ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ HOÀNG VĂN BIÊN NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH AN TOÀN THÔNG TIN CHO CÁC CỔNG/TRANG THÔNG TIN ĐIỆN TỬ LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN HÀ NỘI-2015 MỤC LỤC LỜI CAM ĐOAN DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH ẢNH MỞ ĐẦU Chương TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ CỔNG THÔNG TIN ĐIỆN TỬ 1.1 Khái niệm chung an toàn an ninh thông tin .1 1.2 Tình hình an toàn thông tin giới Việt Nam .2 1.3 Tổng quan cổng thông tin điện tử 1.4 Các lỗi bảo mật phổ biến ứng dụng web cách phòng chống .8 1.5 Tổng quan đăng nhập lần cổng thông tin điện tử 17 Chương NGHIÊN CỨU CÁC BIỆN PHÁP CƠ BẢN ĐỂ ĐẢM BẢO AN NINH AN TOÀN THÔNG TIN CHO CÁC CỔNG/TRANG THÔNG TIN ĐIỆN TỬ .24 2.1 Xác định cấu trúc ứng dụng web 24 2.2 Triển khai hệ thống phòng thủ 29 2.2.1 Tổ chức mô hình mạng 30 2.2.2 Thiết lập tường lửa .31 2.2.3 Sử dụng công cụ phát ngăn chặn xâm nhập (IDS/IPS) 34 2.2.3.1 Công cụ phát xâm nhập (IDS) .34 2.2.3.2 Công cụ ngăn chặn xâm nhập (IPS) 38 2.2.4 Ứng dụng phòng chống vi-rút bảo vệ máy tính cá nhân .40 2.3 Thiết lập cấu hình hệ thống máy chủ an toàn 41 2.3.1 Thiết lập cấu hình hệ điều hành máy chủ .41 2.3.2 Thiết lập cấu hình máy chủ ứng dụng web 42 2.3.3 Thiết lập cấu hình máy chủ sở liệu .43 2.4 Thiết lập chế lưu phục hồi .44 2.4.1 Thiết lập chế lưu .44 2.4.2 Thiết lập chế phục hồi 45 2.5 Vận hành an toàn 45 2.5.1 Kiểm tra hoạt động ứng dụng web an toàn 45 2.5.2 Một số biện pháp ứng phó với công 46 2.5.3 Đào tạo đội ngũ nhân lực vận hành hệ thống 46 Chương TẤN CÔNG TỪ CHỐI DỊCH VỤ VÀ MỘT SỐ BIỆN PHÁP PHÒNG CHỐNG 48 3.1 Tấn công từ chối dịch vụ (DoS) 48 3.2 Tấn công từ chối dịch vụ phân tán (DDoS) 50 3.2.1 Các giai đoạn công DDoS .50 3.2.2 Kiến trúc tổng quan mạng công DDoS 51 3.2.3 Phân loại công DDoS 53 3.2.3.1 Tấn công làm cạn kiệt băng thông hệ thống 54 3.2.3.2 Tấn công làm cạn kiệt tài nguyên 56 3.3 Tấn công từ chối dịch vụ phản xạ nhiều vùng (DRDoS) 57 3.4 Một số biện pháp phòng chống công từ chối dịch vụ 58 Chương TRIỂN KHAI THỬ NGHIỆM 63 4.1 Mô hình thử nghiệm 63 4.2 Cấu hình hệ thống .64 4.2.1 Cấu hình Apache 67 4.2.2 Cấu hình MySQL .69 4.3 Cài đặt tường lửa ứng dụng web ModSecurity 69 4.4 Thiết lập hệ thống Snort để phát ngăn chặn xâm nhập 72 4.5 Đánh giá khuyến nghị 77 KẾT LUẬN 78 TÀI LIỆU THAM KHẢO PHỤ LỤC 1: THÔNG TIN THAM KHẢO VỀ CÁC TƯỜNG LỬA PHỤ LỤC 2: TƯỜNG LỬA ỨNG DỤNG WEB ModSecurity PHỤ LỤC 3: MỐT SỐ PHẦN MỀM CHỐNG VIRUS VÀ BẢO VỆ MÁY TÍNH ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ HOÀNG VĂN BIÊN NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH AN TOÀN THÔNG TIN CHO CÁC CỔNG/TRANG THÔNG TIN ĐIỆN TỬ Ngành: Công nghệ thông tin Chuyên ngành: Truyền liệu mạng máy tính Mã số: LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN VIẾT THẾ HÀ NỘI-2015 LỜI CAM ĐOAN Tôi xin cam đoan luận văn không chép ai, kết nghiên cứu trình bày luận văn hoàn toàn trung thực, không vi phạm điều luật sở hữu