Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Trang 2Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS.TS HOÀNG ĐĂNG HẢI
Phản biện 1: T.S Vũ Hữu Tiến
Phản biện 2: PGS.TS Hà Quốc Trung
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: giờ ngày tháng năm
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
Trang 3LỜI MỞ ĐẦU
Hiện nay mạng Internet ở Lào đang có sự phát triển nhanh chóng ngày càng phổ biển rộng rãi góp phần quan trọng vào phát triển kinh tế, văn hóa và xã hội tại Lào cho mọi người để trao đổi chia sẻ, tìm kiếm thông tin và các tài nguyên trên mạng Các vụ tấn công trên mạng Internet cũng tăng lên nhanh chóng, ảnh hưởng lớn đến phát triển Internet và xã hội mà các phương pháp dùng để tấn công cũng liên tục được hoàn thiện Những vụ tấn công nhằm tất cả vào các máy tính đang kết nối vào mạng Internet các máy tính tất cả của các công ty lớn, ngân hàng, các trường đại học, cơ quan, tổ chức và doanh nghiệp
Việc giám sát an toàn mạng là hoạt động lựa chọn đối tượng giám sát, phân tích trạng thái trong thông tin của đối tượng giám sát nhằm xác định những nhân tố ảnh hưởng đến an toàn hệ thống thông tin, bảo đảm tính nguyên vẹn, tính bảo mật, cảnh báo hành vi xâm phạm an toàn thông tin mạng hoặc hành vi có khả năng gây
ra sự cố an toàn thông tin mạng Hệ thống giám sát an toàn mạng cho LaoCERT sẽ góp phần quan trọng vào tăng cường năng lực theo dõi, giám sát sự cố mạng tại Lào, giúp công việc quản lý và theo dõi được tập trung và đạt hiệu quả, phù hợp với điều kiện thực tế nhằm đáp ứng nhu cầu theo dõi, giám sát các sự cố trên mạng, đưa ra cảnh báo
Trong một hệ thống giám sát an toàn mạng, các máy chủ, máy trạm, máy tính trong mạng LAN thường là mục tiêu chính trong các cuộc tấn công, truy cập trái phép hay lấy cắp thông tin, mã hoá tài liệu Hiện nay, các chương trình bảo mật, phòng chống virus bảo vệ hệ thống ( Anti-Virus, IDS, IPS, Firewall ) đã được triển khai, tuy nhiên các cuộc tấn công ngày càng tinh vi vượt qua các hệ thống này, khi đã xảy ra tấn công thì phải mất một khoảng thời gian khá dài mới phát hiện ra Ngoài ra, các chương trình firewall bảo vệ mạng hiện nay hầu hết được tích hợp trong các thiết bị phần cứng của mạng Xây dựng hệ thống giám sát
an toàn mạng là nhằm theo dõi giám sát, phát hiện các xâm nhập trái phép để giúp cho công việc quản trị mạng được tập trung và đạt hiệu quả cao
Trang 4Chương I TỔNG QUAN VỀ GIÁM SÁT AN TOÀN MẠNG
1.1 Tổng quan về một số loại tấn công mạng điển hình
1.1.2 Các giai đoạn quá trình tấn công mạng
Tấn công là một hoạt động nhằm khai thác các điểm yếu, lỗ hổng bảo mật những điểm nhạy cảm hoặc những rủi ro tiểm ẩn trong hệ thống thông tin, mà có tồn tại điểm yếu thì sẽ có nguy cơ bị tấn công Các bước thực hiện tấn công mạng
có 5 giai đoạn như sau:
Trinh sát: Tìm kiếm đối tượng tấn công và điểm yếu hệ thống
Khai thác: Là lạm dụng, làm biến chất, chia cắt các dịch vụ của mục tiêu
Tấn công: Tin tặc tìm cách chiếm quyền điều khiển, kiểm soát hệ thống
Duy trì cổng hậu: Trao đổi thông tin với máy nạn nhân thông qua cổng hậu
Phá hoại: Có chủ đích, đánh cắp các thông tin nhạy cảm, tạo nền móng vững chắc hơn bên trong hệ thống hoặc làm bất cứ gì tin tặc muốn
1.1.3 Tấn công thăm dò
