XÂY DỰNG HỆ THỐNG

Một phần của tài liệu Xây dựng hệ thống cảnh báo chống xâm nhập IDS SNORT bảo vệ web server trường đại học kinh tế (Trang 65 - 86)

XÂY DỰNG HỆ THỐNG

Trong chương này, luận văn sẽ trình bày xây dựng hệ thống cảnh báo IDS SNORT và đưa ra giải pháp phòng chống.

3.1. XÂY DỰNG HỆ THỐNG 3.1.1. Mô tả kịch bản

Trường Đại học Kinh tế bao gồm 12 khoa, 8 phòng chức năng, 8 trung tâm, 1 thư viện với gần 400 giảng viên và đào tạo hàng nghìn sinh viên mỗi năm. Để hỗ trợ cho công tác giảng dạy của giảng viên và học tập của sinh

viên trường đã trang bị hàng chục cái máy tính tại các phịng Lab ở các tịa

nhà khác nhau trong trường. Hầu hết giảng viên và sinh viên đều có máy tính cá nhân. Vì vậy, nhu cầu kết nối mạng để phục vụ cho nghiên cứu giảng dạy của giảng viên và sinh viên là rất lớn. Hiện nay trường có hơn 20 thiết bị Access Point đặt tại các khu giảng đường và khu làm việc. Một phòng máy

chủ đặt tại tầng 3 tòa nhà A bao gồm: 1 thiết bị Router (Board 1100), 5 thiết

bị Switch Linksys (48 cổng), 10 máy chủ. Đường truyền Internet cung cấp

dịch vụ cho máy chủ và hệ thống mạng nội bộ sử dụng kết nối Leadline với các nhà cung cấp: Viettel, Vnpt Vinaphone, CMC. Thống kê lưu lượng sử dụng mạng nội bộ mỗi ngày là 40GB.

Hiện tại máy chủ được trang bị qua nhiều năm khác nhau nên cấu hình

và chủng loại cũng khác nhau. Số lượng máy chủ trên cung cấp các dịch vụ: Web Service, Mail Service, File Service, Print Service, AD. Phần lớn máy chủ phục vụ Web Service bao gồm trang thông tin của trường, hệ thống quản lý đào tạo, quản lý cán bộ, quản lý thư viện điện tử và quản lý ký túc xá.

Ngoài ra một số máy chủ sử dụng các dịch vụ cho quản lý công tác tài chính, quản lý điểm đào tạo và quản lý đăng ký tín chỉ sinh viên.

chủ là các thiết bị Router. Ưu điểm của tường lửa này là hoạt động nhanh

chóng và ổn định. Nhược điểm chính là các luật sử dụng khó mở rộng và

giám sát hiển thị chủ yếu là truy cập trực tiếp để theo dõi. Vì vậy, kẻ tấn cơng có thể xun qua tường lửa này để tấn công vào các máy chủ và máy trạm bên trong hệ thống.

Sơ đồ kết nối nguyên lý hệ thống trường Đại học Kinh tế - Đại học Đà

Nẵng thể hiện qua Hình 3.1. Thơng qua các thiết bị mạng, vùng DMZ và vùng cục bộ cho phép các máy trạm truy cập trực tiếp để lấy thông tin, đây là một trong những nguy cơ nếu các kẻ tấn cơng có thể tấn cơng từ bên trong.

Qua các vấn đề trên cho thấy, hệ thống mạng trường Đại học Kinh tế

thuộc lỗ hổng loại A, đây là 1 trong những tình trạng rất nguy hiểm cho dữ liệu của nhà trường và các máy tính đang hoạt động bên trong. Các kẻ tấn

cơng có thể thay đổi dữ liệu về các hệ thống quản lý và hệ thống thông tin,

bên cạnh đó các kẻ tấn cơng đánh cắp dữ liệu cá nhân.

Trên cơ sở đó xây dựng các giải pháp phát hiện xâm nhập và đưa ra giải pháp phòng chống cho hệ thống máy chủ và các máy tính là điều hết sức quan trọng và cần thiết.

