Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU CHƢƠNG I : HỆ THỐNG THÔNG TIN VÀ NGUY CƠ TRUY CẬP BẤT HỢP PHÁP I HỆ THỐNG THÔNG TIN II CÁC NGUY CƠ MẤT AN TOÀN Các hiểm họa an tồn hệ thống thơng tin Các yêu cầu cần bảo vệ hệ thống thông tin Các biện pháp đảm bảo an tồn hệ thống thơng tin CHƢƠNG II: CÁC KIỂU TẤN CÔNG CƠ BẢN I SNIFFERS Định nghĩa Sniffers Mục đích sử dụng Sniffers Các giao thức sử dụng Sniffing 10 Các loại Sniffing 10 Tìm hiểu MAC, ARP số kiểu công 11 II TẤN CÔNG TỪ CHỐI DỊCH VỤ 24 Tấn công từ chối dịch vụ (DoS) 24 Mục đích công từ chối dịch vụ 24 Ảnh hƣởng phƣơng thức công 24 Các loại công từ chối dịch vụ 25 III SOCIAL ENGINEERING 37 Tìm hiểu Social Engineering 37 Đặc điểm Social Engineering 38 Rebecca Jessica 38 Nhân viên văn phòng 38 Các loại Social Engineering 38 Mục tiêu tiếp cận Social Engineering 42 Các nhân tố dẫn đến công 42 Tại Social Engineering dễ thực ? 42 Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Các dấu hiệu nhận dạng Hacker 42 10 Các giai đoạn Social Engineering 42 11 Thâm nhập vào điểm yếu giao tiếp 43 12 Các phƣơng pháp đối phó 44 CHƢƠNG III: PHƢƠNG PHÁP PHÁT HIỆN XÂM NHẬP 46 I TÌM HIỂU VỀ MỘT SỐ HỆ THỐNG IDS 46 Giới thiệu 46 Một số thuật ngữ 46 II HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 46 Giới thiệu IDS 46 Chức IDS 47 Nơi đặt IDS 47 Phân loại IDS 48 ĐỀ XUẤT SỬ DỤNG GIẢI PHÁP HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT 50 III Giới thiệu 50 Cài đặt Snort 51 Cài đặt Rules cho Snort 52 Cấu hình tập tin Snort.conf 53 Tìm hiểu luật Snort 57 CHƢƠNG IV: ỨNG DỤNG PHẦN MỀM QUẢN LÝ CÁC IP TỪ BÊN NGOÀI TRUY CẬP VÀO HỆ THỐNG 65 I BÀI TOÁN 65 II THUẬT TOÁN 65 Chức quản lý IP truy cập vào hệ thống 67 Chức đọc thông tin log file 69 IV MINH HỌA CÁC GIAO DIỆN CHƢƠNG TRÌNH 70 KẾT LUẬN 73 TÀI LIỆU THAM KHẢO 74 Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet LỜI CẢM ƠN Em xin chân thành cảm ơn Thầy giáo, Tiến sĩ Phùng Văn Ổn – Giám đốc Trung tâm Tin học Văn phòng Chính Phủ, ngƣời trực tiếp hƣớng dẫn tận tình bảo em suốt trình làm làm tốt nghiệp Em xin chân thành cảm ơn tất thầy cô giáo Khoa Công nghệ thông tin - Trƣờng Đại học Dân lập Hải Phòng, ngƣời nhiệt tình giảng dạy truyền đạt kiến thức cần thiết suốt thời gian em học tập trƣờng, để em hoàn thành tốt đề tài Tuy có nhiều cố gắng q trình học tập nhƣ thời gian làm tốt nghiệp nhƣng tránh khỏi thiếu sót, em mong đƣợc góp ý q báu tất thầy giáo nhƣ tất bạn để kết em đƣợc hoàn thiện Em xin chân thành cảm ơn! Hải Phòng, tháng năm 2010 Sinh viên Phạm Đình Hậu Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet LỜI MỞ ĐẦU Ngày nay, hệ thống mạng máy tính trở nên phổ biến hầu hết hoạt động xã hội, tác động trực tiếp đến kỹ thuật kinh tế nƣớc Cùng với phát triển đó, ngày xuất nhiều cá nhân, nhóm chí tổ chức hoạt động với mục đích xấu nhằm phá hoại hệ thống mạng máy tính, hệ thống thông tin, gây tác hại vô to lớn đến tính an tồn bảo mật thơng tin hệ thống Chính vấn đề an ninh mạng đƣợc quan tâm đặc biệt nhƣ: vấn đề bảo mật mật khẩu, chống lại truy cập bất hợp pháp , chống lại virus máy tính, … Đó lý em chọn đề tài “Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet” nhằm phục vụ cho mục đích thực tế Mục đích nhiệm vụ nghiên cứu: - Các nguy truy cập hệ thống thông tin tin học bất hợp pháp - Đề xuất giải pháp kỹ thuật ngăn chặn truy cập hệ thống thông tin tin học bất hợp pháp Phạm vi nghiên cứu: - Hệ thống thông tin nguy truy cập bất hợp pháp - Các kiểu công - Phƣơng pháp phát xâm nhập Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet CHƢƠNG I : HỆ THỐNG THÔNG TIN VÀ NGUY CƠ TRUY CẬP BẤT HỢP PHÁP I HỆ THỐNG THƠNG TIN : Hệ thống thơng tin (Tiếng anh là: Information System) tập hợp kết hợp phần cứng, phần mềm hệ mạng truyền thông đƣợc xây dựng sử dụng để thu thập, tạo, tái tạo, phân phối chia sẻ liệu, thông tin tri thức nhằm phục vụ mục tiêu tổ chức Các tổ chức sử dụng hệ thống thông tin với nhiều mục đích khác nhau: - Với bên trong, hệ thống thơng tin phục vụ việc việc quản trị nội bộ, hệ thống thông tin giúp đạt đƣợc liên kết trao đổi thông tin nội bộ, thống hành động, trì sức mạnh tổ chức, đạt đƣợc lợi cạnh tranh - Với bên ngoài, hệ thống thông tin giúp nắm bắt đƣợc nhiều thông tin khách hàng cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển II CÁC NGUY CƠ MẤT AN TOÀN : Một ngƣời hay nhóm ngƣời muốn truy cập vào hệ thống thơng tin gọi chung Hacker lý hay lý khác Dƣới số lý có thể: - Đơn giản truy cập vào hệ thống thống thông tin đọc tìm kiếm thơng tin - Chỉ tò mò, giải trí muốn thể khả cá nhân - Để xem xét chung chung gửi cảnh báo đến ngƣời quản trị hệ thống - Để ăn cắp tài nguyên hệ thống thông tin nhƣ: thông tin tài khoản ngân hàng, bí mật thƣơng mại, bí mật quốc gia thơng tin độc quyền, - Phát động chiến tranh thông tin mạng, làm tê liệt mạng Trong trƣờng hợp, lý đằng sau vụ cơng vào hệ thống thơng tin thơng tin mà kẻ phá hoại muốn lấy thông tin ngƣời quản lý hệ thống bao gồm: tên đăng nhập (Tiếng anh là: username) mật (Tiếng anh là: password) Tuy nhiên, mật đƣợc mã hóa, nhƣng điều khơng có Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet nghĩa mật ln đƣợc an tồn “Hacker” dùng chƣơng trình Bộ giải mã mật (Tiếng anh là: Password Cracker) để tìm mật cách so sánh chúng với từ từ điển Brouce Force Mức độ thành cơng chƣơng trình giải mã phụ thuộc vào tài nguyên CPU, vào chất lƣợng từ điển vài lý khác Các hiểm họa an toàn hệ thống thơng tin : Các hiểm hoạ an tồn hệ thống thơng tin đƣợc phân loại thành hiểm hoạ vơ tình hay cố ý; hiểm hoạ chủ động hay thụ động Hiểm họa vơ tình (Tiếng anh là: Unintentional Threat): Khi ngƣời sử dụng tắt nguồn hệ thống đƣợc khởi động lại, hệ thống chế độ single - user (đặc quyền) - ngƣời sử dụng làm thứ muốn hệ thống Hiểm họa cố ý (Tiếnh anh : Intentional Threat):Có thể xảy liệu mạng máy tính cá nhân thơng qua cơng tinh vi có sử dụng kiến thức hệ thống đặc biệt Ví dụ hiểm họa cố ý: cố tình truy nhập sử dụng mạng trái phép (Tiếng anh :Intentional Unauthorized use of corporate network) Hiểm hoạ thụ động (Tiếng anh là: Passive Threat): Không phải kết việc sửa đổi thông tin có hệ thống, thay