BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
TS. LƯƠNG THẾ DŨNG, ThS. PHẠM MINH THUẤN
GIÁO TRÌNH
ĐÁNH GIÁ VÀ KIỂM ĐỊNH AN TOÀN HỆ THỐNG
THÔNG TIN
HÀ NỘI, 2016
MỤC LỤC
Mục lục ................................................................................................................. i
Danh mục từ viết tắt........................................................................................... v
Danh mục bảng ................................................................................................ viii
Danh mục hình vẽ.............................................................................................. ix
Lời nói đầu ........................................................................................................ xii
Chương 1 Tổng quan về đánh giá an toàn hệ thống thông tin ...................... 1
1.1. Khái niệm đánh giá an toàn hệ thống thông tin ........................................... 1
1.2. Tầm quan trọng của đánh giá an toàn hệ thống thông tin ............................ 3
1.3. Phương pháp luận đánh giá an toàn thông tin .............................................. 4
1.3.1. Phương pháp ISSAF .......................................................................... 6
1.3.2. Phương pháp OSSTMM .................................................................... 8
1.3.3. Phương pháp OWASP..................................................................... 10
1.4. Các kỹ thuật đánh giá ................................................................................. 14
1.5. So sánh kiểm thử (test) và kiểm tra (examination) .................................... 15
Chương 2 Rà soát hệ thống ............................................................................. 18
2.1. Rà soát tài liệu ............................................................................................ 18
2.2. Rà soát nhật ký ........................................................................................... 19
2.3. Rà soát tập luật ........................................................................................... 21
2.4. Rà soát cấu hình hệ thống .......................................................................... 22
2.5. Dò quét mạng ............................................................................................. 23
2.6. Kiểm tra tính toàn vẹn của tập tin .............................................................. 25
2.7. Tổng kết...................................................................................................... 26
Chương 3 Phân tích và xác định mục tiêu ..................................................... 29
3.1. Khám phá mạng ......................................................................................... 29
3.2. Xác định cổng và dịch vụ mạng ................................................................. 33
3.3. Dò quét lỗ hổng bảo mật ............................................................................ 41
3.4. Dò quét mạng không dây ........................................................................... 45
3.4.1. Khái niệm mạng không dây ............................................................ 45
3.4.2. Các chuẩn mạng không dây ............................................................ 47
3.4.3. Bảo mật trong mạng không dây ...................................................... 50
3.4.4. Dò quét mạng không dây ................................................................ 55
i
3.4.4.1. Quét mạng không dây theo kiểu bị động .......................... 57
3.4.4.2. Quét mạng không dây theo kiểu chủ động ....................... 58
3.4.4.3. Xác định vị trí thiết bị mạng không dây ........................... 59
3.4.4.4. Quét Bluetooth .................................................................. 60
3.5. Một số công cụ hỗ trợ việc phân tích và xác định mục tiêu ...................... 61
3.5.1. Công cụ khám phá mạng ................................................................. 61
3.5.2. Công cụ xác định cổng và dịch vụ mạng ........................................ 66
3.5.3. Công cụ dò quét lỗ hổng bảo mật.................................................... 75
3.6. Tổng kết...................................................................................................... 85
3.7. Bài tập ........................................................................................................ 87
Chương 4 Xác định điểm yếu mục tiêu .......................................................... 88
4.1. Bẻ mật khẩu................................................................................................ 88
4.2. Kiểm thử xâm nhập .................................................................................... 91
4.2.1. Các pha kiểm thử ............................................................................. 96
4.2.2. Logic kiểm thử xâm nhập.............................................................. 101
4.3. Kỹ nghệ xã hội ......................................................................................... 103
4.4. Một số công cụ hỗ trợ xác định điểm yếu mục tiêu ................................. 103
4.4.1. Công cụ bẻ mật khẩu ..................................................................... 103
4.4.2. Công cụ kiểm thử xâm nhập ......................................................... 109
4.5. Tổng kết.................................................................................................... 120
4.6. Bài tập ...................................................................................................... 121
Chương 5 Lập kế hoạch đánh giá an toàn hệ thống thông tin................... 122
5.1. Xây dựng chính sách đánh giá an ninh .................................................... 122
5.2. Xác định các ưu tiên và quy trình ............................................................ 123
5.3. Lựa chọn và xác định kỹ thuật đánh giá .................................................. 124
5.4. Các vấn đề liên quan tới chuẩn bị (hậu cần) đánh giá ............................. 127
5.4.1. Lựa chọn đánh giá viên ................................................................. 128
5.4.2. Lựa chọn vị trí ............................................................................... 131
5.4.3. Lựa chọn tài nguyên và công cụ kỹ thuật ..................................... 132
5.5. Phát triển kế hoạch đánh giá .................................................................... 136
5.6. Xem xét pháp lý ....................................................................................... 140
5.7. Tổng kết.................................................................................................... 141
Chương 6 Thực hiện đánh giá an toàn hệ thống thông tin ........................ 143
ii
6.1.
6.2.
6.3.
6.4.
Phối hợp ................................................................................................... 143
Đánh giá ................................................................................................... 145
Phân tích ................................................................................................... 147
Xử lý dữ liệu ............................................................................................ 149
6.4.1. Thu thập dữ liệu ............................................................................ 150
6.4.2. Lưu trữ dữ liệu............................................................................... 151
6.4.3. Truyền dữ liệu ............................................................................... 152
6.4.4. Hủy bỏ dữ liệu ............................................................................... 153
Chương 7 Các hoạt động sau đánh giá ........................................................ 155
7.1. Tổng hợp thông tin ................................................................................... 155
7.2. Báo cáo ..................................................................................................... 157
7.2.1. Thông tin chung về hệ thống đánh giá .......................................... 158
7.2.2. Cấu trúc hệ thống đánh giá ............................................................ 158
7.2.3. Các rủi ro mức cao ........................................................................ 160
7.2.4. Các rủi ro mức trung bình và mức thấp ........................................ 161
7.3. Khắc phục/Giảm thiểu.............................................................................. 161
7.4. Một số mẫu báo cáo tham khảo ............................................................... 163
7.4.1. Báo cáo thu thập thông tin............................................................. 163
7.4.2. Báo cáo kiểm thử mạng nội bộ...................................................... 167
7.4.3. Báo cáo kiểm thử tường lửa .......................................................... 172
7.5. Bài tập ...................................................................................................... 177
Chương 8 Kiểm định an toàn hệ thống thông tin........................................ 178
8.1. Tổng quan về kiểm định an toàn hệ thống thông tin ............................... 178
8.1.1. Khái niệm kiểm định an toàn hệ thống thông tin .......................... 178
8.1.2. Các dạng kiểm định an toàn thông tin ........................................... 179
8.1.3. Các khía cạnh quan trọng trong kiểm định an toàn thông tin ....... 180
8.1.4. Đạo đức của chuyên gia kiểm định ............................................... 181
8.2. Các tiêu chuẩn kiểm định an toàn thông tin ............................................. 182
8.3. Quy trình kiểm định an toàn hệ thống thông tin ...................................... 186
8.3.1. Chuẩn bị kiểm định ....................................................................... 187
8.3.2. Tạo kế hoạch kiểm định ................................................................ 188
8.3.3. Xem xét tài liệu ............................................................................. 189
8.3.4. Kiểm tra trực tiếp .......................................................................... 190
iii
8.3.5. Đánh giá kết quả ............................................................................ 192
8.3.6. Lập báo cáo kiểm định .................................................................. 192
8.4. Chứng nhận kiểm định an toàn hệ thống thông tin .................................. 198
Tài liệu tham khảo.......................................................................................... 199
Phụ lục ............................................................................................................. 200
iv
DANH MỤC TỪ VIẾT TẮT
Từ viết
tắt
AP
ATTT
CC
CGI
CIO
CISO
CNTT
CRC
CSDL
CTO
CVE
CVSS
DNS
DoS
EAL
FIPS
Chú giải tiếng Anh
Access Point
Common Criteria
Common Gateway Interface
Chief Information Officer
Chief Information Security
Officer
Cyclic Redundancy Check
Chief Technology Officer
Common Vulnerablity and
Exposures
Common Vulnerability Scoring
System
Domain Name System
Denial of Service
Evaluation Asurance Level
Federal Information Processing
Standards
FTP
GPS
GUI
Federal Information Security
Management Act
File Transfer Protocol
Global Positioning System
Graphical User Interface
HTTP
Hypertext Transfer Protocol
FISMA
ICMP
ID
IDS
IEEE
Internet Control Message
Protocol
Identification
Intrusion Detection System
Institute of Electrical and
Electronics Engineers
v
Chú giải tiếng Việt
Điểm truy cập không dây
An toàn thông tin
Tiêu chí chung
Giao tiếp cổng chung
Người quản lý thông tin
Người quản lý an ninh thông
tin
Công nghệ thông tin
Kiểm tra phần dư vòng
Cơ sở dữ liệu
Người quản lý công nghệ
Các lỗ hổng và lỗi khai thác
phổ biến
Hệ thống tham chiếu lỗ hổng
phổ biến
Hệ thống phân giải tên miền
Từ chối dịch vụ
Mức đánh giá
Tiêu chuẩn xử lý thông tin liên
bang
Luật quản lý an toàn thông tin
liên bang
Giao thức truyền tập tin
Hệ thống định vị toàn cầu
Giao diện người dùng đồ họa
Giao thức truyền tải siêu văn
bản
Giao thức thông điệp điều
khiển internet
Định danh
Hệ thống phát hiện xâm nhập
Viện kỹ nghệ điện và điện tử
IIS
IP
IPS
ISMS
ISO/IEC
Internet Information Services
Internet Protocol
Intrusion Prevention System
Information Security
Management System
Dịch vụ thông tin internet
Giao thức internet
Hệ thống ngăn chặn xâm nhập
Hệ thống quản lý an toàn thông
tin
International Organization for
Standardization/ International
Electrotechnical Commission
Tổ chức tiêu chuẩn hóa quốc
tế/ Ủy ban kỹ thuật điện quốc
tế
Khung đánh giá an toàn hệ
thống thông tin
Nhân viên an toàn hệ thống
ISSO
thông tin
LAN
Mạng cục bộ
Điều khiển truy cập phương
MAC
Media Access Control
tiện truyền thông
NAT
Network Address Translation
Chuyển dịch địa chỉ mạng
National Institute of Standards
Viện tiêu chuẩn quốc gia và
NIST
and Technology
công nghệ
NVD
National Vulnerability Database Cơ sở dữ liệu lỗ hổng quốc gia
OS
Operating System
Hệ điều hành
Open Source Security Testing
Phương pháp mở đánh giá an
OSSTMM
Methodology Manual
toàn thủ công
Open Web Application Security Dự án mở về an toàn ứng dụng
OWASP
Project
Web
Thiết bị kỹ thuật số hỗ trợ cá
PDA
Personal Digital Assistant
nhân
Personally Identifiable
PII
Thông tin nhận dạng cá nhân
Information
Kế hoạch hành động và mốc
POA&M Plan of Action and Milestones
thời gian
Giao thức nhận thư điện tử
POP3
Post Office Protocol version 3
phiên bản 3
PP
Protection Profile
Hồ sơ bảo vệ
ROE
Rules of Engagement
Quy tắc gắn kết
Supervisory Control And Data
Điều khiển giám sát và thu thập
SCADA
Acquisition
dữ liệu
SCAP
Security Content Automation
Giao thức tự động hóa nội
ISSAF
Information Systems Security
Assessment Framework
Information System Security
Officer
Local Area Network
vi
SHA
Protocol
Secure Hash Algorithm
SMB
Server Message Block
SME
Subject Matter Experts
SMTP
Simple Mail Transfer Protocol
SSID
Service Set Identifier
SSL
Secure Sockets Layer
SSN
Social Security Number
TCP
Transmission Control Protocol
TCQG
TCSEC
Trusted Computer System
Evaluation Criteria
TCVN
TFTP
Trivial File Transfer Protocol
TOE
VM
VPN
WAN
WLAN
XML
Target of Evaluation
Virtual Machines
Virtual Private Network
Wide Area Network
Wireless Local Area Network
Extensible Markup Language
vii
dung an toàn
Giải thuật băm an toàn
Giao thức khối thông điệp máy
chủ
Chuyên gia về chủ đề nào đó
Giao thức truyền tải thư đơn
giản
Nhận dạng và thiết lập dịch vụ
Chuẩn an toàn khi trao đổi
thông tin giữa máy chủ Web và
trình duyệt
Mã số an ninh xã hội
Giao thức điều khiển truyền
vận
Tiêu chuẩn quốc gia
Tiêu chí đánh giá hệ thống máy
tính được tin cậy
Tiêu chuẩn Việt Nam
Giao thức truyền tập tin bình
thường
Đích đánh giá
Máy ảo
Mạng riêng ảo
Mạng diện rộng
Mạng cục bộ không dây
Ngôn ngữ đánh dấu mở rộng
DANH MỤC BẢNG
Bảng 1: Mẫu minh họa bài viết hướng dẫn đánh giá ......................................... 13
Bảng 2: Các kỹ thuật rà soát .............................................................................. 26
Bảng 3: Các kỹ năng cơ bản cần thiết đối với các kỹ thuật rà soát ................... 27
Bảng 4: Các nhóm mạng không dây .................................................................. 46
Bảng 5: Các đặc điểm kỹ thuật của IEEE 802.11 .............................................. 49
Bảng 6: Các kỹ thuật phân tích và xác định mục tiêu ........................................ 85
Bảng 7: Các kỹ năng cần thiết cho việc phân tích và xác định mục tiêu ........... 86
Bảng 8: Các kỹ thuật xác định điểm yếu mục tiêu........................................... 120
Bảng 9: Kiến thức và kỹ năng cần thiết cho xác định điểm yếu mục tiêu ....... 121
viii
DANH MỤC HÌNH VẼ
Hình 1.1. Phương pháp đánh giá an toàn thông tin .............................................. 3
Hình 1.2. Mục tiêu an toàn của tổ chức ............................................................... 3
Hình 1.3. Phương thức làm việc của ISSAF ........................................................ 7
Hình 1.4. Khái quát mô hình OSSTMM .............................................................. 9
Hình 1.5. Phương thức làm việc của OSSTMM .................................................. 9
Hình 1.6. Phương thức làm việc của OWASP ................................................... 12
Hình 3.1. Ví dụ về Ping ...................................................................................... 30
Hình 3.2. Advanced IP Scanner ......................................................................... 32
Hình 3.3. Angry IP Scanner ............................................................................... 32
Hình 3.4. Truyền tin TCP dựa trên bắt tay ba bước ........................................... 34
Hình 3.5. Quét TCP Connect ............................................................................. 35
Hình 3.6. Quét Stealth ........................................................................................ 35
Hình 3.7. Quét XMAS........................................................................................ 35
Hình 3.8. Quét FIN ............................................................................................. 36
Hình 3.9. Quét NULL ........................................................................................ 36
Hình 3.10. Client gửi yêu cầu kết nối tới zombie để thăm dò IPID .................. 36
Hình 3.11. Server gửi gói tin SYN/ACK cho zombie nếu cổng mở.................. 37
Hình 3.12. Server gửi gói tin RST cho zombie nếu cổng đóng ......................... 37
Hình 3.13. Sơ đồ mã hóa WEP .......................................................................... 50
Hình 3.14. Thông điệp trao đổi trong quá trình xác thực................................... 53
Hình 3.15. Công cụ tracert ................................................................................. 62
Hình 3.16. Công cụ DNS ................................................................................... 62
Hình 3.17. Yêu cầu tem thời gian ICMP ........................................................... 63
Hình 3.18. Quét IKE .......................................................................................... 64
Hình 3.19. Quét linh hoạt IKE ........................................................................... 64
Hình 3.20. Finger ............................................................................................... 65
Hình 3.21. Công cụ dò quét cổng Nmap ............................................................ 66
Hình 3.22. Ví dụ quét cổng với Nmap ............................................................... 70
Hình 3.23. Các cổng và dịch vụ tương ứng Nmap xác định dựa trên cổng mặc
định ..................................................................................................................... 71
ix
Hình 3.24. Các cổng và dịch vụ, phiên bản phần mềm Nmap xác định khi có tùy
chọn -sV ............................................................................................................. 71
Hình 3.25. Kịch bản traceroute theo geoIP ........................................................ 72
Hình 3.26. Phát hiện lỗ hổng MS08-067 trên cổng 445 của Windows XP ....... 73
Hình 3.27. Quét giao thức định tuyến ................................................................ 74
Hình 3.28. Công cụ dò quét lỗ hổng bảo mật Nessus ........................................ 75
Hình 3.29. Công cụ dò quét lỗ hổng bảo mật OpenVAS ................................... 78
Hình 3.30. Cấu trúc của OpenVAS .................................................................... 78
Hình 3.31. Công cụ dò quét lỗ hổng ứng dụng Web Acunetix WVS ................ 79
Hình 3.32. Công cụ dò quét lỗ hổng ứng dụng Web IBM Rational AppScan .. 80
Hình 3.33. Quét ứng dụng Web với Nikto ......................................................... 82
Hình 3.34. Sử dụng Nikto quét với các tùy chọn ............................................... 83
Hình 3.35. Kết quả quét với Nikto ..................................................................... 83
Hình 3.36. Quét điểm yếu ứng dụng Web với Grendel-Scan ............................ 84
Hình 4.1. Bốn giai đoạn của phương pháp kiểm thử ......................................... 96
Hình 4.2. Các bước trong giai đoạn tấn công và vòng lặp quay trở về giai đoạn
khám phá ............................................................................................................ 99
Hình 4.3. Công cụ bẻ mật khẩu L0phCrack ..................................................... 104
Hình 4.4. Công cụ bẻ mật khẩu Join the Ripper .............................................. 105
Hình 4.5.Công cụ bẻ mật khẩu THC-Hydra .................................................... 106
Hình 4.6. Công cụ bẻ mật khẩu Medusa .......................................................... 108
Hình 4.7. Công cụ kiểm thử xâm nhập Metasploit Framework....................... 109
Hình 4.8. Onesixtyone ...................................................................................... 110
Hình 4.9. Cisco Global Exploiter ..................................................................... 112
Hình 4.10. Dùng Cisco Global Exploiter khai thác ......................................... 112
Hình 4.11. Tấn công HSRP .............................................................................. 113
Hình 4.12. HSRP DoS ...................................................................................... 113
Hình 4.13. Etercap ............................................................................................ 114
Hình 4.14. Burp Suite ....................................................................................... 115
Hình 4.15. Quét bằng SQLiX ........................................................................... 117
Hình 4.16. Sử dụng sqlmap quét lỗ hổng SQL Injection ................................. 118
Hình 4.17. Kết quả thu được từ sqlmap ........................................................... 119
Hình 4.18. DirBuster ........................................................................................ 120
x
Hình 7.1. Cấu trúc Website đánh giá ............................................................... 159
Hình 7.2. Cấu trúc mạng đánh giá.................................................................... 159
Hình 7.3. Mẫu báo cáo kiểm thử thu thập thông tin của EC-Council.............. 164
Hình 7.4. Mẫu báo cáo kiểm thử an toàn mạng nội bộ của EC-Council ......... 168
Hình 7.5. Mẫu báo cáo kiểm thử tường lửa của EC-Council .......................... 173
Hình 8.1. Quy trình kiểm định an toàn hệ thống thông tin .............................. 186
Hình 8.2. Chứng nhận kết quả kiểm định ........................................................ 198
xi
LỜI NÓI ĐẦU
Ngày nay an toàn thông tin được xem là một trong những quan tâm hàng
đầu của xã hội, có ảnh hưởng rất nhiều đến hầu hết các ngành khoa học tự nhiên,
kỹ thuật, giáo dục và kinh tế. Đảm bảo an toàn thông tin không chỉ dừng lại ở
các cơ quan, tổ chức mà đã là vấn đề cấp thiết của cả chính phủ, quốc gia. Đảm
bảo an toàn thông tin cần mang tính hệ thống, được giải quyết một cách đồng bộ
theo các hướng điều chỉnh pháp luật. Trong đó, một vấn đề có tính then chốt là
đánh giá và kiểm định an toàn cho các hệ thống thông tin.
Giáo trình “Đánh giá và kiểm định an toàn thông tin” được xây dựng
nhằm mục đích cung cấp các khái niệm, những kiến thức từ cơ bản đến nâng
cao về đánh giá và kiểm định an toàn cho một hệ thống mạng công nghệ
thông tin (gọi tắt là hệ thống thông tin), giúp học viên có được cái nhìn tổng
quát và nắm được các phương pháp, cách thức để có thể đánh giá và kiểm
định một hệ thống thông tin an toàn.
Nội dung giáo trình gồm 8 chương:
Chương 1: Tổng quan về đánh giá an toàn hệ thống thông tin
Chương này cung cấp khái niệm cơ bản về đánh giá, tầm quan trọng của
đánh giá và phương pháp luận đánh giá an toàn hệ thống thông tin. Đồng thời
chương này cũng giới thiệu về các kỹ thuật đánh giá và so sánh một số khái
niệm liên quan.
Chương 2: Rà soát hệ thống
Chương này cung cấp các kiến thức chi tiết về giai đoạn đầu tiên trong quá
trình đánh giá: rà soát. Các nội dung bao gồm: rà soát tài liệu, rà soát nhật ký, rà
soát các tập luật, rà soát cấu hình hệ thống, dò quét mạng và kiểm tra tính toàn
vẹn của tập tin.
Chương 3: Phân tích và xác định mục tiêu
Chương này cung cấp các kiến thức liên quan đến phân tích, xác định mục
tiêu và tìm kiếm các điểm yếu như: khám phá mạng để xác định sơ đồ mạng, địa
chỉ IP; xác định cổng và dịch vụ mạng đang hoạt động; dò quét các lỗ hổng bảo
mật trên hệ thống và các dò quét tới hệ thống mạng không dây.
xii
Chương 4: Xác định điểm yếu mục tiêu
Chương này cung cấp kiến thức để đánh giá một cách cụ thể tới hệ thống
mạng mục tiêu. Các công việc ở đây là: thử nghiệm bẻ mật khẩu, kiểm thử xâm
nhập và đánh giá sử dụng kỹ nghệ xã hội.
Chương 5: Lập kế hoạch đánh giá an toàn hệ thống thông tin
Lập kế hoạch là một công việc rất cần thiết trong đánh giá an toàn hệ
thống thông tin. Chương này cung cấp các kiến thức hỗ trợ lập kế hoạch chuẩn
bị cho các đánh giá.
Chương 6: Thực hiện đánh giá an toàn hệ thống thông tin
Sau giai đoạn lập kế hoạch, người đánh giá cần có các hoạt động đánh giá
cụ thể. Chương này cung cấp kiến thức về cách thức phối hợp, phân tích và xử
lý dữ liệu trong quá trình thực hiện đánh giá.
Chương 7: Các hoạt động sau đánh giá
Giai đoạn cuối cùng trong quy trình đánh giá an toàn hệ thống thông tin là
giải quyết các vấn đề hậu cần và khắc phục nếu có sự cố. Chương này cung cấp
kiến thức cho các hoạt động sau đánh giá như: tổng hợp thông tin, lập báo cáo
và các khuyến nghị để khắc phục, giảm thiểu rủi ro.
Chương 8: Kiểm định an toàn hệ thống thông tin
Chương này cung cấp các kiến thức về lĩnh vực kiểm định an toàn hệ
thống thông tin từ tổng quan tới các tiêu chuẩn kiểm định, quy trình kiểm định
và chứng nhận kiểm định.
Giáo trình này được viết lần đầu tiên và trong thời gian ngắn, do đó có thể
sẽ còn những khiếm khuyết về nội dung cũng như phương pháp thể hiện. Chúng
tôi rất mong nhận được những ý kiến đóng góp của các đồng nghiệp và các bạn
đọc, sinh viên để cho giáo trình tiếp tục hoàn thiện.
Hà nội, tháng 08 năm 2016
Nhóm biên soạn
xiii
Chương 1
TỔNG QUAN VỀ ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG
TIN
Đảm bảo an toàn hệ thống thông tin là một nhiệm vụ hết sức cần thiết đối
với các nhà quản trị mạng. Song để có thể đảm bảo được an toàn thông tin, trước
hết cần xác định được các hiểm họa cũng như các rủi ro tiềm ẩn có thể xảy đến.
Một giải pháp hữu hiệu nhất trong việc xác định rủi ro là xác định các điểm yếu
thông qua quá trình đánh giá an toàn hệ thống thông tin. Chương này sẽ giới
thiệu về khái niệm, tầm quan trọng của đánh giá an toàn hệ thống thông tin cũng
như các phương pháp, kỹ thuật đánh giá và so sánh một số thuật ngữ liên quan.
1.1. KHÁI NIỆM ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN
Theo NIST [1], đánh giá an toàn hệ thống thông tin (Information Security
Assessment) là quy trình xác định tính hiệu quả của một thực thể được đánh giá
(ví dụ: máy tính, hệ thống, mạng, quy trình vận hành, con người, …) đáp ứng
các mục tiêu an ninh cụ thể. Quy trình này tập trung vào 3 phương pháp chính:
kiểm thử (testing), kiểm tra (examination) và phỏng vấn (interviewing). Kiểm
thử là thực hiện giám định một hoặc nhiều đối tượng theo điều kiện quy định để
so sánh kết quả thực tế với dự kiến. Kiểm tra là quá trình xem xét, quan sát hoặc
phân tích để làm rõ, khẳng định và lấy bằng chứng. Phỏng vấn là tiến hành các
cuộc thảo luận với các cá nhân hoặc các nhóm trong một tổ chức để tìm hiểu,
xác định vị trí của các đối tượng liên quan tới an toàn thông tin. Kết quả của quá
trình đánh giá được sử dụng đễ hỗ trợ trong việc đưa ra các biện pháp kiểm soát
hệ thống mạng một cách hiệu quả nhất.
Theo SANS [2], đánh giá an toàn hệ thống thông tin là thước đo độ an
toàn của hệ thống hoặc tổ chức, hay còn hiểu là cách thức thực hiện an toàn
thông tin. Đánh giá an toàn là đánh giá dựa trên việc xác định các rủi ro, trong
đó tập trung vào xác định điểm yếu và các tác động tới hệ thống. Đánh giá an
toàn dựa trên 3 phương pháp chính, có liên quan đến nhau là: rà soát
(reviewing), kiểm tra (examination) và kiểm thử (testing). Sự kết hợp của 3
1
phương pháp này có thể đánh giá chính xác các yếu tố về công nghệ, con người
và quy trình xử lý an ninh của một hệ thống mạng. Trong đó:
Phương pháp rà soát (Reviewing Method):
Phương pháp rà soát bao gồm các kỹ thuật xem xét thụ động và thực hiện
phỏng vấn, thường được thực hiện thủ công. Chúng giúp cho việc đánh giá các
hệ thống, ứng dụng, mạng, chính sách và các quy trình xử lý để phát hiện các
điểm yếu trong hệ thống. Những công việc cần thực hiện chủ yếu là xem xét lại
tài liệu, kiến trúc, tập hợp quy tắc và cấu hình hệ thống. Phương pháp này cho
phép người đánh giá có một cái nhìn sơ lược về mức độ, các thông tin quan
trọng trong hệ thống và nhu cầu đảm bảo an ninh mà hệ thống hướng tới.
Phương pháp kiểm tra (Examination Method):
Kiểm tra là quy trình xem xét cụ thể tại tổ chức từ mức hệ thống/ mạng để
xác định các điểm yếu an ninh tồn tại trong hệ thống. Các công việc cụ thể như:
phân tích tường lửa, phân tích hệ thống phát hiện và ngăn chặn xâm nhập, phân
tích các bộ định tuyến, ... Nó cũng bao gồm việc dò quét điểm yếu trong các hệ
thống mạng. Những thông tin thu đươc từ phương pháp rà soát ở trên là nền tảng
cho việc kiểm tra được thực hiện dễ dàng và hiệu quả.
Phương pháp kiểm thử (Testing Method):
Kiểm thử (hay còn gọi là kiểm thử xâm nhập – penetration testing) là một
quy trình trong đó người kiểm thử đóng vai trò như kẻ tấn công thực hiện các
phương pháp tìm kiếm lỗ hổng bảo mật trong mạng để thực hiện xâm nhập tới
hệ thống hoặc mạng. Các thông tin từ quá trình rà soát, kiểm tra cũng góp phần
rất quan trọng cho việc kiểm thử chính xác. Hình 1.1 mô tả mối quan hệ giữa
các phương pháp:
2
Hình 1.1. Phương pháp đánh giá an toàn thông tin
1.2. TẦM QUAN TRỌNG CỦA ĐÁNH GIÁ AN TOÀN HỆ THỐNG
THÔNG TIN
Việc thực hiện đánh giá an toàn nhằm xác định mức độ an ninh hiện tại
của hệ thống thông tin trong một tổ chức. Điều này cho phép tổ chức có một cái
nhìn toàn diện về các mối nguy hại tồn tại trong hệ thống mạng của mình; đồng
thời có các giải pháp khắc phục, cải tiến hệ thống thông tin tiếp cận tới các mục
tiêu an ninh tổ chức đề ra và giảm thiểu các rủi ro không đáng có. Dưới đây sẽ
mô tả cụ thể hơn về các vấn đề an ninh tới hệ thống mạng của tổ chức:
Hình 1.2. Mục tiêu an toàn của tổ chức
Đánh giá an toàn hệ thống thông tin cho phép trả lời các câu hỏi như sau:
Các thông tin quan trọng là gì?
3
Hệ thống thông tin đã triển khai các giải pháp đảm bảo an ninh
nào?
Tình hình an ninh thông tin hiện tại là như thế nào?
Có cần thêm các biện pháp để đối phó với vấn đề đảm bảo an ninh
thông tin hay không?
Vấn đề nào cần ưu tiên trong lộ trình xử lý để đảm bảo an toàn
thông tin một cách đầy đủ?
Như vậy, khi thực hiện đánh giá an ninh các tổ chức không chỉ nắm được
tình hình chung về các khía cạnh an toàn trong hệ thống mạng của tổ chức mình
mà còn xác định được các thông tin quan trọng, ưu tiên để xử lý phù hợp nhằm
đảm bảo xây dựng các giải pháp an ninh một cách đầy đủ và thống nhất.
1.3.
PHƯƠNG PHÁP LUẬN ĐÁNH GIÁ AN TOÀN THÔNG TIN
Để thực hiện đánh giá an toàn thông tin một cách tối ưu và đúng đắn,
người đánh giá cần phải có một phương pháp luận cụ thể. Phương pháp luận
đánh giá nên được lập thành tài liệu và nên tái thực hiện theo nhiều phiên bản
bởi vì:
Cung cấp tính thống nhất và có cấu trúc cho việc kiểm thử an toàn,
từ đó có thể giảm thiểu rủi ro trong quá trình đánh giá.
Giúp dễ dàng trong việc chuyển giao quy trình đánh giá nếu có sự
thay đổi nhân sự đánh giá.
Chỉ ra những hạn chế về tài nguyên kết hợp với các đánh giá an
toàn.
Bởi vì đánh giá an toàn thông tin cần các vấn đề như thời gian, nhân lực,
phần cứng, phần mềm; song đây lại là một trong những yếu tố làm hạn chế tới
cách thức cũng như tần suất đánh giá. Chính vì thế, việc xác định phương thức
đánh giá, xác định kiểu kiểm thử và kiểm tra, và có một phương pháp luật phù
hợp sẽ giúp giảm thiểu được các hạn chế ở trên, đồng thời cũng giảm bớt chi phí
cho việc thực hiện đánh giá.
4
Xây dựng phương pháp luận đánh giá an toàn thông tin theo các giai đoạn
sẽ mang lại rất nhiều các ưu điểm và cung cấp một cấu trúc, điểm dừng tự nhiên
cho quá trình chuyển đổi nhân viên. Phương pháp luận cần chứa tối thiểu các
pha như sau:
1. Lập kế hoạch: Pha này đóng vai trò quan trọng góp phần giúp cho
quá trình đánh giá thành công. Trong pha này, các thông tin cần
thiết để phục vụ quá trình đánh giá sẽ được thu thập, chẳng hạn như
các tài sản, mối đe dọa đối với tài sản và các biện pháp kiểm soát
an toàn được sử dụng nhằm giảm thiểu các mối đe dọa đó. Ngoài
ra, người đánh giá cũng có thể hình dung được phương pháp tiếp
cận đánh giá trong pha này. Một đánh giá an toàn nên được coi như
bất kì một dự án nào khác với một kế hoạch quản lý dự án để chỉ ra
các mục tiêu, mục đích, phạm vi, yêu cầu, các vai trò và trách
nhiệm của nhóm, những hạn chế, yếu tố thành công, giả định, tài
nguyên, thời gian và các phân phối.
2. Thực thi: Mục tiêu chính cho giai đoạn thực thi là xác định các lỗ
hổng và xác nhận chúng khi thích hợp. Pha này cần phải chỉ ra các
hoạt động liên quan tới phương pháp và kỹ thuật đánh giá đã được
dự kiến. Mặc dù các hoạt động cụ thể của pha này khác nhau tùy
theo kiểu đánh giá nhưng khi hoàn thành pha này thì người đánh
giá sẽ phải xác định hệ thống, mạng và các lỗ hổng.
3. Hậu thực thi: Giai đoạn hậu thực thi tập trung vào việc phân tích
các lỗ hổng đã được xác định để biết được nguyên nhân thực sự,
đưa ra các khuyến cáo giảm nhẹ lỗ hổng và phát triển báo cáo cuối
cùng.
Có một vài phương pháp luận được chấp nhận để thực hiện các kiểu đánh
giá an toàn thông tin khác nhau. Chẳng hạn NIST đã đưa ra một phương pháp
luận – Hướng dẫn đánh giá các biện pháp kiểm soát an toàn trong hệ thống
thông tin liên bang (NIST - SP 800-53A). Tài liệu này cung cấp các gợi ý cho
việc đánh giá tính hiệu quả của các biện pháp kiểm soát an toàn đã nêu trong
NIST SP 800-53. Hay một phương pháp luận được sử dụng rộng rãi khác là
5
phương pháp mở kiểm thử an toàn thủ công (Open Source Security Testing
Methodology Manual - OSSTMM). Bởi vì có rất nhiều lí do để tiến hành đánh
giá nên một tổ chức có thể muốn sử dụng nhiều phương pháp luận. Dưới đây
chúng ta sẽ xem xét kỹ hơn về một số phương pháp luận được ứng dụng rộng rãi
trong đánh giá an toàn hệ thống thông tin là:
Phương pháp đánh giá an toàn hệ thống thông tin – ISSAF
Phương pháp mở đánh giá an toàn thủ công – OSSTMM
Dự án mở về bảo mật ứng dụng Web – OWASP
1.3.1. Phương pháp ISSAF
ISSAF là phương pháp luận đánh giá an toàn hệ thống thông tin của tổ
chức OISSG, ra đời năm 2003, cho phép người nghiên cứu, đánh giá an ninh
CNTT chuyên nghiệp tham gia đóng góp, thảo luận trong lĩnh vực an ninh
CNTT.
Khung làm việc của nó được phân vào một số loại lĩnh vực giải quyết các
đánh giá an ninh theo một trình tự. Mỗi lĩnh vực đánh giá các bộ phận khác nhau
của một hệ thống mục tiêu và cung cấp dữ liệu đầu vào cho nhóm công việc an
ninh thành công. ISSAF phát triển tập trung vào hai lĩnh vực: quản lý và kỹ
thuật. Mặt quản lý thực hiện quản lý nhóm công việc và các kinh nghiệm thực tế
tốt nhất phải được tuân thủ trong suốt quá trình đánh giá, trong khi mặt kỹ thuật
thực hiện bộ quy tắc cốt lõi, thủ tục cần tuân thủ và tạo ra một quy trình đánh giá
an ninh đầy đủ.
Về mặt kỹ thuật, ISSAF xây dựng một loạt các phương pháp đánh giá cho
từng thành phần của hệ thống CNTT như: đánh giá an toàn mật khẩu; đánh giá
an toàn các thiết bị mạng: Switch, Router, Firewall, IDS, VPN, Anti-Virus,
WLAN…; đánh giá an ninh máy chủ: Windows, Linux, Novell, Web Server;
đánh giá an ninh ứng dụng web, mã nguồn, CSDL đến đánh giá an ninh phi
công nghệ như an ninh vật lý; công nghệ xã hội.
Về phương thức làm việc, ISSAF bao gồm 3 giai đoạn tiếp cận và 9 bước
đánh giá, đó là:
6
Hình 1.3. Phương thức làm việc của ISSAF
Giai đoạn 1: Lên kế hoạch và chuẩn bị
Đây là giai đoạn trao đổi thông tin ban đầu, lập kế hoạch và chuẩn bị cho
đánh giá; ký thỏa thuận đánh giá chính thức làm cơ sở pháp lý; xác định thời
gian và khoảng thời gian đánh giá, nhóm tham gia đánh giá, hướng leo thang…
Giai đoạn 2: Đánh giá
Đây là giai đoạn thực sự thực hiện đánh giá. Trong giai đoạn này, một
cách tiếp cận theo lớp được tuân thủ. Có chín lớp đánh giá bao gồm:
Lớp 1. Thu thập thông tin
Lớp 2. Lập bản đồ mạng
Lớp 3. Xác định lỗ hổng
Lớp 4. Xâm nhập
Lớp 5. Truy cập & leo thang đặc quyền
Lớp 6. Liệt kê thêm
7
Lớp 7. Thỏa hiệp user/site từ xa
Lớp 8. Duy trì truy cập
Lớp 9. Xóa dấu vết
Các bước được thực hiện lặp đi lặp lại đại diện bởi các mũi tên vòng tròn
trong giai đoạn đánh giá trong Hình 1.3. Đặc biệt chín lớp được mô tả rất kỹ và
giới thiệu rất nhiều phần mềm tương ứng có thể sử dụng trong từng lớp hoặc
tham khảo khi đánh giá.
Giai đoạn 3: Báo cáo, dọn dẹp và hủy hậu quả
Bao gồm báo cáo bằng lời nói (thực hiện khi có việc đột xuất hoặc vấn đề
quan trọng khi đánh giá an toàn) và báo cáo cuối cùng thực hiện sau khi hoàn
thành tất cả các bước đánh giá được xác định trong phạm vi công việc. Cuối
cùng là dọn dẹp hậu quả, tất cả các thông tin được tạo ra hoặc được lưu trữ trên
hệ thống đánh giá cần được loại bỏ khỏi hệ thống.
1.3.2. Phương pháp OSSTMM
OSSTMM là một dự án của ISECOM – tổ chức phi lợi nhuận được thành
lập ở New York, Hoa Kỳ và ở Catalonia, Tây Ban Nha. Dự án này phát triển
trong một cộng đồng mở, với các đối tượng tham gia bình đẳng và không ảnh
hưởng bởi chính trị và thương mại. Đây là một phương pháp khoa học giúp mô
tả chính xác các an ninh hoạt động đặc trưng thông qua đánh giá một cách nhất
quán và lặp đi lặp lại trên các kênh vật lý, tương tác con người, kết nối như
không dây, có dây, tương tự và số. Phương pháp này phù hợp với hầu hết các
kiểu đánh giá như đánh giá an ninh, đánh giá lỗ hổng, … Hiện nay dự án được
phát triển và nâng cấp lên tới phiên bản 3.0.
Từ góc độ kỹ thuật, phương pháp tiếp cận chia thành bốn nhóm chính, đó
là phạm vi, kênh, chỉ mục và hướng. Phạm vi là tất cả các tài sản hoạt động
trong môi trường mục tiêu trên đó xác định một quy trình thu thập thông tin.
Một kênh xác định loại giao tiếp và tương tác với các tài sản có thể là vật lý, dải
tần số và truyền thông. Chỉ số là một phương pháp được coi là hữu ích khi phân
loại và đếm các tài sản mục tiêu tương ứng với từng loại cụ thể của chúng,
chẳng hạn như địa chỉ MAC và địa chỉ IP. Cuối cùng, hướng mà theo đó người
8
đánh giá có thể đánh giá và phân tích từng tài sản chức năng. Toàn bộ quá trình
này khởi tạo một lộ trình kỹ thuật theo hướng đánh giá toàn bộ môi trường mục
tiêu và được gọi là phạm vi đánh giá.
Phương pháp OSSTMM cũng định nghĩa một loạt các thuật ngữ được sử
dụng như: kiểm soát, bề mặt tấn công, hướng, hướng tấn công, an ninh, an toàn,
độ xốp, hạn chế, lỗ hổng, điểm yếu, RAV, hoạt động, an ninh hoàn hảo…
Ngoài ra, phương pháp OSSTMM xây dựng một cơ sở lý thuyết mô tả chi
tiết các thành phần cấu thành an ninh hoạt động và lượng hóa các thành phần
này cùng công thức tính toán của chúng. An ninh là một khái niệm tương đối mà
với mức độ an ninh thực tế này thì có thể là tốt đối với tổ chức này nhưng lại
quá mất an ninh so với tổ chức khác. Vì vậy, lượng hóa các thuộc tính an ninh
giúp tính toán và biểu diễn an ninh một cách nhất quán và lặp đi lặp lại.
Hình 1.4. Khái quát mô hình OSSTMM
Phương thức làm việc của OSSTMM bao gồm 17 module kiểm thử như
Hình 1.5:
Hình 1.5. Phương thức làm việc của OSSTMM
9
Có năm kênh an ninh là: truyền thông, mạng dữ liệu, vật lý, con người và
không dây chia thành 3 lớp kênh: PHYSSEC – con người, vật lý; SPECSEC –
không dây và COMSEC – truyền thông, mạng dữ liệu. Ứng với mỗi kênh sẽ lần
lượt thực hiện 17 mô-đun, chia thành 4 giai đoạn: giai đoạn bắt đầu gồm 3 môđun đầu tiên, giai đoạn tương tác gồm các mô-đun từ 4 đến 7, giai đoạn điều tra
gồm các mô-đun từ 8 đến 13 và giai đoạn can thiệp gồm các mô-đun còn lại – từ
14 đến 17. Trong từng mô-đun, tùy thuộc vào từng kênh ta có các nhiệm vụ phải
làm để có thể tìm được các giá trị cho 18 đại lượng ở phần trên (mô tả chi tiết
trong chương 7, 8, 9, 10 và 11 của hướng dẫn OSSTMM). Như vậy, người đánh
giá phải thực hiện 17 * 5 = 85 phân tích trước khi đưa ra được báo cáo cuối
cùng.
1.3.3. Phương pháp OWASP
OWASP ra đời năm 2001, đây là một tổ chức phi lợi nhuận, cộng đồng
mở, mục tiêu chính của tổ chức là cải tiến an ninh các phần mềm ứng dụng, đặc
biệt là ứng dụng web. Tổ chức này cũng xây dựng nhiều công cụ khác nhau cho
việc đánh giá và đều là mã nguồn mở, miễn phí. OWASP ủng hộ phương pháp
tiếp cận an ninh ứng dụng theo con người, quy trình và công nghệ vì đây là
những nhân tố tạo ra ứng dụng, những nhân tố trên có hành vi an toàn thì ứng
dụng mới an toàn. Theo OWASP, các ứng dụng web trên mạng hầu hết phải tiếp
xúc với bên ngoài, nên nó sẽ là đối tượng đầu tiên chịu các cuộc tấn công phá
hoại và sửa đổi trái phép. Vì vậy, đây sẽ là cánh cổng cho kẻ tấn công xâm nhập
vào lớp ứng dụng trước khi thực hiện các bước tiếp theo xâm nhập vào hệ thống.
Vì lỗ hổng an ninh này rất phổ biến, một số phương pháp đánh giá đã được giới
thiệu nhằm đánh giá sự trầm trọng của các rủi ro an ninh cơ bản của ứng dụng
web. Một nỗ lực được thực hiện bởi cộng đồng mở OWASP là xây dựng khung
làm việc đánh giá an toàn ứng dụng web và thúc đẩy dự án OWASP top 10
nhằm nâng cao nhận thức an ninh ứng dụng của các tổ chức.
Dự án OWASP top 10 không tập trung vào các chương trình ứng dụng an
ninh hoàn thiện, mà cung cấp một nền tảng cần thiết để tích hợp an ninh thông
qua các nguyên tắc và thực hành lập trình an toàn. Dự án OWASP top 10 phân
loại rủi ro an ninh ứng dụng web bằng cách đánh giá các hướng tấn công hàng
đầu và lỗ hổng an ninh trong mối quan hệ đối với các tác động kỹ thuật và kinh
10
doanh của nó. Việc đánh giá mười rủi ro hàng đầu của dự án sẽ thực hiện theo
chu kỳ mỗi năm một lần nhằm mục đích chỉ ra những rủi ro nghiêm trọng nhất
trong từng năm (chú ý không chỉ có 10 rủi ro cần xem xét mà rất nhiều, tuy
nhiên hàng năm OWASP sẽ chọn ra 10 rủi ro nguy hại nhất).
Dự án cũng cung cấp hướng dẫn cụ thể giúp đánh giá, xác minh và khắc
phục từng phần các lỗ hổng của một ứng dụng như thế nào. Tuy không tập trung
nhưng có một số hướng dẫn có sẵn từ cộng đồng OWASP cho những người phát
triển và người đánh giá an toàn quản lý hiệu quả các ứng dụng web về mặt an
ninh.
Đối với OWASP, an toàn phần mềm nói chung và ứng dụng web nói
riêng phải được chú trọng ngay từ giai đoạn đầu tiên: định nghĩa, thiết kế và duy
trì cho đến các giai đoạn sau này như: phát triển, triển khai, bảo trì. Tóm lại,
đánh giá an ninh nên được áp dụng trong suốt vòng đời phát triển phần mềm. Vì
vậy hướng dẫn này không chỉ dành cho người đánh giá mà còn phải được đọc và
sử dụng bởi người phát triển và kiểm thử phần mềm. Giữ thông tin an ninh liên
tục cập nhật là một khía cạnh quan trọng của dự án hướng dẫn này. Để đáp ứng
yêu cầu trên, OWASP áp dụng phương pháp tiếp cận wiki, cộng đồng OWASP
có thể phát triển và mở rộng thông tin trong tài liệu hướng dẫn này để bắt kịp
với sự phát triển nhanh chóng của các mối đe dọa an ninh nhằm vào ứng dụng.
Theo OWASP, đánh giá an toàn sẽ không bao giờ là một khoa học chính
xác với một danh sách đầy đủ của tất cả các vấn đề cần được đánh giá và đánh
giá an toàn an ninh chỉ là một kỹ thuật thích hợp để đánh giá an tòa cho các ứng
dụng web trong những hoàn cảnh nhất định. Phương pháp đánh giá an toàn ứng
dụng web của OWASP dựa trên tiếp cận hộp đen. Người đánh giá không biết
hoặc biết rất ít thông tin về các ứng dụng được đánh giá. Mô hình đánh giá bao
gồm:
Người đánh giá: Thực hiện các hoạt động đánh giá.
Công cụ và phương pháp: Cốt lõi là dự án hướng dẫn đánh giá.
Áp dụng: Đánh giá hộp đen.
11
Phương pháp OWASP bao gồm 10 bước thực hiện chia thành 2 giai đoạn
như Hình 1.6:
Hình 1.6. Phương thức làm việc của OWASP
Giai đoạn 1 – Chế độ thụ động: Trong chế độ này, người đánh giá cố gắng
hiểu được logic của ứng dụng và các thông tin liên quan đến mục tiêu đánh giá.
Các thông tin có thể thu thập được như: sơ đồ website, thông tin webserver, vị
trí đặt tên miền, …. Các thông tin này là tiền đề để thực hiện giai đoạn thứ 2.
Giai đoạn 2 – Chế độ chủ động: Trong giai đoạn này, người đánh giá bắt
đầu thực hiện đánh giá theo hướng dẫn chi tiết trong tài liệu OWASP. OWASP
chia đánh giá chủ động thành 9 loại nhỏ với tổng số 66 bài viết hướng dẫn:
Kiểm tra Quản lý cấu hình.
Kiểm tra quản lý cấu hình
Kiểm tra business logic
Kiểm tra cơ chế xác thực
Kiểm tra việc ủy quyền
Kiểm tra quản lý phiên giao dịch
Kiểm tra các dữ liệu đầu vào
12
Kiểm tra khả năng tấn công từ chối dịch vụ
Kiểm tra web services
Kiểm tra AJAX
Một bảng danh sách các bài viết hướng dẫn đánh giá được liệt kê theo
mẫu như sau:
Bảng 1: Mẫu minh họa bài viết hướng dẫn đánh giá
Loại
Mã số
Tên kiểm thử
OWASP-IG-001
Phân tích Spiders, Robots,
and Crawlers
OWASP-IG-002
Sử dụng các công cụ tìm
kiếm
Thu
thập
thông OWASP-IG-003
tin
OWASP-IG-004
Lỗ hổng
Không
Xác định điểm vào của
ứng dụng
Nhận diện Webserver
OWASP-IG-005
Dò thông tin ứng dụng
OWASP-IG-006
Phân tích trang báo lỗi
Lộ thông tin
OWASP-CM-001 Kiểm tra SSL/TLS
Điểm yếu SSL
OWASP-CM-002 Dò tìm Cơ sở dữ liệu
Yếu về DB
Listenner
Quản OWASP-CM-003 Kiểm tra quản lý cấu hình
cơ sở hạ tầng
lý
cấu
hình OWASP-CM-004 Kiểm tra quản lý cấu hình
ứng dụng
Điểm yếu trong
quản lý cấu hình cơ
sở hạ tầng
Điểm yếu trong
quản lý ứng dụng
OWASP-CM-005
Kiểm tra xử lý thành phần
mở rộng của file
OWASP-CM-006
Tìm các tập tin cũ, lưu trữ, Các tập tin cũ, lưu
không được tham chiếu
trữ và chưa được
13
Kiểm soát các phần
mở rộng file
tham chiếu
…..
1.4.
OWASP-CM-007 Kiểm tra giao diện quản trị
Truy cập tới giao
diện quản trị
Kiểm tra phương thức
OWASP-CM-008
HTTP và XST
Các phương thức
HTTP đã bật, XST
được phép
…………..
……………………….
……………….
CÁC KỸ THUẬT ĐÁNH GIÁ
Có rất nhiều các kỹ thuật kiểm tra và kiểm thử an toàn có thể được sử
dụng để đánh giá an toàn của hệ thống và mạng. Tuy nhiên tựu chung lại chúng
có thể được chia thành 3 loại như sau:
Kỹ thuật rà soát (review): Đây là kỹ thuật kiểm tra được dùng để
đánh giá hệ thống, ứng dụng, mạng, chính sách và thủ tục nhằm
mục tiêu phát hiện các lỗ hổng và thường được tiến hành thủ công
(bằng tay). Các kỹ thuật này bao gồm việc rà soát tài liệu, nhật kí,
tập luật và rà soát cấu hình hệ thống; thăm dò mạng; kiểm tra tính
toàn vẹn tập tin. Chúng ta sẽ xem xét cụ thể hơn về kỹ thuật này
trong chương 2.
Kỹ thuật phân tích và xác định mục tiêu: Kỹ thuật kiểm thử này
có thể xác định hệ thống, các cổng, dịch vụ và các lỗ hổng. Thông
thường có các công cụ tự động để thực hiện các kỹ thuật này nhưng
cũng có thể được thực hiện thủ công. Các kỹ thuật này bao gồm:
phát hiện mạng, nhận dạng cổng và dịch vụ mạng, quét lỗ hổng,
quét mạng không dây và kiểm tra an toàn ứng dụng. Chúng ta sẽ
xem xét cụ thể hơn về kỹ thuật này trong chương 3.
Kỹ thuật xác định điểm yếu mục tiêu: Kỹ thuật kiểm thử này để
xác định sự tồn tại của các lỗ hổng trong hệ thống. Chúng có thể
được thực hiện một cách thủ công hoặc thông qua các công cụ tự
động tùy thuộc vào các hệ thống cụ thể cũng như kỹ năng của
người kiểm thử. Các kỹ thuật xác định điểm yếu mục tiêu bao gồm:
14
bẻ mật khẩu, kiểm thử xâm nhập, kỹ nghệ xã hội và kiểm thử an
toàn ứng dụng. Các thông tin chi tiết về kỹ thuật này sẽ được trình
bày trong chương 4.
Không có một kỹ thuật nào có thể cung cấp một cách đầy đủ, chi tiết về
các vấn đề an toàn trong một hệ thống hay mạng nên cần phải kết hợp các kỹ
thuật một cách phù hợp để đảm bảo rằng các đánh giá an toàn là chính xác. Ví
dụ, kiểm thử xâm nhập thường phụ thuộc vào sự thực hiện của cả sự nhận dạng
cổng mạng/dịch vụ và quét lỗ hổng để xác định các máy chủ và dịch vụ mà có
thể là mục tiêu đối với sự thâm nhập tương lai. Ngoài ra, có một số kỹ thuật chỉ
thỏa mãn với một yêu cầu đánh giá, chẳng hạn như xác định nơi mà các bản vá
được áp dụng một cách phù hợp.
Ngoài các kỹ thuật được trình bày ở trên, thực tế còn rất nhiều kỹ thuật
khác nữa mà người đánh giá có thể áp dụng. Ví dụ như kiểm thử an toàn vật lý
(xác thực sự tồn tại của các lỗ hổng an toàn vật lý bằng cách cố gắng phá ổ
khóa, giả dấu hiệu và các biện pháp kiểm soát an toàn vật lý khác) thường để đạt
được sự truy cập trái phép để tiếp cận tới các máy chủ, thiết bị mạng. Một ví dụ
khác là nhận dạng tài sản theo cách thủ công. Một tổ chức có thể lựa chọn để
xác định các tài sản cần đánh giá thông qua các kho lưu trữ tài sản hay các
phương thức khác thay vì dựa vào các kỹ thuật để nhận dạng tài sản.
1.5.
SO SÁNH KIỂM THỬ (TEST) VÀ KIỂM TRA (EXAMINATION)
Đôi khi người đánh giá có thể nhẫn lẫn giữa các công việc liên quan tới
đánh giá, đặc biệt là “kiểm thử” và “kiểm tra”. Ở đây sẽ trình bày cụ thể hơn về
các công việc này.
Kiểm tra chủ yếu liên quan tới việc xem xét các tài liệu như chính sách,
thủ tục, kế hoạch an toàn, các yêu cầu an toàn, thủ tục vận hành chuẩn, sơ đồ
kiến trúc, tài liệu công nghệ, bản kê tài sản, cấu hình hệ thống, tập luật và nhật
kí hệ thống. Các kiểm tra được thực hiện để xác định liệu hệ thống có được lập
tài liệu phù hợp không và để đạt được cái nhìn sâu sắc về các khía cạnh an toàn
mà chỉ có sẵn thông qua các tài liệu hướng dẫn. Tài liệu này xác định thiết kế,
cài đặt, cấu hình, vận hành và sự duy trì hệ thống cũng như duy trì mạng dự
15
kiến, và sự xem xét, tham khảo chéo của tài liệu này đảm bảo sự phù hợp và
thống nhất.
Ví dụ, các yêu cầu an toàn của một môi trường phải đưa ra tài liệu như kế
hoạch an toàn hệ thống và thủ tục vận hành chuẩn, vì vậy người đánh giá phải
đảm bảo rằng tất cả các kế hoạch, thủ tục, kiến trúc và cấu hình phù hợp với các
yêu cầu an toàn đã nêu cũng như các chính sách có thể áp dụng.
Ví dụ khác là xem xét một tập luật của tường lửa để đảm bảo sự phù hợp
của nó với các chính sách an toàn của tổ chức liên quan tới việc sử dụng
Internet, chẳng hạn như việc sử dụng nhắn tin cấp bách, chia sẻ tệp dữ liệu giữa
mạng ngang hàng và các hoạt động bị cấm khác.
Kiểm tra thường không tác động lên hệ thống hoặc mạng thực tế trong
môi trường đích từ việc truy cập tài liệu, nhật kí hay tập luật cần thiết. Tuy nhiên
nếu các tệp cấu hình hệ thống hay nhật kí được lấy ra từ hệ thống đã cho chẳng
hạn như một bộ định tuyến hay tường lửa, thì chỉ những người quản trị hệ thống
và những cá nhân đã được đào tạo tương tự mới thực hiện công việc này để đảm
bảo các thiết lập không bị sửa đổi hoặc bị xóa một cách vô ý.
Kiểm thử bao gồm các công việc thử nghiệm xâm nhập tới hệ thống và
mạng để xác định các lỗ hổng an toàn và có thể được thực hiện trên toàn bộ
doanh nghiệp hay các hệ thống được chọn. Việc sử dụng các kỹ thuật quét và
xâm nhập có thể cung cấp thông tin giá trị về các lỗ hổng tiềm năng và dự đoán
khả năng một kẻ tấn công hay kẻ xâm nhập có thể lợi dụng các lỗ hổng đó.
Kiểm thử cũng cho phép các tổ chức đo được mức độ tuân thủ trong các lĩnh
vực như quản lý bản vá, chính sách mật khẩu và quản lý cấu hình.
