ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THƠNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG BÁO CÁO BẢO MẬT INTERNET Module 17 : Evading IDS, Firewall, and Honeypot Nguyễn Nhật Quang 12520143 12520166 12520768 GVHD: ThS Tô SVTH : Võ Văn Hiếu Nguyễn Đức Hưng – Nguyễn Cơng Anh Tuấn – Vũ Ngọc Tồn – 12520448 Trương Trung Hiếu - 11520107 TP.Hồ Chí Minh , tháng 12 năm 2016 MỤC LỤC DANH MỤC HÌNH ẢNH CHƯƠNG I: HỆ THỐNG PHÁT HIỆN XÂM NHẬP I.1 KHÁI NIỆM IDS Một hệ thống phát xâm nhập IDS (Intrusion Detection Systems) thiết bị ứng dụng sử dụng để theo dõi hoạt động hệ thống mạng Có chức tự động theo dõi kiện xảy hệ thống máy tính, phân tích để phát vấn đề liên quan đến an ninh, bảo mật IDS phân biệt công bên từ bên (từ người công ty) hay cơng từ bên ngồi (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường I.2 CÁC THÀNH PHẦN VÀ CHỨC NĂNG CỦA IDS IDS bao gồm thành phần chính: - Thành phần thu thập thơng tin gói tin - Thành phần phát gói tin - Thành phần xử lý (phản hồi) I.2.1 Thành phần thu thập thơng tin gói tin Thành phần có nhiệm vụ lấy tất gói tin đến mạng Thơng thường gói tin có địa khơng phải card mạng bị card mạng huỷ bỏ card mạng IDS đặt chế độ thu nhận tất Tất gói tin qua chúng lưu, xử lý, phân tích đến trường thơng tin Bộ phận thu thập gói tin đọc thơng tin trường gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ Các thơng tin chuyển đến thành phần phát công Trang I.2.2 Thành phần phát gói tin Ở thành phần này, cảm biến đóng vai trò định Vai trò cảm biến dùng để lọc thông tin loại bỏ thông tin liệu khơng tương thích đạt từ kiện liên quan tới hệ thống bảo vệ, phát hành động nghi ngờ I.2.3 Thành phần xử lý Khi có dấu hiệu công thâm nhập, thành phần phát cơng gửi tín hiệu báo hiệu (alert) có công thâm nhập đến thành phần phản ứng Lúc thành phần phản ứng kích hoạt tường lửa thực chức nǎng ngǎn chặn công hay cảnh báo tới người quản trị Dưới số kỹ thuật ngǎn chặn Cảnh báo thời gian thực Gửi cảnh báo thời gian thực đến người quản trị để họ nắm chi tiết công, đặc điểm thông tin chúng Ghi lại vào tập tin Các liệu gói tin lưu trữ hệ thống tập tin log Mục đích để người quản trị theo dõi luồng thơng tin nguồn thông tin giúp cho module phát cơng hoạt động Ngăn chặn, thay đổi gói tin Khi gói tin khớp với dấu hiệu cơng IDS phản hồi cách xóa bỏ, từ chối hay thay đổi nội dung gói tin, làm cho gói tin trở nên khơng bình thường I.3 CÁC LOẠI IDS Có loại IDS Network Based IDS(NIDS) Host Based IDS (HIDS) Trang I.3.1 Network Based IDS Hệ thống IDS dựa mạng sử dụng dò bộ cảm biến cài đặt tồn mạng Những dò theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mơ tả sơ lược định nghĩa dấu hiệu Những bộ cảm biến thu nhận phân tích lưu lượng thời gian thực Khi ghi nhận mẫu lưu lượng hay dấu hiệu, cảm biến gửi tín hiệu cảnh báo đến trạm quản trị cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa NIDS tập nhiều sensor đặt toàn mạng để theo dõi gói tin mạng so sánh với với mẫu