Lỗi cấu hình an ninh trên thiết bị hạ tầng mạng: nguy cơ và giải pháp - P1 (đặt vấn đề

[nktung]

Mở đầu
Trong loạt bài viết này mình sẽ gửi lên đây một chủ đề về lỗi cấu hình an ninh trên thiết bị hạ tầng mạng. Đầu tiên là một số định nghĩa liên quan đến lỗi cấu hình an ninh. Tiếp đó liệt kê những lỗi cấu hình an ninh thường gặp trên các thiết bị mạng. Những nguy cơ xảy ra khi admin để xảy ra lỗi cấu hình đó. Giải pháp khắc phục.

Khái niệm lỗi cấu hình an ninh
Hạ tầng mạng trong các công ty/tổ chức bao gồm các máy chủ, thiết bị mạng. Những người quản trị mạng chịu trách nhiệm quản lý hạ tầng mạng. Một trong những nhiệm vụ của người quản trị mạng là cấu hình bảo đảm tính an ninh cho các thiết bị mạng. Các cấu hình an ninh (secure configuration) được thực hiện theo các chính sách an ninh của công ty/tổ chức. Cấu hình là những câu lệnh được quản trị viên nhập vào giao diện dòng lệnh trên thiết bị. Ví dụ một cấu hình an ninh “Bật giao thức SSH” trên thiết bị mạng:

! hostname router ! ip domain-name example.com ! crypto key generate rsa modulus 2048 ! ip ssh time-out 60 ip ssh authentication-retries 3 ip ssh source-interface GigabitEthernet 0/1 ! ip ssh version 2 ! line vty 0 4 transport input ssh !

Cấu hình an ninh là cấu hình nhằm bảo vệ an toàn cho thiết bị. Một vài ví dụ về cấu hình an ninh:
- Những dịch vụ mạng không được sử dụng thì nên tắt;
- Phải đổi mật khẩu tài khoản quản trị mặc định trên thiết bị;
- Khi tạo các kết nối quản lý từ xa tới thiết bị nên sử dụng giao thức an toàn như SSH (Secure Shell) thay vì sử dụng giao thức kém an toàn như Telnet…
Một hệ thống mạng được xem là quản lý yếu kém là mạng mà trong đó các thiết bị không được cấu hình đầy đủ các chính sách về an ninh. Từ đó trên các thiết bị mạng có các lỗ hổng, dẫn đến bị kẻ tấn công khai thác và thực hiện các hành vi có chủ đích của hắn

Khái niệm về đường cơ sở an ninh (Security Baseline)
Đường cơ sở an ninh là một danh sách kiểm tra (checklist) mà theo đó các hệ thống được đánh giá và kiểm toán đối với tình hình an ninh trong một tổ chức. Đường cơ sở phác thảo ra những yếu tố an ninh chính đối với một hệ thống, và trở thành điểm xuất phát cho việc bảo vệ hệ thống đó.
Trong y học, đường cơ sở là giá trị dữ liệu đã biết ban đầu, được xác định ngay từ khi bắt đầu nghiên cứu, dùng để so sánh với giá trị dữ liệu tích góp được về sau. Trong công nghệ thông tin, giá trị ban đầu đó không phải là trạng thái bảo mật hiện tại của một hệ thống, trái lại nó là một tiêu chuẩn, theo đó trạng thái hiện tại được so sánh.
Theo giáo trình CompTIA Security+, báo cáo đường cơ sở an ninh là việc so sánh trạng thái hiện tại của một hệ thống với đường cơ sở của nó. Mọi sự khác biệt cần được ghi nhận và giải quyết đúng đắn. Những sự khác biệt đó không chỉ là về vấn đề kỹ thuật, mà còn bao gồm về vấn đề quản lý và vận hành. Do vậy cần hiểu một điều là không phải mọi sai khác với đường cơ sở là có hại, bởi vì mỗi hệ thống có đặc điểm khác nhau. Tuy nhiên mọi sự khác biệt đều phải được ghi nhận, đánh giá và lập tài liệu rõ ràng.
Theo Phòng an ninh máy tính của tổ chức nguyên tử châu Âu (CERN Computer Security), đường cơ sở an ninh xác định một tập hợp các mục tiêu cơ bản về an ninh mà bất kỳ một hệ thống hay dịch vụ nào đều phải đạt được. Để thực hiện các mục tiêu này, cần phải có tài liệu hướng dẫn kỹ thuật chi tiết đối với từng hệ thống cụ thể. (CERN).
Theo Cisco, đường cơ sở an ninh mạng là một tập các khuyến nghị cần thực hiện để đảm bảo an ninh cho hệ thống mạng đó. Các khuyến nghị này được đúc kết từ kinh nghiệm triển khai thực tế, có tính cơ bản và tổng quát, không quá khó để triển khai. Đây cũng là cơ sở để thực hiện nguyên tắc phòng thủ theo chiều sâu (defence-in-depth). Để thực hiện nguyên tắc này thì việc đầu tiên cần đảm bảo đó là cần phải kiểm tra đánh giá xem hệ thống có đạt được các mục tiêu mà đường an ninh cơ sở đề ra hay không.

