Bài viết đề xuất và triển khai một mô hình mới về sự kết hợp trong hoạt động giữa IDS và Firewall, nó cho phép IDS tự động cập nhật bảng luật lọc gói của firewall mỗi khi phát hiện có sự bất thường. Điều này giúp việc bảo vệ mạng trước các tấn công từ Internet trở nên tức thời hơn.
16 N K Tuấn, N T Thuận, Phan Long / Tạp chí Khoa học Cơng nghệ Đại học Duy Tân 03(40) (2020) 16-25 03(40) (2020) 16-25 Tự động hóa việc cập nhật bảng luật lọc gói cho firewall mã nguồn mở Automating the update of packet filtering rules for open source firewalls Nguyễn Kim Tuấna,b*, Nguyễn Trung Thuậna,b, Phan Longa,b Kim Tuan Nguyena,b*; Trung Thuan Nguyena,b; Long Phana,b Khoa Công nghệ Thông tin, Trường Đại học Duy Tân, Đà Nẵng, Việt Nam Viện Nghiên cứu Phát triển Công nghệ Cao, Trường Ðại học Duy Tân, Ðà Nẵng, Việt Nam a Faculty of Information Technology, Duy Tan University, Da Nang, 550000, Vietnam b Institute of Research and Development, Duy Tan University, Da Nang, 550000, Vietnam a b (Ngày nhận bài: 20/05/2020, ngày phản biện xong: 12/06/2020, ngày chấp nhận đăng: 27/6/2020) Tóm tắt Trong hệ thống bảo mật mạng doanh nghiệp dựa vào Intrusion Detection System (IDS) Firewall (tường lửa bảo mật), thông thường, nhiệm vụ IDS theo dõi tất dòng traffic vào/ra mạng, để từ phát đưa cảnh báo dịng traffic bất thường, gói tin có nguy mang theo mã độc Dựa vào những thông tin cảnh báo này, người quản trị an ninh mạng thiết kế luật sách mới, tiến hành cập nhật lại bảng luật lọc gói Firewall, nhờ firewall ngăn chặn kịp thời dịng traffic khơng mong muốn Trong báo này, đề xuất triển khai mô hình kết hợp hoạt động IDS Firewall, cho phép IDS tự động cập nhật bảng luật lọc gói firewall phát có bất thường Điều giúp việc bảo vệ mạng trước công từ Internet trở nên tức thời Từ khóa: Tường lửa bảo mật; Bảng luật lọc gói; Hệ thống phát xâm nhập; Nghe lén; Lọc gói tin Abstract In enterprise network security systems that rely on IDS (Intrusion Detection System) and Firewall, it is the typical task of IDS to monitor all incoming/outgoing network traffic, thereby detecting and giving warnings about abnormal traffic streams, packets which are at risk of bringing malicious code Based on the warning information, the network system administrator will design new policy rules, update the packet filtering rules of the Firewall, so that the firewall can prevent unwanted traffic in time In this paper, we propose and deploy a new model of the association between the operation of IDS and Firewall, which allows IDS to automatically update the firewall filter rule table whenever it detects anomalies This helps to protect the network from Internet attacks Keywords: Firewall; rule table; intrusion detection system; sniff; packet capture Đặt vấn đề Trong mơ hình bảo mật mạng doanh nghiệp, hệ thống phát xâm nhập (IDS) đóng vai trị quan trọng Nó có nhiệm vụ giám sát dịng traffic, packet vào/ra mạng, để từ phát xâm nhập trái phép packet, đến từ nguồn hợp pháp, có nguy mang theo mã độc vào mạng [1] *Corresponding Author: Kim Tuan Nguyen; Faculty of Information Technology, Duy Tan University, Da Nang, 550000, Vietnam; Institute of Research and Development, Duy Tan University, Da Nang, 550000, Vietnam Email: nguyenkimtuan@duytan.edu.vn N K Tuấn, N T Thuận, Phan Long / Tạp chí Khoa học Công nghệ Đại học Duy Tân 03(40) (2020) 16-25 Khi xác định hành động bất thường từ traffic IDS tiến hành công việc cần thiết lưu giữ thông tin liên quan đến bất thường, hay gửi thông tin cảnh báo bất thường đến hệ thống liên quan, có người quản trị an ninh mạng Cần lưu ý rằng, IDS làm nhiệm vụ phát đưa cảnh báo, việc xử lý bất thường phận khác Điều thường thực firewall thông qua điều khiển bảng luật người quản trị an ninh mạng Rõ ràng cơng đoạn thụ động, cần có thời gian để cập nhật bảng luật, nên cần xem xét cải tiến để nâng cao hiệu công tác bảo vệ mạng tổ chức, doanh nghiệp [2] Có thể nói, lọc gói bảng luật lọc gói hai ba thành phần firewall lọc gói Từ sách điều khiển truy cập mạng, đội quản trị an ninh mạng xây dựng bảng luật lọc gói cho firewall Bộ lọc gói dựa vào bảng luật để làm cho sách truy cập mạng có hiệu lực Điều có nghĩa, mức độ kịp thời việc ngăn chặn dịng traffic khơng mong muốn firewall phụ thuộc lớn vào khả nhận định tình hình truy cập mạng để đưa luật tốc độ cập nhật bảng luật cho firewall người quản trị an ninh mạng Như vậy, xây dựng hệ thống hỗ trợ firewall, mà có khả cao việc phát dịng traffic, packet có hành động đáng ngờ cập nhật bảng luật lọc gói cho firewall cách tự động firewall làm tốt nhiệm vụ ngăn chặn kịp thời traffic không mong muốn Các HIDS phần mềm tự tạo làm tốt nhiệm vụ hỗ trợ Cả Firewall IDS thiết bị phần cứng, chương trình phần mềm Trong mơ hình đề xuất chúng tôi, firewall chọn công cụ mã nguồn mở IPTables IDS chương trình Sniffer xây dựng từ ngôn ngữ Python Đây xem đóng góp báo 17 Theo đó, IPTables vừa thực nhiệm vụ điều khiển truy cập mạng, vừa sẵn sàng nhận lệnh thay đổi bảng luật lọc gói từ Sniffer Các dịng traffic, packet sau qua firewall IPTables hướng tới Sniffer, Sniffer bắt lại lấy thông tin cần thiết từ chúng, từ phân tích, thống kê dự báo, để xác định nguồn gốc traffic, packet có hành động đáng nghi ngờ Và thực cập nhật bảng luật IPTables cách tự động tức thời Từ đây, firewall IPTables định điều khiển truy cập theo bảng luật Đây mục tiêu hoạt động mơ hình chúng tơi đề xuất Thuận lợi firewall mã nguồn mở, có IPTables, ta cập nhật bảng luật (chính xác file luật lọc gói) theo chế dịng lệnh, điều thực dễ dàng từ chương trình Python Đây lý khiến chúng tơi nghĩ đến việc tự động hóa việc cập nhật bảng luật lọc gói cho firewall mã nguồn mở Kiến thức liên quan Trong phần xin dẫn lại kiến thức nhất, cách cô đọng nhất, hai hệ thống an ninh mạng thiếu mạng doanh nghiệp có tính an ninh cao nay, Firewall IDS Điều cần thiết để dễ dàng thấy ý nghĩa kết hợp hoạt động chúng mơ hình mạng mà đề xuất báo (ở phần III) 2.1 Nguyên lý hoạt động Packet filtering firewall Firewall thiết bị điều khiển truy cập mạng, đóng vai trị cổng vào/ra mạng (thường gọi gateway mạng) Theo đó, dịng traffic vào/đi mạng bên ngoài, thường Internet, mạng nội doanh nghiệp phải chịu kiểm soát điều khiển Firewall Firewall dựa vào sách truy cập mạng, thiết kế dạng Bảng luật 18 N K Tuấn, N T Thuận, Phan Long / Tạp chí Khoa học Cơng nghệ Đại học Duy Tân 03(40) (2020) 16-25 sách, thông tin liên quan chứa dịng traffic/chứa gói tin - thường IP Address, Protocols Port number - để định cho phép traffic/một packet có phép qua hay khơng Nếu xét nguyên lý hoạt động