Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 81 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
81
Dung lượng
2,28 MB
Nội dung
i ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TẠ TUẤN DŨNG NGHIÊN CỨU, XÂY DỰNG MỘT SỐ GIẢI PHÁP VÀ PHẦN MỀM CẢNH BÁO, PHÁT HIỆN XÂM NHẬP MẠNG, CHỐNG TRUY CẬP TRÁI PHÉP Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 LUẬN VĂN THẠC SỸ NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HỒ VĂN CANH Thái Nguyên - năm 2013 ii MỤC LỤC LỜI MỞ ĐẦU CHƯƠNG I: NGHIÊN CỨU VỀ CÁC HỆ THỐNG GIÁM SÁT, PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH 1.1 Nghiên cứu nguyên tắc số hình thái xâm nhập trái phép mạng 1.1.1 Các hình thái xâm nhập mạng trái phép 1.1.2 Các biện pháp hoạt động xâm nhập máy tính 1.1.3 Thủ đoạn hacker lấy mật đăng nhập .7 1.2 Nghiên cứu khái niệm phần mềm IDS giám sát, phát xâm nhập .7 1.2.1 Tổng quan phần mềm IDS 1.2.2 Thành phần IDS chuẩn bao gồm: .9 1.2.3 Những tính hệ thống phát xâm nhập 12 1.2.4 Thành phần chức hệ thống giám sát an ninh mạng 14 1.2.5 Các công cụ hỗ trợ bổ sung cho IDS .23 CHƯƠNG II: TÌM HIỂU VỀ PHẦN MỀM SNORT .27 2.1 Giới thiệu Snort .27 2.2 Kiến trúc Snort .27 2.2.1 Module giải mã gói tin 28 2.2.2 Module tiền xử lý 29 2.2.3 Module phát 30 2.2.4 Module log cảnh báo 31 2.2.5 Module kết xuất thông tin 31 2.3 Cấu trúc luật Snort .31 2.3.1 Khái niệm sở 31 2.3.2 Phần header luật 36 2.3.3 Các tuỳ chọn luật 39 iii 2.3.4 Preprocessors 50 2.3.5 Các module Output 54 CHƯƠNG III: ỨNG DỤNG TRIỂN KHAI GIẢI PHÁP IDS VỚI PHẦN MỀM SNORT 57 3.1 Mục đích yêu cầu 57 3.2 Xây dựng cấu trúc hệ phần mềm cảnh báo, phát xâm nhập mạng máy tính .57 3.3 Cài đặt đầu dò Snort 60 3.4 Chạy chương trình Snort 61 3.4.1 Sniffer Mode 61 3.4.2 Mode Packet Logger 61 3.4.3 Mode Network Inturusion Detection 63 3.4.4 Hỗn hợp .65 3.5 Hình ảnh cài đặt chương trình số kết 67 3.5.1 Hình ảnh cài đặt chương trình .67 3.5.2 Kết thực phiên giám sát an ninh 70 3.5.3 Kết kiểm tra khả phát dấu hiệu xâm nhập phần mềm 72 TÀI LIỆU THAM KHẢO 74 iv LỜI CẢM ƠN Đầu tiên xin gửi lời cảm ơn chân thành tới thầy, cô giáo trường Đại học Công Nghệ Thông Tin Truyền Thông – Đại Học Thái Nguyên thầy cô giáo thuộc Viện Công nghệ thông tin – Đại học Quốc gia Hà Nội nhiệt tình giảng dạy truyền đạt kiến thức cho thời gian học tập Tôi xin gửi lời cảm ơn sâu sắc tới thầy Hồ Văn Canh, người định hướng, hướng dẫn hỗ trợ nhiều để hoàn thành luận văn Tôi xin gửi lời cảm ơn tới anh chị đồng nghiệp cảm ơn bạn bè khóa, trường nhiệt tình hỗ trợ thời gian làm luận văn Mặc dù cố gắng hoàn thành luận văn này, xong luận văn khó tránh khỏi thiếu sót Tôi mong nhận nhận xét, góp ý, tận tình bảo từ thầy, cô Một lần nữa, xin chân thành cảm ơn! TÁC GIẢ LUẬN VĂN Tạ Tuấn Dũng v LỜI CAM ĐOAN Tôi xin cam đoan Luận văn công trình nghiên cứu khoa học độc lập Luận văn không chép toàn tài liệu, công trình nghiên cứu người khác Tất đoạn trích dẫn