Để hạn chế tấn công vào mạng, bạn cần biết một số dạng tấn công cơ bản sau: + Reconnaissance attack [tấn công thăm dò] + Access attack [tấn công để truy cập] + DoS và distributed Dos [DDoS] Reconnaissance attack: Tấn công thăm dò mục đích chủ yếu là thu thập thông tin về đối tượng cần tấn công, có các dạng sau: + Packet sniffer + Port scan + Ping sweeps + Internet information queris Packet sniffer: Đây là dạng tấn công dùng một phần mềm để đặt cạc mạng của bạn vào mode promiscuous [chế độ tạp]. Vì thế để để bắt gói thì + Một là thay đổi lại driver để bất cứ thứ gì nó cũng bắt lại [vì Driver cạc mạng được viết để nhận những gì đúng của nó, những gì không phải của nó thì nó bỏ] + Hai là dùng các phần mềm hỗ trợ: vd như wire shark [phải có cài WinPcap để bất cứ thứ gì đi qua cạc mạng nó nhận hết]. Bình thường thì khi dữ liệu lên tới tầng ứng dụng thì nó đã lột MAC, IP, port ra hết rồi. Vì thế cần WinPcap để nó nhảy ra đứng ngay cạc mạng, cái gì đi qua nó cũng hứng hết từ tầng 2,3,4. Đối với dạng này thì attacker có thể khai thác các thông tin dạng plaintext [có thể đọc được]. Vd: Telnet, SNMP, POP, HTTP, FTP. Đối với yahoo mặc dầu có dùng HTTPs nhưng chỉ sử dụng lúc chứng thực username + password. Nhưng gửi dữ liệu đi bằng dạng HTTP cho đỡ hao tài nguyên nên vẫn sniffer được. Điều kiện để khai thác là phải cùng collision domain. Ví dụ như: mạng không dây,… - Ta có thể dùng các phương pháp như: chứng thực, mã hóa, … để hạn chế bớt sự rò tỉ thông tin của dạng tấn công này. Ví dụ cụ thể là dùng OTP, password dùng chỉ một lần. Cụ thế đó là các thẻ rút tiền, phải có mã pin của mình và quẹt thẻ này, sau đó nó sẽ tạo ra một password duy nhất. Cho dù có bị sniffer thì cũng vô dụng. Ping Sweeps và Port Scan: + Ping Sweeps là dùng tool để quét xem trong dãy IP đó IP nào sống, chết dựa vào ICMP echo request và ICMP echo reply. + Scan port cũng cách thức tương tự là dùng tool để quét xem trong dãy port [TCP/UDP] trên một host nào đó có đang ở trạng thái lắng nghe hay không. Dùng để detect các services gì đang chạy trên host đó. - Cách hạn chế dạng thăm dò này là dùng các thiết bị IDS/IPS để báo cho người quản trị biết và ngăn chặn khi có tấn công dạng này xảy ra. Nếu hạn chế hẳn thì ping sweeps thì ta có thể chặn ICMP echo request/reply. Nhưng Ping vẫn cần dùng trong việc troubleshoot mạng, và vả lại cấm ping thì quét port vẫn được thực hiện bình thường. Internet Information Queries [thu thập các thông tin có sẵn trên Internet]: Dạng này thì chỉ đơn giản dùng google hoặc các trang web để tìm thông các tin như: Ai là chủ sở hữu của trang web, dãy IP đó, Host đó đặt ở đâu,… Sau khi đã có range IP của đối tượng thì dùng ping sweep tìm ra host sống, port scan để tìm hiểu thêm các dịch vụ có thể chạy trên host đó. Access attack: Mục đích tấn công dạng này: lấy dữ liệu trái phép, thăng cấp quyền hạn truy cập trên đối tượng. Có các dạng sau: Password attack Trust exploitation Port redirection Man-in-the-middle attack Buffer overflow Password attack: Tấn công để lấy được