Mặc dù kiểm thử có thể cung cấp chính xác hơn về tình hình an ninh của
tổ chức so với kiểm tra nhưng vì phải thực hiện xâm nhập tới hệ thống nên có
thể ảnh hưởng tới hệ thống hoặc mạng mục tiêu. Mức độ ảnh hưởng phụ thuộc
vào kiểu kỹ thuật kiểm thử cụ thể. Các kiểu kỹ thuật đó có thể tương tác với hệ
thống và mạng đích theo nhiều cách khác nhau, chẳng hạn như gửi các gói tin
thông thường để xác định các cổng đóng và mở, hay gửi các gói tin đặc biệt để
kiểm thử đối với các lỗ hổng. Khi thực hiện một kiểm thử, bất cứ lúc nào hệ
thống cũng có thể bất ngờ bị tạm dừng hoặc xảy ra các trường hợp từ chối dịch
16
vụ không mong muốn. Do vậy cần phải xác định mức độ có thể chấp nhận khi
quyết định sử dụng kỹ thuật nào. Ví dụ như loại bỏ các kiểm thử gây nghẽn
mạng hoặc những sự gián đoạn khác có thể giảm những ảnh hưởng tiêu cực này.
Kiểm thử có thể không cung cấp được sự đánh giá toàn diện về vấn đề an
toàn trong một tổ chức vì những hạn chế về tài nguyên, nhân lực và đặc biệt là
thời gian. Ngoài ra, các tổ chức có xu hướng tránh sử dụng các kỹ thuật kiểm
thử mà ảnh hưởng tới hệ thống hoặc mạng. Do đó, kiểm thử ít được dùng hơn
kiểm tra để xác định các điểm yếu liên quan đến chính sách an toàn và cấu hình.
Trong nhiều trường hợp, việc kết hợp các kỹ thuật kiểm thử và kiểm tra có thể
cung cấp một cái nhìn chính xác hơn về an toàn.
17
Chương 2
RÀ SOÁT HỆ THỐNG
Rà soát (hay còn gọi là đánh giá lại) là giai đoạn đầu tiên cần thực hiện
trong quy trình đánh giá an toàn hệ thống thông tin. Kỹ thuật rà soát giúp kiểm
tra hệ thống, ứng dụng, mạng, chính sách, thủ tục nhằm tìm ra các lỗ hổng bảo
mật. Kỹ thuật này cũng thu thập thông tin để tạo điều kiện và tối ưu hóa các kỹ
thuật đánh giá khác. Do kỹ thuật rà soát được tiến hành một cách thụ động nên ít
ảnh hưởng tới hệ thống và mạng. Chương này sẽ tập trung tìm hiểu về một số kỹ
thuật rà soát phổ biến: rà soát tài liệu, nhật ký, luật đã được thiết kế; rà soát cấu
hình hệ thống; dò quét mạng và kiểm tra tính toàn vẹn của tập tin.
2.1.
RÀ SOÁT TÀI LIỆU
Rà soát tài liệu nhằm xác định xem các khía cạnh kỹ thuật của chính sách
và thủ tục hiện tại có được thực hiện hoặc đã thực hiện toàn diện hay chưa. Việc
kiểm tra lại các tài liệu này sẽ giúp cho người quản trị một cái nhìn tổng quát về
tình trạng an ninh của tổ chức nhưng lại thường bị bỏ qua trong các kỹ
thuật đánh giá. Rà soát tài liệu bao gồm việc kiểm tra tính chính xác và đầy đủ
về mặt kỹ thuật của cách chính sách bảo mật, kiến trúc, các yêu cầu, các quy
trình hoạt động chuẩn, những kế hoạch an toàn hệ thống và các thỏa thuận cấp
quyền, các bản ghi chép về những thỏa thuận và hợp đồng về việc liên kết hệ
thống, kế hoạch phản ứng sự cố.
Rà soát tài liệu giúp tìm ra những kẽ hở và điểm yếu có thể ảnh hưởng tới
việc kiểm soát an ninh của toàn hệ thống. Người kiểm tra cần kiểm tra xem tài
liệu của tổ chức đã đáp ứng được theo các quy chuẩn (như FISMA1) nhằm tìm
ra những chính sách bị thiếu hoặc đã lỗi thời. Những điểm yếu phổ biến của
các tài liệu bao gồm thủ tục an toàn hệ điều hành hoặc giao thức mà
không còn được sử dụng hoặc không thể tích hợp hệ điều hành mới cùng những
giao thức của nó. Việc kiểm tra lại tài liệu không thể đưa ra kết luận rằng các
1
FISMA là một bộ luật về an ninh thông tin của Hoa Kỳ
18
kiểm soát an ninh có vấn đề mà nó chỉ là một hướng tìm kiếm nhằm hỗ trợ cơ sở
hạ tầng an ninh hệ thống.
Rà soát tài liệu còn có thể được sử dụng để tinh chỉnh các kỹ thuật kiểm
tra và kiểm thử khác. Ví dụ, nếu một chính sách quản lý mật khẩu có các yêu
cầu cụ thể đối với độ dài tối thiểu và độ phức tạp của mật khẩu thì thông
tin này có thể được dùng để cấu hình công cụ phá mật khẩu nhằm nâng cao hiệu
suất của chúng.
2.2.
RÀ SOÁT NHẬT KÝ
Các nhật ký hệ thống khác nhau có thể được sử dụng để xác định độ sai
lệch từ chính sách an toàn của tổ chức, bao gồm các nhật ký tường lửa, các nhật
ký IDS, nhật ký máy chủ, và bất kỳ các nhật ký khác được thu thập từ dữ liệu
kiểm toán trên các hệ thống và mạng. Trong khi hoạt động kiểm thử không được
coi là thường xuyên, thì việc đánh giá và phân tích nhật ký có thể cung cấp hình
ảnh động của các hoạt động liên tục trên hệ thống, các hoạt động này có thể
được so sánh với mục đích và nội dung của chính sách an toàn. Về cơ bản, các
nhật ký kiểm toán có thể được sử dụng để xác nhận rằng hệ thống đang hoạt
động theo đúng các chính sách của tổ chức.
Ví dụ, nếu một bộ cảm biến IDS được đặt phía sau tường lửa, thì tường
lửa có thể sử dụng các nhật ký của nó để kiểm tra các yêu cầu dịch vụ và các
truyền thông được phép vào mạng. Nếu cảm biến này đăng ký các hoạt động trái
phép bên ngoài các tường lửa, thì điều đó chỉ ra rằng các tường lửa này không
được cấu hình một cách an toàn và tồn tại một cửa hậu trên mạng.
Việc rà soát nhật ký trên các máy chủ lớn và tường lửa nên được thực
hiện thường xuyên. Đối với hệ thống mạng với quy mô nhỏ, không có nhiều dữ
liệu cần bảo vệ thì mỗi tháng một lần là đủ, song với các hệ thống mạng lớn, có
nhiều tài nguyên thông tin quan trọng thì có thể thực hiện rà soát hàng ngày
hoặc hàng tuần. Các hành động sau đây có thể được thực hiện nếu một hệ thống
không được cấu hình theo các chính sách:
Loại bỏ các dịch vụ dễ bị tổn thương nếu chúng không cần thiết.
19
Cấu hình lại hệ thống được yêu cầu để giảm khả năng bị chiếm
quyền.
Thay đổi chính sách tường lửa để giới hạn truy cập vào hệ thống
hoặc dịch vụ dễ bị tổn thương.
Dưới đây là một số thông tin nhật ký hữu dụng khi thực hiện đánh giá an
toàn hệ thống thông tin mà người đánh giá cần xem xét:
Nhật ký của hệ thống hoặc máy chủ xác thực ghi chép lại những
thông tin về các hành động xác thực.
Nhật ký của hệ thống ghi chép lại thông tin về việc tắt, khởi động
hệ thống và dịch vụ, việc cài đặt phần mềm trái phép, truy cập vào
các file, thay đổi chính sách an toàn, thay đổi tài khoản (ví dụ: tạo
và xóa tài khoản, cấp đặc quyền cho tài khoản) và đặc quyền sử
dụng.
Nhật ký của hệ thống ngăn chặn và phát hiện xâm nhập ghi chép lại
những hành vi sai trái.
Nhật ký của tường lửa và bộ định tuyến ghi chép lại các kết nối từ
mạng nội bộ ra bên ngoài mà có tiềm năng là những kết nối của các
thiết bị độc hại từ bên trong (ví dụ: rootkit, bot, trojan horse,
spyware).
Nhật ký tường lửa về những thông tin kết nối không thành công và
những nỗ lực truy cập trái phép.
Nhật ký ứng dụng ghi chép lại những nỗ lực kết nối trái phép, thay
đổi tài khoản, sử dụng đặc quyền và sử dụng những thông tin của
cơ sở dữ liệu hoặc ứng dụng.
Nhật ký của các phần mềm phòng chống virus ghi chép những cập
nhật thất bại, hoặc những phần mềm đã lỗi thời.
Nhật ký bảo mật trong quản lý bản vá lỗi cụ thể nào đó hoặc trong
hệ thống IDS/IPS có thể ghi chép lại những thông tin về những lỗ
hổng dịch vụ và ứng dụng mà chưa được biết đến.
20
Việc rà soát nhật ký thủ công là rất phức tạp và tốn thời gian. Hiện nay có
rất nhiều công cụ hỗ trợ đánh giá tự động giúp giảm thiểu đáng kể thời gian
kiểm tra và có thể đưa ra bản báo cáo tóm tắt nội dung nhật ký kèm theo đường
dẫn tới những hoạt động liên quan tới thông tin nhật ký đó. Người đánh giá cũng
có thể sử dụng các công cụ tự động này để hỗ trợ trong việc phân tích nhật ký
bằng cách chuẩn hóa các định dạng của bản ghi khác nhau sau đó đưa vào phân
tích. Ngoài ra, nếu người đánh giá muốn điều tra về một hành động cụ thể,
chẳng hạn như số lần thử đăng nhập không thành công trong một tổ chức, họ có
thể sử dụng những công cụ để lọc dựa trên các hoạt động được ghi chép trong
nhật ký. Điều quan trọng là bất kỳ bộ lọc nào áp dụng cho các nhật ký thì cần
phải lọc ra được những gì không mong muốn và vượt qua được tất cả mọi thứ
khác.
2.3.
RÀ SOÁT TẬP LUẬT
Tập luật là một tập hợp các quy tắc mà hệ thống hoặc mạng so sánh để
quyết định nên làm gì hoặc hành động nào được chấp thuận; ví dụ như chuyển
tiếp hoặc từ chối một gói dữ liệu, tạo ra một cảnh báo, hoặc cho phép một sự
kiện hệ thống. Việc kiểm tra lại các tập luật giúp đảm bảo tính toàn diện và để
tìm ra những lỗi hoặc lỗ hổng bảo mật trên các thiết bị an ninh và các tầng bảo
mật như: lỗ hổng bảo mật mạng, vi phạm chính sách, đường truyền liên lạc
không mong đợi hoặc kém bảo mật. Rà soát tập luật cũng giúp tìm ra những
điều thiếu sót hoặc không hiệu quả làm ảnh hưởng đến hiệu suất của bộ luật.
Những luật cần được kiểm tra bao gồm các bộ luật thiết đặt cho tường lửa,
hệ thống IDS/IPS chạy trên nền tảng mạng hay nền tảng máy chủ, danh sách
điều khiển truy cập trên bộ định tuyến. Dưới đây là một số ví dụ thường gặp về
việc kiểm tra hiệu suất của những bộ luật đã được thiết lập:
Đối với danh sách điều khiển truy cập trên bộ định tuyến:
Chỉ giữ lại những luật cần thiết (ví dụ: những luật được thiết lập với
mục đích tạm thời phải được gỡ bỏ ngay sau khi không cần tới
chúng nữa).
21
Mặc định từ chối tất cả những lưu lượng mạng, chỉ cho phép những
lưu lượng đã được cấp quyền theo chính sách được truy cập.
Đối với tường lửa:
Chỉ giữ lại những luật cần thiết.
Luật thực thi việc truy cập đặc quyền tối thiểu, như việc chỉ cấp
phép cho những địa chỉ IP và cổng mạng cần thiết.
Tạo những luật cụ thể trước rồi tạo một luật chung sau.
Không nên mở những cổng không cần thiết để thắt chặt an ninh.
Các luật được thiết lập không cho phép các truy cập vượt qua các
rào cản an ninh khác.
Các luật được thiết lập máy chủ, máy trạm cá nhân; các luật không
chỉ ra các hoạt động đặc trưng của cửa hậu, phần mềm gián điệp
hoặc các ứng dụng bị cấm.
Đối với hệ thống IDS/IPS:
Những mẫu (signature) không cần thiết cần phải được vô hiệu hóa
hoặc gỡ bỏ để tránh trường hợp cảnh báo nhầm và làm giảm hiệu
quả hoạt động của hệ thống.
Những mẫu cần thiết phải được kích hoạt, chỉnh sửa và bảo trì hợp
lý.
2.4.
RÀ SOÁT CẤU HÌNH HỆ THỐNG
Việc xem xét lại cấu hình hệ thống là một quá trình kiểm tra nhằm tìm ra
những điểm yếu trong việc kiểm soát cấu hình an toàn (như hệ thống có được
tăng cường bảo mật hoặc có được cấu hình theo như chính sách an toàn thông
tin của tổ chức đã đề ra). Thông qua quá trình rà soát, người đánh giá có thể xác
định được những dịch vụ hoặc ứng dụng không cần thiết, những tài khoản người
dùng và thiết lập mật khẩu không hợp lý hay những thiết lập sao lưu và đăng
nhập không phù hợp. Người đánh giá cũng có thể kiểm tra những file cấu hình
hệ thống đã được lưu trữ sẵn trong các tập tin khác nhau trong các hệ điều hành.
22
Ví dụ đối với hệ điều hành Windows, file cấu hình hệ thống được lưu trữ trong
“Windows security policy settings”; hay đối với hệ điều hành Linux hoặc Unix,
file cấu hình nằm trong tập tin /etc.
Người đánh giá có thể thực hiện kiểm tra thủ công hoặc kiểm tra dựa trên
dựa trên một bảng danh sách kiểm tra (checklist) để xác minh rằng những thiết
lập hệ thống đã được cấu hình để giảm thiểu những rủi ro an ninh. Để thực hiện
việc kiểm tra cấu hình hệ thống thủ công, người đánh giá truy cập vào các thiết
lập an ninh của thiết bị rồi so sánh với những thiết lập đã được khuyến nghị
trong checklist. Những thiết lập không đạt chuẩn an ninh tối thiểu sẽ bị đánh dấu
và đưa vào báo cáo.
Giao thức tự động hóa nội dung an toàn (SCAP) là một phương pháp sử
dụng các tiêu chuẩn cụ thể để tự động hóa việc quản lý lỗ hổng bảo mật, đo
lường và đánh giá việc tuân thủ chính sách an toàn của hệ thống. Các công cụ
khác có thể được sử dụng trong việc truy tìm, báo cáo các thiết lập an ninh hoặc
cung cấp hướng dẫn bổ sung. Những công cụ tự động thường được thực hiện
trực tiếp trên thiết bị cần được đánh giá, hoặc cũng có thể được thực hiện trên
một hệ thống với mạng truy cập vào các thiết bị cần được đánh giá đó. Thông
thường phương pháp kiểm tra cấu hình hệ thống tự động sẽ nhanh hơn so với
phương pháp thủ công, những vẫn có những thiết lập cần phải được kiểm tra thủ
công. Cả hai phương pháp thủ công và tự động đều yêu cầu đặc quyền quản trị
để xem xét các thiết lập an ninh đã chọn.
Nói chung, bất cứ khi nào có thể thì phương pháp kiểm tra tự động vẫn
luôn là lựa chọn hàng đầu. Việc cắt cử một nhân viên kiểm tra thủ công hàng
trăm hoặc hàng nghìn thiết lập sẽ tốn nhiều thời gian mà lại dễ xảy ra lỗi thì việc
kiểm tra tự động vừa tiết kiệm thời gian lại vừa đem lại kết quả nhất quán.
2.5.
DÒ QUÉT MẠNG
Dò quét mạng là một kỹ thuật theo dõi thụ động những liên lạc trong
mạng, giải mã các giao thức, kiểm tra các tiêu đề của gói tin và các thành phần
thực thi để đánh dấu những thông tin liên quan. Ngoài việc được sử dụng như là
một kỹ thuật để rà soát thì dò quét mạng còn được sử dụng để phân tích và nhận
dạng mục tiêu. Lý do thực hiện việc dò quét mạng:
23
Chặn bắt và phát lại những liên lạc mạng.
Thực hiện việc khám phá mạng thụ động (ví dụ: xác định các thiết
bị đang hoạt động trên mạng).
Xác định các hệ điều hành, ứng dụng, dịch vụ và các giao thức, bao
gồm các giao thức không an toàn (ví dụ: telnet) và các giao thức
trái phép (chia sẻ tập tin qua mạng ngang hàng P2P).
Xác định những hành vi trái phép hoặc không thích đáng, như việc
truyền tải thông tin nhạy cảm mà không được mã hóa.
Thu thập thông tin, như những tài khoản và mật khẩu không được
mã hóa.
Dò quét mạng có thể gây ảnh hưởng đôi chút tới hệ thống và mạng, đặc
biệt là băng thông mạng hay hiệu suất hoạt động của máy tính. Công cụ sử dụng
cho việc dò quét mạng gọi là sniffer. Để thực hiện dò quét, người đánh giá cần
kết nối tới một thiết bị trong hệ thống mạng, chẳng hạn như một hub hoặc
switch với chức năng span port, trong đó span port là quá trình tự động sao chép
các gói tin qua lại giữa các cổng đến cổng mà sniffer được cài đặt. Người đánh
giá có thể triển khai việc dò quét mạng tại nhiều địa điểm khác nhau trong một
môi trường. Những địa điểm thường tiến hành dò quét là:
Tại vành đai để đánh giá lưu lượng mạng vào ra.
Sau tường lửa, để đánh giá độ chính xác của các luật lọc lưu lượng.
Sau IDS/IPS, để xác định các mẫu có được kích hoạt và phản hồi
hợp lý.
Đặt phía trước hệ thống hoặc ứng dụng quan trọng để đánh giá hoạt
động của nó.
Đặt trong một phân đoạn mạng để xác nhận giao thức đã được mã
hóa.
Một trong những hạn chế của dò quét mạng là việc sử dụng mã hóa.
Những kẻ tấn công có thể lợi dụng việc sử dụng mã hóa để che dấu những hoạt
động của mình, trong khi người đánh giá mặc dù thấy được những liên lạc xảy
24
ra trong mạng nhưng lại không thể biết được nội dung của liên kết. Một hạn chế
nữa đó là dò quét mạng chỉ có thể dò quét được khu vực mạng nơi mà các công
cụ dò quét được triển khai. Như vậy đòi hỏi người đánh giá phải di chuyển từ
phân đoạn mạng này sang phân đoạn mạng khác để tiến hành kiểm tra, cài đặt
nhiều công cụ dò quét trên nhiều cổng span ở các phân đoạn mạng thì mới có
thể đánh giá được cho toàn bộ hệ thống mạng. Không những thế người đánh giá
cũng gặp nhiều khó khăn trong việc xác định vị trí vật lý cổng mạng mở để dò
quét cho mỗi phân đoạn mạng nên có thể sẽ tốn nhiều thời gian, công sức khi
thực hiện kiểm tra dò quét.
2.6.
KIỂM TRA TÍNH TOÀN VẸN CỦA TẬP TIN
Kiểm tra tính toàn vẹn của tập tin cho phép kiểm tra sự thay đổi của các
tập tin hệ thống bằng cách tính toán và lưu trữ một tổng kiểm tra cho mỗi tập tin
được bảo vệ và thiết lập một cơ sở dữ liệu của các tổng kiểm tra tập tin. Nó cung
cấp một công cụ cho quản trị viên hệ thống để nhận dạng được những thay đổi
của các tập tin, đặc biệt là những thay đổi trái phép. Tổng kiểm tra được lưu trữ
nên được tính toán lại thường xuyên để kiểm tra giá trị hiện tại so với giá trị
được lưu trữ nhằm xác định bất kỳ sự sửa đổi nào đối với tệp tin. Một trình kiểm
tra tính toàn vẹn tập tin thường được bao gồm trong một hệ thống phát hiện xâm
nhập dựa trên máy chủ thương mại bất kỳ.
Trình kiểm tra tính toàn vẹn là một công cụ hữu ích không đòi hỏi tính
tương tác cao với con người, nhưng nó cần phải được sử dụng một cách cẩn thận
để đảm bảo tính hiệu quả. Trình kiểm tra tính toàn vẹn tập tin đòi hỏi hệ thống
phải là an toàn để tạo ra cơ sở dữ liệu tham chiếu ban đầu. Mặt khác, các bản
băm mật mã của một hệ thống bị tổn thương có thể được tạo ra, sự kiện này có
thể tạo ra cảm giác sai lầm về tính an toàn cho người đánh giá. Cơ sở dữ liệu
tham chiếu cần được lưu trữ ngoại tuyến để các tấn công không thể chi phối hệ
thống và tìm cách ẩn dấu vết của họ bằng cách sửa đổi cơ sở dữ liệu này. Trình
kiểm tra tính toàn vẹn tập tin cũng có thể sinh ra những cảnh báo sai. Mỗi sự
thực thi cập nhật tập tin và vá hệ thống sẽ thay đổi các tập tin, và do đó yêu cầu
một sự cập nhât đối với tổng kiểm tra cơ sở dữ liệu. Kết quả là, việc giữ cho cơ
sở dữ liệu luôn được cập nhật là một việc khó khăn. Tuy nhiên, ngay cả khi trình
25
kiểm tra tính toàn vẹn chỉ chạy một lần (khi hệ thống được cài đặt lần đầu tiên),
thì nó vẫn là một hoạt động hữu ích cho việc xác định những tập tin nào đã bị
sửa đổi trong trường hợp có nghi ngờ về sự tấn công. Cuối cùng, kẻ tấn công đã
có thể chỉnh sửa một tập tin bằng cách sử dụng kiểm tra phần dư vòng (CRC)
32-bit thường được sử dụng để không bị phát hiện. Vì vậy, các tổng kiểm tra
mạnh hơn như SHA -1 được khuyến cáo sử dụng để đảm bảo tính toàn vẹn của
dữ liệu được lưu trữ trong cơ sở dữ liệu tổng kiểm tra.
Trình kiểm tra tính toàn vẹn nên được chạy hàng ngày trên các tập tin hệ
thống được lựa chọn, vì những tập tin này sẽ bị ảnh hưởng bởi một tấn công nào
đó. Trình kiểm tra tính toàn vẹn cũng nên được sử dụng khi nghi ngờ một sự chi
phối hay tấn công xảy ra nhằm xác định được mức độ thiệt hại có thể có. Nếu
trình kiểm tra tính toàn vẹn phát hiện một hệ thống tập tin bị sửa đổi trái phép,
thì khả năng xảy ra một sự cố an toàn cần được xem xét và điều tra theo chính
sách báo cáo, chính sách phản ứng sự cố của tổ chức và các thủ tục của chính
sách này.
2.7.
TỔNG KẾT
Bảng dưới đây sẽ tóm tắt lại các tính năng chính của các kỹ thuật rà soát
được thảo luận trong chương này:
Bảng 2: Các kỹ thuật rà soát
Tính năng
Kỹ thuật
Rà soát tài liệu
Rà soát nhật ký
Rà soát tập luật
Đánh giá các chính sách và các thủ tục một cách
chính xác và đầy đủ.
Cung cấp thông tin liên quan tới việc sử dụng hệ
thống, cấu hình, và sửa đổi;
Có thể phát hiện ra các sự cố tiềm tàng hoặc các lỗ
hổng trong chính sách.
Có thể phát hiện ra các lỗ hổng trong việc kiểm
soát an ninh dựa trên bảng tập luật.
Rà soát cấu hình hệ Đánh giá độ mạnh trong việc cấu hình hệ thống;
26
Xác nhận rằng các hệ thống được cấu hình phù hợp
với chính sách cứng.
thống
Dò quét mạng
Giám sát lưu thông trên các phân đoạn mạng cục bộ
để chụp lại các thông tin như các hệ thống đang
hoạt động, hệ điều hành, các giao thức truyền tải,
các dịch vụ và ứng dụng;
Xác nhận việc mã hóa các thông tin liên lạc.
Xác định các thay đổi tới các tập tin quan trọng,
Kiểm tra tính toàn
đồng thời cũng xác định các hình thức nhất định
vẹn của tập tin
của các tập tin không mong muốn, chẳng hạn các
công cụ tấn công phổ biến.
Các kết quả thu được dựa vào cách áp dụng mỗi kỹ thuật và sự kết hợp
của chúng. Để đảm bảo rằng tất cả được thực hiện một cách an toàn và chính
xác, mỗi đánh giá viên cần có một bộ kỹ năng cơ bản nhất định. Bảng dưới đây
cung cấp hướng dẫn cho việc thiết lập kỹ năng tối thiểu cần thiết cho mỗi kỹ
thuật:
Bảng 3: Các kỹ năng cơ bản cần thiết đối với các kỹ thuật rà soát
Kỹ thuật
Các kỹ năng cơ bản
Rà soát tài liệu
Có các kiến thức về vấn đề an ninh mạng từ góc độ
chính sách.
Rà soát nhật ký
Có các kiến thức về định dạng nhật ký và khả năng
giải thích, phân tích dữ liệu nhật ký;
Có khả năng sử dụng các công cụ phân tích nhật ký
tự động.
Rà soát tập luật
Có sự hiểu biết về các định dạng và cấu trúc tập
luật;
Có khả năng trích xuất và phân tích các tập luật từ
các thiết bị khác nhau.
27
Rà soát cấu hình hệ Có kiến thức về cấu hình hệ thống an toàn, bao
thống
gồm cứng hóa hệ điều hành và cấu hình chính sách
an ninh trên các hệ điều hành khác nhau;
Có khả năng sử dụng các công cụ kiểm thử cấu
hình an ninh tự động.
Dò quét mạng
Có kiến thức về mạng và giao thức giao thức
TCP/IP;
Có khả năng phân tích lưu thông mạng;
Có khả năng sử dụng các công cụ dò quét mạng.
Kiểm tra tính toàn Có kiến thức cơ bản về các tệp hệ thống;
vẹn của tập tin
Có khả năng sử dụng các công cụ kiểm tra tính toàn
vẹn của tệp tự động và phân tích kết quả.
28
Chương 3
PHÂN TÍCH VÀ XÁC ĐỊNH MỤC TIÊU
Nội dung của chương này sẽ giới thiệu về kĩ thuật phân tích và xác định
mục tiêu, trong đó tập trung vào việc xác định các thiết bị đang hoạt động cũng
như những cổng và dịch vụ liên quan, từ đó tiến hành việc phân tích các lỗ hổng
tiềm năng.
3.1.
KHÁM PHÁ MẠNG
Khám phá mạng là việc sử dụng các phương pháp để phát hiện những
máy chủ, máy trạm, thiết bị mạng đang hoạt động và có khả năng phản hồi lại
trong một mạng. Có hai phương pháp để xác định các thiết bị trong mạng là
phương pháp thụ động và phương pháp chủ động.
Phương pháp thụ động sử dụng công cụ dò quét mạng để theo dõi lưu
lượng mạng, ghi chép lại những địa chỉ IP của những máy đang hoạt động,
những cổng mạng đang được mở, và hệ điều hành đã biết trong mạng. Phương
pháp thụ động còn có thể cho biết mối quan hệ giữa các máy chủ (những máy
chủ nào liên lạc với nhau, tần suất liên lạc ra sao, loại hình liên lạc như thế
nào...) và thường được thực hiện từ một máy tính trong mạng nội bộ nơi mà có
thể theo dõi các hoạt động liên lạc của máy chủ. Điều này được thực hiện mà
không cần gửi đi những gói tin thăm dò. Việc khám phá mạng thụ động do vậy
không ảnh hưởng tới hoạt động của mạng. Tuy nhiên phương pháp này sẽ tốn
nhiều thời gian hơn để thu thập thông tin, và những máy chủ mà không thực
hiện nhận hoặc gửi gói tin trong khoảng thời gian giám sát có khả năng sẽ không
được đưa vào báo cáo.
Phương pháp chủ động thường sử dụng những công cụ tự động gửi đi các
gói tin (ví dụ: ICMP) để thu được những phản hồi từ các máy chủ. OS
fingerprinting là một dạng của phương pháp chủ động, nó giúp cho người đánh
giá có thể xác định được hệ điều hành và phiên bản đang chạy trên hệ thống
bằng cách gửi đi hỗn hợp các lưu lượng mạng bao gồm cả lưu lượng bình
thường, bất bình thường hoặc bất hợp pháp. Một dạng khác của phương pháp
29
chủ động liên quan tới việc gửi đi các gói tin tới các cổng mạng và đợi chờ sự
phản hồi của cổng mạng đang hoạt động, sau đó sử dụng công cụ để phân tích
các gói tin phản hồi đó, rồi so sánh chúng với những đặc điểm đã biết của các
gói tin được gửi đi từ những hệ điều hành hoặc dịch vụ mạng nhất định từ đó
xác định được máy chủ, hệ điều hành đang chạy, các cổng mạng và trạng thái
của các cổng đó. Thông tin này có thể được sử dụng nhằm mục đích thu thập
thông tin về các mục tiêu khi tiến hành kiểm thử, tạo bản đồ cấu trúc liên kết
(topology map), xác định cấu hình tường lửa và IDS, phát hiện lỗ hổng bảo mật
trong cấu hình mạng cũng như trong hệ thống.
Ví dụ về khám phá mạng chủ động sử dụng lệnh “ping”:
Hình 3.1. Ví dụ về Ping
Có rất nhiều cách để thu thập thông tin thông qua việc dò quét mạng bằng
cách sử dụng các công cụ dò quét. Tường lửa và IDS có thể xác định được rất
nhiều dạng quét, đặc biệt là những dạng điển hình như: quét SYN/FIN, quét
NULL, …. Người đánh giá muốn thực hiện việc khám phá mạng thông qua
tường lửa và IDS phải cân nhắc lựa chọn dạng quét sao cho vừa có thể thu thập
được thông tin mà không gây sự chú ý của các quản trị viên, và làm thế nào để
việc dò quét có thể được thực hiện một cách bí mật hơn (như là quét chậm hơn
hoặc được thực hiện từ những nguồn địa chỉ IP khác nhau) để tăng khả năng
thành công. Người đánh giá cũng nên thận trọng khi chọn dạng quét đối với
những hệ thống cũ, đặc biệt là những hệ thống kém an ninh bởi vì việc dò quét
có thể gây ra lỗi hệ thống.
30
Việc khám phá mạng cũng có thể phát hiện ra những thiết bị trái phép
hoặc giả mạo đang hoạt động trong mạng đó. Ví dụ: một tổ chức chỉ sử dụng
một vài hệ điều hành có thể nhanh chóng phát hiện ra thiết bị giả mạo sử dụng
một hệ điều hành khác. Khi thiết bị giả mạo có dây đã được nhận dạng thì người
đánh giá hoàn toàn có thể tìm được vị trí của nó bằng cách sử dụng thông tin
trên bản đồ mạng và những thông tin về hoạt động mạng của thiết bị đã thu thập
được để xác định xem thiết bị đó được nối với switch nào. Đôi khi người đánh
giá có thể cần phải tạo ra những hành động thêm (ví dụ như sử dụng câu lệnh
ping) để tìm ra chính xác switch đó. Bước tiếp theo là tìm ra cổng mà thiết bị đó
gắn kết vào switch và vị trí vật lý mà thiết bị giả mạo được kết nối tới cổng
switch.
Có rất nhiều công cụ để khám phá mạng, điều đáng chú ý là một số công
cụ được sử dụng để khám phá chủ động cũng có thể được sử dụng để quét cổng
và dò quét mạng thụ động. Một số công cụ có giao diện đồ họa (GUI), một số thì
lại sử dụng giao diện dòng lệnh. Giao diện dòng lệnh có thể sẽ mất nhiều thời
gian để tìm hiểu hơn so với GUI vì số lượng các câu lệnh và những chuyển đổi
để chỉ rõ công cụ cần thực hiện kiểm tra gì, người đánh giá cần phải hiểu rõ về
chúng để có thể sử dụng công cụ một cách hiệu quả. Những nhà phát triển phần
mềm cũng viết ra những module cho các công cụ mã nguồn mở cho phép người
đánh giá có thể dễ dàng phân tích cú pháp đầu ra của công cụ. Ví dụ: kết hợp
ngôn ngữ XML (Extensible Markup Language) của một công cụ với một đoạn
script và một cơ sở dữ liệu sẽ tạo ra một công cụ mạnh hơn để có thể giám sát
mạng, tìm ra những dịch vụ và thiết bị trái phép. Học hỏi những kỹ sư bảo mật
có kinh nghiệm để tìm hiểu cách hoạt động của các câu lệnh và làm thế nào để
có thể sử dụng kết hợp chúng với nhau cũng là 1 công việc rất cần thiết của
người đánh giá. Hầu hết các chuyên gia CNTT có kinh nghiệm, bao gồm cả
những nhân viên quản trị hệ thống và những kỹ sư mạng khác đều có khả năng
phân tích các kết quả, thông tin thu được; tuy nhiên để có thể đạt được hiểu quả
tốt nhất khi sử dụng các công cụ khám phá mạng thì nên giao cho các kỹ sư
mạng.
Hình 3.2 là một ví dụ về sử dụng công cụ Advanced IP Scanner để dò
quét các địa chỉ IP đang hoạt động trong dải từ 63.215.91.1 tới 63.215.91.255:
31
Hình 3.2. Advanced IP Scanner
Hình 3.3 là ví dụ về sử dụng Angry IP Scanner để dò quét các địa chỉ IP
đang hoạt động trong dải từ 216.239.33.1 tới 216.239.33.255:
Hình 3.3. Angry IP Scanner
Một trong những lợi thế của phương pháp khám phá mạng chủ động là có
thể đứng ở một mạng khác để đưa ra những đánh giá và thường thì sẽ mất ít thời
gian hơn để thu thập thông tin. Khi sử dụng phương pháp khám phá mạng thụ
động thì việc đảm bảo có thể nắm bắt được tất cả các máy chủ thì yêu cầu phải
có lưu lượng mạng ở tất cả các điểm đó và sẽ tốn nhiều thời gian mới có thể
thực hiện được, đặc biệt là ở những doanh nghiệp có quy mô lớn.
32
Một nhược điểm của khám phá mạng chủ động là nó có thể gây nhiễu
mạng và đôi khi có thể gây tình trạng trễ mạng. Nếu gửi đi quá nhiều gói tin truy
vấn hoặc các gói tin có dung lượng lớn để nhận lại những hồi đáp thì những hoạt
động mạng này sẽ làm cho mạng bị chậm đi hoặc gây ra việc các gói tin bị loại
bỏ (drop) do cấu hình mạng kém. Khám phá mạng chủ động cũng có thể kích
hoạt cảnh báo IDS vì khác với khám phá mạng thụ động nó không chê dấu địa
chỉ nguồn của mình. Khả năng để khám phá mạng thành công có thể bị ảnh
hưởng bởi môi trường với các phân đoạn mạng được bảo vệ và công nghệ, thiết
bị bảo vệ vành đai. Ví dụ: một môi trường sử dụng NAT có thể sẽ không thể lấy
được thông tin chính xác từ bên ngoài mạng hoặc từ một đoạn mạng được bảo
vệ. Tường lửa cá nhân hoặc tường lửa chạy trên nền tảng máy chủ có thể sẽ chặn
những lưu lượng khám phá mạng. Việc sai lệch thông tin cũng có thể xảy ra khi
quá cố gắng gây tương tác từ các thiết bị.
Thông tin thu thập được nhờ phương pháp khám mạng thụ động hay chủ
động chưa hẳn đã hoàn toàn chính xác. Ví dụ như phương pháp khám phá mạng
chủ động chỉ có thể phát hiện được những máy tính đang hoạt động và được kết
nối vào mạng; do vậy nếu hệ thống hoặc một đoạn mạng đang ngoại tuyến trong
quá trình đánh giá thì sẽ không thể phát hiện ra được các hệ thống hoặc các máy
tính trong mạng đó; như thế báo cáo đưa ra có thể sẽ bị thiếu sót. Phương pháp
khám phá mạng thụ động chỉ tìm ra các thiết bị có thực hiện việc truyền và nhận
thông tin trong suốt thời gian thực hiện khám phá mạng. Những sản phẩm như
phần mềm quản lý mạng có khả năng phát hiện liện tục và tự động tạo ra những
cảnh báo khi một thiết bị mới có mặt trên mạng. Chức năng khám phá liên tục
có thể quét dải địa chỉ IP để tìm ra những địa chỉ mới hoặc theo dõi những địa
chỉ IP mới gửi yêu cầu. Ngoài ra, những công cụ khám phá mạng có thể được
hoạch định để thực hiện việc khám phá một cách thường xuyên, ví như vài ngày
một lần tại một mốc thời gian cụ thể. Như vậy sẽ cho ra kết quả chính xác hơn là
việc sử dụng những công cụ này không thường xuyên.
3.2.
XÁC ĐỊNH CỔNG VÀ DỊCH VỤ MẠNG
Xác định cổng và dịch vụ mạng là việc sử dụng công cụ dò quét để xác
định các cổng cũng như dịch vụ đang hoạt động trên các máy chủ, máy trạm và
33
các trang thiết bị mạng (ví dụ: 80 - HTTP, 23 – Telnet, 25 – SMTP, …). Việc
xác định cổng, dịch vụ mạng có thể giúp tìm ra những lỗ hổng tiềm ẩn trong
dịch vụ; ngoài ra thông tin này cũng có thể được sử dụng để làm cơ sở cho kiểm
thử.
Xác định cổng và dịch vụ mạng liên quan đến việc truyền thông tin TCP
dựa trên quá trình bắt tay ba bước. Hình 3.4 mô tả chi tiết hơn về quá trình này:
Hình 3.4. Truyền tin TCP dựa trên bắt tay ba bước
Bước 1: Client gửi tới Server một gói tin với cờ SYN
Bước 2: Server trả lời tới Client một gói tin SYN/ACK
Bước 3: Khi Client nhận được gói tin SYN/ACK sẽ gửi lại Server
một gói ACK – và quá trình trao đổi thông tin giữa hai máy bắt
đầu.
Dựa vào nguyên tắc trao đổi thông tin TCP, chúng ta có thể có nhiều
phương pháp quét khác nhau. Các phương pháp quét chủ yếu là gửi các gói tin
chứa các cờ khác nhau để xác định các cổng và dịch vụ đang mở. Thông thường,
có những phương pháp quét như sau:
- TCP Connect: Phương pháp này hoạt động dựa trên 3 bước đầy đủ của
quá trình bắt tay ba bước TCP. Client gửi gói tin chứa cờ SYN và một
thông số cổng nhất định tới server. Nếu server trả về gói SYN/ACK thì
client biết cổng đó mở, nếu server gửi về gói RST/ACK client biết cổng
34
đó trên server bị đóng. Trong trường hợp nhận được gói SYN/ACK,
client gửi tiếp đến server một gói tin ACK+RST để thông báo đã nhận
được phản hồi và kết thúc kết nối.
Gói SYN + Cổng (n)
Gói SYN/ACK
ACK + RST
Client
Server
Hình 3.5. Quét TCP Connect
- Stealth Scan (Quét một nửa): Khác với phương pháp TCP Connect sử
dụng đầy đủ 3 bước của quá trình bắt tay ba bước trong phiên kết nối
TCP, phương pháp này chỉ sử dụng một phần trong quá trình bắt tay để
thực hiện quét cổng. Đầu tiên client gửi gói tin SYN tới server kèm
theo thông số cổng nhất định. Nếu cổng mở thì server sẽ gửi lại client
một gói tin SYN/ACK, nếu cổng đóng thì server gửi lại client gói tin
RST. Client sau khi nhận được gói tin SYN/ACK sẽ gửi lại cho server
gói tin RST để đóng kết nối trước khi kết nối được thiết lập.
Gói SYN + Cổng (n)
Gói SYN + Cổng (n)
RST
SYN/ACK
RST
Client
Cổng mở
Client
Server
Cổng đóng
Server
Hình 3.6. Quét Stealth
- XMAS Scan: Client sẽ gửi những gói TCP với số cổng nhất định cần
quét chứa nhiều thông số cờ như: FIN, URG, PSH. Nếu server trả về
gói RST thì sẽ biết cổng đó trên Server bị đóng.
FIN, URG, PSH
FIN, URG, PSH
Không phản hồi
Client
Cổng mở
RST
Client
Server
Hình 3.7. Quét XMAS
35
Cổng đóng
Server
- FIN Scan: Khi Client chưa có kết nối tới server nhưng vẫn tạo ra gói
FIN với số cổng nhất định gửi tới server cần quét. Nếu server gửi về
gói ACK thì client biết server mở cổng đó, nếu server gửi về gói RST
thì client biết server đóng cổng đó.
FIN
FIN
Không phản hồi
Client
Cổng mở
RST/ACK
Client
Server
Cổng đóng
Server
Hình 3.8. Quét FIN
- NULL Scan: Client sẽ gửi tới server những gói TCP với số cổng cần
quét mà không chứa thông số cờ nào, nếu server gửi lại gói RST thì sẽ
biết cổng đó trên server bị đóng.
Gói TCP không chứa cờ
Gói TCP không chứa cờ
Không phản hồi
Client
Cổng mở
RST/ACK
Client
Server
Cổng đóng
Server
Hình 3.9. Quét NULL
- IDLE Scan: Đây là phương pháp quét cổng cho phép gửi các gói tin
giả mạo tới mục tiêu. Đầu tiên client sẽ gửi gói tin SYN/ACK tới mục
tiêu là zombie để thăm dò số IPID (mỗi gói tin IP truyền đi trên mạng
sẽ có một số định danh – IPID, đó là một số có 4 ký tự và tăng lên mỗi
lần máy tính gửi một gói tin IP). Zombie khi nhận được gói tin sẽ từ
chối kết nối bằng cách gửi lại gói tin RST, như vậy có nghĩa cũng bị lộ
IPID.
Gói SYN/ACK
Thăm dò IPID
Gói RST
Phản hồi: IPID = 31337
Client
Zombie
Hình 3.10. Client gửi yêu cầu kết nối tới zombie để thăm dò IPID
36
Tiếp theo client gửi tới server một gói tin chứa cờ SYN kèm theo số
hiệu cổng với địa chỉ IP là giả mạo địa chỉ IP của zombie. Nếu cổng
trên server mở, server sẽ gửi lại gói tin SYN/ACT tới zombie; nếu cổng
trên server đóng, server sẽ gửi lại gói tin RST tới zombie. Zombie sau
khi nhận được gói tin SYN/ACT sẽ gửi lại cho server gói tin RST với
số IPID tăng thêm 1.
Gói SYN tới cổng giả mạo địa chỉ IP của zombie
Client
iS
Gó
/ AC
YN
g
cổn
nếu
(
K
mở
)
Server
ST
i R 338
Gó = 31
D
IPI
Zombie
Hình 3.11. Server gửi gói tin SYN/ACK cho zombie nếu cổng mở
Gói SYN tới cổng giả mạo địa chỉ IP của zombie
Client
iR
Gó
ST
ổng
uc
( nế
đón
g)
Server
Zombie
Hình 3.12. Server gửi gói tin RST cho zombie nếu cổng đóng
Bây giờ client sẽ gửi lại yêu cầu kết nối tới zombie với số IPID giống
IPID đã thăm dò được từ trước. Zombie tiếp tục gửi trả lời lại gói tin
RST kèm theo số IPID tăng thêm. Nếu client nhận được IPID tăng thêm
2, như vậy client sẽ biết được cổng trên server là mở, còn nếu IPID tăng
thêm 1, như vậy client biết được cổng trên server là đóng.
Nếu như gói tin truyền bằng TCP để đảm bảo sự toàn vẹn của gói tin sẽ
luôn được truyền tới đích, thì gói tin truyền bằng UDP sẽ đáp ứng nhu cầu
37
truyền tải dữ liệu nhanh với các gói tin nhỏ. Với quá trình thực hiện truyền tin
bằng TCP chúng ta dễ dàng quét được hệ thống đang mở những cổng nào dựa
vào các thông số cờ trên gói TCP. Tuy nhiên, gói tin UDP không chứa các thông
số cờ, cho nên không thể sử dụng các phương thức quét cổng của TCP sử dụng
cho UDP được. Do đó phương pháp quét UDP là khó khăn hơn và cho kết quả
không có độ tin cậy cao. Với phương pháp quét cổng dựa trên truyền thông tin
sử dụng UDP, nếu một cổng bị đóng, khi server nhận được gói ICMP từ client
nó sẽ cố gắng gửi một gói ICMP type 3 code 3 với nội dung là “unreachable” về
client.
Những thông tin thu thập được từ việc quét cổng cũng giúp xác định hệ
điều hành đang chạy của mục tiêu thông qua một quá trình gọi là OS
fingerprinting. Ví dụ: nếu một máy chủ mở cổng TCP: 135,139,445 thì nó có thể
là một máy chủ đang sử dụng hệ điều hành Windows, hoặc là một máy chủ Unix
chạy hệ điều hành Samba. Ngoài ra những thông tin khác cũng có thể cho ta biết
phần nào về hệ điều hành đang được sử dụng, ví như việc sinh và phản hồi số
thứ tự (sequence number) của các gói tin TCP. Tuy nhiên OS fingerprinting
cũng không hề đơn giản. Ví dụ như tường lửa chặn các cổng và các loại lưu
thông mạng, và người quản trị hệ thống có thể cấu hình hệ thống của họ sao cho
đưa ra những phản hồi không theo tiêu chuẩn để ngụy trang cho hệ điều hành
thực sự đang dùng.
Một số công cụ quét có thể giúp xác định được ứng dụng đang chạy trên
một cổng nhất định thông qua một quá trình có tên là xác định dịch vụ (service
identification). Nhiều công cụ sử dụng một tập các dịch vụ liệt kê một số cổng
thông dụng và các dịch vụ điển hình liên quan. Ví dụ: một công cụ quét xác định
được rằng TCP cổng 80 đang mở thì nó có thể báo cáo là một máy chủ web
đang lắng nghe cổng đó; tuy nhiên những bước tìm hiểu tiếp theo cần được thực
hiện để có thể đưa ra kết luận cuối cùng. Một số công cụ còn có thể tương tác,
trao đổi liên lạc với cổng và phân tích những lưu lượng liên lạc đó để xác định
dịch vụ đang sử dụng, thông thường là bằng cách so sánh những hoạt động quan
sát được một cơ sở dữ liệu lưu trữ những thông tin về dịch vụ và những phương
thức triển khai dịch vụ. Kỹ thuật này cũng cho phép xác định ứng dụng của dịch
vụ và phiên bản của nó, quá trình này còn được gọi là quét phiên bản (version
38
scanning). Một hình thức nổi tiếng của việc quét phiên bản là Banner Grabbing,
hình thức này được thực hiện bằng cách chặn bắt tất cả các thông tin về tiêu đề
qua cổng được kết nối từ xa. Thông tin này có chứa chủng loại, phiên bản của
ứng dụng thậm chí là cả chủng loại và phiên bản của hệ điều hành. Tuy nhiên
việc quét phiên bản không phải lúc nào cũng có thể thu được thông tin chính xác
bởi vì người quản trị mạng có thể thay đổi thông tin tiêu đề được truyền tải hoặc
những đặc tính khác để che dấu danh tính của dịch vụ thực sự đang dùng. Mặc
dù vậy thì thông tin thu được từ quét phiên bản đáng tin cậy hơn là thông tin thu
được từ việc quét tập tin dịch vụ.
Tùy vào các công cụ quét, mỗi công cụ có những điểm mạnh và điểm yếu
khác nhau và hỗ trợ những kiểu quét khác nhau. Các đặc trưng của từng công cụ
thường được mô tả trong các tài liệu đi kèm với công cụ. Ví dụ: một số công cụ
quét làm việc tốt khi quét qua tường lửa; ngược lại, một số công cụ quét khác lại
phát huy tốt nhất ở phía trong tường lửa. Kết quả thu được sẽ khác nhau tùy
thuộc vào công cụ quét cổng được sử dụng. Một số công cụ quét chỉ đơn giản là
cho biết tình trạng cổng đóng hay mở, một số khác lại có thể cung cấp thêm
những thông tin chi tiết hơn (ví dụ như được lọc hay không được lọc) để hỗ trợ
cho người đánh giá trong việc xác định phương pháp quét phù hợp cho việc thu
thập thêm thông tin.
Xác định cổng và dịch vụ thường sử dụng kết quả của quá trình khám phá
mạng để xác định các địa chỉ IP hoặc các thiết bị để dò quét. Tuy nhiên việc dò
quét cũng có thể thực hiện trên toàn bộ mạng có nghĩa là sẽ thực hiện cả việc
khám phá lẫn dò quét cổng. Kết quả của việc khai thác mạng và xác định cổng,
dịch vụ mạng là một danh sách bao gồm những thiết bị đang hoạt động, các
cổng đang mở trong không gian địa chỉ mà có phản hồi với công cụ quét cổng;
ngoài ra còn có danh sách các thiết bị đang hoạt động nhưng không phản hồi lại
do được che chắn bởi tường lửa hoặc bị tắt. Người đánh giá có thể thử tìm
những thiết bị đó bằng cách quét chúng hoặc đặt các công cụ quét trong phân
đoạn mạng mà có thể truy cập vào các thiết bị đó, hoặc cố gắng vượt qua tường
lửa bằng việc sử dụng những công cụ quét khác (ví như SYN/FIN hoặc Xmas
scan).
39
Các chuyên gia khuyến nghị rằng, nếu người đánh giá muốn thực hiện
quét cả phía bên trong và phía bên ngoài thì nên thực hiện việc dò quét bên
ngoài trước, sau đó những nhật ký sẽ được tổng hợp và so sánh với kết quả thu
được khi dò quét bên trong. Khi thực hiện dò quét bên ngoài, người đánh giá có
thể sử dụng bất cứ kỹ thuật hiện có nào để lấy được những gói tin từ phía tường
lửa đồng thời tránh sự phát hiện của các hệ thống IDS/IPS. Các công cụ này sử
dụng kỹ thuật phân mảnh, trùng lặp, sắp xếp không theo thứ tự, tấn công theo
kênh kề thời gian để thay đổi gói tin giúp chúng có thể trà trộn với những lưu
lượng mạng thông thường. Còn khi thực hiện dò quét bên trong thì sử dụng
những biện pháp dò quét đơn giản hơn, do chúng ít bị chặn hơn so với việc dò
quét từ bên ngoài. Nếu sử dụng phương pháp dò quét quá phức tạp bên trong
mạng thì rất có thể gây gián đoạn hoạt động bên trong mạng mà chưa chắc kết
quả thu được có được cải thiện hơn. Có thể sử dụng những gói tin tùy chỉnh để
thực hiện dò quét bên trong mạng bởi vì việc kiểm tra lỗ hổng bảo mật cụ thể
nào đó cần phải sử dụng những gói tin tủy chỉnh. Các công cụ có khả năng tạo
các gói tin cũng rất cần thiết cho quá trình này. Do là các gói tin tùy chỉnh này
có thể tạo ra tấn công từ chối dịch vụ nên việc kiểm tra cần được thực hiện tại
thời điểm mà lưu lượng mạng thấp như là vào ban đêm hoặc là vào cuối tuần.
Mặc dù việc dò quét cổng có thể xác định được những máy chủ, hệ điều
hành, cổng mạng, dịch vụ và những ứng dụng đang chạy nhưng không thể xác
định được những lỗ hổng bảo mật. Để làm được điều này thì cần phải thực hiện
những bước tìm hiểu tiếp theo như dò quét sự xuất hiện của các giao thức không
an toàn (ví như: TFTP, telnet), mã độc, ứng dụng trái phép, và những dịch vụ
kém an toàn. Tiếp theo, người đánh giá còn phải thực hiện việc so sánh số phiên
bản có được với danh sách chứa những phiên bản kém an toàn, hoặc thực hiện
việc quét lỗ hổng tự động (sẽ được nói kỹ hơn ở phần sau).
Tóm lại đối với việc quét cổng thì quá trình được thực hiện một cách tự
động nhưng việc phân tích những dữ liệu thu được thì không. Hơn nữa, việc dò
quét cổng cũng làm ảnh hưởng tới hoạt động trong mạng như chiếm băng thông
gây trễ mạng. Việc dò quét cổng mạng giúp bảo đảm rằng tất cả các máy chủ
được cấu hình để chạy những dịch vụ mạng cho phép thế nhưng nó cũng cần
40
thận trọng trong việc thực hiện để tránh gây ảnh hưởng tới hoạt động của toàn
hệ thống.
3.3.
DÒ QUÉT LỖ HỔNG BẢO MẬT
Tương tự như xác định cổng và dịch vụ mạng, việc dò quét lỗ hổng bảo
mật nhằm mục đích xác định lỗ hổng bảo mật trên các máy chủ, máy trạm; đồng
thời cũng giúp nhận dạng các máy chủ và những thuộc tính của máy chủ (ví dụ:
các hệ điều hành, ứng dụng, cổng mạng đang mở). Ngoài ra, quét lỗ hổng bảo
mật còn giúp xác định những bản phần mềm đã lỗi thời, bản vá bị thiếu, thiết đặt
cấu hình sai hoặc là không phù hợp với chính sách an ninh của tổ chức. Để phát
hiện ra những điểm yếu trên thì các công cụ quét lỗ hổng xác định hệ điều hành
và ứng dụng chính đang chạy trên máy chủ và đem so sánh chúng với thông tin
chứa trong kho dữ liệu lỗ hổng bảo mật của mình.
Quét lỗ hổng bảo mật có thể:
Kiểm tra sự tuân thủ sử dụng các ứng dụng máy chủ và chính sách
an toàn.
Cung cấp các thông tin cho quá trình kiểm thử.
Cung cấp thông tin khuyến nghị để giảm thiểu các lỗ hổng bảo mật
đã phát hiện được.
Công cụ quét lỗ hổng bảo mật có thể chạy trên máy chủ cục bộ hoặc trên
mạng. Một số công cụ quét lỗ hổng thực hiện qua mạng có thể sẽ cần một số
quyền của quản trị trên những máy chủ riêng biệt và có thể dùng quyền này để
kiểm tra thêm các thông tin về lỗ hổng bảo mật. Tuy nhiên một số công cụ khác
lại không cần những quyền đó, chúng sẽ dựa vào kết quả của việc dò quét mạng
để xác định vị trí của các máy chủ, xác định các dịch vụ rồi sau đó mới tiến hành
quét lỗ hổng trên máy chủ đó.
Quét lỗ hổng có thể có thể được thực hiện cả ở phía trong và ngoài mạng.
Mặc dù khi dò quét từ trong mạng có khả năng phát hiện lỗ hổng cao hơn là quét
từ bên ngoài mạng do các việc quét gặp phải nhiều cản trở từ các thiết bị tại
vành đai an ninh, nhưng việc thực hiện kiểm tra từ cả phía trong và ngoài mạng
là rất quan trọng.
41
Khi người đánh giá thực hiện việc dò quét từ bên ngoài cũng có thể gặp
những trở ngại như việc thực hiện khám phá mạng, việc sử dụng NAT gây sai
lệch thông tin hoặc là bị chặn bởi tường lửa. Để vượt qua trở ngại của NAT thì
người đánh giá có thể yêu cầu người quản trị tường lửa kích hoạt cổng chuyển
tiếp tới những địa chỉ IP nhất định (nếu những địa chỉ này thuộc quyền quản lý
của tường lửa) hoặc có thể yêu cầu truy cập mạng phía sau thiết bị sử dụng
NAT. Người đánh giá cũng có thể yêu cầu cấu hình tường lửa cho phép luồng
lưu lượng từ địa chỉ IP được phép đi vào trong suốt quá trình kiểm tra. Phương
thức này có thể cung cấp cho người đánh giá cái nhìn sâu sắc hơn về mạng cần
đánh giá nhưng nó lại không phản ánh chính xác khả năng bị tấn công từ bên
ngoài; tuy nhiên có thể đưa ra những đánh giá về khả năng gây hại của một kẻ
sử dụng mã độc ở bên trong hoặc là một kẻ tấn công bên ngoài mà có quyền truy
cập vào một máy chủ khác ở bên trong mạng. Người đánh giá còn có thể thực
hiện việc dò quét trên từng máy chủ riêng biệt.
Đối với việc quét lỗ hổng bảo mật cục bộ, các công cụ quét sẽ được cài
đặt trên từng máy chủ được quét để xác định hệ điều hành của máy chủ, các ứng
dụng cấu hình sai và những lỗ hổng bảo mật. Việc dò quét cục bộ sẽ cung cấp
cho người đánh giá những thông tin rõ ràng hơn về các lỗ hổng so với dò quét
qua mạng vì việc dò quét cục bộ thường yêu cầu khả năng truy cập của cả máy
chủ và tài khoản quản trị. Một số công cụ quét còn có chức năng chỉnh sửa
những cấu hình cục bộ bị sai lệch.
