i MỤC LỤC Trang LỜI CẢM ƠN LỜI CAM ĐOAN MỤC LỤC i DANH MỤC CÁC KÝ HIỆU VÀ CÁC CHỮ VIẾT TẮT iv DANH MỤC BẢNG v DANH MỤC HÌNH VẼ vi DANH MỤC BIỂU ĐỒ vii MỞ ĐẦU 1 Lý chọn đề tài Mục tiêu nghiên cứu 3 Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu Ý nghĩa khoa học thực tiễn đề tài Bố cục luận văn CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT WEBSITE/PORTAL VÀ CÁC GIẢI PHÁP NHẬN DẠNG, NGĂN CHẶN TẤN CÔNG ĐỐI VỚI ỨNG DỤNG WEB 1.1 Vấn đề bảo mật ứng dụng Website/Portal 1.1.1 Khái niệm ứng dụng Web 1.1.2 Vấn đề bảo mật ứng dụng Web 1.1.3 Danh sách rủi ro bảo mật cho ứng dụng web OWASP Top 10 11 1.2 Các giải pháp nhận dạng công công website 12 1.2.1 Sự phát triển nhận dạng công ứng dụng web 12 1.2.2 Các phương pháp nhận dạng công ứng dụng web 13 Tổng quan WAF 16 1.3.1 Khái niệm WAF 16 1.3.2 Chức WAF 18 CHƯƠNG 2: CÁC MÔ HÌNH NHẬN DẠNG TẤN CÔNG ỨNG DỤNG WEB DỰA TRÊN SỰ BẤT THƯỜNG 23 2.1 Nhận dạng bất thường theo phương pháp phân tích liệu đầu vào 23 2.1.1 Nhận dạng bất thường yêu cầu đầu vào 23 2.1.2 Nhận dạng bất thường dãy yêu cầu đầu vào 29 ii 2.2 Nhận dạng bất thường theo phương pháp phân tích liệu đầu 31 2.2.1 Nhận dạng bất thường cấu trúc header 31 2.2.2 Nhận dạng bất thường kích thước trang web thay đổi 32 2.3 Nhận dạng bất thường theo hành vi duyệt web người dùng 33 2.4 Nhận xét hướng tiếp cận luận văn 33 CHƯƠNG 3: GIỚI THIỆU MÔ HÌNH MARKOV ẨN 35 3.1 Giới thiệu mô hình Markov ẩn 35 3.2 Các toán mô hình Markov ẩn 39 3.3 Huấn luyện mô hình HMM thông qua nhiều chuỗi liệu quan sát 45 3.4 Mô hình sử dụng HMM để tìm giá trị xác suất tốt chuỗi liệu quan sát đầu vào 48 3.4 Nhận xét nội dung tiếp cận luận văn 49 CHƯƠNG 4: ỨNG DỤNG MÔ HÌNH MARKOV ẨN TRONG NHẬN DẠNG TRUY VẤN BẤT THƯỜNG 50 4.1 Đề xuất mô hình Markov ẩn ứng dụng vào nhận dạng nhận dạng bất thường ứng dụng web 50 4.2 Xây dựng mô hình Markov ẩn 53 4.2.1 Huấn luyện HMM 53 4.2.2 Tính giá trị xác xuất truy vấn 55 CHƯƠNG 5: MÔ HÌNH VÀ CHỨC NĂNG CỦA IWAF 57 5.1 Đặc điểm IWAF 57 5.2 Các chức IWAF 57 5.2.1 Chức kiểm tra kết nối 57 5.2.2 Chức xử lý 58 5.2.3 Mô hình hoạt động IWAF 58 5.3 Xây dựng IWAF 60 CHƯƠNG 6: KẾT QUẢ CÀI ĐẶT PHẦN MỀM, THỬ NGHIỆM, PHÂN TÍCH VÀ ĐÁNH GIÁ 63 6.1 Cài đặt phần mềm IWAF 63 6.2 Thử nghiệm phân tích mô hình tổ hợp HMM 63 6.2.1 Mẫu liệu thử nghiệm phương án thử nghiệm 63 6.2.2 Phân tích kết thử nghiệm 65 6.2.3 Đánh giá kết thử nghiệm 71 iii 6.3 Thử nghiệm phân tích sử dụng mô hình tổ hợp HMM, HMMs để nhận dạng bất thường thuộc tính đầu vào 73 6.3.1 Mẫu liệu thử nghiệm, phương án thử nghiệm phân tích công 73 6.3.2 Đánh giá kết thử nghiệm khả phát truy vấn công tổ hợp HMM, HMMs 77 KẾT LUẬN 79 TÀI LIỆU THAM KHẢO PHỤ LỤC iv DANH MỤC CÁC KÝ HIỆU VÀ CÁC CHỮ VIẾT TẮT Tử viết tắt HMM HMMs HTTP Tiếng Anh Hidden Markov Model Hidden Markov Model Ensemble Hypertext Transfer Protocol HIDS Host-based intrusion detection system IDS IWAF Intrusion detection system Intelligent web application firewall OWASP Open Web Application Security Project NIDS Network-based intrusion detection system Web application firewall WAF Tiếng Việt Mô hình Markov ẩn Tổ hợp mô hình Markov ẩn Giao thức truyền tải siêu văn Hệ thống phát xâm nhập