Trong mơ hình thực nghiệm là đưa ra một mơ hình mạng thật đang được

ứng dụng trong thực tế nhằm phân tích đánh giá các hoạt động của một mạng

máy tính cũng như cơ chế hoạt động của hệ thống Firewall và IDS, khả năng phát hiện và ngăn chặn của IDS cũng như Firewall trong mạng máy tính. Cơ sở hạ tầng tốt và hệ thống máy tính đủ mạnh để có khả năng xử lý cho hệ

thống được tốt hơn.

Để mơ phỏng theo mơ hình thực nghiệm yêu cầu về phần mềm phải có đủ các phần mềm để xây dựng lên hệ thống như: Firewall, máy tính ảo, IDS,

Web Server và hệ thống IDS ngay trên máy ảo,… yêu cầu cấu hình máy tính làm mơ phỏng là RAM tối thiểu 2GB.

Hình 3.1. Mơ hình tổng quan

3.1.2. Hạ tầng mạng kịch bản

Hạ tầng thực nghiệm sẽ xây dụng hệ thống Firewall và IDS trên máy Windows Server, có một card mạng, một card mạng có địa chỉ là 192.168.1.1 nối với mạng bên trong Web Server có địa chỉ là 192.168.1.15. Để mơ phỏng, chúng ta tạo các kết nối nhưng ssh, ping, http từ ngoài hoặc từ trong vào máy Firewall và IDS, trong cùng thời điểm đó chúng ta dùng hệ thống Firewall và IDS theo dõi sự phát hiện xâm nhập vào hệ thống. Firewall có thể ngăn chặn

được các lưu lượng mạng cịn IDS có thể kiểm sốt được tất cả lưu lượng bên

trong lẫn bên ngoài. Lưu lượng độc hại khi đi vào hệ thống sẽ được IDS phát hiện báo cho nhà quản trị mạng biết để kịp thời ngăn chặn sự xâm nhập trái phép đó bằng hệ thống firewall.. Trong mơ hình này để đơn giản chúng ta chỉ khảo sát tấn công từ ngồi vào hệ thống Firewall và IDS. Khi có sự tấn cơng

tích Base (Basic Analysis and Sercurity Engine)

Hình 3.2. Mơ hình cài đặt hệ thống

- Các gói tin cần chuẩn bị: + BASE

+ snort-2.9.8.0

+ snortrules-snapshot-2980

- barnyard2

Máy sử dụng: VMWare được cài đặt trên Windows 7 và cài đặt máy ảo

hệ điều hành Window Server 2008.

3.1.3. Các bước cài đặt hệ thống

- Bước 1: chuẩn bị đối với hệ điều hành

+ Cài đặt các chương trình cần thiết cho máy làm IDS + Cài đặt MySQL

- Bước 2: Cấu hình snort

+ Cấu hình Snort để chạy dưới chế độ NIDS

+ Mở tập tin cấu hình snort (snort.conf) thay đổi các dịng lệnh + Dòng lệnh nguyên thủy trong tập tin

+

+ var SO_RULE_PATH ../so_rules

+ var PREPROC_RULE_PATH ../preproc_rules + Được thay thế bằng

+ var RULE_PATH c:\snort\rules

+ var SO_RULE_PATH c:\snort\so_rules

+ var PREPROC_RULE_PATH c:\snort\preproc_rules Thêm các thư viện động (Dll) để tạo môi trường tiền xử lý # path to dynamic preprocessor libraries

dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_dce2.dll dynamicpreprocessor file

C:\Snort\lib\snort_dynamicpreprocessor\sf_dcerpc.dll

dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_dns.dll dynamicpreprocessor file

C:\Snort\lib\snort_dynamicpreprocessor\sf_ftptelnet.dll

dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_sdf.dll dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_smtp.dll dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_ssh.dll dynamicpreprocessor file C:\Snort\lib\snort_dynamicpreprocessor\sf_ssl.dll # path to base preprocessor engine

dynamicengine /usr/local/lib/snort_dynamicengine/libsf_engine.so dynamicengine C:\Snort\lib\snort_dynamicengine\sf_engine.dll

Kiểm tra quá trình cấu hình từ cửa sổ màn hình theo Hình 3.3.