Sử dụng công cụ quét lỗ hổng bảo mật là một phương pháp tương đối
nhanh và dễ dàng để xác định số lượng các lỗ hổng độc lập. Một lỗ hổng độc lập
là một điểm yếu tồn tại độc lập, không liên quan tới các lỗ hổng khác. Tất cả các
hành vi và kết quả đầu ra phản hồi với những mấu tấn công của hệ thống sẽ
được gửi đi từ công cụ quét để so sánh với những đặc trưng của những lỗ hổng
đã biết và sẽ báo lại nếu tìm được bất cứ đặc trưng nào trùng khớp. Ngoài việc
quét dựa vào các đặc trưng có sẵn thì một số những công cụ quét lỗ hổng còn có
thể mô phỏng các cuộc tấn công để tìm ra những lỗ hổng bảo mật và đưa ra báo
cáo khi tấn công thành công.
Một trong những khó khăn trong việc xác định mức độ nguy hiểm của các
lỗ hổng bảo mật là chúng thường ít khi tồn tại độc lập với nhau. Ví dụ: Một vài
42
lỗ hổng có mức độ nguy hiểm thấp kết hợp lại thành một lỗ hổng có mức độ
nguy hiểm cao hơn. Công cụ quét không thể phát hiện ra những lỗ hổng khi mà
những lỗ hổng chỉ được hình thành từ sự kết hợp những hình thức tấn công khác
nhau. Những công cụ có thể đánh giá mỗi lỗ hổng chỉ có mức độ nguy hiểm
thấp khiến cho người đánh giá có những kết luận sai lầm về các biện pháp an
ninh. Một phương thức xác định mức độ nguy hiểm của lỗ hổng bảo mật đáng
tin cậy hơn là sử dụng phương pháp kiểm thử (sẽ được nói kỹ hơn ở phần sau).
Một vấn đề nữa trong việc xác định mức độ nguy hiểm của lỗ hổng bảo
mật là những công cụ quét lỗ hổng thường sử dụng những phương pháp riêng
của mình trong việc xác định mức độ nguy hiểm. Ví dụ: một công cụ quét có thể
phân loại mức độ bảo mật là thấp, trung bình, cao trong khi một công cụ quét
khác lại phân thành các mức khác là thấp, trung bình, cao và nghiêm trọng. Điều
này gây khó khăn khi so sánh những kết quả giữa nhiều công cụ quét. Không
những vậy, mức độ nguy hiểm của một lỗ hổng mà công cụ quét đưa ra chưa
chắc đã là mức độ nguy hiểm thực sự đối với tổ chức. Ví dụ, một công cụ quét
có thể đánh giá một máy chủ FTP là một mối nguy hiểm trung bình vì nó cho
phép trao đổi mật khẩu dưới dạng rõ, nhưng nếu tổ chức chỉ sử dụng máy chủ
FTP như là một máy chủ công cộng vô danh mà không sử dụng mật khẩu thì
mức độ nguy hiểm thực sự của nó phải ở mức độ thấp hơn. Do đó người đánh
giá phải xác định mức độ nguy hiểm của mỗi lỗ hổng một cách hợp lý chứ
không chỉ dựa vào những đánh giá của công cụ quét.
Việc dò quét lỗ hổng mạng dựa trên nền tảng mạng có một số điểm yếu,
như khi tiến hành việc dò quét và khám phá mạng thì phương pháp dò quét này
chỉ có thể phát hiện những hệ thống đang hoạt động. Điều này có nghĩa là chỉ có
thể phát hiện ra những lỗ hổng độc lập mà không thể đánh giá được mức độ rủi
ro tổng hợp trên toàn mạng. Mặc dù quá trình này được thực hiện một cách tự
động nhưng những công cụ quét cũng đưa ra kết quả có tỉ lệ sai lệch cao (ví dụ:
báo cáo những lỗ hổng không tồn tại). Do việc quét lỗ hổng trên nền tảng mạng
cần nhiều thông tin hơn là quá trình quét cổng để có thể xác định được lỗ hổng
trên máy chủ nên nó sẽ tạo ra nhiều lưu lượng mạng hơn là quá trình quét cổng.
Điều này có thể gây ra những ảnh hưởng không tốt tới các máy chủ hoặc mạng
đang tiến hành dò quét, hoặc những đoạn mạng mà lưu lượng dò quét được
43
chuyển qua. Có rất nhiều công cụ dò quét lỗ hổng còn bao gồm cả chức năng
kiểm tra tấn công từ chối dịch vụ và rất có thể gây ra những ảnh hưởng không
tốt lên máy chủ được quét nếu như không sử dụng một cách hợp lý. Do đó một
số công cụ quét khóa chức năng này để tránh nguy cơ ảnh hưởng tới các máy
chủ trong quá trình quét.
Một nhược điểm nữa của công cụ quét lỗ hổng là nó phụ thuộc vào kho
lưu trữ những đặc điểm hay còn gọi mẫu (signature). Người đánh giá cần phải
thường xuyên cập nhật những mẫu này để giúp cho công cụ quét có thể nhận
dạng được cả những lỗ hổng mới nhất. Do vậy tốt nhất là trước khi tiến hành dò
quét, người đánh giá nên cập nhật cơ sở dữ liệu lỗ hổng bảo mật mới nhất.
Hầu hết các công cụ quét lỗ hổng cho phép người đánh giá lựa chọn mức
độ quét. Nếu thực hiện quét toàn diện thì sẽ phát hiện được nhiều lỗ hổng hơn
nhưng lại mất rất nhiều thời gian, còn nếu thực hiện quét nhanh thì tốn ít thời
gian nhưng chỉ có thể xác định được những lỗ hổng thông thường. Các chuyên
gia khuyến cáo người đánh giá nên thực hiện quét toàn diện nếu có thể.
Việc dò quét lỗ hổng những là một trong những công việc tốn công sức
đòi hỏi phải chuyên gia có trình độ cao để giải thích kết quả thu được. Ngoài ra,
nó có thể gây ảnh hưởng tới hoạt động mạng như chiếm băng thông, làm chậm
mạng. Hơn thế nữa việc dò quét lỗ hổng là vô cùng quan trọng, đảm bảo những
lỗ hổng phải được vá hoặc giảm thiểu mức độ nguy hiểm trước khi bị phát hiện
hoặc khai thác bởi tin tặc.
Cũng giống như những công cụ hoạt động dựa trên mẫu hoặc là so sánh
mô hình có sẵn thì những công cụ quét lỗ hổng cũng thường có tỷ lệ cảnh báo
giả khá cao. Người đánh giá nên cấu hình và hiệu chỉnh công cụ quét sao cho có
thể giảm thiểu vấn đề cảnh báo nhầm và cảnh báo sai đến mức tối đa có thể. Một
số những lỗ hổng có thể không được phát hiện bởi công cụ dò quét tự động
nhưng lại có thể phát hiện từ việc kiểm thử bổ sung, do vậy người đánh giá nên
sử dụng một cách kết hợp các phương pháp để có thể thu được kết quả một cách
chính xác nhất.
44
3.4.
DÒ QUÉT MẠNG KHÔNG DÂY
3.4.1. Khái niệm mạng không dây
Mạng không dây là một hệ thống các thiết bị được nhóm lại với nhau, có
khả năng giao tiếp thông qua sóng vô tuyến thay vì các đường truyền dẫn bằng
dây. Nói một cách đơn giản mạng không dây là mạng sử dụng công nghệ mà
cho phép hai hay nhiều thiết bị kết nối với nhau bằng cách sử dụng một giao
thức chuẩn, nhưng không cần kết nối vật lý hay chính xác là không cần sử dụng
dây mạng. Vì đây là mạng dựa trên công nghệ 802.11 nên đôi khi được gọi là
mạng 802.11 Ethernet để nhấn mạnh rằng mạng này có nguồn gốc từ mạng
Ethernet 802.3 truyền thống. Hiện tại còn được gọi là mạng Wireless Ethernet
hoặc Wi-Fi (Wireless Fidelity).
Dựa trên vùng phủ sóng, mạng không dây được chia thành 5 nhóm:
WPAN: Mạng vô tuyến cá nhân. Nhóm này bao gồm các công nghệ
vô tuyến có vùng phủ nhỏ tầm vài mét đến hàng chục mét tối đa. Các
công nghệ này phục vụ mục đích nối kết các thiết bị ngoại vi như máy
in, bàn phím, chuột, đĩa cứng, khóa USB, đồng hồ,... với điện thoại di
động, máy tính. Các công nghệ trong nhóm này bao gồm: Bluetooth,
Wibree, ZigBee, UWB, Wireless USB, EnOcean,... Đa phần các công
nghệ này được chuẩn hóa bởi IEEE, cụ thể là nhóm 802.15. Do vậy
các chuẩn còn được biết đến với tên như IEEE 802.15.4 hay IEEE
802.15.3 ...
WLAN: Mạng vô tuyến cục bộ. Nhóm này bao gồm các công nghệ có
vùng phủ tầm vài trăm mét. Nổi bật là công nghệ Wifi với nhiều chuẩn
mở rộng khác nhau thuộc gia đình 802.11 a/b/g/h/i/... Hiện nay công
nghệ Wifi được sử dụng rất phổ biến và hầu hết mọi tổ chức đều sử
dụng Wifi cho các thiết bị Laptop hay điện thoại thông minh. Bên cạnh
WiFi thì còn một cái tên ít nghe đến là HiperLAN và HiperLAN2, đối
thủ cạnh tranh của Wifi được chuẩn hóa bởi ETSI.
WMAN: Mạng vô tuyến đô thị. Đại diện tiêu biểu của nhóm này
chính là WiMAX. Ngoài ra còn có công nghệ băng rộng BWMA
802.20. Vùng phủ sóng của nó sẽ tằm vài km (tầm 4 - 5km tối đa).
45
WWAN: Mạng vô tuyến diện rộng: Nhóm này bao gồm các công
nghệ mạng thông tin di động như UMTS/GSM/CDMA2000... Vùng
phủ của nó cũng tầm vài km đến tầm chục km.
WRAN: Mạng vô tuyến khu vực. Nhóm này đại diện là công nghệ
802.22 đang được nghiên cứu và phát triển bởi IEEE. Vùng phủ sóng
của nó có thể lên tới 40-100km. Mục đích là mang công nghệ truyền
thông đến các vùng xa xôi hẻo lánh, khó triển khai các công nghệ
khác.
So sánh các nhóm mạng:
Bảng 4: Các nhóm mạng không dây
Mạng
Chuẩn
Tốc độ
Vùng phủ
sóng
Băng tần
UWB (Ultra
wideband)
WPAN
802.15.3a
110-480
Mbps
Trên 30
feet
7.5 GHz
Bluetooth
WPAN
802.15.1
Trên 720
Kbps
Trên 30
feet
2.4 GHz
Wi-Fi
WLAN
802.11a
Trên 54
Mbps
Trên 300
feet
5 GHz
Wi- Fi
WLAN
802.11b
Trên 11
Mbps
Trên 300
feet
2.4 GHz
Edge/GPRS
(TDMA- GMS)
WWAN
2.5 G
Trên 384
Kbps
4-5 dặm
1900 MHz
CDMA 2000/1x
EV-DO
WWAN
3G
Trên 2.4
Mbps
1-5 dặm
400 - 2100
MHz
WCDMA/ UMTS
WWAN
3G
Trên 2
Mbps
1-5 dặm
1800 2100 MHz
Công nghệ
Tất cả các công nghệ này đều giống nhau ở chỗ chúng nhận và truyền
thông tin bằng cách sử dụng sóng điện từ (EM).
Dựa trên các công nghệ mạng, mạng không dây được chia thành 3 loại:
Kết nối sử dụng tia hồng ngoại.
Sử dụng công nghệ Bluetooth.
46
Kết nối bằng chuẩn Wi-fi.
3.4.2. Các chuẩn mạng không dây
Mạng không dây hoạt động dựa trên chuẩn 802.11 (802.11 được phát
triển từ năm 1997 bởi tổ chức IEEE), chuẩn này được xem là chuẩn dùng cho
các thiết bị di động có hỗ trợ Wireless, phục vụ cho các thiết bị có phạm vi hoạt
động tầm trung bình.
Cho đến hiện tại IEEE 802.11 gồm có 5 chuẩn trong họ 802.11 được sử
dụng phổ biến là:
802.11
Năm 1997, Viện kỹ sư điện và điện tử (IEEE- Institute of Electrical and
Electronics Engineers) đưa ra chuẩn mạng nội bộ không dây (WLAN) đầu tiên –
được gọi là 802.11 theo tên của nhóm giám sát sự phát triển của chuẩn này. Lúc
này, 802.11 sử dụng tần số 2,4GHz và dùng kỹ thuật trải phổ trực tiếp (DirectSequence Spread Spectrum-DSSS) nhưng chỉ hỗ trợ băng thông tối đa là 2Mbps
– tốc độ khá chậm cho hầu hết các ứng dụng. Vì lý do đó, các sản phẩm chuẩn
không dây này không còn được sản xuất nữa.
802.11b
Từ tháng 6 năm 1999, IEEE bắt đầu mở rộng chuẩn 802.11 ban đầu và tạo
ra các đặc tả kỹ thuật cho 802.11b. Chuẩn 802.11b hỗ trợ tốc độ lên đến
11Mbps, ngang với tốc độ Ethernet thời bấy giờ. Đây là chuẩn WLAN đầu tiên
được chấp nhận trên thị trường, sử dụng tần số 2,4 GHz.
Chuẩn 802.11b sử dụng kỹ thuật điều chế khóa mã bù (Complementary
Code Keying - CCK) và dùng kỹ thuật trải phổ trực tiếp giống như chuẩn 802.11
nguyên bản. Với lợi thế về tần số (băng tần nghiệp dư ISM 2,4GHz), các hãng
sản xuất sử dụng tần số này để giảm chi phí sản xuất.
802.11b có thể bị nhiễu do lò vi sóng, điện thoại “mẹ bồng con” và các
dụng cụ khác cùng sử dụng tần số 2,4GHz. Tuy nhiên, bằng cách lắp đặt
802.11b ở khoảng cách hợp lý sẽ dễ dàng tránh được nhiễu. Ưu điểm của
802.11b là giá thấp, tầm phủ sóng tốt và không dễ bị che khuất. Nhược điểm của
802.11b là tốc độ thấp; có thể bị nhiễu bởi các thiết bị gia dụng.
47
802.11a
Song hành với 802.11b, IEEE tiếp tục đưa ra chuẩn mở rộng thứ hai cũng
dựa vào 802.11 đầu tiên - 802.11a. Chuẩn 802.11a sử dụng tần số 5GHz, tốc độ
54Mbps tránh được can nhiễu từ các thiết bị dân dụng. Đồng thời, chuẩn
802.11a cũng sử dụng kỹ thuật trải phổ khác với chuẩn 802.11b - kỹ thuật trải
phổ theo phương pháp đa phân chia tần số trực giao (Orthogonal Frequency
Division Multiplexing-OFDM). Đây được coi là kỹ thuật trội hơn so với trải phổ
trực tiếp (DSSS). Do chi phí cao hơn, 802.11a thường chỉ được sử dụng trong
các mạng doanh nghiệp, ngược lại, 802.11b thích hợp hơn cho nhu cầu gia đình.
Tuy nhiên, do tần số cao hơn tần số của chuẩn 802.11b nên tín hiện của 802.11a
gặp nhiều khó khăn hơn khi xuyên tường và các vật cản khác.
Do 802.11a và 802.11b sử dụng tần số khác nhau, hai công nghệ này
không tương thích với nhau. Một vài hãng sản xuất bắt đầu cho ra đời sản phẩm
"lai" 802.11a/b, nhưng các sản phẩm này chỉ đơn thuần là cung cấp 2 chuẩn
sóng Wi-Fi cùng lúc (máy trạm dùng chuẩn nào thì kết nối theo chuẩn đó).
Ưu điểm của 802.11a là tốc độ nhanh; tránh xuyên nhiễu bởi các thiết bị
khác. Nhược điểm của 802.11a là giá thành cao; tầm phủ sóng ngắn hơn và dễ bị
che khuất.
802.11g
Năm 2002 và 2003, các sản phẩm WLAN hỗ trợ chuẩn mới hơn được gọi
là 802.11g nổi lên trên thị trường; chuẩn này cố gắng kết hợp tốt nhất 802.11a
và 802.11b. 802.11g hỗ trợ băng thông 54Mbps và sử dụng tần số 2,4GHz cho
phạm vi phủ sóng lớn hơn. 802.11g tương thích ngược với 802.11b, nghĩa là các
điểm truy cập (access point –AP) 802.11g sẽ làm việc với card mạng Wi-Fi
chuẩn 802.11b...
Tháng 7/2003, IEEE phê chuẩn 802.11g. Chuẩn này cũng sử dụng
phương thức điều chế OFDM tương tự 802.11a nhưng lại dùng tần số 2,4GHz
giống với chuẩn 802.11b. Điều thú vị là chuẩn này vẫn đạt tốc độ 54Mbps và có
khả năng tương thích ngược với chuẩn 802.11b đang phổ biến.
48
Ưu điểm của 802.11g là tốc độ nhanh, tầm phủ sóng tốt và không dễ bị
che khuất. Nhược điểm của 802.11g là giá cao hơn 802.11b; có thể bị nhiễu bởi
các thiết bị gia dụng.
802.11n
Chuẩn Wi-Fi mới nhất trong danh mục Wi-Fi là 802.11n. 802.11n được
thiết kế để cải thiện tính năng của 802.11g về tổng băng thông được hỗ trợ bằng
cách tận dụng nhiều tín hiệu không dây và anten (gọi là công nghệ MIMOmultiple-input and multiple-output). Khi chuẩn này hoàn thành, 802.11n sẽ hỗ
trợ tốc độ lên đến 100Mbps. 802.11n cũng cho tầm phủ sóng tốt hơn các chuẩn
Wi-Fi trước đó nhờ tăng cường độ tín hiệu. Các thiết bị 802.11n sẽ tương thích
ngược với 802.11g.
Ưu điểm của 802.11n là tốc độ nhanh nhất, vùng phủ sóng tốt nhất; trở
kháng lớn hơn để chống nhiễu từ các tác động của môi trường. Nhược điểm của
802.11n là chưa được phê chuẩn cuối cùng; giá cao hơn 802.11g; sử dụng nhiều
luồng tín hiệu có thể gây nhiễu với các thiết bị 802.11b/g kế cận.
Dưới đây là bảng so sánh đặc điểm kỹ thuật của các chuẩn 802.11:
Bảng 5: Các đặc điểm kỹ thuật của IEEE 802.11
802.11a
802.11b
802.11g
802.11n
Tháng 7/1999
Tháng 7/1999
Tháng 6/2003
Tháng 9/2009
Tốc độ tối đa
54Mbps
11Mbps
54Mbps
300Mbps hay
cao hơn
Điều chế
OFDM
DSSS hay
CCK
DSSS hay
CCK hay
OFDM
DSSS hay
CCK hay
OFDM
Dải tần số
trung tần (RF)
5GHz
2,4GHZ
2,4GHZ
2,4GHz hay
5GHz
Spatial Stream
1
1
1
1, 2, 3 hay 4
Độ rộng băng
thông
20MHz
20MHz
20MHz
20 MHz hay 40
MHz
Năm phê chuẩn
49
3.4.3. Bảo mật trong mạng không dây
Tại thời điểm hiện tại, Wifi đang chiếm ưu thế rất cao trong hệ thống
mạng không dây trong phạm vi nhỏ. Từ một thiết bị Router có tích hợp bộ phát
sóng Wifi hay một Access Point (AP) thu tín hiệu và phát ra sóng Wifi, các thiết
bị thu sóng như Laptop, thiết bị di động có thể dễ dàng tạo kết nối để truy cập
mạng Ethernet hay mạng Internet. Tuy nhiên, các tín hiệu được truyền đi trong
môi trường không dây lại có thể dể dàng bị kẻ tấn công thu được (chặn bắt hoặc
dò quét). Do đó, bảo vệ thông tin truyền trên kênh không dây là một trong
những vấn đề cần được đặt ra.
Các thiết bị Router, AccessPoint, … hiện tại hầu như đều hỗ trợ nhiều cơ
chế bảo mật cho mạng không dây. Các chuẩn bảo mật phổ biến như:
WEP (Wired Equivalent Privacy)
WEP được phê chuẩn là phương thức bảo mật tiêu chuẩn dành cho WiFi
vào tháng 9/1999. WEP sử dụng stream cipher RC4 cùng với một mã 40 bit và
một số ngẫu nhiên 24 bit (Initialization Vector - IV) để mã hóa thông tin. Thông
tin mã hóa được tạo ra bằng cách thực hiện XOR giữa keystream và plain text.
Thông tin mã hóa và IV sẽ được gửi đến người nhận. Người nhận sẽ giải mã
thông tin dựa vào IV và khóa WEP đã biết trước. Sơ đồ mã hóa như sau:
Hình 3.13. Sơ đồ mã hóa WEP
Phiên bản đầu tiên của WEP không hề mạnh, kể cả vào thời điểm nó được
giới thiệu bởi việc chính phủ Mỹ cấm xuất khẩu nhiều công nghệ mã hóa khiến
các nhà sản xuất chỉ bảo vệ thiết bị của họ với mã hóa 64 bit. Sau khi lệnh cấm
được dỡ bỏ, chuẩn 128 bit được đưa vào sử dụng rộng rãi hơn. Thậm chí sau này
50
kể cả khi mã hóa WEP 256 bit được giới thiệu, 128 bit vẫn là một trong những
chuẩn được áp dụng nhiều nhất.
Mặc dù các thuật toán được cải tiến và kích thước kí tự được tăng lên, qua
thời gian nhiều lỗ hổng bảo mật được phát hiện trong chuẩn WEP khiến nó càng
ngày càng dễ bị qua mặt khi mà sức mạnh của máy tính ngày càng được củng
cố. Năm 2001, nhiều lổ hổng tiềm tàng đã bị phơi bày trên mạng Internet. Đến
năm 2005, FBI công khai trình diễn khả năng bẻ khóa WEP chỉ trong một vài
phút bằng phần mềm hoàn toàn miễn phí nhằm nâng cao nhận thức về sự nguy
hiểm của WEP.
Dù đã có nhiều cải tiến nhằm tăng cường bảo mật cho WEP, chuẩn này
vẫn đặt người dùng vào vị trí hết sức nguy hiểm và tất cả các hệ thống sử dụng
WEP nên được nâng cấp hoặc thay thế. Tổ chức Liên minh WiFi chính thức loại
bỏ WEP vào năm 2004.
Những điểm yếu về bảo mật của WEP:
WEP sử dụng khóa cố định được chia sẻ giữa một Access Point
(AP) và nhiều người dùng (users) cùng với một IV ngẫu nhiên 24
bit. Do đó, cùng một IV sẽ được sử dụng lại nhiều lần. Bằng cách
thu thập thông tin truyền đi, kẻ tấn công có thể có đủ thông tin cần
thiết để có thể bẻ khóa WEP đang dùng.
Một khi khóa WEP đã được biết, kẻ tấn công có thể giải mã thông
tin truyền đi và có thể thay đổi nội dung của thông tin truyền. Do
vậy WEP không đảm bảo được tính bí mật và tính toàn vẹn.
Việc sử dụng một khóa cố định được chọn bởi người sử dụng và ít
khi được thay đổi (tức có nghĩa là khóa WEP không được tự động
thay đổi) làm cho WEP rất dễ bị tấn công.
WEP cho phép người dùng xác minh AP trong khi AP không thể
xác minh tính xác thực của người dùng. Nói một cách khác, WEP
không cung cấp khả năng xác thực lẫn nhau.
WPA (Wifi Protected Access )
51
WPA là một giải pháp bảo mật được đề nghị bởi liên minh WiFi để thay
thế WEP trước những nhược điểm không thể khắc phục của chuẩn cũ. WPA
được áp dụng chính thức vào năm 2003, một năm trước khi WEP bị loại bỏ.
Phiên bản phổ biến nhất của WPA là WPA-PSK (Pre-Shared Key). Các kí tự
được sử dụng bởi WPA là loại 256 bit, tân tiến hơn rất nhiều so với kí tự 64 bit
và 128 bit có trong hệ thống WEP.
WPA cải tiến 3 điểm yếu nổi bật của WEP:
WPA cũng mã hóa thông tin bằng RC4 nhưng chiều dài của khóa là
128 bit và IV có chiều dài là 48 bit. Một cải tiến của WPA đối với
WEP là WPA sử dụng giao thức TKIP (Temporal Key Integrity
Protocol) nhằm thay đổi khóa dùng AP và User một cách tự động
trong quá trình trao đổi thông tin. Cụ thể là TKIP dùng một khóa
nhất thời 128 bit kết hợp với địa chỉ MAC của máy User và IV để
tạo ra mã khóa. Mã khóa này sẽ được thay đổi sau khi 10000 gói
thông tin được trao đổi.
WPA sử dụng 802.1x/EAP để thực hiện xác thực lẫn nhau nhằm
chống lại tấn công xen giữa. Quá trình xác thực của WPA dựa trên
một máy chủ xác thực, còn được biết đến với tên gọi RADIUS/
DIAMETER. Máy chủ RADIUS cho phép xác thực người sử dụng
trong mạng cũng như định nghĩa những quyền nối kết của người
dùng. Tuy nhiên trong một mạng WiFi nhỏ (của công ty hoặc
trường học), đôi khi không cần thiết phải cài đặt một máy chủ mà
có thể dùng một phiên bản WPA-PSK (pre-shared key). Ý tưởng
của WPA-PSK là sẽ dùng một mật khẩu (Master Key) chung cho
AP và các thiết bị dùng cuối. Thông tin xác thực giữa người sử
dụng và máy chủ sẽ được trao đổi thông qua giao thức EAP
(Extensible Authentication Protocol). Phiên EAP sẽ được tạo ra
giữa người dùng và máy chủ để chuyển đổi thông tin liên quan đến
định danh của người dùng cũng như của mạng. Trong quá trình này
AP đóng vai trò là một EAP proxy, làm nhiệm vụ chuyển giao
thông tin giữa máy chủ và người sử dụng. Những thông điệp xác
thực chuyển đổi được miêu tả như Hình 3.14:
52
Hình 3.14. Thông điệp trao đổi trong quá trình xác thực
WPA sử dụng MIC (Michael Message Integrity Check) để tăng
cường tính toàn vẹn của thông tin truyền. MIC là một thông điệp 64
bit được tính dựa trên thuật toán Michael. MIC sẽ được gửi trong
gói TKIP và giúp người nhận kiểm tra xem thông tin nhận được có
bị lỗi trên đường truyền hoặc bị thay đổi bởi kẻ phá hoại hay
không.
Tóm lại, WPA được xây dựng nhằm cải thiện những hạn chế của WEP
nên nó chứa đựng những đặc điểm vượt trội so với WEP. Đầu tiên, nó sử dụng
một khóa động mà được thay đổi một cách tự động nhờ vào giao thức TKIP.
Khóa sẽ thay đổi dựa trên người dùng, phiên trao đổi nhất thời và số lượng gói
thông tin đã truyền. Đặc điểm thứ 2 là WPA cho phép kiểm tra xem thông tin có
bị thay đổi trên đường truyền hay không nhờ vào MIC message. Và đăc điểm
nổi bật thứ cuối là nó cho phép xác thực lẫn nhau bằng cách sử dụng giao thức
802.1x.
53
Những điểm yếu của WPA:
Điểm yếu đầu tiên của WPA là nó vẫn không giải quyết được tấn
công từ chối dịch vụ. Kẻ phá hoại có thể làm nhiễu mạng WPA
WiFi bằng cách gửi ít nhất 2 gói thông tin với một khóa sai mỗi
giây. Trong trường hợp đó, AP sẽ cho rằng một kẻ phá hoại đang
tấn công mạng và AP sẽ cắt tất cả các nối kết trong vòng một phút
để trách hao tổn tài nguyên mạng. Do đó, sự tiếp diễn của thông tin
không được phép sẽ làm xáo trộn hoạt động của mạng và ngăn cản
sự nối kết của những người dùng được cho phép.
Ngoài ra WPA vẫn sử dụng thuật toán RC4 mà có thể dễ dàng bị
phá vỡ bởi tấn công FMS đề nghị bởi những nhà nghiên cứu ở
trường đại học Berkeley. Hệ thống mã hóa RC4 chứa đựng những
khóa yếu. Những khóa yếu này cho phép truy ra khóa encryption.
Để có thể tìm ra khóa yếu của RC4, chỉ cần thu thập một số lượng
đủ thông tin truyền trên kênh truyền không dây.
WPA-PSK là một biên bản yếu của WPA mà ở đó nó gặp vấn đề về
quản lý password hoăc shared secret giữa nhiều người dùng. Khi
một người trong nhóm (trong công ty) rời nhóm, một mật khẩu mới
cần phải được thiết lập.
WPA2 (WiFi Protected Access II)
Đến năm 2006, WPA chính thức bị thay thế bởi WPA2. Một trong những
cải tiến đáng chú ý nhất của WPA2 so với WPA là sự có mặt bắt buộc của AES
và CCMP (Counter Cipher Mode with Block Chaining Message Authentication
Code Protocol) nhằm thay thế cho TKIP. Tuy vậy, TKIP vẫn có mặt trong
WPA2 để làm phương án dự phòng và duy trì khả năng tương tác với WPA.
Hiện tại, lỗ hổng bảo mật chính của hệ thống WPA2 không thực sự lộ rõ.
Kẻ tấn công phải có quyền truy cập vào mạng WiFi đã được bảo vệ trước khi có
thể có trong tay bộ kí tự, sau đó mới có thể tiến hành tấn công các thiết bị khác
trong cùng mạng. Như vậy, các lỗ hổng của WPA2 khá hạn chế và gần như chỉ
gây ảnh hưởng đến các mạng quy mô lớn như của tập đoàn. Trong khi đó người
dùng mạng tại nhà có thể yên tâm với chuẩn mới nhất này.
54
Tuy nhiên không may là lỗ hổng lớn nhất của WPA vẫn còn tồn tại trong
WPA2, đó là WPS. Mặc dù để xâm nhập được vào mạng lưới được bảo vệ bởi
WPA/WPA2 bằng lỗ hổng trên cần tới 2-14 giờ hoạt động liên tục của một máy
tính hiện đại, đây vẫn là một mối lo tiềm tàng. Vì thế tốt nhất WPS nên được tắt
đi hoặc xóa bỏ hoàn toàn khỏi hệ thống thông qua các lần cập nhật firmware của
điểm truy cập.
3.4.4. Dò quét mạng không dây
Khi mà công nghệ và thiết bị không dây ngày càng nhiều và phổ biến, các
tổ chức cần thực hiện việc kiểm tra và bảo vệ môi trường mạng không dây của
mình. Việc dò quét mạng không dây giúp xác định những điểm yếu để giảm
thiểu những rủi ro do công nghệ không dây gây ra. Dưới đây là một số lưu ý
trong môi trường của tổ chức khi lên kế hoạch đánh giá an toàn mạng không
dây:
Vị trí các thiết bị dược quét, vì nếu như vị trí vật lý của chúng gần
với những khu vực công cộng (ví dụ: đường phố, quảng trường...)
hoặc nằm trong khu vực đô thi bận rộng thì rất có thể các mối đe
dọa từ công nghệ không dây sẽ tăng cao.
Mức độ bảo mật của dữ liệu được truyền khi sử dụng công nghệ
không dây.
Tần số kết nối và ngắt kết nối với môi trường (ví dụ: thường xuyên
kết nối hay thi thoảng mới kết nối) và lưu lượng mạng được sử
dụng của những thiết bị không dây. Thông tin này rất quan trọng
bởi vì chỉ có những thiết bị mạng không dây đang hoạt động, kết
nối vào thì mới được nhận dạng trong quá trình quét mạng không
dây.
Hệ thống phát hiện và ngăn chặn xâm nhập không dây (WIDPS)
đang sử dụng có thể có những thông tin cần thiết cho quá trình
kiểm tra.
Việc dò quét mạng không dây có thể được thực hiện bởi một thiết bị di
động với chương trình phân tích mạng không dây (như laptop, thiết bị cầm tay
55
hoặc thiết bị chuyên dụng). Phần mềm hoặc công cụ dò quét sẽ cho phép người
đánh giá cấu hình thiết bị để thực hiện các phân tích cụ thể, và thực hiện dò quét
theo cả 2 phương pháp chủ động và bị động. Phần mềm dò quét cũng cho phép
xác định những sai lệch so với các yêu cầu cấu hình an ninh không dây của tổ
chức.
Các thiết bị không dây phải có khả năng quét được tất cả các kênh của
IEEE như 802.11a/b/g/n, trong nước cũng như quốc tế. Trong một số trường hợp
các thiết bị còn được trang bị thêm một ăng-ten ngoài để có thể bắt được những
tần số sóng vô tuyến khác. Với sự hỗ trợ của những công nghệ không dây khác
như là bluetooth sẽ giúp đánh giá sự hiện diện của các mối đe dọa và lỗ hổng
bảo mật của mạng không dây. Chú ý rằng những thiết bị không sử dụng công
nghệ chuẩn hoặc tần số sóng vô tuyến nằm ngoài phạm vi của công cụ quét sẽ
không bị nhận dạng hoặc xác định một cách chính xác. Các công cụ phân tích
phổ tín hiệu giúp phân tích tín hiệu truyền tải trong giải tần số (ví dụ: từ 3 cho
đến 18 GHz), và nếu như những công cụ này không có chức năng phân tích lưu
lượng thì nó cũng giúp cho người đánh giá có thể xác định các hoạt động xảy ra
trong giải tần số từ đó tiến thành thử nghiệm chỉnh sửa bổ sung, kiểm tra sao cho
phù hợp.
Một số thiết bị có hỗ trợ về chức năng lập bản đồ và xác định vị trí vật lý
thông qua việc sử dụng công cụ bản đồ hóa (mapping tool), ngoài ra còn có
những thiết bị có thêm chức năng bản đồ định vị GPS. Những thiết bị quét
không dây tinh vi còn cho phép người dùng có thể nhập vào sơ đồ hoặc bản đồ
các tầng để hỗ trợ trong việc định vị vị trí vật lý của các thiết bị đã nhận dạng
(điều này là quan trọng bởi vì chức năng GPS bị hạn chế khi ở trong nhà).
Nên giao việc khai thác công cụ và thực hiện các hoạt động quét mạng
không dây cho những người có chuyên môn sâu về mạng không dây, đặc biệt là
về các công nghệ IEEE 802.11a/b/g/n. Những người chịu trách nhiệm khai thác
và thực hiện quét mạng cần phải được đào tạo về tính năng và khả năng của
công cụ, phần mềm quét để có thể hiểu rõ hơn về thông tin thu thập được, từ đó
có khả năng phát hiện ra những mối đe dọa tiềm ẩn và những hành vi gây hại
cho tổ chức. Ngoài ra những người này cũng cần phải nhận thức về những tín
hiệu RF khác được sử dụng trong khu vực được quét.
56
3.4.4.1. Quét mạng không dây theo kiểu bị động
Việc quét thụ động cần được thực hiện thường xuyên để hỗ trợ cho những
biện pháp bảo mật mạng không đây hiện có, như IDS/IPS không dây. Các công
cụ không dây thường tiến hành việc quét thụ động toàn diện mà không cần gửi
đi các gói tin hoặc sử dụng công cụ gây ảnh hưởng tới hoạt động trong mạng.
Do không gửi đi gói tin nào do đó công cụ quét mạng không dây thụ động gần
như là không bị phát hiện bởi những thiết bị khác hoặc người dùng độc hại. Điều
này giúp hạn chế hiện tượng người dùng không muốn bị phát hiện mà ngắt kết
nối hoặc vô hiệu hóa các thiết bị trái phép.
Các công cụ quét thụ động bắt những lưu lượng mạng không dây được
truyền đi trong phạm vi ăng-ten của mình. Hầu hết các công cụ đều có một số
những tính năng chính như phá hiện các thiết bị không dây bao gồm cả việc
nhận dạng và thiết lập dịch vụ (SSID), loại của thiết bị, kênh, địa chỉ MAC,
cường đồ tín hiệu, số lượng gói tin được truyền đi. Những thông tin này có thể
được sử dụng để đánh giá sự an toàn môi trường mạng không dây và xác định
nhưng thiết bị giả mạo và mạng tùy biến không dây được phát hiện ra từ thiết bị
quét. Các công cụ quét không dây cũng phải có khả năng đánh giá các gói tin
chặn bắt được để xác định xem có phải là hoạt động bất thường hay có tồn tại
mối đe dọa nào không.
Công cụ quét mạng không dây quét từng tần số của IEEE 802.11a/b/g/n
với tần số vài trăm mili giây một lần. Thiết bị quét thụ động có thể không nhận
được tất cả những lưu lượng chuyển tải của một kênh. Ví dụ như công cụ có thể
đang quét ở kênh 1, cùng thời điểm đó thì một gói tin lại được truyền đi trên
kênh 5. Do vậy mà việc thiết lập thời gian dừng (dwell time) là rất quan trọng,
thời gian dừng phải đủ lâu để có thể chặn bắt được gói tin nhưng cũng đủ ngắn
để có thể quét được tất cả các kênh một cách hiệu quả. Việc cấu hình thời gian
sẽ phụ thuộc vào thiếc bị hoặc công cụ sử dụng để tiến hành quét.
Những thiết bị trái phép có thể bị phát hiện trong quá trình quét thụ động:
Các địa chỉ MAC của một thiết bị không dây, cho ta biết được nhà
cung cấp giao diện mạng không dây cho thiết bị. Nếu như tổ chức
57
chỉ sử dụng giao diện mạng không dây của hãng A và B, sự hiện
diện của một hãng khác ám chỉ có thiết bị giả mạo.
Nếu tổ chức lưu trữ những thông tin về các thiết bị không dây đang
được sử dụng thì người đánh giá có thể đi so sánh những địa chỉ
MAC để tìm ra những thiết bị trái phép. Hầu hết những thiết bị dò
quét mạng đều cho phép người đánh giá truy nhập vào danh sách
các thiết bị hợp pháp. Do địa chỉ MAC có thể bị làm giả, nên người
đánh giá không nên quá tin tưởng vào kết quả địa chỉ MAC thu
được, tuy vậy việc kiểm tra địa chỉ MAC vẫn giúp xác định những
thiết bị giả mạo mà không thay đổi địa chỉ MAC.
Những thiết bị giả mạo có thể sử dụng SSID mà không được cấp
quyền bởi tổ chức.
Một số thiết bị giả mạo có thể sử dụng SSID được cấp quyền bởi tổ
chức nhưng lại không tuân thủ yêu cầu cấu hình mạng không dây
của tổ chức đó.
Các cường độ tín hiệu của các thiết bị được cho là giả mạo cần được xem
xét để xác định xem liệu các thiết bị đó có nằm trong giới hạn của tổ chức hoặc
trong khu vực đang được quét hay không. Thiết bị hoạt động bên ngoài giới hạn
của một tổ chức vẫn có thể gây ra những rủi ro đáng kể do các thiết bị của tổ
chức có thể vô tình liên kết với chúng.
3.4.4.2. Quét mạng không dây theo kiểu chủ động
Ngoài phương pháp quét thụ động, người đánh giá cũng có thể tiến hành
dò quét mạng không dây theo kiểu chủ động. Quét mạng không dây chủ động là
gửi trực tiếp các gói tin tới hệ thống mạng không dây để thực hiện kiểm thử các
lỗ hổng bảo mật trên các thiết bị không dây. Ví dụ: người đánh giá có thể tiến
hành quét mạng không dây theo kiểu chủ động trên những thiết bị không dây
hợp lệ để đảm bảo rằng chúng được cấu hình đạt tiêu chuẩn an toàn mạng không
dây bao gồm cơ chế xác thực, mã hóa dữ liệu và quyền truy cập quản trị.
Cần phải rất thận trọng trong việc thực hiện quét chủ động để đảm bảo
rằng không vô tình quét phải các thiết bị thuộc sở hữu hoặc đang hoạt động của
58
các tổ chức khác trong phạm vi lân cận. Điều quan trọng là phải xác định vị trí
vật lý của thiết bị trước khi tiến hành quét chủ động. Người đánh giá cũng nên
lưu ý khi thực hiện quét chủ động đối với các thiết bị không rõ nguồn gốc đang
hoạt động trong phạm vi dò quét. Các thiết bị có khả năng truy cập mạng không
dây này rất có thể là của một người khách và được phép sử dụng mạng không
dây, hoặc là của tổ chức khác có vị trí vật lý lân cận chứ không hẳn là chúng
đang hoạt động trong tổ chức. Tóm lại, khi thực hiện dò quét mạng không dây
chủ động, cần tập trung vào việc nhận dạng và định vị các thiết bị giả mạo hơn
là thực hiện quét trực tiếp đối với các thiết bị đó.
Để có thể đánh giá được độ an toàn của các thiết bị không dây, người
đánh giá có thể sử dụng các công cụ với các kịch bản khai thác có sẵn. Ví dụ:
các công cụ sử dụng để tiến hành đánh giá mạng không dây sẽ cố gắng kết nối
tới các AP thông qua những phương pháp khác nhau để phá vỡ cấu hình bảo
mật. Nếu công cụ này có thể truy cập vào AP thì nó có thể lấy được thông tin về
những thiết bị không dây và có dây kết nối với AP đó. Một số công cụ quét chủ
động còn có thể phát hiện ra những lỗ hổng bảo mật trên các thiết bị của khách
hàng hoặc tiến hình kiểm tra lỗ hổng bảo mật trên mạng có dây.
Khi tiến hành quét chủ động, người đánh giá có thể giám sát cả hệ thống
IDS/IPS không dây của tổ chức để đánh giá khả năng và hiệu suất của chúng.
Tùy vào mục tiêu đánh giá, người đánh giá khi tiến hành dò quét cần phải thông
báo cho người quản trị hệ thống IDS/IPS không dây và người quản trị mạng
không dây về quy trình dò quét sắp tới để họ có thể chuẩn bị đối với những cảnh
báo hoặc báo động có thể xảy ra. Ngoài ra, một số hệ thống IDS/IPS không dây
có thể được cấu hình để bỏ qua những cảnh bảo gây ra bởi một thiết bị nào đó
(ví dụ thiết bị dò quét).
Công cụ và quy trình dùng để phát hiện những thiết bị trái phép hoặc lỗ
hổng bảo mật trong mạng có dây cũng có thể được sử dụng để xác định những
thiết bị không dây giả mạo hoặc cấu hình sai.
3.4.4.3. Xác định vị trí thiết bị mạng không dây
Khi sử dụng các công cụ quét mạng không dây nên tập trung vào việc
định vị các thiết bị đáng nghi. Các tín hiệu RF phát tán phụ thuộc vào môi
59
trường, điều này làm cho việc hiểu rõ các công nghệ mạng không dây làm việc
thế nào trở nên quan trọng. Khả năng định vị cũng rất hữu ích tuy nhiên yếu tố
quan trọng hỗ trợ khả năng này vẫn là những hiểu biết về hoạt động và tính
tương thích của ăng ten không dây.
Nếu như những thiết bị giả mạo được phát hiện và định vị trong quá trình
quét không dây thì người đánh giá cần đảm bảo có những chính sách và quy
trình cụ thể để giám sát việc xử lý những thiết bị đó, ví dụ như tắt thiết bị hay
cấu hình lại cho phù hợp với chính sách của tổ chức, hoặc gỡ bỏ chúng. Trước
khi quyết định gỡ bỏ những thiết bị thì người đánh giá cần đánh giá sự hoạt
động của chúng thông qua việ giám sát việc truyền tải thông tin và hành vi cố
gắng truy cập vào các thiết bị khác.
Nếu như những thiết bị không dây được nhận dạng nhưng không thể định
vị thì người đánh giá cần thử sử dụng IDS/IPS không dây để hỗ trợ xác định vị
vị trí những thiết bị này, trong đó hệ thống IDS/IPS không dây xác định địa chỉ
MAC cụ thể đã được phát hiện trong quá trình quét. Tuy nhiên hệ thống IDS/IPS
không dây chỉ có thể định vị những thiết vị trong khoảng cách tương đối ngắn,
do vậy mà công cụ dò quét mạng không dây vẫn cần thiết trong việc định vị một
thiết bị.
3.4.4.4. Quét Bluetooth
Người đánh giá cũng cần thực hiện việc quét thụ động đối với những thiết
bị không dây kích hoạt Bluetooth để xác nhận rằng những thiết bị đó đảm bảo
yêu cầu an toàn bluetooth. Sóng bluetooth có phạm vi rất ngắn (vào khoảng 9
mét, đối với một số thiết bị thì phạm vị bluetooth chỉ khoảng tầm 1 mét) do vậy
việc quét các thiết bị này rất khó khăn và tốn thời gian. Người đánh giá nên cân
nhắc giới hạn phạm vi khi thực hiện kiểu dò quét này. Ngoài ra, có thể chỉ thực
hiện việc dò quét ở nơi chứa thiết bị mà mọi người đều có thể truy cập được vào,
mục đích là để kiểm tra xem kẻ tấn công có giành được quyền truy cập vào thiết
bị thông qua bluetooth hay không, hoặc thực hiện việc dò quét trong một phạm
vi nhất định hơn là thực hiện trên toàn bộ pham vi. Nhiều thiết bị Bluetooth (như
điện thoại di động hoặc PDA) đều là thiết bị di động, do vậy khi thực hiện việc
quét thụ động thì nên thực hiện nhiều lần trong khoảng thời gian nhất định để có
60
kết quả chính xác. Người đánh giá cần quét tất cả những cơ sở hạ tầng
Bluetooth, chẳng hạn như các điểm truy cập mà tổ chức đã triển khai. Nếu phát
hiện những thiết bị giả mạo thì cần xử lý theo quy trình và chính sách an ninh
của tổ chức đã thiết lập.
Có một số công cụ hỗ trợ việc kiểm tra sự an toàn và hoạt động của những
thiết bị bluetooth. Những công cụ này cố gắng kết nối với những thiết bị đã
được nhận dạng và tiến hành thử tấn công để chiếm được quyền truy cập và kết
nối với thiết bị kích hoạt bluetooth. Người đánh giá cần thận trọng khi thực hiện
dò quét chủ động bởi vì rất có khả năng vô tình quét phải các thiết bị bluetooth
cá nhân mà vẫn thường thấy trong rất nhiều môi trường. Một nguyên tắc ngầm
là người đánh giá chỉ nên dò quét chủ động khi đã chắc chắn rằng thiết bị được
quét thuộc về tổ chức. Việc dò quét chủ động có thể được sử dụng để đánh giá
các chế độ bảo mật tại nơi những thiết bị bluetooth đang hoạt động và độ mạnh
của mật khẩu bluetooth. Dò quét chủ động còn có thể được sử dụng để xác định
rằng những thiết bị này thiết lập với quyền vận hành thấp nhất có thể để giảm
thiểu phạm vi của chúng. Cũng giống như trong mạng không dây, những thiết
bluetooth giả mạo khi được phát hiện phải được xử lý theo chính sách và quy
trình an toàn của tổ chức.
3.5. MỘT SỐ CÔNG CỤ HỖ TRỢ VIỆC PHÂN TÍCH VÀ XÁC ĐỊNH
MỤC TIÊU
Để dễ dàng và hiệu quả cho người đánh giá, ngoài các kỹ năng cần thiết
thì việc sử dụng các công cụ cũng là một phương tiện hữu ích trong quá trình
đánh giá. Dưới đây sẽ giới thiệu về một số công cụ phổ biến sử dụng trong các
trường hợp khác nhau của quá trình đánh giá:
3.5.1. Công cụ khám phá mạng
Traceroute (tracert)
Cách dễ nhất để xác định một bộ định tuyến là thực hiện một traceroute
tới địa chỉ IP hoặc tên miền của mục tiêu. Hop cuối cùng trước server, đặc biệt
web server thường là bộ định tuyến. Tuy nhiên, điều này không phải lúc nào
cũng xảy ra, bởi vì hầu hết các tổ chức chú trọng an ninh sẽ hạn chế khả năng sử
dụng traceroute vào mạng của họ. Đôi khi, người đánh giá chỉ có thể xâm nhập
61
vào bộ định tuyến đầu tiên của tổ chức mục tiêu. Ngoài ra nhiều máy trạm có
thể sử dụng cân bằng tải, nó gần giống với bộ định tuyến nhưng khác nhau về
chức năng.
Hình 3.15. Công cụ tracert
DNS
Người đánh giá có thể có được toàn bộ cơ sở dữ liệu của hệ thống tên
miền (DNS) bằng cách sao chép hành vi của một máy thứ cấp và yêu cầu truyền
dữ liệu từ máy chủ xuống máy thứ cấp. Thao tác này được cho phép, nó có thể
dễ dàng tìm ra router bằng cách phân tích tên máy chủ DNS trả lại. Loại thông
tin này cũng rất có ích cho những khía cạch khác của kiểm thử thâm nhập, là
một hostname và địa chỉ IP kèm theo cũng có thể được trả lại. Hầu hết những
máy chủ DNS tốt sẽ được cấu hình chỉ cho phép máy chủ phân giải tên miền thứ
cấp thực hiện thao tác này, trong trường hợp này thì các công nghệ và công cụ
khác đều có thể thu thập được thông tin DNS.
Hình 3.16. Công cụ DNS
62
ICMP
Các thiết bị mạng thông thường được cấu hình để phản hổi lại những yêu
cầu tem thời gian (timestamp). Hình 3.17 dưới đây hiển thị việc sử dụng công cụ
tem thời gian để truy vấn một thiết bị. Trong trường hợp này có thể thấy máy
đích đã phản hồi lại truy vấn. Nếu chỉ sử dụng đơn độc một mình nó thì không
hiệu quả lắm, nhưng khi sử dụng kết hợp với một số dụng cụ khác thì nó có thể
xác định được danh tính của thiết bị.
Hình 3.17. Yêu cầu tem thời gian ICMP
IKE-SCAN
Thiết bị mạng riêng ảo sử dụng giao thức IKE (Internet Key Exchange) để
xây dựng một đường hầm mã hóa có thể được coi là sử dụng IKE-scan, một
công cụ được tạo bởi NTA một công ty bảo mật Châu Âu và có thể tải trên
http://www.nta-monitor.com/tools/ike-scan/. Ứng dụng này có thể xác định việc
triển khai IKE của một số nhà cung cấp, bao gồm cả từ Checkpoint, Microsoft,
Cisco, Watchguard và Nortel. Hình 3.18 hiển thị lệnh quét mặc định:
Cách sử dụng ike-scan:
ike-scan [options] [hosts]
Trong đó :
[options] là một trong những tùy chọn dưới đây (có thể tra cứu về nhiều
tùy chọn hơn khi sử dụng - -help):
63
- -help – Hiển thị trợ giúp
- -file [filename] – đọc danh sách các máy chủ từ một tập tin
- -sport [port] – sử dụng cổng UDP để gửi yêu cầu
- -verbose [13] – thiết lập mức Set verbosity
- -aggressive – sử dụng chế độ IKE Aggressive
- -randomize – tạo danh sách máy chủ ngẫu nhiên để quét
Hình 3.18. Quét IKE
Khi thiết bị mạng riêng ảo được cấu hình để sử dụng chế độ linh hoạt
(Aggrassive mode) nó rất dễ bị tấn công trên PSK (pre-shared key), do đó việc
nhận dạng những thiết bị mạng riêng ảo được cấu hình sử dụng phương pháp
trên là rất quan trọng. Hình 3.19 hiển thị việc phát hiện ra một thiết bị mạng
riêng ảo sử dụng chế độ linh hoạt.
Hình 3.19. Quét linh hoạt IKE
64
SNMP
Net-SNMP là tập hợp các chương trình được cho phép tương tác với dịch
vụ SNMP. Tiện ích snmpwalk và snmpenum có thể được sử dụng để hiển thị dữ
liệu SNMP từ một hệ thống hoặc một thiết bị mạng. Snmpset cho phép thiết lập
các đối tượng MIB, mà về cơ bản có thể cấu hình lại các thiết bị. Ngoài ra, công
cụ SNMP có trên http://www.remote-exploit.org, có thể sử dụng như một công cụ
GUI cung cấp phương pháp point-and-click của walking the MIB.
Walking the MIB của một Cisco router cung cấp cho người đánh giá rất
nhiều thông tin bao gồm:
Bảng định tuyến
Cấu hình của tất cả các giao diện
Hệ thống thông tin liên lạc
Cổng mở.
Finger
Nếu dịch vụ Finger chạy trên một router, thì hoàn toàn có thể truy vấn
dịch vụ để xác định xem ai đã đăng nhập vào thiết bị. Khi đã tìm được một
username thì người thử nghiệm thâm nhập có thể bắt đầu dùng tấn công đoán
mật khẩu theo kiểu vét cạn nếu một dịch vụ đăng nhập như Telnet hoặc SSH
đang chạy (như trong Hình 3.20)
Hình 3.20. Finger
65
3.5.2. Công cụ xác định cổng và dịch vụ mạng
Nmap
Nmap (Network Mapper) là một công cụ dò quét được phát triển bởi
Gordon Lyon (hay còn được biết đến với tên gọi Fyodor Vaskovick). Nó được
sử dụng để phát hiện ra các máy tính và các dịch vụ đang hoạt động trên mạng,
từ đó tạo ra một “bản đồ” mạng. Để làm việc này, Nmap sẽ gửi các gói tin đến
mục tiêu và phân tích kết quả trả về.
Nmap cung cấp rất nhiều các tính năng cho phép thăm dò hệ thống mạng,
bao gồm khám phá các máy chủ và phát hiện các dịch vụ, hệ điều hành đang
hoạt động. Ngoài các tính năng chính, Nmap còn có thêm một số tính năng mở
rộng cho phép phát hiện các dịch vụ cao cấp hơn, phát hiện lỗ hổng, và các tính
năng khác. Nmap cũng có khả năng thích nghi với điều kiện mạng bao gồm trễ
và tắc nghẽn trong quá trình quét. Nmap đang được phát triển và hoàn thiện bởi
cộng đồng người dùng trên toàn thế giới.
Nmap ban đầu chỉ được phát triển trên nền tảng Linux, sau đó được mở
rộng tới nhiều nền tảng hệ điều hành khác nhau như Windows, Solaris, Mac
OS… và phát triển thêm phiên bản giao diện người dùng (zenmap).
Hình 3.21. Công cụ dò quét cổng Nmap
66
Các chức năng chính của Nmap:
Khám phá mạng: Xác định các host trên mạng. Ví dụ như phát hiện
danh sách các máy chủ, máy trạm đang hoạt động dựa trên việc phản
hồi lại các yêu cầu TCP, ICMP hoặc có một số cổng cụ thể mở.
Quét cổng: Liệt kê các cổng mở trên các mục tiêu cụ thể
Phát hiện phiên bản: Xác định tên ứng dụng và số phiên bản của ứng
dụng
Phát hiện hệ điều hành: Xác định hệ điều hành đang hoạt động và các
đặc tả phần cứng của các thiết bị mạng
Chạy các script đặc biệt: Sử dụng NSE (Nmap Scripting Engine) và
ngôn ngữ lập trình Lua
Ngoài ra, Nmap còn có thể cung cấp thêm các thông tin về mục tiêu, bao
gồm tên miền ngược, loại thiết bị, địa chỉ MAC.
Thông thường, người đánh giá có thể sử dụng Nmap trong các trường
hợp:
Kiểm toán an ninh của một thiết bị hoặc tường lửa bằng cách xác
định các kết nối mạng có thể được thực hiện, hoặc thông qua nó.
Xác định các cổng mở trên một máy chủ mục tiêu chuẩn bị cho kiểm
thử.
Kiểm kê mạng, lập bản đồ mạng, bảo trì và quản lý tài sản.
Kiểm toán an ninh của một mạng bằng cách xác định các máy chủ
mới.
Tạo lưu thông đến các host trên một mạng, phân tích các phản hồi và
thời gian phản hồi.
Tìm và khai thác các điểm yếu trên mạng.
Nmap có thể quét trong cả TCP và UDP. Để tiến hành quét cổng TCP, chỉ
cần nhập vào lệnh sau đây:
nmap hostname (hoặc địa chỉ IP)
67
Ví dụ:
Quét 1 địa chỉ IP: nmap 192.168.1.1
Quét 1 dải địa chỉ IP: nmap 192.179.1.0/24
Quét 1 domain: nmap google.com.vn
Quét 1 danh sách các mục tiêu từ 1 file: nmap -iL mụctiêu.txt
Để thực hiện khám phá mạng, Nmap sử dụng một số kỹ thuật sau:
TCP SYN Ping:–PS <danh sách cổng>
TCP ACK Ping: –PA <danh sách cổng>
UDP Ping: –PU <danh sách cổng>
ARP Ping (sử dụng trong mạng LAN): -PR
ICMP type 8 (echo request): -PE
ICMP type 13 (timestamp request): -PP
ICMP type 17(Address mask request): -PA
Khi gửi các gói tin trên tới 1 cổng của mục tiêu nếu nmap nhận được
phản hồi (có thể là SYN-ACK, RST, các gói tin ICMP) thì nmap sẽ coi host đó
tồn tại trong mạng, không quan tâm đến trạng thái của port. Nếu không nhận
được gói tin phản hồi thì nmap sẽ coi là host không tồn tại.