máy chủ Hệ thống phát xâm nhập Tường lửa ứn dụng web thông minh Dự án mở bảo mật ứng dụng Web Hệ thống phát xâm nhập mạng Tường lửa ứn dụng web v DANH MỤC BẢNG Bảng 4.1 Các giá trị dung sai để tìm ngưỡng hội tụ 55 Bảng 4.2 Danh sách giá trị ngưỡng ứng dụng 55 Bảng 6.1 Danh sách phương án thử nghiệm huấn luyện HMM, HMMs 64 Bảng 6.2 Mẫu công thử nghiệm 73 Bảng 6.3 Tỷ lệ nhận dạng sai loại công tương ứng trường hợp 1, cách 74 Bảng 6.4 Tỷ lệ nhận dạng sai loại công tương ứng trường hợp 1, cách 75 Bảng 6.5 Tỷ lệ nhận dạng sai loại công tương ứng trường hợp 2, cách 76 Bảng 6.6 Tỷ lệ nhận dạng sai loại công tương ứng trường hợp 2, cách 77 vi DANH MỤC HÌNH VẼ Hình 1.1 Mô hình hoạt động ứng dụng web Hình 1.2 Mô hình chi tiết hoạt động ứng dụng web Hình 1.3 Đánh giá Gartner công từ chối dịch vụ ứng dụng năm 2013 Hình 1.4 Các bước công vào ứng dụng web Hình 1.5 Hình ảnh Vietnamnet.vn máy tính thay đổi tiêu đề HTTP thành thiết bị di động IPAD 10 Hình 1.6 Giao diện trang web vietnamnet.vn sau thay đổi 10 Hình 1.7 Phương pháp phát xâm nhập công ứng dụng web 13 Hình 1.8 Mô hình network-based WAF 17 Hình 1.9 Mô hình host-based WAF 17 Hình 1.10 Mô hình quan hệ sản phấm WAF 18 Hình 2.1 Cấu trúc truy vấn ứng dụng web 23 Hình 3.1 Mô hình Markov trạng thái 35 Hình 3.2 Mô hình Markov ẩn trạng thái 37 Hình 3.3 Hệ thống bình - cầu 38 Hình 3.4 Chuỗi Q tối ưu cục 42 Hình 4.2 thông tin chi tiết lổ hỏng ứng dụng Vtiger CRM ngày 07/8/2013 cách điền giá trị mã lỗi vào giá trị onlyforuser 51 Hình 4.3 Báo cáo kỹ thuật nhận dạng bất thường dựa ICD 52 Hình 4.4 mô hình chức nhận dạng bất thường sử dụng HMM 53 Hình 5.1 Mô hình hoạt động IWAF 59 Hình 5.2 Sơ đồ xử lý modsecurity 61 vii DANH MỤC BIỂU ĐỒ Biểu đồ 6.1 So sánh chiều dài dạng Effective Standard 65 Biểu đồ 6.2 So sánh chiều dài dạng Effective Standard 65 Biểu đồ 6.3 So sánh chiều dài dạng Effective Standard 66 Biểu đồ 6.4 So sánh chiều dài dạng Effective Standard 67 Biểu đồ 6.5 So sánh tổ hợp HMM ứng dụng post.php phương pháp huấn luyện 67 Biểu đồ 6.6 So sánh tổ hợp HMM ứng dụng edit-comments.php phương pháp huấn luyện 68 Biểu đồ 6.7 So sánh tổ hợp HMM ứng dụng wp-login.php phương pháp huấn luyện 68 Biểu đồ 6.8 So sánh tổ hợp HMM ứng dụng post.php phương pháp huấn luyện 69 Biểu đồ 6.9 So sánh tổ hợp HMM ứng dụng edit-comments.php phương pháp huấn luyện 69 Biểu đồ 6.10 So sánh tổ hợp HMM ứng dụng wp-login.php phương pháp huấn luyện 70 Biểu đồ 6.11 So sánh phương pháp huấn luyện ứng dụng post.php 70 Biểu đồ 6.12 So sánh phương pháp huấn luyện ứng dụng edit-comments.ph 71 Biểu đồ 6.13 So sánh phương pháp huấn luyện ứng dụng wp-login.php 71 Biểu đồ 6.14 tỷ lệ nhận dạng sai false negatives trường hợp 1, cách 74 Biểu đồ 6.15 tỷ lệ nhận dạng sai false negatives trường hợp 1, cách 75 Biểu đồ 6.16 tỷ lệ nhận dạng sai false negatives trường hợp 2, cách 76 Biểu đồ 6.17 tỷ lệ nhận dạng sai false negatives trường hợp 2, cách 76 MỞ ĐẦU Lý chọn đề tài Trong năm qua, ngành Công nghệ thông tin truyền thông (CNTTTT) có bước tiến quan trọng, góp phần vào phát triển chung đất nước nhiều lĩnh vực văn hóa, kinh tế, xã hội CNTT-TT Việt Nam xác lập đồ CNTT-TT giới thông qua kết đánh giá hàng