Nghiên cứu giải pháp đánh giá tính an toàn của một hệ thống website

Website đóng vai trò là một văn phòng hay một cửa hàng trên mạng Internet – nơi giới thiệu thông tin về doanh nghiệp, sản phẩm hoặc dịch vụ do doanh nghiệp cung cấp… Có thể coi website c

Trang 1

MỤC LỤC

LỜI CAM ĐOAN 4

LỜI CẢM ƠN 5

DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT 6

DANH MỤC CÁC BẢNG 7

DANH MỤC CÁC HÌNH VẼ 8

Chương 1 – MỞ ĐẦU 9

1 Lý do chọn đề tài 9

2 Mục tiêu của đề tài 9

3 Cách tiếp cận 10

4 Bố cục luận văn 10

Chương 2 – AN TOÀN THÔNG TIN WEBSITEVÀ CHUẨN ĐÁNH GIÁ OWASP 12

1 Tổng quan về an toàn thông tin website 12

1.1 Tổng quan về ứng dụng web 12 1.2 An toàn thông tin cho ứng dụng web 16 2 Chuẩn đánh giá website OWASP 17 2.1 Tổng quan 17 2.1.1 Giới thiệu về OWASP 17

2.1.2 OWASP Top 10 18

2.2 Quy trình đánh giá website theo OWASP 20

2.2.1 Thu thập và khảo sát thông tin 21

2.2.2 Kiểm tra quản lý cấu hình 22

2.2.3 Kiểm tra business logic 23

2.2.4 Kiểm tra cơ chế xác thực 23

2.2.5 Kiểm tra quản lý phiên giao dịch 24

2.2.6 Kiểm tra quản lý uỷ quyền 25

Trang 2

2.2.7 Kiểm tra các dữ liệu đầu vào 26

2.2.8 Kiểm tra khả năng tấn công từ chối dịch vụ 27

2.2.9 Kiểm tra web services 28

2.2.10 Kiểm tra AJAX 29

Chương 3 – ĐỀ XUẤT GIẢI PHÁP ĐÁNH GIÁ AN TOÀN HỆ THỐNG WEBSITE 30

1 Các tiêu chí kiểm tra đánh giá an toàn 30

1.1 Tiêu chí kiểm tra đánh giá an toàn cho hạ tầng mạng 30

1.2 Tiêu chí kiểm tra đánh giá an toàn dịch vụ phân giải tên miền 38

1.3 Tiêu chí kiểm tra đánh giá an toàn cho hệ thống cổng thông tin điện tử 43

1.4 Tiêu chí kiểm tra đánh giá an toàn cho hệ thống sao lưu dự phòng 52

2 Quy trình khảo sát, đánh giá hệ thống 54

2.1 Khảo sát hệ thống mạng, thiết bị bảo mật, máy chủ DNSvà hệ thống máy chủ Web 54

2.2 Kiểm tra công tác sao lưu dữ liệu dự phòng 55

2.3 Kiểm tra và đánh giá an toàn cho hệ thống mạng và máy chủ DNS 55

2.4 Kiểm tra và đánh giá thiết bị bảo mật IDS/IPS 56

2.5 Tổng hợp kết quả để lập báo cáo khảo sát 57

2.6 Kiểm tra đánh giá cấu hình và lỗ hổng hệ điều hành của các máy chủ dịch vụ 57

2.7 Kiểm tra đánh giá các ứng dụng liên quan đến hệ thống website 58

2.8 Kiểm tra, đánh giá chính sách triển khai, quản lý hệ thống máy chủ Website 58

2.9 Kiểm tra và đánh giá an ninh bảo mật ứng dụng Website 58

2.10 Phân tích, rà soát kết quả kiểm tra để lập báo cáo chi tiết 61

Chương 4 – ÁP DỤNG GIẢI PHÁP VÀO WEBSITE THỰC TẾ 62

1 Tóm tắt công việc 62

2 Đối tượng, phạm vi và phương pháp 63

2.1 Đối tượng và phạm vi 63

Trang 3

2.2 Phương pháp thực hiện 63

3 Kết quả khảo sát, đánh giá 63

3.1 Hạ tầng mạng 63

3.2 Máy chủ và vận hành 68

3.3 Dịch vụ, ứng dụng 74

3.4 Công tác sao lưu dữ liệu dự phòng 87

Chương 5 – KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 88

TÀI LIỆU THAM KHẢO 89

Trang 4

LỜI CAM ĐOAN

Tôi xin cam đoan đề tài nghiên cứu của tôi hoàn toàn do tôi tự làm dưới sự hướng d n của TS.Phạm Huy Hoàng.Những kết quả tìm hiểu và nghiên cứu trình bày trong luận văn là hoàn toàn trung thực và chưa từng được công bố trong bất cứ công trình nào

Nếu xảy ra bất cứ điều không đúng như những lời cam đoan trên, tôi xin chịu hoàn toàn trách nhiệm trước Viện và Nhà trường

Ngày 13 tháng 11 năm 2015

Tác giả luận văn

Dương Nữ Hoàng Oanh

Trang 5

LỜI CẢM ƠN

Lời đầu tiên, em xin chân thành cảm ơn Trường Đại học Bách Khoa Hà Nội, viện Công nghệ Thông tin – Truyền thông, chuyên ngành Kỹ thuật Máy tính và toàn thể các thầy cô đã ân cần dạy dỗ, chỉ bảo, định hướng nghiên cứu cho em trong suốt thời gian vừa qua, truyền đạt cho chúng em những kiến thức quý báu

Em xin chân thành cảm ơn TS.Phạm Huy Hoàng đã dành nhiều tâm huyết,

kinh nghiệm của thầy để chỉ d n, định hướng nghiên cứu cũng như luôn luôn góp ý cho em để hoàn thành đề tài luận văn này

Cuối cùng em cũng xin gửi lời cảm ơn tới gia đình, những người đã luôn động viên và tạo mọi điều kiện tốt cho em học tập và nghiên cứu thật tốt.Và gửi lời cảm ơn tới những người bạn đã giúp đỡ em trong quá trình học tập cũng như hoàn thành đề tài luận văn

Em xin chân thành cảm ơn!

