Nghiên cứu hệ thống giám sát, chống tấn công mạng

  • Số trang: 84 |
  • Loại file: PDF |
  • Lượt xem: 12 |
  • Lượt tải: 0
nhattuvisu

Đã đăng 26946 tài liệu

Mô tả:

~ i ~ ĐẠI HỌC THÁI NGUYÊN ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG Lê Mỹ Trƣờng Thái Nguyên, 2015 Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ ii ~ LỜI CAM ĐOAN Học viên xin cam đoan luận văn “ là công trình nghiên cứu của chính bản thân học viên. Các nghiên cứu trong luận văn này dựa trên những tổng hợp kiến thức lý thuyết đã đƣợc học, và sự hiểu biết thực tế dƣới sự hƣớng dẫn khoa học của Thầy giáo TS. Hồ Văn Hƣơng. Các tài liệu tham khảo đƣợc trích dẫn đầy đủ nguồn gốc. Học viên xin chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của mình. Thái Nguyên, ngày 20 tháng 8 năm 2015 Học viên thực hiện Lê Mỹ Trƣờng Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ iii ~ LỜI CẢM ƠN Trƣớc hết học viên cũng xin gửi lời cảm ơn tới các thầy cô giáo trƣờng Đại học Công nghệ thông tin và Truyền thông - Đại học Thái Nguyên nơi các thầy cô đã tận tình truyền đạt các kiến thức quý báu cho học viên trong suốt quá trình học tập. Xin cảm ơn các cán bộ nhà trƣờng đã tạo điều kiện tốt nhất cho học viên học tập và hoàn thành luận văn này. Đặc biệt, học viên xin đƣợc gửi lời cám ơn đến thầy giáo hƣớng dẫn học viên TS Hồ Văn Hƣơng - Ban cơ yếu Chính phủ, thầy đã tận tình chỉ bảo giúp đỡ học viên trong suốt quá trình nghiên cứu để hoàn thành luận văn. Cuối cùng cho phép tôi xin cảm ơn Lãnh đạo, đồng nghiệp, bạn bè, gia đình đã giúp đỡ, động viên ủng hộ tôi rất nhiều trong toàn bộ quá trình học tập cũng nhƣ nghiên cứu để hoàn thành luận văn này. Thái Nguyên, ngày 20 tháng 8 năm 2015 Học viên thực hiện Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ iv ~ MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN DANH MỤC CÁC HÌNH ẢNH DANH MỤC CÁC BẢNG BIỂU Trang MỞ ĐẦU .....................................................................................................................1 1. Đặt vấn đề ...............................................................................................................1 2. Mục tiêu nghiên cứu ................................................................................................1 3. Đối tƣợng và phạm vi nghiên cứu ...........................................................................2 4. Phƣơng pháp nghiên cứu .........................................................................................2 5. Ý nghĩa khoa học của đề tài ....................................................................................2 6. Bố cục của luận văn ................................................................................................2 CHƢƠNG 1. TỔNG QUAN AN NINH MẠNG ........................................................3 1.1. Tình hình an ninh mạng hiện nay ....................................................................3 1.2. Các yếu tố đảm bảo an toàn thông tin ..............................................................3 1.3. Các mối đe dọa đến an toàn thông tin ..............................................................3 1.4. Các lỗ hổng hệ thống .......................................................................................4 1.4.1. Các lỗ hổng loại C ..................................................................................4 1.4.2. Các lỗ hổng loại B ..................................................................................4 1.4.3. Các lỗ hổng loại A ..................................................................................5 1.5. Các nguy cơ mất an toàn thông tin ..................................................................5 1.5.1. Kiểu tấn công thăm dò. ..........................................................................5 1.5.2. Kiểu tấn công truy cập ...........................................................................5 1.5.3. Kiểu tấn công từ chối dịch vụ ................................................................6 1.6. Giải pháp an ninh mạng ...................................................................................7 ..........................................7 1.6.2. Hai phƣơng thức giám sát Poll và Alert .................................................7 ---------------------------------------------------------------- 7 Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ v ~ 1.6.2.2. Phƣơng thức Alert ---------------------------------------------------------- 7 1.6.2.3. So sánh phƣơng thức Poll và Alert ------------------------------------------ 8 1.6.3. Giao thức quản lý giám sát mạng SNMP ...............................................9 ------------------------------------------------------------------------------- 9 ------------------------------------------------ 10 --------------------------------------------------- 10 1.6.4. Kiến trúc giao thức SNMP ...................................................................11 ----------------------------------------- 11 1.6.4.2. ObjectID ------------------------------------------------------------------------- 11 1.6.4.3. Object access ------------------------------------------------------------------- 13 1.6.4.4. Cơ sở thông tin quản trị MIB ----------------------------------------------- 14 1.6.5. Các phƣơng thức của SNMP ................................................................15 1.6.5.1. GetRequest ---------------------------------------------------------------- 15 1.6.5.2. SetRequest----------------------------------------------------------------- 16 1.6.5.3. GetResponse -------------------------------------------------------------- 16 1.6.5.4. Trap ------------------------------------------------------------------------ 16 1.6.6. Các cơ chế bảo mật cho SNMP ............................................................17 1.6.6.1. Community string -------------------------------------------------------- 17 1.6.6.2. View------------------------------------------------------------------------ 17 1.6.6.3. SNMP access control list ------------------------------------------------ 17 1.6.6.4. RMON --------------------------------------------------------------------- 18 1.6.7. Cấu trúc bản tin SNMP ........................................................................18 1.6.8. Hệ thống phát hiện và ngăn chặn xâm nhập mạng (IDS/IPS)..............18 1.6.8.1. Giới thiệu về IDS/IPS --------------------------------------------------- 18 1.6.8.2. Các thành phần và chức năng của IDS/IPS --------------------------- 19 1.6.8.3. Phân loại IDS ------------------------------------------------------------- 20 1.6.8.4. Cơ chế hoạt động của hệ thống IDS/IPS ------------------------------ 23 CHƢƠNG 2. NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG .......................................................................................................................26 2.1. Giới thiệu chung ............................................................................................26 2.2. Bộ công cụ giám sát mạng – Cacti ................................................................26 2.2.1. Kiến trúc của Cacti ...............................................................................26 Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ vi ~ 2.2.2. Nguyên tắc hoạt động ...........................................................................28 2.2.3. Các tính năng chính ..............................................................................29 2.2.4. Lƣu trữ và xử lý dữ liệu trong hệ thống giám sát mạng Cacti .............32 2.3. Bộ công cụ chống tấn công mạng - Snort ......................................................34 2.3.1. Kiến trúc của Snort ...............................................................................34 2.3.1.1. Module giải mã gói tin -------------------------------------------------- 35 2.3.1.2. Module tiền xử lý -------------------------------------------------------- 36 2.3.1.3. Module phát hiện --------------------------------------------------------- 38 2.3.1.4. Module log và cảnh báo ------------------------------------------------- 39 2.3.1.5. Module kết xuất thông tin ----------------------------------------------- 39 2.3.2. Bộ luật của Snort ..................................................................................40 2.3.2.1. Phần tiêu đề --------------------------------------------------------------- 40 2.3.2.2. Các tùy chọn -------------------------------------------------------------- 