Luận văn Xây dựng phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng cho hệ thống

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ TÊN ĐỀ TÀI: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG Giảng viên hướng dẫn : Thầy Lộc Đức Huy Nhóm sinh viên thực hiện : Nguyễn Đức Tú Nguyễn Vương Huy Lớp : VT071A Tháng 06 / 2010 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ TÊN ĐỀ TÀI: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG Giảng viên hướng dẫn : Thầy Lộc Đức Huy Nhóm sinh viên thực hiện : Nguyễn Đức Tú Nguyễn Vương Huy Lớp : VT071A Tháng 06 / 2010 Ngày nộp báo cáo Người nhận báo cáo (ký tên, ghi rõ họ và tên) i TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP 1. Mỗi sinh viên phải viết riêng một báo cáo 2. Phiếu này phải dán ở trang đầu tiên của báo cáo Họ tên sinh viên/nhóm sinh viên thực hiện đề tài: (Sĩ số sinh viên trong nhóm : 2) 1) SV1 : Nguyễn Đức Tú ................................... Lớp : VT071A ......................... 2) SV2 : Nguyễn Vương Huy ............................ Lớp : VT071A ......................... Ngành: Mạng máy tính Tên đề tài: Xây dựng các phương thức giám sát, ghi nhận các sự kiện và đánh giá hiệu năng cho hệ thống ..................................................................................................................................... ..................................................................................................................................... * Các dữ liệu ban đầu:  ISA Server 2006 ( Forefront security )  Window Server 2003, PCs, v..v.. * Các yêu cầu đặc biệt:  Mô phỏng mạng bằng Solarwind  Thiết kế hệ thống mạng giả định  .......................................................................................................................... * Các kết quả tối thiểu phải có:  Ghi nhận, kiểm soát đánh chặn và tối ưu hóa hệ thống mạng  .......................................................................................................................... Ngày giao đề tài: 15/03/2010 Họ và tên GV hướng dẫn: Lộc Đức Huy Chữ ký:.............................. ii TÓM TẮT Trong vòng 14 tuần thực hiện đề tài “Tìm hiểu xây dựng các phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng hệ thống” chúng tôi đã đạt được các kết quả sau: - Nắm bắt và hiểu rõ các khái niệm về bảo mật, giám sát thông tin, các thành phần của một hệ thống giám sát và tường lửa. - Qui trình xây dựng một hệ thống giám sát. - Triển khai những hệ thống giám sát, ghi nhận sự kiện hệ thống như Audit, Snort, Forefront TMG 2010. - Đánh giá hiệu năng làm việc và các yếu tố ảnh hưởng của từng mô hình hệ thống. iii LỜI CẢM ƠN Chúng tôi chân thành cảm ơn tới các thầy cô trong văn phòng khoa Khoa Học – Công Nghệ, trường Đại học Hoa Sen đã tạo điều kiện cho chúng tôi có cơ hội thực hiện đề tài này, cũng như luôn cập nhật và gửi những thông tin liên quan về quá trình thực hiện đề tài. Bên cạnh đó, là sự hỗ trợ nhiệt tình, tư vấn hiệu quả từ giảng viên hướng dẫn – thầy Lộc Đức Huy, và cũng không quên gửi lời cảm ơn tới các anh phụ trách phòng máy. iv NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. v MỤC LỤC PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP ........................................................ i TÓM TẮT ................................................................................................................. ii LỜI CẢM ƠN .......................................................................................................... iii NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN................................................... iv MỤC LỤC ................................................................................................................. v DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU ........................................................ x ĐẶT VẤN ĐỀ ........................................................................................................... 1 1. Lý Do Chọn Đề Tài ........................................................................................... 1 2. Mục Tiêu Đạt Được Sau Đề Tài ....................................................................... 1 PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN............................................................ 2 3. Tổng Quan Về Bảo Mật Thông Tin ................................................................. 2 3.1 Khái quát bảo mật thông tin ........................................................................... 2 3.2 Các loại tấn công cơ bản ................................................................................ 2 3.3 Nhiệm vụ của người quản trị ......................................................................... 3 4. Tổng Quan Giám Sát Thông Tin...................................................................... 4 4.1 Khái quát giám sát thông tin .......................................................................... 4 4.2 Mục đích ....................................................................................................... 4 4.3 Lợi ích của việc giám sát thông tin ................................................................ 4 4.4 Vai trò của giám sát thông tin ........................................................................ 5 5. Nguyên Tắc Về Bảo Mật Thông Tin ................................................................ 8 5.1 Chiến lược bảo mật hệ thống ......................................................................... 8 5.2 An ninh bảo mật mạng ................................................................................... 9 PHẦN II: CÁC THÀNH PHẦN GIÁM SÁT HỆ THỐNG .................................. 