BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI ĐINH TIẾN HIỆU HỆ THỐNG PHÁT HIỆN XÂM NHẬP LUẬN VĂN THẠC SỸ KHOA HỌC CHUYÊN NGÀNH KỸ THUẬT ĐIỆN TỬ VIỄN THÔNG Người hướng dẫn: PGS TS Nguyễn Thị Việt Hương Hà nội – năm 2012 Tai ngay!!! Ban co the xoa dong chu nay!!! 17061131590221000000 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng MỤC LỤC LỜI NĨI ĐẦU CHƯƠNG TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu chung an ninh mạng 1.1.1 Sự cần thiết phải có an ninh mạng yếu tố cần bảo vệ 1.1.2 Các tiêu chí đánh giá mức độ an ninh an toàn mạng 1.1.3 Xác định mối đe dọa đến an ninh mạng 1.1.4 Xác định lỗ hổng hệ thống (Vulnerable) nguy (Risk) 1.1.5 Nhận dạng hiểm họa 1.2 Một số phương thức cơng mạng máy tính phòng chống 10 1.2.1 Các phương pháp xâm nhập hệ thống 12 1.2.2 Các phương pháp phát ngăn ngừa xâm nhập 14 CHƯƠNG 2: MƠ HÌNH AN NINH MẠNG VÀ MỘT SỐ CƠNG NGHỆ BẢO MẬT 18 2.1 Mô hình an ninh mạng 18 2.1.1 Quy trình xây dựng hệ thống thơng tin an tồn 18 2.1.2 Xây dựng mơ hình an ninh mạng 19 2.2 Một số phương pháp bảo mật 21 2.2.1 Phương pháp mã hoá 22 2.2.2 Chứng thực người dùng 22 2.2.3 Bảo mật máy trạm 24 2.3 MỘT SỐ CÔNG NGHỆ BẢO MẬT 25 2.3.1 Bảo mật VPN (Virtual Private Network) 25 2.3.2 Tường lửa (Firewall) 26 2.3.3 Bảo mật IDS (Hệ thống Phát xâm nhập) 28 2.3.4 Kết luận 29 CHƯƠNG III: TỔNG QUAN HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS) 32 3.1 Giới thiệu hệ thống phát xâm nhập IDS 32 3.1.1 Khái niệm hệ thống phát xâm nhập IDS 32 3.1.2 Cơ chế hoạt động IDS 33 Học viên: Đinh Tiến Hiệu i Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng 3.1.2.1 Phân tích gói tin 33 3.1.2.2 Phát xâm nhập 35 3.1.2.3 Phản ứng 37 3.2 Phân loại IDS 38 3.2.1 Host- Based Intrusion Detection System (HIDS) 38 3.2.2 Network- Based Intrusion Detection Systems (NIDS) 40 3.2.3 Application- Based Intrusion Detection (AIDS) 43 CHƯƠNG 4: MỘT SỐ CÔNG NGHỆ IDS VÀ THỰC NGHIỆM 44 4.1 Giới thiệu số công nghệ IDS 44 4.1.1 Hệ thống phát xâm nhập mềm 44 4.1.2 Hệ thống phát xâm nhập cứng 45 4.2 Lựa chọn công nghệ thực nghiệm 48 4.2.1 Các thành phần Snort 48 4.2.2 Các chế độ làm việc Snort 53 Network sniffer mode 53 Packet Logger mode 54 Network instrusion detection mode 55 4.2.3 Các option việc sử dụng Snort 58 4.2.4 Cập nhật tạo rule Snort 63 4.3 Triển khai hệ thống phát xâm nhập mềm (snort) 89 4.3.1 Mơ hình triển khai thực nghiệm 89 4.3.2 Cài đặt, cấu hình Snort phần mềm hỗ trợ 90 4.3.2.1 Cài đặt Snort 90 4.3.3 Kết ghi nhận Snort thực công xâm nhập 104 KẾT LUẬN 107 TÀI LIỆU THAM KHẢO 109 Học viên: Đinh Tiến Hiệu ii Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng DANH MỤC HÌNH VẼ Hình – 1: Mơ hình an ninh mạng 20 Hình 2-2: Quy trình mã hóa 22 Hình 2-3: Chứng thực user password 23 CHAP (Challenge Hanshake Authentication Protocol) 23 Hình 2-4: Hoạt động