password Có các dạng sau: + Trojan horse programs Xuất hiện như dạng link trên các trang web làm chi người dùng tin tưởng click vào, bắt cài activex khi người dùng muốn logon vào một trang web, trong các phần mềm cài đặt, email, … Sau khi Trojan đã về máy người dùng thì nó có thể lấy password khi người dùng nhập và gửi về khổ chủ. + Packet sniffers: Bắt mật khẩu trên môi trường không mã hóa tốt, đặt biệt trong môi trường mạng Lan khi các máy ra Net bắt buộc phải đi ra default gateway. + Brute-force attacks: - Dùng các chương trình chạy qua mạng để đăng nhập liên tục vào hệ thống.Đặc điểm chung dạng này là thử, sai, thử lại. - Nếu có được password ở dạng mã hóa thì dùng các phần mềm để giải mã. Có hai dạng là giải mã theo từ điển có sẵn và tính toán brute-force ~ Giải mã theo dạng từ điển: Dùng một file trong từ điển băm ra so sánh với mật khẩu người dùng. Tốt đối với mật khẩu đơn giản. ~ Giải mã theo dạng Brute force: Sử dụng một tập kí tự để băm ra và so sánh với mật khẩu của người dùng. Cách này sẽ luôn tìm ra mật khẩu nếu các kí tự có trong mật khẩu nằm trong tập kí tự được chọn. Thường thì dạng Crack password kiểu này không hiệu quả vì thuật toán mã hóa của mỗi hãng chưa chắc giống nhau. Ví dụ: ngay như mã hóa MD5 của microsoft và cisco cũng đã khác nhau. + IP spoofing: Giả mạo địa chỉ IP mà hệ thống mạng của bạn tin cậy để có quyền truy cập trong hệ thống. Nếu ở bên trong hệ thống thì attacker có thể giả mạo địa chỉ của các phòng ban khác để tấn công họ. Nếu ở bên ngoài Internet thì attacker có thể giả mạo địa chỉ bên trong hệ thống của bạn để đạt được sự tin cậy. Để phòng chống những tấn công password dạng này ta có thể: -Không cho phép user sử dụng một password cho nhiều hệ thống [đơn giản đi đối với việc bảo mật kém] -Disable account sau một số lần logon không thành công. -Không sử dụng Plaintext password -Sử dụng strong password [password có chữ thường, HOA, kí tự đặc biệt như @#!, số, độ dài được xem an toàn là 10 kí tự] Trust Exploitation: Tấn công dựa vào sự tin cậy lẫn nhau của các hệ thống. Ví dụ: DNS dùng phân giải tên cho hệ thống nội bộ. Nếu attacker có được các quyền tối thiểu trên hệ thống DNS [do khai thác lỗ hổng trên DNS]. Attacker có thể chuyển hướng phân giải về máy của attacker. Mà hệ thống mail thì phụ thuộc vào DNS, do đó attacker có thể khai thác hệ thống mail nhờ vào lỗ hổng của DNS. Hoặc một ví dụ khác cũng tương tự là các webserver được host tại cùng một máy chủ. Attacker chỉ cần đơn giản thuê host tại máy chủ này rồi từ đó khai thác tấn công lên các host còn lại trong cùng một server. - Cách hạn chế dạng tấn công này là chỉ cho phép tối thiểu sự tin cậy lẫn nhau giữa các hệ thống, càng ít tin cậy vào nhau thì càng tốt. Port Redirection: Dạng này tương tự trust explotation. Ví dụ: Attacker chỉ chỉ có thể tới được host A [Server WEB public]. Host A thì thấy được host B [mạng nội bộ bên trong], và cũng thấy được PC của attacker. Attacker có thể dựa vào lỗ hổng của trình duyệt web tấn công chiếm được quyền trên host A. Attacker