Bất kể kẻ tấn công đang trực tiếp liên quan đến công việc hay không thì các cuộc tấn công trên mạng như vậy đang trở nên đa dạng nó có thể có để lại một số tác động ngay cả khi kẻ tấn cô
Trang 1Báo cáo: Kỹ năng bảo mật
Tấn công mạng
và phòng thủ
Trang 2MỤC LỤC
C H A P T E R 1
Network Attack and Defense 1
18.1 Introduction(Giới Thiệu) 1
18.1.1 The Most Common Attacks(Các vụ tấn công thường gặp) 1
18.2 Vulnerabilities in Network Protocols 4
18.2.2 Attacks Using Internet Protocols and Mechanisms 5
18.2.2.1 SYN Flooding(Tấn công từ chối dich vụ SYN) 6
Figure 18.1 TCP/IP handshake 6
18.2.2.2 Smurfing 6
18.2.2.4 Spam and Address Forgery 8
18.2.2.5 Spoofing Attacks 8
18.2.2.6 Routing Attacks 9
18.3 Defense against Network Attack: (Bảo vệ chống lại tấn công mạng) 9
18.3.1 Configuration Management : (Quản trị cấu hình) 9
18.3.2.1 Packet Filtering 11
18.3.2.2 Circuit Gateways: 12
18.3.2.4 Ingress versus Egress Filtering: (Xâm nhập cổng ra của bộ lọc) 13
18.3.3 Strengths and Limitations of Firewalls: (Ưu điểm và nhược điểm của firewall) 13
Figure 18.2 Multiple firewalls 14
18.4.1 Early History of Malicious Code 18
18.4.3 Recent History: 19
Virus lây nhiễm theo cách cổ điển 21
Virus lây nhiễm qua thư điện tử 21
Phương thực lây nhiễm qua thư điển tử bao gồm: 21
Virus lây nhiễm qua mạng Internet 22
18.4.5 Cách phòng chống Virus, Worm và ngăn chặn các tác hại của nó 22
Sử dụng phần mềm diệt virus 22
Sử dụng tường lửa 23
Cập nhật các bản sửa lỗi của hệ điều hành 23
Vận dụng kinh nghiệm sử dụng máy tính 23
Bảo vệ dữ liệu máy tính 24
Research Problems: 26
Further Reading: 26
Trang 3C H A P T E R
18
Network Attack and Defense
(Tấn Công Mạng Và Cách Phòng Chống)
Mọi người đều nghĩ rằng vấn đề bảo mật hệ thống mạng có thể được giải quyết bằng
cách sử dụng mật mã học mà không hiểu vấn đề chính trong việc mã hóa là gì!
18.1 Introduction(Giới Thiệu)
Bảo mật mạng Internet đang là một lĩnh vực phát triển nhanh chóng , các cuộc
tấn công được bắt trên các đường truyền có thể thay đổi ý nghĩa Bất kể kẻ tấn
công đang trực tiếp liên quan đến công việc hay không thì các cuộc tấn công
trên mạng như vậy đang trở nên đa dạng nó có thể có để lại một số tác động ngay
cả khi kẻ tấn công chỉ sử dụng đánh cắp để lưu giữ những nạn nhân cũng làm giatăng nghiêm trọng về mối đe dọa về an toàn thông tin Vấn đề là, một số kiến
thức về chủ đề này đang rất cần thiết cho các kỹ sư bảo mật
Một số lĩnh vực mới chẳng hạn như một hệ thống mạng có thể được bảo vệ bởi
việc mã hóa và hệ thống tường lửa.Nơi an toàn để bắt đầu những khái niệm có
thể được xem xét từ các cuộc tấn công phổ biến nhất.(Tuy nhiên có rất nhiều cuộctấn công được trình bày trên các phương tiện truyền thông như việc tấn công
mạng khi mà kẻ tấn công đang thực sự thực hiện bằng nhiều cách tấn công
truyền thống Một ví dụ như là : bị rò rỉ thông tin của các email từ các văn
phòng của thủ tướng Anh, và bước đầu đổ lỗi cho tin tặc Khi các thông tin đó bị
lộ ra, các email đã được tìm ra trong của cuộc thăm dò dư luận bởi một thám
tử tư được gọi là Benji the Binman, người đã đạt được nhiều thành tựu nổi tiếng.)
18.1.1 The Most Common Attacks(Các vụ tấn công thường gặp)
Nhiều cuộc tấn công thực tế liên quan đến các lỗ hổng của hệ thống mạng Ví dụ chúng ta có thể nhìn thấy từ đề tài bao gồm các cuộc tấn công tràn bộ nhớ đệm và đoán mật khẩu,cả hai đều được thực hiện bởi các loại virus phát tán trên mạng
internet
Một chiến lược phổ biến là để có được một tài khoản của bất kỳ đối tượng nào trên mạng thì kẻ tấn công phải cài đặt một phần mềm password sniffer để có được một tài
Trang 4khoản trên máy tính nạn nhân, sau đó kẻ tấn công sử dụng phương pháp tấn công tràn
bộ đệm vào máy nạn nhân và lấy cắp tài khoản gốc
Dưới đây là danh sách 10 lỗ hổng bảo mật hàng đầu:
1 Một tấn công tràn bộ đệm trên chương trình BIND, kẻ tấn công sử
dụng nhiều Hệ Điều Hành Unix và Linux làm máy chủ DNS và cho phép truy cập tài khoản máy chủ
2 Các chương trình CGI trên các máy chủ Web, thường được cung cấp bởi các nhà cung cấp như các chương trình mẫu và không loại bỏ Lỗ hổng của chương trình CGI đang được tin tặc dễ dàng vượt qua và không đươc bảo vệ cho các máy chủ
3 Cuộc tấn công tràn bộ đệm sử dụng cơ chế điều khiển từ xa (RPC), kẻ tấn công
sử dụng nhiều hệ điều hành Unix and Linux để làm máy chủ và nó cho phép những kẻ xâm nhập truy cập tài khoản ngay lập tức(Các cuộc tấn công này đã được sử dụng bởi hầu hết các tấn công từ chối dịch vụ được đưa ra trong năm
1999 và đầu năm2000)
4 Lỗi Internet Information Server (IIS) của hãng Microsoft trên máy
chủ Webserver đã cho phép truy cập tới một tài khoản administrator trên máy chủ
5 Lỗi trong sendmail, các chương trình mail phổ biến nhất trên hệ điều hành Unix
và Linux Rất nhiều lỗi đã được tìm thấy trong sendmail trong những năm qua,
và đã có nhiều công bố do CERT năm 1988 Một trong những lỗ hổng gần đây
có thể được sử dụng bị sử dụng để làm máy tính nạn nhân gửi tập tin mật khẩu của mình cho những kẻ tấn công, sau đó những kẻ tấn công có thể cố gắng để giai mã nó
6 Một tấn công tràn bộ đệm vào hệ điều hành Sun’s Solaris đã cho phép những
kẻ xâm nhập truy cập vào tài khoản admin ngay lập tức
7 Tấn công trên NFS và tương tự trên các hệ thống máy chủ UNIX và
MACINTOSH,và sử dụng các cơ chế để share dữ liệu trong mạng cục bộ
8 Đoán các usernames and passwords,đặc biệt ở đây các password root và admin không đảm bảo an toàn hoặc là hệ thống đang gửi passwords mặc định mà các máy nạn nhân không bận tâm thay đổi nó
9 Các giao thức IMAP and POP cho phép điều khiển từ xa đến email nhưng nó thường được cấu hình sai cho phép kẻ đột nhập có thể truy cập vào
10 Sự yếu kém của viec chứng thực trong giao thức SNTP do các nhà quản trị mạng để quản lí tất cả các thiêt bị kết nối đến thiết bị.Giao thức SNTP sử dụng password mặc định và đã bị các tin tặc đánh cắp và thay đổi password
Chú ý rằng các cuộc tấn công không bị dừng lại ở cấp độ mã hóa và không phải tất cả các máy đều sử dụng tường lửa.Ví dụ các lỗ hỗng của máy chủ Web Server có thể được đặt cách xa các hệ thống kinh doanh bằng cách đặt chúng bên ngoài tường lửa nhưng chúng vẫn có thể bị mở để phá hoại và nếu hệ thống tường lửa chạy trên hệ điều hành đã bị lỗ hỗng thì sau đó các kẻ tấn công có thể tìm cách để vượt qua nó
Trang 5Mặc dù một số các cuộc tấn công có thể đã được sữa lỗi lỗ hổng theo thời gian trong quyển sách Network Attack and Defense này đang được xuất bản , các mô hình cơ bản tương đối ổn định.Hầu hết đều khai thác lỗi trong các chương trình ,trong đó phần lớn là lỗ hổng tràn bộ nhớ đệm Viêc khai thác lỗ hổng trong các giao thức(giống như NFS) với mật khẩu yếu là nơi thuận lợi cho các tin tặc.
Trong thực tế thì lỗ hổng đang là cuộc đua của những cuộc tấn công ,kẻ tấn công thử
để tìm thấy sự sơ hở từ lỗ hổng và các nhà cung cấp sẽ phát triển các bản vá lỗi của những tin tặc.Những kẻ tấn công có khả năng có thể tìm thấy những lỗi từ lỗ hổng cho mình và giữ im lặng về chúng,nhưng nhiều bản báo cáo xoáy xung quanh việc khai thác lỗ hổng của tin tặc rằng chùng không chỉ có kiến thức tốt am hiểu về mạng mà còn sử dụng rất nhiều công cụ có sẵn trên mạng
18.1.2 Skill Issues: Script Kiddies and Packaged Defense
Một trong những thay đổi của nền văn minh được truyền tải trên mạng cho đến gần đây các cuộc tấn công tinh vi trên thông tin liên lạc đã cơ bản được chính phủ
vệ.Ngày nay chngs ta tìm thấy không phải là các cuộc tấn công đánh hơi password mà còn những cuộc tấn công để tìm thấy sự thích thú trong thiếu niên thời nay Sự ccaanf thiết ở đây là mọi người nếu khai thác được lỗi trong các phần mềm thì sau đó gửi các lỗi đó vào các trang web như www.rootshell.com, từ đó mọi nguwoowif có thể tải
về và sử dụng nó Những điều khoản này chủ yếu đề cập đến giới trẻ ,những người sử dụng các cuộc tấn công đã chỉnh sửa từ những tin tặc khác,nó cũng có nghĩa là bất kì người nào cũng có thể tải và sử dụng các công cụ tấn công dù không hiểu gì về tấn công.Khi hệ thống càng bảo mật phức tạp thì ngay cả những kẻ tấn công tinh vi hay cánhân nào cũng theo kịp với sự khai thác các lỗ hổng tù các hệ điều hành và các giao thức mạng.Trong thực tế thì những tin tặc đang bị đào tạo tay nghề cao trong khi việc bảo vệ đang ngày khó khăn cho các nhà quản trị mạng
Kĩ năng cũng là 1 yếu tố quan trọng trong việc bảo vệ.Một số tổ chức như công
ty máy tính, trường đại học lớn, và các cơ quan tình báo quân sự, họ có những
người biết làm thế nào để theo dõi những gì đang xảy ra và điều chỉnh việc bảo vệ hệ thống một cách thích hợp Nhưng hầu hết các công ty đều dựa trên sự kết hợp của các tiêu chuẩn sản phẩm và dịch vụ Các sản phẩm bao gồm tường lửa, quét virus, và các hệ thống phát hiện xâm nhập, các dịch vụ thường được cung cấp dưới dạng tập tin cấu hình mới cho các sản phẩm này Theo những cách này, lỗ hổng sẽ trở nên tập trung Một kẻ tấn công có thể làm việc trong một hệ thống bị đánh sụp được bán rộng rãi, có một loạt các mục tiêu để hướng đến hệ thống
Bây giờ chúng ta sẽ xem xét một số cuộc tấn công cụ thể và cơ chế bảo vệ Hãy nhớ rằng đây là cuộc tấn công quan trọng nhất là tấn công ghi đè lên bộ nhớ đệm và quan trọng thứ hai là đoán mật khẩu, nhưng vì đã được giới thiệu trong chương 4 và trong các chương 2-3 nên sẽ giới thiệu tiếp theo: lỗ hổng trong giao thức mạng
Trang 618.2 Vulnerabilities in Network Protocols
(Lỗ hổng trong giao thức mạng)
Các điều hành thường được sử dụng như Unix và NT được vận hành với phạm
vi rất lớn của các dịch vụ mạng, nhiều hệ điều hành trong số đó đang cho phép kích hoạt mặc định, hoặc vận hành với các cấu hình sẵn làm cho "plug and play" dễ
dàng cho những kẻ tấn công giống như người dùng hượp pháp Chúng ta sẽ xem xét ở
cả hai mạng cục bộ và các vấn đề Internet; một chủ đề chung đó là các phương
pháp ánh xạ (giữa các địa chỉ IP, tên tập tin, vv) cung cấp rất nhiều các điểm yếu
Cuốn sách này không phải là một nơi thích hợp để giải thích các giao thức mạng, vì vậy chúng tôi cung cấp một bản tóm tắt điện tín, như sau: các giao thức mạng
Internet (IP) là một giao thức truyền dữ liệu không điều kiện mà nó vận chuyển gói tin từ một máy khác, nó sử dụng địa chỉ IP gồm 32-bit ,nó thường được
viết giống bốn số thập phân trong khoảng từ 0-255 , như 172.16.8.93 Hầu hết
các dịch vụ mạng đều sử dụng một giao thức được gọi là giao thức TCP, nằm
trên phân lớp trên IP, và cung cấp đường giao thông trên mạng bằng cách phân
chia luồng dữ liệu vào các gói IP và ghép nó vào cuối gói dữ liệu, yêu cầu này lặp đi lặp lại của bất kỳ các gói dữ liệu bị mất.Địa chỉ IP phục được chuyển đổi thành địa chỉ quen thuộc bằng cách sử dụng các hệ thống tên miền(DNS), dich vụ DNS phân phối tên miền cho các server cao cấp đến các server cục bộ của hệ thống tên miền đặc biệt.Mạng cục bộ chủ yếu là sử dụng chuẩn Ethernet, trong đó thiết bị của mạng cục
bộ có địa chỉ mạng duy nhất, nó ánh xạ tới các địa chỉ IP sử dụng giao thức phân giải địa chỉ (ARP)
Có nhiều thành phần khác trong bộ giao thức sử dụng để quản lý thông tin liên
lạc và cung cấp dịch vụ cao cấp hơn Hầu hết trong số các bộ giao thức đã được phát triển trong những ngày trước thì chỉ tin cậy vào hệ thống máy chủ, và mối quan tâm không phải là vấn đề về an ninh Vì vậy, có rất ít các hệ thống chứng thực được xây dựng và nỗ lực để khắc phục lỗi này với việc giới thiệu thế hệ tiếp theo
của IP (IPv6) có thể sẽ mất nhiều năm
18.2.1 Attacks on Local Networks(Tấn Công Trên mạng cục bộ)
Hãy giả sử rằng kẻ tấn công là một trong những nhân viên của bạn, kẻ tấn công đã cómột máy thuộc mạng LAN của bạn, và muốn vượt qua một tài khoản bằng tên củangười khác để lấy cắp thông tin Sau khi thu thập dữ liệu cần thiết để truy cập vàomạng, kẻ tấn công có thể cài đặt gói phần mềm đánh hơi (sniffer) để thu thập mậtkhẩu , nhận được mật khẩu admin, và tạo mới một tài khoản hợp lệ Tuy nhiên, nếunhân viên của bạn sử dụng chương trình tạo mật khẩu hay cẩn thận chỉ sử dụng mộtmật khẩu root tại bàn phím của máy đó được phép áp dụng ,thì sau đó nó sẽ dễ bị tintặc tấn công
Trang 7Một cách để tin tặc tiếp cận mạng cục bộ là cố gắng thử giả mạo như là một người dùng máy tính hợp lệ mà đối tượng người sử dụng dùng để đăng nhập Hệ thống
ARP là một trong những mục tiêu tốt bằng cách tin tặc sẽ chạy những đoạn mã lệnh phù hợp, những kẻ tấn công có thể đưa ra câu trả lời sai cho thông báo của hệ
thống ARP và xin thông tin yêu cầu từ phía các máy nạn nhân Các máy tính người dùng có thể nhận thấy nếu cảnh báo trước ,nhưng các kẻ tấn công luôn có thể chờ đợi cho đến khi là tải dữ liệu hoặc lấy nó xuống bằng cách sử dụng một cuộc tấn côngkhác Một khả năng là các kẻ tấn công sẽ sử dụng mặt nạ mạng con
Ban đầu, địa chỉ IP đã sử dụng 3 byte đầu tiên để xác định phân chia giữa các địa chỉ mạng và địa chỉ máy chủ Bây giờ IP được hiểu là địa chỉ mạng,mạng con, và địa chỉ máy chủ , với địa chỉ mạng con là 1 hằng số Máy cục bộ khi khởi động sẽ gửi một yêu cầu nhận subnet mask,và nó sẽ nhận bất kỳ địa chỉ subnet mask nhận
được Vì vậy bằng cách gửi một subnet mask phù hợp thì máy cục bộ có thể bị kẻ tấncông triệt tiêu
Một phương pháp khác, nếu một công ty sử dụng hệ thống Unix,thì hệ thống tệp tin mạng (NFS) sẽ là các chuẩn phổ biến để chia sẻ tập tin trên hệ thống Unix Điều này cho phép một số máy cục bộ sử dụng một ổ đĩa mạng như là một ổ đĩa cục bộ,vì vậy nó sẽ có một số lỗ hổng bảo mật để tin tăc tấn công những máy cục bộ đang trên cùng một mạng LAN Khi một ổ đĩa đang được xác lập, thì các máy client gửi một file yêu cầu đến máy chủ xử lí, trong đó client đề cập đến đường dẫn các thư mục gốc của hệ thống tập tin đang xác lập Yêu cầu này không phụ thuộc vào thời
gian, hoặc số lượng máy chủ và không thể bị hủy bỏ Nó không có cơ
chế cho mỗi người dùng truy cập hay chứng thực do vậy các máy chủ phải tin
tưởng một máy client hoàn toàn hoặc không tin tất cả Ngoài ra,máy chủ
NFS thường trả lời yêu cầu từ một card mạng khác để một card mạng trong chúng có nhiệm vụ trả lời các yêu cầu đến tiếp theo Vì vậy nó có thể đợi cho đến khi một quản trị mạng có đăng nhập vào một tập tin của máy chủ, sau đó sẽ ghi đè lên các tập
tin password Vì lý do này, nhiều trang web sử dụng phương án thay thế hệ thống tập tin , chẳng hạn như NFS
18.2.2 Attacks Using Internet Protocols and Mechanisms
(Tấn công sử dụng giao thức mạng và các cơ chế)
Vấn đề cơ bản chuyển giao thức đến trang web là giống nhau ,chúng không có việc
chứng thực hay bảo vệ bí mật trong hầu hết các cơ chế Điều này thể hiện đặc
biệt ở giao thức TCP / IP
Xét ví dụ : Cách bắt tay ba bước được sử dụng bởi Alice để bắt đầu một kết
nối TCP đến Bob và để thiết lập các số thứ tự thể hiện trong hình 18.1
Giao thức này có thể bị khai thác trong một số ngẫu nhiên bằng nhiều cách khác
nhau Bây giờ việc tấn công chối dịch vụ(DOS) ngày càng trở nên thực sự quan
trọng, chúng ta hãy bắt đầu với các cuộc tấn công từ chối dịch vụ đơn giản: SYN
Flooding
Trang 818.2.2.1 SYN Flooding(Tấn công từ chối dich vụ SYN)
Các cuộc tấn công từ chối dịch vụ SYN chỉ đơn giản là sẽ gửi một số lượng lớn các gói tin SYN và không bao giờ thừa biết bất kỳ câu trả lời nào Điều này dẫn
đến người nhận (Bob, trong hình 18,1) sẽ nhận nhiều gói tin SYN hơn phần mềm của mình có thể xử lý các gói tin đó Kiểu tấn công này đã được biết đến là về mặt lý thuyết có thể từ những năm 1980, nhưng tấn công này được sự chú ý của công chúng rất nhiều vào năm 1996
Figure 18.1 TCP/IP handshake
B1 The client requests a connection by sending a SYN ( synchronize ) message to the server (Client yêu cầu kết nối bằng cách gửi 1 gói SYN đến server)
B2 The server acknowledges this request by sending SYN ACK back to the client.(Server gởi lại gói SYN ACK chấp nhận cho client)
B3 The client responds with an ACK , and the connection is established
(client trả lời gói ACK và kết nối)
18.2.2.2 Smurfing
Một kiểu tấn công khác được biết đến đó là tấn công từ chối dịch vụ Smurfing
Phương pháp tấn công này được khai thác tù giao thức mạng ICMP cho phép người
dùng gửi một gói tin ICMP echo request đến một máy chủ từ xa để kiểm
tra xem nó còn sống hay không Vấn đề phát sinh với các địa chỉ phát sóng được chia
sẻ bởi một số máy Một số triển khai của các giao thức Internet trả lời ping đến địa chỉcủa cả hai và phát địa chỉ địa phương của họ (ý tưởng là để thử nghiệm một mạng LAN để xem những gì còn sống) Vì vậy, cácgiao thức cho phép cả hai loại havior-được trong các bộ định tuyến Một bộ sưu tập của chủ nhà ở một địa chỉ phát
sóng phản ứng theo cách này được gọi là bộ khuếch đại smurf
Kẻ tấn công đang xây dựng một gói tin với địa chỉ IP nguồn giả mạo là địa chỉ IP của máy nạn nhân , và gửi đến một số các bộ khuếch đại smurf Các máy nạn nhân
sẽ trả lời lại (nếu còn sống) bằng cách gửi một gói tin cho kẻ tấn công và máy nạn nhân có thể bị sụp bẫy của kẻ tấn công bằng các gói dữ liệu hơn là nó có thể tự bảo
vệ Smurfing thường được sử dụng bởi một số kẻ tấn công muốn vượt qua hệ thống máy chủ Internet relay chat(IRC) ,vì vậy kẻ tấn công có thể nắm quyền kiểm
Trang 9soát trong phòng chat Việc đổi mới đã được tự động khai thác một số lượng lớn từ các máy "vô haị " trên mạng để tấn công đến các nạn nhân
Một phần của biện pháp đối phó là kỹ thuật: Thay đổi các tiêu chuẩn giao
thức trong Tháng 8 năm 1999 để các gói tin ping được gửi đến một địa chỉ quảng bá trong toàn mạng mà không cần trả lời [691] Cách thực hiện như vậy làm cho số lượng các bộ khuếch đại smurf trên mạng Internet là liên tục giảm xuống Phần khác làkinh tế xã hội: các trang web như www.netscan.org sản xuất một danh mục các bộ khuếch đại smurf Các nhà quản trị mạng giỏi sẽ đưa thiết bị mạng của họ vào đó và sửa chữa chúng trong khic đó các nhà quản trị yếu kém biếng sẽ thấy rằng những kẻ xấu đã chiếm sử dụng băng thông của mình quá nhiều vì vậy họ sẽ bị ép vào các vấn
đề phải sửa chữa
18.2.2.3 Distributed Denial-of-service Attacks: Tấn Công Từ Chối dich vụ
Một sự phát triển cùng với sự xuất hiện của nó vào tháng 10 năm 1999.Đây là 1 cuộc tấn công từ chối dịch vụ (DDOS).Thay vì ket tấn công khai thác lỗi cấu hình ở các chương trình giống Smurfing thì kẻ tấn công đồng loạt tấn công từ nhiều nơi trên mạng kẻ tấn công đã cài đặt sẵn các phần mềm tấn công và tại 1 thời điểm hứa hẹn trước đồng loạt cùng tấn công vào trang web bằng cách gửi liên tục các tin nhắn đến máy chủ nên rất khó chống đỡ.Do vậy hệ thống bị tấn công sẽ qua tải và không thể hoạt động được nữa
Cho đến nay, các cuộc tấn công DDoS đã được triển khai tấn công tại một số các trangweb cao cấp bao gồm trang Amazon và Yahoo Kẻ tấn công có thể làm gây gián đoạnnhiều hơn là chúng ăn cắp thông tin vì kẻ tấn công có thể nhắm vào mục tiêu là dịch
vụ như DNS do đó làm hệ thống mạng Internet tại các web này không thể hoạt độngđược nữa.Giống như một cuộc chiến tranh thông tin có thể được dự kiến từ trước và
nó cũng có thể là một hành động phá hoại của một cá nhân nào đó.Các máy thườngđược sử dụng phần mềm như là máy chủ cho các cuộc tấn công vào đầu năm 2000 đãđược đưa lên các trang website của Mỹ Mỗi tran web có các lỗ hổng bảo mật nhấtđịnh vì FDA đã nhấn mạnh rằng hệ thống Unix được chứng thực cho các mục đíchnhất định và cấu hình sẵn bên trong Một khi lỗi đã được phát hiện tại hệ thống thì hệthống sẽ tự động gửi đến máy chủ phần mềm đang tấn công này
Tại thời điểm này thì các ý tưởng chống lại cuộc tấn công DDOS đang được tiến hànhbằng cách thêm giao thức thông báo điều khiển mạng internet (ICMP)vào thông điệptrong kiến trúc hạ tầng mạng
Ý tưởng là bất cứ khi nào một router gửi một gói tin IP thì hệ thống cũng sẽ gửi mộtgói tin ICMP đến đích với một khả năng xác suất trong khoảng 1 trong 20.000 gói tin.Các gói tin sẽ bao gồm chi tiết của các đường truyền trước đây,các đường truyền kếtiếp, và càng nhiều các gói dữ liệu sẽ khớp nhau Nhà quản trị hệ thống mạng sau đó
sẽ có trách nhiệm theo dõi các cuộc tấn công từ chối dịch vụ trở lại Ngay cả khinhững kẻ tấn công sử dụng địa chỉ IP nguồn giả mạo để bao phủ máy tính của kẻ tấncông [93] Hệ thống cũng có thể giúp bắt giữ kẻ tấn công gửi thư rác với quy mô
Trang 10lớn ,thông điệp không phải được gửi từ địa chỉ email và do giao thức SMTP đượcthiết kế để cung cấp dịch vụ.
18.2.2.4 Spam and Address Forgery
(Tấn công bằn thư rác và giả mạo địa chỉ)
Các dịch vụ như email và Web (SMTP và HTTP) thường kém độ an toàn về bảo mật.Cách tốt nhất để tìm tên máy với một địa chỉ IP thì sử dung dịch vụ phân giải tên miềnDNS Vì vậy kẻ tấn công có thể lạm dụng lỗ hổng này để giả mạo địa chỉ IP Ví dụ phổbiến nhất là thư giả mạo bằng cách gửi thư rác còn có nhiều cách khác Ví dụ: nếu 1 kẻtấn có thể cung cấp thông tin không chính xác về dich vụ DNS cho trang website củacông ty bạn thì trang web này có thể bị chuyển hướng đến 1 trang web khác mà bạnkhông thể làm gì đượcVì vậy kẻ tấn công thường cung cấp các thông tin sai lệch trongbảng bộ nhớ DNS sau đó kẻ tấn công sẽ làm dich vụ DNS bị nhiễm độc
18.2.2.5 Spoofing Attacks
( Tấn công giả mạo)
Chúng ta có thể kết hợp một số ý tưởng trước vào các cuộc tấn công giả mạo hoạtđộng ở phạm vi lớn (có nghĩa bảo là từ bên ngoài mạng cục bộ hoặc miền)
Charlie nói rằng Alice và Bob đang là một mục tiêu trên mạng LAN và Charliemuốn
Nói chuyện như Alice với Bob Charlie có thể làm Alice rớt khỏi mạng với một cuộctấn công từ chối dịch vụ của một số loại phần mềm tấn công, sau đó bắt đầu một kếtnối mới với Bob [559, 90] Điều này đòi hỏi phải đoán một dãy số Y, mà Bob sẽ chỉđịnh trong phiên giao dịch theo giao thức thể hiện trong hình 18.1 Một cách đơn giản
để đoán dãy số Y là phải làm việc trong một thời gian dài, sau đó Charlie kết nối thưc
sự đến Alice ngay trước khi sử dụng và trong thực tế lthì giá trị của dãy số Y thay đổimột cách có thể dự đoán được từ một kết nối tiếp theo Ngăn xếp sử dụng hệ thốngcác dãy số ngẫu nhiên và các kỹ thuật khác để tránh kẻ tấn công dự đoán đươc dãy
số, nhưng hệ thống cấp số ngẫu nhiên thường cấp ít các dãy số ngẫu nhiên hơn so vớivới dự kiến để chờ đợi một dãy số lớn từ các lỗi bảo mật [774]
Nếu số thứ tự dự đoán là khả thi thì sau đó Charlie sẽ có thể gửi tin nhắn cho Bob, màBob sẽ tin tưởng tin nhắn đó đến từ Alice (mặc dù Charlie sẽ không thể đọc được trả lời của Bob ) Trong một số trường hợp, Charlie sẽ không có thể tấn công được Alice khi Alice bỏ qua câu trả lời ngẫu nhiên từ Charlie Đây là một cuộc tấn công phức tạp nhưng không có vấn đề gì vì đã có những kịch bản có sẵn trên mạng để làm điều đó
18.2.2.6 Routing Attacks
Tấn công định tuyến là các cuộc tấn công đa dạng Vụ tấn công cơ bản liên quan đến Charlie nói với Alice và Bob bằng một đường truyền đã định tuyến thuận tiện cho sự trao đổi tín hiệu qua lại giữa hai người Tấn công định tuyến đã được sắp xếp
Trang 11vào giao thức TCP để làm hệ thống nhận được các bộ định tuyến sẵn từ môi trường xung quanh không tốt Các hạ tầng cơ sở giả định rằng" server đang trung thực" và đây là đường đinh tuyến trở lại tốt nhất và chỉ có một giải pháp ngăn chặn định tuyến
là khóa bảng định tuyến Tuy nhiên,giải pháp vẫn tiếp tục được sử dụng cho chẩn đoán mạng
Một phương pháp khác liên quan đến việc chuyển hướng thông điệp là dựa trên cùng một tiền đề Những ứng dụng nói rằng, "Bạn đã gửi thông điệp này thay vì đến các cổng khác " và thường phương pháp này không được áp dụng để kiểm tra Chúng có thể được sử dụng để làm các việc lật đổ tương tự như cấp bảng định tuyến
Việc gửi thư rác đã làm cho gần như tất cả kẻ tấn công giả mạo thư đang bị coi
thường Việc định tuyến lại là rất khó khăn hơn, vì việc định tuyến hoàn toàn dựa trênnhà cung cấp dịch vụ Nhiễm độc bộ nhớ cache DNS chỉ là một trong những thủ thuật
mà có thể được sử dụng
18.3 Defense against Network Attack: (Bảo vệ chống lại tấn công mạng)
Việc chống lại tấn công có vẻ hợp lý để hy vọng rằng hầu hết các cuộc tấn công được những người đưa ra kịch bản có thể bị cản trở bởi một quản trị hệ thống cần cù theo dõi bản thông tin bảo mật và áp dụng tất cả các bản vá lỗi phần mềm của mình kịp thờicho nhà cung cấp Đây là một phần của các chủ đề rộng hơn về quản lý cấu hình
18.3.1 Configuration Management : (Quản trị cấu hình)
Quản trị chặt chẽ cấu hình là khía cạnh quan trọng nhất của một mô hình an toàn mạng Nếu bạn có thể chắc chắn rằng tất cả các máy trong hệ thống của bạn đang chạy để cập nhật bản sao của hệ điều hành và đã cập nhật tất cả các bản vá lỗi được ápdụng cho các tập tin cấu hình dịch vụ mà không có bất kỳ lỗ hổng nghiêm trọng
(chẳng hạn như các tập tin mật khẩu có thể bị ghi lại), các mật khẩu mặc định từ các sản phẩm đang được cài đặt mới và được hỗ trợ bởi tổ chức bảo vệ hệ thống mạng uytín thì khi đó bạn có thể đối phó với hơn một nửa các cuộc tấn công mạng (Bạn vẫn sẽphải kiểm tra với các lỗ hổng từ những ứng dụng như kịch bản CGI, nhưng không chạy kich bản đó với quyền admins để bạn có thể hạn chế những thiệt hại mà kẻ tấn công có thể khai thác lỗ hổng)
Quản trị cấu hình hợp lí cũng quan trọng như có một bức tường lửa , trong thực tế với
sự lựa chọn của một trong hai thiết bị thì bạn nên quên các bức tường lửa Tuy nhiên
đó cũng là sự lựa chọn khó khăn hơn cho nhiều công ty bởi vì đó là nỗ lực thực sự của các nhà quản trị mạng chứ không phải mua và cài đặt một sản phẩm Việc quản trị cấu hình bằng con số thậm chí có thể làm mọi điều trở nên điều tồi tệ hơn Như đã lưu ý tại mục 18.2.2.3, bệnh viện Hoa Kỳ đã phải sử dụng một cấu hình được biết đến
Trang 12và quản tri hệ thống mạng yếu kém đã làm cho những kẻ tấn công lấy được những thông tin quan trọng trong nội bộ).
Một số công cụ có sẵn để giúp các nhà quản trị hệ thống mạng bảo vệ mọi thứ chặt chẽ Một số hệ thống mạng cho phép người quản trị thực hiện việc điều khiển các phiên bản tập trung do đó các bản vá lỗi có thể được áp dụng bất cứ lúc nào và tất cả mọi thứ có thể được bảo vệ một cách đồng bộ.Những kẻ tấn công sẽ cố gắng đột nhập vào các máy tính trong hệ thống mạng của nhà quản trị viên bằng cách sử
dụng một tập hợp các lỗ hổng thông thường [320 ] Kẻ tấn công sử dụng một số công
cụ quen thuộc để thâm nhập là một ý tưởng rất tốt, vì các công cụ này cũng có
thể bị sử dụng bởi các tin tặc để cố gắng tấn công hệ thống mạng
Các bảng chi tiết sẵn có của các sản phẩm và những gì họ làm thay đổi từ một năm đến kế tiếp, vì vậy nó là không thích hợp để đi vào chi tiết ở đây Điều thích hợp cho một nhà quản trị hệ thống là việc quản trị để ngăn chặn tất cả các lỗ hổng bằng những
kỹ năng và lòng nhiệt huyết của mình.Các tổ chức cá nhân có thể thấy rằng quá tốn kém chi phí để sửa chữa tất cả các lỗ hổng bảo mật trên hệ thống chấp nhận được trênmột mạng nội bộ nhưng không có kết nối Internet Một vấn đề khác là một tổ chức thường xuyên chạy hầu hết các ứng dụng quan trọng trên hệ thống trên máy được bảomật nhất trong khi đó các quản trị viên hệ thống mạng lại không dám áp dụng để nângcấp hệ thống điều hành và các bản vá lỗi vì sợ mất dịch vụ.Điều này dẫn chúng ta đến việc sử dụng tường lửa
18.3.2 Firewalls(Tường lửa)
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn Cũng có thể hiểu rằng Firewall là một cơ chế để bảo vệ mạng tin tưởng (trusted network) khỏi các mạng không tin tưởng (untrusted network).Internet Firewall là một thiết bị (phần cứng+phần mềm) giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet Nó thực hiện vai trò bảo mật các thông tin Intranet từ thế giới Internet bên ngoài
Cấu trúc của Firewall bao gồm:
Một hoặc nhiều hệ thống máy chủ kết nối với các bộ định tuyến (router) hoặc
có chức năng router Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ Thông thường là các hệ quản trị xác thực (Authentication), cấp quyền (Authorization) và kế toán (Accounting)
Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
Trang 131.Bộ lọc packet ( packet-filtering router )2.Cổng ứng dụng (application-level gateway hay proxy server ) 3.Cổng mạch (circuite level gateway)
18.3.2.1 Packet Filtering
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua Firewall thì điều
đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức liên mạng TCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệu nhận được từ các ứng dụngtrên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền các packet đó ở trên mạng
Đó là:
Địa chỉ IP nơi xuất phát ( IP Source address) Địa chỉ IP nơi nhận (IP Destination address) Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) Cổng TCP/UDP nơi nhận (TCP/UDP
destination port) Dạng thông báo ICMP ( ICMP message type) giao diện packet đến ( incomming interface of packet) giao diện packet đi ( outcomming interface of
packet)
Nếu luật lọc packet được thoả mãn thì packet được chuyển qua firewall Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máychủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội
bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểm soát các cổng làm cho
Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạyđược trên hệ thống mạng cục bộ
18.3.2.2 Circuit Gateways:
Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứng dụng Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất
kỳ một hành động xử lý hay lọc packet nào
Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một
sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi
Trang 14dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên ngoài (outside connection) Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống
firewall, nó che dấu thông tin về mạng nội bộ Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài
sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall Ngoài ra, proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm trong ứng dụng
mà ngưòi quản trị mạng cho là chấp nhận được trong khi từ chối những đặc điểm khác Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì
nó được thiết kế đặt biệt để chống lại sự tấn công từ bên ngoài Những biện pháp đảm bảo an ninh của một bastion host là:
Bastion host luôn chạy các version an toàn (secure version) của các phần mềm hệ thống (Operating system) Các version an toàn này được thiết kế chuyên cho mục đích chống lại sự tấn công vào Operating System, cũng như là đảm bảo sự tích hợp
firewall Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ không được cài đặt, nó không thể bị tấn công Thông thường, chỉ một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP, SMTP và xác thực user là được cài đặt trên bastion host Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví dụ như user password hay smart card Mỗi proxy được đặt cấu hình để cho phép truy nhập chỉ một sồ các máy chủ nhất định Điều này có nghĩa rằng bộ lệnh và đặc điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên toàn hệ thống Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn kẻ phá hoại.Mỗi proxy đều độc lập với các proxies khác trên bastion host Điều này cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ môt proxy đang có vấn để
18.3.2.4 Ingress versus Egress Filtering: (Xâm nhập cổng ra của bộ lọc)