BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ TÊN ĐỀ TÀI: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG Giảng viên hướng dẫn : Nhóm sinh viên thực : Lớp : Tháng 06 / 2010 Thầy Lộc Đức Huy Nguyễn Đức Tú Nguyễn Vương Huy VT071A BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ TÊN ĐỀ TÀI: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG Giảng viên hướng dẫn : Nhóm sinh viên thực : Lớp : Tháng 06 / 2010 Ngày nộp báo cáo Người nhận báo cáo (ký tên, ghi rõ họ tên) Thầy Lộc Đức Huy Nguyễn Đức Tú Nguyễn Vương Huy VT071A TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP Mỗi sinh viên phải viết riêng báo cáo Phiếu phải dán trang báo cáo Họ tên sinh viên/nhóm sinh viên thực đề tài: (Sĩ số sinh viên nhóm : 2) 1) SV1 : Nguyễn Đức Tú Lớp : VT071A 2) SV2 : Nguyễn Vương Huy Lớp : VT071A Ngành: Mạng máy tính Tên đề tài: Xây dựng phương thức giám sát, ghi nhận kiện đánh giá hiệu cho hệ thống * Các liệu ban đầu:  ISA Server 2006 ( Forefront security )  Window Server 2003, PCs, v v * Các yêu cầu đặc biệt:  Mô mạng Solarwind  Thiết kế hệ thống mạng giả định  * Các kết tối thiểu phải có:  Ghi nhận, kiểm sốt đánh chặn tối ưu hóa hệ thống mạng  Ngày giao đề tài: 15/03/2010 Họ tên GV hướng dẫn: Lộc Đức Huy Chữ ký: i TÓM TẮT Trong vịng 14 tuần thực đề tài “Tìm hiểu xây dựng phương thức giám sát, ghi nhận kiện đánh giá hiệu hệ thống” đạt kết sau: - Nắm bắt hiểu rõ khái niệm bảo mật, giám sát thông tin, thành phần hệ thống giám sát tường lửa - Qui trình xây dựng hệ thống giám sát - Triển khai hệ thống giám sát, ghi nhận kiện hệ thống Audit, Snort, Forefront TMG 2010 - Đánh giá hiệu làm việc yếu tố ảnh hưởng mơ hình hệ thống ii LỜI CẢM ƠN Chúng chân thành cảm ơn tới thầy cô văn phịng khoa Khoa Học – Cơng Nghệ, trường Đại học Hoa Sen tạo điều kiện cho có hội thực đề tài này, cập nhật gửi thông tin liên quan q trình thực đề tài Bên cạnh đó, hỗ trợ nhiệt tình, tư vấn hiệu từ giảng viên hướng dẫn – thầy Lộc Đức Huy, không quên gửi lời cảm ơn tới anh phụ trách phòng máy iii NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN iv MỤC LỤC PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP i TÓM TẮT ii LỜI CẢM ƠN iii NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN iv MỤC LỤC v DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU x ĐẶT VẤN ĐỀ 1 Lý Do Chọn Đề Tài Mục Tiêu Đạt Được Sau Đề Tài PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN Tổng Quan Về Bảo Mật Thông Tin 3.1 3.2 Các loại công 3.3 Khái quát bảo mật thông tin Nhiệm vụ người quản trị Tổng Quan Giám Sát Thông Tin 4.1 4.2 Mục đích 4.3 Lợi ích việc giám sát thông tin 4.4 Khái quát giám sát thông tin Vai trị giám sát thơng tin Nguyên Tắc Về Bảo Mật Thông Tin 5.1 Chiến lược bảo mật hệ thống 5.2 An ninh bảo mật mạng PHẦN II: CÁC THÀNH PHẦN GIÁM SÁT HỆ THỐNG 11 v Hệ Thống IDS Và IPS 11 6.1 IDS (Hệ thống phát xâm nhập) 11 6.1.1 Kiến trúc hệ thống IDS 11 6.1.2 Phân loại IDS 12 6.1.3 Các chế phát xâm nhập 15 6.2 IPS (Hệ thống ngăn chặn xâm nhập) 17 6.2.1 Kiến trúc hệ thống IPS 17 6.2.2 Phân loại IPS 19 6.2.3 Phân loại triển khai IPS 20 6.2.4 Công nghệ ngăn chặn xâm nhập IPS 21 6.3 Đối chiếu IDS IPS 24 Tìm Hiểu Về Hệ Thống Firewall 25 