ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA NGUYỄN VĨNH HUẾ XÂY DỰNG HỆ THỐNG GIÁM SÁT VÀ CẢNH BÁO NGUY CƠ XÂM NHẬP MẠNG TẠI TRUNG TÂM DỮ LIỆU ĐIỆN TỬ TỈNH QUẢNG BÌNH Chuyên ngành: Khoa học máy tính Mã số: 8480101 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT Đà Nẵng - Năm 2018 Cơng trình hoàn thành TRƯỜNG ĐẠI HỌC BÁCH KHOA Người hướng dẫn khoa học: PGS.TS NGUYỄN TẤN KHÔI Phản biện : TS ĐẶNG HOÀI PHƯƠNG Phản biện : TS ĐẬU MẠNH HOÀN Luận văn bảo vệ trước Hội đồng chấm Luận văn tốt nghiệp thạc sĩ chuyên ngành khoa học máy tính họp Trường Đại học Bách khoa Đà Nẵng vào ngày 05 tháng 01 năm 2018 Có thể tìm hiểu luận văn tại: - Trung tâm Học liệu Truyền thông Trường Đại học Bách khoa Đại học Đà Nẵng - Thư viện Khoa Công nghệ thông tin, Trường Đại học Bách khoa Đại học Đà Nẵng 1 MỞ ĐẦU Tổng quan đề tài Xã hội ngày phát triển, Internet trở thành phần thiếu cá nhân, doanh nghiệp, tổ chức, trường học Internet trở thành công cụ, phương thức giúp cho doanh nghiệp tiếp cận với khách hàng, cung cấp dịch vụ, quản lý liệu tổ chức cách hiệu nhanh chóng Cùng với phát triển theo chiều hướng tốt, công xâm nhập mạng kẻ xấu phát triển theo Không giới mà Việt Nam vấn đề “An tồn thơng tin” trở thành vấn đề nóng bỏng Sự đa dạng phức tạp loại hình cơng gây nhiều khó khăn cho việc ngăn chặn phòng chống Một hệ thống phòng chống phát xâm nhập giúp người quản trị ln ln theo dõi thu thập nhiều thơng tin đáng giá cho q trình chống lại hình thức cơng xâm nhập Hiện nay, chương trình bảo mật, phịng chống virus, giám sát bảo vệ hệ thống có giá thành cao phát triển nước Ngoài ra, chương trình giám sát hầu hết tích hợp thiết bị phần cứng nên việc khai thác chức năng, người dùng tự phát triển mở rộng thêm chức chương trình nhằm phục vụ cho công việc quản trị mạng bị hạn chế Vì thế, nhu cầu có hệ thống hỗ trợ giám sát bảo vệ hệ thống mạng trực quan nhằm giúp cho công việc quản trị mạng tập trung đạt hiệu cao cần thiết Đó lý mà tơi chọn nghiên cứu thực đề tài: “Xây dựng hệ thống giám sát cảnh báo nguy xâm nhập mạng Trung tâm liệu điện tử tỉnh Quảng Bình” Mục tiêu đề tài Nghiên cứu chung hệ thống phát xâm nhập, đặc điểm, kiến trúc hệ thống phát xâm nhập, đặc biệt kỹ thuật phát xâm nhập áp dụng Nghiên cứu hệ thống phát xâm nhập Snort, cách cài đặt, cấu hình, triển khai hệ thống mạng Phân tích dấu hiệu hình thức cơng, hình thành nên luật tương ứng với đặc điểm dạng công xâm nhập Phương pháp thực Nghiên cứu lý thuyết phát xâm nhập thông qua tài liệu báo cáo Nghiên cứu lý thuyết Snort thông qua tài liệu từ trang chủ Snort, tài liệu hướng dẫn cho người sử dụng từ Sourcefire nguồn tài liệu khác Triển khai hệ thống máy ảo VMware Workstation, xây dựng hệ thống mạng đơn giản mô tả hệ thống mạng nhỏ thực tế Triển khai dịch vụ mơ hình mạng cỡ nhỏ Tìm hiểu phương thức xâm nhập, công khai thác lỗ hổng, công cụ cách thức thực Triển khai cơng, xâm nhập, khai thác lỗ hổng Sau đọc log, phân tích gói tin bắt được, chuyển hóa thành luật nhằm phát ngăn chặn Cấu trúc luận văn Ngoài phần mở đầu, kết luận tài liệu tham khảo luận văn gồm có chương CHƯƠNG 1: CƠ SỞ LÝ THUYẾT CHƯƠNG 2: PHÂN TÍCH VÀ CÀI ĐẶT HỆ THỐNG CHƯƠNG 3: TRIỂN KHAI KẾT QUẢ ĐẠT ĐƯỢC NỘI DUNG CHƯƠNG CƠ SỞ LÝ THUYẾT Chương giới thiệu tổng quan hệ thống phát xâm nhập IDS, hệ thống Snort ngôn ngữ lập trình C# 1.1 Hệ thống phát xâm nhập IDS 1.1.1 Giới thiệu Hệ thống phát xâm nhập