Internet
Security
Nhóm 12
1. Trần Minh Thịnh
2.Trần Duy Tiến
3. Bùi Văn Hùng
4. Nguyễn Đức Anh
5. Đỗ Gia Huy
6. Nguyễn Tài Lộc
7.Nguyễn Hữu Quyền
Nội dung
I. Các mối đe dọa
II. các biện pháp ngăn chặn
I. Các mối đe dọa
Thăm dò
Nghe trộm
Mạo danh, lừa đảo
Lỗ hổng trang Web
Từ chối dịch vụ.
Mã lưu động
....
1.1. Thăm dò
Quét cổng- port scan : là quá trình xác định cổng TCP/IP mở và có sẵn trên một hệ thống.
Mục đích : thu thập thông tin của đối tượng tấn công
tên máy
địa chỉ ip
cấu hình máy
hệ điều hành
dịch vụ đang chạy
port đang mở
...
1.2. Nghe trộm
Cùng với sự bùng nổ của khoa học công nghệ, việc nghe lén điện thoại trở nên quá dễ dàng, bởi các thiết bị chuyên dụng trong đánh cắp thông tin được rao bán tràn lan trên mạng.
- sử dụng packet sniffer : Packet Sniffer hay Protocol Analyzer là những công cụ được sử dụng để chuẩn đoán và phát hiện lỗi hệ thống mạng và các vấn đề liên quan. Packet Sniffers được các Hacker sử dụng với mục đích như theo dõi bí mật Network Traffic và thu thập thông tin mật khẩu người dùng.
1.3. Mạo danh, lừa đảo
Phỏng đoán thông tin xác thực của đối tượng tấn công.
+) Đoán mật khẩu.
+) Nghe trộm thông tin xác thực của đối tượng tấn công.
+) Nghe trộm mật khẩu.
+) Lợi dụng lỗ hổng cơ chế xác thực
+) Tràn bộ đệm.
Man-in-the-middle là một cuộc tấn công mà kẻ tấn công bí mật chuyển tiếp và có thể làm thay đổi giao tiếp giữa hai bên mà họ tin rằng họ đang trực tiếp giao tiếp với nhau.
Phishing (Tấn công giả mạo) là hình thức tấn công mạng mà kẻ tấn công giả mạo thành một đơn vị uy tín để lừa đảo người dùng cung cấp thông tin cá nhân cho chúng.
1.4. lỗ hổng trang web
Bôi xấu (Defacement) Trong tin học, ta có Website Defacement – là tấn công, phá hoại website, làm thay đổi giao diện hiển thị của một trang web. Nói cách khác, khi người dùng truy cập vào địa chỉ của trang web đó thì giao diện của một trang web khác sẽ được hiển thị. Thông thường nội dung hiện lên sẽ là các thông điệp mà hacker muốn truyền tải.
lỗi tràn bộ đệm là một lỗi lập trình có thể gây ra một ngoại lệ truy nhập bộ nhớ máy tính và chương trình bị kết thúc, hoặc khi người dùng có ý phá hoại, họ có thể lợi dụng lỗi này để phá vỡ an ninh hệ thống.
Lỗi tràn bộ đệm là một điều kiện bất thường khi một tiến trình lưu dữ liệu vượt ra ngoài biên của một bộ nhớ đệm có chiều dài cố định. Kết quả là dữ liệu đó sẽ đè lên các vị trí bộ nhớ liền kề. Dữ liệu bị ghi đè có thể bao gồm các bộ nhớ đệm khác, các biến và dữ liệu điều khiển luồng chạy của chương trình
Dot-Dot-Slash là hình thức tấn công truy cập đến những file và thư mục mà được lưu bên ngoài thư mục webroot. Hình thức tấn công này không cần sử dụng một công cụ nào mà chỉ đơn thuần thao tác các biến với ../ (dot-dot-slash) để truy cập đến file, thư mục, bao gồm cả source code, những file hệ thống, …
Lỗ hổng Injection (Lỗi chèn mã độc) là lỗ hổng xảy ra do sự thiếu sót trong việc lọc các dữ liệu đầu vào không đáng tin cậy.
