ĐẠI HỌC QUỐC GIA TP. HCM
TRƯỜNG ĐẠI HỌC BÁCH KHOA
-------------------------
NGÔ HÁN CHIÊU
NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG PHÁT HIỆN THÂM
NHẬP MẠNG (IDS) CHO HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC
BÁCH KHOA TP. HCM
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ
LUẬN VĂN THẠC SĨ
TP. HỒ CHÍ MINH, THÁNG 7 NĂM 2009
CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI
TRƯỜNG ĐẠI HỌC BÁCH KHOA
ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH
-----Cán bộ hướng dẫn khoa học: TS. Lưu Thanh Trà
Cán bộ chấm nhận xét 1: PGS-TS Lê Tiến Thường
Cán bộ chấm nhận xét 2: TS Đặng Thành Tín
Luận văn thạc sĩ được bảo vệ tại
HỘI ĐỒNG CHẤM BẢO VỆ LUẬN VĂN THẠC SĨ
TRƯỜNG ĐẠI HỌC BÁCH KHOA, ngày 16 tháng 07 năm 2009
TRƯỜNG ĐH BÁCH KHOA TP. HCM
PHÒNG ĐÀO TẠO SĐH
CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
TP. HCM, ngày ……tháng ….năm 2009
NHIỆM VỤ LUẬN VĂN THẠC SĨ
Họ và tên học viên: NGÔ HÁN CHIÊU
Ngày, tháng, năm sinh: 05/01/1979
Chuyên ngành: Kỹ thuật điện tử
Phái: Nam
Nơi sinh: Vĩnh Long
MSHV: 01407330
I- TÊN ĐỀ TÀI:
NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG PHÁT HIỆN THÂM NHẬP MẠNG
(IDS) CHO HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC BÁCH KHOA TP. HCM
II- NHIỆM VỤ VÀ NỘI DUNG:
1. Nhiệm vụ:
- Nghiên cứu, xây dựng và triển khai hệ thống phát hiện xâm nhập mạng (IDS)
cho hệ thống mạng của Trường ĐHBK TP. HCM trên cơ sở sử dụng phần
mềm mã nguồn mở Snort, nhằm nâng cao khả năng bảo mật và an toàn thông
tin cho hệ thống mạng của Trường.
- Kiểm chứng kết quả triển khai thực tế và khả năng thực hiện IDS của Snort
so với giải pháp của các hãng.
2. Nội dung:
- Nghiên cứu về Hệ thống IDS và giải pháp IDS hiện nay của các hãng trên thế
giới, đánh giá ưu nhược điểm hệ thống IDS của các hãng. Khảo sát việc ứng
dụng hệ thống IDS thực tế của các hãng tại các công ty lớn ở TP. HCM.
- Nghiên cứu về Snort, phân tích, đánh giá chức năng IDS của Snort, So sách
các giải pháp IDS của các hãng và Snort.
- Phân tích và đánh giá hệ thống bảo mật mạng của Trường ĐHBK TP. HCM.
Chọn lựa giải pháp IDS cho hệ thống mạng của Trường. Trên cơ sở đó thiết
kế và xây dựng hệ thống IDS trên hạ tầng mạng của Trường ĐHBK TP.
HCM.
- Kiểm chứng kết quả triển khai Snort trên hệ thống mạng, so sánh với khả
năng phát hiện xâm nhập mạng trước đó (khi chưa triển khai IDS).
III- NGÀY GIAO NHIỆM VỤ: 02/02/2009.
IV- NGÀY HOÀN THÀNH NHIỆM VỤ: 03/07/2009.
V- CÁN BỘ HƯỚNG DẪN: TS. LƯU THANH TRÀ.
CÁN BỘ HƯỚNG DẪN
CN BỘ MÔN
QL CHUYÊN NGÀNH
LỜI CÁM ƠN
_________
Tôi xin chân thành cám ơn:
- Gia đình.
- Tiến sĩ Lưu Thanh Trà, cán bộ hướng dẫn khoa học.
- Thầy cô Trường Đại học Bách khoa TP. HCM.
- Phòng đào tạo sau đại học.
- Anh chị em trong Ban quản lý mạng của Trường.
- Anh chị em trong Viện Khoa học Kỹ thuật Bưu điện cơ sở 2.
- Phòng Viễn thông Công viên Phần mềm Quang Trung.
- Phòng Công nghệ thông tin Tổng Công ty cấp nước Sài Gòn.
- Tổ tin học UBND Quận 1, Quận 5 và Sở Kế hoạch đầu tư TP. HCM.
đã động viên, hỗ trợ và giúp đỡ tôi hoàn thành Luận văn tốt nghiệp này !
LỜI CAM ĐOAN
______
Tôi xin cam đoan:
- Đây là công trình nghiên cứu của riêng tôi.
- Những nội dung trong luận văn này là do tôi thực hiện dưới sự hướng dẫn
trực tiếp của Tiến sĩ Lưu Thanh Trà.
- Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá,
tôi xin chịu hoàn toàn trách nhiệm.
- Các số liệu, kết quả trong luận văn là trung thực và chưa từng được ai
công bố trong bất kỳ công trình nào khác.
