VIỆN ĐẠI HỌC MỞ HÀ NỘI KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ỨNG DỤNG MÃ NGUỒN MỞ VÀO BẢO MẬT HỆ THỐNG CỦA BỘ KẾ HOẠCH VÀ ĐẦU TƯ Chuyên ngành: TIN HỌC ỨNG DỤNG Giáo viên hướng dẫn: TS Thái Thanh Tùng Sinh viên thực hiện: Trần Quang Minh Lớp: 07B3 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư Hà Nội, năm 2011 MỤC LỤC DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT .4 DANH MỤC HÌNH VẼ .4 1.CHƯƠNG – MỞ ĐẦU CHƯƠNG – PHÂN TÍCH TÌNH HÌNH ỨNG DỤNG VÀ PHÁT TRIỂN 10 CHƯƠNG – PHÂN TÍCH HỆ THỐNG MÃ NGUỒN MỞ ĐỂ TĂNG CƯỜNG BẢO MẬT CHO CỔNG THÔNG TIN ĐIỆN TỬ 15 CHƯƠNG 4: XÂY DỰNG MƠ HÌNH THỬ NGHIỆM ÁP DỤNG MÃ NGUỒN MỞ VÀO TĂNG CƯỜNG BẢO MẬT HỆ THỐNG 120 CHƯƠNG 5: KẾT LUẬN 122 Sinh viên thực hiện: Trần Quang Minh – 07B3 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư LỜI CẢM ƠN Trước tiên, em xin gửi lời cảm ơn chân thành tới thầy giáo, cô giáo Viện Đại Học Mở Hà Nội nói chung thầy giáo, giáo khoa Cơng nghệ Thơng Tin nói riêng tận tình giảng dạy, truyền đạt cho em kiến thức, kinh nghiệm quý báu suốt bốn năm học qua Đặc biệt em xin gửi lời cảm ơn chân thành đến thầy Thái Thanh Tùng Thầy tận tình giúp đỡ, trực tiếp bảo, hướng dẫn em suốt trình làm đồ án tốt nghiệp Trong thời gian làm việc với thầy, em tiếp thu thêm nhiều kiến thức bổ ích mà cịn học tập tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu thầy Đây điều cần thiết cho em trình học tập công tác sau Đồng thời em xin gửi lời cảm ơn chân thành tới anh, chị thuộc Trung Tâm Tin Học – Bộ Kế Hoạch Đầu Tư tạo điều kiện sở vật chất tài liệu nghiên cứu để giúp em có mơi trường tốt để thực đề tài Sau cùng, em xin gửi lời cảm ơn chân thành tới gia đình bạn bè động viên, đóng góp ý kiến giúp đỡ em q trình học tập, nghiên cứu hồn thành đồ án tốt nghiệp Trần Quang Minh Lớp: Tin học ứng dụng – 07B3 Khoa: Công Nghệ Thông Tin Trường: Viện Đại Học Mở Hà Nội Sinh viên thực hiện: Trần Quang Minh – 07B3 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT STT Tên viết tắt Tên đầy đủ PMNM Phần mềm nguồn mở IP Internet Protocol Transmission Control TCP/IP Protocol /Internet Protocol Medium Access Control MAC address NAT Network Address Translate Destination Network Address DNAT Translate Source Network Address SNAT Translate FTP File Transfer Protocol DNS Domain Name System 10 WWW World Wide Web Dynamic Host Configuration 11 DHCP Protocol 12 DSL Digital Subcriber Line 13 HTTP 14 IDS 15 HIDS 16 NIDS 17 UDP Dịch tiếng việt Địa mạng Bộ giao thức liên mạng Địa truy cập thiết bị mạng Phiên dịch từ địa mạng IP Phiên dịch từ địa mạng IP đích Phiên dịch từ địa mạng IP nguồn Giao thức truyền tập tin Hệ thống tên miền Mạng lưới toàn cầu Giao thức cấu hình động máy chủ Kênh thuê bao số Giao Thức Truyền Siêu Văn HyperText Transfer Protocol Bản Intrusion Detection System Hệ thống phát xâm nhập Host Based Intrusion Hệ thống IDS cài đặt Detection System toàn mạng Network Intrusion Detection Hệ thống mạng giám sát giao System dịch thiết bị User Datagram Protocol Giao thức khơng liên kết DANH MỤC HÌNH VẼ STT Số thứ tự Nội dung Sinh viên thực hiện: Trần Quang Minh – 07B3 