LỜI CẢM ƠN Được phân công Khoa Công nghệ thông tin - Trường Đại học Công nghệ thông tin Truyền thông Thái Nguyên, đồng ý cô giáo hướng dẫn Th.S Ngô Thị Lan Phương em thực đề tài "Nghiên cứu chức tường lửa hệ Suricata ứng dụng mạng nội doanh nghiệp" Em xin chân thành cảm ơn cô giáo tận tình hướng dẫn, giảng dạy giúp đỡ suốt trình em học tập làm đồ án tốt nghiệp Em xin cảm ơn toàn thể thầy cô giáo – Trường Đại học Công nghệ thông tin Truyền thông truyền dạy cho em kiến thức quý báu suốt trình học tập trường để em hoàn thành tốt đồ án tốt nghiệp Mặc dù có nhiều cố gắng, thời gian kiến thức có hạn nên tránh khỏi sai lầm thiếu sót Em mong đóng góp quý thầy cô bạn để đồ án hoàn thiện Em xin chân thành cảm ơn! Thái Nguyên, ngày tháng năm 2016 Sinh viên thực Nguyễn Thị Thu Trang LỜI CAM ĐOAN Em xin cam đoan đề tài nghiên cứu em tự thực với hướng dẫn dạy trực tiếp cô giáo Th.S Ngô Thị Lan Phương Các nội dung kết đồ án chưa công bố nghiên cứu khác Em xin chịu trách nhiệm đồ án tốt nghiệp Thái Nguyên, ngày tháng năm 2016 Sinh viên Nguyễn Thị Thu Trang MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT Thuật ngữ, từ viết tắt NGFWS DPI IDS IPS NSM SSL SSH PCAP ICMP TCP UDP HTTP DNS SMTP SMB IMAP TLS Diễn giải Next Generation Firewalls In-Line Deep Packet Inspection Intrusion Detection System Intrusion Prevention System Network Security Mornitoring Secure Socket Layer L Secure Shell Packet Capture Internet Control Message Protocol Transmission Control Protocol User Datagram Protocol Hypertext Transfer Protocol Domain Name System Simple Mail Transfer Protocol Server Message Block Internet Message Access Protocol Transport Layer Security DANH MỤC BẢNG, HÌNH ẢNH Bảng 1.1: Bảng so sánh tường lửa truyền thống tường lửa hệ 25 Bảng 3.1: Các thành phần hệ thống mạng 57 Hình 1.1: Vị trí firewall hệ thống mạng 16 Hình 1.2: Ứng dụng trung tâm phân loại lưu lượng liệu xác định ứng dụng cụ thể chảy qua mạng, không phân biệt cổng giao thức sử dụng 19 Hình 1.3: Các kỹ thuật NGFWs sử dụng để xác định ứng dụng không phân biệt cổng, giao thức, chiến thuật lần tránh mã hoá SSL21 Hình 1.4: Nhận dạng người dùng tích hợp thư mục doanh nghiệp dựa vào sách người dùng, báo cáo pháp lý 22 Hình 1.5: Xác định nội dung dựa vào hợp quét mối đe doạ, liệu bí mật lọc URL 24 Hình 2.1: Kiến trúc Suricata 29 Hình 2.2: Các gói tin vào Sniffer 30 Hình 2.3: Quá trình xử lí Preprocessors 31 Hình 2.4: Gói tin xử lý Detection Engine luật32 Hình 2.5: Thành phần cảnh báo logging Hình 2.6: Cấu trúc luật Suricata 33 37 Hình 2.7: Bảng tuỳ chọn Reference 40 Hình 2.7: Thông tin phân loại lớp quy tắc41 Hình 2.8: Một số tuỳ chọn Ipopts 44 Hình 2.9: Bảng Type ICMP Header 48 Hình 3.1: Hệ thống kết nối hoàn toàn với Internet 51 Hình 3.2: Hệ thống mạng ngắt kết nối hoàn toàn với Internet 52 Hình 3.3: Hệ thống bán kết nối Internet 53 Hình 3.4: Hệ thống chia thành hai mạng 54 Hình 3.5: Hệ thống mạng công ty 55 Hình 3.5: Sơ đồ hệ thống mạng sử