dò những port nào truyền thông giữa host A và B, ví dụ port 23 luôn trạng thái lắng nghe trên host B. Kế tiếp Attacker sẽ cài một phần mềm, ví dụ Netcat lên host A. Netcat làm nhiệm vụ relay traffic. Sau đó để tấn công lên host B thì a***acker chỉ cần redirect destination port 80 từ máy attacker đến port 23 trong HostB dựa vào Netcat đã cài trên HostA. Sau đó có thể thông qua remote registry để chỉnh sửa một số key rồi có toàn quyền trong host B. - Thiết bị phát hiên xâm nhập [HIPS] có thể giúp phát hiện attacker và ngăn chặn việc cài đặt các chương trình chuyển hướng port vào máy tính. Man-in-the-middle attack: Dạng tấn công này yêu cầu attacker phải có quyền truy cập đến các packet đi ngang qua mạng. Cụ thể như là ISP. Mục đích: Đánh cắp thông tin. Chiếm và thay đổi quyền điều khiển các phiên [session] trao đổi dữ liệu. Tấn công từ chối dịch vụ. Phân tích các traffic có trên mạng. Sửa đổi các dữ liệu được truyền đi. Chỉnh sửa và thêm vào các thông tin giữa các phiên trao đổi dữ liệu trên mạng. -Mã hóa traffic đi qua lại giữa các hệ thống mạng bằng cách dùng Ipsec tunnel. Buffer overflow: - Buffer overflow (hay buffer overrun) là trường hợp bất thường xảy ra khi chương trình ghi dữ liệu vượt ra ngoài phạm vi của 1 buffer có kích thước cố định. Kết quả là dữ liệu sẽ ghi đè lên vùng bộ nhớ kế cận. Các dữ liệu bị ghi đè có thể là các buffer khác, các biến, program flow data (tạm dịch: dòng dữ liệu chương trình) và có thể dẫn đến các hành vi bất thường của chương trình, các lỗi truy cập bộ nhớ, có thể bị crash, sai kết quả và đặc biệt có thể làm hỏng bảo mật hệ thống nếu bị thực hiện do chủ đích của người dùng. DoS và distributed Dos [DDoS] Mục đích của DoS và Ddos không phải là để thu được lợi từ việc truy cập trái phép mà chính yếu là làm cạn kiệt các tài nguyên trong hệ thống mạng bằng những yêu cầu không có thực, làm server không thể phục vụ những yêu cầu hợp lệ khác. Ví dụ: Công ty đối thủ thuê hacker làm ảnh hưởng đến những giao dịch mạng của công ty khác. DoS có thể dễ hiểu như cuộc tấn công chỉ diễn ra trên một quy mô nhỏ , Attacker là một nhóm ít các máy. DDoS thì cuộc tấn công này phân bố phạm vi rộng, có thể đến từ hàng ngàn máy. Attacker có thể cài trojan horse hoặc virus trên các link trên nhiều diễn đàn. Người dùng không rành thì cứ click vào. Hoặc có trong các quảng cáo. Đợi đạt đủ số lượng máy tính cần thiết thì sẽ phát hành cuộc tấn công. Hình thức tấn công này không mới: send một lượng lớn các UDP segment hoặc dựa vào cơ chế bắt tay 3 bước của TCP attacker gửi một lượng lớn các gói TCP SYN nhưng không cho hoàn tất quá trình bắt tay 3 bước bằng cách không trả lời các gói ACK về server. Vì những kết nối này chưa hoàn tất nên server phải đợi hết thời gian timeout mới xóa kết nối này ra khỏi bảng chứa những kết nối của server. Như thế thì tài nguyên của TCP server sẽ bị sử dụng hết và buộc phải từ chối các kết nối TCP hợp lệ khác. Dạng tấn công này thường kết hợp với Ipspoofing, trong đó IP source có thể là một ip không hợp lệ hoặc