Giải pháp quản trị bảo mật hệ thống mạng dựa vào kỹ thuật điều khiển truy cập và quản lý lỗ hổng

Thông tin tài liệu

Giải pháp quản trị bảo mật hệ thống mạng dựa vào kỹ thuật điều khiển truy cập và quản lý lỗ hổng Giải pháp quản trị bảo mật hệ thống mạng dựa vào kỹ thuật điều khiển truy cập và quản lý lỗ hổng Giải pháp quản trị bảo mật hệ thống mạng dựa vào kỹ thuật điều khiển truy cập và quản lý lỗ hổng Giải pháp quản trị bảo mật hệ thống mạng dựa vào kỹ thuật điều khiển truy cập và quản lý lỗ hổng

TĨM TẮT Trong thời đại bùng nổ cơng nghệ thơng tin (CNTT), việc ứng dụng sản phẩm CNTT vào sống điều tất yếu Các văn phịng dần thơng minh Hồ sơ, giấy tờ dần số hóa, giấy bút dần thay máy tính để đáp ứng nhu cầu phát triển xã hội Tuy nhiên, biện pháp đảm bảo an tồn thơng tin (ATTT) truyền thống cho văn phòng Firewall, Anti Virus hệ thống IPS dần trở nên lỗi thời Các biện pháp bảo vệ hệ thống mạng văn phịng khỏi nguy bên Có thể kể đến số khó khăn như: khơng có góc nhìn đầy đủ thành phần mạng, khơng kiểm soát thiết bị lạ kết nối vào mạng, khó khăn việc kiểm sốt ngăn chặn lây lan mã độc, khó khăn việc phát ngăn ngừa lỗ hổng bảo mật, khó khăn việc tn thủ sách ATTT… Do đó, tổ chức, doanh nghiệp cần giải pháp quản lý hệ thống mạng hiệu toàn diện Hệ thống điều khiển truy cập (Network Access Control - NAC) giải pháp quản lý kiểm soát truy cập cho thiết bị mạng Giải pháp cung cấp tầm nhìn bao qt cơng cụ để kiểm sốt thiết bị sách mạng Hệ thống NAC theo dõi thiết bị, liệu mạng theo thời gian thực kiểm soát truy cập trái phép thiết bị khơng đảm bảo sách an tồn thơng tin Ngồi ra, giải pháp NAC cịn lập thiết bị khỏi mạng vi phạm sách ATTT bị nhiễm mã độc Trong đó, hệ thống quản lý lỗ hổng bảo mật (security vulnerability management system) xác định lỗ hổng biết có hệ thống, thiết bị phần mềm tổ chức, doanh nghiệp Hệ thống thực dị qt phần tồn tài nguyên hệ thống mạng để phát lỗ hổng bảo mật Các hệ thống dựa vào sở liệu lỗ hổng có sẵn để thực dị qt mục tiêu Hệ thống có khả chấm điểm mức độ rủi ro cho tài nguyên Sự phân loại mức độ rủi ro dựa việc chấm điểm giúp người quản trị nhận biết thực tài nguyên có mức độ rủi ro cao Tuy nhiên, cách hoạt động này, hệ thống quản lý lỗ hổng bảo mật đánh giá mục tiêu có phải tác nhân nạn nhân công từ chối dịch vụ hay nguồn phát tán sâu máy tính đối tượng khởi tạo kết nối tầng mạng (Network layer mơ hình mạng OSI) với số lượng cực lớn iv thời gian ngắn Bên cạnh đó, hệ thống quản lý lỗ hổng bảo mật khơng có dấu hiệu nhận diện liên quan đến việc đánh giá cho vấn đề Do kiến trúc quét chủ động dựa dấu hiệu nhận diện hệ thống quản lý lỗ hổng chưa giải toán phát nhanh ngăn chặn dạng công Phát sớm các đối tượng có khả nguy gây nên công từ chối dịch vụ, mục tiêu công hay phát máy tiến hành quét mạng tìm kiếm lỗ hổng để phát tán sâu máy tính vấn đề luận văn tập trung nghiên cứu Các đối tượng có đặc điểm tạo lưu lượng mạng lớn khoảng thời gian ngắn nên đưa dạng tốn tìm Hot-IP trực tuyến Trong luận văn này, đề xuất giải pháp phát nhanh Hot-IP thông qua việc xây dựng dấu hiệu nhận diện (signature) Hot-IP dựa phương pháp thử nhóm, cập nhật dấu hiệu nhận diện vào sở liệu (database) hệ thống quản lý lỗ hổng Tôi lợi dụng tính mở (mã nguồn mở) cài đặt thêm thành phần, công cụ để cải tiến hệ thống quản lý lỗ hổng có thêm khả lắng nghe