TRƯỜNG ĐẠI HỌC LẠC HỒNG KHOA CÔNG NGHỆ THÔNG TIN - - BÁO CÁO NGHIÊN CỨU KHOA HỌC ĐỀ TÀI: XÂY DỰNG HỆ THỐNG MẠNG BẢO MẬT, PHÁT HIỆN XÂM NHẬP CHO DOANH NGHIỆP VỪA VÀ NHỎ ĐỖ MINH THÀNH BIÊN HÒA, THÁNG 12/2017 TRƯỜNG ĐẠI HỌC LẠC HỒNG KHOA CÔNG NGHỆ THÔNG TIN - - BÁO CÁO NGHIÊN CỨU KHOA HỌC ĐỀ TÀI: XÂY DỰNG HỆ THỐNG MẠNG BẢO MẬT, PHÁT HIỆN XÂM NHẬP CHO DOANH NGHIỆP VỪA VÀ NHỎ SVTH : ĐỖ MINH THÀNH GVHD :Th.S NGUYỄN VŨ DUY QUANG BIÊN HÒA, THÁNG 12/2017 LỜI CÁM ƠN Em xin chân thành cám ơn giảng viên trường Đại Học Lạc Hồng, thầy cô khoa Công Nghệ Thông Tin giảng dạy hướng dẫn em suốt thời gian em theo học trường Em xin gởi lời cám ơn đến Th.S Nguyễn Vũ Duy Quang, giáo viên tận tình hướng dẫn em hồn thành đề tài nghiên cứu khoa học Em xin cám ơn thầy, khoa Cơng Nghệ Thơng Tin có ý kiến đóng góp buổi báo cáo tiến độ Ngoài em xin cám ơn bạn lớp tồn thể gia đình người thân giúp đỡ, động viên em trình thực đề tài Với vốn kiến thức hạn chế điều kiện khách quan không cho phép, đề tài em khó tránh khỏi thiếu sót chưa đáp ứng đầy đủ yêu cầu Do em hy vọng tiếp tục nhận ý kiến đóng góp hướng dẫn q thầy để đề tài em hoàn thiện Em xin chân thành cảm ơn Biên Hòa, tháng 12 năm 2017 Sinh viên thực Đỗ Minh Thành MỤC LỤC Trang PHẦN MỞ ĐẦU Lý chọn đề tài Mục tiêu nghiên cứu Đối tượng nghiên cứu Phương pháp nghiên cứu Kết cấu đề tài CHƯƠNG 1: CÁC THÀNH PHẦN VÀ MỘT SỐ TIÊU CHÍ KHI TỔ CHỨC MƠ HÌNH MẠNG 1.1 Thành phần hệ thống mạng 1.1.1 Mơ hình mạng 1.1.2 Các vùng mạng 1.2 Tiêu chí tổ chức mơ hình mạng CHƯƠNG 2: HỆ THỐNG NGĂN NGỪA VÀ PHÁT HIỆN XÂM NHẬP 2.1 Các hình thức công mạng phổ biến 2.1.1 Tấn cơng theo hình thức Phishing 2.1.2 Tấn công theo kiểu Man-in-the-Middle Attack 2.1.3 Tấn công theo kiểu Brute Force Attack 2.1.4 Tấn công từ chối dịch vụ (Denial-of-service) (DOS) 2.2 Các giải pháp phát phịng chống cơng mạng 2.3 Hệ thống ngăn ngừa phát xâm nhập 2.3.1 Lịch sử phát triển 2.3.2 Vai trò, chức hệ thống phát phòng chống xâm nhập 2.3.3 Kiến trúc hệ thống IPS 10 2.4 Phân loại IPS 13 2.4.1 Host-Based IPS (HIPS) 13 2.4.2 Network-Based IPS (NIPS) 13 2.5 IPS Signatures 15 2.5.1 Signature Attributes (thuộc tính chữ ký) 15 2.5.2 Signature Types (Loại chữ ký) 15 2.5.3 Signature File 16 2.5.4 Signature Micro-Engines 16 2.6 Sự đa dạng hệ thống phát xâm nhập 18 2.6.1 Hệ thống phát xâm nhập mềm 18 2.6.2 Hệ thống phát xâm nhập cứng 20 CHƯƠNG 3: MÔ PHỎNG 3.1 Mục tiêu mô 23 3.2 Công cụ cần thiết để thực mô 23 3.3 Các bước mô 23 3.4 Kết thu sau thực mô 34 KẾT LUẬN 35 TÀI LIỆU THAM KHẢO PHẦN MỞ ĐẦU Lý chọn đề tài Việt Nam quốc gia có tốc độ phát triển Công nghệ thông tin (CNTT) nhanh khu vực Đơng Nam Á, lý mà Việt Nam mục tiêu cơng mạng tội phạm cơng nghệ cao tồn cầu Chỉ tính q Inăm 2017 có gần 7.700 cố công mạng vào website Việt Nam Theo thống kê số lượng website bị cơng q I/2017, có tổng cộng 7681 cố công mạng vào website Việt Nam loại hình cơng : Phising (lừa đảo), Malware (mã độc) Deface (tấn công thay đổi giao diện web) [1] Như thấy an tồn thơng tin doanh nghiệp Việt Nam có nhiều biến động lớn mức độ công ngày nguy hiểm gây nhiều thiệt hại cho doanh nghiệp nước Do mà đề tài xây dựng hệ thống mạng an toàn, phát xâm nhập giúp đáp ứng phần yêu cầu doanh nghiệp an tồn thơng tin bảo mật hệ thống mạng Mục tiêu nghiên cứu Nghiên cứu hệ thống ngăn ngừa phát xâm nhập IDS/IPS Triển khai hệ thống phát hiện, ngăn chặn lưu lượng vào hệ thống cần thiết cho doanh nghiệp có nhu cầu an tồn hệ thống trước hành vi xâm nhập trái phép Trước phát triển internet hiểu biết ngày sâu người việc truy cập phá hoại hệ thống mạng doanh nghiệp,công ty theo đà phát triển internet mà tăng lên nhiều Việc nghiên cứu đáp ứng cho lĩnh vực bảo mật an ninh hệ thống mạng Đối tượng nghiên cứu Hệ thống mạng cho doanh nghiệp vừa nhỏ Một số phương pháp công mạng phổ biến Hệ thống phòng chống xâm nhập IPS (intrusion prevention system) Phương pháp nghiên cứu Tìm hiểu số tiêu chí xây dựng hệ thống mạng cho doanh nghiệp vừa nhỏ Nghiên cứu tìm hiểu chế hoạt động IPS Kết cấu đề tài Luận văn chia làm ba phần: phần mở đầu, phần nội dung phần kết luận Phần mở đầu Nêu lý chọn đề tài, mục tiêu nghiên cứu đề tài, đối tượng, phương pháp nghiên cứu đề tài Phần nội dung chính: gồm chương Chương 1: Các thành phần số tiêu chí tổ chức mơ hình mạng Trong chương tơi trình bày thành phần cần có hệ thống mạng, nêu bước để thiết kế hệ thống mạng hoàn chỉnh.Bên cạnh đó, tơi đề xuất số mơ hình mạng cho doanh nghiệp vừa nhỏ Chương 2: Hệ thống ngăn ngừa phát xâm nhập Trong chương tơi trình bày lịch sử phát triển, vai trò, đặc điểm loại IPS Chương 3: Phần mô phỏng: Ở phần này, mô giúp thấy tính hoạt động bước cấu hình IPS router.Thực tính gây cảnh báo có vi phạm Phần kết luận Đưa kết luận mơ hình xây dựng CHƯƠNG 1: CÁC THÀNH PHẦN VÀ MỘT SỐ TIÊU CHÍ KHI TỔ CHỨC MƠ HÌNH MẠNG Mạng máy tính hệ thống gồm nhiều máy tính thiết bị kết nối với đường truyền vật lý theo kiến trúc (Network Architecture) nhằm thu thập, trao đổi liệu chia sẻ tài nguyên cho nhiều người sử dụng Các máy tính kết nối với phịng, tịa nhà, thành phố phạm vi toàn cầu [2] 1.1 Thành phần hệ thống mạng Mạng máy tính bao gồm ba thành phần chính: - Các máy tính - Các thiết bị mạng đảm bảo kết nối máy tính với - Các phần mềm cho phép việc thực hiện, trao đổi thông tin máy tính 1.1.1 Mơ hình mạng Xét theo chức máy tính mạng, phân mạng thành mơ hình chủ yếu sau:  Mơ hình mạng ngang hàng (Peer-to-Peer) Mạng ngang hàng (tiếng Anh: peer-to-peer network), gọi mạng đồng đẳng, mạng máy tính hoạt động mạng chủ yếu dựa vào khả tính tốn băng thông máy tham gia không tập trung vào số nhỏ máy chủ trung tâm mạng thơng thường Mạng đồng đẳng có nhiều ứng dụng, ứng dụng thường xuyên gặp chia sẻ tệp tin, tất dạng âm thanh, hình ảnh, liệu,… để truyền liệu thời gian thực điện thoại VoIP Một mạng đồng đẳng nghĩa khơng có khái niệm máy chủ máy khách Nói cách khác, tất máy tham gia bình đẳng gọi peer Mỗi peer nút mạng đóng vai trị máy khách đồng thời máy chủ máy khác mạng Mơ hình thích hợp với mạng có quy mơ nhỏ, tài ngun quản lý phân tán, chế độ bảo mật  Mơ hình mạng khách – chủ (Client – Server) Trong mô hình này, vài máy chọn để đảm nhận việc quản lý cung cấp tài nguyên (chương trình, liệu, thiết bị,…) gọi máy chủ (Server), máy khác sử dụng tài nguyên gọi máy khách (Client) Máy chủ máy tính đảm bảo việc phục vụ máy khách cách điều khiển việc phân phối tài nguyên nằm mạng với mục đích sử dụng chung Máy khách máy sử dụng tài nguyên máy chủ cung cấp Mơ hình khách – chủ có ưu điểm liệu quản lý tập trung, bảo mật tốt, thích hợp với mạng trung bình lớn 1.1.2 Các vùng mạng Trước thiết kế hệ thống mạng, cần phải phân biệt rõ ràng vùng mạng theo chức thiết lập sách an tồn thơng tin riêng cho vùng mạng Có vùng mạng sau : Vùng mạng nội Mạng LAN(Local Area Network) hệ thống mạng dùng để kết nối máy tính phạm vi nhỏ (nhà ở, phòng làm việc, trường học, …) Các máy tính mạng LAN chia sẻ tài nguyên với nhau, mà điển hình chia sẻ tập tin, máy in, máy quét số thiết bị khác Một mạng LAN tối thiểu cần có máy chủ (server), thiết bị ghép nối (Repeater, Hub, Switch, Bridge), máy tính (client), card mạng (Network Interface Card – NIC) dây cáp (cable) để kết nối máy tính lại với Vùng mạng DMZ Demilitarized Zone hay viết tắt DMZ vùng nằm Local Area Network mạng Internet Đây nơi chứa Server cung cấp dịch vụ cho host mạng LAN host khác từ LAN bên vào chẳng hạn Web server, Mail server, FTP server… DMZ có đường mạng subnet mạng khác với mạng nội nhằm mục đích host từ LAN khác khơng thể truy cập vào mạng LAN bên chúng dùng dịch vụ mà DMZ cung cấp Ở DMZ với mạng ngồi ta đặt tường lửa Nó kiểm sốt kết nối từ mạng ngồi đến DMZ Cịn mạng nội DMZ ta đặt thêm tường lửa khác để kiểm soát lưu lượng từ DMZ vào mạng nội Vùng mạng Server Vùng mạng Server hay Server Farm, nơi đặt máy chủ không trực tiếp cung cấp dịch vụ cho mạng Internet Các máy chủ triển khai vùng mạng thường Database Server, LDAP Server,… Vùng mạng Internet Còn gọi mạng ngoài, kết nối với mạng Internet toàn cầu 1.2 Các tiêu chí tổ chức mơ hình mạng Nên đặt máy chủ web, máy chủ thư điện tử (mail server)… cung cấp dịch vụ mạng Internet