0

NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

9 20 0
  • NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Tài liệu liên quan

Thông tin tài liệu

Ngày đăng: 14/01/2021, 12:07

Ba kịch bản tấn công hệ thống mạng sử dụng phương pháp phát hiện xâm nhập kiểu hộp trắng (White Box) bao gồm: (a) tấn công máy chủ web từ bên trong mạng nội bộ, (b) tấn công từ bên ngo[r] (1)NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC Lê Hoàng Hiệp1, Lê Xuân Hiếu2*, Trần Lâm3, Đỗ Đình Lực1 1Trường Đại học Công nghệ thông tin & Truyền thông – ĐH Thái Nguyên, 2Đại học Thái Nguyên, 3VNPT Thái Nguyên TĨM TẮT Bài báo trình bày kết đánh giá mức độ an toàn hệ thống mạng dựa kỹ thuật làm ngược lại Nghiên cứu thực triển khai số công hệ thống mạng phổ biến, thường gặp DDoS, SQL Injection, Reverse TCP để định lượng đánh giá mức độ khả phòng thủ an ninh hệ thống dựa thực nghiệm mơ Thơng qua việc phân tích mối đe dọa thơng số đo lường, nhóm tác giả nhận diện mức độ an toàn an ninh hệ thống mạng Ba kịch công hệ thống mạng sử dụng phương pháp phát xâm nhập kiểu hộp trắng (White Box) bao gồm: (a) công máy chủ web từ bên mạng nội bộ, (b) cơng từ bên ngồi với trường hợp mạng tích hợp tường lửa hệ cũ (c) cơng từ bên ngồi trường hợp tích hợp tường lửa hệ Kết cho thấy với (a) mức độ bị công gây kết nghiêm trọng (tê liệt máy chủ lên tới 95%); với (b) tỉ lệ giảm 63% với (c) 19% Kết giúp nhà quản trị xây dựng giải pháp an tồn an ninh mạng cho hệ thống tốt để phòng tránh hạn chế mối đe dọa công vào hệ thống Từ khóa: Tấn cơng DDoS; cơng SQL Injection; công Reverse TCP; công mạng; bảo mật mạng Ngày nhận bài: 11/8/2020; Ngày hoàn thiện: 31/8/2020; Ngày đăng: 31/8/2020 IMPROVE NETWORK SECURITY SYSTEM IN VIETNAM USING REVERSE METHOD Le Hoang Hiep1, Le Xuan Hieu2*, Tran Lam3, Do Dinh Luc1 1TNU - University of Information and Communication Technology 2Thai Nguyen University, 3VNPT Thai Nguyen ABSTRACT This paper presents the results of evaluating the security level of a network based on reverse engineering A number of common network attacks, such as DDoS, SQL Injection, Reverse TCP were emulatedto quantify and evaluate the level of security defenses of the system based on simulation experiments Through the threat analysis and security metrics, the level of safety and security of the network were indentified Three scenarios for a network attack using White Box intrusion detection methods include: (a) attacking a web server from an internal network, (b) attacking from outside in the case of a built-in old firewall and (c) external attacking in the case of a new generation firewall The results showed that (a) the severity of the attack caused serious results (server paralysis up to 95%); (b) the server paralysis rate was decreased to 63%; and (c) the server paralysis rate was only 19% The results are promising to help administrators to build better safety and security systems as well as to prevent and limit network connections and threatens attacking their systems Keywords: DdoS attack; SQL Injection attack; reverse TCP attack; network attack; network security Received: 11/8/2020; Revised: 31/8/2020; Published: 31/8/2020 (2)1 Giới thiệu Trong vài năm gần đây, nói vấn đề hệ thống máy tính bị cơng mạng an ninh kỹ thuật số, thường thấy