- Các hình thức tấn công mạng. - Trình tự của một cuộc tấn công. - Đáp ứng lại các sự tấn công. - Mô hình của Cisco sử dụng IPS. - Triển khai sử dụng IPS để ngăn chặn tấn công mạng. - Mô hình và kịch bản tấn công. - Nguyên tắc của tấn công Teardrop. - Nguyên tắc tấn công SYN attack. - Nguyên tắc tấn công Smurf Attack. - Nguyên tắc tấn công DDoS. - Sự gia tăng của các hình thức tấn công mạng. - Mô hình sử dụng firewall. - Mô hình sử dụng IDS. - Mô hình sử dụng IPS. - 53 Hình 4.2.2: Mô hình mạng sử dụng IPS Cisco. - Trước khi sử dụng IPS. - Vì thế, cần có những thiết bị đặc dụng để bảo mật thông tin, đảm bảo an toàn cho hệ thống đứng vững trước bất cứ đợt tấn công nào. - Trong khuôn khổ luận văn này, em xin trình bày về các hình thức tấn công mạng và phương pháp ngăn chặn xâm nhập bằng thiết bị Intrusion Prevention Service (IPS) của Cisco với 5 chương như sau. - Chương này giới thiệu về quy trình của một đợt tấn công mạng và các hình thức của các đợt tấn công mạng. - Chương này sẽ triển khai tấn công và ngăn chặn tấn công bằng IPS Cisco ▪ Chương 5. - Mỗi năm, thiệt hại có thể lên tới hàng tỷ USD chỉ bởi các cuộc tấn công mạng và xâm nhập mạng. - Rất nhiều những đợt tấn công mạng là do những người không ý thức được việc họ làm, hoặc thậm chí là họ không biết là họ đang tấn công mạng. - Các tools để tấn công mạng ngày càng đơn giản, dễ sử dụng, thậm chí có cả một cộng đồng (forum) hướng dẫn cách sử dụng tool đó để tấn công mạng. - Người không hiểu biết mà có ý đồ xấu hoàn toàn có thể sử dụng những tool đó để tấn công mà không cần mất nhiều thời gian để tìm hiểu về phương thức hoạt động hay hậu quả của nó gây ra. - Bên cạnh những người như vậy còn có những người cố ý tấn công với mục đích xấu. - Những người này thường sẽ tìm hiểu về những lỗ hổng trong hệ thống của nạn nhân rồi tìm cách sử dụng những lỗ hổng này để tấn công nạn nhân. - Những người này thường có kiến thức khá vững vàng, họ có thể tấn công trực tiếp hoặc tạo lập nên 1 hệ thống của riêng họ để tấn công nạn nhân với mục đích gây hậu quả cao nhất cho nạn nhân. - CÁC HÌNH THỨC TẤN CÔNG MẠNG. - Có rất nhiều hình thức tấn công mạng, song tất cả các hình thức tấn công đều thực hiện đầy đủ các bước sau. - Đây là bước nguy hiểm nhất của các đợt tấn công mạng, hacker có thể sử dụng những thông tin có được của nạn nhân để giả mạo nạn nhân. - Ở bước này, hacker sẽ chính thức tiến hành các cuộc tấn công mạng bằng rất nhiều phương thức để gây thiệt hại lớn tùy thuộc vào mục đích tấn công của hacker. - Đây là bước nguy hiểm thứ nhì trong các cuộc tấn công mạng, song lại là bước có kết quả khó khắc phục nhất. - Trình tự của một cuộc tấn công 2.1.1. - Mặt khác, IP v6 hiện chưa được ứng dụng rộng rãi nên các cuộc tấn công mạng hiện nay chủ yếu là nhằm vào IP v4. - Việc thực hiện 1 lệnh ping là hoàn toàn đơn giản, hỗ trợ trên bất cứ hệ điều hành nào nên việc xác định mục tiêu để tấn công còn online hay không là không khó. - Các thông tin này giúp