Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 80 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
80
Dung lượng
1,75 MB
Nội dung
LỜI CẢM ƠN Sau tháng nỗ lực tìm hiểu, nghiên cứu thực luận văn Cao học với nội dung “ Nghiên cứu xây dựng Module giám sát an ninh mạng dựa mã nguồn mở Snort” hoàn thành Ngoài nỗ lực thân, nhận nhiều quan tâm, giúp đỡ thầy cô trường ĐH Công nghệ thông tin Truyền thông, Viện Công nghệ thông tin, Học viện Kỹ thuật mật mã, gia đình bạn bè Những động viên giúp đỡ giúp vượt qua khó khăn để hoàn thành tốt Luận văn Trước hết em xin gửi lời cảm ơn chân thành đến thầy cô trường ĐH Công nghệ thông tin Truyền thông – ĐH Thái Nguyên, thầy cô giáo sư, tiến sỹ công tác Viện Công nghệ thông tin truyền đạt cho em kiến thức quý báu suốt thời gian học thạc sỹ trường Đặc biệt, em xin gửi lời cảm ơn sâu sắc tới thầy TS Trần Đức Sự Giám đốc Trung tâm Công nghệ thông tin & Giám sát an ninh mạng – Ban yếu phủ tận tình hướng dẫn bảo em suốt thời gian làm luận văn Bên cạnh em xin gửi lời cảm ơn tới thầy, anh chị khoa An toàn thông tin – Học viện Kỹ thuật mật mã, nhiệt tình giải đáp thắc mắc, tạo điều kiện cho em có tài liệu hữu ích, tham gia thực nghiệm Module mô hình thử nghiệm trường Cuối cùng, xin cảm ơn gia đình, bạn bè động viên, giúp đỡ suốt thời gian học tập hoàn thành Luận văn Do thời gian, kiến thức trang thiết bị hạn chế, chưa thực nghiệm nhiều kết đạt mang tính chất thử nghiệm Em mong nhận góp ý từ phía thầy cô, bạn bè để luận văn em hoàn thiện Thái Nguyên, tháng 09 năm 2014 Học viên VŨ DUY TUÂN LỜI CAM ĐOAN Để hoàn thành luận văn thời gian quy định đáp ứng mục tiêu đặt ra, thân em cố gắng nghiên cứu, học tập làm việc Trong trình làm luận văn em có tham khảo số tài liệu (đã nêu phần “TÀI LIỆU THAM KHẢO” không chép nội dung từ luận văn khác Toàn luận văn thân nghiên cứu, xây dựng nên định hướng, hướng dẫn thầy hướng dẫn Em xin cam đoan lời đúng, thông tin sai lệch em xin hoàn toàn chịu trách nhiệm trước thầy giáo hướng dẫn nhà trường Thái nguyên, tháng năm 2014 Học viên VŨ DUY TUÂN DANH MỤC CÁC TỪ VIẾT TẮT IETF : Internet Engineering Task Force RFC : Request for Comments IDS : Intrusion Detection System ARP : Address Resolution Protocol GSANM : Giám sát an ninh mạng CSDL : Cơ sở liệu OSSIM : Open Source Security Information Management NIDS : Network-based IDS HIDS : Host based IDS CPU Central Processing Unit DANH MỤC CÁC HÌNH VẼ Hình 1.1: Mô hình triển khai hệ thống NIDS 10 Hình 1.2: Mô hình hệ thống HIDS 12 Hình 1.3 – Mô hình mạng phổ biến đơn vị vừa nhỏ 13 Hình 2.1: Mis-match so sánh vị trí j 17 Hình 2.2: Good-suffix shift, trường hợp u lại xuất P 17 Hình 2.3: Good-suffix shift, trường hợp suffix u xuất P 17 Hình 2.4: Dịch để ký tự b ăn khớp với văn 18 Hình 2.5: Dịch b không xuất P 18 Hình 2.6: Đồ thị hàm goto với từ khóa đầu vào 21 Hình 2.7: Hàm failure 22 Hình 