Tải bản đầy đủ (.doc) (91 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Nông - Lâm - Ngư

Nghiên cứu hệ thống giám sát, chống tấn công mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.26 MB, 91 trang )

~ i ~

ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI
HỌC CNTT&TT

LÊ MỸ TRƯỜNG

NGHIÊN CỨU HỆ THỐNG GIÁM SÁT, CHỐNG TẤN CÔNG MẠNG

Chuyên ngành: Khoa học máy tính
Mã số: 60 48 0101

LUẬN VĂN THẠC SĨ: KHOA HỌC MÁY TÍNH

THÁI NGUYÊN, NĂM 2015

Số hóa bởi Trung tâm Học liệu ĐHTN

/>

~ ii ~

LỜI CAM ĐOAN

Học viên xin cam đoan luận văn “Nghiên cưu hê thông giam sat ,
chông tân công mang” là công trình nghiên cứu của chính bản thân học
viên. Các nghiên cứu trong luận văn này dựa trên những tổng hợp kiến thức lý
thuyết đã được học, và sự hiểu biết thực tế dưới sự hướng dẫn khoa học của
Thầy giáo TS. Hồ Văn Hương.
Các tài liệu tham khảo được trích dẫn đầy đủ nguồn gốc. Học viên
xin chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam


đoan của
mình.
Thái Nguyên, ngày 20 tháng 8 năm
2015
Học viên thực
hiện

Lê Mỹ Trường

Số hóa bởi Trung tâm Học liệu ĐHTN

/>

~ iii ~

LỜI CẢM ƠN

Trước hết học viên cũng xin gửi lời cảm ơn tới các thầy cô giáo
trường Đại học Công nghệ thông tin và Truyền thông - Đại học Thái
Nguyên nơi các thầy cô đã tận tình truyền đạt các kiến thức quý báu cho
học viên trong suốt quá trình học tập. Xin cảm ơn các cán bộ nhà trường đã
tạo điều kiện tốt nhất cho học viên học tập và hoàn thành luận văn này.
Đặc biệt, học viên xin được gửi lời cám ơn đến thầy giáo hướng dẫn học
viên TS Hồ Văn Hương - Ban cơ yếu Chính phủ, thầy đã tận tình chỉ bảo giúp
đỡ học viên trong suốt quá trình nghiên cứu để hoàn thành luận văn.
Cuối cùng cho phép tôi xin cảm ơn Lãnh đạo, đồng nghiệp, bạn bè, gia
đình đã giúp đỡ, động viên ủng hộ tôi rất nhiều trong toàn bộ quá trình học tập
cũng như nghiên cứu để hoàn thành luận văn này.
Thái Nguyên, ngày 20 tháng 8 năm 2015
Học viên thực

hiện

Số hóa bởi Trung tâm Học liệu ĐHTN

/>

~ iviviv
~

MỤC LỤC
LỜI CAM ĐOAN
LỜI CẢM ƠN
MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN DANH
MỤC CÁC HÌNH ẢNH
DANH MỤC CÁC BẢNG BIỂU
Trang
MỞ ĐẦU
.....................................................................................................................1
1. Đặt vấn đề
...............................................................................................................1
2. Mục tiêu nghiên
cứu................................................................................................1
3. Đối tượng và phạm vi nghiên
cứu...........................................................................2
4. Phương pháp nghiên
cứu.........................................................................................2
5. Ý nghĩa khoa học của đề tài
....................................................................................2
6. Bố cục của luận văn

................................................................................................2
CHƯƠNG 1. TỔNG QUAN AN NINH MẠNG........................................................3
1.1. Tình hình an ninh mạng hiện nay
....................................................................3
1.2. Các yếu tố đảm bảo an toàn thông
tin..............................................................3
1.3. Các mối đe dọa đến an toàn thông
tin..............................................................3
1.4. Các lỗ hổng hệ thống
.......................................................................................4
1.4.1. Các lỗ hổng loại C
..................................................................................4
1.4.2. Các lỗ hổng loại B
..................................................................................4
1.4.3. Các lỗ hổng loại
A..................................................................................5
1.5. Các nguy cơ mất an toàn thông tin

