TÌM HIỂU CÁC GIẢI PHÁP BẢO VỆ CHO THIẾT BỊ MẠNG CISCO (CISCO ROUTER HARDENING DEVICE)




I. Cơ bản về bảo mật mạng:



1.1. Chức năng của bảo mật trong hệ thống mạng?




Chúng ta hãy bắt đầu với câu hỏi: Mục đích của bảo mật mạng là gì?



Theo CIA, mục đích của việc bảo mật tập trung trong 3 điều:



-Confidentiality (sự cẩn mật): Sự cẩn mật bảo vệ những dữ liệu nhạy cảm khỏi bị lộ ra ngoài. Thông tin chỉ được truy xuất bởi những người có liên quan chứ không phải bởi một hacker. Thuật toán mã hóa và điều khiển truy xuất được sử dụng để bảo vệ thông tin nhạy cảm. Mức độ để triển khai cơ chế bảo mật phụ thuộc vào độ nhạy cảm của thông tin.



Quá trình mã hóa có thể áp dụng tại bất kỳ giao thức nào. Ứng dụng có thể cung cấp một phương thức mã hóa giữa 2 điểm, nhưng mỗi ứng dụng phải hỗ trợ phương thức mã hóa này. Mã hóa tại tầng Transport được sử dụng thường xuyên trong ngày hôm nay. Mạng riêng ảo (VPN) có thể thiết lập một kết nối bảo mật giửa 2 site và giữa một user với site. Mã hóa cũng có thể được sử dụng tại tầng Datalink (của OSI). Bảo mật vật lý để ngăn chặn những user không chứng thực truy xuất đến những network port và những thiết bị trong phòng.




-Integrity (Toàn vẹn): Toàn vẹn chắc chắn thông tin là chính xác và được xác thực. Chúng ta cần chắc chắn rằng message được nhận cũng giống như message được gửi. Nội dung của message chắn chắn phải nguyên vẹn và không bị chỉnh sửa, và có 1 quá trình truyền thông giữa source và destination hợp lệ. Một kết nối toàn vẹn có thể được cung cấp bởi thuật toán mã hoá hay điều khiển routing.




-Availability (Tính sẵn sàng): Tính sẵn sàng chắc chắn thông tin và dịch vụ luôn sẵn sàng được truy xuất mỗi khi cần thiết và được chứng thực. Redundancy, fault tolerance, reliability, failover, backups, recovery, resilience và load balancing là những khái niệm mạng được sử dụng để đảm bảo tính availability. Nếu hệ thống không availability thì sau đó không đảm bảo integrity, confidentiality. Khi xây dưng hệ thống phải cung cấp khả năng availability cao.




Khách hàng và người dùng cuối sẽ nhận thấy tính availbility khi sử dụng hệ thống mạng của bạn như application, server, network và workstation. Nếu họ không thể chạy ứng dụng thì đó là không có tính availibility.


Tấn công DoS mục đích là làm mất đi tính availibility của network và server, và có thể gây tổn hại đến công ty. Trong 2/2000, những Web site lớn như Yahoo!, eBay, Amazon, CNN, ZDNET, Exited và Buy.com đã bị tấn công bởi DdoS (distributed denied of Service) và khả năng availability của họ chỉ giảm xuống còn 10% trong nhiều giờ liền.





Những hệ thống khác nhau sẽ đưa ra những mức độ bảo mật khác nhau dựa vào 3 yếu tố trên. Cho 1 vài ví dụ: Nhà cung cấp dịch vụ Internet (ISP) có thể tập trung vào configentiality và intergrity, và sẽ tập trung hơn nữa tính availability cho khách hàng. Ngược lại, trong quân đội tập trung mạnh vào confidentiality. Hầu hết hệ thống bảo mật đều tập trung vào 3 yếu tố trên.




1.2. Mô hình Department of Defense (DoD):




Thông tin được truyền qua mạng IP. Dó đó để nói về bảo mật đầu tiên chúng ta cần phải nói đến mạng IP. Chúng ta bắt đầu ở mô hình mạng DoD (Department of Defense). 4 tầng của mô hình DoD, đi từ tầng thấp transport đến tầng cao application:




-Network Access Layer (Tầng truy xuất mạng): Mô tả máy tính giao tiếp với một thiết bị khác gắn cục bộ như thế nào. Tập trung vào vấn đề Frame và quy tắc cơ bản của đơn vị dữ liệu truyền trên physical network interface. Trong bảo mật mạng ở tầng này, chúng ta xem xét media, switch,hub để tìm ra những vấn đề bảo mật.


-Internetwork Layer: Mô tả frame được đóng gói trong một packet như thế nào và packet bên trong datagram. Và datagram được truyền giữa hai mạng cục bộ. Trong bảo mật mạng ở tầng này, chúng ta xem xét switch, router và firewall như Cisco Pix để tìm những vấn đề bảo mật.




-Host to Host Transport Layer (Tầng truyền Host đến Host): Mô tả những host làm như thế nào để truyền dòng thông tin tin cậy. Trong bảo mật mạng, chúng ta xem xét router, firewall và những thiết bị ứng dụng như là load balancer hay content manager bằng cách kết hợp thiết bị dò tìm như Instrution Detection System (IDS) để dò tìm những lỗi bảo mật.



Process Application Layer (Tầng xử lý ứng dụng): Mô tả một end-user và một end-application tương tác với tầng transport như thế nào. Trong bảo mật mạng, chúng ta xem xét những end-application cũng với những công cụ như IDS và công cụ dò tìm lỗi như Cisco Secure Scanner.

1.3. Những phương pháp bảo mật thích hợp đối với từng tầng trong mô hình DoD:

Để bảo vệ hệ thống mạng, bạn chắc chắn phải áp dụng bảo mật trong nhiều tầng. Cách phòng thủ nhiều tầng này được gọi là phòng thủ theo chiều sâu. Bạn có thể tạo ra nhiều Firewall bên trong hệ thống vì những người xâm nhập luôn tìm cách giành quyền truy xuất vào hệ thống. Sử dụng Firewall để không cho Private Server được nhìn thấy từ public network. Firewall là yếu tố đầu tiên trong hệ thống phòng thủ của bạn. Packet Filtering trên Router có thể bổ sung sự bảo vệ cho Firewall và cung cấp sự giới hạn truy xuất.