năm tổ chức quốc tế ITU (chỉ số phát triển CNTT-TT), diễn đàn kinh tế giới (chỉ số NRI mức độ hưởng lợi từ phát triển CNTT-TT) hay báo cáo xếp hạng Chính phủ điện tử Liên hợp quốc Sự phát triển tín hiệu đáng mừng việc sớm đưa Việt Nam trở thành nước mạnh CNTT Tuy nhiên, bên cạnh có nhiều lo ngại nguy làm ảnh hưởng tới an toàn thông tin ngày gia tăng Theo báo cáo ngày 25/5/2012 hội thảo "Xây dựng sách đảm bảo ATTT việc phát triển Chính phủ điện tử Việt Nam" VNISA (Hiệp hội An toàn thông tin Việt Nam) công bố kết khảo sát “Một số điểm yếu điển hình phổ biến trang web cổng thông tin điện tử” Kết cho thấy phát 3697 lỗi 100 website gov.vn (lựa chọn ngẫu nhiên, không phân biệt lĩnh vực hoạt động) Trong đó, 489 lỗi thuộc diện nghiêm trọng 396 lỗi mức cao (chiếm 23,9%), lại 2812 lỗi mức trung bình/yếu “Đáng ngại hơn, 80% website khảo sát biện pháp bảo mật tối thiểu khiến chúng dễ bị công” (theo ông Vũ Bảo Thạch - đại diện VNISA) Các công chủ yếu tập trung vào ứng dụng web phát triển dịch vụ thương mại điện tử với tảng ứng dụng web 2.0 Vấn đề bảo mật cho ứng dụng nói chung ứng dụng web nói riêng “mới mẻ” quan Nhà nhà nước, doanh nghiệp Việt Nam Để bảo vệ ứng dụng web cần thiết phải có Một tường lửa chuyên dụng Web Application Firewall (WAF) Một WAF làm nhiệm vụ sau: - Thiết lập sách cho kết nối người dùng HTTP thông qua việc chọn lọc nội dung cho máy chủ dịch vụ web - Bảo vệ hệ thống trước loại hình công phổ biến mạng như: Cross-site Scripting (XSS) SQL Injection - Ngoài việc động tác kiểm tra tường lửa thông thường, WAF kiểm tra sâu hơn, kiểm tra nội dung HTTP lớp ứng dụng Tuy nhiên, kinh phí để triển khai giải pháp đảm bảo an toàn, an ninh thông tin sử dụng giải pháp nước cung cấp không nhỏ Ví dụ: giá thiết bị Barracuda Web Application Firewall chưa tính đến chi phí trì hàng năm lên đến 9,500USD (nguồn http://www.ntsecurity.com/barracuda- products/barracuda-application-firewall.html) Hiện nay, đa số doanh nghiệp, quan thường đặt ứng dụng web nhà cung cấp dịch vụ Internet, ngoại trừ doanh nghiệp lớn như: công ty tài chính, ngân hàng, … có đầu tư hệ thống máy chủ riêng đặt công ty Tuy nhiên, qua khảo sát thực tế Datacenter nhà cung cấp dịch vụ gia tăng Internet như: VDC, FPT, Viettel, ODS, Netnam, … gần đơn vị cung cấp, hỗ trợ chức bảo mật ứng dụng web cho gói dịch vụ trực tuyến Thực tế Datacenter Sở KHCN Đồng Nai, doanh nghiệp thuê dịch vụ trực tuyến thường không quan tâm đến bảo mật ứng dụng web phần mềm tường lửa chuyên dùng, mà chủ yếu sử dụng tường lửa mặc định hệ điều hành máy chủ Theo tìm hiểu thị trường thiết bị bảo mật mạng Việt nam, đến chưa có sản phẩm bảo mật ứng dụng web nước phát triển thương mại hóa Ngoài ra, luận văn ngành công nghệ thông tin qua khảo sát website chuyên cung cấp luận văn như: thuvienluanvan.com, tailieu.vn, … không thấy đề tài, luận văn đề cập xây dựng WAFs mà dừng lại nêu “các phương pháp công cách thức phòng chống cho ứng dụng Web” Như vậy, việc đảm bảo an toàn, an ninh thông tin cho hệ thống ứng dụng web/cổng thông tin điện tử, giảm giá thành đầu tư thiết bị bảo mật không cần đội ngũ nhân viên có trình độ chuyên sâu cao việc nghiên cứu hệ thống tường lửa thông minh