BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TPHCM KHOA CÔNG NGHỆ THÔNG TIN  BÁO CÁO ĐỒ ÁN MƠN HỌC ĐỀ TÀI : TÌM HIỂU VÀ TRIỂN KHAI HỆ THỐNG HONEYPOT Giáo viên hướng dẫn: Nguyễn Thị Hồng Thảo Sinh viên thực hiện: - Phan Tiến Phương Giao 2033181018 - Lục Lê Khả Vi 2033181108 TPHCM, 20 tháng năm 2021 Nhận Xét/ Đánh Giá Sinh viên thực gồm: - Phan Tiến Phương Giao 2033181018 - Lục Lê Khả Vi 2033181108 Nhận Xét Giảng Viên: Đánh Giá: Ngày Tháng Năm MỤC LỤC Danh mục hình ảnh: LỜI CẢM ƠN CHƯƠNG I TỔNG QUAN VỀ HỆ THỐNG HONEYPOT Honeypot 1.1 Khái niệm Honeypot 1.2 Phân loại Honeypot 1.3 Cách hoạt động honeypot 11 Honeynet 12 2.1 Khái niệm Honeynet 12 2.2 Các chức Honeynet 13 2.3 Một số mơ hình triển khai Honeynet giới 14 Vai trò ý nghĩa Honeynet 17 CHƯƠNG II MƠ HÌNH KIẾN TRÚC HONEYNET 19 Honeynet hệ I 19 1.1 Kiến trúc 19 1.2 Điều khiển liệu 19 1.3 Thu thập liệu 19 Honeynet hệ II 20 2.1 Kiến trúc 20 2.2 Điều khiển liệu 20 2.3 Thu thập liệu 20 Honeynet hệ III 20 3.1 Kiến Trúc 20 3.2 Điều khiển liệu 21 3.3 Thu thập liệu 21 3.4 Phân tích liệu 22 Hệ thống honeynet ảo 24 CHƯƠNG III TỔNG QUAN VỀ HỆ THỐNG IDS/IPS 25 Giới thiệu IDS/IPS 25 1.1 Giới thiệu IDS 25 1.2 Phân loại hệ thống phát xâm nhập 25 1.3 Kiến trúc IDS 26 1.4 Giới thiệu IPS 26 1.5 Phân loại hệ thống ngăn chặn xâm nhập (IPS) 27 1.6 Kiến trúc IPS 28 Một số vấn đề liên quan đến IDS/IPS 29 Ưu điểm, hạn chế hệ thống phát xâm nhập IDS 30 Ưu điểm, hạn chế hệ thống ngăn ngừa xâm nhập IPS 31 Các kỹ thuật phát IDS/IPS 31 CHƯƠNG IV TRIỂN KHAI HỆ THỐNG HONEYPOT 35 Giới thiệu kfsensor honeypot IDS 35 1.1 Giới thiệu kfsensor 35 1.2 Một số tính kfsensor 35 Kỹ thuật công Ping of Death (PoD) 36 Mô hình triển khai 36 Cài đặt cấu hình 37 Hình 4.1 IP mục tiêu Attacker 37 Hình 4.2 IP Attacker 37 Hình 4.3 Sử dụng Nmap để scan port mở từ Attacker 37 Hình 4.4 Kfsensor honeypot IDS máy nạn nhân bật thơng báo 38 Hình 4.5 Sau attacker scan port thấy port ssh, telnet, ftp mở Attacker dùng Putty để truy cập ssh telnet từ xa 39 Hình 4.6 Kfsensor bên nạn nhân nhận thơng báo 41 Hình 4.7 Lệnh Ping of Death Attacker 42 Hình 4.8 Máy nạn nhân nhận thông báo từ Kfsensor 42 Kết Luận Và Hướng Phát Triển 44 Danh mục tài liệu tham khảo: 46 Danh mục hình ảnh: Hình 1.1 Honeypot mạng Hình 1.2 Quá trình hình thành Honeypot Hình 1.3 Các loại hình Honeypot 10 Hình 1.4 Mơ hình kiến trúc Honeynet (Gen II) 13 Hình 1.5 Sơ đồ triển khai dự án Artemis Đại học Bắc Kinh, Trung Quốc .15 Hình 1.6 Sơ đồ triển khai Honeynet Greek Honeynet Project 16 Hình 1.7 Sơ đồ triển khai Honeynet UK Honeynet Project .17 Hình 4.1 IP mục tiêu Attacker 37 Hình 4.2 IP Attacker 37 Hình 4.3 Sử dụng Nmap để scan port mở từ Attacker 37 Hình 4.4 Kfsensor honeypot IDS máy nạn nhân bật thơng báo 38 Hình 4.5 Sau attacker scan port thấy