STT NỘI DUNG MÔ TẢ ĐẦU
RA Nội dung I : Khảo sát và kiểm tra, đánh giá an toàn hệ thống mạng, thiết bị bảo mật, máy chủ DNS, máy chủ sao lƣu dữ liệu dự phòng (Liên quan đến hệ thống Website) và hệ thống máy chủ Web
1.1.5 Khảo sát hệ thống mạng, thiết bị bảo mật, máy chủ DNS (Liên quan đến hệ thống Website) và hệ thống máy chủ Web
1 Khảo sát hệ thống mạng
- Khảo sát sơ đồ mạng logic - Khảo sát sơ đồ mạng vật lý Báo cáo khảo sát sơ bộ, khuyến cáo rủi ro 2 Khảo sát hệ thống định tuyến
- Khảo sát an ninh vật lý nơi đặt hệ thống
- Khảo sát chính sách định tuyến trên các thiết bị định tuyến
3 Khảo sát thiết bị chuyển mạch
- Khảo sát an ninh vật lý nơi đặt các thiết bị chuyển mạch
- Khảo sát chính sách chia VLAN trên các thiết bị chuyển mạch
- Khảo sát chính sách định tuyến trên thiết bị chuyển mạch trung tâm
4 Khảo sát các thiết bị bảo mật mạng khác có liên quan
- Khảo sát an ninh vật lý nơi các thiết bị
- Khảo sát thiết bị IDS/IPS, FireWall, Checkpoint, F5...
5 Khảo sát hệ thống máy chủ Web
- Khảo sát an ninh vật lý nơi đặt hệ thống - Khảo sát máy chủ Web
- Khảo sát máy chủ ứng dụng Web - Khảo sát máy chủ CSDL
6 Khảo sát hệ thống máy chủ DNS
- Khảo sát an ninh vật lý nơi đặt hệ thống
- Khảo sát hệ thống máy chủ DNS và các thiết bị bảo mật mạng liên quan
STT NỘI DUNG MÔ TẢ ĐẦU RA
7 Khảo sát hệ thống máy chủ sao lƣu dữ liệu dự phòng
- Khảo sát an ninh vật lý nơi đặt hệ thống
- Khảo sát hệ thống lƣu trữ, sao lƣu dữ liệu dự phòng cho hệ thống Website
1.1.6 Kiểm tra công tác sao lƣu dữ liệu dự phòng
8 Kiểm tra dữ liệu
- Kiểm tra tính hợp lệ của dữ liệu nhập vào
- Kiểm tra tính toàn vẹn, chính xác của dữ liệu (nếu đã cài đặt trƣớc phần mềm kiểm tra dữ liệu)
- Kiểm tra việc sử dụng phần mềm quản lý tập trung dữ liệu … (nếu có) Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có)
9 Kiểm tra quy trình sao lƣu dữ liệu định kỳ
- Kiểm tra sao lƣu dự phòng dữ liệu bằng phƣơng tiện gì: đĩa mềm, đĩa quang, đĩa cứng, ổ băng từ.. - Kiểm tra quy trình, công tác bảo quản phƣơng tiện sao lƣu dữ liệu (vị trí đặt…)
- Kiểm tra việc sử dụng phần mềm quản lý sao lƣu dữ liệu … (nếu có)
1.1.7 Kiểm tra và đánh giá an toàn cho hệ thống mạng và máy chủ DNS (Liên quan đến hệ thống Website) 10 Kiểm tra hạ tầng mạng phục vụ cho cổng thông tin điện tử
- Kiểm tra sơ đồ kết nối mạng, đánh dấu các nút kết nối.
- Kiểm tra việc đánh nhãn trên các dây kết nối giữa các thiết bị.
