Nghiên cứu giải pháp đảm bảo an ninh thông tin cho các cổng trang thông tin điện tử

1 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ HOÀNG VĂN BIÊN NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH AN TOÀN THÔNG TIN CHO CÁC CỔNG/TRANG THÔNG TIN ĐIỆN TỬ LUẬN VĂN THẠC SĨ CÔNG NG

1

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

HOÀNG VĂN BIÊN

NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH AN TOÀN THÔNG TIN CHO CÁC CỔNG/TRANG THÔNG TIN ĐIỆN TỬ

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

HÀ NỘI-2015

MỤC LỤC

LỜI CAM ĐOAN

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

DANH MỤC CÁC HÌNH ẢNH

MỞ ĐẦU

Chương 1 TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ CỔNG THÔNG TIN ĐIỆN TỬ 1

1.1 Khái niệm chung về an toàn an ninh thông tin 1

1.2 Tình hình an toàn thông tin trên thế giới và Việt Nam 2

1.3 Tổng quan về cổng thông tin điện tử 5

1.4 Các lỗi bảo mật phổ biến của ứng dụng web và cách phòng chống 8

1.5 Tổng quan về đăng nhập một lần trên cổng thông tin điện tử 17

Chương 2 NGHIÊN CỨU CÁC BIỆN PHÁP CƠ BẢN ĐỂ ĐẢM BẢO AN NINH AN TOÀN THÔNG TIN CHO CÁC CỔNG/TRANG THÔNG TIN ĐIỆN TỬ 24

2.1 Xác định cấu trúc ứng dụng web 24

2.2 Triển khai hệ thống phòng thủ 29

2.2.1 Tổ chức mô hình mạng 30

2.2.2 Thiết lập tường lửa 31

2.2.3 Sử dụng công cụ phát hiện và ngăn chặn xâm nhập (IDS/IPS) 34

2.2.3.1 Công cụ phát hiện xâm nhập (IDS) 34

2.2.3.2 Công cụ ngăn chặn xâm nhập (IPS) 38

2.2.4 Ứng dụng phòng chống vi-rút và bảo vệ máy tính cá nhân 40

2.3 Thiết lập và cấu hình hệ thống máy chủ an toàn 41

2.3.1 Thiết lập và cấu hình hệ điều hành máy chủ 41

2.3.2 Thiết lập và cấu hình máy chủ ứng dụng web 42

2.3.3 Thiết lập và cấu hình máy chủ cơ sở dữ liệu 43

2.4 Thiết lập cơ chế sao lưu phục hồi 44

2.4.1 Thiết lập cơ chế sao lưu 44

2.4.2 Thiết lập cơ chế phục hồi 45

2.5 Vận hành an toàn 45

2.5.1 Kiểm tra hoạt động ứng dụng web an toàn 45

2.5.2 Một số biện pháp ứng phó với tấn công 46

2.5.3 Đào tạo đội ngũ nhân lực vận hành hệ thống 46

Chương 3 TẤN CÔNG TỪ CHỐI DỊCH VỤ VÀ MỘT SỐ BIỆN PHÁP PHÒNG CHỐNG 48

3.1 Tấn công từ chối dịch vụ (DoS) 48

3.2 Tấn công từ chối dịch vụ phân tán (DDoS) 50

3.2.1 Các giai đoạn của một cuộc tấn công DDoS 50

3.2.2 Kiến trúc tổng quan của mạng tấn công DDoS 51

3.2.3 Phân loại tấn công DDoS 53

3.2.3.1 Tấn công làm cạn kiệt băng thông hệ thống 54

3.2.3.2 Tấn công làm cạn kiệt tài nguyên 56

3.3 Tấn công từ chối dịch vụ phản xạ nhiều vùng (DRDoS) 57

3.4 Một số biện pháp phòng chống tấn công từ chối dịch vụ 58

Chương 4 TRIỂN KHAI THỬ NGHIỆM 63

4.1 Mô hình thử nghiệm 63

4.2 Cấu hình hệ thống 64

4.2.1 Cấu hình Apache 67

4.2.2 Cấu hình MySQL 69

4.3 Cài đặt tường lửa ứng dụng web ModSecurity 69

4.4 Thiết lập hệ thống Snort để phát hiện và ngăn chặn xâm nhập 72

4.5 Đánh giá và khuyến nghị 77

KẾT LUẬN 78

TÀI LIỆU THAM KHẢO

PHỤ LỤC 1: THÔNG TIN THAM KHẢO VỀ CÁC TƯỜNG LỬA

PHỤ LỤC 2: TƯỜNG LỬA ỨNG DỤNG WEB ModSecurity PHỤ LỤC 3: MỐT SỐ PHẦN MỀM CHỐNG VIRUS VÀ BẢO VỆ MÁY TÍNH

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

HOÀNG VĂN BIÊN

NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN NINH AN TOÀN THÔNG

TIN CHO CÁC CỔNG/TRANG THÔNG TIN ĐIỆN TỬ

Ngành: Công nghệ thông tin

Chuyên ngành: Truyền dữ liệu và mạng máy tính

Mã số:

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN VIẾT THẾ

HÀ NỘI-2015

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn không sao chép của ai, những kết quả nghiên cứu được trình bày trong luận văn là hoàn toàn trung thực, không vi phạm bất cứ điều gì trong luật

sở hữu trí tuệ và pháp luật Việt Nam Nếu sai, tôi hoàn toàn chịu trách nhiệm trước pháp luật

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT

ATTT: An toàn thông tin

CNTT & TT: Công nghệ thông tin và truyền thông

TT & TT: Thông tin và truyền thông

TTĐT: Thông tin điện tử

IDS: Hệ thống phát hiện xâm nhập

HIDS: Hệ thống phát hiện xâm nhập trên máy

NIDS: Hệ thống phát hiện xâm nhập trên mạng

IPS: Hệ thống ngăn chặn xâm nhập

HIPS: Hệ thống ngăn chặn xâm nhập trên máy

NIPS: Hệ thống ngăn chặn xâm nhập trên mạng

DoS: Tấn công từ chối dịch vụ

DDoS: Tấn công từ chối dịch vụ phân tán

DRDoS: Tấn công từ chối dịch vụ phản xạ nhiều vùng

VNISA: Hiệp hội an toàn thông tin Việt Nam

VNCERT: Trung tâm ứng cứu khẩn cấp máy tính Việt Nam

OWASP: Dự án mở về bảo mật ứng dụng web

SSO: Đăng nhập một lần

DANH MỤC CÁC HÌNH ẢNH

Hình 2.1: Một vài mô hình triển khai ứng dụng web

Hình 2.2: Mô hình 1 lớp

Hình 2.3: Mô hình 2 lớp

Hình 2.4: Mô hình 3 lớp

Hình 2.5: Mô hình N lớp

Hình 2.6: Một số vị trí có thể đặt tường lửa

Hình 2.7: Ví dụ vị trí đặt tường lửa ứng dụng web

Hình 2.8: Một số vị trí thường đặt cảm biến NIDS

Hình 3.1: Mô tả tấn công kiểu Smurf

Hình 3.2: Kiến trúc mạng tấn công kiểu Agent Handler

Hình 3.3: Kiến trúc mạng tấn công kiểu IRC

Hình 3.4: Phân loại tấn công từ chối dịch vụ phân tán

Hình 3.5: Tấn công khuếch đại giao tiếp

Hình 3.6: Tấn công TCP SYN

Hình 3.7: Giả mạo ip để tấn công TCP SYN

Hình 3.8: Tấn công DRDoS

Hình 4.1: Mô hình triển khai thử nghiệm

MỞ ĐẦU

1 Tính cấp thiết của đề tài

Trong những năm gần đây, Công nghệ thông tin và truyền thông (CNTT &TT) có vai trò lớn đối với sự phát triển của mỗi quốc gia, mỗi doanh nghiệp Ứng dụng CNTT

&TT cũng có tác động không nhỏ đến đời sống kinh tế, xã hội của đại bộ phận người dân trên thế giới CNTT&TT cũng góp phần quan trọng trong vấn đề an ninh và phát triển bền vững của mỗi quốc gia Do vậy, ứng dụng CNTT&TT trở thành một phần không thể thiếu trong chiến lược phát triển của các doanh nghiệp và các quốc gia trên thế giới

Với tốc độ phát triển và ứng dụng của CNTT&TT ngày càng nhanh như hiện nay, hàng ngày có một lượng thông tin lớn được lưu trữ, chuyển tải thông qua các cổng/trang thông tin điện tử (TTĐT) cũng kéo theo nhiều rủi ro về sự mất an toàn thông tin Thiệt hại do mất an ninh an toàn trên các cổng/trang TTĐT đã tăng rất nhanh và sẽ ảnh hưởng nghiêm trọng đến sự phát triển kinh tế - xã hội, nếu công tác đảm bảo an ninh an toàn không được triển khai đúng mức Bởi các kỹ thuật của tội phạm mạng ngày càng cao và tinh vi hơn, số lượng điểm yếu an ninh ngày càng tăng, số vụ xâm phạm an toàn mạng ngày càng nhiều

Tấn công mạng vào các cổng/trang TTĐT ngày càng trở lên nghiêm trọng Vì vậy, việc nghiên cứu các giải pháp đảm bảo an ninh an toàn cho các cổng/trang TTĐT là rất cần thiết Để đảm bảo các cổng/trang TTĐT hoạt động ổn định, bảo đảm an ninh an toàn thông tin là việc làm rất cần thiết Giải quyết vấn đề an ninh an toàn của các cổng/trang TTĐT là việc làm của cả xã hội và là vấn đề cấp bách

