BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN o0o ĐỒ ÁN TỐT NGHIỆP Đề tài Xây dựng hệ thống phát hiện – chống xâm nhập dựa vào Firewall Iptables và IDS Snort Sinh viên thực hiện: NGUYỄN NGỌC LONG - MSSV:08B1020185 THÀNH PHỐ HỒ CHÍ MINH NĂM 2010 LỜI NÓI ĐẦU Trước hết, xin chân thành gửi lời cảm ơn đến trường Đại Học Kỹ Thuật Công Nghệ Tp.Hồ Chí Minh đã đào đạo, trau dồi cho tôi những kiến thức thật bổ ích trong suốt thời gian vừa qua. Xin cảm ơn thầy Văn Thiên Hoàng đã hướng dẫn em hoàn thành luận văn trong thời gian vừa qua. Thầy đã định hướng cho em làm luận văn, hướng dẫn, truyền đạt lại những kiến thức rất bổ ích, cũng như cung cấp những tài liệu cần thiết để em hoàn thành được đồ án. Xin cảm ơn các thầy cô trong khoa Công Nghệ Thông Tin trường Đại Học Kỹ Thuật Công Nghệ đã đào tạo và cung cấp cho em những kiến thức hữu ích, làm hành trang áp dụng vào cuộc sống. Cám ơn gia đình, người thân và bạn bè đã động viên tôi hoàn thành đồ án tốt nghiệp. Nguyễn Ngọc Long - 2 - MỤC LỤC MỤC LỤC 3 Danh mục từ viết tắt 7 Danh mục hình minh họa 8 Danh mục bảng 9 MỞ ĐẦU 10 Tổng Quan Về Hệ Thống Phát Hiện Xâm Nhập 14 1.1 Giới thiệu 14 1.2 Chức năng 14 1.2.1 Giám sát: 14 1.2.2 Cảnh báo 15 1.2.3 Bảo vệ 16 1.3 Các kiểu tấn công mạng 16 1.3.1 Phân loại các lỗ hổng bảo mật 16 1.3.2 Tấn công chủ động và tấn công bị động: 16 1.3.3 Các bước tấn công thường gặp 17 1.3.4 Cách thức tấn công 18 1.4 Các phương pháp nhận biết tấn công 20 1.4.1 Nhận biết qua tập sự kiện 20 1.4.2 Phát hiện dựa trên tập luật (Rule-Based ) 21 1.4.3 Phân biệt ý định người dùng (User intention identification) 21 1.4.4 Phân tích trạng thái phiên (State-transition analysis) 21 1.4.5 Phương pháp phân tích thống kê (Statistical analysis approach) 21 1.4.6 Phương thức phát hiện xâm nhập dựa vào chữ ký 22 1.4.7 Phương thức phát hiện xâm nhập dựa vào sự bất thường 23 1.5 Kiến trúc của một hệ thống phát hiện xâm nhập 23 1.5.1 Mô hình chung hệ thống IDS 23 1.5.2 Cấu trúc của một hệ thống phát hiện xâm phạm dạng tập trung: 25 1.5.3 Cấu trúc đa tác nhân 26 - 3 - 1.5.4 Mô hình giám sát mạng tích hợp 27 1.6 Các loại hệ thống phát hiện và ngăn chặn xâm nhập 30 1.6.1 Network - Based 30 1.6.2 Wireless 31 1.6.3 Network Behavior Analysis (NBA) 32 1.6.4 Host – Based 32 1.7 Các sản phẩm IDS trên thị trường 34 1.7.1 Intrust 34 1.7.2 ELM 34 1.7.3 SNORT 35 1.7.4 Cisco IDS 36 1.7.5 Dragon 36 Giới thiệu tổng quan về Firewall Iptable và IDS Snort 38 1.8 Tổng quan về Firewall 38 1.9 Phân loại firewall 39 1.9.1 Packet Filtering 39 1.9.2 Application-proxy firewall 41 1.10 Tổng quan về Iptables 43 1.10.1 Các tính năng của Iptables 43 1.10.2 Cơ chế hoạt động Iptables 44 1.10.3 Jumps và Targets 45 1.10.4 Các tùy chọn để thao tác với luật 46 1.11 Tìm hiểu các câu lệnh và thiết lập luật trong Iptables 46 1.11.1 Sử dụng chain tự định nghĩa 46 1.11.2 Lưu và phục hồi lại những script cấu hình trong Iptables 47 1.11.3 Ý nghĩa của một số luật cơ bản trong Iptables 48 1.12 Firewall and Logging 49 1.12.1 The syslog protocol 49 1.12.2 Proprietary logging methods 50 1.13 Firewall log review and analysis 51 - 4 - 1.13.1 Tổng quan 51 1.13.2 Các thông tin sự kiện từ file log 51 1.14 Tổng quan về Snort 53 1.14.1 Giới thiệu Snort 53 1.14.2 Các trạng thái 54 1.15 Các thành phần của Snort 56 