BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHÒNG -o0o - ISO 9001:2015 ĐỒ ÁN TỐT NGHIỆP NGÀNH CÔNG NGHỆ THÔNG TIN HẢI PHÒNG 2019 Hệ thống phát cảnh BỘbáo nguyGIÁOcơ DỤCtấncơngVÀmạngĐÀO TẠO TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHỊNG -o0o - TÌM HIỂU HỆ THỐNG PHÁT HIỆN CẢNH BÁO NGUY CƠ TẤN CÔNG MẠNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công nghệ Thông tin Sinh viên thực hiện: Phạm Quang Tuyến Giáo viên hướng dẫn: TS Ngô Trường Giang Mã số sinh viên: 1412101129 Phạm Quang Tuyến _ CT1802 HẢI PHÒNG - 2019 Hệ thống phát cảnh báo nguy công mạng BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC DÂN LẬP HẢI PHỊNG CỘNG HỒ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc -o0o - NHIỆM VỤ THIẾT KẾ TỐT NGHIỆP Sinh viên: Phạm Quang Tuyến Lớp: CT1802 Mã số: 1412101129 Ngành: Công nghệ Thơng tin Tên đề tài: Tìm hiểu hệ thống phát cảnh báo nguy công mạng Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy công mạng LỜI CẢM ƠN Trong trình làm đồ án vừa qua, giúp đỡ bảo nhiệt tình TS Ngơ Trường Giang – Trường Đại học Dân Lập Hải Phòng, đồ án em hoàn thành Mặc dù cố gắng với sư tận tâm thầy hướng dẫn song thời gian khả nhiều hạn chế nên đồ án khơng tránh khỏi thiếu sót Em xin bày tỏ lòng biết ơn sâu sắc tới thầy Ngơ Trường Giang tận tình hướng dẫn, bảo dành nhiều thời gian quý báu thầy cho em thời gian qua, giúp em hoàn thành đồ án thời hạn Em xin cảm ơn thầy cô giáo môn khoa Công nghệ thông tin giảng dạy, trang bị cho em kiến thức chuyên ngành, chuyên môn, chuyên sâu suốt năm qua Xin cám ơn gia đình bạn bè cổ vũ động viên cho em suốt trình học tập thời gian làm đồ án, giúp em hồn thành khóa học, đồ án theo quy định Em xin chân thành cảm ơn! Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy công mạng MỤC LỤCC LỤC LỤCC LỜI CẢM ƠN DANH MỤC HÌNH VẼ MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG 1.1 Giám sát An ninh mạng 1.2 Mơ hình hệ thống chức 1.2.1 Các thành phần 1.2.2 Phân loại 11 1.2.3 Chức 12 1.3 Phát chống xâm nhập mạng 13 1.3.1 Hệ thống phát xâm nhập (IDS) 13 1.3.2 Hệ thống chống xâm nhập (IPS) 13 1.3.3 Nguyên lý hoạt động hệ thống 14 CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG 2.1 17 Phát xâm nhập .17 2.1.1 Chính sách IDS 18 2.1.2 Kiến trúc hệ thống phát xâm nhập 19 2.1.3 Phân loại hệ thống phát xâm nhập 22 2.2 Tổng quan snort 31 2.2.1 Giới thiệu 31 2.2.2 Kiến trúc snort 31 2.2.3 Bộ luật snort 37 2.2.4 Chế độ ngăn chặn Snort: Snort – Inline 51 CHƯƠNG 3: THỰC NGHIỆM PHÁP HIỆN XÂM NHẬP MẠNG VỚI SNORT 53 3.1 Mô hình thử nghiệm 53 3.2 Thiết lập cấu hình, chuẩn bị môi trường cài đặt: 53 3.3 Cài đặt SNORT 53 3.4 Thiết lập số luật bản: 61 3.4.1 Tạo luật cảnh báo PING với kích thước lớn: Phạm Quang Tuyến _ CT1802 61 Hệ thống phát cảnh báo nguy công mạng 3.4.2 Tạo luật cảnh báo truy cập Web: .63 KẾT LUẬN 65 TÀI LIỆU THAM KHẢO 67 Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy cơng mạng DANH MỤC HÌNH VẼ Hình 1-1: Thành phần GSANM .8 Hình 1-2: Mơ hình GSANM phân tán 11 Hình 1-3: Mơ hình GSANM tập trung 12 Hình 2-2: Kiến trúc hệ thống phát xâm nhập 19 Hình 2-3: Giải pháp kiến trúc đa tác nhân .21 Hình 2-4: Mơ hình triển khai hệ thống NIDS 23 Hình 2-5: Mơ hình NIDS 23 Hình 2-6: Mơ hình hệ thống HIDS 27 Hình 3-1: Mơ hình kiến trúc hệ thống Snort 32 Hình 3-2: Xử lý gói tin Ethernet 33 Hình 3-3: Cấu trúc luật Snort 38 Hình 3-4: Header luật Snort 38 Hình 3-5: Mơ hình thử nghiệm 53 Hình 3-6: Hướng dẫn cài đặt SNORT - Thiết lập 59 Hình 3-7: Hướng dẫn cài đặt SNORT - Bước 60 Hình 3-8: Hướng dẫn cài đặt SNORT - Bước 60 Hình 3-9: Hướng dẫn cài đặt SNORT - Bước 60 Hình 3-10: Hướng dẫn cài đặt SNORT - Bước 61 Hình 3-11: Trang quản trị Snort 61 Hình 3-12: Cảnh báo PING với kích thước lớn 62 Hình 3-13: Cảnh báo truy cập Web .64 Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy công mạng MỞ ĐẦU Thế giới bắt đầu bước vào cách mạng công nghiệp lần thứ tư, cách mạng sản xuất gắn liền với đột phá chưa có cơng nghệ, liên quan đến kết nối Internet, điện toán đám mây, in 3D, công nghệ cảm biến, thực tế ảo Cuộc cách mạng sản xuất dự đoán tác động mạnh mẽ đến quốc gia, phủ, doanh nghiệp người dân khắp toàn cầu, làm thay đổi cách sống, làm việc sản xuất Bên cạnh phát triển tiềm ẩn nguy đe dọa đến mặt đời sống xã hội việc đánh cắp thông tin, truy cập hệ thống trái phép, công từ chối dịch vụ Là nguy mà người dùng Internet phải đương đầu Rất nhiều giải pháp an ninh mạng đưa có đóng góp to lớn việc đảm bảo an tồn thơng tin, ví dụ như: Firewall ngăn chặn kết nối khơng đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền liệu, chương trình diệt virus với sở liệu cập nhật thường xuyên… Tuy nhiên thực tế cho thấy thụ động trước công đặc biệt cơng kiểu yêu cầu đặt cần có hệ thống phát cảnh báo sớm trước công Hệ thống phát xâm nhập xem lựa chọn tối ưu Đồ án trình bày Hệ thống phát cảnh báo nguy cơng mạng tìm hiểu cơng cụ phát cảnh báo nguy công mạng mã nguồn mở SNORT Nội dung đồ án bao gồm:  Chương1: Tìm hiểu tổng quan giám sát an ninh mạng  Chương2: Tìm hiểu hệ thống phát chống xâm nhập mạng  Chương3: Ứng dụng phần mềm mã nguồn mở SNORT phát xâm nhập mạng Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy công mạng CHƯƠNG 1: TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG 1.1 Giám sát An ninh mạng Giám sát An ninh mạng hệ thống xây dựng nhằm mục đích thu thập, theo dõi, phân tích kiện, liệu vào mạng từ phát cơng mạng đưa cảnh báo cho hệ thống mạng giám sát Về chất hệ thống phân tích kiện, luồng liệu mà khơng tích hợp giải pháp ngăn chặn vào Hệ thống hoạt động độc lập thu thập nhật ký hệ thống thiết bị, ứng dụng hay luồng liệu không ảnh hưởng đến chúng Trong hệ thống thông tin, việc khắc phục cố thường tốn chi phí lớn vậy, giải pháp giám sát mạng để phát sớm cố lựa chọn nhiều người ưa thích nhằm mang lại hiệu cao với chi phí vừa phải 1.2 Mơ hình hệ thống chức Về hệ thống Giám sát an ninh mạng (GSANM) tn thủ theo mơ hình SIEM (Security Information and Event Management) Đây mơ hình chung cho hệ thống GSANM sử dụng nhiều giới nhà sản xuất thiết bị GSANM dựa mơ hình chuẩn 1.2.1 Các thành phần Hệ thống Giám sát an ninh mạng bao gồm thành phần sau: Hình 1-1: Thành phần GSANM Phạm Quang Tuyến _ CT1802 Hệ thống phát cảnh báo nguy công mạng CONSOLE: Là nơi xử lý, lưu trữ kiện an ninh cảnh báo, kiện gửi lên từ Event Processor Flow Processor Ngồi cịn chứa tập luật xử lý liệu, CONSOLE có khả hoạt động độc lập CONSOLE có hai giao diện, giao diện command line giúp người quản trị cấu hình, xử lý lỗi hệ thống, giao diện web nơi hiển thị cảnh báo kiện thu thập Các cảnh báo lưu trữ tùy vào cấu hình quản trị bao lâu, thường năm cho hệ thống Năng lực hoạt động CONSOLE tùy thuộc vào nhiều yếu tố như: Đường truyền mạng, cấu hình phần cứng, … thông thường hệ thống hoạt động với công suất 1000EPS 100000FPM Khi hệ thống GSANM thiết lập cấu hình CONSOLE tự động cấu hình tương ứng cho thiết bị khác cách chủ động sau kết nối vào thiết bị thơng qua cổng 22 Từ việc cấu hình thiết bị hệ thống GSANM thực thơng qua CONSOLE hai cách qua giao diện Web với cổng 443 qua giao diện command line EVENT PROCESSOR (EP): Đây nơi xử lý kiện gửi từ Event Collector Các kiện xử lý thông qua tập luật Nếu cảnh báo kiện từ thiết bị an ninh đưa cảnh báo gửi thẳng trực tiếp lên CONSOLE để xử lý Nếu kiện không đưa cảnh báo lưu trữ mà không chuyển lên CONSOLE Các kiện lưu trữ tùy theo cấu hình quản trị, thường ba tháng cho kiện không đưa cảnh báo Các nhật ký hệ thống không đưa cảnh báo quản lý qua giao diện web CONSOLE FLOW PROCESSOR (FP): Phạm Quang Tuyến _ CT1802