Đang tải... (xem toàn văn)
Thông qua việc phân tích các mối đe dọa và các thông số đo lường sự an toàn của hệ thống, nghiên cứu sẽ thực hiện triển khai một số cuộc tấn công hệ thống mạng phổ biến thườ[r]
(1)TNU Journal of Science and Technology 225(09): 125 - 133
NÂNG CAO MỨC ĐỘ BẢO ĐẢM AN NINH HỆ THỐNG MẠNG TẠI VIỆT NAM BẰNG PHƯƠNG PHÁP LÀM NGƯỢC
Lê Hoàng Hiệp1, Lê Xuân Hiếu2*, Trần Lâm3, Đỗ Đình Lực1 1Trường Đại học Công nghệ thông tin & Truyền thông – ĐH Thái Nguyên, 2Đại học Thái Nguyên, 3VNPT Thái Ngun TĨM TẮT
Bài báo trình bày kết đánh giá mức độ an toàn hệ thống mạng dựa kỹ thuật làm ngược lại Nghiên cứu thực triển khai số công hệ thống mạng phổ biến, thường gặp DDoS, SQL Injection, Reverse TCP để định lượng đánh giá mức độ khả phòng thủ an ninh hệ thống dựa thực nghiệm mơ Thơng qua việc phân tích mối đe dọa thơng số đo lường, nhóm tác giả nhận diện mức độ an toàn an ninh hệ thống mạng Ba kịch công hệ thống mạng sử dụng phương pháp phát xâm nhập kiểu hộp trắng (White Box) bao gồm: (a) công máy chủ web từ bên mạng nội bộ, (b) công từ bên ngồi với trường hợp mạng tích hợp tường lửa hệ cũ (c) cơng từ bên ngồi trường hợp tích hợp tường lửa hệ Kết cho thấy với (a) mức độ bị công gây kết nghiêm trọng (tê liệt máy chủ lên tới 95%); với (b) tỉ lệ giảm 63% với (c) 19% Kết giúp nhà quản trị xây dựng giải pháp an toàn an ninh mạng cho hệ thống tốt để phịng tránh hạn chế mối đe dọa công vào hệ thống
Từ khóa: Tấn cơng DDoS; cơng SQL Injection; công Reverse TCP; công mạng; bảo mật mạng
Ngày nhận bài: 11/8/2020; Ngày hoàn thiện: 31/8/2020; Ngày đăng: 31/8/2020
IMPROVE NETWORK SECURITY SYSTEM IN VIETNAM USING REVERSE METHOD
Le Hoang Hiep1, Le Xuan Hieu2*, Tran Lam3, Do Dinh Luc1 1TNU - University of Information and Communication Technology
2Thai Nguyen University, 3VNPT Thai Nguyen ABSTRACT
This paper presents the results of evaluating the security level of a network based on reverse engineering A number of common network attacks, such as DDoS, SQL Injection, Reverse TCP were emulatedto quantify and evaluate the level of security defenses of the system based on simulation experiments Through the threat analysis and security metrics, the level of safety and security of the network were indentified Three scenarios for a network attack using White Box intrusion detection methods include: (a) attacking a web server from an internal network, (b) attacking from outside in the case of a built-in old firewall and (c) external attacking in the case of a new generation firewall The results showed that (a) the severity of the attack caused serious results (server paralysis up to 95%); (b) the server paralysis rate was decreased to 63%; and (c) the server paralysis rate was only 19% The results are promising to help administrators to build better safety and security systems as well as to prevent and limit network connections and threatens attacking their systems
