BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI BẠCH QUỐC CƯỜNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP LUẬN VĂN THẠC SỸ KỸ THUẬT CÔNG NGHỆ THÔNG TIN HÀ NỘI - 2019 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI BẠCH QUỐC CƯỜNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP Chuyên ngành: Công nghệ thông tin Mã số: CB160534 LUẬN VĂN THẠC SỸ KỸ THUẬT CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TS NGUYỄN LINH GIANG HÀ NỘI - 2019 LỜI CAM KẾT Họ tên học viên: Bạch Quốc Cường Điện thoại liên lạc: 0903488841 Email: cuong89@gmail.com Lớp: 16BCNTT Hệ đào tạo: Chính quy Tơi xin cam đoan luận văn thạc sỹ kỹ thuật nghiên cứu thực hướng dẫn khoa học PGS.TS Nguyễn Linh Giang Các kết nêu LVTN trung thực, thành riêng tôi, khơng chép theo cơng trình khác Tất tham khảo LVTN – bao gồm hình ảnh, bảng biểu, số liệu, câu từ trích dẫn – ghi rõ ràng đầy đủ nguồn gốc danh mục tài liệu tham khảo Nếu có vấn đề sai phạm quyền, tơi xin hoàn toàn chịu trách nhiệm trước nhà trường Hà Nội, ngày …… tháng ……năm 2019 Học viên Bạch Quốc Cường i LỜI CẢM ƠN Để hoàn thành tốt luận văn tốt nghiệp, em nhận giúp đỡ nhiều đơn vị , tổ chức, cá nhân Em xin bày tỏ lòng biết ơn sâu sắc đến tất cá nhân đơn vị tạo điều kiện giúp đỡ trình học tập nghiên cứu đề tài Trước hết em xin gửi lời cảm ơn tới quý thầy cô khoa Công nghệ thông tin trường Đại học Bách Khoa Hà Nội, với quan tâm bảo thầy cô đến em hoàn thành luận văn, đề tài: “Phát ngăn chặn xâm nhập trái phép” Đặc biệt em xin gửi lời cảm ơn chân thành tới PGS.TS Nguyễn Linh Giang quan tâm giúp đỡ, hướng dẫn em hoàn thành tốt luận văn thời gian qua Với điều kiện thời gian kinh nghiệm cịn hạn chế, luận văn khơng thể tránh thiếu sót Em mong nhận bảo, đóng góp ý kiến thầy để có điều kiện bổ sung Em xin chân thành cảm ơn! Hà Nội, ngày… tháng… năm 2019 Tác giả LVTN Bạch Quốc Cường ii MỤC LỤC LỜI CAM KẾT i LỜI CẢM ƠN ii MỤC LỤC iii DANH SÁCH HÌNH VẼ vi DANH MỤC CHỮ VIẾT TẮT viii PHẦN MỞ ĐẦU 1 Lý chọn đề tài Mục đích nghiên cứu Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu Kết quả, đóng góp luận văn Kết cấu luận văn CHƯƠNG NGUY CƠ MẤT AN TOÀN AN NINH MẠNG 1.1 Tổng quan chung tình hình an ninh mạng 1.2 Các mối đe dọa an ninh mạng 1.2.1 Intergrity 1.2.2 Confidentiality 1.2.3 Availability 1.3 Tổng quan phương pháp bảo mật an ninh mạng 1.3.1 Tường lửa – Firewall 1.3.2 Công nghệ mạng riêng ảo - VPN 10 1.3.3 Hệ thống phát ngăn chặn xâm nhập IDS/IPS 11 CHƯƠNG TỔNG QUAN HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 12 2.1 Lịch sử đời 12 2.2 Hệ thống IDS 13 2.2.1 Các thành phần hệ thống IDS 14 2.2.2 Các phương pháp phát xâm nhập phổ biến 15 2.2.2.1 Nhận biết qua dấu hiệu - Signature Based Detection 15 2.2.2.2 Nhận biết qua bất thường - Anomaly Based Detection 16 2.2.2.3 Nhận biết qua phân tích giao thức – Stateful Protocol