Việc truy xuất đến những host chứa những thông tin mật cần phải được bảo vệ một cách cẩn thận. Một vài host có thể được sử dụng để cung cấp một public access như là Web Server hay Mail Server. Một số host khác chứa những thông tin mật có thể chỉ được sử dụng trong một single department hay workgroup. Đưa ra những traffic cần thiết và xác định giới hạn việc điều khiển truy xuất đối với những tài nguyên đó.

Một cách tốt để phòng thủ chiều sâu là nhìn vào mỗi tầng trong mô hình DoD, và áp dụng chính sách bảo mật phù hợp.

1.3.1. Bảo vệ tầng Network Access:

Một hình thức bảo vệ kết nối point to point, như là leased line hay Frame Relay. Những thiết bị phần cứng chuyên dụng được gắn với mỗi điểm cuối của liên kết để mã hoá và giải mã. Quân đội, chính phủ và ngân hàng hầu hết sử dụng phương pháp này. Phương pháp này sẽ giúp bảo vệ tốt một hệ thống mạng, bởi vì packet được route trong trạng thái được mã hoá, người nghe trộm không thể xác định được địa chỉ source và địa chỉ destination trong packet.

Access Control List (ACL):

ACL là một cách hiệu quả để filter packet dựa trên địa chỉ. ACL có thể thực thi trên Router và những thiết bị tương tự khác để điều khiển một packet có IP source và IP dest có được cho phép đi qua gateway. Một access list chuẩn có thể filter dựa trên source address. Một access list mở rộng có thể filter ICMP, IGMP hay những giao thức IP khác tại tầng Network. ICMP có thể được filter dựa trên những message được chỉ định trước. IP filter có thể bao gồm port number tại tầng Transport (TCP/UDP) để cho phép hay không cho phép một dịch vụ được chỉ định trước. Access list cũng có thể điều khiển những giao thức khác như là Apple Talk hay IPX. ACL là sự lựa chọn tốt nhất của bạn và là cách tốt nhất để loại trừ những traffic không mong muốn.

1.3.2 Host to Host Layer Security:

Host to host layer seccurity có thể áp dụng để bảo mật traffic cho tất cả các ứng dụng hay giao thức truyền trong những tầng ở trên. Confidentiality và intergrity thì dễ dàng được duy trì thông qua giao thức mã hoá và chứng thực, availablity và những sự đáng tin cậy khác được chỉ định thông qua giao thức truyền tin cậy.

IPSec:

Kiến trúc bảo mật của IPSec là một bộ dịch vụ bảo mật traffic tại tầng IP. Nó là một chuẩn mở được định nghĩa trong RFC 2401. IPSec được sự chấp nhận rộng rãi, nó được sẵn dùng trong nhiều host và nhiều thiết bị hạ tầng mạng. Nó được tích hợp bên trong IOS cỉa cisco, và sẵn dùng trong hầu hết router và firewall.
Giao thức IPSec có thể cung cấp điều khiển truy xuất, chứng thực và toàn vẹn dữ liệu, và confidentiality cho mỗi IP packet giữa 2 node mạng. IPSec có thể được sử dụng giữa 2 host, một gateway và 1 host, hay hai gateway.

IPSec thêm hai giao thức bảo mật đến IP: Authentication Header (AH), và Encapsulating Security Payload (ESP). AH cung cấp toàn vẹn kết nối. AH không cung cấp mã hoá dữ liệu nhưng bất kỳ sự chỉnh sửa nào của dử liệu cũng sẽ được dò tìm ra. ESP cung cấp confidentiality thông qua việc mã hoá Payload. Điều khiển truy xuất được cung cấp thông qua việc sử dụng và quản lý key để điều khiển dòng traffic.

IPSec được thiết kế để trở nên linh hoạt vì thế những nhu cầu bảo mật khác nhau có thể được cung cấp. Dịch vụ bảo mật có thể đáp ứng được những nhu cầu riêng biệt cho mỗi kết nối bởi việc sử dụng AH hay ESP riêng rẽ theo chức năng của nó hay kết hợp hai giao thức lại để cung cấp một sự bảo vệ đầy đủ được đưa ra bởi IPSec. Nhiều thuật toán mã hoá được hỗ trợ. Thuật toán được thực thi trong IPSec được liệt kê dưới đây. Thuật toán null không cung cấp sự bảo vệ, nhưng được sử dụng để thương thuyết những giao thức khác. AH và ESP không thể null tại một thời điểm.

-Data Encryption Standard trong Cipher Block Chaining (CBC) mode.
-HMAC (Hash Message Authentication Codes) với MD5.
-HMAC với SHA.
-Thuật toán chứng thực null.
-Thuật toán mã hoá null.

Mối giao thức hỗ trợ một transport mode và một tunnel mode. Transport mode là giữa hai host. Tunnel mode là một tunnel IP và được sử dụng khi nào cả hai điểm kết nối là security gateway. Một security gateway là một hệ thống trung gian như là một router hay một firewall mà thực thi giao thức IPSec. Sự kết hợp bảo mật giữa một host và một security gateway chắc chắn phải sư dụng tunnel mode.

Trong transport mode, AH hay ESP header đươch chèn phía sau IP header nhưng trước header của giao thức bất kỳ thuộc tầng trên. Như trình bày trong hình 1.1, AH chức thức IP header gốc nhưng không bảo vệ trường bị chỉnh sữa trong tiến trình routing IP packet. ESP chỉ bảo vệ những gì sau ESP Header. Nếu policy bảo mật giữa hai host đòi hỏi sự pha trộn của AH và ESP, thì AH Header xuất hiện đầu tiên sau đó đến IP Header và theo sau là ESP Header. Sự kết hợp này được gọi là SA bundle.