- Kiểm tra an ninh vật lý
- Kiểm tra hiệu năng các thiết bị. - Kiểm tra các thiết bị dự phòng. - Kiểm tra hệ thống lƣu điện UPS
- Kiểm tra hiệu năng phần cứng trên các thiết bị mạng Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có)
STT NỘI DUNG MÔ TẢ ĐẦU RA
- Kiểm tra quản lý cấu hình trên các thiết bị mạng - Kiểm tra cấu hình bảo mật trên các thiết bị mạng 11 Kiểm tra cấu
hình thiết bị tƣờng lửa
- Kiểm tra phƣơng án backup dự phòng và khôi phục lại khi có sự cố- Kiểm tra việc quản lý cấu hình- Kiểm tra cấu hình bảo mật- Kiểm tra các chính sách đƣợc cấu hình - Kiểm tra những chức năng cần thiết khác
12 Kiểm tra quản lý cấu hình máy chủ DNS.
- Kiểm tra việc quản lý cấu hình
- Kiểm tra phƣơng án backup dự phòng và khôi phục lại khi có sự cố
- Kiểm tra cấu hình bảo mật - Kiểm tra cấu hình bản ghi
1.1.8 Kiểm tra và đánh giá thiết bị bảo mật IDS/IPS
13 Kiểm tra môi trƣờng cài đặt thiết bị IDS/IPS
- Kiểm tra hệ thống làm mát - Kiểm tra an ninh vật lý
Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có)
14 Kiểm tra cấu hình thiết bị IDS/IPS
- Kiểm tra việc quản lý cấu hình thiết bị
- Kiểm tra phƣơng án backup dự phòng và khôi phục lại khi thiết bị có sự cố
- Kiểm tra cấu hình bảo mật 15
Kiểm tra kết nối mạng đến thiết bị IDS/IPS
- Kiểm tra việc đánh nhãn trên các dây kết nối đến thiết bị.
- Kiểm tra hiệu năng các dây kết nối đến thiết bị.
16 Kiểm tra khả năng lƣu log
STT NỘI DUNG MÔ TẢ ĐẦU RA của thiết bị 17 Kiểm tra khả năng cập nhật các dấu hiệu tấn công của thiết bị
Kiểm tra khả năng tự động cập nhật các dấu hiệu tấn công
1.1.9 Tổng hợp kết quả để lập báo cáo khảo sát
18 Biên soạn báo cáo khảo sát Nội dung I
Báo cáo gồm kết quả kiểm tra và các khuyến cáo rủi ro
Báo cáo kỹ thuật chi tiết
Nội dung II. Đánh giá an toàn hệ thống Website
1.1.10Kiểm tra đánh giá cấu hình và lỗ hổng hệ điều hành của các máy chủ dịch vụ liên quan đến website
19 Kiểm tra đánh giá cấu hình và lỗ hổng hệ điều hành của các máy chủ dịch vụ liên quan đến website
- Kiểm tra thủ công các bản vá hệ điều hành, dịch vụ hệ điều hành, đƣa ra các cảnh báo về lỗ hổng hệ điều hành
- Kiểm tra bảo mật máy chủ bằng công cụ Sysinternal Suite
- Kiểm tra bằng các công cụ kiểm tra, đánh giá tự động:
• Phần mềm kiểm tra hạ tầng Nexpose của hãng Rapid 7.
• Phần mềm kiểm tra hạ tầng Nessus của hãng Tenable.
• Phần mềm kiểm tra Nmap
• Phần mềm kiểm tra MBSA Microsoft
Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có)
STT NỘI DUNG MÔ TẢ ĐẦU RA 1.1.11Kiểm tra đánh giá các ứng dụng liên quan đến hệ thống website
20 Kiểm tra đánh giá các ứng dụng liên quan đến hệ thống website
Kiểm tra, đánh giá tính an toàn của các ứng dụng khác (nếu có) liên quan đến website.
Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có)
1.1.12Kiểm tra, đánh giá chính sách triển khai, quản lý hệ thống máy chủ Website 21 Kiểm tra, đánh giá chính sách, Triển khai, quản lý hệ thống máy chủ Website.