Hình 3.3. Lệnh trợ giúp (Help) trong Snort

Các tham số kiểm tra cấu hình file snort

Chức năng Ý nghĩa

-c <rules> Sử dụng tập tin các luật <rules> -l <ld> Ghi log vào thư mục <ld> -v Hiển thị đầy đủ thông tin -i <if> Lắng nghe giao diện <if>

-T Kiểm tra và báo cáo cấu hình hiện thời Snort

Thực thi lệnh kiểm tra cấu hình snort: snort -c c:\snort\etc\snort.conf -l c:\snort\log –i4 –T, kết quả thể hiện theo Hình 3.4.

Hình 3.4. Thực thi lệnh kiểm tra cấu hình Snort

Lệnh chạy snort lắng nghe gói tin với hiển thị đầy đủ snort -v -i4, đầu

ra là phần đầu gói tin TCP theo Hình 3.5, để ngắt các gói tin hiển thị sử dụng phím ctrl + break

Hình 3.5. Snort lắng nghe gói tin với hiển thị đầy đủ

Để biết được các giao diện card mạng đang sử dụng, sử dụng lệnh snort

–W, kết quả hiển thị theo Hình 3.6.

Hình 3.6. Kết quả thể hiện giao diện card mạng đang sử dụng

Ghi log các gói tin trong snort: snort -vde -l c:\snort\log -i4 thể hiện Hình 3.7, kết quả đầu ra của snort được lưu tại địa chỉ c:\snort\log thể hiện

Hình 3.7. Ghi log các gói tin snort

Hình 3.8. Kết quả chương trình lắng nghe gói tin và lưu kết quả ra file log

+ Sau đó ta thực hiện tạo database trong MySQL: mysql>create database mysnort;

mysql>create database archive;

+ Tiếp theo ta tạo một user để quản trị nhằm hạn chế những rủi ro khi sử dụng user root trong việc quản trị cơ sở dữ liệu.

mysql>CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456'; Phân quyền truy cập tài khoản snort đến các CSDL

mysql>GRANT INSERT,SELECT,UPDATE on snort.* to snort@localhost IDENTIFIED by "123456";

snort@localhost IDENTIFIED by "123456";

Tạo bảng dữ liệu trong snort cho CSDL snort và archive

Hình 3.9. File tạo bảng dữ liệu

Từ cửa sổ lệnh của MySql thực hiện các lệnh để tạo bảng như sau: mysql> USE snort;

mysql> SOURCE c:\snort\schemas\create_mysql Kết quả thể hiện theo Hình 3.10

- Bước 3: Cài đặt Barnyard2

+ Barnyard: công cụ dùng để tăng khả năng xử lý của Snort. Barnyard giúp Snort tập trung thực hiện chức năng chính của mình đó là rà sốt và phân tích dữ liệu để phịng chống tấn cơng.

+ Cấu hình barnyard2 thơng qua file barnyard2.conf:

C:/barnyard2/etc/barnyard2.conf

+ Sửa các dịng sau trong tập tin cấu hình:

output database: log, mysql, user=snort password=PASSWORD dbname=snortdb host=localhost

- Bước 4: Cài đặt BASE: theo dõi tín hiệu nhận được trên Web

- Tải base và abobd5 từ trang Web http://sourceforge.net. Phiên bản của base1.4.5 và với adodb-5.20.2

- BASE được thực hiện trên Web:

Nhập thông tin về database theo Hình 3.11 Database type = MySQL

Database name = snort Database Host = localhost Database username = snort Database Password = 123456

Hình 3.11. Cài đặt tham số dữ liệu cho BASE

Nhập tài khoản Admin, mặc định tài khoản đăng nhập là root theo Hình 3.12.

Hình 3.12. Cài đặt tài khoản Admin cho BASE

Bấm vào Create BASE AG theo Hình 3.13.a để tạo bảng dữ liệu và đợi các bước thực hiện cuối cùng của BASE theo Hình 3.13.b. Sau khi kết thúc quá trình cài đặt, đăng nhập địa chỉ localhost/base trên trình duyệt cho kết quả theo Hình 3.14.