port ssh, telnet, ftp mở Attacker dùng Putty để truy cập ssh telnet từ xa 39 Hình 4.6 Kfsensor bên nạn nhân nhận thơng báo 41 Hình 4.7 Lệnh Ping of Death Attacker 42 Hình 4.8 Máy nạn nhân nhận thơng báo từ Kfsensor 42 LỜI CẢM ƠN Trước tiên với tình cảm sâu sắc chân thành nhất, cho phép chúng em bày tỏ lòng biết ơn đến tất cá nhân tổ chức tạo điều kiện hỗ trợ, giúp đỡ chúng em suốt trình học tập nghiên cứu đề tài Trong suốt thời gian từ bắt đầu học tập trường đến nay, chúng em nhận nhiều quan tâm, giúp đỡ q Thầy Cơ bạn bè Với lịng biết ơn sâu sắc nhất, chúng em xin gửi đến cô Nguyễn Thị Hồng Thảo thuộc khoa Công Nghệ Thông Tin– Trường Đại học Công Nghiệp Thực Phẩm giúp chúng em hồn thành báo cáo Nhờ có lời hướng dẫn, bảo cô nên đề tài nghiên cứu chúng em hồn thiện tốt đẹp Bài báo cáo hoàn thành Với điều kiện thời gian kinh nghiệm hạn chế sinh viên, nên báo cáo khơng thể tránh thiếu sót, chúng em mong nhận ý kiến đóng góp quý báu quý Thầy Cô để kiến thức chúng em lĩnh vực hoàn thiện đồng thời có điều kiện bổ sung, nâng cao kiến thức Chúng em xin chân thành cảm ơn ! CHƯƠNG I TỔNG QUAN VỀ HỆ THỐNG HONEYPOT Honeypot 1.1 Khái niệm Honeypot 1.1.1 Honeypot ? Honeypot hiều khơng giống tường lửa firewall, hay hệ thống phát xâm nhập(IDS), Honeypot không giải cụ thể vấn đề Thay vào đó, Honeypot hệ thống gắn liền với mạng thiết lập mồi nhử để thu hút kẻ công mạng phát Cũng giống tổ ong sử dụng để thu hút ong, Honeypot sử dụng để thu hút tin tặc Mặc dù có nhiều định nghĩa cho Honeypot, định nghĩa sau định nghĩa chấp nhận cho mục đích nghiên cứu này: “Honeypot tài nguyên bảo mật có giá trị nằm việc bị thăm dị, cơng xâm phạm” Do đó, đơn giản hệ thống tài nguyên mở có sẵn cho cơng chúng để lơi kéo người dùng với mục đích xấu Tài nguyên sau giám sát để tìm hiểu thứ, chẳng hạn công cụ sử dụng để truy cập vào tài nguyên công cụ sử dụng sau tài nguyên bị xâm phạm Hệ thống tài ngun thơng tin có nghĩa Honeypot giả dạng loại máy chủ, tài nguyên là: Mail Server, Domain Name Server, Web Server,… Honeypot trực tiếp tương tác với tin tặc tìm cách khai thác thơng tin tin tặc hình thức cơng, cơng cụ cơng hay cách thức tiến hành hay bị cơng Hình 1.1 Honeypot mạng Theo hình 1.1 thấy honeypot nằm vùng dmz, honeypot nằm trước sau firewall Hình 1.2 Quá trình hình thành Honeypot Theo hình 1.2 Honeypot phát minh vào năm 1998, honeypot tốt ứng dụng biết hệ thống honey Nó máy chủ, thiết bị mạng daemon dụ kẻ công tiềm đánh lạc hướng chúng khỏi nguồn cung cấp mạng có giá trị Một hệ thống bao gồm honeypots có tính tương tác cao honeynet phát triển dựa honeypot vào năm 2000 Nó thiết kế để thu thập thông tin rộng rãi mối đe dọa (hành động kẻ công) cách tạo mạng lưới hệ thống.