Nghiên cứu tìm hiểu kỹ thuật phát hiện và ngăn chặn xâm nhập, triển khai cho trường đại học công nghệ thông tin và truyền thông

73 132 0
  • Loading ...
1/73 trang

Thông tin tài liệu

Ngày đăng: 23/04/2017, 11:16

LỜI CẢM ƠN Em xin chân thành cảm ơn thầy cô giáo trường Đại Học Công Nghệ Thông Tin Truyền Thông - Đại học Thái Nguyên tận tình dạy bảo cho em kiến thức thật hay bổ ích suốt thời gian học tập trường tạo điều kiện cho em thực báo cáo đồ án tốt nghiệp Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến thầy giáo Ths Lê Tuấn Anh tận tình định hướng, bảo em suốt thời gian thực đề tài Mặc dù em cố gắng hoàn thành đề tài chắn không tránh khỏi thiếu sót, em mong nhận góp ý thầy cô giáo Một lần nữa, em xin chân thành cảm ơn! Thái Nguyên, tháng năm 2012 Sinh Viên Phạm Hồng Hoàng LỜI CAM ĐOAN Em xin cam đoan: nội dung báo cáo em không chép nội dung đồ án khác Và đồ án sản phẩm thân em nghiên cứu xây dựng lên Mọi thông tin nội dung sai lệch em xin chịu hoàn toàn trách nhiệm trước hội đồng bảo vệ Thái Nguyên, tháng năm 2012 Sinh viên thực hiên Phạm Hồng Hoàng MỤC LỤC Danh sách từ viết tắt từ tiếng anh 10 11 12 13 IDS(Intrusion Detection System ): hệ thống phát xâm nhập Reconnaissance attack : trinh sát access control attack : điều khiển truy cập Denial of service (DoS) attacks : từ chối dịch vụ Dumpster diving : truy cập vật lý Eavesdropping : nghe trộm Snooping : giả mạo Interception : can thiệp Resource Overload : tài nguyên tải Unsolicited Commercial E-mail (UCE ) :từ chối thương mại điện tử Fragmentation or Impossible Packets : phân mảnh gói tin Internet Control Message Protocol : thông điệp điều khiển giao thức mạng IP fragment overlay : phân mảnh lớp phủ IP 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 Signature-based IDS: phát dựa chữ kí anomaly-based IDS: phát dựa bất thường Adaptive Security Appliance: công cụ thích ứng bảo mật Spyware: phần mềm dán điệp Advance Integration Module: phiên tích cực nâng cao Sensor : cảm biến Firewall: tường lửa Attacker : kẻ công Sniffer: giả mạo Baseline: thông số đo đạc chuẩn hệ thống Integrity: tính toàn vẹn Prevention: ngăn chặn Simulation: mô Intruction monitoring: giám sát xâm nhập Analysis: phân tích Instruction detection: kiểm tra xâm nhập Notification: thông báo Response: trả lời Additional IDS Infrastructure sở hạ tầng IDS information collection: thu thập gói tin Dectection: phân tích Session: phiên false positive: báo động giả audit log: lịch sử sổ sách compromised: công network traffic: lưu lượng mạng ping sweep and port scans: quét ping dò cổng honey pots: cạm bẫy Padded Cell: theo dõi Expert system : hệ chuyên gia User intention identification: Phân biệt ý định người dung State-transition analysis: phân tích trạng thái phiên Colored Petri Nets: phân tích đồ họa Computer immunology Analogies : Hệ suy diễn Machine learning: nghiên cứu chế Profile: hồ sơ cá nhân IPS (intrusion prevention system): hệ thống ngăn chặn xâm nhập Misuse detection: phát lạm dụng Policy-Based IPS: Chính sách Protocol Analysis-Based IPS: phân tích giap thức Micro-Engines: xem xét chữ kí Signature Alarms: chữ kí cảnh báo Danh sách hình ảnh: Hình 1: hệ thống phát Hình 2: Quá trình IDS Hình 3: Mô tả sách bảo mật Hình 4: Quá trình IPS Hình5: Mô hình thực hệ thống Hình : Biểu đồ phân cấp chức hệ thống Hình 7: Mô hình phân tích Hình 8: Mô hình mô GNS3 Hình 9: Chỉnh IP default getway 10 Hình 10: IP router chạy SDM 11 Hình 11: cho phép chạy pop up 12 Hình 12: cảnh báo 13 Hình 13: chứng thực username & password 14 Hình 14: cảnh báo secure