AN TOÀN BẢO MẬT THÔNG TIN Contents Câu 1: Anh Chị hãy nêu phương pháp tấn công kiểu Man intheMiddle và cách phòng chống. 2 Câu 2: Anh Chị hãy nêu phương pháp tấn công kiểu Man Google Hacking và cách phòng chống. 2 Câu 3: Anh Chị hãy nêu phương pháp tấn công kiểu Footprinting và cách phòng chống. 3 Câu 4: Anh Chị hãy nêu phương pháp tấn công SQL Injection và cách phòng chống. 4 Câu 5: Theo Anh Chị, để thực hiện thành công DDoS cần phải thỏa điều kiện gì? Đánh giá mức độ nguy hại, đề xuất các biện pháp ngăn chặn, phòng chống các hình thức tấn công DDoS. Cho ví dụ về 1 trường hợp tấn công DDoS ở Việt Nam mà các anh chị biết. 4 Câu 6: Anh Chị hãy trình bày khái niệm và chức năng hệ thống phát hiện xâm nhập trái phép IDS (Intrusion Detection System). 5 Câu 7: Anh Chị hãy trình bày khái niệm và phân loại hệ thống ngăn chặn xâm nhập trái phép IPS (Intrusion Prevention System) 7 Câu 8: Anh Chị hãy trình bày các khái niệm, kiến trúc và cơ chế hoạt động của tường lửa Firewall, IPSec, VPN,… 8 8.1 Firewall: 8 8.2 IPSEC 10 8.3 VPN 13
AN TOÀN BẢO MẬT THÔNG TIN Contents 1 • Câu 1: Anh/ Chị nêu phương pháp công kiểu Man- in-theMiddle cách phòng chống Man-in-the-Middle (MITM) hình thức công mà kẻ công (attacker) nằm vùng đường kết nối (mạng LAN) với vai trò máy trung gian việc trao đổi thông tin hai máy tính, hai thiết bị, hay máy tính server, nhằm nghe trộm, thông dịch liệu nhạy cảm, đánh cắp thông tin thay đổi luồng liệu trao đổi nạn nhân Có hai bước để thực công kiểu man-in-the-middle Đầu tiên, kẻ công phải xâm nhập vào hệ thống mạng Thứ hai, kẻ công phải giải mã liệu Xâm nhập vào hệ thống mạng Có bốn cách phổ biến mà kẻ xấu thường dùng để xâm nhập mạng: Giả điểm truy cập Wi-Fi Giả ARP Chiếm proxy /SSL Bump VPN giả Giải mã liệu Có vài cách sau để giải mã liệu liệu di chuyển hệ thống mạng Trong đó, ba cách sau thường gặp nhất: Tấn công chứng thực host SSLStrip Hạ cấp giao thức TLS Cách phòng chống: Bảo mật mạng LAN Cấu hình lại bảng ARP Cache Sử dụng phần mềm Câu 2: Anh/ Chị nêu phương pháp công kiểu ManGoogle Hacking cách phòng chống Google hacking phương pháp sử dụng hacker cố gắng tìm liệu nhạy cảm máy tìm kiếm (Search engines) Google Hacking Database(GHDB) sở liệu (CSDL) truy vấn định vị liệu nhạy cảm Bằng cách sử 2 • • • • • dụng số luật tìm kiếm Google, không điều ngăn chặn hacker thu thập liệu website bạn Google hacking thực công việc như: Sử dụng máy tìm kiếm để truy tìm thông tin đối tượng cần theo dõi Cũng máy tìm kiếm, với cú pháp tìm kiếm đặc biệt giúp hacker tìm thấy thông tin đặc biệt có liên quan đến bảo mật, username, computername, password, page logon… Sử dụng Google để thực vụ công, điều làm nào, hạ hồi phân giải Cách phòng chống: Xác minh tất trang truy vấn GH(sử dụng phần mềm Vulnerability Scanner) Sử dụng tập tin robots.txt, để loại bỏ tất trang mà chúng không cần tìm kiếm từ Google Nếu trang cần thiết bạn nên đặt luật cho chúng để không Google đánh mục để chúng không dễ dàng truy vấn từ GH Câu 3: Anh/ Chị nêu phương pháp công kiểu Footprinting cách phòng chống Footprinting hay in dấu ấn, nói dễ hiểu thám thính Để công mục tiêu đó, bước phải thu