Một số kỹ thuật kiểm tra điểm yếu về An toàn thông tin

15:53 | 17/03/2014

Bài báo giới thiệu một số kỹ thuật kiểm tra, đánh giá các lỗ hổng về an toàn thông tin trong các hệ thống CNTT của tổ chức. Đây là những công đoạn cần thiết để có thể phát hiện những đểm yếu và điều chỉnh các biện pháp khắc phục kịp thời để đảm bảo hệ thống hoạt động an toàn.

1. Quét mạng
Phương pháp quét mạng liên quan đến việc quét các cổng (port) trên hệ thống mạng để xác định các thiết bị có lỗ hổng, dễ bị tin tặc lợi dụng tấn công vào hệ thống mạng hoặc các dịch vụ chạy trên các thiết bị đó. Ví dụ như: dịch vụ truyền file (FTP), dịch vụ truyền siêu văn bản (HTTP) và đặc biệt là các ứng dụng chạy một dịch vụ xác định như WU-FTPD, Internet Information Server (IIS), Apache chạy dịch vụ HTTP,.… Kết quả của phương pháp quét này là một danh sách toàn diện các máy tính đang hoạt động, các dịch vụ và các thiết bị khác trong hệ thống.
Phương pháp quét các cổng (ví dụ công cụ nmap) sẽ xác định các máy tính đang hoạt động trên vùng địa chỉ quét. Sau đó, trên mỗi một máy tính, chương trình sẽ kiểm tra các cổng mở thuộc các giao thức TCP hoặc UDP để xác định các dịch vụ chạy trên thiết bị.
Nội dung cơ bản của phương pháp quét là xác định các máy tính hoạt động và các cổng mở của nó. Để thực hiện tốt mục tiêu của phương pháp này, nên quét mạng theo các tiêu chí sau: Kiểm tra quyền kết nối của các máy tính trong mạng; Xác định các lỗ hổng của dịch vụ; Kiểm tra sự sai lệch của tất cả các dịch vụ so với chính sách bảo mật; Chuẩn bị cho việc kiểm tra sự xâm nhập mạng; Hỗ trợ cấu hình cho hệ thống phát hiện xâm nhập; Thu thập bằng chứng về các sự xâm nhập....
Kết quả của quá trình quét mạng phải được lưu giữ lại để làm căn cứ khắc phục sự cố. Sau khi quét mạng cần làm một số việc: Ngắt và điều tra các kết nối không được phép; Vô hiệu hóa hoặc gỡ bỏ các dịch vụ không cần thiết hoặc có nhiều lỗ hổng bảo mật; Hạn chế quyền truy cập vào các dịch vụ có nhiều điểm yếu; Cấu hình firewall để hạn chế quyền truy cập từ bên ngoài các dịch vụ có lỗ hổng.

2. Quét lỗ hổng bảo mật
Phương pháp quét lỗ hổng bảo mật thực chất là việc quét các cổng ở mức độ cao hơn. Ngoài việc xác định các máy tính hoạt động và các cổng mở, nó còn cung cấp thêm các thông tin về lỗ hổng của các máy tính đó. Phương pháp này cung cấp cho hệ thống và người quản trị mạng một công cụ để phát hiện các lỗ hổng trước khi kẻ tấn công có thể tiếp cận đến nó, bao gồm các khả năng sau: Xác định các máy tính hoạt động trên mạng; Xác định các dịch vụ (cổng) đang hoạt động trên mạng và các điểm yếu của chúng nếu có; Xác định các ứng dụng và đọc “biểu ngữ” được trả lời từ các ứng dụng; Xác định hệ điều hành; Xác định các lỗ hổng thông qua việc tìm hiểu hệ điều hành và các ứng dụng chạy trên nó; Xác định các thiết lập cấu hình sai; Kiểm tra việc tuân thủ sử dụng ứng dụng hoặc chính sách bảo mật; Thiết lập nền tảng cho việc kiểm tra sự xâm nhập.
Kết quả của quá trình quét lỗ hổng bảo mật phải được lưu giữ lại và làm căn cứ để tiến hành khắc phục các lỗ hổng nếu có. Một số biện pháp cần phải làm ngay sau khi quét lỗ hổng là: Nâng cấp hoặc vá lỗi hệ thống để giảm thiểu các nguy cơ từ lỗ hổng; Triển khai các biện pháp giảm nhẹ nguy cơ nếu như hệ thống chưa được vá lỗi; Cấu hình và nâng cấp thường xuyên chương trình quản lý; Giám sát và cảnh báo về lỗ hổng, thay đổi cấu hình hệ thống để giảm thiểu nguy cơ; Thay đổi các chính sách bảo mật, kiến trúc hệ thống hoặc các tài liệu khác để đảm bảo hoạt động ổn định cho hệ thống.