IE 15 Hình 15: cảnh báo 16 Hình 16: trình nạp SDM 17 Hình 17 : yêu cầu chứng thực username & password 18 Hình 18 : trình nạp cấu hình từ router tới lên sdm 19 Hình 19: thỉ tính có router 20 hình 20: Tính IPS router 21 Hình 21: thông báo chạy ips 22 Hình 22: hướng dẫn bước cấu hình 23 Hình 23: mô tả cách nạp signature 24 Hình 24: chọn vị trí signature 25 Hình 25: kết thúc trình cấu hình 26 Hình 26: hiễn thị signature nạp cấu hình signature 27 Hình 27: Lệnh cho thấy ngưỡng giá trị mặc định 28 Hình 28: Lệnh xem vị trí file *.sdf 29 Hình 29:Lệnh xem ips áp interface 30 Hình 30: ping kiểm tra LỜI NÓI ĐẦU An ninh thông tin nói chung an ninh mạng nói riêng vấn đề quan tâm không Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết.Trong lĩnh vực an ninh mạng, phát phòng chống công xâm nhập cho mạng máy tính đề tài hay, thu hút ý nhiều nhà nghiên cứu với nhiều hướng nghiên cứu khác Trong xu hướng đó, thực tập chuyên ngành chúng em mong muốn tìm hiểu, nghiên cứu phát phòng chống xâm nhập mạng với mục đích nắm bắt giải pháp, kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang sau trường Mặc dù cố gắng kiến thức khã nhìn nhận vấn đề hạn chế nên làm không tránh khỏi thiếu sót, mong quan tâm góp ý thêm thầy cô tất bạn Để hoàn thành đươc đồ án , em xin gửi lời cảm ơn sâu sắc tới thầy, cô giáo môn mạng truyền thông đặc biệt thầy Lê Tuấn Anh nhiệt tình hướng dẫn, bảo cung cấp cho chúng em nhiều kiến thức bổ ích suốt trình làm đồ án Nhờ giúp đỡ tận tâm thầy, chúng em hoàn thành đồ án Một lần xin cảm ơn thầy nhiều ! CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG NGĂN CHẶN VÀ PHÁT HIỆN XÂM NHẬP Ngày nay, nhu cầu trao đổi liệu qua hệ thống mạng máy tính trở thành vô quan trọng hoạt động xã hội Vấn đề bảo đảm an ninh, an toàn cho thông tin mạng ngày mối quan tâm hàng đầu công ty, tổ chức, nhà cung cấp dịch vụ Cùng với thời gian, kỹ thuật công ngày tinh vi khiến hệ thống an ninh mạng trở nên hiệu Các hệ thống an ninh mạng truyền thống túy dựa tường lửa nhằm kiểm soát luồng thông tin vào hệ thống mạng cách cứng nhắc dựa luật bảo vệ cố định Với kiểu phòng thủ này, hệ thống an ninh bất lực trước kỹ thuật công mới, đặc biệt công nhằm vào điểm yếu hệ thống Trước nguy xâm nhập kẻ công nhằm tìm kiếm liệu mật công ty, doanh nghiệp,tổ chức, hay quốc gia hệ thống IDS(Intrusion Detection System ) đời để phát xâm nhập trái phép kẻ công thông qua việc kiểm soát lưu lượng giao thông hệ thống mạng IDS kiểm tra thông báo hệ thống có bất thường trái với định nghĩa mà người dùng đặt cho hệ thống , IDS thực việc ngăn chặn phát xâm nhập xảy để thực an ninh cho hệ thống mạng IPS đời Hệ thống phòng chống xâm nhập IPS kỹ thuật an ninh kết hợp ưu điểm kỹ thuật tường lửa với hệ thống phát xâm nhập IDS, có khả nǎng phát công tự động ngǎn chặn công 1.1 Giới thiệu sơ phương pháp xâm nhập vào hệ thống Các khả xâm nhập vào hệ thống mạng là: • • • Trinh sát(Reconnaissance attack) Điều khiển truy cập(access control attack) Từ chối dịch vụ(Denial of service (DoS) attacks) Trinh sát(Reconnaissance):Để khởi động có hiệu số loại công, kẻ công thường có nhu cầu hiểu biết mô hình mạng phần cứng dược sử dụng Kỹ thuật thu thập loại thông tin gọi trinh sát Trinh sát đối tượng môi trường, mối đe dọa, kết việc trinh sát thường sử dụng sau để công hệ thống mạng Vì vậy, đe dọa công trinh sát chủ yếu gián tiếp: sau mạng quét, thông tin sau sử dụng cho công Thông thường công trinh sát mà không bị phát thường chúng tác hại cho hệ thống mạng.cách tốt để phát xem tập tin đăng nhập, thường củng thấy tập tin đăng nhập