thập thông tin mục tiêu từ liệu mà đối tượng hay tổ chức công khai internet Các thông tin hữu ích cho hacker Các công cụ trực tuyến để thu thập thông tin thường dùng Whois, Domain Check… hay công cụ cài đặt máy tính DNS Walk, DNS Enum • • • Cách Phòng chống: Cấu hình router hay firewall không phản hồi chương trình dò tìm Ping cách chặn tín hiệu ICMP ECHO Request/Reply Tắt giao thức không dùng máy chủ web Kiểm soát cổng dịch vụ với nhũng quy tắt chặt chẽ firewall 3 • • • • • - Triển khai hệ thống IDS (dò tìm xâm nhập trái phép) để cảnh báo cho quản trị viên có hành động khả nghi xảy Kiểm soát thông tin cẩn thận trước công bố internet Tự thực footprinting hệ thống để phát thông tin nhạy cảm Ngăn ngừa ứng dụng tìm kiếm lưu cache trang web Tắt chức duyệt thư mục, tách domain nội với domain dùng cho mục đích công cộng Câu 4: Anh/ Chị nêu phương pháp công SQL Injection cách phòng chống Phương pháp công dạng SQL Injection: Phương pháp công dạng SQL injection kĩ thuật công lợi dụng lỗ hổng việc kiểm tra liệu nhập ứng dụng web thông báo lỗi hệ quản trị sở liệu để "tiêm vào" (injection) thi hành câu lệnh SQL bất hợp pháp Có bốn dạng thông thường bao gồm: Vượt qua kiểm tra lúc đăng nhập (authorization bypass) Sử dụng câu lện SELECT Sử dụng câu lệnh INSERT Sử dụng Stored-procedures Cách phòng chống kiểu công SQL Injection: Cần có chế kiểm soát chặt chẽ giới hạn quyền xử lí liệu đến tài khoản người dùng mà ứng dụng web sử dụng Các ứng dụng thông thường nên tránh dùng đến quyền dbo hay sa Quyền bị hạn chế, thiệt hại Loại bỏ thông tin kĩ thuật chứa thông điệp chuyển xuống cho người dùng ứng dụng có lỗi Các thông báo lỗi thông thường tiết lộ chi tiết kĩ thuật cho phép kẻ công biết điểm yếu hệ thống Câu 5: Theo Anh/ Chị, để thực thành công DDoS cần phải thỏa điều kiện gì? Đánh giá mức độ nguy hại, đề xuất biện pháp ngăn chặn, phòng chống hình thức công DDoS Cho 4 - ví dụ trường hợp công DDoS Việt Nam mà anh chị biết Điều kiện để thực thành công DDoS ? SYN Flood Attack Ping Flood Attack (Ping of Death) Teardrop Attack Peer-to-Peer Attacks Mức độ nguy hại công từ chối dịch vụ lan tràn DDoS Tê liệt dịch vụ giao dịch với hệ thống Thiệt hại thời gian, tài đơn vị Một số biện pháp ngăn chặn, phòng chống hình thức công DDoS cho ví dụ công DDoS Việt Nam mà Anh/ Chị biết ? Khi phát máy chủ bị công nhanh chóng truy tìm địa IP cấm không cho gửi liệu đến máy chủ Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm lượng lưu thông mạng tải máy chủ Sử dụng tính cho phép đặt rate limit router/firewall để hạn chế số lượng packet vào hệ thống Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi cho hệ thống thay Dùng số chế, công cụ, phần mềm để chống lại TCP SYN Flooding Tắt dịch vụ khác có máy chủ để giảm tải đáp ứng tốt Nếu nâng cấp thiết bị phần cứng để nâng cao khả đáp ứng hệ thống hay sử dụng thêm máy chủ tính khác để phân chia tải Tạm thời chuyển máy chủ sang địa khác Câu 6: Anh/ Chị trình bày khái niệm chức hệ thống phát xâm nhập trái phép IDS (Intrusion Detection System) Khái niệm IDS: IDS (Intrusion Detection System- hệ thống phát xâm nhập) hệ thống phần cứng phần mềm có chức 5 - - giám sát, phân tích lưu lượng mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị IDS phân biệt công vào hệ thống từ bên (từ người dùng nội bộ) hay công từ bên (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus), hay dựa so sánh lưu lượng mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu bất thường Chức IDS: Chức quan trọng là: Giám sát – Cảnh báo – Bảo vệ: Giám sát: thực giám sát lưu lượng mạng hoạt động khả nghi Cảnh báo: báo cáo tình trạng mạng cho hệ thống nhà quản trị Bảo vệ: sử dụng thiết lập mặc định cấu hình từ nhà quản trị để có hành động tương ứng phù hợp chống lại kẻ xâm nhập phá hoại Chức mở rộng: IDS cần có khả phân biệt công từ bên công từ bên Ngoài ra, IDS có khả phát dấu hiệu bất thường dựa biết nhờ vào so sánh lưu lượng mạng với baseline 6 Câu 7: Anh/ Chị trình bày khái niệm phân loại hệ thống ngăn chặn xâm nhập trái phép IPS (Intrusion Prevention System) Khái niệm IPS: Hệ thống IPS (Intrusion Prevention System) kỹ thuật an ninh mới, kết hợp ưu điểm kỹ thuật firewall với hệ thống phát xâm nhập IDS, có khả phát xâm nhập, công tự động ngăn chặn công IPS không đơn giản dò công, chúng có khả ngăn chặn cản trở công Chúng cho phép tổ chức ưu tiên, thực bước để ngăn chặn lại xâm nhập Phần lớn hệ thống IPS đặt vành đai mạng, dủ khả bảo vệ tất thiết bị mạng Phân loại hệ thống IPS: -IPS luồng(Promiscuous Mode IPS) Hệ thống IPS luồng không can thiệp trực tiếp vào luồng liệu Luồng liệu vào hệ thống mạng qua tường lửa IPS IPS kiểm soát luồng liệu vào, phân tích phát dấu hiệu xâm nhập, công Với vị trí này, IPS quản lý tường lửa, dẫn chặn lại hành động 7 nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông mạng -IPS luồng (In-line IPS) Vị trí IPS nằm trước tường lửa, luồng liệu phải qua IPS trước tới tường lửa Điểm khác so với IPS luồng có thêm chức nǎng chặn lưu thông (traffic-blocking) Điều làm cho IPS ngǎn chặn luồng giao thông nguy hiểm nhanh so với IPS luồng (Promiscuous Mode IPS) Tuy nhiên, vị trí làm cho tốc độ luồng thông tin vào mạng chậm Với mục tiêu ngăn chặn công, hệ thống IPS phải hoạt động theo thời gian thực Tốc độ họat động hệ thống yếu tố quan trọng Qua trình phát xâm nhập phải đủ nhanh để ngăn chặn công Nếu không đáp ứng điều công thực xong hệ thống IPS vô nghĩa Câu 8: Anh/ Chị trình bày khái niệm, kiến trúc chế hoạt động tường lửa Firewall, IPSec, VPN,… 8.1 Firewall: − Firewall kỹ thuật tích hợp vào hệ thống mạng để chống truy cập trái phép nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập vào hệ thống nhằm mục đích phá hoại, gây tổn thất cho tổ chức, doanh nghiệp Cũng hiểu firewall chế để bảo vệ mạng tin tưởng (trusted network) khỏi mạng không tin tưởng (untrusted network) − Các thành phần Cơ chế hoạt động: • Bộ lọc packet Firewall hoạt động chặt chẽ với giao thức TCP/IP, giao thức hoạt động theo thuật toán chia nhỏ liệu nhận từ ứng dụng mạng, hay nói xác dịch vụ chạy giao thức (Telnet, SMTP,DNS,SMNP,NFS…) thành gói liệu (data packets) gán cho packet địa 8 • nhận dạng, tái lập lại đích cần gửi đến, loại Firewall liên quan nhiều đến packet số địa chúng Bộ lọc packet cho phép hay từ chối packet mà nhận