Xây dựng qui trình kiểm định an toàn thông tin của hệ thống CNTT trong doanh nghiệp vừa và nhỏ Xây dựng qui trình kiểm định an toàn thông tin của hệ thống CNTT trong doanh nghiệp vừa và nhỏ Đề tài này tập trung nghiên cứu về hai công cụ giúp dò quét các lỗ hổng bảo mật đang tồn tại trong hệ thống của doanh nghiệp là: OpenVAS và Nessus. Nghiên cứu, tìm hiểu về tiêu chuẩn bảo mật CIS cho Windows Server 2012 R2 (trong thời gian thực hiện đề tài, đây là đối tượng server đang được sử dụng phổ biến ở các doanh nghiệp vừa và nhỏ lúc này). Đề tài cũng tập trung vào việc xây dựng một số kịch bản tấn công, nhằm giúp mọi người có cách nhìn nhận tổng quan về lợi ích vủa việc đảm bảo an toàn thông tin trong doanh nghiệp của mình. Qua đó với hi vọng việc đảm bảo an toàn thông tin trong các doanh nghiệp vừa và nhỏ sẽ được mọi người quan tâm hơn trong tương lai. OpenVAS là một framework của một số dịch vụ và công cụ cung cấp giải pháp quản lý lỗ hổng toàn diện và mạnh mẽ. Framework này là một phần của giải pháp quản lý lỗ hổng thương mại của Greenbone Networks. OpenVAS giúp hỗ trợ dò quét nhằm phát hiện các lỗ hổng bảo mật tồn tại trên các dịch vụ đang chạy của máy tính. Cũng như cung cấp thêm các thông tin về hệ điều hành, dịch vụ… đang chạy trên máy tính đó. Nessus là một công cụ dò quét lỗ hổng được phát triển bởi Tenable Network Security. Theo khảo sát của sectools.org, Nessus là công cụ đứng đầu trong các công cụ bảo mật năm 2000, 2003, 2006. Nessus giúp hỗ trợ dò quét nhằm phát hiện các lỗ hổng bảo mật tồn tại trên các máy tính đã được công bố trước đó. Đặc biệt nó hiển thị thông tin chi tiết và cụ thể hơn về các lỗi và cung cấp cả thông tin các bản vá lỗi cho các lỗ hổng đó. Nessus cung cấp 2 mẫu báo cáo kết quả theo dạng Summary (thông tin tổng quan về kết quả) và Custom (thông tin chi tiết về kết quả, bao gồm liệt kê theo Host và theo Plugin). 3.1. Xây dựng các bước triển khai và sử dụng OpenVAS 3.1.1. Các bước triển khai OpenVAS trên Kali Linux Yêu cầu máy kali linux phải truy cập được internet Bước 1: Chạy lệnh “aptget install openvas” (cài đặt gói openvas). Hình 1: Lệnh cài đặt OpenVAS. Bước 2: Chọn “y” để tiếp tục cài đặt (có thể thay thế bằng cách thêm tùy chọn –y ở bước 1) Hình 2: Đồng ý cài đặt. Bước 3: Chạy lệnh “openvassetup” Hình 3: Lệnh setup OpenVAS. Bước 4: Chạy lệnh “openvaschecksetup” (lệnh này giúp kiểm tra các bước cần thiết trước khi khởi chạy, bước nào bị lỗi sẽ được công bố nguyên nhân và cách khắc phục lỗi đó). Hình 4: Lệnh check setup OpenVAS. Bước 5: Sau khi chạy lệnh “openvaschecksetup” hệ thống sẽ hướng dẫn cách khắc phục các lỗi nếu có lỗi xảy ra. Làm theo các hướng dẫn đến khi không còn thông báo lỗi. Hình 5: OpenVAS hướng dẫn FIX lỗi. Hình 6: Màn hình check setup thành công. Bước 6: Chạy lệnh “openvasmd createuser=root role=Admin openvasmd user=root newpassword=123456” để tạo user root với password là 123456. Hình 7: Tạo tài khoản OpenVAS. Bước 7: Chạy lệnh “openvasstart” để khởi động dịch vụ. Hình 8: Khởi động OpenVAS. Bước 8: Mở trình duyết Web truy cập vào địa chỉ: https:127.0.0.1:9392 chọn Advanced và add Exception để chấp nhận kết nối không tin cậy này.
ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA TRUYỀN THÔNG VÀ MẠNG MÁY ĐỒ ÁN CHUYÊN NGÀNH Xây dựng qui trình kiểm định an tồn thơng tin hệ thống CNTT doanh nghiệp vừa nhỏ TP Hồ Chí Minh, 01 tháng 06 năm 2017 LỜI NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… …………………………………………………………………………………… ………………, ngày … tháng … năm …… GIẢNG VIÊN HƯỚNG DẪN LỜI CẢM ƠN Lời em xin gửi lời cảm ơn đến thầy/cô Trường đại học Công nghệ thông tin – Đại học Quốc gia TP.HCM nói chung Khoa Truyền thơng Mạng máy tính nói riêng bảo, quan tâm, giúp đỡ tạo điều kiện trình học tập Nhờ em tích lũy nhiều kiến thức bổ ích để hồn thành đồ án chun ngành Đặc biệt em xin chân thành cảm ơn, người trực tiếp hướng dẫn, định hướng giúp đỡ dạy em suốt trình thực đồ án chuyên ngành Nhờ em mà em hồn thành đề tài đồ án chun ngành Trong thời gian làm đồ án chuyên ngành, em có trải nghiệm bổ ích Em học tập, tìm hiểu nhiều kiến thức mẻ Đồng thời, hướng dẫn tận tình cách làm việc chuyên nghiệp giảng viên hướng dẫn giúp em tích lũy nhiều kinh nghiệm cho thân, phục vụ cho công việc nghiên cứu sau Mặc dù cố gắng nỗ lực để hoàn thành tốt tiểu luận em khó tránh khỏi sai sót, mong nhận thơng cảm, góp ý bảo quý thầy/cô để đề tài tốt Một lần em xin chân thành cảm ơn Hồ Chí Minh, 01 tháng 06 năm 2017 Mục lục Danh mục hình ảnh Chương TỔNG QUAN ĐỀ TÀI 1.1 Hiện trạng Hiện công nhằm vào hệ thống máy tính ngày trở nên phức tạp với quy mơ lớn Mỗi ngày trơi qua có hồng loạt lỗ hổng nhà bảo mật công bố rộng rãi giới Nhờ mà vấn đề an tồn thông tin doanh nghiệp ngày quan tâm Tuy nhiên doanh nghiệp vừa nhỏ với nhiều lý mà quản trị viên chưa thật trọng đến vấn đề an toàn thơng tin cho hệ thống Có thể bất tiện cho người dùng đầu cuối thiết lập mức bảo mật cao, số quản trị viên không thường xuyên cập nhập tin tức lỗ hổng bảo mật chúng công bố, số quản trị viên chưa có hội tiếp xúc với cơng cụ dò quét lỗ hổng bảo mật tồn hệ thống… Vì lý nêu mà đơi quản trị viên quan tâm đến việc hệ thống hoạt động ổn định chưa? Đã dễ dàng việc quản trị cách tiện lợi, nhanh chóng chưa? Và quên mối nguy hại hệ thống công ty tồn lỗ hổng bảo mật Đặc biệt lỗ hổng công bố, đồng nghĩa với việc nhiều Attacker nắm bắt phát triển loại mã độc nhằm khai thác lỗ hổng bảo mật Một hệ thống tồn lỗ hổng bảo mật này, Attacker dễ dàng xâm nhập, công phá hoại hệ thống công ty Lúc doanh nghiệp rơi vào nhiều trường hợp là: thơng tin quan trọng bị đánh cắp, thất thoát liệu doanh nghiệp, hoạt động kinh doanh cơng việc bị ngừng hoạt động… 1.2 Mục đích Để giải vấn đề nêu trên, điều cần làm cho quản trị viên thấy rũi ro, tác hại vấn đề an tồn thơng tin doanh nghiệp không trọng Giúp họ tiếp cận với cơng cụ dò qt lỗ hổng bảo mật uy tín đáng tin cậy Để họ dễ dàng sử dụng công cụ vào việc quản trị hệ thống Nhằm giúp họ phát lỗ hổng bảo mật (đã công bố) tồn hệ thống mình, từ nhanh chóng cập nhập vá lỗi cho lỗ hổng bảo mật Cũng việc giúp quản trị viên thiết lập sách phù hợp cho vận hành doanh nghiệp theo tiêu chuẩn đáng tin cậy Thiết lập sách góp phần giúp cho hệ thống doanh nghiệp hoạt động cách an tồn hơn, giúp phòng chống số loại công nhằm vào hệ thống 1.3 Ý nghĩa đề tài Đề tài tập trung nghiên cứu hai cơng cụ giúp dò qt lỗ hổng bảo mật tồn hệ thống doanh nghiệp là: OpenVAS Nessus Nghiên cứu, tìm hiểu tiêu chuẩn bảo mật CIS cho Windows Server 2012 R2 (trong thời gian thực đề tài, đối tượng server sử dụng phổ biến doanh nghiệp vừa nhỏ lúc này) Đề tài tập trung vào việc xây dựng số kịch cơng, nhằm giúp người có cách nhìn nhận tổng quan lợi ích vủa việc đảm bảo an tồn thơng tin doanh nghiệp Qua với hi vọng việc đảm bảo an tồn thơng tin doanh nghiệp vừa nhỏ người quan tâm tương lai Chướng CƠ SỞ LÝ THUYẾT 2.1 Tổng quan công cụ Nessus, OpenVAS 2.1.1 OpenVAS OpenVAS framework số dịch vụ công cụ cung cấp giải pháp quản lý lỗ hổng toàn diện mạnh mẽ Framework phần giải pháp quản lý lỗ hổng thương mại Greenbone Networks OpenVAS giúp hỗ trợ dò quét nhằm phát lỗ hổng bảo mật tồn dịch vụ chạy máy tính Cũng cung cấp thêm thơng tin hệ điều hành, dịch vụ… chạy máy tính 2.1.2 Nessus Nessus cơng cụ dò quét lỗ hổng phát triển Tenable Network Security Theo khảo sát sectools.org, Nessus công cụ đứng đầu công cụ bảo mật năm 2000, 2003, 2006 Nessus giúp hỗ trợ dò quét nhằm phát lỗ hổng bảo mật tồn máy tính cơng bố trước Đặc biệt hiển thị thông tin chi tiết cụ thể lỗi cung cấp thông tin vá lỗi cho lỗ hổng Nessus cung cấp mẫu báo cáo kết theo dạng Summary (thông tin tổng quan kết quả) Custom (thông tin chi tiết kết quả, bao gồm liệt kê theo Host theo Plugin) 2.2 Tổng quan hệ điều hành Windows Server 2012 R2 Kali Linux 2.2.1 Windows Server 2012 R2 Windows Server 2012 R2 phiên Windows Server 2012 Microsoft giới thiệu vào ngày tháng năm 2013 TechEd Bắc Mỹ phát hành vào ngày 18 tháng 10 năm 2013 Nó phiên dành cho máy chủ Bao gồm bốn phiên bản: Foundation, Essentials, Standard Datacenter 2.2.2 Kali Linux Kali Linux hệ điều hành kiểm thử bảo mật hàng đầu giới Được phát triển dựa nhân Linux nhằm mục đính phục vụ pháp chứng kỹ thuật số cơng thăm dò Nó Offensive Security Ltd trì tài trợ Mati Aharoni, Devon Kearns Raphael Hertzog người phát triển nòng cốt Kali Linux 2.3 Tiêu chuẩn bảo mật CIS cho Windows Server 2012 R2 Tiêu chuẩn bảo mật CIS cho Windows Server 2012 R2 bao gồm đề xuất cấu hình sách cho Windows Server 2012 R2 Với 430 khuyến nghị dịch vụ không an tồn, sách mật khẩu, sách khóa tài khoản cấu hình mạng Nó đưa tổ chức phi lợi nhuận “Center for Internet Security” nhằm bảo vệ tổ chức khỏi mối đe dọa cơng Việc tn thủ sách Windows Server 2012 R2 theo tiêu chuẩn bảo mật CIS giúp tổ chức phòng tránh nguy bảo mật cho hệ thống 2.4 DNS Proxy 2.4.1 DNS DNS viết tắt Domain Name System, hệ thống phân giải tên miền, cho phép thiết lập tương ứng địa IP tên miền Nói đơn giản hơn, DNS hệ thống giúp chuyển đổi tên miền mà người dễ ghi nhớ (ví dụ www.uit.edu.vn) sang địa IP vật lý (ví dụ 192.168.20.185) tương ứng với tên miền Có thể hiểu “Danh bạ” ánh xạ tên miền địa IP 2.4.2 Proxy Proxy server làm nhiệm vụ chuyển tiếp thông tin kiểm sốt an tồn cho việc truy cập Internet máy khách Các yêu cầu người dùng thông qua Proxy server để đến server mà người dùng truy cập Ngồi Proxy sử dụng với nhiều mục đích khác như: giúp nhiều máy tính truy cậy internet với chung tài khoản, cấm người dùng truy cập số trang web không phép… 10 Bước 27: Xuất table “Export as PDF” Chọn “Executive Summary” để xuất report tổng quát Chọn “Custom” để xem chi tiết report, chọn xuất báo cáo chi tiết thống kê theo Host theo Plugin Sau click vào “Export” để xuất file report Hình 66: Export dạng Summary Hình 67: Export dạng Custom 3.3 Tìm hiều tiêu chuẩn bảo mật CIS cho Windows Server 2012 R2 Tiêu chuẩn bảo mật CIS cho Windows Server 2012 R2 áp dụng cho hai đối tượng Domain Controller Member Server Nó bao gồm việc giải thích ý nghĩa, mối nguy hại khuyến nghị giá trị phù hợp với sách khoảng 300 sách phổ biến Tuy nhiên số sách không 30 đưa khuyến nghị cụ thể, Bởi sách khơng áp dụng chung cho doanh nghiệp, với doanh nghiệp đưa giá trị cho phù hợp với nhu cầu • Bản tóm tắt sách: Vì bao gồm nhiều nên tóm tắt đính kèm đường link sau https://drive.google.com/file/d/0B1hSxtHUFvzWWtrUDFpR21ybTQ/view 3.4 Những tác hại việc cho phép người dùng tự ý cài đặt ứng dụng 3.4.1 Tác hại việc DNS bị thay đổi 3.4.1.1 Mơ hình, thơng tin máy kịch - Mơ hình: Hình 68: Mô hình công DNS - Thông tin máy: Tên máy DNSServer Kali Victim Địa IP 10.10.9.1 26 10.10.9.5 10.10.9.8 Hệ điều Chạy dịch vụ hành Windows DNS Server Server 2012 R2 Kali Linux Web Server (Apache) Windows 31 - Kịch bản: Giả định Victim download chạy file có đính kèm mã độc Change DNS (trong thực tế file chèn vào file khác, file Crack hay ứng dụng phổ biến để dụ người dùng tải về) Lúc địa DNS máy Victim bị thay đổi để trỏ DNSServer (10.10.9.126) Attacker Ở DNS Server thực phân giải địa trang web cần giả mạo (trong trường hợp facebook.com) thành địa IP máy Kali (nơi chạy web server giả mạo facebook.com) Khi Victim truy cập vào trang facebook.com đăng nhập thơng tin đăng nhập máy Kali lưu lại 3.4.1.2 Các bước tiến hành triển khai kịch công Bước : Lúc đầu máy Victim có DNS là: 10.10.9.5 10.10.9.3 Hình 69: Thông tin DNS ban đầu Victim Bước : Chạy file ChangeDNS.exe máy Victim 32 Hình 70: Chạy file ChangeDNS Bước : Thông tin DNS máy Victim sau chạy file ChangeDNS.exe Hình 71: Thông tin DNS Victim sau bị thay đổi DNS Bước 4: Cấu hình dịch vụ máy DNS Server Hình 72: Thông tin file Zone thuận DNS Server Hình 73: Thông tin file zone nghịch DNS Server 33 Bước 5: Thực fake facebook.com với công cụ Social Engineering Tools (SET) Kết thu trang fake facebook.com Web Server Attacker Hình 74: Trang Facebook giả mạo Bước 5: Thử phân giải địa IP cho facebook.com máy Victim Lúc facebook.com bị trỏ đến Web Server Attacker Hình 75: Thông tin phân giải DNS cho facebook.com Bước 6: Đăng nhập vào Facebook máy Victim 34 Hình 76: Màn hình đăng nhập Facebook máy Victim Bước 7: Xem thông tin tài khoản lưu lại máy Kali Hình 77: Thông tin tài khoản lưu lại máy Attacker 3.4.2 Tác hại việc Proxy bị thay đổi 3.4.2.1 Mơ hình, thơng tin máy kịch - Mơ hình: Hình 78: Mơ hình công thay đổi Proxy 35 - Thông tin máy: Tên máy Kali Victim Địa IP 10.10.9.5 10.10.9.8 Hệ điều Chạy dịch vụ hành Kali Linux Proxy Server Windows - Kịch bản: Giả định Victim download chạy file có đính kèm mã độc Change Proxy (trong thực tế file chèn vào file khác, file Crack hay ứng dụng phổ biến để dụ người dùng tải về) Lúc địa Proxy máy Victim bị thay đổi để trỏ Proxy Server (10.10.9.57) Attacker Ở Proxy server Attacker thực redirect (có thể tùy biến theo nhu cầu Attacker) “24h.com.vn” đến “thegioimoto.net” 3.4.2.2 Các bước tiến hành triển khai kịch công Bước 1: Cài đặt Squid Proxy Proxy Server với lệnh “aptget install squid” Hình 79: Cài đặt Squid Proxy Bước 2: Mở file cấu hình squid Proxy Server Hình 80: Mở file cấu hình Squid Bước 3: Tìm đến dòng 1200 thêm vào đoạn sau: (mục đích user truy cập vào trang 24h.com.vn redirect đến trang thegioimoto.net) 36 Hình 81: Thông tin file cấu hình Squid Bước 4: Khởi động lại Squid Proxy Server Hình 82: Khởi động lại Squid Bước 5: Chạy file ChangeProxy.exe máy Victim Hình 83: Chạy file ChangeProxy Bước 6: Xem thơng tin Proxy trình duyệt web máy Victim 37 Hình 84: Thông tin Proxy máy Victim Bước 7: Khi Victim đăng nhập vào “24h.com.vn” bị redirect sang “thegioimoto.net” Hình 85: Trang 24h.com.vn không truy cập Hình 86: Trang thegioimoto.com tự động load Các tác hại khác Ngồi ra, nhiều tác hại khác ảnh hương đến người dùng 3.4.3 hệ thống Cụ thể, mã độc thu thập thơng tin, mã độc mã hóa liệu người dùng, phá hoại hệ thống… 38 Chương THỰC NGHIỆM DÒ QUÉT LỖ HỔNG BẢO MẬT TẠI CÁC DOANH NGHIỆP 4.1 Công ty quảng cáo Nam Thành 4.1.1 u cầu cơng việc Dò quét lỗ hỏng bảo mật server Cập nhập vá MS17-010 (WannaCry) cho client 4.1.2 Công cụ sử dụng Sử dụng cơng cụ Nessus để dò qt lỗ hổng bảo mật 4.1.3 Kết Hoàn thành cập nhập vá MS17-010 cho khoảng 30 máy client cơng ty Hình ảnh kết trước cập nhập vá MS17-010 cho client công ty Hình 87: Kết trước cập nhập vá MS17-010 máy client Hình ảnh kết sau cập nhập vá MS17-010 cho client công ty 39 Hình 88: Kết sau cập nhập vá MS17-010 máy client Phát lỗ hỏng bảo mật nguy hiểm server MS17-010 MS16-047 Cảnh báo thông tin lỗ hổng bảo mật server đến System Admin cơng ty để nhanh chóng cập nhập vá lỗi lỗ hổng Hình ảnh kết dò quét lỗ hổng bảo mật Windows Server 2012 R2 với công cụ Nessus 40 Hình 89: Kết thơng tin dò qt Server công ty Nam Thành 4.2 Công ty dầu khí Phú Quốc 4.2.1 u cầu cơng việc Dò qt lỗ hổng bảo mật Server (khoảng 20 server) client (khoảng 80 máy) công ty 4.2.2 Công cụ sử dụng Sử dụng công cụ Nessus để dò quét lỗ hổng bảo mật 4.2.3 Kết Trên server cơng ty khơng có lỗ hổng bảo mật nghiêm trọng Hình ảnh kết dò quét lỗ hổng bảo mật Server công ty với công cụ Nessus 41 Hình 90: Kết thơng tin dò qt Server cơng ty Phú Quốc Trong lớp mạng client, phát máy client tồn lỗ hỏng bảo mật MS11-030, MS12-020 MS16-047 Hình ảnh kết dò quét lỗ hổng bảo mật máy client với công cụ Nessus Hình 91: Kết thông tin dò quét Clients lớp mạng công ty Phú Quốc Hình 92: Kết thông tin dò quét Clients lớp mạng khác công ty Phú Quốc Cảnh báo thông tin máy client tồn lỗ hổng bảo mật nêu đến System Admin để nhanh chóng khắc phục 4.3 Cơng ty dầu khí Thăng Long 4.3.1 u cầu cơng việc Dò quét lỗ hổng bảo mật server công ty 4.3.2 Công cụ sử dụng Sử dụng cơng cụ Nessus để dò qt lỗ hổng bảo mật 4.3.3 Kết Không phát lỗ hổng bảo mật nghiêm trọng server cơng ty Hình ảnh kết dò quét lỗ hổng bảo mật Server công ty 42 Hình 93: Kết thơng tin dò qt Server cơng ty Thăng Long 43 Chương KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Kết đạt Thấy vấn đề an tồn thơng tin chưa thực quan tâm 5.1 nhiều doanh nghiệp vừa nhỏ Cho người thấy tác hại việc thiết lập sách bảo mật cho doanh nghiệp khơng hợp lý Xây dựng bước giúp cá nhân khơng cần có nhiều kiến thức triển khai sử dụng công cụ OpenVAS Nessus để dò qt lỗ hổng cho hệ thống 5.2 Những hạn chế Vì thời gian thực đề tài có giới hạn Nên khơng thể phân tích chi tiết tất sách nêu tiêu chuẩn bảo mật CIS cho Windows Server 2012 R2 Chưa thực việc kiểm tra sách cách tự động nhằm tiết kiệm thời gian 5.3 Hướng phát triển Trong tương lai, nghiên cứu phát triển thêm cơng cụ nhằm giúp việc kiểm tra sách thực cách tự động 44