Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet MỤC LỤC LỜI CẢM ƠN LỜI MỞ ĐẦU CHƯƠNG I : HỆ THỐNG THÔNG TIN VÀ NGUY CƠ TRUY CẬP BẤT HỢP PHÁP I HỆ THỐNG THÔNG TIN II CÁC NGUY CƠ MẤT AN TOÀN Các hiểm họa an tồn hệ thống thơng tin Các yêu cầu cần bảo vệ hệ thống thông tin Các biện pháp đảm bảo an tồn hệ thống thơng tin CHƯƠNG II: CÁC KIỂU TẤN CÔNG CƠ BẢN I SNIFFERS Định nghĩa Sniffers Mục đích sử dụng Sniffers Các giao thức sử dụng Sniffing 10 Các loại Sniffing 10 Tìm hiểu MAC, ARP số kiểu công 11 II TẤN CÔNG TỪ CHỐI DỊCH VỤ 24 Tấn công từ chối dịch vụ (DoS) 24 Mục đích cơng từ chối dịch vụ 24 Ảnh hưởng phương thức công 24 Các loại công từ chối dịch vụ 25 III SOCIAL ENGINEERING 37 Tìm hiểu Social Engineering 37 Đặc điểm Social Engineering 38 Rebecca Jessica 38 Nhân viên văn phòng 38 Các loại Social Engineering 38 Mục tiêu tiếp cận Social Engineering 42 Các nhân tố dẫn đến công 42 Tại Social Engineering dễ thực ? 42 Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phịng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Các dấu hiệu nhận dạng Hacker 42 10 Các giai đoạn Social Engineering 42 11 Thâm nhập vào điểm yếu giao tiếp 43 12 Các phương pháp đối phó 44 CHƯƠNG III: PHƯƠNG PHÁP PHÁT HIỆN XÂM NHẬP 46 I TÌM HIỂU VỀ MỘT SỐ HỆ THỐNG IDS 46 Giới thiệu 46 Một số thuật ngữ 46 II HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS 46 Giới thiệu IDS 46 Chức IDS 47 Nơi đặt IDS 47 Phân loại IDS 48 ĐỀ XUẤT SỬ DỤNG GIẢI PHÁP HỆ THỐNG PHÁT HIỆN XÂM NHẬP SNORT 50 BI Giới thiệu 50 Cài đặt Snort 51 Cài đặt Rules cho Snort 52 Cấu hình tập tin Snort.conf 53 Tìm hiểu luật Snort 57 CHƯƠNG IV: ỨNG DỤNG PHẦN MỀM QUẢN LÝ CÁC IP TỪ BÊN NGOÀI TRUY CẬP VÀO HỆ THỐNG 65 I BÀI TOÁN 65 II THUẬT TOÁN 65 Chức quản lý IP truy cập vào hệ thống 67 Chức đọc thông tin log file 69 IV MINH HỌA CÁC GIAO DIỆN CHƯƠNG TRÌNH 70 KẾT LUẬN 73 TÀI LIỆU THAM KHẢO 74 Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phịng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet LỜI CẢM ƠN Em xin chân thành cảm ơn Thầy giáo, Tiến sĩ Phùng Văn Ổn – Giám đốc Trung tâm Tin học Văn phịng Chính Phủ, người trực tiếp hướng dẫn tận tình bảo em suốt trình làm làm tốt nghiệp Em xin chân thành cảm ơn tất thầy cô giáo Khoa Công nghệ thông tin - Trường Đại học Dân lập Hải Phòng, người nhiệt tình giảng dạy truyền đạt kiến thức cần thiết suốt thời gian em học tập trường, để em hoàn thành tốt đề tài Tuy có nhiều cố gắng q trình học tập thời gian làm tốt nghiệp tránh khỏi thiếu sót, em mong góp ý quý báu tất thầy cô giáo tất bạn để kết em hoàn thiện Em xin chân thành cảm ơn! Hải Phòng, tháng năm 2019 Sinh viên Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet LỜI MỞ ĐẦU Ngày nay, hệ thống mạng máy tính trở nên phổ biến hầu hết hoạt động xã hội, tác động trực tiếp đến kỹ thuật kinh tế nước Cùng với phát triển đó, ngày xuất nhiều cá nhân, nhóm chí tổ chức hoạt động với mục đích xấu nhằm phá hoại hệ thống mạng máy tính, hệ thống thơng tin, gây tác hại vơ to lớn đến tính an tồn bảo mật thơng tin hệ thống Chính vấn đề an ninh mạng quan tâm đặc biệt như: vấn đề bảo mật mật khẩu, chống lại truy cập bất hợp pháp , chống lại virus máy tính, … Đó lý em chọn đề tài “Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet” nhằm phục vụ cho mục đích thực tế Mục đích nhiệm vụ nghiên cứu: - Các nguy truy cập hệ thống thông tin tin học bất hợp pháp - Đề xuất giải pháp kỹ thuật ngăn chặn truy cập hệ thống thông tin tin học bất hợp pháp Phạm vi nghiên cứu: - Hệ thống thông tin nguy truy cập bất hợp pháp - Các kiểu công - Phương pháp phát xâm nhập Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet CHƯƠNG I : HỆ THỐNG THÔNG TIN VÀ NGUY CƠ TRUY CẬP BẤT HỢP PHÁP I HỆ THỐNG THÔNG TIN : Hệ thống thông tin (Tiếng anh là: Information System) tập hợp kết hợp phần cứng, phần mềm hệ mạng truyền thông xây dựng sử dụng để thu thập, tạo, tái tạo, phân phối chia sẻ liệu, thông tin tri thức nhằm phục vụ mục tiêu tổ chức Các tổ chức sử dụng hệ thống thơng tin với nhiều mục đích khác nhau: - Với bên trong, hệ thống thông tin phục vụ việc việc quản trị nội bộ, hệ thống thông tin giúp đạt liên kết trao đổi thông tin nội bộ, thống hành động, trì sức mạnh tổ chức, đạt lợi cạnh tranh - Với bên ngồi, hệ thống thơng tin giúp nắm bắt nhiều thông tin khách hàng cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển II CÁC NGUY CƠ MẤT AN TỒN : Một người hay nhóm người muốn truy cập vào hệ thống thông tin gọi chung Hacker lý hay lý khác Dưới số lý có thể: - Đơn giản truy cập vào hệ thống thống thơng tin đọc tìm kiếm thơng tin - Chỉ tị mị, giải trí muốn thể khả cá nhân - Để xem xét chung chung gửi cảnh báo đến người quản trị hệ thống - Để ăn cắp tài nguyên hệ thống thông tin như: thông tin tài khoản ngân hàng, bí mật thương mại, bí mật quốc gia thông tin độc quyền, - Phát động chiến tranh thông tin mạng, làm tê liệt mạng Trong trường hợp, lý đằng sau vụ cơng vào hệ thống thơng tin thơng tin mà kẻ phá hoại muốn lấy thông tin người quản lý hệ thống bao gồm: tên đăng nhập (Tiếng anh là: username) mật (Tiếng anh là: password) Tuy nhiên, mật mã hóa, điều khơng có Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phịng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet nghĩa mật ln an tồn “Hacker” dùng chương trình Bộ giải mã mật (Tiếng anh là: Password Cracker) để tìm mật cách so sánh chúng với từ từ điển Brouce Force Mức độ thành cơng chương trình giải mã phụ thuộc vào tài nguyên CPU, vào chất lượng từ điển vài lý khác Các hiểm họa an tồn hệ thống thơng tin : Các hiểm hoạ an toàn hệ thống thơng tin phân loại thành hiểm hoạ vơ tình hay cố ý; hiểm hoạ chủ động hay thụ động Hiểm họa vô tình (Tiếng anh là: Unintentional Threat): Khi người sử dụng tắt nguồn hệ thống khởi động lại, hệ thống chế độ single - user (đặc quyền) - người sử dụng làm thứ muốn hệ thống Hiểm họa cố ý (Tiếnh anh : Intentional Threat):Có thể xảy liệu mạng máy tính cá nhân thơng qua cơng tinh vi có sử dụng kiến thức hệ thống đặc biệt Ví dụ hiểm họa cố ý: cố tình truy nhập sử dụng mạng trái phép (Tiếng anh :Intentional Unauthorized use of corporate network) Hiểm hoạ thụ động (Tiếng anh là: Passive Threat): Không phải kết việc sửa đổi thơng tin có hệ thống, thay đổi hoạt động tình trạng hệ thống Hiểm hoạ chủ động (Tiếng anh là: Active Threat): Là việc sửa đổi thông tin (Tiếng anh là: Data Modification) thay đổi tình trạng hoạt động hệ thống Mối đe dọa hậu tiềm ẩn thông tin giao dịch điện tử lớn Nguy rủi ro thông tin giao dịch điện tử thể tiềm ẩn nhiều khía cạnh khác như: người sử dụng, kiến trúc hệ thống công nghệ thơng tin, sách bảo mật thơng tin, cơng cụ quản lý kiểm tra, quy trình phản ứng, v.v Các yêu cầu cần bảo vệ hệ thống thông tin : Mục tiêu cuối trình bảo mật thơng tin nhằm bảo vệ ba thuộc tính thơng tin: Tính bí mật (Tiếng anh là: Confidental): Thông tin xem người có thẩm quyền Lý cần phải giữ bí mật thơng tin sản phẩm sở hữu Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phịng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet tổ chức đơi thơng tin khách hàng tổ chức Những thông tin phải giữ bí mật theo điều khoản tổ chức khách hàng tổ chức Tính tồn vẹn (Tiếng anh là: Integrity): Thông tin phải không bị sai hỏng, suy biến hay thay đổi Thông tin cần phải xử lý để cách ly khỏi tai nạn thay đổi có chủ ý Tính sẵn sàng (Tiếng anh là: Availability): Thông tin phải giữ trạng thái sẵn sàng cung cấp cho người có thẩm quyền họ cần Các biện pháp đảm bảo an tồn hệ thống thơng tin : Trong phần này, xem xét số biện pháp bảo mật cho hệ thống tin học Cũng cần phải nhấn mạnh rằng, khơng có biện pháp hồn hảo, biện pháp có mặt hạn chế Biện pháp hiệu quả, cần áp dụng phải vào hệ thống để đưa cách thực cụ thể Thiết lập quy tắc quản lý Mỗi tổ chức cần có quy tắc quản lý riêng bảo mật hệ thống thơng tin hệ thống Có thể chia quy tắc quản lý thành số phần: - Quy tắc quản lý hệ thống máy chủ - Quy tắc quản lý hệ thống máy trạm - Quy tắc quản lý việc trao đổi thông tin phận hệ thống, hệ thống máy tính người sử dụng, thành phần hệ thống tác nhân bên An toàn thiết bị - Lựa chọn thiết bị lưu trữ có độ tin cậy cao để đảm bảo an toàn cho liệu Phân loại liệu theo mức độ quan trọng khác để có chiến lược mua sắm thiết bị xây dựng kế hoạch lưu liệu hợp lý - Sử dụng hệ thống cung cấp, phân phối bảo vệ nguồn điện cách hợp lý - Tuân thủ chế độ bảo trì định kỳ thiết bị Thiết lập biện pháp bảo mật Cơ chế bảo mật hệ thống thể qua quy chế bảo mật hệ thống, phân cấp quyền hạn, chức người sử dụng hệ thống liệu quy trình kiểm sốt cơng tác quản trị hệ thống Các biện pháp bảo mật bao gồm: Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet - Bảo mật vật lý hệ thống Hình thức bảo mật vật lý đa dạng, từ khoá cứng, hệ thống báo động hạn chế sử dụng thiết bị Ví dụ loại bỏ đĩa mềm khỏi máy trạm thông thường biện pháp nhiều quan áp dụng - Các biện pháp hành nhận dạng nhân vào văn phòng, đăng nhập hệ thống cấm cài đặt phần mềm, hay sử dụng phần mềm không phù hợp với hệ thống + Mật biện pháp phổ biến hiệu Tuy nhiên mật khơng phải biện pháp an tồn tuyệt đối Mật cắp sau thời gian sử dụng + Bảo mật liệu mật mã tức biến đổi liệu từ dạng nhiều người dễ dàng đọc được, hiểu sang dạng khó nhận biết + Xây dựng tường lửa, tức tạo hệ thống bao gồm phần cứng phần mềm đặt hệ thống môi trường bên ngồi Internet chẳng hạn Thơng thường, tường lửa có chức ngăn chặn thâm nhập trái phép (không nằm danh mục phép truy nhập) lọc bỏ, cho phép gửi hay khơng gửi gói tin Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet CHƯƠNG II: CÁC KIỂU TẤN CÔNG CƠ BẢN I SNIFFERS: Định nghĩa Sniffers: Sniffers chương trình hay thiết bị có khả đón bắt lại thơng tin quan trọng từ giao thông mạng định đến mạng riêng Sniffing kỹ thuật chặn liệu Đối tượng mà sniffing lấy: Mật (Tiếng anh là: Password) (từ Email, Web, SMB, FTP, SQL Telnet) Các thông tin thẻ tín dụng Văn Email Các tập tin mạng (tập tin Email, FTP SMB) Mục đích sử dụng Sniffers: Sniffer thường sử dụng vào mục đích khác biệt Theo hướng tích cực công cụ giúp cho quản trị mạng theo dõi bảo trì hệ thống mạng Theo hướng tiêu cực chương trình cài vào hệ thống mạng máy tính với mục đích chặn liệu, thơng tin đoạn mạng Một số tính Sniffer sử dụng theo hướng tích cực tiêu cực : - Tự động chụp tên người sử dụng (Tiếng anh là: Username) mật khơng mã hố (Tiếng anh là: Clear Text Password) Tính thường Hacker sử dụng để công hệ thống - Chuyển đổi liệu đường truyền để quản trị mạng đọc hiểu ý nghĩa liệu - Bằng cách nhìn