Analysis 18 2.3.3 Phân loại hệ thống IDS 18 2.3.3.1 Network-based IDS (NIDS) 19 2.3.3.2 Host-based IDS (HIDS) 21 2.2.2.3 Hybrid Intrusion Detection System 23 iii 2.3.3.4 Wireless IDS 23 2.3.3.5 Network Behavior Analysis (NBA) 24 2.3 Hệ thống IPS 25 2.3.1 Các thành phần hệ thống IPS 25 2.3.2 Phân loại hệ thống IPS 26 2.3.2 2.4 Mơ hình hệ thống IPS 27 Các phương pháp cơng phổ biến cách phịng chống 28 2.4.1 Denial of Service attack (Tấn công từ chối dịch vụ) 28 2.4.2 Scanning Probe (Quét thăm dò) 28 2.4.3 Password attack (Tấn công mật khẩu) 28 2.4.4 Privilege-grabbing (Chiếm đặc quyền) 29 2.4.5 Hostile code insertion (Cài đặt mã nguy hiểm) 29 2.4.6 Advanced Persistent Threat (Tấn cơng có chủ đích) 30 2.5 Các giải pháp IDS, IPS thị trường 30 CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP CHO HỆ THỐNG MẠNG MOBIFONE 32 3.1 Khảo sát phân tích yêu cầu 32 3.1.1 Các chuẩn an tồn thơng tin 32 3.1.2 Nội dung khảo sát 34 3.1.3 Mơ hình hệ thống mạng 35 3.1.4 Mơ hình thiết bị mạng 36 3.1.4.1 Hệ thống máy chủ dịch vụ 36 3.1.4.2 Thiết bị mạng 36 3.1.4.3 Thiết bị bảo mật 36 3.1.5 Phân tích, đánh giá nguy cơ, rủi ro hệ thống mạng 37 3.1.5.1 Nguy an ninh, an toàn với hệ thống mạng nội 37 3.1.5.2 Nguy công mạng với hệ thống cung cấp dịch vụ 37 3.1.5.3 Nguy bảo mật mơi trường ảo hóa 38 3.1.3 Yêu cầu hệ thống 38 3.2 Tổng quan cấu trúc hệ thống IPS triển khai 39 3.2.1 Thiết bị IBM Security Network IPS XGS 7100 40 3.2.2 SiteProtector 41 3.2.3 Sơ đồ kết nối hệ thống 41 3.2.4 Đánh giá chất lượng hệ thống 41 3.3 Đánh giá kết 42 iv 3.3.1 Kết đạt 42 3.3.2 Các chức hệ thống 43 3.3.3 Một số test thử nghiệm hệ thống 48 3.3.3.1 Kiểm tra khả bảo vệ ứng dụng Instant Messeging (Skype) 49 3.3.3.2 Kiểm soát khả truy nhập website HTTPS (giải mã SSL) 50 3.3.3.3 Phát ngăn chặn công vào máy chủ Windows Server/Windows (Virtual Patching Zero-day) 51 3.3.3.4 Phát ngăn chặn công vào máy chủ Web Server 53 3.3.3.5 Phát ngăn chặn công Buffer Overflow Attacks 54 3.3.3.6 Phát ngăn chặn công P2P, ActiveX 55 3.3.3.7 Phát ngăn chặn sâu mạng worm 56 3.3.3.8 Phát ngăn chặn Spyware 57 3.3.3.9 Phát ngăn chặn công DoS 59 3.3.3.10 Kiểm tra giám sát thông tin cá nhân trao đổi qua mạng 60 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 62 TÀI LIỆU THAM KHẢO 63 v DANH SÁCH HÌNH VẼ Hình Sơ đồ bối cảnh phát triển nguy an tồn thơng tin Hình Mơ hình Firewall đơn giản Hình Mơ hình mạng VPN 10 Hình Nhận biết qua dấu - Signature Based Detection 15 Hình Nhận biết qua bất thường - Anomaly Based Detection 16 Hình Mơ hình NIDS 19 Hình Mơ hình HIDS 22 Hình Mơ hình Wireless IDS 23 Hình Mơ hình NBA 24 Hình 10 Các Tier chuẩn NIST 34 Hình 11 Hiện trạng mạng MobiFone 36 Hình 12 Các dịch vụ xây dựng giai đoạn 39 Hình 13 Các dịch vụ xây dựng giai đoạn 39 Hình 14 Các loại cơng XGS7100 hỗ trợ bảo vệ 40 Hình 15 Sơ đồ kết nối hệ thống 41 Hình 16 Các policy áp dụng hệ thống P1 43 Hình 17 Các policy áp dụng hệ thống P2 43 Hình 18 Hệ thống IPS giám sát lưu lượng theo protocol 45 Hình 19 Hệ thống IPS giám sát event mạng 46 Hình 20 Hệ thống IPS giám sát event hệ thống 46 Hình 21 Các policy mẫu áp dụng hệ thống 47 Hình 22 Các mẫu cơng có hệ thống 47 Hình 23 Chuẩn bị mơi trường thử nghiệm 48 Hình 24 Sơ đồ kết nối thử nghiệm 48 Hình 25 Luồng lưu lượng test 49 Hình 26 Thiết lập mơi trường test 49 Hình 27 Kết test – Log IPS 50 Hình 28 Luồng lưu lượng test 50 Hình 29 Kết test – truy cập người dùng 51 Hình 30 Kết test - Log IPS 51 Hình 31 Luồng lưu lượng test 51 Hình 32 Chuẩn bị mơi trường test 52 Hình 33 Kết test - Khi khơng có IPS bảo vệ 52 Hình 34 Kết test - Thực công 53 Hình 35 Kết test - Log IPS 53 vi Hình 36 Luồng lưu lượng test 53 Hình 37 Chuẩn bị mơi trường test 54 Hình 38 Kết test - Log IPS 54 Hình 39 Luồng lưu lượng test 54 Hình 40 Chuẩn bị mơi trường test 55 Hình 41 Kết test - Log IPS 55 Hình 42 Luồng lưu lượng test 55 Hình 43 Chuẩn bị mơi trường test 56 Hình 44 Kết test - Log IPS 56 Hình 45 Luồng lưu lượng test 56 Hình 46 Chuẩn bị mơi trường test 57 Hình 47 Kết test - Log IPS 57 Hình 48 Lưu lượng test 57 Hình 49 Chuẩn bị mơi trường test 58 Hình 50 Kết test - truy cập người dùng 58 Hình 51 Kết test - Log IPS 59 Hình 52 Luồng lưu lượng test 59 Hình 53 Chuẩn bị môi trường test 60 Hình 54 Kết test - Log IPS 60 Hình 55 Luồng lưu lượng test 10 60 Hình 56 Chuẩn bị môi trường test 10 61 Hình 57 Kết test 10 - Log IPS 61 vii DANH MỤC CHỮ VIẾT TẮT STT 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 Tên viết tắt AI ANTT API APT CNTT DDOS DMZ DNS DoS HIDS IDP IDS IoT IPS LAN NAP NBA NIC NIDS P2P SIEM SOC TCP UDP XSS Tên đầy đủ Artificial Intelligence An ninh thông tin Application Programming Interface Advanced Persistent Threat Công nghệ thông tin Distributed Denial of Service Demilitarized Zone Domain name server Denial of Service Host-based IDS Intrusion Detection and Prevention Intrusion detection system Internet of thing Intrusion Prevention Systems Local Area Network Network Access Policy Network Behavior Analysis Network Interface Card Network-based IDS Peer to Peer Security information and event management Security Operations Center Transmission Control Protocol User Datagram Protocol Cross – site scripting viii 3.3.3.1 Kiểm tra khả bảo vệ ứng dụng Instant Messeging (Skype) Máy client thử nghiệm IPS Router mạng tin học Border Router Internet Hình 25 Luồng lưu lượng test Mục đích: Kiểm sốt người dùng/máy tính có truy cập trái phép bên sử dụng ứng dụng non-Web Thực hiện: Thiết lập cấu hình chặn việc sử dụng skype người sử dụng IPS Hình 26 Thiết lập mơi trường test Kết quả: Người dùng cố gắng truy nhập Skype khơng thể truy nhập, có log truy nhập thất bại hệ thống sau: 49 Hình 27 Kết test – Log IPS 3.3.3.2 Kiểm soát khả