43 2.3.3. Chế độ ngăn chặn của Snort: Snort – Inline .........................................46 2.3.3.1. Các chế độ thực thi của Snort ------------------------------------------ 46 2.3.3.2. Nguyên lý hoạt động của inline mode --------------------------------- 47 CHƢƠNG 3. NGHIÊN CỨU ỨNG DỤNG MÃ NGUỒN MỞ CACTI VÀ SNORT ...................................................................................................................................49 3.1. Giới thiệu về hệ thống giám sát, chống tấn công mạng .................................49 3.2. Xây dựng mô hình giả lập để thử nghiệm giám sát, chống tấn công mạng...49 3.2.1. Mô hình mạng trƣờng ...........................................................................49 3.2.2. Đề xuất mô hình ...................................................................................50 3.2.3. Mô hình mạng thử nghiệm. ..................................................................51 3.2.4. Triển khai thử nghiệm giám sát mạng ..................................................51 3.2.5. Triển khai thử nghiệm chống tấn công mạng. ......................................60 3.2.5.1. Cấu hình Snort ------------------------------------------------------------ 60 3.2.5.2. Chƣơng trình Snort ------------------------------------------------------- 64 3.3. Đánh giá kết quả thực nghiệm .......................................................................70 3.4. Kết quả thử nghiệm đạt đƣợc. ........................................................................71 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ................................................................73 TÀI LIỆU THAM KHẢO .........................................................................................74 Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ vii ~ DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN FTP File Tranfer Protocol Giao thức truyền tập tin HTTP Hyper Text Tranfer Protocol Giao thức truyền tải siêu văn bản IP Internet Protocol Giao thức mạng MIB Management Information Base Cơ sở thông tin quản lý OID Object Identifier Định danh đối tƣợng LAN Local Area Network Mạng cục bộ SNMP Simple Network Managerment Giao thức quản lý mạng đơn giản Protocol IDS Intrusion Detection System Hệ thống phát hiện xâm nhập IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập H-IDS Host Based Intrusion Detection Hệ thống phát hiện xâm nhập máy System chủ nhân N-IDS Network Based Intrusion Detection Hệ thống phát hiện xâm nhập mạng System VPN Vitual Private Network Mạng riêng ảo CPU Central Processing Unit Đơn vị xử lý trung tâm DOS Denial of Service Từ chối dịch vụ DDOS Distributed Denial of Service Phân phối từ chối dịch vụ TCP Transmission Control Protocol Giao thức kiểm soát UDP User Datagram Protocol Giao thức sử dụng dữ liệu ICMP Internet Control Message Protocol Giao thức điều khiển thông điệp Internet MAC Media Access Controllers Bộ điều khiển truy cập truyền thông PDU Protocol Data Unit Giao thức dữ liệu đơn vị Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ viii ~ DANH MỤC CÁC HÌNH ẢNH Trang Hình 1.1. Minh họa cơ chế Poll ..................................................................................7 Hình 1.2. Minh họa cơ chế Alert .................................................................................8 Hình 1.3. Trạm quản lý mạng ...................................................................................11 Hình 1.4. Minh họa quá trình lấy sysName.0 ...........................................................13 Hình 1.5. Minh họa MIB tree ..................................................................................14 Hình 1.6. Minh họa các phƣơng thức của SNMPv1……………......