trí tuệ pháp luật Việt Nam Nếu sai, hoàn toàn chịu trách nhiệm trước pháp luật DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ATTT: An toàn thông tin CNTT & TT: Công nghệ thông tin truyền thông TT & TT: Thông tin truyền thông TTĐT: Thông tin điện tử IDS: Hệ thống phát xâm nhập HIDS: Hệ thống phát xâm nhập máy NIDS: Hệ thống phát xâm nhập mạng IPS: Hệ thống ngăn chặn xâm nhập HIPS: Hệ thống ngăn chặn xâm nhập máy NIPS: Hệ thống ngăn chặn xâm nhập mạng DoS: Tấn công từ chối dịch vụ DDoS: Tấn công từ chối dịch vụ phân tán DRDoS: Tấn công từ chối dịch vụ phản xạ nhiều vùng VNISA: Hiệp hội an toàn thông tin Việt Nam VNCERT: Trung tâm ứng cứu khẩn cấp máy tính Việt Nam OWASP: Dự án mở bảo mật ứng dụng web SSO: Đăng nhập lần DANH MỤC CÁC HÌNH ẢNH Hình 2.1: Một vài mô hình triển khai ứng dụng web Hình 2.2: Mô hình lớp Hình 2.3: Mô hình lớp Hình 2.4: Mô hình lớp Hình 2.5: Mô hình N lớp Hình 2.6: Một số vị trí đặt tường lửa Hình 2.7: Ví dụ vị trí đặt tường lửa ứng dụng web Hình 2.8: Một số vị trí thường đặt cảm biến NIDS Hình 3.1: Mô tả công kiểu Smurf Hình 3.2: Kiến trúc mạng công kiểu Agent Handler Hình 3.3: Kiến trúc mạng công kiểu IRC Hình 3.4: Phân loại công từ chối dịch vụ phân tán Hình 3.5: Tấn công khuếch đại giao tiếp Hình 3.6: Tấn công TCP SYN Hình 3.7: Giả mạo ip để công TCP SYN Hình 3.8: Tấn công DRDoS Hình 4.1: Mô hình triển khai thử nghiệm MỞ ĐẦU Tính cấp thiết đề tài Trong năm gần đây, Công nghệ thông tin truyền thông (CNTT &TT) có vai trò lớn phát triển quốc gia, doanh nghiệp Ứng dụng CNTT &TT có tác động không nhỏ đến đời sống kinh tế, xã hội đại phận người dân giới CNTT&TT góp phần quan trọng vấn đề an ninh phát triển bền vững quốc gia Do vậy, ứng dụng CNTT&TT trở thành phần thiếu chiến lược phát triển doanh nghiệp quốc gia giới Với tốc độ phát triển ứng dụng CNTT&TT ngày nhanh nay, hàng ngày có lượng thông tin lớn lưu trữ, chuyển tải thông qua cổng/trang thông tin điện tử (TTĐT) kéo theo nhiều rủi ro an toàn thông tin Thiệt hại an ninh an toàn cổng/trang TTĐT tăng nhanh ảnh hưởng nghiêm trọng đến phát triển kinh tế - xã hội, công tác đảm bảo an ninh an toàn không triển khai mức Bởi kỹ thuật tội phạm mạng ngày cao tinh vi hơn, số lượng điểm yếu an ninh ngày tăng, số vụ xâm phạm an toàn mạng ngày nhiều Tấn công mạng vào cổng/trang TTĐT ngày trở lên nghiêm trọng Vì vậy, việc nghiên cứu giải pháp đảm bảo an ninh an toàn cho cổng/trang TTĐT cần thiết Để đảm bảo cổng/trang TTĐT hoạt động ổn định, bảo đảm an ninh an toàn thông tin việc làm cần thiết Giải vấn đề an ninh an toàn cổng/trang TTĐT việc làm xã hội vấn đề cấp bách Mục tiêu đề tài Nghiên cứu, tìm hiểu giải pháp đảm bảo an ninh an toàn thông tin cho cổng/trang TTĐT Kết sử dụng làm tài liệu tốt việc xây dựng hệ thống đảm bảo an ninh an toàn cho cổng/trang TTĐT cho quan, doanh nghiệp Phương pháp nghiên cứu Về lý thuyết: Nghiên cứu đặc điểm cổng/trang TTĐT, lỗ hổng hình thức công nhằm vào cổng/trang TTĐT Sau tìm hiểu, nghiên cứu áp dụng giải pháp để phòng chống công