Đồ án tốt nghiệp LỜI CẢM ƠN Để có thể hoàn thành được đồ án tốt nghiệp này là một quá trình tích lũy kiến thức lâu dài dưới mái trường học viện. Trong quá trình đó, học tập của em đã nhận được sự hướng dẫn, giúp đỡ rất tận tình của Thầy Cô, bạn bè. Em xin chân thành gửi lời cảm ơn đến tất cả các Thầy Cô giáo của Học Viện Kỹ thuật mật mã đã tận tình hướng dẫn và truyền đạt kiến thức cho em, nó sẽ là hành trang quý giá nhất cho em bước vào đời. Em xin chân thành cảm ơn Tiến sỹ Nguyễn Hông Quang tận tình chỉ bảo và đóng góp ý kiến trong trong suốt quá trình em làm đồ án tốt nghiệp này. Em xin cảm ơn các Thầy Cô trong khoa An toàn thông tin đã tạo điều kiện cho em hoàn thành tốt đồ án tốt nghiệp này. Cuối cùng em cũng xin cảm ơn gia đình, bạn bè những người thân luôn bên cạnh động viên, giúp đỡ và tạo mọi điều kiện thuận lợi cho em. Do còn hạn chế về kiến thức và kinh nghiệm nên luân văn còn nhiều thiếu sót em rất mong được sự phê bình, đánh giá và góp ý của thầy cô và các bạn. Em xin chân thành cảm ơn! Hà nội, Ngày Tháng 06 Năm 2009. Sinh viên Lê Minh Hùng 1 Đồ án tốt nghiệp MỤC LỤC LỜI CẢM ƠN 1 MỤC LỤC 2 MỞ ĐẦU 5 CHƯƠNG I 7 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 7 1.1. Tổng quan về các nguy cơ an ninh 7 1.1.1. Những kiểu tấn công nhằm vào điểm yếu của hệ thống 7 1.1.1.1. Kiểu tấn công thăm dò 7 1.1.1.2. Kiểu tấn công truy cập 8 1.1.1.3. Kiểu tấn công từ chối dịch vụ 9 1.1.1.4. Kiểu tấn công qua ứng dụng web 10 1.1.2. Vấn đề bảo mật hệ thống mạng 12 1.1.2.1. Các vấn dề chung về bảo mật hệ thống mạng 12 1.1.2.2. Khái niệm bảo mật hệ thống mạng máy tính 13 1.1.2.3. Lỗ hổng bảo mật và phương thức tấn công mạng 14 1.1.2.4. Vấn đề bảo mật cho hệ thống mạng doanh nghiệp 16 1.2. Tổng quan về hệ thống phát hiện và phòng chống xâm nhập 17 1.2.1. Định nghĩa 17 1.2.2. Vai trò của hệ thống phát hiện xâm nhập IDPS 18 1.2.3. Những ưu điểm và hạn chế của hệ thống 19 1.2.4. Kiếm trúc chung của hệ thống phát hiện xâm nhập 19 1.2.4.1. Phân loại hệ thống phát hiện xâm nhập IDPS 19 1.2.4.2. Mô hình, cấu trúc và hoạt động của hệ thống 21 CHƯƠNG II 30 HỆ THỐNG PHẦN MỀM PHÁT HIỆN XÂM NHẬP SNORT 30 2.1. Tổng quan về Snort 30 2.1.1. Khái niệm 30 2.1.2. Các đặc tính 30 2.2. Các thành phần của Snort 32 2.2.1. Bộ phận giải mã gói 32 2.2.2. Bộ phận xử lí trước 33 2.2.3. Bộ phận phát hiện 34 2.2.3.1. Những biểu thức thông thường cho SQL injection 34 2 Đồ án tốt nghiệp 2.3.2.2. Những biểu thức thông thường cho CSS 38 2.2.4. Hệ thống ghi và cảnh báo 41 2.2.5. Bộ phận đầu ra 41 2.3. Các chế độ làm việc của Snort 42 2.3.1. Chế độ “lắng nghe” mạng 42 2.3.2. Chế độ phát hiện xâm nhập mạng 44 2.4. Làm việc với tập luật của Snort 45 2.4.1. Luật dở đầu tiên: 46 2.4.2. Cấu trúc chung của luật trong Snort 46 2.4.2.1. Rule header 46 2.4.2.2. Rule option 48 CHƯƠNG III 56 TRIỂN KHAI SNORT BẢO VỆ HÊ THỐNG MẠNG 56 3.1. Tiêu chí triển khai 56 3.1.2. Một số chú ý khi triển khai 56 3.1.2. Các hệ thống và mạng phải giám sát 57 3.1.3. Tạo các điểm kết nối 58 3.1.4. Lưu lượng mã hóa 58 3.1.5. Bảo mật bộ cảm biến Snort 59 3.1.6. Chọn một hệ điều hành 59 3.1.7. Cấu hình các giao diện 60 3.2. Xây dựng snort bảo vệ hệ thống mạng 61 3.2.1. Tham khảo một số mô hình thực tế 61 3.2.2. Xây dựng mô hình 63 3.4. Triển khai cơ sở hạ tầng 65 3.4.1. Cấu