Khóa luận Nghiên cứu triển khai hệ thống ids/ips

Tóm tắt nội dung Nghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâm nhập trái phép (tấn công) vào các hệ thống mạng ngày nay là một vấn đề có tính thời sự và rất có ý nghĩa, vì quy mô và sự phức tạp của các cuộc tấn công ngày càng tăng. Khóa luận này trình bày hệ thống hóa về các phương thức tấn công và các biện pháp ngăn chặn chúng bằng cả lý thuyết và những minh họa mô phỏng thực tế; Những tìm hiểu về giải pháp phát hiện sớm và ngăn chặn tấn công của thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia G200, việc thiết lập cấu hình và vận hành thiết bị, thử nghiệm trong môi trường VNUnet, những đánh giá và nhận xét. Thông qua tiến hành khảo sát hệ thống mạng VNUnet, khóa luận cũng chỉ ra những khó khăn, vấn đề và hướng giải quyết khi triển khai IPS trên những hệ thống mạng lớn như mạng của các trường đại học. Do “ngăn chặn thâm nhập” là một công nghệ khá mới trên thế giới nên khóa luận này là một trong những tài liệu tiếng việt đầu tiên đề cập chi tiết đến công nghệ này. Mục lục BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT 1 DANH SÁCH BẢNG 1 DANH SÁCH HÌNH MINH HỌA 2 MỞ ĐẦU 4 CHƯƠNG 1.AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET 5 1.1. AN NINH MẠNG 5 1.2. HỆ THỐNG MẠNG VNUNET 5 1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet 5 1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet 6 CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP 8 2.1. KIẾN THỨC CƠ SỞ 8 2.1.1. Thâm nhập 8 2.1.2. Tấn công từ chối dịch vụ 9 2.1.3. Lỗ hổng bảo mật 11 2.1.4. Virus, Sâu và Trojan 13 2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG 14 2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP 18 2.3.1. Thu thập thông tin 18 2.3.2. Tấn công từ chối dịch vụ 18 2.3.3. Thâm nhập qua Trojan 19 2.3.4. Thâm nhập qua lỗ hổng bảo mật 20 CHƯƠNG 3.THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP 23 3.1. CÁC KHÁI NIỆM CƠ BẢN 23 3.2. THIẾT BỊ IPS PROVENTIA G200 26 3.3. SITEPROTECTOR SYSTEM 28 3.3.1. SiteProtector System là gì? 28 3.3.2. Quá trình thiết lập hệ thống SiteProtector 30 3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS 32 3.4.1. Cài đặt 32 3.4.2. Cấu hình hình thái hoạt động 32 3.4.3. Cấu hình sự kiện an ninh 33 3.4.4. Cấu hình phản hồi 36 3.4.5. Cấu hình tường lửa 39 3.4.6. Cấu hình protection domain 39 3.4.7. Cấu hình cảnh báo 39 3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS 39 3.5.1. Ngăn chặn các hình thức thu thập thông tin 39 3.5.2. Ngăn chặn tấn công DoS 39 3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan 39 3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật 39 3.6. TRIỂN KHAI THỰC TẾ 39 CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI 39 4.1. KẾT QUẢ ĐẠT ĐƯỢC 39 4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI 39 PHỤ LỤC A 39 PHỤ LỤC B 39 PHỤ LỤC C 39 PHỤ LỤC D 39 PHỤ LỤC E 39

doc85 trang | Chia sẻ: lvcdongnoi | Ngày: 03/07/2013 | Lượt xem: 2711 | Lượt tải: 8download
Bạn đang xem nội dung tài liệu Khóa luận Nghiên cứu triển khai hệ thống ids/ips, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
sau : a. Ở Proventia Manager, chọn Responses. b. Ở SiteProtector, chọn Response Objects. Chọn thẻ Quarantine. Chọn Add, hoặc chọn phản hồi muốn sửa và nhấn Edit. Hoàn thành thông tin ghi trong bảng sau. Bảng 8 – Phản hồi User Specified Setting Miêu tả Name Gõ tên cho phản hồi, nên có ý nghĩa Command Gõ lệnh chạy của phản hồi Sensor Parameters Mở rộng danh sách ra và chọn add để lấy những tham số cần dùng Nhấn OK và lưu lại. Cấu hình bộ lọc phản hồi Một bộ lọc phản hồi giúp lọc các chính sách bảo mật bằng cách điều khiển số lượng sự kiện mà thiết bị phản hồi và số sự kiện được báo cáo đến máy quản lý. Có thể sử dụng theo các cách sau : Cấu hình các phản hồi cho các sự kiện mà được gây ra dựa trên việc tắt các tiêu chuẩn được chỉ ra trong bộ lọc Giảm bớt số lượng sự kiện bảo mật mà thiết bị báo cáo tới máy quản lý Ví dụ , nếu có các host trên mạng mà nó an toàn và tin cậy hoặc các host muốn thiết bị bỏ qua vì bất kỳ lý do nào, có thể sử dụng bộ lọc phản hồi với phản hồi IGNORE được cho phép. Các thuộc tính của bộ lọc sự kiện adapter virtual LAN (VLAN) địa chỉ IP nguồn hay đích Số hiệu cổng nguồn hoặc đích hoặc mã ICMP Filters and other events Khi thiết bị phát hiện ra lưu lượng trùng với một bộ lọc phản hồi, thiết bị sẽ thực thi các phản hồi được chỉ ra trong bộ lọc. Mặt khác thiết bị thực thi các sự kiện bảo mật như được chỉ ra trong bản thân sự kiện. Bộ lọc phản hồi theo luật thứ tự. Ví dụ, nếu thêm một hay nhiều bộ lọc cho cùng một sự kiện, thiết bị thực thi các phản hồi trùng đầu tiên. Thiết bị sẽ đọc danh sách này từ trên xuống dưới. Để thêm bộ lọc phản hồi: 1. Chọn Security Events. 2. Chọn tab Response Filters 3. Click Add. 4. Hoàn thành các thiết lập sau Enabled: mặc định là cho phép Protection Domain: chọn protection domain muốn thiết lập cho bộ lọc này. Event Name: Chọn sự kiện muốn thiết lập bộ lọc phản hồi Chỉ có thể chọn một sự kiện Event Name Info: hiển thị thông tin về sự kiện nếu cần (chỉ đọc) Comment: Điền miêu tả bộ lọc sự kiện Severity: Chọn mức độ nghiêm trọng của sự kiện Adapter: chọn cổng của thiết bị mà áp dụng bộ lọc. Chú ý: thiết bị sẽ bỏ qua cổng không áp dụng bộ lọc VLAN: điền dải VLAN mà bộ lọc áp dụng Event Throttling: Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo trong suốt khoảng này. Mặc định là 0 (không cho phép) Ignore Events: thiết bị sẽ bỏ qua sự kiện này khi nó xuất hiện Display: Chọn chế độ hiển thị No Display: không hiển thị khi phát hiện ra sự kiện WithoutRaw. Ghi lại tóm tắt sự kiện WithRaw. Ghi lại và kết hợp với bắt gói Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối TCP ICMP Type/Code : điền loại hoặc mã ICMP Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss Responses : cho phép phản hồi với các tùy chọn sau Email : chọn email phản hồi Quarantine : chọn kiểu cách ly SNMP . Chọn phản hồi SNMP từ danh sách User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa IP Address and Port : Địa chỉ IP nguồn và đích hoặc cổng muốn lọc 5. Hoàn thành các thiết lập về cổng và địa chỉ IP Address : Not : Loại những địa chỉ người cấu hình chỉ ra Any: chọn tất cả các địa chỉ Single Address : Lọc một địa chỉ và gõ địa chỉ Address Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range . Không sử dụng 0.0.0.0-255.255.255.255. Network Address/# ,Network Bit (CIDR): chọn địa chỉ dựa trên subnet , điền IP và mask. Ví dụ 128.8.27.18 / 16. Port : Not : Loại những cổng người cấu hình chỉ ra Any: chọn tất cả các cổng Single Port : Lọc một địa chỉ và gõ địa chỉ Port Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range . 