CHƯƠNG 1 TỔNG QUAN về ĐÁNH GIÁ AN TOÀN hệ THỐNG THÔNG TIN

Khám phá mạng thụ động - Phương pháp thụ động sử dụng công cụ dò quét mạng để theo dõi lưu lượngmạng, ghi chép lại những địa chỉ IP của những máy đang hoạt động, những cổngmạng đang được

Table of Contents CHƯƠNG 1: TỔNG QUAN VỀ ĐÁNH GIÁ AN TOÀN HỆ THỐNG

THÔNG TIN 4

1.1 Phương pháp luận đánh giá an toàn hệ thống thông tin 4

1.1.1 Khái niệm đánh giá AT HTTT NIST và SANS 4

1.1.2 Ý nghĩa của phương pháp luận: 4

1.1.3 Phương pháp luận chứa tối thiểu các pha: 4

1.1.4 Một số phương pháp luận được ứng dụng rộng rãi trong đánh giá an toàn hệ thống thông tin: 5

1.2 Các kỹ thuật đánh giá 13

1.3 So sánh kiểm thử (test) và kiểm tra (examination) 14

CHƯƠNG 2: RÀ SOÁT HỆ THỐNG 14

2.1 Rà soát tập luật (BT) 14

2.1.1 Khái niệm 14

2.1.2 Mục đích 14

2.1.3 Các luật cần kiểm tra 15

2.2 Dò quét mạng (BT) 15

2.2.1 Khái niệm 15

2.2.2 Mục đích 15

2.2.3 Ảnh hưởng của việc dò quét tới hiệu suất mạng 16

2.2.4 Công cụ và địa điểm dò quét 16

2.2.5 Hạn chế của việc dò quét 16

2.2.6 Ưu nhược điểm của SPAN Port 17

CHƯƠNG 3: PHÂN TÍCH VÀ XÁC ĐỊNH MỤC TIÊU 17

3.1 Khám phá mạng 17

3.1.1 Khám phá mạng thụ động 17

3.1.2 Khám phá mạng chủ động 18

3.2 Xác định cổng và dịch vụ mạng 20

3.3 Dò quét lỗ hổng bảo mật 24

3.3.1 Tài liệu báo cáo về lỗ hổng bảo mật 27

3.4 Dò quét mạng không dây (Bảo mật trong mạng không dây) 28

3.4.1 WEP (Wired Equivalent Privacy) 29

3.4.2 WPA (Wifi Protected Access) 30

3.4.3 WPA2 (WiFi Protected Access II) 32

CHƯƠNG 4: XÁC ĐỊNH ĐIỂM YẾU MỤC TIÊU 32

4.1 Bẻ mật khẩu 32

4.2 Kiểm thử xâm nhập 35

4.2.1 Các pha kiểm thử 39

4.2.2 Logic kiểm thử xâm nhập 43

CHƯƠNG 5: LẬP KẾ HOẠCH ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN 44

5.1 Lựa chọn và xác định kỹ thuật đánh giá (BT) 44

CHƯƠNG 6: THỰC HIỆN ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN 46

6.1 Xử lý dữ liệu 46

6.1.1 Hủy bỏ dữ liệu 47

CHƯƠNG 7: CÁC HOẠT ĐỘNG SAU ĐÁNH GIÁ 48

7.1 Báo cáo (BT) 48

7.1.1 Thông tin chung về hệ thống đánh giá 49

7.1.2 Cấu trúc hệ thống đánh giá 49

7.1.3 Các rủi ro mức cao 50

7.1.4 Các rủi ro mức trung bình và mức thấp 51

CHƯƠNG 8: KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN 51

8.1 Tổng quan về kiểm định an toàn hệ thống thông tin 51

8.1.1 Khái niệm kiểm định an toàn hệ thống thông tin 51

8.1.2 So sánh đánh giá an toàn hệ thống thông tin và kiểm định an toàn hệ thống thông tin 51

8.2 Quy trình kiểm định an toàn hệ thống thông tin 52

8.2.1 Chuẩn bị kiểm định 53

8.2.2 Tạo kế hoạch kiểm định 54

8.2.3 Xem xét tài liệu 54

8.2.4 Kiểm tra trực tiếp 56

8.2.5 Đánh giá kết quả 57

8.2.6 Lập báo cáo kiểm định 57

CHƯƠNG 1: TỔNG QUAN VỀ ĐÁNH GIÁ AN TOÀN HỆ THỐNG

THÔNG TIN 1.1 Phương pháp luận đánh giá an toàn hệ thống thông tin

1.1.1 Khái niệm đánh giá AT HTTT NIST và SANS

- Theo NIST: Đánh giá an toàn hệ thống thông tin (information securityassessment) là quy trình xác định tính hiệu quả của một thực thể được đánh giá(ví dụ như máy tính, hệ thống, mạng, quy trình vận hành, con người ) đáp ứngcác mục tiêu an ninh cụ thể Quy trình tập trung vào 3 phương pháp chính: kiểmthử (testing), kiểm tra (examination), phỏng vấn (interviewing)

- Theo SANS: Đánh giá an toàn hệ thống thông tin là thước đo độ an toàn của hệthống hoặc tổ chức, hay còn hiểu là cách thức thực hiện an toàn thông tin

 Dựa trên việc xác định các rủi ro, trong đó tập trung vào xác định điểmyếu và các tác động tới hệ thống

 Đánh giá an toàn dựa trên 3 phương pháp chính có liên quan đến nhau là:

rà soát (reviewing), kiểm thử (testing), kiểm tra (examination)

 Rà soát: bao gồm các kỹ thuật xem xét thụ động và thực hiện phỏngvấn Thường được thực hiện thủ công

 Kiểm tra: xem xét cụ thể tại tổ chức từ mức hệ thống/mạng để xác địnhcác điểm yếu an ninh tồn tại trong hệ thống

 Kiểm thử: đóng vai trò như kẻ tấn công Thực hiện các phương pháptìm kiếm lỗ hổng bảo mật trong mạng để thực hiện xâm nhập tới hệthống hoặc mạng

1.1.2 Ý nghĩa của phương pháp luận:

- Cung cấp tính thống nhất và có cấu trúc cho việc kiểm thử an toàn, từ đó có thểgiảm thiểu rủi ro trong quá trình đánh giá

- Giúp dễ dàng trong việc chuyển giao quy trình đánh giá nếu có sự thay đổinhân sự đánh giá

- Chỉ ra những hạn chế về tài nguyên kết hợp với các đánh giá an toàn

- Xây dựng phương pháp luận đánh giá an toàn thông tin theo các giai đoạn sẽmang lại rất nhiều các ưu điểm và cung cấp một cấu trúc, điểm dừng tự nhiêncho quá trình chuyển đổi đánh giá viên

1.1.3 Phương pháp luận chứa tối thiểu các pha:

- Lập kế hoạch

 Thực hiện các công việc chuẩn bị

 Thu thập các thông tin cần thiết phục vụ quá trình đánh giá

- Thực thi

 Xác định các lỗ hổng và xác nhận lỗ hổng

- Hậu thực thi

 Phân tích các lỗ hổng

 Đưa ra các khuyến cáo giảm nhẹ lỗ hổng

 Phát triển báo cáo

1.1.4 Một số phương pháp luận được ứng dụng rộng rãi trong đánh giá an toàn hệ thống thông tin:

OSSMTMM: Phương pháp mở đánh giá an toàn thủ công

ISSAF: Phương pháp đánh giá an toàn hệ thống thông tin

OWASP: Dự án mở về bảo mật ứng dụng

1) OSSTMM (Open Source Security Testing Methodology Manual):

