Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)Nghiên cứu hệ thống giám sát, chống tấn công mạng (LV thạc sĩ)
~ ii ~ LỜI CAM ĐOAN Học viên xin cam đoan luận văn “Nghiên cứu ̣ thố ng giám sát, chố ng tấ n công maṇ g” công trình nghiên cứu thân học viên Các nghiên cứu luận văn dựa tổng hợp kiến thức lý thuyết đƣợc học, hiểu biết thực tế dƣới hƣớng dẫn khoa học Thầy giáo TS Hồ Văn Hƣơng Các tài liệu tham khảo đƣợc trích dẫn đầy đủ nguồn gốc Học viên xin chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Thái Nguyên, ngày 20 tháng năm 2015 Học viên thực Lê Mỹ Trƣờng Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ iii ~ LỜI CẢM ƠN Trƣớc hết học viên xin gửi lời cảm ơn tới thầy cô giáo trƣờng Đại học Công nghệ thông tin Truyền thông - Đại học Thái Nguyên nơi thầy cô tận tình truyền đạt kiến thức quý báu cho học viên suốt trình học tập Xin cảm ơn cán nhà trƣờng tạo điều kiện tốt cho học viên học tập hoàn thành luận văn Đặc biệt, học viên xin đƣợc gửi lời cám ơn đến thầy giáo hƣớng dẫn học viên TS Hồ Văn Hƣơng - Ban yếu Chính phủ, thầy tận tình bảo giúp đỡ học viên suốt trình nghiên cứu để hoàn thành luận văn Cuối cho phép xin cảm ơn Lãnh đạo, đồng nghiệp, bạn bè, gia đình giúp đỡ, động viên ủng hộ nhiều toàn trình học tập nhƣ nghiên cứu để hoàn thành luận văn Thái Nguyên, ngày 20 tháng năm 2015 Học viên thực Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ iv ~ MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN DANH MỤC CÁC HÌNH ẢNH DANH MỤC CÁC BẢNG BIỂU Trang MỞ ĐẦU .1 Đặt vấn đề .1 Mục tiêu nghiên cứu Đối tƣợng phạm vi nghiên cứu Phƣơng pháp nghiên cứu Ý nghĩa khoa học đề tài Bố cục luận văn CHƢƠNG TỔNG QUAN AN NINH MẠNG 1.1 Tình hình an ninh mạng 1.2 Các yếu tố đảm bảo an toàn thông tin 1.3 Các mối đe dọa đến an toàn thông tin 1.4 Các lỗ hổng hệ thống .4 1.4.1 Các lỗ hổng loại C 1.4.2 Các lỗ hổng loại B 1.4.3 Các lỗ hổng loại A 1.5 Các nguy an toàn thông tin 1.5.1 Kiểu công thăm dò 1.5.2 Kiểu công truy cập 1.5.3 Kiểu công từ chối dịch vụ 1.6 Giải pháp an ninh mạng 1.6.1 Giới thiê ̣u chung về quản lý ̣ thố ng ma ̣ng 1.6.2 Hai phƣơng thức giám sát Poll Alert Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ v ~ 1.6.2.1 Phƣơng thƣ́c Poll 1.6.2.2 Phƣơng thức Alert 1.6.2.3 So sánh phƣơng thức Poll Alert 1.6.3 Giao thức quản lý giám sát mạng SNMP .9 1.6.3.1 Giới thiê ̣u SNMP - 1.6.3.2 Ƣu điể m của thiế t kế SNMP 10 1.6.3.3 Các phiên SNMP - 10 1.6.4 Kiến trúc giao thức SNMP 11 1.6.4.1 Các thành phần SNMP - 11 1.6.4.2 ObjectID - 11 1.6.4.3 Object access - 13 1.6.4.4 Cơ sở thông tin quản trị MIB - 14 1.6.5 Các phƣơng thức SNMP 15 1.6.5.1 GetRequest 15 1.6.5.2 SetRequest - 16 1.6.5.3 GetResponse 16 1.6.5.4 Trap 16 1.6.6 Các chế bảo mật cho SNMP 17 1.6.6.1 Community string 17 1.6.6.2 View 17 1.6.6.3 SNMP access control list 17 1.6.6.4 RMON - 18 1.6.7 Cấu trúc tin SNMP 18 1.6.8 Hệ thống phát ngăn chặn xâm nhập mạng (IDS/IPS) 18 1.6.8.1 Giới thiệu IDS/IPS - 