Chính vì vậy, tôi rất mong sự đóng góp ý kiến của các thầy cô, các đồng nghiệp và các bạn quan tâm đến vấn đề an ninh an tồn mạng.-Tơi xin chân thành cảm ơn PGS.TS Nguyễn Việt Hơng ngờ
Bộ giáo dục đào tạo Trờng Đại học Bách Khoa Hµ Néi - AN NINH -AN TỒN MẠNG VÀ HỆ THƠNG PHÁT HIỆN ĐỘT NHẬP NGUYỄN TH THNH Luận Văn Thạc Sĩ Khoa Học CHUYấN NGNH: ĐIỆN TỬ VIỄN THƠNG Hµ Néi - 2005 Tai ngay!!! Ban co the xoa dong chu nay!!! 17057204917641000000 Bé gi¸o dục đào tạo Trờng Đại học Bách Khoa Hà Néi - AN NINH -AN TOÀN MẠNG VÀ HỆ THÔNG PHÁT HIỆN ĐỘT NHẬP NGUYỄN THẾ THỊNH Luận Văn Thạc Sĩ Khoa Học CHUYấN NGNH: IN T VIỄN THÔNG NGƯỜI HƯỚNG DẪN PGS – TS NGUYỄN VIỆT HNG Hà Nội - 2005 -1- Mục lục Mở đầu Ch¬ng I : Lý thuyết mạng máy tính 1.1 Mạng máy tính 1.1.1 Định nghĩa mạng máy tính 1.1.2 Phân loại mạng máy tính 1.2 Giao thøc m¹ng TCP/IP 1.2.1 Kiến trúc phân tầng OSI 1.2.2 Kiến trúc phân tầng TCP/IP 13 1.2.3 Giao thøc liªn m¹ng IP 15 1.2.3.1 CÊu tróc Header cđa IP Datagram 17 1.2.3.2 Quá trình phân mảnh gói liệu 20 1.2.3.3 Phơng pháp đánh địa TCP/IP 23 1.2.3.4 Định tuyến IP 27 1.2.4 TCP vµ UDP 29 1.2.4.1 Giao thøc TCP 29 1.2.4.2 Giao thøc UDP 36 1.2.5 Giao thức điều khiển ICMP ARP 37 1.2.5.1 Giao thøc ICMP 37 1.2.5.2 Giao thức phân giải ®Þa chØ ARP 38 1.3 Các dịch vụ thông tin mạng 39 1.3.1 Nguyên tắc tổ chức 40 1.3.2 C¸c dịch vụ thông tin 41 1.3.2.1 DÞch vơ th ®iƯn tư(E-mail) 41 1.3.2.2 DÞch vơ Web 41 1.3.2.3 DÞch vơ trun file 42 1.3.2.4 Telnet 43 Chơng II : điểm yếu an ninh an toàn mạng IP 44 2.1 Đánh giá điểm yếu an ninh-an toàn mạng IP 44 2.1.1 T¹i m¹ng IP cã nhiỊu ®iĨm u vỊ an ninh-an toµn? 44 2.1.2 Các điểm yếu an ninh-an toàn 44 2.2 Các hình thức công mạng máy tính 45 2.2.1 Do thám mạng 46 2.2.2 C¸c cuéc tÊn c«ng truy nhËp 48 2.2.3 Tấn công từ chối dịch vô (Denial of Service) 50 Chơng III : công nghệ phòng chống xâm nhËp 58 3.1 Tæng quan an ninh mạng máy tính 58 3.2 C¸c lÜnh vùc an ninh mạng máy tính 58 3.2.1 An toàn mạng (Network Security) 58 3.2.2 An toµn øng dơng (Application Security) 59 3.2.3 An toµn hÖ thèng (System Security) 60 3.3 Thực an ninh-an toàn mạng IP 62 3.4 Các thủ tục an ninh-an toàn 63 3.5 Công nghệ an ninh-an toàn IP 63 3.5.1 C«ng nghƯ m· mËt (Cryptography) 63 Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -2- 3.5.2 Công nghệ tờng lửa (Firewalls) 67 3.5.3 Các công cụ giám sát (Monitoring Tools) 68 3.5.4 Các công cụ ph©n tÝch 69 Chơng iV: Hệ phát đột nhËp - IDS (Intrusion Detection System) 72 4.1 Giíi thiƯu 72 4.2 Kh¸i niƯm chung 72 4.3 Ph©n loại hoạt động phát đột nhập (IDS) 75 4.4 Mô hình chức hệ phát đột nhập 77 4.4.1 Bé theo dâi gi¸m s¸t 77 4.4.2 Bé ph©n tÝch 77 4.4.4 Bé ph¶n øng (Response): 78 4.5 Các đặc tính kỹ thuật hệ phát đột nhập 79 4.5.1 Các phơng pháp phân tích phát đột nhập 79 4.5.2 Những cách phản ứng lại sù ®ét nhËp 81 4.6 Hệ phát đột nhập mạng (Network based IDS-NIDS) 82 4.6.1 Kh¸i niệm hệ phát đột nhập mạng 82 4.6.2 Mét sè d¹ng công mà IDS phát đợc 85 4.6.3 C¸ch bè trÝ hƯ phát đột nhập đoạn mạng bảo vệ 86 4.6.4 Ưu điểm hệ phát ®ét nhËp m¹ng 87 4.6.5 Nhợc điểm hệ phát đột nhậo m¹ng 88 4.7 HƯ phát đột nhập trạm (Host based IDS-HIDS) 88 4.7.1 Định nghĩa 88 4.7.2 Một số chức hệ phát đột nhập trạm 90 4.7.2.1 Quản lý kết nối tới máy tÝnh nã b¶o vƯ 90 4.7.2.2 Giám sát đợc hoạt động đăng nhập (Login) 91 4.7.2.3 Gi¸m s¸t hoạt động trạm 91 4.7.2.4 Quản lý hoạt đông trạm mà bảo vệ 91 4.7.2.5 Qu¶n lý tƯp hƯ thèng 91 4.7.3 Cài đặt hệ thống phát đột nhập trạm 92 Ch¬ng V : Xây dựng hệ thống NIDS ứng dụng thực tÕ 94 5.1 Giíi thiƯu 94 5.1.1 HÖ SNORT 94 5.1.2 Tờng lửa cá nhân (Personal Firewall) 95 5.2 HÖ thèng NIDS Snort 95 5.2.1 Mô tả thuật toán chơng trình 95 5.2.2 Module bắt giải mà gói (Packet Decoder) 97 5.2.3 Module tiỊn xư lý (Preprocessors) 101 5.2.4 Module phát đột nhập (Detection Engine) 105 5.2.5 Module Cảnh báo - Lu trữ (Logging and Alerting System) 108 5.2.6 Một số chơng trình thị phân tích cảnh báo dựa së d÷ liƯu cđa Snort 109 5.2.6.1 Chơng trình SAM 109 5.2.6.2 Chơng trình ACID 110 5.2.7 TËp lt cđa hƯ thèng NIDS Snort 112 5.2.7.1 CÊu tróc cđa lt 112 5.2.7.2 Néi dung cña luËt (rule body) 114 Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -3- 5.2.8 Cấu hình Snort 115 5.3 Phát triển đáp trả đột nhập mạng dựa Snort 116 5.3.1 Khởi tạo đăng ký đáp trả 116 5.3.2 ThiÕt lËp c¸c tham sè 117 5.3.2 Hµnh động đáp trả đột nhập 117 5.4 Têng lưa c¸ nh©n (Personal Firewall) 117 kÕt luËn 118 Tài liệu tham khảo 120 Häc viªn - Nguyễn Thế Thịnh - CH ĐTVT 2003 -4- Mở đầu Cã mét nhËn xÐt rÊt hay r»ng “ §iỊu tut vêi cđa Internet lµ kÕt nèi víi mäi ngêi, nhng ®iỊu khđng khiÕp nhÊt cđa Internet cịng lµ kÕt nèi với ngời Internet, mạng mạng thông tin máy tính toàn cầu đời đà không ngừng phát triển đem lại cho ngời nhiều lợi ích, đáp ứng ngày phong phú hầu hết dịch vụ thông tin xà hội, tri thức loài ngời, tiến tới trở thành hạ tầng thông tin liên lạc xà hội thông tin tơng lai Cùng với việc ứng dụng CNTT, mạng Internet ngày phát triển, đặc biệt phát triển hệ thống Internet băng rộng số vụ xâm phạm an ninh, bảo mật thông tin mạng đà gia tăng theo hàm số mũ Theo chuyên gia an ninh mạng, xu hớng gần cho thấy bên cạnh bùng nổ loại virus sâu máy tính, vụ công vào máy trạm không đợc bảo mật, số vụ công ứng dụng ngày tăng, đặc biệt vụ công ứng dụng Web việc sử dụng công nghệ Web ngày phổ biến Theo thống kê tạp chí Computer Economics tháng 6/2004, công mạng toàn cầu gây thiệt hại hàng tỉ USD năm số không ngừng gia tăng Do đặc điểm nhiều ngời sử dụng phân tán mặt địa lý nên việc bảo vệ tài nguyên thông tin mạng tránh khởi mát, xâm phạm (dù vô tình hay cố ý) môi trờng phức tạp Vì vậy, việc nghiên cứu, xây dựng, quản lý hệ thống mạng đảm bảo an ninh-an toàn mạng vấn đề cần thiết bối cảnh ë níc ta HiƯn cã rÊt nhiỊu c«ng nghệ giải pháp an ninh mạng nhng vấn đề đặt cho ngời thiết kế tích hợp hệ thống, nh nhà quản trị mạng phải chọn xây dựng giải pháp phù hợp với yêu cầu kinh tế kỹ thuật Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -5- Trong luận văn này, trình bày số công nghệ an ninh-an toàn mạng IP đợc sử dụng Đồng thời đa mô hình giải pháp kết hợp hệ phát đột nhập mạng tờng lửa cá nhân để đảm bảo an ninh-an toàn cho mạng dùng riêng Kết cấu luận văn gồm chơng nh sau : Chơng I : Tổng quan mạng máy tính Chơng II : Điểm yếu an ninh-an toàn mạng IP Chơng III : Phân tích công nghệ chống xâm nhập Chơng IV : Hệ thống phát đột nhập Chơng V : Xây dựng hệ thống NIDS ứng dụng vào thực tế Vì vấn đề mà luận văn đề cập liên quan đến nhiều lĩnh vực khác nhau, rộng can thiệp sâu vào hệ thống, trình thiết kế, trình bày luận văn không tránh khỏi thiếu khiếm khuyết Chính vậy, mong đóng góp ý kiến thầy cô, đồng nghiệp bạn quan tâm đến vấn đề an ninh-an toàn mạng Tôi xin chân thành cảm ơn PGS.TS Nguyễn Việt Hơng ngời đà trực tiếp hớng dẫn tôi, thầy cô khoa Điện Tử Viễn Thông trờng Đại học Bách Khoa Hà Nội đồng nghiệp TT CNTT Ngân hàng Công Thơng Việt Nam đà tạo điều kiện giúp đỡ trình học tập hoàn thành luận văn Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -6- Chơng I : Lý thuyết mạng máy tính 1.1 Mạng máy tính 1.1.1 Định nghĩa mạng máy tính Mạng máy tính tập hợp phần cứng phần mềm đợc kÕt nèi víi cho phÐp c¸c m¸y tÝnh cã thể giao tiếp với chia sẻ tài nguyên chung từ vị trí địa lý khác Mạng máy tính bao gồm thành phần sau: - Máy phục vụ (Server) : Chia tài nguyên dịch vụ nói chung cho mạng - Máy khách (Client) : Sử dụng dịch vụ mạng mà Servers cung cấp - Kết nối vật lý máy tính: Cáp mạng, wireless - Các tài nguyên (Resources) : Dữ liệu, ứng dụng phần cứng đợc cung cấp Servers mạng cho Client - Giao thức mạng (Network protocol) : Ngôn ngữ cho phép máy tính Server Client giao tiếp với - Cấu trúc mạng (Network topology) Mạng máy tính tạo môi trờng làm việc với nhiều ngời sử dụng phân tán, cho phép nâng cao hiệu khai thác tài nguyên chung nhiều so với máy hoạt động đơn lẻ Mạng máy tính có u điểm so với sử dụng máy tính riêng rẻ: - Tăng độ tin cậy hệ thống nhờ khả thay xảy cố máy tính (đặc biệt quan trọng ứng dụng tời gian thực) - Chia sẻ liệu: Những liệu dùng chung cho nhiều ngời mạng đợc tập trung máy Nếu lựa chọn máy tính để lu trữ cho phép máy tính khác mạng sử dụng liệu làm