nghiên cứu, ứng dụng hệ thống phát hiện xâm nhập

Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấncông vào tất cả các host của hệ thống với mục đích truy nhập vào mạng,nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng rộn

LỜI MỞ ĐẦU

Với nhu cầu trao đổi thông tin ngày nay bắt buộc các c á n h â n c ũ n g

n h ư c á c cơ quan, tổ chức phải hoà mình vào mạng toàn cầu Internet Antoàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu khithực hiện kết nối Internet

Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũngnhư các mạng nội bộ đã được nghiên cứu và triển khai Tuy nhiên, vẫn thườngxuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin,…gâynên những hậu quả vô cùng nghiêm trọng Những vụ tấn công này nhằm vào tất

cả các máy tính có mặt trên mạng Internet, đa phần vì mục đích xấu và cáccuộc tấn công không được báo trước, số lượng các vụ tấn công tăng lên nhanhchóng và các phương pháp tấn công cũng liên tục được hoàn thiện Vì vậy việckết nối một máy tính vào mạng nội bộ cũng như vào mạng Internet cần phải cócác biện pháp đảm bảo an ninh

Xuất phát từ các hiểm hoạ hiện hữu mà ta thường xuyên phải đối mặt trên

môi trường Internet em đã quyết định chọn đề tài: Nghiên cứu, ứng dụng hệ thống phát hiện xâm nhập với mục đích tìm hiểu nguyên tắc hoạt động và cơ sở

lý thuyết cùng một số kỹ thuật xử lý làm nền tảng xây dựng hệ thống phát hiệnxâm nhập

Em xin trân thành cảm ơn sự hướng dẫn tận tình của PGS.TS Nguyễn ThịViệt Hương Do trình độ còn hạn chế và lĩnh vực An ninh mạng vẫn là một lĩnhvực còn mới nên Luận văn này không tránh khỏi sai sót, em rất mong được sự chỉbảo của các thầy cô

Nội dung chính của cuốn Luận gồm 4 chương như sau:

Chương I: Tổng quan về an ninh mạng máy tính

Chương II: Xây dựng mô hình an ninh mạng và giới thiệu một số côngnghệ bảo mật

Chương III: Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS)

Chương IV: Ứng dụng – Thực nghiệm

CHƯƠNG I TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH

I TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tinđóng một vai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ đượctính chính xác, thông tin chỉ có tính bảo mật khi chỉ có những người đượcphép nắm giữ thông tin biết được nó Khi ta chưa có thông tin, hoặc việc sửdụng hệ thống thông tin chưa phải là phương tiện duy nhất trong quản lý, điềuhành thì vấn đề an toàn, bảo mật đôi khi bị xem thường Nhưng một khi nhìnnhận tới mức độ quan trọng của tính bền hệ thống và giá trị đích thực củathông tin đang có thì chúng ta sẽ có mức độ đánh giá về an toàn và bảo mật hệthống thông tin Để đảm bảo được tính an toàn và bảo mật cho một hệ thốngcần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người

1 Sự cần thiết phải có an ninh mạng và các yếu tố cần bảo vệ

Để thấy được tầm quan trọng của việc đảm bảo an ninh mạng ta tìmhiểu các tác động của việc mất an ninh mạng và từ đó đưa ra các yếu tố cầnbảo vệ:

 Tác hại của việc không đảm bảo an ninh mạng

2 Các tiêu chí đánh giá mức độ an ninh an toàn mạng

Để đảm bảo an ninh cho mạng, cần phải xây dựng một số tiêu chuẩnđánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn đã được thừa nhận

là thước đo mức độ an ninh mạng

2.1 Đánh giá trên phương diện vật lý

 An toàn thiết bị

Các thiết bị sử dụng trong mạng cần đáp ứng được các yêu cầu sau:

- Có thiết bị dự phòng nóng cho các tình huống hỏng đột ngột Có khảnăng thay thế nóng từng phần hoặc toàn phần (hot-plug, hot-swap)

- Khả năng cập nhật, nâng cấp, bổ xung phần cứng và phần mềm

- Yêu cầu nguồn điện, có dự phòng trong tình huống mất đột ngột

- Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ,chống sét, phòng chống cháy nổ, vv

2.2 Đánh giá trên phương diện logic

Đánh giá theo phương diện này có thể chia thành các yếu tố cơ bản sau:

 Tính bí mật, tin cậy (Condifidentislity)

Là sự bảo vệ dữ liệu truyền đi khỏi những cuộc tấn công bị động Có thểdùng vài mức bảo vệ để chống lại kiểu tấn công này Dịch vụ rộng nhất là bảo

vệ mọi dữ liệu của người sử dụng truyền giữa hai người dùng trong mộtkhoảng thời gian Nếu một kênh ảo được thiết lập giữa hai hệ thống, mức bảo

vệ rộng sẽ ngăn chặn sự rò rỉ của bất kỳ dữ liệu nào truyền trên kênh đó

Cấu trúc hẹp hơn của dịch vụ này bao gồm việc bảo vệ một bản tin riêng

lẻ hay những trường hợp cụ thể bên trong một bản tin Khía cạnh khác của tin

bí mật là việc bảo vệ lưu lượng khỏi việc phân tích Điều này làm cho những

kẻ tấn công không thể quan sát được tần suất, độ dài của nguồn và đích hoặcnhững đặc điểm khác của lưu lượng trên một phương tiện giao tiếp

 Tính xác thực (Authentication)

Liên quan tới việc đảm bảo rằng một cuộc trao đổi thông tin là đáng tincậy Trong trường hợp một bản tin đơn lẻ, ví dụ như một tín hiệu báo độnghay cảnh báo, chức năng của dịch vụ ủy quyền là đảm bảo bên nhận rằng bảntin là từ nguồn mà nó xác nhận là đúng

Trong trường hợp một tương tác đang xẩy ra, ví dụ kết nối của một đầucuối đến máy chủ, có hai vấn đề sau: thứ nhất tại thời điểm khởi tạo kết nối,

dịch vụ đảm bảo rằng hai thực thể là đáng tin Mỗi chúng là một thực thể đượcxác nhận Thứ hai, dịch vụ cần phải đảm bảo rằng kết nối là không bị gâynhiễu do một thực thể thứ ba có thể giả mạo là một trong hai thực thể hợppháp để truyền tin hoặc nhận tin không được cho phép.

 Tính toàn vẹn (Integrity)

Cùng với tính bí mật, toàn vẹn có thể áp dụng cho một luồng các bản tin,một bản tin riêng biệt hoặc những trường lựa chọn trong bản tin Một lần nữa,phương thức có ích nhất và dễ dàng nhất là bảo vệ toàn bộ luồng dữ liệu

Một dịch vụ toàn vẹn hướng kết nối, liên quan tới luồng dữ liệu, đảmbảo rằng các bản tin nhận được cũng như gửi không có sự trùng lặp, chèn, sửa,hoán vị hoặc tái sử dụng Việc hủy dữ liệu này cũng được bao gồm trong dịch

vụ này Vì vậy, dịch vụ toàn vẹn hướng kết nối phá hủy được cả sự thay đổiluồng dữ liệu và cả từ chối dữ liệu Mặt khác, một dịch vụ toàn vẹn không kếtnối, liên quan tới từng bản tin riêng lẻ, không quan tâm tới bất kỳ một hoàncảnh rộng nào, chỉ cung cấp sự bảo vệ chống lại sửa đổi bản tin

Chúng ta có thể phân biệt giữa dịch vụ có và không có phục hồi Bởi vìdịch vụ toàn vẹn liên quan tới tấn công chủ động, chúng ta quan tâm tới pháthiện hơn là ngăn chặn Nếu một sự vi phạm toàn vẹn được phát hiện, thì phầndịch vụ đơn giản là báo cáo sự vi phạm này và một vài những phần của phầnmềm hoặc sự ngăn chặn của con người sẽ được yêu cầu để khôi phục từ những

vi phạm đó Có những cơ chế giành sẵn để khôi phục lại những mất mát củaviệc toàn vẹn dữ liệu

 Không thể phủ nhận (Non repudiation)

Tính không thể phủ nhận bảo đảm rằng người gửi và người nhận khôngthể chối bỏ 1 bản tin đã được truyền Vì vậy, khi một bản tin được gửi đi, bênnhận có thể chứng minh được rằng bản tin đó thật sự được gửi từ người gửihợp pháp Hoàn toàn tương tự, khi một bản tin được nhận, bên gửi có thểchứng minh được bản tin đó đúng thật được nhận bởi người nhận hợp lệ

 Khả năng điều khiển truy nhập (Access Control)

Trong hoàn cảnh của an ninh mạng, điều khiển truy cập là khả năng hạnchế các truy nhập với máy chủ thông qua đường truyền thông Để đạt đượcviệc điều khiển này, mỗi một thực thể cố gắng đạt được quyền truy nhập cầnphải được nhận diện, hoặc được xác nhận sao cho quyền truy nhập có thểđược đáp ứng nhu cầu đối với từng người

 Tính khả dụng, sẵn sàng (Availability)

Một hệ thống đảm bảo tính sẵn sàng có nghĩa là có thể truy nhập dữ liệubất cứ lúc nào mong muốn trong vòng một khoảng thời gian cho phép Cáccuộc tấn công khác nhau có thể tạo ra sự mất mát hoặc thiếu về sự sẵn sàngcủa dịch vụ Tính khả dụng của dịch vụ thể hiện khả năng ngăn chặn và khôiphục những tổn thất của hệ thống do các cuộc tấn công gây ra.

3 Xác định các mối đe dọa đến an ninh mạng

1 Mối đe dọa không có cấu trúc ( Untructured threat)

Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò

có thể tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa Cũng

có những người thích thú với việc xâm nhập vào máy tính và các hành độngvượt khỏi tầm bảo vệ Hầu hết tấn công không có cấu trúc đều được gây ra bởiScript Kiddies (những kẻ tấn công chỉ sử dụng các công cụ được cung cấp,không có hoặc có ít khả năng lập trình) hay những người có trình độ vừa phải.Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưng cũng có nhiều cuộctấn công có ý đồ xấu Những trường hợp đó có ảnh hưởng xấu đến hệ thống vàhình ảnh của công ty

Mặc dù tính chuyên môn của các cuộc tấn công dạng này không caonhưng nó vẫn có thể phá hoại hoạt động của công ty và là một mối nguy hạilớn Đôi khi chỉ cần chạy một đoạn mã là có thể phá hủy chức năng mạng củacông ty Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấncông vào tất cả các host của hệ thống với mục đích truy nhập vào mạng,nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng rộng của hệ thống Haytrường hợp khác, chỉ vì ai đó có ý định thử nghiệm khả năng, cho dù không cómục đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống

2 Mối đe dọa có cấu trúc ( Structured threat)

Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao Khôngnhư Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ,

có thể chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới Những

kẻ tấn công này hoạt động độc lập hoặc theo nhóm, họ hiểu, phát triển và sửdụng các kỹ thuật hack phức tạp nhằm xâm nhập vào mục tiêu

Động cơ của các cuộc tấn công này thì có rất nhiều Một số yếu tố thườngthấy có thể vì tiền, hoạt động chính trị, tức giận hay báo thù Các tổ chức tộiphạm, các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể thuê các chuyêngia để thực hiện các cuộc tấn công dạng structured threat Các cuộc tấn côngnày thường có mục đích từ trước, như để lấy được mã nguồn của đối thủ cạnhtranh Cho dù động cơ là gì, thì các cuộc tấn công như vậy có thể gây hậu quả

nghiêm trọng cho hệ thống Một cuộc tấn công structured thành công có thểgây nên sự phá hủy cho toàn hệ thống.

3 Mối đe dọa từ bên ngoài (External threat)

External threat là các cuộc tấn công được tạo ra khi không có một quyềnnào trong hệ thống Người dùng trên toàn thế giới thông qua Internet đều cóthể thực hiện các cuộc tấn công như vậy

Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại externalthreat Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác độngcủa kiểu tấn công này xuống tối thiểu Mối đe dọa từ bên ngoài là mối đe dọa

mà các công ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa

4 Mối đe dọa từ bên trong ( Internal threat )

Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấncông được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cậpmạng của bạn Các cách tấn công từ bên trong được thực hiện từ một khu vựcđược tin cậy trong mạng Mối đe dọa này có thể khó phòng chống hơn vì cácnhân viên có thể truy cập mạng và dữ liệu bí mật của công ty Hầu hết cáccông ty chỉ có các tường lửa ở đường biên của mạng, và họ tin tưởng hoàntoàn vào các ACL (Access Control Lists) và quyền truy cập server để quyđịnh cho sự bảo mật bên trong Quyền truy cập server thường bảo vệ tàinguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng Mối

đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn

“quay mặt” lại với công ty Nhiều phương pháp bảo mật liên quan đến vànhđai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như làInternet Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong cókhuynh hướng bị bớt nghiêm ngặt hơn Khi một kẻ xâm nhập vượt qua vỏ bọcbảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản.Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sựgiúp đỡ của người bên trong hệ thống Trong trường hợp đó, kẻ tấn công trởthành structured internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệthống và ăn trộm tài nguyên quan trọng của công ty Structured internel threat

là kiểu tấn công nguy hiểm nhất cho mọi hệ thống

4 Xác định lỗ hổng hệ thống (Vulnerable) và các nguy cơ (Risk)

4.1 Lỗ hổng hệ thống

Lỗ hổng hệ thống là nơi mà đối tượng tấn công có thể khai thác để thựchiện các hành vi tấn công hệ thống Lỗ hổng hệ thống có thể tồn tại trong hệthống mạng hoặc trong thủ tục quản trị mạng

Nguy cơ hệ thống được hình thành bởi sự kết hợp giữa lỗ hổng hệ

thống, các mối đe dọa đến hệ thống và các biện pháp an toàn hệ thống hiện cóNguy cơ = Mối đe dọa + Lỗ hổng hệ thống + Các biện pháp an toàn hiện có

- Các điểm truy cập người dùng

- Các điểm truy cập không dây

 Xác định các mối đe dọa

Việc xác định các mối đe dọa là rất khó khăn vì các lý do:

- Các mối đe dọa thường không xuất hiện rõ ràng (ẩn)

- Các hình thức và kỹ thuật tấn công đa dạng:

 DoS/DDoS, BackDoor, Tràn bộ đệm,…

 Virus, Trojan Horse, Worm

 Social Engineering

- Thời điểm tấn công không biết trước

- Qui mô tấn công không biết trước

 Kiểm tra các biện pháp an ninh mạng hiện có

Các biện pháp an ninh gồm các loại sau:

- Bức tường lửa - Firewall

2 Con ngựa thành Troya (Trojan Horse)

Trojan là một file xuất hiện một cách vô hại trớc khi thi hành Tráingược với Virus Trojan không chèn các đoạn mã lệnh vào các file khác.Trojan thường đợc gắn vào các chơng trình trò chơi hoặc phần mềm miễn phí,

vô thởng vô phạt Khi một ứng dụng đợc thực thi thì Trojan cũng đồng thờithực hiện nhiệm vụ của nó Nhiều máy tính cá nhân khi kết nối Internet là điềukiện thuận lợi để bị lây nhiễm Trojan Ngày nay Trojan đợc cài đặt như là một

bộ phận của phần mềm thâm nhập vào cửa sau của hệ thống và từ đó phát hiệncác lỗ hổng bảo mật

3 Con sâu-Worm

Con sâu Worm có thể lây nhiễm tự động từ máy này sang máy kháckhông nhất thiết phải dịch chuyển như là một bộ phận của host Worm làchương trình có thể tự tái tạo thông qua giao dịch tìm kiếm các file đã bị lâynhiễm của hệ điều hành Hiện nay Worm thường lây nhiễm qua đường thưđiện tử, Worm tự động nhân bản và gửi đến các địa chỉ trong danh mục địa chỉthư của ngời dùng Worm cũng có thể lây nhiễm thông qua việc download

file, sự nguy hiểm của Worm là nó có thể làm vô hiệu hoá các chương trìnhdiệt virus và các biện pháp an ninh nh là việc ăn cắp mật khẩu,

4 Bom logic – Logic Bombs

Logic Bombs là một đoạn mã lệnh ngoại lai đợc chèn vào hệ thốngphần mềm có mục đích phá hoại được cài đặt ở chế độ tắt, khi gặp điều kiệnthuận lợi sẽ đợc kích hoạt để phá hoại Ví dụ ngời lập trình sẽ cài ẩn vào phầnmềm của mình đoạn mã lệnh xoá file nếu trong quá trình sử dụng khách hàngkhông trả phí Thông thờng logic Bombs đợc kích hoạt theo chế độ giới hạnthời gian Các kỹ thuật này cũng đợc sử dụng trong các chương trình Virus vàWorm hoặc các Trojan đợc kích hoạt đồng loạt tại một thời điểm nào đó gọi là

“Time bombs”

5 Adware - advertising-supported software

Adware hay còn gọi là phần mềm hỗ trợ quảng cáo là một gói phầnmềm tự động thực hiện, trình diễn hoặc tải về các chất liệu quảng cáo sau khiđược kích hoạt

7 Backdoor

Backdoor một giải pháp tìm đường vòng để truy cập từ xa vào hệ thốngđược đảm bảo an ninh một cách vô hình từ sự cẩu thả quá trình kiểm duyệt.Backdoor có thể đợc đặt kèm theo chơng trình hoặc biến đổi từ một chươngtrình hợp pháp

II Một số phương thức tấn công mạng máy tính và phòng chống

Các kiểu tấn công vào mạng ngày càng vô cùng tinh vi, phức tạp và khólường, gây ra nhiều tác hại Các kỹ thuật tấn công luôn biến đổi và chỉ đượcphát hiện sau khi đã để lại những hậu quả xấu Một yêu cầu cần thiết để bảo

vệ an toàn cho mạng là phải phân tích, thống kê và phân loại được các kiểutấn công, tìm ra các lỗ hổng có thể bị lợi dụng để tấn công Có thể phân loạicác kiểu tấn công theo một số cách sau

 Theo tính chất xâm hại thông tin

- Tấn công chủ động: Là kiểu tấn công can thiệp được vào nội dung vàluồng thông tin, sửa chữa hoặc xóa bỏ thông tin Kiểu tấn công này dễ nhậnthấy khi phát hiện được những sai lệch thông tin nhưng lại khó phòng chống

- Tấn công bị động: Là kiểu tấn công nghe trộm, nắm bắt được thông tinnhưng không thể làm sai lạc hoặc hủy hoại nội dung và luồng thông tin Kiểutấn công này dễ phòng chống nhưng lại khó có thể nhận biết được thông tin có

bị rò rỉ hay không

 Theo vị trí mạng bị tấn công

- Tấn công trực tiếp vào máy chủ cung cấp dịch vụ làm tê liệt máy chủdẫn tới ngưng trệ dịch vụ, hay nói cách khác là tấn công vào các thiết bị phầncứng và hệ điều hành

- Tấn công vào cơ sở dữ liệu làm rỏ rỉ, sai lệch hoặc mất thông tin

- Tấn công vào các điểm (node) truyền tin trung gian làm nghẽn mạnghoặc có thể làm gián đoạn mạng

- Tấn công đường truyền (lấy trộm thông tin từ đường truyền vật lý)

 Theo kỹ thuật tấn công

- Tấn công từ chối dịch vụ (Denied of service): tấn công vào máy chủlàm tê liệt một dịch vụ nào đó

- Tấn công kiểu lạm dụng quyền truy cập (Abose of acccess privileges):

kẻ tấn công chui vào máy chủ sau khi đã vượt qua được các mức quyền truycập Sau đó sử dụng các quyền này để tấn công hệ thống

- Tấn công kiểu ăn trộm thông tin vật lý (Physical theft): lấy trộm thôngtin trên đường truyền vật lý

- Tấn công kiểu thu lượm thông tin (information gather): bắt các tập tinlưu thông trên mạng, tập hợp thành những nội dung cần thiết

- Tấn công kiểu bẻ khóa mật khẩu (password cracking): dò, phá, bẻ khóamật khẩu

- Tấn công kiểu khai thác những điểm yếu, lỗ hổng (exploitation ofsystem and network vulnerabilities): tấn công trực tiếp vào các điểm yếu, lỗhổng của mạng

- Tấn công kiểu sao chép, ăn trộm thông tin (spoofing): giả mạo ngườikhác để tránh bị phát hiện khi gửi thông tin vô nghĩa hoặc tấn công mạng

- Tấn công bằng các đoạn mã nguy hiểm (malicious code): gửi theo góitin đến hệ thống các đoạn mã mang tính chất nguy hại đến hệ thống.

1 Các phương pháp xâm nhập hệ thống

1.Phương thức ăn cắp thống tin bằng Packet Sniffers

Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưuchuyển trên mạng (trên một collision domain) Sniffer thường được dùng chotroubleshooting network hoặc để phân tích traffic Tuy nhiên, do một số ứngdụng gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3, )nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như

là username, password, và từ đó có thể truy xuất vào các thành phần khác củamạng

2 Phương thức tấn công mật khẩu Password attack

Các hacker tấn công password bằng một số phương pháp như: force attack, chương trình Trojan Horse, IP spoofing, và packet sniffer Mặc

brute-dù brute-dùng packet sniffer và IP spoofing có thể lấy được user account vàpassword, như hacker lại thường sử dụng brute-force để lấy user account hơn.Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạytrên mạng, cố gắng login vào các phần share trên server băng phương pháp

“thử và sai” passwork

3.Phương thức tấn công bằng Mail Relay

Đây là phương pháp phổ biến hiện nay Email server nếu cấu hìnhkhông chuẩn hoặc Username/ password của user sử dụng mail bị lộ Hacker cóthể lợi dụng email server để gửi mail gây ngập mạng , phá hoại hệ thống emailkhác Ngoài ra với hình thức gắn thêm các đoạn script trong mail hacker cóthể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếpđến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S vào một mụctiêu nào đó

4.Phương thức tấn công hệ thống DNS

DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng

và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ

Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sựphá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyềnthông trên mạng

- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

- Cài đặt hệ thống IDS Host cho hệ thống DNS

- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềmDNS.

5.Phương thức tấn công Man-in-the-middle attack

Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạngcủa mạng Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắtđược tấc cả các gói mạng của công ty khách hàng cũng như tất cả các góimạng của các công ty khác thuê Leased line đến ISP đó để ăn cắp thông tinhoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng Tấncông dạng này được thực hiện nhờ một packet sniffer

6.Phương thức tấn công để thăm dò mạng

Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin

về mạng khi một hacker cố gắng chọc thủng một mạng, thường thì họ phảithu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công Điềunày có thể thực hiện bởi các công cụ như DNS queries, ping sweep, hay portscan

7.Phương thức tấn công Trust exploitation

Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệtin cậy đối với mạng Một ví dụ cho tấn công kiểu này là bên ngoài firewall cómột quan hệ tin cậy với hệ thống bên trong firewall Khi bên ngoài hệ thống bịxâm hại, các hacker có thể lần theo quan hệ đó để tấn công vào bên trongfirewall

8.Phương thức tấn công Port redirection

Tấn công này là một loại của tấn công trust exploitation, lợi dụng mộthost đã đã bị đột nhập đi qua firewall Ví dụ, một firewall có 3 inerface, mộthost ở outside có thể truy nhập được một host trên DMZ, nhưng không thể vàođược host ở inside Host ở DMZ có thể vào được host ở inside, cũng nhưoutside Nếu hacker chọc thủng được host trên DMZ, họ có thể cài phần mềmtrêm host của DMZ để bẻ hướng traffic từ host outside đến host inside

9.Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau Mộttrong những cách thông dụng nhất là tấn công vào các điểm yếu của phânmềm như sendmail, HTTP, hay FTP

Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụngnhững port cho qua bởi firewall Ví dụ các hacker tấn công Web server bằngcách sử dụng TCP port 80, mail server bằng TCP port 25

10.Phương thức tấn Virus và Trojan Horse

Các nguy hiểm chính cho các workstation và end user là các tấn côngvirus và ngựa thành Trojan (Trojan horse) Virus là một phần mềm có hại,được đính kèm vào một chương trình thực thi khác để thực hiện một chứcnăng phá hại nào đó Trojan horse thì hoạt động khác hơn Một ví dụ vềTrojan horse là một phần mềm ứng dụng để chạy một game đơn giản ở máyworkstation Trong khi người dùng đang mãi mê chơi game, Trojan horse sẽgởi một bản copy đến tất cả các user trong address book Khi user khác nhận

và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail

có trong address book của user đó

2 Các phương pháp phát hiện và ngăn ngừa xâm nhập

1.Phương thức ăn cắp thống tin bằng Packet Sniffers

Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segmentcủa mạng nội bộ, các kết nối RAS hoặc phát sinh trong WAN

Ta có thể cấm packet sniffer bằng một số cách như sau:

 Authentication

Kỹ thuật xác thực này được thực hiện phổ biến như one-type password(OTPs) Kỹ thuật này được thực hiện bao gôm hai yếu tố: personalidentification number ( PIN ) và token card để xác thực một thiết bịhoặc một phần mềm ứng dụng

Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tinmột cách ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây

Khách hàng sẽ kết nối password đó với một PIN để tạo ra một passwordduy nhất Giả sử một hacker học được password đó bằng kỹ thuậtpacket sniffers, thông tin đó cũng không có giá trị vì nó đã hết hạn

 Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcasttrong mạng

Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trườngmạng Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ cóthể xâm nhập vào luồng traffic đang lưu thông tại 1 host mà hacker kếtnối đến Kỹ thuật này không làm ngăn chặn hoàn toàn packet sniffernhưng nó có thể giảm được tầm ảnh hưởng của nó

 Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packetsiffer trên mạng

 Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa.Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu

đã được mã hóa Cisco dùng giao thức IPSec để mã hoá dữ liệu

2 Phương thức tấn công mật khẩu Password attack

Phương pháp giảm thiểu tấn công password:

 Giới han số lần login sai

 Đặt password dài

 Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thứckhông an toàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSHvào quản lý từ xa

3.Phương thức tấn công bằng Mail Relay

Phương pháp giảm thiểu :

 Giới hạn dung lương Mail box

 Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mậtcho SMTP server, đặt password cho SMTP

 Sử dụng gateway SMTP riêng

4.Phương thức tấn công hệ thống DNS

Phương pháp hạn chế:

 Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

 Cài đặt hệ thống IDS Host cho hệ thống DNS

 Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS

5.Phương thức tấn công Man-in-the-middle attack

Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra.Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa

6.Phương thức tấn công để thăm dò mạng

Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy

Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được pingsweep, nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu.NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ratrong mạng

7.Phương thức tấn công Trust exploitation

Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truyxuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truyxuất vào các tài nguyên nào của mạng.

8.Phương thức tấn công Port redirection

Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗiserver HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trênserver đó

9.Phương thức tấn công lớp ứng dụng

Một số phương cách để hạn chế tấn công lớp ứng dụng:

 Lưu lại log file, và thường xuên phân tích log file

 Luôn cập nhật các patch cho OS và các ứng dụng

 Dùng IDS, có 2 loại IDS:

 HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiệncác tấn công lên server đó

 NISD: xem xét tất cả các packet trên mạng (collision domain).Khi nó thấy có một packet hay một chuỗi packet giống như bị tấncông, nó có thể phát cảnh báo, hay cắt session đó

Các IDS phát hiện các tấn công bằng cách dùng các signature Signature củamột tấn công là một profile về loại tấn công đó Khi IDS phát hiện thấy trafficgiống như một signature nào đó, nó sẽ phát cảnh báo

10.Phương thức tấn Virus và Trojan Horse

Có thể dùng các phần mềm chống virus để diệt các virus và Trojanhorse và luôn luôn cập nhật chương trình chống virus mới

CHƯƠNG II XÂY DỰNG MÔ HÌNH AN NINH MẠNG

VÀ GIỚI THIỆU MỘT SỐ CÔNG NGHỆ BẢO MẬT

- Dữ liệu có bị sửa đổi không?

- Dữ liệu có bị mạo danh không?

Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sửdụng đồng thời nhiều mức độ bảo vệ khác nhau trước các hoạt động xâm phạm.Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin trên các kho dữ liệuđược cài đặt trong các Server của mạng Bởi thế ngoài một số biện pháp nhằmchống thất thoát thông tin trên đường truyền, mọi cố gắng tập trung vào việc xâydựng các mức “rào chắn” từ ngoài vào trong cho các hệ thống kết nối vào mạng

1 Quy trình xây dựng hệ thống thông tin an toàn

1.1 Đánh giá và lập kế hoạch

- Có các khóa đào tạo trước triển khai để người trực tiếp thực hiện nắmvững các thông tin về an toàn thông tin Sau quá trình đào tạo người trực tiếptham gia công việc biết rõ làm thể nào để bảo vệ các tài nguyên thông tin củamình

- Đánh giá mức độ an toàn hệ thống về mọi bộ phận như các ứng dụngmạng, hệ thống, hệ điều hành, phần mềm ứng dụng, vv Các đánh giá được thựchiện cả về mặt hệ thống mạng logic lẫn hệ thống vật lý Mục tiêu là có cài nhìntổng thể về an toàn của hệ thống của bạn, các điểm mạnh và điểm yếu

- Các cán bộ chủ chốt tham gia làm việc để đưa ra được chính xác thựctrạng an toàn hệ thống hiện tại và các yêu cầu mới về mức độ an toàn

- Lập kế hoạch an toàn hệ thống

1.2 Phân tích hệ thống và thiết kế

- Thiết kế hệ thống an toàn thông tin cho mạng

- Lựa chọn các công nghệ và tiêu chuẩn về an toàn sẽ áp dụng

- Xây dựng các tài liệu về chính sách an toàn cho hệ thống

1.3 Áp dụng vào thực tế

- Thiết lập hệ thống an toàn thông tin trên mạng

- Cài đặt các phần mềm tăng cường khả năng an toàn như firewall, các bảnchữa lỗi, chương trình quét và diệt virus, các phần mềm theo dõi và ngăn chặntruy nhập bất hợp pháp

- Thay đổi cấu hình các phần mềm hay hệ thống hiện sử dụng cho phù hợp

- Phổ biến các chính sách an toàn đến nhóm quản trị hệ thống và từng người

sử dụng trong mạng, quy định để tất cả mọi người nắm rõ các chức năng vàquyền hạn của mình

1.4 Duy trì và bảo dưỡng

- Đào tạo nhóm quản trị có thể nắm vững và quản lý được hệ thống

- Liên tục bổ sung các kiến thức về an toàn thông tin cho những người cótrách nhiệm như nhóm quản trị, lãnh đạo

- Thay đổi các công nghệ an toàn để phù hợp với những yêu cầu mới

2 Xây dựng mô hình an ninh mạng

Hiện nay vai trò bảo đảm an ninh mạng rất được coi trọng, nhiều côngnghệ và kỹ thuật mới được đề cập Để bảo đảm an ninh mạng tốt, chúng ta phảilường trước hết mọi khả năng vi phạm có thể xảy ra Có hai loại vi phạm thườngxảy ra là thụ động và bị động Vi phạm thụ động đôi khi do vô tình hoặc không

cố ý, còn vi phạm chủ động có mục đích phá hoại rõ ràng và hậu quả khôn lường

Hình 2 – 1: Mô hình an ninh mạng

1 Lớp quyền truy cập – Right Acces

Nhằm kiểm soát các tài nguyên thông tin của mạng và quyền hạn sử dụngtài nguyên đó Việc kiểm soát càng chi tiết càng tốt

2 Lớp đăng nhập tên/mật khẩu Login Password

Right access – Quyền truy cập

Physical protection – Bảo vệ vật lý

Data encryption – Mã hóa dữ liệu

Fire wall – Tường lửa

Loggin password – Mã truy nhập

Hệ thống phát hiện xâm nhập (IDS/IPS)

Database

Nhằm kiểm soát quyền truy cập ở mức hệ thống Mỗi người sử dụng muốnvào được mạng để sử dụng tài nguyên đều phải đăng ký tên và mật khẩu Ngườiquản trị mạng có trách nhiệm quả lý, kiểm soát mọi hoạt động của mạng và xácđịnh quyền truy nhập của người sử dụng khác tuỳ theo không gian và thời gian

3 Lớp mã hoá thông tin Data Encryption

Để bảo mật thông tin truyền trên mạng người ta còn sử dụng các phươngpháp mã hoá thông tin trên đường truyền Có hai phương pháp cơ bản: mã hoáđối xứng và bất đối xứng, người ta đã xây dựng nhiều phương pháp mã hoá khácnhau

4 Lớp bảo vệ vật lý Physical Protection

Thường dùng các biện pháp truyền thống như ngăn cấm tuyệt đối ngườikhông phận sự vào phòng đặt máy mạng, quy định chặt chẽ các chế độ khai thác

và sử dụng mạng,

5 Lớp bảo vệ bức tường lửa

Để bảo vệ từ xa một mạng máy tính hoặc cho cả một mạng nội bộ người tadùng một hệ thống đặc biệt là bức tường lửa để ngăn chặn các thâm nhập tráiphép, lọc bỏ các gói tin không cho gửi hoặc nhận từ trong ra ngoài hoặc ngượclại

II MỘT SỐ PHƯƠNG PHÁP BẢO MẬT

Có nhiều biện pháp và công cụ bảo mật hệ thống, ở đây xin liệt kê một sốloại phổ biến, thường áp dụng

2.1 Phương pháp mã hoá

Mã hoá là cơ chế chính cho việc bảo mật thông tin Nó bảo vệ chắc chắnthông tin trong quá trình truyền dữ liệu, mã hoá có thể bảo vệ thông tin trong quátrình lưu trữ bằng mã hoá tập tin Tuy nhiên người sử dụng phải có quyền truycập vào tập tin này, hệ thống mã hoá sẽ không phân biệt giữa người sử dụng hợppháp và bất hợp pháp nếu cả hai cùng sử dụng một key giống nhau Do đó mãhoá chính nó sẽ không cung cấp bảo mật, chúng phải được điều khiển bởi key mãhoá và toàn bộ hệ thống

Hình 2-2: Quy trình mã hóa

Mã hoá nhằm đảm bảo các yêu cầu sau:

- Tính bí mật (confidentiality): dữ liệu không bị xem bởi “bên thứ 3”

- Tính toàn vẹn (Integrity): dữ liệu không bị thay đổi trong quá trình truyền.Tính không từ chối (Non-repudiation): là cơ chế người thực hiện hành độngkhông thể chối bỏ những gì mình đã làm, có thể kiểm chứng được nguồn gốchoặc người đưa tin

Các giải thuật mã hoá:

1 Giải thuật băm (Hashing Encryption)

Là cách thức mã hoá một chiều tiến hành biến đổi văn bản nhận dạng(cleartext) trở thành hình thái mã hoá mà không bao giờ có thể giải mã Kết quảcủa tiến trình hashing còn được gọi là một hash (xử lý băm), giá trị hash (hashvalue), hay thông điệp đã được mã hoá (message digest) và tất nhiên không thểtái tạo lại dạng ban đầu

Trong xử lý hàm băm dữ liệu đầu vào có thể khác nhau về độ dài, thếnhưng độ dài của xử lý Hash lại là cố định Hashing được sử dụng trong một số

mô hình xác thực password Một giá trị hash có thể được gắn với một thông điệpđiện tử (electronic message) nhằm hỗ trợ tính tích hợp của dữ liệu hoặc hỗ trợxác định trách nhiệm không thể chối từ (non-repudiation)

Hình 2-3 Mô hình giải thuật băm

Một số giải thuật băm

- MD5 (Message Digest 5): giá trị băm 128 bit

- SHA-1 (Secure Hash Algorithm): giá trị băm 160 bit

2 Giải thuật mã hoá đồng bộ/đối xứng (Symmetric)

Mã hoá đối xứng hay mã hoá chia sẻ khoá (shared-key encryption) là môhình mã hoá hai chiều có nghĩa là tiến trình mã hoá và giải mã đều dùng chungmột khoá Khoá này phải được chuyển giao bí mật giữa hai đối tượng tham giagiao tiếp Có thể bẻ khoá bằng tấn công vét cạn (Brute Force)

Hình 2-4 Giải thuật mã hóa đồng bộ/đối xứng

Cách thức mã hoá như sau:

- Hai bên chia sẻ chung 1 khoá (được giữ bí mật)

- Trước khi bắt đầu liên lạc hai bên phải trao đổi khoá bí mật cho nhau

- Mỗi phía của thành phần liên lạc yêu cầu một khoá chia sẻ duy nhất, khoánày không chia sẻ với các liên lạc khác

Bảng dưới đây cho thấy chi tiết các phương pháp mã hóa đối xứng thôngdụng

Data Encryption Standard (DES) - Sử dụng một khối 64 bit hoặc một

khóa 56 bit

- Có thể dễ dàng bị bẻ khóa

Triple DES (3DES) - Áp dụng DES 3 lần.

- Sử dụng một khóa 168bit

- Bị thay thế bởi AES

Advanced Encryption Standard

3 Giải thuật mã hóa không đồng bộ/không đối xứng (Asymmetric)

Mã hóa bất đối xứng, hay mã hóa khóa công khai(public-key encryption), là

mô hình mã hóa 2 chiều sử dụng một cặp khóa là khóa riêng (private key) vàkhóa công (public keys) Thông thường, một thông điệp được mã hóa với privatekey, và chắc chắn rằng key này là của người gửi thông điệp (message sender) Nó

sẽ được giải mã với public key, bất cứ người nhận nào cũng có thể truy cập nếu

họ có key này Chú ý, chỉ có public key trong cùng một cặp khóa mới có thể giải

mã dữ liệu đã mã hóa với private key tương ứng Và private key thì không baogiờ được chia sẻ với bất kỳ ai và do đó nó giữ được tính bảo mật, với dạng mãhóa này được ứng dụng trong chữ ký điện tử

Hình 2-5 Giải thuật mã hóa không đồng bộ/không đối xứng

Các giải thuật

- RSA (Ron Rivest, Adi Shamir, and Leonard Adleman)

- DSA (Digital Signature Standard)

- Diffie-Hellman (W.Diffie and Dr.M.E.Hellman)

 Đặt mật khẩu dài tối thiểu là tám kí tự, bao gồm chữ cái, số, biểu tượng.

 Thay đổi password: 01 tháng/lần

 Không nên đặt cùng password ở nhiều nơi

 Xem xét việc cung cấp password cho ai

2 CHAP (Challenge Hanshake Authentication Protocol)

Dùng để mã hóa mật khẩu khi đăng nhập, dùng phương pháp chứng thực thửthách/hồi đáp Định kỳ kiểm tra lại các định danh của kết nối sử dụng cơ chế bắttay 3 bước và thông tin bí mật được mã hóa sử dụng MD5 Hoạt động của CHAPnhư sau:

Hình 2-7 Hoạt động của CHAP

3 Kerberos

Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máytính hoạt động trên những đường truyền không an toàn Giao thức Kerberos cókhả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toànvẹn của dữ liệu Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy

chủ-máy khách (client-server) và đảm bảo nhận thực cho cả hai chiều.

Kerberos hoạt động sử dụng một bên thứ ba tham gia vào quá trình nhận

thực gọi là key distribution center – KDC (KDC bao gồm hai chức năng: "máy chủ xác thực" (authentication server - AS) và "máy chủ cung cấp vé" (ticket granting server - TGS) "Vé" trong hệ thống Kerberos chính là các chứng thực

chứng minh nhận dạng của người sử dụng.) Mỗi người sử dụng trong hệ thốngchia sẻ một khóa chung với máy chủ Kerberos Việc sở hữu thông tin về khóachính là bằng chứng để chứng minh nhận dạng của một người sử dụng Trongmỗi giao dịch giữa hai người sử dụng trong hệ thống, máy chủ Kerberos sẽ tạo ramột khóa phiên dùng cho phiên giao dịch đó

Hình 2- 8 Mã hóa Kerberos

4 Chứng chỉ (Certificates)

Một Server (Certificates Authority - CA) tạo ra các certificates

- Có thể là vật lý: smartcard

- Có thể là logic: chữ ký điện tử

Sử dụng public/private key (bất cứ dữ liệu nào được mã hóa bằng public keychỉ có thể giải mã bằng private key) Sử dụng “công ty thứ 3” để chứng thực.Được sử dụng phổ biến trong chứng thực web, smart cards, chữ ký điện tử choemail và mã hóa email

Nhược điểm:

- Triển khai PKI (Public Key Infrastructure) kéo dài và tốn kém

- Smart cards làm tăng giá triển khai và bảo trì

- Dịch vụ CA tốn kém

5 Sinh trắc học

Có thể dùng các phương pháp sau: mống mắt/võng mạc, vân tay, giọng nói

Ưu điểm của phương pháp này rất chính xác, thời gian chứng thực nhanh, tuynhiên giá thành cao cho phần cứng và phần mềm, việc nhận diện có thể bị sailệch

6 Kết hợp nhiều phương pháp (Multi-factor)

Sử dụng nhiều hơn một phương pháp chứng thực như: mật khẩu/ PIN, smartcard, sinh trắc học, phương pháp này nhằm tạo sự bảo vệ theo chiều sâu vớinhiều tầng bảo vệ khác nhau

nhanh chóng Các hệ thống chứng nhận điện tử đơn giản nhất yêu cầu người nhậpvào số nhận diện cá nhân PIN để hoàn tất tiến trình xác thực Trong rất nhiều hệthống người ta kết hợp giữa PIN của SC và các thông tin về sinh trắc học củangười dùng như vân tay Để dùng hệ thống này người ta trang bị 1 máy quét vântay, sau đó so sánh với dữ liệu được luư trên SC

 PC card:

Là một bo mạch nhỏ được cắm vào slot mở rộng trên bo mạch chủ củamáy tính Các PC card kém linh hoạt hơn nhưng có bộ nhớ lớn hơn SC nên có thểluư trữ lượng thông tin xác thực lớn hơn

Thẻ bài được xây dựng dựa trên phần cứng riêng biệt dùng để hiển thị các

mã nhận dạng (pascode) thay đổi mà người dùng phải nhập vào máy Bộ xử lýbên trong thẻ bài luư giữ một tập các khoá mã bí mật được dùng để phát các mãnhận dạng một lần Các mã này được chuyển đến một máy chủ bảo mật trênmạng, máy chủ này kiểm tra tính hợp lệ và chuyển quyền truy cập cho ngườidùng

Trước khi người dùng được xác thực, các thiết bị thẻ yêu cầu một PIN, sau

đó sử dụng một trong ba cơ chế sau:

1 Cơ chế đáp ứng thách đố

máy chủ bảo mật phát ra một con số ngẫu nhiên khi người dùng đăng nhậpvào mạng Một con số thách đố xuất hiện trên màn hình, người dùng nhập vào sốcác số trong thẻ bài Thẻ bài mã hoá các con số thách đố này với mã khoá bí mậtcủa nó và hiển thị lên màn hình LCD, sau đó ngời dùng nhập kết quả này vàomáy tính Trong khi đó, máy chủ mã hoá con số thách đố với cùng một khoá vànếu như hai kết quả này phù hợp thì người dùng sẽ được phép vào mạng

2 Cơ chế đồng bộ thời gian

Ở đây thẻ bài hiển thị một số được mã hoá với khoá bí mật mà khoá nàythay đổi cứ 60 giây Người dùng đợc nhắc cho con số khi cố gắng đăng nhập vàomáy chủ Bởi đồng hồ trên máy chủ và thẻ được đồng bộ, cho nên máy chủ có thểxác nhận ngời dùng bằng cách giải mã con số thẻ và so sánh kết quả

3 Cơ chế đồng bộ sự kiện

Ở đây, một bộ đếm ghi lại số lần vào mạng của ngời dùng Sau mỗi lầnvào mạng, bộ đếm đợc cập nhật và một mã nhận dạng khác đợc tạo ra cho lầnđăng nhập kế tiếp

2.3 Bảo mật máy trạm

Sự kiểm tra đều đặn mức bảo mật được cung cấp bởi các máy chủ phụ thuộcchủ yếu vào sự quản lý Mọi máy chủ ở trong một công ty nên được kiểm tra từInternet để phát hiện lỗ hổng bảo mật Thêm nữa, việc kiểm tra từ bên trong vàquá trình thẩm định máy chủ về căn bản là cần thiết để giảm thiểu tính rủi ro của

hệ thống, như khi firewall bị lỗi hay một máy chủ, hệ thống nào đó bị trục trặc.Hầu hết các hệ điều hành đều chạy trong tình trạng thấp hơn với mức bảomật tối thiểu và có rất nhiều lỗ hổng bảo mật Trước khi một máy chủ khi đưavào sản xuất, sẽ có một quá trình kiểm tra theo một số bước nhất định Toàn bộcác bản sửa lỗi phải được cài đặt trên máy chủ, và bất cứ dịch vụ không cần thiếtnào phải được loại bỏ Điều này làm tránh độ rủi ro xuống mức thấp nhất cho hệthống

Việc tiếp theo là kiểm tra các log file từ các máy chủ và các ứng dụng.Chúng sẽ cung cấp cho ta một số thông tin tốt nhất về hệ thống, các tấn công bảomật Trong rất nhiều trường hợp, đó chính là một trong những cách để xác nhậnquy mô của một tấn công vào máy chủ

2.4 Bảo mật truyền thông

Tiêu biểu như bảo mật trên FTP, SSH

 Bảo mật truyền thông FTP

Hình 2-9 Bảo mật FTP

FTP là giao thức lớp ứng dụng trong bộ giao thức TCP/IP cho phép truyền

dữ liệu chủ yếu qua port 20 và nhận dữ liệu tại port 21, dữ liệu được truyền dướidạng clear-text, tuy nhiên nguy cơ bị nghe lén trong quá trình truyền file hay lấymật khẩu trong quá trình chứng thực là rất cao, thêm vào đó user mặc địnhAnonymous không an toàn tạo điều kiện cho việc tấn công tràn bộ đệm

Biện pháp đặt ra là sử dụng giao thức S/FTP (S/FTP = FTP + SSL/TSL) cótính bảo mật vì những lí do sau:

- Sử dụng chứng thực RSA/DSA

- Sử dụng cổng TCP 990 cho điều khiển, cổng TCP 989 cho dữ liệu.

- Tắt chức năng Anonymous nếu không sử dụng

- Sử dụng IDS để phát hiện tấn công tràn bộ đệm

- Sử dụng IPSec để mã hóa dữ liệu

 Bảo mật truyền thông SSH

SSH là dạng mã hóa an toàn thay thế cho telnet, rlogin hoạt động theo môhình client/server và sử dụng kỹ thuật mã hóa public key để cung cấp phiên mãhóa, nó chỉ cung cấp khả năng chuyển tiếp port bất kỳ qua một kết nối đã được

mã hóa Với telnet hay rlogin quá trình truyền username và password dưới dạngcleartext nên rất dễ bị nghe lén, bằng cách bắt đầu một phiên mã hóa

Khi máy client muốn kết nối phiên an toàn với một host, client phải bắt đầukết nối bằng cách thiết lập yêu cầu tới một phiên SSH Một khi server nhận dượcyêu cầu từ client, hai bên thực hiện cơ chế three-way handshake trong đó baogồm việc xác minh các giao thức, khóa phiên sẽ được thay đổi giữa client vàserver, khi khóa phiên đã trao đổi và xác minh đối với bộ nhớ cache của host key,client lúc này có thể bắt đầu một phiên an toàn

2.5 Bảo mật ứng dụng

 Hệ thống thư điện tử

Thư điện tử hay email là một hệ thống chuyển nhận thư từ qua các mạng

thể được gửi đi ở dạng mã hoá hay dạng thông thường và được chuyển qua cácmạng máy tính đặc biệt là mạng Internet Nó có thể chuyển mẫu thông tin từ mộtmáy nguồn tới một hay rất nhiều máy nhận trong cùng lúc

Ngày nay, email chẳng những có thể truyền gửi được chữ, nó còn có thểtruyền được các dạng thông tin khác như hình ảnh, âm thanh, phim, và đặc biệtcác phần mềm thư điện tử kiểu mới còn có thể hiển thị các email dạng sống độngtương thích với kiểu tệp HTML

- Gửi: giao thức SMTP (TCP 25)

- Nhận: giao thức POP3/IMAP (TCP 110/143)

Cấu hình Mail Server tốt, không bị open relay

Ngăn chặn Spam trên Mail Server

Cảnh giác với email lạ

- Web Client: Trong mô hình client/server, máy client là một máy trạm màchỉ được sử dụng bởi 1 người dùng với để muốn thể hiện tính độc lập cho nó.Các điểm yếu của Client như JavaScript, ActiveX, Cookies, Applets

- Web Server: Server cung cấp và điều khiển các tiến trình truy cập vào tàinguyên của hệ thống Vai trò của server như là một nhà cung cấp dịch vụ cho cácclients yêu cầu tới khi cần, các dịch vụ như cơ sở dữ liệu, in ấn, truyền file, hệthống Các lỗi thường xảy ra trong WEB Server: lỗi tràn bộ đệm, CGI/ ServerScript và HTTP, HTTPS

2.6 Thống kê tài nguyên

Hình 2-11 Thống kê tài nguyên bằng Monitoring

Là khả năng kiểm soát (kiểm kê) hệ thống mạng, bao gồm:

 Logging: Ghi lại các hoạt động phục vụ cho việc thống kê các sự kiện

trên mạng Ví dụ muốn kiểm soát xem những ai đã truy cập file server,trong thời điểm nào, làm gì (Event Viewer)

 Scanning: Quét hệ thống để kiểm soát những dịch vụ gì đang chạy

trên mạng, phân tích các nguy cơ của hệ thống mạng Ví dụ Taskmanager

 Monitoring: Phân tích logfile để kiểm tra các tài nguyên mạng được

sử dụng như thế nào Ví dụ các syslog server

III MỘT SỐ CÔNG NGHỆ BẢO MẬT

1 Bảo mật bằng VPN (Virtual Private Network)

Mạng riêng ảo là phương pháp làm cho một mạng công cộng hoạt độnggiống như mạng cục bộ, có các đặc tính như bảo mật và tính ưu tiên mà ngườidùng ưa thích VPN cho phép kết nối riêng với những người dùng ở xa, các vănphòng chi nhánh của bộ, công ty và đối tác của bộ đang sử dụng chung một mạngcông cộng

Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vàotrong một giao thức khác Trong ngữ cảnh Internet, định đường hầm cho phépnhững giao thức như IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong

IP

VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏathuận này thường được định ra trong một giới hạn trên cho phép độ trễ trung bìnhcủa gói trên mạng

VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS

Sau đây là các ưu điểm của VPN:

- Giảm chi phí thường xuyên: VPN cho phép tiết kiệm đến 60% chi phí so vớithuê đường truyền

- Giảm chi phí đầu tư: sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyếncho mạng đường trục và bộ chuyển mạch phục vụ cho việc truy cập bởi vì cácthiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ

- Giảm chi phí quản lý và hỗ trợ: với qui mô kinh tế của mình, các nhà cungcấp dịch vụ có thể mang lại cho các đơn vị sử dụng những khoản tiết kiệm cógiá trị so với việc tự quản lý mạng

- Truy cập mọi lúc mọi nơi:

 Phân cấp VPN

 Các VPN truy cập từ xa (Remote Access VPN): các VPN này cung cấptruy cập tin cậy cho những người dùng ở xa như các nhân viên di động, cácnhân viên ở xa và các văn phòng chi nhánh thuộc mạng lưới của một đơnvị

- Các VPN nội bộ (Intranet VPN): cho phép các văn phòng chi nhánh đượcliên kết một cách bảo mật đến trụ sở chính của đơn vị.

- Các VPN mở rộng (Extranet VPN): cho phép các người dùng, các nhàquản lý và các đối tác có thể truy cập một cách bảo mật đến mạng Intranetcủa đơn vị

 Cấu trúc VPN

Tất cả các VPN đều cho phép truy cập bảo mật qua các mạng công cộngbằng cách sử dụng dịch vụ bảo mật, bao gồm việc định đường hầm (tunneling) vàcác biện pháp mã hóa dữ liệu

 Các loại mạng VPN

Có hai cách chủ yếu sử dụng các VPN Các VPN có thể kết nối hai mạngvới nhau, điều này được biết đến như một mạng kết nối LAN-LAN VPN hay mộtmạng site-nối-site VPN Thứ 2, một VPN truy cập từ xa có thể kết nối một ngườidùng từ xa với mạng

 Các khối trong mạng VPN

Có 4 thành phần chính của mạng Internet VPN đó là Internet, cổng nối bảomật, máy chủ chính sách bảo mật (security policy server) và cấp quyền CA(certificate authority) (hình 2-13)

Là một hàng rào giữa hai mạng máy tính, nó bảo vệ mạng này tránh khỏi sựxâm nhập từ mạng kia, đối với những doang nghiệp cỡ vừa là lớn thì việc sửdụng firewall là rất cần thiết, chức năng chính là kiểm soát luồng thông tin giữamạng cần bảo vệ và Internet thông qua các chính sách truy cập đã được thiết lập.Firewall có thể là phần cứng, phần mềm hoặc cả hai Tất cả đều có chungmột thuộc tính là cho phép xử lý dựa trên địa chỉ nguồn, bên cạnh đó nó còn cócác tính năng như dự phòng trong trường hợp xảy ra lỗi hệ thống.

Hình 2 - 14 Mô hình tổng quát firewall

Do đó việc lựa chọn firewall thích hợp cho một hệ thống không phải là dễdàng Các firewall đều phụ thuộc trên một môi trường, cấu hình mạng, ứng dụng

cụ thể Khi xem xét lựa chọn một firewall cần tập trung tìm hiểu tập các chứcnăng của firewall như tính năng lọc địa chỉ, gói tin

 Các thành phần của Firewall và cơ chế hoạt động

Một Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:

- Bộ lọc packet ( packet-filtering router )

- Cổng ứng dụng (application-level gateway hay proxy server )

- Cổng mạch (circuite level gateway)

- Bộ lọc gói tin (Packet filtering router)

 Nguyên lý

Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông quaFirewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thứcliên mạng TCP/IP Vì giao thức này làm việc theo thuật toán chia nhỏ các dữ liệunhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạytrên các giao thức (Telnet, SMTP, DNS, SMNP, NFS ) thành các gói dữ liệu(data packets) rồi gán cho các packet này những địa chỉ để có thể nhận dạng, táilập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đếncác packet và những con số địa chỉ của chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểmtra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoả mãn mộttrong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựatrên các thông tin ở đầu mỗi packet (packet header), dùng để cho phép truyền cácpacket đó ở trên mạng Đó là:

- Địa chỉ IP nơi xuất phát ( IP Source address)

- Địa chỉ IP nơi nhận (IP Destination address)

- Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel)

- Cổng TCP/UDP nơi xuất phát (TCP/UDP source port)

- Cổng TCP/UDP nơi nhận (TCP/UDP destination port)

- Dạng thông báo ICMP ( ICMP message type)

- Giao diện packet đến ( incomming interface of packet)

- Giao diện packet đi ( outcomming interface of packet)

Nếu luật lệ lọc packet được thoả mãn thì packet được chuyển qua firewall.Nếu không packet sẽ bị bỏ đi Nhờ vậy mà Firewall có thể ngăn cản được các kếtnối vào các máy chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cậpvào hệ thống mạng nội bộ từ những địa chỉ không cho phép Hơn nữa, việc kiểmsoát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhấtđịnh vào các loại máy chủ nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet,SMTP, FTP ) được phép mới chạy được trên hệ thống mạng cục bộ

 Ưu điểm

Đa số các hệ thống firewall đều sử dụng bộ lọc packet Một trong những ưuđiểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đãđược bao gồm trong mỗi phần mềm router

Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng,

vì vậy nó không yêu cầu sự huấn luyện đặc biệt nào cả

 Hạn chế

Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, nó đòi hỏingười quản trị mạng cần có hiểu biết chi tiết vể các dịch vụ Internet, các dạngpacket header, và các giá trị cụ thể mà họ có thể nhận trên mỗi trường Khi đòihỏi vể sự lọc càng lớn, các luật lệ vể lọc càng trở nên dài và phức tạp, rất khó đểquản lý và điều khiển

Do làm việc dựa trên header của các packet, rõ ràng là bộ lọc packet khôngkiểm soát được nội dung thông tin của packet Các packet chuyển qua vẫn có thểmang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu

3 Bảo mật bằng IDS/IPS (Hệ thống Phát hiện/ Ngăn chặn xâm nhập)

IDS (Intrusion Detection System) là hệ thống phát hiện xâm nhập, hệ thốngbảo mật bổ sung cho firewall, cung cấp thêm cho việc bảo vệ an toàn thông tinmạng một mức độ cao hơn, nó tương tự như một hệ thống chuông báo động đượccấu hình để giám sát các điểm truy cập có thể theo dõi, phát hiện sự xâm nhậpcủa các attacker, có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong

hệ thống mạng và có khả năng vượt qua được firewall Có hai dạng chính đó lànetwork based và host based

Hình 2 -15 Hệ thống chống xâm nhập IDS

IDS phát triển đa dạng trong cả phần mềm và phần cứng ,mục đích chungcủa IDS là quan sát các sự kiện trên hệ thống mạng và thông báo cho nhà quản trịviên biết về an ninh của sự kiện cảm biến được cho là đáng báo động Một số IDS

so sánh các cuộc hội thoại trên mạng nghe được trên mạng với danh sách chuỗitấn công đã biết trước hay chữ ký Khi mà lưu lượng mạng được xem xét cho là

phù hợp với một chữ ký thì chúng sẽ gây ra một cảnh báo,hệ thống này gọi làSignature-based IDS Đối với việc quan sát lưu lương của hệ thống theo thờigian và xem xét các tình huống mà không phù hợp với bình thường sẽ gây ra mộtcảnh báo ,IDS này gọi là anomaly-based IDS.

Chủ động bảo vệ tài nguyên hệ thống mạng là xu hướng mới nhất trong bảomật Hầu hết các hệ thống phát hiện xâm nhập (IDS) thụ động giám sát hệ thốngcho các dấu hiệu của hoạt động xâm nhập Khi hoạt động xâm nhập được pháthiện, IDS cung cấp khả năng cho việc ngăn chặn trong tương lai với các hoạtđộng xâm nhập từ các máy chủ nghi ngờ Cách tiếp cận phản ứng này không ngănchặn lưu lượng cuộc tấn công vào hệ thống từ lúc bắt đầu đến lúc kết thúc.Tuynhiên một IPS (the intrusion prevention systems) đã có để thực hiện nhiều vai tròhơn, có thể chủ động dừng ngay các lưu lượng truy cập tấn công vào hệ thốngngay lúc ban đầu

 Hệ thống phát hiện xâm nhập mềm(Snort)

Để cài được snort thì đầu tiên xem xét quy mô của hệ thống mạng, các yêucầu để có thể cài đặt snort như là:cần không gian dĩa cứng để lưu trữ các file logghi lại cảnh báo của snort,phải có một máy chủ khá mạnh và việc chọn lựa một

hệ điều hành không kém phần quan trọng thường thì người quản trị sẽ chọn chomình một hệ điều hành mà họ sử dụng một cách thành thạo nhất.Snort có thểchạy trên các hê điều hành như window,linux

 Hệ thống phát hiện xâm nhập cứng(cisco)

Cisco cung cấp nhiều loại thiết bị phát hiện xâm nhập, có nhiều nền cảmbiến cho phép quyết định vị trí tốt nhất để giám sát hoạt động xâm nhập cho hệthống Cisco cung cấp các nền tảng cảm biến sau đây:

- Cisco Adaptive Security Appliance nâng cao Kiểm tra và phòng chốngdịch vụ bảo vệ Module (ASA AIP SSM): Cisco ASA AIP SSM sử dụng côngnghệ tiên tiến và kiểm tra công tác phòng chống để cung cấp dịch vụ hiệu năngbảo mật cao, chẳng hạn như các dịch vụ công tác phòng chống xâm nhập vàchống tiên tiến-x dịch vụ, được xác định như chống virus và spyware Cisco ASAAIP SSM sản phẩm bao gồm một Cisco ASA AIP SSM-10 mô-đun với 1-GB bộnhớ, một Cisco ASA AIP SSM-20 mô-đun với 2-GB bộ nhớ, và một Cisco ASAAIP SSM-40 mô-đun

- Cisco IPS 4.200 loạt các cảm biến: Cisco IPS 4.200 loạt các cảm biến đáng

kể để bảo vệ mạng của bạn bằng cách giúp phát hiện, phân loại, và ngăn chặn cácmối đe dọa, bao gồm cả sâu, phần mềm gián điệp và phần mềm quảng cáo virusmạng, và lạm dụng ứng dụng Sử dụng Cisco IPS Sensor Software Version 5.1,Cisco IPS giải pháp kết hợp các dịch vụ công tác phòng chống xâm nhập nội

tuyến với các công nghệ tiên tiến để cải thiện tính chính xác Kết quả là, các mối

đe dọa khác có thể được ngừng lại mà không có nguy cơ giảm lưu lượng mạnghợp pháp Cisco IPS Sensor Software bao gồm khả năng phát hiện tăng cườngkhả năng mở rộng và nâng cao, khả năng phục hồi, và vv

- Cisco 6.500 Series Intrusion Detection System Services Module (IDSM-2):6.500 Catalyst Series IDSM-2 là một phần của giải pháp của Cisco IPS Nó hoạtđộng kết hợp với các thành phần khác để bảo vệ dữ liệu của bạn có hiệu quả cơ

sở hạ tầng Với sự phức tạp gia tăng của các mối đe dọa an ninh, việc đạt đượccác giải pháp bảo mật mạng hiệu quả xâm nhập là rất quan trọng để duy trì mộtmức độ cao của bảo vệ thận trọng bảo vệ ,đảm bảo liên tục kinh doanh và giảmthiểu các hoạt động tốn kém cho việc phát hiện xâm nhập

- Cisco IPS Advance Integration Module (AIM): Cisco cung cấp một loạt cácgiải pháp IPS; Cisco IPS AIM cho Cisco 1841 Integrated Services Router vàCisco 2800 và 3.800 Series Integrated Services Routers được làm cho nhỏ và vừakinh doanh( small and medium-sized business (SMB) ) và các môi trường vănphòng chi nhánh Cisco IPS Sensor Phần mềm chạy trên Cisco IPS AIM cungcấp nâng cao, doanh nghiệp-class IPS chức năng và đáp ứng ngày càng tăng nhucầu bảo mật của các văn phòng chi nhánh Cisco IPS AIM có quy mô trong hoạtđộng để phù hợp với văn phòng chi nhánh với hệ thống mạng WAN yêu cầubăng thông ngày hôm nay và trong tương lai, bởi vì chức năng IPS là chạy trêndành riêng cho CPU của nó, vì thế không chiếm CPU của router Đồng thời, sựtích hợp của IPS lên một Integrated Services Router Cisco giữ chi phí thấp vàgiải pháp hiệu quả cho việc kinh doanh của tất cả các kích cỡ

 So sánh giữa IPS và IDS

Hiện nay, Công nghệ của IDS đã được thay thế bằng các giải pháp IPS Nếunhư hiểu đơn giản, có thể xem như IDS chỉ là một cái chuông để cảnh báo chongười quản trị biết những nguy cơ có thể xảy ra tấn công Dĩ nhiên có thể thấyrằng, nó chỉ là một giải pháp giám sát thụ động, tức là chỉ có thể cảnh báo màthôi, việc thực hiện ngăn chặn các cuộc tấn công vào hệ thống lại hoàn toàn phụthuộc vào người quản trị Vì vậy yêu cầu rất cao đối với nhà quản trị trong việcxác định các lưu lượng cần và các lưu lượng có nghi vấn là dấu hiệu của mộtcuộc tấn công Và dĩ nhiên công việc này thì lại hết sức khó khăn Với IPS, ngườiquản trị không nhũng có thể xác định được các lưu lượng khả nghi khi có dấuhiệu tấn công mà còn giảm thiểu được khả năng xác định sai các lưu lượng VớiIPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt độngtuân theo một quy luật do nhà Quản trị định sẵn IDS hiện nay chỉ sử dụng từ mộtđến 2 cơ chế để phát hiện tấn Vì mỗi cuộc tấn công lại có các cơ chế khác nhau

của nó, vì vậy cần có các cơ chế khác nhau để phân biệt Với IDS, do số lượng cơchế là ít nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn côngvới cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn công sẽ thành công,gây ảnh hưởng đến hệ thống Thêm vào đó, do các cơ chế của IDS là tổng quát,dẫn đến tình trạng báo cáo nhầm, cảnh báo nhầm, làm tốn thời gian và công sứccủa nhà quản trị Với IPS thì được xây dựng trên rất nhiều cơ chế tấn công vàhoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên

sẽ giảm thiểu được khả năng tấn công của mạng, thêm đó, độ chính xác của IPS

là cao hơn so với IDS.Nên biết rằng với IDS, việc đáp ứng lại các cuộc tấn côngchỉ có thể xuất hiện sau khi gói tin của cuộc tấn công đã đi tới đích, lúc đó việcchống lại tấn công là việc nó gửi các yêu cầu đến các máy của hệ thống để xoácác kết nối đến máy tấn công và máy chủ, hoặc là gửi thông tin thông báo đếntường lửa ( Firewall) để tường lửa thực hiện chức năng của nó, tuy nhiên, việclàm này đôi khi lại gây tác động phụ đến hệ thống Ví dụ như nếu kẻ tấn công(Attacker) giả mạo (sniffer) của một đối tác, ISP, hay là khách hàng, để tạo mộtcuộc tấn công từ chối dịch vụ thì có thể thấy rằng, mặc dù IDS có thể chặn đượccuộc tấn công từ chối dịch vụ nhưng nó cũng sẽ khóa luôn cả IP của khách hàng,của ISP, của đối tác, như vậy thiệt hại vẫn tồn tại và coi như hiệu ứng phụ củaDoS thành công mặc dù cuộc tấn công từ chối dịch vụ thất bại Nhưng với IPS thìkhác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoángay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấncông

CHƯƠNG III

HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP

(IDS/IPS)

I SỰ CẦN THIẾT CỦA IDS/IPS

1 Sự cần thiết của IDS/IPS

Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống Cáccông cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng đều có những hạnchế riêng làm hệ thống vẫn có nguy cơ bị tấn công cao vì thế cần thiết phải cómột thiết bị phát hiện và ngăn chặn các cố gắng xâm nhập vào hệ thống

Hình 3-1: Firewall bảo vệ hệ thống

Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống vàInternet bên ngoài (không đáng tin cậy) và cung cấp cơ chế phòng thủ từ vànhđai Nó hạn chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng

và làm giảm rủi ro cho hệ thống Đây là một công cụ không thể thiếu trong mộtgiải pháp bảo mật tổng thể Tuy nhiên Firewall cũng có những điểm yếu sau:

 Firewall không quản lý các hoạt động của người dùng khi đã vào được hệthống, và không thể chống lại sự đe dọa từ trong hệ thống

 Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này

có thể cho phép việc thăm dò điểm yếu

 Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường,điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công

 Hacker có thể sử dụng phương thức tác động đến yếu tố con người để đượctruy nhập một cách tin cậy và loại bỏ được cơ chế firewall

 Firewall không ngăn được việc sử dụng các modem không được xác thựchoặc không an toàn gia nhập hoặc rời khỏi hệ thống

 Firewall không hoạt động ở tốc độ có lợi cho việc triển khai Intranet

Việc sử dụng cơ chế mã hóa và VPN cung cấp khả năng bảo mật cho việctruyền thông đầu cuối các dữ liệu quan trọng Nhóm mã hóa với việc xác thựckhóa công khai và khóa mật cung cấp cho người dùng, người gửi và người nhận

sự từ chối, sự tin cậy và toàn vẹn dữ liệu