Nghiên cứu an ninh mạng và ứng dụng trong đảm bảo an ninh website của trường đại học điều dưỡng nam định

LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Tác giả luận văn Bùi Thúy Ngọc i LỜI CẢM ƠN Em xin gửi lời cảm ơn trân trọng đến cô giáo PGS.TS Nguyễn Thị Việt Hương, người dành nhiều thời gian để hướng dẫn em hoàn thành luận văn Em xin được gửi đến thầy cô giáo khoa Công nghệ Thông tin, khoa Sau đại học viện Đại học Mở Hà Nội lời cảm ơn sâu sắc kiến thức mà thầy cô giảng dạy cho chúng em suốt năm học trường Được trang bị kiến thức giúp cho em trưởng thành có khả cống hiến, phục vụ nhiều cho xã hội Tôi xin cảm ơn bạn đồng nghiệp, bạn học tập, trực tiếp gián tiếp giúp em hoàn thành luận văn ii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN………………………………………………………………ii MỤC LỤC iii DANH MỤC HÌNH VẼ vi DANH MỤC CHỮ VIẾT TẮT x MỞ ĐẦU CHƯƠNG 1: TÌM HIỀU VỀ AN NINH MẠNG 1.1 Các nguy an ninh xảy 1.2 Thiệt hại không đảm bảo an ninh thông tin 1.3 Các giai đoạn công 1.4 Các kiểu công phương pháp phòng ngừa 1.4.1 Tấn công vào hệ điều hành 1.4.2 Tấn công vào phần mềm ứng dụng 1.4.3 Tấn cơng vào gói tin nhỏ 1.4.4 Tấn công dựa vào lỗi cấu hình hệ thống 1.4.5 Tấn công từ chối dịch vụ 1.4.6 Tấn công mạng ma BOTNET 1.5 Kết luận chương 10 CHƯƠNG 2: NGHIÊN CỨU AN NINH MẠNG TRONG QUẢN TRỊ WEBSITE 11 2.1 Tổng quan ứng dụng website 11 2.1.1 Khái niệm ứng dụng website 11 2.1.2 Kiến trúc ứng dụng wesbite 13 2.1.3 Các khái niệm liên quan 14 2.1.3.1 Giao thức HTTP 14 2.1.3.2 Proxy 17 2.1.3.3 Session 18 iii 2.1.3.4 Cookie 19 2.2 Những điểm yếu an ninh ứng dụng website thường gặp giải pháp khắc phục …………………………………………………………… ……19 2.2.1 Những điểm yếu an ninh ứng dụng website thường gặp 19 2.2.1.1 Lỗi Cross Site Scripting (XSS) 19 2.2.1.2 Lỗi tràn đệm 21 2.2.1.3 Lỗi Injection 22 2.2.1.4 Tấn công DoS truyền thống SYN Flood 23 2.2.2 Những giải pháp khắc phục 25 2.2.2.1 Một số đề xuất giải pháp bảo vệ an ninh website 25 2.2.2.2 Tường lửa Anti DDoS Guardian 27 2.2.2.3 Tường lửa PfSense 28 2.3 Kết luận chương hai 32 CHƯƠNG 3: ĐẢM BẢO AN NINH WEBSITE TRƯỜNG ĐẠI HỌC ĐIỀU DƯỠNG NAM ĐỊNH 33 3.1 Khảo sát hệ thốngthực tế trường Đại học Điều dưỡng Nam Định 33 3.2 Bảo vệ máy chủ với tường lửa AntiDDoS Guardian 34 3.2.1 Sơ đồ kịch bảo vệ máy chủ với tường lửa AntiDDoS Guardian 34 3.2.2 Cấu hình máy chủ Web 35 3.2.3 Cấu hình máy khách 38 3.2.4 Cấu hình máy cơng 39 3.2.5 Tấn công DDoS 40 3.2.6 Bảo vệ máy chủ Anti DDos Guardian 44 3.3 Mơ hình kịch bảo vệ máy chủ với tường lửa PfSence 46 3.3.1 Cài đặt pfSence 47 3.3.2 Cấu hình mạng 51 3.3.3 Cấu hình phát phịng chống xâm nhập Plugin Snort 57 3.3.4 Ngăn chặn quét cổng 58 3.3.5 Ngăn chặn công DDoS 60 iv 3.4 Hướng phát triển luận văn 65 3.4.1 Lỗ hổng Upload shell 66 3.4.2 Chương trình thử nghiệm lọc file upload không hợp lệ 66 3.5 Kết luận chương ba 70 KẾT LUẬN 71 TÀI LIỆU THAM KHẢO 72 v DANH MỤC HÌNH VẼ Hình 1.1 Sơ đồ cơng từ chối dịch vụ Hình 1.2 Sơ đồ mạng ma BOTNET Hình 2.1 Mơ hình kiến trúc ứng dụng website 13 Hình 2.2 Giao thức HTTP 15 Hình 2.3 Các ngân hàng Việt Nam sử dụng giao thức HTTPS 16 Hình 2.4 Mơ tả vị trí Proxy hệ thống mạng 17 Hình 2.5 Tấn cơng XSS 20 Hình 2.6 Lỗi tràn đệm 21 Hình 2.7 Bắt tay bước giao thức TCP 24 Hình 2.8 Tấn cơng từ chối dịch vụ truyền thống 25 Hình 2.9 Giải pháp bảo vệ ứng dụng web 26 Hình 2.10 Tường lửa Anti DDoS Guardian 27 Hình 2.11 Mơ hình bảo vệ mạng sử dụng tường lửa PfSense 30 Hình 3.1 Hình ảnh trang web nhà trường 33 Hình 3.2 Mơ hình mạng sử dụng tường lửa AntiDDoS Guardian 34 Hình 3.3 Thiết lập IP máy chủ web 35 Hình 3.4 Cài đặt công cụ Xampp chứa PHP, MySQL Server 36 Hình 3.5 Cấu hình thư mục gốc file httpd.conf thư mục Joomla 36 Hình 3.6 Chạy Apache MySQL 36 Hình 3.7 Cài đặt joomla 37 Hình 3.8 Trang chủ tự tạo tương tự trang web thật nhà trường 37 Hình 3.9 Đặt IP máy khách 38 Hình 3.10.Từ máy khách truy nhập địa IP máy chủ web tới website 38 Hình 3.11 Card mạng ảo Vmnet 39 Hình 3.12 Đặt Ip cho máy cơng hình 39 Hình 3.13 Kết máy công truy nhập Website 40 Hình 3.14 Trên Máy chủ web sử dụng Wireshark để bắt gói tin 40 vi Hình 3.15 Trên máy cơng sử dụng cơng cụ Http attack version 3.6 41 Hình 3.16 Nhập thông số để công 41 Hình 3.17 Q trình cơng ta thấy tham số Connected thể số kết nối tới đích website 42 Hình 3.18 Lúc máy khách khơng cịn truy nhập website nữa42 Hình 3.19 Máy công không truy nhập website 43 Hình 3.20 Trên webserver thấy card mạng ngập lụt gói tin 43 Hình 3.21 Cài đặt công cụ Anti DDos Guardian 44 Hình 3.22 Cấu hình thơng số cho phần mềm 44 Hình 3.23 Phần mềm liệt kê kết nối đến máy chủ web 44 Hình 3.24 Máy công thực công Dos 45 Hình 3.25 Anti DDos Guardian phát block ip máy công 45 Hình 3.26 Máy khách vào website bình thường 45 Hình 3.27 Máy cơng không vào website 46 Hình 3.28 Mơ hình cài đặt tường lửa pfsense bảo vệ máy chủ web 46 Hình 3.29 Tạo máy ảo 48 Hình 3.30 Chọn tảng hệ điều hành FreeBSD 64bit 48 Hình 3.31 Chọn ổ CD vào file Iso chứa cài PfSence 2.3.2 49 Hình 3.32 Cấu hình card mạng kết nối đến mạng Vmnet Vmnet 49 Hình 3.33 Hình ảnh bước đầu khởi động máy chủ vào cài đặt phần mềm Pfsense 50 Hình 3.34 Chọn kiểu cài đặt tùy chọn 50 Hình 3.35 Sau cài đặt xong 50 Hình 3.36 Đặt WAN interface em1 51 Hình 3.37 Đặt LAN interface em0 51 Hình 3.38 Nhập để gán IP cho cổng LAN 52 Hình 3.39 Sau đặt xong tường lửa thơng báo truy nhập cấu hình web thơng qua http://192.168.2.1 52 Hình 3.40 Điền tên truy cập pass để vào phần mềm Pfsense 52 Hình 3.41 Vào System > Setup Wizard để cấu hình 53 vii Hình 3.42 Chọn cổng WAN nhận IP động (DHCP) 53 Hình 3.43 Cho phép sử dụng Ip nội cổng WAN 53 Hình 3.44 Nhập IP cho cổng LAN 192.168.2.1/24 54 Hình 3.45 Sau nhập thơng số sau Ấn reload để chấp nhận thay đổi 54 Hình 3.46 Ta thấy cổng WAN cấp IP động từ dịch vụ DHCP Vmware Workstation 192.168.1.129/24 54 Hình 3.47 Vào Firewall > NAT 55 Hình 3.48 Chuyển tiếp cổng 80 máy chủ web ngồi mạng Internet 55 Hình 3.49 Redirect target IP chọn máy chủ web: 192.168.2.2 55 Hình 3.50 Destination Port chọn HTTP (cổng 80) 56 Hình 3.51.Trên máy khách truy nhập Ip tường lửa http://192.168.1.129 chuyển tiếp tới máy chủ web 56 Hình 3.52 Sau cài đặt xong Snort 57 Hình 3.53 Ấn Add để thêm interface theo dõi phát 57 Hình 54 Chọn Interface cổng WAN 58 Hình 3.55 Máy công phát máy chủ web cổng HTTP(80) mở 58 Hình 3.56 Bật Snort cổng WAN 58 Hình 3.57 Ip nguồn máy cơng 192.168.1.10 59 Hình 3.58 PfSence tự động block Ip máy công mục Blocked Snort 59 Hình 3.59 Máy công không quét cổng 80 mở 60 Hình 3.60 Máy cơng bị block không truy nhập website nhà trường 60 Hình 3.61 Hình ảnh máy cơng thực cơng DDoS 61 Hình 3.62 Thông tin Ip máy công 61 Hình 3.63 Thêm Ip máy công vào danh sách chặn 62 Hình 3.64 Alias chặn địa 192.168.1.10 62 Hình 3.65 Chi tiết Alias chặn địa 192.168.1.10 63 Hình 3.66 Chi tiết Rules sử dụng Alias chặn địa 192.168.1.10 63 viii Hình 3.67 Chi tiết Rules sử dụng Alias chặn địa 192.168.1.10 63 Hình 3.68 Chi tiết Rules sử dụng Alias chặn địa 192.168.1.10 64 Hình 3.69 Hình ảnh cho thấy máy công công thất bại 64 Hình 3.70 Máy khách truy nhập wesbite bình thường 65 Hình 3.71 Chương trình phịng chống lỗ hổng upload file 66 Hình 3.72 Chương trình thơng báo ngăn chặn up lên file không hợp lệ 70 ix DANH MỤC CHỮ VIẾT TẮT LAN Local Area Network WAN Wide area network NAT NetworkAddress Translation DoS Denial of Service DdoS Distributed Denial of Service HTTP HyperText Transfer Protocol HTTPS Hypertext Transfer Protocol Secure IRC Internet Relay Chat TCP Transmission Control Protocol IP Internet Protocol SSL Secure Sockets Layer PHP Hypertext Preprocessor DAP Dynamic Application Protection CSDL Cơ sở liệu CARP Common Address Redundancy Protocol IPSec Internet Protocol Security IKE Internet key exchange PPTP Tunneling Protocol GRE Generic Routing Encapsulation SIP Session Initiation Protocol ACK Acknowledgment XSS Cross Site Scripting IRC Internet Relay Chat ACL Access Control Lists DHCP Dynamic Host Configuration Protocol UDP User Datagram Protocol VPN Virtual Private Network x Hình 54 Chọn Interface cổng WAN 3.3.4 Ngăn chặn quét cổng Trên máy công sử dụng công cụ Advanced Port Scanner Trường hợp chưa bật Snort, máy công phát cổng HTTP (80) mở Đây tiền đề để thực công khác Hình 3.55 Máy cơng phát máy chủ web cổng HTTP(80) mở Bật Snort cổng WAN Hình 3.56 Bật Snort cổng WAN 58 Khi máy công thực quét cổng, PfSence phát đưa cảnh báo mục Alerts Snort Hình 3.57 Ip nguồn máy cơng 192.168.1.10 Hình 3.58 PfSence tự động block Ip máy công mục Blocked Snort 59 Hình 3.59 Máy cơng khơng qt cổng 80 mở Hình 3.60 Máy công bị block không truy nhập website nhà trường 3.3.5 Ngăn chặn công DDoS - Máy công thực công DDoS HTTP Attack - Máy công thực công DDoS thể hình 3.61 60 Hình 3.61 Hình ảnh máy cơng thực cơng DDoS Để kiểm tra có máy thực truy cập vào máy chủ web ta mở tường lửa Pfsense vào mục Status > System Logs Hình 3.62 Thông tin Ip máy công 61 Tại Firewall log thấy gói UDP gửi hàng loạt từ Ip máy công 192.168.1.10 tới máy chủ web Ta xác định nguồn gây cơng DDoS block Ấn nút Add to Block list để thêm 192.168.1.10 vào danh sách chặn => OK Hình 3.63 Thêm Ip máy cơng vào danh sách chặn Kết ta có thêm Alias chặn địa 192.168.1.10 Hình 3.64 Alias chặn địa 192.168.1.10 62 Hình 3.65 Chi tiết Alias chặn địa 192.168.1.10 Trên cổng WAN tự động tạo Rule sử dụng Alias Hình 3.66 Chi tiết Rules sử dụng Alias chặn địa 192.168.1.10 Hình 3.67 Chi tiết Rules sử dụng Alias chặn địa 192.168.1.10 63 Hình 3.68 Chi tiết Rules sử dụng Alias chặn địa 192.168.1.10 Lúc kẻ công không thực việc gửi gói tin hàng loạt tới máy chủ web Thông số Connected = trạng thái: Disconnected cho ta biết ứng dụng công khơng kết nối tới máy chủ Hình 3.69 Hình ảnh cho thấy máy công công thất bại Máy công không truy nhập website Trên máy khách truy nhập website bình thường 64 Hình 3.70 Máy khách truy nhập wesbite bình thường Đánh giá mơ hình sử dụng phần mềm tường lửa Pfsense Ưu điểm - Phần mềm Pfsense phần mềm miễn phí - Đóng vai trị cửa ngõ cho tồn hệ thống mạng - Bảo vệ nhiều máy chủ, nhiều dịch vụ máy tính nội - Phòng chống phát xâm nhập nhiều loại công Hạn chế - Các hạn chế phần mềm tường lửa Pfsense nêu mục chương 3.4 Hướng phát triển luận văn Khi website ngày có nhiều người truy cập, lượng liệu lưu trữ chia sẻ wesbsite ngày tăng người quản trị phải nâng cấp, gia cố hệ thống bảo vệ máy chủ có chiều sâu Khơng bảo vệ hệ thống máy chủ mà website cần bảo vệ từ thân Cụ thể ngồi hệ thống tường lửa bảo vệ mức mạng, website cần bảo vệ mạnh từ thiết kế Đây hướng phát triển luận văn 65 Hiện nay, upload shell lỗ hổng web hay bị tội phạm mạng lợi dụng Một shell upload tưởng chừng vơ hại lại trở thành công cụ nguy hiểm để tội phạm mạng thao túng hệ thống máy tính bạn Để minh họa cho việc đối phó với cơng cụ luận văn đề xuất ứng dụng nhỏ nhằm thử nghiệm lọc file upload không hợp lệ với mục đích minh họa cho hướng phát triển luận văn 3.4.1 Lỗ hổng Upload shell Lỗ hổng cho phép attacker upload shell lên cách dễ dàng Đây lỗ hổng nguy hiểm Khi upload shell lên tin tặc cài cắm mã độc chạy hệ thống người dùng để lấy thông tin hệ thống,download file chứa thông tin nhạy cảm server, Command Execution, Connect SQL Các form upload cho phép người dùng đầu cuối upload shell lên trang web bạn giống việc mở hậu cho tin tặc xâm nhập máy chủ bạn Mặc dù vậy, ứng dụng web nay, upload nhu cầu phổ biến giúp tương tác trở nên hiệu Vào tháng 3/2015 eBay vừa thông báo vá hai lỗ hổng bảo mật trang web cho phép tin tặc upload file exe trá hình file phép tải lên, xây dựng đường dẫn URL hoàn chỉnh trỏ nạn nhân đến file độc hại thông qua công drive-by download Lỗ hổng upload file ngày tin tặc khai thác tính hữu ích form upload đến người sử dụng đầu cuối 3.4.2 