Giải pháp phát hiện và ngăn chặn xâm phạm mạng máy tính (tt)

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Văn Phú GIẢI PHÁP PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP MẠNG MÁY TÍNH LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2013 LỜI MỞ ĐẦU Ngày nay, hệ thống mạng máy tính trở nên phổ biến hầu hết hoạt động xã hội, tác động trực tiếp đến kỹ thuật kinh tế nước ta Tuy nhiên, mạng máy tính phải đương đầu với nhiều thách thức, ngày xuất nhiều cá nhân, nhóm chí tổ chức hoạt động với mục đích xấu nhằm phá hoại hệ thống mạng máy tính, hệ thống thông tin, gây tác hại vô to lớn đến tính an tồn bảo mật thơng tin hệ thống Việc phát ngăn chặn xâm nhập mạng máy tính chủ đề quan tâm nghiên cứu phát triển ứng dụng mạnh mẽ Phát ngăn chặn hiểu xác định xâm nhập ngăn chặn cách nhanh xảy Khơng có phương pháp phát truy nhập trái phép hoàn hảo kĩ thuật xâm nhập luôn đổi phương pháp phát xâm nhập biết đến kẻ xâm nhập sửa chiến lược thử kiểu xâm nhập Chính vấn đề an ninh mạng quan tâm đặc biệt như: vấn đề bảo mật mật khẩu, chống lại truy cập bất hợp pháp, chống lại virus máy tính… Đó lý em chọn đề tài “Giải pháp phát ngăn chặn xâm nhập mạng máy tính” nhằm phục vụ cho mục đích thực tế Mục đích nhiệm vụ nghiên cứu: - Các nguy truy cập hệ thống thông tin tin học bất hợp pháp - Các phương pháp phát xâm nhập sâu vào nghiên cứu phương pháp sử dụng phần mềm mã nguồn mở Snort để phát hành vi gian lận cách tự động dựa dấu hiệu bất thường so với tập luật định nghĩa sẵn - Đề xuất giải pháp kỹ thuật ngăn chặn truy cập hệ thống thông tin tin học bất hợp pháp Phạm vi nghiên cứu: - Các nguy truy cập bất hợp pháp kiểu công vào Hệ thống thông tin - Phương pháp phát xâm nhập mạng máy tính - Thử nghiệm giải pháp phát thâm nhập Phương pháp nghiên cứu, cách tiếp cận - Nghiên cứu tài liệu, báo ngồi nước có liên quan đến phương pháp phát xâm nhập mạng, đặc biệt phương pháp sử dụng phần mềm mã nguồn mở Snort để phát xâm nhập mạng máy tính - Lựa chọn tiến hành cài đặt thử nghiệm giải pháp cụ thể CHƢƠNG 1: VẤN ĐỀ AN NINH, AN TỒN HẾ THỐNG THƠNG TIN 1.1 Hệ thống thông tin nguy truy cập bất hợp pháp 1.1.1 Hệ thống thông tin Hệ thống thông tin (Information System) tập hợp kết hợp phần cứng, phần mềm hệ mạng truyền thông xây dựng sử dụng để thu thập, tạo, tái tạo, phân phối chia sẻ liệu, thông tin tri thức nhằm phục vụ mục tiêu tổ chức Các tổ chức sử dụng hệ thống thơng tin với nhiều mục đích khác nhau: - Với bên trong, hệ thống thông tin phục vụ việc việc quản trị nội bộ, hệ thống thông tin giúp đạt liên kết trao đổi thông tin nội bộ, thống hành động, trì sức mạnh tổ chức, đạt lợi cạnh tranh - Với bên ngồi, hệ thống thơng tin giúp nắm bắt nhiều thông tin khách hàng cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển 1.1.2 Các nguy an toàn Một người hay nhóm người muốn truy cập vào hệ thống thơng tin gọi chung Hacker lý hay lý khác Dưới số lý có thể: - Đơn giản truy cập vào hệ thống thống thông tin đọc tìm kiếm thơng tin - Chỉ tị mị, giải trí muốn thể khả cá nhân - Để xem xét chung chung gửi cảnh báo đến người quản trị hệ thống - Để ăn cắp tài nguyên hệ thống thông tin như: thơng tin tài khoản ngân hàng, bí mật thương mại, bí mật quốc gia thơng tin độc quyền, - Phát động chiến tranh thông tin mạng, làm tê liệt mạng 1.1.2.1 Các hiểm họa an tồn hệ thống thơng tin: Các hiểm hoạ an tồn hệ thống thơng tin phân loại thành hiểm hoạ vơ tình hay cố ý; hiểm hoạ chủ động hay thụ động Hiểm họa vơ tình (Unintentional Threat): Khi người sử dụng tắt nguồn hệ thống khởi động lại, hệ thống chế độ single - user (đặc quyền) - người sử dụng làm thứ muốn hệ thống Hiểm họa cố ý (Intentional Threat): Có thể xảy liệu mạng máy tính cá nhân thơng qua cơng tinh vi có sử dụng kiến thức hệ thống đặc biệt Ví dụ hiểm họa cố ý: cố tình truy nhập sử dụng mạng trái phép (Intentional Unauthorized use of corporate network) Hiểm hoạ thụ động (Passive Threat): Không phải kết việc sửa đổi thơng tin có hệ thống, thay đổi hoạt động tình trạng hệ thống 1.1.2.2 Các yêu cầu cần bảo vệ hệ thống thông tin: Mục tiêu cuối trình bảo mật thơng tin nhằm bảo vệ ba thuộc tính thơng tin: Tính bí mật (Confidental): Thơng tin xem người có thẩm quyền Lý cần phải giữ bí mật thơng tin sản phẩm sở hữu tổ chức đơi thông tin khách hàng tổ chức Những thơng tin phải giữ bí mật theo điều khoản tổ chức khách hàng tổ chức Tính tồn vẹn (Integrity): Thơng tin phải không bị sai hỏng, suy biến hay thay đổi Thông tin cần phải xử lý để cách ly khỏi tai nạn thay đổi có chủ ý Tính sẵn sàng (Availability): Thông tin phải giữ trạng thái sẵn sàng cung cấp cho người có thẩm quyền họ cần 1.1.2.3 Các biện pháp đảm bảo an tồn hệ thống thơng tin: Mỗi tổ chức cần có quy tắc quản lý riêng bảo mật hệ thống thơng tin hệ thống Có thể chia quy tắc quản lý thành số phần: - Quy tắc quản lý hệ thống máy chủ - Quy tắc quản lý hệ thống máy trạm An toàn thiết bị - Tuân thủ chế độ bảo trì định kỳ thiết bị 1.2 Các kỹ thuật công mạng 1.2.1 Các kỹ thuật bắt thông tin 1.2.1.1 Nguyên lý hoạt động Sniffers Một số tính Sniffer sử dụng theo hướng tích cực tiêu cực: - Tự động chụp tên người sử dụng (Username) mật khơng mã hố (Clear Text Password) Tính thường Hacker sử dụng để công hệ thống - Chuyển đổi liệu đường truyền để quản trị mạng đọc hiểu ý nghĩa liệu - Bằng cách nhìn vào lưu lượng hệ thống cho phép quản trị mạng phân tích lỗi mắc phải hệ thống lưu lượng mạng Ví dụ như: Tại gói tin từ máy A khơng thể gửi sang máy B… 1.2.1.2 Phân loại Sniffing Sniffing thụ động: Hình 1.1: Sniffing thụ động Sniffing chủ động: Đây loại Sniffing lấy liệu chủ yếu qua Switch, khó thực dễ bị phát Hacker thực loại Sniffing sau: Hacker kết nối đến Switch cách gửi địa MAC nặc danh Switch xem địa kết hợp với khung (Frame) Máy tính LAN gửi liệu đến cổng kết nối Hình 1.2: Sniffing chủ động 1.2.2 Kỹ thuật công từ chối dịch vụ DoS DDoS 1.2.2.1 Tấn công từ chối dịch vụ DoS Tấn công từ chối dịch vụ chia làm hai loại công: - Tấn công DoS (Denial of Service): Tấn công từ cá thể hay tập hợp cá thể Các dạng công DoS: - Smurf - Buffer Overflow Attack - Ping of Death - Teardrop - SYN Attack 1.2.2.2 Tấn công từ chối dịch vụ DDoS Điều làm cho hệ thống nạn nhân bị tải dẫn đến tình trạng tràn hệ thống, người dùng hợp pháp truy cập tài nguyên dịch vụ bị từ chối Hình 1.3: Tấn cơng DDoS 1.3 Kết luận Mối đe dọa hậu tiềm ẩn thông tin giao dịch điện tử lớn Nguy rủi ro thông tin giao dịch điện tử thể tiềm ẩn nhiều khía cạnh khác như: người sử dụng, kiến trúc hệ thống công nghệ thơng tin, sách bảo mật thơng tin, cơng cụ quản lý kiểm tra, quy trình phản ứng Trong năm gần tội phạm công nghệ cao ngày gia tăng, vấn đề nghiên cứu giải pháp nhằm đảm bảo an tồn thơng tin, bảo mật liệu giao dịch điện tử qua môi trường mạng trở nên cấp thiết Mặc dù có nhiều giải pháp nghiên cứu phát triển, nhiều sản phẩm công nghệ nghiên cứu ứng dụng, nhiên vấn vấn đề thời thách thức Giải pháp an ninh dựa dấu hiệu hướng nghiên cứu giới quan tâm phát triển áp dụng CNTT phát triển đấu tranh bảo đảm an ninh, an tồn thơng tin cịn tiếp tục liệt hơn, phần nghiên cứu phương pháp phát ngăn chặn xâm nhập CHƢƠNG 2: PHƢƠNG PHÁP PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 2.1 Hệ thống phát ngăn chặn xâm nhập 2.1.1 Giới thiệu IDS IDS hệ thống giám sát lưu thơng mạng để từ tìm hoạt động khả nghi đưa cảnh báo cho hệ thống người quản trị Ngoài ra, IDS đảm nhận việc phản ứng lại lưu thơng bất thường hay có hại hành động thiết lập từ trước 2.1.2 Chức IDS Chức chính: Chức quan trọng hệ thống IDS giám sát, cảnh báo bảo vệ - Giám sát: Giám sát lưu lượng mạng, hành động bất thường hoạt động khả nghi - Cảnh báo: Khi biết hoạt động bất thường (hoặc nhóm) truy cập đó, IDS đưa cảnh báo cho hệ thống người quản trị - Bảo vệ: Dùng thiết lập mặc định cấu hình từ người quản trị để có hành động chống lại kẻ xâm nhập phá hoại Nơi đặt IDS: Hình 2.1: Nơi đặt IDS Phân loại IDS +) Network Based IDS (NIDS): NIDS đặt mạng thành phần đường truyền thường đặt sau Firewall để phát xâm nhập trái phép từ Internet cho toàn hệ thống mạng nội Hoặc NIDS đặt phân vùng mạng có nguy công cao mà cần phải bảo vệ, Ví dụ phân vùng DMZ, hay phân vùng đặt sở liệu phân vùng quan trọng NIDS làm nhiệm vụ phân tích gói tin kiểm tra dấu hiệu công dựa tập dấu hiệu mẫu Nếu phát công, NIDS ghi vào log file gửi cảnh báo, cách thức cảnh báo phụ thuộc vào hệ thống IDS cách cấu hình Ưu điểm NIDS: Cho phép quan sát tồn cá gói tin qua mạng phân vùng mạng Nó hồn tồn suốt với người sử dụng khơng làm ảnh hưởng đến hoạt động máy tính cụ thể nào; dễ dàng quản lý, trì hoạt động Hoạt động phát chủ yếu tầng mạng nên độc lập với ứng dụng hệ điều hành sử dụng máy tính mạng Hạn chế NIDS: Thường có nhiều báo động nhầm NIDS khơng có khả phát cơng dịng liệu mã hóa VPN, SSL, IPSec Có thể xảy tượng thát cổ chai lưu lượng mạng hoạt động mức cao Hình 2.2: Hệ thống phát xâm nhập NIDS +) Host Based IDS (HIDS): Ưu điểm HIDS: Phát cơng cách xác dịch vụ máy tính Cho phép ghi lại diễn biến công Có khả phân tích liệu mã hóa 11 hành động xâm nhập Những file dấu hiệu sử dụng phương pháp phát sử dụng sai tương tự file dấu hiệu phần mềm diệt virus 2.4.1.2 Một số phương pháp Có hai phương pháp kết hợp phát dấu hiệu này: Việc kiểm tra vấn đề gói lớp thấp – nhiều loại cơng khai thác lỗ hổng gói IP, TCP, UDP ICMP Với kiểm tra đơn giản tập cờ gói đặc trưng hồn tồn phát gói hợp lệ, gói khơng Khó khăn phải mở gói lắp ráp chúng lại Tương tự, số vấn đề khác liên quan với lớp TCP/IP hệ thống bảo vệ Thường kẻ cơng hay sửdụng cách mở gói để băng qua nhiều công cụ IDS Các phương pháp phát dấu hiệu có số ưu điểm đây: tỉ lệ cảnh báo sai thấp, thuật toán đơn giản, dễ dàng tạo sở liệu dấu hiệu công, dễ dàng bổ sung tiêu phí hiệu suất tài nguyên hệ thống tối thiểu 2.4.1.3 Phân tích ưu, nhược điểm Những ích lợi việc dựa dấu hiệu Những file dấu hiệu tạo nên từ hoạt động phương pháp cơng biết, có trùng lặp xác suất xảy công cao Phát sử dụng sai có cảnh báo nhầm (false positive report) kiểu phát bất thường Phát dựa dấu hiệu không theo dõi mẫu lưu lượng hay tìm kiếm bất thường Thay vào theo dõi hoạt động đơn giản để tìm tương xứng dấu hiệu định dạng Đây hạn chế: - Khơng có khả phát công hay chưa biết: Hệ thống IDS sử dụng phát sử dụng sai phải biết trước hoạt động cơng để nhận đợt cơng Những dạng cơng mà chưa biết hay khám phá trước thường khơng bị phát - Khơng có khả phát thay đổi công biết: Những file dấu hiệu file tĩnh tức chúng khơng thích nghi với vài hệ thống dựa bất thường Bằng cách thay đổi cách cơng, kẻ xâm nhập thực xâm nhập mà không bị phát (false negative) 2.4.2 Phát bất thường 12 2.4.2.1 Nguyên lý chung Phát dựa bất thường hay mơ tả sơ lược phân tích hoạt động mạng máy tính lưu lượng mạng nhằm tìm kiếm bất thường Khi tìm thấy bất thường, tín hiệu cảnh báo khởi phát Sự bất thường chệch hướng hay khỏi thứ tự, dạng, ngun tắc thơng thường Chính dạng phát tìm kiếm bất thường nên nhà quản trị bảo mật phải định nghĩa đâu hoạt động, lưu lượng bất thường Nhà quản trị bảo mật định nghĩa hoạt động bình thường cách tạo mơ tả sơ lược nhóm người dùng (user group profiles) Bản mơ tả sơ lược nhóm người dùng thể ranh giới hoạt động lưu lượng mạng nhóm người dùng cho trước Những nhóm người dùng định nghĩa kỹ sư bảo mật dùng để thể chức công việc chung Một cách điển hình, nhóm sử dụng nên chia theo hoạt động nguồn tài nguyên mà nhóm sử dụng Một web server phải có mơ tả sơ lược dựa lưu lượng web, tương tự mail server Bạn chắn không mong đợi lưu lượng telnet với web server khơng muốn lưu lượng SSH đến với mail server bạn Chính lý mà bạn nên có nhiều mô tả sơ lược khác cho dạng dịch vụ có mạng bạn 2.4.2.2 Những hạn chế phương pháp dựa bất thường Những hạn chế: - Thời gian chuẩn bị ban đầu cao - Khơng có bảo vệ suốt thời gian khởi tạo ban đầu - Thường xuyên cập nhật profile thói quen người dùng thay đổi - Cảnh báo nhầm: Những hệ thống dựa bất thường có xu hứng có nhiều false positive chúng thường tìm điều khác thường 2.5 Phƣơng pháp phát bất thƣờng dựa khai phá liệu KPDL có năm giai đoạn lập lại nhiều lần hay nhiều giai đoạn, chúng bao gồm: 13 Hình 2.4: Mơ hình hệ thống phát bất thƣờng sử dụng kỹ thuật KPDL 2.5.1 Môđun lọc tin Dữ liệu cần phân tích chủ yếu lưu file dạng ghi, hệ thống truy cập file để lấy thông tin.Môdun lọc thông tin loại bỏ thông tin thừa, lưu lượng mạng mà hệ thống biết khơng có công Thông thường thông tin cần thiết cho việc phân tích chiếm khoảng 20% đến 25% lượng tin thu thập 2.5.2 Mơđun trích xuất thơng tin Đối với header Ethernet thơng tin trích xuất bao gồm: Packet size, Source address, Destination address, Protocol IP header thơng tin trích xuất bao gồm: Source address, Destination address, Header length, TOS, Packet size, IP Fragment ID, IP Flag & Pointer, TTL, Checksum TCP header gồm: Source port, Destination port, Sequence & ACK Number, Header length, Window size, Checksum 2.5.3 Môđun phát phân tử di biệt - DoS (Denial of Service – Từ chối dịch vụ), ví dụ ping-of-death, teardrop, smurf, SYN flood, vv… - R2L: truy nhập khơng hợp lệ remote từ máy đó, ví dụ đốn mật - U2L: truy nhập khơng hợp lệ user không cấp quyền vào đặc quyền cao hệ thống, ví dụ vụ công ạt cấp độ nhẹ - PROBING: giám sát điều tra, ví dụ port-scan, ping-sweep, vv 2.5.4 Mơđun phản ứng Dựa vào tín hiệu cảnh báo từ môđun phát dị biệt trường hợp có tượng bất thường, mơđun phản ứng đưa biện pháp nhằm ngăn chặn công 14 Như biết môđun phản ứng dựa số kỹ thuật : terminate session – gửi gói tin reset thiết lập lại kênh giao tiếp tới client server, drop attack – dùng firewall để hủy bỏ gói tin, phiên làm việc hay luồng thông tin từ hacker đến victim, Modify firewall polices – tự động cấu hình lại số sách bảo mật có công, Real-time Alerting – gửi cảnh báo thời gian thực đến người quản trị, Log packet: lưu lại thông tin gói tin file log 2.5.5 Mơđun tổng hợp Các môđun tổng hợp sử dụng kỹ thuật Khai phá liệu kỹ thuật Tổng hợp (Summarization) Có nhiều thuật tốn sử dụng kỹ thuật Tổng hợp KPDL thông thường thuật toán tổng hợp dựa yếu tố độ nén tỉ lệ tin Độ nén đại diện cho tính rút gọn liệu, tỉ lệ tin mát thông tin sau sử dụng trình tổng hợp liệu 2.6 Kết luận Hệ thống phát xâm nhập (IDS) hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính tồn vẹn tính sẵn sàng hệ thống Với nhiều ưu điểm như: cảnh báo nhầm, khơng theo dõi mẫu lưu lượng hay tìm kiếm bất thường, theo dõi hoạt động để tìm tương xứng với dấu hiệu định dạng, dễ hiểu dễ định dạng hệ thống phát bất thường Chương sau dùng phương pháp kết hợp với phần mềm mã nguồn mở Snort để tạo hệ thống phát xâm nhập bất hợp pháp 15 CHƢƠNG 3: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP MẠNG MÁY TÍNH THỬ NGHIỆM 3.1 Hệ thống phát xâm nhập mạng dựa mã nguồn mở: snort 3.1.1 Giới thiệu Snort Snort sử dụng với kiểu : -Packet sniffer tcpdump -Packet logger -Hệ thống phát phòng chống xâm nhập hoàn chỉnh - Inline (trong Linux) 3.1.2 Các thành phần Snort: Snort công cụ phát xâm nhập phổ biến, gọi light-weight Instrution Detection System với số đặc tính sau: - Hỗ trợ nhiều platform: Linux, OpenBSD, FreeBSD, Solaris, Windows… - Kích thước tương đối nhỏ: phiên 3.0 có kích thước 3.25 MBytes - Có khả phát số lượng lớn kiểu thăm dò, xâm nhập khác : buffer overflow, CGI-attack, dò tìm hệ điều hành, ICMP, virus… - Phát nhanh xâm nhập theo thời gian thực - Cung cấp cho nhà quản trị thông tin cần thiết để xử lý cố bị xâm nhập Hình 3.1: Mơ hình thành phần Snort Thơng qua chế hoạt động thành phần ta biết tổng quan chế hoạt động hệ thống IDS: 16 Hình 3.2: Cơ chế hoạt động Snort 3.1.2.1 Packet Decoder: Packet Decoder thiết bị (có thể phần cứng phần mềm) gắn vào hệ thống mạng, có chức lắng nghe tất liệu trao đổi hệ thống mạng, phân tích gói liệu thơ bắt mạng phục hồi thành gói liệu hoàn chỉnh lớp application, làm input cho hệ thống dectection engine 3.1.2.2 Preprocessors: Preprocessors thành phần hay plug-in sử dụng với IDS để xếp thay đổi gói liệu trước detection engine thực cơng việc tìm kiếm gói liệu nguy hiểm Một vài preprocessor cịn thực tìm dấu hiệu bất thường tiêu đề gói sinh cảnh báo Preprocessor quan trọng IDS nhằm chuẩn bị gói liệu để phân tích cho việc thiết lập rule detection engine Hình 3.3: Preprocessor 3.1.2.3 Detection Engine: Detection Engine phần tiêu chuẩn thời gian (time-critical) Snort Phụ thuộc vào sức khỏe hệ thống bạn có rule định nghĩa, tiêu tốn thời gian cho cơng việc đáp ứng gói Sự vận hành Detection engine phụ thuộc vào yêu tố sau: 17 - Số rule - Sức khỏe hệ thống có Snort chạy - Thơng lượng bên - Sức vận hành mạng Khi thiết kế NIDS, bạn phải giữ tất hồ sơ kỹ thuật - IP header gói - Header lớp transport Header gồm: TCP, UDP, header lớp transport khác Nó làm việc ICMP header Hình Detection engine 3.1.2.4 Logging Alerting System: - Dạng Decoded: dạng log thơ nhất, cho phép thực nhanh, thích hợp với dân Pro - Dạng nhị phân tcpdump: theo dạng tương tự tcpdump ghi vào đĩa nhanh chóng, thích hợp với hệ thống địi hỏi performance cao - Dạng thư mục IP: Sắp sếp hệ thống log theo cấu trúc thư mục IP, dễ hiểu người dùng Hình 3.5: Logging Alerting System 3.1.2.5 Output Modules: 18 Phụ thuộc vào cấu hình, Output modules làm việc sau: - Ghi vào file /log hay file khác - Gửi SNMP traps - Gửi thông điệp đến syslog - Ghi vào sở liệu MySQL hay Oracle - Sinh dẫn xuất eXtensible Markup Language (XML) - Bổ sung cấu hình router firewall - Gửi thơng điệp Server Message Block (SMP) đến hệ thống Microsoft Window 3.1.3 File cấu hình Snort sử dụng file cấu hình cho lần chạy Thường tên file cấu hình có tên snort.conf File tổ chức thành nhiều phần: - Cấu hình biến giá trị - Cấu hình load thư viện động (dynamic loaded libraries) - Cấu hình tiền xủ lý - Cấu hình xuất thơng tin - Cấu hình runtime - Cầu hình thiết lập tùy chỉnh rule 3.1.3.1 Cấu hình biến giá trị: HOME_NET : Sử dụng để xác định địa IP hệ thống bạn bảo vệ - Để xác định địa đơn, cần đánh vào địa IP : var HOME_NET 192.168.0.X (X địa máy sử dụng) - Để xác định nhiều địa chỉ, nhóm địa nằm dấu ngoặc vuông địa cách dấu phẩy (khơng có khoảng trắng): var HOME_NET [10.0.0.1,192.168.0.2,172.16.0.3] - Xác định không gian địa cách xác định số bit subnet mask: var HOME_NET 192.168.0.0/24 3.1.3.2 Cấu hình tiền xử lý (Prepropcessors): 19 Bộ giải mã Snort giám sát cấu trúc gói tin để đảm bảo chúng xây dựng theo qui định Nếu gói tin có kích thước lạ, tập hợp tùy chọn lạ, thiết lập không phổ biến, Snort tạo cảnh báo Nếu bạn không quan tâm đến cảnh báo số lượng cảnh báo nhầm lớn, bạn tắt việc tạo cảnh báo giải mã Theo mặc định, tất cảnh báo bật Để tắt kiểu cảnh báo cụ thể, xóa kí tự “#” đầu dịng Các tùy chọn cấu hình giải mã là: # config disable_decode_alerts # config disable_tcpopt_experimental_alerts # config disable_tcpopt_obsolete_alerts # config disable_tcpopt_ttcp_alerts # config disable_tcpopt_alerts # config disable_ipopt_alerts 3.1.4 Tập luật (rulesets) Snort Một rule sử dụng để phát thơng điệp cảnh báo, ghi thông điệp, hay, thuật ngữ Snort, pass gói liệu (khơng làm cả) Snort rules viết theo cú pháp dễ hiểu Hầu hết rules viết dịng đơn Tuy nhiên bạn mở rộng nhiều dòng cách dùng ký tự “\” vào cuối dòng Rules thường đặt file cấu hình, chẳng hạn snort.conf Bạn sử dụng nhiều file cách gom chúng file cấu hình chính.Tập luật Snort đơn giản để ta hiểu viết, đủ mạnh để phát tất hành động xâm nhập mạng Có hành động SNORT thực so trùng packet với mẫu rules: - pass: loại bỏ packet mà SNORT bắt - log: tuỳ theo dạng logging chọn, packet ghi nhận theo - alert: sinh alert tùy theo dạng alert chọn log toàn packet dùng dạng logging chọn Cấu trúc rule Tất rule có phần logic: rule header rule options 20 Hình 3.6: Cấu trúc Rule Cấu trúc chung rule header sau: Hình 3.7: Rule Header 3.2 Triển khai hệ thống ids Snort 3.2.1 Những điều cần lưu ý: NIDS lớp phòng thủ khác Bạn cần cài đặt vá bảo mật cho phần mềm hệ thống bạn Bạn cần cách li hệ thống đối mặt với Internet thành mạng riêng biệt (thường gọi DMZ) Bạn cần kiểm tra log hệ thống Một NIDS cung cấp sớm cảnh báo người thăm dị bạn công thực vào hệ thống Nếu bạn có hệ thống Windows mạng , việc sử dụng luật mà theo dõi công vào hệ thống Unix gây cảnh báo nhầm Nếu bạn chạy server web Apache, loại trừ luật cảnh báo Microsoft IIS mà khơng ảnh hưởng đến server web bạn 3.2.2 Cài đặt cấu hình Các bước cài đặt cấu hình Snort: Trong báo cáo này, cài đặt Snort Windows Chúng ta cài trọn cài đặt Winpcap Snort từ trang http://www.winsnort.com từ trang http://www.snort.org rules cập nhập Hình 3.8: Màn hình cài đặt Snort 21 Sử dụng lệnh cd c:\snort\bin để bắt đầu chạy snort Trước tiến hành sniffer cần chọn card mạng để snort đặt vào chế độ promicous, máy tính có nhiều card sử dụng lệnh snort –W để xác định card mạng sử dụng nhằm thuận tiện cho người dùng lựa chọn card mạng dùng sniffer Hình 3.9: Lệnh Snort -W xem thông số card mạng Để kiểm tra file snort.conf cấu hình hồn chỉnh chưa ta sử dụng lệnh sau: snort –c c:\snort\etc\snort.conf –i4 (i4 cho biết ta sửu dụng card mạng thứ để thực sniffer) 3.3 Mơ hình triển khai 3.3.1 Mơ hình tốn 1: Sử dụng snort để phát máy trạm cơng vào máy chủ Hình 3.10: Mơ hình tốn Xây dựng: - PC có địa 192.168.0.219 192.168.0.49 dùng để công - PC dung làm máy chủ server có IP 192.168.0.218 - Cài đặt cấu hình snort 22 - Cài đặt phần mền hỗ trợ cho Snort nhằm theo dõi ghi lại report q trình cơng - Cài đặt phần mềm cơng 3.3.2 Mơ hình toán 2: Xây dựng phần mềm quản lý IP từ bên truy cập vào hệ thống Thuật tốn Hình 3.11: Thuật tốn Hình 3.12: Sơ đồ giải thuật Mô tả chức phần mềm Chức quản lý IP truy cập vào hệ thống: Khởi động chương trình, vào Menu chọn IP Manager để bắt đầu trình kiểm tra IP kết nối vào máy tính Khi biết IP vào hay ra, chương trình ghi thông tin vào log file: Thời gian kết nối (Thời gian hệ thống) - Địa IP: Cổng kết nối Tên log file có dạng: 2013_01_02_LOG.log Minh họa giao diện chương trình 23 Hình 3.13: Màn hình hiển thị IP truy cập vào mạng Giao diện hiển thị IP truy cập vào hệ thống Hình 3.14: File log đƣợc mở lại 3.4 Kết luận Các mơ hình kỹ thuật để cài đặt triển khai IDS nói chung Snort IDS nói riêng đươ ̣c trình bày chi tiế t chương Đồng thời đưa đánh gi phân tích triển khai IDS, từ đó người quản tri ̣có thể áp du ̣ng mô hin ̀ h thực tế Bước đầu nghiên cứu ứng dụng công nghệ tri thức để viết chương trình tích hợp vào hệ thống IDS nhằm mục đích tăng cường khả nhận dạng linh hoạt q trình nhận dạng cơng xâm nhập hệ thống Chương trình thực đầy đủ chức đề ra: ghi lại thời gian truy cập, địa IP, cổng kết nối giúp cho người quản trị dễ dàng nhận cơng từ máy hệ thống mạng thông qua việc quét tất địa IP hệ thống 24 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN An toàn hệ thống thơng tin giải pháp an tồn vấn đề quan tâm ngày trọng Vì nghiên cứu đưa giải pháp giải vấn đề cần thiết phải triển khai mạnh mẽ hiệu Đề tài đề cập tương đối kỹ lưỡng đến vấn đề lý thuyết IDS, bao gồm kiến trúc chung, phân loại mơ hình IDS Về vấn đề phương pháp phát xâm nhập trái phép, đồ án nêu phương pháp phát dựa dấu hiệu, dựa dấu hiệu bất thường Với Snort, phần mềm chọn để xây dựng sản phẩm, đề tài đề cập đến đặc trưng với vai trị mơ hình IDS Đề tài nói đến thành phần chế hoạt động Snort, giới thiệu tập luật Snort bước cài đặt hệ thống IDS hoạt động dựa phần mềm Thời gian làm đề tài ngắn khơng đủ dài để em tìm hiểu đầy đủ vấn đề an tồn hệ thống thơng tin Em tìm hiểu hệ thống thơng tin, nguy an toàn, số kiểu cơng cách phịng chống Qua q trình tìm hiểu em xây dựng chương trình quản lý IP từ bên truy cập vào hệ thống Chương trình thực đầy đủ chức đề ra: ghi lại thời gian truy cập, địa IP, cổng kết nối Hướng phát triển đề tài là: Tìm hiểu sâu thêm kỹ thuật truy cập trái phép đưa phương pháp phịng chống có hiệu Phần mềm em xây dựng bước đầu thực chức quản lý IP từ bên truy cập vào hệ thống, chưa đưa cảnh báo cụ thể Trong trình làm đề tài khơng tránh khỏi thiếu sót, em kính mong thầy giúp đỡ cho báo cáo tốt nghiệp em hoàn thiện Trân trọng cám ơn quý thầy, cô! TÀI LIỆU THAM KHẢO Tiếng Việt [1] Vũ Đình Cường (2009), Cách bảo vệ liệu quan trọng phương pháp phát thâm nhập, nhà xuất Lao động Xã hội 25 Tiếng Anh [2] Andrew R Baker, Brian Caswell, Mike Poor (2010), Snort 2.1 Intrusion Detection, Second Edition, Syngress Publishing, Inc [3] Kasey Efaw (2012), Installing Snort 2.8.6.1 on Windows 7, http://www.snort.org/assets/151/Installing_Snort_2.8.6.1_on_Windows_7.pdf [4] The Snort Project (2012), SNORT® Users Manual 2.9.3, https://www.snort.org/ [5] The Information Assurance Technology Analysis Center (IATAC) (2009), Intrusion Detection Systems http://iac.dtic.mil/iatac ... phương pháp phát ngăn chặn xâm nhập 8 CHƢƠNG 2: PHƢƠNG PHÁP PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 2.1 Hệ thống phát ngăn chặn xâm nhập 2.1.1 Giới thiệu IDS IDS hệ thống giám sát lưu thông mạng để... bất hợp pháp Phạm vi nghiên cứu: - Các nguy truy cập bất hợp pháp kiểu công vào Hệ thống thông tin - Phương pháp phát xâm nhập mạng máy tính - Thử nghiệm giải pháp phát thâm nhập Phương pháp nghiên... phát bất thường Chương sau dùng phương pháp kết hợp với phần mềm mã nguồn mở Snort để tạo hệ thống phát xâm nhập bất hợp pháp 15 CHƢƠNG 3: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP MẠNG MÁY TÍNH