B GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HC BÁCH KHOA HÀ NI
---------------------------------------
NGUYN TH THANH HUYN
NGHIÊN CU VÀ NG DNG H THNG PHÁT HIN VÀ CHNG
XÂM NHP PHI HP - CIDS
Chuyên ngành: K THUT TRUYN THÔNG
LUẬN VĂN THẠC SĨ KỸ THUT
K thut truyn thông
NGƯỜI HƯỚNG DN KHOA HC:
TS. PHẠM DOÃN TĨNH
Hà Ni Năm 2014
1
MC LC
LỜI CAM ĐOAN ....................................................................................................... 3
DANH MC CÁC KÝ HIU, CÁC CH VIT TT .............................................. 4
DANH MC CÁC BNG.......................................................................................... 5
DANH MC HÌNH V .............................................................................................. 6
LI M ĐẦU ............................................................................................................. 8
Chương 1 - TNG QUAN V AN NINH MNG ................................................. 10
1.1. Các vấn đề v an ninh mng ........................................................................ 10
1.1.1. Mt s l hng v an ninh mng .......................................................... 10
1.1.2. Mt s phương thức tn công trong mng ............................................ 11
1.2. Các gii pháp trong trin khai an ninh mng ............................................... 21
1.2.1. Các chiến c bo v mng ................................................................. 21
1.2.2. Các k thut bo mt ............................................................................ 23
Chương 2 - MÔ HÌNH PHÁT HIN XÂM NHP PHI HP CIDS ................... 33
2.1. Gii thiu mô hình h thng phát hin xâm nhp phi hp ........................ 33
2.2. Kiến trúc h thống, cơ chế phát hin và cnh báo tn công trong h thng
CIDS ...................................................................................................................... 37
2.2.1. Cơ chế phát hin tn công mng trong CIDS ....................................... 37
2.2.2. Kiến trúc h thống, cơ chế phát hin và cnh báo tn công. ................ 40
2.2.3. Phân loi các mô hình phát hin xâm nhp phi hp CIDS ................. 43
2.2.4. Tính tương đối ca các cnh báo .......................................................... 59
Chương 3 - H THNG QUN LÝ BO MT MÃ NGUN M OSSIM. ....... 70
3.1. Gii thiu v h thng qun lý OSSIM ....................................................... 70
3.2. Các chc năng ca h thng OSSIM. .......................................................... 72
3.3. Các thành phn trong OSSIM. ..................................................................... 77
3.3.1. OSSIM server. ...................................................................................... 77
3.3.2. OSSIM frameword. ............................................................................... 78
3.3.3. OSSIM agent......................................................................................... 79
3.3.4. Plugin và cơ chế hot đng. .................................................................. 80
2
3.4. ng dụng OSSIM như một h thng phát hin xâm nhp phi hp. .......... 82
3.4.1. Các thành phn cn trin khai trong OSSIM ....................................... 82
3.4.2. Mô hình triển khai và các bước cài đt, cu hình OSSIM .................... 92
KT LUN ............................................................................................................... 98
TÀI LIU THAM KHO ......................................................................................... 99
3
LỜI CAM ĐOAN
Tôi xin cam đoan Luận văn Thc s k thut này do tôi nghiên cứu được
thc hiện dưới s ng dn khoa hc ca TS. Phạm Doãn Tĩnh. Các kết qu do tôi
t nghiên cu tham kho t các ngun tài liệu cũng như các công trình nghiên
cu khoa học khác đưc trích dẫn đầy đủ. Nếu có vấn đề v sai phm bn quyn, tôi
xin hoàn toàn chu trách nhiệm trước Nhà trưng.