2.8: Hàm ouput 24 Hình 2.9: Ví dụ hàm goto 25 Bảng 2.10: Ví dụ hàm failaure 25 Bảng 2.11: Ví dụ hàm output 25 Hình 3.1: Mô hình Module giám sát an ninh mạng 35 Hình 3.2: Các sở liệu Module giám sát an ninh mạng 42 Hình 3.3: Giao diện quản lý kiện Module giám sát an ninh mạng 59 Hình 3.4: Giao diện quản trị người dùng Module giám sát an ninh mạng 59 Hình 3.5: Mô hình thử nghiệm Module giám sát an ninh mạng 60 Hình 3.6: Attacker sử dụng chương trình DoSHTTP để công vào WebServer 62 Hình 3.7: Kiểm tra hoạt động CPU WebServer 62 Hình 3.8: Theo dõi gói tin vào WebServer sử dụng Wireshark 65 Hình 3.9: Xây dựng luật Snort phát công DoS qua giao diện Web 66 Hình 3.10: Màn hình cảnh báo công từ chối dịch vụ Module giám sát an ninh mạng 67 Hình 3.11: Sử dụng phần mềm Nmap dò quét cổng máy WebServer 68 Hình 3.12: Màn hình cảnh báo công dò quét Module giám sát an ninh mạng 68 Hình 3.13: Chức lưu trữ file giám sát Module giám sát an ninh mạng 69 Hình 3.14: Phân tích file Pcap sử dụng phần mềm Wireshark 69 MỤC LỤC LỜI NÓI ĐẦU 1 Lý chọn đề tài Mục tiêu nhiệm vụ nghiên cứu: Đối tượng phạm vi nghiên cứu Hướng nghiên cứu đề tài Bố cục đề tài Chương – TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG 1.1 Khái niệm 1.1.1 Giới thiệu chung 1.1.2 Một số khái niệm liên quan 1.1.2.1 Thu thập liệu 1.1.2.2 Phân tích liệu 1.1.2.3 Phát phản ứng 1.2 Giám sát mạng 1.2.1 Khái niệm 1.2.2 Cách thức hoạt động mục đích ứng dụng 1.3 Hệ thống phát xâm nhập 1.3.1 Giới thiệu chung 1.3.2 Nguyên lý hoạt động 1.3.2.1 Giám sát mạng (monotoring) 1.3.2.2 Phân tích lưu thông (Analyzing) 1.3.2.3 Liên lạc 1.3.2.4 Cảnh báo (Alert) 1.3.2.5 Phản ứng (Response) 1.4 Phân loại số kiểu giám sát 1.4.1 Giám sát toàn mạng (NIDS) 1.4.2 Giám sát máy tính đơn lẻ (HIDS) 11 1.5 Mô hình mạng thực tế 13 Chương – KỸ THUẬT XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG 15 2.1 Kỹ thuật phát dựa dấu hiệu thông qua đối sánh mẫu 15 2.1.1 Giới thiệu toán đối sánh mẫu 15 2.1.2 Phát biểu toán 16 2.1.3 Thuật toán Boyer-Moore 16 2.1.4 Thuật toán Aho-Corasick 18 2.1.4.1 Định nghĩa 18 2.1.4.2 Xây dựng máy đối sánh mẫu hữu hạn trạng thái từ tập mẫu phù hợp với từ khóa 19 2.1.4.3 Sử dụng máy hữu hạn trạng thái để xác định vị trí mẫu văn 24 2.1.4.4 Độ phức tạp thuật toán 27 2.1.5 So sánh thuật toán 27 2.2 Kỹ thuật phát dựa bất thường 28 2.2.1 Định nghĩa 28 2.2.2 Dữ liệu phát bất thường 29 2.2.3 Kỹ thuật 31 2.2.4 Phương pháp 32 Kết chương: 34 Chương - XÂY DỰNG MODULE GIÁM SÁT AN NINH MẠNG DỰA TRÊN PHẦN MỀM SNORT 35 3.1 Mô hình Module giám sát an ninh mạng 35 3.1.1 Mô hình tổng quan 35 3.1.2 Mô hình chi tiết 36 3.1.2.1 Máy trinh sát 36 3.1.2.2 Máy thu thập 41 3.1.2.3 Cơ sở liệu 41 3.1.2.4 Phân tích 43 3.1.2.5 Website 46 3.2 Triển khai xây dựng Module giám sát an ninh mạng 46 3.2.1 Lựa chọn phần mềm 46 3.2.1.1 Giới thiệu Snort 46 3.2.1.2 Các thành phần Snort 