Khái niệm
Session Hijacking là một chủ đề thú vị trong số các kịch bản tấn công. Nó cơ bản là chiếm quyền điều khiển các phiên bằng cách chặn giao tiếp giữa các máy chủ. Kẻ tấn công thường chặn giao tiếp để có được vai trò của người dùng đã xác thực hoặc mục đích tấn công Man-in-the-Middle.
Giả sử một phiên TCP đã được xác thực giữa hai máy chủ. Kẻ tấn công chặn phiên và tiếp quản phiên được xác thực hợp pháp. Khi quá trình xác thực phiên hoàn tất và người dùng được phép sử dụng các tài nguyên như dịch vụ web, giao tiếp TCP hoặc các tài nguyên khác, kẻ tấn công sẽ lợi dụng phiên được xác thực này và tự đặt mình vào giữa người dùng đã xác thực và máy chủ.
Quá trình xác thực chỉ bắt đầu khi bắt đầu phiên TCP, sau khi kẻ tấn công chiếm đoạt thành công phiên đã xác thực, lưu lượng truy cập có thể được giám sát hoặc kẻ tấn công có thể nhận được vai trò của người dùng xác thực hợp pháp. Việc chiếm quyền điều khiển phiên trở nên thành công do ID phiên yếu hoặc không bị chặn khi nhận ID phiên không hợp lệ.
Sự khác nhau giữa Spoofing và Hijacking ?
Sự khác biệt chính giữa Spoofing và Hijacking là phiên hoạt động. Trong một cuộc tấn công giả mạo, kẻ tấn công giả mạo là một người dùng khác bằng cách mạo danh để có được quyền truy cập. Kẻ tấn công không có bất kỳ phiên hoạt động nào mà bắt đầu một phiên mới với thông tin đánh cắp.
Còn Hijacking về cơ bản là quá trình chiếm quyền kiểm soát phiên hoạt động hiện có giữa người dùng đã xác thực và máy chủ đích. Kẻ tấn công sử dụng phiên được xác thực của người dùng hợp pháp mà không bắt đầu phiên mới với mục tiêu.
Các kỹ thuật chiếm quyền điều khiển phiên
- Stealing (lấy cắp ID phiên): Referrer attack network sniffing, Trojans,…
- Guessing (đoán ID phiên): quan sát thay đổi, tính toán ID hợp lệ, số hiệu tuần tự
- Brute-Forcing (dò thông tin đăng nhập): được thực hiện khi kẻ tấn công có được thông tin về phạm vi của Session ID
Quy trình chiếm quyền điều khiển phiên
- Sniffing: Kẻ tấn công cố gắng chen vào giữa nạn nhân và mục tiêu để đánh hơi gói tin.
- Monitoring: Giám sát luồng lưu lượng giữa nạn nhân và mục tiêu.
- Session Desynchronization: Phá vỡ kết nối giữa nạn nhân và mục tiêu.
- Session ID: Kẻ tấn công chiếm quyền kiểm soát phiên bằng cách dự đoán ID phiên.
- Command Injection: Sau khi chiếm quyền phiên thành công, kẻ tấn công bắt đầu tiêm các lệnh.
Session Hijacking trong mô hình OSI
- Network Level Hijacking: chiếm quyền điều khiển phiên của lớp mạng như phiên TCP hoặc UDP.
- Application Level Hijacking: chiếm quyền điều khiển lớp Ứng dụng, chiếm quyền điều khiển phiên HTTPS.
Các hình thức tấn công Session Hijacking
Tấn công chủ động
Session Hijacking chủ động là việc đánh chặn ngay trong phiên hoạt động. Kẻ tấn công có thể gửi các gói tin đến máy chủ để thao túng những người dùng hợp pháp. Kết quả là người dùng hợp pháp bị ngắt kết nối.
Tấn công bị động
Một cuộc tấn công thụ động bao gồm giám sát giao tiếp giữa các máy chủ để phục vụ mục đích chiếm quyền điều khiển phiên mà không gửi bất kỳ gói nào.
