Đang tải... (xem toàn văn)
xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort Theo mạng an toàn thông tin VSEC (The Vietnamese security network), 70% website tại việt nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bị hacker kiểm soát. Điều này cho thấy chính sách về bảo mật của các hệ thống thông tin của việt nam chưa được quan tâm và đầu tư đúng mức.
LỜI CẢM ƠN Lời đầu tiên tôi xin cảm ơn chân thành và sâu sắc nhất đến Thầy TS. ĐINH ĐỨC ANH VŨ, Thầy đã dành rất nhiều thời gian hướng dẫn tôi một cách tận tâm, sâu sát và giúp tôi vượt qua những thời điểm khó khăn nhất về luận văn này. Tiếp theo tôi xin gởi lời cám ơn chân thành và trân trọng nhất đến quý Thầy, Cô ở HỌC VIỆN BƯU CHÍNH VIỄN THÔNG đã truyền đạt nhiều kiến thức quý báu cho tôi trong suốt quá trình học tập tại đây. Xin gởi lời cám ơn đến Thầy trưởng khoa CNTT TS. TRẦN CÔNG HÙNG, TS. TÂN HẠNH, TS.VÕ VĂN KHANG đã có những góp ý hết sức quý báu cho bản luận văn này. Xin cảm ơn các bạn học, bạn hữu, đồng nghiệp đã có những góp ý và động viên trong suốt thời gian qua, một người bạn, đã góp ý rất nhiều cho luận văn. TP. Hồ Chí Minh, tháng 6-2012 Học viên thực hiện luận văn ĐÀO ANH VŨ - i - LỜI CAM ĐOAN Tôi xin cam đoan đây là công trình nghiên cứu của tôi, với sự hướng dẫn của Thầy TS.ĐINH ĐỨC ANH VŨ. Các kết quả nêu trong luận văn là hoàn toàn trung thực và chưa được công bố trong bất kỳ một công trình nào khác. Học viên thực hiện luận văn ĐÀO ANH VŨ - ii - MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii MỤC LỤC iii DANH MỤC CÁC TỪ VIẾT TẮT iv DANH MỤC CÁC HÌNH v MỞ ĐẦU 9 CHƯƠNG 1: TỔNG QUAN 12 CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG TRÊN MẠNG 16 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS) 44 CHƯƠNG 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬM 62 CHƯƠNG 5: GIỚI THIỆU SNORT RULE 69 CHƯƠNG 6: THỰC NGHIỆM VÀ ĐÁNH GIÁ 74 CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 95 TÀI LIỆU THAM KHẢO 97 - iii - DANH MỤC CÁC TỪ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt VSEC The Vietnamese security network Tờ báo bảo mật mạng ở Việt Nam IDS Intrusion Detection System Phát hiện xâm nhập hệ thống NIDS Network Intrusion Detection System Phát hiện xâm nhập hệ thống mạng DoS Denial Of Service Từ chói dịch vụ IPS Intrusion prevention system Phòng chống xâm nhập hệ thống LAN Local Area Network Mạng cục bộ HIDS Host Intrusion Detection System SYN Synchronize FIN Finish OS Operating System Hệ điều hành TCP Transmission Control Protocol UDP User Datagram Protocol ICMP Internet Control Message Protocol IP Internet Protocol CLI Cisco Command Line Interface PCRE Perl Compatible Regular Expressions ISS hãng Internet Security Systems RAID Recent Advances in Intrusion Detection PERL Perl Programming Language - iv - DANH MỤC CÁC HÌNH Hình 0.1 Nhiệm vụ của một IDS 12 Hình 0.2 Biểu đồ thống kê hệ thống máy tính bị tấn công 13 Hình 1.1 Tình hình phát triển số lượng máy tính trên Internet 15 Hình 1.2 Malware mới xuất hiện mỗi tháng trong năm 2011 16 Hình 2.1 Intrustion Detection system activities 23 Hình 2.2 Intrustion Detection system infrastructure 24 Hình 2.3 Một ví dụ về hệ IDS. Chiều rộng mũi tên tỷ lệ thuận với lượng thông tin di chuyển giữa các thành phần của hệ thống 25 Hình 2.4 Các thành phần chính của 1 hệ IDS 26 Hình 2.5 Mô hình triển khai Host-based IDS agent 27 Hình 2.6 Mô hình triển khai Network- Base IDS 29 Hình 2.7 Mô hình triển khai Sensor kiểu thẳng hàng 31 Hình 2.8 Mô hình triển khai Sensor kiểu thụ động 32 Hình 2.9 Mô hình triển khai Wireless IDS 34 Hình 2.10 Mô hình triển khai trên NBAS 36 Hình 2.11 Mô hình vị trí của Honeypot IDS 37 Hình 2.12 Cơ chế phát hiện sự lạm dụng 44 - v - Hình 2.13 Cơ chế phát hiện sự không bình thường 45 Hình 3.1 Mô hình IPS 47 Hình 3.2 Promicious mode 51 Hình 3.3 Inline mode 52 Hình 3.4 Signature-base 53 Hình 3.5 Anomaly-base 56 Hình 3.6 Policy-base 58 Hình 4.1 Các thành phần của snort 66 Hình 5.1 Cấu trúc một rule trong snort 72 Hình 