i
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TẠ TUẤN DŨNG
NGHIÊN CỨU, XÂY DỰNG MỘT SỐ GIẢI PHÁP
VÀ PHẦN MỀM CẢNH BÁO, PHÁT HIỆN XÂM NHẬP
MẠNG, CHỐNG TRUY CẬP TRÁI PHÉP
Chuyên ngành: Khoa học máy tính
Mã số: 60.48.01
LUẬN VĂN THẠC SỸ
NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. HỒ VĂN CANH
2.2.5 Module kết xuất thông tin 31
iii
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn 2.3 Cấu trúc luật của Snort 31
2.3.1 Khái niệm cơ sở 31
2.3.2 Phần header của luật 36
2.3.3 Các tuỳ chọn luật 39
2.3.4 Preprocessors 50
2.3.5 Các module Output 54
CHƢƠNG III: ỨNG DỤNG TRIỂN KHAI GIẢI PHÁP IDS VỚI PHẦN
MỀM SNORT 57
3.1 Mục đích và yêu cầu 57
3.2 Xây dựng cấu trúc của hệ phần mềm cảnh báo, phát hiện xâm nhập
mạng máy tính 57
3.3 Cài đặt đầu dò Snort 60
3.4 Chạy chƣơng trình Snort 61
3.4.1 Sniffer Mode 61
3.4.2 Mode Packet Logger 61
3.4.3 Mode Network Inturusion Detection 63
3.4.4 Hỗn hợp 66
3.5 Hình ảnh cài đặt chƣơng trình và một số kết quả 67
3.5.1 Hình ảnh cài đặt chƣơng trình 67
3.5.2 Kết quả thực hiện một phiên giám sát an ninh 70
3.5.3 Kết quả kiểm tra khả năng phát hiện dấu hiệu xâm nhập của phần
mềm 72
TÀI LIỆU THAM KHẢO 74
LỜI CAM ĐOAN
Tôi xin cam đoan bản Luận văn là công trình nghiên cứu khoa học độc
lập của tôi. Luận văn này không sao chép toàn bộ các tài liệu, công trình
nghiên cứu của ngƣời khác. Tất cả các đoạn trích dẫn nằm trong các tài liệu,
công trình nghiên cứu của ngƣời khác đều đƣợc ghi rõ nguồn và chỉ rõ trong
tài liệu tham khảo.
Tôi xin cam đoan những điều trên là đúng sự thật, nếu sai, tôi xin chịu hoàn
toàn trách nhiệm.
TÁC GIẢ LUẬN VĂN
Tạ Tuấn Dũng
vi
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn BẢNG KÝ HIỆU VIẾT TẮT
KÝ HIỆU
DẠNG ĐẦY ĐỦ
IDS
Intrusion Detection Systems
IPS
Intrusion Prevention Systems
DoS
Denial of Services
LAN
Local Area Network
pháp bảo vệ mạng có hiệu quả nhƣ ứng dụng mật mã học, hàm băm an toàn
và tƣờng lửa (Firewall) Mỗi phƣơng pháp đó có những ƣu và nhƣợc điểm
nhất định. Do đó ngƣời ta đã sử dụng nhiều biện pháp đồng thời để bảo vệ
thông tin cho mạng dùng riêng khi kết nối với mạng máy tính toàn cầu.Tuy
nhiên, một vấn đề đặt ra trong thực tế là: Các biện pháp hiện có đã đủ đảm
bảo an toàn thông tin cho mạng dùng riêng của mình chƣa? Tại sao, nhiều
thông tin quan trọng vẫn thƣờng bị lộ lọt ra bên ngoài? Do đó, ngƣời ta luôn
nghiên cứu và bổ sung các biện pháp khác nhằm tăng cƣờng an ninh, an toàn
cho mạng dùng riêng của mình khi kết nối với mạng Internet. Một trong
những biện pháp đƣợc quan tâm nghiên cứu và ứng dụng rộng rãi trên toàn
thế giới, đó là hệ thống phần mềm giám sát, cảnh báo đối với các tấn công,
xâm nhập trái phép vào hệ thống mạng. Trong những năm gần đây, các vụ tấn
công ngày càng tăng lên về số lƣợng và mức độ nghiêm trọng thì các hệ thống
phát hiện xâm nhập là sự bổ sung cần thiết và kịp thời cho hệ thống thiết bị an
ninh mạng đã có.