Hà Nội, ngày…….tháng…… năm 2014
Hc viên
Nguyn Th Thanh Huyn
4
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
ACID
Analysis Console for Intrusion Databases
ARP
Address Resolution Protocol
CGI Scripts
Common Gateway Interface Scripts
CIDS
Collaborative Intrusion Detection System
DDOS
Distributed Denial Of Service
DHCP
Dynamic Host Configuration Protocol
DIDS
Distributed Intrusion Detection System
DMZ
Demilitarized Zone
DNS
Domain Name System
DOS
Denial Of Service
DRDoS
Distributed Reflection Denial of Service
DSOC
Distributed Security Operation Center
GD
Global detectors
ICMP
Internetwork Control Message Protocol
IDPS
IPS + IDS
IDS
Intrusion Detection System
IPS
Intrusion Prevention System
LAN
Local Area Network
LD
Local detectors
MAC
Medium Access Control
MADIDF
Mobile Agents based Distributed Intrusion Detection Framework
NIC
Network Interface Card
NIDS
Network Intrusion Detection System
OSSIM
Open Source Security Information Management
P2P
Peer to Peer
PSKs
Pre-shared keys
RARP
Reverse Address Resolution Protocol
SMTP
Simple Mail Transfer Protoco
SQL
Structured Query Language
TCP/IP
Transmission Control Protocol/Internet Protocol
UDP
User Datagram Protocol
WAN
Wide Area Network
5
DANH MỤC CÁC BẢNG
Bảng 2-1: Bảng các ID và Plugin tương ứng trong hệ thống OSSIM ..................... 42
Bảng 2-2: Bảng tóm tắt các nghiên cứu đạt được của hệ thống CIDS ..................... 69
Bảng 3-1: Cổng kết nối chính của OSSIM server và Ossim Agent .......................... 80
6
DANH MỤC HÌNH VẼ
Hình 1-1:Các tấn công đối với thông tin trên mạng ................................................. 12
Hình 1-2: Smurf attack .............................................................................................. 18
Hình 1-3: Tấn công kiểu DRDoS .............................................................................. 19
Hình 1-4: Mã hóa và giải mã .................................................................................... 24
Hình 1-5: Mô hình mã hóa bí mật ............................................................................. 26
Hình 1-6: Mô hình mã hóa công khai ....................................................................... 26
Hình 1-7: Mô hình Firewall cơ bản ........................................................................... 30
Hình 2-1: Mô hình hệ thống phát hiện xâm nhập phối hợp CIDS ............................ 36
Hình 2-2: Firewall bảo vệ mạng LAN bên trong, ngăn chặn kết nối trái phép. ....... 38
Hình 2-3: Firewall không bảo vệ được các tấn công không đi qua nó .................... 38
Hình 2-4: Mô hình hệ thống CIDS bảo vệ ................................................................ 39
Hình 2-5: Cơ chế cảnh báo tấn công và cảnh báo xâm nhập của hệ thống CIDS .... 39
Hình 2-6: Kiến trúc hệ thống CIDS .......................................................................... 40
Hình 2-7: Quá trình gửi và liên kết dữ liệu từ khối Corelation ............................... 43
Hình 2-8: CIDS thu thập thông tin mức thấp, xử lý và đưa ra cảnh báo ở mức cao 45
Hình 2-9: Phương pháp tiếp cận tập trung ............................................................... 47
Hình 2-10: Ứng dụng phương pháp tiếp cận tập trung trong mô hình DIDS ........... 48
Hình 2-11: Phương pháp tiếp cận phân cấp .............................................................. 51
Hình 2-12: Ứng dụng phương pháp tiếp cận phân cấp trong mô hình EMERALD . 53
Hình 2-13: Phương pháp tiếp cận phân phối hoàn toàn ............................................ 55
Hình 3-1: Kiến trúc hệ thống quản lý thông tin OSSIM ........................................... 71
Hình 3-2: Khả năng kết nối Plugins với OSSIM ..................................................... 73
Hình 3-3: Thông tin đánh giá tổng quan về Security trên toàn mạng ....................... 74
Hình 3-4: Bảng hiển thị thông tin: Security Report. ................................................. 75