Trang 6

DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT

miền

LOAD

BALANCER Thiết bị cân bằng tải

IDS/IPS Thiết bị phát hiện/ngăn chặn xâm nhập trái phép

DMZ Demilitarized Zone – Vùng mạng vành đai, nơi đặt

máy chủ cung cấp dịch vụ ra ngoài Internet

SERVERFARM Vùng mạng riêng biệt, nơi đặt máy chủ cơ sở dữ

liệu

VULNERABILITY Là điểm yếu có thể bị khai thác bởi một hoặc nhiều

nguy cơ OWASP Open-source Web Application Security Project –

Dự án mở về bảo mật ứng dụng website

Trang 7

DANH MỤC CÁC BẢNG

Bảng 3.1 Tiêu chí đánh giá an toàn cho hạ tầng mạng 38 Bảng 3.2 Tiêu chí đánh giá an toàn cho dịch vụ Internal DNS 40 Bảng 3.3 Tiêu chí đánh giá an toàn cho dịch vụ External DNS 43

Bảng 3.4 Tiêu chí đánh giá an toàn cho hệ thống cổng thông tin

điện tử

52

Bảng 3.5 Tiêu chí đánh giá an toàn cho hệ thống sao lưu dự phòng 53

Trang 8

DANH MỤC CÁC HÌNH VẼ

Trang 9

Hiện nay, có rất nhiều công cụ kỹ thuật được phát triển nhằm mục đích dò quét các lỗ hổng tồn tại trên hệ thống, tuy nhiên đều là những công cụ đơn lẻ, đơn thuần về mặt kỹ thuật, với những ưu nhược điểm riêng Mỗi công cụ thường chỉ có chức năng dò quét một số lỗ hổng nhất định thuộc một phần hệ thống, chưa có công

cụ nào cung cấp cái nhìn bao quát, toàn diện, triệt để về tình trạng an toàn cho hệ thống website mình đang quản lý

Với mong muốn có một giải pháp hoàn chỉnh trong việc đánh giá mức độ an toàn của một hệ thống website để áp dụng vào hệ thống website của cơ quan, nơi

học viên đang làm việc, học viên đã lựa chọn đề tài “Giải pháp đánh giá an toàn thông tin hệ thống website” làm luận văn tốt nghiệp của mình

2 Mục tiêu của đề tài

Nhiệm vụ của đề tài này là xây dựng một giải pháp toàn diện để đánh giá mức

độ an toàn của một hệ thống website Giải pháp đó bao gồm 2 thành phần:

(1) Một bộ tiêu chí đánh giá về mức độ an toàn của từng phần riêng lẻ trong hệ thống;

(2) Một quy trình với các bước là sự kết hợp các công cụ kỹ thuật riêng lẻ, để tạo ra một bộ công cụ có hiệu quả tối ưu

Các nội dung đánh giá tổng thể bao gồm các thành phần sau:

- An toàn hạ tầngmạng liên quan đến hệ thống website (router, switch, firewall, IPS/IDS…)

- Máy chủ: DNS Server (phục vụ Web), Web Server…

- Ứng dụng web

Trang 10

đó đưa ra được báo cáo tổng quan về tình hình an ninh của một hệ thống website

Các nội dung sẽ thực hiện trong đề tài:

- Nghiên cứu tổng quan về dự án bảo mật ứng dụng web OWASP

- Tìm hiểu, cài đặt, thử nghiệm các công cụ đánh giá an toàn website

- Xây dựng bộ tiêu chí đánh giá an toàn website

- Xây dựng quy trình đánh giá an toàn website theo các tiêu chí đã đặt ra

- Thử nghiệm giải pháp bằng cách áp dụng với một hệ thống website thực tế

4 Bố cục luận văn

Bố cục luận văn được chia thành 5 chương như sau:

Chương 1: Mở đầu: Mô tả chi tiết về mục tiêu, nhiệm vụ đề tài và cách tiếp cận

Chương 2: An toàn thông tin website và chuẩn đánh giá OWASP: Nghiên cứu cơ sở

lý thuyết về an toàn thông tin website, tiêu chuẩn và quy trình đánh giá website OWASP

Chương 3: Đề xuất giải pháp đánh giá an toàn hệ thống website: Đề xuất giải

pháp đánh giá an toàn hệ thống website, bao gồm 2 thành phần: (1) Một bộ tiêu chí đánh giá về mức độ an toàn của từng phần riêng lẻ trong hệ thống và (2) Một quy trình với các bước là sự kết hợp các công cụ kỹ thuật riêng lẻ, để tạo ra một bộ công

cụ có hiệu quả tối ưu

Trang 11

Chương 4: Áp dụng giải pháp vào website thực tế: Áp dụng thử nghiệm giải pháp

đã đề xuất vào việc đánh giá an toàn cho hệ thống website thực tế, đưa ra báo cáo tổng hợp

về tình hình an ninh website đó

Chương 5: Kết luận và hướng phát triển: Đưa ra kết luận, tự nhận xét các ưu

điểm và hạn chế, định hướng phát triển và áp dụng vào thực tế

Trang 12

Chương 2 – AN TOÀN THÔNG TIN WEBSITEVÀ CHUẨN ĐÁNH GIÁ

OWASP

1 Tổng quan về an toàn thông tin website

1.1 Tổng quan về ứng dụng web

Định nghĩa: Website là một tập hợp các trang web (web pages) bao gồm văn

bản, hình ảnh, video, flash v.v… thường chỉ nằm trong một tên miền (domain name) hoặc tên miền phụ (subdomain) Trang web được lưu trữ (web hosting) trên máy chủ web (web server) có thể truy cập thông qua Internet Website đóng vai trò

là một văn phòng hay một cửa hàng trên mạng Internet – nơi giới thiệu thông tin về doanh nghiệp, sản phẩm hoặc dịch vụ do doanh nghiệp cung cấp… Có thể coi website chính là bộ mặt của doanh nghiệp, là nơi để đón tiếp và giao dịch với các khách hàng, đối tác trên Internet

Các thành phần trong một hệ thống website

- Lớp trình diễn: là một máy chủ phục vụ Web

- Giao tiếp trực tiếp với web client

- Chịu trách nhiệm trình diễn và thu thập đầu vào từ người dùng cuối

- Luôn luôn đối diện với các nguy cơ bị tấn công

- Máy chủ phục vụ web thông dụng: IIS, Apache…

- Lớp ứng dụng: là nơi các kịch bản ứng dụng web thực thi

- Sử dụng ngôn ngữ lập trình (PHP, ASP.NET, Java…) nhận dữ liệu đệ trình của người sử dụng từ lớp trình diễn kết hợp với nguồn dữ liệu đầu cuối để thực thi ứng dụng web

- Máy chủ ứng dụng thông dụng: IBM Websphere, WebLogic, Tomcat, NET Framework…

- Lớp cơ sở dữ liệu: là nơi lưu trữ dữ liệu ứng dụng web

- Chịu trách nhiệm lưu trữ và thao tác với dữ liệu ứng dụng web

- Các hệ quản trị cơ sở dữ liệu thông dụng: MySQL, SQL Server, Oracle…

Các mô hình website

Trang 13

Hình 2.1 – Các mô hình website

Mô hình 2 lớp

- Kết hợp lớp trình diễn và ứng dụng trên một máy chủ

- Thiết kế đơn giản và đầy đủ cho các ứng dụng web nhỏ

- Khả năng mở rộng hạn chế và triển khai biện pháp bảo mật khó khăc hơn những mô hình khác

- Nếu một lớp bị thỏa hiệp thì kẻ tấn công cũng phải cần bẻ gãy nhiều lớp nữa mới có thể thỏa hiệp đƣợc toàn bộ hệ thống

Mô hình N lớp

- Hình thành các nhóm dịch vụ để gia tăng khả năng chịu tải cũng nhƣ dự phòng

Trang 14

- Nhiều lớp sẽ cung cấp lớp bảo mật, tuy nhiên nó cũng kèm theo sự phức tạp khi triển khai và bảo trì

