1 Hoàn cảnh hình thành đề tài
Cuối năm 1999, web site của ĐHQG-HCM bị cracker từ nước ngòai thay đổi bằng một
nội dung phản động ! Đây là hồi chuông cảnh báo đầu tiên về khả năng bị tấn công từ
ngòai vào mạng ĐHQG-HCM và giúp chúng ta cảnh tỉnh về trình độ còn rất non yếu của
nhóm quản trị mạng ĐHQG-HCM về vấn để bảo mật hệ thống.
Sớm nắm được mối hiểm nguy khi kết nối vào Internet và nhận thấy sự cần thiết phải
nâng cao trình độ của cán bộ quản trị mạng, Lãnh đạo ĐHQG-HCM đã phê duyệt đề tài
nghiên cứu trọng điểm cấp ĐHQG về“An tòan và bảo mật hệ thống thông tin”. Nội dung
chính của đề tài là tìm hiểu các phương thức xâm nhập hệ thống của các hacker/cracker
nhằm nâng cao trình độ quản trị mạng và tăng cường khả năng bảo mật cho các máy chủ.
163 trang |
Chia sẻ: hungpv | Lượt xem: 1790 | Lượt tải: 0
Bạn đang xem trước 20 trang nội dung tài liệu Đề tài Báo cáo Tổng quan hỗ trợ bảo mật hệ thống tin học Việt Nam, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
1
THÀNH PHỐ HỒ CHÍ MINH
Tháng 12 năm 2003
ĐỀ TÀI NGHIÊN CỨU ỨNG DỤNG
HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN
CHO CÁC MẠNG TIN HỌC VIỆT NAM
Báo cáo tổng quan
Chủ nhiệm đề tài:
Trịnh Ngọc Minh
Cơ quan quản lý:
Sở Khoa học và Công nghệ
Cơ quan chủ trì:
Trung tâm Phát triển Công nghệ thông tin – ĐHQG-HCM
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
2
BÁO CÁO TỔNG KẾT ĐỀ TÀI NGHIÊN CỨU
“HỖ TRỢ BẢO MẬT HỆ THỐNG THÔNG TIN
CHO CÁC MẠNG TIN HỌC VIỆT NAM”
Thành phố Hồ Chí Minh ngày 9/12/2003
Thực hiện đề tài
KS Phạm Hòang Bảo SaigonCTT
CN Ngô Thư Chí Sao Bắc Đẩu
KS Nguyễn Như Hảo ĐHQG-HCM
CN Trương Thế Khôi SaigonCTT
TS Trịnh Ngọc Minh ĐHQG-HCM
CN Võ Hồng Minh Saigonctt
CN Thái Nguyễn Hòang Nhã Cisco Việt nam
CN Lê Minh Quốc SaigonCTT
CN Nguyễn Hòang Sang SaigonCTT
CN Nguyễn Kim Trang SaigonCTT
SV Nguyễn Anh Tú SaigonCTT
CN Đỗ Mạnh Tiến SaigonCTT
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
3
1 Hòan cảnh hình thành đề tài
Cuối năm 1999, web site của ĐHQG-HCM bị cracker từ nước ngòai thay đổi bằng một
nội dung phản động ! Đây là hồi chuông cảnh báo đầu tiên về khả năng bị tấn công từ
ngòai vào mạng ĐHQG-HCM và giúp chúng ta cảnh tỉnh về trình độ còn rất non yếu của
nhóm quản trị mạng ĐHQG-HCM về vấn để bảo mật hệ thống.
Sớm nắm được mối hiểm nguy khi kết nối vào Internet và nhận thấy sự cần thiết phải
nâng cao trình độ của cán bộ quản trị mạng, Lãnh đạo ĐHQG-HCM đã phê duyệt đề tài
nghiên cứu trọng điểm cấp ĐHQG về “An tòan và bảo mật hệ thống thông tin”. Nội dung
chính của đề tài là tìm hiểu các phương thức xâm nhập hệ thống của các hacker/cracker
nhằm nâng cao trình độ quản trị mạng và tăng cường khả năng bảo mật cho các máy chủ.
