i Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TẠ TUẤN DŨNG NGHIÊN CỨU, XÂY DỰNG MỘT SỐ GIẢI PHÁP VÀ PHẦN MỀM CẢNH BÁO, PHÁT HIỆN XÂM NHẬP MẠNG, CHỐNG TRUY CẬP TRÁI PHÉP Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 LUẬN VĂN THẠC SỸ NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. HỒ VĂN CANH Thái Nguyên - năm 2013 ii Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn MỤC LỤC LỜI MỞ ĐẦU 1 CHƢƠNG I: NGHIÊN CỨU VỀ CÁC HỆ THỐNG GIÁM SÁT, PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH 3 1.1 Nghiên cứu nguyên tắc cơ bản và một số hình thái xâm nhập trái phép trên mạng 3 1.1.1 Các hình thái xâm nhập mạng trái phép 3 1.1.2 Các biện pháp hoạt động xâm nhập máy tính 6 1.1.3 Thủ đoạn của hacker lấy mật khẩu đăng nhập 7 1.2 Nghiên cứu khái niệm về phần mềm IDS giám sát, phát hiện xâm nhập 7 1.2.1 Tổng quan về phần mềm IDS 7 1.2.2 Thành phần của một IDS chuẩn bao gồm: 9 1.2.3 Những tính năng cơ bản nhất của hệ thống phát hiện xâm nhập 12 1.2.4 Thành phần chức năng cơ bản của một hệ thống giám sát an ninh mạng 14 1.2.5 Các công cụ hỗ trợ bổ sung cho IDS 23 CHƢƠNG II: TÌM HIỂU VỀ PHẦN MỀM SNORT 27 2.1 Giới thiệu về Snort 27 2.2 Kiến trúc của Snort 27 2.2.1 Module giải mã gói tin 28 2.2.2 Module tiền xử lý 29 2.2.3 Module phát hiện 30 2.2.4 Module log và cảnh báo 31 2.2.5 Module kết xuất thông tin 31 iii Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 2.3 Cấu trúc luật của Snort 31 2.3.1 Khái niệm cơ sở 31 2.3.2 Phần header của luật 36 2.3.3 Các tuỳ chọn luật 39 2.3.4 Preprocessors 50 2.3.5 Các module Output 54 CHƢƠNG III: ỨNG DỤNG TRIỂN KHAI GIẢI PHÁP IDS VỚI PHẦN MỀM SNORT 57 3.1 Mục đích và yêu cầu 57 3.2 Xây dựng cấu trúc của hệ phần mềm cảnh báo, phát hiện xâm nhập mạng máy tính 57 3.3 Cài đặt đầu dò Snort 60 3.4 Chạy chƣơng trình Snort 61 3.4.1 Sniffer Mode 61 3.4.2 Mode Packet Logger 61 3.4.3 Mode Network Inturusion Detection 63 3.4.4 Hỗn hợp 66 3.5 Hình ảnh cài đặt chƣơng trình và một số kết quả 67 3.5.1 Hình ảnh cài đặt chƣơng trình 67 3.5.2 Kết quả thực hiện một phiên giám sát an ninh 70 3.5.3 Kết quả kiểm tra khả năng phát hiện dấu hiệu xâm nhập của phần mềm 72 TÀI LIỆU THAM KHẢO 74 iv Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn LỜI CẢM ƠN Đầu tiên tôi xin gửi lời cảm ơn chân thành tới các thầy, cô giáo trƣờng Đại học Công Nghệ Thông Tin và Truyền Thông – Đại Học Thái Nguyên cùng các thầy cô giáo thuộc Viện Công nghệ thông tin – Đại học Quốc gia Hà Nội đã nhiệt tình giảng dạy và truyền đạt kiến thức cho tôi trong thời gian học tập. Tôi xin gửi lời cảm ơn sâu sắc tới thầy Hồ Văn Canh, ngƣời đã định hƣớng, hƣớng dẫn và hỗ trợ tôi rất nhiều để hoàn thành luận văn này. Tôi xin gửi lời cảm ơn tới các anh chị đồng nghiệp và cảm ơn bạn bè cùng khóa, cùng trƣờng đã nhiệt tình hỗ trợ trong thời gian tôi làm luận văn. Mặc dù đã rất cố gắng hoàn thành luận văn này, xong luận văn sẽ khó tránh khỏi những thiếu sót. Tôi rất mong nhận đƣợc sự nhận xét, góp ý, tận tình chỉ bảo từ các thầy, cô. Một lần nữa, tôi xin chân thành cảm ơn! TÁC GIẢ LUẬN VĂN Tạ Tuấn Dũng v Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn LỜI CAM ĐOAN Tôi xin cam đoan bản Luận văn là công trình nghiên cứu khoa học độc lập của tôi. Luận văn này không sao chép toàn bộ các tài liệu, công trình nghiên cứu của ngƣời khác. Tất cả các đoạn trích dẫn nằm trong các tài liệu, công trình nghiên cứu của ngƣời khác đều đƣợc ghi rõ nguồn và chỉ rõ trong tài liệu tham khảo. Tôi xin cam đoan những điều trên là đúng sự thật, nếu sai, tôi xin chịu hoàn toàn trách nhiệm. TÁC GIẢ LUẬN VĂN Tạ Tuấn Dũng vi Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn BẢNG KÝ HIỆU VIẾT TẮT KÝ HIỆU DẠNG ĐẦY ĐỦ IDS Intrusion Detection Systems IPS Intrusion Prevention Systems DoS Denial of Services LAN Local Area Network GUI Graphical User Interface NIDS Mode Network Inturusion Detection CSDL Cơ sở dữ liệu SMB Server Message Block OS Operating System TTL Time To Live BASE Basic Analysis and Security Engine vii Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 1 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn LỜI MỞ ĐẦU Song song với sự phát triển ứng dụng mạng máy tính trong hầu hết các lĩnh vực của đời sống xã hội và an ninh quốc phòng là nguy cơ bị lộ lọt nhiều thông tin quan trọng ra bên ngoài. Hiện nay chúng ta đã có nhiều phƣơng pháp bảo vệ mạng có hiệu quả nhƣ ứng dụng mật mã học, hàm băm an toàn và tƣờng lửa (Firewall) Mỗi phƣơng pháp đó có những ƣu và nhƣợc điểm nhất định. Do đó ngƣời ta đã sử dụng nhiều biện pháp đồng thời để bảo vệ thông tin cho mạng dùng riêng khi kết nối với mạng máy tính toàn cầu.Tuy nhiên, một vấn đề đặt ra trong thực tế là: Các biện pháp hiện có đã đủ đảm bảo an toàn thông tin cho mạng dùng riêng của mình chƣa? Tại sao, nhiều thông tin quan trọng vẫn thƣờng bị lộ lọt ra bên ngoài? Do đó, ngƣời ta luôn nghiên cứu và bổ sung các biện pháp khác nhằm tăng cƣờng an ninh, an toàn cho mạng dùng riêng của mình khi kết nối với mạng Internet. Một trong những biện pháp đƣợc quan tâm nghiên cứu và ứng dụng rộng rãi trên toàn thế giới, đó là hệ thống phần mềm giám sát, cảnh báo đối với các tấn công, xâm nhập trái phép vào hệ thống mạng. Trong những năm gần đây, các vụ tấn công ngày càng tăng lên về số lƣợng và mức độ nghiêm trọng thì các hệ thống phát hiện xâm nhập là sự bổ sung cần thiết và kịp thời cho hệ thống thiết bị an ninh mạng đã có. Hiện nay, trên thế giới có rất nhiều sản phẩm giám sát an ninh mạng (IDS) ở mức công nghiệp (Enterprise-level) – hệ IPS (Intrusion Prevention Systems) có khả năng tích hợp nhiều chức năng: Phát hiện xâm nhập (detection), giám sát (monitoring) và ngăn chặn (blocking). Nhiều hệ thống phần mềm đƣợc tích hợp vào các thiết bị máy tính chuyên dụng có cấu trúc rack-mount để cắm trực tiếp vào các tủ mạng và chạy theo chế độ thời gian thực. Một số hệ thống còn tích hợp luôn với firewall. Đa phần các sản phẩm loại này là của Mỹ có chất lƣợng và tính năng đảm bảo an toàn cao. Tuy 2 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn nhiên, giá của các hệ thống thiết bị này rất cao thông thƣờng từ 25.000 USD đến 35.000 USD. Vì vậy, tại Việt Nam, chỉ có một số cơ quan, đơn vị lớn về ứng dụng công nghệ thông tin mua các sản phẩm bảo vệ an ninh này để sử dụng bảo vệ mạng máy tính của mình.[4] Xuất phát từ nhu cầu trên, để xây dựng và triển khai đƣợc một hệ phần mềm giám sát IDS đủ mạnh, nhƣng lại tiết kiệm đƣợc chi phí, phù hợp với các tổ chức, đơn vị có quy mô vừa và nhỏ, tôi đã nghiên cứu và lựa chọn giải pháp phần mềm nguồn mở cho hệ thống giám sát an ninh mạng IDS. Sau một thời gian nghiên cứu, triển khai với sự cộng tác, giúp đỡ của bạn bè, cơ quan đồng nghiệp, và đặc biệt là sự hƣớng dẫn của thầy giáo – Tiến sĩ Hồ Văn Canh, tôi đã triển khai thành công hệ phần mềm giám sát, phát hiện xâm nhập mạng, chống truy cập trái phép, đƣợc tích hợp vào hệ thống mạng riêng tại Trung tâm Công nghệ thông tin và Truyền thông Thái Nguyên. Kết quả là khả quan, những hoạt động thăm dò mạng, virus (các gói tin qua cổng 135), khai thác proxy (8080), khai thác Cơ sở dữ liệu, ping flood đều đƣợc phát hiện. Báo cáo luận văn đƣợc trình bày trong 3 chƣơng: Chƣơng 1: Nghiên cứu về các hệ thống giám sát, phát hiện xâm nhập mạng máy tính. Chƣơng 2: Tìm hiểu về phần mềm Snort. Chƣơng 3: Ứng dụng triển khai giải pháp IDS với phần mềm Snort. 3 Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn CHƢƠNG I: NGHIÊN CỨU VỀ CÁC HỆ THỐNG GIÁM SÁT, PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH 1.1 Nghiên cứu nguyên tắc cơ bản và một số hình thái xâm nhập trái phép trên mạng Hầu hết các cuộc tấn công xâm nhập mạng máy tính chỉ với mục tiêu phá hủy hệ thống bảo mật của hệ thống theo những phƣơng thức rất cụ thể. Ví dụ, những cuộc tấn công nhất định có thể cho phép kẻ tấn công đọc các tệp nhƣng không cho phép bất cứ các thay đổi nào đối với các thành phần của hệ thống. Mặc dù cuộc tấn công xâm nhập có nhiều dạng và nhiều khả năng khác nhau, nhƣng chung quy lại chúng thƣờng gây nên các thƣơng tổn đến tính bảo mật hệ thống: tính khả dụng, tính tin cậy, tính toàn vẹn và tính điều khiển. Tính tin cậy: Một cuộc tấn công gây ra một vi phạm về tính toàn vẹn nếu nó thay đổi đƣợc trạng thái hệ thống hoặc bất cứ dữ liệu nào thƣờng trú trên hệ thống. Tính khả dụng: Một cuộc tấn công gây ra vi phạm về tính khả dụng khi nó có khả năng ngăn những ngƣời sử dụng hợp pháp truy cập vào tài nguyên hệ thống trong những thời điểm ngƣời sử dụng cần truy cập. Tính điều khiển: Một cuộc tấn công gây ra vi phạm điều khiển hệ thống nếu nó tạo khả năng cho kẻ tấn công những đặc quyền về chính sách điều khiển truy cập hệ thống. Những đặc quyền này sẽ dẫn đến những vi phạm về tính khả dụng, tính tin cậy và tính toàn vẹn của thông tin. 1.1.1 Các hình thái xâm nhập mạng trái phép 1.1.1.1 Quét, thăm dò hệ thống Thông qua hoạt động quét, thăm dò hệ thống, kẻ tấn công có thể biết đƣợc nhiều thông tin về hệ thống nhƣ: - Cấu hình mạng mục tiêu - Loại lƣu lƣợng đƣợc phép đi qua firewall [...]... theo phát hiện sử dụng trái phép (misuse delection) và phƣơng pháp phân tích theo phát hiện bất thƣờng (anomaly delection) Đối phó (Response): Đây là thành phần chức năng thứ ba là tập hợp các biện pháp hành động mà hệ thống phát hiện xâm nhập sẽ đối phó một khi nó phát hiện có xâm nhập Biện pháp hành động đƣợc phân làm 2 loại: biện pháp chủ động và biện pháp bị động Biện pháp chủ động là biện pháp. .. hoặc tệp SAM trong thƣ mục \winnt\repair và sử dụng một loạt các chƣơng trình mở mật khẩu khác nhau để lấy mật khẩu user và sử dụng mật khẩu đó để đăng nhập lại mạng máy tính.[3] 1.2 Nghiên cứu khái niệm về phần mềm IDS giám sát, phát hiện xâm nhập 1.2.1 Tổng quan về phần mềm IDS Các hệ thống phát hiện xâm nhập (IDS) là những hệ thống phần mềm hoặc phần cứng thực hiện tự động hóa quá trình giám sát các... can thiệp vào một phần nào đó của hệ thống nhằm ngăn chặn tức thời cuộc xâm nhập Biện pháp bị động là biện pháp thông báo, cảnh báo cho ngƣời quản trị an ninh và những ngƣời có trách nhiệm biết những phát hiện về sự xâm nhập để họ xử lý [2] 1.2.4.1 Thu lượm các tài nguyên thông tin Một trong những cách thông thƣờng để phân loại hệ thống IDS là dựa vào phƣơng pháp thu lƣợm