firewall chia làm hai loại Đó là, firewall lọc gọi (Packet filtering firewall), hoạt động tương ứng tầng Network mơ hình mạng OSI hay TCP/IP, firewall tầng ứng dụng (Application layer firewall), gọi Proxy, hoạt động tương ứng tầng’ Application mơ hình mạng kể Các mạng doanh nghiệp thường sử dụng loại firewall thiết kế từ kết hợp nguyên lý hoạt động hai loại firewall Có thể nói, thành phần firewall lọc gói là: Đơn vị điều khiển việc vào/ra tin; Bộ lọc khảo sát gói, thường gọi Bộ lọc gói; Bảng luật lọc gói Bảng luật lọc gói, người quản trị an ninh mạng cài vào firewall, sở để Bộ lọc gói định cho phép gói tin đến firewall có qua để hướng đến đích gói tin hay khơng Hình 2.1 sơ đồ minh họa mạng doanh nghiệp, có sử dụng firewall lọc gói gate mạng, gói tin từ mạng Internet vào mạng bên từ mạng bên Internet phải qua firewall Từ sơ đồ mạng, ta thấy sách truy cập mạng mạng doanh nghiệp sau: Cho phép gói tin từ Internet vào vùng mạng 192.168.2.0/24 - vùng DMZ mạng doanh nghiệp - không phép vào vùng mạng 192.168.1.0/24, vùng mạng người dùng bên Tuy nhiên, dòng traffic từ vùng mạng người dùng vùng mạng DMZ mạng Internet Chính sách người quản trị an ninh mạng chuẩn hóa thành luật lọc gói, xây dựng thành Bảng luật lọc gói (được minh họa sơ đồ) sau cài đặt vào firewall Mỗi muốn thay đổi sách điều khiển truy cập mạng người quản trị an ninh mạng phải cập nhật lại Bảng luật lọc gói cho firewall sách mới có hiệu lực Khi gói tin TCP/IP đến firewall lọc gói, Bộ lọc gói tách lấy thơng tin cần thiết header gói tin này, như: Địa IP nguồn, địa IP đích, Port nguồn, Port đích Protocols, sau tiến hành so khớp thơng tin có với luật (Rule) Bảng luật lọc gói (Rule Table) Khi “khớp” tìm thấy luật Bộ lọc gói định, cho phép (Allow) gói tin qua từ chối (Deny) khơng cho gói tin qua, dựa vào thơng tin ghi cuối dịng luật (thường ghi cột Allow/Deny cuối Bảng luật) Firewall lọc gói có nhiều ưu điểm so với loại firewall khác tốc độ cao, dễ cài đặt chi phí thấp Nhưng có nhiều nhược điểm không hiểu giao thức tầng ứng dụng, khơng phân biệt gói tin tốt/gói tin xấu, việc tạo cập nhật bảng luật phụ thuộc hoàn toàn vào người hồn tồn khơng có chế xác thực người dùng nguồn gốc gói tin đến firewall Hình 2.1: Sơ đồ mạng với xuất firewall Có thể thấy, hiệu sử dụng firewall việc ngăn chặn dòng traffic, gói tin khơng mong muốn vào/đi mạng nội N K Tuấn, N T Thuận, Phan Long / Tạp chí Khoa học Cơng nghệ Đại học Duy Tân 03(40) (2020) 16-25 phụ thuộc lớn vào người quản trị an ninh mạng Họ có nhiệm vụ tạo Bảng luật cho firewall cập nhật bảng luật phát thấy cần phải thay đổi sách truy cập mạng để bảo vệ mạng Firewall có nhiệm vụ làm cho sách an ninh mạng cho hiệu lực 2.2 Nguyên lý hoạt động Intrustion Detection System Theo [3], IDS hệ thống giám sát truy cập mạng, thiết bị phần cứng ứng dụng phần mềm Nó có nhiệm vụ theo dõi dòng traffic vào/đi mạng, máy tính mạng, để phát đưa lời cảnh báo cho phận liên quan truy cập bất thường, truy cập không phép vào hệ thống mạng vào máy tính mạng Hình 2.2: Sơ đồ mạng với xuất NIDS HIDS Trong thực tế, IDS theo dõi phân tích hoạt động user system, thực audit tập tin system, tập tin configuration Hệ điều hành Nó đánh giá toàn vẹn tập tin system tập tin data, phát lỗi cấu hình hệ thống, cịn phát đưa cảnh báo phát