6.Click Ok và lưu thay đổi Hình 10 – Response Filters Cấu hình tường lửa Thiết bị IPS Proventia G200 không những có khả năng ngăn chặn các tấn công thâm nhập qua các dấu hiệu tấn công mà nó còn có khả năng của một tường lửa thông thường, qua đó ngăn chặn một phần những gói tin không hợp lệ vào trong miền mạng cần bảo vệ. Chúng ta có thể sử dụng các luật firewall để ngăn chặn tấn công từ các nguồn và đích của gói tin. Các luật của tường lửa chỉ được thực hiện khi thiết bị ở trong hình thái Inline, ở hình thái Passive, nó sẽ không làm gì, còn ở Simulation, nó sẽ miêu tả quá trình thực hiện luật những không thực hiện nó. Chúng ta có thể tạo ra các luật cho tường lửa dựa vào những tiêu chí sau Adapter Tầm VLAN Giao thức (TCP, UDP, hay ICMP) Khoảng IP và cổng nguồn, đích Các hành động xử lý của tường lửa khi một gói tin trùng khớp với luật đặt ra như sau : Ignore: Cho phép gói tin trùng khớp đi qua, không có bất cứ hành động hay phản hồi nào sau đó. Protect: Gói tin trùng khớp sẽ được xử lý bởi những phản hồi thông thường logging, drop (không phải là hành động drop của tường lửa thông thường),RealSecure Kills, và Dynamic Blocking. (xem thêm trong phần cấu hình phản hồi). Monitor: Hoạt động như một danh sách IP “trắng”, tức là bỏ qua phản hồi Dynamic Blocking, Drop, RSKill. Tuy nhiên các phản hồi khác vẫn được áp dụng. Chú ý: hành động monitor mặc định bỏ qua RSKill tuy nhiên chúng ta có thể thiết lập lại bằng cách đặt giá trị sensor.whitelistresets thành true (1). Drop: Chặn gói tin không cho qua tường lửa. Khác với những tường lửa thông thường, tường lửa của IPS là trong suốt nên sẽ không có địa chỉ. Những gói tin bị chặn này sẽ phản hồi lại cho bên gửi rằng là mục tiêu không trả lời. Bên gửi sẽ cố gắng gửi lại một số lần và sẽ bị time out. Drop and Reset: Giống như hành động drop nhưng sẽ gửi một gói tin ngắt tới nguồn để bên nguồn ngắt kết nối nhanh hơn. Cũng như các tường lửa khác, các luật của tường lửa trong IPS được đọc từ trên xuống dưới. Giả sử nếu một gói tin trùng khớp với luật có hành động Ignore đặt ở trên, tất cả phần còn lại của luật tường lửa sẽ không được đọc nữa. Ta có thể thấy rõ hơn qua ví dụ dưới đây : Adapter any IP src addr any dst addr xxx.xx.x.xx tcp dst port 80 (Action = “ignore”) adapter any ip src addr any dst addr xxx.xx.x.1-xxx.x.x.255 (Action = “drop”) Luật đầu tiên cho phép tất cả các lưu thông mạng qua cổng 80 của máy xxx.xx.x.xx đi qua như là một lưu thông hợp lệ, tất cả các lưu thông khác bị chặn. Tuy nhiên nếu đảo ngược 2 luật trên, tất cả các lưu thông đều bị chặn, kể cả lưu thông tới web server trên máy xxx.xx.x.xx ở cổng 80. Cần nhắc lại rằng các luật của tường lửa chỉ hoạt động khi thiết bị ở hình thái inline. Để tắt hay bật tính năng tường lửa 1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules. 2. Muốn bật tính năng tường lửa hay không? Nếu có, chọn Firewall Rules check box. Nếu không thì đến bước 3. 3. Muốn tắt chức năng tường lửa? Nếu có, bỏ Firewall Rules check box. Nếu không, kết thúc ở đây. Để thêm một luật tường lửa 1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules. 2. Nhấn Add. Cửa số gõ tên hiện ra. 3. Gõ tên luật rồi nhấn OK. Luật đã được thêm vào danh sách. 4. Muốn bật tính năng lưu vết cho luật này hay không? Nếu có chọn Log. Nếu không, bỏ tùy chọn Log. 5. Chọn một hành động cho luật tường lửa từ danh sách hành động. Những hành động chọn được là : “Ignore” “Monitor” “Protect” “Drop” “DropAndReset” 6. Từ thực đơn File, chọn save. Một cửa sổ xác nhận xuất hiện. 7. Nhấn OK. 8. Nhấn Close. Để loại bỏ một luật tường lửa 1. Trong cửa sổ Policy Editor chọn thẻ Firewall Rules. 2. Chọn một luật trong thanh bên phải rồi nhấn Remove. Luật sẽ được loại bỏ. 3. Từ thực đơn File nhấn Save và xác nhận. 4. Nhấn OK. 5. Từ thực đơn File chọn Close. Sau khi tùy chỉnh luật tường lửa, cần áp dụng luật vào thiết bị. Cấu hình protection domain Protection domains cho phép định nghĩa các chính sách bảo mật cho các phân khu mạng khác nhau được giám sát bởi một thiết bị duy nhất. Protection domain hoạt động như các sensor ảo, giống như là ta có vài thiết bị giám sát mạng. Có thể định nghĩa protection domain theo port, VLAN, hoặc dải địa chỉ IP. Để sử dụng protection domain, cần phải: Định nghĩa và áp dụng nhiều protection domain cho thiết bị Áp dụng nhiều chính sách cho thiết bị, cho phép điều chỉnh phản hồi đối với lưu thông trên một hoặc nhiều mạng. Thiết bị luôn sử dụng một chính sách bảo mật global. Có nghĩa là thiết bị luôn điều khiển các sự kiện bảo mật theo cùng một cách cho tất cả các vùng trên mạng. Thiết bị luôn dùng chính sách global để điều khiển các sự kiện nếu không định nghĩa protection domain và chỉnh sửa chính sách sự kiện phù hợp với từng domain. Sau khi tạo protection domain cần liên kết chúng với các chính sách để có thể điều khiển được các sự kiện xảy ra trong mạng. Có thể tạo các chính sách cụ thể cho từng protection domain hoặc có thể dùng chính sách global cho domain nếu thấy phù hợp. Thêm protection domain Vào trang protection domain. Chọn Add và làm tương tự như hình dưới. Hình 11 – Protection Domain Sau khi tạo protection domain, nó sẽ xuất hiện trong trang security event. Sau đó có thể thêm các chính sách cho protection domain đó, hoặc copy các sự kiện từ global. Hình 12 - Protection Domain Cấu hình cảnh báo Sử dụng trang Alerts trong Proventia Manager để hiển thị và quản lý hệ thống và các thông báo liên quan đến bảo mật. Danh sách thông báo gồm các loại thông báo sau: Intrusion Prevention Alert liên quan đến các nỗ lực tấn công xảy ra trên mạng. System Alert liên quan đến thiết bị và sự hoạt động của nó. Các biểu tượng thể hiện mức độ nghiêm trọng của thông báo Hình 13 - Mức