Khái niệm gia cố thiết bị (device hardening)
Mục đích của việc gia cố thiết bị là làm giảm càng nhiều rủi ro càng tốt, và làm cho hệ thống an toàn hơn. Thiết bị hạ tầng mạng khi mua về đều có các thông số cấu hình mặc định từ nhà sản xuất (ví dụ: tài khoản và mật khẩu mặc định, dịch vụ chạy mặc định…). Khi đưa vào sử dụng, quản trị viên cần cấu hình lại những tham số này sao cho phù hợp với các tiêu chuẩn an ninh được đề cập đến trong chính sách an ninh của doanh nghiệp.

(Còn tiếp)

---

 

Phân tích một vài chỉ số về ATTT tại Việt Nam năm 2015
Tại Hội thảo Ngày An toàn thông tin Việt Nam 2015, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã công bố báo cáo Kết quả khảo sát thực trạng an toàn thông tin Việt Nam năm 2015 và đưa ra Chỉ số An toàn thông tin Việt Nam 2015 - VNISA Index 2015. Theo đó, chỉ số trung bình của Việt Nam là 46,5%, tuy ở dưới mức trung bình và vẫn còn sự cách biệt với các nước như Hàn Quốc (hơn 60%), song so với năm 2014 thì đã có bước tiến rõ rệt (tăng 7,4%). Năm nay, VNISA tiến hành khảo sát với 600 tổ chức, doanh nghiệp (TC/DN) trong cả nước (trong đó có 40% tổ chức là trong khu vực nhà nước) với 36 tiêu chí đánh giá ở các cấp độ khác nhau. Trong số các TC/DN được khảo sát, có 51% là các TC/DN có quy mô nhỏ (sử dụng từ 1-50 máy tính), 27% (sử dụng từ 50-300 máy tính). Số còn lại có quy mô trên 300 máy tính.
Một vài thống kê đáng lưu tâm trong báo cáo trên:

• Khi hỏi: Hệ thống của tổ chức có được kiểm tra, đánh giá ATTT (ATTT) hay không? 53% trả lời là có và 47% trả lời là không.

• Khi hỏi cán bộ vận hành, khai thác, sử dụng hệ thống của tổ chức đã tuân thủ các chính sách về ATTT hay không: Có 61% cho rằng có tuân thủ và 39% không tuân thủ.

• Quy trình đánh giá, quản lý và xử lý nguy cơ về ATTT trong các TC/DN vẫn còn nhiều hạn chế, 62% được đánh giá không theo quy trình, chỉ có 28% là tuân thủ theo đúng quy trình.
• Một trong các vấn đề khó khăn nhất mà TC/DN gặp phải trong việc bảo đảm ATTT cho thông tin và hệ thống đó là việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management).

Qua các thông tin ở trên có thể thấy rằng:

• Cần phải đẩy mạnh công tác đánh giá sự an toàn của một hệ thống CNTT.
• Bên cạnh đó vì một trong những khó khăn lớn nhất mà doanh nghiệp gặp phải đó là làm thế nào để quản lý được cấu hình mạng. Hệ thống mạng trong doanh nghiệp có thể phức tạp, nhiều thiết bị. Mỗi thiết bị có nhiều cấu hình. Việc quản lý cấu hình thiết bị mạng đảm bảo cấu hình đó là an toàn theo đúng theo các khuyến nghị, các tiêu chuẩn là một vấn đề khó nhưng cần giải quyết.

