MỤc lục lời nóI ĐẦU 1

Một số phương pháp bảo mật mạng LAN

tải về 390.96 Kb.

trang	5/6
Chuyển đổi dữ liệu	12.09.2017
Kích	390.96 Kb.
	#33159

1 2 3 4 5 6

2. Một số phương pháp bảo mật mạng LAN

2.1. Tường lửa

Tường lửa (firewall) là hệ thống gồm cả phần cứng và phần mềm làm nhiệm vụ ngăn chặn các truy nhập "không mong muốn" từ trong ra bên ngoài hoặc từ bên ngoài vào trong. Tường lửa thường được đặt ở cổng giao tiếp giữa hai hệ thống mạng, ví dụ giữa mạng trong nước và mạng quốc tế, giữa mạng nội bộ của doanh nghiệp và mạng Internet công cộng v.v... để lọc thông tin theo các nguyên tắc được định trước.

Các công ty lớn, các trung tâm nghiên cứu quan trọng cần tường lửa để loại bỏ các cuộc tấn công của tin tặc từ bên ngoài vào, hoặc để ngăn nhân viên của mình không gửi thông tin mật ra ngoài, hoặc đơn giản hơn là không cho nhân viên sử dụng dịch vụ chat hay xem Youtube trong giờ làm việc.

Hình 2.0.3 Mô hình firewall

- Mỗi phân vùng mạng kết nối với ít nhất một giao diện của Firewall và được gọi là một vùng (hay zone). Một Firewall thông thường có 03 zone mặc định là:
o Zone Trust kết nối với vùng mạng bên trong (còn gọi là zone Inside).
o Zone DMZ thường được kết nối với máy chủ.
o Zone UnTrust kết nối với vùng mạng ngoài (còn gọi là zone Outside).

Hình 2.0.4 Các zone mặc định của firewall

- Tùy theo nhu cầu sử dụng và số giao diện, số zone mà Firewall hỗ trợ, chúng ta có thể định nghĩa thêm một số zone mới, và định nghĩa các chính sách truy nhập giữa các zone tùy theo như cầu sử dụng.
- Ngày nay, do nhu cầu sử dụng nhiều tính năng đồng thời trong cùng một thiết bị như tính năng Firewall, tính năng định tuyến, các tính năng phát hiện và ngăn chặn thâm nhập trái phép… người ta đã phát triển các sản phẩm tích hợp đồng thời các tính năng trên và cho ra đời dòng sản phẩm UTM (Unified Threat Management). UTM mang khá nhiều tính năng trong cùng một sản phẩm, như: Định tuyến, phòng chống virus (anti-virus, anti-spam), chặn lọc web (web filtering), kiểm tra và cảnh báo các tác nhân gây hại cho hệ thống (Prevention), bảo mật hệ thống với IPS và IDS…
- Trong mạng LAN chuẩn tại đơn vị, sử dụng thiết bị Firewall làm trung tâm của mạng, thực hiện các chức năng phân tách, kiểm soát truy nhập, ngăn chặn các truy nhập trái phép…Đồng thời nó cũng thực hiện chức năng định tuyến giữa các vùng mạng, NAT địa chỉ IP, cấp phát địa chỉ IP thông qua giao thức DHCP…
Ở đây chúng ta đề cập đến 3 công nghệ firewall, đó là:

+Packet filtering

+Application layer Gateways

+Stateful inspection

Packet filtering firewall làm việc ở tầng network của mô hình OSI. Nó được thiết kế để điều chỉnh nhanh chóng quá trình cho phép hoặc huỷ bỏ các gói tin đi qua.

Application layer gateway được thiết kế hoạt động ở tầng Application. Nó được thiết kế để phân tích từng gói tin đi qua đồng thời xác định xem kiểu dữ liệu của gói tin đó có truyền có hợp lệ hay không hay đó là ứng dụng đặc biệt làm hại quá trình truyền tin.

Stateful inspection firewall dùng để kiểm tra từng gói tin và xác minh xem đó có phải là những gói tin được trông đợi trong phiên truyền thông tin hiện tại hay không. Đây là kiểu firewall dùng trong tầng network, nhưng nó cũng có thể hoạt động tại các tầng transport, session, presentation và application.

A,Packet filtering firewall

Packet filtering firewall được cấu hình để cho phép hay ngăn cấm quá trình truy cập của các port hay địa chỉ IP cụ thể nào đó. Có hai cách giải quyết khi thiết lập hoạt động của Packet filtering firewall, đó là “allow by default” và “deny by default”. “Allow by default” cho phép tất cả các traffic đi qua loại trừ những traffic đặc biệt đã bị ngăn cấm. “Deny by defaul” ngăn chặn tất cả các traffic đi qua trừ những traffic rõ ràng đã được cho phép. Trên thực tế, deny by default được sử dụng rộng rãi bởi vì chúng ta chỉ cần cho những traffic cần thiết đi qua, những port lạ cần được ngăn chặn để tránh việc xâm nhập của kẻ phá hoại.

Hình 2.0.5 Sơ đồ làm việc của Packet Filttering
Packet filtering firewall có những mặt lợi nhưng cũng có nhiều mặt hạn chế. Cái lợi đầu tiên của nó là tốc độ xử lý. Khi các gói tin đi qua, chỉ có phần header là được kiểm tra và các quy tắc kiểm tra cũng rất đơn giản nên tốc độ xử lý là rất cao. Ngoài ra, Packet filtering firewall cũng rất dễ dàng sử dụng. Việc thiết lập cấu hình cho nó là tương đối dễ dàng và việc đóng hay mở các port cũng được thực hiện một cách nhanh chóng. Một ưu điểm của Packet filtering firewall là nó có tính trong suốt đối với các thiết bị mạng.

Các gói tin có thể đi qua nó mà không phải gửi hay nhận thêm bất kì một phần thông tin nào cả. Ngày nay hầu hết các router đều có chức năng như là một Packet filtering firewall. Việc này có thể thực hiện nhờ cấu hình ACLs trên các cổng của router.

Packet filtering firewall chỉ kiểm tra phần header chứ không kiểm tra nội dung của gói tin. Đây chính là ngòi nổ cho sự phá hoại từ bên trong, khi mà các gói tin có header hợp pháp đã được firewall cho đi qua một cách dễ dàng.

B,Application layer gateways

Đây còn được gọi là Apllication filtering. Nó có nhiều tính năng nổi trội hơn so với Packet filtering firewall. Application layer Gateways kiểm tra toàn bộ gói tin và việc lọc bỏ gói tin được dựa trên các quy luật đặc trưng, rành mạch hơn.

