Xây dựng hệ thống cảnh báo chống xâm nhập ids snort bảo vệ web server trường đại học kinh tế.

BỘ GIÁO DỤC VÀ ĐÀO TẠO

ĐẠI HỌC ĐÀ NẴNG

TRẦN HỮU PHỤNG

XÂY DỰNG HỆ THỐNG CẢNH BÁO CHỐNG

XÂM NHẬP IDS SNORT BẢO VỆ WEB SERVER

TRƯỜNG ĐẠI HỌC KINH TẾ

Chuyên ngành: HỆ THỐNG THÔNG TIN

Mã số: 60.48.01.04

TÓM TẮT LUẬN VĂN THẠC SĨ HỆ THỐNG THÔNG TIN

Đà Nẵng – Năm 2016

Công trình được hoàn thành tại

ĐẠI HỌC ĐÀ NẴNG

Người hướng dẫn khoa học: PTS. Võ Trung Hùng

Phản biện 1: TS. Huỳnh Hữu Hưng

Phản biện 2: TS. Nguyễn Quang Thanh

Luận văn đã được bảo vệ trước Hội đồng chấm Luận văn tốt nghiệp

thạc sĩ Kỹ thuật họp tại Đại học Đà Nẵng vào ngày 31 tháng 8 năm

2016.

* Có thể tìm hiểu luận văn tại:

Trung tâm Thông tin - Học liệu, Đại học Đà Nẵng

Thư viện trường Đại học Sư phạm Đà Nẵng

1

MỞ ĐẦU

1. Tính cấp thiết của đề tài

- Sự phát triển và bùng nổ thông tin trên toàn cầu dựa vào

Internet đã kết nối các cơ quan chính phủ, tập đoàn, doanh nghiệp,

bệnh viện, trường học,… Một cơ quan, tổ chức, cá nhân,... phát triển

thông tin và kết nối để cùng chia sẻ công việc thì nhu cầu kết nối

Internet rất cần thiết trong giai đoạn hiện nay. Do đó, việc đảm bảo

an ninh cho các hệ thống thông tin càng trở nên cấp thiết hơn bao

giờ hết. Ngày nay, có nhiều biện pháp an toàn thông tin cho các hệ

thống mạng, đặc biệt là Internet được nghiên cứu và triển khai. Tuy

nhiên, hệ thống này vẫn bị tấn công, đánh cắp thông tin hoặc bị phá

hoại gây nên những hậu quả nghiêm trọng.

- Các vụ tấn công này nhằm vào tất cả các máy tính có mặt

trên Internet, các máy tính của các công ty lớn, các trường đại học,

các cơ quan nhà nước, các tổ chức quân sự, ngân hàng với quy mô

lớn và ngày càng tinh vi hơn [12]. Hơn nữa những con số thống kê

và các vụ tấn công chỉ là phần nổi của tảng băng. Phần lớn các vụ

tấn công không được thông báo vì nhiều lý do, trong đó có thể kể

đến nỗi lo mất uy tín hoặc chỉ đơn giản những người quản trị mạng

không hề hay biết những vụ tấn công nhằm vào hệ thống của họ.

- Không chỉ các vụ tấn công tăng lên nhanh chóng mà các

phương pháp tấn công cũng liên tục được hoàn thiện và khó phát

hiện. Điều đó một phần do các nhân viên quản trị hệ thống ngày

càng đề cao cảnh giác, các hệ thống tường lửa được phát triển dựa

vào nhu cầu sử dụng. Vì vậy, việc kết nối vào mạng Internet mà

không có các biện pháp đảm bảo an ninh thì hệ thống dễ dàng trở

thành đối tượng tấn công của các hacker.

2

- Các cơ quan, tổ chức, cá nhân phải kết nối mạng Internet vì

nhu cầu trao đổi thông tin và đồng thời phải đảm bảo an toàn thông

tin trong quá trình tham gia vào hệ thống. Hệ thống Web Service

trường Đại học Kinh tế có đến hàng nghìn lượt truy cập mỗi ngày;

chưa kể những thời điểm đăng ký tín chỉ, hệ thống tiếp nhận hàng

chục nghìn lượt. Vì vậy, đây là địa chỉ dễ lọt vào tầm ngắm của

những hacker. Vì vậy, việc chọn đề tài “Xây dựng hệ thống cảnh báo

chống xâm nhập IDS Snort trên Web Server tại trường Đại học Kinh

tế - ĐHĐN” là hướng nghiên cứu hợp lý đối với hệ thống Web

Service tại trường Đại học Kinh tế - ĐHĐN trong giai đoạn hiện nay.

Mục đích của đề tài là nghiên cứu giám sát luồng thông tin vào/ra và

bảo vệ các hệ thống mạng khỏi sự tấn công từ Internet. Thông qua đề

tài nghiên cứu, hệ thống tập trung giải pháp phát hiện xâm nhập IDS

thông qua công cụ Snort, cách phòng chống qua công cụ tường lửa..