 

Mình vẫn chưa thấy nguy cơ bạn ơi

 

Tại Việt Nam trong năm 2015 và 2016, theo thống kê của công ty an ninh mạng BKAV, xảy ra một số vụ việc mất an toàn thông tin do việc cấu hình trên thiết bị mạng:
- Tháng 06/2016, có 70.624 máy chủ Remote Desktop Protocol (RDP) được rao bán trên thị trường chợ đen xDedic và giá chỉ 6 USD cho mỗi quyền truy cập, trong đó có 841 máy chủ ở Việt Nam. Sau khi các đơn vị an ninh mạng Việt Nam tiến hành tìm hiểu và kiểm tra trên thực tế thông tin các máy chủ Remote Desktop Protocol (RDP) tại Việt Nam được rao bán trên thị trường chợ đen xDedic, kết quả cho thấy, 153 máy chủ vẫn đang mở cổng 3389 (RDP), trong đó có 51 máy chủ mở cả cổng 3389 (RDP) và 80 (HTTP). Những máy chủ này có nguy cơ bị khai thác, chiếm quyền điều khiển và bị lợi dụng cho những mục đích xấu. Chỉ từ 6 USD cho mỗi máy chủ, thành viên diễn đàn xDedic đã có thể truy cập vào tất cả dữ liệu của một máy chủ và sử dụng chúng như nền tảng để tấn công về sau, có thể bao gồm tấn công có chủ đích, phần mềm độc hại, DDoS, lừa đảo bằng email, tấn công bằng kỹ thuật xã hội và adware. Cũng theo kết quả kiểm tra, trong số 153 máy chủ này, có 7 máy chủ thuộc các cơ quan nhà nước, 20 máy chủ thuộc doanh nghiệp… Chúng có thể được dùng để tấn công hệ thống hoặc làm bệ phóng cho những cuộc tấn công lớn hơn, trong khi đó, chủ hệ thống, bao gồm các tổ chức chính phủ, tập đoàn và trường đại học lại biết rất ít hoặc chẳng biết gì về chuyện đang xảy ra.[1]
- Cũng trong 4 tháng đầu năm 2015, theo báo cáo bảo mật từ công ty bảo mật BKAV, sau những ghi nhận từ hệ thống phòng vệ DDoS của mình cho thấy có nhiều cuộc tấn công-từ chối-dịch vụ (DDoS) xuất phát từ nhiều địa chỉ IP thuộc nhiều nhà cung cấp dịch vụ Internet (ISP) tại nhiều quốc gia. Những địa chỉ IP này xuất phát từ các router (bộ định tuyến mạng) kết nối Internet dùng trong gia đình hay doanh nghiệp nhỏ đã bị hack. Và tất cả router "thây ma" đều không được người dùng thay đổi mật khẩu mặc định của tài khoản quản trị (admin) từ nhà sản xuất. Hacker có thể lấy được tài khoản quản trị này rất dễ dàng, chỉ cần tham khảo tài liệu nhà sản xuất công bố rộng rãi trên mạng. Khi nắm trong tay tài khoản quản trị có đủ quyền thiết lập cho router, hacker có thể điều khiển hướng truy cập của các thiết bị kết nối Internet thông qua router đó đến các địa chỉ website mà chúng muốn. Từ đó có thể lây nhiễm mã độc, chiếm giữ thêm các tài khoản khác của người dùng hoặc gia tăng lưu lượng truy cập cho các website kiếm tiền từ quảng cáo, hay dùng các thiết bị của nạn nhân như di động hay máy tính tham gia đội quân "botnet" để tấn công-từ chối-dịch vụ (DDoS) nhắm vào các mục tiêu định sẵn. Hacker còn có thể đánh cắp dữ liệu ra vào mạng Internet gia đình hay doanh nghiệp.[2]

---

[1] http://vnreview.vn/tin-tuc-an-ninh-...dang-rao-ban-hon-841-may-chu-viet-nam-bi-hack

[2] https://whitehat.vn/forum/thao-luan...i-viet-nam-dang-trong-tinh-trang----bo-ngo---

 

Theo thống kê cho thấy, năm 2015, có nhiều hình thức tấn công với những kỹ thuật khác nhau, phổ biến nhất là các kỹ thuật: Tấn công dò quét điểm yếu dịch vụ UPNP, tấn công gây từ chối dịch vụ phân giải tên miền DNS, tấn công dò mật khẩu dịch vụ FTP bằng phương pháp vét cạn (brute force login attempt) …
Số lượng các cuộc tấn công theo từng loại hình kỹ thuật đã được Trung tâm ứng cứu sự cố máy tính khẩn cấp (VNCERT) thống kê cụ thể hàng năm với con số không nhỏ. Dưới đây là bảng thống kê theo quý Top 5 kỹ thuật tấn công trong năm 2015 vào hệ thống thông tin nước ta:

STT	TÊN KỸ THUẬT TẤN CÔNG	SỐ LƯỢNG
QUÝ I
1	Tấn công dò quét điểm yếu dịch vụ UPNP	1165518
2	Tấn công gây từ chối dịch vụ phân giải tên miền DNS	950146
3	Lạm dụng các dịch vụ của Google để tiến hành tấn công các hệ thống trang thông tin điện tử gây tình trạng từ chối dịch vụ	219061
4	Tấn công dò mật khẩu dịch vụ FTP bằng phương pháp vét cạn (brut force login attempt)	204926
5	Tấn công máy chủ website sử dụng phần mềm APACHE	154862
QUÝ II
1	Tấn công dò quét điểm yếu dịch vụ UPNP	293015
2	Tấn công dò mật khẩu dịch vụ FTP bằng phương pháp vét cạn (brut force login attempt)	240912
3	Tấn công chuyển hướng tên miền nhằm vào người dùng thông qua dịch vụ DNS bằng kỹ thuật dns cache poisoning	217938
4	Tấn công vét cạn mật khẩu thông qua dịch vụ SSH	174910
5	Tấn công điểm yếu ứng dụng Web thông qua giao thức HTTP POST request khi tính năng file_uploads được kích hoạt	96052
QUÝ III
1	Tấn công khai thác điểm yếu bảo mật của ứng dụng Web	2352175
2	Lây nhiễm mã độc, kết nối đến mạng lưới mã độc qua dịch vụ DNS	944694
3	Lạm dụng dịch vụ calendar access của các hệ thống trang thông tin điện tử để thu thập thông tin	327714
4	Tấn công chuyển hướng tên miền nhằm vào người dùng thông qua dịch vụ DNS bằng kỹ thuật dns cache poisoning	283958
5	Tấn công vét cạn mật khẩu thông qua dịch vụ SSH	248713
QUÝ IV
1	Tấn công gây từ chối dịch vụ phân giải tên miền DNS bằng phương pháp truy vấn random DNS domain nhằm vào dịch vụ DNS	741184
2	Tấn công dò quét điểm yếu dịch vụ UPNP	234865
3	Lạm dụng dịch vụ calendar access của các hệ thống trang thông tin điện tử để thu thập thông tin	196255
4	Tấn công gây từ chối dịch vụ phân giải tên miền DNS	179827
5	Tấn công chuyển hướng tên miền nhằm vào người dùng thông qua dịch vụ DNS bằng kỹ thuật dns cache poisoning	173814

Bảng 1. Các kỹ thuật tấn công vào hệ thống mạng Việt Nam năm 2015​

Thống kê trên cho thấy các kỹ thuật tấn công phổ biến vào hệ thống thông tin của nước ta là rất đa dạng và thay đổi liên tục. Trong đó có thể thấy ở thống kê trên, một trong những thủ đoạn của kẻ tấn công thường ngắm tới những điểm yếu về về cấu hình. Một số ví dụ có thể chỉ ra dưới đây:
Ví dụ 1: hình thức dò quét điểm yếu của giao thức UPNP, theo khuyến nghị cần tắt dịch vụ UPNP trên các thiết bị nếu không sử dụng bởi vì UPNP có rất nhiều lỗ hổng bảo mật. Tuy nhiên nếu người quản trị không thực hiện việc này thì rất có thể hệ thống mạng sẽ bị tấn công.
Ví dụ 2: là tấn công dò mật khẩu dịch vụ FTP, SSH bằng phương pháp vét cạn (brute force login attempt). Theo khuyến nghị, khi đặt mật khẩu cần phải đặt mật khẩu mạnh (thỏa mãn tiêu chí về độ dài, sư kết hợp các ký tự trên bàn phím). Nếu quản trị viên hệ thống/người dùng sử dụng mật khẩu yếu (đơn giản, dễ đoán) để cài đặt cho các dịch vụ SSH, FTP, thì sẽ trở thành nạn nhân của kỹ thuật tấn công dạng này.
Qua phân tích ở trên có thể thấy rằng nếu quản trị viên không tuân thủ các khuyến nghị về an ninh khi cấu hình hệ thống thì có thể dẫn đến hệ thống đó có những điểm yếu và bị khai thác bởi kẻ tấn công.

 

Bro cho hỏi khái niệm về "cấu hình an ninh" và "an ninh cấu hình" có gì khác nhau không?

 

Cần phân biệt khái niệm “Cấu hình an ninh” và “An ninh cấu hình”. Cấu hình an ninh là những cấu hình nhằm bảo vệ cho thiết bị trước những nguy cơ tấn công có thể xảy ra. Ví dụ: cấu hình an ninh cổng switch để tránh tấn công làm tràn bảng MAC...
Còn “An ninh cấu hình” nhằm bảo đảm an toàn cho những cấu hình đang hoạt động: phòng tránh bị lộ thông tin cấu hình, bị sửa đổi cấu hình trái phép.