tiếp nhận thông tin mạng Để phát triển thành cơng hệ thống quản lý lỗ hổng có khả phát Hot-IP mạng, việc xây dựng dấu hiệu nhận diện Hot-IP điều kiện cần, việc cải tiến phần mềm hệ thống cách cài đặt thêm cơng cụ giúp hệ thống có khả thu thập thơng tin mạng điều kiện đủ Từ khắc phục hạn chế vốn có hệ thống tận dụng tính mở để phát triển cho hệ thống mạnh mẽ Luận văn đề xuất xây dựng giải pháp quản trị mạng dựa kết hợp hệ thống điều khiển truy cập quản lý lỗ hổng Giải pháp giúp cho người quản trị “tự động hóa” việc kiểm sốt người dùng thiết bị truy cập vào hệ thống, dò quét lỗ hổng bảo mật theo sách thống Từ đó, hệ thống mạng quản lý cách chặt chẽ, toàn diện, chi tiết góp phần giải phóng sức lao động quản trị viên v ABSTRACT In the prosperous era of information technology (IT), the application of the IT products to every aspect of life is essential The smart office is becoming more and more popular Files and documents have also been digitized, pens and paper have been gradually replaced by computers to meet the needs of society Moreover, traditional information security solutions for offices (such as firewalls, antivirus or IPS systems) have gradually become unusual as they cannot protect the office network system from internal risks Some difficulties might include as follows: inability to fully understand the network components, the control over the connection of strange devices to certain networks, difficulty in controlling and preventing the spread of malicious code, discovering and preventing security vulnerabilities, complying with security policies, and the list goes on Consequently, organizations and enterprises are in quest of an effective and comprehensive network management solution The access control system (Network Access Control - NAC) is a solution for managing and controlling devices accessing the network system It provides a complete overview as well as tools to control the devices and policies in the network system The NAC system monitors equipment, network data in real time, and controls unauthorized access or equipment which don’t follow information security policies In addition, NAC solutions can isolate the device from the network when it violates security policies or be infected with malware At the same time, the security vulnerability management system identifies known vulnerabilities in the system, devices, and software of organizations and enterprises This system can partially or fully scan the network resources to detect security vulnerabilities The mentioned system relies on available vulnerability databases to perform targeted scans Also, it is capable of evaluating the level of risk in the resources These risk-based classification gives administrators complete insight into the internal resources which have the highest risk level With this operation method, the vulnerability management system cannot evaluate whether the target is the main cause or victim of the denial of service attack, or the source of the computer worm distribution because these objects usually create numerous connections on the network layer (the network layer of the OSI model) in a short time The vulnerability management system vi has not been a security signature associated with this assessment, the active scanning architecture