Nghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sựthâm nhập
trái phép (tấn công) vào các hệthống mạng ngày nay là một vấn đềcó tính thời sựvà
rất có ý nghĩa, vì quy mô và sựphức tạp của các cuộc tấn công ngày càng tăng.
Khóa luận này trình bày hệthống hóa vềcác phương thức tấn công và các biện
pháp ngăn chặn chúng bằng cảlý thuyết và những minh họa mô phỏng thực tế; Những
tìm hiểu vềgiải pháp phát hiện sớm và ngăn chặn tấn công của thiết bịchuyên dụng
(IDS/IPS) của IBM: Proventia G200, việc thiết lập cấu hình và vận hành thiết bị, thử
nghiệm trong môi trường VNUnet, những đánh giá và nhận xét.
Thông qua tiến hành khảo sát hệthống mạng VNUnet, khóa luận cũng chỉra
những khó khăn, vấn đềvà hướng giải quyết khi triển khai IPS trên những hệthống
mạng lớn nhưmạng của các trường đại học.
Do “ngăn chặn thâm nhập” là một công nghệkhá mới trên thếgiới nên khóa
luận này là một trong những tài liệu tiếng việt đầu tiên đềcập chi tiết đến công
nghệnày.
84 trang |
Chia sẻ: lvbuiluyen | Lượt xem: 2819 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Khóa luận Nghiên cứu triển khai hệthống ids/ips, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Trần Tiến Công
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành : Công nghệ thông tin
HÀ NỘI - 2009
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
Trần Tiến Công
NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG IDS/IPS
KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY
Ngành : Công nghệ thông tin
Cán bộ hướng dẫn : Ths. Đoàn Minh Phương
Cán bộ đồng hướng dẫn : Ths. Nguyễn Nam Hải
HÀ NỘI – 2009
Lời cảm ơn
Đầu tiên, em xin gửi lời cảm ơn chân thành tới thầy Đoàn Minh Phương và đặc
biệt là thầy Nguyễn Nam Hải đã nhiệt tình giúp đỡ em trong quá trình lựa chọn cũng
như trong quá trình thực hiện khóa luận. Em cũng xin gửi lời cảm ơn thầy Đỗ Hoàng
Kiên, thầy Phùng Chí Dũng và thầy Nguyễn Việt Anh ở trung tâm máy tính, những
người đã chỉ dẫn em trong từng bước đề tài.
Để có thể thực hiện và hoàn thành khóa luận này, các kiến thức trong 4 năm
học đại học là vô cùng cần thiết, vì vậy em xin gửi lời cảm ơn tới tất cả các thầy cô
giáo đã truyền đạt cho em những bài học quý báu trong thời gian vừa qua.
Tôi xin cảm ơn bạn Vũ Hồng Phong và bạn Nguyễn Duy Tùng đã hỗ trợ tôi
thực hiện đề tài. Tôi cũng xin cảm ơn các bạn cùng lớp đã giúp đỡ tôi trong học tập.
Cuối cùng, em xin gửi lời cảm ơn tới gia đình em, nguồn động viên to lớn đã
giúp em thành công trong học tập và cuộc sống.
Tóm tắt nội dung
Nghiên cứu, triển khai các giải pháp phát hiện sớm và ngăn chặn sự thâm nhập
trái phép (tấn công) vào các hệ thống mạng ngày nay là một vấn đề có tính thời sự và
rất có ý nghĩa, vì quy mô và sự phức tạp của các cuộc tấn công ngày càng tăng.
Khóa luận này trình bày hệ thống hóa về các phương thức tấn công và các biện
pháp ngăn chặn chúng bằng cả lý thuyết và những minh họa mô phỏng thực tế; Những
tìm hiểu về giải pháp phát hiện sớm và ngăn chặn tấn công của thiết bị chuyên dụng
(IDS/IPS) của IBM: Proventia G200, việc thiết lập cấu hình và vận hành thiết bị, thử
nghiệm trong môi trường VNUnet, những đánh giá và nhận xét.
Thông qua tiến hành khảo sát hệ thống mạng VNUnet, khóa luận cũng chỉ ra
những khó khăn, vấn đề và hướng giải quyết khi triển khai IPS trên những hệ thống
mạng lớn như mạng của các trường đại học.
Do “ngăn chặn thâm nhập” là một công nghệ khá mới trên thế giới nên khóa
luận này là một trong những tài liệu tiếng việt đầu tiên đề cập chi tiết đến công
nghệ này.
Mục lục
BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT ..............................1
DANH SÁCH BẢNG...........................................................1
DANH SÁCH HÌNH MINH HỌA......................................2
MỞ ĐẦU ..........................................................................3
CHƯƠNG 1.AN NINH MẠNG VÀ HỆ THỐNG MẠNG
VNUNET ..........................................................................4
1.1. AN NINH MẠNG.............................................................................................4
1.2. HỆ THỐNG MẠNG VNUNET........................................................................4
1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet .........................................4
1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet .................................................5
CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP...................7
2.1. KIẾN THỨC CƠ SỞ.........................................................................................7
2.1.1. Thâm nhập.....................................................................................................7
2.1.2. Tấn công từ chối dịch vụ...............................................................................8
2.1.3. Lỗ hổng bảo mật .........................................................................................10
2.1.4. Virus, Sâu và Trojan ...................................................................................12
2.2. CÁC BƯỚC TẤN CÔNG VÀ THÂM NHẬP HỆ THỐNG...........................13
2.3. MÔ PHỎNG TẤN CÔNG VÀ THÂM NHẬP ...............................................17
2.3.1. Thu thập thông tin .......................................................................................17
2.3.2. Tấn công từ chối dịch vụ.............................................................................17
2.3.3. Thâm nhập qua Trojan................................................................................18
2.3.4. Thâm nhập qua lỗ hổng bảo mật ................................................................19
CHƯƠNG 3.THIẾT BỊ NGĂN CHẶN TẤN CÔNG VÀ
THÂM NHẬP ....................................................................22
3.1. CÁC KHÁI NIỆM CƠ BẢN...........................................................................22
3.2. THIẾT BỊ IPS PROVENTIA G200 ................................................................25
3.3. SITEPROTECTOR SYSTEM........................................................................27
3.3.1. SiteProtector System là gì? .........................................................................27
3.3.2. Quá trình thiết lập hệ thống SiteProtector .................................................29
3.4. CÀI ĐẶT VÀ CẤU HÌNH IPS .......................................................................31
3.4.1. Cài đặt.........................................................................................................31
3.4.2. Cấu hình hình thái hoạt động .....................................................................31
3.4.3. Cấu hình sự kiện an ninh ............................................................................32
3.4.4. Cấu hình phản hồi.......................................................................................35
3.4.5. Cấu hình tường lửa .....................................................................................42
3.4.6. Cấu hình protection domain .......................................................................44
3.4.7. Cấu hình cảnh báo ......................................................................................46
3.5. NGĂN CHẶN TẤN CÔNG ĐÃ MÔ PHỎNG BẰNG IPS ............................48
3.5.1. Ngăn chặn các hình thức thu thập thông tin...............................................48
3.5.2. Ngăn chặn tấn công DoS ............................................................................49
3.5.3. Ngăn chặn thâm nhập qua backdoor – trojan ............................................50
3.5.4. Ngăn chặn thâm nhập qua lỗ hổng bảo mật ...............................................50
3.6. TRIỂN KHAI THỰC TẾ ................................................................................51
CHƯƠNG 4. CÁC KẾT QUẢ ĐÃ ĐẠT ĐƯỢC VÀ ĐỊNH
HƯỚNG NGHIÊN CỨU TƯƠNG LAI ...........................58
4.1. KẾT QUẢ ĐẠT ĐƯỢC..................................................................................58
4.2. ĐỊNH HƯỚNG NGHIÊN CỨU TRONG TƯƠNG LAI ................................58
PHỤ LỤC A .......................................................................60
PHỤ LỤC B .......................................................................63
PHỤ LỤC C .......................................................................65
PHỤ LỤC D .......................................................................68
PHỤ LỤC E .......................................................................72
1
BẢNG KÍ HIỆU VÀ CHỮ VIẾT TẮT
Kí hiệu và viết tắt Giải thích
ĐHQGHN Đại học Quốc gia Hà Nội
IDS/IPS Hệ thống phát hiện/ngăn chặn thâm nhập
VNUnet Hệ thống mạng Đại học Quốc gia Hà Nội
Proventia G 200 Tên dòng thiết bị IDS/IPS của hãng IBM
DANH SÁCH BẢNG
Bảng 1 – Thuật ngữ IDS/IPS.........................................................................................22
Bảng 2 – Hình thái hoạt động........................................................................................36
Bảng 3 – Phản hồi email................................................................................................36
