3. Cho điểm của cán bộ h− ớng dẫn:
2.3.2 Tƣờng lửa (Firewall)
2.3.2.1 Khỏi niệm tường lửa.
Firewall là một kĩ thuật được tớch hợp vào hệ thống, để chống lại sự truy cập trỏi phộp, nhằm bảo vệ cỏc nguồn tin nội bộ cũng như hạn chế sự xõm nhập vào hệ thống của một số thụng tin khỏc khụng mong muốn.
Firewall quyết định những dịch vụ nào từ bờn trong được phộp truy cập từ bờn ngoài, những người nào từ bờn ngoài được phộp truy cập đến cỏc dich vụ bờn trong, những dịch vụ nào bờn ngoài được phộp truy cập bởi những người bờn trong.
2.3.2.2 Phõn loại tường lửa.
Cú 2 loại tường lửa chớnh là:
Ủy quyền ứng dụng (Application proxies). Cổng lọc gúi tin (Packet filtering gateway).
2.3.2.3 Nhận dạng tường lửa.
Hầu hết cỏc Firewall đều cú cỏc dạng đặc trưng. Chỉ cần thực hiện một số thao tỏc như quột cổng, lập cầu lửa, nắm giữ biểu ngữ đơn giản là những kẻ tấn cụng cú thể xỏc định được loại tường lửa, phiờn bản, và qui tắc của hầu hết cỏc tường lửa trờn mạng.
Việc nhận dạng này là rất quan trọng, vỡ khi đó biết cỏc thụng tin đớch xỏc về tường lửa, thỡ cú thể khai thỏc được cỏc điểm yếu của chỳng.
28
1) Quột trực tiếp: kĩ thuật “Noisy”.
Cỏch đơn giản nhất để tỡm kiếm tường lửa là quột cỏc cổng ngầm định cụ thể. Một số tường lửa sẽ tự định danh duy nhất bằng cỏc đợt quột cổng miễn là ta cần biết nội dung cần tỡm kiếm.
Vớ dụ ProxyServer của Microsoft thường lắng nghe trờn cỏc cổng TCP 1080 và 1745. Quỏ trỡnh tỡm kiếm cỏc kiểu tường lửa trờn là khụng khú đối với bộ quột cổng như nmap:
nmap -n -vv –p0 -p256,1080,1745 192.168.50.1 - 60.254
Dựng tham số –p0 để vụ hiệu húa tớnh năng “ping” ICMP trước khi quột. Điều này là quan trọng vỡ hầu hết cỏc Firewall khụng đỏp ứng cỏc yờu cầu “dội” ICMP.
Hacker cú thể dựng nhiều kĩ thuật để thoỏt khỏi sự giỏm sỏt của ta, bằng cỏch gửi ngẫu nhiờn húa cỏc gúi tin, cỏc cổng đớch, cỏc địa chỉ đớch, cỏc cổng nguồn và thực hiện cỏc đợt quột nguồn cú phõn phối.
Cỏch phũng chống:
Ta cần phải phong tỏa cỏc kiểu quột này tại cỏc bộ định tuyến biờn, hoặc dựng cụng cụ phỏt hiện đột nhập nào đú. Nếu sử dụng Real Secure 3.0 để phỏt hiện tiến trỡnh quột cổng, thỡ phải nõng cao độ nhạy cảm của nú và phải sử dụng cỏc thay đổi sau:
- Chọn Network Engine Policy. - Tỡm “ Port scan” và chọn Option. - Thay đổi Ports thành 5 ports. - Thay đổi Delta thành 60 seconds.
Để ngăn chặn cỏc đợt quột cổng Firewall, ta cần phong tỏa cỏc cổng này trờn cỏc router đứng trước Firewall.
2) Rà tuyến đường (Router tracking)
Một cỏch õm thầm và khụn khộo hơn để tỡm tường lửa đú là dựng “Tracerouter”. Chỳng ta cú thể sử dụng traceroute trờn mụi trường UNIX và tracert.exe trờn mụi trường Windows NT, để tỡm đường đến mục tiờu. Traceroute của LINUX cú tựy chọn I, để thực hiện việc rà đường bằng cỏch gửi đi cỏc gúi ICMP:
[ sm@atsunami sm] $ traceroute - I www.yourcompany.com
traceroute to www.yourcompany.com ( 172.17.100.2 ) , 30 hops max, 140 byte packets 1 attack-gw ( 192.168.50.21) 5.801 ms 5.105 ms 5.445 ms 2 gw1.smallisp.net ( 192.168.51.l) 3 gw2.smallisp.net ( 192.168.52.2) ... 13 hssi.bigisp.net ( 10.55.201.2 ) 14 seriall.bigisp.net ( 10.55.202.l) 15 www.yourcompany.com( 172.29.11.2)
30
3) Nắm giữ biểu ngữ (Banner grabbing)
Quột cổng là biện phỏp hiệu quả trong việc nhận dạng firewall, nhưng chỉ cú Checkpoint và Firewall của Microsoft nghe trờn cỏc cổng ngầm định, cũn hầu hết cỏc tường lửa thỡ khụng như vậy, do đú việc phỏt hiện cần phải suy diễn.