báo cáo cố bảo mật lớn, với mật độ dày đặc xảy cường quốc công nghệ thông tin vài quốc gia tâm điểm khác Tuy nhiên, nước ta, tình hình an ninh mạng an tồn thơng tin vài năm gần có diễn biến nguy hiểm, phức tạp Song song với mức độ số hoá việc triển khai số hoá ngày gia tăng nhanh Việt Nam, nhận thấy mối quan tâm rõ rệt từ khối doanh nghiệp an ninh mạng hệ thống Đây cơng việc quan trọng, ngày có nhiều người dùng nhiều thiết bị kết nối vào mạng năm tới Điều đem lại nhiều hội lớn cho doanh nghiệp, đồng nghĩa nguy mối công tăng theo cấp số nhân, đẩy doanh nghiệp đối mặt với nhiều mối nguy rủi ro an ninh mạng lớn An ninh mạng xử lý tình tức thời, mà cần phải trở thành tảng ưu tiên cho nỗ lực chuyển đổi số Việc quan chức năng/ tổ chức tương đối bị động trước phương án nâng cao nhận thức cộng đồng vấn đề an ninh mạng khiến cá nhân đam mê máy tính hoạt động lĩnh vực bảo mật nước ta buộc phải chủ động tự tổ chức kiện, thi lớn nhằm phổ biến thông tin rộng rãi cho cộng đồng doanh nghiệp Những kiện đóng vai trị quan trọng, khơng cung cấp thơng tin cụ thể, xác tình hình an ninh mạng nước ta, mà giới thiệu nhiều dự án bảo mật quy mơ lớn với góp mặt chun gia đầu ngành Hình Một kiểu cơng Session Hijacking điển hình Những mối de dọa an ninh mạng diễn biến mức độ nghiêm trọng Mọi quan/ tổ chức có nguy bị cơng Cơ quan có nhiều thơng tin nhạy cảm hệ thống chứa nhiều lỗ hổng bảo mật dễ bị tin tặc công Cho nên, tất cần phải sẵn sàng ứng cứu, khắc phục, xử lý cố Tội phạm mạng/ kẻ công (Hacker/Attacker) không ngừng cải tiến phương thức triển khai chiến dịch cơng theo hướng phức tạp khó lường hơn, nhằm trục lợi trái phép từ người dùng Internet tổ chức, doanh nghiệp tồn cầu, ví dụ điển Hình Đây lý tất công ty, quy mô hay lĩnh vực hoạt động, buộc phải sở hữu phương án phòng thủ an ninh mạng đáng tin cậy để tự bảo vệ thân khách hàng trước mối đe dọa tiềm ẩn Khi phát công mạng thực xảy đã/ muộn, hậu sở hạ tầng, kinh doanh tổ chức bị ảnh hưởng lớn Trong bối cảnh giới số thay đổi, phát triển ngày phức tạp, làm để bảo vệ mình, khơng từ điều biết mà từ ẩn số mạng, làm để chuẩn bị xây dựng khả miễn dịch phòng thủ chống lại mối đe dọa ngày phát triển Để giải vấn đề cần phải xây dựng khả phục hồi không gian mạng hiệu Đây việc tổ chức/ doanh nghiệp phải chuẩn bị, tiếp nhận, ứng phó, thích nghi phục hồi sau cố tiếp tục hoạt động vận hành theo kế hoạch (3)2 Cơ sở phương pháp nghiên cứu 2.1 Các kiểu công hệ thống mạng phổ biến Mục tiêu công mạng tất hình thức xâm nhập trái phép vào hệ thống máy tính, website, sở liệu, hạ tầng mạng, thiết bị cá nhân tổ chức thông qua mạng internet với mục đích bất hợp pháp Có nhiều kiểu công mạng thực tế nay, nhiên tóm tắt kiểu công sử dụng nghiên cứu [1]-[3]: a Tấn công từ chối dịch vụ (Denial of Service): Các công từ chối dịch vụ (DoS) thiết kế để làm cho tài nguyên mạng máy tính khơng sẵn sàng để phục vụ cho người dùng dự định Kẻ cơng thực làm từ chối dịch vụ cho nạn nhân, chẳng hạn cố tình nhập sai mật đủ lần liên tục để khiến tài khoản nạn nhân bị khóa chúng làm q tải khả máy tính băng thơng mạng chặn tất người dùng lúc Mặc dù công mạng từ địa IP bị chặn cách thêm vào quy tắc tường lửa mới, nhiều hình thức công từ chối dịch vụ phân tán - Distributed Denial-of-Service (DDoS) có thể, cơng đến từ số lượng