xây dựng để bảo vệ tài nguyên hệ thống mạng trước hacker không mong muốn 1.1.2 Hệ thống phát xâm nhập Intrusion Detection Systems (IDS) thiết bị phần cứng (các thiết bị phát xâm nhập Cisco (Cisco IDSM-2 Cisco IPS 4200 Series Sensors)) ứng dụng phần mềm giúp giám sát máy tính, hệ thống mạng trước hành động đe dọa đến hệ thống vi phạm sách an ninh báo cáo lại cho người quản trị hệ thống 1.1.3 Cấu trúc bên IDS Mỗi IDS bao gồm thành phần sau: - Sensor (là packet sniffer) - Preprocessors - Detection Engine - Output (Alerting System Longging System) Mỗi thành phần làm việc với để phát công cụ thể tạo output quy định trước 5 1.1.4 Đặt IDS hệ thống mạng Hình 1: Một số vị trí đặt IDS hệ thống mạng 1.2 Hệ thống Snort 1.2.1 Giới thiệu Snort số hệ thống phát xâm nhập hàng đầu phần mềm Snort sản phẩm IDS Open source công ty SourceFire, họat động dựa tập luật linh họat, thơng qua phân tích protocol, tìm kiếm nội dung tiền xử lý (preprocessor) để phát hàng ngàn lọai sâu (worm), kiểu công, quét cổng hành động đáng ngờ khác mạng 1.2.2 Luật Snort Một luật Snort chia thành hai phần phần header options Phần header bao gồm: rule action, protocol, địa ip nguồn, địa ip đích, subnetmask, port nguồn, port đích Phần options bao gồm thơng điệp cảnh báo, thơng tin phần gói tin kiểm tra để xác định xem hành động áp dụng Rules hình thành từ 02 thành phần rules header rules options Ví dụ: 1.3 Ngơn ngữ C# 1.3.1 Giới thiệu: C# ngơn ngữ lập trình đại, hướng đối tượng xây dựng tảng hai ngôn ngữ mạnh C++ Java C# với hỗ trợ mạnh mẽ NET Framework giúp cho việc tạo ứng dụng Windows Forms hay WPF (Windows Presentation Foundation), trở nên dễ dàng 1.3.2 Đặc trưng ngôn ngữ C# 1.3.2 Các loại ứng dụng C# - Ứng dụng console - Ứng dụng Windows Form - Ứng dụng Web 1.4 Kết chương Chương trình bày sở lý thuyết hệ thống phát xâm nhập IDS, hệ thống Snort ngơn ngữ C# để viết chương trình App-BASE, App-Rules hỗ trợ quản lí, giám sát Snort 7 CHƯƠNG PHÂN TÍCH VÀ CÀI ĐẶT HỆ THỐNG Chương trình bày phương pháp công mạng, cách cài đặt cấu hình Snort, cách xây dựng ứng dụng quản lý Snort 2.1 Phân tích số phương pháp cơng Một cách tổng quát, công xâm nhập hệ thống mạng chia thành năm giai đoạn: - Thăm dị (Reconnaissance) giai đoạn tiền cơng, hacker tìm kiếm tập trung thơng tin hệ thống cần công Kỹ thuật Footprint sử dụng giai đoạn Trong kỹ thuật footprint hacker cố gắng tìm kiếm nhiều thông tin liên quan đến mục tiêu bao gồm doanh nghiệp, tổ chức cá nhân, từ hacker xác định cơng điểm yếu hệ thống Thông tin đạt giai đoạn liên quan đến tên miền (domain), dãy địa mạng, địa email sử dụng domain Các công cụ thường dùng whois (SmartWhois), nslookup, 1st email address spider - Quét mạng (Scanning): Trong giai đoạn này, hacker bắt đầu tìm kiếm lỗi khai thác hệ thống mục tiêu - Truy cập hệ thống (Gaining Access) giai đoạn khai thác lỗi truy cập vào hệ thống - Duy trì có mặt hệ thống (Maintaining Access) giai đoạn hacker thực mục đích xâm nhập khai thác liệu, đánh cắp thơng tin - Xố dấu vết (Covering Tracks) hacker cố gắng xoá dấu vết để không bị phát xâm nhập hệ thống 8 2.1.1 Scanning(Quét mạng) Scanning hay quét mạng giai đoạn khơng thể thiếu q trình công vào hệ thống hacker Kết đạt giai đoạn hacker xác định máy hoạt động, dịch vụ (sevices) chạy (running) lắng nghe (listening), cổng (port) mở, hệ điều hành chạy lỗi khai thác hệ thống 2.1.2 Tấn công ARP (ARP attack) ARP giao thức giúp giải bất đồng địa luận lý (IP) địa vật lý (MAC) Trong hệ thống mạng, điều kiện tiên để trao đổi thông tin máy tính máy tính gửi phải biết địa máy tính nhận Nhưng địa IP (internet protocol) địa luận lý lớp mơ hình OSI, nên khơng giúp máy gửi xác định máy đích mạng LAN để truyền liệu xuống lớp 2, mà lớp phải cần địa MAC (Media Access Control) để phân biệt máy tính 2.1.3 Sniffer Sniffer hiểu đơn giản chương trình cố gắng nghe ngóng lưu lượng thơng tin hệ thống mạng Sniffer sử dụng công cụ để nhà quản trị mạng theo dõi bảo trì hệ thống mạng 2.1.4 Tấn cơng từ chối dịch vụ (DoS attack) DoS attack cách công từ chối dịch vụ Kiểu công nguy hiểm, với loại công , máy hacker cần kết nối Internet có khả thực việc cơng máy tính nạn nhân Thực chất công từ chối dịch vụ hacker chiếm dụng lượng lớn tài nguyên server băng thơng, nhớ, cpu, đĩa cứng, làm cho server đáp ứng yêu cầu từ máy client bình thường Hệ thống bị công chạy chậm, bị treo nhanh chóng bị ngừng hoạt động 2.1.5 Tắt kết nối TCP (TCP Kill) TCP (Transmission Control Protocol) giao thức truyền thông tin phổ biến tin cậy mạng có biện pháp khắc phục lỗi gói tin TCP hoạt động dựa nguyên tắc “bắt tay ba bước” Hình 2: Mơ hình bắt tay bước 2.1.6 SQL Injection SQL injection kĩ thuật công lợi dụng lỗ hổng việc kiểm tra liệu nhập ứng dụng web thông báo lỗi hệ quản trị sở liệu để "tiêm vào" (inject) thi hành câu lệnh SQL bất hợp pháp Công cụ dùng để cơng trình duyệt web bất kì, chẳng hạn Internet Explorer, Chrome… 10 2.2 Cài đặt cấu hình Snort 2.2.1 Sơ đồ hệ thống Hình 3: Sơ đồ hệ thống 2.2.2 Cài đặt Snort 2.2.3 Cài đặt cấu hình PHP 2.2.4 Cấu hình MySQL để chạy Snort 2.2.5 Cài đặt cấu hình Barnyard2 2.2.6 Cài đặt cấu hình BASE 2.2.7 Kiểm tra cài đặt 11 2.3 Xây dựng ứng dụng quản lí Snort 2.3.1 App-BASE : Quản lí liệu Snort Việc xây dựng App-BASE bên cạnh Web-BASE giúp cho việc giám sát, theo dõi Snort tổng quan, dễ dàng thuận tiện cho người giám sát Hình 4: Giao diện App-BASE 2.3.2 AppRules : Quản lí Rules Snort 12 Việc cập nhật, thêm, xóa Rules Snort phải tốn nhiều thao tác khởi động lại Snort Barnyard2, AppRules cho phép thổng hợp Rules hệ thống, cập nhật, chỉnh sửa Rules thực thao tác để khởi động lại Snort nhanh chóng Giao diện AppRules 2.4 Kết chương Chương tập trung phân tích số phương pháp công phổ biến Bên cạnh đó, hướng dẫn cấu hình cài đặt hệ thống Snort 13 CHƯƠNG TRIỂN KHAI KẾT QUẢ ĐẠT ĐƯỢC Trình bày việc thực cài đặt mô trực quan phương pháp chương chương Đề tài thực hầu hết nội dung nghiên cứu đặt từ đầu tìm hiểu nguyên tắc thực nghiệm phương pháp công xâm nhập mạng phổ biến để tìm biện pháp phịng chống hiệu Từ tảng nguyên tắc công xâm nhập tìm hiểu chúng tơi tiến hành xây dựng triển khai hệ thống phát xâm nhập dựa phần mềm mã nguồn mở Snort Chúng tiến hành khảo nghiệm khả phát công xâm nhập hệ thống phương pháp cơng khác nhau, luật sẵn có viết số luật hệ thống hoạt động phù hợp với kiểu công cụ thể Phần trình bày số kết khảo nghiệm thu 3.1 Quét cổng (port scan) Port scan q trình thu thập thơng tin cổng dịch vụ mở, phiên hệ điều hành, phiên phần mềm máy chủ Công cụ : Nmap 14 Hình port scan Zenmap Hình đáp ứng hệ thống với Port scan 15 3.2 Ping of Death ping -l 1000 192.168.1.100 -t Attacker gửi gói tin ICMP có kích thước lớn tới máy chủ nhằm chiếm đường truyền ngăn việc cung cấp dịch vụ máy chủ Luật Snort kiểm tra kích thước gói tin