Đầu tiên, mô phỏng sử dụng công cụ retina network scanner để dò lỗ hổng bảo mật một trên một máy Windows server 2003 sp2. Kết quả cho thấy máy này có một lỗ
hổng nghiêm trọng chưa được vá là lỗi RPC DCOM.
Hình 6 - Lỗi trong dịch vụ RPC
Windows cung cấp khả năng sử dụng RPC để thực thi các ứng dụng phân tán. Microsoft RPC bao gồm các thư viện và các dịch vụ cho phép các ứng dụng phân tán hoạt động được trong môi trường Windows. Các ứng dụng phân tán chính bao gồm nhiều tiến trình thực thi với nhiệm vụ xác định nào đó. Các tiến trình này có thể chạy trên một hay nhiều máy tính.
Microsoft RPC sử dụng name service provider để định vị Servers trên mạng. Microsoft RPC name service provider phải đi liền với Microsoft RPC name service interface (NIS). NIS bao bao gồm các hàm API cho phép truy cập nhiều thực thể trong cùng một name service database (name service database chứa các thực thể, nhóm các thực thể, lịch sử các thực thể trên Server). Khi cài đặt Windows, Microsoft Locator tự động được chọn như là name service provider. Nó là name service provider tối ưu nhất trên môi trường mạng Windows.
Microsoft dễ bị tràn bộ đệm trong giao diện Distributed Component Object Model (DCOM) của dịch vụ RPC (Remote Procedure Call). Bằng cách gửi một thông
điệp xấu tới dịch vụ RPC, một kẻ tấn công từ xa có thể làm tràn một bộ đệm và thực thi một đoạn mã tùy ý trên hệ thống bới đặc quyền Local System. Với đoạn mã này, kẻ
tấn công có thể toàn quyền xử lý với máy mục tiêu.
Bước tiếp theo ta sử dụng phần mềm nguồn mở metasploit để khai thác lỗ hổng này. Vào giao diện chương trình, chọn lỗ hổng cần khai thác.
Tiếp đó chọn hành động cần thực hiện khi khai thác, chọn đối tượng và tấn công.
Hình 8 - Giao diện metasploit (2)
Các hành động thực hiện được khi khai thác lỗ hổng này là tạo một giao diện dòng lệnh với quyền quản trị administrator trên máy nạn nhân, tạo một tài khoản với quyền quản trị, … Khi lỗ hổng được khai thác, phía bên máy nạn nhân sẽ xuất hiện một thông báo khởi động lại dịch vụ RPC.
CHƯƠNG 3. THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP
3.1. CÁC KHÁI NIỆM CƠ BẢN [2]
Để hiểu và nắm vững phương pháp phát hiện và ngăn chặn tấn công, thâm nhập, một hệ thống kiến thức cơ sở về hệ thống IDS/IPS là cần thiết. Dưới đây là các thuật ngữ sử dụng trong công nghệ ngăn chặn thâm nhập
Bảng 1 – Thuật ngữ IDS/IPS
Terminology Description
Inline mode Kiểm tra lưu thông mạng, có khả năng ngăn chặn thâm nhập trước khi nó đến được mục tiêu.
Promiscuous mode (passive mode)
Thụđộng kiểm tra lưu thông mạng.
Signature engine Một engine hỗ trợ tín hiệu chia sẻ những thuộc tính chung (tương tự như giao thức)
Meta-Event
Generator Khkhác. ả năng định nghĩa tín hiệu biến đổi dựa trên nhiều tín hiệu Atomic signature Một tín hiệu phát ra theo nội dung của từng gói tin.
Flow-based
signature giMữộa 2 ht tín hiệ thệu phát ra dống (ví dụự nha trên thông tin chư gói tin trong kếứt na trong trình tối TCP) ự gói tin Behavior-based
signature Mdùng thông thột tín hiệu phát ra khi có lường. ưu thông bất thường từ những người Anomaly-based
Bảng 1 – Thuật ngữ IDS/IPS
Terminology Description
False negative Tình huống mà hệ thống phát hiện không nhận biết được thông nhập mặc dù có một tín hiệu nhận biết được hoạt động đó.
False positive Tình huống người dùng bình thường gây ra báo động (không có hành vi đột nhập).
True negative Tình huống mà không phát sinh tín hiệu khi có lưu thông bình thường trên mạng.