Hình 2.0.6 Application Layer Gateway
Ở đây, router kết nối ra Internet (hay còn gọi là exterior router-router ngoại vi) sẽ đưa tất cả các traffic nhận vào đến application gateway. Các router bên trong (interior router) sẽ chỉ nhận các gói tin được chuyển tủ application gateway. Như vậy là application gateway có khả năng kiểm soát việc phân phối của các dịch vụ mạng đi ra hay đi vào hệ thống mạng. Khi đó chỉ những user nào được cho phép mới có thể kết nối ra Internet hoặc là chỉ những ứng dụng nào được phép mới có thể thiết lập kết nối với host bên trong.

Application layer Gateways sử dụng các quy tắc phức tạp hơn Packet filtering để xác định tính hợp lệ của các gói tin muốn đi qua nó, do đó tăng tính an toàn cho hệ thống. Tuy nhiên chính điều này lại tạo ra sự hạn chế của công nghệ này. Tất cả các gói tin đi qua nó đều bị tháo rời ra, dựa trên các quy luật phức tạp để kiểm tra toàn bộ gói tin nhằm xác định tính xác thực của gói tin, do đó tốc độ xử lý là thấp hơn nhiều so với Packet filtering.

C,Stateful inspection

Đây là công nghệ kết hợp giữa 2 công nghệ nói trên. Nó tìm cách khắc phục những nhược điểm còn lại của Packet filtering và Application layer Gateways. Stateful inspection cung cấp sư nhận biết ở lớp ứng dụng cho firewall nhưng lại không phải tháo rời gói tin. Như vậy Stateful inspection hoạt động nhanh hơn Application layer Gateways và có khả năng bảo mật cao hơn Packet filtering.

D,Một số mô hình mạng được triển khai bằng firewall

Một số mô hình mạng được triển khai bằng firewall

Hình 2.0.7 Mô hình triển khai Firewall

Thông thường các firewall được đặt tại vị trí đường biên, giữa mạng bên trong và thế giới bên ngoài. Tại vị trí này, firewall có thể kiểm soát các traffic(lưu lượng dữ liệu) từ bên trong đi ra cũng như từ bên ngoài đi vào.

Hình 2.0.8 Mô hình triền khai kết hợp Firewall nhiều tầng

Để tăng độ an toàn cho hệ thống, chúng ta có thể tăng tính chất bảo vệ của firewall bằng cách sử dụng mô hình firewall nhiều tầng để chúng bổ xung và phối kết hợp với nhau. Bằng cách này chúng ta vừa tăng tính bảo mật cho mạng vừa hạn chế được các yếu điểm của firewall. Thông qua việc cấu hình firewall phù hợp với từng dạng firewall sử dụng và tính chất các dịch vụ mà firewall đó bảo vệ mà ta có một hệ thống có chất lương tốt hơn. Những phần quan trọng và mang tính chất quyết định thì nên đặt ở phía trong của hệ thống vì khi đó muốn truy cập vào các phần này phải đi qua nhiều lớp firewall, như thế độ an toàn sẽ tăng lên.

2.2.Switch

Switch là thiết bị hoạt động trên tầng 2 của mô hình OSI (Datalink layer), đây là một thiết bị được dùng rộng rãi trên hầu hết các mô hình hệ thống mạng. Mỗi cổng của switch là một vùng xung đột (collision domain) nên sẽ tránh được đụng dộ khi mỗi cổng gửi thông tin đi. Ở switch băng thông cũng không bị chia sẻ như ở Hub. Tất cả các cổng của switch nằm trong 1 vùng quảng bá (broadcast domain), tức là khi có 1 gói tin mang địa chỉ broadcast tầng 3 đến switch thì tất cả các máy tính nối vào các cổng của switch đều phải xử lý gói tin đó. Các gói tin gửi giữa các máy tính trong cùng mạng LAN sẽ được switch định tuyến dựa trên địa chỉ MAC (Media Access Control). Trên mỗi switch có một bảng địa chỉ MAC được gọi là bảng CAM (Content Addressable Memory), dựa vào bảng này mà switch chuyển các gói tin đến đúng cổng đích. Mỗi card mạng có một địa chỉ MAC duy nhất đo đó mỗi PC sẽ chỉ tương ứng với 1 địa chỉ MAC duy nhất trong bảng CAM.

A,Mật khẩu truy nhập và cổng bảo vệ

Khi các cổng của switch không có biện pháp bảo vệ, bất kì người nào với 1 máy tính xách tay đều có thể kết nối vào mạng và có thể sử dụng tài nguyên của mạng. Một trong những cách ngăn chặn việc này đó là thiết lập Static MAC Address. Tức là gắn cho mỗi cổng của switch tương ứng với 1 địa chỉ MAC xác định. Khi đó chỉ có duy nhất máy tính có địa chỉ MAC như thế mới sử dụng được cổng này. Ta có thể cấu hình static MAC address theo các câu lệnh sau:
Switch#config terminal

Switch(config)#mac-address-table static 0010.7a60.1982 interface fa0/5 vlan VLAN1

Sau câu lệnh này địa chỉ MAC 0010.7a60.1982 sẽ được gắn vào cổng số 5 của switch.

Việc đặt static MAC address đôi khi gây ra lỗi do địa chỉ MAC không chính xác và mất công xác định địa chỉ MAC của từng máy tính. Vấn đề này sẽ được giải quyết bằng việc cấu hình port sercurity trên switch. Địa chỉ MAC đầu tiên mà switch học được từ cổng được cấu hình sẽ được lấy. Ngoài ra chúng ta có thể cấu hình được số địa chỉ MAC tối đa sẽ được gắn cho 1 cổng.

Switch(config)#interface fa0/5

Switch(config-if)#port sercurity

Switch(config-if)#port sercurity max-mac-count 10

Switch(config-if)#port sercurity action shutdown|trap

Ở đây đã cấu hình port sercurity cho cổng số 5 của switch. Số 10 có ý nghĩa là có tối đa 10 địa chỉ MAC được gán cho port này. Trong dòng lệnh cuối cùng, nếu sau action là trap thì khi có xâm nhập bất hợp pháp vào port sercurity thì switch sẽ báo cho người quản trị biết, còn nếu là shutdown thì port này sẽ tự động treo không hoạt động nữa.

Khi có thay đổi trong mạng như là việc thêm, thay đổi hoặc bỏ các máy tính đi thì cần cấu hình lại và bỏ cấu hình cũ đi.

Việc đặt các password truy cập cũng phần nào chống lại được sự truy cập bất hợp pháp để điều khiển switch. Chúng ta có thể đặt password cho cổng consol, cho các phiên telnet…
Switch(config)#line configuration 0

Switch(config-line)#password neu

Switch(config-line)#login

Switch(config-line)#line vty 0 4

Switch(config-line)#password neu

Switch(config-line)#login

Các câu lệnh trên đã đặt password cho cổng consol và các phiên telnet là neu. Muốn sử dụng thì cần phải nhập đúng password này.