(a)

(b)

Hình 3.13. Cài đặt các bảng dữ liệu (a) và cài đặt các thao tác cuối cùng (b)

Hình 3.14. Giao diện Base sau khi cài đặt

3.2. DEMO HỆ THỐNG IDS

Sử dụng phần mềm tấn cơng LOIC 1.0.8 DDOS Attacks

Hình 3.15. Phần mềm LOIC

3.3. GIẢI PHÁP PHÒNG CHỐNG

3.3.1. Giải pháp phòng chống tự động

Giải pháp được xây dựng trên công cụ Kerio Control 7.1.2 theo Hình

3.17. Đây là phần mềm vừa đóng vai trị một bộ định tuyến (Router) vừa đóng vai trị tường lửa (Firewall) cho phép ngăn chặn các cuộc tấn công DDoS và tấn cơng tràn TCP. Bên cạnh đó, cơng cụ cho phép giám sát dịch vụ mạng các máy tính truy cập. Hệ thống giám sát địa chỉ truy cập từ bên ngoài vào máy chủ và địa chỉ từ các máy tính bên trong đến các trang Web khác theo Hình

3.18. Chính vì điều này tạo điều kiện cho người quản trị mạng giám sát và có cách thức ngăn chặn truy cập.

Hình 3.18. Giám sát truy cập địa chỉ các trang Web

Bên cạnh đó, cơng cụ còn cho phép mở rộng để kết hợp với các sản

phẩm antivirus để tăng cường phòng chống tấn cơng mạng theo Hình 3.19

3.3.2. Giải pháp phịng chống thủ cơng

Đây là giải pháp giúp cho người quản trị tạo các luật riêng nhằm ngăn

chặn các địa chỉ hoặc tên miền trong trường hợp nghi ngờ (Hình 3.20.b). + Luật ngăn chặn địa chỉ IP truy cập: Luật này cho phép hoặc chặn địa

chỉ, dãy địa chỉ truy cập vào máy chủ (Hình 3.20.a).

(a)

(b)

Hình 3.20. Chặn địa chỉ, dãy địa chỉ truy cập vào máy chủ

+ Luật ngăn chặn tên miền truy cập: Cho phép hoặc ngăn chặn tên miền

truy cập vào bên trong hệ thống hay các máy tính từ trong hệ thống truy cập ra bên ngoài.

+

các dịch vụ truy cập từ ngoài vào hay từ các máy tính bên trong truy cập ra ngồi theo Hình 3.22. Tùy thuộc vào các dịch vụ đang mở trên máy chủ người quản trị có thể thiết lập các truy cập này thuộc nội bộ hay bên ngồi. Ngồi ra, có thể chặn các cổng khơng hoạt động nhằm tránh trường hợp tạo lỗ hổng cho hacker.

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN

1. Kết quả đạt được

Đề tài cho ta thấy rõ được sự cần thiết của bảo mật, những hạn chế của

phương pháp bảo mật hiện tại, đồng thời nói lên sự quan trọng của hệ thống

phát hiện chống xâm nhập trái phép đối với công nghệ thông tin đang phát

triển hiện nay.

Hệ thống phát hiện xâm nhập mạng (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng vai trị khơng kém phần quan trọng. IDS giúp chúng ta khám phá, phân tích những nguy cơ tấn cơng mới. Từ đó vạch ra những phương án phịng chống. ở góc độ nào đó có thể tìm được thủ phạm gây ra cuộc tấn công

Trong thời gian học tập và nghiên cứu làm luận văn, tôi đã nhận được

nhiều sự giúp đỡ nhiệt tình của thầy cơ để hồn thành đề tài, qua q trình

làm luận văn xây dựng hệ thống IDS Snort bảo vệ Web Server khỏi tấn công DDOS đã thu được các kết quả sau:

- Nắm bắt được những khái niệm cơ bản nhất về một hệ thống phát hiện xâm nhập.

- Triển khai được một hệ thống phát hiện xâm nhập phỗ biến là Snort - Hệ thống Server

+ Thiết kế cơ sở dữ liệu.