Biện pháp đối phó
Giảm thiểu các cuộc tấn công Session Hijacking bao gồm phát hiện và đối phó bằng các quy trình thủ công và tự động. Triển khai công nghệ chuyên sâu về quốc phòng, các thiết bị giám sát mạng như Hệ thống phát hiện xâm nhập (IDS) và Hệ thống ngăn chặn xâm nhập (IPS) là quy trình phát hiện tự động. Có một số công cụ dò tìm packet có sẵn có thể được sử dụng để phát hiện thủ công.
Mã hóa phiên và giao tiếp bằng Secure Shell (SSH), sử dụng HTTPS thay vì HTTP, sử dụng ID phức tạp, thời gian chờ và xác thực mạnh như Kerberos sẽ hữu ích để ngăn chặn và giảm thiểu Session Hijacking. Sử dụng IPsec và SSL cung cấp khả năng bảo vệ mạnh mẽ hơn.
IPSec
IPSec là viết tắt của IP security được sử dụng để bảo mật lưu lượng IP chung. Sức mạnh của IPsec nằm ở khả năng hỗ trợ nhiều giao thức và thuật toán. Nó cũng kết hợp những tiến bộ mới trong giao thức mã hóa và băm. Mục tiêu chính là cung cấp CIA (bảo mật, toàn vẹn và xác thực) cho virtual networks trong các môi trường mạng hiện tại. IPSec đảm bảo các đối tượng luôn hoạt động trong thời gian gói tin đi qua đường hầm VPN đến đích.
- Confidentiality: IPSec sử dụng các giao thức mã hóa cụ thể là AES, DES và 3DES để cung cấp tính bảo mật.
- Integrity: IPSec sử dụng các giao thức băm (MD5 và SHA) để cung cấp tính toàn vẹn. Xác thực tin nhắn băm (HMAC) cũng có thể được sử dụng để kiểm tra tính toàn vẹn của dữ liệu.
- Authentication algorithms: Chữ ký số RSA và khóa chia sẻ trước (PSK) là hai phương pháp được sử dụng cho mục đích xác thực.
Các thành phần của IPsec
- Trình điều khiển IPsec
- Trao đổi khóa Internet (IKE)
- Giao thức quản lý khóa của Hiệp hội bảo mật Internet
- Oakley
- Đại lý chính sách IPsec
Các chế độ của IPsec
IPSec Tunnel Mode
Là chế độ mặc định trong các thiết bị Cisco, chế độ đường hầm bảo vệ toàn bộ gói IP của thiết bị gốc. Nó có nghĩa là với mọi gói tin gốc, một gói tin khác được tạo với IP mới và gửi qua mạng không đáng tin cậy đến mạng ngang hàng VPN nằm ở một đầu khác của kết nối logic.
Chế độ đường hầm thường được sử dụng trong trường hợp VPN Site-to-Site trong đó hai cổng IPSec bảo mật được kết nối qua internet công cộng bằng kết nối IPSec VPN. Hãy xem xét sơ đồ sau:
Chế độ đường hầm IPSec với ESP header:
Tương tự, khi AH được sử dụng; định dạng gói IP mới sẽ là:
IPsec Transport Mode
Trong chế độ truyền tải, IPsec VPN bảo mật trường dữ liệu hoặc payload của lưu lượng IP gốc bằng cách sử dụng mã hóa, băm hoặc cả hai. Header IPsec mới chỉ gói gọn phần payload trong khi header IP ban đầu không thay đổi.
Chế độ đường hầm được sử dụng khi các gói IP gốc đều là địa chỉ nguồn và địa chỉ đích của các IPsec an toàn. Ví dụ, đảm bảo lưu lượng quản lý của bộ định tuyến là một ví dụ hoàn hảo về việc triển khai IPsec VPN bằng cách sử dụng chế độ truyền tải. Cả hai chế độ đường hầm và vận tải đều được xác định trong cấu hình của bộ biến đổi.
Biểu đồ này hiển thị chế độ truyền tải IPsec với ESP header:
Tương tự, trong trường hợp AH:
Pingback: Giới thiệu về Certified Ethical Hacker v10 (Tiếng Việt) - CRF Blogger
Pingback: Giới thiệu CEH v10 Tiếng Việt (Certified Ethical Hacker) - CRF Blogger