Nhiều tường lửa phổ biến thường thụng bỏo sự hiện diện của mỡnh mỗi khi cú kết nối tới chỳng. Nú sẽ cụng bố chức năng của mỡnh với tư cỏch một tường lửa, một số sẽ quảng cỏo kiểu và phiờn bản của mỡnh.
Vớ dụ khi chỳng ta dựng chương trỡnh netcat để kết nối tới một mỏy tớnh nghi ngờ cú tường lửa qua cổng 21 (FTP), ta cú thể tỡm thấy một số thụng tin:
C:\TEMP>nc -v -n 192.168.51.129 21 (unknown) [192.168.51.129] 21 (?) open 220 Secure Gateway FTP sever ready
Biểu ngữ "Secure Gateway FTP sever ready" là dấu hiệu tường lửa cũ của Eagle Raptor. Để chắc chắn hơn ta cú thể kết nối tới cổng 23 (telnet), sẽ xỏc nhận tờn bức tường lửa là “Eagle” :
C:\TEMP>nc -v -n 192.168.51.129 23 (unknown) [192.168.51.129] 23 (?) open
Eagle Secure Gateway.Hostname :
Cuối cựng nếu vẫn chưa chắc chắn, ta cú thể sử dụng netcat với cổng 25 (SMTP) và nú sẽ bỏo cho ta biết nú là gỡ:
C:\TEMP>nc -v -n 192.168.51.129 25 (unknown) [192.168.51.129] 25 (?) open
421 fw3.acme.com Sorry, the firewall does not provide mail service to you Trong cỏc vớ dụ trờn, cỏc thụng tin thu được từ biểu ngữ cú thể được cỏc hacker sử dụng để tấn cụng Firewall.
Biện phỏp phũng chống: Cần phải giảm thiểu cỏc thụng tin biểu ngữ quảng cỏo, cú thể thay đổi cỏc tập tin cấu hỡnh biểu ngữ.
4) Định danh cổng (Port indentification)
Một số Firewall cú dấu hiệu nhận dạng, cú thể được dựng để phõn biệt với cỏc Firewall khỏc, bằng cỏch hiện ra một sờri cỏc con số. Vớ dụ Check Point sẽ hiển thị một sờri con số khi kết nối tới cổng TCP 257 quản lớ SNMP.
Sự hiện diện của cỏc cổng từ 256 tới 259 trờn hệ thống, chớnh là dấu hiệu bỏo trước sự cú mặt của CheckPoint Firewall-1, ta cú thể thử như sau:
[ root@bldg_043 # nc -v -n 192.168.51.1 257 (UNKNOWN) [ 192.168.51.1] 257 ( ? ) open 30000003 [ root@bldg_043 # nc -v -n 172.29.11.19l 257 (UNKNOWN ) [ 172.29.11.191] 257 ( ? ) open 31000000 Cỏch phũng chống:
Để ngăn cản cỏc tuyến nối với cổng TCP 257, phải phong tỏa chỳng tại cỏc bộ định tuyến thượng nguồn. Một Cisco ACL đơn giản dưới đõy cú thể từ chối sự tấn cụng của hacker:
access -list 101 deny tcp any any eq 257 log ! Block Firewall- l scans
2.3.2.4 Những hạn chế của Firewall.
Firewall chỉ ngăn chặn được sự xõm nhập của những thụng tin khụng mong muốn, nhưng phải xỏc định rừ cỏc thụng số địa chỉ.
Firewall khụng thể ngăn chặn cuộc tấn cụng, nếu cuộc tấn cụng này khụng đi qua nú. Chẳng hạn nú khụng thể chống lại cuộc tấn cụng từ một đường dial- up, hoặc rũ rỉ thụng tin do dữ liệu bị sao chộp bất hợp phỏp lờn đĩa mềm. Firewall khụng thể chống lại cuộc tấn cụng bằng dữ liệu (data driven attack). Khi một chương trỡnh được chuyển theo thư điện tử, vượt qua Firewall vào trong mạng, nú sẽ hoạt động tại đõy.