46 3.2.1.3 Các chế độ hoạt động Snort 49 3.2.1.4 Các tùy chọn việc sử dụng Snort 53 3.2.1.5 Ưu điểm, hạn chế Snort 55 3.2.2 Phân tích yêu cầu chức Module 55 3.2.3 Phân tích thiết kế 56 3.2.4 Tích hợp tính quản lý luật Snort vào Module giám sát an ninh mạng 57 3.2.5 Xây dựng thành phần quản trị tập trung 58 3.3 Vận hành thử nghiệm 59 3.3.1 Mô hình thử nghiệm 59 3.3.2 Tấn công từ chối dịch vụ 61 3.3.3 Tấn công thăm dò 67 3.3.4 Đánh giá kết 69 KẾT LUẬN 71 TÀI LIỆU THAM KHẢO 73 LỜI NÓI ĐẦU Lý chọn đề tài Ngày với phát triển mạnh mẽ khoa học kỹ thuật nói chung công nghệ thông tin nói riêng, việc ứng dụng công nghệ thông tin, Internet ngày trở lên phổ biến đời sống ngày hầu hết lĩnh vực Việc trao đổi, quản lý, khai thác thông tin Internet trở thành xu hướng tất yếu xã hội đại Song song với phát triển hàng loạt nguy an toàn thông tin Vấn đề đảm bảo an toàn thông tin quan, tổ chức đặt lên hàng đầu Tuy nhiên hàng năm vụ công mạng liên tục gia tăng mà chưa có biện pháp khắc phục triệt để Cách tốt để đảm bảo cho hệ thống mạng an toàn chủ động phát công đưa phản ứng thích hợp Để làm cần phải có hệ thống có khả giám sát toàn hành động vào bên hệ thống mạng cần bảo vệ, có vấn đề công cụ bảo vệ hệ thống triển khai nước ta hầu hết mua nước với giá thành cao khó khăn lớn đơn vị vừa nhỏ Mặt khác sản phẩm thương mại nên công nghệ kỹ thuật hệ thống luôn giữ kín phát sinh dạng công mới, nhà quản trị nước tự phát triển mở rộng Từ phát sinh nhu cầu cần có hệ thống hỗ trợ giám sát bảo vệ hệ thống mạng cách hiệu quả, nhà quản trị chủ động mở rộng hay phát triển cho phù hợp với công mạng kiểu Đó lý mà chọn đề tài “ Nghiên cứu xây dựng Module giám sát an ninh mạng dựa mã nguồn mở Snort” hướng dẫn TS Trần Đức Sự Mục tiêu nhiệm vụ nghiên cứu: Mục tiêu mà đề tài tìm hiểu, nghiên cứu hệ thống phát xâm nhập, phân tích đưa giải pháp hợp lý Nghiêm cứu xây dựng chương trình hỗ trợ phát xâm nhập dựa phần mềm mã nguồn mở Snort công cụ mã nguồn mở phát triển hỗ trợ cho hệ thống Đối tượng phạm vi nghiên cứu - Các kỹ thuật phương pháp giám sát hệ thống mạng; - Các kỹ thuật xâm nhập trái phép vào mạng máy tính; - Cơ sở, kiến trúc hệ thống phát xâm nhập; - Hệ thống phát xâm nhập Snort Hướng nghiên cứu đề tài - Hiểu kỹ thuật khả xâm nhập trái phép vào hệ thống mạng máy tính; - Tìm hiểu kỹ thuật phương pháp giá sát xâm nhập trái phép trên; - Xây dựng Modul giám sát xâm nhập trái phép Bố cục đề tài Sau phần mở đầu, nội dung luận văn vào tìm hiểu phương pháp công mạng, tổng quan hệ thống phát xâm nhập (IDS), số phần mềm mã nguồn mở thường sử dụng hệ thống IDS, nghiên cứu xây dựng chương trình ứng dụng sử dụng phần mềm Snort Luận văn gồm chương sau: Chương 1: Tổng quan an ninh mạng giám sát an ninh mạng: khái quát tình hình an ninh mạng, sâu tìm hiểu hệ thống phát xâm nhập, phân tích mô hình giám sát phổ biến áp dụng Chương 2: Kỹ thuật