đổi hoạt động tình trạng hệ thống Hiểm hoạ chủ động (Tiếng anh là: Active Threat): Là việc sửa đổi thông tin (Tiếng anh là: Data Modification) thay đổi tình trạng hoạt động hệ thống Mối đe dọa hậu tiềm ẩn thông tin giao dịch điện tử lớn Nguy rủi ro thông tin giao dịch điện tử đƣợc thể tiềm ẩn nhiều khía cạnh khác nhƣ: ngƣời sử dụng, kiến trúc hệ thống cơng nghệ thơng tin, sách bảo mật thơng tin, công cụ quản lý kiểm tra, quy trình phản ứng, v.v Các yêu cầu cần bảo vệ hệ thống thông tin : Mục tiêu cuối q trình bảo mật thơng tin nhằm bảo vệ ba thuộc tính thơng tin: Tính bí mật (Tiếng anh là: Confidental): Thông tin đƣợc xem ngƣời có thẩm quyền Lý cần phải giữ bí mật thơng tin sản phẩm sở hữu Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet tổ chức đơi thơng tin khách hàng tổ chức Những thông tin phải giữ bí mật theo điều khoản tổ chức khách hàng tổ chức Tính tồn vẹn (Tiếng anh là: Integrity): Thơng tin phải khơng bị sai hỏng, suy biến hay thay đổi Thông tin cần phải xử lý để cách ly khỏi tai nạn thay đổi có chủ ý Tính sẵn sàng (Tiếng anh là: Availability): Thông tin phải đƣợc giữ trạng thái sẵn sàng cung cấp cho ngƣời có thẩm quyền họ cần Các biện pháp đảm bảo an tồn hệ thống thơng tin : Trong phần này, xem xét số biện pháp bảo mật cho hệ thống tin học Cũng cần phải nhấn mạnh rằng, khơng có biện pháp hồn hảo, biện pháp có mặt hạn chế Biện pháp hiệu quả, cần đƣợc áp dụng phải vào hệ thống để đƣa cách thực cụ thể Thiết lập quy tắc quản lý Mỗi tổ chức cần có quy tắc quản lý riêng bảo mật hệ thống thơng tin hệ thống Có thể chia quy tắc quản lý thành số phần: - Quy tắc quản lý hệ thống máy chủ - Quy tắc quản lý hệ thống máy trạm - Quy tắc quản lý việc trao đổi thông tin phận hệ thống, hệ thống máy tính ngƣời sử dụng, thành phần hệ thống tác nhân bên An toàn thiết bị - Lựa chọn thiết bị lƣu trữ có độ tin cậy cao để đảm bảo an toàn cho liệu Phân loại liệu theo mức độ quan trọng khác để có chiến lƣợc mua sắm thiết bị xây dựng kế hoạch lƣu liệu hợp lý - Sử dụng hệ thống cung cấp, phân phối bảo vệ nguồn điện cách hợp lý - Tuân thủ chế độ bảo trì định kỳ thiết bị Thiết lập biện pháp bảo mật Cơ chế bảo mật hệ thống thể qua quy chế bảo mật hệ thống, phân cấp quyền hạn, chức ngƣời sử dụng hệ thống liệu quy trình kiểm sốt cơng tác quản trị hệ thống Các biện pháp bảo mật bao gồm: Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet - Bảo mật vật lý hệ thống Hình thức bảo mật vật lý đa dạng, từ khoá cứng, hệ thống báo động hạn chế sử dụng thiết bị Ví dụ nhƣ loại bỏ đĩa mềm khỏi máy trạm thông thƣờng biện pháp đƣợc nhiều quan áp dụng - Các biện pháp hành nhƣ nhận dạng nhân vào văn phòng, đăng nhập hệ thống cấm cài đặt phần mềm, hay sử dụng phần mềm không phù hợp với hệ thống + Mật biện pháp phổ biến hiệu Tuy nhiên mật biện pháp an tồn tuyệt đối Mật cắp sau thời gian sử dụng + Bảo mật liệu mật mã tức biến đổi liệu từ dạng nhiều ngƣời dễ dàng đọc đƣợc, hiểu đƣợc sang dạng khó nhận biết + Xây dựng tƣờng lửa, tức tạo hệ thống bao gồm phần cứng phần mềm đặt hệ thống mơi trƣờng bên ngồi nhƣ Internet chẳng hạn Thơng thƣờng, tƣờng lửa có chức ngăn chặn thâm nhập trái phép (không nằm danh mục đƣợc phép truy nhập) lọc bỏ, cho phép gửi hay không gửi gói tin Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet CHƢƠNG II: CÁC KIỂU TẤN CÔNG CƠ BẢN I SNIFFERS: Định nghĩa Sniffers: Sniffers chƣơng trình hay thiết bị có khả đón bắt lại thơng tin quan trọng từ giao thông mạng định đến mạng riêng Sniffing kỹ thuật chặn liệu Đối tƣợng mà sniffing lấy: Mật (Tiếng anh là: Password) (từ Email, Web, SMB, FTP, SQL Telnet) Các thơng tin thẻ tín dụng Văn Email Các tập tin mạng (tập tin Email, FTP SMB) Mục đích sử dụng Sniffers: Sniffer thƣờng đƣợc sử dụng vào mục đích khác biệt Theo hƣớng tích cực công cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng Theo hƣớng tiêu cực chƣơng trình đƣợc cài vào hệ thống mạng máy tính với mục đích chặn liệu, thơng tin đoạn mạng Một số tính Sniffer đƣợc sử dụng theo hƣớng tích cực tiêu cực : - Tự động chụp tên ngƣời sử dụng (Tiếng anh là: Username) mật không đƣợc mã hố (Tiếng anh là: Clear Text Password) Tính thƣờng đƣợc Hacker sử dụng để công hệ thống - Chuyển đổi liệu đƣờng truyền để quản trị mạng đọc hiểu đƣợc ý nghĩa liệu - Bằng cách nhìn vào lƣu lƣợng hệ thống cho phép quản trị mạng phân tích lỗi mắc phải hệ thống lƣu lƣợng mạng Ví dụ nhƣ : Tại gói tin từ máy A gửi đƣợc sang máy B … - Một số Sniffer tân tiến có thêm tính tự động phát cảnh báo công đƣợc thực vào hệ thống mạng mà hoạt động Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet (Intrusion Detecte Service) - Ghi lại thông tin gói liệu, phiên truyền…Tƣơng tự nhƣ hộp đen máy bay, giúp quản trị mạng xem lại thơng tin gói liệu, phiên truyền sau cố…Phục vụ cho công việc phân tích, khắc phục cố hệ thống mạng 3.Các giao thức sử dụng Sniffing: Các Hacker sử dụng Sniffing để cơng vào giao thức sau: Telnet Rlogin: Ghi lại thông tin nhƣ: Password, Ussernames HTTP: Các liệu gửi mà khơng mã hóa SMTP, POP, FTP, IMAP: Password liệu gửi khơng mã hóa Các loại Sniffing: 1.1 Sniffing thụ động: Đây loại Sniffing lấy liệu chủ yếu qua Hub Nó đƣợc gọi Sniffing thụ động khó phát loại Sniffing Hacker sử dụng máy tính kết nối đến Hub bắt đầu Sniffing Hình 2.1: Sniffing thụ động 1.2 Sniffing chủ động: Đây loại Sniffing lấy liệu chủ yếu qua Switch, khó thực dễ bị phát Hacker thực loại Sniffing nhƣ sau: Hacker kết nối đến Switch cách gửi địa MAC nặc danh Switch xem địa kết hợp với khung (Tiếng anh là: Frame) Máy tính LAN gửi liệu đến cổng kết nối Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 10 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet TCP Header chứa trƣờng Acknowledgment Number dài 32 bit Trƣờng số sequence (sequence number) ngƣời gửi chờ hồi đáp Trƣờng có có ý nghĩa cờ flag trƣờng TCP đƣợc thiết lập - Content: Cấu trúc: Content: ; content: Snort có khả tìm thấy mẫu liệu gói tin Mẫu tồn dƣới dạng chuỗi ASCII ký tự thập lục phân - Offset: Cấu trúc: Offset: Từ kháo đƣợc sử dụng kết hợp với từ khóa content Từ khóa đƣợc sử dụng để tìm kiếm từ vị trí xác định so với vị trí bắt đầu gói