Xây dựng hệ thống cảnh báo chống xâm nhập IDS SNORT bảo vệ WEB Server trường đại học kinh tế.

Phần lớn các vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị mạng không hề hay biết những vụ tấn công nhằ

TRẦN HỮU PHỤNG

XÂY DỰNG HỆ THỐNG CẢNH BÁO CHỐNG XÂM NHẬP IDS SNORT BẢO VỆ WEB SERVER

TRƯỜNG ĐẠI HỌC KINH TẾ

Chuyên ngành: HỆ THỐNG THÔNG TIN

Mã số: 60.48.01.04

TÓM TẮT LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN

Đà Nẵng – Năm 2016

Người hướng dẫn khoa học: PTS Võ Trung Hùng

Phản biện 1: TS Huỳnh Hữu Hưng

Phản biện 2: TS Nguyễn Quang Thanh

Luận văn đã được bảo vệ trước Hội đồng chấm Luận văn tốt nghiệp thạc sĩ Kỹ thuật họp tại Đại học Đà Nẵng vào ngày 31 tháng 8 năm

2016

* Có thể tìm hiểu luận văn tại:

Trung tâm Thông tin - Học liệu, Đại học Đà Nẵng

Thư viện trường Đại học Sư phạm Đà Nẵng

MỞ ĐẦU

1 Tính cấp thiết của đề tài

- Sự phát triển và bùng nổ thông tin trên toàn cầu dựa vào Internet đã kết nối các cơ quan chính phủ, tập đoàn, doanh nghiệp, bệnh viện, trường học,… Một cơ quan, tổ chức, cá nhân, phát triển thông tin và kết nối để cùng chia sẻ công việc thì nhu cầu kết nối Internet rất cần thiết trong giai đoạn hiện nay Do đó, việc đảm bảo

an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao giờ hết Ngày nay, có nhiều biện pháp an toàn thông tin cho các hệ thống mạng, đặc biệt là Internet được nghiên cứu và triển khai Tuy nhiên, hệ thống này vẫn bị tấn công, đánh cắp thông tin hoặc bị phá hoại gây nên những hậu quả nghiêm trọng

- Các vụ tấn công này nhằm vào tất cả các máy tính có mặt trên Internet, các máy tính của các công ty lớn, các trường đại học, các cơ quan nhà nước, các tổ chức quân sự, ngân hàng với quy mô lớn và ngày càng tinh vi hơn [12] Hơn nữa những con số thống kê

và các vụ tấn công chỉ là phần nổi của tảng băng Phần lớn các vụ tấn công không được thông báo vì nhiều lý do, trong đó có thể kể đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị mạng không hề hay biết những vụ tấn công nhằm vào hệ thống của họ

- Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được hoàn thiện và khó phát hiện Điều đó một phần do các nhân viên quản trị hệ thống ngày càng đề cao cảnh giác, các hệ thống tường lửa được phát triển dựa vào nhu cầu sử dụng Vì vậy, việc kết nối vào mạng Internet mà không có các biện pháp đảm bảo an ninh thì hệ thống dễ dàng trở thành đối tượng tấn công của các hacker

- Các cơ quan, tổ chức, cá nhân phải kết nối mạng Internet vì nhu cầu trao đổi thông tin và đồng thời phải đảm bảo an toàn thông tin trong quá trình tham gia vào hệ thống Hệ thống Web Service trường Đại học Kinh tế có đến hàng nghìn lượt truy cập mỗi ngày; chưa kể những thời điểm đăng ký tín chỉ, hệ thống tiếp nhận hàng chục nghìn lượt Vì vậy, đây là địa chỉ dễ lọt vào tầm ngắm của những hacker Vì vậy, việc chọn đề tài “Xây dựng hệ thống cảnh báo chống xâm nhập IDS Snort trên Web Server tại trường Đại học Kinh

tế - ĐHĐN” là hướng nghiên cứu hợp lý đối với hệ thống Web Service tại trường Đại học Kinh tế - ĐHĐN trong giai đoạn hiện nay Mục đích của đề tài là nghiên cứu giám sát luồng thông tin vào/ra và bảo vệ các hệ thống mạng khỏi sự tấn công từ Internet Thông qua đề tài nghiên cứu, hệ thống tập trung giải pháp phát hiện xâm nhập IDS thông qua công cụ Snort, cách phòng chống qua công cụ tường lửa

2 Mục tiêu nghiên cứu

Mục tiêu của đề tài là nghiên cứu hệ thống cảnh báo xâm nhập IDS SNORT trên Web Server, từ đó nghiên cứu giải pháp phòng, chống nhằm đảm bảo an toàn cho hệ thống thông tin của trường Đại học Kinh tế - ĐHĐN

