Tài liệu Nghiên cứu và xây dựng hệ thống phát hiện thâm nhập mạng (ids) cho hệ thống mạng trường đại học bách khoa tp. hồ chí minh

ĐẠI HỌC QUỐC GIA TP. HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA ------------------------- NGÔ HÁN CHIÊU NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG PHÁT HIỆN THÂM NHẬP MẠNG (IDS) CHO HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC BÁCH KHOA TP. HCM CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ LUẬN VĂN THẠC SĨ TP. HỒ CHÍ MINH, THÁNG 7 NĂM 2009 CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH -----Cán bộ hướng dẫn khoa học: TS. Lưu Thanh Trà Cán bộ chấm nhận xét 1: PGS-TS Lê Tiến Thường Cán bộ chấm nhận xét 2: TS Đặng Thành Tín Luận văn thạc sĩ được bảo vệ tại HỘI ĐỒNG CHẤM BẢO VỆ LUẬN VĂN THẠC SĨ TRƯỜNG ĐẠI HỌC BÁCH KHOA, ngày 16 tháng 07 năm 2009 TRƯỜNG ĐH BÁCH KHOA TP. HCM PHÒNG ĐÀO TẠO SĐH CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc TP. HCM, ngày ……tháng ….năm 2009 NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ và tên học viên: NGÔ HÁN CHIÊU Ngày, tháng, năm sinh: 05/01/1979 Chuyên ngành: Kỹ thuật điện tử Phái: Nam Nơi sinh: Vĩnh Long MSHV: 01407330 I- TÊN ĐỀ TÀI: NGHIÊN CỨU VÀ XÂY DỰNG HỆ THỐNG PHÁT HIỆN THÂM NHẬP MẠNG (IDS) CHO HỆ THỐNG MẠNG TRƯỜNG ĐẠI HỌC BÁCH KHOA TP. HCM II- NHIỆM VỤ VÀ NỘI DUNG: 1. Nhiệm vụ: - Nghiên cứu, xây dựng và triển khai hệ thống phát hiện xâm nhập mạng (IDS) cho hệ thống mạng của Trường ĐHBK TP. HCM trên cơ sở sử dụng phần mềm mã nguồn mở Snort, nhằm nâng cao khả năng bảo mật và an toàn thông tin cho hệ thống mạng của Trường. - Kiểm chứng kết quả triển khai thực tế và khả năng thực hiện IDS của Snort so với giải pháp của các hãng. 2. Nội dung: - Nghiên cứu về Hệ thống IDS và giải pháp IDS hiện nay của các hãng trên thế giới, đánh giá ưu nhược điểm hệ thống IDS của các hãng. Khảo sát việc ứng dụng hệ thống IDS thực tế của các hãng tại các công ty lớn ở TP. HCM. - Nghiên cứu về Snort, phân tích, đánh giá chức năng IDS của Snort, So sách các giải pháp IDS của các hãng và Snort. - Phân tích và đánh giá hệ thống bảo mật mạng của Trường ĐHBK TP. HCM. Chọn lựa giải pháp IDS cho hệ thống mạng của Trường. Trên cơ sở đó thiết kế và xây dựng hệ thống IDS trên hạ tầng mạng của Trường ĐHBK TP. HCM. - Kiểm chứng kết quả triển khai Snort trên hệ thống mạng, so sánh với khả năng phát hiện xâm nhập mạng trước đó (khi chưa triển khai IDS). III- NGÀY GIAO NHIỆM VỤ: 02/02/2009. IV- NGÀY HOÀN THÀNH NHIỆM VỤ: 03/07/2009. V- CÁN BỘ HƯỚNG DẪN: TS. LƯU THANH TRÀ. CÁN BỘ HƯỚNG DẪN CN BỘ MÔN QL CHUYÊN NGÀNH LỜI CÁM ƠN _________ Tôi xin chân thành cám ơn: - Gia đình. - Tiến sĩ Lưu Thanh Trà, cán bộ hướng dẫn khoa học. - Thầy cô Trường Đại học Bách khoa TP. HCM. - Phòng đào tạo sau đại học. - Anh chị em trong Ban quản lý mạng của Trường. - Anh chị em trong Viện Khoa học Kỹ thuật Bưu điện cơ sở 2. - Phòng Viễn thông Công viên Phần mềm Quang Trung. - Phòng Công nghệ thông tin Tổng Công ty cấp nước Sài Gòn. - Tổ tin học UBND Quận 1, Quận 5 và Sở Kế hoạch đầu tư TP. HCM. đã động viên, hỗ trợ và giúp đỡ tôi hoàn thành Luận văn tốt nghiệp này ! LỜI CAM ĐOAN ______ Tôi xin cam đoan: - Đây là công trình nghiên cứu của riêng tôi. - Những nội dung trong luận văn này là do tôi thực hiện dưới sự hướng dẫn trực tiếp của Tiến sĩ Lưu Thanh Trà. - Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, tôi xin chịu hoàn toàn trách nhiệm. - Các số liệu, kết quả trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác. Tác giả Luận văn NGÔ HÁN CHIÊU TÓM TẮT LUẬN VĂN THẠC SĨ Vấn đề an toàn, an ninh mạng không mới nhưng càng ngày càng trở nên quan trọng cùng với sự phát triển của công nghệ thông tin. Ngày nay, một tường lửa (Firewall) không thể ngăn chặn được các cuộc tấn công huỷ diệt của các tin tặc. Vì vậy, các tổ chức, doanh nghiệp đã phải cần tới một hệ thống an ninh mạng toàn diện không chỉ khắc phục sự cố, mà còn chủ động phòng chống một cách tự động và thông minh. Một hệ thống an ninh mạng toàn diện bao gồm các thành phần: hệ thống tường lửa nhiều lớp, hệ thống lọc nội dung, hệ thống chống virus, hệ thống phát hiện và phòng chống xâm nhập mạng (IDS/IPS). Trong đó, hệ thống IDS/IPS đóng vai trò quan trọng trong việc phát hiện và phòng chống các cuộc xâm nhập, các cuộc tấn công làm ảnh hưởng đến hệ thống mạng. Hiện nay, để triển khai hệ thống IDS/IPS, có hai giải pháp: thứ nhất là sử dụng thiết bị phần cứng của các hãng, thứ hai là sử dụng phần mềm (bao gồm phần mềm có bản quyền và phần mềm mã nguồn mở). Snort là một trong những phần mềm IDS/IPS. Đây là phần mềm mã nguồn mở miễn phí được sử dụng phổ biến trên thế giới. Snort có thể được dùng như một thiết bị nghe lén (sniffer), ghi nhận gói tin (packet logger) trong hệ thống mạng và có thể tương thích với nhiều cơ sở dữ liệu như Oracle, Microsoft SQL Server... Tại Việt Nam, việc sử dụng phần mềm Snort làm Hệ thống IDS/IPS chưa được phổ biến rộng rãi trong các tổ chức, doanh nghiệp. Hiện tại, chỉ dừng lại ở góc độ là các nghiên cứu khoa học và mô phỏng trên máy ảo. Trường Đại học Bách