Theo các báo cáo an ninh năm 2007 và 2008 – phụ lục A và B, vấn đề đe dọa an ninh hiện nay càng ngày càng nghiêm trọng. Có thể thấy rõ mức tăng đột biến của các nguy cơ mạng như tấn công từ xa, spam hay phising. Thêm vào đó, các lỗ hổng bảo mật ngày càng được phát hiện nhiều hơn trong khi người dùng vẫn chưa ý thức được việc cập nhật đầy đủ các bản vá.
Chỉ vừa trong một thời gian ngắn về trước, tường lửa có thể ngăn chặn được hầu hết các tấn công. Tuy nhiên, với sự phát triển ngày càng mạnh của ứng dụng nền Web và worm, hầu hết các mạng hiện nay đều không an toàn kể cả với tường lửa và phần mềm quét virus. Tường lửa giờ đây chỉ hiệu quả đối với những tấn công DoS phổ thông hay những lỗ hổng bình thường, nó khó có thể ngăn chặn những tấn công dựa trên tầng ứng dụng và worm.
Không chỉ lớp mạng ngoài bị tấn công mà kể cả những tài nguyên của mạng trong – bao gồm nhiều những vùng tài nguyên nội bộ giá trị, những vùng lộ ra trên Internet cũng đều bị khai thác và gây cho cơ quan và công ty nhiều thiệt hại. Vì vậy, các thiết bị phát hiện và chống thâm nhập ngày càng trở nên cần thiết trong các cơ quan và công ty hiện nay.
Hiện giờ có nhiều thiết bị phát hiện thâm nhập phổ biến như Internet Security Systems (ISS), Lancope StealthWatch, Snort, và StillSecure Border Guard. Trong số đó, sản phẩm của ISS có tiếng vang lớn nhất. Hiện nay, ngoài tính năng phát hiện thâm nhập, các sản phẩm của hãng này đã được thêm vào tính năng ngăn chặn thâm nhập thậm chí còn trước cả khi chúng đến được máy mục tiêu.
Để có thể quản trị và phát triển một hệ thống mạng an ninh tốt và bảo mật cao, một yêu cầu hiện nay đối với những người quản trị là hiểu biết các tấn công và thâm nhập, đồng thời biết cách ngăn chặn chúng.
85 trang |
Chia sẻ: tuandn | Lượt xem: 3477 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Khóa luận Nghiên cứu triển khai hệ thống IDS/IPS, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Trần Tiến Công
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành : Công nghệ thông tin
HÀ NỘI - 2009
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Trần Tiến Công
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành : Công nghệ thông tin
Cán bộ hướng dẫn : Ths. Đoàn Minh Phương
Cán bộ đồng hướng dẫn : Ths. Nguyễn Nam Hải
HÀ NỘI – 2009
Lời cảm ơn
Đầu tiên, em xin gửi lời cảm ơn chân thành tới thầy Đoàn Minh Phương và đặc biệt là thầy Nguyễn Nam Hải đã nhiệt tình giúp đỡ em trong quá trình lựa chọn cũng như trong quá trình thực hiện khóa luận. Em cũng xin gửi lời cảm ơn thầy Đỗ Hoàng Kiên, thầy Phùng Chí Dũng và thầy Nguyễn Việt Anh ở trung tâm máy tính, những người đã chỉ dẫn em trong từng bước đề tài.
Để có thể thực hiện và hoàn thành khóa luận này, các kiến thức trong 4 năm học đại học là vô cùng cần thiết, vì vậy em xin gửi lời cảm ơn tới tất cả các thầy cô giáo đã truyền đạt cho em những bài học quý báu trong thời gian vừa qua.
Tôi xin cảm ơn bạn Vũ Hồng Phong và bạn Nguyễn Duy Tùng đã hỗ trợ tôi thực hiện đề tài. Tôi cũng xin cảm ơn các bạn cùng lớp đã giúp đỡ tôi trong học tập.
Cuối cùng, em xin gửi lời cảm ơn tới gia đình em, nguồn động viên to lớn đã giúp em thành công trong học tập và cuộc sống.
Tóm tắt nội dung
Nghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâm nhập trái phép (tấn công) vào các hệ thống mạng ngày nay là một vấn đề có tính thời sự và rất có ý nghĩa, vì quy mô và sự phức tạp của các cuộc tấn công ngày càng tăng.
Khóa luận này trình bày hệ thống hóa về các phương thức tấn công và các biện pháp ngăn chặn chúng bằng cả lý thuyết và những minh họa mô phỏng thực tế; Những tìm hiểu về giải pháp phát hiện sớm và ngăn chặn tấn công của thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia G200, việc thiết lập cấu hình và vận hành thiết bị, thử nghiệm trong môi trường VNUnet, những đánh giá và nhận xét.
Thông qua tiến hành khảo sát hệ thống mạng VNUnet, khóa luận cũng chỉ ra những khó khăn, vấn đề và hướng giải quyết khi triển khai IPS trên những hệ thống mạng lớn như mạng của các trường đại học.
Do “ngăn chặn thâm nhập” là một công nghệ khá mới trên thế giới nên khóa luận này là một trong những tài liệu tiếng việt đầu tiên đề cập chi tiết đến công nghệ này.
Mục lục
BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT
Kí hiệu và viết tắt
Giải thích
ĐHQGHN
Đại học Quốc gia Hà Nội
IDS/IPS
Hệ thống phát hiện/ngăn chặn thâm nhập
VNUnet
Hệ thống mạng Đại học Quốc gia Hà Nội
Proventia G 200
Tên dòng thiết bị IDS/IPS của hãng IBM
DANH SÁCH BẢNG
Bảng 1 – Thuật ngữ IDS/IPS 23
Bảng 2 – Hình thái hoạt động 37
Bảng 3 – Phản hồi email 37
Bảng 4 – Phản hồi Log Evidence 38
Bảng 5 – Phân loại cách ly 38
Bảng 6 – Phản hồi cách ly 39
Bảng 7 – Phản hồi SNMP 39
Bảng 8 – Phản hồi User Specified 39
DANH SÁCH HÌNH MINH HỌA
Hình 1 – Sơ đồ kết nối logic của VNUnet 6
Hình 2 - Minh họa trình tự tấn công 15
Hình 3 - Giao diện DoSHTTP 18
Hình 4 - Giao diện smurf attack 19
Hình 5 - Giao diện client trojan beast 19
Hình 6 - Lỗi trong dịch vụ RPC 20
Hình 7 - Giao diện metasploit 21
Hình 8 - Giao diện metasploit (2) 22
Hình 9 – Security Events 35
Hình 10 – Response Filters 39
Hình 11 – Protection Domain 39
Hình 12 - Protection Domain 39
Hình 13 - Mức độ nghiêm trọng của thông báo 39
Hình 14 - Minh họa thông báo 39
Hình 15 - Ngăn chặn thu thập thông tin 39
Hình 16 – Đánh dấu cảnh báo SYNFlood 39
Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep) 39
Hình 18 - Ngăn chặn thâm nhập qua trojan Beast 39
Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo 39
Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive 39
Hình 21 – Mô hình mạng VNUnet 39
Hình 22 – Sơ đồ triển khai IPS 39
Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT 39
Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS 39
Hình 25 - Hệ thống IPS gửi mail cho người quản trị 39
Hình 26 - Các dò quét và tấn công thực tế 39
Hình 27 – Các hành vi khai thác điểm yếu an ninh 39
Hình 28 - Xu hướng phishing sắp tới 39
Hình 29 - Minh họa smurf attack 39
Hình 30 - Minh họa tấn công SYNFlood 39
Hình 31 - Sơ đồ kết nối logic 39
Hình 32 – Mô hình tổ chức 39
MỞ ĐẦU
Với sự phát triển nhanh chóng của công nghệ và thông tin trên Internet, việc bảo vệ an ninh mạng ngày càng quan trọng và có tính thời sự hàng ngày. Để chống lại tin tặc ngày càng phát triển, đã có các ứng dụng phần mềm để hỗ trợ cùng với các thiết bị phần cứng nhằm hạn chế các tác hại của virus và các hoạt động xâm nhập trái phép.
Khoá luận đề cập đến giải pháp phát hiện sớm và ngăn chặn tấn công, có ý nghĩa khoa học là một trong những giải pháp mới và có hiệu quả cao, với thực tiễn có triển khai cài đặt để bảo vệ hệ thống, chống lại được các tấn công mô phỏng, có thể sử dụng để bảo đảm an ninh mạng ở một mức khá cao.
Đối tượng nghiên cứu là các hình thức tấn công thâm nhập và thiết bị phát hiện ngăn chặn, cụ thể là sử dụng một thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia G200 trên hệ thống mạng của Trường Đại học Quốc gia.
Phương pháp nghiên cứu là tìm hiểu tài liệu trên mạng, tham khảo ý kiến các chuyên gia, mô phỏng hệ thống, thiết lập cấu hình và vận hành thiết bị, thử nghiệm trong môi trường VNUnet, sau đó có đánh giá và nhận xét.
Nội dung nghiên cứu bao gồm các vấn đề an ninh mạng, khảo sát hiện trạng hệ thống mạng của Trường Đại học Quốc gia, các hình thức tấn công thâm nhập và thiết bị phát hiện ngăn chặn, các bước cài đặt, cầu hình và vận hành thử nghiệm. Phần kết luận nêu các kết quả đạt được, đánh giá và định hướng nghiên cứu tương lai có thể được phát triển từ kết quả của khoá luận.
AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET
AN NINH MẠNG
Theo các báo cáo an ninh năm 2007 và 2008 – phụ lục A và B, vấn đề đe dọa an ninh hiện nay càng ngày càng nghiêm trọng. Có thể thấy rõ mức tăng đột biến của các nguy cơ mạng như tấn công từ xa, spam hay phising. Thêm vào đó, các lỗ hổng bảo mật ngày càng được phát hiện nhiều hơn trong khi người dùng vẫn chưa ý thức được việc cập nhật đầy đủ các bản vá.
Chỉ vừa trong một thời gian ngắn về trước, tường lửa có thể ngăn chặn được hầu hết các tấn công. Tuy nhiên, với sự phát triển ngày càng mạnh của ứng dụng nền Web và worm, hầu hết các mạng hiện nay đều không an toàn kể cả với tường lửa và phần mềm quét virus. Tường lửa giờ đây chỉ hiệu quả đối với những tấn công DoS phổ thông hay những lỗ hổng bình thường, nó khó có thể ngăn chặn những tấn công dựa trên tầng ứng dụng và worm.
Không chỉ lớp mạng ngoài bị tấn công mà kể cả những tài nguyên của mạng trong – bao gồm nhiều những vùng tài nguyên nội bộ giá trị, những vùng lộ ra trên Internet cũng đều bị khai thác và gây cho cơ quan và công ty nhiều thiệt hại. Vì vậy, các thiết bị phát hiện và chống thâm nhập ngày càng trở nên cần thiết trong các cơ quan và công ty hiện nay.
Hiện giờ có nhiều thiết bị phát hiện thâm nhập phổ biến như Internet Security Systems (ISS), Lancope StealthWatch, Snort, và StillSecure Border Guard. Trong số đó, sản phẩm của ISS có tiếng vang lớn nhất. Hiện nay, ngoài tính năng phát hiện thâm nhập, các sản phẩm của hãng này đã được thêm vào tính năng ngăn chặn thâm nhập thậm chí còn trước cả khi chúng đến được máy mục tiêu.
Để có thể quản trị và phát triển một hệ thống mạng an ninh tốt và bảo mật cao, một yêu cầu hiện nay đối với những người quản trị là hiểu biết các tấn công và thâm nhập, đồng thời biết cách ngăn chặn chúng.
HỆ THỐNG MẠNG VNUNET [4]
Khái quát về hiện trạng hệ thống mạng VNUNet
Phần này sẽ được đề cập chi tiết trong phụ lục E – Khảo sát hiện trạng hệ thống mạng VNUnet. Ta có thể tóm tắt một số ý chính như sau :
Hệ thống mạng ĐHQGHN là một hệ thống mạng có quy mô trung bình.
Các VNUnet đã có hệ thống đường truyền thông khá tốt
Kiến trúc phân tầng của mạng còn đơn giản, không ổn định làm giảm hiệu suất mạng, gây lãng phí lớn các đầu tư tài nguyên của ĐHQGHN, gây ức chế tâm lý người dùng, làm xuất hiện tư tưởng kết nối phân tán ra bên ngoài, đặt website ra bên ngoài.
Sử dụng không gian địa chỉ giả lập với thiết bị Proxy. Hệ thống an ninh và an toàn rất yếu kém.
Router
3600
INTERNET
TEIN2
VINAren
CPNET
112
Catalyst
2950
Catalyst
4507
203.113.130.192/27
172.16.0.0/16
ĐH Ngoại ngữ
ĐH Kinh tế, Khoa Luật, Viện CNSH
Viện CNTT
ĐH KHTN
ĐH KHXH-NV
Thư viện TĐ
KTX Mễ Trì
Khoa QTKD
TTPT Hệ thống, Khoa SP, Khoa SĐH
VP ĐHQGHN
TRƯỜNG ĐH CÔNG NGHỆ
Với hệ thống thiết bị ghép nối mạng riêng
Trung tâm TTTV
10.1.0.0/16
10.10.0.0/16
Cáp quang
TT Đào tạo từ xa
Proxy
Web
Mail
Hình 1 – Sơ đồ kết nối logic của VNUnet
Mục tiêu phát triển hệ thống mạng VNUnet
Để án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển như sau :
Là mạng tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, e-Document, ...), voice, DVD video, ...
Là mạng cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực tuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo. Làm giảm kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia sẻ của cá nhân, tập thể trên toàn hệ thống.
Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng.
Có trung tâm dữ liệu mạnh.
Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến người dùng cuối 1Gbps.
Hệ thống kết nối không dây phục vụ các thiết bị xử lý thông tin di động phủ khắp môi trường làm việc, học tập của ĐHQGHN, kể cả các ký túc xá.
Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa và tiếp nhận bài giảng từ xa.
Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh, đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng như trên một desktop ảo.
Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả.
Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động thông suốt, ổn định, hiệu quả.
Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy cập trái phép.
Hỗ trợ cán bộ, giảng viên có thể truy cập vào mạng nội bộ từ xa.
Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết. Trong đó công việc quản trị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng đầu. Để xây dựng hệ thống an ninh mạng VNUnet, việc triển khai thiết bị phát hiện và ngăn chặn thâm nhập IDS/IPS là một khâu quan trọng. Do đó, khóa luận này có ý nghĩa thực tế rất lớn trong việc phát triển mạng Đại học quốc gia Hà Nội.
TẤN CÔNG VÀ THÂM NHẬP
KIẾN THỨC CƠ SỞ
Để đảm bảo được an ninh mạng ngày nay, cần phải hiểu biết chi tiết về các vấn đề liên quan đến an ninh. Đặc biệt là các khái niệm như thâm nhập, tấn công. Phần này sẽ trình bày lý thuyết nền tảng về an ninh liên quan trực tiếp tới hệ thống IDS/IPS được nói tới trong khóa luận.
Thâm nhập [9]
Một thâm nhập có thể coi như là một sự chiếm giữ hệ thống từ những người quản trị. Thâm nhập có thể được thực hiện bởi “người bên trong” (những người có tài khoản người dùng hợp lệ trong hệ thống) và họ dùng lỗ hổng của hệ điều hành để nâng cấp quyền của họ. Thâm nhập cũng có thể được thực hiện bởi “người bên ngoài”, họ khám phá ra những lỗ hổng bảo mật và những chỗ bảo vệ kém trong hệ thống mạng để chiếm quyền điều khiển hệ thống.
Một thâm nhập có thể xảy ra dưới những dạng sau :
Một virus, sâu hay trojan được cài vào máy qua những con đường như mail, active X hay java script …
Một mật khẩu bị mất trộm bằng những phương pháp như nghe trộm (sniffer), nhìn trộm (shoulder surfing), tấn công vét cạn mã hoặc các phương pháp phá mã khác.
Chiếm đoạt những phiên dịch vụ hay những thiết bị không hỗ trợ mã hóa (telnet cũ, ftp, IMAP hay POP mail …)
Một tấn công vào lỗ hổng của các dịch vụ như ftp, Apache hay iis,…
Thâm nhập vật lý vào máy tính và cướp tài khoản quản trị hay tạo những lỗ hổng trong hệ thống cho phiên thâm nhập sau.
Một khi kẻ thâm nhập đã có được quyền hợp lệ với một máy tính hay một hệ thống, họ thường cài đặt những phần mềm trojan mà che dấu sự điều khiển của họ với hệ thống. Trojan là một chương trình giống như các chương trình khác mà người dùng có thể muốn sử dụng, tuy nhiên khi sử dụng thì nó lại thực hiện những hoạt động bất hợp pháp.
Một hành vi thâm nhập phổ thống khác là cài phần mềm nghe trộm hoặc keylogger. Thông qua những máy bị chiếm quyền, kẻ thâm nhập có thể vươn ra cả mạng bằng những mối quan hệ tin tưởng trên mạng.
Việc xác định được có thâm nhập trong mạng hay không là một việc khá khó khăn vì những phần mềm gián điệp thường có cách để che giấu hoạt động đối với người quản trị và người dùng. Chỉ có một cách để biết chắc chắn rằng có thâm nhập là kiểm tra lưu lượng mạng tới các máy nghi ngờ ở bên ngoài, hoặc kiểm tra máy tính với những công cụ an toàn.
Tấn công từ chối dịch vụ [11]
Tấn công từ chối dịch vụ DoS (Denial of Service) là kiểu tấn công với mục đích làm cho máy bị tấn công không thể hoạt động một cách bình thường trong một khoảng thời gian tạm thời hoặc không xác định. Đối tượng của DoS thường là các router, web server, DNS server... Cách thức tấn công thông dụng là gửi tràn ngập các yêu cầu kết nối đến máy đối tượng làm cho nó không thể phản hồi lại các kết nối hợp lệ hoặc phản hồi một cách chậm chạp. DoS có thể khiến cho máy đối tượng bị khởi động lại hoặc tiêu thụ một lượng lớn tài nguyên khiến cho nó không thể chạy các dịch vụ khác cũng như gây tắc nghẽn đường truyền tới người dùng.
Có 5 loại tấn công DoS cơ bản:
Tiêu thụ nguồn tài nguyên của máy như băng thông, bộ nhớ hoặc thời gian xử lý.
Phá hủy các thông tin cấu hình, như thông tin về định tuyến.
Phá hủy các thông tin trạng thái, như tự khởi động lại phiên TCP.
Phá hủy các thành phần vật lý.
Gây tắc nghẽn đường truyền giữa người dùng với máy bị tấn công.
DoS có thể sử dụng các mã độc hại với mục đích:
Sử dụng tối đa năng lực của bộ vi xử lý, làm cho nó không thực hiện được các công việc khác.
Gây ra các lỗi trong vi mã của máy.
Gây ra các lỗi tuần tự trong các chỉ thị, khiến cho máy rơi vào trạng thái bất ổn hoặc treo đơ.
Khai thác các lỗi trong hệ điều hành gây nên việc thiếu tài nguyên và lỗi thrashing.
Làm treo hệ điều hành.
Tấn công iFrame DoS, một văn bản HTML được tạo ra để gọi đến một trang web chứa nhiều thông tin nhiều lần, cho đến khi chúng lưu trữ một lần gọi vượt quá băng thông giới hạn.
Có rất nhiều cách thức cũng như loại tấn công từ chối dịch vụ. Dưới đây là một số loại tấn công tiêu biểu :
Smurf Attack
SYNFlood
Land Attack
UDP Flood
Tear Drop
Chi tiết về các cách tấn công này xem trong phụ lục C.
Tấn công từ chối dịch vụ phân tán (Distributed DoS)
Tấn công từ chối dịch vụ phân tán xảy ra khi có nhiều máy trạm cùng tham gia vào quá trình làm ngập lụt băng thông hoặc tài nguyên của máy bị tấn công. Để thực hiện được tấn công DDoS, kẻ tấn công xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều kiển từ xa và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu. Cách thức này có thể huy động tới hàng trăm thậm chí hàng ngàn máy tính cùng tham gia tấn công một lúc (tùy vào sự chuẩn bị trước đó) và có thể ngốn hết băng thông của mục tiêu trong nháy mắt.
Các cách phòng chống
Hậu quả mà DoS gây ra không chỉ tiêu tốn nhiều tiền bạc, và công sức mà còn mất rất nhiều thời gian để khắc phục. Để phòng chống DoS có thể sử dụng một số biện pháp sau:
Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức. Bởi khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống.
Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các nguồn tài nguyên quan trọng khác.
Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên mạng. Đặc biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router.
Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống lại SYN flood.
Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụ chưa có yêu cầu hoặc không sử dụng.
Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn ngừa trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên trên server để tấn công chính server hoặc mạng và server khác.
Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật và có biện pháp khắc phục kịp thời.
Sử dụng các biện pháp kiểm tra hoạt động của hệ thống một cách liên tục để phát hiện ngay những hành động bất bình thường.
Xây dựng và triển khai hệ thống dự phòng.
Lỗ hổng bảo mật [10]
Trong bảo mật máy tính, thuật ngữ lỗ hổng được dùng cho một hệ thống yếu mà cho phép một kẻ tấn công xâm phạm vào sự toàn vẹn của hệ thống. Lỗ hổng có thể là kết quả của mật khẩu yếu, các lỗi phần mềm, một virus máy tính hoặc phần mềm độc hại khác, một đoạn mã lỗi, một lệnh SQL lỗi hoặc cấu hình sai.
Một nguy cơ bảo mật được phân loại là một lỗ hổng nếu nó được công nhận như là một phương pháp được sử dụng để tấn công. Một cửa sổ của lỗ hổng là thời gian từ khi lỗ hổng bảo mật được giới thiệu hoặc chứng tỏ trong các phần mềm được triển khai tới khi một bản vá bảo mật có sẵn hoặc được triển khai .
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ngay các dịch vụ cung cấp như sendmail, web, ftp ... Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows NT, Windows XP, UNIX; hoặc trong các ứng dụng mà người sử dụng thường xuyên sử dụng như Word processing, Các hệ databases...
Nguyên nhân
Quản lý mật khẩu sai sót: Người dùng máy tính sử dụng các mật khẩu yếu mà có thể tìm được bởi vét cạn. Người dùng máy tính lưu trữ các mật khẩu trên máy tính ở chỗ mà một chương trình có thể truy cập được nó. Nhiều người dùng sử dụng lại các mật khẩu giữa nhiều chương trình và website.
Thiết kế hệ điều hành cơ bản sai sót: Các nhà thiết kế hệ điều hành chọn thực thi các chính sách tối ưu cho người dùng/chương trình quản lý. Ví dụ hệ điều hành với các chính sách như là cho phép mặc định các chương trình và người dùng đầy đủ quyền truy cập tới máy tính. Hệ điều hành sai lầm khi cho phép các virus và phần mềm độc hại thực thi các lệnh ở chế độ administrator.
Các lỗi phần mềm: Các lập trình viên thường bỏ qua một lỗi có thể khai thác trong một chương trình phần mềm. Lỗi phần mềm này có thể cho phép một kẻ tấn công lạm dụng một phần mềm.
Không kiểm tra nhập vào của người dùng. Một chương trình giả định rằng tất cả các nhập vào của người dùng là an toàn. Các chương trình sẽ không thực hiện việc kiểm tra nhập vào của người dùng có thể cho phép sự thực thi trực tiếp mà không được định trước của các câu lệnh hoặc các câu lệnh SQL (vd như tràn bộ đệm , SQL injection hoặc các đầu vào không có giá trị khác).
Phân loại lỗ hổng có thể xem thêm trong phụ lục D.
Công bố lỗ hổng
Các phương pháp làm giảm các lỗ hổng là một đề tài của cuộc tranh luận trong giao tiếp an toàn máy tính. Một số người bảo nên lập tức đưa đầy đủ các thông tin về lỗ hổng ngay khi chúng được phát hiện. Một số khác chứng minh rằng việc giới hạn khi đưa ra các thông tin về lỗ hổng sẽ đặt người dùng vào những rủi ro lớn, và chỉ nên đưa ra các thông tin chi tiết sau một thời gian, thậm chí có thể không đưa ra. Việc đưa ra thông tin về các lỗ hổng sau một thời gian có thể cho phép thông báo để khắc phục các vấn đề bởi nhà phát triển bằng các bản vá, nhưng có thể làm tăng rủi ro với người dùng. Gần đây, hình thức thương mại hóa với việc đưa ra lỗ hổng bảo mật, như một vài công ty bảo mật thương mại đã bỏ tiền cho việc độc quyền đưa ra lỗ hổng zero day. Những người này sẽ cung cấp một thị trường hợp pháp để mua và bán các thông tin lỗ hổng từ các trung tâm bảo mật.
Từ người bảo mật, việc tiết lộ các lỗ hổng miễn phí và công cộng chỉ thành công nếu bên nhận bị ảnh hưởng lấy được thông tin thích đáng trước khi bị