Phương thức tấn công Man-in-the-middle attack

IV. PHỤ LỤC

3 CÁC PHƯƠNG THỨC KHÁC VÀ NGUYÊN TẮC PHÒNG CHỐNG

3.1.5 Phương thức tấn công Man-in-the-middle attack

Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví dụ về tấn

công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng của công ty khách

hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line đến ISP đó để ăn cắp

thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer.

Tấn công dạng này có thể hạng chế bằng cách mã hoá dữ liệu được gởi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.

3.1.6 Phương thức tấn công để thăm dò mạng

http://kinhte24h.org

càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như DNS queries, ping

sweep, hay port scan.

Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi

ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại khó cho ta khi mạng có sự

cố, cần phải chẩn đoan lỗi do đâu.

NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.

3.1.7 Phương thức tấn công Trust exploitation

Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng. Một

ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall.

Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và

quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng.

3.1.8 Phương thức tấn công Port redirection

Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột nhập đi qua

firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy nhập được một host trên

DMZ, nhưng không thể vào được host ở inside. Host ở DMZ có thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside.

Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có thể giúp phát

hiện được các chường trình lạ hoạt động trên server đó.

3.1.9 Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông

dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail, HTTP, hay FTP.

Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi

firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80, mail server bằng

TCP port 25.

Một số phương cách để hạn chế tấn công lớp ứng dụng:

- Lưu lại log file, và thường xuên phân tích log file - Luôn cập nhật các patch cho OS và các ứng dụng

- Dùng IDS, có 2 loại IDS:

o HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn công lên

server đó.

o NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó thấy có một

packet hay một chuỗi packet giống như bị tấn công, nó có thể phát cảnh báo, hay

cắt session đó.

Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của một tấn công là một

profile về loại tấn công đó. Khi IDS phát hiện thấy traffic giống như một signature nào đó, nó sẽ

phát cảnh báo.

3.1.10 Phương thức tấn Virus và Trojan Horse

Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì hoạt động khác hơn. Một ví dụ về

http://kinhte24h.org

người dùng đang mãi mê chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong

address book. Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó.

Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn cập nhật chương trình chống virus mới.

3.2 Các phương thức bảo mật ứng dụng Cisco IOS

Từ các phân tích các kiểu tấn công thông dụng trên chúng tôi khuyến nghị các cấu hình căn bản

dựa trên các tính năng thông dụng Firewall Cisco IOS với hai mô hình mạng chính : Public và Private, Các khả năng nâng cao bảo mật với tính năng mới của Cisco IOS có Firewall/IDS cho các

giải pháp phòng ngừa các kiểu tấn công nêu trên.

3.2.1 Ví dụ 1:

Ví dụ sau mô tả hệ thống cấu hình cho môi trường bảo mật Private, với ví dụ trên chỉ cho phép các

luồng dữ liệu từ trong ra và các luồng về của dữ liệu yêu cầu, không sử dụng cho các hệ thống bao

gồm Public server. Cấu hình sau được thiết kế cho Cisco IOS version 12 trở lên của Router

no ip source-route no service tcp-small-servers no service udp-small-servers no service finger interface serial 0 ip access-group filterin in ip access-group filterout out no cdp enable ntp disable no snmp no ip direct-broadcast no ip redirects no ip unreachables

ip access-list extended filterin deny ip 190.190.190.0 0.0.0.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 224.0.0.0 15.255.255.255 any deny ip host 0.0.0.0 any

permit icmp any any packet-too-big evaluate packets

ip access-list extended filterout

permit tcp any any eq 21 reflect packets permit tcp any any eq 22 reflect packets permit tcp any any eq 23 reflect packets permit tcp any any eq 25 reflect packets

http://kinhte24h.org

permit tcp any any eq 80 reflect packets permit tcp any any eq 110 reflect packets permit tcp any any eq 119 reflect packets permit tcp any any eq 143 reflect packets permit tcp any any eq 443 reflect packets permit udp any any eq 53 reflect packets permit icmp any any packet-too-big interface ethernet 0

ip access-group 12 in

access-list 12 permit 190.190.190.0 0.0.0.255

Mô tả :

1. Chúng tả giả lập trên hai interface của Router, serial 0 interface kết nối Internet ,

ethernet 0 interface kết nối private network.

2. Ví dụ về khả năng giới hạn outbound traffic (và return traffic) với các dịch vụ chọn

lọc , phòng chống các kiểu tấn công D.o.S thông thường.