True positive Tình huống báo động đúng khi có đột nhập, tấn công trên mạng. Deep-packet
inspection Giluậảt di mã các giao thựa trên gói tin hoức và kiạt động ểm tra toàn bđúng. ộ gói tin để cho những Event correlation Kết hợp với đa thông báo hay đa sự kiện với một tấn công đơn lẻ. Risk rating (RR) Một đánh giá đe dọa dựa trên nhiều nhà sản xuất mà không dựa
trên tính nghiêm trọng của tấn công.
IPS/IDS Triggers
Mục đích của thiết bị IDS/IPS là nhận diện tấn công và ngăn chặn nó. Tuy nhiên không phải loại thiết bị nào cũng dùng chung một phương thức giống nhau. Có ba phương thức chính được sử dụng trong hệ thống IDS/IPS hiện tại.
Anomaly detection Misuse detection Protocol analysis Chú ý :
Phương thức nhận biết dựa trên hành động gây ra các báo động của hệ thống IDS/IPS. Ví dụ phương thức với một hệ thống chống trộm phổ thông chính là sự kiện cửa sổ vỡ. Một IDS có thể gây ra một báo động khi có một gói tin tới một cổng xác
Anomaly Detection (Nhận biết bất thường)
Nhận biết bất thường còn có thể gọi là nhận biết dựa trên hồ sơ. Trong nhận biết bất thường, ta xây dựng những hồ sơ xác định xem những hành vi nào là bình thường. Những hồ sơ này có khả năng tự học qua những cư xử trong quá khứ. Sau khi định nghĩa những hồ sơ bình thường này, những gì còn lại là bất thường và sẽ tạo ra báo
động.
Lợi ích chính của nhận biết bất thường là những báo động tạo ra không dựa trên những tín hiệu của những dạng tấn công cụ thể mà dựa trên những hành động bất thường của nó. Bởi vậy mà hệ thống có thể phát hiện được tấn công ngay cả trước khi tấn công đó được công bố.
Misuse Detection (Nhận biết lạm dụng)
Nhận biết lạm dụng là nhận biết dựa trên những dấu hiệu, nó tạo ra thông báo khi có hoạt động với những dấu hiệu trùng khớp với những dấu hiệu đã xác định trước. Những dấu hiệu này là một tập hợp các luật bịt những lỗ hổng mà kẻ tấn công có thể
lợi dụng để thâm nhập vào mạng. Những kĩ sư có kinh nghiệm có thể biết những tấn công và lỗ hổng để phát triển những luật cho mỗi tín hiệu riêng.
Một số lợi ích chính là :
Tín hiệu dựa trên những tấn công đã biết. Dễ thiết lập những nhận biết tấn công Hệ thống dễ hiểu
Nhận biết tấn công ngay sau khi cài đặt
Protocol Analysis (Phân tích giao thức)
Phương thức cuối cùng là phân tích giao thức. Phương thức này sẽ phân tích các hoạt động dựa trên các giao thức xác định. Nó sẽ phân tích gói tin dựa trên định nghĩa của giao thức trong RFC và các payload hay tiêu đề gói tin.
Sử dụng phân tích giao thức, những tấn công phải có được các gói tin hợp lệ và cũng phải không chứa các tấn công trong payload hoặc tiêu đề gói tin.
IPS/IDS Monitoring Locations (Địa điểm giám sát IPS/IDS) Có hai loại địa điểm giám sát sau :
Host-Based Network-Based
Host-Based
Hệ thống phát hiện thâm nhập dựa trên máy trạm kiểm tra những hoạt động trái phép bằng cách kiểm tra thông tin ở mức máy hoặc mức hệđiều hành. Những hệ thống này thường kiểm tra những cuộc gọi hệ thống, hay những dấu vết chỉnh sửa, thông báo lỗi hệ thống …
Vì IPS/IDS dựa trên máy kiểm tra lưu thông sau khi nó đã đến máy bị tấn công. Vậy nên nó biết chính xác máy đó có bị tấn công thành công hay không.
Network-Based
Một hệ thống phát hiện thâm nhập dựa trên mạng kiểm tra những gói tin lưu chuyển trên mạng và so sánh những lưu thông với những dấu hiệu đột nhập biết trước. Một thiết bị IPS dựa trên mạng kiểm tra lưu thông như là một thiết bị hoạt động ở tầng 2.
Lưu ý :
Để xem được toàn bộ gói tin của mạng tức là phải kiểm tra tất cả các gói tin lưu chuyển qua mạng. Thông thường, một máy chỉ kiểm tra gói tin mà có địa chỉ tới nó cùng với gói tin quảng bá. Để có khả năng thấy tất cả các gói tin của mạng, thiết bị
IDS phải đặt card mạng ở hình thái promiscuous. Trong hình thái này, card mạng kiểm tra tất cả các gói tin mà không cần biết đến địa chỉđích của nó.