vùng mạng DMZ, nhằm tránh công mạng nội gây ảnh hướng tới an toàn mạng nội máy chủ bị công chiếm quyền kiểm sốt Chú ý khơng đặt máy chủ web, mail server máy chủ cung cấp dịch vụ cho nội vùng mạng Các máy chủ không trực tiếp cung cấp dịch vụ mạng máy chủ ứng dụng, máy chủ sở liệu, máy chủ xác thực… nên đặt vùng mạng server network để tránh công trực diện từ Internet từ mạng nội Đối với hệ thống thơng tin u cầu có mức bảo mật cao, có nhiều cụm máy chủ khác chia vùng server network thành vùng nhỏ độc lập để nâng cao tính bảo mật Nên thiết lập hệ thống phòng thủ tường lửa (firewall) thiết bị phát hiện/phòng chống xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống công xâm nhập trái phép Khuyến cáo đặt firewall IDS/IPS vị trí sau: đặt firewall đường nối mạng Internet với vùng mạng khác nhằm hạn chế cơng từ mạng từ bên ngồi vào; đặt firewall vùng mạng nội mạng DMZ nhằm hạn chế cơng vùng đó; đặt IDS/IPS vùng cần theo dõi bảo vệ Nên đặt Router (Router biên) trước kết nối đến nhà cung cấp dịch vụ internet (ISP) để lọc số lưu lượng không mong muốn chặn gói tin đến từ địa IP khơng hợp lệ [3] Đề xuất mơ hình mạng cho doanh nghiệp vừa nhỏ Hình 2.3 Cảm biến IPS series 4300 4500 +Cisco Catalyst 6500 Series Intrusion Detection System Services Module: Là phần giải pháp Cisco IPS, hoạt động kết hợp với thành phần khác để bảo vệ hiệu sở hạ tầng liệu, thể hình 2.4 Hình Module Catalyst 6500 Series Ưu điểm hệ thống phát xâm nhập cisco: dễ dàng cấu hình thơng qua giao diện, update signatures từ nhà sản xuất Nhược điểm: chi phí cao cho thiết bị triển khai 22 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP 3.1 Mục tiêu mơ Mơ giúp thấy tính và hoạt động bước cấu hình IPS router Mơ hình mơ dựa hệ thống mạng cho doanh nghiệp vừa nhỏ gồm có Web server cho phép người dùng bên ngồi Internet truy cập vào router đóng vai trị làm IPS Bên cạnh ta thực cơng mạng từ bên ngồi vào từ bên để kiểm tra hoạt động IPS Hình 3.1 Mơ hình mơ 3.2 Cơng cụ cần thiết để thực mô Hệ diều hành windows Hệ diều hành windows server 2012 Phần mềm giả lập GNS3 Tool SDM cisco Máy sdm-ips phải cài gói java để hỗ trợ cho SDM Cài phầm mềm dos http 2.5.1 máy attacker để công Web server Cài tool Hyenae máy client để thực thao tác gửi gói tin trái phép ngồi 3.3 Các bước mơ Trên GNS3, xây dựng mơ hình giống mơ hình mơ Đặt ip cho thiết bị mơ hình mơ Trên router IPS cấu hình cho phép từ bên ngồi Internet truy cập vào Web server câu lệnh: 23 IPS(config )#ip nat inside source static tcp 192.168.1.200 80 209.165.200.1 80 Sau đặt ip cho thiết bị, ta NAT(Network Address Translation) router IPS router R2 cho phép Internet Bên cạnh ta cấu hình cho phép chạy SDM router IPS sau: IPS(config )#ip http server IPS(config )#ip http secure-server IPS(config )#ip http authentication local IPS(config )#username cisco privilege 15 password cisco IPS(config )#line vty IPS(config-line )#privilege level 15 IPS(config -line)#login local IPS(config -line)#transport input telnet IPS(config -line)#transport input telnet ssh Tại máy sdm-ips chỉnh ip default gerway router IPS Hình 3.2 Chỉnh IP Default gateway cho máy sdm-ips Trên máy sdm-ips cài đặt gói java tool SDM cho computer chạy cisco SDM Tại hình SDM Launcher chọn ip router IPS:192.168.1.1 24 Hình 3.3 IP router IPS chạy SDM Màn hình internet explorer xuất sau bấm Launch bước trên,kích phải chuột chọn Allow Blocked Content Hình 3.4 Cho phép chạy pop up Xuất cảnh báo, chọn Yes 25 Hình 3.5 Hộp thoại cảnh báo Màn hình đăng nhập chứng thực xuất hiện, đăng nhập với user & pass có level 15 Hình 3.6 Chứng thực tài khoản đăng nhập Xuất cửa sổ internet explorer chọn allow blocked content 26 Hình 3.7 Cảnh báo secure từ internet explorer Xuất cảnh báo, chọn yes để tiếp tục Hình 3.8 Cảnh báo Sau chọn Yes đợi khoảng vài giây để load trang SDM từ router đến máy tính Xuất hình đăng nhập ,tiếp tục đăng nhập với username pass level 15 27 Hình 3.9 Yêu cầu chứng thực Giao diện SDM router IPS, hiển thị tính có router, chọn Configure để bắt đầu cấu hình IPS Hình 3.10 Giao diện SDM Kích chọn tính instruction prevention để cấu hình cho IPS,kích chọn “launch ips rule winzard” để bắt đầu tạo ips 28 Hình 3.11 Tính IPS router Cisco SDM yêu cầu thông báo kiện IPS qua SDEE để cấu hình tính Cisco IOS IPS, chọn OK Hình 3.12 Thơng báo chạy IPS Nhấp vào "Next" giao diện dẫn đến trang Wizard IPS Tại ta chọn interface router mà muốn kích hoạt tính IPS Cisco khuyến cáo nên cho phép hướng ngồi kích hoạt IPS Click "Next" kết thúc việc chọn lựa 29 Hình 3.13 Màn hình IPS Wizard Hình 3.14 Chọn interface muốn IPS lọc gói tin Màn hình cho thấy vị trí SDF Wizard IPS Để cấu hình file SDF, nhấp vào "Add " nút bên phải danh sách 30 Hình 3.15 Mơ tả cách nạp signature Cửa sổ “Add a signature location” xuất chọn secify sdf using url chọn tftp (để thực trình copy File sdf pc chạy tftp ), bỏ qua bước để chọn add file SDF từ pc Hình 3.16 Chọn vị trí signature Kế đến hình tổng kết trình cấu hình rule nạp signature chọn finish để kết thúc bước 31 Hình 3.17 Kết thúc trình cài đặt IPS Để kiểm tra signature nạp router, ta chọn theo đường dẫn: Configure-> Intrusion Prevention -> Edit IPS -> Signatures Từ giao diện định nghĩa thêm signature sau kích hoạt default SDF Có thể định nghĩa thêm signature cách import sau: Configure-> Intrusion Prevention -> Edit IPS -> Signatures -> Import Chọn nút nhấn “import” công cụ bảng danh sách chữ ký Kế tiếp