Số trang Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư Hình 2.1 10 11 12 Hình 2.2 Hình 2.3 Hình 2.4 Hình 3.1 Hình 3.2 Hình 3.3 Hình 3.4 Hình 3.5 Hình 3.6 Hình 3.7 Hình 3.8 13 Hình 3.9 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Hình 3.10 Hình 3.11 Hình 3.12 Hình 3.13 Hình 3.14 Hình 3.15 Hình 3.16 Hình 3.17 Hình 3.18 Hình 3.19 Hình 3.20 Hình 3.21 Hình 3.22 Hình 3.23 28 Hình 3.24 Bảng thống kê số lượng người sử dụng trình duyệt 10/2010 Thị phần người sử dụng trình duyệt 10/2010 Thị phần máy chủ giới Biểu đồ thể thị phần máy chủ giới Hình minh họa Iptables Bảng NAT động Bảng NAT (Masquerade) Cấu trúc Iptables Cấu trúc Chain Các loại queues chain chức Sơ đồ mơ tả đường gói liệu Bảng miêu tả target mà iptables thường dùng Các tham số chuyển mạch (switching) quan trọng Iptables Bảng điều kiện TCP UDP thông dụng Bảng điều kiện ICMP Bảng điều kiện mở rộng thông dụng Danh sách lệnh (Queue) Minh họa mơ tả lõi Apache Bảng Mod_Core Hình minh họa hệ thống bảo vệ IDS Kiến trúc hệ thống IDS Hệ thống bảo vệ IDS Hình minh họa cảm biến Hệ thống Network Base IDS Hệ thống HIDS Hình minh họa thành phần Snort Hình minh họa tường lửa Mod_security Quy trình xử lý request Apache Mod_Security Sinh viên thực hiện: Trần Quang Minh – 07B3 12 13 13 14 17 19 19 20 20 22 23 26 26 27 27 29 31 36 48 56 57 58 59 61 63 75 108 109 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư CHƯƠNG – MỞ ĐẦU 1.1 Giới thiệu 1.1.1 Giới thiệu chung Hiện mạng Internet ngày phát triển xuất nhiều nguy tiềm ẩn gây an tồn thơng tin liệu Ngày có nhiều tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần hoàn toàn vào hệ thống mạng, máy tính, sở liệu Khi hệ thống công nghệ thông tin sở liệu bị công, xâm nhập, phá hoại hay gặp cố hoạt động đơn vị bị ảnh hưởng nặng nề chí bị tê liệt hoàn toàn gây hậu nghiêm trọng kinh tế lẫn uy tín đơn vị, tổ chức Hiện Cổng thơng tin điện tử Bộ Kế hoạch Đầu tư dần đáp ứng nhu cầu cung cấp thông tin, văn quy phạm pháp luật thủ tục hành (Đề án 30), chiến lược, quy hoạch, kế hoạch phát triển kinh tế xã hội chung nước, chế sách quản lý kinh tế chung số lĩnh vực cụ thể, đầu tư nước, nước ngồi, khu cơng nghiệp, khu chế xuất, khu cơng nghệ cao, nguồn hỗ trợ phát triển thức, đấu thầu, doanh nghiệp, đăng kí kinh doanh phạm vi nước, cung cấp dịch vụ công phục vụ lĩnh vực thuộc phạm vi quản lý Bộ Kế hoạch Đầu tư Trong tương lai có thêm nhiều thơng tin dịch vụ cơng tích hợp vào Cổng thơng tin điện tử nhu cầu khai thác thông tin sử dụng dịch vụ công người dân, doanh nghiệp tổ chức người nước ngày tăng cao 1.1.2 Lý lựa chọn đề tài Để đáp ứng phát triển việc phát triển sở hạ tầng, việc tăng cường cơng tác an tồn, bảo mật thơng tin cho Cổng thông tin điện tử vô cấp thiết thiếu để đảm bảo cho hệ thông cung cấp thông tin kịp thời, đầy đủ xác, giảm thiểu đến mức tối đa nguy khách quan chủ quan q trình hoạt động gặp phải Mỗi hệ thống cụ thể, có hệ thống bảo mật thiết kế theo giải pháp riêng hệ thống ứng dụng cụ thể Cổng thông tin điện tử thư điện tử… thiết kế giải pháp Sinh viên thực hiện: Trần Quang Minh – 07B3 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư bảo mật chuyên dụng… việc ứng dụng phần mềm nguồn mở vào việc bảo mật ứng dụng cần thiết nhiều lý khác như: Chi phí thấp: PMNM dùng miễn phí quyền, có chi phí chi phí cho đóng gói dịch vụ cho sản phẩm Vi chi phí thấp so với phần mềm thương mại Ví dụ: Chi phí cho Hệ điều hành Windows ứng dụng văn phòng Microsoft vào khoảng 500USD, sử dụng Hệ điều hành Linux phần mềm văn phòng PMNM khơng trả phí quyền Nhiều PMNM cho quản trị sở liệu, trang chủ Web, quản lý thư tín điện tử… khó dùng phần mềm thương mại (chủ yếu thói quen người dùng sử dụng phần mềm thương mại Hệ điều hành Windows) tải miễn phí từ Internet sử dụng, phần mềm thương mại có giá từ hàng nghìn đến hàng chục nghìn USD Độc lập: PMNM không bị lệ thuộc vào nhà cung cấp Sự độc lập quan trọng quan nhà nước cần có giải pháp chung, chuẩn hóa khơng phu thuộc vào sản phẩm sở hữu riêng nhà cung cấp Làm chủ cơng nghệ, đảm bảo an tồn riêng tư: Hiểu rõ hệ thống làm việc yêu cầu quan nhà nước nhằm có bảo mật định PMNM khơng có cửa hậu (Backdoor), khơng có giản điệp điện tử (Spyware) lẩn phần mềm, có khả thay đổi, bổ sung phát triển ứng dụng theo yêu cầu riêng (điều mà phần mềm thương mại khơng cho phép) Tinh thích ứng sáng tạo: Thực tế cho thấy chương trình phần mềm tồn mà khơng thay đổi thời gian dài, khả cho phép lập trình viên xác định sửa đổi lỗi thay đổi phần mềm thích ứng với yêu cầu quan trọng Với mã nguồn sẵn có quyền thay đổi chúng tùy ý giúp cho công việc dễ dàng Việc có mã nguồn giúp nhà lập trình sáng tạo phần mềm riêng mình, đặc biệt thể hệ trẻ doanh nghiệp, đơn vị cần phục vụ yêu cầu đa dạng khách hàng Sinh viên thực hiện: Trần Quang Minh – 07B3 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư Chất lượng: PMNM hồn thành thơng thường thử nghiệm, đánh giá, phát lỗi hoàn thiện bổ sung nhiều nhà phát triển khác giới công việc không bị áp lực thời gian Trong đó, nhà sản xuất phần mềm thương mại lại thường công bố thời điểm đời phiên sau buộc phải tung thị trường sản phẩm nhiều cịn có lỗi để giữ thời hạn cơng bố Tuân thủ chuẩn: PMNM tuân thủ chuẩn tốt Đó lợi ích tất nhà phát triển tự thực sản phẩm có tính liên tác tốt Trong xây dựng, phát triển PMNM họ không sử dụng chuẩn sở hữu riêng mà liên tục tìm kiếm chuẩn dùng chung, làm cho PMNM có khả liên tác lâu dài Không bị hạn chế quyền sử dụng: Quyền dùng PMNM hình thức làm yên tâm nhà phát triển, nhà quản trị người dùng Do PMNM không bị giới hạn cho người dùng nên quan nhà nước yên tâm cung cấp cho số lượng người sử dụng khơng giới hạn theo mục đích riêng Tính lâu dài: PMNM khơng có chủ sở hữu lý bảo đảm để khơng làm ngừng giêt chết sản phẩm Việc sản phẩm bị ngững hay bị “giết chết” dễ dàng xẩy phần mềm thương mại trường hợp: Công ty bị phá sản, sát nhập, bán lại cho công ty khác, thay đổi chiến lược, phương hướng kinh doanh Do đó, người dùng PMNM khơng lo xảy trường hơp bị bắt buộc chuyển sang giải pháp khác phần mềm thương mại nhà cung cấp phần mềm thương mại định ngừng hỗ trợ kỹ thuật Phát triển dễ dàng: Những dự án phát triển thực không cần xin phép Việc phù hợp kỹ thuật phát triển mới: tạo