Mặc đinh nmap sử dụng gói tin ICMP echo request, ICMP timespam
request, TCP SYN to port 443, TCP ACK to port 80, tương đương với:
–PE –PP –PS443 –PA80
Ví dụ:
E:\Pentest\nmap\nmap -sn -n -T4 173.252.120.0/20
Nmap done: 4096 IP addresses (137 hosts up) scanned in 102.32 seconds
Sử dụng tùy chọn –sn (no port scan) để thực hiện quá trình host discovery
(nmap sẽ dừng lại sau khi xác định các host đang chạy và không thực hiện việc
68
quét port). Tùy chon –Pn để bỏ qua host discovery nmap sẽ chuyển qua quá
trình quét port.
Các kỹ thuật quét cổng được sử dụng trong Nmap:
TCP SYN scan (-sS): nmap gửi một gói tin TCP-SYN tới 1 port
của mục tiêu. Nếu nhận được ACK_SYN thì port đó đang ở trạng
thái mở (open), nmap sẽ gửi gói tin RST để đóng kết nối thay vì gửi
ACK để hoàn tất quá trình bắt tay 3 bước (vì thế kỹ thuật này còn
được gọi là half open scan). Nếu nhận được RST thì port đó ở trạng
thái đóng (close). Nếu sau 1 số lần gửi mà không nhận được trả lời
hoặc nhận được ICMP type 3 (unreachable error) thì port đó ở trạng
thái filtered (đã bị firewall chặn).
TCP connect scan (-sT): Kỹ thuật này cho kết quả tương tự như
TCP SYN scan, nếu nhận được ACK-SYN nmap sẽ gửi gói tin
ACK để hoàn tất quá trình bắt tay 3 bước. TCP connect scan được
dùng khi user không có quyền truy cập raw packet để thực hiện
SYN scan (thường thì với quyền root trên linux mới có thể sử dụng
SYN scan). TCP connect scan sẽ sử dụng TCP stack của hệ điều
hành để tạo ra 1 kết nối bình thường với mục tiêu, do thực hiện 1
kết nối đầy đủ nên kỹ thuật này dễ bị phát hiện bởi hệ thống log của
mục tiêu do đó SYN scan thường được sử dụng nhiều hơn để tránh
bị phát hiện.
UDP scan (-sU): nmap gửi gói tin UDP tới 1 port của mục tiêu nếu
nhận được gói tin ICMP port unreachable error (type 3, code 3) thì
port đó ở trạng thái close. Nếu nhận được ICMP unreachable errors
(type 3, codes 1, 2, 9, 10, or 13) thì port đó ở trạng thái filtered.
Nếu không nhận được gì thì port ở trạng thái open|filtered. Nếu
nhận được gói tin UDP thì port đó ở trạng thái open.
TCP NULL, FIN, and Xmas scans (-sN, -sF, -sX): đây là kỹ thuật
sư dụng các gói tin TCP với:
Không có cờ nào được bật
69
Cờ FIN được bật
Cờ FIN, PSH và URG được bật
3 kỹ thuật này được gộp chung vào 1 nhóm vì chúng cho kết quả
giống nhau. Khi 3 loại gói tin này được gửi đi nếu nhận được RST
thì port ở trạng thái close, nếu nhận được các loại gói tin ICMP
(type 3, code 1, 2, 3, 9, 10, or 13) thì port ở trạng thái filtered, còn
nếu không nhận được gói tin trả lời thì port ở trạng thái
open|filtered
TCP ACK scan (-sA): Khác với các kỹ thuật trước, kỹ thuật này
không dùng để kiểm tra trạng thái của các port mà để kiểm tra cấu
hình của firewall (port nào bị firewall chặn, port nào không). Trong
này gói tin ACK sẽ được gửi nếu nhận được RST thì port đó không
bị chặn (unfiltered) nếu không nhận được trả lời hoặc ICMP type 3,
code 1, 2, 3, 9, 10, 13 thì port đó bị firewall chặn (filtered).
Ngoài ra nmap còn có 1 số tùy chọn với các kỹ thuật khác nâng cao
(-sY,-sM, -sO, -sZ, -sI) có thể tham khảo thêm tại:
http://nmap.org/book/man-port-scanning-techniques.html
Mặc định nmap sẽ quét 1000 port phổ biến nhất (xem tại file nmapservice) với thứ tụ ngẫu nhiên. Tuy nhiên có thể sử dụng tùy chọn –p để lựa
chọn chính xác các cổng cần quét. Nếu quét đồng thời nhiều giao thức thì thêm
các chữ cái đứng trước số port T: TCP, U: UDP, S: SCTP, hoặc P: IP Protocol.
Ví dụ:
Hình 3.22. Ví dụ quét cổng với Nmap
70
Trong trường hợp này nmap sẽ quét các cổng UDP 53 và 4000, quét các
cổng TCP 444, từ 1 đến 100, từ 8000 đến 8010 bằng kỹ thuật SYN scan.
Các tùy chọn khác:
Tùy chon –F (fast scan): nmap quét 100 cổng phổ biến nhất thay vì
mặc định 1000 cổng.
Tùy chọn –top-ports: quét n cổng phổ biến nhất.
Tùy chọn –r: thứ tự quét các cổng từ thấp lên cao thay vì mặc định
là ngẫu nhiên.
Mặc định sau khi quét các cổng, nmap sẽ xác định dịch vụ đang chạy trên
các cổng dựa vào file nmap-services (các cổng mặc định của từng dịch vụ). Tuy
nhiên một số máy chủ cấu hình các dịch vụ không chạy trên các cổng mặc định.
Để xác định rõ cổng nào chạy dịch vụ nào nmap sử dụng tùy chọn –sV. Với tùy
chọn này nmap sẽ xác định được dịch vụ và phiên bản phần mềm chạy trên từng
cổng dựa vào banner khi kết nối với cổng đó
Hình 3.23. Các cổng và dịch vụ tương ứng Nmap xác định dựa trên cổng mặc
định
Hình 3.24. Các cổng và dịch vụ, phiên bản phần mềm Nmap xác định khi có tùy
chọn -sV
Ở trên nmap xác định cổng 444 chạy https thay vì mặc định snpp.
71
Nmap hỗ trợ việc xác định hệ điều hành bằng tùy chọn –O. Nmap xác
định hệ điều hành dựa trên TCP/IP stack fingerprint của mục tiêu (ví dụ như
sequence number, window size, các tùy chọn và thứ tự của chúng trong TCP
header, identification number trong IP header, …). Có thể tham khảo thêm tại:
http://nmap.org/book/man-os-detection.html
Nmap Scripting Engine (NSE) là một trong những chức năng linh hoạt và
mạnh mẽ nhất của Nmap. Nó cho phép người dùng viết và chia sẻ những đoạn
script đơn giản để thực hiện những công việc khác nhau trong lĩnh vực mạng
một cách tự động. Những đoạn script có thể sử dụng để phát hiện các lỗ
hổng, thậm chí khai thác các lỗ hổng. Các script (.nse file) nằm trong thư mục
script khi cài đặt nmap, người dùng có thể tùy biến chỉnh sửa, thêm các scirpt
khác.
Để thực hiện chức năng này của nmap sử dụng tùy chọn:
–script <filename>|<category>|<directory>|<expression>[,…]
Đọc thêm tại: http://nmap.org/book/nse-usage.html#nse-categories
Hình 3.25. Kịch bản traceroute theo geoIP
72
Hình 3.26. Phát hiện lỗ hổng MS08-067 trên cổng 445 của Windows XP
Cuối cùng Nmap cho phép người dùng có thể lưu lại kết quả quét của
mình dưới dạng text hoặc xml (có thể dùng kết quả làm đầu vào cho một số
công cụ khác) với các tùy chọn:
-oN (normal output)
-oX (xml output)
ASS
Autonomous System Scanner (ASS) là một công cụ trong IRPAS
(Internetwork Routing Protocol Attack Suite) có trên http://www.phenoelitus.org/irpass/ thực hiện thụ động hoặc chủ động thu thập thông tin giao thức
định tuyến. Nó hỗ trợ phần lớn giao thức định tuyến và có thể cung cấp những
thông tin hữu ích trên giao thức như:
CDP - Cisco Discovery Protocol
IRDP - ICMP Router Discovery Protocol
IGRP - Interior Gateway Routing Protocol và EIGRP - Enhanced
Interior Gateway Routing Protocol
OSPF - Open Shortest Path First
HSRP - Hot Standby Routing Protocol
DHCP - Dynamic Host Configuration Protocol
Cách sử dụng ASS:
ass [tùy chọn]
Các trường nhập:
73
[tùy chọn ] là một trong những tùy chọn sau:
-h – hiển thị các tùy chọn (nhiều thông tin hơn có thể được tìm thấy khi
sử dụng man ass)
-i [giao diện] – chọn giao diện để quét
-v – chế độ Verbose
-A – chế độ quét Active
-P [giao thức] – chọn giao thức để quét
-M - hệ thống EIGRP được quét bằng cách sử dụng địa chỉ multicast và
không liệt kê bởi Hello và truy vấn trực tiếp
-a [autonomous system] - Autonomous system bắt đầu từ
-b [autonomous system] - Autonomous system dừng lại với
-S [IP] - Spoof địa chỉ IP được xác định
-D [IP] - Được sử dụng để xác định một địa chỉ đích thay vì sử dụng địa
chỉ thích hợp cho mỗi giao thức
-P – Không chạy trong chế độ promiscuous
-c – chấm dứt sau khi quét
-T [delay] – hoãn quét
Hình 3.27. Quét giao thức định tuyến
74
Hình 3.27 cho thấy ASS trong chế độ Active nơi nó nghe một cách thụ
động và chủ động thăm dò tất cả những giao thức khi nhảy qua những chuỗi AS
(Autonomous System). Ví dụ, hai thiết bị chạy hai giao thức CDP và HSRP.
Trước khi chúng ta thực hiện tấn công vào thiết bị mạng, đầu tiên là phải nhận
dạng giao thức. Những thông tin cụ thể của từng giao thức được hiển thị. ASS
hữu dụng nhất trong một đánh giá mạng nội bộ để xác định tổ chức đích sử dụng
loại giao thức định tuyến nội bộ nào.
3.5.3. Công cụ dò quét lỗ hổng bảo mật
Nessus
Nessus là một trong những công cụ dò quét lỗ hổng bảo mật phổ biến nhất
được phát triển bởi Tenable Network Security. Nessus có các phiên bản cho
những người sử dụng khác nhau. Phiên bản miễn phí là Nessus Home được thiết
kế để sử dụng cho các cá nhân để dò quét điểm yếu tại nhà, ngoài ra các phiên
bản cao cấp hơn (không miễn phí) sử dụng cho một người, nhiều người để dò
quét hệ thống mạng doanh nghiệp nên sẽ có thêm các tính năng mở rộng (như
kiểm toán, kiểm thử về tính tuân thủ, các kịch bản phát hiện điểm yếu chi tiết
hơn, …). Các phiên bản này có thể tải về tại:
https://www.tenable.com/products/nessus/select-your-operating-system
Hình 3.28. Công cụ dò quét lỗ hổng bảo mật Nessus
75
Nessus có một kiến trúc module bao gồm các máy chủ tập trung quản lý
quét, và các client từ xa cho phép người quản trị kết nối tới các máy chủ tập
trung. Các tính năng chính của Nessus bao gồm:
Tương thích với mọi máy tính và máy chủ;
Phát hiện các lỗ hổng an ninh tại vị trí cục bộ (local) hoặc từ xa
(remote);
Phát hiện các bản cập nhật hoặc bản vá an ninh còn thiếu;
Mô phỏng các tấn công để xác định các lỗ hổng;
Thực thi các kiểm thử an ninh trong một môi trường cụ thể;
Lập lịch trình kiểm toán an ninh.
Nessus cho phép dò quét các kiểu lỗ hổng như:
Lỗ hổng cho phép kẻ tấn công từ xa kiểm soát hoặc truy cập tới các
dữ liệu nhạy cảm trên hệ thống;
Lỗi cấu hình (ví dụ: open mail relay, missing patches, …)
Mật khẩu mặc định, mật khẩu phổ biến, mật khẩu rỗng trên một số
các tài khoản hệ thống. Nessus cũng cho phép gọi tới Hydra (một
công cụ mở rộng khác) để thực thi tấn công từ điển.
Từ chối dịch vụ đối với ngăn xếp TCP/IP bằng cách sử dụng các
gói dữ liệu bị thay đổi;
Chuẩn bị cho các kiểm toán PCI DSS.
Ban đầu, Nessus chứa hai thành phần chính là Nessusd, Nessus daemon
để thực hiện chức năng quét và Nessus, client để kiểm soát quét và thể hiện các
kết quả dò quét cho người sử dụng. Các phiên bản sau của Nessus ( từ phiên bản
4 trở đi) sử dụng một máy chủ web cung cấp các chức năng tương tự như client.
Khi thực hiện dò quét, Nessus sẽ bắt đầu bằng việc quét cổng với một
trong 4 công cụ quét có sẵn để phát hiện ra các cổng mở trên hệ thống, sau đó
dựa trên các cổng mở để thử khai thác các lỗ hổng liên quan. Tiếp theo Nessus
thực hiện dò quét các lỗ hổng dựa trên các điểm yếu trên hệ điều hành sử dụng
76
NASL (Nessus Attack Scripting Language), một ngôn ngữ kịch bản được tối ưu
hóa cho việc dò quét lỗ hổng của Nessus.
Kết quả dò quét có thể được trích xuất ra nhiều định dạng khác nhau, như:
văn bản gốc, XML, HTML và LaTeX. Các kết quả này cũng có thể được lưu
trong một cơ sở kiến thức để phục vụ cho mục đích gỡ lỗi (debug).
Nếu người dùng lựa chọn tùy chọn vô hiệu hóa tính năng kiểm tra an toàn
“safe checks”, một số kịch bản kiểm thử của Nessus có thể làm cho hệ thống
hoặc dịch vụ bị ngừng trệ. Tuy nhiên việc này cho phép người kiểm thử có thể
kiểm tra thiết bị trước khi đưa nó vào sản xuất.
Nessus cũng cung cấp thêm một số chức năng bổ sung ngoài chức năng
chính là kiểm tra các lỗ hổng mạng đã biết. Ví dụ, nó có thể sử dụng thông tin
của Windows để kiểm tra những bản vá lỗi trên các máy tính chạy hệ điều hành
Windows, và có thể thực hiện kiểm toán mật khẩu sử dụng phương pháp tấn
công từ điển hoặc brute force. Phiên bản Nessus 3 và sau này cũng có thể kiểm
tra hệ thống để đảm bảo rằng chúng đã được cấu hình cho mỗi một chính sách
cụ thể, chẳng hạn như hướng dẫn của NSA để làm cứng hóa các máy chủ
Windows. Chức năng này sử dụng các thuộc tính của Tenable để kiểm toán nội
dung các file hoặc SCAP.
OpenVAS
OpenVAS (Open Vulnerability Assessment System) là một công cụ mã
nguồn mở cho phép thực hiện dò quét và quản lý các lổ hổng. OpenVAS có hơn
45000 kịch bản để xác định các lỗ hổng liên quan đến hệ điều hành, ứng dụng
dịch vụ. Tất cả các sản phẩm OpenVAS đều là phần mềm miễn phí. Có thể tải
OpenVAS về tại địa chỉ:
http://www.openvas.org/download.html
77
Hình 3.29. Công cụ dò quét lỗ hổng bảo mật OpenVAS
Các chức năng chính của OpenVAS:
Dò quét các hệ thống trên mạng để phát hiện ra các lỗ hổng an
ninh;
Quản lý và cập nhật các luật quét hỗ trợ cho việc dò quét;
Tạo báo cáo dựa trên kết quả dò quét;
Lập lịch quét định kỳ;
Tương tác với các hệ thống thông qua giao diện dòng lệnh, giao
diện GUI hoặc giao diện Web.
Hầu hết các thành phần đã được cấp phép theo GNU GPL (GNU General
Public License)
Hình 3.30. Cấu trúc của OpenVAS
78
Acunetix Web Vulnerability Scanner
Acunetix WVS là một công cụ phổ biến hỗ trợ dò quét lỗ hổng bảo mật
cho các ứng dụng Web. Acunetix WVS có một cơ sở dữ liệu rộng lớn được cập
nhật thường xuyên, với các thuật toán heuristic đáp ứng được các cơ chế họat
động phức tạp của môi trường Web. Nó có thể tự động kiểm tra các lổ hỗng
thông dụng như Cross Site Scripting, SQL Injection và các mối nhạy cảm khác
của những website có thể truy cập bằng trình duyệt, hay những ứng dụng được
xây dựng trên các kỹ thuật tiên tiến như AJAX.
Hình 3.31. Công cụ dò quét lỗ hổng ứng dụng Web Acunetix WVS
Các chức năng chính của Acunetix WVS:
Khai thác toàn bộ cấu trúc website gồm tất cả các liên kết trên site
và cả trong tập tin robots.txt sau đó hiển thị một cách chi tiết dưới
dạng sơ đồ hình cây.
Tự động phát động các điểm yếu trên ứng dụng web dựa trên danh
các mẫu thử có sẵn và phân tích các liên kết để cho ra kết quả về
các thông tin về các điểm yếu tương ứng với các liên kết trên ứng
dụng web.
Tự động thông báo trên các “Alerts Node”, mỗi alert gồm các thông
tin về lỗi cũng như các mối nguy hiểm có thể gặp phải đồng thời có
các khuyến nghị để khắc phục điểm yếu.
79
Sau khi tiến trình kiểm tra hoàn tất, chương trình cho phép lưu lại thành một tập
tin để phân tích sau này, với công cụ báo cáo chuyên nghiệp sẽ giúp cho các web
master dễ dàng tổng hợp các kết quả kiểm tra khác nhau trên ứng dụng web của
mình.
IBM Rational AppScan
AppScan là một công cụ dò quét lỗ hổng bảo mật ứng dụng Web thương
mại của hãng IBM. Đây là một công cụ rất hữu ích khi thực hiện đánh giá an
toàn cho Web. Nó có thể tự động dò quét các ứng dụng Web để kiểm tra, phát
hiện các điểm yếu và phân loại theo các mức độ nguy hại khác nhau, đồng thời
đưa ra các khuyến nghị khắc phục điểm yếu một cách chi tiết.
Hình 3.32. Công cụ dò quét lỗ hổng ứng dụng Web IBM Rational AppScan
Các tính năng chính của IBM Rational AppScan:
Tìm kiếm và phát hiện các lỗi về bảo mật trong mã nguồn từ sớm
trong quá trình phát triển phần mềm. Phân loại lỗi, cung cấp các
thông tin chi tiết về lỗi và các khuyến nghị về việc sửa lỗi.
Hỗ trợ các ứng dụng phức tạp được phát triển bằng nhiều ngôn ngữ
khác nhau như Java, C/C++, .Net, PHP,... cũng như nhiều
framework và các thư viện khác nhau.
Phát triển dựa trên các chuẩn CERT, NIST, OWASP, CVE/CWE
80
Phiên bản cho developer có khả năng tích hợp với các IDE như
Rational Application Developer, Visual Studio, Eclipse, thực hiện
việc quét ứng dụng và đưa ra các khuyến nghị để sửa lỗi trên chính
IDE.
Cung cấp khả năng phân tích nâng cao theo luồng dữ liệu (Data
Flow), luồng điều khiển (Control Flow) và phân tích theo ngữ cảnh
(Contextual Analysis)
Cung cấp khả năng tích hợp với các công cụ build để quét các lỗ
hổng trong quá trình build như khảnăng tích hợp với Ant, hay
Maven.
Quản lý lỗi và người dùng tập trung, cung cấp các báo cáo và các
bảng tin chi tiết, dễ hiểu, các so sánh về mức độ an toàn bảo mật
giữa các ứng dụng, theo dõi tiến độ phát triển, kiểm soát tình hình
sửa lỗi và quản lý các rủi ro.
Cung cấp các báo cáo tương thích với các chuẩn công nghiệp như
OWASP, PCI-DSS
Cung cấp các cảnh báo về lỗi của ứng dụng dựa trên rule-based
Cung cấp các kiến thức về bảo mật và các lỗ hổng bảo mật cho ứng
dụng.
Nikto
Nikto là một công cụ viết bằng Perl có chức năng thực hiện kiểm tra phát
hiện các lỗ hổng tồn tại trên các máy chủ Web. Nikto thường được sử dụng
trong các thử nghiệm xâm nhập ứng dụng Web. Đặc biệt nếu một người quản trị
hệ thống có không cấu hình tốt máy chủ web hoặc cấu hình sai thì Nikto hoàn
toàn có thể tìm thấy chúng. Hiện tại, Nikto là một trong những công cụ đánh giá
ứng dụng Web mã nguồn mở tự động được mọi người ưa thích và đánh giá cao.
Để thực hiện quét ứng dụng Web bằng Nikto, có thể sử dụng các tùy chọn
mặc định kết hợp với một địa chỉ IP hoặc tên miền. Dòng lệnh này sẽ là nikto.pl
–h [host]. Hình 3.33 cho thấy kết quả của một mẫu quét.
81
Hình 3.33. Quét ứng dụng Web với Nikto
Từ kết quả thu được người đánh giá có thể tìm thấy một số chi tiết về máy
chủ quét. Đầu tiên, Nikto xác định thông tin phiên bản server và thực hiện một
scan cơ bản cho thư mục CGI và robots.txt. Chi tiết phiên bản của máy chủ web
và plug-in liên quan có thể sử dụng để xác định xem phiên bản của những phần
của phần mềm tồn tại trên máy chủ web có bị tổn thương. Ngoài ra, Nikto quét
và xác định một số thư mục mặc định như “/config/” hoặc “/admin/” cũng như
các tệp tin mặc định như “test-cgi”.
Nhiều lựa chọn bổ sung tồn tại để điều chỉnh quét của chúng với Nikto. Ví
dụ, có thể sử dụng lựa chọn –p để chọn port cụ thể để quét hoặc bao gồm một
tiền tố giao thức (như https://) trong tên host. Danh sách các tùy chọn hợp lệ có
thể xem thêm tại http://cirt.net/nikto2-docs/options.html. Dưới đây là một ví dụ
sử dụng Nikto với một số lựa chọn để quét ứng dụng Web:
82
Hình 3.34. Sử dụng Nikto quét với các tùy chọn
Kết quả thu được:
Hình 3.35. Kết quả quét với Nikto
83
Grendel-Scan
Grendel-Scan là một công cụ khác, giống Nikto, tự động rà soát những lỗ
hổng của ứng dụng web. Phần mềm này có thể tải ở trang http://grendelscan.com và được thiết kế trên đa nền tảng sử dụng Java vì thế có thể chạy trên
nhiều hệ điều hành khác nhau.
Khi chạy, phần mềm hiển thị trên một giao diện người dùng cho phép lựa
chọn một số tinh chỉnh bao gồm các đường dẫn URL để rà soát, số nguy cơ bảo
mật, chi tiết báo cáo, lựa chọn bảo mật, và các phần để kiểm thử. Với GrendelScan, các tác vụ kiểm thử được mô đun hóa vì thế có thể lựa chọn chính xác
kiểu lỗ hổng bảo mật muốn tìm kiếm. Một số ví dụ đánh giá là liệt kê file, quét
lỗi XSS và SQL. Các tác vụ này thực tế không dùng để khai thác lỗ hổng bảo mật,
nhưng nó sẽ giúp người đánh giá biết được máy chủ có thể có nguy cơ bị tấn công
nào.
Một đặc trưng khác của Grendel-Scan là tính năng proxy server. Điều này
giúp cho người đánh giá có thể bắt được những yêu cầu bằng lệnh và thay đổi
chúng nếu cần thiết. Ngay cả khi đang không dùng proxy để thay đổi dữ liệu,
công cụ cũng cho phép sử dụng để chặn thông tin trên nhiều biến được chuyển
qua cookies hay biến POST.
Ví dụ về quét điểm yếu ứng dụng Web với Grendel-Scan:
Hình 3.36. Quét điểm yếu ứng dụng Web với Grendel-Scan
84
Từ kết quả được hiển thị như trên, có thể thấy ứng dụng web này có lỗ
hổng bảo mật CSRF (Cross-Site Request Forgery). Khi đã phát hiện được lỗ
hổng bảo mật này với Grendel-Scan, người đánh giá có thể tiếp tục khai thác lỗ
hổng đã được phát hiện hoặc sử dụng các công cụ khác để khai thác.
Một vấn đề quan trọng cần nhớ đối với Grendel-Scan là giống như nhiều
phần mềm rà soát tự động khác, nó thực thi tất cả các mã lệnh và gửi tất cả các
yêu cầu nó có thể tìm thấy. Điều này có thể gây nhiều thông tin không cần thiết
trong file log, giống như Nikto. Nếu như có một yêu cầu hay trang có thể gây
hại cho trang web, người đánh giá có thể thêm ghi chú vào danh sách URL cấm
trước khi rà soát. Ví dụ, khi sử dụng ứng dụng Damn Vulnerable Web
Application (DVWA) ISO để đánh giá, tốt nhất là nên liệt kê vào danh sách cấm
những trang cho phép cơ sở dữ liệu DVWA khởi động lại.
3.6.
TỔNG KẾT
Bảng dưới đây sẽ tóm tắt lại các vấn đề chính trong việc phân tích và xác
định mục tiêu được thảo luận trong chương này:
Bảng 6: Các kỹ thuật phân tích và xác định mục tiêu
Tính năng
Kỹ thuật
Phát hiện các thiết bị đang hoạt động
Khám phá mạng
Xác định các đường kết nối và tạo điều kiện xác
định cấu trúc mạng
Phát hiện ra các thiết bị đang hoạt động
Xác định cổng và
Phát hiện ra các cổng mở và các ứng dụng/ dịch vụ
dịch vụ mạng
liên quan.
Xác định các máy và các cổng mở
Dò quét lỗ hổng bảo
mật
Xác định các lỗ hổng tồn tại (lưu ý: có thể có các
cảnh báo nhầm)
Thường đưa ra các lời khuyên cho việc khắc phục
các lỗ hổng đã phát hiện được
Dò quét mạng không Xác định các thiết bị không dây trái phép nằm trong
85
dải không dây được quét
dây
Phát hiện ra các tín hiệu không dây bên ngoài phạm
vi hệ thống mạng đánh giá
Phát hiện ra các backdoor và các lỗ hổng an ninh
tiềm tàng khác
Có những rủi ro gắn liền với mỗi kỹ thuật và sự kết hợp của các kỹ thuật.
Để đảm bảo tất cả mọi việc đều được thực hiện một cách an toàn và chính xác,
mỗi người đánh giá cần phải có những kỹ năng cơ bản. Bảng dưới đây cung cấp
những gợi ý về các kỹ năng tối thiểu cần thiết cho mỗi kỹ thuật được sử dụng:
Bảng 7: Các kỹ năng cần thiết cho việc phân tích và xác định mục tiêu
Kỹ thuật
Các kỹ năng cơ bản
Có kiến thức về mạng và giao thức TCP/IP;
Khám phá mạng
Có khả năng sử dụng các công cụ khám phá mạng
cả theo cơ chế thụ động lẫn chủ động.
Có kiến thức về mạng và giao thức TCP/IP;
Có sự hiểu biết về các cổng và giao thức với các hệ
Xác định cổng và
điều hành khác nhau;
dịch vụ mạng
Có khả năng sử dụng các công cụ dò quét cổng và
có khả năng trích xuất, đọc kết quả báo cáo từ các
công cụ dò quét tự động.
Có kiến thức về mạng và giao thức TCP/IP;
Dò quét lỗ hổng bảo
mật
Có sự hiểu biết về các cổng, giao thức, dịch vụ, và
điểm yếu trên các hệ điều hành khác nhau;
Có khả năng sử dụng các công cụ dò quét lỗ hổng
bảo mật tự động và trích xuất/ phân tích kết quả.
Có kiến thức về tính toán và truyền sóng;
Dò quét mạng không
Có các kiến thức về giao thức, dịch vụ và cấu trúc
dây
hệ thống mạng không dây;
86
Có khả năng sử dụng các công cụ dò quét mạng
không dây tự động.
3.7. BÀI TẬP
1. Thực hành thu thập thông tin và khám phá mạng.
2. Thực hành xác định cổng và dịch vụ mạng.
3. Thực hành dò quét lỗ hổng bảo mật trên các hệ điều hành khác nhau.
4. Thực hành dò quét lỗ hổng bảo mật trên Website.
5. Thực hành dò quét mạng không dây.
87
Chương 4
XÁC ĐỊNH ĐIỂM YẾU MỤC TIÊU
Phần này đề cập tới các kỹ thuật xác định điểm yếu mục tiêu, trong đó sử
dụng các thông tin nhận được từ việc phân tích và xác định mục tiêu để khám
phá ra sự tồn tại của điểm yếu tiềm năng. Mục tiêu là để chứng minh rằng một
điểm yếu tồn tại, và để giải thích những rủi ro an ninh khi nó được khai thác.
Xác định điểm yếu mục tiêu liên quan tới lượng lớn rủi ro có thể xảy đến khi
thực hiện đánh giá bởi vì kỹ thuật này phải tác động trực tiếp đến hệ thống hoặc
mạng mục tiêu hơn các kỹ thuật khác.
4.1.
BẺ MẬT KHẨU
Khi người dùng nhập mật khẩu, một bảng băm của mật khẩu đã nhập
được tạo ra và so sánh với một bảng băm của mật khẩu thực tế của người dùng
được lưu trữ. Nếu các bảng băm phù hợp có nghĩa là người dùng được chứng
thực. Bẻ mật khẩu là quá trình khôi phục mật khẩu từ các bảng băm mật khẩu
được lưu trữ trong một máy tính hoặc được truyền qua mạng. Nó thường được
xác định trong các quá trình đánh giá để xác định tài khoản với các mật khẩu
yếu. Bẻ mật khẩu được thực hiện trên giá trị băm mà bị chặn khi truyền qua
mạng hoặc bị lấy ra từ hệ thống mục tiêu với quyền của quản trị viên hoặc truy
cập vật lý. Khi các giá trị băm bị thu được, một công cụ bẻ khóa tự động nhanh
chóng tạo ra thêm các bảng băm và so sánh đến khi một giá trị phù hợp được tìm
thấy.
Một phương pháp tạo ra các bảng băm là tấn công từ điển, trong đó sử
dụng tất cả các từ trong từ điển hoặc tập tin văn bản. Có rất nhiều bộ từ điển có
sẵn trên Internet bao gồm ngôn ngữ chính và phụ, tên người, hoặc các chương
trình truyền hình nổi tiếng… Một phương pháp bẻ khóa khác được biết đến như
là tấn công lai (hybrid attack), xây dựng trên phương pháp từ điển bằng cách
thêm các số và ký tự đặc biệt vào các từ từ điển. Tùy thuộc vào các công cụ bẻ
mật khẩu được sử dụng, kiểu tấn công này có thể thử một số biến thể, chẳng hạn
sử dụng các thay thế phổ biến của các ký tự và số cho chữ (ví dụ: p@ssword và
88
h4ckme). Một số công cụ cũng sẽ thử thêm ký tự và số vào đầu và cuối các từ
trong từ điển (ví dụ: password99, password$%).
Phương pháp bẻ mật khẩu mạnh nhất được gọi là phương pháp vét cạn
(brute force). Phương pháp này sẽ tạo sinh ra tất cả các mật khẩu có thể với một
độ dài nhất định cùng các hàm băm liên quan. Như vậy có thể sẽ phải mất vài
tháng, thậm chí vài năm để bẻ một mật khẩu. Mặc dù vậy, nó thường mất ít thời
gian hơn so với hầu hết các chính sách mật khẩu chỉ định cho việc thay đổi mật
khẩu. Do đó, các mật khẩu được tìm thấy trong quá trình tấn công brute force là
vẫn còn quá yếu.
Trên lý thuyết, tất cả mật khẩu là "có thể bị phá" từ một cuộc tấn công
brute force với một lượng vừa đủ thời gian và năng lực xử lý mặc dù nó có thể
phải mất nhiều năm và yêu cầu một sức mạnh tính toán lớn. Thực tế là, người
đánh giá và các kẻ tấn công thường có nhiều máy tính để thực hiện các tác vụ bẻ
mật khẩu nên việc này cũng không mất quá nhiều thời gian.
Một mật khẩu Linux/Unix thường là một mật khẩu mạnh vì nó có độ dài
(ít nhất là lớn hơn 10 ký tự) và phức hợp (bao gồm cả chữ hoa và chữ thường,
ký tự đặc biệt và số). Việc tạo một mật khẩu mạnh trong Windows thì phức tạp
hơn. Các phiên bản Windows trước Windows 2000 sử dụng các bản băm mật
khẩu LanMan mà chứa rất nhiều điểm yếu liên quan. Đầu tiên, Lanman không
phân biệt hoa thường, tất cả các ký tự chữ cái sẽ được chuyển đổi thành chữ hoa.
Điều này làm giảm tính hiệu quả của số lượng các tổ hợp khác nhau của mật
khẩu mà một kẻ tấn công có thể thử. Thứ hai, tất cả các mật khẩu được lưu trữ
như Lanman gồm hai bản băm với 7 ký tự. Các mật khẩu dài chính xác 14 ký tự
sẽ được phân chia thành hai bản băm gồm 7 kí tự. Mật khẩu ít hơn 14 ký tự sẽ
được thêm lên đến 14 ký tự. Việc chia tách mật khẩu thành hai bản băm làm cho
các mật khẩu Lanman có ít khả năng chống lại tấn công bẻ mật khẩu.
Việc bẻ mật khẩu cũng có thể được thực hiện với các bảng cầu vồng, là
các bảng tra cứu với các bảng băm mật khẩu tạo trước trong máy tính. Ví dụ,
một bảng cầu vồng có thể được tạo ra có chứa tất cả các mật khẩu có thể có cho
một sắp xếp ký tự với độ dài ký tự nhất định. Sau đó kẻ tấn công có thể tìm kiếm
bảng cho các bảng băm mật khẩu mã mà chúng đang cố gắng để bẻ. Các bảng
89
cầu vồng yêu cầu số lượng lớn không gian lưu trữ và có thể mất một thời gian
dài để tạo ra, nhưng thiếu sót chính của chúng là chúng có thể không có hiệu quả
chống lại các mật khẩu băm có sử dụng muối (salt). Muối là sự bao gồm một
mảnh ngẫu nhiên của các thông tin trong quá trình băm mật khẩu mà làm giảm
khả năng của các mật khẩu giống nhau trở về cùng bảng băm. Các bảng cầu
vồng sẽ không cho kết quả chính xác mà không cần dùng muối vào tài khoản
nhưng điều này làm tăng đáng kể số lượng không gian lưu trữ mà các bảng yêu
cầu. Nhiều hệ điều hành sử dụng các cơ chế mật khẩu băm muối để làm giảm
hiệu quả của các bảng cầu vồng và các hình thức bẻ mật khẩu.
Hiện có rất nhiều công cụ hỗ trợ cho việc bẻ mật khẩu, điển hình trong số
đó như: Cain and Abel, John the Ripper, THC Hydra, Medusa, L0pht Crack,
OphCrack, … Các công cụ bẻ mật khẩu cần được chạy hàng tháng trên hệ thống
hoặc thậm chí liên tục để đảm bảo các tổ hợp mật khẩu chính xác trong một tổ
chức. Những hành động sau đây cần được thực hiện nếu một số lượng lớn các
mật khẩu có thể bị bẻ khóa:
Nếu các mật khẩu bị bẻ khóa đã được lựa chọn theo chính sách, thì
chính sách này cần được sửa đổi để giảm tỷ lệ mật khẩu có thể bị bẻ
khóa. Nếu việc sửa đổi chính sách như vậy dẫn đến việc người dùng
phải viết ra mật khẩu của họ vì họ gặp khó khăn trong việc ghi nhớ
mật khẩu, thì tổ chức nên cân nhắc việc thay thế phương pháp xác
thực mật khẩu bằng một hình thức xác thực khác.
Nếu các mật khẩu bị bẻ khóa không được chọn theo chính sách, thì
người sử dụng nên được chỉ dẫn về tác động có thể có của việc lựa
chọn mật khẩu yếu. Nếu điều này bị vi phạm bởi những người dùng
cố chấp, thì người quản lý nên xem xét các bước bổ sung (đào tạo bổ
sung, áp dụng phần mềm quản lý mật khẩu, từ chối truy cập, v.v) để
đạt được sự tuân thủ của người dùng. Nhiều nền tảng máy chủ cũng
cho phép người quản trị hệ thống thiết lập độ dài mật khẩu và độ
phức tạp tối thiểu.
Trên các hệ thống hỗ trợ bộ lọc mật khẩu, các bộ lọc này cần được
thiết lập buộc phải sử dụng mật khẩu mạnh, và điều này có thể làm
90
giảm khả năng bẻ mật khẩu. Các mật khẩu dù mạnh thế nào cũng
thường được gửi dưới dạng rõ qua mạng, do đó tổ chức nên chuyển
sang sử dụng các phương thức xác thực mạnh hơn.
4.2.
KIỂM THỬ XÂM NHẬP
Kiểm thử xâm nhập (penetration testing) là kiểm tra độ an toàn của hệ
thống thông tin, trong đó người đánh giá bắt chước các tấn công thực tế để phá
vỡ các tính năng bảo mật của ứng dụng, hệ thống hoặc mạng. Nó thường liên
quan đến vụ tấn công thực trên hệ thống và dữ liệu thực mà sử dụng các công cụ
và kỹ thuật thường được sử dụng bởi những kẻ tấn công. Hầu hết các kiểm thử
xâm nhập liên quan đến việc tìm sự kết hợp các lỗ hổng trên một hoặc nhiều hệ
thống có thể được sử dụng để đạt được nhiều hơn sự truy cập có thể đạt được
thông qua một lỗ hổng duy nhất. Kiểm thử xâm nhập cũng có thể hữu ích cho
việc xác định:
Làm thế nào hệ thống cho phép các dạng tấn công phổ biến thực tế.
Mức độ tinh vi của kẻ tấn công cần để làm tổn hại hệ thống.
Biện pháp đối phó bổ sung có thể giảm thiểu các mối đe dọa đối
với hệ thống.
Khả năng phòng vệ để phát hiện các cuộc tấn công và phản ứng
thích hợp.
Kiểm thử xâm nhập có thể là một giải pháp rất hữu hiệu trong việc xác
định các điểm yếu, song nó đòi hỏi nhiều công sức và chuyên môn cao để tránh
rủi ro cho hệ thống mục tiêu. Ở mức tối thiểu, nó có thể làm chậm thời gian
phản ứng của mạng tổ chức do việc dò quét mạng và dò quét điểm yếu. Hơn
nữa, có khả năng các hệ thống sẽ bị phá hủy trong quá trình kiểm thử xâm nhập
và có thể không hoạt động trở lại, mặc dù những lợi ích mà tổ chức thu được là
họ biết rằng hệ thống của họ được báo cáo là không bị xâm nhập. Mặc dù những
kiểm thử viên thâm nhập dày dạn kinh nghiệm có thể giảm thiểu nguy cơ này,
nhưng khó có thể khẳng định các rủi ro sẽ không xảy ra. Do đó kiểm thử chỉ nên
thực hiện sau khi xem xét, báo cáo và có kế hoạch tỉ mỉ.
91
Do kiểm thử xâm nhập được thiết kế để mô phỏng một cuộc tấn công và
sử dụng các công cụ, kỹ thuật bị hạn chế bởi luật, các quy định và chính sách
của tổ chức, nên bắt buộc phải có sự cho phép chính thức để tiến hành các kiểm
thử xâm nhập trước khi bắt đầu. Sự cho phép này thường được gọi là các luật
gắn kết, bao gồm:
Các địa chỉ/ dải IP cụ thể được kiểm tra.
Bất kỳ các máy chủ bị hạn chế (chẳng hạn: các máy chủ, hệ thống,
mạng con thì không được kiểm thử).
Một danh sách các kỹ thuật kiểm thử chấp nhận được (ví dụ như kỹ
nghệ xã hội, DoS, …) và các công cụ (công cụ bẻ mật khẩu, công
cụ nghe lén mạng, …).
Thời gian kiểm thử được tiến hành (ví dụ trong giờ làm việc, sau
giờ làm việc, v.v).
Xác định một thời hạn nhất định cho kiểm thử.
Các địa chỉ IP của các máy tính mà kiểm thử xâm nhập sẽ tiến hành
để quản trị viên có thể phân biệt được các cuộc tấn công kiểm thử
xâm nhập hợp pháp với các cuộc tấn công độc hại trong thực tế.
Địa điểm liên lạc cho các đội kiểm thử xâm nhập vào các hệ thống
và mạng đích.
Các biện pháp để ngăn chặn sự thực thi luật được gọi là các cảnh
báo sai (được tạo ra bởi quá trình kiểm thử).
Xử lý thông tin thu thập được bởi các nhóm kiểm thử xâm nhập.
Kiểm thử xâm nhập có thể được thực hiện công khai hoặc bí mật. Kiểm
thử công khai, cũng được biết đến như là kiểm thử mũ trắng, là hành động kiểm
thử trong đó được sự hỗ trợ của nhân viên công nghệ thông tin của tổ chức để
cung cấp các thông tin liên quan tới hệ thống mạng kiểm thử như sơ đồ mạng,
địa chỉ ip cụ thể của các máy chủ máy trạm, mã nguồn hệ thống, …. Kiểu kiểm
thử này cho phép đánh giá toàn bộ mạng hoặc tình hình an toàn hệ thống. Vì
nhân viên công nghệ thông tin biết được đầy đủ thông tin về kiểm thử và được
92
bao gồm trong kiểm thử nên có thể đưa ra sự hướng dẫn để hạn chế một số ảnh
hưởng có thể xảy ra từ kiểm thử. Kiểm thử cũng có thể mang lại cơ hội đào tạo,
với nhân viên mà quan sát các hoạt động và các phương pháp của người đánh
giá nhằm đánh giá và có khả năng phá vỡ các biện pháp an ninh được thực thi.
Điều này đưa ra bối cảnh cho các yêu cầu an toàn được thực thi và duy trì bởi
nhân viên công nghệ thông tin, và cũng có thể hỗ trợ dạy cho nhân viên công
nghệ thông tin cách thực hiện kiểm thử.
Kiểm thử an toàn bí mật, còn gọi là kiểm thử mũ đen, thực hiện kiểm thử
mà không cần có sự tham gia của nhân viên công nghệ thông tin của tổ chức
nhưng được sự cho phép của quản lí cấp trên. Một số đơn vị đánh giá còn chỉ
định một bên thứ ba tin cậy để đảm bảo rằng tổ chức được đánh giá không triển
khai thêm các biện pháp ứng phó liên quan trong quá trình đánh giá khi chưa
xác minh các cuộc tấn công có thực sự được tiến hành không (ví dụ hoạt động
được phát hiện không có nguồn gốc từ một kiểm thử). Trong trường hợp này,
bên thứ 3 tin cậy cung cấp một đại diện cho phía đánh giá, người quản lí, nhân
viên công nghệ thông tin và nhân viên an ninh để sắp xếp các hoạt động và tạo
kết nối thuận tiện nhất cho các bên liên quan. Phương pháp kiểm thử này hữu
ích cho việc kiểm tra các biện pháp kiểm soát an toàn về mặt kĩ thuật, nhân viên
công nghệ thông tin ứng phó với các sự cố an toàn nhận thấy được, tri thức của
nhân viên và sự thực thi của chính sách an toàn của tổ chức. Kiểm thử bí mật có
thể được thực hiện có cảnh báo hoặc không. Mục đích của kiểm thử bí mật là để
kiểm tra sự thiệt hại hoặc sự ảnh hưởng tới đối phương có thể gây ra – không tập
chung vào việc xác định các lỗ hổng. Kiểu kiểm thử này không kiểm thử mọi
biện pháp kiểm soát an toàn, xác định mỗi lỗ hổng, hoặc đánh giá toàn bộ hệ
thống bên trong một tổ chức. Kiểm thử bí mật kiểm tra tổ chức từ quan điểm đối
nghịch, và thường xác định và khai thác những lỗ hổng thô sơ nhất để đạt được
sự truy cập mạng. Nếu mục tiêu của tổ chức là để phản ánh một đối thủ cụ thể
thì kiểu kiểm thử này yêu cầu những xem xét đặc biệt, chẳng hạn như yêu cầu và
mô hình hóa dữ liệu đe dọa. Các kịch bản kết quả đưa ra một tầm nhìn chiến
lược toàn cảnh về các phương pháp tiềm năng của việc khai thác, rủi ro và ảnh
hưởng của một sự xâm nhập. Kiểm thử bí mật thường xác định ranh giới như
việc dừng kiểm thử khi đạt được một mức truy cập nào đó hoặc có thể đạt được
93
một kiểu thiệt hại nào đó như một bước tiếp theo trong kiểm thử. Việc có những
ranh giới như vậy sẽ ngăn ngừa được thiệt hại trong khi vẫn chỉ ra được thiệt hại
có thể xảy ra.
Bên cạnh nhược điểm là không xác định nhiều lỗ hổng, kiểm thử bí mật
thường tốn thời gian và chi phí vì các yêu cầu riêng của nó. Để hoạt động trong
một môi trường bí mật, nhóm kiểm thử sẽ phải thực hiện quét một cách chậm rãi
và thực hành các hành động để tránh bị phát hiện từ “các máy ra đa” của nhân
viên an ninh của tổ chức đích. Khi kiểm thử được thực hiện trong nhà thì việc
đào tạo cũng phải được xem xét về thời gian và ngân sách. Ngoài ra, một tổ
chức có thể có nhân viên đã qua đào tạo để thực hiện các hoạt động thường
xuyên như quét và đánh giá lỗ hổng nhưng không phải là các kĩ thuật được
chuyên môn hóa như kiểm thử thâm nhập hay kiểm thử an toàn ứng dụng. Kiểm
thử công khai ít tốn kém hơn và mang lại ít rủi ro hơn so với kiểm thử bí mật, và
kiểm thử công khai thường được sử dụng nhiều hơn nhưng kiểm thử bí mật lại
cung cấp một chỉ dẫn tốt hơn về tình hình an ninh hàng ngày của tổ chức đích vì
những người quản trị hệ thống sẽ không được đào tạo để nâng cao nhận thức về
các khía cạnh an toàn.
Một kiểm thử xâm nhập có thể được thiết kế để mô phỏng một tấn công
bên trong và bên ngoài. Nếu cả hai kiểm thử bên trong và bên ngoài được thực
hiện, thì kiểm tra bên ngoài thường thực hiện trước. Kiểm thử bên ngoài được
thực hiện từ bên ngoài phạm vi an toàn của tổ chức (thường là từ mạng Internet).
Điều này cho phép người kiểm thử có cái nhìn tới hệ thống mạng một cách
khách quan và xem xét được khả năng an toàn của hệ thống như một kẻ tấn công
bên ngoài.
Kiểm thử bên ngoài thường bắt đầu với các kĩ thuật trinh sát, thu thập
thông tin nhằm tìm kiếm dữ liệu đăng kí công cộng, thông tin máy chủ DNS,
đăng nhóm tin và các thông tin công khai có sẵn khác để thu thập thông tin (ví
dụ tên hệ thống, các địa chỉ giao thức mạng (IP), hệ điều hành, các điểm tiếp xúc
kĩ thuật) mà có thể giúp cho người kiểm thử xác định được các lỗ hổng. Tiếp
theo, điều tra bắt đầu bằng cách sử dụng các kỹ thuật quét và phát hiện mạng để
xác định các máy chủ bên trong và lắng nghe các dịch vụ. Vì các biện pháp
phòng thủ như tường lửa, bộ định tuyến và các danh sách kiểm soát truy cập
94
khác thường hạn chế các kiểu giao thông mạng được phép đi vào mạng bên
trong nên người đánh giá có thể phải sử dụng thêm các kĩ thuật tránh những
phòng thủ này, giống như kẻ tấn công bên ngoài. Phụ thuộc vào các giao thức
được phép đi qua, kẻ tấn công bên trong thường tập trung tới những giao thức
ứng dụng được phép và thường được sử dụng như FTP, HTTP, SMTP và POP.
Đối với các máy chủ cho phép truy cập từ bên ngoài như WebServer,
MailServer, người đánh giá thường kiểm thử các lỗ hổng trên các ứng dụng dịch
vụ hoặc hệ thống mà có thể cho phép truy cập tới các máy chủ nội bộ và thông
tin riêng tư. Kiểm thử an toàn bên ngoài cũng tập trung vào việc khám phá các
lỗ hổng phương pháp truy cập như điểm truy cập không dây, modem và các
cổng thông tin tới các máy chủ nội bộ.
Với kiểm thử bên trong, kiểm thử viên thực hiện từ mạng nội bộ và giả
định danh tính của một người nội bộ hoặc một kẻ tấn công đã xâm nhập được
vào phạm vi phòng thủ. Loại kiểm thử này có thể đưa ra các lỗ hổng mà có thể
bị lợi dụng và chứng minh những thiệt hại tiềm năng từ các tấn công nội bộ có
thể gây ra. Kiểm thử an toàn bên trong cũng tập trung vào an toàn mức hệ thống
và cấu hình, bao gồm ứng dụng và cấu hình dịch vụ, xác thực, kiểm soát truy
cập và cứng hóa hệ thống.
Người kiểm thử thực hiện các kiểm thử bên trong thường được cấp một số
mức truy cập tới mạng, thường như người sử dụng nói chung, và được cung cấp
thông tin mà người dùng với đặc quyền tương tự sẽ có. Mức truy cập tạm thời
này phụ thuộc vào mục tiêu kiểm thử và có thể tăng lên và bao gồm các đặc
quyền của người quản lí hệ thống hoặc quản lí mạng. Làm việc từ bất cứ mức
truy cập nào mà họ được cấp, người kiểm thử cố gắng đạt được quyền truy cập
bổ sung tới mạng và hệ thống thông qua hành động “leo thang đặc quyền”,
nghĩa là gia tăng đặc quyền mức người dùng tới đặc quyền mức người quản trị,
hoặc gia tăng đặc quyền người quản trị hệ thống tới đặc quyền người quản trị
miền.
Kiểm thử bên trong không bị hạn chế như kiểm thử bên ngoài vì nó diễn
ra đằng sau phạm vi phòng thủ, ngay cả khi có tường lửa, bộ định tuyến và thiết
bị chuyển mạch bên trong ở nơi đặt ra những hạn chế này. Các kĩ thuật kiểm tra
như dò mạng có thể được sử dụng ngoài các kĩ thuật kiểm thử.
95
Nếu thực hiện cả kiểm thử bên trong và bên ngoài thì kiểm thử bên ngoài
thường được diễn ra trước. Điều này đặc biệt có lợi nếu cùng những người đánh
giá thực hiện cả hai loại kiểm thử vì nó tiếp tục yêu cầu thông tin nội bộ trên
kiến trúc mạng hoặc cấu hình hệ thống mà sẽ không có sẵn cho kẻ thù, một lợi
thế mà sẽ làm giảm giá trị của kiểm thử.
Kiểm thử thường bao gồm các phương pháp phi kỹ thuật của cuộc tấn
công. Ví dụ, kiểm thử xâm nhập có thể vi phạm các điều khiển và thủ tục an
toàn vật lý để kết nối với mạng, ăn cắp thiết bị, nắm bắt thông tin nhạy cảm (có
thể bằng cách cài đặt các thiết bị theo dõi bàn phím), hoặc làm gián đoạn thông
tin liên lạc. Cần thận trọng khi thực hiện kiểm thử an toàn vật lý – Các kiểm thử
viên nên hiểu rõ vấn đề này để xác định các hoạt động kiểm thử hợp lệ, có thể
thông qua một điểm liên hệ hoặc một tài liệu. Các phương pháp phi kỹ thuật
khác của cuộc tấn công là việc sử dụng các mánh khóe xã hội như giả một người
hỗ trợ chăm sóc khách hàng và gọi điện yêu cầu mật khẩu của người dùng, hoặc
gọi điện đến trung tâm hỗ trợ với tư cách là người dùng yêu cầu một mật khẩu
để thiết lập lại. Những vấn đề về kiểm thử an toàn vật lý, các mánh khóe xã hội
và các phương pháp phi kỹ thuật khác sẽ không đề cập nhiều ở đây.
4.2.1. Các pha kiểm thử
Hình 4.1 thể hiện 4 giai đoạn của kiểm thử xâm nhập. Trong giai đoạn lập
kế hoạch, cần xác định được các luật, phê duyệt quản lý được hoàn thiện và thiết
lập các mục tiêu kiểm thử. Giai đoạn lập kế hoạch đặt nền móng cho một kiểm
thử xâm nhập thành công. Không có thử nghiệm thực tế xảy ra trong giai đoạn
này.
Hình 4.1. Bốn giai đoạn của phương pháp kiểm thử
96
Quá trình khám phá trong kiểm thử xâm nhập gồm 2 phần. Đầu tiên sẽ bắt
đầu với các kiểm thử thực tế, bao gồm thu thập thông tin và dò quét mạng. Xác
định cổng và dịch vụ mạng (được nói đến trong chương 3) được tiến hành để
xác định mục tiêu tiềm năng. Ngoài việc xác định cổng và dịch vụ, các kỹ thuật
khác được sử dụng để thu thập thông tin trên mạng mục tiêu như:
Thông tin địa chỉ IP và tên máy chủ: có thể thu thập được thông
qua nhiều phương pháp, bao gồm truy vấn DNS, truy vấn InterNIC
(WHOIS), và nghe lén mạng (thường chỉ có trong các thử nghiệm
nội bộ).
Tên nhân viên và thông tin liên hệ: có thể thu được bằng các tìm
kiếm trên các máy chủ Web hoặc máy chủ danh bạ của công ty.
Thông tin hệ thống như tên và các chia sẻ: có thể nhận được thông
qua các phương pháp như liệt kê NetBIOS (thường chỉ có trong các
thử nghiệm nội bộ) và hệ thống thông tin mạng (NIS) (thường chỉ có
trong các thử nghiệm nội bộ).
Thông tin dịch vụ và ứng dụng: như số phiên bản, có thể ghi nhận
được thông qua tiêu đề.
Trong một số trường hợp, các kỹ thuật như tìm kiếm lại các thông tin từ
thúng rác (dumpster diving) và kiểm tra vật lý toàn bộ các trang thiết bị
(physical walkthroughs) có thể được sử dụng để thu thập thêm thông tin trên
mạng mục tiêu, và cũng có thể khám phá thêm các thông tin được sử dụng trong
quá trình kiểm thử thâm nhập, chẳng hạn như mật khẩu được ghi trên giấy.
Phần thứ hai của giai đoạn khám phá là phân tích điểm yếu. Trong giai
đoạn này, các dịch vụ, ứng dụng và hệ điều hành của các máy chủ được quét sẽ
được so sánh với cơ sở dữ liệu các điểm yếu (đối với các máy quét điểm yếu,
quá trình này là tự động). Nói chung, người kiểm thử thường sử dụng cơ sở dữ
liệu của riêng họ hoặc các cơ sở dữ liệu công cộng để xác định các điểm yếu
một cách thủ công. Các phương pháp thủ công có thể xác định lỗ hổng mới hoặc
khó nhận ra mà công cụ quét tự động có thể bỏ qua, nhưng chậm hơn nhiều so
với việc sử dụng công cụ quét tự động.
97
Thực hiện một cuộc tấn công là hành động phải thực hiện khi thử nghiệm
xâm nhập. Đây là lúc kiểm tra các điểm yếu đã được xác định trước đó bằng
cách cố gắng khai thác chúng. Nếu một tấn công thực hiện thành công, thì điểm
yếu đó được xác minh và cần xác định các biện pháp bảo vệ để giảm thiểu các lỗ
hổng an toàn liên quan. Trong một vài trường hợp, các khai thác thành công
cũng không làm cho người kiểm thử có được các quyền truy cập tối đa tới hệ
thống. Thay vào đó dựa vào các kết quả thu được, người kiểm thử có thể hiểu
thêm về hệ thống mạng kiểm thử cũng như các điểm yếu tiềm năng, hoặc tạo ra
một số thay đổi trong trạng thái an toàn của mạng đích. Một số khai thác cho
phép các người kiểm thử mở rộng đặc quyền của họ trên mạng hoặc hệ thống để
đạt được quyền truy cập vào các tài nguyên bổ sung. Nếu điều này xảy ra, các
thử nghiệm và phân tích bổ sung được yêu cầu để xác định mức độ rủi ro thực
sự của mạng, chẳng hạn như các thông tin có thể được thu thập, thay đổi, hoặc
xóa khỏi hệ thống. Trong trường hợp một cuộc tấn công vào một lỗ hổng cụ thể
chứng minh là không thể, các thử nghiệm nên tập trung khai thác lỗ hổng khác
đã được phát hiện. Nếu kiểm thử viên có thể khai thác một lỗ hổng, họ có thể cài
đặt nhiều công cụ hơn trên hệ thống hoặc mạng mục tiêu để tạo thuận lợi cho
quá trình thử nghiệm. Những công cụ này được sử dụng để đạt được quyền truy
cập vào hệ thống hoặc tài nguyên bổ sung trên mạng, và có được quyền truy cập
vào thông tin về mạng, tổ chức. Kiểm tra và phân tích trên nhiều hệ thống nên
được tiến hành trong một thử nghiệm xâm nhập để xác định mức độ truy cập mà
đối phương có thể đạt được. Quá trình này được thể hiện trong các vòng lặp
phản hồi trong Hình 4.2 giữa giai đoạn tấn công và giai đoạn khám phá của một
kiểm thử xâm nhập.