- Là một dự án của ISECOM, phát triển trong một cộng đồng mở, với các đốitượng tham gia bình đẳng và không ảnh hưởng bởi chính trị và thương mại

- Phương pháp khoa học mô tả chính xác các an ninh hoạt động đặc trưng thôngqua kiểm thử một cách nhất quán và lặp đi lặp lại trên các kênh vật lý, tương táccon người, kết nối (không dây, có dây)

- Phù hợp với các kiểu đánh giá như đánh giá an ninh, lỗ hổng

- Phương pháp tiếp cận chia thành bốn nhóm chính:

 Phạm vi: Tất cả tài sản hoạt động trong môi trường mục tiêu

 Kênh: Xác định loại giao tiếp và tương tác với tài sản

 Chỉ mục: Phân loại và đếm các tài sản mục tiêu tương ứng với từng loại

cụ thể

 Hướng: Hướng người đánh giá có thể đánh giá và phân tích từng tài sảnchức năng

Phạm vi

Bước 1: Thu thập dữ liệu thụ động ở trạng thái hoạt động bình thường để hiểumục tiêu.

Bước 2: Kiểm thử tích cực những hoạt động bằng cách kích động những hoạtđộng vượt quá mức bình thường

Bước 3: Phân tích dữ liệu nhận được trực tiếp từ các hoạt động đã kiểm thử.Bước 4: Phân tích dữ liệu gián tiếp từ tài nguyên và người vận hành

Bước 5: Xem xét tương quan và hợp nhất thông tin thu được từ kết quả bước 3

và 4 để xác định các quy trình an ninh hoạt động

Bước 6: Xác định và hợp nhất các lỗi

Bước 7: Thu thập số liệu từ các hoạt động cả bình thường và kích động

Bước 8: Xem xét tương quan và hợp nhất thông tin giữa các bước 1 và 2 để xácđịnh mức bảo vệ và kiểm soát tối ưu

Bước 9: Ánh xạ trạng thái hoạt động tối ưu đến quy trình (bước 5)

Bước 10: Tạo một kẽ hở phân tích để xác định cái gì cần thiết nâng cao cho cácquy trình và kiểm soát cần thiết cho bảo vệ và kiểm soát (bước 5) để đạt đượctrạng thái hoạt động tối ưu (bước 8) từ cái hiện hành

Phương thức làm việc của OSSTMM bao gồm 17 mô-đun

Có tất cả 5 kênh, ứng với mỗi kênh sẽ lần lượt thực hiện 17 mô-đun, chia thành

4 giai đoạn: giai đoạn bắt đầu gồm 3 mô-đun đầu tiên, giai đoạn tương tác gồmcác mô-đun từ 4 đến 7, giai đoạn điều tra gồm các mô-đun từ 8 đến 13 và giaiđoạn can thiệp gồm các mô-đun còn lại - từ 14 đến 17 Như vậy, người kiểm thửphải thực hiện 17 * 5 = 85 phân tích trước khi đưa ra được báo cáo cuối cùng

2) ISSAF (Information Systems Security Assessment Framework): Phương pháp đánh giá an toàn hệ thống thông tin

- ISSAF là phương pháp luận đánh giá an toàn hệ thống thông tin của tổ chứcOISSG ra đời năm 2003, cho phép người nghiên cứu, đánh giá an ninh CNTTchuyên nghiệp tham gia đóng góp, thảo luận trong lĩnh vực an ninh CNTT

- Khung làm việc của nó được phân vào một số loại lĩnh vực giải quyết các đánhgiá an ninh theo một trình tự Mỗi lĩnh vực đánh giá các bộ phận khác nhau củamột hệ thống mục tiêu và cung cấp dữ liệu đầu vào cho nhóm công việc an ninhthành công

- ISSAF phát triển tập trung vào hai lĩnh vực: quản lý và kỹ thuật

 Mặt quản lý thực hiện quản lý nhóm công việc và các kinh nghiệm thực tếtốt nhất phải được tuân thủ trong suốt quá trình đánh giá

 Mặt kỹ thuật thực hiện bộ quy tắc cốt lõi, thủ tục cần tuân thủ và tạo ra mộtquy trình đánh giá an ninh đầy đủ

VD: Về mặt kỹ thuật, ISSAF xây dựng một loạt các phương pháp đánh giá chotừng thành phần của hệ thống CNTT như: đánh giá an toàn mật khẩu; đánh giá antoàn các thiết bị mạng: Switch, Router, Firewall, IDS, VPN, Anti-Virus,WLAN…; đánh giá an ninh máy chủ: Windows, Linux, Novell, Web Server; đánhgiá an ninh ứng dụng web, mã nguồn, CSDL đến đánh giá an ninh phi công nghệnhư an ninh vật lý; công nghệ xã hội

- Về phương thức làm việc, ISSAF bao gồm 3 giai đoạn tiếp cận và 9 bước đánhgiá đó là:

Phương thức làm việc của ISSAF

Giai đoạn 1: Lên kế hoạch và chuẩn bị

- Đây là giai đoạn trao đổi thông tin ban đầu, lập kế hoạch và chuẩn bị cho đánhgiá; ký thỏa thuận đánh giá chính thức làm cơ sở pháp lý; xác định thời gian vàkhoảng thời gian đánh giá, nhóm tham gia đánh giá, hướng leo thang…

Giai đoạn 2: Đánh giá

Đây là giai đoạn thực sự thực hiện đánh giá Trong giai đoạn này, một cách tiếpcận theo lớp được tuân thủ Có chín lớp đánh giá bao gồm:

 Lớp 1 Thu thập thông tin

 Lớp 2 Lập bản đồ mạng

 Lớp 3 Xác định lỗ hổng

 Lớp 4 Xâm nhập

 Lớp 5 Truy cập & leo thang đặc quyền

 Lớp 6 Liệt kê thêm8

 Lớp 7 Thỏa hiệp user/site từ xa

 Lớp 8 Duy trì truy cập

 Lớp 9 Xóa dấu vết

Các bước được thực hiện lặp đi lặp lại đại diện bởi các mũi tên vòng tròn trong giaiđoạn đánh giá trong hình Đặc biệt chín lớp được mô tả rất kỹ và giới thiệu rấtnhiều phần mềm tương ứng có thể sử dụng trong từng lớp hoặc tham khảo khiđánh giá

Giai đoạn 3: Báo cáo, dọn dẹp và hủy hậu quả

Bao gồm báo cáo bằng lời nói (thực hiện khi có việc đột xuất hoặc vấn đề quantrọng khi đánh giá an toàn) và báo cáo cuối cùng thực hiện sau khi hoàn thành tất

cả các bước đánh giá được xác định trong phạm vi công việc Cuối cùng là dọn dẹphậu quả, tất cả các thông tin được tạo ra hoặc được lưu trữ trên hệ thống đánh giácần được loại bỏ khỏi hệ thống

3) OWASP (The Open Web Application Security Project): Dự án mở về bảo mật ứng dụng Web

- OWASP ra đời năm 2001, đây là một tổ chức phi lợi nhuận, cộng đồng mở, mụctiêu chính của tổ chức là cải tiến an ninh các phần mềm ứng dụng, đặc biệt là ứngdụng web

- Tổ chức này cũng xây dựng nhiều công cụ khác nhau cho việc đánh giá và đều là

mã nguồn mở, miễn phí

- OWASP ủng hộ phương pháp tiếp cận an ninh ứng dụng theo con người, quytrình và công nghệ vì đây là những nhân tố tạo ra ứng dụng, những nhân tố trên cóhành vi an toàn thì ứng dụng mới an toàn

- Theo OWASP, các ứng dụng web trên mạng hầu hết phải tiếp xúc với bên ngoàimôi trường Internet, là một sản phẩm mà mọi người ai cũng có thể truy cập, nên nó

sẽ phải chịu rất nhiều các cuộc tấn công, sửa đổi trái phép Vì vậy, đây sẽ là cánhcổng giữa môi trường Internet và nội bộ cho kẻ tấn công xâm nhập vào lớp ứngdụng trước khi thực hiện các bước tiếp theo xâm nhập vào hệ thống

- Một nỗ lực được thực hiện bởi cộng đồng mở OWASP là xây dựng khung làmviệc đánh giá an toàn ứng dụng web và thúc đẩy dự án OWASP top 10 nhằm nângcao nhận thức an ninh ứng dụng của các tổ chức

- Dự án OWASP top 10 phân loại rủi ro an ninh ứng dụng web bằng cách đánh giácác hướng tấn công hàng đầu, có mức độ nguy hiểm cao vào lỗ hổng an ninh Việcđánh giá mười rủi ro hàng đầu của dự án sẽ thực hiện theo chu kỳ mỗi năm một lầnnhằm mục đích chỉ ra những rủi ro nghiêm trọng nhất trong từng năm (chú ýkhông chỉ có 10 rủi ro cần xem xét mà rất nhiều, tuy nhiên hàng năm OWASP sẽchọn ra 10 rủi ro nguy hại nhất)

VD: Top 10 lỗ hổng nguy hại nhất năm 2019 mà OWASP công bố

- Phương pháp đánh giá an toàn ứng dụng web của OWASP dựa trên tiếp cận hộpđen Người đánh giá không biết hoặc biết rất ít thông tin về các ứng dụng đượcđánh giá Mô hình đánh giá bao gồm:

 Người đánh giá: Thực hiện các hoạt động đánh giá

 Công cụ và phương pháp: Cốt lõi là dự án hướng dẫn đánh giá

 Áp dụng: Đánh giá hộp đen

Phương pháp OWASP bao gồm 10 bước thực hiện chia thành 2 giai đoạn:

Phương thức làm việc của OWASP

- Giai đoạn 1 – Chế độ thụ động: Trong chế độ này, người đánh giá cố gắng hiểuđược logic của ứng dụng và các thông tin liên quan đến mục tiêu đánh giá Cácthông tin có thể thu thập được như: sơ đồ website, thông tin webserver, vị trí đặttên miền, … Các thông tin này là tiền đề để thực hiện giai đoạn thứ 2

- Giai đoạn 2 – Chế độ chủ động: Trong giai đoạn này, người đánh giá bắt đầu thựchiện đánh giá theo hướng dẫn chi tiết trong tài liệu OWASP OWASP chia đánhgiá chủ động thành 9 loại nhỏ với tổng số 66 bài viết hướng dẫn:

 Kiểm tra Quản lý cấu hình

 Kiểm tra quản lý cấu hình

 Kiểm tra business logic

 Kiểm tra cơ chế xác thực

 Kiểm tra việc ủy quyền

 Kiểm tra quản lý phiên giao dịch

 Kiểm tra các dữ liệu đầu vào13

 Kiểm tra khả năng tấn công từ chối dịch vụ

 Kiểm tra web services

 Kiểm tra AJAX

1.2 Các kỹ thuật đánh giá

- Có rất nhiều các kỹ thuật kiểm tra và kiểm thử an toàn có thể được sử dụng đểđánh giá an toàn của hệ thống và mạng Tuy nhiên chúng có thể được chia thành 3loại như sau:

 Kỹ thuật rà soát (review): Đây là kỹ thuật kiểm tra được dùng để đánh giá hệthống, ứng dụng, mạng, chính sách và thủ tục nhằm mục tiêu phát hiện các

lỗ hổng và thường được tiến hành thủ công (bằng tay) Các kỹ thuật này baogồm việc: rà soát tài liệu, nhật kí, tập luật, rà soát cấu hình hệ thống, thăm

dò mạng, kiểm tra tính toàn vẹn tập tin

 Kỹ thuật phân tích và xác định mục tiêu: Kỹ thuật kiểm thử này có thể xácđịnh hệ thống, các cổng, dịch vụ và các lỗ hổng Thông thường có các công

cụ tự động để thực hiện các kỹ thuật này nhưng cũng có thể được thực hiệnthủ công Các kỹ thuật này bao gồm: phát hiện mạng, nhận dạng cổng vàdịch vụ mạng, quét lỗ hổng, quét mạng không dây và kiểm tra an toàn ứngdụng

 Kỹ thuật xác định điểm yếu mục tiêu: Kỹ thuật kiểm thử này để xác định sựtồn tại của các lỗ hổng trong hệ thống Chúng có thể được thực hiện mộtcách thủ công hoặc thông qua các công cụ tự động tùy thuộc vào các hệthống cụ thể cũng như kỹ năng của người kiểm thử Các kỹ thuật xác địnhđiểm yếu mục tiêu bao gồm: bẻ mật khẩu, kiểm thử xâm nhập, kỹ nghệ xãhội và kiểm thử an toàn ứng dụng

=> Tuy nhiên sẽ không có một kỹ thuật nào có thể cung cấp một cách đầy đủ, chitiết về các vấn đề an toàn trong một hệ thống hay mạng nên cần phải kết hợp các

kỹ thuật một cách phù hợp để đảm bảo rằng các đánh giá an toàn là chính xác

Ví dụ, kiểm thử xâm nhập thường phụ thuộc vào sự thực hiện của cả sự nhận dạngcổng mạng/dịch vụ và quét lỗ hổng để xác định các máy chủ và dịch vụ mà có thể

là mục tiêu đối với sự thâm nhập tương lai Ngoài ra, có một số kỹ thuật chỉ thỏamãn với một yêu cầu đánh giá, chẳng hạn như xác định nơi mà các bản vá được ápdụng một cách phù hợp

- Ngoài các kỹ thuật được trình bày ở trên, thực tế còn rất nhiều kỹ thuật khác nữa

mà người đánh giá có thể áp dụng Ví dụ như kiểm thử an toàn vật lý (xác thực sựtồn tại của các lỗ hổng an toàn vật lý bằng cách cố gắng phá ổ khóa, giả dấu hiệu

và các biện pháp kiểm soát an toàn vật lý khác) thường để đạt được sự truy cập tráiphép để tiếp cận tới các máy chủ, thiết bị mạng Một ví dụ khác là nhận dạng tàisản theo cách thủ công Một tổ chức có thể lựa chọn để xác định các tài sản cầnđánh giá thông qua các kho lưu trữ tài sản hay các phương thức khác thay vì dựavào các kỹ thuật để nhận dạng tài sản

1.3 So sánh kiểm thử (test) và kiểm tra (examination)

- Nhiệm vụ:

+ Xem xét các tài liệu, quy trình, thủ

tục để đảm bảo mọi thứ thực hiện theo

đúng mục tiêu đề ra

+ Ví dụ: Xem xét tập luật của tường

lửa, xem xét thủ tục đảm bảo an toàn

- Có thể ảnh hưởng tới hệ thống hoặcmạng thực tế

- Không có cái nhìn toàn diện về hệthống mạng đánh giá

- Chỉ cần sự phối hợp của ban lãnh đạo

và bộ phận quản trị mạng

CHƯƠNG 2: RÀ SOÁT HỆ THỐNG 2.1 Rà soát tập luật (BT)

lỗ hổng bảo mật mạng, vi phạm chính sách, đường truyền liên lạc hoạt động không

ổn định hoặc kém bảo mật Rà soát tập luật cũng giúp tìm ra những điều thiếu sóthoặc không hiệu quả làm ảnh hưởng đến hiệu suất của bộ luật

2.1.3 Các luật cần kiểm tra

- Những luật cần được kiểm tra bao gồm các bộ luật thiết đặt cho tường lửa, hệthống IDS/IPS chạy trên nền tảng mạng hay nền tảng máy chủ, danh sách điềukhiển truy cập trên bộ định tuyến Dưới đây là một số ví dụ thường gặp về việckiểm tra hiệu suất của những bộ luật đã được thiết lập:

a Đối với danh sách điều khiển truy cập trên bộ định tuyến:

 Chỉ giữ lại những luật cần thiết (ví dụ: những luật được thiết lập với mụcđích tạm thời phải được gỡ bỏ ngay sau khi không cần tới chúng nữa)

 Mặc định từ chối tất cả những lưu lượng mạng, chỉ cho phép những lưulượng đã được cấp quyền theo chính sách được truy cập

b Đối với tường lửa:

 Chỉ giữ lại những luật cần thiết

 Luật thực thi việc truy cập đặc quyền tối thiểu, như việc chỉ cấp phép chonhững địa chỉ IP và cổng mạng cần thiết

 Tạo những luật cụ thể trước rồi tạo một luật chung sau

 Không nên mở những cổng không cần thiết để thắt chặt an ninh

 Các luật được thiết lập không cho phép các truy cập vượt qua các rào cản anninh khác

 Các luật được thiết lập máy chủ, máy trạm cá nhân; các luật không chỉ ra cáchoạt động đặc trưng của cửa hậu, phần mềm gián điệp hoặc các ứng dụng bịcấm

c Đối với hệ thống IDS/IPS:

 Những mẫu (signature) không cần thiết cần phải được vô hiệu hóa hoặc gỡ

bỏ để tránh trường hợp cảnh báo nhầm và làm giảm hiệu quả hoạt động của

hệ thống

 Những mẫu cần thiết phải được kích hoạt, chỉnh sửa và bảo trì hợp lý

2.2 Dò quét mạng (BT)

2.2.1 Khái niệm

- Dò quét mạng là một kỹ thuật theo dõi thụ động những liên lạc trong mạng, giải

mã các giao thức, kiểm tra các header của gói tin và các thành phần thực thi đểđánh dấu những thông tin liên quan Ngoài việc được sử dụng như là một kỹ thuật

để rà soát thì dò quét mạng còn được sử dụng để phân tích và nhận dạng mục tiêu

2.2.2 Mục đích

- Lý do thực hiện việc dò quét mạng:

 Xác định những hành vi trái phép hoặc không thích đáng, như việc truyền tảithông tin nhạy cảm mà không được mã hóa.

 Thu thập thông tin, như những tài khoản và mật khẩu không được mã hóa

2.2.3 Ảnh hưởng của việc dò quét tới hiệu suất mạng

- Dò quét mạng có thể gây ảnh hưởng đôi chút tới hệ thống và mạng, đặc biệt làbăng thông mạng hay hiệu suất hoạt động của máy tính

2.2.4 Công cụ và địa điểm dò quét

- Công cụ sử dụng cho việc dò quét mạng gọi là sniffer Để thực hiện dò quét,người đánh giá cần kết nối tới một thiết bị trong hệ thống mạng, chẳng hạn nhưmột hub hoặc switch với chức năng span port, trong đó span port là quá trình tựđộng sao chép các gói tin qua lại giữa các cổng đến cổng mà sniffer được cài đặt

- Người đánh giá có thể triển khai việc dò quét mạng tại nhiều địa điểm khác nhautrong một môi trường Những địa điểm thường tiến hành dò quét là:

 Tại vành đai để đánh giá lưu lượng mạng vào ra

 Sau tường lửa, để đánh giá độ chính xác của các luật lọc lưu lượng

 Sau IDS/IPS, để xác định các mẫu có được kích hoạt và phản hồi hợp lý

 Đặt phía trước hệ thống hoặc ứng dụng quan trọng để đánh giá hoạt độngcủa nó

 Đặt trong một phân đoạn mạng để xác nhận giao thức đã được mã hóa

2.2.5 Hạn chế của việc dò quét

- Một trong những hạn chế của dò quét mạng là việc sử dụng mã hóa Những kẻtấn công có thể lợi dụng việc sử dụng mã hóa để che dấu những hoạt động củamình, trong khi người đánh giá mặc dù thấy được những liên lạc xảy ra trong mạngnhưng lại không thể biết được nội dung của liên kết

- Một hạn chế nữa đó là dò quét mạng chỉ có thể dò quét được khu vực mạng nơi

mà các công cụ dò quét được triển khai Như vậy đòi hỏi người đánh giá phải dichuyển từ phân đoạn mạng này sang phân đoạn mạng khác để tiến hành kiểm tra,cài đặt nhiều công cụ dò quét trên nhiều cổng span ở các phân đoạn mạng thì mới

có thể đánh giá được cho toàn bộ hệ thống mạng Không những thế người đánh giácũng gặp nhiều khó khăn trong việc xác định vị trí vật lý cổng mạng mở để dò quét

cho mỗi phân đoạn mạng nên có thể sẽ tốn nhiều thời gian, công sức khi thực hiệnkiểm tra dò quét.

2.2.6 Ưu nhược điểm của SPAN Port

- Ưu điểm:

 Tích hợp sẵn trên hầu hết các switch

 Không tốn phí triển khai

 Khả năng cấu hình từ xa

 Khả năng chuyển dữ liệu ở chế độ full-duplex

 Gây quá tải cho switch, ảnh hưởng đến hoạt động của hệ thống mạng

CHƯƠNG 3: PHÂN TÍCH VÀ XÁC ĐỊNH MỤC TIÊU 3.1 Khám phá mạng

- Khám phá mạng là việc sử dụng các phương pháp để phát hiện những máy chủ,máy trạm, thiết bị mạng đang hoạt động và có khả năng phản hồi lại trong mộtmạng Có hai phương pháp để xác định các thiết bị trong mạng là phương pháp thụđộng và phương pháp chủ động

3.1.1 Khám phá mạng thụ động

- Phương pháp thụ động sử dụng công cụ dò quét mạng để theo dõi lưu lượngmạng, ghi chép lại những địa chỉ IP của những máy đang hoạt động, những cổngmạng đang được mở, và hệ điều hành đã biết trong mạng

- Phương pháp thụ động còn có thể cho biết mối quan hệ giữa các máy chủ (nhữngmáy chủ nào liên lạc với nhau, tần suất liên lạc ra sao, loại hình liên lạc như thếnào ) và thường được thực hiện từ một máy tính trong mạng nội bộ nơi mà có thểtheo dõi các hoạt động liên lạc của máy chủ Điều này được thực hiện mà khôngcần gửi đi những gói tin thăm dò

- Ưu điểm: Việc khám phá mạng thụ động do vậy không ảnh hưởng tới hoạt độngcủa mạng

- Nhược điểm: Phương pháp này sẽ tốn nhiều thời gian hơn để thu thập thông tin,

và những máy chủ mà không thực hiện nhận hoặc gửi gói tin trong khoảng thờigian giám sát có khả năng sẽ không được đưa vào báo cáo

