Mục đích nghiên cứu
Hiện nay, nhiều nghiên cứu và giải pháp về phát hiện xâm nhập mạng đã được thực hiện, tuy nhiên, Tổng cục An ninh I thuộc Bộ Công an vẫn chưa có hệ thống phát hiện và cảnh báo xâm nhập mạng Việc thông tin bị lộ qua hệ thống mạng trong các cơ quan đang trở thành mối nguy cao, ảnh hưởng đến nhiều khía cạnh của đời sống đất nước Lãnh đạo các cấp rất quan tâm và chỉ đạo sát sao vấn đề này Do đó, cần khẩn trương nghiên cứu và thử nghiệm các phương pháp phát hiện xâm nhập mạng, đồng thời đồng bộ hóa các giải pháp khác để sớm áp dụng kết quả nghiên cứu vào hệ thống mạng của Tổng cục An ninh I.
- Bộ Công an, hạn chế, ngăn chặn sớm các nguy cơ như trên
Mục tiêu của luận văn là nghiên cứu lĩnh vực phát hiện xâm nhập mạng, lựa chọn giải pháp phù hợp để xây dựng hệ thống phát hiện xâm nhập mạng, và thử nghiệm các phương pháp phát hiện trên hệ thống đã được chọn.
Bài viết này cung cấp cái nhìn tổng quan về bảo mật và tấn công xâm nhập, đồng thời khám phá cấu trúc và mô hình hoạt động của hệ thống phát hiện xâm nhập mạng Từ đó, chúng tôi nghiên cứu xây dựng mô hình giải pháp hệ thống cùng cơ chế hoạt động, thực hiện thí nghiệm bắt gói tin và giám sát lưu lượng mạng nhằm phát hiện và cảnh báo xâm nhập Ngoài ra, bài viết cũng đề xuất một số luật cơ bản để phát hiện xâm nhập mạng, tập trung vào hai cơ chế chính: mô hình phát hiện sự lạm dụng và mô hình phát hiện sự bất thường.
Tìm hiểu một số thuật toán phát hiện xâm nhập CuSUM và Entropi để áp dụng vào hệ thống
Hệ thống phát hiện xâm nhập mạng BCA.IDS đã được phát triển thành công trên nền tảng Windows, mang lại hiệu quả cao và phù hợp với mô hình mạng hiện tại tại Tổng cục.
An ninh I, thuộc Bộ Công an, đã thực hiện thí nghiệm hệ thống trong môi trường mạng LAN nhỏ bằng cách sử dụng công cụ giả lập Sau đó, hệ thống này được áp dụng cho mạng nội bộ kết nối Internet của Tổng cục An ninh I với chi phí thấp.
Định hướng sơ bộ việc kết hợp hệ thống BCA.IDS với hệ thống ngăn chặn xâm nhập IPS.
Phạm vi, đối tƣợng nghiên cứu
Bài viết này tập trung vào việc tìm hiểu và đánh giá các phương pháp phát hiện xâm nhập hiện có trên toàn cầu Sau đó, nghiên cứu sẽ được áp dụng thực nghiệm trên một mạng LAN nhỏ Cuối cùng, hệ thống sẽ được triển khai hoạt động trong mạng kết nối Internet của Tổng cục An ninh I, Bộ Công an.
Hệ thống giám sát xâm nhập mạng bao gồm cả phần cứng và phần mềm, với mục tiêu nghiên cứu và xây dựng mô hình các thành phần của hệ thống phát hiện xâm nhập (IDS) Quá trình này bao gồm phân tích và thiết kế hệ thống IDS, cũng như tìm hiểu các phương pháp bắt gói tin, lọc gói tin và xử lý phát hiện xâm nhập thông qua phân tích gói tin Hệ thống giám sát được xây dựng sẽ bao gồm các module như: module bắt gói tin, module tiền xử lý, và module theo dõi, đồng thời cung cấp cảnh báo trên giao diện trình duyệt Web.
Phương pháp nghiên cứu
Có nhiều phương pháp khác nhau để xây dựng hệ thống phát hiện xâm nhập, mỗi phương pháp đều có ưu nhược điểm riêng Trong số đó, phương pháp dựa trên phân tích mô hình thống kê lưu lượng được đánh giá là hiệu quả cao nhờ vào khả năng phát hiện các mẫu hành vi bất thường trong lưu lượng mạng.
