HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NGUYỄN XUÂN TRƯỜNG NGHIÊN C ỨU PH ƯƠNG PHÁP GIÁM SÁT, PHÂN TÍCH THÔNG TIN VÀO RA HỆ THỐNG MẠNG DOANH NGHIỆP Chuyên ngành: Kỹ thuật Điện tử Mã số: 60.52.70 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NÔI - 2012 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS. Trịnh Anh Tuấn Phản biện 1: …………………………………………… Phản biện 2: …………………………………………… Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: giờ ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 1 MỞ ĐẦU Xã hội hiện đại ngày nay, việc sử dụng mạng máy tính đã trở nên quen thuộc đối với mọi người trong xã hội, như xã hội điện tử (chính phủ điện tử, cổng thông tin điện tử, ngân hàng điện tử, chợ điện tử ). Cùng với sự phát triển của công nghệ thông tin và nhu cầu của con người, mạng máy tính cũng càng ngày càng mở rộng và trở thành một phần không thể thiếu của đời sống. Tuy nhiên, cùng với sự phát triển của mạng máy tính, rất nhiều vấn đề liên quan cũng được đặt ra đối với người sử dụng như lỗi đường truyền, virus, sự tấn công của các tin tặc hacker làm rối loạn, gây hỏng hóc và trộm cắp thông tin quan trọng Để góp phần giải quyết những vấn đề này thì việc kiểm soát lượng thông tin vào ra trong 1 mạng cơ quan doanh nghiệp, mang một ý nghĩa rất quan trọng. Chính vì vậy em lựa chọn thực hiện đồ án tốt nghiệp là “Nghiên cứu phương pháp giám sát, phân tích thông tin vào ra, hệ thống mạng doanh nghiệp ” nhằm mục đích cung cấp một công cụ hữu ích cho việc kiểm soát lưu lượng thông tin vào ra cho doanh nghiệp của mình được an toàn. Luận văn tập trung chủ yếu đến một số nội dung cơ bản sau: Chương I: Tổng quan đề tài Chương này đề cập một cách tổng quan về nguy cơ đối với an ninh mạng, các hình thức tấn công qua mạng hiện đại, các phương pháp quản lý giám sát an ninh phòng chống, từ đó đặt ra vấn đề nghiên cứu của luận văn. Chương II: Kỹ thuật chặn bắt và phân tích gói tin 2 Chương này cho ta hiểu biết khái quát chung, thế nào là chặn bắt và phân tích gói tin, các khái niệm liên quan, và cách thức nguyên lý hoạt động, cũng như cấu tạo của chương trình sniffer. Các phương pháp kỹ thuật được sử dụng trong chương trình chặn bắt Chương III: Ứng dụng của chương trình chặn bắt và phân tích gói tin Chương này ở phần 1 chúng ta tìm hiểu về giao thức TCP/IP và khuôn dạng đóng gói dữ liệu của các gói tin theo giao thức khác nhau. Phần 2 chúng ta tìm hiểu về chương trình chặn bắt và phân tích gói tin wireshark. 3 CHƯƠNG I – TỔNG QUAN ĐỀ TÀI PHN 1. GII THIU Đ TÀI 1.1 Nguy c đi vi an ninh mng a) Mất an ninh mạng có thể xảy đến với toàn mạng và bất cứ phần tử nào của mạng. Sự mất an toàn có thể xảy đến với thông tin lưu trữ trong một host, một web server, một router, một mail server, proxy server, … hay đối với các thông tin lưu thông trong mạng và cả băng thông của mạng. b) Mất an ninh mạng có thể đến từ ngoài và cả bên trong nội bộ hệ thống mạng, trong đó Internet không phải là nguồn duy nhất. Hacker có thể là người hoàn toàn xa lạ từ bên ngoài thâm nhập vào mà cũng có thể là nhân viên ở phòng bên cạnh hay chính là một trong những người sử dụng mạng nội bộ. c) Mất an ninh