định nghĩa để phát cơng hay khơng Hình 1.1 : Vị trí NIDS hệ thống mạng I.3.1.1 Ưu điểm Network Based IDS - Quản lý network segment (gồm nhiều host) - Cài đặt bảo trì đơn giản, không ảnh hưởng tới mạng - Tránh DOS ảnh hưởng tới host - Có khả xác định lỗi tầng Network (trong mơ hình OSI) Trang - Độc lập với hệ điều hành I.3.1.2 Nhược điểm Network Based IDS - Có thể xảy trường hợp báo động giả (false positive), tức khơng có intrusion mà NIDS báo có intrusion - NIDS đòi hỏi phải cập nhật signature để thực an tồn - Có độ trễ thời điểm bị attack với thời điểm phát báo động Khi báo động phát ra, hệ thống bị tổn hại - Hạn chế giới hạn băng thơng Hacker cơng cách chia nhỏ liệu để xâm nhập vào hệ thống - Khơng cho biết việc attack có thành cơng hay khơng I.3.2 Host Based IDS HIDS hệ thống phát xâm phạm máy chủ cài đặt cục máy tính định làm cho trở nên linh hoạt nhiều so với NIDS Kiểm soát lưu lượng vào máy tính, triển khai nhiều máy tính hệ thống mạng HIDS cài đặt nhiều dạng máy tính khác cụ thể máy chủ, máy trạm, máy tính xách tay Trang Hình 1.2 : Vị trí HIDS hệ thống mạng I.4 KỸ THUẬT TRÁNH BỊ IDS DỊ TÌM CỦA HACKER Bên cạnh việc nhận biết dấu hiệu khả nghi dựa liệu nhận dạng gọi signature IDS phát mối đe dọa dựa hành động bất thường gọi anomaly detection Những hệ thống phát theo chế anomaly detection vào mốc chuẩn mà hệ thống hoạt động ổn định hay đạt mức an tồn, có hành vi làm thay đổi t ình trạng IDS đưa cảnh báo tương ứng Ví dụ thơng thường CPU hoạt động mức 30 % hiệu suất tăng lên 90 % tình bất thường cần quan tâm đặc biệt, băng thông mạng bị tràn ngập bở gói t in có khả hệ thốngđang bị đợt công từ chối dịch vụ Để tránh bị hệ thống IDS phát hacker kinh nghiệm thường thay đổi liệu truyển cho khung trùng khớp với liệu nhận dạng sử dụng giao thức khác UDP thay cho TCP hay HTTP thay cho ICMP để triển khai đợt cơng Ngồi ra, kẻ cơng chia gói tin thành nhiều gói tin nhỏ nhằm qua mặt IDS tổng hợp thành liệu gốc đích đến có khả gây nguy hiểm đến hệ thống Cơ chế gọi session splicing Một số kỹ thuât qua mặt IDS khác kể đến ví dụ chèn thêm liệu mở rộng, obfuscating liệu hay địa cách mã hóa, truyền thơng khơng đồng hay chiếm quyền sở hữu session client Nhiều hệ thống IDS sử dụng máy chủ tập trung để lưu trữ log từ hệ thống IDS Nếu kẻ công biết địa IP Trang máy chủ tập trung , chúng phát động công DoS/DDoS cách khác cho máy chủ chậm lại crash Kết dấu vết xâm nhập hacker không ghi lại Trang 10 CHƯƠNG II: FIREWALL II.1 KHÁI NIỆM VỀ FIRWALL Firewall hay tường lữa thiết bị phần cứng hay phần mềm có tác dụng hàng rào bảo vệ cho hệ thống mạng Firewall kiểm soát luồng liệu vào hệ thống mạng đưa hành động cho phép / từ chối (allow / deny) tập hợp quy tắt áp dụng cho luồng liệu Những thiết bị firewall phần cứng Checkpoint Firewall, Cisco ASA, CyberRoam …, firewall dạng phần mềm có IPCOP, ISA Server Firewall Khi triển khai firewall để bảo vệ hệ thống mạng cần lưu ý đến vị trí chúng Thơng thường thành phần bảo