lớn máy tính việc bảo vệ trở nên khó khăn nhiều Các cơng bắt nguồn từ máy tính zombie botnet, loạt kỹ thuật khác bao gồm cơng phản xạ khuếch đại, hệ thống vô tội bị lừa gửi liệu đến máy nạn nhân nhiều cách khác b Tấn công sở liệu (SQL Injection Attack): Hacker chèn đoạn mã code độc hại vào Server sử dụng ngơn ngữ truy vấn có cấu trúc - Structured Query Language (SQL), mục đích để khiến máy chủ trả thông tin quan trọng mà lẽ không tiết lộ Các công SQL Injection xuất phát từ lỗ hổng website, chẳng hạn hacker cơng đơn giản cách chèn đoạn mã độc vào công cụ "Tìm kiếm" dễ dàng cơng website với mức bảo mật yếu c Tấn công Reverse TCP: Một công Reverse TCP kiểu công khai thác Mã khai thác phần mềm, đoạn liệu chuỗi câu lệnh nhằm lợi dụng lỗi lỗ hổng ứng dụng hệ thống để tạo hành vi ngồi ý muốn khơng lường trước Khi thiết bị khởi tạo kết nối, gọi kết nối thẳng Nhưng làm điều ngược lại, server bắt đầu kết nối đến thiết bị, gọi kết nối ngược (rất hiếm) Tường lửa hoạt động theo nguyên tắc chặn tất kết nối đến Vì vậy, tất kết nối đến (kết nối ngược) bị chặn tường lửa Tuy nhiên, máy nạn nhân thiết lập kết nối (kết nối thẳng) phép kết kẻ cơng có kết nối thiết lập tới máy nạn nhân Đối với kiểu công Reverse TCP thay kẻ cơng khởi tạo kết nối rõ ràng bị chặn tường lửa, máy nạn nhân khởi tạo kết nối tới kẻ công, nhiều khả tường lửa cho phép kẻ cơng sau kiểm sốt thiết bị truyền lệnh Nó loại shell tương tác ngược 2.2 Kiểm tra xâm nhập mạng a Pentest, viết tắt penetration testing (kiểm tra xâm nhập): hình thức đánh giá mức độ an tồn hệ thống mạng công mô thực tế Hiểu đơn giản, pentest cố gắng xâm nhập vào hệ thống để phát điểm yếu tiềm tàng hệ thống mà kẻ cơng/tin tặc khai thác gây thiệt hại Mục tiêu pentest giúp thực việc phát nhiều lỗ hổng tốt, từ khắc phục chúng để loại trừ khả bị công tương lai Người làm công việc kiểm tra xâm nhập gọi Pentester Pentest thực hệ thống mạng máy tính, ứng dụng web, ứng dụng mobile hạ tầng mạng, IoT, ứng dụng hạ tầng Cloud, phần mềm dịch vụ SaaS, API, source code, đối tượng có kết nối với Internet có khả bị cơng… phổ biến pentest web app mobile app Những thành phần gọi đối tượng kiểm thử (pentest target) (4)Khi thực xâm nhập hệ thống theo pha hình 2, Pentester cần có cho phép chủ (admin) hệ thống phần mềm Nếu khơng, hành động xâm nhập coi xâm nhập (hack) trái phép Thực tế, ranh giới pentest hack cho phép chủ đối tượng Vì thế, khái niệm pentest có ý nghĩa tương tự ethical hacking (hack có đạo đức), Pentester cịn gọi hacker mũ trắng (white hat hacker) b Các hình thức pentest: - White box Testing: Trong hình thức pentest White box, chuyên gia kiểm thử cung cấp đầy đủ thông tin đối tượng mục tiêu trước họ tiến hành kiểm thử xâm nhập mạng Những thông tin bao gồm: địa IP, sơ đồ hạ tầng mạng, giao thức sử dụng, source code mục tiêu - Gray box Testing: Pentest Gray box hình thức kiểm thử mà Pentester nhận phần thông tin đối tượng kiểm thử, ví dụ: URL, IP address,… khơng có hiểu biết đầy đủ hay quyền truy cập vào đối tượng cách toàn diện - Black box Testing: Pentest Black box, hay gọi ‘blind testing’, hình thức pentest góc độ hacker thực tế Với hình thức này, chuyên gia kiểm thử không nhận thông tin đối tượng trước thực cơng Các Pentester phải tự tìm kiếm thu thập thông tin đối tượng để tiến hành kiểm