BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - VŨ ĐÌNH LUÂN PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT MÁY TÍNH Hà Nội – Năm 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - VŨ ĐÌNH LUÂN PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP Chuyên ngành : KỸ THUẬT MÁY TÍNH LUẬN VĂN THẠC SĨ KỸ THUẬT KỸ THUẬT MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS TS NGUYỄN LINH GIANG Hà Nội – Năm 2018 LỜI CẢM ƠN Trước tiên em xin gửi lời cảm ơn sâu sắc tới thầy PGS.TS Nguyễn Linh Giang, người tận tình hướng dẫn giúp đỡ em để hồn thành luận văn tốt nghiệp Em xin bày tỏ lịng biết ơn chân thành tới thầy giáo Bộ mơn Truyền Thơng Mạng Máy Tính nói riêng, thầy cô Viện Công Nghệ Thông Tin Truyền Thông Đại Học Bách Khoa Hà Nội nói chung, giảng dạy truyền đạt cho em kiến thức hữu ích để em hồn thành tốt môn học trường Cuối cùng, dù nỗ lực thực luận văn kiến thức thiết bị hạn chế nên khơng thể tránh khỏi thiếu sót Em kính mong thầy giáo bạn sinh viên đóng góp ý kiến đề tài ngày hồn thiện Học viên thực Vũ Đình Ln i LỜI CAM ĐOAN Em xin cam đoan kết đạt luận văn sản phẩm riêng cá nhân em hướng dẫn PGS TS Nguyễn Linh Giang không chép Những điều trình bày tồn nội dung luận văn, cá nhân tổng hợp từ nhiều nguồn tài liệu Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Em xin hoàn toàn chịu trách nhiệm theo quy định cho lời cam đoan Hà Nội, ngày 28 tháng 01 năm 2018 Người cam đoan Vũ Đình Luân ii MỤC LỤC Chương Giới thiệu chung an ninh mạng 1.1 Vai trò Internet 1.1.1 Nguồn gốc hình thành Internet 1.1.2 Vai trò Internet 1.2 Sự cần thiết an ninh mạng Chương Các hình thức cơng mạng 2.1 Trình tự công 2.1.1 Xác định mục tiêu sống hay chết 2.1.2 Thu thập thông tin mục tiêu (Reconnaissance attacks) 10 2.1.3 Xâm nhập hệ thống mục tiêu (Access attacks) 13 2.1.4 Phá hoại ( Destroit attack) 14 2.2 Các hình thức công mạng 15 2.2.1 Host attack 15 2.2.2 Network attack 21 Chương Giới thiệu thiết bị IPS Cisco 24 3.1 Giới thiệu hệ thiết bị bảo mật 24 3.2 Chính sách bảo mật 28 3.2.1 Vai trị sách bảo mật 29 3.2.2 Thành phần sách bảo mật 29 3.3 Phần cứng thiết bị Cisco IPS 30 3.3.1 Cisco ASA 5500 Series IPS Edition 30 3.3.2 Cisco IPS 4200 series sensors 34 3.4 Phần mềm hệ điều hành Cisco IOS 38 iii 3.4.1 Giới thiệu chung 38 3.4.2 Các thành phần IOS IPS 40 3.5 Hoạt động Cisco IPS 48 3.5.1 Quá trình lọc tin 49 3.5.2 Quá trình kiểm tra dấu hiệu 49 3.5.3 Đáp ứng lại công 50 3.5.4 Báo cáo Cisco IPS 51 3.6 Mơ hình Cisco sử dụng IPS 52 Chương Triển khai sử dụng IPS để ngăn chặn công mạng 54 4.1 Giới thiệu 54 4.2 Triển khai xâm nhập vào server ngăn chặn xâm nhập IPS 54 4.2.1 Yêu cầu: 54 4.2.2 Mơ hình kịch cơng 54 4.2.3 Các bước tiến hành 55 4.2.4 Kết 62 Chương Kết luận 64 iv DANH SÁCH CÁC HÌNH Hình 2.1.1.1 Cấu trúc gói tin IP v4 .7 Hình 2.1.1.2 Ví dụ sử dụng lệnh ping Hình 2.1.2.1 Kết capture gói tin 11 Hình 2.1.2.2 Sau số cơng đoạn giải mã thu user pass 12 Hình 2.1.3 Phần mềm khai