Đối với loại tấn công này, kẻ tấn công chủ yếu muốn thăm dò hệ thống, và tập hợp các thông tin cần thiết xoay quanh tổ chức của hệ thống Đây là loại tấn công điển hình nhất vì muốn tấn công kiểu gì thì kẻ tấn công cũng bắt đầu bằng một cuộc tấn công thăm dò Kẻ tấn công dùng để tổ chức một cuộc đột nhập trái phép hoặc một cuộc tấn công từ chối dịch vụ (DoS)
Các hình thức tấn công kiểu thăm dò bao gồm:
In dấu chân (footprinting): In dấu chân là việc dùng các công cụ và kỹ thuật để lấy thông tin In dấu chân một cách có hệ thống sẽ cho phép kẻ tấn công lưu trữ đầy đủ về bố trí bảo mật tổ chức Thông qua kết hợp các công cụ và kỹ thuật,
kẻ tấn công có thể lấy số lượng không rõ rồi rút thành dãy tên vùng cụ thể, khối mạng, địa chỉ IP của hệ thống nối thẳng Internet
Quét (scanning): Là quét cổng để nhận dạng các điểm yếu trong hệ thống Công cụ quét cổng kết nối đến máy tính để xác định dãy địa chỉ IP, máy phục
vụ DNS nào được mở và có thể truy nhập vào máy tính
Trang 5 Liệt kê (Enumerationning): Tổng hợp thông tin về nạn nhân như các tài khoản hợp lệ hoặc các tài nguyên từ hệ thống
1.1.4 Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (DoS –Denial of Sevicec Attacks) là loại tấn công điển hình hiện nay Đây là loại tấn công mà người thực hiện có thể dùng để khiến cho một hệ thống không thể sử dụng được hoặc làm chậm hệ thống lại, khiến nó không thể phục vụ cho những người dùng truy cập vào dịch vụ của server Với loại tấn công này, kẻ tấn công cố gắng vô hiệu hóa hoặc ngắt các truy nhập mạng, khai thác tài nguyên mạng, các dịch vụ và cả hệ thống Mục đích của kẻ tấn công là làm cho hệ thống không cung cấp dịch vụ được, mất kết nối, không cho phép người dùng truy nhập ứng dụng, thay đổi nội dung, gây ảnh hưởng, thậm chí ngăn chặn quá trình đăng nhập vào các nguồn tài nguyên mạng của những người dùng hợp lệ
Các cách thức tấn công DoS chủ yếu như sau:
Tấn công kiểu SYN flood:
Kẻ tấn công gửi một lượng lớn gói tin yêu cầu mở kết nối (SYN-REQ) đến máy tính nạn nhân, máy tính nạn nhân yêu cầu kết nối và dành một chỗ trong bảng lưu kết nối trong bộ nhớ cho mỗi yêu cầu kết nối, máy tính nạn nhân sau đó gửi gói tin xác nhận kết nối SYN-ACK để thiết lập kết nối đến kẻ tấn công
Kiểu tấn công Land Attack
Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng kẻ tấn công sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó
Tấn công kiểu DDoS (Distributed Denial of Service)
Tấn công DDoS (Distributed Denial of Service) là một dạng tấn công từ nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các User bình thường Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể, nó có thể gây tình trạng tương tự như hệ thống bị shutdown, nó được tấn công từ một hệ thống các máy tính cực lớn trên Internet Cách tấn công này lợi hại ở chỗ chỉ cần
Trang 6một máy có kết nối Internet đơn giản với đường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốt nhất thế giới nếu như ta không kịp ngăn chặn
Tấn công kiểu Smurf Attack:
Tấn công Smurf là sử dụng kiểu phát quảng bá có định hướng để gây ngập lụt đường truyền mạng của máy nạn nhân Kẻ tấn công gửi quảng bá một lượng lớn gói tin ICMP (ping) với địa chỉ IP nguồn là địa chỉ của máy nạn nhân đến một mạng sử dụng một địa chỉ quảng bá (IP Broadcast address) Các máy khác trong mạng nhận được thông điệp ICMP sẽ gửi trả lời đến máy có địa chỉ nguồn IP (là máy nạn nhân) Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy
1.2.5 Một số loại tấn công khác
Tấn công giả mạo địa chỉ IP (IP Spoofing):