Trong tunnel mode, IP Header gốc và payload được đóng gói bởi giao thức IPSec. Một IP Header mới chỉ định đích IPSec tunnel được gắn tới packet. IP Header gốc và payload của nó được bảo vệ bởi AH hay ESP header. Từ hình 1.2 bạn có thể nhận thấy rằng AH cung cấp sự bảo vệ toàn bộ packet nhưng không bảo vệ trường bị chỉnh sửa trong suốt quá trình routing IP packet giữa 2 endpoint.


http://upanh.com/uploads/19-Sep-2009/w0r83lnhz1fyqfate2wm.jpg

http://upanh.com/uploads/19-Sep-2009/9vi84bxnvke1eokh5x8w.jpg


Quản lý key là một thành phần lớn khác của IPSec. Công nghệ cấu hình bằng tay được cho phép trong IPSec chuẩn và có thể được chấp nhận để cấu hình một hay hai gateway nhưng việc gõ key bằng tay không thích hợp trong một số trường hợp. Internet Key Exchange (IKE) cung cấp key một cách tự động, quản lý SA hai chiều, tạo key và quản lý key. IKE thương thuyết trong hai giai đoạn. Giai đoạn 1 thương thuyết bảo mật, kênh chứng thực mà dựa trên đó hệ thống có thể thương thuyết nhiều giao thức khác. Chúng đồng ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực và nhóm Diffie-Hellman để trao đổi key và thông tin. Giai đoạn 2 xác định dịch vụ bảo được sử dụng bởi IPSec. Chúng đồng ý giao thức IPSec, thuật toán hash, và thuật toán mã hoá. Một SA được tạo ra cho inbound và outbound của mỗi giao thức được sử dụng.

1.3.3 Process Application Layer Security:

Bất kỳ nhà sản xuất phần mềm nào cũng phải đối mặt với những nguy cơ bảo mật. Bảo mật có thể xem như một cuộc chạy đua vũ trang với những lỗi bảo mật bị phát hiện và những bản vá lỗi được đưa ra. Hằng ngày, những Web Site ghi lại những lỗi bảo mật (như là Cert) đưa ra những lỗi bảo mật mới trên hệ điều hành, phần mêm ứng dụng, phần mềm server hay thiết bị. Năm trước, Cert thống kê trung bình có 6 lỗi bảo mật trên một ngày.

Bản vá lỗi được đưa ra cho những lỗi đã được phát hiện, nhưng những lỗi bảo mật mới tiếp tục được tìm thấy. Thỉnh thoảng bản vá lỗi được đưa ra để sửa một lỗi nhưng lại bắt đầu cho những lỗi khác. Phần mềm mã nguồn mở được sủ dụng rộng rãi trong những năm gần đây cũng có những lỗi bảo mật. Trong 6/2000, CERT đưa ra lỗi MIT Kerberos bị lỗi tràn bộ đệm có thể được sử dụng để lấy quyền root.

Nhiều site không cập nhật phần mềm bị lỗi bảo mật khi nó đưa ra một bản vá lỗi. Một điều quan trọng là luôn luôn giữ các phần mềm của bạn trong trạng thái sẵn sang cập nhật. Nhiều cuộc tấn công nguy hiểm xảy ra tại phần mềm của người sử dụng như là mail điện tử. Có thể tấn công trực tiếp đến bất kỳ phần mềm nào và ảnh hưởng đến hoạt động của toàn bộ hệ thống mạng.

Cấu hình mặc định của host là làm cho chúng dễ dàng khởi động và chạy, nhưng có một số dịch vụ mặc định không cần thiết. Những dịch vụ này sẽ làm tăng nguy cơ cho hệ thống. Trên mỗi host những dịch vụ không cần thiết cần được shutdown. Cấu hình host sai cũng tăng nguy cơ cho hệ thống khi có một truy xuất không được chứng thực.

Mức độ phức tạp của hệ thống tăng, thiếu những người quản trị mạng giỏi tất cả yêu tố trên sẽ làm tăng nguy cơ bảo mật đến một host và ứng dụng. Chúng ta không thể luôn luôn bảo vệ host trước tất cả mối nguy hiểm. Một phương pháp hữu ích là sử dụng thiết bị scanning tự động như là Cisco Secure Scanner (trước đây là NetSonar) để giúp đở nhận dạng các mối đe doạ.

Bảo mật tầng ứng dụng có thể có thể cung cấp một quá trình bảo mật từ từ ứng dụng chạy trên một host thông qua mạng đến một ứng dụng chạy trên host khác.

1.3.3.1 PGP:

Phil Zimmerman đã tạo ra Pretty Good Privacy (PGP) vào năm 1991. Nó được sử dụng rộng rãi bởi mọi các nhân trên thế giới và chữ ký điện tử choc ho email. PGP cung cấp một quá trình mã hoá hoá giữa hai điểm từ người gửi gửi đến người nhận. Nó cũng được sử dụng để mã hoá file. PGP sử dụng thuật toán RSA public key để trao đổi key và IDEA để mã hoá message. PGP sử dụng sự Web trust hay network trust, mà ở đó bất kỳ user nào cũng có thể xác minh được một user khác.

1.3.3.2 S-HTTP:

S-HHTP thì không được sử dụng rộng rãi, nhưng nó được thiết kế để cung cấp bảo mật cho ứng dụng Web. Bảo mật HTTP là bảo mật message và có thể truyền message cá nhân một cách bảo mật. Nó cung cấp bảo mật Transaction, sự chứng thực và toàn vẹn message và mở rộng HTTP để mã hoá và bảo mật đường truyền. S-HTTP được thực thi trên một số Web server thương mại và hầu hết trình duyệt. S-HTTP server thương thuyết với client về loại mã hoá mà sẽ được sử dụng.
S-HTTP không đòi hỏi client có public key certificate bởi vì nó sử dụng khoá đối xứng để cung cấp transaction riêng tư.

1.3.3.3 Secure Sockets Layer (SSL) và Transport Layer Security (TLS):

SSL được thiết kế bởi Netscape và được sử dụng rộng rãi trên Internet cho những Web transaction như là gửi dữ liệu credit card. Nó có thể hỗ trợ tốt cho những giao thức khác như Telnet, FTP, LDAP, IMAP và SMTP nhưng không được sử dụng phổ biến. TLS là một chuẩn mở, được phát triễn dựa trên SSL3.0, được định nghĩa trong RFC 2246, 2712, 2817, 2817.

SSL và TLS cung cấp một kết nối giữa client và server mà dữ liệu gửi trên đó sẽ được bảo mật. Server và trình duyệt chắc chắn phải enable SSL hay TLS để cung cung câp một kết nối Web bảo mật, trong khi đó ứng dụng chắc chắn phải enable SSL hay TLS để cho phép user của họ sử dụng một kết nối bảo mật. Tuy nhiên, một khuynh hướng gần đây là sử dụng một đường truyền SSL chuyên dụng như là VPN terminator. Cisco Content Services Switch Secure Content Accelerator 1100 là 1 ví dụ của công nghệ này.

Để trình duyệt và server truyền thông một cách bảo mật, mỗi bên phải có một shared session key. SSL/TLS sử dụng public key encryption để trao đổi session key trong suốt quá trình khởi động truyền thông. Khi một trình duyệt được cài đặt trên một Workstation, nó tạo ra một cặp khoá private và publickey.

1.3.3.4 The Secure Shell Protocol (SSH):

SHH được nói đến trong tập tài liệu phát thảo Internet. SSH cung cấp bảo mật kết nối từ xa và những dịch vụ bảo mật mạng khác trên một mạng không bảo mật. Nó không cho passwork được truyền trên mạng dưới dạng clear-text. Một chương trình cung cấp giao thức SSH trên Windows là Putty, nó có tại www.chiark.greenend.org.uk/~sgtatham/putty (http://www.chiark.greenend.org.uk/%7Esgtatham/putty). Hệ điều hành trên modern cisco router hỗ trợ SSH, nhưng chỉ SSHv1. SSHv2 được viết lại mới hoàn toàn để sử dụng những giao thức bảo mật khác và được thêm vào thuật toán mã hoá public key. Cả hai version cung cấp việc bảo mật password và những lệnh khác trong suốt session.

Giao thức SSH cung cấp việc bảo mật kênh truyền. Đây là 3 thành phần lớn của giao thức SSH:

-Transport layer protocol (Giao thức truyền): Cung cấp chứng thực, bảo mật, và toàn vẹn cho server. Nó cũng có thể nén dòng dữ liệu. SSH transport chạy phía trên TCP. Giao thức transport thương thuyết phương pháp trao đổi key, public key, mã hoá đối xứng, chứng thực và thuật toán hash.

-Authentication Protocol (Giao thức chứng thực user): chứng thực cấp độ user đến server và chạy phía trên của SSH transport layer. Nó thừa nhận rằng transport layer cung cấp toàn vẹn và bảo mật. Phương pháp của chứng thực được trao đổi giữa server và client.

-Connection Protocol (giao thức kết nối): Giao thức kết nối: nó chạy phía trên SSH transport và giao thức chứng thực. Giao thức này thương thuyết window size, và loại dữ liệu. Giao thức kết nối có thể là kênh truyền X11 hay TCP port traffic tuỳ ý.

Hình 1.4 trình bày điều khiển bảo mật có thể tương tác với network traffic khác nhau như thế nào.


http://upanh.com/uploads/19-Sep-2009/tzvfy5i012dl9p8vut6q.jpg

1.4. Chứng thực:

Chứng thực có thể được sử dụng để cung cấp bảo mật tại bất kỳ tầng nào trong protocol stack, nhưng nó thường được phát triễn tại tầng xử lý ứng dụng.

Chứng thực có thể được cung cấp một cách cục bộ trên mỗi thiết bị trong hệ thống mạng, nhưng sử dụng một server để cung cấp chứng thực giúp cho linh hoạt hơn, tiến bộ hơn và điều khiển tập trung. Firewall, router và remote access server bắt buộc phải có policy. Cấu hình những thiết bị trên để sử dụng một cơ sở dữ liệu chung cho account để dễ dàng trong việc quản trị và user có thể truy xuất mạng thông qua nhiều cách.

Một Cisco Network Access Server (NAS), firewall hay router hoạt động như một client và yêu cầu chứng thực từ một server cung cấp chứng thực. Access Server hay router sẽ gợi ý cho user nhập username và password và sau đó kiểm tra password với server cung cấp chứng thực. TACACS+, RADIUS, và Kerberos là những server cung cấp chứng thực được sử dụng rộng rãi và được hỗ trợ bởi cisco. TACACS+ và RADIUS có thể cung cấp dịch vụ chứng thực và accounting.

1.4.1. Terminal Access Controller Access System Plus (TACACS+):

TACACS+ là phiên bản cải tiến của TACACS được phát triễn bởi cisco. Những đặc điểm được cải tiến bao gồm sự phân cách giữa chứng thực, sự cho phép, accounting trong ba chức năng khác nhau. Nhứng dịch vụ đó có thể sử dụng độc lập hay kết hợp cùng nhau. Cho ví dụ: Kerberos có thể sử dụng cho chứng thực và TACACS+ được sử dụng cho sự cấp phép và accounting. Một vài đặc điểm của TACACS+:

-Trong khi phiên bản cũ TACACS và Radius sử dụng UDP để truyền thì TACACS+ sử dụng TCP (port 49) để truyền.

-TACACS+ có thể mã hoá toàn bộ payload của packet, vì thế nó bảo vệ password, username và những thông tin khác được gửi giữa cisco access client và server. Mã hoá có thể được tắt để troubleshooting.