cho ứng dụng Web (IWAF) nhu cầu lớn thiết thực Mục tiêu nghiên cứu - Nghiên cứu, xây dựng hệ thống tường lửa thông minh cho ứng dụng Web nhằm đảm bảo an toàn, an ninh thông tin cho hệ thống ứng dụng web/cổng thông tin điện tử máy chủ đặt Sở Khoa học Công nghệ Đồng Nai - Ứng dụng học máy (Machine Learning) để xây dựng hệ thống IWAF Đối tượng phạm vi nghiên cứu - Tìm hiểu giao thức HTTP - Nghiên cứu lý thuyết mô hình triển khai hệ thống WAFs - Tìm hiểu mô hình nhận dạng công ứng dụng web dựa bất thường - Ứng dụng học máy (mô hình Markov ẩn – HMM) để xây dựng nhận biết công từ bên đưa sách ngăn chặn cách ly theo dõi tự động cho hệ thống IWAF nhằm đảm bảo an toàn, an ninh thông tin cho hệ thống ứng dụng web/cổng thông tin điện tử máy chủ đặt Sở Khoa học Công nghệ Đồng Nai Phương pháp nghiên cứu - Sử dụng thông tin, tài liệu trang web OWASP (Open Web Application Security Project) để nghiên cứu lý thuyết mô hình triển khai hệ thống WAFs - Sử dụng giáo trình “Introduction to Machine Learning” E Alpaydin, 2010 để nghiên cứu nội dung máy học - Sử dụng tài liệu “Prentice Hall The Apache Modules Book” Jan.2007 Nick Kew để nghiên cứu Apache Webserver - Sử dụng tài liệu “ModSecurity 2.5 Securing your Apache installation and web applications” Magnus Mischel; “Modsecurity Handbook complete guide to securing your Web applications” Ivan Ristic để nghiên cứu ModSecurity - Xây dựng hệ thống IWAF đưa vào thử nghiệm thực tế độc trình duyệt người bị công lợi dụng ăn cắp phiên truy cập để mạo danh hủy hoại trang web lừa người sử dụng đến trang web chứa mã độc khác A4 – Đối tượng Xảy người phát triển Bảo vệ chống lại thao tác tham chiếu trực để lộ tham chiếu đến ID sử dụng ảo hóa ID tiếp không an toàn đối tượng hệ bảo vệ tham số ẩn thống tập tin, thư mục hay khóa liệu Nếu hệ thống kiểm tra truy cập, kẻ công lợi dụng tham chiếu để truy cập liệu cách trái phép A5 – Sai sót cấu Một chế an ninh tốt cần Rất khó để xử lý Các WAF hỗ hình bảo mật phải định nghĩa hiệu trợ chức giám sát phản chỉnh an ninh triển hồi HTTP ứng dụng web khai cho ứng dụng, thống kê báo cáo cho máy chủ ứng dụng, máy chủ người quản lý web, máy chủ liệu Khi cấu hình Reverse Proxy ứng dụng tảng Tất WAF yêu cầu sư thiết lập nên dụng mã hóa kết nối dùng SSL định nghĩa, thực bảo ứng dụng web chưa cấu trì nhiều hệ thống hình/quên cấu hình không triển khai với thiết lập an toàn mặc định Các hiệu chỉnh bao gồm cập nhật phần mềm thư viện sử dụng ứng dụng A6 – Phơi bày Nhiều ứng dụng web không Chức kiểm tra dữ liệu nhạy cảm bảo vệ liệu nhạy cảm liệu đầu nhằm ngăn chặn lộ thẻ tín dụng, mã số thuế thông tin quan trọng như: thẻ mã xác thực bí mật tín dụng, mã số thuế, … bằng phương thức mã cách tiếp cận sử dụng chế hóa hay băm (hashing) Kẻ Blacklist công ăn cắp hay thay đổi liệu hạy cảm tiến hành hành vi trộm cắp, gian lận thẻ tín dụng, v.v A7 – Thiếu chức Gần tất ứng dụng Sử dụng thẻ trang (token page) điều khiển web kiểm tra quyền truy cập mã hóa URL để hạn chế truy cập cấp độ chức trước người dùng vào trang web thực chức mà có phân quyền truy cập thể nhìn thấy giao diện bảo vệ từ ứng dụng web người dùng Tuy nhiên, trả phía người dùng Do đó, ứng dụng cần phải