Theo nghĩa đen thì honeypot là một hủ mật để bẫy côn trùng như câu thành ngữ của Việt Nam là “ mật ngọt chết ruồi”. trong môi trường an toàn thông tin thì honeyot còn được gọi là decoy server, một máy chủ giả mạo với những lổ hỗng bảo mật được cố tình dựng lên nhằm đánh lừa các hacker, khi họ tấn công vào những hệ thống này sẽ bị dính bẫy và có khả năng bị truy lùng hay lưu lại các phương pháp tấn công mới dùng để dò tìm những trojan hay các mạng botnet nguy hiểm đang hoạt động. Nếu có nhiều máy tính giả được dựng lên để đánh lừa hacker thì hệ thống này được gọi là honeynet.
Có khá nhiều phần mềm được dùng để xây dựng các honeypot hay honeynet như dịch vụ honeyd, phần mềm kfsensor hoặc các bạn có thể tự mình triển khai một hệ thống hoenypot bằng cài đặt một máy chủ trên nền windows hay linux với những dịch vụ mà các hacker quan tâm như ftp, web server và bật các chế độ cảnh báo, ghi nhật kí đầy đủ nhằm lưu lại các dấu vết mà hacker để lại khi xâm nhập hệ thống. Một nguyên tắt khi triển khai các hệ thống này là hãy làm sao càng giống hệ thống thật càng tốt, vì như vậy càng dễ đánh lừa những kẻ tấn công hơn.
Trong quá trình tìm kiếm nguồn gốc tấn công của những mạng botnet thì các chuyên gia bảo mật cũng thường dùng các honeypot để tự lây nhiễm virus, torjan rồi cài đặt các chương trình giám sát nhằm theo dõi những kết nối hay hành động bất thường đến một website hay địa chỉ IP nào đó, rồi từ đó sẽ lần thoe những dấu vết khả nghi trên. Đa số cá hacker bị phát hiện theo cách này vì thiếu kinh nghiệm hay do chủ quan, họ thường sử dụng máy tính ở nhà để điều khiển hoặc các náy tính ở những nơi quen thuộc, trong quá trình tấn công thì ít khi dùng các biện pháp che dấu như ẩn danh nên việc bị lộ chân tướng là điều không tránh khỏi. Vì vậy có một nhận xét khá thú vị về các hacker đó là “Nếu bạn là một hacker giỏi thì mọi người đều biết đến bạn. Còn nếu như bạn là một hacker xuất sắc thì sẽ không ai biết đến bạn!
Các Kỹ Thuật Phòng Tránh Fireall Và Honeypot
“Võ quýt dày có móng tay nhọn”, ý nói các hacker luôn tìm kiếm những cách thức vượt qua sự kiểm soát của những hệ thống phòng thủ và dò tìm. Một trong những cách thức vượt qua sự kiểm soát của firewall hiệu quả là đứng từ vùng tin cậy trusted-zone để tiến hành tấn công. Ví dụ như trong một mô hình lab được xây dựng bởi hacker mũ trắng Mati Aharoni (thành viên sáng lập dự án BackTrack) thì ông ta đã trình diễn cách thức vượt qua hệ thống firewall back – to – back bằng cách gởi email chứa trojan đến cho một nhận viên kinh doanh của doanh nghiệp để yêu cầu bảng báo giá dịch vụ. Khi nhân viên này mở thư sẽ bị nhiễm trojan và trojan này sẽ đứng từ bên trong mạng tải các công cụ từ một website ở bên ngoài hệ thống, do máy tính này ở trong mạng nội bộ nên firewall đã cho phép truy cập. Tiếp theo, các công cụ tải về sẽ tạo ra một kết nối được bao bọ bằng một gia thức khác để qua mặt firewall, vụ thể là hacker trên muốn kiểm sao1t màn hình máy tình của nhân viên kinh doanh này thông qua cổng 3389 của dịch vụ remote desktop, nhưng firewall không cho phép những kết nối đến các máy tính nhân viên qua cổng 3389 do đó giải pháp đưa ra là bọc giao thức sử dụng cổng 3389 bằng một giao thức được firewall cho phép thường là HTTP (80) hay SSH (22). Kỹ thuật này được gọi là tunneling, một phương pháp vượt firewall rất hiệu quả hiện nay.