Đến năm 2003 xuất HoneyToken,là honeypot máy tính Thay vào loại thực thể kỹ thuật số Honeytoken số thẻ tín dụng, Excel bảng tính, trình bày PowerPoint, mục nhập sở liệu chí đăng nhập khơng có thật.Và sau Honeypot 2.0 đời phát triển Và gần Deception Platform hiểu hệ thống cho phép phân phối, cấu hình giám sát phần tử lừa dối, mồi nhử 1.1.2 Ưu điểm Honeypot  Honeypot công nghệ đơn giản, có sai sót cấu hình sai  Chỉ tập trung vào lưu lượng độc hại giúp việc điều tra dễ dàng nhiều  Không cần lưu trữ liệu khổng lồ  Bất kỳ máy tính sử dụng hệ thống honeypot (tiết kiệm chi phí để xây dựng honeypot)  Honeypot nắm bắt công cung cấp thông tin loại cơng Ngồi Honeypot cịn có lợi ích sau:  Quan sát hành động tìm hiểu hành vi tin tặc  Thu thập thông tin, phần mềm độc hại khai thác sau báo cho người quản trị Sử dụng thơng tin để đào tạo nhân viên IT bạn  Tạo hồ sơ tin tặc cố gắng truy cập vào hệ thống bạn  Cải thiện tình trạng bảo mật  Chúng cho bạn thấy bạn bị cơng liệu có giá trị cố gắng tăng ngân sách để bảo mật 1.1.3 Nhược điểm Honeypot  Cần có chi phí để bảo trì giám sát  Chúng ta nắm bắt liệu hacker chủ động cơng hệ thống  Nếu có công xảy hệ thống khác, honeypot khơng thể xác định  Honeypot sử dụng hình thức cơng để tiếp cận hệ thống khác xâm phạm chúng  Tất cơng nghệ bảo mật có nguy cơ, Honeypot khơng ngoại lệ Honeypot có nguy thực hệ thống kẻ xấu sử dụng để gây hại cho hệ thống khác  Một nhược điểm lớn khác việc sử dụng honeypots phát xâm nhập bị cơng trực tiếp Tuy nhiên, kẻ công xác định honeypot để làm gì, chúng trốn tránh hệ thống xâm nhập vào mạng 1.2 Phân loại Honeypot Gồm hai loại : Tương tác thấp tương tác cao Tương tác thấp: Honeypot tương tác thấp tốn tài nguyên thu thập thông tin thô sơ loại mối đe dọa nguồn gốc Chúng tương đối đơn giản để thiết lập chúng sử dụng Giao thức điều khiển truyền (TCP), Giao thức Internet (IP) dịch vụ mạng Tuy nhiên, khơng có bên honeypot để thu hút ý kẻ công khoảng thời gian đáng kể Mô giả dịch vụ, ứng dụng, hệ điều hành Mức độ rủi ro thấp, dễ triển khai bảo dưỡng bị giới hạn dịch vụ quan sát nhằm xác định độ lệch Kỹ thuật sử dụng hệ thống IDS / IPS dựa bất thường gọi phân tích hành vi mạng phân tích kinh nghiệm Phát Honeypot Based Honeypot sử dụng máy chủ giả để thu hút công Bằng cách dàn dựng loại lỗ hổng khác máy chủ honeypot, người quản trị mạng dùng kĩ thuật để phân tích loại cơng đến mẫu lưu lượng độc hại 32 ◆ So sánh ưu nhược kỹ thuật phát Dựa chữ ký Dựa sách Ưu điểm Nhược điểm Cấu hình dễ dàng Khơng phát chữ ký Ít dương tính giả khơng xác định (false positive) Ban đầu có nhiều kết Thiết kế chữ ký tốt trùng khớp giả Đơn giản đáng tin Đầu chung cậy Chính sách phải tạo Chính sách tùy chỉnh Có thể phát cơng khơng xác định Dựa dị thường Dựa HoneyPot Cấu hình dễ dàng Khó lập hồ sơ hoạt động điển Có thể phát hình mạng lớn công không Hồ sơ lưu