B,Mạng riêng ảo (VLAN)

Các phương pháp vừa trình bày chỉ đảm bảo an toàn dữ liệu cho thông tin đi qua switch một cách rất đơn giản. Để nâng cao tính bảo mật khi dùng switch ta có thể cấu hình VLAN (Virtual LAN) trên switch. Thực chất đây là việc chia mạng LAN thành các mạng LAN nhỏ hơn trên cùng 1 switch.

Điều này rất hữu ích cho công việc bảo mật nhất là đối với các doanh nghiệp có nhiều phòng ban hoạt động độc lập. Đối với mỗi phòng ban khác nhau ta sẽ lập thành các VLAN khác nhau. Việc chia nhỏ mạng LAN thành các VLAN sẽ làm tăng băng thông (do các vùng broadcast được chia nhỏ) do đó làm tăng tốc độ truyền dữ liệu.

Khi đã cấu hình VLAN cho mạng LAN thì nếu như một VLAN bị tấn công nó sẽ không gây ảnh hưởng tới VLAN khác vì mỗi VLAN là một vùng broadcast domain riêng biệt.

Hình 2.0.9 Sơ đồ kết nối mạng VLAN

Tiện lợi của việc kết nối mạng cục bộ có rất nhiều như chia sẻ tài nguyên, dùng chung máy in ,chung kết nối Internet..., tối ưu hóa hiệu quả công việc kinh doanh, tiết kiệm thời gian, tiết kiệm chi phí xử lý dữ liệu, phân cấp quản lý và mật thông tin.... nhưng thực tế ít doanh nghiệp ý thức được ưu thế này.

Tìm kiếm những lý do để thuyết phục sử dụng VLAN, bạn có thể dẫn chứng về khả năng bảo mật của các hệ điều hành mạng. Ở cấp mạng ngang hàng (peer-to-peer nerwork), bạn có khả năng bảo mật bằng cách tạo các mật khẩu (password) cho mỗi tài nguyên chia sẻ cho các người dùng khác trên mạng (share-level security). Ở các mạng máy tính Khách - Chủ (client-server network), việc bảo mật an toàn hơn nhờ cơ chế bảo mật của máy chủ với các hệ điều hành mạng cao cấp hơn (như Microsoft Windows NT Server và Novell Netware server).

Do khả năng bảo mật dựa vào "tên & mật khẩu truy cập" (login name & password), mỗi người truy cập vào mạng đều phải cung cấp tên & mật khẩu. Tên và mật khẩu này đã được người quản trị mạng tạo sẵn (sau khi được tạo, mỗi người dùng trong mạng có thể đổi mật khẩu cá nhân theo ý riêng của mình) và ứng với mỗi tên khác nhau sẽ có những quyền truy cập khác nhau.

Tuy nhiên, tất cả các phương pháp bảo mật trên có thể dễ dàng bị vô hiệu hoặc lộ mật khẩu. Trong trường hợp đó, VLAN có thể được sử dụng. Với VLAN, mọi người sử dụng trong công ty sử dụng chung một LAN Switch nhưng một số cổng được "config" (thiết lập chế độ) hoạt động hoàn toàn độc lập với nhau.

Ví dụ: người dùng ở các cổng (port) 1,3,5,7,9 trong switch thuộc phòng Kế toán thì các máy tính có thể "tìm thấy nhau", các người dùng ở phòng kỹ thuật cũng có thể "tìm thấy nhau" ở các cổng 2,4,6,8,10. Không thể có chuyện một nhân viên kế toán được kết nối vào cổng số 3 lại có khả năng truy cập vào máy tính của phòng kỹ thuật ở cổng số 6 được.

Hình 2.1.0 Ví dụ mô hình mạng VLAN thực tế

Ví dụ minh họa: công ty A có 3 phòng là: Phòng Kỹ Thuật, Phòng Kinh Doanh & Phòng Kế Toán. Công ty muốn tạo lập một mạng máy tính gồm 3 phân mạng (LAN segment) là 3 mạng LAN ảo, do tính chất bảo mật của dữ liệu kinh doanh - kế toán nên 3 phân mạng này sẽ hoạt động độc lập với nhau.
Việc phân chia máy tính ở các phòng ban khác nhau thành 3 mạng con khác nhau như vậy có 2 tác dụng chính:
Thứ nhất là bảo mật thông tin: các máy tính ở phân mạng này sẽ không "thọc mạch" vào dữ liệu nằm trong các máy tính thuộc phân mạng khác được. Kỹ thuật tạo mạng ảo này sẽ làm "bó tay" ngay cả những người "tò mò" và "cao thủ" nhất. Tại sao "cao thủ" lại phải bó tay ? Đó là do việc phân chia các mạng ảo (virtual LAN) được thực hiện bởi phần cứng + phần dẻo (firmware là các chương trình "phần mềm" do các nhà sản xuất thiết bị phát triển nhằm điều khiển trực tiếp các thiết bị phần cứng do họ sản xuất.

Một số ví dụ đơn giản về firmware là BIOS trong máy tính, các chương trình điều khiển hoạt động của các điện thoại di động... nói chung: Firmware không hoạt động "ở mức quá thấp" nên không thể gọi là "phần mềm", nó cũng "không đủ cứng" để gọi là "phần cứng") do nhà sản xuất phần cứng của mạng như Hub/Switch cung cấp. Việc can thiệp và thay đổi dữ liệu của các "phần dẻo" (firmware) này thì hầu như không thể.

Thứ hai là tăng cường hiệu quả của mạng về tốc độ: mặc dù trong ví dụ sau tôi sử dụng một Switch Repotec 24-port nhưng do phân làm 3 mạng con (sub group / LAN segment) nên mỗi mạng chỉ có từ 5- 6 máy con. Mà số lượng trạm làm việc (máy con) trong mạng càng ít thì tốc độ truyền của mạng càng cao.

• Mạng LAN con của phòng KẾ TOÁN gồm 5 máy tính con (nối vào cổng số: 1,3,5,7,23) và một máy server (nối vào cổng số 24). Đây là một mạng LAN ảo (VLAN) trong mạng chung của công ty.

• Mạng LAN con của phòng KINH DOANH gồm 6 máy tính con (nối vào cổng số: 2, 4, 6, 8, 9, 10). Đây cũng là một mạng LAN ảo (VLAN) trong mạng chung của công ty.
• Mạng LAN con của phòng KỸ THUẬT gồm 3 máy tính con (nối vào cổng số: 13, 14, 15). Đây cũng là một mạng LAN ảo (VLAN) trong mạng chung của công ty.