- Có một hệ cơ sở dữ liệu để tương tác

- Dữ liệu có thể được lưu trữ ở một máy chủ khác, hoặc sử dụng ứng dụng khác

- Loại này để lại nhiều vấn đề về bảo mật, tốt cho việc khai thác

Application Servers: Ứng dụng chạy trên một server application

- Ví dụ như các máy chủ IBM WebSphere, BEA Weblogic, Jboss, và Lotus Domino…

- Application server thường được cài đặt sau các proxy server hoặc front-end web server

Proxy Servers:

- Có tên gọi khác là “reverser proxy” để phân biệt với các proxy được sử dụng bởi client

- Các request đều qua proxy

- Có thể có cả proxy inbound và outbound

- Proxy cung cấp khả năng cache

HTTP Protocol

Khái niệm: Giao thức truyền tải Siêu văn bản World Wide Web đuợc xây

dựng dựa vào nền của Internet và sử dụng giao thức TCP/IP để truyền tải thông tin giữa các Web Client và Web server HTTP là giao thức client/server dùng cho

Trang 15

World Wide Web Nó cung cấp cách để Web Browser truy xuất Web server và yêu cầu các văn bản hypermedia được tạo bởi HTML

Hoạt động của giao thức

Hình 2.2 – Hoạt động của giao thức HTTP

- Định dạng dữ liệu trao đổi đơn giản giữa máy chủ và máy khách

- Máy khách gửi yêu cầu đến máy chủ, máy chủ đáp trả yêu cầu và kết thúc

- Phiên bản HTTP hiện tại 1.1

- Một số phương thức tiêu biểu trong HTTP: PUT, GET, POST, HEAD…

 Client Certificate Authentication

 Intergrated Windows Authentication

Trang 16

 Form based Authentication

Trạng thái trong giao thức HTTP

- HTTP là một giao thức phi trạng thái – client gửi yêu cầu và máy chủ web đáp ứng  kết thức

- Do vậy ứng dụng phải khởi tạo một phương thức nhóm một loạt các yêu cầu lại với nhau trong một phiên làm việc

- Ứng dụng phải khởi tạo cơ chế theo dõi phiên làm việc

- Server side code phải nhận biết được mỗi yêu cầu là một phần của cùng một phiên làm việc

- Đa số các ngôn ngữ lập trình ứng dụng web hỗ trợ sessions

- Người phát triển ứng dụng cũng có thể xây dựng riêng cơ chế quản lý phiên cho ứng dụng

- Phương thức phổ biến được sử dụng để theo dõi trạng thái

1 Client kết nối đến server

2 Server yêu cầu phải kết nối SSL

3 Client và server trao đổi crypto keys

4 Phiên giao dịch an toàn được bắt đầu

- SSL/TLS không đảm bảo việc bảo mật

1.2 An toàn thông tin cho ứng dụng web

Theo tiêu chuẩn ISO27002:2005: “Thông tin là một dạng tài sản, cũng như các tài sản quan trọng khác, có giá trị trong tổ chức và cần phải bảo vệ thích hợp”

Trang 17

Theo Nghị định 64/2007/NĐ-CP của Chính phủ: An toàn thông tin là “Bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ

tự nhiên hoặc do con người gây ra” An toàn an ninh cho hệ thống thông tin không chỉ là giải pháp kỹ thuật Cần phải có hành lang pháp lý để đảm bảo cho an toàn an ninh hệ thống thông tin.Thông tin trao đổi, lưu trữ phải đảm bảo:Tính bí mật; Tính toàn vẹn; Tính sẵn sàng; Tính xác thực; Tính chống từ chối

Hiện nay, các hình thức website bị tấn công gồm có:

- Khai thác lỗ hổng của những phần mềm có trên web server

- Tấn công DDOS

- Khai tác dữ liệu từ backend thông qua một số kiểu tấn công injection như SQL Injection(SQLi), Light Directory Acess – Protocol(LDAP), Cross site sripting(XSS)

- Thay đổi(deface) giao diện website

- Dùng web server đã bị tấn công để phát tán malware

2 Chuẩn đánh giá website OWASP

2.1 Tổng quan

2.1.1 Giới thiệu về OWASP

OWASP ra đời năm 2001, đây là một tổ chức phi lợi nhuận, cộng đồng mở, mục tiêu chính của tổ chức là cải tiến an ninh các phần mềm ứng dụng, đặc biệt là ứng dụng web Tổ chức này cũng xây dựng nhiều công cụ khác nhau cho việc đánh giá và đều là mã nguồn mở, miễn phí OWASP ủng hộ phương pháp tiếp cận an ninh ứng dụng theo con người, quy trình và công nghệ vì đây là những nhân tố tạo

ra phần mềm, những nhân tố trên có hành vi an toàn thì phần mềm an toàn Theo OWASP, các ứng dụng web trên mạng hầu hết phải tiếp xúc với bên ngoài, nên nó

sẽ là đối tượng đầu tiên chịu các cuộc tấn công phá hoại và sửa đổi trái phép Vì vậy, đây sẽ là cánh cổng cho kẻ tấn công xâm nhập vào lớp ứng dụng trước khi thực hiện các bước tiếp theo xâm nhập vào hệ thống Vì lỗ hổng an ninh này rất phổ biến, một số phương pháp đánh giá đã được giới thiệu nhằm đánh giá sự trầm trọng

Trang 18

của các rủi ro an ninh cơ bản của ứng dụng web Một nỗ lực được thực hiện bởi cộng đồng mở OWASP là xây dựng khung làm việc đánh giá an toàn ứng dụng web

và thúc đẩy dự án OWASP top 10 nhằm nâng cao nhận thức an ninh ứng dụng của các tổ chức

2.1.2 OWASP Top 10

OWASP TOP 10: trình bày 10 rủi ro an ninh phổ biến nhất của ứng dụng web một cách ngắn gọn, xúc tích và rõ ràng

Mục tiêu chính của OWASP Top 10 là để hướng d n người lập trình, người thiết

kế, kỹ sư và quản lí và cả tổ chức về hậu quả của những điểm yếu quan trọng nhất trong ứng dụng web Top 10 cung cấp những kỹ năng cơ bản để bảo vệ khỏi những mối nguy hại này và hướng d n người dùng tìm hiểu rõ hơn về cách khắc phục Theo OWASP TOP 10 2013 thứ tự của các rủi ro trong website sẽ được sắp xếp theo thứ tự sau:

 A1: Lỗi nhúng mã – Injection: Xảy ra trong các ứng dụng như SQL, LDAP khi những dữ liệu không xác thực được gửi tới hệ thống biên dịch như một phần của mã lệnh Những dữ liệu này của kẻ tấn công có thể đánh lừa hệ thống biên dịch thực hiện những mã lệnh độc hại hoặc giúp kẻ tấn công xâm nhập đến những dữ liệu quan trọng