thử xâm nhập mạng Loại hình pentest yêu cầu lượng lớn thời gian tìm hiểu nỗ lực cơng, phí khơng rẻ Ngồi cịn hình thức pentest khác như: Double - blind testing, External testing, Internal testing, Targeted testing,… nhiên chúng không phổ biến Việt Nam sử dụng với nhu cầu đặc thù số tổ chức/ doanh nghiệp 2.3 Mơ hình phương pháp thực Để thực hình thức, phương pháp xâm nhập mạng nghiên cứu xây dựng mơ hình thử nghiệm mơ lại hệ thống mạng nội kết nối Internet tổ chức/ công ty thực tế Các thành phần bao gồm: website đặt máy chủ chạy hệ điều hành Linux, sau cài nhiều ứng dụng khác máy tính kẻ cơng Máy tính nạn nhân (Victim) đặt bên mạng nội Nghiên cứu thực nghiệm thực kiểm tra xem hệ thống mạng nội có khả chống lại công DDoS, SQL Injection, Reverse TCP mức độ sử dụng phương pháp phát xâm nhập kiểu White Box thông qua ba kịch công sau: - Kịch 1: Thực công Web server từ bên hệ thống mạng nội - Kịch 2: Thực cơng Web server từ bên ngồi hệ thống mạng nội (đứng từ Internet để công) trường hợp Web server bảo vệ tường lửa ASA TMG - Kịch 3: Thực cơng Web server từ bên ngồi hệ thống mạng nội (đứng từ Internet để công) trường hợp Web server bảo vệ tường lửa hệ Sophos UTM 3 Thực nghiệm, đánh giá 3.1 Thực nghiệm công DoS vào hệ thống Các công xâm nhập mạng thực dựa việc sử dụng hai kỹ thuật TCP UDP flood Trong thực nghiệm sử dụng công cụ cài máy kẻ công gửi đến máy chủ lượng lớn gói tin TCP UDP đủ nhằm làm tê liệt máy chủ ba kịch bên [4]-[7]: a Kịch 1: Tấn công Web server từ bên trong hệ thống mạng nội bộ: Sơ đồ mô tả hệ thống mạng vị trí kẻ cơng, vị trí nạn nhân hình Website nạn nhân cài đặt hệ điều hành Linux Kẻ công sử dụng công cụ cơng DoS máy chủ nạn nhân Q trình cơng theo dõi sử dụng công cụ giám sát mạng PRTG (được cài đặt server khác) Thơng qua PRTG ta theo dõi thơng số đo tình trạng hệ thống trước sau bị công thời gian tải web, số cổng mà kẻ công sử dụng để xâm nhập mạng,… (5)Trong thử nghiệm này, nghiên cứu sử dụng máy tính (PC) để thực gửi lượng lớn gói tin TCP UDP vào cổng số 80 máy chủ Qua việc giám sát đo đạc thông qua công cụ giám sát, kết cho biết việc công DoS từ PC sử dụng TCP flood dường không ảnh hưởng tới hoạt động máy chủ Web (hình 4a) Hình 4a Thơng số lưu lượng qua Card mạng web server Tiếp theo đó, nghiên cứu thử nghiệm cơng UDP flood thông qua cổng 80, kết hiển thị hình 4a hình 4b cho thấy kẻ cơng gửi khoảng 185 Mbps với lưu lượng đủ để làm dừng hoạt động tải của Web Hình 4b Thời gian mở trang web từ bên mạng bị công UDP flood Thông qua thực nghiệm thấy rằng, cách cơng UDP flood, kẻ cơng dễ dàng dừng lại việc tải trang web kẻ cơng cần sử dụng PC để thực công b Kịch 2: Thực công Web server từ bên hệ thống mạng nội (đứng từ Internet để công) trường hợp Web server bảo vệ tường lửa Cisco Adaptive Security Appliance (Cisco ASA) Forefront Threat Management Gateway (TMG): Trong trường hợp này, máy chủ web đặt bên mạng nội bộ, kẻ cơng đứng từ bên ngồi Kẻ cơng phải vượt qua hai tường lửa cài đặt sẵn trước (ASA và TMG) để xâm nhập tới server (như hình 3) Thực nghiệm sử dụng công kiểu TCP UDP flood thông qua cổng 80 Kết công TCP flood hiển thị hình 5a, hình 5b hình 5c Qua cho thấy kẻ công gửi khoảng 60 Mbps lưu lượng vào máy chủ Web, máy chủ Web nhận thấy có 38,5 Mbps lưu lượng truy cập đến Điều giải thích hệ thống cài đặt tường lửa, chức tường lửa thực thi ngăn chặn (lọc) lưu lượng gói tin bất thường (đáng ngờ) mà phần lưu lượng từ kẻ cơng gửi tới đến máy chủ Web dẫn tới công không làm ảnh hưởng nhiều tới thời gian tải trang Web Hình 5a Lưu lượng từ Card mạng PC kẻ cơng Hình 5b Lưu lượng từ Card mạng máy chủ Web Hình 5c Thời gian tải trang Web từ bên Internet Qua theo dõi kết cho thấy, sau khoảng 30 giây, tường lửa ASA chặn địa IP kẻ công trước mà chưa cần tới tường lửa TMG thực thi (6)công gửi khoảng 180 Mbps Tường lửa ASA tăng mức xử lý đạt hiệu tới mức đủ ngăn chặn hoàn tồn cơng Hình 6a, hình 6b hình 6c cho thấy kết mơ tả Hình 6a Lưu lượng từ PC kẻ cơng Hình 6b Lưu lượng từ Card mạng máy chủ Web Hình 6c Thời gian mở trang web từ bên mạng nội bị công UDP flood Trong công này, tất dịch vụ truy cập từ Internet ngừng hoạt động Kẻ công kết nối bên tường lửa sử dụng dung lượng tối đa 1Gbps lưu lượng khơng qua thiết bị nhà cung cấp dịch vụ ISP c Kịch 3: Thực công Web server từ bên hệ thống mạng nội (đứng từ Internet để công) trường hợp Web server bảo vệ tường lửa thế hệ Sophos UTM Các phiên tường lửa hệ cũ trước lỗi thời chức chúng khơng đủ khả ngăn chặn công mạng ngày tinh vi mạnh mẽ trước nhiều Việc đời tường lửa hệ mới, phiên nâng cao tường lửa truyền thống với nhiều chức tích hợp sẵn, có sức mạnh hiệu cao nhiều lần chức bảo vệ máy chủ Web, email, lọc gói tin, phát xâm nhập,… Trong nghiên cứu tiếp tục thực nghiệm cách lựa chọn tường lửa Sophos UTM thay tường lửa truyền thống, cũ ASA, TMG Sơ đồ mô hình thực nghiệm thể hình 7: Hình Mơ hình thực nghiệm cơng mạng với tường lửa Sophos UTM Cách thực nghiệm tương tự hệ thống tích hợp tường lửa truyền thống ASA TMG việc gửi lưu lượng TCP UDP flood Tuy nhiên, qua kết cho thấy có khác biệt rõ rệt hiệu tường lửa hệ Sophos UTM thực thi tốt nhiều so với ASA, TMG Sophos UTM xử lý lưu lượng bình thường giữ hoạt động trang Web q trình bị cơng Kết hình 8c cho thấy hiệu suất CPU trước sau công dường không đổi (mức thay đổi thấp mức trung bình 0,19%) Lưu lượng truy cập đi/ nằm khu vực đoạn mạng từ kẻ công tới Card mạng WAN tường lửa Sophos UTM công UDP flood diễn hình 8a, hình 8b: (7)Hình 8b Lưu lượng Card mạng LAN tường lửa Sophos UTM Hình 8c Mức sử dụng hiệu suất CPU tường lửa Sophos UTM d Nhận xét chung kết công mạng sử dụng kiểu DoS: Thông qua nghiên cứu thực nghiệm cho thấy, nguy tiềm ẩn cao từ công vào hệ thống mạng doanh nghiệp/ tổ chức công sử dụng kiểu UDP flood Bảng kết tóm tắt so sánh kịch công thực nghiệm bên trên: Bảng Kết thực nghiệm so sánh Tấn công DoS Mức độ làm dừng tải nội dung trang Web Chặn dịch vụ khác Tải lưu lượng bên trong mạng Tấn công TCP bên mạng Không Khơng Có Tấn cơng UDP bên mạng Có Khơng Có Tấn cơng TCP tới hệ thống có tích hợp ASA/TMG Khơng Khơng Có Tấn cơng UDP tới hệ thống có tích hợp ASA/TMG Có Có Có Tấn cơng TCP tới hệ thống có tích hợp Sophos UTM Khơng Khơng Có Tấn cơng UDP tới hệ thống có tích hợp Sophos UTM Khơng Khơng Có Qua bảng so sánh (Bảng 1) ta thấy, để giảm thiểu nguy công từ kẻ công ngày tinh vi, hệ thống mạng cần nâng cấp/ cập nhật hệ thống tường lửa mới, đại 3.2 Thực nghiệm công SQL Injection vào hệ thống Trong thực nghiệm sử dụng số công cụ sau để thực công xâm nhập mạng giả định: - Acunetix Web Vulnerability Scanner: công