giải pháp cách tập hợp nhiều đối tượng có mà khơng sợ rủi ro bị ngừng chừng hạn chế pháp lý quy định sở hữu trí tuệ phần mềm Tuy nhiên, với ưu điểm trên, PMNM số hạn chế sau: Sinh viên thực hiện: Trần Quang Minh – 07B3 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư Các ứng dụng chuyên nghiệp PMNM cịn ít: Số ứng dụng chun ghiệp sẵn sàng sử dụng PMNM cịn so với ứng dụng Windows Unix sở hữu riêng Thiếu hướng dẫn sử dụng: Nếu tư vấn chuyên nghiệp chuyên gia hệ thống, người dùng (và người quản trị Cơng nghệ thơng tin) khó tìm kiếm giải pháp tối ưu số hàng ngàn giải pháp PMNM có sẵn để phục vụ cho mục đích cụ thể 1.1 Phạm vi đề tài Đề tài thực tế dựa ứng dụng thực tế triển khai Bộ Kế Hoạch Đầu Tư Tuy nhiên với cá nhân sinh viên, nên việc triển khai hệ thống dựa mơ hình thực điều khó khơng thể tiếp cận với hệ thống thực Do em xin triển khai hệ thống sử dụng máy tính cá nhân Về bản, hệ thống tương tự hệ thống thật triển khai Bộ Kế Hoạch Đầu Tư Đồng thời mơ hình hồn tồn áp dụng cho tất hệ thống khác Nội dung đề tài gồm phần sau: Chương II: Phân tích tình hình ứng dụng phát triển Chương III: Phân tích hệ thống mã nguồn mở áp dụng để tăng cường bảo mật cho cổng thông tin điện tử Bộ Kế Hoạch Đầu Tư Chương IV: Xây dựng Mơ hình thử nghiệm áp dụng Mã Nguồn Mở vào tăng cường bảo mật cho cổng thông tin điện tử Bộ Kế Hoạch Đầu Tư Chương V: Kết luận Sinh viên thực hiện: Trần Quang Minh – 07B3 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư CHƯƠNG – PHÂN TÍCH TÌNH HÌNH ỨNG DỤNG VÀ PHÁT TRIỂN 1.2 Tình hình ứng dụng phát triển Quốc tế Theo thống kê SourceForge.net đến 10/2010 có 270.018 dự án ứng dụng PMNM sẵn có mạng (Nguồn http://sourceforge.net) Các ứng dụng PMNM phát triển, dễ sử dụng dùng phổ biến giới, đa dạng:  Cho máy chủ (hệ điều hành ứng dụng)  Cho hệ quản trị sở liệu  Cho máy tính để bàn (hệ điều hành ứng dụng)  Cho Internet  Trong tất lĩnh vực kinh tế xã hội Thị phần toàn cầu PMNM điển hình giới 1.2.1 Trình duyệt web Firefox (nguồn mở): Q4 2008 chiếm 20,06% (2007 chiếm 15,84%) IE (Microsoft): Q4 2009 chiếm 71,11% (2007 chiếm 77,37%) Tuy nhiên đến thời điểm (xem Hình 2.1) Thống kê số lượng người sử dụng trình duyệt 10/2010 Source IE Firefox Chrome Safari Opera browser Clicky 47.74% 29.67% 12.69% 8.46% 1.26% Stat Counter 49.21% 31.24% 12.39% 4.56% 2.00% W3Counter 41.6% 29.9% 11.9% 5.5% 1.9% Wikimedia 44.72% 29.67% 9.71% 5.57% 3.48% 4.70% Median 46.23% 29.79% 12.15% 5.54% 1.95% 4.26% 3.81% Hình 2.1 Bảng thống kê số lượng người sử dụng trình duyệt 10/2010 (nguồn http://en.wikipedia.org/wiki/Usage_share_of_web_browsers) Sinh viên thực hiện: Trần Quang Minh – 07B3 10 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư Chúng ta xem xét cấu trúc chi tiết filtering rules Code: SecFilter KEYWORD [ACTIONS] SecFilterSelective LOCATION KEYWORD [ACTIONS] Locations Như bạn thấy ví dụ LOCATION tất field HTTP Header Dưới liệt kê LOCATION mà bạn sử dụng SecFilterSelective Code: REMOTE_ADDR: Địa IP client REMOTE_HOST: hostname client (nếu tồn tại) REMOTE_USER : Authenticated username (nếu tồn tại) REMOTE_IDENT : Remote Username (lấy