7.1 Chức Năng 25 7.2 Các thành phần chế hoạt động Firewall 25 7.2.1 Bộ lọc packet (packet-filtering router) 25 7.2.2 Cổng ứng dụng (application-level-gateway) 26 7.2.3 Cổng vòng (Circuit level Gateway) 27 7.3 Những hạn chế firewall 27 7.4 Các ví dụ Firewall 28 7.5 Các kiểu công 30 7.5.1 7.5.2 Giả mạo danh tính 32 7.5.3 Tấn công từ chối dịch vụ (Denial of Service Attacks) 30 Tấn công SMB 34 CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN HIỆU NĂNG HỆ THỐNG 36 PHẦN III: TRIỂN KHAI CÁC MƠ HÌNH HỆ THỐNG 37 vi Audit Policies 37 9.1 Khái quát sách giám sát kiện 37 9.2 Các hạng mục Event Viewer 39 9.2.1 Custom view 39 9.2.2 Windows logs 40 9.2.3 Applications and Services Logs 41 9.3 Xây dựng triển khai mô hình mạng 42 9.3.1 9.4 Mơ hình lab thực 42 Thiết lập sách giám sát 42 9.4.1 Application log 42 9.4.2 Audit account logon events 43 9.4.3 Audit account management 45 9.4.4 Audit directory service access 48 9.4.5 Audit logon events 50 9.4.6 Audit object access 52 9.4.7 Audit policy change 56 9.4.8 Audit privilege use 57 9.4.9 Audit process tracking 58 9.4.10 Audit system events 61 9.5 Giám sát hệ thống command-line 62 9.6 Nhận xét 64 10 Xây dựng hệ thống giám sát với SNORT 65 10.1 Giới thiệu Snort 65 10.2 Cấu trúc Snort 65 10.3 Các chế độ hoạt động Snort 67 vii 10.3.1 Snort hoạt động Sniffer 67 10.3.2 Snort Packet Logger 70 10.3.3 Snort NIDS 70 10.4 Khái quát Rules 71 10.4.1 Cấu trúc rule 71 10.4.2 Cấu trúc phần Header 72 10.4.3 Cấu trúc phần Options 73 10.5 Hiện thị cảnh báo 74 10.6 Hiệu Snort 75 10.7 Mơ hình triển khai Snort 78 10.8 Tấn công mạng nội 79 10.8.1 Tấn công ARP Cache 80 10.8.2 Tấn công SMB 81 10.8.3 Tấn công Smurf attack 82 10.8.4 Tấn công Land attack 82 10.8.5 Tấn công Dos với HTTP Post 82 10.8.6 Một số rule cảnh báo 82 10.9 11 Nhận xét 83 Xây dựng hệ thống giám sát với Forefront TMG 84 11.1 Tìm hiểu tổng quan Forefront TMG 84 11.1.1 Một số tính Forefront TMG: 84 11.1.2 Đặc điểm Forefront TMG: 85 11.2 Mơ hình triển khai 86 11.2.1 Thiết lập sách tường lửa 87 11.2.2 Phát ngăn chặn công 89 viii Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp BASE có hỗ trợ trang tìm kiếm ip như: http://www.dshield.org/ipinfo.html http://www.trustedsource.org/ http://isc.sans.org/ipinfo.html Hình 106 Trang web tìm kiếm Ví dụ với trang http://isc.sans.org/ipinfo.html ta biết xác ip đâu Hình 107 Thơng tin IP Để theo dõi thời gian thực file log ta gõ lệnh : tail –f /var/log/snort/alert , lệnh tail dùng để xem liên tục alert, có phát sinh Hình 108 lệnh tail –f Đọc file log –r Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện Đánh Giá Hiệu Năng Cho Hệ Thống Trang 110 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp #snort -dv -r /var/log/snort/snort.log.1077725466 Đọc file log show traffic có dạng TCP #snort -dv -r /var/log/snort/snort.log.107657944 tcp Quay lại với terminal: snort –c /etc/snort/snort.conf –l /var/log/snort –i eth0, ta ấn thoát bảng Khi dừng chế độ sniffer, Snort tạo bảng tóm tắt gói tin bắt giữ, bao gồm giao thức, thống kê phân mảnh tái hợp gói tin Hình 109 Bảng tóm tắt gói tin bắt giữ Cài đặt Snort Window Với mơ hình Lab tiến hành cài snort Window Server 2008 a Các gói cài đặt Gói cài đặt Địa down Mô tả Snort_2_8_6_Installer.e xe http://www.snort.org/down loads Phần mềm cài snort snortrules-snapshot2.8.tar.gz http://www.snort.org/down loads Các rules snort WinPcap_4_1_1.exe http://www.winpcap.org/in Phần mềm stall/default.htm cài WinPcap Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện Đánh Giá Hiệu Năng Cho Hệ Thống Trang 111 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Cài WinPcap trước cài snort_2_8_6 Tiến hành cài Snort_2_8_6_Installer.exe Installation Options có chế lưu trữ file log theo sở liệu Microsoft SQL server hay Oracle Do lưu trữ log Event Log nên chọn Hình 110 Installation Options Các bước cài mặc định b Cấu hình thơng số Snort File cấu hình C:/Snort/etc/snort.conf Sửa dịng save lại Khai báo lớp mạng bên var HOME_NET 192.168.1.0/24 Khai báo lớp mạng bên ngoài, “any” mạng var EXTERNAL_NET any Khai báo vị trí rules, var RULE_PATH c:\snort\rules Khai báo biến include classification.config reference.config include C:Snort\etc\classification.config include C:Snort\etc\reference.config Khai báo đường dẫn đến thư viện dynamic preprocessor C:\Snort\lib\snort_dynamicpreprocessor Khai báo đường dẫn đến base preprocessor engine C:\Snort\lib\snort_dynamicengine\sf_engine.dll Xuất file log # output log_tcpdump: tcpdump.log output alert_fast: alerts.ids c Cài đặt rules cho Snort Giải nén snortrules-snapshot-2.8.tar.gz, copy rules vào thư mục C:\Snort d Chạy thử Snort Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện Đánh Giá Hiệu Năng Cho Hệ Thống Trang 112 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp cd C:\Snort\bin c:\Snort\bin>snort -c c:\snort\etc\snort.conf -l c:\snort\log Nếu gặp lỗi xóa file sf_sdf.dll từ C:\Snort\lib\snort_dynamicpreprocessor ERROR: Failed to initialize dynamic preprocessor: SF_SDF (IPV6) version 1.1.1 Fatal Error, Quitting Cài đặt thành cơng Snort Hình 111 Not Using PCAP_FRAMES Win Từ khóa i Từ khóa thơng dụng  Từ khóa msg msg: “noi dung” Hiển thị thơng báo alert file log  Từ khóa gid gid: ; Tạo gid cho rule Từ khóa gid dùng để xác định Snort tạo kiện có báo động Ví dụ gid liên kết với hệ thống phụ gids 100 thiết kế cho preprocessors cụ thể giải mã Tùy chọn nên sử dụng với sid, để tránh việc đụng độ giá trị với thành phần khác, ta nên đặt gid lớn 1.000.000.Ví dụ: alert tcp any any -> any 80 (content:"yahoo"; gid:1000001; sid:1; rev:1;)  Từ khóa sid sid: ; Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện Đánh Giá Hiệu Năng Cho Hệ Thống Trang 113 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Tạo sid cho rule Từ khóa sid sử dụng để nhận diện quy tắc Snort thông tin cho phép output plugin xác định quy tắc dễ dàng Tùy chọn nên sử dụng với từ khố rev Chú ý: • 1.000.000 Được sử dụng cho rule cục Ví dụ: alert tcp any any -> any 80 (content:"yahoo"; sid:1000900; rev:1;)  Từ khóa rev rev: ; Từ khóa rev sử dụng để nhận diện phiên sửa đổi quy tắc Snort Nếu cập nhật rule, từ khóa rev sử dụng để phân biệt phiên Tùy chọn nên sử dụng với từ khoá sid Ví dụ: alert tcp any any -> any 80 (content:"yahoo"; sid:1000900; rev:1;)  Từ khóa priority priority: ; Từ khóa định mức độ nghiêm trọng rule.Ví dụ: alert TCP any any -> any 80 (content:"php.image"; msg:"phat hien webvirus"; priority:10;) ii Từ khóa tác động đến payload  Từ khóa content content: [!] ""; Từ khóa tìm mẫu liệu bên gói Mãu thị dạng chuỗi ASCII hay nhị phân hình thức mã hexa Ví dụ luật sau phát mẫu “GET” phần liệu gói TCP xuất phát từ địa 192.168.1.0 từ khóa GET thường sử dụng cho nhiều loại công HTTP: alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “GET”; msg: “phat hien GET”;) Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện Đánh Giá Hiệu Năng Cho Hệ Thống Trang 114 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Rule tương tự liệt kê dạng hexa: alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “|47 45 54|”; msg: “phat hien GET”;) Mã hexa 47= G, 45 = E, 54 = T Ký tự hexa nằm cặp dấu “||” Ký hiệu “!” nghĩa loại trừ, ví dụ phần nội dụng khơng chứa “GET” alert tcp any any -> any 80 (content:!"GET";) Từ khóa content dùng chug với từ khóa: depth, nocase, offset,.v.v  Từ khóa offset offset: ; Từ khóa offset sử dụng để bắt đầu tìm khoảng từ điểm bắt đầu phần liệu gói Dùng số làm đối số cho từ khóa Ví dụ sau bắt đầu tìm từ “HTTP” byte thứ gói alert tcp 192.168.1.0/24 any -> any any (content:"HTTP"; offset: 5; msg: "phat hien HTTP ";)  Từ khóa depth depth: ; Từ khóa depth định giới hạn cho việc lấy mẫu Từ khóa cho phép định khoẳng byte gói Dữ liệu sau khoảng khơng lấy mẫu Nếu kết hợp offset depth với content, vùng liệu mà ta muốn lấy mẫu Ví dụ muốn tìm từ “HTTP”, byte thứ tìm kiếm tối đa đến byte thứ 20: alert tcp 192.168.1.0/24 any -> any any (content:"HTTP"; offset: 5; depth: 20; msg: "phat hien HTTP";)  Từ khóa nocase nocase; Từ khóa nocase khơng có đối số Nocase giúp tìm mẫu liệu khơng phân biệt chữ hoa chữ thường Ví dụ: Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện Đánh Giá Hiệu Năng Cho Hệ Thống Trang 115 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp alert tcp any any -> any 21 (content:"USER root"; msg:"FTP ROOT"; nocase;)  Từ khóa within within: ; Từ khóa within để N bytes nằm so sánh mẫu Ví dụ truy cập vào trang web có 14 byte báo alert , cịn vượt q 14 byte khơng báo: alert tcp any any -> any 80 (content:"www"; content: "com"; msg: "test within "; within:14; sid: 10000003;) iii Từ khóa tác động đến phần khơng payload  Từ khóa flow flow:[(established|stateless)] [,(to_client|to_server|from_client|from_server)] [,(no_stream|only_stream)]; Từ khóa flow dùng để áp dụng rule TCP đến gói phương hướng riêng Từ khóa dùng để xác định phương hướng Từ khóa cho phép rule áp dụng đến client server Ý nghĩa từ khóa Lựa chọn Mơ tả to_client Đáp ứng đến client to_server Đáp ứng đến server from_client Yêu cầu từ client from_server Yếu cầu từ server established stateless no_stream Áp dụng rule để xác lập phiên TCP Áp dụng rule không cần xem trạng thái phiên TCP Bật rule để áp dụng vào gói tin mà không cần xây dựng từ luồng Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện Đánh Giá Hiệu Năng Cho Hệ Thống Trang 116 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp only_stream Áp dụng rule gói xây dựng từ luồng Ví dụ: alert tcp !$HOME_NET any -> $HOME_NET 21 (content:"CWD incoming"; msg:"phat hien cd "; flow:from_client; nocase;)  Từ khóa ttl ttl:[[-]>