Hiện nay, trên thế giới có rất nhiều sản phẩm giám sát an ninh mạng
(IDS) ở mức công nghiệp (Enterprise-level) – hệ IPS (Intrusion Prevention
Systems) có khả năng tích hợp nhiều chức năng: Phát hiện xâm nhập
(detection), giám sát (monitoring) và ngăn chặn (blocking). Nhiều hệ thống
phần mềm đƣợc tích hợp vào các thiết bị máy tính chuyên dụng có cấu trúc
rack-mount để cắm trực tiếp vào các tủ mạng và chạy theo chế độ thời gian
thực. Một số hệ thống còn tích hợp luôn với firewall. Đa phần các sản phẩm
loại này là của Mỹ có chất lƣợng và tính năng đảm bảo an toàn cao. Tuy
2
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
nhiên, giá của các hệ thống thiết bị này rất cao thông thƣờng từ 25.000 USD
đến 35.000 USD. Vì vậy, tại Việt Nam, chỉ có một số cơ quan, đơn vị lớn về
ứng dụng công nghệ thông tin mua các sản phẩm bảo vệ an ninh này để sử
nhau, nhƣng chung quy lại chúng thƣờng gây nên các thƣơng tổn đến tính bảo
mật hệ thống: tính khả dụng, tính tin cậy, tính toàn vẹn và tính điều khiển.
Tính tin cậy: Một cuộc tấn công gây ra một vi phạm về tính toàn vẹn nếu
nó thay đổi đƣợc trạng thái hệ thống hoặc bất cứ dữ liệu nào thƣờng trú trên
hệ thống.
Tính khả dụng: Một cuộc tấn công gây ra vi phạm về tính khả dụng khi nó
có khả năng ngăn những ngƣời sử dụng hợp pháp truy cập vào tài nguyên hệ
thống trong những thời điểm ngƣời sử dụng cần truy cập.
Tính điều khiển: Một cuộc tấn công gây ra vi phạm điều khiển hệ thống nếu
nó tạo khả năng cho kẻ tấn công những đặc quyền về chính sách điều khiển
truy cập hệ thống. Những đặc quyền này sẽ dẫn đến những vi phạm về tính
khả dụng, tính tin cậy và tính toàn vẹn của thông tin.
1.1.1 Các hình thái xâm nhập mạng trái phép
1.1.1.1 Quét, thăm dò hệ thống
Thông qua hoạt động quét, thăm dò hệ thống, kẻ tấn công có thể biết
đƣợc nhiều thông tin về hệ thống nhƣ:
- Cấu hình mạng mục tiêu
- Loại lƣu lƣợng đƣợc phép đi qua firewall
4
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Các máy có mặt trên mạng
- Hệ điều hành đang sử dụng trên từng máy đang chạy
- Phần mền máy chủ dịch vụ trên các máy đang chạy
- Số hiệu phiên bản phần mềm….
Ngoài ra kẻ tấn công có thể biết thêm nhiều thông tin khác nếu máy
đang chạy có nhiều sơ hở hoặc lỗ hổng bảo mật. Các dạng thông tin nhạy cảm
nhƣ tên account, account default, mật khẩu yếu, nguồn thông tin chia sẻ…
những thông tin này có lợi cho việc khai thác, tấn công mạng của kẻ xâm
một máy tính. Tuy nhiên, nếu chiếm quyền điều khiển đƣợc 20 ngàn máy
cùng đồng thời tấn công thì chắc chắn sẽ thành công.
1.1.1.3 Các cuộc tấn công xâm nhập hệ thống
Các cuộc tấn công xâm nhập là các tấn công nhằm đạt đƣợc quyền thay
đổi dữ liệu, tài nguyên và các đặc quyền hệ thống khác mà đáng ra không
đƣợc phép. Thông thƣờng kiểu tấn công này đƣợc thực hiện bằng cách khai
thác các lỗ hổng phần mềm hoặc các lỗ hổng trong dịch vụ hệ thống. Nếu
ngƣời quản trị hệ thống chƣa kịp vá lỗi phần mềm hoặc dịch vụ thì hệ thống
đó rất dễ bị tấn công.