 A2: Hư hỏng cơ chế chứng thực và quản lý phiên làm việc - Broken Authentication and Session Management: Những đoạn chương trình kiểm tra danh tính và quản lý phiên làm việc của người sử dụng thường hay được làm qua loa không đúng cách Điều này giúp kẻ thâm nhập có thể ăn cắp mật mã, khóa, mã của các phiên làm việc (session token) hoặc tận dụng những lỗi khác để giả mạo danh tính các người dùng khác

 A3: Thực thi mã Script xấu (XSS) - Cross-Site Scripting : Xảy ra khi một ứng dụng tiếp nhận những dữ liệu không đáng tin cậy và gửi chúng đến cho trình duyệt web mà không qua xử lý và kiểm duyệt XSS cho phép kẻ tấn công thực hiện mã độc trên trình duyệt của người bị tấn công và lợi dụng

Trang 19

ăncắp phiên truy cập để mạo danh hoặc hủy hoại trang web hoặc lừa người

sử dụng đến những trang web chứa mã độc khác

 A4: Đối tượng tham chiếu thiếu an toàn - Insecure Direct Object References: Xảy ra khi người phát triển để lộ một tham chiếu đến những đối tượng trong

hệ thống như các tập tin, thư mục hay chìa khóa dữ liệu Nếu chúng ta không

có một hệ thống kiểm tra truy cập, kẻ tấn công có thể lợi dụng những tham chiếu này để truy cập dữ liệu một cách trái phép

 A5: Sai sót trong cấu hình an ninh - Security Misconfiguration: Một cơ chế

an ninh tốt cần phải định nghĩa những hiệu chỉnh về an ninh và triển khai nó cho các ứng dụng, khuôn m u, máy chủ ứng dụng, máy chủ web, máy chủ

dữ liệu và các ứng dụng nền tảng Tất cả các thiết lập nên được định nghĩa, thực hiện và bảo trì bởi rất nhiều thứ không được triển khai với thiết lập an toàn mặc định Các hiệu chỉnh cũng bao gồm cập nhật phần mềm và những thư viện được sử dụng bởi ứng dụng

 A6: Để lộ những dữ liệu nhạy cảm - Sensitive Data Exposure: Kẻ tấn công

có thể ăn cắp hoặc sửa đổi dữ liệu được bảo vệ một cách yếu ớt để thực hiện hành vi trộm cắp danh tính, gian lận thẻ tín dụng và các tội khác Vì vậy, những dữ liệu nhạy cảm cần phải được bảo vệ thêm như mã hóa ở phần còn lại và và vận chuyển

 A7: Thiếu chức năng cho điều khiển truy cập - Missing Function Level Access Control: Hầu hết tất cả các ứng dụng web đểu kiểm tra quyền truy cập cấp độ chức năng trước khi thực hiện chức năng mà có thể nhìn thấy trong giao diện người dùng Tuy nhiên, các ứng dụng cần phải thực hiện kiểm tra kiểm soat truy cập trên máy chủ mà mỗi thành phần chức năng được phép truy cập Nếu yêu cầu không được xác nhận, thì kẻ tấn công có thể giả mạo yêu cầu để truy cập chức năng trái phép

 A8: Sai sót hạn chế truy cập - Cross – Site Request Forgery: Nhiều ứng dụng web kiểm tra quyền thực thi địa chỉ truy cập (URL) trước khi dựng các liên kết và nút nhấn được bảo vệ Tuy nhiên, ứng dụng cũng phải thực hiện

Trang 20

những công việc tương tự mỗikhi những trang thông tin được truy cập trực tiếp nếu không kẻ tấn công có thể giả mạo URL để truy cập vào những trang thông tin ẩn này

 A9: Lợi dụng lỗ hổng biết trước - Using Components with Know Vulnerabilities: Những dữ liệu dễ bị tấn công như các thư viện, các framework, các mô-đun phần mềm đã chạy ổn định và được cấp quyền đẩy

đủ Vì vậy, nếu như bị tấn công khai thác thì hacker có thể gây mất dữ liệu nghiêm trọng hoặc máy chủ có thể bị chiếm giữ Các ứng dụng sử dụng những thành phần dễ bị tấn công có thể khiến cho độ bảo mật suy yếu và có thể cho phép một loạt các cuộc tấn công và tác động vào

 A10: Chuyển hướng và chuyển tiếp thiếu thẩm tra - Unvalidated Redirects and Forwards: Ứng dụng web thường xuyên đưa người dùng đến những liên kết qua các website khác, và sử dụng những thông tin thiếu tin cậy để xác định đích đến

2.2 Quy trình đánh giá website theo OWASP

Quy trình kiểm thử của OWASP được tiến hành tuần tự theo các bước nhằm thu thập được tối đa thông tin và khai thác thành công được đối tượng Gồm có:

1 Thu thập và khảo sát thông tin

2 Kiểm tra quản lý cấu hình

3 Kiểm tra business logic

4 Kiểm tra cơ chế xác thực

5 Kiểm tra việc ủy quyền

6 Kiểm tra quản lý phiên giao dịch

7 Kiểm tra các dữ liệu đầu vào

8 Kiểm tra khả năng tấn công từ chối dịch vụ

9 Kiểm tra web services

10 Kiểm tra AJAX

Hình dưới đây mô tả đầy đủ về quy trình kiểm thử của OWASP

Trang 21

Hình 2.3 – Quy trình kiểm thử của OWASP 2.2.1 Thu thập và khảo sát thông tin

Phân tích thu thập Spiders, Robots và Crawlers

Ở bước này, tập trung vào việc đánh giá khả năng của các web Spider, Robots, Crawlers thông qua việc tìm kiếm file robots.txt Trong đó tập trung vào việc phân tích 2 tham số: User-agent và Disallow

Nhận diện website

Để đánh giá một đối tượng trong kiểm thử xâm nhập việc nhận diện website

là hết sức quan trọng.Biết được tên và phiên bản các thông tin của máy chủ web/ứng dụng web cho phép chuyên gia tìm ra được lỗ hổng của các phiên bản phần mềm web chạy trên đối tượng Những công cụ hỗ trợ đắc lực cho việc nhận diện webserver là httprint, Acunetix Đích đến cuối cùng của việc này là nhận diện Web Server sử dụng Apache hay ISS hay Tomcat

Dò tìm thông tin ứng dụng

Trang 22

Dò tìm thông tin ứng dụng là tác vụ đi sâu hơn nữa của sau việc nhận diện website, nhằm tìm chi tiết các thông tin về ứng dụng như phiên bản, cấu hình, các trang đặc biệt, các trangquản trị (admin), cookie, framework

Thu thập tài nguyên ứng dụng

Quá trình thu thập tài nguyên ứng dụng bằng cách sử dụng các công cụ tìm kiếm, tài nguyên công cộng như Google, Bing, Yahoo có thể giúp ích tìm ra kết cấu của ứng dụng cũng như các trang báo lỗi