tin - Depth: Cấu trúc: depth: Từ khóa depth đƣợc sử dụng kết hợp với từ khóa content để xác định giới hạn việc so sánh mẫu Có thể sử dụng từ khóa để xác định vị trí so với vị trí bắt đầu Dữ liệu sau vị trí khơng đƣợc tìm kiếm để so mẫu - Nocase: Từ khóa nocase đƣợc sử dụng kết hợp với từ khóa content Nó khơng có đối số Mục đích thực việc tìm kiếm trƣờng hợp vơ tình - Content-list: Cấu trúc: content_list: Từ khóa đƣợc sử dụng với tên tập tin xem tên tập tin nhƣ đối số Tập tin chứa danh sách chuỗi đƣợc tìm kiếm gói tin Mỗi chuỗi đƣợc đặt dòng khác file - Dsize: Cấu trúc: dsize: [] Từ khóa dsize đƣợc sử dụng để tìm chiều dài phần liệu gói tin Nhiều cách công sử dụng lỗ hổng tràn đệm cách gửi gói tin có kích thƣớc lớn Sử dụng từ khóa tìm thấy gói tin có chiều dài liệu lớn hoặn nhỏ số định - Flags: Cấu trúc: flags: Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 60 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Từ khóa đƣợc sử dụng để tìm bit flag đƣợc thiết lập TCP Header gói tin Mỗi flag đƣợc sử dụng nhƣ đối số từ khóa flags - Fragbits: Cấu trúc: fragbits: Sử dụng từ khóa để xác định bits : RB (Reserved Bits), DF (Don’t Fragment Bit), MF (More Fragments Bit) IP Header có đƣợc bật lên hay không - Icmp_id: Cấu trúc: icmp_id: Thƣờng đƣợc sử dụng để pháthiện ID cụ thể gói tin ICMP - Icmp_seq: Cấu trúc: icmp_seq: Giống nhƣ từ khóa icmp_id - Itype: Cấu trúc: itype: ICMP Header nằm sau IP Header chứa trƣờng Type Từ khóa Itype đƣợc sử dụng để phát cách công sử dụng trƣờng type ICMP Header gói tin - Icode: Cấu trúc: icode: Trong gói tin ICMP, ICMP Header sau IP Header Gói tin chứa trƣờng code từ khóa icode đƣợc sử dụng để phát trƣờng code header gói tin ICMP - Id: Cấu trúc: id: Từ khóa đƣợc sử dụng để đối chiếu với trƣờng fragment ID header gói tin IP Mục đích phát cách cơng sử dụng số ID cố định - Ipopts: Cấu trúc: ipopts: Header Ipv4 dài 20 byte Bạn thêm tùy chọn vào Header cuối Chiều dài phần tùy chọn lên đến 40 byte Các tùy chọn đƣợc sử dụng cho mục đích khác nhau, bao gồm: Record Router (rr) Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 61 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Time Stamps (ts) Loose Source Routing (lsrr) Strict Source Routing (ssrr) - Ip_proto: Cấu trúc: ip_proto: [!] Từ khóa ip_proto sử dụng plug-in IP Proto để xác định số giao thức Header IP - Logto: Cấu trúc: logto: Từ khóa logto đƣợc sử dụng để ghi log gói tin vào tập tin đƣợc định - Msg: Cấu trúc: msg: Từ khóa msg đƣợc sử dụng để thêm chuỗi ký tự vào tập tin log cảnh báo - Priority : Cấu trúc : priority : Từ khóa priority dùng để gán độ ƣu tiên cho luật, số đƣợc gán cho độ ƣu tiên phải số nguyên dƣơng - React: Cấu trúc: react: Từ khóa react đƣợc sử dụng để kết thúc phiên, khóa vài vị trí dịch vụ - Reference: Cấu trúc: reference: , Từ khóa reference thêm tham khảo đến thông tin tồn hệ thống khác mạng Nó khơng đóng vai trò chế phát Bằng việc sử dụng từ khóa kết nối đến thơng tin thêm thơng điệp cảnh báo - Resp: Từ khóa đƣợc sử dụng để đánh bại hành vi Hacker cách gửi gói tin trả lời cho host để tạo gói tin thỏa luật - Rev: Cấu trúc: rev: Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 62 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Từ khóa rev dùng để số revision luật Nếu cập nhật luật bạn sử dụng để phân biệt phiên - Rpc: Cấu trúc: rpc: Từ khóa rpc đƣợc sử dụng để phát yêu cầu RPC - Sameip: Từ khóa sameip đƣợc sử dụng để kiểm tra địa nguồn địa đích có giống hay khơng Nó khơng có đối số - Seq: Cấu trúc: seq: Từ khóa seq đƣợc sử dụng để kiểm tra số thứ tự sequence gói tin TCP - Flow: Từ khóa flow đƣợc dùng để áp dụng luật Snort lên gói tin di chuyển theo hƣớng cụ thể Bạn sử dụng tùy chọn sau kết hợp với từ khóa flow để xác định hƣớng Dƣới đâu số tùy chọn kết hợp với từ khóa flow: to_client to_server from_client from_server - Session: Cấu trúc: session: [printable|all] Từ khóa session đƣợc sử dụng để loại bỏ tất liệu phiên TCP - Sid: Cấu trúc: sid: Từ khóa sid đƣợc sử dụng để tạo cảnh báo cụ thể - Tag: Cấu trúc: tag: , , [direction] Đây từ khóa đƣợc sử dụng để ghi log liệu thêm vào từ (hoặc đến) host xâm nhập luật đƣợc kích hoạt - Tos: Cấu trúc: tos: Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 63 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Từ khóa tos đƣợc sử dụng để phát giá trị cụ thể trƣờng TOS (Type of Service) IP Header - Ttl: Cấu trúc: ttl: Từ khóa ttl đƣợc sử dụng để phát giá trị Time ti Live IP Header gói tin Từ khóa đƣợc sử dụng cho tất kiểu giao thức xây dựng IP nhƣ: ICMP, UCP TCP - Uricontent: Cấu trúc: uricontent : [!] “content string” Từ khóa uricontent giống với từ khóa content ngoại trừ việc đƣợc sử dụng để tìm chuỗi phần URI (Uniform Resource Identifier) gói tin Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 64 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet CHƢƠNG IV: XÂY DỰNG PHẦN MỀM QUẢN LÝ CÁC IP TỪ BÊN NGOÀI TRUY CẬP VÀO HỆ THỐNG I BÀI TỐN : Ngày nay, hệ thống mạng máy tính trở nên phổ biến hầu hết hoạt động xã hội, tác động trực tiếp đến kỹ thuật kinh tế nƣớc Cùng với phát triển đó, ngày xuất nhiều nhân, nhóm chí tổ chức hoạt động với mục đích xấu nhằm phá hoại hệ thống mạng máy tính, hệ thống thông tin, gây tác hại vô to lớn đến tính an tồn bảo mật thơng tin hệ thống Qua trình nghiên cứu đề tài “Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet” từ thực tế, việc phát truy cập vào hệ thống thƣờng dựa vào thông tin ghi file log hệ thống Nhƣng việc quản lý file log hệ điều hành chƣa thực “mềm dẻo” nên hãng thứ phát triển thêm ứng dụng bảo mật tƣơng tự Trong đồ án này, em viết ứng dụng có chức tƣơng tự file log Ứng dựng ghi lại tất thông tin IP truy cập vào máy tính bao gồm : Thời gian truy cập, địa IP, cổng kết nối II THUẬT TOÁN : PC1 Port PC2 PC3 PC4 Port Port Server Port IP Manager Write Log File : Time Connect - IP PC1:Port Time Connect - IP PC3:Port Time Connect - IP PC4:Port Hình 4.1: Mơ tả hoạt động chương trình Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 65 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Begin Packets Analysing the Packets Source IP Address Destination IP Address Source IP = Local IP Check IP Source IP != Local IP Write log file Log File End Hình 4.2: Sơ đồ giải thuật III MÔ TẢ CHỨC NĂNG PHẦN MỀM : Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 66 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Chức quản lý IP truy cập vào hệ thống : Khởi động chƣơng trình, vào Menu chọn IP Manager để bắt đầu q trình kiểm tra IP kết nối vào máy tính Khi có kết nối đến máy tính, chƣơng trình đón bắt tất thơng tin Source IP Address, Destination IP Address Port Hàm kiểm tra IP xem vào hay khỏi hệ thống : // Code : static bool check; public void checkIP () { DateTime dtIPConnect = new DateTime(); IPGlobalProperties properties = IPGlobalProperties.GetIPGlobalProperties(); while (check) { TcpConnectionInformation[] connect = properties.GetActiveTcpConnections(); dtIPConnect = DateTime.Now; String strChuoi = null; try { for (int i = 0; i < connect.Length; i++) { strChuoi = dtIPConnect.Hour + ":" + dtIPConnect.Minute + ":" + dtIPConnect.Second + ":" + dtIPConnect.Millisecond + "\t" + connect[i].RemoteEndPoint + "\n\n" + strChuoi; WriteLogFile.WriteLog( Convert.ToString(connect[i].RemoteEndPoint.Address), Convert.ToString(connect[i].RemoteEndPoint.Port), dtIPConnect.Hour + ":" Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 67 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet + dtIPConnect.Minute + ":" + dtIPConnect.Second + ":" + dtIPConnect.Millisecond); } setText(Convert.ToString(strChuoi)); Thread.Sleep(1000); } catch (Exception ex) { MessageBox.Show(ex.Message, "Manager IP Connect to PC", MessageBoxButtons.OK, MessageBoxIcon.Error); } } } Khi biết đƣợc IP vào hay ra, chƣơng trình ghi thông tin vào log file: Thời gian kết nối (Thời gian hệ thống) - Địa IP:Cổng kết nối Tên log file có dạng: 2010_06_24_LOG.log Hàm ghi thơng tin đón bắt đƣợc vào log file: //Code: public class WriteLogFile { static string m_baseDir = null; static WriteLogFile() { m_baseDir = Directory.GetCurrentDirectory() + @"\Log\"; Directory.CreateDirectory(m_baseDir); } public static string GetFilenameYYYMMDD(string suffix, string extension) { return System.DateTime.Now.ToString("yyyy_MM_dd") + suffix + extension; Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 68 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet } public static void WriteLog(String _IP,String _Port, String _DateTime) { try { string filename = m_baseDir + GetFilenameYYYMMDD("_LOG", ".log"); StreamWriter sw = new StreamWriter(filename, true); sw.WriteLine(_DateTime + "\t" + _IP + ":" + _Port); sw.Close(); } catch (Exception) {} } } Sau thời gian giây, chƣơng trình lại quét IP lần tiếp tục ghi thông tin vào log file Chức đọc thông tin log file : Khởi động chƣơng trình, vào Menu chọn Read Log để bắt đầu q trình đọc thơng tin ghi lại đƣợc Chọn Browse để đến nơi lƣu trữ Log File, Chƣơng trình đọc dòng log file hiển thị : //Code : Stream _Stream = null; OpenFileDialog _openFile = new OpenFileDialog(); _openFile.InitialDirectory = Directory.GetCurrentDirectory() + @"\Log\"; _openFile.Filter = "Log files (*.log)|*.log"; _openFile.FilterIndex = 2; _openFile.RestoreDirectory = true; if (_openFile.ShowDialog() == DialogResult.OK) { Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 69 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet try { if ((_Stream = _openFile.OpenFile()) != null) { using (_Stream) { txtLinkLog.Text = _openFile.FileName; String _log = ""; String line = ""; StreamReader sr = new StreamReader( _openFile.FileName ); while ((line = sr.ReadLine()) != null) { _log=_log+line+"\n"; } rtfReadLog.Text = _log; } } } catch (Exception ex) { MessageBox.Show("Error: Could not read file from disk Original error: " + ex.Message); } } IV MINH HỌA GIAO DIỆN CHƢƠNG TRÌNH : Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 70 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Hình 4.3: Giao diện chương trình Hình 4.4: Giao diện hiển thị IP truy cập vào hệ thống Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 71 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Hình 4.5: Giao diện chọn log file để đọc Hình 4.6: Giao diện hiển thị thơng tin log file Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 72 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet KẾT LUẬN An tồn hệ thống thơng tin giải pháp an toàn vấn đề đƣợc quan tâm ngày đƣợc trọng nay.Vì nghiên cứu đƣa giải pháp giải vấn đề cần thiết phải đƣợc triển khai mạnh mẽ hiệu Thời gian làm đồ án ngắn khơng đủ dài để em tìm hiểu đầy đủ vấn đề an tồn hệ thống thơng tin Em tìm hiểu hệ thống thơng tin, nguy an toàn, số kiểu cơng cách phòng chống Qua q trình tìm hiểu em xây dựng đƣợc chƣơng trình quản lý IP từ bên truy cập vào hệ thống Chƣơng trình thực đầy đủ chức đề : ghi lại thời gian truy cập, địa IP, cổng kết nối Hƣớng phát triển đồ án : - Tìm hiểu sâu thêm kỹ thuật truy cập trái phép đƣa phƣơng pháp phòng chống có hiệu - Phần mềm em xây dựng bƣớc đầu thực đƣợc chức quản lý IP từ bên truy cập vào hệ thống, nhƣng chƣa đƣa đƣợc cảnh báo cụ thể Trong q trình làm đồ án khơng tránh khỏi thiếu sót, em kính mong thầy giúp đỡ cho báo cáo tốt nghiệp em hoàn thiện Em xin chân thành cảm ơn thầy cơ! Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 73 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet TÀI LIỆU THAM KHẢO Trang web http://vi.wikipedia.org Trang web http://en.wikipedia.org Trang web http://www.oxid.it/cain.html Trang web http://hvaonline.net Tìm hiểu kiểu công phƣơng pháp phòng chống – Vũ Đình Cƣờng Cách bảo vệ liệu quan trọng phƣơng pháp phát thâm nhập – Vũ Đình Cƣờng Snort Users Manual 2.8.6 – The Snort Project Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 74 ... Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet CHƢƠNG I : HỆ THỐNG THÔNG TIN VÀ NGUY CƠ TRUY CẬP... CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet LỜI MỞ ĐẦU Ngày nay, hệ thống mạng máy tính... hợp pháp - Đề xuất giải pháp kỹ thuật ngăn chặn truy cập hệ thống thông tin tin học bất hợp pháp Phạm vi nghiên cứu: - Hệ thống thông tin nguy truy cập bất hợp pháp - Các kiểu công - Phƣơng pháp