Bộ giáo dục đào tạo Trường Đại học Bách Khoa Hà Nội - AN NINH -AN TỒN MẠNG VÀ HỆ THƠNG PHÁT HIỆN ĐỘT NHẬP NGUYN TH THNH Luận Văn Thạc Sĩ Khoa Học CHUYấN NGÀNH: ĐIỆN TỬ VIỄN THƠNG Hµ Néi - 2005 Bé giáo dục đào tạo Trường Đại học Bách Khoa Hµ Néi - AN NINH -AN TOÀN MẠNG VÀ HỆ THÔNG PHÁT HIỆN ĐỘT NHẬP NGUYỄN THẾ THNH Luận Văn Thạc Sĩ Khoa Học CHUYấN NGNH: IN TỬ VIỄN THÔNG NGƯỜI HƯỚNG DẪN PGS – TS NGUYỄN VIỆT HƯƠNG Hµ Néi - 2005 -1- Mơc lơc Më ®Çu Ch­¬ng I : Lý thuyết mạng máy tính 1.1 Mạng máy tính 1.1.1 Định nghĩa mạng máy tính 1.1.2 Phân loại mạng máy tính 1.2 Giao thøc m¹ng TCP/IP 1.2.1 Kiến trúc phân tầng OSI 1.2.2 Kiến trúc phân tầng TCP/IP 13 1.2.3 Giao thøc liên mạng IP 15 1.2.3.1 CÊu tróc Header cđa IP Datagram 17 1.2.3.2 Quá trình phân mảnh gói liệu 20 1.2.3.3 Ph­¬ng pháp đánh địa TCP/IP 23 1.2.3.4 Định tuyến IP 27 1.2.4 TCP vµ UDP 29 1.2.4.1 Giao thøc TCP 29 1.2.4.2 Giao thøc UDP 36 1.2.5 Giao thức điều khiển ICMP ARP 37 1.2.5.1 Giao thøc ICMP 37 1.2.5.2 Giao thøc ph©n giải địa ARP 38 1.3 Các dịch vụ thông tin m¹ng 39 1.3.1 Nguyên tắc tổ chức 40 1.3.2 Các dịch vụ thông tin 41 1.3.2.1 DÞch vơ th­ ®iƯn tư(E-mail) 41 1.3.2.2 DÞch vơ Web 41 1.3.2.3 DÞch vơ trun file 42 1.3.2.4 Telnet 43 Ch­¬ng II : điểm yếu an ninh an toàn mạng IP 44 2.1 Đánh giá điểm yếu an ninh-an toàn mạng IP 44 2.1.1 T¹i m¹ng IP cã nhiều điểm yếu an ninh-an toàn? 44 2.1.2 Các điểm yếu an ninh-an toàn 44 2.2 Các hình thức công mạng máy tính 45 2.2.1 Do thám mạng 46 2.2.2 C¸c cuéc tÊn c«ng truy nhËp 48 2.2.3 TÊn c«ng tõ chèi dÞch vơ (Denial of Service) 50 Chương III : công nghệ phòng chống x©m nhËp 58 3.1 Tỉng quan an ninh mạng máy tính 58 3.2 C¸c lÜnh vực an ninh mạng máy tính 58 3.2.1 An toàn mạng (Network Security) 58 3.2.2 An toµn øng dơng (Application Security) 59 3.2.3 An toµn hƯ thèng (System Security) 60 3.3 Thùc hiƯn an ninh-an toµn m¹ng IP 62 3.4 Các thủ tục an ninh-an toàn 63 3.5 Công nghệ an ninh-an toàn IP 63 3.5.1 C«ng nghÖ m· mËt (Cryptography) 63 Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -2- 3.5.2 Công nghệ tường lửa (Firewalls) 67 3.5.3 Các công cụ giám sát (Monitoring Tools) 68 3.5.4 Các công ph©n tÝch 69 Chương iV: Hệ phát ®ét nhËp - IDS (Intrusion Detection System) 72 4.1 Giíi thiƯu 72 4.2 Kh¸i niƯm chung 72 4.3 Phân loại hoạt động phát đột nhập (IDS) 75 4.4 Mô hình chức hệ phát đột nhập 77 4.4.1 Bé theo dâi gi¸m s¸t 77 4.4.2 Bé ph©n tÝch 77 4.4.4 Bé ph¶n øng (Response): 78 4.5 C¸c đặc tính kỹ thuật hệ phát đột nhập 79 4.5.1 Các phương pháp phân tích phát đột nhập 79 4.5.2 Những cách phản ứng lại đột nhập 81 4.6 Hệ phát đột nhập mạng (Network based IDS-NIDS) 82 4.6.1 Kh¸i niệm hệ phát đột nhập mạng 82 4.6.2 Mét sè d¹ng công mà IDS phát 85 4.6.3 C¸ch bè trÝ hƯ phát đột nhập đoạn mạng bảo vệ 86 4.6.4 Ưu điểm hệ phát ®ét nhËp m¹ng 87 4.6.5 Nhược điểm hệ phát đột nhậo m¹ng 88 4.7 