6.1 Mô hình triển khai snort IDS 78 Hình 6.2 Quản lý snort bằng giao diện đồ họa 81 Hình 6.3 Quản lý rules trên giao diện đồ họa 81 Hình 6.4 Phát hiện xâm nhập trên Base giao diện web 83 Hình 6.5 Phát hiện có người Ping Trong mạng 84 Hình 6.6 Phát hiện chi tiết tín hiệu giao diện đồ họa 84 Hình 6.7 Phát hiện chi tiết tín hiệu giao diện đồ họa 85 Hình 6.8 Chi tiết tín hiệu của attacker giao diện đồ họa 85 - vi - Hình 6.9 Chống SQL injection cho web server 86 Hình 6.10 Phát hiện cảnh báo SQL injection 86 Hình 6.11 Phát hiện tấn công lổ hỏng SQL injection 87 Hình 6.12 Tấn công lổ hỏng bộ lọc SQL injection 87 Hình 6.13 Tín hiệu tấn công lổ hỏng bộ lọc SQL injection 88 Hình 6.14 Chống Ping of Death ( DoS, DDoS ) 88 Hình 6.15 Tín hiệu cảnh báo tấn công ddos 89 Hình 6.16 Chống scanning port trong mạng lan 89 Hình 6.17 Chống Scan và Block IP 90 Hình 6.18 Thử nghiệm khả năng phát hiện tấn công, cấm ping, khóa IP 90 Hình 6.19 Đăng ký account Snort 92 Hình 6.20 Đăng nhập vào hệ thống Sourcefire Snort 92 Hình 6.21 Tạo mật mã truy cập oinkcode 93 Hình 6.22 Cập nhật rules tự động trong snort 95 Hình 6.23 Hệ thống rules trong snort đã cập nhật thành công 96 - vii - DANH MỤC CÁC BẢNG Bảng 2.1: So sánh giữa HIDS và NIDS 30 Bảng 5.1: Quy định các loại giao thức 74 Bảng 5.2: Các từ khóa lựa chọn flags liên quan đến TCP 75 Bảng 5.3: Các từ khóa lựa chọn Itype liên quan đến ICMP 75 Bảng 5.4: Các từ khóa lựa chọn Icode liên quan đến ICMP 76 - viii - MỞ ĐẦU Việc bùng nổ thông tin trên hệ thống mạng toàn cầu đem lại sự thuận lợi cho con người. Giờ đây ta có thể tìm bất cứ thông tin gì trên Internet chỉ bằng vài từ khóa. Song song với những thuận lợi chúng ta cũng phải đối mặt với nhiều thách thức, một trong những thách thức đó là vấn đề virus, tấn công, xâm nhập. Kỹ thuật phát hiện tấn công, xâm nhập ngày càng được chú trọng phát triển, với phương pháp truyền thống là dựa vào mẫu tấn công, xâm nhập đã biết. Phương pháp này cho thấy có nhiều hạn chế khi mà các cuộc tấn công mới xuất hiện mỗi ngày một nhiều. Theo mạng an toàn thông tin VSEC (The Vietnamese security network), 70% website tại việt nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bị hacker kiểm soát. Điều này cho thấy chính sách về bảo mật của các hệ thống thông tin của việt nam chưa được quan tâm và đầu tư đúng mức. Trong bối cảnh đó, việc phát triển và sử dụng các hệ thống phát hiện xâm nhập – IDS ngày càng trở nên phổ biến. Nhiệm vụ của những IDS này là : Hình 0. Nhiệm vụ của một IDS Hệ thống phát hiện xâm nhập có 2 hướng tiếp cận chính là tiếp cận dựa trên phát hiện bất thường và tiếp cận dựa trên dấu hiệu. - 9 - Interne t Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa. Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống. Theo số liệu thống kê từ công ty bảo mật hàng đầu hiện nay Acunetix, thời gian gần đây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75% các cuộc tấn công được thực hiện là ở lớp ứng dụng web). Trong đó hai kĩ thuật tấn công được các hacker sử dụng phổ biến là cross-site scripting và sql injection : Hình1. Biểu đồ thống kê hệ thống máy tính bị tấn công Kiểu tấn công cross-site scripting (hay còn gọi là xss) được các hacker tiến hành bằng cách nhúng các thẻ script vào một url (uniform resource locator) và tìm cách lừa người dùng nhấn vào những liên kết này. Khi đó đoạn mã độc hại này sẽ được thực thi trên máy tính của nạn nhân. Kỹ thuật thực hiện các cuộc tấn công kiểu này không có gì phức tạp và chủ yếu là hacker lợi dụng sự tin cậy giữa người dùng và server (bởi vì các url dường như xuất phát từ nguồn đáng tin cậy) cùng với việc - 10 - [...]