32
2.3.3 Mạng riờng ảo (Virtual Private Network - VPN).
2.3.3.1 Khỏi niệm mạng riờng ảo.
Mạng riờng ảo là mạng dành riờng, để kết nối cỏc mỏy tớnh của cỏc tổ chức với nhau thụng qua mạng Internet cụng cộng.
Cụng nghệ VPN chỉ rừ 3 yờu cầu cơ bản:
Cung cấp truy nhập từ xa tới tài nguyờn của một tổ chức mọi lỳc, mọi nơi. Kết nối cỏc chi nhỏnh văn phũng với nhau.
Kiểm soỏt truy nhập của khỏch hàng, nhà cung cấp và cỏc thực thể bờn ngoài tới những tài nguyờn của một tổ chức.
2.3.3.2 Cỏc mụ hỡnh VPN.
Truy cập từ xa:
Cỏc truy cập từ xa của VPN đảm bảo cỏc kết nối được bảo mật, mó húa giữa mạng riờng của cụng ty với cỏc nhõn viờn qua nhà cung cấp thứ ba.
Cú 2 kiểu truy cập từ xa VPN:
+ Khởi tạo bởi phớa khỏch (Client Initiated):
Người dựng từ xa sử dụng phần mềm VPN client, để thiết lập một đường hầm an toàn tới mạng riờng, thụng qua ISP trung gian.
+ Khởi tạo bởi NAS (Network Access Server Initiated):
Người dựng từ xa quay số tới ISP, NAS sẽ thiết lập đường hầm an toàn tới mạng riờng cần kết nối.
Intranet VPN:
Xõy dựng mạng riờng ảo, để kết nối cỏc mạng cục bộ vào một mạng riờng thống nhất. Chẳng hạn như cụng ty cú một hoặc nhiều địa điểm ở xa, mỗi địa điểm sử dụng mạng LAN.
Extranet VPN:
Khi cụng ty cú mối quan hệ mật thiết với cụng ty khỏc, họ cú thể sử dụng mụ hỡnh mạng Extranet VPN để kết nối kiểu mạng LAN với LAN, cho phộp cụng ty đú làm việc trong mụi trường cú chia sẻ tài nguyờn.
2.3.4 Hệ thống phỏt hiện và ngăn chặn xõm nhập.
2.3.4.1 Hệ thống phỏt hiện xõm nhập (Intrusion Detect System - IDS).
Hệ thống phỏt hiện xõm nhập cung cấp thờm cho việc bảo vệ thụng tin mạng ở mức độ cao hơn. IDS cung cấp cho việc bảo vệ bằng cỏch trang bị cho ta thụng tin về cuộc tấn cụng.
IDS khụng tự động cấm cỏc cuộc tấn cụng hoặc là ngăn chặn kẻ khai thỏc một cỏch thành cụng. Với sự phỏt triển mới nhất của IDS tức là hệ thống ngăn chặn xõm nhập, thỡ nú cú thể ngăn chặn cỏc cuộc tấn cụng khi nú xảy ra.
Network IDS (NIDS)- là hệ thống đọc gúi tin ngầm (sniffer), và Host IDS (HIDS)- phõn tớch log, kiểm tra tớch hợp. Sự khỏc nhau chủ yếu giữa NIDS và HIDS là dữ liệu mà nú tỡm kiếm. Trong khi NIDS nhỡn vào toàn cảnh cỏc chuyển dịch trờn mạng, thỡ HIDS quan sỏt cỏc host, hệ điều hành và cỏc ứng dụng.
1) HIDS:
Dựng để kiểm soỏt lưu lượng thụng tin ở từng host, cú khả năng tạo ra cỏc riờng biệt cho từng loại mỏy tớnh, cú thể giỏm sỏt cỏc kớch thước của file, checksum....
Chức năng của HIDS: a) Giỏm sỏt Logfile:
Một HIDS đơn giản nhất là thiết bị giỏm sỏt logfile, nú cố gắng phỏt hiện những xõm nhập bằng cỏch phõn tớch cỏc log sự kiện của hệ thống.
Giỏm sỏt logfile là một nhiệm vụ của hệ thống IDS dựa trờn host bởi chỳng thực hiện chức năng giỏm sỏt chỉ trờn một mỏy. Tuy nhiờn nú cú thể giỏm sỏt trờn nhiều host.