98
Hình 4.2. Các bước trong giai đoạn tấn công và vòng lặp quay trở về giai đoạn
khám phá
Trong khi quét lỗ hổng chỉ kiểm tra sự tồn tại của lỗ hổng, thì giai đoạn
tấn công của một kiểm thử xâm nhập sẽ khai thác điểm yếu đó, xác nhận sự tồn
tại của nó. Hầu hết các điểm yếu được khai thác bởi kiểm thử xâm nhập và bởi
các kẻ tấn công có thể được chia thành các loại sau:
Lỗi cấu hình (misconfiguration): Thiết lập cấu hình sai, đặc biệt là
các thiết lập mặc định không an toàn, thường dễ bị khai thác.
Các lỗ hổng nhân (kernel flaw): Nhân là phần cốt lõi của hệ thống,
thực thi các mô hình bảo mật tổng thể cho các hệ thống. Bất kỳ điểm
yếu an toàn nào xảy ra trong nhân đều khiến cho toàn bộ hệ thống
gặp nguy hiểm.
Tràn bộ đệm (buffer overflow): Tràn bộ đệm xảy ra khi các chương
trình không kiểm tra đầy đủ chiều dài phù hợp cho đầu vào, thông
thường là do kết quả của việc lập trình yếu. Khi điều này xảy ra, mã
tùy ý có thể được đưa vào hệ thống và thực hiện với những đặc
quyền của chương trình chạy. Mã này thường được chạy như là
quyền root trên các hệ thống Unix và quyền SYSTEM (tương đương
quyền quản trị) trên các hệ thống Windows.
99
Thông qua đầu vào không đầy đủ (insufficient input validation):
Nhiều số ứng dụng không thể thông qua đầy đủ đầu vào mà chúng
nhận được từ người dùng. Ví dụ, một ứng dụng Web được nhúng vào
một giá trị từ người dùng trong truy vấn cơ sở dữ liệu. Nếu người
dùng nhập vào câu lệnh SQL thay thế hoặc bổ sung cho các giá trị đề
nghị, và các ứng dụng Web không lọc các lệnh SQL, truy vấn có thể
được chạy với những thay đổi nguy hiểm mà người dùng yêu cầu gây
những gì được biết đến như là một cuộc tấn công SQL injection.
Các liên kết tượng trưng (symbolic link): Một liên kết tượng trưng
là một tệp tin trỏ đến một tệp tin khác. Thông thường có các chương
trình mà có thể thay đổi quyền được cấp cho một tệp tin. Nếu các
chương trình này chạy với các quyền ưu tiên, thì một người dùng có
thể tạo ra các liên kết tượng trưng để đánh lừa các chương trình đó
sửa đổi hoặc liệt kê các tệp tin hệ thống quan trọng.
Tấn công mô tả tệp tin (file descriptor attack): Mô tả tập tin là các
số được sử dụng bởi hệ thống để theo dõi tập tin thay cho tên tập tin.
Các dạng cụ thể của mô tả tập tin có dụng ý. Khi một chương trình
đặc quyền phát hiện một mô tả tập tin không phù hợp, thì nó cho thấy
rằng tệp tin đã bị tổn thương.
Các điều kiện tranh đua (race conditions): Các điều kiện tranh đua
có thể xảy ra khi một chương trình hoặc một tiến trình đã được đưa
vào một chế độ đặc quyền, nhưng trước khi chương trình hoặc tiến
trình này bị tước bỏ chế độ đặc quyền của nó. Một người dùng có thể
sử dụng thời gian của một tấn công để tận dụng lợi thế của chương
trình hay tiến trình này trong khi nó vẫn còn trong chế độ đặc quyền.
Nếu một kẻ tấn công cố gắng làm hại các chương trình hay tiến trình
này thành công trong suốt trạng thái đặc quyền của nó, thì kẻ tấn
công đó đã giành được “cuộc đua”. Các điều kiện tranh đua phổ biến
bao gồm điều khiển tín hiệu và sự thao tác vào tệp tin lõi.
Lỗi phân quyền thư mục và tệp tin (incorrect file and directory
permissions): Các quyền tệp tin và thư mục kiểm soát các người sử
100
dụng và tiến trình truy cập vào các tệp tin và thư mục. Những quyền
phù hợp là rất quan trọng đối với tính an toàn của bất kỳ hệ thống
nào. Những quyền hạn sơ sài có thể cho phép bất kỳ một cuộc tấn
công nào xảy ra, bao gồm cả các quyền đọc hoặc viết vào file mật
khẩu hoặc việc bổ sung các máy chủ vào danh sach các máy chủ từ
xa đáng tin cậy.
Giai đoạn báo cáo xảy ra đồng thời với ba giai đoạn khác của kiểm thử
xâm nhập (Hình 4.1). Trong giai đoạn lập kế hoạch, kế hoạch đánh giá hoặc
ROE sẽ được phát triển. Trong giai đoạn khám phá và tấn công, các nhật ký
bằng văn bản thường được lưu trữ và báo cáo định kỳ cho quản trị viên hoặc
quản trị hệ thống. Vào giai đoạn cuối cùng của kiểm thử, một báo cáo được tạo
ra để mô tả lại các điểm yếu đã xác định được, mức độ rủi ro hiện tại, và đưa ra
các khuyến nghị cho việc giảm thiểu rủi ro. Vấn đề này sẽ được nói chi tiết hơn
ở chương 7.
4.2.2. Logic kiểm thử xâm nhập
Kịch bản thử nghiệm thâm nhập nên tập trung vào vị trí và mục tiêu
khiếm khuyết có thể khai thác được trong thiết kế và cài đặt một ứng dụng, hệ
thống hoặc mạng. Các thử nghiệm cần mô phỏng cả hai mẫu tấn công có khả
năng nhất và nguy hiểm nhất, bao gồm cả kịch bản trường hợp xấu nhất như các
hành động độc hại bởi quản trị viên. Khi kịch bản thử nghiệm thâm nhập có thể
được thiết kế để mô phỏng một cuộc tấn công bên trong, một cuộc tấn công bên
ngoài, hoặc cả hai, phương pháp kiểm tra an toàn từ bên ngoài và nội bộ được
xem xét. Nếu cả hai thử nghiệm nội bộ và từ bên ngoài là được thực hiện, thử
nghiệm từ bên ngoài thực hiện đầu tiên.
Các kịch bản mô phỏng kẻ tấn công từ bên ngoài, có ít hoặc không có
hiểu biết cụ thể về mục tiêu và thực hiện hoàn toàn từ những giả định. Để mô
phỏng một cuộc tấn công từ bên ngoài, người kiểm thử sẽ không được cung cấp
thông tin thực về môi trường mục tiêu ngoài địa chỉ hoặc dãy địa chỉ IP mục tiêu
và thực hiện tìm kiếm mã nguồn mở bằng cách thu thập thông tin về mục tiêu từ
các trang web công cộng, nhóm tin, và các trang web tương tự. Các công cụ quét
cổng và quét lỗ hổng sau đó được sử dụng để xác định các máy chủ mục tiêu.
101
Nếu các lưu thông của người kiểm thử đi qua tường lửa, lượng thông tin thu
được từ việc quét là ít hơn so với các thử nghiệm được thực hiện từ bên trong.
Sau khi xác định các máy chủ trên mạng mà có thể được tìm thấy từ bên ngoài,
người kiểm thử thử các truy cập tới một trong các máy chủ đó. Nếu thành công,
truy cập này có thể được dùng để xâm nhập máy chủ khác mà không phải
thường xuyên truy cập từ bên ngoài mạng. Thử nghiệm xâm nhập là một quá
trình lặp đi lặp lại mà thúc đẩy sự truy cập tối thiểu để đạt được sự truy cập
nhiều hơn.
Các kịch bản từ bên trong giả định các hành động gây nguy hại của người
bên trong. Một thử nghiệm xâm nhập nội bộ cũng tương tự thử nghiệm xâm
nhập từ bên ngoài, ngoại trừ việc thử nghiệm diễn ra bên trong tường lửa và
được cấp một số mức độ truy cập cụ thể vào mạng hoặc hệ thống. Sử dụng truy
cập này, người kiểm thử cố gắng đạt được một mức truy cập cao hơn vào các
mạng và hệ thống của mình thông qua leo thang đặc quyền. Người kiểm thử
được cung cấp thông tin mạng mà một người nào đó với mức độ truy cập của họ
thông thường sẽ có - thường là một nhân viên bình thường. Mặc dù phụ thuộc
vào các mục tiêu của các thử nghiệm nó có thể được thay thế bằng thông tin mà
quản trị mạng hoặc hệ thống có thể sở hữu.
Kiểm thử xâm nhập là rất quan trọng để xác định các lỗ hổng mạng của tổ
chức và mức độ thiệt hại có thể xảy ra nếu mạng bị xâm nhập. Điều quan trọng
là phải nhận thức rằng tùy thuộc vào chính sách của một tổ chức, thử nghiệm có
thể bị cấm sử dụng các công cụ hay kỹ thuật cụ thể hoặc có thể được hạn chế sử
dụng chúng chỉ trong thời gian nhất định trong ngày hoặc các ngày trong tuần.
Kiểm thử xâm nhập cũng gây ra các rủi ro cao tới hệ thống và mạng của tổ chức
vì nó sử dụng các khai thác và tấn công thực tế vào các hệ thống và dữ liệu. Do
chi phí cũng như tác động lớn, mỗi năm một tổ chức thực hiện kiểm thử thâm
nhập một lần là đủ. Ngoài ra, kiểm thử thâm nhập có thể được thiết kế để dừng
lại khi các thử nghiệm đạt đến một điểm khi một hành động thêm vào sẽ gây ra
thiệt hại. Các kết quả kiểm thử thâm nhập cần được xem xét một cách cẩn thận,
và bất kỳ lỗ hổng nào được phát hiện đều cần phải được giảm thiểu. Kết quả là,
khi có thể, nên được trình bày với các nhà quản lý của tổ chức để họ hiểu và biết
được tình trạng an ninh của hệ thống mạng của mình.
102
4.3.
KỸ NGHỆ XÃ HỘI
Kỹ nghệ xã hội là việc thử lừa một người nào đó tiết lộ thông tin (ví dụ
như: tài khoản đăng nhập, mật khẩu) mà có thể được sử dụng để tấn công các hệ
thống hoặc mạng. Nó được sử dụng để kiểm tra nhận thức của người dùng về
vấn đề an ninh, và có thể bộc lộ điểm yếu trong hành vi người dùng (chẳng hạn
như không tuân theo quy trình tiêu chuẩn). Kỹ nghệ xã hội có thể được thực hiện
thông qua nhiều phương tiện, bao gồm tín hiệu tương tự (ví dụ, các cuộc hội
thoại thực hiện trực tiếp hoặc qua điện thoại) và kỹ thuật số (ví dụ, e-mail, tin
nhắn tức thời,…). Một hình thức của kỹ nghệ xã hội kỹ thuật số được được biết
đến là phishing, hành động mà kẻ tấn công cố gắng để ăn cắp thông tin như số
thẻ tín dụng, số an sinh xã hội, ID và mật khẩu người dùng. Phishing sử dụng
email xác thực để yêu cầu thông tin hoặc hướng người dùng đến một trang web
giả mạo để thu thập thông tin. Ví dụ khác của kỹ nghệ xã hội kỹ thuật số bao
gồm gian lận email và gửi file đính kèm có chứa mã độc tới người sử dụng.
Kỹ nghệ xã hội có thể được sử dụng để nhắm vào cá nhân hoặc các nhóm
cụ thể trong một tổ chức, chẳng hạn như các lãnh đạo, hoặc một bộ phận mục
tiêu lớn hơn. Các mục tiêu cụ thể có thể được xác định khi tổ chức biết về mối
đe dọa hiện hữu hoặc cảm thấy mất thông tin từ một cá nhân hoặc một nhóm
người cụ thể có tác động đáng kể. Ví dụ, các tấn công lừa đảo có thể xác định
được mục tiêu dựa trên các thông tin công khai về các cá nhân cụ thể (ví dụ, tiêu
đề, lĩnh vực quan tâm). Nhắm mục tiêu cá nhân có thể dẫn đến sự ngại ngùng
cho các cá nhân liên quan nếu người kiểm thử tìm thấy thông tin hoặc đạt được
truy cập thành công. Điều quan trọng là các kết quả của thử nghiệm kỹ nghệ xã
hội được sử dụng để cải thiện an ninh của tổ chức. Người đánh giá nên đưa ra
một báo cáo cuối cùng chi tiết để xác định cả hai chiến lược được sử dụng thành
công và không thành công. Mức độ chi tiết này sẽ giúp các tổ chức điều chỉnh
chương trình đào tạo nâng cao nhận thức an ninh của họ.
4.4.
MỘT SỐ CÔNG CỤ HỖ TRỢ XÁC ĐỊNH ĐIỂM YẾU MỤC TIÊU
4.4.1. Công cụ bẻ mật khẩu
L0phtCrack
103
L0phtCrack là một công cụ kiểm toán và khôi phục mật khẩu được phát
triển bởi Mudge từ L0pht Heavy Industries. Nó được sử dụng để kiểm tra độ
mạnh của mật khẩu và đôi khi để khôi phục lại các mật khẩu đã mất trên hệ điều
hành Windows bằng phương pháp tấn công từ điển, brute force, tấn công hybrid,
tấn công rainbow. Công cụ này hỗ trợ phần lớn các hệ điều hành thông dụng như
Windows 8, Windows 10, Server 2008, Server 2012, … Có thể tải công cụ
L0phCrack về tại:
http://www.l0phtcrack.com/download.html
Hình 4.3. Công cụ bẻ mật khẩu L0phCrack
Các tính năng chính của L0phtCrack:
Kiểm tra và khôi phục mật khẩu dành cho Windows và Unix
Nhận dạng và đanh giá mức độ tổn thương của mật khẩu
Ngăn chặn được những tấn cống mật khẩu trực tuyến
Giao diện thận thiện và dễ sử dụng
Hỗ trợ nhiều nền tảng hệ điều hành Windows
John the Ripper
104
John the Ripper là một công cụ bẻ mật khẩu miễn phí. Ban đầu nó được
xây dựng cho hệ điều hành Unix, sau đó được phát triển để chạy trên 15 nền
tảng hệ điều hành khác nhau (bao gồm các phiên bản Unix, DOS, Win32, BeOS
và OpenVMS). Đây là một trong những công cụ bẻ mật khẩu phổ biến nhất vì
nó kết hợp một số lượng lớn các công cụ bẻ mật khẩu vào một gói, cũng như tự
động phát hiện kiểu hàm băm mật khẩu và cho phép các cracker có thể tùy biến
một cách phù hợp nhất. Nó có thể bẻ các mật khẩu đã mã hóa trên các phiên bản
Unix (như DES, MD5, Blowfish), Kerberos AFS và các hàm băm trên các phiên
bản hệ điều hành Windows. Ngoài ra, các module mở rộng còn có thể bẻ được
các mật khẩu được băm dưới định dạng MD4 và các mật khẩu lưu trữ trên
LDAP, MySQL và một số nơi khác. Tuy nhiên để sử dụng các tính năng thêm,
người sử dụng cần phải trả phí. Các phiên bản John the Ripper có thể tải về tại:
http://www.openwall.com/john/
Hình 4.4. Công cụ bẻ mật khẩu Join the Ripper
THC-Hydra
THC-Hydra là một công cụ giải mã, bẻ mật khẩu rất mạnh. Nó hỗ trợ nhiều
phương thức bẻ khóa cũng như nhiều giao thức hoạt động khác nhau. Hydra
hoạt động tốt trên Linux, Windows/Cygwin, Solaris 11, FreeBSD 8.1 và OSX;
đồng thời hỗ trợ bẻ khóa mật khẩu của các giao thức: AFP, Cisco AAA, Cisco
auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORMPOST, HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET,
105
HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD, HTTP-Proxy, ICQ,
IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle
SID, Oracle, PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin,
Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum, SNMP, SOCKS5, SSH (v1 và
v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC và XMPP.
Hydra là trình bẻ khóa đăng nhập song song, nghĩa là nó chạy nhiều tác vụ
cùng một lúc để quá trình bẻ khóa được nhanh hơn. Đây cũng chính là điểm đặc
biệt của công cụ bẻ mật khẩu này.
Hình 4.5.Công cụ bẻ mật khẩu THC-Hydra
Cú pháp của Hydra:
hydra [[[-l LOGIN|-L FILE] [-p PASS|-P FILE]] | [-C FILE]] [-e ns] [-o
FILE] [-t TASKS] [-M FILE [-T TASKS]] [-w TIME] [-w TIME] [-f] [-s PORT]
[-S] [server servervice [OPT]]
Trong đó:
-R: Khôi phục lại một phiên giao dịch trước
-S: Sử dụng SSL
-s [cổng]: Được sử dụng trong trường hợp nếu dịch vụ không sử dụng
cổng mặc định mà sử dụng cổng khác
-l [tên]: Sử dụng tên đăng nhập chỉ định
-L [tên file]: Đọc tên đăng nhập từ tập tin
106
-p [mật khẩu]: Sử dụng mật khẩu chỉ định
-P [tên file]: Tải mật khẩu từ tập tin
-e [n/s]: kiểm tra bổ sung - “n” để thử với mật khẩu rỗng, “s” để thử
đăng nhập với mật khẩu trùng tên đăng nhập.
-C [tên_file]: Sử dụng dấu hai chấm tách định dạng thay vì tách tập tin
để đăng nhập và mật khẩu
-M [tên_file]: Đọc tên máy chủ từ tập tin
-o [tên_file]: Tập tin đầu ra
-f: Dừng sau khi tìm thấy mật khẩu lần đầu tiên
-t [nhiệm vụ]: Chỉ định số lượng kết nối song song
-w [thời gian]: Thời gian tối đa chờ đợi để được phản hồi
-v: Chế độ verbose
–V: Hiển thị đăng nhập/ mật khẩu với mỗi lần thử
server: Địa chỉ muốn thực hiện bẻ mật khẩu
service: Dịch vụ muốn bẻ mật khẩu
OPT: Một vài module dịch vụ hỗ trợ nhập thêm
Ví dụ:
Hydra –f
http://192.168.1.10
-L login.txt –P password.txt 192.168.1.10 http-get
Medusa
Medusa có thể được sử dụng để bẻ mật khẩu theo phương pháp brute
force theo từng module. Medusa cũng hoạt động theo cơ chế song song nên nó
có thể bẻ mật khẩu một cách nhanh chóng. Medusa hỗ trợ nhiều dịch vụ và cho
phép thực hiện bẻ mật khẩu từ xa.
107
Hình 4.6. Công cụ bẻ mật khẩu Medusa
Medusa được thiết kế dựa vào các đặc điểm:
Kiểm tra song song dựa vào luồng: Có thể kiểm tra trên nhiều host,
với nhiều tên đăng nhập, mật khẩu.
Thiết kế theo module: Mỗi dịch vụ tồn tại ở dạng file (.mod) độc
lập. Do đó người sử dụng không cần chỉnh sửa đến nhân để mở
rộng danh sách các dịch vụ hỗ trợ cho việc brute force
Cú pháp của Medusa:
medusa [–h host | -H file] [-u username | -U file] [-p password] | -P file] [C file] –M module [OPT]
Trong đó:
-h: host hay địa chỉ IP
-H: file chứa tên các host
-u: tên đăng nhập
-U: file chứa tên đăng nhập
-p: mật khẩu
-P: file chứa mật khẩu
-C: file kết hợp dạng host, tên đăng nhập, mật khẩu dạng host:
username:password
108
-M: module là bắt buộc theo sau là tên các module được hỗ trợ. Để xem
tất cả các module nhập: medusa –d và để biết cách sử dụng chi tiết cho
1 module nào đó nhập: medusa –M tên_module -q
4.4.2. Công cụ kiểm thử xâm nhập
Metasploit Framework
Metasploit là một công cụ dùng để kiểm tra, tấn công và khai thác lỗ hổng
của các dịch vụ. Metasploit được xây dựng từ ngôn ngữ hướng đối tượng Perl,
với những thành phần được viết bằng C, Assembler và Python. Metasploit có thể
chạy trên hầu hết các hệ điều hành như: Windows, Linux, MacOS. Có thể
download Metasploit tại địa chỉ:
http://www.metasploit.com
Hình 4.7. Công cụ kiểm thử xâm nhập Metasploit Framework
Metasploit hỗ trợ nhiều giao diện với người dùng:
Console interface: Sử dụng các dòng lệnh để cấu hình, kiểm tra và
khai thác.
Web interface: Giao tiếp với người dùng thông qua giao diện Web
Một số các cú pháp lệnh trong Metasploit:
show exploits: Xem các module khai thác mà framework có hỗ trợ.
use exploit_name: Chọn module khai thác.
109
info exploit_name: Xem thông tin về module khai thác.
show options: Kiểm tra những tùy chọn cần cấu hình.
set: Thiết đặt cấu hình cho những tùy chọn của module. Một vài
module còn có những tùy chọn nâng cao. Có thể xem các tùy chọn
nâng cao bằng cách gõ dòng lệnh show advanceds
check: Kiểm tra lại các tùy chọn đã được thiết đặt.
show targets: Kiểm tra các mục tiêu muốn khai thác.
show payloads: Liệt kê ra những payload của module khai thác
hiện tại.
info payload_name: Xem thông tin chi tiết về payload
set PAYLOAD payload_name: Xác định tên của payload được sử
dụng.
exploit: Thực thi payload và bắt đầu tiến hành khai thác
Onesixtyone
Được đặt theo tên cổng UDP mà các dịch vụ SNMP hoạt động trên đó,
Onesixtyone là một công cụ tiến hành tấn công chuỗi liên kết theo phương pháp
brute force dựa trên thiết bị mạng hoặc bất cứ thiết bị nào chạy trên SNMP. Yêu
cầu của công cụ là một tệp tin chứa những chuỗi liên kết và một thiết bị để tấn
công brute force. Hình 4.8 thể hiện một ví dụ của onesixtyone khi đang sử dụng:
Hình 4.8. Onesixtyone
110
Cách sử dụng Onesixtyone:
onesixtyone [options] [host] [community]
Các tùy chọn (option) là :
-c [tên file]: File chứa tên cộng đồng để thử.
-i [tên file]: nhập tập tin vào máy chủ.
-o [tên file]: lấy tập tin ra.
-d: Chế độ Debug.
-w [ms]: Chờ X phút giữa các gói tin.
-q: Chế độ im lặng.
[host]: Là các máy chủ để quét nếu không chỉ định trong một tập tin.
[community]: Là chuỗi cộng đồng sử dụng, nếu không chỉ định trong một
tập tin.
TFTP brute force
BackTrack cung cấp một kịch bản Perl gọi là tftpbrute.pl để tiến hành tấn
công vét cạn TFTP. Thử tấn công vét cạn tải file từ TFTP server đôi khi rất hiệu
quả bởi vì các router của doanh nghiệp thường có hệ thống file lớn có thể được
sử dụng để lưu trữ các file cấu hình router. Tấn công vét cạn sử dụng tên máy
chủ khác nhau của router đôi khi có thể cung cấp cho người kiểm thử tệp tin cấu
hình. Tuy nhiên việc tùy biến tên tập tin TFTP sẽ mất chút thời gian. Điều này
cũng không khác biệt lắm so với việc tùy biến một tập tin password trước khi
tấn công vét cạn một đăng nhập.
Ví dụ: Tên của một router máy chủ đích là gw.lax.company.com. Chúng ta
có thể lập một danh sách tên tệp tin để tấn công vét cạn như: gw-conf, gw-laxconf, gw-lax-company-conf, gw_conf, gw_lax_conf.
Cisco Global Exploiter
Cisco Global Exploiter (cge.pl) là một kịch bản Perl cung cấp một giao
diện chung cho 14 lỗ hổng bảo mật liên quan đến Cisco, bao gồm một số tấn
công từ chối dịch vụ (DoS). Hình 4.9 hiển thị một số lỗ hổng có thể khai thác.
111
Hình 4.9. Cisco Global Exploiter
Cisco Global Exploiter rất dễ sử dụng, người sử dụng chỉ việc thực thi kịch
bản Perl và chỉ định mục tiêu và lỗ hổng bảo mật cần khai thác. Nếu công cụ có
khả năng tấn công thành công thiết bị Cisco, người sử dụng có thể được chỉ dẫn
bằng màn hình cho phép chọn điều cần làm tiếp theo. Hình 4.10 hiển thị khai
thác thành công Cisco Global Exploiter của lỗ hổng Cisco HTTP Configuartion
Arbitrary Administrative Access.
Hình 4.10. Dùng Cisco Global Exploiter khai thác
Công cụ này sẽ giúp người kiểm thử nhanh chóng tận dụng lợi thế của
một số lỗ hổng bảo mật liên quan đến thiết bị Cisco. Tuy nhiên cần lưu ý là một
số lỗ hổng trong số này có thể là lỗ hổng DoS và có thể làm cho thiết bị không
hoạt động được. Đây là điều mà một người kiểm thử không hề mong muốn, do
đó cần phải chắc chắn hiểu được những lỗ hổng đang khai thác.
112
Internet Routing Protocol Attack Suite (IRPAS)
Được viết bởi một nhóm bảo mật nổi tiếng ở Đức có tên là Phenoelit,
IRPAS tập hợp tất cả các công cụ có thể sử dụng để xen vào router, giả mạo gói
tin hoặc chiếm đoạt router dự phòng, và nó có rất nhiều tính năng có thể rất hữu
ích cho người kiểm thử như ASS.
Hình 4.11 hiển thị cấu hình HSRP của một router trước và sau khi sử dụng
HSRP. Chú ý “active router line” có nghĩa là router đã mất địa chỉ IP ảo.
Hình 4.11. Tấn công HSRP
Ping địa chỉ ảo trước và trong quá trình tấn công cho thấy rằng tình trạng
DoS đã xảy ra:
Hình 4.12. HSRP DoS
113
Có thể thực hiện các loại tấn công tương tự bằng cách sử dụng IGRP
Injector và RIP Generator trong IRPAS.
Để tiến hành thành công loại tấn công này, không cần phải sử dụng một
router khác bởi vì bất cứ một phiên bản nào của Linux để có khả năng chuyển
tiếp IP. Người kiểm thử cần chắc chắn có một số thiết bị được cấu hình để thực
hiện việc định tuyến nếu không có thể gây thiệt hại nghiêm trọng cho hệ thống
mạng.
Ettercap
Công cụ Ettercap là một trong những công cụ trong an ninh mạng. Tuy
Ettercap không trực tiếp tấn công thiết bị mạng nhưng nó rất hữu ích cho người
kiểm thử. Khả năng nghe lén mạng Ethernet được chuyển mạch là một trong
những thế mạnh của loại công cụ này. Khả năng này cho phép nghe lén gói tin
trên kết nối trực tiếp, tấn công MITM và thậm chí thay đổi đường truyền dữ liệu.
Hình 4.13. Etercap
BurpSuite
Burp Suite là một trong những công cụ hữu ích hỗ trợ kiểm thử an toàn ứng
dụng Web. Phiên bản miễn phí có sẵn trên bộ công cụ BackTrack. Phiên bản
thương mại có thể tải về tại: http://portswigger.net/burp/download.html. Một vài
tính năng thương mại không có trên bản miễn phí như: Burp Scanner,
TaskScheduler, Target Analyzer, ...
114
Hình 4.14. Burp Suite
Các tính năng chính của Burp Suite:
Proxy: Có thể sử dụng Burp Suite để làm một proxy. Mặc định Burp
Suite sử dụng cổng 8080 để chạy dịch vụ này. Khi sử dụng proxy,
người kiểm thử có thể chặn bắt và thay đổi nội dung phần tiêu đề từ
client tới ứng dụng Web. Để tính năng proxy hoạt động, cần cấu hình
sử dụng proxy trên trình duyệt Web. Người kiểm thử cũng có thể loại
bỏ các gói tin nếu không muốn các gói tin được chuyển tới đích, hoặc
chuyển hướng gói tin tới một đích khác, ….
Spider: Là một tính năng của Burp Suite được sử dụng để thu thập
thông tin về ứng dụng web như: tìm đường link mới, nội dung, …. Nó
tự động gửi các form đăng nhập (thông qua người dùng xác định đầu
vào) trong trường hợp nó tìm thấy bất kỳ và tìm kiếm những nội dung
mới từ các phản hồi. Thông tin này sau đó có thể được gửi đến Burp
Suite Scanner để thực hiện quét chi tiết về tất cả các liên kết và nội
dung được cung cấp bởi một Spider.
Scanner: Nó được sử dụng để quét các điểm yếu ứng dụng web. Có 3
loại kiểu quét là quét bị động, quét chủ động và quét theo kiểu người
dùng chỉ định. Một vài trường hợp cảnh báo sai có thể xảy ra trong quá
trình kiểm tra bởi lẽ các chương trình quét tự động thường khó có thể
cho kết quả chính xác 100%. Tính năng Burp Suite Scanner không
được tính hợp trong phiên bản miễn phí.
115
Intruder: Tính năng này có thể được sử dụng để khai thác các điểm
yếu, dò thám các ứng dụng web, thực hiện tấn công brute force, ….
Repeater: Tính năng này được sử dụng để chỉnh sửa và gửi yêu cầu
cùng một số lần và phân tích các câu trả lời trong tất cả những trường
hợp khác nhau.
Sequencer: Tính năng này được sử dụng chủ yếu để kiểm tra ngẫu
nhiên các thẻ phiên cung cấp bởi các ứng dụng web. Nó thực hiện các
bài kiểm tra bậc cao khác nhau để tìm ra kết quả.
Decoder: Tính năng này có thể được sử dụng để giải mã dữ liệu để lấy
lại hình thức ban đầu, hoặc để mã hóa và mã hóa dữ liệu.
Comparer: Tính năng này được sử dụng để thực hiện so sánh giữa hai
yêu cầu, đáp ứng hay một dạng dữ liệu khác. Tính năng này có thể hữu
ích khi so sánh các phản ứng với đầu vào khác nhau.
SQLiX
SQLiX
có
thể
tải
ở
http://www.owasp.org/index.php/Category:OWASP_SQLiX_Project, là một
công cụ quét lỗi chèn mã SQL, có thể được dùng để kiểm thử hoặc khai thác lỗi
chèn mã SQL trong các ứng dụng web. Để sử dụng công cụ này, cần biết URL
để rà soát và có thể thêm các tham số để khai thác hay sử dụng tính năng thu
thập dữ liệu nội tại để rà soát mục tiêu từ một URL gốc.
SQLiX cũng giúp người kiểm thử xác định các véc tơ chèn mã để sử dụng
như các tham chiếu HTTP, nhận dạng người dùng HTTP, hay ngay cả một
cookie. Ngoài ra, người kiểm thử có thể lựa chọn từ nhiều phương pháp chèn mã
hay đơn giản là sử dụng tất cả các phương pháp trong rà soát của chúng ta. Tùy
thuộc vào kết quả rà soát, một mô đun tấn công có thể được sử dụng sau đó để
khai thác phần mềm có lỗ hổng bảo mật và chạy các hàm riêng để tấn công nó,
bao gồm cả khả năng chạy các câu lệnh hệ thống để tấn công máy chủ trong một
số trường hợp.
Cách sử dụng SQLiX:
SQLiX.pl [Tùy chọn]
Các trường đầu vào:
116
[Tùy chọn]: Bao gồm một hay nhiều hơn những tùy chọn thông thường
sau:
-h: Hỗ trợ.
-u [URL]: URL để rà soát.
-post_content [nội dung]: Thêm nội dung vào URL và sử dụng POST
thay vì GET.
-file [tên file]: Rà soát một danh sách URI.
-crawl [URL]: Tìm kiếm một website từ thư mục gốc.
-referer: Dùng véc tơ chèn mã tham chiếu HTTP.
-agent: Dùng véc tơ chèn mã nhận dạng người dùng HTTP.
-cookie [cookie]: Dùng véc tơ chèn mã cookie.
-all: Dùng tất cả các phương pháp chèn mã.
-exploit: Khai thác ứng dụng web để thu thập thông tin phiên bản cơ sở
dữ liệu.
-function [hàm]: Khai thác ứng dụng web để chạy một hàm riêng.
-v = X: thay đổi mức độ phức tạp X là 0, 2, hay 5 tùy thuộc vào tính
phức tạp.
Đầu ra:
Rà soát URL mục tiêu để phát hiện lỗi chèn mã SQL và tùy chọn giúp
người kiểm thử khai thác bất cứ lỗ hổng nào được phát hiện.
Ví dụ sử dụng SQLiX để dò quét ứng dụng Web:
Hình 4.15. Quét bằng SQLiX
117
sqlmap
Một công cụ rất hữu ích khác để rà soát lỗ hổng SQL Injeciton là sqlmap.
Sqlmap có thể tải tại http://sqlmap.sourceforge.net/, có rất nhiều tính năng tương
tự SQLiX cũng như thêm một số tính năng rà soát và khai thác. Tùy chọn cho
sqlmap rất nhiều nhưng một rà soát cơ bản có thể chạy bằng dòng lệnh
sqlmap.py -u [URL]. Dòng lệnh này sẽ rà soát URL được xác định và phát hiện
nếu có lỗ hổng chèn mã SQL.
Nếu ứng dụng web bị phát hiện là có lỗ hổng bảo mật, sqlmap có một chuỗi
lớn các khai thác bao gồm liệt kê cơ sở dữ liệu, xóa dữ liệu từ cơ sở dữ liệu
(CSDL), chạy lệnh SQL theo lựa chọn, chạy lệnh từ xa, hay ngay cả xâm nhập
từ xa. Nó cũng có tính năng liên kết vào Shell Metasploit và mở Shell
Meterpreter.
Công cụ mạnh mẽ này có thể sử dụng tấn công CSDL chủ và có thể nhanh
chóng xác định và khai thác các lỗ hổng.
Ví dụ sử dụng sqlmap để quét lỗ hổng SQL Injection:
Hình 4.16. Sử dụng sqlmap quét lỗ hổng SQL Injection
Kết quả thu được:
118
Hình 4.17. Kết quả thu được từ sqlmap
DirBuster
DirBuster
có
tại
http://www.owasp.org/index.php/Category:OWASP_DirBuster_Project, là một
công cụ hỗ trợ quét các thư mục liên kết trên trang Web sử dụng phương pháp
vét cạn. Ngoài ra, công cụ này cũng cho phép tìm kiếm các lỗ hổng bảo mật trên
ứng dụng Web, đặc biệt là với với những thư mục ẩn mà không có đường dẫn.
Để sử dụng DirBuster, chỉ cần cài đặt java và thực thi file .jar. Phần mềm
sẽ hiển thị một giao diện để người kiểm thử có thể nhập thông tin chi tiết về
trang Web muốn dò quét: địa chỉ Website, số thread sử dụng dò quét, file chứa
tên thư mục và một số chi tiết dò quét khác. Quan trọng nhất là file chứa tên thư
mục vì nó sẽ ảnh hưởng đến độ chính xác và thời gian rà soát. DirBuster có sẵn
một số file nằm trong các thư mục thông thường. Khoảng từ file nhỏ với 87.000
mục đến một danh sách lớn với 1.273.819 mục. Với khoảng này, đa số các thư
mục ẩn có thể được định vị trong một trang web. Hình 4.18 thể hiện công cụ lúc
hoạt động.
119
Hình 4.18. DirBuster
4.5.
TỔNG KẾT
Mỗi kỹ thuật đánh giá an toàn hệ thống thông tin để xác định điểm yếu
mục tiêu đều có điểm mạnh và điểm yếu riêng. Bảng dưới đây sẽ tóm tắt lại các
kỹ thuật được trình bày trong chương này:
Bảng 8: Các kỹ thuật xác định điểm yếu mục tiêu
Tính năng
Kỹ thuật
Bẻ mật khẩu
Xác định các mật khẩu yếu và mức độ an ninh của
các chính sách mật khẩu
Thực hiện các phương pháp và công cụ kiểm thử để
xâm nhập tới hệ thống mạng mục tiêu giống như
một kẻ tấn công
Kiểm thử xâm nhập
Xác nhận các điểm yếu (có thể phát hiện ra từ bước
dò quét lỗ hổng bảo mật, nhưng ở bước trên chưa
hẳn đã có được thông tin chính xác)
Minh chứng làm thế nào các lỗ hổng có thể bị khai
thác và bị leo thang đặc quyền
Kỹ nghệ xã hội
Cho phép kiểm tra cả các thủ tục lẫn yếu tố con
người (nhận thức của người sử dụng về vấn đề an
toàn)
120
Khi thực hiện đánh giá, để chắc chắn rằng các hoạt động đánh giá là được
thực hiện một cách an toàn và chính xác thì người đánh giá cần phải có những
kỹ năng nhất định. Bảng dưới đây cung cấp những gợi ý về các kỹ năng tối thiểu
cần thiết cho mỗi kỹ thuật được nhắc đến trong chương này:
Bảng 9: Kiến thức và kỹ năng cần thiết cho xác định điểm yếu mục tiêu
Kỹ thuật
Bẻ mật khẩu
Các kỹ năng cơ bản
Có kiến thức về các thành phần mật khẩu, vấn đề
lưu trữ mật khẩu trên các hệ điều hành khác nhau;
Có khả năng sử dụng các công cụ bẻ mật khẩu tự
động.
Có kiến thức chuyên sâu về mạng, hệ thống, cơ sở
dữ liệu, web, mạng không dây;
Kiểm thử xâm nhập
Kỹ nghệ xã hội
Có kiến thức chuyên sâu về các lỗ hổng và cách
thức khai thác lỗ hổng trên mạng, hệ điều hành,
ứng dụng web.
Có khả năng gây ảnh hưởng và thuyết phục mọi
người;
Có thể giữ được bình tĩnh dù phải chịu áp lực.
4.6.
BÀI TẬP
1. Thực hành một số phương pháp bẻ mật khẩu: Tấn công từ điển, tấn
công hybrid, tấn công brute force.
2. Thực hành kiểm thử an toàn tường lửa.
3. Thực hành kiểm thử an toàn hệ điều hành windows.
4. Thực hành kiểm thử an toàn hệ điều hành linux.
5. Thực hành kiểm thử an toàn ứng dụng web.
6. Thực hành kiểm thử an toàn mạng không dây.
7. Thực hành đánh giá áp dụng kỹ nghệ xã hội.
121
Chương 5
LẬP KẾ HOẠCH ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG
TIN
Lên kế hoạch hợp lý là một yếu tố quan trọng để đánh giá an toàn hệ
thống thông tin một cách hiệu quả. Phần này sẽ cung cấp phương pháp cho việc
tạo chính sách đánh giá, ưu tiên và lập lịch đánh giá, lựa chọn cách tiếp cận đánh
giá thích hợp, và giải quyết những vấn đề “hậu cần”. Phần này cũng cung cấp
những khuyến nghị cho việc phát triển kế hoạch đánh giá và đưa ra các cân nhắc
pháp lý liên quan khi thực hiện đánh giá.
5.1.
XÂY DỰNG CHÍNH SÁCH ĐÁNH GIÁ AN NINH
Xây dựng chính sách đánh giá an ninh là công việc cần thiết để cung cấp
các chỉ dẫn cho việc đánh giá. Chính sách này xác định các yêu cầu đánh giá và
quy định trách nhiệm cho các cá nhân để đảm bảo việc đánh giá được thực hiện
theo yêu cầu. Chính sách cần chỉ ra được:
Các yêu cầu của tổ chức muốn đánh giá.
Vai trò và trách nhiệm của các đối tượng tham gia đánh giá (cho
các cá nhân có liên quan hoặc cho tổ chức thực hiện đánh giá).
Tuân thủ các phương pháp được thiết lập.
Đánh giá thường xuyên.
Yêu cầu tài liệu (như kế hoạch đánh giá và kết quả đánh giá).
Sau khi đề xuất và được phê duyệt bởi các lãnh đạo có thẩm quyền, chính
sách cần phải được phổ biến tới những người quản lý trong tổ chức – bao gồm
người quản lý thông tin (CIO), người quản lý an ninh thông tin (CISO), và
người quản lý công nghệ (CTO). Bộ phận quản lý cần truyền đạt chính sách tới
các bên thứ 3 để tiến hành đánh giá. Các chính sách này nên có phần đánh giá
định kỳ hàng năm, ít nhất 1 lần và bất kỳ khi nào có các yêu cầu mới liên quan
đến đánh giá. Những xét duyệt này sẽ xác định có nên tiếp tục thực thi chính
sách nữa không, giải quyết những thay đổi cần thiết và cung cấp cơ hội để tổng
kết các bài học kinh nghiệm.
122
5.2.
XÁC ĐỊNH CÁC ƯU TIÊN VÀ QUY TRÌNH
Như là một phần của kế hoạch, vấn đề ưu tiên và theo 1 quy trình cụ thể
cần được đặt ra. Các tổ chức sẽ quyết định hệ thống nào cần ưu tiên đánh giá
trước và thời gian yêu cầu cho việc thực hiện việc đánh giá. Việc ưu tiên sẽ dựa
vào phân loại hệ thống, các lợi ích dự kiến, yêu cầu kế hoạch và quy định áp
dụng trong tổ chức. Thời điểm tốt nhất để bắt đầu đánh giá là định lượng phân
loại hệ thống và các yêu cầu liên quan đến đánh giá an toàn thông tin. Ở đây,
việc đánh giá định lượng tỉ lệ với tác động của hệ thống (ví dụ: thấp, trung bình
và cao) và trạng thái đánh giá an ninh là cần thiết để xác định quy trình.
Tùy vào yêu cầu của mỗi tổ chức sẽ đề ra lịch trình đánh giá để kiểm
chứng sự phù hợp của chính sách cụ thể. Ví dụ, FISMA yêu cầu kiểm tra định
kỳ tùy thuộc vào rủi ro, mỗi năm 1 lần. Việc đánh giá nhằm mục đích đưa ra
một cái nhìn tổng thể về an toàn của tổ chức tại thời điểm đánh giá, nên tổ chức
có thể lựa chọn việc đánh giá thường xuyên hơn.
Những xem xét quan trọng về mặt kỹ thuật có thể giúp xác định tần suất
kiểm thử. Ví dụ, nếu hệ thống nghi ngờ có một vài điểm yếu, việc kiểm thử có
thể tiến hành sớm hơn để khẳng định sự có mặt của điểm yếu đó, hoặc chờ cho
đến khi điểm yếu được khắc phục thì sẽ khẳng định đã giải quyết được các điểm
yếu. Thời gian sử dụng phụ thuộc vào đối tượng kiểm thử. Một xem xét khác là
liệu hệ thống hay hoạt động mạng nào được kiểm thử có thể ảnh hưởng đến
chức năng và an toàn của môi trường, ví dụ, nếu tiến hành cập nhật có chức
năng quan trọng, việc kiểm thử có thể bị hoãn lại cho tới khi việc cập nhật hoàn
tất.
Một ví dụ khác về các xem xét kỹ thuật là khi tổ chức muốn xác định các
thiết bị giả mạo trên mạng. Việc này có thể được thực hiện bằng việc sử dụng
một hoặc nhiều các kỹ thuật, như là quét chủ động hoặc lắng nghe bị động để
biết được cấu trúc của mạng, hoặc xem các dữ liệu được thu thập bằng các phần
mềm quản lý mạng, các cảm biến phát hiện xâm nhập mạng hoặc các thiết bị
khác có thể giám sát hoạt động mạng thường xuyên. Nếu các thiết bị giám sát
này có thể đưa ra cảnh báo kịp thời, thì các thiết bị giả mạo đó sẽ bị phát hiện ở
123
trên mạng. Như vậy sẽ không cần phải thực hiện kiểm thử thường xuyên bởi vì
hiệu lực kiểm thử vẫn còn tác dụng.
Việc xem xét khả năng sẵn sàng của tài nguyên cũng rất cần thiết. Tài
nguyên cần được xác định đầu tiên cho hệ thống ưu tiên cao, sau đó thực hiện
trong hệ thống ưu tiên thấp với tần suất thấp hơn và giảm dần. Nếu xuất hiện
vấn đề giữa việc yêu cầu và đáp ứng tài nguyên, cần phân phối các tài nguyên
thay thế hoặc cân nhắc giảm thiểu phạm vi của kế hoạch đánh giá. Các ví dụ về
yêu tố phạm vi có liên quan bao gồm:
Kích thước của vật được đánh giá, về mặt thành phần (ví dụ, cơ sở
dữ liệu đơn, tất cả hệ thống người dùng, hoặc kiến trúc thực thể) và
kích thước mạng (ví dụ, LAN hoặc WAN, số lượng vị trí mạng mà
kiểm thử viên sẽ truy cập vật lý vào đó để thực hiện việc kiểm thử.
Sự phức tạp của vật được đánh giá. Các môi trường không đồng nhất
thường yêu cầu số lượng tài nguyên lớn bởi vì nhiều bộ kỹ năng và
công cụ khác nhau được yêu cầu.
Tính khả thi của việc sử dụng các đánh giá mẫu, với kích thước mẫu
và các thành phần mẫu. Ví dụ, quét cổng của một số lượng nhỏ các
máy chủ mẫu có hiệu quả hơn quét hàng nghìn máy, đặc biệt nếu
máy chủ đó được quản lý và cấu hình tương tự nhau.
Mức độ của tài nguyên cần được kiến hành kiểm thử đặc biệt. ví dụ,
có thể mất hàng giờ để đánh giá viên có kinh nghiệm xét duyệt tài
liệu an toàn an ninh đầy đủ của hệ thống.
Mức độ tương tác giữa các đối tượng cũng cần tính toán. Ví dụ nếu
đánh giá viên phải cùng làm việc với nhân viên CNTT, có thể các
nhân viên CNTT sẽ có thêm các kiến thức nhưng sẽ làm tăng thời
gian đánh giá hơn so với việc đánh giá viên làm việc độc lập.
5.3.
LỰA CHỌN VÀ XÁC ĐỊNH KỸ THUẬT ĐÁNH GIÁ
Có nhiều yếu tố để xem xét khi nào xác định kỹ thuật kiểm thử và kiểm
tra nên được sử dụng cho một đánh giá cụ thể. Trước hết cần xác định các đối
tượng đánh giá, như là tập trung vào kiểm chứng sự tuân thủ với một nhiệm vụ
124
đặc biệt, kiểm tra an toàn của hệ thống như một phần của hoạt động kiểm định
và cấp chứng nhận, xác định các lỗ hổng có thể bị khai thác trong hệ thống và
đánh giá hệ thống phát hiện xâm nhập và các liên quan đến xử lý hiệu năng quy
trình. Tiếp theo, cần lựa chọn các lớp kỹ thuật (ví dụ, xem xét, định danh đích và
phân tích, xác nhận lỗ hông) được sử dụng để thu thập thông tin hỗ trợ cho các
đối tượng đó, và các kỹ thuật đặc biệt trong các lớp được lựa chọn. Đối với một
số kỹ thuật kiểm thử, tổ chức có thể xác định quan điểm của đánh giá viên (ví
dụ: bên trong hay bên ngoài, bí mật hay công khai) và lựa chọn các kỹ thuật liên
quan.
Trong hầu hết các trường hợp, có nhiều hơn 1 kỹ thuật được sử dụng để
xác định đối tượng đánh giá nên cần phải xem xét xem công nghệ được sử dụng
tốt nhất cho mỗi trường hợp. Như đã đề cập ở trên, một xem xét quan trọng là
các tài nguyên – một số kỹ thuật về căn bản đòi hỏi hơn các kỹ thuât khác bởi do
loại công cụ được yêu cầu và số lượng giờ làm việc của nhân viên cần nhiều
hơn. Một số kỹ thuật có thể mất nhiều thời gian để thực hiện – nếu chỉ có một
khoảng thời gian ngắn để thực hiện đánh giá, thì phạm vi và kỹ thuật đòi hỏi tài
nguyên cần phải giảm bớt như thực hiện việc quét lỗ hổng hơn việc kiểm thử
xâm nhập. Các kỹ năng là một yếu tố quan trọng trong lựa chọn kỹ thuật – ví dụ,
tổ chức có thể không có người đánh giá với kỹ năng thích hợp để sử dụng các kỹ
thuật đặc biệt.
Cần cân nhắc rủi ro cẩn thận khi lựa chọn kỹ thuật đánh giá. Một số kỹ
thuật như kiểm thử xâm nhập, có thể dẫn đến việc mất tính sẵn sàng của hệ
thống hoặc bộc lộ những dữ liệu nhạy cảm. Trong một số các trường hợp, cần
xem xét liệu việc đánh giá có nên tiến hành trên hệ thống sản xuất hay hệ thống
không sản xuất có cấu hình tương tự, nếu hệ thống thay thế sẵn sàng hoặc giới
hạn việc sử dụng các kỹ thuật trong thời gian cao điểm để giảm thiểu ảnh hưởng
tới hệ điều hành mức thấp nhất. Các yếu tố để đánh giá khi thực hiện các quyết
định bao gồm:
Các ảnh hưởng có thể xảy ra với hệ thống sản xuất. Ví dụ, nếu kỹ
thuật kiểm thử đặc biệt là nguyên nhân gây ra từ chối dịch vụ, nó
cần phải được cân nhắc sử dụng cho hệ thống không sản xuất.
125
Các thông tin xác thực cá nhân nhạy cảm (PII). Nếu việc kiểm thử
có thể khai thác PII nhạy cảm như số bảo hiểm xã hội (SSN) hoặc
thông tin thẻ tín dụng tới các cá nhân không được xác thực để có
thể truy cập, tổ chức cần cân nhắc hiệu suất của việc kiểm thử trên
hệ thống không sản xuất với các phiên bản lỗi của PII (ví dụ, dữ
liệu kiểm thử thay thế cho PII thực tế)
Hệ thống sản xuất và không sản xuất có thể được cấu hình tương tự
nhau như thế nào. Trong thực thế, có thể xuất hiện các mâu thuẫn
giữa môi trường kiểm thử và môi trường sản xuất, có thể là nguyên
nhân bỏ lỡ các lỗ hổng nếu hệ thống không sản xuất được sử dụng.
Các kỹ thuật kết hợp thường được sử dụng để có thể có được một kết quả
đánh giá an toàn hơn trong khi vẫn duy trì được mức độ rủi ro chấp nhận được
đối với hệ thống mạng. Ngoài ra, các kỹ thuật phi công nghệ có thể được sử
dụng thay thế hoặc bổ sung cho các kỹ thuật công nghệ, nhiều đánh giá sử dụng
cả 2 loại kỹ thuật này.
Ví dụ dưới đây chỉ ra các kỹ thuật công nghệ có thể bổ sung cho nhau như
thế nào và việc lựa chọn kỹ thuật có thể liên quan đến rủi ro. Mỗi trường hợp khi
thực hiện là khác nhau, các tổ chức có thể đánh giá các yêu cầu và đối tượng của
mỗi quá trình đánh giá khi xác định các kỹ thuật kết hợp phù hợp:
Xác định điểm yếu công nghệ trong kiến trúc và cấu hình an toàn của
hệ thống trong khi giảm thiểu rủi ro từ chính việc đánh giá.
Bước 1: Xét duyệt tài liệu: Xác định điểm yếu của chính sách, điểm
yêu của thủ tục và thiếu xót về kiến trúc an toàn thông tin.
Bước 2: Xét duyệt cấu hình an toàn thông tin và tập luật: Xác định
việc sai lệch từ chính sách an toàn của tổ chức trong khuôn khổ của
kiến trúc an toàn mạng của hệ thống và những thiếu xót an toàn hệ
thống.
Bước 3: Quét thiết bị không dây: Xác định các thiết bị không dây
trong trạng thái của hệ thống và các điểm yếu kiến trúc an toàn bổ
sung liên quan đến mạng không dây sử dụng trong hệ thống.
126
Bước 4: Quét các lỗ hổng và kiến trúc mạng: Xác định tất cả các
máy chủ, máy trạm đang hoạt động trong hệ thống và các lỗ hổng
trên các máy chủ, máy trạm đó.
Xác định và công nhận các điểm yếu kỹ thuật trong kiến trúc và cấu
hình an toàn của hệ thống – việc công nhận sẽ bao gồm các nỗ lực để
khai thác các lỗ hổng được lựa chọn.
Bước 1: Xem xét tập luật và cấu hình an toàn: Xác định độ sai lệch
từ chính sách an toàn của tổ chức trong các khuôn dạng kiến trúc an
toàn mạng hệ thống và những thiếu xót về thủ tục an toàn hệ thống.
Bước 2: Phát hiện mạng và quét lỗ hổng: Xác định tất cả các máy
đang hoạt động trong hệ thống và các lỗ hổng trên các máy đó.
Bước 3: Thực hiện kiểm thử xâm nhập với kỹ nghệ xã hội: Kiểm tra
để có thể khẳng định các lỗ hổng trong hệ thống.
Xác định và công nhận các điểm yếu kỹ thuật trong kiến trúc an toàn
và cấu hình an toàn của hệ thống từ quan điểm của kẻ tấn công ngoài
hệ thống – việc công nhận sẽ gồm các nỗ lực khai thác một vài hoặc tất
cả các lỗ hổng. Đánh giá khả năng của các tấn công tới hệ thống.
Bước 1: Kiểm thử xâm nhập bên ngoài: Thực hiện phát hiện các
mạng bên ngoài, quét cổng, quét lỗ hổng và các tấn công để xác
định và công nhận các lỗ hổng hệ thống.
Bước 2: Xem xét nhật ký: Xem xét các nhật ký thống kê của kiểm
soát an toàn cho hệ thống để xác định ảnh hưởng trong việc thu
thập dữ liệu liên quan đến các hoạt động kiểm thử xâm nhập bên
ngoài.
5.4. CÁC VẤN ĐỀ LIÊN QUAN TỚI CHUẨN BỊ (HẬU CẦN) ĐÁNH
GIÁ
Giải quyết hậu cần đánh giá bao gồm việc xác định tất cả các tài nguyên
được yêu cầu cho thực hiện đánh giá, môi trường cho kiểm thử và công cụ phần
cứng, phần mềm yêu cầu cho kiểm thử.
127
Việc xác định yêu cầu hậu cần đánh giá rất quan trọng cho mỗi lần kiểm
thử trong giai đoạn lập kế hoạch. Phụ thuộc vào phạm vi và môi trường, các
kiểm thử riêng lẻ có thể có các yêu cầu hậu cần bổ sung như đề xuất yêu cầu cho
mỗi đội kiểm thử bên ngoài, trao đổi thiết bị để thuận tiện cho việc kiểm thử và
lập kế hoạch cho vận chuyển đường dài hoặc nội bộ. Điều này cần phải giải
quyết dựa trên các trường hợp cụ thể trong quá trình lập kế hoạch.
5.4.1. Lựa chọn đánh giá viên
Lựa chọn đánh giá viên để thực hiện kiểm thử cũng rất quan trọng đối với
các tổ chức đánh giá bởi vì với đánh giá viên có kinh nghiệm, có kỹ thuật và
chuyên môn sẽ giảm thiểu các rủi ro liên quan trong tiến hành kiểm thử an toàn.
Trong quá trình đánh giá, đánh giá viên có thể yêu cầu truy cập tới các thông tin
nhạy cảm trong hệ thống mạng, hoặc yêu cầu được cung cấp kiến trúc hệ thống,
các nền tảng an ninh thông tin liên quan. Nếu các đánh giá viên không có kinh
nghiệm xử lý sau khi thực hiện đánh giá, họ có thể tạo ra các lỗ hổng khác để kẻ
tấn công lợi dụng theo đó mà thực hiện truy cập vào hệ thống mạng.
Nhiều tổ chức xây dựng riêng cho mình đội ngũ đánh giá an toàn thông
tin, chuyên thực hiện các đánh giá trong nội bộ. Phụ thuộc vào kiến trúc, kích
thước, vị trí và tài nguyên có sẵn của tổ chức, các đội có thể được chia ra theo vị
trí địa lý hoặc tập trung và phát triển các khu vực khác nhau để tiến hành đánh
giá. Một vài đội thực hiện năng lực chuyên môn đặc biệt như kiểm thử an toàn
mạng không dây, trong khi các đội khác có thể giải quyết nhiều lĩnh vực trong
an toàn hệ thống với mức bảo mật sâu. Vi dụ, một đội có một số thành viên có
khả năng xem xét cấu hình hệ thống, một số thành viên khác có khả năng khai
thác các lỗ hổng để chỉ ra các biện pháp an ninh không hiệu quả.
Đánh giá viên phải có kiến thức chuyên môn tốt về an ninh bảo mật và
mạng máy tính, bao gồm an toàn mạng, tường lửa, hệ thống phát hiện xâm nhập,
hệ điều hành, lập trình và các giao thức mạng (như TCP/IP). Tuy nhiên, kinh
nghiệm thực tế là cần thiết hơn so với chỉ kinh nghiệm có được trong quá trình
học tập hoặc thử nghiệm trong phòng thí nghiệm.
Nếu đánh giá viên không có kinh nghiệm và chưa qua đào tạo thực hiện
kiểm thử có thể dẫn đến những ảnh hưởng tiêu cực tới hệ thống và mạng của tổ
128
chức, làm ảnh hưởng cũng như tổn hại đến uy tính của cơ quan đánh giá. Ngoài
ra, cần phải có một người trong đội đánh giá có kỹ năng tổng hợp kỹ thuật tốt, sẽ
giúp truyền tải các kết quả của việc đánh giá hiệu quả hơn, đặc biệt là đối với
những khách hàng và người dùng có ít kinh nghiệm về kỹ thuật.
