Nghiên cứu giải pháp hệ thống phát hiện xâm nhập đảm bảo an toàn thông tin SV: HỒ TRUNG DŨNG 1 TRƯỜNG ĐẠI HỌC XÂY DỰNG KHOA CÔNG NGHỆ THÔNG TIN o0o ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH TIN HỌC NGHIÊN CỨU GIẢI PHÁP HỆ THỐNG PHÁT HIỆN XÂM NHẬP ĐẢM BẢO AN TOÀN THÔNG TIN NGƯỜI THỰC HIỆN: HỒ TRUNG DŨNG GIÁO VIÊN HƯỚNG DẪN: TSKH. HOÀNG ĐĂNG HẢI HÀ NỘI – 2008 Nghiên cứu giải pháp hệ thống phát hiện xâm nhập đảm bảo an toàn thông tin SV: HỒ TRUNG DŨNG 2 MỤC LỤC LỜI NÓI ĐẦU . 7 CHƯƠNG I. ĐẶT VẤN ĐỀ . 8 1. Tổng quan về vấn đề an toàn thông tin 9 1.1. Khái niệm về an toàn thông tin . 9 1.2. Các chính sách an toàn thông tin 10 2. Hệ thống giám sát – Giải pháp chủ yếu cho đảm bảo an toàn thống tin 11 3. Mục tiêu của bài đồ án . 12 4. Tóm tắt phương pháp thực hiện và kết quả của bài . 13 CHƯƠNG II. CÁC HÌNH THỨC TẤN CÔNG VÀ CÁC BIỆN PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN 14 1. Các hình thức tấn công . 14 1.1. Tấn công thăm dò 14 1.1.1. In dấu chân (footprinting): . 14 1.1.2. Quét (scanning): 14 1.1.3. Liệt kê (Enumerationning): . 15 1.2. Tấn công thâm nhập . 15 1.3. Tấn công từ chối dịch vụ (DoS – Deny of Service) . 15 1.3.1. Thông qua kết nối phá hoại giới hạn tài nguyên mạng: 15 1.3.2. Lợi dụng nguồn tài nguyên của chính nạn nhân để tấn công 16 1.3.3. Sử dụng băng thông: 16 1.3.4. Sử dụng các nguồn tài nguyên khác 17 1.4. Tấn công ứng dụng web: 18 2. Các biện pháp đảm bảo an toàn thông tin 23 2.1. Tường lửa (Firewall): . 23 2.1.1. Thành phần của Firewall . 24 2.1.2. Nguyên lý hoạt động của Firewall: . 24 2.1.3. Các chế độ hoạt động của Firewall: 24 2.1.4. Các dạng Firewall: . 24 2.2. Thiết bị kiểm soát nội dung SCM (Secure Content Management) 26 3. Một số hệ thống, công cụ phổ biến: . 26 Nghiên cứu giải pháp hệ thống phát hiện xâm nhập đảm bảo an toàn thông tin SV: HỒ TRUNG DŨNG 3 3.1. Hệ thống phát hiện và chống xâm nhập . 26 3.1.1. Các bộ lọc gói tin . 26 3.1.2. Pháo đài phòng thủ (Bastion Host) 27 3.1.3. Hệ thống phát hiện xâm nhập (Intrusion Detection System  IDS) 29 3.1.4. Proxy Server: . 32 3.1.5. Hệ thống gài bẫy (Honeypot và Honeynet) . 33 3.2. Kỹ thuật và công cụ bảo mật 35 3.2.1. Kỹ thuật tạo đường hầm (Tunneling) 35 3.2.2. Công cụ Sniffer 36 3.2.3. Công cụ Snort 37 3.2.4. Công cụ bảo mật cho truy cập từ xa  Secure Shell . 38 3.2.5. Công cụ cản lọc – ModSecurity 40 3.2.6. Công cụ Tripwire . 41 CHƯƠNG III. THIẾT KẾ XÂY DỰNG HỆ THỐNG GIÁM SÁT . 43 1. Yêu cầu chung đối với hệ thống giám sát 43 1.1. Yêu cầu chung cho cung cấp dịch vụ . 43 1.2. Yêu cầu chung về xây dựng hệ thống giám sát đảm bảo an toàn thông tin . 43 1.3. Những nguyên tắc trong xây dựng chính sách an toàn thông tin . 44 2. Lựa chọn giải pháp cho hệ thống giám sát . 45 2.1. Phân tích các nguy cơ tấn công xâm nhập webserver trái phép . 46 2.2. Lựa chọn giải pháp lọc gói tin 49 2.3. Các tập luật sử dụng cho lọc gói tin . 50 2.4. Giải pháp cho phát hiện và chống xâm nhập trái phép . 51 3. Thiết kế xây dựng mô hình hệ thống giám sát . 52 3.1. Thu thập phân tích các logfile để phát hiện xâm nhập trái phép 52 3.2. Phương thức giám sát, phát hiện xâm nhập trái phép 55 3.3. Mô hình tổng thể của hệ thống . 57 3.3.1. Kiến trúc hệ thống . 57 3.3.2. Chức năng của từng khối . 58 3.3.3. Các cách thức hoat động của từng khối . 