Kiểm tra, đánh giá chính sách, Triển khai, quản lý hệ thống máy chủ Website Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc phục nhanh (nếu có)
1.1.13Kiểm tra và đánh giá an ninh bảo mật ứng dụng Website
22 Kiểm tra quản lý cấu hình
- Kiểm tra mã hóa SSL/TLS - Kiểm tra DB Listener
- Kiểm tra về quản lý cấu hình hạ tầng - Kiểm tra về quản lý cấu hình ứng dụng - Kiểm tra về xử lý kiểu file
- Kiểm tra những file cũ, sao lƣu, không có tham
Kết quả kiểm tra sơ bộ, thông báo lỗi và khắc
STT NỘI DUNG MÔ TẢ ĐẦU RA
chiếu.
- Kiểm tra các giao diện hạ tầng và quản trị ứng dụng (nếu có)
- Kiểm tra các phƣơng thức HTTP và XST
phục nhanh (nếu có)
23 Kiểm tra xác thực tài khoản
- Kiểm tra truyền ủy nhiệm qua các kênh mã hóa - Kiểm tra liệt kê user
- Kiểm tra tài khoản khách hoặc mặc định - Kiểm tra bruteforce
- Kiểm tra khả năng vƣợt qua các lƣợc đồ xác thực - Kiểm tra lỗi nhớ hoặc đặt lại mật khẩu
- Kiểm tra thoát hoặc duyệt quản lý bộ đệm - Kiểm tra trả lời tự động (CAPTCHA) - Kiểm tra xác thực đa yếu tố (nếu có)
- Kiểm tra các điều kiện tƣơng tự (Race Conditions) 24 Kiểm tra quản
lý phiên làm việc
- Kiểm tra lƣợc đồ quản lý phiên (session) - Kiểm tra thuộc tính cookies
- Kiểm tra khả năng đặt trƣớc phiên làm việc - Kiểm tra khả năng lộ các biến phiên làm việc - Kiểm tra các lỗi giả lập yêu cầu liên kết chéo 25 Kiểm tra phân
quyền tài khoản
Kiểm tra khả năng truy cập file, thƣ mục (Path Traversal)
Kiểm tra khả năng vƣợt qua lƣợc đồ phân quyền Kiểm tra khả năng nâng quyền
26 Kiểm tra tính logic về an toàn của các quy trình nghiệp vụ
Kiểm tra tính logic: Kiểm tra về tính an toàn của các quy trình nghiệp vụ khi tin tặc không thực hiện theo những quy trình nghiệp vụ đã đƣợc đặt sẵn, hoặc khả năng có thể vƣợt qua những giới hạn về giao dịch.
STT NỘI DUNG MÔ TẢ ĐẦU RA
27 Kiểm tra xác duyệt thông tin
Kiểm tra kiểu tấn công kịch bản không liên trang liên tục (Reflected Cross Site Scripting)
Kiểm tra liểu tấn công kịch bản liên trang liên tục (Store Cross Site Scripting)
Kiểm tra kiểu tấn công kịck bản thông qua mô hình đối tƣợng tài liệu (DOM based Cross Site Scripting) Kiểm tra kiểu tấn công chèn câu truy vấn cơ sở dữ liệu (SQL Injection)
Kiểm tra kiểu tấn công chèn XML vào ứng dụng (XML Injection)
Kiểm tra kiểu tấn công chèn các lệnh thực thi phía máy chủ (SSI- Server-side Includes)
Kiểm tra kiểu tấn công chèn câu truy vấn theo giao thức truy nhập thƣ mục dịch vụ (LDAP- Lightweight Directory Access Protocol)
Kiểm tra kiểu tấn công chèn các câu truy vấn theo cú pháp của XPath (XPath Injection)
Kiểm tra kiểu tấn công vào mail máy chủ (SMTP- Simple Mail Transfer Protocol)
Kiểm tra kiểu tấn công chèn các đoạn mã thực thi lên máy chủ (Code Injection)
Kiểm tra kiểu tấn công chèn các câu lệnh hệ thống lên máy chủ (OS Commanding)
Kiểm tra lỗi tràn bộ nhớ đệm (Buffer overflow testing)
Kiểm tra các điểm nghi ngờ (Incubated vulnerability testing)
Kiểm tra kiểu tấn công thông qua việc sửa HTTP (HTTP Splitting/Smuggling)
STT NỘI DUNG MÔ TẢ ĐẦU RA 1.1.14Phân tích, rà soát kết quả kiểm tra để lập báo cáo chi tiết
28 Biên soạn báo cáo chi tiết Nội dung II
Báo cáo gồm kết quả kiểm tra, đánh giá, điểm yếu, lỗ hổng phát hiện và đƣa ra phân tích, đề xuất, khuyến nghị khắc phục các điểm yếu đƣợc tìm ra.