3. Phòng chống khả năng ngập mạng với ICMP, FTP traffic…

3.2.2 Ví dụ 2:

Ví dụ sau mô tả khả năng thiết lập cấu hình bảo mật

mạng cho các hệ thống mạng Public với các tính năng đáp ứng bảo mật bằng Firewall cho inbound access ,

vùng mạng dịch vụ web, mail và DNS servers.

no service finger no ip source-route no service tcp-small-servers no service udp-small-servers interface serial 0 ip access-group filterin in ip access-group filterout out ntp disable no snmp no ip direct-broadcast no ip redirects no ip unreachables no cdp enable

ip access-list extended filterin deny ip 190.190.190.0 0.0.0.255 any deny ip 10.0.0.0 0.255.255.255 any deny ip 127.0.0.0 0.255.255.255 any deny ip 172.16.0.0 0.15.255.255 any deny ip 192.168.0.0 0.0.255.255 any deny ip 224.0.0.0 15.255.255.255 any deny ip host 0.0.0.0 any

permit tcp any host 200.200.200.2 eq 80 permit tcp any host 200.200.200.3 eq 25

http://kinhte24h.org

permit udp any host 200.200.200.4 eq 53 permit icmp any any packet-too-big evaluate packets

ip access-list extended filterout

permit tcp host 200.200.200.2 any gt 1023 est permit tcp host 200.200.200.3 any gt 1023 est permit udp host 200.200.200.4 any gt 1023 est permit tcp any any eq 21 reflect packets permit tcp any any eq 22 reflect packets permit tcp any any eq 23 reflect packets permit tcp any any eq 25 reflect packets permit tcp any any eq 53 reflect packets permit tcp any any eq 80 reflect packets permit tcp any any eq 110 reflect packets permit tcp any any eq 119 reflect packets permit tcp any any eq 143 reflect packets permit tcp any any eq 443 reflect packets permit udp any any eq 53 reflect packets permit icmp any any packet-too-big interface ethernet 0

ip access-group filterin1 in ip access-list extended filterin1 permit ip 190.190.190.0 0.0.0.255 any permit icmp any any packet-too-big interface ethernet 1

ip access-group filterout2 out ip access-group filterin2 in ip access-list extended filterout2

permit tcp any host 200.200.200.2 eq 80 permit tcp any host 200.200.200.3 eq 25 permit udp any host 200.200.200.4 eq 53

permit icmp any 200.200.200.0 0.0.0.255 packet-too-big ip access-list extended filterin2

permit tcp host 200.200.200.2 any gt 1023 est permit tcp host 200.200.200.3 any gt 1023 est permit udp host 200.200.200.4 any gt 1023 est

permit icmp 200.200.200.2 0.0.0.255 any packet-too-big deny ip any 190.190.190.0 0.0.0.255

permit tcp host 200.200.200.4 any eq 53 permit udp host 200.200.200.4 any eq 53 permit tcp host 200.200.200.3 any eq 25

http://kinhte24h.org

Với các thiết kế ví dụ trên đáp ứng giảm thiểu khả năng làm ngập mạng với ICMP, FTP traffic, D.o.S request đến hệ thống DNS, Mail Bomb…

Đối với các hệ thống IOS hỗ trợ tính năng Firewall và IDS thì một ví dụ sau sẽ mô tả khả năng

phòng chống và nhận diện các kiểu tấn công mới như: Instruder attack, Virus, Broute force attack…

Với các chức năng tiên tiến dựa trên kiểm định Log và thời lượng truy cập. Khả năng này còn có khả năng khống chế các kiểu thăm dò mạng với các công cụ Scanner.

ip subnet-zero (enables networks on the 0 boundary) ip classless (allows for CIDR netmasks)

If you are using the IOS Firewall/IDS Feature Set... ip inspect max-incomplete low 100

ip inspect max-incomplete high 300 ip inspect dns-timeout 8

ip inspect tcp idle-time 7200 ip inspect tcp finwait-time 8

ip inspect tcp max-incomplete host 100 block-time 1

ip inspect name Internet tcp alert on audit-trail on timeout 7200 ip inspect name Internet udp alert on audit-trail on timeout 60 ip inspect name Internet http alert on audit-trail on timeout 120 ip inspect name Internet smtp alert on audit-trail on timeout 30 ip inspect name Internet ftp alert on audit-trail on timeout 120 ip inspect name Internet fragment maximum 250 timeout 15 ip audit attack action alarm drop

ip audit notify log

ip audit po max-events 50

ip audit protected x.y.z.0 to x.y.z.255 ip audit smtp spam 100

ip audit name Internet attack action alarm drop interface fastethernet 1/0

ip access-group 101 out ip access-group 102 in ip inspect Internet in ip audit Internet in

Phụ lục sau sẽ mô tả chi tiết các quy trình bảo mật hệ thống với các tính năng của IOS Cisco và ứng dụng bảo mật cho các dịch vụ mạng khác.