thực ứng dụng hiển thị kiểm tra kiểm soát truy cập liên kết bảo vệ Với tương tự máy chủ số trang web, người dùng chức truy truy cập nội dung cập Nếu yêu cầu không liên kết WAF sử xác nhận, kẻ công dụng hướng tiếp cận giả mạo yêu cầu để Blacklist/Whitelist để giới hạn truy cập vào chức trái nội dung truy cập cho phép phép truy cập file *.html, *.php, gif chặn file *.exe, *.bat, *.com, A8 – Giả mạo yêu Kiểu công ép buộc Có thể ngăn chặn cầu (CSRF) trình duyệt web cách sử dụng page-token người dùng đăng nhập mã hóa URL gửi yêu cầu HTTP giả bao gồm cookie phiên truy cập thông tin tự động khác bao gồm thông tin đăng nhập đến ứng dụng web Điều này, cho phép kẻ công buộc trình duyệt web tạo yêu cầu đến ứng dụng web mà ứng dụng biết yêu cầu giả mạo kẻ công A9 - Sử dụng Các lổ hỏng có WAF sử dụng hướng thành phần tồn thành phần (thành phần tiếp cận Blacklist để cập nhật lỗ hổng phát triển ứng dụng) các dạng công dựa vào thư viện, framework, lổ hổng thành phần phát mô-đun phần mềm khác triển ứng dụng web Các thành phần gần luôn chạy với quyền cao hệ thống Vì vậy, bị khai thác, Các thành phần gây liệu nghiêm trọng Các ứng dụng sử dụng thành phần tồn lổ hỏng làm suy yếu phòng thủ hệ thống, cho phép loạt công ảnh hưởng đến hệ thống A10 – Chuyển Ứng dụng web thường Thực thi xác nhận đảm bảo hướng chuyển chuyển hướng, chuyển tiếp chức mà thường kết tiếp thiếu kiểm tra người dùng đến trang hợp với chuyển hướng web, website khác sử chuyển tiếp không phép dụng thông tin thiếu sử dụng phần tin cậy để xác định trang ứng dụng đích đến Nếu không kiểm tra cách cẩn thận, kẻ công lợi dụng để chuyển hướng nạn nhân đến trang web lừa đảo hay trang web chứa phần mềm độc hại, chuyển tiếp để truy cập trang trái phép DANH SÁCH MÃ TRẠNG THÁI HTTP TRẢ VỀ Nhóm Mã trạng thái Chi (Status Codes) tiết 100 Nội dung Information 100 Continue 101 Switching Protocols 200 Success 200 OK 201 Created 202 Accepted 203 Non-Authoritative Information 204 No Content 205 Reset Content 206 Partial Content 300 Redirection 300 Multiple Choices 301 Moved Permanently 302 Found 303 See Other 304 Not Modified 305 Use Proxy 307 Temporary Redirect 308 Client errors 400 Bad Request 401 Unauthorized 402 Payment Required 403 Forbidden 404 Not Found 405 Method Not Allowed 406 Not Acceptable 407 Proxy Authentication Required 408 Request Timeout 409 Conflict 410 Gone 411 Length Required 412 Precondition Failed 413 Request Entity Too Largeq 414 Request-URI Too Long 415 Unsupported Media Type 416 Request Range Not Satisfiable 417 Expectation Failed 500 Server errors 500 Internal Server Error 501 Not Implemented 502 Bad Gateway 503 Service Unavailable 504 Gateway Timeout 505 HTTP Version Not Supported DANH SÁCH CÁC CHỨC NĂNG CỦA PHƯƠNG PHÁP NHẬN DẠNG BẤT THƯỜNG DỰA TRÊN RULE-BASED STT Tên chức Phân tích liệu truy vấn 1.1 1.2 Nội dung chức chức dùng để đọc toàn thông tin liệu truy vấn nhằm đảm bảo không bỏ sót nguy công tiềm ẩn Request Body Access Truy cập vào phần body truy vấn với loại nội dung khác Thông thường có 02 loại nội dung phần request body là: + application/x-www-form-urlencoded: chuyển liệu tham số ứng dụng web + multipart/form-data: dùng để chuyển