Báo cáo kỹ thuật chi tiết
Chƣơng 4 – ÁP DỤNG GIẢI PHÁP VÀO WEBSITE THỰC TẾ Thực hiện khảo sát, đánh giáWebsite có URL là: http://baoviet.com.vn
Hình 4.1 – Giao diện trang web thử nghiệm
2.Tóm tắt công việc
Phần này mô tả lại kết quả thực hiện quy trình đánh giá an ninh hệ thống website, dựa theo các tiêu chí đã đƣa ra ở Chƣơng 3, áp dụng với website:
+) URL: http://baoviet.com.vn +) IP: 115.146.125.13
Từ đó đƣa ra một cách nhìn tổng thế khách quan trong vấn đề bảo đảm tính an toàn của hệ thống.
Việc khảo sát đánh giá thử nghiệm quy trình trên website www.baoviet.com.vn đƣợc triển khai thực tế tại Khối CNTT - Tập đoàn Bảo Việt, học viên giữ vai trò dự thảo quy trình, lên kế hoạch, thu thập thông tin khảo sát,
thực hiện đánh giá kỹ thuật mảng Dịch vụ website, tổng hợp thông tin và báo cáo kết quả đánh giá. Trong quá trình thực hiện, học viên đƣợc hỗ trợ công việc đánh giá kỹ thuật các mảng Hạ tầng, Máy chủ và vận hành, dịch vụ máy chủ DNS bởi 03 thành viên khác trong nhóm.
3.Đối tƣợng, phạm vi và phƣơng pháp 3.1.1 Đối tƣợng và phạm vi
Đánh giá an ninh này bao gồm việc do thám, rà quét và thử nghiệm xâm nhập vào website: http://baoviet.com.vn/. Việc đánh giá dựa trên phƣơng pháp Black Box (Không đƣợc cung cấp các thông tin liên quan đến website) và White Box (Đƣợc cung cấp các thông tin liên quan đến website)
Các hạng mục thực hiện bao gồm những nội dung sau: Kiểm tra, đánh giá an toàn hạ tầng mạng;
Kiểm tra, đánh giá an toàn dịch vụ phân giải tên miền;
Kiểm tra, đánh giá an toàn công tác sao lƣu dữ liệu dự phòng; Kiểm tra, đánh giá an toàn hệ thống cổng thông tin điện tử;
3.1.2 Phƣơng pháp thực hiện
Thực hiện theo các bƣớc thuộc quy trình kháo sát, đánh giá hệ thống đã trình bày ở Chƣơng 3
4.Kết quả khảo sát, đánh giá 4.1.1 Hạ tầng mạng
Kiểm tra, đánh giá an toàn hệ thống mạng bao gồm các thiết bị chuyển mạch, tƣờng lửa, IPS/IDS, cân bằng tải. Các thiết bị trên đều có liên quan trực tiếp hoặc gián tiếp đến hệ thống website.
Kết quả kiểm tra cho thấy hạ tầng mạng có nhiều ƣu điểm nhƣng còn nhiều điểm yếu nghiêm trọng, có thể d n đến những hậu quả nhƣ: mất thông tin, mất quyền điều khiển thiết bị, hệ thống, gây gián đoạn kết nối, giao dịch và ảnh hƣởng đến hoạt động sản xuất và kinh doanh.