xây dựng hệ thống giám sát an ninh: Phân tích số kỹ thuật giám sát, số phần mềm mã nguồn mở thường ứng dụng việc hỗ trợ giám sát, sâu vào phân tích phần mềm mã nguồn mở Snort Chương 3: Xây dựng module giám sát an ninh mạng: Đưa mô hình hệ thống giám sát, phân tích, thiết kế xây dựng module tích hợp mô hình sử dụng phần mềm mã nguồn mở Snort Cuối phần đánh giá, kết luận hướng phát triển đề tài Chương – TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG 1.1 Khái niệm 1.1.1 Giới thiệu chung Internet phát triển, kết nối toàn giới mang lại thuận tiện cho tất người bên cạnh tiềm ẩn nguy đe dọa đến mặt đời sống xã hội việc đánh cắp thông tin, truy cập hệ thống trái phép, công từ chối dịch vụ nguy mà người dùng Internet phải đương đầu Rất nhiều giải pháp an ninh mạng đưa có đóng góp to lớn việc đảm bảo an toàn thông tin, ví dụ như: Firewall ngăn chặn kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền liệu, chương trình diệt virus với sở liệu cập nhật thường xuyên… Tuy nhiên thực tế cho thấy thụ động trước công đặc biệt công kiểu yêu cầu đặt cần có hệ thống phát cảnh báo sớm trước công Hệ thống phát xâm nhập xem lựa chọn tối ưu 1.1.2 Một số khái niệm liên quan 1.1.2.1 Thu thập liệu Thu thập liệu hệ thống phần mềm hay ứng dụng thu thập nhật ký, gói tin, vào mạng Đây bước việc giám sát 1.1.2.2 Phân tích liệu Việc phân tích liệu công việc người Các phần mềm đưa kết luận từ liệu mà chúng thu thập được, người phải xem xét hoàn cảnh để đưa yêu cầu bước Một số sản phẩm hoàn toàn tùy biến cho phù hợp với hệ thống mà giám sát Đây trách nhiệm người phát triển họ tạo sản phẩm đáp ứng hết yêu cầu khác khách hàng Có khả thay đổi mã nguồn tùy vào người dùng cuối, nên sản phẩm mã nguồn mở Hình 3.3: Giao diện quản lý kiện Module giám sát an ninh mạng Hình 3.4: Giao diện quản trị người dùng Module giám sát an ninh mạng 3.3 Vận hành thử nghiệm 3.3.1 Mô hình thử nghiệm Chúng áp dụng Module giám sát an ninh mạng để thử giám sát hệ thống mạng theo mô hình: 59 Hình 3.5: Mô hình thử nghiệm Module giám sát an ninh mạng Mô tả mô hình: - Hệ thống mạng bên chia làm khu vực với dải địa mạng sau: + VLAN 1: 192.168.1.0/24 + VLAN 2: 192.168.2.0/24 + VLAN 3: 192.168.3.0/24 + WebServer: 192.168.199.132 - Module giám sát an ninh mạng kết nối tới cổng Switch để thực giám sát toàn gói tin qua Switch - Hệ thống mạng bên kết nối tới Internet thông qua Firewall ASA 5520 Router - Cụ thể máy sau: + Máy Attacker: Nằm vùng VLAN 1, địa IP: 192.168.1.101 Cài đặt hệ điều hành Windows Cài đặt phần mềm DosHTTP, Nmap + Máy WebServer: 60 Địa IP: 192.168.199.132 Cài đặt hệ điều hành Windows Server 2003 SP2 Cài đặt phần mềm XAMPP – Apache làm WebServer Cài đặt Wireshark + Module giám sát an ninh mạng: Địa IP: 192.168.199.130 Sử dụng Module giám sát an ninh mạng xây dựng Kịch công: Máy Attacker thực phương pháp công vào WebServer: - Tấn