2.3.Router

Router là thiết bị hoạt động trên tầng 3 của mô hình OSI. Nhiệm vụ chủ yếu của router là định tuyến các gói tin và điều khiển sự liên kết giữa các VLAN. Mỗi cổng của router là 1 vùng broadcast domain, do đó router sẽ chia nhỏ các vùng broadcast domain. Ngoài ra tính năng quan trọng nhất của router là nó có khả năng chọn con đường tối ưu để cho gói tin đi tới đích.

Router được dùng trong rất nhiều loại hình mạng như ISDN, Frame Relay… Đây là một thiết bị có độ mềm dẻo cao, như router của Cisco có thể được dùng như một firewall thực thụ, điều này rất thuận tiện cho người sử dụng.

A,ACLs

Một trong những phương pháp bảo vệ được áp dụng phổ biến trên router đó là ACLs(Access Control Lists). ACLs có thể cho phép hay ngăn chặn một hoặc một số địa chỉ IP đi qua router. Đây là các câu lệnh để định nghĩa một ACLs:
Router(config)#access-list 1 permit 5.6.0.0 0.0.255.255

Router(config)#access-list 1 deny 7.8.0.0 0.0.255.255

Ở trạng thái mặc định bao giờ dòng cuối của một ACLs cũng là deny any. Sau khi tạo ra ACLs cần phải gán vào một cổng nào đó của router:
Router(config)#interface fa0/0

Router(config-if)#ip access-group 1 in

Sau câu lệnh này tất cả các địa chỉ trong dải 5.6.0.0/16 đều được đi vào cổng fa0/0, đồng thời tất cả các địa chỉ trong dải 7.8.0.0/16 đều không được đi vào cổng fa0/0 của router.

Ngoài ra cũng có thể cấu hình ACLs để chấp nhận hay từ chối việc sử dụng một dịch vụ của một địa chỉ mạng nào đó (extended ACLs)

Router(config)#access-list 101 permit tcp 172.16.4.0 0.0.0.255 any eq telnet

Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 20

Router(config)#access-list 101 deny tcp 172.16.4.0 0.0.0.255 172.16.3.0 0.0.0.255 eq 21

Router(config)#access-list 101 permit ip any any

Ở dòng đầu tiên ACLs cho phép mạng 172.16.4.0 thực hiện telnet đến bất cứ mạng nào khác. Dòng thứ 2 và thứ 3 từ chối dịch vụ FTP từ mạng 172.16.4.0 đến mạng 172.16.3.0. Dòng cuối cùng la` cho phép tất cả các dịch vụ ip khác.

ACLs này sẽ được gắn vào một cổng nào đó của router:

Router(config)#interface fa0/0

Router(config-if)#ip access-group 101 out

Tương tự như vậy ta có thể cho phép một dịch vụ nào đó được phép đi ra hay đi vào một mạng nào đó, bằng cách này ta có thể ngăn chặn được những truy cập không mong muốn vào mạng.

Ở đây ACLs không sử dụng subnet mask mà sử dụng wildcard mask. Một cách đơn giản, chúng ta có thể hiểu wildcard ngược lại với subnet. Ví dụ subnet mask là 255.255.0.0 thì wildcard mask tương ứng với nó sẽ là 0.0.255.255.

ACLs được cấu hình trên router làm cho nó có chức năng như là một firewall. Thông thường các router ở vị trí trung gian giữa mạng bên trong và mạng bên ngoài sẽ được cấu hình, nó sẽ cách ly toàn bộ hệ thống mạng bên trong tránh bị tấn công. Ngoài ra cũng có thể cấu hình ACLs trên các router trung gian kết nối hai phần của hệ thống mạng để kiểm soát lưu lượng qua lại giữa hai phần này.

Thông qua cách cấu hình router ta có thể ngăn chặn được sự tấn công của phương pháp DoS hoặc DDoS bằng cách cấm không cho router sử dụng chức năng gửi broadcast của mình bằng lệnh no ip directed broadcastRouting. Ngoài những cách trên để đảm bảo việc định tuyến gói tin an toàn và chính xác đối với router ta có thể sử dụng các giao thức định tuyến động như RIP, IGRP, EIGRP, OSPF. Đây là các giao thức đảm bảo việc định tuyến các gói tin một cách nhanh nhất lại đảm bảo tính xác thực của thông tin gửi và nhận.

B,Mật khẩu truy nhập

Router có 2 mode để truy cập vào nó, đó là user mode và privileged mode. Mode user là mode đầu tiên khi kết nối với router. Truy cập vào mode user chỉ có thể kiểm tra các kết nối và xem thông tin dưới dạng các bảng thống kê chứ không có quyền thay đổi cấu hình thiết bị, vì thế sự xâm nhập trái phép ở mức này không mấy nguy hiểm. Trong mức privileged có thể thay đổi cấu hình, thậm chí còn có thể xoá bỏ cấu hình, đặt lại password mới. Đê đảm bảo an toàn, chúng ta có thể đặt password cho các mức này bằng các lệnh sau:

+Lệnh đặt password cho mức privileged, ở đây password sẽ là bachkhoa

Router(config)#enable password neu
Password này sẽ có dạng clear text. Để mã hoá password chúng ta dùng lệnh
Router(config)#enable secret neu
+Lệnh đặt password cho cổng consol và telnet
Router(config)#line consol 0

Router(config-line)#password neu

Router(config-line)#login

Router(config-line)#line vty 0 15

Router(config-line)#password neu

Router(config-line)#login

Để đảm bảo tính an toàn cho thiết bị cũng như hệ thống, nên loại bỏ tất cả các dịch vụ mà ta không sử dụng, hay những dịch vụ sẽ tạo lỗ hổng cho những kẻ tấn công lợi dụng xâm nhập vào thiết bị. Trên router có một số dịch vụ luôn mặc định được sử dụng. Trên router Cisco luôn chạy giao thức CDP (Cisco Discovery Protocol). Giao thức này cho phép người sử dụng có thể quan sát được thông số thiết bị đang sử dụng, trạng thái hoạt động, quan hệ với các thiết bị khác để đưa ra phương pháp quản lý thích hợp. Đây là giao thức giúp đỡ rất nhiều cho việc cấu hình cũng như sửa chữa lỗi xảy ra trên router, do đó nếu kẻ tấn công vào được thiết bị thì đây cũng là một công cụ rất hữu ích đối với chúng. Để ngừng hoạt động của CDP ta gõ lệnh no cdp trên mỗi cổng router mà ta không cho phép hoạt động.