11 vi 6. Hệ Thống IDS Và IPS ..................................................................................... 11 6.1 IDS (Hệ thống phát hiện xâm nhập) ............................................................. 11 6.1.1 Kiến trúc của hệ thống IDS ................................................................... 11 6.1.2 Phân loại IDS ........................................................................................ 12 6.1.3 Các cơ chế phát hiện xâm nhập ............................................................. 15 6.2 IPS (Hệ thống ngăn chặn xâm nhập) ............................................................ 17 6.2.1 Kiến trúc hệ thống IPS .......................................................................... 17 6.2.2 Phân loại IPS ........................................................................................ 19 6.2.3 Phân loại triển khai IPS ......................................................................... 20 6.2.4 Công nghệ ngăn chặn xâm nhập IPS ..................................................... 21 6.3 Đối chiếu IDS và IPS................................................................................... 24 7. Tìm Hiểu Về Hệ Thống Firewall .................................................................... 25 7.1 Chức Năng .................................................................................................. 25 7.2 Các thành phần và cơ chế hoạt động của Firewall ........................................ 25 7.2.1 Bộ lọc packet (packet-filtering router) ................................................... 25 7.2.2 Cổng ứng dụng (application-level-gateway) .......................................... 26 7.2.3 Cổng vòng (Circuit level Gateway) ....................................................... 27 7.3 Những hạn chế của firewall ......................................................................... 27 7.4 Các ví dụ Firewall ....................................................................................... 28 7.5 Các kiểu tấn công ........................................................................................ 30 7.5.1 Tấn công từ chối dịch vụ (Denial of Service Attacks) ........................... 30 7.5.2 Giả mạo danh tính ................................................................................. 32 7.5.3 Tấn công SMB ...................................................................................... 34 8. CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN HIỆU NĂNG HỆ THỐNG .................. 36 PHẦN III: TRIỂN KHAI CÁC MÔ HÌNH HỆ THỐNG ..................................... 37 vii 9. Audit Policies................................................................................................... 37 9.1 Khái quát về các chính sách giám sát sự kiện ............................................... 37 9.2 Các hạng mục trong Event Viewer .............................................................. 39 9.2.1 Custom view ......................................................................................... 39 9.2.2 Windows logs ....................................................................................... 40 9.2.3 Applications and Services Logs ............................................................ 41 9.3 Xây dựng và triển khai mô hình mạng ......................................................... 42 9.3.1 Mô hình lab thực hiện ........................................................................... 42 9.4 Thiết lập các chính sách giám sát ................................................................. 42 9.4.1 Application log ..................................................................................... 42 9.4.2 Audit account logon events ................................................................... 43 9.4.3 Audit account management ................................................................... 45 9.4.4 Audit directory service access ............................................................... 48 9.4.5 Audit logon events ................................................................................ 50 9.4.6 Audit object access ............................................................................... 52 9.4.7 Audit policy change .............................................................................. 56 9.4.8 Audit privilege use ................................................................................ 57 9.4.9 Audit process tracking .......................................................................... 58 9.4.10 Audit system events ........................................................................... 61 9.5 Giám sát hệ thống bằng command-line ........................................................ 62 9.6 Nhận xét ...................................................................................................... 64 10. Xây dựng hệ thống giám sát với SNORT..................................................... 65 10.1 Giới thiệu Snort ........................................................................................ 65 10.2 Cấu trúc của Snort .................................................................................... 65 10.3 Các chế độ hoạt động của Snort................................................................ 67 viii 10.3.1 Snort hoạt động như một Sniffer ........................................................ 67 10.3.2 Snort là một Packet Logger ................................................................ 70 10.3.3 Snort là một NIDS ............................................................................. 