BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC DUY TÂN HUỲNH TRUNG LƯU HỆ THỐNG TÍCH HỢP WEB APPLICATION FIREWALL VÀ VẤN ĐỀ BẢO VỆ TẤN CÔNG ỨNG DỤNG WEB TẠI TRƯỜNG CAO ĐẲNG KIÊN GIANG LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Đà Nẵng - 2019 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC DUY TÂN HUỲNH TRUNG LƯU HỆ THỐNG TÍCH HỢP WEB APPLICATION FIREWALL VÀ VẤN ĐỀ BẢO VỆ TẤN CÔNG ỨNG DỤNG WEB TẠI TRƯỜNG CAO ĐẲNG KIÊN GIANG Chuyên ngành: Khoa học máy tính Mã số: 848.01.01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Người hướng dẫn khoa học: TS NGUYỄN GIA NHƯ Đà Nẵng - 2019 LỜI CẢM ƠN Để hoàn thành luận văn thạc sĩ này, trước tiên cho phép tơi bày tỏ lịng biết ơn sâu sắc đến thầy hướng dẫn Tiến sĩ Nguyễn Gia Như, người tận tình giúp đỡ, bảo tơi q trình học tập, nghiên cứu khoa học tạo điều kiện tốt để tơi hồn thành luận văn Tôi xin bày tỏ lịng biết ơn đến Q Thầy, Cơ khoa Sau đại học - trường Đại học Duy Tân, thầy cô trực tiếp giảng dạy, giúp đỡ tạo điều kiện thuận lợi cho tơi q trình học tập nghiên cứu Tôi xin gửi lời cảm ơn chân thành đến gia đình, đồng nghiệp, bạn bè học viên lớp khoa học máy tính K15MCS.KG ln ủng hộ, giúp đỡ, khuyến khích tơi suốt q trình học tập thực luận văn Xin chân thành cảm ơn! LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu riêng tơi Các số liệu kết nghiên cứu luận văn trung thực không trùng lặp với đề tài khác Tôi xin cam đoan giúp đỡ cho việc thực luận văn cảm ơn thơng tin trích dẫn luận văn rõ nguồn gốc Học viên Huỳnh Trung Lưu MỤC LỤC MỞ ĐẦU 1 Lý chọn đề tài Mục đích nhiệm vụ Đối tượng nghiên cứu Phạm vi nghiên cứu Ý nghĩa khoa học thực tiễn Bố cục luận văn CHƯƠNG TỔNG QUAN VỀ AN NINH MẠNG VÀ ỨNG DỤNG WEB 1.1 Tổng quan an ninh mạng 1.1.1 Giới thiệu an ninh mạng 1.1.2 Đánh giá vấn đề an toàn, bảo mật hệ thống mạng 1.2 Tổng quan ứng dụng Web 10 1.2.1 Giới thiệu Website 10 1.2.2 Khái niệm ứng dụng Web 12 1.2.3 Một số thuật ngữ ứng dụng Web 13 1.2.4 Cấu trúc ứng dụng Web 16 1.2.5 Nguyên lý hoạt động ứng dụng Web 18 1.2.6 Vấn đề bảo mật ứng dụng web 20 1.3 OWASP Mutillidae II 21 CHƯƠNG BẢO MẬT ỨNG DỤNG WEB 23 2.1 KiếnTrúc Web Application Firewall 23 2.1.1 Khái niệm Firewall 23 2.1.2 Khái niệm Web Application Firewall 23 2.1.3 Chức 25 2.1.4 Vị trí đặt Web Application Firewall 26 2.1.5 Các mơ hình Web Application Firewall 26 2.1.6 Giới thiệu tổng quan Modsecurity 29 2.2 SSL Ứng Dụng Web Server 37 2.2.1 Giới thiệu SSL 37 2.2.2 Chức SSL 38 2.2.3 Các thuật toán sử dụng SSL 39 2.2.4 Ứng dụng SSL Web Server 41 2.2.5 Giao thức TLS (Transport Layer Security) 43 2.3 Phân tích số kịch bảo vệ ứng dụng web sử dụng WAF 46 2.3.1 Một số phương thức công ứng dụng web 46 2.3.2 Phân tích số kịch bảo vệ ứng dụng web sử dụng WAF ModSecurity 51 2.4 Kết luận bảo vệ ứng dụng WEB 61 CHƯƠNG TRIỂN KHAI HỆ THỐNG WEB APPLICATION FIREWALL TẠI TRƯỜNG CAO ĐẲNG KIÊN GIANG 63 3.1 Hiện trạng mơ hình mạng Trường Cao đẳng Kiên Giang 63 3.1.1 Mô tả mạng 63 3.1.2 Sơ đồ mạng logic 63 