LỜI CAM ĐOAN Tôi xin cam đoan đề tài nghiên cứu tôi nghiên cứu thực hướng dẫn Thầy giáo TS Nguyễn Đình Hƣng Với mục đích học tập, nghiên cứu để nâng cao kiến thức trình độ chuyên môn nên làm luận văn cách nghiêm túc hoàn toàn trung thực Để hoàn thành luận văn này, tài liệu tham khảo liệt kê, cam đoan không chép toàn văn công trình thiết kế tốt nghiệp người khác Nếu xảy điều không lời cam đoan trên, xin chịu hoàn toàn trách nhiệm trước viện Nhà trường Hà Nội, tháng năm 2015 Học viên Trần Thị Hằng LỜI CẢM ƠN Để hoàn thành luận văn “Nghiên cứu bảo mật thông tin cho hệ thống website”, em xin tỏ lòng biết ơn sâu sắc đến TS – Nguyễn Đình Hưng tận tình hướng dẫn suốt trình viết luận văn tốt nghiệp Em xin chân thành cảm ơn quý Thầy, Cô Viện Công nghệ Thông tin & Truyền thông, Trường Đại học Bách Khoa Hà Nội, tận tình truyền đạt kiến thức thời gian học tập nghiên cứu Với vốn kiến thức tiếp thu trình học tập nghiên cứu không tảng cho trình nghiên cứu khóa luận mà hành trang quý báu để em bước vào đời cách vững tự tin Em biết ơn ủng hộ đồng nghiệp, gia đình bạn bè – người thân yêu chỗ dựa vững cho em Trong phạm vi luận văn tốt nghiệp cao học khó diễn đạt mặt lý thuyết kỹ thuật, cố gắng hoàn thành luận văn với tất nổ lực bạn thân, song luận văn khó tránh khỏi thiếu sót Kính mong nhận ý kiến đóng góp để tác giả tiếp tục hoàn thiện kiến thức giải pháp Cuối cùng, em xin kính chúc Quý Thầy cô, Bạn bè, Đồng nghiệp dồi sức khỏe thành công nghiệp Xin chân thành cảm ơn! Học viên Trần Thị Hằng M C C LỜI CAM ĐOAN LỜI CẢM ƠN DANH M C CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH M C CÁC HÌNH VẼ, CÁC BIỂU BẢNG MỞ ĐẦU CHƢƠNG I TỔNG QUAN VỀ AN NINH AN TOÀN ỨNG D NG WEB 1.1 Khái niệm an toàn thông tin 1.2 Các công nghệ dùng ứng dụng web 1.2.1 Giao thức HTTP, SSL 1.2.2 Công nghệ sử dụng để tạo trang web 18 1.3 Phân tích thực trạng bảo mật website ngày 21 1.4 Các rủi ro thường gặp ứng dụng web 24 1.4.1 Dữ liệu đầu vào không kiểm tra 24 1.4.2 Lỗi kiểm soát truy cập nguồn tài nguyên 26 1.4.3 Lỗi liên quan đến trình quản lý xác thực phiên truy cập 27 1.4.4 Lỗi Cross Site Scripting (XSS) 27 1.4.5 Lỗi tràn đệm 29 1.4.6 Lỗi Injection 30 1.4.7 Lưu trữ thiếu an toàn 31 1.4.8 Tấn công từ chối dịch vụ 32 1.4.9 Quản lý cấu hình thiếu an toàn 33 CHƢƠNG II PHÂN TÍCH CÁC VẤN ĐỀ LỖ HỔNG BẢO MẬT THÔNG TIN WEBSITE 35 2.1 Thao tác tham số truyền 35 2.1.1 Thao tác URL 35 2.1.2 Thao tác biến ẩn Form 36 2.1.3 Thao tác Cookie 38 2.1.4 Thao tác HTTP Header 39 2.2 Chèn câu lệnh truy vấn SQL (SQL Injection) 40 2.2.1 Khái niệm SQL Injection 40 2.2.2 Giới thiệu mô hình sở liệu 40 2.2.3 Các cách công 41 2.2.4 Cách phòng chống 54 2.3 Chèn mã lệnh thực thi trình duyệt nạn nhân (Cross Side Scripting) 57 2.3.1 Kỹ thuật công Cross Site Scripting (XSS) 57 2.3.2 Phương pháp công XSS truyền thống 59 2.3.3 Một số website tìm thấy lỗ hổng XSS 62 2.3.4 Tấn công XSS Flash 63 2.3.5 Cách phòng chống 65 2.4 Tràn đệm (Buffer Overfow) 65 2.4.1 Khái niệm 65 2.4.2 Sơ đồ tổ chức nhớ 66 2.4.3 Một số cách gây tràn đệm qua ứng dụng web 67 2.4.4 Các cách phòng chống 67 2.5 Tấn công từ chối dịch vụ (DoS) 67 2.5.1 Khái niệm 67 2.5.2 Những khả bị công DoS 68 2.5.3 Các kỹ thuật công 68 2.5.4 Biện pháp phòng chống 73 2.6 Chiếm hữu phiên làm việc (Session Management) 74 2.6.1 Tổng quan Session ID 74 2.6.2 Ấn định phiên làm việc 74 2.6.3 Đánh cắp phiên làm việc 76 CHƢƠNG III TRIỂN KHAI PHƢƠNG PHÁP TẤN CÔNG TỪ CHỐI DỊCH V VÀ GIẢI PHÁP BẢO MẬT WEBSITE TRƢỜNG ĐẠI HỌC SƢ PHẠM KỸ THUẬT VINH 77 3.1 Tình hình ứng dụng công nghệ thông tin giai đoạn 2011-2015 77 3.1.1 Hạ tầng kỹ thuật 77 3.1.2 Ứng dụng nội 78 3.2 Hiện trạng Website trường Đại học Sư Phạm Kỹ thuật vinh 79 3.3 Tấn công từ chối dịch vụ (DoS) 79 3.3.1 Giới thiệu công mô 79 3.3.2 Công cụ bước chuẩn bị 79 3.3.3 Tiến hành công 80 3.4 Đánh giá 84 3.5 Giải pháp chống DoS đưa cho website trường Đại học Sư phạm Kỹ thuật vinh 84 KẾT LUẬN 91 TÀI LIỆU THAM KHẢO 92 DANH M C CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT ACK API CA CNTT CSDL DLL DNS DOM DoS FIN FTP HTML HTTP ICMP IDS IP IPS JVM MAC NAT OSI SSL SYN TCP TOS TTL URI URL XSS Acknowledgement Application Programming Interface Certificate Authority Công nghệ Thông tin Cơ sở liệu Dinamic Link Library Domain Name System Document Object Model Denial of Service Finish File Transfer Protocol Hyper Text Markup Language Hypertext Transfer Protocol Internet Control Message Protocol Instruction Detection System Internet Protocol Instrution Prevention System Java Vitual Machine Media Access Control Network Address Translation Open System Interconnection Secure Socket Layer Synchoronize Transmision Control Protocol Type of Service Time To Live Uniform Resource Identifiers Uniform Resource Locator Cross Site Scripting DANH M C CÁC HÌNH VẼ, CÁC BIỂU BẢNG Hình 1.1 Cơ sở cho mô hình tổng quát……………….…… ……….… ………5 Hình 1.2 Lớp giao thức HTTP…………………………………………….…… ……6 Hình 1.3 Cấu hình đầy đủ URI………………………………….………….…… … Hình 1.4 Hoạt động HTTP…………… … ………………………… …………8 Hình 1.5 Hoạt động kết nối HTTP…… … ………………………….……… Hình 1.6 Hoạt động Pipelining HTTP………………………………….…………8 Hình 1.7 Hoạt động GET HTTP………………….…………………….…… … Hình 1.8 Ví dụ web form POST………… ……….…… …………… .10 Hình 1.9 Hoạt động POST HTTP……… ……….…… …………….…………10 Hình 1.10 Hoạt động PUT HTTP……… ……….…… …………….…………11 Hình 1.11 Ví dụ File Upload – PUT…… ……… …… …………….……….…11 Hình 1.12 Hoạt động File Delection – DELETE…….…… …………….…………11 Hình 1.13 Cấu trúc thông điệp HTTP Request……….…… …………….……….…12 Hình 1.14 Một ví dụ nội dung thông điệp HTTP……… ….………….…………13 Hình 1.15 Ví dụ cụ thể Request-Line ……… …….…… …… …….……… 13 Hình 1.16 Cấu trúc thông điệp HTTP Response …….…… …… …… …………14 Hình 1.17 Cụ thể trường Status-Line ……… …….…… …… …….…………14 Hình 1.18 Các giao thức SSL mô hình TCP/IP…… …… …………15 Hình 1.19 Từng bước thành lập kết nối SSL…….…… …… ……….………16 Hình 1.20 Sử dụng Proxy để thay đổi tham số…….…… …… …….….…….……26 Hình 1.21 Tấn công XSS…….…… … ……………………… … ….……….…28 Hình 1.22 Lỗi tràn đệm….…… … ……… ……………… … ….…………29 Hình 1.23 Lỗi SQL Injection….…… … ……….… … …………… ……….…30 Hình 1.24 Lưu trữ thiếu an toàn….…….……….…… … …………… …………31 Hình 1.25 Tấn công từ chối dịch vụ.…….……….….… …………… …… .…33 Hình 2.1 Quá trình thực XSS.…….……….… … …………… …… …59 Hình 2.2 Sơ đồ tổ chức nhớ.…….……….… …… …………… …… …66 Hình 2.3 Cơ chế thiết lập kết nối trước truyền số liệu.