Nguy cơ tấn công mạng

Xâm nhập vào mạng từ bên ngoài Internet, xâm nhập bất hợp pháp vào mạng thông qua dial-up, VPN (Virtual Private Network), các thiết bị mạng, RIP (Routing Information Protocol), phát hiện, đánh lừa, và xuyên qua firewall (tường lửa), truy cập uỷ nhiệm ngồi khơng được chứng thực, tấn cơng mạng bằng worm, tấn công bằng

iii. Nguy cơ tấn công phần mềm máy chủ dịch vụ

Sau đây là một số dạng tấn công vào máy chủ dịch vụ: tấn công DNS (Domain Name Service), tấn công Web server, tấn công SMTP (Simple Mail Transfer Protocol), tấn cơng Database server.

iv. Nguy cơ mất an tồn thơng tin trong giao dịch và thương mại điện tử

Đánh cắp thông tin bằng các chương trình spy, virus. Giả mạo thơng tin trong thư tín và giao dịch, nghe lén thơng tin. Đánh cắp, làm sai lệch thông tin qua tấn công SQL injection. Sử dụng credit card phi pháp và đánh cắp tài khoản ngân hàng.

2.2.2 Các kiểu tấn công

Hiện nay theo một số chun gia, có 4 dạng nguy cơ tấn cơng trên mạng máy tính:

- Tấn cơng do thám. - Tấn công truy nhập.

- Tấn công từ chối dịch vụ (Denial of Service). - Virus, trojan horse, worm, mã độc hại.

a.Tấn công do thám

Kẻ tấn công sử dụng các cơng cụ phần mềm có chức năng quét mạng và cố gắng tìm kiếm, phát hiện lỗ hổng hệ thống máy tính mục tiêu. Các lỗ hổng có thể là lỗ hổng của hệ điều hành, lỗ hổng của phần mềm trình duyệt web, lỗ hổng của các ngơn ngữ lập trình (SQL, PHP v.v...), lỗ hổng của các dịch vụ và các điểm yếu dễ bị tấn công.

Tiếp theo là khai thác các lỗ hổng đó để giành quyền truy nhập với quyền quản trị hệ thống bằng nhiều cách như cài đặt trojan horse, keylogger(phần mềm) để nắm quyền kiểm sốt hệ thống máy tính mục tiêu.

Kiểu tấn công do thám này gồm một số kiểu như:

- Phân tích các gói tin: Telnet, FTP, SNMP, POP, HTTP.

- Quét các cổng của máy tính mục tiêu: Nhận dạng các máy chủ trên mạng (sử dụng hệ điều hành gì, hệ điều hành đó có điểm yếu nào), nhận dạng các dịch vụ đang hoạt động ở máy mục tiêu, các điểm yếu dễ khai thác và tấn công.

- Tra cứu các thông tin liên quan đến mục tiêu trên mạng Internet: Nơi đăng ký hosting, địa chỉ IP, hệ thống tên miền. Qua đó, tìm và thu thập các điểm yếu dễ bị tấn cơng của hệ thống đó.

b. Tấn cơng truy nhập

Kẻ tấn cơng hệ thống bằng cách truy vấn dữ liệu, giành quyền truy nhập, tấn công truy nhập, khai thác điểm yếu dễ bị tấn công trong các dịch vụ nhận thực, các

dịch vụ FTP, các dịch vụ Web để giành quyền đăng nhập Web account với các dữ liệu bí mật và nhạy cảm. Tấn công truy nhập bao gồm:

Tấn công password: bao gồm tấn cơng dị tìm password đối với các password yếu, sử dụng trojan horse, phân tích gói tin, giả mạo địa chỉ IP.

Kiểu tấn cơng chủn tiếp cởng: đó là kiểu tấn cơng mà kẻ tấn cơng đã "dàn xếp" qua các dịch vụ máy chủ công cộng, thông qua dịch vụ máy chủ công cộng này kẻ tấn công cài đặt phần mềm vào máy chủ mạng bên trong. Từ bên ngồi kẻ tấn cơng có thể thiết lập kết nối vào mạng bên trong (mục tiêu) qua tiến trình chủn tiếp cởng dựa trên dịch vụ máy chủ cơng cộng mà dựa vào đó có thể dễ dàng vượt qua sự kiểm soát của firewall.

