Bộ giáo dục đào tạo Trường Đại học Bách Khoa Hµ Néi - AN NINH -AN TỒN MẠNG VÀ HỆ THƠNG PHÁT HIỆN ĐỘT NHẬP NGUYỄN TH THNH Luận Văn Thạc Sĩ Khoa Học CHUYấN NGNH: IN T VIN THễNG Hà Nội - 2005 Bộ giáo dục đào tạo Trường Đại học Bách Khoa Hà Néi - AN NINH -AN TOÀN MẠNG VÀ HỆ THÔNG PHÁT HIỆN ĐỘT NHẬP NGUYỄN THẾ THỊNH Luận Văn Thạc Sĩ Khoa Học CHUYấN NGNH: IN T VIỄN THÔNG NGƯỜI HƯỚNG DẪN PGS – TS NGUYỄN VIỆT HNG Hà Nội - 2005 -1- Mục lục Mở đầu Ch­¬ng I : Lý thuyết mạng máy tính 1.1 Mạng máy tính 1.1.1 Định nghĩa mạng máy tính 1.1.2 Phân loại mạng máy tính 1.2 Giao thøc m¹ng TCP/IP 1.2.1 Kiến trúc phân tầng OSI 1.2.2 Kiến trúc phân tầng TCP/IP 13 1.2.3 Giao thøc liªn m¹ng IP 15 1.2.3.1 CÊu tróc Header cđa IP Datagram 17 1.2.3.2 Quá trình phân mảnh gói liệu 20 1.2.3.3 Phương pháp đánh địa TCP/IP 23 1.2.3.4 Định tuyến IP 27 1.2.4 TCP vµ UDP 29 1.2.4.1 Giao thøc TCP 29 1.2.4.2 Giao thøc UDP 36 1.2.5 Giao thức điều khiển ICMP ARP 37 1.2.5.1 Giao thøc ICMP 37 1.2.5.2 Giao thức phân giải ®Þa chØ ARP 38 1.3 Các dịch vụ thông tin mạng 39 1.3.1 Nguyên tắc tổ chức 40 1.3.2 C¸c dịch vụ thông tin 41 1.3.2.1 DÞch vơ th­ ®iƯn tư(E-mail) 41 1.3.2.2 DÞch vơ Web 41 1.3.2.3 DÞch vơ trun file 42 1.3.2.4 Telnet 43 Chương II : điểm yếu an ninh an toàn mạng IP 44 2.1 Đánh giá điểm yếu an ninh-an toàn mạng IP 44 2.1.1 T¹i m¹ng IP cã nhiỊu ®iĨm u vỊ an ninh-an toµn? 44 2.1.2 Các điểm yếu an ninh-an toàn 44 2.2 Các hình thức công mạng máy tính 45 2.2.1 Do thám mạng 46 2.2.2 C¸c cuéc tÊn c«ng truy nhËp 48 2.2.3 Tấn công từ chối dịch vô (Denial of Service) 50 Chương III : công nghệ phòng chống xâm nhËp 58 3.1 Tæng quan an ninh mạng máy tính 58 3.2 C¸c lÜnh vùc an ninh mạng máy tính 58 3.2.1 An toàn mạng (Network Security) 58 3.2.2 An toµn øng dơng (Application Security) 59 3.2.3 An toµn hÖ thèng (System Security) 60 3.3 Thực an ninh-an toàn mạng IP 62 3.4 Các thủ tục an ninh-an toàn 63 3.5 Công nghệ an ninh-an toàn IP 63 3.5.1 C«ng nghƯ m· mËt (Cryptography) 63 Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -2- 3.5.2 Công nghệ tường lửa (Firewalls) 67 3.5.3 Các công cụ giám sát (Monitoring Tools) 68 3.5.4 Các công cụ ph©n tÝch 69 Chương iV: Hệ phát đột nhËp - IDS (Intrusion Detection System) 72 4.1 Giíi thiƯu 72 4.2 Kh¸i niƯm chung 72 4.3 Ph©n loại hoạt động phát đột nhập (IDS) 75 4.4 Mô hình chức hệ phát đột nhập 77 4.4.1 Bé theo dâi gi¸m s¸t 77 4.4.2 Bé ph©n tÝch 77 4.4.4 Bé ph¶n øng (Response): 78 4.5 Các đặc tính kỹ thuật hệ phát đột nhập 79 4.5.1 Các phương pháp phân tích phát đột nhập 79 4.5.2 Những cách phản ứng lại sù ®ét nhËp 81 4.6 Hệ phát đột nhập mạng (Network based IDS-NIDS) 82 4.6.1 Kh¸i niƯm hệ phát đột nhập mạng 82 4.6.2 Mét sè d¹ng tÊn công mà IDS phát 85 4.6.3 C¸ch bè trÝ hƯ ph¸t đột nhập đoạn mạng bảo vệ 86 4.6.4 Ưu điểm hệ phát