chọn “from pc” để đường dẫn tới file chửa ký Tại hình chỉnh lại hoạt động chữ ký cách kích chọn vào chữ ký->action chọn lựa hành động mong muốn 32 Hình 3.18 Hiển thị signature cấu hình signature Sau cấu hình chỉnh sửa hồn tất tính IPS giao diện SDM ,truy cập vào command line router kiểm tra thử câu lệnh: show ip ips all Hình 3.19 Hiển thị số lượng signature cổng cấu hình IPS 33 Thử nghiệm công từ chối dịch vụ(DOS) từ máy Attacker vào địa 209.165.200.1 (IP để bên truy cập vào Web server) để kiểm tra IPS có hoạt động hay khơng Hình 3.20 Router IPS thơng báo bị công DOS Tương tự vậy, ta tiến hành dùng tool Hyenae máy Client (có IP 192.168.2.10) cơng theo hình thức DHCP Spoofing cách liên tục gửi gói tin DHCP Discover Hình 3.21 Router IPS thông báo bị công DHCP spoofing 3.4 Kết thu sau thực mô Hệ thống phát ngăn chặn xâm nhập hoạt động hiệu lĩnh vực bảo mật cho hệ thống mạng doanh nghiệp,cơng ty có nhu cầu bảo mật cao Thơng qua việc mơ thấy cách cài đặt sử dụng tính IPS router hệ thống IPS lên cảnh báo vi phạm 34 KẾT LUẬN Đề tài nghiên cứu với mục tiêu xây dựng hệ thống mạng bảo mật,tìm hiểu hệ thống ngăn ngừa phát xâm nhập IPS Với yêu cầu đặt việc xây dựng hệ thống mạng an tồn, việc mơ GNS3 đáp ứng yêu cầu Tuy nhiên, giới hạn kiến thức nên khơng thể hồn chỉnh hệ thống mạng cụ thể thực tế Trong thời gian tới, đề tài cần mở rộng thêm việc triển khai cài đặt hệ thống phát xâm nhập IPS thiết bị khác chẳng hạn firewall… 35 TÀI LIỆU THAM KHẢO [1] Các vụ công mạng Việt Nam quý I năm 2017, http://securitybox.vn/1826/cac-vu-tan-cong-mang-tai-viet-nam-quy-i-nam-2017/ [2] Khái niệm mạng máy tính, http://www.techneat.vn/mang-may-tinh-la-gi-cac-he-thong-mang-bao-gom-nhung-gi/ [3] Mơ hình mạng hợp lý, http://securitydaily.net/network-mo-hinh-mang-hop-ly/ [4] Top10 Công cụ phát phòng chống xâm nhập mã nguồn mở, https://www.esecurityplanet.com/network-security/10-open-source-security-breachprevention-and-detection-tools.html [5] Các thành phần Snort, http://www.vnpro.org/forum/forum/ccnp-security-%C2%AE-ccsp/ips/12992c%C3%A1c-th%C3%A0nh-ph%E1%BA%A7n-c%E1%BB%A7a-snort ... người quản trị mạng phải am hiểu sâu hệ thống mạng sách cơng ty để qua thiết lập rule phù hợp 2.6.2 Hệ thống phát xâm nhập cứng Tương tự hệ thống phát xâm nhập mềm hệ thống phát xâm nhập cứng nhiều... cầu doanh nghiệp an tồn thơng tin bảo mật hệ thống mạng Mục tiêu nghiên cứu Nghiên cứu hệ thống ngăn ngừa phát xâm nhập IDS/IPS Triển khai hệ thống phát hiện, ngăn chặn lưu lượng vào hệ thống. .. hệ thống IDS cịn phát triển mạnh cơng nghệ an ninh mạng 2.3.2 Vai trị, chức hệ thống phát phòng chống xâm nhập Hệ thống phát xâm nhập dùng để lắng nghe, dị tìm gói tin qua hệ thống mạng để phát