Ph hợp với nhiều môi trường hệ thống
Linh hoạt, ngưỡng phân loại gói tin thay đổi được ph hợp với từng môi trường hệ thống
Có khả năng hoạt động ở chế độ thực.
Kết quả cần đạt đƣợc
Xây dựng thành công Module bắt gói tin, tiền x lý, hệ thống theo dõi qua trình duyệt Web với nền tảng PHP, MySQL, Apache, Winpcap, Snort
Để đảm bảo hoạt động thành công, cần thực hiện thí nghiệm trên một mạng LAN có kết nối Internet trong một khoảng thời gian nhất định và thu thập các gói tin để tiến hành phân tích.
Hệ thống phải đưa ra cảnh báo theo luật đặt trước
Đưa ra được luận văn báo cáo nghiên cứu đạt được Báo cáo luận văn gồm 8 chương và 2 phần:
Phần mở đầu của luận văn bao gồm các nội dung quan trọng như lý do chọn đề tài, lịch sử nghiên cứu, mục đích nghiên cứu, đối tượng và phạm vi nghiên cứu, phương pháp nghiên cứu, cũng như kết quả đạt được.
Chương 1 - SƠ LƯỢC VỀ BẢO MẬT VÀ TẤN CÔNG XÂM NHẬP
Trong chương này, tôi sẽ trình bày tổng quan về bảo mật và tấn công xâm nhập, nhằm nâng cao nhận thức về mức độ nghiêm trọng của vấn đề an ninh thông tin Nội dung chương sẽ bao gồm khái niệm về bảo mật, các mối đe dọa đối với bảo mật, cùng với các phương pháp tấn công xâm nhập hệ thống và biện pháp phòng chống hiệu quả.
Chương 2 - TÓM LƯỢC HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS)
Chương này tóm tắt các hệ thống phát hiện xâm nhập (IDS), cung cấp kiến thức cơ bản cho nghiên cứu phương pháp phát hiện xâm nhập Nội dung bao gồm lịch sử phát triển của IDS, giới thiệu về hệ thống này, kiến trúc và các đặc điểm nổi bật, phân loại các loại IDS, cơ chế phát hiện, cũng như các phương pháp phát hiện xâm nhập mạng hiệu quả.
Chương 3 - CÁC PHƯƠNG PHÁP PHÁT HIỆN XÂM NHẬP
Hệ thống phát hiện bất thường là một phương pháp quan trọng trong việc phát hiện xâm nhập, dựa trên việc phân tích lưu lượng mạng để nhận diện các hành vi không bình thường Bài viết sẽ trình bày tổng quan về các khái niệm liên quan, đồng thời đánh giá ưu và nhược điểm của hệ thống này Ngoài ra, các phương pháp phát hiện bất thường cũng sẽ được đề cập để cung cấp cái nhìn sâu sắc về cách thức hoạt động và hiệu quả của hệ thống.
Chương 4 - HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS)
Chương này cung cấp cái nhìn tổng quan về hệ thống ngăn chặn xâm nhập (IPS), một phần thiết yếu kết hợp với hệ thống phát hiện xâm nhập (IDS) để hình thành một giải pháp toàn diện cho việc dò tìm, phát hiện và ngăn chặn các mối đe dọa an ninh mạng Nội dung bao gồm giới thiệu về IPS, kiến trúc và hoạt động của hệ thống, cũng như định hướng tích hợp với IDS để nâng cao hiệu quả bảo mật.
Chương 5 - YÊU CẦU HỆ THỐNG
Mục tiêu của chương này là xác định các yêu cầu hệ thống, bao gồm mục đích, nhiệm vụ, cơ chế hoạt động, chức năng và cấu trúc của hệ thống phát hiện xâm nhập Thông tin này sẽ là cơ sở để phân tích và thiết kế một hệ thống phát hiện xâm nhập đạt được kỳ vọng.
Chương 6 - PHÂN TÍCH THIẾT KẾ HỆ THỐNG BCA.IDS tập trung vào việc phân tích và thiết kế hệ thống phát hiện xâm nhập dựa trên các yêu cầu cụ thể Nội dung chương bao gồm các mục tiêu và yêu cầu hệ thống, phương pháp xây dựng, quy trình phát triển hệ thống, phân cấp chức năng, sơ đồ luồng, và thiết kế cơ sở dữ liệu.
