CHƯƠNG 2 HỆ THỐNG CẢNH BÁO XÂM NHẬP ID S SNORT
2.4. THIẾT KẾ HỆ THỐNG THÔNG TIN
2.4.2. Các phương thức có thể tấn công hệ thống mạng hiện tại trường
2.4.2. Các phương thức có thể tấn công hệ thống mạng hiện tại trường Đại học Kinh tế trường Đại học Kinh tế
Các trường hợp tấn công được hacker sử dụng đối với hệ thống mạng
trường Đại học Kinh tế theo Hình 2.14.
a. Thu thập thơng tin
Trường hợp này, hacker sẽ thu thập thông tin về đối tượng cần tấn công
bằng nhiều cách thức khác nhau: qua đài báo, phương tiện xã hội, qua mối quan hệ, qua mạng internet, thậm chí là tới tận nơi để tìm hiểu… Thời gian tấn cơng cho hình thức này có thể mất vài ngày, vài tháng hoặc nhiều năm. Cuộc tấn công
xảy ra là thực hiện thâm nhập, gây hại hoặc âm thầm gây hại, các hacker cao thủ họ sẽ xóa dấu vết để khó phát hiện hệ thống đã bị thâm nhập.
b. Gửi email chứa phần mềm gián điệp
Kịch bản tấn công đơn giản thường được hacker sử dụng để phát tán phần mềm gián điệp là gửi email đính kèm file văn bản. Nội dung và địa chỉ của các email này là có thật, nội dung file đính kèm cũng là có thật nhưng máy tính
người dùng bị nhiễm virus do trong file có chứa sẵn phần mềm gián điệp. Khi
các file văn bản này được mở, phần mềm gián điệp sẽ xâm nhập, kiểm sốt máy tính. Chúng ẩn náu bằng cách giả dạng các phần mềm phổ biến như Windows
Update, Adobe Flash, Office,… và chỉ hoạt động khi có lệnh của những hacker nên rất khó phát hiện. Các mã độc này âm thầm đánh cắp thông tin gửi về máy chủ điều khiển hoặc nhận lệnh để thực hiện các hành vi phá hoại khác. Đây là
cách thức tấn công không mới, thông thường các phần mềm gián điệp lợi dụng lỗ hổng an ninh trong tập tin văn bản để phát tán. Các phần mềm gián điệp này không phải là những virus lây nhiễm một cách ngẫu nhiên vào hệ thống mà được phát tán một cách có chủ đích.
c. Cung cấp thiết bị có chứa sẵn mã độc
Phương thức tấn cơng khó bị kiểm soát và phát hiện nhất là các thiết bị, phần mềm chứa mã độc. Khi thiết bị hoặc phần mềm này đưa vào sử dụng, các hacker âm thầm thu thập thông tin và dữ liệu trong khi người dùng khơng hề biết
đến sự xuất hiện của nó. Việc sử dụng thiết bị, phần mềm khơng an tồn có thể
tạo ra những nguy cơ vơ cùng lớn. Phần mềm này có nguy cơ đe doạ an tồn, an ninh hệ thống an ninh mạng khi hacker có thể khai thác để chiếm quyền điều
khiển máy tính từ xa. Đặc điểm chính của các thiết bị, phần mềm là loại mã độc này được cài đặt sâu vào bên trong firmware của thiết bị và có chức năng tự khôi phục mỗi khi người dùng khởi động lại máy tính, do vậy rất khó để có thể loại
- Các tên gọi của phương thức tấn công mạng mà hệ thống mạng hiện tại trường Đại học Kinh tế có thể bị ảnh hưởng được nêu cụ thể:
+ Social Engineering: Kỹ thuật này phụ thuộc vào sơ hở của nhân viên, hacker có thể gọi điện thoại hoặc gửi e-mail giả danh người quản trị hệ thống từ đó lấy mật khẩu của nhân viên và tiến hành tấn công hệ thống. Cách tấn
công này rất khó ngăn chặn. Cách duy nhất để ngăn chặn nó là đào tạo khả
năng nhận thức của nhân viên về cách đề phòng.
+ Impersonation (mạo danh): Kĩ thuật đánh cắp quyền truy cập của
người sử dụng có thẩm quyền, hacker có thể mạo danh một người dùng hợp pháp. Ví dụ, hacker có thể nghe lén một phiên telnet sử dụng các công cụ nghe lén như tcpdump hoặc nitsniff. Dĩ nhiên sau khi lấy được password,
hacker có thể đăng nhập hệ thống như là người dùng hợp pháp.