cụ cho phép quét ứng dụng web để nhận dạng lỗ hổng tiềm ẩn - Burp Suite: cơng cụ cho phép bắt gói tin từ máy client đến ứng dụng web trích xuất thu thập liệu quét - SQLMAP: cho phép thâm nhập vào bên sở liệu sau xác định lỗ hổng hệ thống a Kịch 1: Tấn công xâm nhập hệ thống mạng từ bên mạng nội bộ: Trong thực nghiệm này, nghiên cứu sử dụng số ứng dụng Web có lỗ hổng bảo mật để cơng Máy tính kẻ cơng cài đặt công cụ cần thiết cho cơng SLQ Injection Sơ đồ thực nghiệm hình 9: Hình Sơ đồ mạng mơ cho công SQL Injection từ mạng LAN Internet Với mơ hình mạng hình 9, ứng dụng Web quét tìm lỗ hổng bảo mật sử dụng công cụ Acunetix Qua liệu thu thập cho thấy hệ thống xuất nhiều điểm yếu/ lỗ hổng bảo mật hệ điều hành, loại máy chủ Web, công nghệ cài đặt,… để từ kẻ xấu cơng thơng qua kỹ thuật SQL Injection b Kịch 2: Tấn công xâm nhập hệ thống mạng SQL Injection từ bên mạng Internet hệ thống tích hợp tường lửa truyền thống (8)kẻ công cần phải vượt qua nhiều tường lửa khác (ASA, TMG) để có quyền truy cập vào ứng dụng Web Các công SQL Injection thực lớp ứng dụng tường lửa ASA cho phép lọc lưu lượng truy cập lớp vận chuyển (Transoport layer) mơ hình TCP/IP Qua thực nghiệm cho thấy, tường lửa ASA ngăn chặn công SQL Injection Tuy nhiên, với trường hợp hệ thống có tích hợp tường lửa hệ mới, kết cho thấy có khác biệt rõ rệt so với sử dụng tường lửa truyền thống c Kịch 3: Tấn công xâm nhập hệ thống mạng SQL Injection từ bên ngồi mạng Internet hệ thống tích hợp tường lửa hệ Sophos UTM Hình 10 Sơ đồ mạng với kiểu cơng SQL Injection tích hợp tường lửa Sophos UTM Sơ đồ kịch trường hợp mô tả hình 10 Qua kết xác minh độ mạnh tường lửa Sophos UTM cho thấy có khác biệt rõ ràng so với sử dụng tường lửa truyền thống bảo vệ hệ thống Với công kiểu SQL Injection hệ thống có sử dụng tường lửa Sophos UTM khơng có nhiều tác dụng chức tường lửa ngăn cản công cách hiệu 3.3 Thực nghiệm công Reverse TCP vào hệ thống a Kịch 1: Tấn công Reverse TCP xâm nhập hệ thống từ bên mạng cục Để thực công này, nghiên cứu sử dụng máy tính PC nạn nhân cài đặt hệ điều hành Window 10 với đầy đủ tính chương trình diệt virus Trên máy tính nạn nhân cài đặt Metasploit Framework (là gói tiêu chuẩn hệ điều hành Linux) Cả hai máy tính kẻ cơng nạn nhân nằm bên mạng nội hình 11: Hình 11 Sơ đồ mạng mô công Reverse TCP từ bên mạng nội bộ Trong thực nghiệm này, nghiên cứu đưa mã độc vào phần mềm để nạn nhân cài đặt nó, phần mềm tạo liên kết gửi ngược lại cho kẻ cơng Thơng qua kiểm tra chương trình diệt virus cho thấy chương trình diệt virus khơng thể phát mã độc Tiếp theo, nghiên cứu cấu hình máy tính kẻ cơng để nhận kết nối từ máy tính nạn nhân Kẻ cơng gửi email cho nạn nhân với nội dung hấp dẫn khiến nạn nhân tin tưởng truy cập nội dung bị lừa cài đặt ứng dụng chứa mã độc mà kẻ cơng cố tình mong muốn Thông qua thực nghiệm (và liên hệ thực tế) cho thấy, kẻ cơng giành quyền truy cập/ kiểm sốt máy tính người dùng/ nạn nhân trường hợp nạn nhân có kinh nghiệm, kiến thức dễ bị lừa nội dung ảo; sau click cài đặt ứng dụng chứa mã độc kẻ công gửi tới, từ bị chiếm quyền kiểm sốt b Kịch 2: Tấn công Reverse TCP xâm nhập hệ thống từ bên ngồi, với trường hợp hệ thống tích hợp tường lửa ASA, TMG hoặc IPS Với thực nghiệm cho thấy, kẻ cơng truy cập vào bên máy nạn nhân máy nạn nhân cài