Hình 3-5: Bảng hiển thị thông tin cảnh báo theo các luật được cấu hình ................. 76
Hình 3-6: Giao diện thiết lập luật cho quá theo dõi tất cả các giao thức của Snort .. 77
7
Hình 3-7: Sơ đồ xử lý thông tin giữa OSSIM server - OSSIM agent - Plugin ......... 81
Hình 3-8: Các thành phần và sơ đồ hoạt động trong hệ thống triển khai OSSIM .... 84
Hình 3-9: Thông tin về các Plugin được OSSIM hỗ trợ ........................................... 84
Hình 3-10: Giao diện đăng nhập đồ họa vào OSSIM ............................................... 86
Hình 3-11: Các Plugin đóng vai trò là Monitor trong hệ thống OSSIM................... 88
Hình 3-12: Các Plugin đóng vai trò là Detector trong hệ thống OSSIM .................. 89
Hình 3-13: Giao diện đồ họa triển khai luật trên OSSIM ......................................... 90
Hình 3-14: Cấu hình luật được lưu tương ứng trên OSSIM server .......................... 91
Hình 3-15: Mô hình triển khai thử nghiệm ............................................................... 93
Hình 3-16: Giao diện phần mềm giả lập tấn công DDoS ......................................... 93
Hình 3-17: website trước khi bị tấn công .................................................................. 96
Hình 3-18: Website sau khi bị tấn công .................................................................... 96
Hình 3-19: Kết quả hiện thị trên OSSIM .................................................................. 97
8
LỜI MỞ ĐẦU
Như chúng ta đã biết, ngày nay khi cuc sng của con người ngày càng hiện đại,
cùng vi s phát triển như bão ca công ngh thông tin giúp con người cuc
sng tt đẹp hơn, đáp ng mi nhu cu của con ngưi trong cuc sng như: Gii trí,
gp g bn bè, mua sm, m kiếm thông tin, hc tp, m vic, kinh doanh, buôn
bán, v.v.. thì song song với đó tiềm n rt nhiu những nguy luôn luôn rình rập
ti tt c mọi người. Nhng thông tin nhy cm: S tài khon, th tín dụng, địa ch
nhà, s điện thoi, mt khu mail, thông tin nhân, các tài khon online,…
nghiêm trọng hơn các nguy với các h thng ln, các h thng cung cp dch
v, các ng ty có quy rng ln trên khắp các vùng địa khác nhau, nhng nơi
s sn sàng ca h thng yếu t quyết định ti s tn ti ca c công ty thì
yêu cu v đảm bo an toàn thông tin: mt, toàn vn, sn sàng vấn đề luôn
được quan tâm, nghiên cu. Cùng với tư tưng to ra mt h thống an ninh đm bo
an toàn cao, trin khai trên quy rng ln, qun tập trung, ớng đến mt h
thng t động phát hin m nhp vi quá trính t động tính toán đưa ra các
cnh báo m nhp thì h thng phát hin xâm nhp phi hp CIDS được nghiên
cu và phát trin.
H thng phát hin xâm nhp phi hp hoạt động trên nguyên tc kết hp các
thiết b an toàn thôn tin: Firewall, IDS, IPS trên các phân vùng mng riêng l thành
mt th thng nht, qun bi mt thiết b tp trung, nhn d liu t nhiu ngun
khác nhau và x lý tập trung để đưa ra các đánh giá về s an toàn thông tin trên toàn
b mng. H thống CIDS đưa ra các cnh báo t s tng hp thông tin nhận được
t nhiu ngun khác nhau nên kết qu đánh giá sẽ tính cht khách quan, phát
hiện được các kiu tn công phc tp, tinh vi vi nhiu kch bn tn công khác
nhau: Scan lén t, tn công t chi dch v, s bùng phát phá hoi ca sâu
mng, mà có th vi mt thiết b an toàn thông tin đơn lẻ s rt khó để phát hin ra.
hình h thng phát hin m nhp phi hp mt hình trin khai an
toàn thông tin tính kh thi cao, đã đưc áp dng trên nhiu sn phm t
ngun m như: Hệ thng qun bo mt ngun m OSSIM, ti các sn phm
9
thương mại ni tiếng: Firewall Site Protecter ca IBM, Symantec Endpoint ca
hãng bo mật Symantec,… thực tế đã chứng minh được hình hoạt động ca h
thng an toàn thông tin phi hp rt hiu qu, tính kh thi cao. một người
làm v h thng vi công vic trin khai, qun tr đảm bo h thng bo mt,
phòng chng virus cho Vietnamairlines thì vic tích hp trin khai h thng phát
hin, chng xâm nhp phi hp cho các dch v ca đơn vị cung cpcùng cn
thiết. Do đó tác giả đã lựa chọn đề tài “ Nghiên cu ng dng h thng phát hin
và chng xâm nhp phi hp (CIDS) cho luận văn ca mình.
