Nghiên cứu một số phương pháp bảo mật hệ thống webserver trên hệ điều hành linux ứng dụng tại viện đại học mở hà nội

Theo hướng nghiên cứu này, đề tài “NGHIÊN CỨU MỘT SỐ PHƯƠNG PHÁP BẢO MẬT HỆ THỐNG WEBSERVER TRÊN HỆ ĐIỀU HÀNH LINUX ỨNG DỤNG TẠI VIỆN ĐẠI HỌC MỞ HÀ NỘI” nhằm nghiên cứu một số kỹ thuật t

BỘ GIÁO DỤC VÀ ĐÀO TẠO

VIỆN ĐẠI HỌC MỞ HÀ NỘI

BÁO CÁO TỔNG KẾT

ĐỀ TÀI NGHIÊN CỨU KHOA HỌC CẤP VIỆN

NGHIÊN CỨU MỘT SỐ PHƯƠNG PHÁP BẢO MẬT

HỆ THỐNG WEBSERVER TRÊN HỆ ĐIỀU HÀNH LINUX

ỨNG DỤNG TẠI VIỆN ĐẠI HỌC MỞ HÀ NỘI

MÃ SỐ: V2015-30

Chủ nhiệm đề tài: Ths Vũ Xuân Hạnh

HÀ NỘI – 2015

BỘ GIÁO DỤC VÀ ĐÀO TẠO

VIỆN ĐẠI HỌC MỞ HÀ NỘI

BÁO CÁO TỔNG KẾT

ĐỀ TÀI NGHIÊN CỨU KHOA HỌC CẤP VIỆN

NGHIÊN CỨU MỘT SỐ PHƯƠNG PHÁP BẢO MẬT

HỆ THỐNG WEBSERVER TRÊN HỆ ĐIỀU HÀNH LINUX

ỨNG DỤNG TẠI VIỆN ĐẠI HỌC MỞ HÀ NỘI

MÃ SỐ: V2015-30

Chủ nhiệm đề tài: Ths Vũ Xuân Hạnh

HÀ NỘI - 2015

THÀNH VIÊN THỰC HIỆN ĐỀ TÀI Chủ nhiệm:

Ths Vũ Xuân Hạnh – Trung tâm Công nghệ Thông tin

Các thành viên:

Ths Lại Minh Tấn - Trung tâm Công nghệ Thông tin Ths Trần Tiến Dũng - Trung tâm Công nghệ Thông tin Ths Phạm Tiến Huy - Trung tâm Công nghệ Thông tin Ths Hồ Kim Cường - TT Ứng cứu khẩn cấp máy tính VN

MỤC LỤC

DANH MỤC CÁC TỪ VIẾT TẮT iii

DANH MỤC HÌNH VẼ iv

MỞ ĐẦU 1

1 Lý do chọn đề tài 1

2 Tổng quan về vấn đề nghiên cứu 2

3 Mục đích nghiên cứu 2

4 Đối tượng và phạm vi nghiên cứu 3

5 Phương pháp nghiên cứu 3

6 Nội dung 3

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN 5

1.1 Tổng quan về an toàn thông tin 5

1.1.1 Một số khái niệm 5

1.1.2 Phân tầng hệ thống 6

1.1.3 Một số mô hình triển khai ứng dụng website 8

1.2 Một số hạn chế của hệ điều hành và các công cụ xây dựng 10

1.2.1 Hệ điều hành Linux (CentOS 6.5) 10

1.2.2 Trình quản lý hosting – Zpanel 11

1.2.3 Các phần mềm mã nguồn mở 11

1.3 Một số kỹ thuật tấn công và biện pháp phòng chống tấn công 14

1.3.1 Các bước tấn công 14

1.3.2 Một số kỹ thuật tấn công 15

1.3.3 Các biện pháp phòng chống tấn công 19

1.4 Các nguy cơ an toàn bảo mật 21

1.4.1 Nguy cơ đánh cắp thông tin 21

1.4.2 Nguy cơ sửa đổi thông tin 22

1.4.3 Nguy cơ từ chối dịch vụ 22

1.4.4 Nguy cơ phá hủy thông tin 22

1.5 Kết luận 23

CHƯƠNG II: ĐÁNH GIÁ HIỆN TRẠNG VÀ BIỆN PHÁP ĐẢM BẢO

AN TOÀN WEBSERVER TẠI VIỆN ĐH MỞ HÀ NỘI 24

2.1 Lỗ hổng bảo mật 24

2.1.1 Lỗ hổng bảo mật hệ điều hành 24

2.1.2 Lỗ hổng bảo mật các dịch vụ được cài đặt 24

2.1.3 Lỗ hổng bảo mật hạ tầng mạng và kết nối 26

2.2 Hệ thống Webserver hiện tại 27

2.2.1 Hệ thống tại FPT DataCenter 27

2.2.2 Hệ thống tại HOU 28

2.3 Những biện pháp đảm bảo an toàn máy chủ web 39

2.3.1 Cấu hình an toàn cho hệ điều hành (LINUX-CentOS) 39

2.4.2 Cấu hình an toàn các dịch vụ 45

2.4.3 Cài đặt, cấu hình phần mềm bảo vệ 54

2.5 Kết luận 57

CHƯƠNG III: ĐỀ XUẤT QUY TRÌNH ĐẢM BẢO AN TOÀN VÀ ĐÁNH GIÁ AN TOÀN MÁY CHỦ WEB 58

3.1 Quy trình đảm bảo an toàn máy chủ web 58

3.1.1 Mô hình bảo mật hệ thống 58

3.1.2 Xác định cấu trúc Web 58

3.1.3 Triển khai hệ thống phòng thủ 60

3.2 Thử nghiệm và đánh giá 71

3.2.1 Thử nghiệm 71

3.2.2 Kết quả đánh giá 72

3.3 Kết luận 73

KẾT LUẬN VÀ KIẾN NGHỊ 74

1 Kết luận 74

2 Kiến nghị 74

TÀI LIỆU THAM KHẢO 75

DANH MỤC CÁC TỪ VIẾT TẮT

CNTT&TT Công nghệ Thông tin và truyền thông

IT Information Technology Công nghệ Thông tin

WS Webserver Máy chủ Web

DoS Denial of Service Tấn công từ chối dịch vụ

DDoS Distributed Denial of Service Tấn công từ chối dịch vụ phân tán

LAN Local Area Network Mạng diện hẹp

TCP/IP Internet Protocol Suite Bộ giao thức liên mạng

OSI Open Systems Interconnection Mô hình tham chiếu kết nối các hệ

thống mở

FTP File Transfer Protocol Phương thức truyền tải file

LMS Learning Managerment System Hệ quản trị học tập

IPS Intrucsion Prevention System Hệ thống phát hiện xâm nhập

VPN Virtual Private Network Mạng riêng ảo

IDS Intrusion Detection System Hệ thống phát hiện truy cập

HTTP HyperText Tranfer Protocol Giao thức truyền siêu văn bản

SSL Secure Sockets Layer Tiêu chuẩn của công nghệ bảo mật

DANH MỤC HÌNH VẼ

Hình 1.1: Tháp OSI VÀ mối đe dọa ứng với các tầng 7

Hình 1.2: Mô hình an toàn thông tin toàn diện tổ chức 8

Hình 1.3: Mô hình an toàn thông tin thế hệ mới 9

Hình 1.4: Thống kê số lượng lỗ hỏng mới hàng năm 11

Hình 1.5: Kỹ thuật tấn công File Inclusion 17

Hình 2.1: Một số vấn đề ảnh hưởng đến công tác bảo mật và ATTT 28

Hình 2.2: Đề xuất giải pháp tổng thể 30

Hình 2.3: Mô hình đánh giá 32

Hình 2.4: Thay đổi mật khẩu root 42

Hình 2.5: Tạo user mới 43

Hình 2.6: Set quyền cho user mới 44

Hình 2.7: Thay Port mặc định cho SSH 44

Hình 2.8: Tắt đăng nhập bằng tài khoản root 44

Hình 2.9: Đổi mật khẩu thư mục quản trị 51

Hình 2.10: Đăng nhập 52

Hình 2.11: Thay đổi CHMOD 53

Hình 3.1: Mô hình bảo mật hệ thống 58

Hình 3.2: Mô hình triển khai ứng dụng web 60

Hình 3.3: Mô hình mạng tổng quan 61

Hình 3.4: Thống kê số lượng tấn công 72

Hình 3.5: Biểu đồ so sánh 72

MỞ ĐẦU

1 Lý do chọn đề tài

Việt Nam đang hội nhập sâu rộng với nền kinh tế thế giới trong nhiều lĩnh vực

Công nghệ thông tin và truyền thông (CNTT & TT) nói chung và Internet nói riêng đóng

vai trò hết sức quan trọng trong phát triển hội nhập này CNTT & TT đã và đang được ứng dụng ngày càng rộng rãi trong hầu hết các lĩnh vực đời sống, kinh tế, chính trị, giáo dục, an ninh quốc phòng,… Thông tin đã trở thành một thứ tài sản quan trọng, đôi khi mang tính sống còn đối với một cơ quan, tổ chức Chính vì vậy, bảo đảm an toàn thông tin (ATTT) cần được đặc biệt quan tâm để phát triển CNTT bền vững

Trong những năm vừa qua, các hệ thống thông tin của Việt Nam, đặc biệt là các Website và cổng thông tin điện tử đã trở thành mục tiêu tấn công của nhiều nhóm tội phạm mạng ở cả trong nước và nước ngoài Bảo đảm an toàn cho Website đang trở thành một nhu cầu thực tế cấp thiết vì đó là nền tảng cho hầu hết các ứng dụng và giao dịch trên

mạng hiện nay Hệ thống máy chủ web (Web Server) của Viện Đại học Mở Hà Nội hiện nay chạy trên hệ điều hành (HĐH) Linux và Windows, trong hai năm vừa qua (2013 và

2014) hệ thống máy chủ web bị tấn công đến hàng trăm nghìn lần và đã có 5 lần khoan

thủng làm ảnh hưởng đến sự vận hành của hệ thống

Hiện nay, hệ thống thông tin nói chung và hệ thống máy chủ web nói riêng của Viện chưa xây dựng quy trình an toàn thông tin, chỉ bảo mật ở mức độ sơ khai và đơn lẻ Bởi vậy mức độ an toàn thông tin là không cao Do đó, việc nghiên cứu và ứng dụng đề

tài này vào công tác quản lý và điều hành hệ thống Web Server của Viện (bao gồm 22

sites) là rất cần và cấp thiết

Theo hướng nghiên cứu này, đề tài “NGHIÊN CỨU MỘT SỐ PHƯƠNG PHÁP BẢO MẬT HỆ THỐNG WEBSERVER TRÊN HỆ ĐIỀU HÀNH LINUX ỨNG DỤNG TẠI VIỆN ĐẠI HỌC MỞ HÀ NỘI” nhằm nghiên cứu một số kỹ thuật tấn

công, biện pháp đảm bảo an toàn cho máy chủ web tại Viện Đại học Mở Hà Nội Nhóm thực hiện đề tài mong muốn góp một phần nhỏ vào việc nghiên cứu và tìm hiểu về các vấn về an toàn thông tin nhằm nâng cao hiệu quả việc quản lý, vận hành và khai thác hệ thống thông tin của Viện Đại học Mở Hà Nội nói chung và của hệ thống WebServer của Viện nói riêng