mạng có thể đến từ người sử dụng hợp pháp lẫn không hợp pháp. Người sử dụng hợp pháp thì thường có sẵn những quyền nhất định đối với hệ thống mạng nên nếu họ có ý định hack một phần tử nào đó của mạng thì tổn thất cũng sẽ lớn hơn. d) Mất an ninh mạng có thể do hành động cố ý hoặc chỉ là vô tình. Ngoài những hành động cố ý phá hoại thì có thể chúng ta sẽ vô tình để lộ những dấu vết, điểm yếu của hệ thống mạng trong khi sử dụng, vô tình sử dụng một phần mềm có hại, từ đó dẫn đến việc hacker có thể lợi dụng 4 Hình 1.2: Mô hình các loại tổ chức bị tin tặc hacker tấn công 1.2 Mc đích nghiên cu ca đ tài Đánh giá phân tích lưu lượng thông tin đi vào và đi ra của doanh nghiệp, qua đó giám sát được an ninh bảo mật về các luồng thông tin vào ra này có bị dòm ngó bởi các cuộc tấn công từ bên ngoài cũng như lỗ hổng bảo mật, điểm yếu phát sinh từ bên trong, mà người quản trị sẽ lường trước được rủi ro sẽ xảy ra, từ đó đưa ra các phương án chính sách phòng chống hợp lý, tránh trường hợp xấu và đáng tiếc xảy ra như (mất dữ liệu, mất thông tin password, nghẽn mạng, thông tin đưa lên bị sai lệch nội dung, bị lợi dụng làm phần tử tham gia vào các cuộc tấn công mà không hề biết , ảnh hưởng không nhỏ đến lợi ích của doanh nghiệp cũng như lợi ích của từng cá nhân bên trong doanh nghiệp. 1.3 Mc tiêu và mong mun kt qu đt đc ca đ tài a) Mục tiêu của đề tài là nghiên cứu xây dựng được 1 hệ thống giám sát thông tin cho cơ quan với số lượng người sử dụng khoảng 500, đảm bảo được an ninh, an toàn cho người sử 5 dụng mạng trong cơ quan trao đổi thông tin với nhau bên trong, cũng như đi ra bên ngoài internet. b) Mong muốn kết quả đạt được của đề tài là đem lại sự hiểu biết sâu sắc hơn cho người quản trị mạng, và người sử dụng mạng về việc làm thế nào để biết được và phân tích được gói tin đi vào và đi ra của mình trên mạng sao cho an toàn, đảm bảo không bị mất mát dữ liệu, thông tin, hay bị dòm ngó bới hacker và hướng cho người quản trị biết cách phát hiện và phòng tránh cũng như sử dụng biện pháp ngăn chặn hữu ích nhất cho hệ thống. c) Tóm tắt các tiêu chí đặt ra cho mục tiêu như sau - Phân tích hiệu năng làm việc hoặc sự cố mạng. - Nhận biết sự xâm nhập mạng, rò rỉ thông tin - Quản lý sử dụng mạng. - Tập hợp thông tin báo cáo về trạng thái mạng. - Sửa lỗi, bảo trì các hình thái, giao thức mạng. - Lọc lấy thông tin cần thiết được lưu chuyển trên mạng, đưa về dạng phù hợp để con người có thể đọc. - Hiểu được cấu tạo mạng, biết được ai đang sử dụng băng thông mạng, phát hiện các điểm yếu, các khả năng tấn công và các hành vi phá hoại - Chặn bắt, giải mã và phân tích nội dung phần header của gói tin, nhằm phát hiện nguồn gốc của gói tin, cũng như mã độc ẩn chứa bên trong gói tin 6 Hình 1.3: Mô hình hệ thống tường lửa, giám sát mạng 1.4 Đi tng và phm vi nghiên cu ca đ tài Áp dụng đối với doanh nghiệp, công ty, đơn vị nhà nước vừa và nhỏ. Trong phạm vi của đề tài sẽ được thực hiện trên hệ điều hành Window và sử dụng bộ giao thức TCP/IP Ethernet nên trong phần này, sẽ trình bày những vấn đề cơ bản nhất của mạng Ethernet. 