dụng Suricata 56 Hình 3.6: Thông báo áp file cấu hình lên giao diện eth0 thành công 63 Hình 3.7: Ping từ máy mạng External đến máy chủ 64 Hình 3.8: Kết phát Ping Suricata 64 Hình 3.9: Kết thông báo chặn Ping Suricata 65 Hình 3.10: Phát giao thức TCP Suricata 65 Hình 3.11: Phát giao thức UDP Suricata 66 Hình 3.12: Chặn giao thức TCP Suricata 66 Hình 3.13: Chặn giao thức UDP Suricata 67 Hình 4.1: Mô hình hệ thống mạng kết hợp GPU, DPDK, Suricata Hình 4.2: Mô hình hoạt động hệ thống 71 72 Hình 4.3: Kết thời gian mã hóa liệu đầu vào GPU CPU 73 MỞ ĐẦU Tính cấp thiết đề tài Ngày nay, chứng kiến thụ hưởng thành tựu to lớn cách mạng khoa học kỹ thuật - cách mạng công nghệ thông tin Mặc dù cách mạng khởi đầu từ năm cuối kỷ XX, bắt nguồn việc phát minh máy tính điện tử (Computer) thực bùng phát mạng thông tin toàn cầu (Internet) sử dụng rộng rãi, song nhiều nhà khoa học dự báo đưa xã hội loài người tiến vào kỷ nguyên mới, thời kỳ - kinh tế tri thức, kinh tế tiên đoán phát triển mạnh mẽ gấp nhiều lần so với cách mạng công nghiệp trước Thực tiễn đời sống xã hội giới Việt Nam năm vừa qua kiểm chứng cho dự báo Máy tính công nghệ kỹ thuật số kèm thay công nghệ trước tất lĩnh vực đời sống xã hội Máy tính nhanh chóng diện sử dụng rộng rãi hầu hết lĩnh vực đời sống xã hội, với mục đích sử dụng đa dạng, từ sản xuất, kinh doanh, ứng dụng khoa học kỹ thuật mục đích giải trí đơn Mới hình thành phát triển vài thập kỷ, cách mạng khiến cho nhiều ngành kinh tế, xã hội văn hoá hoàn toàn phụ thuộc vào công nghệ nó, đặc biệt phải kể đến vai trò máy tính điện tử Internet Công nghệ thông tin hình thành hệ mới, hệ phụ thuộc vào công nghệ thông tin, coi máy tính, Internet, E-mail, điện thoại di động, máy ảnh số, máy nghe nhạc số công cụ thiếu sống Đặc biệt phát triền bùng nổ mạng lưới thương mại điện tử Việt Nam nói riêng giới nói chung ngày trở thành mục tiêu nhiều attacker Cũng thành tựu khoa học nhân loại, mà thành tựu ứng dụng rộng rãi đời sống xã hội dễ bị lợi dụng, sử dụng mục tiêu tội phạm Các thành tựu công nghệ thông tin đem lại không nằm quy luật Vì vậy, giới mà công nghệ thông tin tạo cho người hình thành khái niệm tội phạm - tội phạm lĩnh vực công nghệ thông tin hay biết đến với tên khác như: tội phạm mạng (Cyber Crimes), tội phạm máy tính hay tội phạm liên quan đến máy tính (Computer Crimes) Đây vấn đề gây nhiều khó khăn không Việt Nam mà nhiều nước giới Do vậy, việc tìm giải pháp hữu hiệu việc phòng chống lại tội phạm công nghệ thông tin vấn đề quan tâm hàng đầu thách thức ngành công nghệ thông tin quốc gia Với phát triển ngày nhiều thử đoạn ngày tinh vi nguy hiểm attacker hệ thống mạng doanh nghiệp vấn đề an toàn an ninh phải đặt lên hàng đầu Sử dụng tường lửa với công nghệ đại chức ngăn chặn công hacker giải pháp hữu hiệu cho doanh nghiệp việc phát hiện, ngăn chặn mối đe doạ nguy hiểm để bảo vệ hệ thống mạng Mục tiêu nghiên cứu Nghiên cứu chức tường lửa hệ kỹ thuật sử dụng tường lửa hệ Nghiên cứu