IP của một hệ thống khác. -Để hạn chế tấn công DoS ta có thể dùng đặc tính phòng chống DoS thường có sẵn trên routers hoặc Firewall. -Hoặc ISP có thể giới hạn traffic ICMP đi vào hệ thống mạng bởi vì những traffic này chủ yếu chỉ cho việc chẩn đoán các hoạt động mạng. -Hạn chế Ipspoofing bằng cách chỉ cho phép những máy với dãy địa chỉ bên trong phòng ban đó được giao tiếp với các phòng ban khác, những dãy ip khác thì cấm [Inbound interface]. Đối với outbount interface thì cấm những dãy IP bên ngoài trùng với dãy IP bên trong hệ thống của mình, IP private, Loopback, multicast. [RFC 3704, 2827] -IP đó muốn sử dụng trước tiên cần phải chứng thực cho hợp lệ. Worm, Virus, Trojan Horse attack. Worm: Worm thực thi một đoạn mã bất kỳ và tự cài đặt bản sao của mình vào bộ nhớ của máy tính bị nhiễm, làm lây sang các máy tính khác. Gồm 3 phần chính: + Enabling Vulnerability: Khai thác lỗ hổng, cài đặt mình vào những kí sinh vd: link, soft, mail rồi khai thác lỗ hổng tấn công hệ thống. + Propagation mechanism: nhân bản tự động và lựa chọn mục tiêu tấn công mới + Payload: Thăng cấp quyền của mình lên mức cao hơn, như quyền system, administrator chẳng hạn. Virus: Virus cũng tương tự Worm nhưng không có khả năng lây nhiễm tự động mà dựa vào thực thể kí sinh khác như văn bản, e-mail, chương trình thực thi được, hoặc mở usb. Nhưng để lây nhiễm được chắc chắn Virus phải có tác động từ phía người sử dụng. Trojan Horse: Trojan horse khác biệt ở chỗ là chương trình được viết như một công cụ tiện ích cho người sử dụng, nhưng thật ra đó là một công cụ tấn công. Nó làm cho nạn nhân nghĩ phải cài đặt nó trên máy tính của họ. Vd: Active X bắt buộc phải cài khi vào một số trang web. Nó có thể chưa mã độc giúp webadmin trang đó có thể điều khiển máy tính của bạn. Một số phần mêm free, link không rõ nguồn gốc, … Cách hạn chế: - Để hạn chế các dạng này ta có thể dùng một số phần mềm diệt virus. - Ta cũng có thể lên google để search một số trang web để quét xem những link trên trang web đó có an toàn không trước khi click vào. - Cập nhật các bản vá mới nhất cho các trình chống virus. - Nếu đã bị nhiễm thì cách li ra những khu riêng biệt để tránh lây lan qua hệ thống khác. Tấn công ở tầng ứng dụng: Dựa vào các lỗ hổng của tầng ứng dụng như HTTP, sendmail, postcript, FTP. - Có thể dùng các thiệt bị như IDS/IPS để quét, theo dõi, ghi log và ngăn chặn. Thường xuyên cập nhật các lỗ hổng mới. Các giao thức quản lí mạng: Ngay cả các giao thức dùng để quản lí mạng cũng tiềm ẩn những chỗ để attacker khai thác. Telnet: gửi dữ liệu đi dạng cleartext, có thể bị bắt gói dễ dàng nhìn thấy nội dung bên trong. Vì telnet được phát triển trong giai đoạn security chưa được chú ý tới. -Khắc phục lỗi này bằng xác thực, mã hóa. Hoặc nếu thiết bị có hỗ trợ thì dùng SSH luôn. -Dùng ACL lọc theo RFC 3704 để hạn chế tấn công IPSpoofing. SNMP[simple network management protocol]: cũng là một protocol dùng quản lí. Nó có thể dùng để truy lục những thông tin về thiết bị [read-only access], hoặc cấu hình thiết