3 Đối tượng và phạm vi nghiên cứu

3.1 Đối tượng nghiên cứu

- Các cơ chế an toàn thông tin mạng

- Các bộ luật Snort

- Các cơ chế hoạt động của Snort và giải pháp phòng, chống cho hệ thống Server của trường đại học Kinh tế - ĐHĐN

3.2 Phạm vi nghiên cứu

Đề tài tập trung nghiên cứu khả năng phát hiện cảnh báo xâm nhập của hệ thống, xây dựng hệ thống cảnh báo xâm nhập IDS SNORT, giải pháp tường lửa bằng phần mềm được thử nghiệm trên

hệ thống mạng trường Đại học Kinh tế - ĐHĐN

4 Phương pháp nghiên cứu

Chúng tôi sử dụng hai phương pháp chính là phương pháp nghiên cứu lý thuyết và phương pháp thực nghiệm

- Phương pháp nghiên cứu lý thuyết: Với phương pháp này, chúng tôi nghiên cứu các tài liệu về cơ sở lý thuyết: cơ chế an toàn

và bảo mật thông tin mạng, cơ chế cảnh báo xâm nhập, các bộ luật

và các tài liệu liên quan đến giải pháp phòng, chống

- Phương pháp thực nghiệm: Với phương pháp này, chúng tôi cài đặt và cấu hình hệ thống cảnh báo xâm nhập, phân tích và thiết

kế các chức năng của IDS SNORT, xây dựng các mô đun xử lý, phát hiện và cảnh báo IDS SNORT, xây dựng hệ thống tường lửa phòng, chống bằng phần mềm và đánh giá kết quả hệ thống

5 Ý nghĩa khoa học và thực tiễn đề tài

Chương 1 Tổng quan về an ninh mạng

Trong chương này, chúng tôi trình bày tổng quan về bảo mật thông tin, những nguy cơ đe dọa đối với bảo mật, các phương pháp

xâm nhập – biện pháp phát hiện và ngăn ngừa, các giải pháp bảo mật

an toàn cho hệ thống

Chương 2 Hệ thống cảnh báo chống xâm nhập IDS - SNORT

Chương này giới thiệu về kiến trúc và nguyên lý hoạt động của IDS Phân loại, phương thức phát hiện và cơ chế hoạt động IDS Cách phát hiện các kiểu tấn công thông dụng của IDS

Chương 3 Triển khai ứng dụng

Chương này trình bày về kiến trúc và bộ luật của SNORT và giải pháp phòng, chống ứng dụng thực tế tại trường Đại học Kinh tế

- ĐHĐN

CHƯƠNG 1 TỔNG QUAN VỀ AN NINH MẠNG

1.1 TẦM QUAN TRỌNG CỦA AN NINH MẠNG

1.1.1 Một số thông tin về bảo mật

Một số chuyên gia bảo mật của Mỹ đã tiết lộ một số chi tiết về một nhóm hacker Trung Quốc đã tiến hành nhiều cuộc tấn công vào các cơ quan chính phủ Mỹ nhằm thu nhập thông tin tình báo

Trước “Hồ sơ Panama”, thế giới từng rúng động trước những thông tin của “người lộ mật” Edward Snowden hay các tài liệu về chính phủ do WikiLeaks tung ra Hàng loạt vụ rò rỉ thông tin diễn ra thời gian cho thấy những khối lượng dữ liệu khổng lồ có thể bị can thiệp, đánh cắp như thế nào nhờ công nghệ hiện đại

Một dấu hiệu cho thấy an ninh mạng cần được nâng cao nhanh chóng, hai công ty, McDonal Corp và Walgreen Co cho biết họ đã bị tấn công Sau báo cáo MasterCard và Visa, hệ thống bị tấn công bởi một nhóm hacker Pro – WikiLeaks, được biết đến với tên là “vô danh”, McDonal cho biết hệ thống của mình đã bị tấn công và các thông tin khách hàng bao gồm email, thông tin liên lạc, ngày sinh và thông tin chi tiết khác đã bị đánh cắp

Google trở thành đối tượng của chiến dịch lừa đảo khởi nguồn

từ Trung Quốc, và nhắm tới các tài khoản cấp cao của cơ quan tại

Mỹ, Nhật và chính phủ các nước khác cũng như của Trung Quốc [16] Hacker tấn công bằng cách gửi đến nạn nhân những thư điện tử

lừa đảo, thường từ những tài khoản trông giống với đối tác làm việc, gia đình, bạn bè Những thư điện tử này chứa những đường dẫn đến trang Gmail giả mạo và chiếm lấy tên tài khoản và mật khẩu bất cứ

ai bị dính bẫy

Tin tặc đã đột nhập vào trang Web của NewYork Tour Company và khoảng 110.000 số thẻ ngân hàng bị đánh cắp, họ đã phá vỡ bằng cách sử dụng một cuộc tấn công SQL Injection trên trang này Trong cuộc tấn công SQL Injection, tin tặc tìm cách để chèn lệnh cơ sở dữ liệu thực sự vào máy chủ bằng cách sử dụng Web, họ làm điều này bằng cách thêm vào văn bản thiết kế đặc biệt vào các hình thức Webbase hoặc các hộp tìm kiếm được sử dụng để truy vấn cơ sở dữ liệu

