Nghiên cứu và triển khai bảo mật hệ thống Honeynet

Nghiên cứu và nắm vững được hoạt động, mục đích của Hệ thống Honeynet. Có khả năng triển khai áp dụng và phát triển Honeynet vào thực tế. Honeynet được thiết kế nhằm chủ động lôi kéo Hacker tấn công vào hệ thống giả được bố trí bên cạnh hệ thống thật nhằm mục đích thu thập các kỹ thuật – phương pháp tấn công, các công cụ mà Hacker sử dụng, đặc biệt là các kỹ thuật tấn công mạng mới, các mẫu virus mã độc mới.

LỜI MỞ ĐẦU

Ngày nay, Công nghệ thông tin đang phát triển với tốc độ “vũ bão”, bên cạnh những mặt tích cực và lợi ích to lớn mà Xã hội thông tin mang lại cho nhân loại thì lại tồn tại các mặt tiêu cực như: các nguy cơ tấn công mạng nhằm phá hoại hệ thống mạng, nguy cơ bị đánh cắp các thông tin “nhạy cảm” của cá nhân, các tổ chức, doanh nghiệp, các cơ quan Nhà nước … Để ngăn chặn lại những nguy cơ này, đòi hỏi các cơ quan, tổ chức, doanh nghiệp, phải tổ chức xây dựng các hệ thống an ninh mạng nhằm đảm bảo an toàn cho hệ thống mạng của Cơ quan mình

Và trong vô số các biện pháp ngăn chặn đó, thì "Honeypot" (tạm gọi là mắt ong) và "Honeynet" (tạm gọi là tổ ong) được coi là một trong những cạm bẫy hết sức hiệu quả, được thiết kế với mục đích này Đối với các tin tặc thì hệ thống này quả là những “Cạm bẫy đáng sợ” Vì vậy, giới Hacker thường xuyên thông báo – cập nhật các hệ thống Honeynet mới được triển khai trên thế giới ở các diễn đàn Hacker, nhằm tránh “sa bẫy” những hệ thống Honeynet này

Khác với các hệ thống An ninh mạng khác như: Hệ thống phát hiện xâm nhập và chống xâm nhập, hệ thống Firewall …, được thiết kế làm việc thụ động trong việc phát hiện - ngăn chặn sự tấn công của tin tặc (Hacker) vào hệ thống mạng, thì Honeynet lại được thiết kế nhằm chủ động lôi kéo Hacker tấn công vào hệ thống giả được bố trí bên cạnh hệ thống thật nhằm mục đích:

 Thu thập các kỹ thuật – phương pháp tấn công, các công cụ mà Hacker sử dụng, đặc biệt là các kỹ thuật tấn công mạng mới, các mẫu virus - mã độc mới

 Giúp chúng ta sớm phát hiện ra các lỗ hổng bảo mật tồn tại trên các sản phẩm công nghệ thông tin đã triển khai - cài đặt trên hệ thống thật Từ đó, sớm có biện pháp ứng phó - khắc phục kịp thời Đồng thời, cũng kiểm tra độ an toàn của hệ thống mạng, các dịch vụ mạng (như: Web, DNS, Mail …), và độ an toàn – tin cậy - chất lượng của các sản phẩm thương mại công nghệ thông tin khác (đặc biệt là các

Hệ điều hành như: Unix, Linux, Window …)

 Thu thập các thông tin, dấu vết của Hacker (như: địa chỉ IP của máy Hacker

sử dụng tấn công, vị trí địa lý của Hacker, thời gian Hacker tấn công …) Từ đó, giúp chuyên gia an ninh mạng truy tìm thủ phạm

II Mục tiêu

Sau khi hoàn thành báo cáo này sẽ nắm được các kỹ thuật bảo mật trong hệ thống Honeynet Nâng cao nhận thức của các mối đe dọa hiện tại trên Internet, cung cấp các công cụ và các kỹ thuật được sử dụng

III Ý nghĩa khoa học và thực tiễn

Ý nghĩa khoa học:

− Cung cấp lý thuyết về hệ thống Honeynet

− Chỉ cho ta tầm quan trọng của bảo mật trong hệ thống Honeynet

Ý nghĩa thực tiễn:

− Đưa ra giải pháp bảo mật giá thành rẻ mà hiệu quả cao

− Tăng độ tin cậy và khả năng dự phòng cho hệ thống

IV Phạm vi nghiên cứu

− Hệ thống mạng doanh nghiệp

− Các giải pháp bảo mật hiện nay

V Nội dung nghiên cứu

 Chương 1: Tổng quan về an ninh mạng

 Chương 2: Khái niệm, chức năng và mô hình kiến trúc của Honeynet

 Chương 3: Triển khai hệ thống Honeynet

DANH MỤC HÌNH VẼ

Hình 2.1: Mô hình kiến trúc honeynet Error: Reference source not foundHình 2.2: Mô hình triển khai Honeynet ở Bắc Kinh, Trung Quốc Error: Reference source not found

Hình 2.3: Mô hình triển khai Honeynet ở Hy Lạp Error: Reference source not foundHình 2.4: Mô hình triển khai Honeynet ở Anh Error: Reference source not foundHình 2.5: Mô hình kiến trúc vật lý Honetnet thế hệ I Error: Reference source not found

Hình 2.6: Mô hình kiến trúc Honeyney thế hệ II, III Error: Reference source not found

Hình 2.7: Mô hình kiến trúc logic của Honeynet Error: Reference source not foundHình 2.8: Mô hình kiểm soát dữ liệu Error: Reference source not foundHình 2.9: Sơ đồ thu nhận dữ liệu Error: Reference source not foundHình 2.10: Mô hình hoạt động của Sebek Error: Reference source not foundHình 2.11: Sơ đồ kiến trúc Honeywall Error: Reference source not foundHình 3.1: Mô hình triển khai Honeynet Error: Reference source not found

TỪ VIẾT TẮT

13 DDoS Distributed Denial of Service

14 NIPS Network Intrustion Prevention Systems

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG

1.1 Tổng quan về an toàn, an ninh trên mạng Internet

Mạng máy tính toàn cầu Internet là mạng của các mạng máy tính được kết nối với nhau qua giao thức TCP/IP nhằm trao đổi và xử lý thông tin tương hỗ Các mạng được điều hành hoạt động bởi một hoặc nhiều loại hệ điều hành mạng Như vậy, hệ điều hành mạng có thể điều phối một phần của mạng và là phần mềm điều hành đơn vị quản lý nhỏ nhất trên toàn bộ mạng

Điều khác nhau giữa mạng máy tính và xã hội loài người là đối với mạng máy tính chúng ta phải quản lý tài sản khi mà các ngôi nhà đều luôn mở cửa Các biện pháp vật lý là khó thực hiện vì thông tin và thiết bị luôn cần được sử dụng

Trên hệ thống mạng mở như vậy, bảo vệ thông tin bằng mật mã là ở mức cao nhất song không phải bao giờ cũng thuận lợi và không tốn kém Thường thì các hệ điều hành mạng, các thiết bị mạng sẽ lãnh trách nhiệm lá chắn cuối cùng cho thông tin Vượt qua lá chắn này thông tin hầu như không còn được bảo vệ nữa

