Đang tải... (xem toàn văn)
Kiểm toán các hoạt động khai thác mạng là phương pháp hữu hiệu giúp cải thiện chính sách an ninh ngày càng phù hợp đối với một hệ thống thông tin trực tuyến. Ngoài ra kết quả Kiểm toán cũng có thể phát hiện các cuộc tấn công mạng khi đang “âm thầm” tiến hành hoặc ngay khi ở giai đoạn chuẩn bị. Mặc dầu vậy còn rất nhiều hệ thống thông tin trực tuyến ở Việt nam vẫn chưa coi trọng vai trò của kiểm toán an ninh. Mục tiêu của luận văn là xây dựng một mô hình kiểm toán an ninh nhằm chứng minh tầm quan trọng của Kiểm toán trong công tác đảm bảo An toàn thông tin. Để áp dụng mô hình Kiểm toán, chúng tôi đã xây dựng một Cổng thông tin (Portal) thử nghiệm “Quản lý điểm sinh viên của trường đại học Võ Trường Toản” trên Hệ thống nền nguồn mở Liferay. Kết quả của việc kiểm toán trên Hệ thống thông tin trực tuyến thử nghiệm này là các thống kê hoạt động người dùng khi truy cập hệ thống, nhận dạng các dấu hiệu vi phạm bao gồm vi phạm người dùng, dấu hiệu tấn công và kiểm toán trên hệ thống máy chủ. Kết quả của luận văn có thể được ứng dụng để hỗ trợ xây dựng một quy trình Kiểm toán an ninh hiệu quả và phù hợp cho một Hệ thống thông tin trực tuyến tại Việt nam. Từ khóa: kiểm toán, kiểm toán hệ thống trực tuyến, cổng thông tin điện tử, mô hình kiểm toán, kiểm toán nhật ký.
Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến LỜI CAM ĐOAN Tôi xin cam kết toàn nội dung luận văn “Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến” hoàn thành kết nghiên cứu với hướng dẫn Thầy TS Lê Quyết Thắng, trừ lý thuyết ghi rõ phần tài liệu tham khảo luận văn Luận văn chưa công bố công trình Cần Thơ, ngày tháng năm 2016 Ký tên Phạm Chí Vọng PHẠM CHÍ VỌNG I Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến LỜI CẢM ƠN Trong trình nghiên cứu viết luận văn nhận quan tâm, hướng dẫn, giúp đỡ nhiều tập thể, cá nhân trường Tôi xin chân thành cảm ơn quan tâm bảo quý Thầy Cô trường Đại học Cần Thơ; xin chân thành cảm ơn Ban giám hiệu, quý Thầy Cô bạn sinh viên trường Đại học Cần thơ hỗ trợ giúp đỡ hoàn thành luận văn tốt nghiệp Đặc biệt, xin gởi lời cảm ơn sâu sắc tới Tiến sĩ Lê Quyết Thắng trực tiếp hướng dẫn, bảo tận tình để hoàn thành tốt luận văn Cuối cùng, xin chân thành cảm ơn anh, chị, bạn bè đồng nghiệp tạo điều kiện khích lệ hoàn thành luận văn Cần Thơ, ngày tháng năm 2016 Ký tên Phạm Chí Vọng PHẠM CHÍ VỌNG II Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC HÌNH v DANH MỤC TỪ VIẾT TẮT vii TÓM TẮT viii ABSTRACT ix Chương 1: GIỚI THIỆU .1 1.1 Mở đầu .1 1.1.1 Tổng quan 1.1.2 Phạm vi nghiên cứu 1.2 Cấu trúc luận văn .3 Chương 2: LÝ THUYẾT CƠ BẢN 2.1 An toàn hệ thống thông tin 2.1.1 Xây dựng hệ thống bảo mật 2.1.2 Chiến lược bảo mật hệ thống AAA 2.2 Cổng thông tin điện tử, Liferay, cấu trúc log 13 2.2.1 Khái niệm portal portlet 13 2.2.2 Liferay portal [8][9] 13 2.2.3 Cấu trúc tập tin log 16 Chương 3: MÔ HÌNH KIỂM TOÁN 21 3.1 Xây dựng quy trình Quản lý rủi ro 21 3.2 Mô hình Kiểm toán an ninh trực tuyến 30 Chương 4: XÂY DỰNG HỆ THỐNG KIỂM TOÁN 35 4.1 Mô tả hệ thống 35 4.2 Xác định mối đe dọa vùng dể tổn thương hệ thống 37 4.3 Mối đe dọa từ hệ thống máy chủ .38 4.4 Phân tích kiểm soát 40 PHẠM CHÍ VỌNG III Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến 4.5 Đánh giá, phân tích ảnh hưởng mối đe dọa 42 4.6 Nhận định mối rủi ro 43 Chương 5: MÔ HÌNH KIỂM TOÁN HỆ THỐNG 48 5.1 Xây dựng mô hình kiểm toán hệ thống 48 5.1.1 Kiểm toán hệ thống Liferay .49 5.1.2 Kiểm toán truy cập vào hệ thống web từ bên 53 5.1.3 Kiểm toán hệ thống máy chủ .59 5.2 Kết thực 59 Chương 6: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 67 6.1 Kết đạt 67 6.2 Hướng phát triển đề tài .67 TÀI LIỆU THAM KHẢO 69 PHẠM CHÍ VỌNG IV Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến DANH MỤC HÌNH Hình Hình Hình Hình Hình Hình Hình Hình 2.1 Mô hình bảo mật thông tin CIA 2.2 Cấu trúc MVC Liferay .14 2.3 Service-builder phân chia code thành tầng (javabeat.net) .15 2.4 Sơ đồ mô tả hoạt động log4j (logging.apache.org) 16 3.1 Quy trình quản lý rủi ro hệ thống [4] 22 3.2 Mô hình kiểm toán an ninh [4] 31 5.1 Mô hình hệ thống trực tuyến .48 5.3 Mô hình chuyển log vào sở liệu Snort [1] 54 PHẠM CHÍ VỌNG V Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng DANH MỤC BẢNG 2.1 Kế thừa Logger level 18 2.2 Các thông số log4j 19 3.1 Các tiêu chuẩn an ninh 25 3.2 Khả xuất mối đe dọa 27 3.3 Định nghĩa mức độ ảnh hưởng mối đe dọa 27 3.4 Các cấp độ rủi ro .29 3.5 Mô tả cấp độ rủi ro .29 4.1 Một số lỗ hỏng Liferay (web.liferay.com) 39 4.2 Phân loại mối đe dọa hệ thống 42 4.3 Phân loại mức độ ảnh hưởng rủi ro 43 4.4 Ảnh hưởng mối đe dọa 43 4.5 Phân loại mức độ ảnh hưởng mối đe dọa 43 5.1 Kết thực nghiệm 65 5.2 Kết thực nghiệm 66 PHẠM CHÍ VỌNG VI Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến DANH MỤC TỪ VIẾT TẮT AAA: Access control – Authentication - Auditing ACLs: Access Control List CIA : Confidentiality - Integrity - Availability CMS: Content Management System DAC: Discretionary Access Control DDOS: Distributed Denial of Service JCL: Apache common logging MAC: Mandatory Access Control MVC: Model–view–controller NIST: National Institute of Standards and Technology RBAC: Role Based Access Control SOA: Service Oriented Architecture SQL: Structured Query Language WCM: Web Content Management XSS: Cross-site Scripting PHẠM CHÍ VỌNG VII Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến TÓM TẮT Kiểm toán hoạt động khai thác mạng phương pháp hữu hiệu giúp cải thiện sách an ninh ngày phù hợp hệ thống thông tin trực tuyến Ngoài kết Kiểm toán phát công mạng “âm thầm” tiến hành giai đoạn chuẩn bị Mặc dầu nhiều hệ thống thông tin trực tuyến Việt nam chưa coi trọng vai trò kiểm toán an ninh Mục tiêu luận văn xây dựng mô hình kiểm toán an ninh nhằm chứng minh tầm quan trọng Kiểm toán công tác đảm bảo An toàn thông tin Để áp dụng mô hình Kiểm toán, xây dựng Cổng thông tin (Portal) thử nghiệm “Quản lý điểm sinh viên trường đại học Võ Trường Toản” Hệ thống nguồn mở Liferay Kết việc kiểm toán Hệ thống thông tin trực tuyến thử nghiệm thống kê hoạt động người dùng truy cập hệ thống, nhận dạng dấu hiệu vi phạm bao gồm vi phạm người dùng, dấu hiệu công kiểm toán hệ thống máy chủ Kết luận văn ứng dụng để hỗ trợ xây dựng quy trình Kiểm toán an ninh hiệu phù hợp cho Hệ thống thông tin trực tuyến Việt nam Từ khóa: kiểm toán, kiểm toán hệ thống trực