2. Mục tiêu nghiên cứu

Mục tiêu của đề tài là nghiên cứu hệ thống cảnh báo xâm nhập

IDS SNORT trên Web Server, từ đó nghiên cứu giải pháp phòng,

chống nhằm đảm bảo an toàn cho hệ thống thông tin của trường Đại

học Kinh tế - ĐHĐN.

3. Đối tượng và phạm vi nghiên cứu

3.1. Đối tượng nghiên cứu

- Các cơ chế an toàn thông tin mạng.

- Các bộ luật Snort.

- Các cơ chế hoạt động của Snort và giải pháp phòng, chống

cho hệ thống Server của trường đại học Kinh tế - ĐHĐN.

3

3.2. Phạm vi nghiên cứu

Đề tài tập trung nghiên cứu khả năng phát hiện cảnh báo xâm

nhập của hệ thống, xây dựng hệ thống cảnh báo xâm nhập IDS

SNORT, giải pháp tường lửa bằng phần mềm được thử nghiệm trên

hệ thống mạng trường Đại học Kinh tế - ĐHĐN.

4. Phương pháp nghiên cứu

Chúng tôi sử dụng hai phương pháp chính là phương pháp

nghiên cứu lý thuyết và phương pháp thực nghiệm.

- Phương pháp nghiên cứu lý thuyết: Với phương pháp này,

chúng tôi nghiên cứu các tài liệu về cơ sở lý thuyết: cơ chế an toàn

và bảo mật thông tin mạng, cơ chế cảnh báo xâm nhập, các bộ luật

và các tài liệu liên quan đến giải pháp phòng, chống.

- Phương pháp thực nghiệm: Với phương pháp này, chúng tôi

cài đặt và cấu hình hệ thống cảnh báo xâm nhập, phân tích và thiết

kế các chức năng của IDS SNORT, xây dựng các mô đun xử lý, phát

hiện và cảnh báo IDS SNORT, xây dựng hệ thống tường lửa phòng,

chống bằng phần mềm và đánh giá kết quả hệ thống.

5. Ý nghĩa khoa học và thực tiễn đề tài

Về khoa học.

Về thực tiễn.

6. Bố cục đề tài

Báo cáo của luận văn dự kiến tổ chức thành 3 chương chính

như sau:

Chương 1. Tổng quan về an ninh mạng

Trong chương này, chúng tôi trình bày tổng quan về bảo mật

thông tin, những nguy cơ đe dọa đối với bảo mật, các phương pháp

4

xâm nhập – biện pháp phát hiện và ngăn ngừa, các giải pháp bảo mật

an toàn cho hệ thống.

Chương 2. Hệ thống cảnh báo chống xâm nhập IDS - SNORT

Chương này giới thiệu về kiến trúc và nguyên lý hoạt động

của IDS. Phân loại, phương thức phát hiện và cơ chế hoạt động IDS.

Cách phát hiện các kiểu tấn công thông dụng của IDS.

Chương 3. Triển khai ứng dụng

Chương này trình bày về kiến trúc và bộ luật của SNORT và

giải pháp phòng, chống ứng dụng thực tế tại trường Đại học Kinh tế

- ĐHĐN.

5

CHƯƠNG 1

TỔNG QUAN VỀ AN NINH MẠNG

1.1. TẦM QUAN TRỌNG CỦA AN NINH MẠNG

1.1.1. Một số thông tin về bảo mật

Một số chuyên gia bảo mật của Mỹ đã tiết lộ một số chi tiết về

một nhóm hacker Trung Quốc đã tiến hành nhiều cuộc tấn công vào

các cơ quan chính phủ Mỹ nhằm thu nhập thông tin tình báo.

Trước “Hồ sơ Panama”, thế giới từng rúng động trước những

thông tin của “người lộ mật” Edward Snowden hay các tài liệu về

chính phủ do WikiLeaks tung ra. Hàng loạt vụ rò rỉ thông tin diễn ra

thời gian cho thấy những khối lượng dữ liệu khổng lồ có thể bị can

thiệp, đánh cắp như thế nào nhờ công nghệ hiện đại.

Một dấu hiệu cho thấy an ninh mạng cần được nâng cao nhanh

chóng, hai công ty, McDonal Corp và Walgreen Co cho biết họ đã bị

tấn công. Sau báo cáo MasterCard và Visa, hệ thống bị tấn công bởi

một nhóm hacker Pro – WikiLeaks, được biết đến với tên là “vô

danh”, McDonal cho biết hệ thống của mình đã bị tấn công và các

thông tin khách hàng bao gồm email, thông tin liên lạc, ngày sinh và

thông tin chi tiết khác đã bị đánh cắp.

Google trở thành đối tượng của chiến dịch lừa đảo khởi nguồn

từ Trung Quốc, và nhắm tới các tài khoản cấp cao của cơ quan tại

Mỹ, Nhật và chính phủ các nước khác cũng như của Trung Quốc

[16]. Hacker tấn công bằng cách gửi đến nạn nhân những thư điện tử

6

lừa đảo, thường từ những tài khoản trông giống với đối tác làm việc,

gia đình, bạn bè. Những thư điện tử này chứa những đường dẫn đến

trang Gmail giả mạo và chiếm lấy tên tài khoản và mật khẩu bất cứ

ai bị dính bẫy.