khoa TP. HCM là một trong những đơn vị đi đầu của cả nước trong việc nghiên cứu, ứng dụng và triển khai các công nghệ mới vào thực tế. Vì vậy, đề tài luận văn đã thực hiện nghiên cứu và triển khai hệ thống IDS trên hệ thống mạng của Trường bằng cách sử dụng phần mềm Snort, một mặt đáp ứng nhu cầu an ninh bảo mật cho hệ thống mạng của Trường hiện nay, mặt khác để đánh giá và so sánh hiệu quả hoạt động của Snort với các thiết bị phần cứng của các hãng. Từ đó làm cơ sở khoa học cho việc hợp tác và chuyển giao công nghệ về hệ thống IDS- Snort giữa Trường và các đơn vị có nhu cầu. Để triển khai hệ thống IDS-Snort, trong luận văn đã nêu lên những nghiên cứu về hệ thống IDS, giải pháp IDS của các hãng, tìm hiểu việc sử dụng hệ thống IDS tại các đơn vị ở TP. HCM. Nghiên cứu về Snort, cấu trúc luật và phương pháp cài đặt, cấu hình Snort cũng được trình bày trong luận văn. Dựa trên các nội dung nghiên cứu về hệ thống IDS, về Snort, đã đề xuất các giải pháp triển khai hệ thống IDS cho Trường và lựa chọn được giải pháp triển khai tối ưu nhất. Kết quả triển khai thực nghiệm cho thấy hệ thống IDS-Snort cài đặt trên hệ thống mạng Trường có khả năng giám sát, phát hiện và cảnh báo tất cả các dấu hiệu tấn công, các luồng dữ liệu nguy hiểm đe doạ đến an toàn thông tin của Web-Server, cho phép người quản trị mạng có thể giám sát tình trạng hệ thống IDS thông qua giao diện Web; cập nhật luật, tuỳ biến luật theo nhu cầu, chính sách bảo mật của Trường. Trong tương lai, có thể xây dựng và phát triển hệ thống phát hiện xâm nhập IDS-Snort thành hệ thống phát hiện và phòng chống xâm nhập (IPS-Snort) bằng cách kết hợp với Firewall và Router. Nghiên cứu và triển khai SNORT-Inline và SNORT-SAM làm hệ thống IPS cho Trường./. ABSTRACT With the development of information technology, the problems of network safety and security is not new but increasingly become more important. Today, a firewall can not prevent the destructive attacks of hackers. Therefore, the organizations and enterprises need a network security system that is not only completely overcome the problems, but also can prevent the intrusion automatically and intelligently. A comprehensive and modern network security system includes following components: the system of multiple firewalls, the network content filtering systems, and the IDS/IPS sytem where the IDS/IPS system plays an important role in detecting and preventing the intrusions and attacks to the network system. Currently, there are two solutions to implement the IDS/IPS system: the first is to use hardware devices of the manufacturer, the second is to use the software (including copyright software and open source software). Snort is an IDS/IPS software. This is a free open source software used widely in the whole world. Snort can be used as a sniffer, packet logger in the network system and can be compatible with multiple databases such as Oracle, Microsoft SQL Server ... In Vietnam, using Snort software as an IDS/IPS system is not public in organizations and enterprises. Currently, Snort is only used in the scientific research and simulation on the virtual machine. Ho Chi Minh City University of Technology is one of the first organisations in the research, application and implementation of new technology into practice. Therefore, the subject of the essay is research and deployment the IDS system in the university's network using Snort software with two main targets. One side is to meet the current network security requirements of the university, on the other is to evaluate and compare the performance of Snort with hardware devices of the manufacturer. From these results, we can use them as a scientific background for cooperation and technology transfer of the IDS-Snort system between the University and our partner. To implement the IDS-Snort system, in this essay we study the IDS system, the IDS solutions of the manufacturers and survey the using IDS system in some organizations in Ho Chi Minh City; the Snort system, its rule structure, installation and configuration methods are also presented in the essay. Based on the researches of IDS and Snort system, I proposed some proposals to deploy the IDS system for the University’s network and choosed the best one to implement in real network system. Results in practice shows that the IDS-Snort installed on the network system has the capability to monitor, detect and alert all the signatures of an attack, the dangerous threats for the safety of information in Web-Server; allow the network administrators can monitor the IDS system status through the web interface; can update rules, optimize rules due to the requirements, security policies of the University. In the future, we can upgrade and develop the IDS-Snort system into the Intrusion Prevention System (IPS-Snort) through the combination between Snort with the Firewall and Router, research and deploy the SNORT-Inline and SNORT-SAM as an IPS system for the University./. MỤC LỤC _________ Chương 1.  