truy nhập website HTTPS (giải mã SSL) Máy client thử nghiệm IPS Router mạng tin học Border Router Internet Hình 28 Luồng lưu lượng test Mục đích: Kiểm sốt người dùng truy cập vào trang web SSL Thực hiện: - Tạo sách Network Access Policy (NAP) ngăn cấm người dùng truy cập vào nhóm trang web mạng xã hội: Social Networking - Từ máy tính vùng mạng bảo vệ, truy cập vào trang web sau: https://facebook.com Kết quả: Trên trình duyệt hiển thị thông báo ngăn chặn truy cập theo sách, thơng tin certificate certificate tạo từ thiết bị 50 Hình 29 Kết test – truy cập người dùng Hình 30 Kết test - Log IPS 3.3.3.3 Phát ngăn chặn công vào máy chủ Windows Server/Windows (Virtual Patching Zero-day) Máy client Attacker IPS Border Router Router mạng tin học Windows Server Hình 31 Luồng lưu lượng test Mục đích: Ngăn chặn máy client Attacker, cài đặt hệ điều hành Kali Linux, sử dụng tool thực công máy chủ chạy Windows Server/Windows thuộc vùng mạng tin học phương pháp khai thác lỗ hổng hệ điều hành Thực hiện: - Tạo sách Network Access Policy (NAP) phát ngăn chặn công khai thác lỗ hổng hệ điều hành Windows Server 2008 (CVE-2012-0020) - Máy client attacker cơng vào Windows Server 51 Hình 32 Chuẩn bị môi trường test Kết quả: - Nếu khơng có NAP khai báo IPS bảo vệ máy Windows Server bị công bị lỗi hình xanh - Khi khai báo NAP IPS, với công tương tự máy Windows Server bị cơng hoạt động bình thường Hình 33 Kết test - Khi khơng có IPS bảo vệ 52 Hình 34 Kết test - Thực cơng Hình 35 Kết test - Log IPS 3.3.3.4 Phát ngăn chặn công vào máy chủ Web Server Máy client Attacker IPS Border Router Router mạng tin học Web Server Hình 36 Luồng lưu lượng test Mục đích: Ngăn chặn máy client Attacker thực cơng máy chủ Web Server thuộc vùng mạng tin học phương pháp SQL Injection/Xpath Injection Cross Site Scripting (XSS) để lấy cắp thông tin user/password, chèn banner thông qua giao diện Website Thực hiện: 53 - Tạo sách Network Access Policy (NAP) phát ngăn chặn công SQL Injection/Xpath Injection Cross Site Scripting (XSS) - Từ máy client Attacker vùng mạng ngoài, thực công SQL Injection/Xpath Injection Cross Site Scripting (XSS) Hình 37 Chuẩn bị mơi trường test Kết quả: IPS phát ngăn chặn cơng Hình 38 Kết test - Log IPS 3.3.3.5 Phát ngăn chặn công Buffer Overflow Attacks Máy client Attacker IPS Border Router Router mạng tin học Windows Server Hình 39 Luồng lưu lượng test Mục đích: Ngăn chặn máy client Attacker thực công máy chủ Web Server phương pháp Buffer Overflow Attack 54 Thực hiện: - Tạo sách Network Access Policy (NAP) phát ngăn chặn cơng Buffer Overflow Hình 40 Chuẩn bị môi trường test - Từ máy client Attacker từ vùng mạng ngồi, cơng Buffer Overflow vào máy Windows Server Kết quả: IPS phát ngăn chặn cơng Hình 41 Kết test - Log IPS 3.3.3.6 Phát ngăn chặn công P2P, ActiveX Máy client Attacker IPS Border Router Router