công từ chối dịch vụ (Sử dụng phần mềm DoSHTTP) - Tấn công thăm dò (Sử dụng phần mềm Nmap) Chúng ta theo dõi cảnh báo qua giao diện Web Module giám sát an ninh mạng 3.3.2 Tấn công từ chối dịch vụ Chúng tiến hành thử nghiệm khả phát công từ chối dịch vụ Module giám sát an ninh mạng phần mềm kiểm thử DosHTTP Đây phương thức công mà Snort chưa có rule để phát công Do trước thử nghiệm Module giám sát an ninh mạng, tiến hành phân tích công viết thêm rule cho Snort - Tại máy Attacker: Sử dụng phần mềm DoSHTTP để công vào WebServer 61 Hình 3.6: Attacker sử dụng chương trình DoSHTTP để công vào WebServer - Tại máy WebServer: Đột nhiên thấy máy chạy chậm khó đăng nhập vào Website Ta tiến hành kiểm tra sau: Bật Task Manager để kiểm tra hoạt động CPU: Hình 3.7: Kiểm tra hoạt động CPU WebServer 62 Chúng ta thấy CPU load cao lưu lượng mạng vào cao Chứng tỏ hệ thống có vấn đề Tiếp theo, ta đặt Wireshark để lắng nghe thông tin vào WebServer để phân tích: Xem thử log webserver Apache thấy có nhiều request bất thường đến từ IP 192.168.1.101 Cụ thể là máy gửi GET nhiều thời điểm Có thể nhận thấy số GET giây (22:32:40) 22 lần, điều bất thường với người dùng bình thường, cú GET vào link vào http://192.168.1.199.132 /xampp 192.168.1.101 - - [20/Jun/2014:22:32:36 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:40 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:40 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 63 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 64 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” Như có khả cao bị công DoS từ máy tính 192.168.1.101 Chúng ta cần bắt gói tin Wireshark để kiếm tra thông tin tìm mẫu để viết luật cho Snort Hình 3.8: Theo dõi gói tin vào WebServer sử dụng Wireshark 65 Ta nhận thấy có nhiều kết nối TCP tạo trước có cú HTTP GET từ IP 192.168.1.101 Như nên chặn kết nối bắt tay TCP trước để tránh tạo cú HTTP GET sau Có thể xem hình thức công gửi nhiều HTTP Request liên tục thời điểm để làm giảm hiệu hệ thống hay làm giảm hiệu mạng Vì viết luật tạo ngưỡng để phát kết nối TCP nhiều thời điểm từ máy Trong mô hình Demo tạm thời coi có máy truy cập Webserver thôi, tạo luật sau: alert tcp any any -> 192.168.199.132 80 (msg:”Co nguoi dang DoS”; flow:stateless; flags:S; threshold:type both, track by_src, count 10, seconds 1; sid:20090011;) Với ý nghĩa sau: Từ IP mà vào WebServer 192.168.199.132 mà có số gói tin TCP khởi tạo với cờ S gửi đến 10 gói giây sinh cảnh báo Giao diện ghi luật : Hình 3.9: Xây dựng luật Snort phát công DoS qua giao diện Web Sau áp luật vào hệ thống chạy thử nghiệm thấy có công hệ thống sinh cảnh báo sau: 66 Hình 3.10: Màn hình cảnh báo công từ chối dịch vụ Module giám sát an ninh mạng Như sinh cảnh báo công DoS 3.3.3 Tấn công thăm dò Chúng thử khả phát công thăm dò sử dụng phần mềm quét cổng Nmap vào WebServer Mặc định Hệ thống