hệ thống gặp nguy hiểm Đặc biệt, IDS tiến hành phân tích mẫu (pattern) dựa cơng biết 19 IDS có số ưu điểm như, dễ triển khai mạng doanh nghiệp sẵn có mà khơng ảnh hưởng đến mạng tại, đưa cảnh báo bất thường cách tức thời nhiều dạng khác Khả phát dòng traffic bất thường hành động đáng ngờ IDS giúp hệ thống quản trị viên phát ngăn chặn hiệu nhiều công vào mạng Quản trị viên hệ thống dễ dàng thay đổi “cái cần giám sát” IDS thơng qua việc thay đổi “tập signature” (với loại Signature-based IDS) Ngồi ra, IDS cịn ghi nhật ký giám sát (log), phát báo cáo thay đổi tập tin quan trọng chứa máy tính bên mạng nội Tuy nhiên IDS vài hạn chế như: IDS đưa cảnh báo nhầm (false positive) không đưa cảnh báo (false negative) bất thường, đáng ngờ hệ thống, điều ảnh hưởng tiêu cực đến hoạt động bình thường hệ thống Khả phân tích gói tin bị mã hóa IDS hạn chế, không giúp phát nguồn gốc cơng vào mạng IDS bị công DoS, công “đánh lừa” hệ thống an ninh mạng/dịch vụ mạng khác Chúng ta nên có phân biệt rõ hai hệ thống an ninh mạng IDS IPS (Intrustion Prevention System, gọi Hệ thống ngăn chặn xâm nhập mạng) Cả hai thực việc đọc phân tích gói tin mạng, so sánh với “tập signature” (còn gọi tập chữ ký, hay tập luật) mối đe dọa (thread), công biết Trong IDS phát đưa cảnh báo packet bất thường IPS xem hệ thống điều khiển truy cập, chấp nhận (accept) từ chối (reject) packet dựa tập luật cho trước IDS cần người và/hoặc hệ thống khác xem kết đưa hành động xử lý tiếp theo, IPS cần tập luật 20 N K Tuấn, N T Thuận, Phan Long / Tạp chí Khoa học Công nghệ Đại học Duy Tân 03(40) (2020) 16-25 mối đe dọa biết cập nhật thường xuyên, để bổ sung mối đe dọa Trong mơ hình mạng doanh nhiệp, IDS đặt firewall router (kết nối Internet): Khi cần IDS giám sát traffic vào toàn mạng; đặt vùng DMZ: Khi cần IDS giám sát traffic vào vùng DMZ; đặt sau firewall (ngay trước mạng bên trong): Khi cần IDS giám sát traffic mạng bên với Internet với vùng DMZ Thông thường HIDS đặt server vùng DMZ để giám sát cảnh báo truy cập bất thường, hành động đáng ngờ vào server Một cách chung IDS chia thành loại: Host-based IDS (HIDS), Network-based IDS (NIDS), Protocol-based IDS (PIDS), Application Protocol-based IDS (APIDS) Hyber IDS (HyIDS) Nếu xét vị trí IDS mạng hay phạm vi, toàn mạng hay máy tính, giám sát dịng traffic IDS chia thành loại HIDS NIDS NIDS: Loại IDS thường đặt vị trí xác định mạng mà theo dõi tất dòng traffic vào/đi tất thiết bị mạng NIDS quan sát phân tích cách liên tục dịng traffic tồn vùng mạng nó, so khớp với tập signature mối đe dọa, công biết Một có “khớp” xác định bất thường nhận NIDS gửi lời cảnh báo hành động bất thường đến hệ thống liên quan, đặc biệt, đến người quản trị an ninh hệ thống mạng HIDS: Loại IDS sử dụng để theo dõi gói tin vào/đi host riêng lẻ mạng HIDS thường đặt máy tính, thiết bị mà nhận nhiệm vụ theo dõi Khi phát thấy hành động đáng ngờ, hành động nguy hại với “thân chủ” HIDS gửi cảnh báo đến hệ thống liên quan đến người quản trị hệ thống để họ có hướng xử lý HIDS yêu cầu để theo dõi tập tin quan trọng host mà thực nhiệm vụ giám sát, phát thấy tập tin bị thay đổi bị xóa phải gửi cảnh báo đến hệ thống liên quan Nếu dựa vào phương pháp phát xâm nhập (hoạt động) IDS gồm loại: Signature-based IDS (IDS dựa “tập signature”) Anomoly-based