Bản trình bày bằng tiếng Việt của chương trình đào tạo CEH v9 – Module 16. Module 16 của CEHv9 trình bày các vấn đề liên quan đến kỹ thuật lẫn tránh hệ thống IDS, vuợt qua tường lửa (Firewall), đánh lừa hệ thống Firewall và IDS
Module 16 Chống IDS, Firewall Và Honeypot Các Chủ Đề Chính Trong Chương Này Các Loại IDS Giới Thiệu Về Snort IDS Kỹ Thuật Tránh Bị IDS Dò Tìm Của Hacker Các Mô Hình Firewall HoneyPot – Hệ Thống Đánh Lừa Hacker Các Kỹ Thuật Phòng Tránh Fireall Và Honeypot IDS, Firewall Honeypot thành phần bảo vệ mạng, phòng chống dò tìm hacker hữu hiệu Cả IDS Firewall thiết bị lọc packet thiết yếu dùng để giám sát luồng liệu vào hay lưu chuyển hệ thống mạng dựa tập hợp quy tắt định nghĩa thích hợp Trong honeypit xây dựng với mục đích đánh lừa hacker với số lổ hỗng bảo mật tạo có chủ đích mời gọi hacker công Điều bảo vệ hệ thống thật mà lưu giữ chứng để lần dấu vết hacker, phát dạng công hay chí tổ chức bảo mật sử dụng honeypot để phát hệ thống botnet Vì vậy, tổ chức tội phạm mạng ngại hệ thống honeypot vậy, bọn chúng phát hệ thống tiến hành đợt công DoS/DDoS nhằm đánh sập “bẫy bảo mật” Tuy nhiên, nhiều thành phần bảo vệ mạng khác IDS, Firewall Honeypot cần thiết kế, đặt vị trí hợp lý đem đến hiệu Trong vai trò CEH cần hiểu rõ chế vận hành hệ thống rũi ro chúng Các Loại IDS - Hệ Thống Dò Tìm Xâm Phạm Trái Phép IDS viết tắt Instruction Detect System, hệ thống dò tìm hay phát hiệm xâm phạm trái phép Hệ thống tương tự chuông báo động tòa nhà dùng để cảnh báo có trộm xâm nhập IDS hoạt động dựa quy tắt liệu nhận dạng, hành động xảy khớp với liệu nhận dạng thi hành động tương ứng định nghĩa quy tắt thực thi Nói cách đơn giãn bạn triển khai hệ thống IDS, có hacer tiến hành scan port để dò tìm dịch vụ chạy hành động tương ứng với qyuy tắt scan port attack, hành động thích hợp gởi đến sysadmin để có hành động thích ứng, việc cảnh báo thực qua email, gọi thoại hay tin nhắn Cao cấp hơn, hệ thống cảnh báo có khả thực hành động ngăn ngừa thích hợp ví dụ cô lập địa IP phát động công, hay tạm đóng dịch vụ … IPS hay Instruction prevention system – hệ thống ngăn ngừa xâm nhập trái phép Như vậy, để IDS / IPS phát xâm nhập trái phép cần có sở liệu nhận dạng đúng, cần phải cập nhật đầy đủ liệu để IDS nhận biết hành động bất thường xảy Nhưng hệ thống cảnh báo đời thực, việc cảnh báo sai hạn chế hệ thống Có hai dạng IDS : Host-based IDS (HIDS) : Là ứng dụng cài đặt hệ thống hay máy trạm giám sát thông tin truyền thông dựa liệu nhận dạng cho riêng hệ thống hay máy tính cài đặt, khả giám sát cho hệ thống khác Một số HIDS thông dụng thị trường Norton Internet Security hay Cisco Security Agent (CSA) Lưu ý : Một số virus có khả vô hiệu hóa HIDS Network-based IDS (NIDS) : Có chức tương tự HIDS phạm vi hoạt động bao phủ lên toàn mạng tác dụng máy tính hay máy trạm riêng rẽ NIDS có khả dò tìm phát ra dạng công mà firewall không nhận biết Bao gồm tình huốn công vào dịch vụ bị khiếm khuyết bảo mật, công leo thang mức ưu tiên