Ñeà taøi ñaõ ñöôïc trieån khai trong hôn moät naêm vaø ñöôïc nghieäm thu cuoái naêm 2001 vôùi
keát quaû toát. Noäi dung chính cuûa ñeà taøi laø tìm hieåu caùc phöông thöùc xaâm nhaäp moät heä
thoáng tin hoïc vaø ñeà ra moät soá phöông phaùp phoøng choáng nhö qui trình xaây döïng maùy
chuû an toaøn, moät soá phöông phaùp phaùt hieän backdoor …
Ñeà taøi cuûa ÑHQG chính laø böôùc chuaån bò kyõ thuaät cho pheùp trieån khai ñeà taøi ñang ñöôïc
ñeà caäp. Vôùi nhöõng kieán thöùc, kyõ naêng veà tìm hieåu caùc sô hôû cuûa heä thoáng tích luõy töø ñeà
taøi cuûa ÑHQG-HCM, chuùng ta coù theå tìm ra caùc sô hôû cuûa caùc maïng tin hoïc thoâng qua
Internet, caûnh baùo caùc nhaø quaûn trò maïng thoâng qua caùc thoâng tin “naëng kyù” nhö thoâng
baùo sô hôû vôùi nhöõng baèng chöùng nhö password cuûa admin, thoâng tin taøi khoaûn caù nhaân,
khaû naêng thay ñoåi noäi dung Website …
Töï bieát maïng tin hoïc cuûa mình sô hôû vaø töï söûa chöõa laø moät ñieàu raát khoù khaên. Vôùi hôn
moät naêm nghieân cöùu vaán ñeà baûo maät heä thoáng cuûa moät soá maïng tin hoïc cuûa Vieät nam,
keå caû caùc maïng ISP chuyeân nghieäp nhö VDC, FPT, SaigonNet, Netnam … chuùng toâi
nhaän thaáy heä thoáng maïng cuûa chuùng ta coøn nhieàu sô hôû. Tuy nhieân bieát ñöôïc heä thoáng
maïng cuûa mình bò taán coâng hoaëc ñaõ bò xaâm nhaäp laø moät vaán ñeà khoù khaên, thaäm trí
nhieàu khi raát khoù khaên. Coù hai nguyeân nhaân chính gaây neân khoù khaên treân. Tröôùc tieân
laø vaán ñeà kyõ thuaät, caùc xaâm nhaäp raát ña daïng, phong phuù vaø thay ñoåi nhanh do tieán boä
khoâng ngöøng cuûa kyõ thuaät. Sau ñoù laø trình ñoä kyõ thuaät, yù thöùc veà nguy cô cuûa caùn boä
quaûn trò heä thoáng ña phaàn coøn thaáp. Cuõng phaûi nhaän thaáy raèng baûo ñaûm moät heä thoáng
phöùc taïp, nhieàu döõ lieäu quan troïng laø moät coâng taùc meät nhoïc vaø khoù khaên. Ngöôøi quaûn
trò phaûi ñoïc nhieàu thoâng tin thoâng qua caùc taäp tin log, kieåm tra tính toaøn veïn caùc tieän
ích quan troïng, theo doõi thoâng tin treân Internet, tham gia caùc forum veà security vaø xöû
lyù caùc thoâng tin, thöôøng xuyeân naâng caáp caùc phaàn meàm vaù loã thuûng baûo maät, löu tröõ
(backup) moät caùch heä thoáng… Coâng cuï hoã trôï thöïc söï laø caàn thieát ñoái vôùi coâng taùc naøy.
Caàn thieát coù söï hoã trôï hoaøn toaøn mieãn phí vaø hieäu quaû cuûa Nhaø nöôùc ñoái vôùi caùc maïng
tin hoïc coâng cuõng nhö tö nhaân. Hieän taïi chuùng ta cuõng ñaõ coù moät soá trung taâm hoaït
ñoäng trong lónh vöïc naøy nhö VISC, trung taâm baûo maät heä thoáng Ñaïi hoïc Baùch khoa Haø
noäi... Tuy nhieân thöïc teá cho thaáy ít ñôn vò naøo töï boû ra chi phí ñeå “nhôø” ñôn vò ngoaøi
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
4
xem laïi heä thoáng maïng cuûa mình khi chöùa thaáy hoaëc khoâng bieát maïng cuûa mình bò taán
coâng. Vì vaäy söï hoã trôï mieãn phí ñeå caûnh baùo caùc maïng tin hoïc vaø trôï giuùp quyeát ñònh
ñaàu tö saâu hôn laø thöïc söï caàn thieát. Ñaàu tö giuùp caùc ñôn vò tìm ra ñieåm yeáu cuûa mình
laø hoã trôï thieát thöïc cho phaùt trieån ngaønh CNTT cuûa nöôùc ta.