Căn cứ theo kết quả kiểm tra cho thấy, hệ thống mạng đƣợc quan tâm, đầu tƣ duy trì, vận hành và quản lý nghiêm túc khoa học, chuyên nghiệp. Điều này đƣợc thể hiện qua kết quả kiểm tra, có đến 75% đạt yêu cầu. Sau đây là một số ƣu điểm trong công tác đảm bảo an toàn thông tin:
Hệ thống mạng đƣợc chia thành các vùng miền riêng biệt (VLAN), đảm bảo đƣợc tính an toàn, khép kín và hạn chế tối đa các rủi ro khi có sự cố xảy ra; Vùng mạng dành riêng cho dịch vụ website đƣợc đặt trong vùng mạng riêng
(DMZ), đƣợc bảo vệ bởi các thiết bị tƣờng lửa, IDS/IPS;
Vùng mạng lƣu trữ cơ sở dữ liệu, thƣ điện tử đƣợc quy hoạch và áp dụng các chính sách truy cập chặt chẽ phù hợp mục đích sử dụng;
Hệ thống có nhiều phƣơng án dự phòng thay thế chủ động đảm bảo tính sẵn sàng của hệ thống trong các trƣờng hợp có sự cố xảy ra.
Nhược điểm
Bên cạnh những ƣu điểm trên, hạ tầng mạng phục vụ hệ thống website v n còn tồn tại một số nhƣợc điểm và lỗ hổng bảo mật. Tham chiếu theo biểu đồ tổng hợp mức độ rủi ro bên dƣới, mặc dù số lƣợng lỗ hổng bảo mật mức độ rủi ro nguy hiểm chiếm 25%, mức độ rủi ro cao chiếm 8% nhƣng đều là những lỗ hổng nghiểm trọng khiến kẻ tấn công có thể chiếm quyền điều khiển các thiết bị mạng d n đến các nguy cơ mất an toàn thông tin nhƣ mất thông tin, gián đoạn các kết nối, gây ảnh hƣởng đến hoạt động kinh doanh.
Dựa vào một số lỗ hổng và lỗi bảo mật, kẻ tấn công có thể dễ dàng chiếm quyền điều khiển thiết bị. Một số lỗi tiêu biểu đƣợc liệt kê trong bảng “Bảng tổng hợp mức độ rủi ro các lỗ hổng bảo mật mức cao và nguy hiểm hạ tầng mạng” dƣới đây:
Bảng tổng hợp mức độ rủi ro các lỗ hổng bảo mật mức cao và nguy hiểm của hạ tầng mạng Danh sách thiết bị Mô tả lỗ hổng bảo mật Rủi ro Ảnh hƣởng tới thiết bị khi bị khai thác Khai thác từ Đề xuất khuyến nghị cách giải quyết Bên ngoài Bên trong Các thiết bị chuyển mạch vùng ServerFarm và chuyển mạch lõi Sử dụng giao thức Telnet để quản trị thiết bị chuyển mạch, định tuyến
Khi sử dụng giao thức Telnet để quản lý, cấu hình thiết bị, toàn bộ thông tin về tài khoản quản trị, mật khẩu sẽ đƣợc truyền đi dƣới mạng ký tự không đƣợc mã hóa (Clear text). Lợi dụng việc này, kể tấn công có thể nghe lén đƣờng truyền và dễ dàng thu thập đƣợc thông tin về tài khoản và mật khẩu quản trị thiết bị. Từ đó chiếm quyền điều khiển.
Làm gián đoạn kết nối X Không sử dụng giao thứcTelnet để quản trị thiết bị. Thay vào đó sử dụng giao thức SSH V2 hoặc HTTPS để truy cập quản lý thiết bị Thiết bị Firewall ASA 5550, CoreSW trong vùng OSPF non- authenticatio n
Các thiết bị chuyển mạch, định tuyến không sử dụng cơ chế mã hóa và chứng thực dịch vụ định tuyến động OSPF Lợi dụng kẽ hở này, kẻ tấn công có thể chiếm
Làm gián đoạn kết nối X Cấu hình chứng thực khi sử dụng dịch vụ OSPF
ServerFarm và thay đổi toàn bộ bảng định tuyến của thiết bị, gây ảnh hƣởng lớn đến quá trình chuyển mạch và định tuyến đƣờng đi của gói tin. Các thiết bị mạng vùng Inside, Core và DMZ Luật Firewall không chặt chẽ
Bất kỳ ai trong mạng nội bộ đều có thể kết nối trực tiếp đến đƣợc thiết bị mạng,