hay gọi leo thang đặc quyền, đăng nhập trái phép, truy cập vào khu vực liệu nhạy cảm hay phát mã độc lan truyền mạng Ví dụ hệ thống mạng bị lây nhiễm virus conflicker hệ thống NIDS Snort có khả nhận biết dựa liệu nhận dạng vrus gỏi báo động cho sysadmin, cần lưu ý Snort hoạt động NIDS hay HIDS Trong vai trò NIDS, hệ thống hoạt động passive sniffer (lắng nghe thụ động) chuyên lưu giữ phân tích liệu truyền so sánh với liệu nhận dạng để dò hành động gây ảnh hưởng đến an toàn thông tin khai thác, quét lỗi, dò cổng … sau lưu lại tập tin nhật kí gởi tín hiệu cảnh báo Giới Thiệu Về Snort IDS Snort (nguồn www.snort.org) phần mềm IDS mạnh mẽ có khả hoạt động hai chế độ HIDS hay NIDS Do phần mềm nguồn mở, miễn phí nên Snort ứng dụng nhiều hệ thống chương trình bình chọn hacker trng danh sách công cụ bảo mật hàng đầu Snort có chế độ họat dộng khác là: • Sniffer mode: chế độcnày snort lắng nghe đọc gói tin mạng sau trình bày kết giao diện hiển thị • Packet Logger mode : lưu trữ gói tin tập tin log • Network instruction detect system (NIDS) : chế dộ họat động mạnh mẽ áp dụng nhiều nhất, họat động NIDS mode Snort phân tích gói tin luân chuyển mạng so sánh với thông tin định nghĩa người dùng để từ có hành động tương ứng thông báo cho quản trị mạng xảy tình quét lỗi hacker /attacker tiến hành hay cảnh báo virus • Inline mode: triển khai snort linux cấu hình snort để phân tích gói tin từ iptables thay libpcap iptable drop pass gói tin theo snort rule Cơ Chế Hoạt Động Của Snort Snort dùng card mạng chế độ promocous mode để lưu giữ gói tin trước phân tích chúng tốt máy tính chạy Snort nên đặt colision domain hay máy chủ tập tung truyền thông mạng router hay gateway kết nối vào cổng SPAN Switch , bạn đặt Snort trước sau hệ thống firewall tùy yêu cầu bảo mật tổ chức Và hệ thống mạng có nhiều phân đọan mạng subnet (lớp mạng con) phải có máy chủ Snort cài đặt, không sản phẩm thương mại khác ngòai tính chi phí quyền cao thường đòi hỏi cấu hình phần cứng mạn, với Snort bạn có thể, cài đặt cấu hình x386 computer, nhiên ta cần có đĩa cứng có đủ không gian trống để lưu trữ packet bắt giữ, với công nghệ lưu trữ điều nầy vấn đề Snort họat động network sniffer lắng nghe lưu giữ packet mạng sau so sánh nội dung (payload) header chúng với tập qui tắc định nghĩa gọi Snort rule trùng khớp rule packet hành động rule tiến hành tùy theo định nghĩa Một điểm thuận lợi rule cập nhật nhanh chóng cộng đồng phát triển khả đáp ứng Snort trước dạng công đại cao Snort sử dụng ba thành phần sau để tiến hành công việc mình: • Packet decoder : phân tích gói tin, kể IP Header Data Payload • Detect engineer : dò tìm dâu hiệu khả nghi theo tập hợp quy tắc • Logging alert system : lưu giữ cảnh báo Ba thành phần dùng libcap để lưu giữ gói tin cài Snort hệ điều hành linux Còn ta cài hệ thống windows phải thay libcap winpcap Trong viết trình bày phương pháp cài đặt Snort hệ thống Windows XP Pro Chúng ta tải winpcap từ www.iltiloi.com Snort từ trang web