Nó kiểm tra toàn đoạn liệu để định xem đoạn liệu có thỏa mãn số luật lệ lọc packet hay không Các luật lệ lọc packet dựa thông tin đầu packet (header), dùng phép truyền packet mạng Bao gồm: • Địa IP nơi xuất phát (Source) • Địa IP nơi nhận ( Destination) • Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …) • Cổng TCP/UDP nơi xuất phát • Cổng TCP/UDP nơi nhận • Dạng thông báo ICMP • Giao diện packet đến • Giao diện packet Nếu packet thỏa luật lệ thiết lập trước Firewall packet chuyển qua, không thỏa bị loại bỏ Việc kiểm soát cổng làm cho Firewall có khả cho phép số loại kết nối định phép vào hệ thống mạng cục Cổng ứng dụng: Đây loại Tường lửa thiết kế để tăng cường chức kiểm soát loại dịch vụ, giao thức cho phép truy cập vào hệ thống mạng Cơ chế hoạt động dựa cách thức gọi Proxy service Proxy service mã đặc biệt cài đặt gateway cho ứng dụng Nếu người quản trị mạng không cài đặt proxy code cho ứng dụng đó, dịch vụ tương ứng không cung cấp chuyển thông tin qua firewall Ngoài ra, proxy code định cấu hình để hỗ trợ số đặc điểm ứng dụng mà người quản trị mạng cho chấp nhận từ 9 • − chối đặc điểm khác Cổng vòng: Cổng vòng chức đặc biệt cổng ứng dụng Cổng vòng đơn giản chuyển tiếp kết nối TCP mà không thực hành động xử lý hay lọc packet Kiến trúc: Trong đó: – Screening Router: chặng kiểm soát cho LAN – DMZ: vùng có nguy bị công từ internet – Gateway Host: cổng vào mạng LAN DMZ, kiểm soát liên lạc, thực thi chế bảo mật – IF1 (Interface 1): card giao tiếp với vùng DMZ – IF2 (Interface 2): card giao tiếp với vùng mạng LAN – FTP Gateway: Kiểm soát truy cập FTP LAN vùng FTP từ mạng LAN internet tự Các truy cập FTP vào LAN đòi hỏi xác thực thông qua Authentication server – Telnet gateway: Kiểm soát truy cập telnet tương tự FTP, người dùng telnet tự do, telnet từ vào yêu cầu phải xác thực thông qua Authentication server 10 10 – Authentication server: nơi xác thực quyền truy cập dùng kỹ thuật xác thực mạnh one-time password/token (mật sử dụng lần) 8.2 IPSEC − Khái niệm: IP Security (IPSec) giao thức chuẩn hoá IETF từ năm 1998 nhằm mục đích nâng cấp chế mã hoá xác thực thông tin cho chuỗi thông tin truyền mạng giao thức IP Hay nói cách khác, IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo tính toàn vẹn liệu chứng thực liệu thiết bị mạng − Cơ chế: • Transport mode cung cấp chế bảo vệ cho liệu lớp cao (TCP, UDP ICMP) Trong Transport mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng trên, hình mô tả bên dưới, AH ESP đặt sau IP header nguyên thủy Vì có tải (IP payload) mã hóa IP header ban đầu giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPSec Chế độ transport có thuận lợi thêm vào vài bytes cho packets cho phép thiết bị mạng thấy địa đích cuối gói Khả cho phép tác vụ xử lý đặc biệt mạng trung gian dựa thông tin IP header Tuy nhiên thông tin Layer bị mã hóa, làm giới hạn khả kiểm tra gói • Tunnel mode bảo vệ toàn gói liệu Toàn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP.Toàn gói IP ban đầu bị đóng gói AH ESP IP header bao bọc xung quanh gói liệu Toàn gói IP mã hóa trở thành liệu gói IP Chế độ cho phép thiết bị mạng, chẳng hạn router, hoạt động IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa packets chuyển chúng dọc theo tunnel Router đích giải mã gói IP ban đầu chuyển 11 11 − hệ thống cuối Vì header có địa nguồn gateway - Với tunnel hoạt động hai security gateway, địa nguồn đích mã hóa Tunnel mode dùng hai đầu kết nối IPSec security gateway địa đích thật phía sau gateway hỗ trợ IPSec Kiến trúc: Kiến trúc IPSec (RFC 2401): Quy định cấu trúc, khái niệm yêu cầu IPSec - Giao thức ESP (RFC 2406): Mô tả giao thức ESP, giao thức mật mã xác thực thông tin IPSec - Giao thức AH (RFC 2402): Định nghĩa giao thức khác với chức gần giống ESP Như triển khai IPSec, người sử dụng chọn dùng ESP AH, giao thức có ưu nhược điểm riêng - Thuật toán mật mã: Định nghĩa thuật toán mã hoá giải mã sử dụng IPSec IPSec chủ yếu dựa vào thuật toán mã hoá đối xứng - Thuật toán xác thực: Định nghĩa thuật toán xác thực thông tin sử dụng AH ESP - Quản lý khoá (RFC 2408): Mô tả chế quản lý trao đổi khoá IPSec - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec IPSec công nghệ riêng biệt mà tổ hợp nhiều chế, giao thức kỹ thuật khác nhau, giao thức, chế có nhiều chế độ hoạt động khác Việc xác định tập chế độ cần thiết để triển khai IPSec tình cụ thể chức miền thực thi Xét mặt ứng dụng, IPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP nguyên thuỷ chưa có, mã hoá xác thực gói liệu Một cách khái quát xem IPSec tổ hợp gồm hai thành phần: 12 12 -Giao thức đóng gói, gồm AH ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange) 8.3 − − − • VPN Khái niệm: Mạng riêng ảo VPN định nghĩa kết nối mạng triển khai sở hạ tầng mạng công cộng (như mạng Internet) với sách quản lý bảo mật giống mạng cục Cơ chế: Thực ra, cách thức làm việc VPN đơn giản, không khác so với mô hình server – client thông thường Server chịu trách nhiệm việc lưu trữ chia sẻ liệu sau mã hóa, giám sát cung cấp hệ thống gateway để giao tiếp xác nhận tài khoản client khâu kết nối, client VPN, tương tự client hệ thống LAN, tiến hành gửi yêu cầu – request tới server để nhận thông tin liệu chia sẻ, khởi tạo kết nối tới client khác hệ thống VPN xử lý trình bảo mật liệu qua ứng dụng cung cấp Kiến trúc: Đường hầm: Các kết nối thiết lập nhu cầu tổ chức 13 13 • Một nối tạo site cần thiết Việc tạo đường hầm kết nối đặc biệt điểm cuối Việc tạo đường hầm tạo kết nối đặc biệt dòng liệu thông tin người dùng Các dịch vụ bảo mật phần riêng VPN bao gồm Xác thực Điều khiển truy cập Tin cậy Tính toàn vẹn liệu Việc xác thực người dùng tính toàn vẹn liệu phụ thuộc vào tiến trình mã hóa 14 14 ... lọc packet dựa thông tin đầu packet (header), dùng phép truyền packet mạng Bao gồm: • Địa IP nơi xuất phát (Source) • Địa IP nơi nhận ( Destination) • Những thủ tục truyền tin (TCP, UDP, ICMP,... quản trị viên có hành động khả nghi xảy Kiểm soát thông tin cẩn thận trước công bố internet Tự thực footprinting hệ thống để phát thông tin nhạy cảm Ngăn ngừa ứng dụng tìm kiếm lưu cache trang... thông tin nội hạn chế xâm nhập vào hệ thống nhằm mục đích phá hoại, gây tổn thất cho tổ chức, doanh nghiệp Cũng hiểu firewall chế để bảo vệ mạng tin tưởng (trusted network) khỏi mạng không tin