cấu trúc tường lửa hệmới Suricata, chức Suricata cài đặt, cấu hình hệ điều hành Linux Nghiên cứu luật Suricata, cấu trúc luật thành phần luật Suricata Viết số luật đơn giản Suricata thực thi luật Nghiên cứu, phân tích dấu hiệu số công, hình thành luật tương ứng với đặc điểm dạng công xâm nhập Đối tượng nghiên cứu Đối tượng nghiên cứu đề tài công nghệ tường lửa hệ nói chung Hệ thống tường lửa hệ Suricata, chức cấu trúc tập luật Suricata Nghiên cứu hình thành tập luật dạng công, xâm nhập cụ thể Phương pháp nghiên cứu Nghiên cứu lý thuyết phát xâm nhập thông qua tài liệu báo cáo, luận văn… Nghiên cứu lý thuyết tường lửa hệ thông qua tài liệu tác giả Lawrence C Miller, tài liệu hãng Palo Alto nguồn tài liệu khác Nghiên cứu lý thuyết Suricata thông qua tài liệu từ trang chủ Suricata, tài liệu Sourcefile Suricata tài liệu khác Cài đặt triển khai hệ thống Linux Tìm hiểu phương thức xâm nhập, công khai thác lỗ hổng, công cụ cách thực Triển khai công, khai thác lỗ hổng Sau đọc log, phân tích gói tin bắt được, chuyển hoá thành luật nhằm phát ngăn chặn Nội dung đề tài Luận văn tập trung phân tích chức tường lửa hệ mới, cấu trúc, chức tập luật tường lửa hệ Suricata Phân tích số công xâm nhập từ hình thành tập luật phát ngăn chặn tương ứng Bài luận văn gồm chương: Chương 1: Tổng quan công nghệ tường lửa hệ Giới thiệu tổng quan công nghệ tưởng lửa hệ mới, sâu phân tích chức kỹ thuật sử dụng tường lửa hệ Chương 2: Tường lửa hệ Suricata Giới thiệu tổng quan Suricata, phân tích cấu trúc, chức Suricata Phân tích chi tiết cấu trúc luật Suricata Chương 3: Demo phát chặn số giao thức Suricata Phân tích số dạng công thiết lập luật tương ứng Thiết lập số luật thực nghiệm Suricata Cài đặt Suricata hệ điều hành Linux Ứng dụng Suricata việc phát ngăn chặn giao thức Chương 4: Khả ứng dụng mở rộng kết nghiên cứu Tóm tắt, nhận xét kết đạt hạn chế cần phải khắc phục báo cáo Nêu lên ý nghĩa khoa học ứng dụng thực tiễn tường lửa hệ Đặt hướng phát triển tương lai ứng dụng ngành công nghệ thông tin đặc biệt lĩnh vực an toàn an ninh mạng CHƯƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ TƯỜNG LỬA THẾ HỆ MỚI 1.1 Tổng quan bảo mật 1.1.1 Khái niệm Bảo mật hạn chế khả lạm dụng tài nguyên tài sản Hạn chế có nghĩa triệt phá hết việc lạm dụng, cần sẵn sàng để phòng khả xấu Bên cạnh đó, cần phải phân tích xác công, điểm yếu hệ thống tăng cường bảo mật vùng cần thiết để làm giảm thiệt hại gây nên từ công Khái niệm bảo mật định nghĩa theo lĩnh vực chính:  Bảo mật máy tính (Computer Security): Là tiến trình ngăn chặn phát sử dụng không hợp pháp vào máy tính bạn cách lựa chọn công cụ thiết kế để bảo vệ liệu công hackers  Bảo mật mạng (Network Security): Là phương pháp để bảo vệ liệu suốt trình chuyển động chúng  Bảo mật Internet (Internet Security): Là phương pháp để bảo vệ liệu suốt trình vận chuyển chúng đến kết nối Inernet 1.1.2 Các phương pháp xâm nhập hệ thống Tấn công (attack) hoạt động có chủ ý kẻ phạm tội lợi