BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC ĐÀ NẴNG TRẦN HỮU PHỤNG XÂY DỰNG HỆ THỐNG CẢNH BÁO CHỐNG XÂM NHẬP IDS SNORT BẢO VỆ WEB SERVER TRƯỜNG ĐẠI HỌC KINH TẾ Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HỆ THỐNG THƠNG TIN Đà Nẵng – Năm 2016 Cơng trình hoàn thành ĐẠI HỌC ĐÀ NẴNG Người hướng dẫn khoa học: PTS Võ Trung Hùng Phản biện 1: TS Huỳnh Hữu Hưng Phản biện 2: TS Nguyễn Quang Thanh Luận văn bảo vệ trước Hội đồng chấm Luận văn tốt nghiệp thạc sĩ Kỹ thuật họp Đại học Đà Nẵng vào ngày 31 tháng năm 2016 * Có thể tìm hiểu luận văn tại: Trung tâm Thông tin - Học liệu, Đại học Đà Nẵng Thư viện trường Đại học Sư phạm Đà Nẵng MỞ ĐẦU Tính cấp thiết đề tài - Sự phát triển bùng nổ thơng tin tồn cầu dựa vào Internet kết nối quan phủ, tập đồn, doanh nghiệp, bệnh viện, trường học,… Một quan, tổ chức, cá nhân, phát triển thông tin kết nối để chia sẻ công việc nhu cầu kết nối Internet cần thiết giai đoạn Do đó, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Ngày nay, có nhiều biện pháp an tồn thơng tin cho hệ thống mạng, đặc biệt Internet nghiên cứu triển khai Tuy nhiên, hệ thống bị công, đánh cắp thông tin bị phá hoại gây nên hậu nghiêm trọng - Các vụ cơng nhằm vào tất máy tính có mặt Internet, máy tính cơng ty lớn, trường đại học, quan nhà nước, tổ chức quân sự, ngân hàng với quy mô lớn ngày tinh vi [12] Hơn số thống kê vụ công phần tảng băng Phần lớn vụ cơng khơng thơng báo nhiều lý do, kể lo uy tín đơn giản người quản trị mạng không hay biết vụ công nhằm vào hệ thống họ - Không vụ cơng tăng lên nhanh chóng mà phương pháp cơng liên tục hồn thiện khó phát Điều phần nhân viên quản trị hệ thống ngày đề cao cảnh giác, hệ thống tường lửa phát triển dựa vào nhu cầu sử dụng Vì vậy, việc kết nối vào mạng Internet mà khơng có biện pháp đảm bảo an ninh hệ thống dễ dàng trở thành đối tượng công hacker - Các quan, tổ chức, cá nhân phải kết nối mạng Internet nhu cầu trao đổi thơng tin đồng thời phải đảm bảo an tồn thơng tin q trình tham gia vào hệ thống Hệ thống Web Service trường Đại học Kinh tế có đến hàng nghìn lượt truy cập ngày; chưa kể thời điểm đăng ký tín chỉ, hệ thống tiếp nhận hàng chục nghìn lượt Vì vậy, địa dễ lọt vào tầm ngắm hacker Vì vậy, việc chọn đề tài “Xây dựng hệ thống cảnh báo chống xâm nhập IDS Snort Web Server trường Đại học Kinh tế - ĐHĐN” hướng nghiên cứu hợp lý hệ thống Web Service trường Đại học Kinh tế - ĐHĐN giai đoạn Mục đích đề tài nghiên cứu giám sát luồng thông tin vào/ra bảo vệ hệ thống mạng khỏi công từ Internet Thông qua đề tài nghiên cứu, hệ thống tập trung giải pháp phát xâm nhập IDS thơng qua cơng cụ Snort, cách phòng chống qua công cụ tường lửa Mục tiêu nghiên cứu Mục tiêu đề tài nghiên cứu hệ thống cảnh báo xâm nhập IDS SNORT Web Server, từ nghiên cứu giải pháp phòng, chống nhằm đảm bảo an tồn cho hệ thống thơng tin trường Đại học Kinh tế - ĐHĐN Đối tượng phạm vi nghiên cứu 3.1 Đối tượng nghiên cứu - Các chế an tồn thơng tin mạng - Các luật Snort - Các chế hoạt động Snort giải pháp phòng, chống cho hệ thống Server trường đại học Kinh tế - ĐHĐN 3.2 Phạm vi nghiên cứu Đề tài tập trung nghiên cứu khả phát cảnh báo xâm nhập hệ thống, xây dựng hệ thống cảnh báo xâm nhập IDS SNORT, giải pháp tường lửa