Khi việc đánh giá được thực hiện bởi một nhóm đánh giá, trưởng nhóm là
người có trách nhiệm tìm hiểu các yêu cầu đánh giá, tổ chức đánh giá và phân
công nhiệm vụ cho các thành viên trong nhóm. Các lựa chọn này phụ thuộc vào
trình độ cũng như sự hiểu biết của trưởng nhóm về các kỹ năng của các thành
viên, về các tài nguyên sẽ được đánh giá. Ngoài ra, trưởng nhóm cũng cần có
các kỹ năng mềm như giao tiếp, tổ chức, lập kế hoạch và giải quyết xung đột.
Các kỹ năng của các thành viên trong một đội đánh giá cần phải được cân
bằng để có thể cung cấp một cái nhìn đầy đủ về vấn đề an ninh của tổ chức. Ví
dụ, một người có chuyên môn về bảo vệ vòng ngoài là rất cần thiết, nhưng sẽ là
dư thừa khi ở trong một nhóm gồm toàn các thành viên chuyên về lĩnh vực này
trừ khi đánh giá đó chỉ tập trung duy nhất vào việc xác định các thế trận bảo vệ
cho vành đai. Lý tưởng nhất, một đội sẽ được hình thành dựa trên các yêu cầu
của việc đánh giá và kiểm thử. Các đặc trưng của hệ thống cũng rất quan trọng,
ví dụ, hệ thống điều khiển giám sát và thu thập dữ liệu (SCADA) có các thành
phần đặc biệt mà nhiều đánh giá viên truyền thống không tiếp cận được, làm
giảm khả năng của đánh giá viên để kiểm thử an toàn và đầy đủ độ an ninh của
hệ thống này.
Trong trường hợp này, có thể cần một hoặc nhiều các chuyên gia cố vấn
(SME) để tăng cường cho các đánh giá viên. SME có thể là những người kiểm
thử an ninh và các chuyên gia hệ thống có kinh nghiệm, hay có thể có kỹ năng
chỉ trong việc kiểm thử hệ thống. Các SME cần được cung cấp các thông tin liên
quan tới mục đích, đối tượng, cách tiếp cận và quy trình đánh giá để họ có thể
thực hiện được các nhiệm vụ của mình.
Đánh giá viên cần biết về các kỹ thuật, công nghệ mới mà một kẻ tấn
công có thể sử dụng để thực hiện xâm nhập. Do vậy, đánh giá viên cần phải
thường xuyên cập nhật kiến thức, phương thức cũng như các công cụ phục vụ
cho việc đánh giá. Ví dụ, tham gia vào các khóa đào tạo công nghệ, thực hiện
129
kiểm thử trong môi trường thử nghiệp, nghiên cứu các lỗ hổng mới là một số các
hoạt động mà đánh giá viên cần tham gia thường xuyên. Đánh giá viên cũng cần
thực hiện kiểm thử kỹ thuật trong môi trường hoạt động để duy trì và nâng cao
kỹ năng của họ.
Trách nhiệm của đánh giá viên gồm:
Thông báo cho các bên liên quan – như nhân viên an ninh, quản lý,
quản trị hệ thống và người dùng – về các hoạt động đánh giá an
toàn an ninh.
Phát triển xây dựng kế hoạch đánh giá với những người quản trị hệ
thống, các nhân viên an toàn an ninh hệ thống thông tin (ISSO) và
các CISO.
Thực thi việc kiểm tra và kiểm thử, thu thập các dữ liệu liên quan.
Phân tích các dữ liệu được thu thập và phát triển các khuyến nghị
giản lược.
Thực hiện các kiểm tra và kiểm thử bổ sung khi cần thiết để xác
nhận các hoạt động giản lược.
Trong một số trường hợp, cần thêm sự tham gia của bên thứ ba (ví dụ:
kiểm toán viên, các nhân viên hỗ trợ đấu thầu,…) để việc đánh giá có một cái
nhìn độc lập và các tiếp cận độc lập với đánh giá viên nội bộ. Một số tổ chức
thuê bên thứ 3 để cung cấp các chuyên gia có trình độ chuyên môn cao mà tổ
chức không có. Mặc dù cần phải có cái nhìn tổng thể đối với vấn đề an ninh từ
bên ngoài, nhưng khi tạo điều kiện cho những đánh giá viên từ bên ngoài được
phép truy cập vào hệ thống có thể phát sinh thêm rủi ro. Khi thuê các đánh giá
viên bên ngoài, cần phải xem xét cẩn thận để đảm bảo rằng họ có những kỹ
năng, kinh nghiệm cần thiết và cả việc yêu cầu bồi thường thiệt hại nếu có xảy
ra vấn đề liên quan trong quá trình đánh giá. Các đánh giá viên bên ngoài cũng
cần phải hiểu biết và tuân tủ các chính sách bảo mật của tổ chức khi thực hiện
đánh giá.
Trách nhiệm của đánh giá viên bên ngoài:
130
Phối hợp và trao đổi các vấn đề liên quan với tổ chức được đánh
giá.
Đảm bảo các quyền được gán và duy trì các bản sao được ký duyệt
của kế hoạch đánh giá để đảm bảo tất cả các cập nhật đều được ghi
lại.
Ký kết và tuân thủ các thỏa thuận về không tiết lộ thông tin bí mật
của tổ chức.
Bảo vệ dữ liệu theo quy định của tổ chức, bao gồm việc xử lý,
truyền nhận, lưu trữ và xóa tất cả các dữ liệu thu thập được cũng
như các báo cáo kết quả.
5.4.2. Lựa chọn vị trí
Các đánh giá viên có thể làm việc ở các môi trường khác nhau tùy thuộc
vào phương pháp mà họ sử dụng. Khi thực hiện kiểm thử, đánh giá viên có thể
làm việc tại chỗ hoặc từ xa, với kiểm thử trực tiếp (tại chỗ) được cho là kiểm thử
thực hiện ngay tại vị trí của tổ chức. Tuy nhiên, việc thực hiện kiểm thử từ xa có
thể thực hiện được nhiều vấn đề thực tế hơn (ví dụ như khi áp dụng phương
pháp kiểm thử hộp đen). Khi thực hiện kiểm tra, đánh giá viên thường làm việc
trực tiếp. Khi đó họ có thể dễ dàng truy cập vào các tài liệu an toàn an ninh, nhật
ký và các tài liệu quan trọng của tổ chức. Với các đánh giá được thực hiện bởi
bên thứ 3, tổ chức có thể cần phải xác định mức độ truy cập vật lý phù hợp (ví
dụ như: không giới hạn, hoặc bị giám sát). Với các đánh giá kỹ thuật được thực
hiện từ bên trong hệ thống mạng, như xem xét cấu hình an ninh và dò quét lỗ
hổng, đánh giá viên có thể truy cập vào mạng nội bộ, thông qua mạng riêng ảo
được mã hóa (VPN) hoặc thông qua một kết nối chuyên dụng từ một môi trường
tin cậy.
Đánh giá viên có thể yêu cầu các mức độ truy cập khác nhau tới mạng
phụ thuộc vào công cụ mà họ sử dụng. Một vài công cụ yêu cầu các đặc quyền
ưu tiên của quản trị mạng hoặc quản trị miền. Trong trường hợp này, tổ chức có
thể tạo tài khoản quản trị mới để phục vụ cho quá trình đánh giá. Mỗi đánh giá
viên sẽ được cấp một tài khoản riêng của họ. Riêng đối với tài khoản quản trị thì
không nên chia sẻ với bất kỳ lý do nào. Việc này cho phép tổ chức có thể giám
131
sát các tài khoản đó để có thể vô hiệu hóa hoặc xóa bỏ khi kết thúc quá trình
đánh giá.
Việc đánh giá kỹ thuật có thể được thực hiện từ bên ngoài phạm vi mạng
của tổ chức theo một số kịch bản. Hệ thống của phía đánh giá có thể kết nối trực
tiếp với một thiết bị ngoại vi (như router biên) để duy trì kết nối của đánh giá
viên với các vòng biên vật lý và logic của tổ chức. Tuy nhiên sử dụng vị trí này
không đưa ra một đánh giá đúng về các vấn đề an ninh của tổ chức từ góc nhìn
của kẻ tấn công. Kiểm thử bên ngoài có thể được thực hiện từ một phòng thí
nhiệm với kết nối internet độc lập với hệ thống mạng của tổ chức được kiểm thử
(ví dụ, các đánh giá viên bên thứ 3 tiến hành kiểm thử từ cơ sở của họ)
Các tổ chức thực hiện kiểm thử từ xa cũng có thể lựa chọn thuê một máy
chủ hoặc một kết nối Internet độc lập. Những dịch vụ này có thể được cung cấp
theo phí hàng tháng. Nếu máy chủ thuê được sử dụng, các đánh giá viên cần
phải đảm bảo chắc chắn rằng dữ liệu trên hệ thống phải được xóa và khôi phục
lại trước khi tiến hành kiểm thử an toàn. Khi kiểm thử được hoàn tất, đội đánh
giá cần phải tuân theo hướng dẫn được chỉ ra trong phần 6.4 để xử lý dữ liệu.
Khi lựa chọn địa điểm cho hoạt động đánh giá, cần cân nhắc các rủi ro
vốn có của việc sử dụng địa điểm bên ngoài. Các vị trí bên ngoài có ít kiểm soát
truy cập vật lý và logic hơn các vị trí bên trong, nên có thể các dữ liệu và hệ
thống đánh giá bị đặt vào những rủi ro tiềm ẩn. Luồng dữ liệu mạng giữa vị trí
bên ngoài và các cơ sở hạ tầng của tổ chức cũng bị đặt vào những mối nguy
hiểm lớn hơn khi có thể bị giám sát, nghe lén bởi các bên không đủ thẩm quyền
muốn khai thác điểm yếu của tổ chức đã được kiểm thử hủy bỏ. Cũng có thể
cung cấp nhiều loại kiểm thử như kiểm thử xâm nhập qua mạng của bên thứ 3.
Việc kiểm thử này có thể xuất hiện những mã độc ngay trong việc sử dụng mạng
và có thể vi phạm các chính sách bảo mật của nhà cung cấp mạng.
5.4.3. Lựa chọn tài nguyên và công cụ kỹ thuật
Hệ thống thông tin được phát triển để thực thi việc đánh giá an ninh cần
đáp ứng các yêu cầu của loại hình đánh giá và các công cụ đánh giá được thực
hiện. Ví dụ, hệ thống cho việc xem xét tài liệu cần có những ứng dụng được cài
đặt để đọc tài liệu, theo dấu các lỗ hổng và soạn các báo cáo. Các hệ thống được
132
thiết kế để thực thi việc kiểm thử như đánh giá lỗ hổng và kiểm thử xâm nhập sẽ
có các yêu cầu hệ thống và công cụ phần mềm phức tạp hơn. Hệ thống phục vụ
cho đánh giá có thể bao gồm các máy chủ, máy trạm hoặc máy tính xách tay.
Máy tính xách tay dùng cho các đánh giá viên phải di chuyển, các máy chủ và
máy trạm phục vụ cho việc thực hiện trong phòng thí nghiệm kiểm thử hoặc
ngay trong hệ thống. Đánh giá viên có thể thiết lập một mạng từ các công nghệ
thực thi - điều này cung cấp một môi trường có thể hỗ trợ các hoạt động ghi log
tập trung và các máy chủ chuyên dụng cho các hoạt động này yêu cầu phải tăng
khả năng tính toán.
Các yêu cầu của những hệ thống kiểm thử là khác nhau. Một hệ thống có
thể xử lý các tiến trình và yêu cầu bộ nhớ của tất cả các công cụ, hệ điều hành,
và máy ảo (VM) nên được sử dụng để giảm bớt khả năng hệ thống thật bị sập
trong quá trình kiểm thử. Hệ thống bị sập sẽ làm cho các thành phần của quá
trình kiểm thử phải hoạt động lại, dữ liệu bị mất, hệ thống kiểm thử phải thực
hiện lại. Các yêu cầu về hiệu suất của vi xử lý cũng như bộ nhớ được cân nhắc
dựa trên các công cụ được sử dụng và tốc độ thực hiện kiểm thử để xử lý được
toàn bộ nhiệm vụ.
Ví dụ, đối với việc bẻ khóa mật khẩu, thường yêu cầu bộ nhớ và tốc độ
tính toán cao, do đó đội kiểm thử có thể yêu cầu một máy chủ bẻ khóa mật khẩu
chuyên dụng. Một hệ thống chuyên dụng cũng có thể cho phép thực hiện các đối
tượng kiểm thử khác trong quá trình bẻ khóa mật khẩu. Các yêu cầu phần cứng
phụ thuộc vào dữ liệu được thu thập trong suốt quá trình kiểm thử. Trong trường
hợp yêu cầu lưu trữ dữ liệu lâu dài, một phương pháp lưu trữ (ví dụ, phương tiện
lưu trữ di động, hệ thống độc lập) cần phải xác định và chuẩn bị hợp lý.
Các công cụ sử dụng để kiểm thử có thể thay đổi tùy thuộc vào phạm vi
kiểm thử, nhưng đội kiểm thử cũng cần phải có một bộ công cụ chủ chốt mà sẽ
thường sử dụng và cần thường xuyên cập nhật. Phụ thuộc vào khả năng tham gia
và tổ chức, đội kiểm thử có thể kết hợp các công cụ tự phát triển, mã nguồn mở
hoặc các công cụ phần mềm thương mại có sẵn. Các công cụ nên được lấy từ
các nguồn đáng tin cậy và đảm bảo. Một vài tổ chức cũng thể sử dụng các công
mà họ yêu cầu hoặc công cụ đưa ra cho các nhóm kiểm thử, ví dụ như tổ chức
mua bản quyền của một công cụ và tất cả các nhóm có thể sử dụng sản phẩm đó.
133
Một vài công cụ miễn phí có sẵn cũng rất hữu ích cho kiểm thử. Tuy
nhiên nên đánh giá cẩn thận mỗi công cụ trước khi sử dụng trong việc kiểm thử.
Việc này có thể cần lưu ý từ khi tải công cụ ở một nguồn tin cậy tới khi tiến
hành xem xét sâu trong mã nguồn để đảm bảo công cụ không chứa mã độc.
Thông thường, các công cụ cho phép xác định hệ điều hành yêu cầu để
thực hiện kiểm thử, bao gồm cả các yêu cầu cho nhiều hệ điều hành. Các hệ
thống có thể cấu hình theo nhiều cách khác nhau, bao gồm hệ điều hành đơn, hệ
điều hành đơn với máy ảo, hệ thống khởi động song song (dual boot). Ví dụ về
hệ thống khởi động song song là một hệ thống có thể khởi động ở cả hệ điều
hành Microsoft Windows và cả ở Linux như Kali Linux, Ubuntu hoặc CentOS.
Hệ thống khởi động song song cho phép người kiểm thử sử dụng 2 hệ điều hành
từ một máy, nhưng có thể gây ra bất tiện bởi vì người kiểm thử cần khởi động
lại hệ thống để chuyển đổi giữa các hệ điều hành và các công cụ.
Một lựa chọn phổ biến và hiệu quả là sử dụng máy ảo (Virtual Machines).
nhiều công cụ kiểm thử yêu cầu hệ điều hành đặc biệt và VM cho phép người
kiểm thử chuyển đổi giữa các hệ điều hành khác nhau mà không cần khởi động
lại hệ thống. Như vậy người kiểm thử có thể chạy được nhiều loại công cụ sử
dụng với nhiều hệ điều hành khác nhau trên 1 máy tính. Điều này sẽ mang lại
nhiều lợi ích, bao gồm việc ghi log, thực hiện lưu trữ dữ liệu và thực hiện kiểm
thử đồng thời. Tuy nhiên, với các hệ thống sử dụng 2 hoặc nhiều hệ điều hành
cùng lúc thì cũng sẽ yêu cầu bộ nhớ và tốc độ xử lý lớn hơn.
Người kiểm thử cần có các kiến thức, kinh nghiệm và sử dụng thành thạo
các tất cả các hệ điều hành trên hệ thống kiểm thử bởi vì các công cụ kiểm thử
hoặc hệ thống kiểm thử có thể thường xuyên thay đổi. Ví dụ, nếu đội kiểm thử
đang sử dụng Kali Linux để tiến hành kiểm thử an toàn mạng không dây, nhóm
sẽ cần phải làm quen với việc cài đặt và cấu hình card mạng không dây trước đó
bởi vì các bước thực hiện có thể không được thực hiện đúng bởi một người dùng
mới sử dụng Kali Linux.
Cho dù hệ thống sử dụng phương pháp cài đặt nào, thì tổ chức tiến hành
kiểm thử an toàn cũng cần phát triển và duy trì bản sao cơ sở để tiến hành cho
kiểm thử. Bản sao sẽ cung cấp bộ công cụ chuẩn cho nhóm để sử dụng và cho
134
phép triển khai một cách nhanh chóng. Bản sao cơ sở có thể bao gồm hệ điều
hành, các trình điều khiển (drivers), hệ thống cần thiết và các cấu hình bảo mật,
các ứng dụng, các công cụ để tiến hành kiểm thử, bao gồm các cơ chế để tự
động ghi log các hành động của đánh giá viên (ví dụ, các câu lệnh được sử
dụng). Bản sao đầy đủ của hệ thống thường phụ thuộc phần cứng, vì vậy việc cài
đặt bản sao lên hệ thống khác với phần cứng khác nhau (như card màn hình) yêu
cầu phải chỉnh sửa lại bản sao. Việc này yêu cầu các kỹ năng đặc biệt và khá tốn
thời gian.
Bản sao máy ảo linh hoạt và không bị giới hạn phần cứng như bản sao hệ
thống đầy đủ, giúp có thêm lựa chọn thuận lợi cho đội kiểm thử. Đội kiểm thử
đa chức năng với các kỹ năng để thực hiện quét mạng không dây, kiểm thử ứng
dụng, đánh giá lỗ hổng và kiểm thử xâm nhập, có thể có một bản sao bao gồm
các công cụ được yêu cầu để thực thi tất cả các loại kiểm thử hoặc nhiều bản sao
cho nhiều công nghệ. Việc sử dụng một bản sao thường phù hợp hơn, vì giữ lại
nhiều hình ảnh yêu cầu có sự bảo trì bổ sung.
Bản sao VM cần được cập nhật định kỳ để đảm bảo chỉ có duy nhất một
phiên bản và công cụ mới nhất được sử dụng. Trong suốt quá trình cập nhật, đội
kiểm thử cần xác nhận công cụ có bất kỳ thay đổi nào trong việc sử dụng với
văn bản phù hợp. Việc nâng cấp công cụ phát hiện lỗ hổng (ví dụ: vulnerability
scanners) trước khi kiểm thử giúp đảm bảo các lỗ hổng đã được phát hiện gần
đây là một phần của quá trình kiểm thử. Thêm vào đó, việc bảo trì, duy trì bộ
công cụ kiểm thử có sẵn, đội kiểm thử nên đánh giá định kỳ bộ công cụ để loại
bỏ các công cụ đã lạc hậu và bổ sung các công cụ mới.
Trước khi sử dụng hệ thống kiểm thử để kiểm thử an toàn, đội kiểm thử
cũng cần áp dụng các bản vá bảo mật mới nhất và cho phép chỉ có các dịch vụ
cần cho việc kết nối và kiểm thử được hoạt động. Việc này áp dụng tới tất cả các
hệ điều hành sử dụng cho việc kiểm thử, bao gồm cả trong VM. Nhóm bảo mật
của tổ chức có thể xác nhận rằng hệ thống kiểm thử phù hợp với yêu cầu bảo
mật của tổ chức và được chấp thuận để kiểm thử trước khi kết nối hệ thống với
mạng. Việc xác nhận có thể được thực hiện qua các hệ thống tương tự sử dụng
cho kiểm thử kỹ thuật như quét lỗ hổng. Hệ thống kiểm thử có thể không đáp
ứng tất cả các yêu cầu bảo mật của hệ thống bởi vì các yêu cầu của công cụ sử
135
dụng cho kiểm thử như một vài kiểm soát an ninh có thể can thiệp vào công cụ
để ngăn cản việc quét và tấn công bằng những công cụ này. Trong trường hợp
này, người đánh giá có thể vô hiệu hóa các kiểm soát an ninh khi sử dụng công
cụ.
Đội kiểm thử di động cần có một bộ kit phù hợp gồm hệ thống, bản sao,
công cụ bổ sung, cáp, máy chiếu và các thiết bị khác mà đội cần cho thực hiện
kiểm thử tại các địa điểm khác nhau. Nếu tổ chức sử dụng một đội kiểm thử từ
bên ngoài, đội đó không cần phải sử dụng tài nguyên của hệ thống trừ khi bắt
buộc phải dùng. Nếu tổ chức không cấp phép cho hệ thống bên ngoài kết nối vào
hệ thống mạng thì đội kiểm thử bên ngoài sẽ cần phải cài đặt tất cả các công cụ
vào một hệ thống máy trạm được phê duyệt hoặc mang theo một hệ thống khởi
động như đĩa CD khởi động.
5.5.
PHÁT TRIỂN KẾ HOẠCH ĐÁNH GIÁ
Kế hoạch đánh giá cung cấp cấu trúc và trách nhiệm bằng việc ghi lại các
hoạt động đã được lên kế hoạch cho việc đánh giá cùng với các thông tin liên
quan. Phần này sẽ cung cấp các thông tin bổ sung trong kế hoạch đánh giá và
giải quyết một vài bước riêng biệt mà đánh giá viên cần cân nhắc trong việc phát
triển một kế hoạch.
Các bước phát triển kế hoạch:
1. Xác định phương pháp đánh giá kiểm soát an ninh.
2. Xác định các kiểm soát an ninh và các cải tiến kiểm soát trong việc
đánh giá.
3. Lựa chọn các thủ tục đánh giá thích hợp để sử dụng trong đánh giá
dựa vào kiểm soát an ninh và cải tiến kiểm soát trong kế hoạch an
ninh hệ thống.
4. Biến đổi các thủ tục đánh giá cho mức độ ảnh hưởng của hệ thống
an ninh và môi trường hoạt động của tổ chức.
5. Phát triển các thủ tục đánh giá bổ sung, nếu cần, để đáp ứng các
kiểm soát an ninh và cải tiến kiểm soát khác.
136
6. Phát triển một kế hoạch để áp dụng cho việc đánh giá từ xa.
7. Tối ưu hóa các thủ tục đánh giá để giảm thiểu việc trùng lặp và
cung cấp các giải pháp đánh giá hiệu quả cao và chi phí hợp lý.
8. Hoàn thiện kế hoạch đánh giá và có được sự chấp thuận để triển
khai.
Mỗi một đánh giá cần có một kế hoạch đánh giá phù hợp, không phụ
thuộc vào phạm vi, mức độ xâm nhập và sự tham gia của các bên thực hiện kiểm
thử (như là nội bộ, hoặc bên thứ 3). Kế hoạch này cung cấp các luật và giới hạn
để người đánh giá phải tuân thủ và bảo vệ tổ chức, bằng việc giảm thiểu nguy cơ
xảy ra sự cố như làm cho hệ thống bị khởi động lại hoặc tiết lộ các thông tin
nhạy cảm. Kế hoạch đánh giá cũng bảo vệ đội kiểm thử bằng việc đảm bảo rằng
quản trị của tổ chức hiểu và đồng ý với phạm vi, hoạt động và giới hạn của đánh
giá. Việc phát triển kế hoạch đánh giá cần có một quá trình hợp tác giữa người
đánh giá và các thành viên chủ chốt của nhóm bảo mật tổ chức.
Kế hoạch đánh giá cần giải quyết các câu hỏi cơ bản sau:
Phạm vi của đánh giá là gì?
Ai là người có thẩm quyền tiến hành đánh giá?
Logic của đánh giá là gì?
Dữ liệu nhạy cảm cần phải xử lý như thế nào?
Điều gì sẽ xảy ra trong trường hợp có sự cố?
Kế hoạch đánh giá cần xác định hệ thống và mạng nào được uỷ quyền để
kiểm tra và kiểm thử. Cần phải cung cấp một số các hệ thống và địa chỉ IP hoặc
dải địa chỉ được dùng. Kế hoạch cũng cần liệt kê các hệ thống cụ thể thông qua
địa chỉ IP và có có thể là tên hệ thống không được uỷ quyền để kiểm tra hoặc
kiểm thử. Ví dụ, nếu cơ sở dữ liệu bảng lương của tổ chức được cho là nhạy cảm
để tiến hành kiểm thử, thì tên hệ thống và địa chỉ IP của máy chủ cơ sở dữ liệu
bảng lương cần được xác định trong danh sách loại trừ của kế hoạch kiểm thử.
Nếu tổ chức không kiểm soát một phần hoặc toàn bộ hệ thống mạng như có một
phần hệ thống đặt trên mạng của bên thứ ba, thì người sở hữu mạng đó có thể
137
đồng ý cho tiến hành đánh giá. Trường hợp này liên quan đến việc hệ thống
được chia sẻ dùng chung, như hệ thống sử dụng công nghệ máy ảo để cung cấp
dịch vụ cho nhiều hệ thống. Bằng việc xây dựng kế hoạch đánh giá, các bên
tham gia có thể xác nhận và phê duyệt các đánh giá.
Bên cạnh việc xác định hệ thống được uỷ quyền cho đánh giá, kế hoạch
đánh giá cần phải chi tiết loại và mức độ kiểm thử được cho phép. Ví dụ, nếu tổ
chức muốn đánh giá lỗ hổng, kế hoạch đánh giá cần cung cấp thông tin cho
những hoạt động hợp pháp được thực hiện trên mạng mục tiêu, như: xác định
cổng và dịch vụ, quét lỗ hổng, xem xét cấu hình an ninh, bẻ khoá mật khẩu – với
đầy đủ các chi tiết để mô tả các loại kiểm thử, cách tiếp cận và công cụ. Ví dụ,
nếu việc bẻ khoá mật khẩu được thực hiện, các phương pháp thông qua mật
khẩu sẽ được tập hợp lại (ví dụ, nghe lén trên mạng hoặc sao chép tập tin mật
khẩu trên hệ điều hành) để tổng hợp trong kế hoạch đánh giá. Kế hoạch đánh giá
cần phải nêu rõ các hoạt động bị cấm – ví dụ, việc tạo và sửa đổi tập tin. Nếu
các thắc mắc liên quan đến phạm vi và mức độ thẩm quyền trong quá trình đánh
giá, người đánh giá và tổ chức cần phải thảo luận với nhau.
Kế hoạch cần phải chỉ ra các chi tiết logic của các vấn đề liên quan, như
thời gian hoạt động của đánh giá viên, làm sạch môi trường đánh giá, kế hoạch
tạm thời với các thông tin liên hệ hiện tại, các trung tâm điều hành an ninh và
mạng, và các đầu mối liên hệ của tổ chức cho việc đánh giá, địa điểm vật lý mà
các hoạt động đánh giá được bắt đầu và các công cụ thiết bị được sử dụng cho
việc đánh giá. Trong kế hoạch cũng cần xác định mọi yêu cầu để thông tin cho
các cơ quan chủ quản, đơn vị thực thi pháp luật và đội phản ứng sự cố máy tính.
Ngoài ra, cũng cần xác định người có trách nhiệm thông báo việc đánh giá
an ninh cho tổ chức sắp diễn ra. Trong trường hợp không thông báo kiểm thử, kế
hoạch đánh giá cũng cần phải xác định việc xóa và báo cáo các hoạt động kiểm
thử như thế nào. mục đích chính của việc này là đảm bảo các hoạt động đánh giá
không sinh ra báo cáo an ninh tới các bên khác, như là đội phản ứng sự cố từ xa.
Địa chỉ IP của các thiết bị sử dụng cho việc đánh giá cũng cần phải xác
định trong kế hoạch kiểm thử để cho phép người quản trị có thể phân biệt các
hoạt động kiểm thử như tấn công kiểm thử xâm nhập với các tấn công độc hại
138
thực sự. Nếu để thích hợp với mục tiêu đánh giá, các quản trị an ninh có thể cấu
hình hệ thống phát hiện xâm nhập và các thiết bị theo dõi an ninh khác nhằm
loại bỏ các địa chỉ IP phát sinh thêm các hành động trong suốt quá trình kiểm
thử.
Yêu cầu xử lý dữ liệu cũng cần phải xác định trong kế hoạch đánh giá,
bao gồm:
Lưu trữ các dữ liệu của tổ chức trong quá trình đánh giá trên hệ
thống của đánh giá viên, bao gồm các an toàn vật lý của hệ thống,
mật khẩu và dữ liệu mã hóa.
Lưu trữ dữ liệu khi kết thúc đánh giá để đáp ứng yêu cầu lưu trữ lâu
dài hoặc theo dõi lỗ hổng.
Vận chuyển dữ liệu trong và sau khi đánh giá qua mạng nội bộ và
bên ngoài (như internet).
Loại bỏ các dữ liệu từ các hệ thống dựa trên kết luận của đánh giá,
đặc biệt đối với các đánh giá của bên thứ ba bao gồm các tài liệu
tham khảo cho các yêu cầu cụ thể được quy định bởi các chính sách
và thủ tục của tổ chức điều hành.
Cuối cùng, kế hoạch đánh giá cần đưa ra hướng dẫn đặc biệt để xử lý sự
cố trong trường hợp mà sự cố do các đánh giá viên gây ra hoặc phát hiện sự cố
trong quá trình đánh giá. Kế hoạch cần phải xác định chính xác khái niệm sự cố
và cung cấp hướng dẫn để xác định liệu sự cố có xảy ra hay không. Kế hoạch
cũng cần xác định các đầu mối liên hệ chủ chốt và tạm thời cho người đánh giá,
thường thì đó là đội trưởng đội đánh giá, đội trưởng đội trợ lý và các nhóm bảo
mật của hệ thống. Hướng dẫn cũng cần bao gồm các hành động mà đánh giá
viên và nhóm bảo mật của tổ chức cần phải thực hiện nếu sự cố xảy ra. Ví dụ,
nếu đánh giá viên phát hiện có kẻ xâm nhập hoặc phát hiện ra dấu vết xâm nhập
trong mạng, thì có cần phải dừng việc kiểm thử hay vẫn tiếp tục. Nếu dừng, thì
khi nào việc kiểm thử bắt đầu lại và cơ quan nào có thẩm quyền. Kế hoạch đánh
giá cần cung cấp một hướng dẫn rõ ràng, xúc tích về các hành động mà đánh giá
viên cần thực hiện trong các trường hợp này.
139
Một số việc đánh giá sử dụng ROE để thay cho kế hoạch đánh giá, ROE
bao gồm các thông tin tương tự như kế hoạch đánh giá và cũng xử lý các hành
động kiểm thử thường bị tổ chức ngăn cấm. Ví dụ, một số các hành vi được thực
hiện trong quá trình kiểm thử xâm nhập, như là phát động tấn công gây tổn hại
hệ thống sẽ là hành động bị cấm thực hiện trong chính sách của tổ chức. ROE
cung cấp thẩm quyền cho đánh giá viên thực hiện các hành động trong quá trình
đánh giá.
Mỗi tổ chức cần xác định giữa việc sử dụng kế hoạch đánh giá và ROE.
Tổ chức cũng cần xem xét việc phát triển kế hoạch đánh giá hoạch các mẫu
ROE hoặc các dự thảo từng phần và yêu cầu thực hiện nhất quán.
5.6.
XEM XÉT PHÁP LÝ
Vấn đề về luật pháp cho việc đánh giá cũng cần được xem xét trước khi
tiến hành đánh giá. Khi các chuyên gia tư vấn luật pháp tham gia vào quá trình
đánh giá thì cần phải khuyến cáo rằng họ phải được tham gia các kiểm thử xâm
nhập. Nếu tổ chức ủy quyền cho một thực thể bên ngoài thực hiện việc đánh giá
thì phải có sự tham gia của các tổ chức pháp chế. Các phòng pháp chế có thể hỗ
trợ việc xem xét kế hoạch đánh giá hoặc cung cấp các điều khoản bồi thường
hoặc giới hạn trong hợp đồng được ký với bên đánh giá an ninh – đặc biệt là với
những loại kiểm thử như kiểm thử xâm nhập. Các phòng pháp chế có thể yêu
cầu các bên liên quan ký kết thoả thuận để tránh việc đánh giá viên tiết lộ các
thông tin nhạy cảm, độc quyền hoặc bị giới hạn tới các đối tượng không có thẩm
quyền.
Phòng pháp chế cũng xem xét các cân nhắc mang tính riêng tư của tổ
chức. Hầu hết các tổ chức có những bảng cảnh báo hoặc những thỏa thuận rằng
việc tiết lộ hệ thống sẽ được giám sát. Tuy nhiên không phải tất cả các hệ thống
đều có những cảnh báo đó và phòng pháp chế cũng cần xử lý các vi phạm quyền
riêng tư trước khi việc đánh giá bắt đầu. Hơn nữa, các dữ liệu thu được có thể là
các dữ liệu nhạy cảm không thuộc về tổ chức hoặc dữ liệu nhân viên có thể sinh
ra những cân nhắc về tính riêng tư. Người đánh giá cũng cần nhận thức các rủi
ro và tiến hành thu giữ các gói dữ liệu theo bất kỳ theo quy định của phòng pháp
140
chế. Phòng pháp chế có thể xác định yêu cầu xử lý dữ liệu để đảm bảo tính bảo
mật dữ liệu.
5.7.
TỔNG KẾT
Đánh giá an toàn hệ thống thông tin là một hoạt động phức tạp vì yêu cầu
tổ chức, số lượng và loại của các hệ thống trong một tổ chức cũng như là các kỹ
thuật được sử dụng và các dịch vụ hậu cần liên quan. Việc đánh giá an toàn có
thể được đơn giản hóa và giảm thiểu rủi ro bằng cách xây dựng một kế hoạch và
có tính lặp lại để hoàn thiện kế hoạch. Lập kế hoạch đánh giá an toàn một cách
chính xác và kịp thời có thể đảm bảo rằng tất cả các yếu tố cần đánh giá đều sẽ
được thực hiện một cách hiệu quả và thành công.
Các hoạt động chính trong giai đoạn lập kế hoạch đánh giá an toàn hệ
thống thông tin bao gồm:
Xây dựng chính sách đánh giá: Cần xây dựng một chính sách đánh
giá an toàn hệ thống thông tin để cung cấp hướng và các hướng dẫn
cho việc đánh giá an toàn một cách đúng đắn. Chính sách cần xác
định được các yêu cầu đánh giá và những người có trách nhiệm liên
quan để đảm bảo rằng việc đánh giá được thực hiện theo yêu cầu.
Các chính sách đã được duyệt cần phải được phổ biến tới đội ngũ
nhân viên liên quan, cũng như các bên thứ ba có trách nhiệm thực
hiện đánh giá. Chính sách phải được xem xét lại ít nhất mỗi năm và
bất cứ khi nào có yêu cầu thực hiện các đánh giá liên quan.
Ưu tiên và lập kế hoạch đánh giá: Cần xác định hệ thống nào thực
hiện đánh giá trước, hệ thống nào đánh giá sau và mức độ thường
xuyên của các đánh giá này. Các ưu tiên sẽ dựa trên việc phân loại hệ
thống, lợi ích dự kiến, yêu cầu kế hoạch, các quy định nơi hệ thống
đánh giá được thực hiện, và nguồn lực sẵn có. Đôi khi những cân
nhắc kỹ thuật cũng có thể giúp xác định tần suất đánh giá, như chờ
cho đến khi điểm yếu đã biết được sửa hoặc việc nâng cấp hệ thống
được thực hiện xong trước khi tiến hành đánh giá.
141
Lựa chọn và xác định kỹ thuật kiểm thử, kiểm tra: Có rất nhiều
yếu tố cần xem xét trước khi quyết định sử dụng các kỹ thuật để thực
hiện đánh giá cụ thể. Các yếu tố bao gồm: mục tiêu đánh giá, các lớp
kỹ thuật mà có thể thu được thông tin hỗ trợ mục tiêu, các kỹ thuật
thích hợp với mỗi lớp. Một vài công nghệ cũng đòi hỏi sự phối hợp
của tổ chức để xác định quan điểm đánh giá cho đánh giá viên (ví dụ
như thực hiện đánh giá bên trong hay bên ngoài) để có thể lựa chọn
các kỹ thuật đánh giá phù hợp.
Xác định hậu cần đánh giá: Điều này bao gồm việc xác định các
nguồn lực cần thiết phục vụ cho việc đánh giá, như: các nhóm đánh
giá, môi trường và địa điểm đánh giá, các trang bị và công cụ kỹ
thuật cần thiết.
Phát triển kế hoạch đánh giá: Xây dựng tài liệu dự kiến về các hoạt
động đánh giá và các thông tin đánh giá khác liên quan. Một kế
hoạch cần được phát triển cho mỗi đánh giá để cung cấp các quy tắc
và ranh giới mà đánh giá viên phải tuân thủ. Kế hoạch cần xác định
được các hệ thống và mạng được đánh giá, các loại hình và mức độ
thử nghiệm được phép, thông tin chi tiết về hậu cần của việc đánh
giá, yêu cầu xử lý dữ liệu, và hướng dẫn xử lý sự cố.
Xem xét vấn đề pháp lý: Cần xem xét tới cả các vấn đề liên quan tới
pháp lý trước khi tiến hành một cuộc đánh giá, đặc biệt khi thực hiện
các kiểm thử xâm nhập. Tổ chức pháp lý có thể xem xét các kế hoạch
đánh giá, giải quyết các mối quan ngại riêng và thực hiện các chức
năng khác để hỗ trợ cho việc lập kế hoạch đánh giá.
142
Chương 6
THỰC HIỆN ĐÁNH GIÁ AN TOÀN HỆ THỐNG THÔNG TIN
Trong suốt quá trình đánh giá an ninh, các lỗ hổng được xác định thông
qua các phương pháp và công nghệ lựa chọn trong giai đoạn lập kế hoạch và
được xác định trong kế hoạch đánh giá hoặc ROE. Việc tiến hành đánh giá tuân
theo kế hoạch hoặc ROE là việc làm rất quan trọng. Mục đích của chương này là
nêu bật lên các điểm chính cho người đánh giá cân nhắc trong quá trình thực
hiện đánh giá. Ví dụ, việc phối hợp hợp lý giúp quá trình đánh giá thuận lợi hơn,
và giảm thiểu các rủi ro liên quan. Vấn đề chủ yếu như xử lý sự cố và các thách
thức mà tổ chức đối mặt khi thực hiện đánh giá cũng cần được nhấn mạnh.
Chương này cũng thảo luận về quy trình phân tích và cung cấp các khuyến cáo
cho việc phân tích, lưu trữ, truyền nhận và hủy bỏ các dữ liệu liên quan đến việc
đánh giá.
6.1.
PHỐI HỢP
Trong quá trình đánh giá, người đánh giá cần phải phối hợp với các đối
tượng liên quan khác trong tổ chức. Yêu cầu phối hợp được xác định trong kế
hoạch đánh giá hoặc ROE và cần phải được tuân thủ phù hợp. Việc kết hợp tốt
có thể đảm bảo rằng:
Các bên tham gia hiểu rõ được quy trình, các hoạt động và tác động
có thể xảy đến trong quá trình đánh giá.
Việc đánh giá không diễn ra trong thời gian nâng cấp, cập nhật, tích
hợp công nghệ mới hoặc các thời gian thay đổi chính sách an ninh
hệ thống (ví dụ, kiểm thử thực hiện trong khi bảo trì hoặc hiệu suất
thấp).
Đánh giá viên có khả năng truy cập ở từng mức độ vào cơ sở hạ
tầng, hệ thống liên quan.
143
Những người có thẩm quyền như CIO, CISO, và ISSO được thông
báo về các lỗ hổng có ảnh hưởng nghiêm trọng ngay khi được phát
hiện.
Các cá nhân liên quan (như đánh giá viên, đội cứu hộ sự cố, quản lý
cấp cao) được thông báo trong trường hợp xuất hiện sự cố. Nếu
điều này xảy ra, cần ngừng các hoạt động cho đến khi các sự cố
được khắc phục và đánh giá viên quay trở lại với hoạt động đánh
giá theo kế hoạch hoặc ROE. Phạm vi của các hoạt động đánh giá
bị ngừng lại dựa vào chính sách của tổ chức và loại sự cố, nhưng
nhiều trường hợp chỉ có duy nhất các hoạt động của hệ thống liên
quan trực tiếp sự cố bị ngừng lại.
Mức độ phối hợp giữa đánh giá viên và tổ chức được điều phối chủ yếu
bởi hệ thống và việc thực hiện đánh giá. Các hệ thống quan trọng thường yêu
cầu nhiều việc phối hợp hơn để đảm bảo tính sẵn sàng của hệ thống trong suốt
quá trình thực hiện và các kỹ thuật đánh giá được sắp đặt ở các mức độ rủi ro
khác nhau trong suốt quá trình thực hiện. Kỹ thuật đặt trong việc xem xét có rủi
ro thấp nhất, trong xác định mục tiêu và phân tích có rủi ro trung bình và có rủi
ro cao khi kết hợp với việc xác nhận lỗ hổng mục tiêu. Ví dụ, hệ thống trải qua
việc kiểm thử xâm nhập tổng quát yêu cầu nhiều việc phối hợp hơn việc xem xét
tài liệu của hệ thống hoặc kiểm thử xâm nhập của hệ thống có mức độ bảo mật
trung bình. Tuy nhiên, các tổ chức cũng gặp phải các trường hợp ngược lại khi
mà mức độ phối hợp phải phù hợp với yêu cầu và cân nhắc tổ chức. Các đánh
giá viên và những bên tham gia cũng như quản trị hệ thống cần phải thận trọng
trong quá trình đánh giá. Mức độ truy cập mà đánh giá viên yêu cầu sẽ phải
được điều phối để có thể truy cập vật lý và hệ thống một cách phù hợp (ví dụ,
khi kiểm thử các mối nguy cơ nội bộ).
Người đánh giá cần phải chủ động trong liên hệ với các bên liên quan
trong tổ chức, việc liên hệ cần phải được duy trì thông qua các báo cáo ngày, và
báo cáo tuần. Những thành viên tham gia báo cáo và nhận báo cáo cũng phải
được xác định trong kế hoạch đánh giá và ROE, và có thể bao gồm đánh giá
viên, ISSO, CISO và CIO. Việc họp và báo cáo thường xuyên sẽ được điều
chỉnh dựa vào thời gian và độ phức tạp của việc đánh giá. Ví dụ, với đánh giá
144
xâm nhập kéo dài 1 tháng, thì việc họp báo cáo có thể diễn ra hàng tuần với các
báo cáo ngày trong giai đoạn đánh giá chủ động (nghĩa là khoảng thời gian mà
hệ thống đang khai thác). Việc họp và báo cáo cần phải xử lý các hoạt động
hoàn thành đúng hạn, tỉ lệ thành công, các vấn đề gặp phải hoặc các khuyến nghị
nghiêm trọng phát sinh.
6.2.
ĐÁNH GIÁ
Như đã trình bày ở chương 5, kế hoạch đánh giá và ROE cung cấp một
hướng dẫn cụ thể cho việc tiến hành đánh giá. Kế hoạch và ROE cần phải được
theo sát nếu không sẽ có các quyền hạn đặc biệt bị chệch hướng, thường trong
việc làm tài liệu, từ việc ký kết của tổ chức hoặc cá nhân trong việc yêu cầu.
Đánh giá viên cần phải đọc và hiểu kế hoạch hoặc ROE. Đánh giá viên cần phải
xem xét kế hoạch hoặc ROE một cách định kỳ trong suốt quá trình đánh giá, đặc
biệt là trong trường hợp xác nhận lỗ hổng mục tiêu.
Trong quá trình đánh giá, đội phản ứng sự cố của tổ chức có thể phát hiện
ra sự cố xuất phát do các hành vi của người đánh giá hoặc do xuất hiện một tấn
công nào đó khi quá trình đánh giá đang diễn ra. Bất kỳ là ai phát hiện ra sự cố
cũng cần phải thực hiện theo quy trình phân cấp của tổ chức, và đánh giá viên
cũng phải tuân theo hướng dẫn được lập trong kế hoạch hoặc ROE nếu không có
hướng dẫn khác. Nếu phát hiện ra sự tấn công trong quá trình đánh giá cần phải
báo cáo ngay lập tức tới các cá nhân liên quan và đánh giá viên cần phải tuân
theo các giao thức được xác định trong kế hoạch đánh giá và ROE. Đánh giá
viên cũng được khuyến cáo dừng việc đánh giá các hệ thống liên quan đến sự cố
trong khi tổ chức tiến hành xử lý.
Ngoài những sự cố hiện có và mới gặp, đánh giá viên cũng phải đối mặt
với những thách thức về mặt kỹ thuật, hoạt động và chính sách trong quá trình
đánh giá bao gồm:
Sự chống đối: Chống đối với việc đánh giá có thể bắt nguồn từ nhiều
phía trong tổ chức như quản trị mạng, quản trị hệ thống và các người
dùng cuối. Những lý do có thể là sợ bị mất khả năng sẵn sàng của hệ
thống hoặc mạng, sợ bị khiển trách, thấy phiền phức và chống đối để
thay đổi. Có được các phê duyệt và hỗ trợ từ cấp quản lý cấp trên sẽ
145
giải quyết các vấn đề liên quan đến việc chống đối và đánh giá an ninh
bao mật tổ thể hệ thống sẽ giúp thiết lập một quá trình không gây trở
ngại cho người quản trị và người dùng.
Thiếu thực tế: Trong khi chuẩn bị cho đánh giá, người dùng và quản
trị viên có thể sửa đổi một vài các cấu hình để giúp hệ thống của họ an
toàn hơn, chịu được các tấn công hơn và linh hoạt hơn với các chính
sách và các yêu cầu khác. Trong khi điều này được nhìn nhận một
cách tích cực thì các thay đổi trong trường này chỉ được duy trì trong
quá trình đánh giá, và sau đó hệ thống sẽ trở về các cấu hình cũ.
Không thông báo trước cho người dùng và người quản trị biết về việc
đánh giá sẽ giải quyết được vấn đề này. Nhiều tổ chức thực hiện đánh
giá không báo trước để giúp bổ sung vào việc đánh giá được báo trước
của họ.
Khắc phục tức thì: Khi điểm yếu được phát hiện trong quá trình đánh
giá, quản trị viên muốn có những biện pháp để giảm thiểu rủi ro ngay
lập tức và hi vọng đánh giá viên đánh giá lại hệ thống để xác nhận rằng
vấn đề đã được xử lý. Mặc dù việc khắc phục nhanh chóng là đáng ghi
nhận, nhưng đánh giá viên cần hiểu rõ tầm quan trọng của việc tuân
thủ chính sách và quy trình quản lý thay đổi của tổ chức.
Thời gian: Đánh giá an ninh thường được kết hợp với việc phát triển
hoặc triển khai với các thông báo nhỏ và khung thời gian hẹp trong khi
việc đánh giá đáng ra phải được thực hiện như là một phần của vòng
đời phát triển hoặc triển khai dài hạn. Thời gian cũng là một khó khăn
khi thực hiện kiểm thử hệ thống và mạng quan trọng, nếu các công
nghệ kiểm thử có tiềm năng làm mất tính sẵn sàng của hệ thống và
mạng thì việc kiểm thử cần phải thực hiện ngoài giờ. Đánh giá viên
thường xuyên bị giới hạn trong khung thời gian kiểm thử, trong khi kẻ
tấn công thì không bị bất kỳ một giới hạn nào.
Tài nguyên: Việc đánh giá an ninh phải liên tục đối mặt với nhiều
thách thức để có được và duy trình đủ lượng tài nguyên cần thiết cho
đánh giá (ví dụ, một đội kiểm thử có kỹ năng và các phần cứng phần
mềm liên tục được cập nhật). Các tổ chức chỉ chuẩn bị những thiết bị
146
như laptop và card mạng không dây cho việc đánh giá an ninh. Nếu
cần các thiết bị phần mềm đánh giá thương mại thì tổ chức sẽ đánh giá
xem xét mua bản quyền (license) và cung cấp các hợp đồng. Do đó
đánh giá viên cần lên lịch trình trước khi việc đánh giá tiến hành để
đảm bảo các phần mềm đánh giá được cập nhật và bổ sung kịp thời.
Nếu đánh giá viên nội bộ không đáp ứng được yêu cầu đánh giá thì cần
phải tìm kiếm đánh giá viên khác bên ngoài nội bộ. Các tổ chức nên
tìm một hãng có phương pháp, quy trình được kiểm định, có những kết
quả ấn tượng và có đội ngũ nhân sự có kinh nghiệp. Nếu tổ chức đang
sử dụng những đánh giá viên nội bộ, thì cần tiếp tục tuyển dụng và đào
tạo các đánh giá viên có kinh nghiệp và tạo điều kiện để các đánh giá
viên đều có thể tham gia.
Phát triển công nghệ: Đánh giá viên cần phải cập nhật công cụ và các
công nghệ kiểm thử. Cần có ngân sách để cho phép tổ chức các lớp và
hội nghị đào tạo hàng năm để các đánh giá viên có thể cập nhật và
nâng cao kỹ năng của mình.
Ảnh hưởng hoạt động: Mặc dù việc đánh giá được lên kế hoạch để
ngăn chặn hoặc hạn chế các ảnh hưởng hoạt động, nhưng vẫn luôn có
thể xuất hiện các biến cố không mong đợi. Mỗi kiểm thử được tiến
hành cần phải được ghi lại với các thông tin về dấu thời gian, loại hình
kiểm thử, công cụ sử dụng, câu lệnh, địa chỉ IP của thiết bị kiểm
thử,… đề xuất một kịch bản ghi log được sử dụng để nắm bắt tất cả
các câu lệnh và các tổ hợp phím được sử dụng trong suốt quá trình
kiểm thử. Những công cụ như Terminal và GUI giúp ghi lại các hoạt
động của kiểm thử viên và việc ghi lại này cũng có thể hỗ trợ trong
việc chống lại tranh chấp cáo buộc rằng việc kiểm thử có tác động tiêu
cực tới hiệu năng của tổ chức và hệ thống. Do rủi ro từ các ảnh hưởng
hoạt động, cần phải thiết lập một kế hoạch để phản ứng với sự cố xảy
ra trong quá trình kiểm thử.
6.3.
PHÂN TÍCH
Mặc dù có một số các phân tích có thể thực hiện sau khi thực hiện đánh
giá, nhưng hầu hết các phân tích đều được tiến hành trong quá trình đánh giá.
147
Mục đích chính của việc phân tích là xác định lỗi, phân loại lỗ hổng và xác định
nguyên nhân lỗ hổng. Các công cụ tự động có thể phát hiện ra một số lượng lớn
các lỗi nhưng các phát hiện này cũng cần phải được xác thực để tránh việc cảnh
báo nhầm. Các đánh giá viên có thể xác nhận các lỗ hổng bằng việc kiểm tra thủ
công các hệ thống bị tổn thương hoặc bởi công cụ tự động thứ hai và so sánh kết
quả. Mặc dù việc này thực hiện khá nhanh chóng, nhưng các công cụ so sánh có
thể cho ra các kết quả nhầm giống nhau, nghĩa là cùng cảnh báo nhầm. Kiểm tra
thủ công có thể có kết quả chính xác hơn so sánh kết quả qua nhiều công cụ,
nhưng lại tốn thời gian hơn rất nhiều.
Ngoài việc phải xác định và xử lý các lỗ hổng, cũng cần phải xác định
nguồn gốc nguyên nhân của các lỗ hổng, đây là một việc rất quan trọng để nâng
cao mức độ an toàn trong toàn bộ tổ chức bởi vì nguồn gốc của lỗ hổng thường
là bắt nguồn từ các mắt xích yếu. Một số nguồn gốc nguyên nhân bao gồm:
Quản lý bản vá không hiệu quả, như không áp dụng bản vá kịp thời,
hoặc không áp dụng bản vá cho toàn bộ hệ thống.
Quản lý nguy cơ không hiệu quả, bao gồm phần mềm diệt virus bị
hết hạn, bộ lọc thư rác kém, tập luật tường lửa không chặt chẽ, không
tuân theo chính sách an ninh của tổ chức.
Thiếu kiến thức về an ninh, như cấu hình an toàn không nhất quán
trên các hệ thống giống nhau.
Thiếu sự kết hợp an toàn trong vòng đời phát triển hệ thống, như bỏ
qua hoặc không bằng lòng với các yêu cầu bảo mật và có lỗ hổng
trong việc xây dựng các mã nguồn ứng dụng phát triển tổ chức.
Kiếm trúc an toàn an ninh chưa đủ mạnh, các công nghệ bảo mật
không được tích hợp hợp lý vào cơ sở hạ tầng (như sắp xếp thiếu hợp
lý, không đủ đảm bảo hoặc lỗi thời), hoặc sắp xếp kém hợp lý sẽ làm
tăng mức độ rủi ro.
Thủ tục phản ứng sự cố không chi tiết, như phản ứng chậm với các
hành động kiểm thử xâm nhập.
148
Việc đào tạo cho cả người dùng cuối (như nhận thức sai các kỹ thuật
kỹ nghệ xã hội và tấn công lừa đảo, triển khai trên các điểm truy cập
không dây giả mạo) và cả cho quản trị mạng và hệ thống (như phát
triển hệ thống an ninh không đủ mạnh, khả năng duy trì bảo mật
yếu).
Thiếu các chính sách an ninh và thực thi chính sách (như các hoạt
động mở cổng, dịch vụ được sử dụng, các giao thức không an toàn,
các máy chủ giả mạo, mật khẩu yếu,…).
Một cơ sở để tham khảo trong quá trình phân tích chính là tiêu chuẩn
NIST về cơ sở dữ liệu lỗ hổng quốc gia (National Vulnerability Database NVD). NVD là một cơ sở dữ liệu bao gồm các thông tin về các lỗ hổng và lỗi
khai thác phổ biến (Common Vulnerablity and Exposures – CVE), là một danh
sách các tên chuẩn cho các lỗ hổng đã được nhận biết. NVD ánh xạ các lỗ hổng
với hệ thống tham chiếu lỗ hổng thường gặp (Common Vulnerability Scoring
System – CVSS) và cung cấp các thông tin bổ sung liên quan đến đến lỗ hổng
và các tài nguyên để tham chiếu đến các đề xuất giảm thiểu rủi ro.
Một mục đích khác của quá trình phân tích là nhận biết các lỗ hổng quan
trọng mà tổ chức cần phải xử lý ngay lập tức trong suốt quá trình đánh giá. Ví
dụ nếu quá trình kiểm thử xâm nhập phát hiện ra lỗ hổng mà đánh giá viên có
quyền quản trị trên hệ thống, thì đánh giá viên cần phải thông báo ngay cho
những cá nhân được xác định trong kế hoạch kiểm thử hoặc ROE.
6.4.
XỬ LÝ DỮ LIỆU
Trong quá trình đánh giá, phương pháp xử lý dữ liệu của tổ chức rất quan
trọng để đảm bảo bảo vệ dữ liệu nhạy cảm của tổ chức bao gồm kiến trúc hệ
thống, cấu hình an toàn, và các lỗ hổng hệ thống. Tổ chức cần đảm bảo phải lập
tài liệu yêu cầu hợp lý cho việc xử lý dữ liệu trong kế hoạch đánh giá và ROE,
và tuân thủ các chính sách điều hành liên quan đến việc xử lý các lỗ hổng hệ
thống. Phần này cung cấp các phương pháp được đề xuất để thu thập, lưu trữ và
truyền các dữ liệu đánh giá trong quá trình tham gia cũng như lưu trữ và hủy bỏ
dữ liệu khi đánh giá hoàn thành.
149
6.4.1. Thu thập dữ liệu
Đội kiểm thử cần phải thu thập các thông tin có liên quan cho việc đánh
giá trong suốt quá trình đánh giá. Bao gồm các thông tin liên quan đến kiến trúc,
cấu hình của mạng được đánh giá, cũng như các thông tin liên quan đến hoạt
động của đánh giá viên. Do những thông tin này đều là những thông tin nhạy
cảm nên cần phải xử lý một cách thích hợp. Các loại thông tin mà người đánh
giá cần thu thập bao gồm:
Kiến trúc và cấu hình: Dựa vào loại đánh giá và kết quả mong muốn
mà sẽ quyết định loại dữ liệu cần thu thập, không giới hạn tên hệ
thống, địa chỉ IP, hệ điều hành, vị trí mạng vật lý và logic, cấu hình
bảo mật và các lỗ hổng.
Hoạt động đánh giá: Đánh giá viên cần giữ một bản nhật ký có các
thông tin hệ thống đánh giá và ghi lại từng bước hoạt động đánh giá.
Việc này cung cấp một bằng chứng rõ nét cho phép tổ chức có thể
phân biệt hành động giữa đánh giá viên và kẻ tấn công thật sự. Bản ghi
hoạt động được sử dụng để phát triển bản báo cáo kết quả đánh giá. Sử
dụng lưu vết bàn phím trên hệ thống của đánh giá viên có thể sinh ra
một bản nhật ký ghi lại từng bước các hoạt động của việc kiểm thử
mặc dù việc này không ghi lại được những lần click chuột và các hoạt
động khác.