Để hoàn thành được Luận văn Thạc của mình , em xin gi li cm ơn chân
thành ti Ban giám hiu, Viện sau đại hc, Viện Điện t Vin Thông các Ging
viên trường Đại hc Bách Khoa Nội đã nhit tình truyền đạt nhng kiến thc
quý báu cho em trong sut quá trình hc tp và hoàn thành Luận văn Thạc sĩ.
Em xin gi li cảm ơn ng biết ơn chân thành tới TS.Phạm Doãn Tĩnh -
Người đã trc tiếp ch bảo, ng dn giúp đỡ em trong sut quá trình nghiên
cu và hoàn thành Lun văn Thạc sĩ.
Cui cùng, tôi xin chân thành cảm ơn tới các anh, các đng nghip ti Phòng H
tng CNTT - Công ty C phn tin hc viễn thông Hàng Không đã giúp đ tôi trong
sut quá trình thc hin đề tài.
Xin chân thành cảm ơn!
10
Chương 1 - TỔNG QUAN VỀ AN NINH MẠNG
1.1. Các vấn đề về an ninh mạng
1.1.1. Một số lỗ hổng về an ninh mạng
L hng h thng là nơi mà đối tượng tn công có th khai thác để thc hin các
hành vi tn công h thng. L hng h thng th tn ti trong h thng mng
hoc trong th tc qun tr mng
[1]
. Vic s dng mạng Internet làm tăng nhanh
kh năng kết nối, nhưng đồng thi chứa đựng trong đó những him ho không ng.
Nhng l hổng để k tn công th li dng, y tổn thương cho hệ thng rt
nhiều. Sau đây là một vài l hng phng biến trên cộng đồng mng hin nay.
Mt khu yếu: Mọi người thường có thói quen s dng mt khu theo tên, ngày
tháng năm sinh của người thân hay nhng quen thuc vi mình. Vi nhng
mt khu d b phán đoán, kẻ tn công th chiếm đoạt được quyn qun tr
trong mng, phá hu h thống, cài đặt backdoor…Ngày nay, một người ngi t
xa cũng thể đăng nhập được vào h thng cho nên ta cn phi s dng nhng
mt khẩu khó đoán, khó dò tìm hơn.
D liệu không được mã hoá: Các d liệu được truyền đi trên mạng rt d bm
phm, xem trm, sa chữa… Với nhng d liệu không được hoá, k tn
công chng tn thời gian để th hiểu được chúng. Nhng thông tin nhy cm
càng cn phi mã hoá cn thận trước khi gửi đi trên mạng.
Chia s file qua mng: Vic m các file chia s thông tin là mt trong nhng vn
đề bo mt rt d gặp. Điều này cho phép bt k ai cũng có thể truy nhp các file
nếu ta không có cơ chế bo mt, phân quyn tt.
B giao thc TCP/IP hiện nay cũng đưc s dng rng rãi trên mng luôn
tim
n nhng him ho khôn ng. K tn công th s dng ngay chính các quy
tc trong b giao thức này đ thc hin tn công DOS. Sau đây mt s l
hổng đáng chú ý liên quan đến b giao thc TCP/IP
o Tấn công DNS: DNS server thưng mc tiêu chính hay b tn công. Do
hu qu rt ln là nó làm ách tc toàn mng.
11
o Tràn b đệm (Buffer Overflows): hai kiu tn công khai thác li làm tràn
b đệm là : DNS overflow (Khi một tên DNS quá dài đưc gi ti Server) và
Start overflow (khi một tên file quá dài đưc cung cp)
o Tn công SMTP(Sendmail)
o Gi địa ch IP (IP spoofing)
o Tn công trình duyt Web: do các trình duyt Web như của Microsoft,
Netscape khá nhiu l hng bo mt nên xut hin các tn công URL,
HTTP, HTML, Java, JavaScript, Frames và ActiveX.
o Tn công Webserver: Ngoài các l hng bo mt do vic thực thi các chương
trình CGI, các web server còn th các l hng khác. d như Web
Server(IIS 1.0.x.x) mt l hổng do đó một tên file th chèn thêm
đoạn ../ vào trong tên đường dn thì th di chuyn ti mọi nơi trong hệ
thng file th lấy được bt k file nào. Mt li thông dng khác li
tràn b đệm trong trường hp Request hoặc trong các trường hp HTTP
khác.
o CGI Scripts: Các chương trình ca CGI ni tiếng là kém bo mt. Bi nó cho
phép web server thc thi mt file chy, do vy kho các hacker khai thác được
các l hng bo mt này thì các hacker hoàn toàn có th thc thi bt k cái
trên máy ch.