độ nghiêm trọng của thông báo Để hiện thị thông báo Chọn để hiển thị tất cả thông báo. Chọn Notification > Alerts cũng hiển thị tất cả thông báo Chọn Intrusion Prevention > Alerts để hiển thị chỉ các thông báo về bảo mật Chọn System > Alerts để hiển thị thông báo hệ thống Hình 14 - Minh họa thông báo Có thể xem thông tin chi tiết về thông báo bằng cách nhấp chuột vào tên thông báo. Các thông tin này có thể rất bổ ích cho việc tìm hiểu và khắc phục sự cố. Có thể sử dụng bộ lọc có sẵn để dễ dàng lọc các thông báo cần quan tâm theo các tiêu chí như Risk Level, Alert Name, Alert Type… NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS Khi tấn công xảy ra IPS sẽ thực hiện các hành động đã được cài đặt đồng thời gửi một thông báo về cuộc tấn công. Thông báo được hiển thị tại màn hình alert của giao diện web. Ngoài ra, thông báo có thể gửi qua mail cho người quản trị trong trường hợp cần thiết. Chúng ta có thể đặt mức độ cho loại tấn công, các mức độ này sẽ được thể hiện bằng màu trong thông báo Alerts khi phát hiện tấn công (tam giác xanh tương ứng với mức low, ô vuông vàng tương ứng với medium, tam giác đỏ là high – xem thêm trong cấu hình cảnh báo). Ta có thể đặt các tùy chọn phản ứng khi phát hiện tấn công như block để ngăn chặn tấn công xảy ra, log để ghi lại ra một file log, email để gửi mail thông báo, quarantine để cách ly địa chỉ gây ra tấn công… Ngăn chặn các hình thức thu thập thông tin Tường lửa có thể ngăn chặn được một số hình thức thu thập thông tin như ping (để dò xem hệ thống bảo vệ có tồn tại hay không) bằng cách cấm gói tin ICMP. Có thể ngăn chặn ftp, telnet, trace route bằng cách cấm cổng. Tuy nhiên hiện nay hacker có nhiều cách thức để vượt qua những tường lửa thông thường này. Ví dụ thay vì ping, hacker có thể sử dụng phương pháp gửi gói tin tới một cổng xác định luôn mở của máy (ví dụ như cổng chạy dịch vụ Net Bios). Thay vì ftp qua cổng mặc định, hacker có thể sử dụng giao thức đó qua những cổng không thể bị cấm (ví dụ như cổng nhận dns). Với thiết bị IPS Proventia G200, tất cả những hành động này đều bị phát hiện và có thể bị ngăn chặn do thiết bị theo dõi một cách tổng quan trên toàn mạng và tra xét theo từng dấu hiệu, không chỉ khuôn dạng gói tin mà nội dung gói tin hay giao thức gửi nó cũng được kiểm tra. Do vậy hiện nay hầu như chưa có một cách thức nào để vượt qua được thiết bị này mà không bị lưu vết. Hình 15 - Ngăn chặn thu thập thông tin Ngăn chặn tấn công DoS IPS Proventia G200 Security Events cài đặt sẵn khả năng phòng chống rất nhiều cách thức tấn công DoS. Để kích hoạt khả năng phòng chống một loại tấn công nào, ta chỉ cần đánh dấu vào ô textbox ở cột Enable cho các kiểu tấn công tương ứng. Chúng ta sẽ đánh dấu với tấn công SYN flood. Chống tấn công SYN flood đã được kích hoạt. Hình 16 – Đánh dấu cảnh báo SYNFlood Cơ chế phát hiện và ngăn chặn tấn công SYNFlood. Dựa trên cách thức hoạt động của tấn công SYNFlood có thể dễ dàng phát hiện các gói tin SYN mà không có gói biên nhận ACK tương ứng. Có thể khắc phục bằng cách gửi lại một gói tin RST yêu cầu khởi động lại kết nối. Kết quả là tài nguyên bị chiếm dụng sẽ được giải phóng. Với Proventia Network IPS, dấu hiệu một cuộc tấn công SYNFlood được phát hiện bằng cách giám sát số lượng và tỉ lệ gói SYN mà một server nhận được nhưng lại không có biên nhận ACK tương ứng. Có thể điều khiển tỉ lệ này sử dụng hai tham số để định nghĩa số yêu cầu kết nối mới và thời gian timeout. Cả tấn công SYNFlood và smurf attack (ping sweep) đều được ips phát hiện và ngăn chặn như trong hình dưới đây. Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep) Ngăn chặn thâm nhập qua backdoor – trojan Dựa trên những lưu thông TCP mà phía client của trojan gây ra (ví dụ như yêu cầu kết nối tới cổng 6666), phía client của trojan này sẽ bị chặn và không thể gửi được các tín hiệu điều khiển tới cho phía máy bị nhiễm. Máy kẻ tấn công có thể bị cách ly ra khỏi toàn mạng nếu đặt tùy chọn quarantine trong cấu hình IPS. Do cơ chế trong suốt của thiết bị IPS, kẻ tấn công không hề biết tại sao trojan cài bên phía máy nạn nhân không hoạt động. Hình 18 - Ngăn chặn thâm nhập qua trojan Beast Ngăn chặn thâm nhập qua lỗ hổng bảo mật Dấu hiệu của việc tấn công này là sử dụng MSRPC Remote Activation Request hoặc System Activation Request để thực hiện việc tràn bộ đệm. Tiếp đó chiếm quyền điều khiển máy. IPS sẽ dựa vào các gói tin với các yêu cầu như trên để xác định việc tấn công vào lỗ hổng MSRPC. Security event của IPS để chống MSRPC RemoteActive Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo IPS nhận dạng tấn công MSRPC RemoteActive Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive TRIỂN KHAI THỰC TẾ Những công việc cần thực hiện khi triển khai hệ thống phát hiện và ngăn chặn thâm nhập trên hệ thống mạng VNUnet Phân tích những yêu cầu bảo vệ dựa trên hệ thống mạng hiện tại Đưa ra sơ đồ triển khai. Cài đặt và lắp đặt thiết bị. Cấu hình thiết bị với những yêu cầu của hệ thống mạng. Kiểm tra hoạt động của hệ thống bảo vệ. Thực tế hoạt động của hệ thống. Phân tích mô hình mạng hiện tại và đưa ra sơ đồ triển khai Hình 21 – Mô hình mạng VNUnet Vùng mạng bên trong VNUnet, bao gồm máy của giảng viên, máy của cán bộ trường, máy thực hành của sinh viên được bảo vệ bằng cơ chế NAT và tường lửa CheckPoint (triển khai cùng thời gian với hệ thống IDS/IPS) nên khó có khả năng bị tấn công. Hơn nữa nếu để thiết bị IPS bảo vệ tất cả các vùng mạng này thì thiết bị sẽ bị quá tải hoặc chi phí để mua thiết bị mới cũng như triển khai hệ thống sẽ lớn. Vì vậy, biện pháp tốt nhất là triển khai thiết bị IPS Proventia G200 bảo vệ vùng vành đai DMZ nơi chứa những máy chủ dịch vụ, có địa chỉ IP thật và dễ bị tấn công phá hoại. Trong thực tế, một số tấn công có thể bị chặn bằng tường lửa, đặc biệt là những tường lửa chuyên dụng như CheckPoint. Tường lửa này cũng tích hợp một hệ thống IPS hoạt động trên cơ chế anormal detection. Vì vậy, nếu thiết bị IPS Proventia G200 được đặt sau tường lửa thì khối lượng xử lý sẽ giảm. Hiện tại, mạng VNUnet có 3 đường ra Internet với 2 router hoạt động, để hoạt động cân bằng tải, ta có thể sử dụng 2 thiết bị IPS Proventia G200 đặt giữa router và DMZ theo sơ đồ sau. Internet T.B cân bằng tải Router Router CPnet ISP A Vùng vành đai DMZ Firewall IPS, VPN Firewall IPS, VPN VINArenTEIN2 ISP B Hình 22 – Sơ đồ triển khai IPS Lắp đặt thiết bị Cài đặt hệ điều hành Đưa thiết bị lên giá Nối thiết bị qua cổng điều khiển với TTMT Cài đặt hệ thống Khi triển khai cần chú ý tới tính sẵn sàng của hệ thống mạng, phải đảm bảo hệ thống dịch vụ vẫn hoạt động ổn định trong khi triển khai. Ngoài ra, cần làm công việc backup hệ thống trước khi triển khai. Một yếu tố khác cần tính tới khi triển khai là độ trễ của gói tin do bị kiểm tra bằng thiết bị IPS. Việc này sẽ làm tăng độ trễ của các dịch vụ cần thiết trong hệ thống mạng như web, mail, …. Vấn đề này có thể giải quyết bằng cách loại bỏ các dấu hiệu nhận biết lỗi thời, không phù hợp và không có khả năng bị khai thác. Ví dụ như hệ thống Web của VNUnet sử dụng máy chủ linux, máy chủ này không có khả năng bị tấn công theo các lỗi của hệ điều hành Windows, hoặc những lỗi đã được khắc phục từ lâu như ping of death thì cũng bỏ qua không cần xem xét nữa. Tổng số dấu hiệu nhận biết trong cơ sở dữ liệu của thiết bị IPS là 2375 mục. Trong đó có 2007 dấu hiệu tấn công và 368 dấu hiệu thăm dò thông tin. Số các dấu hiệu mặc định bị chặn đã đặt sẵn là 1181 dấu hiệu tấn công và 0 dấu hiệu thăm dò. Trong các máy dịch vụ có một máy sử dụng hệ điều hành windows server 2003, vì vậy thiết lập một miền bảo vệ riêng áp dụng tập dấu hiệu mặc định cho máy chủ này. Những máy chủ khác sử dụng tập dấu hiệu dành cho linux trong đó lược bớt những dấu hiệu tấn công và thăm dò của windows và dịch vụ chạy trên đó. Tập này gồm 1092 dấu hiệu tấn công, 0 dấu hiệu thăm dò. Các dấu hiệu thăm dò không bị chặn nhưng vẫn gây ra cảnh báo trong hệ thống. Việc thêm bớt các dấu hiệu khác có thể thực hiện sau này khi có yêu cầu thực tế. Một vấn đề nữa khi triển khai là xem xét đến việc cảnh báo tức thời của thiết bị với người quản trị. Do người quản trị không thể xem cảnh báo liên tục vì vậy cần đặt cảnh báo theo email để phát hiện và ngăn chặn các hành động chỉ gây nên cảnh báo mà không tự động chặn một cách nhanh nhất. Việc này giúp hệ thống được bảo vệ một cách tốt hơn. Cấu hình ban đầu là tất cả các dấu hiệu thăm dò đều được cảnh báo qua email. Cùng với đó, những tấn công ở mức độ critical (nghiêm trọng) cũng cần được cảnh báo để có biện pháp xử lý lần sau. Ngoài ra, tất cả những thay đổi liên quan tới thiết bị cũng cần được thông báo qua mail để tránh khả năng có người đột nhập vào thiết bị. Các cấu hình khác liên quan đặc biệt đến hệ thống mạng sẽ do cán bộ của TTMT thực hiện. Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT Kiểm tra hoạt động của hệ thống Sau khi cấu hình thiết bị theo yêu cầu xác định, backup các máy chủ dịch vụ, ta nối cáp mạng tới 2 cổng A và B của 2 thiết bị IPS (đây là 2 cổng giám sát) theo sơ đồ đã nói ở trên. Mô hình mạng sau khi kết nối thiết bị IPS và checkpoint như sau. Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS Sau khi lắp đặt hệ thống IPS như theo mô hình, các máy chủ dịch vụ vẫn hoạt động bình thường. Các dịch vụ mạng gần như không bị ảnh hưởng gì. Khi thử nghiệm các thăm dò đơn giản, hệ thống đều gửi mail cho người quản trị như đã cấu hình. Các tấn công đơn giản đều bị chặn bởi hai lớp bảo vệ là tường lửa CheckPoint và hệ thống IDS/IPS. Các tấn công nghiêm trọng hơn chưa được thử nghiệm do tính an toàn của hệ thống dịch vụ. Hình 25 - Hệ thống IPS gửi mail cho người quản trị Thực tế hoạt động của hệ thống Sau ngày đầu tiên lắp đặt hệ thống, có tới hàng ngàn cảnh báo được sinh ra trong giao diện web của thiết bị IPS, phần nhiều trong số đó là những dò quét hệ thống (TCP port scan, ping sweep, …). Đặc biệt có một tấn công dạng critical theo dấu hiệu SQL_SSRP_Slammer_Worm. Hầu hết tất cả những cảnh báo này đều được gửi qua email tới người quản trị hệ thống. Như vậy số email sinh ra trong thực tế là quá nhiều. Việc này dẫn đến việc phải thay đổi cấu hình sinh cảnh báo. Cấu hình mới sẽ chỉ cảnh báo khi có những dấu hiệu tấn công critical (nghiêm trọng), các dấu hiệu dò quét sẽ chỉ cảnh báo 6 tiếng một lần. Hình 26 - Các dò quét và tấn công thực tế CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI KẾT QUẢ ĐẠT ĐƯỢC Thông qua nghiên cứu và triển khai hệ thống IDS/IPS, em đã nhận thức được tình hình an ninh mạng hiện nay và những yêu cầu cần thiết để thiết lập và duy trì một hệ thống mạng an toàn. Bằng cách tìm hiểu các tài liệu liên quan, tham khảo ý kiến các chuyên gia và thực hành, em đã nắm vững được các kiến thức cơ sở và thử nghiệm được các tấn công thâm nhập một hệ thống. Hiểu được công nghệ thế giới sử dụng để ngăn chặn các hiểm họa an ninh mạng hiện nay, em đã cài đặt và sử dụng thành thạo một thiết bị chuyên dụng về công nghệ đó trong thời gian làm khóa luận. Với một vấn đề khá mới, em đã xác định được những khó khăn và hướng giải quyết khi triển khai hệ thống ngăn chặn thâm nhập trên một hệ thống mạng lớn như mạng của trường đại học. Thực tế, hệ thống này đã được triển khai thử nghiệm trên mô hình mạng trường Đại học Quốc gia Hà Nội. Nhận xét và đánh giá Sau khi nghiên cứu tìm hiểu công nghệ phòng chống thâm nhập của ISS qua một trong những dòng thiết bị điển hình của IBM Proventia G, em nhận thấy thiết bị này có khả năng ngăn chặn được hầu hết các tấn công trong tấm hiểu biết của các hacker bình thường hiện nay. Do hoạt động ở tầng ứng dụng và kiểm soát nội dung gói tin, thiết bị này có khả năng ngăn chặn tấn công tốt hơn nhiều so với tường lửa đơn thuần. Thiết bị này có khả năng cập nhật các dấu hiệu tấn công mới do X-Force nghiên cứu, vì vậy nó có khả năng ngăn chặn được các hình thức tấn công mới. Ngoài ra, nếu người quản trị hiểu biết sâu rộng về các cách thức tấn công và điểm yếu trong mạng thì họ có thể thiết lập các dấu hiệu riêng cho mạng của mình và mạng đó chắc chắn sẽ khó có thể bị thâm nhập trái phép. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI Thông qua kết quả nghiên cứu về các nguy cơ đe dọa mạng và các điểm yếu an ninh mạng, em nhận thấy việc đảm bảo an ninh mạng ngày nay là một vấn đề cần thiết song cũng khá khó khăn. Sau khi hoàn thành khóa luận, em mong muốn tiếp tục nghiên cứu chi tiết hơn về các tấn công mạng một cách có hệ thống (hoặc một cách toàn diện hơn), cũng như các biện pháp bảo đảm an ninh mạng có hiệu quả cao hơn. Ví dụ, tìm hiểu về cách thức phát hiện ra một lỗ hổng trong một hệ thống, đồng thời nghiên cứu cách thức phòng tránh các lỗ hổng đó trước khi kẻ tấn công lợi dụng được nó. Kết quả nghiên cứu của khoá luận này sẽ giúp định hướng các nghiên cứu sâu hơn về an ninh mạng trong các môi trường và hệ thống mạng khác sau này. PHỤ LỤC A Báo cáo an ninh năm 2007 Tháng 9/2007, đội nghiên cứu an ninh X-Force của ISS đã nghiên cứu và phân loại được 4.256 điểm yếu an ninh. Như vậy, so với năm 2006 số lượng các điểm yếu an ninh đã tăng 25,8 % (3.384). Trong số các hành vi lợi dụng điểm yếu an ninh thì các hành vi nhằm vượt qua tường lửa, proxy, hệ thống phát hiện xâm nhập, hệ thống quét virus... để truy cập được vào hệ thống và hành vi tấn công từ chối dịch vụ có sự thay đổi rõ nét theo từng tháng. Hình 27 – Các hành vi khai thác điểm yếu an ninh Các điểm yếu an ninh nghiêm trọng Trong 9 tháng đầu năm 2007, X-Force đã đưa ra rất nhiều cảnh báo về các điểm yếu an ninh nghiêm trọng của các nhà cung cấp các sản phẩm như Microsoft, Apple, Adobe, VMWare... Điển hình là những điểm yếu an ninh trong các PM Internet Explorer, Micrsoft Outlook, Windows DNS Server RPC của Microsoft. Hình 28 - Xu hướng phishing sắp tới Các báo cáo về Spam và Phishing Theo X-Force, nước Mỹ chiếm hơn 1/8 lượng spam toàn cầu, còn Tây Ban Nha chiếm tỷ lệ email phishing lớn nhất. Mỹ cũng là nước dẫn đầu về các trang web được trỏ tới từ các liên kết nằm trong spam và email phishing, chiếm tỷ lệ hơn 1/3. Nhà cung cấp Tỷ lệ điểm yếu Microsoft 4,2% Apple 3,0% Oracle 2,0% Cisco 1,9% Sun 1,5% IBM 1,3% Mozilla 1,3% XOOPS 1,2% BEA 1,1% Linux Kernel 0,9% Các phân tích về nội dung web Qua việc phân tích 150 triệu trang web và hình ảnh mới mỗi tháng (hơn 6,9 tỉ trang web và hình ảnh từ năm 1999), X-Force đã phân thành 62 danh mục với hơn 80 triệu thành phần và bổ sung, cập nhật 100.000 thành phần mỗi ngày. Kết quả cho thấy hơn 10% các nội dung của web là các thông tin khiêu dâm, bạo lực, ma túy.... Mỹ lại là nước có tỷ lệ các trang web chứa các nội dung không mong muốn như bạo lực và tội phạm, khiêu dâm, tội phạm máy tính, ma túy... lớn nhất. Các báo cáo phát hiện PM độc hại (malware) Trong 9 tháng đầu năm 2007, X-Force đã thu thập và đưa vào cơ sở dữ liệu phòng chống virus, chống spyware và chống các PM độc hại tổng cộng 677.65 mẫu mới. Trong số các PM độc hại, Trojan chiếm tỷ lệ lớn nhất. PHỤ LỤC B Báo cáo an ninh năm 2008 Theo báo cáo về các mối đe dọa bảo mật mạng (ISTR) thứ 14 của hãng Symantec năm 2008, các hoạt động tấn công mạng trên thế giới tiếp tục phát triển ở mức kỷ lục, chủ yếu nhắm tới những thông tin quan trọng từ máy tính của người dùng. Symantec đã tạo ra hơn 1,6 triệu mẫu chữ ký về các loại mã độc mới trong năm 2008, tương đương với hơn 60% tổng số mẫu chữ ký mà Symantec đã từng tạo ra từ trước đến nay - một phản ứng đối với sự tăng trưởng mạnh về số lượng cũng như sự phong phú, đa dạng của những mối đe doạ nguy hại mới. Bản báo cáo cũng cho thấy duyệt web vẫn là một trong những nguyên nhân chủ đạo gây ra những phát tán và lây nhiễm virus trên mạng trong năm 2008. Hacker ngày nay tận dụng ngày càng nhiều những công cụ sinh mã độc hại khác nhau để phát triển và phát tán những mối đe doạ của chúng. Nền kinh tế ngầm ngày càng hoạt động phức tạp  Dựa trên số liệu của Bản báo cáo về nền kinh tế ngầm mới nhất, Symantec cho biết có một nền kinh tế ngầm với cơ cấu tổ chức tinh vi chuyên buôn bán những thông tin quan trọng bị đánh cắp, đặc biệt là thông tin về thẻ tín dụng và thông tin về tài khoản ngân hàng. Nền kinh tế ngầm này đang bùng nổ, một điều minh chứng là trong khi giá thành sản phẩm ở những thị trường hợp pháp đang suy giảm thì giá thành sản phẩm ở thế giới ngầm vẫn không đổi từ năm 2007 đến cuối năm 2008. Báo cáo cũng cho thấy những kẻ viết mã độc luôn thay đổi để chống lại những nỗ lực ngăn chặn các hành vi của chúng. Chẳng hạn như, việc đánh sập 2 hệ thống hosting mạng ma (botnet) đặt tại Mỹ đã góp phần làm giảm đáng kể các hoạt động botnet chủ động kể từ tháng 9 đến tháng 11 năm 2008; tuy nhiên, những kẻ vận hành botnet đã tìm ra những địa chỉ Web hosting thay thế và sự lây nhiễm botnet lại nở rộ, trở lại ngưỡng trước khi bị đánh sập một cách nhanh chóng. Ứng dụng web, nguồn gốc của lỗ hổng bảo mật Theo Symantec, những nền tảng ứng dụng Web lại thường là những nguồn gốc của những lỗ hổng bảo mật. Những sản phẩm phần mềm được xây dựng sẵn này được thiết kế nhằm giúp đơn giản hoá việc triển khai những Website mới và được sử dụng rộng rãi trên Internet. Nhiều trong số những nền tảng này không có chức năng bảo mật, và một hệ quả tất yếu là chúng tiềm ẩn rất nhiều lỗ hổng và trở nên rất dễ bị xâm hại bởi các tấn công mạng. Trong số những lỗ hổng bảo mật được xác định trong năm 2008, có đến 63% là các ứng dụng web bị lây nhiễm, tăng so với con số 59% của năm 2007. Trong số 12.885 lỗ hổng về mã lệnh liên kết chéo của báo cáo năm 2008 thì chỉ có 3% (394 lỗ hổng) đã được khắc phục tại thời điểm báo cáo này được viết ra. Báo cáo cũng chỉ ra rằng những tấn công trên Web phát sinh từ nhiều quốc gia trên thế giới mà trong đó Mỹ dẫn đầu (38%), sau đó là Trung Quốc (13%) và Ucraina (12%). Sáu trong số 10 quốc gia dẫn đầu về tấn công trên web là các nước trong khu vực Châu Âu, Trung Đông và Châu Phi, những quốc gia này có tỷ lệ tấn công trên web chiếm tới 45% so với con số toàn cầu, nhiều hơn các khu vực khác. Lừa đảo qua mạng và nạn thư rác tiếp tục gia tăng Báo cáo cho hay nạn lừa đảo qua mạng tiếp tục phát triển. Trong năm 2008, 55.389 máy chủ đặt website lừa đảo, tăng 66% so với con số 33.428 của năm 2007. Những vụ lừa đảo liên quan đến các dịch vụ tài chính chiếm tới 76% các vụ lừa đảo năm 2008, tăng mạnh so với con số 52% năm 2007. Symantec cũng cho biết, số lượng thư rác trong thời gian trở lại đây lại tiếp tục tăng mạnh. Trong năm vừa qua, Symantec đã theo dõi sự tăng trưởng của thư rác là 192% trên toàn mạng Internet, con số này tăng từ 119.6 tỷ tin nhắn (năm 2007) lên tới 349.6 tỷ trong năm 2008. Năm 2008, các mạng botnet thực hiện việc phát tán tới khoảng 90% tất cả thư rác. PHỤ LỤC C Các kiểu tấn công DoS Smurf attack là một biến thể riêng của tấn công ngập lụt trên mạng Internet công cộng. Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch đại. Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo cho toàn bộ mạng (broadcast). Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công. Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy. Hình 29 - Minh họa smurf attack Ping flood là tấn công bằng cách gửi tràn ngập các gói tin ICMP tới máy bị tấn công sử dụng câu lệnh ping với tham số -t. Đây là kiểu tấn công rất đơn giản nhưng đòi hỏi máy tấn công phải truy cập vào một băng thông lớn hơn băng thông của máy cần tấn công. SYN flood lợi dụng cách thức hoạt động của kết nối TCP/IP. Khi một máy khách bắt đầu một kết nối TCP tới máy chủ, phải trải qua quá trình bắt tay ba bước. Máy khách gửi một TCP SYN packet đến cổng dịch vụ của máy chủ. Máy chủ sẽ phản hồi lại máy khách bằng 1 SYN/ACK Packet và chờ nhận một 1 ACK packet từ phía máy khách. Máy khách phản hồi lại máy chủ bằng một ACK Packet và việc kết nối hòan tất, máy khách và máy chủ thực hiện công việc trao đổi dữ liệu với nhau. Hình 30 - Minh họa tấn công SYNFlood Sau khi thực hiện xong bước hai, máy chủ phải chờ nhận gói ACK từ máy khách. Do đó nó cần phải tiêu tốn một lượng tài nguyên để thực hiện công việc này cho đến khi nhận được gói ACK hoặc hết một thời gian timeout. Tấn công SYN flood sẽ lợi dụng điều đó bằng cách gửi liên tiếp nhiều gói TCP SYN yêu cầu kết nối đến máy chủ, nhưng sau đó sẽ ko gửi trả lại gói ACK cho máy chủ. Khi số lượng yêu cầu kết nối quá nhiều, đến một lúc nào đó, máy chủ sẽ bị quá tải và không thể phục vụ các kết nối khác được nữa gây ra hiện tượng từ chối dịch vụ. Kẻ tấn công có thể sử dụng hai phương thức để tạo nên một cuộc tấn công SYN flood. Thứ nhất là bỏ qua bước cuối cùng, tức là không gửi gói tin ACK lại máy chủ. Cách thứ hai là giả mạo địa chỉ IP nguồn trong gói SYN làm cho server gửi lại gói SYN-ACK đến sai địa chỉ, do đó sẽ không nhận được gói ACK trả lời. Kiểu tấn công Land Attack Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng hacker sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó. Kiểu tấn công UDP flood Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng. Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng. Tấn công kiểu Tear Drop Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin có một giá trị offset riêng và có thể truyền đi theo nhiều con đường khác nhau để tới đích. Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại như ban đầu. Lợi dụng điều này, hacker có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau gửi đến mục tiêu muốn tấn công. Kết quả là máy tính đích không thể sắp xếp được những gói tin này và dẫn tới bị treo máy vì bị "vắt kiệt"  khả năng xử lý. PHỤ LỤC D Phân loại lỗ hổng bảo mật Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt. Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống được chia như sau: Lỗ hổng loại C: các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Dinal of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Sau đây sẽ phân tích một số lỗ hổng bảo mật thường xuất hiện trên mạng và hệ thống Các lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các cuộc tấn công DoS. DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới. Các dịch vụ có chứa đựng lỗ hổng cho phép thực hiện các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ hổng loại này vì bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng này. Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và người tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống. Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ yếu với hình thức tấn công này là sử dụng dịch vụ Web. Giả sử: trên một Web Server có những trang Web trong đó có chứa các đoạn mã Java hoặc JavaScripts, làm "treo" hệ thống của người sử dụng trình duyệt Web của Netscape bằng các bước sau: Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape Nếu sử dụng Netscape, sẽ tạo một vòng lặp vô thời hạn, sinh ra vô số các cửa sổ, trong mỗi cửa sổ đó nối đến các Web Server khác nhau. Với một hình thức tấn công đơn giản này, có thể làm treo hệ thống. Đây cùng là một hình thức tấn công kiểu DoS. Người sử dụng trong trường hợp này chỉ có thể khởi động lại hệ thống. Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các hành động spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu và chuyển tiếp; một số hệ thống mail không có các xác thực khi người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch vụ mail của hệ thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm những địa chỉ không có thực dẫn đến tình trạng ngưng trệ dịch vụ. Số lượng các messages có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet. Các lỗ hổng loại B: Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Sau đây sẽ phân tích một số lỗ hổng loại B thường xuất hiện trong các ứng dụng Sendmail: Sendmail là một chương trình được sử dụng rất phổ biến trên hệ thống UNIX để thực hiện gửi thư điện tử cho những người sử dụng trong nội bộ mạng. Thông thường, sendmail là một daemon chạy ở chế độ nền được kích hoạt khi khởi động hệ thống. Trong trạng thái, hoạt động, sendmail mở port 25 đợi một yêu cầu tới sẽ thực hiện gửi hoặc chuyển tiếp thư. Sendmail khi được kích hoạt sẽ chạy dưới quyền root hoặc quyền tương ứng (vì liên quan đến các hành động tạo file và ghi log file). Lợi dụng đặc điểm này và một số lỗ hổng trong các đoạn mã của sendmail, mà các đối tượng tấn công có thể dùng sendmail để đạt được quyền root trên hệ thống. Để khắc phục lỗi của sendmail cần tham gia các nhóm tin về bảo mật; vì sendmail là chương trình có khá nhiều lỗi; nhưng cũng có nhiều người sử dụng nên các lỗ hổng bảo mật thường được phát hiện và khắc phục nhanh chóng. Khi phát hiện lỗ hổng trong sendmail cần nâng cấp, thay thế phiên bản sendmail đang sử dụng. Một loạt các vấn đề khác về quyền sử dụng chương trình trên UNIX cũng thường gây nên các lỗ hổng loại B. Vì trên hệ thống UNIX, một chương trình có thể được thực thi với 2 khả năng: Người chủ sở hữu chương trình đó kích hoạt chạy Người mang