Phân tích các vấn đề bảo mật trên mạng LAN: Lọc gói tin và nguy cơ từ việc cấu hình tường lửa sai

MỤC LỤC

Lọc gói tin

    Các bức tường lửa lọc gói tin nh Firewall-1 của Check Point, Cisco PIX, và IOS của Cisco (Cisco IOS có thể được xác lập dới dạng một bức tường lửa) tùy thuộc vào các ACL (danh sách kiểm soát truy cập) hoặc các quy tắc để xác định xem luồng traffic có đợc cấp quyền để truyền vào/ra mạng bên trong. Một ACL tự do nh "Cho phép tất cả mọi hoạt động từ cổng nguồn 53" có thể đợc sử dụng thay vì cho phép hoạt động từ serverDNS của ISP với cổng nguồn 53 và cổng đích 53." Nguy cơ tồn tại các cấu hình sai này có thể gây tàn phá thực sự, cho phép một hắc cơ quét nguyên cả mạng từ bên ngoài. Nếu chạy công cụ serverlokid trên một hệ thống đứng sau bức tường lửa cho phép ICMP ECHO và ECHO REPLY, bạn cho phép attacker chạy công cụ clien (loki), đóng khung mọi lệnh gửi đi trong các gói tin ICMP ECHO đến server(lokid).

    Cảnh giỏc: nếu ISP theo dừớ thời gian hoạt động của hệ thống bạn đằng sau bức tường lửa của bạn với các ping ICMP (hoàn toàn không nên!), thì các ACL này sẽ phá vỡ chức năng trọng yếu của chúng. Bảo mật “nội tuyến” tương tự như trong kiến trúc tường lửa di trú kép hay một cổng chống vi rút được đặt ngược chiều từ các ứng dụng được bảo vệ và áp dụng các dịch vụ ngăn ngừa xâm nhập cho nhiều ứng dụng xuôi chiều của các IPS. Theo đúng nghĩa của khái niệm này, ta có thể định nghĩa như sau“Một Hệ thống Ngăn ngừa Xâm nhập “nội tuyến” (inline) là bất kỳ một thiết bị phần cứng hay phần mềm nào có khả năng phát hiện và ngăn ngừa các cuộc tấn công đã quen biết”.

    Rốt cuộc, chúng chia sẻ một danh sách các chức năng giống nhau như kiểm tra gói tin, phân tích có trạng thái, ráp lại các đoạn, ráp lại các TCP-segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức và thích ứng chữ ký. Mặt khác, những giải pháp IDS được “nhồi” trí thông minh có sử dụng nhiều kỹ thuật khác nhau để nhận biết những cuộc xâm nhập, những khai thác, lạm dụng bất chính và các cuộc tấn công tiềm tàng. - Sự lạm dụng giao thức và những hành động lảng tránh – những thao tác giao thức mạng giống như Fragroute và những khảo sát lấn TCP (TCP overlap exploits) – thông qua sự ráp lại thông minh.

    Ngoài ra, những khác thường trong các giao thức truyền thông từ mạng qua lớp ứng dụng không có chỗ cho bất cứ loại lưu lượng hợp pháp nào, làm cho các lỗi trở thành tự chọn lọc trong ngữ cảnh xác định. Trạng thái của công nghệ IPS là chưa chín muồi nếu bạn xem xét ở góc độ sản phẩm của từng nhà cung cấp đơn lẻ với tất cả các tính năng phát hiện, giám sát, ngăn ngừa, cập nhật và báo cáo trên mỗi sự truyền tải cho truy nhập vào trong và ra ngoài qua một điểm nghẽn (choke-point) mạng đặc biệt. IDS là một hệ thống tự động giám sát trong thời gian thực (Network-Based IDS) hay xem sét lại các thiết lập giám sát (audit log) nhằm phát hiện ra các lỗi bảo mật và các tấn công trực tiếp tới hệ thống mạng hay tới một máy chủ.

    Trong một hệ thống mạng yêu cầu độ an toàn cao thì sẽ có rất nhiều honey-pot với thiết lập và nội dung giống hệt nhưng hệ thống mạng thực tế, do đó kẻ tấn công sẽ rất khó khăn trong việc xác định mạng nào là mạng thật.

    Hình dưới đây thể hiện một host-based IDS được hoạt động nhằm nâng cao bảo mật cho hệ điều hành.
    Hình dưới đây thể hiện một host-based IDS được hoạt động nhằm nâng cao bảo mật cho hệ điều hành.

    Bảo Mật Dữ Liệu

    Phòng chống các cuộc tấn công Sniffer 1. Cách ngăn chặn những kẻ muốn Sniffer dữ liệu

    Khi Sniffer một E-mail không được mãhoá, chúng không chỉ biết được nội dung của mail, mà chúng còn có thể biết được các thông tin như địa chỉ của người gửi, địa chỉ của người nhận…Chính vì vậy để đảm bảo an toàn và tính riêng tư cho E-mail bạn cũng cần phải mã hoá chúng…S/MIME được tích hợp trong hầu hết các chương trình gửi nhận Mail hiện nay như Netscape Messenger, Outlock Express…. Để phòng chống các cuộc tấn công kiểu này: bạn cần nâng cao ý thức cảnh giác cho những người sử dụng trong hệ thống mạng VPN của bạn, đồng thời sử dụng các chương trình quét Virus để phát hiện và ngăn chặn không để hệ thống bị nhiễm Trojan. Bạn đồng thời sử dụng các giao thức, phương pháp để mã hoá password cũng như sử dụng một giải pháp chứng thực an toàn (Authentication): - SMB/CIFS: Trong môi trường Windows/SAMBA bạn cần kích hoạt tính năng LANmanager Authencation.

