Đang tải... (xem toàn văn)
Báo cáo kết quả thực tập tốt nghiệp đề tài kiểm thử an ninh mạng chuyên nghành cử nhân công nghệ thông tin
ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC SƯ PHẠM KHOA TIN HỌC BÁO CÁO KẾT QUẢ THỰC TẬP TỐT NGHIỆP ĐỀ TÀI: KIỂM THỬ AN NINH MẠNG CHUYÊN NGÀNH: CỬ NHÂN CÔNG NGHỆ THÔNG TIN Giảng viên hướng dẫn: PGS.TS Trần Quốc Chiến Sinh viên thực hiện:Trương Quang Khoa Địa điểm thực tập: VDC Training – VDC3 ĐÀ NẴNG – Năm 2013 TRƯƠNG QUANG KHOA-09CNTT3 Page 1 LỜI CẢM ƠN Trong đợt thực tập vừa qua, em đã nhận được sự hướng dẫn, giúp đỡ và động viên tận tình từ nhiều phía. Tất cả những điều đó đã trở thành một động lực rất lớn giúp em có thể hoàn thành tốt mọi công việc được giao. Với tất cả sự cảm kích và trân trọng, em xin được gửi lời cảm ơn đến tất cả mọi người. Lời đầu cho em được gửi lời cảm ơn đến Ban lãnh đạo Trung tâm đào tạo và phát triển nguồn nhân lực VDC Training – Chi nhánh Đà Nẵng đã tạo điều kiện cho em được tham gia thực tập tại công ty cũng như cung cấp tất cả các cơ sở vật chất và trang thiết bị có thể cho em trong thời gian vừa qua. Xin cảm ơn thầy Nguyễn Song Tùng và các anh chị trong công ty đã tận tình hướng dẫn giúp đỡ em trong suốt thời gian em thực tập. Em xin chân thành cảm ơn các thầy cô của trường Đại học Sư Phạm Đà Nẵng, xin cảm ơn quý thầy cô đã tận tình dạy bảo, giúp đỡ em trong suốt thời gian em học tại trường cũng như trong thời gian em thực tập vừa qua. TRƯƠNG QUANG KHOA-09CNTT3 Page 2 Mục lục TRƯƠNG QUANG KHOA-09CNTT3 Page 3 MỞ ĐẦU Hiện nay , công nghệ thông tin đang phát triển với tốc độ chóng mặt. Các website, cổng thông tin từ đó cũng ra đời ngày một nhiều hơn. Từ đây, việc xâm nhập vào các hệ thống để lấy cắp thông tin nhằm mưu đồ chuộc lợi của một số người ngày càng gia tăng. Theo đánh giá, thống kê của cơ quan an ninh mạng BKAV thực hiên năm 2012, hơn 2.200 website của các cơ quan và doanh nghiệp tại Việt Nam đã bị tấn công thông qua lỗ hổng trên hệ thống mạng. Từ những lí do trên việc kiểm thử an ninh mạng rất quan trọng trong việc giúp ngăn chặn được việc tấn công qua các lỗ hổng trên mạng. Đồng thời, cũng đề ra các giải pháp nhằm ngăn chặn những mối nguy hiểm tiềm tàng từ các lỗ hổng đó. Với mục đích là làm rõ những vấn đề trên cũng như nâng cao kiến thức, làm quen với công việc trong thực tiễn nhằm phục vụ cho công viêc của chính mình sau này, em chọn đề tài “ Kiểm thử an ninh mạng” (Network Security Testing). Đề tài gồm các phần sau: Phần 1: giới thiệu về VDC Training Phần 2: nội dung và tiến độ thực tập Phần 3: kết quả đạt được Phần 4: đề xuất và hướng phát triển Phần 5: nhận xét của cơ quan thực tập TRƯƠNG QUANG KHOA-09CNTT3 Page 4 Phần 6: đánh giá két quả của cán bộ hướng dẫn PHẦN 1: GIỚI THIỆU VỀ TRUNG TÂM VDC –TRAINING 1.1 Giới thiệu trung tâm VDC-Training Trung tâm VDC Training là đơn vị thuộc VDC- công ty thành viên tập đoàn VNPT. VDC là doanh nghiệp hàng đầu trong lĩnh vực cung cấp dịch vụ Internet, có nhiều kinh nghiệm trong lĩnh vực tư vấn, thiết kế, triển khai các hệ thống hạ tầng công nghệ thông tin và chuyển giao công nghệ. VDC Training đã có hơn 7 năm kinh nghiệm trong lĩnh vực đào tạo CNTT đẳng cấp cao. Khởi đầu từ hoạt động đào tạo triển khai lắp đặt, hỗ trợ các dịch vụ Internet, Truyền số liệu, Tin học của VNPT/VDC cho các khách hàng, đại lý, đối tác và các viễn thông tỉnh/thành phố, VDC Training đã thành công trong việc phát triển thành một trung tâm đào tạo CNTT có uy tín hàng đầu ở khu vực miền Trung và Tây Nguyên nói riêng và cả nước nói chung, không ngừng khẳng định là một đơn vị đào tạo đẳng cấp chuyên nghiệp, mang đến các chương trình đào tạo theo chuẩn mực quốc tế cũng như đáp ứng tốt các chương trình đào tạo theo yêu cầu của các tổ chức lớn, cung cấp nhiều khoá học khác nhau nhằm giúp học viên nâng cao kỹ năng làm việc cũng như mang lại lợi ích đáng kể cho các tổ chức của họ. Tính đến thời điểm hiện nay, VDC Training là đối tác đào tạo ủy quyền chính thức của Cisco, CompTIA, Pearson VUE, Prometric tại Việt Nam và cũng là thành viên mạng lưới đối tác Microsoft. VDC Training tự hào có đội ngũ giảng viên là các chuyên gia có trình độ chuyên môn cao, hiểu và nắm rõ phương pháp sư phạm, nhiệt tình trong TRƯƠNG QUANG KHOA-09CNTT3 Page 5 công tác đào tạo; đã được cấp các chứng chỉ Quốc tế của các tổ chức hàng đầu như Cisco, Microsoft, Oracle, Sun, CompTIA, SCP, EC Council tuy nhiên sự khác biệt cũng là tài sản quý nhất của VDC Training chính là kinh nghiệm làm việc thực tế của giảng viên trong môi trường của một đơn vị cung cấp dịch vụ IP/Internet/Tin học hàng đầu.Hiện nay, đội ngũ giảng viên của VDC Training đã đạt các chứng chỉ: CCSI, CCNA, CCNP, CCSP, CCAI, CCDP, CCIE Writtten, CWNA, SCSA, MCSE, MCITP, MCTS, MCT, CCSE, CompTIA Linux+, CompTIA Security+, SCNS, SCNP, SCNA, SCPI, CEH, CEI, Oracle DBA 10g, 11g v.v Không dừng lại và không thỏa mãn với những gì đạt được, các giảng viên VDC Training vẫn thường xuyên học tập, tham dự các khóa đào tạo nâng cao, các hội thảo công nghệ chuyên sâu trong và ngoài nước để cập nhật kiến thức mới và trau dồi kỹ năng mềm, nghiệp vụ sư phạm. 1.2 Đối tác của trung tâm • Tập đoàn Bưu chính Viễn thông Việt Nam - VNPT • Trung tâm Thông tin Di động khu vực III - VMS3 • Trung tâm Viễn thông Quốc tế khu vực III - VTI3 • Các Viễn thông tỉnh/thành phố trên cả nước • Cụm cảng hàng không miền Trung • Cục Hải quan Thành phố Đà Nẵng • Viện Tin học Doanh nghiệp - CN miền Trung • Trung tâm Viễn thông Điện lực miền Trung • Công ty Cổ phần Phần mềm FPT • Tập đoàn Dược phẩm Viễn Đông TRƯƠNG QUANG KHOA-09CNTT3 Page 6 • Thành ủy Đà Nẵng • Sở Giáo dục và Đào tạo Thành phố Đà Nẵng • Cục thuế Đà Nẵng • Ban Quản lý Dự án Phát triển CNTT& TT - Sở Thông tin và Truyền thông thành phố Đà Nẵng • Công ty TNHH MTV Lọc hóa dầu Bình Sơn • Ban quản lý dự án CNTT-TT thuộc Sở Thông tin và Truyền thông Đà Nẵng… 1.3 Sứ mệnh + Truyền đạt, hướng dẫn học viên/ khách hàng các kiến thức, kỹ năng CNTT chuyên sâu ở đẳng cấp quốc tế về chương trình và chất lượng đào tạo. Góp phần phát triển nguồn nhân lực CNTT Việt Nam đạt tiêu chuẩn quốc tế. + Xây dựng một môi trường học tập thân thiện, cởi mở với cơ sở vật chất hiện đại, đủ sức hấp dẫn để quy tụ được nhân lực CNTT trong và ngoài nước về cộng tác nghiên cứu, thử nghiệm, trao đổi học thuật, kinh nghiệm với nhau. + Tạo điều kiện cho mọi thành viên của VDC Training phát triển tối đa năng lực cá nhân, có cuộc sống sung túc về vật chất, hạnh phúc về tinh thần. TRƯƠNG QUANG KHOA-09CNTT3 Page 7 TRƯƠNG QUANG KHOA-09CNTT3 Page 8 PHẦN 2: NỘI DUNG VÀ TIẾN ĐỘ THỰC TẬP 2.1 Nội dung Trong quá trình thực tập, em đã thực hiện những công việc liên qua đến đề tài của mình như sau: - Dịch tài liệu - Tìm hiểu các phương pháp phân loại lỗ hổng - Các