Một cách phân loại khác, đó là phân loại các cuộc tấn công theo hƣớng:
Tấn công từ bên ngoài vào và tấn công từ trong nội bộ. Kẻ tấn công từ ngoài
mạng là ngƣời tấn công từ phía bên ngoài, ví dụ sử dụng spam để gửi thƣ điện
tử. Họ có thể vƣợt qua bức tƣờng lửa để tấn công vào các máy tính của mạng
bên trong. Những kẻ tấn công từ bên ngoài thông thƣờng là từ mạng Internet,
trực tiếp thâm nhập bằng đƣờng vật lý hoặc thông qua các bạn hàng trên
mạng có liên hệ đến mạng nội bộ. Kẻ xâm nhập bên trong mạng là những
ngƣời sử dụng mạng chính thức bên trong. Những ngƣời này có thể là những
user tạo cho ngƣời khác mất quyền truy nhập mạng hoặc chiếm quyền truy
nhập hoặc chiếm quyền sử dụng mạng của ngƣời khác. Theo số liệu của cơ
6
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
quan an ninh mạng EU thì 80% các vụ vi phạm về an ninh mạng là từ những
kẻ xâm nhập từ bên trong mạng.[2]
1.1.2 Các biện pháp hoạt động xâm nhập máy tính
Xâm nhập vật lý: là những kẻ xâm nhập bằng phƣơng pháp sử dụng bàn
phím máy tính của nạn nhân để đăng nhập mạng, thay hoặc lấy cắp các thiết
bị đĩa từ lƣu dữ liệu trên máy tính.
Xâm nhập thông qua lỗ hổng của phần mềm: Lỗ hổng phần mềm
Chúng ta biết rằng phần lớn các máy sử dụng trong mạng diện rộng cũng
nhƣ trong mạng LAN đều sử dụng hệ điều hành Windows XP/VISTA. Hacker
chỉ cần đột nhập bất kỳ một máy trạm nào đó trong mạng lấy tệp mật khẩu
dạng tên_user.pwl nằm trong thƣ mục c:\windows hoặc tệp SAM trong thƣ
mục \winnt\repair và sử dụng một loạt các chƣơng trình mở mật khẩu khác
nhau để lấy mật khẩu user và sử dụng mật khẩu đó để đăng nhập lại mạng
máy tính.[3]
1.2 Nghiên cứu khái niệm về phần mềm IDS giám sát, phát hiện
xâm nhập
1.2.1 Tổng quan về phần mềm IDS
Các hệ thống phát hiện xâm nhập (IDS) là những hệ thống phần mềm
hoặc phần cứng thực hiện tự động hóa quá trình giám sát các sự kiện xảy ra
trong hệ thống mạng máy tính; phân tích các sự kiện đó để nhận biết những
vấn đề liên quan đến an ninh mạng. Trong những năm gần đây, khi các vụ tấn
công ngày càng tăng lên về số lƣợng và mức độ nghiêm trọng thì các hệ thống
phát hiện xâm nhập là sự bổ sung cần thiết và kịp thời cho hệ thống thiết bị an
ninh mạng đã có.
Phát hiện xâm nhập là một quá trình giám sát các sự kiện diễn ra ở một
hệ thống máy tính hoặc một mạng máy tính và phân tích chúng để tìm ra các
8
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
xâm nhập làm tổn hại đến độ tin cậy, tính toàn vẹn và khả năng hoạt động của
hệ thống hoặc để vƣợt qua cơ chế kiểm soát an ninh của hệ thống máy tính.
Những kẻ tấn công thƣờng xâm nhập mạng từ bên ngoài Internet hoặc mạng
công cộng hoặc chính là những ngƣời sử dụng trong chính mạng đó đã sử
dụng trái phép quyền sử dụng đƣợc cấp cho họ. Các hệ thống phát hiện xâm
nhập là các phần mềm hoặc các sản phẩm phần cứng thực hiện việc tự động
giám sát và phân tích quá trình này.
thống IDS có khả năng nhận biết các giao thức truyền thống nhƣ IP, TCP,
UDP. Ngoài ra nó còn có khả năng nhận biết các giao thức khác nhƣ Ethernet,
802.11, Token Ring.
Hàm PocessPacket() trong bộ chƣơng trình decode có nhiệm vụ giải mã
khung dữ liệu Ethernet. Hàm DecodeIP thực hiện chức năng giải mã gói IP.