nằm tài liệu, công trình nghiên cứu người khác ghi rõ nguồn rõ tài liệu tham khảo Tôi xin cam đoan điều thật, sai, xin chịu hoàn toàn trách nhiệm TÁC GIẢ LUẬN VĂN Tạ Tuấn Dũng vi BẢNG KÝ HIỆU VIẾT TẮT KÝ HIỆU DẠNG ĐẦY ĐỦ IDS Intrusion Detection Systems IPS Intrusion Prevention Systems DoS Denial of Services LAN Local Area Network GUI Graphical User Interface NIDS Mode Network Inturusion Detection CSDL Cơ sở liệu SMB Server Message Block OS Operating System TTL Time To Live BASE Basic Analysis and Security Engine vii LỜI MỞ ĐẦU Song song với phát triển ứng dụng mạng máy tính hầu hết lĩnh vực đời sống xã hội an ninh quốc phòng nguy bị lộ lọt nhiều thông tin quan trọng bên Hiện có nhiều phương pháp bảo vệ mạng có hiệu ứng dụng mật mã học, hàm băm an toàn tường lửa (Firewall) Mỗi phương pháp có ưu nhược điểm định Do người ta sử dụng nhiều biện pháp đồng thời để bảo vệ thông tin cho mạng dùng riêng kết nối với mạng máy tính toàn cầu.Tuy nhiên, vấn đề đặt thực tế là: Các biện pháp có đủ đảm bảo an toàn thông tin cho mạng dùng riêng chưa? Tại sao, nhiều thông tin quan trọng thường bị lộ lọt bên ngoài? Do đó, người ta nghiên cứu bổ sung biện pháp khác nhằm tăng cường an ninh, an toàn cho mạng dùng riêng kết nối với mạng Internet Một biện pháp quan tâm nghiên cứu ứng dụng rộng rãi toàn giới, hệ thống phần mềm giám sát, cảnh báo công, xâm nhập trái phép vào hệ thống mạng Trong năm gần đây, vụ công ngày tăng lên số lượng mức độ nghiêm trọng hệ thống phát xâm nhập bổ sung cần thiết kịp thời cho hệ thống thiết bị an ninh mạng có Hiện nay, giới có nhiều sản phẩm giám sát an ninh mạng (IDS) mức công nghiệp (Enterprise-level) – hệ IPS (Intrusion Prevention Systems) có khả tích hợp nhiều chức năng: Phát xâm nhập (detection), giám sát (monitoring) ngăn chặn (blocking) Nhiều hệ thống phần mềm tích hợp vào thiết bị máy tính chuyên dụng có cấu trúc rack-mount để cắm trực tiếp vào tủ mạng chạy theo chế độ thời gian thực Một số hệ thống tích hợp với firewall Đa phần sản phẩm loại Mỹ có chất lượng tính đảm bảo an toàn cao Tuy nhiên, giá hệ thống thiết bị cao thông thường từ 25.000 USD đến 35.000 USD Vì vậy, Việt Nam, có số quan, đơn vị lớn ứng dụng công nghệ thông tin mua sản phẩm bảo vệ an ninh để sử dụng bảo vệ mạng máy tính mình.[4] Xuất phát từ nhu cầu trên, để xây dựng triển khai hệ phần mềm giám sát IDS đủ mạnh, lại tiết kiệm chi phí, phù hợp với tổ chức, đơn vị có quy mô vừa nhỏ, nghiên cứu lựa chọn giải pháp phần mềm nguồn mở cho hệ thống giám sát an ninh mạng IDS Sau thời gian nghiên cứu, triển khai với cộng tác, giúp đỡ bạn bè, quan đồng nghiệp, đặc biệt hướng dẫn thầy giáo – Tiến sĩ Hồ Văn Canh, triển khai thành công hệ phần mềm giám sát, phát xâm nhập mạng, chống truy cập trái phép, tích hợp vào hệ thống mạng riêng Trung tâm Công nghệ thông tin Truyền thông Thái Nguyên Kết khả quan, hoạt động thăm dò mạng, virus (các gói tin qua cổng 135), khai