NGHIÊN cứu và đề XUẤT một số GIẢI PHÁP đảm bảo AN TOÀN THÔNG TIN CHO PHẦN mềm PHỤC vụ QUẢN lí HÀNG hóa của CÔNG TY cổ PHẦN DỊCH vụ HÀNG hóa nội bài (NCTS)
Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 73 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
73
Dung lượng
1,11 MB
Nội dung
HỌC VIỆN NGÂN HÀNG KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC NGHIÊN CỨU VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN THƠNG TIN CHO PHẦN MỀM PHỤC VỤ QUẢN LÍ HÀNG HĨA CỦA CƠNG TY CỔ PHẦN DỊCH VỤ HÀNG HĨA NỘI BÀI (NCTS) ĐỒNG THỊ LINH HÀ NỘI, NĂM 2020 HỌC VIỆN NGÂN HÀNG KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC NGHIÊN CỨU VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN THƠNG TIN CHO PHẦN MỀM PHỤC VỤ QUẢN LÍ HÀNG HĨA CỦA CƠNG TY CỔ PHẦN DỊCH VỤ HÀNG HĨA NỘI BÀI (NCTS) Giáo viên hướng dẫn: ThS Vũ Duy Hiến Sinh viên thực : Đồng Thị Linh Mã sinh viên : 19A4040086 Lớp : K19HTTTB Khóa : K19 Hệ : Đại học quy Hà Nội, tháng năm 2020 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS LỜI CẢM ƠN Trong suốt trình nghiên cứu hồn thành khóa luận tốt nghiệp, em nhận nhiều quan tâm giúp đỡ từ thầy cô bạn bè Em xin gửi lời cảm ơn chân thành tới ThS Vũ Duy Hiến - Giảng viên Khoa Hệ thống thông tin quản lý - Học viện Ngân hàng Thầy tạo điều kiện thuận lợi tận tình hướng dẫn, giúp đỡ em hồn thành tốt khóa luận Em xin chân thành cảm ơn Ban lãnh đạo công ty FIS tạo điều kiện thuận lợi cho em tìm hiều thực tiễn suốt q trình thực tập cơng ty Đặc biệt cảm ơn anh chị Phòng Tài cơng tạo điều kiện giúp đỡ, cung cấp thơng tin, giải đáp thắc mắc để em hồn thành khóa luận tốt nghiệp Cuối em xin gửi lời cảm ơn đến toàn thể thầy cô trường Học viện Ngân hàng, đặc biệt thầy cô Khoa Hệ thống thông tin quản lý giảng dạy truyền đạt cho em kiến thức bổ ích năn học tập trường Vì thời gian lực cịn hạn chế nên khơng thể tránh khỏi sai sót q trình thực đề tài Vì vậy, em mong nhận góp ý, bổ sung tất thầy để đề tài nghiên cứu em hoàn thiện Em xin chân thành cảm ơn! Đồng Thị Linh - K19HTTTB i Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS LỜI CAM KẾT Em xin cam đoan kết đạt đề tài khóa luận sản phẩm nghiên cứu, tìm hiểu riêng cá nhân em Trong toàn nội dung đề tài này, điều trình bày cá nhân tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Em xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan SINH VIÊN THỰC HIỆN ĐỒNG THỊ LINH Đồng Thị Linh - K19HTTTB ii Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS MỤC LỤC MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG THÔNG TIN PHỤC VỤ QUẢN LÍ HÀNG HĨA CỦA CƠNG TY CỔ PHẦN DỊCH VỤ HÀNG HÓA NỘI BÀI NCTS 1.1 Giới thiệu đơn vị thực tập 1.2 Giới thiệu toán đơn vị thực tập CHƯƠNG THỰC TRẠNG HỆ THỐNG THƠNG TIN PHỤC VỤ QUẢN LÍ HÀNG HĨA CỦA CƠNG TY CỔ PHẦN DỊCH VỤ HÀNG HÓA NỘI BÀI NCTS VÀ CÁC NGUY CƠ MẤT AN NINH, AN TOÀN ĐỐI VỚI HỆ THỐNG NCTS 2.1 Cơ sở lý thuyết an tồn hệ thống thơng tin 2.1.1 Khái niệm an tồn hệ thống thơng tin 2.1.2 Những hoạt động đảm bảo an tồn hệ thống thông tin 2.1.3 Những kỹ thuật đảm bảo an tồn thơng tin 