BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ TS LÊ ĐÌNH THÍCH, ThS HỒNG SỸ TƯƠNG GIÁO TRÌNH AN TỒN MẠNG MÁY TÍNH HÀ NỘI, 2013 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ TS LÊ ĐÌNH THÍCH, ThS HỒNG SỸ TƯƠNG GIÁO TRÌNH AN TỒN MẠNG MÁY TÍNH MỤC LỤC Chương TỔNG QUAN VỀ AN NINH MẠNG TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH 1.1.1 Sự cần thiết phải có an ninh mạng yếu tố cần bảo vệ 1.1.2 Các tiêu chí đánh giá mức độ an ninh an toàn mạng2 1.1.3 Xác định mối đe dọa đến an ninh mạng 1.1.4 Xác định lỗ hổng hệ thống (Vulnerable) nguy (Risk) 1.1.5 Nhận dạng hiểm họa MỘT SỐ PHƯƠNG PHÁP TẤN CƠNG MẠNG VÀ CÁCH PHỊNG CHỐNG 1.1.6 Các phương pháp xâm nhập hệ thống 11 1.1.7 Các phương pháp phát ngăn ngừa xâm nhập 13 Chương XÂY DỰNG MƠ HÌNH AN NINH MẠNG 17 MƠ HÌNH AN NINH MẠNG 17 2.1.1 Quy trình xây dựng hệ thống thơng tin an tồn 17 2.1.2 Xây dựng mơ hình an ninh mạng 18 MỘT SỐ PHƯƠNG PHÁP BẢO MẬT 20 2.1.3 Phương pháp mã hoá 20 2.1.4 Các giải thuật mã hoá: 21 2.1.5 Chứng thực người dùng 24 CÁC HỆ THỐNG PHẦN CỨNG CƠ BẢN 26 2.1.6 Bảo mật máy trạm 28 2.1.7 Bảo mật truyền thông 28 2.1.8 Bảo mật ứng dụng 29 2.1.9 Thống kê tài nguyên 31 Chương MẠNG RIÊNG ẢO 32 TỔNG QUAN VỀ MẠNG RIÊNG ẢO 32 3.1.1 Khái Niệm 32 PHÂN LOẠI MẠNG RIÊNG ẢO 34 PHƯƠNG THỨC HOẠT ĐỘNG , TRIỂN KHAI CỦA MẠNG RIÊNG ẢO 37 Các thủ thuật bảo vệ mang VPN 45 3.1.2 Sử dụng phương thức mã hoá quyền truy cập VPN.46 3.1.3 Giới hạn quyền truy cập VPN với lý thương mại hợp lý cần thiết 47 3.1.4 Cung cấp quyền truy cập file chọn qua mạng Intranet hay Extranet thay VPN 47 3.1.5 Cho phép truy cập e-mail mà không cần truy cập vào VPN 47 3.1.6 Thực thi ép buộc nhân viên thực sách mật an tồn 48 3.1.7 Cung cấp chương trình diệt virus, chống spam, tường lửa cá nhân cho người dùng từ xa yêu cầu họ sử dụng chúng 48 3.1.8 Cách ly người dùng để kiểm chứng mức an tồn máy tính của họ trước cho phép kết nối vào mạng VPN 48 3.1.9 Cấm sử dụng mạng riêng ảo hay phần mềm điều khiển từ xa khác kết nối tới mạng của 49 3.1.10 Bảo mật mạng không dây từ xa 49 Chương HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 50 SỰ CẦN THIẾT CỦA IDS/IPS 50 4.1.1 Sự cần thiết của IDS/IPS 50 4.1.2 Lợi ích của IDS/IPS 52 4.1.3 Sự khác IDS IPS 52 HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS53 4.1.4 Giới thiệu IDS 53 4.1.5 Chức của IDS 57 4.1.6 Phân loại IDS 58 4.1.7 Kiến trúc của IDS 66 4.1.8 Phương thức phát 71 4.1.9 Phân loại dấu hiệu 75 4.1.10 Cách phát kiểu công của IDS 78 HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 86 4.1.11 Định nghĩa IPS 86 4.1.12 Chức của IPS 86 4.1.13 Kiến trúc chung của hệ thống IPS 87 4.1.14 Phân loại hệ thống IPS 90 4.1.15 Công cụ hỗ trợ IPS(Giống của IDS) 91 4.1.16 Các kỹ thuật xử lý IPS91 4.1.17 Chữ ký kỹ thuật xử lý 97 Chương TƯỜNG LỬA 104 TỔNG QUAN VỀ TƯỜNG LỬA 104 INTERNET FIREWALL 105 5.1.1 Định nghĩa Firewall 105 5.1.2 Chức của firewall 107 5.1.3 Các thành phần 107 BỘ LỌC GÓI TIN (packet-filtering router) 108 5.1.4 Nguyên lý hoạt động của lọc gói 108 5.1.5 Ưu điểm 109 5.1.6 Hạn chế 109 CỔNG