Tác giả Luận văn
NGÔ HÁN CHIÊU
TÓM TẮT LUẬN VĂN THẠC SĨ
Vấn đề an toàn, an ninh mạng không mới nhưng càng ngày càng trở nên quan
trọng cùng với sự phát triển của công nghệ thông tin. Ngày nay, một tường lửa
(Firewall) không thể ngăn chặn được các cuộc tấn công huỷ diệt của các tin tặc. Vì
vậy, các tổ chức, doanh nghiệp đã phải cần tới một hệ thống an ninh mạng toàn diện
không chỉ khắc phục sự cố, mà còn chủ động phòng chống một cách tự động và thông
minh. Một hệ thống an ninh mạng toàn diện bao gồm các thành phần: hệ thống tường
lửa nhiều lớp, hệ thống lọc nội dung, hệ thống chống virus, hệ thống phát hiện và
phòng chống xâm nhập mạng (IDS/IPS). Trong đó, hệ thống IDS/IPS đóng vai trò
quan trọng trong việc phát hiện và phòng chống các cuộc xâm nhập, các cuộc tấn công
làm ảnh hưởng đến hệ thống mạng.
Hiện nay, để triển khai hệ thống IDS/IPS, có hai giải pháp: thứ nhất là sử dụng
thiết bị phần cứng của các hãng, thứ hai là sử dụng phần mềm (bao gồm phần mềm có
bản quyền và phần mềm mã nguồn mở). Snort là một trong những phần mềm IDS/IPS.
Đây là phần mềm mã nguồn mở miễn phí được sử dụng phổ biến trên thế giới. Snort
có thể được dùng như một thiết bị nghe lén (sniffer), ghi nhận gói tin (packet logger)
trong hệ thống mạng và có thể tương thích với nhiều cơ sở dữ liệu như Oracle,
Microsoft SQL Server...
Tại Việt Nam, việc sử dụng phần mềm Snort làm Hệ thống IDS/IPS chưa được
phổ biến rộng rãi trong các tổ chức, doanh nghiệp. Hiện tại, chỉ dừng lại ở góc độ là
các nghiên cứu khoa học và mô phỏng trên máy ảo.
Trường Đại học Bách khoa TP. HCM là một trong những đơn vị đi đầu của cả
nước trong việc nghiên cứu, ứng dụng và triển khai các công nghệ mới vào thực tế. Vì
vậy, đề tài luận văn đã thực hiện nghiên cứu và triển khai hệ thống IDS trên hệ thống
mạng của Trường bằng cách sử dụng phần mềm Snort, một mặt đáp ứng nhu cầu an
ninh bảo mật cho hệ thống mạng của Trường hiện nay, mặt khác để đánh giá và so
sánh hiệu quả hoạt động của Snort với các thiết bị phần cứng của các hãng. Từ đó làm
cơ sở khoa học cho việc hợp tác và chuyển giao công nghệ về hệ thống IDS- Snort
giữa Trường và các đơn vị có nhu cầu.
Để triển khai hệ thống IDS-Snort, trong luận văn đã nêu lên những nghiên cứu
về hệ thống IDS, giải pháp IDS của các hãng, tìm hiểu việc sử dụng hệ thống IDS tại
các đơn vị ở TP. HCM. Nghiên cứu về Snort, cấu trúc luật và phương pháp cài đặt,
cấu hình Snort cũng được trình bày trong luận văn. Dựa trên các nội dung nghiên cứu
về hệ thống IDS, về Snort, đã đề xuất các giải pháp triển khai hệ thống IDS cho
Trường và lựa chọn được giải pháp triển khai tối ưu nhất.
Kết quả triển khai thực nghiệm cho thấy hệ thống IDS-Snort cài đặt trên hệ
thống mạng Trường có khả năng giám sát, phát hiện và cảnh báo tất cả các dấu hiệu
tấn công, các luồng dữ liệu nguy hiểm đe doạ đến an toàn thông tin của Web-Server,
cho phép người quản trị mạng có thể giám sát tình trạng hệ thống IDS thông qua giao
diện Web; cập nhật luật, tuỳ biến luật theo nhu cầu, chính sách bảo mật của Trường.
Trong tương lai, có thể xây dựng và phát triển hệ thống phát hiện xâm nhập IDS-Snort
thành hệ thống phát hiện và phòng chống xâm nhập (IPS-Snort) bằng cách kết hợp với
Firewall và Router. Nghiên cứu và triển khai SNORT-Inline và SNORT-SAM làm hệ
thống IPS cho Trường./.
ABSTRACT
With the development of information technology, the problems of network safety
and security is not new but increasingly become more important. Today, a firewall
can not prevent the destructive attacks of hackers. Therefore, the organizations and
enterprises need a network security system that is not only completely overcome the
problems, but also can prevent the intrusion automatically and intelligently. A
comprehensive and modern network security system includes following components:
the system of multiple firewalls, the network content filtering systems, and the
IDS/IPS sytem where the IDS/IPS system plays an important role in detecting and
preventing the intrusions and attacks to the network system.