2.2 Thực trạng hệ thống thông tin phục vụ quản lí hàng hóa cơng ty cổ phần dịch vụ hàng hóa Nội Bài NCTS nguy an ninh, an toàn hệ thống NCTS 23 2.2.1 Thực trạng hệ thống thông tin NCTS 23 2.2.2 Các nguy XUẤT an ninh, toànGIẢI hệ thống thông tin NCTS 26 CHƯƠNG ĐỀ MỘTanSỐ PHÁP ĐẢM BẢO AN NINH, AN TOÀN CHO HỆ THỐNG THƠNG TIN PHỤC VỤ QUẢN LÍ HÀNG HĨA CƠNG TY CỔ PHẦN DỊCH VỤ HÀNG HĨA NỘI BÀI (NCTS) 34 3.1 Xây dựng máy chủ ủy quyền tích hợp SSL/TLS dựa phần mềm mã nguồn mở NGINX OpenSSL 34 Đồng Thị Linh - K19HTTTB iii Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS 3.1.1 Giới thiệu máy chủ ủy quyền .34 3.1.2 Giới thiệu OpenSSL 44 3.1.3 Mô tả kiến trúc hệ thống 46 3.1.4 Cài đặt thiết lập .46 3.2 Xây dựng giao thức đảm bảo an toàn kết nối SSL/TLS máy trạm dựa công nghệ mạng riêng ảo OpenSSL .52 3.2.1 Công nghệ mạng riêng ảo Stunnel .52 3.2.2 Cài đặt Stunnel 52 3.2.3 Cấu hình hệ thống .54 3.3 Thiết lập module phát công dựa phần mềm tường lửa ModSecurity 55 3.3.1 Giới thiệu ModSecurity .55 3.3.2 Chức 57 3.3.3 Cơ chế hoạt động .58 3.3.4 Cấu trúc tập luật ModSecurity 59 3.3.5 Tích hợp kích hoạt module ModSecurity máy chủ ủy quyền NGINX 60 KẾT LUẬN 63 TÀI LIỆU THAM KHẢO 64 Đồng Thị Linh - K19HTTTB iv Khóa luận tốt nghiệp STT Nghiên cứu đề xuất giải pháp đảm bảo an toàn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS Diễn giải Từ viết tắt DANH MỤC VIẾT TẮT Công ty Cổ phần CÁC dịch vụCHỮ hàng hóa Nội Bài NCTS HTTT Hệ thống thơng tin CNTT Công nghệ thông tin CSDL Cơ sở liệu Đồng Thị Linh - K19HTTTB v Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS DANH MỤC BẢNG BIỂU HÌNH VẼ • Hình 1.1 Sơ đồ máy tổ chức FPT IS Hình 2.1 Mơ hình CIA Hình 2.2 Kiến trúc SSL 15 Hình 2.3 Hoạt động giao thức ghi SSL 18 Hình 2.4 Bảo vệ thơng điệp với MD5 Bảo vệ thông điệpvới SHA-1 .18 Hình 2.5 Mã hóa dịng Mã hóa khối 19 Hình 2.6 Kiến trúc tổng thể hệ thống thông tin NCTS 24 Hình 2.7 Mơ hình công kiểu DoS 29 Hình 2.8 Mơ hình cơng kiểu DDoS 30 Hình 3.1 Mơ hình hoạt động máy chủ ủy quyền 34 Hình 3.2 Sơ đồ kiểm tra yêu cầu qua máy chủ ủy quyền 35 Hình 3.3 Sơ đồ máy chủ ủy quyền bỏ qua yêu cầu không hợp lệ 36 Hình 3.4 Mơ hình kiến trúc Apache .38 Hình 3.5 Sơ đồ kiến trúc Nginx .41 Hình 3.6 Kiến trúc hệ thống NCTS 46 Hình 3.7 Cài đặt Stunnel 53 Hình 3.8 Stunnel sinh khóa bí mật khóa cơng khai kèm chứng thư số 53 Hình 3.9 Ứng dụng NCTS trỏ tới địa IP máy kháchchứa Stunnel 54 Hình 3.10 Cấu hình Stunnel máy khách 55 Hình 3.11 Mơ hình sử dụng Mod security 55 Hình 3.12 Cơ chế hoạt động ModSecurity .58 Đồng Thị Linh - K19HTTTB vi Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an toàn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS Bảng 2.1 Q trình bắt tay SSL 17 Bảng 3.1 So sánh Apche Nginx .44 Đồng Thị Linh - K19HTTTB vii Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS MỞ ĐẦU Mạng máy tính Internet đời đem lại thay đổi to lớn cho lĩnh vực xã hội lồi người Ngày nay, Internet khơng thể thiếu tất hoạt động kinh tế, giáo dục, công nghệ đặc biệt lĩnh vực kinh tế Internet với ứng dụng công nghệ thông tin hỗ trợ nhiều cho tổ chức/doanh nghiệp Chúng giúp cho hoạt động nghiệp vụ hoạt động trơn tru thông qua hệ thống thông tin, giúp cho nhà quản lý điều hành tổ chức/doanh nghiệp hiệu Song song với lợi ích mà cơng nghệ thơng tin nói chung Internet nói riêng đem lại cho tổ chức/doanh nghiệp, nguy rủi ro đến từ công mạng Internet tăng lên cách nhanh chóng ngày khó kiểm sốt Theo tổng kết Cục An tồn thơng tin: “Năm 2019 ghi nhận khoảng 5,2 nghìn cơng vào hệ thống thông tin Việt Nam dẫn đến cố, số lượng địa IP Việt Nam nằm mạng máy tính ma vào khoảng 6,5 triệu địa gây hậu nghiêm trọng không tài mà cịn ảnh hưởng tới uy tín, hình ảnh doanh nghiệp quốc gia Điển hình cố nghiêm trọng lĩnh vực tài - ngân hàng xảy tháng 11 năm 2019 gây hoang mang dư luận, cố lộ triệu liệu ngân hàng lớn Việt Nam Theo đó, diễn đàn giới hacker Raidforums, nơi chuyên đăng rao bán sở liệu (CSDL) bị hack tải lên tập tin liệu cho có chứa thông tin người dùng ngân hàng Việt Nam bao gồm mã khách hàng, tên tuổi, ngày tháng năm sinh, số điện thoại, email, địa nhà riêng nơi công tác khoảng triệu người Việt Nam” Đồng Thị Linh - K19HTTTB Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS sudo systemctl start nginx.service && sudo systemctl enable nginx.service h Kiểm tra xem NGINX có tự động khởi động khơng sudo systemctl is-enabled nginx.service # enabled i Kiểm tra xem NGINX có hoạt động không sudo systemctl status nginx.service ps aux | grep nginx curl -I I27.0.0.1 j Khởi động lại VPS Ubuntu để xác minh NGINX tự động khởi động: sudo shutdown -r now _ k Tạo hồ sơ ứng dụng UFW NGINX sudo nano /etc/ufw/applications.d/nginx [Nginx HTTP] title=Web Server (Nginx, HTTP) description=Small, but very powerful and efficient web server ports=80/tcp [Nginx HTTPS] title=Web Server (Nginx, HTTPS) description=Small, but very powerful and efficient web server ports=443/tcp [Nginx Full] title=Web Server (Nginx, HTTP + HTTPS) description=Small, but very powerful and efficient web server ports=80,443/tcp ' _ l Liệt kê danh sách ứng dụng máy chủ ủy quyền sudo ufw app list # # # # Available applications: Nginx Full Nginx HTTP Nginx HTTPS Đồng Thị Linh - K19HTTTB 50 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS #HTTPS server # server { listen 1234 ssl; b Thiết lập chức chuyển tiếp yêu cầu tới máy chủ thực location ~ \.php$ { proxy_pass 192.168.1.100; } } '" Trong đó, địa IP máy chủ ủy quyền mạng nội 192.168.1.2, địa IP máy chủ thực 192.168.1.100 m Thiết lập kết nối an toàn SSL/TLS cho máy chủ ủy quyền #HTTPS server # server { listen 1234 ssl; #ssl configuration ssl_session_cache shared:SSL:1m; ssl_session_timeout 5m; ssl_certificate /etc/ssl/certs/server.crt; ssl_certificate_key /etc/ssl/private/server.key; ssl_protocols TLSv1.2; ssl_prefer_server_ciphers on; } Trong đó, chứng thư số server.crt khóa mật server.key tự tạo cấp tổ chức chứng thực tin cậy CA Đồng Thị Linh - K19HTTTB 51 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS 3.1 Xây dựng giao thức đảm bảo an toàn kết nối SSL/TLS máy trạm dựa công nghệ mạng riêng ảo OpenSSL 3.2.1 Công nghệ mạng riêng ảo Stunnel Stunnel phần mềm VPN mã nguồn mở có vai trị thiết lập kênh truyền liệu an toàn máy chủ máy khách Stunnel sử dụng công cụ mật mã OpenSSL để đóng gói mã hóa thơng điệp truyền thơng mơ hình TCP/IP 3.2.1.1 Tính Stunnel - Tối ưu hóa bảo mật, tính di động khả mở rộng - Hỗ trợ tính bảo mật OpenSSL: Kiểm sốt truy cập với TLS PSK chứng chỉ, thu hồi chứng CRL OCSP, - Chuyển hướng kết nối máy khách TLS lỗi xác thực - Hỗ trợ IPv6 3.2.1.2 Cách thức hoạt động Stunnel Stunnel cài đặt phía máy chủ máy khách Tuy nhiên, hầu hết web server hỗ trợ tích hợp giao thức đảm bảo an toàn kết nối SSL/TLS nên Stunnel chủ yếu cài đặt phía máy khách phục vụ cho ứng dụng khơng thể tích hợp SSL/TLS Ở phía máy khách, Stunnel lắng nghe kết nối khơng mã hóa từ ứng dụng chuyển tiếp chúng qua kết nối SSL/TLS mã hóa gửi đến máy chủ xa 3.2.2 Cài đặt Stunnel Đồng Thị Linh - K19HTTTB 52 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS Hình 3.7 Cài đặt Stunnel Trong trình cài đặt, chương trình sinh khóa bí mật cơng khai kèm với chứng thư số cần thiết phục vụ cho giao thức SSL/TLS cho phía máy khách Hình 3.8 Stunnel sinh khóa bí mật khóa cơng khai kèm chứng thư số Đồng Thị Linh - K19HTTTB 53 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng 3.2.1 Cấu hình hệ thống tin cho phần mềm phục vụ quản lí hàng hóa NCTS Sau tiến hành cài đặt xong, cần thiết lập tham số cho ứng dụng NCTS công cụ stunnel máy khách 3.2.3.1 Thiết lập ứng dụng NCTS Nhắc lại rằng, nguyên lý làm việc Stunnel lắng nghe kết nối không mã hóa từ ứng dụng chuyển tiếp chúng qua kết nối SSL/TLS mã hóa gửi đến máy chủ xa Do đó, ứng dụng NCTS cần phải trỏ tới địa IP cổng port máy localhost (127.0.0.1:8080) máy khách chứa Stunnel Hình 3.9 Ứng dụng NCTS trỏ tới địa IP máy khách chứa Stunnel 3.2.3.1 Thiết lập phần mềm Stunnel Đối với phần mềm Stunnel, cần thiết lập cổng lắng nghe “accept=127.0.0.1:8080” nơi mà ứng dụng NCTS gửi liệu tới Tiếp theo, liệu sau Stunnel mã hóa chuyển tiếp cho máy chủ ủy quyền NCTS nên địa đích máy chủ cần thiết lập câu lệnh “connect=10.14.136.3: 1234” Chú ý địa IP công khai máy Đồng Thị Linh - K19HTTTB 54 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS chủ ủy quyền, máy chủ thực máy chủ ủy quyền kết nối thông qua mạng nội riêng tư độc lập ; TLS front-end to a web server [https] accept = 127.0.0.1:8080 connect = 10.14.136.3:1234 cert = stunnel.pem _ Hình 3.10 Cấu hình Stunnel máy khách 3.2 Thiết lập module phát công dựa phần mềm tường lửa ModSecurity 3.3.1 Giới thiệu ModSecurity Hình 3.11 Mơ hình sử dụng Mod security ModSecurity phần mềm tường lửa ứng dụng web mã nguồn mở Ivan Ristic phát triển nhằm lọc lưu lượng HTTP dựa tập quy tắc ModSecurity module mở rộng cho chương trình Web server Apache, Nginx, IIS có khả chống lại hàng loạt công biết chưa biết trước chúng tác động vào ứng dụng web XSS, SQL Injiection, XXs Session hacking, Máy chủ web giúp ModSecurity thực tác vụ liên quan đến sở hạ tầng như: Đồng Thị Linh - K19HTTTB 55 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS -Tách