Thiết bị giỏm sỏt logfile nổi tiếng là swatch (Simple Watcher) (Xem
http://www.oit.ucsb.edu/~eta/swatch ). Hầu hết cỏc phần mềm phõn tớch log chỉ
quột theo định kỡ, thỡ swatch quột tất cả cỏc đầu vào log và tạo cảnh bỏo theo thời gian thực.
Giỏm sỏt logfile được coi là hệ thống phỏt hiện xõm nhập theo cỏch đặc biệt. Log cũng chứa nhiều thụng tin khụng trực tiếp liờn quan đến sự xõm nhập
34
b) Giỏm sỏt tớnh toàn vẹn:
Một cụng cụ giỏm sỏt tớnh toàn vẹn sẽ nhỡn vào cấu trỳc chủ yếu của hệ thống để tỡm sự thay đổi. Dự cú giới hạn nhưng nú cú thể thờm vào cỏc lớp bảo vệ cho hệ thống phỏt hiện xõm nhập.
Giỏm sỏt toàn vẹn phổ biến nhất là Tripwire (http://www.tripwire.com). Tripwire nờn được cài đặt trờn một hệ thống khi nú cũn nguyờn bản từ nhà sản xuất, với những ứng dụng cần thiết nhất trước khi kết nối với mạng.
Mấu chốt để sử dụng kiểm tra toàn vẹn hệ thống cho thiết bị phỏt hiện xõm nhập đú là xỏc định ranh giới an toàn, và điều này chỉ cú thể được thiết lập trước khi hệ thống được kết nối với mạng. Nếu khụng cú trạng thỏi an toàn thỡ cụng cụ kiểm tra toàn vẹn bị hạn chế, vỡ hacker cú thể đó giới thiệu những thay đổi của họ với hệ thống trước khi cụng cụ này hoạt động lần đầu.
2) NIDS
NIDS cú nhiệm vụ giỏm sỏt toàn bộ hoạt động của một phõn đoạn mạng hay một mạng con. Điều trờn thực hiện được là nhờ vào việc thay đổi chế độ trờn card giao tiếp mạng (NIC) của NIDS.
Để giỏm sỏt toàn bộ lưu lượng trờn một phõn đoạn mạng, hệ thống phõn đoạn mạng sẽ chuyển toàn bộ cỏc gúi tin này vào stack để phõn tớch chỳng. Chế độ làm việc này gọi là “hỗn độn” (khụng phõn loại). Trong chế độ này, toàn bộ gúi tin sẽ bị nghe trộm trờn tất cả cỏc giao tiếp trong phõn đoạn mạng.
Chức năng của NIDS:
+ Nhận dạng dấu hiệu (signature matchers):
IDS phỏt hiện cỏc cuộc tấn cụng dựa trờn CSDL về dấu hiệu tấn cụng. Khi hacker tỡm cỏch khai thỏc lỗ hổng đó biết thỡ, IDS cố gắng đưa lỗi đú vào CSDL của mỡnh.
+ Phỏt hiện những dấu hiệu bất thường:
Phỏt hiện dấu hiệu bất thường liờn quan đến việc thiết lập một nền múng cơ bản của những hoạt động bỡnh thường của hệ thống hoặc cỏc hành vi trờn mạng, sau đú cảnh bỏo cho ta thấy sự chệch hướng xuất hiện.
Sự khỏc biệt giữa NIDS và HIDS là HIDS chỉ bảo vệ phõn đoạn mà nú nằm bờn trong đú, chứ khụng phải toàn bộ mạng con. Ngoài ra HIDS cú thể nhỡn thấy lưu lượng thụng tin trong một hệ thống, mà hệ thống này chưa từng đi ra ngoài mạng, điều này thỡ NIDS khụng thể nhận biết được.
36
2.3.4.2 Hệ thống ngăn chặn xõm nhập (Intrusion Prevent System-IPS).
Giải phỏp ngăn ngừa xõm nhập nhằm mục đớch bảo vệ tài nguyờn, dữ liệu và mạng. Chỳng sẽ làm giảm bớt những mối đe dọa tấn cụng bằng việc loại bỏ lưu lượng mạng bất hợp phỏp, trong khi vẫn cho phộp cỏc hoạt động hợp phỏp được tiếp tục.
IPS ngăn chặn cỏc cuộc tấn cụng dưới những dạng sau:
+ Ứng dụng khụng mong muốn và tấn cụng kiểu “Trojan horse” nhằm vào mạng và ứng dụng cỏ nhõn, qua việc sử dụng cỏc nguyờn tắc xỏc định và danh sỏch kiểm soỏt truy nhập.
+ Cỏc tấn cụng từ chối dịch vụ như “lụt” cỏc gúi tin SYN và ICMP bởi
việc dựng cỏc thuật toỏn dựa trờn cơ sở “ngưỡng”.
+ Sự lạm dụng cỏc ứng dụng và giao thức qua việc sử dụng những qui tắc
giao thức ứng dụng và chữ kớ.
+ Những tấn cụng quỏ tải hay lạm dụng ứng dụng bằng việc sử dụng giới
hạn tài nguyờn dựa trờn cơ sở ngưỡng.
Cấu trỳc của IPS gồm 3 modul chớnh:
Modul phõn tớch gúi, modul phỏt hiện tấn cụng, modul phản ứng.
1) Modul phõn tớch gúi:
Nhiệm vụ phõn tớch cấu trỳc thụng tin trong cỏc gúi tin. Card giao tiếp mạng (NIC) của mỏy giỏm sỏt được đặt ở chế độ khụng phõn loại, cỏc gúi tin qua chỳng đều được sao chộp và chuyển lờn lớp trờn.
Bộ phõn tớch gúi đọc thụng tin từng trường trong gúi tin, xỏc định chỳng thuộc kiểu gúi tin nào, dịch vụ gỡ, .... Cỏc thụng tin này được chuyển đến modul phỏt hiện tấn cụng.
2 ) Modul phỏt hiện tấn cụng:
Modul quan trọng nhất trong hệ thống, cú khả năng phỏt hiện cỏc cuộc tấn cụng. Cú 2 phương phỏp phỏt hiện cỏc cuộc tấn cụng xõm nhập:
+ Dũ tỡm sự lạm dụng (Missuse Detection):
Phương phỏp này phõn tớch cỏc hoạt động của hệ thống, tỡm kiếm dựa trờn cỏc dấu hiệu tấn cụng, tức là cỏc sự kiện giống cỏc mẫu tấn cụng đó biết.
Ưu điểm: phỏt hiện cỏc cuộc tấn cụng nhanh và chớnh xỏc, khụng đưa ra
cỏc cảnh bỏo sai làm giảm khả năng hoạt động của mạng, giỳp người quản trị xỏc định cỏc lỗ hổng bảo mật trong hệ thống của mỡnh.
Nhược điểm: Khụng phỏt hiện được cỏc tấn cụng khụng cú trong mẫu, cỏc
tấn cụng mới. Do đú hệ thống phải luụn cập nhật cỏc mẫu tấn cụng mới. + Dũ tỡm sự khụng bỡnh thường (Anomaly Detection):
Là kĩ thuật dũ thụng minh, nhận dạng ra cỏc hành động khụng bỡnh thường của mạng. Chỳng lưu trữ cỏc mụ tả, sơ lược về cỏc hoạt động bỡnh thường của hệ thống. Cỏc cuộc tấn cụng cú những hành động khỏc so với bỡnh thường cú thể sẽ bị nhận dạng.
Một số kĩ thuật giỳp thực hiện dũ sự khụng bỡnh thường của cỏc cuộc tấn cụng: - Dũ tỡm dựa vào ngưỡng (Threshold detection):
Kĩ thuật này nhấn mạnh thuật ngữ “đếm”, cỏc mức ngưỡng về cỏc hoạt động bỡnh thường được đặt ra.
- Dũ tỡm tự học (Self- learning detection):
Kĩ thuật này gồm 2 bước, khi thiết lập hệ thống phỏt hiện tấn cụng nú sẽ chạy ở chế độ tự học thiết lập một lịch sử để ghi lại cỏc hoạt động của mạng. Sau thời gian khởi tạo, hệ thống sẽ chạy ở chế độ cảm ứng theo dừi cỏc hoạt động bất thường của mạng so với lịch sử đó thiết lập.
- Dũ tỡm giao thức khụng bỡnh thường (Anomaly protocol detection): Căn cứ vào hoạt động của cỏc giao thức, cỏc dịch vụ của hệ thống để tỡm ra cỏc gúi tin khụng hợp lệ, cỏc hoạt động bất thường là dấu hiệu của sự xõm nhập, tấn cụng. Kĩ thuật này hiệu quả trong việc ngăn chặn cỏc hỡnh thức quột mạng, quột cổng để thu thập thụng tin.
38
Phương phỏp dũ sự khụng bỡnh thường của hệ thống hữu hiệu trong việc phỏt hiện cỏc cuộc tấn cụng kiểu từ chối dịch vụ. Nú cú thể phỏt hiện cỏc kiểu tấn cụng mới, cung cấp cỏc thụng tin hữu ớch bổ sung cho phương phỏp dũ sự