BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM ĐỒ ÁN MÔN HỌC INCIDENT RESPONSE AND HANDLING Ngành: CƠNG NGHỆ THƠNG TIN Chun ngành: AN TỒN THƠNG TIN Mơn học: AN TỒN HỆ THỐNG MẠNG MÁY TÍNH Giảng viên mơn : Lê Duy An Sinh viên thực : Trịnh Bảo Long - 1711060183 : Nguyễn Viết Đăng Long – 1711061106 : Phạm Văn Lộc Hoa - 1711061243 Lớp : 17TH_N4_01 TP Hồ Chí Minh, 2021 LỜI NĨI ĐẦU Trong thời đại cơng nghệ thơng tin phát tri ển nhanh vượt bậc hi ện nay, đặc biệt cơng nghệ máy tính mạng máy tính với bùng nổ hàng ngàn cách mạng lớn nhỏ Sự đời mạng máy tính d ịch v ụ mang lại cho người nhiều lợi ích to lớn, góp ph ần thúc đẩy n ền kinh tế phát triển mạnh mẽ, đơn giản hóa thủ tục lưu trữ, xử lý, trao đổi thông tin phức tạp, liên lạc kết nối vị trí, khoảng cách r ất l ớn m ột cách nhanh chóng, hiệu Bên cạnh phát triển mạnh mẽ mạng máy tính, vấn đề an ninh mạng trở thành yếu tố quan trọng An ninh thông tin nói chung an ninh mạng nói riêng vấn đề quan tâm không ch ỉ Việt Nam mà cịn tồn giới Cùng với phát triển nhanh chóng mạng Internet, vi ệc đ ảm bảo an ninh cho hệ thống thông tin tr nên cấp thi ết bao gi h ết Kỹ thuật công ngày tinh vi khiến h ệ th ống an ninh m ạng tr nên hiệu Nhận thức tầm quan trọng giải pháp an ninh m ạng, nhóm chúng em chọn đề tài “ Incident Response and Handling” để nghiên cứu, mục đích để học hỏi, muốn tìm hiểu giải pháp ứng phó an ninh mạng quy trình xử lý cố tối ưu cho hệ thống mạng LỜI CẢM ƠN Nhóm chúng em xin chân thành cảm ơn thầy Lê Duy An tạo điều kiện hướng dẫn cho chúng em hoàn thành đề tài Nhóm chúng em xin c ảm ơn anh chị khóa trước, bạn bè hỗ tr ợ thêm thông tin đ ể đ án t ốt Trong trình thực hiện, nhóm chúng em cố gắng Nhưng khó tránh khỏi sai sót, kính mong q thầy bạn góp ý thêm Xin chân thành cảm ơn! MỤC LỤC KÝ HIỆU CÁC CỤM TỪ VIẾT TẮT MITM: Man In The Middle ARP: Address Resolution Protocol DNS: Domain Naming System DoS: Denial of Service DDoS: Distributed Denial of Service IDS: Intrusion Detect System HIDS: Host-based Intrusion Detect System NIDS: Network-based Intrusion Detect System IPS: Intrusion Prevent System TCP: Transmission Control Protocol – giao thức điều ển truyền vận UDP: User Datagram Protocol – giao thức gửi liệu ngắn ICMP: Internet Control Message Protocol – giao thức ki ểm tra kết n ối ASCII: American Standard Core for Information Interchange – chu ẩn mã trao đ ổi thơng tin Hoa Kì IP: Internet Protocol Firewall: rào chắn mạng nội mạng khác Packet Decoder: Mơđun giải mã gói tin Preprocessor: Mơđun tiền xử lý Detection engine: Môđun phát Logging and Alerting System: Môđun log va cảnh báo SSH - Secure Shell: Giao thức kết nối bảo mật Đề tài: Incident Response And HandlingGVHD: Lê Duy An CHƯƠNG I: TỔNG QUAN 1.1 Tổng quan đề tài 1.1.1 Các kiến thức sở 1.1.1.1 Khái quát an ninh mạng - An ninh mạng máy tính (Network Security) tổng thể giải pháp mặt tổ chức kỹ thuật nhằm ngăn cản nguy tổn hại đến mạng Các tổn hại xảy do: • Lỗi người sử dụng • Các lỗ hổng hệ điều hành chương trình ứng - dụng • Các hành động hiểm độc • Các lỗi phần cứng • Các nguyên nhân khác từ tự nhiên An ninh mạng máy tính bao gồm vơ số phương pháp s dụng đ ể - ngăn cản kiện trên, trước hết tập trung vào việc ngăn cản: • Lỗi người sử dụng • Các hành động hiểm độc Số lượng mạng máy tính tăng lên nhanh Ngày tr thành ph ức tạp phải thực nhiệm vụ quan trọng Mang lại thách thức cho sử dụng quản lý chúng Sự cần thi ết ph ải h ội nhập dịch vụ vào hạ tầng sở mạng tất m ột điều hiển nhiên Do nhà quản lý mạng phải cố gắng tri ển khai - công nghệ vào hạ tầng sở mạng An ninh Mạng – Network Security bảo vệ mạng bạn trước vi ệc đánh cắp sử dụng sai mục đích thơng tin kinh doanh bí mật ch ống l ại t ấn công mã độc từ vi rút sâu máy tính mạng Internet N ếu khơng có an ninh mạng triển khai, công ty bạn gặp rủi ro tr ước xâm nhập trái phép, ngừng trệ hoạt động mạng, gián đoạn dịch v ụ, - không tuân thủ quy định chí hành động phạm pháp An ninh Mạng không dựa vào phương pháp mà sử dụng tập hợp rào cản để bảo vệ doanh nghiệp bạn theo cách khác Ngay giải pháp gặp cố giải pháp khác b ảo v ệ công ty liệu bạn trước đa dạng loại cơng mạng Nhóm SVTH: Nhóm 03 Page Đề tài: Incident Response And HandlingGVHD: Lê Duy An - Các lớp an ninh mạng bạn có nghĩa thơng tin có giá tr ị mà b ạn dựa vào để tiến hành kinh doanh sẵn có đối v ới bạn b ảo vệ trước công Cụ thể là, An ninh Mạng: • Bảo vệ chống lại công mạng từ bên bên ngồi Các cơng xuất phát từ hai phía, từ bên từ bên tường lửa doanh nghiệp bạn Một hệ thống an ninh hiệu giám sát tất hoạt động mạng, cảnh báo v ề hành động vi phạm thực phản ứng thích hợp • Đảm bảo tính riêng tư tất liên l ạc, đâu vào lúc Nhân viên truy cập vào mạng từ nhà đường với đảm bảo hoạt động truyền thông h ọ riêng tư bảo vệ • Kiểm sốt truy cập thơng tin cách xác định xác ng ười dùng hệ thống họ Các doanh nghiệp có th ể đặt quy tắc riêng họ truy cập liệu Phê duyệt từ ch ối có th ể cấp sở danh tính người dùng, chức cơng việc tiêu chí kinh doanh cụ thể khác • Giúp bạn trở nên tin cậy Bởi cơng ngh ệ an ninh cho phép hệ thống bạn ngăn chặn dạng công biết thích ứng với dạng cơng mới, nhân viên, khách hàng doanh nghiệp an tâm liệu họ an toàn 1.1.1.2 Những vấn đề đảm bảo an ninh an tồn mạng - Yếu tố phải nói đến liệu, thông tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu tính bảo mật, tính tồn - vẹn hay tính kịp thời Yếu tố thứ hai tài nguyên hệ thống, sau kẻ công làm chủ hệ thống chúng sử dụng máy đ ể chạy chương - trình dị tìm mật để cơng vào hệ thống mạng Sau số phương thức bảo đảm an tồn, bảo mật thơng tin, liệu: • Mật mã (Cryptography): việc thực chuyển đổi liệu theo quy tắc thành dạng mà kẻ cơng khơng nhận biết Nhóm SVTH: Nhóm 03 Page Đề tài: Incident Response And HandlingGVHD: Lê Duy An • Xác thực (Authentication): thao tác để nh ận d ạng người dùng, • nhận dạng client hay server… Ủy quyền (Authorization): việc phân định quyền hạn cho thành phần đăng nhập thành công vào hệ thống Quy ền hạn quyền sử dụng dịch vụ, truy cập liệu… • Kiểm toán (Auditing): phương pháp đ ể xác đ ịnh client truy cập đến liệu cách 1.1.1.3 Các thành phần - Để hệ thống an ninh mạng hoạt động tốt bao gồm nhiều thành phần, hoạt động tảng trường khác như: • Các máy trạm • Các máy chủ • Các ứng dụng • Các server • Các thiết bị hạ tầng mạng: Router, switch, Hub… • Các thiết bị, hệ thống phát phòng chống xâm nhập: IDS/IPS, - Snort, FireWall… • Các ứng dụng chạy máy chủ máy trạm Ngoài ra, log hệ thống thành phần quan tr ọng h ệ th ống mạng Nó lưu lại cách xác hoạt động hệ th ống, tình trạng hoạt động hệ thống, ứng dụng, thi ết bị ho ạt động hệ thống Log thành phần hữu hi ệu cho vi ệc giám sát khắc phục cố hệ thống mạng Bao gồm: • Log Access: Là log ghi lại tồn thơng tin truy c ập ng ười dùng tới hệ thống, truy cập ứng dụng tới sở liệu… • Log Event: log ghi lại chi ti ết nh ững s ự ki ện mà h ệ th ống th ực • Log ứng dụng, log hệ điều hành… Log Device: log ghi lại tình trạng hoạt đ ộng thi ết b ị ph ần cứng phần mềm sử dụng: Router, Switch, IDS, IPS… 1.1.2 Giới thiệu giải pháp - Giải pháp phân mảnh mạng Quản lý điểm truy nhập Các định tuyến chuyển mạch Giải pháp tường lửa Giải pháp lọc nội dung Giải pháp phát phòng chống xâm nhập Nhóm SVTH: Nhóm 03 Page Đề tài: Incident Response And HandlingGVHD: Lê Duy An - Điều khiển truy nhập từ xa Quản lý kiện an ninh Quản lý tổn thương Giải pháp mật mã 1.2 Lý chọn đề tài Mạng – Internet dường thời đại phát tri ển t nhà, cơng ty, doanh nghiệp, Nơi đâu có mạng Ta thấy rõ đ ược r ằng m ạng internet mang lại cho nhiều ều hữu ích Tuy nhiên, h ệ thống mạng, vấn đề an toàn bảo mật đóng vai trị hết s ức quan tr ọng Nếu khơng có an ninh mạng triển khai, hệ th ống bạn gặp rủi ro trước xâm nhập trái phép, ngừng trệ hoạt động mạng, s ự gián đo ạn d ịch vụ, khơng tn thủ quy định chí hành động phạm pháp Nhận thức tầm quan trọng nó, nhóm chúng em ch ọn đ ề tài để nghiên cứu dựa tài liệu Giảng Viên cung cấp Mục đích để học hỏi, muốn tìm hiểu giải pháp an ninh mạng tối ưu cho hệ thống mạng Nhóm SVTH: Nhóm 03 Page Đề tài: Incident Response And HandlingGVHD: Lê Duy An CHƯƠNG II: CƠ SỞ LÝ LUẬN Incident Response Models ( Các mơ hình ứng phó cố) 2.1 Các nguyên tắc tảng an ninh mạng Đối với nhiều tổ chức, doanh nghiệp, cá nhân thơng tin d ữ li ệu đóng vai trị quan trọng đời sống có ảnh h ưởng t ới s ự t ồn vong họ Vì vậy, việc bảo mật thơng tin d ữ li ệu ều vô cần thiết, bối cảnh hệ thống thông tin ngày đ ược mở rộng trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy không lường trước Điều cho thấy vai trò cốt yếu an ninh mạng vi ệc b ảo h ệ h ệ thống mạng Và tảng quan trọng an ninh mạng bao gồm yếu tố: - Tính bí mật Tính tồn vẹn Tính sẵn sàng Tùy thuộc vào ứng dụng hoàn cảnh cụ thể, mà ba nguyên tắc quan trọng khác Nhóm SVTH: Nhóm 03 Page 10 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Sau copy toàn thư mục giải nén vào thư mục cài đặt snort (Mặc định C:\Snort), chọn Yes to All để dán đè Bước 3: Cấu hình Snort (Cài đặt notepad++ để đọc file) Mở file C:\Snort\etc\snort.conf Notepad++ đ ể ti ến hành ch ỉnh s ửa file cấu hình bước sau: Sửa dịng: ipvar HOME_NET any thành ipvar HOME_NET 192.168.92.128/24 * Dùng lệnh ipconfig cmd để kiểm tra ip máy Nhóm SVTH: Nhóm 03 Page 48 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Hình 3.3 Sửa địa IP máy cần bảo vệ Sửa vị trí thư mục rule (mặc định c:\snort\) cách: Sửa dòng : var RULE_PATH /rules var SO_RULE_PATH /so_rules var PREPROC_RULE_PATH /preproc_rules Nhóm SVTH: Nhóm 03 Page 49 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Thành : var RULE_PATH c:\snort\rules var SO_RULE_PATH c:\snort\so_rules var PREPROC_RULE_PATH c:\snort\preproc_rules Hình 3.4 Sửa vị trí thư mục rules Nhóm SVTH: Nhóm 03 Page 50 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Sửa dòng: include classification.config include reference.config Thành: include C:\Snort\etc\classification.config include C:\Snort\etc\reference.config Hình 3.5 Nhóm SVTH: Nhóm 03 Page 51 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Chèn Dynamicpreprocessor Hình 3.6 Chèn dynamicpreprocesscor Thêm luật vào file config: include $RULE_PATH/.rules Hình 3.7 Thêm luật vào snort Nhóm SVTH: Nhóm 03 Page 52 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Bước 4: Mở cửa sổ Command Prompt (cmd) Gõ lệnh: cd C:\snort\bin Sau ta tiến hành kiểm tra card mạng cách gõ lệnh Snort –W Ở số hiệu card mạng Bây tiến hành sniffer packet dùng lệnh: Snort –dev –ix (với x số hiệu card mạng) Trong trình ch ạy snortm tiến hành ping từ client sang server Nhóm SVTH: Nhóm 03 Page 53 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Chế đệ Packet Log: Chúng ta lưu gói d ữ li ệu vào file log đ ể xem lệnh: snort -dev –i1 -l c:\snort\log (dòng lệnh ghi log thông tin liệu tầng Datalink TCP/IP) Đọc file log dùng lệnh: snort -dvr c:\snort\log\snort.log.NHÃN THỜI GIAN + Cài đặt Snort Service Tại dấu nhắt lệnh gõ: Snort /SERVICE /INSTALL –c c:\snort\etc\snort.conf -l c:\snort\log –K ascii -i1 Nhóm SVTH: Nhóm 03 Page 54 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Thực tiếp lệnh: sc config snortsvc start= auto Khởi động lại Windows Server Sau khởi động lại Windows, vào Service để kiểm tra Snort start thành công hay chưa Hình 3.8: Kiểm tra Snort chạy Computer managerment ch ưa Bước 5: Chạy Snort chế độ Detect Intrusion (IDS): để phát hi ện, ghi nhận cảnh báo loại traffic mạng: Gõ lệnh: snort –de –l c:\snort\log –c c:\snort\etc\snort.conf Hình 3.9 Nhóm SVTH: Nhóm 03 Page 55 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Hình 3.10 Hồn tất khởi chạy Snort chế độ IDS Bước 6: Tạo luật cảnh báo PING demo kết Dùng notepad tạo file có tên tester, đuôi rules (tester.ruler) Trong file viết luật phát ping với nội dung sau: alert icmp any any -> $HOME_NET any (msg:”Canh bao co may dang ping”; sid:140791;) Save file vào đường dẫn C:\Snort\rules Nhóm SVTH: Nhóm 03 Page 56 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Nếu luật chưa include vào file snort.conf ta include vào, ta include file tester.rules bước nên không cần include Dùng máy attacker tạo lệnh ping vào máy ảo sau: ping 192.168.92.128 –t Snort phát ping kiểm tra lại kết qua file alert.ids (C:\Snort\log) Hình 3.11 Máy attacker ping Snort phát ping kiểm tra lại kết qua file alert.ids (C:\Snort\log) Nhóm SVTH: Nhóm 03 Page 57 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Hình 3.12 Kết ghi lại Bước 7: Demo với luật cảnh báo Ping of Death Tương tự bước 6, tạo file luật testpod.rules với lệnh: alert icmp any any -> $HOME_NET any (msg: “Co Ping size lon”; dsize: > 1000; sid:2) Thêm luật vào snort.conf Start lại chế độ IDS Tạo lệnh ping máy attacker sau: ping –l 1300 –f 192.168.92.128 –t Nhóm SVTH: Nhóm 03 Page 58 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Hình 3.13 Attacker ping gói 1300 byte tới Server Kiểm tra file aler.ids Nhóm SVTH: Nhóm 03 Page 59 Đề tài: Incident Response And HandlingGVHD: Lê Duy An Hình 3.14 Kết ghi lại Như hệ thống IDS Phát xâm nhập Snort hoạt động ổn Nhóm SVTH: Nhóm 03 Page 60 Đề tài: Incident Response And HandlingGVHD: Lê Duy An CHƯƠNG 4: KẾT LUẬN Kết đạt Trong trình thực làm đề tài, chúng em học thêm nhiều kiến thức Chúng em nghiên cứu kiến thức an ninh mạng, kiểu công đặc biệt giải pháp an ninh mạng phổ biến Ngồi ra, nhóm chúng em tìm hiểu sâu giải pháp an ninh mạng cách tìm hiểu phần mềm Snort kiến thức làm tảng để xây dựng hệ thống phát xâm nhập IDS, nỗ lực cố gắng nghiên cứu nhóm Ngồi kiến thức chun ngành, nhóm em cịn học thêm cách làm việc nhóm, cách phân chia cơng việc phù hợp Ưu điểm nhược điểm Ưu điểm: • • • • • • Các giải pháp an ninh mạng tương đổi đa dạng Tính an ninh mạng tốt Dễ quản trị Kiến trúc an ninh không phức tạp Dễ cài đặt, mở rộng Chi phí đầu tư không cao Nhược điểm: - Của phần mềm Snort: • Có thể xaỷ trường hợp báo động giả, tức khơng có dấu hi ệu bất thuờng mà IDS báo (False Positive) • Khơng thể phân tích lưu lượng mã hóa SSH, IPSec, SSL, v.v • NIDS địi hỏi phải ln cập nhật dấu hi ệu công m ới để thực hoạt động hiệu Nhóm SVTH: Nhóm 03 Page 61 Đề tài: Incident Response And HandlingGVHD: Lê Duy An • Khơng thể cho biết việc mạng bị cơng có thành cơng hay khơng, • để người quản trị tiến hành bảo trì hệ thống Một hạn chế giới hạn băng thông Những thu thập liệu phải thu thập tất lưu lương mạng, xếp l ại phân tích chúng Khi tốc độ mạng tăng lên khả c b ộ thu thập thông tin Một giải pháp đảm bảo cho mạng - thiết kế xác Của nhóm báo cáo: • Chưa làm snort phát thông báo trực ti ếp mà ph ải vào file alert.ids để xem • Khả đọc hiểu tiếng Anh hạn chế, nên khó khăn vi ệc • tiếp cận tài liệu dồi từ nước ngồi Demo cịn có phần đơn giản, phát ping Những hạn chế gặp phải Trong trình thực đồ án, nhóm chúng em cho mặt hạn chế như: - Hạn chế kiến thức kinh nghiệm thực tế Đề tài tìm hiểu rộng nên khó khăn việc tìm kiếm chọn lọc thơng - tin xác Cịn gặp nhiều khó khăn việc làm thực nghiệm Thời gian thực đồ án khơng chưa đủ để tìm hiểu đầy đủ Hạn chế thời gian thảo luận nhóm Hướng phát triển Vì thời gian tìm hiểu cịn hạn hẹp nên thực nghi ệm ch ưa hoàn thiện tốt Trong tương lai nhóm em cố gắng tìm hi ểu thêm nhi ều ki ến th ức để tìm hiểu đầy đủ tối ưu giải pháp, đáp ứng nhu c ầu An Toàn Hệ Thống An Ninh Mạng Tài liệu tham khảo : [1] CyOps1.1_Chp13_Instructor_Supplemental_Material (Cisco) Nhóm SVTH: Nhóm 03 Page 62 ... hở hệ thống máy tính đ ể hồn thành mục tiêu hay nói cách dễ hi ểu hơn, hacking hành đ ộng thâm nhập vào hệ thống quản trị mạng máy tính, phần mềm máy tính hay m ạng máy tính để thay đổi hệ thống. .. thời đại cơng nghệ thơng tin phát tri ển nhanh vượt bậc hi ện nay, đặc biệt cơng nghệ máy tính mạng máy tính với bùng nổ hàng ngàn cách mạng lớn nhỏ Sự đời mạng máy tính d ịch v ụ mang lại cho người... thơng tin lưu trữ hệ thống máy tính cần bảo vệ yêu cầu tính bảo mật, tính tồn - vẹn hay tính kịp thời Yếu tố thứ hai tài nguyên hệ thống, sau kẻ công làm chủ hệ thống chúng sử dụng máy đ ể chạy chương