ thống máy chủ: Kỹ thuật này khai thác các nội dung bảo mật về mặt vật lý
Các phương pháp trên là những phương pháp đơn giản và dễ bị ngăn chặn Tuy nhiên, các kẻ xâm nhập không có khả năng thử các phương pháp thô sơ như vậy
Ví dụ, một kẻ xâm nhập có thể đạt được mật khẩu ở mức quyền thấp vào tệp mật khẩu được mã hóa, thì chiến lược sẽ là chụp tệp đó và sau đó sử dụng cơ chế mã hóa của tệp cụ thể đó để phát hiện ra mật khẩu hợp lệ cung cấp các quyền lớn hơn
Trang 11Hiện nay, các hacker sử dụng một số lượng lớn các công cụ đoán mật khẩu để có thể được thử tự động mà không bị phát hiện, do đó các cuộc tấn công bằng các kỹ thuật này vẫn đạt hiệu quả cao
Ngoài ra còn có các kỹ thuật khác không đòi hỏi mật khẩu Những kẻ xâm nhập có thể có quyền truy cập vào hệ thống bằng cách khai thác các cuộc tấn công như tràn bộ đệm trên chương trình chạy với các tài khoản quyền nhất định, sau đó thực hiện leo thang dần các quyền truy cập
Trang 12CHƯƠNG II: INTRUDER DETECTION – PHÁT HIỆN XÂM NHẬP 2.1 Tổng quan về phát hiện xâm nhập
Hệ thống bảo mật tốt nhất cũng sẽ bị vượt qua, và hệ thống bảo mật tầng thứ 2 đó là hệ thống phát hiện xâm nhập, nhưng có một số vấn đề cần cân nhắc:
̶ Nếu phát hiện xâm nhập đủ sớm, kẻ xâm nhập có thể bị nhận diện và ngăn chặn khỏi hệ thống trước khi gây ảnh hưởng hoặc đánh cắp các dữ liệu Thậm chí nếu hệ thống phát hiện không đủ thời gian để nhận diện kẻ xâm nhập thì nó cũng hỗ trợ phát hiện kẻ xâm nhập sớm hơn và sự ảnh hưởng sẽ được giảm thiểu tuỳ theo thời gian phát hiện
̶ Một hệ thống phát hiện xâm nhập hiệu quả có thể phục vụ như một biện pháp ngăn chặn, ngăn chặn các hành vi xâm nhập
̶ Phát hiện xâm nhập cho phép thu thập thông tin về các kỹ thuật xâm nhập có thể được sử dụng để tăng cường cơ sở ngăn chặn xâm nhập
2.2 Hồ sơ kiểm toán (Audit Records)
Một công cụ cơ bản để phát hiện xâm nhập là hồ sơ kiểm toán Một số bản ghi về hoạt động đang diễn ra của người dùng phải được duy trì làm đầu vào cho hệ thống phát hiện xâm nhập Về cơ bản, hai kế hoạch được sử dụng:
̶ Hồ sơ kiểm toán gốc (Native audit record): Hầu như tất cả các hệ điều hành nhiều người dùng đều có phần mềm kế toán thu thập thông tin về hoạt động của người dùng Ưu điểm của việc sử dụng thông tin này là không cần phần mềm thu thập bổ sung Điểm bất lợi là các bản ghi kiểm toán gốc có thể không chứa thông tin cần thiết hoặc có thể không chứa thông tin đó ở dạng thuận tiện
̶ Bản ghi kiểm toán dành riêng cho phát hiện (Detection-specific audit records): Có thể triển khai cơ sở thu thập để tạo các bản ghi kiểm tra chỉ chứa thông tin mà hệ thống phát hiện xâm nhập yêu cầu Một lợi thế của cách tiếp cận như vậy là nó có thể được làm cho nhà cung cấp độc lập và được chuyển sang nhiều hệ thống khác nhau Nhược điểm là chi phí phụ thêm liên quan đến việc có hai gói phần mềm kế toán chạy trên một máy
Trang 132.3 Cách tiếp cận phát hiện xâm nhập
Một số nghiên cứu chỉ có 2 cách tiếp cận để phát hiện xâm nhập:
Thống kê phát hiện bất thường (Statistical anomaly detection): Thu thập dữ liệu liên quan đến hành vi của người dùng hợp lệ trong một khoảng thời gian Sau đó, các thử nghiệm thống kê được áp dụng cho hành vi được quan sát để xác định với mức độ tin cậy cao liệu hành vi đó có phải là hành vi hợp lệ của người dùng hay không
̶ Có 2 phương pháp được sử dụng để xác định:
Ngưỡng phát hiện (Threshold detection): xác định các ngưỡng, độc lập với người dùng, đối với tần suất xuất hiện của các sự kiện khác nhau Phát hiện ngưỡng liên quan đến việc đếm số lần xuất hiện của một loại sự kiện cụ thể trong một khoảng thời gian Nếu số lượng vượt quá những gì được coi là một con số hợp lý mà người ta có thể mong đợi xảy ra, thì sự xâm nhập được giả định Bản thân phân tích ngưỡng là một công cụ phát hiện thô sơ và không hiệu quả đối với các cuộc tấn công thậm chí có mức độ tinh vi vừa phải Cả ngưỡng và khoảng thời gian phải được xác định Do sự thay đổi giữa những người dùng, các ngưỡng như vậy có khả năng tạo ra nhiều kết quả dương tính giả hoặc nhiều kết quả âm tính giả Tuy nhiên, các bộ phát hiện ngưỡng đơn giản có thể hữu ích khi kết hợp với các kỹ thuật phức tạp hơn
Dựa trên hồ sơ (Profile based): Hồ sơ về hoạt động của từng người dùng được phát triển và sử dụng để phát hiện những thay đổi trong hành vi của từng tài khoản Phát hiện bất thường dựa trên hồ sơ tập trung vào việc mô tả đặc điểm hành vi trong quá khứ của người dùng cá nhân hoặc nhóm người dùng có liên quan và sau đó phát hiện các sai lệch đáng kể Một cấu hình có thể bao gồm một tập hợp các tham số, do đó độ lệch trên chỉ một tham số có thể không đủ để báo hiệu cảnh báo Nền tảng của