Bảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại Nam
HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG NGƠ NGỌC GIANG ĐẢM BẢO AN TỒN THÔNG TIN CHO HỆ THỐNG ELEARNING TRƢỜNG ĐẠI HỌC ĐẠI NAM LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI - 2017 HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THƠNG NGÔ NGỌC GIANG ĐẢM BẢO AN TỒN THƠNG TIN CHO HỆ THỐNG E-LEARNING TRƢỜNG ĐẠI HỌC ĐẠI NAM CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ : 8480104 LUẬN VĂN THẠC SĨ KỸ THUẬT NGƢỜI HƢỚNG DẪN KHOA HỌC TS ĐỖ XUÂN CHỢ HÀ NỘI – 2017 i LỜI CAM ĐOAN Luận văn thành trình học tập nghiên cứu tơi giúp đỡ, khuyến khích q thầy sau năm tơi theo học chương trình đào tạo Thạc sĩ, chuyên ngành Hệ thống thông tin trường Học viện Cơng nghệ Bưu Viễn thơng Tơi cam đoan cơng trình nghiên cứu riêng tơi Nội dung luận văn có tham khảo sử dụng số thông tin, tài liệu từ nguồn sách, tạp chí liệt kê danh mục tài liệu tham khảo trích dẫn hợp pháp Học viên Ngô Ngọc Giang ii LỜI CẢM ƠN Tôi xin gửi lời cảm ơn tri ân tới thầy cô giáo, cán Học viện Cơng nghệ Bưu Viễn thơng giúp đỡ, tạo điều kiện tốt cho tơi q trình học tập nghiên cứu để hồn thành chương trình Thạc sĩ Tôi xin gửi lời cảm ơn sâu sắc tới thầy TS Đỗ Xuân Chợ tận tình hướng dẫn, giúp đỡ động viên tơi để hồn thành tốt Luận văn “Đảm bảo an tồn thơng tin cho hệ thống E-Learning trường đại học Đại Nam” Cuối cùng, xin chân thành cảm ơn anh chị, bạn bè thầy cô cán bộ, giảng viên trường Đại học Đại Nam giúp đỡ tơi q trình thu thập xử lý liệu Do vốn kiến thức lý luận kinh nghiệm thực tiễn nên luận văn khơng tránh khỏi thiếu sót định Tôi xin trân trọng tiếp thu ý kiến thầy, để luận văn hồn thiện Trân trọng cám ơn Hà Nội, ngày 10 tháng 11 năm 2017 Học viên Ngô Ngọc Giang iii MỤC LỤC LỜI CAM ĐOAN .i LỜI CẢM ƠN ii DANH MỤC TỪ VIẾT TẮT v DANH MỤC BẢNG vi DANH MỤC HÌNH VẼ vii MỞ ĐẦU CHƢƠNG 1: GIỚI THIỆU VỀ HỆ THỐNG E-LEARNING TRƢỜNG ĐẠI HỌC ĐẠI NAM 1.1 Tổng quan E-Learning .5 1.1.1 Hiện trạng phát triển sử dụng E-Learning giới .7 1.1.2 Hiện trạng phát triển sử dụng E-Learning Việt Nam 1.1.3 Đánh giá ưu nhược điểm E-Learning 1.2 Lựa chọn công nghệ áp dụng vào E-Learning 10 1.2.1 Một số hình thức E-Learning .10 1.2.2 Giải pháp Vlearning 11 1.3 Ứng dụng Moodle hệ thống giáo dục trực tuyến .13 1.3.1 Hiện trạng sử dụng Moodle giới Việt nam 13 1.3.2 Lựa chọn sử dụng Moodle 13 1.4 Mơ hình hệ thống E-Learning trường Đại học Đại Nam 15 1.4.1 Hạ tầng truyền thông mạng .17 1.4.2 Hạ tầng phần mềm .18 1.4.3 Nội dung đào tạo 19 1.4.4 Thành phần quản trị .20 CHƢƠNG II AN TỒN THƠNG TIN CHO HỆ THỐNG E-LEARNING TRƢỜNG ĐẠI HỌC ĐẠI NAM 29 2.1 Các nguy an tồn thơng tin hệ thống E-Learning 29 2.1.1 Khái quát mối đe dọa lỗ hổng 29 iv 2.1.2 Mục đích đảm bảo an tồn thơng tin cho hệ thống E-Learning 29 2.2 Vấn đề đảm bảo an tồn thơng tin cho hệ thống E-Learning trường Đại học Đại Nam 33 2.2.1 Một số nguy an tồn thơng tin hệ thống E-Learning trường Đại học Đại Nam 33 2.2.2 Đảm bảo an tồn thơng tin cho hệ thống E-Learning trường Đại học Đại Nam .36 CHƢƠNG III: THỰC NGHIỆM VÀ ĐÁNH GIÁ 44 3.1 Kịch công cụ thực .44 3.1.1 Kịch công 44 3.1.2 Một số công cụ thực nghiệm 45 Một số tính nâng cao Wireshark: 49 3.2 Thực nghiệm đánh giá .50 3.2.1 Thực nghiệm rà quét lỗ hổng bảo mật 50 3.2.2 Thực nghiệm công 54 KẾT LUẬN 66 IV DANH MỤC CÁC TÀI LIỆU THAM KHẢO .68 v DANH MỤC TỪ VIẾT TẮT STT Viết tắt Tiếng Anh Tiếng Việt 2FA Two-factor authentication Xác thực nhân tố CBT Computer - Based Training Đào tạo dựa máy tính DdoS Distributed Denial of Service DoS Denial of Service Attacks E-Learning Electronic Learning HTTP HyperText Markup Language Ngôn ngữ Đánh dấu Siêu văn IDS Instrution Detection Systems Hệ thống phát xâm phạm IP Internet Protocol IPS 10 SSL Secure Sockets Layer 11 TBT Technology - Based Training 12 URL Uniform Resource Locator Địa liên kết mạng 13 WBT Web - Based Training Đào tạo dựạ Web 14 XML eXtensible Markup Language 15 XSS Cross-site Scripting Tấn công từ chối dịch vụ phân tán Tấn công từ chối dịch vụ Giáo dục trực tuyến Giao thức internet Instrution Prevention Systems Hệ thống ngăn ngừa xâm nhập Chuẩn liên kết mã hóa máy chủ web trình duyệt Đào tạo dựa công nghệ Ngôn ngữ đánh dấu mở rộng Tấn công chèn mã vi DANH MỤC BẢNG Bảng 1.1: Các trường Đại học giới áp dụng E-Learning vào giảng dạy vii DANH MỤC HÌNH VẼ Hình 1: Mơ hình hệ thống E-Learning 17 Hình 2: Trang chủ hệ thống đào tạo trực tuyến Đại học Đại Nam 21 Hình 3: Ứng dụng chạy dịch vụ webserver 21 Hình 4: Công cụ quản lý sở liệu Phpmyadmin 22 Hình 5: Mơ hình chức hệ quản trị học tập Moodle 23 Hình 1: Môi trường E-Learning 30 Hình 1: Giao diện VMware Workstation 10 45 Hình 2: Giao diện Kali Linux 46 Hình 3: Giao diện cơng cụ Acunetix WVS 47 Hình 4: Giao diện Wireshark 49 Hình 5: Khởi động công cụ Acunetix WVS 51 Hình 6: Chức new scan công cụ Acunetix WVS 51 Hình 7: Cấu hình quét lỗ hổng website 52 Hình 8: Tiến trình rà quét lỗ hổng hệ thống công cụ Acunetix WVS 52 Hình 9: Kết q trình rà qt website cơng cụ Acunetix WVS 53 Hình 3.10: Khởi động cơng cụ Wireshark 55 Hình 3.11: Cấu hình cơng cụ Wireshark 55 Hình 3.12: Thơng tin thu thập từ Wireshark 56 Hình 3.13: Giao diện website hệ thống E-Learning 56 Hình 3.14: Nạn nhân đăng nhập thông tin 57 Hình 3.15: Thu gói tin nghi vấn 57 Hình 16: Lựa chon chế độ Fllow TCP Stream 58 Hình 3.17: Kết phân tích gói tin 58 Hình 3.18: Đăng nhập máy kẻ cơng 59 Hình 3.19: Đăng nhập thành công 59 Hình 3.20: Giải nén moodle plugin 60 Hình 3.21: Chuyển mã độc vào file moodle plugin 61 Hình 3.22: Install plugin chứa mã độc 61 Hình 3.23: Kết trình Install plugin chứa mã độc 62 Hình 3.24: Giao diện web shell đăng nhập mật 62 viii Hình 3.25: Giao diện web shell đăng nhập thành cơng 63 Hình 3.26: Giao diện website kích hoạt mã độc shell.php 63 Hình 3.27: Thư mục file máy tính nạn nhân 64 Hình 3.28: Tải file danh_cho_sv_thi_thu_Toeic_dau_vao.rar 64 56 Hình 3.12: Thơng tin đƣợc thu thập từ Wireshark Bước 5: chờ đợi thông tin đăng nhập từ nạn nhân: Quản trị vào website để nhập tài khoản quản lý Hình 3.13 thể giao diện hệ thống E-Learning trường đại học Đại Nam Có thể thấy địa URL website là: http://khaothi.dainam.edu.vn:9000/ Hình 3.13: Giao diện website hệ thống E-Learning 57 Hình 3.14 thể giao diện website quản trị viên bắt đầu đăng nhập hệ thống Hình 3.14: Nạn nhân đăng nhập thông tin Bước 6: Thu thập thông tin: Tại máy kẻ công Sau bắt gói tin, kẻ cơng điền vào ô tìm kiếm wireshark: http.request.method == “POST” Kết thu được thể qua hình 3.15 ÷ 3.17 Hình 3.15: Thu đƣợc gói tin nghi vấn 58 Hình 16: Lựa chon chế độ Fllow TCP Stream Hình 3.17: Kết phân tích gói tin Từ hình 3.17 cho thấy thông tin mật tên người dùng trình đăng nhập từ máy khách chuyển máy chủ lưu dạng rõ Chính vậy, kẻ cơng thu thập thông tin mật người quản 59 trị Từ thông tin này, kẻ công tìm cách đăng nhập vào hệ thống tiến hành tiêm mã độc vào hệ thống nhằm đánh cắp leo thang đặc quyền hệ thống Tiếp theo, luận văn mơ tả q trình kẻ cơng tiến hành leo thang đặc quyền chiếm quyền điều khiển tồn hệ thống Quy trình kẻ công tiến hành leo thang đặc quyền chiếm quyền điều khiển toàn hệ thống gồm bước sau: Bước 1: Đăng nhập vào hệ thống danh nghĩa quản trị viên: Sau biết thông tin đăng nhập quản trị viên, kẻ công tiến hành đăng nhập thông tin máy Hình 3.18÷3.19 thể kẻ cơng đăng nhập thành cơng máy tính từ thơng tin mà kẻ cơng thu thập q trình nghe nén thơng tin sử dụng cơng cụ Wireshark Hình 3.18: Đăng nhập máy kẻ cơng Hình 3.19: Đăng nhập thành cơng 60 Bước 2: Tìm cách chuyển mã đơc (Web shell dạng PHP) lên hệ thống để chiếm quyền điều khiển Root server Tuy nhiên, trình tiến hành chuyển mã độc lên website khởi động mã độc, kẻ công gặp phải trở ngại hệ thống không cho phép đẩy file liệu lên mà tải máy Kẻ công nhận thấy website dùng moodle 3.0 có phần install plugin nên kẻ cơng tải moodle plugin 3.0 cho mã độc php vào moodle plugin install plugin Với cách này, kẻ công thành công việc đẩy mã độc lên website moodle lên để thực thi Đường link để tải moodle 3.0 là: https://moodle.org/plugins/download.php/12670/local_navigation_moodle32_20161 10101.zip Bước 3: chèn mã độc vào file moodle plugin vừa tải: Sau tải giải nén file moodle plugin hình 3.20 Kẻ cơng tìm cách đưa mã độc file hệ thống tiến hành cài đặt Hình 3.20: Giải nén moodle plugin Trong luận văn, học viên sử dụng mã độc có tên là: shacojx.php Đây loại mã độc tương đối mới, mạnh mẽ Tiếp theo, kẻ công cho mã độc shacojx.php vào forder navigation Kết đạt hình 3.21 61 Hình 3.21: Chuyển mã độc vào file moodle plugin Bước 4: cài đặt mã độc: Kết q trình cài đặt kích hoạt mã độc thể qua hình 3.22÷3.23 Hình 3.22: Install plugin chứa mã độc 62 Hình 3.23: Kết trình Install plugin chứa mã độc Chú ý: trình Install plugin, máy kẻ cơng có path C:\xampp\htdocs\online/local/navigation Đây đường link mà kẻ công để web shell forder navigation, tên mã độc shacojx.php Như vậy, kẻ công vào thực thi web shell với link web: http://khaothi.dainam.edu.vn:9000/local/navigation/shacojx.php Hình 3.24 thể kết giao diện web shell Hình 3.24: Giao diện web shell đăng nhập mật 63 Nhận thấy thông báo Not Found, 404 thực chất kẻ công vào shell, shell dạng ẩn , giao diện thiết kế để đánh lừa mắt admin người khác, thể đường link dẫn shell sai Đăng nhập password để vào shell: smile!@# Hình 3.25 giao diện web shell đăng nhập thành cơng Hình 3.25: Giao diện web shell đăng nhập thành công Bước Đánh cắp liệu: Kẻ cơng chọn mã độc đơn giản, có chức thực thi cmd (tên mã độc shell.php) Sau kẻ cơng vào link dẫn mã độc shell.php :http://khaothi.dainam.edu.vn:9000/shell.php Hình 3.26 thể giao diện website kích hoạt mã độc shell.php Hình 3.26: Giao diện website kích hoạt mã độc shell.php 64 Kẻ cơng gõ lệnh whoami để xem quyền thấy quyền cao system (Xem hình 3.26) Kẻ cơng xem toàn file ổ C; ổ D: server cách sửa link dẫn hiển thị Tiếp theo, hình 3.27 3.28 thể trình kẻ công thành công việc đánh cắp liệu từ máy chủ máy tính kẻ cơng Hình 3.27: Thƣ mục file máy tính nạn nhân Hình 3.28: Tải file danh_cho_sv_thi_thu_Toeic_dau_vao.rar 65 KẾT LUẬN CHƢƠNG Các kết đạt chương sau: - Mô tả số cơng cụ hỗ trợ q trình rà qt phát lỗ hổng hệ thống E-Learning trường đại học Đại Nam - Thực rà quét tìm kiếm lỗ hổng bảo mật hệ thống E-Learning trường đại học Đại Nam dựa công cụ mã nguồn mở Acunetix WVS Các kết ban đầu cho thấy hệ thống tương đối an toàn với kỹ thuật công mạng phổ biến - Thực công leo thang đặc quyền lên website hệ thống ELearning trường đại học Đại Nam cách nghe nén đường truyền sử dụng mã độc shacojx.php shell.php Kết công cho thấy kẻ công thành công việc công leo thang vào hệ thông 66 KẾT LUẬN Kết luận luận văn Những kết luận văn sau: - Trình bày hệ thống đào tạo trực tuyến E-Learning bao gồm: Vai trò, cơng nghệ áp dụng, thành phần Các kết nghiên cứu cho thấy nhu cầu học tập người lợi ích của việc học trực tuyến lớn - Trình bày mơ hình đào tạo trực tuyến trường Đại học Đại Nam - Trình bày nguy cơ, điểm yếu, mối đe dọa hệ thống đào tạo trực truyến E-Learning nói chung hệ thống E-Learning trường đại học Đại Nam Kết cho thấy, phần lớn hệ thống hệ thống E-Learning khơng có sách đảm bảo an tồn thơng tin tốt, tính chất an tồn thơng tin chưa thực coi trọng - Trình bày phương pháp nhằm đảm bảo an tồn thơng tin cho hệ thống đào tạo trực truyến E-Learning trường đại học Đại Nam Kết nghiên cứu cho thấy để đảm bảo an tồn thơng tin cho hệ thống E-Learning trường đại học Đại Nam cần kết hợp đầy đủ yếu tố: người, sách, cơng nghệ - Thực rà quét tìm kiếm lỗ hổng bảo mật hệ thống ELearning trường đại học Đại Nam dựa công cụ mã nguồn mở Acunetix WVS Các kết ban đầu cho thấy hệ thống tương đối an tồn với kỹ thuật cơng mạng phổ biến - Thực công leo thang đặc quyền lên website hệ thống E-Learning trường đại học Đại Nam cách nghe nén đường truyền sử dụng mã độc shacojx.php shell.php Kết công cho thấy kẻ công thành công việc công leo thang vào hệ thống Hƣớng phát triển 67 Áp dụng số biện pháp công nghệ để gia cố cho hệ thống ELearning trường Đại học Đại Nam Xây dựng hệ thống phát mã độc sử dụng giao thức HTTPS trình truyền tin 68 IV DANH MỤC CÁC TÀI LIỆU THAM KHẢO [01] Hoàng Xuân Dậu (2013), Bài giảng an toàn bảo mật HTTT, Học viện cơng nghệ bưu viễn thơng [02] James P Anderson, Computer security threat monitoring and surveillance, 1980 [03] David Kim, Michael G Solomon, Fundamentals of Information Systems Security, Jones & Bartlettlearning, 2012 [04] Michael E Whitman, Herbert J Mattord, Principles of information security, 4th edition, Course Technology, Cengage Learning, 2012 [05] Trần Văn Lăng, Đào Văn Tuyết, Seong Choi, E-Learning - Hệ thống đào tạo từ xa, NXB Thống kê, 2004 [06] Nguyễn Kim Khánh, Nguyễn Anh Tuấn, Nguyễn Phú Bình, Xây dựng hệ trợ giúp đề thi trắc nghiệm Hội thảo ICT.rda – 2004 [07] Phƣơng Minh Nam (2011), Bài thuyết trình nguy an ninh, an tồn thơng tin, liệu số giải pháp khắc phục [08] “Tài liệu giới thiệu giải pháp: Xây dựng hệ thống học tập trực tuyến ELearning”, Asianux Vietnam [09] Nguyễn Hoàng Duy, Luận văn Ứng dụng Moodle để xây dựng đề thi trắc nghiệm cho môn học Khoa CNTT, 2013 [10] Hệ thống đào tạo trực tuyến http://online.dainam.edu.vn/ [ngày truy cập 1/10/2017] [11] Hướng dẫn sử dụng vmware https://www.vmware.com/pdf/desktop/ws10using.pdf [ngày truy cập 1/10/2017] [12] Hướng dẫn sử dụng kali https://kali.training/ [ngày truy cập 1/10/2017] [13] Sử dụng vulnerability-scanner https://www.acunetix.com/vulnerabilityscanner/ [ngày truy cập 1/10/2017] 69 [14] Hướng dẫn sử dụng wireshark https://www.wireshark.org/ [ngày truy cập 28 /10/2017] [15] Cài đặt Cài đặt Web-shells https://www.komtet.ru/lib/tech/chto-takoe-webshell [ngày truy cập 28 /10/2017] 70 Ý KIẾN CỦA NGƢỜI HƢỚNG DẪN KHOA HỌC NGƢỜI LẬP ĐỀ CƢƠNG (Ký ghi rõ họ tên) (Ký ghi rõ họ tên) TS Đỗ Xuân Chợ Ngô Ngọc Giang DUYỆT CỦA TRƢỞNG TIỂU BAN CHẤM ĐỀ CUƠNG (Ký ghi rõ họ tên) ... đề đảm bảo an tồn thơng tin cho hệ thống E- Learning trường Đại học Đại Nam 33 2.2.1 Một số nguy an tồn thơng tin hệ thống E- Learning trường Đại học Đại Nam 33 2.2.2 Đảm bảo. .. dụng hệ thống E- Learning Đại Nam: - Learning Object Metadata Standard- - Learning Resources Metadata Specification - SCORM Metadata standards - Learning Object Metadata Standard - Learning Resources... an tồn thơng tin lựa chọn cơng nghệ giải pháp nhằm đảm bảo an toàn cho hệ thống ELearning nói chung hệ thống E- Learning trường Đại Nam Tổng quan vấn đề cần nghiên cứu E- Learning (viết tắt Electronic