….………… …… .…69 Hình 2.4 Tấn công DoS truyền thống.….…………………………… …… …….69 Hình 2.5 Kiểu công DoS vào băng thông.….…………………… …… …70 Hình 2.6 Tấn công DDoS.….……………………………… ……… …… ……71 Hình 2.7 Tấn công kiểu DRDoS.….………………………………… …… …72 Hình 3.1 Sơ đồ mạng trường Đại học Sư phạm Kỹ thuật Vinh.………… ….……78 Hình 3.2 Website trường Đại học Sư phạm Kỹ thuật Vinh.………… …… …79 Hình 3.3 Cài đặt DoSHTTP 2.5.1.……………………………… … …… ……80 Hình 3.4 Chọn Card mạng để bắt gói tin.……………………… … …… …80 Hình 3.5 website mục tiêu kiểm tra.…………………………… … …… …….81 Hình 3.6 Kiểm tra WireShark.……………….………………… … …… …81 Hình 3.7 Xác định mục tiêu bắt đầu công….…………… … …… …82 Hình 3.8 Kiểm tra kết nối WireShark tấn……… … …… …82 Hình 3.9 Kiểm tra lại website ………………………………… … …… …83 Hình 3.10 Tắt phần mềm DoSHTTP…………………………… … ……….… 83 Hình 3.11 File báo cáo kết ………………………………… … …… …83 Hình 3.12 Mô hình IP Snort ………………………………… … …… .…88 Hình 3.13 Quá trình xử lý gói Hình…………………………… … …… ……89 Hình 3.14 Công cụ FortGuard Firewall……………………… … …… …90 MỞ ĐẦU Trong thời đại ngày Internet trở nên quen thuộc, công cụ hữu ích công ty, tổ chức giới thiệu hình ảnh hay đơn giản trang web cá nhân giới thiệu Tất kéo theo phát triển không ngừng ứng dụng web khái niệm ứng dụng web trở nên phổ biến Khi mà Internet, ứng dụng web trở nên phổ biến, ứng dụng cách rộng rãi công ứng dụng web phát triển phức tạp Điều đặt vấn đề cấp thiết cần làm để bảo đảm an toàn thông tin cho ứng dụng web, thông tin người sử dụng Các khái niệm chuyên môn ứng dụng web công ứng dụng web dần trở nên phổ biến tài liệu chuyên ngành Các công cụ hỗ trợ người lập trình web, người quản trị mạng xuất giúp tìm kiếm lỗ hổng ứng dụng web không theo kịp phát triển nhanh đến mức chóng mặt theo xu hướng nhanh hơn, đẹp ứng dụng web, tất nhiên ngăn chặn hoàn toàn công ứng dụng web, mà công ngày đa dạng khai thác triệt để lỗi ứng dụng web, người quản trị, hay người lập trình ứng dụng web Thống kê cho thấy 75% công Internet công ứng dụng web, gây thiệt hại vô to lớn, việc tìm hiểu công ứng dụng web cần thiết nhằm có cách phòng chống công bảo mật thông tin website hiệu trở thành yêu cầu cấp thiết Luận văn “Nghiên cứu bảo mật thông tin cho hệ thống website” đáp ứng phần nhu cầu cấp thiết an ninh bảo mật Xây dựng nên quy trình phục vụ cho việc kiểm tra phát điểm yếu an toàn thông tin ứng dụng web, từ đưa báo cáo đánh giá an toàn thông tin cho website Luận văn gồm chương với nội dung sau: Chƣơng I: Tổng quan an ninh an toàn ứng dụng web Trình bày khái niệm an toàn thông tin Các rủi ro thường gặp chế phòng thủ ứng dụng web Chƣơng II: Phân tích vấn đề lỗ hổng bảo mật thông tin website Trình bày cách chi tiết phương thức công cách thức phòng chống công Chƣơng III: Triển khai demo hình thức công giải pháp bảo mật cho Website trƣờng Đại học Sƣ phạm Kỹ thuật vinh Mô số công điển SQL Injection, DoS, giải pháp thực nghiệm phòng chống công cho website trường Đại học Sư phạm Kỹ thuật Vinh Luận văn kiểm tra kỹ không tránh khỏi sai sót, mong nhận đóng góp ý kiến quý thầy cô, bạn bè đồng nghiệp để đề tài hoàn thiện - Chuyển mạch mạng lớp (switch Layer ): Cisco WS-C2960S-24TS-L, Cisco WS-C2960-24TT-L, Cisco