từ inetd, dùng) REQUEST_METHOD : Request Method (GET, HEAD, POST ) SCRIPT_FILENAME : Đường dẫn đầy đủ script thực thi PATH_INFO : Phần mở rộng URI phía sau tên script, ví dụ /archive.php/5 PATH_INFO /5 QUERY_STRING : URI phía sau dấu ? Ví dụ /index.php?i=1 QUERY_STRING i=1 AUTH_TYPE : Basic Digest Authentication DOCUMENT_ROOT : đường dẫn đến documentroot SERVER_ADMIN : email Server Administrator SERVER_NAME : hostname Server SERVER_ADDR : Địa IP Server SERVER_PORT : Server port SERVER_PROTOCOL : protocol, (ví dụ HTTP/1.1) SERVER_SOFTWARE : Apache version TIME_YEAR : Năm (2010) TIME_MON : Tháng (11) TIME_DAY : Ngày TIME_HOUR : Giờ Sinh viên thực hiện: Trần Quang Minh – 07B3 111 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư TIME_MIN : Phút TIME_SEC : Giây TIME_WDAY : Thứ tự ngày tuần (ví dụ - Thursday) TIME : Thời điểm viết theo cấu trúc : YmdHMS ví dụ 20101112144530 : 12/11/2010 14h 45' 30'' API_VERSION THE_REQUEST : dòng request vd: GET / HTTP/1.1 REQUEST_URI : Request URI REQUEST_FILENAME : Tên file yêu cầu đến IS_SUBREQ Một vài LOCATION đặc biệt : Code : POST_PAYLOAD – POST payload (nội dung POST hay POST body) ARGS - filter arguments,giống QUERY_STRING| POST_PAYLOAD ARGS_NAMES – variable/parameter names only ARGS_VALUES – variable/parameter values only COOKIES_NAMES - cookie names only COOKIES_VALUES - cookie values only SCRIPT_UID SCRIPT_GID SCRIPT_USERNAME SCRIPT_GROUPNAME SCRIPT_MODE ARGS_COUNT COOKIES_COUNT HEADERS HEADERS_COUNT Sinh viên thực hiện: Trần Quang Minh – 07B3 112 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư HEADERS_NAMES HEADERS_VALUES FILES_COUNTHTTP_header – search request header "header" ENV_variable – search environment variable variable ARG_variable – search request variable/parameter variable COOKIE_name - search cookie with name name FILE_NAME_variable - search the filename of the file uploaded under the name variable FILE_SIZE_variable - search the size of the file uploaded under the name variable FILES_NAMES FILES_SIZES Thậm chí cịn có vài LOCATION đặc biệt hơn: Code: HTTP_header – search request header "header" ENV_variable – search environment variable variable ARG_variable – search request variable/parameter variable COOKIE_name - search cookie with name name FILE_NAME_variable - search the filename of the file uploaded under the name variable FILE_SIZE_variable - search the size of the file uploaded under the name variable LOCATION bao gồm hai nhiều location liệt kê Code: SecFilterSelective "REMOTE_ADDR|REMOTE_HOST" KEYWORD Actions Sinh viên thực hiện: Trần Quang Minh – 07B3 113 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư Khi request vi phạm rule mod_security thực thi hành động (action) Khi action khơng rõ rule rule sử dụng default action Có loại actions : Primary Actions Primary actions định cho phép request tiếp tục hay không Mỗi rule có primary action Có primary actions : deny : Request bị ngắt, mod_security trả HTTP status code 500 status code bạn thiết lập thị status: SecFilter xxx "deny,status:403" pass : Cho phép request tiếp tục xử lý rules SecFilter