0

Các kiểu tấn công thông dụng nhất thường xảy ra tại Gateway

 

1  CÁC PHƯƠNG THỨC TẤN CÔNG D.O.S THÔNG THƯỜNG

a. Phương pháp tấn công:

Tin tặc sẽ điều khiển các máy đã chiếm cứ và từ các máy này điều khiển các máy tính trên mạng dựa vào một vài dịch vụ hoặc các

lỗi bảo mật để phát sinh một khối lượng dữ liệu lớn truyền đến hệ thống máy đích làm cạn kiệt tài nguyên và tê liệt dịch vụ các hệ

thống là nạn nhân bị tấn công.  Các phương thức tấn công thường dựa trên việc phát sinh các gói dữ liệu từ hệ thống email ,

broadcast echo request …

cac kieu tan cong gateway

 

 

 

 

 

 

 

 

 

 

 

 

 

Khả năng tấn công có thể xảy ra từ  các hướng cổng Internet, PSTN, WAN và nội bộ.

Đối với cổng  PSTN và Internet đều đi qua Router  do đó khả năng  phát sinh các cuốc tấn công D.o.S vào địa điểm này là rất lớn.

b.Phương pháp phòng chống

Với giải pháp Cisco Access List thiết lập thêm có thể phân tích và ngăn chặn các cuộc tấn làm Overload trên các Interface như sau:

Explicitly permit flood traffic in access list:

access-list 110 permit icmp any any echo

access-list 110 permit icmp any any echo-reply

View access list “hit counts” to determine flood type:

permit icmp any any echo (2 matches)

permit icmp any any echo-reply (21374 matches)

Log information about flood packets:

access-list 110 permit icmp any any echo

access-list 110 permit icmp any any echo-reply log-input

Anti-Spoofing Packet Filters

Block inbound traffic sourced from your own address space:

access-list 110 deny ip 192.200.0.0 0.0.255.255 any

Block outbound traffic not sourced from your own address space:

access-list 111 permit ip 192.200.0.0 0.0.255.255 any

Block inbound traffic sourced from unroutable IP addresses:

access-list 110 deny ip 10.0.0.0    0.255.255.255 any

access-list 110 deny ip 172.16.0.0  0.15.255.255  any

access-list 110 deny ip 192.168.0.0 0.0.255.255   any

access-list 110 deny ip 127.0.0.0   0.255.255.255 any

access-list 110 deny ip 255.0.0.0   0.255.255.255 any

access-list 110 deny ip 1.0.0.0     0.255.255.255 any

… more …

2 PHƯƠNG THỨC TẤN CÔNG  IP SPOOFING  DẠNG SMURF

Tấn công dạng này xảy ra khi một IP bên trong, hay nên ngoài mạng giả như là một máy được xác thực. Hacker có thể làm theo một

trong hai cách sau: dùng một địa chỉ IP nằm trong pool địa chỉ cho phép, hoặc một địa chỉ IP được xác thực từ phía bên ngoài truy

cập vào mạng.

Có thể làm giảm tấn công IP spoofing theo cách Smurf vào Router bằng cách sau:

Một giải pháp khác nhằm bảo vệ hệ thống là ứng dụng khả năng

committed access rate(CAR).  CAR là chức năng nằm trong hệ thống IOS còn gọi là 
Cisco Express Forwarding, có mặt
 trong các dòng  11.1CC, 11.1CE, và 12.0.  Giải pháp này cho phép hạn chế traffic 
đến các nguồn hoặc đích khác nhau
Ví dụ sau mô tả ứng dụng CAR để giới hạn tốc độ ICMP echo và echo-reply traffic 
tại gateway ở mức 512 Kbps:
! traffic we want to limit
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
! interface configurations for borders
interface Serial3/0/0 
 rate-limit input access-group 102 512000 8000 8000 conform-action transmit
 exceed-action drop 

CÁC PHƯƠNG THỨC KHÁC

3.1      Phương thức ăn cắp thống tin bằng Packet Sniffers

Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng (trên một collision domain). Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,…) nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ đó có thể truy xuất vào các thành phần khác của mạng.Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ, các kết nối RAS  hoặc phát sinh trong WAN.

Ta có thể cấm packet sniffer bằng một số cách như sau:

-          Authentication

-          Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng.

-          Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng.

-          Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các

gói dữ liệu đã được mã hóa. Cisco dùng giao thức IPSec để mã hoá dữ liệu.

3.2       Phương thức tấn công mật khẩu Password attack

Các hacker tấn công password bằng một số phương pháp như: brute-force attack, chương trình Trojan Horse, IP spoofing, và packet sniffer.Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường sử dụng brute-force để lấy user account hơn. Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork.

Phương pháp giảm thiểu tấn công password:

-          Giới han số lần login sai

-          Đặt password dài

-          Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an toàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH

vào quản lý từ xa.

3.3      Phương thức tấn công bằng Mail Relay

Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/ password của user sử dụng mail bị lộ.

Hacker có thể lợi dụng email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó.

Phương pháp giảm thiểu :

-          Giới hạn dung lương Mail box

-          Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP.

-          Sử dụng gateway SMTP riêng

3.4      Phương thức tấn công hệ thống DNS

DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ.

Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng.

- Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS

- Cài đặt hệ thống IDS Host cho hệ thống DNS

- Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS.

3.5       Phương thức tấn công Man-in-the-middle attack

Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví dụ về tấn công này là một người làm việc tại ISP,

có thể bắt được tấc cả các gói mạng của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line đến ISP  đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer.Tấn công dạng này có thể hạng chế bằng cách mã hoá dữ liệu được gởi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa.

3.6      Phương thức tấn công để thăm dò mạng

Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như DNS queries, ping sweep, hay port scan. Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu.

NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng.

3.7      Phương thức tấn công Trust exploitation

Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall. Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng.

3.8      Phương thức tấn công Port redirection

Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside. Host ở DMZ có thể vào được host ở inside,cũng như outside. Nếu hacker chọc thủng được host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside.Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó.

3.9      Phương thức tấn công lớp ứng dụng

Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail, HTTP, hay FTP. Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25.

Một số phương cách để hạn chế tấn công lớp ứng dụng:

-          Lưu lại log file, và thường xuên phân tích log file

-          Luôn cập nhật các patch cho OS và các ứng dụng

-          Dùng IDS, có 2 loại IDS:

  • HIDS: cài đặt trên mỗi server một agent của HIDS để phát hiện các tấn công lên server đó.
  • NISD: xem xét tất cả các packet trên mạng (collision domain). Khi nó thấy có một packet hay một chuỗi packet giống như bị tấn công, nó có thể phát cảnh báo, hay cắt session đó.

Các IDS phát hiện các tấn công bằng cách dùng các signature. Signature của một tấn công là một profile về loại tấn công đó. Khi IDS phát hiện thấy traffic giống như một signature nào đó, nó sẽ phát cảnh báo.

3.10    Phương thức tấn Virus và Trojan Horse

Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì hoạt động khác hơn.

Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó.

Có thể dùng các phần mềm chống virus để diệt các virus và Trojan horse và luôn luôn cập nhật chương trình chống virus mới.

 

Filed in: Bảo mật Tags: , ,

Get Updates

Share This Post

Related Posts

Leave a Reply

Submit Comment

ICTROI.COM designed by ICTROI.