based on the security signatures of the vulnerability management system has not solved the problem of rapid detection and prevention of such attacks Finding objects that may lead to denial of service attacks, the purposes of these attacks or the worm computer are scanning the network system as soon as possible are the main objectives of this research As these objects all share the same characteristics of creating a large number of network traffic within a short period, they should be regarded as a form of online Hot-IP searching In this thesis, I propose a solution to quickly detect Hot-IP by constructing a Hot-IP signature based on the Group testing theory and updating this signature to a vulnerability management system database I take advantage of openness (open source) to install other components and tools to improve the vulnerability management system, which has the ability to listen and collect network information In order to successfully develop the vulnerability management system that can detect Hot-IP on the network system, I not only need to build a Hot-IP security signature, but also improve the system software by installing additional tools aiding the network information collecting in the system Hence, the inherent limitations of the system have been overcome and the openness has been used to develop it into a more powerful system This thesis proposes building a security network management solution based on the combination of access control and vulnerability management system This solution assists administrators in automatizing to control users and devices that access the system, scanning security vulnerabilities according to a unified policy As a result, the network system has been strictly, efficiently and thoroughly managed, administrator's workload is considerably reduced vii and MỤC LỤC TRANG Lý lịch khoa học I Lời cam đoan II Cảm tạ III Tóm tắt IV Mục lục VIII Danh sách chữ viết tắt IX Danh sách bảng X Danh sách hình XI CHƯƠNG 1: TỔNG QUAN 1.1 Tính cấp thiết đề tài 1.2 Ý nghĩa khoa học thực tiễn 1.3 Mục đích nghiên cứu 1.4 Đối tượng nghiên cứu 1.5 Phạm vi nghiên cứu 1.6 Kết đạt 1.7 Nội dung thực CHƯƠNG 2: PHÁT HIỆN BẤT THƯỜNG TRONG HỆ THỐNG MẠNG NỘI BỘ LIÊN QUAN ĐẾN HOT-IP 2.1 Giới thiệu 2.1.1 Tấn công từ chối dịch vụ 2.1.2.1 Giới thiệu 2.1.2.2 Các dạng công DoS 2.1.2 Tấn công từ chối dịch vụ phân tán 10 2.1.3.1 Giới thiệu 10 2.1.3.2 Tính chất 10 2.1.3.3 Phân loại cơng DdoS 12 2.1.3 Phát tán sâu máy tính mạng 13 viii 2.2 Tổng quan hot-ip mạng 15 2.2.1 Giới thiệu 15 2.2.2 Một số khái niệm định nghĩa 17 2.3 Các giải pháp phát nhanh phần tử có tần suất cao mạng 19 2.3.1 Tổng quan phần tử có tần suất cao 19 2.3.2 Một số giải pháp phát phần tử có tần suất cao 20 2.3.2.1 Thuật toán “Count-Min” 20 2.3.2.2 Thuật tốn “Count-Sketch” 21 2.3.2.3 Phương pháp thử nhóm 23 2.3.3 Phương pháp thử nhóm giải pháp tìm Hot-IP 25 2.3.3.1 Giới thiệu 25 2.3.3.2 Phương pháp thử nhóm 27 2.3.3.3 Thử nhóm bất ứng biến 28 2.3.3.4 Ứng dụng thử nhóm bất ứng biến tốn tìm Hot-IP 29 2.4 Kết luận chương 34 CHƯƠNG 3: ĐIỀU KHIỂN TRUY CẬP MẠNG VÀ QUẢN LÝ LỖ HỔNG BẢO MẬT 3.1 3.1.1 36 Điều khiển truy cập mạng 36 Tổng quan điều khiển truy cập mạng (NAC) 36 3.1.1.1 Phương pháp cách ly 37 3.1.1.2 Ủy nhiệm người dùng 38 3.1.1.3 Trạng thái máy 39 3.1.1.4 Tùy chọn