phương thức dùng để quét lỗ hổng - Các phương thức kiểm soát lỗ hổng 2.1 Tiến độ thực tập Căn cứ vào khối lượng công việc, em đã chia các mốc thời gian để thực hiện công việc của mình như sau: Công việc thực hiện Tiến độ hoàn thành Dịch tài liệu 27/01/2013- 15/02/2013 Phân loại lỗ hổng 18/02/2013- 01/03/2013 Phương thức dùng để quét lỗ hổng 04/03/2013- 11/03/2013 Phương thức dùng để kiểm soát lỗ hổng 12/03/2013- 21/03/2013 Viết báo cáo tổng hợp 21/03/2013- 25/03/2013 TRƯƠNG QUANG KHOA-09CNTT3 Page 9 PHẦN 3: KẾT QUẢ ĐẠT ĐƯỢC 3.1 . Tổng quan về kiểm thử an ninh mạng Kiểm thử là tiến trình thực thi một chương trình với mục đích tìm ra lỗi (The art of software testing - Glenford J. Myers). Kiểm thử là tiến trình vận hành hệ thống hoặc thành phần của hệ thống dưới những điều kiện xác định, quan sát hoặc ghi nhận kết quả và đưa ra đánh giá về hệ thống hoặc thành phần đó (IEEE 610.12-1990. IEEE Standard Glossary of Software Engineering Terminology. Technical report - IEEE - 1990). Bao trùm lên tất cả, có thể coi kiểm thử là hành động tìm ra lỗi với mục đích để làm phần mềm được tốt hơn. Theo quan niệm thông thường của người phát triển phần mềm là: kiểm thử phát hiện lỗi là không thành công và ngược lại là thành công. Tuy nhiên, theo định nghĩa của Myers, tức là đứng trên quan điểm người kiểm thử, thì kiểm thử mà không phát hiện được lỗi được coi là không thành công, ngược lại nếu kiểm thử phát hiện được lỗi được coi là thành công. Rõ ràng, người phát triển phần mềm cố viết một phần mềm tốt nhất và không có lỗi, còn người kiểm thử cố tìm ra lỗi của phần mềm được viết ra. Như vậy, mục đích của kiểm thử là "phản biện" lại với phát triển phần mềm nhằm mục đích làm cho phần mềm tốt hơn. Bởi vì trong thực tế, không có phần mềm nào mà không có lỗi. Kiểm thử an ninh (KTAN) phần mềm hay mạng là một loại kiểm thử đặc biệt nhằm mục đích kiểm tra và xác nhận phần mềm hay mạng đó có đạt yêu cầu về an ninh không. Như vậy, hướng nghiên cứu KTAN chia làm hai hướng, đó TRƯƠNG QUANG KHOA-09CNTT3 Page 10 [...]...là KTAN phần mềm và KTAN mạng KTAN phần mềm là một loại kiểm thử trong đó quá trình kiểm thử giúp nhận biết phần mềm đang xét có những đặc tính an ninh đúng với yêu cầu thiết kế đặt ra căn cứ trên đặc tả yêu cầu an ninh cho nó hay không Có hai hướng tiếp cận chính của KTAN phần mềm là: KTAN chức năng và KTAN điểm yếu KTAN chức năng dùng để kiểm tra chức năng an ninh (bí mật dữ liệu,... điểm yếu đưa cái nhìn về kẽ hở an ninh nhưng không đánh giá tác hại và ảnh hưởng của nó với hệ thống Còn kiểm thử xâm nhập quan tâm đến cách nhìn các vấn đề an ninh của hệ thống theo quan điểm của kẻ tấn công Tóm lại, một cách tổng quan, ta thấy quan hệ của an ninh và KTAN cũng giống như quan hệ giữa phát triển phần mềm và kiểm thử phần mềm Trong khi những nghiên cứu về an ninh với mục tiêu xây dựng hệ... lập trình, thuật toán KTAN mạng là những hoạt động nhằm cung cấp thông tin về sự an toàn và toàn vẹn của mạng máy tính và những hệ thống liên quan của tổ chức nào đó thông qua việc thẩm tra và xác nhận những điều kiện an ninh hệ thống mạng đều hoạt động bình thường KTAN mạng bao gồm hai loại chính là: quét điểm yếu hay còn gọi là quét lỗ hổng (vulnerability scanner) và kiểm thử xâm nhập Trong đó quét... thiết bị chính TRƯƠNG QUANG KHOA-09CNTT3 Page 24 D Kiểm tra tính toàn vẹn của file Xác định việc thay đổi các tập tin quan