Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 84 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
84
Dung lượng
2,18 MB
Nội dung
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Tiến Công NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành : Công nghệ thông tin HÀ NỘI - 2009 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Tiến Cơng NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành : Công nghệ thông tin Cán hướng dẫn : Ths Đoàn Minh Phương Cán đồng hướng dẫn : Ths Nguyễn Nam Hải HÀ NỘI – 2009 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lời cảm ơn Đầu tiên, em xin gửi lời cảm ơn chân thành tới thầy Đoàn Minh Phương đặc biệt thầy Nguyễn Nam Hải nhiệt tình giúp đỡ em trình lựa chọn q trình thực khóa luận Em xin gửi lời cảm ơn thầy Đỗ Hồng Kiên, thầy Phùng Chí Dũng thầy Nguyễn Việt Anh trung tâm máy tính, người dẫn em bước đề tài Để thực hồn thành khóa luận này, kiến thức năm học đại học vô cần thiết, em xin gửi lời cảm ơn tới tất thầy cô giáo truyền đạt cho em học quý báu thời gian vừa qua Tôi xin cảm ơn bạn Vũ Hồng Phong bạn Nguyễn Duy Tùng hỗ trợ thực đề tài Tôi xin cảm ơn bạn lớp giúp đỡ học tập Cuối cùng, em xin gửi lời cảm ơn tới gia đình em, nguồn động viên to lớn giúp em thành công học tập sống LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tóm tắt nội dung Nghiên cứu, triển khai giải pháp phát sớm ngăn chặn thâm nhập trái phép (tấn công) vào hệ thống mạng ngày vấn đề có tính thời có ý nghĩa, quy mô phức tạp cơng ngày tăng Khóa luận trình bày hệ thống hóa phương thức cơng biện pháp ngăn chặn chúng lý thuyết minh họa mơ thực tế; Những tìm hiểu giải pháp phát sớm ngăn chặn công thiết bị chuyên dụng (IDS/IPS) IBM: Proventia G200, việc thiết lập cấu hình vận hành thiết bị, thử nghiệm môi trường VNUnet, đánh giá nhận xét Thông qua tiến hành khảo sát hệ thống mạng VNUnet, khóa luận khó khăn, vấn đề hướng giải triển khai IPS hệ thống mạng lớn mạng trường đại học Do “ngăn chặn thâm nhập” cơng nghệ giới nên khóa luận tài liệu tiếng việt đề cập chi tiết đến công nghệ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Mục lục BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT DANH SÁCH BẢNG DANH SÁCH HÌNH MINH HỌA MỞ ĐẦU CHƯƠNG 1.AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET 1.1 AN NINH MẠNG 1.2 HỆ THỐNG MẠNG VNUNET 1.2.1 Khái quát trạng hệ thống mạng VNUNet 1.2.2 Mục tiêu phát triển hệ thống mạng VNUnet CHƯƠNG TẤN CÔNG VÀ THÂM NHẬP 2.1 KIẾN THỨC CƠ SỞ .7 2.1.1 Thâm nhập 2.1.2 Tấn công từ chối dịch vụ .8 2.1.3 Lỗ hổng bảo mật 10 2.1.4 Virus, Sâu Trojan 12 2.2 CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG 13 2.3 MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP .17 2.3.1 Thu thập thông tin .17 2.3.2 Tấn công từ chối dịch vụ 17 2.3.3 Thâm nhập qua Trojan 18 2.3.4 Thâm nhập qua lỗ hổng bảo mật 19 CHƯƠNG 3.THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ THÂM NHẬP 22 3.1 CÁC KHÁI NIỆM CƠ BẢN 22 3.2 THIẾT BỊ IPS PROVENTIA G200 25 3.3 SITEPROTECTOR SYSTEM 27 3.3.1 SiteProtector System gì? 27 3.3.2 Quá trình thiết lập hệ thống SiteProtector 29 3.4 CÀI ĐẶT VÀ CẤU HÌNH IPS .31 3.4.1 Cài đặt .31 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.4.2 Cấu hình hình thái hoạt động .31 3.4.3 Cấu hình kiện an ninh 32 3.4.4 Cấu hình phản hồi .35 3.4.5 Cấu hình tường lửa .42 3.4.6 Cấu hình protection domain .44 3.4.7 Cấu hình cảnh báo 46 3.5 NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS 48 3.5.1 Ngăn chặn hình thức thu thập thông tin .48 3.5.2 Ngăn chặn công DoS 49 3.5.3 Ngăn chặn thâm nhập qua backdoor – trojan 50 3.5.4 Ngăn chặn thâm nhập qua lỗ hổng bảo mật .50 3.6 TRIỂN KHAI THỰC TẾ 51 CHƯƠNG CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH HƯỚNG NGHIÊN CỨU TƯƠNG LAI 58 4.1 4.2 KẾT QUẢ ĐẠT ĐƯỢC 58 ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI 58 PHỤ LỤC A .60 PHỤ LỤC B .63 PHỤ LỤC C .65 PHỤ LỤC D .68 PHỤ LỤC E .72 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT Kí hiệu viết tắt Giải thích ĐHQGHN Đại học Quốc gia Hà Nội IDS/IPS Hệ thống phát hiện/ngăn chặn thâm nhập VNUnet Hệ thống mạng Đại học Quốc gia Hà Nội Proventia G 200 Tên dòng thiết bị IDS/IPS hãng IBM DANH SÁCH BẢNG Bảng – Thuật ngữ IDS/IPS .22 Bảng – Hình thái hoạt động 36 Bảng – Phản hồi email 36 Bảng – Phản hồi Log Evidence 37 Bảng – Phân loại cách ly 37 Bảng – Phản hồi cách ly .38 Bảng – Phản hồi SNMP 38 Bảng – Phản hồi User Specified .39 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH SÁCH HÌNH MINH HỌA Hình – Sơ đồ kết nối logic VNUnet Hình - Minh họa trình tự cơng 14 Hình - Giao diện DoSHTTP 17 Hình - Giao diện smurf attack 18 Hình - Giao diện client trojan beast 18 Hình - Lỗi dịch vụ RPC 19 Hình - Giao diện metasploit 20 Hình - Giao diện metasploit (2) 21 Hình – Security Events 34 Hình 10 – Response Filters 42 Hình 11 – Protection Domain 45 Hình 12 - Protection Domain 46 Hình 13 - Mức độ nghiêm trọng thông báo 47 Hình 14 - Minh họa thông báo 47 Hình 15 - Ngăn chặn thu thập thông tin 48 Hình 16 – Đánh dấu cảnh báo SYNFlood 49 Hình 17 –Ngăn chặn công SYNFlood Smurf Attack (Ping sweep) .50 Hình 18 - Ngăn chặn thâm nhập qua trojan Beast 50 Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo 51 Hình 20 - Ngăn chặn công qua lỗ hổng MSRPC RemoteActive 51 Hình 21 – Mơ hình mạng VNUnet 52 Hình 22 – Sơ đồ triển khai IPS 53 Hình 23 – Khi có cơng thâm nhập gửi mail cho cán TTMT 54 Hình 24 - Mơ hình mạng VNUnet sau triển khai hệ thống IDS/IPS 55 Hình 25 - Hệ thống IPS gửi mail cho người quản trị 56 Hình 26 - Các dị quét công thực tế 57 Hình 27 – Các hành vi khai thác điểm yếu an ninh 60 Hình 28 - Xu hướng phishing tới 61 Hình 29 - Minh họa smurf attack 65 Hình 30 - Minh họa công SYNFlood 66 Hình 31 - Sơ đồ kết nối logic 74 Hình 32 – Mơ hình tổ chức 75 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỞ ĐẦU Với phát triển nhanh chóng cơng nghệ thông tin Internet, việc bảo vệ an ninh mạng ngày quan trọng có tính thời hàng ngày Để chống lại tin tặc ngày phát triển, có ứng dụng phần mềm để hỗ trợ với thiết bị phần cứng nhằm hạn chế tác hại virus hoạt động xâm nhập trái phép Khoá luận đề cập đến giải pháp phát sớm ngăn chặn cơng, có ý nghĩa khoa học giải pháp có hiệu cao, với thực tiễn có triển khai cài đặt để bảo vệ hệ thống, chống lại cơng mơ phỏng, sử dụng để bảo đảm an ninh mạng mức cao Đối tượng nghiên cứu hình thức công thâm nhập thiết bị phát ngăn chặn, cụ thể sử dụng thiết bị chuyên dụng (IDS/IPS) IBM: Proventia G200 hệ thống mạng Trường Đại học Quốc gia Phương pháp nghiên cứu tìm hiểu tài liệu mạng, tham khảo ý kiến chuyên gia, mô hệ thống, thiết lập cấu hình vận hành thiết bị, thử nghiệm mơi trường VNUnet, sau có đánh giá nhận xét Nội dung nghiên cứu bao gồm vấn đề an ninh mạng, khảo sát trạng hệ thống mạng Trường Đại học Quốc gia, hình thức công thâm nhập thiết bị phát ngăn chặn, bước cài đặt, cầu hình vận hành thử nghiệm Phần kết luận nêu kết đạt được, đánh giá định hướng nghiên cứu tương lai phát triển từ kết khoá luận LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CHƯƠNG 1.AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET 1.1 AN NINH MẠNG Theo báo cáo an ninh năm 2007 2008 – phụ lục A B, vấn đề đe dọa an ninh ngày nghiêm trọng Có thể thấy rõ mức tăng đột biến nguy mạng công từ xa, spam hay phising Thêm vào đó, lỗ hổng bảo mật ngày phát nhiều người dùng chưa ý thức việc cập nhật đầy đủ vá Chỉ vừa thời gian ngắn trước, tường lửa ngăn chặn hầu hết công Tuy nhiên, với phát triển ngày mạnh ứng dụng Web worm, hầu hết mạng không an toàn kể với tường lửa phần mềm quét virus Tường lửa hiệu công DoS phổ thông hay lỗ hổng bình thường, khó ngăn chặn công dựa tầng ứng dụng worm Không lớp mạng ngồi bị cơng mà kể tài nguyên mạng – bao gồm nhiều vùng tài nguyên nội giá trị, vùng lộ Internet bị khai thác gây cho quan cơng ty nhiều thiệt hại Vì vậy, thiết bị phát chống thâm nhập ngày trở nên cần thiết quan cơng ty Hiện có nhiều thiết bị phát thâm nhập phổ biến Internet Security Systems (ISS), Lancope StealthWatch, Snort, StillSecure Border Guard Trong số đó, sản phẩm ISS có tiếng vang lớn Hiện nay, ngồi tính phát thâm nhập, sản phẩm hãng thêm vào tính ngăn chặn thâm nhập chí cịn trước chúng đến máy mục tiêu Để quản trị phát triển hệ thống mạng an ninh tốt bảo mật cao, yêu cầu người quản trị hiểu biết công thâm nhập, đồng thời biết cách ngăn chặn chúng 1.2 HỆ THỐNG MẠNG VNUNET [4] 1.2.1 Khái quát trạng hệ thống mạng VNUNet Phần đề cập chi tiết phụ lục E – Khảo sát trạng hệ thống mạng VNUnet Ta tóm tắt số ý sau : • Hệ thống mạng ĐHQGHN hệ thống mạng có quy mơ trung bình LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 12.885 lỗ hổng mã lệnh liên kết chéo báo cáo năm 2008 có 3% (394 lỗ hổng) khắc phục thời điểm báo cáo viết Báo cáo công Web phát sinh từ nhiều quốc gia giới mà Mỹ dẫn đầu (38%), sau Trung Quốc (13%) Ucraina (12%) Sáu số 10 quốc gia dẫn đầu công web nước khu vực Châu Âu, Trung Đông Châu Phi, quốc gia có tỷ lệ công web chiếm tới 45% so với số toàn cầu, nhiều khu vực khác Lừa đảo qua mạng nạn thư rác tiếp tục gia tăng Báo cáo cho hay nạn lừa đảo qua mạng tiếp tục phát triển Trong năm 2008, 55.389 máy chủ đặt website lừa đảo, tăng 66% so với số 33.428 năm 2007 Những vụ lừa đảo liên quan đến dịch vụ tài chiếm tới 76% vụ lừa đảo năm 2008, tăng mạnh so với số 52% năm 2007 Symantec cho biết, số lượng thư rác thời gian trở lại lại tiếp tục tăng mạnh Trong năm vừa qua, Symantec theo dõi tăng trưởng thư rác 192% toàn mạng Internet, số tăng từ 119.6 tỷ tin nhắn (năm 2007) lên tới 349.6 tỷ năm 2008 Năm 2008, mạng botnet thực việc phát tán tới khoảng 90% tất thư rác 64 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHỤ LỤC C Các kiểu công DoS Smurf attack biến thể riêng công ngập lụt mạng Internet công cộng Kiểu công cần hệ thống quan trọng, mạng khuyếch đại Hacker dùng địa máy tính cần cơng cách gửi gói tin ICMP echo cho tồn mạng (broadcast) Các máy tính mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn cơng Kết máy tính khơng thể xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy Hình 29 - Minh họa smurf attack Ping flood công cách gửi tràn ngập gói tin ICMP tới máy bị công sử dụng câu lệnh ping với tham số -t Đây kiểu cơng đơn giản địi hỏi máy công phải truy cập vào băng thông lớn băng thông máy cần công SYN flood lợi dụng cách thức hoạt động kết nối TCP/IP Khi máy khách bắt đầu kết nối TCP tới máy chủ, phải trải qua trình bắt tay ba bước • Máy khách gửi TCP SYN packet đến cổng dịch vụ máy chủ • Máy chủ phản hồi lại máy khách SYN/ACK Packet chờ nhận ACK packet từ phía máy khách • Máy khách phản hồi lại máy chủ ACK Packet việc kết nối hòan tất, máy khách máy chủ thực công việc trao đổi liệu với 65 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 30 - Minh họa công SYNFlood Sau thực xong bước hai, máy chủ phải chờ nhận gói ACK từ máy khách Do cần