Keywords: DdoS attack; SQL Injection attack; reverse TCP attack; network attack; network security
Received: 11/8/2020; Revised: 31/8/2020; Published: 31/8/2020
(2)Lê Hoàng Hiệp Đtg Tạp chí KHOA HỌC & CƠNG NGHỆ ĐHTN 225(09): 125 - 133
1 Giới thiệu
Trong vài năm gần đây, nói vấn đề hệ thống máy tính bị cơng mạng an ninh kỹ thuật số, thường thấy báo cáo cố bảo mật lớn, với mật độ dày đặc xảy cường quốc công nghệ thông tin vài quốc gia tâm điểm khác Tuy nhiên, nước ta, tình hình an ninh mạng an tồn thơng tin vài năm gần có diễn biến nguy hiểm, phức tạp Song song với mức độ số hoá việc triển khai số hoá ngày gia tăng nhanh Việt Nam, nhận thấy mối quan tâm rõ rệt từ khối doanh nghiệp an ninh mạng hệ thống Đây cơng việc quan trọng, ngày có nhiều người dùng nhiều thiết bị kết nối vào mạng năm tới Điều đem lại nhiều hội lớn cho doanh nghiệp, đồng nghĩa nguy mối công tăng theo cấp số nhân, đẩy doanh nghiệp đối mặt với nhiều mối nguy rủi ro an ninh mạng lớn An ninh mạng xử lý tình tức thời, mà cần phải trở thành tảng ưu tiên cho nỗ lực chuyển đổi số Việc quan chức năng/ tổ chức tương đối bị động trước phương án nâng cao nhận thức cộng đồng vấn đề an ninh mạng khiến cá nhân đam mê máy tính hoạt động lĩnh vực bảo mật nước ta buộc phải chủ động tự tổ chức kiện, thi lớn nhằm phổ biến thông tin rộng rãi cho cộng đồng doanh nghiệp Những kiện đóng vai trị quan trọng, khơng cung cấp thơng tin cụ thể, xác tình hình an ninh mạng nước ta, mà giới thiệu nhiều dự án bảo mật quy mơ lớn với góp mặt chun gia đầu ngành
Hình Một kiểu cơng Session Hijacking điển hình
Những mối de dọa an ninh mạng diễn biến mức độ nghiêm trọng Mọi quan/ tổ chức có nguy bị cơng Cơ quan có nhiều thơng tin nhạy cảm hệ thống chứa nhiều lỗ hổng bảo mật dễ bị tin tặc công Cho nên, tất cần phải sẵn sàng ứng cứu, khắc phục, xử lý cố Tội phạm mạng/ kẻ công (Hacker/Attacker) không ngừng cải tiến phương thức triển khai chiến dịch cơng theo hướng phức tạp khó lường hơn, nhằm trục lợi trái phép từ người dùng Internet tổ chức, doanh nghiệp tồn cầu, ví dụ điển Hình Đây lý tất công ty, quy mô hay lĩnh vực hoạt động, buộc phải sở hữu phương án phòng thủ an ninh mạng đáng tin cậy để tự bảo vệ thân khách hàng trước mối đe dọa tiềm ẩn Khi phát công mạng thực xảy đã/ muộn, hậu sở hạ tầng, kinh doanh tổ chức bị ảnh hưởng lớn Trong bối cảnh giới số thay đổi, phát triển ngày phức tạp, làm để bảo vệ mình, khơng từ điều biết mà từ ẩn số mạng, làm để chuẩn bị xây dựng khả miễn dịch phòng thủ chống lại mối đe dọa ngày phát triển Để giải vấn đề cần phải xây dựng khả phục hồi không gian mạng hiệu Đây việc tổ chức/ doanh nghiệp phải chuẩn bị, tiếp nhận, ứng phó, thích nghi phục hồi sau cố tiếp tục hoạt động vận hành theo kế hoạch
(3)Lê Hồng Hiệp Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ ĐHTN 225(09): 125 - 133
2 Cơ sở phương pháp nghiên cứu
2.1 Các kiểu công hệ thống mạng phổ biến