Một hệ thống phát hiện thâm nhập dựa trên mạng lợi hơn một hệ thống dựa trên máy ở những điểm sau :
Có được cái nhìn tổng quan về toàn mạng
Không phải chạy trên tất cả các máy trong mạng
Vì thiết bị dựa trên mạng có thể thấy được nhiều máy, nên nó có một cái nhìn tổng quan về tấn công với mạng. Nếu có người quét máy trong mạng, thông tin đó sẽ được cảnh báo ngay lập tức.
Một lợi ích khác của hệ thống này là nó không cần phải chạy trên mọi máy trong mạng. Thay vào đó, hệ thống dựa vào một số lượng các sensor nhất định để thu thập lưu thông mạng. Các sensor này có thể tối ưu hóa vì nó chỉ cần làm một số công việc xác định trên mạng.
3.2. THIẾT BỊ IPS PROVENTIA G200
Dựa trên công nghệ Internet Security Systems, Proventia™ G là một hệ thống ngăn chặn xâm nhập nội tuyến (IPS), nó tựđộng ngăn chặn các tấn công có tính nguy hại trong khi vẫn đảm bảo băng thông cho đường truyền.
Được xây dựng trên các công nghệ hàng đầu thế giới về an ninh mạng, sử dụng các chip xử lý của Intel như Intel Xeon và một hệđiều hành sử dụng nhân Linux được cứng hoá, Proventia G giúp giảm chi phí cho những phát triển, tối ưu hoá việc quản lý và bảo vệ tối đa cho hệ thống với một tốc độ cao tới 100 Mbps.
Khác với tường lửa, Proventia G Series kiểm tra sâu tới nội dung gói tin và ngăn chặn các tấn công đã biết cũng như chưa biết trong thời gian thực, bao gồm các tấn công từ chối dịch vụ
công việc cho người quản trị. Cùng với các thành phần bảo vệ mạng, máy chủ, máy trạm khác, Proventia G Series được quản lý tập trung bởi RealSecure SiteProtector ™. Việc quản trị tập trung bao gồm các thao tác cập nhật, thiết lập chính sách an ninh,và báo cáo giúp giảm bớt thời gian cho người quản trị.
Proventia G hoạt động với các stealth interface không có địa chỉ IP nhằm hạn chế các tấn công vào nó và nó trong suốt từ với mạng từ lớp IP.
IPS G200 là một hệ thống phát hiện thâm nhập thuộc dòng sản phẩm G (G series), đây là hệ thống IDS/IPS dựa trên mạng (network based), phân tích tấn công thâm nhập theo cơ chế mibuse detection - nhận biết các tấn công dựa trên dấu hiệu (signature) của tấn công hay thâm nhập có sẵn trong cơ sở dữ liệu của nó. Cơ sở dữ
liệu này được cập nhật thường xuyên bởi những đội ngũ nghiên cứu an ninh mạng tiếng tăm X-Force. Ngoài ra thiết bị còn cho phép thiết lập những luật tường lửa và luật kết nối để hỗ trợ cho việc ngăn chặn các tấn công thâm nhập.
Thiết bị có cơ chế cho phép người quản trị tự tạo các dấu hiệu nhận biết tấn công thâm nhập riêng, nhờ vào cơ chế đó mà nó có thể phát hiện và ngăn chặn những tấn công ngay cả trước khi tấn công đó được biết đến rộng rãi. Thiết bị hoạt động ở 3 hình thái sau:
• inline protection • inline simulation • passive monitoring
Ba hình thái này được chọn ngay khi cài đặt hoặc có thểđược cấu hình sau đó
Inline Protection
Hình thái này cho phép ta kết hợp thiết bị vào hạ tầng mạng. Trong hình thái này, ngoài những luật ngăn chặn và cách ly bình thường, tất cả các luật của firewall cùng với tất cả các luật an ninh của thiết bị đều được bật.
Inline Simulation
Hình thái này cho phép ta giám sát mạng mà không ảnh hưởng đến lưu thông. Ngoài những luật ngăn chặn phổ thông, nó còn có thể cách ly đối tượng. Không loại bỏ gói tin khi có phản ứng và thiết bị không thiết lập lại kết nối TCP. Hình thái này sử
dụng cho việc thử nghiệm những luật an ninh mà không ảnh hưởng đến lưu thông mạng.
Passive Monitoring
Hình thái này hoạt động như hệ thống phát hiện xâm nhập (IDS), nó giám sát mạng mà không điều khiển. Thường nó phản ứng với thâm nhập bằng những luật ngăn chặn phổ thông. Nếu thiết bị gặp lỗi, nó sẽ gửi một yêu cầu thiết lập lại để ngăn chặn kết nối TCP. Hình thái này sử dụng khi cần xem xét loại hình bảo vệ nào mà hệ thống mạng hiện tại cần.
3.3. SITEPROTECTOR SYSTEM [2]
3.3.1. SiteProtector System là gì?
SiteProtector System là một hệ thống quản lý tập trung cung cấp khả năng ra lệnh,
điều khiển và giám sát cho tất cả các sản phẩm IBM ISS.
Các thành phần của hệ thống SiteProtector
Hệ thống SiteProtector gồm có nhiều thành phần khác nhau, mỗi thành phần có
đều có chức năng riêng. Giao diện hệ thống SiteProtector xem các thành phần như là các agent.
• Agent Manager (Desktop Controller): cung cấp khả năng cấu hình, cập nhật và quản lý các thành phần SiteProtector và các sản phẩm IBM ISS khác như:
o X-Press Update Server o Desktop Protection agents o Proventia G appliances o Proventia Network IPS o Proventia Network MFS
• Console: giao diện để chạy tất cả các tác vụ hệ thống SiteProtector, gồm: o Cấu hình, cập nhật và quản lý hệ thống SiteProtector.
o Cấu hình, cập nhật và quản lý các sản phẩm IBM ISS khác như các agent Desktop Protector, máy quét, thiết bị và bộ cảm ứng.
o Tạo và quản lý các chính sách an ninh và các phản ứng.
o Thiết lập, tổ chức và quản lý nhóm cho các tài nguyên mà hệ thống SiteProtector giám sát.
o Thiết lập người dùng và phân quyền.
o Giám sát các vấn đề an ninh và các tổn hại đến mạng.
o Chạy và lập thời gian biểu các công việc như scan, cập nhật sản phẩm, và bảo trì cơ sở dữ liệu.
o Phát sinh các báo cáo o Phát sinh các ticket.
• Databridge: cho phép hệ thống SiteProtector thu thập và hiển thị các dữ liệu bảo mật từ các sản phẩm IBM ISS cũ như System Scanner hoặc từ hệ thống thứ ba. • Deployment Manager: một ứng dụng chạy trên web được sử dụng để cài đặt hệ
• Event Archiver: lưu trữ các sự kiện bảo mật tại một thiết bị từ xa.
• Event Collector: tập hợp dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS và gửi chúng tới Site Database để xử lý. Sau khi xử lý, dữ liệu có thểđược hiển thị
trong SiteProtector Console. Event Collector cũng gửi dữ liệu chưa được xử lý
đến EventViewer.
• Event Viewer: cung cấp một giao diện khác để hiển thị các sự kiện bảo mật. Event Viewer nhận các sự kiện chưa xử lý trực tiếp từ Event Collector. Giao diện này được sử dụng chủ yếu để sửa lỗi. ISS khuyến cáo sử dụng Console cho các tác vụ quản lý an ninh.
• Site Databasse: lưu trữ các thông tin sau
o Dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS o Thống kê các sự kiện bảo mật
o Thông tin nhóm
o Dữ liệu điều khiển và lệnh
o Trạng thái XPU của tất cả các agent
o Tài khoản người dùng hệ thống SiteProtector và phân quyền o Các ticket
o Tùy chỉnh hiển thị, báo cáo và các thiết lập khác.
• SiteProtector Application Server : làm cho giao tiếp giữa SiteProtector Console và các agent khác trở lên dễ dàng hơn. Application Server giúp cho nhiều Console có thể cùng thực hiện các chức năng sau:
o Giao tiếp với SiteProtector Database
o Giám sát và quản lý cùng một tập các Event Collection và agent
• Chú ý: Application Server chứa các Sensor Controller và X-Press Update Server. Ba thành phần này cùng được cài đặt tự động trên cùng một máy tính. Ba thành phần này được tích hợp toàn bộ và không thể tách rời.
• Sensor Controller: giúp các lệnh và điều khiển giữa Console và các agent khác trở lên dễ dàng.
• X-Press Update Server: công cụ chính để cập nhật hệ thống SiteProtector và các sản phẩm ISS khác cùng làm việc. Nó thực hiện các việc sau:
o Kết nối tới trung tâm download ISS o Download các bản cập nhật.
o Cung cấp cập nhật cho cả hệ thống SiteProtector phân tán.