CHƯƠNG V: HACKING CLIENT
5.5 Phòng chống
5.5.1 Phòng chống Implementation Vulnerabilities
Việc quan trọng nhất để chống lại tấn công dựa trên lỗ hổng bảo mật là phải vá lỗi thường xuyên hoặc là không nên sử dụng internet.Người dùng IE có thể cấu hình để update tự động mỗi khi có bản vá mới
Dĩ nhiên,không phải lúc nào việc vá lỗi cũng là kịp thời-vì đơn giản vá lỗi chi khi có lỗi.Đặc biệt với tấn công 0-day thì việc chờ có bản vá lỗi tốn khá nhiều thời gian.Vì vậy,chúng ta nên có chính sách ngăn chặn nhằm giảm thiểu tối đa khả năng bị tấn công:sử dụng những phần mềm có độ nhạy cảm cao-dễ bị hacker tấn công ở đặc quyền thấp nhất-một khuyến cáo không bao giờ thừa
Microsoft cũng có một tiện ích mang tên Software Restriction Polices (SRP, trước đây là SAFER) chạy trên hệ điều hành của hãng bắt đầu từ phiên bản Windows XP và Server 2003. SRP tập trung vào việc quản lý môi trường hoạt động bởi admin thông
qua Active Directory Group Policy, qua đó kiểm soát các tính năng của phần mềm(ví dụ như ActiveX) có thể chạy hay không,hoặc dựa vào một số tham số (chữ ký số của nhà sản xuất trên sản phẩm...).Tuy nhiên,sử dụng tiện ích này khá phiền phức vì phần mềm thay đổi rất nhanh mà SRP đôi khi không theo kịp để quản lý được
5.5.2 Phòng chống Phishing
Cùng với sự nâng cao không ngừng kỹ thuật lừa đảo của các hacker,cũng có sự xuấ hiện của nhiều công cụ,khuyến cáo để phòng chống phishing,sau đây là một số gợi ý +Sử dụng các công cụ phát hiện scam
Hình ảnh trên là công cụ ScamBlocker,đây là công cụ khá hữu hiệu để phát hiện những trang web lừa đảo dựa trên các danh sách đen,danh sách này được cập nhật liên tục trước sự gia tăng không ngừng của những trang scam.Khi người dùng lướt các trang có vấn đề,công cụ sẽ đưa ra cảnh báo
+Đọc email dạng plaintext nhằm tránh bị những nội dung phần nổi của email đánh lừa,.Ngoài ra,việc đọc email còn giúp phát hiện ra đường link thật trong dấu (< và >) Ví dụ
Click here to go to our free gift site! Khi đọc dưới dạng plaintext sẽ là:
Click here <http://www.somesite.com> to go to our free gift site!
+Cuối cùng,không nên nhấn vào link trực tiếp trong email,nếu cận thẩn thì nên mở trình duyệt và gõ lại các ký tự trong link đó.Tuy là cách khá thủ công nhưng lại rất hữu hiệu phòng tránh phishing
5.5.3 Phòng Chống adware và spyware
Một trong những cách hữu hiệu nhất để chống lại adware và spyware là không đồng ý cài đặt thêm một phần mềm nào khác ngoài những gì ta cần
Ngoài ra chúng ta có thể chủ động ngăn ngừa bằng cách sử dụng các phần mềm chống adware và spyware,như phần mềm miễn phí spybot hay phần mềm trả phí Webroot's SpySweeper …
5.5.4 Phòng chống tấn công Web Client
Sau đây là một số cách phòng chống trên client trước những nguy cơ đc mô tả bên trên Sử dụng firewall
Cập nhật các bản vá lỗi cho hệ điều hành và các chương trình
Sử dụng các chương trình anti-virus và các chương trình anti-spyware/adware
Đăng nhập bằng các user thông thường không phải admin cho việc lướt web hay đọc email
Đọc email ở chế độ plaintext.
Cấu hình các chương trình ở chế độ bảo mật cao nhất,ví dụ,đặt Microsoft Office programs là "Very High" trong Tools\macro\Security.
….
Bảo mật với các browser - IE
Một số lưu ý về cấu hình IE để bảo mật hơn
Internet Zone Security Settings
Một số cài đặt
Category Setting Name Recommended
Setting ActiveX controls and
plug-ins
Script ActiveX controls marked "safe for scripting"
Disable
Cookies Allow per-session cookies (not stored) Enable
Downloads File download Enable
Scripting Active scripting Enable
Miscellaneous Allow scripting of Internet Explorer web browser control
Disable
Miscellaneous Allow META REFRESH Disable
- Trusted site
Nơi chúng ta có thể đăng ký những trang web mà chúng ta tin cậy nó an toàn,tuy nhiên theo khuyến cáo thì không nên sử dụng chức năng này vì không có gì là đảm bảo trên internet
Sử dụng Locked-down Restricted Sites để đọc email
Restricted Sites zone trái ngược với Trusted Sites zone—sites trong vùng này được đánh dấu là không tin cậy và vì thế,các thiết định an toàn ở đây nên đặt ở mức cao nhất có thể.Theo khuyến cáo,nên cấu hình để disable mọi thứ-tức là đặt an toàn ở mức cao nhất
Cũng như Trusted sites,chúng ta cũng không nên định ra các trang web trong vùng này.Tuy nhiên,chúng ta có thể sử dụng tính năng này để thực hiẹn những công việc có độ rủi ro cao-như việc đọc email.Chúng ta có thể sử dụng tính năng này trong Outlook/Outlook Express.
- Firefox
Disable XUL
Vì lý do bảo mật chúng ta nên cấu hình firefox như sau,trên thanh address,gõ about:config và thiết định những thành phần sau thành true
dom.disable_window_open_feature.titlebar dom.disable_window_open_feature.close dom.disable_window_open_feature.toolbar
dom.disable_window_open_feature.location dom.disable_window_open_feature.directories dom.disable_window_open_feature.personalbar dom.disable_window_open_feature.menubar dom.disable_window_open_feature.scrollbars dom.disable_window_open_feature.resizable dom.disable_window_open_feature.minimizable dom.disable_window_open_feature.status
Firefox Safe Mode
"C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode 5.5.5 Phòng chống tấn công DoS
- Phát hiện dấu hiệu của một cuộc tấn công: Có nhiều kỹ thuật được áp dụng:
+ Agress Filtering: Kỹ thuật này kiểm tra xem một packet có đủ tiêu chuẩn ra khỏi một subnet hay không dựa trên cơ sở gateway của một subnet luôn biết được địa chỉ IP của các máy thuộc subnet. Các packet từ bên trong subnet gửi ra ngoài với địa chỉ nguồn không hợp lệ sẽ bị giữ lại để điều tra nguyên nhân. Nếu kỹ thuật này được áp dụng trên tất cả các subnet của internet thì khái nhiệm giả mạo địa chỉ IP sẽ không còn tồn tại.
+ MIB statistics: trong Management Information Base (SNMP) của route luôn có thông tin thống kể về sự biến thiên trạng thái của mạng. Nếu ta giám sát chặt chẽ các thống kê của protocol mạng. Nếu ta giám sát chặt chẽ các thống kê của Protocol ICMP, UDP và TCP ta sẽ có khả năng phát hiện được thời điểm bắt đầu của cuộc tấn công để tạo “quỹ thời gian vàng” cho việc xử lý tình huống. - Làm suy giảm hay dừng cuộc tấn công:
+ Load balancing: Thiết lập kiến trúc cân bằng tải cho các server trọng điểm sẽ làm gia tăng thời gian chống chọi của hệ thống với cuộc tấn công DDoS. Tuy nhiên, điều này không có ý nghĩa lắm về mặt thực tiễn vì quy mô của cuộc tấn công là không có giới hạn.
+ Throttling: Thiết lập cơ chế điều tiết trên router, quy định một khoảng tải hợp lý mà server bên trong có thể xử lý được. Phương pháp này cũng có thể được dùng để ngăn chặn khả năng DDoS traffic không cho user truy cập dịch vụ. Hạn chế của kỹ thuật này là không phân biệt được giữa các loại traffic, đôi khi làm dịch vụ bị gián đoạn với user, DDoS traffic vẫn có thể xâm nhập vào mạng dịch vụ nhưng với số lượng hữu hạn.
+ Drop request: Thiết lập cơ chế drop request nếu nó vi phạm một số quy định như: thời gian delay kéo dài, tốn nhiều tài nguyên để xử lý, gây deadlock. Kỹ thuật này triệt tiêu khả năng làm cạn kiệt năng lực hệ thống, tuy nhiên nó cũng giới hạn một số hoạt động thông thường của hệ thống, cần cân nhắc khi sử dụng.
- Chuyển hướng của cuộc tấn công:
Honeyspots: Một kỹ thuật đang được nghiên cứu là Honeyspots. Honeyspots là một hệ thống được thiết kế nhằm đánh lừa attacker tấn công vào khi xâm nhập hệ thống mà không chú ý đến hệ thống quan trọng thực sự.
Honeyspots không chỉ đóng vai trò “Lê Lai cứu chúa” mà còn rất hiệu quả trong việc phát hiện và xử lý xâm nhập, vì trên Honeyspots đã thiết lập sẵn các cơ chế giám sát và báo động.
Ngoài ra Honeyspots còn có giá trị trong việc học hỏi và rút kinh nghiệm từ Attacker, do Honeyspots ghi nhận khá chi tiết mọi động thái của attacker trên hệ thống. Nếu attacker bị đánh lừa và cài đặt Agent hay Handler lên Honeyspots thì khả năng bị triệt tiêu toàn bộ attack-network là rất cao.
- Giai đoạn sau tấn công:
+ Traffic Pattern Analysis: Nếu dữ liệu về thống kê biến thiên lượng traffic theo thời gian đã được lưu lại thì sẽ được đưa ra phân tích. Quá trình phân tích này rất có ích cho việc tinh chỉnh lại các hệ thống Load Balancing và Throttling. Ngoài ra các dữ liệu này còn giúp Quản trị mạng điều chỉnh lại các quy tắc kiểm soát traffic ra vào mạng của mình.
+ Packet Traceback: bằng cách dùng kỹ thuật Traceback ta có thể truy ngược lại vị trí của Attacker (ít nhất là subnet của attacker). Từ kỹ thuật Traceback ta phát triển thêm khả năng Block Traceback từ attacker khá hữu hiệu. gần đây đã có một kỹ thuật Traceback khá hiệu quả có thể truy tìm nguồn gốc của cuộc tấn công dưới 15 phút, đó là kỹ thuật XXX.
+ Bevent Logs: Bằng cách phân tích file log sau cuộc tấn công, quản trị mạng có thể tìm ra nhiều manh mối và chứng cứ quan trọng
THAM KHẢO