3.1.3 Hạn chế hệ thống mạng trường Cao đẳng Kiên Giang 63 3.2 Đề xuất hệ thống mạng tích hợp Web Application Firewall 64 3.2.1 Giải pháp 64 3.2.2 Đề xuất mơ hình mạng tích hợp hệ thống WAF 65 3.2.3 Phân tích 65 3.3 Triển khai số kịch bảo vệ ứng dụng Web sử dụng WAF 65 3.4 Kết luận sau áp dụng hệ thống Web Application Firewall 79 KẾT LUẬN 80 TÀI LIỆU THAM KHẢO QUYẾT ĐỊNH GIAO ĐỀ TÀI LUẬN VĂN (Bản sao) DANH MỤC TỪ VIẾT TẮT CHỮ VIẾT TẮT CHỮ TIẾNG ANH CHỨ TIẾNG VIỆT WAF Web Application Firewall Tường lửa ứng dụng web Web Website Trang mạng IC3 Internet Crime Complaint Trung tâm khiếu nại tội Center phạm Internet FTP File Transfer Protocol Giao thức truyền tập tin DOS Disk Operating System Hệ điều hành đĩa Hot-plug, hot- Hot-plug, hot-swap Trao đổi nóng Server web Server web Máy chủ web HTTP Hyper Text Transfer Giao thức truyền tải siêu văn Protocol DNS Domain Name System Hệ thống tên miền DOM Document Object Model Mơ hình Đối tượng Tài liệu SSL Transport Layer Security Bảo mật tầng truyền tải TLS Secure Sockets Layer Tầng ổ bảo mật SQL Structured Query Ngơn ngữ truy vấn mang tính Language cấu trúc Open Systems Mơ hình tham chiếu kết nối Interconnection Reference hệ thống mở swap OSI Model HTML XSS Hyper Text Markup Ngôn ngữ đánh dấu siêu văn Language Cross-site Scripting Lỗ hổng cho phép hacker chèn đoạn mã Javascript HTML) vào trang web DANH MỤC CÁC HÌNH Số hiệu Tên hình hình 1.1 1.2 Thống kê tội phạm internet tổ chức IC3 năm 2001 – 2009 Thống kê tội phạm Internet IC3 năm 2010 - 2015 Trang 5 1.3 Thống kê bảo mật ứng dụng WEB 13 1.4 Mô hình tầng ứng dụng web 17 1.5 Mơ hình dịch vụ ứng dụng web đơn giản 17 1.6 Mô tả hoạt động ứng dụng web 19 2.1 Mơ hình hệ thống Tường lửa ứng dụng Web (WAF) 25 2.2 Một ví dụ triển khai WAF máy chủ web Windows 26 2.3 Mô hình Reverse Proxy 27 2.4 Mơ hình Transparent Proxy 28 2.5 Mơ hình Layer Brigde 28 2.6 Mơ hình tổng quan ModSecurity 29 2.7 Kiểm soát HTTP Traffic 31 2.8 Port phổ biến ứng dụng kèm SSL 41 2.9 Mơ hình Client - Server 41 2.10 Các loại Web Server 42 2.11 Một số phương pháp bảo vệ Web Server an tồn 42 2.12 Mơ hình TCP/IP 44 2.13 Thử nghiệm Web OWASP Multilidae 52 Số hiệu Tên hình hình Trang 2.14 File log 52 2.15 Kết nhận trình duyệt 53 2.16 Kiểm tra IP kết nối đến Web Server 53 2.17 2.18 2.19 2.20 Kết áp dụng Rules ngăn chặn User-Agent download Đăng nhập vào OWASP Mutillidae II truy cập vào lỗi SQL Injection Kết câu truy vấn SQL Injection Đăng nhập vào OWASP Mutillidae II truy cập vào lỗi Cross-site Scripting 54 55 55 57 2.21 Tiêm đoạn Script vào nội dung 58 2.22 Đoạn Script thực thi nội dung load 58 2.23 Web hiển thị iframe chèn vào nội dung 59 2.24 Kết sau công XSS lại 61 3.1 Hệ thống sơ đồ cũ 63 3.2 Hệ thống sơ đồ 65 3.3 Truy cập website http://localhost/mutillidae/ 66 3.4 Kết sau cấu hình IP 68 3.5 Ping từ máy Window XP sang TurboLinux 68 3.6 Kết đạt sau thêm rules 69 3.7 Thử nghiệm trình duyệt 70 3.8 3.9 Những dịng báo lỗi công đến máy chủ web Kết ta nhận ta đặt quy tắc 70 71 Số hiệu Tên hình hình 3.10 3.11 File log chứa chuỗi Trang user-agent có tên AppleWebKit/537.36 Kết sau dùng ModSecurity để ngăn chặn UserAgent 71 72 3.12 Đăng nhập vào OWASP Mutillidae II 73 3.13 Kết click View Account Details 73 3.14 Kết chặn công SQL Injection 75 3.15 Đăng nhập vào OWASP Mutillidae II 75 3.16 Chèn đoạn Script vào nội dung 76 3.17 Đoạn Script thực thi nội dung load 76 3.18 Kết chèn iframe vào nội dung 77 3.19 Kết sau thêm rules vào ModSecurity 79 70 Hình 3.7 Thử nghiệm trình duyệt Và nhận lại file erro.log thư mục C:\xampp\apache\logs: Hình 3.8 Những dịng báo lỗi công đến máy chủ web Sau phân tích cơng cảm thấy nguy hại đến hệ thống web chúng ta, ta thêm quy tắc file ModSecurity.conf là: Code: SecRule ARGS "\.\./" "phase:1,log,deny,status:503,id:1" 71 Hình 3.9 Kết ta nhận ta đặt quy tắc - Kịch hai: Phân tích chặn cơng user-agent Giả sử chủ doanh nghiệp nhỏ bán sách dạy nấu ăn định dạng file PDF website Để lôi kéo khách hàng mua sách, cung cấp chương mẫu có chứa cơng thức nấu ăn ngon sách, mà họ tải miễn phí để xem trước định mua Cơng việc kinh doanh ổn định, sau nhận đơn khiếu nại qua email nói trang web chậm khơng truy cập Khi nhìn vào log nhận thấy rằng, IP kết nối tới server web tràn ngập với request cho chương mẫu Các chuỗi user-agent thấy có tên AppleWebKit/537.36 User-agent chương trình Download nhanh Hình 3.10 File log chứa chuỗi user-agent có tên AppleWebKit/537.36 Giải pháp đưa để giải vấn đề dùng ModSecuriry để ngăn chặn user-agent download Rules viết sau 72 Code: SecRuleREQUEST_HEADERS:User-Agent "AppleWebKit/537.36" "phase:1,log,deny,status:503,id:1" Và kết đạt được: Hình 3.11 Kết sau dùng ModSecurity để ngăn chặn User-Agent Trong ví dụ trên, REQUEST_HEADERS thu thập chứa tất trường thông điệp header (message header) gởi đến client header chứa User-agent Vì vậy, ta sử dụng từ khố cho useragent “AppleWebKit/537.36” từ AppleWebKit/537.36 thường xuyên xuất header gởi đến từ client Và Action deny – từ chối log ghi lại log - Kịch ba: Tấn công SQL Injection Chúng ta đăng nhập vào OWASP Mutillidae II truy cập vào lỗi SQL Injection: 73 Hình 3.12 Đăng nhập vào OWASP Mutillidae II Sau thêm vào Name câu truy vấn SQL : 1' or '1' = '1'))/* Và nhấn vào View Account Details truy vấn vào file user name password câu truy vấn là: Hình 3.13 Kết click View Account Details Như có user password cho phép kẻ công thực thao tác xóa, chèn, cập nhập, v.v Trên sở liệu 74 ứng dụng, chí server mà ứng dụng chạy Chúng ta tải OWASP CRS quy tắc ModSecurity OWASP Sau thêm quy tắc vào ModSecurity sau công lại nhận lỗi file erro.log là: [Thu Apr 27 18:56:24.080959 2019] [:error] [pid 22832:tid 1872] [client 192.168.1.76] ModSecurity: Warning Pattern match "\\\\W{4,}" at ARGS:blog_entry [file "C:/xampp/apache/conf/extra/rules/REQUEST-942-APPLICATIONATTACK-SQLI.conf"] [line "1102"] [id "942460"] [rev "2"] [msg "Meta-Character Anomaly Detection Alert - Repetitive Non-Word Characters"] [data "Matched Data: \\x22>