Chương 3 - Triển khai IDS trên điện toán đám mây dựa trên phần mềm mãnguồn mở Snort: Nội dung của chương 3 này, luận văn sẽ tập trung tìm hiểu về mã nguồn mở Snort và ứng dụng của mã ngu
Trang 1NGUYEN XUAN KHUONG
NGHIÊN CUU TRIEN KHAI IDS/IPS
TREN ĐIỆN TOÁN DAM MAY
Chuyên ngành: Khoa học máy tinh
Mã số: 60.48.01.01
TOM TAT LUẬN VĂN THẠC SĨ
HÀ NỘI - 2015
Trang 2Luận văn được hoàn thành tại:
HỌC VIEN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG
Người hướng dẫn khoa học: TS TRỊNH ANH TUẦN
Phản biện 1: TS Đào Dinh Khả
Phản biện 2: PGS.TS Ngô Thành Long
Luận văn sẽ được bảo vệ trước Hội đông châm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: 9 giờ 45 ngày 27 tháng 02 năm 2016.
Có thé tìm hiéu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
Trang 3MỞ ĐẦU
Ngày nay công nghệ thông tin có vai trò hết sức quan trọng trong sự tồn tại và phát triểnđối với bat kỳ một cá nhân, tổ chức, công ty hay rộng hon là đối với toàn thé nhân loại Duongnhư công nghệ thông tin đã trở thành một thành phần không thê thiếu trong bất kỳ một lĩnh vựcnào của cuộc sông, cuộc sống của con người ngày càng gắn liền với nó Công nghệ thông tin đãgiúp cho năng suất lao động được nâng cao, giảm thiêu các chi phí, hỗ trợ con người khám pha
và tìm hiểu trong lĩnh vực khoa học, học tập, nghiên cứu, giải trí một cách thuận tiện và dễ
dàng
Điện toán đám mây (cloud computing) may năm gần đây nồi lên như là một giai đoạnphát trên tất yếu của Internet Điện toán đấm mây cụ thé là các mô hình dịch vụ của nó chophép sử dụng phần cứng, phần mềm như là dịch vụ làm thay đổi việc ứng dụng công nghệthông tin trong thực tiễn Tuy nhiên, các cá nhân, tô cức, công ty vẫn chưa thực sự chấp nhận
sử dụng điện toán đám mây vì vấn đề an toàn bảo mật của điện toán đám mây còn chưa pháttriển Vì vậy việc nghiên cứu và đưa ra các giải pháp bảo mật trên điện toán đám mây là mộtvan dé ngày càng mang tính cấp thiết
Kết cấu luận văn như sau:
Chương 1 - Tổng quan về điệnt toán đám mây: Nội dung của chương này, luậnvăn tập trung đi tìm hiểu về tổng quan điện toán đám mây từ những cấu trúc đến những lợiích của điện toán đám mây, từ đó cũng tìm hiểu về những an ninh trong điện toán đám mây
Chương 2 - Hệ thống phát hiện và phòng chống xâm nhập trái phép IDS/IPS:Nội dung của chương 2 này, luận văn sẽ tập trung mô tả về hệ thống phát hiện và cáchphòng chống xâm nhập mạng trái phép mạng, từ đó cũng phân tích và mô tả một số kiều tancông mạng phô biến hiện nay
Chương 3 - Triển khai IDS trên điện toán đám mây dựa trên phần mềm mãnguồn mở Snort: Nội dung của chương 3 này, luận văn sẽ tập trung tìm hiểu về mã nguồn
mở Snort và ứng dụng của mã nguồn mở snort dé triển khai mô hình thử nghiệm hệ thống
phát hiện xâm nhập mạng trái phép.
Trang 4Chương I: TONG QUAN VE ĐIỆN TOÁN DAM MAY
Nội dung của chương này, luận văn tập trung di tìm hiểu về tong quan điện toán đámmây từ những cấu trúc đến những lợi ích của điện toán đám mây, từ đó cũng tìm hiểu về
những an ninh trong điện toán đám mây.