thác proxy (8080), khai thác Cơ sở liệu, ping flood phát Báo cáo luận văn trình bày chương: Chương 1: Nghiên cứu hệ thống giám sát, phát xâm nhập mạng máy tính Chương 2: Tìm hiểu phần mềm Snort Chương 3: Ứng dụng triển khai giải pháp IDS với phần mềm Snort CHƯƠNG I: NGHIÊN CỨU VỀ CÁC HỆ THỐNG GIÁM SÁT, PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH 1.1 Nghiên cứu nguyên tắc số hình thái xâm nhập trái phép mạng Hầu hết công xâm nhập mạng máy tính với mục tiêu phá hủy hệ thống bảo mật hệ thống theo phương thức cụ thể Ví dụ, công định cho phép kẻ công đọc tệp không cho phép thay đổi thành phần hệ thống Mặc dù công xâm nhập có nhiều dạng nhiều khả khác nhau, lại chúng thường gây nên thương tổn đến tính bảo mật hệ thống: tính khả dụng, tính tin cậy, tính toàn vẹn tính điều khiển Tính tin cậy: Một công gây vi phạm tính toàn vẹn thay đổi trạng thái hệ thống liệu thường trú hệ thống Tính khả dụng: Một công gây vi phạm tính khả dụng có khả ngăn người sử dụng hợp pháp truy cập vào tài nguyên hệ thống thời điểm người sử dụng cần truy cập Tính điều khiển: Một công gây vi phạm điều khiển hệ thống tạo khả cho kẻ công đặc quyền sách điều khiển truy cập hệ thống Những đặc quyền dẫn đến vi phạm tính khả dụng, tính tin cậy tính toàn vẹn thông tin 1.1.1 Các hình thái xâm nhập mạng trái phép 1.1.1.1 Quét, thăm dò hệ thống Thông qua hoạt động quét, thăm dò hệ thống, kẻ công biết nhiều thông tin hệ thống như: - Cấu hình mạng mục tiêu - Loại lưu lượng phép qua firewall 60 Hình 3.2: Mô hình IDS nhiều đầu dò Snort kết hợp với hệ quản trị CSDL MySQL Webserver Apache 3.3 Cài đặt đầu dò Snort Copy chương trình Snort vào thư mục máy, ví dụ /usr/src Giải nén toàn chương trình dạng nén Gõ lệnh sau: tar –zxvf snort-2.9.4.6.tar.gz Các bước cài đặt: Gõ./configure Trong chạy lệnh này, hình in số đặc tính kiểm tra Gõ make 61 Sau gõ make để chạy tất self_test với package Gõ make install để cài tất file liệu tài liệu 3.4 Chạy chương trình Snort Có mode để chạy Snort: Snifer, packet logger, network intrusion detection system Mode snifer đọc gói tin khỏi mạng hiển thị chúng theo chuỗi liên tục hình Mode packet logger ghi lại gói tin lên đĩa Mode network intrusion detection phức tạp cấu hình, cho phép Snort phân tích lưu lượng mạng theo luật người dùng thiết lập thi hành action dựa điều nhìn thấy 3.4.1 Sniffer Mode Nếu muốn in hình phần mào đầu gói tin TCP/IP gõ: /snort – v Câu lệnh chạy snort thị phần mào đầu gói tin TCP/UDP/ICMP Nếu muốn xem liệu lớp ứng dụng lúc truyền, thử dòng sau: /snort – vd 3.4.2 Mode Packet Logger Nếu muốn ghi gói tin lên đĩa, cần quy định thư mục log Snort tự động biết thực mode này: /snort – dev -l./log Trước phải tạo thư mục log thư mục không snort thoát kèm theo thông báo lỗi Khi snort chạy mode này, đặt tất gói tin vào phân cấp thư mục dựa địa IP host Nếu gõ -1, thấy Snort dùng địa máy tính từ xa thư mục đặt gói tin, dùng địa máy nội Để