18 1.6.8.2 Các thành phần chức IDS/IPS - 19 1.6.8.3 Phân loại IDS - 20 1.6.8.4 Cơ chế hoạt động hệ thống IDS/IPS 23 CHƢƠNG NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG .26 2.1 Giới thiệu chung 26 2.2 Bộ công cụ giám sát mạng – Cacti 26 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ vi ~ 2.2.1 Kiến trúc Cacti .26 2.2.2 Nguyên tắc hoạt động 28 2.2.3 Các tính 29 2.2.4 Lƣu trữ xử lý liệu hệ thống giám sát mạng Cacti .32 2.3 Bộ công cụ chống công mạng - Snort 34 2.3.1 Kiến trúc Snort .34 2.3.1.1 Module giải mã gói tin 35 2.3.1.2 Module tiền xử lý 36 2.3.1.3 Module phát - 38 2.3.1.4 Module log cảnh báo - 39 2.3.1.5 Module kết xuất thông tin - 39 2.3.2 Bộ luật Snort 40 2.3.2.1 Phần tiêu đề - 40 2.3.2.2 Các tùy chọn 43 2.3.3 Chế độ ngăn chặn Snort: Snort – Inline 46 2.3.3.1 Các chế độ thực thi Snort 46 2.3.3.2 Nguyên lý hoạt động inline mode - 47 CHƢƠNG NGHIÊN CỨU ỨNG DỤNG MÃ NGUỒN MỞ CACTI VÀ SNORT 49 3.1 Giới thiệu hệ thống giám sát, chống công mạng 49 3.2 Xây dựng mô hình giả lập để thử nghiệm giám sát, chống công mạng 49 3.2.1 Mô hình mạng trƣờng 49 3.2.2 Đề xuất mô hình 50 3.2.3 Mô hình mạng thử nghiệm 51 3.2.4 Triển khai thử nghiệm giám sát mạng 51 3.2.5 Triển khai thử nghiệm chống công mạng 60 3.2.5.1 Cấu hình Snort 60 3.2.5.2 Chƣơng trình Snort - 64 3.3 Đánh giá kết thực nghiệm .70 3.4 Kết thử nghiệm đạt đƣợc 71 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 73 TÀI LIỆU THAM KHẢO 74 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ vii ~ DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN FTP File Tranfer Protocol Giao thức truyền tập tin HTTP Hyper Text Tranfer Protocol Giao thức truyền tải siêu văn IP Internet Protocol Giao thức mạng MIB Management Information Base Cơ sở thông tin quản lý OID Object Identifier Định danh đối tƣợng LAN Local Area Network Mạng cục SNMP Simple Network Managerment Giao thức quản lý mạng đơn giản Protocol IDS Intrusion Detection System Hệ thống phát xâm nhập IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập H-IDS Host Based Intrusion Detection Hệ thống phát xâm nhập máy System chủ nhân N-IDS Network Based Intrusion Detection Hệ thống phát xâm nhập mạng System VPN Vitual Private Network Mạng riêng ảo CPU Central Processing Unit Đơn vị xử lý trung tâm DOS Denial of Service Từ chối dịch vụ DDOS Distributed Denial of Service Phân phối từ chối dịch vụ TCP Transmission Control Protocol Giao thức kiểm soát UDP User Datagram Protocol Giao thức sử dụng liệu ICMP Internet Control Message Protocol Giao thức điều khiển thông điệp Internet MAC Media Access Controllers Bộ điều khiển truy cập truyền thông PDU Protocol Data Unit Giao thức liệu đơn vị Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ viii ~ DANH MỤC CÁC HÌNH ẢNH Trang Hình 1.1 Minh họa chế Poll Hình 1.2 Minh họa chế Alert Hình 1.3 Trạm quản lý mạng 11 Hình 1.4 Minh họa trình lấy sysName.0 13 Hình 1.5 Minh họa MIB tree 14 Hình 1.6 Minh họa phƣơng thức SNMPv1…………… …………… 17 Hình 1.7 Cấu trúc tin SNMP .18 Hình 1.8 Các vị trí đặt IDS mạng 19 Hình 1.9 Mô hình NIDS 21 Hình 1.10 Hệ thống kết hợp mô hình phát 25 Hinh 2.1 Kiến trúc Cacti 26 Hình 2.2 Các thành phần hệ quản trị Cacti 28 Hình 2.3 Hoạt động hệ quản trị Cacti 28 Hình 2.4 Biểu đồ Cacti 30 Hình 2.5 Weather map cacti 31 Hình 2.6 Giám sát trạng thái thiết bị Cacti 31 Hình 2.7 Nguyên lý sở liệu RRD (RRA) .33 Hình 2.8 Biểu diễn đồ thị RRD 33 Hinh 2.9 Mô hình kiến trúc hệ thống Snort 34 Hinh 2.10 Quy trình xử lý gói tin Ethernet 35 Hình 2.11 Cấu trúc luật Snort 40 Hình 2.12 Header luật Snort 40 Hình 3.1 Mô hình mạng 49 Hình 3.2 Đề xuất mô hình 50 Hình 3.3 Mô hình thử nghiệm 51 Hình 3.4 Màn hình giao diện Cacti khởi động cài đặt .52 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ ix ~ Hình 3.5 Màn hình giao diện Cacti kiểm tra công cụ 53 Hình 3.6 Màn hình đăng nhập hệ thống 53 Hình 3.7 File SNMP services 54 Hình 3.8 Đặt cấu hình SNMP services 54 Hinh 3.9 Thêm thiết bị máy client vào cacti 55 Hình 3.10 Thêm thiết bị máy vào Cacti 55 Hình 3.11 Danh sách nội dung cần giám sát 56 Hình 3.12 Lựa chọn thiết bị muốn tạo đồ thị 57 Hình 3.13 Đồ thị máy .57 Hình 3.14 Danh sách máy có đồ thị 58 Hình 3.15 Tình trạng thiết bị đồ thị (máy 2) 59 Hình 3.16 Tình trạng thiết bị đồ thị (máy 7) 59 Hình 3.17 Giao diện hệ điều hành CentOS 5.4 60 Hình 3.18 Giao diện Base 63 Hình 3.19 Phát có máy ping 64 Hình 3.20 Phát truy cập web 65 Hình 3.21 Phát truy cập trang web với IP 66 Hình 3.22 Tiến hành DDOS vào máy ảo Centos .67 Hình 3.23 Phát công DDOS .68 Hình 3.24 Phát công PORTSCAN .69 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ x ~ DANH MỤC CÁC BẢNG BIỂU Bảng 1.1 So sánh hai phƣơng thức Poll Alert Bảng 1.2 Các phƣơng thức hoạt động SNMP Bảng 2.1 Các module tiền xử lý Bảng 2.2 Các cờ sử dụng với từ khoá flags Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ ~ MỞ ĐẦU Đặt vấn đề An ninh, an toàn thông tin (ATTT) thực trở thành vấn đề “nóng” sau loạt kiện tầm quốc gia quốc tế Vụ việc chƣơng trình thám Cơ quan An ninh quốc gia Mỹ bị đƣa công khai hàng loạt vụ công tin tặc khiến nhận thức mối quan tâm xã hội vấn đề sâu sắc rõ nét năm tới Các chuyên gia an ninh mạng đoán trƣớc kỷ nguyên Internet di động, vấn đề khủng khiếp an ninh, dự đoán trở thành thực tế Trong năm gần đây, website Internet, nhƣ liệu doanh nghiệp, tổ chức, phủ,… bị nhiều đợt công tội phạm mạng Đã có nhiều website, hệ thống mạng bị ngƣng hoạt động nhiều giờ, nhiều liệu quan trọng bị đánh cắp Những vụ công gây thiệt hại nghiêm trọng tác động tiêu cực, ảnh hƣởng trực tiếp đến nhiều cá nhân, công việc kinh doanh doanh nghiệp, ảnh hƣởng đến an ninh quốc phòng nhiều quốc gia Các vụ công mạng ngày gia tăng, với nhiều loại hình công mức độ ngày nghiêm trọng Những kẻ công có nhiều mục đích khác nhƣ: trị, tài chính, tôn giáo, gián điệp, khủng bố… nhằm đánh cắp liệu, phá hủy liệu, làm cho hệ thống bị ngƣng hoạt động, hoạt động chậm… Tấn công mạng chiến tranh không gian mạng ngày trở nên nghiêm trọng Vì việc nghiên cứu ̣ th ống giám sát , chố ng tấ n công mạng ứng dụng phòng thủ mạng để đảm bảo mạng hoạt động ổn định, bảo đảm an toàn thông tin mạng việc làm cần thiết Giải vấn đề an ninh mạng việc làm xã hội vấn đề cấp bách hiê ̣n Với tình hình cấp thiết nhƣ trên, em xin mạnh dạn nghiên cứu triển khai thành luận văn với đề tài: “Nghiên cứu ̣ thố ng giám sát, chố ng tấ n công mạng” Mục tiêu nghiên cứu + Tìm hiểu rõ hệ thống giám sát , chống công mạng mã nguồn mở + Nghiên cứu triển khai ứng dụng mã nguồn mở giám sát, chống công mạng (Cacti, Snort) Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 59 ~ Hình 3.15 Tình trạng thiết bị đồ thị (máy 2) Hình 3.16 Tình trạng thiết bị đồ thị (máy 7) Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 60 ~ * Ƣu điểm Cacti - Ưu điểm: Quản lý tập trung log, từ đƣa cảnh báo sớm (bằng email tin nhắn) gửi cho quản trị mạng có cố xảy (nhƣ đứt đƣờng truyền, chết dịch vụ, hỏng ổ cứng, hỏng card mạng, tải RAM, tải CPU, …) Dễ dàng mở rộng quản lý đến hàng vài ngàn thiết bị Miễn phí, chi phí triển khai máy tính Chạy linux nên hiệu cao Có sẵn nhiều mẫu Template đƣợc viết sẵn cho loại thiết bị mạng, máy chủ hệ điều hành khác Dễ dàng tạo Templates cho thiết bị Cho phép bổ sung nhiều chƣơng trình plugin tiện ích, cho phép triển khai nhanh chóng hệ thống quản lý tài nguyên mạng với chi phí hợp lý Hãy thử cảm nhận đƣợc khác biệt - Nhược điểm: Cacti giám sát bắt buộc ngƣời chịu trách nhiệm phải check log thƣờng xuyên nên chƣa tự động hóa đƣợc 3.2.5 Triển khai thử nghiệm chống công mạng 3.2.5.1 Cấu hình Snort Ta tiến hành cài đặt snort môi trƣờng linux Cụ thể hệ điều hành CentOS 5.4 Hình 3.17 Giao diện hệ điều hành CentOS 5.4 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 61 ~ Cài đặt Snort: cd /usr/local/ tar –zxvf /Download/snort-2.9.2.1.tar.gz cd snort-2.9.2.1/ /configure enable-dynamicplugin with-mysql make && make install mkdir /etc/snort mkdir /var/log/snort cd /etc/snort/ tar -zxvf /Download/snortrules-snapshot-2.9.2.1.tar.gz cp etc/* /etc/snort ln -s /usr/local/bin/snort /usr/sbin/snort cd /etc/snort/so_rules/precompiled/CentOS-5-4/i386/2.9.2.1/ cp * /usr/local/lib/snort_dynamicrules/ Cài đặt daq: tar zxvf daq-2.0.1.tar.gz cd daq-2.0.1 /configure && make && make install Cài đặt barnyard tar -zxvf /Download/barnyard2-1.8.tar.gz cd barnyard2-1.8/ /configure with-mysql make && make istall cp etc/barnyard2.conf /etc/snort/ mkdir /var/log/barnyard2 vim /etc/snort/barnyard2.conf config hostname: localhost config interface: eth0 output database: alert, mysql, user=snort password=123456 dbname=snort host=localhost touch /var/log/snort/barnyard.waldo Tạo phân quyền cho Snort file log: Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 62 ~ groupadd snort useradd -g snort snort chown snort:snort /var/log/snort Khởi động service mysqld: service mysqld start Cấu hình database cho Snort: mysql set password for root@localhost=password('123'); create database snort; grant create, insert, select, delete, update on snort.