Nghiên cứu phương pháp giám sát phân tích thông tin ra vào hệ thống mạng doanh nghiệp

Chính vì vậy em lựa chọn thực hiện đồ án tốt nghiệp là “Nghiên cứu phương pháp giám sát, phân tích thông tin vào ra, hệ thống mạng doanh nghiệp ” nhằm mục đích cung cấp một công cụ hữu

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

NGUYỄN XUÂN TRƯỜNG

NGHIÊN CỨU PHƯƠNG PHÁP GIÁM SÁT, PHÂN TÍCH THÔNG TIN VÀO RA

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS Trịnh Anh Tuấn

Phản biện 1: ………

Phản biện 2: ………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc

sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

Xã hội hiện đại ngày nay, việc sử dụng mạng máy tính đã trở nên quen thuộc đối với mọi người trong xã hội, như xã hội điện

tử (chính phủ điện tử, cổng thông tin điện tử, ngân hàng điện

tử, chợ điện tử ) Cùng với sự phát triển của công nghệ thông tin và nhu cầu của con người, mạng máy tính cũng càng ngày càng mở rộng và trở thành một phần không thể thiếu của đời sống Tuy nhiên, cùng với sự phát triển của mạng máy tính, rất nhiều vấn đề liên quan cũng được đặt ra đối với người sử dụng như lỗi đường truyền, virus, sự tấn công của các tin tặc hacker làm rối loạn, gây hỏng hóc và trộm cắp thông tin quan trọng

Để góp phần giải quyết những vấn đề này thì việc kiểm soát lượng thông tin vào ra trong 1 mạng cơ quan doanh nghiệp, mang một ý nghĩa rất quan trọng Chính vì vậy em lựa chọn

thực hiện đồ án tốt nghiệp là “Nghiên cứu phương pháp giám

sát, phân tích thông tin vào ra, hệ thống mạng doanh nghiệp

” nhằm mục đích cung cấp một công cụ hữu ích cho việc kiểm soát lưu lượng thông tin vào ra cho doanh nghiệp của mình được an toàn Luận văn tập trung chủ yếu đến một số nội dung

cơ bản sau:

Chương I: Tổng quan đề tài

Chương này đề cập một cách tổng quan về nguy cơ đối với an ninh mạng, các hình thức tấn công qua mạng hiện đại, các phương pháp quản lý giám sát an ninh phòng chống, từ đó đặt

ra vấn đề nghiên cứu của luận văn

Chương II: Kỹ thuật chặn bắt và phân tích gói tin

Chương này cho ta hiểu biết khái quát chung, thế nào là chặn bắt và phân tích gói tin, các khái niệm liên quan, và cách thức nguyên lý hoạt động, cũng như cấu tạo của chương trình sniffer Các phương pháp kỹ thuật được sử dụng trong chương trình chặn bắt

Chương III: Ứng dụng của chương trình chặn bắt và phân tích gói tin

Chương này ở phần 1 chúng ta tìm hiểu về giao thức TCP/IP và khuôn dạng đóng gói dữ liệu của các gói tin theo giao thức khác nhau Phần 2 chúng ta tìm hiểu về chương trình chặn bắt

và phân tích gói tin wireshark

CHƯƠNG I – TỔNG QUAN ĐỀ TÀI

PH N 1 GI I THI U Đ TÀI

1.1 Nguy c đ i v i an ninh m ng

a) Mất an ninh mạng có thể xảy đến với toàn mạng và bất cứ phần tử nào của mạng Sự mất an toàn có thể xảy đến với thông tin lưu trữ trong một host, một web server, một router, một mail server, proxy server, … hay đối với các thông tin lưu thông trong mạng và cả băng thông của mạng

b) Mất an ninh mạng có thể đến từ ngoài và cả bên trong nội

bộ hệ thống mạng, trong đó Internet không phải là nguồn duy nhất Hacker có thể là người hoàn toàn xa lạ từ bên ngoài thâm nhập vào mà cũng có thể là nhân viên ở phòng bên cạnh hay chính là một trong những người sử dụng mạng nội bộ

c) Mất an ninh mạng có thể đến từ người sử dụng hợp pháp lẫn không hợp pháp Người sử dụng hợp pháp thì thường có sẵn những quyền nhất định đối với hệ thống mạng nên nếu họ