2.4.Thiết bị phát hiện xâm nhập hệ thống

Thiết bị phát hiện xâm nhập hệ thống là một dạng thiết bị công nghệ cao được cấu hình để giám sát các điểm truy cập mạng, những hành động phá hoại và các đợt xâm nhập bất hợp pháp. Firewall và một số thiết bị bảo vệ mạng khác không đủ những tính năng thông minh để có thể dự đoán được những mối nguy hiểm, nhận dạng những dấu hiệu tấn công, đọc và hiểu các thông báo của các thiết bị khác. Những hạn chế của các thiết bị này được giải quyết bằng thiết bị phát hiện xâm nhập hệ thống (Instrusion Direction System).

Ngày nay IDS đã trở thành một thiết bị quan trọng trong việc triển khai bảo vệ hệ thống bởi những tính năng vượt trội của nó so với các thiết bị khác. IDS có thể hiểu được nội dung các thông báo (log files) được gửi đi từ các thiết bị trên mạng khác như router, switch, firewall, server để từ đó đưa ra phương hướng giải quyết nhắm đảm bảo an toàn thông tin cho mạng. Hơn thế nữa, IDS còn có một cơ sở dữ liệu lưu trữ thông tin về các dạng tấn công, vì thế nó có khả năng so sánh, đối chiếu tình hình traffic hiện tại của mạng để phát hiện ra những dấu hiệu xấu đối với mạng có thể xảy ra do đó có thể hạn chế đến mức tối đa sự ảnh hưởng của nó tới mạng đó.

Ngoài những tính năng như giám sát và phát hiện, IDS còn có khả năng làm lệch hướng các đợt tấn công mà nó phát hiện, thậm chí còn có khả năng ngăn chặn các đợt tấn công đó.

Cũng giống như firewall, IDS có thể hoạt động dưới dạng phần mềm hay là sự kết hợp giữa phần cứng và phần mềm.

Có 3 loại IDS hoạt động chủ yếu:

+Network-based IDSs

+Host-based IDSs

+Application-based IDSs

A,Network-based IDSs

Đây là thiết bị giám sát backbone của mạng, có khả năng giám sát toàn bộ mạng. Khả năng của nó là có thể giám sát mạng trên một diện rộng, tại những vị trí quan trọng của mạng, hay là trước các thiết bị chủ chốt của mạng. Nó hoạt động một cách thụ động và đảm bảo sao cho không có sự cản trở traffic xảy ra trên mạng.

Hình 2.1.1 Vị trí hoạt động của NIDSs

NIDSs cũng có một số hạn chế. Nó không giám sát được các chuyển mạch tốc độ cao một cách có hiệu quả. Ngoài ra nó không phân tích được các gói tin đã bị mã hoá và gửi thông báo tường thuật tình trạng mạng đến người quản trị.

B,Host-base IDSs

Host-based IDSs hoạt động trên các host nhằm bảo vệ, giám sát hoạt động của những file hệ thống nhằm phát hiện ra dấu hiệu của sự tấn công. Vì đặc điểm hoạt động nên HIDSs có khả năng giám sát, phát hiện tình trạng mạng ở mức chi tiết hơn rất nhiều so với NIDSs. Nó có thể xác định được những quá trình hay hoạt động của những người sử dụng mạng có dấu hiệu gây nguy hiểm cho mạng.

Ngoài ra HIDSs còn có khả năng tập trung các thông báo tình trạng của mạng được gửi từ các thiết bị khác để tạo cho mình một cơ sở dữ liệu riêng để có thể cấu hình hay quản lý trên từng host một. HIDSs có khả năng phát hiện những tấn công mà NIDSs không phát hiện được và có độ chính xác khá cao. Ngoài ra, nó cũng hoạt động được đối với các gói tin bị mã hoá và hoạt động khá tốt trong các nơi sử dụng chuyển mạch tốc độ cao.

C,Application-base IDSs

Đây là dạng IDS chỉ có chức năng quản lý giám sát các ứng dụng đặc biệt. Nó thường hoạt động để dự trữ ứng ứng dụng quan trọng như cơ sở dữ liệu về việc quản lý hệ thống mạng hay nội dung của công tác quản lý hệ thống, đặc biệt là các hệ thống tính cước.

AIDSs có thể nhận dạng được các dạng dữ liệu đã bị mã hoá trên đường truyền, sử dụng trên các server làm chức năng mã hoá và giải mã.

Nhìn chung để phát huy một cách tốt nhất những tính năng ưu việt của IDS trong công tác bảo vệ dữ liệu trên các hệ thống mạng nên kết hợp cả ba kiểu trên.

Việc kết hợp này mang rất nhiều ý nghĩa trong công tác triển khai bảo đảm an toàn cho hệ thống. Bởi mỗi dạng IDS có những điểm mạnh và điểm yếu riêng của mình và chính sự kết hợp triển khai các IDS với nhau sẽ làm chúng phát huy những tính năng nổi bật và khắc phục cho nhau những điểm yếu còn tồn tại. Chính vì những yếu tố đó mà khi xây dựng một hệ thống ta luôn phải quan tâm đến việc sẽ sử dụng thiết bị gì cho mục đích gì để đảm bảo độ an toàn cao nhất. Tuỳ từng loại IDS khác nhau mà ta có thể phối kết hợp với các loại thiết bị khác nhau (firewall, server…).

CHƯƠNG III . LẬP TRÌNH MÔ PHỎNG HỆ THỐNG BẢO MẬT MẠNG CỤC BỘ “LAN”
1.Thiết kế mạng LAN

1.1.Yêu cầu chung

Thiết kế một mạng máy tính có thể coi là một nhiệm vụ không dễ dàng, nó không đơn giản chỉ là việc kết nối các máy tính với nhau. Một mạng máy tính yêu cầu rất nhiều đặc điểm để đảm bảo tính tin cậy, khả năng quản lý và có thể dễ dàng mở rộng. Người thiết kế mạng phải biết được rằng mỗi phần của mạng có những yêu cầu thiết kế khác nhau.

Thông thường, việc thiết kế một mạng cần thoả mãn các yêu cầu sau:

+Đảm bảo chức năng (Functionality): Mạng được thiết kế cần phải làm việc. Mạng cần đáp ứng những yêu cầu của người dùng, có thể kết nối mọi người với nhau hoặc là giữa người dùng với các ứng dụng và phải đảm bảo tốc độ cũng như độ tin cậy nào đó.

+Khả năng mở rộng (Scalability): Mạng có thể mở rộng được. Mạng thiết kế ban đầu có thể mở rộng mà không phải thay đổi các thành phần chính của mạng. Đây là một yêu cầu tương đối quan trọng bởi vì ngày nay sự phát triển về số lượng người dùng trong mạng là rất lớn.