tăng khả tập trung trì thông tin Máy tính có Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -7- tính gọi máy chủ phục vụ (server) có phần mềm hệ điều hành đặc biệt dành riêng - Chia sẻ tài nguyên phần cứng: Mạng máy tính chia sẻ tài nguyên phần cứng: fax, modems, máy quét (scanners), đĩa cøng (hard disks), ®Üa mỊm (floppy - disks), ỉ ®Üa CD (CD- ROMS), Băng từ (Taper), máy vẽ (Plotter) Nhiều máy tính dùng chung thiết bị phần cứng để tiết kiệm chi phí - Duy trì liệu: Một mạng máy tính cho phép liệu quan trọng đợc tự động lu trữ dự phòng tới nơi để tránh bị lỗi có cố Việc bảo trì từ liệu lu máy độc lập công việc khó khăn tốn nhiều thời gian Nếu sử dụng nơi để lu trữ liệu dự phòng (thông thờng lu trữ vào băng từ máy chủ mạng), dễ dàng tìm kiếm để khôi phục lại liệu đà bị - Bảo vệ liệu: Mạng máy tính cung cấp môi trờng bảo mật cho toàn mạng Với máy tính độc lập, truy cập vào máy tính có nghĩa truy cập đợc tất thông tin có máy Mạng máy tính cung cấp chÕ b¶o mËt (security) b»ng mËt khÈu (password), cho phÐp máy chủ mạng phân biệt quyền hạn sử dụng ngời dùng - Liên lạc với nhau: Mạng máy tính cúng cho phép ngời liên lạc với Một lợi ích lớn mạng th điện tử Những ngời sử dụng mạng tức khắc gửi thông điệp tới ngời khác thông qua th điện tử (electronic mail) Có thể gửi kèm tài liệu vào thu ®iƯn tư vµ cã thĨ gưi chun tiÕp cho nhiỊu ngời 1.1.2 Phân loại mạng máy tính Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -8- Có nhiều cách phân loại mạng khác tuỳ thuộc vào yếu tố đợc chọn để làm tiêu phân loại nh: khoảng cách địa lý, kỹ thuật chuyển mạch hay kiến trúc mạng Một số cách phân loại thờng đợc dùng nh sau: a Phân loại theo khoảng cách địa lý ã Mạng cục LAN (Local Area Network): mạng đợc đặt phạm vi tơng đối nhỏ (trong nhà, trờng học ) với khoảng cách lớn máy tính vòng vài chục kilômét ã Mạng đô thị MAN (Metropolitan): Là mạng đợc cài đặt phạm vi đô thị trung tâm kinh tế-xà hội có bán kính khoảng 100km trở lại ã Mạng diện rộng WAN (Wide Area Network): phạm vi mạng vợt qua biên giới quốc gia chí lục địa ã Mạng toàn cầu GAN (Global Area Network): phạm vi mạng trải rộng khắp lục địa trái đất b Phân loại theo cấu trúc liên kết mạng (Network Topology) ã Cấu trúc Bus (Bus topology): Đờng truyền mạng đờng cáp đơn đợc giới hạn hai đầu loại đầu nối đặc biệt gọi terminator Mỗi trạm đợc nối vào bus qua đầu nối chử T thu phát (Tranceiver) Các máy đồng thời truyền liệu mạng bus ã Cấu trúc Star (Star topology): Tất máy tính nối vào mạng thông qua thiết bị trung tâm (hub, switch, router) Thiết bị có nhiệm vụ nhận tín hiệu từ máy tính chuyển tín hiệu đến máy đích Thiết bị trung tâm đóng vai trò thực việc bắt tay máy tính Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003