tuyến, cổng thông tin điện tử, mô hình kiểm toán, kiểm toán nhật ký PHẠM CHÍ VỌNG VIII Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến ABSTRACT The audit of network exploiting activities is the effective method to help improve security policies more suitable to the online information system Additionally, auditing results may also realize the hidden network attacks or even attacks in the preparatory phase Nevertheless, many online systems in Vietnam have not highly appreciated the role of security audits yet The goal of the thesis is to construct a model of the security audit to prove the importance of the audit in information security To test audit models, we have established an experimental portal, “System of Managing Student’s Marks" in Vo Truong Toan University, based on the system of Liferay opening source The result of the audit on the experimental system is the statistics on users' activities, the realization of violating signs from users, signs of attacks and the audit on the server system The result of the thesis can be applied to support to construct security audit processes effectively and suitably for online information systems in Vietnam Keywords: audit, online system audit, portal, audit model, log audit PHẠM CHÍ VỌNG IX Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến Chương 1: GIỚI THIỆU 1.1 Mở đầu 1.1.1 Tổng quan Hệ thống thông tin trở thành phận công ty, tổ chức ngày có nhiều tổ chức sử dụng hệ thống trực tuyến để xây dựng chức mô hình trực tuyến mà từ hệ thống người truy cập sử dụng đâu có Internet môi trường mạng nội Ở trường đại học Cần Thơ có nhiều chức hệ thống nâng cấp lên hệ thống thông tin trực tuyến hệ thống đăng ký học phần trực tuyến, e-learning Từ ngày 1/12/2015 ngân hàng cho phép doanh nghiệp nộp thuế qua hình thức điện tử thay nộp quầy trước Chính phủ điện tử triển khai từ tháng 1/2006 bước tiến lớn tiến trình cải cách hành chính… tất cho thấy hệ thống trực tuyến nhanh chóng phát triển trở thành xu tất yếu thời đại Tuy theo thống kê năm 2015 số an toàn thông tin nước ta khoảng 46,4% chưa tới 50% Theo báo cáo an toàn thông tin VNISA “hiện trạng an toàn thông tin 2015” có đến 39% tổ chức chưa quan tâm đến tình hình an toàn thông tin, có 10% hệ thống ghi nhận lại phân tích dấu hiệu bất thường, 26% doanh nghiệp có kế hoạch đào tạo công nghệ thông tin, có 0,4% tổ chức triển khai hệ thống an toàn thông tin Với số thống kê trên, cho thấy quan tâm quan doanh nghiệp an toàn thông tin thấp Yêu cầu cấp thiết cần đẩy mạnh, nâng cấp khả đảm bảo an toàn thông tin cách đa dạng tùy mức độ an toàn cho hệ thống thông tin trực tuyến Để xây dựng hệ thống thông tin trực tuyến cần tiến hành đồng giải pháp bản: - Xây dựng Chính sách an ninh (Security Policy) phù hợp với Hệ thống thông tin Xây dựng Quy trình Kiểm toán an ninh (Security Audit) phù hợp với Chính sách an ninh Áp dụng Mô hình Tin cậy (Trust Model) đáp ứng yêu cầu mức độ An toàn thông tin, đồng thời phải đáp ứng bốn tiêu chí: (1) An toàn Xác thực (Athentication), (2) Bảo mật Riêng tư (Confidentiality/Privacy) (3) Toàn vẹn (Integrity) (4) Không thoái thác (Non-Repudiation) Trong đó, giải pháp Kiểm toán an ninh đóng