Phân tích trang báo lỗi

Các thông tin trong trang báo lỗi có thể cho phép chuyên gia đánh giá biết được công nghệ và thành phần(module) được ứng dụng sử dụng Bằng cách thêm vào các tham số ng u nhiên để gửi đến trang web nhằm tìm ra những báo lỗi trả về

có chứa những thông tin nhạy cảm giúp ích cho quá trình kiểm thử xâm nhập

Ngoài ra, việc thu thập thông tin chủ động thông qua hình thức trực tiếp cũng nhằm mang lại những mục tiêu như hình thức thông tin bị động

2.2.2 Kiểm tra quản lý cấu hình

Kiểm tra giao thức SSL/TLS

Như đã biết HTTPS là giao thức được truyền dưới dạng clear-text và để đảm bảo an toàn cho truyền dữ liệu qua HTTP thì người ta sử dụng SSL/TLS SSL và TLS là hai giao thức cung cấp sự hỗ trợ tạo ra các kênh truyền dữ liệu an toàn để bảo vệ tính bảo mật và xác thực của thông tin được truyền đi

Ngày nay các website đã phần nào áp dụng SSL/TLS nhằm đảm bảo an toàn cho website của mình Nhưng ngoài những việc kiểm tra SSL/TLS mục đích là kiểm tra hệ thống đã sử dụng các thuật toán mã hóa đủ mạnh, đúng chuẩn để bảo đảm an toàn chưa mà còn phải kiểm tra vị trí của SSL/TLS trong mô hình OSI bởi SSL/TLS còn phải hoạt động khớp với các giao thức trên nó Bởi khai thác lỗ hổng này thì kẻ tấn công có thể chèn thêm một đoạn plaintext bất kỳ vào TLS/SSL encrypted stream giữa client và server mà cả client và server đều không thể phát hiện được Vì vậy cần phải kiểm tra độ tin cậy của giao thức SSL/TLS

Dò tìm cơ sở dữ liệu

Trang 23

Sử dụng các công cụ kiểm tra và các thông tin thu thập được từ các bước khảo sát trước, xác định cơ sở dữ liệu của website, không những thế những thông tin về phiên bản loại cơ sở dữ liệu, cổng lắng nghe còn giúp chuyên gia kiểm thử xâm nhập phát hiện được lỗ hổng nào có thể khai thác tương ứng cơ sở dữ liệu hiện dùng

Phân tích cách thức ứng dụng xử lý dạng tập tin

Đuôi của các tập tin trên máy chủ Web cho phép chuyên gia đánh giá nhận dạng được công nghệ trang Web sử dụng.Ví dụ đuôi jsp và asp cho phép chuyên gia đánh giá biết được ứng dụng Web dựa trên nền tảng Sun Java hoặc Microsoft

Tìm các tập tin lưu trữ không được tham chiếu

Các tập tin thừa, tập tin lưu trữ, tập tin không được tham chiếu là nguồn thông tin quan trọng cho chuyên gia đánh giá Những tập tin này có thểvô tình chứa những thông tin nhạy cảm như nguồn của ứng dụng, đường d n ứng dụng cũng như các thông tin nhạy cảm như mật khẩu của cơ sở dữ liệu

Kiểm tra phương thức HTTP và XST

Trong quá trình hoạt động giao thức HTTP có sử dụng nhiều phương phức

để hỗ trợ việc truyền dữ liệu từ webserver đến client hay ngược lại, upload, xoá bỏ cập nhật trạng thái như: HEAD, GET, POST, PUT, DELETE, TRACE, OPTIONS, CONNECT Việc kiểm tra xem web server có hỗ trợ 2 phương thức là TRACE và HEAD hay không? Nếu có, cần kiểm tra xem có khả năng bị tấn công XST hay không Các phương thúc HTTP có thể gây nguy hiểm như:PUT, DELETE, CONNECT, TRACE

Bằng cách sử dụng một số công cụ như netcat, nexpose tiến hành gửi đến máy chủ web các request theo các phương thức trên để kiểm tra khả năng mắc lỗi

2.2.3 Kiểm tra business logic

Business logic bao gồm:

 Các luật tác vụ trên ứng dụng Web cho người dùng;

 Các luồng tác vụ (Workflows), luân chuyển dữ liệu

2.2.4 Kiểm tra cơ chế xác thực

Trang 24

Kiểm tra cơ chế xác thực dựa trên các phân tích cơ chế hoạt động của thành phần đăng nhập (module log-on) trong ứng dụng Web để tìm ra các điểm yếu

Kiểm tra phương thức truyền dữ liệu

Kiểm tra xem việc xác minh dữ liệu xác thực của người sử dụng có được mã hoá hay không để tránh bị các tấn công chặn bắt dữ liệu bằng cách sử dụng giao thức HTTPS, SSL/TLS

Kiểm tra việc thu thập thông tin người dùng

Kiểm tra việc tìm kiếm thông tin về các người dùng trong hệ thống

Kiểm tra các tài khoản mặc định và dễ đoán

Trong quá trình thiết kế, những dịch vụ, tài khoản không sử dụng nhưng không bị disable sẽ gây mất an toàn cho hệ thống

 Gửi yêu cầu kết nối trực tiếp (Direct pagerequesthayforced browsing)

 Sửa đổi thông số Parameter (Parameter Modification)

 Đoán ID của phiên (Session ID Prediction )

 Tấn công SQL Injection

Kiểm tra cơ chế nhớ mật khẩu và tạo lại mật khẩu

Thực hiện kiểm tra cơ chế ứng dụng quản lý quy trình “quên mật khẩu”.Ngoài ra, cũng kiểm tra cơ chế nhớ mật khẩu trên trình duyệt

Kiểm tra cơ chế đăng xuất

Thực hiện kiểm tra việc đăng xuất và quản lý bộ nhớ đệm (cache) để đảm bảo hai cơ chế trên không làm thất thoát thông tin nhạy cảm

2.2.5 Kiểm tra quản lý phiên giao dịch

Quá trình kiểm tra gồm:

Trang 25

 Cookie có được tag là Secure hay không?

 Cookie được truyền qua một kênh mã hóa

 Cookie có expire time không?

 Các tham số HTTP/1.1 Cache-Control và HTTP/1.0 Cache-Control

 Đối với các trang quản trị người dùng yêu cầu No Cache

 Kiểm tra quá trình tạo cookie, lưu ý đến quá trình sinh cookie có phải là sinh ng u nhiên hay không (hạn chế đoán cookie)

 Kiểm tra khả năng giãi mã ngược cookie

Phân tích cơ chế quản lý phiên giao dịch

Trong bước này, thực hiện xem xét các vấn đề:

 Cookie được truyền qua kênh an toàn (ví dụ như HTTPS)

 Có sử dụng HTTPOnly hay không

 Tên miền (domain) sử dụng có phải tên miền con (sub-domain) hay không Nếu là tên miền con, cóliên quan gì đến cookie của tên miền chính hay không

 Path: Quy định đường d n mà URL có tác dụng

 Expires: Thời gian mà cookie có hiệu lực

Phân tích cơ chế quản lý token

Ở bước này, tập trung vào kiểm tra:

 Giao thức (protocol) được sử dụng (HTTP hay HTTPS)

 HTTP Headers

 Message Body

Kiểm tra CSRF

2.2.6 Kiểm tra quản lý uỷ quyền

Kiểm tra lỗi Path traversal

Hình thức kiểm tra này không cần sử dụng một công cụ nào mà chỉ đơn thuần thao tác các biến với / (dot-dot-slash) để truy cập đến file, thư mục, bao gồm

Trang 26

cả source code, những file hệ thống.Tiến hành kiểm tra lại bằng cách sử dụng các thư viện của một số công cụ như Path Traversal Fuzz Strings, Appscan, Metasploit

Kiểm tra leo thang đặc quyền

Quá trình kiểm tra gồm các bước:

 Kiểm tra role/privilege manipulation: Trong các thành phần ứng dụng, có phần cho phép người dùng tạo sửa xóa cơ sở dữ liệu (như profile, đơn hàng…)

 Quá trình thao tác chủ yếu với HTTP request, bằng cách chính sửa yêu cầu của người dùng

2.2.7 Kiểm tra các dữ liệu đầu vào

Từ kết quả của quá trình điều tra ứng dụng, bước tiếp theo cho quá trình kiểm thử xâm nhập là việc quan sát các điểm nhập liệu đối với ứng dụng Các điểm nhập dữ liệu thường là các tham số trên URL, các trường nhập liệu trong phần body, các trường cookie

Kiểm tra lỗi XSS

Thử nghiệm nhúng các đoạn mã (scrip) vào các form nhập liệu và các dữ liệu đầu vào trên trình duyệt để tìm ra lỗi XSS Việc kiểm tra có thể sử dụng các công cụ chuyên biệt hoặc bằng tay chèn các chuỗi script vào đối tượng:

Kiểm tra lỗi SQL injection

Để kiểm tra lỗi SQL Injection, thực hiện tìm ra các tham số, đầu vào mà ứng dụng Web truy vấn đến cơ sở dữ liệu.Từ đó nhúng những câu lệnh thích hợp vào các tham số đó để truy vấn đến cơ sở dữ liệu, và xem nó có khả năng thực thi được hay không

Kiểm tra lỗi LDAP injection

Nếu ứng dụng có lỗi LDAP injection, sẽ thu được toàn bộ thông tin về người dùng Tuy nhiên điều này còn phụ thuộc vào quyền của tài khoản dùng để kết nối

đến LDAP server.Có thể sử dụng các dấu '(', '|', '&', '*' để bắt lỗi

Kiểm tra lỗi XML injection

Trang 27

Để kiểm tra XML injection, sử dụng các ký tự injection thông thường của XML vào các biến số („), <>, <![CDATA[ / ]]>,… trong các query

Kiểm tra lỗi Xpath injection

Để kiểm tra lỗ hổng XPath injection tương tự như SQL injection, sẽ thêm dấu (') để tạo ra truy vấn sai, rồi kiểm tra những thông tin thu được từ thông báo lỗi (error message)

Kiểm tra lỗi IMAP/SMTP injection

Một số kiểu tấn công thường thấy là:

 Khai thác các lỗ hổng của giao thức IMAP/SMTP

 Lộ thông tin (Information leaks)

 Relay/SPAM

Kiểm tra lỗi command injection

Tìm những URL có thể chứa các tham số cho phép thực thi lệnh như $cmd=,

$command= từ đó kẻ tấn công có thể thực thi được những mã ảnh hưởng đến an toàn hệ thống

Kiểm tra lỗi tràn bộ đệm

Thực hiện kiểm tra lần lượt từng loại lỗ hổng tràn bộ đệm (buffer overflow) khác nhau, bao gồm:

 Heap overflow

 Stack overflow

Kiểm tra lỗ hổng tiềm tàng

Các bước kiểm tra được thực hiện thử nghiệm trong một vài dạng như sau:

 Cốgắng tải một tệp tin có chứa mã độcnguy hiểm đến người dùng để lấy thông tin của người dùng

 Thực hiện tấn công qua XSS

 Thực hiện tấn công qua SQL/XPathInjection

2.2.8 Kiểm tra khả năng tấn công từ chối dịch vụ

Trong kiểm tra này chỉ tiến hành kiểm tra tấn công dựa trên một máy tính duy nhất

Trang 28

Kiểm tra truy vấn CSDL

Tiến hành thực hiện nhiều kiểu truy vấn sử dụng nhiều ký tựđặc biệt và kết hợp với nhau để làm cho cơ sở dữ liệu phải thực hiện nhiều và liên tục các truy vấn, tìm kiếm có thểd n tới cạn kiệt tài nguyên CPU

Kiểm tra tràn bộ đệm

Kiểm tra xem có thểtừchối dịch vụbằng cách làm tràn một hoặc nhiều cấu trúc dữ liệu của ứng dụng

Kiểm tra dữ liệu thành vòng lặp

Tiến hành kiểm tra gửi cácyêu cầu(request)kèm theo các giá trịkhác nhau đểtìm các biến có khảnăng tạo vòng lặp bằng cách thực hiện nhiều lần một tác vụ khiến tài nguyên hệ thống bị cạn kiệt

Kiểm tra lưu trữ dữ liệu từ người dùng lên hệ thống

Với lỗi này, thửnghiệm khả năng gửi nhiều dữ liệu lên hệ thống để kiểm tra xem hệ thống có kiểm tra độ lớn của dữ liệu hay không

Kiểm tra lỗi trong quá trình thực hiện ngắt tài nguyên

Bước đánh giá này được thực hiện đểxem xét khảnăng ứng dụng web có ngắt các tài nguyên đúng cách không sau khi chúng đã được sử dụng.Với lỗi này để xác định cần thực hiện kiểm thử hộp trắng

Kiểm tra lưu trữ dữ liệu trong mỗi phiên

Bước đánh giá này được thực hiện để kiểm tra khả năng ứng dụng có lưu một lượng lớn dữ liệu trong mỗi phiên của người dùng không, vì đây là một trong

những khảnăng có thểgây raDoS

2.2.9 Kiểm tra web services

Kiểm tra ngôn ngữ định danh

WSDigger:WSDiggerlà mộtcông cụmiễn phímã nguồn mởđểtự độngthửnghiệm web services.Với công cụnày,có thểthửnghiệmcácweb services, tương tác thông qua một giao diện đơn giản, nhập truy vấn tìm kiếm và gọi dịch vụ web tự động, mà không cần viết mã

Kiểm tra cấu trúc XML

Trang 29

Việc kiểm tra có thể tạo ra các XML sai cấu trúc nhằm kiểm tra khả năng một cuộc tấn công từ chối dịch vụ, với mục tiêu làm tiêu tốn CPU và bộ nhớ

Kiểm tra HTTP GET parameters/REST

Web Services có thểbị tấn công bằng nội dung độc hại trong chuỗi HTTP GET như: các tham số quá dài, SQL injection, OS Injection Đểkiểm tra, tiến hành thay đổi các thamsố, từđó thực thi các cuộc tấn công

Kiểm tra tấn công Naughty SOAP attachments

Vấn đề nguy hiểm nằm trong việc xử lý các tập tin đính kèm trên máy chủ và phân phối lại các tập tin cho client