lượng truy cập xác định phải không đỏi Đánh lạc hướng Máy chủ honeypot chuyên gây nhầm lẫn cho kẻ dụng công Máy chủ honeyppot không tin cậy 33 Làm chậm lại tránh công Thu nhập liệu thông tin công 34 CHƯƠNG IV TRIỂN KHAI HỆ THỐNG HONEYPOT Giới thiệu kfsensor honeypot IDS 1.1 Giới thiệu kfsensor KFSensor hoạt động honeypot, thiết kế để thu hút phát tin tặc sâu cách mô dịch vụ hệ thống dễ bị công trojan KFSensor cấu hình sẵn để giám sát tất cổng TCP UDP, với ICMP Nó cấu hình để mơ dịch vụ thông thường Bằng cách phản hồi với mô dịch vụ thực, KFSensor tiết lộ chất công trì tồn quyền kiểm sốt tránh nguy bị xâm phạm.Cũng công dịch vụ riêng lẻ, KFSensor phát phản hồi công quét cổng từ chối dịch vụ DOS ngăn bị q tải 1.2 Một số tính kfsensor Bảo vệ chống cơng từ chối dịch vụ (DOS): KFSensor trang bị số chế để chống lại công DOS Theo dõi cổng: KFSensor Professional giám sát công cổng TCP UDP, phát thơng báo ICMP ping Nó giám sát tất hoạt động mạng ứng dụng máy chủ Windows địa; cho phép chúng hoạt động phần cấu hình honeypot Quản trị từ xa: Phiên KFSensor Enterprise bao gồm khả quản lý giám sát nhiều cài đặt honeypot Các kiện từ cảm biến khác toàn mạng kết nối thời gian thực, cho phép xem công chúng xảy KFSensor sử dụng xác thực khóa cơng khai / riêng tư RSA 3072 bit mã hóa AES 256 bit để cung cấp bảo mật vô song cho giao tiếp cảm biến Mô dịch vụ: KFSensor có số kiểu mơ khác nhau, đơn giản phức tạp Chúng mở rộng với việc sử dụng tập lệnh tùy chỉnh Ví dụ: Máy chủ MS SQL,Telnet, Mơ giao thức truyền tệp.(FTP),… 35 Kỹ thuật công Ping of Death (PoD) Ping of Death (PoD) kiểu công tử chối dịch vụ DoS Trong kẻ cơng gửi gói mạng lớn máy tính nạn nhân xử lý Trong mạng dựa IPv4, tổng kích thước trọng tải lệnh ping 84 byte kích thước gói mạng tối đa mà máy tính xử lý 65.536 byte Để khởi tạo PoD, kẻ cơng gửi gói ping lớn 65.536 byte, điều làm cho hệ thống không ổn định khiến bị đóng băng, sập khởi động lại làm suy giảm dịch vụ máy tính PoD sử dụng để làm cho hệ thống máy tính khơng ổn định cách cố tình gửi gói ping lớn đến hệ thống mục tiêu qua mạng IPv4 Cách phòng chống: Chặn chọn lọc ping phân mảnh, cho phép lưu lượng ping thực qua mà khơng bị cản trở Như giảm công PoD giảm thiểu tác động cơng Mơ hình triển khai Máy nạn nhân (192.168.21.128): Sẽ cài Kfsensor làm honeypot Máy Attacker (192.168.21.132): Dùng Putty Nmap để dò port mở cố gắng truy cập từ xa, dùng lệnh cmd để công cách thức ping of death 36 Cài đặt cấu hình Hình 4.1 IP mục tiêu Attacker Hình 4.2 IP Attacker Hình 4.3 Sử dụng Nmap để scan port mở từ Attacker 37 Hình 4.4 Kfsensor honeypot IDS máy nạn nhân bật thơng báo 38 Hình 4.5 Sau attacker scan port thấy port ssh, telnet, ftp mở Attacker dùng Putty để truy cập ssh telnet từ xa 39 40 Hình 4.6 Kfsensor bên nạn nhân nhận thơng báo 41 Hình 4.7 LLệnh Ping of Death Attacker Hình 4.8 Máy nạn nhân nhận thông báo từ Kfsensor 42 43 Kết Luận Và Hướng Phát Triển Chúng ta thấy giống tất cơng nghệ, honeypots có nhược điểm chúng,và lớn trường nhìn hạn chế Honeypots nắm bắt hoạt động chống lại bỏ lỡ công chống lại hệ thống khác Vì lý đó,các chun gia bảo mật không khuyến nghị hệ thống thay cơng nghệ bảo mật Mà thay vào đó, họ xem honeypots công nghệ bổ sung cho mạng dựa máy chủ bảo vệ chống xâm nhập Những ưu điểm mà honeypot mang lại khó bỏ qua giải pháp chống xâm nhập, đặc biệt honeypot sản xuất bắt đầu phát triển Theo thời gian, việc triển khai tăng lên, honeypots trở thành thành phần thiết yếu doanh nghiệp hoạt động bảo mật Dưới việc nhóm làm, chưa làm hướng phát triển đề tài sau này: Những việc làm được: - Hiểu mô hình kiến trúc, nguyên lý hoạt động Honeypot Honeynet Vai trị mục đích Honeypot việc nghiên cứu, tìm hiểu kỹ thuật cơng - Triển khai, cài đặt vận hành thử nghiệm hệ thống Honeypot Kfsensor để thu thập hành động, phân tích q trình cơng kẻ cơng Những việc chưa làm được: - Do thời gian có hạn nên đề tài bị giới hạn phạm vi nghiên cứu để thu thập kỹ thuật công kẻ cơng, chưa thể ý nghĩa, vai trị tính Honeypot việc đánh lừa, chuyển hướng công kẻ công sang máy tính khác - Do thiếu trang thiết bị nên việc triển khai mức độ thử nghiệm, chưa áp dụng triển khai vào thực tế 44 Hướng phát triển: - Nếu đề tài thành cơng, nhóm muốn áp dụng triển khai hệ thống Honeypot vào thực tế triển khai với mơ hình Honeynet lớn hơn, có nhiều chức quan trọng để phục vụ cho mục đích phịng chống phát cơng từ xa 45 Danh mục tài liệu tham khảo: https://www.cloudflare.com/learning/ddos/glossary/denial-ofservice/ https://www.kaspersky.com/resource-center/threats/what-is-ahoneypot https://securitytrails.com/blog/top-20-honeypots https://fossbytes.com/perform-ping-of-death-attack-using-cmd-justfor-learning/ https://en.wikipedia.org/wiki/Honeypot_(computing) http://www.keyfocus.net/kfsensor/ https://nmap.org/ https://www.citech.vn/2016/10/he-thong-nguy-trang-manghonynet.html Virtualization for Security, 2009 10 Naomi J Alpern, Robert J Shimonski, in Eleventh Hour Network+, 2010 46 ... VỀ HỆ THỐNG HONEYPOT Honeypot 1.1 Khái niệm Honeypot 1.1.1 Honeypot ? Honeypot hiều khơng giống tường lửa firewall, hay hệ thống phát xâm nhập(IDS), Honeypot không giải cụ thể vấn đề Thay vào... cập trái phép vào tài nguyên hệ thống mạng 26 IPS triển khai dạng: IPS triển khai mạng (NIPS – Network-based Intrusion Prevention): thường triển khai trước sau firewall Khi triển khai IPS trước... động công hệ thống  Nếu có cơng xảy hệ thống khác, honeypot xác định  Honeypot sử dụng hình thức cơng để tiếp cận hệ thống khác xâm phạm chúng  Tất công nghệ bảo mật có nguy cơ, Honeypot khơng