phải tiêu tốn lượng tài nguyên để thực công việc nhận gói ACK hết thời gian timeout Tấn cơng SYN flood lợi dụng điều cách gửi liên tiếp nhiều gói TCP SYN yêu cầu kết nối đến máy chủ, sau ko gửi trả lại gói ACK cho máy chủ Khi số lượng yêu cầu kết nối nhiều, đến lúc đó, máy chủ bị q tải khơng thể phục vụ kết nối khác gây tượng từ chối dịch vụ Kẻ công sử dụng hai phương thức để tạo nên công SYN flood Thứ bỏ qua bước cuối cùng, tức khơng gửi gói tin ACK lại máy chủ Cách thứ hai giả mạo địa IP nguồn gói SYN làm cho server gửi lại gói SYN-ACK đến sai địa chỉ, khơng nhận gói ACK trả lời Kiểu công Land Attack Kiểu công Land Attack tương tự SYN flood, hacker sử dụng IP mục tiêu cần công để dùng làm địa IP nguồn gói tin, đẩy mục tiêu vào vịng lặp vơ tận cố gắng thiết lập kết nối với Kiểu cơng UDP flood Hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần cơng máy tính mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback), khiến cho máy tính sử dụng hết băng thông chúng, cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng Tấn công kiểu Tear Drop 66 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Trong mạng chuyển mạch gói, liệu chia thành nhiều gói tin nhỏ, gói tin có giá trị offset riêng truyền theo nhiều đường khác để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết hợp lại ban đầu Lợi dụng điều này, hacker tạo nhiều gói tin có giá trị offset trùng lặp gửi đến mục tiêu muốn công Kết máy tính đích khơng thể xếp gói tin dẫn tới bị treo máy bị "vắt kiệt" khả xử lý 67 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHỤ LỤC D Phân loại lỗ hổng bảo mật Có nhiều tổ chức khác tiến hành phân loại dạng lỗ hổng đặc biêt Theo cách phân loại Bộ quốc phòng Mỹ, loại lỗ hổng bảo mật hệ thống chia sau: • Lỗ hổng loại C: lỗ hổng loại cho phép thực phương thức công theo DoS (Dinal of Services - Từ chối dịch vụ) Mức độ nguy hiểm thấp, ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng liệu đạt quyền truy nhập bất hợp pháp • Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm quyền hệ thống mà khơng cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình; Những lỗ hổng thường có ứng dụng hệ thống; dẫn đến lộ thơng tin yêu cầu bảo mật • Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy tồn hệ thống Sau phân tích số lỗ hổng bảo mật thường xuất mạng hệ thống Các lỗ hổng loại C: Các lỗ hổng loại cho phép thực cơng DoS DoS hình thức cơng sử dụng giao thức tầng Internet giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống Một số lượng lớn gói tin gửi tới server khoảng thời gian liên tục làm cho hệ thống trở nên tải, kết server đáp ứng chậm đáp ứng yêu cầu từ client gửi tới Các dịch vụ có chứa đựng lỗ hổng cho phép thực cơng DoS nâng cấp sửa chữa phiên nhà cung cấp dịch vụ Hiện nay, chưa có giải pháp tồn diện để khắc phục lỗ hổng loại thân việc thiết kế giao thức tầng Internet (IP) nói riêng giao thức TCP/IP chứa đựng nguy tiềm tàng lỗ hổng Tuy nhiên, mức độ nguy hiểm lỗ hổng loại xếp loại C; nguy hiểm chúng làm gián đoạn cung cấp dịch vụ hệ thống thời gian mà không làm nguy hại đến liệu người công không đạt quyền truy nhập bất hợp pháp vào hệ thống Một lỗ hổng loại C khác thường thấy điểm yếu dịch vụ cho phép thực công làm ngưng trệ hệ thống người sử dụng cuối; Chủ yếu với 68 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com hình thức cơng sử dụng dịch vụ Web Giả sử: Web Server có trang Web có chứa đoạn mã Java JavaScripts, làm "treo" hệ thống người sử dụng trình duyệt Web Netscape bước sau: • Viết đoạn mã để nhận biết Web Browers sử dụng Netscape Nếu sử dụng Netscape, tạo vịng lặp vơ thời hạn, sinh