CHAP 23 Hình 2- 5: Mã hóa Kerberos 24 Hình – 6: Mơ hình tổng qt firewall 26 Hình -7: Hệ thống chống xâm nhập IDS 29 Hình 3-1: Các thành phần hệ thống IDS 33 Hình 3-2: Cấu trúc tiêu đề gói tin ICMP 35 Hình 3-3: Mơ hình hệ thống HIDS 39 Hình 3-4: Mơ hình hệ thống NIDS 41 Hình 4-1: IPS PROVENTIA G200 IBM 46 Hình 4-2: Các thành phần Snort 49 Hình 4-3 : Snort’s preprocessor 50 Hình 4-4: Detection Engine 52 Hình 4-5: Các thành phần Alerting/logging 53 Hình 4-6: Mơ hình Snort-Inline 57 Hình 4-7: Mơ hình triển khai thực nghiệm 90 Hình 4-8: Mơ hình thực nghiệm mạng ảo 90 Hình 4-9: Cài đặt Snort 91 Hình 4-10: Kiểm tra hoạt động Snort 93 Hình 4-11: Snort chế độ sniffer 94 Hình 4-12: Báo cáo trình thực Sniffer 95 Hình 4-14: Thiết lập Snort chạy Service 99 Hình 4-16: Dùng Base để quản lý phân tích Alert 103 Hình 4-17: Qt thăm dị cổng máy cài Snort 104 Hình 4-18: Cảnh báo Snort ghi nhận bắn BASE 105 Học viên: Đinh Tiến Hiệu iii Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông DANH MỤC CÁC TỪ VIẾT TẮT STT Từ viết tắt IDS Intrusion Detection System IPS Intrusion Prevetion System HIDS Host-Based Intrusion Detection System System NIDS Network-Based Intrusion Detection Systems AIDS Application-Based Intrusion Detection System TCP/IP UDP User Datagram Protocol FTP File Transfer Protocol ICMP Internet Control Message Protocol 10 HTTP Hypertext Transfer Protocol 11 DNS Domain Name System 12 DoS Denial of Service 13 DDoS Distributed Denial of Service 14 VLAN Virtual Local Area Network 15 LAN Local Area Network 16 WAN Wide Area Network 17 CIDR Classless Inter-Domain Routing 18 RFC Requests For Comments 19 FDDI Fiber Distributed Data Interface Học viên: Đinh Tiến Hiệu Từ tiếng anh Transmission Control Protocol/Internet Protocol iv Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông DANH MỤC CÁC THUẬT NGỮ STT Thuật ngữ Ý nghĩa Inline mode Kiểm tra lưu thông mạng, có khả ngăn chặn thâm nhập trước đến mục tiêu Promiscuous mode (passive mode) Thụ động kiểm tra lưu thông mạng Signature engine Một engine hỗ trợ tín hiệu chia sẻ thuộc tính chung (tương tự giao thức) Meta-Event Generator Khả định nghĩa tín hiệu biến đổi dựa nhiều tín hiệu khác Atomic signature Một tín hiệu phát theo nội dung gói tin Flow-based signature Một tín hiệu phát dựa thơng tin chứa trình tự gói tin hệ thống (ví dụ gói tin kết nối TCP) Behavior-based signature Một tín hiệu phát có lưu thông bất thường từ người dùng thông thường Anomaly-based signature Một tín hiệu phát lưu thơng vượt cấu hình bình thường False negative Tình mà hệ thống phát không nhận biết thơng nhập có tín hiệu nhận biết hoạt động 10 False positive Tình người dùng bình thường gây báo động (khơng có hành vi đột nhập) 11 True negative Tình mà khơng phát sinh tín hiệu có lưu thơng bình thường mạng 12 True positive Tình báo động có đột nhập, cơng mạng 13 Deep-packet inspection Giải mã giao thức kiểm tra toàn gói tin luật dựa gói tin hoạt động 14 Event correlation Kết hợp với đa thông báo hay đa kiện với công đơn lẻ 15 Risk rating (RR) Một đánh giá đe dọa dựa nhiều nhà sản xuất mà không dựa tính nghiêm trọng cơng Học viên: Đinh Tiến Hiệu v Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng LỜI NĨI ĐẦU Với nhu cầu trao đổi thông tin ngày bắt buộc c n h â n c ũ n g n h c c quan, tổ chức phải hồ vào mạng tồn cầu Internet An tồn bảo mật thông tin vấn đề quan trọng hàng đầu thực kết nối Internet Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân mạng nội nghiên cứu triển khai Tuy nhiên, thường xun có mạng bị cơng, có tổ chức bị đánh cắp thông tin,…gây nên hậu vô nghiêm trọng Những vụ công nhằm vào tất máy tính có mặt mạng Internet, đa phần mục đích xấu công không báo trước, số lượng vụ cơng tăng lên nhanh chóng phương pháp cơng liên tục hồn thiện Vì việc kết nối máy tính vào mạng nội vào mạng Internet cần phải có biện pháp đảm bảo an ninh Xuất phát từ hiểm hoạ hữu mà ta thường xuyên phải đối mặt môi trường Internet em định chọn đề tài: Hệ thống phát xâm nhập với mục đích tìm hiểu ngun tắc hoạt động sở lý thuyết số kỹ thuật xử lý làm tảng xây dựng hệ thống phát xâm nhập Em xin trân thành cảm ơn hướng dẫn tận tình PGS.TS Nguyễn Thị Việt Hương Do trình độ hạn chế lĩnh vực An ninh mạng lĩnh vực nên Luận văn khơng tránh khỏi sai sót, em mong bảo thầy cô Học viên: Đinh Tiến Hiệu Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông CHƯƠNG TỔNG QUAN VỀ AN NINH MẠNG 1.1 Giới thiệu chung an ninh mạng Trong hệ thống mạng, vấn đề an toàn bảo mật hệ thống thơng tin đóng vai trị quan trọng Thơng tin có giá trị giữ tính xác, thơng tin có tính bảo mật có người phép nắm giữ thơng tin biết Khi ta chưa có thông tin, việc sử dụng hệ thống thông tin chưa phải phương tiện quản lý, điều hành vấn đề an tồn, bảo mật đơi bị xem thường Nhưng nhìn nhận tới mức độ quan trọng tính bền hệ thống giá trị đích thực thơng tin có có mức độ đánh giá an tồn bảo mật hệ thống thơng tin Để đảm bảo tính an tồn bảo mật cho hệ thống cần phải có phối hợp yếu tố phần cứng, phần mềm người 1.1.1 Sự cần thiết phải có an ninh mạng yếu tố cần bảo vệ Để thấy tầm quan trọng việc đảm bảo an ninh mạng ta tìm hiểu tác động việc an ninh mạng từ đưa yếu tố cần bảo vệ:  Tác hại việc không đảm bảo an ninh mạng - Làm tốn chi phí - Tốn thời gian - Ảnh hưởng đến tài nguyên hệ thống - Ảnh hưởng danh dự, uy tín - Mất hội kinh doanh  Các yếu tố cần bảo vệ - Dữ liệu - Tài nguyên: người, hệ thống, đường truyền - Danh tiếng Học viên: Đinh Tiến Hiệu Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thơng 1.1.2 Các tiêu chí đánh giá mức độ an ninh an toàn mạng Để đảm bảo an ninh cho mạng, cần phải xây dựng số tiêu chuẩn đánh giá mức độ an ninh an toàn mạng Một số tiêu chuẩn thừa nhận thước đo mức độ an ninh mạng a Đánh giá phương diện vật lý  An toàn thiết bị Các thiết bị sử dụng mạng cần đáp ứng u cầu sau: - Có thiết bị dự phịng nóng cho tình hỏng đột ngột Có khả thay nóng phần tồn phần (hot-plug, hot-swap) - Khả cập nhật, nâng cấp, bổ xung phần cứng phần mềm - Yêu cầu nguồn điện, có dự phịng tình đột ngột - Các yêu cầu phù hợp với môi trường xung quanh: độ ẩm, nhiệt độ, chống sét, phòng chống cháy nổ, vv  An tồn liệu - Có biện pháp lưu liệu cách định kỳ khơng định kỳ tình phát sinh - Có biện pháp lưu trữ liệu tập trung phân tán nhằm chia bớt rủi ro trường hợp đặc biệt cháy nổ, thiên tai, chiến tranh, vv b Đánh giá phương diện logic Đánh giá theo phương diện chia thành yếu tố sau:  Tính bí mật, tin cậy (Condifidentislity) Là bảo vệ liệu truyền khỏi cơng bị động Có thể dùng vài mức bảo vệ để chống lại kiểu công Dịch vụ rộng bảo vệ liệu người sử dụng truyền hai người dùng khoảng thời gian Nếu kênh ảo thiết lập hai hệ thống, mức bảo vệ rộng ngăn chặn rò rỉ liệu truyền kênh Cấu trúc hẹp dịch vụ bao gồm việc bảo vệ tin riêng lẻ hay trường hợp cụ thể bên tin Khía cạnh khác tin bí mật Học viên: Đinh Tiến Hiệu Lớp CH ĐT1 – 2009 - MHV: CB090399 Luận văn Thạc sỹ Chuyên nghành kỹ thuật Điện tử Viễn thông việc bảo vệ lưu lượng khỏi việc phân tích Điều làm cho kẻ công quan sát tần suất, độ dài nguồn đích đặc điểm khác lưu lượng phương tiện giao tiếp  Tính xác thực (Authentication) Liên quan tới việc đảm bảo trao đổi thông tin đáng tin cậy Trong trường hợp tin đơn lẻ, ví dụ tín hiệu báo động hay cảnh báo, chức dịch vụ ủy quyền đảm bảo bên nhận tin từ nguồn mà xác nhận Trong trường hợp tương tác xẩy ra, ví dụ kết nối đầu cuối đến máy chủ, có hai vấn đề sau: thứ thời điểm khởi tạo kết nối, dịch vụ đảm bảo hai thực thể đáng tin Mỗi chúng thực thể xác nhận Thứ hai, dịch vụ cần phải đảm bảo kết nối không bị gây nhiễu thực thể thứ ba giả mạo hai thực thể hợp pháp để truyền tin nhận tin khơng cho phép  Tính tồn vẹn (Integrity) Cùng với tính bí mật, tồn vẹn áp dụng cho luồng tin, tin riêng biệt trường lựa chọn tin Một lần nữa, phương thức có ích dễ dàng bảo vệ toàn luồng liệu Một dịch vụ toàn vẹn hướng kết nối, liên quan tới luồng liệu, đảm bảo tin nhận gửi khơng có trùng lặp, chèn, sửa, hoán vị tái sử dụng Việc hủy liệu bao gồm dịch vụ Vì vậy, dịch vụ tồn vẹn hướng kết nối phá hủy thay đổi luồng liệu từ chối liệu Mặt khác, dịch vụ tồn vẹn khơng kết nối, liên quan tới tin riêng lẻ, không quan tâm tới hoàn cảnh rộng nào, cung cấp bảo vệ chống lại sửa đổi tin Chúng ta phân biệt dịch vụ có khơng có phục hồi Bởi dịch vụ tồn vẹn liên quan tới công chủ động, quan tâm tới phát ngăn chặn Nếu vi phạm tồn vẹn phát hiện, phần dịch vụ đơn giản báo cáo vi phạm vài phần phần mềm ngăn chặn Học viên: Đinh Tiến Hiệu Lớp CH ĐT1 – 2009 - MHV: CB090399