1.5. Từ chối dịch vụ
Tràn kết nối (Connection Flooding)
UDP (User Datagram Protocol) là một giao thức kết nối không tin cậy. Một cuộc tấn công gây ngập lụt UDP có thể được bắt đầu bằng cách gửi một số lượng lớn các gói tin UDP tới cổng ngẫu nhiên trên một máy chủ từ xa và kết quả là các máy chủ ở xa sẽ :
Kiểm tra các ứng dụng với cổng;
Thấy rằng không có ứng dụng nghe ở cổng;
Trả lời với một ICMP Destination Unreachable gói.
Như vậy, hệ thống nạn nhân sẽ bị buộc nhận nhiều gói tin ICMP, dẫn đến mất khả năng xử lý các yêu cầu của các khách hàng thông thường. Những kẻ tấn công cũng có thể giả mạo địa chỉ IP của gói tin UDP, đảm bảo rằng ICMP gói trở lại quá mức không tiếp cận họ, và nặc danh hóa vị trí mạng của họ.
SYN Flood
Kiểu tấn công TCP SYN flood là một kiểu tấn công trực tiếp vào máy chủ bằng cách tạo ra một số lượng lớn các kết nối TCP nhưng không hoàn thành các kết nối này.
DNS (Domain Name Server)
Tận dụng lỗi Buffer Overflow để thay đổi thông tin
định tuyến
DNS cache poisoning , còn được gọi là giả mạo DNS , là một kiểu tấn công khai thác lỗ hổng trong hệ thống tên miền (DNS) để chuyển hướng lưu lượng truy cập Internet từ máy chủ hợp pháp và hướng đến sự giả mạo .Một trong những lý do DNS poisoning là rất nguy hiểm vì nó có thể lây lan từ DNS server đến DNS server khác.
DNS Poisoning có thể lây lan . Ví dụ, nếu nhà cung cấp dịch vụ Internet khác nhau đang nhận được thông tin DNS của họ từ máy chủ bị tổn hại, các mục nhập DNS độc sẽ lây lan sang các nhà cung cấp dịch vụ Internet và được lưu trữ ở đó. Sau đó nó sẽ lây lan sang các bộ định tuyến và cache DNS trên máy tính khi họ tìm kiếm các mục DNS , nhận được phản hồi không chính xác, và lưu trữ nó
Từ chối dịch vụ phân tán (DDoS)
Một cách để làm tê liệt một trang web hay các dịch vụ Internet, bằng cách phối hợp nhiều máy tính khác nhau yêu cầu hay gửi dữ liệu cùng một lúc. Thường là các máy tính được sử dụng để tấn công bị các đạo tặc kiểm soát từ xa. Chúng chiếm đọat quyền kiểm soát máy tính bằng cách xâm nhập vào hoặc làm nhiễm mã độc.
1.6. Mã lưu động
Cookies là các tệp được trang web người dùng truy cập tạo ra. Cookie giúp trải nghiệm trực tuyến của bạn dễ dàng hơn bằng cách lưu thông tin duyệt web. Với Cookies, các trang web có thể duy trì trạng thái đăng nhập của bạn, ghi nhớ tùy chọn trang web và cung cấp nội dung phù hợp với vị trí của người dùng.
Attack script: đoạn mã độc được viết tấn công thông qua những lỗ hổng bảo mật trong chương trình của người sử dụng. Kịch bản tấn công phổ biến là khai thác tràn bộ đệm buffer overflow.
Cross-Site Scripting hay còn được gọi tắt là XSS (thay vì gọi tắt là CSS để tránh nhầm lẫn với CSS-Cascading Style Sheet của HTML) là một kĩ thuật tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP ...) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những người sử dụng khác. Trong đó, những đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML.