HƯ phát đột nhập trạm (Host based IDS-HIDS) 88 4.7.1 Định nghĩa 88 4.7.2 Một số chức hệ phát đột nhập trạm 90 4.7.2.1 Quản lý kết nối tới máy tÝnh nã b¶o vƯ 90 4.7.2.2 Giám sát hoạt động đăng nhập (Login) 91 4.7.2.3 Gi¸m s¸t hoạt động trạm 91 4.7.2.4 Quản lý hoạt đông trạm mà bảo vệ 91 4.7.2.5 Qu¶n lý tƯp hƯ thèng 91 4.7.3 Cài đặt hệ thống phát đột nhập trạm 92 Ch­¬ng V : Xây dựng hệ thống NIDS ứng dụng thực tÕ 94 5.1 Giíi thiƯu 94 5.1.1 HÖ SNORT 94 5.1.2 Tường lửa cá nhân (Personal Firewall) 95 5.2 HÖ thèng NIDS Snort 95 5.2.1 Mô tả thuật toán chương trình 95 5.2.2 Module bắt giải mà gói (Packet Decoder) 97 5.2.3 Module tiỊn xư lý (Preprocessors) 101 5.2.4 Module phát đột nhập (Detection Engine) 105 5.2.5 Module Cảnh báo - Lưu trữ (Logging and Alerting System) 108 5.2.6 Một số chương trình thị phân tích cảnh báo dựa së d÷ liƯu cđa Snort 109 5.2.6.1 Chương trình SAM 109 5.2.6.2 Chương trình ACID 110 5.2.7 TËp lt cđa hƯ thèng NIDS Snort 112 5.2.7.1 CÊu tróc cđa lt 112 5.2.7.2 Néi dung cña luËt (rule body) 114 Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -3- 5.2.8 Cấu hình Snort 115 5.3 Phát triển đáp trả đột nhập mạng dựa Snort 116 5.3.1 Khởi tạo đăng ký đáp trả 116 5.3.2 ThiÕt lËp c¸c tham sè 117 5.3.2 Hành động đáp trả đột nhập 117 5.4 Tường lửa cá nhân (Personal Firewall) 117 kÕt luËn 118 Tµi liƯu tham kh¶o 120 Häc viªn - Ngun ThÕ Thịnh - CH ĐTVT 2003 -4- Mở đầu Có nhËn xÐt rÊt hay r»ng “ §iỊu tut vêi cđa Internet kết nối với người, điều khủng khiÕp nhÊt cđa Internet cịng lµ kÕt nèi víi mäi người Internet, mạng mạng thông tin máy tính toàn cầu đời đà không ngừng phát triển đem lại cho người nhiều lợi ích, đáp ứng ngày phong phú hầu hết dịch vụ thông tin cđa x· héi, cđa tri thøc loµi ng­êi, tiÕn tới trở thành hạ tầng thông tin liên lạc xà hội thông tin tương lai Cùng với việc ứng dụng CNTT, mạng Internet ngày phát triển, đặc biệt phát triển hệ thống Internet băng rộng số vụ xâm phạm an ninh, bảo mật thông tin mạng đà gia tăng theo hàm số mũ Theo chuyên gia an ninh mạng, xu hướng gần cho thấy bên cạnh bùng nổ loại virus sâu máy tính, vụ công vào máy trạm không bảo mật, số vụ công ứng dụng ngày tăng, đặc biệt vụ công ứng dụng Web việc sử dụng công nghệ Web ngày phổ biến Theo thống kê tạp chí Computer Economics tháng 6/2004, công mạng toàn cầu gây thiệt hại hàng tỉ USD năm số không ngừng gia tăng Do đặc điểm nhiều người sử dụng phân tán mặt địa lý nên việc bảo vệ tài nguyên thông tin mạng tránh khởi mát, xâm phạm (dù vô tình hay cố ý) môi trường phức tạp Vì vậy, việc nghiên cứu, xây dựng, quản lý hệ thống mạng đảm bảo an ninh-an toàn mạng vấn đề cần thiết bối cảnh nước ta Hiện có nhiều công nghệ giải pháp an ninh mạng vấn đề đặt cho người thiết kế tích hợp hệ thống, nhà quản trị mạng phải chọn xây dựng giải pháp phù hợp với yêu cầu kinh tế kỹ thuật Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -5- Trong luận văn này, trình bày số công nghệ an ninh-an toàn mạng IP sử dụng Đồng thời đưa mô hình giải pháp kết hợp hệ phát đột nhập mạng tường lửa cá nhân để đảm bảo an ninh-an toàn cho mạng dùng riêng Kết cấu luận văn gồm ch­¬ng nh­ sau :  Ch­¬ng I : Tỉng quan mạng máy tính Chương II : Điểm yếu an ninh-an toàn mạng IP Chương III : Phân tích công nghệ chống xâm nhập Chương IV : Hệ thống phát đột nhập Chương V : Xây dựng hệ thống NIDS ứng dụng vào thực tế Vì vấn đề mà luận văn đề cập liên quan đến nhiều lĩnh vực khác nhau, rộng can thiệp sâu vào hệ thống, trình thiết kế, trình bày luận văn không tránh khỏi thiếu khiếm khuyết Chính vậy, mong đóng góp ý kiến thầy cô, đồng nghiệp bạn quan tâm đến vấn đề an ninh-an toàn mạng Tôi xin chân thành cảm ơn PGS.TS Nguyễn Việt Hương người đà trực tiếp hướng dẫn tôi, thầy cô khoa Điện Tử Viễn Thông trường Đại học Bách Khoa Hà Nội đồng nghiệp TT CNTT Ngân hàng Công Thương Việt Nam đà tạo điều kiện giúp đỡ trình học tập hoàn thành luận văn Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -6- Chương I : Lý thuyết mạng máy tính 1.1 Mạng máy tính 1.1.1 Định nghĩa mạng máy tính Mạng máy tính tập hợp phần cứng phần mềm kết nối víi cho phÐp c¸c m¸y tÝnh cã thĨ giao tiếp với chia sẻ tài nguyên chung từ vị trí địa lý khác Mạng máy tính bao gồm thành phần sau: - Máy phục vụ (Server) : Chia tài nguyên dịch vụ nói chung cho mạng - Máy khách (Client) : Sử dụng dịch vụ mạng mà Servers cung cấp - Kết nối vật lý máy tính: Cáp mạng, wireless - Các tài nguyên (Resources) : Dữ liệu, ứng dụng phần cứng cung cấp Servers mạng cho Client - Giao thức mạng (Network protocol) : Ngôn ngữ cho phép máy tính Server Client giao tiếp với - Cấu trúc mạng (Network topology) Mạng máy tính tạo môi trường làm việc với nhiều người sử dụng phân tán, cho phép nâng cao hiệu khai thác tài nguyên chung nhiều so với máy hoạt động đơn lẻ Mạng máy tính có ưu điểm so với sử dụng máy tính riêng rẻ: - Tăng độ tin cậy hệ thống nhờ khả thay xảy cố máy tính (đặc biệt quan trọng ứng dụng tời gian thực) - Chia sẻ d÷ liƯu: Nh÷ng d÷ liƯu dïng chung cho nhiỊu ng­êi mạng tập trung máy Nếu lựa chọn máy tính để lưu trữ cho phép máy tính khác mạng sử dụng liệu làm tăng khả tập trung trì thông tin Máy tính có Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -7- tính gọi máy chủ phục vụ (server) có phần mềm hệ điều hành đặc biệt dành riêng - Chia sẻ tài nguyên phần cứng: Mạng máy tính chia sẻ tài nguyên phần cứng: fax, modems, máy quét (scanners), đĩa cứng (hard disks), ®Üa mỊm (floppy - disks), ỉ ®Üa CD (CD- ROMS), Băng từ (Taper), máy vẽ (Plotter) Nhiều máy tính dùng chung thiết bị phần cứng để tiết kiệm chi phí - Duy trì liệu: Một mạng máy tính cho phép liệu quan trọng tự động lưu trữ dự phòng tới nơi để tránh bị lỗi có cố Việc bảo trì từ liệu lưu máy độc lập công việc khó khăn vµ tèn nhiỊu thêi gian NÕu chØ sư dơng mét nơi để lưu trữ liệu dự phòng (thông thường lưu trữ vào băng từ máy chủ mạng), dễ dàng tìm kiếm để khôi phục lại liệu đà bị - Bảo vệ liệu: Mạng máy tính cung cấp môi trường bảo mật cho toàn mạng Với máy tính độc lập, truy cập vào máy tính có nghĩa truy cập tất thông tin có máy Mạng máy tính cung cấp chế bảo mËt (security) b»ng mËt khÈu (password), cho phÐp m¸y chđ mạng phân biệt quyền hạn sử dụng người dùng - Liên lạc với nhau: Mạng máy tính cúng cho phép người liên lạc với Một lợi ích lớn mạng thư điện tử Những người sử dụng mạng tức khắc gửi thông điệp tới người khác thông qua thư điện tử (electronic mail) Có thể gửi kèm tài liệu vào thưu điện tử vµ cã thĨ gưi chun tiÕp cho nhiỊu ng­êi 1.1.2 Phân loại mạng máy tính Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 -8- Có nhiều cách phân loại mạng khác tuỳ thuộc vào yếu tố chọn để làm tiêu phân loại như: khoảng cách địa lý, kỹ thuật chuyển mạch hay kiến trúc mạng Một số cách phân loại thường dùng sau: a Phân loại theo khoảng cách địa lý ã Mạng cục LAN (Local Area Network): mạng đặt phạm vi tương đối nhỏ (trong nhà, trường học ) với khoảng cách lớn máy tính vòng vài chục kilômét ã Mạng đô thị MAN (Metropolitan): Là mạng cài đặt phạm vi đô thị trung tâm kinh tế-xà hội có bán kính khoảng 100km trở lại ã Mạng diện rộng WAN (Wide Area Network): phạm vi mạng vượt qua biên giới quốc gia chí lục địa ã Mạng toàn cầu GAN (Global Area Network): phạm vi mạng trải rộng khắp lục địa trái đất b Phân loại theo cấu trúc liên kết mạng (Network Topology) ã Cấu trúc Bus (Bus topology): Đường truyền mạng đường cáp đơn giới hạn hai đầu loại đầu nối đặc biệt gọi terminator Mỗi trạm nối vào bus qua đầu nối chử T thu phát (Tranceiver) Các máy đồng thời truyền liệu mạng bus ã Cấu trúc Star (Star topology): Tất máy tính nối vào mạng thông qua thiết bị trung tâm (hub, switch, router) Thiết bị có nhiệm vụ nhận tín hiệu từ máy tính chuyển tín hiệu đến máy đích Thiết bị trung tâm đóng vai trò thực việc bắt tay máy tính Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 106 - ã Cấu hình máy chạy IDS ã Tốc độ card NIC máy chạy IDS ã Tải mạng Việc phát đột nhập tiến hành theo tập luật đặt : ã IP Header (Tầng mạng) ã TCP, UDP, ICMP Header (Tầng giao vận) ã DNS, FTP, SNMP Header (Tầng ứng dụng) ã Nội dung gói tin (Packet Payload) Hình 5.5 : Sơ đồ module phát đột nhập Về mặt xử lý chương trình hoàn toàn quay toán tìm kiếm so sánh nội dung gói tin với tập luật đà xây dựng trước.Về mặt tập luật, Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 107 - tổ chức tập luật, trước hết phải đọc phân tích tập luật sau lưu trữ chúng nhớ Dựa vào tập luật đà có, phân tích gói tin đưa lên từ module tiền xử lý ®Ĩ xem cã dÊu hiƯu tÊn c«ng hay kh«ng Module nµy dïng lµm Detect(), nã thùc hiƯn viƯc dut danh sách liên kết