HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THƠNG TIN BÁO CÁO AN TỒN ỨNG DỤNG WEB VÀ CSDL A10:2017 – Insufficient Logging & Monitoring GIẢNG VIÊN : TS Ngơ Quốc Dũng Thành viên nhóm : Bùi Thái Dương - B17DCAT055 Vũ Lê Long - B17DCAT120 Trần Thị Mai Anh - B18DCAT013 Mục Lục HÀ NỘI 2021 Mục Lục Chương : Tổng Quan Đề Tài Bối cảnh đề tài Mục tiêu nhiệm vụ cần đạt Phân tích triển khai vấn đề Chương : Giới Thiệu Công Cụ Tìm hiểu Iptables 1.1 Tổng quan 1.2 Kịch Tìm hiểu Snort IDS 2.1 Tổng quan Chương : Triển Khai Khai thác lỗ hổng A10:2017 OWASP với Iptables Danh Mục Hình Ản Hình : Top 10 OWASP 2017 Hình : Iptables Hình : Kiến trúc thành phần Iptables .7 Hình : Ví dụ Iptables Rules Hình : Snort Hình : Kiến trúc hoạt động Snort .8 Hình : Màn hình máy Attacker Hình : Màn hình kết nối đến máy nạn nhân .9 Hình : Màn hình Wireshark máy nạn nhân 10 Hình 10 : Màn hình Htop máy nạn nhân 10 Hình 11 : Màn hình Wireshark máy nạn nhân 11 Hình 12: Màn hình log ACK Flood Kern.log 11 Chương : Tổng Quan Đề Tài Bối cảnh đề tài Xã hội ngày phát triển, công nghệ thông tin chiếm vai trị vơ quan trong đời sống người Công nghệ thu hẹp khoảng cách, kết nối người lại với nhau, mang lại vô nhiều lợi ích trở thành phần khơng thể thiếu sông Tuy nhiên, kèm với tiên nghi đó, mối đe dọa, rủi ro song hành Bắt kịp xu đó, The Open Web Application Security Project, hay gọi tắt OWASP đời Là tổ chức phi lợi nhuận quốc tế chuyên bảo mật ứng dụng web Một nguyên tắc cốt lõi OWASP tất tài liệu họ có sẵn miễn phí dễ dàng truy cập trang web họ, giúp người cải thiện tính bảo mật ứng dụng web họ Các tài liệu họ cung cấp bao gồm tài liệu, công cụ, video diễn đàn Có lẽ dự án tiếng họ OWASP Top 10 – 10 rủi ro tiêu biểu bảo mật năm OWASP Top 10 giới chuyên gia an ninh mạng giới đánh giá cao, chọn làm tiêu chuẩn nhiều nơi Hình : Top 10 OWASP 2017 Trong đề tài lần này, chúng em xin phép giới thiệu A10:2017 Insufficient Logging & Monitoring Một vấn đề thường bị bỏ qua quan tâm đến thực tế, lại tiềm ẩn nhiều rủi ro Mục tiêu nhiệm vụ cần đạt Mục tiêu :  Tìm hiểu A10:2017 Ứng dụng Snort IDS Iptable để tác hại A10:2017 mang lại Nhiệm vụ cần đạt :  Phân tích mơ hình hoạt động IDS nói chung, Snort nói riêng  Phân tích mơ hình, cách thức hoạt động hệ thống bảo vệ Firewall nói chung, Iptables nói riêng  Demo thử nghiệm cho phần lý thuyết Phân tích triển khai vấn đề A10:2017 : Insufficient Logging & Monitoring tạm dịch “giám sát ghi nhật ký không đầy đủ” Trước tiên, cần định nghĩa Logging Monitoring :  Logging : hoạt động ghi quản lý tất liệu nhật ký tạo hệ thống  Monitoring : hoạt động theo dõi hoạt động xảy hệ thống Vậy giám sát ghi nhật ký không đầy đủ thiếu sót khâu giám sát, sinh lưu trữ log Hậu tạo nên lỗ hổng mà tin tặc khai thác gây tổn hại đến hệ thống Có thể kể đển vài ví dụ :  Sự kiện chưa ghi lại : đăng nhập không thành công, giao dịch có giá trị lớn khơng ghi cụ thể, dẫn đến khó khăn cho giám sát viên  Nhật ký không lưu (những kẻ xâm