Giám sát An ninh mạng có plugin portscan tốt, có nhận dạng hầu hết kiểm tham dò, demo sử dụng module Module khai báo file snort.eth0.conf Nội dung sau: preprocessor sfportscan: proto { all } \ memcap { 10000000 } \ sense_level { low } - Trên máy Attacker: Sử dụng phần mềm Nmap để dò quét cổng máy WebServer: 67 Hình 3.11: Sử dụng phần mềm Nmap dò quét cổng máy WebServer - Theo dõi qua giao diện Web Module giám sát an ninh mạng: Hình 3.12: Màn hình cảnh báo công dò quét Module giám sát an ninh mạng Như phát hành động quét cổng kẻ công, từ tải gói tin sinh cảnh báo xem chi tiết cách kẻ công quét cổng để từ tìm cách đối phó (dùng tưởng lửa, hay tìm cách phản ứng) Tải file Pcap mở Wireshark 68 Hình 3.13: Chức lưu trữ file giám sát Module giám sát an ninh mạng Hình 3.14: Phân tích file Pcap sử dụng phần mềm Wireshark Nhận thấy kẻ công sử dụng cách quét cổng gửi gói tin có cờ SYN liên tục với dải port đến máy WebServer, nắm hành vi quét cổng từ tìm cách chống lại firewall … 3.3.4 Đánh giá kết Như sau tiến hành thử nghiệm chức Snort chạy hệ điều hành nhân Linux tạo thành Module giám sát an ninh mạng theo dõi hoạt động thấy Module giám sát an ninh mạng hoạt động ổn định, không xảy 69 tượng chậm hay xung đột phần mềm Đồng thời Module giám sát an ninh mạng thực chức như: - Giám sát hầu hết gói tin mà không làm giảm hiệu suất hoạt động hệ thống mạng - Phát hành vi bất thường - Thống kê luồng lưu thông mạng - Trong suốt với người sử dụng - Dễ dàng vận hành - Có thể quản trị qua giao diện Website - Thích ứng nhanh có thay đổi từ phía người quản trị: Thêm luật, thay đổi cấu hình, chỉnh sửa luật, … Module thử nghiệm hai phương pháp công cho kết cảnh báo xác Các kết cảnh báo hiển thị nhanh theo thời gian thực giao diện Website Thành phần quản trị cập nhật luật cho Snort hoạt động ổn định, hoạt động sau người quản trị tạo luật mà không cần khởi động lại toàn Module giám sát 70 KẾT LUẬN Trong thời đại công nghệ thông tin ngày phát triển nay, vấn đề đảm bảo an toàn thông tin đặt hàng đầu với quan, doanh nghiệp Và hệ thống giám sát an ninh mạng đóng vai trò trọng tâm trình bảo vệ Hệ thống giám sát an ninh mạng giúp cho người quản trị có nhìn tổng thể hệ thống mạng mình, mối nguy hại xảy đến đồng thời có đưa biện pháp phòng tránh mối nguy hại gây hậu nghiêm trọng cho hệ thống mạng Tuy nhiên, để xây dựng hệ thống giám sát an ninh mạng công việc dễ dàng Nó đòi hỏi phải có hiểu biết sâu rộng phần mềm, kiến thức hệ thống, lập trình, kiến thức an toàn thông tin Sau thời gian dài chuẩn bị nỗ lực nghiêm túc làm việc, hướng dẫn tận tình TS Trần Đức Sự giúp đỡ tận tình thầy cô giáo, kỹ sư Khoa An toàn thông tin – Học viện Kỹ thuật mật mã giúp hoàn thành nội dung nghiên cứu mà đề tài đặt giải vấn đề sau: - Tìm hiểu hệ thống giám sát an ninh mạng, thành phần chức hệ thống giám sát an ninh mạng - Nghiên cứu, tìm hiểu phần