SSH Tunneling
Trong vai trò quản trị hệ thống hay chuyên viên hỗ trợ kỹ thuật, đôi khi chúng ta cần kết nối từ máy tính trong văn phòng đến các máy tính ở nhà hoặc ở các chi nhánh để tiến hành các thao tác xử lý sự cố họăc hổ trợ kỹ thuật nào đó thông qua các chương trình như VNC,Terminal Service hay RAdmin. Tuy nhiên khi công ty sử dụng Firewall như ISA, CheckPoint để bảo vệ hệ thống và kiểm sóat các luồng dữ liệu vào và ra một cách chặt chẽ thì ta sẽ gặp trở ngại lớn. Chúng ta không thể (hoặc không có quyền) mở các TCP
Port 4899 (Radmin), hay 5900 (VNC) để thực hiện các kết nối của mình. Vậy làm cách nào để chúng ta vẫn có thể hòan thành được công việc mà vẫn đảm bảo chính sách bảo mật của công ty không bị thay đổi?
Cho dù hệ thống của bạn có các Firewall bảo vệ thì các TCP Port quan trọng như 110 (pop3), 80 (http), 21 (ftp), 22 (ssh) vẫn thường mở để tiến hành các công việc cần thiết như duyệt web, e-mail.. đặc biệt TCP Port 22 của dịch vụ SSH có chức năng mã hóa phiên truyền thường được các firewall ưu ái cho qua, và chúng ta sẽ dựa vào dịch vụ này để tạo ra một SSH Tuneling đáp ứng cho công việc của mình.
Ta cần có ssh server cài trên các máy ở xa (remote computer), ssh client trên máy điều khiển (local computer) và những chương trình remote control như VNC, Terminal Services hay RAdmin. Trong phần này tôi sẽ dùng một chường trình rất thông dụng là RAdmin (ngòai ra VNC cũng là một phần mềm remote control 5 sao miễn phí rất được ưa thích, cách thực hiện tương tự chỉ khác là ta phải dùng TCP Port 5900 thay cho 4899). Cài SSH Server trên remote computer thông qua Cygwin
Nếu máy tính cần điều khiển chạy các hệ thống như Linux thì bạn có thể tải về các gói openSSH từ http://sourceforge.net (thông thường trên các bản Redhat, FC hay Mandrake đã có sẳn openSSH trên bộ đĩa source (ta chỉ cần vào Add/Remote Application và chọn gói openSSH để cài đặt SSH Server. Còn nếu như các máy xa dùng hệ điều hành Windows thì các bạn có thể cài Tectia SSH Server hay phần mềm Freeware Win_Open- SSH (tải về từ http://are-peace.co /v2/download. php ). Trong phần này tôi trình bày giải pháp cấu hình SSH Server dựa trên phần mềm tạo môi trường Linux trên Windows là CYGWIN.
Cygwin là một phần mềm tuyệt vời có thể tạo một môi trường linux-like giúp các bạn muốn nghiên cứu Linux nhưng ngại cài đặt và vẫn dùng hệ thống Windows hiện có của mình. Cygwin có thể được cài trực tiếp từ Internet rất dễ dàng, mặc dù không phải là một môi trường Linux thuần túy nhưng cũng giúp các bạn nắm được các cấu trúc và dòng lệnh của Linux nhanh chóng. Các thông tin tham khảo và cài đặt cygwin có thể xem ở http://cygwin. com.
Tổng Kết
Qua chương này chúng ta đã nắm về các hệ thống phòng thủ quan trọng như firewall, honetpot hay IDS cùng với những chức năng của chúng. Mỗi hệ thống có những đặc trưng riêng vì vậy khi ứng dụng vào hệ thống chúng ta cần có sự thiết kế hợp lý để việc triển khai mang lại hiệu quả cao. Bên cạnh đó là những kỹ thuật mà hacker dùng để vượt qua các sự kiểm soát này mà các bài thi của CEH thường đề cập như tunnling, session splicing …