phần mềm thử nghiệm hệ thống mạng trường Đại học Kinh tế - ĐHĐN Phương pháp nghiên cứu Chúng sử dụng hai phương pháp phương pháp nghiên cứu lý thuyết phương pháp thực nghiệm - Phương pháp nghiên cứu lý thuyết: Với phương pháp này, nghiên cứu tài liệu sở lý thuyết: chế an tồn bảo mật thơng tin mạng, chế cảnh báo xâm nhập, luật tài liệu liên quan đến giải pháp phòng, chống - Phương pháp thực nghiệm: Với phương pháp này, chúng tơi cài đặt cấu hình hệ thống cảnh báo xâm nhập, phân tích thiết kế chức IDS SNORT, xây dựng mô đun xử lý, phát cảnh báo IDS SNORT, xây dựng hệ thống tường lửa phòng, chống phần mềm đánh giá kết hệ thống Ý nghĩa khoa học thực tiễn đề tài Về khoa học Về thực tiễn Bố cục đề tài Báo cáo luận văn dự kiến tổ chức thành chương sau: Chương Tổng quan an ninh mạng Trong chương này, chúng tơi trình bày tổng quan bảo mật thông tin, nguy đe dọa bảo mật, phương pháp xâm nhập – biện pháp phát ngăn ngừa, giải pháp bảo mật an toàn cho hệ thống Chương Hệ thống cảnh báo chống xâm nhập IDS - SNORT Chương giới thiệu kiến trúc nguyên lý hoạt động IDS Phân loại, phương thức phát chế hoạt động IDS Cách phát kiểu công thông dụng IDS Chương Triển khai ứng dụng Chương trình bày kiến trúc luật SNORT giải pháp phòng, chống ứng dụng thực tế trường Đại học Kinh tế - ĐHĐN CHƯƠNG TỔNG QUAN VỀ AN NINH MẠNG 1.1 TẦM QUAN TRỌNG CỦA AN NINH MẠNG 1.1.1 Một số thông tin bảo mật Một số chuyên gia bảo mật Mỹ tiết lộ số chi tiết nhóm hacker Trung Quốc tiến hành nhiều cơng vào quan phủ Mỹ nhằm thu nhập thơng tin tình báo Trước “Hồ sơ Panama”, giới rúng động trước thông tin “người lộ mật” Edward Snowden hay tài liệu phủ WikiLeaks tung Hàng loạt vụ rò rỉ thơng tin diễn thời gian cho thấy khối lượng liệu khổng lồ bị can thiệp, đánh cắp nhờ công nghệ đại Một dấu hiệu cho thấy an ninh mạng cần nâng cao nhanh chóng, hai cơng ty, McDonal Corp Walgreen Co cho biết họ bị công Sau báo cáo MasterCard Visa, hệ thống bị cơng nhóm hacker Pro – WikiLeaks, biết đến với tên “vô danh”, McDonal cho biết hệ thống bị cơng thông tin khách hàng bao gồm email, thông tin liên lạc, ngày sinh thông tin chi tiết khác bị đánh cắp Google trở thành đối tượng chiến dịch lừa đảo khởi nguồn từ Trung Quốc, nhắm tới tài khoản cấp cao quan Mỹ, Nhật phủ nước khác Trung Quốc [16] Hacker công cách gửi đến nạn nhân thư điện tử lừa đảo, thường từ tài khoản trông giống với đối tác làm việc, gia đình, bạn bè Những thư điện tử chứa đường dẫn đến trang Gmail giả mạo chiếm lấy tên tài khoản mật bị dính bẫy Tin tặc đột nhập vào trang Web NewYork Tour Company khoảng 110.000 số thẻ ngân hàng bị đánh cắp, họ phá vỡ cách sử dụng công SQL Injection trang Trong công SQL Injection, tin tặc tìm cách để chèn lệnh sở liệu thực vào máy chủ cách sử dụng Web, họ làm điều cách thêm vào văn thiết kế đặc biệt vào hình thức Webbase hộp tìm kiếm sử dụng để truy vấn sở liệu 1.1.2 Các Website hệ thống Server liên tục bị cơng 1.1.3 Tình hình an ninh mạng 1.2 GIỚI THIỆU VỀ AN NINH MẠNG 1.2.1 Các khái niệm an ninh mạng Máy tính có phần cứng chứa liệu hệ điều hành quản lý, đa số máy tính máy tính cơng ty, doanh nghiệp nối mạng Lan Internet Các hacker cơng vào máy tính hệ thống lúc Vậy an tồn mạng có nghĩa bảo vệ hệ thống mạng máy tính