mềm mã nguồn mở với chức khác - Xây dựng thành công Module giám sát an ninh mạng kết hợp tính phần mềm mã nguồn mở nghiên cứu để phát triển Việc nghiên cứu hoàn thành đề tài xây dựng Module giám sát an ninh mạng dựa phần mềm mã nguồn mở Snort mang lại cho nhiều phương pháp, kỹ thuật tích hợp xây dựng sản phẩm giám sát an ninh mạng, trực tiếp thử nghiệm mô hình học viện Kỹ thuật mật mã Tuy nhiên, khuôn khổ nội dung, đề tài xây dựng Module giám sát hai loại công: công từ chối dịch vụ công thăm dò Để xây dựng hệ thống giám sát an ninh mạng tương đương với 71 sản phẩm thương mại hãng, đề tài cần phải tích hợp hoàn chỉnh, bổ sung thêm chức hướng phát triển nghiên cứu đề tài cụ thể là: - Phát thêm nhiều kiểu công khác - Có thêm chức tự động phản ứng trước công - Xây dựng giao diện quản trị trực quan với người sử dụng, trích xuất báo cáo dạng văn bản: Word, PDF, … - Tích hợp thêm nhiều phần mềm khác với nhiều tính hơn, giúp cho hệ thống giám sát an ninh mạng giám sát hệ thống chặt chẽ - Hiện trái tim Module giám sát an ninh mạng Snort với khả phát xâm nhập dựa vào mẫu sẵn có Vì kiểu công phát Do cần xây dựng thêm chức phân tích dựa vào kiện bất thường phân tích dựa giao thức để phát công cách xác Hy vọng thời gian tới, nghiên cứu sâu để hoàn thiện phát triển đề tài thành sản phẩm ứng dụng vào thực tiễn 72 TÀI LIỆU THAM KHẢO [1] VNCERT (2007), “Nghiên cứu xây dựng mô hình hệ thống quản lý An toàn Internet theo cấu trúc phân bổ”, Hà Nội [2] Học viện kỹ thuật mật mã (2008), “Bộ giao thức TCP/IP”, Học viện kỹ thuật mật mã, Hà Nội [3] Vũ Bảo Thạch (2006), “Giáo trình Thực hành An toàn Mạng”, Học viện mật mã, Hà Nội [4] Richard Bejtlich (2004), “The Tao Of Network Security Monitoring”, The United States of America [5] Website: http://www.alienvault.com [6] Website: http://www.snort.org/ [7] Website: http://www.securityfocus.com 73 [...]... dụng trường hợp hệ thống mạng của mình một cách hợp lý nhất Chương tiếp theo sẽ đi sâu chi tiết hơn về phân tích một số kỹ thuật được áp dụng trong việc thiết kế một hệ thống giám sát an ninh mạng 14 Chương 2 – KỸ THUẬT XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG Một hệ thống giám sát an ninh mạng hoạt động dựa trên việc tìm kiếm, phát hiện các cuộc xâm nhập trái phép vào hệ thống mạng để đưa ra những phân... dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập 1.4.1 Giám sát toàn bộ mạng (NIDS) Trong hình thức này NIDS xác định các truy cập trái phép bằng việc giám sát các hoạt động mạng được tiến hành trên toàn bộ các phân mạng của hệ thống, NIDS sử dụng bộ dò và bộ cảm biến cài đặt trên toàn mạng Những bộ dò này theo dõi trên mạng nhằm tìm... trọn vẹn được 1.2 Giám sát mạng 1.2.1 Khái niệm Giám sát mạng là việc giám sát, theo dõi và ghi nhận những luồng dữ liệu mạng, từ đó sử dụng làm tư liệu để phân tích mỗi khi có sự cố xảy ra Trong các hệ thống