+Khả năng thích ứng (Adaptability): Mạng được thiết kế sao cho có khả năng thích ứng được với các công nghệ của tương lai, nó không có các yếu tố có thể làm giảm những ứng dụng của các công nghệ mới khi các công nghệ này được sử dụng. Ví dụ cáp UTP Cat5 mới chỉ sử dụng 2 đôi dây, nếu sử dụng thêm các đôi dây nữa có thể tăng tốc độ lên, trong khi đó cáp đồng trục sẽ không đáp ứng được điều này.

+Khả năng quản lý (Manageability): Mạng được thiết kế sao cho người quản trị dễ dàng trong việc quản lý và giám sát hoạt động của mạng

Việc phân tích và thiết kế một mạng LAN sẽ trở nên đơn giản và dễ dàng hơn nếu phân chia công việc tương ứng theo các tầng của mô hình OSI.

Ta có mô hình mạng LAN đơn giản như sau:

Hình 3.0.1 Các lớp trong thiết kế mạng LAN

A, Lớp 1

Khi thiết kế một mạng máy tính, việc sử dụng cáp loại nào cũng là một phần rất quan trọng. Ngày nay hầu hết các mạng LAN đều sử dụng công nghệ Fast Ethernet với tốc độ 100 Mbps. Việc thiết kế bao gồm cả việc đưa ra loại cáp được dùng trong từng thành phần của mạng (có thể dùng cáp đồng, cáp quang hoặc cáp xoắn đôi).

Tuỳ thuộc vào khoảng cách giữa các thiết bị và yêu cầu về tốc độ mà quyết định việc dùng loại cáp nào cho hợp lý. Thực tế việc sử dủng cáp UTP cat5 là phổ biến nhất hiện nay. Đối với mạng đường trục (backbone) thường dùng cáp quang do yêu cầu về lưu lượng và độ an toàn lớn.

B, Lớp 2

Thiết bị chủ yếu sử dụng trong tầng 2 là LAN switch. Kích thước của các vùng xung đột (collision domain) được quyết định bởi các thiết bị tầng 2. Mỗi cổng của một thiết bị tầng 2 sẽ là một vùng xung đột. Như vậy các thiết bị tầng 2 sẽ chia nhỏ các vùng xung đột.

Trên 1 switch có thể có các cổng với các tốc độ khác nhau. Các cổng nối với các máy trạm có tốc độ là 10mbps, trong khi đó cổng nối với router có lưu lượng lớn hơn nên có tốc độ là 100mbps (hoặc là 100Mbps và 1000Mbps).

Do mỗi cổng của thiết bị tầng 2 là một vùng xung đột nên các máy dùng chung 1 cổng sẽ bị chia sẻ băng thông. Do đó tuỳ vào yêu cầu tốc độ mà quyết định có bao nhiêu máy dùng chung 1 cổng của switch.

C, Lớp 3

Các thiết bị tầng 3 (như là router) sẽ chia nhỏ các vùng quảng bá (broadcast domain) hay là chia nhỏ các mạng LAN. Các mạng nhỏ sẽ giao tiếp với nhau thông qua địa chỉ tầng 3 (như là địa chỉ IP).

Việc định tuyến giữa các mạng trong tầng 3 được dựa vào địa chỉ tầng 3, phổ biến nhất là địa chỉ IP và subnet.

Ta đã biết router chuyển các gói tin dựa vào địa chỉ của đích, nó không cho các gói tin quảng bá của mạng LAN đi qua. Như vậy mỗi cổng của router là một vùng quảng bá và nó cũng chính là nơi ngăn chặn các thông tin quảng bá của một mạng LAN đi ra ngoài.
Dựa trên mô hình trên ta thiết kế một mạng LAN như sau:

1.2.Thiết kế mạng LAN

Hình 3.0.2 Mô hình mạng LAN

2. Mô phỏng hệ thống mạng LAN chưa bảo mật

Em thiết kế mô hình mạng LAN nhỏ dùng để demo trong trường hợp chưa bảo mật. Khi đó mạng có các thành phần là :
a.1 PC thật _ hệ điểu hành Win XP

b.1 PC ảo _ Win XP(thiết kế trong VMware)

c.1 router ảo (thiết kế trong GNS3) kết nối với internet qua switch Vmnet8

Hình 3.0.3 Mô hình mạng LAN nhỏ

Em tạo máy ảo trong Vmware như sau :

2.1 .Tạo máy ảo trong Vmware
Vào File  New  Virtual Machine...

Hình 3.0.4 Tạo máy ảo trong VMware

Em tiến hành cài đặt máy ảo sơ bộ trước, sau đó mới cài hệ điều hành Win XP sau

Hình 3.0.5 Tạo máy ảo sơ bộ

Chọn hệ điều hành muốn cài đặt cho máy :

Hình 3.0.6 Chọn hệ điều hành cho máy ảo

Sau đó đặt tên cho máy ảo (PC2)

Hình 3.0.7 Đặt tên cho máy ảo

Ta click Finish để kết thúc cài đặt:

Hình 3.0.8 Kết thúc cài đặt cho máy ảo
Như vậy máy ảo đã được mới cài đặt có các thành phần giống như máy thật.

Hình 3.0.9 Kết quả cài đặt máy ảo

Sau đó em tiến hành cài đặt hệ điều hành Win XP cho máy ảo.

Kết quả là:

Hình 3.1.0 Cài đặt hệ điều hành cho máy ảo

Máy ảo PC2 này có đầy đủ tính năng gần như máy thật.

Ở đây em dùng kết nối mạng Vmnet8 cho PC2:

Hình 3.1.1 Cài đặt card mạng cho máy ảo

Tiến hành kiểm tra kết nối giữa PC ảo và PC thật bằng lệnh ping :

Hình 3.1.2 Kiểm tra kết nối giữa máy thật và máy ảo
Như vậy máy ảo đã ping được đến máy thật có IP là :192.168.1.35

2.2 .Tạo router ảo trong GNS3

Em tiến hành tạo router ảo trong GNS3 như sau :

Hình 3.1.3 Tạo router ảo

Sau đó tiến hành cài đặt card mạng cho cloudy:

Vào Control Panel ..... Add hardware ....

Hình 3.1.4 Cài đặt card mạng cho router

Chọn thành phần muốn cài đặt là Network Adapters...

Hình 3.1.5 Cài đặt Add card network Adapter cho máy

Chọn Micosoft Loopback Adapter...... click Next

Hình 3.1.6 Cài đặt MS loopback Adapter

Sau đó vào GNS3 và thêm card cho cloudy như sau

Hình 3.1.7 Tiến hành Add card loopback cho router

Thêm vào cloudy card MS loopback mà ta vừa add xong.

Hình 3.1.8 Kết thúc cài đặt card cho cloudy

Nhấn OK để kết thúc.