-TACACS+ hỗ trợ nhiều protocol như là IP, Apple Talk Remote Access (ARA), Novel, Asynchoronous Service Interface (NASI), X.25 PAD connection và NetBios.

-Bạn có thể sử dụng TACACS+ để cung cấp việc điều khiển quản lý Router tốt hơn trong cả hai mode nonprivileged hay privileged, bởi vì bạn có thể chứng thực một cá nhân user hay nhiều group thay cho việc sử dụng một password được chia sẽ. Lệnh trên Router có thể được chỉ định trên TACACS+ server để cho phép user chỉ sử dụng những lệnh đó

1.4.2. Remote Dial-In User System (Radius):

Radius là một chuẩn mở và được hỗ trợ bởi nhiều nhà sản xuất. Ban đầu nó được thiết kế cho ISP để hỗ trợ Dial-In client, và cung cấp sự cấp phép và thông tin tính tiền khi cần thiết. Radius có thể được sử dụng trong một mạng có nhiều thiết bị của nhiều nhà sản xuất khác nhau bởi vì nó được hỗ trợ rộng rãi, nhưng một vài nhà sản xuất thực thi những đặc tính riêng của họ trong Radius làm ngăn cản sự tương thích:

-Radius sử dụng UDP.

-Để chứng thực Radius chỉ mã hoá password gửi giữa cisco client và Radius server.

-Radius không hỗ trợ nhiều giao thức và chỉ làm việc trên mạng IP.

-Radius không cung cấp khả năng điều khiển dòng lệnh được thực thi trên Router. Nó cung cấp chứng thực nhưng không cung cấp sự chứng thực đến thiết bị cisco.

II. Định nghĩa và chi tiết về các mối đe dọa:

2.1 Nhận biết những trường hợp gây ra những vấn đề về bảo mật:

Có nhiều nguyên nhân gây ra những vấn đề về bảo mật, có thể phân ra ba nguyên nhân chủ yếu:

-Technology Weekness (Công nghệ yếu).
-Policy Weekness (Policy yếu).
-Configuration Weakness (Cấu hình yếu).

2.1.1 Technology Weakness:

Mọi công nghệ đều có những điểm yếu, hay có những lỗi có thể bị khai thác bởi hacker. Một vài điểm yếu được công bố rộng rãi bởi vì đây là những lỗi trong những sản phẩm nổi tiếng.

2.1.1.1 TCP/IP không được thiết kế để cung cấp bảo mật:

TCP/IP không được thiết kế để cung cấp bảo mật như một sự lựa chọn ưu tiên. Người thiết kế làm cho dữ liệu được truyền một cách tin cậy đến đích để chia sẽ thông tin. Trước đây nhiều giao thức và công cụ tạo nên bộ giao thức TCP/IP được phát triễn dựa trên một môi trường được tin cậy và mở.

Ngày hôm nay những khóa huấn luyện bảo mật, những dịch vụ bảo mật và rất nhiều sản phẩm từ nhiều nhà sản xuất đã góp phần làm giảm bớt những nguy cơ bảo mật.

2.1.1.2 Máy tính và HĐH mạng:

Bất chấp mọi sản phẩm là nguồn mở hay có license. Mọi HĐH đều có những lỗi và nó khắc phục điều này bằng cách đưa ra những bàn patches, nâng cấp và những bài huấn luyện bảo mật.

2.1.1.3 Network device weaknesses:

Khi một IOS được nhúng vào trong mạch điện của thiết bị thì thiết bị có thể có những lổ hổng có thể bị khai thác. Những lỗ hổng này có thể không bị phát hiện trong nhiều năm cho đến khi một người tình cờ phát hiện ra nó và họ khai thác hay họ ghi lại trong một tài liệu. Tài liệu này cảnh báo người dùng về lỗi đó và có thể là một tài liệu đối với hacker.

Khi bản vá lỗi xuất hiện, IOS được cập nhật, và những phương pháp bảo mật có thể được áp dụng để loại trừ và giảm nhẹ lỗi được phát hiện. Trong một vài trường hợp có thể di chuyển thiết bị này vào nơi nào đó trong hệ thống mạng mà ít chụi sự tác động của lỗi này.
Để tìm những thông tin bảo mật và những thông tin liên quan. Đi tới trang http://www.cisco.com (http://www.cisco.com/) và tìm kiếm dựa trên thông tin bảo mật quan tâm.

2.1.2 Policy Weakness:

Những ví dụ sau là những policy có thể tác động đến hệ thống máy tính:
-Không có security policy.
-Thiếu kế hoạch phục hồi khi gặp sự cố.
-Không có policy khi phần mềm hay phần cứng được thêm vào hay thay đổi.
-Thiếu quá trình giám sát.

2.1.3 Configuration Weakness:

Một vài vấn đề cấu hình phổ biến liên quan đến bảo mật trong hệ thống mạng:

-ACL (access control list) thất bại trong việc block những traffic được chỉ định.
-Password cũ, mặc định hay bị mất.
-Những port hay service không cần thiết được active.
-UserID và pasword được trao đổi dưới dạng clear text.
Việc bảo vệ truy xuất từ xa thông qua Internet hay dịch vụ Dail-up yếu hoặc không có.

2.2 Bốn Mối Đe Dọa Chính Đối Với Hệ Thống Mạng:

-Unstructure Threat.
-Structured Threat.
-Internal Threat.
-External Threat.

2.2.1 Unstructure Threat:

Unstructure Threat thường bao gồm những cuộc tấn công không tập trung vào một hay nhiều hệ thống mạng bởi một cá nhân (có những kỹ năng còn giới hạn thực hiện). Hệ thống bị tấn công chắc chắn không biết thủ phạm gây ra.
Internet có nhiều site mà những người tò mò có thể tìm đến và chạy một chương trình như là virus, worm, hay Trojan horse. Trong tất cả các trường hợp, chúng là những chương trình nhỏ được viết bởi một người nào đó. Chúng không thể sống và phát triễn nếu không có sự tác động của một người nào đó. Một vài thuật ngữ phổ biến dùng để định nghĩa những mối đe dọa trên:

-Virus: Một chương trình có khả năng sao chép mà không có sự tác động của user và những chương trình đã đựơc sao chép cũng có khả năng tự động sao chép.