Gối trên nền các hệ điều hành là các dịch vụ mạng như: Thư điện tử (Email), WWW, FTP, News làm cho mạng có nhiều khả năng cung cấp thông tin Các dịch

vụ này cũng có các cơ chế bảo vệ riêng hoặc tích hợp với cơ chế an toàn của hệ điều hành mạng

Internet là hệ thống mạng mở nên nó chịu tấn công từ nhiều phía kể cả vô tình và hữu ý Các nội dung thông tin lưu trữ và lưu truyền trên mạng luôn là đối tượng tấn công Nguy cơ mạng luôn bị tấn công là do người sử dụng luôn truy nhập

từ xa Do đó thông tin xác thực người sử dụng như mật khẩu, bí danh luôn phải truyền đi trên mạng Những kẻ xâm nhập tìm mọi cách giành được những thông tin này và từ xa truy nhập vào hệ thống Càng truy nhập với tư cách người dùng có quyền điều hành cao càng thì khả năng phá hoại càng lớn

Nhiệm vụ bảo mật và bảo vệ vì vậy mà rất nặng nề và khó đoán định trước Nhưng tựu trung lại gồm ba hướng chính sau:

− Bảo đảm an toàn cho phía server

− Bảo đảm an toàn cho phía client

− Bảo mật thông tin trên đường truyền.

1.2 Các hình thức tấn công trên mạng Internet

là những thông tin vô nghĩa

1.2.3 Vô hiệu hóa các chức năng của hệ thống

Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ (Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó được thiết kế Kiểu tấn công này rất khó ngăn chặn bởi chính những hương tiện dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy

cập thông tin trên mạng Một thí dụ về trường hợp có thể xảy ra là một người trên mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó Khi nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy khác đến trạm không được phục vụ.

1.2.4 Tấn công vào yếu tố con người

Đây là một hình thức tấn công nguy hiểm nhất nó có thể dẫn tới những tổn thất hết sức khó lường Kẻ tấn công có thể liên lạc với người quản trị hệ thống thay đổi một số thông tin nhằm tạo điều kiện cho các phương thức tấn công khác

Ngoài ra, điểm mấu chốt của vấn đề an toàn, an ninh trên Internet chính là người sử dụng Họ là điểm yếu nhất trong toàn bộ hệ thống do kỹ năng, trình độ sử dụng máy tính, mạng internet không cao Chính họ đã tạo điều kiện cho những kẻ phá hoại xâm nhập được vào hệ thống thông qua nhiều hình thức khác nhau như qua email: Kẻ tấn công gửi những chương trình, virus và những tài liệu có nội dung không hữu ích hoặc sử dụng những chương trình không rõ nguồn gốc, thiếu độ an toàn Thông thường những thông tin này được che phủ bởi những cái tên hết sức ấn tượng mà không ai có thể biết được bên trong nó chứa đựng cái gì Và điều tồi tệ nhất sẽ xảy ra khi người sử dụng mở hay chạy nó Lúc đó có thể thông tin về người

sử dụng đã bị tiết lộ hoặc có cái gì đó đã hoạt động tiềm ẩn trên hệ thống của bạn và chờ ngày kích hoạt mà chúng ta không hề ngờ tới Với kiểu tấn công như vậy sẽ không có bất cứ một thiết bị nào có thể ngăn chặn một cách hữu hiệu chỉ có phương pháp duy là giáo dục người sử dụng mạng về những yêu cầu bảo mật để nâng cao cảnh giác

1.3 Phân loại kẻ tấn công

1.3.1 Người qua đường

Là những kẻ buồn chán với các công việc hàng ngày, họ muốn tìm những trò giả trí mới Họ đột nhập vào máy tính của bạn vì họ nghĩ bạn có thể có những dữ liệu hay, hoặc bởi họ cảm thấy thích thú khi được sử dụng máy tính của người khác, hoặc chỉ đơn giản là họ không tìm được một việc gì hay hơn để làm Họ có thể là

người tò mò nhưng không chủ đinh làm hại bạn Tuy nhiên, họ thường gây hư hỏng

hệ thống khi đột nhập hay khi xóa bỏ dấu vết của họ

1.3.2 Kẻ phá hoại.

Là những kẻ chủ định phá hoại hệ thống của bạn, họ có thể không thích bạn,

họ cũng có thể không biết bạn nhưng họ tìm thấy niềm vui khi đi phá hoại Thông thường, trên Internet kẻ phá hoại khá hiếm Mọi người không thích họ Nhiều người còn thích tìm và chặn đứng những kẻ phá hoại Tuy ít nhưng kẻ phá hoại thường gây hỏng trầm trọng cho hệ thống của bạn như xóatoàn bọ dữ liệu, phá hỏng các thiết bị trên máy tính của bạn

1.3.3 Kẻ ghi điểm

Rất nhiều kẻ qua đường bị cuốn hút vào việc đột nhập, phá hoại Họ muốn được khẳng định mình thông qua số lượng và các kiểu hệ thống mà họ đã đột nhập qua Đột nhập được vào những nơi nổi tiếng, những nơi phòng bị chặt chẽ, những nơi thiết kế tinh xảo có giá trị nhiều điểm đối với họ Tuy nhiên họ cũng sẽ tấn công tất cả những nơi họ có thể, với mục đích số lượng cũng như mục đích chất lượng Những người này không quan tâm đến những thông tin bạn có hay những đặc tính khác về tài nguyên của bạn Tuy nhiên, để đạt được mục đích là đột nhập, vô tình hay hữu ý họ sẽ làm hư hỏng hệ thống của bạn

1.3.4 Gián điệp

Hiện nay có rất nhiều thông tin quan trọng được lưu giữ trên máy tính như các thông tin về quân sự, kinh tế … Gián điệp máy tính là một vấn đề phức tạp và khó phát hiện Thực tế, phần lớn các tổ chức không thể phòng thủ kiểu tấn công này một cách hiệu quả và bạn có thể chắc rằng đường lên kết với Internet không phải là con đường dễ nhất để gián điệp thu lượm thông tin

1.4 Các kỹ thuật tấn công và phương thức xâm nhập hệ thống

1.4.1 Các kỹ thuật tấn công

1.4.1.1 Tấn công từ chối dịch vụ (DoS)

DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó Nó bao gồm

cả việc làm tràn ngập mạng, làm mất kết nối với dịch vụ… mà mục đích cuối cùng

là làm cho server không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các client DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn.