Bảng 4 – Phản hồi Log Evidence ..................................................................................37
Bảng 5 – Phân loại cách ly ............................................................................................37
Bảng 6 – Phản hồi cách ly .............................................................................................38
Bảng 7 – Phản hồi SNMP..............................................................................................38
Bảng 8 – Phản hồi User Specified.................................................................................39
2
DANH SÁCH HÌNH MINH HỌA
Hình 1 – Sơ đồ kết nối logic của VNUnet..................................................................................5
Hình 2 - Minh họa trình tự tấn công.........................................................................................14
Hình 3 - Giao diện DoSHTTP ..................................................................................................17
Hình 4 - Giao diện smurf attack ...............................................................................................18
Hình 5 - Giao diện client trojan beast.......................................................................................18
Hình 6 - Lỗi trong dịch vụ RPC ...............................................................................................19
Hình 7 - Giao diện metasploit ..................................................................................................20
Hình 8 - Giao diện metasploit (2).............................................................................................21
Hình 9 – Security Events ..........................................................................................................34
Hình 10 – Response Filters.......................................................................................................42
Hình 11 – Protection Domain...................................................................................................45
Hình 12 - Protection Domain ...................................................................................................46
Hình 13 - Mức độ nghiêm trọng của thông báo .......................................................................47
Hình 14 - Minh họa thông báo .................................................................................................47
Hình 15 - Ngăn chặn thu thập thông tin ...................................................................................48
Hình 16 – Đánh dấu cảnh báo SYNFlood ................................................................................49
Hình 17 –Ngăn chặn tấn công SYNFlood và Smurf Attack (Ping sweep)...............................50
Hình 18 - Ngăn chặn thâm nhập qua trojan Beast....................................................................50
Hình 19 – Đánh dấu cảnh báo MSRPC_RemoteActive_Bo ....................................................51
Hình 20 - Ngăn chặn tấn công qua lỗ hổng MSRPC RemoteActive........................................51
Hình 21 – Mô hình mạng VNUnet ...........................................................................................52
Hình 22 – Sơ đồ triển khai IPS.................................................................................................53
Hình 23 – Khi có tấn công hoặc thâm nhập thì gửi mail cho cán bộ TTMT............................54
Hình 24 - Mô hình mạng VNUnet sau khi triển khai hệ thống IDS/IPS..................................55
Hình 25 - Hệ thống IPS gửi mail cho người quản trị ...............................................................56
Hình 26 - Các dò quét và tấn công thực tế ...............................................................................57
Hình 27 – Các hành vi khai thác điểm yếu an ninh..................................................................60
Hình 28 - Xu hướng phishing sắp tới .......................................................................................61
Hình 29 - Minh họa smurf attack .............................................................................................65
Hình 30 - Minh họa tấn công SYNFlood .................................................................................66
Hình 31 - Sơ đồ kết nối logic ...................................................................................................74
Hình 32 – Mô hình tổ chức.......................................................................................................75
3
MỞ ĐẦU
Với sự phát triển nhanh chóng của công nghệ và thông tin trên Internet, việc bảo
vệ an ninh mạng ngày càng quan trọng và có tính thời sự hàng ngày. Để chống lại tin
tặc ngày càng phát triển, đã có các ứng dụng phần mềm để hỗ trợ cùng với các thiết bị
phần cứng nhằm hạn chế các tác hại của virus và các hoạt động xâm nhập trái phép.
Khoá luận đề cập đến giải pháp phát hiện sớm và ngăn chặn tấn công, có ý nghĩa
khoa học là một trong những giải pháp mới và có hiệu quả cao, với thực tiễn có triển
khai cài đặt để bảo vệ hệ thống, chống lại được các tấn công mô phỏng, có thể sử dụng
để bảo đảm an ninh mạng ở một mức khá cao.
Đối tượng nghiên cứu là các hình thức tấn công thâm nhập và thiết bị phát hiện
ngăn chặn, cụ thể là sử dụng một thiết bị chuyên dụng (IDS/IPS) của IBM: Proventia
G200 trên hệ thống mạng của Trường Đại học Quốc gia.
Phương pháp nghiên cứu là tìm hiểu tài liệu trên mạng, tham khảo ý kiến các
chuyên gia, mô phỏng hệ thống, thiết lập cấu hình và vận hành thiết bị, thử nghiệm
trong môi trường VNUnet, sau đó có đánh giá và nhận xét.