này.Việc trinh sát xem phương án khả thi nói “tàn hình” để thu thập thông tin cách tốt cho kẻ công tìm Các phương pháp dùng cho công trinh sát: • • Bằng dòng lệnh tiện ích quản lý, nslookup, ping, telnet, finger Các công cụ hack NMAP, Nessus, custom script… Thực trinh sát đòi hỏi phải biết sử dụng dòng lệnh tiện ích quản lý sử dụng tiện ích nslookup để xem địa ip trang web.Kẻ công dễ dàng xác định không gian địa IP định cho công ty cho hay tổ chức Lệnh ping cho phép kẻ công biết địa IP sống mạng Các công cụ công sử dụng để thực trinh sát, công cụ giúp kẻ công hiểu biết dễ trinh sát chọn tự động trình thông qua giao diện than thiện mà củng sử dụng Điều khiển truy cập (access control attack): Tấn công xảy cá nhân nhóm cá nhân nỗ lực để truy cập, sửa đổi thiệt hại trường tài nguyên hệ thống Tấn công truy cập cố gắng truy cập vào thông tin mà kẻ công quyền : Phương pháp truy cập vật lý: Dumpster diving Tấn công truy cập mạng: • • • Nghe trộm (Eavesdropping) Giả mạo (Snooping) Can thiệp (Interception) Từ chối dịch vụ (Denial of service (DoS) attacks):Cuộc công DoS khác với hầu hết công khác, chúng không đạt mục tiêu truy cập tìm kiếm thông tin hệ thống Thực công cách nhắm vào tính khả dụng (Availability) hệ thống, mục đích ngăn chặn hoạt động bình thường hệ thống,đặc biệt hệ thống phục vụ nhiều người web server,mail server… Các phương thức công DoS: • • • • • • • • Làm cho tài nguyên tải(Resource Overload) Sức chứa đĩa cứng,băng thông đệm Làm tràn gói ping hay syn liên tục đánh bom UDP Unsolicited Commercial E-mail (UCE) Fragmentation or Impossible Packets Phát tán gói ICMP làm tắc nghẽn IP fragment overlay Same Source and Destination IP packet 1.2 Các phương pháp phát ngăn ngừa xâm nhập Các giải pháp “Ngăn ngừa Xâm nhập” nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc loại bỏ lưu lượng mạng có hại hay có ác ý cho phép hoạt động hợp pháp tiếp tục Mục đích hệ thống hoàn hảo, báo động giả làm giảm suất người dùng cuối từ chối sai tạo rủi ro mức bên môi trường Có lẽ vai trò cốt yếu cần thiết để tin tưởng, để thực theo cách mong muốn điều kiện Điều có nghĩa giải pháp “Ngăn ngừa Xâm nhập” đặt vào vị trí có khả sau: Mạng lưới trinh sát ngăn chặn hoàn toàn IDS cấp độ mạng máy chủ lưu trữ thông báo cho quản trị viên trinh sát tập hợp công (ví dụ: ping quét cổng) Nếu ICMP echo hỏi echo-trả lời tắt router bìa hạn chế tắc nghẽn Một IDS mức độ mạng máy chủ quản lý thông báo cho người quản trị viên biết có công trinh sát tiến hành Điều giúp cho nhà quản tri viên chuẩn bị tốt cho lần công tới thông báo cho ISP quản lý người tung công trinh sát Các mối đe dọa công DoS giảm thông qua ba phương pháp sau đây: • Tính Antispoof: cấu hình antispoof router tường lửa hệ thống • Tính Anti-DoS :cấu hình Anti-DoS chống tính DoS • router tường lửa Giới hạn việc đánh giá lưu lượng mạng 10 R_IPS (config-line )#privilege level 15 R_IPS (config -line)#login local R_IPS (config -line)#transport input telnet R_IPS (config -line)#transport input telnet ssh Tại pc chỉnh ip default gerway router ips(hình 1) Hình 9: Chỉnh IP default getway Trên pc cài đặt gói java tool SDM cho computer chạy ciscoSDM Tại hình SDM Launcher chọn ip router ips:192.168.12.2 59 Hình 10: IP router chạy SDM Màn hình internet explorer xuất sau bấm Launch bước trên,kích phải chuột chọn allow blocked content Hình 11: cho phép chạy pop up Xuất cảnh báo chọn yes 60 Hình 12: cảnh báo Màn hình đăng nhập chứng thực xuất ,đăng nhập với user & pass có level 15 Hình 13: chứng thực username & password Xuất cửa sổ internet explorer mối