Vận hành và thử nghiệm

5. Bố cục của đề tài

3.3.Vận hành và thử nghiệm

3.3.1. Mụ hỡnh thử nghiệm

Chỳng tụi đó ỏp dụng Module giỏm sỏt an ninh mạng để thử giỏm sỏt hệ thống mạng theo mụ hỡnh:

60 Internet ` ` ` 192.168.2.0/24 VLAN 2 ` ` ` 192.168.3.0/24 VLAN 3 ` ` ` 192.168.1.0/24 VLAN 1 Attacker 192.168.1.101 WebServer 192.168.199.132 Module GSANM 220.231.101.125 220.231.101.126 Cisco ASA 5520 192.168.199.130

Hỡnh 3.5: Mụ hỡnh thử nghiệm Module giỏm sỏt an ninh mạng

 Mụ tả mụ hỡnh:

- Hệ thống mạng bờn trong được chia làm 4 khu vực với dải địa chỉ mạng như sau:

+ VLAN 1: 192.168.1.0/24 + VLAN 2: 192.168.2.0/24 + VLAN 3: 192.168.3.0/24 + WebServer: 192.168.199.132.

- Module giỏm sỏt an ninh mạng kết nối tới 1 cổng trờn Switch để thực hiện giỏm sỏt toàn bộ cỏc gúi tin đi qua Switch.

- Hệ thống mạng bờn trong kết nối tới Internet thụng qua Firewall ASA 5520 và Router.

- Cụ thể trờn cỏc mỏy như sau: + Mỏy Attacker:

 Nằm trong vựng VLAN 1, địa chỉ IP: 192.168.1.101.  Cài đặt hệ điều hành Windows 7.

 Cài đặt phần mềm DosHTTP, Nmap. + Mỏy WebServer:

 Địa chỉ IP: 192.168.199.132.

 Cài đặt hệ điều hành Windows Server 2003 SP2.  Cài đặt phần mềm XAMPP – Apache làm WebServer.  Cài đặt Wireshark.

+ Module giỏm sỏt an ninh mạng:  Địa chỉ IP: 192.168.199.130.

 Sử dụng Module giỏm sỏt an ninh mạng đó xõy dựng.  Kịch bản tấn cụng:

Mỏy Attacker sẽ thực hiện 2 phương phỏp tấn cụng vào WebServer:

- Tấn cụng từ chối dịch vụ (Sử dụng phần mềm DoSHTTP)

- Tấn cụng thăm dũ (Sử dụng phần mềm Nmap)

Chỳng ta sẽ theo dừi cảnh bỏo qua giao diện Web của Module giỏm sỏt an ninh mạng.

3.3.2. Tấn cụng từ chối dịch vụ

Chỳng tụi tiến hành thử nghiệm khả năng phỏt hiện tấn cụng từ chối dịch vụ của Module giỏm sỏt an ninh mạng bằng một phần mềm kiểm thử là DosHTTP.

Đõy là phương thức tấn cụng mới mà Snort chưa cú rule để cú thể phỏt hiện ra tấn cụng. Do vậy trước khi thử nghiệm Module giỏm sỏt an ninh mạng, chỳng tụi sẽ tiến hành phõn tớch tấn cụng và viết thờm rule cho Snort.

- Tại mỏy Attacker:

Hỡnh 3.6: Attacker sử dụng chương trỡnh DoSHTTP để tấn cụng vào WebServer

- Tại mỏy WebServer:

Đột nhiờn thấy mỏy chạy rất chậm và rất khú đăng nhập vào được Website. Ta sẽ tiến hành kiểm tra như sau:

Bật Task Manager để kiểm tra hoạt động của CPU:

63 (adsbygoogle = window.adsbygoogle || []).push({});

Chỳng ta thấy rằng CPU load khỏ cao và lưu lượng mạng vào khỏ cao. Chứng tỏ hệ thống cú vấn đề.

Tiếp theo, ta sẽ đặt Wireshark để lắng nghe thụng tin đi vào WebServer để phõn tớch:

Xem thử log webserver Apache thỡ thấy cú rất nhiều request bất thường đến từ IP là 192.168.1.101. Cụ thể là là mỏy này gửi GET quỏ nhiều trong một thời điểm. Cú thể nhận thấy là số GET trong một giõy (22:32:40) là 22 lần, điều này là khỏ bất thường với 1 người dựng bỡnh thường, ngoài ra cỳ GET này chỉ vào một link duy nhất là vào http://192.168.1.199.132 /xampp

192.168.1.101 - - [20/Jun/2014:22:32:36 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)”

192.168.1.101 - - [20/Jun/2014:22:32:40 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)”

192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)”

Như vậy cú khả năng cao là bị tấn cụng DoS từ mỏy tớnh 192.168.1.101.

Chỳng ta cần bắt cỏc gúi tin bằng Wireshark để kiếm tra thụng tin tỡm mẫu để viết luật cho Snort.