Mục tiêu công mạng tất hình thức xâm nhập trái phép vào hệ thống máy tính, website, sở liệu, hạ tầng mạng, thiết bị cá nhân tổ chức thơng qua mạng internet với mục đích bất hợp pháp Có nhiều kiểu công mạng thực tế nay, nhiên tóm tắt kiểu cơng sử dụng nghiên cứu [1]-[3]:
a Tấn công từ chối dịch vụ (Denial of Service): Các công từ chối dịch vụ
(DoS) thiết kế để làm cho tài nguyên mạng máy tính khơng sẵn sàng để phục vụ cho người dùng dự định Kẻ cơng thực làm từ chối dịch vụ cho nạn nhân, chẳng hạn cố tình nhập sai mật đủ lần liên tục để khiến tài khoản nạn nhân bị khóa chúng làm tải khả máy tính băng thơng mạng chặn tất người dùng lúc Mặc dù công mạng từ địa IP bị chặn cách thêm vào quy tắc tường lửa mới, nhiều hình thức cơng từ chối dịch vụ phân tán - Distributed Denial-of-Service (DDoS) có thể, cơng đến từ số lượng lớn máy tính việc bảo vệ trở nên khó khăn nhiều Các cơng bắt nguồn từ máy tính zombie botnet, loạt kỹ thuật khác bao gồm cơng phản xạ khuếch đại, hệ thống vơ tội bị lừa gửi liệu đến máy nạn nhân nhiều cách khác
b Tấn công sở liệu (SQL Injection
Attack): Hacker chèn đoạn mã code độc
hại vào Server sử dụng ngơn ngữ truy vấn có cấu trúc - Structured Query Language (SQL), mục đích để khiến máy chủ trả thông tin quan trọng mà lẽ không tiết lộ Các công SQL Injection xuất phát từ lỗ hổng website, chẳng hạn hacker cơng đơn giản cách chèn đoạn mã độc vào cơng cụ "Tìm kiếm" dễ dàng cơng website với mức bảo mật yếu
c Tấn công Reverse TCP: Một công
Reverse TCP kiểu công khai thác Mã khai thác phần mềm, đoạn
liệu chuỗi câu lệnh nhằm lợi dụng lỗi lỗ hổng ứng dụng hệ thống để tạo hành vi ngồi ý muốn khơng lường trước Khi thiết bị khởi tạo kết nối, gọi kết nối thẳng Nhưng làm điều ngược lại, server bắt đầu kết nối đến thiết bị, gọi kết nối ngược (rất hiếm) Tường lửa hoạt động theo nguyên tắc chặn tất kết nối đến Vì vậy, tất kết nối đến (kết nối ngược) bị chặn tường lửa Tuy nhiên, máy nạn nhân thiết lập kết nối (kết nối thẳng) phép kết kẻ cơng có kết nối thiết lập tới máy nạn nhân Đối với kiểu công Reverse TCP thay kẻ cơng khởi tạo kết nối rõ ràng bị chặn tường lửa, máy nạn nhân khởi tạo kết nối tới kẻ công, nhiều khả tường lửa cho phép kẻ cơng sau kiểm sốt thiết bị truyền lệnh Nó loại shell tương tác ngược
2.2 Kiểm tra xâm nhập mạng
a Pentest, viết tắt penetration testing (kiểm tra xâm nhập): hình thức đánh giá mức độ an toàn hệ thống mạng công mô thực tế Hiểu đơn giản, pentest cố gắng xâm nhập vào hệ thống để phát điểm yếu tiềm tàng hệ thống mà kẻ cơng/tin tặc khai thác gây thiệt hại Mục tiêu pentest giúp thực việc phát nhiều lỗ hổng tốt, từ khắc phục chúng để loại trừ khả bị công tương lai Người làm công việc kiểm tra xâm nhập gọi Pentester Pentest thực hệ thống mạng máy tính, ứng dụng web, ứng dụng mobile hạ tầng mạng, IoT, ứng dụng hạ tầng Cloud, phần mềm dịch vụ SaaS, API, source code, đối tượng có kết nối với Internet có khả bị công… phổ biến pentest web app mobile app Những thành phần gọi đối tượng kiểm thử (pentest target)
(4)Lê Hồng Hiệp Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ ĐHTN 225(09): 125 - 133 Khi thực xâm nhập hệ thống theo
pha hình 2, Pentester cần có cho phép chủ (admin) hệ thống phần mềm Nếu khơng, hành động xâm nhập coi xâm nhập (hack) trái phép Thực tế, ranh giới pentest hack cho phép chủ đối tượng Vì thế, khái niệm pentest có ý nghĩa tương tự ethical hacking (hack có đạo đức), Pentester cịn gọi hacker mũ trắng (white hat hacker)
b Các hình thức pentest:
- White box Testing: Trong hình thức pentest
White box, chuyên gia kiểm thử cung cấp đầy đủ thông tin đối tượng mục tiêu trước họ tiến hành kiểm thử xâm nhập mạng Những thông tin bao gồm: địa IP, sơ đồ hạ tầng mạng, giao thức sử dụng, source code mục tiêu - Gray box Testing: Pentest Gray box hình thức kiểm thử mà Pentester nhận phần thông tin đối tượng kiểm thử, ví dụ: URL, IP address,… khơng có hiểu biết đầy đủ hay quyền truy cập vào đối tượng cách toàn diện
- Black box Testing: Pentest Black box, hay gọi ‘blind testing’, hình thức pentest góc độ hacker thực tế Với hình thức này, chuyên gia kiểm thử không nhận thông tin đối tượng trước thực cơng Các Pentester phải tự tìm kiếm thu thập thông tin đối tượng để tiến hành kiểm thử xâm nhập mạng Loại hình pentest yêu cầu lượng lớn thời gian tìm hiểu nỗ lực cơng, phí khơng rẻ
Ngồi cịn hình thức pentest khác như: Double - blind testing, External testing, Internal testing, Targeted testing,… nhiên chúng không phổ biến Việt Nam sử dụng với nhu cầu đặc thù số tổ chức/ doanh nghiệp
2.3 Mơ hình phương pháp thực
Để thực hình thức, phương pháp xâm nhập mạng nghiên cứu xây dựng mơ hình thử nghiệm mơ lại hệ thống mạng nội kết nối Internet tổ chức/ công ty thực tế Các thành phần bao gồm: website đặt máy chủ chạy hệ điều hành Linux, sau cài nhiều ứng dụng khác máy tính kẻ cơng Máy tính nạn nhân (Victim) đặt bên
mạng nội Nghiên cứu thực nghiệm thực kiểm tra xem hệ thống mạng nội có khả chống lại công DDoS, SQL Injection, Reverse TCP mức độ sử dụng phương pháp phát xâm nhập kiểu White Box thông qua ba kịch công sau:
- Kịch 1: Thực công Web server từ bên hệ thống mạng nội - Kịch 2: Thực công Web server từ bên hệ thống mạng nội (đứng từ Internet để công) trường hợp Web server bảo vệ tường lửa ASA TMG
- Kịch 3: Thực công Web server từ bên hệ thống mạng nội (đứng từ Internet để công) trường hợp Web server bảo vệ tường lửa hệ Sophos UTM
3 Thực nghiệm, đánh giá
3.1 Thực nghiệm công DoS vào hệ thống
Các công xâm nhập mạng thực dựa việc sử dụng hai kỹ thuật TCP UDP flood Trong thực nghiệm sử dụng công cụ cài máy kẻ công gửi đến máy chủ lượng lớn gói tin TCP UDP đủ nhằm làm tê liệt máy chủ ba kịch bên [4]-[7]:
a Kịch 1: Tấn công Web server từ bên trong hệ thống mạng nội bộ:
Sơ đồ mô tả hệ thống mạng vị trí kẻ cơng, vị trí nạn nhân hình Website nạn nhân cài đặt hệ điều hành Linux Kẻ công sử dụng công cụ cơng DoS máy chủ nạn nhân Q trình cơng theo dõi sử dụng công cụ giám sát mạng PRTG (được cài đặt server khác) Thơng qua PRTG ta theo dõi thơng số đo tình trạng hệ thống trước sau bị công thời gian tải web, số cổng mà kẻ công sử dụng để xâm nhập mạng,…
(5)Lê Hồng Hiệp Đtg Tạp chí KHOA HỌC & CÔNG NGHỆ ĐHTN 225(09): 125 - 133 Trong thử nghiệm này, nghiên cứu sử
dụng máy tính (PC) để thực gửi lượng lớn gói tin TCP UDP vào cổng số 80 máy chủ Qua việc giám sát đo đạc thông qua công cụ giám sát, kết cho biết việc công DoS từ PC sử dụng TCP flood dường không ảnh hưởng tới hoạt động máy chủ Web (hình 4a)
Hình 4a. Thơng số lưu lượng qua Card mạng web server
Tiếp theo đó, nghiên cứu thử nghiệm cơng UDP flood thông qua cổng 80, kết hiển thị hình 4a hình 4b cho thấy kẻ công gửi khoảng 185 Mbps với lưu lượng đủ để làm dừng hoạt động tải Web
Hình 4b. Thời gian mở trang web từ bên mạng bị công UDP flood
Thông qua thực nghiệm thấy rằng, cách cơng UDP flood, kẻ cơng dễ dàng dừng lại việc tải trang web kẻ cơng cần sử dụng PC để thực công
b Kịch 2: Thực công Web server từ bên hệ thống mạng nội (đứng từ Internet để công) trường hợp Web server bảo vệ tường lửa Cisco Adaptive Security Appliance (Cisco ASA) Forefront Threat Management Gateway (TMG):
Trong trường hợp này, máy chủ web đặt bên mạng nội bộ, kẻ cơng đứng từ bên ngồi Kẻ cơng phải vượt qua hai tường lửa cài đặt sẵn trước (ASA
và TMG) để xâm nhập tới server (như hình 3) Thực nghiệm sử dụng công kiểu TCP UDP flood thông qua cổng 80 Kết công TCP flood hiển thị hình 5a, hình 5b hình 5c Qua cho thấy kẻ công gửi khoảng 60 Mbps lưu lượng vào máy chủ Web, máy chủ Web nhận thấy có 38,5 Mbps lưu lượng truy cập đến Điều giải thích hệ thống cài đặt tường lửa, chức tường lửa thực thi ngăn chặn (lọc) lưu lượng gói tin bất thường (đáng ngờ) mà phần lưu lượng từ kẻ cơng gửi tới đến máy chủ Web dẫn tới công không làm ảnh hưởng nhiều tới thời gian tải trang Web
Hình 5a. Lưu lượng từ Card mạng PC kẻ cơng
Hình 5b. Lưu lượng từ Card mạng máy chủ Web
Hình 5c. Thời gian tải trang Web từ bên ngồi Internet
Qua theo dõi kết cho thấy, sau khoảng 30 giây, tường lửa ASA chặn địa IP kẻ công trước mà chưa cần tới tường lửa TMG thực thi
(6)Lê Hồng Hiệp Đtg Tạp chí KHOA HỌC & CƠNG NGHỆ ĐHTN 225(09): 125 - 133 cơng gửi khoảng 180 Mbps Tường lửa
ASA tăng mức xử lý đạt hiệu tới mức đủ ngăn chặn hồn tồn cơng Hình 6a, hình 6b hình 6c cho thấy kết mơ tả
Hình 6a. Lưu lượng từ PC kẻ cơng
Hình 6b Lưu lượng từ Card mạng máy chủ Web
Hình 6c Thời gian mở trang web từ bên mạng nội bị công UDP flood
Trong công này, tất dịch vụ truy cập từ Internet ngừng hoạt động Kẻ cơng kết nối bên ngồi tường lửa sử dụng dung lượng tối đa 1Gbps lưu lượng khơng qua thiết bị nhà cung cấp dịch vụ ISP
c Kịch 3: Thực công Web server từ bên hệ thống mạng nội (đứng từ Internet để công) trường hợp Web server bảo vệ tường lửa thế hệ Sophos UTM
Các phiên tường lửa hệ cũ trước lỗi thời chức chúng không đủ khả ngăn chặn công mạng ngày tinh vi mạnh mẽ trước
nhiều Việc đời tường lửa hệ mới, phiên nâng cao tường lửa truyền thống với nhiều chức tích hợp sẵn, có sức mạnh hiệu cao nhiều lần chức bảo vệ máy chủ Web, email, lọc gói tin, phát xâm nhập,… Trong nghiên cứu tiếp tục thực nghiệm cách lựa chọn tường lửa Sophos UTM thay tường lửa truyền thống, cũ ASA, TMG Sơ đồ mơ hình thực nghiệm thể hình 7:
Hình 7. Mơ hình thực nghiệm công mạng với tường lửa Sophos UTM
Cách thực nghiệm tương tự hệ thống tích hợp tường lửa truyền thống ASA TMG việc gửi lưu lượng TCP UDP flood Tuy nhiên, qua kết cho thấy có khác biệt rõ rệt hiệu tường lửa hệ Sophos UTM thực thi tốt nhiều so với ASA, TMG Sophos UTM xử lý lưu lượng bình thường giữ hoạt động trang Web trình bị cơng Kết hình 8c cho thấy hiệu suất CPU trước sau công dường không đổi (mức thay đổi thấp mức trung bình 0,19%) Lưu lượng truy cập đi/ nằm khu vực đoạn mạng từ kẻ công tới Card mạng WAN tường lửa Sophos UTM cơng UDP flood diễn hình 8a, hình 8b:
(7)Lê Hồng Hiệp Đtg Tạp chí KHOA HỌC & CƠNG NGHỆ ĐHTN 225(09): 125 - 133
Hình 8b. Lưu lượng Card mạng LAN tường lửa Sophos UTM
Hình 8c. Mức sử dụng hiệu suất CPU tường lửa Sophos UTM
d Nhận xét chung kết công mạng sử dụng kiểu DoS:
Thông qua nghiên cứu thực nghiệm cho thấy, nguy tiềm ẩn cao từ công vào hệ thống mạng doanh nghiệp/ tổ chức công sử dụng kiểu UDP flood Bảng kết tóm tắt so sánh kịch cơng thực nghiệm bên trên:
Bảng 1. Kết thực nghiệm so sánh Tấn công DoS Mức độ
làm dừng tải nội dung
trang Web
Chặn dịch vụ
khác
Tải lưu lượng bên trong mạng
Tấn công TCP bên mạng
Khơng Khơng Có
Tấn cơng UDP bên mạng
Có Khơng Có
Tấn cơng TCP tới hệ thống có tích hợp ASA/TMG
Khơng Khơng Có
Tấn cơng UDP tới hệ thống có tích hợp ASA/TMG
Có Có Có
Tấn cơng TCP tới hệ thống có tích hợp Sophos UTM
Khơng Khơng Có
Tấn cơng UDP tới hệ thống có tích hợp Sophos UTM
Khơng Khơng Có
Qua bảng so sánh (Bảng 1) ta thấy, để giảm thiểu nguy công từ kẻ công ngày tinh vi, hệ thống mạng cần nâng cấp/ cập nhật hệ thống tường lửa mới, đại
3.2 Thực nghiệm công SQL Injection vào hệ thống
Trong thực nghiệm sử dụng số công cụ sau để thực công xâm nhập mạng giả định:
- Acunetix Web Vulnerability Scanner: công cụ cho phép quét ứng dụng web để nhận dạng lỗ hổng tiềm ẩn
- Burp Suite: công cụ cho phép bắt gói tin từ máy client đến ứng dụng web trích xuất thu thập liệu quét
- SQLMAP: cho phép thâm nhập vào bên sở liệu sau xác định lỗ hổng hệ thống
a Kịch 1: Tấn công xâm nhập hệ thống mạng từ bên mạng nội bộ:
Trong thực nghiệm này, nghiên cứu sử dụng số ứng dụng Web có lỗ hổng bảo mật để cơng Máy tính kẻ công cài đặt công cụ cần thiết cho công SLQ Injection Sơ đồ thực nghiệm hình 9:
Hình Sơ đồ mạng mô cho công SQL Injection từ mạng LAN Internet
Với mô hình mạng hình 9, ứng dụng Web quét tìm lỗ hổng bảo mật sử dụng công cụ Acunetix Qua liệu thu thập cho thấy hệ thống xuất nhiều điểm yếu/ lỗ hổng bảo mật hệ điều hành, loại máy chủ Web, cơng nghệ cài đặt,… để từ kẻ xấu cơng thơng qua kỹ thuật SQL Injection
b Kịch 2: Tấn công xâm nhập hệ thống mạng SQL Injection từ bên mạng Internet hệ thống tích hợp tường lửa truyền thống
Tấn công từ chối dịch vụ