Nhöõng nhaø quaûn trò maïng caàn coù coâng cuï hoã trôï hieäu quaû cho pheùp phaùt hieän caùc xaâm
nhaäp hoaëc yù ñònh xaâm nhaäp töø ngoaøi. Nhö ñaõ ñeà caäp ôû treân, phaùt hieän xaâm nhaäp laø moät
baøi toaùn khoù vaø chuùng ta caàn coù nhöõng coâng cuï maïnh nhö heä thoáng phaùt hieän xaâm
nhaäp Intrusion Detection System (IDS). Thöïc ra ñaây laø hoï goàm nhieàu caùc coâng cuï phaàn
cöùng vaø phaàn meàm khaùc nhau. Nhoùm nghieân cöùu ñaõ tìm hieåu taøi lieäu, trieån khai thöû
nghieäm, so saùnh tính naêng caùc heä thoáng khaùc nhau vaø ñöa ra caùc khuyeán caùo laø caàn
thieát.
2 Mục tiêu của đề tài
Với các phân tích như ở trên, mục tiêu chính của đề tài nhằm vào các vấn đề sau:
a/ Tìm ra caùc sô sôû cuûa caùc maïng vôùi keát noái tröïc tieáp Internet cuûa Vieät nam
b/ Thoâng baùo cho caùc maïng tin hoïc coù sô hôû loãi cuøng vôùi caùc minh chöùng. Cung caáp
caùc phöông thöùc söûa chöõa nhö download giuùp caùc phaàn meàm vaù loãi, hoaëc chæ daãn caùc
caáu hình söûa chöõa. Kieåm tra loãi sau khi ñaõ söûa chöõa.
c/ Xaây döïng website vôùi möùc ñoä baûo maät cao. Coâng boá moâ hình Website vaø phöông
thöùc xaây döïng cho pheùp caùc ñôn vò ñöôïc trieån khai mieãn phí
d/ Nghieân cöùu so saùnh caùc coâng ngheä IDS cöùng vaø meàm. Ñöa ra caùc khuyeán caùo.
3 Các nội dung chính của đề tài
a/ Khaûo saùt hieän traïng.
Phaàn khaûo saùt hieän traïng seõ goàm 2 phaàn.
Phaàn 1: Thu thaäp thoâng tin veà taát caû caùc maïng tin hoïc cuûa Vieät nam. Maïng tin hoïc Vieät
nam laø nhöõng maïng tin hoïc maø ñieåm keát noái cuûa noù naèm sau caùc coång gateway cuûa
Vieät nam. Noùi moät caùch kyõ thuaät, ñoù laø nhöõng maïng söû duïng heä thoáng ñòa chæ IP cuûa
Internic caáp phaùt cho Vieät nam. Do ñoù, nhöõng maïng tin hoïc coù teân mieàn khoâng keát
thuùc baèng .vn nhöõng ñöôïc truy caäp thoâng qua caùc IP cuûa Vieätnam seõ laø caùc ñoái töôïng
nghieân cöùu.
Caùc thoâng tin thu thaäp seõ bao goàm danh saùch caùc dòch vuï maø maïng ñoù cung caáp ra
ngoaøi, caùc ñaëc ñieåm chuyeân bieät cuûa caùc dòch vuï, heä thoáng maùy chuû vaø caùc phaàn meàm
töông öùng, caùc thieát bò maïng, ñaëc bieät laø caùc thieát bò lieân qua tôùi baûo maät.
Caùc thoâng tin naøy seõ ñöôïc thu thaäp töø nhieàu nguoàn khaùc nhau nhö duøng coâng cuï khaûo
saùt maïng, tra thoâng tin DNS, tra thoâng tin treân trang Web …
Phaàn 2: Thu thaäp thoâng tin veà caùc sô hôû cuûa maïng cuøng caùc kyõ thuaät xaâm nhaäp môùi.