Các nguy cơ tấn công bằng DoS:

− Tấn công trên Swap Space: Hầu hết các hệ thống đều có vài trăm MB không gian chuyển đổi để phục vụ cho những yêu cầu từ máy khách Swap space thường dùng cho các tiến trình con có thời gian ngắn nên DoS có thể được dựa trên phương thức làm tràn đầy swap space

− Tấn công vào Ram: Tấn công Dos chiếm 1 khoảng lớn của RAM cũng có thể gây ra các vấn đề phá hủy hệ thống

− Tấn công vào Disks: Đây là kiểu tấn công làm đầy đĩa cứng Đĩa cứng có thể bị tràn và không thể được sử dụng nữa

1.4.1.2 Tấn công SQL Injection

Khi triển khai các ứng dụng web trên internet, nhiều người vẫn nghĩ rằng việc đảm bảo an toàn, bảo mật nhằm giảm thiểu tối đa khả năng bị tấn công bởi các tin tặc chỉ đơn thuần tập trung vào các vấn đề như chọn hệ điều hành, hệ quản trị cơ

sở dữ liệu, webserver để chạy ứng dụng …mà quên mất rằng ngay cả bản thân ứng dụng chạy trên đó cũng tiềm ẩn lỗ hổng bảo mật rất lớn Một trong các lỗ hổng này

là SQL Injection

SQL injection là một kĩ thuật cho phép những kẻ tấn công (Hacker) lợi dụng

lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để "tiêm vào" và thi hành các câu lệnh SQL bất hợp pháp (không được người phát triển ứng dụng lường trước) Hậu quả của nó rất tai hại cho phép những kẻ tấn công chiếm quyền kiểm soát web Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase

Các dạng tấn công thường gặp là:

− Tấn công sử dụng câu lệnh Select, Insert

− Tấn công dựa vào câu lệnh Having, Group By, Union

− Tấn công vượt qua kiểm tra đăng nhập

1.4.1.3 Tấn công Cross-site Scripting (XSS)

Cross-Site Scripting (XSS) là một trong những kĩ thuật tấn công phổ biến nhất hiên nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những người sử dụng web Bất kì một website nào cho phép người sử dụng đăng thông tin mà không có sự kiểm tra chặt chẽ các đoạn

mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS

Phương pháp Cross Site Scripting (được viết tắt là XSS) là phương pháp tấn công bằng cách chèn thêm những đoạn mã có khả năng đánh cắp hay thiết lập được những thông tin quan trọng như cookies, mật khẩu,… vào mã nguồn ứng dụng web

để từ đó chúng được chạy như là một phần của ứng dụng Web và có chức năng cung cấp hoặc thực hiện những những điều hacker muốn Hacker sẽ chèn vào các website động (ASP, PHP, CGI, JSP ) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những người sử dụng khác Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML

Các bước thực hiện tấn công bằng XSS

− Bước 1: Hacker biết được người dùng đang sử dụng một ứng dụng Web có

lỗ hỏng XSS

− Bước 2: Người dùng nhận được 1 liên kết thông qua email hay trên chính trang Web (như trên guestbook, banner dễ dàng thêm 1 liên kết do chính hacker tạo ra…)

− Bước 3: Chuyển nội dung thông tin (cookie, tên, mật khẩu…) về máy chủ của hacker

− Bước 4: Hacker tạo một chương trình cgi hoặc một trang Web để ghi nhận những thông tin đã đánh cắp vào 1 tập tin

− Bước 5: Sau khi nhận được thông tin cần thiết, hacker có thể sử dụng để thâm nhập vào tài khoản của người dùng

1.4.1.4 Kỹ thuật giả mạo địa chỉ

Thông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng tường lửa (Firewall) Bức tường lửa có thể hiểu là cổng duy nhất mà người đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt” Tường lửa hạn chế rất nhiều

khả năng tấn công từ bên ngoài, bên trong và gia tăng sự tin tưởng lẫn nhau trong việc sử dụng tài nguyên chia sẻ trong mạng nội bộ.

Sự giả mạo địa chỉ nghĩa là người bên ngoài hoặc bên trong sẽ giả mạo địa chỉ máy tính của mình là một trong những máy tính của hệ thống cần tấn công Họ

tự đặt địa chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn công Nếu như làm được điều này, hacker có thể lấy dữ liệu, phá hủy thông tin hay phá hoại hệ thống Hay nói cách khác việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source-routing) Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy đ-ược coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi

1.4.1.5 Tấn công dùng Cookies

Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website

và trình duyệt của người dùng

Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới 4KB) Chúng được các site tạo ra để lưu trữ, truy tìm, nhận biết các thông tin về người dùng đã ghé thăm site và những vùng mà họ đi qua trong site Những thông tin này

có thể bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen, Cookies được Browser của người dùng chấp nhận lưu trên đĩa cứng của máy tính, không phải Browser nào cũng hổ trợ cookies

1.4.2 Các phương thức xâm nhập hệ thống bằng phần mềm phá hoại

Kỹ thuật và hình thức tấn công mới thường xuyên được phát hiện và nâng cấp Ở trên chỉ giới thiệu các hình thức tấn công phổ biến đã được phát hiện và phân tích Ngoài các hình thức tấn công như trên, các hệ thống thông tin còn phải đối mặt với một nguy cơ xâm nhập rất lớn đó là các phần mềm virus, worm, spyware …, gọi chung là các phần mềm phá hoại hay phần mềm độc

1.4.2.1 Virus

Là phần mềm ẩn, kích thước nhỏ và được gắn vào một tập tin chủ nào đó, thông thường là các tập tin thực thi được, nhờ đó virus mới có khả năng phá hoại và

lan truyền sang các máy khác Một số loại virus lại gắn với các tập tin tài liệu (ví dụ như word, excel …) và được gọi là các virus macro

Virus lan truyền giữa các máy tính thông qua việc sao chép các tập tin có nhiễm virus từ đĩa mềm, đĩa CD, đĩa flash, hoặc thông qua các tập tin gởi kèm theo e-mail Phạm vi phá hoại của virus là rấtlớn Thông thường nhất, các virus thường gây ra mất mát dữ liệu, hư hỏng phần mềm và hư hỏng cả hệ điều hành

1.4.2.2 Worm

Là loại phần mềm độc có cơ chế hoạt động và tầm phá hoại gần giống như virus Điểm khác nhau cơ bản giữa worm và virus là worm có khả năng tự sao thông qua mạng (trong khi virus phải nhờ vào thao tác sao chép của người sử dụng)

và tự tồn tại như một chương trình độc lập (trong khi virus phải gắn vào một tập tin khác)

Đặc trưng cơ bản nhất của worm là tính phát tán nhanh trên phạm vi rộng bằng nhiều phương tiện khác nhau, như sử dụng trực tiếp giao thức TCP/IP, sử dụng các dịch vụ mạng ở lớp ứng dụng, phát tán qua e-mail và nhiều phương tiện khác

1.4.2.3 Trojan horse

Một dạng phần mềm độc hoạt động núp dưới danh nghĩa một phần mềm hữu ích khác, và sẽ thực hiện các hành vi phá hoại hệ thống khi chương trình giả danh được kích hoạt bởi người sử dụng

Trojan không có khả năng tự sao chép như worm (mà phải giả dạng thành một phần mềm có ích hoặc được gắn vào một phần mềm thực thi khác để được cài đặt vào máy), không có khả năng tự thực thi như virus (mà chỉ thực hiện khi người

sử dụng khởi động chương trình)

1.5 Tìm hiểu về bảo mật

1.5.1 Khái niệm bảo mật

Bảo mật tức là lĩnh vực nghiên cứu để bào vệ sự an toàn thông tin, bảo vệ sự hoạt động trơn tru của một hoặc nhiều hệ thống, đảm bảo sự riêng tự cá nhân trên môi trường mạng máy tính

Bảo mật thông tin nhằm mục đích:

− Đảm bảo thông tin chỉ được truy xuất bởi những người có chức năng.

− Đảm bảo các phương thức xử lý thông tin chính sách, an toàn và trọn vẹn

− Đảm bảo những người có chức năng có thể truy cập thông tin mọi lúc, mọi nơi khi có yêu cầu

1.5.2 Các đặc trưng của một hệ thống thông tin bảo mật

Hệ thống thông tin bảo mật (Secure Information System) là một hệ thống mà thông tin được xử lý trên nó phải đảm bảo được 3 đặc trưng:

kể cả phần mềm phá hoại như virus, worm, spyware …

Tuỳ theo tính chất của thông tin mà mức độ bí mật của chúng có khác nhau

Ví dụ: các thông tin về chính trị và quân sự luôn được xem là các thông tin nhạy cảm nhất đối với các quốc gia và được xử lý ở mức bảo mật cao nhất Các thông tin khác như thông tin về hoạt động và chiến lược kinh doanh của doanh nghiệp, thông tin cá nhân, đặc biệt của những người nổi tiếng, thông tin cấu hình hệ thống của các mạng cung cấp dịch vụ, v.v… đều có nhu cầu được giữ bí mật ở từng mức độ

1.5.2.2 Tính toàn vẹn

Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm.Tính toàn vẹn được xét trên 2 khía cạnh:

− Tính nguyên vẹn của nội dung thông tin

− Tính xác thực của nguồn gốc của thông tin

Cơ chế đảm bảo sự toàn vẹn của thông tin được chia thành 2 loại: các cơ chế ngăn chặn và các cơ chế phát hiện

− Cơ chế ngăn chặn có chức năng ngăn cản các hành vi trái phép làm thay đổi nội dung và nguồn gốc của thông tin Các hành vi này bao gồm 2 nhóm: hành vi cố

gắng thay đổi thông tin khi không được phép truy xuất đến thông tinvà hành vi thay đổi thông tin theo cách khác với cách đã được cho phép.

− Cơ chế phát hiện chỉ thực hiện chức nănggiám sát và thông báo khi có các thay đổi diễn ra trên thông tin bằng cách phân tích các sự kiện diễn ra trên hệ thống

mà không thực hiện chức năng ngăn chặn các hành vi truy xuất trái phép đến thông tin

Các yếu tố như nguồn gốc thông tin, cách thức bảo vệ thông tin trong quá khứ cũng như trong hiện tại đều là những yếu tố quyết định độ tin cậy của thông tin

và do đó ảnh hưởng đến tính toàn vẹn của thông tin Nói chung, việc đánh giá tính toàn vẹn của một hệ thống thông tin là một công việc phức tạp

Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệ thống thông tin nào Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu quả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra

Trong thực tế, tính khả dụng được xem là nền tảng của một hệ thống bảo mật, bởi vì khi hệ thống không sẵn sàng thì việc đảm bảo 2 đặc trưng còn lại (bí mật

và toàn vẹn) sẽ trở nên vô nghĩa

1.5.3 Các phương pháp bảo mật

1.5.3.1 Xây dựng tường lửa

Với Firewall, người sử dụng có thể yên tâm đang được thực thi quyền giám sát các dữ liệu truyền thông giữa máy tính của họ với các máy tính hay hệ thống khác Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy thông

hành" của bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi máy tính của người

sử dụng, chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại bỏ tất cả các gói dữ liệu không hợp lệ

Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính của bạn Chức năng kiểm soát các dữ liệu đi ra của Firewall cũng rất quan trọng vì sẽ ngăn ngừa những

kẻ xâm nhập trái phép "cấy" những virus có hại vào máy tính của để phát động các cuộc tấn công cửa sau tới những máy tính khác trên mạng Internet

1.5.3.2 Sử dụng phần mềm quản trị người dùng

Một máy tính bị tấn công có thể làm phá hủy cả hệ thống máy tính hay mạng, do đó để đảm bảo an toàn hơn nên kiểm soát các website nhân viên truy nhập thông qua các chính sách quản lý trên máy chủ

1.5.3.3 Sử dụng phần mềm chống virus, mã độc

Các phần mềm này có thể bảo vệ máy tính khỏi virus, trojans, rootkit và những cuộc tấn công Ngày nay, các chương trình này thường được đóng gói lại Bởi vì có hàng nghìn biến thể mã độc xuất hiện hàng ngày nên rất khó để các công

ty phần mềm có thể theo kịp Vì vậy, nhiều người dùng cảm thấy an toàn hơn khi cài nhiều chương trình bảo mật, nếu chương trình này bỏ qua một mã độc nào đó,

có thể chương trình khác sẽ phát hiện được

1.5.4 Sử dụng phần mềm mã hóa dữ liệu

Nên lưu dữ liệu an toàn bằng cách mã hóa Xây dựng hệ thống dự phòng trực tuyến Điều này giúp chúng ta có thể lấy lại dữ liệu trong trường hợp máy tính bị ăn cắp hay hỏng

CHƯƠNG 2: KHÁI NIỆM, CHỨC NĂNG VÀ MÔ HÌNH KIẾN

TRÚC CỦA HONEYNET

2.1 Giới thiệu Honeynet

Ý tưởng xây dựng hệ thống Honeynet xuất phát từ bài báo “To Buil a Honeypot” của tác giả Lance Spitzner – một trong những người đứng ra thành lập

dự án Honeynet (Honeynet Project), bài báo này giới thiệu các nội dung ban đầu của kỹ thuật Honeynet Mục đích nghiên cứu các kỹ thuật tấn công của Hacker, từ

đó có biện pháp ngăn chặn tấn công kịp thời Và tháng 6 năm 2000, dự án Honeynet được thành lập bởi 30 chuyên gia an ninh mạng của các công ty bảo mật như: Foundstone, Security Focus, Source Fre, … tình nguyện tham gia nghiên cứu phi lợi nhuận

Dự án Honeynet được thiết kế để nhằm mục đích nghiên cứu, dò tìm và thu hút mọi cuộc tấn công bất kỳ của Internet vào hệ thống máy chủ Linux, Windows

Dự án này không đưa ra các nghiên cứu so sánh với Windows, nhưng Spitzner đã chỉ ra rằng các cơ quan chuyên về bảo mật như Symantec hoặc Internet Storm Center (ISC) đã công nhận rằng có rất nhiều cuộc tấn công vào các hệ thống Windows Một dự án khác của ISC đã đo lường thời gian tồn tại của các hệ thống Windows trước các cuộc tấn công và cho ra nhiều kết quả sau:

Thời gian tồn tại trung bình trước các cuộc tấn công của một số hệ thống chạy Windows trong các thử nghiệm của ISC đã giảm nhanh từ 55 phút trong giai đoạn 2003 xuống chỉ còn 20 phút vào cuối năm 2004 Thảm hại nhất là vào giai đoạn đầu 2004, một hệ thống Windows chỉ tồn tại có 15 phút trước khi bị hạ gục

Dự án Honeynet đã cân nhắc kỹ trước khi phân bố các hệ thống khắp mọi nơi trên thế giới để thu hút các cuộc tấn công Các máy tính chuyên câu nhử của Honeynet được phân bố đều trong các mạng gia đình đến các doanh nghiệp vừa và nhỏ

Dự án Honeynet được triển khai 12 trạm Honeynet ở 8 quốc gia (Mỹ, Ấn Độ,

Hy Lạp, Anh, Pakistan, Bồ Đào Nha, Brazil và Đức) Bao gồm 24 hệ thống Unix và

và giả lập Unix, 19 hệ thống Linux hầu hết là Ret Hat bao gồm: 1 hệ thống Ret Hat