……………...17 Hình 1.7. Cấu trúc bản tin SNMP .............................................................................18 Hình 1.8. Các vị trí đặt IDS trong mạng .................................................................19 Hình 1.9. Mô hình NIDS .........................................................................................21 Hình 1.10. Hệ thống kết hợp 2 mô hình phát hiện ...................................................25 Hinh 2.1. Kiến trúc của Cacti ...................................................................................26 Hình 2.2. Các thành phần của hệ quản trị Cacti ........................................................28 Hình 2.3. Hoạt động của hệ quản trị Cacti ................................................................28 Hình 2.4. Biểu đồ trong Cacti ...................................................................................30 Hình 2.5. Weather map trong cacti ..........................................................................31 Hình 2.6. Giám sát trạng thái thiết bị trong Cacti ....................................................31 Hình 2.7. Nguyên lý của cơ sở dữ liệu RRD (RRA) ...............................................33 Hình 2.8. Biểu diễn đồ thị trong RRD. .....................................................................33 Hinh 2.9. Mô hình kiến trúc hệ thống Snort ............................................................34 Hinh 2.10. Quy trình xử lý một gói tin Ethernet ......................................................35 Hình 2.11. Cấu trúc luật của Snort ............................................................................40 Hình 2.12. Header luật của Snort ..............................................................................40 Hình 3.1. Mô hình mạng hiện tại ..............................................................................49 Hình 3.2. Đề xuất mô hình ........................................................................................50 Hình 3.3. Mô hình thử nghiệm ..................................................................................51 Hình 3.4. Màn hình giao diện Cacti khởi động cài đặt .............................................52 Hình 3.5. Màn hình giao diện Cacti kiểm tra các công cụ ........................................53 Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ ix ~ Hình 3.6. Màn hình đăng nhập hệ thống ...................................................................53 Hình 3.7. File SNMP services ...................................................................................54 Hình 3.8. Đặt cấu hình SNMP services ....................................................................54 Hinh 3.9. Thêm thiết bị máy client vào cacti ............................................................55 Hình 3.10. Thêm thiết bị máy 2 vào Cacti ................................................................55 Hình 3.11. Danh sách các nội dung cần giám sát. ....................................................56 Hình 3.12. Lựa chọn thiết bị muốn tạo đồ thị ...........................................................57 Hình 3.13. Đồ thị của máy 2 .....................................................................................57 Hình 3.14. Danh sách các máy có trong cây đồ thị ...................................................58 Hình 3.15. Tình trạng thiết bị trên cây đồ thị (máy 2) ..............................................59 Hình 3.16. Tình trạng thiết bị trên cây đồ thị (máy 7) ..............................................59 Hình 3.17. Giao diện hệ điều hành CentOS 5.4 ........................................................60 Hình 3.18. Giao diện Base ........................................................................................63 Hình 3.19. Phát hiện có máy đang ping ....................................................................64 Hình 3.20. Phát hiện truy cập web ............................................................................65 Hình 3.21. Phát hiện truy cập trang web với IP ........................................................66 Hình 3.22. Tiến hành DDOS vào máy ảo Centos .....................................................67 Hình 3.23. Phát hiện tấn công DDOS .......................................................................68 Hình 3.24. Phát hiện tấn công PORTSCAN .............................................................69 Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ x ~ DANH MỤC CÁC BẢNG BIỂU Bảng 1.1. So sánh hai phƣơng thức Poll và Alert Bảng 1.2. Các phƣơng thức hoạt động của SNMP Bảng 2.1. Các module tiền xử lý Bảng 2.2. Các cờ sử dụng với từ khoá flags Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 1 ~ MỞ ĐẦU 1. Đặt vấn đề An ninh, an toàn thông