2.3. Mô phỏng tấn công Sniff vào mạng LAN
Một trong những tấn công mạng thường thấy nhất được sử dụng để chống lại những cá nhân và các tổ chức lớn chính là các tấn công MITM (Man in the Middle). Có thể hiểu nôm na về kiểu tấn công này thì nó như một kẻ nghe trộm(sniffer). MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân và relay các message giữa chúng. Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, trong khi đó sự thực thì các luồng truyền thông lại bị thông qua host của kẻ tấn công. Và kết quả là các host này không chỉ có thể thông dịch dữ liệu nhạy cảm mà nó còn có thể gửi xen vào cũng như thay đổi luồng dữ liệu để kiểm soát sâu hơn những nạn nhân của nó.

Giả mạo ARP Cache (ARP Cache Poisoning)

Trong phần đầu tiên của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về việc giả mạo ARP cache. Đây là một hình thức tấn công MITM hiện đại có xuất sứ lâu đời nhất (đôi khi còn được biết đến với cái tên ARP Poison Routing), tấn công này cho phép kẻ tấn công (nằm trên cùng một subnet với các nạn nhân của nó) có thể nghe trộm tất cả các lưu lượng mạng giữa các máy tính nạn nhân. Chúng tôi đã chọn đây là tấn công đầu tiên cần giới thiệu vì nó là một trong những hình thức tấn công đơn giản nhất nhưng lại là một hình thức hiệu quả nhất khi được thực hiện bởi kẻ tấn công.

Truyền thông ARP thông thường

Giao thức ARP được thiết kế để phục vụ cho nhu cầu thông dịch các địa chỉ giữa các lớp thứ hai và thứ ba trong mô hình OSI. Lớp thứ hai (lớp data-link) sử dụng địa chỉ MAC để các thiết bị phần cứng có thể truyền thông với nhau một cách trực tiếp. Lớp thứ ba (lớp mạng), sử dụng địa chỉ IP để tạo các mạng có khả năng mở rộng trên toàn cầu. Lớp data-link xử lý trực tiếp với các thiết bị được kết nối với nhau, còn lớp mạng xử lý các thiết bị được kết nối trực tiếp và không trực tiếp. Mỗi lớp có cơ chế phân định địa chỉ riêng, và chúng phải làm việc với nhau để tạo nên một mạng truyền thông. Với lý do đó, ARP được tạo với RFC 826, “một giao thức phân định địa chỉ Ethernet - Ethernet Address Resolution Protocol”.

Hình : Quá trình truyền thông ARP

Thực chất trong vấn đề hoạt động của ARP được tập trung vào hai gói, một gói ARP request và một gói ARP reply. Mục đích của request và reply là tìm ra địa chỉ MAC phần cứng có liên quan tới địa chỉ IP đã cho để lưu lượng có thể đến được đích của nó trong mạng. Gói request được gửi đến các thiết bị trong đoạn mạng, trong khi gửi nó nói rằng (đây chỉ là nhân cách hóa để giải thích theo hướng dễ hiểu nhất) “Hey, địa chỉ IP của tôi là XX.XX.XX.XX, địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX. Tôi cần gửi một vài thứ đến một người có địa chỉ XX.XX.XX.XX, nhưng tôi không biết địa chỉ phần cứng này nằm ở đâu trong đoạn mạng của mình. Nếu ai đó có địa chỉ IP này, xin hãy đáp trả lại kèm với địa chỉ MAC của mình!” Đáp trả sẽ được gửi đi trong gói ARP reply và cung cấp câu trả lời, “Hey thiết bị phát. Tôi là người mà bạn đang tìm kiếm với địa chỉ IP là XX.XX.XX.XX. Địa chỉ MAC của tôi là XX:XX:XX:XX:XX:XX.” Khi quá trình này hoàn tất, thiết bị phát sẽ cập nhật bảng ARP cache của nó và hai thiết bị này có thể truyền thông với nhau.

Việc giả mạo Cache

Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào. Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này. Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi ARP “vu vơ”. Khi các ARP reply vu vơ này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất họ lại đang truyền thông với một kẻ tấn công.

Hình : Chặn truyền thông bằng các giả mạo ARP Cache

Mô phỏng quá trình tấn công sniff bằng công cụ Cain & Abel
Hãy để chúng tôi đưa ra một kịch bản và xem xét nó từ góc độ lý thuyết đến thực tế. Có một vài công cụ có thể thực hiện các bước cần thiết để giả mạo ARP cache của các máy tính nạn nhân. Chúng tôi sẽ sử dụng công cụ bảo mật khá phổ biến mang tên Cain & Abel của Oxid.it. Cain & Abel thực hiện khá nhiều thứ ngoài vấn đề giả mạo ARP cache, nó là một công cụ rất hữu dụng cần có trong kho vũ khí của bạn. Việc cài đặt công cụ này khá đơn giản.
Trước khi bắt đầu, bạn cần lựa chọn một số thông tin bổ sung. Cụ thể như giao diện mạng muốn sử dụng cho tấn công, hai địa chỉ IP của máy tính nạn nhân.
Khi lần đầu mở Cain & Abel, bạn sẽ thấy một loạt các tab ở phía trên cửa sổ. Với mục đích của bài, chúng tôi sẽ làm việc trong tab Sniffer. Khi kích vào tab này, bạn sẽ thấy một bảng trống. Để điền vào bảng này bạn cần kích hoạt bộ sniffer đi kèm của chương trình và quét các máy tính trong mạng của bạn.

Hình : Tab Sniffer của Cain & Abel

Kích vào biểu tượng thứ hai trên thanh công cụ, giống như một card mạng. Thời gian đầu thực hiện, bạn sẽ bị yêu cầu chọn giao diện mà mình muốn sniff (đánh hơi). Giao diện cần phải được kết nối với mạng mà bạn sẽ thực hiện giả mạo ARP cache của mình trên đó. Khi đã chọn xong giao diện, kích OK để kích hoạt bộ sniffer đi kèm của Cain & Abel. Tại đây, biểu tượng thanh công cụ giống như card mạng sẽ bị nhấn xuống. Nếu không, bạn hãy thực hiện điều đó. Để xây dựng một danh sách các máy tính hiện có trong mạng của bạn, hãy kích biểu tượng giống như ký hiệu (+) trên thanh công cụ chính và kích OK.

Quét các thiết bị trong mạng

Những khung lưới trống rỗng lúc này sẽ được điền đầy bởi một danh sách tất cả các thiết bị trong mạng của bạn, cùng với đó là địa chỉ MAC, IP cũng như các thông tin nhận dạng của chúng. Đây là danh sách bạn sẽ làm việc khi thiết lập giả mạo ARP cache.

Ở phía dưới cửa sổ chương trình, bạn sẽ thấy một loạt các tab đưa bạn đến các cửa sổ khác bên dưới tiêu đề Sniffer. Lúc này bạn đã xây dựng được danh sách các thiết bị của mình, nhiệm vụ tiếp theo của bạn là làm việc với tab APR. Chuyển sang cửa sổ APR bằng cách kích tab.
Khi ở trong cửa sổ APR, bạn sẽ thấy hai bảng trống rỗng: một bên phía trên và một phía dưới. Khi thiết lập chúng, bảng phía trên sẽ hiển thị các thiết bị có liên quan trong giả mạo ARP cache và bảng bên dưới sẽ hiển thị tất cả truyền thông giữa các máy tính bị giả mạo.
Tiếp tục thiết lập sự giả mạo ARP bằng cách kích vào biểu tượng giống như dấu (+) trên thanh công cụ chuẩn của chương trình. Cửa sổ xuất hiện có hai cột đặt cạnh nhau. Phía bên trái, bạn sẽ thấy một danh sách tất cả các thiết bị có sẵn trong mạng. Kích địa chỉ IP của một trong những nạn nhân, bạn sẽ thấy các kết quả hiện ra trong cửa sổ bên phải là danh sách tất cả các host trong mạng, bỏ qua địa chỉ IP vừa chọn. Trong cửa sổ bên phải, kích vào địa chỉ IP của nạn nhân khác và kích OK.

Chọn IP nạn nhân của việc giả mạo

Các địa chỉ IP của cả hai thiết bị lúc này sẽ được liệt kê trong bảng phía trên của cửa sổ ứng dụng chính. Để hoàn tất quá trình, kích vào ký hiệu bức xạ (vàng đen) trên thanh công cụ chuẩn. Điều đó sẽ kích hoạt các tính năng giả mạo ARP cache của Cain & Abel và cho phép hệ thống phân tích của bạn trở thành người nghe lén tất cả các cuột truyền thông giữa hai máy.

Khi đó ở máy user sẽ có các cảnh báo tương ứng khi muốn đăng nhập vào một tài khoản nào đó. Ví dụ ở đây nạn nhân muốn đăng nhập yahoo:

Thế nhưng ít khi user nghi ngờ đó là một nguy cơ tấn công và tiếp tục đồng ý :

Tiếp tục trình duyệt có cảnh bảo cuối cùng, nếu user vẫn không dừng lại quá trình đăng nhập thì hacker đã hoàn toàn có được tài khoản đó :

Kết quả Sniff :

Chọn Password HTTP... để xem IP và Password của các máy đã Sniff được :

Ở đây ta thấy được tài khoản yahoo của PC là :

IP : 192.168.1.169

Username :lancntt49a123

password : 01051989

và nhiều PC khác ….

Ở phần tiếp theo ta sẽ tìm hiểu chi tiết phương tấn công Sniff này.

3. Tìm hiểu phương thức tấn công Sniff

Trước phương thức tấn công Sniff trên ta tìm hiểu sơ qua về bản chất của cách tấn công này.
3.1.Sniff là gì ?
Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là Sniffer Network Analyzer. Đơn giản bạn chỉ cần gõ vào từ khoá Sniffer trên bất cứ công cụ tìm kiếm nào, bạn sẽ có những thông tin về các Sniffer thông dụng hiện nay

Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng các lưu lượng thông tin trên (trong một hệ thống mạng). Tương tự như là thiết bị cho phép nghe lén trên đường dây điện thoại. Chỉ khác nhau ở môi trường là các chương trình Sniffer thực hiện nghe nén trong môi trường mạng máy tính.

Tuy nhiên những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân (Binary). Bởi vậy để nghe lén và hiểu được những dữ liệu ở dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết như là sự phân tích các nghi thức (Protocol Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng.

Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng bộ. Bạn có thể sử dụng Sniffer ở bất cứ host nào trong hệ thống mạng của bạn. Chế độ này được gọi là chế độ hỗn tạp (promiscuous mode).

3.2.Sniffer được sử dụng như thế nào ?
Sniffer thường được sử dụng vào 2 mục đích khác biệt nhau. Nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình. Cũng như theo hướng tiêu cực nó có thể là một chương trình được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe nén các thông tin trên đoạn mạng này...Dưới đây là một số tính năng của Sniffer được sử dụng theo cả hướng tích cực và tiêu cực :

- Tự động chụp các tên người sử dụng (Username) và mật khẩu không được mã hoá (Clear Text Password). Tính năng này thường được các Hacker sử dụng để tấn công hệ thống của bạn.

- Chuyển đổi dữ liệu trên đường truyền để những quản trị viên có thể đọc và hiểu được ý nghĩa của những dữ liệu đó.

- Bằng cách nhìn vào lưu lượng của hệ thống cho phép các quản trị viên có thể phân tích những lỗi đang mắc phải trên hệ thống lưu lượng của mạng. Ví dụ như : Tại sao gói tin từ máy A không thể gửi được sang máy B... etc

- Một số Sniffer tân tiến còn có thêm tính năng tự động phát hiện và cảnh báo các cuộc tấn công đang được thực hiện vào hệ thống mạng mà nó đang hoạt động (Intrusion Detecte Service).

- Ghi lại thông tin về các gói dữ liệu, các phiên truyền…Tương tự như hộp đen của máy bay, giúp các quản trị viên có thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cố…Phục vụ cho công việc phân tích, khắc phục các sự cố trên hệ mạng.

3.3.Quá trình Sniffer được diễn ra như thế nào ?

Công nghệ Ethernet được xây dựng trên một nguyên lý chia sẻ. Theo một khái niệm này thì tất cả các máy tính trên một hệ thống mạng cục bộ đều có thể chia sẻ đường truyền của hệ thống mạng đó. Hiểu một cách khác tất cả các máy tính đó đều có khả năng nhìn thấy lưu lượng dữ liệu được truyền trên đường truyền chung đó. Như vậy phần cứng Ethernet được xây dựng với tính năng lọc và bỏ qua tất cả những dữ liệu không thuộc đường truyền chung với nó.

Nó thực hiện được điều này trên nguyên lý bỏ qua tất cả những Frame có địa chỉ MAC không hợp lệ đối với nó. Khi Sniffer được tắt tính năng lọc này và sử dụng chế độ hỗn tạp (promiscuous mode). Nó có thể nhìn thấy tất cả lưu lượng thông tin từ máy B đến máy C, hay bất cứ lưu lượng thông tin giữa bất kỳ máy nào trên hệ thống mạng. Miễn là chúng cùng nằm trên một hệ thống mạng.

tải về 390.96 Kb.

Chia sẻ với bạn bè của bạn:

1 2 3 4 5 6