1.15.1 Bộ packet sniffer 56 1.15.2 Bộ Preprocessor 56 1.15.3 Bộ phát hiện (detection engine) 57 1.15.4 Hệ thống ghi và cảnh báo (Logging và alerting) 58 1.15.5 Cấu trúc của một luật 59 Thực Nghiệm Firewall Iptable và IDS Snort 62 1.16 Mô tả thực nghiệm 62 1.17 Hạ tầng mạng thực nghiệm 63 1.18 Các bước cài đặt Iptables và Snort trên hệ điều hành CentOS 64 1.18.1 Cài hệ điều hành CentOS 64 1.18.2 Cài phần mềm Iptables và cấu hình 64 1.18.3 Cài đặt và cấu hình Snort 65 1.18.4 Cấu hình MySQL server 68 1.18.5 Cấu hình để Snort thực hiện alert vào MySQL 68 1.18.6 Cài đặt và cấu hình Basic Analysis and Sercurity Engine (Base) 69 1.19 Giao diện hệ thống sau cài đặt 70 1.19.1 Các thông tin cấu hình cơ bản 70 1.19.2 Hướng dẫn sử dụng Snort 71 1.19.3 Kết quả thống kê thực nghiệm Firewall Iptables 71 1.19.4 Kết quả thống kê thực nghiệm IDS Snort 73 1.20 Các cuộc tấn công và kết quả thống kê thực nghiệm 77 1.20.1 Tấn công và IDS Snort phát hiện 77 1.20.2 Ngăn chặn 78 1.20.3 Kết quả thống kê thực nghiệm 78 - 5 - KẾT LUẬN 80 TÀI LIỆU THAM KHẢO 81 - 6 - Danh mục từ viết tắt Viết tắt Tiếng Anh Tiếng Việt AP Access point Điểm truy cập DdoS Distributed Denial of Service Tấn công từ chối dịch vụ DNS Domain Name System Hệ thống tên miền DoS Denial-of-service Tấn công từ chối dịch vụ FTP File Transfer Protocol Giao thức truyền dữ liệu ICMP Internet Control Message Protocol Giao thức xử lý các thông báo trạng thái cho IP IDS Intrusion Detection System Hệ thống phát hiện xâm nhập IP Internet Protocol Giao thức Internet IPS Intrusion Prention System Hệ thống phát hiện xâm nhập IOS Internetwork Operating System HIDS Host Intrusion Detection System LAN Local Area Network Mạng cục bộ MITM Man-in-the-middle s MAC Media Access Control Định danh được gán cho thiết bị mạng NBA Network Behavior Analysis NIDS Network Intrusion Detection System OSI Open Systems Interconnection Mô Hình Mạng OS SNMP Simple Network Management Protocol Giao thức giám sát và điều khiển thiết bị mạng SMTP Simple Mail Transfer Protoco Giao thức truyền tải thư tín đơn giản TCP Transport Control Protocol Giao thức điều khiển truyền tải UTM Unified Threat Management Quản lý thống nhất các mối nguy hiểm WAN Wide Area Network Mạng diện rộng WIDS Wireless Intrusion Detection System - 7 - Danh mục hình minh họa Hình 1-1 Phương thức nhiễm ARP cache 19 Hình 1-2 Tấn công trên máy đã bị nhiễm ARP cache 19 Hình 1-3 Mô hình chung hệ thống IDS 24 Hình 1-4 Cấu trúc tập trung 25 Hình 1-5 Cấu trúc đa tác nhân 27 Hình 1-6 Mô hình giám sát tích hợp 27 Hình 1-7 Mô hình NIDS 31 Hình 1-8 Mô hình WIDS tập trung 32 Hình 2-9 Mô hình Firewall 39 Hình 2-10 Packet filtering firewall 40 Hình 2-11 Circuit level gateway 41 Hình 2-12 Application level gateway 42 Hình 2-13 Stateful multilayer inspection firewall 42 Hình 2-14 Mô hình IDS Snort 54 Hình 2-15 Quá trình xử lý gói 56 Hình 2-16 Bộ phát hiện xâm nhập 58 Hình 2-17 Hệ thống ghi nhập file log và phát cảnh báo 59 Hình 3-18 Mô hình tổng quan 63 Hình 3-19 Mô hình thực nghiệm 64 Hình 3-20 Snort đang hoạt động 70 Hình 3-21 Không cho truy xuất vào trang web 72 Hình 3-22 Được phép truy xuất vào trang web 73 Hình 3-23 Giao diện chính của Base 74 Hình 3-24 Snort phát hiện Nmap đang scanport, truy cập ssh 74 Hình 3-25 Hiển thị các địa chỉ nghi vấn 