vệ đặt vùng biên (perimeter) để bảo vệ ngăn cách lớp mạng bên với bên internet Vùng bên thường gọi vùng tin cậy trusted-zone, phía bên ngồi untrusted-zone hay mơ tả màu tương ứng xanh đỏ Hình 2.1 : Kiến trúc Firewall Một số ứng dụng quy định vùng DMZ (lấy từ thuật ngữ quân vùng phi quân sự) dùng để đặt máy chủ quan trọng tổ chức máy chủ mail, web, sở liệu Vùng gán mã màu cam tách biệt hồn tồn với phí bên Trang 11 phí bên ngồi, ngăn chặn tương tác trực tiếp nhằm bảo vệ tối đa cho máy chủ quan trọng Ngoài ra, mạng lớn hay dùng hai hệ thống firewall theo mô hình back-to-back tạo hệ thống bảo vệ hai lớp đem đến an toàn cao Hai firewall thường nhà cung cấp khác hoạt động tảng công nghệ khác với mục tiêu gia tăng trở ngại cho cố gắng truy cập trái phép Theo số khuyến nghị thi firewall lớp hay dùng hệ thống application firewall ISA Server Firewall để dễ dàng quản trị có khả tích hợp với hệ thống quản trị vùng Active Directory, firewall lớp ngồi nên ứng dụng thiết bị phần cứng với t ính lọc gói tin mạnh mẽ nhằm nâng cao khả xử lý Hình 2.2 : Hệ thống back-to-back firewall II.2 CÁC LOẠI FIREWALL II.2.1 Packet Filtering Firewall Hoạt động tầng mạng mơ hình OSI thường thành phần mở rộng thiết bị định tuyến Các packet filtering firewall có khả kiểm sốt dựa địa IP nguồn đích số hiệu cổng nguồn đích luồng truyền thơng Trang 12 II.2.2 Circuit Level Gateway Firewall Hoạt động tầng Session mơ hình OSI dùng để giám sát q trình three-way handshake để xác định kết nối không hợp lệ II.2.3 Application Level Firewall Hoạt động tầng ứng dụng, firewall cao cấp có khả kiểm soát liệu truyền data payload để phát virus, trojan Các máy khách vùng trusted-zone phải cấu hình sử dụng prozy để truy cập qua firewall dạng Application Ngồi ra, firewall đại chứa chức ba loại firewall đảm nhiệm công việc tầng network, session application mơ hình OSI Những hệ thống firewall kiểu gọi Stateful Multilayer Inspection Firewall hình minh họa Hình 2.2 : Mơ hình Stateful Multilayer Inspection Firewall II.3 NHỮNG HẠN CHẾ CỦA FIREWALL Firewall khơng đủ thơng minh để đọc hiểu loại thơng tin phân tích nội dung tốt hay xấu Firewall ngăn chặn xâm nhập nguồn thông tin không mong muốn phải xác định rõ thông số địa Firewall ngăn chặn công cơng khơng "đi qua" Một cách cụ thể, Firewall không Trang 13 thể chống lại cơng từ đường dial-up, rò rỉ thông tin liệu bị chép bất hợp pháp lên đĩa mềm Firewall chống lại công liệu (data-drivent attack) Khi có số chương trình chuyển theo thư điện tử, vượt qua Firewall vào mạng bảo vệ bắt đầu hoạt động Một ví dụ virus máy tính Firewall khơng thể làm nhiệm vụ rà quét virus liệu chuyển qua nó, tốc độ làm việc, xuất liên tục virus có nhiều cách để mã hóa liệu, khỏi khả kiểm sốt Firewall Firewall ngǎn chặn kẻ xấu từ bên ngồi kẻ xấu bên Tuy nhiên, Firewall giải pháp hữu hiệu áp dụng rộng rãi Để có khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên sử dụng kết hợp với biện pháp an ninh mạng phần mềm diệt