khỏi phá hoại phần cứng hay chỉnh sửa liệu (phần mềm) mà không cho phép từ người cố ý hay vơ tình An tồn mạng cung cấp giải pháp, sách, bảo vệ máy tính, hệ thống mạng để làm cho người dùng trái phép, phần mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng 1.2.2 Các thành phần cần bảo vệ hệ thống mạng - Dữ liệu - Tài nguyên hệ thống - Danh tiếng 1.2.3 Các thành phần đảm bảo an tồn thơng tin Hiện biện pháp công ngày tinh vi, đe dọa tới độ an tồn thơng tin đến từ nhiều nơi khác theo nhiều cách khác nhau, thành phần cần để đảm bảo an tồn thơng tin sau: - Tính bí mật: Thơng tin phải đảm bảo tính bí mật sử dụng đối tượng - Tính tồn vẹn: Thơng tin phải đảm bảo đầy đủ, nguyên vẹn cấu trúc, khơng mâu thuẫn - Tính sẵn sàng: Thơng tin phải sẵn sàng để tiếp cận, để phục vụ theo mục đích cách - Tính xác: Thơng tin phải xác, tin cậy - Tính khơng khước từ (chống chối bỏ): Thơng tin kiểm chứng nguồn gốc người đưa tin Quá trình đánh giá nguy hệ thống: - Xác định lỗ hổng - Xác định mối đe dọa - Các biện pháp an toàn hệ thống 1.3 CÁC LỖ HỔNG BẢO MẬT 1.3.1 Lỗ hổng C 1.3.2 Lỗ hổng B 1.3.3 Lỗ hổng C 1.4 CÁC KIỂU TẤN CƠNG CỦA HACKER 1.4.1 Tấn cơng trực tiếp 1.4.2 Kỹ thuật đánh lừa Social Engineering 1.4.3 Kỹ thuật công vào vùng ẩn 1.4.4 Tấn công vào lỗ hổng bảo mật 1.4.5 Khai thác tình trạng tràn đệm 1.4.6 Nghe trộm 1.4.7 Kỹ thuật giả mạo địa 1.4.8 Kỹ thuật chèn mã lệnh 1.4.9 Tấn công vào hệ thống có cấu hình khơng an tồn 1.4.10 Tấn công dùng cookies 1.4.11 Can thiệp vào tham số URL 1.4.12 Vơ hiệu hóa dịch vụ 1.4.13 Một số công khác 1.5 CÁC BIỆN PHÁP BẢO MẬT 1.5.1 Mã hóa 1.5.2 Bảo mật máy trạm 1.5.3 Bảo mật truyền thông 1.5.4 Các công nghệ kỹ thuật bảo mật 10 b Nguyên lý hoạt động - Thu thập thơng tin (information source): Kiểm tra tất gói tin mạng (Intrustion Monitorring) - Sự phân tích (Analysis): Phân tích tất gói tin thu thập biết hành động công(Intruction detection) - Xuất thông tin cảnh báo (response): hành động cảnh báo cho cơng phân tích nhờ phận thông báo(Notification) 2.1.5 Chức IDS - Chức quan trọng là: giám sát – cảnh báo – bảo vệ - Chức mở rộng: phân biệt – phát 2.2 PHÂN LOẠI IDS 2.2.1 Network-base IDS – NIDS Hình 2.4 Mơ hình Network based IDS – NIDS 11 2.2.2 Host-based IDS – HIDS Hình 2.5 Mơ hình hoạt động Host based IDS - HIDS 2.2.3 Cơ chế hoạt động IDS a Mơ hình phát triển lạm dụng b Mơ hình phát triển bất thường 2.2.4 Cách phát công thông dụng IDS a Tấn công từ chối dịch vụ DDoS (Denial of Service Attacks) b Quét thăm dò (Scanning and Probe) c Chiếm đặc quyền (Privilege grabbing) d Cài đặt mã nguy hiểm (Hostile code insertion) e Tấn công hạ tầng bảo mật 12 2.3 HỆ THỐNG IDS SNORT 2.3.1 Giới thiệu IDS Snort Snort kiểu IDS, công phát snort Snort chủ yếu IDS dựa luật, nhiên input plug-in tồn để phát bất thường header giao thức 2.3.2 Kiến trúc IDS Snort Snort bao gồm nhiều thành phần, với phần có chức riêng Các phần là: - Module giải mã gói tin (Packet Decoder) - Module tiền xử lý (Preprocessors) - Module phát (Detection Engine) - Module log cảnh báo (Logging and Alerting System) - Module kết xuất thông tin (Output Module) a Module giải mã gói tin (Packet decoder) b Module tiền xử lý (Preprocessor) c Module phát (Detecion Engine) 2.3.3 Module log