Trojan horse được định nghĩa là một “chương trình độc hại ngụy trang như một cái gì đó được cho là lành tính“. Ví dụ, bạn tải về những chương trình đơn giản như một bộ phim hay tập tin âm nhạc, nhưng khi bạn click vào nó, bạn có thể mở ra một chương trình nguy hiểm xóa đĩa cứng của bạn, gửi số thẻ tín dụng và mật khẩu của bạn với một người lạ, hoặc cho phép người lạ chiếm quyền điều khiển máy tính của bạn hay trở thành một phần tử trong mạng botnet để góp phần vào một cuộc tấn công DDoS.
Mục đích của những kẻ viết ra những Trojans:
Lấy thông tin của Credit Card
Lấy thông tin của các tài khoản cá nhân như: Email, Password, Usernames…
Lấy những dữ liệu mật
Thông tin về tài chính: Tài khoản ngân hàng, tài khoản của các hệ thống giao dịch trực tuyến…
Sử dụng máy tính của nạn nhân để thực hiện một tác vụ nào đó, như các cuộc tấn công, quét lỗ hổng hệ thống, hay làm ngập hệ thống mạng của nạn nhân.
Java applet – ActiveX: đoạn mã độc được đặt sẵn trong các trang web trên mạng, lợi dụng lỗ hổng trong sử lý Java- ActiveX của trình duyệt để thực thi tự động.
ActiveX là thành phần được sử dụng chủ yếu trong các trang web nhằm tăng tính tương tác và bổ sung thêm nhiều tính năng hơn cho người dùng. Tuy nhiên, công nghệ này lại cho phép các website có thể thay đổi hệ thống PC của người dùng nên nó vẫn được coi là một vấn đề tiềm tàng những mối nguy hiểm.
ActiveX Control bản chất là những đoạn phần mềm và truy cập được toàn bộ máy tính nếu bạn lựa chọn cài đặt và chạy chúng . ActiveX Control là chương trình nhỏ cho Internet Explorer và nó như những chương trình khác không bị hạn chế nên có thể thực hiện bất kì việc gì trong máy tính của bạn . Nó có thể theo dõi thói quét lướt web , cài đặt malware , tạo ra Pop-Up và những việc làm độc hại khác.
II. Các biện pháp ngăn chặn
Mã hóa
Xác thực
Tường lửa
Phát hiện đột nhập
...
2.1. Mã hóa
+ Mã hóa liên kết
Thông tin được mã hóa ở tầng Data link của mô hình OSI.
+ Mã hóa end-to-end.
Thông tin được mã hóa ở tầng Application của mô hình OSI.
+ VPN (Virtual Private Network)
Virtual Private Network thực chất là một công nghệ mạng giúp tạo kết nối mạng an toàn khi bạn tham gia vào mạng công cộng như là internet hoặc một mạng riêng cho bất kì nhà cung cấp dịch vụ nào sở hữu.
+ PKI
Public Key Infrastructure, viết tắt PKI là một cơ chế để cho một bên thứ 3 (thường là nhà cung cấp chứng thực số) cung cấp và xác thực định danh các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cũng cho phép gán cho mỗi người sử dụng trong hệ thống một cặp khóa công khai/khóa bí mật.
+ Giao thức mật mã
SSH, SSL, IPSec
SSH là một chương trình tương tác giữa máy chủ và máy khách có sử dụng cơ chế mã hoá đủ mạnh nhằm ngăn chặn các hiện tượng nghe trộm, đánh cắp thông tin trên đường truyền. Các chương trình trước đây: telnet, rlogin không sử dụng phương pháp mã hoá. Vì thế bất cứ ai cũng có thể nghe trộm thậm chí đọc được toàn bộ nội dung của phiên làm việc bằng cách sử dụng một số công cụ đơn giản. Sử dụng SSH là biện pháp hữu hiệu bảo mật dữ liệu trên đường truyền từ hệ thống này đến hệ thống khác.
