Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên hệ điều
hành Novell; Các web server này có một scripts là convert.bas, chạy scripts này cho
phép đọc toàn bộ nội dung các files trên hệ thống.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm
sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể
bỏ qua những điểm yếu này.
84 trang |
Chia sẻ: lylyngoc | Lượt xem: 3217 | Lượt tải: 6
Bạn đang xem trước 20 trang tài liệu Luận văn Nghiên cứu triển khai hệ thống ids-Ips, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
vent Name: Chọn sự kiện muốn thiết lập bộ lọc phản hồi
Chỉ có thể chọn một sự kiện
Event Name Info: hiển thị thông tin về sự kiện nếu cần (chỉ đọc)
Comment: Điền miêu tả bộ lọc sự kiện
Severity: Chọn mức độ nghiêm trọng của sự kiện
Adapter: chọn cổng của thiết bị mà áp dụng bộ lọc.
Chú ý: thiết bị sẽ bỏ qua cổng không áp dụng bộ lọc
VLAN: điền dải VLAN mà bộ lọc áp dụng
Event Throttling: Điền khoảng thời gian mà khi sự kiện xuất hiện nó sẽ báo cáo
trong suốt khoảng này. Mặc định là 0 (không cho phép)
Ignore Events: thiết bị sẽ bỏ qua sự kiện này khi nó xuất hiện
Display: Chọn chế độ hiển thị
• No Display: không hiển thị khi phát hiện ra sự kiện
• WithoutRaw. Ghi lại tóm tắt sự kiện
• WithRaw. Ghi lại và kết hợp với bắt gói
Block: Chọn để cho phép hủy tấn công bằng cách bỏ gói và thiết lập lại kết nối
TCP
ICMP Type/Code : điền loại hoặc mã ICMP
Log Evidence : Lưu lại các gói gây nên sự kiện vào thư mục /var/iss
41
Responses : cho phép phản hồi với các tùy chọn sau
• Email : chọn email phản hồi
• Quarantine : chọn kiểu cách ly
• SNMP . Chọn phản hồi SNMP từ danh sách
• User Defined. Chọn một kiểu phản hồi do người dùng định nghĩa
IP Address and Port : Địa chỉ IP nguồn và đích hoặc cổng muốn lọc
5. Hoàn thành các thiết lập về cổng và địa chỉ IP
Address :
Not : Loại những địa chỉ người cấu hình chỉ ra
Any: chọn tất cả các địa chỉ
Single Address : Lọc một địa chỉ và gõ địa chỉ
Address Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range .
Không sử dụng 0.0.0.0-255.255.255.255.
Network Address/# ,Network Bit (CIDR): chọn địa chỉ dựa trên subnet , điền IP
và mask. Ví dụ 128.8.27.18 / 16.
Port :
Not : Loại những cổng người cấu hình chỉ ra
Any: chọn tất cả các cổng
Single Port : Lọc một địa chỉ và gõ địa chỉ
Port Range : Chọn lọc một dải địa chỉ và gõ dải địa chỉ vào Range .
6.Click Ok và lưu thay đổi
42
Hình 10 – Response Filters
3.4.5. Cấu hình tường lửa
Thiết bị IPS Proventia G200 không những có khả năng ngăn chặn các tấn công
thâm nhập qua các dấu hiệu tấn công mà nó còn có khả năng của một tường lửa thông
thường, qua đó ngăn chặn một phần những gói tin không hợp lệ vào trong miền mạng
cần bảo vệ.
Chúng ta có thể sử dụng các luật firewall để ngăn chặn tấn công từ các nguồn và
đích của gói tin.
Các luật của tường lửa chỉ được thực hiện khi thiết bị ở trong hình thái Inline, ở
hình thái Passive, nó sẽ không làm gì, còn ở Simulation, nó sẽ miêu tả quá trình thực
hiện luật những không thực hiện nó.
Chúng ta có thể tạo ra các luật cho tường lửa dựa vào những tiêu chí sau
• Adapter
• Tầm VLAN
• Giao thức (TCP, UDP, hay ICMP)
• Khoảng IP và cổng nguồn, đích
Các hành động xử lý của tường lửa khi một gói tin trùng khớp với luật đặt ra
như sau :
43
• Ignore: Cho phép gói tin trùng khớp đi qua, không có bất cứ hành động hay
phản hồi nào sau đó.
• Protect: Gói tin trùng khớp sẽ được xử lý bởi những phản hồi thông thường
logging, drop (không phải là hành động drop của tường lửa thông
thường),RealSecure Kills, và Dynamic Blocking. (xem thêm trong phần cấu
hình phản hồi).
• Monitor: Hoạt động như một danh sách IP “trắng”, tức là bỏ qua phản hồi
Dynamic Blocking, Drop, RSKill. Tuy nhiên các phản hồi khác vẫn được áp
dụng. Chú ý: hành động monitor mặc định bỏ qua RSKill tuy nhiên chúng ta có
thể thiết lập lại bằng cách đặt giá trị sensor.whitelistresets thành true (1).
• Drop: Chặn gói tin không cho qua tường lửa. Khác với những tường lửa thông
thường, tường lửa của IPS là trong suốt nên sẽ không có địa chỉ. Những gói tin
bị chặn này sẽ phản hồi lại cho bên gửi rằng là mục tiêu không trả lời. Bên gửi
sẽ cố gắng gửi lại một số lần và sẽ bị time out.
• Drop and Reset: Giống như hành động drop nhưng sẽ gửi một gói tin ngắt tới
nguồn để bên nguồn ngắt kết nối nhanh hơn.
Cũng như các tường lửa khác, các luật của tường lửa trong IPS được đọc từ trên
xuống dưới. Giả sử nếu một gói tin trùng khớp với luật có hành động Ignore đặt ở trên,
tất cả phần còn lại của luật tường lửa sẽ không được đọc nữa. Ta có thể thấy rõ hơn
qua ví dụ dưới đây :
Adapter any IP src addr any dst addr xxx.xx.x.xx tcp dst port 80
(Action = “ignore”)
adapter any ip src addr any dst addr xxx.xx.x.1-xxx.x.x.255
(Action = “drop”)
Luật đầu tiên cho phép tất cả các lưu thông mạng qua cổng 80 của máy
xxx.xx.x.xx đi qua như là một lưu thông hợp lệ, tất cả các lưu thông khác bị chặn. Tuy
nhiên nếu đảo ngược 2 luật trên, tất cả các lưu thông đều bị chặn, kể cả lưu thông tới
web server trên máy xxx.xx.x.xx ở cổng 80.
Cần nhắc lại rằng các luật của tường lửa chỉ hoạt động khi thiết bị ở hình thái
inline.
Để tắt hay bật tính năng tường lửa
1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules.
2. Muốn bật tính năng tường lửa hay không?
Nếu có, chọn Firewall Rules check box.
Nếu không thì đến bước 3.
3. Muốn tắt chức năng tường lửa?
44
Nếu có, bỏ Firewall Rules check box.
Nếu không, kết thúc ở đây.
Để thêm một luật tường lửa
1. Trong cửa sổ Policy Editor, chọn thẻ Firewall Rules.
2. Nhấn Add.
Cửa số gõ tên hiện ra.
3. Gõ tên luật rồi nhấn OK. Luật đã được thêm vào danh sách.
4. Muốn bật tính năng lưu vết cho luật này hay không?
Nếu có chọn Log.
Nếu không, bỏ tùy chọn Log.