Chương trình thử nghiệm lọc file upload khơng hợp lệ Hình 3.71 Chương trình phịng chống lỗ hổng upload file 66 Tại có phần upload file văn (doc, excel, pdf) Thay upload file văn bình thường, Server cho phép upload file Chính người dùng thử upload file có dạng: shell.aspx file shell.exe Nếu file chứa mã độc upload lên thành công công cụ cho hacker khai thác điểm sau:thông tin server, thơng tin cấu hình website, Dump CSDL, Download source code Khuyến cáo: Cần thực kiểm tra file upload lên server Nếu file có đoạn mã kịch công cần ngăn chặn không cho tiếp tục upload Phương pháp phịng chống:ví dụ thực với asp.net, ngôn ngữ C# Cách upload file không dùng biện pháp ngăn chặn Sử dụng hàm kiểm tra đuôi mở rộng file up lên server, với cách người dùng thay mở rộng vượt qua kiểm tra Ví dụ: shell.aspx.jpg privatebool IsImageFile(string extension) { switch (extension) { case".gif": returntrue; case".jpeg": returntrue; case".jpg": returntrue; case".png": returntrue; case".doc": returntrue; case".docx": returntrue; case".xls": 67 returntrue; case".xlsx": returntrue; case".pdf": returntrue; case".rar": returntrue; case".zip": returntrue; default: } } Cách upload file sử dụng biện pháp ngăn chặn //Chuyển file upload lên server sang bytes thông qua hàm: privatestringReadTwoBytes(string filepath) { string result = ""; try { using (FileStream fsSource = newFileStream(filepath, FileMode.Open, FileAccess.Read)) { // Read two bytes from source file into a byte array byte[] bytes = newbyte[2]; int n = fsSource.Read(bytes, 0, 2); result = bytes.GetValue(0).ToString(); result = result + "," + bytes.GetValue(1).ToString(); return result; } } 68 catch { return""; } } //Sử dụng kết gọi hàm kiểm tra file gốc thực file truyền vào privateboolCheckSourceFile(string b) { bool result = false; Dictionary imageHeader = newDictionary(); imageHeader.Add("JPG", "255,216"); imageHeader.Add("PNG", "137,80"); imageHeader.Add("GIF", "71,73"); imageHeader.Add("PDF", "37,80"); imageHeader.Add("DOC", "80,75"); //OR DOCX imageHeader.Add("XLS", "208,207"); //OR XLSX imageHeader.Add("RAR", "82,97"); result = imageHeader.ContainsValue(b); return result; } Sau thực đoạn lệnh kết qủa thu file exe giả mạo khơng thể up lên hệ thống 69 Hình 3.72 Chương trình thơng báo ngăn chặn up lên file không hợp lệ 3.5 Kết luận chương ba Hệ thống máy chủ website trường Đại học Điều dưỡng Nam Định khơng phải hệ thống có quy mô lớn Tuy nhiên việc quản lý truy cập, bảo đảm an tồn bảo mật thơng tin vô quan trọng Nếu liệu bị đánh cắp bị sửa đổi dẫn đến việc trang web bị tội phạm mạng lợi dụng gây hậu nghiêm trọng ảnh hưởng tới trình quản lý nhà trường nói riêng ảnh hưởng đến uy tín ngành giáo dục nói chung Qua thực nghiệm với hai phần mềm Anti DdoS Pfsense thấy số khác biệt lý thuyêt nên cài đặt sử dụng, Pfsense dễ sử dụng nhiều lại phần mềm miễn phí nên Pfsense dự định lựa chọn làm giải pháp cho ứng dụng đảm bảo an