vai trò quan trọng hàng đầu nhằm Phát vi phạm (bao gồm công) Nâng cao khả Bảo mật PHẠM CHÍ VỌNG Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến Dynamic: giữ trạng thái nhàn rõi luật khác kích hoạt sau hoạt động luật Drop: khóa ghi log gói tin Reject: khóa, ghi log gói tin gửi trả lời đến máy gửi Sdrop: khóa gói tin không ghi log Protocol: giao thức định nghĩa rule Address: địa nguồn, địa đích gói tin Port: định cổng giao thức rule lọc Rule Options: thành phần sau hearder luật đặt dấu ngoặc đơn điều kiện để lọc gói tin Để thực việc Snort có hệ thống từ khóa để luật so sánh, đối chiếu với thông tin gói tin Trong luật có nhiều rule options chúng phân cách với dấu chấm phẩy “;” Gói tin lọc thông qua toàn rule options (hay phép toán AND) Có nhiều rule options Snort ta tham khảo http://manual.snort.org/ Vì thế, chúng cho ta nhiều lựa chọn biến đổi linh động luật để phát biến đổi đa dạng dạng xâm nhập, công Ví dụ: để phát công XSS từ URL máy chủ ta xây dựng rule đơn giản sau: alert tcp $HOME_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"XSS Attack"; flow:to_server,established;uricontent:"script"; classtype:Webapplication-attack; sid:9099;) ý nghĩa luật lọc gói tin có giao thức TCP mạng $HOME_NET cổng đến máy chủ cổng $HTTP_PORTS ghi lại thông báo “XSS Attack” URL truy cập tìm thấy từ khóa “script”, phân lớp công Web-application-attack, có id 9099 Một số dạng xâm nhập công phổ biến [1][10] Scan port Scan port dùng để phát cổng mở hệ thống, bước đầu để hacker tìm khai thác lổ hổng hệ thống Hiện có nhiều cách thức công cụ để thực scan port máy chủ Nguyên lý: scan port gửi gói tin đến cổng cần scan sau dựa vào gói tin trả lời, quy tắc kết nối hệ thống mạng (bắt tay bước, gói tin trả lời ) để biết cổng hệ thống mở Một số dạng scan port phổ biến SYN, NULL, ACK, UDP scan … PHẠM CHÍ VỌNG 55 Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến Nhận dạng scan port snort: hệ thống ghi nhận gói tin từ chối (các gói tin có cờ RST gói tin TCP phản hồi từ cổng đóng) người dùng bình thường truy cập vào cổng bị đóng này, thêm vào số lượng lớn gói tin trả với thời gian ngắn dấu hiệu để Snort nhận dấu hiệu scan port Để bật tính phát scan port Snort file snort.conf ta bỏ dấu # dòng sau: preprocessor sfportscan: proto {all} memcap {10000000} sense-level {low} proto: giao thức cần theo dõi Memcap: dung lượng tối đa tính Bytes để lưu trữ phát scan port Sense-level: có mức Low: để nhận dạng scan port việc giám sát số lượng gói tin sử dụng để scan port thời gian 60 giây Với tùy chọn ta nhận biết xác đợt scan port nhiên phát xác với loại scan có gói tin phản hồi không thông qua tường lửa tường lửa nhận dạng xóa gói tin scan port ACK scan Medium: phát scan port cách giám sát số lượng gói tin Nó khắc phục nhược điểm tùy chọn low nhiên phát sai dịch vụ có nhiều kết nói High: theo dõi máy chủ tính toán gói tin để đưa nhận định có phải scan port không Tấn công XSS Là kiểu công phổ biến nay, kiểu công có nhiều dạng, biến đổi không ngừng khai thác nhiều lổ hổng, lại dễ dàng công có bất cẩn nhỏ người dùng cuối XSS từ viết tác Cross-Site Scripting với kiểu công hacker chủ yếu đưa đoạn scipt vào URL, form điền thông tin website chế phát loại bỏ mã độc hacker khai thác lấy cấp thông tin cá nhân máy nạn nhân Ví dụ: truy cập vào trang web có tên miền www.abc.com hacker thêm vào đoạn http://www.abc.com/index.php?query=alert('lỗi PHẠM CHÍ VỌNG 56 Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến XSS!'); truy cập vào URL mà trang web xuất thông báo “lỗi XSS” trang web chứa lổ hổng XSS Ví dụ kiểu scan XSS đơn giản thực tế hacker có nhiều kiểu biến đổi đa dạng mã hóa mã đọc, dùng thẻ phức tạp, chèn thêm file chứa mã độc để nhận biết kiểu công đòi hỏi người quản trị phải thu thập thường xuyên dạng biến đổi kiểu công để cập nhật vào tường lửa, hệ thống phát xâm nhập vá website Nhận dạng XSS snort: phần cho ta rule để nhận dạng kiểu công đơn giản XSS để bảo đảm ta cần phải nhận biết đoạn script chứa mã độc giải mã, ví dụ URL http://www.abc.com/index.php?query=alert('lỗi XSS!'); truyền mã hóa sau: http%3A%2F%2Fwww.abc.com%2Findex.php%3Fquery%3D%3Cscript%3Ealert(' l%E1%BB%97i%20XSS!')%3B%3C%2Fscript%3E để nhận biết XSS ta cần phải nhận biết ký hiệu ” mã hoái nên rule viết lại sau: alert tcp $HOME_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"NIICross-site scripting attempt"; flow:to_server,established; uricontent:".php";pcre:"/((\%3C)|)/i"; classtype:web-application-attack; sid:9000; rev:5;)[10] SQL Injection SQL Injection hình thức công web phổ biến Kiểu công khai thác lổ hổng người viết code tương tác với sở liệu thông qua thông tin khách hàng nhập từ form Hacker chèn thêm đoạn mã chứa từ khóa câu lệnh SQL để tìm cách truy xuất vào thông tin sở liệu Đây kiểu công vô nguy hiểm xâm nhập vào sở liệu website chiếm quyền admin, xóa thông tin nên làm tổn thất vô lớn cho công ty hacker khai thác lổ hổng website Lỗi SQL Injection phát sinh người viết code đưa trực tiếp liệu nhập người dùng vào câu truy vấn SQL, lợi dụng vào kẻ hở hacker chèn thêm đoạn câu truy vấn đăng nhập hacker chèn vào đoạn or 1=1 để trả trạng thái câu truy vấn nên dù không nhập username password hacker đăng nhập thành công vào hệ thống Khi phát có lổ hổng, hacker chèn thêm vô số câu truy vấn SQL khác để lấy thông PHẠM CHÍ VỌNG 57 Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến tin (SELECT), thêm tài khoản (INSERT), xóa tin (DELETE) thực nhiều hành vi phá hoại khác cho website Nhận dạng SQL Injection snort: để nhận biết kiểu công ta cần tìm từ khóa, ký hiệu thích, ký hiệu thường dùng SQL (metacharacters) Cũng XSS hacker mã hóa liệu gửi nên rule ta cần định nghĩa phần mã hóa để đảm bảo tối ưu cho hệ thống snort Ví dụ sau đâu nhận dạng gói tin có meta-chacracters: alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection - Paranoid"; flow:to_server,established;uricontent:".php";pcre:"/(\%27)|(\')|(\-\)|(%23)|(#)/i"; classtype:Web-application-attack; sid:9099; rev:5;) DOS (Denial of Services) Cuộc công từ chối dịch vụ DOS phát triển công từ chối dịch vụ phân tán (DDOS) dạng công hao tổn tài nguyên máy đích, giảm đường truyền, giảm hay tê liệt máy chủ hay làm tính khả dụng Availability website Hiện nay, có nhiều dạng công DDOS khác ngày nguy hiểm Teardrop, Land Attack, SYS Attack, ARP Spoofing Nhận dạng DDOS snort: để đạt mục đích làm tính khả