chương trình diệt Virus Trong thực nghiệm kiểm tra mức độ cơng hệ thống tích hợp tường lửa truyền thống (9)Trong thực nghiệm này, nạn nhân đặt sau tường lửa ASA, TMG hệ thống phát xâm nhập IPS Kẻ cơng thực từ bên ngồi mạng Internet cần phải có địa IP cơng cộng muốn công vào nạn nhân Trong thực nghiệm cho thấy, tường lửa truyền thống hệ phát xâm nhập IPS ngăn chặn truy cập trái phép c Kịch 3: Tấn công Reverse TCP xâm nhập hệ thống từ bên ngoài, với trường hợp hệ thống tích hợp tường lửa Sophos UTM Thực nghiệm sử dụng tường lửa hệ với mơ hình sơ đồ mạng hình 12 (chỉ thay ASA Sophos UTM, không cần dùng TMG) Kết cho thấy, cố gắng kẻ công bị ngăn chặn tường lửa Điều cho thấy, với tường lửa có tính cập nhật đại đóng vai trị quan trọng việc ngăn chặn công kiểu Reverse TCP d Nhận xét chung kết công mạng sử dụng kiểu Reverse TCP: Từ thực nghiệm trình bày cho thấy, kẻ cơng truy cập vào hệ thống trường hợp gián điệp (đứng bên mạng nội bộ) đứng bên mạng Internet Tuy nhiên, hệ thống có tích hợp loại tường lửa mới, đại cản trở việc cơng mức tối đa Kết so sánh thể bảng 2: Bảng Kết so sánh kiểu công Reverse TCP qua kịch Kiểu công Mức độ xâm nhập máy tính của nạn nhân Phát hiện công Mức độ tải mạng Reverse TCP bên trong mạng nội Có Khơng Khơng Reverse TCP với hệ thống tích hợp ASA, TMG, IPS Có Khơng Khơng Reverse TCP với hệ thống tích hợp Sophos UTM Khơng Khơng Không 4 Kết luận Thông qua việc nghiên cứu, đánh giá thực nghiệm số kiểu công phổ biến hệ thống mạng mô lại sơ đồ mạng thực tế tổ chức/ công ty Việt Nam cho thấy hệ thống ln bị cơng kiểu cơng điển DoS, SQL Injection Reserve TCP lúc nào, đặc biệt kẻ cơng dùng hình thức cơng kiểu UDP flood thông qua công DoS, SQL Injection Những vấn đề điểm yếu hệ thống hạn chế, tránh hệ thống tích hợp giải pháp phòng thủ sử dụng loại tường lửa (tường lửa cứng mềm), đại cập nhật tính mạnh mẽ có khả phát dấu hiệu bất thường, lọc gói tin cấp độ cao, cảnh báo cho người quản trị mối nguy hiểm,… Bên cạnh vấn đề kỹ thuật, nghiên cứu cho thấy rằng, cảnh giác cao độ chuẩn bị kiến thức an ninh, an toàn mạng cho nhà quản trị ln ln quan trọng, với phương châm phịng tránh để từ nhà quản trị có giải pháp phù hợp, linh động, cập nhật với cơng mới, ngày tinh vi khó lường hiệu TÀI LIỆU THAM KHẢO/REFERENCES [1] R Baloch, Ethical Hacking and Penetration Testing Guide, CRC Press, 2015 [2] L H Hiep et al., “Study to applying Blockchain technology for preventing of spam email,” TNU Journal of Science and Technology, vol 208, no 15, pp 161-167, 2019 [3] A Maraj et al., “Testing of network security systems through DoS attacks,” Embedded Computing (MECO), 6th Mediterranean Conference on IEEE, 2017 [4] A Maraj et al., "Testing techniques and analysis of SQL injection attacks," Knowledge Engineering and Applications (ICKEA), 2017 2nd International Conference on IEEE, 2017 [5] T Hayajneh et al., “Performance and Information Security Evaluation with Firewalls,” International Journal of Security and Its Applications, SERSC, vol 7, no 6, pp 355-372, 2013 [6] D Loganathan, and K Ramesh, “Prevention Mechanism for Denial of Service in Web Applications Services,” International Journal of Advanced Research in Computer and Communication Engineering, vol 4, no 4, pp 480-484, 2015 Tấn công từ chối dịch vụ
- Xem thêm -