ninh website trường Đaị học Điều dưỡng Nam Định Như vậy, chương nghiên cứu xây dựng thử hệ thống tường lửa để bảo vệ máy chủ web nhà trường đồng thời đề xuất hướng cho vấn đề đảm bảo an ninh website nhà trường tương lai Với việc thiết kế xây dựng hoàn chỉnh hệ thống tường lửa bảo vệ cài đặt hệ thống thử nghiệm cho thấy máy chủ hoạt động ổn định 70 KẾT LUẬN Vấn đề thiết kế hệ thống bảo vệ cho máy chủ vấn đề khó khăn đặt vị trí quan trọng hầu hết thiết kế mạng, nhiên, để có giải pháp hồn hảo cho tình điều gần khó Với mong muốn giúp nhà trường xây dựng giải pháp bảo mật tốt cho hệ thống máy chủ website dựa thiết bị sẵn có, đề tài “Nghiên cứu an ninh mạng ứng dụng đảm bảo an ninh website trường Đại học Điều dưỡng Nam Định” nghiên cứu số vấn đề sau: - Tìm hiểu tổng quan an ninh mạng có nội dung tội phạm mạng, nguy cơ, tác hại mà tội phạm mạng gây cho người dùng website - Tìm hiểu số phương pháp công hệ thống mạng Internet - Nghiên cứu thiết kế đề xuất giải pháp bảo vệ phù hợp cho hệ thống máy chủ web trường Đại học Điều dưỡng Nam Định Như vậy, Pfsense với đặc điểm miễn phí ứng dụng có chức định tuyến vào tường lửa mạnh, có khả quản lý truy cập, bảo mật tốt tương đương thiết bị đắt tiền, lại dễ dàng cấu hình nâng cấp mở rộng, PfSense lựa chọn phù hợp đề tài để xây dựng mơ hình tường lửa bảo vệ hệ thống máy chủ website trường Đại học Điều dưỡng Nam Định Tơi mong nhận ý kiến đóng góp q thầy bạn để đề tài hồn thiện hơn, có ích thực tế Trong tương lai đề tài tiếp tục nghiên cứu phát triển thêm nhiều chức nhằm đảm bảo an ninh chặt chẽ việc quản lý truy cập, khai thác liệu web server 71 TÀI LIỆU THAM KHẢO Tài liệu tiếng việt [1] Vũ Đình Cường, Phương Lan (Tháng 10/2008), “Bộ sách Từng bước khám phá An ninh mạng”, Nhà xuất Lao động xã hội [2] Hà Thành, Trí Việt (Tháng 12/2014), “Hướng dẫn cách bảo mật quản trị mạng cho người tự học”, Nhà xuất Hồng Đức [3] Vũ Đình Cường, Phương Lan (Tháng 6/2009), “Từng Bước Khám Phá An Ninh Mạng: Bảo Vệ Máy Tính Bằng Tường Lửa Và Phương Pháp Lướt Web An Toàn”, Nhà xuất Lao động xã hội Tài liệu tiếng anh [4] [DAV1] – D.W.Davies W.L.Price, “An ninh cho mạng máy tính” , tái lần thứ hai, NXB John Wiley and Sons, New York ,1989 [5] G.J Nutt, “Các hệ thống mở” (1992), Nhà xuất Prentice Hall, EngleWood Cliffs, New Jessy Nguồn từ Internet [6] PfSense Handbook: http://doc.m0n0.ch/handbook/index.html [7]Cisco.Press.CCSP.SNPA.Official.Exam.Certification.Guide.3rd.Edition Apr.06 [8 ] http://files.pfsense.org/mirror/tutorials/openvpn/pfsense-ovpn.pdf [9] http://pfsense.trendchiller.com/transparent_firewall.pdf [10]http://files.pfsense.org/mirror/tutorials/policybased_multiwan/policybase d_multiwan.pdf [11]http://quantrimang.com/tim-hieu-ve-tan-cong-tu-choi-dich-vu-dos-34926 [12]http://www.techz.vn/http-https-va-nhung-dieu-co-ban-can-biet-voinguoi-dung-internet-ylt40654.html [13] http://docs.gocloud.vn/phan-mem-chong-ddos-anti-ddos-guadian/ 72