Nhoùm nghieân cöùu caàn ñöôïc caäp nhaät caùc kieán thöùc veà caùc phieân baûn heä ñieàu haønh môùi
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
5
nhö Solaris 9, RedHat Linux 8, Windows Xp … cuøng vôùi caùc thoâng tin lieân quan tôùi caùc
sô hôû môùi ñöôïc phaùt hieän. Caùc kyõ thuaät xaâm nhaäp quan troïng caàn ñöôïc trieån khai thöû
nghieäm taïi caùc maïng tin hoïc maø nhoùm nghieân cöùu ñang laøm vieäc ñeå coù theå naém vöõng
caùc kyõ thuaät naøy. Caùc phieân baûn môùi cuûa heä ñieàu haønh, cuûa trình dòch vuï … caàn ñöôïc
caøi ñaët cho coâng taùc thöû nghieäm. Ngoaøi ra, nhoùm nghieân cöùu caàn phaân coâng nhau ñaêng
kyù vaøo caùc forum chuyeân ngaønh, xöû lyù thoâng tin treân ñoù vaø tìm ra nhöõng thoâng tin môùi
nhaát.
b/ Xaây döïng Web site.
Xaây döïng moät Website chuyeân bieät ñeå phuïc vuï ñeà taøi. Caùc kieán thöùc, coâng ngheä môùi
nhaát veà baûo maät moät website seõ ñöôïc trieån khai. Heä thoáng coång thoâng tin iPortal,
phöông thöïc xaùc thöïc LDAP, Radius, phöông thöùc keát noái an toaøn giöõa maùy chuû döõ
lieäu vaø maùy chuû Web, caùc tieän ích phaùt hieän xaâm nhaäp … seõ ñöôïc trieån khai ñeå coù ñöôïc
moät Web site an toaøn nhaát. Website naøy seõ laø ñoái töôïng ñaàu tieân vaø quan troïng nhaát
cuûa nhoùm nghieân cöùu taán coâng thöû nghieäm. Ngoaøi ra, nhoùm nghieân cöùu seõ môøi roäng raõi
nhöõng ngöôøi quan taâm tôùi baûo veä heä thoáng tin hoïc taán coâng thöû nghieäm Website naøy.
c/ Nghieân cöùu vaø trieån khai thöû nghieäm IDS
Hai coâng ngheä ñaõ ñöôïc nhoùm ñeà taøi nghieân cöùu laø thieát bò IDS cuûa haõng Cisco vaø phaàn
meàm snort treân heä ñieàu haønh Linux hoaëc Sun Solaris. Caùc thieát bò/phaàn meàm naøy ñaõ
ñöôïc trieån khai trong cuøng moät heä thoáng maïng vôùi Website bugsearch cuûa ñeà taøi nhaèm
xem xeùt khaû naêng phaùt hieän xaâm nhaäp thöïc teá cuõng nhö xaâm nhaäp thöû nghieäm cuûa baûn
thaân nhoùm ñeà taøi. Trong quaù trình trieån khai treân thöïc teá, nhoùm döï aùn ñaõ xem xeùt theâm
Internet Security System – ISS. Ñaây laø moät saûn phaåm IDS raát maïnh, ñaày ñuû cuûa haõng
Nokia, ñaõ ñöôïc böu ñieän Haø noäi vaø böu ñieän Tp HCM trieån khai cho 2 Trung taâm cung
caáp dòch vuï Internet môùi cuûa mình.
d/ Doø tìm sô hôû maïng
Sau khi thöïc hieän thu thaäp thoâng tin thoâng qua khaûo saùt hieän traïng, nhoùm nghieân cöùu
ñaõ trieån khai coâng taùc doø tìm caùc sô hôû.
Coâng taùc tìm sô hôû phaûi thoûa maõn caùc tieâu chí sau:
• Khoâng ñöôïc gaây baát cöù moät söï roái loaïn naøo, duø nhoû, trong hoaät ñoäng bình
thöôøng cuûa maïng.