lỗ hổng, ngăn chặn hình thức công cổng/trang TTĐT Các giải pháp nghiên cứu, tổng hợp từ nhiều nguồn khác tùy vào loại lỗ hổng hình thức công mà có giải pháp riêng Từ đó, tổng hợp đưa giải pháp tổng thể giúp đảm bảo an ninh an toàn cho hệ thống cổng/trang TTĐT Về mặt thực nghiệm: Từ giải pháp nghiên cứu, lựa chọn mô hình triển khai thử nghiệm số biện pháp bản, quan trọng nhằm đánh giá cách khách quan giải pháp Đồng thời, đưa khuyến nghị giúp đảm bảo an ninh an toàn cho cổng/trang TTĐT 4 Nội dung nghiên cứu Trong luận văn vào nghiên cứu vấn đề sau: - Tổng quan an toàn thông tin, có khái niệm an toàn thông tin, tình hình an toàn thông tin vài năm gần giới Việt Nam - Tổng quan cổng TTĐT đặc điểm cổng TTĐT Các dạng lỗi phổ biến ứng dụng web nói chung cổng/trang TTĐT nói riêng, kiểu công cách phòng chống để đảm bảo an toàn cho cổng TTĐT - Cấu trúc triển khai ứng dụng web đưa ưu, nhược điểm mô hình Giúp xác định lựa chọn mô hình triển khai cổng/trang TTĐT cách phù hợp - Cách tổ chức mô hình mạng hợp lý, đưa mô hình áp dụng vào triển khai đảm bảo an ninh an toàn cho cổng/trang TTĐT - Sử dụng tường lửa để bảo vệ sử dụng tường lửa ứng dụng web mod_security giúp ngăn chặn loại công phổ biến - Sử dụng hệ thống phát ngăn chặn xâm nhập Nghiên cứu, triển khai hệ thống phát ngăn chặn xâm nhập snort giúp đảm bảo an toàn cho hệ thống - Thiết lập cấu hình hệ thống máy chủ an toàn việc lưu phục hồi liệu - Chính sách vận hành an toàn - Phân tích loại hình công từ chối dịch vụ dạng loại hình công Tìm hiểu biện pháp phòng chống dạng công - Triển khai số biện pháp nghiên cứu hệ thống thực, đồng thời đưa đánh giá khuyến nghị việc thực giải pháp đảm bảo an ninh an toàn cho cổng/trang TTĐT Chương TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ CỔNG THÔNG TIN ĐIỆN TỬ 1.1 Khái niệm chung an toàn an ninh thông tin Lĩnh vực an toàn thông tin (ATTT) ngày quốc gia toàn giới quan tâm Hiện nay, có nhiều quan niệm khác nội hàm khái niệm trạng thái đảm bảo an toàn thông tin cho hệ thống mạng, “an toàn, an ninh thông tin”, “an toàn, an ninh mạng”, “bảo mật mạng máy tính”, bảo mật server, bảo mật ứng dụng web, v.v Sau số khái niệm thông tin đảm bảo an toàn thông tin: Thông tin: phản ánh tự nhiên xã hội ngôn từ, ký hiệu, hình ảnh v.v… hay nói rộng tất phương tiện tác động lên giác quan người Thông tin tồn nhiều dạng: thông tin khắc đá, gỗ, in hay viết giấy, lưu thiết bị điện tử (thẻ nhớ, ổ cứng, ổ đĩa, băng từ, v.v…), thông tin luân chuyển chia sẻ mạng dạng khác (do gửi thư điện tử, đăng trang web, v.v…) Vì việc bảo vệ thông tin khỏi mối đe dọa cần thiết Đảm bảo thông tin sử dụng cách kịp thời đáng tin cậy, đảm bảo quyền riêng tư quyền thông tin Hệ thống thông tin: tập hợp thiết bị viễn thông, công nghệ thông tin bao gồm phần cứng, phần mềm sở liệu phục vụ cho hoạt động lưu trữ, xử lý, truyền đưa, chia sẻ, trao đổi, cung cấp sử dụng thông tin [6, tr.4] An toàn thông tin: bảo vệ thông tin hệ thống thông tin tránh bị truy cập sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật tính khả dụng thông tin [6, tr.4] An toàn thông tin bao gồm hoạt động quản lý, nghiệp vụ kỹ thuật hệ thống thông tin nhằm bảo vệ, khôi phục hệ thống, dịch vụ nội dung thông tin nguy tự nhiên người gây Việc bảo vệ thông tin, tài sản người hệ thống thông tin nhằm bảo đảm cho hệ thống thực chức năng, phục vụ đối tượng cách sẵn sàng, xác tin cậy An toàn thông tin bao hàm nội dung bảo vệ bảo mật thông tin, an toàn liệu, an toàn máy tính an toàn mạng [8, tr.2] An ninh thông tin: việc bảo đảm thông tin mạng không gây phương hại đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền lợi ích hợp pháp tổ chức, cá nhân [6, tr.4] Một thông tin cần bảo vệ đảm bảo an toàn an ninh thông tin kèm ba yếu tố sau: Tính toàn vẹn, tính khả dụng tính bảo mật - Tính toàn vẹn “Integrity”: đảm bảo thông tin không bị sửa đổi, hủy bỏ không phép Nếu thông tin bị thay đổi bên nhận phải phát - Tính khả dụng “Availability”: cho phép thông tin sử dụng cách kịp thời đáng tin cậy TÀI LIỆU THAM KHẢO Tiếng Việt Bộ công an (2011), An toàn thông tin công tác phòng chống tội phạm sử dụng công nghệ cao, Nhà xuất Công an nhân dân, Hà Nội Tr 258-266, 286-716 Nguyễn Ngọc Cường (2012), Tin học ứng dụng điều tra tội phạm, Nhà xuất Công an nhân dân, Hà Nội Tr.181-186, 302-315 Tô Nguyễn Nhật Quang, Các kỹ thuật công DoS, DDoS, DRDoS & Botnet Nguyễn Đức Quỳnh, “Portal gì? – Cổng thông tin điện tử”, ttvnol.com Hồ Văn Hương, Đào Thị Ngọc Thùy (2013), “ứng dụng hệ thống kiểm soát truy nhập mạng theo mô hình truy nhập lần”, Tạp chí An toàn thông tin Chính Phủ (2013), Nghị định 72/2013/NĐ-CP phủ Quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng, Hà Nội Bộ Thông tin Truyền thông (2011), hướng dẫn đảm bảo an toàn thông tin cho cổng/trang thôn tin điện tử, Hà Nội Chính Phủ (2007), Nghị định 64/2007/NĐ-CP Chính phủ Ứng dụng công nghệ thông tin hoạt động quan nhà nước, Hà Nội Tiếng Anh William Stalling, Lawrie Brown (2012), Computer Security Principles and Practice Second Edition, University of New South Wales, Australian Defence Force Academy Stephen Northcutt, Judy Novak (2002), Network Intrusion Detection Third Edition, America NIST (2010), Guide to Intrusion Detection and Prevention Systems (IDPS) Ph.D.Wm Athur Conklin, Ph.D CompTIA ComTIA Security,Principles of Computer Security CompTIA Security and Beyond Lab Manual Second Edition, Vincent Nestler CompTIA Security+ Gregory White, CISSP Issues Concerning The OWASP Top Ten 2013, www.owasp.org ModSecurity Open Source Web Application Firewall, www.modsecurity.org Snort, www.snort.org Andrew R Baker Brian Caswell Mike Poor (2004), Snort 2.1 Intrusion Detection Second Edition Rafeeq Ur Rehman (2003), Intrusion Detection Systems with Snort Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID,Prentice Hall PTR 10 Christian Wege (2004), “Portal Server Technology”, IEEE Internet Computing 11 Stephen Specht and Ruby Lee, Distributed Denial of Service Networks, Attacks, Tools and Countermeasures, Princeton University