thông tin, việc khắc phục các sự cố thường tốn một chi phí rất lớn vì vậy, giải pháp giám sát mạng để phát hiện sớm các sự cố là một sự lựa chọn được nhiều người ưa thích nhằm mang lại hiệu quả... thông điệp báo lỗi trên hệ thống máy chủ Trong khi những đầu dò của mạng có thể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tấn công có thành công hay không HIDS thường được cài đặt trên một máy tính nhất định Thay vì giám sát hoạt động của một Network segment, HIDS chỉ giám sát các hoạt động trên một máy tính Nó thường được đặt trên các Host xung... khó khăn khi phát hiện các cuộc tấn công mạng từ các gói tin phân mảnh Các gói tin định dạng sai này có thể làm cho NIDS hoạt động sai 1.4.2 Giám sát máy tính đơn lẻ (HIDS) Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo dõi OS, những cuộc... thống giám sát an ninh nên không nhận biết được các cuộc tấn công + Dễ lây lan virus trên diện rộng, và từ máy Client lây sang máy trạm lên sever + Không theo dõi, quản lý được các máy client dùng vào việc gì Kết chương: Như vậy trong nội dung chương 1 đã chỉ ra được thực trạng an toàn thông tin hiện nay, yêu cầu cấp thiết của thực tế, nêu và làm rõ một số khái niệm, phân loại được các mô hình giám sát. .. phải 4 Một hệ thống giám sát mạng thường có các thành phần sau: Máy trính sát (Sensor): là những máy trạm làm nhiệm vụ trinh sát Thành phần này sẽ tiếp cận, tương tác với các hệ thống và dịch vụ cần giám sát để nhận biết trạng thái của những dịch vụ đó Trong quá trình triển khai hệ thống, thành phần này sẽ được phân tán nằm rải rác nhiều nơi trên mạng để thu thập thông tin từ những nguồn khác nhau như... 1.3.2.1 Giám sát mạng (monotoring) Giám sát mạng là quá trình thu thập thông tin về lưu thông trên mạng Việc này thông thường được thực hiện bằng các Sensor Yêu cầu đòi hỏi đối với giai đoạn này là có được thông tin đầy đủ và toàn vẹn về tình hình mạng Đây cũng là một vấn đề khó khăn, bởi vì nếu theo dõi toàn bộ thông tin thì sẽ tốn khá nhiều tài nguyên, đồng thời gây ra nguy cơ tắc nghẽn mạng Nên cần... trong hệ thống giám sát mạng là các hệ thống, các dịch vụ cần giám sát có thể khác nhau Điều này đồng nghĩa với việc thông tin thu được cũng có nhiều dạng khác nhau Để có được thông tin một cách đồng nhất nhằm mục đích xử lý và thống kê, cần có một thành phần làm nhiệm vụ chuẩn hóa thông tin Máy thu thập sẽ đọc những thông tin thu được từ các máy trinh sát và chuẩn hóa thông tin dựa trên những quy... giám sát Các dữ liệu ở đây đã được chuẩn hóa nên có thể sử dụng để tính toán các số liệu thống kê trên toàn hệ thống Công cụ phân tích (Analysis tool): Thành phần này sẽ đọc các dữ liệu từ cơ sở dữ liệu trung tâm và tính toán để tạo ra bản báo cáo số liệu thống kê trên toàn hệ thống 1.2.2 Cách thức hoạt động và mục đích ứng dụng Mỗi máy trinh sát sẽ có một danh sách những đối tượng mà máy trinh sát