số lượng lớn liệu dạng nhị phân upload hay download tập tin Identifying Malformed Xác định dạng mẫu độc hại phần request Request Bodies body HTTP parameter pollution (HPP), chèn khoảng trắng vào tên tham số truyền đi, … 1.3 Normalizing Unicode 1.4 Identifying Use of Multiple Encodings Detecting Request Method Anomalies Detecting Invalid URI Data Detecting Request Header Anomalies Detecting Additional, Missing, Duplicate Parameters Detecting Parameter Payload Size Anomalies Detecting Parameter Character Class Anomalies Phân tích liệu phản hồi 1.5 1.6 1.7 1.8 1.9 1.10 2.1 Response Body Access Giải mã giao dịch sử dụng bảng mã unicode tránh hacker sử dụng để che dấu đoạn mã thực thi Javascript, … nhận dạng đoạn code độc hại mã hóa nhiều lần để vượt qua WAF nhận dạng phương thức request bất thường giao thức HTTP nhận dạng liệu chuỗi URI không hợp lệ giao thức HTTP nhận dạng tiêu đề request bất thường giao thức HTTP nhận dạng thêm, thiếu, trùng tên tham số request gởi đến ứng dụng web nhận dạng kích thước bất thường giá trị tham số request gởi đến ứng dụng web nhận dạng bất thường qua việc phân loại dạng giá trị tham số ví dụ: kiểu ký tự alphabet, kiểu số nguyên, … chức dùng để đọc toàn thông tin liệu phản hồi nhằm đảm bảo không bỏ sót nguy công tiềm ẩn Truy cập vào phần body response với Detecting Changes 2.3 Detecting Page Deviations Detecting Dynamic Content Changes Detecting Source Code Leakages Detecting Technical Data Leakages 2.4 2.5 2.6 2.7 2.8 2.9 3.1 3.2 3.3 3.4 3.5 Page loại nội dung khác Title nhận dạng thay đổi thẻ tiêu đề “title”các trang web, điều nhằm phát website bị thay đổi nội dung hacker Size 2.2 nhận dạng response có chứa thông tin mã nguồn chương trình nhận dạng rò rỉ công nghệ sử dụng cho ứng dụng web Ví dụ: thông báo lỗi kết nối database, lỗi hệ thống webserver, … Detecting Abnormal Response Time Intervals Detecting Sensitive User nhận dạng rò rỉ thông tin người dùng, chủ Data Leakages yếu người quản trị định nghĩa cấu hình vào hệ thống Detecting Trojan, nhận dạng hacker công hệ thống, Backdoor, and Webshell truy cập vào Trojan, Backdoor, and Access Attempts Webshell cài vào máy chủ web Phân tích liệu xác thực Detecting Failed nhận dạng số lần xác thực không thành công Authentication Attempts Detecting a High Rate of nhận dạng phía client cố gắng thực nhiều Authentication Attempts xác thực khoảng thời gian ngắn Thông thường xác thực chương trình thực tự động hay gọi công dạng Brute-force Normalizing : hạn chế việc cung cấp thông tin việc xác Authentication Failure thực không thành công cách thay Details phản hồi không an toàn ứng dụng web hay chuyển đến trang web khác Enforcing Password nhận dạng yêu cầu thay đổi password thành Complexity dạng phức tạp người dùng nhập không Thông thường ứng dụng web thực việc Tuy nhiên, IWAF nhận dạng để thống kê báo cáo Correlating Usernames nhận dạng mối liên hệ SessionID with SessionIDs Username, thường sử dụng cho mục đích thống kê, truy vết với truy cập quan trọng Phân tích trạng thái 4.1 4.2 4.3 4.4 4.5 4.6 5.1 5.2 5.3 6.1 6.2 phiên làm việc Detecting Invalid Cookies Detecting Cookie Tampering Enforcing Session Timeouts Detecting Client Source Location Changes During Session Lifetime nhận dạng cookie không hợp lệ nhận dạng liệu cookie cố tình bị thay đổi sử dụng tính session timeout để giới hạn thời gian phiên làm việc thực nhận dạng client thay đổi vị trí làm việc (theo địa IP) suốt phiên làm việc Điều cần thiết nhằm đảm bảo tính quán client, tránh dạng công chiếm quyền phiên làm việc – Hijacking session attack Browser nhận dạng client thay đổi thông tin trình Changes duyệt suốt phiên làm việc Detecting Fingerprint During Sessions Nhận dạng công Path-Traversal Attacks, Forceful Browsing số kỹ thuật công Attacks, SQL Injection Attacks, Remote File mạng thông dụng Inclusion (RFI) Attacks, Cross-Site Scripting (XSS) Attacks, Cross-Site Request Forgery (CSRF) Attacks, UI Redressing (Clickjacking) Attacks, … Kiểm tra việc tải tập tin Detecting Large File Sizes nhận dạng việc upload file có dung lượng lớn so với cấu hình người quản trị Detecting a Large Number nhận dạng việc upload số lượng lớn file of Files giao dịch kết nối so với cấu hình người quản trị Inspecting File kiểm tra phần mềm độc hại file đính Attachments for Malware kèm Kiểm tra tỉ lệ truy cập dòng lưu chuyển ứng dụng Detecting High nhận dạng client tạo số Application Access Rates lượng lớn truy vấn khung thời gian định Đây kỹ thuật quan trọng để nhận dạng công từ chối dịch vụ (DoS) Detecting nhận dạng tình trạng client cố tình trì Request/Response Delay hoãn việc kết thúc giao dịch Đây kỹ Attacks thuật quan trọng để nhận dạng công từ chối dịch vụ với HTTP (HTTP DoS) HTTP DoS dạng công dịch vụ cấp độ giao thức HTTP nhằm làm tê liệt ứng dụng web cụ thể thay cổng kết nối giao thức TCP/IP, xem gởi tràn ngập gói tin SYN 6.3 6.4 6.5 giao thức HTTP Identifying Inter-Request Nhận dạng chương trình tự động gởi nhiều Time Delay Anomalies request với nội dung động Kỹ thuật cho phép chống lại công giả mạo yêu cầu (CSRF) với ý tưởng dựa vào tốc độ hoàn thành request ứng dụng web người chương trình tự động Ví dụ: người dùng truy cập vào trang web trao đổi mua bán thành viên cổng trao đổi tiền game, thời gian họ vào trang web có dính mã độc dạng CSRF với nội dung đoạn mã chuyển tiền sang tài khoản khác game Do đó, người dùng click vào liên kết này, đoạn mã thực thi hợp pháp lúc sessionID cookie người dùng cấp quyền Tuy nhiên, phát bất thường để hoàn thành giao dịch người phải thời gian gõ số, chọn người giao dịch, xác nhận , … thời gian hoàn thành nhiều đoạn code chèn tự động Identifying Request Flow nhận dạng request theo thứ thự cụ thể Anomalies ứng dụng Thông thường kỹ thuật phải người quản trị cấu hình tốt nên sử dụng nhận dạng dựa phương pháp Anomaly-based (sử dụng thuật toán học máy, phân tích tự động mô hình xác suất Identifying a Significant nhận dạng việc người dùng sử dụng tài nguyên Increase in Resource mức độ cao Ví dụ: trang Usage mạng xã hội hacker gởi spam link sử dụng kỹ thuật CSRF cho bạn bè Sau đó, người dùng liên tiếp gởi thực thi đoạn mã spam link Các đoạn mã liên kết đến ứng dụng web cụ thể đó, làm truy cập đến ứng dụng tăng đột biến so với bình thường HƯỚNG DẪN CÀI ĐẶT IWAF Cài đặt Modsecurity Trước tiến hành cài đặt Modsecurity, hệ thống phải cài đặt trước