Currently, there are two solutions to implement the IDS/IPS system: the first is to
use hardware devices of the manufacturer, the second is to use the software (including
copyright software and open source software). Snort is an IDS/IPS software. This is a
free open source software used widely in the whole world. Snort can be used as a
sniffer, packet logger in the network system and can be compatible with multiple
databases such as Oracle, Microsoft SQL Server ...
In Vietnam, using Snort software as an IDS/IPS system is not public in
organizations and enterprises. Currently, Snort is only used in the scientific research
and simulation on the virtual machine.
Ho Chi Minh City University of Technology is one of the first organisations in
the research, application and implementation of new technology into practice.
Therefore, the subject of the essay is research and deployment the IDS system in the
university's network using Snort software with two main targets. One side is to meet
the current network security requirements of the university, on the other is to evaluate
and compare the performance of Snort with hardware devices of the manufacturer.
From these results, we can use them as a scientific background for cooperation and
technology transfer of the IDS-Snort system between the University and our partner.
To implement the IDS-Snort system, in this essay we study the IDS system, the
IDS solutions of the manufacturers and survey the using IDS system in some
organizations in Ho Chi Minh City; the Snort system, its rule structure, installation
and configuration methods are also presented in the essay. Based on the researches of
IDS and Snort system, I proposed some proposals to deploy the IDS system for the
University’s network and choosed the best one to implement in real network system.
Results in practice shows that the IDS-Snort installed on the network system has
the capability to monitor, detect and alert all the signatures of an attack, the dangerous
threats for the safety of information in Web-Server; allow the network administrators
can monitor the IDS system status through the web interface; can update rules,
optimize rules due to the requirements, security policies of the University.
In the future, we can upgrade and develop the IDS-Snort system into the
Intrusion Prevention System (IPS-Snort) through the combination between Snort with
the Firewall and Router, research and deploy the SNORT-Inline and SNORT-SAM as
an IPS system for the University./.
MỤC LỤC
_________
Chương 1. TỔNG QUAN ..................................................................................... 1
1.1. Cơ sở nghiên cứu và mục đích của Luận văn ................................................ 1
1.2. Tình hình thế giới và trong nước liên quan đến lĩnh vực nghiên cứu của
Luận văn .................................................................................................................. 3
1.2.1. Hệ thống IDS ....................................................................................... 3
1.2.2. SNORT: ............................................................................................... 3
Chương 2. HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG - IDS (Intrusion
Detection System) ....................................................................................................... 5