vơ số cửa sổ, cửa sổ nối đến Web Server khác Với hình thức cơng đơn giản này, làm treo hệ thống Đây hình thức cơng kiểu DoS Người sử dụng trường hợp khởi động lại hệ thống • Một lỗ hổng loại C khác thường gặp hệ thống mail không xây dựng chế anti-relay (chống relay) cho phép thực hành động spam mail Như biết, chế hoạt động dịch vụ thư điện tử lưu chuyển tiếp; số hệ thống mail khơng có xác thực người dùng gửi thư, dẫn đến tình trạng đối tượng công lợi dụng máy chủ mail để thực spam mail; Spam mail hành động nhằm tê liệt dịch vụ mail hệ thống cách gửi số lượng lớn messages tới địa khơng xác định, máy chủ mail ln phải tốn lực tìm địa khơng có thực dẫn đến tình trạng ngưng trệ dịch vụ Số lượng messages sinh từ chương trình làm bom thư phổ biến mạng Internet Các lỗ hổng loại B: Lỗ hổng loại có mức độ nguy hiểm lỗ hổng loại C, cho phép người sử dụng nội chiếm quyền cao truy nhập không hợp pháp Những lỗ hổng loại thường xuất dịch vụ hệ thống Người sử dụng local hiểu người có quyền truy nhập vào hệ thống với số quyền hạn định Sau phân tích số lỗ hổng loại B thường xuất ứng dụng Sendmail: Sendmail chương trình sử dụng phổ biến hệ thống UNIX để thực gửi thư điện tử cho người sử dụng nội mạng Thông thường, sendmail daemon chạy chế độ kích hoạt khởi động hệ thống Trong trạng thái, hoạt động, sendmail mở port 25 đợi yêu cầu tới thực gửi chuyển tiếp thư Sendmail kích hoạt chạy quyền root quyền tương ứng (vì liên quan đến hành động tạo file ghi log file) Lợi dụng đặc điểm số lỗ hổng đoạn mã sendmail, mà đối tượng công dùng sendmail để đạt quyền root hệ thống Để khắc phục lỗi sendmail cần tham gia nhóm tin bảo mật; sendmail chương trình có nhiều lỗi; có nhiều người sử dụng nên lỗ hổng bảo mật thường phát khắc phục nhanh chóng Khi phát lỗ hổng sendmail cần nâng cấp, thay phiên sendmail sử dụng 69 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Một loạt vấn đề khác quyền sử dụng chương trình UNIX thường gây nên lỗ hổng loại B Vì hệ thống UNIX, chương trình thực thi với khả năng: • Người chủ sở hữu chương trình kích hoạt chạy • Người mang quyền người chủ sở hữu chủ nhân file Các loại lỗ hổng loại B khác: • Một dạng khác lỗ hổng loại B xảy chương trình có mã nguồn viết C Những chương trình viết C thường sử dụng vùng đệm vùng nhớ sử dụng để lưu liệu trước xử lý Những người lập trình thường sử dụng vùng đệm nhớ trước gán khoảng không gian nhớ cho khối liệu Ví dụ, người sử dụng viết chương trình nhập trường tên người sử dụng; qui định trường dài 20 ký tự Do họ khai báo: char first_name [20]; • Với khai báo này, cho phép người sử dụng nhập vào tối đa 20 ký tự Khi nhập liệu, trước tiên liệu lưu vùng đệm; người sử dụng nhập vào 35 ký tự; xảy tượng tràn vùng đệm kết 15 ký tự dư thừa nằm vị trí khơng kiểm sốt nhớ Đối với người cơng, lợi dụng lỗ hổng để nhập vào ký tự đặc biệt, để thực thi số lệnh đặc biệt hệ thống Thông thường, lỗ hổng thường lợi dụng người sử dụng hệ thống để đạt quyền root khơng hợp lệ • Việc kiểm sốt chặt chẽ cấu hình hệ thống chương trình hạn chế lỗ hổng loại B Các lỗ hổng loại A: Các lỗ hổng loại A có mức độ nguy hiểm; đe dọa tính tồn vẹn bảo mật hệ thống Các lỗ hổng loại thường xuất hệ thống quản trị yếu khơng kiểm sốt cấu hình mạng Một ví dụ thường thấy nhiều hệ thống sử dụng Web Server Apache, Đối với Web Server thường cấu hình thư mục mặc định để chạy scripts cgi-bin; có Scripts viết sẵn để thử hoạt động apache test-cgi Đối với phiên cũ Apache (trước version 1.1), có dịng sau file test-cgi: echo QUERY_STRING = $QUERY_STRING Biến môi trường QUERY_STRING không đặt có dấu " (quote) nên phía client thưc yêu cầu chuỗi