luồng kết nối vào (inbound connection stream) thành HTTP request - Giải mã SSL - Bóc tách gói tin HTTP request thành phần - Gọi đến ModSecurity, chọn ngữ cảnh cấu hình xác - Tách phần body HTTP request cần thiết ModSecurity sử dụng cách tiếp cận hỗn hợp (hybrid approach) nhờ vào chế bóc tách gói tin HTTP (HTTP parsing), cách tiếp cận hiệu làm giảm khối lượng công việc trùng lặp xử lý gói tin HTTP Một vài điểm bất lợi cách tiếp cận khơng phải lúc ModSecurity truy cập đến luồng liệu thơ (raw data) web server khơng xử lý liệu vài chế an toàn Trong trường hợp web server sử dụng Apache, cách tiếp cận hỗn hợp có vài điểm cần lưu ý là: - Các dịng request header thường trả NUL-byte Đây thường không ảnh hưởng đến hoạt động ModSecurity Apache khơng thể nhìn thấy không gây ảnh hưởng đến module ứng dụng Đây hành vi Apache giúp che đậy thơng tin - Apache thưởng chuẩn hóa request header, kết hợp nhiều header sử dụng tên thu gọn header thường kéo dài nhiều hai dịng Bước chuẩn hóa gây khó khăn việc phát dấu hiệu lẩn tránh tinh vi - Cơ chế xử lý nhanh request Apache làm cho ModSecurity xử lý request việc nhận diện chúng bước ghi nhật ký Các request không hợp lệ thường bị Apache chối bỏ trước ModSecurity kịp xử lý chúng - Trường “Server” “Date” response header thường ẩn với ModSecurity chế hoạt động Apache, thể thơng tin khơng Đồng Thị Linh - K19HTTTB 56 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS 3.3.2 Chức ModSecurity cung cấp bốn chức sau: - Parsing - phân tích: ModSecurity cố gắng thu thập nhiều liệu Các định dạng liệu hỗ trợ trình phân tích cú pháp an tồn (security-conscientious parser) bóc tách bit liệu lưu trữ chúng để sử dụng luật - Buffering - đệm: Phần body request response lưu lại nhớ đệm ModSecurity thường giám sát hoàn toàn request trước chúng chuyển cho ứng dụng để xử lý, giám sát hoàn toàn response trước gửi cho client Buffering tính quan trọng, cách chứng minh tin cậy chặn truy cập - Logging - ghi nhật ký: ModSecurity hỗ trợ ghi chép lại toàn thành phần gói tin HTTP giúp kiểm sốt hỗ trợ người quản trị hệ thống phân tích công - Rule Engine - chế luật: Cơ chế luật xây dựng để thực thi dựa thành phần khác Các thông tin mà chế luật cần chuẩn bị sẵn sàng bắt đầu hoạt động, chế luật bắt đầu đánh giá thực biện pháp dựa đánh giá Đồng Thị Linh - K19HTTTB 57 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS 3.3.3 Cơ chế hoạt động Hình 3.12 Cơ chế hoạt động ModSecurity Trong ModSecurity giao tác trải qua pha, pha gắn với tập luật tương ứng để kiểm tra pha đó, thực thi hành động trước pha kết thúc: - Request Header: Mục đích pha cho phép người viết luật giám sát request trước tiêu tốn thời gian hiệu để xử lý phần body request Ví dụ, muốn bóc tách nội dung XML body request, pha request header mặc định khơng bóc tách nội dung này, người quản trị tự định nghĩa luật thích hợp để thực điều - Request body: Pha pha trình phân tích request clien gửi đến server Các request body xử lý chúng hoàn toàn nhận ModSecurity Các luật pha có tất liệu request khả Đồng Thị Linh - K19HTTTB 58 