-Worm: là một hình thức của virus, sao chép dưới hình thức tạo ra bản sao chép của chính nó trên những ổ đĩa, hệ thống hay mạng khác nhau. Một Worm làm việc trên hệ thống email, nó có thể gửi chính bản thân nó đến mọi địa chỉ trong hệ thống email. Code Red và Nimda là những ví dụ về Worm đã gây ra nhiều tác hại trong những năm gần đây.

-Trojan Hourse: nhìn bên ngoài như là một chương trình hữu ích hay giải trí (thường là một game hay screensaver, nhưng bên trong nó có thể thực hiện những nhiệm vụ khác như là xóa và thay đổi dữ liệu, hay là chụp password và keystroke. Một Trojan Hourse đúng nghĩa thì khác virus bởi vì nó không sao chép chính nó.

Những người tiến hành một cuộc tấn công unstructured thì thường được biết như là script kiddy bởi vì những người này thiếu những kỹ năng để phát triễn cuộc tấn công.

2.2.2 Structure Threat:

Structure Threat thường là hình thức tấn công tập trung do một người hoặc một nhóm người (có kiến thức cao về bảo mật) thực hiện để tấn công vào hệ thống. Hệ thống bị tấn công có thể được xác định thông qua quá trình tìm kiếm ngẫu nhiên, hay đó là một sự lựa chọn có chủ đích. Người tấn công thường có kiến thức về thiết kế mạng, bảo mật, những thủ tục truy xuất và công cụ hacking, và họ có khả năng tạo ra công cụ hay một ứng dụng để thực hiện mục đích nào đó.

2.2.3 Internal Threat:

Internal Threat được tổ chức từ những người được phép truy xuất đến hệ thống mạng. Đó có thể là những nhân viên bất mãn, một nhân viên cơ hội, những nhân viên không hạnh phúc với công ty…

2.2.4 External Threat:

External Threat là những mối đe dọa từ những cá nhân bên ngoài tổ chức, thường sử dụng Internet hay truy xuất Dial-Up. Những người tấn công không có quyền truy xuất đến hệ thống.

Khi cố gắng để phân loại những threat, kết quả có thể là sự kết hợp giữa hai hay nhiều mối đe dọa. Cuộc tấn công có thể là structured từ external, nhưng đáng sợ hơn cả là những cuộc tấn công đến từ những nhân viên trong nội bộ hệ thống mạng.

Thanks Ryta. Bài viết thật sự có ý nghĩa.

2.3 Có 4 cách phổ biến để tấn công mạng. Đó là:

-Reconnaissance attack (Tấn công theo kiểu trinh thám)
-Access attack (Tấn công theo kiểu truy xuất)
-Denial of Service attack (Tấn công từ chối dịch vụ)
-Data manipulation attack

2.3.1 Reconnaissence Attack:

Reconnaissence Attack giúp cho những người tấn công thu thập những thông tin về hệ thống mạng sắp bị tấn công trước khi tiến hành những kế hoạch tấn công nguy hiểm khác. Thường thường, Reconnaissence attack được thực thi dựa trên những thông tin có sẵn như trên trang Web public của tổ chức, từ nhân viên....

2.3.1.1 Thông tin công cộng:

Tên nhân viên và địa chỉ email là một đầu mối tốt để đoán username của nhân viên đó. Thông thường một nhân viên sử dụng họ và tên như là username trên máy tính của họ. Email Address cũng là một username phổ biến cho máy tính. Những công ty lớn thường có số điện thoại của riêng họ được cung cấp bởi hệ thống local telephone. Bởi việc sử dụng thông tin này, người tấn công có thể bắt đầu quay số đến tất cả nhân viên trong công ty để dò tìm một dial-up server. Một khi dial-up server được tìm thấy, người tấn công có thể phỏng đoán account username dựa trên họ và tên hoặc địa chỉ email của nhân viên. Brute Force password luôn luôn sẵn có trên Internet. Một khi username đã bị đoán trúng, chỉ cần mất một ít thời gian để một password yếu bị crack.

Một war dialer là một chương trình được sử dụng để dial block một phone number cho đến khi nó tìm thấy một máy tính. Khi một máy tính được tìm thấy, ứng dụng war dialer ghi lại số đã gọi để người tấn công sử dụng cho những lần sau.

Để sử dụng một account trên server hay trên một mạng, bạn chắc chắn phải có username và password. Cách tìm ra username đã được mô tả khá rõ ràng ở trên. Attacker sử dụng password cracker để crack password để sử dụng account. Một vài password cracker tìm thấy những file mã hóa trên server và giải mã chúng. Khi hacker không thể lấy file password thì bruce force password cracker được sử dụng. Brute force password cracker cố gắng login đến một máy tính nhiều lần sử dụng những account khác nhau. Một vài phần mềm cracking sử dụng file từ điển.
Những phần mềm phổ biến sau thường được sử dụng để tiến hành password cracker.


http://upanh.com/uploads/19-Sep-2009/rb3seh6ite08v7p6nk2a.jpg


Thông tin về địa chỉ IP được cung cấp công khai trên ARIN và thông qua những tổ chức đăng ký IP khác. Từ www.arin.com (http://www.arin.com/) một người bất kỳ có thể bắt đầu tìm kiếm thông tin sử dụng địa chỉ IP đã được biết này. Domain Naming System là một hệ thống khác có thể cung cấp nhiều thông tin lien quan đến IP address và phân giải tên cho một công ty.