chọn allow blocked content 61 Hình 14: cảnh báo secure IE Cảnh báo trình duyệt tiếp tục xuất cho yes để tiếp Hình 15: cảnh báo Sau nhấn yes xuất trang load SDM từ router tới máy tính Hình 16: trình nạp SDM 62 Xuất hình đăng nhập ,tiếp tục đăng nhập với username pass level 15 Hình 17 : yêu cầu chứng thực username & password Màn hình load SDM tới máy tính bắt đầu yêu cầu đổi username password cho lần sau đăng nhập lại với user Hình 18 : trình nạp cấu hình từ router tới lên sdm 63 Giao diện vào chế độ cấu hình cho router thông qua giao diện, chọn configure để cấu hình cho router ips Hình 19: thỉ tính có router Kích chọn tính instruction prevention để cấu hình cho IPS,kích chọn “launch ips rule winzard” để bắt đầu tạo luật ips 64 hình 20: Tính IPS router Cisco SDM yêu cầu thông báo kiện IPS qua SDEE để cấu hình tính năngCisco IOS IPS , theo mặc định, thông báo SDEE không kích hoạt Cisco SDM nhắc nhở người dùng phép thông báo kiện IPS qua SDEE chọn ok Hình 21: thông báo chạy ips Nhấp vào "Next" giao diện dẫn đến trang Wizard IPS Chọn giao diện danh sách đánh dấu vào ô trống cho hai 65 hướng hay giao diện mà muốn kích hoạt tính IPS Cisco đề nghị cho phép hướng kích hoạt IPS giao diện Click "Next" kết thúc việc chọn lựa Hình 22: hướng dẫn bước cấu hình Màn hình cho thấy vị trí SDF Wizard IPS Để cấu hình địa điểm SDF, nhấp vào "Add " nút bên phải danh sách 66 Hình 23: mô tả cách nạp signature Cửa sổ “Add a signature location” xuất chọn secify sdf using url chọn tftp (để thực trình copy File sdf pc chạy tftp ),hoặc qua bước để chọn add file SDF từ pc Hình 24: chọn vị trí signature Kế đến hình tổng kết trình cấu hình rule nạp signature chọn finish để kết thúc bước 67 Hình 25: kết thúc trình cấu hình Để kiểm tra cấu hình signature nạp router vào giao diện hình SDM UI Path: Configure-> Intrusion Prevention -> Edit IPS -> Signatures Từ giao diện định nghĩa thêm signature sau kích hoạt default SDF Có thể định nghĩa thêm signature cách chức import Để nhập chữ ký mới, chọn default SDFs, IOS-Sxxx.zip cập nhật tập tin để nhập chữ ký bổ sung(Hình 19) SDM UI Path: Configure-> Intrusion Prevention -> Edit IPS -> Signatures -> Import Chọn nút nhấn “import” công cụ bảng danh sách chữ ký Kế tiếp chọn “from pc” để đường dẫn tới file chửa ký Tại hình chỉnh lại hoạt động chữ ký cách kích chọn vào chữ ký->action chọn lựa hành động muốn chọn alarm.(hình 19) 68 Hình 26: hiễn thị signature nạp cấu hình signature Lưu ý: trình nạp signature thêm vào CPU hoạt động cao lúc nạp không nên làm hành động khác làm cho trình nạp signature chậm lại sau chữ ký nạp có vài trường hợp không enable muốn enable cho phù hợp với nhu cầu cần thiết hệ thống Sau cấu hình chỉnh sữa hoàn tất tính IPS SDM ,truy cập vào command line vào router kiểm tra dòng lệnh sau: R_IPS #show ip inspect all 69 Hình 27: Lệnh cho thấy ngưỡng giá trị mặc định R_IPS #show running-config | in ip ips sdf Hình 28: Lệnh xem vị trí file *.sdf Lệnh xem chữ ký bị disable R_IPS #show running-config | include ip ips signature * disable R_IPS #show ip ips interfaces 70 Hình 29:Lệnh xem ips áp interface Tiến hành ping kiểm tra xem từ mạng R_internet vào R_cntt có gây cảnh báo không Hình 30: ping kiểm tra Kết nhận router ips gây cảnh báo ghi rõ vi phạm chữ ký với gói tin gì,từ đâu đến đâu 2.5 Kết thu từ trình mô Hệ thống phát ngăn chặn xâm nhập hiệu lĩnh vực bảo mật cho hệ thống mạng doanh nghiệp,tổ chức,công ty có nhu cầu bảo mật cao Thông qua việc mô thấy cách cài đặt sử dụng tính IPS router hệ thống gây cảnh báo hay ngắt kết nối vi phạm chữ ký định