dụng máy bị công, hacker chủ yếu đưa thật nhiều kết nối lúc đến máy bị công làm cho máy chủ phục vụ liên tục bị giảm tài nguyên hệ thống dẫn đến máy không phục vụ Do để nhận dạng dạng công ta giới hạng ngưỡng gói tin gửi đến máy chủ vượt ngưỡng ghi nhận đợt công Các rule phải kết hợp với dấu hiệu bất thường đợt công SYS Attack gói tin bật cờ sys… Ví dụ rule nhận dạng SYS Attack cách nhận dạng gói tin có cờ sys giới hạn 1000 gói tin vòng phút ghi nhận đợt công SYS Attack: Alert tcp $EXTERNAL_NET any -> $HOME_NET 139 (msg:"EXTERNAL NETBIOS TCP-SYN"; flags: S; sid: 0002; classtype: unusual-client-portconnection; threshold: type threshold, track by_dst, count 1000, seconds 180;) [10] Ngoài ra, nhiều dạng công khác phát Snort Ở đây, triển khai hệ thống phát xâm nhập Snort, cài đặt trực tiếp Snort máy chủ hệ thống để phát xâm nhập Chúng không tự xây dựng toàn rules dạng xâm nhập đa dạng biến đổi đa dạng Trong đề tài, PHẠM CHÍ VỌNG 58 Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến sử dụng phần lớn rules cộng đồng xây dựng cập nhật thường xuyên để kịp thời phát kiểu công 5.1.3 Kiểm toán hệ thống máy chủ Hoạt động máy chủ thành phần quan trọng cần kiểm soát máy chủ hoạt động không ổn định toàn hệ thống trực tuyến bị ảnh hưởng Máy chủ thường đặt nơi cao, có máy điều hòa, bảo đảm an ninh tốt nên phần kiểm toán tập chung vào truy cập vào hệ thống từ xa, giám sát dịch vụ hệ thống Trên máy chủ ta cần kiểm toán hệ điều hành gồm truy cập SSH, lệnh với quyền root, lệnh người dùng root Để thực việc kiểm toán tiến hành đọc file log hệ điều hành Authtication log hệ điều hành ghi nhận thư mục /var/log/auth.log Riêng lệnh user Root không ghi nhận, ta phải tiến hành ghi nhận log file user Root cách đưa đoạn script vào file bashrc thư mục /root để chuyển hướng câu lệnh root thư mục /var/log/; PROMPT_COMMAND='str=`history 1`;com=( ${str[ ]/ } );p=`pwd`; host=`hostname`; d=`date +"%d-%m-%Y"`;com[0]=''; echo [$host] [$p] ${com[@]} >>/var/log/$d.root.log' Các log mà hệ thống ghi nhận lại giúp người quản trị nhận định xâm nhập bất hợp pháp, dịch vụ hoạt động không ổn định, giám sát lệnh gây ảnh hưởng đến hệ thống Đây chứng quan trọng cho tính phủ nhận ta nhận thấy vi phạm người dùng Dịch vụ Tomcat cần giám sát để nhận biết hoạt động bình thường dịch vụ thời xung đột dẫn đến dừng hoạt động, tắt, khởi động Các thông tin quan trọng hệ thống máy chủ phải đảm bảo chúng phải hoạt động tốt 24/24 Bất kỳ dấu hiệu ngưng hoạt động phải giám sát xem có hoạt động bình thường dịch vụ không Log hệ điều hành cho ta nhiều thông tin tùy vào trường hợp cụ thể để truy vết lại nguyên nhân Đôi thông tin nhỏ từ log giúp ta giải quyết, phát lỗi quan trọng hệ thống 5.2 Kết thực Với tảng nêu phần lý thuyết xây dựng hệ thống thông tin cho hệ thống điểm sinh viên đại học hệ thống kiểm toán truy PHẠM CHÍ VỌNG 59 Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến cập vào hệ thống trực tuyến với yêu cầu kiểm toán hoạt động người dùng vào hệ thống thông tin, truy cập máy chủ, phiên làm việc với hệ điều hành Với lý thuyết nghiên cứu trình bày, tiến hành xây dựng cổng thông tin tương đối hoàn chỉnh để tiến hành khai thác, thử nghiệm để kiểm tra an