ỨNG DỤNG(application-level gateway hay proxy server) 110 5.1.7 Nguyên lý hoạt động 110 5.1.8 Ưu điểm 110 5.1.9 Hạn chế 111 CỔNG VÒNG (circuite level gateway) 111 Các DẠNG Firewall 112 5.1.10 Hạn chế của Firewall 113 5.1.11 Khả đối phó với cơng của Firewall 114 MỘT SỐ mơ hình Firewall 115 5.1.12 Packet-Filtering Router (Bộ trung chuyển có lọc gói) 115 5.1.13 Mơ hình Screened Host Firewall 117 5.1.14 Mơ hình Demilitarized Zone (DMZ-khu vực phi qn sự) hay Screened-subnet Firewall 120 BASTION HOST 121 5.1.15 NGUYÊN LÝ CƠ BẢN ĐỂ THIẾT KẾ VÀ XÂY DỰNG BASTION HOST 121 5.1.16 CHỌN MÁY 123 5.1.17 CHỌN VỊ TRÍ VẬT LÝ ĐẶT BASTION HOST 124 5.1.18 VỊ TRÍ BASTION HOST TRÊN MẠNG 124 5.1.19 CHỌN DỊCH VỤ MẠNG MÀ BASTTION HOST CUNG CẤP 124 5.1.20 LÍ DO KHƠNG CUNG CẤP TÀI KHOẢN TRUY CẬP TRÊN BASTION HOST 125 XÂY DỰNG MỘT BASTION HOST AN TOÀN VÀ CHỐNG LẠI SỰ TẤN CÔNG 125 5.1.21 PROXY 126 5.1.22 SỰ RA ĐỜI CỦA PROXY 128 Chương HỆ THỐNG HONEYNET 129 HONEYPOT 129 6.1.1 Khái niệm Honeypot 129 6.1.2 Phân loại Honeypot 131 Honeynet 133 6.1.3 Khái niệm Honeynet 133 6.1.4 Chức của Honeynet 135 6.1.5 Một số mơ hình triển khai Honeynet giới 136 Vai trò ý nghĩa CỦA Honeynet 138 Mơ hình KIẾN trúc honeynet 139 6.1.6 Mơ hình kiến trúc vật lý 140 6.1.7 Hệ thống Honeynet ảo 143 Mơ hình kiến trúc loggic của Honeynet 144 6.1.8 Module điều khiển liệu (hay kiểm soát liệu) 146 6.1.9 Module thu nhận liệu 155 6.1.10 Modul phân tích liệu 162 PHỤ LỤC THỰC HÀNH TRIỂN KHAI HỆ THỐNG VPN TRÊN WINDOWS 165 Lab 2.1 Lab 1: VPN – Gateway to Gateway 165 Lab 2.2 VPN – Client to Gateway 181 Lab 2.3 VPN with PPTP and L2TP/IPSEC 185 Lab 2.4 VPN with Radius (CHỨNG THỰC USER TRÊN Domain) 195 PHỤ LỤC THỰC HÀNH XÂY DỰNG TƯỜNG LỬA SỬ DỤNG MICROSOFT ISA FIREWALL 203 Lab 2.1 CÀI ĐẶT ISA Server 203 Lab 2.2 Secure NAT 211 Lab 2.3 Proxy 218 Lab 2.4 Firewall Client 220 Lab 2.5 ISA Server - Access Rule 224 Lab 2.6 ISA Server – Template 253 Lab 2.7 ISA Server - Server Publishing - Configuration 257 Lab 2.8 ISA Server - Server Publishing - HTTP – HTTPS 275 Lab 2.9 ISA Server - Server Publishing - SMTP - POP3 - OWA 290 PHỤ LỤC THỰC HÀNH XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP 297 Lab 3.1 Mơ hình mạng sử dụng để tiến hành thử nghiệm 297 Lab 3.2 chuẩn bị máy 297 Lab 3.3 Sử dụng Snort_inline để phát ngăn chặn công 312 PHỤ LỤC THỰC HÀNH XÂY DỰNG HỆ THỐNG HONEYNET 313 Lab 4.1 Mơ hình triển khai thực tế 313 Lab 4.2 Cài đặt cấu hình hệ thống Honeynet 314 Lab 4.3 Cài đặt cấu hình Sebek 319 Lab 4.4 Vận hành hệ thống honeynet phân tích q trình cơng hacker 321 Lab 4.5 Q trình phân tích cơng 323 Lab 4.6 Một số cách phòng chống 333 LỜI MỞ ĐẦU Với nhu cầu trao đổi thông tin ngày bắt buộc c n h â n c ũ n g n h c c quan, tổ chức phải hồ vào mạng tồn cầu Internet An tồn bảo mật thông tin vấn đề quan trọng hàng đầu thực kết nối Internet Ngày nay, biện pháp an tồn thơng tin cho máy tính cá nhân mạng nội nghiên cứu triển khai Tuy nhiên, thường xun có mạng bị cơng, có tổ chức bị đánh cắp thông tin,…gây nên hậu vô nghiêm trọng Những vụ công nhằm vào tất máy