ICMP gửi tới alert icmp any any-> any any (msg: “ICMP ping of death”; itype:8; dsize>1024; sid:100001; rev:1;) Hình đáp ứng hệ thống với Ping of Death 3.3 DDOS UDP Công cụ : UDP – Unicorn 16 DDOS UDP UDP – Unicorn 17 Hình đáp ứng hệ thống với DDOS UDP 3.4 SYN attack hping3 -I eth0 -a 192.168.1.200 -S 192.168.1.100 -p 80 flood Hacker gửi tràn ngập đến hệ thống đích gói tin có cờ SYN liệu hợp lệ nên hệ thống đích đáp ứng lại SYN/ACK Các luật mặc định preprocessor có sẵn khơng phát cơng Ta cần viết luật cho Snort để nhận biết đơn vị thời gian mà số lượng gói tin có cờ SYN đến hệ thống đích lớn phải cảnh báo có SYN attack Ví dụ : alert tcp any any -> any any (msg: “SYN attack”; flags:S; threshold: type threshold, track by_dst, count 1000, seconds 60; sid:100002; rev:1;) 18 3.5 SQL Injection Ta biết gói tin mà hacker gửi từ client đến sever SQL Injection phân tích cơng cụ phân tích protocol có số từ khố SELECT, UNION, INSERT ta viết luật cho snort để phát kiểu cơng số cách ví dụ sau : alert tcp any any -> any any (msg: “SQL Injection detect”; content:”UNION”; flow: to_server; sid:100005; rev:1;) alert tcp any any -> any any (msg: “SQL Injection detect”; content:”SELECT”; flow: to_server; sid:100005; rev:1;) Từ client ta truy cập vào server mà gói tin có chưa từ khóa như: union, select rules Snort bắt 19 Hình 12: Đáp ứng IDS với kiểu SQL Injection 3.6 Kết chương Chương trình bày kiểu cơng khảo nghiệm kết hoạt động hệ thống 20 KẾT LUẬN Kết đạt Trong thời gian tìm hiểu, nghiên cứu sở lý thuyết triển khai ứng dụng công nghệ, đồ án đạt kết sau: Về mặt lý thuyết, việc làm đồ án cố thêm kiến thức an ninh mạng, phương thức cơng phịng thủ, ngăn chặn cơng hệ thống, ngơn ngữ C# Trình bày phần lớn công phổ biến mạng Cung cấp kiến thức bảo mật, tảng giúp cho người quản trị nâng cao hiệu bảo mật mạng Về mặt thực tiễn ứng dụng, việc làm đồ án thực tế tiến hành hình thức cơng hệ thống, phát ngăn chặn loại công Hiểu, sử dụng số cơng cụ cơng phịng thủ, cài đặt triển khai IDS nói chung Snort IDS nói riêng, áp dụng mơi trường thực tế Tuy nhiên, đồ án tồn vấn đề sau : - Quy mô đồ án cịn nhỏ, mơ phần nhỏ hệ thống - Các kiểu công xâm nhập mạng trình bày đề tài tiến hành thử nghiệm mạng nội môi trường mạng giả lập nên chưa bao quát hết vấn đề thực tế mạng Internet - Chưa thể tiếp cận với hệ thống IDS vận hành thực tế để có so sánh, đánh giá tính năng, hiệu quả… Hướng phát triển Một số hướng nguyên cứu phát triển đề tài sau : 21 - Tìm hiểu, bổ sung, đánh giá hiệu hệ thống nhiều môi trường khác - Xây dựng, phát triển giao diện cách sử dụng hệ thống thêm thân thiện, dễ dàng Nghiên cứu ứng dụng công nghệ tri thức để viết plugin tích hợp vào hệ thống IDS nhằm mục đích tăng cường khả nhận dạng linh hoạt trình nhận dạng công xâm nhập hệ thống  ... ? ?Xây dựng hệ thống giám sát cảnh báo nguy xâm nhập mạng Trung tâm liệu điện tử tỉnh Quảng Bình? ?? Mục tiêu đề tài Nghiên cứu chung hệ thống phát xâm nhập, đặc điểm, kiến trúc hệ thống phát xâm nhập, ... trình C# 1.1 Hệ thống phát xâm nhập IDS 1.1.1 Giới thiệu Hệ thống phát xâm nhập xây dựng để bảo vệ tài nguy? ?n hệ thống mạng trước hacker không mong muốn 1.1.2 Hệ thống phát xâm nhập Intrusion... tài liệu khác Triển khai hệ thống máy ảo VMware Workstation, xây dựng hệ thống mạng đơn giản mô tả hệ thống mạng nhỏ thực tế Triển khai dịch vụ mơ hình mạng cỡ nhỏ Tìm hiểu phương thức xâm nhập,