... nhau, trong đó các hệ thống phát hiện tấn công, xâm nhập trái phép (IDS) nên được xây dựng để bảo vệ tính toàn vẹn, sẵn sàng, và bảo mật cho hệ thống mạng 1.2 Mục tiêu nghiên cứu của luận văn Luận văn tập trung nghiên cứu và xây dựng hệ thống phát hiện và phòng chống xâm nhập mạng (NIDS) mô phỏng trên phần mềm mã nguồn mở SNORT Xây dựng một hệ thống firewall dựa vào hạ tầng firewall trên linux, chế độ... thông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệu trước khi truyền, ký trước khi truyền, Trong đề tài này chúng ta sẽ đi sâu tìm hiểu về hệ thống phát hiện xâm nhập trái phép trên mạng (NIDS-Network Intrusion Detection System) Đề tài : xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort Với những thành công trên và mặc dù đã rất cố gắng... những rules mới này cho toàn hệ thống Chương 7: Kết luận và hướng phát triển 1.4 - Những đóng góp của luận văn Đưa ra phương pháp xây dựng hệ thống phát hiện xâm nhập và phòng chống xâm nhập mạng - Triển khai trên hệ thống mạng Lan của Trường Cao Đẳng Nghề Ispace - Tổng hợp, phân tích, đánh giá các phương pháp phát hiện tấn công và các kỹ thuật phòng chống xâm nhập trái phép trên mạng - 15 - CHƯƠNG 2:... phát hiện tấn công, xâm nhập, trong đó sẽ đi sâu vào giới thiệu những điểm mạnh, hạn chế và kỹ thuật phát hiện tấn công, xâm nhập dựa vào những mô hình mạng cụ thể Thiết kế các vị trí đặt hệ thống phát hiện tấn công, xâm nhập Đồng thời chương này cũng trình bày các kỹ thuật tấn công, xâm nhập Chương 3: Xây dựng hệ thống ngăn chặn xâm nhập (IPS) Chương 3 trình bày phương pháp xây dựng những đặc trưng... CÔNG VÀ PHÁT HIỆN TẤN CÔNG TRÊN MẠNG Chương 2 trình bày các loại mô hình và phương pháp phát hiện tấn công, xâm nhập, trong đó đi sâu vào giới thiệu những điểm mạnh, hạn chế của kỹ thuật phát hiện tấn công, xâm nhập dựa vào việc giám sát hệ thống ở mức độ host và giám sát ở mức độ network Đồng thời chương này cũng trình bày các kỹ thuật xử lý dữ liệu 2.1 Giới thiệu : Các nghiên cứu về hệ thống phát hiện. .. này xuất phát từ nhiều nguyên nhân khác nhau như lây nhiễm malwares, hacker xâm nhập trái phép, người dùng cuối truy nhập vào các tài nguyên không được phép truy cập [1] 2.2.2 Phát hiện xâm nhập Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu xâm nhập bất hợp pháp” Việc xâm nhập có thể là xuất phát từ... bridge và tầng network kết hợp với phần mềm mã nguồn mở Snort để xây dựng một hệ thống phát xâm nhập mạng (IDS) - 13 - 1.3 Giới thiệu các chương mục của luận văn Chương 1: Tổng quan Giới thiệu tổng quan về bối cảnh lựa chọn đề tài, mục tiêu nghiên cứu và những đóng góp của luận văn Chương 2: Cơ sở lý thuyết tấn công và phát hiện tấn công trên mạng Chương 2 trình bày các mô hình và phương pháp phát hiện. .. ngày càng gia tăng về quy mô lẫn kỹ thuật Một hệ thống mạng ngoài việc lắp đặt firewall để bảo vệ mạng còn cần trang bị hệ thống cảnh báo và phòng chống xâm nhập thời gian thực để kịp thời ngăn chặn các cuộc tấn công có nguy cơ làm tổn hại hệ thống mạng Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soát lối vào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát... biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel [1] Hệ thống phát hiện xâm nhập (IDS) là hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính hay hệ thống mạng máy tính, phân tích để phát hiện ra các vấn đề... những thành phần của một IPS Chương này hết sức quan trọng, chính là cơ sở để phòng chống xâm nhập mạng Chương 4: Triển khai hệ thống phát hiện xâm nhập Trong chương 4 này trình bày cho chúng ta biết về phần mềm mã nguồn mở Snort, các thành phần của snort và các chế độ hoạt động của nó Chương 5: Giới thiệu Snort rule Chương 5 này giới thiệu cho chúng ta biết những thành phần của một rule trong snort, từ . trung nghiên cứu và xây dựng hệ thống phát hiện và phòng chống xâm nhập mạng (NIDS) mô phỏng trên phần mềm mã nguồn mở SNORT. Xây dựng một hệ thống firewall dựa vào hạ tầng firewall trên linux,. Intrusion Detection System). Đề tài : xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort . Với những thành công trên và mặc dù đã rất cố gắng nhưng luận văn. THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG TRÊN MẠNG 16 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS) 44 CHƯƠNG 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬM 62 CHƯƠNG 5: GIỚI THIỆU SNORT RULE 69 CHƯƠNG