tính có mặt mạng Internet, đa phần mục đích xấu công không báo trước, số lượng vụ cơng tăng lên nhanh chóng phương pháp cơng liên tục hồn thiện Vì việc kết nối máy tính vào mạng nội vào mạng Internet cần phải có biện pháp đảm bảo an ninh Giáo trình nhằm cung cấp cho sinh viên kiến thức an tồn mạng máy tính, kỹ thuật đảm bảo an toàn firewall, mạng riêng ảo, hệ thống phát ngăn chặn xâm nhập, hệ thống honeynet, đồng thời giáo trình cung cấp thực hành giúp sinh viên xây dựng hệ thống firewall, vpn, IDS/IPS, HONEYNET Nội dung của giáo trình gồm chương Chương 1: Tổng quan an tồn mạng Chương 2: Xây dựng mơ hình an ninh mạng Chương 3: Mạng riêng ảo – VPN Chương 4: Hệ thống phát ngăn chặn xâm nhập (IDS/IPS) Chương 5: Tường lửa - firewall Chương 6: Honeynet Phụ lục 1: Thực hành xây dựng mạng riêng ảo windows Phụ lục 2: Thực hành xây dựng hệ thống firewall ISA Phục lục 3: Thực hành xây dựng hệ thống phát ngăn chặn xâm nhập i Phụ lục 4: Thực hành xây dựng hệ thống HONEYNET Nhóm tác giả xin trân thành cảm ơn giúp đỡ tận tình lãnh đạo khoa ATTT, lãnh đạo HVKTMM giúp đỡ hồn thành giáo trình Do lĩnh vực An ninh mạng lĩnh vực rộng nên giáo trình khơng tránh khỏi sai sót, mong giúp đỡ của đồng nghiệp để giúp chúng tơi hồn thiện giáo trình ii Chúng ta thực cài đặt Sebek client honeypot nhằm thực thu nhận hành động của hacker honeypot Cài đặt Sebek client hệ điều hành WINDOWS Tải tệp tin Sebek – Win32 – 3.0.4.zip Giải nén tệp tin chạy tệp cài đặt Setup.exe Sau cài đặt xong, thực cấu hình thơng qua chương trình Configuration Winzard.exe (các tham số đề cập phần cấu hình) Cài đặt Sebek client hệ điều hành LINUX RED HAT 9.0 Tải tệp tin sebek – linux – 3.0.3.tar.gz Thực trình cài đặt tar –xzf sebek-linux-3.0.3.tar.gz cd sebek-linux-3.0.3 /configure make make install Quá trình cài đặt tạo tệp sebek – linux – 3.0.3 – bin.tar, thực tiếp việc cài đặt Tar –xf sebek-linux-3.0.3-bin.tar Cd sebek-linux-3.0.3-bin Kết thúc trình cài đặt, thực shell sbk_install.sh /sbk_install.sh Chú ý: Trước thực shell sbk_install.sh phải thực sửa đổi nội dung của tệp theo tham số cài đặt cho Sebek client (trình bày phần tiếp theo) b) Cấu hình Dưới số tham số sử dụng cấu hình cho Sebek client * Cấu hình Linux : # - DESTINATION_IP: # # - sets destination IP for sebek packets # - 323 DESTINATION_IP="192.168.1.253"  Địa phải trùng với địa IP khai báo mục Sebek cấu hình Honeywall # - DESTINATION_MAC: # # - sets destination MAC addr for sebek packets # DESTINATION_MAC="00:0C:29:A7:EB:81" Đây địa MAC của card Internal(eth1)trên Honeywall # - DESTINATION_PORT: # # - defines the destination udp port sebek sends to # DESTINATION_PORT=1101 * Cấu hình Windows : Hình 9.12- Cấu hình Sebek Client Windows Lab 4.4 Vận hành hệ thống honeynet phân tích q trình cơng hacker Kịch cơng 324 Hình 9.13- Kịch cơng hệ thống Honeynet Chi tiết máy máy mơ sau Manager Win server 2k3 IP: 172.16.1.20 Server Window xp2 IP: 192.168.1.2 Honeywall Honeywall 1.4hw-1 card mạng : eth0, eth1, eth2: Hacker Window xp2 IP: 192.168.1.20 IIS server, sebek client Bài thực hành