Kiểm tra tấn công Web Service replay

Đểphát hiện,tiến hành theo các bước:

 Sử dụng Wireshark, nghe lén lưu thông mạng

 Lọc các dữ liệu dịch vụweb

2.2.10 Kiểm tra AJAX

Đánh giá các ứng dụng AJAX có thểkhó khăn hơn, bởi cách giao tiếp giữa máy trạm (client) và máy chủ (server) Trong các ứng dụng web truyền thống, tiêu chuẩn HTML hình thức gửi qua yêu cầu GET hoặc POST đã định dạng, và do đó dễdàng đểsửa đổi hoặc tạo ra các yêu cầu mới.Ứng dụng AJAX thường sử dụng mã hóa khác nhau, chương trình để gửi dữ liệu POST gây khó khăn cho công cụ kiểm tra

Trang 30

Chương 3 – ĐỀ XUẤT GIẢI PHÁPĐÁNH GIÁ AN TOÀN HỆ THỐNG

WEBSITE

Như đã trình bày, từng công cụ kỹ thuật đơn lẻ không thể đánh giá được hết các điểm yếu kỹ thuật của một hệ thống, mà cần một giải pháp kết hợp các công cụ theo một trình tự logic tối ưu nhất Dựa trên các yêu cầu về an toàn thông tin nói chung, các yêu cầu về an toàn website nói riêng theo OWASP, phần tiếp theo sẽ tập trung vào việc xây dựng nội dung chi tiết cho quy trình đánh giá an toàn hệ thống website, trong đó:

Phạm vi: Các thiết bị, máy chủ, dịch vụ liên quan đến hệ thống Website Cụ

thể bao gồm:

- Các thiết bị hạ tầng mạng;

- Các máy chủ dịch vụ phân giải tên miền (DNS);

- Các thiết bị, máy chủ sao lưu dữ liệu dự phòng;

- Các máy chủ hệ thống cổng thông tin điện tử (Website);

Các hạng mục thực hiện:

- Kiểm tra, đánh giá an toàn hạ tầng mạng;

- Kiểm tra, đánh giá an toàn dịch vụ phân giải tên miền;

- Kiểm tra, đánh giá an toàn hệ thống cổng thông tin điện tử;

- Kiểm tra, đánh giá an toàn công tác sao lưu dữ liệu dự phòng;

1 Các tiêu chí kiểm tra đánh giá an toàn

1.1.1 Tiêu chí kiểm tra đánh giá an toàn cho hạ tầng mạng

1

ROUTER

Hệ thống mạng có các thiết bị định tuyến dự phòng không và

có bất kể tài liệu nào hướng d n quá trình phục hồi không?

2 Hiệu năng của CPU, RAM có thể theo dõi trực tuyến không?

3 Tính năng log đối với từng máy chủ có được kích hoạt trên

thiết bị định tuyến không?

4 Có báo cáo định kỳ về an toàn thông tin mạng dựa bào các log

Trang 31

STT HỆ THỐNG NỘI DUNG ĐÁNH GIÁ / KHẢO SÁT

trên thiết bị định tuyến không?

5 Quản trị mạng luôn cập nhật bản vá mới nhất để áp dụng cho

thiết bị định tuyến?

6 Chính sách định tuyến có khớp với cấu hình thực tế trên thiết bị

không?

7 Kiểm tra cơ chế quản lý tài khoản quản trị trên ACS (Chạy trên

LDAP hay Local)

8

SWITCH

Kiểm tra an ninh vật lý

- Kiểm tra môi trường đặt thiết bị (hệ thống làm mát, tủ Rack)

- Kiểm tra việc quản lý truy cập vật lý vào thiết bị

- Kiểm tra các thiết bị giám sát an ninh vật lý (camera giám sát, thiết bị báo cháy, thiết bị giám sát nhiệt độ môi trường)

9 Kiểm tra các dây nguồn điện và nguồn điện dự phòng

10 Kiểm tra hệ thống giám sát mạng

11

Kiểm tra cài đặt quá trình xác thực người quản trị trên thiết bị

- Tất cả các kết nối qua Console/Aux/TCP có được tiết lập mật khẩu?

- Thiết bị có sử dụng enable khi đăng nhập không?

- Thiết bị có sử dụng thông điệp khi người dùng đăng nhập vào thiết bị không?

12

Kiểm tra xem chính sách đặt mật khẩu trên thiết bị có đạt được yêu cầu tối thiểu về độ phức tạp và an toàn không?

- Độ dài mật khẩu tối thiểu 8 ký tự

- Mật khẩu phải bao gồm ký tự đặc biệt và chữ số

- Mật khẩu không bao gồm tên công ty, cá nhân quản trị thiết bị

- Thời gian tối thiểu, tối đa bắt buộc thay đổi mật khẩu

Trang 32

13 Kiểm tra tính năng mã hóa mật khẩu người quản trị trên thiết bị

14 Kiểm tra access-list với từng dịch vụ (SSH, HTTP) kết nối đến

18 Các giao diện kết nối vật lý có bị vô hiệu hóa khi không sử

dụng đến?

19 Kiểm tra dịch vụ CDP trên thiết bị có được kích hoạt không?

20 Kiểm tra dịch vụ Bootp có được kích hoạt không?

21 Dịch vụ quảng bá gói tin có được kích hoạt?

22 Kiểm tra tính năng Proxy ARP có tắt không?

23 Các thiết bị chuyển mạch có được thường xuyên backup

không?

24 Bản sao lưu backup có được cất giữ tại địa khác ngoài văn

phòng không?

25 Nơi chưa bản sao lưu cấu hình đó có cơ chế nào bảo mật tệp tin

đó khỏi truy cập trái phép không?

26 Giao thức TFTP có được sử dụng trong mạng để truyền tải tệp

hoặc ảnh không?

27 Hệ thống mạng có chia VLAN không? Và các máy trạm trên

các VLAN có thể liên lạc được với nhau không?

28 Thiết bị chuyển mạch có sử dụng đường kết nối Trunk không?

Chuẩn đóng gói là gì?

29 Kiểm tra chính sách cấu hình bảo mật trên Core Switch trong

vùng ServerFarm có bật tính năng FireWall

Trang 33

30 Hệ thống switch có quản lý tập trung không (Stackable mode)?

31

Hệ thống mạng có các thiết bị chuyển mạch dự phòng không

và làm cách nào để đảm bảo tính sẵn sàng của hệ thống khi có lỗi xảy ra?

33 Bản vá mới nhất có được cập nhật không?

34

FIREWALL

Kiểm tra an ninh vật lý:

- Kiểm tra môi trường đặt thiết bị Tường lửa (hệ thống làm mát, tủ Rack)

- Kiểm tra các thiết bị giám sát an ninh vật lý (camera giám sát, thiết bị báo cháy, giám sát nhiệt độ môi trường)

35 Kiểm tra hệ thống giám sát mạng

36 Kiểm tra chính sách NAT địa chỉ Outside và Inside trên thiết bị

37

Kiểm tra cài đặt quá trình xác thực người quản trị trên thiết bị:

- Tất cả các kết nối qua Console/Aux/TCP có được tiết lập mật khẩu?