đột nhËp m¹ng 87 4.6.5 Nhược điểm hệ phát đột nhậo mạng 88 4.7 HƯ ph¸t đột nhập trạm (Host based IDS-HIDS) 88 4.7.1 Định nghĩa 88 4.7.2 Một số chức hệ phát đột nhập trạm 90 4.7.2.1 Quản lý kết nối tới máy tính nã b¶o vƯ 90 4.7.2.2 Giám sát hoạt động đăng nhập (Login) 91 4.7.2.3 Gi¸m s¸t c¸c hoạt động trạm 91 4.7.2.4 Quản lý hoạt đông trạm mà bảo vệ 91 4.7.2.5 Qu¶n lý tƯp hƯ thèng 91 4.7.3 Cài đặt hệ thống phát đột nhập trạm 92 Ch­¬ng V : Xây dựng hệ thống NIDS ứng dụng thực tế 94 5.1 Giíi thiƯu 94 5.1.1 HÖ SNORT 94 5.1.2 Tường lửa cá nhân (Personal Firewall) 95 5.2 HÖ thèng NIDS Snort 95 5.2.1 Mô tả thuật toán chương tr×nh 95 5.2.2 Module bắt giải mà gói (Packet Decoder) 97 5.2.3 Module tiÒn xö lý (Preprocessors) 101 5.2.4 Module phát đột nhập (Detection Engine) 105 5.2.5 Module Cảnh báo - Lưu trữ (Logging and Alerting System) 108 5.2.6 Một số chương trình thị phân tích cảnh báo dựa sở d÷ liƯu cđa Snort 109 5.2.6.1 Chương trình SAM 109 5.2.6.2 Chương trình ACID 110 5.2.7 TËp lt cđa hƯ thèng NIDS Snort 112 5.2.7.1 CÊu tróc cđa lt 112 5.2.7.2 Néi dung cña luËt (rule body) 114 Học viên - Nguyễn Thế Thịnh - CH §TVT 2003 -3- 5.2.8 CÊu h×nh Snort 115 5.3 Phát triển đáp trả đột nhập mạng dựa Snort 116 5.3.1 Khởi tạo đăng ký đáp trả 116 5.3.2 ThiÕt lËp c¸c tham sè 117 5.3.2 Hành động đáp trả sù ®ét nhËp 117 5.4 Tường lửa cá nhân (Personal Firewall) 117 kÕt luËn 118 Tµi liƯu tham kh¶o 120 Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -4- Mở đầu Có nhận xÐt rÊt hay r»ng “ §iỊu tut vêi cđa Internet kết nối với người, điều khủng khiếp nhÊt cđa Internet cịng lµ kÕt nèi víi mäi ng­êi” Internet, mạng mạng thông tin máy tính toàn cầu đời đà không ngừng phát triển đem lại cho người nhiều lợi ích, đáp ứng ngày phong phú hầu hết dịch vụ thông tin cđa x· héi, cđa tri thøc loµi ng­êi, tiÕn tíi trở thành hạ tầng thông tin liên lạc xà hội thông tin tương lai Cùng với việc ứng dụng CNTT, mạng Internet ngày phát triển, đặc biệt phát triển hệ thống Internet băng rộng số vụ xâm phạm an ninh, bảo mật thông tin mạng đà gia tăng theo hàm số mũ Theo chuyên gia an ninh mạng, xu hướng gần cho thấy bên cạnh bùng nổ loại virus sâu máy tính, vụ công vào máy trạm không bảo mật, số vụ công ứng dụng ngày tăng, đặc biệt vụ công ứng dụng Web việc sử dụng công nghệ Web ngày phổ biến Theo thống kê tạp chí Computer Economics tháng 6/2004, công mạng toàn cầu gây thiệt hại hàng tỉ USD năm số không ngừng gia tăng Do đặc điểm nhiều người sử dụng phân tán mặt địa lý nên việc bảo vệ tài nguyên thông tin mạng tránh khởi mát, xâm phạm (dù vô tình hay cố ý) môi trường phức tạp Vì vậy, việc nghiên cứu, xây dựng, quản lý hệ thống mạng đảm bảo an ninh-an toàn mạng vấn đề cần thiết bối cảnh nước ta Hiện có nhiều công nghệ giải pháp an ninh mạng vấn đề đặt cho người thiết kế tích hợp hệ thống, nhà quản trị mạng phải chọn xây dựng giải pháp phù hợp với yêu cầu kinh tế kỹ thuật Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -5- Trong luận văn này, trình bày số công nghệ an ninh-an toàn mạng IP sử dụng Đồng thời đưa mô hình giải pháp kết hợp hệ phát đột nhập mạng tường lửa cá nhân để đảm bảo an ninh-an toàn cho mạng dùng riêng Kết cấu luận văn gồm ch­¬ng nh­ sau :  Ch­¬ng I : Tỉng quan mạng máy tính Chương II : Điểm yếu an ninh-an toàn mạng IP Chương III : Phân tích công nghệ chống xâm nhập Chương IV : Hệ thống phát đột nhập Chương V : Xây dựng hệ thống NIDS ứng dụng vào thực tế Vì vấn đề mà luận văn đề cập liên quan đến nhiều lĩnh vực khác nhau, rộng can thiệp sâu vào hệ thống, trình thiết kế, trình bày luận văn không tránh khỏi thiếu khiếm khuyết Chính vậy, mong đóng góp ý kiến thầy cô, đồng nghiệp bạn quan tâm đến vấn đề an ninh-an toàn mạng Tôi xin chân thành cảm ơn PGS.TS Nguyễn Việt Hương người đà trực tiếp hướng dẫn tôi, thầy cô khoa Điện Tử Viễn Thông trường Đại học Bách Khoa Hà Nội đồng nghiệp TT CNTT Ngân hàng Công Thương Việt Nam đà tạo điều kiện giúp đỡ trình học tập hoàn thành luận văn Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -6- Chương I : Lý thuyết mạng máy tính 1.1 Mạng máy tính 1.1.1 Định nghĩa mạng máy tính Mạng máy tính tập hợp phần cứng phần mềm kết nối với cho phÐp c¸c m¸y tÝnh cã thĨ giao tiÕp với chia sẻ tài nguyên chung từ vị trí địa lý khác Mạng máy tính bao gồm thành phần sau: - Máy phục vụ (Server) : Chia tài nguyên dịch vụ nói chung cho mạng - Máy khách (Client) : Sử dụng dịch vụ mạng mà Servers cung cấp - Kết nối vật lý máy tính: Cáp mạng, wireless - Các tài nguyên (Resources) : Dữ liệu, ứng dụng phần cứng cung cấp Servers mạng cho Client - Giao thức mạng (Network protocol) : Ngôn ngữ cho phép máy tính Server Client giao tiếp với - Cấu trúc mạng (Network topology) Mạng máy tính tạo môi trường làm việc với nhiều người sử dụng phân tán, cho phép nâng cao hiệu khai thác tài nguyên chung nhiều so với máy hoạt động đơn lẻ Mạng máy tính có ưu điểm so với sử dụng máy tính riêng rẻ: - Tăng độ tin cậy hệ thống nhờ khả thay xảy cố máy tính (đặc biệt quan trọng ứng dụng tời gian thực) - Chia sẻ liệu: Những liệu dùng chung cho nhiều người mạng tập trung máy Nếu lựa chọn máy tính để lưu trữ cho phép máy tính khác mạng sử dụng liệu làm tăng khả tập trung trì thông tin Máy tính có Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -7- tính gọi máy chủ phục vụ (server) có phần mềm hệ điều hành đặc biệt dành riêng - Chia sẻ tài nguyên phần cứng: Mạng máy tính chia sẻ tài nguyên phần cứng: fax, modems, máy quét (scanners), đĩa cứng (hard disks), ®Üa mỊm (floppy - disks), ỉ ®Üa CD (CD- ROMS), Băng từ (Taper), máy vẽ (Plotter) Nhiều máy tính dùng chung thiết bị phần