nhập truy cập vào hệ thống thường xóa nhật ký để che khuất chuyển động chúng, bạn khơng thể truy tìm nguồn gốc xâm nhập)  Phân loại xử lý log yếu, phần mềm không cảnh báo kiện dường khơng quan trọng, ví dụ: đăng nhập khơng thành cơng kiện đọc vơ hại  Đào tạo ghi nhật ký giám sát không đầy đủ  Khơng có khn khổ bảo mật kiểm tra giám sát tự động; thiếu nhân viên bảo mật có kỹ để phân tích liệu nhật ký  Quản lý xác thực  Trang web thông báo kịp thời với công thời gian thức, khiến bị thụ động q trình bảo trang web  Khơng xuất cảnh báo theo thời gian thực bị thâm nhập qt cơng cụ dị tìm lỗi  Logs lưu trữ cục Phần lớn rủi ro A10 xuất phát từ thiếu sót lọc hệ thống giám sát, hệ thống đảm bảo an tồn thơng tin tường lửa, … Làm cách để phát hệ thống tồn lỗ hổng ghi nhật ký giám sát không đầy đủ?  Thường xuyên thực kiểm thử hệ thống  Xây dựng hệ thống giám sát đầy đủ Biện pháp khắc phục :  Thường xuyên cập nhật hệ thống giám sát tiến hành kiểm thử  Đảm bảo log tạo định dạng dễ dàng sử dụng giải pháp quản lý log tập trung  Xây dựng hệ thống giám sát theo thời gian thực, kết hợp với thiết lập ghi lại log cách đầy đủ, rõ ràng, theo sách bảo mật Chương : Giới Thiệu Cơng Cụ Tìm hiểu Iptables 1.1 Tổng quan Hình : Iptables Tất liệu gửi gói tin định dạng qua internet Linux kernel cung cấp giao diện để lọc gói tin vào sử dụng bảng lọc gói tin Iptables ứng dụng dịng lệnh tường lửa Linux mà bạn sử dụng để thiết lập, trì kiểm tra bảng Bạn thiết lập nhiều bảng khác nhau, bảng chứa nhiều chuỗi, chuỗi quy tắc Mỗi quy tắc định nghĩa phải làm với gói tin phù hợp với gói Khi gói tin xác định, đưa TARGET Một target (mục tiêu) chuỗi khác để khớp với giá trị đặc biệt sau đây:  ACCEPT: gói tin phép qua  DROP: gói tin khơng phép qua  RETURN: bỏ qua chuỗi quay trở lại quy tắc từ chuỗi mà gọi  Trong phạm vi hướng dẫn iptables này, làm việc với bảng mặc định gọi lọc Bảng lọc có ba chuỗi quy tắc  INPUT – sử dụng để điều khiển gói tin đến tới máy chủ Bạn chặn cho phép kết nối dựa cổng, giao thức địa IP nguồn  FORWARD – sử dụng để lọc gói liệu đến máy chủ chuyển tiếp nơi khác  OUTPUT – sử dụng để lọc gói tin từ máy chủ bạn Cấu trúc Iptables : Hình : Kiến trúc thành phần Iptables Hình ảnh minh họa cho Rules Iptable : Hình : Ví dụ Iptables Rules Về bản, Iptable đem lại cơng dụng tốt, miễn phí dễ dàng triển khai cho cá nhân để thực tác vụ 1.2 Kịch Một hệ thống Apache Web Serverđược đặt máy ảo Kali Linux – Kali Victim có sử dụng Iptables để làm lọc phịng chống cơng DoS/DDoS Tuy nhiên, sau thời gian sử dụng, filter lỗi thời không cịn đáp ứng trước cơng Do đó, máy chủ bị cơng, gây thiệt hại cho chủ sở hữu mà Iptables không thu log Dẫn đến khó khăn khâu xác định giảm thiểu, khắc phục thiệt hại Tìm hiểu Snort IDS 2.1 Tổng quan Hình : Snort Snort NIDS Martin Roesh phát triển mơ hình mã nguồn mở Với kiến trúc thiết kế theo kiểu module, người dùng tự tăng cường tính cho hệ thống Snort việc cài đặt hay viết thêm module Cơ sở liệu luật Snort