IDS (IDS dựa “bất thường”) Signature-based IDS: IDS loại dựa vào tập signature (chữ ký) cho trước - sở liệu mối đe dọa công biết - để nhận định dịng traffic có biểu bất thường hay có hành động đáng ngờ, cách, “so khớp” liệu phân tích từ dịng traffic đến với liệu ghi tập signature Loại IDS có chức tương tự phần mềm Antivirus, sử dụng phổ biến hiệu Nhưng hiệu IDS lại phụ thuộc vào tập signature, hồn tồn bị động trước “bất thường mới” loại “tấn cơng mới” Ngồi ra, tập signature lớn ảnh hưởng đến băng thông mạng Anomoly-based IDS: IDS loại sử dụng để quan sát dòng traffic mà ẩn chứa “bất thường mới”, loại “tấn cơng mới” Nó quan sát dịng traffic định để tìm “sự bình thường”, sở để IDS phát bất thường Trong thực tế, phương pháp đòi hỏi IDS phải có “trí tuệ” cao hoàn thành tốt nhiệm vụ phát traffic, packet bất thường mà hệ thống chưa biết trước Hiện nay, để có IDS có “trí tuệ” cao phải xây dựng theo hướng tiếp cận Machine learning N K Tuấn, N T Thuận, Phan Long / Tạp chí Khoa học Công nghệ Đại học Duy Tân 03(40) (2020) 16-25 21 Có thể thấy, khác hai loại IDS là, signature-based IDS dựa vào tập signature biết để phát bất thường, đó, anomaly-based IDS, dựa vào traffic “bình thường” làm sở để phát bất thường Hình 2.2 sơ đồ minh họa mạng doanh nghiệp, sử dụng NIDS HIDS Trong mạng này, HIDS đặt server vùng DMZ (Web, File, Mail), để phát truy cập bất hợp pháp bất thường đến với server NIDS đặt sau firewall để quan sát tất dòng traffic vào/đi mạng bên Hoạt động loại Signature-based IDS sau, có dịng traffic mạng qua nó, IDS copy traffic lại, tách lấy thông tin cần thiết header và/hoặc payload từ traffic Sau IDS tiến hành "so khớp" thơng tin với sở liệu chứa tập signature mối đe dọa biết trước Nếu "khớp" tìm thấy IDS gửi cảnh báo đến hệ thống liên quan Khi IDS nhận định có bất thường hay mối đe dọa từ dịng traffic qua sở liệu cập nhật để chuẩn bị cho lần "so khớp" sau Với loại Anomaly-based IDS, quan sát tất dịng traffic qua, thu thập thông tin liên quan để tìm “sự bình thường” Sau dựa vào “sự bình thường” để phát dịng traffic ẩn chứa “sự bất thường” Loại IDS mang lại hiệu cao việc phát mối đe dọa mới, “tấn công mới” Tuy nhiên, IDS phải có “trí tuệ” làm tốt việc Mơ hình đề xuất 3.1 Mơ hình mạng Mơ hình đề xuất kết hợp hoạt động firewall HIDS thể Hình 3.1 sau đây: Hình 3.1 Sơ đồ mạng với kết hợp firewall HIDS Trong mơ hình này: Firewall chịu trách nhiệm điều khiển truy cập cho toàn mạng Về bản, firewall cho phép kết nối từ Internet vào vùng DMZ, cấm kết nối từ Internet vào vùng mạng người dùng bên Nhưng kết nối từ bên mạng phép Chúng tơi sử dụng phần mềm tường lửa mã nguồn mở IPTables để xây dựng firewall Bảng luật lọc gói ban đầu xây dựng thông qua lệnh cho phép IPTables IDS chịu trách nhiệm quan sát dòng traffic vào vùng DMZ Nếu IDS phát thấy bất thường hay hành động đáng ngờ từ dòng traffic hay packet báo cáo điều đến thành phần/đối tượng liên quan Đặc biệt, Sniffer tự động cập nhật bảng luật lọc gói IPTables Chúng tơi sử dụng thư viện Scapy ngơn ngữ Python để xây dựng chương trình Sniffer thực chức nhiệm vụ IDS Điểm mơ hình đề xuất tạo kết nối hoạt động thực nhiệm vụ giao chương trình Sniffer với tường lửa mã nguồn mở IPTables: Một xác định nguồn gốc dòng traffic packet cho bất thường hay