cứng để tiết kiệm chi phí - Duy trì liệu: Một mạng máy tính cho phép liệu quan trọng tự động lưu trữ dự phòng tới nơi để tránh bị lỗi có cố Việc bảo trì từ liệu lưu máy độc lập công việc khó khăn tèn nhiỊu thêi gian NÕu chØ sư dơng mét n¬i để lưu trữ liệu dự phòng (thông thường lưu trữ vào băng từ máy chủ mạng), dễ dàng tìm kiếm để khôi phục lại liệu đà bị - Bảo vệ liệu: Mạng máy tính cung cấp môi trường bảo mật cho toàn mạng Với máy tính độc lập, truy cập vào máy tính có nghĩa truy cập tất thông tin có máy Mạng máy tính cung cấp chế bảo mật (security) mật (password), cho phép máy chủ mạng phân biệt quyền hạn sử dụng người dùng - Liên lạc với nhau: Mạng máy tính cúng cho phép người liên lạc với Một lợi ích lớn mạng thư điện tử Những người sử dụng mạng tức khắc gửi thông điệp tới người khác thông qua thư điện tử (electronic mail) Có thể gửi kèm tài liệu vào thưu điện tử cã thĨ gưi chun tiÕp cho nhiỊu ng­êi 1.1.2 Ph©n loại mạng máy tính Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -8- Có nhiều cách phân loại mạng khác tuỳ thuộc vào yếu tố chọn để làm tiêu phân loại như: khoảng cách địa lý, kü tht chun m¹ch hay kiÕn tróc m¹ng Mét số cách phân loại thường dùng sau: a Phân loại theo khoảng cách địa lý ã Mạng cục LAN (Local Area Network): mạng đặt phạm vi tương đối nhỏ (trong nhà, trường học ) với khoảng cách lớn máy tính vòng vài chục kilômét ã Mạng đô thị MAN (Metropolitan): Là mạng cài đặt phạm vi đô thị trung tâm kinh tế-xà hội có bán kính khoảng 100km trở lại ã Mạng diện rộng WAN (Wide Area Network): phạm vi mạng vượt qua biên giới quốc gia chí lục địa ã Mạng toàn cầu GAN (Global Area Network): phạm vi mạng trải rộng khắp lục địa trái đất b Phân loại theo cấu trúc liên kết mạng (Network Topology) ã Cấu trúc Bus (Bus topology): Đường truyền mạng đường cáp đơn giới hạn hai đầu loại đầu nối đặc biệt gọi terminator Mỗi trạm nối vào bus qua đầu nối chử T thu phát (Tranceiver) Các máy đồng thời truyền liệu mạng bus ã Cấu trúc Star (Star topology): Tất máy tính nối vào mạng thông qua thiết bị trung tâm (hub, switch, router) Thiết bị cã nhiƯm vơ nhËn tÝn hiƯu tõ c¸c m¸y tÝnh chuyển tín hiệu đến máy đích Thiết bị trung tâm đóng vai trò thực việc bắt tay máy tính Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 ... điểm yếu an ninh an toàn mạng IP 44 2.1 Đánh giá điểm yếu an ninh -an toàn mạng IP 44 2.1.1 T¹i m¹ng IP có nhiều điểm yếu an ninh -an toàn? 44 2.1.2 Các điểm yếu an ninh -an toµn ... 59 3.2.3 An toµn hƯ thèng (System Security) 60 3.3 Thùc hiÖn an ninh -an toàn mạng IP 62 3.4 Các thủ tục an ninh -an toàn 63 3.5 Công nghệ an ninh -an toàn IP ... IDS phát 85 4.6.3 C¸ch bè trÝ hệ phát đột nhập đoạn mạng bảo vệ 86 4.6.4 Ưu điểm hệ phát đột nhập mạng 87 4.6.5 Nhược điểm hệ phát đột nhËo m¹ng 88 4.7 Hệ phát đột nhập