cảnh báo (Logging and Alerting System) 2.3.4 Bộ luật Snort a Cấu trúc luật Snort Hình 2.12.Cấu trúc luật Snort 13 - Phần Header: chứa thơng tin hành động mà luật thực phát có xâm nhập nằm gói tin chứa tiêu chuẩn để áp dụng luật với gói tin - Phần Option: chứa thông điệp cảnh báo thơng tin phần gói tin dùng để tạo nên cảnh báo Phần Option chứa tiêu chuẩn phụ thêm để đối sánh luật với gói tin b Các chế hoạt động Snort - iffer mode: chế độ snort lắng nghe đọc gói tin mạng sau trình bày kết giao diện hiển thị - Packet Logger mode: lưu trữ gói tin tập tin log - Network instruction detect system(NIDS) : chế dộ họat động mạnh mẽ áp dụng nhiều nhất, họat động NIDS mode Snort phân tích gói tin ln chuyển mạng so sánh với thông tin định nghĩa người dùng để từ có hành động tương ứng thông báo cho quản trị mạng xảy tình quét lỗi hacker /attacker tiến hành hay cảnh báo virus - Inline mode: triển khai snort linux cấu hình snort để phân tích gói tin từ iptables thay libpcap iptable drop pass gói tin theo snort rule 14 2.4 THIẾT KẾ HỆ THỐNG THÔNG TIN 2.4.1 Khảo sát đặt tả yêu cầu a Hiện trạng hệ thống mạng trường Đại học Kinh tế ĐHĐN Hình 2.14 Sơ đồ mạng Trường Đại học Kinh tế 2.4.2 Các phương thức công hệ thống mạng trường Đại học Kinh tế 15 CHƯƠNG XÂY DỰNG HỆ THỐNG 3.1 XÂY DỰNG HỆ THỐNG 3.1.1 Mô tả kịch - Hiện trường có 20 thiết bị Access Point đặt khu giảng đường khu làm việc Một phòng máy chủ đặt tầng tòa nhà A bao gồm: thiết bị Router (Board 1100), thiết bị Switch Linksys (48 cổng), 10 máy chủ Đường truyền Internet cung cấp dịch vụ cho máy chủ hệ thống mạng nội sử dụng kết nối Leadline với nhà cung cấp: Viettel, Vnpt Vinaphone, CMC Thống kê lưu lượng sử dụng mạng nội ngày 40GB - Hiện máy chủ trang bị qua nhiều năm khác nên cấu hình chủng loại khác Số lượng máy chủ cung cấp dịch vụ: Web Service, Mail Service, File Service, Print Service, AD Phần lớn máy chủ phục vụ Web Service bao gồm trang thông tin trường, hệ thống quản lý đào tạo, quản lý cán bộ, quản lý thư viện điện tử quản lý ký túc xá Ngoài số máy chủ sử dụng dịch vụ cho quản lý cơng tác tài chính, quản lý điểm đào tạo quản lý đăng ký tín sinh viên - Để mơ theo mơ hình thực nghiệm yêu cầu phần mềm phải có đủ phần mềm để xây dựng lên hệ thống như: Firewall, máy tính ảo, IDS, máy ảo Vmware Chúng ta cài máy ảo Vmware máy thật Windows từ máy ảo Vmware xây dựng máy ảo Windows Server xây dựng Web Server hệ thống IDS máy ảo,… yêu cầu cấu hình máy tính làm mơ RAM tối thiểu 2GB 16 Hình 3.1 Mơ hình tổng quan 3.1.2 Hạ tầng mạng kịch Hình 3.2 Mơ hình cài đặt hệ thống 17 3.1.3 Các bước cài đặt - Bước 1: chuẩn bị hệ điều hành - Bước 2: Cấu hình Snort - Bước 3: Cài đặt Barayard2 - Bước 4: Cài đặt BASE 3.2 DEMO HỆ THỐNG IDS Sử dụng phương thức công chế độ Tcp flooding qua công cụ công LOIC 1.0.8 DDOS Attacks theo Hình 3.16 Hình 3.15.Phần mềm LOIC Hình 3.16.Kết snort bắt gói tin cơng 18 3.3 GIẢI PHÁP PHỊNG CHỐNG 3.3.1 Giải pháp phòng chống tự động Giải pháp xây dựng công cụ Kerio Control 7.1.2 theo Hình 3.17 Hình 3.17 Giao diện quản lý, giám sát mạng Kerio Control Hình 3.18 Giám sát truy cập địa trang Web 19 Hình 3.19 Kerio Control kết hợp với phần mềm Antivirus 3.3.2 Giải pháp phòng chống thủ cơng - Luật ngăn chặn