1.1 Khái niệm về điện toán đám mây
Thuật ngữ “Điện toán đám mây” (cloud computing) ra đời vào khoảng giữa năm
2007 nhằm dé khái quát lại các hướng phát triển mới của công nghệ thông tin nhờ vào mạngInternet băng thông rộng và các trung tâm điện toán không lồ của các hãng công nghệ nhưGoogle, Amazon, IBM, Microsoft, Điện toán đám may gan liền với một quan niệm mới
về công nghệ thông tin, đó là: các nguồn lực điện toán khong 16 như phần mềm, dữ liệu dich
vụ sẽ năm tại các máy chủ ảo (đám mây) trên Internet thay vì trong máy tính của tổ chức, cánhân dé moi người kết nối và sử dụng khi cần Với các dịch vụ hạ tầng, phần mềm sẵn có
trên Internet, doanh nghiệp không phải mua và duy trì hàng trăm, thậm chí hàng nghìn
máy tinh cũng như phần mềm cho công ty Các đơn vi sử dụng có thể thuê toàn bộ hạ tang
công nghệ thông tin như thuê bao điện thoại hay sử dụng điện, nước hàng ngày.
1.2 Kiến trúc của điện toán đám mây
Đối với mạng Internet như hiện nay thì các tổ chức đã được lập ra để quản lí và cùngthống nhất với nhau về các giao thức, các mô hình Các thiết bị hoạt động trong Internet
được thiết kế sao cho phù hợp với mô hình điện toán đám mây
1.3 Thành phần của điện toán đám mây
Về cơ bản, “điện toán đám mây” được chia ra thành 5 lớp riêng biệt, có tác động qualại lẫn nhau:
Client
Application Platform Infrastructure
Server
Hình 1.3: Thành phan của điện toán đám mây
Trang 51.4 Mô hình dịch vụ của điện toán đám mây
Điện toán đám mây cung cấp 3 mô hình dịch vụ cơ bản: dịch vụ hạ tầng (IaaS), dịch
vụ nền tang (PaaS) và dịch vụ phần mềm (SaaS), với một số đặc trưng chính: thuê bao theoyêu cầu, nhiều thuê bao, dùng bao nhiêu trả bấy nhiêu Về mặt kỹ thuật, đám mây là
connectivity, integration
services access
Hình 1.4: Mô hình dich vụ điện toán đám mây
1.5 Các mô hình triển khai trên điện toán đám mây
Trong mô hình triển khai điện toán đám mây, bao gồm 04 mô hình: mô hình đámmây riêng, mô hình đám mây công cộng, mô hình đám mây cộng đồng, mô hình đám mây
lai Hình sau tổng hợp các mô hình trên:
Hình 1.5 : Mô hình triển khai dịch vụ điện toán đám mây
1.6 Lợi ích của điện toán đám mây
Có thê thấy, hiện nay ứng dụng điện toán đám mây đã và đang mang lại rất nhiều lợi
ích như: giảm chi phí cho đơn vị, dé dang sử dụng cho sự tiện lợi, độ tin cậy cao, tính linh
hoạt cao, tận dụng tối đa những tài nguyên đã có,
Trang 61.7 Thách thức của điện toán đám mây
Điện toán đám mây là một mô hình điện toán mới mở ra cánh cửa đến với những cơ
hội lớn Trong đám mây điện toán, các tài nguyên và dịch vụ công nghệ thông tin được tách
khỏi cơ sở hạ tầng và được cung cấp theo nhu cầu, phù hợp với quy mô trong một môi
trường đa người dùng.