59 3.4. Nguyên lý giám sát phát hiện xâm nhập 60 Nghiên cứu giải pháp hệ thống phát hiện xâm nhập đảm bảo an toàn thông tin SV: HỒ TRUNG DŨNG 4 3.4.1. Mô tả các hiện tượng attack. . 60 3.4.2. Mô tả cách thức lưu của filelogs . 65 3.5. Hoạt động của chương trình . 67 3.6. Các thông số chính của chương trình . 67 CHƯƠNG IV. THỬ NGHIỆM VÀ ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT 70 4.1. Mô tả giao diện của chương trình . 70 4.2. Cài đặt chương trình . 70 4.3. Kết xuất dữ liệu 70 4.4. Đánh giá kết quả . 71 4.5. Khả năng thực hiện được 72 CHƯƠNG V. KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN . 73 5.1. Vấn đề đạt được 73 5.2. Hướng phát triển tiếp 73 Tài liệu tham khảo 74 Phụ lục: 75 Nghiên cứu giải pháp hệ thống phát hiện xâm nhập đảm bảo an toàn thông tin SV: HỒ TRUNG DŨNG 5 DANH MỤC CÁC HÌNH VẼ STT Tên hình Trang 1 Hình 1: Tháp chính sách an toàn thông tin 9 2 Hình 2: Mô hình hệ thống giám sát, quản lý mạng 10 3 Hình 3: Tấn công SYNflood 13 4 Hình 4: Tấn công DDOS 14 5 Hình 5: Tấn công DRDOS 14 6 Hình 6: Tấn công Smurf Attack 15 7 Hình 7: Quá trình thực hiện XSS 17 8 Hình 8: Sơ lược tấn công người dùng sử dụng Session Hijacking 18 9 Hình 9: Chi tiết quá trình tấn công người sử dụng Session Hijacking 19 10 Hình 10: Mô hình Firewall tổng quát 20 11 Hình 11 : Mô hình Firewall đóng vai trò bộ lọc gói tin 20 12 Hình 12: Mô hình Firewall mức mạng 22 13 Hình 13: Mô hình SCM 23 14 Hình 14: Mô hình Firewall phổ biến  một packetfilter 24 15 Hình 15: Mô hình hệ thống SingleHomed Bastion Host 24 16 Hình 16: Mô hình hệ thống DualHomed Bastion Host 25 17 Hình 17: Mô hình hệ thống NIDS 27 18 Hình 18: Mô hình hệ thống HIDS 28 19 Hình 19: Mô hình hệ thống IPS 29 20 Hình 20: Mô hình Proxy Server 29 Nghiên cứu giải pháp hệ thống phát hiện xâm nhập đảm bảo an toàn thông tin SV: HỒ TRUNG DŨNG 6 21 Hình 21: Các loại hình Honeypot theo mức độ tương tác 30 22 Hình 22: Mô hình kiến trúc honeynet 32 23 Hình 23: Mô hình traffic trên honeynet 32 24 Hình 24: Mô hình chung của Tunneling 33 25 Hình 25: Mô hình kiến trúc hệ thống Snort 35 26 Hình 26: Mô hình nguyên lý hoạt động của SSH 36 27 Hình 27. Mô hình cản lọc của ModSecurity 37 28 Hình 28: Mô hình hoạt động Tripwire 39 29 Hình 29: Hoạt động của một ứng dụng Web 43 30 Hình 30: Mô hình Daemon Syslog 50 31 Hình 31: Mô hình client/server của hệ thống 55 32 Hình 32: Mô hình hoạt động của hệ thống LIDS 56 33 Hình 33: Patterns – Lưu trữ các mẫu để so sánh 68 34 Hình 34. Các file trong LIDS sau khi cài đặt thành công 69 35 Hình 35: Log LIDS trên Console 70 Nghiên cứu giải pháp hệ thống phát hiện xâm nhập đảm bảo an toàn thông tin SV: HỒ TRUNG DŨNG 7 LỜI NÓI ĐẦU Ngày nay, Internet, một kho tàng thông tin khổng lồ, phục vụ hữu hiệu trong sản xuất kinh doanh, đã trở thành đối tượng cho nhiều người tấn công với các mục đích khác nhau. Đôi khi, cũng chỉ đơn giản là mục đích đùa bỡn hoặc thử tài với người khác. Tai hại hơn cả là các tấn công với mục đích phá hoại. Những tấn công như vậy sẽ tác động không nhỏ đến sản xuất và đời sống, có thể phá hoại nghiêm trọng đến nền kinh tế của một đất nước, gây ra một sự hoài nghi đối với ứng dụng công nghệ thông tin (CNTT) vào đời sống xã hội. Những nguy cơ đó đặt ra cho những nhà quản trị, vận hành mạng cũng như các nhà sản xuất, cung cấp dịch vụ nhiều thách thức mới. Do sự phát triển mạnh mẽ của CNTT, các kỹ thuật tấn công của tin tặc (Hacker) cũng ngày càng tinh vi hơn, hiểm độc hơn, có sử dụng kỹ thuật công nghệ cao hơn. Những nhà quản trị, vận hành mạng cần liên tục cập nhật, nâng cao trình độ chuyên môn và đề cao cảnh giác trong phòng chống và bảo vệ các hệ thống thông tin. Các nhà sản xuất, nhà cung cấp các dịch vụ và sản phẩm bảo mật luôn phải hoàn thiện và vá lại các lỗi bảo mật của sản phẩm. Các máy chủ Web (Webserver) luôn là những vùng đất màu mỡ cho các tin tặc tìm kiếm các thông tin giá trị hay gây rối vì một mục đích nào đó. Hiểm họa có thể đến dưới nhiều hình thức, từ các kiểu tấn công từ chối dịch vụ, quảng cáo các website có nội dung không lành mạnh cho đến các tấn công nhằm xoá, thay đổi nội dung các file hay phát tán các phần mềm chứa mã độc hại nhằm lấy cắp thông tin, đặc biệt là các thông tin thương mại, thông tin nhạy cảm. Vấn đề đặt ra cho các nhà quản trị mạng phải tìm ra các giải pháp tối ưu nhằm bảo đảm an toàn cho các webserver nói riêng và các hệ thống thông tin nói chung. Những công cụ tự động tìm lỗ hổng tuy giúp rất nhiều cho những nhà lập trình Web nhưng vẫn không thể ngăn chặn toàn bộ vì song song với tốc độ phát triển các công nghệ thì các cách thức tấn công ngày càng tinh vi, phong phú hơn. Các phương thức tấn công ngày nay không chỉ còn nằm trong khuôn khổ một vài kỹ thuật phổ biến đã được phát hiện, mà ngày càng biến đổi linh hoạt và gia tăng tùy vào những sai sót của các nhà quản trị hệ thống cũng như của những người lập trình ứng dụng. Chính vì những lý do đó, đảm bảo an toàn cho các hệ thống thông tin nói chung và các máy chủ web nói riêng ngày càng trở nên cấp thiết. Mục tiêu của đề tài tốt nghiệp là nghiên cứu một số phương thức giám sát phát hiện xâm nhập mạng, trên cơ sở đó đề xuất giải pháp hệ thống phát hiện chống xâm nhập trái phép và xây dựng mô hình thử nghiệm hệ thống. Luận văn đã tìm hiểu, phân tích các lỗ hổng bảo mật trong các ứng dụng web, nghiên cứu tìm hiểu các tấn công, qua đó đề xuất các giải pháp an ninh mạng cho các nhà quản trị hệ thống và triển khai thiết kế một Hệ thống giám sát Webserver. Nghiên cứu giải pháp hệ thống phát hiện xâm nhập đảm bảo an toàn thông tin SV: HỒ TRUNG DŨNG 8 CHƯƠNG I. ĐẶT VẤN ĐỀ Đảm bảo an toàn thông tin là một vấn đề rất rộng, có thể được xem xét ở mức dữ liệu (nơi mà những vấn đề về trộm gói tin và mã hóa dữ liệu có thể xảy ra), ở mức giao thức, và ở mức ứng dụng. Cũng như nhiều loại hình tội phạm khác, các đe dọa tấn công mạng và tài nguyên Internet xuất phát từ một cộng đồng nhỏ. Tuy nhỏ nhưng nhân tố này lại không ngừng lớn mạnh bởi ít có chế tài nào kiềm chế nó một cách hiệu quả. Chỉ cần một công cụ tấn công được phát tán lên mạng là ngay lập tức rất nhiều hệ thống máy tính trở thành mục tiêu tấn công thông qua các lỗ hổng phần mềm sẵn có trong các hệ thống. Những kẻ đứng đằng sau các vụ tấn công này có thể là tin tặc (hacker), bẻ khoá phần mềm hoặc "nội gián". * Hacker (hacker): Phần lớn là những người am hiểu về bảo mật và các nguyên lý vận hành mạng Internet và máy tính. Trước đây, mục đích của hacker khi đột nhập vào máy tính thường mang màu sắc phi lợi nhuận, chỉ để chứng tỏ tay nghề hay khoe "thành tích". Ngày nay, mục đích này đã dần biến mất và thay vào đó là các động cơ lớn hơn, ví dụ như: tiền bạc, thù hằn cá nhân, chính trị . Khái niệm và quan niệm về hacker ngày nay cũng rất đa dạng. Tuy