LỜI MỞ ĐẦU An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Cùng với sự phát triển nhanh chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết. Nhiều phương pháp đã được phát triển để bảo mật hạ tầng mạng và việc truyền thông trên Internet, bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và mạng riêng ảo (VPN). Hệ thống phát hiện xâm nhập trái phép (IDS-Intrusion Detection System) là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Qua đó, đồ án tốt nghiệp này em mong muốn có thể tìm hiểu, nghiên cứu về hệ thống phát hiện và phòng chống xâm nhập mạng với mục đích nắm bắt được các giải pháp, các kỹ thuật tiên tiến để chuẩn bị tốt cho hành trang của mình sau khi ra trường. Qua đó, giúp em nắm được các kiểu tấn công mạng phổ biến hiện nay. Nguyên lý hoạt động, cách thức phát hiện và phòng chống của hệ thống. Từ đó có thể sử dụng công cụ để ngăn chặn các kiểu tấn công mạng thông thường. LỜI CẢM ƠN Để hoàn thành khóa luận này, em xin tỏ lòng biết ơn sâu sắc đến thầy Ngô Văn Công đã tận tình hướng dẫn trong suốt quá trình viết đồ án tốt nghiệp. Cung cấp kiến thức và giúp đỡ em rất nhiều. Em cũng xin chân thành cảm ơn quý thầy cô trong khoa Công nghệ thông tin - trường Đại học Nha Trang đã tận tình truyền đạt kiến thức trong 4 năm học tập. Với vốn kiến thức được tiếp thu trong quá trình học không chỉ là nền tảng cho quá trình nghiên cứu đề tài mà còn là hành trang quý báu để em bước vào đời một cách vững chắc và tự tin. Em cũng thầm biết ơn sự ủng hộ của gia đình, bạn bè – những người thân yêu luôn là chỗ dựa vững chắc cho em trong suốt quá trình nghiên cứu. Mong tiếp nhận những ý kiến, nhận xét từ quý thầy cô. Cuối cùng, em xin kính chúc quý thầy cô và gia đình dồi dào sức khỏe và thành công trong sự nghiệp giảng dạy. Nha Trang, ngày tháng năm 2012 Sinh viên thực hiện Võ Trọng Quang NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG 1 1.1 Tại sao phải cần bảo mật mạng? 1 1.2 Một số khái niệm về bảo mật 1 1.2.1 Các yếu tố bảo mật 1 1.2.2 Hành vi xâm nhập là gì? 2 1.2.3 Các đối tượng tấn công mạng 2 1.2.4 Các lỗ hổng bảo mật 3 1.3 Một số kiểu, hình thức tấn công mạng 4 1.3.1 Các kiểu tấn công 4 1.3.2 Một số hình thức tấn công mạng 5 1.3.3 Các bước hacker thường tấn công 8 1.3.4 Một số dấu hiệu xâm nhập thông thường 10 1.3.5 Các khai thác thông dụng 10 1.4 Các mức bảo vệ an toàn mạng 11 1.5 Các quy tắc bảo mật 12 1.6 Nhiệm vụ của người quản trị 13 CHƯƠNG 2: TỔNG QUAN VỀ IDS/IPS 15 2.1 Tổng quan về IDS/IPS 15 2.1.1 Định nghĩa IDS/IPS 15 2.1.2 Chức năng của IDS/IPS 16 2.1.3 Sự khác nhau giữa IDS/IPS 17 2.2 Các phương pháp nhận diện của hệ thống IDS/IPS 18 2.2.1 Phát hiện sự lạm dụng 19 2.2.2 Phát hiện sự bất thường 20 2.2.3 So sánh giữa 2 mô hình 23 2.3 Kiến trúc của hệ thống IDS/IPS 23 2.3.1 Các thành phần cơ bản 23 2.3.2 Kiến trúc của hệ IDS/IPS 24 2.4 Phân loại IDS/IPS 25 2.4.1 Network based IDS/IPS (NIDS) 26 2.4.2 Host-based IDS/IPS (HIDS) 31 2.4.3 So sánh giữa NIDS và HIDS 34 CHƯƠNG 3: GIỚI THIỆU IPS 36 3.1 Đặt vấn đề 36 3.2 Định nghĩa IPS 36 3.3 Chức năng IPS 36 3.4 Kiến trúc chung của hệ thống IPS 38 3.4.1 Module phân tích luồng dữ liệu 38 3.4.2 Module phát hiện tấn công 38 3.4.3 Module phản ứng 40 3.5 Phân loại hệ thống IPS 41 3.5.1 IPS ngoài luồng (Promiscuous Mode IPS) 41 3.5.2 IPS trong luồng (In-line IPS) 41 3.6 Các công cụ hỗ trợ IPS (IDS) 41 3.6.1 Hệ thống phân tích đánh giá tổn thương 42 3.6.2. Kiểm tra toàn vẹn dữ liệu 43 3.6.3. Honey Pot và Padded Cell System 43 3.7 Các kỹ thuật xử lý IPS 43 3.7.1 Anomaly detection 44 3.7.2.Misuse detection 46 3.7.3 Policy-Based IPS 48 3.7.4 Protocol Analysis-Based IPS 49 CHƯƠNG 4: NGHIÊN CỨU ỨNG DỤNG SNORT TRONG IDS/IPS 50 4.1 Giới thiệu về Snort 50 4.2 Kiến trúc Snort 50 4.2.1 Module giải mã gói tin 51 4.2.2 Module tiền xử lý 51 4.2.3 Module phát hiện 52 4.2.4 Module log và cảnh báo 53 4.2.5 Module kết xuất thông tin 53 4.3 Bộ luật của Snort 54 4.3.1 Giới thiệu 54 4.3.2 Cấu trúc luật của Snort 54 4.4 Chế độ ngăn chặn của Snort : Snort – Inline 62 CHƯƠNG 5: CÀI ĐẶT SNORT TRONG MÔ HÌNH MẠNG 64 5.1 Cài đặt Snort trên Ubuntu 10.04 64 5.1.1 Chuẩn bị môi trường 64 5.1.2 Cài đặt các gói bổ trợ 64 5.1.3 Cài đặt Snort 64 5.2 Các chế độ thực thi trong Snort 65 5.3 Cấu hình 1 số rules cơ bản cảnh báo, ngăn chặn Snort 65 5.3.1 Ngăn chặn 1 ping thông thường 65 5.3.1 Tấn công Ping of death 67 5.3.4 Tấn công Dos với HTTP Post 67 5.3.3 Tấn công Smurt Attack 69 5.3.4 Tấn công Land attack 69 5.3.5 Tấn công Winnuke 70 5.3.6 Tấn công ARP Cache 70 5.3.7 Tấn công UDP flood 71 5.4 Cấu hình 1 số rules cho Iptables: 71 5.4.1 Ngăn chặn ping 71 5.4.2 Chặn truy cập web 71 5.4.3 Chặn IMCP có kích thước lớn 72 5.4.4 Chặn SYN flood 72 5.4.5 Ngăn port scanning 72 5.4.5 Hạn chế UDP DOS 72 KẾT LUẬN 73 TÀI LIỆU THAM KHẢO 74 DANH MỤC Hình 1: Các kiểu tấn công mạng 5 Hình 2: Các bước hacker thường tấn công 9 Hình 3: Các mức độ bảo vệ của mạng 11 Hình 4: Các vị trí đặt IDS trong mạng 16 Hình 5: Các thành phần chính 25 Hình 5: Mô hình NIDS 26 Hình 6: Mô hình IDS inline 27 Hình 7: Mô hình IDS pasive 28 Hình 8: Mô hình HIDS 32 Hình 9: Mô hình kiến trúc hệ thống Snort 51 Hình 10: Cấu trúc phần header 55 -1- GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang CHƯƠNG 1: TỔNG QUAN VỀ BẢO MẬT MẠNG 1.1 Tại sao phải cần bảo mật mạng? Bảo mật là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết. Mục tiêu của việc nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên từ những vị trí địa lý khác nhau. Cũng chính vì vậy mà các tài nguyên cũng rất dễ dàng bị phân tán, dẫn đến một điều hiển nhiên là chúng sẽ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị. Càng giao thiệp rộng thì càng dễ bị tấn công, đó là một quy luật. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện. Bảo mật ra đời. Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin mà còn nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến,…. Mỗi nguy cơ trên mạng đều là mối nguy hiểm tiềm tàng. Từ một lổ hổng bảo mật nhỏ của hệ thống, nhưng nếu biết khai thác và lợi dụng với tầng suất cao và kỹ thuật hack điêu luyện thì cũng có thể trở thành tai họa. 1.2 Một số khái niệm về bảo mật Trước hết khi tìm hiểu các vấn đề liên quan đến phương thức phá hoại và các biện pháp bảo vệ cũng như thiết lập các chính sách bảo mât. Chúng ta sẽ tìm hiểu 1 số khái niệm liên quan đến bảo mật trên Internet. 1.2.1 Các yếu tố bảo mật Bảo mật là trạng thái tổ chức tốt của thông tin và kiến trúc mà trong đó khả năng ăn cắp, giả mạo hay làm hư hỏng thông tin hay dịch vụ là rất thấp. Bảo mật được gói gọn trong 4 tiêu chuẩn: độ tin cậy(confidentiality), tính xác thực(authenticity), tính toàn vẹn(integrity), tính sẵn sàng(availability).  