địa IP truy cập: Luật cho phép chặn địa chỉ, dãy địa truy cập vào máy chủ (Hình 3.20.a) (a) 20 (b) Hình 1.1 Chặn địa chỉ, dãy địa truy cập vào máy chủ - Luật ngăn chặn tên miền truy cập: Cho phép ngăn chặn tên miền truy cập vào bên hệ thống hay máy tính từ hệ thống truy cập bên ngồi Hình 3.21 Ngăn chặn tên miền truy cập - Luật ngăn chặn dịch vụ cổng: Luật cho phép ngăn chặn dịch vụ truy cập từ ngồi vào hay từ máy tính bên truy cập ngồi theo Hình 3.22 21 Hình 3.22 Chặn dịch vụ cổng 22 KẾT LUẬN Kết đạt Đề tài cho ta thấy rõ cần thiết bảo mật, hạn chế phương pháp bảo mật tại, đồng thời nói lên quan trọng hệ thống phát chống xâm nhập trái phép công nghệ thông tin phát triển Hệ thống phát xâm nhập mạng (IDS) xuất sau đóng vai trò khơng phần quan trọng IDS giúp khám phá, phân tích nguy cơng Từ vạch phương án phòng chống góc độ tìm thủ phạm gây cơng Trong thời gian học tập nghiên cứu làm luận văn, nhận nhiều giúp đỡ nhiệt tình thầy để hồn thành đề tài, qua trình làm luận văn xây dựng hệ thống IDS Snort bảo vệ Web Server khỏi công DDOS thu kết sau: - Nắm bắt khái niệm hệ thống phát xâm nhập - Triển khai hệ thống phát xâm nhập phỗ biến Snort - Hệ thống Server + Thiết kế sở liệu + Xây dựng thành công hệ thống IDS Snort phát xâm nhập + Xây dựng Kerio firewall thành công cho Server Web Server - Xây dựng Web Server 23 - Hệ thống IDS Snort làm phân tin gói tin mạng hệ thống để phát công nhằm vào hệ thống Web Server Đưa cảnh báo kịp thời tới người dùng người quản trị hệ thống để ngăn chặn kịp thời công DDOS attacker Hạn chế Tuy đạt kết định, hệ thống có hạn chế - Đề tài số thiếu sót Phần lý thuyết tổng quát sơ lược tóm tắt chưa sâu nghiên cứu vấn đề - IDS thường xuyên đưa nhiều báo động giả, gánh nặng cho quản trị hệ thống cần theo dõi liên tục - Hệ thống Server trình xây dựng - Phần thử nghiệm tìm hiểu mức độ đơn giản Hướng phát triển: IDS ví chng cảnh báo trộm để cảnh báo chủ nhà công khả nghi Vì giám sát thụ động ngăn chặn công để ngăn ngừa tổn hại hệ thống người công gây Nhà quản trị mạng khơng đơn muốn có thơng tin công mạng họ mà muốn có khả ngăn chặn cơng Cách bảo đảm an ninh cho mạng ngăn chặn cơng, khơng cho chúng phá hoại đích công cách loại bỏ tất lưu lượng khả nghi chúng bị phát trước chúng ảnh hưởng đến đích 24 Xu hướng phát triển hệ thống phát xâm nhập thay nhanh giải pháp IPS Tuy nhiên, hệ thống IDS không mà tích hợp phát triển với hệ thống ngăn chặn xâm nhập IPS trở thành hệ thống phát ngăn chặn xâm nhập IDP Hệ thống phát ngăn chặn xâm nhập IDP tích hợp sản phẩm khả nhận dạng cảnh báo nhà quản trị mạng hoạt động xâm nhập công(những khả cung cấp hệ thống phát ... việc chọn đề tài Xây dựng hệ thống cảnh báo chống xâm nhập IDS Snort Web Server trường Đại học Kinh tế - ĐHĐN” hướng nghiên cứu hợp lý hệ thống Web Service trường Đại học Kinh tế - ĐHĐN giai... + Xây dựng thành công hệ thống IDS Snort phát xâm nhập + Xây dựng Kerio firewall thành công cho Server Web Server - Xây dựng Web Server 23 - Hệ thống IDS Snort làm phân tin gói tin mạng hệ thống. .. luận văn xây dựng hệ thống IDS Snort bảo vệ Web Server khỏi công DDOS thu kết sau: - Nắm bắt khái niệm hệ thống phát xâm nhập - Triển khai hệ thống phát xâm nhập phỗ biến Snort - Hệ thống Server