www.Snort.org chọn cài Windows Để tham khảo thêm triển khai Snort hệ thống Windows bạn tham khảo demo … Kỹ Thuật Tránh Bị IDS Dò Tìm Của Hacker Bên cạnh việc nhận biết dấu hiệu khả nghi dựa liệu nhận dạng gọi signature IDS phát mối đe dọa dựa hành động bất thường gọi anomaly detection Những hệ thống phát theo chế anomaly detection vào mốc chuẩn mà hệ thống hoạt động ổn định hay đạt mức an toàn, có hành vi làm thay đổi tình trạng IDS đưa cảnh báo tương ứng Ví dụ thông thường CPU hoạt động mức 30 % hiệu suất tăng lên 90 % tình bất thường cần quan tâm đặc biệt, băng thông mạng bị tràn ngập bở gói tin có khả hệ thống bị đợt công từ chối dịch vụ Để tránh bị hệ thống IDS phát hacker kinh nghiệm thường thay đổi liệu truyển cho khung trùng khớp với liệu nhận dạng sử dụng giao thức khác UDP thay cho TCP hay HTTP thay cho ICMP để triển khai đợt công Ngoài ra, kẻ công chia gói tin thành nhiều gói tin nhỏ nhằm qua mặt IDS tổng hợp thành liệu gốc đích đến có khả gây nguy hiểm đến hệ thống Cơ chế gọi session splicing Một số kỹ thuât qua mặt IDS khác kể đến ví dụ chèn thêm liệu mở rộng, obfuscating liệu hay địa cách mã hóa, truyền thông không đồng hay chiếm quyền sở hữu session client Mô Hình Firewall Firewall hay tường lữa thiết bị phần cứng hay phần mềm có tác dụng hàng rào bảo vệ cho hệ thống mạng Firewall kiểm soát luồng liệu vào hệ thống mạng đưa hành động cho phép / từ chối (allow / deny) tập hợp quy tắt áp dụng cho luồng liệu Những thiết bị firewall phần cứng Checkpoint Firewall, Cisco ASA, CyberRoam …, firewall dạng phần mềm có IPCOP, ISA Server Firewall Khi triển khai firewall để bảo vệ hệ thống mạng cần lưu ý đến vị trí chúng Thông thường thành phần bảo vệ đặt vùng biên (perimeter) để bảo vệ ngăn cách lớp mạng bên với bên internet Vùng bên thường gọi vùng tin cậy trusted-zone, phía bên untrusted-zone hay mô tả màu tương ứng xanh đỏ Hình 16.1 - Kiến trúc firewall (bastion host) Một số ứng dụng quy định vùng DMZ (lấy từ thuật ngữ quân vùng phi quân sự) dùng để đặt máy chủ quan trọng tổ chức máy chủ mail, web, sở liệu Vùng gán mã màu cam tách biệt hoàn toàn với phí bên phí bên ngoài, ngăn chặn tương tác trực tiếp nhằm bảo vệ tối đa cho máy chủ quan trọng Hình 16.2 - Kiến trúc firewall (screened sunnet) với vùng DMZ Ngoài ra, mạng lớn hay dùng hai hệ thống firewall theo mô hình back-to-back tạo hệ thống bảo vệ hai lớp đem đến an toàn cao Hai firewall thường nhà cung cấp khác hoạt động tảng công nghệ khác với mục tiêu gia tăng trở ngại cho cố gắng truy cập trái phép Theo số khuyến nghị thi firewall lớp hay dùng hệ thống application firewall ISA Server Firewall để dễ dàng quản trị có khả tích hợp với hệ thống quản trị vùng Active Directory, firewall lớp nên ứng dụng thiết bị phần cứng với tính lọc gói tin mạnh mẽ nhằm nâng cao khả xử lý Hình 16.3 - Hệ thống back-to-back firewall hay multi-homed firewall DMZ hay Demilitarized Zone thuật ngữ vùng phí quân dùng để đặt máy chủ, ngăn chặn tương tác trực tiếp người dùng bên hệ thống người bên hệ thống Tất truy cập đến máy chủ đặt trongv ùng đề firewall kiểm soát chặt chẽ dựa quy tắt Các Loại Firewall Packet Fitering Firewall : Hoạt động tầng mạng mô hình OSI thường thành phần mở rộng thiết bị định tuyến Các packet filtering firewall có khả kiểm soát dựa địa IP nguồn đích số hiệu cổng nguồn đích luồng truyền thông Hình 16.4 - Packet Filtering Firewall Circuit Level Gateway Firewall : Hoạt động tầng Session mô hình OSI dùng để giám sát trình three-way handshake để xác định kết nối không hợp lệ Hình 16.5 - Minh hoạt Circuit Level Gateway Firewall Application Level Firewall : Hoạt động tầng ứng dụng, firewall cao cấp có khả kiểm soát liệu truyền data payload để phát virus, trojan Các máy khách vùng trusted-zone phải cấu hình sử dụng prozy để truy cập qua firewall dạng Application Hình 16.6 - Mô hình hoạt động application fireall Ngoài ra, firewall đại chứa chức ba loại firewall đảm nhiệm công việc tầng network, session application mô hình OSI Những hệ thống firewall kiểu gọi Stateful Multilayer Inspection Firewall hình minh họa Hình 16.7 - Mô hình Stateful Multilayer Inspection Firewall Ngoài khả bảo vệ hệ thống dựa việc kiểm soát liệu vào ra, kiểm tra địa IP nguồn / đích hay số hiệu cổng liên quan đến dịch vụ hệ thống firewall có khả phát dạng công scan port, banner grabing hay khả ẩn port để phòng tránh việc phát Khi có dấu hiệu khả nghi xảy firewall phát tính hiệu cảnh báo hay hành động thích hợp người quản trị thiết lập Tuy nhiên, đa số firewall cần phải tích hợp với thành phần mở rộng để quét virus, trojan cho liệu tải người dùng Ví dụ hệ thống mở rộng Webmonitor GFI dùng cho ISA Server Firewall HoneyPot – Hệ Thống Đánh Lừa Hacker Theo nghĩa đen honeypot hủ mật để bẫy côn trùng câu thành ngữ Việt Nam “ mật chết ruồi” môi trường an toàn thông tin honeyot gọi decoy server, máy chủ giả mạo với lổ hỗng bảo mật cố tình dựng lên nhằm đánh lừa hacker, họ công vào hệ thống bị dính bẫy có khả bị truy lùng hay lưu lại phương pháp công dùng để dò tìm trojan hay mạng botnet nguy hiểm hoạt động Nếu có nhiều máy tính giả dựng lên để đánh lừa hacker hệ thống gọi honeynet Có nhiều phần mềm dùng để xây dựng honeypot hay honeynet dịch vụ honeyd, phần mềm kfsensor bạn tự triển khai hệ thống hoenypot cài đặt máy chủ windows hay linux với dịch vụ mà hacker quan tâm ftp, web server bật chế độ cảnh báo, ghi nhật kí đầy đủ nhằm lưu lại dấu vết mà hacker để lại xâm nhập hệ thống Một nguyên tắt triển khai hệ thống giống hệ thống thật tốt, dễ đánh lừa kẻ công Trong trình tìm kiếm nguồn gốc công mạng botnet chuyên gia bảo mật thường dùng honeypot để tự lây nhiễm virus, torjan cài đặt chương trình giám sát nhằm theo dõi kết nối hay hành động bất thường đến website hay địa IP đó, từ lần thoe dấu vết khả nghi Đa số cá hacker bị phát theo cách thiếu kinh nghiệm hay chủ quan, họ thường sử dụng máy tính nhà để điều khiển náy tính nơi quen thuộc, trình công dùng biện pháp che dấu ẩn danh