5. Chọn một hành động cho luật tường lửa từ danh sách hành động. Những hành
động chọn được là :
“Ignore”
“Monitor”
“Protect”
“Drop”
“DropAndReset”
6. Từ thực đơn File, chọn save. Một cửa sổ xác nhận xuất hiện.
7. Nhấn OK.
8. Nhấn Close.
Để loại bỏ một luật tường lửa
1. Trong cửa sổ Policy Editor chọn thẻ Firewall Rules.
2. Chọn một luật trong thanh bên phải rồi nhấn Remove. Luật sẽ được loại bỏ.
3. Từ thực đơn File nhấn Save và xác nhận.
4. Nhấn OK.
5. Từ thực đơn File chọn Close.
Sau khi tùy chỉnh luật tường lửa, cần áp dụng luật vào thiết bị.
3.4.6. Cấu hình protection domain
Protection domains cho phép định nghĩa các chính sách bảo mật cho các phân
khu mạng khác nhau được giám sát bởi một thiết bị duy nhất. Protection domain hoạt
45
động như các sensor ảo, giống như là ta có vài thiết bị giám sát mạng. Có thể định
nghĩa protection domain theo port, VLAN, hoặc dải địa chỉ IP.
Để sử dụng protection domain, cần phải:
Định nghĩa và áp dụng nhiều protection domain cho thiết bị
Áp dụng nhiều chính sách cho thiết bị, cho phép điều chỉnh phản hồi đối với lưu
thông trên một hoặc nhiều mạng.
Thiết bị luôn sử dụng một chính sách bảo mật global. Có nghĩa là thiết bị luôn
điều khiển các sự kiện bảo mật theo cùng một cách cho tất cả các vùng trên mạng.
Thiết bị luôn dùng chính sách global để điều khiển các sự kiện nếu không định nghĩa
protection domain và chỉnh sửa chính sách sự kiện phù hợp với từng domain.
Sau khi tạo protection domain cần liên kết chúng với các chính sách để có thể
điều khiển được các sự kiện xảy ra trong mạng.
Có thể tạo các chính sách cụ thể cho từng protection domain hoặc có thể dùng
chính sách global cho domain nếu thấy phù hợp.
Thêm protection domain
Vào trang protection domain. Chọn Add và làm tương tự như hình dưới.
Hình 11 – Protection Domain
46
Sau khi tạo protection domain, nó sẽ xuất hiện trong trang security event. Sau đó
có thể thêm các chính sách cho protection domain đó, hoặc copy các sự kiện từ global.
Hình 12 - Protection Domain
3.4.7. Cấu hình cảnh báo
Sử dụng trang Alerts trong Proventia Manager để hiển thị và quản lý hệ thống và
các thông báo liên quan đến bảo mật. Danh sách thông báo gồm các loại thông báo sau:
Intrusion Prevention Alert liên quan đến các nỗ lực tấn công xảy ra trên mạng.
47
System Alert liên quan đến thiết bị và sự hoạt động của nó.
Các biểu tượng thể hiện mức độ nghiêm trọng của thông báo
Hình 13 - Mức độ nghiêm trọng của thông báo
Để hiện thị thông báo
Chọn để hiển thị tất cả thông báo.
Chọn Notification > Alerts cũng hiển thị tất cả thông báo
Chọn Intrusion Prevention > Alerts để hiển thị chỉ các thông báo về bảo mật
Chọn System > Alerts để hiển thị thông báo hệ thống
Hình 14 - Minh họa thông báo
Có thể xem thông tin chi tiết về thông báo bằng cách nhấp chuột vào tên thông
báo. Các thông tin này có thể rất bổ ích cho việc tìm hiểu và khắc phục sự cố.
48
Có thể sử dụng bộ lọc có sẵn để dễ dàng lọc các thông báo cần quan tâm theo các
tiêu chí như Risk Level, Alert Name, Alert Type…
3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS
Khi tấn công xảy ra IPS sẽ thực hiện các hành động đã được cài đặt đồng thời gửi
một thông báo về cuộc tấn công. Thông báo được hiển thị tại màn hình alert của giao
diện web. Ngoài ra, thông báo có thể gửi qua mail cho người quản trị trong trường hợp
cần thiết.
Chúng ta có thể đặt mức độ cho loại tấn công, các mức độ này sẽ được thể hiện
bằng màu trong thông báo Alerts khi phát hiện tấn công (tam giác xanh tương ứng với
mức low, ô vuông vàng tương ứng với medium, tam giác đỏ là high – xem thêm trong
cấu hình cảnh báo). Ta có thể đặt các tùy chọn phản ứng khi phát hiện tấn công như
block để ngăn chặn tấn công xảy ra, log để ghi lại ra một file log, email để gửi mail
thông báo, quarantine để cách ly địa chỉ gây ra tấn công…
3.5.1. Ngăn chặn các hình thức thu thập thông tin
Tường lửa có thể ngăn chặn được một số hình thức thu thập thông tin như ping
(để dò xem hệ thống bảo vệ có tồn tại hay không) bằng cách cấm gói tin ICMP. Có thể
ngăn chặn ftp, telnet, trace route bằng cách cấm cổng. Tuy nhiên hiện nay hacker có
nhiều cách thức để vượt qua những tường lửa thông thường này. Ví dụ thay vì ping,
hacker có thể sử dụng phương pháp gửi gói tin tới một cổng xác định luôn mở của máy
(ví dụ như cổng chạy dịch vụ Net Bios). Thay vì ftp qua cổng mặc định, hacker có thể
sử dụng giao thức đó qua những cổng không thể bị cấm (ví dụ như cổng nhận dns).
Với thiết bị IPS Proventia G200, tất cả những hành động này đều bị phát hiện và có
thể bị ngăn chặn do thiết bị theo dõi một cách tổng quan trên toàn mạng và tra xét theo
từng dấu hiệu, không chỉ khuôn dạng gói tin mà nội dung gói tin hay giao thức gửi nó
cũng được kiểm tra. Do vậy hiện nay hầu như chưa có một cách thức nào để vượt qua
được thiết bị này mà không bị lưu vết.
Hình 15 - Ngăn chặn thu thập thông tin
49
3.5.2. Ngăn chặn tấn công DoS
IPS Proventia G200 Security Events cài đặt sẵn khả năng phòng chống rất nhiều
cách thức tấn công DoS. Để kích hoạt khả năng phòng chống một loại tấn công nào, ta
chỉ cần đánh dấu vào ô textbox ở cột Enable cho các kiểu tấn công tương ứng. Chúng
ta sẽ đánh dấu với tấn công SYN flood.
Chống tấn công SYN flood đã được kích hoạt.
Hình 16 – Đánh dấu cảnh báo SYNFlood
Cơ chế phát hiện và ngăn chặn tấn công SYNFlood.
Dựa trên cách thức hoạt động của tấn công SYNFlood có thể dễ dàng phát hiện
các gói tin SYN mà không có gói biên nhận ACK tương ứng. Có thể khắc phục bằng
cách gửi lại một gói tin RST yêu cầu khởi động lại kết nối. Kết quả là tài nguyên bị
chiếm dụng sẽ được giải phóng.
Với Proventia Network IPS, dấu hiệu một cuộc tấn công SYNFlood được phát
hiện bằng cách giám sát số lượng và tỉ lệ gói SYN mà một server nhận được nhưng lại
không có biên nhận ACK tương ứng. Có thể điều khiển tỉ lệ này sử dụng hai tham số
để định nghĩa số yêu cầu kết nối mới và thời gian timeout.
Cả tấn công SYNFlood và smurf attack (ping sweep) đều được ips phát hiện và
ngăn chặn như trong hình dưới đây.