trình bày kịch cơng có phần + Phần 1: ta thực quét cổng + Phần 2: ta thực cơng DDoS Hacker dùng phần mềm thực dị quét tới IP : 192.168.1.2, phát Web Server (địa IP 192.168.1.2) Hacker dùng phần mềm thực việc công DDoS vào địa IP : 192.168.1.2 325 Lab 4.5 Q trình phân tích cơng Dưới hình ảnh giao diện của Website http://at3a.com Hình 9.14- Giao diện website bị cơng Website bị công đặt web server Khi tiến hành cơng cần có máy tính Dưới hình ảnh máy tính giữ nhiệm vụ manager , honeywall, webserver, máy máy ảo, máy giữ vai trò hacker máy tính Hình 9.15: Màn hình máy giữ vai trị Manager 326 Hình 9.16: Màn hình Honeywall Hình 9.17: Màn hình web server Phần A : Tấn Công quét cổng Phần mềm mà sử dụng : N-Stealth Free Edition 327 Hình 9.18 : Giao diện khởi động N-Stealth Free Edition Ta điền : +Host Address : 192.168.1.2 + Chọn HTTP + Chọn Host Address Nhấn nút Start Scan Hình 9.19: Giao diện hoạt động N-Stealth Free Edition Bước ta vào máy Manager để đăng nhập vào Honeywall để quản lý, vào xem kết của việc công quét cổng vừa diễn 328 Hình 9.2: Giao diện đăng nhập Honeywall Chúng ta nhập User Password hợp pháp vào đăng nhập thành cơng vào Honeywall User: roo Pass: H0neyw@ll Hình 9.21 : Đây giao diện quản lý Honeywall Đê theo dõi công của Hacker : ta kích vào hour ( thời gian tiếng đồng hồ gần ) xuât giao diện sau : 329 Hình 9.22: Giao diện Honeywall Data Analysis Giải thích chút: Trong phần Aggregate By có lựa chọn + Source IP + Destination IP + Source port + Destination port Trong mục thông tin quan cho biết nhiều điều : địa IP nguồn, địa IP đích, Port nguồn, port đích Khi click vào địa cụ thể nhật ký thông tin liên quan đến địa IP port mà vừa click Hình hiển thị gói tin thu nhận Honeywall hiển thị Walleye theo chuỗi bước cơng : 330 Hình 9.23: thơng tin chi tiết gói tin di chuyển từ 192.168.1.20 tới 192.168.1.2 Muốn biết thông tin cụ thể hành động Chúng ta click vào biểu tượng đĩa mềm kính lúp phía bên trái Khi bảng sau Bước ta click vào chữ Packet Decode bảng nhật ký gói tiên gửi qua gửi lại hai địa nguồn đích, cụ thể địa 192.168.1.20 192.168.1.2 331 Hình 9.24: Nhật ký gói tin Phân tích chút, hình đọc nhiều thơng tin hữu ích cho q trình phân tích hành đơng diễn : + Đầu tiên thời gian diễn hành động + Địa Mac của Nguồn địa Mác của đích + Địa ip của nguồn , địa ip của đích + Giao thức ICMP Và vài thông tin khác trường TTL ( Time to Live) Kết thu qua trình quét cổng máy Hacker hiển thị hình : Hình 9.25: Kết thu sau q trình qt cổng 332 Phần B: Tân cơng DDos Công cụ: phần mềm DosHTTP2.0 Bước ta cài đặt phần mềm máy Hacker Giao diện của phần mềm DosHTTP2.0 hình : Hình 9.26: Giao diện DoSHTTP Ta nhập địa IP của máy bị công (192.168.1.2) vào mục Targer URL Tiếp ta chọn Sockets 500 Chọn Requests Continuous Sau nhấn nút Start Flood Khí phần mềm tiến hành q trình cơng lên web server có địa 192.168.1.2 Hàng loạt gói tin gủi tới địa đích với mục đích chiếm giữ băng thơng, làm cho web server khơng thể đáp ứng dịch vụ Rất nhanh chóng gói tin gủi nhận Số lượng lên tới 5000 gói tin Request, Sau thời