Đối với các công cụ tự động, đánh giá viên cần phải duy trì việc ghi nhật
ký cho mỗi công cụ được sử dụng. Khi đánh giá viên có thể lựa chọn xuất đầu ra
của việc ghi vết bàn phím hoặc các công cụ ghi nhật ký trên các hệ thống riêng
biệt để tạo ra một tập hợp lưu trữ tập trung và có khả năng kiểm toán, thì sử
dụng các tiếp cận thủ cộng là một hoạt động ghi nhật ký mà theo vết mỗi câu
lệnh được thực thi bởi người đánh giá trên hệ thống mạng. Cách tiếp cận này sẽ
làm tốn thời gian của người đánh giá. Nếu hoạt động ghi nhật ký được sử dụng,
thì ít nhất phải ghi lại các thông tin liên quan đến ngày, giờ, tên người đánh giá,
nhận dạng hệ thống đánh giá (IP, MAC), công cụ sử dụng, các câu lệnh thực thi,
và các ý kiến nhận xét.
150
6.4.2. Lưu trữ dữ liệu
Bảo mật dữ liệu được thu thập trong suốt quá trình đánh giá bao gồm lỗ
hổng, kết quả phân tích, đề xuất giảm thiểu là trách nhiệm của đánh giá viên.
Việc phát hành các thông tin này không đầy đủ có thể gây tổn hại đến uy tín của
tổ chức và gia tăng khả năng bị khai thác. Tối thiểu, đánh giá viên cần phải lưu
trữ các thông tin sau đây để sử dụng cho viêc xác định, phân tích, báo cáo cho
các thế trận an ninh của tổ chức, và cung cấp các khả năng kiểm toán cho các
hoạt động kiểm thử:
Kế hoạch đánh giá và ROE.
Tài liệu về cấu hình an ninh hệ thống và kiến trúc mạng.
Kết quả thu được từ các công cụ tự động và những phát hiện khác.
Báo cáo kết quả đánh giá.
Kế hoạch khắc phục và các mốc thời gian (POA&M).
Nhiều lựa chọn trong việc lưu trữ các thông tin về các lỗ hổng được phát
hiện như là giữ các phát hiện trong một đầu ra bởi các công cụ được sử dụng và
nhập các phát hiện vào trong cơ sở dữ liệu. Hầu hết các công cụ quét lỗ hổng
đều có các khuôn dạng báo cáo về hệ thống, lỗ hổng và các công nghệ giảm
thiểu được đề xuất. Đây cũng là cách tiếp cận thích hợp nếu đánh giá trong
phạm vi nhỏ (ví dụ, chỉ sử dụng 1 công cụ). Với việc đánh giá sâu, tổ chức lớn
hơn hoặc sử dụng nhiều công cụ hoặc nhiều cách tiếp cận đánh giá thì cần phải
nhiều phương pháp lưu trữ mạnh và tương tác hơn được phát triển như một hệ
thống tính toán hoặc cơ sở dữ liệu. Mặc dù chức năng bị giới hạn, bảng tính có
thể thích hợp trong việc kiểm thử hoặc kiểm tra đơn lẻ, vì dễ sử dụng, nhanh
chóng xây dựng và có thể chứa được một số các công cụ có thể cho định hình
các phát hiện trong một định dạng tương thích. Đối với việc kiểm tra và kiểm
thử phức tạp hơn với nhiều cách tiếp cận, nhiều hành động đánh giá được thực
hiện hoặc nhiều tình huống cần các dữ liệu liên quan thì nên phát triển một cơ sở
dữ liệu.
Tổ chức cần đảm bảo việc lưu trữ an toàn toàn bộ các dữ liệu đánh giá
nhạy cảm, như kế hoạch đánh giá hoặc ROE, dữ liệu lỗ hổng thô, và các báo cáo
151
đánh giá. Nếu trong tay của kẻ tấn công có các dữ liệu liên quan đến kiến trúc
mạng, cấu hình hệ thống, kiểm soát an ninh và các lô hổng hệ thống đặc biệt thì
sẽ giúp chúng có được một kế hoạch cụ thể và đường lối để khai thác hệ thống
thông tin của tổ chức dễ dàng. Tổ chức cũng có thể lựa chọn lưu trữ dữ liệu trên
các thiết bị lưu trữ di động hoặc ngay trên hệ thống để có thể truy cập khi cần.
Các thiết bị lưu trữ di động hoặc các hệ thống được thiết kế để lưu trữ dữ liệu
cần phải được cách ly logic và vật lý với các nguồn mạng hàng ngày. Việc truy
cập tới các hệ thống này và thông tin lưu trên hệ thống phải được hạn chế phân
quyền, và chỉ có những người có trách nhiệm và vai trò mới được phép truy cập.
Dữ liệu này cũng cần được mã hóa theo chuẩn FIPS 140-2 để đảm bảo an toàn
dữ liệu.
Yêu cầu lưu trữ dữ liệu đánh giá có thể không được công bố chính thức
nhưng cũng cần đưa vào trong kế hoạch đánh giá và ROE. Việc duy trì các bản
ghi chính xác cho việc đánh giá sẽ giúp tổ chức có thể theo dỗi được dấu vết của
các lỗ hổng và có thể triển khai các hành động giảm thiểu các rủi ro đó….
Hệ thống đánh giá – như máy chủ, máy tính xách tay, và các thiết bị di
động cũng phải có những biện pháp bảo vệ về mặt logic và vật lý tại nơi hoạt
động. Ví dụ, thiết bị di động không được để trên xe mà không khóa cửa xe, hoặc
ở khu vực trống trải, các thiết bị di động ở phòng khách sạn cũng phải được bảo
vệ bởi cáp khóa, cất trong phòng riêng hoặc các biện pháp vật lý khác. Ngoài
bảo vệ vật lý, các đánh giá viên cũng đảm bảo rằng hệ thống được cấu hình để
ngăn chặn kẻ tấn công có thể làm tổn thương nguy hại tới hệ thống.
Đánh giá viên cần thực hiện các biện pháp thích hợp để bảo vệ tính toàn
vẹn và bí mật của dữ liệu hế thống, tối thiểu là phải sử dụng mật khẩu mạnh – và
khuyến cáo các tổ chức thực hiện xác thực 2 nhân tố. Ngoài ra, tất cả các dữ liệu
trong hệ thống cần phải được mã hóa và thực hiện các cơ chế xác thực riêng biệt
để giới hạn việc truy cập vào các thông tin được mã hóa.
6.4.3. Truyền dữ liệu
Việc truyền các dữ liệu đánh giá như cấu hình hệ thống, lỗ hổng qua
mạng và Internet là điều không thể tránh khỏi, và việc bảo đảm an toàn cho các
dữ liệu khi truyền trên mạng không bị tổn thương là điều vô cùng quan trọng.
152
Kế hoạch đánh giá và ROE cần phải giải quyết các yêu cầu và tiến trình cho việc
truyền dữ liệu nhạy cảm trên mạng và Internet.
Phương pháp truyền dữ liệu nhạy cảm bảo gồm việc mã hóa các tệp trên
chứa dữ liệu nhạy cảm, mã hóa kênh thông tin tuân theo FIPS (VPN, SSL) và
truyền các thông tin thông qua việc giao nhận các bản copy.
6.4.4. Hủy bỏ dữ liệu
Khi các dữ liệu đánh giá không còn cần thiết, hệ thống đánh giá, các tài
liệu sao lưu, các phương tiện cần phải được thu dọn sạch sẽ. Việc thu dọn dữ
liệu được chia thành 4 loại:
Sắp xếp: Với các phương tiện (media) thì không khuyến khích việc
loại bỏ, thường thực hiện với những giấy tờ mà không chứa nội
dung quan trọng, tuy nhiên cũng có thể là các lưu trữ khác.
Làm sạch: Là một mức độ thu dọn dữ liệu để đảm bảo tính bí mật
của dữ liệu khỏi các tấn công theo vết bàn phím. Việc xóa các dữ
liệu không phải là phương pháp hiệu quả cho việc làm sạch. Việc
làm sạch phải làm cho các thông tin tránh được việc khôi phục từ
các dữ liệu, các ổ đĩa hoặc các tiện ích khôi phục dữ liệu, và phải có
khả năng chống được tấn công dựa vào bàn phím (keystroke) từ các
thiết bị đầu vào hoặc các công cụ tìm kiếm. Một trong số các
phương pháp được chấp nhận cho việc làm sạch thông tin là việc
ghi đè dữ liệu (overwriting).
Tẩy sạch: Quá trình thu dọn phương tiện là để bảo vệ tính bí mật
của dữ liệu khỏi các tấn công. Với một số dữ liệu, việc làm sạch
vẫn chưa đủ hiệu quả để che dấu. Ví dụ về việc làm sạch dữ liệu là
thực thi các câu lệnh firmware Secure Erase (chỉ cho các ổ đĩa ATA
– Advanced Technology Attachment) và khử từ.
Tiêu hủy: Phá hủy vật lý các thiết bị để không có khả năng sử dụng
giúp tránh thu được dữ liệu lưu trong đó. Việc phá hủy vật lý có thể
thực hiện bởi các phương pháp như: đốt, đập nát, nung chảy,
nghiền,…
153
Các tổ chức cần duy trì chính sách yêu cầu cho việc xử lý hủy bỏ hệ thống
đánh giá. Chuẩn NIST SP 800-88 đưa ra một lược đồ luồng để hỗ trợ tổ chức
trong việc xác định các phương pháp hủy bỏ dữ liệu áp dụng phù hợp vào từng
hoàn cảnh. Kế hoạch đánh giá và ROE cũng cần xác định các yêu cầu hủy bỏ
cho mỗi lần kiểm thử cụ thể.
Các đánh giá viên từ bên thứ ba cũng cần hiểu yêu cầu hủy bỏ dữ liệu của
các tổ chức có thể khác nhau và ở các bộ phận trong cùng tổ chức cũng có
những yêu cầu khác nhau. Ví dụ, một vài tổ chức ngăn cấm các đánh giá viên
bên ngoài truy cập vào dữ liệu đánh giá khi họ đã nộp bản báo cáo cuối cùng.
Trong trường hợp này, các cá nhân có trình độ của tổ chức sẽ xác nhận các
phương pháp hủy bỏ dữ liệu cần phải được thực hiện.
154
Chương 7
CÁC HOẠT ĐỘNG SAU ĐÁNH GIÁ
Sau giai đoạn kiểm tra – phát hiện các lỗ hổng thì cũng cần phải có các
cách để xử lý các lỗ hổng đã được phát hiện. Chương này trình bày cách thức để
biến những phát hiện thành các hành động nhằm nâng cao mức độ an toàn của
hệ thống. Đầu tiên, cần thực hiện việc tổng hợp toàn bộ các thông tin có được
trong quá trình lập kế hoạch và thực hiện đánh giá. Tiếp theo, cần phải lập các
báo cáo để trình bày các khuyến cáo đề xuất sử dụng. Cuối cùng là triển khai các
hành động để giảm thiểu hoặc khắc phục các rủi ro có thể xảy ra.
7.1. TỔNG HỢP THÔNG TIN
Sau khi thực hiện đánh giá, đánh giá viên có thể thu được thông tin về các
rủi ro có thể xảy đến đối với hệ thống. Các rủi ro được tìm thấy thông qua quá
trình thực hiện kiểm thử an toàn hệ điều hành, kiểm thử an toàn webserver, kiểm
thử an toàn cơ sở dữ liệu, kiểm thử an toàn ứng dụng web, kiểm thử an toàn các
thiết bị mạng và mạng không dây, … hoặc ngay trong quá trình dò quét thu thập
thông tin ban đầu. Tùy từng hệ thống đánh giá mà các đánh giá viên có được các
kết quả khác nhau. Các kết quả thu được phụ thuộc vào hệ thống tồn tại nhiều
hoặc ít điểm yếu, và khả năng khai thác các điểm yếu đó như thế nào.
Phân loại rủi ro cũng là một trong những nội dung quan trọng cần thực
hiện khi tổng hợp thông tin. Mặc dù việc phân tích và phân loại rủi ro đã thực
hiện ngay trong quá trình thực hiện đánh giá, song việc phân loại này nhằm mục
đích sắp xếp lại các rủi ro theo một trật tự logic nhất định. Việc phân loại rủi ro
sẽ giúp cho bản báo cáo được cụ thể và rõ ràng hơn. Như thế ngay cả những
người không hiểu biết nhiều về công nghệ thông tin hoặc không am hiểu về các
tấn công cũng có thể dễ dàng xác định được các nguy cơ có thể xảy đến đối với
hệ thống.
Tùy từng trường hợp mà phân thành các mức độ rủi ro khác nhau. Tuy
nhiên thông thường các rủi ro được chia làm 3 loại như sau:
155
Rủi ro mức cao:
Đây là các rủi ro có mức ảnh hưởng nghiêm trọng tới hệ thống, và cho
phép kẻ tấn công có thể chiếm quyền điều khiển hệ thống. Thông thường trong
các chương trình đánh giá tự động, các rủi ro mức cao sẽ được thể hiện ở màu
đỏ.
Rủi ro mức trung bình:
Đây là các rủi ro có ảnh hưởng tới hệ thống nhưng không ảnh hưởng trực
tiếp như các rủi ro ở mức cao. Các rủi ro ở mức trung bình thường là các rủi ro
liên quan đến quyền sử dụng của người dùng bình thường, có thể thực hiện một
số thao tác lên hệ thống nhưng không thể thực hiện các hành động của người
quản trị. Tuy nhiên kẻ tấn công có thể lợi dụng các rủi ro này để tấn công leo
thang đặc quyền, từ người dùng bình thường nâng quyền lên mức quản trị để
chiếm quyền điều khiển hệ thống. Thông thường trong các chương trình kiểm
thử tự động, các rủi ro mức trung bình sẽ được thể hiện ở màu vàng.
Rủi ro mức thấp:
Đây là các rủi ro có ảnh hưởng tới hệ thống nhưng ảnh hưởng ở mức thấp.
Các rủi ro này thường là các rủi ro về lộ thông tin, lộ tài khoản email, hoặc sử
dụng các thư mục ẩn trong hệ thống, … Khi bị khai thác, kẻ tấn công có thể biết
được một vài thông tin liên quan trong hệ thống nhưng không thể chiếm quyền
điều khiển hệ thống. Thông thường trong các chương trình kiểm thử tự động,
các rủi ro mức thấp sẽ được thể hiện ở màu xanh nhạt.
Đánh giá viên cần tổng hợp thông tin từ tất cả các bước của quá trình thực
hiện đánh giá, và sắp xếp theo các danh mục khác nhau để tiện cho việc lập báo
cáo sau này. Ví dụ:
Các rủi ro tìm thấy trong quá trình thu thập thông tin
Các rủi ro tìm thấy khi thực hiện kiểm thử an toàn hệ điều hành
Windows:
- Thông tin rủi ro
- Mức độ nguy hiểm
156
- Cách thức phát hiện
- Các ảnh hưởng, ….
Các rủi ro tìm thấy khi thực hiện kiểm thử an toàn hệ điều hành Linux
Các rủi ro tìm thấy khi thực hiện kiểm thử an toàn cho WebServer
….
7.2.
BÁO CÁO
Sau khi hoàn tất việc phân tích, cần phải lập ra một báo cáo về việc xác
định hệ thống, mạng và các điểm yếu của tổ chức cùng các hành động khuyến
nghị để giảm thiểu rủi ro. Kết quả đánh giá an ninh được sử dụng trong những
việc sau:
Làm tài liệu tham chiếu cho hoạt động khắc phục sự cố.
Trong vạch rõ các hoạt động giảm thiểu để xử lý những lỗ hổng
được xác định.
Như là một chuẩn mực cho việc theo dõi sự phát triển của tổ chức
trong việc đáp ứng các yêu cầu bảo mật.
Để đánh giá trạng thái thực thi của các yêu cầu bảo mật hệ thống.
Tiến hành phân tích lợi ích/chi phí cho nâng cấp bảo mật hệ thống.
Tăng cường các hoạt động vòng dời như phân tích rủi ro, C&A và
cải tiến quy trình.
Để đáp ứng các yêu cầu báo cáo như trong FISMA.
Các kết quả đánh giá cần phải được ghi lại và cung cấp cho những người
thích hợp, bao gồm CIO, CISO và ISSO cũng như là các quản trị chương trình
hoặc chủ sở hữu hệ thống. Bởi vì một báo cáo có thể có nhiều đối tượng, nhiều
định đạng báo cáo có thể được đề ra để đảm bảo rằng đều phù hợp với nhiều đối
tượng. Ví dụ, báo cáo phát triển tổ chức tuân thủ theo FISMA cần đáp ứng các
yêu cầu FISMA như báo cáo về những phát hiện từ việc đánh giá, tuân thủ theo
chuẩn NIST, các khoản thiếu hụt, và các hoạt động khắc phục được lên kế
hoạch. Các báo cáo cũng được thiết kế cho mỗi đối tượng thích hợp, như quản
157
trị chương trình, quản lý thông tin, kỹ sư an ninh, quản lý cấu hình và các nhân
viên kỹ thuật. Các báo cáo nội bộ cần có thêm phương pháp đánh giá, kết quả
đánh giá, các phân tích và POA&M. Một POA&M sẽ bảo bảo rằng các lỗ hổng
sẽ được xử lý với các hành động cụ thể, có thể đo lường được, có thể đạt được,
thực tế và hữu hình.
Trong báo cáo đánh giá, người đánh giá cần có các thông tin như sau:
Thông tin chung về hệ thống đánh giá
Cấu trúc hệ thống đánh giá
Các rủi ro mức cao
Các rủi ro mức trung bình
Các rủi ro mức thấp
Tổng hợp đánh giá và đề xuất giải pháp
7.2.1. Thông tin chung về hệ thống đánh giá
Đây là các thông tin về hệ thống đánh giá, như:
Địa điểm thực hiện đánh giá
Thời gian thực hiện đánh giá
Người thực hiện đánh giá
Người theo dõi đánh giá
Thông tin về hợp đồng đánh giá
Phiên bản báo cáo, …
Các thông tin này giúp cho người đánh giá và đơn vị cần thực hiện đánh
giá biết được các thông tin chung về mục tiêu, địa điểm, đối tượng thực hiện.
Đồng thời đây cũng là căn cứ pháp lý khi có sự cố xảy ra.
7.2.2. Cấu trúc hệ thống đánh giá
Đây là các thông tin về sơ đồ cấu trúc hệ thống đánh giá. Đối với kiểm
thử an toàn cho Website, người đánh giá cần liệt kê cấu trúc sơ đồ hệ thống
Website dựa trên các thư mục và file của trang Web. Đối với kiểm thử an toàn
158
cho hệ thống, người đánh giá cần thể hiện sơ đồ hệ thống đánh giá thông qua sơ
đồ mạng và địa chỉ IP cụ thể.
Ví dụ về liệt kê cấu trúc của Website:
Hình 7.1. Cấu trúc Website đánh giá
Ví dụ về cấu trúc hệ thống mạng đánh giá:
Hình 7.2. Cấu trúc mạng đánh giá
159
7.2.3. Các rủi ro mức cao
Để dễ dàng cho người đọc báo cáo, người lập báo cáo cần tổng hợp các
thông tin theo các mức độ rủi ro khác nhau. Cụ thể, cần liệt kê từng điểm yếu
đối với từng thử nghiệm đánh giá theo các mục như:
Mức độ nguy hại
Công cụ sử dụng (nếu có)
Cách thức kiểm tra
Kết quả
Mô tả về nguy hại có thể xảy đến
Các khuyến cáo để phòng chống rủi ro
Dưới đây là một ví dụ cụ thể về lập báo cáo đối với điểm yếu Cross Site
Scripting:
- Mức độ nguy hại: Cao
- Công cụ: Firefox, Internet Explorer, …
- Cách kiểm tra:
Gõ một từ khóa bất kỳ, ví dụ "a" vào trang login email tại địa chỉ:
http://test.edu.vn/Email/web/default.asp
--->
Xuất
hiện
thông
báo
lỗi
tại
URL
của
IE:
http://test.edu.vn/Email/web/default.asp?error_code=213&values=a@test.edu.v
n||a||210.245.84.7||210.245.84.7||110||25||0&mode=standard_login
Thử thay ký tự "a" ở trên bằng 1 đoạn script:
http://test.edu.vn/Email/web/default.asp?error_code=213&values=
>"''><script
src="javascript:alert(document.cookie)">@test.edu.vn||>"''><script
src="javascript:alert(document.cookie)">||210.245.123.12||210.245.
123.12||110||25||0&mode=standard_login
160
---> Xuất hiện thông báo lỗi của Internet Explorer
ASPSESSIONIDQCADAQBS=JCFBFJIAEMALMLKEEOAKCF
LL.
- Kết quả: Trang Web bị lỗi Cross Site Scripting tại địa chỉ:
http://test.edu.vn/email/web/default.asp
- Mô tả + Rủi ro có thể gặp phải: Khi đã phát hiện được lỗi Cross Site
Scripting, Hacker có thể thực thi một đoạn Script bằng cách liên kết đến một
trang web nào đó, hoặc có thể xây dựng file script rồi cho URL trỏ đến file đó để
thực thi file, hoặc đánh cắp account khi thực hiện tấn công hijacking, thay đổi
các thiệt đặt của người sử dụng, đánh cắp cookie, …
- Khuyến cáo: Để fix lỗi này thì khi GET data từ url phải lọc các ký tự
như < hoặc > và các từ đặc biệt như script chẳng hạn.
Đối với các điểm yếu khác, chúng ta cũng thực hiện tương tự như trên.
7.2.4. Các rủi ro mức trung bình và mức thấp
Với các rủi ro ở mức trung bình và mức thấp, quy trình lập báo cáo cũng
hoàn toàn tương tự như với lập báo cáo với các rủi ro ở mức cao. Đầu tiên cần
nhấn mạnh lại mức độ nguy hại, sau đó mô tả về các công cụ thực hiện, phương
thức thực hiện, kết quả thu được và các khuyến cáo khắc phục rủi ro.
7.3.
KHẮC PHỤC/GIẢM THIỂU
POA&M cung cấp cho cơ quan quản lý chương trình như hành động cụ
thể và được yêu cầu để giảm thiểu các rủi ro ở mức phù hợp và có thể chấp nhận
được. Khi bổ sung POA&M, tổ chức có thể xem xét việc phát triển một chiến
lược và quy trình để thực hiện kế hoạch. Tổ chức có thể thực hiện ít nhất 4 bước
được nêu dưới đây trong quá trình thực hiện việc khắc phục hậu quả, điều này
cung cấp tính nhất quá và tổ chức cho các quản lý chương trình và nhân lực an
ninh.
Bước đầu tiên trong quá trình là kiểm thử các khuyến cáo đề xuất khắc
phục. Trước khi thực hiện các thay đổi kỹ thuật đến một sản phẩm, việc kiểm
thử cần thực hiện trên hệ thống kiểm thử trong môi trường giống với mạng có
thực hiện các hành vi giảm thiểu. Ví dụ, trước khi đưa lên bản thương mại, các
161
bản vá cần cài đặt để các hệ thống khác nhau trong môi trường kiểm thử để xác
định các tác động tiêu cực. Việc kiểm thử này có thể làm giảm đáng kể các rủi
ro trong hệ thống gây ra những ảnh hưởng tiêu cực tới việc thay đổi kỹ thuật,
nhưng không loại trù các rủi ro này.
Tiếp theo, POA&M cần phối hợp với kiểm soát cấu hình tổ chức hoặc ủy
ban quản lý cấu hình bởi vì POA&M đề xuất các thay đổi cho hệ thống, mạng,
chính sách hoặc quy trình có sẵn. Việc liên kết các thay đổi POA&M ở cả quá
trình triển khai và lúc kết thúc sẽ giảm bảo các cá nhân phù hợp sẽ biết được các
thay đổi diễn ra và tác động của thay đổi đó với môi trường, nhiệm vụ và điều
hành. Ít nhất, người quản trị chương trình hoặc chủ hệ thống cũng phải được
thông báo trước khi thực thi các hành động POA&M và cần phê duyệt các hành
động giảm thiểu đã được lên kế hoạch trước khi thực hiện chúng.
Để có được sự phê duyệt quản lý cũng là một khó khăn. Cần xác định tại
sao lại cần thiết (ví dụ, liệu rằng được điều hành bởi chính sách hay công nghệ)
và các tác động tích cực có thể được thực hiện với các hành động giảm thiểu
(như nâng cao kịch bản an ninh và tuân thủ theo). Phân tích chi phí lợi ích cũng
cung cấp cho người quản lý một bản phân tích định lượng về phần thu được
trong việc thực hiện POA&M. Lợi ích khác là có thể trao đổi với các lãnh đạo
cấp cao để giảm thiểu việc khai thác hệ thống, gia tăng kiểm soát tài nguyên,
giảm thiểu lỗ hổng, có cách tiếp cận sớm để bảo vệ an ninh và duy trì sự tuân
thủ chính sách.
Thứ ba, hành động giảm thiểu được thực hiện và được kiểm tra để đảm
bảo việc thực thi chính xác và hợp lý. Việc kiểm tra có thể diễn ra bằng việc tiến
hành một thống kê hệ thống, kiểm thử lại hệ thống và các thành phần hệ thống
và đưa các nhân viên có trách nhiệm vào trong văn bản. Việc thống kê hệ thống
cung cấp một việc xác nhận kỹ thuật cho các thay đổi có thể được thực hiện
trong hệ thống, có thể được tiến hành bởi một đối tác an ninh bên ngoài hoặc đội
kiểm thử bảo mật từ xa.
Các đội thống kê có thể sử dụng các chiến lược giảm thiểu như một
checklist để đảm bảo mỗi hành động đều được thực hiện, cũng như kiểm thử lại
sẽ xác nhận rằng các hành động giảm thiểu được hoàn tất. Đội kiểm thử có khả
162
năng xác minh các thực thi chỉ khi việc kiểm thử gốc được sao chép, nhân bản.
khi công nghệ phát triển, các lỗ hổng mới có thể được phát hiện trong quá trình
kiểm thử an toàn. Tổ chức có thể lựa chọn để xác minh việc thực hiện chiến lược
giảm thiểu thông qua các phương tiện phi kỹ thuật như tài liệu. Ví dụ, việc thích
hợp và hiệu quả để giữ nhân lực an ninh có trách nhiệm thực thi chiến lược giảm
thiểu là yêu cầu họ ký vào các biên bản miêu tả các hành động đã thực hiện. Khi
phương pháp này khá hiệu quả về mặt kinh tế trong thời gian ngắn, thì việc
không xác nhận các thay đổi đã được hoàn tất có thể gây ra những rủi ro phát
sinh.
Cuối cùng, như một phần của chiến lược thực hiện, cần phải cập nhật
POA&M để xác định các hoạt động được thực thi hoàn toàn, thực thi từng phần
hoặc các hoạt động đang trong quá trình chờ. Đảm bảo rằng POA&M được tích
hợp vào quy trình quản lý cấu hình của tổ chức sẽ tạo điều kiện cho việc theo
dấu tập trung và quản lý thay đổi của hệ thống, chính sách, quy trình và thủ tục
cũng như cung cấp một cơ chế giám sát để đáp ứng việc tuân thủ các yêu cầu.
7.4.
MỘT SỐ MẪU BÁO CÁO THAM KHẢO
Dưới đây là một số ví dụ về mẫu báo cáo kiểm thử an toàn hệ thống thông
tin:
7.4.1. Báo cáo thu thập thông tin
Ví dụ về một số nội dung trong báo cáo thu thập thông tin theo mẫu báo
cáo EC-Council:
163
Hình 7.3. Mẫu báo cáo kiểm thử thu thập thông tin của EC-Council
Kiểm thử 1: Tìm địa chỉ URL của tổ chức
Tổ chức kiểm thử
URL được phát hiện
Có
URL
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 2: Vị trí URL nội bộ
Tổ chức kiểm thử
164
Không
URL
Các URL nội bộ
1.
2.
3.
4.
5.
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 3: Xác định các trang web công cộng và trang web riêng của
tổ chức
Tổ chức kiểm thử
URL
Các trang Web riêng
1.
2.
3.
4.
5.
Các trang Web công cộng
1.
2.
3.
4.
5.
165
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 4: Tìm kiếm thông tin của tổ chức
Tổ chức kiểm thử
URL
Thông tin thu được
1.
2.
3.
4.
5.
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 5: Liệt kê danh sách thông tin liên hệ, địa chỉ email và số điện
thoại của các thành viên tổ chức
166
Tổ chức kiểm thử
URL
Số điện thoại liên hệ
1.
2.
3.
4.
5.
Email cá nhân
1.
2.
3.
4.
5.
Địa chỉ
1.
2.
3.
4.
5.
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
7.4.2. Báo cáo kiểm thử mạng nội bộ
Ví dụ về một số nội dung trong báo cáo kiểm thử mạng nội bộ theo mẫu
báo cáo EC-Council:
167
Hình 7.4. Mẫu báo cáo kiểm thử an toàn mạng nội bộ của EC-Council
Kiểm thử 1: Bản đồ mạng nội bộ
Tổ chức kiểm thử
URL
Danh sách các thiết bị mạng
Đã phát hiện
Hub
Switch
Máy chủ
Máy tin
Máy trạm
Access Point
Tường lửa
Máy chủ Proxy
Máy khách
Khác
Loại và Model
1.
2.
168
3.
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 2: Dò quét mạng để tìm các máy đang hoạt động
Tổ chức kiểm thử
URL
Dải mạng được quét
Danh sách địa chỉ IP đang
hoạt động
1.
2.
3.
4.
5.
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
169
Kiểm thử 3: Quét cổng các máy tính cá nhân
Tổ chức kiểm thử
URL
Địa chỉ IP
Tên máy
Cổng mở
1.
2.
3.
4.
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 4: Thử lấy quyền truy cập bằng cách khai thác các điểm yếu
đã biết
Tổ chức kiểm thử
URL
Địa chỉ IP đã kiểm thử
Tên máy
Điểm yếu đã khai thác
1.
2.
3.
4.
170
5.
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 5: Thử thiết lập null session
Tổ chức kiểm thử
URL
Địa chỉ IP đã kiểm thử
Tên máy
Thử nghiệm null session có
thành công không?
Nếu thành công, liệt kê danh
sách các username và các
thông tin khác ở đây
Có
1.
2.
3.
4.
5.
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
171
Không
Kiểm thử 6: Điểm danh người sử dụng
Tổ chức kiểm thử
URL
Địa chỉ IP đã kiểm thử
Tên máy
Điểm danh người sử dụng,
chính sách mật khẩu, chính
sách nhóm dựa vào thiết lập
null session là thành công?
Nếu thành công, liệt kê
thông tin thu được ở đây
Có
Không
1.
2.
3.
4.
5.
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
7.4.3. Báo cáo kiểm thử tường lửa
Ví dụ về một số nội dung trong báo cáo kiểm thử tường lửa theo mẫu báo
cáo EC-Council:
172
Hình 7.5. Mẫu báo cáo kiểm thử tường lửa của EC-Council
Kiểm thử 1: Vị trí đặt tường lửa
Tổ chức kiểm thử
URL
Vị trí tường lửa
Địa chỉ IP tường lửa
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 2: Traceroute để xác định dải mạng
Tổ chức kiểm thử
173
URL
Địa chỉ IP đã trace
Kết quả Tracert
Số lượng các hop
Thời gian timeout
Các địa chỉ IP đã hop
1.
2.
3.
4.
5
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 3: Quét cổng tường lửa
Tổ chức kiểm thử
URL
Các cổng mở
7 Echo
109 Post Office Protocol 2
(POP2)
13 DayTime
110 Post Office Protocol 3
(POP3)
174
17 Quote of the Day (QOTD)
113 IDENT
20 và 21 File Transfer Protocol
(FTP)
115 Simple File Transfer
Protocol (SFTP)
22 Secure Socket Shell (SSH)
137, 138, and 139 NetBIOS
23 Telnet
143 Internet Message Access
Protocol (IMAP)
25 SMTP
161 và 162 Simple Network
Management Protocol
53 Domain Name System
(DNS)
194 Internet Relay Chat (IRC)
63 Whois
443 HTTPS
66 SQL*net (Oracle)
Các cổng khác:
70 Gopher
79 Finger
80 HTTP
88 Kerberos
101 Host Name Server
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 4: Lấy thông tin Banner
Tổ chức kiểm thử
URL
175
Thông điệp banner
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
Kiểm thử 16: Kiểm thử các điểm yếu cụ thể trên tường lửa
Tổ chức kiểm thử
URL
Địa chỉ IP tường lửa kiểm
thử
Danh sách các công cụ cụ
thể để khai thác điểm yếu
tường lửa
1.
2.
3.
4.
Phản hồi nhận được từ việc
thực thi các công cụ khai
thác điểm yếu
Công cụ/ dịch vụ sử dụng
1.
2.
3.
4.
Phân tích kết quả:
176
7.5.
BÀI TẬP
1. Thực hành đọc và lập báo cáo kiểm thử an toàn hệ thống mạng.
2. Thực hành đọc và lập báo cáo kiểm thử an toàn ứng dụng web.
177
Chương 8
KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN
Đảm bảo an toàn thông tin cần phải được thực hiện đồng bộ, nhất quán
trên tất cả các phương diện của hệ thống thông nghệ thông tin từ việc xây dựng
quy trình, triển khai chính sách, áp dụng các giải pháp công nghệ đến vấn đề đào
tạo nhận thức cho người sử dụng. Tất cả các giải pháp, các chính sách đều cần
tuân theo quy chuẩn và theo quy định của nhà nước. Chỉ các hệ thống đáp ứng
được các điều kiện an toàn theo tiêu chuẩn mới có thể khẳng định hệ thống
thông tin đó là an toàn, từ đó mới tạo được lòng tin với khách hàng, các đối tác.
Để khẳng định một hệ thống thông tin là an toàn, cần phải có sự kiểm tra
và chứng nhận. Việc kiểm tra cũng phải tuân theo một quy trình cụ thể để có thể
đánh giá được hệ thống một cách tổng quan và chính xác nhất. Việc kiểm tra
tính tuân thủ về mặt an toàn trong hệ thống công nghệ thông tin như thế được
biết đến là kiểm định an toàn thông tin. Chương này sẽ trình bày sơ lược về khái
niệm kiểm định, các chuẩn kiểm định và một số mô hình kiểm định được sử
dụng tại một số quốc gia trên thế giới.
8.1. TỔNG QUAN VỀ KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG
TIN
8.1.1. Khái niệm kiểm định an toàn hệ thống thông tin
Công tác kiểm định, đánh giá chất lượng an toàn thông tin các hệ thống
CNTT đã được quan tâm và phát triển trên thế giới từ những năm 80 của thế kỷ
trước. Những nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh, ... đã đưa ra
các hệ thống tiêu chí đánh giá an toàn thông tin các hệ thống CNTT với nội
dung ngày càng được hoàn chỉnh, như Sách Da cam (năm 1983) – Tiêu chí đánh
giá hệ thống máy tính được tin cậy (TCSEC - Trusted Computer System
Evaluation Criteria); sách Đỏ (năm 1987) – Các hệ thống phân bố được bảo vệ;
sách Hồng (năm 1991) – Cơ sở dữ liệu được bảo vệ. Các nước châu Âu đưa ra
Các tiêu chí an toàn CNTT (năm 1991) (Information Technology Security
Evaluation Criteria - ITSEC)....
178
Mục đích của kiểm định an toàn hệ thống thông tin là kiểm tra, đánh giá
mức độ an ninh thông tin trong một tổ chức nhằm xác định hệ thống công nghệ
thông tin của tổ chức đó có đạt được các yêu cầu về an toàn theo các tiêu chí đã
đề ra hay không. Đó chính là căn cứ khẳng định hệ thống đã đáp ứng được các
điều kiện về an toàn; và là một bằng chứng tạo niềm tin đối với khách hàng,
cũng như thể hiện sự tuân thủ các qui định trong việc đảm bảo an toàn thông tin
của cơ quan tổ chức.
Kiểm định an toàn thông tin là một phương pháp để xác định, đạt được và
duy trì một mức độ thích hợp với yêu cầu bảo mật trong một tổ chức. Việc kiểm
định an toàn thông tin nhằm nâng cao mức độ an toàn thông tin, tránh những sai
sót trong thiết kế bảo mật thông tin, tối ưu hóa hiệu quả của các biện pháp bảo
vệ an ninh và các quy trình bảo mật. Điều này đảm bảo khả năng hoạt động, uy
tín, tài sản của tổ chức. Kết quả của một quá trình kiểm định an toàn thông tin là
các báo cáo kiểm định, cho thấy sơ bộ về tình trạng an ninh trong tổ chức, có thể
cùng với các hành động cần thiết được đưa ra dựa trên những khiếm khuyết an
ninh hiện có, và được sử dụng như một trợ giúp trong quá trình tối ưu hóa tiếp
theo thực hiện trên hệ thống quản lý an toàn thông tin. Báo cáo kiểm định an
toàn thông tin cũng là cơ sở để các cơ quan chức năng cấp chứng nhận cho tổ
chức về các khía cạnh an toàn mà tổ chức đã đạt được.
8.1.2. Các dạng kiểm định an toàn thông tin
Không phải tổ chức nào cũng có thể thực hiện đầy đủ các yêu cầu về an
toàn thông tin cho tất cả các đối tượng thông tin trong tổ chức của mình. Do vậy
việc kiểm định an toàn thông tin cũng không phải lúc nào cũng áp dụng với toàn
bộ hệ thống thông tin tại một cơ quan tổ chức. Kiểm định an toàn thông tin có
thể được chia thành 2 dạng: kiểm định an toàn thông tin toàn bộ và kiểm định an
toàn thông tin một phần.
Kiểm định an toàn thông tin toàn bộ là phương pháp kiểm định với việc
tiếp cận toàn diện hệ thống thông tin. Các đối tượng kiểm định là toàn bộ vấn đề
an toàn trong tổ chức. Mục tiêu của kiểm định an toàn thông tin toàn bộ là để có
được một cái nhìn toàn diện về tình trạng an ninh thông tin của cơ quan.
179
Kiểm định an toàn thông tin một phần được giới hạn trong một phần nhất
định của tổ chức như một phân vùng mạng cụ thể, một khu vực trong tổng thể
toàn bộ tổ chức, … Các kiểm tra được thực hiện trong trường hợp này là có
chiều sâu hơn so với kiểm định an toàn thông tin toàn bộ. Kiểm định an toàn
thông tin một phần đặc biệt thích hợp cho việc kiểm tra các quy trình nghiệp vụ
quan trọng.
Do kiểm định an toàn thông tin từng phần được giới hạn trong các quy
trình nghiệp vụ hoặc thủ tục nhất định, nên chỉ có một số hạn chế các đối tượng
được kiểm tra. Điều này cho phép các kiểm tra diễn ra nghiêm ngặt hơn. Hơn
nữa, các quy tắc và thủ tục áp dụng với kiểm định an toàn thông tin một phần có
thể được sử dụng cho việc kiểm định chéo lẫn nhau.
8.1.3. Các khía cạnh quan trọng trong kiểm định an toàn thông tin
Nhóm kiểm định an toàn thông tin là độc lập và khách quan. Mỗi nhóm
kiểm định an toàn thông tin phải bao gồm ít nhất hai kiểm định viên an toàn
thông tin để đảm bảo sự độc lập và khách quan của kiểm định. Thủ tục này đảm
bảo tính khách quan, triệt để, và không thiên vị. Không có thành viên nào của
đội, vì những lý do của sự độc lập và khách quan, được trực tiếp tham gia hỗ trợ
hoặc quản lý các khu vực được kiểm định. Họ không được tham gia vào sự phát
triển của khái niệm hay cấu hình hệ thống.
Không có thông tin nào được giữ lại từ các đội kiểm định an toàn thông
tin. Điều này có nghĩa là các kiểm định viên không được phép sử dụng các
thông tin nhạy cảm được cung cấp sau khi thực hiện kiểm định. Trong trường
hợp cần thiết, kiểm định viên hoặc cơ quan kiểm định phải được sự đồng ý của
tổ chức thực hiện kiểm định mới được sử dụng các thông tin đó.
Các danh mục kiểm định và các tiêu chuẩn kiểm định là tài liệu tham
chiếu khi thực hiện kiểm định an toàn thông tin. Việc sử dụng các tài liệu tham
khảo phải được ghi chép và hạch toán cho hợp lý.
Các kiểm định viên an toàn thông tin đòi hỏi một loạt các kiến thức cũng
như kiến thức chuyên sâu trong lĩnh vực bảo mật thông tin. Để chứng minh cho
năng lực của mình, các kiểm định viên cần có các chứng chỉ liên quan tới lĩnh
vực kiểm định.
180
Cần đảm bảo rằng các hoạt động thực tế trong tổ chức không bị gián đoạn
đáng kể bởi các kiểm định an toàn thông tin khi bắt đầu việc kiểm định an toàn
thông tin. Kiểm định viên an toàn thông tin không bao giờ chủ động can thiệp
vào hệ thống, và do đó không cung cấp bất kỳ hướng dẫn cho việc thực hiện
thay đổi đối với các đối tượng được kiểm định.
8.1.4. Đạo đức của chuyên gia kiểm định
Để có được niềm tin trong việc kiểm định khách quan, thì vấn đề đạo đức
của chuyên gia kiểm định là rất cần thiết. Các tiêu chuẩn đạo đức nghề nghiệp
phải được tôn trọng bởi các cá nhân cũng như của các tổ chức thực hiện kiểm
định. Đạo đức nghề nghiệp bao gồm các nguyên tắc sau đây:
Trung thực và bảo mật
Trung thực là nền tảng của sự tin tưởng và tạo cơ sở cho độ tin cậy của
việc đánh giá. Do các quy trình nghiệp vụ nhạy cảm và thông tin thường được
tìm thấy là các thông tin bí mật, do đó việc giữ bảo mật thông tin và xử lý kết
quả kiểm định là một nhiệm vụ hết sức quan trọng và cần thiết. Kiểm định viên
cần nhận thức được giá trị của các thông tin mà họ nhận được và những người
sở hữu nó, và không được phép tiết lộ thông tin này mà không có sự cho phép
tương ứng, trừ khi đó là cơ quan thẩm quyền hợp pháp hoặc cần phải như vậy.
Kiến thức chuyên gia
Kiểm định viên an toàn thông tin chỉ thực hiện những công việc mà họ có
kiến thức, kỹ năng cần thiết cũng như những kinh nghiệm tương ứng và sử dụng
khi thực hiện nhiệm vụ của họ. Ngoài ra, các kiểm định viên cần liên tục nâng
cao kiến thức cũng như tính hiệu quả và chất lượng công việc.
Khách quan và triệt để
Kiểm định viên an toàn thông tin phải chứng minh mức độ cao nhất có thể
về tính khách quan của chuyên gia và triệt để khi thu thập, đánh giá, chuyển tải
thông tin về các hoạt động hoặc quy trình nghiệp vụ được kiểm định. Các đánh
giá của tất cả các trường hợp có liên quan phải được thực hiện một cách khách
quan và không bị ảnh hưởng bởi những lợi ích riêng của kiểm định viên hoặc
các lợi ích của người khác.
181
Khả năng truyền tải
Kiểm định viên an toàn thông tin có trách nhiệm báo cáo các kết quả kiểm
tra chính xác và trung thực của mình. Điều này bao gồm việc trình bày khách
quan và dễ hiểu về các sự kiện trong kiểm định an toàn thông tin cũng như các
khuyến nghị để người đọc, người nghe có thể hiểu và thực hiện.
Xác minh và khả năng tái sử dụng
Các cơ sở hợp lý cho kết luận và kết quả đáng tin cậy, dễ hiểu là rõ ràng
và tài liệu phù hợp của các sự kiện thực tế. Điều này cũng bao gồm các nhóm
kiểm định an toàn thông tin sau một phương pháp có thể tái sử dụng các kế
hoạch kiểm định an toàn thông tin, báo cáo kiểm định an toàn thông tin.
8.2. CÁC TIÊU CHUẨN KIỂM ĐỊNH AN TOÀN THÔNG TIN
Từ khi mạng Internet ra đời vào những năm 60 của thế kỷ trước, vấn đề
về an toàn thông tin đã được nhắc đến và các tiêu chí kiểm định an toàn thông
tin cũng bắt đầu được hình thành. Tiêu chí đầu tiên kiểm định ATTT là TCSEC,
ra đời vào tháng 8/1983. Sau TCSEC, trong thời gian 1985 - 1995, có khoảng 30
tiêu chuẩn và tài liệu hướng dẫn trong lĩnh vực an toàn máy tính, thường được
gọi là Rainbow Series được công bố ở Mỹ. Bộ tài liệu này đề cập đến nhiều vấn
đề của an toàn máy tính, đáng kể nhất trong số đó là Trusted Network
Interpretation, với nội dung giải thích, minh họa TCSEC cho các cấu hình mạng
và mô tả, kiểm định các dịch vụ an toàn các mạng máy tính. Trong tài liệu tiêu
chuẩn này, cơ chế bảo vệ bằng mật mã lần đầu được trình bày, nhằm đảm bảo
tính bí mật và tính toàn vẹn của thông tin. Điểm mới của tài liệu chuẩn này xét
theo góc độ thời điểm là có cách tiếp cận hệ thống đối với vấn đề truy cập và sự
hình thành các nguyên lý cấu trúc hệ thống.
Sau hơn 5 năm xuất hiện TCSEC, cuối những năm 80 chính phủ Mỹ cho
công bố “Các tiêu chí Liên bang đánh giá an toàn công nghệ thông tin”. Đây là
kết quả của nhiều nghiên cứu trong thập kỷ 80 và trên cơ sở phân tích kinh
nghiệm sử dụng TCSEC. Khái niệm cốt lõi của tiêu chuẩn này là Hồ sơ bảo vệ
(Proctection Profile), một trong những khái niệm quan trọng nhất trong hệ thống
các tiêu chuẩn đánh giá. Đó là tài liệu tiêu chuẩn qui định các phương diện an
182
toàn của sản phẩm CNTT dưới dạng các yêu cầu đối với tất cả các giai đoạn:
thiết kế, hoàn chỉnh công nghệ, chế tạo và cấp chứng nhận.
Năm 1991, bốn nước gồm Pháp, Anh, Đức, Hà Lan cùng công bố “Tiêu
chí hài hòa của các nước châu Âu”. Theo tiêu chuẩn này, tổ chức yêu cầu kiểm
định và cấp chứng nhận cho sản phẩm CNTT cần tự xây dựng mục tiêu kiểm
định, mô tả các mối đe dọa tiềm ẩn về ATTT và đề xuất các chức năng bảo vệ.
Cơ quan cấp chứng nhận chỉ cần kiểm định mức độ đạt được mục tiêu thông qua
các các chức năng đã đề ra. So với TCSEC và “Các tiêu chí liên bang” thì “Tiêu
chí hài hòa của các nước châu Âu” có chức năng an toàn rộng hơn (gồm 10 hàm
chức năng an toàn, so với 5 chức năng của TCSEC), đồng thời tiêu chuẩn này
cũng đưa ra các mức an toàn khá chi tiết. Cùng thời gian này, chính phủ Canada
cũng cho công bố “Tiêu chí kiểm định sản phẩm máy tính tin cậy của Canada”
(Canadian Trusted Computer Product Evaluation Criteria).
Năm 1993, các tổ chức chính phủ của 6 nước Bắc Mỹ và châu Âu gồm
Canada, Mỹ, Anh, Đức, Hà Lan và Pháp cùng soạn thảo tiêu chuẩn “Tiêu chí
chung kiểm định an toàn công nghệ thông tin” (Common Criteria for IT security
Evaluation), thường gọi là Tiêu chí chung (Common Criteria - CC) trong khuôn
khổ một dự án gọi là Dự án CC. Mục tiêu của Dự án CC là xây dựng một tiêu
chuẩn mới trên cơ sở kết hợp và phát triển ba tiêu chuẩn “Tiêu chuẩn hài hòa
của các nước Châu Âu”, “Tiêu chí kiểm định các hệ thống máy tính tin cậy” của
Canada và “Tiêu chuẩn Liên bang an toàn công nghệ thông tin”. Phương án 1
của CC đã được ra đời vào năm 1996. Năm 1998, phương án 2 của CC ra đời
với nhiều thay đổi quan trọng so với phương án đầu tiên. CC liên tục được xem
xét và hoàn thiện, năm 1999, phương án CC 2.1 được ban hành trên cơ sở góp ý
của nhóm công tác chuyên ngành thuộc tổ chức ISO. Sáu năm sau (năm 2005),
phương án CC 3.0 ra đời trên cơ sở xem xét lại nhiều nội dung của các phương
án trước đó và năm 2006 phương án CC 3.1 và được ban quản lý CC công bố
như bản chính thức của CC.
Phương án 2.1 của CC đã được tổ chức ISO công bố năm 1999 thành tiêu
chuẩn quốc tế ISO/IEC15408 - 1999: Tiêu chí kiểm định an toàn công nghệ
thông tin. ISO/IEC 15408:1999 được hoàn thiện, phát triển và năm 2009 được
công bố thành ba phần tương ứng với ba nội dung chính của CC là ISO/IEC
183
15408 - 1: 2009 - Tổng quát (các quan điểm, khái niệm và nguyên lý), ISO/IEC
15408 - 2: 2009 - Các yêu cầu chức năng về chức năng an ninh và ISO/IEC
15408 - 3:2009 - Các yêu cầu đảm bảo an ninh.
Đặc điểm cơ bản của Tiêu chí chung là tính bao quát về nhiều khía cạnh
của ATTT. Đối tượng đánh giá theo CC là sản phẩm và hệ thống thông tin (có
thể đã ở dạng thành phẩm hoặc đang được thiết kế) được ký hiệu là TOE (Target
of Evaluation). Mỗi TOE được xem xét trong một bối cảnh xác định được gọi là
môi trường an toàn, bao gồm tất cả những vấn đề có liên quan đến an toàn. Môi
trường an toàn theo CC gồm các yếu tố sau: môi trường pháp lý, môi trường
hành chính (chính sách an toàn), môi trường vật lý (các biện pháp bảo vệ, nhân
sự với yêu cầu về tri thức, năng lực, kinh nghiệm; các qui định về khai thác...);
môi trường kỹ thuật (những tài nguyên mà TOE được sử dụng để bảo vệ).
Mục tiêu an toàn cho TOE được xây dựng trên cơ sở các giả thiết về an
toàn, các mục tiêu này nhằm đảm bảo chống lại các mối đe dọa và thực hiện đầy
đủ các chính sách về an toàn. Tùy vào mối quan hệ trực tiếp với TOE hoặc môi
trường, các mục tiêu an toàn được chia thành hai nhóm: nhóm thứ nhất là mục
tiêu cho môi trường đạt được bằng các phương tiện phi kỹ thuật. Nhóm thứ hai
mang tính kỹ thuật và để đạt được chúng, CC đưa ra một hệ thống các Yêu cầu
an toàn (Security Requirements). Các yêu cầu an toàn được chia theo cấu trúc
phân cấp thành lớp (class), họ (family), thành phần (component) và phần tử
(element).
Phần lớn nội dung của CC là các yêu cầu về an toàn. Các yêu cầu này
được chia làm hai loại là: Yêu cầu chức năng (Security functional
Requirements) và Yêu cầu đảm bảo (Security Asurance Requirements). Yêu cầu
chức năng liên quan đến phương diện “bảo vệ chủ động” (active defence), chúng
được gán cho các chức năng an toàn và cơ chế thực thi các chức năng đó. Yêu
cầu bảo đảm là các yêu cầu liên quan đến “bảo vệ thụ động” (passive defence),
được gán cho công nghệ và quá trình chế tạo, khai thác.
Ngoài khái niệm yêu cầu an toàn, CC được xây dựng trên ba khái niệm cơ
bản sau: hồ sơ bảo vệ (Protection Profile - PP) là một bộ các yêu cầu an toàn đối
với một lớp sản phẩm xác định; mục tiêu an toàn (Security Target - ST) là tập
184
hợp các yêu cầu đối với một thiết kế cụ thể mà việc thực hiện các yêu cầu đó
cho phép giải quyết bài toán an toàn đặt ra và mức đánh giá (Evaluation
Asurance Level - EAL).
CC đưa ra bảy mức đánh giá đảm bảo an toàn (Evaluation Asurance
Level –EAL) theo thứ tự tự tăng dần. Mức 1 (EAL- 1) là thấp nhất, ở mức này,
các mối đe dọa an toàn không được coi là nghiêm trọng và đạt được với chi phí
tối thiểu thông qua việc phân tích các đặc tả chức năng, giao diện, tài liệu khai
thác kết hợp với phép kiểm tra độc lập. Mức 7 (EAL- 7) là mức cao nhất áp
dụng cho những đối tượng đánh giá được sử dụng trong những trường hợp có rủi
ro cao hoặc là những nơi mà giá trị của tài nguyên thông tin đòi hỏi chi phí lớn.
Ngoài tiêu chuẩn chung CC, ISO cũng xây dựng một bộ tiêu chuẩn hướng
dẫn thực hiện an toàn hệ thống thông tin là ISO 27002. Nội dung bộ tiêu chuẩn
này giúp các cơ quan, tổ chức đưa ra mô hình cho hệ thống quản lý an toàn
thông tin cùng với các quy tắc cần thiết phải áp dụng trong công tác đảm bảo an
toàn cho hệ thống thông tin. Nội dung bộ tiêu chuẩn này rất đầy đủ, sát với thực
tiễn cho phép giảm thiểu được nhiều rủi ro an toàn thông tin có thể xảy ra nên đã
được nhiều nước tham khảo và xây dựng các tiêu chuẩn quốc gia. Tiêu chuẩn
ISO 27002 cũng đã được Tổng Cục đo lường và Chất lượng sử dụng như tài liệu
cơ bản để biên soạn TCQG Việt Nam tương đương là TCVN 27002:2011.
Tương ứng với tiêu chuẩn áp dụng là tiêu chuẩn kiểm tra, ISO đã ban hành tiêu
chuẩn ISO 27001 nhằm mục đích kiểm định lại vấn đề đảm bảo an toàn thông
tin trong cơ quan, tổ chức.
Tiêu chuẩn quốc tế “Information security management system” có mã số
ISO/IEC 27001:2005 được biên soạn bởi ủy ban kỹ thuật chung về công nghệ
thông tin - ISO/IEC JTC 1 thuộc tiểu ban các kỹ thuật an toàn thông tin - SC 27
thuộc tổ chức ISO. Tiêu chuẩn này được ban hành vào tháng 10 năm 2005 để
thay thế tiêu chuẩn cùng tên có mã số BS 7799-2:2002 do tổ chức Britist
Standard ban hành năm 2002.
Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mô hình cho việc
thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống
quản lý an toàn thông tin (ISMS). Phê chuẩn việc triển khai một hệ thống ISMS
185
sẽ là một quyết định chiến lược của tổ chức. Thiết kế và triển khai hệ thống quản
lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác
nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và
quy mô, cấu trúc của tổ chức. Các điều này và các hệ thống hỗ trợ sẽ cần luôn
được cập nhật và thay đổi. Đầu tư và triển khai một hệ thống ISMS cần phải phù
hợp với nhu cầu thực tiễn của tổ chức. Tiêu chuẩn này có thể sử dụng để kiểm
định sự tuân thủ của các bộ phận bên trong tổ chức cũng như các bộ phận bên
ngoài liên quan đến tổ chức về đảm bảo an toàn thông tin.
8.3. QUY TRÌNH KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN
Thực hiện kiểm định an toàn thông tin cho một cơ quan, tổ chức là công
việc không dễ dàng và cần tuân theo một quy trình nhất định. Quy trình kiểm
định phải đảm bảo phù hợp, đầy đủ và các kết quả kiểm định phải so sánh được
với các yêu cầu đặt ra. Dưới đây là cụ thể về quy trình kiểm định áp dụng từ giai
đoạn khởi tạo dự án cho đến khi kết thúc:
Bước 1 - Chuẩn bị kiểm định
Tài liệu tham
chiếu
Bước 2 - Tạo kế hoạch kiểm định
Bước 3 – Xem xét tài liệu
Bước 4 – Kiểm định trực tiếp
Bước 5 – Đánh giá kết quả
Thông báo kết
quả
Báo cáo kiểm
định
Bước 6 – Lập báo cáo kiểm định
Hình 8.1. Quy trình kiểm định an toàn hệ thống thông tin
186
Bước 1: Thực hiện tại thời điểm bắt đầu kiểm định, các bên liên quan cần
thống nhất các điều khoản chung và ký kết các thỏa thuận liên quan chuẩn bị
cho quá trình kiểm định.
Bước 2: Dựa trên thỏa thuận giữa các bên, nhóm kiểm định sẽ lên một kế
hoạch chi tiết các công việc cần thực hiện trong toàn bộ quá trình kiểm định.
Bước 3: Nhóm kiểm định tiến hành kiểm tra, xem xét các tài liệu có sẵn
của bên kiểm định về việc thực hiện an toàn hệ thống thông tin. Nếu cần thiết có
thể yêu cầu bổ sung tài liệu. Dựa trên việc rà soát các văn bản và kế hoạch kiểm
định an toàn thông tin (được cập nhật trong thời gian này), các điều khoản về
thời gian và cách thức hợp tác trong quá trình kiểm định tại chỗ giữa các bộ
phận sẽ được thống nhất.