chứa luật đánh giá xem gói tin có làm thoả mÃn luật hay không Nếu gói tin làm thoả mÃn luật trình kiểm tra luật dừng cảnh báo tương ứng đưa Nhiệm vụ đọc dòng luật file chứa tập luật (nằm thư mục rules) sau cất vào cấu trúc luật tương ứng Các luật tổ chức thành danh sách liên kết Mỗi phần tử danh sách cấu trúc chứa thông tin luật Để cho việc tổ chức đơn giản, luật đọc trước đầu danh sách, luật đọc sau cuối danh sách, tổ chức luật, tuỳ người quản trị lựa chọn luật ưu tiên để đưa lên đầu Ví dụ luật đầy đủ sau: Alert tep any any -> 192.168.0.0/24 80 (content:”/egi- bin/phf”:mgs:”TEST-CGI probe!;) Thuật toán phát đột nhập: BEGIN: KhoiTaoDanhSachLuat(): While not exit do{ E = ReadPacketFromEth0(); {*Doc goi tin tren duong truyen *} P = DecodePacket(E); {* Giai ma goi tin*} { *Kiem tra phat hien tan cong*} While(RuleList){ {* Duyet danh sach luat cho den het*} IF (!match_any_rule(P)) THEN NextRule ELSE {*Rule match found*} Häc viªn - Ngun ThÕ Thịnh - CH ĐTVT 2003 - 108 - Goto: Response;{*kich hoat doi pho*) IF EndRuleList THEN ReadPacketFromEthO(); ELSE Continue NextRule; } Response: IF response = Alert THEN Alert(); IF response = Log THEN Log(); IF response = Pass THEN ReadPacketFromEth(); } END {* ket thuc*} 5.2.5 Module Cảnh báo - Lưu trữ (Logging and Alerting System) Ghi lại thông tin cảnh báo gói tin trợ giúp cho việc phản ứng lại công Trong phần tổ chức luật có cách xử lý với gói tin như: báo động, bỏ qua ghi lại Tương ứng với cách xử lý ba danh sách luật: AlertList, PassList, Loglist Biện pháp đối phó người quản trị hệ thống định ghi lại vào file log, chuyển tiếp cho module ph¶n øng (Personal Firewall) xư lý (nh­ cÊm tường lửa cá nhân) Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 109 - Hình 5.6 : Sơ đồ module cảnh báo - lưu trữ Module cho phép lưu nhật ký cảnh báo nhiều định dạng khác để tiện cho việc phân tích sau : tcpdump, syslog, vào së d÷ liƯu nh­ mysql, oracle, mssql ViƯc kÕt xt đầu thực đầu (Output Plug-in) 5.2.6 Một số chương trình thị phân tích cảnh báo dựa sở liệu Snort Hiện đà có nhiều công cụ dùng để cảnh báo đột nhập sử dụng liệu hƯ thèng NIDS Snort cung cÊp nh­ : • SAM (Snort Alert Monitor) • ACID (Analysis Console for Intrusion Databases) 5.2.6.1 Chương trình SAM Công cụ SAM chương trình viết ngôn ngữ Java Cho phép thị cảnh báo mà chương trình Snort sinh cách ngắn gọn tổng quan (dữ liệu lưu dạng sở liệu MySQL) Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 110 - Hình 5.7 : Giao diện chương trình SAM Chương trình cho phép người quản trị theo dõi công đoạn mạng cách thị cảnh báo vẽ đồ thị số lần công mạng 5.2.6.2 Chương trình ACID ACID viết dạng giao diện Web-base sử dụng ngôn ngữ PHP sở liệu MySQL Ngoài chức cảnh báo đột nhập, ACID công cụ đắc lực việc phân tích công xâm nhập mạng Kiến trúc phối hợp hệ thống Snort ACID sau : Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 