2 Tổng quan về vấn đề nghiên cứu

Cùng với sự phát triển mạnh mẽ của công nghệ thông tin nói chung và của Internet

nói riêng, là sự gia tăng các các mối đe doạ (đặc biệt là tội phạm công nghệ cao tấn công

có chủ đích) Do đó, đề tài tập trung nghiên cứu các kỹ thuật tấn công và các biện pháp

phòng chống tấn công Việc nghiên cứu này được triển khai đối với tất cả các công cụ thực hiện trong quá trình xây dựng một hệ thống WebServer Qua đó, nắm bắt được những hạn chế của các công cụ nói trên để tìm ra giải pháp bảo mật

Việc đảm bảo an toàn cho một hệ thống thông tin là rất cần thiết Cùng với việc nghiên cứu và phân tích thực trạng hệ thống thông tin tại Viện Đại học Mở Hà Nội, nhóm thực hiện đề tài phân tích một số phương pháp đảm bảo an toàn phù hợp với tình hình thực tế của Viện Nhận định về tính khả thi khi triển khai ứng dụng vào hệ thống WebServer chạy trên môi trường Linux với các website được thiết kế bằng một số phần mềm mã nguồn mở cụ thể như: Joomla, WordPress và NukeViet Phân tích một số hạn chế cũng như nắm bắt các lổ hổng của từng loại đưa ra phương án phòng chống các kỹ thuật tấn công vào các lỗ hổng trên

Đề xuất quy trình bảo mật khi xây dựng hệ thống WebServer nói chung và hệ thống chạy trên môi trường Linux nói riêng Thử nghiệm một số phương pháp bảo mật cho hệ thống Linux Nhóm đề tài sẽ căn cứ vào tình hình hoạt động của hệ thống sau khi cài đặt để đánh giá và đưa ra các kiến nghị cần thiết thực hiện các giai đoạn bảo mật nâng cao về sau Đặc biệt đối với các máy chủ ứng dụng, máy chủ phục vụ đào tạo Elearning

và máy chủ web trên hệ điều hành WindowServer

3 Mục đích nghiên cứu

Cơ sở lý luận về an toàn thông tin, các mặt hạn chế, điểm yếu (lỗ hổng bảo mật)

phổ biến của các công cụ xây dựng ứng dụng web, các kỹ thuật tấn công và biện pháp bảo đảm an toàn hệ thống WebServer Một số quy trình an toàn thông tin đã được triển khai trong và ngoài nước

Đánh giá an toàn thông tin về thực trạng của hệ thống Web Server đang vận hành tại Viện Đại học Mở Hà Nội Phân tích và đề xuất các biện pháp đảm bảo an toàn cho hệ thống WebServer hiện tại của Viện; xây dựng quy trình đảm bảo an toàn hệ thống máy chủ web chạy trên môi trường Linux;

4 Đối tượng và phạm vi nghiên cứu

Đối tượng nghiên cứu: Một số kỹ thuật tấn công điển hình đối với website, phương pháp đảm bảo an toàn thông tin

Phạm vi nghiên cứu: hệ thống (máy chủ Linux) tại Viện Đại học Mở Hà Nội

5 Phương pháp nghiên cứu

Nghiên cứu lý thuyết

Thử nghiệm trong môi trường thực

6 Nội dung

Chương 1: Tổng quan về an toàn thông tin

1.1 Tổng quan về an toàn thông tin

1.1.1 Một số khái niệm

1.1.2 Phân tầng hệ thống

1.1.3 Một số mô hình triển khai ứng dụng website

1.1.4 Các nguy cơ an toàn bảo mật

1.2 Một số hạn chế của hệ điều hành và các công cụ xây dựng ứng dụng web

1.2.1 Hệ điều hành Linux (CentOS 6.5)

1.2.2 Trình quản lý hosting - ZPanel

2.1.2 Lỗ hổngng bảo mật các dịch vụ được cài đặt

2.4 Những biện pháp đảm bảo an toàn máy chủ web

2.4.1 Cấu hình an toàn cho hệ điều hành

2.4.2 Cấu hình an toàn các dịch vụ

2.4.3 Cấu hình các phần mềm bảo vệ

2.5 Kết luận

Chương 3: Đề xuất quy trình đảm bảo an toàn và đánh giá an toàn máy chủ web

3.1 Quy trình đảm bảo an toàn máy chủ web

3.1.1 Xây dựng quy trình

3.1.2 Thử nghiệm quy trình

3.2 Đánh giá an toàn máy chủ web

3.2.1 Đánh giá an toàn máy chủ web

3.2.2 Kết quả đánh giá

3.3 Kết luận

KẾT LUẬN VÀ KIẾN NGHỊ

CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THÔNG TIN

1.1 Tổng quan về an toàn thông tin

Vấn đề mất an toàn trên hệ thống ngày càng trở nên nghiêm trọng và việc bảo mật

hệ thống đang ngày càng được các cơ quan, tổ chức, ban ngành chức năng quan tâm chú trọng phát triển Trong chương này, nhóm thực hiện đề tài chủ yếu tập trung vào các vấn

đề liên quan đến bảo mật hiện nay như: nguy cơ mất an toàn an ninh; những vấn đề cần quan tâm để đảm bảo an toàn an ninh; các đối tượng, lỗ hổng tấn công mạng; các chính sách bảo mật an toàn an ninh hiện nay đối với một hệ thống thông tin nói chung và với hệ thống webserver nói riêng

1.1.1 Một số khái niệm

An toàn thông tin: An toàn thông tin có mục đích là phải tổ chức việc xử lý, ghi

nhớ và trao đổi thông tin sao cho tính bảo mật, toàn vẹn, sẵn sàng và đáng tin cậy được bảo đảm ở mức độ đầy đủ Ngày nay vấn đề an toàn thông tin được xem là một trong những quan tâm hàng đầu của xã hội, có ảnh hưởng rất nhiều đến hầu hết các ngành khoa học tự nhiên, kỹ thuật, khoa học xã hội và kinh tế

Tính bí mật (confidentiality): là tâm điểm của mọi giải pháp an toàn cho hệ thống

thông tin Một giải pháp an toàn là tập hợp các quy tắc xác định quyền được truy cập đến với thông tin đang tìm kiếm đối với một số lượng người sử dụng nhất định và một số lượng tài sản thông tin nhất định Trong trường hợp kiểm soát truy cập cục bộ, cần kiểm soát nhóm người truy cập xem họ đã truy cập những số liệu nào Tính bí mật đảm bảo rằng các kiểm soát truy cập có hiệu lực, loại bỏ những sự truy cập trái phép vào các khu vực là độc quyền của các cá nhân, tổ chức

Tính toàn vẹn (integrity): là đặc tính phức hợp nhất và dễ bị hiểu lầm của thông

tin Một định nghĩa khái quát hơn là vấn đề cấp độ chất lượng của số liệu (thông tin), chứ

không phải là được hoặc không được phép truy cập Đặc tính toàn vẹn được hiểu là chất lượng của thông tin được xác định căn cứ vào độ xác thực khi phản ánh thực tế Số liệu càng gần với thực tế bao nhiêu thì chất lượng thông tin càng chính xác bấy nhiêu Đảm bảo tính toàn vẹn của thông tin là một loạt các các biện pháp đồng bộ nhằm hỗ trợ và đảm bảo tính thời sự kịp thời và sự đầy đủ trọn vẹn, cũng như sự bảo mật hợp lý cho thông tin

Tính sẵn sàng (availability): cũng là một đặc tính quan trọng, không kém gì các

đặc tính đã nêu ở trên Đó là khía cạnh sống còn của thông tin, đảm bảo cho thông tin đến

đúng địa chỉ (người được phép sử dụng) khi có nhu cầu, hoặc được yêu cầu Tính sẵn

sàng đảm bảo độ ổn định đáng tin cậy của thông tin, đảm nhiệm vai trò là thước đo xác định phạm vi tới hạn của an toàn một hệ thống thông tin

Tấn công từ chối dịch vụ (DoS): là kiểu tấn công vào hệ thống mạng bằng cách

làm tăng đột biến lưu lượng băng thông, số lượng yêu cầu kết nối sử dụng dịch vụ vượt quá khả năng mà hệ thống có thể đáp ứng xử lý, dẫn đến dịch vụ của hệ thống hoạt động

bị chậm, mất khả năng đáp ứng hoặc mất kiểm soát

Tấn công từ chối dịch vụ phân tán (DDoS): là dạng tấn công DoS nguy hiểm

nhất khi nguồn tấn công nhiều và phân bố trên diện rộng trên mạng Internet toàn cầu, rất khó ngăn chặn triệt để Thông thường các cuộc tấn công DDoS được gây ra bởi một số lượng khá lớn các máy tính trên mạng Internet bị điều khiển bởi tin tặc do nhiễm mã độc thường gọi là mạng Botnet

Lỗ hổng bảo mật: là nhược điểm (hay điểm yếu) của một tài sản hoặc một nhóm

tài sản có khả năng bị khai thác bởi một hay nhiều mối đe dọa Ví dụ, lỗ hổng do thiếu cơ chế kiểm soát dữ liệu đầu vào từ phía người dùng của một website, lỗ hổng do đặt mật khẩu yếu

Mối đe dọa (nguy cơ): là nguyên nhân tiềm ẩn gây ra sự cố không mong muốn, kết

quả là có thể gây tổn hại cho một hệ thống hoặc tổ chức Ví dụ, các loại mã độc, kẻ tấn

công (attacker), các kỹ thuật khai thác, thảm hoạ thiên nhiên …

Rủi ro: là sự kết hợp giữa hậu quả do xuất hiện sự kiện không mong muốn và khả

năng (xác suất) xảy ra sự kiện này, hay nói cách khác là khả năng một tài sản thông tin (ví

dụ một ứng dụng web) bị tác động bởi một tác nhân đe doạ

1.1.2 Phân tầng hệ thống

An ninh trong hệ thống mạng các tổ chức là vấn đề quan trọng nhất trong hệ thống mạng LAN của cả tổ chức và đặc biệt quan trọng đối với cơ sở dữ liệu Việc truy cập mạng từ bất kỳ thiết bị đầu cuối nào luôn phải được sự cho phép và đặt dưới sự bảo vệ và giám sát Vấn đề bảo mật phải được triển khai một cách toàn diện từ phần biên mạng, lõi của mạng, phía trước và giữa các ứng dụng với hệ thống thiết bị đầu cuối

Hiện nay, hầu như tất các các hệ thống mạng của bất kỳ tổ chức nào đều hoạt động dựa trên giao thức TCP/IP, nhưng bản chất là vẫn sử dụng mô hình tham chiếu OSI trong

tất cả các công việc như học tập, nghiên cứu, triển khai Vấn đề phân miền an ninh trong

hệ thống mạng cũng dựa vào mô hình OSI để đưa ra các nguy cơ và các giải pháp

Hình 1.1: Tháp OSI VÀ mối đe dọa ứng với các tầng Physical Layer: Ở tầng này chủ yếu là các thiết bị điện và vật lý của các thiết bị

như đặc tả về các đường nối, hệ thống điện Thông thường, hacker không thể tấn công thông qua con đường này, nhưng hệ thống cũng có thể bị tấn công bởi chính nhân viên trong công ty như sử dụng USB, đĩa để ăn cắp dữ liệu

Data Layer: Ở tầng này thì chúng ta chủ yếu quan tâm đến địa chỉ vật lý Gói tin

từ lớp trên gửi xuống tạo thành một frame, thiết bị hoạt động chủ yếu ở tầng này là Switch, trước đây là Hub, nhưng nếu như dùng Hub thì khả năng bị tấn công sẽ càng trở nên dễ dàng hơn Các hình thức tấn công ở tầng này chủ yếu là : Mac Attack, DHCP Attack, Spoofing Attck, Spanning Tree Attack

Network/ Transport Layers: là tầng đóng vai trò trong việc định tuyến cho gói tin

từ nguồn đến đích theo con đường tối ưu nhất, thiết bị hoạt động ở tầng này là Router Ở tầng Network ta quan tâm đến địa chỉ IP và gói tin được đóng gói gửi từ trên xuống tạo

thành một Packet Tầng Transport là tầng cung cấp việc truyền tin tin cậy (sử dụng TCP),

cung cấp cơ chế điều khiển luồng, điều khiển tắc nghẽn và cơ chế gửi lại gói tin khi bị mất Tầng này chúng ta quan tâm đến port và đơn vị của gói tin ở tầng này là segment Các hình thức tấn công ở tầng này là: Endpoint indetification, SYN flood, Ping of death,…

Session/ Presentation Layers: Session là tầng chịu trách nhiệm tạo, quản lý và

hủy phiên làm việc, giám sát trao đổi giữa Presentation Layer và Transport Layer Presentation là tầng định nghĩa cho định danh của dữ liệu, trình bày, mã hóa, chuyển đổi

dữ liệu như thế nào để có thể sử dụng cho tầng Application Các hình thức tấn công chủ

yếu ở 2 tầng này là: Unauthorized Login/ Passord Access, Unauthorized Personal Data Access

Application Layer: Application là tầng gần gũi với người dùng nhất, vì nó là tầng

cung cấp các ứng dụng cho người dùng như Wep, Mail, FTP, SNTP,… Mục tiêu của kẻ tấn công chính là các ứng dụng được public trên mạng như Web, Mail

1.1.3 Một số mô hình triển khai ứng dụng website

1.1.3.1 An toàn thông tin toàn diện cho tổ chức

Mô hình đồng bộ của tổ chức: Việc đảm bảo an ninh, hệ thống an toàn thông tin

được xây dựng thành hệ thống dọc với nhân sự chuyên trách đảm bảo công tác ATTT thông suốt từ cấp trên xuống dưới và từ trong ra ngoài, do một cán bộ chuyên trách trực tiếp điều hành, chỉ đạo thường xuyên các hoạt động Bộ phận ATTT chịu trách nhiệm tham mưu, thi hành trực tiếp các chỉ đạo của lãnh đạo chuyên trách về ATTT Từng đơn

vị cơ sở đều có các bộ phận ATTT theo quy mô và đặc thù về chức năng, nhiệm vụ của mình và chịu sự chỉ đạo thống nhất Trong quá trình hoạt động, ban hành các quy chế, quy định trong việc tổ chức mạng lưới, chính sách ATTT, xây dựng hệ thống công cụ, nhằm đảm bảo bí mật, an toàn về thông tin, tài liệu Bên cạnh đó, thường xuyên tổ chức kiểm tra đột xuất việc chấp hành các quy định về bảo mật thông tin và các đơn vị chấp hành chưa đúng đều được nhắc nhở, xử lý kịp thời

Hình 1.2: Mô hình an toàn thông tin toàn diện tổ chức Kết hợp chính sách nội bộ và quy định pháp luật: Toàn bộ hệ thống ATTT của

được quản lý dựa trên hệ thống văn bản chính sách, quy định, quy chế tương ứng với từng hoạt động của Nhà nước và Bộ Thông tin và Truyền thông Các văn bản này được cập nhật thường xuyên và cụ thể hóa thành hệ thống văn bản quy định của đơn vị

Kết hợp con người và công nghệ: Chú trọng đầu tư các giải pháp, thiết bị công

nghệ hiện đại nhằm đảm bảo ATTT từ khâu quy hoạch, thiết kế đến triển khai, vận hành trong tất cả các hệ thống của mình Trong đó, hệ thống mạng lưới bảo đảm ATTT được quy hoạch phân vùng rõ ràng và triển khai giải pháp giám sát, xác thực, phân quyền, cảnh báo tập trung Đó là cơ sở để đầu tư những thiết bị bảo mật chuyên dụng như Firewall,

IDS/IPS, VPN, Hệ thống (mạng lưới) được thiết kế đảm bảo hoạt động liên tục cùng với

quy trình phản ứng và quản trị sự cố Các giải pháp đảm bảo tính liên tục được cài đặt tại tất cả các tổng trạm, đi kèm với hệ thống đảm bảo về truyền dẫn, nguồn, phòng chống cháy nổ, hoạt động 24/7 Cơ sở dữ liệu được đặt trong vùng hệ thống “nhạy cảm”, được

tổ chức lưu trữ theo đúng quy định của pháp luật và hạn chế tối đa số người có thể truy cập tới Công tác chủ động thực hiện dò quét, kiểm tra lỗ hổng bảo mật được thực hiện liên tục

1.1.3.2 Mô hình an toàn thông tin thế hệ mới

Mô hình nghiên cứu ATTT thế hệ mới cho thấy một cái nhìn toàn diện về các nhân tố thay đổi, làm ảnh hưởng đến ATTT thế hệ mói Mô hình này định nghĩa 5 nhân vật đó là: người dùng IT, nhà cung cấp hệ thống IT, cơ quan quản lý, kẻ xâm nhập và nhà cung cấp

an toàn thông tin

Hình 1.3: Mô hình an toàn thông tin thế hệ mới Người dùng IT: Là người sở hữu hoặc sử dụng hệ thống IT Những hệ thống IT,

dịch vụ kinh doanh, dữ liệu liên quan đến người dùng IT là đối tượng của các cuộc tấn công bảo mật đổng thời cũng là đối tượng của dịch vụ bảo mật thông tin

Nhà cung cấp hệ thông IT: Là các tổ chức cung cấp hệ thống IT (phần mềm, phần

cứng, mạng và sản phẩm ứng dụng) và các dịch vụ công nghệ cho người dùng IT

Cơ quan quản lý: Là các cơ quan chức năng của quốc gia/ngành nghề chịu trách

nhiệm quản lý công nghệ bảo mật thông tin Cơ quan quản lý đưa ra các chính sách, tiêu chuẩn, quy tắc, yêu cầu, liên quan đến ATTT và cung cấp những đánh giá tính tuân thủ, đánh giá hệ thống và dịch vụ tư vấn

Kẻ xâm nhập: Là các cá nhân, nhóm, tổ chức tiến hành tấn công phá hoại hệ

thống, dịch vụ, dữ liệu của người dùng IT

Nhà cung cấp an toàn thông tin: Là tổ chức cung cấp những dịch vụ bảo đảm an

ninh (sản phẩm bảo mật, dịch vụ bảo mật, tư vấn ) cho người dùng IT, giúp người dùng

chống lại những tấn công của kẻ xâm nhập

Năm nhân vật kể trên đều tập trung vào đối tượng nghiên cứu tấn công và phòng

thủ (người dùng IT và hệ thống IT) Sự thay đổi về công nghệ và khả năng dịch vụ của

những nhân vật trên đều có thể làm thay đổi trạng thái ATTT của hệ thống IT của người dùng, thậm chí có thể mang đến những đe dọa ATTT mới cho hệ thống IT đang được bảo

vệ, cùng với đó là những thử thách mới cho công nghệ và khả năng dịch vụ của các nhà cung cấp ATTT

1.2 Một số hạn chế của hệ điều hành và các công cụ xây dựng

1.2.1 Hệ điều hành Linux (CentOS 6.5)

Các loại hệ điều hành cho máy chủ phổ biến hiện nay là Windows, Linux, UNIX hay MacOS Tính riêng đối với hệ thống máy chủ phục vụ web, HĐH Linux được sử

dụng phổ biến nhất (chiếm 36.72%, trong đó phần lớn là HĐH CentOS và Debian), thứ hai là HĐH Windows (với 33.10%) Theo thống kê hàng năm của CVE Details (Hệ thống

cung cấp thông tin về lỗ hổng bảo mật của tập đoàn MITRE, được Ủy Ban an ninh mạng quốc gia Mỹ bảo trợ) thì những năm gần đây, tần suất công bố các lỗ hổng trên HĐH

Linux nhiều hơn so với đầu những năm 2000 Tính đến nay, năm 2013 xuất hiện nhiều nhất với 189 lỗ hổng Còn lại chủ yếu mỗi năm công bố khoảng 50 đến 100 lỗ hổng bảo mật

Hình 1.4: Thống kê số lượng lỗ hỏng mới hàng năm

Hiện nay phiên CentOS 6.5 không phải là phiên bản mới nhất, nhưng đây là phiên bản đã được cộng đồng người dùng kiểm nghiệm và tin dùng, cho thấy nó đảm bảo tính

ổn định, luôn luôn sẵn sàng Đây một trong những yêu cầu cốt lõi của an toàn thông tin

1.2.2 Trình quản lý hosting – Zpanel

Zpanel là gì: Zpanel là một trình quản lý hosting tương tự như Cpanel nhưng đơn

giản, miễn phí, dễ dàng sử dụng và cài đặt hơn rất nhiều Zpanel phù hợp với việc mới sử dụng VPS mong muốn chạy nhiều site trên 1 VPS Đây là lựa chọn rất tốt vì khó có thể cài đặt Cpanel quen thuộc trên VPS do phí bản quyền rất lớn, mấy chục $/tháng Các chức năng căn bản thường dùng trên Cpanel đều có ở Zpanel như: quản lý account, client, add domain, quản lý database, FTP, phân chia tài nguyên dung lượng băng thông…

Hạn chế: Cũng giống như các trình quản lý hosting khác Vì Zpanel là trình mã

nguồn mở và luôn được cộng đồng đổi mới do đó luôn luôn tiềm ẩn nguy cơ cài cắm với mục đích tiêu cực Zpanel là phần mềm tốt, nhưng nó là phần mềm khá mới và nó vẫn có một số điểm yếu Vì là sản phẩm mới nên Zpanel sẽ có một số lỗ hổng an ninh

1.2.3 Các phần mềm mã nguồn mở

Giới thiệu: các ứng dụng nguồn mở phổ biến như Joomla, WordPress, MySQL …

có thể đem lại cho người dùng nhiều tính năng ưu việt, và điểm đặc biệt cần nói đến, đó là người dùng không cần trả phí Tuy nhiên, có lẽ bất lợi lớn nhất của tất cả các mã nguồn

mở nói chung và quản trị nội dung (CMS) nói riêng là, bất cứ ai có thể tải về mã nguồn

đầy đủ Điều này tạo điều kiện thuận lợi cho kẻ xấu thường nắm rất rõ những điểm yếu của mỗi phiên bản…

1.2.3.1 Lỗ hổng Joomla

http://www.cvedetails.com/vulnerability-list/vendor_id-3496/product_id-16499/Joomla-Joomla-.html

Theo thống kê của CVE Details, hiện nay Joomla vẫn thường xuất hiện các lỗ hổng

nguy hiểm phổ biến như, XSS, SQL injection, CSRF (kể cả những phiên bản mới 3.4.2;

ver 3.3.5; ver 3.2.5… như vừa được công bố vào tháng 7-2015) Ngoài ra Joomla còn ẩn

chứa những lỗ hổng do việc cho phép tích hợp các plug-ins mà thiếu tính kiểm soát Do

đó dẫn đến bao gồm cả các plug-in giả mạo ẩn chứa mã độc, thường thấy là các loại Trojan mở cổng để kẻ tấn công có thể sử dụng để truy nhập bất hợp pháp vào các máy chủ Không chỉ những các plug-ins giả mạo ẩn chứa mã độc, mà ngay cả những plug-ins hợp pháp cũng thường ẩn chứa các lỗ hổng Do đó để khắc phục các vấn đề trên, quản trị các website cần cài đặt ứng dụng bảo vệ anti-virus và thường xuyên cập nhật các bản vá lỗi cho các các plug-in và phiên bản mới của Joomla Một lỗ hổng phổ biến khác xuất phát từ chính những người quản trị website, khi cài đặt joomla để tên đăng nhập mặc định

là Admin và đặt mật khẩu không đúng quy cách dẫn đến nguy cơ cao bị tấn công vét cạn

(Brute-force) Đổi tên tệp cấu hình htaccess.txt thành htacces và thêm vào đoạn sau để

ngăn chặn một số khai thác thông thường

RewriteCond %{REQUEST_URI} ^/images/ [NC,OR]

RewriteCond %{REQUEST_URI} ^/media/ [NC,OR]

RewriteCond %{REQUEST_URI} ^/logs/ [NC,OR]

sử dụng WordPress ẩn chứa các lỗ hổng cho phép kẻ tấn công dễ dàng khai thác Đặc biệt

là các lỗ hổng xuất hiện trong các plug-in và trong các Thame, ví dụ: Revolution Slider Plugin, CuckooTap Theme, IncredibleWP Theme, WordPress Ultimatum Theme, WordPress Ultimatum Theme, WordPress Ultimatum Theme, WordPress Avada Theme,

WordPress Striking Theme & E-Commerce, WordPress Striking Theme & E-Commerce, TwentyFifteen, Plugin Jetpack, All in One SEO Pack Để khắc phục những điểm yếu này, các quản trị viên cần cập nhật phiên bản mới nhất cho WordPress, các Plug-in, cá Thame đồng thời rà soát và vô hiệu hoá các plug-in và các Thame không dùng đến và có nguy cơ gặp rủi ro Quản trị có thể thường xuyên tham khảo trang https://wpvulndb.com/

để kịp thời biết thông tin về các lỗ hổng bảo mật mới của WordPress

https://nakedsecurity.sophos.com/2013/09/27/how-to-avoid-being-one-of-the-73-1.2.3.3 Lỗ hổng NukeViet

Nukeviet là sản phẩm phần mềm mã nguồn mở được sử dụng cho việc quản lý nội dung ứng dụng web Đây là sản phẩm do người Việt Nam nghiên cứu, phát triển Nó hoàn toàn có thể đáp ứng được các yêu cầu về ứng dụng và thân thiện với người dùng Việt Hiện nay các lỗ hổng được công bố liên quan tới NukeViet là rất ít Theo thống kê của CVE Detail thì mới chỉ có một lỗ hổng của NukeViet được công bố Đó là lỗ hổng được

ký hiệu CVE-2008-5945 của phiên bản Nukeviet 2.0 Beta cho phép kẻ tấn công vượt qua đăng nhập bằng kết nối từ xa Có thể nói, các lỗ hổng của Nukeviet được công bố rất ít Tuy nhiên, điều này không đảm bảo được rằng Nukeviet thực sự an toàn hơn các ứng dụng quản trị nội dung khác, ví dụ như Joomla, WordPress Chắc có lẽ một phần xuất phát từ việc NukeViet chưa được sử dụng rộng rãi trên thế giới giống như Joomla hay WordPress Thế nhưng, ít nhất NukeViet cũng không xuất hiện những lỗ hổng cơ bản mà

kẻ tấn công dễ dàng tấn công, khai thác Tóm lại, hiện tại sử dụng NukeViet cũng là một lựa chọn phù hợp

1.2.3.4 Lỗ hổng MySQL

Như đã giới thiệu, hệ quản trị cơ sở dữ liệu MySQL ngày nay được sử dụng rất

rộng rãi, đặc biệt là các ứng dụng web Xét về góc độ bảo mật (ở đây tạm thời chúng ta

chưa đề cập đến các lỗ hổng bảo mật xuất phát từ lỗi của các lập trình viên khi phát triển ứng dụng, hay các quản trị không tuân thủ theo hướng dẫn trong việc cấu hình và vận

hành an toàn hệ thống), để so sánh với các hệ quản trị cơ sở dữ liệu khác thì MySQL

được đánh giá là khá an toàn Nghĩa là, bản thân nó cũng đã, đang và sẽ xuất hiện những

lỗ hổng bảo mật Theo thống kê của CVE Details, chỉ tính từ tháng 5 đến tháng 7/2015 MySQL đã phải đưa ra rất nhiều các bản vá cho các lỗ hổng bảo mật MySQL, như: CVE

2015 - 2582; CVE 2015 - 2611; CVE 2015 - 2617; CVE 2015 - 2620; CVE 2015 - 2639; CVE 2015 - 2641; CVE 2015 - 2643; CVE 2015 - 2648; CVE 2015 - 2661; CVE 2015 - 4737; CVE 2015 - 4752; CVE 2015 - 4756; CVE 2015 - 4757; CVE 2015 - 4761; CVE

2015 - 4767; CVE 2015 - 4769; CVE 2015 - 4771; CVE 2015 - 4772

Như vậy, đối với hệ quản trị CSDL MySQL các quản trị viên cần hết sức lưu ý là, ngoài việc cấu hình an toàn, lập trình an toàn thì phải thường xuyên cập nhật bản vá mới nhất Như vậy mới có thể hạn chế được tối đa nhưng rủi ro có thể xảy ra

bypass.aspx

Xác định mục tiêu: mục tiêu tấn công có thể là một mục tiêu của kẻ tấn công

không có chủ đích hoặc có chủ đích Tấn công không có chủ đích là loại tấn công mà kẻ tấn không cần quan tâm đến các tác động đối với mục tiêu như thế nào Loại tấn công này

ở những kẻ tấn công chỉ để “nghịch ngợm”, thích thể hiện mình, miễn là tấn công được mục tiêu; Tấn công có chủ đích là loại tấn công mà kẻ tấn công xác định rất rõ mục tiêu

mà cần chúng cần thực hiện là gì, tác động hay mức độ ảnh hưởng của cuộc tấn công như thế nào Loại tấn công này xuất hiện ngày càng nhiều với các mục tiêu liên quan tới tài

chính, chính trị, an ninh quốc phòng…thường thấy đối với những kẻ tấn công chuyên nghiệp

Thu thập thông tin: đây là bước vô cùng quan trọng Bởi muốn thực hiện được

mục đích mà không bị phát hiện Kẻ tấn công cần rà soát, thu thập toàn bộ các thông tin liên quan đến hệ thống, những thông tin đó sẽ phục vụ cho việc phân tích, xác định điểm yếu, các lỗ hổng bảo mật của hệ thống Có rất nhiều cách để tiến hành thu thập thông tin,

ví dụ: kỹ nghệ xã hội (Social Engineering), sử dụng các công cụ rà quét (scan), đưa các tham số vào các vị trí đầu vào (input) của hệ thống để xem cách mà hệ thống hồi đáp lại

là gì

Tìm điểm yếu: Từ các thông tin mà kẻ tấn công thu thập được Chúng sẽ phân tích

lỗ hổng bảo mật, lựa chọn phương thức tấn công phù hợp, có hiệu quả mà các quản trị hệ thống khó hoặc không thể phát hiện

Xoá dấu vết: kẻ tấn công chuyên nghiệp sẽ không bao giờ muốn các quản trị phát

hiện ra hệ thống của họ đã bị tấn công Bởi vì, bọn chúng thường sẽ không chỉ tấn khai thác hệ thống một lần, mà chúng tiến hành khai thác nhiều lần Thậm chí chúng còn muốn

sử dụng lỗ hổng đó để tạo bàn đạp tấn công sang các hệ thống khác trong cùng mạng Có nhiều cách để chúng xoá dấu vết sau khi tấn công Ví dụ, chúng có thể thay đổi hoặc xoá

(log file) tệp nhật ký ghi lại các sự kiện, giả mạo địa chỉ IP…

Sau đây, nhóm chủ trì sẽ giới thiệu về kỹ thuật tấn công, các biện pháp phòng ngừa của một số lỗ hổng bảo mật phổ biến nhất hiện nay đối với ứng dụng web

1.3.2 Một số kỹ thuật tấn công

1.3.2.1 Kỹ thuật khai thác lỗ hổng SQL injection

Kỹ thuật tiêm mã SQL (SQL Injection) là kỹ thuật mà kẻ tấn công lợi dụng các lỗ

hổng trong việc kiểm tra dữ liệu đầu vào các ứng dụng web để chèn và thực thi các câu lệnh SQL bất hợp pháp

Kỹ thuật tiêm mã SQL là trường hợp riêng của kỹ thuật tiêm mã nói chung Tất cả các ứng dụng xây dựng mã lệnh thực thi của mình dựa trên các số liệu đầu vào đều có thể

là nạn nhân của loại tấn công nguy hiểm này Hậu quả của nó có thể rất tai hại, vì kẻ tấn công có thể thực hiện các thao tác xem, xoá, hiệu chỉnh CSDL của ứng dụng Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản trị bằng các hệ quản trị CSDL như SQL Server, MySQL, Oracle, DB2, Sysbase

Có bốn dạng tấn công tiêm mã SQL thường thấy bao gồm: vượt qua đăng nhập

(authorization bypass), sử dụng câu lệnh SELECT, sử dụng câu lệnh INSERT và sử dụng

Stored-procedures

1.3.2.2 Kỹ thuật khai thác lỗ hổng XSS

Cross-Site Scripting, gọi tắt là XSS (thay vì gọi tắt là CSS để tránh nhầm lẫn với

CSS-Cascading Style Sheet của HTML) là lỗ hổng do thiếu cơ chế kiểm soát chặt chẽ các

script trên máy chủ ứng dụng Với kiểu khai thác này, kẻ tấn công có thể đánh cắp được các thông tin về tài khoản người dùng, Cookies, SessionID, tài khoản ngân hàng…, có thể lây lan virus, worm, bootnet hoặc tấn công thay đổi giao diện web Những đoạn mã nguy hiểm được chèn vào hầu hết viết bằng các Client-Site Script như JavaScript, JScript, DHTML và có thể là cả các thẻ HTML

Các kỹ thuật tấn công XSS được chia làm ba loại là: Reflected, Stored và DOM based, trong đó Reflected XSS chiếm phần lớn

1.3.2.3 Kỹ thuật khai thác lỗ hổng Cross Site Request Forgery (CSRF)

Kỹ thuật tấn công này hướng đến mục tiêu là người dùng của các trang thanh toán trực tuyến, ngân hàng trực tuyến, các trang có chức năng quản trị bằng cách sử dụng quyền chứng thực của người sử dụng đối với một website Điều kiện cần để tấn công

thành công là người dùng phải đang ở trạng thái đăng nhập (login) Với một đường dẫn có

kèm theo các câu lệnh thực thi được “thiết kế” sẵn, kẻ tấn công sẽ gửi và lừa người dùng nhấp chuột vào Để làm được điều này, kẻ tấn công thường đặt đường dẫn độc hại đó trong thẻ image hoặc iframe và ẩn đi bằng cách hiệu chỉnh các thuộc tính của các thẻ này

1.3.2.4 Kỹ thuật khai thác lỗ hổng File Inclusion

Đây là một trong số các lỗ hổng đặc biệt nghiêm trọng thường xảy ra đối với các ứng dụng viết bằng ngôn ngữ lập trình PHP Lỗ hổng này cho phép kẻ tấn công tải mã độc lên máy chủ và chiếm quyền điều khiển hệ thống, xoá nội dung, thay đổi giao diện Mã độc thường được dùng để khai thác dạng này có tên là C99.php Lỗ hổng này được chia ra làm hai loại là RFI và LFI

- RFI (Remote File Inclusion): cho phép kẻ tấn công gọi một tập tin độc hại từ

xa, thường là thông qua một kịch bản Script

- LFI (Local File Inclusion): Thay vì gọi một tập tin từ xa, kỹ thuật này cho phép

chèn trực tiếp các tập tin độc hại trên máy chủ

Hình 1.5: Kỹ thuật tấn công File Inclusion

1.3.2.5 Tấn công Buffer Overflow

Lỗi tràn bộ đệm (Buffer Overflow) xảy ra khi một tiến trình lưu trữ dữ liệu vượt

quá kích thước bộ nhớ đệm có chiều dài cố định Kết quả là dữ liệu đó sẽ đè lên các vị trí

bộ nhớ liền kề Trong ví dụ bên dưới, biến buffer có kích thước là 10 ký tự, nhỏ hơn chuỗi

được truyền vào (20 ký tự) nên bộ nhớ đệm sẽ bị tràn

6184 được công bố ngày 21-2-2015 là một ví dụ cho kỹ thuật tấn công này trên HĐH Linux Các công cụ khai thác các lỗ hổng kiểu này thường rất sẵn và đa dạng, trong đó nổi tiếng là Metasploit

1.3.2.6 Tấn công bằng mã độc

Mã độc (Malware) là chương trình hay một đoạn chương trình máy tính có thể

được thiết kế nhằm mục đích như đùa nghịch, chính trị, tài chính để đánh cắp thông tin, phá hoại dữ liệu và máy tính, tấn công từ chối dịch vụ…Mã độc là khái niệm chung dùng

để nói về virus, worm, trojan, …Sau đây là giới thiệu về một số loại mã độc điển hình về đặc điểm, khả năng tấn công, khai thác của mỗi loại, để từ đó chúng ta có cách nhìn đầy

đủ và khái quát giúp những người quản trị website có thể dễ dàng đánh giá và xử lý khi gặp sự cố máy tính liên quan tới mã độc

Virus: là một loại mã độc có khả năng tự lây nhiễm và nhân bản chính nó vào tập

tin hoặc chương tình máy tính Nó cần những tệp (file) thực thi để lây nhiễm và ký sinh

trên đó Virus thường lây nhiễm qua những con đường như USB, ổ cứng di động, Internet, email….với tốc độ lây nhiễm chậm Các thành phần của virus bao gồm:

- Replicator Kích hoạt và phát tán;

- Concealer: Biện pháp lẫn tránh các chương trình phòng chống;

- Payload: Lượng malcode được sử dụng để hủy chức năng của máy tính hoặc phá hủy dữ liệu

Worm (hay còn gọi là sâu máy tính): là loại mã độc có khả năng tự nhân bản, tự

lây nhiễm giống như virus Nhưng nó là một chương trình có khả năng tự đóng gói Nghĩa

là, nó có thể tồn tại độc lập mà không cần bám vào một file chương trình khác Worm

thường lây nhiễm qua những con đường như USB, qua mạng (qua giao thức chia sẻ file),

qua Internet, hay tự đính kèm nó và gửi theo danh sách các địa chỉ email của người dùng Với cách thức lây nhiễm như vậy, worm có khả năng lây nhiễm với tốc độ rất nhanh, mức

độ ảnh hưởng rất lớn Nó có thể thực nhiều chức năng nguy hiểm theo ý đồ của kẻ tấn công Một số loại worm nổi tiếng đã từng gây rất nhiều khó khăn cho các chuyên gia bảo mật trên thế giới, như: Staxnet, Conficker, Netsky, Mydoom…

Trojan: là một loại mã độc được nguy trang dưới một ứng dụng “bình thường”

nhằm thực hiện chức năng bình thường kèm theo chức năng phá hoại mà người dùng ứng dụng đó không hay biết Mảnh đất màu mỡ nhất để phát tán loại mã độc này là Internet,

bằng cách cho phép người dùng tải về các ứng dụng miễn phí (ví dụ các trò chơi) Trojan

không có khả năng tự nhân bản, không tự lây lan Khi được kích hoạt nó có thể tiến hành

mở cổng chờ đợi kẻ tấn công từ xa (tạo backdoor), đánh cắp dữ liệu, tạo mạng máy tính

ma (Botnet), hay đánh cắp tài khoản ngân hàng…

Keyloger: là phần mềm được dùng để bí mật ghi lại các phím đã được nhấn bằng

bàn phím rồi gửi tới kẻ tấn công Keylogger có thể ghi lại nội dung của email, của văn

bản, username, password, hay những thông tin bí mật khác

Backdoor: là phần mềm cho phép truy cập vào một máy tính mà bỏ qua sự xác

thực bình thường Backdoor cũng là một thuật ngữ chung chỉ các phần mềm độc hại

thường trú và đợi lệnh điều khiển từ kẻ tấn công

1.3.3 Các biện pháp phòng chống tấn công

1.3.3.1 Biện pháp phòng chống lỗ hổng SQL injection

Như vậy, có thể thấy kỹ thuật tấn công SQL Injection khai thác những lỗ hổng

trong lập trình và trong việc cấu hình hệ quản trị CSDL Để phòng tránh ta có thể thực

hiện ở hai mức:

Kiểm soát chặt chẽ dữ liệu nhập vào:

Sử dụng đối tượng ASP Request như: Request, Request.QueryString,

Request.Form, Request.Cookies, Request.ServerVariables

Xây dựng hàm để loại bỏ một số ký tự và từ khoá nguy hiểm như: select, insert,

delete, drop, xp_ ; xây dựng hàm thay thế dấu nháy đơn bằng dấu nháy đôi:

sIput=replace(sIput, “ ’ ”, “ “ ”)

Trong ASP.NET có thể ngăn chặn bằng việc sử dụng phương pháp tham số hoá

câu truy vấn (Parameterized Queries)

Với hệ quản trị CSDL

Mã hoá các dữ liệu nhạy cảm, như mật khẩu, thông tin tài chính …

Tắt thông báo lỗi, chỉ cho hiển thị thông báo chung chung nhằm tránh trường hợp

kẻ tấn công “lần mò” ra thông tin về CSDL Mặc định trong ASP.NET chỉ thông báo chi

tiết khi chạy trên Localhost

Xoá bỏ các thủ tục không cần thiết, như xp_cmdshell, xp_startmail, xp_sendmail,

sp_makewebtask….Đặc biệt là xp_cmdshell nhằm tránh tấn công store-Procedures

Cần cấu hình máy chủ và kết hợp hệ thống phát hiện xâm nhập bằng IDS, ngăn

chặn tấn công bằng việc cài đặt công cụ URLScan

1.3.3.2 Biện pháp phòng chống lỗ hổng XSS

Lỗ hổng dẫn đến tấn công XSS là việc hệ thống chấp nhận cả những dữ liệu không tin cậy được gửi đến máy chủ từ phía người dùng Nạn nhân chính là những người dùng

(gửi yêu cầu) đó và hệ thống cần bảo vệ họ Có nhiều cách để giải quyết vấn đề này,

nhưng cách hiệu quả nhất là lọc dữ liệu đầu vào và vô hiệu hoá tấn công bằng cách hệ thống không gửi hồi đáp script độc hại cho phía máy trạm

Các dữ liệu cần được lọc bao gồm: " # & ' ( ) / ; < > &#34 &#35 &#36 &#37 &#38

&#39 &#40 &#41 &#47 &#59 &#60 Nhà phát triển ứng dụng hoàn toàn có thể tự xây dựng hàm vô hiệu hoá tấn công XSS Tuy nhiên, chúng ta có thể sử dụng một trong hai thư viện có sẵn là: 1) ESAPI được cung cấp bởi OWASP, thư viện này có thể tích hợp với nhiều công nghệ như Java, NET, PHP, Classic ASP, Cold Fusion, Python, và Haskell; 2) AntiXSS được cung cấp bởi Microsoft, thư viện này chỉ phù hợp với môi trường công nghệ của Microsoft

1.3.3.3 Biện pháp phòng chống lỗ hổng Cross Site Request Forgery (CSRF)

Người dùng cần thoát ngay khỏi hệ thống sau khi hoàn thành công việc

Nhà phát triển ứng dụng cần yêu cầu người dùng xác thực lại mật khẩu trước khi

cho phép thực hiện một tác vụ nào đó (kể cả đang ở trạng thái đăng nhập)

Xây dựng một hàm function Random() để cấp phát giá trị Token ngẫu nhiên cho phía máy trạm Giá trị này khiến kẻ tấn công không thể biết giá trị ngẫu nhiên này là gì để

“thiết kế” sẵn một đường dẫn

Sử dụng CAPTCHA trước khi tiến hành công việc tiếp theo

Đối với hệ thống lớn cần được đảm bảo an toàn ở mức cao như các công ty tài chính, ngân hàng, chứng khoán…, có thể triển khai hệ thống xác thực kết hợp với OTP hoặc sử dụng chữ ký số

1.3.3.4 Biện pháp phòng chống lỗ hổng File Inclusion

Lập trình viên cần hết sức lưu ý khi phát triển mã nguồn Có thể tạo danh sách

trắng (whitelist) để ngăn chặn kẻ xấu tải lên mã thực thi có định dạng php

<?php

$whitelist = array(’index.html’, ‘downloads.html’, ‘info.html’);

$page=$_GET['page'];

if(in_array($page,$whitelist)){include($page);

}else

{die(”Attackattempt”);

}

?>

1.3.3.5 Biện pháp phòng chống Buffer Overflow

Sử dụng các ngôn ngữ bậc cao như (Java, NET, Ruby…) thay vì sử dụng các ngôn

ngữ C/C++, Fortran, Assembly Trong trường hợp cần thiết phải sử dụng ngôn ngữ C/C++ cần phải đảm bảo an toàn trong lập trình, như việc kiểm soát các hàm có nguy cơ gây lỗi

1.3.3.6 Biện pháp phòng chống tấn công bằng mã độc

Biện pháp này sẽ trình bày kỹ tại chương III của đề tài này

1.4 Các nguy cơ an toàn bảo mật

1.4.1 Nguy cơ đánh cắp thông tin

Trong thời đại hiện nay, công nghệ thông tin ngày càng đóng vai trò quan trọng trong tất cả các lĩnh vực của đời sống từ làm việc, giải trí, vui chơi hay đến những nhu cầu thường ngày khác Chính vì vậy, khi mà hầu hết mọi hoạt động của đời sống đều dựa vào kỹ thuật máy tính thì nhu cầu bảo vệ an toàn dữ liệu trở thành một vấn đề bức thiết hơn bao giờ hết không chỉ đối với riêng cá nhân nào mà còn đối với doanh nghiệp, tổ chức và Chính phủ

Đối với cá nhân, dữ liệu là những thông tin cá nhân như họ tên, địa chỉ liên hệ, nơi làm việc, tài khoản ngân hàng, các loại thẻ…

Đối với doanh nghiệp, thông tin dữ liệu rất quan trọng trong các hoạt động kinh doanh, dữ liệu chứa tất cả những gì mà doanh nghiệp có từ bộ máy tổ chức, thông tin sản phẩm, chiến lược kinh doanh và hướng phát triển,…

Đối với một tổ chức, có thể nói dữ liệu chính là xương sống và luôn được các tổ chức cập nhập một cách thường xuyên và nhanh chóng, dữ liệu ngày càng nhiều hơn theo thời gian vì vậy không thể để mất nó

Đối với Chính phủ, dữ liệu càng quan trọng hơn, đó là tài liệu mật liên quan đến an ninh, sự phát triển của quốc gia… Vì vậy, Chính phủ luôn là mục tiêu để các hacker tấn công nhằm lấy cắp dữ liệu

Vì là một hệ thống mạng mở, nó không chỉ có phạm vi trong công ty, tổ chức mà là phạm vi toàn cầu và không có bất kỳ tổ chức nào quản lý, nên môi trường Internet đã trở thành môi trường lý tưởng cho các hacker thực hiện các hành động phá hoại, ăn cắp thông tin dữ liệu gây những tổn hại nghiêm trọng cho các cá nhân, tổ chức, doanh nghiệp khi họ tham gia hệ thống mạng

1.4.2 Nguy cơ sửa đổi thông tin

Đôi khi, hacker tấn công vào doanh nghiệp, tổ chức không phải để đánh cắp hay phá hủy mà đơn giản chỉ là để thay thế, sửa đổi nội dung trong đó Những thông tin dữ liệu bị thay thế, sửa đổi làm sai lệnh nội dung ban đầu thực sự là một trở ngại lớn đối với các cá nhân, doanh nghiệp, tổ chức Hacker có thể dùng những công cụ hack có sẵn trên mạng hoặc các Trojan để đột kích, tấn công vào hệ thống nhằm ăn cắp tài khoản, mật khẩu của admin để có quyền tuyệt đối trong các thao tác với dữ liệu, để sửa đổi, làm hỏng

dữ liệu

Khi thông tin bị sửa đổi, nó sẽ bị mất đi ý nghĩa và mục đích ban đầu, điều này nếu như không được phát hiện kịp thời thì có thể gây nên những quyết sách sai lệch ảnh hưởng trực tiếp đến chiến lược phát triển, lợi ích của doanh nghiệp

1.4.3 Nguy cơ từ chối dịch vụ

Tấn công từ chối dịch vụ DoS (Denial of Service) là một kiểu tấn công mà một

người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài nguyên của hệ thống Mục đích cuối cùng là máy chủ không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí là cả một hệ thống mạng rất lớn

Về bản chất của DoS thì chính là kẻ tấn công chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ,… và làm mất khả năng xử lý các yêu cầu dịch vụ hợp lệ của các Client khác Kẻ tấn công lợi dụng các nguồn tài nguyên mà nạn nhân cần sử dụng

để tấn công

1.4.4 Nguy cơ phá hủy thông tin

Các doanh nghiệp, tổ chức dù là lớn hay nhỏ thì thường mắc sai lầm khi không dành đủ thời gian, nguồn lực cũng như kinh phí để đánh giá hết tác động của sự ngừng trệ đối với dịch vụ và hệ thống thông tin của họ, hậu quả do dữ liệu bị phá hủy đó là: thiệt hại

về kinh tế do hệ thống bị ngừng trệ, bị treo, khách hàng hoang mang, giảm lòng tin đối với doanh nghiệp, khiến cho danh tiếng của doanh nghiệp bị giảm sút nghiêm trọng

Ngày nay, virus đã phát triển một cách đa dạng, phức tạp và càng ngày càng có vai trò tấn công phá hủy để ăn cắp thông tin cá nhân để mưu lợi, và thậm chí là tấn công với mục đích chính trị…Mặt khác, với tốc độ lây lan rất nhanh và biến hóa muôn dạng, sự phá hoại của virus giờ đây không chỉ là phá hoại máy tính, đánh cắp thông tin cá nhân hay thẻ tín dụng người dùng mà nghiêm trọng hơn là chuyển hướng sang các hạ tầng của các quốc gia, điều này thực sự rất nghiêm trọng và đáng báo động hơn bao giờ hết

1.5 Kết luận

Trong chương này, nhóm đề tài nêu bật một số khái niệm về bảo mật và an toàn thông tin Nhóm đề tài cũng giới thiệu hai mô hình an toàn thông tin đang được đang được áp dụng nhiều ở Việt Nam hiện nay Cuối cùng, giới thiệu một số phương pháp tấn công và cách thức phòng ngừa

Như vậy, việc nắm khái quá về an toàn bảo mật đóng vai trò quan trọng Bởi lẽ nó

sẽ giúp cho các nhà quản trị có được định hướng tốt, không bị xa vào những vấn đề tưởng trừng như quan trọng nhưng đối với một hệ thống cụ thể thì chưa chắc đã cần thiết Mặt khác nó cũng giúp các nhà quản trị giải quyết đầy đủ được các vấn đề liên quan đến hệ thống của mình Dựa trên thông tin đã nêu, bước tiếp theo sẽ là tìm hiểu cụ thể các vấn đề

(bảo mật) tồn tại trên hệ thống đang được hoạt động

Trong khuôn khổ đề tài cũng như phạm vi nghiên cứu, một số phương pháp tấn công và phòng ngừa sẽ không được nêu kỹ ở những chương sau Cụ thể là: nhóm đề tài sẽ

đề xuất phòng chống và cấu hình trên hệ thống webserver của Viện với những biện pháp cần thiết và có thể thực hiện

CHƯƠNG II: ĐÁNH GIÁ HIỆN TRẠNG VÀ BIỆN PHÁP ĐẢM BẢO AN TOÀN WEBSERVER TẠI VIỆN ĐH MỞ HÀ NỘI 2.1 Lỗ hổng bảo mật

2.1.1 Lỗ hổng bảo mật hệ điều hành

Lỗ hổng: là các chương trình hợp pháp với các lỗ hổng bảo mật có nguy cơ đưa

đến một số rủi ro Có hai lý do để phát hiện:

- Lỗi phần mềm, chẳng hạn như Microsoft Office, Java, Flash Player, QuickTime

- Các tập tin tạm thời của một chương trình được cài đặt hoặc cập nhật, hoặc cập nhật Windows

Làm thế nào để giảm thiểu ảnh hưởng của lỗ hổng bảo mật:

- Cập nhật phần mềm sẽ cải thiện bảo mật: luôn luôn cập nhật các bản vá của phần mềm hoặc hệ điều hành

- Sử dụng các phần mềm có tính năng phát hiện các lỗ hổng bảo mật và phòng chống tấn công

Ngày nay, kiếm được một phần mềm anti virus hoạt động hiệu quả và không tốn quá nhiều tài nguyên máy không còn quá khó như một vài năm trước Điểm danh những phần mềm miễn phí, ta có AVG, Avast, Avira, thậm chí việc kiếm key bản quyền xịn của những Kaspersky, Bitdefender cũng không còn quá khó và đắt đỏ Nhưng khi nói đến bảo mật, có rất nhiều khía cạnh ta cần lưu tâm, trong đó tìm kiếm và cài đặt một phần mềm antivirus tốt mới chỉ là một mặt của vấn đề Trong các bài viết về bảo mật, đã trình bày rất nhiều về tránh website khả nghi, chỉ download phần mềm từ các nguồn chính thức, để ý giao thức mã hóa SSL khi đăng nhập - sử dụng mật khẩu ở đâu đó, nhớ đăng xuất khi dùng máy công cộng v.v

2.1.2 Lỗ hổng bảo mật các dịch vụ được cài đặt

Ngay cả những phần mềm tầm trung đơn giản, chỉ phục vụ một vài tác vụ chuyên biệt cũng đã tạo thành từ một lượng lớn code Cấu trúc phần mềm được thiết kế bởi con người, và những dòng code trong đó cũng được viết bởi con người, vì vậy việc xuất hiện lỗi là không thể tránh khỏi Trong phần lớn trường hợp, nếu một phần mềm được sản xuất một cách chuyên nghiệp – các lỗi này không thể có tác động gì quá lớn, nhất là đến các

khía cạnh về bảo mật Cùng lắm ta sẽ thấy một vài chức năng không hoạt động, đôi lúc

phần mềm “treo” khi đang làm việc hoặc làm việc chậm chạp v.v

Nhưng nói vậy không có nghĩa là những lỗi nghiêm trọng liên quan đến bảo mật không thể xảy ra Nói cụ thể hơn một chút, đó là những lỗi phần mềm mà người ngoài có thể khai thác để tác động thay đổi cách phần mềm vận hành, đưa thêm vào các đoạn mã tự viết, xem các dữ liệu mà phần mềm quản lí v.v Ngoài các nguyên nhân chủ quan như sự

bất cẩn khi sử dụng của người dùng (click vào đường link lạ, download các phần mềm

độc hại), các lỗi này là một trong những khe hở chính mà tin tặc thường tập trung khai

thác để xâm nhập vào các hệ thống máy móc – từ các máy chủ đến các máy cá nhân của người dùng cuối

Nếu lỗ hổng này thuộc về một phần mềm không phổ biến, chỉ phục vụ vài tác vụ đơn giản và không có vai trò quan trọng trong hệ thống, hiển nhiên hiểm họa về bảo mật vẫn có nhưng không nghiêm trọng Nhưng hệ thống phần mềm càng phức tạp, đồ sộ thì hiển nhiên việc kiểm soát sự xuất hiện của những lỗi này càng khó – bất kể các kĩ sư thiết

kế có trình độ cao đến đâu Và chính những phần mềm này lại thường chiếm vai trò chủ chốt, cũng như tác động đến nhiều ngóc ngách của hệ thống Nhờ len lỏi qua kẽ hở tạo ra bởi lỗi của những phần mềm này, kẻ xấu có thể thực hiện những thay đổi nhất định lên máy móc của người dùng, hay nắm được quyền điều khiển, truy cập các thông tin nhạy cảm

Còn kịch bản xấu nhất? Kẻ xấu phát hiện ra lỗi…và dĩ nhiên là không công bố cho

ai biết, âm thầm đóng cửa tu luyện để hoàn thành công cụ khai thác lỗi và âm thầm phát

tán (thường thấy nhất là dưới dạng virus, worm,trojan…) Thậm chí giới tội phạm có thể

đem những thông tin này ra giao dịch, trao đổi ngầm với nhau, hay bán kèm trong những

bộ kit được viết ra chuyên để phục vụ việc tìm hiểu, khai thác lỗ hổng Hãng sản xuất hoàn toàn không biết sự tồn tại của lỗ hổng đó chứ đừng nói đến việc tìm cách sửa Chỉ đến khi hậu quả đã sờ sờ ra trước mắt, họ mới có thể tá hỏa lên tìm cách khắc phục, đền

bù cho người dùng, như vụ việc của Sony ngày trước Cũng chính vì đòn tấn công được

thực hiện khi hãng sản xuất hoàn toàn chưa biết đến sự tồn tại của các lổ hổng này, có "0

ngày" để tìm cách vá lỗi mà cái tên "zero-day" ra đời

Tóm lại, việc một lỗi phần mềm tồn tại vốn không phải việc gì quá kì lạ, hiểm họa

chỉ xuất hiện khi hãng sản xuất thua trong cả 2 cuộc đua: phát hiện lỗi và sửa lỗi

2.1.3 Lỗ hổng bảo mật hạ tầng mạng và kết nối

Cần hiểu rằng, các công cụ về bảo mật hiện đại ngày nay như tường lửa, phần mềm anti-virus, anti-malware…thường có cơ chế hoạt động thông minh để phát hiện khi một đoạn mã nào đó có hành vi đáng ngờ, bất kể đoạn mã đó có sẵn trong cơ sở dữ liệu về virus, malware hay không Cũng tương tự như một trinh sát dày dạn có thể phát hiện dấu

hiệu khả nghi của một kẻ trộm mà không cần lệnh truy nã hay chữ “trộm” to đùng trước

trán Tuy vậy như đã nói, trường hợp xấu nhất là khi các tin tặc phát hiện lỗi chưa ai biết tới, viết một công cụ hoàn toàn mới để khai thác Một kẻ nếu đủ khả năng để về đích đầu

tiên trong cả 2 cuộc đua này (ở đây không nói đến những đối tượng sử dụng lại công cụ)

hẳn nhiên thừa kinh nghiệm trong việc tránh ánh mắt dò xét của các công cụ bảo mật Vì vậy cho đến khi lỗ hổng hoàn toàn được vá, mọi biện pháp mà các công cụ bảo mật cung cấp đều chỉ mang tính tạm thời Chuỗi sự kiện điển hình thường là như sau:

1 Xuất hiện một lỗ hổng có thể bị khai thác bằng các công nghệ hiện có

2 Kẻ tấn công phát hiện lỗ hổng

3 Kẻ này lập tức tiến hành viết và phát tán công cụ khai thác lỗ hổng này

4 Hãng sản xuất đồng thời phát hiện lỗi và lập tức tìm cách sửa chữa

5 Lỗ hổng được công bố ra ngoài

6 Các phần mềm anti-virus được cập nhật thông tin để phát hiện khi có các đoạn

(hoặc chưa sửa được lỗi) này có lợi thế lớn nhất là sự kín đáo – phù hợp cho việc lấy

trộm thông tin hoặc phá hoại ngầm mà không bị phát hiện Vì vậy giai đoạn này đối tượng

bị nhắm đến thường là một nhóm người có thể đem lại lợi ích cụ thể cho kẻ tấn công để sau đó hắn có thể rút đi êm thấm Mục tiêu dó có thể là các tổ chức, tập đoàn mà kẻ này muốn phá hoại hoặc các thông tin tài khoản có thể sử dụng để kiếm lời

Giai đoạn từ bước 5 đến 8 mới thực sự nguy hiểm Đây là lúc thông tin về lỗ hổng được công bố, và cùng với các công ty phát triển anti-virus, những tin tặc chưa biết đến lỗi này cũng có thể tiếp cận được thông tin Làn sóng tấn công lúc này không còn âm thầm, mà dồn dập hơn rất nhiều Nếu ví đợt tấn công trước đó nguy hiểm như một nhát dao đâm sau lưng, thì đợt tấn công lúc này như một chuỗi đòn đánh trực diện, không hiệu quả với những ai cẩn thận đề phòng nhưng vẫn không kém phần nguy hiểm nếu như gặp đúng những người lơ là bảo mật hoặc nhỡ sử dụng công cụ bảo mật kém chất lượng, cập nhật chậm Những đối tượng không có khả năng phát hiện lỗi, cũng như không có khả năng phát triển công cụ cũng tham gia từ thời điểm này, khiến việc phát tán và tìm đến những cỗ máy có hệ thống bảo mật yếu kém nhanh hơn rất nhiều Khi số lượng kẻ tham gia tấn công tăng lên, động cơ và phương thức tấn công cũng đa dạng hơn chứ không thể chỉ thuần túy là len lỏi và trộm cắp nữa

2.2 Hệ thống Webserver hiện tại

Sơ đồ mạng Viện Đại hoc Mở Hà nội

2.2.1 Hệ thống tại FPT DataCenter

Hiện nay, Viện đang thuê chỗ đặt server trên FPT DataCenter gồm 2 cụm:

- Cụm 1: WebServer (Webbsite của Viện - Joomla)

- Cụm 2: Elearning (Trung tâm Elearning – chứa các máy chủ ảo gồm các ứng

dụng: LMS, EBS, Storage, Database vv )

Là một đơn vị đi đầu trong lĩnh vực cho thuê máy chủ và chỗ đặt nên FPT có những giải pháp bảo mật và an toàn thông tin cho khách hàng rất hiệu quả Do đó trong khuôn khổ đề tài này, xin phép không đề cập đến vấn đề của 02 cụm thiết bị nói trên

Tất nhiên, FPT bảo mật toàn bộ hệ thống, còn website và các ứng dụng phục vụ cho Elearning chúng ta vẫn phải chủ động bảo mật những vấn đề nằm ngoài quyền kiểm soát của FPT Đó là, bảo mật phần hệ thống và nội dung bên trong

2.2.2 Hệ thống tại HOU

2.2.2.1 Các vấn đề ảnh hưởng đến công tác bảo mật

Hình 2.1: Một số vấn đề ảnh hưởng đến công tác bảo mật và ATTT

Chính sách: Mặc dù đã có những chủ trương về bảo mật và an toàn hệ thống thông

tin của toàn Viện, nhưng do một số yếu tố khách quan do đó việc thực hiện xây dựng một

hệ thống bảo mật thông tin chưa được quyết liệt và kịp thời Điều này được thể hiện rõ ở chỗ: Viện chưa có quy chế thưởng phạt đối với các cá nhân có nhiệm vụ và chức năng trong việc tự chủ bảo mật và an toàn thông tin dữ liệu làm việc Ngoài ra, Viện cũng chưa

tổ chức cho cán bộ chuyên trách học tập và cập nhật các kiến thức về bảo mật và an toàn thông tin cũng như chưa có nhiều các cuộc hội thảo về an toàn thông tin Hàng năm,

Trung tâm Công nghệ Thông tin cũng đã được tham gia một số cuộc hội thảo về an toàn thông tin do IDG và Bộ Công an tổ chức nhưng cũng chỉ tiếp được ở trên khía cạnh vĩ mô mang tính quản lý nhiều hơn Các kiến thức vi mô mang tính thực thi vào công việc cụ thể thì cũng chưa được đón nhận từ các hội thảo trên

Con người: Hiện nay, có thể nói rằng Viện chưa có một đội ngũ chuyên trách về

vấn đề bảo mật và an toàn thông tin Nòng cốt chủ yếu là các anh em trong Trung tâm Công nghệ Thông tin tự tìm tòi và xử lý các sự cố của hệ thống ghi mắc phải Cán bộ của Trung tâm cũng đã nâng cao năng lực chuyên môn nhưng chuyên môn đúng bảo mật và

an toàn thì không phải do đó năng lực chuyên môn sâu về lĩnh vực này còn hạn chế Ngoài ra, các cá nhân sử dụng các thiết bị trong Viện chưa nâng cao tinh thần trách nhiệm

về bảo vệ chính dữ liệu của mình Các máy tính cá nhân của Viện tại các Khoa, phòng, trung tâm thường xuyên bị virus chiếm các cổng kết nối gây ra trạng thái overload hệ thống Thêm nữa các cán bộ chuyên trách tại các đơn vị cũng ít trao đổi các vấn đề quan tâm có liên quan đến bảo mật và an toàn thông tin Ở các Khoa chuyên ngành có thuê địa điểm và đường truyền Internet riêng thì hiện tại vẫn chưa có cán bộ chuyên trách phụ trách vấn đề bảo mật và an toàn thông tin tại cơ sở

Hệ thống: Do đặc thù của Viện, từ những năm 2006 đến nay, Viện liên tục nâng

cấp và mua sắm thêm rất nhiều trang thiết bị mạng và đầu tư thêm nhiều đường truyền

Do việc mua sắm dần dần như vậy nên một số thiết bị được mua sắm thời gian đầu nay đã lỗi thời và không còn đủ khả năng đáp ứng cho hệ thống mới Từ khi toàn Viện chỉ có khoảng 100 đầu máy kết nối đến thời điểm hiện tại số thiết bị kết nối thường xuyên lên đến con số 300 bao gồm các máy máy tính để bàn, các thiết bị cầm tay vv Mặc dù đã nâng cấp đường truyền, máy chủ định tuyến và hệ thống wifi mới nhưng vẫn không đủ đáp ứng cho nhu cầu hiện nay của Viện Một lý do nữa xảy ra đối với Viện đó là sự phân tán các đơn vị trong Viện, do đó để đáp ứng được các vấn đề về bảo mật và an toàn thông tin tại các đơn vị là rất khó khăn

Phần mềm: Từ năm 2006 đến nay, Viện liên tục đầu tư xây dựng các phần mềm

ứng dụng trong công tác quản lý và đào tạo, các website của các Khoa, Phòng, Trung tâm Hiện tại hệ thống của Viện có tới 08 ứng dụng web và có tới gần 50 website Do kinh phí hạn hẹp nên đa phần các ứng dụng web chủ yếu là do cán bộ trong Viện tự xây dựng còn các hệ thống mạng, website chủ yếu được xây dựng từ hệ thống mã nguồn mở Do đó, khả năng bảo mật và an toàn sẽ không đạt được mức độ như kỳ vọng Hiện nay, Viện chỉ

có một máy chủ duy nhất thực hiện nhiệm vụ firewall cho toàn bộ hệ thống Trong khi, hệ

thống của Viện cần một số các phần mềm chống truy cập bất hợp pháp và các phần mềm diệt virus Do vậy, Trung tâm Công nghệ Thông tin chủ yếu bảo mật bằng cách cấu hình tốt nhất để tránh rủi ro trong khi vận hành hệ thống

2.2.2.2 Các giải pháp giải quyết vấn đề

Do các vấn đề còn tồn tại đã nêu ở trên, dưới đây xin phép đề xuất một số giải

pháp mang tính tổng thể (để tham khảo) nhằm xây dựng và phát triển một hệ thống đảm

bảo mức độ bảo mật và an toàn thông tin trong toàn Viện Tất nhiên trong khuôn khổ của

đề tài này, nhóm tác giả sẽ sử dụng một trong các giải pháp nêu dưới đây để xây dựng một hệ thống bảo mật trên cơ sở các phương tiện thiết bị và nguồn nhân lực sẵn có

Hình 2.2: Đề xuất giải pháp tổng thể

2.2.2.3 Thực trạng bảo mật

Kiểm tra, đánh giá lỗ hổng bảo mật hệ thống website là công việc khó khăn, tỉ mỉ Đòi hỏi người đánh giá phải có kiến thức về an toàn bảo mật nói chung và các kiến thức

về bảo mật hạ tầng mạng, hệ thống máy chủ và các ứng dụng để có thể kiểm tra, rà soát

và chỉ ra được các lỗ hổng đang tồn tại trên hệ thống Đồng thời đánh giá được mức độ

tác động, rủi ro có thể xảy ra đối với từng lỗ dựa những bối cảnh khác nhau (về diễn biến

thực tế, lĩnh vực hoạt động, như ngân hàng, tài chính, giáo dục…) Trên cơ sở đó, người

đánh giá hoàn toàn có thể định lượng được mức độ rủi ro (dựa trên kiến thức và kinh

nghiệm của mình) một cách tương đối chính xác

Thực tế, khi đánh giá về an toàn bảo mật cho hệ thống website người ta có thể lựa chọn và kiểm tra, đánh giá theo một trong ba phương pháp là: đánh giá theo hộp đen

(back box), theo hộp trắng hoặc theo hộp xám (grey box)

Phương pháp kiểm tra hộp đen: các lỗ hổng bảo mật của website được tiến hành kiểm tra từ bên ngoài, phía giao diện người dùng Tức là quan sát các dữ liệu được chuyển đến hệ thống và kết quả dữ liệu mà hệ thống xuất ra để biết mã nguồn hay hệ thống bên trong Quá trình chuyển dữ liệu từ bên ngoài đến ứng dụng có thể thực hiện bằng thủ công hoặc sử dụng công cụ tự động Phương pháp này có ưu điểm là hoàn toàn dựa trên quan điểm kẻ tấn công nên có thể bám sát thực tế hơn Nhưng nhược điểm của

nó là khó thiết kế kịch bản kiểm tra hoàn hảo Do đó, rất khó để xác định tất cả các dữ liệu đầu vào, kể cả khi sử dụng các công cụ tự động đắt tiền Những bộ công cụ có tính

năng và độ chính xác cao như Appscan (IBM) hoặc Acunetix được hiện nay được bán tới

vài chục đến hàng trăm nghìn USD Những phiên bản có tính năng cơ bản cũng đã có giá vài nghìn USD/1 năm Những tổ chức không chuyên về dịch vụ bảo mật rất khó có thể nghĩ tới chuyện sở hữu những bộ công cụ như trên

Phương pháp kiểm tra hộp trắng: các lỗ hổng bảo mật trên website là kiểm tra, phân tích, tìm kiếm lỗi trực tiếp trên mã nguồn của ứng dụng hay hệ thống máy chủ Phương pháp này thường được thực hiện bởi nhà phát triển hay những những người sở hữu tài khoản quản trị hệ thống Đây là phương pháp cho kết quả tốt nhất Nhưng đòi hỏi người kiểm tra phải có kiến thức chuyên sâu về lập trình ứng dụng, về mạng máy tính và

hệ thống máy chủ Phương pháp này đòi hỏi chi phí về thời gian và tài chính rất cao

Phương pháp kiểm tra hộp xám (Grey box) là sự kết hợp giữa hai phương pháp

kiểm tra Black Box và White Box Phương pháp kiểm tra này được sử dụng để kiểm tra khi người đánh giá không biết nhiều thông tin về thống Nghĩa là, họ không phải là những người thiết kế và xây dựng hệ thống Có thể họ chỉ được biết về tài liệu thiết kế, được truy cập CSDL, có quyền quản trị admin

Qua phân tích một số ưu và nhược điểm của mỗi phương pháp đánh giá trên Nhóm chủ trì đề tài quyết định lựa chọn phương pháp đánh giá hộp xám để tiến đánh giá cho hệ thống website mà đề tài đang hướng đến Cách thức đánh giá được cụ thể hoá trong mô hình:

có quyền root

Cao Tác động:

Cần kiểm soát tốt các tài khoản trên hệ thống về loại tài khoản, quyền được cấp Đối hệ thống có nhiều hơn một tài khoản có đặc quyền root, nguy cơ bị chiếm quyền điều hệ thống sẽ tăng cao

Khuyến nghị:

Nếu thấy có bất kể một dòng nào khác

“root:x:0:0:root:/root:/bin/bash” thì cần xoá đi Phân quyền

tệp tin và thư

mục

Chưa chính xác cao

Trung bình

Tác động:

Việc phân quyền các thư mục không chặt chẽ sẽ tiềm ẩn nguy cơ, những người không đủ thẩm quyền nhưng vẫn có thể được đọc, ghi hoặc thực thi Điều này có thể dẫn đến rủi ro bị lộ thông tin, thay đổi trái phép cấu hình hoặc thực thi mã độc trên hệ thống

Nên thiết lập quyền: 600

- Hiện tại tệp tin access.conf được cấp quyền 644

Nên thiết lập quyền 600

- Hiện tại tệp tin httpd.conf được cấp quyền 644

Nên thiết lập quyền 600 Apache có

chạy với

quyền root

không?

Chưa cấu hình bảo mật

Cao Tác động:

Nếu apache được chạy với quyền root Trong trường

hợp máy chủ bị thoả hiệp (hacker thường dùng

backdoor) qua lỗ hổng apache kẻ tấn công có thể có

được đặc quyền root

Khuyến nghị:

User apache Group apache Hướng dẫn

Vô hiệu hoá

các SymLinks

Chưa cấu hình bảo mật

Cao Tác động:

SymLinks: là đường dẫn mềm (đến các tệp tin), nếu

người dùng gọi tệp tin trong đường dẫn “cứng” không có thì nó có thể sử dụng đường dẫn mềm để lấy tệp tin ở một thư mục khác Đây được coi là lỗ hổng bảo mật trong trường hợp gọi phải một tệp tin

mã độc, hoặc gọi những tệp tin hợp pháp nhưng thuộc loại tệp tin yêu cầu tính bí mật

Khuyến nghị:

FollowSymLinks , SymLinksIfOwnerMatch được

điều chỉnh trong thư mục httpd.conf Ví dụ:

<Directory>