- Ví dụ về khám phá mạng chủ động sử dụng lệnh “ping”:

Nếu ping thành công thì kết quả lệnh Ping sẽ trả về có time relay báo hiệu kết nốigiữa 2 máy đã thông Ngược lại, nếu không thành công thì lệnh Ping sẽ trả về kếtquả Request time out hoặc Destination host unreachable

- Tường lửa và IDS có thể xác định được rất nhiều dạng quét, đặc biệt là nhữngdạng điển hình như: quét SYN/FIN, quét NULL, … Vì vậy khi quét chúng ta cầnphải vừa có thể thu thập được thông tin mà không gây sự chú ý của các quản trịviên, và làm thế nào để việc dò quét có thể được thực hiện một cách bí mật hơn(như là quét chậm hơn hoặc được thực hiện từ những nguồn địa chỉ IP khác nhau)

để tăng khả năng thành công

- Việc khám phá mạng cũng có thể phát hiện ra những thiết bị trái phép hoặc giảmạo đang hoạt động trong mạng đó Ví dụ: một tổ chức chỉ sử dụng một vài hệđiều hành có thể nhanh chóng phát hiện ra thiết bị giả mạo sử dụng một hệ điềuhành khác

VD: Một người dùng sử dụng usb boot vào win cứu hộ truy cập vào để thực hiệncác hành vi nguy hiểm như thay đổi và lấy thông tin của hệ thống

- Có rất nhiều công cụ để khám phá mạng, điều đáng chú ý là một số công cụ được

sử dụng để khám phá chủ động cũng có thể được sử dụng để quét cổng và dò quétmạng thụ động Một số công cụ như Advanced IP Scanner, Angry IP Scanner có

thể dò quét các địa chỉ IP đang hoạt động trong một dài từ địa chỉ này đến địa chỉkia.

- Ưu điểm: Phương pháp khám phá mạng chủ động có thể đứng ở một mạng khác

để đưa ra những đánh giá và thường thì sẽ mất ít thời gian hơn để thu thập thôngtin

- Nhược điểm:

 Có thể gây nhiễu mạng và đôi khi có thể gây tình trạng trễ mạng Nếu gửi điquá nhiều gói tin truy vấn hoặc các gói tin có dung lượng lớn để nhận lạinhững hồi đáp thì những hoạt động mạng này sẽ làm cho mạng bị chậm đihoặc gây ra việc các gói tin bị loại bỏ (drop) do cấu hình mạng kém

 Khả năng để khám phá mạng thành công có thể bị ảnh hưởng bởi môitrường với các phân đoạn mạng được bảo vệ và công nghệ, thiết bị bảo vệvành đai Ví dụ: một môi trường sử dụng NAT có thể sẽ không thể lấy đượcthông tin chính xác từ bên ngoài mạng hoặc từ một đoạn mạng được bảo vệ.Tường lửa cá nhân hoặc tường lửa chạy trên nền tảng máy chủ có thể sẽchặn những lưu lượng khám phá mạng Việc sai lệch thông tin cũng có thểxảy ra khi quá cố gắng gây tương tác từ các thiết bị

=> Tổng kết: Thông tin thu thập được nhờ phương pháp khám mạng thụ động haychủ động chưa hẳn đã hoàn toàn chính xác Ví dụ như phương pháp khám phámạng chủ động chỉ có thể phát hiện được những máy tính đang hoạt động và đượckết nối vào mạng; do vậy nếu hệ thống hoặc một đoạn mạng đang ngoại tuyếntrong quá trình đánh giá thì sẽ không thể phát hiện ra được các hệ thống hoặc cácmáy tính trong mạng đó; như thế báo cáo đưa ra có thể sẽ bị thiếu sót Phươngpháp khám phá mạng thụ động chỉ tìm ra các thiết bị có thực hiện việc truyền vànhận thông tin trong suốt thời gian thực hiện khám phá mạng Những sản phẩmnhư phần mềm quản lý mạng có khả năng phát hiện liện tục và tự động tạo ranhững cảnh báo khi một thiết bị mới có mặt trên mạng Chức năng khám phá liêntục có thể quét dải địa chỉ IP để tìm ra những địa chỉ mới hoặc theo dõi những địachỉ IP mới gửi yêu cầu Ngoài ra, những công cụ khám phá mạng có thể đượchoạch định để thực hiện việc khám phá một cách thường xuyên, ví như vài ngàymột lần tại một mốc thời gian cụ thể Như vậy sẽ cho ra kết quả chính xác hơn làviệc sử dụng những công cụ này không thường xuyên

3.2 Xác định cổng và dịch vụ mạng

- Xác định cổng và dịch vụ mạng là việc sử dụng công cụ dò quét để xác định cáccổng cũng như dịch vụ đang hoạt động trên các máy chủ, máy trạm và các trangthiết bị mạng (20/21 - FTP, 25 – SMTP, 80 - HTTP, 443 – HTTPS, …)

- Việc xác định cổng, dịch vụ mạng có thể giúp tìm ra những lỗ hổng tiềm ẩn trongdịch vụ; ngoài ra thông tin này cũng có thể được sử dụng để làm cơ sở cho kiểmthử.

Xác định cổng và dịch vụ mạng liên quan đến việc truyền thông tin TCP dựa trênquá trình bắt tay ba bước

Truyền tin TCP dựa trên bắt tay ba bước

 Bước 1: Client gửi tới Server một gói tin với cờ SYN

 Bước 2: Server trả lời tới Client một gói tin SYN/ACK

 Bước 3: Khi Client nhận được gói tin SYN/ACK sẽ gửi lại Server một góiACK – và quá trình trao đổi thông tin giữa hai máy bắt đầu

- Dựa vào nguyên tắc trao đổi thông tin TCP, chúng ta có thể có nhiều phươngpháp quét khác nhau Các phương pháp quét chủ yếu là gửi các gói tin chứa các cờkhác nhau để xác định các cổng và dịch vụ đang mở Thông thường, có nhữngphương pháp quét như sau:

 TCP Connect: Phương pháp này hoạt động dựa trên 3 bước đầy đủ của quátrình bắt tay ba bước TCP Client gửi gói tin chứa cờ SYN và một thông sốcổng nhất định tới server Nếu server trả về gói SYN/ACK thì client biếtcổng đó mở, nếu server gửi về gói RST/ACK client biết cổng đó trên server

bị đóng Trong trường hợp nhận được gói SYN/ACK, client gửi tiếp đếnserver một gói tin ACK+RST để thông báo đã nhận được phản hồi và kếtthúc kết nối

Quét TCP Connect

 Stealth Scan (Quét một nửa): Khác với phương pháp TCP Connect sử dụngđầy đủ 3 bước của quá trình bắt tay ba bước trong phiên kết nối TCP,phương pháp này chỉ sử dụng một phần trong quá trình bắt tay để thực hiệnquét cổng Đầu tiên client gửi gói tin SYN tới server kèm theo thông số cổngnhất định Nếu cổng mở thì server sẽ gửi lại client một gói tin SYN/ACK,nếu cổng đóng thì server gửi lại client gói tin RST Client sau khi nhận đượcgói tin SYN/ACK sẽ gửi lại cho server gói tin RST để đóng kết nối trước khikết nối được thiết lập

 XMAS Scan: Client sẽ gửi những gói TCP với số cổng nhất định cần quétchứa nhiều thông số cờ như: FIN, URG, PSH Nếu server trả về gói RST thì

sẽ biết cổng đó trên Server bị đóng

 FIN Scan: Khi Client chưa có kết nối tới server nhưng vẫn tạo ra gói FINvới số cổng nhất định gửi tới server cần quét Nếu server gửi về gói ACK thìclient biết server mở cổng đó, nếu server gửi về gói RST thì client biếtserver đóng cổng đó

 NULL Scan: Client sẽ gửi tới server những gói TCP với số cổng cần quét

mà không chứa thông số cờ nào, nếu server gửi lại gói RST thì sẽ biết cổng

Tiếp theo client gửi tới server một gói tin chứa cờ SYN kèm theo số hiệu cổng vớiđịa chỉ IP là giả mạo địa chỉ IP của zombie Nếu cổng trên server mở, server sẽ gửilại gói tin SYN/ACT tới zombie; nếu cổng trên server đóng, server sẽ gửi lại gói

tin RST tới zombie Zombie sau khi nhận được gói tin SYN/ACT sẽ gửi lại choserver gói tin RST với số IPID tăng thêm 1.

