giải ngân hàng kiểm thử xâm nhập PTIT

Tất cả tài liệu: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing

1 Trình bày nguyên lý và các loại honeypot

 Nguyên lý của honeypot :

- Honeypot là hệ thống tài nguyên thông tin xây dựng với mục đích giả

dạng và đánh lừa kẻ xâm nhập, không cho kẻ xâm nhập hợp pháp, thu hút

sự chú ý, không cho tiếp xúc với hệ thống thật

- Honeypot có thể giả dạng bất kì máy chủ tài nguyên nào như DNS, mail server, trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin của tin tặc như : hình thức tấn công, công cụ tấn công, cách thức tiến hành thay vì bị tấn công

 Các loại honeypot: gồm 2 loại

- Tương tác thấp: Mô phỏng giả các dịch vụ, ứng dụng, và hệ điều hành Mức

độ rủi ro thấp, dễ triển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ

- Tương tác cao: Là các dịch vụ, ứng dụng và hệ điều hành thực Mức độ thông tin thu thập được cao Nhưng rủi ro cao và tốn thời gian để vận hành

và bảo dưỡng

 Ví dụ :

- BackOfficer Friendly (BOF):

o Một loại hình Honeypot rất dễ vận hành và cấu hình

o Có thể hoạt động trên bất kì phiên bản nào của Windows và Unix

o Chỉ tương tác được với một số dịch vụ đơn giản như FTP, Telnet, SMTP…

- Specter:

o Cũng là loại hình Honeypot tương tác thấp nhưng khả năng tương tác tốt hơn BOF,

o Giả lập trên 14 cổng, có thể cảnh báo và quản lý từ xa

o Tuy nhiên giống BOF thì specter bị giới hạn số dịch vụ và cũng không linh hoạt

- Honeyd:

o Honeyd lắng nghe trên tất cả các cổng TCP và UDP, những dịch vụ mô phỏng được thiết kế với mục đích ngăn chặn và ghi lại những cuộc tấn công, tương tác với kẻ tấn công với vai trò một hệ thống nạn nhân

o Honeyd có thể mô phỏng cùng một lúc nhiều hệ điều hành khác nhau

o Hiện nay, Honeyd có nhiều phiên bản và có thể mô phỏng được khoảng 473

hệ điều hành

o Honeyd là loại hình Honeypot tương tác thấp có nhiều ưu điểm tuy nhiên Honeyd có nhược điểm

o là không thể cung cấp một hệ điều hành thật để tương tác với tin tặc

o không có cơ chế cảnh báo khi phát hiện hệ thống bị xâm nhập hay gặp nguy hiểm

- Honeynet:

o Là hình thức honeypots tương tác cao

o Khác với honeyd, honeynet là hệ thống thật, hoàn toàn giống mạng làm việc bình thường

o Cung cấp hệ thống, ứng dụng, dịch vụ thật

o Đặc biệt là honeywall:

o Ngăn giữa honeypots và mạng bên ngoài

o Hoạt động tầng thứ 2 như Bridged

o Các luồng dữ liệu vào ra honeypot đều phải đi qua honey wall

2 Mô tả cấu trúc chứng chỉ số theo chuẩn X509.

- Version: Xác định phiên bản của chứng chỉ

- Certificate Serial Number: do CA cấp, là định danh duy nhất

- Signature algorithm identifier: Chỉ ra thuật toán CA sử dụng để đăng ký chứng chỉ

- Issuer name: tên của CA thực hiện chứng chỉ này

- Period of validity: Thời hạn của chứng chỉ:

- Not before: thời gian chứng chỉ bắt đầu có hiệu lực

- Not after: thời gian chứng chỉ hết hiệu lực

- Subject name: Xác định thực thể mà khoá công khai này được xác nhận Tên của subject phải là duy nhất đối với mỗi thực thể được CA xác nhận

- Subject’s public key info: Chứa thuật toán công khai và các tham số liên quan, khóa được sử dụng

- Issuer Unique Identifier: Là trường không bắt buộc, cho phép sử dụng tên lại tên người cấp Trường này thường không được sử dụng trong thực tế

- Subject Unique Identifier: Là trường tùy chọn cho phép sử dụng lại khi tên subject quá hạn

- Extensions: Là thành phần mở rộng, chỉ có trong chức chỉ X.509 v3

o phần 1 chứa tất cả những trường còn lại

o phần 2 chứa bản tóm tắt của phần 1 được mã hoá bằng khoá công khai của CA

o phần 3 gồm các thuật toán được sử dụng trong phần 2

3 Trình bày các mô hình hoạt động và kiến trúc cơ bản Hạ tầng khóa công khai PKI.

 Các mô hình hoạt động bao gồm :

- Single CA

- Hierarchical PKI

- Mesh PKI

a Single CA

Đây là mô hình PKI cơ bản nhất phù hợp với các tổ chức nhỏ trong đó chỉ có một CA cung cấp dịch vụ cho toàn hệ thống và tất cả người dùng đặt sự tin cậy vào

CA này Mọi thực thể muốn tham gia vào PKI và xin cấp chứng chỉ đều phải thông qua CA duy nhất này Mô hình này dễ thiết kế và triển khai nhưng cũng có các hạn chế riêng Thứ nhất là ở khả năng co giãn – khi quy mô tổ chức được mở rộng, chỉ một CA thì khó mà quản lý và đáp ứng tốt các dịch vụ Hạn chế thứ hai là CA này

sẽ là điểm chịu lỗi duy nhất, nếu nó ngưng hoạt động thì dịch vụ bị ngưng trệ Cuối cùng, nếu nó bị xâm hại thì nguy hại tới độ tin cậy của toàn bộ hệ thống và tất cả các chứng chỉ số phải được cấp lại một khi CA này được phục hồi

b Hierarchical PKI

Đây là mô hình PKI được áp dụng rộng rãi trong các tổ chức lớn Có một

CA nằm ở cấp trên cùng gọi là root CA, tất cả các CA còn lại là các Subordinate

CA (gọi tắt là sub CA) và hoạt động bên dưới root CA Ngoại trừ root CA thì các

CA còn lại trong đều có duy nhất một CA khác là cấp trên của nó Hệ thống tên miền DNS trên Internet cũng có cấu trúc tương tự mô hình này

c Mesh PKI

Nổi lên như một sự thay thế chính cho mô hình Hierarchical PKI truyền thống, thiết kế của Mesh PKI giống với kiến trúc Web-of-Trust trong đó không có một CA nào làm root CA và các CA sẽ có vai trò ngang nhau trong việc cung cấp dịch vụ Tất cả người dùng trong mạng lưới có thể tin cậy chỉ một CA bất kỳ, không nhất thiết hai hay nhiều người dùng phải cùng tin một CA nào đó và người dùng tin cậy CA nào thì sẽ nhận chứng chỉ do CA đó cấp

Các CA trong mô hình này sau đó sẽ cấp các chứng chỉ cho nhau Khi hai CA cấp chứng chỉ cho nhau thì một sự tin cậy hai chiều được thiết lập giữa hai CA đó Các CA mới có thể được thêm vào bằng cách tạo các mối tin cậy hai chiều giữa chúng với các CA còn lại trong mạng lưới

Dưới góc độ các hoạt động quản lý hệ thống PKI, những đối tượng tham gia vào hệ thống PKI bao gồm: các đối tượng sử dụng(End Entity - EE),

các đối tượng quản lý chứng chỉ số (Certificate

Authority - CA) và các đối tượng quản lý đăng ký (Registration

Authorities - RA) và các hệ thống lưu trữ

 Kiến trúc cơ bản :

 (1) : Người dùng gửi yêu cầu phát hành thẻ chứng thư số và khóa công khai của nó đến RA;

 (2) : Sau khi xác nhận tính hợp lệ định danh của người dùng thì RA sẽ chuyển yêu cầu này đến CA;

 (3) : CA phát hành thẻ chứng thư số cho người dùng;

 (4) : Sau đó người dùng “ký” thông điệp trao đổi với thẻ chứng thư số mới vừa nhận được từ CA và sử dụng chúng (thẻ chứng thực số + chữ ký số) trong giao dịch;

 (5) : Định danh của người dùng được kiểm tra bởi đối tác thông qua sự hỗ trợ của VA;

VA (validation authority) : Cơ quan xác thực của bên thứ ba có thể cung cấp thông tin thực thể này thay mặt cho CA.)

 (6) : Nếu chứng thư số của người dùng được xác nhận tính hợp lệ thì đối tác mới tin cậy người dùng và có thể bắt đầu quá trình trao đổi thông tin với nó (VA nhận thông tin về thẻ chứng thư số đã được phát hành từ CA (a))

4 Trình bày các phương pháp điều khiển truy cập

 Điều khiển truy nhập truỳ chọn – Discretionary Access Control :

Là các cơ chế hạn chế truy nhập đến các đối tượng dựa trên thông tin nhận dạng của các chủ thể hoặc nhóm các chủ thể (bạn là ai, bạn biết những gì, bạn có gì) Cơ chế này cũng cho phép người dùng có thể cấp hoặc huỷ quyền truy nhập cho các người dùng khác đến các đối tượng thuộc quyền sở hữu của họ

 Điều khiển truy nhập bắt buộc – Mandatory Access Control (MAC) :

- Là các cơ chế hạn chế truy nhập đến các đối tượng dựa trên 2 yếu tố chính:

tính nhạy cảm của thông tin chứa trong các đối tượng và sự trao quyền chính thức cho các chủ thể truy nhập các thong tin nhạy cảm này Đặc điểm

nổi bật của cơ chế là nó cũng không cho phép người tạo ra đối tượng có toàn quyền truy nhập đến các đối tượng này Quyền truy nhập phải tuân thủ theo chính sách mà tổ chức đặt ra

- Các mức nhạy cảm:

o Tối mật: gây thiệt hại trầm trọng đến an ninh quốc gia nếu bị lộ

o Tuyệt mật: gây 1 loạt thiệt hại đến an ninh quốc gia nếu bị lộ

o Bí mật: có thể dẫn đến thiệt hại với an ninh quốc gia nếu bị lộ

o Không phân loại: không gây thiệt hại với an ninh quốc gia nếu bị lộ

 Điều khiển truy nhập dựa trên vai trò – Role Based Access Control :

Cho phép người dùng truy nhập vào hệ thống và thông tin tuỳ thuộc vào vai trò của họ trong cơ quan, tổ chức Áp dụng theo từng nhóm người hoặc người dùng riêng lẻ Các vai trò được tổ chức thành một cây theo mô hình phân cấp

 Điều khiển truy nhập dựa trên luật – Rule Based Access Control :

Cơ chế này cho phép người dùng truy nhập vào hệ thống và thông tin dựa trên các luật đã được định nghĩ trước Áp dụng cho các người dùng thuộc 1 tên miền, một mạng hay một dải địa chỉ IP mà hệ thống cho phép truy nhập đến tài nguyên của mình Cơ chế kiểm soát truy nhập này cần sử dụng các thông tin như:

- Địa chỉ IP nguồn và đích các gói tin

- Phần moẻ rộng các file để lọc các mã độc

- Địa chỉ IP hoặc các tên miền để lọc, chặn các website bị cấm.

- Tập từ khoá để lọc các nội dung bị cấm

5 Trình bày khái niệm về tường lửa, phân loại và mô tả các loại tường lửa phổ biến

 Khái niệm :

Tường lửa là một trong các kỹ thuật được sử dụng phổ biến nhất để bảo vệ

hệ thống và mạng cục bộ tránh các đe doạ từ bên ngoài Tường lửa có thể là một thiết bị phần cứng chuyên dụng hoặc mô đun phần mềm

 Phân loại :

Dựa trên vị trí lớp giao thức mạng mà ta có nhiều loại tường lửa khác nhau:

- Tường lửa lọc gói: thực hiện việc lọc gói tin IP, theo dó một tập hoặc 1 nhóm luật được áp dụng cho mỗi gói tin gửi / nhận có hợp pháp hay không, loại bỏ bất kỳ gói tin nào không hợp lệ

- Cổng ứng dụng: còn gọi la fmasy chủ proxy thường sử dụng để phát lại lưu lượng mạng ở mức ứng dụng Thường thực hiện lọc các yêu cầu / phản hồi ở các giao thức HTTP, SMTP FTP,…

- Cổng chuyển mạch: hoạt động ở mức thấp nhất với cơ chế tương tự như các

bộ chuyển mạch

Tường lửa trạng thái: đây là tường lửa theo dõi trạng thái của mọi kết nối mạng đi qua các giao thức cho đến khi kết nối cụ thể bị đóng Nó giữ một bảng tất cả các giá trị tiêu đề giao thức khác nhau trong khi các gói đi qua lại trong hệ thống

6 Trình bày về nguyên lý của giao thức IPSec, cấu trúc dữ liệu và

phương thức hoạt động của AH và ESP

 Nguyên lý của giao thức IPSec :

- Internet Protocol Security (IPSec) là một bộ giao thức mạng bảo mật mà việc xác thực và mã hóa các gói dữ liệu được gửi qua mạng IP

- Giao thức IPSec được chuẩn hoá vào năm 1995, IPSec định nghĩa 2 loại tiêu đề cho các gói tin IP để điều khiển quá trình xác thực và mã hoá:

o Xác thực tiêu đề IP-AH

o Bọc gói bảo mật tải ESP

- IPSec VPN cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI

 Xác thực tiêu đề AH (Authentication Header)

- Xác thực tiêu đề AH trong hệ thống IPSec được chèn vào giữa tiêu đề IP

và nội dung, không làm thay đổi nội dung của gói dữ liệu

- Xác thực tiêu đều AH gồm 5 trường: trường tiêu đề kế tiếp (Next Header Field), chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter Index), số tuần tự (Sequence Number), dữ liệu xác thực

(Authentication Data)

 Bọc gói bảo mật tải ESP (Encapsulation Security Payload)

- Bọc gói bảo mật tải ESP có nhiệm vụ mã hoá dữ liệu, nên nội dung của gói

sẽ bị thay đổi

- ESP gồm các SPI để chỉ cho bên nhận biết cơ chế bảo mật thích hợp cho việc xử lý gói tin Số tuần tự trong ESP là bộ đếm tăng mỗi khi gói được gửi đến cùng một địa chỉ

7 Trình bày nguyên lý và mô hình hoạt động của giao thức SSL

 Nguyên lý hoạt động SSL :

- SSL được phát triển bởi Netscape, ngày nay giao thức SSL đã được sử dụng rộng rãi trên World Wide Web trong việc xác thực và mã hoá thông tin giữa client và server

- SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP, IMAP và FTP

- SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

 Mô hình hoạt động SSL :

Qua ví dụ trên thì:

- A là server, B là client

- Chứng minh thư là chính chỉ SSL

- Cơ quan công an là tổ chức CA (Certification Authority); là một tổ chứng

mà 2 ông A, B đều tin cậy, là người cấp SSL

- Nếu ông C mà nghe lén được thông tin của A, B thì cũng không giải mã được vì không có key

 Có 2 cách tạo SSL:

- Nhờ một tổ chức CA cấp, là tổ chức có độ tin cậy cao, được quyền cấp và chứng nhận SSL Tất nhiên là chúng ta phải mất tiền để mua chứng chỉ SSL

- Self-signed SSL: là tự server cấp, tự kí, tự xác thực (ko an toàn và tin tưởng bằng nhờ bên thứ 3)

8 Trình bày nguyên lý tấn công và phương pháp phòng chống DdoS

 Nguyên lý tấn công DdoS :

- Tấn công DDoS (Distributed Denial of Service) là một loại tấn công DoS đặc biệt, liên quan đến việc gây ngập lụt các máy nạn nhân với một lượng rất lớn các yêu cầu kết nối giả mạo

- Điểm khác biệt chính giữa DDoS và DoS là phạm vi (scope) tấn công: trong khi số lượng máy tham gia tấn công DoS thường tương đối nhỏ, chỉ gồm một số ít máy tại một, hoặc một số ít địa điểm, thì số lượng máy tham gia tấn công DDoS thường rất lớn, có thể lên đến hàng ngàn, hoặc hàng trăm ngàn máy, và các máy tham gia tấn công DDoS có thể đến từ rất nhiều vị trí địa lý khác nhau trên toàn cầu Do vậy, việc phòng chống tấn công DDoS gặp nhiều khó khăn hơn so với việc phòng chống tấn công DoS

- Có thể chia tấn công DDoS thành 2 dạng chính theo mô hình kiến trúc:

o tấn công DDoS trực tiếp (Direct DDoS) : các yêu cầu tấn công được các máy tấn công gửi trực tiếp đến máy nạn nhân

o tấn công DDoS gián tiếp hay phản xạ (Indirect/Reflective DDoS) : các yêu cầu tấn công được gửi đến các máy phản xạ (Reflectors) và sau đó gián tiếp chuyển đến máy nạn nhân

a. Tấn công DDoS trực tiếp

- Kẻ tấn công (Attacker) chiếm quyền điều khiển hàng ngàn, thậm chí hàng chục ngàn máy tính trên mạng Internet, sau đó bí mật cài các chương trình tấn công tự động (Automated agents) lên các máy này Các automated agents còn được gọi là các Bot hoặc Zombie (Máy tính ma);

- Các máy bị chiếm quyền điều khiển hình thành mạng máy tính ma, gọi là botnet hay zombie network Các botnet, hay zombie network không bị giới hạn bởi chủng loại thiết bị và tô pô mạng vật lý;

- Kẻ tấn công có thể giao tiếp với các máy botnet, zombie thông qua một mạng lưới các máy trung gian (handler) gồm nhiều tầng Phương thức giao tiếp có thể là IRC (Internet Relay Chat), P2P (Peer to Peer), HTTP,…

- Tiếp theo, kẻ tấn công ra lệnh cho các automated agents đồng loạt tạo các yêu cầu giả mạo gửi đến các máy nạn nhân tạo thành cuộc tấn công DDoS;

- Lượng yêu cầu giả mạo có thể rất lớn và đến từ rất nhiều nguồn, vị trí địa lý khác nhau nên rất khó đối phó và lần vết để tìm ra kẻ tấn công thực sự

b. Tấn công DDoS gián tiếp

- Kẻ tấn công chiếm quyền điều khiển của một lượng lớn máy tính trên mạng Internet, cài đặt phần mềm tấn công tự động bot/zombie (còn gọi là slave), hình thành nên mạng botnet;

- Theo lệnh của kẻ tấn công điều khiển các Slave/Zombie gửi một lượng lớn yêu cầu giả mạo với địa chỉ nguồn là địa chỉ máy nạn nhân đến một số lớn các máy khác (Reflectors) trên mạng Internet;

- Các Reflectors gửi các phản hồi (Reply) đến máy nạn nhân do địa chỉ của máy nạn nhân được đặt vào địa chỉ nguồn của yêu cầu giả mạo;

- Khi các Reflectors có số lượng lớn, số phản hồi sẽ rất lớn và gây ngập lụt đường truyền mạng hoặc làm cạn kiệt tài nguyên của máy nạn nhân, dẫn đến ngắt quãng hoặc ngừng dịch vụ cung cấp cho người dùng Các Reflectors bị