2.1. Vấn đề quản trị bảo mật và các hình thức tấn công mạng hiện nay .............. 5
2.1.1. Quản trị bảo mật .................................................................................. 5
2.1.2. Các hình thức tấn công mạng hiện nay ............................................... 8
2.1.3. Nhận xét: ...........................................................................................12
2.2. Tổng quan về Hệ thống IDS ........................................................................12
2.2.1. Khái niệm ..........................................................................................12
2.2.2. Nguyên tắc xây dựng hệ thống IDS. .................................................13
2.2.3. Quá trình xử lý của hệ thống IDS......................................................14
2.2.4. Nguyên tắc phân loại tấn công và xâm nhập .....................................15
2.3. Nguyên lý hoạt động của Hệ thống IDS ......................................................18
2.4. Phân loại IDS ...............................................................................................19
2.4.1. Theo tiêu chí phương pháp phát hiện ................................................19
2.4.2. Theo tiêu chí môi trường vận hành của IDS .....................................21
2.4.3. Theo tiêu chí phản ứng của IDS. .......................................................21
2.5. Mô hình hoạt động của Hệ thống IDS .........................................................21
2.5.1. Network-Based IDS (NIDS). ............................................................21
2.5.2. Host Based IDS (HIDS) ....................................................................23
2.5.3. Hệ thống phát hiện xâm nhập phân tán (DIDS) ................................25
2.5.4. Stack-based IDS ................................................................................26
2.6. Các phương pháp phát hiện xâm nhập của IDS ..........................................27
2.6.1. Phương pháp bắt gói tin (Packet Sniffing) ........................................27
2.6.2. Phân tích nhật ký (Log Parsing) ........................................................27
2.6.3. Giám sát các cuộc gọi hệ thống (System Call Monitoring) ..............27
2.6.4. Kiểm tra các tệp hệ thống (Filesystem Watching) ............................27
2.7. Các phương thức xử lý thông tin của Hệ thống IDS ...................................27
2.7.1. Xử lý kiểm định .................................................................................28
2.7.2. Xử lý trực tuyến (Online) ..................................................................29
2.7.3. Real-time IDS ....................................................................................31
2.8. Kết luận........................................................................................................32
Chương 3. GIẢI PHÁP TRIỂN KHAI PHẦN CỨNG HỆ THỐNG IDS VÀ
ỨNG DỤNG HỆ THỐNG IDS TẠI CÁC ĐƠN VỊ.................................................33
3.1. Nghiên cứu giải pháp IDS hiện nay của các hãng trên thế giới ..................33
3.1.1. Giải pháp của Cisco ...........................................................................33
3.1.2. Giải pháp của ISS ..............................................................................39
3.1.3. Giải pháp của Nortel: Threat Protection System (TPS) ....................41
3.1.4. Giải pháp của Checkpoint .................................................................44
3.1.5. Giải pháp của McAfee .......................................................................45
3.1.6. Giải pháp của Juniper ........................................................................49
3.2. So sánh giải pháp IDS của các hãng và Snort .............................................52
3.3. Khảo sát việc ứng dụng hệ thống IDS tại các đơn vị trên địa bàn TP. HCM .
.....................................................................................................................53
3.3.1. Công ty phát triển công viên phần mềm Quang Trung (QTSC). ......53
3.3.2. Tổng Công ty Cấp nước Sài Gòn. .....................................................55
3.3.3. UBND Quận 1 và UBND Quận 5 .....................................................56
3.3.4. Sở Kế hoạch Đầu Tư TP. HCM. .......................................................58
3.3.5. Nhận xét.............................................................................................59
3.4. Kết luận........................................................................................................60
Chương 4. SNORT – PHẦN MỀM IDS MÃ NGUỒN MỞ...............................61
4.1. Giới thiệu về SNORT ..................................................................................61
4.1.1. Snort - Giải pháp IDS/IPS mã nguồn mở ..........................................61
4.1.2. Các thành phần của Snort ..................................................................61
4.1.3. Các chế độ hoạt động ........................................................................62
4.1.4. Các chế độ cảnh báo ..........................................................................63
4.1.5. Các mô hình triển khai Snort .............................................................64
4.2. Cài đặt ..........................................................................................................66
4.2.1. Yêu cầu hệ thống ...............................................................................66
4.2.2. Cài đặt Snort ......................................................................................67
4.2.3. Quản lý Snort qua giao diện Web .....................................................69
4.3. Cấu hình .......................................................................................................73
4.3.1. Khởi tạo các biến ...............................................................................74
4.3.2. Decoder (bộ giải mã) .........................................................................75
4.3.3. Config Directive ................................................................................76
4.3.4. Cấu hình động thư viện đã nạp ..........................................................77
4.3.5. Cấu hình các Preprocessor (Bộ tiền xử lý) ........................................77
4.3.6. Cấu hình những Plugin-Output .........................................................77
4.3.7. Tham chiếu file khác (Include Files).................................................77
4.4. Phân tích hoạt động của bộ tiền xử lý (Preprocessor) .................................78
4.4.1. Frag2 ..................................................................................................79
4.4.2. Frag3 ..................................................................................................80
4.4.3. Stream4 ..............................................................................................81
4.4.4. Stream5 ..............................................................................................84
4.4.5. sfPortscan ..........................................................................................84