3. Phá mật khẩu
Chương trình phá mật khẩu được sử dụng để xác định các mật khẩu yếu. Mật khẩu được lưu trữ và truyền đi dưới dạng mã hóa “băm”. Khi người dùng đăng nhập vào hệ thống, hệ thống sẽ tạo ra dãy mã hóa băm từ mật khẩu đăng nhập và so sánh với dãy mã hóa băm đã được lưu. Nếu chúng trùng nhau tức là người dùng đã được xác thực.
Trong suốt quá trình thâm nhập hoặc tấn công, việc phá mật khẩu đòi hỏi phải lấy được dãy mã hóa băm của mật khẩu. Việc chặn bắt này xảy ra khi dãy mã hóa của mật khẩu truyền đi trên mạng hoặc được lấy từ hệ thống mục tiêu. Khi đã lấy được dãy băm của mật khẩu, chương trình sẽ nhanh chóng tạo ra các dãy băm cho đến khi trùng với dãy băm của mật khẩu đã nhận được. Phương pháp nhanh nhất của cách này là sử dụng bộ từ điển tấn công gồm rất nhiều từ phổ biến trên thế giới.
Phương pháp mạnh nhất để phá mật khẩu là chương trình “tấn công tổng lực”, tức là chương trình sẽ tấn công tất cả các mật khẩu có thể có.
Sau đây là một số phương pháp có thể sử dụng để giảm thiểu khả năng phá mật khẩu của kẻ tấn công:
- Thay đổi chính sách để giảm tỉ lệ mật khẩu bị phá hoặc thay thế phương pháp xác thực (ví dụ sử dụng token key).
- Phổ biến với người sử dụng về những tác hại của mật khẩu yếu. Nếu người dùng vẫn sử dụng mật khẩu yếu thì người quản trị nên áp dụng các biện pháp bổ sung để đảm bảo.

4. Kiểm tra file log
Các file log trên hệ thống bao gồm firewall log, IDS log, server log hoặc bất kỳ một file nào ghi lại quá trình kiểm tra dữ liệu trên hệ thống. Việc kiểm tra các file log và phân tích chúng sẽ cho biết các hoạt động đang diễn ra trên hệ thống, để có thể so sánh với mục đích và nội dung của chính sách bảo mật. Vì thế, việc kiểm tra này sẽ xác định hệ thống có vận hành theo đúng chính sách bảo mật hay không.
Ví dụ, khi ta đặt một hệ thống phát hiện xâm nhập (IDS) đằng sau tường lửa thì file log của nó sẽ được sử dụng để kiểm tra các yêu cầu dịch vụ và các giao dịch được tường lửa cấp phép. Nếu như trên file log của IDS này ghi lại các hoạt động không được phép, điều đó chứng tỏ tường lửa đã bị vượt qua và hệ thống mạng đã mất an toàn.
Nên định kỳ cho việc kiểm tra file log, trừ những trường hợp yêu cầu kiểm tra do việc nâng cấp hệ thống. Nếu hệ thống không được cấu hình theo đúng chính sách bảo mật thì có thể thực hiện những việc sau: Gỡ bỏ các dịch vụ có lỗ hổng nếu chúng không cần thiết; Cấu hình lại hệ thống; Thay đổi chính sách bảo mật của tường lửa để hạn chế quyền truy cập vào các hệ thống hoặc dịch vụ có lỗ hổng.