nguồn thông tin Một số loại... thăm dò mạng Phƣơng pháp này còn đang đƣợc tiếp tục nghiên cứu để hoàn thiện nhằm mục tiêu chủ động phát hiện xâm nhập trong tƣơng lai IDS dựa trên phát hiện bất thƣờng có khả năng phát hiện những biểu hiện của cuộc tấn công mà không cần dựa vào những dấu hiệu biết trƣớc Phƣơng pháp phát hiện bất thƣờng có thể cung cấp thông tin để xác định dấu hiệu tấn công cho phƣơng pháp phát hiện dùng sai 1.2.4.3... của hệ thống phát hiện xâm nhập Một hệ thống giám sát, phát hiện xâm nhập trái phép phải có đầy đủ các tính năng cơ bản sau: - Phòng ngừa các hoạt động bất thƣờng bằng việc gia tăng khả năng phát hiện các nguy cơ và xử phạt kẻ tấn công hoặc lạm dụng quyền sử dụng hệ thống vƣợt qua phạm vi cho phép Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 13 - Phát hiện các cuộc... càng tăng lên về số lƣợng và mức độ nghiêm trọng thì các hệ thống phát hiện xâm nhập là sự bổ sung cần thiết và kịp thời cho hệ thống thiết bị an ninh mạng đã có Phát hiện xâm nhập là một quá trình giám sát các sự kiện diễn ra ở một hệ thống máy tính hoặc một mạng máy tính và phân tích chúng để tìm ra các Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 8 xâm nhập làm tổn hại... liên tục cập nhập các dấu hiệu của các cuộc tấn công mới - Việc định nghĩa các dấu hiệu xâm nhập một cách quá chặt chẽ đôi khi làm cản trở đến việc phát hiện các cuộc tấn công thông thƣờng Phƣơng pháp phát hiện bất thƣờng Phƣơng pháp phát hiện bất thƣờng là nhận biết các hoạt động không bình thƣờng trên một host hoặc một mạng Phƣơng pháp này giả thiết rằng các cuộc tấn công thƣờng có biểu hiện khác... nhà nghiên cứu đánh giá rằng IDS dựa trên phát hiện bất thƣờng có ƣu việt là có thể phát hiện những dạng tấn công mới mà IDS dựa trên phƣơng pháp phát hiện dùng sai không thể có khả năng đó IDS thƣơng mại dùng phƣơng pháp phát hiện bất thƣờng rất ít hoặc nếu có thì cũng không hoàn toàn dựa trên công nghệ này Phƣơng pháp phát hiện bất thƣờng đƣợc sử dụng trong các sản phẩm thƣơng mại thƣờng để phát hiện. .. dụng truy cập trong một khoảng thời gian cho phép, số lƣợng các cố gắng bất thành để truy cập vào hệ thống, dung lƣợng CPU mà một tiến trình chiếm dụng… Các kỹ thuật thống kê, gồm thống kê theo thông số, trong đó việc thống kê các thuộc tính mẫu đƣợc biết từ một tập các giá trị đã có đƣợc quan sát theo thời gian Phƣơng pháp phát hiện bất thƣờng đƣa ra rất nhiều cảnh báo lỗi do các mẫu của ngƣời dùng và. .. hợp pháp, do vậy nó đƣợc phát hiện bởi những khác biệt đó Các kỹ thuật phát hiện đƣợc sử dụng trong phƣơng pháp này là: Phát hiện ngƣỡng, trong đó các biểu hiện thông thƣờng của ngƣời sử dụng và ứng xử của hệ thống đƣợc thể hiện dƣới dạng đếm theo một ngƣỡng Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 21 cho phép nào đó Những thuộc tính ứng xử của hệ thống có thể là số . TUẤN DŨNG NGHIÊN CỨU, XÂY DỰNG MỘT SỐ GIẢI PHÁP VÀ PHẦN MỀM CẢNH BÁO, PHÁT HIỆN XÂM NHẬP MẠNG, CHỐNG TRUY CẬP TRÁI PHÉP Chuyên ngành: Khoa học máy tính Mã số: 60.48.01 LUẬN VĂN. MÁY TÍNH 3 1.1 Nghiên cứu nguyên tắc cơ bản và một số hình thái xâm nhập trái phép trên mạng 3 1.1.1 Các hình thái xâm nhập mạng trái phép 3 1.1.2 Các biện pháp hoạt động xâm nhập máy tính. triển khai thành công hệ phần mềm giám sát, phát hiện xâm nhập mạng, chống truy cập trái phép, đƣợc tích hợp vào hệ thống mạng riêng tại Trung tâm Công nghệ thông tin và Truy n thông Thái Nguyên.