hình 65 3.4.2. Cài đặt snort trong hệ thống ubuntu 65 3.4.3. Cấu hình với file Snort.conf 69 3.5. Phân tích snort bảo vệ hệ thống trước các cuộc tấn công 75 3.5.1. Mô hình tấn công 75 3.5.2. Tấn công Dos 75 3.5.2.1. Kịch bản tấn công 75 3.5.2.2. Phân tích kỹ thuật tấn công của hacker 76 79 3.5.2.3. Kết luận 79 3.5.3. Tấn công sql injection 79 3.5.3.1. Kịch bản tấn công 80 3.5.3.2. Phân tích tấn công 81 3 Đồ án tốt nghiệp 3.5.3.3 Kết luận 85 KẾT LUẬN 86 1. Những vấn đề gặp phải khi sử dụng IDS 86 2. IPS là giải pháp: 86 3. Đánh giá và xu hướng phát triển của IDS 87 BẢNG KÝ HIỆU VIẾT TẮT 89 PHỤ LỤC HÌNH ẢNH 90 PHỤ LỤC CÁC BẢNG 92 TÀI LIỆU THAM KHẢO 93 4 Đồ án tốt nghiệp MỞ ĐẦU Với nhu cầu trao đổi thông tin, bắt buộc các cơ quan, tổ chức phải hòa mình vào mạng toàn cầu Internet. An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức với Internet. Ngày nay, các biện pháp an toàn thông tin cho máy tính cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin, …gây nên những hậu quả vô cùng nghiêm trọng. Những vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của các công ty lớn như Microsoft, IBM, các trường đại học và các cơ quan nhà nước, các tổ chức quân sự, nhà băng, …một số vụ tấn công với quy mô khổng lồ (có tới 100.000 máy tính bị tấn công). Hơn nữa những con số này chỉ là phần nổi của tảng băng trôi. Một phần rất lớn các vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị dự án không hề hay biết những vụ tấn công nhằm vào hệ thống của họ. Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên quản trị hệ thống ngày càng đề cao cảnh giác. Vì vậy việc kết nối vào mạng Internet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự sát. Từ nhu cầu phát triển, đòi hỏi các cơ quan, tổ chức phải hòa mình vào mạng toàn cầu, mạng Internet song vẫn phải đảm bảo an toàn thông tin trong quá trình kết nối. Bởi vậy, em đã quyết định chọn đề tài”Tìm hiểu và nghiên cứu hệ thống phần mềm phát hiện và phòng chống xâm nhập”, nhằm giám sát luồng thông tin ra, vào và bảo vệ các hệ thống mạng khỏi sự tấn công từ Internet. Nội dung đề tài này sẽ trình bày một cách khái quát về hệ thống phát hiện và phòng chống xâm nhập(IDS&IPS), cách bảo vệ mạng bằng Snort, cách xây dựng Snort trên hệ thống mã nguồn mở sao cho hệ thống vừa an toàn vừa tiết kiệm một cách tối đa. Nội dung chính của đề tài gồm 3 chương như sau: 5 Đồ án tốt nghiệp Chương 1: Tổng quan về hệ thống phát hiện và phòng chống xâm nhập. Chương này mô tả khái niệm, vai trò và những ưu nhược điểm của hệ thống phát hiện nhập, nghiên cứu mô hình kiến trúc và hoạt động của hệ thống phát hiện và phòng chống xâm nhập Chương 2: Cấu trúc snort, chức năng snort, luật snort. Nghiên cứu về hệ thống Snort bao gồm: cấu trúc, các thành phần, chế độ làm việc, tập luật của Snort. Chương 3: Triển khai snort trên một hệ thống mạng. Phân tích và đánh giá hoạt động của Snort thông qua mô phỏng một vài kiểu tấn công mạng. 6 Đồ án tốt nghiệp CHƯƠNG I TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1. Tổng quan về các nguy cơ an ninh. Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong mọi hoạt động của xã hội. Vấn đề bảo đảm an ninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các tổ chức, các nhà cung cấp dịch vụ. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ cố định. Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống. 1.1.1. Những kiểu tấn công nhằm vào điểm yếu của hệ thống. Có bốn kiểu tấn công đặc biệt là:  Thăm dò.  Truy cập.  Từ chối dịch vụ (DoS).  Ứng dụng web. 1.1.1.1. Kiểu tấn công thăm dò. Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống. Các cách tấn công truy cập hay DoS thường được tiến hành bởi kiểu tấn công thăm dò. Hiển nhiên, các hacker phải biết có thể tấn công cái gì trước khi xâm nhập. Thăm dò giống như một kẻ trộm nhà băng muốn biết có bao nhiêu bảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí của chúng và đường thoát hiểm. Thăm dò là một kiểu tấn công, nó cũng là một giai đoạn tấn công. 7 Đồ án tốt nghiệp Hình 1: Tấn công thăm dò IP. 1.1.1.2. Kiểu tấn công truy cập. Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏi người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền, hay đơn giản chỉ là truy cập vào hệ thống: a). Tấn công truy cập hệ thống: Truy cập hệ thống là hành động nhằm đạt được quyền truy cập bất hợp pháp đến một hệ thống mà ở đó hacker không có tài khoản sử dụng. Hacker thường tìm kiếm quyền truy cập đến một thiết bị bằng cách chạy một đoạn mã hay bằng những công cụ hack (hacking tool), hay là khai thác một yếu điểm của ứng dụng hoặc một dịch vụ đang chạy trên máy chủ. b). Tấn công truy cập thao túng dữ liệu: Thao túng dữ liệu xuất hiện khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu. Nó có thể đơn giản như việc tìm phần mềm chia sẻ (share) trên máy tính Window 9x hay NT, hay khó hơn như việc cố gắng xâm nhập một hệ thống tín dụng của cục thông tin (credit bureau’s information). c). Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền là một dạng tấn công phổ biến. Bằng cách nâng cao đặc quyền, kẻ xâm nhập có thể truy cập vào các files hay folder dữ liệu mà tài khoản người sử dụng ban đầu không được cho phép truy cập. Khi hacker đạt được mức độ quyền truy cập đủ cao, họ có thể cài đặt phần mềm như là backdoors và Trojan horses, cũng như cho phép truy cập sâu hơn và thăm dò. Mục đích chung của hacker là chiếm được quyền truy cập ở mức độ quản trị. Khi đã đạt được mục đích đó, họ có toàn quyền điều khiển hệ thống mạng. 8 Đồ án tốt nghiệp 1.1.1.3. Kiểu tấn công từ chối dịch vụ. Kiểu tấn công DoS được thực hiện nhằm làm vô hiệu hóa, làm hư hỏng , hay gây tổn hại đến tài nguyên mạng với mục đích cản trở việc sử dụng những hệ thống này của người dùng. Dạng phạm tội điện tử này là dạng tấn công tồi tệ nhất mà các công ty thương mại điện tử phải đối mặt bởi vì mục đích duy nhất của hacker là ngăn chặn người dùng sử dụng các dịch vụ điện tử của các công ty. Ý định của dạng tấn công này chỉ đơn giản nhằm gây tổn hại và chống lại một công ty trong việc buôn bán. Hình 2: Tấn công Ddos. Một hacker với một PC ở nhà phải mất một lượng lớn thời gian tạo ra đủ lưu lượng mạng để làm quá tải một nhóm máy chủ Internet . Để tấn công DoS hiệu quả, hacker sử dụng nhiều hệ thống máy tính khác nhau nhằm lấn át máy chủ (đích). Sử dụng nhiều hệ thống máy tính để tấn công máy chủ hay mạng được gọi là tấn công từ chối dịch vụ phân phối (DDoS). Dạng tấn công này đã từng thành công khi tấn công web site của Yahoo!, ebay và CNN.com. Một hacker liên quan sau đó bị bắt và bị truy tố. Tấn công Ddos