• Khoâng ñöôïc laáy, söû duïng baát kyø baát kyø döõ lieäu naøo cuûa maïng nghieân cöùu
• Caùc baèng chöùng veà sô hôû coù tính thuyeát phuïc cao, ñaëc bieät coù tính nghieâm troïng
cuûa haäu quaû neáu bò xaâm nhaäp cho pheùp phuï traùch kyõ thuaät cuûa caùc heä thoáng
maïng coù theå thuyeát phuïc laõnh ñaïo veà caùc ñaàu tö nhaèm taêng cöôøng an ninh cuûa
maïng tin hoïc cuûa mình.
• Trong tröôøng hôïp maïng ñaõ coù sô hôû, tìm kieám caùc backdoor coù theå coù do caùc
cracker ñaõ laøm tröôùc ñoù. Ñaây laø moät noäi dung coù taàm quan troïng ñaëc bieät vì neáu
maïng ñaõ coù sô hôû thì vôùi xaùc suaát cao laø maïng ñaõ bò xaâm nhaäp vaø bò caøi
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
6
backdoor. Caùc backdoor ñoù coù theå ñöôïc che daáu tính vi vaø thöïc söï nguy hieåm
neáu khoâng phaùt hieän ñöôïc chuùng. Vôùi nhieàu heä thoáng, moät khi moät maùy coù
backdoor thì taát caû caùc thieát bò, phaàn meàm baûo maät ñaét tieàn khaùc cuûa heä thoáng
seõ bò voâ hieäu hoùa.
e/ Nghieân cöùu caùc phöông phaùp baûo veä vaø ñaùnh giaù hieäu quaû.
Sau khi phaùt hieän caùc sô hôû, ñaùnh giaù möùc ñoä nguy hieåm cuûa töøng sô hôû, nhoùm nghieân
cöùu seõ xem xeùt caùc phöông thöùc baûo veä. Caùc giaûi phaùp baûo veä khaùc phuïc sô hôû seõ ñöôïc
thoâng baùo chi tieát tôùi caùc maïng tin hoïc coù vaán ñeà. Trong khaû naêng cho pheùp, nhoùm
nghieân cöùu seõ taûi veà vaø chuyeån giao caùc phaàn meàm caàn thieát cho ñoái töôïng nghieân cöùu
cuøng vôùi caùc khuyeán caùo.
f/ Ñaøo taïo vaø chuyeån giao coâng ngheä.
Nhoùm nghieân cöùu seõ toå chöùc moät moät hoäi thaûo roäng raõi cho khoaûng 50 laõnh ñaïo vaø
chuyeân vieân IT vaø moät lôùp taäp huaán cho 20 quaûn trò vieân maïng tin hoïc, ñaëc bieät laø cho
caùc coâng ty ñaõ phoái hôïp chaët cheõ vôùi nhoùm nghieân cöùu, nhaèm naâng cao trình ñoä baûo veä
heä thoáng cuûa caùc caùn boä quaûn trò maïng. Chi phí cuûa caùc hoaït ñoäng naøy ñaõ ñöôïc döï truø
trong kinh phí cuûa ñeà taøi.
4 Các kết quả nghiên cứu đạt được
4.1 Khảo sát hệ thống địa chỉ IP cùng tên miền của các máy tính
nối mạng Internet của Việt nam
4.1.1 Phương pháp khảo sát
Lấy danh sách các tên miền của Việt nam. Hiện nay, các máy chủ tên miền của
Việt nam không cho phép thực hiện chức năng list cho phép xem các record của
tên miền. Vì vậy, nhóm triển khai phải sử dụng các nguồn thông tin thu thập từ
nhiều nguồn khác nhau và được một danh sách như trong bảng sau.
Phương pháp tiếp theo để thu thập các địa chỉ IP của Việt nam là thông qua các
thông tin của Internic về các AS đã phân bổ cho Việt nam. Sử dụng thông tin
này, chúng ta có được thông tin chính xác về các địa chỉ IP của Việt nam, nhưng
sử dụng các địa chỉ này gặp khó khăn lớn là có rất nhiều địa chỉ chưa sử dụng
và việc quét hết danh sách này tốn rất nhiều thời gian và đường truyền. Thêm
nữa đa phần các địa chỉ IP của chúng ta không có phân giải ngược IP về tên
miền nên nhiều khi nhóm dự án phát hiện sơ hở của máy chủ nhưng không xác
định được máy chủ thuộc đơn vị/công ty nào.