Chương 7 - GIẢI PHÁP HỆ THỐNG BCA.IDS
Sau khi phân tích hệ thống, tôi đề xuất giải pháp cho hệ thống phát hiện xâm nhập, bao gồm hai phương pháp chính: phát hiện lạm dụng dựa vào dấu hiệu và phát hiện bất thường dựa trên thống kê lưu lượng Bên cạnh đó, giải pháp cũng đề xuất cách xử lý đầu vào hệ thống thông qua việc bắt gói tin và tiền xử lý dữ liệu.
Chương 8 - XÂY DỰNG VÀ THỬ NGHIỆM HỆ THỐNG
Dựa trên các giải pháp đã có, tôi tiến hành xây dựng và thử nghiệm một hệ thống cụ thể, bao gồm việc lựa chọn nền tảng công nghệ, cài đặt hệ thống, và thực hiện thử nghiệm cũng như đánh giá hiệu quả của hệ thống.
Bài viết đánh giá các phương pháp phát hiện xâm nhập, nêu rõ những ưu điểm đã đạt được cũng như những hạn chế của từng phương pháp Đồng thời, bài viết cũng đề xuất những hướng phát triển tương lai cho hệ thống phát hiện xâm nhập, nhằm nâng cao hiệu quả và khả năng bảo mật.
SƠ LƯỢC VỀ BẢO MẬT VÀ TẤN CÔNG XÂM NHẬP
Các khái niệm bảo mật và tấn công xâm nhập
Bảo mật là quá trình bảo vệ tài sản và tài nguyên có giá trị, nhằm hạn chế khả năng lạm dụng Mặc dù không thể hoàn toàn loại bỏ việc lạm dụng, nhưng cần chuẩn bị các biện pháp phòng ngừa và xử lý sự cố khi xảy ra Trong bối cảnh quản lý và vận hành hệ thống thông tin sử dụng công nghệ, bảo mật trở nên đặc biệt phức tạp.
Bảo mật thông tin là một lĩnh vực rộng lớn, bao gồm các vấn đề liên quan đến việc lưu trữ và xử lý thông tin Nghiên cứu trong lĩnh vực này tập trung vào các khía cạnh pháp lý như hệ thống chính sách và quy định, yếu tố con người, cũng như các vấn đề tổ chức như kiểm toán dữ liệu điện tử và quản lý nhận thức Bên cạnh đó, các vấn đề kỹ thuật như kỹ thuật mật mã, bảo mật mạng và công nghệ thẻ thông minh cũng đóng vai trò quan trọng trong bảo mật thông tin.
Bảo mật máy tính liên quan đến việc ngăn chặn và phát hiện các hành động bất hợp pháp đối với thông tin và tài nguyên hệ thống trong môi trường máy tính Mặc dù có nhiều định nghĩa khác nhau về bảo mật máy tính, nhưng hầu hết đều nhấn mạnh các khía cạnh quan trọng như bảo vệ dữ liệu, ngăn chặn truy cập trái phép và đảm bảo tính toàn vẹn của hệ thống.
Xác thực (Authentication): xác định nhận dạng của thực thể liên kết Thực thể đó có thể là người d ng độc lập hay tiến trình của phần mềm
Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống
Trong chương này, chúng ta sẽ khám phá khái niệm bảo mật và tấn công xâm nhập, nhằm nâng cao nhận thức về tầm quan trọng của an ninh thông tin Chương sẽ đề cập đến các mối đe dọa bảo mật hiện nay, phương pháp tấn công xâm nhập hệ thống, cũng như các biện pháp phòng chống hiệu quả để bảo vệ thông tin.
Sự bí mật (Confidentiality): ngăn ngừa việc làm lộ thông tin trái phép
Sự toàn v n (Integrity): ngăn ngừa việc s a đổi trái ph p đối với thông tin
Sự sẵn sàng (Availability): ngăn ngừa việc chiếm dụng trái ph p thông tin hoặc tài nguyên
Bảo mật mạng là quá trình kiểm soát quyền truy cập của người dùng vào hệ thống và cách thức thông tin được bảo vệ trong quá trình truyền tải Khi mạng máy tính được triển khai để mở rộng giao tiếp với môi trường bên ngoài, nguy cơ rủi ro cũng tăng lên Do đó, bảo mật mạng không chỉ đơn thuần là sử dụng mật mã, mà còn yêu cầu nhiều biện pháp kiểm soát truy xuất khác nhau.
An toàn của hệ thống thông tin là việc đảm bảo an ninh ở mức độ chấp nhận được, bắt đầu từ việc bảo vệ thông tin qua mạng truyền dữ liệu hiệu quả Bên cạnh khái niệm an toàn, bảo mật đóng vai trò quan trọng trong việc bảo vệ bí mật nội dung thông tin Do đó, an toàn và bảo mật hệ thống thông tin đảm bảo sự lưu thông và bảo vệ nội dung bí mật cho các thành phần của hệ thống ở mức độ chấp nhận được.
An toàn và bảo mật là hai yếu tố quan trọng và liên kết chặt chẽ với nhau; nếu hệ thống thiếu an toàn, thì không thể đảm bảo bảo mật, và ngược lại, một hệ thống không bảo mật sẽ dẫn đến mất an toàn.
Xâm nhập (Intrusion) nghĩa là gì? Trong lĩnh vực bảo mật máy tính
An ninh máy tính là một chủ đề gây tranh cãi, với nhiều quan điểm khác nhau về sự khác biệt giữa tấn công và xâm nhập Một số người cho rằng xâm nhập bao gồm cả những cuộc tấn công không thành công, trong khi những người khác nhấn mạnh sự phân biệt giữa hai khái niệm này Để đơn giản hóa, chúng ta có thể định nghĩa xâm nhập là chuỗi các hành vi có chủ ý nhằm gây tổn hại đến hệ thống, bao gồm cả những cuộc tấn công thành công và không thành công.
Xâm nhập mạng máy tính là hành vi tấn công nhằm truy cập và thao tác trái phép vào các tài sản giá trị trên mạng, có thể dẫn đến việc tài sản trở nên không đáng tin cậy hoặc không sử dụng được Các cuộc tấn công này thường nhằm phá hủy bảo mật hệ thống, với nhiều hình thức khác nhau như đọc, đánh cắp thông tin mà không thay đổi hệ thống, tắt hoặc ngừng hoạt động một phần hoặc toàn bộ hệ thống, hoặc chiếm quyền điều khiển hệ thống Tóm lại, những cuộc tấn công này gây ra ba tổn thương chính đến bảo mật hệ thống: tính bí mật, tính toàn vẹn và tính khả dụng của thông tin.
Những mối đe dọa bảo mật
Tội phạm ảo hiện nay không chỉ bao gồm hacker mà còn có nhân công bất mãn, đối thủ cạnh tranh và tổ chức khủng bố, dẫn đến sự gia tăng các cuộc tấn công mạng Các phần mềm và hệ thống mạng dễ bị tấn công, cùng với độ phức tạp ngày càng cao, đã khiến thiệt hại do tấn công mạng ước tính lên tới 130 triệu USD theo nghiên cứu của Viện An ninh Máy tính và FBI vào năm 2005 Một khảo sát năm 2003 cho thấy 66% công ty xem xâm nhập hệ thống là mối nguy lớn nhất, mặc dù 86% sử dụng tường lửa nhưng vẫn không cảm thấy an toàn Hàng tháng, có khoảng 20-40 lỗ hổng bảo mật mới được phát hiện trong phần mềm thông dụng, góp phần vào môi trường mạng không an toàn Điều này đã thúc đẩy sự phát triển của các hệ thống phát hiện xâm nhập (IDS) và ngăn chặn (IPS) để hỗ trợ tường lửa.
1.2.1 Mối đe dọa không có cấu trúc (Untructured threat)
Hầu hết các cuộc tấn công không có cấu trúc thường do Script Kiddies thực hiện, những người này chủ yếu sử dụng các công cụ có sẵn mà không cần lập trình Ngoài ra, một số cá nhân có trình độ trung bình cũng có thể tham gia, thường xuất phát từ sở thích cá nhân, trong khi chỉ một số ít có ý đồ xấu.