gian thu kết sau : 333 Hình 9.27: Kết trình cơng DDoS Như hình ta thấy số thông số hiển thị cụ thể sau : + Ngày (Data) + Ip Port : 192.168.1.2 :80 + Duration (khoảng thời gian công): 14s + Tổng số gói tin gửi tới: 5000 + Số gói tin trả lời: 4876 + Tỉ lệ gói tin bị lỗi: 2.48% Ta lại vào máy Manager ta thu kêt là: 334 Hình 9.28: Kết thu sau cơng DDoS Trên hình vẽ thi bước của công xảy Trong cung thời gian ngắn số lượng lớn gói tin Request gửi từ địa 192.168.1.20 tới địa 192.168.1.2 (là nơi đặt webserver) Rõ ràng hành động cơng từ máy tính có địa 192.168.1.20 tới máy chủ có địa ip: 192.168.1.2.Và Honeywall thu lại thông tin cơng Hình 9.29 : Nhật ký công vừa xảy 335 Lab 4.6 Một số cách phịng chống Kiểu cơng từ chối dịch vụ kiểu cơng gây nhiều khó khăn vấn đề bảo vệ điều tra tìm thủ phạm nhất, hầu hết hacker thay đổi địa IP của máy nên khó xác định thủ phạm Để phòng chống khả khuyếch đại đường truyền, cần:  Huỷ khả broadcast router biên  Tăng kích thước hàng đợi kết nối -> kết quả: phịng tránh khả tràn hàng đợi qua nhiều kết nối, cách sử dụng nhiều tài nguyên  Giảm thời gian thiết lập kết nối  Dùng phần mềm phát phá hủy kiểu công DoS: Hầu hết hệ điều hành hỗ trợ khả phát phịng chống kiểu cơng lụt SYN Tuy nhiên có phần mềm có khả tránh kiểu cơng Ví dụ với Linux kernels 2.0.30 sau cài đặt tùy chọn gọi SYN Cookie, kernel có nhiệm vụ truy tìm lưu vết khả xảy kĩ thuật SYN Sau đó, kernel sử dụng giao thức mã hoá SYN cookie cho phép người dùng hợp lệ của hệ thống tiếp tục kết nối đến hệ thống Với WindowNT 4.0 trở sau, sử dụng kĩ thuật backlog, hàng đợi kết nối không đủ đáp ứng, hệ thống tự động cung cấp tài nguyên cho hàng đợi, hàng đợi khơng bị phá vỡ • Ứng dụng cho phép máy thiết lập số kết nối tối đa theo qui định tránh trường hợp hacker gửi lúc nhiều yêu câu gây tắc nghẽn 336 Tài liệu tham khảo [1] William Stallings, Network Security Essentials: Applications and Standards, Prentice Hall, New Jersey, 2010 [2] Andrew S Tanenbaum, Computer Networks, Prentice Hall, New Jersey, Fourth Edition, 2010 [3] Man Young Rhee, Wilay, Internet Security - Cryptographic Principles, Algorithms and Protocols, 2010 [4] William Stallings, Network Security Essentials, 2000 [5] Wasim.E Rajput Commerce Systems-Architecture & Application, 2010 [6] Douglas R Stinson, Cryptography Theory and Practice, University of Nebraska - Lincoln [7] Matt Bishop, Introduction to Computer Security, Addition-Wesley, 2010 337 ... thức trao đổi liệu qua đĩa mềm, CD USB, đặc biệt tr? ?ờng hợp trao đổi qua hệ thống mạng 1.5.2 Con ngựa thành Troy(Trojan Horse) Trojan file xuất cách vô hại tr? ?ớc thi hành Tr? ?i ngược với Virus Trojan... công dạng structured vào hệ thống thực với giúp đỡ của người bên hệ thống Trong tr? ?ờng hợp đó, kẻ cơng tr? ?? thành structured internal threat, kẻ cơng gây hại nghiên tr? ??ng cho hệ thống ăn tr? ??m tài... người nhận hợp lệ Khả điều khiển truy nhập (Access Control) Trong hoàn cảnh của an ninh mạng, điều khiển truy cập khả hạn chế truy nhập tới máy chủ thông qua đường truyền thông Để đạt việc điều