nên việc bị lộ chân tướng điều không tránh khỏi Vì có nhận xét thú vị hacker “Nếu bạn hacker giỏi người biết đến bạn Còn bạn hacker xuất sắc đến bạn! “ Hình 16.8 - Một honeypot đặt vùng DMZ Các Kỹ Thuật Phòng Tránh Fireall Và Honeypot “Võ quýt dày có móng tay nhọn”, ý nói hacker tìm kiếm cách thức vượt qua kiểm soát hệ thống phòng thủ dò tìm Một cách thức vượt qua kiểm soát firewall hiệu đứng từ vùng tin cậy trusted-zone để tiến hành công Ví dụ mô hình lab xây dựng hacker mũ trắng Mati Aharoni (thành viên sáng lập dự án BackTrack) ông ta trình diễn cách thức vượt qua hệ thống firewall back – to – back cách gởi email chứa trojan đến cho nhận viên kinh doanh doanh nghiệp để yêu cầu bảng báo giá dịch vụ Khi nhân viên mở thư bị nhiễm trojan trojan đứng từ bên mạng tải công cụ từ website bên hệ thống, máy tính mạng nội nên firewall cho phép truy cập Tiếp theo, công cụ tải tạo kết nối bao bọ gia thức khác để qua mặt firewall, vụ thể hacker muốn kiểm sao1t hình máy tình nhân viên kinh doanh thông qua cổng 3389 dịch vụ remote desktop, firewall không cho phép kết nối đến máy tính nhân viên qua cổng 3389 giải pháp đưa bọc giao thức sử dụng cổng 3389 giao thức firewall cho phép thường HTTP (80) hay SSH (22) Kỹ thuật gọi tunneling, phương pháp vượt firewall hiệu SSH Tunneling Trong vai trò quản trị hệ thống hay chuyên viên hỗ trợ kỹ thuật, cần kết nối từ máy tính văn phòng đến máy tính nhà chi nhánh để tiến hành thao tác xử lý cố họăc hổ trợ kỹ thuật thông qua chương trình VNC,Terminal Service hay RAdmin Tuy nhiên công ty sử dụng Firewall ISA, CheckPoint để bảo vệ hệ thống kiểm sóat luồng liệu vào cách chặt chẽ ta gặp trở ngại lớn Chúng ta (hoặc quyền) mở TCP Port 4899 (Radmin), hay 5900 (VNC) để thực kết nối Vậy làm cách để hòan thành công việc mà đảm bảo sách bảo mật công ty không bị thay đổi? Cho dù hệ thống bạn có Firewall bảo vệ TCP Port quan trọng 110 (pop3), 80 (http), 21 (ftp), 22 (ssh) thường mở để tiến hành công việc cần thiết duyệt web, e-mail đặc biệt TCP Port 22 dịch vụ SSH có chức mã hóa phiên truyền thường firewall ưu cho qua, dựa vào dịch vụ để tạo SSH Tuneling đáp ứng cho công việc Ta cần có ssh server cài máy xa (remote computer), ssh client máy điều khiển (local computer) chương trình remote control VNC, Terminal Services hay RAdmin Trong phần dùng chường trình thông dụng RAdmin (ngòai VNC phần mềm remote control miễn phí ưa thích, cách thực tương tự khác ta phải dùng TCP Port 5900 thay cho 4899) Cài SSH Server remote computer thông qua Cygwin Nếu máy tính cần điều khiển chạy hệ thống Linux bạn tải gói openSSH từ http://sourceforge.net (thông thường Redhat, FC hay Mandrake có sẳn openSSH đĩa source (ta cần vào Add/Remote Application chọn gói openSSH để cài đặt SSH Server Còn máy xa dùng hệ điều hành Windows bạn cài Tectia SSH Server hay phần mềm Freeware Win_OpenSSH (tải từ http://are-peace.com/v2/download.php ) Trong phần trình bày giải pháp cấu hình SSH Server dựa phần mềm tạo môi trường