70 10.4 Khái quát về Rules ................................................................................... 71 10.4.1 Cấu trúc của một rule ......................................................................... 71 10.4.2 Cấu trúc của phần Header .................................................................. 72 10.4.3 Cấu trúc của phần Options ................................................................. 73 10.5 Hiện thị cảnh báo ..................................................................................... 74 10.6 Hiệu năng của Snort ................................................................................. 75 10.7 Mô hình triển khai Snort .......................................................................... 78 10.8 Tấn công trong mạng nội bộ ..................................................................... 79 10.8.1 Tấn công ARP Cache......................................................................... 80 10.8.2 Tấn công SMB................................................................................... 81 10.8.3 Tấn công Smurf attack ...................................................................... 82 10.8.4 Tấn công Land attack ......................................................................... 82 10.8.5 Tấn công Dos với HTTP Post ............................................................ 82 10.8.6 Một số rule cảnh báo.......................................................................... 82 10.9 Nhận xét ................................................................................................... 83 11. Xây dựng hệ thống giám sát với Forefront TMG ........................................ 84 11.1 Tìm hiểu tổng quan Forefront TMG ......................................................... 84 11.1.1 Một số tính năng mới trong Forefront TMG: ..................................... 84 11.1.2 Đặc điểm của Forefront TMG: ........................................................... 85 11.2 Mô hình triển khai .................................................................................... 86 11.2.1 Thiết lập chính sách tường lửa ........................................................... 87 11.2.2 Phát hiện và ngăn chặn tấn công ........................................................ 89 ix 11.2.3 Giám sát luồng giao thông ................................................................. 93 11.2.4 Theo dõi tổng quan và hiệu suất hệ thống .......................................... 96 11.2.5 Thiết lập báo cáo việc giám sát cho hệ thống ..................................... 97 11.3 Nhận xét ................................................................................................. 100 KẾT LUẬN ........................................................................................................... 101 PHỤ LỤC SNORT................................................................................................ 102 PHỤ LỤC FOREFRONT..................................................................................... 121 TÀI LIỆU THAM KHẢO .................................................................................... 124 x DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU Hình 1. Kiến trúc IDS ............................................................................................... 11 Hình 2. IDS dựa trên host. ........................................................................................ 13 Hình 3. IDS dựa vào mạng........................................................................................ 14 Hình 4. Xây dựng hệ thống với IPS. ......................................................................... 17 Hình 5. Hệ thống Promiscuous mode IPS ................................................................. 20 Hình 6. Hệ thống In-line IPS .................................................................................... 21 Hình 7. Hệ thống Signature-based IPS ...................................................................... 21 Hình 8. Hệ thống Anomaly-based IPS ...................................................................... 22 Hình 9. Hệ thống policy – based IPS ........................................................................ 23 Hình 10. Bộ lọc ứng dụng. ........................................................................................ 26 Hình 11. Cơ chế cổng vòng. ..................................................................................... 27 Hình 12. Single-Homed Bastion Host. ...................................................................... 29 Hình 13. Dual-Homed Bastion Host ......................................................................... 29 Hình 14. Mô hình vùng phi quân sự. ......................................................................... 30 Hình 15. Land Attack ............................................................................................... 31 Hình 16. Smurf Attack .............................................................................................. 32 Hình 17. Giả mạo ARP Cache .................................................................................. 34 Hình 18. Hộp thoại Create Custom View. ................................................................. 39 Hình 19. Khung nhìn hiển thị kết quả xuất hiện dưới Custom Views ........................ 40 Hình 20. Mô hình Lab triển khai ............................................................................... 42 Hình 21. Các chính sách giám sát ............................................................................. 43 Hình 22. Thiết lập chính sách giám sát ..................................................................... 43 xi Hình 23.Tài khoản đă