111 - Hình 5.8 : Kiến trúc phối hợp IDS ACID Giao diện chương trình : Hình 5.9 : Giao diện chương trình ACID Học viên - Nguyễn Thế Thịnh - CH §TVT 2003 - 112 - 5.2.7 TËp luËt hệ thống NIDS Snort Để tiện cho việc quản lý phát triển, hệ thống Snort xây dựng tập luật dựa chức Ví dụ quy luật sử dụng FTP để công lưu tương ứng với file ftp.rules, quy luật công DoS lưu tương ứng với file DoS.rules Toàn tập luật lưu thư mục rules dạng file văn (text) Cấu trúc tập luật Snort thể qua cấu trúc tập luật sau: Hình 5.10 : Cấu trúc hình tập luật 5.2.7.1 Cấu trúc luật Toàn luật tuân thủ theo cấu tróc chung nh­ sau : Häc viªn - Ngun ThÕ Thịnh - CH ĐTVT 2003 - 113 - Hình 5.11 : Cấu trúc luật Trong : Hành động (Action) : ã Pass : Bỏ qua gói tin ã Log : Ghi nhật ký gói tin ã Alert : Cảnh báo ã Dynamic : Nằm chờ có hành động Activate ã Activate : Dùng để phân tích cảnh báo loại công phức tạp Khi thực hành động sinh cảnh báo kích hoạt số quy luật Dynamic Ngoài tạo hành động riêng Ví dụ hành động đối víi viƯc ph¸t hiƯn virus Gabriel nh­ sau : ruletype gabriel_virus { type alert output alert_syslog: LOG_AUTH LOG_ALERT log_tcpdump: gabriel_virus.log }  Giao thøc (Protocol) : Mét c¸c giao thức sau: ã ICMP ã TCP Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 114 - ã IP ã UDP Địa nguồn (Source): Chứa địa nguồn (cổng) Địa đích (Destination): Chứa địa chØ ®Ých (cỉng)  Néi dung quy lt (Rule Body): Chứa nội dung quy luật chuỗi nhận dạng, lời cảnh báo Chiều (hướng) gói tin sư dơng nh­ sau : • A -> B : H­íng A sang B • A any 12345 (msg:" Test Message";) Nội dung thực từ khoá bắt đầu băng ( kết thúc ) Phần in đậm phần nội dung cđa quy lt, ý nghÜa cđa quy lt nµy cảnh báo có gói tin có cổng đích 12345 Phần quan trọng nội dung quy luật từ khoá content Đây phần nội dung chứa dấu hiệu nhận biết xâm nhập bất hợp pháp, phần content chứa dấu hiệu chuỗi dÃy hexa Ví dụ nội dung chứa dấu hiệu chuỗi : alert tcp any any -> any any (content: "malicious string /etc/passwd"; msg:"Searching for ASCI Garbage!";) VÝ dơ néi dung chøa dÊu hiƯu d·y sè hexa (n»m gi÷a dÊu “|”): alert tcp any any -> any any (content: "|0000 0101 EFFF|"; msg:"Searching for Garbage!";) Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 115 - Cũng kết hợp dấu hiệu chuỗi số : alert tcp any any -> any any (content: "|0101 FFFF|/etc/passwd|E234|";msg:"Searching for Mixed Garbage!";) Mét sè tõ kho¸ kh¸c nh­ : - Depth : Sè byte phân tích tìm kiếm dấu hiệu - Offset : Sẽ tìm kiếm byte offset - Nocase : Không phân biệt chữ hoa, chữ thường - Uricontent : Thay tìm kiếm toàn nội dung cđa gãi tin th× chØ t×m kiÕm néi dung cña URI - Regex : Cho phÐp dïng ký tù * ? để đại diện cho nhiều ký tự - Flow : Xác định chiều gói tin kết nối chủ-khách (ServerClient) 5.2.8 Cấu hình Snort Mọi thông tin cấu hình Snort lưu file Snort.conf ë th­ môc etc Néi dung file cấu hình bao gồm : - Khai báo c¸c biÕn : Dïng tõ khãa VAR, vÝ dơ : var HOME_NET [10.1.1.0/24,192.168.1.0/24] - Khai b¸o c¸c module tiỊn xư lý kết xuất đầu ra: Ví dụ: preprocessor flow: stats_interval hash output database: alert, postgresql, user=snort dbname=snort - Khai b¸o tËp luËt : Dïng tõ khãa include VÝ dơ: include $RULE_PATH/local.rules include $RULE_PATH/bad-traffic.rules Häc viªn - Ngun Thế Thịnh - CH ĐTVT 2003 - 116 - include $RULE_PATH/exploit.rules include $RULE_PATH/scan.rules 5.3 Phát triển đáp trả đột nhập mạng dựa Snort Hệ thống Snort cho phÐp chóng ta ph¸t triĨn më réng mét cách dễ dàng để đáp ứng nhu cầu người sử dụng Trong phần này, xây dựng đáp trả đột nhập mạng dựa cấu trúc Snort Toàn thông tin đột nhập gửi cho module tường lửa cá nhân xử lý Việc phát triển module thể file nguồn spo_personal_fw.h spo_personal_fw.c Các bước để thiết kế đáp trả sau: Khởi tạo thiết lập danh sách đầu hệ thống Snort: Có chức khởi tạo đăng ký với Snort module đáp trả thông qua hàm PersonalFWSetup Thiết lập tham số hệ đáp trả: Thể qua hàm PersonalFWInit PersonalFWOptionInit Hành động đáp trả đột nhập: Thể qua hàm PersonalFW 5.3.1 Khởi tạo đăng ký đáp trả Việc khởi tạo thiết lập thực qua hàm PersonalFWSetup thông qua hàm RegisterOutputPlugin vµ RegisterPlugin nh­ sau : RegisterOutputPlugin("personal_fw",NT_OUTPUT_ALERT, PersonalFWInit); RegisterPlugin("ps_fw", PersonalFWOptionInit); Hµm RegisterOutputPlugin có chức đăng ký với hệ thống Snort module đầu có từ khóa Personal_fw Từ khóa cấu hình file cấu hình Snort.conf Cã tham sè cho module nµy lµ : ã Tham số kích hoạt đầu : yes no ã Cổng kết nối Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 117 - ã Mật dùng để truy xuất vào tường lửa cá nhân VÝ dơ : output personal_fw:yes 9379 password Hµm PersonalFWSetup sÏ gọi thông qua hàm InitOutputPlugins hệ thống Snort khởi tạo Snort bắt đầu chạy Đối với từ khóa ps_fw sử dụng tập luật đăng ký qua hàm RegisterPlugin Cú pháp từ khóa sau: ps_fw:who,time Ví dụ: ps_fw:src,15min: Cấm địa nguồn vòng 15 phút 5.3.2 Thiết lập tham số Tham số nhận file cấu hình Snort.conf hàm PersonalFWInit phân tích thiết lập biến đáp trả Tham số nhận tập luật hàm PersonalFWOptionInit xử lý phân rà tham số 5.3.2 Hành động đáp trả đột nhập Hành động đáp trả hàm PersonalFW gửi cho Personal Firewall thông qua tham số cổng địa máy công Thông tin gửi cho Personal Firewall bao gồm hành động, địa thời gian Điều cho phép firewall sớm ngăn chặn công mạng 5.4 Tường lửa cá nhân (Personal Firewall) Chương trình viết dạng service chạy Windows 2000 trở lên Chương trình sử dụng cách thức móc nối (hook) vào thiết bị điều khiển NDIS Windows Chương trình viết ngôn ngữ Visual C++ 6.0 ngôn ngữ C++ cho phép viết chương trình cấp thấp (chế độ thiết bị điều khiển chế độ nhân), đồng thời phát triĨn, më réng cho nhiỊu hƯ thèng kh¸c Sư dơng công cụ phát triển lập trình điều khiển DDK 2000 (Driver Development Kit) để thiết lập trình điều khiển Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 118 - kết luận Trong luận văn này, đà đề cập trình bày vấn đề an ninh-an toàn mạng, đưa công nghệ công cụ để giải vấn đề công nghệ tường lửa, công nghệ phát đột nhập Đồng thời đưa giải pháp phối hợp hệ phát đột nhập mạng tường lửa cá nhân Hệ thống cho phép đảm bảo an ninh-an toàn mạng cho mạng dùng riêng ưu điểm hệ thống là: - Phát công đoạn mạng nhờ vào ph¸t hiƯn cđa hƯ thèng NIDS Snort - Bỉ xung tính firewall cho máy trạm giúp chống lại công từ bên bên mạng - Hiệu kinh tế cao - Hệ thống giúp cho người quản trị mạng phòng chống, phân tích đột nhập Từ vấn đề phân tích trên, hệ thống tương lai phát triển theo công nghệ phòng chống đột nhập IPS (Intrusion Prevention System) Không dừng lại tính phát hiện, hệ thống IPS cho phép ngăn chặn công qua mạng (tương đương với IDS Firewall) Đồng thời phải ý phát triển hệ thống sau: - Tiếp cận xây dựng công nghệ quét tìm lỗ hỗng an ninh cho mạng Nghiên cứu tìm lỗ hổng trước lỗ hổng bị hacker tìm Điều cho phép ngăn chặn công từ sớm Đây vấn đề quan trọng mà yêu cầu thương mại điện tử phủ điện tử đặt Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 119 - - Phát triển thuật toán xây dựng công cụ an ninh-an toàn mạng phù hợp với xu hướng phát triển mạng GIGA, Wireless - Nghiên cứu phát triển công cụ an ninh-an toàn mạng giao thức IP hệ IPv6 Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 - 120 - Tài liệu tham khảo Mạng máy tính hệ thống mở - Nguyễn Thúc Hải Snort 2.0 Intrusion Detection - Syngress Intrusion Detection with SNORT - Advanced IDS Techniques Using SNORT, Apache, MySQL, PHP, and ACID Hack Proofing Your Network - McGraw-Hill Network Programming for Microsoft Windows - Microsoft Press TCP IP Tutorial and Technical Overview - IBM Red book The Windows 2000 Device Driver Book A Guide for Programmers (2nd Edition) - e-Hall Programming the microsoft windows driver model 2nd ED - MS Press Building Internet Firewalls - OReilly 10 Hacking Exposed - McGraw-Hill 11 http://www.snortsam.net 12 http://www.codeproject.com 13 http://www.codeguru.com 14 http://sourceforge.net 15 http://ntdev.h1.ru 16 http://www.snort.org Học viên - Nguyễn Thế Thịnh - CH ĐTVT 2003 ... điểm yếu an ninh an toàn mạng IP 44 2.1 Đánh giá điểm yếu an ninh -an toàn mạng IP 44 2.1.1 T¹i m¹ng IP có nhiều điểm yếu an ninh -an toàn? 44 2.1.2 Các điểm yếu an ninh -an toµn ... 4.6.1 Khái niệm hệ phát đột nhập mạng 82 4.6.2 Mét sè dạng công mà IDS phát 85 4.6.3 C¸ch bè trÝ hệ phát đột nhập đoạn mạng bảo vệ 86 4.6.4 Ưu điểm hệ phát đột nhập mạng 87... 59 3.2.3 An toµn hƯ thèng (System Security) 60 3.3 Thùc hiÖn an ninh -an toàn mạng IP 62 3.4 Các thủ tục an ninh -an toàn 63 3.5 Công nghệ an ninh -an toàn IP