1 Hịan cảnh hình thành đề tài

Cuối năm 1999, web site của ĐHQG-HCM bị cracker từ nước ngịai thay đổi bằng một

nội dung phản động ! Đây là hồi chuơng cảnh báo đầu tiên về khả năng bị tấn cơng từ

ngịai vào mạng ĐHQG-HCM và giúp chúng ta cảnh tỉnh về trình độ cịn rất non yếu của

nhĩm quản trị mạng ĐHQG-HCM về vấn để bảo mật hệ thống.

Sớm nắm được mối hiểm nguy khi kết nối vào Internet và nhận thấy sự cần thiết phải

nâng cao trình độ của cán bộ quản trị mạng, Lãnh đạo ĐHQG-HCM đã phê duyệt đề tài

nghiên cứu trọng điểm cấp ĐHQG về “An tịan và bảo mật hệ thống thơng tin”. Nội dung

chính của đề tài là tìm hiểu các phương thức xâm nhập hệ thống của các hacker/cracker

nhằm nâng cao trình độ quản trị mạng và tăng cường khả năng bảo mật cho các máy chủ.

Đề tài đã được triển khai trong hơn một năm và được nghiệm thu cuối năm 2001 với

kết quả tốt. Nội dung chính của đề tài là tìm hiểu các phương thức xâm nhập một hệ

thống tin học và đề ra một số phương pháp phòng chống như qui trình xây dựng máy

chủ an toàn, một số phương pháp phát hiện backdoor

Đề tài của ĐHQG chính là bước chuẩn bị kỹ thuật cho phép triển khai đề tài đang được

đề cập. Với những kiến thức, kỹ năng về tìm hiểu các sơ hở của hệ thống tích lũy từ đề

tài của ĐHQG-HCM, chúng ta có thể tìm ra các sơ hở của các mạng tin học thông qua

Internet, cảnh báo các nhà quản trị mạng thông qua các thông tin “nặng ký” như thông

báo sơ hở với những bằng chứng như password của admin, thông tin tài khoản cá nhân,

khả năng thay đổi nội dung Website

Tự biết mạng tin học của mình sơ hở và tự sửa chữa là một điều rất khó khăn. Với hơn

một năm nghiên cứu vấn đề bảo mật hệ thống của một số mạng tin học của Việt nam,

kể cả các mạng ISP chuyên nghiệp như VDC, FPT, SaigonNet, Netnam chúng tôi

nhận thấy hệ thống mạng của chúng ta còn nhiều sơ hở. Tuy nhiên biết được hệ thống

mạng của mình bị tấn công hoặc đã bị xâm nhập là một vấn đề khó khăn, thậm trí

nhiều khi rất khó khăn. Có hai nguyên nhân chính gây nên khó khăn trên. Trước tiên

là vấn đề kỹ thuật, các xâm nhập rất đa dạng, phong phú và thay đổi nhanh do tiến bộ

không ngừng của kỹ thuật. Sau đó là trình độ kỹ thuật, ý thức về nguy cơ của cán bộ

quản trị hệ thống đa phần còn thấp. Cũng phải nhận thấy rằng bảo đảm một hệ thống

phức tạp, nhiều dữ liệu quan trọng là một công tác mệt nhọc và khó khăn. Người quản

trị phải đọc nhiều thông tin thông qua các tập tin log, kiểm tra tính toàn vẹn các tiện

ích quan trọng, theo dõi thông tin trên Internet, tham gia các forum về security và xử

lý các thông tin, thường xuyên nâng cấp các phần mềm vá lỗ thủng bảo mật, lưu trữ

(backup) một cách hệ thống Công cụ hỗ trợ thực sự là cần thiết đối với công tác này.

Cần thiết có sự hỗ trợ hoàn toàn miễn phí và hiệu quả của Nhà nước đối với các mạng

tin học công cũng như tư nhân. Hiện tại chúng ta cũng đã có một số trung tâm hoạt

động trong lĩnh vực này như VISC, trung tâm bảo mật hệ thống Đại học Bách khoa Hà

nội . Tuy nhiên thực tế cho thấy ít đơn vị nào tự bỏ ra chi phí để “nhờ” đơn vị ngoài

Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam

xem lại hệ thống mạng của mình khi chứa thấy hoặc không biết mạng của mình bị tấn

công. Vì vậy sự hỗ trợ miễn phí để cảnh báo các mạng tin học và trợ giúp quyết định

đầu tư sâu hơn là thực sự cần thiết. Đầu tư giúp các đơn vị tìm ra điểm yếu của mình

là hỗ trợ thiết thực cho phát triển ngành CNTT của nước ta.

Những nhà quản trị mạng cần có công cụ hỗ trợ hiệu quả cho phép phát hiện các xâm

nhập hoặc ý định xâm nhập từ ngoài. Như đã đề cập ở trên, phát hiện xâm nhập là một

bài toán khó và chúng ta cần có những công cụ mạnh như hệ thống phát hiện xâm

nhập Intrusion Detection System (IDS). Thực ra đây là họ gồm nhiều các công cụ phần

cứng và phần mềm khác nhau. Nhóm nghiên cứu đã tìm hiểu tài liệu, triển khai thử

nghiệm, so sánh tính năng các hệ thống khác nhau và đưa ra các khuyến cáo là cần

thiết.

2 Mục tiêu của đề tài

Với các phân tích như ở trên, mục tiêu chính của đề tài nhằm vào các vấn đề sau:

a/ Tìm ra các sơ sở của các mạng với kết nối trực tiếp Internet của Việt nam

b/ Thông báo cho các mạng tin học có sơ hở lỗi cùng với các minh chứng. Cung cấp

các phương thức sửa chữa như download giúp các phần mềm vá lỗi, hoặc chỉ dẫn các

cấu hình sửa chữa. Kiểm tra lỗi sau khi đã sửa chữa.

c/ Xây dựng website với mức độ bảo mật cao. Công bố mô hình Website và phương

thức xây dựng cho phép các đơn vị được triển khai miễn phí

d/ Nghiên cứu so sánh các công nghệ IDS cứng và mềm. Đưa ra các khuyến cáo.

3 Các nội dung chính của đề tài

a/ Khảo sát hiện trạng.

Phần khảo sát hiện trạng sẽ gồm 2 phần.

Phần 1: Thu thập thông tin về tất cả các mạng tin học của Việt nam. Mạng tin học Việt

nam là những mạng tin học mà điểm kết nối của nó nằm sau các cổng gateway của

Việt nam. Nói một cách kỹ thuật, đó là những mạng sử dụng hệ thống địa chỉ IP của

Internic cấp phát cho Việt nam. Do đó, những mạng tin học có tên miền không kết

thúc bằng .vn những được truy cập thông qua các IP của Việtnam sẽ là các đối tượng

nghiên cứu.

Các thông tin thu thập sẽ bao gồm danh sách các dịch vụ mà mạng đó cung cấp ra

ngoài, các đặc điểm chuyên biệt của các dịch vụ, hệ thống máy chủ và các phần mềm

tương ứng, các thiết bị mạng, đặc biệt là các thiết bị liên qua tới bảo mật.

Các thông tin này sẽ được thu thập từ nhiều nguồn khác nhau như dùng công cụ khảo

sát mạng, tra thông tin DNS, tra thông tin trên trang Web

Phần 2: Thu thập thông tin về các sơ hở của mạng cùng các kỹ thuật xâm nhập mới.

Nhóm nghiên cứu cần được cập nhật các kiến thức về các phiên bản hệ điều hành mới

Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam

như Solaris 9, RedHat Linux 8, Windows Xp cùng với các thông tin liên quan tới các

sơ hở mới được phát hiện. Các kỹ thuật xâm nhập quan trọng cần được triển khai thử

nghiệm tại các mạng tin học mà nhóm nghiên cứu đang làm việc để có thể nắm vững

các kỹ thuật này. Các phiên bản mới của hệ điều hành, của trình dịch vụ cần được

cài đặt cho công tác thử nghiệm. Ngoài ra, nhóm nghiên cứu cần phân công nhau đăng

ký vào các forum chuyên ngành, xử lý thông tin trên đó và tìm ra những thông tin mới

nhất.

b/ Xây dựng Web site.

Xây dựng một Website chuyên biệt để phục vụ đề tài. Các kiến thức, công nghệ mới

nhất về bảo mật một website sẽ được triển khai. Hệ thống cổng thông tin iPortal,

phương thực xác thực LDAP, Radius, phương thức kết nối an toàn giữa máy chủ dữ

liệu và máy chủ Web, các tiện ích phát hiện xâm nhập sẽ được triển khai để có được

một Web site an toàn nhất. Website này sẽ là đối tượng đầu tiên và quan trọng nhất

của nhóm nghiên cứu tấn công thử nghiệm. Ngoài ra, nhóm nghiên cứu sẽ mời rộng rãi

những người quan tâm tới bảo vệ hệ thống tin học tấn công thử nghiệm Website này.

c/ Nghiên cứu và triển khai thử nghiệm IDS

Hai công nghệ đã được nhóm đề tài nghiên cứu là thiết bị IDS của hãng Cisco và phần

mềm snort trên hệ điều hành Linux hoặc Sun Solaris. Các thiết bị/phần mềm này đã

được triển khai trong cùng một hệ thống mạng với Website bugsearch của đề tài nhằm

xem xét khả năng phát hiện xâm nhập thực tế cũng như xâm nhập thử nghiệm của bản

thân nhóm đề tài. Trong quá trình triển khai trên thực tế, nhóm dự án đã xem xét thêm

Internet Security System – ISS. Đây là một sản phẩm IDS rất mạnh, đầy đủ của hãng

Nokia, đã được bưu điện Hà nội và bưu điện Tp HCM triển khai cho 2 Trung tâm cung

cấp dịch vụ Internet mới của mình.

d/ Dò tìm sơ hở mạng

Sau khi thực hiện thu thập thông tin thông qua khảo sát hiện trạng, nhóm nghiên cứu

đã triển khai công tác dò tìm các sơ hở.

Công tác tìm sơ hở phải thỏa mãn các tiêu chí sau:

ã Không được gây bất cứ một sự rối loạn nào, dù nhỏ, trong hoật động bình

thường của mạng.

ã Không được lấy, sử dụng bất kỳ bất kỳ dữ liệu nào của mạng nghiên cứu

ã Các bằng chứng về sơ hở có tính thuyết phục cao, đặc biệt có tính nghiêm trọng

của hậu quả nếu bị xâm nhập cho phép phụ trách kỹ thuật của các hệ thống

mạng có thể thuyết phục lãnh đạo về các đầu tư nhằm tăng cường an ninh của

mạng tin học của mình.

ã Trong trường hợp mạng đã có sơ hở, tìm kiếm các backdoor có thể có do các

cracker đã làm trước đó. Đây là một nội dung có tầm quan trọng đặc biệt vì nếu

mạng đã có sơ hở thì với xác suất cao là mạng đã bị xâm nhập và bị cài

Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam

6

backdoor. Các backdoor đó có thể được che dấu tính vi và thực sự nguy hiểm

nếu không phát hiện được chúng. Với nhiều hệ thống, một khi một máy có

backdoor thì tất cả các thiết bị, phần mềm bảo mật đắt tiền khác của hệ thống

sẽ bị vô hiệu hóa.

e/ Nghiên cứu các phương pháp bảo vệ và đánh giá hiệu quả.

Sau khi phát hiện các sơ hở, đánh giá mức độ nguy hiểm của từng sơ hở, nhóm nghiên

cứu sẽ xem xét các phương thức bảo vệ. Các giải pháp bảo vệ khác phục sơ hở sẽ được

thông báo chi tiết tới các mạng tin học có vấn đề. Trong khả năng cho phép, nhóm

nghiên cứu sẽ tải về và chuyển giao các phần mềm cần thiết cho đối tượng nghiên cứu

cùng với các khuyến cáo.

f/ Đào tạo và chuyển giao công nghệ.

Nhóm nghiên cứu sẽ tổ chức một một hội thảo rộng rãi cho khoảng 50 lãnh đạo và

chuyên viên IT và một lớp tập huấn cho 20 quản trị viên mạng tin học, đặc biệt là cho

các công ty đã phối hợp chặt chẽ với nhóm nghiên cứu, nhằm nâng cao trình độ bảo vệ

hệ thống của các cán bộ quản trị mạng. Chi phí của các hoạt động này đã được dự trù

trong kinh phí của đề tài