có ý định hack một phần tử nào đó của mạng thì tổn thất cũng

Hình 1.2: Mô hình các loại tổ chức bị tin tặc hacker tấn công

1.2 M c đích nghiên c u c a đ tài

Đánh giá phân tích lưu lượng thông tin đi vào và đi ra của doanh nghiệp, qua đó giám sát được an ninh bảo mật về các luồng thông tin vào ra này có bị dòm ngó bởi các cuộc tấn công

từ bên ngoài cũng như lỗ hổng bảo mật, điểm yếu phát sinh từ bên trong, mà người quản trị sẽ lường trước được rủi ro sẽ xảy

ra, từ đó đưa ra các phương án chính sách phòng chống hợp lý, tránh trường hợp xấu và đáng tiếc xảy ra như (mất dữ liệu, mất thông tin password, nghẽn mạng, thông tin đưa lên bị sai lệch nội dung, bị lợi dụng làm phần tử tham gia vào các cuộc tấn công mà không hề biết , ảnh hưởng không nhỏ đến lợi ích của doanh nghiệp cũng như lợi ích của từng cá nhân bên trong

doanh nghiệp

1.3 M c tiêu và mong mu n k t qu đ t đ c c a đ tài

a) Mục tiêu của đề tài là nghiên cứu xây dựng được 1 hệ thống giám sát thông tin cho cơ quan với số lượng người sử dụng khoảng 500, đảm bảo được an ninh, an toàn cho người sử

dụng mạng trong cơ quan trao đổi thông tin với nhau bên trong, cũng như đi ra bên ngoài internet

b) Mong muốn kết quả đạt được của đề tài là đem lại sự hiểu biết sâu sắc hơn cho người quản trị mạng, và người sử dụng mạng về việc làm thế nào để biết được và phân tích được gói tin đi vào và đi ra của mình trên mạng sao cho an toàn, đảm bảo không bị mất mát dữ liệu, thông tin, hay bị dòm ngó bới hacker và hướng cho người quản trị biết cách phát hiện và phòng tránh cũng như sử dụng biện pháp ngăn chặn hữu ích nhất cho hệ thống

c) Tóm tắt các tiêu chí đặt ra cho mục tiêu như sau

- Phân tích hiệu năng làm việc hoặc sự cố mạng

- Nhận biết sự xâm nhập mạng, rò rỉ thông tin

- Quản lý sử dụng mạng

- Tập hợp thông tin báo cáo về trạng thái mạng

- Sửa lỗi, bảo trì các hình thái, giao thức mạng

- Lọc lấy thông tin cần thiết được lưu chuyển trên mạng, đưa

về dạng phù hợp để con người có thể đọc

- Hiểu được cấu tạo mạng, biết được ai đang sử dụng băng thông mạng, phát hiện các điểm yếu, các khả năng tấn công và các hành vi phá hoại

- Chặn bắt, giải mã và phân tích nội dung phần header của gói tin, nhằm phát hiện nguồn gốc của gói tin, cũng như mã độc ẩn chứa bên trong gói tin

Hình 1.3: Mô hình hệ thống tường lửa, giám sát mạng

1.4 Đ i t ng và ph m vi nghiên c u c a đ tài

Áp dụng đối với doanh nghiệp, công ty, đơn vị nhà nước vừa

và nhỏ Trong phạm vi của đề tài sẽ được thực hiện trên hệ điều hành Window và sử dụng bộ giao thức TCP/IP Ethernet nên trong phần này, sẽ trình bày những vấn đề cơ bản nhất của mạng Ethernet

1.5 Ph ng pháp nghiên c u c a đ tài

Phân tích nội dung gói tin vào ra mạng bằng phương pháp sử

dụng phần mềm sniffer để bắt giữ gói tin lại, sau đó đưa vào

xử lý phân tích Packet Analyzer

Cuối cùng đưa ra màn hình hiển thị thông báo cảnh báo cho người quản trị hệ thống

không đủ khả năng xử lý (đo bằng số request/giây), thường hacker giả mạo địa chỉ IP nguồn, giả mạo nhiều địa chỉ và dùng các giao thức khác nhau (TCP, IP) để bước qua hệ thống an ninh, nạn nhân khó phân biệt giữa hacker và người sử dụng bình thường