ích rất nhiều cho việc tấn công cũng như xâm nhập của hacker. - Việc thu thập thông tin về mục tiêu là bước quan trọng nhất của bất cứ hình thức tấn công hay xâm nhập mạng nào, vì thế hacker có thể bỏ rất nhiều công sức và thời gian vào bước này để có thể tìm ra những điểm yếu của hệ thống mục tiêu, cũng như hoạt động, các cách thức bố trí hệ thống phòng thủ của mục tiêu. - Phá hoại ( Destroit attack) Đây là loại tấn công phổ biến nhất trong tấn công mạng. - Hacker sẽ sử dụng những phương thức tấn công mạnh mẽ vào mục tiêu với mục đích gây thiệt hại lớn nhất cho nạn nhân và cũng là để phô trương thanh thế của hacker. - Ở Việt Nam gần đây xuất hiện khá nhiều những hình thức tấn công kiểu này, thường gặp ở các forum hoặc các website của các công ty. - Network attack: với hình thức này, hacker sẽ huy động một hệ thống các máy tính nối mạng để tấn công vào hệ thống của nạn nhân. - Phương pháp tấn công này đưa tới hiệu quả cao nhất và gây thiệt hại lâu dài cho hệ thống của nạn nhân. - Thực chất cả 2 hình thức tấn công này đều mang tính chất từ chối dịch vụ, có nghĩa là hacker sẽ tìm cách chiếm dụng tài nguyên của hệ thống để các yêu cầu khác tới hệ thống sẽ không còn tài nguyên để sử dụng. - Các hình thức tấn công mạng 2.2.1. - Host attack Host attack có rất nhiều hình thức tấn công. - Dạng tấn công này cũng còn được gọi là tấn công từ chối dịch vụ DoS (Denial of Service) và thường có quy mô nhỏ. - Phương pháp tấn công này hết sức đơn giản, có thể thực hiện ở trên bất cứ máy tính nào chỉ bằng vài câu lệnh như trong Windows là: C. - Các tùy chọn của lệnh ping Phương pháp tấn công này hết sức đơn giản, chỉ hiệu quả với host có hệ thống yếu. - Với các hệ thống ngày nay, phương pháp tấn công này không đem lại nhiều hiệu quả. - Nguyên tắc của tấn công Teardrop 2.2.1.3. - Nguyên tắc tấn công SYN attack 2.2.1.4. - Land attack Hình thức tấn công này giống với SYN attack, tuy nhiên thay vì sử dụng địa chỉ IP không có thực thì hacker sẽ sử dụng chính IP của nạn nhân làm IP nguồn và IP đích. - Tấn công giả mạo DNS Hiện nay Internet sử dụng giao thức Domain Name Server (DNS) để chuyển đổi từ IP thành địa chỉ cho người sử dụng dễ dàng ghi nhớ. - Tuy nhiên giao thức này rất dễ bị tấn công bởi vì nó cần nền tảng hệ điều hành để hoạt động. - Virus, trojan, spyware… Đây cũng là một hình thức tấn công. - Hiện nay phương pháp tấn công này đang ngày càng gia tăng về số lượng, nguyên nhân là do ý thức người sử dụng chưa cao trong vấn đề an toàn bảo mật thông tin. - Network attack Ở hình thức tấn công này, hacker sẽ huy động tới đường truyền Internet, băng thông và một loại các hệ thống khác để tấn công mục tiêu. - Thông thường các hình thức tấn công dạng network attack thường có quy mô lớn hơn host attack nhiều lần. - Dạng tấn công này thường được gọi là tấn công từ chối dịch vụ không tập trung DDoS (Distribution Denial of Service). - Có một số hình thức tấn công như sau: 2.2.2.1. - Nguyên tắc tấn công Smurf