Khóa luận Nghiên cứu triển khai hệ thống IDS/LPS

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Tiến Công NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành : Công nghệ thông tin HÀ NỘI - 2009 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Tiến Công NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành : Công nghệ thông tin Cán bộ hướng dẫn : Ths. Đoàn Minh Phương Cán bộ đồng hướng dẫn : Ths. Nguyễn Nam Hải HÀ NỘI – 2009 Lời cảm ơn Đầu tiên, em xin gửi lời cảm ơn chân thành tới thầy Đoàn Minh Phương và đặc biệt là thầy Nguyễn Nam Hải đã nhiệt tình giúp đỡ em trong quá trình lựa chọn cũng như trong quá trình thực hiện khóa luận. Em cũng xin gửi lời cảm ơn thầy Đỗ Hoàng Kiên, thầy Phùng Chí Dũng và thầy Nguyễn Việt Anh ở trung tâm máy tính, những người đã chỉ dẫn em trong từng bước đề tài. Để có thể thực hiện và hoàn thành khóa luận này, các kiến thức trong 4 năm học đại học là vô cùng cần thiết, vì vậy em xin gửi lời cảm ơn tới tất cả các thầy cô giáo đã truyền đạt cho em những bài học quý báu trong thời gian vừa qua. Tôi xin cảm ơn bạn Vũ Hồng Phong và bạn Nguyễn Duy Tùng đã hỗ trợ tôi thực hiện đề tài. Tôi cũng xin cảm ơn các bạn cùng lớp đã giúp đỡ tôi trong học tập. Cuối cùng, em xin gửi lời cảm ơn tới gia đình em, nguồn động viên to lớn đã giúp em thành công trong học tập và cuộc sống. Tóm tắt nội dung Nghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâm nhập trái phép (tấn công) vào các hệ thống mạng ngày nay là một vấn đề có tính thời sự và rất có ý nghĩa, vì quy mô và sự phức tạp của các cuộc tấn công ngày càng tăng. Khóa luận này trình bày hệ thống hóa về các phương thức tấn công và các biện pháp ngăn chặn chúng bằng cả lý thuyết và những minh họa mô phỏng thực tế; Những tìm hiểu về giải pháp phát hiện sớm và ngăn chặn tấn công của thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia G200, việc thiết lập cấu hình và vận hành thiết bị, thử nghiệm trong môi trường VNUnet, những đánh giá và nhận xét. Thông qua tiến hành khảo sát hệ thống mạng VNUnet, khóa luận cũng chỉ ra những khó khăn, vấn đề và hướng giải quyết khi triển khai IPS trên những hệ thống mạng lớn như mạng của các trường đại học. Do “ngăn chặn thâm nhập” là một công nghệ khá mới trên thế giới nên khóa luận này là một trong những tài liệu tiếng việt đầu tiên đề cập chi tiết đến công nghệ này. Mục lục BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT ..............................1 DANH SÁCH BẢNG...........................................................1 DANH SÁCH HÌNH MINH HỌA......................................2 MỞ ĐẦU ..........................................................................3 CHƯƠNG 1.AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET ..........................................................................4 1.1. AN NINH MẠNG.............................................................................................4 1.2. HỆ THỐNG MẠNG VNUNET........................................................................4 1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet .........................................4 1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet .................................................5 CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP...................7 2.1. KIẾN THỨC CƠ SỞ.........................................................................................7 2.1.1. Thâm nhập.....................................................................................................7 2.1.2. Tấn công từ chối dịch vụ...............................................................................8 2.1.3. Lỗ hổng bảo mật .........................................................................................10 2.1.4. Virus, Sâu và Trojan ...................................................................................12 2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG...........................13 2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP ...............................................17 2.3.1. Thu thập thông tin .......................................................................................17 2.3.2. Tấn công từ chối dịch vụ.............................................................................17 2.3.3. Thâm nhập qua Trojan................................................................................18 2.3.4. Thâm nhập qua lỗ hổng bảo mật ................................................................19 CHƯƠNG 3.THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP ....................................................................22 3.1. CÁC KHÁI NIỆM CƠ BẢN...........................................................................22 3.2. THIẾT BỊ IPS PROVENTIA G200 ................................................................25 3.3. SITEPROTECTOR SYSTEM........................................................................27 3.3.1. SiteProtector System là gì? .........................................................................27 3.3.2. Quá trình thiết lập hệ thống SiteProtector .................................................29 3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS .......................................................................31 3.4.1. Cài đặt.........................................................................................................31 3.4.2. Cấu hình hình thái hoạt động .....................................................................31 3.4.3. Cấu hình sự kiện an ninh ............................................................................32 3.4.4. Cấu hình phản hồi.......................................................................................35 3.4.5. Cấu hình tường lửa .....................................................................................42 3.4.6. Cấu hình protection domain .......................................................................44 3.4.7. Cấu hình cảnh báo ......................................................................................46 3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS ............................48 3.5.1. Ngăn chặn các hình thức thu thập thông tin...............................................48 3.5.2. Ngăn chặn tấn công DoS ............................................................................49 3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan ............................................50 3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật ...............................................50 3.6. TRIỂN KHAI THỰC TẾ ................................................................................51 CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI ...........................58 4.1. KẾT QUẢ ĐẠT ĐƯỢC..................................................................................58 4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI ................................58 PHỤ LỤC A .......................................................................60 PHỤ LỤC B .......................................................................63 PHỤ LỤC C .......................................................................65 PHỤ LỤC D .......................................................................68 PHỤ LỤC E .......................................................................72 1 BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT Kí hiệu và viết tắt Giải thích ĐHQGHN Đại học Quốc gia Hà Nội IDS/IPS Hệ thống phát hiện/ngăn chặn thâm nhập VNUnet Hệ thống mạng Đại học Quốc gia Hà Nội Proventia G 200 Tên dòng thiết bị IDS/IPS của hãng IBM DANH SÁCH BẢNG Bảng 1 – Thuật ngữ IDS/IPS.........................................................................................22 Bảng 2 – Hình thái hoạt động........................................................................................36 Bảng 3 – Phản hồi email................................................................................................36 Bảng 4 – Phản hồi Log Evidence ..................................................................................37 Bảng 5 – Phân loại cách ly ............................................................................................37 Bảng 6 – Phản hồi cách ly .............................................................................................38 Bảng 7 – Phản hồi SNMP..............................................................................................38 Bảng 8 – Phản hồi User Specified.................................................................................39 2 DANH SÁCH HÌNH MINH HỌA Hình 1 – Sơ đồ kết nối logic của VNUnet..................................................................................5 Hình 2 - Minh họa trình tự tấn công.........................................................................................14 Hình 3 - Giao diện DoSHTTP ..................................................................................................17 Hình 4 - Giao diện smurf attack ...............................................................................................18 Hình 5 - Giao diện client trojan beast.......................................................................................18 Hình 6 - Lỗi trong dịch vụ RPC ...............................................................................................19 Hình 7 - Giao diện metasploit ..................................................................................................20 Hình 8 - Giao diện metasploit (2).............................................................................................21 Hình 9 – Security Events ..........................................................................................................34 Hình 10 – Response Filters.......................................................................................................42 Hình 11 – Protection Domain...................................................................................................45 Hình 12 - Protection Domain ...................................................................................................46 Hình 13 - Mức độ nghiêm trọng của thông báo .......................................................................47 Hình 14 - Minh họa thông báo .................................................................................................47 Hình 15 - Ngăn chặn thu thập thông tin ...................................................................................48 Hình 16 – Đánh dấu cảnh báo SYNFlood ................................................................................49 Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep)...............................50 Hình 18 - Ngăn chặn thâm nhập qua trojan Beast....................................................................50 Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo ....................................................51 Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive........................................51 Hình 21 – Mô hình mạng VNUnet ...........................................................................................52 Hình 22 – Sơ đồ triển khai IPS.................................................................................................53 Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT............................54 Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS..................................55 Hình 25 - Hệ thống IPS gửi mail cho người quản trị ...............................................................56 Hình 26 - Các dò quét và tấn công thực tế ...............................................................................57 Hình 27 – Các hành vi khai thác điểm yếu an ninh..................................................................60 Hình 28 - Xu hướng phishing sắp tới .......................................................................................61 Hình 29 - Minh họa smurf attack .............................................................................................65 Hình 30 - Minh họa tấn công SYNFlood .................................................................................66 Hình 31 - Sơ đồ kết nối logic ...................................................................................................74 Hình 32 – Mô hình tổ chức.......................................................................................................75 3 MỞ ĐẦU Với sự phát triển nhanh chóng của công nghệ và thông tin trên Internet, việc bảo vệ an ninh mạng ngày càng quan trọng và có tính thời sự hàng ngày. Để chống lại tin tặc ngày càng phát triển, đã có các ứng dụng phần mềm để hỗ trợ cùng với các thiết bị phần cứng nhằm hạn chế các tác hại của virus và các hoạt động xâm nhập trái phép. Khoá luận đề cập đến giải pháp phát hiện sớm và ngăn chặn tấn công, có ý nghĩa khoa học là một trong những giải pháp mới và có hiệu quả cao, với thực tiễn có triển khai cài đặt để bảo vệ hệ thống, chống lại được các tấn công mô phỏng, có thể sử dụng để bảo đảm an ninh mạng ở một mức khá cao. Đối tượng nghiên cứu là các hình thức tấn công thâm nhập và thiết bị phát hiện ngăn chặn, cụ thể là sử dụng một thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia G200 trên hệ thống mạng của Trường Đại học Quốc gia. Phương pháp nghiên cứu là tìm hiểu tài liệu trên mạng, tham khảo ý kiến các chuyên gia, mô phỏng hệ thống, thiết lập cấu hình và vận hành thiết bị, thử nghiệm trong môi trường VNUnet, sau đó có đánh giá và nhận xét. Nội dung nghiên cứu bao gồm các vấn đề an ninh mạng, khảo sát hiện trạng hệ thống mạng của Trường Đại học Quốc gia, các hình thức tấn công thâm nhập và thiết bị phát hiện ngăn chặn, các bước cài đặt, cầu hình và vận hành thử nghiệm. Phần kết luận nêu các kết quả đạt được, đánh giá và định hướng nghiên cứu tương lai có thể được phát triển từ kết quả của khoá luận. 4 CHƯƠNG 1. AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET 1.1. AN NINH MẠNG Theo các báo cáo an ninh năm 2007 và 2008 – phụ lục A và B, vấn đề đe dọa an ninh hiện nay càng ngày càng nghiêm trọng. Có thể thấy rõ mức tăng đột biến của các nguy cơ mạng như tấn công từ xa, spam hay phising. Thêm vào đó, các lỗ hổng bảo mật ngày càng được phát hiện nhiều hơn trong khi người dùng vẫn chưa ý thức được việc cập nhật đầy đủ các bản vá. Chỉ vừa trong một thời gian ngắn về trước, tường lửa có thể ngăn chặn được hầu hết các tấn công. Tuy nhiên, với sự phát triển ngày càng mạnh của ứng dụng nền Web và worm, hầu hết các mạng hiện nay đều không an toàn kể cả với tường lửa và phần mềm quét virus. Tường lửa giờ đây chỉ hiệu quả đối với những tấn công DoS phổ thông hay những lỗ hổng bình thường, nó khó có thể ngăn chặn những tấn công dựa trên tầng ứng dụng và worm. Không chỉ lớp mạng ngoài bị tấn công mà kể cả những tài nguyên của mạng trong – bao gồm nhiều những vùng tài nguyên nội bộ giá trị, những vùng lộ ra trên Internet cũng đều bị khai thác và gây cho cơ quan và công ty nhiều thiệt hại. Vì vậy, các thiết bị phát hiện và chống thâm nhập ngày càng trở nên cần thiết trong các cơ quan và công ty hiện nay. Hiện giờ có nhiều thiết bị phát hiện thâm nhập phổ biến như Internet Security Systems (ISS), Lancope StealthWatch, Snort, và StillSecure Border Guard. Trong số đó, sản phẩm của ISS có tiếng vang lớn nhất. Hiện nay, ngoài tính năng phát hiện thâm nhập, các sản phẩm của hãng này đã được thêm vào tính năng ngăn chặn thâm nhập thậm chí còn trước cả khi chúng đến được máy mục tiêu. Để có thể quản trị và phát triển một hệ thống mạng an ninh tốt và bảo mật cao, một yêu cầu hiện nay đối với những người quản trị là hiểu biết các tấn công và thâm nhập, đồng thời biết cách ngăn chặn chúng. 1.2. HỆ THỐNG MẠNG VNUNET [4] 1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet Phần này sẽ được đề cập chi tiết trong phụ lục E – Khảo sát hiện trạng hệ thống mạng VNUnet. Ta có thể tóm tắt một số ý chính như sau : • Hệ thống mạng ĐHQGHN là một hệ thống mạng có quy mô trung bình. 5 • Các VNUnet đã có hệ thống đường truyền thông khá tốt • Kiến trúc phân tầng của mạng còn đơn giản, không ổn định làm giảm hiệu suất mạng, gây lãng phí lớn các đầu tư tài nguyên của ĐHQGHN, gây ức chế tâm lý người dùng, làm xuất hiện tư tưởng kết nối phân tán ra bên ngoài, đặt website ra bên ngoài. • Sử dụng không gian địa chỉ giả lập với thiết bị Proxy. Hệ thống an ninh và an toàn rất yếu kém. Hình 1 – Sơ đồ kết nối logic của VNUnet 1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet Để án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển như sau : • Là mạng tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, e- Document, ...), voice, DVD video, ... Router 3600 INTERNET TEIN2 VINAren CPNET 112 Catalyst 2950 Catalyst 4507 203.113.130.192/27 172.16.0.0/16 Đ H N go ại n gữ Đ H K in h tế , K ho a Lu ật , V iệ n C N S H V iệ n C N TT Đ H K H TN Đ H K H X H -N V Th ư v iệ n TĐ K TX M ễ Tr ì K ho a Q TK D TT PT H ệ th ốn g, K ho a S P, K ho a S Đ H V P Đ H Q G H N TRƯỜNG ĐH CÔNG NGHỆ Với hệ thống thiết bị ghép nối mạng riêng Tr un g tâ m T TT V 10.1.0.0/16 10.10.0.0/16 Cáp quang TT Đ ào t ạo t ừ x a Proxy Web Mail 6 • Là mạng cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực tuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo. Làm giảm kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia sẻ của cá nhân, tập thể trên toàn hệ thống. • Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng. • Có trung tâm dữ liệu mạnh. • Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến người dùng cuối 1Gbps. • Hệ thống kết nối không dây phục vụ các thiết bị xử lý thông tin di động phủ khắp môi trường làm việc, học tập của ĐHQGHN, kể cả các ký túc xá. • Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa và tiếp nhận bài giảng từ xa. • Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh, đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng như trên một desktop ảo. • Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả. • Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động thông suốt, ổn định, hiệu quả. • Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy cập trái phép. • Hỗ trợ cán bộ, giảng viên có thể truy cập vào mạng nội bộ từ xa. Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết. Trong đó công việc quản trị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng đầu. Để xây dựng hệ thống an ninh mạng VNUnet, việc triển khai thiết bị phát hiện và ngăn chặn thâm nhập IDS/IPS là một khâu quan trọng. Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển mạng Đại học quốc gia Hà Nội. 7 CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP 2.1. KIẾN THỨC CƠ SỞ Để đảm bảo được an ninh mạng ngày nay, cần phải hiểu biết chi tiết về các vấn đề liên quan đến an ninh. Đặc biệt là các khái niệm như thâm nhập, tấn công. Phần này sẽ trình bày lý thuyết nền tảng về an ninh liên quan trực tiếp tới hệ thống IDS/IPS được nói tới trong khóa luận. 2.1.1. Thâm nhập [9] Một thâm nhập có thể coi như là một sự chiếm giữ hệ thống từ những người quản trị. Thâm nhập có thể được thực hiện bởi “người bên trong” (những người có tài khoản người dùng hợp lệ trong hệ thống) và họ dùng lỗ hổng của hệ điều hành để nâng cấp quyền của họ. Thâm nhập cũng có thể được thực hiện bởi “người bên ngoài”, họ khám phá ra những lỗ hổng bảo mật và những chỗ bảo vệ kém trong hệ thống mạng để chiếm quyền điều khiển hệ thống. Một thâm nhập có thể xảy ra dưới những dạng sau : • Một virus, sâu hay trojan được cài vào máy qua những con đường như mail, active X hay java script … • Một mật khẩu bị mất trộm bằng những phương pháp như nghe trộm (sniffer), nhìn trộm (shoulder surfing), tấn công vét cạn mã hoặc các phương pháp phá mã khác. • Chiếm đoạt những phiên dịch vụ hay những thiết bị không hỗ trợ mã hóa (telnet cũ, ftp, IMAP hay POP mail …) • Một tấn công vào lỗ hổng của các dịch vụ như ftp, Apache hay iis,… • Thâm nhập vật lý vào máy tính và cướp tài khoản quản trị hay tạo những lỗ hổng trong hệ thống cho phiên thâm nhập sau. Một khi kẻ thâm nhập đã có được quyền hợp lệ với một máy tính hay một hệ thống, họ thường cài đặt những phần mềm trojan mà che dấu sự điều khiển của họ với hệ thống. Trojan là một chương trình giống như các chương trình khác mà người dùng có thể muốn sử dụng, tuy nhiên khi sử dụng thì nó lại thực hiện những hoạt động bất hợp pháp. Một hành vi thâm nhập phổ thống khác là cài phần mềm nghe trộm hoặc keylogger. Thông qua những máy bị chiếm quyền, kẻ thâm nhập có thể vươn ra cả mạng bằng những mối quan hệ tin tưởng trên mạng. 8 Việc xác định được có thâm nhập trong mạng hay không là một việc khá khó khăn vì những phần mềm gián điệp thường có cách để che giấu hoạt động đối với người quản trị và người dùng. Chỉ có một cách để biết chắc chắn rằng có thâm nhập là kiểm tra lưu lượng mạng tới các máy nghi ngờ ở bên ngoài, hoặc kiểm tra máy tính với những công cụ an toàn. 2.1.2. Tấn công từ chối dịch vụ [11] Tấn công từ chối dịch vụ DoS (Denial of Service) là kiểu tấn công với mục đích làm cho máy bị tấn công không thể hoạt động một cách bình thường trong một khoảng thời gian tạm thời hoặc không xác định. Đối tượng của DoS thường là các router, web server, DNS server... Cách thức tấn công thông dụng là gửi tràn ngập các yêu cầu kết nối đến máy đối tượng làm cho nó không thể phản hồi lại các kết nối hợp lệ hoặc phản hồi một cách chậm chạp. DoS có thể khiến cho máy đối tượng bị khởi động lại hoặc tiêu thụ một lượng lớn tài nguyên khiến cho nó không thể chạy các dịch vụ khác cũng như gây tắc nghẽn đường truyền tới người dùng. Có 5 loại tấn công DoS cơ bản: • Tiêu thụ nguồn tài nguyên của máy như băng thông, bộ nhớ hoặc thời gian xử lý. • Phá hủy các thông tin cấu hình, như thông tin về định tuyến. • Phá hủy các thông tin trạng thái, như tự khởi động lại phiên TCP. • Phá hủy các thành phần vật lý. • Gây tắc nghẽn đường truyền giữa người dùng với máy bị tấn công. DoS có thể sử dụng các mã độc hại với mục đích: • Sử dụng tối đa năng lực của bộ vi xử lý, làm cho nó không thực hiện được các công việc khác. • Gây ra các lỗi trong vi mã của máy. • Gây ra các lỗi tuần tự trong các chỉ thị, khiến cho máy rơi vào trạng thái bất ổn hoặc treo đơ. • Khai thác các lỗi trong hệ điều hành gây nên việc thiếu tài nguyên và lỗi thrashing. • Làm treo hệ điều hành. • Tấn công iFrame DoS, một văn bản HTML được tạo ra để gọi đến một trang web chứa nhiều thông tin nhiều lần, cho đến khi chúng lưu trữ một lần gọi vượt quá băng thông giới hạn. 9 Có rất nhiều cách thức cũng như loại tấn công từ chối dịch vụ. Dưới đây là một số loại tấn công tiêu biểu : • Smurf Attack • SYNFlood • Land Attack • UDP Flood • Tear Drop Chi tiết về các cách tấn công này xem trong phụ lục C. Tấn công từ chối dịch vụ phân tán (Distributed DoS) Tấn công từ chối dịch vụ phân tán xảy ra khi có nhiều máy trạm cùng tham gia vào quá trình làm ngập lụt băng thông hoặc tài nguyên của máy bị tấn công. Để thực hiện được tấn công DDoS, kẻ tấn công xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều kiển từ xa và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu. Cách thức này có thể huy động tới hàng trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công một lúc (tùy vào sự chuẩn bị trước đó) và có thể ngốn hết băng thông của mục tiêu trong nháy mắt. Các cách phòng chống Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. Để phòng chống DoS có thể sử dụng một số biện pháp sau: • Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức. Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống. • Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các nguồn tài nguyên quan trọng khác. • Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên mạng. Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router. • Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống lại SYN flood. • Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụ chưa có yêu cầu hoặc không sử dụng. • Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên trên server để tấn công chính server hoặc mạng và server khác. • Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời. • Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường. • Xây dựng và triển khai hệ thống dự phòng. 10 2.1.3. Lỗ hổng bảo mật [10] Trong bảo mật máy tính, thuật ngữ lỗ hổng được dùng cho một hệ thống yếu mà cho phép một kẻ tấn công xâm phạm vào sự toàn vẹn của hệ thống. Lỗ hổng có thể là kết quả của mật khẩu yếu, các lỗi phần mềm, một virus máy tính hoặc phần mềm độc hại khác, một đoạn mã lỗi, một lệnh SQL lỗi hoặc cấu hình sai. Một nguy cơ bảo mật được phân loại là một lỗ hổng nếu nó được công nhận như là một phương pháp được sử dụng để tấn công. Một cửa sổ của lỗ hổng là thời gian từ khi lỗ hổng bảo mật được giới thiệu hoặc chứng tỏ trong các phần mềm được triển khai tới khi một bản vá bảo mật có sẵn hoặc được triển khai . Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows XP, UNIX; hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, Các hệ databases... Nguyên nhân Quản lý mật khẩu sai sót: Người dùng máy tính sử dụng các mật khẩu yếu mà có thể tìm được bởi vét cạn. Người dùng máy tính lưu trữ các mật khẩu trên máy tính ở chỗ mà một chương trình có thể truy cập được nó. Nhiều người dùng sử dụng lại các mật khẩu giữa nhiều chương trình và website. Thiết kế hệ điều hành cơ bản sai sót: Các nhà thiết kế hệ điều hành chọn thực thi các chính sách tối ưu cho người dùng/chương trình quản lý. Ví dụ hệ điều hành với các chính sách như là cho phép mặc định các chương trình và người dùng đầy đủ quyền truy cập tới máy tính. Hệ điều hành sai lầm khi cho phép các virus và phần mềm độc hại thực thi các lệnh ở chế độ administrator. Các lỗi phần mềm: Các lập trình viên thường bỏ qua một lỗi có thể khai thác trong một chương trình phần mềm. Lỗi phần mềm này có thể cho phép một kẻ tấn công lạm dụng một phần mềm. Không kiểm tra nhập vào của người dùng. Một chương trình giả định rằng tất cả các nhập vào của người dùng là an toàn. Các chương trình sẽ không thực hiện việc kiểm tra nhập vào của người dùng có thể cho phép sự thực thi trực tiếp mà không được định trước của các câu lệnh hoặc các câu lệnh SQL (vd như tràn bộ đệm , SQL injection hoặc các đầu vào không có giá trị khác). Phân loại lỗ hổng có thể xem thêm trong phụ lục D. 11 Công bố lỗ hổng Các phương pháp làm giảm các lỗ hổng là một đề tài của cuộc tranh luận trong giao tiếp an toàn máy tính. Một số người bảo nên lập tức đưa đầy đủ các thông tin về lỗ hổng ngay khi chúng được phát hiện. Một số khác chứng minh rằng việc giới hạn khi đưa ra các thông tin về lỗ hổng sẽ đặt người dùng vào những rủi ro lớn, và chỉ nên đưa ra các thông tin chi tiết sau một thời gian, thậm chí có thể không đưa ra. Việc đưa ra thông tin về các lỗ hổng sau một thời gian có thể cho phép thông báo để khắc phục các vấn đề bởi nhà phát triển bằng các bản vá, nhưng có thể làm tăng rủi ro với người dùng. Gần đây, hình thức thương mại hóa với việc đưa ra lỗ hổng bảo mật, như một vài công ty bảo mật thương mại đã bỏ tiền cho việc độc quyền đưa ra lỗ hổng zero day. Những người này sẽ cung cấp một thị trường hợp pháp để mua và bán các thông tin lỗ hổng từ các trung tâm bảo mật. Từ người bảo mật, việc tiết lộ các lỗ hổng miễn phí và công cộng chỉ thành công nếu bên nhận bị ảnh hưởng lấy được thông tin thích đáng trước khi bị tin tặc, nếu không các tin tặc sẽ có ngay lập tức có lợi thế trong việc lợi dụng khai thác. Việc bảo mật thông qua việc che dấu thông tin các lỗ hổng cũng phải tương tự như trên . Việc cho phép một cách công bằng việc phổ biến các thông tin bảo mật tích cực là rất quan trọng. Thường sẽ có một kênh tin tưởng là nguồn của các thông tin bảo mật (vd .g CERT, SecurityFocus, Secunia and VUPEN). Các nguồn này phân tích và đánh giá rủi ro đảm bảo chất lượng của các thông tin này. Việc phân tích phải bao gồm đầy đủ các chi tiết để cho phép một người dùng có liên quan với phần mềm có thể đánh giá được rủi ro cá nhận của họ hoặc ngay lập tức có các hành động để bảo vệ tài sản của họ. Ngày công bố lỗ hổng Thời gian của việc đưa ra một lỗ hổng được định nghĩa khác nhau trong tập đoàn bảo mật và lĩnh vực. Nó thường được coi như là một loại công bố công cộng của các thông tin bảo mật bởi một bên. Thông thường , thông tin lỗ hổng được đưa ra trên một danh sách thư tín hoặc được xuất bản trên một website bảo mật và trong một tư vấn an ninh sau đó. Thời gian của công bố là ngày đầu tiên lỗ hổng bảo mật được miêu tả trên một kênh ,nơi được công bố thông tin về lỗ hổng và có đầy đủ các yêu cầu sau : Thông tin miễn phí và công cộng . Thông tin lỗ hổng được đưa ra bởi một nguồn hoặc một kênh độc lập được tin cậy Lỗ hổng chịu phân tích bởi các chuyên gia như thông tin đánh giá mức độ rủi ro được bao gồm trên công bố. Nhận ra và gỡ bỏ các lỗ hổng Nhiều các công cụ phần mềm tồn tại để giúp đỡ trong việc khám phá (và thỉnh thoảng là gỡ bỏ) của các lỗ hổng trong hệ thống hệ điều hành. Mặc dù các công cụ này 12 có thể cung cấp một cái nhìn khái quát tốt về các lỗ hổng, chúng không thể thay thế những đánh giá của con người . Các lỗ hổng được tìm thấy chủ yếu trong các hệ điều hành bao gồm windows, mac os, linux, các dạng Uni, OpenVMS và các loại khác. Chi có một cách để giảm bớt cơ hội của các lỗ hổng được sử dụng với một hệ thống là sự thận trọng cao độ, bao gồm việc duy trì hệ thống cẩn thận (cập nhật các bản vá ), triển khai tốt nhât (sử dụng tường lửa và điều khiển truy cập) và kiểm tra (trong suốt quá trình phát triển và vòng đời triển khai) 2.1.4. Virus, Sâu và Trojan [8] Vi rút Virus là những phần mềm máy tính có khả năng lây nhiễm và phá hủy các phần mềm thậm chí phần cứng máy tính. Các virus không thể lây lan nếu không thông qua phương tiện chia sẻ như trao đổi tệp hoặc thư điện tử. Sâu Sâu có khả năng lây lan từ máy này sang máy khác giống như virus, nhưng chúng khác virus ở chỗ chúng có thể tự lây lan mà không cần có sự điều khiển của người phát tán. Chúng có thể nắm quyền điều khiển máy tính, tự động trao đổi file. Bởi vì nó có khả năng sao chép với số lượng rất lớn, sâu có thể làm cho những gói tin lưu thông trong mạng tắc nghẽn, làm chậm tất cả các hoạt động liên quan tới internet. Chúng còn làm cho ta trở thành những kẻ tấn công bằng cách gửi đính kèm chính chúng trong những tệp tin gửi cho danh sách bạn bè hay đồng nghiệp. Sâu cũng có thể là một công cụ được sử dụng bởi những kẻ thâm nhập bằng cách chiếm quyền hệ thống và tạo cổng sau cho kẻ thâm nhập truy cập vào. Trojan Trojan là các chương trình máy tính trông có vẻ như là một phần mềm hữu ích, nhưng thực ra chúng làm tổn thương bảo mật và gây ra rất nhiều phá hủy. Chúng chiếm quyền điều khiển máy bị nhiễm và cho phép người ngoài truy cập trái pháp tới, hoặc chúng có thể tự động download các lệnh thực thi từ một địa chỉ ngoài. Trojan thường đi kèm với keylogger, một phần mềm lưu lại các thao tác bàn phím của người dùng và gửi cho kẻ điều khiển hoặc phần mềm theo dõi màn hình 13 máy tính. Việc có được những mật khẩu hợp lệ làm cho kẻ tấn công chiếm được toàn quyền với tài khoản của người dùng. Cũng có những thuật ngữ khác về những mối đe dọa an ninh mạng, tuy nhiên chúng chỉ là phương tiện dẫn đường cho những hoạt động kể trên. 2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG [1] Thâm nhập vào một hệ thống không phải là một công việc đơn giản nhưng cũng không quá khó khăn cho những người có kiến thức về công nghệ thông tin nói chung. Để đạt được mục đích, các hacker thường thực hiện một tấn công thâm nhập theo những bước sau : • FootPrinting – In dấu • Scanning – Dò quét • Enumeration – Điểm danh • Gaining Access – Có quyền truy cập • Escalating Privileges – nâng cấp quyền • Pilfering – Khai thác hệ thống • Covering Tracks – Xóa dấu vết • Creating "Back Doors" – Tạo cổng hậu • DoS – Tấn công từ chối dịch vụ Chú ý rằng những bước trên hoàn toàn linh động khi áp dụng vào thực tế. Các hành động khi tấn công thâm nhập có thể là đan xen nhau thậm chí một hành động được thực hiện lặp lại nhiều lần hay bỏ qua không cần thực hiện. Tuy nhiên cũng có thể sắp xếp thứ tự các hành động đó theo trình tự như hình dưới đây : 14 Hình 2 - Minh họa trình tự tấn công [12] Bây giờ ta sẽ đề cập chi tiết đến từng hành động trong một tấn công thâm nhập của hacker. Như đã nói ở trên, trước khi một tấn công thực sự được thực hiện, hacker cần phải chuẩn bị đầy đủ các thông tin về đối tượng qua 3 bước : footprinting (in dấu), scanning (dò quét), enumaration (điểm danh). Cũng như khi một nhóm cướp muốn cướp một nhà băng, chúng không chỉ cứ đến nhà băng và yêu cầu tiền mà chúng cần tìm hiểu rất nhiều thông tin về nhà băng đó như tuyến đường xe chở tiền đi, thời gian giao tiền, các camera giám sát, lộ trình tẩu thoát và nhiều thứ khác cần thiết. Bước đầu tiên trong 3 bước thu thập thông tin là in dấu. In dấu In dấu là chỉ việc sử dụng công cụ và kĩ thuật để thu thập các thông tin cơ bản của đối tượng cần tấn công. Các thông tin có thể lấy được qua nhiều đường như Internet, Intranet, Remote access, extranet. Ví dụ như từ google, chúng ta có thể lấy ra thông tin về tên miền của đối tượng, số địa chỉ IP đã cấp phát hay cả những thông tin cá nhân của nhân viên trong một công ty đối tượng. Những thông tin tưởng chừng đơn giản này lại là những thông tin không thể thiếu được khi bắt đầu một tấn công thâm nhập vào hệ thống của đối tượng. Các thông tin cá nhân về nguồn tài nguyên con người như Số điện thoại, quê, nhà, chức vụ, ngày sinh…, đôi khi chỉ với những thông tin này hacker đã có thể làm chủ hệ thống. Chỉ có một cách để ngăn ngừa việc in dấu là bảo vệ những thông tin nhạy cảm khỏi những nơi có thể dễ dàng truy cập đến. Bước tiếp theo trong quá trình này là dò quét (Scanning) Nếu như in dấu chỉ tìm hiểu các thông tin bên ngoài của một nhà băng thì dò quét là kiểm tra tất cả các cửa sổ hay cửa ra vào của nhà băng đó. Việc đầu tiên trong đó là xác định xem hệ thống có “sống” hay không. Việc này có thể được thực hiện bằng các 15 công cụ như ping (hay fping hoặc nmap). Tiếp đó là xác định xem có những dịch vụ tcp hay udp nào đang hoạt động trên các máy đối tượng. Có rất nhiều cách thức cũng như công cụ để thực hiện việc này ngày nay. Bước cuối cùng là xác định hệ điều hành trên các máy đó, việc này rất quan trọng trong việc tấn công thâm nhập qua các lỗ hổng bảo mật. Bước cuối cùng trong các bước tìm kiếm thông tin là enumeration (điểm danh). Hành động này yêu cầu phải kết nối và truy vấn trực tiếp tới máy đối tượng nên nó khá dễ bị lưu vết và cảnh báo. Cách thức cơ bản nhất của của điểm danh là lấy banner (banner grabbing). Thông tin này sẽ cho biết các dịch vụ đang sử dụng và phiên bản của các dịch vụ đó. Ví dụ : C:\>telnet www.abc.com 80 HTTP/1.0 400 Bad Request Server: Netscape-Commerce/1.12 Your browser sent a non-HTTP compliant message. Có nhiều cổng có thể sử dụng cho việc lấy thông tin này như cổng 80 HTTP, cổng 25 SMTP, cổng 21 FTP. Một trong những dịch vụ bị khai thác nhiều nhất từ xưa đến nay là dịch vụ DNS với DNS Zone Transfers. Nếu máy chủ của đối tượng đang chạy dịch vụ DNS của Microsoft thì kẻ tấn công có thể thu thập được một lượng thông tin lớn, thậm chí cả các thông tin ẩn về hệ thống mạng của đối tượng, ta có thể thấy trong ví dụ sau : C:\>nslookup Default Server: dns01.wayne.net Address: 10.10.10.1 > > set type=any > ls -d wayne.net > dns.wayne.net > exit > server 10.10.10.2 Default Server: dns02.wayne.net Address: 10.10.10.2 > ls -d wayne.net 16 [dns1.wayne.net] wayne.net. SOA dns04.wayne.net wayne.dns04.wayne.net. (3301 10800 3600 604800 86400) wayne.net. NS dns04.wayne.net wayne.net. NS dns02.wayne.net wayne.net. NS dns01.wayne.net wayne.net. NS dns05.wayne.net wayne.net. MX 10 email.wayne.net rsmithpc TXT "smith, robert payments 214-389-xxxx" rsmithpc A 10.10.10.21 wmaplespc TXT "Waynes PC" wmaplespc A 10.10.10.10 wayne CNAME wmaplespc.wayne.net Ngoài ra, còn một số các dịch vụ khác có thể được khai thác để biết thêm thông tin như MSRPC, NetBIOS, SNMP, …. Có thể xem thêm chi tiết về cách khai thác các dịch vụ này trong cuốn Hacking Exposed ở phần tài liệu tham khảo bên dưới. Sau khi đã lấy được đầy đủ thông tin về đối tượng, các hacker có thể chọn lựa các phương thức tấn công, thâm nhập khác nhau. Đầu tiên, hacker có thể chọn DoS hoặc DDoS đối tượng. Các cách thức tấn công từ chối dịch vụ này không làm hacker chiếm được quyền điều khiển hệ thống tuy nhiên nó có thể làm ngưng hệ thống tường lửa và các dịch vụ an ninh hay làm phân tán sự chú ý của người quản trị hệ thống mạng qua đó tạo điều kiện cho việc thâm nhập dễ dàng hơn. Nếu lượng thông tin thu được trong các bước trên đủ để thực hiện một tấn công nhằm vào hệ thống thì hacker không cần phải tấn công từ chối dịch vụ mà sẽ khai thác các lỗ hổng bảo mật hoặc phã mã để có một số tài khoản quản trị thông qua nghe trộm, phishing sử dụng keylogger, worm và trojan. Cũng có một số trường hợp, khi hacker không tìm ra được các điểm yếu của hệ thống, họ tấn công vào điểm yếu con người. Ví dụ như họ giả mạo đối tác kinh doanh để yêu cầu tài khoản hợp lệ, hoặc họ cũng có thể gọi điện cho nhân viên quản lý và giả vờ bị mất tài khoản. Tất nhiên việc có được đầy đủ các thông tin về con người là rất cần thiết. Nếu hacker chỉ có được những tài khoản quản trị ở mức thấp thì họ sẽ tìm cách nâng cấp quyền quản trị của tài khoản đó bằng cách lợi dụng sự tín nhiệm của tài khoản đó. Nếu sau bước này, hacker có được toàn quyền hệ thống thì việc cuối cùng mà họ làm là xóa dấu vết và đặt backdoor để thâm nhập lần sau dễ dàng hơn. Công việc xóa 17 dấu vết chỉ đơn giản là xóa các log của hệ thống giám sát hay của hệ điều hành máy thâm nhập, mức độ xóa dấu vết tùy thuộc vào mục đích tấn công của hacker. Một số hacker muốn nổi danh thậm chí còn cố ý để lại dấu vết, ngoài ra có những hacker ăn cắp các tư liệu mật, họ cũng muốn để lại thông điệp tống tiền hay tương tự để người quản trị biết, tuy nhiên hầu như tất cả đều phải xóa những thông tin lộ ra họ là ai. Còn backdoor được sử dụng cũng có nhiều mức độ khác nhau, các hacker có thể tạo một worm hay trojan trong hệ thống, có thể cài đặt một phần mềm keylogger hay đơn giản chỉ tạo một tài khoản ẩn. 2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP 2.3.1. Thu thập thông tin Sau khi thu thập đầy đủ thông tin về hệ thống đối tượng, có nhiều phương pháp có thể sử dụng trong thâm nhập, trong khóa luận sẽ trình bày 3 mô phỏng tấn công và thâm nhập. Những phương pháp thâm nhập và tấn công khác hoặc không thể mô phỏng (nhìn trộm, nghe trộm hay phá mã tài khoản người dùng) hoặc không còn có nguy cơ xảy ra (chiếm đoạt những phiên dịch vụ không mã hóa). Ngoài ra do không có đủ lượng máy để mô phỏng tấn công DDoS nên trong khóa luận sẽ chỉ nêu phương thức tấn công trên lý thuyết và mô phỏng kiểu tấn công DoS chứ không mô phỏng tấn công DDoS. 2.3.2. Tấn công từ chối dịch vụ Một trong số những tấn công phổ biến nhất của DoS là SYN Flood. Mô phỏng sử dụng công cụ DoSHTTP của socketsoft.com. Hình 3 - Giao diện DoSHTTP 18 Công cụ có giao diện sử dụng rất đơn giản, chỉ cần thiết lập số kết nối đồng thời, xác định mục tiêu và tấn công. Chỉ cần vài máy cùng tiến hành tấn công đồng thời là có thể đánh sập một web server cỡ nhỏ. Một tấn công nữa được mô phỏng là smurf attack. Công cụ sử dụng là smurf2k. Tương tự như trên, giao diện chương trình cũng rất đơn giản, chỉ việc xác định mục tiêu, kích cỡ gói tin và tiến hành tấn công. Hình 4 - Giao diện smurf attack 2.3.3. Thâm nhập qua Trojan Mô phỏng sử dụng Trojan Beast. Trojan này lây nhiễm trên hệ điều hành windows và sử dụng cơ chế client server. Phần server được nhúng vào những phần mềm vô hại và được cài đặt trên máy nạn nhân qua sai sót của người dùng. Phần này sẽ mở một cổng 6666 cho máy client kết nối tới. Trojan này còn có tác dụng vô hiệu hóa phần mềm tường lửa và chống virus đồng thời cài đặt một keylogger để lấy thông tin về mật khẩu của người dùng qua đó hacker có thể truy cập trực tiếp đến máy nạn nhân. Hình 5 - Giao diện client trojan beast 19 Đây là màn hình xây dựng trojan (nhúng vào các file chạy, đưa trojan lên webserver). Sau khi xây dựng trojan và xác định có máy bị nhiễm (có mail gửi về nếu máy đó đã bị nhiễm), ta sử dụng chương trình client này để kết nối tới máy đó qua cổng 6666. Nếu tài khoản bị nhiễm là tài khoản admin thì ta đã có toàn quyền sử dụng với máy đó. 2.3.4. Thâm nhập qua lỗ hổng bảo mật [5] Đầu tiên, mô phỏng sử dụng công cụ retina network scanner để dò lỗ hổng bảo mật một trên một máy Windows server 2003 sp2. Kết quả cho thấy máy này có một lỗ hổng nghiêm trọng chưa được vá là lỗi RPC DCOM. Hình 6 - Lỗi trong dịch vụ RPC Chi tiết về lỗi này như sau [7]: 20 Windows cung cấp khả năng sử dụng RPC để thực thi các ứng dụng phân tán. Microsoft RPC bao gồm các thư viện và các dịch vụ cho phép các ứng dụng phân tán hoạt động được trong môi trường Windows. Các ứng dụng phân tán chính bao gồm nhiều tiến trình thực thi với nhiệm vụ xác định nào đó. Các tiến trình này có thể chạy trên một hay nhiều máy tính. Microsoft RPC sử dụng name service provider để định vị Servers trên mạng. Microsoft RPC name service provider phải đi liền với Microsoft RPC name service interface (NIS). NIS bao bao gồm các hàm API cho phép truy cập nhiều thực thể trong cùng một name service database (name service database chứa các thực thể, nhóm các thực thể, lịch sử các thực thể trên Server). Khi cài đặt Windows, Microsoft Locator tự động được chọn như là name service provider. Nó là name service provider tối ưu nhất trên môi trường mạng Windows. Microsoft dễ bị tràn bộ đệm trong giao diện Distributed Component Object Model (DCOM) của dịch vụ RPC (Remote Procedure Call). Bằng cách gửi một thông điệp xấu tới dịch vụ RPC, một kẻ tấn công từ xa có thể làm tràn một bộ đệm và thực thi một đoạn mã tùy ý trên hệ thống bới đặc quyền Local System. Với đoạn mã này, kẻ tấn công có thể toàn quyền xử lý với máy mục tiêu. Bước tiếp theo ta sử dụng phần mềm nguồn mở metasploit để khai thác lỗ hổng này. Vào giao diện chương trình, chọn lỗ hổng cần khai thác. Hình 7 - Giao diện metasploit 21 Tiếp đó chọn hành động cần thực hiện khi khai thác, chọn đối tượng và tấn công. Hình 8 - Giao diện metasploit (2) Các hành động thực hiện được khi khai thác lỗ hổng này là tạo một giao diện dòng lệnh với quyền quản trị administrator trên máy nạn nhân, tạo một tài khoản với quyền quản trị, … Khi lỗ hổng được khai thác, phía bên máy nạn nhân sẽ xuất hiện một thông báo khởi động lại dịch vụ RPC. 22 CHƯƠNG 3. THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP 3.1. CÁC KHÁI NIỆM CƠ BẢN [2] Để hiểu và nắm vững phương pháp phát hiện và ngăn chặn tấn công, thâm nhập, một hệ thống kiến thức cơ sở về hệ thống IDS/IPS là cần thiết. Dưới đây là các thuật ngữ sử dụng trong công nghệ ngăn chặn thâm nhập Bảng 1 – Thuật ngữ IDS/IPS Terminology Description Inline mode Kiểm tra lưu thông mạng, có khả năng ngăn chặn thâm nhập trước khi nó đến được mục tiêu. Promiscuous mode (passive mode) Thụ động kiểm tra lưu thông mạng. Signature engine Một engine hỗ trợ tín hiệu chia sẻ những thuộc tính chung (tương tự như giao thức) Meta-Event Generator Khả năng định nghĩa tín hiệu biến đổi dựa trên nhiều tín hiệu khác. Atomic signature Một tín hiệu phát ra theo nội dung của từng gói tin. Flow-based signature Một tín hiệu phát ra dựa trên thông tin chứa trong trình tự gói tin giữa 2 hệ thống (ví dụ như gói tin trong kết nối TCP) Behavior-based signature Một tín hiệu phát ra khi có lưu thông bất thường từ những người dùng thông thường. Anomaly-based signature Một tín hiệu phát ra khi lưu thông vượt quá cấu hình bình thường. 23 Bảng 1 – Thuật ngữ IDS/IPS Terminology Description False negative Tình huống mà hệ thống phát hiện không nhận biết được thông nhập mặc dù có một tín hiệu nhận biết được hoạt động đó. False positive Tình huống người dùng bình thường gây ra báo động (không có hành vi đột nhập). True negative Tình huống mà không phát sinh tín hiệu khi có lưu thông bình thường trên mạng. True positive Tình huống báo động đúng khi có đột nhập, tấn công trên mạng. Deep-packet inspection Giải mã các giao thức và kiểm tra toàn bộ gói tin để cho những luật dựa trên gói tin hoạt động đúng. Event correlation Kết hợp với đa thông báo hay đa sự kiện với một tấn công đơn lẻ. Risk rating (RR) Một đánh giá đe dọa dựa trên nhiều nhà sản xuất mà không dựa trên tính nghiêm trọng của tấn công. IPS/IDS Triggers Mục đích của thiết bị IDS/IPS là nhận diện tấn công và ngăn chặn nó. Tuy nhiên không phải loại thiết bị nào cũng dùng chung một phương thức giống nhau. Có ba phương thức chính được sử dụng trong hệ thống IDS/IPS hiện tại. Anomaly detection Misuse detection Protocol analysis Chú ý : Phương thức nhận biết dựa trên hành động gây ra các báo động của hệ thống IDS/IPS. Ví dụ phương thức với một hệ thống chống trộm phổ thông chính là sự kiện cửa sổ vỡ. Một IDS có thể gây ra một báo động khi có một gói tin tới một cổng xác định với một dữ liệu xác định. 24 Anomaly Detection (Nhận biết bất thường) Nhận biết bất thường còn có thể gọi là nhận biết dựa trên hồ sơ. Trong nhận biết bất thường, ta xây dựng những hồ sơ xác định xem những hành vi nào là bình thường. Những hồ sơ này có khả năng tự học qua những cư xử trong quá khứ. Sau khi định nghĩa những hồ sơ bình thường này, những gì còn lại là bất thường và sẽ tạo ra báo động. Lợi ích chính của nhận biết bất thường là những báo động tạo ra không dựa trên những tín hiệu của những dạng tấn công cụ thể mà dựa trên những hành động bất thường của nó. Bởi vậy mà hệ thống có thể phát hiện được tấn công ngay cả trước khi tấn công đó được công bố. Misuse Detection (Nhận biết lạm dụng) Nhận biết lạm dụng là nhận biết dựa trên những dấu hiệu, nó tạo ra thông báo khi có hoạt động với những dấu hiệu trùng khớp với những dấu hiệu đã xác định trước. Những dấu hiệu này là một tập hợp các luật bịt những lỗ hổng mà kẻ tấn công có thể lợi dụng để thâm nhập vào mạng. Những kĩ sư có kinh nghiệm có thể biết những tấn công và lỗ hổng để phát triển những luật cho mỗi tín hiệu riêng. Một số lợi ích chính là : Tín hiệu dựa trên những tấn công đã biết. Dễ thiết lập những nhận biết tấn công Hệ thống dễ hiểu Nhận biết tấn công ngay sau khi cài đặt Protocol Analysis (Phân tích giao thức) Phương thức cuối cùng là phân tích giao thức. Phương thức này sẽ phân tích các hoạt động dựa trên các giao thức xác định. Nó sẽ phân tích gói tin dựa trên định nghĩa của giao thức trong RFC và các payload hay tiêu đề gói tin. Sử dụng phân tích giao thức, những tấn công phải có được các gói tin hợp lệ và cũng phải không chứa các tấn công trong payload hoặc tiêu đề gói tin. IPS/IDS Monitoring Locations (Địa điểm giám sát IPS/IDS) Có hai loại địa điểm giám sát sau : Host-Based Network-Based Host-Based Hệ thống phát hiện thâm nhập dựa trên máy trạm kiểm tra những hoạt động trái phép bằng cách kiểm tra thông tin ở mức máy hoặc mức hệ điều hành. Những hệ thống này thường kiểm tra những cuộc gọi hệ thống, hay những dấu vết chỉnh sửa, thông báo lỗi hệ thống … 25 Vì IPS/IDS dựa trên máy kiểm tra lưu thông sau khi nó đã đến máy bị tấn công. Vậy nên nó biết chính xác máy đó có bị tấn công thành công hay không. Network-Based Một hệ thống phát hiện thâm nhập dựa trên mạng kiểm tra những gói tin lưu chuyển trên mạng và so sánh những lưu thông với những dấu hiệu đột nhập biết trước. Một thiết bị IPS dựa trên mạng kiểm tra lưu thông như là một thiết bị hoạt động ở tầng 2. Lưu ý : Để xem được toàn bộ gói tin của mạng tức là phải kiểm tra tất cả các gói tin lưu chuyển qua mạng. Thông thường, một máy chỉ kiểm tra gói tin mà có địa chỉ tới nó cùng với gói tin quảng bá. Để có khả năng thấy tất cả các gói tin của mạng, thiết bị IDS phải đặt card mạng ở hình thái promiscuous. Trong hình thái này, card mạng kiểm tra tất cả các gói tin mà không cần biết đến địa chỉ đích của nó. Một hệ thống phát hiện thâm nhập dựa trên mạng lợi hơn một hệ thống dựa trên máy ở những điểm sau : Có được cái nhìn tổng quan về toàn mạng Không phải chạy trên tất cả các máy trong mạng Vì thiết bị dựa trên mạng có thể thấy được nhiều máy, nên nó có một cái nhìn tổng quan về tấn công với mạng. Nếu có người quét máy trong mạng, thông tin đó sẽ được cảnh báo ngay lập tức. Một lợi ích khác của hệ thống này là nó không cần phải chạy trên mọi máy trong mạng. Thay vào đó, hệ thống dựa vào một số lượng các sensor nhất định để thu thập lưu thông mạng. Các sensor này có thể tối ưu hóa vì nó chỉ cần làm một số công việc xác định trên mạng. 3.2. THIẾT BỊ IPS PROVENTIA G200 Dựa trên công nghệ Internet Security Systems, Proventia™ G là một hệ thống ngăn chặn xâm nhập nội tuyến (IPS), nó tự động ngăn chặn các tấn công có tính nguy hại trong khi vẫn đảm bảo băng thông cho đường truyền. Được xây dựng trên các công nghệ hàng đầu thế giới về an ninh mạng, sử dụng các chip xử lý của Intel như Intel Xeon và một hệ điều hành sử dụng nhân Linux được cứng hoá, Proventia G giúp giảm chi phí cho những phát triển, tối ưu hoá việc quản lý và bảo vệ tối đa cho hệ thống với một tốc độ cao tới 100 Mbps. Khác với tường lửa, Proventia G Series kiểm tra sâu tới nội dung gói tin và ngăn chặn các tấn công đã biết cũng như chưa biết trong thời gian thực, bao gồm các tấn công từ chối dịch vụ phân tán (DDoS), BackDoors, và các lỗ hổng an ninh, giảm bớt 26 công việc cho người quản trị. Cùng với các thành phần bảo vệ mạng, máy chủ, máy trạm khác, Proventia G Series được quản lý tập trung bởi RealSecure SiteProtector ™. Việc quản trị tập trung bao gồm các thao tác cập nhật, thiết lập chính sách an ninh,và báo cáo giúp giảm bớt thời gian cho người quản trị. Proventia G hoạt động với các stealth interface không có địa chỉ IP nhằm hạn chế các tấn công vào nó và nó trong suốt từ với mạng từ lớp IP. IPS G200 là một hệ thống phát hiện thâm nhập thuộc dòng sản phẩm G (G series), đây là hệ thống IDS/IPS dựa trên mạng (network based), phân tích tấn công thâm nhập theo cơ chế mibuse detection - nhận biết các tấn công dựa trên dấu hiệu (signature) của tấn công hay thâm nhập có sẵn trong cơ sở dữ liệu của nó. Cơ sở dữ liệu này được cập nhật thường xuyên bởi những đội ngũ nghiên cứu an ninh mạng tiếng tăm X-Force. Ngoài ra thiết bị còn cho phép thiết lập những luật tường lửa và luật kết nối để hỗ trợ cho việc ngăn chặn các tấn công thâm nhập. Thiết bị có cơ chế cho phép người quản trị tự tạo các dấu hiệu nhận biết tấn công thâm nhập riêng, nhờ vào cơ chế đó mà nó có thể phát hiện và ngăn chặn những tấn công ngay cả trước khi tấn công đó được biết đến rộng rãi. Thiết bị hoạt động ở 3 hình thái sau: • inline protection • inline simulation • passive monitoring Ba hình thái này được chọn ngay khi cài đặt hoặc có thể được cấu hình sau đó Inline Protection Hình thái này cho phép ta kết hợp thiết bị vào hạ tầng mạng. Trong hình thái này, ngoài những luật ngăn chặn và cách ly bình thường, tất cả các luật của firewall cùng với tất cả các luật an ninh của thiết bị đều được bật. Inline Simulation Hình thái này cho phép ta giám sát mạng mà không ảnh hưởng đến lưu thông. Ngoài những luật ngăn chặn phổ thông, nó còn có thể cách ly đối tượng. Không loại bỏ gói tin khi có phản ứng và thiết bị không thiết lập lại kết nối TCP. Hình thái này sử dụng cho việc thử nghiệm những luật an ninh mà không ảnh hưởng đến lưu thông mạng. Passive Monitoring Hình thái này hoạt động như hệ thống phát hiện xâm nhập (IDS), nó giám sát mạng mà không điều khiển. Thường nó phản ứng với thâm nhập bằng những luật ngăn chặn phổ thông. Nếu thiết bị gặp lỗi, nó sẽ gửi một yêu cầu thiết lập lại để ngăn chặn kết nối TCP. Hình thái này sử dụng khi cần xem xét loại hình bảo vệ nào mà hệ thống mạng hiện tại cần. 27 3.3. SITEPROTECTOR SYSTEM [2] 3.3.1. SiteProtector System là gì? SiteProtector System là một hệ thống quản lý tập trung cung cấp khả năng ra lệnh, điều khiển và giám sát cho tất cả các sản phẩm IBM ISS. Các thành phần của hệ thống SiteProtector Hệ thống SiteProtector gồm có nhiều thành phần khác nhau, mỗi thành phần có đều có chức năng riêng. Giao diện hệ thống SiteProtector xem các thành phần như là các agent. • Agent Manager (Desktop Controller): cung cấp khả năng cấu hình, cập nhật và quản lý các thành phần SiteProtector và các sản phẩm IBM ISS khác như: o X-Press Update Server o Desktop Protection agents o Proventia G appliances o Proventia Network IPS o Proventia Network MFS • Console: giao diện để chạy tất cả các tác vụ hệ thống SiteProtector, gồm: o Cấu hình, cập nhật và quản lý hệ thống SiteProtector. o Cấu hình, cập nhật và quản lý các sản phẩm IBM ISS khác như các agent Desktop Protector, máy quét, thiết bị và bộ cảm ứng. o Tạo và quản lý các chính sách an ninh và các phản ứng. o Thiết lập, tổ chức và quản lý nhóm cho các tài nguyên mà hệ thống SiteProtector giám sát. o Thiết lập người dùng và phân quyền. o Giám sát các vấn đề an ninh và các tổn hại đến mạng. o Chạy và lập thời gian biểu các công việc như scan, cập nhật sản phẩm, và bảo trì cơ sở dữ liệu. o Phát sinh các báo cáo o Phát sinh các ticket. • Databridge: cho phép hệ thống SiteProtector thu thập và hiển thị các dữ liệu bảo mật từ các sản phẩm IBM ISS cũ như System Scanner hoặc từ hệ thống thứ ba. • Deployment Manager: một ứng dụng chạy trên web được sử dụng để cài đặt hệ thống SiteProtector và các sản phẩm ISS khác từ một vị trí trung tâm trên mạng. 28 • Event Archiver: lưu trữ các sự kiện bảo mật tại một thiết bị từ xa. • Event Collector: tập hợp dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS và gửi chúng tới Site Database để xử lý. Sau khi xử lý, dữ liệu có thể được hiển thị trong SiteProtector Console. Event Collector cũng gửi dữ liệu chưa được xử lý đến EventViewer. • Event Viewer: cung cấp một giao diện khác để hiển thị các sự kiện bảo mật. Event Viewer nhận các sự kiện chưa xử lý trực tiếp từ Event Collector. Giao diện này được sử dụng chủ yếu để sửa lỗi. ISS khuyến cáo sử dụng Console cho các tác vụ quản lý an ninh. • Site Databasse: lưu trữ các thông tin sau o Dữ liệu bảo mật được sinh ra bởi các sản phẩm ISS o Thống kê các sự kiện bảo mật o Thông tin nhóm o Dữ liệu điều khiển và lệnh o Trạng thái XPU của tất cả các agent o Tài khoản người dùng hệ thống SiteProtector và phân quyền o Các ticket o Tùy chỉnh hiển thị, báo cáo và các thiết lập khác. • SiteProtector Application Server : làm cho giao tiếp giữa SiteProtector Console và các agent khác trở lên dễ dàng hơn. Application Server giúp cho nhiều Console có thể cùng thực hiện các chức năng sau: o Giao tiếp với SiteProtector Database o Giám sát và quản lý cùng một tập các Event Collection và agent • Chú ý: Application Server chứa các Sensor Controller và X-Press Update Server. Ba thành phần này cùng được cài đặt tự động trên cùng một máy tính. Ba thành phần này được tích hợp toàn bộ và không thể tách rời. • Sensor Controller: giúp các lệnh và điều khiển giữa Console và các agent khác trở lên dễ dàng. • X-Press Update Server: công cụ chính để cập nhật hệ thống SiteProtector và các sản phẩm ISS khác cùng làm việc. Nó thực hiện các việc sau: o Kết nối tới trung tâm download ISS o Download các bản cập nhật. o Cung cấp cập nhật cho cả hệ thống SiteProtector phân tán. • Web Console: giao diện web cho phép truy cập tới hệ thống SiteProtector được giới hạn. Web Console được sử dụng chủ yếu để giám sát tài nguyên và các sự kiện bảo mật của hệ thống. 29 3.3.2. Quá trình thiết lập hệ thống SiteProtector Các giai đoạn thiết lập • Cấu hình và cập nhật hệ thống: o Cấu hình các thành phần. o Cập nhật các thành phần. o Thiết lập tài khoản và phân quyền. • Thiết lập nhóm: o Lập kế hoạch tổ chức tài nguyên mạng và các agent thành các nhóm. o Tạo các nhóm và nhóm con. o Cấu hình các thuộc tính cho các nhóm. • Cấu hình agent: o Cài đặt, cập nhật và cấu hình các sản phẩm ISS khác mà ta muốn sử dụng với SiteProtector như các thiết bị, máy quét… o Kiểm tra việc đăng ký và cấu hình các sản phẩm để làm việc được với hệ thống SiteProtector. • Cấu hình chính sách: o Cấu hình chính sách an ninh và phản ứng cho các agent. o Cấu hình các phản ứng chính. o Cấu hình ticket. • Thiết lập tài nguyên: o Thêm các phân công tài nguyên quan trọng đối với hệ thống SiteProtector mà sẽ được giám sát bởi các agent. o Điều chỉnh nhóm phân công tài nguyên. • Sau khi thiết lập xong hệ thống SiteProtector, ta có thể cài đặt và cấu hình thêm các module. Cấu hình giao diện tương tác Thiết lập tùy chọn chung Chúng ta có thể thiết lập các tùy chọn chung trong hệ thống SiteProtector để điều khiển hành vi của giao diện, như hiển thị mặc định khi khởi động, thời gian… Để thiết lập các tùy chọn chung, trong giao diện tương tác chọn Tools -> Options. Trong cửa sổ Options có chứa các loại tùy chọn: 1. General 30 Chứa các tùy chọn khởi động, tùy chọn thời gian… Dưới General là tab Table có các tùy chọn hiển thị bảng. 2. Logging Điều khiển cách thức SiteProtector kiểm soát việc ghi log. 3. Documentation Chọn lựa nguồn tài liệu tham khảo. 4. Browser Tùy chọn cho trình duyệt tích hợp trên SiteProtector. 5. Global Summary Chọn nội dung sẽ hiển thị sau khi khởi động giao diện (tương tự như homepage). 6. Notifications Sử dụng để chỉ định loại và mức độ của thông báo hiển thị trên giao diện và cấu hình cảnh báo bằng email cho các thông báo mức cao và nguy hiểm. 7. Report Sử dụng để chèn logo công ty vào báo cáo. 8. Authentication Sử dụng khi Site yêu cầu chứng nhận người dùng để đăng nhập vào hệ thông SiteProtector. Chứng nhận có thể chứa sẵn trong Windows hoặc từ một smart card. 9. Summary Chọn nội dung được hiển thị trong mục summary 10. Asset Chứa một số tùy chọn về hiển thị của mục Asset 11. Ticket Thay đổi hiển thị mặc định của mục Ticket 12. Agent Thay đổi hiển thị mặc định của mục Agent. 13. Analysis Chọn nội dung để hiển thị trong mục Analysis SiteProtector được sử dụng trong khóa luận này chỉ với mục đích điều khiển và cấu hình thiết bị IPS một cách dễ dàng hơn. Tuy nhiên trong tương lai, các thiết bị giám 31 sát mạng được nâng cấp về số lượng và chất lượng thì siteProtector sẽ trở thành hệ thống không thể thiếu trong việc đảm bảo an ninh cho hệ thống mạng đại học quốc gia. 3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS [5] 3.4.1. Cài đặt Hệ điều hành sử dụng trong IPS Proventia G200 là một hệ điều hành riêng của IBM dựa trên Linux, phiên bản G-Series.1.7_2008.1105_15.57.25. Về cơ bản cài đặt hệ điều hành này cũng giống như cài đặt một hệ điều hành Linux thông thường. Trong khi cài đặt, hệ điều hành sẽ yêu cầu nhập địa chỉ mạng cho cổng manager của IPS. Sau khi cài đặt hệ điều hành, các cấu hình cơ bản của thiết bị như ngày giờ, tên thiết bị, tên miền hay địa chỉ IP của thiết bị được cấu hình trực tiếp trong giao diện dòng lệnh của thiết bị. Giao diện web được truy cập thông qua địa chỉ vừa đặt. Cấu hình các luật tường lửa và sự kiện an ninh, phản hồi được thiết lập tại giao diện này. Một công việc quan trọng khác trong giao diện web này là đăng kí địa chỉ máy cài đặt phần mềm quản lý SiteProtector với IPS. Sử dụng SiteProtector ta có thể điều khiển và cấu hình IPS một cách dễ dàng hơn. Ngoài ra khi sử dụng phần mềm này, ta có thể đặt thêm signature để nhận biết dễ dàng hơn các tấn công và thâm nhập. 3.4.2. Cấu hình hình thái hoạt động Thiết bị IPS có 3 hình thái hoạt động như đã nói ở trên : • passive monitoring • inline simulation • inline protection Thiết bị yêu cầu chọn một trong 3 hình thái này khi mới cài đặt phần mềm cho thiết bị. Chú ý : cấu hình tắc nghẽn mạng, những đại lý không phản hồi và những tùy chọn cập nhật đại lý chỉ có ở trong hình thái inline protection. Chúng không được sử dụng trong hình thái passive. Có thể chọn lại hình thái hoạt động đã sử dụng khi cài đặt thiết bị bằng cách sau. 1. Thiết lập một giao diện cấu hình nội bộ (cổng console) và đăng nhập vào. 32 2. Trong thực đơn cấu hình, chọn Agent Mode và ấn ENTER. Màn hình cấu hình hình thái sẽ xuất hiện. 3. Chọn hình thái hoạt động bằng cách bấm phím SPACE BAR. Những hình thái có thể chọn là : • Inline Protection • Inline Simulation • Passive Monitoring 4. Ấn ENTER. Màn hình cấu hình hình thái sẽ xuất hiện trở lại. Chúng ta cũng có thể cấu hình các hình thái hoạt động trong site protector. Để thay đổi hình thái, làm theo các bước sau đây : 1. Trong SiteProtector Site Manager, chọn thiết bị. 2. Trong cửa sổ Inline Appliance Properties, chọn thẻ General. 3. Trong vùng Inline Appliance Mode, chọn hình thái từ danh sách. 4. Nhấn OK. 3.4.3. Cấu hình sự kiện an ninh Trang security event liệt kê hàng trăm sự kiện tấn công và bảo mật. Một sự kiện tấn công và bảo mật là các lưu lượng mạng mang nội dung tấn công hoặc một hành động đáng ngờ. Các sự kiện này được xảy ra khi mà lưu lượng mạng trùng với một trong các sự kiện trong chính sách bảo mật được kích hoạt. Chú ý là tất cả các sự kiện đều được liệt kê dưới miền bảo mật toàn cục. Thiết bị luôn luôn sử dụng một chính sách bảo mật toàn cục, điều này có nghĩa là nó sử dụng các sử kiện bảo mật theo cùng một kiểu cho tất cả các vùng của mạng. Nên cấu hình các sự kiện ở cấp độ toàn cục. Nếu muốn cấu hình các chính sách bảo mật cho một segment đặc biệt trên mạng, cần tạo ra các protection domain cho mỗi segment Để thêm các sự kiện bảo mật : 1. Chọn Security Events. 2. Trên tab Security Events, click Add. 3. Hoàn thành hoặc thay đổi các thiết lập được chỉ ra sau : • Enabled : chọn ô này để cho phép sự kiện này thành một phần của chính sách bảo mật 33 • Protection Domain : nếu các protection domain đã được cấu hình, chọn một từ danh sách. Chỉ có thể đặt một sự kiện cho một miền vào một thời điểm , để cấu hình sự kiện này cho một miền khác , phải sao chép và đổi tên sự kiện sau đó gán nó cho miền khác . • Chú ý : Protection domain sẽ là “Global” trong danh sách nếu không cấu hình hoặc không sử dụng các protection domain • Attack/Audit: Nếu tạo ra một sự kiện tùy chọn thì ô này sẽ không sử dụng. • Nếu chỉnh sửa một sự kiện trong danh sách , vùng này sẽ hiển thị là audit hoặc attack • Sự kiện audit là sự kiện về tìm kiếm các thông tin trên mạng • Sự kiện attack là sự kiện tìm kiếm để làm hỏng mạng . • Tag Name : điền miêu tả cho sự kiện (không thể thay đổi khi chỉnh sửa) • Severity: Chọn mức độ nghiêm trọng cho sự kiện • Protocol : Gõ giao thức (nếu đã có thì nó sẽ ở chế độ read-only) • Ignore Events : Chọn nếu muốn thiết bị bỏ qua khi sự kiện này xảy ra • Display: Chọn chế độ hiển thị • No Display: không hiển thị khi phát hiện ra sự kiện • WithoutRaw. Ghi lại tóm tắt sự kiện • WithRaw. Ghi lại và kết hợp với bắt gói • Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối TCP • Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss • Responses : cho phép phản hồi với các tùy chọn sau • Email : chọn email phản hồi • Quarantine : chọn kiểu cách ly • SNMP . Chọn phản hồi SNMP từ danh sách • User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa • XPU : Chỉ cho các sự kiện đã tồn tại, hiển thị phiên bản XPU(read-only) • Event Throttling : Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo trong suốt khoảng này . Mặc định là 0 (không cho phép) • Check Date : hiển thị ngày tháng mà sự kiện được tạo ra (read-only) • Default Protection : hiển thị protection mặc định được thiết lập cho sự kiện , như “Block”(read-only) 34 • User Overridden : nếu tạo mới một sự kiện , mặc định ô này là custom event và sự kiện đã sửa . 4. click Ok và lưu lại thay đổi Hình 9 – Security Events Chỉnh sửa nhiều sự kiện Để chỉnh sửa nhiều sự kiện : 1. Chọn các Security Event 2. Trên tab Security Event , làm một trong các việc sau : a. Chọn nhiều sự kiện bằng cách sử dụng [CTRL] và chọn từng sự kiện b. Chọn một dải sự kiện bằng cách nhấn [SHIFT] và chọn từ sự kiện đầu tiên đến sự kiện cuối cùng 3. Click Edit Mỗi mục được chỉnh sửa sẽ thay đổi cho toàn bộ sự kiện . Có một hình chữ nhật màu xanh xuất hiện bên cạnh mỗi mục khi giá trị trong mục đó của mỗi sự kiện là khác nhau. Nếu thay đổi giá trị ở mục này , giá trị sẽ được thiết lập cho toàn bộ các sự kiện được chọn và hình chữ nhật màu xanh không xuất hiện nữa. Ví dụ , nếu chỉnh sửa 2 sự kiện và một sự kiện cho phép block còn một sự kiện không, một hình chữ nhật xanh xuất hiện bên cạnh Block. Nếu cho phép block thì cả hai sự kiện sẽ cho phép block và hình chữ nhật xanh sẽ không xuất hiện . 4. Click OK và lưu thay đổi Gán một protection domain cho nhiều sự kiện 35 Khi có các protection domain đã được cấu hình, có thể gán cho chúng nhiều sự kiện bảo mật. Để gán một protection domain cho nhiều sự kiện bảo mật : 1. Chọn các Security Event 2. Trên tab Security Event , làm một trong các việc sau : a. Chọn nhiều sự kiện bằng cách sử dụng [CTRL] và chọn từng sự kiện b. Chọn một dải sự kiện bằng cách nhấn [SHIFT] và chọn từ sự kiện đầu tiên đến sự kiện cuối cùng 3. Click Copy 4. Click Paste 5. Chọn tất cả các mục bằng cách đánh dấu và chọn Edit 6. Chon protection domain cần gán cho các sự kiện được chọn 7. Chỉnh sửa thêm các thiết lập khác nếu cần 8. Click Ok và lưu lại thay đổi 3.4.4. Cấu hình phản hồi Phản hồi Phản hồi là các hành động của thiết bị khi có một sự kiện quan trọng trong mạng hoặc một đột nhập. Công việc của chúng ta là tạo ra các phản hồi và áp dụng nó vào các sự kiện. Chúng ta có thể cấu hình các loại phản hồi sau : Email. Gửi mail cảnh báo tới một nhóm hoặc một cá nhân. Thông tin chứng thực. ghi lại những thông tin cần thiết vào file log. Cách ly. Cách ly mạng với các tấn công. SNMP. Gửi SNMP trap tới một SNMP server. Đặc tả người dùng. Gửi cảnh báo dựa trên những yêu cầu đặc biệt người quản trị tạo ra để giám sát mạng. Một loại phản hồi mặc định của PG là phản hồi ngăn chặn (Block response), nó ngăn chặn tấn công bằng cách ngăn các gói tin và thiết lập lại kết nối TCP. Hoạt động của nó ở các hình thái khác nhau như sau : 36 Bảng 2 – Hình thái hoạt động Ở hình thái... Thiết bị... Passive Monitoring Tắt Block response Inline Simulation Giám sát mạng và tạo cảnh báo những không ngăn các tấn công Inline Protection Ngăn chặn tấn công bằng cách loại bỏ gói tin và thiết lập lại kết nối TCP Một loại khác là phản hồi chối bỏ (Ignore response), được thiết lập cho các sự kiện an ninh, có tác dụng loại bỏ các gói tin phù hợp với những đặc tả trong sự kiện. Phản hồi này cũng có thể được thiết lập trong bộ lọc phản hồi (response filters) hay trong sự kiện an ninh (security events). Thông thường, phản hồi này được sử dụng khi muốn lọc những sự kiện an ninh mà không gây hại tới mạng. Email Để cấu hình phản hồi Email, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Email. Bấm Add Hoàn thành cấu hình chỉ ra trong bảng sau. Bảng 3 – Phản hồi email Setting Miêu tả Name Gõ tên cho phản hồi – nên có liên quan tới loại phản hồi SMTP Host Gõ domain name hay địa chỉ IP của mail server. (Chú ý rằng mail server phải truy cập được từ thiết bị) From Gõ địa chỉ mail, ngăn cách bởi dấu phẩy To Gõ địa chỉ mail, ngăn cách bởi dấu phẩy Sensor Parameters Gõ chủ đề và nội dung thông điệp, các tham biến cho nội dung mail Nhấn OK, save và thoát. 37 Log Evidence Để cấu hình phản hồi lưu thông tin, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Log Evidence Ghi các thông tin cần thiết trong bảng sau Bảng 4 – Phản hồi Log Evidence Setting Miêu tả Maximum Files Gõ số file tối đa mà có thể chứa trong file log. Mặc định là 10 file, nếu quá số file tối đa thì file cũ nhất sẽ bị xóa Maximum File Size (KB) Gõ dung lượng tối đa của file lưu trữ, mặc định là 10000 Log File Prefix Gõ tiền tố của log file, mặc định là “evidence” Log File Suffix Gõ hậu tố, mặc định là “.enc” Lưu lại cấu hình. Quarantince Phản hồi này dùng để ngăn chặn thâm nhập khi phát hiện sự kiện an ninh hay kết nối. Nó cũng có thể chặn cả worm và trojan. Phản hồi này chỉ hoạt động ở hình thái Inline Protection. Có 3 loại cách ly trong PG Bảng 5 – Phân loại cách ly Đối tượng cách ly Miêu tả Quarantine Intruder Ngăn chặn hoàn toàn những máy liên quan tới tấn công Quarantine Trojan Cách ly những máy là nạn nhân của tấn công Quarantine Worm Cách ly những thứ worm đang tìm kiếm ví dụ như một cổng SQL Để cấu hình phản hồi, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. 38 Chọn thẻ Quarantine. Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit. Hoàn thành thông tin ghi trong bảng sau Bảng 6 – Phản hồi cách ly Setting Miêu tả Name Gõ tên cho phản hồi, nên có ý nghĩa Victim Address Ngăn chặn gói tin dựa trên địa chỉ IP nạn nhân Victim Port Ngăn gói tin dựa trên cổng nạn nhân Intruder Address Ngăn chặn gói tin dựa trên địa chỉ IP kẻ đột nhập Intruder Port Ngăn gói tin dựa trên cổng kẻ đột nhập ICMP Code Ngăn gói tin dựa trên số mã ICMP ICMP Type Ngăn gói tin dựa trên số phân loại ICMP Nhấn OK và lưu lại. SNMP Phản hồi này lấy các thông tin từ các MIB của SNMP agent và gửi nó tới cho các server. Để cấu hình phản hồi, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Quarantine. Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit. Hoàn thành thông tin ghi trong bảng sau Bảng 7 – Phản hồi SNMP Setting Miêu tả Name Gõ tên cho phản hồi, nên có ý nghĩa Manager Địa chỉ IP của SNMP server Community Tên dùng để chứng thực với các SNMP agent Nhấn OK và lưu lại. 39 User Specified Chúng ta có thể sử dụng các file mã máy của linux hay file shell để làm file chạy cho phản hồi này. File chạy này cần được sao chép vào thiết bị để chạy. Mỗi sự kiện xác định chỉ chạy một file duy nhất nên nếu muốn chạy nhiều thao tác, cần đặt một tập hợp lệnh vào file đó. Để cấu hình phản hồi, vào các mục sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Quarantine. Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit. Hoàn thành thông tin ghi trong bảng sau. Bảng 8 – Phản hồi User Specified Setting Miêu tả Name Gõ tên cho phản hồi, nên có ý nghĩa Command Gõ lệnh chạy của phản hồi Sensor Parameters Mở rộng danh sách ra và chọn add để lấy những tham số cần dùng Nhấn OK và lưu lại. Cấu hình bộ lọc phản hồi Một bộ lọc phản hồi giúp lọc các chính sách bảo mật bằng cách điều khiển số lượng sự kiện mà thiết bị phản hồi và số sự kiện được báo cáo đến máy quản lý. Có thể sử dụng theo các cách sau : • Cấu hình các phản hồi cho các sự kiện mà được gây ra dựa trên việc tắt các tiêu chuẩn được chỉ ra trong bộ lọc • Giảm bớt số lượng sự kiện bảo mật mà thiết bị báo cáo tới máy quản lý Ví dụ , nếu có các host trên mạng mà nó an toàn và tin cậy hoặc các host muốn thiết bị bỏ qua vì bất kỳ lý do nào, có thể sử dụng bộ lọc phản hồi với phản hồi IGNORE được cho phép. Các thuộc tính của bộ lọc sự kiện • adapter • virtual LAN (VLAN) • địa chỉ IP nguồn hay đích • Số hiệu cổng nguồn hoặc đích hoặc mã ICMP 40 Filters and other events Khi thiết bị phát hiện ra lưu lượng trùng với một bộ lọc phản hồi, thiết bị sẽ thực thi các phản hồi được chỉ ra trong bộ lọc. Mặt khác thiết bị thực thi các sự kiện bảo mật như được chỉ ra trong bản thân sự kiện. Bộ lọc phản hồi theo luật thứ tự. Ví dụ, nếu thêm một hay nhiều bộ lọc cho cùng một sự kiện, thiết bị thực thi các phản hồi trùng đầu tiên. Thiết bị sẽ đọc danh sách này từ trên xuống dưới. Để thêm bộ lọc phản hồi: 1. Chọn Security Events. 2. Chọn tab Response Filters 3. Click Add. 4. Hoàn thành các thiết lập sau Enabled: mặc định là cho phép Protection Domain: chọn protection domain muốn thiết lập cho bộ lọc này. Event Name: Chọn sự kiện muốn thiết lập bộ lọc phản hồi Chỉ có thể chọn một sự kiện Event Name Info: hiển thị thông tin về sự kiện nếu cần (chỉ đọc) Comment: Điền miêu tả bộ lọc sự kiện Severity: Chọn mức độ nghiêm trọng của sự kiện Adapter: chọn cổng của thiết bị mà áp dụng bộ lọc. Chú ý: thiết bị sẽ bỏ qua cổng không áp dụng bộ lọc VLAN: điền dải VLAN mà bộ lọc áp dụng Event Throttling: Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo trong suốt khoảng này. Mặc định là 0 (không cho phép) Ignore Events: thiết bị sẽ bỏ qua sự kiện này khi nó xuất hiện Display: Chọn chế độ hiển thị • No Display: không hiển thị khi phát hiện ra sự kiện • WithoutRaw. Ghi lại tóm tắt sự kiện • WithRaw. Ghi lại và kết hợp với bắt gói Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối TCP ICMP Type/Code : điền loại hoặc mã ICMP Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss 41 Responses : cho phép phản hồi với các tùy chọn sau • Email : chọn email phản hồi • Quarantine : chọn kiểu cách ly • SNMP . Chọn phản hồi SNMP từ danh sách • User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa IP Address and Port : Địa chỉ IP nguồn và đích hoặc cổng muốn lọc 5. Hoàn thành các thiết lập về cổng và địa chỉ IP Address : Not : Loại những địa chỉ người cấu hình chỉ ra Any: chọn tất cả các địa chỉ Single Address : Lọc một địa chỉ và gõ địa chỉ Address Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range . Không sử dụng 0.0.0.0-255.255.255.255. Network Address/# ,Network Bit (CIDR): chọn địa chỉ dựa trên subnet , điền IP và mask. Ví dụ 128.8.27.18 / 16. Port : Not : Loại những cổng người cấu hình chỉ ra Any: chọn tất cả các cổng Single Port : Lọc một địa chỉ và gõ địa chỉ Port Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range . 6.Click Ok và lưu thay đổi 42 Hình 10 – Response Filters 3.4.5. Cấu hình tường lửa Thiết bị IPS Proventia G200 không những có khả năng ngăn chặn các tấn công thâm nhập qua các dấu hiệu tấn công mà nó còn có khả năng của một tường lửa thông thường, qua đó ngăn chặn một phần những gói tin không hợp lệ vào trong miền mạng cần bảo vệ. Chúng ta có thể sử dụng các luật firewall để ngăn chặn tấn công từ các nguồn và đích của gói tin. Các luật của tường lửa chỉ được thực hiện khi thiết bị ở trong hình thái Inline, ở hình thái Passive, nó sẽ không làm gì, còn ở Simulation, nó sẽ miêu tả quá trình thực hiện luật những không thực hiện nó. Chúng ta có thể tạo ra các luật cho tường lửa dựa vào những tiêu chí sau • Adapter • Tầm VLAN • Giao thức (TCP, UDP, hay ICMP) • Khoảng IP và cổng nguồn, đích Các hành động xử lý của tường lửa khi một gói tin trùng khớp với luật đặt ra như sau : 43 • Ignore: Cho phép gói tin trùng khớp đi qua, không có bất cứ hành động hay phản hồi nào sau đó. • Protect: Gói tin trùng khớp sẽ được xử lý bởi những phản hồi thông thường logging, drop (không phải là hành động drop của tường lửa thông thường),RealSecure Kills, và Dynamic Blocking. (xem thêm trong phần cấu hình phản hồi). • Monitor: Hoạt động như một danh sách IP “trắng”, tức là bỏ qua phản hồi Dynamic Blocking, Drop, RSKill. Tuy nhiên các phản hồi khác vẫn được áp dụng. Chú ý: hành động monitor mặc định bỏ qua RSKill tuy nhiên chúng ta có thể thiết lập lại bằng cách đặt giá trị sensor.whitelistresets thành true (1). • Drop: Chặn gói tin không cho qua tường lửa. Khác với những tường lửa thông thường, tường lửa của IPS là trong suốt nên sẽ không có địa chỉ. Những gói tin bị chặn này sẽ phản hồi lại cho bên gửi rằng là mục tiêu không trả lời. Bên gửi sẽ cố gắng gửi lại một số lần và sẽ bị time out. • Drop and Reset: Giống như hành động drop nhưng sẽ gửi một gói tin ngắt tới nguồn để bên nguồn ngắt kết nối nhanh hơn. Cũng như các tường lửa khác, các luật của tường lửa trong IPS được đọc từ trên xuống dưới. Giả sử nếu một gói tin trùng khớp với luật có hành động Ignore đặt ở trên, tất cả phần còn lại của luật tường lửa sẽ không được đọc nữa. Ta có thể thấy rõ hơn qua ví dụ dưới đây : Adapter any IP src addr any dst addr xxx.xx.x.xx tcp dst port 80 (Action = “ignore”) adapter any ip src addr any dst addr xxx.xx.x.1-xxx.x.x.255 (Action = “drop”) Luật đầu tiên cho phép tất cả các lưu thông mạng qua cổng 80 của máy xxx.xx.x.xx đi qua như là một lưu thông hợp lệ, tất cả các lưu thông khác bị chặn. Tuy nhiên nếu đảo ngược 2 luật trên, tất cả các lưu thông đều bị chặn, kể cả lưu thông tới web server trên máy xxx.xx.x.xx ở cổng 80. Cần nhắc lại rằng các luật của tường lửa chỉ hoạt động khi thiết bị ở hình thái inline. Để tắt hay bật tính năng tường lửa 1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules. 2. Muốn bật tính năng tường lửa hay không? Nếu có, chọn Firewall Rules check box. Nếu không thì đến bước 3. 3. Muốn tắt chức năng tường lửa? 44 Nếu có, bỏ Firewall Rules check box. Nếu không, kết thúc ở đây. Để thêm một luật tường lửa 1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules. 2. Nhấn Add. Cửa số gõ tên hiện ra. 3. Gõ tên luật rồi nhấn OK. Luật đã được thêm vào danh sách. 4. Muốn bật tính năng lưu vết cho luật này hay không? Nếu có chọn Log. Nếu không, bỏ tùy chọn Log. 5. Chọn một hành động cho luật tường lửa từ danh sách hành động. Những hành động chọn được là : “Ignore” “Monitor” “Protect” “Drop” “DropAndReset” 6. Từ thực đơn File, chọn save. Một cửa sổ xác nhận xuất hiện. 7. Nhấn OK. 8. Nhấn Close. Để loại bỏ một luật tường lửa 1. Trong cửa sổ Policy Editor chọn thẻ Firewall Rules. 2. Chọn một luật trong thanh bên phải rồi nhấn Remove. Luật sẽ được loại bỏ. 3. Từ thực đơn File nhấn Save và xác nhận. 4. Nhấn OK. 5. Từ thực đơn File chọn Close. Sau khi tùy chỉnh luật tường lửa, cần áp dụng luật vào thiết bị. 3.4.6. Cấu hình protection domain Protection domains cho phép định nghĩa các chính sách bảo mật cho các phân khu mạng khác nhau được giám sát bởi một thiết bị duy nhất. Protection domain hoạt 45 động như các sensor ảo, giống như là ta có vài thiết bị giám sát mạng. Có thể định nghĩa protection domain theo port, VLAN, hoặc dải địa chỉ IP. Để sử dụng protection domain, cần phải: Định nghĩa và áp dụng nhiều protection domain cho thiết bị Áp dụng nhiều chính sách cho thiết bị, cho phép điều chỉnh phản hồi đối với lưu thông trên một hoặc nhiều mạng. Thiết bị luôn sử dụng một chính sách bảo mật global. Có nghĩa là thiết bị luôn điều khiển các sự kiện bảo mật theo cùng một cách cho tất cả các vùng trên mạng. Thiết bị luôn dùng chính sách global để điều khiển các sự kiện nếu không định nghĩa protection domain và chỉnh sửa chính sách sự kiện phù hợp với từng domain. Sau khi tạo protection domain cần liên kết chúng với các chính sách để có thể điều khiển được các sự kiện xảy ra trong mạng. Có thể tạo các chính sách cụ thể cho từng protection domain hoặc có thể dùng chính sách global cho domain nếu thấy phù hợp. Thêm protection domain Vào trang protection domain. Chọn Add và làm tương tự như hình dưới. Hình 11 – Protection Domain 46 Sau khi tạo protection domain, nó sẽ xuất hiện trong trang security event. Sau đó có thể thêm các chính sách cho protection domain đó, hoặc copy các sự kiện từ global. Hình 12 - Protection Domain 3.4.7. Cấu hình cảnh báo Sử dụng trang Alerts trong Proventia Manager để hiển thị và quản lý hệ thống và các thông báo liên quan đến bảo mật. Danh sách thông báo gồm các loại thông báo sau: Intrusion Prevention Alert liên quan đến các nỗ lực tấn công xảy ra trên mạng. 47 System Alert liên quan đến thiết bị và sự hoạt động của nó. Các biểu tượng thể hiện mức độ nghiêm trọng của thông báo Hình 13 - Mức độ nghiêm trọng của thông báo Để hiện thị thông báo Chọn để hiển thị tất cả thông báo. Chọn Notification > Alerts cũng hiển thị tất cả thông báo Chọn Intrusion Prevention > Alerts để hiển thị chỉ các thông báo về bảo mật Chọn System > Alerts để hiển thị thông báo hệ thống Hình 14 - Minh họa thông báo Có thể xem thông tin chi tiết về thông báo bằng cách nhấp chuột vào tên thông báo. Các thông tin này có thể rất bổ ích cho việc tìm hiểu và khắc phục sự cố. 48 Có thể sử dụng bộ lọc có sẵn để dễ dàng lọc các thông báo cần quan tâm theo các tiêu chí như Risk Level, Alert Name, Alert Type… 3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS Khi tấn công xảy ra IPS sẽ thực hiện các hành động đã được cài đặt đồng thời gửi một thông báo về cuộc tấn công. Thông báo được hiển thị tại màn hình alert của giao diện web. Ngoài ra, thông báo có thể gửi qua mail cho người quản trị trong trường hợp cần thiết. Chúng ta có thể đặt mức độ cho loại tấn công, các mức độ này sẽ được thể hiện bằng màu trong thông báo Alerts khi phát hiện tấn công (tam giác xanh tương ứng với mức low, ô vuông vàng tương ứng với medium, tam giác đỏ là high – xem thêm trong cấu hình cảnh báo). Ta có thể đặt các tùy chọn phản ứng khi phát hiện tấn công như block để ngăn chặn tấn công xảy ra, log để ghi lại ra một file log, email để gửi mail thông báo, quarantine để cách ly địa chỉ gây ra tấn công… 3.5.1. Ngăn chặn các hình thức thu thập thông tin Tường lửa có thể ngăn chặn được một số hình thức thu thập thông tin như ping (để dò xem hệ thống bảo vệ có tồn tại hay không) bằng cách cấm gói tin ICMP. Có thể ngăn chặn ftp, telnet, trace route bằng cách cấm cổng. Tuy nhiên hiện nay hacker có nhiều cách thức để vượt qua những tường lửa thông thường này. Ví dụ thay vì ping, hacker có thể sử dụng phương pháp gửi gói tin tới một cổng xác định luôn mở của máy (ví dụ như cổng chạy dịch vụ Net Bios). Thay vì ftp qua cổng mặc định, hacker có thể sử dụng giao thức đó qua những cổng không thể bị cấm (ví dụ như cổng nhận dns). Với thiết bị IPS Proventia G200, tất cả những hành động này đều bị phát hiện và có thể bị ngăn chặn do thiết bị theo dõi một cách tổng quan trên toàn mạng và tra xét theo từng dấu hiệu, không chỉ khuôn dạng gói tin mà nội dung gói tin hay giao thức gửi nó cũng được kiểm tra. Do vậy hiện nay hầu như chưa có một cách thức nào để vượt qua được thiết bị này mà không bị lưu vết. Hình 15 - Ngăn chặn thu thập thông tin 49 3.5.2. Ngăn chặn tấn công DoS IPS Proventia G200 Security Events cài đặt sẵn khả năng phòng chống rất nhiều cách thức tấn công DoS. Để kích hoạt khả năng phòng chống một loại tấn công nào, ta chỉ cần đánh dấu vào ô textbox ở cột Enable cho các kiểu tấn công tương ứng. Chúng ta sẽ đánh dấu với tấn công SYN flood. Chống tấn công SYN flood đã được kích hoạt. Hình 16 – Đánh dấu cảnh báo SYNFlood Cơ chế phát hiện và ngăn chặn tấn công SYNFlood. Dựa trên cách thức hoạt động của tấn công SYNFlood có thể dễ dàng phát hiện các gói tin SYN mà không có gói biên nhận ACK tương ứng. Có thể khắc phục bằng cách gửi lại một gói tin RST yêu cầu khởi động lại kết nối. Kết quả là tài nguyên bị chiếm dụng sẽ được giải phóng. Với Proventia Network IPS, dấu hiệu một cuộc tấn công SYNFlood được phát hiện bằng cách giám sát số lượng và tỉ lệ gói SYN mà một server nhận được nhưng lại không có biên nhận ACK tương ứng. Có thể điều khiển tỉ lệ này sử dụng hai tham số để định nghĩa số yêu cầu kết nối mới và thời gian timeout. Cả tấn công SYNFlood và smurf attack (ping sweep) đều được ips phát hiện và ngăn chặn như trong hình dưới đây. 50 Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep) 3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan Dựa trên những lưu thông TCP mà phía client của trojan gây ra (ví dụ như yêu cầu kết nối tới cổng 6666), phía client của trojan này sẽ bị chặn và không thể gửi được các tín hiệu điều khiển tới cho phía máy bị nhiễm. Máy kẻ tấn công có thể bị cách ly ra khỏi toàn mạng nếu đặt tùy chọn quarantine trong cấu hình IPS. Do cơ chế trong suốt của thiết bị IPS, kẻ tấn công không hề biết tại sao trojan cài bên phía máy nạn nhân không hoạt động. Hình 18 - Ngăn chặn thâm nhập qua trojan Beast 3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật Dấu hiệu của việc tấn công này là sử dụng MSRPC Remote Activation Request hoặc System Activation Request để thực hiện việc tràn bộ đệm. Tiếp đó chiếm quyền 51 điều khiển máy. IPS sẽ dựa vào các gói tin với các yêu cầu như trên để xác định việc tấn công vào lỗ hổng MSRPC. Security event của IPS để chống MSRPC RemoteActive Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo IPS nhận dạng tấn công MSRPC RemoteActive Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive 3.6. TRIỂN KHAI THỰC TẾ Những công việc cần thực hiện khi triển khai hệ thống phát hiện và ngăn chặn thâm nhập trên hệ thống mạng VNUnet • Phân tích những yêu cầu bảo vệ dựa trên hệ thống mạng hiện tại • Đưa ra sơ đồ triển khai. • Cài đặt và lắp đặt thiết bị. • Cấu hình thiết bị với những yêu cầu của hệ thống mạng. • Kiểm tra hoạt động của hệ thống bảo vệ. • Thực tế hoạt động của hệ thống. 52 Phân tích mô hình mạng hiện tại và đưa ra sơ đồ triển khai Hình 21 – Mô hình mạng VNUnet Vùng mạng bên trong VNUnet, bao gồm máy của giảng viên, máy của cán bộ trường, máy thực hành của sinh viên được bảo vệ bằng cơ chế NAT và tường lửa CheckPoint (triển khai cùng thời gian với hệ thống IDS/IPS) nên khó có khả năng bị tấn công. Hơn nữa nếu để thiết bị IPS bảo vệ tất cả các vùng mạng này thì thiết bị sẽ bị quá tải hoặc chi phí để mua thiết bị mới cũng như triển khai hệ thống sẽ lớn. Vì vậy, biện pháp tốt nhất là triển khai thiết bị IPS Proventia G200 bảo vệ vùng vành đai DMZ nơi chứa những máy chủ dịch vụ, có địa chỉ IP thật và dễ bị tấn công phá hoại. Trong thực tế, một số tấn công có thể bị chặn bằng tường lửa, đặc biệt là những tường lửa chuyên dụng như CheckPoint. Tường lửa này cũng tích hợp một hệ thống IPS hoạt động trên cơ chế anormal detection. Vì vậy, nếu thiết bị IPS Proventia G200 được đặt sau tường lửa thì khối lượng xử lý sẽ giảm. 53 Hiện tại, mạng VNUnet có 3 đường ra Internet với 2 router hoạt động, để hoạt động cân bằng tải, ta có thể sử dụng 2 thiết bị IPS Proventia G200 đặt giữa router và DMZ theo sơ đồ sau. Hình 22 – Sơ đồ triển khai IPS Lắp đặt thiết bị • Cài đặt hệ điều hành • Đưa thiết bị lên giá • Nối thiết bị qua cổng điều khiển với TTMT Cài đặt hệ thống Khi triển khai cần chú ý tới tính sẵn sàng của hệ thống mạng, phải đảm bảo hệ thống dịch vụ vẫn hoạt động ổn định trong khi triển khai. Ngoài ra, cần làm công việc backup hệ thống trước khi triển khai. Một yếu tố khác cần tính tới khi triển khai là độ trễ của gói tin do bị kiểm tra bằng thiết bị IPS. Việc này sẽ làm tăng độ trễ của các dịch vụ cần thiết trong hệ thống mạng như web, mail, …. Vấn đề này có thể giải quyết bằng cách loại bỏ các dấu hiệu nhận biết lỗi thời, không phù hợp và không có khả năng bị khai thác. Ví dụ như hệ thống Web của VNUnet sử dụng máy chủ linux, máy chủ này không có khả năng bị tấn công theo các lỗi của hệ điều hành Windows, hoặc những lỗi đã được khắc phục từ lâu như ping of death thì cũng bỏ qua không cần xem xét nữa. Tổng số dấu hiệu nhận biết trong cơ sở dữ liệu của thiết bị IPS là 2375 mục. Trong đó có 2007 dấu hiệu tấn công và 368 dấu hiệu thăm dò thông tin. Số các dấu hiệu mặc định bị chặn đã đặt sẵn là 1181 dấu hiệu tấn công và 0 dấu hiệu thăm dò. Internet T.B cân bằng tải Router Router CPnet ISP A Vùng vành đai DMZ Firewall IPS, VPN Firewall IPS, VPN VINAren TEIN2 ISP B 54 Trong các máy dịch vụ có một máy sử dụng hệ điều hành windows server 2003, vì vậy thiết lập một miền bảo vệ riêng áp dụng tập dấu hiệu mặc định cho máy chủ này. Những máy chủ khác sử dụng tập dấu hiệu dành cho linux trong đó lược bớt những dấu hiệu tấn công và thăm dò của windows và dịch vụ chạy trên đó. Tập này gồm 1092 dấu hiệu tấn công, 0 dấu hiệu thăm dò. Các dấu hiệu thăm dò không bị chặn nhưng vẫn gây ra cảnh báo trong hệ thống. Việc thêm bớt các dấu hiệu khác có thể thực hiện sau này khi có yêu cầu thực tế. Một vấn đề nữa khi triển khai là xem xét đến việc cảnh báo tức thời của thiết bị với người quản trị. Do người quản trị không thể xem cảnh báo liên tục vì vậy cần đặt cảnh báo theo email để phát hiện và ngăn chặn các hành động chỉ gây nên cảnh báo mà không tự động chặn một cách nhanh nhất. Việc này giúp hệ thống được bảo vệ một cách tốt hơn. Cấu hình ban đầu là tất cả các dấu hiệu thăm dò đều được cảnh báo qua email. Cùng với đó, những tấn công ở mức độ critical (nghiêm trọng) cũng cần được cảnh báo để có biện pháp xử lý lần sau. Ngoài ra, tất cả những thay đổi liên quan tới thiết bị cũng cần được thông báo qua mail để tránh khả năng có người đột nhập vào thiết bị. Các cấu hình khác liên quan đặc biệt đến hệ thống mạng sẽ do cán bộ của TTMT thực hiện. Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT 55 Kiểm tra hoạt động của hệ thống Sau khi cấu hình thiết bị theo yêu cầu xác định, backup các máy chủ dịch vụ, ta nối cáp mạng tới 2 cổng A và B của 2 thiết bị IPS (đây là 2 cổng giám sát) theo sơ đồ đã nói ở trên. Mô hình mạng sau khi kết nối thiết bị IPS và checkpoint như sau. Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS Sau khi lắp đặt hệ thống IPS như theo mô hình, các máy chủ dịch vụ vẫn hoạt động bình thường. Các dịch vụ mạng gần như không bị ảnh hưởng gì. 56 Khi thử nghiệm các thăm dò đơn giản, hệ thống đều gửi mail cho người quản trị như đã cấu hình. Các tấn công đơn giản đều bị chặn bởi hai lớp bảo vệ là tường lửa CheckPoint và hệ thống IDS/IPS. Các tấn công nghiêm trọng hơn chưa được thử nghiệm do tính an toàn của hệ thống dịch vụ. Hình 25 - Hệ thống IPS gửi mail cho người quản trị Thực tế hoạt động của hệ thống Sau ngày đầu tiên lắp đặt hệ thống, có tới hàng ngàn cảnh báo được sinh ra trong giao diện web của thiết bị IPS, phần nhiều trong số đó là những dò quét hệ thống (TCP port scan, ping sweep, …). Đặc biệt có một tấn công dạng critical theo dấu hiệu SQL_SSRP_Slammer_Worm. Hầu hết tất cả những cảnh báo này đều được gửi qua email tới người quản trị hệ thống. Như vậy số email sinh ra trong thực tế là quá nhiều. Việc này dẫn đến việc phải thay đổi cấu hình sinh cảnh báo. Cấu hình mới sẽ chỉ cảnh báo khi có những dấu hiệu tấn công critical (nghiêm trọng), các dấu hiệu dò quét sẽ chỉ cảnh báo 6 tiếng một lần. 57 Hình 26 - Các dò quét và tấn công thực tế 58 CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI 4.1. KẾT QUẢ ĐẠT ĐƯỢC Thông qua nghiên cứu và triển khai hệ thống IDS/IPS, em đã nhận thức được tình hình an ninh mạng hiện nay và những yêu cầu cần thiết để thiết lập và duy trì một hệ thống mạng an toàn. Bằng cách tìm hiểu các tài liệu liên quan, tham khảo ý kiến các chuyên gia và thực hành, em đã nắm vững được các kiến thức cơ sở và thử nghiệm được các tấn công thâm nhập một hệ thống. Hiểu được công nghệ thế giới sử dụng để ngăn chặn các hiểm họa an ninh mạng hiện nay, em đã cài đặt và sử dụng thành thạo một thiết bị chuyên dụng về công nghệ đó trong thời gian làm khóa luận. Với một vấn đề khá mới, em đã xác định được những khó khăn và hướng giải quyết khi triển khai hệ thống ngăn chặn thâm nhập trên một hệ thống mạng lớn như mạng của trường đại học. Thực tế, hệ thống này đã được triển khai thử nghiệm trên mô hình mạng trường Đại học Quốc gia Hà Nội. Nhận xét và đánh giá Sau khi nghiên cứu tìm hiểu công nghệ phòng chống thâm nhập của ISS qua một trong những dòng thiết bị điển hình của IBM Proventia G, em nhận thấy thiết bị này có khả năng ngăn chặn được hầu hết các tấn công trong tấm hiểu biết của các hacker bình thường hiện nay. Do hoạt động ở tầng ứng dụng và kiểm soát nội dung gói tin, thiết bị này có khả năng ngăn chặn tấn công tốt hơn nhiều so với tường lửa đơn thuần. Thiết bị này có khả năng cập nhật các dấu hiệu tấn công mới do X-Force nghiên cứu, vì vậy nó có khả năng ngăn chặn được các hình thức tấn công mới. Ngoài ra, nếu người quản trị hiểu biết sâu rộng về các cách thức tấn công và điểm yếu trong mạng thì họ có thể thiết lập các dấu hiệu riêng cho mạng của mình và mạng đó chắc chắn sẽ khó có thể bị thâm nhập trái phép. 4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI Thông qua kết quả nghiên cứu về các nguy cơ đe dọa mạng và các điểm yếu an ninh mạng, em nhận thấy việc đảm bảo an ninh mạng ngày nay là một vấn đề cần thiết song cũng khá khó khăn. Sau khi hoàn thành khóa luận, em mong muốn tiếp tục nghiên cứu chi tiết hơn về các tấn công mạng một cách có hệ thống (hoặc một cách toàn diện hơn), cũng như các biện pháp bảo đảm an ninh mạng có hiệu quả cao hơn. Ví dụ, tìm hiểu về cách thức 59 phát hiện ra một lỗ hổng trong một hệ thống, đồng thời nghiên cứu cách thức phòng tránh các lỗ hổng đó trước khi kẻ tấn công lợi dụng được nó. Kết quả nghiên cứu của khoá luận này sẽ giúp định hướng các nghiên cứu sâu hơn về an ninh mạng trong các môi trường và hệ thống mạng khác sau này. 60 PHỤ LỤC A Báo cáo an ninh năm 2007 Tháng 9/2007, đội nghiên cứu an ninh X-Force của ISS đã nghiên cứu và phân loại được 4.256 điểm yếu an ninh. Như vậy, so với năm 2006 số lượng các điểm yếu an ninh đã tăng 25,8 % (3.384). Trong số các hành vi lợi dụng điểm yếu an ninh thì các hành vi nhằm vượt qua tường lửa, proxy, hệ thống phát hiện xâm nhập, hệ thống quét virus... để truy cập được vào hệ thống và hành vi tấn công từ chối dịch vụ có sự thay đổi rõ nét theo từng tháng. Hình 27 – Các hành vi khai thác điểm yếu an ninh Các điểm yếu an ninh nghiêm trọng Trong 9 tháng đầu năm 2007, X-Force đã đưa ra rất nhiều cảnh báo về các điểm yếu an ninh nghiêm trọng của các nhà cung cấp các sản phẩm như Microsoft, Apple, Adobe, VMWare... Điển hình là những điểm yếu an ninh trong các PM Internet Explorer, Micrsoft Outlook, Windows DNS Server RPC của Microsoft. 61 Hình 28 - Xu hướng phishing sắp tới Các báo cáo về Spam và Phishing Theo X-Force, nước Mỹ chiếm hơn 1/8 lượng spam toàn cầu, còn Tây Ban Nha chiếm tỷ lệ email phishing lớn nhất. Mỹ cũng là nước dẫn đầu về các trang web được trỏ tới từ các liên kết nằm trong spam và email phishing, chiếm tỷ lệ hơn 1/3. 62 Các phân tích về nội dung web Qua việc phân tích 150 triệu trang web và hình ảnh mới mỗi tháng (hơn 6,9 tỉ trang web và hình ảnh từ năm 1999), X-Force đã phân thành 62 danh mục với hơn 80 triệu thành phần và bổ sung, cập nhật 100.000 thành phần mỗi ngày. Kết quả cho thấy hơn 10% các nội dung của web là các thông tin khiêu dâm, bạo lực, ma túy.... Mỹ lại là nước có tỷ lệ các trang web chứa các nội dung không mong muốn như bạo lực và tội phạm, khiêu dâm, tội phạm máy tính, ma túy... lớn nhất. Các báo cáo phát hiện PM độc hại (malware) Trong 9 tháng đầu năm 2007, X-Force đã thu thập và đưa vào cơ sở dữ liệu phòng chống virus, chống spyware và chống các PM độc hại tổng cộng 677.65 mẫu mới. Trong số các PM độc hại, Trojan chiếm tỷ lệ lớn nhất. Nhà cung cấp Tỷ lệ điểm yếu Microsoft 4,2% Apple 3,0% Oracle 2,0% Cisco 1,9% Sun 1,5% IBM 1,3% Mozilla 1,3% XOOPS 1,2% BEA 1,1% Linux Kernel 0,9% 63 PHỤ LỤC B Báo cáo an ninh năm 2008 Theo báo cáo về các mối đe dọa bảo mật mạng (ISTR) thứ 14 của hãng Symantec năm 2008, các hoạt động tấn công mạng trên thế giới tiếp tục phát triển ở mức kỷ lục, chủ yếu nhắm tới những thông tin quan trọng từ máy tính của người dùng. Symantec đã tạo ra hơn 1,6 triệu mẫu chữ ký về các loại mã độc mới trong năm 2008, tương đương với hơn 60% tổng số mẫu chữ ký mà Symantec đã từng tạo ra từ trước đến nay - một phản ứng đối với sự tăng trưởng mạnh về số lượng cũng như sự phong phú, đa dạng của những mối đe doạ nguy hại mới. Bản báo cáo cũng cho thấy duyệt web vẫn là một trong những nguyên nhân chủ đạo gây ra những phát tán và lây nhiễm virus trên mạng trong năm 2008. Hacker ngày nay tận dụng ngày càng nhiều những công cụ sinh mã độc hại khác nhau để phát triển và phát tán những mối đe doạ của chúng. Nền kinh tế ngầm ngày càng hoạt động phức tạp Dựa trên số liệu của Bản báo cáo về nền kinh tế ngầm mới nhất, Symantec cho biết có một nền kinh tế ngầm với cơ cấu tổ chức tinh vi chuyên buôn bán những thông tin quan trọng bị đánh cắp, đặc biệt là thông tin về thẻ tín dụng và thông tin về tài khoản ngân hàng. Nền kinh tế ngầm này đang bùng nổ, một điều minh chứng là trong khi giá thành sản phẩm ở những thị trường hợp pháp đang suy giảm thì giá thành sản phẩm ở thế giới ngầm vẫn không đổi từ năm 2007 đến cuối năm 2008. Báo cáo cũng cho thấy những kẻ viết mã độc luôn thay đổi để chống lại những nỗ lực ngăn chặn các hành vi của chúng. Chẳng hạn như, việc đánh sập 2 hệ thống hosting mạng ma (botnet) đặt tại Mỹ đã góp phần làm giảm đáng kể các hoạt động botnet chủ động kể từ tháng 9 đến tháng 11 năm 2008; tuy nhiên, những kẻ vận hành botnet đã tìm ra những địa chỉ Web hosting thay thế và sự lây nhiễm botnet lại nở rộ, trở lại ngưỡng trước khi bị đánh sập một cách nhanh chóng. Ứng dụng web, nguồn gốc của lỗ hổng bảo mật Theo Symantec, những nền tảng ứng dụng Web lại thường là những nguồn gốc của những lỗ hổng bảo mật. Những sản phẩm phần mềm được xây dựng sẵn này được thiết kế nhằm giúp đơn giản hoá việc triển khai những Website mới và được sử dụng rộng rã