4.4.6. HTTP Inspect ....................................................................................86
4.4.7. FTP/Telnet Preprocessor ...................................................................87
4.5. Cấu trúc luật (Rule) và triển khai các luật trong Snort ................................90
4.5.1. Cấu trúc của rule................................................................................90
4.5.2. Rule Headers .....................................................................................91
4.5.3. Các tùy chọn phổ biến của Rules ......................................................92
4.5.4. Payload Detection Rules Options ......................................................94
4.5.5. Non-Payload Detection Rules Options ...........................................102
4.5.6. Port-Detection Rules Options..........................................................108
4.5.7. Event Thresholding .........................................................................111
4.5.8. Event Suppression ...........................................................................111
4.5.9. Snort Multi-Event Logging .............................................................112
4.5.10. Nguyên tắt viết Rules ......................................................................113
4.5.11. Cập nhật Rules.................................................................................114
4.6. Kết luận......................................................................................................115
Chương 5. GIẢI PHÁP TRIỂN KHAI HỆ THỐNG IDS CHO TRƯỜNG ĐẠI
HỌC BÁCH KHOA TP. HCM ...............................................................................116
5.1. Hiện trạng hạ tầng mạng của Trường đại học Bách khoa TP. HCM ........116
5.1.1. Sơ đồ kết nối logic ...........................................................................116
5.1.2. Các thành phần trong hệ thống mạng. .............................................117
5.1.3. Giải pháp bảo mật tổng thể hiện nay của hệ thống mạng Trường ..120
5.1.4. Giải pháp quản trị mạng hiện nay ...................................................122
5.1.5. Nhu cầu bảo mật hệ thống mạng Trường ........................................123
5.1.6. Các giải pháp triển khai IDS Snort cho hệ thống mạng Trường .....124
5.2. Thiết kế và xây dựng hệ thống IDS Snort trên hệ thống mạng của Trường ...
...................................................................................................................127
5.2.1. Nguyên tắc thiết kế ..........................................................................127
5.2.2. Xác định vị trí triển khai SNORT và các thành phần thiết bị mạng128
5.2.3. Cài đặt hệ điều hành Linux..............................................................129
5.2.4. Cài đặt Snort và các công cụ hỗ trợ: Apache, PHP, MySQL, Base 129
5.2.5. Thử nghiệm hoạt động của hệ thống SNORT .................................134
5.2.6. Kiểm tra hoạt động của hệ thống SNORT ......................................134
5.2.7. Tối ưu hoá giao diện quản lý Snort qua Web (Base) ......................135
5.3. Kiểm chứng kết quả ...................................................................................141
5.3.1. Kết quả thực nghiệm trên hệ thống mạng .......................................141
5.3.2. Phân tích các Alert (cảnh báo) có độ nguy hiểm cao đối với website
của Trường ......................................................................................................145
5.3.3. Tập hợp Rules từ Snort.org và các website khác ............................147
5.3.4. Tìm hiệu các rules chính cho các trường hợp tấn công websites cụ
thể
148
5.3.5. Đánh giá hiệu quả của việc triển khai Snort trên thực tế hạ tầng mạng
của Trường ......................................................................................................150
5.3.6. Đánh giá hiệu suất hoạt động của Snort ..........................................151
5.3.7. Kết luận ...........................................................................................152
Chương 6. KẾT LUẬN .....................................................................................153
6.1. Đánh giá ưu nhược điểm của Hệ thống IDS Snort ....................................153
6.2. Kết quả đạt được ........................................................................................154
6.3. Hạn chế ......................................................................................................155
6.4. Hướng phát triển ........................................................................................155
6.4.1. Snort-Inline ......................................................................................155
6.4.2. Snortsam ..........................................................................................157
6.4.3. Mô hình đề xuất triển khai IPS cho Trường ....................................162
PHỤ LỤC 1 .............................................................................................................165
PHỤ LỤC 2 .............................................................................................................167
PHỤ LỤC 3 .............................................................................................................169
CÁC TỪ VIẾT TẮT
-----Từ viết tắt
Diễn giải
IDS
Intrusion Detection System
IPS
Intrusion Prevention System
ĐHBK
Trường Đại học Báck khoa TP. HCM
ĐHQG TP. HCM Đại học quốc gia TP. HCM
BASE
Basic Analysis and Security Engine
DMZ
Demilitarized Zone
SPAN
Cisco Catalyst Switched Port Analyzer
SAFE
Security Architecture For Enterprise
TCP
Transmission Control Protocol
IP
Internet Protocol
DANH MỤC CÁC BẢNG BIỂU
------Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
Bảng
1: Bảng thống kê tình hình bảo mật năm 2007 tại Việt Nam ...........................1
2: Bảng so sánh giải pháp IDS của các hãng ..................................................52
3: Các gói cài đặt SNORT ..............................................................................67
4: Phân loại các chính sách và hệ điều hành tương ứng .................................81
5: Bảng phân loại mức độ cuộc tấn công........................................................93
6: Các tuỳ chọn cho PCRE .............................................................................99
7: Giá trị tuỳ chọn trong việc kiểm tra trường byte_test ................................99
8: Giá trị tuỳ chọn trong việc kiểm tra trường byte_jump............................100
9: Bảng tuỳ chọn giá trị ASN.1 ....................................................................101
10: Các tuỳ chọn cho trường flow ................................................................105
11: Các tuỳ chọn cho trường flowbits ..........................................................106
12: Các tuỳ chọn cho trường RESP ..............................................................108
13: Các tuỳ chọn cho trường TAG ...............................................................109
16: Bảng liệt kê các alert ..............................................................................111
17: Bảng thống kê các thành phần trong hệ thống mạng .............................117