tin (ATTT) thực sự trở thành vấn đề “nóng” sau một loạt các sự kiện ở tầm quốc gia và quốc tế. Vụ việc các chƣơng trình do thám của Cơ quan An ninh quốc gia Mỹ bị đƣa ra công khai và hàng loạt các vụ tấn công của tin tặc đã khiến nhận thức và mối quan tâm của xã hội đối với vấn đề này càng sâu sắc và rõ nét hơn trong những năm tới. Các chuyên gia an ninh mạng đã đoán trƣớc rằng trong kỷ nguyên Internet di động, vấn đề khủng khiếp nhất sẽ là an ninh, dự đoán này bây giờ đang trở thành thực tế. Trong những năm gần đây, các website trên Internet, cũng nhƣ các dữ liệu của các doanh nghiệp, tổ chức, chính phủ,… đã bị nhiều đợt tấn công của các tội phạm mạng. Đã có nhiều website, hệ thống mạng bị ngƣng hoạt động trong nhiều giờ, nhiều dữ liệu quan trọng đã bị đánh cắp. Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và tác động tiêu cực, ảnh hƣởng trực tiếp đến nhiều cá nhân, công việc kinh doanh của các doanh nghiệp, ảnh hƣởng đến nền an ninh quốc phòng của nhiều quốc gia. Các vụ tấn công mạng ngày càng gia tăng, với nhiều loại hình tấn công và mức độ ngày càng nghiêm trọng. Những kẻ tấn công cũng có nhiều mục đích khác nhau nhƣ: chính trị, tài chính, tôn giáo, gián điệp, khủng bố… nhằm đánh cắp dữ liệu, phá hủy dữ liệu, làm cho hệ thống bị ngƣng hoạt động, hoạt động chậm… Tấn công mạng và chiến tranh không gian mạng ngày càng trở nên nghiêm trọng. Vì vậy v mạng và ứng dụng trong phòng thủ mạng để đảm bảo mạng hoạt động ổn định, bảo đảm an toàn thông tin trên mạng là việc làm rất cần thiết. Giải quyết vấn đề an ninh mạng là việc làm của cả xã hội và là vấn đề cấp bách Với . nhƣ trên, em xin mạnh dạn nghiên cứu và triển khai thành luận văn với đề tài: “ . 2. Mục tiêu nghiên cứu + , chống tấn công mạng mã nguồn mở. + Nghiên cứu triển khai các ứng dụng mã nguồn mở giám sát, chống tấn công mạng (Cacti, Snort). Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 2 ~ 3. Đối tƣợng và phạm vi nghiên cứu - Đối tượng của đề tài: + Một số phƣơng thức giám sát, chống tấn công mạng: Poll, Alert, SNMP, IDS/IPS. + Bộ công cụ mã nguồn mở: Cacti, Snort. - Phạm vi nghiên cứu: + Tìm hiểu về công nghệ, mô hình, giao thức giám sát mạng. + Kiến trúc giám sát mạng mã nguồn mở. + Chức năng, phân loại, cơ chế hoạt động của hệ thống chống tấn công mạng 4. Phƣơng pháp nghiên cứu . , thực nghiệm để chứng minh những nghiên cứu về lý thuyết của đề tài. 5. Ý nghĩa khoa học của đề tài - Về lý thuyết: + Là tài liệu tham khảo về kiến trúc quản trị mạng và phần mềm mã nguồn mở Cacti và Snort. + Nắm vững nội dung nghiên cứu về tổng quan các kiến trúc của hệ thống quản lý hiện tại của mạng, giao thức SNMP và IDS/IPS. - Về thực tiễn: , . 6. Bố cục của luận văn Dựa trên đối tƣợng và phạm vi nghiên cứu, luận văn sẽ đƣợc phân làm 3 chƣơng chính với các nội dung cụ thể nhƣ sau: Chƣơng 1. Tổng quan an ninh mạng Chƣơng 3. Nghiên cứu ứng dụng mã nguồn mở cacti và Snort Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 3 ~ CHƢƠNG 1. TỔNG QUAN AN NINH MẠNG 1.1. Tình hình an ninh mạng hiện nay Các nguy cơ từ mã độc, tấn công từ chối dịch vụ, xu hƣớng “Internet of Things” (khái niệm chỉ các thiết bị kết nối đƣợc với nhau và kết nối với Internet) là “mồi ngon” của tin tặc… sẽ đe dọa tình hình an ninh mạng tại Việt Nam. 1.2. Các yếu tố đảm bảo an toàn thông tin - Tính bí mật: Thông tin phải đảm bảo tính bí mật và đƣợc sử dụng đúng đối tƣợng. - Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc. - Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo đúng mục đích và đúng cách. - Tính chính xác: Thông tin phải chính xác, tin cậy. - Tính không khƣớc từ (chống chối bỏ): Thông tin có thể kiểm chứng đƣợc nguồn gốc hoặc ngƣời đƣa tin. 1.3. Các mối đe dọa đến an toàn thông tin Các mối đe dọa đến an toàn hệ thống là các hành động hoặc các sự kiện/hành vi có khả năng xâm hại đến độ an toàn của một hệ thống thông tin. - Mục tiêu đe dọa tấn công: Chủ yếu là các dịch vụ an ninh Khả năng bảo mật thông tin: Sẽ bị đe dọa nếu thông tin không đƣợc bảo mật. Tính toàn vẹn của thông tin: Đe dọa thay đổi cấu trúc thông tin. Tính chính xác của thông tin: Đe dọa thay đổi nội dung thông tin. Khả năng cung cấp dịch vụ của hệ thống: Làm cho hệ thống không thể cung cấp đƣợc dịch vụ (tính sẵn sàng). Khả năng thống kê tài nguyên