secret "log,pass" allow : Giống Pass nhiên Request cho phép không bị kiểm tra rules SecFilterSelective REMOTE_ADDR "^192\.168\.2\.99$" allow redirect : Redirect request đến url SecFilter /bin/sh "redirect:http://www.conmaz.com" Secondary Actions Secondary actions bổ sung cho Primary actions, rule có nhiều Secondary actions Code: status : n Request vi phạm rule mod_security trả HTTP status code n thay status code 500 mặc định SecFilterSelective “HTTP_Referer” “xxx.com” “deny,status:403” exec : thực thi lệnh request vi phạm SecFilter /etc/passwd "exec:/usr/local/bin/report-attack.pl" Sinh viên thực hiện: Trần Quang Minh – 07B3 114 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư log : ghi log request vi phạm rule nolog : không ghi log pause : n mod_security đợi thời gian n ms trả kết Flow Actions: Code: chain: kết nối hay nhiều rules lại với Ví dụ: redirect GET request (conmaz.com/index.html) khơng Referer khơng có cookie có tên rocker Code: SecFilterSelective “REQUEST_METHOD” “^GET$” SecFilterSelective “HTTP_REFERER” “!(www\.conmaz\.com|^$)” chain SecFilterSelective “COOKIE_rocker” “^$” “redirect:http://www.conmaz.com/index.html” skipnext:n mod_security bỏ qua n rules theo sau SecFilterSelective ARG_p value1 skipnext:2 SecFilterSelective ARG_p value2 SecFilterSelective ARG_p value3 Default Action Khi rule khơng rõ action rule dùng default action thiết lập SecFilterDefaultAction SecFilterDefaultAction “deny,log,status:403” Filter inheritance Các rules thiết lập ngữ cảnh cha (parent context) thừa kế ngữ cảnh (child context) , điều chấp nhận Tuy nhiên có nhiều trường hợp khơng muốn thừa kế Rules sử dụng SecFilterInheritance directive Ví dụ: Code: Sinh viên thực hiện: Trần Quang Minh – 07B3 115 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư SecFilterInheritance Off # Khi SecFilterInheritance off ngữ cảnh (context) (ví dụ file view.php) phải viết rules từ đầu ngữ cảnh Thỉnh thoảng muốn vài thay đổi nhỏ sử dụng SecFilterInheritance phải viết lại rules từ đầu cơng, mod_security cung cấp thêm directives để giảm thiểu số lượng rules phải viết: Code: SecFilterImport – Import rule parent context SecFilterRemove – Remove rule parent context Ta sử dụng id vào cuối rule để định danh sử dụng directives trên: Code: (Ví dụ 1) SecFilter XXX id:1001 SecFilter YYY id:1002 SecFilter ZZZ id:1003 SecFilterInheritance Off SecFilterImport 1003 Code: (Ví dụ 2) SecFilter XXX id:1001 SecFilter YYY id:1002 SecFilter ZZZ id:1003 SecFilterRemove 1001 1002 Sinh viên thực hiện: Trần Quang Minh – 07B3 116 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư 1.8.4 Logging 1.1.2.13 Debug Log Sử dụng SecFilterDebugLog directive lựa chọn file để ghi lại thông tin debug Code: SecFilterDebugLog logs/modsec_debug_log Có thể thay đổi mức độ chi tiết thông tin log thông qua directive: Code: SecFilterDebugLevel Giá trị log thay đổi từ 0-9 : Code: 0 - none (this value should always be used on production systems) 1 - significant events (these will also be reported in the error_log) 2 - info messages 3 - more detailed info messages 1.1.2.14 1.1.2.15 