Tin tặc đã đột nhập vào trang Web của NewYork Tour

Company và khoảng 110.000 số thẻ ngân hàng bị đánh cắp, họ đã

phá vỡ bằng cách sử dụng một cuộc tấn công SQL Injection trên

trang này. Trong cuộc tấn công SQL Injection, tin tặc tìm cách để

chèn lệnh cơ sở dữ liệu thực sự vào máy chủ bằng cách sử dụng

Web, họ làm điều này bằng cách thêm vào văn bản thiết kế đặc biệt

vào các hình thức Webbase hoặc các hộp tìm kiếm được sử dụng để

truy vấn cơ sở dữ liệu.

1.1.2. Các Website và hệ thống Server liên tục bị tấn công

1.1.3. Tình hình về an ninh mạng

1.2. GIỚI THIỆU VỀ AN NINH MẠNG

1.2.1. Các khái niệm về an ninh mạng

Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý,

đa số các máy tính nhất là các máy tính trong công ty, doanh nghiệp

được nối mạng Lan và Internet. Các hacker có thể tấn công vào máy

tính hoặc cả hệ thống của chúng ta bất cứ lúc nào.

Vậy an toàn mạng có nghĩa là bảo vệ hệ thống mạng máy tính

khỏi sự phá hoại phần cứng hay chỉnh sửa dữ liệu (phần mềm) mà

không được sự cho phép từ những người cố ý hay vô tình. An toàn

mạng cung cấp giải pháp, chính sách, bảo vệ máy tính, hệ thống

mạng để làm cho những người dùng trái phép, cũng như các phần

7

mềm chứa mã độc xâm nhập bất hợp pháp vào máy tính, hệ thống

mạng của chúng ta.

1.2.2. Các thành phần cần được bảo vệ trong hệ thống

mạng

- Dữ liệu

- Tài nguyên hệ thống

- Danh tiếng

1.2.3. Các thành phần đảm bảo an toàn thông tin

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe

dọa tới độ an toàn thông tin có thể đến từ nhiều nơi khác nhau theo

nhiều cách khác nhau, vì vậy các thành phần cần để đảm bảo an toàn

thông tin như sau:

- Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử

dụng đúng đối tượng.

- Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn

về cấu trúc, không mâu thuẫn.

- Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để

phục vụ theo đúng mục đích và đúng cách.

- Tính chính xác: Thông tin phải chính xác, tin cậy.

- Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm

chứng được nguồn gốc hoặc người đưa tin.

Quá trình đánh giá nguy cơ của hệ thống:

- Xác định các lỗ hổng

- Xác định các mối đe dọa

- Các biện pháp an toàn hệ thống

8

1.3. CÁC LỖ HỔNG BẢO MẬT

1.3.1. Lỗ hổng C

1.3.2. Lỗ hổng B

1.3.3. Lỗ hổng C

1.4. CÁC KIỂU TẤN CÔNG CỦA HACKER

1.4.1. Tấn công trực tiếp

1.4.2. Kỹ thuật đánh lừa Social Engineering

1.4.3. Kỹ thuật tấn công vào vùng ẩn

1.4.4. Tấn công vào các lỗ hổng bảo mật

1.4.5. Khai thác tình trạng tràn bộ đệm

1.4.6. Nghe trộm

1.4.7. Kỹ thuật giả mạo địa chỉ

1.4.8. Kỹ thuật chèn mã lệnh

1.4.9. Tấn công vào hệ thống có cấu hình không an toàn

1.4.10. Tấn công dùng cookies

1.4.11. Can thiệp vào tham số URL

1.4.12. Vô hiệu hóa dịch vụ

1.4.13. Một số tấn công khác

1.5. CÁC BIỆN PHÁP BẢO MẬT

1.5.1. Mã hóa

1.5.2. Bảo mật máy trạm

1.5.3. Bảo mật truyền thông

1.5.4. Các công nghệ và kỹ thuật bảo mật

9

CHƯƠNG 2

HỆ THỐNG CẢNH BÁO XÂM NHẬP IDS - SNORT

2.1. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP

IDS

2.1.1. Tổng quan

Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của

James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và

nghiên cứu các hành vi bất thường và thái độ của người sử dụng

trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài

sản hệ thống mạng.

2.1.2. Định nghĩa IDS

Hệ thống phát hiện xâm nhập IDS là hệ thống phần cứng hoặc

phần mềm có chức năng tự động theo dõi các sự kiện xảy ra, giám

sát lưu thông mạng, và cảnh báo các hoạt động khả nghi cho nhà

quản trị.

2.1.3. Lợi ích của IDS

Lợi thế của hệ thống này là có thể phát hiện được những kiểu

tấn công chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều

cảnh bảo sai do định nghĩa quá chung về cuộc tấn công.

2.1.4. Thành phần và nguyên lý hoạt động của IDS

a. Thành phần IDS

Kiến trúc của hệ thống IDS bao gồm các thành phần chính:

thành phần thu thập gói tin (information collection), thành phần

phân tích gói tin (dectection), thành phần phản hồi (respontion) nếu

gói tin đó được phát hiện là một tấn công của tin tặc.