1.1.2. Một số phương thức tấn công trong mạng
Tn công (attack) là hoạt động có ch ý ca k phm ti li dụng các thương tn
ca h ến hành phá v tính sn sàng, tính toàn vn tính
mt c n công (attack, intrustion) mạng c tác động hoc
trình t liên kết giữa các tác động với nhau để phá hu, dẫn đến vic hin thc
hoá các nguy bằng cách li dng đặc tính d b tổn thương của các h thng
thông tin này
[2]
. Hình dưới đây th hin lung d liu mt vài cách tn công
bình thường.
12
Nguồn thông tin
Đích thông tin
Ngăn chặn thông tin
Nguồn thông tin
Đích thông tin
Chặn bắt thông tin
Nguồn thông tin
Đích thông tin
Sửa đổi
thông tin
Nguồn thông tin
Đích thông tin
Chèn thông tin giả
Hình 1-1:Các tấn công đối vi thông tin trên mng
1.1.2.1. Một số loại tn công trong mng
Tấn công ngăn chặn thông tin (interruption)
Tài nguyên thông tin b phá hy, không sn sàng phc v hoc không s dng
được. Đây hình thức tncông làm mt kh năng sẵn sàng phc v ca thông tin
(ví d như cắt đưng dây hoc làm tràn ngp liên kết khiến cho thông tin b loi b
vì tc nghn). Tn công theo kiu này là mt dng ca tn công t chi dch v.
Tn công chn bt thông tin (interception)
Tn công chn bt thông tin là k tn công th truy nhp ti tài nguyên thông
tin. Đây là hình thức tn công vào tính bí mt ca thôngtin.
Tn công sa đi thông tin (Modification)
Tn công sa đổi thông tin k tn công truy nhp, chnh sa thông tin khi
đang truyền t ngun ti đích đ thay đổi nội dung thông điệp.
Chèn thông tin gi mo (Fabrication)
13
K tn công chèn các thông tin d liu gi vào h thng không hành
động nào của ngưi gi. Khi một đối tượng b nghe lén trước đó đưc chèn vào,
quá trình y được gi Replaying. Khi k tn công gi v ngun thông tin hp
pháp chèn thông tin theo ý mun thì cuc tấn công này được gi
Masquerading(gi trang). Đây là hình thức tn công vào tính xác thc ca thông tin.
Bn cách tn công trên xâm phạm đến các thuc tính bo mt khác nhau ca mt
h thng máy tính.
1.1.2.2. c kthuật tn công trong mng
rt nhiu các k thut tn công trong mng nhưng được chia ra m 4 loi
ch yếu sau:
a. Tấn công thăm dò
Tấn công thăm vic thu thp thông tin trái phép v tài nguyên, các l hng
hoc dch v ca h thng
[2]
. Trước khi bt đu cuc tn công mng, tin tc c gng
thu thp thông tin càng nhiu càng tt v mạng đó, đ rồi sau đó tung ra cuộc tn
công tp trung. H th dùng nhiều cách khác nhau đ thăm mạng như in n
du chân (footprint), đếm mng, truy vn h thng tên miền….Qúa trình thăm
mạng đòi hỏi rt nhiu thi gian công sức, đầu tiên có th các hacker cn xác
định thông tin v h thống đích bằng các công c như Whois. Sau khi dùng các biện
pháp truy vn tên miền thu được các thông tin như Host thuc Domain nào
những địa ch được gán cho Domain đó, hacker s s dng các công c quét cng
để quét tt c các cng trên host nhằm thu được thông tin chi tiết n như số cng
đang mở, dch v đang chạy…Tuy khó ngăn cản vic quét cổng nhưng thể
gim bng cách hiu hoá tt c các dch v không cn thiết. Tấn công thăm dò
thưng bao gm các hình thc sau:
Sniffing (Nghe lén)
Sniffer mt hình thc nghe lén trên h thng mng da trên những đặc đim
của chế TCP/IP. Sniffer ban đầu mt k thut bo mật, được phát trin nhm
giúp các nhà qun tr mng khai thác mng hiu qu hơn, thể kim tra các d
liu ra vào mạng cũng như các d liu trong mng (kim tra li). Sau y, hacker
14
dùng phương pháp y để ly cp mt khu hay các thông tin nhy cm khác. Biến
th của sniffer các chương trình nghe lén bất hp pháp như: công cụ nghe lén
yahoo, ăn cắp password email…
Active sniffer:
o Môi trường hoạt động: Ch yếu hoạt động trên các mng s dng thiết b
chuyn mch (switch).
