Hiện nay, một số tổ chức, doanh nghiệp triển khai song song hai mạng máy tính riêng biệt, gồm mạng máy tính chuyên dùng và mạng máy tính kết nối Internet. Mạng máy tính chuyên dùng được sử dụng để trao đổi các thông tin quan trọng, do đó cần được bảo vệ ở cấp độ cao hơn so với mạng máy tính kết nối Internet.

Để bảo đảm an toàn thông tin (ATTT) cho các mạng máy tính chuyên dùng, một số giải pháp bảo mật được triển khai phổ biến như phần mềm phòng chống mã độc, phần mềm chống thất thoát dữ liệu, hệ thống giám sát lưu lượng mạng độc hại… Trong đó, giải pháp giám sát ATTT dựa trên lưu lượng mạng có ưu điểm như: giám sát, cảnh báo truy vấn tên miền và các hành vi mạng độc hại; quản lý thiết bị theo địa chỉ IP, địa chỉ MAC; cảnh báo thiết bị chưa được quản lý khi kết nối vào mạng, kết nối nhầm mạng.

Hình 1. Một ví dụ về mô hình triển khai hệ thống giám sát lưu lượng mạng cơ bản trong thực tế

Tuy nhiên, bên cạnh các ưu điểm, hệ thống giám sát lưu lượng mạng cũng gặp một số khó khăn trong triển khai, mà nguyên nhân chủ yếu do yêu cầu nhiều thiết bị mạng và cấu hình máy chủ cao. Hình 1 mô tả về một ví dụ hệ thống giám sát lưu lượng mạng cơ bản trong thực tế, nhưng để triển khai thành công cần phải đáp ứng một số yêu cầu về phần cứng tối thiểu như:

- Máy chủ giám sát cấp 2 cần tối thiểu hai card mạng: một card để nhận dữ liệu giám sát từ thiết bị mạng và một card để gửi dữ liệu lên máy chủ giám sát cấp 1.

- Máy chủ giám sát cấp 2 cần cấu hình tương đối cao (phụ thuộc theo chức năng của từng hệ thống).

- Thiết bị mạng để thu thập, gửi dữ liệu lưu lượng mạng cho máy chủ giám sát cấp 2 gồm: Network TAP, Hub hoặc Switch cấu hình được để cấu hình cổng giám sát (Span port).

Các hạn chế nêu trên tồn tại ở nhiều đơn vị cấp cơ sở do nguồn kinh phí đầu tư cơ bản cho hạ tầng công nghệ thông tin còn chưa đáp ứng nhu cầu thực tế. Chính vì vậy, việc triển khai các hệ thống giám sát lưu lượng mạng như Hình 1 là chưa thực sự khả thi đối với nhiều đơn vị cấp cơ sở. Do đó, việc đề xuất một mô hình giám sát ATTT cho các mạng máy tính chuyên dùng giải quyết hài hòa giữa yếu tố an toàn và yêu cầu phần cứng thấp là thực sự cần thiết.

GIÁM SÁT HÀNH VI ĐỘC HẠI THÔNG QUA TRUY VẤN TÊN MIỀN

Truy vấn tên miền độc hại

Tên miền độc hại là các tên miền được sử dụng vào mục đích xấu như lừa đảo, che giấu các IP nhận dữ liệu và ra lệnh điều khiển mã độc (C&C). Trong các dấu hiệu giúp phát hiện hành vi độc hại qua mạng, truy vấn tên miền độc hại là một dấu hiệu quan trọng và được áp dụng hiệu quả trong việc giám sát, ngăn chặn nhiều loại mã độc nguy hiểm, đặc biệt là mã độc kết nối đến máy chủ điều khiển và ra lệnh, phần mềm gián điệp, đánh cắp dữ liệu, mã độc tống tiền.

Các mã độc trên thường kết nối đến C&C với mục đích nhận lệnh, gửi thông tin hoặc gửi dữ liệu đánh cắp ra bên ngoài. Nếu như các C&C sử dụng địa chỉ IP công khai, thì việc bị phát hiện là rất dễ dàng. Chính vì vậy, các C&C thường sử dụng tên miền thay vì sử dụng địa chỉ IP. Việc sử dụng tên miền giúp tin tặc tiết kiệm địa chỉ IP, dễ dàng thay đổi địa chỉ IP của các C&C.

Hình 2. Mô hình DNS SinkHole cơ bản [1]

DNS SinkHole

DNS SinkHole là một kỹ thuật dùng để giám sát, bóc gỡ, ngăn chặn lộ lọt dữ liệu do các mã độc có truy vấn đến tên miền độc hại [1]. Hình 2 thể hiện mô hình chức năng cơ bản của một DNS SinkHole trong việc ngăn chặn không cho mã độc liên lạc và truyền dữ liệu về C&C với ví dụ kịch bản tấn công qua email.

Có thể thấy, việc sử dụng thông tin truy vấn tên miền để làm dấu hiệu giám sát sự cố mất ATTT cơ bản đáp ứng đủ yêu cầu thực tế.