18. Phân tích một số cảnh báo trong Snort ...................................................145
DANH MỤC CÁC HÌNH VẼ
---------Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
2.1 Kiến trúc an ninh mạng theo mô hình SAFE ..............................................6
2.2. Thống kê các loại hình tấn công phổ biến hiện nay .................................12
2.3: Quá trình xử lý của IDS ..........................................................................14
2.4 Sơ đồ kiến trúc của một IDS .....................................................................15
2.5: Một hệ thống IDS mẫu. ............................................................................18
2.6: Những thành phần của IDS ......................................................................19
2.7: Sơ đồ cài đặt NIDS ..................................................................................22
2.8: Sơ đồ cài đặt HIDS ..................................................................................24
2.9: Hệ thống phát hiện xâm nhập phân tán (DIDS).......................................26
3.1: Giải pháp bảo mật của Cisco ...................................................................34
3.2: Giải pháp IDS của McAfee ......................................................................49
3.3: Sơ đồ cấu hình mạng Công viên Phần mềm Quang Trung (QTSC)........54
3.4 Màn hình hiển thị của ActiveScout ...........................................................55
3.5 Sơ đồ cấu hình mạng của SAWACO ........................................................56
3.6: Sơ đồ cấu hình mạng của UBND Q1 .......................................................56
3.7 Sơ đồ cấu hình mạng của UBND Quận 5 .................................................57
3.8: Sơ đồ cấu hình mạng của Sở Kế hoạch & Đầu tư ...................................59
4.1: Mô hình kiến trúc của SNORT ................................................................62
4.2: Mô hình triển khai SNORT trong và ngoài Firewall ...............................65
4.3: Mô hình triển khai SNORT tại vùng DMZ..............................................65
4.4: Mô hình triển khai SNORT với SPAN port .............................................66
4.5 Cấu trúc luật của Snort ..............................................................................90
4.6. Giao diện cập nhật rule bằng Oinkmaster ..............................................115
5.1. Sơ đồ cấu trúc logic hệ thống mạng của Trường ...................................117
5.2.Mô hình sử dụng Proxy Server ...............................................................121
5.3. Giải pháp 1 - Mô hình triển khai hệ thống IDS .....................................125
5.4. Giải pháp 2 - Mô hình triển khai hệ thống IDS .....................................126
5.5 Giải pháp 2 - Mô hình triển khai hệ thống IDS ......................................127
5.6. Vị trí triển khai Snort trong hệ thống mạng Trường ..............................128
5.7 Màn hình cài đặt Red Hat Enterprise Linux 5. .......................................129
5.8. Màn hình kiểm tra chạy thử Snort..........................................................134
5.9. Màn hình giao diện củaBase ..................................................................135
5.10 Chi tiết các dấu hiệu tấn công thể hiện trên BASE ...............................136
5.11. Nội dung thông tin cảnh báo trong Snort .............................................136
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
Hình
5.12. Thống kê các loại cảnh báo dưới dạng đồ hoạ .....................................137
5.13. Xác định vị trí của đối tượng tấn công trên Google Map ....................140
5.14. Màn hình đăng nhập vào BASE ...........................................................141
5.15. Màn hình cảnh báo các dấu hiệu tấn công hệ thống Web-Server ........142
5.16. Thống kê số cảnh báo sau 5 ngày triển khai thử nghiệm .....................143
5.17. Phân loại các dạng tấn công của Base..................................................143
5.18. Cảnh báo tấn công dạng Trojan ...........................................................144
5.19. Xác định vị trí đối tượng tấn công Trojan............................................144
5.20. Cập nhật Rules từ Snort.org .................................................................147
5.21. Tập hợp rules từ http://www.emergingthreats.net/ ..............................148
5.22. Biểu đồ cảnh báo của SNORT .............................................................151
5.23 Biểu đồ hiệu suất sử dụng của CPU ......................................................152
6.1 Sơ đồ triển khai thử nghiệm Snort-Inline ...............................................156
6.2. Sơ đồ triển khai thử nghiệm Snortsam & Iptable ..................................159
6.3 Sơ đồ triển khai thử nghiệm Snortsam & Router Cisco..........................160
6.4 Mô hình 1 - Triển khai IPS cho Trường .................................................162
6.5 Mô hình 2 - Triển khai IPS cho Trường .................................................163
6.6 Mô hình 1 - Triển khai IPS cho Trường .................................................163
MỞ ĐẦU
---- WX ---Ngày nay, an ninh mạng đã trở thành một vấn đề hết sức quan trọng. Những
kẻ phá hoại (hacker) và xâm nhập mạng (intruder) đã đạt được nhiều thành công
trong việc tấn công vào các thành phần và các dịch vụ mạng.
Do đó, hiện nay có nhiều phương pháp đã được phát triển để đảm bảo an toàn
cho hạ tầng và cho truyền thông trên mạng Internet, ta có thể kể tới một số phương
pháp điển hình như: sử dụng bức tường lửa (firewall), mã hoá dữ liệu (encryption)
và các mạng riêng ảo (VPN - virtual private networks). Phát hiện xâm nhập mạng
(Intrusion Detection) là một kỹ thuật mới, xuất hiện cách đây vài năm. Sử dụng
phương pháp phát hiện xâm nhập, ta có thể thu thập và sử dụng các dấu vết
(signatures) từ những kiểu tấn công đã được biết trước, từ đó tìm ra xem liệu có kẻ
nào đó đang cố gắng tấn công vào mạng hay máy của mình hay không? Những
thông tin được thu thập theo cách này sẽ được sử dụng để làm tăng khả năng an
toàn cho mạng cũng như cho các mục đích khác. Kỹ thuật phát hiện xâm nhập mạng
hiện đã được cài đặt trong các sản phẩm thương mại cũng như trong sản phẩm có
mã nguồn mở.
Hệ thống mạng của Trường Đại học Bách khoa TP. HCM cũng là một trong
những địa chỉ hấp dẫn đối với những kẻ phá hoạt và tấn công mạng. Song song với
việc triển khai các giải pháp bảo vệ hệ thống như trang bị Firewall, Proxy,
Antivirus,…thì cần phải trang bị một hệ thống phát hiện xâm nhập mạng (IDS) để
nâng cao khả năng phát hiện và phòng chống các cuộc tấn công mạng, đánh cắp dữ
liệu,...
Mục đích của Luận văn này là xây dựng hệ thống IDS cho hệ thống mạng
Trường trên nền tảng phần mềm mã nguồn mở Snort. Snort chủ yếu là một IDS
dựa trên luật, tuy nhiên các input plug-in cũng tồn tại để phát hiện sự bất thường
trong các header của giao thức. Snort sử dụng các luật được lưu trữ trong các file
text, có thể được chỉnh sửa bởi người quản trị. Các luật được nhóm thành các kiểu.
Các luật thuộc về mỗi loại được lưu trong các file khác nhau. Tìm ra các dấu hiệu
và sử dụng chúng trong các luật là một vấn đề đòi hỏi sự tinh tế, vì khi sử dụng
nhiều luật thì năng lực xử lý càng được đòi hỏi để thu thập dữ liệu trong thực tế.
Luận văn được trình bày thành 6 chương và 3 phụ lục, cụ thể như sau:
Chương 1: Tổng quan
Phần Tổng quan sẽ nêu lên cơ sở và mục đích nghiên cứu Luận văn. Tình hình
thế giới và trong nước liên quan đến lĩnh vực nghiên cứu
Chương 2: Hệ thống phát hiện xâm nhập mạng - IDS (Intrusion Detection
System)
Trong chương 2, chúng ta sẽ tìm hiểu về vấn đề quản trị bảo mật hiện nay, các
hình thức tấn công. Sau đó sẽ nghiên cứu về hệ thống IDS, các thành phần hệ thống
IDS, cấu trúc và nguyên lý làm việc của hệ thống.
Chương 3: Giải pháp triển khai phần cứng hệ thống IDS và ứng dụng hệ thống
IDS tại các đơn vị
Trong Chương này, sẽ trình bày giải pháp IDS của các hãng hiện nay và việc
triển khai thực tế tại các đơn vị trên địa bàn TP. HCM (địa phương ứng dụng CNTT
mạnh nhất cả nước). Từ đó đưa ra những đánh giá, so sánh và chọn lựa giải pháp
xây dựng hệ thống IDS cho Trường Đại học Bách khoa TP. HCM
Chương 4: Snort - Phần mềm IDS mã nguồn mở
Chương 4 sẽ nêu lên các nội dung liên quan đến Snort: Cấu trúc hệ thống, cài
đặt các gói phần mềm và Snort, phân tích tập tin config, cách thức hoạt động của
Snort, phân tích cấu trúc luật của Snort, các triển khai luật và cập nhật luật trong
Snort…
Chương 5: Giải pháp triển khai hệ thống IDS cho Trường Đại học Bách Khoa
TP. HCM
Trong chương này, sẽ phân tích hiện trạng hạ tầng mạng Trường ĐHBK TP.
HCM, nhu cầu triển khai IDS, phương án triển khai, thiết kế, chạy thử và kiểm
chứng kết quả.
Chương 6: Kết luận
Nêu lên ưu và nhược điểm của hệ thống Snort, các kết quả đạt được, mặc hạn
chế và định hướng phát triển của Luận văn./.
-1-
Chương 1. TỔNG QUAN
Chương I sẽ nêu lên cơ sở nghiên cứu và mục đích của Luận văn cũng như tổ
chức bố cục của Luận văn.
1.1.
Cơ sở nghiên cứu và mục đích của Luận văn
Theo thống kê của Trung tâm An ninh mạng Bách Khoa (Bkis), trong năm
2007, thiệt hại do virus máy tính gây ra tại Việt Nam lên tới 2.400 tỷ đồng, với các
cuộc tấn công vào hơn 33 triệu lượt máy tính ở Việt Nam. Với khoảng 4 triệu máy
tính sử dụng thường xuyên, tính toán ban đầu virus gây thiệt hại gần 600.000
đồng/máy tính/năm.
Bảng 1: Bảng thống kê tình hình bảo mật năm 2007 tại Việt Nam
(nguồn: www.bkav.com.vn)
Virus máy tính năm 2007 (tại Việt Nam)
Số lượng
Số máy tính bị nhiễm virus
Số virus mới xuất hiện trong năm
Số virus xuất hiện trung bình trong 1 ngày
Virus lây lan nhiều nhất trong năm:
W32.Winib.Worm
An ninh mạng năm 2007 (tại Việt Nam)
Theo quan sát của Bkis:
Số website Việt Nam bị hacker trong nước
tấn công
Số website Việt Nam bị hacker nước ngoài
tấn công
Tổng cộng
Thông tin về các cảnh báo lỗ hổng:
Số website Bkis phát hiện có lỗ hổng nghiêm
trọng
33.646.000 lượt máy tính
6.752 virus mới
18,49 virus mới /ngày
Lây nhiễm 511.000 máy tính
Số lượng
118
224
342
140
Trong năm 2008, hàng loạt các sự cố như mất quyền quản lý tên miền hay
tấn công DDoS đã trở thành lời kêu gọi xây dựng hệ thống "phòng thủ" trước những
nguy cơ mới. Theo ông Nguyễn Tử Quảng, Giám đốc Bkis, chưa có năm nào thế
giới Internet lại có nhiều tình huống nguy cấp như 2008. Năm qua, ít nhất 3 lần, tất
cả người sử dụng Internet trên thế giới đã bị đặt trong tình huống nguy hiểm và
Luận văn thạc sĩ
GVHD: TS. LƯU THANH TRÀ
Học viên: NGÔ HÁN CHIÊU
MSHV: 01407330
-2-
người sử dụng Việt Nam cũng nằm trong số đó. Điển hình là sự cố về lỗ hổng DNS
Cache Poisoning. Khi lỗi này chưa được vá, kẻ xấu có thể chuyển hướng truy nhập
vào nơi nào chúng muốn và lừa đảo bất kỳ ai. Tình hình nguy hiểm tới mức, hầu
như tất cả các nhà sản xuất phần cứng hay phần mềm danh tiếng của thế giới như
Sun, Cisco, Microsoft, Apple... đều phải tham gia phối hợp khắc phục. Hay lần khác
là việc xuất hiện những lỗ hổng liên quan đến hệ điều hành Windows. Trong cả hai
sự cố, Microsoft đều phải đưa ra bản vá khẩn cấp mà không theo định kỳ như thông
lệ.