1.5 Phng pháp nghiên cu ca đ tài Phân tích nội dung gói tin vào ra mạng bằng phương pháp sử dụng phần mềm sniffer để bắt giữ gói tin lại, sau đó đưa vào xử lý phân tích Packet Analyzer. Cuối cùng đưa ra màn hình hiển thị thông báo cảnh báo cho người quản trị hệ thống PHN 2. GII THIU CÁC HÌNH THC TN CÔNG 1. Các hình thc tn công 1.1. Tn công t chi dch v DoS/DdoS Đây là dạng tấn công phá hoại, làm lụt máy chủ bằng cách gửi rất nhiều request đến (từ rất nhiều địa chỉ IP) làm cho máy chủ 7 không đủ khả năng xử lý (đo bằng số request/giây), thường hacker giả mạo địa chỉ IP nguồn, giả mạo nhiều địa chỉ và dùng các giao thức khác nhau (TCP, IP) để bước qua hệ thống an ninh, nạn nhân khó phân biệt giữa hacker và người sử dụng bình thường 1.2. Gi mo đa ch IP - IP Spoofing Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp. Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi. 1.3. Tn công trc tip Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. 1.4. Nghe trm Việc nghe trộm thông tin trên mạng có thể để lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng. Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập truy cập hệ thống. 8 1.5. Vô hiu hóa các chc năng ca h thng mc tiêu Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế. Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng. 1.6. S dng li ca ngi qun tr h thng Đây không phải là một kiểu tấn công của những kẻ đột nhập, tuy nhiên lỗi của người quản trị hệ thống thường tạo ra những lỗ hổng cho phép kẻ tấn công sử dụng để truy nhập vào mạng nội bộ. 2. Các k thut xâm nhp mng 2.1. RÌNH MÒ (SNOOPING) Đa số người sử dụng đều nghĩ rằng dữ liệu truyền đi từ máy tính của mình sẽ được bảo vệ và có thể chu du khắp Internet mà không bị một kẻ nào đó chặn lại. Nhưng thực ra đây là một quan niệm sai lầm. Sự kết hợp của các máy tính bị tấn công và các lỗ hổng trong mạng không dây đã làm tăng đáng kể khả năng xâm nhập vào luồng thông tin đang lưu chuyển của bạn. 2.2. ĐÁNH LỪA (SPOOFING), (ĐÁNH LỪA IP,…) Đây là sự giả mạo địa chỉ IP hoặc khống chế tập lưu trữ thông tin về địa chỉ này trong hệ thống mạng. Hacker thường dùng cách này để mạo danh là máy tính hợp pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn công. [...]... khai gi i pháp ng d ng vào th c t a) Mô tả giải pháp 01 máy chủ ISA firewall out, làm nhiệm vụ tường lửa firewall cho toàn mạng và giám sát mạng, trên hệ điều hành có cài phần mềm wireshark chuyên dùng để bắt giữ phân tích gói tin vào ra của cả hệ thống Người quản trị có thể remote vào máy chủ này để có thể kiểm tra, phân tích tình hình hệ thống của mình Dựa vào việc phân tích gói tin của cả hệ thống truyền... của tôi có thể phong phú hơn 25 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN XUÂN TRƯỜNG NGHIÊN CỨU PHƯƠNG PHÁP GIÁM SÁT PHÂN TÍCH THÔNG TIN VÀO RA HỆ THỐNG MẠNG DOANH NGHIỆP 26 Chuyên ngành: Kỹ thuật Điện tử Mã số: 60.52.70 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NÔI - 2012 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS Trịnh Anh Tuấn... này đưa ra cho chúng ta cái nhìn khái quát mọi vấn đề về an ninh an toàn hệ thống mạng hiện tại và các phương pháp phòng tránh nâng cao hiệu quả bảo 11 vệ thông tin, dữ liệu Nhiệm vụ cấp thiết đề ra và mong muốn kết quả đạt được của đề tài này CH NG II K THU T CH N B T VÀ PHÂN TÍCH GÓI TIN 1 T ng Quan V Ch n B t Gói Tin (Sniffer) 1.1 Th nào là ch n b t và phân tích gói tin Phân tích gói tin, thông thường... cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích hiệu năng làm việc hoặc sự cố mạng, nhận biết sự xâm nhập mạng, rò rỉ thông tin 4 Nh n xét đánh giá so sánh u nh c đi m Để đảm bảo bảo mật an toàn tuyệt đối hệ thống mạng doanh nghiệp, thì phải kết hợp cả 3 loại phương pháp trên, bởi vì mỗi phương pháp có một ưu điểm nổi trội mạnh mẽ riêng... chặn bắt và phân tích gói tin như thế nào cho phù hợp, theo dõi, phân tích, đảm bảo an ninh, an toàn cho hệ thống mạng nội bộ của mình - Giảm thiểu rủi ro cho hệ thống theo phương pháp chủ động - Bảo mật các thành phần quan trọng của cơ sở hạ tầng mạng thông qua các biện pháp chủ động phát hiện - Bảo vệ hệ thống trước nguy cơ tấn công ngày càng đa dạng Hiện nay đề tài mới dừng lại việc nghiên cứu ở phạm... và phân tích gói tin trên nền hệ thống Win32 Rất nhiều các ứng dụng mạng hiện nay dựa trên Socket truy cập mạng dựa vào hệ điều hành do hệ điều hành đã thực hiện hầu như các công việc ở mức thấp 4 Các b c th c hi n b t gi và phân tích t ng h p gói tin Trong phần này chúng ta sẽ phân tích phương hướng và giải thuật thực hiện chương trình mà không quan tâm tới công nghệ cụ thể Để chặn bắt và phân tích. .. th ng qu n lý giám sát, b t gi và phân tích chuyên sâu gói tin DPI (Deep packet inpection) wireshark Wireshark là 1 trong những ứng dụng phân tích dữ liệu gói tin lưu chuyển trên hệ thống mạng, với khả năng theo dõi, giám sát các gói tin theo thời gian thực, hiển thị chính xác, báo cáo cho người dùng qua giao diện khá đơn giản và thân thiện Wireshark dùng để phân tích các giao thức của mạng, cho phép... giải mã và phân tích nội dung phần header của gói tin, nhằm phát hiện nguồn gốc của gói tin, cũng như mã độc ẩn chứa bên trong gói tin c) Phương pháp Sử dụng chương trình bắt giữ và phân tích gói tin WIRESHARK khá nổi tiếng trên thế giới để bắt giữ dữ liệu thô phần header của các gói tin đi qua card mạng theo thời gian thực, sau đó đưa chúng vào xử lý phân tích các dữ liệu thô đó, rồi giải mã ra, cuối... biến ở Việt Nam Các chương trình này được truyền nhau thông qua các diễn đàn (forum) trên mạng PH N 3 CÁC PH NG PHÁP QU N LÝ GI M SÁT AN NINH PHÒNG CH NG 1 H th ng t ng l a ISA Hệ thống ISA là hệ thống đáp ứng nhu cầu bảo vệ và chia sẻ băng thông trong các công ty có quy mô trung bình, hệ thống này dùng để kiểm soát các luồng dữ liệu vào ra hệ thống mạng nội bộ của công ty, kiểm soát quá trình truy cập... cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật 1.2 Các khái ni m liên quan  Packet là một đơn vị dữ liệu được định dạng để lưu chuyển trên mạng  Network Traffic là lưu lượng thông tin vào /ra hệ thống mạng Để . lựa chọn thực hiện đồ án tốt nghiệp là Nghiên cứu phương pháp giám sát, phân tích thông tin vào ra, hệ thống mạng doanh nghiệp ” nhằm mục đích cung. CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NGUYỄN XUÂN TRƯỜNG NGHIÊN C ỨU PH ƯƠNG PHÁP GIÁM SÁT, PHÂN TÍCH THÔNG TIN VÀO RA HỆ THỐNG MẠNG DOANH NGHIỆP