Bảo mật mạng - Bí quyết và giải pháp - Chuong II

Tham khảo tài liệu 'bảo mật mạng - bí quyết và giải pháp - chuong ii', công nghệ thông tin, an ninh - bảo mật phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Bảo mật mạng - Bí quyết và giải pháp - Chuong II eb oo ks @ fr ee 4v n. or g Có thể bạn sẽ thắc mắc điều gì sẽ xảy ra nếu như ICMP bị khóa bởi một vị trí mục tiêu. Một câu hỏi rất hay. Thông thường chúng ta không mấy khi gặp những site được bảo mật kỹ càng lại khóa ICMP tại cầu dẫn hoặc firewall. Khi ICMP có thể bị khóa, ta có thể sử dụng một số công cụ và thủ thuật hỗ trợ nhằm xác định xem hệ thống có thực sự hoạt động không. Tuy vậy những thủ thuật và công cụ này cũng không thể chính xác và hữu ích như một ping sweep thông thường. Khi luồng thông tin ICMP bị khóa, port scanning (quét cổng) là kỹ thuật đầu tiên nhằm xác định những mày chủ đang kết nối trực tiếp. (Quét cổng sẽ được nghiên cứu kỹ trong phần cuối Chương này). Qua thao tác quét đối với các cổng thông thường trên các địa chỉ IP tiềm năng, ta có thể xác định những máy chủ nào đang hoạt động nếu như ta có thể xác định được những cổng mở và nghe trên hệ thống mục tiêu. Thủ thuật này rất tốn thời gian và thường không thu được kết quả như mong muốn. Một công cụ sử dụng nhằm hỗ trợ thủ thuật quét cổng đó là nmap. Như đã đề cập trước đó, nmap có tính năng thực thiện thao thác quét ICMP. Tuy nhiên nó cũng đưa ra sự lựa chọn cao cấp hơn có tên TCP ping scan. Một TCP ping scan được khởi chạy bằng lựa chọn đối số -PT và số của cổng ví dụ như 80. Chúng ta sử dụng 80 là vì đó là cổng thông dụng mà các site sẽ cho phép qua cầu dẫn biên vào những hệ thống trên vùng phi quân sự (DMZ), thậm chí có thể qua cả firewall. Lựa chọn này gửi những gói tin TCP ACK sang một mạng đích và đợi cho tới khi RST xác định là máy chủ đang hoạt động. Các gói tin ACK được gửi đi bởi nó có nhiều khả năng có thể vượt qua được firewall không kiên cố. [tsunami] nmap -sP -PT80 192.168.1.0/24 TCP probe port is 80 Starting nmap V.2.53 Host (192.168.1.0) appears to be up. Host (192.168.1.1) appears to be up. Host shadow (192.168.1.10) appears to be up. Host (192.168.1.11) appears to be up. Host (192.168.1.15) appears to be up. Host (192.168.1.20) appears to be up. Host (192.168.1.50) appears to be up. Host (192.168.1.101) appears to be up. Host (192.168.1.102) appears to be up. Host (192.168.1.255) appears to be up. Nmap run completed (10 hosts up) scanned in 5 seconds Ta có thể thấy rằng phương pháp này rất hiệu quả giúp xác định hệ thống nào đang hoạt động nếu như site khóa ICMP. Do vậy chúng ta nên thử tiến hành quét lặp lại với một số cổng thông thường như SCTP (25), POP (110), AUTH (113), IMAP (143) hoặc một số loại cổng khác đặc trưng duy nhất cho site này. Hping trên địa chỉ http://www.kyuzz.org/antirez/ là một tiện ích ping TCP khác với tính năng TCP bổ xung so với nmap. Hping cho phép người sử dụng kiểm soát các lựa chọn gói tin TCP cụ thể cho phép gói tin này có thể luồn lách qua cac thiết bị kiểm soát truy nhập. Bằng cách