bị [read-write access]. Password được gửi dưới dạng phaintext, tức là có thể đọc được mặc dầu nó có chứng thực, nhưng đơn giản. [version 1, version 2] -Khắc phục nhược điểm của SNMP thì dùng version 3 [hỗ trợ chứng thực và mã hóa]. -Cấu hình SNMP với dạng chỉ cho đọc Syslog: được thiết kế để mang những thông điệp từ thiết bị đã được cấu hình logging đến syslog server. Những thông điệp này được gửi đến server dưới dạng plaintext và không có cơ chế kiểm tra tính toàn vẹn, vì thế nó có thể bị chặn giữa đường bởi attacker, thay đổi thông tin rồi mới tới được syslogserver. -Khắc phục bằng cách encrypt traffic với Ipsec tunnel chẳng hạn. -Lọc theo RFC 3704 [khi bạn cho phép truy cập thiết bị từ bên ngoài của firewall] TFTP: được sử dụng cho việc chuyển cấu hình hoặc hệ thống file qua mạng, sử dụng UDP. Như những giao thức quản lí khác, nó gửi data dưới dạng plaintext nên có thể bị sniffer giữa thiết bị với server. Khắc phục nhược điểm của nó thì ta nên encrypt traffic với Ipsectunnel. NTP[network time protocol]: dùng chủ yếu cho việc đồng bộ giờ của các thiết bị trong hệ thống. Việc đồng bộ giờ là rất cần thiết cho các dạng chứng thực điện tử [digital certificates], hay lưu thông tin trong syslog. Thường thì để tiết kiệm các nhà quản trị thường đồng bộ giờ qua Internet để giảm chi phí. Tuy nhiên các attacker có thể DoS bằng cách gửi các dữ liệu NTP giả mạo qua Internet nhằm mục đích thay đổi thời gian trên các thiết bị mạng, dẫn đến các chứng thực điện tử không giá trị nữa. Ngoài ra nó còn làm cho các nhà quản trị bối rối với những thông tin syslog có thời gian lạ. -Khắc phục bằng cách tạo hệ thống đồng bộ riêng theo UTC [Coordinated Universal Time] bằng vệ tinh hay sóng radio. -Sử dụng NTPv3 [hỗ trợ security]. NTPv4 cũng có nhưng chưa được sử dụng rộng rãi. -Thiết lập cơ chế chỉ những thiết bị nào được đồng bộ với nhau. Để đồng bộ thời gian với hệ thống khác thì trên windows bạn có thể sử dụng lệnh sau: Run > CMD > net time /set /y \\IPmáytimeserver Một số công cụ để kiểm tra mức độ an toàn hệ thống của bạn: Microsoft baseline Security Analyzer [MBSA]: free, scan những điểm yếu có thể dễ bị khai thác trong hệ thống [chính PC đó hoặc PC khác]. NMAP: scan port TCP/UDP, scan layer3 để nhận dạng những protocol hỗ trợ trên host [GRE: Generic Routing Encapsulation], OSPF, … Blue’s port: Scan port nào đang mở và dạng của dịch vụ đó trên một host, vd: SMNP, HTTP, FTP, HTTPs,… Wireshark: free, bắt và phân tích gói. . Để hạn chế tấn công vào mạng, bạn cần biết một số dạng tấn công cơ bản sau: + Reconnaissance attack [tấn công thăm dò] + Access attack [tấn công để truy cập] + DoS và. chạy trên host đó. - Cách hạn chế dạng thăm dò này là dùng các thiết bị IDS/IPS để báo cho người quản trị biết và ngăn chặn khi có tấn công dạng này xảy ra. Nếu hạn chế hẳn thì ping sweeps thì. cần đơn giản thuê host tại máy chủ này rồi từ đó khai thác tấn công lên các host còn lại trong cùng một server. - Cách hạn chế dạng tấn công này là chỉ cho phép tối thiểu sự tin cậy lẫn nhau giữa