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an toàn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS - Response header: Pha bắt đầu reponse header khả dụng trước phần body response đọc Các luật pha định xem có nên chạy pha kiểm tra response body hay không - Response body: Pha pha q trình phân tích response Pha bắt đầu phần body response đọc, liệu khả dụng cho việc áp dụng luật - Logging: Đây pha đặc biệt bị chặn Khi pha bắt đầu chạy, giao tác kết thúc Các luật pha dùng để kiểm soát việc ghi lại nhật ký 3.3.4 Cấu trúc tập luật ModSecurity Tất hoạt động ModSecurity hầu hết liên quan đến hai phần là: cấu hình (configuration) tập luật (rule) Phần cấu hình định cách thức xử lý liệu, tập luật định thực hành vi (action) với liệu xử lý Cấu trúc chuẩn tập luật ModSecurity bao gồm phần chính: SecRule VARIABLES OPERATOR ACTIONS VARIABLES: giúp tập luật nhận diện phần giao tác HTTP mà ModSecurity làm việc OPERATOR: định nghĩa biến phân tích cách Các operator thường sử dụng dạng regular expression, tập luật cho phép có operator ACTIONS: dùng để định nghĩa hành động thực thi giao tác trùng khớp với luật Trong ví dụ trên, phần action viết log,deny,status:404 có nghĩa là: trùng mẫu gói tin thực ghi log, deny gói tin băng Đồng Thị Linh - K19HTTTB 59 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS $ apt-get install -y apt-utils autoconf automake buildessential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev 3.3.5 Tích hợp kích hoạt module ModSecurity máy chủ ủy quyền libpcre++-dev libtool libxml2-dev libyajl-dev pkgconf wget NGINX zlib1g-dev 3.3.5.1 Cài đặt gói tiên 3.3.5.1 Tải xuống biên dịch mã nguồn ModSecurity $ git clone depth -b v3∕master single-branch https://github.com/SpiderLabs/ModSecurity Lựa chọn thư mục tiến hành biên dịch ModSecurity $ cd ModSecurity $ git submodule init $ git submodule update $ /build.sh $ /configure $ make $ make install _ 3.3.5.2 Tải trình kết nối NGINX cho ModSecurity biên dịch dạng module động $ git clone depth https://github.com/SpiderLabs/ModSecurity-nginx.git Biên dịch module động chép vào thư mục tiêu chuẩn cho module: $ cd nginx-1.16.1 $ /configure with-compat add-dynamicmodule= /ModSecurity-nginx $ make modules $cp objs/ngx_http_modsecurity_module.so /etc/nginx/modules Tải mô-đun động kết nối NGINX ModSecurity: Đồng Thị Linh - K19HTTTB 60 Khóa luận tốt nghiệp Thêm thị load_module Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng sau tin cho phần mềm phục vụ quản lí hàng hóa NCTS tệp /etc/nginx/nginx.conf Nó lệnh cho NGINX tải mơ-đun động ModSecurity xử lý cấu hình: $ load_module modules/ngx_http_modsecurity_module.so; 3.3.5.3 Cấu hình, thiết lập kiểm thử Modsecurity $ mkdir /etc/nginx/modsec $wget -P /etc/nginx/modsec/ https://raw.githubusercontent.com/SpiderLabs/ModSecurity/v3 /master/modsecurity.conf-recommended $ mv /etc/nginx/modsec/modsecurity.conf-recommended /etc/nginx/modsec/modsecurity.conf _ Thay đổi thị SecRuleEngine cấu hình để thay đổi từ chế độ phát mặc định chế độ mật sang chế độ chủ động bỏ lưu lượng độc hại: $ sed -i 