quyền của người chủ sở hữu chủ nhân của file đó Các loại lỗ hổng loại B khác: Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình có mã nguồn viết bằng C. Những chương trình viết bằng C thường sử dụng một vùng đệm - là một vùng trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý. Những người lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng khối dữ liệu. Ví dụ, người sử dụng viết chương trình nhập trường tên người sử dụng; qui định trường này dài 20 ký tự. Do đó họ sẽ khai báo: char first_name [20]; Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự. Khi nhập dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào 35 ký tự; sẽ xảy ra hiện tượng tràn vùng đệm và kết quả 15 ký tự dư thừa sẽ nằm ở một vị trí không kiểm soát được trong bộ nhớ. Đối với những người tấn công, có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt, để thực thi một số lệnh đặc biệt trên hệ thống. Thông thường, lỗ hổng này thường được lợi dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp lệ. Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được các lỗ hổng loại B. Các lỗ hổng loại A: Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng. Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server là Apache, Đối với Web Server này thường cấu hình thư mục mặc định để chạy các scripts là cgi-bin; trong đó có một Scripts được viết sẵn để thử hoạt động của apache là test-cgi. Đối với các phiên bản cũ của Apache (trước version 1.1), có dòng sau trong file test-cgi: echo QUERY_STRING = $QUERY_STRING Biến môi trường QUERY_STRING do không được đặt trong có dấu " (quote) nên khi phía client thưc hiện một yêu cầu trong đó chuỗi ký tự gửi đến gồm một số ký tự đặc biệt; ví dụ ký tự "*", web server sẽ trả về nội dung của toàn bộ thư mục hiện thời (là các thư mục chứa các scipts cgi). Người sử dụng có thể nhìn thấy toàn bộ nội dung các file trong thư mục hiện thời trên hệ thống server. Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên hệ điều hành Novell; Các web server này có một scripts là convert.bas, chạy scripts này cho phép đọc toàn bộ nội dung các files trên hệ thống. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này. Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger... PHỤ LỤC E Khái quát về hiện trạng VNUNet Mô hình tổ chức Đại học quốc gia Hà Nội có tổng cộng 28 đơn vị với 2.503 cán bộ và 23.628 sinh viên, học viên các hệ tập trung (26.131 cán bộ và học viên, sinh viên các hệ tập trung), 26.000 sinh viên các hệ không tập trung. Gần như 100% cán bộ đã có máy tính làm việc. Số lượng máy tính trong các phòng thí nghiệm và phòng thực hành phục vụ công tác giảng dạy và trong các ký túc xá có khoảng 1.500 chiếc, tổng cộng hiện có khoảng 4.000 máy tính kết nối vào VNunet. Tỷ lệ sinh viên có máy tính ở nhà ước tính khoảng 20%, số lượng sinh viên có các thiết bị xử lý thông tin di động hiện còn rất thấp, chỉ khoảng 2%, các thiết bị di động hiện chưa có khả năng kết nối di động vào VNUnet. Cơ sở hạ tầng truyền thông của VNUNet Hệ thống cáp quang: hiện đã có các đường kết nối từ điểm trung tâm tới Các đơn vị tại 144 Xuân Thuỷ: Cơ quan ĐHQGHN, Trường ĐHNN, Trường ĐHCN, Trường ĐHKT, Khoa Quản trị kinh doanh, Trung tâm Thông tin Thư viện. Các đơn vị tại 334-336 Nguyễn Trãi: Trường ĐHKHTN, Trường ĐHKHXH-NV Ký túc xá Mễ trì Mở rộng hệ thống cáp quang nói trên là hệ thống các đường kết nối bằng cáp đồng đến hầu khắp các đơn vị của ĐHQGHN. Bốn địa điểm, năm đơn vị chưa được kết nối vào VNUnet gồm có Địa điểm 19 Lê Thánh Tông: Khoa Hóa. Địa điểm 16 Hàng Chuối: Nhà xuất bản, Nhà in. Khoa Quốc tế Ban Quản lý dự án Hoà Lạc tại Hoà Lạc. Các đường kết nối ra bên ngoài Lease line 10 Mbps tới Viettel vào Internet Lease line 100 Mbps tới Netnam vào VINAren – mạng khoa học giáo dục Việt Nam và qua đó vào TEIN2, APAN. Lease line tới mạng hành chính của chính phủ (chưa hoạt động). Hệ thống thiết bị ghép nối Tại điểm tập trung của VNUnet có Cisco Router 2800. Switch trung tâm Catalyst 4507 (2005) với 8 cổng quang và 48 cổng Giga Ethernet RJ45. Switch phân đoạn Catalyst 2950, 4 chiếc (2003), Catalyst 1900, 2 chiếc (2001). Fire wall Cisco Pix 515e (2001, hỏng). Kiến trúc ghép nối Hệ thống truyền thông được xây dựng theo kiến trúc Ethernet, ở mức mỗi đơn vị thành viên, trực thuộc là một subnet/VLAN, sử dụng không gian địa chỉ IP giả lập (10.0.0.0 và 172.16.0.0). Các kết nối ra bên ngoài với tên miền vnu.edu.vn và vnu.vn được thực hiện qua một số lượng IP được cấp phát hạn chế (32 địa chỉ). Tại các đơn vị thành viên, trực thuộc, việc phân chia subnet/VLAN mới chỉ được thực hiện ở Trường ĐHCN, chưa được thực hiện ở tất cả các đơn vị còn lại, vì vậy mỗi đơn vị, dù lớn, dù nhỏ đều là một miền broadcast, với tỷ lệ các gói tin broadcast rất lớn, tỷ lệ truyền tin hữu ích rất thấp (chỉ xung quanh 30%). Hơn nữa chất lượng thi công và quản lý kết nối cả ở mức logic và vật lý đều không được quan tâm nên tỷ lệ lỗi thực tế rất cao; làm giảm sút nghiêm trọng hiệu suất hoạt động của hệ thống – gây nên lãng phí không nhỏ các đầu tư của ĐHQGHN. Một số đơn vị đã tự thực hiện các kết nối ra bên ngoài qua ADSL, đặt website ra ngoài. Router 3600 INTERNET TEIN2 VINAren CPNET 112 Catalyst 2950 Catalyst 4507 203.113.130.192/27 172.16.0.0/16 ĐH Ngoại ngữ ĐH Kinh tế, Khoa Luật, Viện CNSH Vện CNTT ĐH KHTN ĐH KHXH-NV Thư viện TĐ KTX Mễ Trì Khoa QTKD TTPT Hệ thống, Khoa SP, Khoa SĐH VP ĐHQGHN TRƯỜNG ĐH CÔNG NGHỆ Với hệ thống thiết bị ghép nối mạng riêng Trung tâm TTTV 10.1.0.0/16 10.10.0.0/16 Cáp quang TT Đào tạo từ xa Proxy Web Mail Hình 31 - Sơ đồ kết nối logic Hệ thống các server các dịch vụ Hệ thống server hiện tại có 15 chiếc, trong đó có 12 chiếc được trang bị năm 2004, một chiếc có 2 GB, 11 chiếc có 1 GB RAM, số còn lại đã được trang bị từ năm 2000. Dung lượng đĩa cứng lưu trữ rất hạn chế, chỉ một server có đĩa cứng dung lượng 150 GB, số còn lại chỉ có tối đa 80 GB. VNU hiện cung cấp các dịch vụ: Tài khoản truy cập Internet cho khoảng 3000 tài khoản là cán bộ, giảng viên của ĐHQGHN. Thư tín điện tử cho cán bộ, giảng viên của ĐHQGHN với dung lượng hộp thư rất hạn chế, chỉ 10MB/account. Dịch vụ văn thư điện tử cho Cơ quan ĐHQGHN. Duy trì kỹ thuật hoạt động của Website ĐHQGHN và Website của ba khoa trực thuộc là: khoa sau đại học, khoa Sư phạm, khoa Quốc tế. Từ những số liệu thống kê trên, ta có thể thấy ĐHQGHN là một tổ chức đại học quy mô trung bình bao gồm nhiều đơn vị thành viên và trực thuộc, với nhiều campus phân bố trên diện tích khá rộng trong nội thành thủ đô Hà Nội. Một trong trong những thế mạnh, cũng là tiêu chí xây dựng phát triển ĐHQGHN chính là việc xác lập những cơ chế mới để tập hợp và cùng chia sẻ hiệu quả các tài nguyên tri thức, con người, ... từ những đơn vị thành viên và trực thuộc. VNUnet có ý nghĩa quan trọng trong ĐHQGHN, như là giải pháp ICT tất yếu cần có không những trong việc tổ chức tập hợp và chia sẻ các tài nguyên trong môi trường ĐHQGHN mà còn là tổ chức cung cấp các dịch vụ hữu ích của ĐHQGHN cho các đơn vị thành viên, trực thuộc; Một thể hiện vai trò cũng như ý nghĩa của mô hình ĐHQGHN. Hiện trạng mạng CTNet Trường Đại học Công nghệ hiện triển khai các hoạt động của mình trên mặt bằng rộng gồm 4 địa điểm cách xa nhau từ 3 đến 5 km, trong đó địa điểm tại 144 Xuân Thủy là địa điểm chính, một địa điểm khác có các phòng máy thực hành và truy cập Internet của sinh viên cách xa 5 km. Sơ đồ mặt bằng tại địa điểm chính gồm các tòa nhà E3, E4, G2, G3, G2B, G5 và G6 được trình bày trên hình vẽ. Trong năm 2007, được sự cho phép của ĐHQGHN, Trường ĐHCN đang triển khai kế hoạch xây dựng nâng tầng nhà G2 để có thêm 1000 m2 mặt bằng để chuyển dần sinh viên về học tại khu vực 144 Xuân Thủy, trong đó định hướng ưu tiên cho hệ đào tạo chất lượng cao và chương trình đào tạo trình độ quốc tế. Switch Các phòng làm việc và phòng máy tính trong tòa nhà E3 Các phòng làm việc và phòng máy tính trong tòa nhà E4 Các phòng làm việc và phòng máy tính trong tòa nhà G2 Internet VNUnet Router Các trường Thành viên và các đơn vị trực thuộc ĐHQG Phần mạng Trường ĐHCN Mô hình tổ chức Hình 32 – Mô hình tổ chức Hệ thống hiện có 01 Swicth trung tâm Catalyst 6509 đặt trung tâm máy tinh tầng 1 nhà G2B. Từ đây có các đường cáp UTP đến wallplace tại từng phòng (của Khoa Công nghệ cũ; khi thành lập Trường ĐHCN, các phòng này đã được thay đổi thiết kế, thay đổi đơn vị sử dụng, những điều chỉnh, nối tiếp thêm không quản lý được). Kết nối từ mỗi phòng đến máy tính được thực hiện qua các HUB. Server và các dịch vụ hệ thống Có 04 server với cấu hình như sau Server Web, 1 CPU P.4, 1 GB RAM, 2 ổ cứng 36 GB (từ phòng HCQT) Server quản lý người dùng, 1 CPU P.4, 1 GB RAM, 1 ổ cứng 36 GB Server phục vụ tệp, 1 CPU P.4, 512 MB RAM, 3 ổ cứng 36 GB Server phục vụ các tiện ích, 1 CPU P.4, 512 MB RAM, 1 ổ cứng 36 GB Những dịch vụ hệ thống Hệ thống hiện tại chỉ cung cấp những dịch cụ tối thiểu, trong đó có Website môn học, các tư liệu điện tử của MIT và các nhà cung cấp khác. Dịch vụ tệp dù đã được cung cấp cho sinh viên nhưng vì dung lượng đĩa cứng quá hạn chế nên không hiệu quả. Nhận xét VNUnet và CTNet đã có hệ thống đường truyền thông khá tốt: kết nối ra bên ngoài mạnh, hệ thống đường truyền nội bộ đã phủ được ba khu vực chính. Hạn chế: Kết nối Internet ra bên ngoài là kết nối đơn, không có dự phòng, mỗi khi có sự cố đường truyền, liên lạc với bên ngoài bị gián đoạn. Sử dụng không gian địa chỉ giả lập với thiết bị Proxy. Hệ thống an ninh và an toàn rất yếu kém. Còn 4 địa điểm chưa được kết nối vào VNUnet, trong đó có 2 địa điểm cần được quan tâm kết nối sớm là 19 Lê Thánh Tông và Khoa Quốc tế. Tốc độ truyền thông trên các đường trục cáp quang phần lớn mới chỉ hạn chế ở tốc độ 100 Mbps theo cấu trúc đơn, halfduplex, không đảm bảo được kết nối liên lục khi có sự cố. Kiến trúc phân tầng của mạng còn đơn giản, không ổn định làm giảm hiệu suất mạng, gây lãng phí lớn các đầu tư tài nguyên của ĐHQGHN, gây ức chế tâm lý người dùng, làm xuất hiện tư tưởng kết nối phân tán ra bên ngoài, đặt website ra bên ngoài. Hệ thống server dường như không ít về số lượng nhưng cấu hình kỹ thuật, đặc biệt là dung lượng lưu trữ quá hạn chế, không đủ sức mạnh để triển khai các dịch vụ trên phạm vi rộng toàn ĐHQGHN. Quá nghèo nàn về dịch vụ. Mục tiêu phát triển hệ thống mạng VNUnet và CTNet Để án phát triển mạng VNUnet và CTNet đã đưa ra các mục tiêu cần phát triển như sau: Tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, e-Document, ...), voice, DVD video, ... Cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực tuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo. Làm giảm kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia sẻ của cá nhân, tập thể trên toàn hệ thống. Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng. Có trung tâm dữ liệu mạnh. Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến người dùng cuối 1Gbps. Hệ thống kết nối không dây phục vụ các thiết bị xử lý thông tin di động phủ khắp môi trường làm việc, học tập của ĐHQGHN, kể cả các ký túc xá. Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa và tiếp nhận bài giảng từ xa. Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh, đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng như trên một desktop ảo. Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả. Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động thông suốt, ổn định, hiệu quả. Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy cập trái phép. Hỗ trợ cán bộ, giảng viên có thể truy cập vào mạng nội bộ từ xa. Tài liệu tham khảo A. Tiếng Anh [1] Stuart McClure, Joel Scambray và George Kurtz. Hacking exposed fifth edition, McGraw-Hill/Osborne, 2005 [2] Internet Security Systems. ProventiaGSeries_Guide, May 2005 [3] Internet Security Systems. Các dấu hiệu tấn công và thâm nhập, 2005 B. Tiếng Việt [4] Thạc sĩ Nguyễn Nam Hải. Đề án phát triển VNUnet [5] Vnexperts Research Department. Hack Windows toàn tập [6] Vietnamnet.vn. Tìm hiểu về tấn công từ chối dịch vụ DoS C. Các website tham khảo [7] Microsoft. Lỗ hổng MSRPC. [8] Quantrimang. Các nguy cơ an ninh mạng. www.quantrimang.com.vn/print/23105.aspx [9] Washington.edu. Khái niệm thâm nhập. [10] Wikipedia. Lỗ hổng bảo mật. [11] Wikipedia. Tấn công từ chối dịch vụ. [12] Yahoo blog. Quá trình tấn công của hacker.

Các file đính kèm theo tài liệu này:

  • docNghiên cứu triển khai hệ thống ids-ips.doc
Luận văn liên quan