HỆ THỐNG GIÁM SÁT TRUY VẤN TÊN MIỀN

Xuất phát từ các yếu tố nêu trên, nhóm tác giả đề xuất và thử nghiệm một giải pháp giám sát ATTT mạng dựa trên truy vấn tên miền không yêu cầu cấu hình phần cứng cao, phù hợp để triển khai trong thực tế. Các tính năng nổi bật của hệ thống DMS có thể kể đến gồm:

- Giám sát truy vấn tên miền, phân loại các truy vấn tên miền độc hại dựa trên tập tên miền độc hại;

- Hiển thị nội dung giám sát, quản lý tập trung  thông  qua  giao diện ứng dụng web. Đối với các truy vấn đến tên miền độc hại, hiển thị đầy đủ các thông tin chi tiết như thời gian truy vấn, họ và tên/địa chỉ MAC, địa chỉ IP, tên miền độc hại đã truy vấn, cấp độ, mô tả về tên miền độc hại;

- Phân cấp quản lý, giám sát theo tổ chức đơn vị;   

- Xuất báo cáo tùy chọn về thời gian, đơn vị, địa chỉ IP, tên miền;

- Giám sát trạng thái hoạt động của các máy chủ cấp 2 (DMS Client);

- Các chức năng quản lý, thống kê.

Đặc biệt, giải pháp giám sát truy vấn tên miềnDMS không yêu cầu cấu hình phần cứng phức tạp. Để triển khai DMS chỉ cần đáp ứng yêu cầu cơ bản là các máy chủ sử dụng một card mạng mà không cần các thiết bị trích xuất lưu lượng như Network TAP, Hub hoặc Switch (Span port).

MÔ HÌNH TRIỂN KHAI DMS

Hình 3. Mô hình triển khai hệ thống giám sát truy vấn tên miền DMS

Hình 3 trình bày mô hình triển khai của Hệ thống giám sát truy vấn tên miền DMS. Hệ thống DMS triển khai theo mô hình quản lý phân cấp, bao gồm các thành phần:

- DMS Server: Có chức năng nhận và lưu dữ liệu về truy vấn tên miền từ các máy DMS Client; xác định truy vấn tên miền độc hại; hiển thị thông tin chi tiết qua giao diện web và cung cấp các chức năng quản lý cho người dùng.

- DMS Client: Có chức năng hoạt động như một máy chủ DNS nội bộ, nhận được thông tin truy vấn tên miền của tất cả máy trạm trong mạng nội bộ. Nếu tên miền được truy vấn không nằm trong danh sách trắng (white list), gửi thông tin chi tiết về DMS Server.

NGUYÊN LÝ HOẠT ĐỘNG CƠ BẢN

Khi các chương trình (phần mềm hợp pháp, phần mềm độc hại) trong máy tính trạm thực hiện truy vấn tên miền để phân giải địa chỉ IP, thông tin đó được gửi đến máy DMS Client trong cùng mạng. Dịch vụ DNS Server trong máy chủ DMS Client sẽ thực hiện phân giải “Tên miền - Địa chỉ IP” và gửi trả lời thông tin địa chỉ IP về máy tính trạm. Thông tin trả về có thể là địa chỉ IP thực sự nếu đó là tên miền hợp lệ, ngược lại sẽ trả về địa chỉ IP do DNS SinkHole quy định. Đồng thời, các thông tin về truy vấn đó được DMS Client gửi lên DMS Server.

DMS Server nhận được các thông tin liên quan đến truy vấn tên miền, bao gồm: ID của đơn vị, địa chỉ IP, địa chỉ MAC (nếu cùng broadcast domain), tên miền, thời gian. Các thông tin này được lưu vào cơ sở dữ liệu và phân loại. Những truy vấn đến các tên miền độc hại được đối sánh và liệt kê các thông tin chi tiết về máy thực hiện truy vấn, thông tin về mã độc.

Ngoài ra, tại DMS Client có sử dụng bộ lọc Whitelist, chỉ gửi các truy vấn tên miền không có trong Whitelist lên DMS Server giúp giảm tải cho hệ thống.

Ngoài ra, hệ thống còn nhiều tính năng khác phục vụ mục đích quản lý như tạo báo cáo; cập nhật danh sách tên miền, đơn vị - IP, thông tin thiết bị; tình trạng các máy DMS Client.

Hình 4: Kết quả giám sát truy vấn tên miền độc hại

KẾT LUẬN

Bài báo trình bày một giải pháp giám sát ATTT DMS đơn giản, hiệu quả. Hệ thống được triển khai theo mô hình phân cấp, xác định được các máy tính có nhiễm mã độc khi thực hiện truy vấn tên miền. Đặc biệt, hệ thống không yêu cầu nhiều thiết bị mạng và cấu hình các máy DMS Client không cao.

Để ứng dụng mô hình này một cách hiệu quả hơn, có thể bổ sung một số giải pháp như sau: Sử dụng thuật toán so khớp nhanh để xác định tên miền độc hại; Áp dụng kỹ thuật xác định tên miền độc hại được sinh tự động theo kỹ thuật DGA (Domain Generation Algorithms); Ứng dụng các kỹ thuật học máy để xác định tên miền nghi ngờ độc hại (Graylist), từ đó đưa ra cảnh báo sớm. Bên cạnh đó, thử nghiệm triển khai dịch vụ DMS Agent thông qua truy vấn tên miền. DMS Agent được cài đặt trên các máy tính trạm nhằm giám sát thông tin sử dụng USB, thay đổi chính sách ATTT và gửi cảnh báo về DMS Client thông qua truy vấn tên miền. Trong tương lai xa hơn, giải pháp sẽ bổ sung các chức năng quản lý, cảnh báo qua SMS, email.