virus, phần mềm đóng gói, mã hố liệu Đặc biệt, sách bảo mật thực cách phù hợp có chiều sâu vấn đề sống để khai thác tối ưu hiệu phần mềm bảo mật Và cần nhớ công nghệ phần giải pháp bảo mật Một nhân tố quan trọng định thành công giải pháp hợp tác nhân viên, đồng nghiệp II.4 KỸ THUẬT VƯỢT FIREWALL “Võ quýt dày có móng tay nhọn”, ý nói hacker ln tìm kiếm cách thức vượt qua kiểm sốt hệ thống phòng thủ dò tìm Một cách thức vượt qua kiểm soát firewall hiệu đứng từ vùng tin cậy trusted-zone để tiến hành công Ví dụ mơ hình lab xây dựng hacker mũ trắng Mati Aharoni (thành Trang 14 viên sáng lập dự án BackTrack) ơng ta trình diễn cách thức vượt qua hệ thống firewall back – to – back cách gởi email chứa trojan đến cho nhận viên kinh doanh doanh nghiệp để yêu cầu bảng báo giá dịch vụ Khi nhân viên mở thư bị nhiễm trojan trojan đứng từ bên mạng tải công cụ từ website bên hệ thống, máy t ính mạng nội nên firewall cho phép truy cập Tiếp theo, công cụ tải tạo kết nối bao bọc gia thức khác để qua mặt firewall, vụ thể hacker muốn kiểm soát hình máy tính nhân viên kinh doanh thơng qua cổng 3389 dịch vụ remote desktop, firewall không cho phép kết nối đến máy t ính nhân viên qua cổng 3389 giải pháp đưa bọc giao thức sử dụng cổng 3389 giao thức firewall cho phép thường HTTP (80) hay SSH (22) Kỹ thuật gọi tunneling, phương pháp vượt firewall hiệu Ngồi số kỹ thuật khác : II.4.1 Kỹ thuật IP Spoofing IP Spoofing kỹ thuật sử dụng với phương pháp giả mạo địa IP tin cậy mạng nhằm vượt tường lửa, chèn thông tin bất hợp pháp vào phiên làm việc thay đổi tin định tuyến để thu thập gói tin định tuyến Kịch sau cho thấy hacker làm để vượt qua tường lửa sư dụng IP Spoofing • Ta xem xét máy tính A,B,C • Máy C máy tin cậy máy B • Máy A muốn gửi vài packets tới host B A giả mạo minh C cách thay đổi packets • Khi packets nhận được, B cho gửi từ C, thật gửi từ A Trang 15 Hình 2.3 : Cách làm việc IP Spoofing II.4.2 Tiny Fragment Đây dạng công cách chia thật nhỏ (thật khéo) IP packet ban đầu thành fragment nhỏ, cho phần thông tin TCP header nằm IP packet ban đầu nằm fragment thứ hai Do static packet filter kiểm tra fragment có offset = 0, với TCP header bị chia vậy, khả static packet filter lọc sót lớn Trong thực tế có cơng cụ sử dụng Tiny Fragment Attack để vượt qua Static Packet Filter II.4.3 Bypass Blocked Sites Using IP Address in Place of URL Ta qua mặt tường lửa cách gõ địa IP website mà ta bị block thay gõ tên miền website Hình 2.3 : Hình minh họa Bypass Blocksites IP Address Trang 16 CHƯƠNG III: HONEYPOT III.1 KHÁI NIỆM HONEYPOT III.1.1 Khái niệm Honeypot hệ thống tài nguyên thông tin xây dựng với mục đích giả dạng đánh lừa kẻ sử dụng xâm nhập không hợp pháp, thu hút ý chúng, ngăn không cho chúng tiếp xúc với hệ thống thật Hệ thống tài nguyên thông tin có nghĩa Honeypot giả dạng loại máy chủ tài nguyên Mail Server, Domain Name Server, Web Server… Honeypot trực tiếp tương tác với tin tặc tìm cách khai thác thơng tin tin