Audit logging Apache log thơng tin khơng cho phép lần ngược bước kẻ công Mod_security hỗ trợ audit logging với đầy đủ thơng tin từ lần ngược lại q trình kẻ cơng, chỉnh sửa rules cho hợp lý tránh bị “false positive” Có hai directives: Code: Sinh viên thực hiện: Trần Quang Minh – 07B3 117 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư SecAuditEngine On SecAuditLog logs/audit_log Đây ví dụ audit log: Code : ==378bfd37============================== Request: conmaz.com 203.160.1.170 - - [20/Feb/2006:02:21:52 0600] "GET /favicon.ico HTTP/1.1" 403 285 "-" "-" - "-" -GET /favicon.ico HTTP/1.1 Cookie: rocker=r0xker Host: conmaz.com Connection: Keep-Alive mod_security-message: Access denied with code 403 Pattern match "^$" at HEADER("User-Agent") mod_security-action: 403 HTTP/1.1 403 Forbidden Content-Length: 285 Keep-Alive: timeout=5, max=29 Connection: Keep-Alive Content-Type: text/html; charset=iso-8859-1 378bfd37— Khi SecFilterScanPOST on POST payload ln kèm theo audit log 1.1.2.16 Tùy biến thông tin log SecAuditEngine chấp nhận giá trị sau : Code: On – log tất requests Off – không log RelevantOnly – log sinh filtering rules DynamicOrRelevant – log request tạo nội dung động requests sinh filtering rules Ngồi mod_security cịn hỗ trợ log dựa vào status code , ví dụ bạn cần log lại requests gây lỗi 5xx : Code: Sinh viên thực hiện: Trần Quang Minh – 07B3 118 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư SecAuditLogRelevantStatus ^5 Sinh viên thực hiện: Trần Quang Minh – 07B3 119 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư CHƯƠNG 4: XÂY DỰNG MƠ HÌNH THỬ NGHIỆM ÁP DỤNG MÃ NGUỒN MỞ VÀO TĂNG CƯỜNG BẢO MẬT HỆ THỐNG 1.9 Thực tế Bộ Kế hoạch Đầu tư Trên thực tế Bộ Kế hoạch Đầu tư ứng dụng phương thức dựng máy chủ chắn trước máy chủ dịch vụ HTTP từ năm 2003 Do lý bảo mật nên phạm vi đề tài chúng tơi đề cập đến mơ hình hệ điều hành linux cụ thể hồn tồn áp dụng cho hệ thống dịch vụ HTTP khơng riêng MPIPortal Mơ hình hệ thống chắn trước áp dụng không phân biệt hệ thống dịch vụ HTTP đứng phía sau xây dựng tảng ngơn ngữ lập trình nào, khơng phân biệt cơng nghệ Portal hãng nào,… Trong phần mơ hình thử nghiệm xây dựng hệ thống đề mô để bảo vệ MPIPortal máy ảo Hệ thống ứng dụng phần mềm nguồn mở giới thiệu phân tích ứng dụng vào việc bảo mật hệ thống MPIPortal cài đặt, cấu hình mơ hình mạng thực tế năm 2009 Bộ kế hoạch Đầu tư giới thiệu, phân tích phần trước Chúng tơi khơng đưa tồn cấu hình trù bị bảo mật thực MPIPortal lý bảo mật 1.10 Yêu cầu cài đặt hệ thống Thực tế triển khai hệ thống bảo mật sử dụng phần mềm Mã nguồn mở xây dựng máy tính cá nhân Trong phần mềm thiếu xây dựng hệ thống bao gồm: 1.10.1.Sử dụng chương trình máy ảo VMWare Để thuận tiện cho việc xây dựng hệ thống bảo mật Tồn mơ hình bảo mật xây dựng máy ảo VMWare phiên 7.1 1.10.2.Sử dụng hệ điều hành mã nguồn mở Centos Phiên hệ điều hành sử dụng cho hệ thống Centos 5.5 1.10.3.Sử dụng Snort  Sniffer mode: đọc toàn gói tin qua card mạng hiển thị  hình quản trị Packet Logger mode: ghi log tồn gói tin lên ổ đĩa Sinh viên thực hiện: Trần Quang Minh – 07B3 120 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư  Network Intrustion Detection (NIDS) mode: Cho phép Snort phân tích traffic dựa tập luật định nghĩa thực hành động dựa kết phân tích 1.10.4.Sử dụng Iptables   Để ngăn chặn truy cập không hợp lệ dựa vào trạng thái gói tin Hạn chế truy cập máy chủ hứng chịu lượng lớn truy cập thời  điểm Ghi log để phân tích 1.10.5.Sử dụng Mod_security Là Firewall cho ứng dụng web, có khả ghi lại dấu vết traffic cho phép giảm sát, phát chống công vào ứng dụng web Sinh viên thực hiện: Trần Quang Minh – 07B3 121 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư CHƯƠNG 5: KẾT LUẬN 1.11 Mở đầu Sau khoảng thời gian hai tháng, nhờ hướng dẫn tận tình thầy giáo Thái Thanh Tùng, em hoàn thành đồ án Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch đầu tư Trong q trình từ tìm hiểu đến hồn thành đồ án, em trải qua tất trình xây dựng hệ thống bảo mật Qua trình phát triển đề tài em rút số ưu điểm hạn chế đề tài Ưu điểm: Đề tài xây dựng hệ thống bảo mật hoàn chỉnh Các phần mềm hệ thống Snort, Iptables, Mod_security cài đặt vào hệ thống tạo nên hệ thống ưu việt Hệ thống có khả chống cơng DOS Hệ thống hữu ích cho hệ thống mạng theo mơ hình Server – Client Nhược điểm: Hiện đề tài xây dựng thử nghiệm máy ảo VMWare Do yêu cầu cần có hệ thống mạng thực để thể rõ khả bảo mật hệ thống lớn Đồng thời việc xây dựng thử nghiệm máy ảo hệ thống thật khác nên xảy nhiều cố chưa lường trước 1.12 Hướng phát triển hệ thống Với làm đề tài, em phát triển đề tài để triển khai đề tài hệ thống lớn Đồng thời khắc phục cố phát sinh triển khai hệ thống 1.13 Kết Luận Khi hồn thiện đề tài khơng thể tránh khỏi có sai sót Em mong nhận góp ý thầy bạn bè để đề tài ngày hoàn thiện Sinh viên thực hiện: Trần Quang Minh – 07B3 122 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư DANH MỤC TÀI LIỆU THAM KHẢO [1] Patrick S Harper, Oinkmaster Installation and Configuration Guide [2] Andy Firman, Debian, Snort, Barnyard, BASE, & Oinkmaster Setup Guide [3] Mark Cooper, Stephen Northcutt, Matt Fearnow, Karen Frederick, Intrusion Signatures and Analysis [4] Angela D Orebaugh, Simon Biles, Jacob Babbin, “Snort Cookbook “ [5] Roman Danyliw, “ACID: Installation and Configuration” [6] Chris Vespermann, “Snort, MySQL 5, Apache, and BASE for Gentoo Linux” [7] Brian Laing, ISS, “How To Guide: Intrusion Detection Systems” [8]Richard Bejtlich, “Extrusion Detection: Security Monitoring for Internal Intrusions” Sinh viên thực hiện: Trần Quang Minh – 07B3 123 ... hiện: Trần Quang Minh – 07B3 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư bảo mật chuyên dụng? ?? việc ứng dụng phần mềm nguồn mở vào việc bảo mật ứng dụng cần thiết nhiều lý khác... Nguồn Mở vào tăng cường bảo mật cho cổng thông tin điện tử Bộ Kế Hoạch Đầu Tư Chương V: Kết luận Sinh viên thực hiện: Trần Quang Minh – 07B3 Ứng dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu. .. dụng mã nguồn mở vào bảo mật hệ thống Bộ Kế hoạch Đầu tư CHƯƠNG – PHÂN TÍCH HỆ THỐNG MÃ NGUỒN MỞ ĐỂ TĂNG CƯỜNG BẢO MẬT CHO CỔNG THÔNG TIN ĐIỆN TỬ 1.4 Giới thiệu chung Để áp dụng mã nguồn mở cho