hệ thống. - Đối tƣợng đe dọa tấn công: Là chủ thể gây hại đến hệ thống Khả năng đe dọa tấn công của đối tƣợng: Khả năng truy cập để khai thác các lỗ hổng hệ thống tạo ra mối đe dọa trực tiếp. Sự hiểu biết của đối tƣợng về mục tiêu đe dọa tấn công: user ID, file mật khẩu, vị trí file, địa chỉ mạng,… Động cơ tấn công của đối tƣợng: Chinh phục, lợi ích cá nhân, cố tình. - Hành vi đe dọa tấn công: Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 4 ~ Lợi dụng quyền truy nhập thông tin hệ thống. Cố tình hoặc vô tình thay đổi thông tin hệ thống. Truy cập thông tin bất hợp pháp. Cố tình hoặc vô tình phá hủy thông tin hoặc hệ thống. Nghe lén thông tin. Ăn cắp phần mềm hoặc phần cứng. - Phân loại các mối đe dọa: Có mục đích. Không có mục đích. Từ bên ngoài. Từ bên trong. 1.4. Các lỗ hổng hệ thống Hiện nay trên thế giới có nhiều cách phân lọai khác nhau về lỗ hổng của hệ thống mạng. Dƣới đây là cách phân loại sau đây đƣợc sử dụng phổ biến theo mức độ tác hại hệ thống. 1.4.1. Các lỗ hổng loại C Các lỗ hổng loại này cho phép thực hiện các phƣơng thức tấn công theo DoS (Denial of Services – Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hƣởng tới chất lƣợng dịch vụ, có thể làm ngƣng trệ, gián đoạn hệ thống, không làm phá hỏng dữ liệu hoặc đạt đƣợc quyền truy nhập bất hợp pháp. 1.4.2. Các lỗ hổng loại B Các lỗ hổng cho phép ngƣời sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ trung bình. Những lỗ hổng này thƣờng có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép ngƣời sử dụng nội bộ có thể chiếm đƣợc quyền cao hơn hoặc truy nhập không hợp pháp. Ngƣời sử dụng cục bộ đƣợc hiểu là ngƣời đã có quyền truy nhập vào hệ thống với một số quyền hạn nhất định. Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 5 ~ 1.4.3. Các lỗ hổng loại A Các lỗ hổng này cho phép ngƣời sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này thƣờng xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát đƣợc cấu hình mạng. Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên phần mềm sử dụng; ngƣời quản trị nếu không hiểu sâu về dịch vụ và phần mềm sử dụng sẽ có thể bỏ qua những điểm yếu này. 1.5. Các nguy cơ mất an toàn thông tin Cùng với sự phổ cập Internet ngày càng rộng rãi, vấn đề bảo đảm an toàn, an ninh thông tin trên môi trƣờng mạng cũng ngày càng trở nên cấp thiết. Các nguy cơ mất an toàn thông tin đang gia tăng cả về số lƣợng và mức độ nghiêm trọng. Trƣớc các hiểm họa tinh vi và gánh nặng tuân thủ các quy định bảo mật mới, các phƣơng thức và hệ thống bảo mật truyền thống đã không còn hiệu quả để đảm bảo an toàn thông tin và dữ liệu cho các tổ chức, cần có những công cụ và kỹ thuật tiên tiến hơn để bảo vệ lợi ích của tổ chức, đảm bảo an toàn, duy trì kiểm soát các ứng dụng và dữ liệu. 1.5.1. Kiểu tấn công thăm dò. Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống. Các cách tấn công truy cập hay DoS thƣờng đƣợc tiến hành bởi kiểu tấn công thăm dò. Hiển nhiên, các hacker phải biết có thể tấn công cái gì trƣớc khi xâm nhập. Thăm dò giống nhƣ một kẻ trộm nhà băng muốn biết có bao nhiêu bảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí của chúng và đƣờng thoát hiểm. Thăm dò là một kiểu tấn công, nó cũng là một giai đoạn tấn công. 1.5.2. Kiểu tấn công truy cập Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏi ngƣời xâm nhập lấy đƣợc quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền, hay đơn giản chỉ là truy cập vào hệ thống: + Tấn công truy cập hệ thống: Hacker thƣờng tìm kiếm quyền truy cập đến một thiết bị bằng cách chạy một đoạn mã hay bằng những công cụ hack (hacking Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 6 ~ tool) hay là khai thác một yếu điểm của ứng dụng hoặc một dịch vụ đang chạy trên máy chủ. + Tấn công truy cập thao túng dữ liệu: Thao túng dữ liệu xuất hiện khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu. Nó có thể đơn giản nhƣ việc tìm phần mềm chia sẻ trên máy tính, hay khó hơn nhƣ việc cố gắng xâm nhập một hệ thống tín dụng của cục thông tin. + Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền là một dạng tấn công phổ biến. Bằng cách nâng cao đặc quyền, kẻ xâm nhập có thể truy cập vào các files hay folder dữ liệu mà tài khoản ngƣời sử dụng ban đầu không đƣợc cho phép truy cập. Mục đích chung của hacker là chiếm đƣợc quyền truy cập ở mức độ quản trị. Khi đã đạt đƣợc mục đích đó, họ có toàn quyền điều khiển hệ thống mạng. 1.5.3. Kiểu tấn công từ chối dịch vụ Kiểu tấn công DdoS đƣợc thực hiện nhằm làm vô hiệu hóa, làm hƣ hỏng, hay gây tổn hại đến tài nguyên mạng với mục đích cản trở việc sử dụng những hệ thống này của ngƣời dùng. Tấn công DdoS gồm các giai đoạn sau: + Giai đoạn đầu tiên – Mục tiêu: Là giai đoạn định nghĩa đối tƣợng. Điều đầu tiên cần làm rõ trong mọi hoạt động cũng nhƣ việc hacking là xác định đƣợc mục tiêu. Kết quả của việc xác lập mục tiêu của kiểu tấn công dẫn đến việc hình thành, chọn lựa những công cụ và phƣơng pháp phù hợp. Nếu kẻ xâm nhập có động cơ trả thù thì kiểu tấn công DdoS phù hợp với nhu cầu đó. Nếu kẻ tấn công là một đối thủ thì, xâm nhập hệ thống và thao túng dữ liệu mới là mục tiêu. Khi kẻ xâm nhập tiến hành những bƣớc của một kiểu tấn công, thì mục tiêu có thể và thƣờng thay đổi. + Giai đoạn hai thăm dò: Giai đoạn thăm dò, nhƣ chính tựa đề của nó, là giai đoạn mà hacker sử dụng nhiều nguồn tài nguyên để thu thập thông tin về hệ thống đối tƣợng. + Giai đoạn thứ ba tấn công: Giai đoạn cuối cùng là giai đoạn tấn công. Trong giai đoạn tấn công kẻ xâm nhập bắt đầu cố gắng xâm nhập mạng và tài nguyên hệ thống trên mạng. Bằng cách sử dụng các thông tin đã thu thập đƣợc, một vài hacker có thể thực hiện việc tấn công nhiều lần cho đến khi phát hiện đƣợc lỗi bảo mật để có thể khai thác. Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 7 ~ 1.6. Giải pháp an ninh mạng 1.6. : Máy tính cá nhân, máy trạm, server, máy vi tính cỡ nhỏ, máy vi tính cỡ lớn, các thiết bị đầu cuối, modem, các gateway, router và switch, tất cả mới chỉ là một phần của . 1.6.2. Hai phương thức giám sát Poll và Alert Hai phƣơng thức giám sát “Poll” và “Alert”, đây là 2 phƣơng thức cơ bản của các kỹ thuật giám sát hệ thống, nhiều phần mềm và giao thức đƣợc xây dựng dựa trên 2 phƣơng thức này, trong đó có SNMP. 1.6 Nguyên tắc hoạt động: Máy chủ giám sát sẽ thƣờng xuyên hỏi thông tin của thiết bị cần giám sát. Nếu máy giám sát không hỏi thì thiết bị không trả lời, nếu máy giám sát hỏi thì thiết bị phải trả lời. Bằng cách hỏi thƣờng xuyên, máy giám sát sẽ luôn cập nhật đƣợc thông tin mới nhất từ thiết bị. Máy chủ giám sát Thiết bị (Device) Yêu cầu #1 Phản hồi Yêu cầu #1 #2 Phản hồi #2 Hình 1.1. Minh họa cơ chế Poll 1.6.2.2. Phương thức Alert Nguyên tắc hoạt động: Mỗi khi trong thiết bị xảy ra một sự kiện (event) nào đó thì thiết bị sẽ tự động gửi thông báo cho máy giám sát, gọi là Alert. Máy giám sát không hỏi thông tin định kỳ từ thiết bị. Thiết bị chỉ gửi những thông báo mang tính sự kiện chứ không gửi những thông tin thƣờng xuyên thay đổi, nó cũng sẽ không gửi Alert nếu chẳng có sự kiện gì xảy ra. Chẳng hạn khi một port down/up thì thiết bị sẽ gửi cảnh báo, còn tổng số byte truyền qua port đó sẽ không đƣợc thiết bị gửi đi vì đó là thông tin thƣờng Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 8 ~ xuyên thay đổi. Muốn lấy những thông tin thƣờng xuyên thay đổi thì máy giám sát phải chủ động đi hỏi thiết bị, tức là phải thực hiện phƣơng thức Poll. Máy chủ giám sát Thiết bị (Device) Thông báo #1 Thông báo #2 Sự kiện #1 Sự kiện #2 (No có sự kiện) Thông báo #3 Sự kiện #3 Hình 1.2. Minh họa cơ chế Alert 1.6.2.3. So sánh phương thức Poll và Alert Hai phƣơng thức Poll và Alert là hoàn toàn khác nhau về cơ chế. Một ứng dụng giám sát có thể sử dụng Poll hoặc Alert, hoặc cả hai, tùy vào yêu cầu cụ thể trong thực tế. Bảng sau so sánh những điểm khác biệt của 2 phƣơng thức : POLL AlERT Có thể chủ động lấy những thông tin Tất cả những event xảy ra đều đƣợc cần thiết từ các đối tƣợng mình quan gửi về Manager, Manager phải có cơ tâm, không cần lấy những thông tin chế lọc những even cần thiết, hoặc không cần thiết từ những nguồn không Device phải thiết lập đƣợc cơ chế chỉ quan tâm Có thể lập bảng trạng thái tất cả các gửi những event cần thiết lập Nếu không có event gi xảy ra thì thông tin của Device sau khi poll qua Manager không biết đƣợc trạng thái một lƣợt các thông tin đó. Ví dụ Device của Device. Ví dụ Device có một port có một port down và Manager đƣợc down và Manager đƣợc khởi động sau khởi động sau đó, thì Manager sẽ biết đó, thì Manager sẽ không thể biết