75 Hình 3-26 Xem nội dung một packet 75 Hình 3-27 Thống kê theo ngày, giờ 76 Hình 3-28 Thống kê theo ngày 76 Hình 3-29 IDS Snort phát hiện các gói tin được gửi vào hệ thống 77 - 8 - Danh mục bảng - 9 - MỞ ĐẦU Giới thiệu Ngày nay, trên thế giới công nghệ thông tin phát triển rất nhanh, mang lại những lợi ích thiết thực về nhiều mặt như: kinh tế, xã hội, chính trị, y tế, quân sự… những cuộc họp trong tổ chức, cơ quan, công ty hay những buổi hội thảo xuyên quốc gia, xuyên lục địa (Video Conference). Mạng Internet ngày càng đóng vai trò quan trọng trong các hoạt động của con người. Với lượng thông tin ngày càng phong phú và đa dạng. Không chỉ có ý nghĩa là nơi tra cứu tin tức sự kiện đang diễn ra trong đời sống hàng ngày, Internet còn đóng vai trò cầu nối liên kết con người với nhau ở mọi vùng địa lý. Các khoảng cách về địa lý hầu như không còn ý nghĩa, khi con người ở cách nhau nửa vòng trái đất họ vẫn có thể trao đổi thông tin, chia sẻ dữ liệu cho nhau như những người trong cùng một văn phòng. Internet còn góp phần làm thay đổi phương thức hoạt động kinh doanh của các doanh nghiệp. Ngoài các hoạt động kinh doanh truyền thống, giờ đây các doanh nghiệp có thêm một phương thức kinh doanh hiệu quả, đó là thương mại điện tử. Trong những năm gần đây, thương mại điện tử đã trở thành một bộ phận quan trọng trong sự tăng trưởng, phát triển của xã hội, mang lại những lợi ích rất lớn cho các doanh nghiệp, đồng thời thúc đẩy xã hội hóa thông tin cho các ngành nghề khác, góp phần mang lại tính hiệu quả cho nền kinh tế của doanh nghiệp nói riêng và cho toàn xã hội nói chung. Ði đôi với sự phát triển này thì bảo mật mạng đang là một nhu cầu cấp thiết nhằm bảo vệ hệ thống mạng bên trong, chống lại những tấn công xâm nhập và thực hiện các trao đổi thông tin, giao dịch qua mạng được an toàn. Về những giá trị lợi ích của công nghệ thông tin mang lại, những kẻ xấu cũng lợi dụng công nghệ này gây ra không ít những khó khăn cho tổ chức, cơ quan cũng như những người áp dụng công nghệ thông tin vào cuộc sống. - 10 - [...]... mở Iptables và Snort Tạo ra một hệ thống giám sát mạng, có khả năng phát hiện những xâm nhập, phòng chống tấn công mạng Cấu trúc đề tài Gồm 3 chương: Chương 1: Tổng quan về hệ thống phát hiện xâm nhập Giới thiệu về ứng dụng của hệ thống phát hiện và chống xâm nhập hiện nay và các mô hình kiến trúc Chương 2: Giới thiệu về Firewall Iptable và Snort Giới thiệu về các tính năng firewall Iptables, IDS Snort, ... Iptables, IDS Snort, cách phối hợp giữa Iptables và Snort để tạo ra phương pháp phát hiện và chống xâm nhập một cách hiệu quả - 12 - Chương 3: Thực nghiệm Iptables và Snort Mô hình thực nghiệm và cài đặt - 13 - Tổng Quan Về Hệ Thống Phát Hiện Xâm Nhập 1.1 Giới thiệu Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) hiện nay, bao gồm IDS cứng và IDS mềm là hệ thống giám sát có chức năng tự động... công xâm nhập mạng IDS sẽ phát những tín hiệu cảnh báo tới người quản trị mạng Hệ thống phòng chống xâm nhập (IPS) là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ mạng bị tấn công Hệ thống phòng chống xâm nhập là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật tường lửa với hệ thống phát hiện xâm nhập có khả năng phát hiện sự xâm nhập. .. cố xâm nhập hay sự cố bất thường khác… Những thông tin