Độ tin cậy: thể hiện tính che dấu của thông tin hay tài nguyên.  Tính xác thực: là sự xác định và bảo đảm nguồn gốc của thông tin.  Tính toàn vẹn: tham chiếu đến tính tin cậy của dữ liệu hay tài nguyên theo nghĩa ngăn không cho người không có quyền chỉnh sửa trên nó. -2- GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang  Tính sẵn sàng: tham chiếu đến khả năng sử dụng thông tin, tài nguyên mong muốn. 1.2.2 Hành vi xâm nhập là gì? Hành vi xâm nhập được định nghĩa là sự vi phạm hoặc cố vượt qua các chính sách an ninh của máy tính hoặc mạng. Các xâm nhập có thể được thực hiện thông qua sâu mạng, phần mềm gián điệp, hacker đang kiếm quyền truy cập hợp pháp vào máy tính từ Internet, người sử dụng hợp lệ có các hành vi vượt qua các đặc quyền truy cập được định trước hoặc lạm dụng đặc quyền của họ. 1.2.3 Các đối tượng tấn công mạng Là các cá nhân hoặc các tổ chức sử dụng kiến thức về mạng và các công cụ phá hoại để dò tìm các điểm yếu, lỗ hổng bảo mật trên hệ thống. Thực hiện các hoạt động chiếm đoạt và xâm nhập tài nguyên mạng trái phép. Một số đối tượng tấn công mạng là:  Hacker: những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai phá điểm yếu của các thành phần truy nhập trên hệ thống.  Masquerader: là những kẻ giả mạo thông tin trên mạng. Một số hình thức giả mạo như giả mạo địa chỉ IP, tên miền, định danh người dùng…  Eavesdropping: là các đối tượng nghe trộm thông tin trên mạng, sử dụng các công cụ sniffer, sau đó dùng các công cụ phân tích và debug để lấy được các thông tin giá trị. Hoặc có thể chia làm 2 loại: Kẻ xâm nhập từ bên ngoài: thực hiện xâm nhập từ bên ngoài hệ thống của chúng ta và những kẻ tấn công các tài nguyên bên ngoài (tấn công máy chủ web, gửi thư rác bằng máy chủ mail…). Những kẻ xâm nhập này cũng có thể tìm cách vượt qua tường lửa để tấn công vào mạng bên trong. Kẻ xâm nhập từ bên ngoài có thể tấn công thông qua Internet, qua đường quay số, tấn công qua môi trường vật lý hoặc thông qua hệ thống mạng của các đối tác (nhà cung cấp các sản phẩm mạng, khách hàng…) có liên kết với hệ thống mạng của bạn. [...]... tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống Trước các nguy cơ xâm nhập của những kẻ tấn công nhằm tìm kiếm dữ liệu mật của công ty, doanh nghiệp, tổ chức hay một quốc gia nào đó thì hệ thống IDS (Intrusion Detection System) ra đời để phát hiện sự xâm nhập trái phép của kẻ tấn công thông qua việc kiểm soát lưu lượng giao thông của hệ thống mạng Hệ thống phát hiện xâm nhập. .. tin  Modification: Tấn công trên tính toàn vẹn của thông tin  Fabrication: Tấn công trên tính xác thực của thông tin GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -5- Hình 1: Các kiểu tấn công mạng 1.3.2 Một số hình thức tấn công mạng Tấn công trực tiếp Sử dụng một máy tính để tấn công một máy tính khác với mục đích dò tìm mật mã, tên tài khoản tương ứng, … Họ có thể sử dụng một số chương trình giải... bằng lỗi “SQL INJECTION” Kiểu tấn công này gọn nhẹ nhưng hiệu quả bởi người tấn công chỉ cần một công cụ tấn công duy nhất là trình duyệt web và backdoor Vô hiệu hóa dịch vụ Kiểu tấn công này thông thường làm tê liệt một số dịch vụ, được gọi là DOS (Denial of Service - Tấn công từ chối dịch