mã nguồn mở 40 3.1.2 Tổng quan PacketFence 41 3.1.2.1 Các thành phần kiến trúc PacketFence 41 3.1.2.2 Kiến trúc mạng 42 3.1.2.3 Mơ hình triển khai 42 3.1.2.4 Xác thực đăng ký 42 3.1.2.5 Tuân thủ 43 3.1.2.6 Quản trị 44 3.1.3 Đặc tính kỹ thuật PacketFence 45 3.1.3.1 Kỹ thuật gán VLAN 45 ix 3.1.3.2 Tích hợp mạng khơng dây 48 3.1.3.3 Tính nâng cao 49 3.2 52 Hệ thống quản lý lỗ hổng bảo mật 3.2.1 Tổng quan kiến trúc 53 3.2.2 Tổng quan tính 55 3.3 Kết luận chương 56 CHƯƠNG 4: XÂY DỰNG DẤU HIỆU NHẬN DIỆN PHÁT HIỆN VÀ QUẢN LÝ HOT-IP DỰA TRÊN NỀN TẢNG OPENVAS VÀ PACKETFENCE 58 4.1 Cải tiến openvas với dấu hiệu nhận diện tìm hot-ip mạng 58 4.2 Tích hợp packetfence với openvas kiểm tra tuân thủ cô lập hot-ip 61 4.3 Kết luận chương 64 CHƯƠNG 5: THỰC NGHIỆM 66 5.1 Đặt vấn đề 66 5.2 Mơ hình 66 5.3 Kịch 69 5.4 Kết 69 5.5 Kết luận chương 73 CHƯƠNG 6: KẾT LUẬN 75 6.1 Kết đạt 75 6.2 Hướng phát triển đề tài 77 TÀI LIỆU THAM KHẢO 78 PHỤ LỤC 80 A Cài đặt Libpcap TCPdump 80 Giới thiệu 80 Quy trình tổng quát libpcap bắt gói tin 80 B Nội dung code 83 x DANH SÁCH CÁC CHỮ VIẾT TẮT Thuật ngữ Viết tắt Denial of Service Attack DoS Distributed denial of Service Attack DDoS Network Access Control NAC Nessus Attack Scripting Language NASL PacketFence PF Operating system OS Random Access Memory RAM Hard Disk Drive HDD Demilitarized zone DMZ Intrusion Prevention System IPS Intrusion Prevention System IDS Laboratory Lab ix DANH SÁCH CÁC BẢNG BẢNG TRANG Bảng 5.1 Thông số IP quản lý thông tin thiết bị thực nghiệm x 68 DANH SÁCH CÁC HÌNH HÌNH TRANG Hình 2.1 Tấn cơng Smurf Hình 2.2 Tấn cơng SYN 10 Hình 2.3 Tấn cơng “SYN flood” phân tán 11 Hình 2.4 Tấn cơng “Direct DDoS” 12 Hình 2.5 Tấn cơng DDoS phản xạ 13 Hình 2.6 Phát tán sâu máy tính mạng 14 Hình 2.7 Cấu trúc IPv4-header gói tin IPv4 18 Hình 2.8 Cấu trúc IPv6-header gói tin IPv6 18 Hình 2.9 So sánh thuật tốn [7] 24 Hình 2.10 Đồ thị so sánh độ xác thuật tốn liệu thật [13] 25 Hình 2.11 Ma trận nhị phân d-phân-cách 28 Hình 2.12 Ma trận phân cách [9,7] 30 Hình 2.13 Ma trận tổng quát xác định Hot-IP 30 Hình 2.14 Xác định Hot-IP ma trận phân cách [9,7] 32 Hình 2.15 Ma trận phân cách tổng quát [t,n] 32 Hình 2.16 Ma trận phân cách [9,7] chuỗi IP cho trước 33 Hình 2.17 Loại IP với r1=- 33 Hình 2.18 Loại IP với r3=- 33 Hình 2.19 Loại IP với r4=- 34 Hình 3.1 Kiến trúc PacketFence [19] 41 xi if(timedurationGotpacket==captureTime){ pcap_breakloop(handle); } return; } int main(int argc, char **argv) { numOfIPs=512; char *dev = NULL; char errbuf[PCAP_ERRBUF_SIZE]; char filter_exp[] = "ip"; struct bpf_program fp; */ bpf_u_int32 mask; bpf_u_int32 net; // Tên card mạng dùng để bắt gói // Error buffer // Filter expression // Compiled filter program (expression) // Subnet mask // IP /* Kiểm tra card mạng dòng lệnh (Tham số đưa vào) */ if (argc == 2) { dev = argv[1]; } else if (argc > 3) { fprintf(stderr, "error: unrecognized command-line options\n\n"); printf("Usage: %s [interface]\n", argv[0]); printf("\n"); printf("Options:\n"); printf(" interface Listen on for packets.