Đối với những công ty đặt hệ thống email, web, ftp, hay những dịch vụ khác trên Internet, thì chắc chắn nó phải có tên trong danh sách server nằm trong database của DNS. Server DNS liệt kê tên của những server trên và những IP address có thể được sủ dụng để truy xuất những dịch vụ. Để giảm bớt những nguy cơ, công ty có thể chọn cách đặt những dịch vụ này ra khỏi mạng nội bộ của công ty đến một công ty chuyên về hosting.

2.3.1.2 Electronic Reconnaissance:

Attacker phải thực hiện electronic reconnaissance để tìm thấy hệ thống nào và tài nguyên nào đang được sử dụng trên mạng. Trừ khi attaker có nắm bắt trước được hệ thống đích, nếu không thì người tấn công chắc chắn phải tìm thấy vị trí logic của những tài nguyên được đặ trên hệ thống. Một khi IP Address của công ty được biết, người tấn công có thể bắt đầu thăm dò và scan hệ thống mạng. Người tấn công có thể scan hệ thống mạng để tìm ra những lỗi trên đó về các host, ứng dụng, và cơ sở hạ tầng mạng.

Chương trình scan mạng điển hình là là sử dụng tiện ích ping sweep cho phép ping một dãy địa chỉ IP. Mục đích của việc scanning là tìm những host active trên mạng. Ping Sweep xác định được mục tiêu đích trên hệ thống mạng. Một khi IP của host đích được xác định, người tấn công có thể bắt đầu giám sát những host đích để thu thập những thông tin liên quan như là OS và ứng dụng chạy trên những host đó.

Quá trình giám sát là cố gắng thu thập thông tin về những host trên hệ thống mạng. Port được xem như là một cánh cửa ảo để kết nối với Internet. Một máy tính muốn cung cấp hay sử dụng một dịch vụ trên hệ thống mạng thì chúng chắc chắn phải mở port. Điển hình là Web server sử dụng port 80, trong khi FTP server sử dụng port 21. Một người tấn công có thể khám phá ra những dịch vụ gì đang chạy đang trên một máy tính bởi việc khám phá ra những port mà máy tính đó đang mở.

TCP/IP sử dụng địa chỉ port để chỉ định những dịch vụ chạy trên một máy tính. Số thứ tự của port được sử dụng bởi ứng dụng là địa chỉ của ứng 10.0.0.1 có thể là 10.0.0.1:80. Địa chỉ này chỉ đến một host có địa chỉ là 10.0.0.1 và một ứng dụng có địa chỉ là 80. Hầu hết những ứng dụng phổ biến sử dụng những port nổit tiếng. Một danh sách những port nổi tiếng được quản lý bởi Internet Assigned Number Authority (IANA) có thể xem tại http://www.iana.org/assignments/port -numbers.

Thông thường có nhiều port không cần thiết được mở trên một máy, đây là nguy cơ tiềm tàng khi một người nào đó khai thác những dịch vụ đang chạy trên host. Một khi người tấn công biết port nào được mở, họ có thể sử dụng thông tin này để khám phá OS và ứng dụng đang chạy trên port.

Mục đích của việc scanning và giám sát là tìm thấy những yếu điểm trên hệ thống mạng. Người tấn công biết những lỗi của những hệ điều hành cụ thể và những ứng dụng. Người tấn công sẽ tự tăng cơ hội thành công cho mình khi tìm thấy những điểm yếu nhất trên hệ thống mạng và sau đó tấn công vào hệ thống đó. Người tấn công tiếp tục khám phá những thông tin về hệ thống mạng cho đến khi nào có một bản đồ cụ thể về host, server và những điểm yếu có thể khai thác được sau này.

2.3.1.3 Reconnaissance Tools:

Có nhiều công cụ được phát triễn bởi hacker với mục đích giúp đỡ chúng tiến hành những hành động bát hợp pháp. Những công cụ được sử dụng bởi hacker cũng giống như công cụ được sử dụng bởi những kỹ sư mạng để theo dõi những vấn đề trên hệ thống mạng.

Những cấp độ bảo mật và intrusion detection đưa ra những thêm sự bảo vệ cho hệ thống vì vậy có nhiều phần mềm được sử dụng bở hacker. Phần mềm Intrusion-Detection phát hiện ra những người đang scan hệ thống mạng. Hacker biết việc scanning và giám sát hệ thống mạng có thể tạo ra sự nghi ngờ và tạo ra sự cảnh báo. Reconnaissence tool được sử dụng phổ biến bao gồm:


http://upanh.com/uploads/19-Sep-2009/duijkgq0m9ljkvgasf.jpg

2.3.2 Access Attack:

Access attack là một cụm từ để chỉ những hình thức khác nhau của liệc truy xuất trái phép nguồn tài nguyên của hệ thống. Một access attack có thể từ một cá nhân bên ngoài hay một group sử dụng những phương pháp khác nhau để truy xuất đến toàn bộ hệ thống mạng, ăn cắp những thông tin nhậy cảm hay tiến hành phá hủy tài nguyên. Một access attack có thể từ một user bên trong hệ thống mạng khi họ cố gắng truy xuất đến những khu vực không được phép. Muc đích của họ có thể là do tò mò nhưng hay cũng giống như mục đích của những hacker.

2.3.2.1 Gaining Initial Access:

Trong giai đoạn này attacker xem xét địa chỉ IP và tài nguyên trên hệ thống mạng, có khả năng chạy một chương trình network discovery trên hệ thống mạng không hay một tiện ích sniffer để chụp packet lại với hy vọng có thể capture một password cấp độ admin.

War dialer có thể được sử dụng để quay số một số lượng lớn số điện thoại. Một nguy cơ mới là khi ngồi tại một bãi đỗ xe hay trong một tòa nhà dọc trên đường với laptop và một card wireless để truy xuất Internet tại Access Point không được bảo mật.

2.3.2.2 Social Engineering:

Social engineering dựa trên khái niệm của nguy cơ hệ thống bị đổ vỡ bởi bruce force hay một công cụ khi bạn có một mối quan hệ thân thiện với nhân viên trong công ty và họ giúp đỡ bạn làm điều này. Social engineering nói một cách tổng quát là một hacker làm cho một nhân viên trong tin tưởng mình và giúp đỡ trong việc tấn công hệ thống mạng hay nhân viên đó vô tình để lộ những thông tin quan trọng đối với hacker.