SSL là một sự xuất hiện bổ sung của VPN trên thị trường. Nó được thiết kế cho những giải pháp truy cập từ xa và không cung cấp những kết nối site-to-site. SSL VPNs cung cấp vấn đề bảo mật truy cập đầu tiên những ứng dụng web. Bởi vì SSL sử dụng trình duyệt web, điển hình là những người sử dụng không phải chạy bất kỳ phần mềm client đặc biệt nào trên những máy tính của họ.
SSL được coi là giao thức bảo mật quan trọng trong tầng Transport có tầm quan trọng cao nhất đối với sự bảo mật của các trình ứng dụng trên Web.
Internet Protocol Security (viết tắt là IPsec) bao gồm một bộ các giao thức được phát triển để đảm bảo tính toàn vẹn, bảo mật và xác thực truyền dữ liệu qua mạng IP cho máy tính.
IPsec có thể được sử dụng trong ba lĩnh vực bảo mật khác nhau: mạng riêng ảo (Private Virtual Network hoặc VPN), bảo mật cấp ứng dụng và bảo mật định tuyến. Vào thời điểm này, IPsec được sử dụng chủ yếu trong các ứng dụng vượt tường lửa VPN.
2.2. Xác thực.
+ Mật khẩu một lần
OTP (One-Time Password) Mật khẩu dùng một lần hay còn được gọi là mật khẩu động với đặc điểm không lặp lại (mật khẩu dùng lần này sẽ không giống lần sau) và chỉ có giá trị 1 lần. Phương pháp này an toàn hơn để chứng thực dữ liệu, gọi là Two-factors. Mục đích làm cho mật khẩu lúc nào cũng thay đổi, tránh việc Hacker hoặc ai đó đánh cắp tài khoản và mật khẩu nhằm đáp ứng cho việc bảo mật thông tin. Mỗi người dùng sẽ mang theo thiết bị “Token” để sinh ra mật khẩu có giá trị 1 lần
+ Hệ Challenge-Response
Phương pháp xác thực bằng mật khẩu truyền thống có một vấn đề cơ bản là tính sử dụng lại của mật khẩu. Mật khẩu phải dùng đi dùng lại nhiều lần, một khi có kẻ quan sát tóm bắt được mật khẩu, hắn hoàn toàn có thể đóng giả thay thế người chủ mật khẩu để đăng nhập hệ thống thành công.
Vì vậy cơ chế thách thức – đáp ứng (challenge- response) có thể được sử dụng để khắc phục vấn đề này. Hai bên, User (U) và hệ thống (S) có thể thống nhất với nhau trước để thiết lập một hàm f bí mật; sau đó cơ chế đăng nhập sẽ gồm các bước cơ bản như sau:
U->S: yêu cầu đăng nhập
S->U: r, một giá trị sinh ngẫu nhiên
U->S: f(r)
+ Kerberos
Kerberos là một giao thức mật mã dùng để xác thực trong các mạng máy tính hoạt động trên những đường truyền không an toàn. Giao thức Kerberos có khả năng chống lại việc nghe lén hay gửi lại các gói tin cũ và đảm bảo tính toàn vẹn của dữ liệu. Mục tiêu khi thiết kế giao thức này là nhằm vào mô hình máy chủ-máy khách (client-server) và đảm bảo nhận thực cho cả hai chiều.
Giao thức được xây dựng dựa trên mật mã hóa khóa đối xứng và cần đến một bên thứ ba mà cả hai phía tham gia giao dịch tin tưởng.
2.3. Tường lửa.
- Tường lửa (Firewall) là một bức rào chắn giữa mạng nội bộ (local network) với một mạng khác (chẳng hạn như Internet), điều khiển lưu lượng ra vào giữa hai mạng này.
- Mục tiêu ngăn chặn nguy cơ đến từ “mạng bên ngoài”, theo chính sách bảo mật.
- Các loại tường lửa :
+ Lọc gói.