SRW224G4P chuyển mạch mạng hãng khác … - Thiết bị định tuyến: CISCO2901-SEC/K9 (Access Server) Hệ thống ưu trữ ưu liệu: Trong số máy chủ Nhà trường dành máy chủ phục vụ Backup liệu tự động, phục hồi liệu có cố Ngoài Nhà trường sử dụng ổ cứng gắn để lưu trự liệu định kỳ hàng tuần Hình đồ mạng trường Đại học phạm Kỹ thuật Vinh 3.1.2 Ứng dụng nội Ứng dụng công nghệ thông tin hoạt động chuyên môn: Hiện nhà trường đầu tư phần mềm Quản lý đào tạo, pần mềm Quản lý hành chính, phần mềm Quản lý tài Phần mềm Quản lý đào tạo Nhà trường đầu tư từ năm 2009 cấp phiên năm 2015 bổ sung Modul phần mềm quản lý hành phục vụ tốt công việc quản lý đào tạo Nhà trường Thư viện điện tử công cụ: Nhà trường sử dụng mạng nội để tra cứu sách tài liệu tham khảo phục vụ học thuật, học liệu cho sinh viên Có trang thông tin thư viện để học sinh sinh viên tra cứu http://lib-vuted.edu.vn Hiện chưa có hệ thống thư điện tử công vụ, hầu hết cán bộ, giảng viên nhà trường sử dụng hệ thống email miễn phí như: gmail.com, yahoo.com 78 3.2 Hiện trạng Website trƣờng Đại học Sƣ Phạm Kỹ thuật vinh Hình 3.2 Website trường Đại học phạm Kỹ thuật Vinh Website lấy tên miền vuted.edu.vn (địa IP 123.30.185.161) đặt máy chủ nhà trường Website thiết kế theo hướng mở, cho phép nâng cấp cập nhật thêm tính 3.3 Tấn công từ chối dịch vụ (DoS) 3.3.1 Giới thiệu công mô Cuộc công DoS thực nghiệm mang tính minh họa cho lý thuyết không mang tính phá hoại nên sử dụng công cụ có tính nhẹ nhằm giảm tính phá hoại hệ thống Công cụ sử dụng DoSHTTP 2.5.1, công cụ có tính phá hoại nhẹ công cụ giúp đỡ cho quản trị viên kiểm tra đánh giá hiệu máy chủ web nhằm đảm bảo tính ổn định đưa giải pháp tốt cho hệ thống 3.3.2 Công cụ bƣớc chuẩn bị - Phần mềm DoSHTTP 2.5.1 - Phần mềm phân tích gói tin WireShark - Xác định mục tiêu cần công (ở ta sử dụng Website www.vuted.edu.vn) 79 3.3.3 Tiến hành công Cuộc công với công cụ DoSHTTP 2.5.1 liên tiếp tạo resquest từ client với IP nguồn đến server web làm cho ngập băng thông server Khi client hợp lệ truy cập vào server web bị từ chối Các bước thực công : - Bước : Cài đặt DoSHTTP 2.5.1 Hình 3.3 Cài đ t DoSHTTP 2.5.1 - Bước : Bật WireShark Hình 3.4 Chọn Card mạng để bắt gói tin 80 - Bước : Vào Website mục tiêu để kiểm tra => www.vuted.edu.vn Hình 3.5 website mục tiêu kiểm tra - Bước : Kiểm tra WireShark thấy kết nối tới www.vuted.edu.vn có nhiều gói tin bị truy cập nhìn chung việc truy cập trang web diễn bình thường Hình 3.6 Kiểm tra WireShark 81 - Bước : Xác định mục tiêu bắt đầu công www.vuted.edu.vn Hình 3.7 X c định mục tiêu bắt đầu công - Bước : Kiểm tra kết nối WireShark công, gói tin HTTP rớt hoàn toàn, có gói tin TCP gửi đến để thực kết nối theo bước bắt tay nhận có hồi đáp gói tin ACK từ ww.vuted.edu.vn Hình 3.8 Kiểm tra kết nối WireShark công - Bước : Kiểm tra website cách vào lại lần đồng thời mở trang web cửa sổ khác (ở trang www.vied.vn) ta thấy www.vuted.edu.vn truy cập vào trang www.vied.vn truy cập 82 Hình 3.9 Kiểm tra lại website - Bước : Tắt phần mềm Hình 3.10 Tắt phần mềm DoSHTTP - Bước : File báo cáo sau sử dụng phần mềm DoSHTTP 2.5.1 Hình 3.11 File báo cáo kết 83 3.4 Đánh giá Dựa vào kết mô ta phần hiểu việc công từ chối dịch vụ (DoS) Qua chứng minh cho ta thấy tính phá hoại công DoS gây hậu với hệ thống, làm cho hệ thống bị nghẽn công quy mô lớn làm cho hệ thống bị reboot hệ thống liên quan đến tài ảnh hưởng không nhỏ đến tài công ty, ngân hàng… Chương mô cách thức công từ chối dịch vụ Đồng thời cho thấy hậu gây ra, đưa số biện pháp ngăn chặn thiết thực 3.5 Giải pháp chống DoS đƣợc đƣa cho website trƣờng Đại học Sƣ phạm Kỹ thuật vinh - Tăng băng thông kết nối tạm thời để giải lượng truy cập vào website - Phân tán lượng truy cập đến máy chủ khác với băng thông lớn - Thiết lập cân tải hệ thống máy chủ để tăng thời gian chống DoS - Cấu hình lại máy chủ, thiết lập thông số tường lửa để sàng lọc địa IP có dấu hiệu truy cập ảo Hiện giới có nhiều cách phòng chống DoS nói chung phòng chống DoS cho máy chủ Web nói riêng sử dụng Firewall, triển khai IPS (Intrusion Prevention System – Hệ thống chống xâm nhập), load balancing (cân tải)… Có thể đơn cử vài công cụ cụ thể như: - Firewall mềm: + Skyeagle anti – DDoS firewall + FortGuard Anti – DdoS Firewall Standard - IPS: + Lokkit + Snort + Untangle Trong luận văn này, em lựa chọn giải pháp sử dụng IPS gồm Snort inline Iptables để đề xuất giải pháp phòng chống DoS cho máy chủ web cho website nhà trường [8], [10], [11] Lý lựa chọn xây dựng mô hình IPS gồm Snort inline Iptables là: 84 (i) Đối với Iptables Để xây dựng Firewall cho hệ thống mạng chi phí thường cao mua sản phẩm thương mại Iptables phần mềm mã nguồn mở miễn phí, tích hợp sẵn hệ điều hành linux, triển khai hệ thống mạng vừa nhỏ Ban đầu Firewall/NAT chạy Linux Ipchains thiếu sót lỗi mặt kỹ thuật chạy không ổn định Tổ chức Netfilter định viết phần mềm khắc phục lỗi sản phẩm Iptables đời nhằm tăng tính lọc gói tin, bảo mật hệ thống Linux Tích hợp tốt nhân Linux (Kernel Linux), thiết kế modul cụ thể nâng cao tốc độ độ tin cậy, có khả phân tích gói tin hiệu Iptables lọc gói tin dựa địa MAC giá trị cờ hiệu phần đầu TCP header gói tin Điều hữu ích việc phòng chống công cách sử dụng gói liệu bị thay đổi hạn chế truy cập đến máy chủ local từ máy chủ khác có địa IP Iptables cung cấp chi tiết tùy chọn để ghi nhận kiện xảy hệ thống, cung cấp kỹ thuật NAT NAT từ nội ngược lại Có khả ngăn chặn số chế công theo kiểu từ chối dịch vụ (DoS) C c tính Iptables: Tích hợp tốt Linux Kernel, để cải thiện tin cậy tốc độ chạy Iptables Quan sát kỹ tất gói liệu, điều cho phép firewall theo dõi kết nối thông qua xem xét nội dung luồng liệu để từ xử lý bước sử dụng giao thức Điều quan trọng việc hỗ trợ giao thức FTP, DNS … Lọc gói dựa địa MAC cờ TCP header Điều giúp ngăn chặn việc công cách sử dụng gói dị dạng (malformed packets) ngăn chặn việc truy cập từ nội đến mạng khác bất chấp IP Ghi chép hệ thống (System logging) cho phép việc điều chỉnh mức độ báo cáo Hỗ trợ việc tích hợp chương trình Web proxy Squid Ngăn chặn kiểu công từ chối dịch vụ Cơ chế hoạt động Iptables: Tất gói liệu kiểm tra Iptables, trình kiểm tra thực cách dùng bảng xây dựng sẵn (queues) Có ba loại bảng Iptables gồm: 85 Loại Queue Chức Queue Quy tắc xử lý gói (Chain) Input Filter Lọc gói Forward Output Prerouting Network Address Translation (Biên dịch địa mạng) NAT Postrouting