Nghiên cứu xây dựng mô hình kiến trúc hệ thống giám sát an toàn mạng máy tính cấp tỉnh

BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --- LÊ QUANG HƯNG NGHIÊN CỨU XÂY DỰNG MÔ HÌNH KIẾN TRÚC HỆ THỐNG GIÁM SÁT AN TOÀN

BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

LÊ QUANG HƯNG

NGHIÊN CỨU XÂY DỰNG MÔ HÌNH KIẾN TRÚC HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH CẤP TỈNH

CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH

MÃ SỐ : 60.48.15

TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TSKH HOÀNG ĐĂNG HẢI

HÀ NỘI - 2010

CHƯƠNG I TỔNG QUAN VỀ VẤN ĐỀ GIÁM SÁT AN TOÀN

MẠNG

1.1 Hiện trạng mạng máy tính cấp tỉnh và tình hình đảm bảo an toàn thông tin

Qua đánh giá sơ bộ của các cuộc khảo sát tại các địa phương do các tổ chức về an toàn thông tin thực hiện như VNCERT, BKIS, cho thấy, hầu hết các hệ thống thông tin đều tồn tại các lỗ hổng bảo mật Các giải pháp an toàn và bảo mật thông tin vẫn còn rất yếu và thiếu

1.1.1 Hiện trạng mô hình mạng máy tính cấp tỉnh

Mạng máy tính cấp tỉnh bao gồm các hệ thống mạng máy tính nội bộ, mạng máy tính diện rộng được sử dụng để phục vụ cho sự điều hành, chỉ đạo, công tác quản lý, sản xuất kinh doanh của các tổ chức, doanh nghiệp trên địa bàn tỉnh

Tùy theo tính chất, nhiệm vụ, cấu hình, có thể chia thành 3 cấp như sau:

Cấp 1: Là vùng mạng trung tâm khá phức tạp với rất nhiều khối chức năng khác nhau, các hệ thống chuyển mạch, định tuyến để các mạng con kết nối trực tiếp vào khai thác cơ sở dữ liệu dùng chung, hệ thống máy chủ cung cấp các dịch vụ chủ

yếu là: Dịch vụ web, truyền file, thư điện tử các dịch vụ trên nền cơ sở dữ liệu Oracle, SQL, Các chương trình ứng dụng… Cấp 2 : Là hệ thống các mạng LAN của các cá nhân, doanh nghiệp có quy mô nhỏ

Cấp 3 : Là các máy trạm người dùng đầu cuối

1.1.2 Đánh giá hiện trạng đảm bảo an toàn mạng máy tính cấp tỉnh

Mạng máy tính cấp tỉnh được phân loại như trên với nhiều đơn vị, nhiều tổ chức có tính chất trên một hệ thống địa lý rộng lớn cấp tỉnh, các thành phần trong hệ thống rất đa dạng Sau khi khảo sát, tìm hiểu tình hình an toàn và bảo mật hệ thống mạng máy tính cấp tỉnh tại các đơn vị, tổ chức, doanh nghiệp trong tỉnh Quảng Trị, em thấy rằng có một số điểm yếu: Về cơ chế, chính sách; thiết kế mạng chưa hợp lý; Cấu hình thiết bị mạng không chặt chẽ…

1.2 Nhu cầu và mục tiêu của hệ thống giám sát an toàn mạng cấp tỉnh

Qua những khảo sát và phân tích hiện trạng nêu trên, việc quản lý an toàn thông tin trên địa bàn tỉnh còn gặp nhiều khó khăn Để có thể theo dõi các hoạt động trên mạng truyền thông cấp tỉnh một cách toàn diện, một nhu cầu thực tế là cần có một

hệ thống theo dõi, giám sát và hỗ trợ cảnh báo về nguy cơ các

tấn công Đây đang là một vấn đề cấp bách đặt ra đối với mạng truyền thông của tỉnh

1.3 Trọng tâm nghiên cứu và định hướng nghiên cứu

Trọng tâm nghiên cứu của luận văn là nghiên cứu tìm hiểu các phương pháp thu thập thông tin an toàn mạng diện rộng, từ

đó đề xuất giải pháp và đưa ra mô hình kiến trúc hệ thống theo dõi, giám sát an toàn mạng máy tính cấp tỉnh

Những định hướng nghiên cứu chính như sau:

- Nghiên cứu tổng quan về vấn đề giám sát an toàn mạng, tìm hiểu các phương thức giám sát mạng, các phương pháp thu thập thông tin an toàn mạng

- Nắm được cơ chế hoạt động các loại tấn công điển hình như DoS, DdoS qua thực hiện thử nghiệm Vận dụng những hiểu biết nghiên cứu được về DoS/DDoS để viết luật cho Sensor Snort

- Đưa ra được mô hình kiến trúc cho hệ thống giám sát mạng máy tính cấp tỉnh Xây dựng cấu hình thử nghiệm với phần mềm mã nguồn mở Snort

1.4 Kết luận

Các yêu cầu về an toàn và bảo mật mạng đã xuất hiện trong hầu hết mọi môi trường ứng dụng mạng, bao gồm mạng ngân hàng, mạng thương mại điện tử, mạng truyền thông của các tổ chức truyền thông Việc phát hiện và xử lý kịp thời khi bị

virus và các mã nguy hiểm lây lan trên hệ thống hoặc khi hệ thống có sự cố xãy ra là cực kỳ cần thiết

CHƯƠNG II CÁC PHƯƠNG THỨC TẤN CÔNG CỦA TIN TẶC

VÀ KHẢ NĂNG THEO DÕI, GIÁM SÁT

2.1 Tổng quan về các phương thức tấn công và khả năng theo dõi, giám sát

Việc nghiên cứu các phương pháp tấn công của tin tặc là chủ đề rất rộng Trong phạm vi nghiên cứu của bài nhằm phục

vụ mục đích nghiên cứu xây dựng đưa ra mô hình kiến trúc hệ thống giám sát an toàn mạng máy tính cấp tỉnh, bài sẽ chỉ nghiên cứu một số phương thức tấn công điển hình

Để có được những phân tích, đánh giá, đưa ra giải pháp hệ thống giám sát an toàn mạng máy tính cấp tỉnh, luận văn sẽ tập trung nghiên cứu các phương pháp tấn công của tin tặc qua việc nghiên cứu các cơ chế của phương pháp tấn công từ chối dịch vụ(DoS) và dịch vụ phân tán(DDoS) đang phổ biến ngày nay

2.2 Tấn công vật lý (Physical Attacks)

Tấn công loại này có thể chia làm 2 loại điển hình là:

Đánh cắp trực tiếp và Nghe trộm mạng

2.3 Tấn công qua lừa đảo (Social Enginering)

2.4 Tấn công vào các lổ hổng bảo mật (Security Hole)

Hai lỗ hổng bảo mật tiêu biểu (do tính phổ biến và mức độ nguy hiểm) điển hình là: Lỗi Unicode IIS và lỗi tràn bộ đệm

2.5 Tấn công vào các lỗi cấu hình hoạt động (Error Configuration)

Lỗ hổng do các ứng dụng của máy chủ có các thiết lập mặc định lúc sản xuất (chạy ở chế độ mặc định) hoặc do người quản trị hệ thống định cấu hình không an toàn, cấu hình sai Một vài lỗi cấu hình tiêu biểu hay bị tấn công như sau:

Lỗi cài điều khiển từ xa (Remote Access Control) qua IIS

Không cần Đăng nhập (No Log-in)

Mật khẩu mặc định (Password-Based Attacks)

2.6 Tấn công dựa vào các điểm yếu của ứng dụng/hệ thống (Vulnerabilities)

SQL Injection

XSS (Cross Site Scripting), Session Hijacking

Code Injection

2.7 Tấn công từ chối dịch vụ (DoS)

Tấn công từ chối dịch vụ (DoS) nhằm mục đích ngăn cản người dùng truy cập hợp pháp vào hệ thống máy tính hay

hệ thống mạng của nạn nhân Có nhiều kỹ thuật tấn công DoS,

do đó có nhiều cách phân loại khác nhau Chúng ta có thể phân loại dựa trên các phương thức tấn công DoS chính, có 2

loại chính, đó là:

2.7.1 Chiếm dụng băng thông (Bandwidth Depletion)

Có 2 loại tấn công chính:

 Tấn công ngập lụt (Flood attack):

Làm ngập bằng cách gửi liên tục các gói tin có kích thước lớn đến hệ thống nạn nhân, làm nghẽn băng thông nạn nhân Có 2 loại Tấn công ngập lụt bằng UDP và bằng ICMP:

 Tấn công khuếch đại (Amplifier attack):

Sử dụng mạng khuếch đại, phương pháp này khuếch đại dòng lưu lượng làm cho hệ thống nạn nhân giảm băng thông đáng kể

2.7.2 Chiếm dụng tài nguyên (Resource Depletion)

Bằng cách lạm dụng quá trình giao tiếp của giao thức mạng hoặc những gói tin dị thường, kẻ tấn côn g (attacker)

sẽ chiếm dụng nguồn tài nguyên hệ thống như CPU, RAM,… khiến cho người dùng chia sẽ không truy xuất được hệ thống do

2.8 Tấn công từ chối dịch vụ phân tán (DDoS)

Có hai kiểu chính của mạng DDoS, đó là mô hình Agent

– Handler và mô hình Internet Relay Chat (IRC-Based)

2.9 Kết luận

Như đã phân tích ở phần trên, các phương thức tấn công của tin tặc hết sức đa dạng và phong phú Việc nghiên cứu tìm hiểu các phương thức tấn công của tin tặc thiết để nghiên cứu xem xét các khả năng theo dõi, giám sát, thu thập thông tin an toàn mạng và xây dựng mô hình kiến trúc hệ thống theo dõi, giám sát an toàn mạng cấp tỉnh như sẽ trình bày trong các phần tiếp theo của bài

CHƯƠNG III CÁC PHƯƠNG PHÁP THU THẬP VÀ XỬ LÝ THÔNG TIN AN TOÀN MẠNG DIỆN RỘNG

3.1 Những phương pháp cơ bản cho theo dõi, giám sát mạng

3.1.1 Theo dõi, giám sát dựa trên dấu hiệu

Phát hiện dựa trên dấu hiệu (signature-based detection) hay còn gọi phát hiện sử dụng sai Phương pháp này phân biệt giữa các hoạt động thông thường của người dùng và hoạt động bất thường để tìm ra được các tấn công nguy hiểm kịp thời Các dấu hiệu được chia thành hai loại:

• Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt động có thể gây ra mối đe dọa về bảo mật Điển hình, chúng

được thể hiện khi mối quan hệ phụ thuộc thời gian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung tính

• Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm kiếm các hoạt động nghi ngờ

 Có hai phương pháp chính đã kết hợp sự phát hiện dấu hiệu này:

• Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều loại tấn công khai thác lỗ hổng trong các gói IP, TCP, UDP hoặc ICMP

• Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công khai thác các lỗ hổng chương trình

 Những ích lợi của việc dựa trên dấu hiệu:

Những file dấu hiệu được tạo nên từ những hoạt động và phương pháp tấn công đã được biết, do đó nếu có sự trùng lặp thì xác suất xảy ra một cuộc tấn công là rất cao Phát hiện sử dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu phát hiện sự bất thường Bởi vì phương pháp phát hiện sử dụng sai dựa trên những dấu hiệu- không phải những mẫu lưu lượng -

hệ thống thu thập, giám sát có thể được định dạng và có thể bắt đầu bảo vệ mạng ngay lập tức

 Những hạn chế của phát hiện dựa trên dấu hiệu:

• Không có khả năng phát hiện những cuộc tấn công mới hay chưa được biết

• Không có khả năng phát hiện những sự thay đổi của những cuộc tấn công đã biết

• Khả năng quản trị cơ sở dữ liệu những dấu hiệu mất nhiều thời gian cũng như khó khăn

• Những bộ cảm biến phải duy trì tình trạng thông tin

• Chúng dường như khó quản lý các tấn công bên trong

3.1.2 Theo dõi, giám sát dựa trên các hành vi bất thường

Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát Sự bất thường là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những

hoạt động, lưu lượng bất thường

 Những lợi ích, ưu điểm của phát hiện bất thường:

Ưu điểm của phương pháp phát hiện bất thường này là:

Có khả năng phát hiện các tấn công mới khi có sự xâm nhập

Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất thường là nó không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết Profile có thể

là động và có thể sử dụng trí tuệ nhân tạo để xác định những hoạt động bình thường Bởi vì phát hiện dựa trên profile không dựa trên những dấu hiệu đã biết, nó thực sự phù hợp cho việc phát hiện những cuộc tấn công chưa hề được biết trước đây miễn là nó chệch khỏi profile bình thường Phát hiện dựa trên profile được sử dụng để phát hiện những phương pháp tấn công mới mà phát hiện bằng dấu hiệu không phát hiện được

 Những hạn chế của phương pháp dựa trên sự bất thường:

• Thời gian chuẩn bị ban đầu cao

• Thường xuyên cập nhật profile khi thói quen người dùng thay đổi

• Khó khăn trong việc định nghĩa cách hành động thông thường

• Cảnh báo nhầm

• Khó hiểu

• Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ làm hệ thống không có được phát hiện bất thường trong giai đoạn đào tạo (lỗi tiêu cực)

3.2 Những phương pháp phân tích phát hiện tấn công

Dưới đây là một số kĩ thuật xử lý phân tích dữ liệu được

mô tả vắn tắt

 Phát hiện xâm nhập dựa trên luật

 Phân biệt ý định người dùng

 Phân tích trạng thái phiên (State-transition analysis)

 Phân tích thống kê (Statistical analysis approach)

 Nghiên cứu miễn dịch

3.3 Những phương pháp cơ bản cho thu thập thông tin trên mạng

Đối với mạng cấp 1 : Lắp đặt các sensors tại những vùng, khu vực, những server quan trọng để thu thập cho từng khu vực hoặc riêng các Server đó

Đối với mạng cấp 2: Là hệ thống mạng LAN các tổ chức, doanh nghiệp vừa và nhỏ thì lắp đặt Sensors tại các node mạng Đối với mạng cấp 3 : Là các Users đầu cuối, thì sử dụng các sensor là các phần mềm cài đặt trên các máy trạm đầu cuối

đó, để thu thập thông tin

Việc thu thập thông tin theo từng cấp như trên ta chia thành 2 phương pháp thu thập chính như sau:

3.3.1 Sử dụng các sensor cài đặt trên toàn mạng

Phương pháp này là sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Thu nhận và phân tích lưu lượng trong thời gian thực, gửi tín hiệu cảnh báo đến trạm quản

trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn

3.3.2 Sử dụng phương pháp cài đặt phần mềm trên các máy chủ, các máy trạm

Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, và quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được

3.4 Kết luận

Chương 3 đã trình bày về các phương pháp cơ bản phục

vụ cho việc thu thập, xử lý phân tích thông tin an toàn mạng trên địa bàn cấp tỉnh Các phương pháp theo dõi, giám sát chủ yếu dựa trên các dấu hiệu hoặc các hành vi bất thường

Những phương pháp đã nêu trong chương này là cơ sở cho

đề xuất, xây dựng mô hình kiến trúc hệ thống theo dõi, giám sát

an toàn mạng cấp tỉnh như sẽ được trình bày trong chương tiếp theo

Một hệ thống giám sát an toàn mạng có khả năng phát hiện các truy nhập trái phép, phân tích các thông tin thu thập được và tạo ra các cảnh báo cho hệ thống hoặc cho người quản trị mạng Trong thực tế hệ thống theo dõi, giám sát an toàn mạng cấp tỉnh cần được chia thành 3 cấp Ứng với tầng cấp có các yêu cầu cụ thể như sau:

4.1.1 Đối với mạng cấp 3

4.1.2 Đối với mạng cấp 2

4.1.3 Đối với mạng cấp 1

Ta phải xác định được các yêu cầu cơ bản về phần cứng

để hệ thống có thể giao tiếp với mạng nhằm phục vụ chức năng giám sát đồng thời cũng có cấu hình đủ mạnh để có thể cài đặt các phần mềm theo yêu cầu cho hệ thống

Do độ phức tạp của tấn công trên mạng ngày càng phát triển, nên yêu cầu đối với phần mềm hệ thống là một sản phẩm hoàn chỉnh là sẽ rất khó Nên có nghĩa là việc tích hợp vào phần mềm hệ thống sẽ được thực hiện trong quá trình phát triển xây dựng hệ thống Tùy theo quy mô của hệ thống giám sát mà cấu hình của các thiết bị trong hệ thống có thể khác nhau

Trong thực tế, ta có thể tích hợp hai hay nhiều chức năng trên trong cùng một phần mềm để thuận tiện cho công tác vận hành và bảo dưỡng hệ thống sau này

4.2 Mô hình kiến trúc hệ thống theo dõi giám sát an toàn mạng cấp tỉnh

4.2.1 Các nhiệm vụ đối với việc theo dõi giám sát mạng máy tính cấp tỉnh

Nhiệm vụ chính của các hệ thống theo dõi, giám sát là bảo vệ cho một hệ thống máy tính dựa trên việc phát hiện các dấu hiệu tấn công và đưa ra cảnh báo Việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản Cũng phục vụ cho việc nghiên cứu có pháp lý các tình tiết và việc cài đặt các bản

vá thích hợp để cho phép phát hiện các tấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống

4.2.2 Kiến trúc chung của các hệ thống theo dõi, giám sát

Hệ thống thu thập, giám sát mạng được xem là thành công nếu chúng hội tụ được các yếu tố: Thực hiện nhanh, chính xác, phân tích được toàn bộ thông lượng, cảm biến tối đa, đưa ra các thông báo hợp lý để ngǎn chặn thành công Tại Trung tâm giám sát, hệ thống gồm 3 modul chính:

Thu thập thông tin mạng Phân tích – lọc các thông tin

Hỗ trợ cảnh báo, điều khiển cấu

Lưu trữ

dữ liệu