dụng thương tổn hệ thống thông tin tiến hành phá vỡ tính sẵn sàng, tính toàn vẹn tính bí mật hệ thống thông tin 1.1.2.1 Phương thức công để thăm dò mạng Thăm dò việc thu thập thông tin trái phép tài nguyên, lỗ hổng dịch vụ hệ thống Tấn công thăm dò thường bao gồm hình thức: Sniffing, Ping Sweep, Ports Scanning a Sniffing (Nghe lén) Sniffing hình thức nghe hệ thống mạng dựa đặc điểm chế TCP/IP Sniffer ban đầu kỹ thuật bảo mật, phát triển nhằm giúp nhà quản trị mạng khai thác mạng hiệu kiểm tra lỗi liệu vào mạng liệu mạng Sau này, hacker dùng phương pháp để lấy cắp mật hay thông tin nhạy cảm khác Biến thể sniffer chương trình nghe bất hợp pháp như: công cụ nghe yahoo, ăn cắp password email… b Ping sweep - Ping: đưa gói yêu cầu ICMP đợi trả lời thông báo trả lời từ máy hoạt động - Ping Sweep: xác định hệ thống “sống” hay không quan trọng hacker ngừng công xác định hệ thống “chết” Việc xác định trạng thái hệ thống có thẻ sử dụng kỹ thuật Ping Scan hay gọi với tên Ping Sweep - Bản chất trình gửi ICMP Echo Request đến máy chủ mà hacker muốn công mong đợi ICMP Reply - Ngoài lệnh ping sẵn có Windows, có số công cụ ping sweep như: Pinger, Friendly, Ping Pro… c Port scanning Port scanning trình kết nối cổng (TCP UDP) hệ thống mục tiêu nhằm xác định xem dịch vụ “chạy” trạng thái “nghe” Xác định cổng nghe công việc quan trọng nhằm xác định loại hình hệ thống ứng dụng sử dụng Port scanning thực chức năng: - Xác định máy cổng - Xác định hệ thống sử dụng dịch vụ Mỗi công cụ có chế port scan riêng 1.1.2.2 Tấn công xâm nhập (access attack) Tấn công xâm nhập thuật ngữ rộng miêu tả kiểu công đòi hỏi người xâm nhập lấy quyền truy cập trái phép hệ thống bảo mật với mục đích thao túng liệu, nâng cao đặc quyền Tấn công truy nhập hệ thống: hành động nhằm đạt quyền truy cập bất hợp pháp đến hệ thống mà hacker tài khoản sử dụng Tấn công xâm nhập thao túng liệu: kẻ xâm nhập đọc, viết, xóa, chép hay thay đổi liệu 1.1.2.3 Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ tên gọi chung cách công làm cho hệ thốn bị tải cung cấp dịch vụ, làm gián đoạn hoạt động hệ thống hệ thống phải ngưng hoạt động Tùy theo phương thức thực mà biết nhiều tên gọi khác nhau: - Khởi đầu lợi dụng yếu giao thức TCP (Transmision Control Protocol) để thực công từ chối dịch vụ DoS (Denial of Service) - Tiếp theo công từ chối dịch vụ phân tán DDoS (Distributed DoS) 10 sudo ldconfig Tạo thư mục chứa thông tin Suricta: sudo mkdir /var/log/suricata Tạo thư mục cài đặt: sudo mkdir /etc/suricata Copy file classification.config, reference.config and suricata.yaml from the base build/installation directory vào thư mục vừa tạo : /etc/suricata: sudo cp classification.config /etc/suricata sudo cp reference.config /etc/suricata sudo cp suricata.yaml /etc/suricata Để quản lý luật cài Oinkmaster sudo apt-get install oinkmaster 60 3.5 Cấu hình Suricata Ta tiến hành cấu hình cho tham biến tập rules Suricata Đầu tiên, ta phải thiết lập lại biến