lên tới hàng nghìn luật cập nhật thường xuyên cộng đồng người sử dụng Snort chạy nhiều hệ thống Windows, Linux, OpenBSD, FreeBSD, NetBSD, Solaris, HP-UX, AIX, IRIX, MacOS,… Các thành phần Snort gồm có: ● Module giải mã gói tin (Packet Decoder) ● Module tiền xử lí (Preprocessors) ● Module phát (Detection Engine) ● Module log cảnh báo (Logging and Alerting System) ● Module xuất (Output Module) Hình : Kiến trúc hoạt động Snort Trong đó, Detection Engine module quan trọng nhất, chứa rules Snort Chương : Triển Khai Khai thác lỗ hổng A10:2017 OWASP với Iptables Iptables từ lâu tích hợp sẵn Kali Linux Khi thao tác hệ điều hành Ubuntu, ta đặt quy tắc iptables chế độ tạm thời Các quy tắc iptables bị xóa sau khởi động lại hệ thống Để lưu iptables rules vĩnh viễn, ta dùng gói có tên iptables-persistent Tính tạo điều kiện cho số cơng đến máy chủ Hình thức cơng : Tấn công dựa yếu tố người Máy chủ Apache Web Server có địa IP : 192.168.1.9 Máy Attacker có địa IP : 192.168.1.12 Sử dụng Hping3 đế công ACK Flood đến máy nạn nhân  hping3 –A 192.168.1.9 –flood –rand-source -d 100 Hình : Màn hình máy Attacker Kết thu : Hình : Màn hình kết nối đến máy nạn nhân Gần kết nối đến máy nạn nhân Ở phía máy nạn nhân, CPU tăng lên cao, xảy tượng giật lag, kết nối bên ngồi Trên hình Wireshark thu1 lượng lớn gói tin TCP gắn cờ ACK gửi đến địa đích Người dùng kiểm tra thư mục log Iptables khơng phát bất thường Hình : Màn hình Wireshark máy nạn nhân Hình 10 : Màn hình Htop máy nạn nhân Giải pháp : Dựa vào thông số Htop, xác định web server bị công ACK Flood Kiểm tra rules Iptables Sau phát rules bị xóa, thực thao tác thêm rules vào lại table  iptables -N ack flood  iptables -A INPUT -i eth0 -p tcp –tcp-flags ACK ACK -j ack_flood  iptables -A ack flood -m limit limit 1/s limit-burst 10 -j LOG logprefix " iptables ACK flood: "  iptables -A ack flood -m limit limit 1/s limit-burst 10 -j RETURN  iptables -A ack flood -j DROP Sau đó, cài gói iptables-persistent cho máy để lưu lại rules :  sudo apt-get update  sudo apt-get install iptables-persistent  iptables-save > /etc/iptables/rules.v4 Khởi động lại hệ điều hành, ta thấy gói tin gửi khơng có gói reply gắn cờ RST trở 10 Máy nạn nhân CPU Disk có hoạt động bình thường Hình 11 : Màn hình Wireshark máy nạn nhân Tấn công bị chặn bắt ghi log lại /var/log/kern.log Hình 12: Màn hình log ACK Flood Kern.log 11 ... liệu nhật ký  Quản lý xác thực  Trang web thông báo kịp thời với công thời gian thức, khiến bị thụ động trình bảo trang web  Không xuất cảnh báo theo thời gian thực bị thâm nhập qt cơng cụ dị... : Tổng Quan Đề Tài Bối cảnh đề tài Xã hội ngày phát triển, công nghệ thơng tin chiếm vai trị vơ quan trong đời sống người Công nghệ thu hẹp khoảng cách, kết nối người lại với nhau, mang lại vơ... tắc cốt lõi OWASP tất tài liệu họ có sẵn miễn phí dễ dàng truy cập trang web họ, giúp người cải thiện tính bảo mật ứng dụng web họ Các tài liệu họ cung cấp bao gồm tài liệu, công cụ, video diễn