log gói tin liên quan đến mạng home, cần phải mạng home: 62 /snort – dev -1./log –h 192.168.1.0/24 Luật cho snort biết phải in phần mào đầu gói tin TCP/IP lớp liên tiếp liệu liệu tầng ứng dụng vào thư mục /log, gói tin log liên quan đến mạng 192.168.1.0 Tất gói tin đến ghi vào thư mục thư mục log, với tên thư mục dựa địa host xa Lưu ý hai host mạng home tên thư mục dựa host có số hiệu cổng cao Nếu mạng có tốc độ cao muốn log gói tin dạng nén nhiều để phân tích sau, nên log theo mode nhị phân Mode nhị phân log gói tin theo dạng tcpdump đến file nhị phân thư mục log Khi hoạt động mode nhị phân Snort log tất vào file nhất, không cần phải quy định dạng cấu trúc thư mục đầu ra, không cần phải chạy mode verbose Do đó, viết tuỳ chọn –d -e mode nhị phân toàn gói tin log Tất việc phải làm quy định thư mục log dòng lệnh với tuỳ chọn –l; tuỳ chọn –b đơn đưa bổ sung biết log gói tin theo kiểu nhị phân, không theo kiểu mặc định kiểu ký tự bảng mã ASCII Khi gói tin log vào file nhị phân, đọc lại file với sniffer hỗ trợ định dạng nhị phân tepdump Ethereal Snort đọc gói tin tuỳ chọn –r Các gói tin file định dạng tcpdump xử lý qua Snort mode Ví dụ, muốn chạy file log nhị phân qua Snort dạng mode sniffer để kết xuất gói tin lên hình, thử dòng sau: /snort –dv –r packe.log Có thể thao tác liệu file theo số cách qua mode logging intrusion detection Snort, BPI interface sẵn có từ dòng lệnh Ví dụ, muốn xem gói tin ICMP từ fole log, việc quy định BPF filter dòng lệnh: 63 /snort –dvr packe.log icmp 3.4.3 Mode Network Inturusion Detection Để cho phép mode NIDS (do không ghi tất cá gói tin xuống đường dây), thử dòng sau: /snort –dvr -1./log –h 192.168.1.0/24-c Snort.conf Snort.conf tên file luật Snort áp dụng tập luật file Snort.conf tới tất gói tin để định hành động Nếu không quy định thư mục đầu cho chương trình, mặc định lên hình Vì lý tốc độ, tuỳ chọn – v nên bỏ khỏi dòng lệnh gói tin bị bỏ qua liệu hình Trong hầu hết ứng dụng không cần thiết ghi phần mào đầu lớp liên kết liệu, không cần có tuỳ chọn –e ./snort –d –h 192.168.1.0/24 /log -c Snort.conf 3.4.3.1 Các tùy chọn đầu mode NIDS Có số cấu hình đầu Snort mode NIDS Cơ chế cảnh báo log để log theo định dạng ASCII dùng cảnh báo đầy đủ Cơ chế cảnh báo đầy đủ in thông điệp cảnh báo phần mào đầu đầy đủ gói tin Có số đầu cảnh báo khác sẵn sàng dòng lệnh Các mode cảnh báo phức tạp Có mode cảnh báo sẵn có dòng lệnh, full, fast, socket, syslog, smb (WinPopup), none Bốn số mode dùng tuỳ chọn –A Bốn tuỳ chọn là: [-A fast] mode cảnh báo nhanh, ghi cảnh báo dạng đơn giản với nhãn thời gian, cảnh báo cổng, địa IP nguồn đích Đây mode cảnh báo mặc định không quy định tự động sử dụng 64 [-A fullsock] gửi cảnh báo đến UNIX socket mà chương trình khác lắng nghe [-A none] tắt cảnh báo Các gói tin log đến dạng ASCII file nhị phân qua tuỳ chọn dòng lệnh –b Nếu muốn không cho phép việc log gói tin nhau, dùng tuỳ chọn dòng lệnh – N Để gửi cảnh báo tới syslog, dùng tuỳ chọn “-s” Các điều kiện mặc định cho chế cảnh báo syslog LOG_AUTHPRIV LOG_ALERT Nếu muốn cấu hình điều kiện khác cho đầu syslog, dùng dẫn plug-in đầu file luật Có chế cảnh báo SMB cho phép Snort gọi đến smb client Samba gửi thông điệp cảnh báo WinPopup đến máy Windows Để dùng mode cảnh báo này, phải cấu hình Snort để dùng thời điểm cấu hình với tuỳ chọn –enable-smbalerts Sau số ví dụ đầu ra: Log đến chỗ mặc định gửi cảnh báo tới syslog: /snort -c snort.conf –l /log –h 192.168.1.0/24 -s Log đến chỗ mặc định /var/log/snort gửi cảnh báo tới file cảnh báo nhanh: /snort -c snort.conf –A fast –h 192.168.1.0/24 Log đến file nhị phân gửi cảnh báo đến máy trạm Windows /snort -c snort.conf –b –M WORSTATIONS 65 3.4.3.2 Cấu hình hiệu cao Nếu muốn Snort chạy nhanh, dùng tuỳ chọn –b -A fast –s (syslog) Việc log gói tin dạng tepdump đưa cảnh báo cách tối thiểu Ví dụ: /snort -b –Afast -c snort cont Trong cấu hình này, Snort log đồng thời nhiều công thăm dò mạng LAN 100 Mbps chạy mức bão hoà xấp xỉ 80 Mbps Trong cấu hình này, log viết theo dạng nhị phân đến file snort.log định dạng nhị phân Để đọc file lại chia nhỏ liệu theo dạng Snort quen thuộc, cần chạy lại Snort file liệu với tuỳ chọn –r tuỳ chọn khác thường dùng Ví dụ: /snort -d -c snort.conf –1.log –h 192.168.1.0/24 –r snort.log Khi dòng lệnh chạy, tất liệu đặt thư mục log theo dạng thường mã hoá 3.4.3.3 Thay đổi trật tự cảnh báo Theo mặc định, luật Alert áp dụng đầu tiên, sau luật Pass, cuối luật Log, trật tự có đôi chút phản trực giác phương pháp dễ dùng nhiều so với việc người viết hàng trăm luật alert sau lại không cho phép chúng luật pass không chuẩn Đối với người biết họ làm gì, tuỳ chọn –o đưa để thay đổi cách áp dụng luật mặc định trở thành luật Pass, Alert cuối Log 3.4.4 Hỗn hợp Nếu muốn chạy Snort mode deamon, thêm –D kếp hợp với tùy chọn Lưu ý muốn khởi động lại Snort cách gửi tín 66 hiệu SIGHUP đến deamon, cần phải dùng đường dẫn đầy đủ đến file nhị phân Snort, ví dụ: /usr/local/bin/snort –d -h 192.168.1.0/24 -1/ /var/log/snortlogs –c /usr/local/etc/snort.conf –s –D Đường dẫn tương đối không hỗ trợ vấn đề bảo mật Nếu muốn gửi log gói tin đến public mailing list, thử tuỳ chọn –O Tuỳ chọn làm tối địa IP liệu in gói tin Nếu không muốn người mailing list biết dịa IP liên quan, kết hợp tuỳ chọn –O với –h để làm rối địa IP host mạng home, ví dụ: /snort –d –v –r snort.log –o –h 192.168.1.0/24 Dòng lệnh đọc gói tin từ từ file log kết xuất chúng lên hình, làm rối địa từ lớp mạng 192.168.1.0/24 67 3.5 Hình ảnh cài đặt chương trình số kết 3.5.1 Hình ảnh cài đặt chương trình Hình 3.3: Load file cấu hình luật 68 Hình 3.4: Khởi tạo dịch vụ 69 Hình 3.5: Cài đặt tập tin luật 70 3.5.2 Kết thực phiên giám sát an ninh Hình 3.6: Kết phiên giám sát 71 Hình 3.7: Màn hình đăng nhập hệ thống giám sát xâm nhập IDS Hình 3.8: Giao diện quản lý hệ thống IDS 72 3.5.3 Kết