Số hóa bởi Trung tâm Học liệu ĐHTN

/>

~ vvv

..................................................................5
~
1.5.1. Kiểu tấn công thăm dò.
..........................................................................5
1.5.2. Kiểu tấn công truy cập
...........................................................................5

1.5.3. Kiểu tấn công từ chối dịch vụ
................................................................6
1.6. Giải pháp an ninh mạng
...................................................................................7
1.6.1. Giơi thiêu chung vê quan ly hê thông mang
..........................................7
1.6.2. Hai phương thức giám sát Poll và Alert
.................................................7

Số hóa bởi Trung tâm Học liệu ĐHTN

/>

1.6.2.1. Phương thưc Poll ---------------------------------------------------------------- 7
1.6.2.2. Phương thức Alert----------------------------------------------------------7
1.6.2.3. So sánh phương thức Poll và Alert -----------------------------------------8
1.6.3. Giao thức quản lý giám sát mạng SNMP
...............................................9
1.6.3.1. Giơi thiêu SNMP
-------------------------------------------------------------------------------9
1.6.3.2. Ưu điêm cua thiêt kê SNMP -----------------------------------------------10
1.6.3.3. Các phiên bản của SNMP --------------------------------------------------10
1.6.4. Kiến trúc giao thức SNMP
...................................................................11
1.6.4.1. Các thành phần chính của SNMP ----------------------------------------11
1.6.4.2. ObjectID ------------------------------------------------------------------------- 11
1.6.4.3. Object access ------------------------------------------------------------------13
1.6.4.4. Cơ sở thông tin quản trị MIB ----------------------------------------------14
1.6.5. Các phương thức của SNMP
................................................................15

1.6.5.1. GetRequest ---------------------------------------------------------------- 15
1.6.5.2. SetRequest----------------------------------------------------------------- 16
1.6.5.3. GetResponse -------------------------------------------------------------- 16
1.6.5.4. Trap ------------------------------------------------------------------------ 16
1.6.6. Các cơ chế bảo mật cho SNMP
............................................................17
1.6.6.1. Community string -------------------------------------------------------- 17
1.6.6.2. View------------------------------------------------------------------------ 17
1.6.6.3. SNMP access control list ------------------------------------------------ 17
1.6.6.4. RMON --------------------------------------------------------------------- 18
1.6.7. Cấu trúc bản tin SNMP
........................................................................18
1.6.8. Hệ thống phát hiện và ngăn chặn xâm nhập mạng
(IDS/IPS)..............18
1.6.8.1. Giới thiệu về IDS/IPS --------------------------------------------------- 18
1.6.8.2. Các thành phần và chức năng của IDS/IPS --------------------------19
1.6.8.3. Phân loại IDS ------------------------------------------------------------- 20


1.6.8.4. Cơ chế hoạt động của hệ thống IDS/IPS ------------------------------ 23
CHƯƠNG 2. NGHIÊN CỨU BỘ CÔNG CỤ GIÁM SÁT, CHỐNG TẤN CÔNG
MẠNG....................................................................................................................
...26
2.1. Giới thiệu chung
............................................................................................26
2.2. Bộ công cụ giám sát mạng – Cacti
................................................................26


2.2.1. Kiến trúc của Cacti

...............................................................................26
2.2.2. Nguyên tắc hoạt
động...........................................................................28
2.2.3. Các tính năng chính
..............................................................................29
2.2.4. Lưu trữ và xử lý dữ liệu trong hệ thống giám sát mạng Cacti
.............32
2.3. Bộ công cụ chống tấn công mạng - Snort
......................................................34
2.3.1. Kiến trúc của
Snort...............................................................................34
2.3.1.1. Module giải mã gói tin -------------------------------------------------- 35
2.3.1.2. Module tiền xử lý -------------------------------------------------------- 36
2.3.1.3. Module phát hiện --------------------------------------------------------- 38
2.3.1.4. Module log và cảnh báo ------------------------------------------------- 39
2.3.1.5. Module kết xuất thông tin ----------------------------------------------- 39
2.3.2. Bộ luật của Snort
..................................................................................40
2.3.2.1. Phần tiêu đề --------------------------------------------------------------- 40
2.3.2.2. Các tùy chọn -------------------------------------------------------------- 43
2.3.3. Chế độ ngăn chặn của Snort: Snort –
Inline.........................................46
2.3.3.1. Các chế độ thực thi của Snort ------------------------------------------ 46
2.3.3.2. Nguyên lý hoạt động của inline mode --------------------------------47
CHƯƠNG 3. NGHIÊN CỨU ỨNG DỤNG MÃ NGUỒN MỞ CACTI VÀ SNORT
...............................................................................................................................
....49
3.1. Giới thiệu về hệ thống giám sát, chống tấn công
mạng.................................49
3.2. Xây dựng mô hình giả lập để thử nghiệm giám sát, chống tấn công

mạng...49
3.2.1. Mô hình mạng
trường...........................................................................49
3.2.2. Đề xuất mô hình
...................................................................................50
3.2.3. Mô hình mạng thử nghiệm.
..................................................................51
3.2.4. Triển khai thử nghiệm giám sát mạng
..................................................51


3.2.5. Triển khai thử nghiệm chống tấn công
mạng.......................................60
3.2.5.1. Cấu hình Snort ------------------------------------------------------------ 60
3.2.5.2. Chương trình Snort------------------------------------------------------- 64
3.3. Đánh giá kết quả thực nghiệm
.......................................................................70
3.4. Kết quả thử nghiệm đạt
được.........................................................................71
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN ................................................................73
TÀI LIỆU THAM KHẢO.........................................................................................74