vào lưu lượng hệ thống cho phép quản trị mạng phân tích lỗi mắc phải hệ thống lưu lượng mạng Ví dụ : Tại gói tin từ máy A khơng thể gửi sang máy B … - Một số Sniffer tân tiến cịn có thêm tính tự động phát cảnh báo công thực vào hệ thống mạng mà hoạt động Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet (Intrusion Detecte Service) - Ghi lại thơng tin gói liệu, phiên truyền…Tương tự hộp đen máy bay, giúp quản trị mạng xem lại thơng tin gói liệu, phiên truyền sau cố…Phục vụ cho cơng việc phân tích, khắc phục cố hệ thống mạng 3.Các giao thức sử dụng Sniffing: Các Hacker sử dụng Sniffing để công vào giao thức sau: Telnet Rlogin: Ghi lại thông tin như: Password, Ussernames HTTP: Các liệu gửi mà không mã hóa SMTP, POP, FTP, IMAP: Password liệu gửi khơng mã hóa Các loại Sniffing: 1.1 Sniffing thụ động: Đây loại Sniffing lấy liệu chủ yếu qua Hub Nó gọi Sniffing thụ động khó phát loại Sniffing Hacker sử dụng máy tính kết nối đến Hub bắt đầu Sniffing Hình 2.1: Sniffing thụ động 1.2 Sniffing chủ động: Đây loại Sniffing lấy liệu chủ yếu qua Switch, khó thực dễ bị phát Hacker thực loại Sniffing sau: Hacker kết nối đến Switch cách gửi địa MAC nặc danh Switch xem địa kết hợp với khung (Tiếng anh là: Frame) Máy tính LAN gửi liệu đến cổng kết nối Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 10 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet TCP Header chứa trường Acknowledgment Number dài 32 bit Trường số sequence (sequence number) người gửi chờ hồi đáp Trường có có ý nghĩa cờ flag trường TCP thiết lập - Content: Cấu trúc: Content: ; content: Snort có khả tìm thấy mẫu liệu gói tin Mẫu tồn dạng chuỗi ASCII ký tự thập lục phân - Offset: Cấu trúc: Offset: Từ kháo sử dụng kết hợp với từ khóa content Từ khóa sử dụng để tìm kiếm từ vị trí xác định so với vị trí bắt đầu gói tin - Depth: Cấu trúc: depth: Từ khóa depth sử dụng kết hợp với từ khóa content để xác định giới hạn việc so sánh mẫu Có thể sử dụng từ khóa để xác định vị trí so với vị trí bắt đầu Dữ liệu sau vị trí khơng tìm kiếm để so mẫu - Nocase: Từ khóa nocase sử dụng kết hợp với từ khóa content Nó khơng có đối số Mục đích thực việc tìm kiếm trường hợp vơ tình - Content-list: Cấu trúc: content_list: Từ khóa sử dụng với tên tập tin xem tên tập tin đối số Tập tin chứa danh sách chuỗi tìm kiếm gói tin Mỗi chuỗi đặt dòng khác file - Dsize: Cấu trúc: dsize: [] Từ khóa dsize sử dụng để tìm chiều dài phần liệu gói tin Nhiều cách công sử dụng lỗ hổng tràn đệm cách gửi gói tin có kích thước lớn Sử dụng từ khóa tìm thấy gói tin có chiều dài liệu lớn hoặn nhỏ số định - Flags: Cấu trúc: flags: Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 60 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thơng tin tin học qua mạng Internet Từ khóa sử dụng để tìm bit flag thiết lập TCP Header gói tin Mỗi flag sử dụng đối số từ khóa flags - Fragbits: Cấu trúc: fragbits: Sử dụng từ khóa để xác định bits : RB (Reserved Bits), DF (Don’t Fragment Bit), MF (More Fragments Bit) IP Header có bật lên hay không - Icmp_id: Cấu trúc: icmp_id: Thường sử dụng để pháthiện ID cụ thể gói tin ICMP - Icmp_seq: Cấu trúc: icmp_seq: Giống từ khóa icmp_id - Itype: Cấu trúc: itype: ICMP Header nằm sau IP Header chứa trường Type Từ khóa Itype sử dụng để phát cách cơng sử dụng trường type ICMP Header gói tin - Icode: Cấu trúc: icode: Trong gói tin ICMP, ICMP Header sau IP Header Gói tin chứa trường code từ khóa icode sử dụng để phát trường code header gói tin ICMP - Id: Cấu trúc: id: Từ khóa sử dụng để đối chiếu với trường fragment ID header gói tin IP Mục đích phát cách công sử dụng số ID cố định - Ipopts: Cấu trúc: ipopts: Header Ipv4 dài 20 byte Bạn thêm tùy chọn vào Header cuối Chiều dài phần tùy chọn lên đến 40 byte Các tùy chọn sử dụng cho mục đích khác nhau, bao gồm: Record Router (rr) Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 61 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Time Stamps (ts) Loose Source Routing (lsrr) Strict Source Routing (ssrr) - Ip_proto: Cấu trúc: ip_proto: [!] Từ khóa ip_proto sử dụng plug-in IP Proto để xác định số giao thức Header IP - Logto: Cấu trúc: logto: Từ khóa logto sử dụng để ghi log gói tin vào tập tin định - Msg: Cấu trúc: msg: Từ khóa msg sử dụng để thêm chuỗi ký tự vào tập tin log cảnh báo - Priority : Cấu trúc : priority : Từ khóa priority dùng để gán độ ưu tiên cho luật, số gán cho độ ưu tiên phải số nguyên dương - React: Cấu trúc: react: Từ khóa react sử dụng để kết thúc phiên, khóa vài vị trí dịch vụ - Reference: Cấu trúc: reference: , Từ khóa reference thêm tham khảo đến thông tin tồn hệ thống khác mạng Nó khơng đóng vai trị chế phát Bằng việc sử dụng từ khóa kết nối đến thơng tin thêm thơng điệp cảnh báo - Resp: Từ khóa sử dụng để đánh bại hành vi Hacker cách gửi gói tin trả lời cho host để tạo gói tin thỏa luật - Rev: Cấu trúc: rev: Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 62 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Từ khóa rev dùng để số revision luật Nếu cập nhật luật bạn sử dụng để phân biệt phiên - Rpc: Cấu trúc: rpc: Từ khóa rpc sử dụng để phát yêu cầu RPC - Sameip: Từ khóa sameip sử dụng để kiểm tra địa nguồn địa đích có giống hay khơng Nó khơng có đối số - Seq: Cấu trúc: seq: Từ khóa seq sử dụng để kiểm tra số thứ tự sequence gói tin TCP - Flow: Từ khóa flow dùng để áp dụng luật Snort lên gói tin di chuyển theo hướng cụ thể Bạn sử dụng tùy chọn sau kết hợp với từ khóa flow để xác định hướng Dưới đâu số tùy chọn kết hợp với từ khóa flow: to_client to_server from_client from_server - Session: Cấu trúc: session: [printable|all] Từ khóa session sử dụng để loại bỏ tất liệu phiên TCP - Sid: Cấu trúc: sid: Từ khóa sid sử dụng để tạo cảnh báo cụ thể - Tag: Cấu trúc: tag: , , [direction] Đây từ khóa sử dụng để ghi log liệu thêm vào từ (hoặc đến) host xâm nhập luật kích hoạt - Tos: Cấu trúc: tos: Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 63 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Từ khóa tos sử dụng để phát giá trị cụ thể trường TOS (Type of Service) IP Header - Ttl: Cấu trúc: ttl: Từ khóa ttl sử dụng để phát giá trị Time ti Live IP Header gói tin Từ khóa sử dụng cho tất kiểu giao thức xây dựng IP như: ICMP, UCP TCP - Uricontent: Cấu trúc: uricontent : [!] “content string” Từ khóa uricontent giống với từ khóa content ngoại trừ việc sử dụng để tìm chuỗi phần URI (Uniform Resource Identifier) gói tin Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 64 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet CHƯƠNG IV: XÂY DỰNG PHẦN MỀM QUẢN LÝ CÁC IP TỪ BÊN NGỒI TRUY CẬP VÀO HỆ THỐNG I BÀI TỐN : Ngày nay, hệ thống mạng máy tính trở nên phổ biến hầu hết hoạt động xã hội, tác động trực tiếp đến kỹ thuật kinh tế nước Cùng với phát triển đó, ngày xuất nhiều nhân, nhóm chí tổ chức hoạt động với mục đích xấu nhằm phá hoại hệ thống mạng máy tính, hệ thống thơng tin, gây tác hại vơ to lớn đến tính an tồn bảo mật thơng tin hệ thống Qua trình nghiên cứu đề tài “Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet” từ thực tế, việc phát truy cập vào hệ thống thường dựa vào thông tin ghi file log hệ thống Nhưng việc quản lý file log hệ điều hành chưa thực “mềm dẻo” nên hãng thứ phát triển thêm ứng dụng bảo mật tương tự Trong đồ án này, em viết ứng dụng có chức tương tự file log Ứng dựng ghi lại tất thông tin IP truy cập vào máy tính bao gồm : Thời gian truy cập, địa IP, cổng kết nối AI THUẬT TOÁN : PC1 Port PC2 PC3 PC4 Port Port Port Log File : Server IP Manager Write Time Connect - IP PC1:Port Time Connect - IP PC3:Port Time Connect - IP PC4:Port Hình 4.1: Mơ tả hoạt động chương trình Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 65 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Begin Packets Analysing the Packets Source IP Address Destination IP Address Source IP = Local IP Check IP Source IP != Local IP Write log file Log File End Hình 4.2: Sơ đồ giải thuật BI MƠ TẢ CHỨC NĂNG PHẦN MỀM : Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 66 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Chức quản lý IP truy cập vào hệ thống : Khởi động chương trình, vào Menu chọn IP Manager để bắt đầu trình kiểm tra IP kết nối vào máy tính Khi có kết nối đến máy tính, chương trình đón bắt tất thông tin Source IP Address, Destination IP Address Port Hàm kiểm tra IP xem vào hay khỏi hệ thống : // Code : static bool check; public void checkIP () { DateTime dtIPConnect = new DateTime(); IPGlobalProperties properties = IPGlobalProperties.GetIPGlobalProperties(); while (check) { TcpConnectionInformation[] connect = properties.GetActiveTcpConnections(); dtIPConnect = DateTime.Now; String strChuoi = null; try { for (int i = 0; i < connect.Length; i++) { strChuoi = dtIPConnect.Hour + ":" + dtIPConnect.Minute + ":" + dtIPConnect.Second + ":" + dtIPConnect.Millisecond + "\t" + connect[i].RemoteEndPoint + "\n\n" + strChuoi; WriteLogFile.WriteLog( Convert.ToString(connect[i].RemoteEndPoint.Address), Convert.ToString(connect[i].RemoteEndPoint.Port), dtIPConnect.Hour + ":" Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phịng Trang 67 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet + dtIPConnect.Minute + ":" + dtIPConnect.Second + ":" + dtIPConnect.Millisecond); } setText(Convert.ToString(strChuoi)); Thread.Sleep(1000); } catch (Exception ex) { MessageBox.Show(ex.Message, "Manager IP Connect to PC", MessageBoxButtons.OK, MessageBoxIcon.Error); } } } Khi biết IP vào hay ra, chương trình ghi thơng tin vào log file: Thời gian kết nối (Thời gian hệ thống) - Địa IP:Cổng kết nối Tên log file có dạng: 2010_06_24_LOG.log Hàm ghi thơng tin đón bắt vào log file: //Code: public class WriteLogFile { static string m_baseDir = null; static WriteLogFile() { m_baseDir = Directory.GetCurrentDirectory() + @"\Log\"; Directory.CreateDirectory(m_baseDir); } public static string GetFilenameYYYMMDD(string suffix, string extension) { return System.DateTime.Now.ToString("yyyy_MM_dd") + suffix + extension; Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 68 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet } public static void WriteLog(String _IP,String _Port, String _DateTime) { try { string filename = m_baseDir + GetFilenameYYYMMDD("_LOG", ".log"); StreamWriter sw = new StreamWriter(filename, true); sw.WriteLine(_DateTime + "\t" + _IP + ":" + _Port); sw.Close(); } catch (Exception) {} } } Sau thời gian giây, chương trình lại quét IP lần tiếp tục ghi thông tin vào