TỔNG QUAN ..................................................................................... 1  1.1.  Cơ sở nghiên cứu và mục đích của Luận văn ................................................ 1  1.2.  Tình hình thế giới và trong nước liên quan đến lĩnh vực nghiên cứu của Luận văn .................................................................................................................. 3  1.2.1.  Hệ thống IDS ....................................................................................... 3  1.2.2.  SNORT: ............................................................................................... 3  Chương 2.  HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG - IDS (Intrusion Detection System) ....................................................................................................... 5  2.1.  Vấn đề quản trị bảo mật và các hình thức tấn công mạng hiện nay .............. 5  2.1.1.  Quản trị bảo mật .................................................................................. 5  2.1.2.  Các hình thức tấn công mạng hiện nay ............................................... 8  2.1.3.  Nhận xét: ...........................................................................................12  2.2.  Tổng quan về Hệ thống IDS ........................................................................12  2.2.1.  Khái niệm ..........................................................................................12  2.2.2.  Nguyên tắc xây dựng hệ thống IDS. .................................................13  2.2.3.  Quá trình xử lý của hệ thống IDS......................................................14  2.2.4.  Nguyên tắc phân loại tấn công và xâm nhập .....................................15  2.3.  Nguyên lý hoạt động của Hệ thống IDS ......................................................18  2.4.  Phân loại IDS ...............................................................................................19  2.4.1.  Theo tiêu chí phương pháp phát hiện ................................................19  2.4.2.  Theo tiêu chí môi trường vận hành của IDS .....................................21  2.4.3.  Theo tiêu chí phản ứng của IDS. .......................................................21  2.5.  Mô hình hoạt động của Hệ thống IDS .........................................................21  2.5.1.  Network-Based IDS (NIDS). ............................................................21  2.5.2.  Host Based IDS (HIDS) ....................................................................23  2.5.3.  Hệ thống phát hiện xâm nhập phân tán (DIDS) ................................25  2.5.4.  Stack-based IDS ................................................................................26  2.6.  Các phương pháp phát hiện xâm nhập của IDS ..........................................27  2.6.1.  Phương pháp bắt gói tin (Packet Sniffing) ........................................27  2.6.2.  Phân tích nhật ký (Log Parsing) ........................................................27  2.6.3.  Giám sát các cuộc gọi hệ thống (System Call Monitoring) ..............27  2.6.4.  Kiểm tra các tệp hệ thống (Filesystem Watching) ............................27  2.7.  Các phương thức xử lý thông tin của Hệ thống IDS ...................................27  2.7.1.  Xử lý kiểm định .................................................................................28  2.7.2.  Xử lý trực tuyến (Online) ..................................................................29  2.7.3.  Real-time IDS ....................................................................................31  2.8.  Kết luận........................................................................................................32  Chương 3.  GIẢI PHÁP TRIỂN KHAI PHẦN CỨNG HỆ THỐNG IDS VÀ ỨNG DỤNG HỆ THỐNG IDS TẠI CÁC ĐƠN VỊ.................................................33  3.1.  Nghiên cứu giải pháp IDS hiện nay của các hãng trên thế giới ..................33  3.1.1.  Giải pháp của Cisco ...........................................................................33  3.1.2.  Giải pháp của ISS ..............................................................................39  3.1.3.  Giải pháp của Nortel: Threat Protection System (TPS) ....................41  3.1.4.  Giải pháp của Checkpoint .................................................................44  3.1.5.  Giải pháp của McAfee .......................................................................45  3.1.6.  Giải pháp của Juniper ........................................................................49  3.2.  So sánh giải pháp IDS của các hãng và Snort .............................................52  3.3.  Khảo sát việc ứng dụng hệ thống IDS tại các đơn vị trên địa bàn TP. HCM . .....................................................................................................................53  3.3.1.  Công ty phát triển công viên phần mềm Quang Trung (QTSC). ......53  3.3.2.  Tổng Công ty Cấp nước Sài Gòn. .....................................................55  3.3.3.  