nhiên, có thể chia hacker thành 3 dạng: mũ trắng, mũ đen và mũ xám. Hacker "mũ trắng" thường dùng để chỉ các chuyên gia bảo mật, những người vì sự an toàn chung của cộng đồng trong cuộc chiến chống lại hacker "mũ đen". Hacker "mũ đen" thường được coi là tin tặc thực sự. "Mũ xám" là cụm từ mới xuất hiện từ vài năm trở lại đây nhằm ám chỉ những hacker "nửa trắng nửa đen" (vừa chính lại vừa tà), có thể thay đổi theo hoàn cảnh. * Bẻ khoá (cracker): Các đối tượng này cũng rất nguy hiểm và có thể gây thiệt hại lớn đối với các doanh nghiệp và cộng đồng xã hội. Công việc "ưu thích" của những người này thường là bẻ khóa phần mềm, sửa đổi trang Web, đánh cắp thông tin thẻ tín dụng, phá huỷ dữ liệu… * Nội gián: Đó chính là nhân viên trong công ty, những người muốn có được thông tin cá nhân của người khác để thoả mãn tính tò mò hoặc phục vụ cho mục đích khác. Nhìn chung, những mối đe dọa an toàn thông tin thường thấy là các tấn công mạng, các thủ thuật đánh lừa (social engineering), virus, sâu và các phần mềm gián điệp. Những phi vụ tấn công mạng phức tạp có động cơ chính trị hoặc tài chính thường chỉ nhắm tới một công ty hoặc hệ thống máy tính cụ thể. Mục đích các tấn công không nằm ngoài ý định sửa đổi cơ sở dữ liệu, đánh cắp tài khoản hoặc thông tin cá nhân, cài Nghiên cứu giải pháp hệ thống phát hiện xâm nhập đảm bảo an toàn thông tin SV: HỒ TRUNG DŨNG 9 đặt các chương trình do thám để cho phép kẻ đột nhập có thể khởi phát các cuộc tấn công từ chính hệ thống máy tính nạn nhân. Vậy an toàn thông tin là gì? Các hình thức tấn công xâm nhập là như thế nào? Làm thế nào để đảm bảo an toàn thông tin và chống xâm nhập trái phép? Đây chính là những nội dung chủ yếu sẽ được đề cập đến trong bài luận văn này. 1. Tổng quan về vấn đề an toàn thông tin 1.1. Khái niệm về an toàn thông tin An toàn thông tin (ATTT) là đảm bảo an toàn cho cơ sở hạ tầng thông tin và các hoạt động truyền thông, đảm bảo sự toàn vẹn của hệ thống thiết bị, mạng lưới, các dịch vụ truyền thông, đảm bảo sự toàn vẹn, bí mật, khả dụng, nhất quán của thông tin dữ liệu trong hệ thống thiết bị và trên mạng lưới. An toàn thông tin được đảm bảo trước hết thông qua các chính sách an ninh và các biện pháp quản lý hệ thống thông tin. ATTT được xây dựng trên nền tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên thông tin của chủ sở hữu và các đối tác, các khách hàng trong một môi trường thông tin toàn cầu (theo ISO 17799 [1]). Cùng với sự phát triển không ngừng của Internet và các dịch vụ trên Internet, số lượng các vụ tấn công trên Internet cũng tăng theo cấp số nhân. Trong khi các phương tiện thông tin đại chúng ngày càng nhắc đến Internet với khả năng truy nhập thông tin dường như vô tận của nó, thì các tài liệu chuyên môn bắt đầu đề cập nhiều đến vấn đề bảo đảm và an toàn dữ liệu cho các máy tính được kết nối vào mạng Internet. Theo số liệu của các tổ chức CERT (Computer Emegency Response Team) quốc tế [1, 6, 15, 16, 17, 19], số lượng các vụ tấn công trên Internet được thông báo cho các tổ chức này là ít hơn 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 vào năm 1993, 2241 vào năm 1994. Các số liệu trên cho thấy số vụ tấn công ngày càng gia tăng nghiêm trọng. Những vụ tấn công này nhằm tất cả vào các máy tính có mặt trên Internet, bao gồm các máy tính của tất cả các công ty