cho có hành động đáng ngờ Sniffer 22 N K Tuấn, N T Thuận, Phan Long / Tạp chí Khoa học Công nghệ Đại học Duy Tân 03(40) (2020) 16-25 gửi lệnh đến IPTables để cập nhật lại bảng luật lọc gói Firewall IPTables hoạt động theo bảng luật lọc gói để ngăn chặn dịng traffic, gói tin khơng mong muốn vào mạng Ưu điểm mơ hình đề xuất rõ, ngồi chức thơng thường IDS chuyên dụng, Sniffer hoàn toàn chủ động việc thay đổi bảng luật lọc gói tường lửa IPTables cách tức thời tự động Điều giúp kịp thời ngăn chặn ý đồ phá hoại mạng tổ chức từ Internet mà giúp giảm công sức người quản trị an ninh mạng def update_rule1(black,Port): cmd = 'iptables -A FORWARD -i ens33 -o ens38 -p tcp -d 192.168.10.50 dport "'+Port+'" -m string algo bm string "'+black+'" -j DROP' p = paramiko.SSHClient() p.set_missing_host_key_policy (paramiko AutoAddPolicy()) p.connect(add1, username=user1, password=pass1) stdin, stdout, stderr = p.exec_command(cmd) print "…………………………………", Port # def update_rule2 (ipsrc): cmd = 'iptables -A FORWARD -i ens33 -o ens38 -p tcp -s '+ipsrc+' -d address2 -j DROP' p = paramiko.SSHClient() p.set_missing_host_key_policy (paramiko AutoAddPolicy()) p.connect(add2, username=user2, password=pass2) stdin, stdout, stderr = p.exec_command(cmd) Hình 3.2 Đoạn code chương trình 3.2 Cơng việc liên quan Đầu tiên thực công việc cần thiết để đưa mạng, theo thiết kế, mơ hình đề xuất vào hoạt động Chúng tiến hành xây dựng Bảng luật lọc gói tường lửa IPTables theo sách truy cập mạng đưa ra, đó, chúng tơi hướng dòng traffic sau vượt qua tường lửa IPTables phải qua IDS, máy chạy chương trình Sniffer Đóng góp chúng tơi khơng đề xuất mơ hình kết hợp IDS Firewall mà xây dựng chương trình Sniffer từ Python Chương trình Sniffer gồm function sau đây: Function process_packet (): Đây function quan trọng Sniffer, có nhiệm vụ chép tất packet qua port định (đã tập tin: Listports Blacklist) Sau tách lấy thông tin cần thiết từ header packet như: Loại gói tin (TCP hay UDP), địa IP nguồn, Port nguồn… Dữ liệu đầu vào cho function test_for_active Function test_for_active (): Thực chức so khớp thông tin packet nhận từ process_packet với thông tin lưu Listports Blacklist Nếu tìm thấy khớp từ traffic hay packet Sniffer tiến hành đếm xuất chúng, số lần chạm ngưỡng xác định test_for_active tiến hành cập nhật bảng luật IPTables để firewall ngăn chặn traffic lại, không cho vào mạng Function cịn có nhiệm vụ phát cảnh báo dịng traffic đáng ngờ, thường dịng traffic gửi đến Sniffer cách ạt từ địa IP từ nhiều địa IP Function setup_logfile (): Thiết lập thông số liên quan đến tập tin nhật ký (logfile) mà Sniffer sử dụng để lưu thông tin N K Tuấn, N T Thuận, Phan Long / Tạp chí Khoa học Công nghệ Đại học Duy Tân 03(40) (2020) 16-25 traffic, packet mà định cần phải ý q trình quan sát Ngồi ra, chúng tơi cịn xây dựng class chương trình hỗ trợ: Class limitedPool: Class gồm function init_ function _setup_queues Function init_ thực việc khởi tạo hàng đợi cho ThreadPool, sử dụng trường hợp xử lý đa luồng Ở chọn kích thước hàng đợi tối đa 10000 (chứa 10000 thread) Function _setup_queues sử dụng để thiết lập thông số hàng đợi Nhờ hỗ trợ Python [4] mà Sniffer xử lý tất packet tới nó, cho dù có đến 10000 packet gửi đến đồng thời Chương trình update_rule_iptables.py: Được xây dựng dựa giao thức SSH, Sniffer sử dụng để gửi lệnh đến IPTables, yêu cầu tường lửa cập nhật bảng luật để chặn packet có chứa string mà Sniffer cho có nguy làm tổn hại đến hệ thống mạng bên Hai function Sniffer sử dụng để gửi lệnh thay đổi bảng luật IPTables, để IPTables kịp thời ngăn chặn dịng traffic, packet khơng mong muốn vào mạng bên Và chương trình report2email.py: Được xây dựng giao thức SMTP, sử dụng để Sniffer gửi email với nội dung cảnh báo bất thường đến cho người quản trị an ninh mạng 3.3 Kiểm thử đánh giá mô hình đề xuất Chúng tơi tiến hành kiểm thử mơ hình đề xuất theo kịch sau: Kiểm thử lọc string (kịch 1): Kịch nhằm kiểm tra phối hợp Sniffer với IPTables việc cảnh báo ngăn chặn dịng packet mà có chứa string thuộc diện cần lưu ý blacklist 23 Kết mong đợi, khoảng thời gian xác định, có lượng lớn packet vào Sniffer mà payload có chứa string ghi blacklist packet bị chặn IPTables Kiểm thử lọc theo IP nguồn (kịch 2): Kịch nhằm kiểm tra phản ứng Sniffer có nhiều kết nối đến từ nguồn có địa IP xác định Sniffer phải xác định kết nối đáng ngờ IPTables phải chặn traffic xuất phát từ địa IP Kết là, khoảng thời gian xác định, có lượng lớn traffic vào Sniffer mà có địa IP nguồn dịng traffic bị chặn IPTables Kiểm thử ngăn chặn công SYN_Flood (kịch 3): Kịch yêu cầu Sniffer phải phản ứng có nhiều gói tin TCP_SYN gửi đến (nghi ngờ có cơng DoS dạng SYN_Flood) Trong tình Sniffer phải gửi yêu cầu đến IPTables, nhờ chặn dịng traffic chứa gói tin TCP_SYN, cơng việc cịn lại IPTables Khơng ngồi dự đốn, khoảng thời gian xác định, có lượng lớn packet TCP_SYN vào Sniffer dịng traffic có packet khởi tạo bị chặn IPTables Trong q trình kiểm thử, chúng tơi tiến hành đánh giá hiệu phối hợp hoạt động Sniffer IPTables Ở đây, sử dụng công cụ Tcpdump Wireshark để kiểm tra kết lọc chặn packet mơ hình đề xuất: Đối với việc lọc string: Trong khoảng thời gian xác định công vào IPTable cách tạo gửi đến IPTables khoảng 1000 packet, có lượng lớn vượt ngưỡng cho phép, packet có chứa string yêu cầu Sniffer theo dõi (ở lệnh “ls –ls”) Chúng tiến hành đồng thời dump packet firewall server chạy Sniffer Sau tiến hành phân tích hai kết dump 24 N K Tuấn, N T Thuận, Phan Long / Tạp chí Khoa học Cơng nghệ Đại học Duy Tân 03(40) (2020) 16-25 thấy rằng: Có 1000 packet đến firewall có 800 packet đến server Hình 3.3a Các packet nhận tường lửa IPTables Hình 3.3b Các packet nhận server Sniffer Trong q trình “bắt tay bước” TCP, thơng thường, bên đích nhận packet [TCP_SYN] phải gửi packet phản hồi [TCP_RST, ACK] Nhưng đây, nghi ngờ hệ thống bị công DoS theo dạng SYN_Flood nên Sniffer yêu cầu IPTables hạn chế hồi đáp packet khởi tạo kết nối [TCP_SYN] Điều kiểm chứng Tcpdump Đối với việc lọc theo IP nguồn: Thử nghiệm tiến hành tương tự “lọc string” yêu cầu Sniffer phát ngăn chặn bất thường đến từ dòng traffic đến từ địa IP nguồn Kết dump phân tích packet nhận IPTables Sniffer thể hai hình sau: Như vậy, Tcpdump cho thấy, trước quan sát hành động Sniffer IPTables packet (một lượng lớn) có chứa string “ls – ls” bị chặn lại IPTable Đối với việc ngăn chặn công SYN_Flood: Chúng thực công vào mạng đề xuất cách tạo gửi lượng lớn packet TCP_SYN từ bên ngoài, qua IPTables, đến server Sniffer Sau chúng tơi tiến hành dump packet đến/đi Sniffer Kết dump nhìn thấy Tcpdump sau: Hình 3.5a Các packet nhận tường lửa IPTables Hình 3.5b Các packet nhận server Sniffer Như vậy, Tcpdump cho thấy, nhờ quan sát hành động Sniffer IPTables mà packet xuất phát từ IP: 10.7.7.100 (với lượng lớn) bị chặn lại IPTables Hình 3.4 Các packet TCP_SYN RST, ACK Hầu hết sản phẩm firewall mã nguồn mở cho phép tương tác với thơng qua chế dịng lệnh, nên việc chúng tơi sử dụng IPTables kịch thử nghiệm đánh giá khơng làm tính tổng qt mơ hình đề xuất N K Tuấn, N T Thuận, Phan Long / Tạp chí Khoa học Công nghệ Đại học Duy Tân 03(40) (2020) 16-25 Từ kết đánh giá, tin tưởng hệ thống đề xuất hồn tồn đóng vai trị phát xâm nhập trái phép vào mạng nội doanh nghiệp hệ thống IDS firewall riêng lẻ khác thị trường sản phẩm an toàn thông tin Kết luận Trong báo này, đề xuất triển khai thành công mơ hình việc kết hợp hoạt động IDS firewall mã nguồn mở IPTables Chúng xây dựng chương trình Sniffer đảm nhận vai trò IDS hệ thống mạng Sự cập nhật bảng luật hồn tồn tự động nên có tính tức thời cao Tính xác việc đưa nhận định hành động đáng ngờ IDS vừa phụ thuộc vào việc thu thập phân tích thơng tin, từ dịng traffic vào/ra mạng, vừa phụ thuộc vào khả thống kê dự báo Có thể nói, “trí tuệ” phận định lớn đến độ xác việc nhận định dịng traffic có hành động đáng ngờ số nhiều dòng traffic qua IDS Cũng vậy, với khả “giả mạo” “đánh lừa” ngày cao hacker không gian 25 mạng, khơng có “trí tuệ” cao IDS khó xác định xác packet có mang theo mã độc hay khơng Hạn chế Sniffer chúng tơi “trí tuệ” cịn thấp Trong tương lai chúng tơi cải thiện “trí tuệ” Sniffer cách xây dựng theo hướng tiếp cận Machine learning [5] Tài liệu tham khảo [1] Kanika & Urmila, “Security of Network Using IDS and Firewall”, International Journal of Scientific and Research Publications, vol 3, iss 6, June 2013 [2] Waleed Bul'ajoul, Anne James & Mandeep Pannu, “Improving network intrusion detection system performance through quality of service configuration and parallel technology”, Journal of Computer and System Sciences, pp 981-999, vol 81, iss 6, September 2015 [3] D Ashok Kumar & S.R Venugopala, “Intrusion Detection Systems: A review”, International Journal of Advanced Research in Computer Science, vol , no 8, Octorber 2017 [4] Mrinal Wahal, Tanupriya Choudhury & Manik Arora, “Intrusion Detection System in Python”, 8th International Conference on Cloud Computing, Data Science & Engineering, pp 348-353, August 2018 [5] Suad Mohamed Othman, Fadl Mutaher Ba-Alwi, Nabeel T.Alsohybe & Amal Y.AlHashida,“Intrusion detection model using machine learning algorithm on Big Data environment”, Journal of Big Data, no 34, September 2018 ... nói, lọc gói bảng luật lọc gói hai ba thành phần firewall lọc gói Từ sách điều khiển truy cập mạng, đội quản trị an ninh mạng xây dựng bảng luật lọc gói cho firewall Bộ lọc gói dựa vào bảng luật. .. lý hoạt động hai loại firewall Có thể nói, thành phần firewall lọc gói là: Đơn vị điều khiển việc vào/ra tin; Bộ lọc khảo sát gói, thường gọi Bộ lọc gói; Bảng luật lọc gói Bảng luật lọc gói, người... Đây lý khiến chúng tơi nghĩ đến việc tự động hóa việc cập nhật bảng luật lọc gói cho firewall mã nguồn mở Kiến thức liên quan Trong phần xin dẫn lại kiến thức nhất, cách cô đọng nhất, hai hệ thống