+ Xây dựng thành công hệ thống IDS Snort phát hiện xâm nhập. + Xây dựng Kerio firewall thành công cho Server và Web Server - Xây dựng Web Server cơ bản

- Hệ thống IDS Snort đã làm các phân tin gói tin trên mạng và hệ thống

để phát hiện ra các cuộc tấn công nhằm vào hệ thống và Web Server. Đưa ra

những cảnh báo kịp thời tới người dùng và người quản trị hệ thống để ngăn

2. Hạn chế

Tuy đã đạt được những kết quả nhất định, nhưng hệ thống vẫn có những hạn chế.

- Đề tài cịn một số thiếu sót. Phần lý thuyết chỉ tổng quát sơ lược tóm

tắt chứ chưa đi sâu nghiên cứu vấn đề.

- IDS thường xuyên đưa ra nhiều báo động giả, là gánh nặng cho quản

trị hệ thống bởi nó cần được theo dõi liên tục.

- Hệ thống Server đang trong quá trình xây dựng. - Phần thử nghiệm chỉ tìm hiểu ở mức độ đơn giản.

3. Hướng phát triển

IDS được ví như một chiếc chuông cảnh báo trộm để cảnh báo chủ nhà

về những tấn cơng khả nghi. Vì là một giám sát thụ động nó khơng thể ngăn chặn tấn công để ngăn ngừa tổn hại hệ thống do người tấn công gây ra. Nhà

quản trị mạng không chỉ đơn thuần muốn có thơng tin về những tấn cơng trên mạng của họ mà cịn muốn có khả năng ngăn chặn được những tấn công ấy.

Cách duy nhất có thể bảo đảm an ninh cho một mạng là ngăn chặn được

những cuộc tấn công, khơng cho chúng phá hoại những đích tấn cơng bằng

cách loại bỏ tất cả lưu lượng khả nghi ngay khi chúng bị phát hiện và trước khi chúng ảnh hưởng đến đích.

Xu hướng phát triển hiện nay của các hệ thống phát hiện xâm nhập được thay thế rất nhanh bởi các giải pháp IPS. Tuy nhiên, các hệ thống IDS sẽ khơng mất đi mà được tích hợp và phát triển cùng với các hệ thống ngăn chặn xâm nhập IPS trở thành một hệ thống phát hiện và ngăn chặn xâm nhập IDP. Hệ thống phát hiện và ngăn chặn xâm nhập IDP tích hợp trong cùng một sản phẩm khả năng nhận dạng và cảnh báo nhà quản trị mạng về hoạt động xâm nhập và tấn công(những khả năng này được cung cấp bởi các hệ thống phát hiện xâm nhập IDS) với sức mạnh của một thiết bị an ninh mạng (được cung cấp bởi tường lửa) có khả năng loại bỏ lưu lượng bất hợp pháp.

TÀI LIỆU THAM KHẢO Tiếng Việt

[1] Nguyễn Thúc Hải (1999), Mạng máy tính và các hệ thống mở, NXB Giáo dục.

[2] Nguyễn Nhật Quang (2006), An tồn mạng máy tính, NXB Giáo dục. [3] Nguyễn Ngọc Tuấn (2005), Công nghệ bảo mật, NXB Thống kê.

Tiếng Anh

[4] Earl Carter (2000), Introduction to Network Security, Cisco Secure

Instruction Detection system, Cisco Press.

[5] Kerry J. Cox and Christopher Gerg (2004), Managing Security with Snort

and IDS Tools, O'Reilly, USA.

[6] Rafeeq Ur Rehman (2003), Advanced IDS Techniques Using Snort, Apache, MySQL PHP, and ACID, Prentice Hall PTR, USA.

[7] Reflections on Trusting Trust, by Thompson IBM X-Force Trend and

Một phần của tài liệu Xây dựng hệ thống cảnh báo chống xâm nhập IDS SNORT bảo vệ web server trường đại học kinh tế (Trang 65 - 86)

Tải bản đầy đủ (PDF)

(86 trang)