Kiểu tấn công người ở giữa (man-in-the-middle-attack): đó là kiểu tấn cơng thơng qua phân tích các gói tin mạng, phân tích các giao thức truyền tải và định tuyến. Sửa đổi, thay nội dung dữ liệu trên đường truyền.

c. Tấn công từ chối dịch vụ (DoS)

Đây là kiểu tấn cơng phá hoại dựa trên tính giới hạn hoặc khơng thể phục hồi của tài nguyên mạng. DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng lớn. Kẻ tấn công sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ, ... và làm mất khả năng xử lý các yêu cầu dịch vụ từ các máy trạm khác. DoS bao gồm các kiểu tấn công phổ biến sau:

i. Tấn công kiểu SYN flood

Lợi dụng cách thức hoạt động của kết nối TCP/IP, kẻ tấn cơng bắt đầu q trình thiết lập một kết nối TPC/IP tới mục tiêu muốn tấn cơng mà khơng gửi trả gói tin ACK, khiến cho mục tiêu luôn rơi vào trạng thái chờ (đợi gói tin ACK từ phía u cầu thiết lập kết nối) và liên tục gửi gói tin SYN ACK để thiết lập kết nối. Một cách khác là giả mạo địa chỉ IP nguồn của gói tin yêu cầu thiết lập kết nối SYN và cũng như trường hợp trên, máy tính đích cũng rơi vào trạng thái chờ vì các gói tin SYN ACK khơng thể đi đến đích do địa chỉ IP nguồn là khơng có thật. Kiểu tấn cơng SYN flood được các tin tặc áp dụng để tấn cơng một hệ thống mạng có băng thông lớn hơn hệ thống của bọn chúng.

ii. Kiểu tấn công Land Attack

Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng kẻ tấn cơng sử dụng chính IP của mục tiêu cần tấn cơng để dùng làm địa chỉ IP nguồn trong gói tin, đẩy mục tiêu vào một vịng lặp vơ tận khi cố gắng thiết lập kết nối với chính nó và do đó nó làm làm máy tính của nạn nhân bị treo hoặc là khởi động lại.

Đây là cách thức tấn công rất nguy hiểm. Kẻ tấn công xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều khiển từ xa, và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu. Với DDoS, những kẻ tấn cơng có thể huy động tới hàng trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công cùng một thời điểm (tùy vào sự chuẩn bị trước đó của bọn tin tặc) và có thể "ngốn" hết băng thông của mục tiêu trong nháy mắt.

iv. Tấn cơng kiểu Tear Drop

Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin có một giá trị offset riêng và có thể truyền đi theo nhiều con đường khác nhau để tới đích. Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại như ban đầu. Lợi dụng điều này, kẻ tấn cơng có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau gửi đến mục tiêu muốn tấn cơng. Kết quả là máy tính đích khơng thể sắp xếp được những gói tin này và dẫn tới bị treo máy vì bị "vắt kiệt" khả năng xử lý. Một kiểu tấn công khác có cách thức tấn công giống như Tear Drop đó là: Bonk, nó thực hiện bằng cách gửi tất cả các gói tin UDP tới cổng 53 (DNS); Boink, kiểu này thì có cũng giống như Bonk nhưng nó có thể tấn công các cổng khác nữa chứ ko chỉ riêng cổng 53.

v. Tấn công kiểu Smurf Attack

Kiểu tấn công này nhằm vào lớp mạng. Kẻ tấn công dùng địa chỉ của máy tính cần tấn cơng bằng cách gửi gói tin ICMP echo (Internet Control Message Protocol) cho tồn bộ mạng (broadcast: quảng bá). Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà tin tặc muốn tấn cơng. Kết quả là máy tính này sẽ khơng thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy.

d. Kiểu tấn công IP Spoofing – Giả mạo địa chỉ IP

Kẻ tấn cơng ở trong hoặc ngồi mạng đóng vai như một máy tính tin cậy để trao đổi thơng tin. Kiểu tấn công IP Spoofing được dùng để lan truyền mã độc hại hoặc dùng các lệnh bên trong dịng dữ liệu trao đổi giữa các máy tính. Nếu kẻ tấn cơng thay đổi được bảng định tuyến và trỏ đến một địa chỉ IP giả mạo thì ở đó kẻ tấn cơng có thể nhận được tồn bộ các gói tin mạng khi đó được thay đổi địa chỉ giả mà giống như một user đáng tin cậy.

e. Virus, Trojan Horse, Worm, mã độc hại

Đây là phương pháp những kẻ tấn cơng dùng các đoạn mã có chứa Virus, trojan horse, worm, mã độc hại để lấy cắp thơng tin phục vụ mục đích của mình. Kẻ tấn cơng thường dùng mail, hoặc yahoo, … để phát tán virus.

2.3 Một số giải pháp bảo vệ mạng2.3.1 Giải pháp VPN trên nền IPsec 2.3.1 Giải pháp VPN trên nền IPsec 2.3.1.1 Khái niệm VPN

VPN (mạng riêng ảo) được hiểu như là một mạng kết nối các điểm khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật như một mạng riêng. VPN cung cấp ba chức năng chính đó là: xác thực, tính toàn vẹn và tính bảo mật.

Giải pháp VPN được thiết kế phù hợp cho các tổ chức có xu hướng tăng khả năng thông tin từ xa, các hoạt động phân bố trên phạm vi địa lý rộng và có các cơ sở dữ liệu, kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao.

2.3.1.2 Giới thiệu về IPsec

Giao thức Ipsec được IETF phát triển để thiết lập bảo mật trong mạng IP ở cấp độ gói. IPsec được định nghĩa là một họ giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, xác thực, toàn vẹn dữ liệu và điều khiển truy nhập.

IPsec có hai cơ chế cơ bản để đảm bảo an ninh dữ liệu và xác định tiêu đề xác thực AH (Authentication Header) và đóng gói tải tin an toàn ESP (Encapsulating Security Payload). Cả AH và ESP đều cung cấp phương tiện cho điều khiển truy nhập dựa vào sự phân phối của các khóa mật mã và quản lý các luồng lưu lượng có liên quan đến những giao thức an ninh mạng này.

AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ tùy chọn chống việc phát lại của các gói IP truyền giữa hai hệ thống. AH không cung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới dạng bản rõ. ESP là một giao thức cung cấp tính an ninh của các gói tin được truyền, bao gồm mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi kết nối của dữ liệu. ESP đảm bảo tính bí mật của thông tin qua việc mật mã gói tin IP. Tất cả lưu lượng ESP đều được mật mã giữa hai hệ thống. Với đặc điểm này ESP có xu hướng được sử dụng nhiều hơn đề tăng tính bảo mật cho dữ liệu.

Các giao thức AH và ESP có thể được áp dụng một cách riêng rẽ hoặc là kết hợp với nhau để cung cấp an ninh. IPsec sử dụng các thuật toán mã hóa xác thực bản tin trên cơ sở hàm băm, MD5 (Message Digest 5) hay SHA-1 để thực hiện chức năng toàn vẹn bản tin; DES hay 3DES để bảo mật mã dữ liệu, chữ ký số RSA và số ngẫu nhiên

IPsec có thể sử dụng giao thức trao đổi khóa IKE (Internet Key Exchange) để xác thực hai bên, thỏa thuận các chính sách bảo mật và xác thực thông qua việc xác định các thuật toán như là thiết lập kênh truyền, trao đổi khóa cho mỗi phiên kết nối và dùng trong mỗi phiên truy nhập. Dùng IPsec để bảo mật dòng dữ liệu có thể tự động kiểm tra tính xác thực của thiết bị bằng chứng thực số giữa hai người trao đổi thông tin qua lại. Việc thương lượng này cuối cùng dẫn tới thiết lập một liên kết an ninh (SA: Security Association) giữa các cặp bảo mật.

Liên kết an ninh SA có chứa tập các chính sách, tham số. Tại mỗi đầu đường hầm IPsec, SA được dùng để xác định loại lưu lượng cần được xử lý IPsec, giao thức an ninh được sử dụng (AH hay là ESP), thuật toán và khóa được sử dụng cho quá trình mật mã và xác thực. Thông tin liên kết an ninh được lưu trong cơ sở dự liệu liên kết an ninh, và khi kết hợp một địa chỉ đích với giao thức an ninh thì có duy nhất một SA.

2.3.1.3 Đóng gói thông tin IPsec 2.3.1.3.1 Các chế độ hoạt động 2.3.1.3.1 Các chế độ hoạt động

IPsec cung cấp hai chế độ xác thực và mã hóa để thực hiện đóng gói thông tin, đó là chế độ chế độ truyền tải (Transport Mode) và chế độ đường hầm (Tunnel Mode). Sau đây ta sẽ xét đến hai chế này:

i. Chế độ truyền tải

Trong chế độ truyền tải, vấn đề an ninh mạng được cung cấp bởi các giao thức lớp cao trong mô hình OSI (từ lớp 4 trở lên). Chế độ này bảo vệ phần tải tin của gói nhưng vẫn để phần tiêu đề tiêu đề IP ban đầu ở dạng gốc như trong nguyên bản (hình 2.1). Địa chỉ IP ban đầu này được dùng để định tuyến gói qua Internet.

Hình 2.1 Xử lý gói tin IP ở chế độ truyền tải

Chế độ truyền tải có ưu điểm là chỉ thêm vào gói IP ban đầu một số ít byte. Nhược điểm của chế độ này là nó cho phép các thiết bị trong mạng nhìn thấy địa chỉ

của nguồn và đích của gói tin và có thể thực hiện một số xử lý dựa trên các thông tin của tiêu đề IP (chẳng hạn như phân tích lưu lượng). Tuy nhiên nếu dữ liệu mật mã bởi ESP thì sẽ không biết được thông tin cụ thể bên trong gói tin IP. Theo IETF thì chế độ truyền tải chỉ có thể được sử dụng khi hai hệ thống đầu cuối IP-VPN có thực hiện IPsec.

ii. Chế độ đường hầm

Trong chế độ đường hầm, toàn bộ gói IP ban đầu bao gồm cả tiêu đề được xác thực hoặc mật mã, sau đó được đóng gói với một tiêu đề IP mới (hình 2.2). Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP qua Internet.

Hình 2.2 Xử lý gói tin ở chế độ đường hầm.

Chế độ này cho phép các thiết bị mạng như bộ định tuyến thực hiện xử lý IPsec thay cho các trạm cuối (host). Thí dụ trong hình 2.3, bộ định tuyến A xử lý các gói từ trạm A, gửi chúng vào đường hầm. Bộ định tuyến B xử lý gói nhận được trong đường hầm, đưa về dạng ban đầu và chuyển chúng tới trạm B. Như vậy, các trạm cuối không cần thay đổi mà vẫn có được tính an ninh dữ liệu của IPsec. Khi sử dụng chế độ đường hầm, các thiết bị trung gian trong mạng sẽ chỉ nhìn thấy được các địa chỉ hai điểm cuối của đường hầm (trong thí dụ là bộ định tuyến A và B). Khi sử dụng chế độ đường hầm, các đầu cuối IPsec-VPN không cần thay đổi ứng dụng hay hệ điều hành.

2.3.1.3.2 Giao thức xác thực AH

a. Giới thiệu giao thức

Giao thức AH được định nghĩa trong RFC 1826 và sau đó được phát triển trong RFC 2402. AH cung cấp khả năng xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ chống phát lại. Toàn vẹn dữ liệu là kiểm tra những thay đổi của từng gói tin IP, không quan tâm đến vị trí các gói trong luồng lưu lượng. Còn dịch vụ chống

AH cho phép xác thực tiêu các trường tiêu đề của gói IP cũng như gói dữ liệu của các giao thức lớp trên. AH không cung cấp bất kỳ xử lý nào để bảo mật dữ liệu của lớp các lớp trên, tất cả đều được truyền dưới dạng văn bản rõ. Xử lý trong AH nhanh hơn ESP, nên có thể chọn AH trong trường hợp cần yêu cầu cao hơn về nguồn gốc và tính toàn vẹn của dữ liệu, còn tính bảo mật dữ liệu thì không yêu cầu cao.

Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện hàm băm một chiều đối với dữ liệu của gói để tạo ra một đoạn mã xác thực. Đoạn mã này được chèn vào thông tin của gói truyền đi. Khi đó bất cứ thay đổi nào đối với dữ liệu của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng một hàm băm một chiều đối với gói dữ liệu nhận được và đối chiếu với giá trị mã hóa xác thực truyền cùng với gói dữ liệu.

b. Cấu trúc gói tin AH

Các thiết bị sử dụng AH sẽ chèn một tiêu đề AH vào giữa lưu lượng cần quan tâm của gói IP, ở giữa phần tiêu đề IP và tiêu đề lớp 4. Quá trình xử lý chèn tiêu đề

Khuôn dạng thỏa thuận (viết tắt) (Compact Form)

.4 Thí dụ về header From