CHƯƠNG 2: GIẢI PHÁP DÒ QUÉT LỖ HỖNG BẢO MẬT

2.4. Một số kỹ thuật dò quét lỗ hổng hệ thống thông tin

Remediation Level Not Defined 1

Unavailable 1

Workaround 0.97

Temporary Fix 0.96

Official Fix 0.95

Report Confidence Not Defined 1

Confirmed 1

Reasonable 0.96

Unknown 0.92

Confidentiality Requirement / Integrity Requirement / Availability Requirement

Not Defined 1

High 1.5

Medium 1

Low 0.5

Bảng 2.7 - Giá trị các số liệu

Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin

Hình 2.6- Các bước kỹ thuật thực hiện dò quét lỗ hổng bảo mật

Các bước thực hiện dò quét lỗ hổng bảo mật đối với các hệ thống thông tin được thực hiện gồm 7 bước như sau:

- Xác định các IP trong hệ thống mạng, lập danh sách các IP gắn với các máy chủ hoặc thiết bị trong hệ thống mạng.

- Xác định, định vị các thệ thống đang hoạt động, xác định thông tin các thiết bị đang hoạt động trong mạng.

- Xác định danh sách các dịch vụ trên các máy chủ bằng cách quét các cổng port, xác định được các dịch vụ đang hoạt động.

- Xác định thông tin dịch vụ: Sử dụng các biện pháp kỹ thuật như gửi gói tin, hoặc các công cụ phục vụ thu thấp dữ liệu về các dịch vụ.

- Xác định ứng dụng đang cung cấp: Từ các thông tin dịch vụ ở trên để xác định các phiên bản và ứng dụng đang cung cấp.

- Xác định nguy cơ lỗ hổng: Với các ứng dụng đã thu thập được, có thể thực hiện kiểm thử giả lập tấn công để xác định lỗ hổng bảo mật của hệ thống.

- Kết xuất báo cáo lỗ hổng: Đánh giá mức độ nguy hiểm, lập báo cáo phân loại và cách thức có thể xử lý lỗ hổng.

2.4.1. Kỹ thuật dò quét mạng

Kỹ thuật dò quét mạng là xác định các máy chủ được kết nối trong một hệ thống mạng, các máy chủ được thực hiện kiểm thử nhằm xác định các dịch vụ đang hoạt động, ví dụ như FTP, HTTP… hoặc các dịch cung cấp web server như IIS, Apache. Từ đó có thể xác định danh sách các máy chủ cũng như sơ đồ kết nối và các dịch vụ đang hoạt động của hệ thống được dò quét.

Hiện nay, có nhiều công cụ phổ biến có thể dò quét mạng các máy chủ hoạt động,

trong đó phổ biến là công cụ nmap [13]. Đầu tiên công cụ sẽ thực hiện xác định các máy chủ đang hoạt động trong mạng, sau đó sẽ thực hiện dò quét các cổng port má chủ đang mở, từ đó có thể xác định các dịch vụ nào đang hoạt động. Thông thường, các công cụ dò quét sẽ chỉ xác định các máy chủ đang hoạt động, cổng port đang mở. Để có thể xác định các ứng dụng đang hoạt động, các bộ công cụ thường thực hiện nhiệm vụ dò quét cổng dịch vụ mạng.

Hình 2.7- Phần mềm Zenmap sử dụng công cụ Nmap để dò quét mạng Khi thực hiện dò quét mạng, các vấn đề về chiếm dụng băng thông hệ thống mạng cũng nên được xem xét, đảm bảo hiệu năng của hệ thống. Như vậy, với công cụ hỗ trợ dò quét mạng có thể sử dụng với các mục đích như sau:

- Xác định máy chủ trong hệ thống mạng có hợp pháp hay khồng? Nếu có những máy chủ không hợp pháp nào cần thực hiện ngắt khỏi hệ thống và xác đinh, điều tra nguyên nhân cụ thể.

- Xác định các dịch vụ có lỗ hổng bảo mật tồn tại trong hệ thống mạng hay không?

Hoặc các dịch vụ không cần thiết nhằm loại bỏ hoặc ngắt khỏi hệ thống.

- Xác định máy chủ có tồn tại lỗ hổng hay không? Nếu có tồn tại lỗ hổng bảo mật cần thực hiện khác phục, cấu hình để hạn chế truy cập vào máy chủ đó.

- Cung cấp các thông tin cho việc kiể thử an toàn bảo mật hệ thống.

2.4.2. Dò quét lỗ hổng bảo mật

Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin

Để có thể dò quét lỗ hổng bảo mật qua mạng, các phần mềm dò quét cũng thực hiện xác định các máy chủ và các port tương ứng với các dịch đang chạy trên đó. Ngoài ra các phần mềm dò quét cung cấp thêm các thông tin chi tiết hơn về các lỗ hồng tồn tại này.

Bên cạnh đó, các phần mềm dò quét cũng xác định định thêm thêm các thông tin như:

Phần mềm ứng dụng đang chạy đã lỗi thời, các bản và ứng dụng, cũng có thể xác định được mức độ vi phạm theo các chính sách bảo mật của các đơn vị, tổ chức. Để xác định được thì phần mềm cần xác định được hệ điều hành, các phần mềm đang chạy và so sánh chúng với dữ liệu về lỗ hổng bảo mật. Có hai loại phần mềm có thể dò quét được các lỗ hổng:

- Dò quét theo máy chủ: Thực hiện cài đặt phần mềm dò quét lên máy chủ, có thể là một phần mềm độc lập hoặc qua kết nối máy chủ để thực hiện trao đổi thông tin. Sau đó thực hiện phân tích các lỗ hổng và xác định các tệp tin không được bảo mật, các bản vá còn thiếu, chính sách bảo mật hoặc các phần mềm gián điệp…

- Dò quét qua mạng: Khác với dò quét mày chủ, nhiệm vụ này thực hiện xác đình dò quét tìm kiếm các hệ thống trong một dải mạng, tìm kiếm xác định các lỗ hổng đó.

Ưu điểm là có thể giúp quản trị viên có thể dễ dàng thực hiện đánh giá dò quét từ hệ thống đơn giản đến các hệ thống phức tạp. Nhược điểm là không thể dò quét được các máy chủ không hoạt động sau các tưởng lửa hoặc không thể đánh giá dò quét được các dịch vụ bị lỗi.

Để có thể hiểu rõ hơn về các các kỹ thuật dò quét qua mạng, chúng tôi sẽ mô tả một số kỹ thuật được sử dụng trong phần mềm.

• Kỹ thuật truy vết hệ điều hành

Là kỹ thuật tìm thông tin về hệ điều hành máy chủ đang sử dụng khi thực hiện dò quét. Để có thể xác định được thông tin hệ điều hành, phần mềm dò quét sẽ gửi gói tin nháp đến máy chủ địch, sau đó sẽ phân tích gói tin được phản hồi, trong đó sẽ có thông tin về hệ điều hành. Ví dụ đối với gửi gói tin TCP, phần nội dung IP Header cũng có thể cung cấp một số thông tin về hệ điều hành máy chủ đích.

Khi có thông tin về hệ điều hành, phần mềm dò quét sẽ thực hiện quét danh mục các cổng dịch vụ. Với 65536 cổng TCP thì phần mềm dò quét sẽ thực hiện chỉ một số cổng nhất định, các cổng này được thiết lập khi thực hiện.

Khỉ xác định được một cổng được mở, phần mềm sẽ gửi truy vấn đến cổng mà máy chủ đích, khi có thông điệp phả hồi, phần mềm sẽ so sánh với tập dữ liệu mẫu để xác định cổng mạng đó đang gắn với dịch vụ nào. Trong thực tế, có nhiều trường hợp phần mềm không thực hiện dò quét này, do cùng cổng dịch vụ có thể đang chạy nhiều dịch vụ khác nhau, lấy vụ dụ công 80 nhưng nhiều dịch vụ HTTP đang chạy giao diện web. Để có thể

dò quét thì các phần mềm còn thực hiện kiểm tra cả các cổng khác, không chỉ với các cổng mặc định này.

Sau khi xác định được cổng dịch vụ, các thông tin về ứng dụng dang sử dụng cổng port này sẽ được xác định. Điều quan trọng phần mềm ứng dụng phải xác định được chính xác ứng dụng đang chạy, không sẽ dẫn đến các bước tiếp theo sẽ gặp lỗi.

• Kỹ thuật xác định lỗ hổng bảo mật

Sau khi xác định, thu thập được thông tin về máychủ đích và các cổng mạng đang hoạt động, các ứng dụng đang cung cấp trên các cổng port đó. Bước tiếp là xác định thông tin về lỗ hổng đang tồn tại bách cách sử dụng các thông tin từ các bước trước.

Phần mềm sẽ thực hiện dò các máy chủ theo các danh sách các IP bằng phương thức tấn công, khai thác các lỗ hổng bảo mật tồn tại hay không. Có nhiều cách thức xác định lỗ hổng bảo mật, trong đó có thể chỉ cần xác định thông tin phiên bản ứng dụng, hoặc có thể thực hiện đầy đủ các bước để xác định thông tin. Có một số trường hợp, thông tin về lỗ hổng ứng dụng có thể bị can thiệp, khi đó không có thông tin chính xác nào được cung cấp, cũng có thể hiểu các phần mềm không xác định được lỗ hổng tổn tại như thực tế, trường hợp này được coi là false-postive. Để có thể hiểu rõ hơn về trường hợp false-postive, có thể phân tích rõ hơn đối với hai trường hợp: (i) False-Positive do kỹ thuật (ii) False-Positive do ngữ cảnh.

Đối với trường hợp false-positive do kỹ thuật:

- Lỗi do tập lệnh: Trường hợp người dùng tự phát triển các kịch bản, khi thực hiện dò quét không xác định được như mong muốn.

- Xác định sai bản vá: Trường hợp xác định lỗ hổng bằng thông tin phiên bản phần mềm. Với các phần mềm chưa cập nhật thông tin bản vá thì khi xác định lỗ hổng có thể gây ra nhầm lẫn.

- Thông tin phản hồi không như kịch bản: Một số dịch vụ tạm thời không hoạt động tại thời điểm quét, khi đó phần mềm sẽ gửi các kịch bản kiểm tra nhưng không có thông tin phả hồi, dẫn đến phần mềm xác định tồn tại lỗ hổng.

- Trong một số trường hợp gây ra như chính sách thiết lập firewall, thiết bị IPS…

Đối với trường hợp false-positive do ngữ cảnh:

- Cài đặt bản vá bị lỗi: Được xác định là lỗi do ngữ cảnh khi thực hiện dò quét lỗi bán vá phần mềm.

- Điều kiến không đáp ứng: Trường hợp khi dò quét cần cung cấp tài khoản để thực hiện, trong trường hợp không được cung cấp đầy đủ tài khoản, phần mềm không thể dò quét hết được đầy đủ, dẫn đến kết quả không chính xác.

Chương 2: Giải pháp phân tích, đánh giá rủi ro an toàn thông tin

- Định tuyến không chính xác: Trường hợp các địa chỉ IP định tuyến giữa các IP tham chiếu giữa bên trong và IP bên ngoài khác nhau, dẫn đến sai lệch kết quả.