Các cuộc tấn công mạng, mặc dù không yêu cầu chuyên môn cao, vẫn có thể gây ra thiệt hại nghiêm trọng cho hoạt động của một công ty Chỉ cần chạy một đoạn mã đơn giản, kẻ tấn công có thể làm hỏng chức năng mạng Những kẻ tấn công kiểu Script Kiddies thường sử dụng mã để tấn công vào tất cả các host trong hệ thống, nhằm truy cập vào mạng nhưng vô tình gây ra sự cố cho toàn bộ hệ thống Dù có thể không có ý định xấu, hành động thử nghiệm khả năng của họ vẫn có thể dẫn đến những thiệt hại lớn cho hệ thống.
1.2.2 Mối đe dọa có cấu trúc (Structured threat)
Các cuộc tấn công có chủ đích cao (Structured Attacks) là những hành động tinh vi, có động cơ rõ ràng và được thực hiện bởi những kẻ tấn công có kỹ năng Khác với Script Kiddies, những kẻ này có khả năng hiểu và tùy chỉnh các công cụ hack, cũng như phát triển công cụ mới Họ hoạt động độc lập hoặc trong nhóm, sử dụng các kỹ thuật hack phức tạp để xâm nhập vào mục tiêu Động cơ của các cuộc tấn công này có thể bao gồm tiền bạc, hoạt động chính trị, sự tức giận hoặc báo thù, và thường được lên kế hoạch trước Dù động cơ là gì, những cuộc tấn công này có thể gây ra hậu quả nghiêm trọng, thậm chí phá hủy toàn bộ hệ thống nếu thành công.
1.2.3 Mối đe dọa từ bên ngoài (External threat)
Các cuộc tấn công từ bên ngoài vào hệ thống là một mối đe dọa nghiêm trọng, có thể được thực hiện bởi người dùng trên toàn thế giới thông qua Internet Để ngăn chặn những mối đe dọa này, các công ty thường phải đầu tư nhiều thời gian và tiền bạc Hệ thống bảo vệ vành đai đóng vai trò là tuyến phòng thủ đầu tiên, giúp giảm thiểu tác động của các cuộc tấn công bên ngoài Việc gia tăng hệ thống bảo vệ vành đai là cách hiệu quả để bảo vệ an toàn cho hệ thống của doanh nghiệp.
1.2.4 Mối đe dọa từ bên trong (Internal threat)
Một kiểu tấn công nguy hiểm là Structured Internal Threat, xảy ra khi một cá nhân hoặc tổ chức có quyền truy cập hạn chế vào hệ thống thực hiện tấn công từ bên trong mạng Mối đe dọa này khó phòng chống vì nhân viên có thể truy cập vào mạng và dữ liệu của công ty Hầu hết các hệ thống chỉ có tường lửa ở vành đai ngoài và dựa vào danh sách kiểm soát truy cập (ACL) cùng quyền truy cập server để bảo vệ an ninh bên trong Tuy nhiên, quyền truy cập server chỉ bảo vệ tài nguyên trên server mà không đảm bảo an toàn cho toàn bộ mạng Kẻ tấn công trong trường hợp này có thể gây hại nghiêm trọng và đánh cắp tài nguyên quan trọng, khiến Structured Internal Threat trở thành một trong những nguy cơ lớn nhất đối với mọi hệ thống.
Các phương pháp tấn công xâm nhập
1.3.1 Các phương pháp tấn công xâm nhập hệ thống
1.3.1.1 Phương thức ăn cắp thống tin bằng Packet Sniffers Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng Sniffer thường được d ng cho mạng x lý sự cố hoặc để phân tích lưu lượng Tuy nhiên, do một số ứng dụng g i dữ liệu qua mạng dưới dạng thuần văn bản (Telnet, FTP, SMTP, POP3, ) nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ đó có thể truy xuất vào các thành phần khác của mạng
1.3.1.2 Phương thức tấn công mật khẩu Password Attack
Hacker sử dụng nhiều phương pháp để lấy password, bao gồm Brute-Force Attack, Trojan Horse, IP Spoofing và Packet Sniffer Trong đó, tấn công Brute-Force thường được áp dụng để chiếm đoạt tài khoản người dùng, với cách thức thử và sai password thông qua một chương trình chạy trên mạng, nhằm đăng nhập vào các phần chia sẻ trên server.
