Xây dựng hệ thống phát hiện xâm nhập mạng áp dụng cho hệ thống mạng Bộ Khoa học và Công nghệ
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.12 MB, 96 trang )
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
VÕ TUẤN HẢI
XÂY DỰNG HỆ THỐNG PHÁT HIỆN
XÂM NHÂP MẠNG ÁP DỤNG CHO HỆ THỐNG MẠNG
BỘ KHOA HỌC VÀ CÔNG NGHỆ
LUẬN VĂN THẠC SĨ
Hà Nội - 2011
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
VÕ TUẤN HẢI
XÂY DỰNG HỆ THỐNG PHÁT HIỆN
XÂM NHÂP MẠNG ÁP DỤNG CHO HỆ THỐNG MẠNG
BỘ KHOA HỌC VÀ CÔNG NGHỆ
Ngành: Công nghệ thông tin
Chuyên ngành: Hệ thống thông tin
Mã số: 604805
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS ĐỖ TRUNG TUẤN
Hà Nội - 2011
1
MỤC LỤC
M U 4
- Tng quan v p mng 7
1.1 - H th 7
1.2 - u ca h thng IDS 8
1.3 - Gin ca h thng IDS 11
1.4 - Cm bin (sensor) 12
1.4.1 - Cha Sensor 12
1.4.2 - Network-Based Sensors 12
1.4.3 - Host-Based Sensors 13
1.4.4 - V t Sensor 13
1.4.5 - 14
1.5 - thng IDS 15
1.5.1 - 15
1.5.2 - 16
1.5.3 - -Based Detection (Misuse Detection) 18
1.6 - v mt ca IDS 19
1.7 - m ca h thp mng 20
1.8 - Gii thiu chung v lng (phishing) 20
1.9 - u phishing 21
1.9.1 - d v phishing 21
1.9.2 - Ma phisher 26
1.10 - v lo 27
1.11 - i n 28
1.11.1 - B 28
1.11.2 - Bng trang Web 29
2
1.11.3 - B 30
1.11.4 - B ojan 30
1.11.5 - Bng VoIP 31
1.11.6 - Bng spear phishing 31
1.11.7 - Bng whaling 32
1.11.8 - Bn 32
1.12 - tr k thut cho phishing 33
1.12.1 - K thut Man-in-the-middle 33
1.12.2 - K thut URL gi 34
1.12.3 - K thut t Cross-site Scripting 36
1.12.4 - K thuc Session ID 37
1.12.5 - K thut n 37
1.12.6 - K thu 38
1.12.7 - K thut li dm yu t 39
- p mng cho h thng mng B Khoa h
39
2.1 - ng la 39
2.2 - Kim tra l hng bo mt c 40
2.3 - p mng t trong ni b u chia s: 41
2.4 - 42
2.5 - p h 42
2.6 - g ngp SQL Injection 43
2.7 - n t chi dch v 44
2.8 - n phishing 45
2.9 - n spoofing 47
- n khai h thp mng cho h thng mng B Khoa hc
50
3
3.1 - ng B Khoa h 50
3.2 - H thn tn m Snort 52
3.2.1 - t 53
3.2.2 - a Snort 54
3.2.3 - Cn mm Snort 57
3.2.4 - Quo lut trong phn mm Snort 70
3.3 - Thit k n khai h thp mng 73
3.3.1 - Thit k h thp mng 73
3.3.2 - Trin khai h thp mng 74
KT LUN 92
U THAM KHO 94
4
MỞ ĐẦU
K t khi mn nay, th ging kin s
u v nhiu mt ci si. Nn kinh t th gii
i su s bi thu
n
mt mng c
t ch m
m b o mi.
i d liu qua h thng m
ng trong mi hong ci. V b
u c
t chp dch vi th thut t
thng an ninh mng tr t hiu q
thng an ninh mng truyn thng thung la nhm ki
lu thng mng mng nhc dt bo v
c nh. Vi ki thng an ninh s bt lc k thut tn
c bic tm yu ca h thng.
git nhiu v c an ninh, an
gi
nh:
bo v
c v bm
A bo v
ng truy c v bo
ng truyn tin.
bo v ng truyn tin, phi
i dung:
liu (Data Security).
d liu (Database Security).