Bây giờ client sẽ gửi lại yêu cầu kết nối tới zombie với số IPID giống IPID đãthăm dò được từ trước Zombie tiếp tục gửi trả lời lại gói tin RST kèm theo sốIPID tăng thêm Nếu client nhận được IPID tăng thêm 2, như vậy client sẽ biếtđược cổng trên server là mở, còn nếu IPID tăng thêm 1, như vậy client biết đượccổng trên server là đóng

- Nếu như gói tin truyền bằng TCP để đảm bảo sự toàn vẹn của gói tin sẽ luônđược truyền tới đích, thì gói tin truyền bằng UDP sẽ đáp ứng nhu cầu truyền tải dữliệu nhanh với các gói tin nhỏ Với quá trình thực hiện truyền tin bằng TCP chúng

ta dễ dàng quét được hệ thống đang mở những cổng nào dựa vào các thông số cờtrên gói TCP Tuy nhiên, gói tin UDP không chứa các thông số cờ, cho nên khôngthể sử dụng các phương thức quét cổng của TCP sử dụng cho UDP được Do đó

phương pháp quét UDP là khó khăn hơn và cho kết quả không có độ tin cậy cao.Với phương pháp quét cổng dựa trên truyền thông tin sử dụng UDP, nếu một cổng

bị đóng, khi server nhận được gói ICMP từ client nó sẽ cố gắng gửi một gói ICMPtype 3 code 3 với nội dung là “unreachable” về client

- Những thông tin thu thập được từ việc quét cổng cũng giúp xác định hệ điều hànhđang chạy của mục tiêu thông qua một quá trình gọi là OS fingerprinting Ví dụ:nếu một máy chủ mở cổng TCP: 135,139,445 thì nó có thể là một máy chủ đang sửdụng hệ điều hành Windows, hoặc là một máy chủ Unix chạy hệ điều hành Samba.Ngoài ra những thông tin khác cũng có thể cho ta biết phần nào về hệ điều hànhđang được sử dụng, ví như việc sinh và phản hồi số thứ tự (sequence number) củacác gói tin TCP Tuy nhiên OS fingerprinting cũng không hề đơn giản Ví dụ nhưtường lửa chặn các cổng và các loại lưu thông mạng, và người quản trị hệ thống cóthể cấu hình hệ thống của họ sao cho đưa ra những phản hồi không theo tiêu chuẩn

để ngụy trang cho hệ điều hành thực sự đang dùng

- Tóm lại đối với việc quét cổng thì quá trình được thực hiện một cách tự độngnhưng việc phân tích những dữ liệu thu được thì không Hơn nữa, việc dò quétcổng cũng làm ảnh hưởng tới hoạt động trong mạng như chiếm băng thông gây trễmạng Việc dò quét cổng mạng giúp bảo đảm rằng tất cả các máy chủ được cấuhình để chạy những dịch vụ mạng cho phép thế nhưng nó cũng cần thận trọngtrong việc thực hiện để tránh gây ảnh hưởng tới hoạt động của toàn hệ thống

3.3 Dò quét lỗ hổng bảo mật

- Việc dò quét lỗ hổng bảo mật mật nhằm mục đích xác định lỗ hổng bảo mật trên các máy chủ, máy trạm; đồng thời cũng giúp nhận dạng các máy chủ và những thuộc tính của máy chủ (ví dụ: các hệ điều hành, ứng dụng, cổng mạng đang mở)

- Ngoài ra, quét lỗ hổng bảo mật còn giúp xác định những bản phần mềm đã lỗi thời, bản vá bị thiếu, thiết đặt cấu hình sai hoặc là không phù hợp với chính sách

an ninh của tổ chức

- Để phát hiện ra những điểm yếu trên thì các công cụ quét lỗ hổng xác định hệ điều hành và ứng dụng chính đang chạy trên máy chủ và đem so sánh chúng với thông tin chứa trong kho dữ liệu lỗ hổng bảo mật của mình VD: Công cụ Nessus

- Quét lỗ hổng bảo mật có thể:

 Kiểm tra sự tuân thủ sử dụng các ứng dụng máy chủ và chính sách an toàn

 Cung cấp các thông tin cho quá trình kiểm thử

 Cung cấp thông tin khuyến nghị để giảm thiểu các lỗ hổng bảo mật đã pháthiện được

- Công cụ quét lỗ hổng bảo mật có thể chạy trên máy chủ cục bộ hoặc trênmạng

- Quét lỗ hổng có thể có thể được thực hiện cả ở phía trong và ngoài mạng.Mặc dù khi dò quét từ trong mạng có khả năng phát hiện lỗ hổng cao hơn là quét

từ bên ngoài mạng do các việc quét gặp phải nhiều cản trở từ các thiết bị nhưfirewall chặn lại, nhưng việc thực hiện kiểm tra từ cả phía trong và ngoài mạng

là rất quan trọng

- Khi người đánh giá thực hiện việc dò quét từ bên ngoài cũng có thể gặpnhững trở ngại như việc thực hiện khám phá mạng, việc sử dụng NAT gây sailệch thông tin hoặc là bị chặn bởi tường lửa

- Đối với việc quét lỗ hổng bảo mật cục bộ, các công cụ quét sẽ được càiđặt trên từng máy chủ được quét để xác định hệ điều hành của máy chủ, các ứngdụng cấu hình sai và những lỗ hổng bảo mật Việc dò quét cục bộ sẽ cung cấpcho người đánh giá những thông tin rõ ràng hơn về các lỗ hổng so với dò quétqua mạng vì việc dò quét cục bộ thường yêu cầu khả năng truy cập của cả máychủ và tài khoản quản trị Một số công cụ quét còn có chức năng chỉnh sửanhững cấu hình cục bộ bị sai lệch

- Sử dụng công cụ quét lỗ hổng bảo mật là một phương pháp tương đốinhanh và dễ dàng để xác định số lượng các lỗ hổng độc lập

- Một trong những khó khăn trong việc xác định mức độ nguy hiểm của các

lỗ hổng bảo mật là chúng thường ít khi tồn tại độc lập với nhau Ví dụ: Một vài

lỗ hổng có mức độ nguy hiểm thấp kết hợp lại thành một lỗ hổng có mức độnguy hiểm cao hơn Công cụ quét không thể phát hiện ra những lỗ hổng khi mànhững lỗ hổng chỉ được hình thành từ sự kết hợp những hình thức tấn công khácnhau Những công cụ có thể đánh giá mỗi lỗ hổng chỉ có mức độ nguy hiểmthấp khiến cho người đánh giá có những kết luận sai lầm về các biện pháp anninh Một phương thức xác định mức độ nguy hiểm của lỗ hổng bảo mật đángtin cậy hơn là sử dụng phương pháp kiểm thử (sẽ được nói kỹ hơn ở phần sau)