1.3.1.3 Phương thức tấn công bằng Mail Relay Đây là phương pháp phổ biến hiện nay Nếu Email Server nếu cấu hình không chu n hoặc Username/Password của người s dụng mail bị lộ, hacker có thể lợi dụng email server để g i mail gây nghẽn mạng hoặc phá hoại hệ thống email khác Ngoài ra với hình thức gắn thêm các đoạn script trong mail, hacker có thể gây ra các cuộc tấn công spam c ng lúc với tấn công gián tiếp các máy chủ database nội bộ hoặc các cuộc tấn công DoS vào một mục tiêu nào đó
1.3.1.4 Phương thức tấn công hệ thống DNS
DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ
Tấn công và chiếm quyền điều khiển máy chủ DNS là một mối đe dọa nghiêm trọng đối với hoạt động của hệ thống truyền thông mạng Để giảm thiểu nguy cơ này, cần áp dụng một số biện pháp bảo mật hiệu quả.
- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
- Cài đặt hệ thống IDS Host cho hệ thống DNS
- Luôn cập nhật phiên bản mới có s a lỗi của hệ thống phần mềm DNS
1.3.1.5 Phương thức tấn công Man-in-the-middle Attack
Tấn công mạng này yêu cầu hacker phải truy cập vào các gói tin của mạng, chẳng hạn như một nhân viên tại ISP có thể chặn tất cả các gói tin từ các thuê bao Leased Line để đánh cắp thông tin hoặc tiếp tục phiên truy cập vào mạng riêng của công ty Hình thức tấn công này thường được thực hiện thông qua việc sử dụng packet sniffer.
1.3.1.6 Phương thức tấn công thăm dò mạng
Thăm dò mạng là quá trình thu thập thông tin về mạng nhằm hỗ trợ các cuộc tấn công của hacker Trước khi xâm nhập, hacker cần nắm rõ các thông tin liên quan đến mạng, và điều này thường được thực hiện thông qua các công cụ như DNS Queries, Ping Sweep và Port Scan.
1.3.1.7 Phương thức tấn công Trust Exploitation
Tấn công kiểu này xảy ra khi kẻ tấn công lợi dụng mối quan hệ tin cậy với mạng nội bộ Kẻ tấn công bên ngoài có thể xâm nhập vào hệ thống thông qua mối liên kết tin cậy với Firewall Khi hệ thống bên ngoài bị xâm hại, hacker có khả năng truy cập vào mạng bên trong bằng cách khai thác mối quan hệ đó.
1.3.1.8 Phương thức tấn công Port Redirection
Tấn công Trust Exploitation là một phương thức tấn công lợi dụng một host đã bị chiếm quyền để vượt qua firewall Chẳng hạn, trong một hệ thống firewall với ba giao diện, một host bên ngoài có thể truy cập vào host trong DMZ nhưng không thể vào host bên trong Tuy nhiên, host trong DMZ lại có khả năng truy cập vào cả host bên trong và bên ngoài Nếu hacker xâm nhập thành công vào host trong DMZ, họ có thể cài đặt phần mềm độc hại để điều hướng traffic từ host bên ngoài đến host bên trong.
1.3.1.9 Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng thường diễn ra qua nhiều phương thức khác nhau, trong đó phổ biến nhất là khai thác các lỗ hổng bảo mật của phần mềm như sendmail, HTTP và FTP.
Các tấn công vào lớp ứng dụng thường xảy ra do việc khai thác các cổng được phép qua Firewall Chẳng hạn, hacker có thể tấn công Web Server thông qua TCP port 80 và tấn công Mail Server bằng TCP port 25.
1.3.1.10 Phương thức tấn công Virus và Trojan Horse
Các mối nguy hiểm chính đối với Workstation và người dùng cuối bao gồm virus và Trojan Horse Virus là phần mềm độc hại được nhúng vào chương trình khác để gây hại, trong khi Trojan Horse hoạt động theo cách khác Một ví dụ điển hình của Trojan Horse là ứng dụng game đơn giản trên Workstation; khi người dùng chơi game, Trojan sẽ tự động gửi bản sao đến tất cả người dùng trong danh bạ Khi người nhận chơi game, Trojan tiếp tục lây lan đến các địa chỉ email trong danh bạ của họ.
1.3.1.11 Phương thức tấn công SQL Injection
SQL Injection là một kỹ thuật mà kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu đầu vào và thông báo lỗi từ hệ quản trị cơ sở dữ liệu để tiêm và thực thi các câu lệnh SQL bất hợp pháp Kỹ thuật này cho phép kẻ tấn công thực hiện các thao tác như xóa, chèn, hoặc cập nhật dữ liệu trên cơ sở dữ liệu của ứng dụng, thậm chí trên cả máy chủ mà ứng dụng đang chạy Lỗi này thường xảy ra trên các ứng dụng web sử dụng hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, và Sybase.