hệ điều hành Linux với chức bản, sau cài đặt Modsecurity qua bước sau: Bước 1: cài đặt Apache webserver $ yum install -y httpd* $ chkconfig httpd on $ service httpd start Bước 2: cài đặt gói phát triển liên quan $ yum install pcre* libxml2* libcurl* lua* libtool openssl -y Bước 3: tải cài đặt phần mềm Modsecurity từ địa http://www.modsecurity.org/download/ phiên modsecurityapache_2.7.5.tar.gz $ cd /usr/local/src $ tar -xzf modsecurity-apache_2.7.5.tar.gz Bước 4: cài đặt phần mềm $ cd modsecurity-apache* $ /configure $ make $ make install Bước 5: chép tập tin cấu hình modsucurity sang thư mục cấu hình Apache $ cp modsecurity.conf-recommended /etc/httpd/conf.d/modsecurity.conf Vào tập tin cấu hình Apache /etc/httpd/conf/httpd.conf thêm 02 dòng cấu hình sau: LoadModule security2_module modules/mod_security2.so LoadModule unique_id_module modules/mod_unique_id.so Bước 6: Bật chức bảo vệ modsecurity thông qua file cấu hình etc/httpd/conf.d/modsecurity.conf SecRuleEngine DetectionOnly SecRuleEngine On Sau khởi động lại dịch vụ $ service httpd restart Cài đặt Rules-based Bước 1: Tải tập tin modsecurity-crs-2.2.8 từ địa https://github.com/SpiderLabs/owasp-modsecurity-crs $ cd /etc/httpd/conf $ wget http://downloads.sourceforge.net/project/mod-security/modsecuritycrs/0-CURRENT/modsecurity-crs_2.2.8.tar.gz $ tar xzf modsecurity-crs_2.2.8.tar.gz $ mv modsecurity-crs_2.2.8 modsecurity-crs $ cd modsecurity-crs Bước 2: Tiến hành cấu hình Rules-based Cpmodsecurity_crs_10_config.conf.exampl modsecurity_crs_10_config.conf vào tập tin /etc/httpd/conf/httpd.conf chỉnh sửa lại sau: Include modsecurity-crs/*.conf Include modsecurity-crs/base_rules/*.conf $ service httpd restart Bước 3: cấu hình firewall sử dụng chức bảo mật dựa Anomalyscore Vào file modsecurity_crs_10_config.conf chỉnh sửa lại thông số sau: SecDefaultAction "phase:1,pass,log" Cài đặt Anomaly-based Tạo thư mục modsecurity-crs/anomaly-rules Copy tập tin modsecurity_crs_100_hmmensemble_analysis.conf vào thư mục modsecurity-crs/anomaly-rules Chỉnh sủa lại tập tin /etc/httpd/conf/httpd.conf sau: Include modsecurity-crs/*.conf Include modsecurity-crs/base_rules/*.conf Include modsecurity-crs/ anomaly-rules/*.conf Khởi động lại dịch vụ $ service httpd restart LỜI CAM ĐOAN Để hoàn thành luận văn thời gian quy định đáp ứng yêu cầu đề ra, cố gắng nghiên cứu, học tập làm việc thời gian cho phép Tôi tham khảo số tài liệu nêu phần “Tài liệu tham khảo” không chép nội dung từ luận văn hay công trình nghiên cứu khác Tôi xin cam đoan lời khai đúng, thông tin sai lệch xin hoàn toàn chịu trách nhiệm trước Hội đồng Đồng Nai, ngày … tháng… năm 2013 Người Cam Đoan Huỳnh Hoàng Tân LỜI CẢM ƠN Đầu tiên, xin bày tỏ lòng biết ơn chân thành đến thầy giáo Tiến sĩ Trần Văn Hoài tận tình dạy, hướng dẫn tạo điều kiện thuận lợi để hoàn thành tốt luận văn Tôi xin cảm ơn quí thầy cô trường Đại học Lạc Hồng tận tình giảng dạy, trang bị vốn kiến thức kinh nghiệm quý báu để có kết tốt trình học tập Tôi xin bày tỏ lòng biết ơn sâu sắc đến gia đình, bạn bè giúp đỡ động viên để hoàn thành tốt chương trình học đề tài nghiên cứu Đồng Nai, ngày … tháng… năm 2013 Học viên Huỳnh Hoàng Tân