tặc hình thức cơng, công cụ công hay cách thức tiến hành thay bị cơng III.1.2 Mục đích Theo nghĩa đen honeypot hủ mật để bẫy trùng câu thành ngữ Việt Nam “ mật chết ruồi” mơi trường an tồn thơng tin honeyot gọi decoy server, máy chủ giả mạo với lổ hỗng bảo mật cố tình dựng lên nhằm đánh lừa hacker, họ công vào hệ thống bị dính bẫy có khả bị truy lùng hay lưu lại phương pháp công dùng để dò tìm trojan hay mạng botnet nguy hiểm hoạt động Nếu có nhiều máy tính giả dựng lên để đánh lừa hacker hệ thống gọi honeynet Trong trình tìm kiếm nguồn gốc cơng mạng botnet chun gia bảo mật thường dùng honeypot để tự lây nhiễm virus, torjan cài đặt chương trình giám sát nhằm theo dõi kết nối hay hành động bất thường đến website hay địa IP đó, từ lần Trang 17 thoe dấu vết khả nghi Đa số hacker bị phát theo cách thiếu kinh nghiệm hay chủ quan, họ thường sử dụng máy tính nhà để điều khiển náy tính nơi quen thuộc, q trình cơng dùng biện pháp che dấu ẩn danh nên việc bị lộ chân tướng điều không tránh khỏi Vì có nhận xét thú vị hacker “Nếu bạn hacker giỏi người biết đến bạn Còn bạn hacker xuất sắc đến bạn! ” III.2 PHÂN LOẠI HONEYPOT Gồm hai loại chính: Tương tác thấp Tương tác cao - Tương tác thấp: Mô giả dịch vụ, ứng dụng, hệ điều hành Mức độ rủi ro thấp, dễ triển khai bảo dưỡng bị giới hạn dịch vụ - Tương tác cao: Là dịch vụ, ứng dụng hệ điều hành thực Mức độ thông tin thu thập cao Nhưng rủi ro cao tốn thời gian để vận hành bảo dưỡng Hình 3.1 : Honeypot - BackOfficer Friendly (BOF): Một loại hình Honeypot dễ vận hành cấu hình hoạt động phiên Trang 18 Windows Unix tương tác với số dịch vụ đơn giản FTP, Telnet, SMTP… - Specter: Cũng loại hình Honeypot tương tác thấp khả tương tác tốt BOF, giả lập 14 cổng, cảnh báo quản lý từ xa Tuy nhiên giống BOF specter bị giới hạn số dịch vụ khơng linh hoạt - Honeyd: • Honeyd lắng nghe tất cổng TCP UDP, dịch vụ mơ thiết kế với mục đích ngăn chặn ghi lại công, tương tác với kẻ cơng với vai trò hệ thống nạn nhân • Honeyd mơ lúc nhiều hệ điều hành khác Hiện nay, Honeyd có nhiều phiên mơ khoảng 473 hệ điều hành • Honeyd loại hình Honeypot tương tác thấp có nhiều ưu điểm nhiên Honeyd có nhược điểm khơng thể cung cấp hệ điều hành thật để tương tác với tin tặc khơng có chế cảnh báo phát hệ thống bị xâm nhập hay gặp nguy hiểm III.3 HONEYNET III.3.1 Khái niệm - Honeynet hình thức honeypot tương tác cao Khác với honeypots, Honeynet hệ thống thật, hồn tồn giống mạng làm việc bình thường Honeynet cung cấp hệ thống, ứng dụng, dịch vụ thật - Quan trọng xây dựng honeynet honeywall Honeywall gateway honeypots mạng Trang 19 bên ngồi Nó hoạt động tầng Bridged Các luồng liệu vào từ honeypots phải qua honeywall III.3.2 Chức - Điều khiển luồng liệu • Khi mã hiểm độc thâm nhập vào honeynet, bị kiểm sốt hoạt động • Các luồng liệu vào không bị hạn chế, ngồi bị hạn chế - Thu nhận liệu: Là trình thu nhận kiện xảy hệ thống, attacker hay đoạn mã độc hại gây Mục đích thu thập liệu ghi nhận toàn