- Một vấn đề nữa trong việc xác định mức độ nguy hiểm của lỗ hổng bảomật là những công cụ quét lỗ hổng thường sử dụng những phương pháp riêngcủa mình trong việc xác định mức độ nguy hiểm Ví dụ: một công cụ quét có thểphân loại mức độ bảo mật là thấp, trung bình, cao trong khi một công cụ quétkhác lại phân thành các mức khác là thấp, trung bình, cao và nghiêm trọng Điềunày gây khó khăn khi so sánh những kết quả giữa nhiều công cụ quét Khôngnhững vậy, mức độ nguy hiểm của một lỗ hổng mà công cụ quét đưa ra chưachắc đã là mức độ nguy hiểm thực sự đối với tổ chức Ví dụ, một công cụ quét

có thể đánh giá một máy chủ FTP là một mối nguy hiểm trung bình vì nó chophép trao đổi mật khẩu dưới dạng rõ, nhưng nếu tổ chức chỉ sử dụng máy chủFTP như là một máy chủ công cộng vô danh mà không sử dụng mật khẩu thìmức độ nguy hiểm thực sự của nó phải ở mức độ thấp hơn Do đó người đánhgiá phải xác định mức độ nguy hiểm của mỗi lỗ hổng một cách hợp lý chứkhông chỉ dựa vào những đánh giá của công cụ quét.

- Việc dò quét lỗ hổng mạng dựa trên nền tảng mạng có một số điểm yếu,như khi tiến hành việc dò quét và khám phá mạng thì phương pháp dò quét nàychỉ có thể phát hiện những hệ thống đang hoạt động Điều này có nghĩa là chỉ cóthể phát hiện ra những lỗ hổng độc lập mà không thể đánh giá được mức độ rủi

ro tổng hợp trên toàn mạng Mặc dù quá trình này được thực hiện một cách tựđộng nhưng những công cụ quét cũng đưa ra kết quả có tỉ lệ sai lệch cao (ví dụ:báo cáo những lỗ hổng không tồn tại) Do việc quét lỗ hổng trên nền tảng mạngcần nhiều thông tin hơn là quá trình quét cổng để có thể xác định được lỗ hổngtrên máy chủ nên nó sẽ tạo ra nhiều lưu lượng mạng hơn là quá trình quét cổng.Điều này có thể gây ra những ảnh hưởng không tốt tới các máy chủ hoặc mạngđang tiến hành dò quét, hoặc những đoạn mạng mà lưu lượng dò quét được chuyểnqua Có rất nhiều công cụ dò quét lỗ hổng còn bao gồm cả chức năngkiểm tra tấn công từ chối dịch vụ và rất có thể gây ra những ảnh hưởng khôngtốt lên máy chủ được quét nếu như không sử dụng một cách hợp lý Do đó một

số công cụ quét khóa chức năng này để tránh nguy cơ ảnh hưởng tới các máychủ trong quá trình quét

- Một nhược điểm nữa của công cụ quét lỗ hổng là nó phụ thuộc vào kholưu trữ những đặc điểm hay còn gọi mẫu (signature) Người đánh giá cần phảithường xuyên cập nhật những mẫu này để giúp cho công cụ quét có thể nhậndạng được cả những lỗ hổng mới nhất Do vậy tốt nhất là trước khi tiến hành dòquét, người đánh giá nên cập nhật cơ sở dữ liệu lỗ hổng bảo mật mới nhất

- Hầu hết các công cụ quét lỗ hổng cho phép người đánh giá lựa chọn mức

độ quét Nếu thực hiện quét toàn diện thì sẽ phát hiện được nhiều lỗ hổng hơnnhưng lại mất rất nhiều thời gian, còn nếu thực hiện quét nhanh thì tốn ít thờigian nhưng chỉ có thể xác định được những lỗ hổng thông thường Các chuyêngia khuyến cáo người đánh giá nên thực hiện quét toàn diện nếu có thể

- Việc dò quét lỗ hổng những là một trong những công việc tốn công sứcđòi hỏi phải chuyên gia có trình độ cao để giải thích kết quả thu được Ngoài ra,

nó có thể gây ảnh hưởng tới hoạt động mạng như chiếm băng thông, làm chậmmạng Hơn thế nữa việc dò quét lỗ hổng là vô cùng quan trọng, đảm bảo những

lỗ hổng phải được vá hoặc giảm thiểu mức độ nguy hiểm trước khi bị phát hiệnhoặc khai thác bởi tin tặc.

- Cũng giống như những công cụ hoạt động dựa trên mẫu hoặc là

mô hình có sẵn thì những công cụ quét lỗ hổng cũng thường có tỷ

giả khá cao Người đánh giá nên cấu hình và hiệu chỉnh công cụ

thể giảm thiểu vấn đề cảnh báo nhầm và cảnh báo sai đến mức

3.3.1 Tài liệu báo cáo về lỗ hổng bảo mật

a Người lập báo cáo: Phạm Thái Sơn

b Ngày quét lỗ hổng: 23/08/2020

c Mục tiêu quét: Hệ điều hành Windows 10-1607 (OS Build 12345.0)

d Công cụ sử dụng để quét lỗ hổng: Nessus (Version 6.11)

e Tên lỗ hổng: MS17-010: Security Update for Microsoft Windows SMB Server(4013389)

- Mức độ nguy hiểm: Critical – Nghiêm trọng

- Tóm tắt về lỗ hổng: Các máy Windows từ xa bị ảnh hưởng bởi các lỗ hổng này

- Mô tả chi tiết: Máy chủ Windows từ xa thiếu bản cập nhật bảo mật Do đó, nó bịảnh hưởng bởi các lỗ hổng sau: Nhiều lỗ hổng thực thi mã từ xa tồn tại trongMicrosoft Server Message Block 1.0 (SMBv1) Một kẻ tấn công từ xa, chưa đượcxác thực có thể khai thác các lỗ hổng này, thông qua một gói được chế tạo đặc biệt,

để thực thi mã tùy ý Mã các lỗ hổng: 2017-0143, 2017-0144, 2017-0145, CVE-2017-0146, CVE-2017-0148

CVE-f Giải pháp

- Update bản cập nhập từ trang chủ Microsoft VD tên bản cập nhập đó là:KB123456

- Bản cập nhập hỗ trợ vá lỗ hổng cho các hệ điều hành Windows Vista, 2008, 7,

2008 R2, 2012, 8.1, RT 8.1, 2012 R2, 10 và 2016 Microsoft cũng đã phát hành cácbản vá khẩn cấp cho các hệ điều hành Windows không còn được hỗ trợ, bao gồmWindows XP, 2003 và 8

3.4 Dò quét mạng không dây ( Bảo mật trong mạng không dây)

- Mạng không dây: Là mạng sử dụng công nghệ cho phép hai hay nhiều thiết bị kết

nối với nhau thông qua sóng vô tuyến không cần kết nối vật lý hay chính xác làkhông cần sử dụng dây mạng

- Mục tiêu dò quét mạng không dây: Xác định những điểm yếu để giảm thiểunhững rủi ro do công nghệ không dây gây ra

- Một số lưu ý khi đánh giá an toàn mạng không dây:

 Vị trí các thiết bị được quét

 Mức độ bảo mật của dữ liệu được truyền khi sử dụng công nghệ không dây

 Tần số kết nối và ngắt kết nối với môi trường

 Hệ thống phát hiện và ngăn chặn xâm nhập không dây (WIDPS) có thể cónhững thông tin cần thiết cho quá trình kiểm tra

- Cách thức thực hiện dò quét:

 Theo kiểu bị động

 Theo kiểu chủ động

- Dò quét mạng không dây bị động:

 Sử dụng công cụ nghe ngóng các tín hiệu phát ra từ mạng không dây

 Bắt những lưu lượng mạng không dây được truyền đi trong phạm vi ăng-ten:

 Số lượng gói tin truyền

- Dò quét mạng không dây chủ động:

 Gửi trực tiếp các gói tin tới hệ thống mạng không dây

 Kiểm tra SSID

 Kiểm tra cơ chế xác thực, mã hóa dữ liệu

 Kiểm tra quyền truy cập quản trị

 Tập trung vào việc nhận dạng và định vị các thiết bị giả mạo

 Kiểm tra khả năng giám sát của hệ thống IDS/IPS không dây

- Các thiết bị Router, AccessPoint, … hiện tại hầu như đều hỗ trợ nhiều cơ chế bảomật cho mạng không dây Các chuẩn bảo mật phổ biến như:

3.4.1 WEP (Wired Equivalent Privacy)

- WEP được phê chuẩn là phương thức bảo mật tiêu chuẩn dành cho WiFi vàotháng 9/1999

- WEP sử dụng stream cipher RC4 cùng với một mã 40-bit và một số ngẫu nhiên24-bit (Initialization Vector - IV) để mã hóa thông tin Thông tin mã hóa được tạo

ra bằng cách thực hiện XOR giữa keystream và plain text Thông tin mã hóa và IV

sẽ được gửi đến người nhận Người nhận sẽ giải mã thông tin dựa vào IV và khóaWEP đã biết trước Sơ đồ mã hóa như sau:

Sơ đồ mã hóa WEP

- Sử dụng công nghệ mã hóa 64-bit hoặc 128 bit

- Dù đã có nhiều cải tiến nhằm tăng cường bảo mật cho WEP, chuẩn này vẫn đặtngười dùng vào vị trí hết sức nguy hiểm và tất cả các hệ thống sử dụng WEP nênđược nâng cấp hoặc thay thế Tổ chức Liên minh WiFi chính thức loại bỏ WEPvào năm 2004

- Những điểm yếu về bảo mật của WEP:

 WEP sử dụng khóa cố định được chia sẻ giữa một Access Point (AP) vànhiều người dùng (users) cùng với một IV ngẫu nhiên 24-bit Do đó, cùngmột IV sẽ được sử dụng lại nhiều lần Bằng cách thu thập thông tin truyền

đi, kẻ tấn công có thể có đủ thông tin cần thiết để có thể bẻ khóa WEP đangdùng

 Một khi khóa WEP đã được biết, kẻ tấn công có thể giải mã thông tin truyền

đi và có thể thay đổi nội dung của thông tin truyền Do vậy WEP không đảmbảo được tính bí mật và tính toàn vẹn

 Việc sử dụng một khóa cố định được chọn bởi người sử dụng và ít khi đượcthay đổi (tức có nghĩa là khóa WEP không được tự động thay đổi) làm choWEP rất dễ bị tấn công

 WEP cho phép người dùng xác minh AP trong khi AP không thể xác minhtính xác thực của người dùng Nói một cách khác, WEP không cung cấp khảnăng xác thực lẫn nhau

3.4.2 WPA (Wifi Protected Access)

- WPA là một giải pháp bảo mật được đề nghị bởi liên minh WiFi để thay thế WEPtrước những nhược điểm không thể khắc phục của chuẩn cũ WPA được áp dụngchính thức vào năm 2003, một năm trước khi WEP bị loại bỏ Phiên bản phổ biếnnhất của WPA là WPA-PSK (Pre-Shared Key) Các kí tự được sử dụng bởi WPA

là loại 256 bit, tân tiến hơn rất nhiều so với kí tự 64-bit và 128-bit có trong hệthống WEP

- WPA cải tiến 3 điểm yếu nổi bật của WEP

 WPA cũng mã hóa thông tin bằng RC4 nhưng chiều dài của khóa là 128-bit

và IV có chiều dài là 48 bit Một cải tiến của WPA đối với WEP là WPA sửdụng giao thức TKIP (Temporal Key Integrity Protocol) nhằm thay đổi khóadùng AP và User một cách tự động trong quá trình trao đổi thông tin Cụ thể

là TKIP dùng một khóa nhất thời 128-bit kết hợp với địa chỉ MAC của máyUser và IV để tạo ra mã khóa Mã khóa này sẽ được thay đổi sau khi 10000gói thông tin được trao đổi

 WPA sử dụng 802.1x/EAP để thực hiện xác thực lẫn nhau nhằm chống lạitấn công xen giữa Quá trình xác thực của WPA dựa trên một máy chủ xácthực, còn được biết đến với tên gọi RADIUS/DIAMETER Máy chủRADIUS cho phép xác thực người sử dụng trong mạng cũng như định nghĩanhững quyền nối kết của người dùng Tuy nhiên trong một mạng WiFi nhỏ(của công ty hoặc trường học), đôi khi không cần thiết phải cài đặt một máychủ mà có thể dùng một phiên bản WPA-PSK (pre-shared key) Ý tưởng củaWPA-PSK là sẽ dùng một mật khẩu (Master Key) chung cho AP và các thiết

bị dùng cuối Thông tin xác thực giữa người sử dụng và máy chủ sẽ đượctrao đổi thông qua giao thức EAP (Extensible Authentication Protocol).Phiên EAP sẽ được tạo ra giữa người dùng và máy chủ để chuyển đổi thôngtin liên quan đến định danh của người dùng cũng như của mạng Trong quátrình này AP đóng vai trò là một EAP proxy, làm nhiệm vụ chuyển giao

thông tin giữa máy chủ và người sử dụng Những thông điệp xác thựcchuyển đổi được miêu tả như hình.

Thông điệp trao đổi trong quá trình xác thực

 WPA sử dụng MIC (Michael Message Integrity Check) để tăng cường tínhtoàn vẹn của thông tin truyền MIC là một thông điệp 64-bit được tính dựatrên thuật toán Michael MIC sẽ được gửi trong gói TKIP và giúp ngườinhận kiểm tra xem thông tin nhận được có bị lỗi trên đường truyền hoặc bịthay đổi bởi kẻ phá hoại hay không

- Tóm lại, WPA được xây dựng nhằm cải thiện những hạn chế của WEP nên nóchứa đựng những đặc điểm vượt trội so với WEP Đầu tiên, nó sử dụng một khóađộng mà được thay đổi một cách tự động nhờ vào giao thức TKIP Khóa sẽ thayđổi dựa trên người dùng, phiên trao đổi nhất thời và số lượng gói thông tin đãtruyền Đặc điểm thứ 2 là WPA cho phép kiểm tra xem thông tin có bị thay đổitrên đường truyền hay không nhờ vào MIC message Và đăc điểm nổi bật thứ cuối

là nó cho phép xác thực lẫn nhau bằng cách sử dụng giao thức 802.1x

- Những điểm yếu của WPA:

 Điểm yếu đầu tiên của WPA là nó vẫn không giải quyết được tấn công từchối dịch vụ Kẻ phá hoại có thể làm nhiễu mạng WPA WiFi bằng cách gửi