Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trƣờng
doanh nghiệp ngày nay. Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành
công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin
giá trị. Đã có nhiều phƣơng pháp đƣợc phát triển để đảm bảo cho hạ tầng mạng
và giao tiếp trên internet nhƣ: sử dụng Firewall, VPN trong đó có hệ thống
phát hiện xâm nhập.
Phát hiện xâm nhập là một trong những công nghệ và phƣơng thức dùng
để phát hiện hành động khả nghi trên cả Host và mạng. Các phƣơng pháp phát
hiện xâm nhập bắt đầu xuất hiện những năm gần đây, sử dụng phƣơng thức phát
hiện xâm nhập, bạn có thể thu thập, sử dụng thông tin từ những loại tấn công đã
biết để tìm ra một ai đố đang cố gắng tấn công và mạng hay máy cá nhân.
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một
phƣơng pháp bảo mật có khả năng phát hiện và chống lại các kiểu tấn công mới,
các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt
với các phƣơng pháp bảo mật truyền thống.
56 trang |
Chia sẻ: lvbuiluyen | Lượt xem: 3786 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Tìm hiểu các kỹ thuật xâm nhập bất hợp pháp mà Hacker thường sử dụng để tấn công vào mạng nội bộ, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
1
MỤC LỤC
CHƢƠNG 1 TỔNG QUAN ................................................................................. 4
1.1 Lý do chọn đề tài ..................................................................................... 4
1.2 Mục tiêu nghiên cứu ................................................................................... 4
1.3 Phƣơng pháp nghiên cứu. .......................................................................... 4
1.4 Đối tƣợng nghiên cứu ................................................................................ 5
1.5 Dự kiến kết quả nghiên cứu ...................................................................... 5
CHƢƠNG 2 NỘI DUNG NGHIÊN CỨU ......................................................... 6
2.1 Tổng quan về đề tài ..................................................................................... 6
2.1.1 Khái quát về tình hình Internet .......................................................... 6
2.1.2 Khái quát về tình hình an ninh mạng của Việt Nam ........................... 7
2.2 Các kiểu tấn công..................................................................................... 7
2.2.1 Tấn công từ chối dịch vụ (Denial of Service Attack) ......................... 7
2.2.2 Quét và thăm dò (Scanning and Probe): ............................................. 8
2.2.3. Tấn công vào mật mã (Password attack) ........................................... 9
2.2.4. Chiếm đặc quyền (Privilege-grabbing) ............................................ 10
2.2.5. Cài đặt mã nguy hiểm (Hostile code insertion) ............................... 11
2.2.6. Hành động phá hoại trên máy móc (Cyber vandalism) .................. 12
2.2.7. Ăn trộm dữ liệu quan trọng (Proprietary data theft) ...................... 13
2.2.8. Gian lận, lãng phí và lạm dụng (Fraud, waste, abuse) ................... 13
2.2.9. Can thiệp vào biên bản (Audit trail tampering) .............................. 14
2.2.10. Tấn công hạ tầng bảo mật (Security infrastructure attack) .......... 15
2.2.11. Các mối đe doạ về bảo mật ............................................................ 15
2.3 Tổng quan về IDS .................................................................................... 17
2.3.1 Khái niệm ............................................................................................ 17
2
2.3.2. Chức năng .......................................................................................... 18
2.3.3 Yêu cầu hệ thống ................................................................................. 18
2.3.4 Cơ chế hoạt động ................................................................................ 19
2.4 Hệ thống Snort ....................................................................................... 26
2.4.1 Giới thiệu về Snort .............................................................................. 26
2.4.2 File cấu hình ....................................................................................... 27
2.4.3 Cấu hình thiết lập tùy chỉnh rule ....................................................... 28
2.4.4 Tập luật (rules) trong Snort ............................................................... 38
CHƢƠNG 3 TRIỂN KHAI ............................................................................. 48
3.1. Các bƣớc cài đặt ...................................................................................... 48
3.2 Cấu hình snort report ................................................................................. 52
CHƢƠNG 4 KẾT LUẬN ................................................................................ 54
4.1 Về mặt lý thuyết ......................................................................................... 54
4.2 Về sản phẩm ............................................................................................... 54
4.3 Hƣớng nghiên cứu ...................................................................................... 55
TÀI LIỆU THAM KHẢO ................................................................................... 56
3
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
..................................................................................................................................................................