50
Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep)
3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan
Dựa trên những lưu thông TCP mà phía client của trojan gây ra (ví dụ như yêu
cầu kết nối tới cổng 6666), phía client của trojan này sẽ bị chặn và không thể gửi được
các tín hiệu điều khiển tới cho phía máy bị nhiễm.
Máy kẻ tấn công có thể bị cách ly ra khỏi toàn mạng nếu đặt tùy chọn
quarantine trong cấu hình IPS. Do cơ chế trong suốt của thiết bị IPS, kẻ tấn công
không hề biết tại sao trojan cài bên phía máy nạn nhân không hoạt động.
Hình 18 - Ngăn chặn thâm nhập qua trojan Beast
3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật
Dấu hiệu của việc tấn công này là sử dụng MSRPC Remote Activation Request
hoặc System Activation Request để thực hiện việc tràn bộ đệm. Tiếp đó chiếm quyền
51
điều khiển máy. IPS sẽ dựa vào các gói tin với các yêu cầu như trên để xác định việc
tấn công vào lỗ hổng MSRPC.
Security event của IPS để chống MSRPC RemoteActive
Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo
IPS nhận dạng tấn công MSRPC RemoteActive
Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive
3.6. TRIỂN KHAI THỰC TẾ
Những công việc cần thực hiện khi triển khai hệ thống phát hiện và ngăn chặn
thâm nhập trên hệ thống mạng VNUnet
• Phân tích những yêu cầu bảo vệ dựa trên hệ thống mạng hiện tại
• Đưa ra sơ đồ triển khai.
• Cài đặt và lắp đặt thiết bị.
• Cấu hình thiết bị với những yêu cầu của hệ thống mạng.
• Kiểm tra hoạt động của hệ thống bảo vệ.
• Thực tế hoạt động của hệ thống.
52
Phân tích mô hình mạng hiện tại và đưa ra sơ đồ triển khai
Hình 21 – Mô hình mạng VNUnet
Vùng mạng bên trong VNUnet, bao gồm
máy của giảng viên, máy của cán bộ trường,
máy thực hành của sinh viên được bảo vệ bằng
cơ chế NAT và tường lửa CheckPoint (triển
khai cùng thời gian với hệ thống IDS/IPS) nên
khó có khả năng bị tấn công. Hơn nữa nếu để
thiết bị IPS bảo vệ tất cả các vùng mạng này thì
thiết bị sẽ bị quá tải hoặc chi phí để mua thiết
bị mới cũng như triển khai hệ thống sẽ lớn. Vì
vậy, biện pháp tốt nhất là triển khai thiết bị IPS
Proventia G200 bảo vệ vùng vành đai DMZ nơi
chứa những máy chủ dịch vụ, có địa chỉ IP thật
và dễ bị tấn công phá hoại.
Trong thực tế, một số tấn công có thể bị chặn bằng tường lửa, đặc biệt là những
tường lửa chuyên dụng như CheckPoint. Tường lửa này cũng tích hợp một hệ thống
IPS hoạt động trên cơ chế anormal detection. Vì vậy, nếu thiết bị IPS Proventia G200
được đặt sau tường lửa thì khối lượng xử lý sẽ giảm.
53
Hiện tại, mạng VNUnet có 3 đường ra Internet với 2 router hoạt động, để hoạt
động cân bằng tải, ta có thể sử dụng 2 thiết bị IPS Proventia G200 đặt giữa router và
DMZ theo sơ đồ sau.
Hình 22 – Sơ đồ triển khai IPS
Lắp đặt thiết bị
• Cài đặt hệ điều hành
• Đưa thiết bị lên giá
• Nối thiết bị qua cổng điều khiển với TTMT
Cài đặt hệ thống
Khi triển khai cần chú ý tới tính sẵn sàng của hệ thống mạng, phải đảm bảo hệ
thống dịch vụ vẫn hoạt động ổn định trong khi triển khai. Ngoài ra, cần làm công việc
backup hệ thống trước khi triển khai.
Một yếu tố khác cần tính tới khi triển khai là độ trễ của gói tin do bị kiểm tra
bằng thiết bị IPS. Việc này sẽ làm tăng độ trễ của các dịch vụ cần thiết trong hệ thống
mạng như web, mail, …. Vấn đề này có thể giải quyết bằng cách loại bỏ các dấu hiệu
nhận biết lỗi thời, không phù hợp và không có khả năng bị khai thác. Ví dụ như hệ
thống Web của VNUnet sử dụng máy chủ linux, máy chủ này không có khả năng bị
tấn công theo các lỗi của hệ điều hành Windows, hoặc những lỗi đã được khắc phục từ
lâu như ping of death thì cũng bỏ qua không cần xem xét nữa.
Tổng số dấu hiệu nhận biết trong cơ sở dữ liệu của thiết bị IPS là 2375 mục.
Trong đó có 2007 dấu hiệu tấn công và 368 dấu hiệu thăm dò thông tin. Số các dấu
hiệu mặc định bị chặn đã đặt sẵn là 1181 dấu hiệu tấn công và 0 dấu hiệu thăm dò.
Internet T.B cân bằng tải
Router
Router
CPnet
ISP A Vùng vành
đai DMZ
Firewall
IPS, VPN
Firewall
IPS, VPN
VINAren
TEIN2
ISP B
54
Trong các máy dịch vụ có một máy sử dụng hệ điều hành windows server 2003, vì vậy
thiết lập một miền bảo vệ riêng áp dụng tập dấu hiệu mặc định cho máy chủ này.
Những máy chủ khác sử dụng tập dấu hiệu dành cho linux trong đó lược bớt những
dấu hiệu tấn công và thăm dò của windows và dịch vụ chạy trên đó. Tập này gồm
1092 dấu hiệu tấn công, 0 dấu hiệu thăm dò. Các dấu hiệu thăm dò không bị chặn
nhưng vẫn gây ra cảnh báo trong hệ thống. Việc thêm bớt các dấu hiệu khác có thể
thực hiện sau này khi có yêu cầu thực tế.
Một vấn đề nữa khi triển khai là xem xét đến việc cảnh báo tức thời của thiết bị
với người quản trị. Do người quản trị không thể xem cảnh báo liên tục vì vậy cần đặt
cảnh báo theo email để phát hiện và ngăn chặn các hành động chỉ gây nên cảnh báo mà
không tự động chặn một cách nhanh nhất. Việc này giúp hệ thống được bảo vệ một
cách tốt hơn. Cấu hình ban đầu là tất cả các dấu hiệu thăm dò đều được cảnh báo qua
email. Cùng với đó, những tấn công ở mức độ critical (nghiêm trọng) cũng cần được
cảnh báo để có biện pháp xử lý lần sau. Ngoài ra, tất cả những thay đổi liên quan tới
thiết bị cũng cần được thông báo qua mail để tránh khả năng có người đột nhập vào
thiết bị.
Các cấu hình khác liên quan đặc biệt đến hệ thống mạng sẽ do cán bộ của TTMT
thực hiện.
Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT
55
Kiểm tra hoạt động của hệ thống
Sau khi cấu hình thiết bị theo yêu cầu xác định, backup các máy chủ dịch vụ, ta
nối cáp mạng tới 2 cổng A và B của 2 thiết bị IPS (đây là 2 cổng giám sát) theo sơ đồ
đã nói ở trên. Mô hình mạng sau khi kết nối thiết bị IPS và checkpoint như sau.
Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS
Sau khi lắp đặt hệ thống IPS như theo mô hình, các máy chủ dịch vụ vẫn hoạt
động bình thường. Các dịch vụ mạng gần như không bị ảnh hưởng gì.