Attack 2.2.2.2. - Đây là hình thức tấn công hiệu quả nhất hiện nay. - Distribution Denial of Services – là dạng tấn công phân tán. - Số lượng này càng nhiều thì hiệu quả của đợt tấn công càng cao. - Sau khi xây dựng được một mạng máy tính đủ khả năng tấn công, các hacker này sẽ hẹn nhau để cùng tấn công vào một mục tiêu vào một thời điểm xác định. - Khi đợt tấn công xảy ra, các hacker sẽ đứng ngoài để điều khiển mạng máy tính botnet tấn công vào mục tiêu. - Nguyên tắc tấn công DDoS Trên đây có thể thấy có rất nhiều hình thức tấn công mạng với độ phức tạp và hiệu quả của nó đem lại khác nhau. - Thông qua việc tìm hiểu phương thức tấn công mạng, các chuyên gia mới có thể tìm kiếm được cách thức để hạn chế, ngăn chặn chúng. - Sự gia tăng của các hình thức tấn công mạng Người quản trị hầu như không đủ khả năng để ngăn chặn toàn bộ các đợt tấn công 24/24 một cách hiệu quả. - 25 Ngành an ninh mạng với các chính sách của nó đòi hỏi sự ra đời cả các thiết bị phần cứng lẫn phần mềm nhằm mục đích giảm thiểu hậu quả của các đợt tấn công mạng.. - Kẻ xấu hoàn toàn có thể tấn công mạng bằng cách xâm nhập vào firewall, tấn công từ trong mạng nội bộ ra ngoài, sử dụng các phương pháp vượt firewall thông qua các lổ thủng firewall. - IPS của Cisco là 1 loạt các sensor nhằm mục đích phát hiện ra các hiện tượng tấn công, xâm nhập thông qua 1 cơ sở dữ liệu các dấu hiệu tấn công mạng. - Cơ sở dữ liệu này luôn được cập nhật mới mỗi khi có hình thức tấn công mạng mới xuất hiện. - cho phép các mạng tự bảo vệ chính nó khỏi các nguy cơ bị tấn công. - Sản phẩn này ngăn chặn được các đợt tấn công chiếm dụng với băng thông nhỏ hơn hoặc bằng 450 Mbps. - Đáp ứng chính xác: Cisco IPS thực hiện các kiểm nghiệm của mình dựa trên các dấu hiệu tấn công theo thời gian thực, bằng các thuật toán phức tạp, thiết bị đưa ra được các đáp ứng chính xác với các hình thức tấn công. - Flooding: lưu lượng mạng bị bão hòa bởi “noise” trong khi bắt đầu cuộc tấn công vào các mục tiêu được gọi là lụt bản tin. - Mô hình kỹ thuật Fragmentation • Mã hóa – Encryption: tham gia việc tấn công thông qua một quá trình mã hóa để tránh sự phát hiện, ngăn chặn. - Mô hình kỹ thuật mã hóa Encryption • Cải trang - Obfuscation: việc cải trang trong một cuộc tấn công được thực hiện bằng cách sử dụng những ký tự đặc biệt để giấu đi từ một sensor thông thường, các ký tự đó có thể là ký tự điều khiển, ký tự hex hay ký tự Unicode… 3.4.2. - Dấu hiệu built-in: các dấu hiệu tấn công đã được biết đến thông qua các sensor bên trong cấu trúc phần mềm. - SME bao gồm rất nhiều các engines quy định cách hành xử của thiết bị IPS khi có dấu hiệu tấn công tương ứng. - Công nghệ mạng tự bảo vệ Cisco IOS IPS sử dụng công nghệ mạng tự bảo vệ, là công nghệ mới nhất hàng đầu của ngành công nghiệp bảo mật để ngăn chặn hoàn toàn các khả năng tấn công mạng từ bất cứ đâu. - Threat defense: bảo vệ và đáp ứng lại các cuộc tấn công mạng sử dụng ngay các công nghệ mạng như IPS, Firewall • Trust and Identity: Cho phép mạng thông minh bảo vệ đầu cuối sử dụng công nghệ mới nhất như Network Admission Control (NAC), identity services và xác thực (authentication), cho phép (authorize), tài khoản (accounting) AAA. - Network Infrastructure protection: bảo vệ cấu trúc mạng khỏi các cuộc tấn công và xâm nhập trái phép tùy theo cấp độ tương ứng. - Hoạt động của Cisco IPS Hiện nay có rất nhiều phương pháp tấn công mạng nên cũng có rất nhiều những biện pháp để ngăn chặn. - Với Host-Base, khả năng của IPS là hạn chế, do người sử dụng hoàn toàn có thể sử dụng các hệ thống Honey pot để ngăn chặn các đợt tấn công host. - Truy cập vào gói tin chứa các thông tin về địa chỉ của kẻ tấn công hoặc địa chỉ của nạn nhân hoặc cả hai thông tin trên. - Chấm dứt các phiên kết nối, bao gồm cả TCP và UDP giữa nguồn của kẻ tấn công và các host mục tiêu. - Dựa vào các chính sách bảo mật ở trên và việc nghiên cứu cách thức của các cuộc tấn công mạng, Cisco đã đưa ra 2 mô hình sử dụng IPS như sau. - Mô hình bảo vệ Network IPS Ở chương sau, em xin trình bày về quá trình tấn công và ngăn chặn bằng IPS để kiểm tra khả năng của IPS. - Triển khai sử dụng IPS để ngăn chặn tấn công mạng 4.1 Giới thiệu IPS là thiết bị được sử dụng hết sức linh hoạt. - Thông qua lỗ hổng này, hacker hoàn toàn có thể chiếm quyền điều khiển server và thực hiện các cuộc tấn công giả mạo DNS. - Mô hình và kịch bản tấn công - Mô hình mạng: Hình 4.2.2: Mô hình mạng sử dụng IPS Cisco 55 - Kịch bản tấn công: Trong phần tấn công này, em sẽ sử dụng tool Metasploit để khai thác lỗ hổng DNS trên nền dịch vụ DNS chạy trên Windows Server. - Hacker sẽ là một máy tính nằm trong cùng mạng LAN với server sẽ tấn công để chiếm quyền điểu khiến Server. - Sau đó, kích hoạt IPS trên Router để kiểm tra công nghệ bảo vệ inline của Cisco IPS, ngăn chặn tấn công từ Hacker. - Trước khi sử dụng IPS Sau khi triển khai IPS, server sẽ được bảo vệ an toàn, đợt tấn công của hacker sẽ không thành công cuộc tấn công đã bị chuyển vào vùng xám (cổng ảo của IPS) và trả về cho hacker lỗi không thể kết nối: 63 Hình 4.2.2.2. - Dựa vào kết quả của đợt tấn công thử trên, có thể thấy được hiệu năng của IPS khi được sử dụng để làm thiết bị bảo mật cho hệ thống. - KẾT LUẬN Bằng những kết quả trên đây, có thể thấy Cisco IPS là thiết bị mới nhất có thể loại bỏ được các nhược điểm của các thiết bị bảo mật cũ, có thể ngăn chặn và giảm thiểu hầu hết các nguy cơ tấn công xâm nhập mạng. - Tuy nhiên do điều kiện hạn chế, em vẫn chưa đủ khả năng để triển khai các đợt tấn công mạnh nhất là DDoS để kiểm tra khả năng thực sự của Cisco IPS. - Luận văn này có thể tiếp tục phát triển bằng cách khai thác triệt để khả năng ngăn chặn tấn công mạng của Cisco IPS ngay cả khi các lỗ hổng mới chưa được vá kịp thời. - Bên cạnh đó, có thể thử nghiệm tấn công và bảo vệ theo mô hình NIPS để kiểm tra hiệu năng bảo vệ hệ thống mạng của Cisco IPS
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt