Chúng ta đang sống trong thời đại của cuộc cách mạng Internet kết nối toàn cầu Mạng Internet đã mở ra những cơ hội vô cùng to lớn cho con người trong công cuộc tìm kiếm tri thức nhưng đồng thời cũng phát sinh một vấn đề quan trọng đó là đảm bảo sự an toàn của người sử dụng trên không gian mạng công khai đó Mọi tài nguyên của các tổ chức cá nhân khi tham gia vào Internet đều có nhiều nguy cơ tiềm ẩn khả năng mất an toàn thông tin ATTT Vấn đề cấp thiết là đảm bảo ATTT cho tài nguyên thông tin của các tổ chức cá nhân doanh nghiệp khi tham gia vào môi trường Internet Hiện nay các chương trình bảo mật phòng chống virus giám sát bảo vệ hệ thống đều có giá thành cao và được phát triển ở nước ngoài và hầu hết được tích hợp trên các thiết bị phần cứng nên việc khai thác các chức năng hoặc người dùng tự phát triển mở rộng thêm chức năng của các chương trình này nhằm phục vụ cho công việc quản trị mạng bị hạn chế Hệ thống phát hiện xâm nhập mã nguồn mở Snort là một công cụ có khả năng phát hiện được các xâm nhập trái phép và đưa ra những cảnh báo vào hệ thống từ đó giúp cho các quản trị mạng có thể đưa ra được các phương pháp phòng chống mất ATTT vào hệ thống
ĐẠI HỌC ĐÀ NẴNG TRƯỜNG ĐẠI HỌC BÁCH KHOA NGUYỄN VĨNH HUẾ XÂY DỰNG HỆ THỐNG GIÁM SÁT VÀ CẢNH BÁO NGUY CƠ XÂM NHẬP MẠNG TẠI TRUNG TÂM DỮ LIỆU ĐIỆN TỬ TỈNH QUẢNG BÌNH Chuyên ngành: Khoa học máy tính Mã số: 8480101 LUẬN VĂN THẠC SĨ KỸ THUẬT Người hướng dẫn khoa học: PGS.TS NGUYỄN TẤN KHƠI Đà Nẵng - Năm 2018 LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Tác giả luận văn NGUYỄN VĨNH HUẾ TRANG TÓM TẮT LUẬN VĂN Tên đề tài: XÂY DỰNG HỆ THỐNG GIÁM SÁT VÀ CẢNH BÁO NGUY CƠ XÂM NHẬP MẠNG TẠI TRUNG TÂM DỮ LIỆU ĐIỆN TỬ TỈNH QUẢNG BÌNH Học viên: Nguyễn Vĩnh Huế Mã số: 8480101 - Khóa: 34 Chuyên ngành: Khoa học máy tính Trường Đại học Bách khoa - ĐHĐN Tóm tắt – Chúng ta sống thời đại cách mạng Internet kết nối toàn cầu Mạng Internet mở hội vô to lớn cho người cơng tìm kiếm tri thức, đồng thời phát sinh vấn đề quan trọng đảm bảo an tồn người sử dụng khơng gian mạng cơng khai Mọi tài nguyên tổ chức, cá nhân tham gia vào Internet có nhiều nguy tiềm ẩn khả an tồn thơng tin (ATTT) Vấn đề cấp thiết đảm bảo ATTT cho tài nguyên thông tin tổ chức, cá nhân, doanh nghiệp tham gia vào môi trường Internet Hiện nay, chương trình bảo mật, phịng chống virus, giám sát bảo vệ hệ thống có giá thành cao phát triển nước ngồi hầu hết tích hợp thiết bị phần cứng nên việc khai thác chức năng, người dùng tự phát triển mở rộng thêm chức chương trình nhằm phục vụ cho công việc quản trị mạng bị hạn chế Hệ thống phát xâm nhập mã nguồn mở Snort cơng cụ có khả phát xâm nhập trái phép đưa cảnh báo vào hệ thống, từ giúp cho quản trị mạng đưa phương pháp phòng, chống ATTT vào hệ thống Project title: DEVELOP A SYSTEM FOR MONITORING AND WARNING OF NETWORK INTRUSION RISK AT ELECTRONIC DATA CENTER IN QUANG BINH PROVINCE Abstract - We are living in an Internet revolution connectting the world Internet brings people lots of great opptunities in searching knowledge All sources of organizations and individuals that take part in the Internet can take risks of losing Information security The imperative problem thing is ensuring Information security for organizations and businessess using the internet Today, security programmes, virus prevention, and system protection cost highly and have been developing in foreign countries and are integrated in hardware devices, therefore exploittation of programmes’ function or the users develop and extend there programmes’ function for Internet management Snort open code intrusion detection system is a tool that can detect illegal intrusion and give out alert so that internet manager can put sollutions of protection and prevention of losing information security into the system MỤC LỤC TRANG BÌA LỜI CAM ĐOAN TRANG TÓM TẮT LUẬN VĂN MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC HÌNH MỞ ĐẦU 1 Tổng quan đề tài Mục tiêu đề tài Phương pháp thực Cấu trúc luận văn CHƯƠNG 1: CƠ SỞ LÝ THUYẾT 1.1 Hệ thống phát xâm nhập IDS 1.1.1 Giới thiệu 1.1.2 Hệ thống phát xâm nhập 1.1.3 Cấu trúc bên IDS 1.1.4 Đặt IDS hệ thống mạng 12 1.2 Hệ thống Snort 13 1.2.1 Giới thiệu 13 1.2.2 Luật Snort 14 1.3 Ngôn ngữ C# 20 1.3.1 Giới thiệu: 20 1.3.2 Đặc trưng ngôn ngữ C# 20 1.3.3 Các loại ứng dụng C# 21 1.4 Kết chương 22 CHƯƠNG 2: PHÂN TÍCH VÀ CÀI ĐẶT HỆ THỐNG 23 2.1 Phân tích số phương pháp cơng 23 2.1.1 Scanning(Quét mạng) 23 2.1.2 Tấn công ARP (ARP attack) 25 2.1.3 Sniffer 30 2.1.4 Tấn công từ chối dịch vụ (DoS attack) 33 2.1.5 Tắt kết nối TCP (TCP Kill) 40 2.1.6 SQL Injection 43 2.2 Cài đặt cấu hình Snort 48 2.2.1 Sơ đồ hệ thống 48 2.2.2 Cài đặt Snort 49 2.2.3 Cài đặt cấu hình PHP 53 2.2.4 Cấu hình MySQL để chạy Snort 55 2.2.5 Cài đặt cấu hình Barnyard2 56 2.2.6 Cài đặt cấu hình BASE 56 2.2.7 Kiểm tra cài đặt 58 2.3 Xây dựng ứng dụng quản lí Snort 61 2.3.1 App-BASE : Quản lí liệu Snort 61 2.3.2 AppRules : Quản lí Rules Snort 61 CHƯƠNG 3: TRIỂN KHAI KẾT QUẢ ĐẠT ĐƯỢC 63 3.1 Quét cổng (port scan) 63 3.2 Ping of Death 64 3.3 DDOS UDP 64 3.4 SYN attack 65 3.5 SQL Injection 66 3.6 Kết chương 66 KẾT LUẬN 67 TÀI LIỆU THAM KHẢO 68 QUYẾT ĐỊNH GIAO ĐỀ TÀI LUẬN VĂN THẠC SĨ (BẢN SAO) BẢN SAO KẾT LUẬN CỦA HỘI ĐỒNG, BẢN SAO NHẬN XÉT CỦA CÁC PHẢN BIỆN DANH SÁCH CÁC KÝ HIỆU, CHỮ VIẾT TẮT ARP Address Resolution Protocol BASE Basic Analysis and Security Engine DoS Denial-of-Service DDoS Distributed Denial-of-Service IDS Intrusion Detection System HIDS Host-based IDS NIDS Netword-base IDS HTTPS Hyper Text Transfer Protocol Secure ICMP Internet Control Message Protocol TCP Transmission Control Protocol UDP User Datagram Protocol IP Interner Protocol LAN Local Area Network SYN Synchronize URL Uniform Resource Locator DANH MỤC CÁC HÌNH Hình 1.1 Cấu trúc bên IDS Hình 1.2 Mơ hình máy tính sử dụng Packet Sniffer Hình 1.3 Một số Preprocessor Snort Hình 1.4 Sơ đồ hoạt động Detection Engine 10 Hình 1.5 Một số dạng Output phát sinh IDS 12 Hình 1.6 Một số vị trí đặt IDS hệ thống mạng 13 Hình 1.7 Cấu trúc Rule Header 16 Hình 2.1 Mơ hình hoạt động giao thức ARP 26 Hình 2.2 Mơ hình hoạt động kỹ thuật ARP Spoofing 28 Hình 2.3 ARP Spoofing sử dụng nemesis 29 Hình 2.4 Phòng chống ARP Spoofing với WinARP Watch 29 Hình 2.5 Sniffs username password logon 31 Hình 2.6 Giải mã password logon với Cracker Cain .31 Hình 2.7 Arp spoofing với Cain 32 Hình 2.8 Sniffs username password ứng dụng Web với Cain 32 Hình 2.9 Sniffs username passwdord ứng dụng Web với Ettercap 33 Hình 2.10 Màn hình làm việc Nemesy 35 Hình 2.11 SYN attack với hping3 36 Hình 2.12 Quan sát gói tin UDP flooding Ethereal 36 Hình 2.13 Sơ đồ minh họa DDoS 37 Hình 2.14 Sơ đồ minh họa DRDoS .39 Hình 2.15 Mơ hình bắt tay bước 40 Hình 2.16 Mơ hình tắt kết nối TCP với TCP Kill 42 Hình 2.17 Quan sát TCP kill Ettercap 42 Hình 2.18 Sơ đồ hệ thống 48 Hình 2.19 Mơ hình xử lí 49 Hình 2.20 Chạy file cài đặt Snort 50 Hình 2.21 File Rules Snort .51 Hình 2.22 File preproc_rules Snort 51 Hình 2.23 Cài đặt dịch vụ IISServer .53 Hình 2.24 Cấu hình PHP IIS 54 Hình 2.25 Test cấu hình PHP 55 Hình 2.26 Màn hình khởi động snort thành cơng 59 Hình 2.27 Màn hình khởi động Barnyard2 thành cơng 60 Hình 2.28 Giao diện Web Base .60 Hình 2.29 Giao diện App-BASE 61 Hình 2.30 Giao diện AppRules .62 Hình 3.1 Port scan Zenmap .63 Hình 3.2 Đáp ứng hệ thống với Port scan 64 Hình 3.3 Đáp ứng hệ thống với Ping of Death 64 Hình 3.4 DDOS UDP UDP – Unicorn 65 Hình 3.5 Đáp ứng hệ thống với DDOS UDP 65 Hình 3.6 Đáp ứng hệ thống với SYN attack 66 Hình 3.7 Đáp ứng IDS với kiểu SQL Injection 66 MỞ ĐẦU Tổng quan đề tài Xã hội ngày phát triển, Internet trở thành phần thiếu cá nhân, doanh nghiệp, tổ chức, trường học Internet trở thành công cụ, phương thức giúp cho doanh nghiệp tiếp cận với khách hàng, cung cấp dịch vụ, quản lý liệu tổ chức cách hiệu nhanh chóng Cùng với phát triển theo chiều hướng tốt, công xâm nhập mạng kẻ xấu phát triển theo Không giới mà Việt Nam vấn đề “An tồn thơng tin” trở thành vấn đề nóng bỏng Sự đa dạng phức tạp loại hình cơng gây nhiều khó khăn cho việc ngăn chặn phịng chống Một hệ thống phòng chống phát xâm nhập giúp người quản trị ln ln theo dõi thu thập nhiều thông tin đáng giá cho q trình chống lại hình thức cơng xâm nhập Hiện nay, chương trình bảo mật, phòng chống virus, giám sát bảo vệ hệ thống có giá thành cao phát triển nước ngồi Ngồi ra, chương trình giám sát hầu hết tích hợp thiết bị phần cứng nên việc khai thác chức năng, người dùng tự phát triển mở rộng thêm chức chương trình nhằm phục vụ cho công việc quản trị mạng bị hạn chế Vì thế, nhu cầu có hệ thống hỗ trợ giám sát bảo vệ hệ thống mạng trực quan nhằm giúp cho công việc quản trị mạng tập trung đạt hiệu cao cần thiết Đó lý mà tơi chọn nghiên cứu thực đề tài: “Xây dựng hệ thống giám sát cảnh báo nguy xâm nhập mạng Trung tâm liệu điện tử tỉnh Quảng Bình” 2 Mục tiêu đề tài Nghiên cứu chung hệ thống phát xâm nhập, đặc điểm, kiến trúc hệ thống phát xâm nhập, đặc biệt kỹ thuật phát xâm nhập áp dụng Nghiên cứu hệ thống phát xâm nhập Snort, cách cài đặt, cấu hình, triển khai hệ thống mạng Phân tích dấu hiệu hình thức cơng, hình thành nên luật tương ứng với đặc điểm dạng cơng xâm nhập Phương pháp thực Nghiên cứu lý thuyết phát xâm nhập thông qua tài liệu báo cáo Nghiên cứu lý thuyết Snort thông qua tài liệu từ trang chủ Snort, tài liệu hướng dẫn cho người sử dụng từ Sourcefire nguồn tài liệu khác Triển khai hệ thống máy ảo VMware Workstation, xây dựng hệ thống mạng đơn giản mô tả hệ thống mạng nhỏ thực tế Triển khai dịch vụ mơ hình mạng cỡ nhỏ Tìm hiểu phương thức xâm nhập, công khai thác lỗ hổng, công cụ cách thức thực Triển khai công, xâm nhập, khai thác lỗ hổng Sau đọc log, phân tích gói tin bắt được, chuyển hóa thành luật nhằm phát ngăn chặn Cấu trúc luận văn Ngoài phần mở đầu, kết luận tài liệu tham khảo luận văn gồm có chương CHƯƠNG 1: CƠ SỞ LÝ THUYẾT CHƯƠNG 2: PHÂN TÍCH VÀ CÀI ĐẶT HỆ THỐNG CHƯƠNG 3: TRIỂN KHAI KẾT QUẢ ĐẠT ĐƯỢC 64 Hình 3.2 Đáp ứng hệ thống với Port scan 3.2 Ping of Death ping -l 1000 192.168.1.100 -t Attacker gửi gói tin ICMP có kích thước lớn tới máy chủ nhằm chiếm đường truyền ngăn việc cung cấp dịch vụ máy chủ Luật Snort kiểm tra kích thước gói tin ICMP gửi tới alert icmp any any-> any any (msg: “ICMP ping of death”; itype:8; dsize>1024; sid:100001; rev:1;) Hình 3.3 Đáp ứng hệ thống với Ping of Death 3.3 DDOS UDP Cơng cụ : UDP – Unicorn 65 Hình 3.4 DDOS UDP UDP – Unicorn Hình 3.5 Đáp ứng hệ thống với DDOS UDP 3.4 SYN attack hping3 -I eth0 -a 192.168.1.200 -S 192.168.1.100 -p 80 flood Hacker gửi tràn ngập đến hệ thống đích gói tin có cờ SYN liệu hợp lệ nên hệ thống đích đáp ứng lại SYN/ACK Các luật mặc định preprocessor có sẵn khơng phát công Ta cần viết luật cho Snort để nhận 66 biết đơn vị thời gian mà số lượng gói tin có cờ SYN đến hệ thống đích lớn phải cảnh báo có SYN attack Ví dụ : alert tcp any any -> any any (msg: “SYN attack”; flags:S; threshold: type threshold, track by_dst, count 1000, seconds 60; sid:100002; rev:1;) Hình 3.6 Đáp ứng hệ thống với SYN attack 3.5 SQL Injection Ta biết gói tin mà hacker gửi từ client đến sever SQL Injection phân tích cơng cụ phân tích protocol có số từ khố SELECT, UNION, INSERT ta viết luật cho snort để phát kiểu công số cách ví dụ sau : alert tcp any any -> any any (msg: “SQL content:”UNION”; flow: to_server; sid:100005; rev:1;) Injection detect”; alert tcp any any -> any any (msg: “SQL content:”SELECT”; flow: to_server; sid:100005; rev:1;) Injection detect”; Từ client ta truy cập vào server mà gói tin có chưa từ khóa như: union, select rules Snort bắt Hình 3.7 Đáp ứng IDS với kiểu SQL Injection 3.6 Kết chương Chương trình bày kiểu công khảo nghiệm kết hoạt động hệ thống 67 KẾT LUẬN Kết đạt Trong thời gian tìm hiểu, nghiên cứu sở lý thuyết triển khai ứng dụng công nghệ, đề tài đạt kết sau: Về mặt lý thuyết, việc làm đề tài cố thêm kiến thức an ninh mạng, phương thức cơng phịng thủ, ngăn chặn cơng hệ thống, ngơn ngữ C# Trình bày phần lớn công phổ biến mạng Cung cấp kiến thức bảo mật, tảng giúp cho người quản trị nâng cao hiệu bảo mật mạng Về mặt thực tiễn ứng dụng, việc làm đề tài thực tế tiến hành hình thức công hệ thống, phát ngăn chặn loại công Hiểu, sử dụng số cơng cụ cơng phịng thủ, cài đặt triển khai IDS nói chung Snort IDS nói riêng, áp dụng mơi trường thực tế Tuy nhiên, đề tài tồn vấn đề sau : Quy mơ luận văn cịn nhỏ, mô phần nhỏ hệ thống Các kiểu cơng xâm nhập mạng trình bày đề tài tiến hành thử nghiệm mạng nội mơi trường mạng giả lập nên chưa bao quát hết vấn đề thực tế mạng Internet Chưa thể tiếp cận với hệ thống IDS vận hành thực tế để có so sánh, đánh giá tính năng, hiệu quả… Hướng phát triển Một số hướng nguyên cứu phát triển đề tài sau : Tìm hiểu, bổ sung, đánh giá hiệu hệ thống nhiều môi trường khác Xây dựng, phát triển giao diện cách sử dụng hệ thống thêm thân thiện, dễ dàng Nghiên cứu ứng dụng công nghệ tri thức để viết plugin tích hợp vào hệ thống IDS nhằm mục đích tăng cường khả nhận dạng linh hoạt trình nhận dạng công xâm nhập hệ thống 68 TÀI LIỆU THAM KHẢO Tài liệu tiếng Anh [1] David Gullett (2012), Snort 2.9.3 and Snort Report 1.3.3 on Ubuntu 12.04 LTS Install Guide, Symmetrix Technologies [2] The Snort Team (2012), Snort® User Manual 2.9.3, The Snort Project Tài liệu Internet [3] Hacker Vietnam Association (2005), Ký vụ DDoS đến HVA, http://www.hvaonline.net/hvaonline/posts/list/112.hva [4] BleedingSnort (2009), Bộ luật cung cấp BleedingSnort, http://www.bleedingsnort.com/ [5] Snort Windows http://www.winsnort.com [6] Chris Vespermann, “Snort, MySQL 5, Apache, and BAS for Gentoo Linux” [7] http://www.cisco.com/en/US/products/hw/switches/ps708/products_tech_note09 186a008015c612.shtml [8] https://www.cnss.gov/CNSS/issuances/Instructions.cfm ... ? ?Xây dựng hệ thống giám sát cảnh báo nguy xâm nhập mạng Trung tâm liệu điện tử tỉnh Quảng Bình? ?? 2 Mục tiêu đề tài Nghiên cứu chung hệ thống phát xâm nhập, đặc điểm, kiến trúc hệ thống phát xâm. .. TẮT LUẬN VĂN Tên đề tài: XÂY DỰNG HỆ THỐNG GIÁM SÁT VÀ CẢNH BÁO NGUY CƠ XÂM NHẬP MẠNG TẠI TRUNG TÂM DỮ LIỆU ĐIỆN TỬ TỈNH QUẢNG BÌNH Học viên: Nguy? ??n Vĩnh Huế Mã số: 8480101 - Khóa: 34 Chuyên ngành:... tính, hệ thống mạng trước hành động đe dọa đến hệ thống vi phạm sách an ninh báo cáo lại cho người quản trị hệ thống Một hệ thống phát xâm nhập cài đặt hệ thống mạng giống hệ thống cảnh báo chống