1.1.2 Các Website và hệ thống Server liên tục bị tấn công 1.1.3 Tình hình về an ninh mạng

1.2 GIỚI THIỆU VỀ AN NINH MẠNG

1.2.1 Các khái niệm về an ninh mạng

Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý,

đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp được nối mạng Lan và Internet Các hacker có thể tấn công vào máy tính hoặc cả hệ thống của chúng ta bất cứ lúc nào

Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng máy tính khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà không được sự cho phép từ những người cố ý hay vô tình An toàn mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống mạng để làm cho những người dùng trái phép, cũng như các phần

mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống mạng của chúng ta

1.2.2 Các thành phần cần được bảo vệ trong hệ thống mạng

- Dữ liệu

- Tài nguyên hệ thống

- Danh tiếng

1.2.3 Các thành phần đảm bảo an toàn thông tin

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe dọa tới độ an toàn thông tin có thể đến từ nhiều nơi khác nhau theo nhiều cách khác nhau, vì vậy các thành phần cần để đảm bảo an toàn thông tin như sau:

- Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng

- Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn

về cấu trúc, không mâu thuẫn

- Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách

- Tính chính xác: Thông tin phải chính xác, tin cậy

- Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin

Quá trình đánh giá nguy cơ của hệ thống:

- Xác định các lỗ hổng

- Xác định các mối đe dọa

- Các biện pháp an toàn hệ thống

1.4.2 Kỹ thuật đánh lừa Social Engineering

1.4.3 Kỹ thuật tấn công vào vùng ẩn

1.4.4 Tấn công vào các lỗ hổng bảo mật

1.4.11 Can thiệp vào tham số URL

1.4.12 Vô hiệu hóa dịch vụ

1.4.13 Một số tấn công khác

1.5 CÁC BIỆN PHÁP BẢO MẬT

1.5.1 Mã hóa

1.5.2 Bảo mật máy trạm

1.5.3 Bảo mật truyền thông

1.5.4 Các công nghệ và kỹ thuật bảo mật

CHƯƠNG 2

HỆ THỐNG CẢNH BÁO XÂM NHẬP IDS - SNORT

2.1 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS

2.1.1 Tổng quan

Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng

2.1.2 Định nghĩa IDS

Hệ thống phát hiện xâm nhập IDS là hệ thống phần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện xảy ra, giám sát lưu thông mạng, và cảnh báo các hoạt động khả nghi cho nhà quản trị

2.1.3 Lợi ích của IDS

Lợi thế của hệ thống này là có thể phát hiện được những kiểu tấn công chưa biết trước Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh bảo sai do định nghĩa quá chung về cuộc tấn công

2.1.4 Thành phần và nguyên lý hoạt động của IDS

a Thành phần IDS

Kiến trúc của hệ thống IDS bao gồm các thành phần chính: thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (dectection), thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tấn công của tin tặc

- Xuất thông tin cảnh báo (response): hành động cảnh báo cho

sự tấn công được phân tích ở trên nhờ bộ phận thông báo(Notification)

2.1.5 Chức năng của IDS

- Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ

- Chức năng mở rộng: phân biệt – phát hiện

2.2 PHÂN LOẠI IDS

2.2.1 Network-base IDS – NIDS

Hình 2.4 Mô hình Network based IDS – NIDS

2.2.2 Host-based IDS – HIDS

Hình 2.5 Mô hình hoạt động Host based IDS - HIDS

2.2.3 Cơ chế hoạt động của IDS

a Mô hình phát triển lạm dụng

b Mô hình phát triển sự bất thường

2.2.4 Cách phát hiện tấn công thông dụng IDS

a Tấn công từ chối dịch vụ DDoS (Denial of Service Attacks)

b Quét và thăm dò (Scanning and Probe)

c Chiếm đặc quyền (Privilege grabbing)

d Cài đặt mã nguy hiểm (Hostile code insertion)

e Tấn công hạ tầng bảo mật

2.3 HỆ THỐNG IDS SNORT

2.3.1 Giới thiệu về IDS Snort

Snort là một kiểu IDS, nếu một cuộc tấn công được phát hiện bởi snort

Snort chủ yếu là một IDS dựa trên luật, tuy nhiên các input plug-in cũng tồn tại để phát hiện sự bất thường trong các header của giao thức

2.3.2 Kiến trúc IDS Snort

Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng Các phần chính đó là:

- Module giải mã gói tin (Packet Decoder)

- Module tiền xử lý (Preprocessors)

- Module phát hiện (Detection Engine)

- Module log và cảnh báo (Logging and Alerting System)

- Module kết xuất thông tin (Output Module)

a Module giải mã gói tin (Packet decoder)

b Module tiền xử lý (Preprocessor)

c Module phát hiện (Detecion Engine)

2.3.3 Module log và cảnh báo (Logging and Alerting System)

2.3.4 Bộ luật của Snort

a Cấu trúc luật Snort

Hình 2.12.Cấu trúc luật Snort

- Phần Header: chứa thông tin về hành động mà luật đó sẽ thực hiện khi phát hiện ra có sự xâm nhập nằm trong gói tin và nó cũng chứa các tiêu chuẩn để áp dụng luật với gói tin đó

- Phần Option: chứa một thông điệp cảnh báo và các thông tin

về các phần của gói tin dùng để tạo nên cảnh báo Phần Option chứa các tiêu chuẩn phụ thêm để đối sánh luật với gói tin

b Các cơ chế hoạt động của Snort

- iffer mode: ở chế độ này snort sẽ lắng nghe và đọc các gói

tin trên mạng sau đó sẽ trình bày kết quả trên giao diện hiển thị

- Packet Logger mode: lưu trữ các gói tin trong các tập tin

log

- Network instruction detect system(NIDS) : đây là chế dộ

họat động mạnh mẽ và được áp dụng nhiều nhất, khi họat động ở NIDS mode Snort sẽ phân tích các gói tin luân chuyển trên mạng và

so sánh với các thông tin được định nghĩa của người dùng để từ đó

có những hành động tương ứng như thông báo cho quản trị mạng khi xảy ra tình huống quét lỗi do các hacker /attacker tiến hành hay cảnh báo virus

- Inline mode: khi triển khai snort trên linux thì chúng ta có

thể cấu hình snort để phân tích các gói tin từ iptables thay vì libpcap

do đó iptable có thể drop hoặc pass các gói tin theo snort rule

2.4 THIẾT KẾ HỆ THỐNG THÔNG TIN

2.4.1 Khảo sát và đặt tả yêu cầu

a Hiện trạng hệ thống mạng trường Đại học Kinh tế - ĐHĐN

Hình 2.14 Sơ đồ mạng Trường Đại học Kinh tế

2.4.2 Các phương thức có thể tấn công hệ thống mạng hiện tại trường Đại học Kinh tế

CHƯƠNG 3 XÂY DỰNG HỆ THỐNG

3.1 XÂY DỰNG HỆ THỐNG

3.1.1 Mô tả kịch bản

- Hiện nay trường có hơn 20 thiết bị Access Point đặt tại các khu giảng đường và khu làm việc Một phòng máy chủ đặt tại tầng 3 tòa nhà A bao gồm: 1 thiết bị Router (Board 1100), 5 thiết bị Switch Linksys (48 cổng), 10 máy chủ Đường truyền Internet cung cấp dịch

vụ cho máy chủ và hệ thống mạng nội bộ sử dụng kết nối Leadline với các nhà cung cấp: Viettel, Vnpt Vinaphone, CMC Thống kê lưu lượng sử dụng mạng nội bộ mỗi ngày là 40GB

- Hiện tại máy chủ được trang bị qua nhiều năm khác nhau nên cấu hình và chủng loại cũng khác nhau Số lượng máy chủ trên cung cấp các dịch vụ: Web Service, Mail Service, File Service, Print Service, AD Phần lớn máy chủ phục vụ Web Service bao gồm trang thông tin của trường, hệ thống quản lý đào tạo, quản lý cán bộ, quản

lý thư viện điện tử và quản lý ký túc xá Ngoài ra một số máy chủ sử dụng các dịch vụ cho quản lý công tác tài chính, quản lý điểm đào tạo và quản lý đăng ký tín chỉ sinh viên

- Để mô phỏng theo mô hình thực nghiệm yêu cầu về phần mềm phải có đủ các phần mềm để xây dựng lên hệ thống như: Firewall, máy tính ảo, IDS, máy ảo Vmware Chúng ta cài máy ảo Vmware trên máy thật Windows 7 và từ máy ảo Vmware chúng ta xây dựng một máy ảo Windows Server xây dựng Web Server và hệ thống IDS ngay trên máy ảo,… yêu cầu cấu hình máy tính làm mô phỏng là RAM tối thiểu 2GB