Đầu năm 2009, Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam - Bộ
Thông tin và Truyền thông cũng đã đưa ra dự báo tình hình virus, mã độc sẽ tiếp tục
diễn ra phức tạp và gây ra các ảnh hưởng trực tiếp đến người dùng cuối.
Đứng trước nguy cơ tiềm ẩn đó, nhiều giải pháp bảo mật bằng phần cứng
hoặc phần mềm của các hãng nổi tiếng trên thế giới như: Cisco, Juniper, McAfee,
CheckPoint, Symantec,... đã được đưa ra. Song song với việc triển khai Firewall các
hãng cũng đã giới thiệu thêm hệ thống IDS/IPS nhằm mang lại giải pháp bảo mật
toàn diện cho hệ thống mạng của người dùng. Tuy nhiên, trở ngại lớn nhất hiện nay
đó là chi phí triển khai thiết bị bảo mật IDS/IPS (bao gồm phần cứng và phần mềm)
của các hãng rất cao trong khi nguồn kinh phí dành cho IT của người sử dụng hết
sức hạn chế, nhất là trong giai đoạn khủng hoảng kinh tế toàn cầu hiện nay.
Hệ thống mạng của Trường Đại học Bách khoa TP. HCM cũng là một trong
những nơi cần được bảo mật cao nhất, do tính chất đặc thù của một trong những
trường đại học lớn nhất nước với lưu lượng trao đổi rất cao, cơ sở dữ liệu quan
trọng và nhạy cảm. Tuy vậy, cùng với các trường đại học khác, kinh phí hàng năm
dành cho hệ thống mạng của Trường là rất ít nên không thể triển khai hệ thống bảo
mật (Firewall, IDS/IPS) của các hãng nổi tiếng của thế giới. Hiện nay, hệ thống bảo
mật chủ yếu của Trường là dùng Proxy Server để ngăn chặn và lọc các truy cập
vào/ra trái phép hoặc truy cập các địa chỉ website không an toàn.
Như vậy, vấn đề đặt ra là Xây dựng hệ thống IDS cho hệ thống mạng của
Trường vừa mang tính mở (miễn phí), vừa mang lại hiệu quả phòng chống cao, khả
năng triển khai linh hoạt, ít phụ thuộc vào thiết bị. Hệ thống IDS sử dụng phần mềm
mở Snort là giải pháp khả thi nhất để giải quyết vấn đề được đặt ra.
Luận văn thạc sĩ
GVHD: TS. LƯU THANH TRÀ
Học viên: NGÔ HÁN CHIÊU
MSHV: 01407330
-3-
1.2.
Tình hình thế giới và trong nước liên quan đến lĩnh vực nghiên cứu của
Luận văn
1.2.1. Hệ thống IDS
@ Thế giới:
Hiện nay trên thế giới có rất nhiều hãng cung cấp thiết bị, cũng như giải
pháp về IDS nổi tiếng, ví dụ như:
-
Hãng Cisco: Cisco IDS 4235, Cisco IDS 4250
-
Hãng Checkpoint có dòng Crossbeam tích hợp các chức năng
Firewall,IDS, Filtering.
-
Hãng SecureWorks có iSensor.
-
Hãng Juniper có NetScreen Firewall.
-
McAfee (SIG).
Mỗi hãng đều có những giải pháp và thiết bị mang tính đặc thù và có thế
mạnh riêng. Hệ thống bảo mật sẽ phát huy tác dụng nếu sử dụng hai thiết bị của
hai hãng khác nhau cho từng vai trò riêng lẻ, ví dụ như sử dụng Firewall ASA
của Cisco, IDS của Checkpoint,...Khi đó, khả năng bảo mật sẽ tăng lên rất nhiều.
@ Việt Nam:
Cũng nằm trong xu hướng phát triển chung của thế giới, các hệ thống mạng
lớn tại Việt Nam (như hệ thống mạng của ngân hàng, telco, dầu khí, kho bạc, hải
quan, thuế,...) đều triển khai các hệ thống bảo mật và an toàn mạng dựa trên các
nền sản phẩm của các hãng nổi tiếng trên thế giới. Hệ thống bảo mật của họ là
một hệ thống có kiến trúc nhiều lớp: hệ thống Firewall phần cứng, Firewall
mềm, IDS, IPS, Content Filter,...được triển khai riêng lẻ từng thiết bị hoặc tích
hợp với khác module chức năng riêng biệt trên cùng một thiết bị (Ví dụ:
Firewall – IDS, Router – Firewall,...). Các hệ thống này hiện nay hoạt động
tương đối ổn định và hiệu quả.
1.2.2. SNORT:
Hiện nay có khoảng 3 triệu người download Snort và hàng ngày có hơn
100.000 người dùng tham gia trao đổi trên các diễn đàn về Snort. Snort trở thành
hệ thống phần mềm phát hiện xâm nhập mạng được sử dụng nhiều nhất trên toàn
Luận văn thạc sĩ
GVHD: TS. LƯU THANH TRÀ
Học viên: NGÔ HÁN CHIÊU
MSHV: 01407330
- Xem thêm -