1.8 Tổng quan về an ninh, bảo mật
1.8.1 Các nguy cơ gây mat an toàn bảo mật hệ thong mang
Các nguy cơ là các sự kiện có khả năng xảy ra và có khả năng gây hại cho hệ thống.Các nguy cơ gây hại cho hệ thống thông tin có thé xuất phát từ chính sự bat can của ngườidùng, từ việc khai thác và tấn công vào các ứng dụng và đây cũng là nguy cơ nguy hiểm vàthường gặp nhất
Có thể chia các nguy cơ thành các nhóm sau:
- Truy xuất thông tin trái phép: các hành vi thuộc nhóm này có thể đơn giảnnhư việc nghe lén một cuộc dam thoại, truy xuất một tập tin của người khác hay việc cô
tinh cài các chương trình key-logger, trojan
- Phát thông tin sai: các hành vi này tương tự như các hành vi truy xuất thông tin tráiphép nhưng nó bao gồm cả việc thay đổi thông tin gốc Trong thực tế các hình thức tấncông xen giữa (Main-in-the-middle), giả danh (spoofing) là một dạng của phương thức tấn
công phát thông tin sai.
- Ngăn chặn hoạt động của hệ thống: các hanh vi thuộc nhóm này có mục đích
ngăn chặn các hoạt động bình thường của hệ thống Các hình thức tấn công từ chối dịch vụ,virus là các dang nguy cơ điển hình thuộc nhóm nay
- Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống: hành vi thuộc nhómnày gây ra những hậu quả nghiêm trọng từ việc lấy cắp và thay đổi dữ liệu trên hệ thốngđến việc thay đôi, vô hiệu hóa các chính sách bảo mật Điển hình cho nhóm nguy cơ này làcác hành vi tan công nhằm chiếm quyền root trên các máy chủ web chạy Unix hoặc Linuxbằng cách khai thác các lỗi phần mềm hoặc lỗi cấu hình hệ thống, các hacker có thé chiếmquyền điều khiển toàn bộ máy chủ, có thể xem, sửa, xóa các thông tin của các website được
lưu trên máy chủ đó một cách dễ dàng.
1.8.2 Các giải pháp đảm bảo an toàn bảo mật hệ thống
1.8.2.1 Giải pháp kiểm soát truy nhập
Trang 71.8.2.2 Kiểm soát truy nhập tùy chọn
1.8.2.3 Kiểm soát truy nhập bắt buộc
1.8.2.4 Kiểm soát truy nhập dựa trên vai trò
1.8.2.5 Kiểm soát truy nhập dựa trên luật
1.9 Một số van đề an ninh bảo mật trong điện toán đám mây
dụng.
1.9.3 An ninh ở mức dịch vụ phan mém
Ở mức dịch vụ phần mềm (SaaS), các phần mềm được cung cấp như là dịch vụ trênmang, sử dụng các chính sách bảo mật dit liệu và tài nguyên khác từ các tang bên dưới cungcấp Vấn đề an ninh ở đây liên quan đến bảo mật dữ liệu, rò rỉ thông tin nhạy cảm và nguy
cơ tấn công từ chối truy cập Trách nhiệm về an toàn được chia sẻ cho nhà cung cấp hạ
tầng đám mây và nhà cung cấp dịch vụ phần mềm Người dùng đầu cuối chỉ là người dùngphần mềm với các lựa chọn cấu hình khác nhau được cung cấp bởi phần mềm nên không cónhiều vai trò trong an toàn hệ thống
1.10 Kết luận chương 1
Trong nội dung của chương 1| này, luận văn tập trung đi vào trình bày tổng quan vềđiện toán đám mây như : nêu ra một số khái niệm về điện toán đám mây, kiến trúc chungcủa điện toán đám mây, từ đó phân tích ra các mô hình dịch vụ chung và mô hình triển khaicủa điện toán đám mây Trên cơ sở đó đánh giá những ưu điểm, lợi ích của điện toán đámmây mang lại, bên cạnh đó cũng như những hạn chế của điện toán đám mây là vấn đề anninh bảo mật và đây cũng là điều kiện tiên quyết cho chương kế tiếp của luận văn đi vàophân tích phát hiện và phòng chống xâm nhập mạng trái phép
Trang 8Chương 2: HỆ THÓNG PHÁT HIỆN VÀ PHÒNG CHÓNG XÂM
NHAP TRÁI PHÉP IDS/IPS
Nội dung của chương 2 này, luận văn sẽ tập trung mô tả về hệ thống phát hiện vàcách phòng chống xâm nhập mạng trái phép mạng, từ đó cũng phân tích và mô tả một sốkiểu tắn công mạng phô biến hiện nay
2.1 Tổng quan về IDS/IPS
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máytính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu xâm nhập bất hợp pháp.Xâm nhập bat hợp pháp được định nghĩa là sự cỗ gắng tìm mọi cách dé xâm hại đến tínhtoàn vẹn, tính sẵn sảng, tính có thể tin cậy hay là sự cố găng Vượt qua các cơ chế bảo mậtcủa hệ thống máy tính hay mạng đó
2.1.1 IDS
2.1.1.1 Khái niệm về IDS
2.1.1.2.Chức năng của IDS
2.1.1.3 Kiến trúc chung của hệ thống IDS
2.1.1.4 Phan loại IDS
a Host-Based IDS
b Network-Based IDS
2.1.2 IPS
2.1.2.1 Khai niém IPS
Hệ thống IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới, kết hợp các
ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS, có khả năng phát hiện
sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó
2.1.2.2 Chức năng cua IPS
Chức năng IPS mô tả như là kiểm tra gói tin, phân tích có trạng thái, ráp lại các đoạn,ráp lại các TCP-segment, kiêm tra gói tin sâu, xác nhận tính hợp lệ giao thức và thích ứngchữ ký Các giải pháp IPS là nhằm mục đích bảo vệ tải nguyên, dữ liệu và mạng Chúng sẽlàm giảm bớt những mối đe doạ tấn công bằng việc loại bỏ những lưu lượng mạng có hạihay có ác ý trong khi vẫn cho phép các hoạt động hợp pháp tiếp tục Mục đích ở đây là một
Trang 9hệ thống hoàn hảo và không có những báo động giả nào làm giảm năng suất người dùngcuối và không có những từ chối sai nào tạo ra rủi ro quá mức bên trong môi trường
2.1.2.3 Kiến trúc chung của các hệ thống IPS
a Module phân tích luồng dữ liệu:
b Modul phát hiện tấn công:
c Modul phản ứng
2.1.2.4.Phân loại hệ thong IPS
Có hai kiêu kiến trúc IPS chính là IPS ngoài luồng và IPS trong luồng
a IPS ngoài luéng(Promiscuous Mode IPS)
Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu Luéng đữ liệuvào hệ thống mang sẽ cùng đi qua tường lửa va IPS IPS có thể kiểm soát luồng dữ liệu vào,phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công Với vi tri này, IPS có thể
quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh
hưởng đến tốc độ lưu thông của mạng
b IPS trong luồng (In-line IPS)
Vị tri IPS nam trước bức tường lửa, luồng đữ liệu phải đi qua IPS trước khi tới bứctường lửa Điểm khác chính so với IPS ngoài luồng là có thêm chức năng chặn lưu thông(traffic-blocking) Điều đó làm cho IPS có thé ngăn chặn luồng giao thông nguy hiểm nhanhhơn so với IPS ngoài luồng (Promiscuous Mode IPS) Tuy nhiên, vị trí này sẽ làm cho tốc
độ luồng thông tin ra vào mạng chậm hơn
2.2 Cách phát hiện các kiểu tấn công thông dụng của IDS hiện nay
2.2.1 Tấn công từ chối dịch vu (Denial of Service attack)
2.2.2 Quét và thăm dò (Scanning và Probe)
2.2.3 Tấn công vào mat mã (Password attack)
2.2.4 Chiếm đặc quyền (Privilege-grabbing )
Trang 10& S
2.2.5 Cài đặt mã nguy hiểm (Hostile code insertion)
Một số loại tan công có thé cài đặt mã nguy hiểm vào hệ thống Mã này có thé laytrộm đữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép tiếp
theo.
2.2.6 Hành động pha hoại trên may móc (Cyber vandalism)
2.2.7 An trộm dữ liệu quan trọng (Proprietary data theft)
2.2.8 Gian lận, lãng phí và lạm dung (Fraud, waste, abuse)
2.2.9 Can thiép vao bién ban (Audit trail tampering)
2.2.10 Tan cong ha tang bao mật (Security infrastructure attack)
2.3 Kiến trúc hệ thống phát hiện xâm nhập IDS
Kiến trúc của một hệ thống IDS bao gồm các thành phần chính sau: Thành phần thuthập gói tin (information collection), thành phần phân tích gói tin (detection) và thành phầnphản hồi (respotion) Trong ba thành phần này, thành phần phân tích gói tin là quan trọngnhất và bộ cảm biến (sensor) đóng vai trò quan quyết định nên cần được phân tích để hiểu
rõ hơn về kiến trúc của một hệ thống phát hiện xâm nhập
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu Bộ tạo sự kiện Cách sưutập này được xác định bởi chính sách tạo sự kiện dé định nghĩa chế độ lọc thông tin sự kiện
Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp chocác sự kiện, có thé là một bản ghi các sự kiện của hệ thống hoặc các gói mạng Số chínhsách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc
bên ngoài.
Trang 112.4 Các kỹ thuật phát hiện xâm nhập trên điện toán đám mây.
2.4.1 Các kỹ thuật dựa trên phương pháp phát hiện sự lạm dụng
Phương pháp phát hiện dựa trên sự lạm dụng có bốn kỹ thuật thường được sử dụng,
bao gồm: Kỹ thuật đối sánh mẫu, kỹ thuật dựa trên tập luật, kỹ thuật dựa trên trạng thái, và
kỹ thuật dựa trên khai phá dữ liệu
Add new rules Match rule?
4 4
System | Misuse ati
Profile FP Detection { Response )
ry, A | xa
Timing : x 28 —
Information Modify ' Data
Existingrules | Collection
Hình 2.8 Mô hình phát hiện dựa trên sự lạm dụng
2.4.1.1 Kỹ thuật đối sánh mau (Pattern Matching)
Phương pháp phát hiện xâm nhập mạng dựa trên đối sánh mẫu thì các mẫu tấn công
và xâm nhập được mô hình hoá, sau đó chúng được đối sánh các thông tin trên tiêu đề góitin và nội dung gói tin dé xác định tan công, xâm nhập Phương pháp này cũng có thé được
sử dụng trong hệ thống phát hiện xâm nhập dựa trên máy trạm thông qua việc ghép các từđại diện cho chuỗi các lời gọi hàm Với việc các dạng tấn công mới liên tục xuất hiện cácloại mới dưới nhiều hình thức khác nhau nên số lượng mẫu trở nên rất lớn làm tăng chỉ phítính toán khi đối sánh mẫu
2.4.1.2 Kỹ thuật dựa trên tập luật
Hệ thống phát hiện xâm nhập dựa trên tập luật là một trong những kỹ thuật đầu tiên
sử dụng dé phát hiện sự lạm dụng Hệ thống chuyên gia mã hóa các kịch bản xâm nhập như
là một bộ quy tắc Bất kỳ sự sai lệch trong quá trình xử lý đối sánh luật được báo cáo như
một sự xâm nhập
2.4.1.3 Kỹ thuật dựa trên trạng thai
Đây là kỹ thuật sử dụng các trạng thái và sử chuyên đổi giữa các trạng thái trongkhông gian trạng thái Mô hình trạng thái giúp đơn giản hóa các đặc điểm kỹ thuật của mô
Trang 12hình phát hiện và có thé được sử dung dé mô tả các tình huống tấn công dé dàng hon dựatrên các nguyên tắc ngôn ngữ Trong các kỹ thuật dựa trên trạng thái, quá trình thực hiệnxâm nhập được biểu diễn thông qua quá trình chuyên đổi giữa các trạng thái của hệ thống,
và do đó kịch bản xâm nhập được xác định theo hình thức sơ đồ chuyển trạng thái
2.4.1.4 Kỹ thuật dựa trên khai phá dữ liệu
Trong kỹ thuật này, phát hiện xâm nhập được xem là quá trình phân tích dữ liệu,
trong đó các kỹ thuật khai phá dữ liệu được sử dụng dé tự động thiết lập mô hình mẫu các
hành vi thông thường của người sử dụng hoặc các hành vi xâm nhập Có 3 giải thuật đặc
biệt hữu ích cho khai phá dữ liệu, bao gồm phân loại, phân tích liên kết và phân tích trình
tự.
2.4.2 Các kỹ thuật dựa trên phương pháp phát hiện sự bất thường
Phương pháp phát hiện dựa trên sự bất thường được chia thành các kỹ thuật chínhnhư sau: kỹ thuật mô hình thống kê mở rộng, kỹ thuật dựa trên mô hình luật, kỹ thuật dựa
trên mô hình sinh học và kỹ thuật dựa trên mô hình học:
“a oa
“a cal “a
System Anomaly Profile Detection
2.4.2.1 Kỹ thuật phát hiện dựa trên mô hình thong kê mở rộng
2.4.2.2 Kỹ thuật phát hiện dựa trên tập luật
2.4.3 Kỹ thuật phát hiện dựa trên đặc trưng
2.4.4 Kỹ thuật phát hiện lai
2.5 Một số giải pháp ngăn chặn và phòng chống xâm nhập trái phép
2.5.1 Tường lứa (Firewall)
Firewall là một kỹ thuật được tích hợp vào hệ thống mang dé phòng chống sự truy cập trái
phép, nhăm bảo vệ các nguôn thông tin nội bộ và hạn chê sự xâm nhập không mong muôn
Trang 13từ bên ngoài vào mạng cũng như những kết nối không hợp lệ từ bên trong ra tới một số địachỉ nhất định trên Internet
2.5.2 Hệ thong Proxy Server
Chức năng quan trọng của Proxy Server là tường lửa va loc ứng dụng Đối với hệ thống
mạng lớn, Proxy server đóng vai trò quản lý mọi truy nhập vào ra trong mạng Cho phép
hoặc không một yêu cầu hay đáp ứng từ nội bộ trong mạng ra ngoài hoặc ngược lại Proxyserver làm cho việc sử dụng băng thông có hiểu quả do chúng có thể quản lý được các hoạtđộng của người dùng Nên có thé giới hạn thông tin nào được dùng và không được dùngtránh việc tắc nghẽn băng thông
2.5.3 Tạo đường ham (Ti unneling)
Kỹ thuật tạo đường ham là cách dùng hệ thống mạng trung gian dé kết nối logic diém-diém,
từ máy tính này đến máy tính qua hệ thống mạng Kỹ thuật này cho phép mã hóa và tiếpnhận đối với toàn bộ gói tin IP Các cổng bảo mật sử dụng mạng này để cung cấp các dịch
vụ bao mật thay cho các thực thé khác trên mang Phương thức này áp dụng trong mạng
riêng ảo VPN.
2.6 Kết luận chương 2
Trong nội dung của chương 2 này, luận văn đã tập trung trình bày về tổng quan củaIDS/IPS dé làm rõ về cấu trúc và cách thức hoạt động của chúng, trên cơ sở đó chương 2nay cũng đã đi vào phân tích một số kiểu tan công mạng phô biến của IDS hiện nay và đồng
thời cũng đã làm rõ các kĩ thuật phát hiện xâm nhập mạng.