+ Exploits (khai thác lỗ hổng): Tấn công này liên quan đến việc khai
thác lỗi trong phần mềm hoặc hệ điều hành. Các hacker thường xuyên quét
các host trong mạng để tìm các lỗi này và tiến hành thâm nhập.
+ Data Attacks (tấn cơng dữ liệu): Lập trình Script đã mang lại sự linh
động cho sự phát triển của Web và bên cạnh đó cũng mang lại sự nguy hiểm
cho các hệ thống do các đoạn mã độc. Những script hiện hành có thể chạy
trên cả server (thường xuyên) và client. Bằng cách đó, các script có thể gửi
mã độc vào hệ thống như trojan, worm, virus,…
+ Infrastructure Weaknesses (Điểm yếu cơ sở hạ tầng): Một số điểm yếu lớn nhất của cơ sở hạ tầng mạng được tìm thấy trong các giao thức truyền thông. Đa số hacker nhờ kiến thức về cơ sở hạ tầng sẵng có đã tận dụng
những lỗ hổng và sử dụng chúng như là nơi tập trung để tấn cơng. Có nhiều lỗ hổng của các giao thức truyền thơng và đã có bản vá những lỗi này tuy nhiên do sự mất cảnh giác không cập nhật bản vá kịp thời của những người quản trị hệ thống mà các hacker có thể tận dụng những lỗ hổng này để tấn công. Dĩ
nhiên hacker sẽ phải liên tục quét hệ thống để tìm những lỗ hổng chưa được
vá lỗi.
+ Denial of Service (tấn công Từ chối dịch vụ): Đây là kỹ thuật tấn
công rất được ưa chuộng của hacker. Loại tấn công này chủ yếu tập trung lưu lượng để làm ngưng trệ các dịch vụ của hệ thống mạng. Hệ thống được chọn sẽ bị tấn cơng dồn dập bằng các gói tin với các địa chỉ IP giả mạo. Để thực
hiện được điều này hacker phải nắm quyền kiểm soát một số lượng lớn các
host trên mạng (thực tế các host này khơng hề biết mình đã bị nắm quyền
kiểm soát bởi hacker) từ đó tập trung yêu cầu đến dịch vụ của hệ thống đích
cho đến khi dịch vụ bị ngưng trệ hoàn toàn.
+ Kết luận: Từ các phương thức tấn công trên xây dựng được các luật phát hiện tấn công như:
· Luật Snort cảnh báo Backdoor
Alert tcp $IN_NET 12345 -> $EXT_NET any
· Luật cảnh báo tấn công quét cổng kiểu SYN FIN Alert any any -> 20.20.20.20 any
· Luật phát hiện xâm nhập mail #Các truy cập của Mail server
Pass TCP $Mail_Server 25 <> any 1024: Pass TCP any any <> $Mail_Server 110 #Các truy cập của người quản trị
Pass TCP $Admin_Add 1024: <> $Mail_Server 443 #DNS
Pass UDP $Mail_Add 1024: <> $DNS_Server 53 #Luật cảnh báo
Alert any any <> any any
AERT TCP $WEB_SERVER 80 <> any 1024:
· Luật phát hiện dựa trên các dấu hiệu tấn công Pass TCP any 1024: <> $WEB_SERVER 22
· Luật phát hiện tấn công kiểu Dos
Alert udp any any -> 192.168.0.0/22 6838 (msg:”DoS”; content: “server”; classtype: DoS; priority: 1;)
· Luật phát hiện tấn công kiểu tràn bộ đệm
Alert ip any any -> 192.168.0.0/22 any (dsize > 5000; msg: “Goi tin
co kich thuoc lon”;)
· Luật để kiểm tra loại ping TCP
Alert tcp any any -> 192.168.0.0/22 any (flags: A; ack: 0; msg: “TCP ping detected”)
· Luật log tất cả các gói dữ liệu đi vào mạng tại port xác định Log Tcp any any - > 192.168.0.0/22 80
· Luật phát hiện các truy cập vào dịch vụ PHF trên Web Server
Alert tcp any any - > 192.168.0.0/22 80 ( content: “ /cgi-bin/phf “; msg: “ PHF probe! “;)