56
Khi thử nghiệm các thăm dò đơn giản, hệ thống đều gửi mail cho người quản trị
như đã cấu hình. Các tấn công đơn giản đều bị chặn bởi hai lớp bảo vệ là tường lửa
CheckPoint và hệ thống IDS/IPS. Các tấn công nghiêm trọng hơn chưa được thử
nghiệm do tính an toàn của hệ thống dịch vụ.
Hình 25 - Hệ thống IPS gửi mail cho người quản trị
Thực tế hoạt động của hệ thống
Sau ngày đầu tiên lắp đặt hệ thống, có tới hàng ngàn cảnh báo được sinh ra trong
giao diện web của thiết bị IPS, phần nhiều trong số đó là những dò quét hệ thống (TCP
port scan, ping sweep, …). Đặc biệt có một tấn công dạng critical theo dấu hiệu
SQL_SSRP_Slammer_Worm. Hầu hết tất cả những cảnh báo này đều được gửi qua
email tới người quản trị hệ thống.
Như vậy số email sinh ra trong thực tế là quá nhiều. Việc này dẫn đến việc phải
thay đổi cấu hình sinh cảnh báo. Cấu hình mới sẽ chỉ cảnh báo khi có những dấu hiệu
tấn công critical (nghiêm trọng), các dấu hiệu dò quét sẽ chỉ cảnh báo 6 tiếng một lần.
57
Hình 26 - Các dò quét và tấn công thực tế
58
CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH
HƯỚNG NGHIÊN CỨU TƯƠNG LAI
4.1. KẾT QUẢ ĐẠT ĐƯỢC
Thông qua nghiên cứu và triển khai hệ thống IDS/IPS, em đã nhận thức được
tình hình an ninh mạng hiện nay và những yêu cầu cần thiết để thiết lập và duy trì một
hệ thống mạng an toàn. Bằng cách tìm hiểu các tài liệu liên quan, tham khảo ý kiến các
chuyên gia và thực hành, em đã nắm vững được các kiến thức cơ sở và thử nghiệm
được các tấn công thâm nhập một hệ thống.
Hiểu được công nghệ thế giới sử dụng để ngăn chặn các hiểm họa an ninh mạng
hiện nay, em đã cài đặt và sử dụng thành thạo một thiết bị chuyên dụng về công nghệ
đó trong thời gian làm khóa luận.
Với một vấn đề khá mới, em đã xác định được những khó khăn và hướng giải
quyết khi triển khai hệ thống ngăn chặn thâm nhập trên một hệ thống mạng lớn như
mạng của trường đại học. Thực tế, hệ thống này đã được triển khai thử nghiệm trên mô
hình mạng trường Đại học Quốc gia Hà Nội.
Nhận xét và đánh giá
Sau khi nghiên cứu tìm hiểu công nghệ phòng chống thâm nhập của ISS qua một
trong những dòng thiết bị điển hình của IBM Proventia G, em nhận thấy thiết bị này có
khả năng ngăn chặn được hầu hết các tấn công trong tấm hiểu biết của các hacker bình
thường hiện nay.
Do hoạt động ở tầng ứng dụng và kiểm soát nội dung gói tin, thiết bị này có khả
năng ngăn chặn tấn công tốt hơn nhiều so với tường lửa đơn thuần. Thiết bị này có khả
năng cập nhật các dấu hiệu tấn công mới do X-Force nghiên cứu, vì vậy nó có khả
năng ngăn chặn được các hình thức tấn công mới. Ngoài ra, nếu người quản trị hiểu
biết sâu rộng về các cách thức tấn công và điểm yếu trong mạng thì họ có thể thiết lập
các dấu hiệu riêng cho mạng của mình và mạng đó chắc chắn sẽ khó có thể bị thâm
nhập trái phép.
4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI
Thông qua kết quả nghiên cứu về các nguy cơ đe dọa mạng và các điểm yếu an
ninh mạng, em nhận thấy việc đảm bảo an ninh mạng ngày nay là một vấn đề cần thiết
song cũng khá khó khăn.
Sau khi hoàn thành khóa luận, em mong muốn tiếp tục nghiên cứu chi tiết hơn về
các tấn công mạng một cách có hệ thống (hoặc một cách toàn diện hơn), cũng như các
biện pháp bảo đảm an ninh mạng có hiệu quả cao hơn. Ví dụ, tìm hiểu về cách thức
59
phát hiện ra một lỗ hổng trong một hệ thống, đồng thời nghiên cứu cách thức phòng
tránh các lỗ hổng đó trước khi kẻ tấn công lợi dụng được nó.
Kết quả nghiên cứu của khoá luận này sẽ giúp định hướng các nghiên cứu sâu
hơn về an ninh mạng trong các môi trường và hệ thống mạng khác sau này.
60
PHỤ LỤC A
Báo cáo an ninh năm 2007
Tháng 9/2007, đội nghiên cứu an ninh X-Force của ISS đã nghiên cứu và phân
loại được 4.256 điểm yếu an ninh. Như vậy, so với năm 2006 số lượng các điểm yếu
an ninh đã tăng 25,8 % (3.384).
Trong số các hành vi lợi dụng điểm yếu an ninh thì các hành vi nhằm vượt qua
tường lửa, proxy, hệ thống phát hiện xâm nhập, hệ thống quét virus... để truy cập được
vào hệ thống và hành vi tấn công từ chối dịch vụ có sự thay đổi rõ nét theo từng tháng.
Hình 27 – Các hành vi khai thác điểm yếu an ninh
Các điểm yếu an ninh nghiêm trọng
Trong 9 tháng đầu năm 2007, X-Force đã đưa ra rất nhiều cảnh báo về các điểm yếu an
ninh nghiêm trọng của các nhà cung cấp các sản phẩm như Microsoft, Apple, Adobe,
VMWare... Điển hình là những điểm yếu an ninh trong các PM Internet Explorer,
Micrsoft Outlook, Windows DNS Server RPC của Microsoft.
61
Hình 28 - Xu hướng phishing sắp tới
Các báo cáo về Spam và Phishing
Theo X-Force, nước Mỹ chiếm hơn 1/8 lượng spam toàn cầu, còn Tây Ban Nha chiếm
tỷ lệ email phishing lớn nhất. Mỹ cũng là nước dẫn đầu về các trang web được trỏ tới
từ các liên kết nằm trong spam và email phishing, chiếm tỷ lệ hơn 1/3.
62
Các phân tích về nội dung web
Qua việc phân tích 150 triệu trang web và hình
ảnh mới mỗi tháng (hơn 6,9 tỉ trang web và hình
ảnh từ năm 1999), X-Force đã phân thành 62 danh
mục với hơn 80 triệu thành phần và bổ sung, cập
nhật 100.000 thành phần mỗi ngày. Kết quả cho
thấy hơn 10% các nội dung của web là các thông
tin khiêu dâm, bạo lực, ma túy.... Mỹ lại là nước
có tỷ lệ các trang web chứa các nội dung không
mong muốn như bạo lực và tội phạm, khiêu dâm,
tội phạm máy tính, ma túy... lớn nhất.
Các báo cáo phát hiện PM độc hại (malware)
Trong 9 tháng đầu năm 2007, X-Force đã thu thập
và đưa vào cơ sở dữ liệu phòng chống virus, chống
spyware và chống các PM độc hại tổng cộng
677.65 mẫu mới. Trong số các PM độc hại, Trojan
chiếm tỷ lệ lớn nhất.