5
ystem Security).
ng m
t ni dung mng
ng mt h thp mm mc
o v mi s tt nhp ca tin ttr n
tr mng thc hic bo mt bng m b
cho h thng m
-
Trong nhi, H thng mng B Khoa h s
nhiu s n v ng d ng
ca B ch th Khoa h
t nhin v thng
mc trang b mt s thit b m b
Firewall Checkpoint, Cisco IDS 4215, phn mm di
n t TrendMicro, h thc hi d liu UltraBac, h th
tr SAN.
Tuy vy, ving cng nhc nhng sn ph thng mng
m bo vii yu t i m
nh quan trng nh c bo mt. Hin nay, v t
cung cn tr mng B Khoa h
nhng hiu bit cn thi thit lm bo an ninh trong h thng.
Vin phm v an ninh
an ninh mt nhu cu bc thii vi h thng mng B Khoa
6
hng dng chn v c
ng, tng l hng v bo mt n ch th
cc trong thi
c tic tc
vn du b n dng linh ho thm
b thng m Khoa h thc
cht ch bao gm mt thit b Cisco IDS 4215 vi s ng mu t
t hn ch.
Nhng hn ch v an ninh, aa h thng mng B Khoa h
ngh hin nhng mt sau:
th
c, hay ging dm b
bo mt cho h thng mng. Do vy vim b thng
mc thc hin ch yu dm cn tr
mng. Dn s thiu hiu qu n tr mng.
H th p ca H thng mng B Khoa h
ch t thit b t
t h thng
hiu qu. Thit b p dng du
hin trong thit b
nhp hiu qu. Bng du hin trong thit
b c cp nh
y, nhng nt ra n gii
quyt nhng mt hn ch tn ti v thng mng B Khoa
h
m b thng mng
Khoa h.
ng, trin khai mt h thng phn m p
mng dn tng phn mn m.
7
Chương 1 - Tổng quan về phát hiện xâm nhập mạng và lừa đảo trên
mạng
1.1 - Hệ thống phát hiện xâm nhập là gì ?
H thp (IDS) c,
c nhn dng, quy ng
di thng mt ng p
(intrusion detection) th
nhp, ng qua giao
t cu
H tht phn ca h thng bo mt
tht bng m thng
bo mt (t kt hp vi FireWall).
kt hp s dn a sau, h th
nh thng chng tng ng. Gi s b
mt kho chn mun bo v o v
gm h thng c ct ca
c ng bt hp a bn, tuy
c mt cun
c cu thng ci ci bn trng
h gng l
chng, trong mng h
kh p bt h
ca, h thng, and
cng m v trong mt h thng bo mt. ng la,
c kt hn, cng t
c mnh an ninh cho h thng mng.
Mt v quan trng
c s dng trong h thng bo mt. Vic tip c theo chiu
n th s quynh vic bo v
thng mng cn thit phc bo mt theo nhiu
lp, mi lp s ng ch m bo s n trong bo mt
8
mt h thng mng trong t chc ca b
theo chia h thng mng.
Hình 1: Sơ đồ phòng thủ mạng
- Your enterprise: tổ chức của bạn - Technology: Công nghệ
- Operations: Các hoạt động - People: Con người
- Outside threats: các mối hiểm họa từ bên ngoài
i tn tng ng d
mng TCP/IP, vcm bin t tt chn ca h thng m bt
n rc ghi li lung
d liu qua h thng mng. Hong cn ging vi mt phn mm dit
virus vu hiu t d liu c
1.2 - Các kiểu của hệ thống IDS
p ti mp
thng mng kt hp ca c hai ki
p t m: Host-based intrusion-detection
system (HIDS).
9
thng mng: Network-based
intrusion-detection system (NIDS).
Kt hp c hai ki (Hybrid IDS).
HIDS thc cht ng dng ch
h thng cm vit h thng nht s
ki kim tra bt k mnht p vi
kin bc ghi trong c s d li
Mt h thng NIDS nm trc tip thng m
m nhng cuc tn n tt c
n mc ch nh (thm c nh
n chuyn mch ca mngn thn trong vic c
tin cho vin
d liu. Hu hc cung cp kh ng din
i nhng c n tr vi nh ng bt
ng.