Nhóm dự án xây dựng một chương trình ngắn để phân giải ngược tự động các
địa chỉ IP của Việt nam.
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
7
4.1.2 Kết quả thực hiện được
• Xác định rõ các địa chỉ IP của các mạng tin học Việt nam
• Tổ chức “quét” (scan) số lượng lớn các địa chỉ IP của Việt nam nhằm tìm ra
các sơ hở dựa trên các lỗi đã được công bố trên Internet. Đặc biệt, chúng tôi
có quan tâm đặc biệt tới các địa chỉ của các mạng quan trọng như Webcity,
VDC, SaigonNet, Netnam …
Các kết quả trên được trình bày cụ thể trong các phần sau.
4.2 Tìm hiểu các dịch vụ triển khai trên các máy chủ của các
mạng tin học Việt nam,
Cơ sở dữ liệu các địa chỉ IP cùng với các thông tin về dịch vụ đang mở trên từng IP là rất
quan trọng, cho phép chúng ta nhanh chóng xác định khả năng bị xâm nhập đối với một
máy tính. Giả sử ta có được thông tin từ Internet về một kiểu sơ hở, ta có thể tìm trong cơ
sở dữ liệu này địa chỉ IP có sơ hở tương ứng và nhanh chóng tiến hành xâm nhập thử
nghiệm xem có thể hiện thực hóa xâm nhập được hay không.
Theo thông tin từ APNIC, tổ chức quản lý Internet tại châu Á, Việt nam chúng ta có 3
vùng AS (Autonomous System) ( và khỏang 83456 IP
Việc “quét” tòan bộ tất cả các IP trên là một công việc lớn và làm ảnh hưởng nhiều tới
mạng của máy đi quét cũng như máy bị quét. Nhóm nghiên cứu đã phải tực hiện chủ yếu
các thao tác này vào nghỉ cuối tuần và ban đêm. Chiến lược “quét” của chúng tôi là dò
tìm tất cả các port trên một số mạng quan trọng, các IP quen biết và dò tìm một số cổng
dịch vụ phổ biến cho các IP khác.
Cụ thể là công tác dò tìm các port cơ bản được thực hiện cho
203.113.128.0 (8192)
203.160.0.0 (512)
203.161.0.0 (1024)
203.162.0.0 (4096)
apnic VN asn 18403 1 20030103 allocated
apnic VN asn 7552 1 20021008 allocated
apnic VN asn 7643 1 19971014 allocated
apnic VN ipv4 203.113.128.0 8192 20020904 allocated
apnic VN ipv4 203.160.0.0 512 19940923 assigned
apnic VN ipv4 203.161.0.0 1024 19950308 allocated
apnic VN ipv4 203.162.0.0 2048 19950809 allocated
apnic VN ipv4 203.162.128.0 4096 20010718 allocated
apnic VN ipv4 203.162.144.0 4096 20021105 allocated
apnic VN ipv4 203.162.16.0 4096 19981123 allocated
apnic VN ipv4 203.162.160.0 8192 20021105 allocated
apnic VN ipv4 203.162.32.0 8192 19981123 allocated
apnic VN ipv4 203.162.64.0 16384 20010718 allocated
apnic VN ipv4 203.162.8.0 2048 19981102 allocated
apnic VN ipv4 203.210.128.0 16384 20021105 allocated
apnic VN ipv4 210.245.0.0 8192 20020806 allocated
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
8
203.162.16.0 (12288)
203.162.64.0 (32768)
203.210.128.0 (16384)
210.245.0.0 (8192)
Tỷ lệ IP đã scan được khỏang 80 % của tòan bộ vùng IP trên.
Dò tìm rộng các port từ 1 đến 65535 cho các vùng IP
203.162.0.0(4096)
203.162.17.0/24
203.162.53.0/24
203.162.57.0/24
203.162.97.0/24
203.113.131.0/24
Tỉ lệ IP đã scan của vùng này 11.35%
Cùng với dò tìm các sơ hở một cách đại trà trên mạng, nhòm nghiên cứu cũng đã thực
hiện việc phân giải tên của các IP để biết chủ sở hữu của các IP. Với một phần mềm nhỏ,
nhóm nghiên cứu đã thử cho tất cả các địa chỉ IP nhưng chi phân giải được 783 địa chỉ,
chiếm 0,94 %. Nguyên nhân của kết quả này là rất nhiều địa chỉ IP chưa sử dụng, địa chỉ
IP dùng cho kết nối động qua dial-up, ADSL; IP dùng cho kết nối routers; và rất nhiều
tên miền không có phân giải ngược IP-> tên trong Cơ sở dữ liệu DNS. Phụ lục B sao
trính một phần các địa chỉ IP có tên miền tương ứng.