Trong quá trình giải mã, nếu các gói tin bị phân mảnh thì khi xử lý phải thêm
chức năng hợp gói tin (defragmentation). Chức năng này đƣợc thực hiện bởi
hàm frag2preprocessor.
Một số hệ thống IDS chuyên nghiệp còn có tính năng statefull – tính
năng kiểm soát toàn diện trạng thái. Với tính năng này, IDS có khă năng xử lý
đến 2000 dòng và 64.000 kết nối cùng một lúc. Hệ IDS Snort sử dụng hàm
stream4Preprocessor đảm bảo tính năng statefull cho hệ thống. Ngoài ra, tính
năng statefull còn cho phép hệ thống IDS khả năng xác định đƣợc hệ điều
hành của máy xâm nhập và các gói tin vƣợt ra khỏi phạm vi kiểm soát thông
11
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
thƣờng (out of state). Chƣơng trình quét thăm dò cổng mạng NMAP cũng có
khả năng tƣơng tự.
Giống nhƣ các phần mềm bắt các gói tin khác, hệ thống IDS có khả năng
thu thập mọi thông tin trong quá trình “bắt tay ba lần” của một kết nối TCP và
lƣu chúng vào bảng trạng thái kết nối của máy chủ và máy tấn công. Những
thông tin đó là: địa chỉ IP, địa chỉ MAC, các cờ trạng thái kết nối nhƣ SYN,
ACK và FIN. Hệ thống IDS còn thông báo kịp thời những tín hiệu sai lệch
trong quá trình bắt tay. Ví dụ hệ IDS Snort có khả năng phát hiên kỹ thuật “
Stealth FIN scan” của chƣơng trình quét cổng NMAP. Kỹ thuật này đƣợc áp
dụng để phát hiện những cổng đóng của máy chủ (closed port).
Luật giám sát an ninh và bộ phần mềm phát hiện xâm nhập
Luật giám sát an ninh thông thƣờng đƣợc tạo dƣới dạng text để tiện cho
yếu tố cơ bản sau:
- Số lƣợng các luật cần phát hiện
- Năng lực của máy tính chạy IDS
- Tốc độ của máy tính chạy IDS
- Khả năng tải trên mạng
Chính vì vậy khi thiết kế một hệ thống IDS chạy trên thực tế phải đảm
bảo bốn yếu tố cơ bản trên để hệ thống hoạt động phù hợp với năng lực của
mạng. [9]
1.2.3 Những tính năng cơ bản nhất của hệ thống phát hiện xâm nhập
Một hệ thống giám sát, phát hiện xâm nhập trái phép phải có đầy đủ các
tính năng cơ bản sau:
- Phòng ngừa các hoạt động bất thƣờng bằng việc gia tăng khả năng phát
hiện các nguy cơ và xử phạt kẻ tấn công hoặc lạm dụng quyền sử dụng hệ
thống vƣợt qua phạm vi cho phép.
13
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
- Phát hiện các cuộc tấn công hoặc những vi phạm chế độ an ninh do các
biện pháp khác không ngăn chặn đƣợc. Kẻ tấn công thƣờng sử dụng những kỹ
thuật đƣợc phổ biến rộng rãi trên mạng Internet để xâm nhập mạng, đặc biệt
là đối với các mạng nối trực tuyến với mạng công cộng. Điều này thƣờng hay
xảy ra khi trong mạng máy tính có các thiết bị mạng, thiết bị máy tính chƣa
khắc phục các lỗ hổng an toàn, chƣa kịp cài đặt các bản vá phần mềm cần
thiết (service pack) hoặc trong môi trƣờng mạng có quá nhiều chủng loại phần
mềm và phần cứng mà bản thân ngƣời quản trị an ninh không kiểm soát nổi.
Một trong những lý do quan trọng khác tạo điều kiện cho kẻ tấn công là lỗi
cấu hình và sử dụng hệ thống của cả ngƣời quản trị mạng cũng nhƣ ngƣời sử
dụng mạng.
- Phát hiện và xử lý các khởi đầu của các cuộc tấn công, thông thƣờng là
tăng cƣờng áp dụng các biện pháp nhằm khắc phục những tác nhân dẫn đến
các cuộc tấn công.[6]
1.2.4 Thành phần chức năng cơ bản của một hệ thống giám sát an
ninh mạng
Trên thị trƣờng hiện nay có khá nhiều IDS khác nhau. Mỗi một IDS đặc
trƣng bởi phƣơng pháp phân tích và giám sát khác nhau. Mỗi một phƣơng
pháp có những ƣu điểm và nhƣợc điểm riêng. Tuy nhiên tất cả các IDS đều
phải đảm bảo ba thành phần chức năng cơ bản sau:
Thu lƣợm tài nguyên thông tin ( Information Sources ): Thu lƣợm tài
nguyên thông tin các sự kiện xảy ra trên mạng để xem việc xâm nhập đã xảy
ra chƣa. Các nguồn thông tin này có thể đƣa ra từ các cấp độ khác nhau của
hệ thống: mức mạng, mức host, mức ứng dụng.
Phân tích (Analysis): Đó là việc tổ chức, nắm chắc các sự kiện rút ra từ
nguồn thông tin, trên cơ sở đó có thể xác định đƣợc các vụ xâm nhập đã và
đang xảy ra. Hai phƣơng pháp phân tích thƣờng gặp nhất là: phƣơng pháp
15
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
phân tích theo phát hiện sử dụng trái phép (misuse delection) và phƣơng pháp
phân tích theo phát hiện bất thƣờng (anomaly delection).
Đối phó (Response): Đây là thành phần chức năng thứ ba là tập hợp các
biện pháp hành động mà hệ thống phát hiện xâm nhập sẽ đối phó một khi nó
phát hiện có xâm nhập. Biện pháp hành động đƣợc phân làm 2 loại: biện pháp
chủ động và biện pháp bị động. Biện pháp chủ động là biện pháp mà hệ thống
IDS tự động can thiệp vào một phần nào đó của hệ thống nhằm ngăn chặn tức
thời cuộc xâm nhập. Biện pháp bị động là biện pháp thông báo, cảnh báo cho
ngƣời quản trị an ninh và những ngƣời có trách nhiệm biết những phát hiện về
sự xâm nhập để họ xử lý. [2]
1.2.4.1 Thu lượm các tài nguyên thông tin
thậm chí những kẻ tấn công có thể không thấy đƣợc sự hiện diện của nó trên
mạng.
- Ngoài ra IDS trên nền mạng còn có một số lợi thế:
+ Quản lý đƣợc cả một network segment (gồm nhiều host).
+ Cài đặt và bảo trì đơn giản, không ảnh hƣởng tới mạng.
17
Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn
+ Tránh DoS ảnh hƣởng tới một host nào đó.
+ Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI).
+ Độc lập với OS.
Nhược điểm của IDS trên nền mạng:
- Hệ thống này sẽ gặp khó khăn khi xử lý tất cả các gói tin trong một
mạng lớn do không thể xử lý lƣu lƣợng lớn gói tin trong thời gian cho phép.
Để khắc phục sự bất cập này, một số nhà thiết kế đề xuất giải pháp triển khai
IDS hoàn toàn dựa trên phần cứng. Một số sản phẩm thƣơng mại theo hƣớng
này đã xuất hiện trên thị trƣờng, ví dụ sản phẩm IDS Dragon của công ty
Security Wizards, Proventia A, G Series của hãng ISS.
- Nhiều đặc tính của IDS dựa trên nền mạng không áp dụng đƣợc đối với
mạng chuyển mạch tiên tiến. Các chuyển mạch chia nhỏ các mạng thành
nhiều phân đoạn mạng nhỏ và đƣa ra các liên kết dành riêng giữa các host
dùng chung trong một chuyển mạch. Hầu hết các chuyển mạch không có một
cổng giám sát chung và hạn chế phạm vi giám sát của sensor chỉ còn cho một
máy. Chính vì vậy khi cắm các thiết bị chuyển mạch nhƣ vậy thì hệ thống
này không thể giám sát tất cả mọi lƣu lƣợng đi qua thiết bị chuyển mạch.
- Một số hệ IDS gặp phải trục trặc khi ứng phó với các cuộc tấn công
dùng cách phân mảnh gói tin. Quá trình xử lý hợp phân mảnh các gói tin loại
này làm cho hệ thống IDS trở nên bất ổn định.
Các hệ thống IDS trên nền host (Host Base IDS) [5] [6] [8]
Copyright: Tài liệu đại học ©