66 (adsbygoogle = window.adsbygoogle || []).push({});

Ta nhận thấy cú khỏ nhiều kết nối TCP được tạo trước khi cú một cỳ HTTP GET từ IP 192.168.1.101. Như vậy chỳng ta nờn chặn kết nối bắt tay TCP này trước để trỏnh tạo cỏc cỳ HTTP GET sau này. Cú thể xem như hỡnh thức tấn cụng này là gửi rất nhiều HTTP Request liờn tục trong 1 thời điểm để làm giảm hiệu năng hệ thống hay làm giảm hiệu năng của mạng. Vỡ thế chỳng ta sẽ viết luật tạo ngưỡng để phỏt hiện cỏc kết nối TCP quỏ nhiều trong một thời điểm từ một mỏy. Trong mụ hỡnh Demo này chỳng tụi tạm thời chỉ coi như cú 1 mỏy truy cập Webserver thụi, như vậy chỳng tụi sẽ tạo 1 luật như sau:

alert tcp any any -> 192.168.199.132 80 (msg:”Co nguoi dang DoS”; flow:stateless; flags:S; threshold:type both, track by_src, count 10, seconds 1; sid:20090011;)

Với ý nghĩa như sau: Từ một IP bất kỳ nào mà vào WebServer 192.168.199.132 mà cú số gúi tin TCP khởi tạo với cờ S gửi đến 10 gúi trờn 1 giõy thỡ sẽ sinh cảnh bỏo.

Giao diện ghi luật :

Hỡnh 3.9: Xõy dựng luật Snort phỏt hiện tấn cụng DoS qua giao diện Web

Sau khi ỏp luật vào hệ thống chạy thử nghiệm sẽ thấy khi cú tấn cụng hệ thống sẽ sinh cảnh bỏo như sau:

Hỡnh 3.10: Màn hỡnh cảnh bỏo tấn cụng từ chối dịch vụ của Module giỏm sỏt an ninh mạng

Như vậy chỳng ta đó sinh được cảnh bỏo về tấn cụng DoS.

3.3.3. Tấn cụng thăm dũ

Chỳng tụi sẽ thử khả năng phỏt hiện tấn cụng thăm dũ sử dụng phần mềm quột cổng Nmap vào WebServer.

Mặc định Hệ thống Giỏm sỏt An ninh mạng cú 1 plugin là portscan khỏ tốt, trong đú cú nhận dạng được hầu hết cỏc kiểm tham dũ, trong demo này sẽ sử dụng module này.

Module này được khai bỏo trong file snort.eth0.conf. Nội dung như sau:

preprocessor sfportscan: proto { all } \ memcap { 10000000 } \ sense_level { low }

- Trờn mỏy Attacker:

Hỡnh 3.11: Sử dụng phần mềm Nmap dũ quột cỏc cổng trờn mỏy WebServer

- Theo dừi qua giao diện Web của Module giỏm sỏt an ninh mạng:

Hỡnh 3.12: Màn hỡnh cảnh bỏo tấn cụng dũ quột của Module giỏm sỏt an ninh mạng

Như vậy chỳng ta đó phỏt hiện được hành động quột cổng của kẻ tấn cụng, từ đõy chỳng ta cú thể tải gúi tin sinh cảnh bỏo về và xem chi tiết cỏch kẻ tấn cụng quột cổng như thế nào để từ đú tỡm cỏch đối phú (dựng tưởng lửa, hay tỡm cỏch phản ứng). Tải về file Pcap và mở ra bằng Wireshark

Hỡnh 3.13: Chức năng lưu trữ file giỏm sỏt của Module giỏm sỏt an ninh mạng

Hỡnh 3.14: Phõn tớch file Pcap sử dụng phần mềm Wireshark

Nhận thấy rằng kẻ tấn cụng sử dụng cỏch quột cổng đú là gửi cỏc gúi tin cú cờ SYN liờn tục với dải port đến mỏy WebServer, như vậy chỳng ta nắm được hành vi quột cổng và từ đú sẽ tỡm cỏch chống lại bằng firewall ….

3.3.4. Đỏnh giỏ kết quả

Như vậy sau khi tiến hành thử nghiệm cỏc chức năng của Snort chạy trờn hệ điều hành nhõn Linux tạo thành Module giỏm sỏt an ninh mạng và theo dừi hoạt động thỡ thấy Module giỏm sỏt an ninh mạng hoạt động ổn định, khụng xảy ra hiện

tượng chậm hay xung đột phần mềm. Đồng thời Module giỏm sỏt an ninh mạng cú thể thực hiện cỏc chức năng như:

- Giỏm sỏt được hầu hết cỏc gúi tin mà khụng làm giảm hiệu suất hoạt động của hệ thống mạng.

- Phỏt hiện ra được cỏc hành vi bất thường. - Thống kờ được cỏc luồng lưu thụng mạng. - Trong suốt với người sử dụng. (adsbygoogle = window.adsbygoogle || []).push({});

- Dễ dàng vận hành.