1.3.1.12 Phương thức tấn công DoS
Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán (DDoS) là những nỗ lực nhằm ngăn cản người dùng truy cập vào tài nguyên của một máy tính Các phương tiện, động cơ và mục tiêu của những cuộc tấn công này có thể khác nhau, nhưng chung quy lại, chúng thường bao gồm sự phối hợp và cố ý gây rối của một hoặc nhiều cá nhân để làm cho trang web hoặc hệ thống mạng không thể sử dụng, bị gián đoạn hoặc chậm chạp đáng kể đối với người dùng bình thường Thủ phạm thường nhắm vào các trang mạng và máy chủ quan trọng, như ngân hàng, cổng thanh toán thẻ tín dụng và cả các máy chủ DNS root.
1.3.2 Các kỹ thuật xâm nhập mạng máy tính
Hình 1: Sự phát triển các kỹ thuật tấn công mạng 1.3.2.1 Xâm nhập qua lỗ hổng lớp vật lý
Một số lỗ hổng trong lớp này bao gồm: lỗi nguồn điện, lỗi môi trường kiểm soát, trộm cắp dữ liệu và phần cứng, thiệt hại vật chất hoặc phá hủy dữ liệu và phần cứng, thay đổi trái phép môi trường chức năng hệ thống, và gián đoạn các liên kết vật lý.
1.3.2.2 Xâm nhập qua lớp 2 (Data Link) a Đầu độc ARP (ARP Poisoning)
Tấn công đầu độc ARP (ARP poisoning) là kỹ thuật gửi thông tin sai vào bảng ARP, khiến cho gói tin không được gửi đến địa chỉ đích hợp pháp mà đến một địa chỉ IP giả mạo Mục tiêu của phương pháp này là liên kết địa chỉ MAC của kẻ tấn công với địa chỉ IP của máy bị tấn công, dẫn đến việc lưu lượng truy cập tới máy đó sẽ được chuyển hướng đến kẻ tấn công thay vì đến đúng địa chỉ Một hình thức khác liên quan là giả mạo địa chỉ MAC (MAC Spoofing).
Các biện pháp phòng chống xâm nhập
1.4.1 Các biện pháp phòng chống các phương thức tấn công hệ thống
1.4.1.1 Phương thức phòng chống ăn cắp thông tin bằng Packet Sniffers
Khả năng sử dụng Packet Sniffers có thể xảy ra trong các segment của mạng nội bộ, kết nối RAS hoặc trên WAN Để ngăn chặn Packet Sniffers, có một số biện pháp hiệu quả mà chúng ta có thể áp dụng.
Authentication techniques, such as One-Time Passwords (OTPs), are widely used to enhance security This method involves two key elements: a Personal Identification Number (PIN) and a token card, which authenticates a device or software application A token card can be a hardware or software device that generates a random password at regular intervals, typically every 60 seconds Customers combine this password with their PIN to create a unique access code Even if a hacker were to capture this password using packet sniffing techniques, it would be rendered useless as it expires quickly.
Sử dụng Switch thay vì Bridge hay Hub giúp hạn chế các gói Broadcast trong mạng, từ đó giảm thiểu khả năng bị Packet Sniffers tấn công Khi toàn bộ hệ thống sử dụng Switch Ethernet, hacker chỉ có thể xâm nhập vào luồng traffic tại một host mà họ kết nối đến Mặc dù kỹ thuật này không hoàn toàn ngăn chặn được packet sniffer, nhưng nó có thể giảm thiểu tác động của chúng.
Các công cụ Anti-Sniffer: công cụ này phát hiện sự có mặt của Packet Sniffers trên mạng
Tất cả thông tin truyền tải trên mạng đều được mã hóa để bảo mật Nếu hacker sử dụng packet sniffer, họ chỉ có thể thu thập các gói dữ liệu đã được mã hóa Cisco áp dụng giao thức IPSec để thực hiện việc mã hóa dữ liệu hiệu quả.