vụ) Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo mật trên hệ thống, hacker sẽ ra lệnh... hacker sử dụng cho các cuộc tấn công và thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó Thường được sử dụng để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống Ví dụ : kỹ thuật đánh lừa Fake Email Login Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì bạn phải nhập thông tin tài khoản của mình bao gồm username và password rồi gởi thông tin đến Mail Server xử... để như tấn công kiểu smurf, IP spoofing, và SYN floods Mức độ ảnh hưởng của các lỗ hổng là khác nhau Có những lỗ hổng chỉ ảnh hưởng đến chất lượng dịch vụ cung cấp, có những lỗ hổng ảnh hưởng nghiêm trọng đến toàn hệ thống, … 1.3 Một số kiểu, hình thức tấn công mạng 1.3.1 Các kiểu tấn công  Interruption: Tấn công trên tính sẵn sàng của thông tin  Interception: Tấn công trên độ tin cậy của thông tin... nhân Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào khả năng và sự linh hoạt của người tấn công Tấn công vào hệ thống có cấu hình không an toàn Cấu hình không an toàn cũng là một lỗ hổng bảo mật của hệ thống Các lỗ hổng này được tạo ra do các ứng dụng có các thiết lập không an toàn hoặc người quản trị hệ thống định cấu hình không an toàn Chẳng hạn như cấu hình GVHD: Th.S Ngô Văn Công SVTH:... mô hình hoá các hành vi chỉ định một sự xâm nhập Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật (rules) để mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống Một lượng lớn tập luật được tích luỹ dẫn đến khó có thể hiểu và sửa đổi bởi vì chúng không được tạo thành từng nhóm một cách hợp lý trong một kịch bản xâm nhập Để giải quyết khó khăn này, các hệ thống thế hệ. .. hiện ra hành động của anh ta trên hệ thống  Lý do là để có thể kéo dài sự hiệndiện của anh ta trong hệ thống, tiếp tục sử dụng tài nguyên  Hacker có thể duy trì tình trạng không bị phát hiện trong 1 khoảng thời gian hay dùng bước này để tìm hiểu thêm về hệ thống đích 1.3.4 Một số dấu hiệu xâm nhập thông thường Có 3 loại tấn công được coi là các dấu hiệu xâm nhập thông thường:  Các hành vi do thám:... của cuộc tấn công và sau đó là khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công 2.2 Các phương pháp nhận diện của hệ thống IDS/IPS Có 2 cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là :  Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã... phương án dự phòng khi hệ thống gặp sự cố hay bị tấn công Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ro ngoài ý muốn GVHD: Th.S Ngô Văn Công SVTH: Võ Trọng Quang -14- Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chúng một cách hài hòa và hợp lý Đó chỉ là điều kiện cần cho những quản trị mạng phải có để đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ . 3 1.3 Một số kiểu, hình thức tấn công mạng 4 1.3.1 Các kiểu tấn công 4 1.3.2 Một số hình thức tấn công mạng 5 1.3.3 Các bước hacker thường tấn công 8 1.3.4 Một số dấu hiệu xâm nhập thông thường. toàn hệ thống, … 1.3 Một số kiểu, hình thức tấn công mạng 1.3.1 Các kiểu tấn công  Interruption: Tấn công trên tính sẵn sàng của thông tin.  Interception: Tấn công trên độ tin cậy của thông. tường lửa để tấn công vào mạng bên trong. Kẻ xâm nhập từ bên ngoài có thể tấn công thông qua Internet, qua đường quay số, tấn công qua môi trường vật lý hoặc thông qua hệ thống mạng của các