Linux Windows CYGWIN Cygwin phần mềm tuyệt vời tạo môi trường linux-like giúp bạn muốn nghiên cứu Linux ngại cài đặt dùng hệ thống Windows có Cygwin cài trực tiếp từ Internet dễ dàng, môi trường Linux túy giúp bạn nắm cấu trúc dòng lệnh Linux nhanh chóng Các thông tin tham khảo cài đặt cygwin xem http://cygwin.com 10 Hình 16.9 - Quá trình cài đặt từ http://cygwin.com Chọn Ftp site nhấn Next sau lựa gói openssh openssl khung Select Packages chương trình cài đặt, nhiên ta cài thêm gói khác muốn: Hình 16.10 – Chọn package để cài đặt 11 Hình vẽ gói openssh openssl Seclect Packages Hình 16.11 - Cài đặt cygwin với package chọn Khi trình cài đặt hòan tất ta nhấp vào biểu tượng cygwin Desktop để load shell cygwin, thực thi dòng lệnh ssh-host-config để cấu hình SSH Server hình đây: Hình 16.12 – Khởi tạo SSH Sau khởi động SSHD lệnh net start sshd thông qua giao diện dòng lệnh Windows (nhấn Start->Run->CMD ) 12 Hình 16.13 – Kiểm tra dịch vụ Vậy hòan tất trình cấu hình remote server phục vụ cho công việc (ở không trình bày phương pháp cài đặt VNC hay RAdmin) Cài Đặt Và Cấu Hình SSH Client Trên Local Computer Bằng Putty Một chương trình ssh client miễn phí xuất sắc Putty tải từ www.sectools.org Sau tải ta cần nhấn kép vào biểu tượng Putty để khởi động nhập vào tham số đây: Hình 16.14 – Giao diện Putty - Host Name (or IP address) 203.210.218.12 địa public remote server - Port 22 TCP Port SSH tầng vận chuyển Tiếp theo chọn mục Tunnels từ giao diện Putty để thiết lập SSH tunnel theo thông số hình bên (nhớ chọn nút Add để ghi tham số vào khung Forwarded ports ) 13 Hình 16.15 – Cấu hình SSH tunneling • Source port port chương trình remote control lắng nghe máy điều khiển (VNC dung port 5900, RAdmin: 4899) • Destination địa remote server port lắng nghe Bây ta tiến hành công việc remote control vượt qua firewall dựa ssh tunneling , nhấn Open để tạo kết nối ssh đến remote server đăng nhập với tài khỏan hợp lệ Sau trình đăng nhập hòan tất kiểm tra lại lệnh netstat –na thấy TCP Port 4899 máy xa map đến máy nội bộ: Hình 16.16 – Kết thực thi lệnh netstat Tạo kết nối Remote Control RA client : 14 Hình 16.17 – Kết nối đến máy chủ RA client Cuối cùng, mở RAdmin client kết nối đến TCP Port 4899 máy nội (IP 127.0.0.1 ), với tài khỏan hợp lệ tương tác với hình máy tính xa để tiến hành thao tác sửa chữa hay cài đặt thêm phần mềm mà không cần thay đổi policy firewall Hình 16.18 Hình 16.18 - Màn hình remote computer với public IP 203.210.218.12 Video minh họa : http://youtu.be/tEDlUCEP3-s Lưu ý : Giải pháp hacker sử dụng để tạo kết nối ngược internet, công cụ putty lúc ứng dụng dòng lệnh để hạn chế mặt dung lượng Tổng Kết Qua chương nắm hệ thống phòng thủ quan trọng firewall, honetpot hay IDS với chức chúng Mỗi hệ thống có đặc trưng riêng ứng dụng vào hệ thống cần có thiết kế hợp lý để việc triển khai mang lại hiệu cao Bên cạnh kỹ thuật mà hacker dùng để vượt 15 qua kiểm soát mà thi CEH thường đề cập tunnling, session splicing … 16