thiết lập cổng đích bằng lựa chọn đối số -p, bạn có thể đánh lừa một số công cụ kiểm soát truy nhập tương tự như traceroute như đã tìm hiểu trong Chương I. Ta có thể sử dụng Hping để thực hiện quét TCP và công cụ này còn có tính năng chia dời các gói tin, có nhiều khả năng vượt qua một số thiết bị kiểm soát truy nhập. [tsunami] hping 192.168.1.2 -s -p 80 -f HPING 192.168.1.2 (eth0 192.168.1.2): S net, 40 data bytes 60 bytes from 192.168.1.2: flags=SA seq=0 ttl=124 id=17501 win=0 time=46.5 60 bytes from 192.168.1.2: flags=SA seq=1 ttl=124 id= 18013 win=0 time=169.1 Trong một số trường hợp, các thiết bị kiểm soát truy nhập đơn giản không thể giải quyết được các gói tin bị chia một cách chính xác do đó cho phép các gói tin của ta có thể vượt qua và sẽ tiến hành xác định xem cổng có hoạt động hay không. Chú ý rằng cờ hiệu TCP SYN và TCP ACK sẽ được gửi trở lại khi cổng mở. Hping có thể dễ dàng bị hợp nhất thành các shell script bằng cách sử dụng lựa chọn đếm gói tin –cN với N là số lượng gói gin gửi đi. Mặc dầu phương pháp này không nhanh bằng các thủ thuật quét ICMP ping như đã giới thiệu trong phần trước nhưng nó cũng cần thiết, xét về cấu hình của hệ thống mạng mục tiêu. Chúng ta sẽ tìm hiểu chi tiết hơn về hping trong Chương 11. Công cụ cuối cùng mà chúng ta sẽ tìm hiểu là icmpenum, của Simple Normad (trên http://www.nmrc.org/files/sunix/icmpenum-1.1.1.tgz). Tiện ích này là một công cụ đếm ICMP đơn giản cho phép bạn nhanh chóng xác định các hệ thống đang họat động bằng cách gửi đi các gói tin ICMP ECHO truyền thống, và những yêu cầu ICMP TIMESTAMP REQUEST và ICMP INFO. Do vậy, nếu như đường vào các gói tin ICMP ECHO bị một router hoặc firewall để ngỏ, ta vẫn có thể xác định được các hệ thống có sử dụng loại ICMP thay thế. [shadow] icmpenum –i2 -c 192.168.1.0 192.168.1.1 is up 192.168.1.10 is up 192.168.1.11 is up 192.168.1.15 is up 192.168.1.20 is up 192.168.1.103 is up Trong ví dụ trên, chúng ta đã tiến hành đếm toàn bộ mạng Class C 192.168..1.0 sử dụng một ICMP TIME STAMP REQUEST. Tuy nhiên tính năng thực sự của icmpenum là xác định các hệ thống có sử dụng các gói tin được bảo vệ tránh phát hiện. Thủ thuật này là có hiểu quả bởi icmpenum hỗ trợ tính năng bảo vệ gói tin bằng lựa chọn đối số -s và đợi nghe hiệu lệnh phản hồi bằng khóa chuyển đổi –p. Tổng kết lại, bước thực hiện này giúp chúng ta xác định chính xác hệ thống nào đang hoạt động thông qua ICMP hoặc thông qua những lần quét cổng chọn lọc. Trong số 255 địa chỉ tiềm năng trong Class C, chúng ta đã xác định là một số máy chủ đang hoạt động và sẽ tiếp tục trở thành mục tiêu thăm dò. Do vậy, chúng ta đã giảm đi đáng kể thiết lập mục tiêu, tiết kiệm thời gian thử nghiệm và thu hẹp phạm vi các hoạt động chính. ◙ Các biện pháp đối phó Ping Sweep Mặc dầu Ping sweep có thể là một điều gây khó chịu nhưng ta cũng cần phải thăm dò hoạt động này. Dựa trên mô hình bảo mật của chúng ta, bạn có thể muốn khóa ping sweep. Chúng ta sẽ tìm hiểu cả hai lựa chọn trong phần tiếp theo. Thăm dò Như đã đề cập, ánh xạ mạng thông ...