UBND Quận 1 và UBND Quận 5 .....................................................56  3.3.4.  Sở Kế hoạch Đầu Tư TP. HCM. .......................................................58  3.3.5.  Nhận xét.............................................................................................59  3.4.  Kết luận........................................................................................................60  Chương 4.  SNORT – PHẦN MỀM IDS MÃ NGUỒN MỞ...............................61  4.1.  Giới thiệu về SNORT ..................................................................................61  4.1.1.  Snort - Giải pháp IDS/IPS mã nguồn mở ..........................................61  4.1.2.  Các thành phần của Snort ..................................................................61  4.1.3.  Các chế độ hoạt động ........................................................................62  4.1.4.  Các chế độ cảnh báo ..........................................................................63  4.1.5.  Các mô hình triển khai Snort .............................................................64  4.2.  Cài đặt ..........................................................................................................66  4.2.1.  Yêu cầu hệ thống ...............................................................................66  4.2.2.  Cài đặt Snort ......................................................................................67  4.2.3.  Quản lý Snort qua giao diện Web .....................................................69  4.3.  Cấu hình .......................................................................................................73  4.3.1.  Khởi tạo các biến ...............................................................................74  4.3.2.  Decoder (bộ giải mã) .........................................................................75  4.3.3.  Config Directive ................................................................................76  4.3.4.  Cấu hình động thư viện đã nạp ..........................................................77  4.3.5.  Cấu hình các Preprocessor (Bộ tiền xử lý) ........................................77  4.3.6.  Cấu hình những Plugin-Output .........................................................77  4.3.7.  Tham chiếu file khác (Include Files).................................................77  4.4.  Phân tích hoạt động của bộ tiền xử lý (Preprocessor) .................................78  4.4.1.  Frag2 ..................................................................................................79  4.4.2.  Frag3 ..................................................................................................80  4.4.3.  Stream4 ..............................................................................................81  4.4.4.  Stream5 ..............................................................................................84  4.4.5.  sfPortscan ..........................................................................................84  4.4.6.  HTTP Inspect ....................................................................................86  4.4.7.  FTP/Telnet Preprocessor ...................................................................87  4.5.  Cấu trúc luật (Rule) và triển khai các luật trong Snort ................................90  4.5.1.  Cấu trúc của rule................................................................................90  4.5.2.  Rule Headers .....................................................................................91  4.5.3.  Các tùy chọn phổ biến của Rules ......................................................92  4.5.4.  Payload Detection Rules Options ......................................................94  4.5.5.  Non-Payload Detection Rules Options ...........................................102  4.5.6.  Port-Detection Rules Options..........................................................108  4.5.7.  Event Thresholding .........................................................................111  4.5.8.  Event Suppression ...........................................................................111  4.5.9.  Snort Multi-Event Logging .............................................................112  4.5.10.  Nguyên tắt viết Rules ......................................................................113  4.5.11.  Cập nhật Rules.................................................................................114  4.6.  Kết luận......................................................................................................115  Chương 5.  GIẢI PHÁP TRIỂN KHAI HỆ THỐNG IDS CHO TRƯỜNG ĐẠI HỌC BÁCH KHOA TP. HCM ...............................................................................116  5.1.  Hiện trạng hạ tầng mạng của Trường đại học Bách khoa TP. HCM ........116  5.1.1.  Sơ đồ kết nối logic ...........................................................................116  5.1.2.  