Một số kỹ thuật và xây dựng mô hình phòng thủ mạng

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ Các cuộc tấn công chống lại Visa và MasterCard đã làm tê liệt trang web của công ty họ trong nhiều giờ, nhưng sau đó mặc dù các

Trang 1

Số húa bởi Trung tõm Học liệu http://www.lrc-tnu.edu.vn/

đại học thái nguyên

Tr-ờng đại học CÔNG NGHệ THÔNG TIN Và TRUYềN THÔNG

DƯƠNG THANH TUẤN

MỘT SỐ KỸ THUẬT

VÀ XÂY DỰNG Mễ HèNH PHềNG THỦ MẠNG

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

thái nguyên - năm 2014

Trang 2

Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/

LỜI CAM ĐOAN

Luận văn tốt nghiệp là sản phẩm tổng hợp toàn bộ các kiến thức mà sinh viên đã học được trong suốt thời gian học tập tại trường đại học Ý thức được điều đó, với tinh thần nghiêm túc, tự giác cùng sự lao động miệt mài của bản than và sự hướng dẫn tận tình của thầy giáo TS Hồ Văn Canh em đã hoàn thành xong luận văn tốt nghiệp cao học của mình

Em xin cam đoan: Nội dung luận văn của em không sao chép nội dung

cơ bản từ các luận văn khác và sản phẩm của luận văn là của chính bản thân

em nghiên cứu xây dựng lên Mọi thông tin sai lệch em xin hoàn toàn chịu trách nhiệm trước hội đồng bảo vệ

Học viên

Dương Thanh Tuấn

Trang 3

LỜI CẢM ƠN

Qua thời gian học tập và rèn luyện tại Trường Công nghệ thông tin – Đại học Thái Nguyên, đến nay chúng em đã kết thúc khóa học 2 năm và hoàn thành luận án tốt nghiệp Để có được kết quả này em xin chân thành cảm ơn: Ban chủ nhiệm khoa Công nghệ thông tin cùng các thầy, cô giáo trong khoa đã giảng dạy, quan tâm và tạo điều kiện thuận lợi để chúng em học tập

và rèn luyện trong suốt thời gian theo học tại trường

Thầy giáo - TS Hồ Văn Canh đã tận tình hướng dẫn, giúp đỡ em trong quá trình học tập và đặc biệt là trong suốt thời gian làm luận văn tốt nghiệp Thầy luôn quan tâm và rất nhiệt tình hướng dẫn em từ việc tìm tài liệu cho đến việc định hướng lựa chọn giải pháp để triển khai luận văn Thầy cũng luôn nhắc nhở, động viên em mỗi khi gặp khó khăn, nhờ vậy mà em đã hoàn

thành tốt luận văn tốt nghiệp của mình đúng thời hạn

Em cũng xin gửi lời cảm ơn tới gia đình, tập thể lớp Cao học CK11G, ban quan hệ quốc tế, trung tâm hợp tác quốc tế (ICC) – Đại học Thái Nguyên

đã động viên, giúp đỡ, tạo điều kiện cho em được giao lưu, học hỏi với các

thầy giáo, sinh viên trên quốc tế trong thời gian học tập tại Thái Nguyên

Trang 4

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CẢM ƠN iii

MỤC LỤC iv

DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT vi

DANH MỤC CÁC HÌNH VẼ vii

LỜI MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 2

1.1 Tình hình an ninh mạng trong nước và quốc tế 2

1.1.1 Tình hình an ninh mạng tại Việt Nam 2

1.1.2 Tình hình an ninh mạng tại Thế Giới 5

1.2 Các yếu tố về an ninh mạng 6

1.3 Hacker và ảnh hưởng của hacker 8

1.4 Các lỗ hổng bảo mật của mạng máy tính và hệ điều hành 11

1.4.1 Các lỗ hổng bảo mật của hệ điều hành 11

1.4.2 Các lỗ hổng bảo mật của mạng máy tính 15

1.4.3 Hiểm hoạ chiến tranh thông tin trên mạng 20

1.4.4 Một số sai sót của người sử dụng máy tính 22

1.5 Kết luận chương 24

CHƯƠNG 2: NGHIÊN CỨU MỘT SỐ KỸ THUẬT PHÒNG THỦ 26

2.1 Một số kỹ thuật phòng thủ 26

2.1.1 Firewall 26

2.1.2 IP Security 31

2.1.3 Mã hóa công khai và chứng thực thông tin 36

2.1.4 Hệ thống phát hiện xâm nhập (Intrustion Detection System - IDS) 48

Trang 5

CHƯƠNG 3: BẢO MẬT WEB VÀ XÂY DỰNG MỘT SỐ MÔ HÌNH

PHÒNG THỦ MẠNG 58

3.1 Bảo mật Web 58

3.1.1 Tim hiểu ứng dụng web 58

3.1.2 Bảo mật ứng dụng web 59

3.2 Đề xuất phương án phòng thủ 62

3.2.1 SQL Injection 62

3.2.2 Session Hijacking 65

3.2.3 Cross Site Scripting (XSS) 66

3.3 Xây dựng mô hình demo phòng thủ 69

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 73

1 Kết quả đạt được 73

2 Hướng phát triển 73

TÀI LIỆU THAM KHẢO 74

Trang 6

DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT

OSI Open System Interconnection

AH Giao thức xác thực AH-Authentication Header

ESP Giao thức đóng gói (xác thực + bảo mật) ESP -

Encapsulating Security Payload

CA Cấp giấy xác nhận - Certification Authority

SPI Chỉ số tham số bảo mật - Security Parameter Index

CVP Thời hạn hiệu lực của chứng chỉ -Certificate Validity Period Mesh CA

Model

Mô hình CA dạng lưới

Trang 7

DANH MỤC CÁC HÌNH VẼ

Hình 1.1 Mô hình mạng máy tính 16

Hình 2.1 Mô hình firewall phần cứng 26

Hình 2.2 Mô hình firewall phần mềm 27

Hình 2.3 Mô hình sử dụng Packet-Filtering Router 28

Hình 2.4 Mô hình Screen Host Firewall 28

Hình 2.5 Mô hình Screened-subnet firewall 29

Hình 2.6 Mô hình OSI (Open System Interconnection) 32

Hình 2.7 Mô hình hoạt động trong giao thức AH 33

Hình 2.8 Mô hình hoạt động trong giao thức ESP 34

Hình 2.9 Cấu trúc bên trong chia sẻ hệ thống chi sẻ 41

Hình 2.10 Mô hình của Root CA 41

Hình 2.11 Mô hình Mesh CA 42

Hình 2.12 Chuẩn MD5 44

Hình 2.13 Quy trình ký và thẩm tra chữ ký số 45

Hình 2.14 Quá trình ký vào tài liệu điện tử sử dụng Private Key 46

Hình 2.15 Quản lý khóa sử dụng Private Key 48

Hình 2.16 Mô hình kiến trúc phát hiện xâm nhập IDS 48

Hình 2.17 Network base IDS 50

Hình 2.18 Host base IDS 52

Hình 2.19 Cấu trúc IP Header 54

Hình 2.20 Cấu trúc TCP Header 55

Hình 3.1 Mô hình quá trình duyệt Web 58

Hình 3.2 Mô hình phương thức tấn công 60

Hình 3.3 Demo website tinhte.vn bị lộ thông tin phát triển website 70

Hình 3.4 Demo chương trình phòng thủ website 70

Hình 3.5 Demo cách config để xóa thông tin X-AspNet-Version 71

Hình 3.6 Demo cách config để xóa thông tin X-Powered-By 71

Hình 3.7 Kết quả sau khi config để ẩn các thông tin bị lộ 71

Trang 8

LỜI MỞ ĐẦU

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy

tính và sự phát triển của mạng internet ngày càng phát triển đa dạng và phong phú Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội Các thông tin trên internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh

tế, tính chính xác và tính tin cậy của nó

Bên cạnh đó, cách hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn Do đó đối với hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết Xuất phát từ những thực tế đó, chúng ta sẽ tìm hiểu về các cách tấn công phổ biến nhất hiện nay và các cách phòng thủ các loại tấn công này, đặc biệt là phòng thủ trong website

Được sự giúp đỡ của thầy giáo TS Hồ Văn Canh cùng với nhu cầu thực tế về tấn công, phòng thủ mạng, em thực hiện luận văn tốt nghiệp với những mặt mình đã đạt được: Hiểu được và nắm vững các cách phòng thủ, tấn công mạng cơ sở nhất, mong muốn góp một phần nhỏ vào việc nghiên cứu và tìm hiểu về các vấn đề an ninh mạng giúp cho việc học tập và nghiên cứu

Tuy nhiên, trong thời gian có hạn và khả năng tìm hiểu của em còn nhiều hạn chế nên trong luận văn này không thể trách được thiếu sót Kính mong các thầy cô, cùng các bạn sinh viên trong khoa đóng góp ý kiến để luận văn của em không những được hoàn thiện hơn trong đợt bảo vệ tốt nghiệp này Em mong, với sự đóng góp nhiệt tình của các thầy, cô giáo cùng với các bạn sinh viên sẽ giúp em hoàn thiện và phát triển luận văn tốt nghiệp của em thành sản phẩm thương mại có tính ứng dụng thực tế mang lợi ích đến người dùng đồng thời cũng là một tài liệu quí giá để cho các bạn sinh viên khóa sau lấy để tham khảo và phát triển tiếp những phần còn chưa đạt được

Em xin chân thành cảm ơn!

Thái Nguyên, ngày 29 tháng 09 năm 2014

Học viên: Dương Thanh Tuấn

Trang 9

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG

1.1 Tình hình an ninh mạng trong nước và quốc tế

1.1.1 Tình hình an ninh mạng tại Việt Nam

Khi CNTT ngày càng phát triển, Internet ngày càng được sử dụng rộng rãi và đa dạng, thì vấn đề an ninh mạng càng trở nên phức tạp và nóng bỏng Đặc biệt là trong những năm gần đây

Dưới đây là tình hình an ninh mạng tại Việt Nam một vài năm trở lại đây:

Số liệu chung:

Máy tính bị nhiễm virus (Triệu lượt)

Dòng virus mới

Số Website Việt Nam bị hacker tấn công

Các website và hệ thống Server liên tục bị tấn công

Hiệp hội an toàn thông tin Việt Nam cho biết: “Việt Nam là 1 trong 5 nước có nguy cơ mất an toàn thông tin cao nhất”

Hiện số thuê bao Internet chiếm gần 32% dân số Việt Nam Đa số các doanh nghiệp và các tổ chức có hệ thống mạng và website giới thiệu, quảng

Trang 10

bá thương hiệu, với gần 200.000 tên miền vn, và hàng triệu tên miền thương mại Có rất nhiều doanh nghiệp đã ứng dụng thanh toán trưc tuyến vào công việc kinh doanh và giao dịch

Thế nhưng, mạng Internet Việt Nam còn rất nhiều tiềm ẩn, nguy cơ về

an ninh an toàn thông tin Năm 2010 được đánh giá là năm thực sự nóng bỏng của an ninh an toàn thông tin trên thế giới chung và an ninh mạng Việt Nam nói riêng Hàng loạt website lớn bị tấn công với mức độ phức tạp ngày càng gia tăng Ở nước ta, theo đánh giá của một số chuyên gia về an ninh mạng, các tên miền vn đang đứng hàng thứ 3 trong bảng xếp hạng các tên miền có nguy cơ bị tấn công Cách đây chưa lâu, cuộc tấn công quy mô lớn, liên tục và kéo dài đã phá hủy hầu như gần hết cơ sở dữ liệu đã lưu trữ 10 năm của báo Vietnamnet

Các cuộc tấn công trên mạng chủ yếu có mục tiêu vụ lợi, có tổ chức và mang tính quốc tế đang nở rộ với quy mô lớn Thủ phạm các cuộc tấn công nhằm vào các website có trình độ cao, hình thức tấn công tinh vi, chuyên nghiệp và rất khó chống đỡ Mục tiêu của hacker không chỉ là các tổ chức, doanh nghiệp tài chính, ngân hàng mà là tất cả hệ thống Các cuộc tấn công trên là một lời cảnh báo về an toàn thông tin đối với các báo điện tử và những website quan trọng của Việt Nam

Năm 2011, đã có 38.961 dòng virus xuất hiện mới, lây lan nhiều nhất là virus W32.Sality.PE Virus này đã lây nhiễm trên 4.2 triệu lượt máy tính Cũng trong 2011, đã có 2,245 website của các cơ quan, doanh nghiệp tại Việt Nam bị tấn công, tính trung bình mỗi tháng có 187 website bị tấn công

Năm 2011 là năm của các cuộc tấn công mạng, liên tiếp xảy ra các cuộc tấn công với các hình thức khác nhau vào hệ thống của các tổ chức, doanh nghiệp tại Việt Nam Có những cuộc tấn công xâm nhập trái phép phá hoại cơ sở dữ liệu hoặc deface các website Cũng có những cuộc tấn công

Trang 11

DDOS làm tê liệt hệ thống trong thời gian dài Tấn công cướp tên miền của doanh nghiệp cũng đã diễn ra liên tiếp Nguy hiểm hơn, cũng đã xuất hiện nhiều cuộc tấn công âm thầm, cài đặt virus gián điệp đánh cắp tài liệu của các

cơ quan quan trọng

Nhu cầu về an ninh mạng

Tại TP HCM, số lượng các trường đào tạo về ngành An ninh mạng chưa nhiều, nên số lượng nhân lực nhìn chung không đáp ứng đủ nhu cầu Nhân lực ngành An Ninh Mạng hiện nay lại vừa thiếu về số lượng vừa không mạnh mẽ về chuyên môn

Căn cứ trên số liệu của Trung tâm Dự báo nhu cầu nhân lực và Thông tin thị trường lao động TP.HCM trong giai đoạn 2011-2015, mỗi năm thành phố cần

từ 8.000 -10.000 nhân lực ngành CNTT Trong đó, ngành Hệ thống thông tin –

An ninh mạng cần khoảng 1.000 người, 50% số này cần có trình độ chuyên môn giỏi Nhu cầu tuyển dụng ngành CNTT năm 2011 vừa qua tăng 21,21% so với năm 2010 và tiếp tục có xu hướng tăng trong những năm tới

Đa số các Doanh nghiệp Việt Nam hiện nay đã ý thức được tầm quan trọng của việc bảo đảm an toàn các thông tin trên hệ thống mạng vì đó chính

là tài sản của Doanh nghiệp Đặc biệt là trong thời buổi mà hoạt động kinh doanh đang phát triển theo hướng số hóa Thất thoát thông tin cũng đồng nghĩa với việc túi tiền của Doanh nghiệp bị hao hụt

Các giao dịch ở Việt Nam và trên thế giới hiện tại và tương lai đa số diễn ra trên mạng Việc bảo mật thông tin thật sự vô cùng quan trọng Trong năm 2008, có nhiều sự kiện lớn đối với ngành an ninh mạng tại Việt Nam Sự

cố bảo mật của nhà cung cấp tên miền PA Việt Nam hay vụ website ngân hàng Techcombank bị đột nhập là những ví dụ nổi bật Nó cho thấy an ninh mạng đang là vấn đề nóng sốt với nhiều doanh nghiệp ứng dụng CNTT tại

Trang 12

Việt Nam hiện nay Nguyên nhân chính là do nguồn nhân lực chuyên gia an ninh mạng hiện vừa thiếu về số lượng lại vừa yếu chuyên môn

Chỉ tính riêng thống kê của Hiệp hội Ngân hàng và chứng khoán Việt Nam, số lượng chi nhánh ngân hàng và các công ty chứng khoán ở Việt Nam

đã trên mức hàng ngàn Hoạt động của các công ty chứng khoán và ngân hàng đều dựa trên hệ thống CNTT Giao dịch giữa các ngân hàng với nhau, giữa ngân hàng với khách hàng… đều thông qua mạng Internet

1.1.2 Tình hình an ninh mạng tại Thế Giới

Hacker Trung Quốc tấn công các trang web của Mỹ bao gồm cả Google Một báo cáo mới đây của tờ NEW YORK TIMES đã chỉ ra rằng, với

sự hỗ trợ của chính quyền Trung Quốc hacker đã tiến hành hack máy tính rộng rãi trên các cơ quan chính phủ Mỹ và cả các công ty, bao gồm cả mạng lưới máy tính của Google

Theo một cuộc kiểm tra 250.000 điện tín ngoại giao được công bố bởi WikiLeaks.org của báo chí Mỹ cho thấy rằng các cuộc tấn công bởi tin tặc nhắm vào các bộ cơ quan cấp cao, nhằm mục đích lấy một lượng lớn các thông tin quân sự của chính phủ Mỹ Một cuộc tấn công không được công bố trước đó của hacker Trung Quốc được sự chỉ đạo của Đảng Cộng Sản trong năm 2008 đã đánh cắp hơn 50 triệu email, tên người dùng và mật khẩu từ một

cơ quan chính phủ Mỹ

Một dấu hiệu cho thấy an ninh mạng cần được nâng cao nhanh chóng, hai công ty, McDonal Corp và Walgreen Co, cho biết họ đã bị tấn công trong tuần qua, cùng với công ty truyền thông Hoa Kỳ Sau báo cáo MasterCard và Visa, bị tấn công tuần trước bởi một nhóm hacker Pro – WikiLeaks, được biết đến với tên là “vô danh”, McDonal cho biết hệ thống của mình đã bị tấn công

và các thông tin khách hàng bao gồm email, thông tin liên lạc, ngày sinh và thông tin chi tiết khác đã bị đánh cắp

Trang 13

Các cuộc tấn công chống lại Visa và MasterCard đã làm tê liệt trang web của công ty họ trong nhiều giờ, nhưng sau đó mặc dù các cuộc tấn công trên đã được ngăn chặn và phát hiện nhưng các trang web bán lẻ sử dụng phương pháp tương tự, nó đã không có tác dụng, các dữ liệu bất hợp pháp tràn lan đã được chặn bởi mạng lưới toàn cầu của Akamai Technologies

Tin tặc đã đột nhập vào trang web của NewYork Tour Company và khoảng 110.000 số thẻ ngân hàng bị đánh cắp, họ đã phá vỡ bằng cách sử dụng một cuộc tấn công SQL Injection trên trang này Trong cuộc tấn công SQL Injection, tin tặc tìm cách để chèn lệnh cơ sở dữ liệu thực sự vào máy chủ bằng cách sử dụng Web, họ làm điều này bằng cách thêm vào văn bản thiết kế đặt biệt vào các hình thức webbase hoặc các hộp tìm kiếm được sử dụng để truy vấn cơ sở dữ liệu

1.2 Các yếu tố về an ninh mạng

Mới đây Tập đoàn Dữ liệu Quốc tế IDG, Tổng cục Hậu cần Kỹ thuật (Bộ Công an), Ban Cơ yếu Chính phủ (Bộ Quốc phòng), VNCERT và Hiệp hội

Internet Việt Nam (VIA) đã hợp tác tổ chức Hội thảo về An ninh Bảo mật 2014

(Security World 2014), tại Hà Nội Chủ để xuyên suốt chương trình này là “Gắn kết chiến lược an toàn thông tin với các mục tiêu tăng trưởng và phát triển”

Trang 14

Đáng chú ý trong buổi hội thảo này đó là bài phát biểu của Giám đốc Bảo mật Mạng của Huawei tại Vương quốc Anh - ông David Francis, chia sẻ

về chiến lược An ninh mạng (cyber security) “tích hợp” Theo ông, chiến

lược này bao gồm 11 yếu tố như sau:

- Chiến lược, quản trị và kiểm soát: Cần xây dựng một chiến lược

tổng thể và trách nhiệm giải trình những gì xảy ra;

- Các tiêu chuẩn và quy trình: Đứng giữa bối cảnh như hiện nay cần

phải tìm phương án bảo vệ trước các nguy cơ đe dọa bằng cách thiết lập các tiêu chuẩn tốt nhất và các phương pháp luận

- Luật và các quy định: Nhằm hướng các sản phẩm và hoạt động của

công ty tuân thủ pháp luật tại mọi khu vực mà nó hoạt động

- Nguồn nhân lực: Kiểm soát các vấn đề bằng cách sử dụng triệt để

nguồn nhân lực, đúng người, đúng vị trí và với cách hành xử phù hợp

- Nghiên cứu và phát triển: Đảm bảo quy trình thiết kế, xây dựng,

kiểm định các sản phẩm theo một cách thức bảo mật chặt chẽ

- Kiểm tra - Không giả định, không tin ai, kiểm tra mọi thứ: Sử

dụng nhiều cách kiểm tra bảo mật độc lập, theo từng lớp để nâng cao bảo mật hơn

- Quản lý nhà cung cấp thứ ba: Khi có sự góp mặt của bên thứ ba thì

cần bảo mật nghiêm ngặt hơn

- Sản xuất: Trước khi đưa ra thị trường, việc sản xuất các sản phẩm

phải đảm bảo bảo mật theo từng bước

- Cung cấp các dịch vụ một cách an toàn: Phải bảo đảm từ quá trình

cài đặt, dịch vụ cho tới việc hỗ trợ bảo mật

- Khi gặp sự cố - vấn đề, lỗ hổng và giải pháp khắc phục: Trong

trường hợp phát sinh lỗi bảo mật, cần nhanh chóng khắc phục và bảo đảm an toàn cho sản phẩm của khách hàng

Trang 15

- Kiểm toán: Thực hiện kiểm toán chặt chẽ để bảo đảm mọi bộ phận

phù hợp với chiến lược

- Các hệ thống mạng mở đã kết nối thế giới, mở rộng cơ hội giao thương giữa các khu vực và phát triển thương mại toàn cầu, thúc đẩy tiến bộ xã hội Tuy nhiên, đi kèm với những đóng góp to lớn này là mối đe dọa an ninh mạng Theo David Francis, vấn đề bảo mật là nhiệm vụ chung của tất cả các

doanh nghiệp trên toàn thế giới Những mối đe dọa phát sinh từ an ninh

mạng không chỉ ảnh hưởng tới một doanh nghiệp hay một quốc gia mà nó sẽ

gây tổn hại cho cả một hệ thống xuyên quốc gia Do đó cần có sự hợp tác quốc tế để giải quyết vấn đề này

1.3 Hacker và ảnh hưởng của hacker

- Dĩ nhiên đó là những người am hiểu công nghệ thông tin, đặc biệt là

an ninh mạng Nhiều tiêu chí khác nhau để phân biệt Hacker ví dụ như Mũ trắng, mũ xám, mũ đen Cũng có thể là Newbie, ScriptKiddie

Sự phân chia như trên không có ích gì nhiều lắm cho vấn đề bảo mật, có khi

nó còn mang tính “miệt thị” Vì vậy một Website (TX) chia Hacker theo động

cơ hành động Chính vì hiểu được động cơ mà sẽ ít khó khăn hơn khi điều tra các Hacker quậy phá, cũng như phòng thủ chắc chắn hơn Dưới đây, là cách phân loại các Hacker trên Website (TX) đề cập đến bảo mật và an ninh mạng

Trang 16

Các loại hacker

1 Chemical Hacker: Hacker do tâm sinh lý

Hoàn toàn không phải chuyện đùa, vì phần lớn các cuộc tấn công trên mạng thuộc về cái lý do không đâu này Chemical là từ người Mỹ dùng để ngầm chỉ các nội tiết tố (hormone) trong cơ thể người Với tình cảm buồn vui thất thường của tuổi mới lớn, các Teenager đang trong giai đoạn dậy thì Mục đích của họ không gì khác hơn là chứng tỏ họ trước mọi người, nhất là người khác phái Với những Hacker này những lời giáo huấn hay răn đe về mặt luật pháp ít có ý nghĩa Viễn cảnh ra tòa với họ không ghê gớm lắm (cái này gọi là Điếc không sợ súng) Họ sẵn sàng xóa bỏ, tiêu hủy các dữ liệu trị giá hàng triệu đô la một cách lạnh lùng Phá hoại lung tung và thậm chí còn cảm giác huy hoàng khi bị nêu tên tuổi sau lúc bị bắt, do họ là tội phạm công nghệ cao (cái từ ngữ này có vẻ nổ quá mới khổ ấy chứ!) Là những đặc trưng của các Hacker nhóm này

2 Business hacker và Cybar Crime (Hacker thương mại và tội phạm công nghệ cao)

Động cơ chính của loại hacker này chủ yếu là tiền hay những lợi ích có giá trị khác Thật ra không cần phân biệt giữa hacker thương mại và tội phạm công nghệ cao, vì đối với pháp luật là như nhau Tuy nhiên, nếu phân tích kỹ

sẽ thấy động cơ và cách hành động của 2 loại hacker này có sự khác biệt rõ rệt Buniness hacker, dùng để chỉ những người có ý thức phạm pháp không rõ ràng, họ chỉ đơn thuần là những người mang suy nghĩ: "Tôi có kiến thức hơn người bình thường, tôi có thể lợi dụng nó để kiếm chác chút đỉnh và làm cho cuộc sống dễ dàng hơn" Nên nhớ, những lĩnh vực khác trong xã hội cũng khối kẻ như vậy

Trang 17

Con số thống kê thoạt nghe không tin nổi, nhưng nó là sự thật, chỉ các Hacker Việt Nam thôi, số tiền họ tiêu xài từ các thẻ tín dụng bất hợp pháp là 30-60 tỷ VNĐ/tháng

Còn tội phạm công nghệ cao thì khác hẳn đó là những kẻ ý thức rõ ràng hành động phạm pháp của mình, có thể là những tội phạm chuyên nghiệp có

kỹ năng cao, có thể là những kẻ nghiệp dư nhưng lại muốn kiếm tiền nhanh chóng Đặc trưng của những hacker này là không phô trương, không đập phá, am hiểu pháp luật (muốn phạm pháp thì trước hết phải am hiểu!) và đặc biệt có kiến thức về kinh tế thương mại, nhất là thương mại điện tử

3 Political Hacker - hacker chính trị

Đây là những người hack vì muốn thể hiện một chính kiến nào đó Bạn đừng lầm lẫn những người này với những lực lượng đặc biệt thuộc chính phủ, thật sự họ là những người cô độc hay một nhóm hacker nhỏ mang chút xíu tư tưởng "vô chính phủ" Chính kiến của những người này cũng rất phức tạp, từ chống đối các chính phủ hay chống chiến tranh, đến ủng hộ các nhóm phi chinh phủ như tổ chức hòa bình xanh chống lại các đại công ty hay chống các công ty độc quyền Và bạn cũng đừng nhầm những người này với các chemical hacker Họ rất ít khi phá hoại và không tấn công lung tung các site không liên quan Thường thì chemical hacker cũng hay mượn các khẩu hiểu chính trị để thể hiện mình

4 Technical hacker - hacker kỹ thuật

Đây là những người hack vì muốn thực nghiệm các kỹ thuật mới Họ

có thể là những chuyên gia bảo mật, những người chuyên nghiên cứu nghệ thuật hacking hay đơn giản là những người say mê kỹ thuật Trình độ của những người này từ khá trở lên (lưu ý là phân theo mục đích không phải trình

độ Vì vậy, không hẳn là technical hacker nào cũng giỏi hơn chemical hacker)

Trang 18

Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công của hacker gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm Hành vi trộm cắp thông tin cá nhân của khách hàng có thể làm giảm danh tiếng của doanh nghiệp dẫn tới các vụ kiện Hack có thể làm 1 công ty bị phá sản Botnet có thể được sử dụng để khởi động các loại Dos và các cuộc tấn công dựa trên web khác dẫn đến các doanh nghiệp bị giảm doanh thu Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quan trọng và bán chúng cho các đối thủ cạnh tranh

4 triệu máy tính bị nhiễm virus “nội” trong một tuần đầu tháng 9/2006, hàng trăm trang web bị hacker trong nước và nước ngoài tấn công là vài con

số về tình trạng an ninh mạng ở Việt Nam

1.4 Các lỗ hổng bảo mật của mạng máy tính và hệ điều hành

1.4.1 Các lỗ hổng bảo mật của hệ điều hành

- Lỗ hổng là các điểm yếu trong phần mềm cho phép kẻ tấn công phá

hoại sự toàn vẹn, độ sẵn sàng hoặc bảo mật của phần mềm hoặc dữ liệu do phần mềm xử lý Một số lỗ hổng nguy hiểm nhất cho phép kẻ tấn công khai thác hệ thống bị xâm phạm bằng cách khiến hệ thống chạy các mã độc hại mà người dùng không hề biết

- Ví dụ về một số lỗ hổng thường gặp: Lỗi xử lý các yêu cầu không được

dự kiến trước trong IIS; Lỗi tràn bộ đệm; Điểm yếu trong việc xác thực đối với các tài khoản không mật khẩu hoặc mật khẩu yếu;…

 Các lỗ hổng từ hệ điều hành và các ứng dụng

Trang 19

 Nếu một chương trình có chứa lỗi, lỗi đó có thể có khả năng cho phép một người nào đó không tin tưởng thực hiện những điều mà họ không được

phép Một lỗi như vậy được gọi là lỗ hổng hay một điểm yếu dễ bị tấn công

Một số trường hợp các lỗ hổng xuất hiện do bản thân các chương trình chứa lỗi:

- Các lỗ hổng tràn bộ đệm

Tràn bộ đệm thường xuất hiện trong một số trường hợp

- Khi đọc dữ liệu vào trực tiếp vào vùng đệm

- Khi copy dữ liệu vào từ vùng đệm lớn sang vùng nhỏ hơn

- Khi thực hiện xử lý dữ liệu vào khác trên vùng đệm của xâu

Tuy nhiên, nếu dữ liệu vào là hoàn toàn tin tưởng thì nó không phải là

lỗ hổng bảo mật, nó chỉ gây ra một số phiền phức

Trong phần lớn các môi trường Unix, khi mảng là biến địa phương của một số hàm, dường như là sau đó sẽ trả về địa chỉ ở một nơi nào đó trên ngăn xếp Đây có thể là lỗ hổng phổ biến nhất bị khai thác Hàng nghìn lỗ hổng kiểu này đã được tìm thấy trong những năm qua

Thậm chí đôi khi bộ đệm ở những nơi khác cũng có thể bị tràn tạo ra các lỗ hổng bảo mật riêng biệt nếu chúng gần với con trỏ hàm hoặc thông tin đáng tin cậy Vì thế để phát hiện lỗ hổng đối với trường hợp này ta tìm kiếm:

+ Các hàm nguy hiểm không kiểm tra giới hạn: strcpy, strlen, strcat, sprintf, gets

+ Các hàm nguy hiểm có kiểm tra giới hạn: strncpy, snprintf- một số hàm này sẽ không chú ý tới việc viết thêm NULL vào cuối xâu, điều này có thể dẫn đến sau đó khi copy kết quả, kể cả với dữ liệu khác- dữ liệu có liên quan- và có thể sẽ gây đổ vỡ chương trình

+ Việc lạm dụng hàm strncat, điều này dẫn đến việc không thể ghi một byte null vào cuối mảng

Trang 20

vị trí chương trình đổ vỡ sẽ giống như một phần dữ liệu vào

+ Kiểm tra giới hạn không đúng: Nếu việc kiểm tra giới hạn phải trải qua hàng trăm dòng mã, thay vì hai hoặc ba vị trí trung tâm, sẽ có nhiều cơ hội hơn để phát hiện ra những chỗ sai

- Thiếu tài nguyên (Resource starvation)

Rất nhiều chương trình được viết ra thừa nhận rằng có đủ tài nguyên sẵn có Thậm chí nhiều chương trình được viết ra còn không đặt ra các khả năng sẽ xảy ra nếu không đủ tài nguyên sẵn có

+ Điều gì sẽ xảy ra nếu không đủ bộ nhớ hoặc một vài định vị bị lỗi, thường trong trường hợp này sẽ trả về NULL đối với các hàm malloc hoặc new (dùng để cấp phát vùng nhớ)

+ Điều gì sẽ xảy ra nếu chương trình chạy ngoài các đặc tả file (fds-file descriptors) - việc mở file dùng hàm open() sẽ trả về giá trị –1

+ Điều gì sẽ xảy ra nếu một chương trình không thể fork() hoặc nếu tiến trình con bị chết trong khi đang khởi tạo vì thiếu tài nguyên

Như vậy để tránh các lỗ hổng xuất hiện do bản thân các chương trình thì người lập trình phải đặt ra tất cả các khả năng, xem xét và giải quyết tất cả

Trang 21

các khả năng đó, đồng thời phải chú ý đến những trường hợp dễ gây ra lỗ hổng như đã đề cập đến ở trên

 Các lỗ hổng do những nguyên nhân khác

Ngoài những nguyên nhân do hệ điều hành và ứng dụng chứa các lỗi gây

ra các lỗ hổng bảo mật, các lỗi hổng bảo mật còn xuất hiện do các nguyên nhân sau:

- Mạng và máy chủ bị cấu hình sai

- Nhà cung cấp thiếu trách nhiệm

- Thiếu những cá nhân có trình độ

 Mật mã và các lỗ hổng bảo mật

Phần lớn các lỗ hổng bảo mật xuất hiện là do mã nguồn của hệ điều hành hoặc các ứng dụng có chứa các lỗi giúp kẻ tấn công lợi dụng để thâm nhập vào hệ thống và làm cho hệ thống bị tổn thương Một phần khác là do người sử dụng có các sai sót trong khai thác và vận hành hệ thống, thông qua

đó các lỗ hổng được bộc lộ rõ hơn và kẻ tấn công dễ dàng khai thác hơn

Vậy mật mã có vai trò gì trong việc phát hiện, lấp vá và hạn chế lỗ hổng Nói chung, mật mã không thể có vai trò gì trong việc phát hiện lỗ hổng

mà mật mã chỉ có thể là công cụ góp phần khắcphục một số lỗ hổng đã xuất hiện hoặc hạn chế sự xuất hiện của các lỗ hổng

Mật mã có thể được sử dụng để mã hoá mật khẩu, xác thực người sử dụng truyền trên kênh nhằm ngăn ngừa kẻ tấn công lấy được mật khẩu và có được đăng nhập hợp pháp vào hệ thống, khi đó kẻ tấn công dễ dàng tấn công

hệ thống hơn Chúng ta có thể sử dụng các thuật toán mật mã phức tạp để mã hoá mật khẩu và xác thực người dùng như IDEA, RSA,

Có thể thấy rằng mật mã với chức năng chủ yếu là mã hoá và xác thực nên cũng chỉ có vai trò khắc phục các lỗ hổng xuất hiện liên quan đến vấn đề

mã hoá mật khẩu và xác thực người dùng mà thôi Nhưng như thế cũng là đóng góp lớn bởi rất nhiều tấn công đã xuất hiện do kẻ tấn công có truy cập hợp pháp vào hệ thống thông qua việc đánh cắp mật khẩu của người sử dụng

Trang 22

1.4 2 Các lỗ hổng bảo mật của mạng máy tính

Việc toàn cầu hoá các hoạt động thương mại mạng, cùng với nó, là sự phụ thuộc tương hỗ ngày càng tăng giữa các hệ thống thông tin và thông tin Việc chuẩn hoá công nghệ vì tính hiệu quả và kinh tế song cũng dẫn tới chuẩn hoá tính mỏng manh vốn có của mạng cho kẻ thù lợi dụng Các quy tắc và tự

do hoá cũng đóng góp cho việc tăng thêm tính mỏng manh

Trên thực tế, người ta đã thống kê được 14 lỗ hỏng dễ bị xâm nhập thông qua mạng máy tính Hình 2-1 minh họa một mô hình mạng tổng quát với các điểm yếu dễ bị xâm nhập, cụ thể:

1 Thiếu điều khiển truy cập bộ định tuyến và lập cấu hình sai ACL sẽ cho phép rò rỉ thông tin thông qua các giao thức ICMP, IP, NetBIOS, dẫn đến truy cập bất hợp pháp các dịch vụ trên máy phục vụ

2 Điểm truy cập từ xa không được theo dõi và bảo vệ sẽ là phương tiện truy cập dễ dàng nhất đối với mạng công ty

3 Rò rỉ thông tin có thể cung cấp thông tin phiên bản hệ điều hành và chương trình ứng dụng, người dùng, nhóm, địa chỉ tên miền cho kẻ tấn công thông qua chuyển vùng và các dịch vụ đang chạy như SNMP, finger, SMTP, telnet, rusers, sunrpc, NetBIOS

4 Máy chủ chạy các dịch vụ không cần thiết (như sunrpc, FTP, DNS, SMTP) sẽ tạo ra lối vào thâm nhập mạng trái phép

5 Mật mã yếu, dễ đoán, dùng lại ở cấp trạm làm việc có thể dồn máy phục vụ vào chỗ thoả hiệp

Internal router

Border router

Trang 23

9 Phần mềm chƣa đƣợc sửa chữa, lỗi thời, dễ bị tấn công, hoặc để ở cấu hình mặc định

10 Quá nhiều điều khiển truy cập thƣ mục và tập tin

11 Quá nhiều mối quan hệ uỷ quyền nhƣ NT domain Trusts, các tập tin rhosts và hosts.equiv trong UNIX sẽ cho kẻ tấn công truy cập hệ thống bất hợp pháp

12 Các dịch vụ không chứng thực

Trang 24

13 Thiếu tính năng ghi nhật ký, theo dõi và dò tại mạng và cấp độ máy chủ

14 Thiếu chính sách bảo mật, thủ tục và các tiêu chuẩn tối thiểu

Về phương diện phần mềm:

Các hệ điều hành mạng nổi tiếng mới nhất như Windows 2000, Novel, Linux, Mac OS, Unix và các chương trình ứng dụng cũng không tránh khỏi còn tồn tại hàng loạt các lỗ hổng bảo mật giúp cho bọn tin tặc xâm nhập trái phép vào hệ thống mạng và cơ sở dữ liệu của mạng, hiện nay hầu như hàng ngày đều có các thông báo về việc phát hiện ra các lỗ hổng bảo mật trên các

hệ điều hành và chương trình ứng dụng ví dụ ngày 6/12/2002 Microsoft đã phát hành một miếng vá mới cho trình duyệt web Internet Explorer Theo Microsoft, đây là một lỗ hổng có mức độ nguy hiểm ''trung bình'' Tuy nhiên, các chuyên gia bảo mật máy tính lại coi đây là một lỗ hổng cực kỳ trầm trọng,

có thể bị hacker khai thác để nắm quyền điều khiển máy tính Lỗ hổng ảnh hưởng đến các phiên bản IE 5.5 và IE 6.0 Lỗ hổng này nằm trong cơ chế thiết lập vành đai an ninh giữa cửa sổ trình duyệt web và hệ thống máy tính nội bộ Việc khai thác lỗ hổng này sẽ cho phép hacker đọc thông tin và chạy các chương trình trong máy tính của người sử dụng Thậm chí, anh ta còn có thể sửa đổi nội dung một file, format toàn bộ ổ cứng Nhưng để khai thác được lỗ hổng này, anh ta phải đánh lừa người sử dụng truy cập vào một trang Web đặc biệt do anh ta tạo ra, hoặc mở một e-mail có nhúng mã HTML nguy hại

Theo thống kê của nhóm đề tài các lỗ hổng của hệ điều hành và các chương trình ứng dụng hiện đang sử dụng trên mạng hiện nay là hơn hàng nghìn lỗ hổng, các hãng sản xuất phần mềm liên tục đưa ra các phiên bản để sửa chữa các lỗ hổng đó tuy nhiên hiện nay không ai có thể nói trước được là còn bao nhiêu các lỗ hổng nữa chưa được phát hiện và còn bao nhiêu lỗ hổng đang được sử dụng bí mật bởi các tin tặc và chưa được công bố công khai

Trang 25

Do cơ chế trao đổi thông tin trên mạng các dich vụ mạng và các lỗ hổng bảo mật hệ thống còn tạo môi trường tốt cho các Virus máy tính phát triển (Virus là một đoạn mã chương trình được gắn kèm với các chương trình ứng dụng hoặc hệ thống có tính năng lây lan rất nhanh và gây nhiều tác hại cho máy tính và dữ liệu)

Bảng dưới đây minh hoạ các khả năng tin tặc tấn công vào hệ thống mạng máy tính qua các điểm yếu của mạng, các lỗ hổng mạng và yếu tố của con người:

Dựa vào yếu tố con người - các điểm yếu của người sử dụng

- Thông tin có sẵn tự do

- Lựa chọn mật khẩu quá đơn giản

- Cấu hình hệ thống đơn giản

- Tính mỏng manh đối với "nền kỹ nghệ đã mang tính xã hội"

Trang 26

Dựa vào khe hở xác thực

- Trộm mật khẩu

- Nền kỹ nghệ đã mang tính xã hội

- Qua hệ thống mật nhưng bị sụp đổ

Dựa vào dữ liệu

- Gắn E-mail vào một chương trình

Trang 27

Chặn bắt truyền thông trên mạng

- Bắt dữ liệu trước khi mã hoá

- Loại bỏ mã hoá

- Phát lại

1.4.3 Hiểm hoạ chiến tranh thông tin trên mạng

Mục tiêu của việc kết nối mạng là để nhiều người sử dụng từ những vị trí địa lý khác nhau, có thể dùng chung những tài nguyên, đặc biệt là tài nguyên thông tin Do đặc điểm của nhiều người sử dụng và phân tán về mặt địa lý nên việc bảo vệ các tài nguyên đó tránh khỏi sự mất mát, xâm phạm (vô tình hay hữu ý) phức tạp hơn rất nhiều so với trường hợp máy tính đơn lẻ, một người sử dụng

Để việc đảm bảo thông tin đạt kết quả cao, chúng ta phải lường trước được càng nhiều càng tốt các khả năng xâm phạm, các sự cố rủi ro đối với thiết bị và tài nguyên trên mạng Xác định càng chính xác các nguy cơ trên, ta càng quyết định được tốt các giải pháp phù hợp để giảm thiểu các thiệt hại

 Đặc điểm của chiến tranh thông tin:

 Trong khi ảnh hưởng và hậu quả của CTTT có thể rất lớn thì vũ khí

và phương tiện CTTT lại rất rẻ

Trang 28

Điều này là có thể vì thông tin và hệ thống thông tin (đối tượng của cuộc tấn công CTTT) “Một ngôi nhà mà giá trị của nó rẻ hơn cái tàng trữ trong đó”, nhiều khi chỉ là một phần tử khiêm tốn lại quyết định một chức năng hoặc một hoạt động quan trọng - như một cơ sở dữ liệu chẳng hạn Chỉ cần một chi phí thấp để tạo ra một nội gián, một thông tin giả, thay đổi thông tin, hoặc đưa ra một vũ khí logic tinh vi chống lại một hệ thống thông tin được nối vào hạ tầng viễn thông dùng chung toàn cầu Vấn đề cuối này lại càng hấp dẫn; những thông tin mới nhất về cách thức khai thác các đặc tính thiết kế và lỗ hổng an ninh của các phần mềm máy tính thương mại đang tự

do lưu truyền trên Internet

 Về phía tấn công, CTTT rất hấp dẫn

Chiến tranh thông tin tấn công rất hấp dẫn đối với nhiều người vì nó rẻ

so với chi phí phát triển, duy trì, và dùng các khả năng quân sự tiên tiến Thêm vào đó, kẻ tấn công có thể bị lôi cuốn vào CTTT bởi tiềm năng đối với các kết quả đầu ra không tuyến tính khổng lồ lấy từ các đầu vào khiêm tốn

Rất nhiều người bình thường chỉ cần với một máy tính kết nối mạng đều có khả năng thử sức khai phá cả thế giới tài nguyên hấp dẫn trên mạng, nhiều công cụ họ tạo ra ban đầu chỉ là thử sức và để đùa cho vui và chứng tỏ tài năng với mọi người xung quanh sau đã bị các kẻ phá hoại lợi dụng biến thành các vũ khi tấn công trên mạng

 Về phía phòng thủ, CTTT chứa nhiều yếu tố bất ngờ và khó tiên liệu trước

CTTT là một khái niệm rộng lớn, biến đổi theo thời gian và không gian Cách phòng chống và đánh trả CTTT cũng hết sức linh hoạt vì nó liên

quan đến nhiều lĩnh vực như các tiêu chuẩn an toàn của hệ thống, cơ sở pháp

lý về an ninh mạng của mỗi quốc gia, khả năng cũng như trình độ của con người và sau cùng là các kỹ thuật-công nghệ được áp dụng vào cuộc chiến

tranh này

Trang 29

Chi phí cho phòng thủ trong CNTT không rẻ, cũng không dễ dàng thiết lập Nó sẽ cần các nguồn lực để phát triển các công cụ, quy trình, và các thủ tục để đảm bảo tính sẵn sàng và toàn vẹn của thông tin, và để bảo vệ tính bảo mật thông tin ở nơi cần đến nó Các nguồn lực bổ sung sẽ cần để phát triển các hướng dẫn thiết kế cho các kỹ sư hệ thống và phần mềm để đảm bảo các

hệ thống thông tin có thể hoạt động trong một môi trường CTTT Nhiều nguồn lực hơn sẽ cần để phát triển các phương tiện mạnh nhằm phát hiện kẻ nội gián đột nhập với ác ý can thiệp vào các hệ thống và để chúng ta có khả năng tiến hành sửa đổi và khôi phục hệ thống

1.4.4 Một số sai sót của người sử dụng máy tính

Nếu nghiên cứu kĩ những vụ scandal bảo mật tồi tệ nhất tại các doanh nghiệp, ta có thể thấy rõ rằng nguyên nhân là các nhà quản trị mạng đã liên tục mắc những sai lầm cũ trong khi rất nhiều trong số những lỗi này có thể dễ

dàng tránh được

 Dùng chung một mật khẩu cho nhiều thiết bị mạng

Bộ phận CNTT tại các doanh nghiệp thường sử dụng cùng một mật khẩu cho nhiều máy chủ và vài người cùng biết mật khẩu đó Đó có thể là một mật mã tốt - một chuỗi con số hay chữ phức tạp - nhưng một khi nó được dùng chung trên vài hệ thống thì những hệ thống đó có thể bị xâm hại bất cứ lúc nào

 Không khắc phục lỗi của mã SQL

79% các vụ tấn công của tin tặc là nhằm vào các "đầu mối" SQL kết nối trực tiếp với máy chủ web Cách mà các tin tặc đột nhập vào những hệ thống này là nhập một lệnh SQL dựa trên nền web Nếu mã SQL chuẩn, nó sẽ không chấp nhận nhận những mệnh lệnh này Nhưng đôi khi nhân viên phát triển vô tình tạo ra cái được gọi là lỗi "SQL injection"

Trang 30

Cách dễ nhất để ngăn chặn lỗi này là chạy ứng dụng tường lửa trong chế độ kiểm tra để xem người dùng đang nhập dữ liệu vào trường như thế nào

và sau đó đưa ứng dụng này vào chế độ hoạt động, như vậy các câu lệnh SQL

sẽ không thể vô tình bị "bơm" vào các trường trong cơ sở dữ liệu Những vấn

đề về mã SQL là rất phổ biến "Nếu một công ty kiểm tra trên 100 chiếc máy chủ, họ có thể tìm ra lỗi SQL kiểu này trên 90 máy

 Đặt cấu hình sai danh sách kiểm soát truy cập

Phân tán mạng bằng cách sử dụng các danh sách kiểm soát truy cập là cách đơn giản nhất để đảm bảo rằng các hệ thống chỉ giao tiếp với những đối tượng cần thiết Ví dụ, nếu bạn cho phép đối tác kinh doanh truy cập vào 1 máy chủ trên mạng của bạn thông qua mạng riêng ảo VNP, bạn nên sử dụng các danh sách kiểm soát truy cập để đảm bảo rằng các đối tác kinh doanh chỉ

có thể truy cập vào chiếc máy chủ này mà thôi Ít nhất nếu không may hacker

sử dụng cổng này để tấn công thì chúng chỉ có thể xâm hại dữ liệu trên máy chủ này

 Không thể bảo vệ các máy chủ trước phần mềm độc hại

Theo thống kê của Verzion Business, những vụ máy chủ chứa mã độc chiếm tới 38% các vụ scandal bảo mật Hầu hết các phần mềm độc hại đã được cài đặt từ xa và được sử dụng để ăn cắp dữ liệu Thông thường, các phần mềm độc hại được tùy chỉnh, do đó, các phần mềm chống virus khó có thể phát hiện được Để tìm phần mềm độc hại như keylogger hoặc các phần mềm gián điệp trên máy chủ, cách tốt nhất cho các nhà quản lý mạng là chạy những ứng dụng cảnh báo đột nhập (intrusion-detection system) trên mọi máy chủ

Một cách đơn giản nữa để ngăn chặn các cuộc tấn công kiểu này là: khóa máy chủ để không một ứng dụng mới nào chưa được phép có thể cài đặt

và chạy trên máy chủ này Tuy nhiên, các nhà quản trị mạng lại không thích

Trang 31

những việc này vì họ luôn thích việc có thể cài đặt thêm những phần mềm bất

kỳ lúc nào

 Không tuân thủ những tiêu chuẩn bảo mật dữ liệu chuẩn

Chuẩn PCI DSS thiết lập12 qui định kiểm soát để bảo vệ thông tin chủ thẻ thanh toán Hầu hết các doanh nghiệp thậm chí đã không thèm thử ứng dụng các tiêu chuẩn PCI hoặc chỉ ứng dụng cục bộ tại các máy chủ quan trọng

1.5 Kết luận chương

Vấn đề an toàn bảo mật ngày nay đang được các cơ quan, nhà bảo mật

và đặt biệt là an ninh mạng đang được quan tâm hàng đầu, an toàn dữ liệu, thông tin người dùng, và tài chính của công ty, mọi vấn đề đều cần được quan tâm Đối với doanh nghiệp, thì quan trọng nhất là thông tin cá nhân, tài khoản của người dùng, ví dụ như ngân hàng chẳng hạn, các thông tin này phải được bảo mật tuyệt đối, vì thế vấn đề bảo mật đang là một thách thức lớn cho các nhà doanh nghiệp

Cùng với sự thay đổi của công nghệ từng ngày, từng giờ thì các nhà sản xuất mạng, phần mềm cũng phải tập trung vào nghiên cứu và đưa ra những sản phẩm mới của mình nhằm đáp ứng nhu cầu của thị trường Cũng chính vì vậy, mặc dù đã rất cố gắng nhưng các nhà sản xuất cũng không thể tránh được các lỗ hổng bảo mật trong hệ thống, thiết bị của mình

Bên cạnh đó có thể do sai sót hoặc do một số nguyên nhân khách quan nào đó mà những người quả trị mạng vô tình tạo ra lỗ hổng bảo mật trong hệ thống Phía trên có đề ra một số sai sót dẫn đến những vấn đề gây ra mất an toàn trong hệ thống

Vì vậy để tránh các vụ xâm nhập và phá hoại trái phép thì người quản trị luôn phải chú ý cập nhật các bản vá lỗi cho hệ thống cũng như các khuyến cáo từ nhà sản xuất Và bên cạnh đó luôn luôn tìm hiểu công nghệ mới để

Trang 32

nâng cao nghiệp vụ cũng nhƣ tránh các sai sót dẫn đến việc mất an toàn trong

hệ thống

Trang 33

CHƯƠNG 2: NGHIÊN CỨU MỘT SỐ KỸ THUẬT PHÒNG THỦ

2.1 Một số kỹ thuật phòng thủ

2.1.1 Firewall

Firewall là giải pháp bảo vệ mạng hiệu quả và phổ biến nhất hiện nay Sau đây ta sẽ tìm hiểu về khái niệm, chức năng và phân loại firewall

2.1.1.1 Khái niệm firewall

Firewall là thiết bị ngăn chặn sự truy cập không hợp lệ từ mạng bên ngoài vào mạng bên trong Firewall bao gồm cả phần cứng và phần mềm

2.1.1.2 Các chức năng cơ bản của firewall

Firewall cho phép ngăn chặn dịch vụ từ trong ra ngoài và ngược lại; Kiểm soát địa chỉ truy cập và dịch vụ sử dụng; Kiểm soát khả năng truy cập; Kiểm soát nội dung thông tin truyền tải; Ngăn ngừa tấn công từ các mạng bên ngoài

2.1.1.3 Phân loại firewall

Firewall có nhiều loại khác nhau và mỗi loại có ưu nhược điểm riêng Thông thường firewall được chia làm 2 loại: firewall phần cứng và firewall phần mềm

a Firewall phần cứng:

Là thiết bị được tích hợp bộ định tuyến, quy tắc lọc gói tin được đặt trên bộ định tuyến Firewall sẽ dựa trên nguyên tắc để kiểm tra gói tin Mô hình firewall phần cứng (Hình 2.1)

Hình 2.1 Mô hình firewall phần cứng

Trang 34

b Firewall phần mềm:

Là phần mềm cho phép chuyển các gói tin mà máy chủ nhận được đến địa điểm theo yêu cầu, các quy tắc thiết lập gói tin được người sử dụng tự thiết lập Mô hình firewall phần mềm (Hình 2.2)

Hình 2.2 Mô hình firewall phần mềm

c Ưu và nhược điểm của firewall:

Firewall phần cứng thường được sử dụng cho các mạng lớn, firewall nhận gói tin và kiểm duyệt rồi chuyển tiếp cho các máy trong mạng, tốc độ của firewall phần mềm hoạt động chậm hơn so với firewall phần cứng nên ảnh hưởng đến tốc độ của hệ thống mạng

Firewall phần mềm sử dụng để đảm bảo anh ninh cho các mạng vừa, nhỏ do đó chi phí thấp, không ảnh hưởng đến tốc độ chuyển các gói tin; Firewall phần mềm thực hiện trên từng hệ điều hành nhất định Firewall phần cứng có thể thực hiện độc lập

Firewall phần mềm có thể lọc được nội dung gói tin còn firewall phần cứng chỉ có thể lọc thông tin của gói tin, nội dung của gói tin thì firewall phần cứng không thể kiểm soát

2.1.1.4.Một số hệ thống firewall khác

a Packet-Filtering Router (Bộ định tuyến có lọc gói) – Hình 3-3

Có hai chức năng: chuyển tiếp thông tin giữa hai mạng và sử dụng các quy luật về lọc gói để cho phép hay từ chối truyền thông Quy luật lọc được định nghĩa sao cho các host trên mạng nội bộ được quyền truy cập trực tiếp

Trang 35

tới internet, trong khi các host trên internet chỉ có một số giới hạn các truy cập vào các máy tính trên mạng nội bộ

Hình 2.3 Mô hình sử dụng Packet-Filtering Router

Ưu điểm: Cấu hình đơn giản, chi phí thấp; Trong suốt đối với người dùng Hạn chế: Dễ bị tấn công vào các bộ lọc do cấu hình không hoàn hảo

b Screened Host Firewall – Hình 3-4

Bao gồm một Packet-Filtering Router và một Bastion Host Screened Host Firewall cung cấp độ bảo mật cao hơn Packet-Filtering Router, vì hệ thống thực hiện bảo mật ở tầng mạng và tầng ứng dụng Mô hình này, đối tượng tấn công bị ngăn cản ở hai tầng bảo mật

Hình 2.4 Mô hình Screen Host Firewall

c Delimitarized Zone (DMZ – khu vực phi quân sự) – Hình 3-5

Bao gồm hai Packet-Filtering Router và một Bastion Host, có độ an toàn cao nhất vì cung cấp cả mức bảo mật mạng và ứng dụng Mạng DMZ đóng vai trò độc lập đặt giữa internet và mạng nội bộ, được cấu hình sao cho

Trang 36

các hệ thống chỉ có thể truy cập được một số dịch vụ mà không thể kết nối trực tiếp với mạng DMZ

Ưu điểm: Ba tầng bảo vệ: Router ngoài, Bastion host và Router trong

2.1.1.5 Các kiến trúc firewall

a Kiến trúc Dual-Home Host

Phải có ít nhất hai card mạng giao tiếp với hai mạng khác nhau và đóng vai trò router mềm Kiến trúc này rất đơn giản, Dual-Home Host ở giữa, một bên được kết nối với internet và một bên kết nối với mạng LAN

b Kiến trúc Screen Host

Có cấu trúc ngược lại với Dual-Home Host, cung cấp dịch vụ từ một host trong mạng nội bộ, dùng một router độc lập với mạng bên ngoài, cơ chế bảo mật của kiến trúc này là phương pháp Packet Filtering

c Kiến trúc Screen Subnet (Hình 3-5)

Kiến trúc này dựa trên nền tảng của kiến trúc Screen Host bằng cách thêm vào phần an toàn nhằm cô lập mạng nội bộ ra khỏi mạng bên ngoài, tách Bastion Host ra khỏi các host thông thường khác Kiểu Screen Subnet đơn giản gồm hai Screen Router:

- Router ngoài: Nằm giữa mạng ngoại vi và mạng ngoài có chức năng bảo vệ cho mạng ngoại vi

- Router trong: Nằm giữa mạng ngoại vi và mạng nội bộ, nằm bảo vệ mạng nội bộ trước khi ra với bên ngoài và mạng ngoại vi

Hình 2.5 Mô hình Screened-subnet firewall

Trang 37

2.1.1.6 Chính sách xây dựng firewall

Một số giải pháp và nguyên tắc cơ bản khi xây dựng firewall

a Quyền hạn tối thiểu (Least Privilege)

Nguyên tắc này có nghĩa là bất cứ một đối tượng nào bên trong hệ thống chỉ nên có những quyền hạn nhất định

b Bảo vệ theo chiều sâu (Defense in Depth)

Lắp đặt nhiều cơ chế an toàn để có thể hỗ trợ lẫn nhau Vì vậy firewall được xây dựng theo cơ chế có nhiều lớp bảo vệ là hợp lý nhất

c Nút thắt (Choke Point)

Một nút thắt bắt buộc những kẻ đột nhập phải đi qua một ngõ hẹp mà người quản trị có thể kiểm soát

d Điểm xung yếu nhất (Weakest Link)

Cần phải tìm ra những điểm yếu của hệ thống để có phương án bảo vệ, tránh đối tượng tấn công lợi dụng để truy cập trái phép

e Hỏng trong an toàn (Fail-Safe Stance)

Nếu hệ thống đang hỏng thì phải hỏng theo một cách nào đó để ngăn chặn

sự truy cập bất hợp pháp tốt hơn là để cho kẻ tấn công lọt vào phá hệ thống

f Sự tham gia toàn cầu

Các hệ thống mạng phải có biện pháp bảo vệ an toàn Nếu không, đối tượng truy cập bất hợp pháp có thể truy cập vào hệ thống này, sau đó truy cập sang hệ thống khác

g Tính đa dạng của việc bảo vệ

Áp dụng nhiều biện pháp bảo vệ thông tin dữ liệu trong hệ thống mạng theo chiều sâu

h Tuân thủ các nguyên tắc căn bản (Rule Base)

Thực hiện theo một số quy tắc nhất định, khi có một gói tin đi qua firewall thì phải dựa vào các quy tắc đề ra để phân tích và lọc gói tin

Trang 38

i Xây dựng chính sách an toàn (Security Policy)

Firewall phải đƣợc thiết kế, xây dựng bằng một chính sách an toàn sẽ tạo

ra đƣợc sức mạnh và hiệu quả Một số chính sách an toàn nhƣ sau:

- Hạn chế những máy trong mạng nội bộ đƣợc truy cập internet

- Thông tin vào ra trong mạng nội bộ đều phải đƣợc xác thực và mã hóa

j Thứ tự các quy tắc trong bảng (Sequence of Rule Base)

Cần phải quan tâm đến thứ tự, cấp độ của quy tắc và trong đó có một số quy tắc đặc biệt Đa số các firewall kiểm tra các gói tin một cách tuần tự và liên tục, khi firewall nhận một gói tin, nó sẽ kiểm tra gói tin đó có đúng với nguyên tắc hay không cho đến khi có quy tắc nào thỏa mãn thì nó thực thi theo quy tắc đó

k Các quy tắc căn bản (Rule Base)

- Không có gói tin nào có thể đi qua đƣợc, bất kể gói tin đó là gì

- Đầu tiên cho phép đi từ trong ra ngoài mà không có hạn chế nào

- Hạn chế tất cả không có phép một sự xâm nhập nào vào firewall

- Không ai có thể kết nối với firewall, bao gồm cả Admin, phải tạo ra một quy tắc để cho phép Admin truy cập đƣợc vào firewall

2.1.2 IP Security

2.1.2.1 Tổng quan

PSec (IP Security) bao gồm các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP) Gồm xác thực và/hoặc mã hóa (Authenticating, Encrypting) cho mỗi gói IP (IP Packet) trong quá trình truyền thông tin Giao thức IPSec đƣợc làm việc tại tầng Network Layer của

mô hình OSI – Hình 3-6

Trang 39

2.1.2.2 Cấu trúc bảo mật

Khi IPSec được triển khai, cấu trúc bảo mật của nó gồm: Sử dụng các giao thức cung cấp mật mã nhằm bảo mật gói tin; Cung cấp phương thức xác thực; Thiết lập các thông số mã hóa

2.1.2.4 Thiết kế theo yêu cầu

IPSec được cung cấp bởi Transport Mode (End-to-End) đáp ứng bảo mật giữa các máy tính giao tiếp trực tiếp với nhau hoặc sử dụng Tunnel Mode (Portal-to-Portal) cho các giao tiếp giữa hai mạng với nhau và chủ yếu được

sử dụng khi kết nối VPN IPSec đã được giới thiệu và cung cấp các dịch vụ bảo mật:

- Mã hóa quá trình truyền thông tin; Đảm bảo tính nguyên vẹn của dữ liệu; Được xác thực giữa các giao tiếp; Chống quá trình Replay trong các phiên bảo mật; Modes – Các mode

Trang 40

- Có hai mode thực hiện IPSec đó là:

+ Transport Mode: Chỉ những dữ liệu giao tiếp các gói tin được mã hóa và/hoặc xác thực

+ Tunnel Mode: Toàn bộ gói IP được mã hóa và xác thực

a Giao thức Authentication Header (AH)

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu Là lựa chọn nhằm chống lại các tấn công Replay Attack bằng cách sử dụng công nghệ tấn công Sliding Windows và Discarding Older Packets Hình 3-7 là mô

tả của AH

Các Model thực hiện:

- Next Header: Nhận dạng giao thức trong sử dụng truyền thông tin

- Payload Length: Độ lớn của gói tin AH

- Reserved: Sử dụng trong tương lai (được biểu diễn bằng các số 0)

Hình 2.7 Mô hình hoạt động trong giao thức AH

Định dạng
Số trang	81
Dung lượng	1,96 MB