- Cú thể quản trị qua giao diện Website.

- Thớch ứng nhanh khi cú thay đổi từ phớa người quản trị: Thờm luật, thay đổi cấu hỡnh, chỉnh sửa luật, …

Module đó được thử nghiệm trờn hai phương phỏp tấn cụng và đều cho ra kết quả cảnh bỏo khỏ chớnh xỏc. Cỏc kết quả cảnh bỏo cú thể hiển thị nhanh theo thời gian thực ngay trờn giao diện Website. Thành phần quản trị và cập nhật luật cho Snort hoạt động ổn định, cú thể hoạt động ngay sau khi người quản trị tạo luật mà khụng cần khởi động lại toàn bộ Module giỏm sỏt.

KẾT LUẬN

Trong thời đại cụng nghệ thụng tin ngày càng phỏt triển như hiện nay, vấn đề đảm bảo an toàn thụng tin được đặt ra hàng đầu với cỏc cơ quan, doanh nghiệp. Và hệ thống giỏm sỏt an ninh mạng đúng vai trũ trọng tõm trong quỏ trỡnh bảo vệ đú. Hệ thống giỏm sỏt an ninh mạng giỳp cho người quản trị cú được cỏi nhỡn tổng thể về hệ thống mạng của mỡnh, về cỏc mối nguy hại cú thể xảy đến đồng thời cú đưa ra cỏc biện phỏp phũng trỏnh cỏc mối nguy hại gõy hậu quả nghiờm trọng cho hệ thống mạng. Tuy nhiờn, để xõy dựng được một hệ thống giỏm sỏt an ninh mạng như thế khụng phải là cụng việc dễ dàng. Nú đũi hỏi phải cú sự hiểu biết sõu rộng về cỏc phần mềm, cỏc kiến thức về hệ thống, về lập trỡnh, .. cựng cỏc kiến thức về an toàn thụng tin.

Sau một thờ , dưới sự hướng

dẫn tận tỡnh của TS. Trần Đức Sự và sự giỳp đỡ tận tỡnh của cỏc thầy cụ giỏo, cỏc kỹ sư tại Khoa An toàn thụng tin – Học viện Kỹ thuật mật mó đó giỳp tụi

: - Tỡm hiểu cơ bản về hệ thống giỏm sỏt an ninh mạng, cỏc thành phần và chức năng của hệ thống giỏm sỏt an ninh mạng

- Nghiờn cứu, tỡm hiểu cỏc phần mềm mó nguồn mở với cỏc chức năng khỏc nhau.

- Xõy dựng thành cụng Module giỏm sỏt an ninh mạng kết hợp tớnh năng của

cỏc phần mềm mó nguồn mở .

Snort tụi nhiều

, được trực tiếp thử nghiệm trờn mụ hỡnh tại học viện Kỹ thuật mật mó.

- Phỏt hiện thờm nhiều kiểu tấn cụng khỏc.

- Cú thờm chức năng tự động phản ứng trước cỏc cuộc tấn cụng.

- Xõy dựng giao diện quản trị trực quan hơn với người sử dụng, cú thể trớch xuất ra cỏc bỏo cỏo dạng văn bản: Word, PDF, …

- Tớch hợp thờm nhiều phần mềm khỏc với nhiều tớnh năng hơn, giỳp cho hệ thống giỏm sỏt an ninh mạng cú thể giỏm sỏt được hệ thống chặt chẽ hơn.

- Hiện nay trỏi tim của Module giỏm sỏt an ninh mạng là Snort với khả năng phỏt hiện xõm nhập dựa vào cỏc mẫu sẵn cú. Vỡ thế đối với cỏc kiểu tấn cụng mới sẽ khụng thể phỏt hiện ra. Do vậy cần xõy dựng thờm chức năng phõn tớch dựa vào sự kiện bất thường và phõn tớch dựa trờn giao thức để cú thể phỏt hiện tấn cụng một cỏch chớnh xỏc nhất.

Hy vọng trong thời gian sắp tới, tụi cú thể nghiờn cứu sõu hơn nữa để .

TÀI LIỆU THAM KHẢO

[1]. VNCERT (2007), “Nghiờn cứu xõy dựng mụ hỡnh hệ thống quản lý An toàn

Internet theo cấu trỳc phõn bổ”, Hà Nội

[2]. Học viện kỹ thuật mật mó (2008), “Bộ giao thức TCP/IP”, Học viện kỹ thuật mật mó, Hà Nội

[3]. Vũ Bảo Thạch (2006), “Giỏo trỡnh Thực hành An toàn Mạng”, Học viện mật mó, Hà Nội.

[4]. Richard Bejtlich (2004), “The Tao Of Network Security Monitoring”, The United States of America. (adsbygoogle = window.adsbygoogle || []).push({});

[5]. Website: http://www.alienvault.com

[6]. Website: http://www.snort.org/

5. Bố cục của đề tài

3.3.Vận hành và thử nghiệm

Mục lục