từ thiết bị phát hiện xâm nhập hay hệ thống phát hiện những dấu hiệu bất thường được chuyển tới hệ thống báo động để phát cảnh báo tới người quản trị - 29 - 1.6 Các loại hệ thống phát hiện và ngăn chặn xâm nhập IDS chỉ phát hiện các hành vi xâm nhập có khả năng ảnh hưởng nguy hiểm cho hệ thống, ghi nhận các hành vi đó, và gửi báo cáo cho admin IDS. .. các hệ IDS: - 23 - Hình 1-3 Mô hình chung hệ thống IDS Nhiệm vụ chính của các hệ thống phát hiện xâm nhập là phòng chống cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công và có thể đẩy lùi nó Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp Việc làm lệch hướng sự tập trung của kẻ xâm nhập vào tài nguyên được bảo vệ cũng là một nhiệm vụ quan trọng Cả hệ thống. .. phát hiện chống xâm nhập hiệu quả được nhiều tổ chức, cơ quan, doanh nghiệp triển khai và áp dụng vào trong hệ thống mạng của ḿnh là công nghệ Snort IDS Cách đây gần 30 năm, qua một bài báo của James Anderson, khái niệm phát hiện xâm nhập đã xuất hiện Khi đó nguời ta cần hệ thống phát hiện xâm nhập - IDS (Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái... nhập hoặc bằng email và bằng nhiều cách khác Hệ thống báo động kết hợp với hệ thống dò tìm xâm nhập, hệ thống giám sát thiết bị và dịch vụ phát ra những tín hiệu cảnh báo đến người quản trị khi hệ thống có sự cố - 15 - xâm nhập hay sự cố bất thường khác… Những thông tin từ thiết bị phát hiện xâm nhập hay hệ thống phát hiện những dấu hiệu bất thường được chuyển tới hệ thống báo động để phát cảnh báo tới... thành phần phát hiện và phòng chống xâm nhập (IDS/ IPS), thành phần giám sát lưu lượng, thành phần giám sát thiết bị và dịch vụ mạng và thành phần báo động Các thành phần này được mô tả trong hình sau: Hình 1-6 Mô hình giám sát tích hợp - 27 - Thành phần phát hiện và phòng chống xâm nhập mạng: Hệ thống phát hiện xâm nhập (IDS) dùng để lắng nghe, dò tìm các gói tin qua hệ thống mạng để phát hiện những... cho hệ thống hoặc đánh cắp thông tin Ngoài ra, chúng có thể sử dụng hệ thống này để tấn công vào các hệ thống khác như loại tấn công DDoS Bước 5: Che đậy, xóa dấu vết Một khi kẻ tấn công đã xâm nhập và cố gắng duy trì xâm nhập Bước tiếp theo là chúng phải làm sao xóa hết dấu vết để không còn chứng cứ pháp lí xâm nhập Kẻ tấn công phải xóa các tập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập. .. trái phép, phòng chống xâm nhập còn là việc giám sát lưu lượng mạng, giám sát các thiết bị và dịch vụ mạng, giám sát nguồn tài nguyên trên hệ thống Bên cạnh đó, hệ thống báo động phải được cài đặt linh hoạt và đa dạng 1.5.1 Mô hình chung hệ thống IDS Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm nhập, các cơ chế xử lý khác nhau được sử dụng đối với một IDS Mô hình cấu . DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN o0o ĐỒ ÁN TỐT NGHIỆP Đề tài Xây dựng hệ thống phát hiện – chống xâm nhập dựa vào Firewall Iptables và IDS Snort Sinh. Thực nghiệm Iptables và Snort Mô hình thực nghiệm và cài đặt. - 13 - Tổng Quan Về Hệ Thống Phát Hiện Xâm Nhập 1.1 Giới thiệu Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) hiện nay,. nhập, phòng chống tấn công mạng. Cấu trúc đề tài Gồm 3 chương: Chương 1: Tổng quan về hệ thống phát hiện xâm nhập Giới thiệu về ứng dụng của hệ thống phát hiện và chống xâm nhập hiện nay và các mô