gồm các giai đoạn sau: 9 Đồ án tốt nghiệp a). Giai đoạn đầu tiên – Mục tiêu: Là giai đoạn định nghĩa đối tượng. Điều đầu tiên cần làm rõ trong mọi hoạt động cũng như việc hacking là xác định được mục tiêu. Kết quả của việc xác lập mục tiêu của kiểu tấn công dẫn đến việc hình thành, chọn lựa những những công cụ và phương pháp phù hợp. Mục tiêu đơn giản là toàn bộ mục đích của người xâm nhập. Nếu kẻ xâm nhập có động cơ trả thù thì kiểu tấn công DoS phù hợp với nhu cầu đó. Nếu kẻ tấn công là một đối thủ thì, xâm nhập hệ thống và thao túng dữ liệu mới là mục tiêu . Khi kẻ xâm nhập tiến hành những bước của một kiểu tấn công, thì mục tiêu có thể và thường thay đổi Một yếu tố quan trọng khác nữa trong việc xác định mục tiêu là động cơ đằng sau sự xâm nhập. Hầu hết những script kiddies (hacker mới vào nghề) bị thúc đẩy bởi sự hồi hộp, gay cấn trong khi đó những hacker cao cấp bị thúc đẩy bởi những động cơ như thử thách trí tuệ, trả thù, kiếm tiền bất hợp pháp. b). Giai đoạn hai thăm dò: Giai đoạn thăm dò, như chính tựa đề của nó, là giai đoạn mà hacker sử dụng nhiều nguồn tài nguyên để thu thập thông tin về hệ thống đối tượng. Thông thường những hacker có kinh nghiệm thường thu thập những thông tin về công ty đối tượng, như là vị trí của công ty, số điện thoại, tên của những nhân viên, địa chỉ e-mail, tất cả đều hữu dụng với người xâm nhập có kinh nghiệm. c). Giai đoạn thứ ba giai đoạn tấn công: Giai đoạn cuối cùng là giai đoạn tấn công. Trong giai đoạn tấn công kẻ xâm nhập bắt đầu cố gắng xâm nhập mạng và tài nguyên hệ thống trên mạng. Bằng cách sử dụng các thông tin đã thu thập được, một vài hacker có thể thực hiện việc tấn công nhiều lần cho đến khi phát hiện được lỗi bảo mật để có thể khai thác. 1.1.1.4. Kiểu tấn công qua ứng dụng web. Theo số liệu thống kê từ các công ty bảo mật hàng đầu hiện nay, thời gian gần đây số lượng các cuộc tấn công vào ứng dụng web đã tăng lên nhanh chóng (75% các cuộc tấn công được thực hiện là ở lớp ứng dụng web) Trong đó hai kĩ thuật tấn công được các hacker sử dụng phổ biến là cross-site scripting và sql injection và hình sau đây: 10 [...]... xâm nhập đã ảnh hưởng tới hệ thống do đó sẽ không hiệu quả trong việc ngăn chặn các cuộc tấn công 1.2.4 Kiếm trúc chung của hệ thống phát hiện xâm nhập 1.2.4.1 Phân loại hệ thống phát hiện xâm nhập IDPS Hệ thống phát hiện xâm nhập có thể được chia làm hai loại chính sau đây :Hệ thống phát hiện xâm nhập trên máy trạm, hệ thống phát hiện xâm nhập trên mạng a) Hệ thống phát hiện và phát hiện và phòng chống. .. tường lửa với hệ thống phát hiện xâm nhập IDS, có khả nǎng phát hiện các cuộc tấn công và tự động ngăn chặn các cuộc tấn công công nhằm vào điểm yếu của hệ thống 1.2.2 Vai trò của hệ thống phát hiện xâm nhập IDPS Hệ thống phát hiện xâm nhập IDS có các chức năng chính sau: a) Phát hiện các nguy cơ tấn công và truy nhập an ninh trái phép Đây là vai trò chính của một hệ thống phát hiện xâm nhập IDPS, nó... "án ngữ" ở ngõ vào của mạng và chỉ làm việc với những gói tin khi chúng đi vào và đi ra khỏi mạng Một khi kẻ xâm nhập đã vượt qua được tường lửa, người đó có thể tung hoành tuỳ trên mạng Ðó là lý do tại sao hệ thống phát hiện xâm nhập có vai trò quan trọng Hệ thống phát hiện xâm nhập IDS là hệ thống phần mềm hay phần cứng tự động