thác lỗ hổng Metasploit 14 Hình 2.2.1.1 Các tùy chọn lệnh ping 16 Hình 2.2.1.2.1 Cấu trúc IP với trường offset 17 Hình 2.2.1.2.2 Nguyên tắc công Teardrop 18 Hình 2.2.1.3.1 Giao thức bắt tay bước kết nối TCP 18 Hình 2.2.1.3.2 Nguyên tắc công SYN attack .19 Hình 2.2.2.1 Ngun tắc cơng Smurf Attack .22 Hình 2.2.2.2 Nguyên tắc công DDoS 23 Hình 3.1.1 Sự gia tăng hình thức cơng mạng 24 Hình 3.1.2 Mơ hình sử dụng firewall .25 Hình 3.1.3 Mơ hình sử dụng IDS .26 Hình 3.1.4 Mơ hình sử dụng IPS 26 Hình 3.2.1 Các sách an ninh mạng 28 Hình 3.2.2 Sơ đồ minh họa mạng Campus 30 Hình 3.3.1 Giải pháp công nghệ sử dụng ASA 5500 IPS Edition .31 Hình 3.3.1.1 Giải pháp tổng thể sử dụng Cisco ASA 5500 IPS Edition 32 Hình 3.3.1.2.1 Giải pháp bổ sung tích hợp vào Cisco ASA 5500 IPS Edition 32 Hình 3.3.1.2.2 Bảng order components dành cho ASA 5500 Series 33 Hình 3.3.1.3 Các thiết bị chuẩn ASA 5500 IPS Series .33 Hình 3.3.2.1.1 Sơ đồ triển khai IPS 35 Hình 3.3.2.1.2 Thang đánh giá hiệu Cisco IPS .36 Hình 3.3.2.2 Các lựa chọn bổ sung 36 Hình 3.3.2.3 Thơng số kỹ thuật Cisco IPS chuẩn 37 Hình 3.4.1.1 Mối quan hệ IOS Cisco 38 v Hình 3.4.1.2 Mơ hình kỹ thuật Flooding 39 Hình 3.4.1.3 Mơ hình kỹ thuật Fragmentation 40 Hình 3.4.1.4 Mơ hình kỹ thuật mã hóa Encryption 40 Hình 3.4.2.2.1 Các dạng Engine công dụng 42 Hình 3.4.2.2.3 Dạng Flood Engine 43 Hình 3.4.2.2.4 Cấu trúc Meta Engine 44 Hình 3.4.2.2.5 Dạng Service Engine 45 Hình 3.4.2.2.6 Dạng String Engine 45 Hình 3.4.2.2.7 Dạng Sweep Engine 45 Hình 3.4.2.2.8 Dạng Trojan Engine 46 Hình 3.4.2.2.9 Dạng AIC Engine .46 Hình 3.4.2.4 Đặc tính cơng nghệ mạng tự bảo vệ Cisco 47 Hình 3.5.4 Minh họa thơng báo kiện Cisco IPS 51 Hình 3.6.2 Mơ hình bảo vệ Host IPS .53 Hình 3.6.3 Mơ hình bảo vệ Network IPS 53 Hình 4.2.2: Mơ hình mạng sử dụng IPS Cisco 54 Hình 4.2.3.1 DNS Server 2003 55 Hình 4.2.3.2 Windows XP 56 Hình 4.2.3.3 DNS Server 2003 56 Hình 4.2.3.4 Giao diện Metasploit 58 Hình 4.2.3.5 Khai thác lỗ hổng Metasploit 58 Hình 4.2.3.6 Xâm nhập thành công DNS Server 60 Hình 4.2.2.1 Trước sử dụng IPS 62 Hình 4.2.2.2 Sau triển khai sử dụng IPS .63 vi DANH SÁCH CÁC TỪ VIẾT TẮT Advanced Research Projects Agency – ARPA Wide area Network – WAN Local Area Network – LAN Internet Services Provider – ISP Network Address Translation – NAT Intrusion Detection System – IDS vii LỜI NÓI ĐẦU Thế giới ngày bước vào kỷ nguyên cách mạng 4.0 mà Internet trở thành thành phần thiếu đời sống xã hội Mọi người nơi đâu du lịch, mua bán, trao đổi, học hỏi,… với hầu hết nơi giới Với lượng thông tin lớn trao đổi thường xuyên Internet, việc cần đảm bảo hoạt động ổn định hệ thống tham gia Internet, ngăn chặn việc công đột nhập trái phép vào hệ thống quan trọng Chính thế, vấn đề an ninh mạng đặt thách thức lớn hết gần đây, công phá hoại mạng diễn với số lượng độ nguy hiểm ngày gia tăng, trình độ hacker ngày cao Vì thế, cần có thiết bị đặc dụng để bảo mật thông tin, đảm bảo an toàn cho hệ thống đứng vững trước đợt công Trong khuôn khổ luận văn này, em xin trình bày hình thức công mạng phương pháp ngăn chặn xâm nhập thiết bị Intrusion Prevention Service (IPS) Cisco với chương sau: ▪ Chương Giới thiệu chung an ninh mạng Chương giới thiệu khái quát lịch sử đời, vai trò Internet mối nguy hiểm Internet đem lại ▪ Chương Các hình thức cơng mạng Chương giới thiệu quy trình đợt cơng mạng hình thức đợt công mạng ▪ Chương Giới thiệu thiết bị IPS Cisco Chương giới thiệu dòng thiết bị IPS Cisco phần mềm phần cứng thiết bị ▪ Chương Triển khai sử dụng IPS để ngăn chặn công mạng Chương triển khai công ngăn chặn công IPS Cisco ▪ Chương Kết luận 3.5.4 Báo cáo Cisco IPS Mặc định Cisco IPS tạo báo động dấu hiệu bị kích hoạt Các thiết lập mặc định hồn tồn tắt Các giám sát ứng dụng ngồi kéo theo báo động từ sensor thông qua SDEE (Security Devices Event Exchange – giao thức để thiết bị bảo mật ghi lại kiện) Các cảnh báo có mức độ: • Thơng tin • Thấp • Trung bình • Cao Các mức độ chia dựa vào cấp độ dấu hiệu bị kích hoạt Hình 3.5.4 Minh họa thơng báo kiện Cisco IPS 51 3.6 Mơ hình Cisco sử dụng IPS Dựa vào tính đây, thấy IPS Cisco thiết bị có khả bảo mật cao Tuy nhiên lý thuyết chưa chứng minh thực tế Cần phải có mơ hình áp dụng thực tế kiểm tra khả bảo mật Cisco IPS Để sử dụng IPS cách hiệu cần áp dụng sách bảo mật yêu cầu bảo mật Một sách bảo mật hiệu sách mở ln cải tiến qua chu kỳ Điều nghĩa phải thay phần cứng thời kỳ mà thay đổi thủ tục hay sách an ninh nguy điểm yếu hệ thống Một điều quan trọng cần nhớ bảo đảm an ninh mạng trình liên tục dựa sách an ninh mạng Dựa vào sách bảo mật việc nghiên cứu cách thức công mạng, Cisco đưa mơ hình sử dụng IPS sau: • Host – IPS: với mơ hình bảo vệ này, IPS đáp ứng đầy đủ yêu cầu bảo vệ host block hoạt động đoạn mã độc, khơng ngăn cản hoạt động bình thường, phân biệt xác hoạt động cơng hoạt động bình thường, ngăn chặn đợt công phương thức công chưa biết tới Với mơ hình này, cần IPS đứng biên mạng Internet Intranet, đóng vai trị gần giống Firewall có kèm tính IPS 52 Hình 3.6.2 Mơ hình bảo vệ Host IPS • Network – IPS: với mơ hình bảo vệ này, IPS nằm biên, nằm lùi sau Firewall IPS phát huy đầy đủ mạnh mình, bảo vệ nội tuyến in-line, cảnh báo cho Server Management, ghi lại kiện, reset kết nối TCP Hình 3.6.3 Mơ hình bảo vệ Network IPS Ở chương sau, em xin trình bày q trình cơng ngăn chặn IPS để kiểm tra khả IPS 53 Chương Triển khai sử dụng IPS để ngăn chặn công mạng 4.1 Giới thiệu IPS thiết bị sử dụng linh hoạt Đây cơng nghệ nên phù hợp cho vị trí cần áp dụng Tùy theo mục đích sử dụng, triển khai IPS theo mơ hình Host Instrusion Prevention (HIPS) theo mơ hình Network Intrusion Prevention (NIPS) Trong khn khổ luận văn này, em xin trình bày hình thức cơng bảo vệ theo mơ hình HIPS, cịn mơ hình NIPS cần phải huy động số lượng tối thiểu máy tính để thực điều kiện thiết bị không cho phép nên em chưa thực mô hình 4.2 Triển khai xâm nhập vào server ngăn chặn xâm nhập IPS Lỗ hổng DNS lỗ hổng Microsoft cảnh báo nghiêm trọng vào năm 2008 Thơng qua lỗ hổng này, hacker hồn tồn chiếm quyền điều khiển server thực công giả mạo DNS 4.2.1 Yêu cầu: • server chạy hệ điều hành Windows Server 2003 SP1/ SP2 có DNS Server, chưa cập nhật vá lỗ hổng DNS • PC client chạy hệ điều hành Windows XP có phần mềm khai thác lỗ hổng Metasploit • Router ảo chạy IOS thật hỗ trợ tính IPS 4.2.2 Mơ hình kịch cơng - Mơ hình mạng: Hình 4.2.2: Mơ hình mạng sử dụng IPS Cisco 54 - Kịch công: Trong phần công này, em sử dụng tool Metasploit để khai thác lỗ hổng DNS dịch vụ DNS chạy Windows Server Hacker máy tính nằm mạng LAN với server công để chiếm quyền điểu khiến Server Sau đó, kích hoạt IPS Router để kiểm tra cơng nghệ bảo vệ inline Cisco IPS, ngăn chặn cơng từ Hacker 4.2.3 Các bước tiến hành • Xây dựng Server ảo chạy dịch vụ DNS sử dụng hệ điều hành Windows Server 2003 Service Pack Hình 4.2.3.1 DNS Server 2003 • Dựng PC ảo chạy Windows XP có chương trình khai thác lỗ hổng Metasploit 3.1 - PC ảo chạy Windows XP: 55 Hình 4.2.3.2 Windows XP - Cài đặt Metasploit Framework 3.1 PC: Hình 4.2.3.3 DNS Server 2003 56 • Cấu hình Router ảo sử dụng IOS thật theo mơ sau: - Cấu hình Router: Router(config) hostname IPS-Router IPS-Router(config) banner login This is IPS Router - Configured by Luan ! interface Gi 0/0 description Ket_noi_VMnet2 ip address 192.168.1.1 255.255.255.0 no shut ! interface Gi 0/1 description Ket_noi_VMnet3 ip address 192.168.2.1 255.255.255.0 no shut ! End • Triển khai khai thác lỗ hổng xem kết - Khởi động chương trình Metasploit: 57 Hình 4.2.3.4 Giao diện Metasploit - Click chuột lên vùng khoanh, gõ chữ DNS Enter, chương trình tìm lỗi (bug) DNS hệ điều hành Windows Server 2003 Double click lên dòng: msdns_zonename Microsoft DNS RPC Service extractQuotedChar() Overflow (TCP) Hình 4.2.3.5 Khai thác lỗ hổng Metasploit 58 - Màn hình “Microsoft DNS RPC Service extractQuotedChar() Overflow (TCP)” xuất Click phím mũi tên xuống, chọn dòng: Windows 2003 Server SP1-SP2 English Nhấn Forward - Nhấn lên phím mũi tên, chọn dịng Windows/shell/reverse_tcp, sau nhấn Forward - Khai báo địa IP máy cần xâm nhập dòng RHOST IP máy dịng LHOST Các thơng số khác giữ nguyên Sau khai báo xong, nhấn Forward 59 - Nhấn phải chuột session vừa xuất ➔ - Đã xâm nhập máy Windows Server thành công, giao diện chọn Interact Session máy: Hình 4.2.3.6 Xâm nhập thành cơng DNS Server 60 - Test thử command line: • Cấu hình tính IPS Router: Tạo danh mục cấu hình IPS IPS-Router(config) mkdir ipsdir Create directory filename [ipsdir]? Create dir flash: ipsdir Tạo nơi lưu trữ file cấu hình IPS-Router(config) ip ips conf locat flash:ipsdir Tạo rule IPS IPS-Router(config) ip ips name luan_ips IPS-Router(config) ip ips signature-category IPS-Router(config-ips-category)#category all IPS-Router(config-ips-category-action)#retired true IPS-Router(config-ips-category-action)#exit IPS-Router(config-ips-category)#category ios_ips basic IPS-Router(config-ips-category-action)#retired false IPS-Router(config-ips-category-action)#exit Do you want to accept these changes? [confirm] Applying Category configuration to signatures 61 Áp dụng vào cổng Gi 0/0 Router IPS-Router(config) interface Gi 0/0 IPS-Router(config-if) ip ips luan_ips in IPS-Router(config-if)ip ips luan_ips out End ! • So sánh kết với chưa triển khai IPS 4.2.4 Kết Trước sử dụng IPS, server dễ dàng bị hacker chiếm quyền điều khiển tài khoản Administrator: Hình 4.2.2.1 Trước sử dụng IPS Sau triển khai IPS, server bảo vệ an toàn, đợt công hacker không thành công công bị chuyển vào vùng xám (cổng ảo IPS) trả cho hacker lỗi kết nối: 62 Hình 4.2.2.2 Sau triển khai sử dụng IPS Dựa vào kết đợt công thử trên, thấy hiệu IPS sử dụng để làm thiết bị bảo mật cho hệ thống 63 CHƯƠNG KẾT LUẬN Bằng kết đây, thấy Cisco IPS thiết bị loại bỏ nhược điểm thiết bị bảo mật cũ, ngăn chặn giảm thiểu hầu hết nguy cơng xâm nhập mạng Đây thiết bị triển khai linh hoạt nhiều vị trí khác để thực nhiệm vụ khác tùy thuộc vào yêu cầu triển khai Mặc dù giá thành cao Cisco IPS chứng tỏ khả bảo mật tốt thơng qua kết hợp hiệu phần cứng phần mềm Tuy nhiên điều kiện hạn chế, em chưa đủ khả để triển khai đợt công mạnh DDoS để kiểm tra khả thực Cisco IPS Luận văn tiếp tục phát triển cách khai thác triệt để khả ngăn chặn công mạng Cisco IPS lỗ hổng chưa vá kịp thời Cisco IPS đảm bảo lỗ hổng vá tạm thời vá lỗ hổng cập nhật Bên cạnh đó, thử nghiệm cơng bảo vệ theo mơ hình NIPS để kiểm tra hiệu bảo vệ hệ thống mạng Cisco IPS 64 TÀI LIỆU THAM KHẢO ▪ Giáo trình CCNA Security Học viện CNTT Bách Khoa ▪ Giá trình CCNA Học viện CNTT Bách Khoa ▪ Tổng hợp câu lệnh cấu hình CCNA 4.0 – VnExperts ▪ Khai thác lỗ hổng Windows Server 2003, Nhất Nghệ Open LAB forum ▪ Cisco IOS IPS ▪ Cisco ASA 5500 Series IPS Edition for the Enterprise ▪ Cisco IOS IPS Data Sheet ▪ Cisco IPS 4200 Series Sensors ▪ Implementing Cisco Intrusion Prevention Systems (IPS) 5.0 ▪ Intrusion Prevention Fundamentals; By Earl Carter, Jonathan Hogue; Publisher: Cisco Press; Pub Date: January 18, 2006 ▪ RFC 2196 site security handbook ▪ http://www.cisco.com với từ khóa liên quan ▪ Các công cụ: o Metasploit: http://www.metasploit.com o Wireshark: https://www.wireshark.org/ o Shell Konsole: https://konsole.kde.org/ o Vmware: https://www.vmware.com/ o GNS3: https://www.gns3.com/ 65 ...BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - VŨ ĐÌNH LUÂN PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP TRÁI PHÉP Chuyên ngành : KỸ THUẬT MÁY TÍNH LUẬN... 52 Chương Triển khai sử dụng IPS để ngăn chặn công mạng 54 4.1 Giới thiệu 54 4.2 Triển khai xâm nhập vào server ngăn chặn xâm nhập IPS 54 4.2.1 Yêu cầu: 54... xuyên Internet, việc cần đảm bảo hoạt động ổn định hệ thống tham gia Internet, ngăn chặn việc công đột nhập trái phép vào hệ thống quan trọng Chính thế, vấn đề an ninh mạng đặt thách thức lớn hết