cho khu vực (địa IP) khác biến cho cổng Mục đích việc thiết lập biến giúp cho việc thay đổi dễ dàng cần thiết Bước 1: Mở file /etc/suricata/suricata.yaml – file cấu hình Suricata Trong file tham biến cấu hình sẵn, ta thay đổi tham biến cho phù hợp với máy tính Bước 2: Nhấn tổ hợp phím Ctrl+F, nhập vào từ khoá vars tìm kiếm Khi trả kết xuất tham biến: HOME_NET, EXTERNAL_NET, HTTP_SERVERS, SMTP_SERVERS, SQL_SERVERS… Ta cấu sau  HOME_NET: điền vào dải ip-address sử dụng:  EXTERNAL_NET: địa IP khác HOME_NET  HTTP_SERVERS, SMTP_SERVERS, SQL_SERVERS, DNS_SERVERS TELNET_SERVERS: cài đặt mặc định "$HOME_NET" 61  AIM_SERVERS: cài đặt mặc định  Thiết lập cổng: HTTP_PORTS, SHELLCODE_PORTS, ORACLE_PORTS, SSH_PORTS  Thiết lập host-os-policy: điền vào địa máy tính sử dụng sau tên hệ điều hành 3.6 Thiết lập tập luật thực nghiệm 3.6.1 Tạo file test Tạo file test.rules để lưu luật người dùng thiết lập Thực dòng lệnh: etc/suricata/rules/test.rules Sau tạo file xong, mở file suricata.yaml, vào mục “file-rules” Di chuyển chuột đến cuối mục thêm vào ”– test.rules” lưu lại 62 3.6.2 Ping Ta thiết lập luật cho việc phát Ping ngăn chặn trình Ping từ máy khác gửi đến  Phát Ping  Thiết lập luật: Alert ICMP any any -> $HOME_NET any (msg: "Ping detection"; sid:2; rev:1;) Luật có nghĩa là: Suricata đưa cảnh báo có máy Ping đến máy chủ Sau thiết lập ta lưu luật lại, chạy dòng lệnh sau với quyền root áp file cấu hình lên giao diện mạng enp0s3: kun@kunmyt: suricata -c /etc/suricata/suricata.yaml -i enp0s3 Đợi đến hình xuất thông báo: Hình 3.6: Thông báo áp file cấu hình lên giao diện eth0 thành công Tại máy có địa IP 192.168.1.25 ping đến máy chủ 192.168.1.43 63 Hình 3.7: Ping từ máy mạng External đến máy chủ Trên máy chủ, ta chạy dòng lệnh sau để mở file fast.log Trong file fast.log ghi lưu lại tất traffic diễn máy Tail /var/log/suricata/fast.log  Kết quả: Hình 3.8: Kết phát Ping Suricata 64  Chặn Ping  Thiết lập luật: Drop ICMP any any -> $HOME_NET any (msg:”ET DROP ping from any”; sid:3; rev:2;)  Kết Mở file fast.log xem kết thông báo: Hình 3.9: Kết thông báo chặn Ping Suricata  Phát giao thức TCP, UDP  Thiết lập luật: Alert tcp any any -> 192.168.1.21 81 (msg: “Allow TCP”;)  Kết quả: Hình 3.10: Phát giao thức TCP Suricata 65 Hình 3.11: Phát giao thức UDP Suricata Hình 3.12: Chặn giao thức TCP Suricata 66 Hình 3.13: Chặn giao thức UDP Suricata 67 CHƯƠNG 4: KHẢ NĂNG ỨNG DỤNG VÀ MỞ RỘNG CỦA CÁC KẾT QUẢ NGHIÊN CỨU 4.1 Kết nghiên cứu Trong phạm vi luận văn em thực đưa kết định trình nghiên cứu Với việc tìm, đọc nghiên cứu tài liệu công nghệ tường lửa hệ em tổng hợp phân tích chức tường lửa hệ cách chi tiết Là lĩnh vực Việt Nam, công nghệ tường lửa hệ đề tài thu hút quan tâm nhiều chuyên gia tổ chức an toàn an ninh mạng nước Với kết đạt nghiên cứu, luận văn tài liệu hữu ích góp phần hỗ trợ cho trình nghiên cứu lĩnh vực ngành công nghệ thông tin Việc sử dụng tường lửa hệ hệ thống mạng doanh nghiệp, nhà nước khuyến