ký tự gửi đến gồm số ký tự đặc biệt; ví dụ ký tự "*", web server trả nội dung toàn thư mục thời (là thư mục chứa scipts cgi) Người sử dụng nhìn thấy tồn nội dung file thư mục thời hệ thống server 70 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Một ví dụ khác xảy tương tự Web server chạy hệ điều hành Novell; Các web server có scripts convert.bas, chạy scripts cho phép đọc toàn nội dung files hệ thống Những lỗ hổng loại nguy hiểm tồn sẵn có phần mềm sử dụng; người quản trị không hiểu sâu dịch vụ phần mềm sử dụng bỏ qua điểm yếu Đối với hệ thống cũ, thường xuyên phải kiểm tra thông báo nhóm tin bảo mật mạng để phát lỗ hổng loại Một loạt chương trình phiên cũ thường sử dụng có lỗ hổng loại A như: FTP, Gopher, Telnet, Sendmail, ARP, finger 71 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHỤ LỤC E Khái quát trạng VNUNet Mơ hình tổ chức Đại học quốc gia Hà Nội có tổng cộng 28 đơn vị với 2.503 cán 23.628 sinh viên, học viên hệ tập trung (26.131 cán học viên, sinh viên hệ tập trung), 26.000 sinh viên hệ không tập trung Gần 100% cán có máy tính làm việc Số lượng máy tính phịng thí nghiệm phịng thực hành phục vụ cơng tác giảng dạy ký túc xá có khoảng 1.500 chiếc, tổng cộng có khoảng 4.000 máy tính kết nối vào VNunet Tỷ lệ sinh viên có máy tính nhà ước tính khoảng 20%, số lượng sinh viên có thiết bị xử lý thơng tin di động thấp, khoảng 2%, thiết bị di động chưa có khả kết nối di động vào VNUnet Cơ sở hạ tầng truyền thông VNUNet • Hệ thống cáp quang: có đường kết nối từ điểm trung tâm tới o Các đơn vị 144 Xuân Thuỷ: Cơ quan ĐHQGHN, Trường ĐHNN, Trường ĐHCN, Trường ĐHKT, Khoa Quản trị kinh doanh, Trung tâm Thông tin Thư viện o Các đơn vị 334-336 Nguyễn Trãi: Trường ĐHKHTN, Trường ĐHKHXH-NV o Ký túc xá Mễ trì • Mở rộng hệ thống cáp quang nói hệ thống đường kết nối cáp đồng đến hầu khắp đơn vị ĐHQGHN • Bốn địa điểm, năm đơn vị chưa kết nối vào VNUnet gồm có o Địa điểm 19 Lê Thánh Tơng: Khoa Hóa o Địa điểm 16 Hàng Chuối: Nhà xuất bản, Nhà in o Khoa Quốc tế o Ban Quản lý dự án Hoà Lạc Hoà Lạc • Các đường kết nối bên ngồi o Lease line 10 Mbps tới Viettel vào Internet o Lease line 100 Mbps tới Netnam vào VINAren – mạng khoa học giáo dục Việt Nam qua vào TEIN2, APAN o Lease line tới mạng hành phủ (chưa hoạt động) 72 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com • Hệ thống thiết bị ghép nối Tại điểm tập trung VNUnet có o Cisco Router 2800 o Switch trung tâm Catalyst 4507 (2005) với cổng quang 48 cổng Giga Ethernet RJ45 o Switch phân đoạn Catalyst 2950, (2003), Catalyst 1900, (2001) o Fire wall Cisco Pix 515e (2001, hỏng) • Kiến trúc ghép nối o Hệ thống truyền thông xây dựng theo kiến trúc Ethernet, mức đơn vị thành viên, trực thuộc subnet/VLAN, sử dụng không gian địa IP giả lập (10.0.0.0 172.16.0.0) Các kết nối bên với tên miền vnu.edu.vn vnu.vn thực qua số lượng IP cấp phát hạn chế (32 địa chỉ) o Tại đơn vị thành viên, trực thuộc, việc phân chia subnet/VLAN thực Trường ĐHCN, chưa thực tất đơn vị cịn lại, đơn vị, dù lớn, dù nhỏ miền broadcast, với tỷ lệ gói tin broadcast lớn, tỷ lệ truyền tin hữu ích thấp (chỉ xung quanh 30%) Hơn chất lượng thi công quản lý kết nối mức logic vật lý không quan tâm nên tỷ lệ lỗi thực tế cao; làm giảm sút nghiêm trọng hiệu suất hoạt động hệ thống – gây nên lãng phí khơng nhỏ đầu tư ĐHQGHN Một số đơn vị tự thực kết nối bên qua ADSL, đặt website 73 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com CPNET 112 TEIN2 VINAren INTERNET 203.113.130.192/27 Router 3600 Proxy Cáp Trung tâm TTTV TTPT Hệ thống, Khoa SP, Khoa SĐH Khoa QTKD KTX Mễ Trì Thư viện TĐ Vện CNTT VP ĐHQGHN 10.10.0.0/16 