kiện diễn hệ thống Làm sở cho trình phân tích liệu sau - Phân tích liệu: Là q trình phân tích kiện diễn hệ thống sau thu thập Mục đích việc phân tích liệu nắm xảy hệ thống Với công cụ thể ta thấy rõ quy trình cơng, cơng cụ cơng mục đích công - Thu thập liệu từ honeynets nguồn tập trung Chỉ áp dụng cho tổ chức có nhiều honeynets Đa số tổ chức có honeynet III.3.3 Khả an tồn rủi ro Honeynet cơng cụ mạng, thu thập thơng tin rộng rãi nhiều mối đe dọa Để thu thơng tin đó, bạn phải cho phép attacker chương trình mã độc hại có quyền sử dụng hệ thống, thực thi hành động nó, điều làm cho hệ thống gặp nhiều rủi ro Các rủi ro khác Trang 20 tổ chức khác nhau, tổ chức phải xác định rủi ro quan trọng mà bị Có thể có loại rủi ro sau: - Gây thiệt hại cho hệ thống khác - Rủi ro hệ thống bị phát - Rủi ro hệ thống bị vơ hiệu hóa - Các rủi ro khác Để giảm thiểu rủi ro phải thực việc giám sát trì hệ thống theo thời gian thực, khơng sử dụng công cụ tự động Khi triển khai hệ thống phải thay đổi cấu hình mặc định hệ thống, công nghệ honeypot bao gồm honeywall mã nguồn mở, người tiếp xúc với mã nguồn nó, có hacker III.4 CÁC KỸ THUẬT PHÁT HIỆN HONEYPOT Một hệ thống honeypot dùng để chuyển hướng, đánh lừa theo dấu vết kẻ cơng Do đó, chuẩn bị công vào hệ thống mạng, kẻ công thường dùng hệ thống phát honeypot để cố gắng vượt qua nó, mục đích để tập trung cơng vào hệ thống mạng thật Q trình phát honeypot gồm bước sau : • Kẻ cơng phát diện honeypot cách thăm dò dịch vụ chạy hệ thống • Kẻ cơng gửi gói tin thăm dò độc hại để quét dịch vụ HTTPS, SMTPS, IMAPS • Các cổng hiển thị dịch vụ đặc biệt bị từ chối trình kết nối ba bước diện honeypot Trang 21 Nhiều công cụ Send-safe Honeypot, Hunter, Nessus Hping dùng để thám honeypot Kẻ cơng phát vỡ mục đích hệ thống honeypot cách sử dụng trình duyệt TOR ẩn dấu trò chuyện họ phương pháp mã hõa kỹ thuật giấu thư Trang 22 CHƯƠNG IV: BIỆN PHÁP ĐỐI PHÓ Một vài biện pháp đối phó để bảo vệ IDS, Firewall Honeypot khỏi qua mặt kẻ tân cơng : • Người quản trị nên tắt switch port gắn với hệ thống có cơng tung • Duy trì nâng cao nhận thức lỗ hổng bảo mật Vá lỗ hổng sớm tốt không ngoan cách lựa chọn hệ thống IDS dựa mơ hình mạng lưu lượng mạng nhận • Tương tác với tường lửa bên ngồi router để thêm số quy tắc chung nhằm block tất giao tiếp từ IP cá nhân tồn mạng • Cập nhật hệ thống IDS Firewall thường xuyên Trang 23 ... triển khai firewall để bảo vệ hệ thống mạng cần lưu ý đến vị trí chúng Thơng thường thành phần bảo vệ đặt vùng biên (perimeter) để bảo vệ ngăn cách lớp mạng bên với bên internet Vùng bên thường... rãi Để có khả nǎng bảo mật tối ưu cho hệ thống, Firewall nên sử dụng kết hợp với biện pháp an ninh mạng phần mềm diệt virus, phần mềm đóng gói, mã hố liệu Đặc biệt, sách bảo mật thực cách phù... cách phù hợp có chiều sâu vấn đề sống để khai thác tối ưu hiệu phần mềm bảo mật Và cần nhớ công nghệ phần giải pháp bảo mật Một nhân tố quan trọng định thành công giải pháp hợp tác nhân viên,