- Thiết bị có sử dụng enable password khi đăng nhập vào mode Privilege không?

38

Trang 34

dụng đến?

48 Thiết bị tường lửa có sử dụng chức năng VPN không? Và có

chính sách cho VPN Clients không?

49 Thiết bị tường lửa có khả năng hạn chế/ từ chối các cuộc tấn

công dịch vụ không?

50 Các thiết bị tường lửa có được thường xuyên backup không?

51 Bản sao lưu backup có được cất giữ tại địa khác ngoài văn

phòng không?

54 Hệ thống mạng có các thiết bị tường lửa dự phòng không và có

bất kể tài liệu nào hướng d n quá trình phục hồi không?

56 Có báo cáo định kỳ về an toàn thông tin mạng dựa vào các log

trên thiết bị tường lửa không?

Trang 35

57 Bản vá mới nhất luôn được cập nhật không?

58 Cấu hình thiết bị có đúng với chính sách bảo mật thiết bị

không?

59

LOAD BALANCING

Kiểm tra an ninh vật lý:

- Kiểm tra môi trường đặt thiết bị F5 (hệ thống làm mát, tủ Rack)

- Kiểm tra các thiết bị giám sát an ninh vật lý (camera giám sát, thiết bị báo cháy, giám sát nhiệt độ môi trường)

60 Kiểm tra các dây nguồn điện và nguồn điện dự phòng

61 Kiểm tra giao thức đăng nhập thiết bị thông qua cổng

mạngConsole

62

Kiểm tra cài đặt quá trình xác thực người quản trị trên thiết bị:

- Tất cả các kết nối qua Console/Aux/TCP có được thiết lập mật khẩu?

- Thiết bị có sử dụng enable password khi đăng nhập không?

63

thiết bị

65 Kiểm tra thời gian time-out trên thiết bị có được cấu hình

Trang 36

không?

66

Kiểm tra dịch vụ NTP đã được kích hoạt trên các interface internal và vô hiệu hóa với các interface được kết nối ra ngoài internet chưa?

dụng đến?

68 Thiết bị F5 có sử dụng chức năng bảo mật F5 động không?

72 DF5 gói tin nguồn có hoạt động không?

74 Các thiết bị F5 có được thường xuyên backup không?

75 Bản sao lưu backup có được cất giữ tại địa điểm khác ngoài

văn phòng không?

78 Hệ thống mạng có các thiết bị F5 dự phòng không và có bất kể

tài liệu nào hướng d n quá trình phục hồi không?

80 Có báo cáo định kỳ về an toàn thông tin mạng dựa bào các log

trên thiết bị F5 không?

81 Bản vá mới nhất luôn được cập nhật không?

82 Cấu hình thực tế trên thiết bị có phù hợp với chính sách bảo

mật không?

83 Kiểm tra cơ chế quản lý tài khoản quản trị trên ACS (Chạy trên

LDAP hay Local)

Trang 37

84

IPS/IDS

Kiểm tra mức an toàn vật lý

85 Kiểm tra cài đặt quá trình xác thực người quản trị trên thiết bị

86 Kiểm tra xem chính sách đặt mật khẩu trên thiết bị có đạt được

yêu cầu tối thiểu về độ phức tạp và an toàn không?

87 Xác thực người quản trị trên thiết bị dựa vào quản lý người

dùng cục bộ hay thông qua máy chủ RADIUS?

88 Các tệp luật trên thiết bị có được cập nhật thường xuyên

không? Cập nhật tự động hay thủ công?

89

Khi có một cuộc tấn công đến thiết bị IDS/IPS, nhật ký cuộc tấn công này sẽ được thông báo như thế nào (Sms, email đến người quản trị??)

90 Các thiết bị IDS/IPS có được thường xuyên backup không?

91 Bản sao lưu có được cất giữ tại địa khác ngoài văn phòng

không?

92 Nơi chứa bản sao lưu cấu hình đó có cơ chế nào bảo mật tệp tin

93 Hiệu năng của (CPU, RAM, BandWidth) có thể theo dõi trực

tuyến không?

94

ACCESS

POINT

Kiểm tra mức an toàn vật lý

95 Kiểm tra giao thức đăng nhập thiết bị thông qua cổng mạng /

Console

96

Trang 38

(Đối với thiết bị AP của Cisco)

98 Xác thực người quản trị trên thiết bị dựa vào quản lý người

dùng cục bộ hay thông qua máy chủ RADIUS?

99 Các thông tin mặc đinh như SSID, Mật khẩu, địa chỉ IP mặc

định có được thay đổi không?

100 Các AP có sử dụng chức năng tường lửa không?

101 Các AP có sử dụng tính năng lọc địa chỉ MAC không?

102 Các AP có sử dụng tính năng cấp DHCP không?

103 Các AP có sử dụng tính năng ẩn SSID không?

104 Các AP có sử dụng tính năng WPS không?

105 Các AP sử dụng bảo mật wifi nào? (WEP, WAP, WAP2, )

106 Thời gian mặc định thay đổi mật khẩu truy cập Wifi là bao lâu?

107 Hệ điều hành/firmware cho các AP có phải là phiên bản mới

nhất không?

108 Các tệp tin cấu hình, firmware của các AP có được thường

xuyên sao lưu không?

109 Bản sao lưu tệp tin cấu hình có được cất giữ tại địa khác ngoài

văn phòng không?

110 Nơi chứa bản sao lưu cấu hình đó có cơ chế nào bảo mật tệp tin

Bảng 3.1 – Tiêu chí đánh giá an toàn cho hạ tầng mạng 1.1.2 Tiêu chí kiểm tra đánh giá an toàn dịch vụ phân giải tên miền

Phỏng vấn

Trang 39

STT HẠNG MỤC NỘI DUNG PHƯƠNG PHÁP

Phỏng vấn và kiểm tra trên hệ thống DNS, hệ thống lưu trữ, kiểm tra các file backup và cách thức restore

5

Hệ thống có kế hoạch khôi phục trong trường hợp xảy ra sự cố thiên tai, động đất, hay không?

Kiểm tra bằng show cấu hình

- Kiểm tra trong file named.conf, có tồn tại cấu hình:

allow-update {Địa chỉ IP;}

Kiểm tra trong file named.conf, có tồn tại cấu hình:

listen-on {Địa chỉ IP;}

Trang 40

STT HẠNG MỤC NỘI DUNG PHƯƠNG PHÁP

định: lắng nghe toàn bộ interface)

9

Máy chủ có cấu hình chỉ cho phép người dùng bên trong được truy vấn đệ quy vào hệ thống DNS hay không? (Mặc định:

recursion no)

Kiểm tra trong file named.conf, có tồn tại cấu hình:

allow-recursion {Địa chỉ IP;}

- Kiểm tra trong file named.conf, có tồn tại cấu hình:

logging { channel log_query { file

Phỏng vấn

Định dạng
Số trang	89
Dung lượng	1,02 MB