Output Mangle Chỉnh sửa TCP header Prerouting Postrouting Output Input Forward Chức Chain Lọc gói đến firewall Lọc gói liệu đến server khác kết nối NIC khác firewall Lọc gói khỏi firewall Việc thay đổi địa diễn trước định tuyến Thay đổi địa đích giúp gói liệu phù hợp với bảng định tuyến firewall Sử dụng destination NAT hay DNAT Việc thay đổi địa diễn sau định tuyến Sử dụng source NAT hay SNAT NAT sử dụng cho gói liệu xuất phát từ firewall Điều chỉnh bit quy dịch chất lượng dịch vụ trước dẫn đường Mangle table: Chịu trách nhiệm thay đổi bits chất lượng dịch vụ TCP header như: TOS (type of service), TTL (time to live) MARK Filter queue: Chịu trách nhiệm thiết lập lọc (packet filtering) Nó gồm có ba quy tắc nhỏ (chain) để thiết lập nguyên tắc lọc gói, bao gồm: Forward chain: Lọc gói đến server khác Input chain: Lọc gói vào server Output chain: Lọc gói khỏi server 86 NAT queue: Thực chức NAT (Network Address Translation) gồm có hai loại: Pre-routing chain: NAT từ vào nội Quá trình NAT thực trước thực thi chế định tuyến (routing) Điều thuận lợi cho việc đổi địa đích để địa tương thích với bảng định tuyến firewall, gọi NAT đích destination NAT hay DNAT Post-routing chain: NAT từ Quá trình NAT thực sau thực chế định tuyến, trình nhằm thay đổi địa nguồn gói tin Kỹ thuật gọi NAT one-to-one many-to-one, gọi Source NAT hay SNAT (ii) Đối với Snort inline: Là phiên sửa đổi snort (IDS-Instruction Detection System) Nó chấp nhận gói tin từ Iptables IPFW qua libipq (Linux) làm chệch hướng socket (FreeBSD) Nó nhận gói tin gửi từ Netfilter firewall với trợ giúp thư viện linipq, so sánh chúng với dấu hiệu xâm nhập snort drop chúng giống với luật thiết lập sẵn Sau gửi chúng lại Netfilter nơi mà snort inline drop gói tin Snort inline phần mềm phát xâm nhập mã nguồn mở hoạt động dựa dấu hiệu cho phép giám sát, phát dấu hiệu công mạng Snort nhiều tổ chức, doanh nghiệp phát triển biến thành sản phẩm thương mại Sourcefire, Astaro… Snort inline chủ yếu IPS dựa luật, nhiên input plug-in tồn để phát bất thường header giao thức Snort sử dụng luật lưu trữ file text, chỉnh sửa người quản trị Các luật nhóm thành kiểu Các luật thuộc loại lưu file khác File cấu hình Snort inline snort.conf Snort inline đọc luật vào lúc khởi tạo xây dựng cấu trúc liệu để cung cấp luật để bắt giữ liệu Tìm dấu hiệu sử dụng chúng luật vấn đề đòi hỏi tinh tế, sử dụng nhiều luật lực xử lý đòi hỏi để thu thập liệu thực tế Snort inline có tập hợp luật định nghĩa trước để phát hành động xâm nhập Các luật snort inline có tính mở, cho phép người quản trị mạng tạo luật thêm vào luật Chúng ta xóa vài luật tạo trước để tránh việc báo động sai C c đ c điểm Snort inline: - Hỗ trợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows… 87 - Có khả phát số lượng lớn kiểu thăm dò, xâm nhập khác như: Buffer overflow, CGI-attack, dò tìm hệ điều hành, ICMP, virus… - Phát nhanh xâm nhập theo thời gian thực - Cung cấp cho nhà quản trị thông tin cần thiết để xử lý cố bị xâm nhập - Giúp người quản trị tự đặt dấu hiệu xâm nhập cách dễ dàng - Là phần mềm mã nguồn mở không tốn chi phí đầu tư Hình 3.12 Mô hình IP Snort Các thành phần Snort inline: Snort inline xây dựng với mục đích thỏa mãn tính sau: Có hiệu cao, đơn giản có tính uyển chuyển cao Các Thành phần Snort gồm có (Các thành phần dựa sở thư viện Libpcap, thư viện cung cấp khả lắng nghe lọc packet mạng): 88 Hình 3.13 Quá trình xử lý gói Bộ packet sniffer (Bộ bắt gói): Bộ bắt gói thiết bị (phần cứng hay phần mềm) đặt vào hệ thống, làm nhiệm vụ bắt lưu lượng vào mạng Bộ bắt gói cho phép ứng dụng hay thiết bị có khả nghe toàn liệu hệ thống mạng Bộ Preprocessor (Bộ tiền xử lý): Sau bắt toàn gói tin, lúc gói tin chuyển đến tiền xử lý để kiểm tra gói tin có hợp lệ hay không Bộ tiền xử lý so sánh gói tin với plug-in (ví dụ RPC Plug-in, HTTP Plug-in, port scanning Plug-in,…) Các gói tin kiểm tra hành vi xem có khớp với hành vi nêu plug-in hay chưa, khớp rồi, gói tin chuyển đến phận phát xâm nhập Bộ phát (Detection engine): Sau gói tin qua tiền xử lý, chúng chuyển đến phận phát xâm nhập Nếu gói tin giống với luật nào, chúng gửi đến xử lý cảnh báo Mỗi dấu hiệu xâm nhập thể luật (rule) Vậy Snort quản lý tập luật nào? Snort dùng cấu trúc liệu để quản lý luật gọi Chain Headers Chain OptionS Cấu trúc liệu bao gồm dãy header Header liên kết đến dãy Option Sở dĩ dựa Header thành phần thay đổi luật viết cho kiểu phát xâm nhập Option thành phần dễ sửa đổi Hệ thống ghi cảnh báo (Logging Alerting): Dùng để thông báo cho quản trị mạng ghi nhận lại hành động xâm nhập hệ thống (iii) So sánh Iptables Snort inline: - Iptables: Là hệ thống ngăn chặn xâm nhập Có khả phát công tự động ngăn chặn công Iptables đặt vành đai mạng, đủ khả bảo vệ tất thiết bị mạng 89 - Snort inline: Là hệ thống phát xâ nhập Dùng để thực việc giám sát, theo dõi thu thập thông tin từ nhiều nguồn khác Snort inline nằm phía sai firewall Với nội dung đề tài chống công từ chối dịch vụ nên qua thực nghiệm kiểm tra thấy Iptables làm việc hiệu quả, giới hạn số lượng package gửi đến, làm cho hệ thống chống lại công theo kiểu “ngập lụt” hệ thống Các tùy chọn linh hoạt, thiết lập luật tùy theo mức độ cho phép số lượng gói tin vào hệ thống Việc sử dụng kết hợp Iptables với Snort inline tạo hệ thống IPS hoạt động ổn định, dễ cấu hình, dễ dàng tinh chỉnh cần thiết Ngoài ta sử dụng tường lửa FortGuard Firewall để thực chống DoS cài đặt máy chủ Website FortGuard Firewall giải pháp giúp người dùng chống lại công DoS với độ xác hiệu suất cao nhất… FortGuard Firewall phần mềm tường lửa Anti-DDoS nhỏ mạnh mẽ với Intrusion Prevention System (IPS) sẵn có Nó bảo vệ máy tính bạn chống lại công DDoS xác với hiệu suất cao FortGuard Firewall chống lại SYN, TCP Flooding loại công DDoS khác khả thấy gói công thời gian thực Chương trình cho phép bạn vô hiệu hóa/ kích hoạt truy cập qua proxy vào tầng ứng dụng ngăn chặn 2000 kiểu hoạt động hacker Hình 3.14 Công cụ FortGuard Firewall 90 KẾT LUẬN Với cố gắng nỗ lực thân giúp đỡ, hướng dẫn tận tình quý thầy cô Viện Công nghệ thông Tin học trường đại học Bách khoa Hà Nội, đặc biệt thầy giáo TS Nguyễn Đình Hưng hoàn thành luận văn Với đề tài “Nghiên cứu bảo mật thông tin cho hệ thống website” mục đích nghiên cứu ban đầu phân tích số phương thức công điển hình website phương pháp ngăn chặn, đến thời điểm luận văn đạt vấn đề như: có nhìn tổng quan