+ Duyệt trạng thái.
+ Cổng ứng dụng .
+ Cá nhân (Personal Firewalls)
+ Lọc gói:
Là loại tường lửa mạng được báo cáo đầu tiên được gọi là bộ lọc gói tin. Bộ lọc gói hoạt động bằng cách kiểm tra các gói được chuyển giữa các máy tính. Khi gói không khớp với bộ quy tắc lọc của bộ lọc gói, bộ lọc gói sẽ bỏ gói hoặc từ chối gói, ngược lại thì nó được phép vượt qua. Các gói có thể được lọc theo địa chỉ mạng nguồn và đích, giao thức, số cổng nguồn và đích.
+Trạng thái:
Được chia làm 2 loại là: Stateful firewall(có trạng thái) và Stateless firewall(phi trạng thái).
Stateful firewall là tường lửa mạng theo dõi trạng thái hoạt động và các đặc tính của các kết nối mạng đi qua nó. Tường lửa được cấu hình để phân biệt các gói hợp pháp cho các loại kết nối khác nhau. Chỉ các gói phù hợp với một kết nối hoạt động đã biết mới được phép vượt qua tường lửa.
Stateless firewall là tường lửa xem lưu lượng mạng và hạn chế hoặc chặn các gói dựa trên địa chỉ nguồn và đích hoặc các giá trị tĩnh khác. Chúng không phải là ‘nhận thức’ về các mẫu lưu lượng truy cập hoặc luồng dữ liệu. Một bức tường lửa không trạng thái sử dụng các bộ quy tắc đơn giản mà không tính đến khả năng một gói tin có thể được nhận bởi tường lửa ‘giả vờ’ là thứ mà bạn yêu cầu.
+ Cổng ứng dụng:
Đây là một dạng của firewall quản lý, vào, ra, bởi một phần mềm hoặc dịch vụ. Chúng có thể lọc các gói tin ở tầng ứng dụng trong mô hình OSI ghi lại các hoạt động vào ra, login logout của user. Điều này không thể thực hiện được với các Firewall tầng dưới. Nó cũng giúp cho một ứng dụng xác định xem liệu có nên chấp nhận một kết nối nào kết nối tới không.
+ Tường lửa cá nhân (Personal Firewalls) :
hay tường lửa máy tính, một ứng dụng phần mềm với chức năng thông thường là lọc dữ liệu ra vào một máy tính đơn.
2.4. Phát hiện đột nhập.
+ Kiểm tra người dùng và hoạt động hệ thống.
+ Ghi lại cấu hình hệ thống để phát hiện nguy cơ.
+ Đánh giá tính toàn vẹn của hệ thống và dữ liệu.
+ Phát hiện các dạng tấn công.
+ Phát hiện các hoạt động bất thường thông qua phân tích thống kê.
+ Sửa chữa lỗi cấu hình hệ thống.
+ Cài đặt và vận hành các hệ thống bẫy đột nhập.
Các loại hệ thống phát hiện đột nhập.
Hệ thống phát hiện xâm nhập ( intrusion detection system (IDS)) là một thiết bị hoặc ứng dụng phần mềm giám sát mạng hoặc hệ thống máy tính về những hoạt động ác ý hoặc các vi phạm chính sách. Bất kỳ hoạt động hoặc vi phạm nào được phát hiện thường báo cáo cho quản trị viên hoặc thu thập tập trung bằng hệ thống thông tin bảo mật và quản lý sự kiện (SIEM). Một hệ thống SIEM kết hợp các kết quả đầu ra từ nhiều nguồn và sử dụng các kỹ thuật lọc báo động để phân biệt hoạt động ác ý từ các báo động sai lầm.
+ Hệ thống phát hiện đột nhập dựa trên mẫu.
+ Hệ thống phát hiện đột nhập dùng Heuristics.
+ Hệ thống phát hiện đột nhập hoạt động bí mật.
+ Hệ Tripwire.
nguon VI OLET
