chương 1 trình bày tóm tắt về kiến trúc hệ thống mạng nội bộ NIX và các nguy cơ tấn công, một số loại tấn công điển hình và phổ biến nhất, đồng thời chỉ ra nhu cầu xây dựng HTGSATM cho mạng nội bộ NIX của Trung tâm Internet Quốc gia Lào.1 Khái quát về kiến trúc mạng nội bộ NIX của LANIC. Hệ thống mạng của Trung tâm Inetnet Quốc gia Lào kết nối các nhà cung cấp dịch vụ Internet Quốc tế với các nhà cung cấp dịch vụ Internet tại Lào thông qua trạm cửa ngõ quốc tế (IIG - International Internet Gateway), đồng thời kết nối các cơ quan Nhà nước và các nhà mạng Internet nội bộ qua mạng nội bộ (gọi là National Internet Exchange NIX). Kiến trúc hệ thống mạng nội bộ NIX của Trung tâm Internet Quốc gia Lào được mô tả trên hình 1.1 gồm các thành phần sau: Hình 1.1: Kiến trúc hệ thống mạng nội bộ của LANIC (Nguồn: https://lanic.la) Hệ thống của trung tâm Lao National Internet Center (LANIC) bao gồm các thiết bị cốt lõi trong hệ thống hạ tầng mạng Lào đã kết nối -5- Internet. Hệ thống mạng quốc gia bao gồm các bộ Router, Core Switch và Firewall.
Hệ thống Router được kết nối ra Internet với các nước láng giềng như: Việt Nam, Thái Lan, Trung Quốc, và các thiết bị đặt tại trung tâm tạo thành International Internet Gateway, thực hiện kiểm soát cổng kết nối vào/ra Internet. Hệ thống Core Switch là hệ thống kết nối nội bộ của trung tâm và các cơ quan nhà nước, các nhà dịch vụ Internet được gọi là National Internet Exchange, thục hiện kiểm soát cổng kết nối vào/ra Internet nội bộ. Hệ thống Firewall là hệ thống kiểm tra và ngăn chặn những dấu hiệu của cuộc tấn công từ bền ngoại và bên trong mạng, thực hiện ngăn chặn vào/ra Internet. Hệ thống hạ tầng mạng của trung tâm được kết nối với các ISP (Internet Service Provider) trong nước và hiện tại có 6 Nhà cung cấp dịch vụ Internet kết nối vào hạ tầng mạng của trung tâm bao gồm: LTC, ETL, Unitel, Plannet, Best Telecom và LaoSat.
Ngoại ra các ISP lớn còn có các cơ quan nhà nước đã kết nối với trung tâm LANIC. Chi tiết về các thành phần hệ thống mạng NIX cũng như hệ thống LANIC có trong 4 5 [11,12]. Hệ thống giám sát an toàn mạng có thể triển khai tại hệ thống trung tâm và có các điểm giám sát đặt tại các cơ quan, nhà mạng. sẽ trình bày trong các chương tiếp theo.2 Một số loại tấn công điển hình trong mạng nội bộ.1 Khái niệm, đối tượng và mục đích tấn công mạng.
Tấn công mạng là gì? 4 LaoCert:http://www.la 5 Thông báo cuộc tấn công mạng tại Lào của Trung tâm ứng cứu khẩn cấp máy tính Lào, LaoCert 2020 -6- Tấn công mạng là bất kỳ nỗ lực nào nhằm giành quyền truy cập trái phép vào máy tính, hệ thống máy tính hoặc mạng máy tính với mục đích gây thiệt hại. Các cuộc tấn công mạng nhằm mục đích vô hiệu hóa, làm gián đoạn, phá hủy hoặc kiểm soát các hệ thống máy tính hoặc thay đổi, chặn, xóa, thao túng hoặc đánh cắp dữ liệu được lưu giữ trong các hệ thống này. Bất kỳ cá nhân hoặc nhóm nào cũng có thể khởi động một cuộc tấn công mạng từ bất cứ đâu bằng cách sử dụng một hoặc nhiều chiến lược tấn công khác nhau. Tại sao các cuộc tấn công mạng xảy ra? Các cuộc tấn công mạng không chỉ được thiết kế để gây ra thiệt hại và có thể có nhiều mục tiêu khác nhau, bao gồm những điều sau đây: Lợi ích tài chính: Tội phạm mạng thực hiện hầu hết các cuộc tấn công mạng, đặc biệt là các cuộc tấn công chống lại các tổ chức thương mại, để thu lợi tài chính.
Các cuộc tấn công này thường nhằm đánh cắp dữ liệu nhạy cảm, chẳng hạn như số thẻ tín dụng của khách hàng hoặc thông tin cá nhân của nhân viên, sau đó tội phạm mạng sử dụng để truy cập tiền hoặc hàng hóa bằng danh tính của nạn nhân. Quấy rối và trả thù: Những kẻ xấu cũng tiến hành các cuộc tấn công đặc biệt để gieo rắc hỗn loạn, nhầm lẫn, bất mãn, thất vọng hoặc mất lòng tin. Họ có thể thực hiện hành động đó như một cách để trả thù cho những hành động chống lại họ. Họ có thể nhằm mục đích làm xấu hổ công khai các thực thể bị tấn công hoặc làm tổn hại danh tiếng của các tổ chức.
Các cuộc tấn công này thường nhắm vào các tổ chức chính phủ nhưng cũng có thể tấn công các tổ chức thương mại hoặc tổ chức phi lợi nhuận. Chiến tranh mạng: Các chính phủ trên khắp thế giới cũng tham gia vào các cuộc tấn công mạng, với nhiều chính phủ quốc gia thừa nhận hoặc bị nghi ngờ thiết kế và thực hiện các cuộc tấn công chống lại các quốc gia khác như một phần của các tranh chấp chính trị, kinh tế và xã hội đang diễn ra. Những kiểu tấn công này được phân loại là chiến tranh mạng. -7- Các cuộc tấn công mạng hoạt động như thế nào? Các tác nhân đe dọa sử dụng nhiều kỹ thuật khác nhau để khởi động các cuộc tấn công mạng, phần lớn tùy thuộc vào việc chúng đang tấn công một thực thể được nhắm mục tiêu hay không được nhắm mục tiêu.
Trong một cuộc tấn công không có mục tiêu, trong đó những kẻ xấu đang cố gắng xâm nhập vào càng nhiều thiết bị hoặc hệ thống càng tốt, chúng thường tìm kiếm các lỗ hổng trong mã phần mềm cho phép chúng có quyền truy cập mà không bị phát hiện hoặc chặn. Hoặc, họ có thể sử dụng một cuộc tấn công lừa đảo, gửi email cho một số lượng lớn người với các thông điệp được thiết kế theo kiểu xã hội nhằm lôi kéo người nhận nhấp vào liên kết sẽ tải xuống mã độc hại. Tin tặc cũng sử dụng các chiến dịch lừa đảo trực tuyến trong một cuộc tấn công có chủ đích, tạo email cho các cá nhân cụ thể, nếu họ nhập vào các liên kết được bao gồm, họ sẽ tải xuống phần mềm độc hại được thiết kế để phá hoại công nghệ của tổ chức hoặc dữ liệu nhạy cảm mà tổ chức đó nắm giữ. Tội phạm mạng thường tạo ra các công cụ phần mềm để sử dụng trong các cuộc tấn công của chúng và thường chia sẻ chúng trên cái gọi là web tối.
Mục đích tấn công mạng là gì? Tích cực: Kiểm thử để tìm ra những lỗ hổng bảo mật của hệ thống, những nguy cơ tấn công mạng cho cá nhân hoặc tổ chức từ đó chỉ ra các giải pháp phòng chống, ngăn chặn sự đe dọa từ tin tặc. Tiêu cực: Phá hoại, lừa đảo, tống tiền, mua vui, đe dọa nạn nhân. Ví dụ: Trong cùng một hệ thống mạng LAN (mạng nội bộ), tin tặc có thể xâm nhập vào hệ thống của công ty. Hacker đó sẽ đóng vai như một người dùng thật trong hệ thống, sau đó tiến hành xâm nhập vào tệp chứa tài liệu bí mật của công ty.
Tin tặc có thể lấy cắp thông tin, hoặc thay đổi các con số, ẩn file…Nghiên cứu về các tấn công mạng được tham khảo từ6 7 [3,4]. 6 Hoàng Đăng Hải, tài liệu bài giảng “An toàn thông tin nâng cao”, Học viện Công nghệ Bưu chính Viễn thông 2023 7 Hoàng Xuân Dậu, tài liệu bài giảng “An toàn bảo mật hệ thống thông tin”, Học viện Công nghệ Bưu chính Viễn thông -8- Hình 1.2: Tấn công mạng nội bộ (Nguồn: https://aboutdigitalcertificate.com/2013/12/06/network-attacks- types-and-how-to-prevent/) 1.2 Các giai đoạn của quá trình tấn công mạng. Tấn công mạng là một hoạt động nhằm khai thác các điểm yếu của hệ thống để phục vụ các mục đích khác nhau. Điểm yếu hệ thống là những điểm nhạy cảm hoặc những rủi ro tiềm ẩn trong hệ thống thông tin, hệ thống.
Có tồn tại điểm yếu thì dễ bị nguy cơ tấn công nhiều hơn. Để khắc phục điều đó cần hiểu rõ 5 bước thực hiện cuộc tấn công mạng như sau:. Đạt được quyền truy cập (Gaining Access) 4. Duy trì quyền truy cập (Maintaining Access) 5.
Giai đoạn 1: Trinh sát Trinh sát là một giai đoạn đầu mà kẻ tấn công chuẩn bị để thu thập thông tin của mục tiêu càng nhiều càng tốt trước khi phát động cuộc tấn công. Trong giai đoạn này, kẻ tấn công sử dụng trí thông minh để tìm hiểu thêm về mục tiêu được ghi nhận là dễ dàng xâm nhập cho một cuộc tấn công khi biết thêm về mục tiêu trên quy mô rộng. Phạm vi mục tiêu trinh sát có thể bao gồm hệ thống của tổ chức, hệ thống mạng, nhân viên, khách hàng và vv.của mục tiêu. -9- Giai đoạn 2: Quét Quét là giai đoạn ngay trước cuộc tấn công.
Trong giai đoạn này, kẻ tấn công sử dụng các thông tin thu thập được trong quá trình trước để quét mạng tìm thêm thông tin cụ thể hơn. Quét là một phần mở rộng hợp lý của trinh sát tích cực và trên thực tế, một số chuyên gia không phân biệt quét với trinh sát tích cực. Tuy nhiên, có một sự khác biệt nhỏ là quá trình quét liên quan đến việc thăm dò sâu hơn về phía kẻ tấn công. Thường thì các giai đoạn trinh sát và quét chồng lên nhau và không phải lúc nào cũng có thể tách biệt hai giai đoạn này.
Kẻ tấn công có thể thu thập thông tin mạng quan trọng như ánh xạ hệ thống, bộ định tuyến và tường lửa bằng cách sử dụng các công cụ đơn giản như tiện ích Windows tiêu chuẩn Trace route. Ngoài ra, họ có thể sử dụng các công cụ như Cheops để thêm thông tin bổ sung vào kết quả theo dõi lộ trình. Giai đoạn 3: Giành quyền truy cập Phần này là nơi kẻ tấn công đột nhập vào hệ thống mạng để khai thác nhiều công cụ hoặc chiến lược. Khi vào hệ thống, họ phải tăng đặc quyền của mình lên cấp quản trị viên để anh ta có thể cài đặt ứng dụng mình muốn hoặc sửa đổi thông tin hoặc ẩn thông tin.
Trong phần ba, kẻ tấn công sẽ khai thác lỗ hổng để đạt được quyền truy cập vào mục tiêu. Điều này thường liên quan đến việc quản lý hoặc nhiều thiết bị mạng để trích xuất thông tin từ mục tiêu hoặc sử dụng thiết bị đó để thực hiện các cuộc tấn công vào các mục tiêu thay thế. Giai đoạn 4: Duy trì quyền truy cập Duy trì quyền truy cập là giai đoạn kẻ tấn công cố gắng giữ quyền sở hữu hệ thống của mình.