ninh hệ thống Hệ thống xây dựng từ portlet nhỏ bao gồm phần quản lý điểm sinh viên phần kiểm toán dành cho người quản trị Để thử nghiệm độ tin cậy hệ thống, tiến hành cho tài khoản vào sử dụng hệ thống, tìm kẻ hở, cố tình tạo vi phạm để xác định điểm yếu hệ thống, lỗi tồn Thêm vào đó, tạo kịch công hệ thống từ nhiều góc độ, nhiều hình thức để đánh giá khả nhận dạng, cảnh báo công hệ thống IDS hệ thống xây dựng Các liệu an ninh thu nhận tổng kết đánh giá chi tiết để nhận định hiệu hệ thống kiểm toán Trong cổng thông tin phần demo có giao diện người dùng là: Giao diện quản trị: quản trị toàn hệ thống, giao diện, tạo người dùng, kiểm toán Giao diện cho giáo viên: để người dùng có quyền giáo viên thao tác cổng thông tin quản lý điểm sinh viên gồm thao tác sau: Thêm danh sách sinh viên, chỉnh sửa thông tin sinh viên Thông tin sinh viên thêm vào từ file CSV có cấu trúc sau: [mssv,HoTen,Ngaysinh,Gioitinh,Email,Noisinh,Dantoc,Tongiao,Hokhau, Chuyennganh,Hedt,Malop,Makhoa] Ngày sinh: dd/MM/yyyy Giới tính: Nam; Nữ Thêm điểm cho sinh viên, chỉnh sửa thông tin điểm cho sinh viên Điểm sinh viên thêm từ file thêm điểm sinh viên file CSV có cấu trúc sau: [MSSV,diemgiuaky,diemcuoiky,diemchu,hocky,namhoc] Giao diện sinh viên: sinh viên có quyền xem lại điểm qua môn học xem thông tin cá nhân Điểm sinh viên tính điểm tích lũy qua học kỳ Giao diện quản trị: quản trị viên có quyền cao hệ thống, thay đổi giao diện, tạo user phân quyền truy cập hệ thống, phân quyền sử dụng PHẠM CHÍ VỌNG 60 Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến portlet Giao diện dành cho quản trị sử dụng giao diện mặc định liferay, sau thêm portlet riêng hệ thống Trong giao diện quản trị có hai portlet quan trọng portlet kiểm toán kiểm toán log hai portlet kiểm toán hệ thống: Portlet kiểm toán: thực kiểm toán, chủ yếu kiểm toán hoạt động người dùng sử dụng hệ thống chức là: Dò mật khẩu: để nhận biết vi phạm người dùng đăng nhập nhanh so với thao tác, khả thao tác mà người thực Để nhận biết vi phạm, hệ thống tìm sở liệu mà người dùng yêu cầu đăng nhập có số yêu cầu đăng nhập lần/1 giây địa IP ghi nhận lần vi phạm xuất báo cáo người quản trị có yêu cầu Không đăng nhập: chức tìm dòng liệu liệu bảng đăng nhập (không tìm thất session id bảng kiểm toán đăng nhập) lại có liệu hoạt động tương tác với hệ thống Đây lỗi quan trọng hệ thống trực tuyến cổng thông tin, lần đăng nhập người dùng sử dụng tất portlet cổng thông tin điện tử Nên việc kiểm toán session sử dụng hệ thống cần thiết Trong viết tự tạo lỗi nói trên, khả giới hạn với chức mong muốn nhận biết dạng xâm nhập, lỗi phân quyền portlet cần đăng nhập tài khoản guest thao tác Login: thực kiểm toán yêu cầu đăng nhập, đăng nhập thành công, thất bại, hủy session Tất yêu cầu đăng nhập ghi lại để thực kiểm toán Kiểm toán đăng nhập cho ta nhìn tổng quát người dùng hệ thống, số vi phạm người dùng thường xuyên đăng nhập thất bại, đăng nhập nhiều nơi mà không hủy phiên làm việc, truy vết vi phạm Ngoài kiểm toán lọc liệu theo thành công, thất bại, yêu cầu đăng nhập Hệ thống qui định tài khoản tạo session thời điểm nên tài khoản đăng nhập thành công session tồn bị hủy Ngoài ra, session tự động hủy 30 phút