Xem thêm: NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC, NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình ảnh liên quan

Hình 1. Một kiểu tấn công Session Hijacking điển hình - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 1..

Một kiểu tấn công Session Hijacking điển hình Xem tại trang 2 của tài liệu.
Hình 2. Các pha trong chu trình kiểm tra xâm - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 2..

Các pha trong chu trình kiểm tra xâm Xem tại trang 3 của tài liệu.
b. Các hình thức pentest: - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

b..

Các hình thức pentest: Xem tại trang 4 của tài liệu.
Hình 5a. Lưu lượng từ Card mạng trên PC kẻ tấn công - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 5a..

Lưu lượng từ Card mạng trên PC kẻ tấn công Xem tại trang 5 của tài liệu.
Hình 4a. Thông số lưu lượng qua Card mạng trên web server - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 4a..

Thông số lưu lượng qua Card mạng trên web server Xem tại trang 5 của tài liệu.
Hình 4b. Thời gian mở trang web từ bên trong mạng khi bị tấn công UDP flood - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 4b..

Thời gian mở trang web từ bên trong mạng khi bị tấn công UDP flood Xem tại trang 5 của tài liệu.
Hình 6b. Lưu lượng từ Card mạng trên máy chủ Web - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 6b..

Lưu lượng từ Card mạng trên máy chủ Web Xem tại trang 6 của tài liệu.
Hình 6c. Thời gian mở trang web từ bên trong - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 6c..

Thời gian mở trang web từ bên trong Xem tại trang 6 của tài liệu.
Hình 6a. Lưu lượng từ PC của kẻ tấn công - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 6a..

Lưu lượng từ PC của kẻ tấn công Xem tại trang 6 của tài liệu.
Hình 8c. Mức sử dụng hiệu suất CPU của tường lửa Sophos UTM  - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 8c..

Mức sử dụng hiệu suất CPU của tường lửa Sophos UTM Xem tại trang 7 của tài liệu.
Qua bảng so sánh (Bảng 1) ta thấy, để giảm thiểu  nguy  cơ  tấn  công  từ  kẻ  tấn  công  ngày  càng tinh vi, các hệ thống mạng hiện nay cần  nâng  cấp/  cập  nhật  các  hệ  thống  tường  lửa  mới, hiện đại hơn - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

ua.

bảng so sánh (Bảng 1) ta thấy, để giảm thiểu nguy cơ tấn công từ kẻ tấn công ngày càng tinh vi, các hệ thống mạng hiện nay cần nâng cấp/ cập nhật các hệ thống tường lửa mới, hiện đại hơn Xem tại trang 7 của tài liệu.
Bảng 1. Kết quả thực nghiệm so sánh - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Bảng 1..

Kết quả thực nghiệm so sánh Xem tại trang 7 của tài liệu.
Hình 8b. Lưu lượng trên Card mạng LAN của tường lửa Sophos UTM  - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 8b..

Lưu lượng trên Card mạng LAN của tường lửa Sophos UTM Xem tại trang 7 của tài liệu.
Hình 12. Sơ đồ mạng mô phỏng cuộc tấn công Reverse TCP từ bên ngoài mạng Internet - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 12..

Sơ đồ mạng mô phỏng cuộc tấn công Reverse TCP từ bên ngoài mạng Internet Xem tại trang 8 của tài liệu.
Hình 10. Sơ đồ mạng với kiểu tấn công SQL Injection tích hợp tường lửa Sophos UTM  - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 10..

Sơ đồ mạng với kiểu tấn công SQL Injection tích hợp tường lửa Sophos UTM Xem tại trang 8 của tài liệu.
Hình 11. Sơ đồ mạng mô phỏng cuộc tấn công Reverse TCP từ bên trong mạng nội bộ - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Hình 11..

Sơ đồ mạng mô phỏng cuộc tấn công Reverse TCP từ bên trong mạng nội bộ Xem tại trang 8 của tài liệu.
Bảng 2. Kết quả so sánh các kiểu tấn công Reverse TCP qua 3 kịch bản  - NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG  TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC

Bảng 2..

Kết quả so sánh các kiểu tấn công Reverse TCP qua 3 kịch bản Xem tại trang 9 của tài liệu.

Từ khóa liên quan