's/SecRuleEngine DetectionOnly/SecRuleEngine On/' /etc/nginx/modsec/modsecurity.conf _ Cấu hình tất luật tệp /etc/nginx/modsec/main.conf # From https://github.com/SpiderLabs/ModSecurity/blob/master/ # modsecurity.conf-recommended # # Edit to set SecRuleEngine On Include "/etc/nginx/modsec/modsecurity conf" # Basic test rule SecRule ARGS:testparam "@contains test" “id:l234,deny,status:403" Include /owasp-modsecurity-crs-3.0.2/crs-setup.conf Include /owasp-modsecurity-crs-3.0.2/rules/* conf Thêm thị modsecurity modsecurity_rules_file vào cấu hình NGINX để kích hoạt ModSecurity: $ server { # modsecurity on; modsecurity_rules_file /etc/nginx/modsec/main conf; } _ Kiểm tra sau cài đặt: $ curl localhost?testparam=test Đồng Thị Linh - K19HTTTB 61 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS 403 Forbidden 403 Forbidden nginx/1.13.1 _ Ket trả máy chủ ủy quyền phát công phản hồi lỗi: 403 Forbidden 403 Forbidden nginx/1.13.1 Đồng Thị Linh - K19HTTTB 62 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS KẾT LUẬN Trên sở nghiên cứu phân tích kỹ lưỡng hệ thống thơng tin phục vụ hàng hóa NCTS mà đơn vị thực tập triển khai, khóa luận đề xuất số giải pháp đảm bảo an tồn thơng tin cho hệ thống NCTS dựa cơng nghệ máy chủ ủy quyền NGINX 1.16.1, giao thức đảm bảo an toàn kết nối SSL/TLS sử dụng OpenSSL 1.1.1 module tường lửa web Modsecurity phát công vào hệ thống máy chủ Tuy nhiên, hạn chế kiến thức liên quan tới an toàn thơng tin nên khóa luận cần phải xem xét thêm số khía cạnh nhằm bảo vệ tồn diện cho hệ thống thông tin NCTS như: giám sát an ninh mạng, dự phịng thảm họa, phát cơng theo phương pháp khác Để đạt mục tiêu tồn diện kể trên, thời gian tới, khóa luận cần nghiên cứu lựa chọn giải pháp giám sát an ninh mạng phù hợp cho hệ thống Đồng Thị Linh - K19HTTTB 63 Khóa luận tốt nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an toàn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS TÀI LIỆU THAM KHẢO A Freier, P.Karlton, P.Kocher (2011) The Scure Sockets Layer (SSL) Protocol Version 3.0 IETF RFC 6101 DeJonghe, D (2007) Complete nginx cookbook O’Reilly Media Inc https://www.fis.com.vn https://www.stunnel org/index.html Ivan, R (2010) Modsecurity Handbook: The Complete Guide to the Popular Open Source Web Application Firewall Feisty Duck Sommerlad, P (2003) Reverse Proxy Patterns Zurich: SYNLOGIC AG Tiến, T N (2009) Giáo trình An tồn liệu Hà Nội: Đại Học Quốc gia Hà Đồng Thị Linh - K19HTTTB 64 ... Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS Chương 1: Tổng quan hệ thống thơng tin phục vụ quản lí hàng hóa Cơng ty Cổ phần dịch vụ hàng hóa. .. nghiệp Nghiên cứu đề xuất giải pháp đảm bảo an tồn thơng tin cho phần mềm phục vụ quản lí hàng hóa NCTS CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG THƠNG TIN PHỤC VỤ QUẢN LÍ HÀNG HĨA CỦA CƠNG TY CỔ PHẦN DỊCH VỤ HÀNG... NGÂN HÀNG KHOA HỆ THỐNG THÔNG TIN QUẢN LÝ KHÓA LUẬN TỐT NGHIỆP ĐẠI HỌC NGHIÊN CỨU VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN THƠNG TIN CHO PHẦN MỀM PHỤC VỤ QUẢN LÍ HÀNG HĨA CỦA CƠNG TY CỔ PHẦN DỊCH