tài khoản người dùng không tương tác với hệ thống Activities: chức kiểm toán hoạt động người dùng hệ thống, chức liệt kê tất hoạt động người dùng từ người dùng đăng nhập hệ thống Việc kiểm toán phân biệt theo phiên làm việc (session ID) tài khoản đăng nhập hệ thống PHẠM CHÍ VỌNG 61 Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến Session id liên kết với bảng kiểm toán đăng nhập để kiểm toán thông tin người dùng, tài khoản, thời gian đăng nhập đăng xuất Đây bảng lưu vết quan trọng hệ thống kiểm toán người dùng hệ thống, lưu lại hoạt động người dùng, thời gian, phiên làm việc thông tin quan trọng có vi phạm xảy việc tìm lại lỗi truy vết thông tin iên quan đến tài khoản vi phạm Portlet kiểm toán log: thực kiểm toán log file phát sinh hệ điều hành, Liferay Để nhận biết dấu hiệu xâm nhập, dựa vào dấu hiệu nêu phần lý thuyết để phát vi phạm dấu hiệu phổ biến để tìm vi phạm Các dấu hiệu tham khảo từ nguồn tài liệu khác sách quan để phát hiện, cảnh báo vi phạm Để kiểm toán thông tin log dựa vào thời gian ghi nhận chúng để lọc thông tin theo khoản thời gian định, không nhập thời gian mặc định thông tin lấy ngày Tomcat Start-Stop: lấy thông tin khởi động tắt Tomcat Các thông tin kiểm toán để nhận khởi động tắt bất thường hệ thống Tomcat từ thông tin người quản trị truy tìm lại nguyên nhân gây họat động bất thường Tomcat đưa hướng giải phù hợp DDOS: nhận dạng vi phạm máy tính nhận nhiều yêu cầu đến máy chủ Khi có nhiều truy cập đến máy chủ từ địa ip định công từ chối dịch vụ làm chậm làm cho máy chủ khả phục vụ Khi máy khách có 200 yêu cầu đến máy chủ hệ thống ghi nhận cảnh báo, chưa đợt công cố tình từ máy khách nhiệm vụ người quản trị xem xét để xem báo cáo có trường hợp công hay không Chúng ta ý vào dòng cảnh báo có 767 yêu cầu phút có lẽ công thực có nhiều yêu cầu so với máy khách thông thường nhấp vào phần Date time để xem chi tiết yêu cầu đến máy chủ cụ thể sau: Chúng ta thấy rõ ràng đợt công từ chối dịch vụ tất yêu cầu có chung thông điệp biến cấu trúc yêu cầu thông thường Liferay từ kết luận có đợt công từ máy khách có địa IP 192.168.1.17 vào ngày 17/03/2016 Các đợt công thường với lượng lớn yêu cầu đến máy chủ với khả đáp ứng máy thực PHẠM CHÍ VỌNG 62 Xây dựng dịch vụ kiểm toán an ninh truy cập vào hệ thống trực tuyến nghiệm yếu nên giới hạn 200 lượt/ phút với khả máy chủ có cấu hình cao đưa giới hạn cao SQL filter: chức dùng để tìm truy vấn truy vấn đến hệ sở liệu Mysql dùng Spy6 driver Như trình bày Spy6 ghi nhận tất truy vấn đến Mysql có yêu cầu từ Liferay với câu truy vấn hoàn chỉnh với đối số Authentication: chức đọc dòng log hệ thống máy chủ lệnh có liên quan hệ thống từ hệ thống khởi động đến tắt hệ thống Hệ thống ghi lại hầu hết lệnh gọi tiến trình, giao dịch, kết nối SSH người dùng vào hệ thống, lệnh sudo Root Auth: tương tự chức Authentication nhiên root tài khoản quan trọng hệ thống nên cần ghi nhật ký đặc biệt cần kiểm toán riêng XSS SQL Injection: thực nhận dạng XSS SQL injection từ nguồn log Các log ghi nhận tất yêu cầu từ máy khách yêu cầu máy chủ thực qua url biến Một số thủ thuật người dùng sử dụng lỗi XSS Sql injection công máy chủ web Để nhận biết XSS, thực nhận dạng ký tự “