1.4.1.2 Phương thức giảm thiểu tấn công mật khẩu Password Attack
Giới hạn số lần login sai
Cần cấm truy cập vào các thiết bị và server từ xa qua các giao thức không an toàn như FTP, Telnet, rlogin và rtelnet Thay vào đó, nên sử dụng các ứng dụng bảo mật như SSL và SSH để quản lý từ xa một cách an toàn hơn.
1.4.1.3 Phương thức giảm thiểu tấn công bằng Mail Relay
Giới hạn dung lượng Mailbox
S dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP Server, đặt password cho SMTP
1.4.1.4 Phương pháp hạn chế tấn công hệ thống DNS
Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS
Cài đặt hệ thống IDS Host cho hệ thống DNS
Luôn cập nhật phiên bản mới có s a lỗi của hệ thống phần mềm DNS
1.4.1.5 Phương thức hạn chế tấn công Man-in-the-middle attack
Để hạn chế tấn công, việc mã hóa dữ liệu là rất quan trọng Nếu hacker có thể bắt được các gói dữ liệu, chúng sẽ chỉ thấy những thông tin đã được mã hóa.
1.4.1.6 Phương thức phòng chống tấn công thăm dò mạng
Việc ngăn chặn hoàn toàn các hoạt động thăm dò mạng là rất khó khăn Mặc dù có thể tắt ICMP echo và Echo-reply để hạn chế Ping Sweep, nhưng điều này sẽ gây khó khăn khi cần chẩn đoán lỗi trong trường hợp mạng gặp sự cố.
NIDS và HIDS giúp nhắc nhở (Notify) khi có các hoạt động thăm dò xảy ra trong mạng
1.4.1.7 Phương thức hạn chế tấn công Trust Exploitation
Để hạn chế các cuộc tấn công mạng, cần thiết lập các cấp độ truy cập khác nhau và quy định rõ ràng quyền truy cập vào các tài nguyên trong mạng.
1.4.1.8 Phương thức ngăn chặn tấn công Port Redirection
Để ngăn chặn các cuộc tấn công, việc sử dụng HIDS (Hệ thống phát hiện xâm nhập trên máy chủ) cài đặt trên từng máy chủ là rất cần thiết HIDS có khả năng phát hiện các chương trình lạ đang hoạt động trên máy chủ, từ đó giúp bảo vệ an toàn cho hệ thống.
1.4.1.9 Phương thức hạn chế tấn công lớp ứng dụng
Lưu lại, và thường xuyên phân tích Logfile
Luôn cập nhật các patch cho OS và các ứng dụng
D ng IDS, có 2 loại IDS:
HIDS: cài đặt trên mỗi Server một Agent của HIDS để phát hiện các tấn công lên Server đó
NIDS (Network Intrusion Detection System) có khả năng xem xét tất cả các gói tin trên mạng và khi phát hiện một gói tin hoặc chuỗi gói tin nghi ngờ liên quan đến tấn công, nó sẽ đưa ra cảnh báo hoặc cắt đứt phiên đó Các hệ thống IDS phát hiện tấn công thông qua việc sử dụng các signature, là những hồ sơ mô tả đặc điểm của từng loại tấn công Khi IDS nhận thấy lưu lượng mạng tương tự như một signature đã được định nghĩa, nó sẽ kích hoạt cảnh báo cho người quản trị mạng.
1.4.1.10 Phương thức giảm thiểu tấn công Virus và Trojan Horse
D ng các phần mềm chống virus để diệt các virus và Trojan Horse và luôn luôn cập nhật chương trình chống virus mới
1.4.1.11 Phương thức phòng chống tấn công SQL Injection
Kiểm soát chặt chẽ tất cả các dữ liệu nhập nhận được từ đối tượng Request (Request, Request Query String, Request Form, Request Cookies, và Request Server Variables)
Input parameter validation to prevent SQL Injection should be implemented at multiple layers: on the client side using JavaScript, which can be bypassed by tampering software, and on the server side using languages such as C#, PHP, or JSP.
Kiểm tra kiểu của dữ liệu: đối với dữ liệu kiểu số, kiểu chuỗi … chúng ta phải có những hàm validate tương ứng o Nếu là kiểu int:
ASP.NET: Int32.Parse(/*Param*/);
PHP: is_numeric($var), is_int($var), is_integer($var) o Nếu là kiểu chuỗi:
Thiết lập độ dài tối đa cần thiết: length