Nội dung nghiên cứu bao gồm các vấn đề an ninh mạng, khảo sát hiện trạng hệ
thống mạng của Trường Đại học Quốc gia, các hình thức tấn công thâm nhập và thiết
bị phát hiện ngăn chặn, các bước cài đặt, cầu hình và vận hành thử nghiệm. Phần kết
luận nêu các kết quả đạt được, đánh giá và định hướng nghiên cứu tương lai có thể
được phát triển từ kết quả của khoá luận.
4
CHƯƠNG 1. AN NINH MẠNG VÀ HỆ THỐNG MẠNG VNUNET
1.1. AN NINH MẠNG
Theo các báo cáo an ninh năm 2007 và 2008 – phụ lục A và B, vấn đề đe dọa an
ninh hiện nay càng ngày càng nghiêm trọng. Có thể thấy rõ mức tăng đột biến của các
nguy cơ mạng như tấn công từ xa, spam hay phising. Thêm vào đó, các lỗ hổng bảo
mật ngày càng được phát hiện nhiều hơn trong khi người dùng vẫn chưa ý thức được
việc cập nhật đầy đủ các bản vá.
Chỉ vừa trong một thời gian ngắn về trước, tường lửa có thể ngăn chặn được hầu
hết các tấn công. Tuy nhiên, với sự phát triển ngày càng mạnh của ứng dụng nền Web
và worm, hầu hết các mạng hiện nay đều không an toàn kể cả với tường lửa và phần
mềm quét virus. Tường lửa giờ đây chỉ hiệu quả đối với những tấn công DoS phổ
thông hay những lỗ hổng bình thường, nó khó có thể ngăn chặn những tấn công dựa
trên tầng ứng dụng và worm.
Không chỉ lớp mạng ngoài bị tấn công mà kể cả những tài nguyên của mạng
trong – bao gồm nhiều những vùng tài nguyên nội bộ giá trị, những vùng lộ ra trên
Internet cũng đều bị khai thác và gây cho cơ quan và công ty nhiều thiệt hại. Vì vậy,
các thiết bị phát hiện và chống thâm nhập ngày càng trở nên cần thiết trong các cơ
quan và công ty hiện nay.
Hiện giờ có nhiều thiết bị phát hiện thâm nhập phổ biến như Internet Security
Systems (ISS), Lancope StealthWatch, Snort, và StillSecure Border Guard. Trong số
đó, sản phẩm của ISS có tiếng vang lớn nhất. Hiện nay, ngoài tính năng phát hiện thâm
nhập, các sản phẩm của hãng này đã được thêm vào tính năng ngăn chặn thâm nhập
thậm chí còn trước cả khi chúng đến được máy mục tiêu.
Để có thể quản trị và phát triển một hệ thống mạng an ninh tốt và bảo mật cao,
một yêu cầu hiện nay đối với những người quản trị là hiểu biết các tấn công và thâm
nhập, đồng thời biết cách ngăn chặn chúng.
1.2. HỆ THỐNG MẠNG VNUNET [4]
1.2.1. Khái quát về hiện trạng hệ thống mạng VNUNet
Phần này sẽ được đề cập chi tiết trong phụ lục E – Khảo sát hiện trạng hệ thống
mạng VNUnet. Ta có thể tóm tắt một số ý chính như sau :
• Hệ thống mạng ĐHQGHN là một hệ thống mạng có quy mô trung bình.
5
• Các VNUnet đã có hệ thống đường truyền thông khá tốt
• Kiến trúc phân tầng của mạng còn đơn giản, không ổn định làm giảm hiệu suất
mạng, gây lãng phí lớn các đầu tư tài nguyên của ĐHQGHN, gây ức chế tâm lý
người dùng, làm xuất hiện tư tưởng kết nối phân tán ra bên ngoài, đặt website ra
bên ngoài.
• Sử dụng không gian địa chỉ giả lập với thiết bị Proxy. Hệ thống an ninh và an
toàn rất yếu kém.
Hình 1 – Sơ đồ kết nối logic của VNUnet
1.2.2. Mục tiêu phát triển hệ thống mạng VNUnet
Để án phát triển mạng VNUnet đã đưa ra các mục tiêu cần phát triển như sau :
• Là mạng tích hợp đa dịch vụ: data (web 2.0, wap, Mail, SMS, MMS, e-
Document, ...), voice, DVD video, ...