Là dạng tấn công trong đó kẻ tấn công sử dụng địa chỉ IP giả, thường để đánh lừa máy nạn nhân để vượt qua các hàng rào kiểm soát an ninh, nếu kẻ tấn công giả địa chỉ IP là địa chỉ cục bộ của mạng LAN Nếu Router hoặc Firewall không được cấu hình để nhận ra IP giả mạo của mạng LAN trong nội bộ kẻ tấn công có thể thực hiện
Tấn công nghe trộm (Sniffing):
Là dạng tấn công sử dụng thiết bị phần cứng hoặc phần mềm lắng nghe trên card mạng, Hub hoặc Router để bắt các gói tin
Tấn công người đứng giữa (Man in the middle):
Lợi dụng quá trình chuyển gói tin đi qua nhiều trạm, thuộc các mạng khác nhau, kẻ tấn công chặn bắt các thông điệp giữa 2 bên tham gia chuyển thông và chuyển thông điệp lại cho các bên kia, thường được sử dụng để đánh cắp thông tin
Tấn công bằng bom thư (Mail bombing):
Là dạng tấn công Dos khi kẻ tấn công chuyển một lượng lớn email đến nạn nhân, có thể thực hiện được bằng kĩ thuật Social Engineering hoặc khai thác lỗi
Trang 7trong hệ thống gửi nhận email SMTP Kẻ tấn công có thể lợi dụng các máy chủ email không được cấu hình tốt để gửi email cho chúng
Tấn công bằng thư rác (Spam emails):
Là những email không mong muốn, thường là các email quảng cáo, Spams gây lãng phí tài nguyên tính toán và thời gian của người dùng (phải lọc, xóa), Spams cũng có thể dùng để chuyển các phần mền độc hại
Tấn công kiểu Social Engineering:
Tấn công kiểu Social Engineering là dạng tấn công sử dụng kĩ thuật xã hội
để thuyết phục người dùng tiết lộ thông tin truy cấp hoặc thông tin có giá trị cho kẻ tấn công Kẻ tấn công có thể mạo nhận là người có ủy quyền của người có thẩm quyền để yêu cầu các nhân viên tiết lộ thông tin về cả nhân/ tổ chức Kẻ tấn công
có thể lập trang web giả để đánh lừa người dùng cung cấp các thông tin cá nhân, thông tin tải khoản và thẻ tín dụng
Tấn công kiểu Phishing:
Một kiểu tấn công phishing là kẻ tấn công sẽ tạo ra một trang web giả trông“giống hệt” như các trang web phổ biến Trong tấn công phishing, kẻ tấn công
sẽ gửi một email để người dùng click vào đó và điều hướng đến trang web giả mạo, khi người dùng đăng nhập thông tin tài khoản của họ, kẻ tấn công sẽ lưu lại tên người và mật khẩu đó lại
Tấn công ứng dụng web:
Tấn công ứng dụng web là khai thác các lỗ bảo mật liên quan đến ứng dụng web Các lỗi bảo mật ứng dụng web là nguyên nhân chủ yếu gây ra các lỗi đối với website đang vận hành Sau khi xác định các lỗi này, tin tặc sẽ sử dụng các kỹ thuật khác nhau để tiến hành khai thác hệ thống đích
1.2 Nhu cầu và vai trò của hệ thống giám sát an toàn mạng
Hệ thống giám sát an toàn mạng là hệ thống (bao gồm phần cứng và phần mềm) để thu thập thông tin về lỗ hổng bảo mật của các thiết bị trên mạng , các nguy cơ đe dọa hệ thống mạng, các sự cố tấn công mạng Trên cơ sở thông tin thu
Trang 8được, hệ thống phát hiện phân tích, phát hiện các dấu hiệu tấn công, các hành vi tấn công, hành vi bất thường Đưa ra cảnh báo cho người quản trị mạng, người dùng
An toàn mạng là khái niệm để biểu thị yêu cầu bảo đảm an toàn thông tin trên mạng thông qua việc bảo đảm an toàn cho các hệ thống mạng (máy chủ, máy trạm, Router, Switch, Firewall, hub và cả phần mềm trên các thiết bị đó)
Hệ thống giám sát an toàn mạng đóng vai trò rất quan trọng không thể thiếu trong hạ tầng công nghệ thông tin Nó lưu lại một cách chính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng dụng, các thiết bị đang hoạt động trong hệ thống, thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn
bộ các sự kiện an toàn mạng được sinh ra trong hệ thống thông tin của tổ chức Ngoài ra, hệ thống giám sát mạng giúp phát hiện kịp thời các tấn công mạng, điểm yếu, lô hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống mạng, các máy tính bị nhiễm mã độc và các máy tính bị nghi ngờ
Qua khảo sát thực tế tại Lào, những nhu cầu thực tế đặt ra là hạn chế và ngăn chặn những truy nhập trái phép vào hạ tầng công nghệ thông tin, ngăn chặn những kết nối không đáng tin cậy, bảo mật thông tin và mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, tích hợp vào hệ thống giám sát các chương trình diệt virus với cơ sở dữ liệu được cập nhật thường xuyên về những loại virus mới nhất
Tuy nhiên, hiện nay hệ thống giám sát an toàn mạng vẫn chưa được xây dựng một cách toàn diện ở Lào Ở LaoCERT cũng đã có thử nghiệm hững hệ thống nhỏ Nhu cầu xây dựng một hệ thống giám sát an toàn mạng cho Lào là sự cần thiết và LaoCERT sẽ là cơ quan xây dựng, triển khai hệ thống để phục vụ công tác theo dõi, phát hiện, cảnh báo sự cố an toàn mạng cho cả quốc gia Lào
Vai trò của hệ thống giám sát an toàn mạng thể hiện qua những chức năng chính như sau:
Theo dõi, giám sát tình trạng hoạt động của mạng, hệ thống các thiết bị trên mạng, các ứng dụng và dịch vụ trên mạng
Phát hiện các điểm yếu, các lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trên mạng
Trang 9 Phát hiện các máy tính bị nhiễm mã độc và các máy tính bị nghi ngờ nhiễm mã độc
Phát hiện các tấn công mạng, các xâm nhập trái phép, các lưu lượng bất thường trên mạng
Đưa ra cảnh báo kịp thời về các hiện tượng nêu trên
Nhu cầu thực tế đặt ra là cần có một hệ thống theo dõi, giám sát an toàn mạng, hỗ trợ cảnh báo về nguy cơ các tấn công Đây là một vấn đề cấp bách đặt ra đối với Bộ bưu chính Viễn thông Lào nói chung và Trung tâm ứng cứu khẩn cấp máy tính Lào -LaCERT nói riêng
1.3 Kiến trúc hệ thống mạng Internet của Lào và khả năng triển khai áp dụng hệ thống giám sát an toàn mạng
Hệ thống trung tâm LANIC (Lao National Internet Center) gồm các thiết bị lõi trong hạ tầng công nghệ thông tin của Lào cho kết nối Internet Hệ thống trung tâm bao gồm các bộ Router và Switch
Hệ thống tường lửa kết nối ra Internet gồm các thiết bị tường lửa tạo ra vành đai bảo vệ, thực hiện kiểm soát vào/ra Internet
Hệ thống hạ tầng mạng của các ISP (Internet Service Provider) Hiện tại có 5 nhà mạng kết nối vào hạ tầng Internet của Lào gồm: LTC, ETL, Unitel, Beeline
và Sky Telecom
1.4 Kết luận chương
Nội dung chương một đã nêu lên được tổng quan về một số loại tấn công mạng điển hình, làm rõ tấn công thăm dò, tấn công từ chối dịch vụ và một số loại tấn công khác Trên cơ sở đó, luận văn đã trình bày về nhu cầu và vai trò của hệ thống giám sát an toàn mạng trong kiến trúc hệ thống mạng của Lào và khả năng triển khai áp dụng hệ thống giám sát tại hệ thống trung tâm LANIC
Trang 10Chương II CÁC THÀNH PHẦN HỆ THỐNG GIÁM SÁT
AN TOÀN MẠNG
2.1 Giới thiệu chương
Nội dung chương hai sẽ giới thiệu về các thành phần, kiến trúc hệ thống, kỹ thuật theo dõi, phát hiện xâm nhập, cảnh báo của một hệ thống giám sát mạng, vấn
đề giám sát lưu lượng mạng, tấn công Chương này có đi sâu tìm hiểu một số phương thức và kỹ thuật thu thập thông tin dựa vào trích xuất gói tin thường gặp đồng thời có mô tả một số phương pháp, mô hình phát hiện lưu lượng bất thường
và kết nối bất thường
2.2 Mô hình kiến trúc hệ thống giám sát an toàn mạng
Mô hình kiến trúc hệ thống giám sát an toàn mạng là hệ thống giám sát các
sự cố, thu thập thông tin nhật ký các sự kiện an toàn mạng từ các thiết bị đầu cuối, lưu trữ dữ liệu một cách tâp trung, theo dõi tình trạng hoạt động của các thiết bị và máy tính trong hệ thống Hệ thống bao gồm một phần mềm ghi nhận thông tin và giúp người quản trị hệ thống có thể ghi nhận, theo dõi các thông tin qua nó
Trang 112.2.1 Thành phần trung tâm của hệ thống giám sát an toàn mạng
Thành phần trung tâm của hệ thống giám sát an toàn mạng có tên là Bộ quản lý sự kiện và thông tin an toàn mạng (SIEM - Security Information and Event Manager) Đây là thành phần quan trọng nhất của hệ thống giám sát an toàn mạng,
có nhiệm vụ tổng hợp và phân tích thông tin Thông tin được thu thập từ các phần mềm ghi nhận thông tin tại các thiết bị đầu cuối, các vị trí giám sát đặt trên mạng Thông tin đó được SIEM tổng hợp và tiến hành phân tích để nhận ra các cuộc tấn công, các xâm hại vào hệ thống, các dấu hiệu hành vi chính sách an toàn mạng, phát hiện bất cứ hành vi độc hại nào đã biết liên quan đến thiết bị đầu cuối Việc thu thập thông tin log từ tất cả các thiết bị mạng, các thiết bị an ninh, từ máy chủ, máy trạm và từ các ứng dụng nhằm lưu trữ lâu dài và quản lý tập trung theo thời thực, phục vụ cho công tác thống kê và điều tra khi cần thiết
2.2.2 IP sec VNP gateway
Các kết nối từ các vị trí giám sát trên mạng về trung tâm giám sát an toàn mạng được bảo mật thông qua VNP gateway, thực hiện với giao thức bảo mật IPSec
2.2.3 IDS / IPS
IDS (Intrusion Detection System) và IPS (Intrusion Prevention System) có thể là thiết bị (máy tính cài đặt phần mềm chuyên dụng) hoặc là phần mềm chuyên dụng cho phát hiện xâm nhập trái phép và ngăn chặn xâm nhập Đa phần các IDS hiện đại đều có cài đặt thêm phần chống xâm nhập, nghĩa là IPS Do vậy, hiện nay IDS và IPS được coi là một
IDS/IPS được cài đặt phương pháp phát hiện và có khả năng chống lại các kiểu tấn công mới, các hành vi lạm dụng, dùng sai xuất phát từ trong hệ thống và
có thể hoạt động tốt với các phương pháp bảo mật truyền thống Tuy nhiên ở LaoCERT hiện nay các hệ thống này vẫn mới đang được nghiên cứu, chưa được ứng dụng triển khai nhiều trong thực tế
2.3 Các chức năng tối thiểu của hệ thống giám sát an toàn mạng
2.3.1 Bốn hoạt động thiết yếu
Trang 12Mô tả bốn hoạt động thiết yếu của hệ thống giám sát an toàn mạng gồm:
Thu thập dữ liệu
Phân tích dữ liệu
Phát hiện xâm nhập
Cảnh báo
2.3.2 Các chức năng chủ yếu của hệ thống giám sát an toàn mạng
Thu thập dữ liệu (Collection)
Thu thập dữ liệu bao gồm các nhiệm vụ như sau:
Xác định các vị trí có điểm yếu tồn tại trong hệ thống của các ISP
Xác định các nguy cơ xảy ra tấn công mạng
Xác định nguồn dữ liệu có liên quan
Tinh chế nguồn dữ liệu thu thập được
Cấu hình cổng SPAN để thu thập dữ liệu gói tin từ các vị trí giám sát trên mạng
Xây dựng cơ sở dữ liệu (SAN) cho lưu giữ nhật ký
Cần hình phần cứng và phần mềm thu thập dữ liệu tại các vị trí giám sát
Phân tích dữ liệu (Analysis)
Phân tích là giai đoạn đã thu thập được những thông tin về hệ thống thì công việc tiếp theo là phân tích thông tin, cụ thể là việc thực hiện chỉ mục hóa dữ liệu, phát hiện những điều bất thường, những mối đe dọa của hệ thống
Phân tích dữ liệu có thể được thực hiện với các nhiệm vụ sau:
