BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SĨ CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN NGHIÊN CỨU TRIỂN KHAI ỨNG DỤNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN NGỪA XÂM NHẬP TRÁI PHÉP IDS/IPS NGUYỄN SONG TOÀN Hà Nội - 2019 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SĨ NGHIÊN CỨU TRIỂN KHAI ỨNG DỤNG HỆ THỐNG PHÁT HIỆN VÀ NGĂN NGỪA XÂM NHẬP TRÁI PHÉP IDS/IPS NGUYỄN SONG TỒN CHUN NGÀNH CƠNG NGHỆ THƠNG TIN MÃ SỐ: 8.48.02.018 NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS VŨ CHẤN HƯNG Hà Nội - 2019 LỜI CAM ĐOAN Tôi cam đoan luận văn cơng trình nghiên cứu riêng cá nhân tôi, tự nghiên cứu, đọc, dịch tài liệu, tổng hợp thực hướng dẫn PGS.TS Vũ Chấn Hưng Các tài liệu, kết nêu luận văn trung thực tường minh, liệt kê danh sách tài liệu tham khảo Học viên Nguyễn Song Toàn LỜI CẢM ƠN Để hồn thành khóa luận này, em xin tỏ lòng biết ơn sâu sắc đến PGS.TS Vũ Chấn Hưng, tận tình hướng dẫn suốt trình viết Luận văn tốt nghiệp Em chân thành cảm ơn quý thầy(cô) khoa sau đại học, Trường Đại Học Mở Hà Nội tận tình truyền đạt kiến thức năm em học tập Với vốn kiến thức tiếp thu q trình học khơng tảng cho q trình nghiên cứu khóa luận mà cịn hành trang q báu để em áp dụng vào thực tế cách vững tự tin Em kính chúc q thầy(cơ) dồi sức khỏe thành công nghiệp giảng dạy Cuối tơi xin dành tình cảm biết ơn tới bạn bè lớp cao học CNTT khóa 2017 - 2019 bạn đồng nghiệp công ty Cổ phần iPOS.vn, người luôn bên cạnh, động viên chia sẻ suốt thời gian học Cao học trình thực Luận văn Tháng 10 năm 2019 MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC TỪ VIẾT TẮT v DANH MỤC HÌNH VẼ vii MỞ ĐẦU CHƯƠNG TỔNG QUAN GIỚI THIỆU VỀ IDS/IPS 1.1 Các hệ thống phát xâm nhập công từ chối dịch vụ IDS 1.1.1 Giới thiệu IDS .2 1.1.2 Phương pháp công từ chối dịch vụ 1.1.3 Chức Năng IDS 1.1.4 Kiến trúc IDS .4 1.1.5 Kỹ thuật xử lý IDS .5 1.1.6 Phân loại hệ thống IDS .5 1.2 Hệ thống ngăn ngừa xâm nhập - IPS .12 1.2.1 Khái niệm IPS .12 1.2.2 Chức IPS 13 1.2.3 Kiến trúc IPS .13 1.2.4 Phân loại IPS 17 1.2.5 Kỹ thuật xử lý IPS .18 1.3 So Sánh IDS/IPS .22 1.4 Tìm hiểu số cơng cụ phát xâm nhập mạng 23 1.4.1 SNORT 23 1.4.2 Suricata 24 1.4.3 Bro IDS 24 1.5 Kết luận chương 25 CHƯƠNG NGHIÊN CỨU ỨNG DỤNG IDS/IPS TRÊN SNORT 26 2.1 Giới thiệu SNORT 26 2.2 Kiến trúc SNORT 26 2.3 Các Rule SNORT 31 2.4 Các chế độ ngăn chặn SNORT 41 2.4.1 Sniff mode 41 2.4.2 Packet logger mode 42 2.4.3 NIDS mode 43 2.4.4 Inline Mode 43 2.5 Kết luận chương 43 CHƯƠNG TRIỂN KHAI HỆ THỐNG SNORT IDS/IPS CHO CÔNG TY CỔ PHẦN iPOS.VN 45 3.1 Ý nghĩa lý triển khai hệ thống 45 3.2 Cấu trúc hệ thống mạng Công ty Cổ phần iPOS.vn 45 3.3 Môi trường triển khai hệ thống SNORT IDS/IPS 47 3.3.1 Yêu cầu phần cứng 47 3.3.2 Hệ điều hành gói phần mềm khác 48 3.4 Cài đặt hệ thống .49 3.4.1 Cài đặt snort 2.9.9 Ubuntu 49 3.4.2 Cấu hình Snort chạy chế độ NIDS 51 3.4.3 Viết kiểm thử luật đơn lẻ Snort 54 3.4.4 Cài đặt Barnyard2 .55 3.4.5 Cài đặt PulledPork 57 3.4.6 Tạo Script systemD cho Ubuntu 16 59 3.4.7 Cài đặt BASE 60 3.5 Kêt thử nghiệm 61 3.5.1 Tạo luật để phát Ping (các gói tin ICMP) 61 3.5.2 Thực công DoS 63 3.5.3 Thực ngăn chặn Ping of Death 64 3.5.4 Ngăn chặn công ddos(SYN Flood) .66 3.5.5 Các luật (rule) thêm thông tin 68 3.6 Kết Luận Chương 72 KẾT LUẬN 73 TÀI LIỆU THAM KHẢO 75 DANH MỤC TỪ VIẾT TẮT STT Từ viết Tiếng Anh tắt IDS Intrusion Detection System IPS Intrusion Prevention System DoS Denial of Service DdoS Distributed Denial of Service UDP User Datagram Protocol TCP Transmission Control Protocol ICMP NIDS HIDS 10 IP 11 Tiếng Việt Hệ thống phát xâm nhập Hệ thống ngăn ngừa xâm nhập Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ Phân tán Giao thức liệu người dùng Giao thức điều khiển truyền Internet Control Message vận Giao thức Thông điệp điều Protocol Network Intrusion Detection khiển Internet Hệ thống phát xâm nhập System Host Intrusion Detection mạng Hệ thống phát xâm nhập System thiết bị Internet Protocol Giao thức Internet DMZ Demilitarized Zone Vùng mạng trung lập 12 DNS Domain Name Server Hệ thống phân giải tên miền 13 HTTP HyperText Transfer Protocol 14 HTTPS 15 Giao thức truyền tải siêu văn HyperText Transfer Protocol Giao thức truyền tải siêu văn Secure bảo mật FTP File Transfer Protocol Giao thức chuyển nhượng tập tin 16 TTL Time To Live 17 SSH Secure Shell Thời gian tồn ghi Giao thức truy cập máy tính từ xa 18 NIC Network Interface Card Cổng giao tiếp mạng 19 RAM Random Access Memory Bộ nhớ truy cập ngẫu nhiên 20 SSL Secure Sockets Layer 21 ISP Internet Service Provider Nhà cung cấp dịch vụ Internet 22 POP3 Post Office Protocol Giao thức tầng ứng dụng 23 SMTP Simple Mail Transfer Protocol 24 SNMP Tiêu chuẩn công nghệ bảo mật Giao thức truyền tải thư tín đơn giản Simple Network Management Giao thức quản lý mạng đơn Protocol giản DANH MỤC HÌNH VẼ Hình 1.1 Mơ hình IDS/IPS .2 Hình 1.2 Kiến trúc IDS Hình 1.3 Mơ hình Network-Based Hình 1.4 Mơ hình Host-Based Hình 1.5 So sánh NIDS & HIDS 10 Hình 1.6 Mơ hình IPS 13 Hình 1.7 Mơ hình NIPS – Network-based Intrusion Prevention 17 Hình 1.8 Mơ hình HIPS – Host-based Intrusion Prevention 18 Hình 1.9 Kỹ thuật xử lý IPS - Signature Based 18 Hình 1.10 Kỹ thuật xử lý IPS - Anomaly Based 20 Hình 1.11 Kỹ thuật xử lý IPS - Policy Based .21 Hình 1.11 Ứng dụng Snort 23 Hình 1.12 Suricata tích hợp tường lửa pfsense 24 Hình 1.13 BRO IDS .24 Hình 2.1 Biểu tượng ứng dụng Snort .26 Hình 2.2 Mơ hình kiến trúc snort 27 Hình 2.3 Cấu trúc luật .31 Hình 2.4 Cấu trúc Rule Header 32 Hình 3.1 Hệ thống mạng cơng ty Cổ phần iPOS chưa có Snort IPS .45 Hình 3.2 Hệ thống mạng cơng ty Cổ phần iPOS sau triển khai Snort IPS 47 Hình 3.3 Chỉnh sửa local.rules Snort 61 Hình 3.4 Ping test cơng ens160 62 Hình 3.5 Ping test cơng ens160 62 Hình 3.6 Test DoS Hping3 63 Hình 3.7 Test Ping of Death 65 Hình 3.8 Test Ping of Death 65 Hình 3.9 Test Ping of Death 65 Hình 3.10 Test Ping of Death .66 Hình 3.11 Test công ddos(SYN Flood) 67 Hình 3.12 Test cơng ddos(SYN Flood) 67 Hình 3.13 Các luật khởi tạo .68 MỞ ĐẦU Ngày nay, nhu cầu trao đổi liệu qua hệ thống mạng máy tính trở thành vơ quan trọng hoạt động xã hội Vấn đề bảo đảm an ninh, an tồn cho thơng tin mạng ngày mối quan tâm hàng đầu công ty, tổ chức, nhà cung cấp dịch vụ Cùng với thời gian, kỹ thuật công ngày tinh vi khiến hệ thống an ninh mạng trở nên hiệu Các hệ thống an ninh mạng truyền thống túy dựa tường lửa nhằm kiểm sốt luồng thơng tin vào hệ thống mạng cách cứng nhắc dựa luật bảo vệ cố định Với kiểu phòng thủ này, hệ thống an ninh bất lực trước kỹ thuật công mới, đặc biệt công nhằm vào điểm yếu hệ thống Trước nguy xâm nhập kẻ cơng nhằm tìm kiếm liệu mật công ty, doanh nghiệp, tổ chức, hay quốc gia hệ thống IDS (IntrusionDetection System) đời để phát xâm nhập trái phép kẻ công thông qua việc kiểm sốt lưu lượng giao thơng hệ thống mạng IDS kiểm tra thơng báo hệ thống có bất thường trái với định nghĩa mà người dùng đặt cho hệ thống , IDS thực việc ngăn chặn phát xâm nhập xảy Để thực đảm bảo an ninh cho hệ thống mạng IPS(Intrusion Prevention Systems) đời Hệ thống phòng chống xâm nhập IPS kỹ thuật an ninh kết hợp ưu điểm kỹ thuật tường lửa với hệ thống phát xâm nhập IDS, có khả nǎng phát công tự động ngǎn chặn cơng Trước phát triển internet hiểu biết ngày sâu người việc truy cập phá hoại hệ thống mạng doanh nghiệp, cơng ty theo đà phát triển internet mà tăng lên nhiều Triển khai hệ thống phát hiện, ngăn chặn lưu lượng vào hệ thống việc cần thiết cho doanh nghiệp có nhu cầu an tồn hệ thống trước hành vi xâm nhập trái phép Trong luận văn tác giả nghiên cứu triển khai IDS/IPS Công ty cổ phần iPOS.vn Với đặc thù công ty cung cấp giải pháp công nghệ cho ngành F&B (Food and Beverage Service), nên việc đảm bảo an tồn thơng tin bảo mật ln đặt lên hàng đầu Triển khai IDS/IPS phần nâng cao bảo mật tính tồn vẹn hệ thống giúp Cơng ty có chất lượng dịch vụ cung cấp tốt