* to snort@localhost; set password for snort@localhost=password('123456'); exit cd /usr/local/snort-2.9.2.1/schemas/ mysql -p < create_mysql snort Kiểm tra CSDL Snort: mysql show databases; use snort; show tables; Cài đặt base: touch /var/log/snort/alert chown snort:snort /var/log/snort/alert chmod 600 /var/log/snort/alert cd /var/www/html tar -zxvf /Download/adodb4991.gz tar -zxvf /Download/base-1.4.5.tar.gz chown apache base-1.4.5 chgrp apache base-1.4.5/ vim /etc/php.ini Bỏ dấu “#”trên dòng #error_reporting = E_ALL & ~E_NOTICE lƣu lại service httpd restart Bật trình duyệt vào địa http://localhost/base-1.4.5/ Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 63 ~ Bƣớc 1: Điền đƣờng dẫn file adodb: /var/www/html/adodb , nhấn Continue Bƣớc 2: Database Name = snort Database Host = localhost Database User = snort Database Password = 123456, nhấn Continue Bƣớc 3: Tích vào “Use Authenication System” Admin User name = snort -> Password = 123456 Fullname = snort , nhấn Continue Bƣớc 4: Nhấn “Create Base AG” Quá trình cài đặt thành công giao diện hiển thị dòng successful… màu đỏ giao diện Base sau cấu hình xong login: Hình 3.18 Giao diện Base Tạo file black_list.rules white_list.rules touch /etc/snort/rules/ black_list.rules touch /etc/snort/rules/ white_list.rules module tiền xử lý sfportscan: proto { all } scan_type { all } memcap { 10000000 } sense_level { low } Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 64 ~ module tiền xử lý arpspoof module tiền xử lý arpspoof_detect_host: 192.168.92.150 00:0C:29:09:E5:3A output unified2: filename snort.log, limit 128, nostamp, mpls_event_types, vlan_event_types output database: log, mysql, user=snort password=123456 dbname=snort host=localhost Khởi động barnyard2: /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -G /etc/snort/etc/gen-msg.map -S /etc/snort/etc/sid-msg.map -d /var/log/snort/alert -f alert -w /var/log/snort/barnyard.waldo Khởi động Snort: snort -c /etc/snort/etc/snort.conf -i eth0 3.2.5.2 Chương trình Snort Ngoài luật mặc định snort nằm file *.rules thƣ mục/etc/snort/rules/, ngƣời dùng thêm luật vào file nhằm tối ƣu hóa luật Thông thƣờng, nên thêm luật vào file local.rules Khởi động Snort với lệnh snort -c /etc/snort/etc/snort.conf -i eth0 * Thực nghiệm 1: Tiến hành ping từ máy ảo Back Track Vào máy ảo CentOS bật trình duyệt vào địa http://localhost/base-1.4.5/ tiến hành đăng nhập Kiểm tra hoạt động Snort với lệnh ping đơn giản, thêm luật alert icmp any any -> !