Nhà cung cấp Tỷ lệ điểm yếu
Microsoft 4,2%
Apple 3,0%
Oracle 2,0%
Cisco 1,9%
Sun 1,5%
IBM 1,3%
Mozilla 1,3%
XOOPS 1,2%
BEA 1,1%
Linux Kernel 0,9%
63
PHỤ LỤC B
Báo cáo an ninh năm 2008
Theo báo cáo về các mối đe dọa bảo mật mạng (ISTR) thứ 14 của hãng Symantec
năm 2008, các hoạt động tấn công mạng trên thế giới tiếp tục phát triển ở mức kỷ lục,
chủ yếu nhắm tới những thông tin quan trọng từ máy tính của người dùng.
Symantec đã tạo ra hơn 1,6 triệu mẫu chữ ký về các loại mã độc mới trong năm
2008, tương đương với hơn 60% tổng số mẫu chữ ký mà Symantec đã từng tạo ra từ
trước đến nay - một phản ứng đối với sự tăng trưởng mạnh về số lượng cũng như sự
phong phú, đa dạng của những mối đe doạ nguy hại mới.
Bản báo cáo cũng cho thấy duyệt web vẫn là một trong những nguyên nhân chủ
đạo gây ra những phát tán và lây nhiễm virus trên mạng trong năm 2008. Hacker ngày
nay tận dụng ngày càng nhiều những công cụ sinh mã độc hại khác nhau để phát triển
và phát tán những mối đe doạ của chúng.
Nền kinh tế ngầm ngày càng hoạt động phức tạp
Dựa trên số liệu của Bản báo cáo về nền kinh tế ngầm mới nhất, Symantec cho
biết có một nền kinh tế ngầm với cơ cấu tổ chức tinh vi chuyên buôn bán những thông
tin quan trọng bị đánh cắp, đặc biệt là thông tin về thẻ tín dụng và thông tin về tài
khoản ngân hàng.
Nền kinh tế ngầm này đang bùng nổ, một điều minh chứng là trong khi giá thành
sản phẩm ở những thị trường hợp pháp đang suy giảm thì giá thành sản phẩm ở thế
giới ngầm vẫn không đổi từ năm 2007 đến cuối năm 2008.
Báo cáo cũng cho thấy những kẻ viết mã độc luôn thay đổi để chống lại những
nỗ lực ngăn chặn các hành vi của chúng. Chẳng hạn như, việc đánh sập 2 hệ thống
hosting mạng ma (botnet) đặt tại Mỹ đã góp phần làm giảm đáng kể các hoạt động
botnet chủ động kể từ tháng 9 đến tháng 11 năm 2008; tuy nhiên, những kẻ vận hành
botnet đã tìm ra những địa chỉ Web hosting thay thế và sự lây nhiễm botnet lại nở rộ,
trở lại ngưỡng trước khi bị đánh sập một cách nhanh chóng.
Ứng dụng web, nguồn gốc của lỗ hổng bảo mật
Theo Symantec, những nền tảng ứng dụng Web lại thường là những nguồn gốc
của những lỗ hổng bảo mật. Những sản phẩm phần mềm được xây dựng sẵn này được
thiết kế nhằm giúp đơn giản hoá việc triển khai những Website mới và được sử dụng
rộng rãi trên Internet. Nhiều trong số những nền tảng này không có chức năng bảo mật,
và một hệ quả tất yếu là chúng tiềm ẩn rất nhiều lỗ hổng và trở nên rất dễ bị xâm hại
bởi các tấn công mạng.
Trong số những lỗ hổng bảo mật được xác định trong năm 2008, có đến 63% là
các ứng dụng web bị lây nhiễm, tăng so với con số 59% của năm 2007. Trong số
64
12.885 lỗ hổng về mã lệnh liên kết chéo của báo cáo năm 2008 thì chỉ có 3% (394 lỗ
hổng) đã được khắc phục tại thời điểm báo cáo này được viết ra.
Báo cáo cũng chỉ ra rằng những tấn công trên Web phát sinh từ nhiều quốc gia
trên thế giới mà trong đó Mỹ dẫn đầu (38%), sau đó là Trung Quốc (13%) và Ucraina
(12%). Sáu trong số 10 quốc gia dẫn đầu về tấn công trên web là các nước trong khu
vực Châu Âu, Trung Đông và Châu Phi, những quốc gia này có tỷ lệ tấn công trên web
chiếm tới 45% so với con số toàn cầu, nhiều hơn các khu vực khác.
Lừa đảo qua mạng và nạn thư rác tiếp tục gia tăng
Báo cáo cho hay nạn lừa đảo qua mạng tiếp tục phát triển. Trong năm 2008,
55.389 máy chủ đặt website lừa đảo, tăng 66% so với con số 33.428 của năm 2007.
Những vụ lừa đảo liên quan đến các dịch vụ tài chính chiếm tới 76% các vụ lừa đảo
năm 2008, tăng mạnh so với con số 52% năm 2007.
Symantec cũng cho biết, số lượng thư rác trong thời gian trở lại đây lại tiếp tục
tăng mạnh. Trong năm vừa qua, Symantec đã theo dõi sự tăng trưởng của thư rác là
192% trên toàn mạng Internet, con số này tăng từ 119.6 tỷ tin nhắn (năm 2007) lên tới
349.6 tỷ trong năm 2008. Năm 2008, các mạng botnet thực hiện việc phát tán tới
khoảng 90% tất cả thư rác.
65
PHỤ LỤC C
Các kiểu tấn công DoS
Smurf attack là một biến thể riêng của tấn công ngập lụt trên mạng Internet
công cộng. Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch
đại. Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo
cho toàn bộ mạng (broadcast). Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP
reply cho máy tính mà hacker muốn tấn công. Kết quả là máy tính này sẽ không thể xử
lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy.
Hình 29 - Minh họa smurf attack
Ping flood là tấn công bằng cách gửi tràn ngập các gói tin ICMP tới máy bị tấn
công sử dụng câu lệnh ping với tham số -t. Đây là kiểu tấn công rất đơn giản nhưng
đòi hỏi máy tấn công phải truy cập vào một băng thông lớn hơn băng thông của máy
cần tấn công.
SYN flood lợi dụng cách thức hoạt động của kết nối TCP/IP. Khi một máy khách
bắt đầu một kết nối TCP tới máy chủ, phải trải qua quá trình bắt tay ba bước.
• Máy khách gửi một TCP SYN packet đến cổng dịch vụ của máy chủ.
• Máy chủ sẽ phản hồi lại máy khách bằng 1 SYN/ACK Packet và chờ nhận một
1 ACK packet từ phía máy khách.
• Máy khách phản hồi lại máy chủ bằng một ACK Packet và việc kết nối hòan tất,
máy khách và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.
66
Hình 30 - Minh họa tấn công SYNFlood
Sau khi thực hiện xong bước hai, máy chủ phải chờ nhận gói ACK từ máy khách.
Do đó nó cần phải tiêu tốn một lượng tài nguyên để thực hiện công việc này cho đến
khi nhận được gói ACK hoặc hết một thời gian timeout. Tấn công SYN flood sẽ lợi
dụng điều đó bằng cách gửi liên tiếp nhiều gói TCP SYN yêu cầu kết nối đến máy chủ,
nhưng sau đó sẽ ko gửi trả lại gói ACK cho máy chủ. Khi số lượng yêu cầu kết nối quá
nhiều, đến một lúc nào đó, máy chủ sẽ bị quá tải và không thể phục vụ các kết nối
khác được nữa gây ra hiện tượng từ chối dịch vụ.
Kẻ tấn công có thể sử dụng hai phương thức để tạo nên một cuộc tấn công SYN
flood. Thứ nhất là bỏ qua bước cuối cùng, tức là không gửi gói tin ACK lại máy chủ.
Cách thứ hai là giả mạo địa chỉ IP nguồn trong gói SYN làm cho server gửi lại gói
SYN-ACK đến sai địa chỉ, do đó sẽ không nhận được gói ACK trả lời.
Kiểu tấn công Land Attack
Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng hacker sử dụng
chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy
mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó.
Kiểu tấn công UDP flood
Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính
mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng. Với mục tiêu sử dụng
cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính
(hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho
2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia
sẻ tài nguyên mạng của các máy tính khác trong mạng.
Tấn công kiểu Tear Drop
67
Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói
tin có một giá trị offset riêng và có thể truyền đi theo nhiều con đường khác nhau để
tới đích. Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại
như ban đầu. Lợi dụng điều này, hacker có thể tạo ra nhiều gói tin có giá trị offset
trùng lặp nhau gửi đến mục tiêu muốn tấn công. Kết quả là máy tính đích không thể
sắp xếp được những gói tin này và dẫn tới bị treo máy vì bị "vắt kiệt" khả năng xử lý.
68
PHỤ LỤC D
Phân loại lỗ hổng bảo mật
Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt. Theo
cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống
được chia như sau:
• Lỗ hổng loại C: các lỗ hổng loại này cho phép thực hiện các phương thức tấn
công theo DoS (Dinal of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp,
chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống;
không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp
• Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ
thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung
bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể
dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
• Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy
nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy
toàn bộ hệ thống.
Sau đây sẽ phân tích một số lỗ hổng bảo mật thường xuất hiện trên mạng và hệ
thống
Các lỗ hổng loại C:
Các lỗ hổng loại này cho phép thực hiện các cuộc tấn công DoS.
DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao
thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp
pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server
trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp
ứng chậm hoặc không thể đáp ứng các yêu cầu từ client gửi tới.
Các dịch vụ có chứa đựng lỗ hổng cho phép thực hiện các cuộc tấn công DoS có
thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp
dịch vụ. Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ hổng loại
này vì bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng và bộ giao thức
TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng này.
Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy
hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian
mà không làm nguy hại đến dữ liệu và người tấn công cũng không đạt được quyền truy
nhập bất hợp pháp vào hệ thống.
Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho
phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ yếu với
69
hình thức tấn công này là sử dụng dịch vụ Web. Giả sử: trên một Web Server có
những trang Web trong đó có chứa các đoạn mã Java hoặc JavaScripts, làm "treo" hệ
thống của người sử dụng trình duyệt Web của Netscape bằng các bước sau:
• Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape
Nếu sử dụng Netscape, sẽ tạo một vòng lặp vô thời hạn, sinh ra vô số các cửa sổ,
trong mỗi cửa sổ đó nối đến các Web Server khác nhau.
Với một hình thức tấn công đơn giản này, có thể làm treo hệ thống. Đây cùng là
một hình thức tấn công kiểu DoS. Người sử dụng trong trường hợp này chỉ có
thể khởi động lại hệ thống.
• Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không
xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các hành động
spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là
lưu và chuyển tiếp; một số hệ thống mail không có các xác thực khi người dùng
gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail
này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch vụ mail
của hệ thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ
không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm những địa chỉ
không có thực dẫn đến tình trạng ngưng trệ dịch vụ. Số lượng các messages có
thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet.
Các lỗ hổng loại B:
Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử
dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp.
Những lỗ hổng loại này thường xuất hiện trong các dịch vụ trên hệ thống. Người
sử dụng local được hiểu là người đã có quyền truy nhập vào hệ thống với một số
quyền hạn nhất định.
Sau đây sẽ phân tích một số lỗ hổng loại B thường xuất hiện trong các ứng dụng
Sendmail:
Sendmail là một chương trình được sử dụng rất phổ biến trên hệ thống UNIX để
thực hiện gửi thư điện tử cho những người sử dụng trong nội bộ mạng. Thông thường,
sendmail là một daemon chạy ở chế độ nền được kích hoạt khi khởi động hệ thống.
Trong trạng thái, hoạt động, sendmail mở port 25 đợi một yêu cầu tới sẽ thực hiện gửi
hoặc chuyển tiếp thư.
Sendmail khi được kích hoạt sẽ chạy dưới quyền root hoặc quyền tương ứng (vì
liên quan đến các hành động tạo file và ghi log file). Lợi dụng đặc điểm này và một số
lỗ hổng trong các đoạn mã của sendmail, mà các đối tượng tấn công có thể dùng
sendmail để đạt được quyền root trên hệ thống.
Để khắc phục lỗi của sendmail cần tham gia các nhóm tin về bảo mật; vì
sendmail là chương trình có khá nhiều lỗi; nhưng cũng có nhiều người sử dụng nên các
lỗ hổng bảo mật thường được phát hiện và khắc phục nhanh chóng. Khi phát hiện lỗ
hổng trong sendmail cần nâng cấp, thay thế phiên bản sendmail đang sử dụng.
70
Một loạt các vấn đề khác về quyền sử dụng chương trình trên UNIX cũng thường
gây nên các lỗ hổng loại B. Vì trên hệ thống UNIX, một chương trình có thể được thực
thi với 2 khả năng:
• Người chủ sở hữu chương trình đó kích hoạt chạy
• Người mang quyền của người chủ sở hữu chủ nhân của file đó
Các loại lỗ hổng loại B khác:
• Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình có mã nguồn
viết bằng C. Những chương trình viết bằng C thường sử dụng một vùng đệm -
là một vùng trong bộ nhớ sử dụng để lưu dữ liệu trước khi xử lý. Những người
lập trình thường sử dụng vùng đệm trong bộ nhớ trước khi gán một khoảng
không gian bộ nhớ cho từng khối dữ liệu. Ví dụ, người sử dụng viết chương
trình nhập trường tên người sử dụng; qui định trường này dài 20 ký tự. Do đó
họ sẽ khai báo:
char first_name [20];
• Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự. Khi nhập
dữ liệu, trước tiên dữ liệu được lưu ở vùng đệm; nếu người sử dụng nhập vào
35 ký tự; sẽ xảy ra hiện tượng tràn vùng đệm và kết quả 15 ký tự dư thừa sẽ
nằm ở một vị trí không kiểm soát được trong bộ nhớ. Đối với những người tấn
công, có thể lợi dụng lỗ hổng này để nhập vào những ký tự đặc biệt, để thực thi
một số lệnh đặc biệt trên hệ thống. Thông thường, lỗ hổng này thường được lợi
dụng bởi những người sử dụng trên hệ thống để đạt được quyền root không hợp
lệ.
• Việc kiểm soát chặt chẽ cấu hình hệ thống và các chương trình sẽ hạn chế được
các lỗ hổng loại B.
Các lỗ hổng loại A:
Các lỗ hổng loại A có mức độ rất nguy hiểm; đe dọa tính toàn vẹn và bảo mật
của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu
kém hoặc không kiểm soát được cấu hình mạng.
Một ví dụ thường thấy là trên nhiều hệ thống sử dụng Web Server là Apache, Đối
với Web Server này thường cấu hình thư mục mặc định để chạy các scripts là cgi-bin;
trong đó có một Scripts được viết sẵn để thử hoạt động của apache là test-cgi. Đối với
các phiên bản cũ của Apache (trước version 1.1), có dòng sau trong file test-cgi:
echo QUERY_STRING = $QUERY_STRING
Biến môi trường QUERY_STRING do không được đặt trong có dấu " (quote)
nên khi phía client thưc hiện một yêu cầu trong đó chuỗi ký tự gửi đến gồm một số ký
tự đặc biệt; ví dụ ký tự "*", web server sẽ trả về nội dung của toàn bộ thư mục hiện
thời (là các thư mục chứa các scipts cgi). Người sử dụng có thể nhìn thấy toàn bộ nội
dung các file trong thư mục hiện thời trên hệ thống server.
71
Một ví dụ khác cũng xảy ra tương tự đối với các Web server chạy trên hệ điều
hành Novell; Các web server này có một scripts là convert.bas, chạy scripts này cho
phép đọc toàn bộ nội dung các files trên hệ thống.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm
sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể
bỏ qua những điểm yếu này.
Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông báo của các
nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này. Một loạt các
chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A như: FTP, Gopher,
Telnet, Sendmail, ARP, finger...
72
PHỤ LỤC E
Khái quát về hiện trạng VNUNet
Mô hình tổ chức
Đại học quốc gia Hà Nội có tổng cộng 28 đơn vị với 2.503 cán bộ và 23.628 sinh
viên, học viên các hệ tập trung (26.131 cán bộ và học viên, sinh viên các hệ tập trung),
26.000 sinh viên các hệ không tập trung.
Gần như 100% cán bộ đã có máy tính làm việc. Số lượng máy tính trong các
phòng thí nghiệm và phòng thực hành phục vụ công tác giảng dạy và trong các ký túc
xá có khoảng 1.500 chiếc, tổng cộng hiện có khoảng 4.000 máy tính kết nối vào
VNunet.
Tỷ lệ sinh viên có máy tính ở nhà ước tính khoảng 20%, số lượng sinh viên có
các thiết bị xử lý thông tin di động hiện còn rất thấp, chỉ khoảng 2%, các thiết bị di
động hiện chưa có khả năng kết nối di động vào VNUnet.
Cơ sở hạ tầng truyền thông của VNUNet
• Hệ thống cáp quang: hiện đã có các đường kết nối từ điểm trung tâm tới
o Các đơn vị tại 144 Xuân Thuỷ: Cơ quan ĐHQGHN, Trường ĐHNN,
Trường ĐHCN, Trường ĐHKT, Khoa Quản trị kinh doanh, Trung tâm
Thông tin Thư viện.
o Các đơn vị tại 334-336 Nguyễn Trãi: Trường ĐHKHTN, Trường
ĐHKHXH-NV
o Ký túc xá Mễ trì
• Mở rộng hệ thống cáp quang nói trên là hệ thống các đường kết nối bằng cáp
đồng đến hầu khắp các đơn vị của ĐHQGHN.
• Bốn địa điểm, năm đơn vị chưa được kết nối vào VNUnet gồm có
o Địa điểm 19 Lê Thánh Tông: Khoa Hóa.
o Địa điểm 16 Hàng Chuối: Nhà xuất bản, Nhà in.
o Khoa Quốc tế
o Ban Quản lý dự án Hoà Lạc tại Hoà Lạc.
• Các đường kết nối ra bên ngoài
o Lease line 10 Mbps tới Viettel vào Internet
o Lease line 100 Mbps tới Netnam vào VINAren – mạng khoa học giáo
dục Việt Nam và qua đó vào TEIN2, APAN.
o Lease line tới mạng hành chính của chính phủ (chưa hoạt động).
73
• Hệ thống thiết bị ghép nối
Tại điểm tập trung của VNUnet có
o Cisco Router 2800.
o Switch trung tâm Catalyst 4507 (2005) với 8 cổng quang và 48 cổng
Giga Ethernet RJ45.
o Switch phân đoạn Catalyst 2950, 4 chiếc (2003), Catalyst 1900, 2 chiếc
(2001).
o Fire wall Cisco Pix 515e (2001, hỏng).
• Kiến trúc ghép nối
o Hệ thống truyền thông được xây dựng theo kiến trúc Ethernet, ở mức
mỗi đơn vị thành viên, trực thuộc là một subnet/VLAN, sử dụng
không gian địa chỉ IP giả lập (10.0.0.0 và 172.16.0.0). Các kết nối ra
bên ngoài với tên miền vnu.edu.vn và vnu.vn được thực hiện qua một
số lượng IP được cấp phát hạn chế (32 địa chỉ).
o Tại các đơn vị thành viên, trực thuộc, việc phân chia subnet/VLAN mới
chỉ được thực hiện ở Trường ĐHCN, chưa được thực hiện ở tất cả các
đơn vị còn lại, vì vậy mỗi đơn vị, dù lớn, dù nhỏ đều là một miền
broadcast, với tỷ lệ các gói tin broadcast rất lớn, tỷ lệ truyền tin hữu ích
rất thấp (chỉ xung quanh 30%). Hơn nữa chất lượng thi công và quản lý
kết nối cả ở mức logic và vật lý đều không được quan tâm nên tỷ lệ lỗi
thực tế rất cao; làm giảm sút nghiêm trọng hiệu suất hoạt động của hệ
thống – gây nên lãng phí không nhỏ các đầu tư của ĐHQGHN. Một số
đơn vị đã tự thực hiện các kết nối ra bên ngoài qua ADSL, đặt website ra
ngoài.
74
Hình 31 - Sơ đồ kết nối logic
Hệ thống các server các dịch vụ
Hệ thống server hiện tại có 15 chiếc, trong đó có 12 chiếc được trang bị năm
2004, một chiếc có 2 GB, 11 chiếc có 1 GB RAM, số còn lại đã được trang bị từ năm
2000. Dung lượng đĩa cứng lưu trữ rất hạn chế, chỉ một server có đĩa cứng dung lượng
150 GB, số còn lại chỉ có tối đa 80 GB.
VNU hiện cung cấp các dịch vụ:
Tài khoản truy cập Internet cho khoảng 3000 tài khoản là cán bộ, giảng viên của
ĐHQGHN.
Thư tín điện tử cho cán bộ, giảng viên của ĐHQGHN với dung lượng hộp thư rất
hạn chế, chỉ 10MB/account.
Dịch vụ văn thư điện tử cho Cơ quan ĐHQGHN.
Duy trì kỹ thuật hoạt động của Website ĐHQGHN và Website của ba khoa trực
thuộc là: khoa sau đại học, khoa Sư phạm, khoa Quốc tế.
Từ những số liệu thống kê trên, ta có thể thấy ĐHQGHN là một tổ chức đại học
quy mô trung bình bao gồm nhiều đơn vị thành viên và trực thuộc, với nhiều campus
phân bố trên diện tích khá rộng trong nội thành thủ đô Hà Nội. Một trong trong những
Router
3600
INTERNET TEIN2 VINAren
CPNET
112
Catalyst
2950
Catalyst
4507
203.113.130.192/27
172.16.0.0/16
Đ
H
N
go
ại
n
gữ
Đ
H
K
in
h
tế
,
K
ho
a
Lu
ật
,
V
iệ
n
C
N
S
H
V
ện
C
N
TT
Đ
H
K
H
TN
Đ
H
K
H
X
H
-N
V
Th
ư
v
iệ
n
TĐ
K
TX
M
ễ
Tr
ì
K
ho
a
Q
TK
D
TT
PT
H
ệ
th
ốn
g,
K
ho
a
S
P,
K
ho
a
S
Đ
H
V
P
Đ
H
Q
G
H
N
TRƯỜNG
ĐH CÔNG
NGHỆ Với
hệ thống
thiết bị
ghép nối
mạng riêng Tr
un
g
tâ
m
T
TT
V
10.1.0.0/16 10.10.0.0/16
Cáp quang
TT
Đ
ào
t
ạo
t
ừ
x
a
Proxy Web Mail
75
thế mạnh, cũng là tiêu chí xây dựng phát triển ĐHQGHN chính là việc xác lập những
cơ chế mới để tập hợp và cùng chia sẻ hiệu quả các tài nguyên tri thức, con người, ...
từ những đơn vị thành viên và trực thuộc.
VNUnet có ý nghĩa quan trọng trong ĐHQGHN, như là giải pháp ICT tất yếu cần
có không những trong việc tổ chức tập hợp và chia sẻ các tài nguyên trong môi trường
ĐHQGHN mà còn là tổ chức cung cấp các dịch vụ hữu ích của ĐHQGHN cho các đơn
vị thành viên, trực thuộc; Một thể hiện vai trò cũng như ý nghĩa của mô hình
ĐHQGHN.
Hiện trạng mạng CTNet
Trường Đại học Công nghệ hiện triển khai các hoạt động của mình trên mặt bằng
rộng gồm 4 địa điểm cách xa nhau từ 3 đến 5 km, trong đó địa điểm tại 144 Xuân
Thủy là địa điểm chính, một địa điểm khác có các phòng máy thực hành và truy cập
Internet của sinh viên cách xa 5 km.
Sơ đồ mặt bằng tại địa điểm chính gồm các tòa nhà E3, E4, G2, G3, G2B, G5 và
G6 được trình bày trên hình vẽ. Trong năm 2007, được sự cho phép của ĐHQGHN,
Trường ĐHCN đang triển khai kế hoạch xây dựng nâng tầng nhà G2 để có thêm 1000
m2 mặt bằng để chuyển dần sinh viên về học tại khu vực 144 Xuân Thủy, trong đó
định hướng ưu tiên cho hệ đào tạo chất lượng cao và chương trình đào tạo trình độ
quốc tế.
Mô hình tổ chức
Hình 32 – Mô hình tổ chức
Hệ thống hiện có 01 Swicth trung tâm Catalyst 6509 đặt trung tâm máy tinh
tầng 1 nhà G2B. Từ đây có các đường cáp UTP đến wallplace tại từng phòng (của
Khoa Công nghệ cũ; khi thành lập Trường ĐHCN, các phòng này đã được thay đổi
thiết kế, thay đổi đơn vị sử dụng, những điều chỉnh, nối tiếp thêm không quản lý được).
Kết nối từ mỗi phòng đến máy tính được thực hiện qua các HUB.
Switch
Các phòng làm việc và
phòng máy tính trong tòa
nhà E3
Các phòng làm việc và
phòng máy tính trong tòa
nhà E4
Các phòng làm việc và
phòng máy tính trong
tòa nhà G2
Internet
VNUnet Router
Các trường
Thành viên và
các đơn vị trực
thuộc ĐHQG
Phần mạng Trường ĐHCN
76
Server và các dịch vụ hệ thống
Có 04 server với cấu hình như sau
Server Web, 1 CPU P.4, 1 GB RAM, 2 ổ cứng 36 GB (từ phòng HCQT)
• Server quản lý người dùng, 1 CPU P.4, 1 GB RAM, 1 ổ cứng 36 GB
• Server phục vụ tệp, 1 CPU P.4, 512 MB RAM, 3 ổ cứng 36 GB
• Server phục vụ các tiện ích, 1 CPU P.4, 512 MB RAM, 1 ổ cứng 36
GB
Những dịch vụ hệ thống
Hệ thống hiện tại chỉ cung cấp những dịch cụ tối thiểu, trong đó có Website môn
học, các tư liệu điện tử của MIT và các nhà cung cấp khác. Dịch vụ tệp dù đã được
cung cấp cho sinh viên nhưng vì dung lượng đĩa cứng quá hạn chế nên không hiệu quả.
Nhận xét
• VNUnet và CTNet đã có hệ thống đường truyền thông khá tốt: kết
nối ra bên ngoài mạnh, hệ thống đường truyền nội bộ đã phủ được ba
khu vực chính.
• Hạn chế:
o Kết nối Internet ra bên ngoài là kết nối đơn, không có dự
phòng, mỗi khi có sự cố đường truyền, liên lạc với bên ngoài
bị gián đoạn.
o Sử dụng không gian địa chỉ giả lập với thiết bị Proxy. Hệ
thống an ninh và an toàn rất yếu kém.
o Còn 4 địa điểm chưa được kết nối vào VNUnet, trong đó có 2
địa điểm cần được quan tâm kết nối sớm là 19 Lê Thánh Tông
và Khoa Quốc tế.
o Tốc độ truyền thông trên các đường trục cáp quang phần lớn
mới chỉ hạn chế ở tốc độ 100 Mbps theo cấu trúc đơn,
halfduplex, không đảm bảo được kết nối liên lục khi có sự cố.
o Kiến trúc phân tầng của mạng còn đơn giản, không ổn định
làm giảm hiệu suất mạng, gây lãng phí lớn các đầu tư tài
nguyên của ĐHQGHN, gây ức chế tâm lý người dùng, làm
xuất hiện tư tưởng kết nối phân tán ra bên ngoài, đặt website
ra bên ngoài.
• Hệ thống server dường như không ít về số lượng nhưng cấu hình kỹ
thuật, đặc biệt là dung lượng lưu trữ quá hạn chế, không đủ sức mạnh
để triển khai các dịch vụ trên phạm vi rộng toàn ĐHQGHN.
• Quá nghèo nàn về dịch vụ.
77
Mục tiêu phát triển hệ thống mạng VNUnet và CTNet
Để án phát triển mạng VNUnet và CTNet đã đưa ra các mục tiêu cần phát triển
như sau:
• Tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, e-
Document, ...), voice, DVD video, ...
• Cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực tuyến
phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo. Làm
giảm kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia
sẻ của cá nhân, tập thể trên toàn hệ thống.
• Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng.
• Có trung tâm dữ liệu mạnh.
• Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến
người dùng cuối 1Gbps.
• Hệ thống kết nối không dây phục vụ các thiết bị xử lý thông tin di động
phủ khắp môi trường làm việc, học tập của ĐHQGHN, kể cả các ký túc xá.
• Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa và tiếp nhận
bài giảng từ xa.
• Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ
tinh, đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng
như trên một desktop ảo.
• Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả.
• Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động
thông suốt, ổn định, hiệu quả.
• Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống
truy cập trái phép.
• Hỗ trợ cán bộ, giảng viên có thể truy cập vào mạng nội bộ từ xa.
78
Tài liệu tham khảo
A. Tiếng Anh
[1] Stuart McClure, Joel Scambray và George Kurtz. Hacking exposed
fifth edition, McGraw-Hill/Osborne, 2005
[2] Internet Security Systems. ProventiaGSeries_Guide, May 2005
[3] Internet Security Systems. Các dấu hiệu tấn công và thâm nhập, 2005
B. Tiếng Việt
[4] Thạc sĩ Nguyễn Nam Hải. Đề án phát triển VNUnet
[5] Vnexperts Research Department. Hack Windows toàn tập
[6] Vietnamnet.vn. Tìm hiểu về tấn công từ chối dịch vụ DoS
C. Các website tham khảo
[7] Microsoft. Lỗ hổng MSRPC.
[8] Quantrimang. Các nguy cơ an ninh mạng.
www.quantrimang.com.vn/print/23105.aspx
[9] Washington.edu. Khái niệm thâm nhập.
[10] Wikipedia. Lỗ hổng bảo mật.
[11] Wikipedia. Tấn công từ chối dịch vụ.
[12] Yahoo blog. Quá trình tấn công của hacker.
?cq=1&p=60
Các file đính kèm theo tài liệu này:
- LUẬN VĂN- NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS-IPS.pdf