5. Kiểm tra sự toàn vẹn
Kiểm tra sự toàn vẹn của một file là tạo và lưu trữ một biến phát hiện lỗi checksum cho mọi file được bảo vệ và thiết lập một cơ sở dữ liệu của biến checksum đó. Phương pháp này cung cấp một công cụ cho quản trị hệ thống nhận ra sự thay đổi của các file, đặc biệt là sự thay đổi trái phép. Các biến checksum lưu trữ nên được tính toán lại thường xuyên để so sánh với giá trị hiện tại được lưu trữ, sau đó xác định có sự thay đổi file hay không. Chức năng kiểm tra sự toàn vẹn của file thường được tích hợp vào trong hệ thống phát hiện xâm nhập trên máy chủ thương mại.
Phương pháp kiểm tra sự toàn vẹn là một công cụ hữu ích mà không đòi hỏi sự can thiệp của con người ở mức độ cao, nhưng nó cần phải thực hiện một cách thận trọng để đảm bảo tính hiệu quả.
Một số công cụ kiểm tra sự toàn vẹn của dữ liệu như Aide, LANGuard, Tripwire,....

6. Phát hiện virus
Mọi hệ thống mạng đều có nguy cơ nhiễm virus, trojan, sâu nếu như chúng kết nối với mạng Internet hoặc sử dụng USB, phần mềm miễn phí.
Có hai dạng chương trình diệt virus chính là chương trình được cài đặt trên hạ tầng mạng và chương trình cài đặt trên máy người sử dụng. Mỗi loại có những ưu điểm và nhược điểm riêng, nhưng với những hệ thống yêu cầu bảo mật cao thì nên sử dụng cả hai loại chương trình diệt virus đó.

7. Kiểm tra mạng không dây
Giao thức mạng không dây phổ biến nhất là 802.11b có nhiều lỗi nghiêm trọng khi sử dụng công cụ mã hóa WEP, bởi vì ở chế độ mặc định nó được cấu hình không an toàn.
Mỗi một hệ thống mạng không dây nên được kiểm tra định kỳ để tìm ra các kết nối trái phép hoặc các cấu hình yếu, đồng thời cũng phải kiểm tra các tín hiệu của mạng không dây lân cận. Một số phần mềm kiểm tra sự an toàn của hệ thống mạng không dây như Aerosol, AirSnort, Kismet, Sniffer Wireless,....
8. Thâm nhập thử nghiệm
Đây là việc kiểm tra an toàn của hệ thống bằng cách phá vỡ các tính năng an toàn của chúng dựa trên các hiểu biết về thiết kế và hoạt động của hệ thống. Mục đích là để xác định các phương pháp tiếp cận hệ thống thông qua các công cụ và kỹ thuật cơ bản của kẻ tấn công. Việc thâm nhập phải được tiến hành sau khi khảo sát hệ thống một cách cẩn thận, thông báo cho toàn hệ thống và lập kế hoạch thâm nhập đầy đủ.
Việc thử nghiệm thâm nhập chính là tạo ra một mô phỏng cuộc tấn công vào hệ thống, nên có thể bị pháp luật hoặc chính sách bảo mật ngăn cấm. Do đó, trước khi thực hiện phải được sự cho phép và chỉ nên thực hiện như sau: Thực hiện trên một địa chỉ hoặc một dải địa chỉ cụ thể; Không thực hiện trên một số máy tính bị ngăn cấm; Dùng một số các kỹ thuật thâm nhập cho phép; Xác định rõ thời gian thực hiện việc thâm nhập; Xác định khoảng thời gian hữu hạn cho việc thâm nhập; Xác định rõ địa chỉ IP từ máy sẽ thực hiện thâm nhập để người quản trị có thể phân biệt cuộc tấn công thử nghiệm với các cuộc tấn công thực sự khác; Xử lý các thông tin được thu thập bởi đội thử nghiệm thâm nhập.

Kết luận
Như vậy, việc kiểm tra an toàn của hệ thống thông tin chính là hoạt động tìm kiếm các lỗ hổng bảo mật sau đó khắc phục các điểm yếu đó. Thông thường, nhiều phương pháp kiểm tra sẽ được kết hợp cùng lúc để đánh giá một cách toàn diện về tình trạng bảo đảm an toàn của mạng. Ví dụ, để kiểm tra sự thâm nhập mạng thì kết hợp việc quét mạng và quét lỗ hổng để xác định các máy tính dễ bị tấn công và các dịch vụ có thể là mục tiêu của sự tấn công sau này. Một số phương pháp quét lỗ hổng bảo mật lại cần đi kèm với phương pháp phá mật khẩu và không một phương pháp nào có thể cung cấp một bức tranh toàn diện về mạng và tình trạng bảo mật của chúng.