Các tiện ích được sử dụng để tiến hành thăm dò các dịch vụ đang họat động trên một
máy chủ là
• Trên Windows: SuperScan (thích hợp khi cần scan nhanh)
• Trên Unix: nmap, nessus
Kết quả thăm dò các mạng khá dài (trên 2000 trang), do đó nhóm đề tài chỉ xin trích đoạn
một số kết quả làm ví dụ:
203.113.142.14
Service Severity Description
telnet (23/tcp) Info Port is open
general/udp Low For your information, here is the traceroute to 203.113.142.14 :
192.168.20.2
192.168.20.2
192.168.20.2
203.113.142.14
telnet (23/tcp) Low An unknown service is running on this port.
It is usually reserved for Telnet
telnet (23/tcp) Low Remote telnet banner :
User Access Verification
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
9
Password:
general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to
predict the next value of the ip_id field of the ip packets sent by this host.
An attacker may use this feature to determine if the remote host sent a packet in reply
to another request. This may be used for portscanning and other things.
Solution : Contact your vendor for a patch
Risk factor : Low
general/tcp Low The remote host does not discard TCP SYN packets which have the
FIN flag set.
Depending on the kind of firewall you are using, an attacker may use this flaw to
bypass its rules.
See also :
Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
general/tcp Low Remote OS guess : Cisco 801/1720 running 12.2.8
CVE : CAN-1999-0454
telnet (23/tcp) Low The Telnet service is running.
This service is dangerous in the sense that it is not ciphered - that is, everyone can
sniff the data that passes between the telnet client and the telnet server. This includes
logins and passwords. You should disable this service and use OpenSSH instead.
(www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
Page 7
Network Vulnerability Assessment Report 05.08.2003
CVE : CAN-1999-0619
203.113.142.2
Service Severity Description
telnet (23/tcp) Info Port is open
telnet (23/tcp) Low The Telnet service is running.
This service is dangerous in the sense that it is not ciphered - that is, everyone can
sniff the data that passes between the telnet client and the telnet server. This includes
logins and passwords.
You should disable this service and use OpenSSH instead. (www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
CVE : CAN-1999-0619
general/tcp Low The remote host does not discard TCP SYN packets which
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
10
have the FIN flag set. Depending on the kind of firewall you are using, an
attacker may use this flaw to bypass its rules.
See also :
Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
general/udp Low For your information, here is the traceroute to 203.113.142.2 :
192.168.20.2
192.168.20.2
192.168.20.2
192.168.20.2
?
192.168.20.2
192.168.20.2
192.168.20.2
203.113.142.2
general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to
predict the next value of the ip_id field of the ip packets sent by this host.
Page 8
Network Vulnerability Assessment Report 05.08.2003
An attacker may use this feature to determine if the remote host sent a packet in reply
to another request. This may be used for portscanning and other things.
Solution : Contact your vendor for a patch
Risk factor : Low
general/tcp Low Remote OS guess : Cisco X.25/TCP/LAT Protocol Translator ver
8.2(4)
CVE : CAN-1999-0454
203.113.142.30
Service Severity Description
telnet (23/tcp) Info Port is open telnet (23/tcp) Low The Telnet service is running.
This service is dangerous in the sense that it is not ciphered - that is, everyone can
sniff the data that passes between the telnet client and the telnet server. This includes
logins and passwords.
You should disable this service and use OpenSSH instead.
(www.openssh.com)
Solution : Comment out the 'telnet' line in /etc/inetd.conf.
Risk factor : Low
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
11
CVE : CAN-1999-0619
general/tcp Low The remote host uses non-random IP IDs, that is, it is possible to
predict the next value of the ip_id field of the ip packets sent by this host.
An attacker may use this feature to determine if the remote host sent a packet in reply
to another request. This may be used for portscanning and other things.