khích đẩy mạnh Hiện nay, giới có nhiều doanh nghiệp, tổ chức tiếng ngành đưa sản phẩm tường lửa hệ Palo Alto, HP…Nhưng sản phẩm sản phẩm thiết bị phần cứng, nên phần gây khó khăn cho doanh nghiệp vấn đề chi phí, lắp đặt hỗ trợ nâng cấp, phát triển Việc tìm hiểu đưa vào sử dụng thành công, hiệu tường lửa mềm giúp họ khắc phục vấn đề khó khăn Đặc biệt tường lửa mềm có mã nguồn mở nhận quan tâm nhiều giới công nghệ doanh nghiệp, nhà nước Với tình hình thực tiễn vậy, tường lửa hệ Suricata lựa chọn hàng đầu mang lại hiệu cao cho doanh nghiệp Với kiến thức nghiên cứu phân tích chi tiết Suricata luận văn, tài liệu giúp cho việc tiếp cận ban đầu với Suricata doanh nghiệp, nhà nước trở nên dễ dàng nhanh chóng nắm bắt cấu trúc, hoạt động cách tích hợp cài đặt hệ thống mạng công ty Trong báo cáo trình bày cách chi tiết môi trường cài đặt, bước thực cài đặt tường lửa Suricata cấu hình firewall mạng LAN Tường lửa hệ nói chung tường lửa Suricata nói riêng, vấn đề mẻ ngành công nghệ thông tin Việt Nam Qua luận văn, độc giả hiểu phác họa cho tranh tổng quan lĩnh vực Hơn tạo cho bước đà quan trọng cho việc bắt đầu tiếp cận nghiên cứu 68 Các ví dụ việc sử dụng Suricata để phát ngăn chặn kĩ thuật công thực tế, khẳng định số hiệu ban đầu tường lửa hệ mang lại cho hệ thống mạng LAN doanh nghiệp, nhà nước Để hiểu rõ cấu hình, sử dụng hiệu tối đa tường lửa Suricata, cần có trình tìm hiểu, phân tích chi tiết tất đặt điểm, chức năng, nghiệp vụ Điều có nghĩa nắm bắt cách rõ ràng nhuần nhuyễn Suricata, biến chở thành tường lửa riêng hoàn toàn sở hữu nhờ đặc tính Suricata tường lửa mềm mã nguồn mở 4.2 Ý nghĩa khoa học khả ứng dụng đề tài 4.2.1 Ý nghĩa khoa học Đề tài mở đường hoàn toàn lĩnh vực an toàn an ninh mạng Với phát triền bùng nổ công nghệ thông tin nay, công nghệ tường lửa hệ chuyên gia đầu ngành dự đoán lĩnh vực phát triển mạnh mẽ thu hút nhiều quan tâm giới chuyên môn tổ chức, chuyên gia chuyên nghiên cứu an toàn an ninh mạng Đề tài bước khởi đầu, lời kêu gọi cho trình nghiên cứu lĩnh vực công nghệ tường lửa hệ Là chuyên gia đầu ngành công nghệ thông tin đất nước, PGS.TS Nguyễn Ái Việt khởi xướng dẫn dắt nhóm bao gồm nghiên cứu viên sâu tìm hiểu, xây dựng tảng tường lửa hệ tạo nên sản phẩm Việt Nam Với dự án này, PGS.TS Nguyễn Ái Việt hi vọng, tương lai đưa sản phẩm tường lửa hệ mới, đặc biệt sản phẩm tường lửa mềm mã nguồn mở (Suricata điển hình) sử dụng rộng rãi Việt Nam Điều có nghĩa rằng, lĩnh vực an toàn an ninh mạng đất nước có bước phát triển đột phá tháo gỡ nút thắt khó khăn gặp phải từ hacker, đảm bảo tối đa vấn đề bảo mật cho hệ thống mạng 4.2.2 Khả ứng dụng đề tài Đảm bảo an toàn an ninh mạng thách thức ngành công nghệ thông tin nước Việt Nam nói riêng toàn giới nói chung Để giải hiệu vấn đề đòi hỏi phải đưa biện pháp có tính thực tiễn cao có khả ngăn chặn tối đa công xâm nhập mạng trái phép Việc nghiên cứu phát triển xây dựng sản phẩm tường lửa hệ đưa sau trình theo dõi phân tích kĩ lưỡng tình hình thực tế Từ năm 2013, việc tuyên bố ngừng hỗ trợ phát triển tường lửa microsoft gậy khó khăn hoang mang cho người dùng Và điều đặt khó khăn định cho nhà chức trách ngành công nghệ thông tin Cùng với 69 phát triển mạnh mẽ, tích cực xu hướng công nghệ hóa tin tặc, hachker nhanh chóng theo đuổi thay đổi công ngày nguy hiểm thủ đoạn ngày tinh vi Các hacker không ngừng sử dụng kĩ thuật để len lỏi vào hệ thống mạng, kĩ thuật lẩn tránh mà tường lửa truyền thống khó phát Bởi vậy, phải đưa giải pháp mới, sản phẩm để đối mặt với khó khăn Việc đưa công nghệ tường lửa hệ vào thực tiễn điều tất yếu đòi hỏi thực nhanh chóng Nó mở cho ngành công nghệ thông tin hướng phát triển mới, thị trường đầy tiềm nhiều hội Nghiên cứu, tích hợp sử dụng Suricata hệ thống mạng doanh nghiệp, nhà nước phương pháp đưa xuất phát từ nhu cầu thực tiễn người sử dụng công nghệ thông tin Sử dụng Suricata lựa chọn đắn hợp lý tính dễ cài đặt, tích hợp hiệu sử dụng hệ thống mạng Với chìa khóa cốt lõi đặc điểm mạnh mẽ hoạt động tầng ứng dụng, phát nguy đe dọa dựa vào việc lọc nội dung liệu…nó giúp giải hầu hết khó khăn lĩnh vực an toàn an ninh mạng Hơn nữa, Suricata tường lửa mềm mã nguồn mở tạo thuận lợi việc cấu hình doanh nghiệp Nhu cầu phòng chống công xâm nhập doanh nghiệp, nhà nước không hoàn toàn giống Vì vậy, với đặc tính linh hoạt việc cấu hình Suricata đáp ứng nhu cầu riêng biệt tổ chức Hiện nay, Suricata cho phiên cài đặt nhiều hệ điều hành khác Linux, Windows, TinyOS, CenTos, Fedora…đã giúp cho người sử dụng có nhiều lựa chọn 4.3 Hướng phát triển mở rộng đề tài Trong phạm vi nghiên cứu đề tài, em xây dựng cài đặt riêng lẻ Suricata hệ thống mạng công ty Viegrid Với việc cài đặt thiết lập tập luật việc phát ngăn chặn giao thức, bước đầu Suricata hoạt động mang lại kết mong đợi Và để sử dụng Suricata cách hiệu việc đảm bảo an toàn an ninh mạng cho toàn hệ thống mạng công ty cách chặt chẽ, em đưa ý tưởng xây dựng mô hệ thống mạng sử dụng kết hợp công nghệ việc bảo vệ hệ thống 70 Hình 4.1: Mô hình hệ thống mạng kết hợp GPU, DPDK, Suricata  Mô tả hệ thống  Hệ thống bao gồm thành phần: - Các máy chủ sever: máy chủ e-mail, máy chủ web Các máy chủ máy trạm hệ thống mạng cần bảo vệ sử dụng công nghệ Cloud Computing - Tường lửa Suricata: cấu hình để phát gói tin, tự động sinh rules ngăn chặn gói tin chứa nội dung đe dọa gây nguy hiểm cho hệ thống - DPDK: sử dụng để bắt toàn gói tin vào từ Internet, chép toan gói tin gửi cho phân tích liệu - GPU: tích hợp vào phân tích liệu nhằm tăng tối đa tốc độ phân tích gói tin sau nhận từ DPDK - Bộ phân tích liệu: phân tích chi tiết gói tin nhận từ DPDK cách nhanh chóng Sau đưa cảnh báo cho Suricata để Suricata tự động sinh luật xử lý gói tin  Hoạt động hệ thống Khi request (các gói tin) gửi từ mạng internet bên vào sever chúng kiểm soát tường lửa nhúng vào card mạng máy chủ master 71 Hình 4.2: Mô hình hoạt động hệ thống Tại card mạng máy chủ master cài đặt thành phần: - Tường lửa: kiểm soát liệu (lọc liệu, cho phép liệu qua, drop liệu…) Các hành động thực luật thiết lập sẵn tường lửa tự động sinh - DPDK: thành phần cài đặt sử dụng để bắt gói tin DPDK làm việc hiệu cho trình bắt gói tin, bắt toàn gói tin từ Internet vào chép gửi đến phân tích liệu hệ thống - GPU: GPU thứ cài đặt card mạng (hoặc máy chủ master) để tăng tốc độ bắt gói tin DPDK GPU có vai trò quan trọng toàn hệ thống Với khả tăng tốc độ hệ thống lên gấp nhiều lần so với sử dụng CPU, GPU giúp cho trình xử lý liệu hệ thống thực cách nhanh chóng đạt hiệu cao, đặc biệt việc xử lý liệu số GPU thứ hai cài đặt phân tích liệu để tăng tốc độ xử lý liệu, giúp cho trình phân tích thực cách nhanh chóng Từ đó, gửi cho tường lửa kết thời gian ngắn để tường lửa tự động sinh luật xử lý luồng liệu từ bên internet vào sever Hình 4.3 kết đo thời gian trình mã hóa liệu đầu vào CPU GPU 72 Hình 4.3: Kết thời gian mã hóa liệu đầu vào GPU CPU - Bộ phân tích: sử dụng để phân tích tất liệu gửi từ DPDK Với mẫu lưu thành sở liệu khổng lồ, phân tích so sánh liệu nhận với mẫu sẵn có để xác định liệu nhận có nguy đe dọa hệ thống hay không? Từ đó, gửi kết yêu cầu cho tường lửa để tường lửa xử lý luồng liệu vào sever cách nhanh chóng hiệu 73 TÀI LIỆU THAM KHẢO [1] Nguyễn Ái Việt, Ngô Doãn Lập, “ Application of SDN in the Information Security Protection for the IDC and the Cloud Computing Infrastructure”, GISATS 2014 [2] By Eric Geier, Intro to Next Generation Firewalls, 06 September, 2011 [3] John Pescatore, Greg Young, Defining the Next-Generation Firewall, Gartner RAS Core Research Note G00171540, 12 October 2009 [4] By Patrick Sweeney, Next-generation firewalls: Security without compromising performance, 17 October 2012 [5] By Eric Geier, Intro to Next Generation Firewalls, 06 September, 2011 [6] A History and Survey of Network Firewalls, Retrieved 2011-11-25 [7] By Lawrence C.Miller, Firewall for Dummies, CISSP [8] http://www.openinfosecfoundation.org/index.php/download-suricata [9] http://taosecurity.blogspot.com/2014/01/suricata-20beta2-as-ips-on-ubuntu1204.html [10] http://www.linux.org/threads/suricata-the-snort-replacer-part-3-rules.4363/ [11] New Open Source Intrusion Detector Suricata Released, Slashdot 2009-1231, Retrieved 2011-11-08 [12] Suricata Downloads, Open Security Information Foundation, Retrieved 2011-1108 74 ... nghiên cứu Nghiên cứu chức tường lửa hệ kỹ thuật sử dụng tường lửa hệ Nghiên cứu cấu trúc tường lửa h mới Suricata, chức Suricata cài đặt, cấu hình hệ điều hành Linux Nghiên cứu luật Suricata, cấu... quan công nghệ tường lửa hệ Giới thiệu tổng quan công nghệ tưởng lửa hệ mới, sâu phân tích chức kỹ thuật sử dụng tường lửa hệ Chương 2: Tường lửa hệ Suricata Giới thiệu tổng quan Suricata, phân... công nghệ tường lửa hệ nói chung Hệ thống tường lửa hệ Suricata, chức cấu trúc tập luật Suricata Nghiên cứu hình thành tập luật dạng công, xâm nhập cụ thể Phương pháp nghiên cứu Nghiên cứu lý