Giáo viên phản biện
4
CHƢƠNG 1 TỔNG QUAN
1.1 Lý do chọn đề tài
Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trƣờng
doanh nghiệp ngày nay. Hacker và Intruder (kẻ xâm nhập) đã nhiều lần thành
công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin
giá trị. Đã có nhiều phƣơng pháp đƣợc phát triển để đảm bảo cho hạ tầng mạng
và giao tiếp trên internet nhƣ: sử dụng Firewall, VPN…trong đó có hệ thống
phát hiện xâm nhập.
Phát hiện xâm nhập là một trong những công nghệ và phƣơng thức dùng
để phát hiện hành động khả nghi trên cả Host và mạng. Các phƣơng pháp phát
hiện xâm nhập bắt đầu xuất hiện những năm gần đây, sử dụng phƣơng thức phát
hiện xâm nhập, bạn có thể thu thập, sử dụng thông tin từ những loại tấn công đã
biết để tìm ra một ai đố đang cố gắng tấn công và mạng hay máy cá nhân.
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một
phƣơng pháp bảo mật có khả năng phát hiện và chống lại các kiểu tấn công mới,
các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt
với các phƣơng pháp bảo mật truyền thống.
1.2 Mục tiêu nghiên cứu
- Tìm hiểu các kỹ thuật xâm nhập bất hợp pháp mà Hacker thƣờng sử
dụng để tấn công vào mạng nội bộ
- Xây dựng hệ thống IDS sử dụng hệ thống mã nguồn mở Snort để
phát hiện các bất thƣờng.
- Xây dựng hệ thống tập luật cơ bản cho hệ thống phần mềm Snort,
nhằm phát hiện các kiểu xâm nhập mới của Hacker.
- Ứng dụng hệ thống trong nhiều môi trƣờng khác nhau.
1.3 Phƣơng pháp nghiên cứu.
- Sử dụng HĐH mã nguồn mở Ubuntu để xây dựng hệ thống giám sát
5
mạng nội bộ.
- Sử dụng hệ thống phát hiện xâm nhập IDS bằng phần mềm mã
nguồn mở Snort, nhằm phát hiện các dấu hiệu bất thƣờng trong
mạng nội bộ.
- Nghiên cứu cấu trúc tập lệnh Rules của Snort, từ đó tự xây dựng
những tập lệnh mới theo nhu cầu của ngƣời dùng, nhằm đảm bảo
cho hệ thống có thể phát hiện đƣợc những cách thức xâm nhập mới
nhất của Hacker vào hệ thống mạng nội bộ
- Thực nghiệm đƣa ra độ chính xác của các tập lệnh đã xây dựng,
ứng dụng hệ thống trên nhiều môi trƣờng khác nhau, đặc biệt là
môi trƣờng điện toán đám mây đang ngày càng phát triển ở Việt
Nam và trên thế giới.
1.4 Đối tƣợng nghiên cứu
- HĐH Ubuntu: Nhằm tăng cƣờng tính bảo mật hơn cho hệ thống
- Các hình thức tấn công phổ biến của Hacker vào hệ thống mạng nội
bộ
- Phần mềm mã nguồn mở Snort
- Cấu trúc của tập lệnh Rules
1.5 Dự kiến kết quả nghiên cứu
- Hoàn thiện việc tìm hiểu các kỹ thuật xâm nhập bất hợp pháp vào
mạng nội bộ.
- Xây dựng thành công hệ thống phát hiện xâm nhập mạng nội bộ
dựa trên phần mềm Snort
- Xây dựng một số tập lệnh Rules có khả năng phát hiện các kiểu tấn
công truy nhập bất hợp pháp vào mạng nội bộ.
- Ứng dụng hệ thống trên nhiều môi trƣờng khác nhau .
6
CHƢƠNG 2 NỘI DUNG NGHIÊN CỨU
2.1 Tổng quan về đề tài
2.1.1 Khái quát về tình hình Internet
Ngày nay, Internet phát triển rất mạnh mẽ và đóng một vai trò quan
trọng trong đời sống con ngƣời. Mạng Internet mang lại rất nhiều tiện ích hữu
dụng cho ngƣời sử dụng, phỗ thông nhƣ hệ thống thƣ điện tử, tán gẫu trực
tuyến, công cụ tìm kiếm, các dịch vụ thƣơng mại và các dịch vụ về y tế giáo
dục nhƣ là chữa bệnh từ xa hoặc tổ chức các lớp học trực tuyến… Chúng
cung cấp một khối lƣợng thông tin và dịch vụ khổng lồ trên Internet. Trong
những năm gần đây, sự phát triển của điện toán đám mây, điện toán di
động, mạng xã hội,… đã làm cho mạng Internet càng không thể thiếu trong
đời sống con ngƣời.
Ngoài những lợi ích mà Internet mạng lại cho con ngƣời thì hiểm
họa từ Internet mang đến cũng không ít. Nhiều ngƣời đã dựa trên những lỗ
hỗng bảo mật của Internet để xâm nhập, chiếm dụng thông tin hoặc phá
hoại các hệ thống máy tính khác. Những ngƣời nhƣ vậy thƣờng đƣợc gọi với
cái tên “hacker”.
Với định nghĩa trƣớc đây, Hacker ám chỉ một ngƣời tài giỏi. Ngƣời này
có khả năng chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình,
quản trị và bảo mật. Những ngƣời đƣợc mệnh danh là Hacker là ngƣời hiểu
rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng kiến thức bản
thân để làm thay đổi, chỉnh sửa nó. Nhƣng dần dần, khi mọi ngƣời nghe tới
Hacker thì thƣờng liên tƣởng ngay tới một kẻ có mục đích phá hoại và tấn
công các hệ thống mạng để ăn cắp thông tin.
Symantec nhận định: “Trƣớc đây, những kẻ tấn công thƣờng phải tự tạo
dựng công cụ từ đầu. Quy trình phức tạp này khiến cho các cuộc tấn công chỉ
bó hẹp trong phạm vi những kẻ tội phạm mạng có kỹ năng cao. Tuy nhiên, các
công cụ tấn công ngày nay lại rất dễ sử dụng, và thậm chí chúng còn giúp
những kẻ mới tập tành vào nghề cũng tự mình tấn công đƣợc mục tiêu. Do vậy,
chúng tôi cho rằng sẽ có nhiều hoạt động tội phạm trong lĩnh vực này, và nhiều
7
khả năng những ngƣời dùng trung bình cũng sẽ trở thành nạn nhân”. Theo
thống kê: “Các doanh nghiệp Mỹ mỗi năm thiệt hại hàng tỷ đô-la vì tội phạm
mạng.”, “bộ phận quản trị hệ thống của ngân hàng VietinBank cho biết mỗi
ngày có 13.300 virus, gần 40 spyware/grayware và khoảng 67.000 thƣ rác đƣợc
phát hiện trên toàn hệ thống nhà băng này”, “Facebook và Twitter đồng loạt bị
tấn công bằng DDoS”, “Hàng trăm nghìn trang web bị tấn công”…
2.1.2 Khái quát về tình hình an ninh mạng của Việt Nam
Trong năm 2012, tấn công, phát tán phần mềm gián điệp (spyware) vào
các cơ quan, doanh nghiệp là hình thái mới của giới tội phạm mạng mang tính
chất quốc gia. Thế giới trong năm qua bị rúng động bởi sự hoành hành của
Flame và Duqu, những virus đánh cắp thông tin mật của các hệ thống điện toán
khu vực Trung Đông. Các chuyên gia của Công ty Bkav nhận định, những vụ
việc tƣơng tự cũng đã bắt đầu diễn ra tại Việt Nam.
Hoạt động gián điệp mạng thông qua phát tán virus sẽ trở thành ngành
"công nghiệp" trong năm 2013. Đa phần ngƣời sử dụng vẫn ngộ nhận rằng file
văn bản (Word, Excel, PowerPoint) là loại file an toàn, không có virus. Không
đơn giản để thay đổi quan điểm này trong tƣơng lai gần và đó chính là điều kiện
"lý tƣởng" để giới tội phạm phát triển một mạng lƣới gián điệp.
2.2 Các kiểu tấn công
2.2.1 Tấn công từ chối dịch vụ (Denial of Service Attack)
Cho dù đa dạng về kích cỡ và hình dạng, từ subtle malformed packet đến
full-blown packet storm, Denial of Service (DoS) attack có mục đích chung là
đóng băng hay chặn đứng tài nguyên của hệ thống đích. Cuối cùng, mục tiêu trở
nên không thể tiếp cận và không thể trả lời. DoS tấn công vào các mục tiêu bao
gồm 3 dạng là mạng, hệ thống và ứng dụng.
- Network flooding bao gồm SYN flood, Ping flood hay multi echo request…
- Phá hoại hệ thống, thiết bị bao gồm Ping of Death, Teardrop, Bonk, LAND,
các kiểu tấn công nhằm lợi dụng lỗ hổng trên hệ điều hành nhằm phá hoại, gây
quá tải hệ thống. Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng
8
khác thƣờng tới hệ thống và thiết bị, chúng có thể đƣợc tạo ra bằng các công cụ
tấn công đƣợc lập trình trƣớc.
- Phá hoại, gây quá tải ứng dụng bao gồm các kỹ thuật phá hoại và gây quá tải
hệ thống bằng cách lợi cụng điểm yếu trên ứng dụng, cơ sở dữ liệu, email, trang
web… Ví dụ: một email rất dài hay một số lƣợng lớn email, hay một số lƣợng
lớn yêu cầu tới trang web có thể gây quá tải cho server của các ứng dụng đó.
Giải pháp của IDS: Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói
tin không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện
đƣợc các tấn công dạng gói tin.
2.2.2 Quét và thăm dò (Scanning and Probe):
Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định
điểm yếu. Tuy các công cụ này đƣợc thiết kế cho mục đích phân tích để phòng
ngừa, nhƣng chúng có thể đƣợc sử dụng để gây hại cho hệ thống. Các công cụ
quét và thăm dò bao gồm SATAN, ISS Internet Scanner, NETA CyberCop,
Asmodeus, và AXENT NetRecon. Việc thăm dò có thể đƣợc thực hiện bằng
cách ping đến hệ thống cũng nhƣ kiểm tra các cổng TCP và UDP để phát hiện
ra ứng dụng có những lỗi đã đƣợc biết đến. Vì vậy các công cụ này có thể là
công cụ đắc lực cho mục đích xâm nhập.
Giải pháp của IDS: Network-based IDS có thể phát hiện các hành động nguy
hiểm trƣớc khi chúng xảy ra. Yếu tố “time-to-response” rất quan trọng trong
trƣờng hợp này để có thể chống các kiểu tấn công nhƣ vậy trƣớc khi có thiệt hại.
Host-based IDS cũng có thể có tác dụng đối với kiểu tấn công này, nhƣng không
hiệu quả bằng giải pháp dựa trên mạng.
9
Hình 2.1: Chính sách bảo mật theo chiều sâu
2.2.3. Tấn công vào mật mã (Password attack)
Có 3 phƣơng thức tiếp cận đối với kiểu tấn công Passwork attack. Kiểu
dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành và tính linh động cao
nhất cho kẻ tấn công có thể truy nhập tới mọi thông tin tại mọi thành phần trong
mạng. Đoán hay bẻ khóa mật mã là phƣơng thức tiếp cận đƣợc gọi là brute force
bằng cách thử nhiều mật mã để mong tìm đƣợc mật mã đúng. Với bẻ khóa, kẻ
tấn công cần truy nhập tới mật mã đã đƣợc mã hóa, hay file chứa mật mã đã mã
hóa, kẻ tấn công sử dụng chƣơng trình đoán nhiều mã với thuật toán mã hóa có
thể sử dụng đƣợc để xác định mã đúng. Với tốc độ máy tính hiện nay, việc bẻ
khóa là rất hiệu quả trong trƣờng hợp mật mã là từ có nghĩa (trong từ điển), bất
cứ mã nào nhỏ hơn 6 ký tự, tên thông dụng và các phép hoán vị. Hiện nay,
Internet cung cấp rất nhiều chƣơng trình “password hackerware” có thể tải về và
sử dụng dễ dàng. Các công cụ trên cũng đƣợc các kỹ sƣ sử dụng với những mục
đích tốt nhƣ tìm lại mật mã, hay tìm kiếm các thông tin cần thiết cho quá trình
điều tra tội phạm…
- Ta có ví dụ về trộm mật mã nhƣ nghe trộm mật mã gửi trên mạng
(LOPHT2.0), gửi thƣ, chƣơng trình có kèm keylogger, trojan cho ngƣời quản trị;
ngoài ra không thể không kể tới các phƣơng thức tấn công vào yếu tố con ngƣời
nhƣ nhìn trộm, dùng vũ lực ép buộc…
- Dự đoán và bẻ khóa ví dụ nhƣ: đoán từ tên, các thông tin cá nhân, từ các từ
thông dụng (có thể dùng khi biết username mà không biết mật mã), sử dụng tài
10
khoản khách rồi chiếm quyền quản trị; các phƣơng thức tấn công nhƣ brute
force, đoán mật mã đã mã hóa từ các từ trong từ điển, ta có một số công cụ nhƣ
LOPHT Crack, pwldump…
Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn cố
gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công), nhƣng nó
không có hiệu quả trong việc phát hiện truy nhập trái phép tới file mã hóa chứa
mật mã hay chạy các chƣơng trình bẻ khóa. Trong khi đó Host-based IDS lại rất
có hiệu quả trong việc phát hiện việc đoán mật mã cũng nhƣ phát hiện truy nhập
trái phép tới file chứa mật mã.
2.2.4. Chiếm đặc quyền (Privilege-grabbing)
Khi kẻ tấn công đã xâm nhập đƣợc vào hệ thống, chúng sẽ cố chiếm
quyền truy nhập. Khi thành công, chúng đã chiếm đƣợc hệ thống. Trong hệ điều
hành UNIX, điều này nghĩa là trở thành “root”, ở Windows NT là
“Administrator”, trên NetWare là “Supervisor”. Các câu lệnh và mã thực hiện
cho kỹ thuật trên có thể kiếm đƣợc trên Internet, ví dụ nhƣ khai thác lỗi tràn bộ
đệm của hệ điều hành hay phần mềm ứng dụng để ghi đè các segment vào bộ
nhớ. Khi chiến thuật này đƣợc sử dụng với chƣơng trình hệ điều hành đặc
quyền, nó thƣờng gây lỗi hỏng core, dẫn đến kẻ tấn công có thể có quyền truy
cập “superuser”. Dƣới đây là một số kỹ thuật thƣờng dùng cho việc chiếm đặc
quyền:
- Đoán hay bẻ khóa của root hay administrator
- Gây tràn bộ đệm
- Khai thác Windows NT registry
- Truy nhập và khai thác console đặc quyền
- Thăm dò file, scrip hay các lỗi của hệ điều hành và ứng dụng.
Giải pháp của IDS: Cả Network và Host-based IDS đều có thể xác định việc
thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra
trên thiết bị chủ. Do Host-based IDS có thể tìm kiếm đƣợc những ngƣời dùng
11
không có đặc quyền đột nhiên trở thành có đặc quyền mà không qua hệ thống
thông thƣờng, Host-based IDS có thể ngừng hành động này. Ngoài ra hành động
chiếm đặc quyền của hệ điều hành và ứng dụng có thể đƣợc định nghĩa trong tập
các dấu hiệu tấn công của Network-based IDS nhằm ngăn chặn việc tấn công
xảy ra.
Hình 2.