số kỹ thuật công website như: XSS, Buffer Over, SQL Injection, DoS Và sâu vào phân tích cách cụ thể phương pháp, cách thức hoạt động, kỹ thuật số kỹ thuật công website điển hình như: XSS, SQL Injection, DoS Luận văn hoàn thành có ý nghĩa thực tiễn trở thành tài liệu tham khảo cho người đọc muốn tìm hiểu vấn đề liên quan đến công website: hiểu số cách thức công website điển hình phương pháp ngăn chặn, đặc biệt có chương trình mô để giúp người đọc – người yêu thích công nghệ thông tin có nhìn sâu sắc để có biện pháp bảo vệ an toàn sử dụng Internet Luận văn đạt kết sau: - Nghiên cứu số kỹ thuật công website như: XSS, Buffer Overfow, SQL Injection, DoS - Qua nghiên cứu đề xuất số biện pháp ngăn chặn bảo vệ - Thử nghiệm công DoS công cụ Các vấn đề nghiên cứu phát triển sau đề tài: Do phạm vi thời gian làm đồ án có hạn, nên đề tài dừng lại việc mô kỹ thuật công website công cụ Đề tài vấn đề thời sự, thu hút quan tâm nghiên cứu nhiều người Do đó, thời gian tới, cố gắng tiếp tục tìm hiểu thêm kỹ thuật công, tìm thêm điểm yếu để cảnh báo người dùng Đồng thời sẽ tìm hiểu đưa biện pháp phòng chống, ngăn chặn công cách cụ thể chi tiết 91 TÀI LIỆU THAM KHẢO Tài liệu tiếng việt: [1] Phan Đình Diệu – Lý thuyết mật mã an toàn thông tin, Đại học quốc gia Hà Nội 2002 [2] Lê Đình Duy – Tấn công Kiểu SQL Injection – Tác hại cách phòng tránh - Đại học Khoa học Tự nhiên TPHCM 2003 [3] Nguyễn Thanh Nghị - Tấn công từ chối dịch vụ DoS, DdoS, DRDoS – HVA-2008 [4] Đặng Hải Sơn – Lỗi bảo mật ứng dụng web cách khắc phục – Trung tâm ứng cứu khẩn cấp máy tính Việt Nam [5] Nguyễn Duy Thăng, Nguyễn Minh Thu- Nghiên cứu số vấn đề bảo mật- CNTT -2003, ĐHKHTN Tp.HCM [6] Trịnh Nhật Tiến – Giáo trình an toàn liệu – Khoa công nghệ thông tin, Đại học quốc gia Hà Nội [7] Nguyễn Anh Tuấn – Bài giảng An ninh Mạng- Trung tâm TH-NN Trí Đức Tài liệu tiếng anh: [8] T.Peng, C Leckie, and K Ramamohanarao Detecting distributed denial of service attacks using source ip address monitoring 2003 [9] Justin Clarke SQL Injection Attacks and Defense Published in 2009 and printed in United State of America [10] Rafeeq Ur Rehman Intrusion Detection Systems with Snort: Advanced IDS Techniques with Snort, Apache, MySQL, PHP, and ACID [11] Michael Rash Firewalls Attack Detection and Response with Iptables, Psad And Fwsnort [12] http://www.sqlsecurity.com/ [13] http://www.nextgenss.com/papers/ [14] http://www.jmu.edu/computing/info-security/engineering/issues/ [15] www.microsoft.com/technet/support/ [16] http://online.securityfocus.com/archive/1/27037/2002-05-09/2002-05-15/0 92 ... thuật đảm bảo an toàn thông tin mang lại tin cậy cho sản phẩm hệ thống Đảm bảo an toàn thông tin đảm bảo an toàn kỹ thuật cho hoạt động sở hạ tầng thông tin, bao gồm đảm bảo an toàn cho phần cứng... vệ hệ thống thông tin, đảm bảo đảm cho hệ thống thực chức năng, phục vụ đối tượng cách sẵn sàng, xác, tin cậy An toàn công nghệ thông tin đảm bảo an toàn kỹ thuật cho sản phẩm, dịch vụ hệ thống. .. Luận văn Nghiên cứu bảo mật thông tin cho hệ thống website” đáp ứng phần nhu cầu cấp thiết an ninh bảo mật Xây dựng nên quy trình phục vụ cho việc kiểm tra phát điểm yếu an toàn thông tin ứng