mạng tin học Windows Server Hình 42 Luồng lưu lượng test Mục đích: Ngăn chặn máy client Attacker thực công máy chủ Web Server phương pháp công P2P, ActiveX Thực hiện: 55 - Tạo sách Network Access Policy (NAP) phát ngăn chặn công P2P, ActiveX - Từ máy client Attacker vùng mạng ngồi, thực cơng P2P vào máy máy chủ Web Server Hình 43 Chuẩn bị môi trường test Kết quả: IPS phát ngăn chặn cơng Hình 44 Kết test - Log IPS 3.3.3.7 Phát ngăn chặn sâu mạng worm Phát tán worm Máy client thử nghiệm IPS Router mạng tin học Border Router Internet Hình 45 Luồng lưu lượng test Mục đích: Ngăn chặn người dùng phát tán sâu mạng vùng mạng nội Thực hiện: - Tạo sách Network Access Policy (NAP) phát ngăn chặn lây lan sâu mạng 56 - Từ máy client từ vùng mạng nội bộ, đẩy sâu mạng qua phương pháp attach file vào email, copy file … vào máy tính khác Hình 46 Chuẩn bị môi trường test Kết quả: IPS phát ngăn chặn lây lan worm qua mạng Hình 47 Kết test - Log IPS 3.3.3.8 Phát ngăn chặn Spyware Download spyware Máy client thử nghiệm IPS Router mạng tin học Border Router Hình 48 Lưu lượng test Mục đích: Ngăn chặn người dùng mạng nội bị nhiễm spyware Thực hiện: - Tạo sách Network Access Policy (NAP) phát ngăn chặn malware/spyware 57 - Từ máy tính mạng, kết nối tới địa http://spycar.org/Spycar.html Hình 49 Chuẩn bị môi trường test Kết quả: IPS phát ngăn chặn kết nối Hình 50 Kết test - truy cập người dùng 58 Hình 51 Kết test - Log IPS 3.3.3.9 Phát ngăn chặn công DoS DoS Máy client Attacker IPS Border Router Router mạng tin học Windows Server Hình 52 Luồng lưu lượng test Mục đích: Ngăn chặn máy client Attacker thực công máy chủ Windows Server thuộc vùng mạng tin học phương pháp DoS Thực hiện: - Tạo sách Network Access Policy (NAP) phát ngăn chặn DDoS/DoS - Từ máy client Attacker, thực cơng DoS Teardrop vào máy Windows Server 59 Hình 53 Chuẩn bị môi trường test Kết quả: IPS phát ngăn chặn cơng Hình 54 Kết test - Log IPS 3.3.3.10 Kiểm tra giám sát thông tin cá nhân trao đổi qua mạng Máy client thử nghiệm IPS Router mạng tin học Border Router Internet Hình 55 Luồng lưu lượng test 10 Mục đích: Ngăn chặn thơng tin cá nhân người dùng nội không bị đánh cắp chủ ý gửi nhận qua mạng Thực hiện: - Tạo sách Network Access Policy (NAP) phát ngăn chặn việc tải thơng tin thẻ tín dụng từ máy chủ Web - Từ máy tính bên ngồi, thực tải tệp tin có chứa thơng tin thẻ tín dụng 60 Hình 56 Chuẩn bị mơi trường test 10 Kết quả: IPS phát ngăn chặn việc tải thơng tin thẻ tín dụng Hình 57 Kết test 10 - Log IPS 61 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Trong xu chuyển đổi số, tình trạng an tồn thơng tin ngày phức tạp với loại hình cơng đa dạng khó lường Do hệ thống phát ngăn chặn IDS/IPS xu hướng phát triển tất yếu công ty, doanh nghiệp tổ chức Với việc triển khai hệ thống IDS/IPS, doanh nghiệp chủ động, linh hoạt cơng tác phịng, chống cơng mạng, bảo đảm an tồn khơng gian mạng Sau thời gian tìm hiểu, nghiên cứu hệ thống phát ngăn chặn xâm nhập IDS/IPS ứng dụng triển khai thực tế, luận văn đạt số kết sau: tác giả có kiến thức kiến trúc hệ thống IDS/IPS; nắm thành phần, mơ hình, quy trình hoạt động hệ thống IDS/IPS chung; nắm số loại công phổ biến cách phòng chống; đồng thời luận văn thực triển khai xây dựng thử nghiệm hệ thống IPS môi trường mạng Tổng Công ty Viễn thông MobiFone, giúp tăng cường an ninh mạng Tuy nhiên, điều kiện thời gian không cho phép nên luận văn cịn sai sót, chưa đầy đủ Đồng thời, luận văn lựa chọn xây dựng hệ thống IPS hệ thống lớn, với nhiều tính Vì vậy, hướng phát triển luận văn tập trung xây dựng theo giai đoạn để giải vấn đề sau: thực hoàn thiện, bổ sung module, tính mới; kết hợp hệ thống thiết bị, giải pháp khác để đảm bảo giám sát lưu lượng mạng tồn trình; bổ sung thêm lưu lượng bảo vệ cho vùng mạng khác; tối ưu luật chặn để giảm lượng cảnh báo false positive, đồng thời tìm hiểu thêm phương pháp chống công 62 TÀI LIỆU THAM KHẢO [1] "Các quốc gia có nguồn cơng vào Việt Nam nhiều nhất," VNCERT, 2016 [Online] Available: http://vncert.gov.vn/baiviet.php?id=20 [2] "Hiểu hệ thống phát xâm nhập (IDS)," SecurityDaily, 2018 [Online] Available: https://securitydaily.net/network-hieu-ve-he-thong-phat-hien- xam-nhap-ids/ [3] "Tổng quan hệ thống giám sát mạng," VNCERT, 12 2016 [Online] Available: http://vncert.gov.vn/baiviet.php?id=4 [4] "NIST," [Online] Available: https://www.nist.gov/ [5] "Tài liệu Palo Alto," Palo Alto, 2019 [Online] Available: [Online] Available: https://www.paloaltonetworks.com/cyberpedia [6] "Tài liệu Alien Vault," AT&T, 2019 https://www.alienvault.com/documentation/ [7] Ashoor, Asmaa & Gore, Sharad, "Difference between Intrusion Detection System (IDS) and Intrusion Prevention System (IPS)," 2011 [8] A Adeyemo, "Design of an Intrusion Detection System (IDS) and an Intrusion Prevention System (IPS) for the EIU Cybersecurity Laboratory," 2016 [9] F P Stanley, "Intrusion detetion and response for system and network attacks," 2009 [10] M B Abdulazeez, "Intrusion Detection and Prevention Systems In the Cloud Environment," 2017 [11] Karen Scarfone, Peter Mell, "Guide to Intrusion Detection and Prevention System (IDPS)," 2007 63 ... toàn thông tin; phát ngăn chặn xâm nhập trái phép hệ thống thông tin quan trọng tổ chức, doanh nghiệp quan nhà nước Vì vậy, em lựa chọn đề tài: ? ?Phát ngăn chặn xâm nhập trái phép? ?? với mục tiêu... 53 3.3.3.5 Phát ngăn chặn công Buffer Overflow Attacks 54 3.3.3.6 Phát ngăn chặn công P2P, ActiveX 55 3.3.3.7 Phát ngăn chặn sâu mạng worm 56 3.3.3.8 Phát ngăn chặn Spyware... mạng riêng ảo - VPN 10 1.3.3 Hệ thống phát ngăn chặn xâm nhập IDS/IPS 11 CHƯƠNG TỔNG QUAN HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 12 2.1 Lịch sử đời 12 2.2