1.2 Gi m o đ a ch IP - IP Spoofing

Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc

sử dụng khả năng dẫn đường trực tiếp Với cách tấn công này,

kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi

1.3 T n công tr c ti p

Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm quyền truy nhập bên trong Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu

1.4 Nghe tr m

Việc nghe trộm thông tin trên mạng có thể để lại những thông tin có ích như tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập truy cập hệ thống

1.5 Vô hi u hóa các ch c năng c a h th ng m c tiêu

Đây là kiểu tấn công nhằm tê liệt hệ thống, không cho nó thực hiện chức năng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng

Đây là sự giả mạo địa chỉ IP hoặc khống chế tập lưu trữ thông tin về địa chỉ này trong hệ thống mạng Hacker thường dùng cách này để mạo danh là máy tính hợp pháp nhằm chiếm quyền điều khiển trình duyệt web trên máy tính bị tấn công

2.3 ĐIỆP VIÊN( AGENT)

Hiện nay, việc sử dụng Keylogger khá phổ biến ở Việt Nam Các chương trình này được truyền nhau thông qua các diễn đàn (forum) trên mạng

PH N 3 CÁC PH NG PHÁP QU N LÝ GI M SÁT AN NINH PHÒNG CH NG

1 H th ng t ng l a ISA

Hệ thống ISA là hệ thống đáp ứng nhu cầu bảo vệ và chia sẻ băng thông trong các công ty có quy mô trung bình, hệ thống này dùng để kiểm soát các luồng dữ liệu vào ra hệ thống mạng nội bộ của công ty, kiểm soát quá trình truy cập của người dùng theo giao thức, thời gian, và nội dung nhằm ngăn chặn việc kết nối vào những trang web có nội dung không thích hợp

2 H th ng phát hi n xâm nh p trái phép IDS và ngăn ng a xâm nh p trái phép IPS

Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập các cuộc tấn công, và tự động ngăn chặn các cuộc tấn công đó IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công đó

3 H th ng qu n lý giám sát, b t gi và phân tích chuyên sâu gói tin DPI (Deep packet inpection) wireshark

Wireshark là 1 trong những ứng dụng phân tích dữ liệu gói tin lưu chuyển trên hệ thống mạng, với khả năng theo dõi, giám sát các gói tin theo thời gian thực, hiển thị chính xác, báo cáo cho người dùng qua giao diện khá đơn giản và thân thiện

Wireshark dùng để phân tích các giao thức của mạng, cho phép bạn xem được chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích hiệu năng làm việc hoặc sự cố mạng, nhận biết sự xâm nhập mạng, rò rỉ thông tin

4 Nh n xét đánh giá so sánh u nh c đi m

Để đảm bảo bảo mật an toàn tuyệt đối hệ thống mạng doanh nghiệp, thì phải kết hợp cả 3 loại phương pháp trên, bởi vì mỗi phương pháp có một ưu điểm nổi trội mạnh mẽ riêng của nó, cũng như nhược điểm của nó chưa có được mà phương pháp khác lại có được, ví dụ như ISA nó có ưu điểm chia sẻ băng thông, vpn, tăng tốc mạng, firewall, nhưng lại không phát hiện

ra được có sự xâm nhập trái phép của hacker nhanh như IDS và

nó cũng không thể nào biết được nội dung bên trong của gói tin

đi vào đi ra doanh nghiệp có chứa hay tiềm ẩn mã độc hay không, mà phải nhờ vào sự phân tích chuyên sâu của hệ thống DPI wireshark

KẾT LUẬN CHƯƠNG: Chương này đưa ra cho chúng ta cái

nhìn khái quát mọi vấn đề về an ninh an toàn hệ thống mạng hiện tại và các phương pháp phòng tránh nâng cao hiệu quả bảo

vệ thông tin, dữ liệu Nhiệm vụ cấp thiết đề ra và mong muốn kết quả đạt được của đề tài này