Solution : Contact your vendor for a patch
Risk factor : Low
general/udp Low For your information, here is the traceroute to 203.113.142.30 :
192.168.20.2
192.168.20.2
203.113.142.30
telnet (23/tcp) Low A telnet server seems to be running on this port
general/tcp Low Remote OS guess : Cisco 3600 running IOS 12.2(6c)
CVE : CAN-1999-0454
Page 10
Network Vulnerability Assessment Report 05.08.2003
telnet (23/tcp) Low Remote telnet banner :
User Access Verification
Username:
general/tcp Low The remote host does not discard TCP SYN packets which have the
FIN flag set. Depending on the kind of firewall you are using, an
attacker may use this flaw to bypass its rules.
See also :
Solution : Contact your vendor for a patch
Risk factor : Medium
BID : 7487
(Ngắt trích đọan ở đây …)
4.3 Các sai sót tìm thấy và có thể bị khai thác tại mạng tin học
Việt nam
Sau khi “quét” một cách hệ thống các địa chỉ IP của Việt nam và biết được các dịch vụ
mà các máy tính đang sử dụng, nhóm đề tài lựa chọn và xâm nhập thử nghiệm các máy
tính này. Kết quả thử nghiệm được trình bày ở phần sau. Với mỗi máy bị xâm nhập,
chúng tôi cố gắng xác định chủ nhân của máy, miêu tả hệ điều hành, các lỗi mà qua đó ta
có thể xâm nhập hệ thống và một số sao chép từ màn hình minh họa cho xâm nhập thành
công của nhóm đề tài. Các màn hình minh học dạng copy màn hình khôg được in ở đây
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
12
vì quá dài. Nhóm dự án sẽ kèm theo những tập tin trên đĩa CDROM để minh họa khi cần
thiết.
Các thông tin liên quan tới sơ hở, đọan chương trình cho phép khai thác sơ hở (exploit
code) được nhóm nghiên cứu tra cứu chủ yếu ở các website sau :
1) 203.162.57.227 (Suntest.vnnic.net)
a. Hệ điều hành: Solaris 8
b. Hostname: Suntest
c. Lỗi remote:
i. Telnetd exploit trên Solaris cho các version 2.6, 2.7, 2.8
ii. Exploit code đã được công bố trên internet khá lâu
iii. Dùng exploit code trên máy Linux từ xa có thể chiếm được shell với quyền của user
bin
d. Lỗi local
i. priocntl exploit trên Solaris với cấu trúc lệnh 64 bit
ii. Lỗi này cũng đã được thông báo trên internet
iii. Khai thác thành công đem lại root shell
iv. Kết quả:
1. tạo file /etc/.bugsearch
2. copy file /etc/passwd, /etc/shadow
( Exploit code, /etc/passwd,/etc/shadow và màn hình copy đính kèm ).
2) 203.162.53.51 ( Stelecom)
Upload by Kenhdaihoc.com
Đề tài khoa học Hỗ trợ bảo mật các hệ thống tin học Việt nam
13
a. Hệ điều hành: Solaris 6.0
b. Hostname: hrl (local hostname), local IP
# /usr/sbin/ifconfig -a
lo0: flags=849 mtu 8232
inet 127.0.0.1 netmask ff000000
pnet0: flags=863 mtu
1500
inet 10.1.11.11 netmask ffffff00 broadcast 10.1.11.255
ether 8:0:20:a5:d7:82
pnet1: flags=863 mtu
1500
inet 10.1.11.14 netmask ffffff00 broadcast 10.1.11.255
ether 8:0:20:a5:d7:83
c. Lỗi remote: Telnetd, mật khẩu yếu
- Xâm nhập thành công qua 2 user: hrl và oms, user root không login từ xa được.
- Có thể khai thác lỗi của telnetd và chiếm được remote shell dưới quyền user bin
d. Lỗi local
- Thử su và dò thành công password root
- Có thể khai thác lỗi local xlock overflow
e. Các server lân cận bị khai thác
i. oms1.lgic.co.kr (10.1.11.12)
1. hostname: oms1
2. local IP: 10.1.11.12
3. hệ điều h
Các file đính kèm theo tài liệu này:
- Báo cáo tổng quan đề tài hỗ trợ mạng tin học việt nam.pdf