1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu hệ thống giám sát chống tấn công mạng

85 10 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 85
Dung lượng 2,78 MB

Nội dung

~ i ~ ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CNTT&TT LÊ MỸ TRƢỜNG NGHIÊN CỨU HỆ THỐNG GIÁM SÁT, CHỐNG TẤN CƠNG MẠNG Chun ngành: Khoa học máy tính Mã số: 60 48 0101 LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH THÁI NGUN, NĂM 2015 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ ii ~ LỜI CAM ĐOAN Học viên xin cam đoan luận văn “Nghiên cứu ̣ thố ng giám sát, chố ng tấ n cơng mạng” cơng trình nghiên cứu thân học viên Các nghiên cứu luận văn dựa tổng hợp kiến thức lý thuyết đƣợc học, hiểu biết thực tế dƣới hƣớng dẫn khoa học Thầy giáo TS Hồ Văn Hƣơng Các tài liệu tham khảo đƣợc trích dẫn đầy đủ nguồn gốc Học viên xin chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Thái Nguyên, ngày 20 tháng năm 2015 Học viên thực Lê Mỹ Trƣờng Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ iii ~ LỜI CẢM ƠN Trƣớc hết học viên xin gửi lời cảm ơn tới thầy cô giáo trƣờng Đại học Công nghệ thông tin Truyền thông - Đại học Thái Nguyên nơi thầy tận tình truyền đạt kiến thức quý báu cho học viên suốt trình học tập Xin cảm ơn cán nhà trƣờng tạo điều kiện tốt cho học viên học tập hoàn thành luận văn Đặc biệt, học viên xin đƣợc gửi lời cám ơn đến thầy giáo hƣớng dẫn học viên TS Hồ Văn Hƣơng - Ban yếu Chính phủ, thầy tận tình bảo giúp đỡ học viên suốt trình nghiên cứu để hồn thành luận văn Cuối cho phép tơi xin cảm ơn Lãnh đạo, đồng nghiệp, bạn bè, gia đình giúp đỡ, động viên ủng hộ nhiều tồn q trình học tập nhƣ nghiên cứu để hoàn thành luận văn Thái Nguyên, ngày 20 tháng năm 2015 Học viên thực Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ iv ~ MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN DANH MỤC CÁC HÌNH ẢNH DANH MỤC CÁC BẢNG BIỂU Trang MỞ ĐẦU .1 Đặt vấn đề .1 Mục tiêu nghiên cứu Đối tƣợng phạm vi nghiên cứu Phƣơng pháp nghiên cứu Ý nghĩa khoa học đề tài Bố cục luận văn CHƢƠNG TỔNG QUAN AN NINH MẠNG 1.1 Tình hình an ninh mạng 1.2 Các yếu tố đảm bảo an tồn thơng tin 1.3 Các mối đe dọa đến an tồn thơng tin 1.4 Các lỗ hổng hệ thống .4 1.4.1 Các lỗ hổng loại C 1.4.2 Các lỗ hổng loại B 1.4.3 Các lỗ hổng loại A 1.5 Các nguy an tồn thơng tin 1.5.1 Kiểu cơng thăm dị 1.5.2 Kiểu công truy cập 1.5.3 Kiểu công từ chối dịch vụ 1.6 Giải pháp an ninh mạng 1.6.1 Giới thiê ̣u chung về quản lý ̣ thố ng ma ̣ng 1.6.2 Hai phƣơng thức giám sát Poll Alert Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ v ~ 1.6.2.1 Phƣơng thƣ́c Poll 1.6.2.2 Phƣơng thức Alert 1.6.2.3 So sánh phƣơng thức Poll Alert 1.6.3 Giao thức quản lý giám sát mạng SNMP .9 1.6.3.1 Giới thiê ̣u SNMP - 1.6.3.2 Ƣu điể m của thiế t kế SNMP 10 1.6.3.3 Các phiên SNMP - 10 1.6.4 Kiến trúc giao thức SNMP 11 1.6.4.1 Các thành phần SNMP - 11 1.6.4.2 ObjectID - 11 1.6.4.3 Object access - 13 1.6.4.4 Cơ sở thông tin quản trị MIB - 14 1.6.5 Các phƣơng thức SNMP 15 1.6.5.1 GetRequest 15 1.6.5.2 SetRequest - 16 1.6.5.3 GetResponse 16 1.6.5.4 Trap 16 1.6.6 Các chế bảo mật cho SNMP 17 1.6.6.1 Community string 17 1.6.6.2 View 17 1.6.6.3 SNMP access control list 17 1.6.6.4 RMON - 18 1.6.7 Cấu trúc tin SNMP 18 1.6.8 Hệ thống phát ngăn chặn xâm nhập mạng (IDS/IPS) 18 1.6.8.1 Giới thiệu IDS/IPS - 18 1.6.8.2 Các thành phần chức IDS/IPS - 19 1.6.8.3 Phân loại IDS - 20 1.6.8.4 Cơ chế hoạt động hệ thống IDS/IPS 23 CHƢƠNG NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG .26 2.1 Giới thiệu chung 26 2.2 Bộ công cụ giám sát mạng – Cacti 26 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ vi ~ 2.2.1 Kiến trúc Cacti .26 2.2.2 Nguyên tắc hoạt động 28 2.2.3 Các tính 29 2.2.4 Lƣu trữ xử lý liệu hệ thống giám sát mạng Cacti .32 2.3 Bộ công cụ chống công mạng - Snort 34 2.3.1 Kiến trúc Snort .34 2.3.1.1 Module giải mã gói tin 35 2.3.1.2 Module tiền xử lý 36 2.3.1.3 Module phát - 38 2.3.1.4 Module log cảnh báo - 39 2.3.1.5 Module kết xuất thông tin - 39 2.3.2 Bộ luật Snort 40 2.3.2.1 Phần tiêu đề - 40 2.3.2.2 Các tùy chọn 43 2.3.3 Chế độ ngăn chặn Snort: Snort – Inline 46 2.3.3.1 Các chế độ thực thi Snort 46 2.3.3.2 Nguyên lý hoạt động inline mode - 47 CHƢƠNG NGHIÊN CỨU ỨNG DỤNG MÃ NGUỒN MỞ CACTI VÀ SNORT 49 3.1 Giới thiệu hệ thống giám sát, chống công mạng 49 3.2 Xây dựng mơ hình giả lập để thử nghiệm giám sát, chống công mạng 49 3.2.1 Mơ hình mạng trƣờng 49 3.2.2 Đề xuất mô hình 50 3.2.3 Mơ hình mạng thử nghiệm 51 3.2.4 Triển khai thử nghiệm giám sát mạng 51 3.2.5 Triển khai thử nghiệm chống công mạng 60 3.2.5.1 Cấu hình Snort 60 3.2.5.2 Chƣơng trình Snort - 64 3.3 Đánh giá kết thực nghiệm .70 3.4 Kết thử nghiệm đạt đƣợc 71 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 73 TÀI LIỆU THAM KHẢO 74 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ vii ~ DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN FTP File Tranfer Protocol Giao thức truyền tập tin HTTP Hyper Text Tranfer Protocol Giao thức truyền tải siêu văn IP Internet Protocol Giao thức mạng MIB Management Information Base Cơ sở thông tin quản lý OID Object Identifier Định danh đối tƣợng LAN Local Area Network Mạng cục SNMP Simple Network Managerment Giao thức quản lý mạng đơn giản Protocol IDS Intrusion Detection System Hệ thống phát xâm nhập IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập H-IDS Host Based Intrusion Detection Hệ thống phát xâm nhập máy System chủ nhân N-IDS Network Based Intrusion Detection Hệ thống phát xâm nhập mạng System VPN Vitual Private Network Mạng riêng ảo CPU Central Processing Unit Đơn vị xử lý trung tâm DOS Denial of Service Từ chối dịch vụ DDOS Distributed Denial of Service Phân phối từ chối dịch vụ TCP Transmission Control Protocol Giao thức kiểm soát UDP User Datagram Protocol Giao thức sử dụng liệu ICMP Internet Control Message Protocol Giao thức điều khiển thông điệp Internet MAC Media Access Controllers Bộ điều khiển truy cập truyền thông PDU Protocol Data Unit Giao thức liệu đơn vị Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ viii ~ DANH MỤC CÁC HÌNH ẢNH Trang Hình 1.1 Minh họa chế Poll Hình 1.2 Minh họa chế Alert Hình 1.3 Trạm quản lý mạng 11 Hình 1.4 Minh họa trình lấy sysName.0 13 Hình 1.5 Minh họa MIB tree 14 Hình 1.6 Minh họa phƣơng thức SNMPv1…………… …………… 17 Hình 1.7 Cấu trúc tin SNMP .18 Hình 1.8 Các vị trí đặt IDS mạng 19 Hình 1.9 Mơ hình NIDS 21 Hình 1.10 Hệ thống kết hợp mơ hình phát 25 Hinh 2.1 Kiến trúc Cacti 26 Hình 2.2 Các thành phần hệ quản trị Cacti 28 Hình 2.3 Hoạt động hệ quản trị Cacti 28 Hình 2.4 Biểu đồ Cacti 30 Hình 2.5 Weather map cacti 31 Hình 2.6 Giám sát trạng thái thiết bị Cacti 31 Hình 2.7 Nguyên lý sở liệu RRD (RRA) .33 Hình 2.8 Biểu diễn đồ thị RRD 33 Hinh 2.9 Mơ hình kiến trúc hệ thống Snort 34 Hinh 2.10 Quy trình xử lý gói tin Ethernet 35 Hình 2.11 Cấu trúc luật Snort 40 Hình 2.12 Header luật Snort 40 Hình 3.1 Mơ hình mạng 49 Hình 3.2 Đề xuất mơ hình 50 Hình 3.3 Mơ hình thử nghiệm 51 Hình 3.4 Màn hình giao diện Cacti khởi động cài đặt .52 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ ix ~ Hình 3.5 Màn hình giao diện Cacti kiểm tra công cụ 53 Hình 3.6 Màn hình đăng nhập hệ thống 53 Hình 3.7 File SNMP services 54 Hình 3.8 Đặt cấu hình SNMP services 54 Hinh 3.9 Thêm thiết bị máy client vào cacti 55 Hình 3.10 Thêm thiết bị máy vào Cacti 55 Hình 3.11 Danh sách nội dung cần giám sát 56 Hình 3.12 Lựa chọn thiết bị muốn tạo đồ thị 57 Hình 3.13 Đồ thị máy .57 Hình 3.14 Danh sách máy có đồ thị 58 Hình 3.15 Tình trạng thiết bị đồ thị (máy 2) 59 Hình 3.16 Tình trạng thiết bị đồ thị (máy 7) 59 Hình 3.17 Giao diện hệ điều hành CentOS 5.4 60 Hình 3.18 Giao diện Base 63 Hình 3.19 Phát có máy ping 64 Hình 3.20 Phát truy cập web 65 Hình 3.21 Phát truy cập trang web với IP 66 Hình 3.22 Tiến hành DDOS vào máy ảo Centos .67 Hình 3.23 Phát công DDOS .68 Hình 3.24 Phát cơng PORTSCAN .69 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ x ~ DANH MỤC CÁC BẢNG BIỂU Bảng 1.1 So sánh hai phƣơng thức Poll Alert Bảng 1.2 Các phƣơng thức hoạt động SNMP Bảng 2.1 Các module tiền xử lý Bảng 2.2 Các cờ sử dụng với từ khoá flags Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 60 ~ * Ƣu điểm Cacti - Ưu điểm:  Quản lý tập trung log, từ đƣa cảnh báo sớm (bằng email tin nhắn) gửi cho quản trị mạng có cố xảy (nhƣ đứt đƣờng truyền, chết dịch vụ, hỏng ổ cứng, hỏng card mạng, tải RAM, tải CPU, …)  Dễ dàng mở rộng quản lý đến hàng vài ngàn thiết bị  Miễn phí, chi phí triển khai máy tính  Chạy linux nên hiệu cao  Có sẵn nhiều mẫu Template đƣợc viết sẵn cho loại thiết bị mạng, máy chủ hệ điều hành khác  Dễ dàng tạo Templates cho thiết bị  Cho phép bổ sung nhiều chƣơng trình plugin tiện ích, cho phép triển khai nhanh chóng hệ thống quản lý tài nguyên mạng với chi phí hợp lý  Hãy thử cảm nhận đƣợc khác biệt - Nhược điểm:  Cacti giám sát bắt buộc ngƣời chịu trách nhiệm phải check log thƣờng xuyên nên chƣa tự động hóa đƣợc 3.2.5 Triển khai thử nghiệm chống cơng mạng 3.2.5.1 Cấu hình Snort Ta tiến hành cài đặt snort môi trƣờng linux Cụ thể hệ điều hành CentOS 5.4 Hình 3.17 Giao diện hệ điều hành CentOS 5.4 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 61 ~ Cài đặt Snort: cd /usr/local/ tar –zxvf /Download/snort-2.9.2.1.tar.gz cd snort-2.9.2.1/ /configure enable-dynamicplugin with-mysql make && make install mkdir /etc/snort mkdir /var/log/snort cd /etc/snort/ tar -zxvf /Download/snortrules-snapshot-2.9.2.1.tar.gz cp etc/* /etc/snort ln -s /usr/local/bin/snort /usr/sbin/snort cd /etc/snort/so_rules/precompiled/CentOS-5-4/i386/2.9.2.1/ cp * /usr/local/lib/snort_dynamicrules/ Cài đặt daq: tar zxvf daq-2.0.1.tar.gz cd daq-2.0.1 /configure && make && make install Cài đặt barnyard tar -zxvf /Download/barnyard2-1.8.tar.gz cd barnyard2-1.8/ /configure with-mysql make && make istall cp etc/barnyard2.conf /etc/snort/ mkdir /var/log/barnyard2 vim /etc/snort/barnyard2.conf config hostname: localhost config interface: eth0 output database: alert, mysql, user=snort password=123456 dbname=snort host=localhost touch /var/log/snort/barnyard.waldo Tạo phân quyền cho Snort file log: Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 62 ~ groupadd snort useradd -g snort snort chown snort:snort /var/log/snort Khởi động service mysqld: service mysqld start Cấu hình database cho Snort: mysql set password for root@localhost=password('123'); create database snort; grant create, insert, select, delete, update on snort.* to snort@localhost; set password for snort@localhost=password('123456'); exit cd /usr/local/snort-2.9.2.1/schemas/ mysql -p < create_mysql snort Kiểm tra CSDL Snort: mysql show databases; use snort; show tables; Cài đặt base: touch /var/log/snort/alert chown snort:snort /var/log/snort/alert chmod 600 /var/log/snort/alert cd /var/www/html tar -zxvf /Download/adodb4991.gz tar -zxvf /Download/base-1.4.5.tar.gz chown apache base-1.4.5 chgrp apache base-1.4.5/ vim /etc/php.ini Bỏ dấu “#”trên dòng #error_reporting = E_ALL & ~E_NOTICE lƣu lại service httpd restart Bật trình duyệt vào địa http://localhost/base-1.4.5/ Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 63 ~ Bƣớc 1: Điền đƣờng dẫn file adodb: /var/www/html/adodb , nhấn Continue Bƣớc 2: Database Name = snort Database Host = localhost Database User = snort Database Password = 123456, nhấn Continue Bƣớc 3: Tích vào “Use Authenication System” Admin User name = snort -> Password = 123456 Fullname = snort , nhấn Continue Bƣớc 4: Nhấn “Create Base AG” Quá trình cài đặt thành cơng giao diện hiển thị dịng successful… màu đỏ giao diện Base sau cấu hình xong login: Hình 3.18 Giao diện Base Tạo file black_list.rules white_list.rules touch /etc/snort/rules/ black_list.rules touch /etc/snort/rules/ white_list.rules module tiền xử lý sfportscan: proto { all } scan_type { all } memcap { 10000000 } sense_level { low } Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 64 ~ module tiền xử lý arpspoof module tiền xử lý arpspoof_detect_host: 192.168.92.150 00:0C:29:09:E5:3A output unified2: filename snort.log, limit 128, nostamp, mpls_event_types, vlan_event_types output database: log, mysql, user=snort password=123456 dbname=snort host=localhost Khởi động barnyard2: /usr/local/bin/barnyard2 -c /etc/snort/barnyard2.conf -G /etc/snort/etc/gen-msg.map -S /etc/snort/etc/sid-msg.map -d /var/log/snort/alert -f alert -w /var/log/snort/barnyard.waldo Khởi động Snort: snort -c /etc/snort/etc/snort.conf -i eth0 3.2.5.2 Chương trình Snort Ngồi luật mặc định snort nằm file *.rules thƣ mục/etc/snort/rules/, ngƣời dùng thêm luật vào file nhằm tối ƣu hóa luật Thông thƣờng, nên thêm luật vào file local.rules Khởi động Snort với lệnh snort -c /etc/snort/etc/snort.conf -i eth0 * Thực nghiệm 1: Tiến hành ping từ máy ảo Back Track Vào máy ảo CentOS bật trình duyệt vào địa http://localhost/base-1.4.5/ tiến hành đăng nhập Kiểm tra hoạt động Snort với lệnh ping đơn giản, thêm luật alert icmp any any -> !$HOME_NET any (msg:"pinging from other computer";sid:1000001;) Kết Hình 3.19 Phát có máy ping Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 65 ~ * Thực nghiệm 2: Phát truy cập web Thêm luật alert tcp 192.168.92.150 any -> any 80 (msg:"internet access alert";sid:1111110;) Bật trình duyệt vào địa bất kì, chẳng hạn http://snort.org Vào địa http://localhost/base-1.4.5/ tiến hành đăng nhập Kết Hình 3.20 Phát truy cập web Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 66 ~ * Thực nghiệm 3: Phát truy cập trang web với ip cụ thể Ví dụ trang web cần theo dõi http://www.vn-zoom.com/ Tiến hành ping tới trang web ta biết đƣợc ip trang 123.30.139.68 Thêm luật alert tcp 192.168.92.150 any ->123.30.139.68 (msg:"vn-zoom.com access";sid:1011019;) Bật trình duyệt vào trang web http://www.vn-zoom.com/ Vào địa http://localhost/base-1.4.5/ tiến hành đăng nhập Kết Hình 3.21 Phát truy cập trang web với IP Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 67 ~ * Thực nghiệm 4: Phát DDOS Thêm luật alert tcp any any -> 192.168.92.150 80 (msg:"DDoS detected";sid:11111111;) Từ máy ảo Back Track download tool DDOS Slowloris địa http://ha.ckers.org/slowloris/slowloris.pl Thêm quyền thực thi cho file chmod +x slowloris.pl Tiến hành DDOS vào máy ảo CentOS /slowloris.pl –dns 192.168.92.150 Hình 3.22 Tiến hành DDOS vào máy ảo Centos Vào máy ảo CentOS bật trình duyệt, vào địa http://localhost/base-1.4.5/và tiến hành đăng nhập Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 68 ~ Kết Hình 3.23 Phát cơng DDOS Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 69 ~ * Thực nghiệm Phát portscan Cụ thể phát kiểu portscan NULL Thêm luật alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"SCAN NULL"; flow:stateless;flags:0;sid:1000002;) Từ máy ảo Back Track chạy công cụ nmap tiến hành scan port bật máy ảo CentOS nmap –sN 192.168.92.150 Vào máy ảo CentOS bật trình duyệt, vào địa http://localhost/base-1.4.5/ tiến hành đăng nhập Kết Hình 3.24 Phát công PORTSCAN * Ƣu điểm, nhƣợc điểm Snort – IDS/IPS - Ƣu điểm: + Hệ thống hoạt động theo kiểu nhận dạng mẫu gói tin (packet) Nó so sánh gói tin trùng với gói tin mẫu cơng mà có, trùng khớp kết luận Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 70 ~ loại gói tin công hệ thống phát cảnh báo gởi tín hiệu tới tƣờng lửa để ngăn cản gói tin vào mạng bên + Gửi tín hiệu đến tƣờng lửa để ngăn chặn công Trƣờng hợp gọi hệ thống phát phòng chống xâm nhập (IDS/IPS) + Chỉ đƣa cảnh báo cho ngƣời quản trị mạng: Hệ thống phát xâm nhập trái phép (IDS) + Để phịng chống cơng xâm nhập, kết hợp hệ thống phát với hệ thống tƣờng lửa để ngăn cản gói tin công vào mạng bên Một hệ thống tƣờng lửa đƣợc sử dụng phổ biến phần mềm nguồn mở Iptables Có nhiều công cụ nguồn mở cho phép chuyển đổi luật Snort thành luật Iptables nhƣ Snort-inline, SnortSam, Fwsnort, … * Nhƣợc điểm Snort-IDS/IPS: + Nếu kiểu cơng Snort - IDS/IPS khơng nhận biết đƣợc, nên phải cập nhật luật (dấu hiệu công) thƣờng xuyên giống nhƣ cập nhật virus + Nếu hoạt động theo kiểu thơng minh IDS theo dõi mạng xem có tƣợng bất thƣờng hay khơng phản ứng lại + Nhiều trƣờng hợp bị báo động nhầm có nghĩa khơng phải trƣờng hợp cơng mà gây báo động 3.3 Đánh giá kết thực nghiệm Trong khn khổ luận văn hình ảnh chụp kết học viên thử nghiệm mơ hình hoạt động hệ thống mạng có sử dụng máy chủ Ubuntu cài Cacti máy chủ CentOS cài Snort chạy ứng dụng RDDTool, Mysql, Apache, PHP… chạy dịch vụ quản trị hệ thống mạng dựa SNMP 02 máy tính cài hệ điều hành WindowsXP thiết bị switch Planet, 01 router đóng vai trò thiết bị cần đƣợc giám sát * Phân tích q trình hoạt động Cacti Q trình hoạt động mơ hình dựa vào máy chủ cài đặt hệ điều hành Ubuntu phần mềm Cacti sử dụng công cụ RRDTool để hoạt động, RRDTool đƣợc thiết kế với mục đích chung “khả lƣu liệu hoạt động tốt lập đồ họa cho toàn hệ thống” Về bản, ta cần giám sát thiết bị khoảng thời gian xác định, việc sử dụng RRDTool lựa chọn hợp lý Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 71 ~ Bản chất RRDTool khơng tự hoạt động độc lập đƣợc Nó đóng vai trò phần mềm thu thập liệu dạng (background) RRDTool sử dụng để hiển thị thiết bị đƣợc giám sát dƣới dạng đồ họa Cacti hệ thống ngoại vi kết hợp với RRDTool sử dụng sở liệu MySQL để lƣu trữ thông tin RRDTool cần để tạo đồ thị Cacti cho phép ngƣời dùng tạo nguồn liệu (thông thƣờng kết nối SNMP để giám sát thiết bị), thu thập liệu từ thiết bị này, cho phép ngƣời dùng nhóm đồ họa lại giống nhƣ hệ thống, cho phép quản lý phân quyền cho ngƣời dùng liệu giám sát nhiều tính khác Cacti cung cấp cho ngƣời dùng nhiều khoảng thời gian để xem thông tin thu thập đƣợc Trong hình ta biết đƣợc Cacti thực tốt công việc hiển thị xu hƣớng thông tin dƣới dạng đồ thị, xem cách Cacti cho phép nhóm đồ thị để giúp ngƣời quản trị theo dõi quan sát hệ thống cách tốt * Phân tích q trình hoạt động Snort Khi sử dụng Snort, hệ thống hoàn toàn phát cơng nhằm vào hệ thống mạng Đƣa cảnh báo kịp thời tới ngƣời dùng ngƣời quản trị hệ thống Snort đƣợc cấu hình để chạy chế độ sau:  Sniffer (snort –v): Lắng nghe gói tin mạng, sau giải mã hiển thị chúng lên hình console  Packet Logger (snort –l /var/log/snort): Gói tin sau giải mã đƣợc ghi log vào tập tin có cấu trúc binary hay ASCII  Network Intrusion Detection System (NIDS) (snort –c /etc/snort/snort.conf –I eth0): Snort áp dụng rule vào tất gói tin bắt đƣợc Sau so khớp đƣa hành động tƣơng ứng  Inline: Nhận gói tin từ iptables, sau so khớp với rule thơng báo cho iptables xử lý gói tin (cho phép bỏ) 3.4 Kết thử nghiệm đạt đƣợc - Xác định nhanh nguyên nhân cố mạng trƣờng cách nhanh chóng dễ dàng Giảm thiểu cơng sức tìm kiếm, di chuyển nhân viên quản trị mạng Ngƣời quản trị ngồi máy trạm hệ thống mạng kiểm tra phát đƣợc cố hệ thống mạng Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 72 ~ - Thiết lập đƣợc trật tự logic địa IP cho toàn hệ thống máy tính mạng - Giám sát, can thiệp đƣợc lƣu lƣợng liệu truyền qua thiết bị nhƣ: router, Switch, CPU, nhiệt độ, HDD… - Là mã nguồn mở nên hạn chế việc lây lan virus mạng - Cảnh báo cố hệ thống - Cài đặt cấu hình hệ thống giám sát, chống công mạng mã nguồn mở Cacti Snort - Xác định xu hƣớng xảy tƣơng lai Tối ƣu hóa định mức đầu tƣ lúc, chỗ tiết kiệm đƣợc chi phí đầu tƣ vào phần mềm sở hạ tầng hệ thống mạng Mơ hình quản trị mạng SNMP dựa tảng quản trị web Cacti Snort đƣợc xây dựng chạy thử nghiệm mơ hình thử nghiệm trƣờng Cao đẳng Nơng Lâm Thanh Hóa hệ thống thử nghiệm giám sát 01 Switch, 01 router truy cập Internet Hệ thống hoạt động tốt giúp cho ngƣời quản trị khắc phục đƣợc cố nhƣ: tải băng thông, nguy an tồn nút đó… từ đƣa đề xuất hƣớng khắc phục kịp thời Nhƣ vậy, qua số hình ảnh chụp từ hình giao diện cơng cụ giám sát, chống cơng mạng dựa tảng web Cacti Snort, thấy Cacti Snort giám sát, phát chống xâm nhập hầu hết kiện, thông số mạng thiết bị cần giám sát cách hiệu đƣợc hiển thị qua biểu đồ báo cáo cụ thể Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 73 ~ KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Thông qua trình tìm hiểu nghiên cứu, em rút số nhận xét nhƣ sau: Hệ thống giám sát, chống cơng mạng nói chung ứng dụng giám sát, phát xâm nhập Cacti, Snort nói riêng đóng vai trị khơng phần quan trọng vấn đề đảm bảo an ninh cho hệ thống máy tính Cacti, Snort giúp khám phá, phân tích nguy cơng Từ đó, ta tìm đƣợc thủ phạm gây cơng * Ƣu điểm hạn chế luận văn Do nhiểu mặt hạn chế nên so với thực tế luận văn dừng mức tìm hiểu khái niệm, nắm bắt đƣợc phƣơng thức giám sát Cacti, chế viết luật cho Snort nghiên cứu công nghệ giám sát, phát xâm nhập Cacti Snort Luận văn triển khai thử nghiệm phƣơng thức giám sát Cacti, chế độ làm việc Snort thành công hệ thống máy ảo Vmware Với đề tài bƣớc đầu tạo cho ngƣời dùng có hiểu biết hệ thống Linux đặc biệt ứng dụng giám sát, chống công mạng Cacti Snort Qua ngƣời dùng sâu vào triển khai tính nâng cao Cacti Snort Bên cạnh công việc làm đƣợc đề tài cịn số hạn chế nhƣ: đề tài triển khai cách khái quát, chƣa vào cụ thể, chƣa có tài liệu chi tiết cho ngƣời dùng hệ thống nhƣ chƣa triển khai đƣợc phần mềm kèm Hệ thống xây dựng chủ yếu phát đƣợc dấu hiệu công mà chƣa đáp ứng đƣợc hết response có cơng xảy Việc cần làm sử dụng thêm phần mềm mã nguồn mở khác để việc kiểm sốt an ninh thơng tin cách chặt chẽ toàn diện * Hƣớng phát triển luận văn: Sau nhìn nhận lại vấn đề tồn đề tài, em có định hƣớng phát triển cho đề tài nhƣ sau: - Tiến hành đƣa đề tài vào triển khai thực tế - Nghiên cứu tích hợp cơng cụ để xây dựng đƣợc hệ thống hoàn thiện phục vụ cho quản trị mạng quan công tác, để hệ thống hoàn thiện ổn định Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 74 ~ TÀI LIỆU THAM KHẢO - Tiếng Việt [1] Diệp Thanh Nguyên (2010), SNMP toàn tập NXB Khoa học kỹ thuật [2] Nguyễn Thành Cƣơng, Mai Nhƣ Thành (2002), hướng dẫn thiết lập quản trị mạng, NXB Thống kê - Tiếng Anh [3] Douglas R.Mauro, Kevin J.Scbmidt, (2005) Essential SNMP, 2nd Edition, Publisher: O’Reill, Pub Date [4] Rafeeq Ur Rehman, (2003) Intrusion Detection with Snort Advance IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID, Prentice Hall PTR Publishing [5] Jay Beale and Snort Development Team, (2007) Snort 2.1 Intrusion Detection, Syngress Publishing - Internet [6] http://Cacti.net [7] http://en.wikipedia.org/ Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ... hoạt động hệ thống IDS/IPS 23 CHƢƠNG NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG .26 2.1 Giới thiệu chung 26 2.2 Bộ công cụ giám sát mạng – Cacti... thức giám sát, chống công mạng: Poll, Alert, SNMP, IDS/IPS + Bộ công cụ mã nguồn mở: Cacti, Snort - Phạm vi nghiên cứu: + Tìm hiểu cơng nghệ, mơ hình, giao thức giám sát mạng + Kiến trúc giám sát. .. 26 ~ CHƢƠNG NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CƠNG MẠNG 2.1 Giới thiệu chung Cơng cụ giám sát, phát chống xâm nhập mạng ứng dụng đƣợc phát triển để theo dõi tình trạng hệ thống, giới

Ngày đăng: 24/03/2021, 08:45

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w