\n"); printf("\n"); exit(EXIT_FAILURE); } else { /* Tìm card mạng card mạng khơng định tham số dòng lênh */ dev = pcap_lookupdev(errbuf); if (dev == NULL) { fprintf(stderr, "Couldn't find default device: %s\n", errbuf); exit(EXIT_FAILURE); } } printf("\nWARNING : UNLIMITED STACK MEMMORY BEFORE RUNNING PROGRAM !!!"); //printf("\nHow many IP address you want to capture ? "); //scanf("%ld",&numOfIPs); //printf("\nEnter The Value of Time you want for capture packets (seconds): "); // scanf("%lf",&captureTime); captureTime = 300; //printf("\nWhich kind of packets you want to capture : "); //scanf("%s",filter_exp); /* Get network number and mask associated with capture device */ if (pcap_lookupnet(dev, &net, &mask, errbuf) == -1) { fprintf(stderr, "Couldn't get netmask for device %s: %s\n", 87 dev, errbuf); net = 0; mask = 0; } printf("Number of IPs will be captured : %ld\n", numOfIPs); /* Open capture device */ handle = pcap_open_live(dev, SNAP_LEN, 1, 1000, errbuf); if (handle == NULL) { fprintf(stderr, "Couldn't open device %s: %s\n", dev, errbuf); exit(EXIT_FAILURE); } if (pcap_datalink(handle) != DLT_EN10MB) { fprintf(stderr, "%s is not an Ethernet\n", dev); exit(EXIT_FAILURE); } /* Compile the filter expression */ if (pcap_compile(handle, &fp, filter_exp, 0, net) == -1) { fprintf(stderr, "Couldn't parse filter %s: %s\n", filter_exp, pcap_geterr(handle)); exit(EXIT_FAILURE); } /* Apply the compiled filter */ if (pcap_setfilter(handle, &fp) == -1) { fprintf(stderr, "Couldn't install filter %s: %s\n", filter_exp, pcap_geterr(handle)); exit(EXIT_FAILURE); } /* - Kết thúc bắt gói với Ctrl+C */ signal(SIGINT, terminal_pcaploop); /* - Tiến hành gọi hàm bắt gói (got_packet) - */ printf("\n\n \n"); printf(" \n"); printf("Capturing Packet \n\n"); /* Khai báo mảng địa khác (distinctSArr) */ distinctSArr = (char **)malloc((numOfIPs)*sizeof(char*)); /* Khai báo mảng chứa packet/IP */ numPksOfHostArr = (unsigned long *)malloc((numOfIPs)*sizeof(unsigned long)); demip =0, demtcp=0, demudp=0, demicmp=0, demunknown=0; lenSA = 0; startGotpacket=time(NULL); pcap_loop(handle, 0, got_packet, NULL); /* - Kết thúc chương trình khơng bắt gói tin */ if(lenSA==0){ printf("\nCaptured none Packet !\n"); return 0; } 88 //thoi gian ghi log time_t rawtime; time(&rawtime); printf("TimeLog: %s ", ctime(&rawtime)); printf("\n\nNumber Of Hosts : %ld \n", countDSA); start=clock(); // Xác định thời điểm bắt đầu tìm Hot-IP /* Đọc ma trận d-phân cách từ file */ int d = 3; // Số Hot-Ip tối đa phát int numOfGroup = 56; // Số nhóm thử unsigned long numOfColum =512; //4000;//numOfIPs; // Số IP short dMatrix[numOfGroup][numOfColum]; // Ma trân d-phân cách FILE *myReadFile; myReadFile = fopen("matran56_512n_d3.txt", "rt"); if(myReadFile==NULL){ printf("Cannot Open File.\n"); return 0; } else { for(unsigned long i = 0; i < numOfGroup; i++) { for(unsigned long j = 0; j < numOfColum; j++) { fscanf(myReadFile, "%hd", &dMatrix[i][j]); } } fclose(myReadFile); /* Tìm Hot-IP - */ unsigned long countArr[numOfGroup]; //Mảng C int rArrHot[numOfGroup]; R double dcompareHot = lenSA / (d + 1); printf("D compare Hot : %ld \n",(unsigned long)dcompareHot); printf("Total Packets : %.0f \n",lenSA); /* - Tính C R - */ for(unsigned long i=0; i

Ngày đăng: 04/12/2021, 11:44

Xem thêm: Giải pháp quản trị bảo mật hệ thống mạng dựa vào kỹ thuật điều khiển truy cập và quản lý lỗ hổng

Giải pháp quản trị bảo mật hệ thống mạng dựa vào kỹ thuật điều khiển truy cập và quản lý lỗ hổng

Thông tin tài liệu

Từ khóa liên quan

Tài liệu cùng người dùng

Tài liệu liên quan