kiểm tra khả phát dấu hiệu xâm nhập phần mềm Hình 3.9: File log quản lý qua web Hình 3.10: File log kết 73 KẾT LUẬN Qua thời gian nghiên cứu thực theo mục tiêu đề tài đăng ký, với cộng tác, giúp đỡ bạn bè, quan đồng nghiệp, đặc biệt hướng dẫn thầy giáo – Tiến sĩ Hồ Văn Canh, đạt kết sau: Đảm bảo thực đề tài thời hạn, bám sát mục tiêu, nội dung Sản phẩm đề tài bao gồm: - Báo cáo phân tích nguyên lý, cấu trúc giải pháp ứng dụng hệ thống phần mềm cảnh báo xâm nhập trái phép mạng máy tính công cụ hỗ trợ bổ sung với sản phẩm phần mềm khác đảm bảo an ninh an toàn cho mạng máy tính - Đề xuất lựa chọn, thực thi hoàn chỉnh phần mềm mã nguồn mở Snort, tích hợp với hệ thống sở liệu MySQL lập trình cho website Apache ngôn ngữ PHP để thu thập khai thác liệu – dấu hiệu xâm nhập mạng máy tính giúp người quản trị an ninh mạng quản lý, theo dõi an ninh mạng cách tập trung để có biện pháp phản ứng kịp thời cố xảy - Sản phẩm chạy thử, đảm bảo yêu cầu đặt đề tài, triển khai ứng dụng thực tế Trung tâm Công nghệ thông tin Truyền thông tỉnh Thái Nguyên Phần mềm đóng gói cài đặt hệ điều hành Windows Server 2008 R2, có tài liệu hướng dẫn sử dụng rõ ràng Ý nghĩa thực tiễn đề tài: Đề tài sau nghiên cứu hoàn thành giúp tôi: - Hiểu sâu phương pháp công kỹ thuật xâm nhập mạng - Triển khai điều khiển hiệu hệ phần mềm giám sát, phát xâm nhập mạng IDS dựa việc xây dựng luật, tập luật hoàn chỉnh hệ phần mềm - Là sở cho việc nghiên cứu phát triển, nâng cấp nhằm tạo hệ phần mềm giám sát IDS ngày hoàn thiện thời gian tới 74 TÀI LIỆU THAM KHẢO Các website: [1] http://quantrimang.com [2] http://wikipedia.org Tiếng Việt: [3] Vũ Đình Cường, Cách bảo vệ liệu quan trọng Phương pháp phát thâm nhập, NXB Lao động xã hội, 2009 [4] Bảo mật mạng – Bí giải pháp, NXB Thống kê, 04-2006 Tiếng Anh: [5] Brian Caswell, Jay Beale, Andrew Baker, Snort IDS and IPS Toolkit, Syngress, 02-2007 [6] Christopher Gerg, Kerry J Cox, Managing Security with Snort and IDS Tools, O’Reilly Media, 08-2004 [7] Rafeeq Ur Rehman, Intrusion Detection Systems with Snort Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID, Prentice Hall PTR, 05-2003 [8] Stevene J.Scott, Threat Management System The State of Intrusion Detection, 09-2002 [9] Jay Beale, Jame C.Foster, Snort 2.0 – Intrusion Dectection, 2002 ... I: NGHIÊN CỨU VỀ CÁC HỆ THỐNG GIÁM SÁT, PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH 1.1 Nghiên cứu nguyên tắc số hình thái xâm nhập trái phép mạng 1.1.1 Các hình thái xâm nhập mạng trái phép... hệ phần mềm giám sát, phát xâm nhập mạng, chống truy cập trái phép, tích hợp vào hệ thống mạng riêng Trung tâm Công nghệ thông tin Truy n thông Thái Nguyên Kết khả quan, hoạt động thăm dò mạng,. .. với phần mềm Snort 3 CHƯƠNG I: NGHIÊN CỨU VỀ CÁC HỆ THỐNG GIÁM SÁT, PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH 1.1 Nghiên cứu nguyên tắc số hình thái xâm nhập trái phép mạng Hầu hết công xâm nhập mạng