nghĩa chữ ký ios router 2.6 Những mặt hạn chế Do thời gian ngắn,nhân lực hạn hẹp nên hoàn chỉnh hệ thống cụ thể thực tế Trong phần nghiên cứu dừng lại router ,chưa làm sensor hay router firewall 71 KẾT LUẬN Trong thời gian thực đồ án em tìm hiểu nghiên cứu kiến thức kĩ thuật phát ngăn chặn xâm nhập, hiểu cách thức công bảo mật mạng Sau thời gian thực đồ án em cài đặt, thực cấu hình giao diện bả mật cho router Mặc dù có nhiều cố gắng thời gian có hạn nên chương trình nhiều hạn chế : - Chương trình chưa can thiệp sâu vào hệ thống Chức bảo mật chưa nhiều Hướng phát triển mở rộng: Để xây dựng chương chình tốt ta có thể: - Thêm nhiều luật vào hệ thống cấu hình giao diện Thêm kĩ thuật xử lý, cập nhật phiên Dù cố gắng chương trình không tránh khỏi sai sót em mong góp ý, giúp đỡ thầy cô bạn bè đề chương trình đồ án hoàn thiện Em xin chân thành cảm ơn thầy cô giáo môn, ban lãnh đạo nhà trường bạn lớp tạo điều kiện, ủng hộ giúp đỡ em hoàn thành đồ án tốt nghiệp em xin cảm ơn thầy giáo Ths Lê Tuấn anh tận tình hướng dẫn em để đồ án hoàn thành thời hạn Thái Nguyên, tháng năm 2012 Sinh viên thực Phạm Hồng Hoàng 72 TÀI LIỆU THAM KHẢO Crystal, G (2007) What are the Different Types of Intrusion Prevention?Retrieved October 26, 2007, from Wise Geek: www.wisegeek.com/what-are-thedifferent-types-of-inrusionprevention.htm Intrusion detection system (n.d.) Retrieved October 02, 2007, from http://en.wikipedia.org Roesch, M (2005, September 12) Search Security Retrieved November 26, 2007, from Next-generation intrusion prevention: Time zero (during the attack): http://searchsecurity.techtarget.com/ti[/ 0,289483,sid_gci1121310,00.html Intrusion Prevention Systems (IPS) (2004, January) Retrieved October 26, 2007, from http://nsslabs.com/WhitePapers/intrusion prevention systems.htm Intrusion-prevention system (n.d.) Retrieved December 01, 2007, from Safe'n'Sec: http://www.safensoft.com/security.phtml ?c=587 Network Intrusion Prevention (n.d.) Retrieved November 26, 2007, from McAfee:http://www.mcafee.com/us/enterprise/products/network_intrusion_preventi on/index.html Network Intrusion Prevention (n.d.) Retrieved November 26, 2007, from McAfee:http://www.mcafee.com/us/local_content/white_papers/wp_nps_justificatio n_roi.pdf 10 Network Intrusion Prevention Systems (n.d.) Retrieved November 26, 2007, from:http://www.mycert.org.my/mycertsig/mycert-sig-05/slides/mycert-sig5nips.pdf 73 ... chống xâm nhập IPS kỹ thuật an ninh kết hợp ưu điểm kỹ thuật tường lửa với hệ thống phát xâm nhập IDS, có khả nǎng phát công tự động ngǎn chặn công 1.1 Giới thiệu sơ phương pháp xâm nhập vào hệ... tin tin sách phát hiệnChính sách phản ứng Thu thập thông tinHệ thống thôngChính Phản ứng Phát Hình 1: hệ thống phát Ngoài hệ thống phát xâm nhập IDS có chức năng: • • • Ngăn chặn gia tăng công. .. nghiên cứu với nhiều hướng nghiên cứu khác Trong xu hướng đó, thực tập chuyên ngành chúng em mong muốn tìm hiểu, nghiên cứu phát phòng chống xâm nhập mạng với mục đích nắm bắt giải pháp, kỹ thuật
- Xem thêm -

Xem thêm: Nghiên cứu tìm hiểu kỹ thuật phát hiện và ngăn chặn xâm nhập, triển khai cho trường đại học công nghệ thông tin và truyền thông , Nghiên cứu tìm hiểu kỹ thuật phát hiện và ngăn chặn xâm nhập, triển khai cho trường đại học công nghệ thông tin và truyền thông , Nghiên cứu tìm hiểu kỹ thuật phát hiện và ngăn chặn xâm nhập, triển khai cho trường đại học công nghệ thông tin và truyền thông

Từ khóa liên quan

Mục lục

Xem thêm

Gợi ý tài liệu liên quan cho bạn

Nhận lời giải ngay chưa đến 10 phút Đăng bài tập ngay