log file Chức đọc thông tin log file : Khởi động chương trình, vào Menu chọn Read Log để bắt đầu q trình đọc thơng tin ghi lại Chọn Browse để đến nơi lưu trữ Log File, Chương trình đọc dịng log file hiển thị : //Code : Stream _Stream = null; OpenFileDialog _openFile = new OpenFileDialog(); _openFile.InitialDirectory = Directory.GetCurrentDirectory() + @"\Log\"; _openFile.Filter = "Log files (*.log)|*.log"; _openFile.FilterIndex = 2; _openFile.RestoreDirectory = true; if (_openFile.ShowDialog() == DialogResult.OK) { Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 69 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet try { if ((_Stream = _openFile.OpenFile()) != null) { using (_Stream) { txtLinkLog.Text = _openFile.FileName; String _log = ""; String line = ""; StreamReader sr = new StreamReader( _openFile.FileName ); while ((line = sr.ReadLine()) != null) { _log=_log+line+"\n"; } rtfReadLog.Text = _log; } } } catch (Exception ex) { MessageBox.Show("Error: Could not read file from disk Original error: " + ex.Message); } } IV MINH HỌA GIAO DIỆN CHƯƠNG TRÌNH : Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 70 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Hình 4.3: Giao diện chương trình Hình 4.4: Giao diện hiển thị IP truy cập vào hệ thống Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 71 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet Hình 4.5: Giao diện chọn log file để đọc Hình 4.6: Giao diện hiển thị thơng tin log file Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 72 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet KẾT LUẬN An tồn hệ thống thơng tin giải pháp an toàn vấn đề quan tâm ngày trọng nay.Vì nghiên cứu đưa giải pháp giải vấn đề cần thiết phải triển khai mạnh mẽ hiệu Thời gian làm đồ án ngắn không đủ dài để em tìm hiểu đầy đủ vấn đề an tồn hệ thống thơng tin Em tìm hiểu hệ thống thơng tin, nguy an tồn, số kiểu cơng cách phịng chống Qua q trình tìm hiểu em xây dựng chương trình quản lý IP từ bên truy cập vào hệ thống Chương trình thực đầy đủ chức đề : ghi lại thời gian truy cập, địa IP, cổng kết nối Hướng phát triển đồ án : - Tìm hiểu sâu thêm kỹ thuật truy cập trái phép đưa phương pháp phịng chống có hiệu - Phần mềm em xây dựng bước đầu thực chức quản lý IP từ bên truy cập vào hệ thống, chưa đưa cảnh báo cụ thể Trong q trình làm đồ án khơng tránh khỏi thiếu sót, em kính mong thầy giúp đỡ cho báo cáo tốt nghiệp em hoàn thiện Em xin chân thành cảm ơn thầy cô! Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phịng Trang 73 Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet TÀI LIỆU THAM KHẢO Trang web http://vi.wikipedia.org Trang web http://en.wikipedia.org Trang web http://www.oxid.it/cain.html Trang web http://hvaonline.net Tìm hiểu kiểu cơng phương pháp phịng chống – Vũ Đình Cường Cách bảo vệ liệu quan trọng phương pháp phát thâm nhập – Vũ Đình Cường Snort Users Manual 2.8.6 – The Snort Project Phạm Đình Hậu_Lớp CT1002_Trường Đại học Dân lập Hải Phòng Trang 74 ... Đại học Dân lập Hải Phòng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet CHƯƠNG I : HỆ THỐNG THÔNG TIN VÀ NGUY CƠ TRUY CẬP... Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet vào log file gửi cảnh báo, cách thức cảnh báo phụ thuộc vào hệ thống IDS cách cấu... CT1002_Trường Đại học Dân lập Hải Phịng Trang Nghiên cứu đề xuất giải pháp ngăn chặn việc truy cập trái phép vào hệ thống thông tin tin học qua mạng Internet LỜI MỞ ĐẦU Ngày nay, hệ thống mạng máy tính