Bước 4: Thực hiện kiểm định trực tiếp thông qua một cuộc họp mở với
những người tham gia là phụ trách các bộ phận liên quan của cơ quan, tổ chức
để hỏi, phỏng vấn đề đảm bảo an toàn thông tin. Việc kiểm tra tại chỗ sẽ được
kết thúc bởi một cuộc họp tổng kết.
Bước 5: Thông tin thu được trong quá trình kiểm tra trực tiếp được củng
cố thêm và đánh giá bởi đội ngũ kiểm định.
Bước 6: Các kết quả kiểm định được tóm tắt trong báo cáo kiểm định.
Báo cáo này được cung cấp cho cơ quan có thẩm quyền xem xét cấp chứng
nhận.
8.3.1. Chuẩn bị kiểm định
Khi có kế hoạch thực hiện một cuộc kiểm định, người quản lý của tổ chức
được kiểm định phải tham gia. Trong giai đoạn này, cần quy định các đối tượng
kiểm định, ký kết hợp đồng và thỏa thuận các điều khoản cần cho quá trình kiểm
định (ví dụ ủy quyền cho phép xem xét các tài liệu).
Quản lý của tổ chức cần thông báo cho các cán bộ phụ trách, nhân viên về
kế hoạch kiểm định. Các cán bộ phụ trách nên giải thích và nhắc nhở nhân viên
phối hợp thực hiện kiểm định, đồng thời chuẩn bị hồ sơ tài liệu phục vụ cho các
cán bộ kiểm định. Các tài liệu sau đây cần cung cấp cho nhóm kiểm định vì
chúng hình thành cơ sở cho việc thực hiện việc kiểm định an toàn thông tin:
187
Tài liệu liên quan đến tổ chức:
Sơ đồ tổ chức hệ thống thông tin
Các bộ phận thực hiện đảm bảo an toàn thông tin
Lịch trình và kế hoạch thực hiện an toàn thông tin của tổ chức
Tài liệu kỹ thuật:
Các phân vùng mạng
Vấn đề áp dụng các biện pháp đảm bảo an toàn
Chính sách an toàn
Danh sách các quy trình nghiệp vụ quan trọng
Danh sách các nguy cơ an toàn trong vòng 6 tháng
Việc khắc phục, xử lý các nguy cơ
8.3.2. Tạo kế hoạch kiểm định
Khi đã có một cái nhìn đầy đủ về hệ thống thông tin của mục tiêu kiểm
định và xác định được phạm vi kiểm định, nhóm kiểm định cần xây dựng một kế
hoạch kiểm định. Kế hoạch này là công cụ chính được sử dụng trong suốt toàn
bộ kiểm định, và là tài liệu xác định tất cả các hoạt động kiểm định.
Việc phân bố thời gian trong quá trình thực hiện cũng rất quan trọng. Các
nhiệm vụ cần thực hiện lâu phải được bố trí nhiều thời gian hơn, các nhiệm vụ
đơn giản sẽ chỉ tốn ít thời gian. Phân bố thời gian sao cho toàn bộ các công việc
có thể giải quyết được từ khi bắt đầu đến lúc kết thúc. Dưới đây là bảng thời
gian ước tính khi thực hiện các giai đoạn kiểm định chung:
Giai đoạn
Công việc
Thời gian (%)
Bước 1
Chuẩn bị kiểm định
5%
Bước 2
Tạo kế hoạch kiểm định
15%
Bước 3
Xem xét tài liệu
20%
Bước 4
Kiểm tra trực tiếp
35%
188
Bước 5
Đánh giá kết quả
5%
Bước 6
Lập báo cáo kiểm định
20%
Trong từng bước lại có các nhiệm vụ cụ thể. Thời gian thực hiện với các
nhiệm vụ cụ thể phải được xem xét phù hợp với khoảng thời gan chung của toàn
bộ giai đoạn.
8.3.3. Xem xét tài liệu
Sau khi đã có được các tài liệu cung cấp từ bước 1, bây giờ là lúc xem xét
tài liệu để có cái nhìn tổng quan về toàn bộ hệ thống kiểm định. Khi xem xét tài
liệu, cần kiểm tra các chính sách đã áp dụng với hệ thống mạng và các rủi ro xảy
đến trong thời gian gần.
Xác định một chính sách phải đặt trong đặc điểm của các công ty, tổ chức,
vị trí của nó, tài sản, công nghệ. Các chính sách phải được tính tới những vấn đề
liên quan đến pháp lý và quy định các yêu cầu, hợp đồng hoặc nghĩa vụ của bên
thứ 3 và bên phụ thuộc. Quản lý phải phê duyệt chính sách, và tất cả các nhân
viên nên biết các chính sách, hiểu tầm quan trọng, mục đích của nó. Chính sách
này phải bao gồm một khuôn khổ cho việc thiết lập các đối tượng, đưa ra hướng
quản lý và hành động, thiết lập các tình huống quản lý rủi ro và đưa ra biện pháp
chống lại những nguy cơ đã được tính tới. Chính sách có thể được xem như là
một tập cha của chính sách an toàn thông tin, ví dụ như các chính sách đưa ra
những vấn đề mà chính sách an toàn thông tin không cần thiết phải đề cấp tới.
Xác định rủi ro đối với tài sản có tính tới các mối đe dọa và điểm yếu liên
quan tới tài sản này và những tác động làm mất đi tính bí mật, toàn vẹn, sẵn có
của tài sản. Việc xác định tài sản, mối đe dọa, các lỗ hổng cần phải liên quan
đến việc kiểm soát ở các khu vực khác nhau. Điều này là rất quan trọng để đảm
bảo rằng tất cả tài sản đều được xác định vì đây là cơ sở để đánh giá rủi ro, và
chủ sở hữu được xác định cho mỗi tài sản. Việc xác định những tác động làm
mất tính bảo mật, toàn vẹn và sẵn sàng của tài sản nên tính đến những nguy
hiểm mà công ty phải đối mặt như về luật pháp, quy định, hợp đồng và yêu cầu
của công ty thông qua những thiệt hại đó. Phân tích và đánh giá các rủi ro dựa
189
trên những thông tin bao gồm tất cả những khu vực điểu khiển như: tổ chức,
nhân sự, quy trình kinh doanh, điều hành và duy trì, pháp lý, quy định và các
vấn đề về hợp đồng, cơ sở xử lý thông tin. Điều này sẽ liên quan đến việc tổ
chức đánh giá kết quả của việc kinh doanh từ những lỗi an toàn, có tính đến hậu
quả mất tính bí mật, tính toàn vẹn, tính sẵn sàng của các tài sản có thể có. Điều
này cũng bao gồm khả năng đánh giá các lỗi khi xảy ra, xem xét các mối đe dọa,
điểm yếu được xác định và khả năng xảy đến cùng nhau và gây ra sự cố.
Khi tổ chức đã xác định, đánh giá và hiểu những tác động của rủi ro có
thể có trong kinh doanh thì họ sẽ có những hành động khác nhau để quản lý hay
khắc phục những rủi ro đó ở tình hình kinh doanh của họ. Những hành động của
tổ chức có thể xem xét bao gồm việc áp dụng kiểm soát thích hợp giảm thiểu rủi
ro, tránh những rủi ro không thông qua cam kết của một họat động rủi ro có liên
quan, chuyển giao các rủi ro (toàn bộ hoặc một phần) cho một bên khác ví dụ
như là doanh nghiệp bảo hiểm hay cố ý hoặc khách quan chấp nhận rủi ro.
Những tùy chọn này hoặc kết hợp một số các tuỳ chọn khác của tổ chức, các tổ
chức khác nhau với cùng một rủi ro nhưng lại có những kết luận khác nhau, điều
này còn phụ thuộc vào đối tượng kinh doanh và tùy từng trường hợp. Trong bất
cứ trường hợp nào điều quan trọng vẫn là xác nhận rằng các quyết định này
được ghi chép tốt và tổ chức có thể cung cấp bằng chứng để quyết định này
được thực hiện với đầy đủ kiến thức về rủi ro và không đơn giản chỉ là sự thiếu
hiểu biết.
8.3.4. Kiểm tra trực tiếp
Mục đích của việc kiểm tra trực tiếp là để so sánh và kiểm tra lại các tài
liệu được cung cấp với các điều kiện thực tế để xem vấn đề đảm bảo an toàn
thực tế của tổ chức có đáp ứng đúng và đầy đủ như trong tài liệu hay không. Đôi
khi quá trình lập kế hoạch rất hoàn hảo nhưng khi áp dụng lại phát sinh nhiều
vấn đề, không được như mong muốn ban đầu.
Kiểm tra trực tiếp có thể được thực hiện theo nhiều cách khác nhau. Có
thể là tổ chức một vài cuộc gặp mặt trực tiếp, với sự tham gia của tất cả các đối
tượng liên quan; cũng có thể là gặp riêng từng đối tượng để xem xét theo từng
khía cạnh.
190
Một vấn đề cần được quan tâm khi thực hiện kiểm tra là “kỹ thuật kiểm
tra”. Kỹ thuật kiểm tra được hiểu là tất cả các phương pháp được sử dụng để xác
định sự thật của vấn đề. Các kỹ thuật kiểm tra khác nhau sau đây có thể được sử
dụng trong quá trình kiểm tra trực tiếp:
- Hỏi trực tiếp bằng lời (phỏng vấn).
- Kiểm tra bằng mắt của hệ thống, địa điểm, không gian, phòng, và
các đối tượng.
- Quan sát (ví dụ như quan sát ngẫu nhiên một phòng làm việc).
- Phân tích các tập tin (bao gồm cả dữ liệu điện tử).
- Kiểm tra kỹ thuật (ví dụ như thử nghiệm các hệ thống báo động, hệ
thống kiểm soát truy cập, ứng dụng, …).
- Phân tích dữ liệu (ví dụ như các tập tin đăng nhập, đánh giá cơ sở
dữ liệu, …).
- Đưa ra các câu hỏi bằng văn bản.
Tùy từng trường hợp cụ thể áp dụng các kỹ thuật kiểm định khác nhau,
quan trọng là kết quả phải khách quan và có thể đánh giá được toàn bộ các khía
cạnh cần thực hiện kiểm tra.
Để chứng thực, các bộ phận liên quan cần đưa ra bằng chứng cho người
kiểm định. Những bằng chứng phải chứng minh được tổ chức đã tham gia một
cách có tiếp cận hệ thống từ việc xác định phạm vi qua việc thực thi một hệ
thống của các quy trình quản lý và các kiểm soát phù hợp với an toàn thông tin
cần thiết cho việc kinh doanh. Cách tiếp cận cũng cần được chứng minh và thể
hiện thông qua các quyết định quản lý phù hợp đã đưa ra việc làm thế nào để
thỏa thuận với các mặt của rủi ro dựa trên việc lập trình các quy trình quản lý rủi
ro. Ngoài ra có thể cung cấp các bằng chứng về các thủ tục đã được đưa ra để
theo dõi, xem xét và áp dụng quy trình. Nhóm kiểm định sẽ dựa trên các thông
tin được chứng minh để xem xét tính chính xác của thông tin và đưa ra các kết
quả phù hợp.
191
8.3.5. Đánh giá kết quả
Sau khi kiểm tra trực tiếp, các thông tin thu được cần được đưa ra đánh giá.
Việc đánh giá cũng có thể được thực hiện bởi nhóm kiểm định hoặc các cơ quan
có thẩm quyền. Các kết quả đánh giá sẽ là cơ sở chứng nhận tính an toàn của
mục tiêu đánh giá và là điều kiện cấp chứng nhận đảm bảo an toàn thông tin.
Khi đánh giá kết quả, cần xem xét mục tiêu ban đầu để xác định ranh giới
rủi ro và các rủi ro có thể chấp nhận được. Bất kỳ một loại trừ nào được tìm thấy
do kiểm soát quản lý là rất cần thiết để đáp ứng các tiêu chuẩn chấp nhận rủi ro
phải được chứng minh bằng các chứng cứ phù hợp mà các hành động được đưa
ra bằng việc quản lý không bị ảnh hưởng tới tổ chức. Sự phù hợp với trách
nhiệm quản lý rủi ro an toàn thông tin của nó và bất kỳ rủi ro nào được biết đến,
được chấp nhận một cách khách quan bởi những người quản lý có trách nhiệm
điều hành việc thực thi những quyết định đó và những người chịu trách nhiệm
về việc ra quyết định như vậy.
8.3.6. Lập báo cáo kiểm định
Báo cáo kiểm định an toàn thông tin, bao gồm cả các tài liệu tham khảo,
sẽ được cung cấp bằng văn bản đến nhà quản lý của tổ chức kiểm định hoặc các
đơn vị kiểm định, những người chịu trách nhiệm cho việc kiểm định an toàn
thông tin. Một phiên bản dự thảo báo cáo kiểm định an toàn thông tin nên được
trao cho các tổ chức kiểm định lần gần nhất để để xác minh rằng các sự kiện
thành lập bởi đội ngũ kiểm định an toàn thông tin đã được ghi lại một cách chính
xác.
Tổ chức kiểm định có trách nhiệm đảm bảo rằng tất cả các đơn vị tổ chức
bị ảnh hưởng nhận được các bộ phận liên quan của báo cáo kiểm định an toàn
thông tin quan trọng với họ trong một thời gian thích hợp. Các quy tắc "cần phải
biết" cần được áp dụng.
Báo cáo kiểm định an toàn thông tin bao gồm tối thiểu là một bản tóm tắt
quản lý, đánh giá đồ họa của trạng thái bảo mật thông tin được xác định, và một
mô tả chi tiết về các sự kiện tìm thấy, cũng như một đánh giá của mỗi thực tế
cho mỗi hình thức bảo vệ được kiểm tra.
Phần 0
192
Phần này chứa các thông tin về tổ chức, ví dụ như các cơ sở kiểm định,
thứ tự thời gian của các bước trong kiểm định an toàn thông tin, và một mô tả
ngắn về các hợp đồng kiểm định.
Phần 1
Phần 1 là tóm tắt quản lý. Bản tóm tắt này nên bao gồm tối đa là hai trang.
Nó sẽ chứa các sự kiện chính được phát hiện trong một hình thức ngắn gọn và
dễ hiểu cũng như các kiến nghị kết quả từ những sự kiện xác định.
Phần 2
Ngoài các bản tóm tắt quản lý, một phiên bản đồ họa tóm tắt cho các kết
quả của cuộc kiểm định cũng cần được cung cấp. Phần này nên chứa sơ đồ tổng
quan tình hình thực hiện và tình hình sự thiếu an ninh.
Phần 3
Phần này bao gồm một phần của báo cáo kiểm định an toàn thông tin có
chứa các mô tả chi tiết các đối tượng đã thử nghiệm và các sự kiện được xác
định cùng với các chi tiết kỹ thuật và kiến nghị. Phần này nên được sắp xếp theo
các đối tượng mục tiêu và biện pháp bảo vệ thử nghiệm.
Đánh giá mức độ an ninh
Thể hiện trong báo cáo
Các mức độ an ninh nghiêm trọng
Màu đỏ
Các mức độ an ninh trung bình
Màu vàng
Các mức độ an ninh thấp
Màu xanh
Các khía cạnh thông thường
Khi tạo ra các báo cáo kiểm định an toàn thông tin, các khía cạnh hình
thức sau đây phải được đưa vào xem xét. Tất cả các bài kiểm tra được tiến hành,
kết quả của chúng, và các đánh giá các kết quả phải được ghi lại rõ ràng và dễ
hiểu.
Các bảng nội dung cần có báo cáo thực tế cũng như tất cả các phụ
lục (ví dụ ảnh chụp màn hình, các file log, vv). Mỗi phụ lục phải là
dễ nhận biết để có thể kiểm tra thông tin một cách đầy đủ.
Tất cả các tài liệu tham khảo sử dụng phải được liệt kê.
193
Các dữ liệu về các hoạt động, ví dụ như dữ liệu từ các cuộc họp
hoặc đánh giá tập tin trong báo cáo, phải được bao gồm trong một
phụ lục.
Các trang phải được thiết kế sao cho mỗi trang có thể được xác
định duy nhất (ví dụ sử dụng số trang cũng như số phiên bản và các
tiêu đề và ngày của báo cáo).
Nếu công cụ phần mềm được sử dụng để hỗ trợ các hoạt động kiểm
định, ví dụ: công cụ phân tích, thì các công cụ phải được liệt kê
cùng với tên hiệu và số phiên bản.
Nếu báo cáo kiểm định đề cập đến thông tin được ghi với những
công cụ, thì báo cáo (bản in) tương ứng phải được bao gồm trong
báo cáo kiểm định, như phần ghi chú thêm.
Thuật ngữ đặc biệt hoặc chữ viết tắt thường được sử dụng không
xuất hiện trong báo cáo phải được tập hợp trong danh mục thuật
ngữ hoặc một chỉ mục các chữ viết tắt.
Báo cáo quản trị
Để cho các công ty hoặc cơ quan quản lý nhà nước thực hiện các quyết
định đúng đắn khi quản lý các quy trình bảo mật thông tin, họ cần một cái nhìn
tổng quan về thực trạng của vấn đề bảo mật thông tin. Điều này cũng bao gồm
các kết quả của cuộc kiểm định an toàn thông tin. Các nhà quản lý nên thường
xuyên nhận được các báo cáo về các thông tin sau:
Kết quả chính của báo cáo kiểm định an toàn thông tin.
Tình trạng an ninh và sự phát triển của tình trạng an ninh xác định
trong kiểm định an toàn thông tin.
Các hoạt động tiếp theo cần thiết.
Lưu trữ và đóng gói
Báo cáo kiểm định an toàn thông tin và các tài liệu tham khảo phải được
lưu trữ cẩn thận bởi tổ chức kiểm định trong một khoảng thời gian tối thiểu là 10
năm sau khi chuyển bản báo cáo. Chúng tạo thành cơ sở cho việc lựa chọn các
194
đối tượng mục tiêu và biện pháp bảo vệ được xem xét trong các cuộc kiểm định
tương lai.
Một số yêu cầu khi lưu trữ tài liệu:
Tính đúng đắn;
Đầy đủ;
Bảo vệ chống lại những thay đổi và giả mạo;
Bảo mật chống mất mát;
Sử dụng bởi người có thẩm quyền;
Duy trì các giai đoạn lưu trữ;
Tài liệu về các thủ tục;
Có khả năng kiểm tra;
Có khả năng tái sử dụng.
Khi giao báo cáo kiểm định an toàn thông tin, việc kiểm định an toàn
thông tin chấm dứt và đội ngũ kiểm định an toàn thông tin sẽ hoàn thành nhiệm
vụ của mình.
Dưới đây là ví dụ về bảng kết quả kiểm định xác định theo các mức:
D: Kiểm soát đã được lập tài liệu và được thực thi.
MD: Kiểm soát đã được thực thi và cần phải được tài liệu hóa.
RD: Kiểm soát chưa phù hợp với chuẩn và cần phải được đăng ký
để phù hợp với chuẩn.
PNP: Việc thực thi không ở nơi thực hiện kiểm tra hoặc chưa được
thực thi.
NA: Kiểm soát không được áp dụng với tổ chức.
Tham
chiếu
A.5
Tiêu đề kiểm
soát
Mô tả kiểm soát
Chính sách an toàn
195
Chức
năng
Tình
trạng
Đề xuất
A5.1
A.5.1.1
A.5.1.2
A.6
Để cung cấp hướng quản lý và hỗ
Chính sách an trợ an tòn thông tin phù hợp với
toàn thông tin yêu cầu kinh doanh, pháp luật và
các quy định có liên quan.
Tài liệu chính
sách an toàn
thông tin
Một tài liệu chính sách an toàn thông
tin phải được phê duyệt của Ban
Quản lý
Giám đốc và công bố và thông báo
cấp cao
cho tất cả nhân viên và các bên liên
quan bên ngoài.
Chính sách bảo mật thông tin phải
Xem xét lại các được xem xét trong khoảng thời gian
chính sách bảo kế hoạch hoặc nếu thay đổi xảy ra
mật thông tin phải đảm bảo tính liên tục, đầy đủ và
hiệu quả.
D
Quản lý
cấp cao
D
Tổ chức an toàn thông tin
Tổ chức nội
bộ
Để quản lý an toàn thông tin trong
tổ chức.
Cam kết quản
lý an toàn
thông tin
Quản lý chủ động hỗ trợ bảo mật
trong tổ chức thông qua định hướng
rõ ràng, cam kết chứng minh, phân
công rõ ràng, và sự thừa nhận trách
nhiệm bảo mật thông tin.
Quản lý
cấp cao
MD
A.6.1.2
Phối hợp an
toàn thông tin
Hoạt động an toàn thông tin phải
được phối hợp bởi các đại diện từ
các bộ phận khác nhau của tổ chức
có liên quan với vai trò và chức năng
công việc.
CISO
RD
A.6.1.3
Phân công
trách nhiệm
bảo mật thông
tin
Tất cả các trách nhiệm an toàn thông
tin được xác định rõ ràng.
HR
PNP
A.6.1.4
Quá trình cấp
phép cho các
cơ sở xử lý
thông tin
Một quá trình ủy quyền quản lý cho
các cơ sở xử lý thông tin mới được
xác định và thực hiện.
CISO
NA
A.6.1.5
Yêu cầu về bảo mật hoặc không
công bố thỏa thuận phản ánh nhu
Thỏa thuận bảo
cầu của tổ chức để bảo vệ các thông
mật
tin sẽ được xác định và đánh giá
thường xuyên.
CISO
D
A.6.1.6
Liên hệ với
những người
có thẩm quyền
Quản trị
D
A.6.1
A.6.1.1
Địa chỉ liên lạc thích hợp với các cơ
quan có liên quan phải được duy trì.
196
A.6.1.7
Địa chỉ liên lạc phù hợp với các
Liên hệ với các
nhóm lợi ích đặc biệt hoặc các diễn
nhóm lợi ích
đàn an toàn chuyên môn khác và các
đặc biệt
hiệp hội nghề nghiệp được duy trì.
A.6.1.8
Đánh giá độc
lập về an toàn
thông tin
Cách tiếp cận của tổ chức để quản lý
an toàn thông tin và thực hiện nó
(tức là mục tiêu kiểm soát, kiểm
soát, chính sách, quy trình, thủ tục
an toàn thông tin) sẽ được xem xét
một cách độc lập trong khoảng thời
gian lên kế hoạch, hoặc khi thay đổi
đáng kể vào việc thực hiện an toàn
xảy ra.
A6.2
Các đối tác
bên ngoài
Để duy trì an toàn thông tin và các
thông tin cơ sở chế biến của tổ
chức được truy cập, xử lý, truyền
đạt, hoặc các bên ngoài quản lý.
IT
D
CISO
D
CISO
D
A.6.2.1
Các rủi ro đối với thông tin và các
thông tin cơ sở chế biến của tổ chức
Xác định các
từ quy trình kinh doanh liên quan
rủi ro liên quan
đến bên ngoài sẽ được xác định và
đến bên ngoài
kiểm soát thích hợp được thực hiện
trước khi cấp quyền truy cập.
A.6.2.2
Giải quyết an
toàn khi giao
dịch với khách
hàng
Tất cả các yêu cầu an toàn xác định
được giải quyết trước khi cho khách
hàng tiếp cận thông tin hoặc tài sản
của tổ chức.
IT
D
Giải quyết an
toàn trong hợp
đồng của bên
thứ ba
Thỏa thuận với các bên thứ ba liên
quan đến truy cập, xử lý, giao tiếp,
quản lý thông tin hoặc thông tin cơ
sở chế biến của tổ chức, hoặc thêm
vào sản phẩm hay dịch vụ cho các
cơ sở xử lý thông tin sẽ bao gồm tất
cả các yêu cầu bảo mật liên quan.
Tài
chính
D
A.6.2.3
Tổng hợp kết quả:
Đếm
Mã trạng thái
Nghĩa
131
D
Kiểm soát đã được lập tài liệu và được
thực thi
97%
1
MD
Kiểm soát đã được thực thi và quá trình
phải được lập tài liệu để đảm bảo độ lặp
1%
197
Tỉ lệ %
lại của quá trình và giảm thiểu rủi ro.
RD
Kiểm soát chưa phù hợp với chuẩn và nó
phải được thiết kế lại
1%
1
PNP
Quy trình chưa được đặt ra/ hoặc chưa
được thực hiện.
(Kiểm soát được yêu cầu là khác so với tài
liệu hoặc chưa được thực thi)
1%
1
NA (Not
Applicable)
Kiểm soát chưa được áp dụng cho với tổ
chức
1%
1
135
8.4. CHỨNG NHẬN KIỂM ĐỊNH AN TOÀN HỆ THỐNG THÔNG TIN
Chứng nhận kiểm định là kết quả chứng nhận một hệ thống đã đáp ứng
đầy đủ các vấn đề an toàn thông tin theo quy định. Chứng nhận này được cấp
bởi cơ quan có thẩm quyền và có giá trị hiệu lực trên toàn quốc hoặc trong nước.
Ở Việt Nam, cơ quan cấp chứng nhận là Cục đăng kiểm Việt Nam.
Ví dụ về chứng nhận kiểm định an toàn theo tiêu chuẩn ISO 27001:
Hình 8.2. Chứng nhận kết quả kiểm định
198
TÀI LIỆU THAM KHẢO
[1] Karen Scarfone, Murugiah Souppaya, Amanda Cody & Angela
Orebaugh, Technical Guide to Information Security Testing and Assessment,
NIST SP 800-115, (Năm 2008).
[2] Ahmed
Abdel-Aziz,
Scoping
Security
Assessments
A Project Management Approach, SANS Institute, (Năm 2011).
-
[3] John Wack, Miles Tracy & Murugiah Souppaya, Guideline on
Network Security Testing, NIST SP 800-42, (Năm 2003).
[4] Thomas Wilhelm, Professional Penetration Testing 2nd - Creating
and Learning in a Hacking Lab, Syngress , (Năm 2013).
[5] Martin Weiss & Michael G. Solomon, Auditing IT Infrastructures
For Compliance (Information Systems Security & Assurance) 2nd Edition, (Năm
2015).
[6] Jeremy Faircloth, Penetration Tester’s Open Source Toolkit – Third
Edition, Syngress, (Năm 2005).
[7] Open Information System Security Group, Information System
Security Assessment Framework (ISSAF) Draft 0.2.1, (Năm 2006).
[8] British Standards Institution - BS ISO/IEC 27001:2005, Information
technology – Security techniques – Information security management systems –
Requirements, American National Standards Institute, (Năm 2008).
[9] Patrick Engebretson, The Basics of Hacking and Penetration Testing,
Syngress, (Năm 2011).
[10] Lee Allen, Advanced Penetration Testing for Highly-Secured
Environments, Packt Publishing, (Năm 2012).
199
PHỤ LỤC
PHỤ LỤC A: GIỚI THIỆU MỘT SỐ BỘ CÔNG CỤ SỬ DỤNG TRONG
KIỂM THỬ
1.
Kali Linux
Kali Linux là một bản phân phối dạng Live DVD, là phiên bản mới hơn
của bộ công cụ BackTrack, được phát triển trên nền tảng Debian (nhân Linux)
để thử nghiệm thâm nhập tới các hệ thống, website và mạng máy tính. Trong các
định dạng Live DVD, người dùng có thể sử dụng Kali Linux trực tiếp từ DVD
hoặc cài đặt trên máy và sử dụng như một hệ điều hành. Kali rất linh hoạt và hỗ
trợ đầy đủ các giao diện cho đến khả năng tuỳ biến hệ thống. Đối với giao diện,
người dùng có thể lựa chọn một trong nhiều các giao diện như GNOME, KDE,
XFCE, … tùy theo sở thích và thói quen sử dụng. Kali Linux hỗ trợ một cách
nhanh chóng cho việc tìm kiếm và cập nhật cơ sở dữ liệu các công cụ bảo mật.
Công cụ kiểm thử bảo mật trong Kali Linux có thể được phân loại thành các
nhóm như sau:
Information gathering: Sử dụng để có được thông tin liên quan đến
một mục tiêu DNS, địa chỉ email, trang web, máy chủ mail….
Thông tin này được thu thập từ các thông tin có sẵn trên Internet
mà không cần chạm vào môi trường mục tiêu.
Network mapping: Quét thăm dò, bao gồm việc kiểm tra các host
đang tồn tại, thông tin về hệ điều hành, ứng dụng được sử dụng bởi
mục tiêu, và cũng sử dụng cho mục đích quét cổng.
Vulnerability identification: Quét các lỗ hổng, phân tích Server
Message Block (SMB) và Simple Network Management Protocol
(SNMP).
Web application analysis: Theo dõi, giám sát các ứng dụng Web.
Radio network analysis: Kiểm tra mạng không dây, bluetooth và
nhận dạng tần số vô tuyến (RFID).
200
Penetration: Khai thác các lỗ hổng tìm thấy trong các máy tính mục
tiêu.
Privilege escalation: Sau khi khai thác các lỗ hổng và được truy cập
vào các máy tính mục tiêu, các công cụ trong loại này có thể sử
dụng để leo thang đặc quyền, cho các đặc quyền cao nhất tới hệ
thống.
Maintaining access: Duy trì quyền truy cập vào các máy tính mục
tiêu. Những đặc quyền cao nhất là điều kiện cần thiết trước khi có
thể cài đặt công cụ để duy trì quyền truy cập.
Voice Over IP (VOIP): Các công cụ để phân tích VOIP.
Digital forensics: Phân tích hình ảnh đĩa cứng, cấu trúc các tập tin.
Reverse engineering: Gỡ rối chương trình hoặc tháo rời tập tin thực
thi.
Có thể tải Kali Linux tại địa chỉ: https://www.kali.org/downloads/
Bảng dưới đây cung cấp một vài công cụ có sẵn trong bộ công cụ Kali
Linux:
Kỹ thuật kiểm thử an toàn
Công cụ kiểm thử an toàn
Rà soát
201
Nghe lén mạng
Dsniff, Ettercap, Kismet, Mailsnarf, Msgsnarf,
Ntop, Phoss, SinFP, SMB Sniffer, và Wireshark
Kiểm tra tính toàn vẹn của
Autopsy, Foremost, RootkitHunter, và Sleuthkit
file
Phân tích và xác định mục tiêu
Kiểm thử an toàn ứng dụng
CIRT Fuzzer, Fuzzer, NetSed, Paros Proxy, và
Peach
Khám phá mạng
Autonomous System Scanner, Ettercap,
Firewalk, Netdiscover, Netenum, Netmask,
Nmap, P0f, Tctrace, và Umit
Xác định cổng và dịch vụ
Amap, AutoScan, Netdiscover, Nmap, P0f,
Umit, và UnicornScan
Dò quét điểm yếu
Firewalk, GFI LANguard, Hydra, Metasploit,
Nmap, Paros Proxy, Snort, và SuperScan
Dò quét mạng không dây
Airsnarf, Airsnort, BdAddr, Bluesnarfer,
Btscanner, FakeAP, GFI LANguard, Kismet, và
WifiTAP
Xác nhận điểm yếu mục tiêu
Bẻ mật khẩu
Hydra, John the Ripper, RainbowCrack, Rcrack,
SIPcrack, SIPdump, TFTPBrute, THC PPTP,
VNCrack, và WebCrack
Kiểm thử truy cập từ xa
IKEProbe, IKE-Scan, PSK-Crack, và
VNC_bypauth
Kiểm thử xâm nhập
Driftnet, Dsniff, Ettercap, Kismet, Metasploit,
Nmap, Ntop, SinFP, SMB Sniffer, và Wireshark
2.
Knoppix
Knoppix là một trong số các bản phân phối Linux dựa trên nền tảng
Debia. Đây cũng là phiên bản Linux có đĩa live CD đầu tiên. Knoppix được xây
dựng bởi một chuyên gia an ninh để hỗ trợ trong việc kiểm thử an toàn hệ thống
202
thông tin. Trong khi Knoppix được đóng gói phân phối với tư cách một OS độc
lập cùng khá nhiều công cụ mã nguồn mở hữu ích thì đa phần người dùng nhớ
tới bản phân phối này chỉ khi hệ thống gặp trục trặc, cần khôi phục dữ liệu.
Tương tự như Kali Linux, Knoppix cho phép khai thác mạng, xác định
cổng và dịch vụ, nghe lén thông tin qua mạng, bẻ mật khẩu, điều tra số và kiểm
thử an toàn từ xa. Điểm khác biệt giữa Knoppix và Kali Linux là Knoppix chứa
một vài công cụ mà Kali Linux không có, như Netcat và Nessus; công cụ về mật
mã; và một số công cụ khác trong việc điều tra máy tính và sniffing. Tuy nhiên
bộ công cụ này không cung cấp công cụ Metasploit để khai thác hệ thống, đồng
thời cũng không có nhiều công cụ để khai thác an ninh tới mạng không dây.
Có thể tài Knoppix live CD tại: http://www.knopper.net/knoppix/indexen.html
Bảng dưới đây cung cấp một số công cụ hữu ích có trong bộ công cụ
Knoppix:
Kỹ thuật kiểm thử an toàn
Công cụ kiểm thử an toàn
Rà soát
Nghe lén mạng
Dsniff, Ettercap, Ethereal, Filesnarf, Kismet,
Mailsnarf, Msgsnarf, Ngrep, Ntop, TCPdump,
và Webspy
Kiểm tra tính toàn vẹn của Autopsy, Biew, Bsed, Coreography, Foremost,
file
Hashdig, Rifiuti, và Sleuthkit
Phân tích và xác định mục tiêu
Kiểm thử an toàn ứng dụng
NetSed
Khám phá mạng
Cryptcat, Ettercap, Firewalk, Netcat, Nmap, và
P0f
Xác định cổng và dịch vụ
Amap, Netcat, Nmap, và P0f
Dò quét điểm yếu
Exodus, Firewalk, Nmap, và Snort
Dò quét mạng không dây
Airsnarf, Airsnort, GPSdrive, Kismet, và
MACchanger
Xác nhận điểm yếu mục tiêu
203
Bẻ mật khẩu
Allwords2, chntpw, Cisilia, Djohn, Hydra, John
the Ripper, và Rcrack
Kiểm thử truy cập từ xa
Apache Server, IKE-Scan, Net-SNMP, SSHD,
TFTPD, và VNC Server
Kiểm thử xâm nhập
Driftnet, Dsniff, Ethereal, Ettercap, Kismet,
Nessus, Netcat, Ngrep, Nmap, Ntop, và
TCPdump
204
PHỤ LỤC 2: BIỂU MẪU QUY TẮC GẮN KẾT (ROE)
Mẫu này cung cấp một điểm khởi đầu cho việc phát triển một quy tắc gắn
kết (ROE) của tổ chức. Các tổ chức có thể cân nhắc để bổ sung hoặc loại bỏ bớt
các vấn đề được đưa ra dưới đây:
1.
Giới thiệu
1.1. Mục đích
Xác định mục đích của việc kiểm tra an ninh.
1.2. Phạm vi
Xác định ranh giới kiểm tra về các hành động và kết quả mong đợi.
1.3. Các giả định và hạn chế
Xác định các giả định được thực hiện bởi tổ chức và các nhóm thử
nghiệm. Việc này có thể liên quan đến nhiều khía cạnh đánh giá bao gồm nhóm
kiểm thử, thiết lập các biện pháp phù hợp cho hệ thống kiểm tra, v.v…
1.4. Các rủi ro
Xác định các rủi ro có thể xảy ra khi thực hiện kiểm thử an toàn hệ thống
thông tin, đặc biệt là trong trường hợp thực hiện các kiểm thử xâm nhập. Bên
cạnh việc xác định rủi ro, cần đưa ra các giải pháp để khắc phục rủi ro nhằm bảo
vệ an toàn cho hệ thống đánh giá.
1.5. Cấu trúc tài liệu
Phác thảo cấu trúc của ROE, và mô tả nội dung của từng phần.
2.
Các vấn đề liên quan (hậu cần)
2.1. Cá nhân
Xác định bởi tên tất cả các nhân viên được giao nhiệm vụ kiểm thử an
toàn, cũng như các cán bộ chủ chốt thực hiện kiểm thử. Nên bao gồm một bảng
với tất cả các điểm liên lạc cho các nhóm kiểm thử, người quản lý, và các đội
ứng phó sự cố. Nếu có thể, nên thực hiện kiểm tra cả các lý lịch cũng như giấy
phép hợp lệ trước khi thực hiện các nhiệm vụ cụ thể.
2.2. Kế hoạch kiểm thử
205
Chi tiết về kế hoạch kiểm thử, bao gồm các thông tin như: các kiểm thử
và các sự kiện quan trọng. Ở đây cũng cần tính toán thời gian (số giờ) mà thử
nghiệm sẽ diễn ra. Ví dụ như thực hiện kiểm thử 1 website đang hoạt động cần
thực hiện vào buổi tối chứ không phải vào các giờ cao điểm.
2.3. Vị trí kiểm thử
Xác định vị trí, địa điểm thực hiện kiểm thử. Nếu việc kiểm thử được thực
hiện bên trong tổ chức, các truy cập tới các trang thiết bị cần được thảo luận và
được sự chấp thuận của tổ chức kiểm thử. Ngoài ra cần có sự hạn chế truy cập
vật lý tới các trang thiết bị của tổ chức. Tất cả các truy cập cần được sự cho phép
của người có thẩm quyền. Nhóm kiểm thử chỉ có thể được hoạt động trong phạm
vi cho phép theo thỏa thuận xác định trước. Nếu việc kiểm thử diễn ra tại vị trí
bên ngoài tổ chức (kiểm thử từ xa) thì cũng cần xác định cụ thể vị trí kiểm thử
cũng như cấu trúc hệ thống kiểm thử.
2.4. Trang thiết bị kiểm thử
Xác định các trang thiết bị mà nhóm kiểm thử sẽ sử dụng trong quá trình
thực hiện kiểm thử. Ngoài ra cũng cần xác định cách thức phân biệt giữa hệ
thống bình thường của tổ chức với hệ thống thực hiện kiểm thử; ví dụ như nếu
hệ thống của nhóm kiểm thử được xác định bằng địa chỉ MAC, việc theo dõi hệ
thống kiểm thử có thể được thực hiện thông qua việc sử dụng phần mềm khai
thác mạng. Ngoài phần cứng, công cụ cho phép sử dụng trên mạng cũng cần
được xác định. Sẽ là hợp lý nếu xác định tất cả các công cụ sẽ sử dụng và đưa
vào trong một phụ lục.
3.
Chiến lược giao tiếp
3.1. Giao tiếp chung
Thảo luận về tuần suất và phương thức giao tiếp giữa các bên. Ví dụ như
xác định lịch họp, vị trí và tổ chức các hội nghị truyền hình nếu cần thiết.
3.2. Xử lý sự cố và đáp trả
Phần này rất quan trọng trong trường hợp xảy ra sự cố trên mạng trong
thời gian tiến hành kiểm thử. Cần đưa ra các quy định để tạm dừng thực hiện
kiểm thử an toàn hệ thống thông tin khi có sự cố xảy ra. Bên cạnh đó cũng cần
206
quy định nhóm ứng phó sự cố và xác định trách nhiệm rõ ràng. Khi có sự cố,
nhóm ứng phó cần có quy trình và thực hiện các hành động khôi phục một cách
nhanh nhất và đảm bảo xử lý được hoàn toàn sự cố.
4.
Mạng/ hệ thống mục tiêu
Xác định hệ thống hoặc mạng cần kiểm thử thông qua quy trình kiểm thử
an toàn hệ thống thông tin. Thông tin cần thiết bao gồm các địa chỉ IP, các máy
chủ, máy trạm, tường lửa, router, hệ điều hành, và các ứng dụng kiểm thử.
Ngoài ra cần xác định các hệ thống không được phép kiểm thử, cái này sẽ được
đưa vào “danh sách loại trừ”.
5.
Thực thi kiểm thử
Phần này là cụ thể về kiểu kiểm thử và phạm vi kiểm thử, tuy nhiên cũng
cần chi tiết về các hành động được phép, các hành động không được phép và các
mô tả về phương pháp kiểm thử an ninh. Nếu cần, có thể phát triển kế hoạch
đánh giá để bổ sung cho ROE. Đây có thể là một phụ lục hoặc một văn bản
riêng.
1.1. Các thành phần kiểm thử không liên quan tới kỹ thuật
Xác định các hành động kiểm thử không liên quan tới kỹ thuật mà sẽ
được thực hiện, bao gồm các thông tin để giúp xác định các loại chính sách, quy
trình và các tài liệu khác mà có thể được xem xét lại. Nếu thực hiện phỏng vấn
hoặc khảo sát, cần chuẩn bị trước các câu hỏi và phải được chấp thuận của
những người có thẩm quyền. Nếu kiểm thử cả các vấn đề liên quan tới an toàn
vật lý thì cần phải xây dựng một quy trình và có hình thức kiểm thử phù hợp, ví
dụ như có văn bản với chữ ký hợp pháp để khi thực hiện kiểm thử, nhóm kiểm
thử trình các văn bản này trước khi tiến hành kiểm thử.
1.2. Các thành phần kiểm thử liên quan tới kỹ thuật
Bao gồm các kiểu kiểm thử về mặt kỹ thuật (ví dụ: dò quét mạng, khám
phá, kiểm thử xâm nhập). Khi thực hiện các kiểm thử này, cần thảo luận một
cách cụ thể về nơi các tập tin được cài đặt, sửa đổi, thực thi và giải thích các
hành động cần thiết với các tập tin khi quá trình kiểm thử kết thúc. Bất kỳ các
thông tin liên quan đến hệ thống hoặc mạng kiểm thử cũng cần được thảo luận
207
trong phần này. Cần chi tiết hóa các thông tin quan trọng, về các hành động sẽ
thực hiện tại hệ thống đích để đảm bảo tất cả các bên đều nhận thức được các
hành động được phép và thu được kết quả như mong đợi.
1.3. Xử lý dữ liệu
Xác định được các chỉ dẫn liên quan tới việc thu thập, lưu trữ, truyền tải
và hủy dữ liệu kiểm thử; đồng thời thiết lập, có các yêu cầu rõ ràng, chi tiết cho
việc xử lý dữ liệu. Lưu ý rằng các kết quả từ bất kỳ kiểu kiểm thử an toàn thông
tin nào đều sẽ xác định các lỗ hổng mà kẻ thù có thể khai thác.
6.
Báo cáo
Các báo cáo chi tiết sẽ được cung cấp trong suốt quá trình kiểm thử và kết
luận cuối cùng. Các thông tin tối thiểu cần được cung cấp trong mỗi báo cáo (ví
dụ như các lỗ hổng, các khuyến nghị cho việc giảm thiểu rủi ro) và tần suất báo
cáo (ví dụ: báo cáo tình trạng hàng ngày). Một mẫu có thể được cung cấp như là
một phụ lục của ROE để minh chứng cho nội dung và định dạng báo cáo.
7.
Trang ký
Được thiết kế để xác định trách nhiệm của các bên và đảm bảo rằng họ
biết và hiểu về các trách nhiệm của họ trong suốt quá trình kiểm thử. Tối thiểu
nhất, trưởng nhóm kiểm thử và những người quản lý của tổ chức (như CSO,
CISO, CIO, …) ký vào biên bản ROE để minh chứng rằng họ hiểu về phạm vi
kiểm thử và các nhiệm vụ cần thực hiện.
208
PHỤ LỤC 3: CÁC CÔNG CỤ KIỂM THỬ PHỔ BIẾN
1. Các công cụ kiểm tra tính toàn vẹn của tệp tin
Công cụ
Website
Linux
/Unix
http://www.cs.tut.fi/~ra
mmer/aide.html
Khả năng
Windows
Chi
phí
Miễn
phí
Aide
Unix and Linux
Mô tả
AIDE (Advanced Instrusion Detection Environment) là một thay thế miễn
phí của Tripwire. Nó kiểm tra tính toàn vẹn của tệp tin và hỗ trợ một số
lượng lớn các nền tảng Unix và Linux
LANGuard
Mô tả
Tripwire
Mô tả
Windows
2000/NT
http://www.gfi.com/lan
guard/
Miễn
phí
Trình kiểm tra tính toàn vẹn của tệp tin LANGuard là một tiện ích cung
cấp khả năng phát hiện xâm nhập bằng kiểm tra xem các tệp tin có bị thay
đổi, thêm hoặc bị xóa trên hệ thống Windows 2000/NT hay không
http://www.tripwiresec
Windows, Unix, urity.com/
Linux và Routers
Miễn
phí cho
Unix
Tripwire theo dõi những thay đổi tệp tin, xác minh tính toàn vẹn và thông
báo cho người quản trị bất kỳ hành vi vi phạm dữ liệu nào trên các máy
chủ mạng.
2. Các công cụ nghe lén mạng
Công cụ
Khả năng
Website
Linux
/Unix
Dsniff
Nghe lén Unix
http://www.monkey.org/
~dugsong/dsniff/
Mô tả
Ethereal
Windows
Chi
phí
Miễn
phí
Dsniff là một một tập các công cụ để kiểm toán mạng và kiểm thử xâm
nhập. Dsniff, filesnarf, mailsnarf, msgsnarf, urlsnarf, và webspy giám sát
bị động một mạng đối với các dữ liệu quan trọng (mật khẩu, e-mail, các
tệp tin…). Arpspoof, dnsspoof, và macof thuận lơi cho việc chặn bắt lưu
lượng mạng thường không có sẵn cho một kẻ tấn công (ví dụ: layer-2
switching). Sshmitm and webmitm cài đặt các cuộc tấn công khỉ đứng
giữa (monkey-in-the-middle) chống lại các phiên SSH và HTTPS bị
chuyển hướng bằng cách khai thác các ràng buộc yếu trongcác PKI đặc
biệt.
Nghe lén trên
http://www.ethereal.co
209
Miễn
Unix/Windows m/
với giao diện đồ
họa
Mô tả
Sniffit
Mô tả
Snort
Mô tả
TCPDump
Mô tả
WinDump
Mô tả
phí
Ethereal là một bộ phân tích giao thức mạng miễn phí cho Unix và
Windows. Nó cho phép người sử dụng kiểm tra dữ liệu từ một mạng đang
hoạt động hoặc từ một tệp tin lấy được trên đĩa. Nó có thể duyệt qua các
dữ liệu lấy được, xem tóm tắt và chi tiết thông tin cho mỗi gói tin.
Ethereal có nhiều tính năng mạnh mẽ, bao gồm một ngôn ngữ lọc hiển thị
phong phú và khả năng xem các dòng tái cấu trúc của một phiên TCP và
phân tích một gói tin 802.11
Nghe lén Unix
http://reptile.rug.ac.be/~
coder/sniffit/sniffit.html
http://www.symbolic.it/
Prodotti/sniffit.html
(Windows)
Miễn
phí
Một phần mềm miễn phí, nghe lén đa năng cho các phiên bản khác nhau
của Linux, Unix và Windows
Nghe lén Unix
/IDS
http://www.snort.org
Miễn
phí
Một IDS nhẹ và là phần mềm miễn phí và nghe lén đa năng cho các phiên
bản khác nhau của Linux, Unix và Windows
Nghe lén Unix
http://wwwnrg.ee.lbl.gov/
Miễn
phí
Một phần mềm miễn phí, nghe lén đa năng cho các phiên bản của Unix và
Linux
Nghe lén
Windows
http://netgroupserv.polito.it/windump/
Miễn
phí
Một phần mềm miễn phí, nghe lén đa năng của Windows dựa trên
TCPDump
3. Các công cụ bẻ mật khẩu
Công cụ
Khả năng
Website
Linux
/Unix
Crack 5
Bẻ khóa mật khẩu
Unix
http://www.crypticid
e.org/users/alecm/
Mô tả
Windows
Chi
phí
Miễn
phí
Crack là một chương trình đoán mật khẩu được thiết kế để nhanh chóng
xác định vị trí không an toàn trong các tệp mật khẩu Unix bằng cách quét
210
các nội dung của tệp mật khẩu, tìm kiếm những người dùng chọn mật
khẩu đăng nhập yếu.
IMP 2.0
Mô tả
John the
Rippe
Bẻ khóa mật khẩu
Novell Netware
http://www.wastelan
ds.gen.nz
Miễn
phí
IMP là một tiện ích bẻ mật khẩu NetWare với giao diện đồ họa. Nó nạp
thông tin tài khoản trực tiếp từ các file NDSor hoặc Bindery và cho phép
người sử dụng cố gắng làm lộ các mật khẩu tài khoản với các phương
pháp tấn công khác nhau.
Bẻ khóa mật khẩu
Windows và Unix
http://www.openwall.
com/john/
Miễn
phí
Mô tả
John the Rippers là công cụ bẻ mật khẩu nhanh chóng, hiện đang có nhiều
trong Unix, Dos và BeOS. Mục đích chính của nó là để phát hiện các mật
khẩu yếu trong Unix, một số các loại bản băm khác cũng được hỗ trợ.
L0pht
Crack
Bẻ khóa mật khẩu http://www.securityf
Windows và Unix ocus.com/tools/1005
Mô tả
Tiện ích bẻ mật khẩu trong Windows NT, 2000 và XP.
Nwpcrack
Mô tả
Bẻ khóa mật khẩu
Novell Netware
http://ftp.cerias.purdu
e.edu/pub/tools/novel
l/
Mất
phí
Miễn
phí
Windows
Chi
phí
Miễn
phí
Tiện ích bẻ mật khẩu cho Novell Netware.
4. Các công cụ dò quét và liệt kê
Công cụ
Khả năng
Website
DUMPSec
Công cụ liệt kê
Windows
http://www.systemto
ols.com
Mô tả
Firewalk
Mô tả
Fscan
Linux
/Unix
DUMPSec là một chương trình kiểm toán an toàn cho Microsoft
Windows.
Lọc tường lửa
http://www.packetfac
tory.net/firewalk/
Miễn
phí
Firewalking là một kỹ thuật sử dụng giống như kỹ thuật traceroute để
phân tích các phản hồi gói tin IP để xác định các bộ lọc ACL và đường đi
của mạng. Công cụ Firewalk sử dụng kỹ thuật này để xác định các luật lọc
tại chỗ trên một thiết bị chuyển tiếp gói tin.
Quét cổng
http://www.foundsto
ne.com/
211
Miễn
phí
Mô tả
LANguard
Network
Scanner
FScan là công cụ quét cổng dòng lệnh . Nó sẽ quét cả các cổng TCP và
UDP
Quét cổng, phát http://www.gfi.com/l
anguard/lanscan.htm
hiện hệ điều hành
Miễn
phí
Mô tả
LANguard Network Scanner là công cụ quét cổng và quét an toàn miễn
phí để kiểm toán an toàn mạng của bạn. Nó quét toàn bộ mạng và cung
cấp thông tin NetNIOS cho mỗi máy tính như tên host, tên đăng nhập của
người dùng. Nó thực hiện phát hiện hệ điều hành, kiểm thử độ mạnh mật
khẩu, phát hiện các vấn đề về registry và nhiều vấn đề khác nữa. Các báo
cáo được xuất ra dạng HTML.
NDS
Snoop
Công cụ Novell http://www.novell.co
Enumeration
m/coolsolutions/
Mô tả
Cung cấp khả năng liệt kê một loạt các đối tượng và giá trị NDS.
Nmap
Mô tả
Solarwinds
Mô tả
SuperScan
Mô tả
Quét cổng, phát
hiện hệ điều hành
http://www.insecure.
org/nmap/
Miễn
phí
Miễn
phí
Nmap (“Network Mapper”) là một tiện ích mã nguồn mở dùng để khai
thác mạng và kiểm toán an toàn mạng. Nó được được thiết kế để quét các
mạng lớn một cách nhanh chóng, mặc dù nó cũng hoạt động với các host
đơn. Nmap sử dụng các gói IP thô để xác định danh sách các host có sẵn
trên mạng, những dịch vụ mà chúng được cung cấp, các hệ điều hành nào
chúng đang chạy, loại lọc gói/tường lửa được sử dụng và các đặc tính
khác nữa.
Liệt kê mạng
http://www.solarwind
s.net/
Mất
phí
Một tập các công cụ quản lý và khám phá mạng
Quét cổng, phát
hiện hệ điều hành,
liệt kê banner
http://www.foundsto
ne.com/
Miễn
phí
Nó sẽ quét nhanh các mạng lớn để xác định danh sách các host có sẵn trên
mạng, các dịch cụ mà chúng thường sử dụng, phiên bản của các dịch vụ
đó, các loại và các phiên bản của hệ điều hành. Nó cũng thực hiện đảo
ngược bảng tra DNS.
212
5. Các công cụ đánh giá điểm yếu
Công cụ
Khả năng
Website
Linux
/Unix
Windows
Chi
phí
CyberCop
Scanner
Quét điểm yếu
http://www.pgp.com/
products/
Mất
phí
Mô tả
ISS
Internet
Scanner
Mô tả
Nessus
Mô tả
SecureSca
nNX
Mô tả
SAINT
Mô tả
SARA
Mô tả
SATAN
Mô tả
Bộ quét CyberCop là một công cụ quét điểm yếu dựa trên mạng có khả
năng xác định các điểm yếu an toàn trên các máy chủ mạng
Quét điểm yếu
http://www.iss.net/
Mất
phí
ISS Internet Scanner là một công cụ miễn phí quét điểm yếu dựa trên
mạng để xác định các lỗi hổng an toàn trên các máy chủ mạng.
Quét điểm yếu
http://www.nessus.or
g/
(chỉ
client)
Miễn
phí
Nessus là một công cụ miễn phí quét điểm yếu dựa trên mạng để xác định
các lỗi hổng an toàn trên các máy chủ mạng.
Quét điểm yêu
http://www.vigilante.
com/securescan/
Mất
phí
SecureScan NX là một công cụ đánh giá an toàn mạng có khả năng tự
động thăm dò mạng và tường lửa của tổ chức để đánh giá các điểm yếu và
đề xuất cách khắc phục.
Quét điểm yếu
http://www.wwdsi.co
m/saint/
Mất
phí
SAINT là một phiên bản cập nhật và nâng cao của SATAN, được thiết kế
để đánh giá an toàn cho các mạng máy tính.
Quét điểm yếu
http://wwwarc.com/sara/
Miễn
phí
Sara là một công cụ miễn phí quét điểm yếu dựa trên mạng để xác định
các điểm yếu an toàn trên máy chủ mạng
Quét điểm yếu
http://www.fish.com/
satan/
Miễn
phí
Satan là một công cụ hỗ trợ các quản trị viên hệ thống. Nó nhận biết được
một số vấn đề an toàn phổ biến liên quan đến mạng và báo cáo về các vấn
đề đó mà không thực sự khai thác chúng
213
6. Những công cụ kiểm thử mạng không dây
Công cụ
Khả năng
Website
Aerosol
Nghe lén mạng
không dây
http://www.sec33.co
m/sniph/aerosol.php
Mô tả
AirSnort
Mô tả
Kismet
Mô tả
Netstumble
r
Mô tả
Sniffer
Wireless
Mô tả
WEPCrack
Mô tả
WaveStum
bler
Mô tả
Linux
/Unix
Windows
Chi
phí
Miễn
phí
Aerosol là một công cụ nghe lén mạng LAN không dây miễn phí, mà có
thể bẻ khóa mã hóa WEP. Aerosol hoạt động bởi sự truyền tin giám sát bị
động, tính khóa mã hóa khi đã thu thập đủ các gói tin
Nghe lén mạng
không dây
http://airsnort.shmoo.
com/
Miễn
phí
AirSnort là một công cụ nghe lén mạng LAN không dây miễn phí, có khả
năng khôi phục khóa mã hóa. AirSnort hoạt động bằng sự truyền tin giám
sát động, tính khóa mã hóa khi đã thu thập đủ các gói tin
Nghe lén mạng
không dây
http://www.kismetwi
reless.net/
Miễn
phí
Kismet là một công cụ nghe lén mạng không dây chuẩn 802.11b. Nó có
khả năng nghe lén trên hầu hết các thẻ không dây được hỗ trợ trong Linux
Nghe lén mạng
không dây
http://www.netstumbl
er.com
Miễn
phí
Netstumbler là một công cụ 802.11b lắng nghe các mạng có sẵn và ghi lại
dữ liệu về điểm truy cập. Một phiên bản có sẵn cho Poket PC
Nghe lén mạng
không dây
http://www.sniffer.co
m/
Mất
phí
Một Sniffer Wireless là một bộ nghe lén mạng LAN không dây cung cấp
các khả năng giám sát, thu tóm, giải mã và lọc mạng
Công cụ bẻ mã hóa http://sourceforge.net
/projects/wepcrack/
WEP
Miễn
phí
WEPCrack là một công cụ có thể bẻ khóa mã hóa 802.11 WEP sử dụng
những phát hiện mới nhất về điểm yếu của lược đồ khóa RC4
Lập bản đồ mạng
không dây
http://www.cqure.net
/tools08.html
Miễn
phí
WaveStumbler là một bảng miễn phí dựa trên mạng 802.11 cho Linux. Nó
báo cáo về các đặc điểm của mạng không dây cơ bản bao gồm gồm: kênh,
WEP, ESSID, MAC …
214