o Cơ chế hoạt động: Thay đổi đường đi của dòng d liu, áp dụng cơ chế ARP
RARP (hai chế chuyn đổi t IP sang MAC t MAC sang IP) bng
cách phát đi các gói tin đầu độc.
o Đặc điểm: Do phi gửi gói tin đi nên chiếm ng thông ca mng, nếu sniff
quá nhiu trong mng thì ng gói tin gi đi sẽ rt ln (do liên tc gi đi các
thông tin gi mo) th dn ti nghn mng hay gây quá ti lên chính NIC
ca máy (tht nút c chai)
o Mt s k thut ép dòng d liệu đi qua NIC ca mình như:
ARP poisoning: thay đi thông tin ARP
MAC flooding: m tràn b nh switch, t đó switch sẽ chy chế độ
forwarding mà không chuyn mch gói.
Gi MAC: các sniffer s thay đổi MAC ca mình thành mt MAC ca
mt máy hp l qua được chc năng lc MAC ca thiết b.
Đầu độc DHCP để thay đổi gateway ca máy client.
DNS spoofing: làm phân gii sai tên min.
Passtive sniffer
o Môi trường hoạt động: Ch yếu hoạt động trong môi trưng không thiết
b switch mà dùng hub.
o chế hoạt đng: Hoạt động dựa trên chế broadcast gói tin trong mng,
do không có thiết b switch nên các các gói tin được broadcast đi trong mng,
th bt các gói tin lại để xem (dù host nhn gói tin không phải nơi gói
tin đó gi ti)
15
o Đặc điểm: Do máy t broadcast gói tin nên hình thc Passtive sniff y rt
khó phát hin.
Ping sweep
o Ping: Đưa ra một gói yêu cầu ICMP đợi tr mt thông o tr li t mt
máy hot đng.
o Ping Sweep: Xác định h thống đang “sống” hay không rất quan trng
th hacker ngng ngay tn công khi xác đnh h thống đó đã “chết”. Việc xác
định trng thái h thng th s dng k thut Ping Scan hay còn gi vi
tên Ping Sweep. Bn cht ca quá trình này gi mt ICMP Echo Request
đến y ch hacker đang muốn tấn công mong đi mt ICMP Reply.
Ngoài lnh ping sn trên Windows, còn mt s công c ping sweep
như: Pinger, Friendly Pinger, Ping Pro…
Ports scanning
o Port scanning mt qtrình kết ni các cng (TCP UDP) trên mt h
thng mc tiêu nhằm xác định xem dch v nào đang “chạy” hoặc đang trong
trng thái “nghe”. Xác định máy đang mở cng nào, h thống đang sử dng
dch v nào. Xác định các cng nghe mt công vic rt quan trng nhm
xác định được loi hình h thng và nhng ng dụng đang được s dng.
o Mi công c có cơ chế port scan riêng. Ví d hot đng ca công c Nmap
h tr nhiu k thuật scan port như: TCP scan, SYN scan, Null scan,
Windows scan, ACK scan…k thut TCP scan tc là Nmap s kim tra cng
trên h thống đích mở hay đóng bằng cách thc hin kết nối TCP đầy đủ.
b. Tn công xâm nhp (access attack)
Tn công xâm nhp mt thut ng rng miêu t bt k kiu tấn công nào đòi
hỏi người m nhp lấy được quyn truy cp trái phép ca mt h thng bo mt
vi mục đích thao túng d liêu, nâng cao đặc quyn. Tn công truy nhp h thng:
hành động nhm đt được quyn truy cp bt hợp pháp đến mt h thng
đó hacker không tài khon s dng. K xâm nhp s thao túng d liệu đọc, viết,
a, sao chép hay thay đi d liu.