7.2, 5 hệ thống Red Hat 7.3, 1 Ret Hat 8.0, 8 Ret Hat 9.0 và 1 hệ thống Fedora Core Các hệ thống khác nữa bao gồm: 1 chạy Suse 7.2, 1 Suse 6.3, 2 Solaris Sparc

8, 2 Solaris Sparc 9 và 1 hệ thống chạy Free-BSD 4.4

Mục tiêu của dự án Honeynet là:

− Nâng cao nhận thức của các mối đe dọa hiện tại trên Internet

− Tiến hành nghiên cứu bao gồm các phương pháp phân tích dữ liệu, phát triển công cụ bảo mật độc đáo và thu thập dữ liệu về những kẻ tấn công và phần mềm độc hại mà hacker sử dụng

− Cung cấp các công cụ và các kỹ thuật được sử dụng bởi các dự án Honeynet

để các tổ chức khác có thể có lợi

2.2 Khái niệm Honeynet

Honeynet là một mạng các Honeypot tương tác mức cao giống như một mạng thật sự trong thực tế và được cấu hình sao cho tất cả các hoạt động được giám sát và ghi nhận Trong một hệ thống Honeynet có các Honeypot với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chú ý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật Honeynet cung cấp các hệ thống, ứng dụng, các dịch vụ thật như: Web, Mail, File server … Honeynet được

áp dụng theo hai hướng: mục đích nghiên cứu và bảo vệ hệ thống thật

Hệ thống Honeynet có thể triển khai xây dựng ở nhiều cơ quan, tổ chức với nhiều mục đích khác nhau như: Các cơ quan nhà nước, doanh nghiệp có thể sử dụng Honeynet nhằm kiểm tra độ an toàn của hệ thống mạng của mình và ngăn chặn kẻ tấn công tấn công vào hệ thống thật; các cơ quan, tổ chức, doanh nghiệp hoạt động trong lĩnh vực an ninh mạng có thể sử dụng Honeynet nhằm thu thập các loại mã độc hại mới như: virus, worm, spyware, trojan,… , để kịp thời viết chương trình cập nhật diệt mã độc cho sản phẩm Anti-virus của công ty mình …

Với mô hình này Honeywall gồm có 3 card mạng là: eth0, eth1, eth2 Card mạng eth0 thì kết nối với Router, card eth1 thì kết nối với các Honeypot, còn card thứ 3 kết nối với Management Khi Hacker từ bên ngoài Internet tấn công vào hệ thống thì các Honeypot sẽ đóng vai trò là hệ thống thật tương tác với hacker, và thực hiện thu thập các thông tin của Hacker như: địa chỉ IP của máy hacker sử dụng, kỹ thuật hacker tấn công, các công cụ mà hacker sử dụng … Các thông tin này đều sẽ bị ghi lại trên Honeywall, và được các quản trị mạng sử dụng để phân tích kỹ thuật tấn công của Hacker; qua đó, đánh giá được mức độ an toàn của hệ thống, và có biện pháp kịp thời khắc phục các điểm yếu tồn tại trong hệ thống.

Hình 2.1: Mô hình kiến trúc honeynet

“mồi” dụ Hacker chú ý đến tấn công.

Dựa vào mức tương tác Honeypot được chia phân thành 2 loại khác nhau:

 Honeypot tương tác mức thấp: mô phỏng giả các dịch vụ, ứng dụng và hệ điều hành Mức độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ

 Honeypot tương tác mức cao: là các dịch vụ, ứng dụng và hệ điều hành thật Mức độ thông tin thu thập được cao, nhưng rủi ro cao, tốn thời gian để vận hành và bảo dưỡng

Honeypot như một mức bảo vệ firewall hơn là bảo vệ hệ thống mạng Ví dụ, nếu một firewall bảo vệ một mạng, thì Honeypots thường được đặt bên ngoài firewall Điều này cho phép các thủ phạm trên Internet nhận được quyền truy cập đầy đủ tới bất kỳ dịch vụ nào của Honeypots

Honeypot có sự khác nhau giữa Honeypot nghiên cứu và Honeypot sản phẩm Những Honeypot nghiên cứu dựa trên những thông tin tình báo đạt được về

kẻ tấn công cũng như phương pháp, kỹ thuật của Hacker Trong khi đó, những Honeypot sản phầm có mục đích là làm giảm những nguy hiểm cho nguồn lực IT của công ty và cung cấp những cảnh báo phát hiện cho các cuộc tấn công trên cơ sở

hạ tầng mạng, đồng thời đoán được và làm chệch hướng các cuộc tấn công khỏi hệ thống sản phẩm trong môi trường giám sát của Honeypot

Hệ thống tài nguyên thông tin có nghĩa là Honeypot có thể giả dạng bất cứ loại máy chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server…, được cài đặt chạy trên bất cứ Hệ điều hành nào như: Linux (Red hat, Fedora…), Unix (Solaris), Window (Window NT, Window 2000, WindowXP, Window 2003, Vista, …), … Honeypot sẽ trực tiếp tương tác với tin tặc và tìm

cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay cách thức tiến hành tấn thay vì bị tấn công.

 Ưu điểm của Honeypot:

Công cụ và chiến thuật mới: Honeypots được thiết kế để nắm bắt tất cả những gì được tương tác với nó, bao gồm các công cụ, chiến thuật không bao giờ thấy trước

− Dung lượng tối thiểu: một máy tính có dung lượng RAM 128MB vẫn có thể

sử dụng làm một Honeypot

− Thông tin thu nhập chi tiết, chính xác

− Công nghệ đơn giản, dễ cấu hình

 Nhược điểm của Honeypot:

− Hạn chế View: Honeypots chỉ có thể theo dõi là nắm bắt hoạt động trực tiếp tương tác với họ Honeypots sẽ không nắm bắt các cuộc tấn công chống lại các hệ thống khác, trừ khi kẻ tấn công hoặc đe dọa tương tác với các honeypots

− Có tính rủi ro cao

2.3.2 Honeywall

Honeywall là gateway ở giữa honeypot và mạng bên ngoài Nó hoạt động ở tầng 2 như là Bridged Các luồng dữ liệu khi vào và ra từ honeypot đều phải đi qua Honeywall Để kiểm soát các luồng dữ liệu này, cũng như thu thập các dấu hiệu tấn công, và ngăn chặn tấn công của các Hacker thì Honeywall sử dụng hai công cụ chính là:

− Một là IDS Snort gồm có các luật (Rule) định nghĩa các dấu hiệu tấn công,

và thực hiện hiện bắt các gói tin (Packet)

− Hai là Firewall Iptables gồm có các luật (Rule) định nghĩa sự cho phép (Allow) hoặc không cho phép (Deny) các truy cập từ bên ngoài vào hoặc bên trong

hệ thống ra, và kiểm soát các luồng dữ liệu qua Honeywall

2.4 Một số mô hình triển khai Honeynet trên thế giới

2.4.1 Mô hình triển khai Honeynet của Đại học Bắc Kinh – Trung Quốc

Mô hình triển khai gồm ba honeypot với các hệ điều hành khác nhau: Red Hat Linux9.0, Windows XP, Windows 2000 và các honeypot ảo được giả lập chương trình honeyd Và mô hình này, Honeywall gồm có 3 card mạng:

 Card thứ 1 được kết nối với 1 Router bên ngoài

 Card thứ 2 được kết nối với các Honeypot bên trong

 Card thứ 3 được kết nối an toàn với máy Console

Khi Hacker tấn công vào thì ba Honeypot và Honeypot ảo sẽ tương tác với Hacker, và tiến hành thu thập các thông tin của Hacker như: địa chỉ IP của máy Hacker sử dụng, các tool mà Hacker dùng, cách thức Hacker thâm nhập vào hệ

Hình 2.2: Mô hình triển khai Honeynet ở Bắc Kinh, Trung Quốc

thống, … Toàn bộ quá trình tấn công của Hacker sẽ được Honeywall ghi lại và đưa

ra các cảnh báo cho người dùng biết

2.4.2 Mô hình triển khai Honeynet ở Hy Lạp

Theo mô hình này, hệ thống Honeynet sử dụng một Honeywall, một honeypot với hệ điều hành Red Hat 9.0 (DNS Server) và bốn honeypot ảo giả lập bằng honeyd các hệ điều hành: MS Windows XP Pro SP1, Linux 2.4.20, Solaris 9

và Cisco 1601R IOS 12.1

Trong mô hình này, Honeywall cũng có ba card mạng, và sơ đồ triển khai cũng gần giống với mô hình triển khai của Đại học Bắc Kinh nhưng chỉ khác ở chỗ giữa máy Console (Remote Management and Analysis Network) và bốn máy Honeypot ảo có thêm một Firewall Firewall này sẽ đảm bảo bảo vệ an toàn cho máy Consle ngay cả khi Hacker kiểm soát được các Honeypot ảo này

Hình 2.3: Mô hình triển khai Honeynet ở Hy Lạp

2.4.3 Mô hình triển khai Honeynet ở Anh

Trong mô hình này, họ đã triển khai bốn Honeypot với các hệ điều hành: Red hat 7.3, Fedora Core 1, Sun Solaris 7, Sun Solaris 9 Mô hình này cũng gần giống với hai mô hình trên, chỉ khác nhau ở chỗ máy Console ngoài kết nối tới Honeywall thì còn kết nối với Router và được bảo vệ bằng một Firewall đứng giữa

Hình 2.4: Mô hình triển khai Honeynet ở Anh

2.5 Chức năng của Honeynet

− Điều khiển dữ liệu:

Khi Hacker sử dụng các mã độc (virus, trojan, spyware, worm,…) để thâm nhập vào hệ thống Honeynet, thì hai công cụ IDS Snort và Firewall Iptable ở trên Honeywall sẽ thực hiện kiểm soát các hoạt động của các loại mã độc này, cũng như các hành vi mà Hacker thực hiện trên hệ thống; đồng thời đưa ra các cảnh báo cho người quản lý hệ thống biết để kịp thời sử lý

Các luồng dữ liệu khi đi vào không bị hạn chế, nhưng khi đi ra ngoài thì sẽ

bị hạn chế Chính vì vậy, mà Hacker sẽ rất khó khăn, thậm trí nếu hệ thống Honeynet được cấu hình tốt thì Hacker sẽ không thể thu thập được đầy đủ thông tin

về hệ thống của ta, điều này cũng có nghĩa là Hacker sẽ không thể thâm nhập thành công vào hệ thống mạng

− Thu nhận dữ liệu:

Khi dữ liệu đi vào thì honeynet sẽ xem xét và ghi lại tất cả các hoạt động có tính phá hoại và sau đó sẽ phân tích các động cơ hoạt động của tin tặc Và chính công cụ IDS Snort trên Honeywall thực hiện chức năng này Dựa trên các luật (rule) định nghĩa dấu hiệu tấn công mà Snort sẽ cho rằng một hoạt động có được coi là hoạt động có tính phá hoại hay không, nếu phải nó sẽ thực hiện ghi lại log và đưa ra các cảnh báo Nhờ vậy, mà toàn bộ qúa trình tấn công của Hacker đều sẽ được ghi lại một cách chi tiết

− Phân tích dữ liệu:

Mục đích chính của honeynet chính là thu thập thông tin Khi đã có thông tin thì người dùng cần phải có khả năng để phân tích các thông tin này Để thực hiện tốt công việc này, đòi hỏi người phân tích phải có một kiến thức rất tốt về an ninh mạng, phải am hiểu về các kỹ thuật tấn công mạng Vì vậy, thông thường người thực hiện phân tích thường là các chuyên gia an ninh mạng

− Thu thập dữ liệu:

Trong tường hợp hệ thống triển khai nhiều Honeynet thì phải thu thập dữ liệu từ các honeynet về một nguồn tập trung Thường thì chỉ có các các tổ chức, trung tâm an ninh mạng lớn có quy mô toàn cầu thì họ mới triển khai nhiều

honeynet, đặc biệt là các Công ty cung cấp các sản phẩm diệt virus như: Trend Micro, Symantec, …

2.6 Vai trò và ý nghĩa của Honeynet

Honeynet giúp khám phá, thu thập các phương pháp - kỹ thuật tấn công của Hacker, các công cụ Hacker sử dụng, đặc biệt là các kỹ thuật tấn công mới, các mẫu virus- mã độc mới, … Nhờ đó có những phân tích, định hướng mục tiêu tấn công, thời điểm tấn công, kỹ thuật tấn công …, của Hacker Từ đó, kịp thời đưa ra các dự báo, cảnh báo sớm để mọi người phòng tránh

Honeynet là môi trường thử nghiệm có kiểm soát an toàn giúp sớm phát hiện

ra các lỗ hổng bảo mật tồn tại trên các sản phẩm công nghệ thông tin đã triển khai - cài đặt trên hệ thống thật Từ đó, sớm có biện pháp ứng phó -khắc phục kịp thời Đồng thời, Honeynet cũng giúp kiểm tra độ an toàn của hệ thống mạng, các dịch vụ mạng (Web, DNS, Mail,…), và kiểm tra độ an toàn - tin cậy - chất lượng của các sản phẩm thương mại công nghệ thông tin khác (đặc biệt là các hệ điều hành như: Unix, Linux, Window,…)

Thu thập các thông tin, dấu vết của Hacker (địa chỉ IP của máy Hacker sử dụng tấn công, vị trí địa lý của Hacker, thời gian Hacker tấn công …) Từ đó, giúp chuyên gia an ninh mạng truy tìm thủ phạm

2.7 Mô hình kiến trúc vật lý

2.7.1 Mô hình kiến trúc Honeynet thế hệ I

Mô hình Honeynet thế hệ I gồm một mạng riêng biệt được tạo ra đặt đằng sau một thiết bị điều khiển truy nhập mạng, thường là tường lửa (Firewall), và bất

kỳ luồng dữ liệu vào ra Honeynet đều phải đi qua tường lửa Honeynet được bố trí trên một mạng riêng biệt với vùng mạng sản xuất để giảm nguy cơ mất an toàn cho

hệ thống

Ở mô hình Honeynet thế hệ I này thì hệ thống tường lửa (Firewall) và hệ thống phát hiện xâm nhập (IDS) là hai hệ thống độc lập nhau Đây chính là sự khác biệt giữa Honeynet I với Honeynet II và Honeynet III Ở mô hình Honeynet II và III thì hai hệ thống Firewall và IDS được kết hợp thành một hệ thống Gateway duy nhất là Honeywall.