Một công ty với quá trình xử lý chứng hực phức tạp như firewall, mạng riêng ảo (VPN) và phần mềm giám sát mạng sẽ trở nên vô nghĩa khi quá trình tấn công nhắm vào một nhân viên trong công ty và họ vô tình đưa cho hacker một thông tin quan trọng qua email hay trả lời một câu hỏi qua điện thoại từ một người không quen biết. Đây là cách tấn công mà attacker có thể thu được lợi ích từ một cử chỉ thân thiện, một nụ cuời và những kiến thức mà họ biết được về tổ chức khi đó attacker sẽ làm như mình là một nhân viên trong công ty.

2.3.2.3 Password-Based Authentication:

Để sử dụng một user account trên một server hay một mạng thì điều đầu tiên là bạn phải có username và password. Attacker sử dụng password cracker để để crack password để sử dụng account. Một vài password cracker tìm thấy file mã hóa trên server và giải mã chúng. Khi một attacker không lấy được những file password, thì brute force sẽ được attacker sử dụng. Bruce force cố gắng log in đến một computer account và sử dụng nhiều password để kiểm tra. Một vài phần mềm cracking sử dụng file từ điển, trong khi một số khác kết hợp mỗi phím trên bàn phím lại với nhau.

Những loại password cracker được sử dụng phổ biến bao gồm:


http://upanh.com/uploads/19-Sep-2009/vzerv5flrzju7px72pqe.jpg


Một hệ thống bảo mật password tốt sẽ khóa account sau một số lần giới hạn login bị sai để ngăn chặn loại tấn công brute-force. Một hacker khi tấn công thành công sẽ có cùng quyền truy xuất đến tài nguyên như của account mà họ đã chiếm được.

Tạo ra một password đơn giản có thể giúp cho hacker dễ dàng chiếm lấy account đó. Những việc không nên làm như viết password lên bàn, ghi chú lên lịch, cho phép truy xuất đến một máy tính cá nhân hay laptop mà password logon được nhớ bởi OS.

Những hệ thống thiết lập policy OTP (One-time password – nhập password chỉ một lần) và sử dụng thuật toán chứng thực có thể loại trừ bớt những mối đe dọa về tấn công password. OTP là việc sử dụng những phần mềm tạo ra password-token trên máy tính của bạn như số PIN. Phần mềm token sử dụng số pin để để tạo ra một password. Khi token được sử dụng nó sẽ ngăn chặn hacker sử dụng những phần mềm sniffer.

Nếu sử dụng một password chuẩn, thì cần phải thiết lập một password mạnh. Một password mạnh pahỉ chứa ít nhất 8 ký tự và trong đó chứa những ký tự là chữ hoa, chữ thường, số và ký tự đặc biệt. Sử dụng một password random là tốt nhất, nhưng khó nhớ và khiến user phải viết password đó ra.

2.3.2.4 Gaining Trusted hay Privileged Access:

Một khi giai đoạn initial access hoàn thành. Hacker sẽ cố gắng khai thác bất kỳ quyền truy xuất nào đến hệ thống, bao gồm khả năng được truy xuất vào những nguồn tài nguyên được chia sẽ. Nếu account đã hack được bị giới hạn quyền truy xuất thì hacker sẽ cố gắng giành quyền admin (root trong unix). Với quyền cao hơn, hacker cố gắng mở rộng tầm ảnh hưởng của mình bởi việc tao ra thêm những account có quyền truy xuất, xóa bất kỳ log hay history về hành động này và cài đặt thêm công cụ để trinh thám.

2.3.3 Tấn công Denial of Service:

Tấn công Denial of Service là hành động tấn công bị lên án nhất trong tất cả các hình thức tấn công và là mối hiểm họa lớn nhất đối với mọi tổ chức. Mục đích chính của bất kỳ quá trình tấn công DoS là từ chối truy xuất đến dịch vụ bằng cách tấn công dồn dập vào băng thông. Cách tấn công này có 2 cách để tấn công muc tiêu. Đầu tiên, sử dụng packet để chiếm dụng 100% khả năng performance của hệ thống, vì vậy ngăn chặn thiết bị làm việc. Bởi vì firewall hay hệ thống intrusion detection có thể dễ dàng để phòng chống cách tấn công trên, cách tấn công thứ 2 thì đáng sợ hơn. Mối đe dọa thứ 2 là băng thông kết nối với Internet của tổ chức bị đầy bởi những traffic không cần thiết. Vì nguyên nhân này, việc phòng thủ chỉ có thể có tác dụng từ ISP.

Một cuộc tấn công DoS thực sự không phải chỉ tiến hành trên 1 host (ngoại trừ những hacker thiếu kinh nghiệm). Hai hình thức tấn công nguy hiểm nhất là distributed denial of service (DdoS) và distributed deflection denial of service (DRDoS). Cả hai hình thức tấn công trên thường có sự tham gia của những nhân tố khác, thường là hàng trăm hay hàng ngàn người và của những host bị chiếm dụng để tấn công vào hệ thống mạng, vì thế tăng đáng kể quy mô của cuộc tấn công.

2.2.3.1 DDoS:

Tấn công DDoS bắt đầu bởi việc attacker đặt chương trình Zombie trên những máy tính bị xâm nhập để lấy một lương lớn băng thông để kết nối với Internet. Zombie được lập trình để giám sát những chat room Internet Relay Chat (IRC) chỉ định để nhận những chỉ thị. Quá trình tấn công Zombie được điều hành bởi một Zombie master, người gửi chỉ thị đến từng cá nhân Zombie, sau đó những người này bắt đầu tạo ra nhiều traffic nguy hiểm với mục đích tấn công mục tiêu đích.

(Hết)