đƣợc đƣợc port đang down sau khi poll qua port đang down. một lƣợt tất cả các port. Trong trƣờng hợp đƣờng truyền giữa Khi đƣờng truyền gián đoạn và Manager và Device xảy ra gián đoạn và Device có sự thay đổi thì nó vẫn gửi Device có sự thay đổi, thì Manager sẽ alert cho Manager, nhƣng alert này sẽ Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 9 ~ không thể cập nhật. Tuy nhiên khi không thể đến đƣợc Manager. Sau đó đƣờng truyền thông suốt trở lại thì mặc dù đƣờng truyền có thông suốt trở Manager sẽ cập nhật đƣợc thông tin mới lại thì Manager vẫn không thể biết nhất do nó luôn luôn poll định kỳ. Chỉ cần cài đặt Manager để trỏ đến tất đƣợc những gì đã xảy ra. Phải cài đặt tại từng Device để trỏ đến cả các Device. Có thể dễ dàng thay đổi Manager. Khi thay đổi Manager thì một Manager khác. phải cài đặt lại trên tất cả các Device để trỏ về Manager mới. Nếu tần suất poll thấp, thời gian chờ Ngay khi có sự kiện xảy ra thì Device giữa hai chu kỳ poll dài sẽ làm Manager sẽ gửi alert đến Manager, do đó chậm cập nhật các thay đổi của Device. Manager luôn luôn có thông tin mới Nghĩa là nếu thông tin Device đã thay nhất tức thời. đổi nhƣng vẫn chƣa đến lƣợt poll kế tiếp thì Manager vẫn giữ thông tin cũ. Có thể bỏ sót các sự kiện: Khi Device Manager sẽ đƣợc thông báo mỗi khi có thay đổi, sau đó thay đổi trở lại nhƣ có sự kiện xảy ra ở Device, do đó ban đầu trƣớc khi đến poll kế tiếp thì Manager không bỏ sót bất kỳ sự kiện Manager sẽ không phát hiện đƣợc. Nếu chu kỳ Poll ngắn sẽ gây tốn băng nào. Không có chu kỳ gửi tin nên không thông, nếu chu kỳ dài thì thông tin giám tốn nhiều băng thông nhƣ cơ chế Poll. sát sẽ không chính xác. Bảng 1.1. So sánh hai phƣơng thức Poll và Alert 1.6.3. Giao thức quản lý giám sát mạng SNMP 1.6. SNMP là “giao thức quản lý mạng đơn giản. Giao thức là một tập hợp các thủ tục mà các bên tham gia cần tuân theo để có thể giao tiếp đƣợc với nhau. Trong lĩnh vực thông tin, một giao thức quy định cấu trúc, định dạng (format) của dòng dữ liệu trao đổi với nhau và quy định trình tự, thủ tục để trao đổi dòng dữ liệu đó. Nếu một bên tham gia gửi dữ liệu không đúng định dạng hoặc không theo trình tự thì các bên khác sẽ không hiểu hoặc từ chối trao đổi thông tin. SNMP là một giao thức, do đó nó có những quy định riêng mà các thành phần trong mạng phải tuân theo. Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ~ 10 ~ Một thiết bị hiểu đƣợc và hoạt động tuân theo giao thức SNMP đƣợc gọi là “có hỗ trợ SNMP” (SNMP supported) hoặc “tƣơng thích SNMP” (SNMP compartible). SNMP dùng để quản lý, nghĩa là có thể theo dõi, có thể lấy thông tin, có thể đƣợc thông báo, và có thể tác động để hệ thống hoạt động nhƣ ý muốn. Ví dụ một số khả năng của giao thức SNMP: Theo dõi tốc độ đƣờng truyền của một router, biết đƣợc tổng số byte đã truyền/nhận. Lấy thông tin máy chủ đang có bao nhiêu ổ cứng, mỗi ổ cứng còn trống bao nhiêu. Tự động nhận cảnh báo khi switch có một port bị down. Điều khiển tắt (shutdown) các port trên switch. SNMP dùng để quản lý mạng, nghĩa là nó đƣợc thiết kế để chạy trên nền TCP/IP và quản lý các thiết bị có nối mạng TCP/IP. Các thiết bị mạng không nhất thiết phải là máy tính mà có thể là switch, router, firewall, adsl gateway, và cả một số phần mềm cho phép quản trị bằng SNMP. 1.6.3.2 SNMP đƣợc thiết kế để đơn giản hóa quá trình quản lý các thành phần trong mạng. Nhờ đó các phần mềm SNMP có thể đƣợc phát triển nhanh và tốn ít chi phí. SNMP đƣợc thiết kế để có thể mở rộng các chức năng quản lý, giám sát. Không có giới hạn rằng SNMP có thể quản lý đƣợc cái gì. Khi có một thiết bị mới với các thuộc tính, tính năng mới thì ngƣời ta có thể thiết kế “custom” SNMP để phục vụ cho riêng mình. SNMP đƣợc thiết kế để có thể hoạt động độc lập với các kiến trúc và cơ chế của các thiết bị hỗ trợ SNMP. Các thiết bị khác nhau có hoạt động khác nhau nhƣng đáp ứng SNMP là giống nhau. 1.6.3. SNMP có 4 phiên bản: SNMPv1, SNMPv2c, SNMPv2u và SNMPv3. Các phiên bản này khác nhau một chút ở định dạng bản tin và phƣơng thức hoạt động. Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tƣơng thích nhất và có nhiều phần mềm hỗ trợ nhất. Trong khi đó chỉ có một số thiết bị và phần mềm hỗ trợ SNMPv3. Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/
- Xem thêm -