Trong hệ thống Honeynet, Firewall giữ vai trò kiếm soát các luồng dữ liệu ra vào hệ thống, nhằm chỉ cho Hacker tấn công vào Honeynet và ngăn chặn không cho Hacker tấn công vào vùng mạng sản xuất hay không cho Hacker biến Honeynet làm công cụ để tấn công các Hệ thống mạng bên ngoài Firewall thực hiện được nhiệm

vụ này là dựa vào các luật (Rule) định nghĩa sự cho phép (Allow) hoặc không cho phép (Deny) các truy cập từ bên ngoài vào hoặc bên trong hệ thống ra

Hình 2.5: Mô hình kiến trúc vật lý Honetnet thế hệ I

Bên cạnh Firewall, Honeynet còn bố trí hệ thống phát hiện xâm nhập Snort Snort có nhiệm vụ kịp thời phát hiện và ngăn chặn các kỹ thuật tấn công đã được biết, đã được định nghĩa trong tập luật (Rule) của Snort Snort thực hiện thanh tra nội dung các gói tin, và so sánh nội dung các gói tin này với tập luật Khi Snort phát hiện thấy các gói tin có nội dung gây nguy hiểm cho hệ thống mạng thì Snort

IDS-sẽ chặn các gói tin này lại để ngăn chặn tấn công của Hacker vào hệ thống và đưa ra cảnh báo cho người quản trị biết

2.7.2 Mô hình kiến trúc Honey thế hệ II, III

Honeynet thế hệ II được phát triển vào năm 2002 và Honeynet thế hệ III được đưa ra vào cuối năm 2004 Về cơ bản, Honeynet II và Honeynet III có cùng

Hình 2.6: Mô hình kiến trúc Honeyney thế hệ II, III

một kiến trúc Điểm khác biệt chính là Honeynet III cải tiến việc triển khai và quản lý.

Một thay đổi cơ bản trong kiến trúc của Honeynet II và Honeynet III

so với Honeynet I là sử dụng một thiết bị đơn lẻ điều khiển việc kiểm soát dữ liệu

và thu nhận dữ liệu được gọi là Honeywall

Honeywall là sự kết chức năng của hai hệ thống tường lửa Firewall và hệ thống phát hiện xâm nhập IDS của mô hình kiến trúc Honeynet I Nhờ vậy chúng ta

dễ dàng triển khai và quản lý hơn

Sự thay đổi trong Honeywall chủ yếu ở module kiểm soát dữ liệu

Honeywall làm việc ở tầng hai như là một thiết bị Bridge Nhờ sự thay đổi này mà Honeynet II, Honeynet III đã khiến cho kẻ tấn công khó phát hiện ra là chúng đang tương tác với Hệ thống “bẫy” Honeynet vì hai đầu card mạng của eth0 (kết nối với mạng bên ngoài Honeynet – phía hacker) và eth1 (kết nối với Honeynet) đều không

có địa chỉ mạng IP Vì vậy, Honeynet hoàn toàn “trong suốt” với Hacker

2.8 Mô hình kiến trúc logic của Honeynet.

Trong một hệ thống Honeynet bao gồm ba module chính:

Module điều khiển dữ liệu (hay kiểm soát dữ liệu): nhiệm vụ của Module này là kiểm soát dữ liệu vào – ra Hệ thống Honeynet, kiểm soát hoạt động của kẻ tấn công, ngăn chặn kẻ tấn công sử dụng hệ thống mạng Honeynet để tấn công hay gây tổn hại cho các hệ thống bên ngoài khác Để thực hiện được nhiệm vụ này, Honeynet đã sử dụng hai công cụ chính là Firewall Iptables và IDS-Snort

Module thu nhận dữ liệu: nhiệm vụ của Module này là thu thập thông tin, giám sát và ghi lại các hành vi của kẻ tấn công bên trong Hệ thống Honeynet Để thực hiện được nhiệm vụ này, Honeynet đã sử dụng công cụ Sebek client- server

Module phân tích dữ liệu: nhiệm vụ của Module này là hỗ trợ phân tích dữ liệu thu nhận được nhằm đưa ra: kỹ thuật, công cụ và mục đích tấn công của hacker

Điều khiển dữ liệu(Kiểm soát dữ liệu)

Hình 2.7: Mô hình kiến trúc logic của Honeynet

Thu nhận dữ liệu(Sebek client-server)

Chính sách(Iptables + Snort)

Lưu trữ

dữ liệu

Phân tích dữ liệu(Walley)

Kết quả phân tíchLuồng thông tin

Từ đó, giúp đưa ra các biện pháp phòng chống kịp thời Và các công cụ Walley, Hflow trong Honeynet sẽ thực hiện được nhiệm vụ này.

Quá trình hoạt động của hệ thống Honeynet

Đầu tiên, luồng dữ liệu đi vào sẽ được kiểm soát bởi chính sách luật của Firewall Iptables (Firewall Iptables gồm có các luật (Rule) định nghĩa sự cho phép (Allow) hoặc không cho phép (Deny) các truy cập từ bên ngoài đi vào hoặc bên trong hệ thống đi ra, và kiểm soát các luồng dữ liệu qua Honeywall) và chính sách luật của IDS-snort (hay còn gọi là IDS sensor: gồm có các luật (Rule) định nghĩa các dấu hiệu tấn công)

Tiếp theo, Module thu thập dữ liệu sẽ sử dụng công cụ Sebek client – server

để tiến hành thu thập thông tin Thông tin thu thập được sẽ được lưu vào trong Cơ

sở dữ liệu

Cuối cùng, nhờ sự hỗ trợ của các công cụ Walley, Hflow, Module phân tích

sẽ tiến hành thực hiện phân tích nội dung các thông tin thu thập được ở trong Cơ sở

dữ liệu Từ đó đưa ra kết quả phân tích cho thấy Honeynet có phải đang bị tấn công hay không? Nếu bị tấn công thì kiểu kỹ thuật tấn công (chẳng hạn như: DoS - DDoS, XSS, SQL Injection …) của kẻ tấn công là gì? Công cụ Hacker sử dụng là gì?

2.8.1 Module điều khiển dữ liệu

2.8.1.1 Vai trò và nhiệm vụ của module điều khiển

Nhiệm vụ của module điều khiển dữ liệu là ngăn chặn kẻ tấn công sử dụng

hệ thống mạng Honeynet để tấn công hay gây tổn hại cho các hệ thống bên ngoài khác

Khi một honeypot bên trong Honeynet bị hacker kiểm soát, chúng ta phải kiểm chế hoạt động và đảm bảo honeypot không bị sử dụng để gây tổn hại cho các

hệ thống khác

Kiểm soát dữ liệu làm giảm nhẹ nguy cơ đe dọa, nó kiểm soát hoạt động của

kẻ tấn công bằng việc giới hạn các luồng thông tin vào/ra trong hệ thống mạng

Nguy cơ đe dọa ở đây, đó là một khi kẻ tấn công gây tổn hại tới hệ thống bên trong Honeynet, chúng có thể sử dụng chính hệ thống Honeynet này để tấn công các

hệ thống khác bên ngoài hệ thống Honeynet Ví dụ một hệ thống nào đó trên

Internet Kẻ tấn công phải bị kiểm soát để nó không thể thực hiện điều đó Yêu cầu đặt ra là Module điều khiển dữ liệu phải hoạt động tốt sao cho kẻ tấn công chỉ thực hiện các tấn công vào hệ thống Honeynet mà không gây tổn hại tới các hệ thống khác ở bên ngoài.