Router
3600
INTERNET TEIN2 VINAren
CPNET
112
Catalyst
2950
Catalyst
4507
203.113.130.192/27
172.16.0.0/16
Đ
H
N
go
ại
n
gữ
Đ
H
K
in
h
tế
,
K
ho
a
Lu
ật
,
V
iệ
n
C
N
S
H
V
iệ
n
C
N
TT
Đ
H
K
H
TN
Đ
H
K
H
X
H
-N
V
Th
ư
v
iệ
n
TĐ
K
TX
M
ễ
Tr
ì
K
ho
a
Q
TK
D
TT
PT
H
ệ
th
ốn
g,
K
ho
a
S
P,
K
ho
a
S
Đ
H
V
P
Đ
H
Q
G
H
N
TRƯỜNG
ĐH CÔNG
NGHỆ
Với hệ
thống thiết
bị ghép nối
mạng riêng
Tr
un
g
tâ
m
T
TT
V
10.1.0.0/16 10.10.0.0/16
Cáp quang
TT
Đ
ào
t
ạo
t
ừ
x
a
Proxy Web Mail
6
• Là mạng cung cấp các ứng dụng trực tuyến, dịch vụ chia sẻ cộng đồng trực
tuyến phục vụ trực tiếp công tác quản lý, nghiên cứu khoa học và đào tạo. Làm
giảm kinh phí đầu tư, tăng cường hiệu suất khai thác các tài nguyên chia sẻ của
cá nhân, tập thể trên toàn hệ thống.
• Cung cấp đầy đủ các tư liệu, tạp chí điện tử theo nhu cầu người dùng.
• Có trung tâm dữ liệu mạnh.
• Hệ thống xương sống cáp quang đạt băng thông 10 Gbps, băng thông đến người
dùng cuối 1Gbps.
• Hệ thống kết nối không dây phục vụ các thiết bị xử lý thông tin di động phủ
khắp môi trường làm việc, học tập của ĐHQGHN, kể cả các ký túc xá.
• Phổ cập Video Conferencing phục vụ công tác đào tạo từ xa và tiếp nhận bài
giảng từ xa.
• Kết nối với bên ngoài ổn định, tốc độ cao theo nhiều hướng Lease line, Vệ tinh,
đảm bảo truy cập các tài nguyên bên ngoài một cách nhanh chóng như trên một
desktop ảo.
• Có giải pháp backup toàn bộ hệ thống và giải pháp an toàn điện hiệu quả.
• Có giải pháp quản lý giám sát một cách chuyên nghiệp để mạng hoạt động
thông suốt, ổn định, hiệu quả.
• Có giải pháp đảm bảo an toàn, an ninh chống thâm nhập, phá hoại, chống truy
cập trái phép.
• Hỗ trợ cán bộ, giảng viên có thể truy cập vào mạng nội bộ từ xa.
Để hoàn thành những mục tiêu đã đề ra này, việc nghiên cứu triển khai các công
nghệ tiên tiến trên thế giới là một vấn đề vô cùng cần thiết. Trong đó công việc quản
trị và đảm bảo an toàn, an ninh cho hệ thống mạng VNUnet phải được đặt lên hàng
đầu. Để xây dựng hệ thống an ninh mạng VNUnet, việc triển khai thiết bị phát hiện và
ngăn chặn thâm nhập IDS/IPS là một khâu quan trọng. Do đó, khóa luận này có ý
nghĩa thực tế rất lớn trong việc phát triển mạng Đại học quốc gia Hà Nội.
7
CHƯƠNG 2. TẤN CÔNG VÀ THÂM NHẬP
2.1. KIẾN THỨC CƠ SỞ
Để đảm bảo được an ninh mạng ngày nay, cần phải hiểu biết chi tiết về các vấn
đề liên quan đến an ninh. Đặc biệt là các khái niệm như thâm nhập, tấn công. Phần này
sẽ trình bày lý thuyết nền tảng về an ninh liên quan trực tiếp tới hệ thống IDS/IPS
được nói tới trong khóa luận.
2.1.1. Thâm nhập [9]
Một thâm nhập có thể coi như là một sự chiếm giữ hệ thống từ những người quản
trị. Thâm nhập có thể được thực hiện bởi “người bên trong” (những người có tài khoản
người dùng hợp lệ trong hệ thống) và họ dùng lỗ hổng của hệ điều hành để nâng cấp
quyền của họ. Thâm