trọng, cũng có thể xác định 1 số hình thức tập tin không mong muốn, chẳng hạn như các công cụ tấn công nổi tiếng,… Một số công việc được thực thi trong việc này là +Các thông tin được đề cập +Phát hiện truy nhập trái phép +Tự động hóa + Luôn cập nhật thông tin E Quét virus Bảo vệ... công: hệ thống thường bị treo hoặc bị crash bằng những thông báo lỗi không rõ ràng Khó xác định nguyên nhân do thiếu thông tin liên quan Trước tiên, xác định các nguyên nhân về phần cứng hay không, nếu không phải phần cứng hãy nghĩ đến khả năng máy bị tấn công - Kiểm tra các tài khoản người dùng mới trên hệ thống: một số tài khoản lạ, nhất là u-id của tài khoản đó = 0 - Kiểm tra xuất hiện các tập tin. .. chí thông thường (quản trị , hiệu năng, tính chứng thực) , mà còn xem xét khả năng áp dụng của hệ điều hành với hệ thống hiện tại Một hệ điều hành cung cấp cơ chế bảo vệ tốt hơn khi nó tương thích được với những ứng dụng bên trong nó như DNS hay Web Server TRƯƠNG QUANG KHOA-09CNTT3 Page 33 PHẦN IV: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN I Kết luận Kiểm thử an ninh mạng là một mảng quan trọng trong an ninh mạng. .. đạt những tiêu chí của an ninh là bí mật, hiệu quả, sẵn sàng và trách nhiệm (xem chi tiết bài "đôi điều về an ninh" ), thì KTAN chuyên nghiên cứu những phương pháp và kỹ thuật để phát hiện những điểm yếu về an ninh hoặc những phương pháp gây tổn thương hệ thống an ninh nhằm xâm nhập vào hệ thống như kiểm thử xâm nhập Cần đặc biệt nhấn mạnh là phương pháp và cách thức của kiểm thử xâm nhập cũng là phương... Kiểm tra xuất hiện các tập tin lạ Thường phát hiện thông qua cách đặt tên các tệp tin, mỗi người quản trị hệ thống nên có thói quen đặt tên tập tin theo một mẫu nhất định để dễ dàng phát hiện tập tin lạ Dùng các lệnh ls -l để kiểm tra thuộc tính setuid và setgid đối với những tập tinh đáng chú ý (đặc biệt là các tập tin scripts) - Kiểm tra thời gian thay đổi trên hệ thống, đặc biệt là các chương trình... được thực hiện bằng cách xác định các hệ điều hành và các ứng dụng phần mềm lớn chạy trên các máy chủ và kết hợp chúng với thông tin về lỗ hổng đã biết được lưu trữ trong cơ sở dữ liệu của máy quét nhược điểm TRƯƠNG QUANG KHOA-09CNTT3 Page 23 Bao gồm các công việc sau: +Liệt kê thông tin +Quét điểm yếu dịch vụ +Kiểm tra an toàn mật khẩu +Liệt kê thông tin: -Xâm nhập hệ thống, lấy vấn tin, thu nhập thông. .. của tin tặc nhằm tấn công vào các điểm yếu hoặc các kiểm soát an ninh của hệ thống Nhưng mục đích của hai đối tượng lại khác nhau, trong khi người kiểm thử xâm nhập cố gắng tấn công vào hệ thống nhằm chứng minh sự tồn tại của điểm yếu, tác hại và TRƯƠNG QUANG KHOA-09CNTT3 Page 12 hậu quả của nó nếu không sớm khắc phục và đề xuất các giải pháp gia cố, giảm thiểu tác hại của các điểm yếu này thì tin . PHẠM KHOA TIN HỌC BÁO CÁO KẾT QUẢ THỰC TẬP TỐT NGHIỆP ĐỀ TÀI: KIỂM THỬ AN NINH MẠNG CHUYÊN NGÀNH: CỬ NHÂN CÔNG NGHỆ THÔNG TIN Giảng viên hướng dẫn: PGS.TS Trần Quốc Chiến Sinh viên thực hiện:Trương. kiểm soát lỗ hổng 12/03/2013- 21/03/2013 Viết báo cáo tổng hợp 21/03/2013- 25/03/2013 TRƯƠNG QUANG KHOA-09CNTT3 Page 9 PHẦN 3: KẾT QUẢ ĐẠT ĐƯỢC 3.1 . Tổng quan về kiểm thử an ninh mạng Kiểm thử. quan an ninh mạng BKAV thực hiên năm 2012, hơn 2.200 website của các cơ quan và doanh nghiệp tại Việt Nam đã bị tấn công thông qua lỗ hổng trên hệ thống mạng. Từ những lí do trên việc kiểm thử