Hi kt hp c u
ng
Hệ thống phát hiện xâm nhập NIDS và HIDS
NIDS
HIDS
Phm vi r thng mng)
Phm vi hp (Ch
nh)
t phc tp
D t
Tt cho vip t bn
ng
Tt cho vic php t
trong
T
10
Hệ thống phát hiện xâm nhập NIDS và HIDS
NIDS
HIDS
s c ghi
l thng mng
n d n ghi nht h
thng
Kim tra phu (header) c
m tra ph u (header) ca
Tr li gp tc
Ch tr li sau khi m
gng thc hin
thuc h
Ph thuc h
li
c ti ch c
i h thng mng
gng t
Kim tra s t bi ca
mt cuc t
Bảng 1: Phân biệt NIDS và HIDS
n ca m chn la d liu, tin x
p h (statistical
analysis) k quyt ho
Hoc d liu s d liu (knowledge base), nu
kh .
11
Hình 2: Một IDS chuẩn
- GUI: giao diện đồ họa - Response Manager: Bộ phản hồi
- Host system or network sniffrer: bộ cảm biến mạng và máy tính
- Pre-processing: bộ tiền xử lý -Alert manager: bộ báo động
- Statistical analysis: phân tích tĩnh -Signature matching:so sánh mẫu
- Knowledge base: cơ sở dữ liệu lưu trữ dấu hiệu tấn công
- Long-term storage: nơi phát hiện dị thường
1.3 - Giải thích hoạt động cơ bản của IDS
bt t cm bisensor - host system) hoc cm bin
mng (network sniffer) s c chuyn qua b sp xp.
B tin x: gm b phn gi b phn tin x:
B phn gi: gin bi
B phn sp xp: sp xp hoc chnh sa lb
n.
12
Mt s - n ng trong phu
(header. nh d
sp xp li chui.
B n (Detection engine): xu
(signature matching) ho (statictical analysis)
u ra (alert manager) quynh.
d li mu du hiu t (knowledgebase).
:Nn d ng ca packet, c (Long-
term storage).
B phn hi (Response manager): th ng ca b ng (alert
manager) n th giao din
GUI: giao di h
1.4 - Cảm biến (sensor)
ph
1.4.1 - Chức năng của cảm biến
p, c
network-based
(host-based).
1.4.2 - Cảm biến dựa trên mạng
n
13
Tcpdu
TCP
1.4.3 - Cảm biến dựa trên máy tính
,
i
.
1.4.4 - Vị trí đặt cảm biến
qua nh
14
Hình 3: Tầm quan trọng của vị trí đặt cảm biến
h
Gi
1.4.5 - Các lưu thông mạng đã được mã hóa
15
Web
Hình 4: IDS không thể theo dõi các lưu thông được mã hóa
Hình 5: IDS có khả năng theo dõi giao dịch Web
1.5 - Mô hình phân tích trong hệ thống IDS
IDS pht quan tr hiu tin
m ca
c nhau.
1.5.1 - Phân tích là gì ?
chc, cu tn d li gi
nhn dng bt c mng bt h i gian thc (Real-time
analysis) t c thc hin vi d li thng ho
16
trong thi gian th hip tc khi nhn
c d liu.
Ma vio mt ca h thng bo mt
m :
Tn ghi v ng ti
nh ch sai trong mng bng vi
Ghi li nhng bt h.
Ho cn tr nhu.
ng kh t nhng hot
ng vi nh thng.
via IDS. Mt h th
vic nhn d ng nguy him (anomalous activities) n
ng hon
ch c gia nhng bt hi
nhn cho rng rt ranh
gii gi nhn cho rng s t d
thng IDS phm bo s t gia hai
nht.
Hình 6: Mối quan hệ giữa những hành động mạng bất thường và bình thường
- Baseline activity: hành động bình thường
- Anomalous activity: hành động bất thường
1.5.2 - Các bước tiên hành phân tích
17
a vi
Preprocessing: Tin x
Analysis:
Response: Tr li
Refinement
Tin x p hp d lin t cm bin ca IDS. Trong
lic t ch tp hp d liu. B tin x quynh
dng ca d liu. Mt khi d linh d i vic
i.
Vii (classifications) ph thurule-
based detection hoc anomaly detection). V
loi s d m d t.
t s
thu
i d liu. D liu s c kt n
u ca mng bng
n. Nhm trong u d
liu tknowledge base) a k thu
n s i ca h thng file nht k.
n s c quy.
n vic m a sau.
Nhng c gng cp quyn c d liu.
Khi tin x c, vi bu. D lic so
i kho d liu tknowledge base), t k t
cp hoc b qua nng.
c ti l
18
n cu nh (refinement)
lng kh o m l v
m m bo mt cnh
m tra xut x ca mng tn
1.5.3 - Mô hình phân tích dựa trên luật (Rule-Based Detection)
thua h thng
mu hiu tn.
c ca ti
dt:
Tin x (Preprocessing): B tin x tp hp d liu v p,
li, t i ho mu.
Ving theo mnh dng chung.
o Signature Name: a du hiu.
o Signature ID: ID duy nht cho du hiu.
o Signature Description: du hiu.
o Possible False Positive Description: nh c
xy ra.
o Related Vulnerability Information: li xy ra.
o User Notes: y tng t chc.
m da tphu (header)
hay d liu cc d c c
ch kim tra ph u (header) u s ch gm ph u
(header) mu s hoc
ho kt hp. Miu t s c
tng kt h m
nhi ng th
19
Analysis): D linh di kho d li
mu t (knowledge base) b dng k thu so
khp mu (pattern-matching).
Phn hi (Response): Nu mt d liu khp vi du hiu t
thng s i IDS.
nh (Refinement): c chc cp
nht mi v c kiu ti.
ng k thu c nhng
ng bt ht k nh
thu
1.6 - Ví dụ về một vài luật của IDS
s v mt ma mt s
kiu tnh d n m .
t ca mt cuc tn c NetBus back door
alert tcp $HOME_NET 12345:12346 -> $EXTERNAL_NET any
(msg:"BACKDOOR netbus active"; flow:from_server,established;
content:"NetBus";
reference:arachnids,401; classtype:misc-activity; sid:109; rev:4;)
Lu ki mng cc b (HOME_NET) qua
cng 1234512346. Nu hi cng m
t long minh v mt cuc
t.
n t
alert udp $EXTERNAL_NET any -> $HOME_NET 53 (msg:"DNS zone transfer
UDP"; content: "|00 00 FC|"; offset:14; reference:cve,CAN-1999-0532;
reference:arachnids,212; classtype:attempted-recon; sid:1948; rev:1;)
20
t cuc t o bng 53.
Nu khp vi du hiu, snort s c ng th
1.7 - Đánh giá ưu nhược điểm của hệ thống phát hiện xâm nhập mạng
Ưu điểm:
c t thng mng.
D nh m bo v thng mng.
Kiu khic m cc t
theo chi
n tr kh ng cc t
nh bo v ng ng dng.
Hạn chế:
to ra nhng cm.
Phn ng vc t
u khi thi gian.
Ph thu v ht sc phc tp.
u khic vng t cao.
To ra s ng khng l liu c
D b mc by vc tm hoc rt chm.
ng th c vi
t tin.
1.8 - Giới thiệu chung về lừa đảo trên mạng (phishing)
t thut ng c tng,
g qua gi mt email hay m o d ng vic
21
i dung l thc hin phishing) s
mt khu, s th
V phishing cc k ng ca th gii. Mt
khi phisher li dc mt l h b
u qu ng. Lch s ca phishing ch khu bng vic l
nhon AOL, vi mc t i nhng phn mp. Th
th gii mt vi vic tion bin
m ng sai lm khi ba ch
h
C qua nhi phisher hin t
Tin, xem nhng la phisher.
Nhng kin thc m mng dn thc hin phishing
c tr h
phisher bit ph y
t m cn thi
ng.
1.9 - Phân tích các tấn công kiểu phishing
Nhng bi thut ch gc che du vt, quan trng
i thuyt phc n.
hi c hng c th
c t.
1.9.1 - Ví dụ về phishing
Mn nhn t t mt
i bi cho th chp l
qu t email cha thin tn thin t ca
n v nghi ng
a, vin thin t
git, ni thin t ng li.
email (thhi
n vi n nh ng d n thi n t t
22
chuyn xn t t
i
c hin ti vi yahoo ca b d
hiy ra. Th t
c cn thc b ht hn
i ln, bn th p li.
ng chuyy ra nhiu ln, bn nhn
Relogin to Yahoo Maili khi, bp. Vi
n thn, bt qua mthy v
t khu. Kt qu n l.
23
Hình 7: Email thông báo có ecard
T ma ch
a mi bn
Ni dung email
vi email tht t
Hallmark
Link hi
i link
ca Hallmark