thực hiện quy trình giám sát các sự kiện diễn ra trong hệ thống máy tính... luồng Mô hình thu thập dữ liệu trong luồng: Trong mô hình này, hệ thống phát hiện xâm nhập IDS được đặt trực tiếp vào luồng dữ liệu vào ra trong hệ thống mạng, luồng dữ liệu phải đi qua hệ thống phát hiện xâm nhập IDS trước khi đi vào trong mạng Hình 10: Mô hình thu thập dữ liệu trong luồng Ưu điểm của mô hình này, hệ thống phát hiện xâm nhập IDS nằm trên luồng dữ liệu, nó trực tiếp kiểm soát luồng... modul phát hiện tấn công hoạt động 28 Đồ án tốt nghiệp Hình 12: Một số phương pháp ngăn chặn tấn công 29 Đồ án tốt nghiệp CHƯƠNG II HỆ THỐNG PHẦN MỀM PHÁT HIỆN XÂM NHẬP SNORT 2.1 Tổng quan về Snort 2.1.1 Khái niệm Snort là một hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở miễn phí NIDS là một kiểu của hệ thống phát hiện xâm nhập (IDS), được sử dụng để quét dữ liệu di chuyển trên mạng Cũng có các hệ. .. xác, phân tích được toàn bộ lưu lượng và đưa ra các cảnh báo chuẩn xác về các cuộc tấn công và xâm nhập vào bên trong hệ thống 21 Đồ án tốt nghiệp a) Mô hình hệ thống phát hiện xâm nhập IDPS mức vật lý Hình 7: Mô hình IDPS mức vật lý Hệ thống phát hiện xâm nhập mức vật lý bao gồm ba thành phần chính sau đây: Bộ cảm ứng (Sensor): các sensor và agent sẽ theo dõi và hoạt động ghi lại Thuật ngữ sensor... điểm và hạn chế của hệ thống a) Ưu điểm Có khả năng phát hiện và phòng chống các cuộc tấn công, xâm nhập từ bên trong cũng như bên ngoài hệ thống Những thông tin hệ thống IDPS cung cấp sẽ giúp chúng ta xác định phương thức, và kiểu loại tấn công, xâm nhập từ đó giúp cho việc đề ra các phương án phòng chống các kiểu tấn công tương tự xảy ra trong tương lai b) Hạn chế Bên cạnh những ưu điểm, hệ thống phát. .. nhiệm vụ xác định những tấn công và truy nhập an ninh trái phép vào hệ thống mạng bên trong Hệ thống IDPS có khả năng hỗ trợ phát hiện các nguy cơ an ninh đe dọa mạng mà các hệ thống khác(như bức tường lửa) không có khả năng phát hiện, kết hợp với hệ thống ngăn chặn xâm nhập IDPS giúp cho hệ thống chặn đứng, hạn chế các cuộc tấn công, xâm nhập từ bên ngoài b) Tăng khả năng hiểu biết về những gì đang hoạt... và phát hiện dựa trên bất thường Phát hiện dựa trên luật (Rule – Based Detection): Phát hiện dựa trên luật hay còn gọi là phát hiện trên chữ ký, xét phù hợp mẫu hay phát hiện vi phạm, là phương pháp đầu tiên sớm được sử dụng trong các hệ thống phát hiện xâm nhập Phát hiện dựa trên luật sử dụng so sánh mẫu để phát hiện các mẫu tấn công đã biết Ví dụ: để xác định xem có phải ai đó đang cố gắng đăng nhập. .. được nghiên cứu nhiều hơn trong tương lai nhằm khắc phục các nhược điểm mắc phải, giảm số lần cảnh báo sai để hệ thống chạy chuẩn xác hơn Cảnh báo – (Manager Alter): Quá trình này thực hiện sinh ra các cảnh báo tùy theo đặc điểm và loại tấn công, xâm nhập mà hệ thống phát hiện được Hình 11: Các phương thức cảnh báo Modul phản ứng: Đây là một điểm khác biệt giữa hệ thống phát hiện xâm nhập IDS và một hệ . sau đây :Hệ thống phát hiện xâm nhập trên máy trạm, hệ thống phát hiện xâm nhập trên mạng. a). Hệ thống phát hiện và phát hiện và phòng chống xâm nhập trên máy. chọn đề tài Tìm hiểu và nghiên cứu hệ thống phần mềm phát hiện và phòng chống xâm nhập , nhằm giám sát luồng thông tin ra, vào và bảo vệ các hệ thống mạng