    Thông thường để giảm bớt lưu lượng ARP trên đường truyền, đa số các máy tính sẽ đọc và sử dụng các thông tin từ bộ đệm (Cache) mà chúng truy vấn được từ Broadcast. Bởi vậy một Hacker có thể Redirect những máy tính gần mình để vượt qua sự phòng thủ này bằng cách gửi những gói ARP chứa đựng những thông tin về địa chỉ IP của Router đến chính địa chỉ MAC của anh ta. Khi gửi một yêu cầu phản hồi tới địa chỉ IP của máy tính nào đó trong mạng (máy mà bạn cần kiểm tra xem có bị cài đặt Sniffer hay không), nhưng không thông qua Adapter Ethernet của nó.

    Nếu bạn thấy sự trả lời từ địa chỉ mà bạn nghi ngờ không phải trên địa chỉ lọc của MAC (MAC Address Filter) trên Ethernet Card…Máy tính có địa chỉ IP 10.0.0.1 đã bị cài đặt Sniffer Bằng các kỹ thuật của mình các Hacker vẫn có thể né tránh được phương pháp nêu trên. Lúc này bất cứ máy tính nào trả lời lại anh ta mà không bằng ARPing, anh ta có thể chụp được các thông tin về địa chỉ MAC của máy tính này bằng cách sử dụng Sniffer để chụp các khung ARP (ARP Frame). Phương pháp này sử dụng những thông tin như địa chỉ nguồn và địa chỉ đích trong mỗi Header của IP để phát hiện hành động Sniff trên từng đoạn mạng.

    Rất nhiều giao thức sử dụng các Password không được mã hoá trên đường truyền, các Hacker rất coi trọng những Password này, phương pháp giăng bẫy này sẽ thoả mãn điều đó. Đơn giản bạn chỉ cần giả lập những Client sử dụng Service mà Password không được mã hoá như : POP, FTP, Telnet, IMAP..Bạn có thể cấu hình những User không có quyền hạn, hay thậm chớ những User khụng tồn tại.

    Một số công cụ Sniffe 1. Wirehark

    Tcpdump là một công cụ IP sniffers được sử dụng trước khi có Ethereal (Wireshark), và hiện nay vẫn được một số người dựng. Nú khụng cú giao diện đồ họa đẹp và rừ ràng như Wireshark, nhưng nó hoạt động hiệu quả và không có nhiều lỗ hổng bảo mật như Ethereal. Do đó nó hỗ trợ ít tính năng hơn, nó rất hiệu quả trong xác định những yếu tố nào đang làm cho hệ thống mạng bị nghẽn, các giao tiếp thực tế chiếm băng thông trên mạng.

    Trên hệ thống UNIX thường dùng các tài nguyên miễn phí còn trên nền tảng Windows thì thường không phải như vậy. Trên nền tảng Windows có nhiều Tools cho phép Crack password nhưng rất ít tools cho phép tóm các gói tin trên mạng giải mã ngược lại để lấy được Password mong muốn. Cain & Abel là một tools vừa có thể Crack Password trên windows khi ngồi tại máy tính hay có thể tóm các gói tin trên mạng và giải mã ngược lại sử dụng: Dictionary và Bruforce Attack.

    Hỗ trợ LAN Switch và có khả năng OS fingerprint (đoán hệ điều hành của các máy tính online trên mạng). Là một tool rất hiệu quả để giám sát hệ thống mạng và thực hiện penetration- testing. Công cụ này rất phổ biến, được phát triển bởi Dug Song. Bao gồm các tính năng:. dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, và giám sát truy cập web. Nó cũng rất hiệu quả để tó các gói tin chứa Password, Email, File.). Netstumbler được biết đến như một công cụ tốt nhất trên Windows để tìm kiếm những Access Points đang hoạt động. Một công cụ sử dụng để giám sát các giao tiếp trên mạng Ntop hiển thị các giao tiếp nào trên mạng đang chiếm nhiều băng thông nhất, những dịch vụ nào đang chiếm băng thông.

    Ngrep cho phép hiển thị thông tin Sniffer được dưới nhiều dạng như ở dạng bình thường là Hexa.Với tính năng lọc khá tốt và thường kết hợp với tcpdump và snoop. Không như giao diện console của Kismet, KisMAC có giao diện đồ họa dễ dàng thực hiện và lọc các kết quả Sniffer được trên môi trường đồ họa.Kết hợp với Pcap cho phép import các kết quả và vài khả năng giải mã cho phép thực hiện xác thực vào các hệ thống khác nhau.