$HOME_NET any (msg:"pinging from other computer";sid:1000001;) Kết Hình 3.19 Phát có máy ping Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 65 ~ * Thực nghiệm 2: Phát truy cập web Thêm luật alert tcp 192.168.92.150 any -> any 80 (msg:"internet access alert";sid:1111110;) Bật trình duyệt vào địa bất kì, chẳng hạn http://snort.org Vào địa http://localhost/base-1.4.5/ tiến hành đăng nhập Kết Hình 3.20 Phát truy cập web Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 66 ~ * Thực nghiệm 3: Phát truy cập trang web với ip cụ thể Ví dụ trang web cần theo dõi http://www.vn-zoom.com/ Tiến hành ping tới trang web ta biết đƣợc ip trang 123.30.139.68 Thêm luật alert tcp 192.168.92.150 any ->123.30.139.68 (msg:"vn-zoom.com access";sid:1011019;) Bật trình duyệt vào trang web http://www.vn-zoom.com/ Vào địa http://localhost/base-1.4.5/ tiến hành đăng nhập Kết Hình 3.21 Phát truy cập trang web với IP Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 67 ~ * Thực nghiệm 4: Phát DDOS Thêm luật alert tcp any any -> 192.168.92.150 80 (msg:"DDoS detected";sid:11111111;) Từ máy ảo Back Track download tool DDOS Slowloris địa http://ha.ckers.org/slowloris/slowloris.pl Thêm quyền thực thi cho file chmod +x slowloris.pl Tiến hành DDOS vào máy ảo CentOS /slowloris.pl –dns 192.168.92.150 Hình 3.22 Tiến hành DDOS vào máy ảo Centos Vào máy ảo CentOS bật trình duyệt, vào địa http://localhost/base-1.4.5/và tiến hành đăng nhập Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 68 ~ Kết Hình 3.23 Phát công DDOS Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 69 ~ * Thực nghiệm Phát portscan Cụ thể phát kiểu portscan NULL Thêm luật alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN NULL"; flow:stateless;flags:0;sid:1000002;) Từ máy ảo Back Track chạy công cụ nmap tiến hành scan port bật máy ảo CentOS nmap –sN 192.168.92.150 Vào máy ảo CentOS bật trình duyệt, vào địa http://localhost/base-1.4.5/ tiến hành đăng nhập Kết Hình 3.24 Phát công PORTSCAN * Ƣu điểm, nhƣợc điểm Snort – IDS/IPS - Ƣu điểm: + Hệ thống hoạt động theo kiểu nhận dạng mẫu gói tin (packet) Nó so sánh gói tin trùng với gói tin mẫu công mà có, trùng khớp kết luận Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 70 ~ loại gói tin công hệ thống phát cảnh báo gởi tín hiệu tới tƣờng lửa để ngăn cản gói tin vào mạng bên + Gửi tín hiệu đến tƣờng lửa để ngăn chặn công Trƣờng hợp gọi hệ thống phát phòng chống xâm nhập (IDS/IPS) + Chỉ đƣa cảnh báo cho ngƣời quản trị mạng: Hệ thống phát xâm nhập trái phép (IDS) + Để phòng chống công xâm nhập, kết hợp hệ thống phát với hệ thống tƣờng lửa để ngăn cản gói tin công vào mạng bên Một hệ thống tƣờng lửa đƣợc sử dụng phổ biến phần mềm nguồn mở Iptables Có nhiều công cụ nguồn mở cho phép chuyển đổi luật Snort thành luật Iptables nhƣ Snort-inline, SnortSam, Fwsnort, … * Nhƣợc điểm Snort-IDS/IPS: + Nếu kiểu công Snort - IDS/IPS không nhận biết đƣợc, nên phải cập nhật luật (dấu hiệu công) thƣờng xuyên giống nhƣ cập nhật virus + Nếu hoạt động theo kiểu thông minh IDS theo dõi mạng xem có tƣợng bất thƣờng hay không phản ứng lại + Nhiều trƣờng hợp bị báo động nhầm có nghĩa trƣờng hợp công mà gây báo động 3.3 Đánh giá kết thực nghiệm Trong khuôn khổ luận văn hình ảnh chụp kết học viên thử nghiệm mô hình hoạt động hệ thống mạng có sử dụng máy chủ Ubuntu cài Cacti máy chủ CentOS cài Snort chạy ứng dụng RDDTool, Mysql, Apache, PHP… chạy dịch vụ quản trị hệ thống mạng dựa SNMP 02 máy tính cài hệ điều hành WindowsXP thiết bị switch Planet, 01 router đóng vai trò thiết bị cần đƣợc giám sát * Phân tích trình hoạt động Cacti Quá trình hoạt động mô hình dựa vào máy chủ cài đặt hệ điều hành Ubuntu phần mềm Cacti sử dụng công cụ RRDTool để hoạt động, RRDTool đƣợc thiết kế với mục đích chung “khả lƣu liệu hoạt động tốt lập đồ họa cho toàn hệ thống” Về bản, ta cần giám sát thiết bị khoảng thời gian xác định, việc sử dụng RRDTool lựa chọn hợp lý Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 71 ~ Bản chất RRDTool không tự hoạt động độc lập đƣợc Nó đóng vai trò phần mềm thu thập liệu dạng (background) RRDTool sử dụng để hiển thị thiết bị đƣợc giám sát dƣới dạng đồ họa Cacti hệ thống ngoại vi kết hợp với RRDTool sử dụng sở liệu MySQL để lƣu trữ thông tin RRDTool cần để tạo đồ thị Cacti cho phép ngƣời dùng tạo nguồn liệu (thông thƣờng kết nối SNMP để giám sát thiết bị), thu thập liệu từ thiết bị này, cho phép ngƣời dùng nhóm đồ họa lại giống nhƣ hệ thống, cho phép quản lý phân quyền cho ngƣời dùng liệu giám sát nhiều tính khác Cacti cung cấp cho ngƣời dùng nhiều khoảng thời gian để xem thông tin thu thập đƣợc Trong hình ta biết đƣợc Cacti thực tốt công việc hiển thị xu hƣớng thông tin dƣới dạng đồ thị, xem cách Cacti cho phép nhóm đồ thị để giúp ngƣời quản trị theo dõi quan sát hệ thống cách tốt * Phân tích trình hoạt động Snort Khi sử dụng Snort, hệ thống hoàn toàn phát công nhằm vào hệ thống mạng Đƣa cảnh báo kịp thời tới ngƣời dùng ngƣời quản trị hệ thống Snort đƣợc cấu hình để chạy chế độ sau: Sniffer (snort –v): Lắng nghe gói tin mạng, sau giải mã hiển thị chúng lên hình console Packet Logger (snort –l /var/log/snort): Gói tin sau giải mã đƣợc ghi log vào tập tin có cấu trúc binary hay ASCII Network Intrusion Detection System (NIDS) (snort –c /etc/snort/snort.conf –I eth0): Snort áp dụng rule vào tất gói tin bắt đƣợc Sau so khớp đƣa hành động tƣơng ứng Inline: Nhận gói tin từ iptables, sau so khớp với rule thông báo cho iptables xử lý gói tin (cho phép bỏ) 3.4 Kết thử nghiệm đạt đƣợc - Xác định nhanh nguyên nhân cố mạng trƣờng cách nhanh chóng dễ dàng Giảm thiểu công sức tìm kiếm, di chuyển nhân viên quản trị mạng Ngƣời quản trị ngồi máy trạm hệ thống mạng kiểm tra phát đƣợc cố hệ thống mạng Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 72 ~ - Thiết lập đƣợc trật tự logic địa IP cho toàn hệ thống máy tính mạng - Giám sát, can thiệp đƣợc lƣu lƣợng liệu truyền qua thiết bị nhƣ: router, Switch, CPU, nhiệt độ, HDD… - Là mã nguồn mở nên hạn chế việc lây lan virus mạng - Cảnh báo cố hệ thống - Cài đặt cấu hình hệ thống giám sát, chống công mạng mã nguồn mở Cacti Snort - Xác định xu hƣớng xảy tƣơng lai Tối ƣu hóa định mức đầu tƣ lúc, chỗ tiết kiệm đƣợc chi phí đầu tƣ vào phần mềm sở hạ tầng hệ thống mạng Mô hình quản trị mạng SNMP dựa tảng quản trị web Cacti Snort đƣợc xây dựng chạy thử nghiệm mô hình thử nghiệm trƣờng Cao đẳng Nông Lâm Thanh Hóa hệ thống thử nghiệm giám sát 01 Switch, 01 router truy cập Internet Hệ thống hoạt động tốt giúp cho ngƣời quản trị khắc phục đƣợc cố nhƣ: tải băng thông, nguy an toàn nút đó… từ đƣa đề xuất hƣớng khắc phục kịp thời Nhƣ vậy, qua số hình ảnh chụp từ hình giao diện công cụ giám sát, chống công mạng dựa tảng web Cacti Snort, thấy Cacti Snort giám sát, phát chống xâm nhập hầu hết kiện, thông số mạng thiết bị cần giám sát cách hiệu đƣợc hiển thị qua biểu đồ báo cáo cụ thể Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 73 ~ KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Thông qua trình tìm hiểu nghiên cứu, em rút số nhận xét nhƣ sau: Hệ thống giám sát, chống công mạng nói chung ứng dụng giám sát, phát xâm nhập Cacti, Snort nói riêng đóng vai trò không phần quan trọng vấn đề đảm bảo an ninh cho hệ thống máy tính Cacti, Snort giúp khám phá, phân tích nguy công Từ đó, ta tìm đƣợc thủ phạm gây công * Ƣu điểm hạn chế luận văn Do nhiểu mặt hạn chế nên so với thực tế luận văn dừng mức tìm hiểu khái niệm, nắm bắt đƣợc phƣơng thức giám sát Cacti, chế viết luật cho Snort nghiên cứu công nghệ giám sát, phát xâm nhập Cacti Snort Luận văn triển khai thử nghiệm phƣơng thức giám sát Cacti, chế độ làm việc Snort thành công hệ thống máy ảo Vmware Với đề tài bƣớc đầu tạo cho ngƣời dùng có hiểu biết hệ thống Linux đặc biệt ứng dụng giám sát, chống công mạng Cacti Snort Qua ngƣời dùng sâu vào triển khai tính nâng cao Cacti Snort Bên cạnh công việc làm đƣợc đề tài số hạn chế nhƣ: đề tài triển khai cách khái quát, chƣa vào cụ thể, chƣa có tài liệu chi tiết cho ngƣời dùng hệ thống nhƣ chƣa triển khai đƣợc phần mềm kèm Hệ thống xây dựng chủ yếu phát đƣợc dấu hiệu công mà chƣa đáp ứng đƣợc hết response có công xảy Việc cần làm sử dụng thêm phần mềm mã nguồn mở khác để việc kiểm soát an ninh thông tin cách chặt chẽ toàn diện * Hƣớng phát triển luận văn: Sau nhìn nhận lại vấn đề tồn đề tài, em có định hƣớng phát triển cho đề tài nhƣ sau: - Tiến hành đƣa đề tài vào triển khai thực tế - Nghiên cứu tích hợp công cụ để xây dựng đƣợc hệ thống hoàn thiện phục vụ cho quản trị mạng quan công tác, để hệ thống hoàn thiện ổn định Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ... hoạt động hệ thống IDS/IPS 23 CHƢƠNG NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG .26 2.1 Giới thiệu chung 26 2.2 Bộ công cụ giám sát mạng – Cacti... CHƢƠNG NGHIÊN CỨU ỨNG DỤNG MÃ NGUỒN MỞ CACTI VÀ SNORT 49 3.1 Giới thiệu hệ thống giám sát, chống công mạng 49 3.2 Xây dựng mô hình giả lập để thử nghiệm giám sát, chống công mạng. .. thức giám sát, chống công mạng: Poll, Alert, SNMP, IDS/IPS + Bộ công cụ mã nguồn mở: Cacti, Snort - Phạm vi nghiên cứu: + Tìm hiểu công nghệ, mô hình, giao thức giám sát mạng + Kiến trúc giám