lớn, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, ngân hàng, nhà băng… Một số vụ tấn công có quy mô khổng lồ (có hơn 100.000 máy tính bị tấn công). Những con số này mới chỉ phản ánh một phần nhỏ các hiểm họa tiềm tàng trên Internet. Một phần rất lớn các vụ tấn công không được thông báo, vì nhiều lý do, trong đó có thể kể đến nỗi lo bị mất uy tín, hoặc đơn giản những người quản trị hệ thống không hề hay biết những vụ tấn công nhằm vào hệ thống của họ. Không chỉ số lượng các cuộc tấn công tăng lên nhanh chóng mà các phương pháp dùng để tấn công cũng liên tục được hoàn thiện. Một phần do các nhà quản trị hệ thông ngày càng đề cao cảnh giác, phần khác do sự phát triển nhanh chóng của kỹ thuật, công nghệ. Những cuộc tấn công thời kỳ đầu (19881994) chủ yếu dựa trên việc đoán tên người sử dụng – mật khẩu (UserID  Password) hoặc sử dụng một số lỗi của các Nghiên cứu giải pháp hệ thống phát hiện xâm nhập đảm bảo an toàn thông tin SV: HỒ TRUNG DŨNG 10 chương trình và của hệ điều hành (security hole) và tìm cách vô hiệu hóa hệ thống bảo vệ. Các cuộc tấn công ngày nay đa dạng hơn nhiều, bao gồm việc giả mạo địa chỉ IP (fake IP), nghe lén thông tin truyền qua mạng (ví dụ sử dụng sniffer…), chiếm các phiên làm việc từ xa (telnet, rlogin) . Tuy không thể đảm bảo an toàn 100% cho các hệ thống thông tin, song ta có thể giảm bớt các rủi ro không mong muốn và giảm thiểu tác động đến các mặt trong các hoạt động kinh tế xã hội. Khi tiến hành đánh giá những rủi ro và cân nhắc kỹ những biện pháp đối phó về ATTT, kết luận thường được đưa ra là: những giải pháp công nghệ (kỹ thuật) đơn lẻ không thể cung cấp đủ sự an toàn. Những sản phẩm như Anti virus, Firewalls hay một số công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức. ATTT là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và yếu tố con người. + Yếu tố công nghệ: bao gồm những sản phẩm bảo mật như Firewall, phần mềm phòng chống virus, giải pháp mật mã, các sản phẩm phần mềm an toàn cho hệ điều hành và những ứng dụng như trình duyệt Internet, phần mềm Email . + Yếu tố con người: Những người sử dụng máy tính cần có nhận thức về vấn đề ATTT và có những biện pháp bảo vệ hữu hiệu. Như vậy, có thể khẳng định vấn đề ATTT phải bắt đầu từ các chính sách trong đó con người là mắt xích quan trọng nhất. Con người thường là khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin . Hầu như phần lớn các phương thức tấn công được hacker sử dụng là khai thác các điểm yếu của hệ thống thông tin và đa phần các điểm yếu đó lại do thường con người tạo ra. Việc nhận thức kém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây ra tình trạng trên. 1.2. Các chính sách an toàn thông tin Hình 1. Tháp chính sách an toàn thông tin Chính sách về an toàn thông tin được tổ chức theo mô hình kim tự tháp. Cách tổ chức này giúp cho các nhà lãnh đạo quản lý chất lượng an toàn thông tin một cách khoa học và hiệu quả. Trên đỉnh kim tự tháp mô tả các chính sách được áp dụng trong tổ chức. Tuy nhiên, không có một chính sách áp dụng chung cho mọi tổ chức. Trong một . hay một số công cụ khác không thể cung cấp sự an toàn cần thiết cho hầu hết các tổ chức. ATTT là một mắt xích liên kết hai y u tố: y u tố công nghệ và y u. thống quản lý & giám sát mạng hiện tại chủ y u dựa trên mô hình Client/Server. Các thông tin về quản lý và giám sát mạng được thu thập và xử lý ở Trung