ĐH KHXH-NV ĐH Ngoại ngữ ĐH KHTN Mail quang 10.1.0.0/16 TT Đào tạo từ xa Web 172.16.0.0/16 Catalyst 4507 ĐH Kinh tế, Khoa Luật, Viện CNSH Catalyst 2950 TRƯỜNG ĐH CÔNG NGHỆ Với hệ thống thiết bị ghép nối mạng riêng Hình 31 - Sơ đồ kết nối logic Hệ thống server dịch vụ Hệ thống server có 15 chiếc, có 12 trang bị năm 2004, có GB, 11 có GB RAM, số lại trang bị từ năm 2000 Dung lượng đĩa cứng lưu trữ hạn chế, server có đĩa cứng dung lượng 150 GB, số cịn lại có tối đa 80 GB VNU cung cấp dịch vụ: Tài khoản truy cập Internet cho khoảng 3000 tài khoản cán bộ, giảng viên ĐHQGHN Thư tín điện tử cho cán bộ, giảng viên ĐHQGHN với dung lượng hộp thư hạn chế, 10MB/account Dịch vụ văn thư điện tử cho Cơ quan ĐHQGHN Duy trì kỹ thuật hoạt động Website ĐHQGHN Website ba khoa trực thuộc là: khoa sau đại học, khoa Sư phạm, khoa Quốc tế Từ số liệu thống kê trên, ta thấy ĐHQGHN tổ chức đại học quy mô trung bình bao gồm nhiều đơn vị thành viên trực thuộc, với nhiều campus phân bố diện tích rộng nội thành thủ đô Hà Nội Một trong 74 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com mạnh, tiêu chí xây dựng phát triển ĐHQGHN việc xác lập chế để tập hợp chia sẻ hiệu tài nguyên tri thức, người, từ đơn vị thành viên trực thuộc VNUnet có ý nghĩa quan trọng ĐHQGHN, giải pháp ICT tất yếu cần có khơng việc tổ chức tập hợp chia sẻ tài nguyên môi trường ĐHQGHN mà tổ chức cung cấp dịch vụ hữu ích ĐHQGHN cho đơn vị thành viên, trực thuộc; Một thể vai trò ý nghĩa mơ hình ĐHQGHN Hiện trạng mạng CTNet Trường Đại học Công nghệ triển khai hoạt động mặt rộng gồm địa điểm cách xa từ đến km, địa điểm 144 Xuân Thủy địa điểm chính, địa điểm khác có phịng máy thực hành truy cập Internet sinh viên cách xa km Sơ đồ mặt địa điểm gồm tịa nhà E3, E4, G2, G3, G2B, G5 G6 trình bày hình vẽ Trong năm 2007, cho phép ĐHQGHN, Trường ĐHCN triển khai kế hoạch xây dựng nâng tầng nhà G2 để có thêm 1000 m2 mặt để chuyển dần sinh viên học khu vực 144 Xuân Thủy, định hướng ưu tiên cho hệ đào tạo chất lượng cao chương trình đào tạo trình độ quốc tế Mơ hình tổ chức Internet VNUnet Router Các trường Thành viên đơn vị trực thuộc ĐHQG Switch Các phịng làm việc phịng máy tính tòa nhà E3 Các phòng làm việc phòng máy tính tịa nhà E4 Các phịng làm việc phịng máy tính tịa nhà G2 Phần mạng Trường ĐHCN Hình 32 – Mơ hình tổ chức Hệ thống có 01 Swicth trung tâm Catalyst 6509 đặt trung tâm máy tinh tầng nhà G2B Từ có đường cáp UTP đến wallplace phịng (của Khoa Công nghệ cũ; thành lập Trường ĐHCN, phòng thay đổi thiết kế, thay đổi đơn vị sử dụng, điều chỉnh, nối tiếp thêm khơng quản lý được) Kết nối từ phịng đến máy tính thực qua HUB 75 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Server dịch vụ hệ thống Có 04 server với cấu sau Server Web, CPU P.4, GB RAM, ổ cứng 36 GB (từ phịng HCQT) • Server quản lý người dùng, CPU P.4, GB RAM, ổ cứng 36 GB • Server phục vụ tệp, CPU P.4, 512 MB RAM, ổ cứng 36 GB • Server phục vụ tiện ích, CPU P.4, 512 MB RAM, ổ cứng 36 GB Những dịch vụ hệ thống Hệ thống cung cấp dịch cụ tối thiểu, có Website môn học, tư liệu điện tử MIT nhà cung cấp khác Dịch vụ tệp dù cung cấp cho sinh viên dung lượng đĩa cứng hạn chế nên không hiệu Nhận xét • VNUnet CTNet có hệ thống đường truyền thơng tốt: kết nối bên ngồi mạnh, hệ thống đường truyền nội phủ ba khu vực • Hạn chế: o Kết nối Internet bên ngồi kết nối đơn, khơng có dự phịng, có cố đường truyền, liên lạc với bên bị gián đoạn o Sử dụng không gian địa giả lập với thiết bị Proxy Hệ thống an ninh an toàn yếu o Còn địa điểm chưa kết nối vào VNUnet, có địa điểm cần quan tâm kết nối sớm 19 Lê Thánh Tông Khoa Quốc tế o Tốc độ truyền thông đường trục cáp quang phần lớn hạn chế tốc độ 100 Mbps theo cấu trúc đơn, halfduplex, khơng đảm bảo kết nối liên lục có cố o Kiến trúc phân tầng mạng đơn giản, không ổn định làm giảm hiệu suất mạng, gây lãng phí lớn đầu tư tài nguyên ĐHQGHN, gây ức chế tâm lý người dùng, làm xuất tư tưởng kết nối phân tán bên ngoài, đặt website bên ngồi • Hệ thống server dường khơng số lượng cấu hình kỹ thuật, đặc biệt dung lượng lưu trữ hạn chế, không đủ sức mạnh để triển khai dịch vụ phạm vi rộng tồn ĐHQGHN • Q nghèo nàn dịch vụ 76 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Mục tiêu phát triển hệ thống mạng VNUnet CTNet Để án phát triển mạng VNUnet CTNet đưa mục tiêu cần phát triển sau: • Tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, eDocument, ), voice, DVD video, • Cung cấp ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực tuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học đào tạo Làm giảm kinh phí đầu tư, tăng cường hiệu suất khai thác tài nguyên chia sẻ cá nhân, tập thể tồn hệ thống • Cung cấp đầy đủ tư liệu, tạp chí điện tử theo nhu cầu người dùng • Có trung tâm liệu mạnh • Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến người dùng cuối 1Gbps • Hệ thống kết nối khơng dây phục vụ thiết bị xử lý thông tin di động phủ khắp môi trường làm việc, học tập ĐHQGHN, kể ký túc xá • Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa tiếp nhận giảng từ xa • Kết nối với bên ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh, đảm bảo truy cập tài nguyên bên ngồi cách nhanh chóng desktop ảo • Có giải pháp backup tồn hệ thống giải pháp an tồn điện hiệu • Có giải pháp quản lý giám sát cách chuyên nghiệp để mạng hoạt động thông suốt, ổn định, hiệu • Có giải pháp đảm bảo an tồn, an ninh chống thâm nhập, phá hoại, chống truy cập trái phép • Hỗ trợ cán bộ, giảng viên truy cập vào mạng nội từ xa 77 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tài liệu tham khảo A Tiếng Anh [1] Stuart McClure, Joel Scambray George Kurtz Hacking exposed fifth edition, McGraw-Hill/Osborne, 2005 [2] Internet Security Systems ProventiaGSeries_Guide, May 2005 [3] Internet Security Systems Các dấu hiệu công thâm nhập, 2005 B Tiếng Việt [4] Thạc sĩ Nguyễn Nam Hải Đề án phát triển VNUnet [5] Vnexperts Research Department Hack Windows toàn tập [6] Vietnamnet.vn Tìm hiểu cơng từ chối dịch vụ DoS C Các website tham khảo [7] Microsoft Lỗ hổng MSRPC http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx [8] Quantrimang Các nguy an ninh mạng www.quantrimang.com.vn/print/23105.aspx [9] Washington.edu Khái niệm thâm nhập http://www.washington.edu/computing/security/intrusion.html [10] Wikipedia Lỗ hổng bảo mật http://en.wikipedia.org/wiki/Vulnerability_(computing) [11] Wikipedia Tấn công từ chối dịch vụ http://www.vi.wikipedia.org/wiki/Denial_of_service [12] Yahoo blog Quá trình công hacker http://blog.360.yahoo.com/blog-WS_Rh2olbqeTH.tkhm7K.w-?cq=1&p=60 78 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... Sơ đồ triển khai IPS 53 Hình 23 – Khi có cơng thâm nhập gửi mail cho cán TTMT 54 Hình 24 - Mơ hình mạng VNUnet sau triển khai hệ thống IDS/ IPS 55 Hình 25 - Hệ thống IPS gửi... HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Trần Tiến Công NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/ IPS KHỐ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành : Công nghệ thông tin Cán hướng dẫn : Ths Đoàn Minh... Hà Nội IDS/ IPS Hệ thống phát hiện/ngăn chặn thâm nhập VNUnet Hệ thống mạng Đại học Quốc gia Hà Nội Proventia G 200 Tên dòng thiết bị IDS/ IPS hãng IBM DANH SÁCH BẢNG Bảng – Thuật ngữ IDS/ IPS