2 Mục tiêu của đề tài

Nghiên cứu, tìm hiểu các giải pháp đảm bảo an ninh an toàn thông tin cho các cổng/trang TTĐT Kết quả có thể được sử dụng làm tài liệu tốt trong việc xây dựng hệ thống đảm bảo an ninh an toàn cho các cổng/trang TTĐT cho các cơ quan, doanh nghiệp

3 Phương pháp nghiên cứu

Về lý thuyết: Nghiên cứu những đặc điểm của cổng/trang TTĐT, các lỗ hổng và các hình thức tấn công nhằm vào cổng/trang TTĐT Sau đó tìm hiểu, nghiên cứu và áp dụng các giải pháp để phòng chống tấn công các lỗ hổng, cũng như ngăn chặn các hình thức tấn công trên cổng/trang TTĐT Các giải pháp được nghiên cứu, tổng hợp từ nhiều nguồn khác nhau tùy vào mỗi loại lỗ hổng và mỗi hình thức tấn công mà có những giải pháp riêng Từ đó, tổng hợp đưa ra những giải pháp tổng thể giúp đảm bảo an ninh an toàn cho hệ thống cổng/trang TTĐT

Về mặt thực nghiệm: Từ những giải pháp đã nghiên cứu, tôi lựa chọn mô hình và triển khai thử nghiệm một số biện pháp cơ bản, quan trọng nhằm đánh giá một cách khách quan các giải pháp Đồng thời, đưa ra các khuyến nghị giúp đảm bảo an ninh an toàn cho các cổng/trang TTĐT

4 Nội dung nghiên cứu

Trong luận văn này tôi đi vào nghiên cứu những vấn đề sau:

- Tổng quan về an toàn thông tin, trong đó có các khái niệm cơ bản về an toàn thông tin, tình hình an toàn thông tin một vài năm gần đây trên thế giới và Việt Nam

- Tổng quan về cổng TTĐT các đặc điểm của cổng TTĐT Các dạng lỗi phổ biến trên ứng dụng web nói chung và cổng/trang TTĐT nói riêng, các kiểu tấn công và cách phòng chống để đảm bảo an toàn cho cổng TTĐT

- Cấu trúc triển khai ứng dụng web và đưa ra ưu, nhược điểm của từng mô hình Giúp xác định và lựa chọn được mô hình triển khai cổng/trang TTĐT một cách phù hợp

- Cách tổ chức mô hình mạng hợp lý, đưa ra các mô hình có thể áp dụng vào triển khai đảm bảo an ninh an toàn cho cổng/trang TTĐT

- Sử dụng tường lửa để bảo vệ và sử dụng được tường lửa ứng dụng web mod_security giúp ngăn chặn các loại tấn công phổ biến

- Sử dụng hệ thống phát hiện và ngăn chặn xâm nhập Nghiên cứu, triển khai được

hệ thống phát hiện và ngăn chặn xâm nhập snort giúp đảm bảo an toàn cho hệ thống

- Thiết lập và cấu hình hệ thống máy chủ an toàn cũng như việc sao lưu và phục hồi dữ liệu

- Chính sách vận hành an toàn

- Phân tích loại hình tấn công từ chối dịch vụ và các dạng của loại hình tấn công này Tìm hiểu những biện pháp phòng chống dạng tấn công này

- Triển khai một số biện pháp cơ bản đã nghiên cứu trên hệ thống thực, đồng thời đưa ra những đánh giá và khuyến nghị trong việc thực hiện những giải pháp đảm bảo an ninh an toàn cho các cổng/trang TTĐT

1

Chương 1 TỔNG QUAN VỀ AN TOÀN THÔNG TIN VÀ CỔNG THÔNG TIN ĐIỆN TỬ

1.1 Khái niệm chung về an toàn an ninh thông tin

Lĩnh vực an toàn thông tin (ATTT) ngày nay càng được các quốc gia trên toàn thế giới quan tâm Hiện nay, có nhiều quan niệm khác nhau về nội hàm của các khái niệm

về trạng thái đảm bảo an toàn thông tin cho hệ thống mạng, như “an toàn, an ninh thông tin”, “an toàn, an ninh mạng”, “bảo mật mạng máy tính”, bảo mật server, bảo mật ứng dụng web, v.v Sau đây là một số khái niệm về thông tin và đảm bảo an toàn thông tin:

Thông tin: là sự phản ánh của tự nhiên và xã hội bằng ngôn từ, ký hiệu, hình ảnh

v.v… hay nói rộng hơn bằng tất cả các phương tiện tác động lên giác quan của con người Thông tin được tồn tại ở nhiều dạng: thông tin có thể được khắc trên đá, gỗ, được in hay viết trên giấy, được lưu trong các thiết bị điện tử (thẻ nhớ, ổ cứng, ổ đĩa, băng từ, v.v…), thông tin được luân chuyển và chia sẻ trên mạng dưới các dạng khác nhau (do gửi thư điện tử, đăng trên các trang web, v.v…) Vì vậy việc bảo vệ thông tin khỏi các mối đe dọa là hết sức cần thiết Đảm bảo thông tin luôn được sử dụng một cách kịp thời và đáng tin cậy, đảm bảo được các quyền riêng tư và bản quyền đối với thông tin

Hệ thống thông tin: là tập hợp các thiết bị viễn thông, công nghệ thông tin bao

gồm phần cứng, phần mềm và cơ sở dữ liệu phục vụ cho hoạt động lưu trữ, xử lý, truyền đưa, chia sẻ, trao đổi, cung cấp và sử dụng thông tin [6, tr.4]

An toàn thông tin: là sự bảo vệ thông tin và các hệ thống thông tin tránh bị truy

cập sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin [6, tr.4]

An toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với

hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính

và an toàn mạng [8, tr.2]

An ninh thông tin: là việc bảo đảm thông tin trên mạng không gây phương hại

đến an ninh quốc gia, trật tự an toàn xã hội, bí mật nhà nước, quyền và lợi ích hợp pháp của tổ chức, cá nhân [6, tr.4]

Một thông tin cần được bảo vệ đảm bảo an toàn an ninh thông tin luôn đi kèm ba yếu tố sau: Tính toàn vẹn, tính khả dụng và tính bảo mật

- Tính toàn vẹn “Integrity”: là đảm bảo thông tin không bị sửa đổi, hủy bỏ khi không được phép Nếu thông tin bị thay đổi thì bên nhận phải phát hiện ra

- Tính khả dụng “Availability”: cho phép thông tin được sử dụng một cách kịp thời

và đáng tin cậy

TÀI LIỆU THAM KHẢO Tiếng Việt

1 Bộ công an (2011), An toàn thông tin và công tác phòng chống tội phạm sử dụng

công nghệ cao, Nhà xuất bản Công an nhân dân, Hà Nội Tr 258-266, 286-716

2 Nguyễn Ngọc Cường (2012), Tin học ứng dụng trong điều tra tội phạm, Nhà xuất

bản Công an nhân dân, Hà Nội Tr.181-186, 302-315

3 Tô Nguyễn Nhật Quang, Các kỹ thuật tấn công DoS, DDoS, DRDoS & Botnet

4 Nguyễn Đức Quỳnh, “Portal là gì? – Cổng thông tin điện tử”, ttvnol.com

5 Hồ Văn Hương, Đào Thị Ngọc Thùy (2013), “ứng dụng hệ thống kiểm soát truy

nhập mạng theo mô hình truy nhập một lần”, Tạp chí An toàn thông tin

6 Chính Phủ (2013), Nghị định 72/2013/NĐ-CP của chính phủ về Quản lý, cung

cấp, sử dụng dịch vụ internet và thông tin trên mạng, Hà Nội

7 Bộ Thông tin và Truyền thông (2011), hướng dẫn đảm bảo an toàn thông tin cho

các cổng/trang thôn tin điện tử, Hà Nội

8 Chính Phủ (2007), Nghị định 64/2007/NĐ-CP của Chính phủ về Ứng dụng công

nghệ thông tin trong hoạt động của cơ quan nhà nước, Hà Nội

Tiếng Anh

1 William Stalling, Lawrie Brown (2012), Computer Security Principles and

Practice Second Edition, University of New South Wales, Australian Defence

Force Academy

2 Stephen Northcutt, Judy Novak (2002), Network Intrusion Detection Third

Edition, America

3 NIST (2010), Guide to Intrusion Detection and Prevention Systems (IDPS)

4 Ph.D.Wm Athur Conklin, Ph.D CompTIA ComTIA Security,Principles of

Computer Security CompTIA Security and Beyond Lab Manual Second Edition,

Vincent Nestler CompTIA Security+ Gregory White, CISSP

5 Issues Concerning The OWASP Top Ten 2013, www.owasp.org

6 ModSecurity Open Source Web Application Firewall, www.modsecurity.org

7 Snort, www.snort.org

8 Andrew R Baker Brian Caswell Mike Poor (2004), Snort 2.1 Intrusion Detection

Second Edition

9 Rafeeq Ur Rehman (2003), Intrusion Detection Systems with Snort Advanced IDS

Techniques Using Snort, Apache, MySQL, PHP, and ACID,Prentice Hall PTR

10 Christian Wege (2004), “Portal Server Technology”, IEEE Internet Computing

11 Stephen Specht and Ruby Lee, Distributed Denial of Service Networks, Attacks,

Tools and Countermeasures, Princeton University