Các thành phần trong hệ thống mạng. .............................................117  5.1.3.  Giải pháp bảo mật tổng thể hiện nay của hệ thống mạng Trường ..120  5.1.4.  Giải pháp quản trị mạng hiện nay ...................................................122  5.1.5.  Nhu cầu bảo mật hệ thống mạng Trường ........................................123  5.1.6.  Các giải pháp triển khai IDS Snort cho hệ thống mạng Trường .....124  5.2.  Thiết kế và xây dựng hệ thống IDS Snort trên hệ thống mạng của Trường ... ...................................................................................................................127  5.2.1.  Nguyên tắc thiết kế ..........................................................................127  5.2.2.  Xác định vị trí triển khai SNORT và các thành phần thiết bị mạng128  5.2.3.  Cài đặt hệ điều hành Linux..............................................................129  5.2.4.  Cài đặt Snort và các công cụ hỗ trợ: Apache, PHP, MySQL, Base 129  5.2.5.  Thử nghiệm hoạt động của hệ thống SNORT .................................134  5.2.6.  Kiểm tra hoạt động của hệ thống SNORT ......................................134  5.2.7.  Tối ưu hoá giao diện quản lý Snort qua Web (Base) ......................135  5.3.  Kiểm chứng kết quả ...................................................................................141  5.3.1.  Kết quả thực nghiệm trên hệ thống mạng .......................................141  5.3.2.  Phân tích các Alert (cảnh báo) có độ nguy hiểm cao đối với website của Trường ......................................................................................................145  5.3.3.  Tập hợp Rules từ Snort.org và các website khác ............................147  5.3.4.  Tìm hiệu các rules chính cho các trường hợp tấn công websites cụ thể 148  5.3.5.  Đánh giá hiệu quả của việc triển khai Snort trên thực tế hạ tầng mạng của Trường ......................................................................................................150  5.3.6.  Đánh giá hiệu suất hoạt động của Snort ..........................................151  5.3.7.  Kết luận ...........................................................................................152  Chương 6.  KẾT LUẬN .....................................................................................153  6.1.  Đánh giá ưu nhược điểm của Hệ thống IDS Snort ....................................153  6.2.  Kết quả đạt được ........................................................................................154  6.3.  Hạn chế ......................................................................................................155  6.4.  Hướng phát triển ........................................................................................155  6.4.1.  Snort-Inline ......................................................................................155  6.4.2.  Snortsam ..........................................................................................157  6.4.3.  Mô hình đề xuất triển khai IPS cho Trường ....................................162  PHỤ LỤC 1 .............................................................................................................165  PHỤ LỤC 2 .............................................................................................................167  PHỤ LỤC 3 .............................................................................................................169  CÁC TỪ VIẾT TẮT -----Từ viết tắt Diễn giải IDS Intrusion Detection System IPS Intrusion Prevention System ĐHBK Trường Đại học Báck khoa TP. HCM ĐHQG TP. HCM Đại học quốc gia TP. HCM BASE Basic Analysis and Security Engine DMZ Demilitarized Zone SPAN Cisco Catalyst Switched Port Analyzer SAFE Security Architecture For Enterprise TCP Transmission Control Protocol IP Internet Protocol DANH MỤC CÁC BẢNG BIỂU ------Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng Bảng 1: Bảng thống kê tình hình bảo mật năm 2007 tại Việt Nam ...........................1 2: Bảng so sánh giải pháp IDS của các hãng ..................................................52 3: Các gói cài đặt SNORT ..............................................................................67 4: Phân loại các chính sách và hệ điều hành tương ứng .................................81 5: Bảng phân loại mức độ cuộc tấn công........................................................93 6: Các tuỳ chọn cho PCRE .............................................................................99 7: Giá trị tuỳ chọn trong việc kiểm tra trường byte_test ................................99 8: Giá trị tuỳ chọn trong việc kiểm tra trường byte_jump............................100 9: Bảng tuỳ chọn giá trị ASN.1 ....................................................................101 10: Các tuỳ chọn cho trường flow ................................................................105 11: Các tuỳ chọn cho trường flowbits ..........................................................106 12: Các tuỳ chọn cho trường RESP ..............................................................108 13: Các tuỳ chọn cho trường TAG ...............................................................109 16: Bảng liệt kê các alert ..............................................................................111 17: Bảng thống kê các thành phần trong hệ thống mạng .............................117 18. Phân tích một số cảnh báo trong Snort ...................................................145 DANH MỤC CÁC HÌNH VẼ ---------Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình 2.1 Kiến trúc an ninh mạng theo mô hình SAFE ..............................................6 2.2. Thống kê các loại hình tấn công phổ biến hiện nay .................................12 2.3: Quá trình xử lý của IDS ..........................................................................14 2.4 Sơ đồ kiến trúc của một IDS .....................................................................15 2.5: Một hệ thống IDS mẫu. ............................................................................18 2.6: Những thành phần của IDS ......................................................................19 2.7: Sơ đồ cài đặt NIDS ..................................................................................22 2.8: Sơ đồ cài đặt HIDS ..................................................................................24 2.9: Hệ thống phát hiện xâm nhập phân tán (DIDS).......................................26 3.1: Giải pháp bảo mật của Cisco ...................................................................34 3.2: Giải pháp IDS của McAfee ......................................................................49 3.3: Sơ đồ cấu hình mạng Công viên Phần mềm Quang Trung (QTSC)........54 3.4 Màn hình hiển thị của ActiveScout ...........................................................55 3.5 Sơ đồ cấu hình mạng của SAWACO ........................................................56 3.6: Sơ đồ cấu hình mạng của UBND Q1 .......................................................56 3.7 Sơ đồ cấu hình mạng của UBND Quận 5 .................................................57 3.8: Sơ đồ cấu hình mạng của Sở Kế hoạch & Đầu tư ...................................59 4.1: Mô hình kiến trúc của SNORT ................................................................62 4.2: Mô hình triển khai SNORT trong và ngoài Firewall ...............................65 4.3: Mô hình triển khai SNORT tại vùng DMZ..............................................65 4.4: Mô hình triển khai SNORT với SPAN port .............................................66 4.5 Cấu trúc luật của Snort ..............................................................................90 4.6. Giao diện cập nhật rule bằng Oinkmaster ..............................................115 5.1. Sơ đồ cấu trúc logic hệ thống mạng của Trường ...................................117 5.2.Mô hình sử dụng Proxy Server ...............................................................121 5.3. Giải pháp 1 - Mô hình triển khai hệ thống IDS .....................................125 5.4. Giải pháp 2 - Mô hình triển khai hệ thống IDS .....................................126 5.5 Giải pháp 2 - Mô hình triển khai hệ thống IDS ......................................127 5.6. Vị trí triển khai Snort trong hệ thống mạng Trường ..............................128 5.7 Màn hình cài đặt Red Hat Enterprise Linux 5. .......................................129 5.8. Màn hình kiểm tra chạy thử Snort..........................................................134 5.9. Màn hình giao diện củaBase ..................................................................135 5.10 Chi tiết các dấu hiệu tấn công thể hiện trên BASE ...............................136 5.11. Nội dung thông tin cảnh báo trong Snort .............................................136 Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình 5.12. Thống kê các loại cảnh báo dưới dạng đồ hoạ .....................................137 5.13. Xác định vị trí của đối tượng tấn công trên Google Map ....................140 5.14. Màn hình đăng nhập vào BASE ...........................................................141 5.15. Màn hình cảnh báo các dấu hiệu tấn công hệ thống Web-Server ........142 5.16. Thống kê số cảnh báo sau 5 ngày triển khai thử nghiệm .....................143 5.17. Phân loại các dạng tấn công của Base..................................................143 5.18. Cảnh báo tấn công dạng Trojan ...........................................................144 5.19. Xác định vị trí đối tượng tấn công Trojan............................................144 5.20. Cập nhật Rules từ Snort.org .................................................................147 5.21. Tập hợp rules từ http://www.emergingthreats.net/ ..............................148 5.22. Biểu đồ cảnh báo của SNORT .............................................................151 5.23 Biểu đồ hiệu suất sử dụng của CPU ......................................................152 6.1 Sơ đồ triển khai thử nghiệm Snort-Inline ...............................................156 6.2. Sơ đồ triển khai thử nghiệm Snortsam & Iptable ..................................159 6.3 Sơ đồ triển khai thử nghiệm Snortsam & Router Cisco..........................160 6.4 Mô hình 1 - Triển khai IPS cho Trường .................................................162 6.5 Mô hình 2 - Triển khai IPS cho Trường .................................................163 6.6 Mô hình 1 - Triển khai IPS cho Trường .................................................163  MỞ ĐẦU ---- WX ---Ngày nay, an ninh mạng đã trở thành một vấn đề hết sức quan trọng. Những kẻ phá hoại (hacker) và xâm nhập mạng (intruder) đã đạt được nhiều thành công trong việc tấn công vào các thành phần và các dịch vụ mạng. Do đó, hiện nay có nhiều phương pháp đã được phát triển để đảm bảo an toàn cho hạ tầng và cho truyền thông trên mạng Internet, ta có thể kể tới một số phương pháp điển hình như: sử dụng bức tường lửa (firewall), mã hoá dữ liệu (encryption) và các mạng riêng ảo (VPN - virtual private networks). Phát hiện xâm nhập mạng (Intrusion Detection) là một kỹ thuật mới, xuất hiện cách đây vài năm. Sử dụng phương pháp phát hiện xâm nhập, ta có thể thu thập và sử dụng các dấu vết (signatures) từ những kiểu tấn công đã được biết trước, từ đó tìm ra xem liệu có kẻ nào đó đang cố gắng tấn công vào mạng hay máy của mình hay không? Những thông tin được thu thập theo cách này sẽ được sử dụng để làm tăng khả năng an toàn cho mạng cũng như cho các mục đích khác. Kỹ thuật phát hiện xâm nhập mạng hiện đã được cài đặt trong các sản phẩm thương mại cũng như trong sản phẩm có mã nguồn mở. Hệ thống mạng của Trường Đại học Bách khoa TP. HCM cũng là một trong những địa chỉ hấp dẫn đối với những kẻ phá hoạt và tấn công mạng. Song song với việc triển khai các giải pháp bảo vệ hệ thống như trang bị Firewall, Proxy, Antivirus,…thì cần phải trang bị một hệ thống phát hiện xâm nhập mạng (IDS) để nâng cao khả năng phát hiện và phòng chống các cuộc tấn công mạng, đánh cắp dữ liệu,... Mục đích của Luận văn này là xây dựng hệ thống IDS cho hệ thống mạng Trường trên nền tảng phần mềm mã nguồn mở Snort. Snort chủ yếu là một IDS dựa trên luật, tuy nhiên các input plug-in cũng tồn tại để phát hiện sự bất thường trong các header của giao thức. Snort sử dụng các luật được lưu trữ trong các file text, có thể được chỉnh sửa bởi người quản trị. Các luật được nhóm thành các kiểu. Các luật thuộc về mỗi loại được lưu trong các file khác nhau. Tìm ra các dấu hiệu và sử dụng chúng trong các luật là một vấn đề đòi hỏi sự tinh tế, vì khi sử dụng nhiều luật thì năng lực xử lý càng được đòi hỏi để thu thập dữ liệu trong thực tế. Luận văn được trình bày thành 6 chương và 3 phụ lục, cụ thể như sau: Chương 1: Tổng quan Phần Tổng quan sẽ nêu lên cơ sở và mục đích nghiên cứu Luận văn. Tình hình thế giới và trong nước liên quan đến lĩnh vực nghiên cứu Chương 2: Hệ thống phát hiện xâm nhập mạng - IDS (Intrusion Detection System) Trong chương 2, chúng ta sẽ tìm hiểu về vấn đề quản trị bảo mật hiện nay, các hình thức tấn công. Sau đó sẽ nghiên cứu về hệ thống IDS, các thành phần hệ thống IDS, cấu trúc và nguyên lý làm việc của hệ thống. Chương 3: Giải pháp triển khai phần cứng hệ thống IDS và ứng dụng hệ thống IDS tại các đơn vị Trong Chương này, sẽ trình bày giải pháp IDS của các hãng hiện nay và việc triển khai thực tế tại các đơn vị trên địa bàn TP. HCM (địa phương ứng dụng CNTT mạnh nhất cả nước). Từ đó đưa ra những đánh giá, so sánh và chọn lựa giải pháp xây dựng hệ thống IDS cho Trường Đại học Bách khoa TP. HCM Chương 4: Snort - Phần mềm IDS mã nguồn mở Chương 4 sẽ nêu lên các nội dung liên quan đến Snort: Cấu trúc hệ thống, cài đặt các gói phần mềm và Snort, phân tích tập tin config, cách thức hoạt động của Snort, phân tích cấu trúc luật của Snort, các triển khai luật và cập nhật luật trong Snort… Chương 5: Giải pháp triển khai hệ thống IDS cho Trường Đại học Bách Khoa TP. HCM Trong chương này, sẽ phân tích hiện trạng hạ tầng mạng Trường ĐHBK TP. HCM, nhu cầu triển khai IDS, phương án triển khai, thiết kế, chạy thử và kiểm chứng kết quả. Chương 6: Kết luận Nêu lên ưu và nhược điểm của hệ thống Snort, các kết quả đạt được, mặc hạn chế và định hướng phát triển của Luận văn./. -1- Chương 1. TỔNG QUAN Chương I sẽ nêu lên cơ sở nghiên cứu và mục đích của Luận văn cũng như tổ chức bố cục của Luận văn. 1.1. Cơ sở nghiên cứu và mục đích của Luận văn Theo thống kê của Trung tâm An ninh mạng Bách Khoa (Bkis), trong năm 2007, thiệt hại do virus máy tính gây ra tại Việt Nam lên tới 2.400 tỷ đồng, với các cuộc tấn công vào hơn 33 triệu lượt máy tính ở Việt Nam. Với khoảng 4 triệu máy tính sử dụng thường xuyên, tính toán ban đầu virus gây thiệt hại gần 600.000 đồng/máy tính/năm. Bảng 1: Bảng thống kê tình hình bảo mật năm 2007 tại Việt Nam (nguồn: www.bkav.com.vn) Virus máy tính năm 2007 (tại Việt Nam) Số lượng Số máy tính bị nhiễm virus Số virus mới xuất hiện trong năm Số virus xuất hiện trung bình trong 1 ngày Virus lây lan nhiều nhất trong năm: W32.Winib.Worm An ninh mạng năm 2007 (tại Việt Nam) Theo quan sát của Bkis: Số website Việt Nam bị hacker trong nước tấn công Số website Việt Nam bị hacker nước ngoài tấn công Tổng cộng Thông tin về các cảnh báo lỗ hổng: Số website Bkis phát hiện có lỗ hổng nghiêm trọng 33.646.000 lượt máy tính 6.752 virus mới 18,49 virus mới /ngày Lây nhiễm 511.000 máy tính Số lượng 118 224 342 140 Trong năm 2008, hàng loạt các sự cố như mất quyền quản lý tên miền hay tấn công DDoS đã trở thành lời kêu gọi xây dựng hệ thống "phòng thủ" trước những nguy cơ mới. Theo ông Nguyễn Tử Quảng, Giám đốc Bkis, chưa có năm nào thế giới Internet lại có nhiều tình huống nguy cấp như 2008. Năm qua, ít nhất 3 lần, tất cả người sử dụng Internet trên thế giới đã bị đặt trong tình huống nguy hiểm và Luận văn thạc sĩ GVHD: TS. LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -2- người sử dụng Việt Nam cũng nằm trong số đó. Điển hình là sự cố về lỗ hổng DNS Cache Poisoning. Khi lỗi này chưa được vá, kẻ xấu có thể chuyển hướng truy nhập vào nơi nào chúng muốn và lừa đảo bất kỳ ai. Tình hình nguy hiểm tới mức, hầu như tất cả các nhà sản xuất phần cứng hay phần mềm danh tiếng của thế giới như Sun, Cisco, Microsoft, Apple... đều phải tham gia phối hợp khắc phục. Hay lần khác là việc xuất hiện những lỗ hổng liên quan đến hệ điều hành Windows. Trong cả hai sự cố, Microsoft đều phải đưa ra bản vá khẩn cấp mà không theo định kỳ như thông lệ. Đầu năm 2009, Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam - Bộ Thông tin và Truyền thông cũng đã đưa ra dự báo tình hình virus, mã độc sẽ tiếp tục diễn ra phức tạp và gây ra các ảnh hưởng trực tiếp đến người dùng cuối. Đứng trước nguy cơ tiềm ẩn đó, nhiều giải pháp bảo mật bằng phần cứng hoặc phần mềm của các hãng nổi tiếng trên thế giới như: Cisco, Juniper, McAfee, CheckPoint, Symantec,... đã được đưa ra. Song song với việc triển khai Firewall các hãng cũng đã giới thiệu thêm hệ thống IDS/IPS nhằm mang lại giải pháp bảo mật toàn diện cho hệ thống mạng của người dùng. Tuy nhiên, trở ngại lớn nhất hiện nay đó là chi phí triển khai thiết bị bảo mật IDS/IPS (bao gồm phần cứng và phần mềm) của các hãng rất cao trong khi nguồn kinh phí dành cho IT của người sử dụng hết sức hạn chế, nhất là trong giai đoạn khủng hoảng kinh tế toàn cầu hiện nay. Hệ thống mạng của Trường Đại học Bách khoa TP. HCM cũng là một trong những nơi cần được bảo mật cao nhất, do tính chất đặc thù của một trong những trường đại học lớn nhất nước với lưu lượng trao đổi rất cao, cơ sở dữ liệu quan trọng và nhạy cảm. Tuy vậy, cùng với các trường đại học khác, kinh phí hàng năm dành cho hệ thống mạng của Trường là rất ít nên không thể triển khai hệ thống bảo mật (Firewall, IDS/IPS) của các hãng nổi tiếng của thế giới. Hiện nay, hệ thống bảo mật chủ yếu của Trường là dùng Proxy Server để ngăn chặn và lọc các truy cập vào/ra trái phép hoặc truy cập các địa chỉ website không an toàn. Như vậy, vấn đề đặt ra là Xây dựng hệ thống IDS cho hệ thống mạng của Trường vừa mang tính mở (miễn phí), vừa mang lại hiệu quả phòng chống cao, khả năng triển khai linh hoạt, ít phụ thuộc vào thiết bị. Hệ thống IDS sử dụng phần mềm mở Snort là giải pháp khả thi nhất để giải quyết vấn đề được đặt ra. Luận văn thạc sĩ GVHD: TS. LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330 -3- 1.2. Tình hình thế giới và trong nước liên quan đến lĩnh vực nghiên cứu của Luận văn 1.2.1. Hệ thống IDS @ Thế giới: Hiện nay trên thế giới có rất nhiều hãng cung cấp thiết bị, cũng như giải pháp về IDS nổi tiếng, ví dụ như: - Hãng Cisco: Cisco IDS 4235, Cisco IDS 4250 - Hãng Checkpoint có dòng Crossbeam tích hợp các chức năng Firewall,IDS, Filtering. - Hãng SecureWorks có iSensor. - Hãng Juniper có NetScreen Firewall. - McAfee (SIG). Mỗi hãng đều có những giải pháp và thiết bị mang tính đặc thù và có thế mạnh riêng. Hệ thống bảo mật sẽ phát huy tác dụng nếu sử dụng hai thiết bị của hai hãng khác nhau cho từng vai trò riêng lẻ, ví dụ như sử dụng Firewall ASA của Cisco, IDS của Checkpoint,...Khi đó, khả năng bảo mật sẽ tăng lên rất nhiều. @ Việt Nam: Cũng nằm trong xu hướng phát triển chung của thế giới, các hệ thống mạng lớn tại Việt Nam (như hệ thống mạng của ngân hàng, telco, dầu khí, kho bạc, hải quan, thuế,...) đều triển khai các hệ thống bảo mật và an toàn mạng dựa trên các nền sản phẩm của các hãng nổi tiếng trên thế giới. Hệ thống bảo mật của họ là một hệ thống có kiến trúc nhiều lớp: hệ thống Firewall phần cứng, Firewall mềm, IDS, IPS, Content Filter,...được triển khai riêng lẻ từng thiết bị hoặc tích hợp với khác module chức năng riêng biệt trên cùng một thiết bị (Ví dụ: Firewall – IDS, Router – Firewall,...). Các hệ thống này hiện nay hoạt động tương đối ổn định và hiệu quả. 1.2.2. SNORT: Hiện nay có khoảng 3 triệu người download Snort và hàng ngày có hơn 100.000 người dùng tham gia trao đổi trên các diễn đàn về Snort. Snort trở thành hệ thống phần mềm phát hiện xâm nhập mạng được sử dụng nhiều nhất trên toàn Luận văn thạc sĩ GVHD: TS. LƯU THANH TRÀ Học viên: NGÔ HÁN CHIÊU MSHV: 01407330