CH NG II K THU T CH N B T VÀ PHÂN TÍCH GÓI TIN

1 T ng Quan V Ch n B t Gói Tin (Sniffer)

1.1 Th nào là ch n b t và phân tích gói tin

Phân tích gói tin, thông thường được quy vào việc nghe các gói tin và phân tích giao thức, mô tả quá trình bắt và phiên dịch các

dữ liệu sống (thời gian thực) như là các luồng đang lưu chuyển trong mạng với mục tiêu hiểu rõ hơn điều gì đang diễn ra trên mạng Phân tích gói tin thường được thực hiện bởi một packet sniffer, một công cụ được sử dụng để bắt dữ liệu thô trên đang lưu chuyển trên đường dây Phân tích gói tin có thể giúp chung

ta hiểu cấu tạo mạng, ai đang ở trên mạng, xác định ai hoặc cái

gì đang sử dụng băng thông, chỉ ra những thời điểm mà việc sử dụng mạng đạt cao điểm, chỉ ra các khả năng tấn công và các hành vi phá hoại, và tìm ra các ứng dụng không được bảo mật

1.2 Các khái ni m liên quan

 Packet là một đơn vị dữ liệu được định dạng để lưu chuyển trên mạng

 Network Traffic là lưu lượng thông tin vào/ra hệ thống mạng Để có thể đo đạc, kiểm soát Network Traffic ta cần phải chặn bắt các gói tin (Packet capture)

 Packet capture là hành động chặn bắt các packet dữ liệu được lưu chuyển trên mạng Packet capture gồm có:

o Deep Packet Capture (DPC): là hành động chặn bắt toàn bộ các gói tin trên mạng (bao gồm cả phần header và payload) Các gói tin chặn bắt được sẽ được lưu trữ lại trong bộ nhớ tạm thời hoặc lâu dài

o Deep Packet Inspection (DPI): là quá trình kiểm tra, đánh giá để tìm ra nguyên nhân của những vấn đề của mạng, xác định nguy cơ an toàn bảo mật, chắc chắn mạng hoạt động chính xác về kỹ thuật và luật pháp

số phương thức đặc biệt như ARP snoofing Đối với mạng LAN không dây thì các gói tin được chặn bắt trên các kênh riêng biệt

2 Cách Th c Ho t Đ ng

2.1 Theo dõi Network Traffic

Trong phạm vi của báo cáo thực tập tốt nghiệp chỉ xét tới môi trường mạng có dây trong WindowXP, hay chính xác hơn là trong phạm vi chuẩn Ethernet Ethernet được xây dựng dựa trên khái niệm chia sẻ Tất cả các máy trong một mạng nội bộ đều được chia sẻ chung một đường dây Điều đó chỉ ra rằng tất

cả các máy trong mạng đều có thể “nhìn thấy” traffic trong đường dây đó

Do đó, phần cứng Ethernet sẽ có một bộ lọc “filter” bỏ qua tất

cả nhưng traffic không phải dành cho nó (bằng cách bỏ qua tất

cả các frame có địa chỉ MAC không phù hợp)

2.2 Phân tích Network Traffic

Khi dữ liệu được gửi trên đường dây, nó sẽ được chia nhỏ, đóng gói thành nhiều packet và được gửi đi một cách riêng biệt Sniffer là chương trình sẽ chặn bắt các packet này Sau khi

đã tiến hành chặn bắt thành công các gói tin, chúng ta sẽ có được các packet mang thông tin Tuy nhiên, để lấy được thông tin cần thiết phục vụ cho các mục đích khác nhau, chúng ta phải thực hiện việc phân tích các gói tin đó (Packet Analysis)

2.3 Các thành ph n c a m t ch ng trình sniffer

Hardware: Phần cứng thỏa mãn các tiêu chuẩn của network

adapter Ngoài ra có thể có các tính năng đặc biệt bổ sung để kiểm tra lỗi CRC, lỗi điện thế, lỗi cáp

Capture driver : Là phần quan trọng nhất Nó có nhiệm vụ bắt

lấy network traffic trên đường dây, lưu trữ dữ liệu vào buffer

và lọc lấy thông tin cần thiết

Buffer : Dữ liệu sau khi được lấy về sẽ được lưu trữ tạm thời

tại buffer Thường có 2 phương pháp sử dụng buffer: ghi vào cho tới khi buffer đầy, hoặc ghi theo phương pháp vòng tròn khi mà dữ liệu mới nhất sẽ thay thế dữ liệu cũ nhất

Real-time analysis: Phân tích traffic về protocol, kiểm tra lỗi

khi capture packet

Decode: Giải mã và hiển thị nội dung của network traffic dưới

dạng phù hợp tùy thuộc vào yêu cầu