Mô hình kiểm soát dữ liệu

Với mô hình kiểm soát dữ liệu này thì thông tin đi vào Honeynet không bị hạn chế nhưng thông tin ra đi ra thì lại bị hạn chế, bị kiểm soát chặt chẽ

2.8.1.2 Cơ chế kiểm soát dữ liệu

Việc kiểm soát dữ liệu được thực hiện ngay tại Gateway (Honeywall), và dựa trên hai cơ chế:

 Giới hạn số lượng kết nối ra bên ngoài

Cơ chế này cho phép bất kỳ kết nối nào đi vào nhưng lại giới hạn kiểm soát

số lượng kết nối ra bên ngoài và khi đạt tới giới hạn thì tất cả các kết nối ra bên ngoài về sau sẽ bị chặn lại Cơ chế này được thực hiện thông qua sử dụng Firewall IPtables, Firewall phải tính số lượng kết nối ra bên ngoài và khi đạt tới giới hạn nào

đó hệ thống sẽ chặn các kết nối vượt quá Nhờ vậy, mà giảm thiểu nguy cơ kẻ tấn công sử dụng hệ thống Honeynet làm công cụ để thực hiện tấn công vào các hệ thống bên ngoài khác (Bởi vì để thực hiện các hoạt động này đòi hỏi cần sử dụng nhiều kết nối từ trong hệ thống Honeynet ra bên ngoài)

Hình 2.8: Mô hình kiểm soát dữ liệu

Việc giới hạn được thiết lập bởi người quản trị, không có một quy tắc giới hạn cụ thể nào cố định cho Module điều khiển dữ liệu, người thiết kế hệ thống căn

cứ vào yêu cầu và mục đích của hệ thống để đưa ra các giới hạn phù hợp với tình hình thực tế Nếu tăng số lượng kết nối ra bên ngoài sẽ cho phép hoạt động tấn công của hacker diễn ra nhiều hơn từ đó chúng ta thu được nhiều thông tin có giá trị hơn song đồng thời cũng gây nhiều nguy hiểm hơn Còn nếu cho phép ít hoặc không cho kết nối ra bên ngoài, thì sẽ ít nguy cơ hơn song cách này gây ra sự nghi ngờ cho kẻ tấn công và có thể phát hiện ra chúng đang tương tác với hệ thống Honeynet Sau

đó, chúng có thể thực hiện các hành vi phá hoại như: xóa dữ liệu hay đưa vào các thông tin sai lệch nhằm phá vỡ các tính toàn vẹn, tính sẵn sàng của thông tin

Tóm lại, số lượng kết nối cho phép ra bên ngoài tùy thuộc vào cái mà chúng

ta cố gắng tìm hiểu và số lượng nguy cơ mà chúng ta chấp nhận đối mặt.Thông thường, hệ thống Honeynet cho phép từ 10 đến 20 kết nối ra bên ngoài trong 1 ngày Số lượng này đối với hacker là khá mềm dẻo giống như mở 1 kết nối ra bên ngoài để tải công cụ hay thực hiện IRC để truyền thông Song lại đủ số lượng để chặn hầu hết các tấn công ra bên ngoài như tấn công từ chối dịch vụ hay dò quét hệ thống

 Lọc gói tin độc hại - Packet Scrubbed

Cơ chế này có nhiệm vụ phát hiện ra những luồng dữ liệu gây nguy hiểm cho

hệ thống Cơ chế lọc gói tin độc hại thường được thực hiện bởi hệ thống ngăn chặn xâm nhập mức mạng NIPS (Network Intrustion Prevention Systems), cụ thể ở đây

là hệ thống IDS-Snort

Mục đích của NIPS là để phát hiện và ngăn chặn những tấn công đã biết được đinh nghĩa trong tập các luật (Rule) của NIPS NIPS thực hiện công việc này bằng phương pháp thanh tra mỗi gói tin khi nó đi qua gateway, nó thực hiện so sánh nội dung gói tin với cơ sở dữ liệu mẫu tấn công có sẵn (các Rule) nhằm phát hiện ra dấu hiệu tấn công

Khi phát hiện ra luồng dữ liệu tấn công, hệ thống sẽ thực hiện các biện pháp ngăn chặn tấn công thích hợp Trên thực tế, NIPS thực hiện ngăn chặn bằng việc thực hiện hai biện pháp sau:

− Thứ 1 là loại bỏ gói tin: thực hiện hủy bỏ gói tin chứa nội dung độc hại không cho đi ra bên ngoài (chặn cuộc tấn công) Biện pháp này thực hiện đơn giản song kém linh hoạt dễ gây nghi ngờ cho hacker.

− Thứ 2 là thay thế, sửa chữa gói tin: thay vì loại bỏ gói tin thì NIPS sẽ thực hiện thay thế nội dung bên trong gói tin khiến nó vô hại đối với hệ thống bên ngoài (vô hiệu hóa cuộc tấn công) NIPS sẽ thay đổi một vài byte bên trong đoạn mã khai thác, làm mất hiệu lực chức năng của nó và cho phép nó tiếp tục đi ra ngoài Hacker

sẽ thấy cuộc tấn công được phát động như ý muốn Biện pháp này cho phép chúng

ta giành được quyền kiểm soát hành vi của kẻ tin tặc tốt hơn đồng thời nó cũng hết sức linh hoạt khiến hacker khó phát hiện hơn

Tóm lại, Cơ chế lọc gói tin độc hại được thực hiện thông qua hệ thống ngăn chặn xâm nhập mức mạng NIPS, cụ thể ở đây là hệ thống IDS-Snort

2.8.2 Module thu nhận dữ liệu

2.8.2.1 Vai trò và nhiệm vụ của module thu nhận dữ liệu

Thu nhận dữ liệu nhằm khám phá ra kỹ thuật xâm nhập, tấn công, công cụ và mục đích của hacker Đồng thời phát hiện ra các lỗ hổng hệ thống Đóng vai trò vô cùng quan trọng trong Honeynet, không có module thu nhận dữ liệu thì Honeynet sẽ không thể thực hiện mục đích triển khai – xây dựng của mình, không có giá trị

Module thu nhận dữ liệu thực hiện giám sát và ghi lại các hành vi của kẻ tấn công bên trong Honeynet Những hành vi đó được tổ chức thành những dữ liệu cơ

sở và là cốt lõi của việc nghiên cứu và phân tích Để có nhiều dữ liệu thu nhận và để thu thập đầy đủ thông tin, chi tiết của các hành vi của kẻ tấn công thì cần phải có nhiều cơ chế thu nhận dữ liệu khác nhau

Module này sử dụng nhiều cơ chế khác nhau để thu nhận nhiều loại dữ liệu khác nhau Việc thu nhận dữ liệu có thể được thực hiện bằng nhiều phương thức như:

− Thu nhận dữ liệu từ tường lửa

− Thu nhận dữ liệu từ luồn dữ liệu mạng

− Thu nhận dữ liệu từ hoạt động của honeypot trong hệ thống

Để đảm bảo Honeynet hoạt động tốt thì yêu cầu đối với module thu nhận dữ liệu là: