ỨNG PHÓ VÀ XỬ LÝ SỰ CỐ TRONG AN NINH MẠNG

“7 Steps of the Cyber Kill Chain” Các chuyên gia an ninh mạng đang dần dần nắm bắt được nhiều thuật ngữ quân sựhơn.. "KillChain" là một thuật ngữ chiến tranh truyền thống thường được Khô

ĐỒ ÁN MÔN HỌC INCIDENT RESPONSE AND HANDLING

Chuyên ngành: AN TOÀN THÔNG TIN

Môn học: AN TOÀN HỆ THỐNG MẠNG MÁY TÍNH

Giảng viên bộ môn : Lê Duy An

Sinh viên thực hiện : Trịnh Bảo Long - 1711060183

: Nguyễn Viết Đăng Long – 1711061106 : Phạm Văn Lộc Hoa - 1711061243Lớp : 17TH_N4_01

TP Hồ Chí Minh, 2021

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

Trong th i đ i công ngh thông tin phát tri n nhanh và vờ ạ ệ ể ượ ật b c nh hi nư ệnay, đ c bi t là công ngh máy tính và m ng máy tính v i s bùng n c a hàngặ ệ ệ ạ ớ ự ổ ủngàn cu c cách m ng l n nh S ra đ i c a các m ng máy tính và nh ng d ch vộ ạ ớ ỏ ự ờ ủ ạ ữ ị ụ

c a nó đã mang l i cho con ngủ ạ ười nhi u l i ích to l n, góp ph n thúc đ y n nề ợ ớ ầ ẩ ềkinh t phát tri n m nh mẽ, đ n gi n hóa nh ng th t c l u tr , x lý, trao đ iế ể ạ ơ ả ữ ủ ụ ư ữ ử ổthông tin ph c t p, liên l c và k t n i gi a nh ng v trí, kho ng cách r t l n m tứ ạ ạ ế ố ữ ữ ị ả ấ ớ ộcách nhanh chóng, hi u qu ệ ả

Bên c nh s phát tri n m nh mẽ c a m ng máy tính, v n đ an ninhạ ự ể ạ ủ ạ ấ ề

m ng cũng tr thành y u t quan tr ng An ninh thông tin nói chung và an ninhạ ở ế ố ọ

m ng nói riêng đang là v n đ đạ ấ ề ược quan tâm không ch Vi t Nam mà còn trênỉ ở ệtoàn th gi i Cùng v i s phát tri n nhanh chóng c a m ng Internet, vi c đ mế ớ ớ ự ể ủ ạ ệ ả

b o an ninh cho các h th ng thông tin càng tr nên c p thi t h n bao gi h t.ả ệ ố ở ấ ế ơ ờ ế

Kỹ thu t t n công ngày càng tinh vi h n khi n các h th ng an ninh m ng trậ ấ ơ ế ệ ố ạ ởnên m t hi u qu ấ ệ ả

Nh n th c đậ ứ ượ ầc t m quan tr ng c a các gi i pháp an ninh m ng, nhómọ ủ ả ạchúng em đã ch n đ tài “ọ ề Incident Response and Handling” đ nghiên c u, m cể ứ ụđích chính là đ h c h i, và cũng mu n tìm hi u nh ng gi i phápể ọ ỏ ố ể ữ ả ng phóứ anninh m ng ạ và quy trình x lý s c ử ự ố t i u cho m t h th ng m ng.ố ư ộ ệ ố ạ

Nhóm chúng em xin chân thành c m n th y ả ơ ầ Lê Duy An đã t o đi u ki nạ ề ệ

và hướng d n cho chúng em hoàn thành đ tài này Nhóm chúng em cũng xin c mẫ ề ả

n các anh ch khóa tr c, các b n bè đã h tr thêm thông tin đ đ án đ c t t

h n.ơ

Trong quá trình th c hi n, nhóm chúng em r t c g ng Nh ng cũng khóự ệ ấ ố ắ ưtránh kh i nh ng sai sót, kính mong quý th y cô và các b n góp ý thêm Xin chânỏ ữ ầ ạthành c m n! ả ơ

MITM: Man In The Middle.

ARP: Address Resolution Protocol

DNS: Domain Naming System

DoS: Denial of Service

DDoS: Distributed Denial of Service

IDS: Intrusion Detect System

HIDS: Host-based Intrusion Detect System

NIDS: Network-based Intrusion Detect System

IPS: Intrusion Prevent System

TCP: Transmission Control Protocol – giao th c đi u khi n truy n v n.ứ ề ể ề ậ

UDP: User Datagram Protocol – giao th c g i d li u ng n.ứ ử ữ ệ ắ

ICMP: Internet Control Message Protocol – giao th c ki m tra k t n i.ứ ể ế ố

ASCII: American Standard Core for Information Interchange – chu n mã trao đ iẩ ổthông tin Hoa Kì

IP: Internet Protocol

Firewall: là m t b c rào ch n gi a m ng n i b và m t m ng khác.ộ ứ ắ ữ ạ ộ ộ ộ ạ

Packet Decoder: Môđun gi i mã gói tin.ả

Preprocessor: Môđun ti n x lý.ề ử

Detection engine: Môđun phát hi n.ệ

Logging and Alerting System: Môđun log va c nh báo.ả

SSH - Secure Shell: Giao th c k t n i b o m tứ ế ố ả ậ

CH ƯƠ NG I: T NG QUAN Ổ

1.1 T ng quan đ tài ổ ề

1.1.1 Các ki n th c c s ế ứ ơ ở

1.1.1.1 Khái quát v an ninh m ng ề ạ

- An ninh m ng máy tính (ạ Network Security) là t ng th các gi i pháp vổ ể ả ề

m t t ch c và kỹ thu t nh m ngăn c n m i nguy c t n h i đ n m ngặ ổ ứ ậ ằ ả ọ ơ ổ ạ ế ạ Các t n h i có th x y ra do:ổ ạ ể ả

• Các nguyên nhân khác t t nhiên.ừ ự

- An ninh m ng máy tính bao g m vô s các phạ ồ ố ương pháp đượ ử ục s d ng đểngăn c n các s ki n trên, nh ng trả ự ệ ư ước h t t p trung vào vi c ngăn c n:ế ậ ệ ả

• L i c a ngỗ ủ ườ ử ụi s d ng

• Các hành đ ng hi m đ c.ộ ể ộ

- S lố ượng các m ng máy tính tăng lên r t nhanh Ngày càng tr thành ph cạ ấ ở ứ

t p và ph i th c hi n các nhi m v quan tr ng h n Mang l i nh ng tháchạ ả ự ệ ệ ụ ọ ơ ạ ữ

th c m i cho nh ng ai s d ng và qu n lý chúng S c n thi t ph i h iứ ớ ữ ử ụ ả ự ầ ế ả ộ

nh p các d ch v vào cùng m t h t ng c s m ng t t c trong m t làậ ị ụ ộ ạ ầ ơ ở ạ ấ ả ộ

m t đi u hi n nhiên Do các nhà qu n lý m ng ph i c g ng tri n khaiộ ề ể ả ạ ả ố ắ ể

nh ng công ngh m i nh t vào h t ng c s m ng c a mình.ữ ệ ớ ấ ạ ầ ơ ở ạ ủ

- An ninh M ng – Network Security b o v m ng c a b n trạ ả ệ ạ ủ ạ ước vi c đánhệ

c p và s d ng sai m c đích thông tin kinh doanh bí m t và ch ng l i t nắ ử ụ ụ ậ ố ạ ấcông b ng mã đ c t vi rút và sâu máy tính trên m ng Internet N u khôngằ ộ ừ ạ ế

có an ninh m ng đạ ược tri n khai, công ty c a b n sẽ g p r i ro trể ủ ạ ặ ủ ước xâm

nh p trái phép, s ng ng tr ho t đ ng c a m ng, s gián đo n d ch v ,ậ ự ừ ệ ạ ộ ủ ạ ự ạ ị ụ

s không tuân th quy đ nh và th m chí là các hành đ ng ph m pháp n a.ự ủ ị ậ ộ ạ ữ

- An ninh M ng không ch d a vào m t phạ ỉ ự ộ ương pháp mà s d ng m t t pử ụ ộ ậ

h p các rào c n đ b o v doanh nghi p c a b n theo nh ng cách khácợ ả ể ả ệ ệ ủ ạ ữnhau Ngay c khi m t gi i pháp g p s c thì gi i pháp khác v n b o vả ộ ả ặ ự ố ả ẫ ả ệ

được công ty và d li u c a b n trữ ệ ủ ạ ước đa d ng các lo i t n công m ng.ạ ạ ấ ạ

- Các l p an ninh trên m ng c a b n có nghĩa là thông tin có giá tr mà b nớ ạ ủ ạ ị ạ

d a vào đ ti n hành kinh doanh là luôn s n có đ i v i b n và đự ể ế ẵ ố ớ ạ ược b oả

v trệ ước các t n công C th là, An ninh M ng: ấ ụ ể ạ

• B o v ch ng l i nh ng t n công m ng t bên trong và bên ngoài.ả ệ ố ạ ữ ấ ạ ừCác t n công có th xu t phát t c hai phía, t bên trong và t bênấ ể ấ ừ ả ừ ừngoài tường l a c a doanh nghi p c a b n M t h th ng an ninhử ủ ệ ủ ạ ộ ệ ố

hi u qu sẽ giám sát t t c các ho t đ ng m ng, c nh báo vệ ả ấ ả ạ ộ ạ ả ề

nh ng hành đ ng vi ph m và th c hi n nh ng ph n ng thích h p.ữ ộ ạ ự ệ ữ ả ứ ợ

• Đ m b o tính riêng t c a t t c các liên l c, b t c đâu và vàoả ả ư ủ ấ ả ạ ở ấ ứ

b t c lúc nào Nhân viên có th truy c p vào m ng t nhà ho cấ ứ ể ậ ạ ừ ặtrên đường đi v i s đ m b o r ng ho t đ ng truy n thông c a hớ ự ả ả ằ ạ ộ ề ủ ọ

v n đẫ ược riêng t và đư ược b o v ả ệ

• Ki m soát truy c p thông tin b ng cách xác đ nh chính xác ngể ậ ằ ị ườidùng và h th ng c a h Các doanh nghi p có th đ t ra các quyệ ố ủ ọ ệ ể ặ

t c c a riêng h v truy c p d li u Phê duy t ho c t ch i có thắ ủ ọ ề ậ ữ ệ ệ ặ ừ ố ể

được c p trên c s danh tính ngấ ơ ở ười dùng, ch c năng công vi cứ ệ

ho c các tiêu chí kinh doanh c th khác.ặ ụ ể

• Giúp b n tr nên tin c y h n B i vì các công ngh an ninh cho phépạ ở ậ ơ ở ệ

- Y u t đ u tiên ph i nói đ n là d li u, nh ng thông tin l u tr trên hế ố ầ ả ế ữ ệ ữ ư ữ ệ

th ng máy tính c n đố ầ ược b o v do các yêu c u v tính b o m t, tính toànả ệ ầ ề ả ậ

v n hay tính k p th i ẹ ị ờ

- Y u t th hai là v tài nguyên h th ng, sau khi nh ng k t n công đãế ố ứ ề ệ ố ữ ẻ ấlàm ch đủ ược h th ng chúng sẽ s d ng các máy này đ ch y các chệ ố ử ụ ể ạ ươngtrình nh dò tìm m t kh u đ t n công vào h th ng m ng.ư ậ ẩ ể ấ ệ ố ạ

- Sau đây là m t s phộ ố ương th c b o đ m an toàn, b o m t thông tin, dứ ả ả ả ậ ữ

li u:ệ

• M t mã (Cryptography): là vi c th c hi n chuy n đ i d li u theoậ ệ ự ệ ể ổ ữ ệ

m t quy t c nào đó thành d ng m i mà k t n công không nh nộ ắ ạ ớ ẻ ấ ậ

bi t đế ược

• Xác th c (Authentication): là các thao tác đ nh n d ng ngự ể ậ ạ ười dùng,

nh n d ng client hay server…ậ ạ

• Ủy quy n (Authorization): chính là vi c phân đ nh quy n h n choề ệ ị ề ạ

m i thành ph n đã đăng nh p thành công vào h th ng Quy n h nỗ ầ ậ ệ ố ề ạnày là các quy n s d ng d ch v , truy c p d li u…ề ử ụ ị ụ ậ ữ ệ

• Ki m toán (Auditing): là các phể ương pháp đ xác đ nh để ị ược client

đã truy c p đ n d li u nào và b ng cách nào.ậ ế ữ ệ ằ

1.1.1.3 Các thành ph n c b n ầ ơ ả

- Đ m t h th ng an ninh m ng ho t đ ng t t nó bao g m r t nhi u thànhể ộ ệ ố ạ ạ ộ ố ồ ấ ề

ph n, ho t đ ng trên các n n t ng và m i trầ ạ ộ ề ả ỗ ường khác nhau nh :ư

• Các máy tr mạ

• Các máy chủ

• Các ng d ngứ ụ

• Các server

• Các thi t b h t ng m ng: Router, switch, Hub…ế ị ạ ầ ạ

• Các thi t b , h th ng phát hi n và phòng ch ng xâm nh p: IDS/IPS,ế ị ệ ố ệ ố ậSnort, FireWall…

• Các ng d ng ch y trên các máy ch và máy tr m.ứ ụ ạ ủ ạ

- Ngoài ra, log h th ng cũng là m t thành ph n quan tr ng c a h th ngệ ố ộ ầ ọ ủ ệ ố

• Log Event: là log ghi l i chi ti t nh ng s ki n mà h th ng đã th cạ ế ữ ự ệ ệ ố ự

hi n Log ng d ng, log c a h đi u hành…ệ ứ ụ ủ ệ ề

• Log Device: là log ghi l i tình tr ng ho t đ ng c a các thi t b ph nạ ạ ạ ộ ủ ế ị ầ

c ng và ph n m m đang đứ ầ ề ượ ử ục s d ng: Router, Switch, IDS, IPS…

- Đi u khi n truy nh p t xa.ề ể ậ ừ

th ng m ng, v n đ an toàn và b o m t đóng m t vai trò h t s c quan tr ng.ố ạ ấ ề ả ậ ộ ế ứ ọ

N u không có an ninh m ng đế ạ ược tri n khai, h th ng c a b n sẽ g p r i roể ệ ố ủ ạ ặ ủ

trước xâm nh p trái phép, s ng ng tr ho t đ ng c a m ng, s gián đo n d chậ ự ừ ệ ạ ộ ủ ạ ự ạ ị

v , s không tuân th quy đ nh và th m chí là các hành đ ng ph m pháp n a.ụ ự ủ ị ậ ộ ạ ữ

Nh n th c đậ ứ ượ ầc t m quan tr ng c a nó, nhóm chúng em đã ch n đ tàiọ ủ ọ ềnày đ nghiên c u d a trên tài li u để ứ ự ệ ược Gi ng Viên cung c p M c đích chính làả ấ ụ

đ h c h i, và cũng mu n tìm hi u nh ng gi i pháp an ninh m ng t i u choể ọ ỏ ố ể ữ ả ạ ố ư

m t h th ng m ng.ộ ệ ố ạ

CH ƯƠ NG II: C S LÝ LU N Ơ Ở Ậ

2 Incident Response Models ( Các mô hình ng phó s c ) ứ ự ố

2.1 Các nguyên t c n n t ng c a an ninh m ng ắ ề ả ủ ạ

Đ i v i nhi u t ch c, doanh nghi p, cá nhân thì thông tin và d li u đóngố ớ ề ổ ứ ệ ữ ệ

m t vai trò h t s c quan tr ng trong đ i s ng và có khi nh hộ ế ứ ọ ờ ố ả ưởng t i s t nớ ự ồvong c a h Vì v y, vi c b o m t nh ng thông tin và d li u đó là đi u vô cùngủ ọ ậ ệ ả ậ ữ ữ ệ ề

c n thi t, nh t là trong b i c nh hi n nay các h th ng thông tin ngày càng đầ ế ấ ố ả ệ ệ ố ược

m r ng và tr nên ph c t p d n đ n ti m n nhi u nguy c không lở ộ ở ứ ạ ẫ ế ề ẩ ề ơ ường trước

được

Đi u này cho th y vai trò c t y u c a an ninh m ng trong vi c b o h hề ấ ố ế ủ ạ ệ ả ệ ệ

th ng m ng Và n n t ng quan tr ng c a an ninh m ng bao g m 3 y u t :ố ạ ề ả ọ ủ ạ ồ ế ố

Confidentiality, Integrity, Availability, được g i là: Mô hình b ba CIA Baọ ộnguyên t c c t lõi này ph i d n đắ ố ả ẫ ường cho t t c các h th ng an ninh m ng Bấ ả ệ ố ạ ộ

ba CIA cũng cung c p m t công c đo (tiêu chu n đ đánh giá) đ i v i các th cấ ộ ụ ẩ ể ố ớ ự

hi n an ninh M i vi ph m b t kỳ m t trong ba nguyên t c này đ u có th gâyệ ọ ạ ấ ộ ắ ề ể

h u qu nghiêm tr ng đ i v i t t c các thành ph n có liên quan.ậ ả ọ ố ớ ấ ả ầ

2.1.1 Tính bí m t ậ

Bí m t là s ngăn ng a vi c ti t l trái phép nh ng thông tin quan tr ng,ậ ự ừ ệ ế ộ ữ ọ

nh y c m Đó là kh năng đ m b o m c đ bí m t c n thi t đạ ả ả ả ả ứ ộ ậ ầ ế ược tuân th vàủthông tin quan tr ng, nh y c m đó đọ ạ ả ược che gi u v i ngấ ớ ười dùng không được

và t i m ng Tính s n sàng có liên quan đ n đ tin c y c a h th ng Đ tăngớ ạ ẵ ế ộ ậ ủ ệ ố ể

kh năng ch ng ch i v i các cu c t n công cũng nh duy trì đ s n sàng c a hả ố ọ ớ ộ ấ ư ộ ẵ ủ ệ

th ng ta có th áp d ng m t s kỹ thu t nh : Load Balancing, Clustering,ố ể ụ ộ ố ậ ưRedudancy, Failover…

2.2 N i dung v t n công m ng ộ ề ấ ạ

2.2.1 Hacking và khái ni m hacker ệ

Hacking là quá trình t n d ng s h c a các h th ng máy tính đ hoànậ ụ ơ ở ủ ệ ố ểthành m c tiêu c a mình hay nói m t cách d hi u h n, hacking là hành đ ngụ ủ ộ ễ ể ơ ộthâm nh p vào h th ng qu n tr m ng máy tính, ph n m m máy tính hay m ngậ ệ ố ả ị ạ ầ ề ạmáy tính đ thay đ i h th ng đó theo ý mu n c a hacker, m c đích c a hànhể ổ ệ ố ố ủ ụ ủ

đ ng hacking có th là t t ho c x u.ộ ể ố ặ ấ

Hacker là người hi u rõ ho t đ ng c a h th ng máy tính, m ng máy tính,ể ạ ộ ủ ệ ố ạ

có th vi t hay ch nh s a ph n m m, ph n c ng máy tính đ làm thay đ i, ch nhể ế ỉ ử ầ ề ầ ứ ể ổ ỉ

s a nó v i nhi u m c đích t t x u khác nhau Công vi c c a hacker bao g m l pử ớ ề ụ ố ấ ệ ủ ồ ậtrình, qu n tr và b o m t.ả ị ả ậ

2.2.2 Phân lo i hacker ạ

- Black hat: Lo i hacker này thạ ường là m t cá nhân có ki n th c, kĩộ ế ứnăng uyên thâm v máy tính, luôn có ý đ nh đen t i, s p x p và lênề ị ố ắ ế

k ho ch t n công v i m c đích phá ho i, ho c vi ph m pháp lu t.ế ạ ấ ớ ụ ạ ặ ạ ậBlack hat cũng có th là m t cracker.ể ộ

- While hat: Tr ng đây có nghĩa là luôn làm vi c trong sáng, minhắ ở ệ

b ch đ ch ng l i cái ác, cái đen t i Nh ng ngạ ể ố ạ ố ữ ười này cũng ph i cóả

ki n th c, kĩ năng uyên thâm nh black hat, nh ng h không dùngế ứ ư ư ọ

ki n th c đó đ th c hi n ý đ đen t i là t n công, xâm nh p tráiế ứ ể ự ệ ồ ố ấ ậphép mà h là nh ng ngọ ữ ười đi tìm ra l h ng và vá l h ng đó l i vàỗ ổ ỗ ổ ạ

h luôn đ t phòng th lên hàng đ u Có th coi nh ng ngọ ặ ủ ầ ể ữ ười này

nh nh ng ngư ữ ười phân tích b o m t.ả ậ

- Gray hat: Đây là th lo i đ ng gi a hai lo i hacker mũ tr ng và mũể ạ ứ ữ ạ ắđen Nh ng gã này tìm ra l h ng và thông báo chúng cho chính ph ,ữ ỗ ổ ủ

c quan tình báo hay đôi khi là quân đ i Sau đó, chính ph sẽ sơ ộ ủ ử

d ng nh ng thông tin này đ hack vào m t c quan hay m t nhómụ ữ ể ộ ơ ộ

t i ph m hình s H có th là cá nhân hay nh ng nhà nghiên c uộ ạ ự ọ ể ữ ứtheo đu i vi c tìm ki m bugs và nh ng sai sót có th h u ích choổ ệ ế ữ ể ữchính ph ủ

- Suicide hat: Đây có th coi nh là lo i hacker c m t , có nghĩa là làmể ư ạ ả ử

vi c mà không s gì ệ ợ

Ngoài ra, chúng ta còn có th phân lo i các Hacker d a trên các lĩnh v c.ể ạ ự ự

th gây cho nó kh năng đ i đ u v i m t m i đe d a.ể ả ố ầ ớ ộ ố ọ

- S r i ro (Risk): là đ đo đánh giá tính d b t n thự ủ ộ ễ ị ổ ương k t h p v i khế ợ ớ ảnăng t n công thành công.ấ

2.3 “7 Steps of the Cyber Kill Chain”

Các chuyên gia an ninh mạng đang dần dần nắm bắt được nhiều thuật ngữ quân sựhơn Không có gì ngạc nhiên ở đó, với một cuộc chiến tranh mạng có thể xảy ra "KillChain" là một thuật ngữ chiến tranh truyền thống thường được Không quân Hoa Kỳ sửdụng như quy trình chỉ huy và kiểm soát để xác định mục tiêu và tiêu diệt các lựclượng đối phương

Khái niệm "Kill Chain" này đã được đưa vào hoạt động tiếp thị an ninh mạng Nhiềunhà cung cấp đã đưa ra các mô hình, nhưng Websense gần đây đã đưa nó thành một

mô hình bảy giai đoạn được xác định rõ ràng mà bọn tội phạm mạng sử dụng để tiếpcận nạn nhân của chúng Bạn không phải sử dụng tất cả các bước này mọi lúc, nhưngthường thì đây là cách các cuộc tấn công giảm xuống Đây là những gì nó trông giốngnhư:

1 Reconnaissance: Kẻ xâm nhập chọn mục tiêu, nghiên cứu nó và tìm

kiếm các lỗ hổng

2 Weaponization : Kẻ xâm nhập phát triển phần mềm độc hại (Vũ khí)

được thiết kế để khai thác lỗ hổng

3 Delivery : Kẻ xâm nhập truyền phần mềm độc hại qua email lừa đảo

hoặc phương tiện khác

4 Exploitation : Phần mềm độc hại bắt đầu thực thi trên hệ thống đích.

5 Installation : Phần mềm độc hại cài đặt một cửa sau hoặc sự xâm nhập

khác mà kẻ tấn công có thể truy cập được

6 Command and Control : Kẻ xâm nhập có được quyền truy cập liên tục

vào hệ thống / mạng của nạn nhân

7 Actions on Objectives : Kẻ xâm nhập bắt đầu các hành động mục tiêu

cuối cùng, chẳng hạn như đánh cắp dữ liệu, hỏng dữ liệu hoặc phá hủy

dữ liệu

2.4 The Diamond Model of Intrusion (Mô hình kim c ươ ng)

2.4.1 T ng quan v The Diamond Model ( Mô hình kim c ổ ề ươ ng).

Mô hình này nh n m nh các m i quan h và đ c đi m c a 4 thành ph n c b n:ấ ạ ố ệ ặ ể ủ ầ ơ ả

1. Adversary – Đ i th : ố ủ Các bên ch u trách nhi m v s xâm nh p.ị ệ ề ự ậ

2. Capability – Kh năng: ả Công c ho c kỹ thu t đụ ặ ậ ược s d ng b iử ụ ởtác nhân đe d a.ọ

3. Infrastructure – C s h t ng: ơ ở ạ ầ (Các) đường d n m ng đẫ ạ ược sử

d ng b i tác nhân đe d a đ thi t l p và duy trì ch huy và ki mụ ở ọ ể ế ậ ỉ ểsoát

4. Victim – N n nhân: ạ M c tiêu c a cu c t n công.ụ ủ ộ ấ Các n n nhân sauạ

đó có th để ược s d ng nh m t ph n c a c s h t ng đ kh iử ụ ư ộ ầ ủ ơ ở ạ ầ ể ở

đ ng các cu c t n công khác.ộ ộ ấ

Adversary s d ng ử ụ Capability trên Infrastructure đ t n công ể ấ Victim.

2.4.2 Pivoting Across the Diamond Model ( Mô hình kim cương xâm nh p).ậ

1. M t nhân viên báo cáo r ng máy tính c a anh ta ho t đ ng b tộ ằ ủ ạ ộ ấ

thường và quá trình quét cho th y máy tính b nhi m ph n m mấ ị ễ ầ ề

4. Các đ a ch IP này đị ỉ ược s d ng đ đi u tra nh t ký đ xác đ nhử ụ ể ề ậ ể ị

n u các n n nhân khác trong t ch c đang s d ng kênh CnCế ạ ổ ứ ử ụ

5. Đ a ch IP cũng đị ỉ ượ ử ục s d ng đ xác đ nh đ i th ể ị ố ủ

2.4.3 The Diamond Model and the Cyber Kill Chain

1. K thù ti n hành tìm ki m trên web cho các Ti n ích c a công ty n nẻ ế ế ệ ủ ạnhân, Inc nh n đậ ược nh m t ph n c a k t qu mi n gadgets.com c aư ộ ầ ủ ế ả ề ủ

5. Máy ch c a NA1 đăng ký v i b đi u khi n CnC b ng cách g i HTTPủ ủ ớ ộ ề ể ằ ửĐăng tin nh n và nh n l i Ph n h i HTTP.ắ ậ ạ ả ồ

6. Phân tích ph n m m đ c h i xác đ nh các đ a ch IP d phòng b sung.ầ ề ộ ạ ị ị ỉ ự ổ

7. Thông qua thông báo ph n h i CnC HTTP đả ồ ược g i đ n máy ch c a NA1,ử ế ủ ủ

ph n m m đ c h i b t đ u ho t đ ng nh m t proxy cho các k t n i TCPầ ề ộ ạ ắ ầ ạ ộ ư ộ ế ố

m i.ớ

8. Thông qua proxy được thi t l p trên máy ch c a NA1, Adversary th cế ậ ủ ủ ự

hi n m t tìm ki m trên web cho “nghiên c u quan tr ng nh t t ệ ộ ế ứ ọ ấ ừ trước

đ n nay” và tìm th y N n nhân 2, Nghiên c u thú v Inc.ế ấ ạ ứ ị

9. Đ iố th ki m tra danh sách liên h email c a NA1 đ tìm b t kỳ đ a chủ ể ệ ủ ể ấ ị ỉliên h nào t Công ty nghiên c u thú v và phát hi n ra liên h cho Giámệ ừ ứ ị ệ ệ

đ c Nghiên c u Thú v Inc.ố ứ ị

10. Giám đ c nghiên c u c a Interest Research Inc nh n đố ứ ủ ậ ược m t email maộgiáo t đ a ch email NA1 c a Gadget Inc đã đừ ị ỉ ủ ược g i t máy ch c a NA1ử ừ ủ ủ

v i cùng t i tr ng nh đớ ả ọ ư ược quan sát trong S ki n 3.ự ệ

2.5 The VERIS Schema ( L ượ c đ VERIS) ồ

Lược đ VERIS xác đ nh năm y u t c p cao nh t, cung c p m t khía c nh khácồ ị ế ố ấ ấ ấ ộ ạ

c a s c ủ ự ố

• Impact Assessment (Đánh giá tác đ ng): ộ T t c các s c đ u cóấ ả ự ố ềtác đ ng, cho dùộ nó là nh ho c ph bi n, ch có th đỏ ặ ổ ế ỉ ể ược xác đ nhịsau khi m t s c đã x y ra.ộ ự ố ả

• Discovery and Response (Khám phá và ph n h i) ả ồ : Xác đ nh ti nị ếtrình c a các s ki n,ủ ự ệ phương pháp phát hi n s c và ph n ngệ ự ố ả ứ là

s c , bao g m c cách nó đự ố ồ ả ược kh c ph c.ắ ụ

• Incident Description (Mô t s c ) ả ự ố : Mô t toàn b s c ,ả ộ ự ố s d ngử ụ

mô hình m i đe d a A4 do Verizon phát tri n.ố ọ ể

• Victim Demographics (Mô t n n nhân): ả ạ Mô t t ch c cóả ổ ứ tr iảqua s c và các đ c đi m c a nó.ự ố ặ ể ủ

• Incident Tracking (Theo dõi s c ): ự ố Ghi l i thông tin chung vạ ề sự

c đ các t ch c có th xác đ nh, l u tr và truy xu tố ể ổ ứ ể ị ư ữ ấ s c theoự ố

th i gian.ờ

2.6 Các ki u t n công ể ấ

2.6.1 Man in The Middle

Man in the Middle là m t trong nh ng ki u t n công m ng thộ ữ ể ấ ạ ường th yấ

nh t đấ ược s d ng đ ch ng l i nh ng cá nhân và các t ch c l n chính, nóử ụ ể ố ạ ữ ổ ứ ớ

thường được vi t t t là MITM Man-in-the-middle attack (MITM), là m t cu c t nế ắ ộ ộ ấcông mà k t n công bí m t chuy n ti p và có th làm thay đ i giao ti p gi a haiẻ ấ ậ ể ế ể ổ ế ữbên mà h tin r ng h đang tr c ti p giao ti p v i nhau ọ ằ ọ ự ế ế ớ

MITM ho t đ ng b ng cách thi t l p các k t n i đ n máy tính n n nhânạ ộ ằ ế ậ ế ố ế ạ

và chuy n ti p d li u gi a chúng Trong trể ế ữ ệ ữ ường h p b t n công, n n nhân cợ ị ấ ạ ứtin tưởng là h đang truy n thông m t cách tr c ti p v i n n nhân kia, nh ng sọ ề ộ ự ế ớ ạ ư ự

th c thì các lu ng truy n thông l i b thông qua host c a k t n công Và k t quự ồ ề ạ ị ủ ẻ ấ ế ả

là các host này không ch có th thông d ch d li u nh y c m mà nó còn có thỉ ể ị ữ ệ ạ ả ể

g i xen vào cũng nh thay đ i lu ng d li u đ ki m soát sâu h n nh ng n nử ư ổ ồ ữ ệ ể ể ơ ữ ạnhân c a nó.ủ

2.6.2 T n công b đ ng ấ ị ộ

Trong m t cu c t n công b đ ng, các hacke sẽ ki m soát traffic khôngộ ộ ấ ị ộ ể

được mã hóa và tìm ki m m t kh u không đế ậ ẩ ược mã hóa (Clear Text password),các thông tin nh y c m có th đạ ả ẻ ược s d ng trong các ki u t n công khác Cácử ụ ể ấ

cu c t n công b đ ng bao g m phân tích traffic, giám sát các cu c giao ti pộ ấ ị ộ ồ ộ ếkhông được b o v , gi i mã các traffic mã hóa y u, và thu th p các thông tin xácả ệ ả ế ậ

2.6.3 T n công ch đ ng ấ ủ ộ

T n công ch đ ng nh tên g i c a nó là các cu c t n công mà ngấ ủ ộ ư ọ ủ ộ ấ ườ ấi t ncông hoàn toàn công khai và ch đ ng trong t ch c và th c hi n cu c t n côngủ ộ ổ ứ ự ệ ộ ấ

v i m c đích làm gi m hi u năng ho c làm tê li t ho t đ ng c a m ng máy tínhớ ụ ả ệ ặ ệ ạ ộ ủ ạ

ho c h th ng Đ i v i ki u t n công ch đ ng chúng ta hoàn nh n bi t đặ ệ ố ố ớ ể ấ ủ ộ ậ ế ượcqua k t qu tác đ ng c a nó M t vài phế ả ộ ủ ộ ương pháp t n công ch đ ng khá n iấ ủ ộ ổ

ti ng hi n nay nh : T n công t ch i d ch v , tràn b đ m, t n công ký t đi uế ệ ư ấ ừ ố ị ụ ộ ệ ấ ự ềkhi n đ ng b SYN, và gi m o IP.ể ồ ộ ả ạ

2.6.4 T n công Phishing ấ

Phishing là m t phộ ương th c l a đ o nh m gi m o các t ch c có uy tínứ ừ ả ằ ả ạ ổ ứ

nh ngân hàng, trang web giao d ch tr c tuy n và các công ty th tín d ng đ l aư ị ự ế ẻ ụ ể ừ

người dùng chia s thông tin tài chính nh : tên đăng nh p, m t kh u giao d ch,ẻ ư ậ ậ ẩ ị

nh ng thông tin nh y c m khác c a h Phữ ạ ả ủ ọ ương th c t n công này còn có th càiứ ấ ể

ph n m m đ c h i vào thi t b c a ngầ ề ộ ạ ế ị ủ ười dùng Chúng th c s là m i quan ng iự ự ố ạ

l n n u ngớ ế ười dùng ch a có ki n th c v ki u t n công này ho c thi u c như ế ứ ề ể ấ ặ ế ảgiác v nó.ề

L a đ o chi m đo t thông tin ừ ả ế ạ

Các giao d ch thị ường dùng đ đánh l a nh ng ngể ừ ữ ười dùng ít đa nghi là cácgiao d ch có v xu t phát t các website xã h i ph bi n, các trung tâm chi trị ẻ ấ ừ ộ ổ ế ả

tr c tuy n ho c các qu n tr m ng T n công fishing thự ế ặ ả ị ạ ấ ường được th c hi n quaự ệ

th đi n t ho c tin nh n nhanh và hay yêu c u ngư ệ ử ặ ắ ầ ười dùng nh p thông tin vàoậ

m t website gi m o g n nh gi ng h t v i website th t Ngay c khi có sộ ả ạ ầ ư ố ệ ớ ậ ả ử

d ng ch ng th c máy ch , có khi v n ph i c n vài kĩ năng ph c t p m i xác đ nhụ ứ ự ủ ẫ ả ầ ứ ạ ớ ị

được website là gi m o T n công fishing là m t đ n c c a nh ng kĩ thu t l aả ạ ấ ộ ơ ử ủ ữ ậ ừ

đ o qua m ng (social engineering) nh m đánh l a ngả ạ ằ ừ ười dùng và khai thác sự

b t ti n hi n nay c a công ngh b o m t web.ấ ệ ệ ủ ệ ả ậ

2.6.5 T n công n i b ấ ộ ộ

Các cu c t n công n i b (insider attack) liên quan đ n ngộ ấ ộ ộ ế ườ ởi trong

cu c, ch ng h n nh m t nhân viên nào đó “b t mãn” v i công ty c a mình, …cácộ ẳ ạ ư ộ ấ ớ ủ

cu c t n công h th ng m ng n i b có th gây h i ho c vô h i.ộ ấ ệ ố ạ ộ ộ ể ạ ặ ạ

Người trong cu c c ý nghe tr m, ăn c p ho c phá ho i thông tin, s d ng cácộ ố ộ ắ ặ ạ ử ụthông tin m t cách gian l n ho c truy c p trái phép các thông tin.ộ ậ ặ ậ

- T n công t ch i d ch v phân tán DDoS (Distributed Denial of Service):ấ ừ ố ị ụ

T n công DDoS là n l c làm s p m t d ch v tr c tuy n b ng cách làmấ ỗ ự ậ ộ ị ụ ự ế ằtràn ng p nó v i traffic t nhi u ngu n.ậ ớ ừ ề ồ

2.6.8 T n công tr c ti p ấ ự ế

Nh ng cu c t n công tr c ti p thông thữ ộ ấ ự ế ường được s d ng trong giaiử ụ

đo n đ u đ chi m quy n truy nh p bên trong M t phạ ầ ể ế ề ậ ộ ương pháp t n công cấ ổ

đi n là dò tìm tên ngể ườ ử ụi s d ng và m t kh u Đây là phậ ẩ ương pháp đ n gi n, dơ ả ễ

th c hi n và không đòi h i m t đi u ki n đ c bi t nào đ b t đ u K t n côngự ệ ỏ ộ ề ệ ặ ệ ể ắ ầ ẻ ấ

có th s d ng nh ng thông tin nhể ử ụ ữ ư tên người dùng, ngày sinh, đ a ch , s nhà…ị ỉ ố

đ đoán m t kh u Trong trể ậ ẩ ường h p có đợ ược danh sách ngườ ử ụi s d ng và

nh ng thông tin v môi trữ ề ường làm vi c, có m t chệ ộ ương trình t đ ng hoá vự ộ ề

vi c dò tìm m t kh u này.ệ ậ ẩ

M t chộ ương trình có th d dàng l y để ễ ấ ượ ừc t Internet đ gi i các m tể ả ậ

kh u đã mã hoá c a h th ng unix có tên là crack, có kh năng th các t h p cácẩ ủ ệ ố ả ử ổ ợ

t trong m t t đi n l n, theo nh ng quy t c do ngừ ộ ừ ể ớ ữ ắ ười dùng t đ nh nghĩa Trongự ị

m t s trộ ố ường h p, kh năng thành công c a phợ ả ủ ương pháp này có th lên t iể ớ30%

Phương pháp s d ng các l i c a chử ụ ỗ ủ ương trình ng d ng và b n thân hứ ụ ả ệ

đi u hành đã đề ượ ử ục s d ng t nh ng v t n công đ u tiên và v n đừ ữ ụ ấ ầ ẫ ược ti p t cế ụ

đ chi m quy n truy nh p Trong m t s trể ế ề ậ ộ ố ường h p phợ ương pháp này chophép k t n công có đẻ ấ ược quy n c a ngề ủ ười qu n tr h th ng (root hayả ị ệ ốadministrator) Hai ví d thụ ường xuyên được đ a ra đ minh ho cho phư ể ạ ươngpháp này là ví d v i chụ ớ ương trình sendmail và chương trình rlogin c a h đi uủ ệ ềhành UNIX

Sendmail là m t chộ ương trình ph c t p, v i mã ngu n bao g m hàng ngànứ ạ ớ ồ ồdòng l nh c a ngôn ng C Sendmail đệ ủ ữ ược ch y v i quy n u tiên c a ngạ ớ ề ư ủ ười

qu n tr h th ng, do chả ị ệ ố ương trình ph i có quy n ghi vào h p th c a nh ngả ề ộ ư ủ ữ

ngườ ử ụi s d ng máy Và Sendmail tr c ti p nh n các yêu c u v th tín trên m ngự ế ậ ầ ề ư ạbên ngoài Đây chính là nh ng y u t làm cho sendmail tr thành m t ngu nữ ế ố ở ộ ồcung c p nh ng l h ng v b o m t đ truy nh p h th ng.ấ ữ ỗ ổ ề ả ậ ể ậ ệ ố

Rlogin cho phép ngườ ử ụi s d ng t m t máy trên m ng truy nh p t xa vàoừ ộ ạ ậ ừ

m t máy khác s d ng tài nguyên c a máy này Trong quá trình nh n tên và m tộ ử ụ ủ ậ ậ

kh u c a ngẩ ủ ườ ử ụi s d ng, rlogin không ki m tra đ dài c a dòng nh p, do đó kể ộ ủ ậ ẻ

t n công có th đ a vào m t xâu đã đấ ể ư ộ ược tính toán trước đ ghi đè lên mãể

chương trình c a rlogin, qua đó chi m đủ ế ược quy n truy nh p.ề ậ

• N i bộ ộ - đượ ử ục s d ng trong ngân hàng, b nh vi n, trệ ệ ường đ i h c, v.v.ạ ọ

• Qu c giaố - x lý các s c cho m t qu c giaử ự ố ộ ố

• Trung tâm đi u ph iề ố - x lý s c trên nhi u CSIRTử ự ố ề

• Trung tâm phân tích - d li u t nhi u ngu n đ xác đ nh xu hữ ệ ừ ề ồ ể ị ướng

3.5.2 NIST xác đ nh vòng l p s c nh sau: ị ặ ự ố ư

• Chu n b (Preparation) ẩ ị - Các thành viên c a CSIRT đủ ược đào t o v cách ngạ ề ứphó v i m t s c ớ ộ ự ố

• Phát hi n và phân tích ệ (Detection and Analysis)- Thông qua giám sát liên

t c, CSIRT nhanh chóng xác đ nh, phân tích vàụ ị

xác nh n m t s c ậ ộ ự ố

• Ngăn ch n, Xóa b và Ph c ặ ỏ ụ h i ồ (Containment, Eradication, Recovery)

-CSIRT th c hi n các th t c đ ngăn ch n m i đe d a, lo i b tác đ ng đ n tàiự ệ ủ ụ ể ặ ố ọ ạ ỏ ộ ế

s n c a t ch c và s d ng b n sao l u đ khôi ph c d li u và ph n m m.ả ủ ổ ứ ử ụ ả ư ể ụ ữ ệ ầ ề

• Các ho t đ ng sau s c ạ ộ ự ố (Post- Incident Activities) - CSIRT sau đó ghi l iạcách x lý s c , khuy n ngh thay đ i cho ph n h i trong tử ự ố ế ị ổ ả ồ ương lai và ch đ nhỉ ịcách tránh tái di n.ễ

4 M t s bi n pháp ngăn ch n và kh c ph c s c An toàn h th ng m ng ộ ố ệ ặ ắ ụ ự ố ệ ố ạ máy tính.

4.1 Công ngh t ệ ườ ng l a (Firewall) ử

Tường l a (Firewall) là m t b c rào ch n gi a m ng n i b (localử ộ ứ ắ ữ ạ ộ ộnetwork) v i m t m ng khác (ch ng h n nh Internet), đi u khi n l u lớ ộ ạ ẳ ạ ư ề ể ư ượng ravào gi a hai m ng này N u nh không có tữ ạ ế ư ường l a thì l u lử ư ượng ra vào m ngạ

n i b sẽ không ch u b t kỳ s đi u ti t nào, còn m t khi tộ ộ ị ấ ự ề ế ộ ường l a đử ược xây

d ng thì l u lự ư ượng ra vào sẽ do các thi t l p trên tế ậ ường l a quy đ nh.ử ị

Tác d ng c a tụ ủ ường l a: m t tử ộ ường l a có th l c l u lử ể ọ ư ượng t các ngu nừ ồtruy c p nguy hi m nh hacker, m t s lo i virus t n công đ chúng không thậ ể ư ộ ố ạ ấ ể ểphá ho i hay làm tê li t h th ng c a b n Ngoài ra vì các ngu n truy c p ra vàoạ ệ ệ ố ủ ạ ồ ậ

gi a m ng n i b và m ng khác đ u ph i thông qua tữ ạ ộ ộ ạ ề ả ường l a nên tử ường l aửcòn có tác d ng theo dõi, phân tích các lu ng l u lụ ồ ư ượng truy c p và quy t đ nh sẽậ ế ịlàm gì v i nh ng lu ng l u lớ ữ ồ ư ượng đáng ng nh khoá l i m t s ngu n d li uờ ư ạ ộ ố ồ ữ ệ

không cho phép truy c p ho c theo dõi m t giao d ch đáng ng nào đó Do đó,ậ ặ ộ ị ờ

vi c thi t l p tệ ế ậ ường l a là h t s c quan tr ng, đ c bi t là đ i v i nh ng máyử ế ứ ọ ặ ệ ố ớ ữtính thường xuyên k t n i internet.ế ố

4.2 Công ngh phát hi n và ngăn ch n xâm nh p m ng IDS/IPS ệ ệ ặ ậ ạ

4.2.1 H th ng phát hi n xâm nh p (Intrusion Detect System - IDS) ệ ố ệ ậ

H th ng phát hi n xâm nh p cung c p thêm cho vi c b o v thông tinệ ố ệ ậ ấ ệ ả ệ

m ng m c đ cao h n IDS cung c p thông tin v các cu c t n công vào hạ ở ứ ộ ơ ấ ề ộ ấ ệ

th ng m ng Tuy nhiên IDS không t đ ng c m ho c là ngăn ch n các cu c t nố ạ ự ộ ấ ặ ặ ộ ấcông

M t tính năng chính c a h th ng IDS là cung c p thông tin nh n bi t vộ ủ ệ ố ấ ậ ế ề

nh ng hành đ ng không bình thữ ộ ường và đ a ra các báo c nh thông báo cho qu nư ả ả

tr viên m ng khóa các k t n i đang t n công này Thêm vào đó công c IDS cũngị ạ ế ố ấ ụ

có th phân bi t gi a nh ng t n công t bên trong t ch c (t chính nhân viênể ệ ữ ữ ấ ừ ổ ứ ừ

ho c khách hàng) và t n công bên ngoài (t n công t hacker) Ch c năng c a IDS:ặ ấ ấ ừ ứ ủ

- Ch c năng quan tr ng nh t: giám sát -c nh báo - b o v :ứ ọ ấ ả ả ệ

• Giám sát: l u lư ượng m ng + các ho t đ ng kh nghi.ạ ạ ộ ả

• C nh báo: báo cáo v tình tr ng m ng cho h th ng + nhà qu n tr ả ề ạ ạ ệ ố ả ị

t bên trong và đâu là cu c t n công t bên ngoài.ừ ộ ấ ừ

• Phát hi n: d a vào so sánh l u lệ ự ư ượng m ng hi n t i v i baseline,ạ ệ ạ ớIDS có th phát hi n ra nh ng d u hi u b t thể ệ ữ ấ ệ ấ ường và đ a ra cácư

c nh báo và b o v ban đ u cho h th ng.ả ả ệ ầ ệ ốNhi m v chính c a các h th ng phát hi n xâm ph m là phòng ch ng choệ ụ ủ ệ ố ệ ạ ố

m t h th ng máy tính b ng cách phát hi n các d u hi u t n công và có th đ yộ ệ ố ằ ệ ấ ệ ấ ể ẩlùi nó Vi c phát hi n các t n công ph thu c vào s lệ ệ ấ ụ ộ ố ượng và ki u hành đ ngể ộthích h p Đ ngăn ch n xâm ph m t t c n ph i k t h p t t gi a “b và b y”ợ ể ặ ạ ố ầ ả ế ợ ố ữ ả ẫ

được trang b cho vi c nghiên c u các m i đe d a Vi c làm l nh hị ệ ứ ố ọ ệ ệ ướng s t pự ậtrung c a k xâm nh p vào tài nguyên đủ ẻ ậ ược b o v là m t nhi m v quan tr ngả ệ ộ ệ ụ ọkhác C h th ng th c và h th ng b y c n ph i đả ệ ố ự ệ ố ẫ ầ ả ược ki m tra m t cách liênể ộ

t c D li u đụ ữ ệ ượ ạc t o ra b ng các h th ng phát hi n xâm nh p đằ ệ ố ệ ậ ược ki m traể

m t cách c n th n (đây là nhi m v chính cho m i IDS) đ phát hi n các d uộ ẩ ậ ệ ụ ỗ ể ệ ấ

hi u t n công (s xâm ph m).ệ ấ ự ạ

H th ng IDS đệ ố ược chia làm 2 lo i c b n:ạ ơ ả

- Network-based IDS (NIDS): s d ng d li u trên toàn b l u thông m ngử ụ ữ ệ ộ ư ạcùng d li u ki m tra t m t ho c m t vài máy tr m đ phát hi n xâmữ ệ ể ừ ộ ặ ộ ạ ể ệ

nh p H th ng IDS d a trên m ng sẽ ki m tra các giao ti p trên m ng v iậ ệ ố ự ạ ể ế ạ ớ

th i gian th c (real-time) Nó ki m tra các giao ti p, quét header c a các góiờ ự ể ế ủtin, và có th ki m tra n i dung c a các gói đó đ phát hi n ra các đo n mãể ể ộ ủ ể ệ ạnguy hi m hay các d ng t n công khác nhau M t Network-Based IDS ho tể ạ ấ ộ ạ

đ ng tin c y trong vi c ki m tra, phát hi n các d ng t n công trên m ng, víộ ậ ệ ể ệ ạ ấ ạ

d nh d a vào băng thông (bandwidth-based) c a t n công Denied ofụ ư ự ủ ấService (DoS)

4.2.2 H th ng ngăn ch n xâm nh p (Intrusion Prevent System-IPS) ệ ố ặ ậ

Gi i pháp ngăn ng a xâm nh p nh m m c đích b o v tài nguyên, d li u vàả ừ ậ ằ ụ ả ệ ữ ệ

m ng Chúng sẽ làm gi m b t nh ng m i đe d a t n công b ng vi c lo i b l uạ ả ớ ữ ố ọ ấ ằ ệ ạ ỏ ư

lượng m ng b t h p pháp, trong khi v n cho phép các ho t đ ng h p pháp đạ ấ ợ ẫ ạ ộ ợ ược

ti p t c IPS ngăn ch n các cu c t n công dế ụ ặ ộ ấ ưới nh ng d ng sau:ữ ạ

- Ứng d ng không mong mu n và t n công ki u “Trojanhorse” nh m vàoụ ố ấ ể ằ

m ng và ng d ng cá nhân, qua vi c s d ng các nguyên t c xác đ nh vàạ ứ ụ ệ ử ụ ắ ịdanh sách ki m soát truy nh p.ể ậ

- Các t n công t ch i d ch v nh “l t” các gói tin SYN và ICMP b i vi cấ ừ ố ị ụ ư ụ ở ệdùng các thu t toán d a trên c s “ngậ ự ơ ở ưỡng”

- S l m d ng các ng d ng và giao th c qua vi c s d ng nh ng qui t cự ạ ụ ứ ụ ứ ệ ử ụ ữ ắgiao th c ng d ng và ch kí.ứ ứ ụ ữ

- Nh ng t n công quá t i hay l m d ng ng d ng b ng vi c s d ng gi iữ ấ ả ạ ụ ứ ụ ằ ệ ử ụ ớ

h n tài nguyên d a trên c s ngạ ự ơ ở ưỡng

• Modul phân tích gói: Nhi m v phân tích c u trúc thông tin trongệ ụ ấcác gói tin Card giao ti p m ng (NIC) c a máy giám sát đế ạ ủ ược đ t ặ ở

ch đ không phân lo i, các gói tin qua chúng đ u đế ộ ạ ề ược sao chép vàchuy n lên l p trên.ể ớ

• Modul phát hi n t n công: Modul quan tr ng nh t trong h th ng,ệ ấ ọ ấ ệ ố

có kh năng phát hi n các cu c t n công.ả ệ ộ ấ

• Modul ph n ng: Khi có d u hi u c a s t n công ho c xâm nh pả ứ ấ ệ ủ ự ấ ặ ậthì modul phát hi n t n công sẽ g i tín hi u thông báo đ n modulệ ấ ử ệ ế

ph n ng Khi đó, modul ph n ng sẽ kích ho t Firewall th c hi nả ứ ả ứ ạ ự ệ

ch c năng ngăn ch n cu c t n công T i đây n u ch đ a ra cácứ ặ ộ ấ ạ ế ỉ ư

c nh báo t i ngả ớ ười qu n tr và d ng l i đó thì h th ng này đả ị ừ ạ ở ệ ố ược

g i là h th ng phòng th b đ ng.ọ ệ ố ủ ị ộ

 Ba modul trên ho t đ ng tu n t t o nên IPS hoàn ch nh IPS đạ ộ ầ ự ạ ỉ ược xem

là thành công n u chúng h i t đế ộ ụ ược các y u t nh th c hi n nhanh,ế ố ư ự ệchính xác, đ a ra các thôngbáo h p lý, phân tích đư ợ ược toàn b thông lộ ượng,ngăn ch n thành công và có chính sách qu n lí m m.ặ ả ề

M t s kĩ thu t ngăn ch n: ộ ố ậ ặ

- Ch m d t phiên làm vi c (Terminate Session): H th ng IPS g i các gói tinấ ứ ệ ệ ố ửreset thi t l p l i cu c giao ti p t i Client vàServer K t qu cu c giao ti pế ậ ạ ộ ế ớ ế ả ộ ế

sẽ được b t đ u l i và cu c t n công b ng ng l i.ắ ầ ạ ộ ấ ị ừ ạ

- Nhược đi m: th i gian g i gói tin reset là quá ch m so v i cu c t n công;ể ờ ử ậ ớ ộ ấ

phương pháp này không hi u qu v i các giao th c ho t đ ng trên UDPệ ả ớ ứ ạ ộ

nh DNS; các gói reset ph i có trư ả ường Sequence number đúng thì server

m i ch p nh n: C nh báo t c thì (Realtime Alerting), T o ra b n ghi logớ ấ ậ ả ứ ạ ả(Log packet)

Nh ng h n ch c a IDS /IPS: So v i Firewall, IDS/IPS đã th hi n đữ ạ ế ủ ớ ể ệ ược nhi uềtính năng u vi t Nó không ch có kh năng phát hi n ra các cu c t n công, màư ệ ỉ ả ệ ộ ấcòn ch ng l i các cu c t n công này m t cách h u hi u Tuy v y h th ng nàyố ạ ộ ấ ộ ữ ệ ậ ệ ố

v n còn nh ng h n ch sau: Các s n ph m IPS không th nh n bi t đẫ ữ ạ ế ả ẩ ể ậ ế ược tr ngạ

thái t ng ng d ng (ch có th nh n bi t đầ ứ ụ ỉ ể ậ ế ược các dòng thông tin trên t ngầ

m ng) Do v y các cu c t n công trên t ng ng d ng sẽ không b phát hi n vàạ ậ ộ ấ ầ ứ ụ ị ệngăn ch n.ặ

4.3 Công ngh m ng LAN o (VLAN) ệ ạ ả

VLAN là m t m ng LAN o V m t kỹ thu t, VLAN là m t mi n qu ng báộ ạ ả ề ặ ậ ộ ề ả

đượ ạc t o b i các switch Bình thở ường thì router đóng vai t o ra mi n qu ng bá.ạ ề ảVLAN là m t kỹ thu t k t h p chuy n m ch l p 2 và đ nh tuy n l p 3 đ gi iộ ậ ế ợ ể ạ ớ ị ế ớ ể ớ

h n mi n đ ng đ và mi n qu ng bá VLAN còn đạ ề ụ ộ ề ả ượ ử ục s d ng đ b o m t gi aể ả ậ ữcác nhóm VLAN theo ch c năng nhóm.ứ

Khái ni m v VLAN: VLAN là m t nhóm các thi t b m ng không gi i h nệ ề ộ ế ị ạ ớ ạtheo v trí v t lý ho c theo LAN switch mà chúng tham gia k t n i vào VLAN làị ậ ặ ế ố

m t segment m ng theo logic d a trên ch c năng, đ i nhóm, ho c ng d ng c aộ ạ ự ứ ộ ặ ứ ụ ủ

m t t ch c ch không ph thu c vào v trí v t lý hay k t n i v t lý trong m ng.ộ ổ ứ ứ ụ ộ ị ậ ế ố ậ ạ

T t c các tr m và server đấ ả ạ ược s d ng b i cùng m t nhóm làm vi c sẽ đử ụ ở ộ ệ ược

đ t trong cùng VLAN b t k v trí hay k t n i v t lý c a chúng.ặ ấ ể ị ế ố ậ ủ

Mi n qu ng bá v i VLAN và router: M t VLAN là m t mi m qu ng báề ả ớ ộ ộ ề ả

đượ ạc t o nên m t hay nhi u switch Hình trên cho th y t o 3 mi n qu ng báộ ề ấ ạ ề ảriêng bi t trên 3 swich nh th nào Đ nh tuy n l p 3 cho phép router chuy n góiệ ư ế ị ế ớ ể

gi a các mi n qu ng bá v i nhau.ữ ề ả ớ

Ho t đ ng c a VLAN: M i c ng trên switch có th gán cho m t VLAN khácạ ộ ủ ỗ ổ ể ộnhau Các c ng n m trong cùng m t VLAN sẽ chia s gói qu ng bá v i nhau Cácổ ằ ộ ẻ ả ớ

c ng không n m trong cùng VLAN sẽ không chia s gói qu ng bá v i nhau Nhổ ằ ẻ ả ớ ờ

- Có tính linh đ ng cao: di chuy n máy tr m trong LAN d dàng.ộ ể ạ ễ

- Thêm máy tr m vào LAN d dàng: Trên m t switch nhi u c ng, có th c uạ ễ ộ ề ổ ể ấhình VLAN khác nhau cho t ng c ng, do đó d dàng k t n i thêm các máyừ ổ ễ ế ốtính v i các VLAN.ớ

- Ti t ki m băng thông c a m ng: do VLAN có th chia nh LAN thành cácế ệ ủ ạ ể ỏ

đo n (là m t vùng qu ng bá) Khi m t gói tin qu ng bá, nó sẽ đạ ộ ả ộ ả ược truy nề

đi ch trong m t LAN duy nh t, không truy n đi các VLAN khác nên gi mỉ ộ ấ ề ở ả

l u lư ượng qu ng bá, ti t ki m băng thông đả ế ệ ường truy n.ề

ng d ng c a VLAN: S d ng VLAN đ t o ra các LAN khác nhau c a

nhi u máy tính cùng văn phòng, s d ng VLAN đ t o m ng d li u o (Virtualề ử ụ ể ạ ạ ữ ệ ảData Network)

Các lo i VLAN: Có 3 lo i thành viên VLAN đ xác đ nh và ki m soát vi c xạ ạ ể ị ể ệ ử

lý các gói d li u: VLAN d a trên c ng (port based VLAN), VLAN theo đ a ch MACữ ệ ự ổ ị ỉ(MAC address based VLAN), VLAN theo giao th c (protocol based VLAN).ứ

Chúng ta có th xây d ng VLAN cho m ng t đ u cu i, đ n đ u cu i ho c theoể ự ạ ừ ầ ố ế ầ ố ặ

gi i h n đ a lý.ớ ạ ị

- VLAN t đ u cu i – đ n – đ u cu i: Ngừ ầ ố ế ầ ố ười dùng được phân nhóm VLANhoàn toàn không ph thu c vào v trí v t lý, ch ph thu c vào ch c năngụ ộ ị ậ ỉ ụ ộ ứcông vi c c a nhóm M i users trong m t VLAN đ u có chung t l giaoệ ủ ọ ộ ề ỉ ệthông là: 80% giao thông bên trong và 20% giao thông bên ngoài VLAN Khi

người dùng đ u cu i di chuy n trong h th ng m ng v n không thay đ iầ ố ể ệ ố ạ ẫ ổ