DANH MỤC CÁC TỪ VIẾT TẮT TRONG LUẬN VĂN
FTP

File Tranfer Protocol

Giao thức truyền tập tin


HTTP

Hyper Text Tranfer Protocol

Giao thức truyền tải siêu văn bản

IP

Internet Protocol

Giao thức mạng

MIB

Management Information Base

Cơ sở thông tin quản lý

OID

Object Identifier

Định danh đối tượng

LAN

Local Area Network

Mạng cục bộ


SNMP

Simple Network Managerment

Giao thức quản lý mạng đơn giản

Protocol
IDS

Intrusion Detection System

Hệ thống phát hiện xâm nhập

IPS

Intrusion Prevention System

Hệ thống ngăn chặn xâm nhập

H-IDS

Host Based Intrusion Detection

Hệ thống phát hiện xâm nhập máy

System

chủ nhân

Network Based Intrusion

Detection

Hệ thống phát hiện xâm nhập
mạng

VPN

System
Vitual Private Network

Mạng riêng ảo

CPU

Central Processing Unit

Đơn vị xử lý trung tâm

DOS

Denial of Service

Từ chối dịch vụ

DDOS

Distributed Denial of Service

Phân phối từ chối dịch vụ


TCP

Transmission Control Protocol

Giao thức kiểm soát

UDP

User Datagram Protocol

Giao thức sử dụng dữ liệu

ICMP

Internet Control Message Protocol Giao thức điều khiển thông điệp

N-IDS

Internet
MAC

Media Access Controllers

PDU

Protocol Data Unit

Bộ điều khiển truy cập truyền
thông
Giao thức dữ liệu đơn vị



~ viii ~

DANH MỤC CÁC HÌNH ẢNH
Trang
Hình 1.1. Minh họa cơ chế Poll
..................................................................................7
Hình 1.2. Minh họa cơ chế
Alert.................................................................................8
Hình 1.3. Trạm quản lý mạng
...................................................................................11
Hình 1.4. Minh họa quá trình lấy sysName.0
...........................................................13
Hình 1.5. Minh họa MIB tree
..................................................................................14
Hình 1.6. Minh họa các phương thức của SNMPv1……………......……………...17
Hình 1.7. Cấu trúc bản tin SNMP
.............................................................................18
Hình 1.8. Các vị trí đặt IDS trong mạng
.................................................................19
Hình 1.9. Mô hình NIDS
.........................................................................................21
Hình 1.10. Hệ thống kết hợp 2 mô hình phát hiện
...................................................25
Hinh 2.1. Kiến trúc của Cacti
...................................................................................26
Hình 2.2. Các thành phần của hệ quản trị
Cacti........................................................28
Hình 2.3. Hoạt động của hệ quản trị Cacti

................................................................28
Hình 2.4. Biểu đồ trong Cacti
...................................................................................30
Hình 2.5. Weather map trong cacti
..........................................................................31
Hình 2.6. Giám sát trạng thái thiết bị trong Cacti
....................................................31
Hình 2.7. Nguyên lý của cơ sở dữ liệu RRD (RRA)
...............................................33
Hình 2.8. Biểu diễn đồ thị trong RRD.
.....................................................................33
Hinh 2.9. Mô hình kiến trúc hệ thống Snort


~ viii ~

............................................................34

Hinh 2.10. Quy trình xử lý một gói tin Ethernet
......................................................35
Hình 2.11. Cấu trúc luật của Snort
............................................................................40
Hình 2.12. Header luật của Snort
..............................................................................40
Hình 3.1. Mô hình mạng hiện tại
..............................................................................49
Hình 3.2. Đề xuất mô hình
........................................................................................50
Hình 3.3. Mô hình thử nghiệm
..................................................................................51

Hình 3.4. Màn hình giao diện Cacti khởi động cài đặt
.............................................52


~ ix ~
Hình 3.5. Màn hình giao diện Cacti kiểm tra các công cụ
........................................53
Hình 3.6. Màn hình đăng nhập hệ thống
...................................................................53
Hình 3.7. File SNMP services
...................................................................................54
Hình 3.8. Đặt cấu hình SNMP services
....................................................................54
Hinh 3.9. Thêm thiết bị máy client vào cacti
............................................................55
Hình 3.10. Thêm thiết bị máy 2 vào Cacti
................................................................55
Hình 3.11. Danh sách các nội dung cần giám sát.
....................................................56
Hình 3.12. Lựa chọn thiết bị muốn tạo đồ thị
...........................................................57
Hình 3.13. Đồ thị của máy 2
.....................................................................................57
Hình 3.14. Danh sách các máy có trong cây đồ
thị...................................................58
Hình 3.15. Tình trạng thiết bị trên cây đồ thị (máy 2)
..............................................59
Hình 3.16. Tình trạng thiết bị trên cây đồ thị (máy 7)
..............................................59
Hình 3.17. Giao diện hệ điều hành CentOS 5.4

........................................................60
Hình 3.18. Giao diện Base
........................................................................................63
Hình 3.19. Phát hiện có máy đang ping
....................................................................64
Hình 3.20. Phát hiện truy cập web
............................................................................65
Hình 3.21. Phát hiện truy cập trang web với IP
........................................................66
Hình 3.22. Tiến hành DDOS vào máy ảo Centos
.....................................................67
Hình 3.23. Phát hiện tấn công DDOS
.......................................................................68
Hình 3.24. Phát hiện tấn công PORTSCAN
.............................................................69


~ x ~

DANH MỤC CÁC BẢNG BIỂU
Bảng 1.1. So sánh hai phương thức Poll và Alert
Bảng 1.2. Các phương thức hoạt động của
SNMP Bảng 2.1. Các module tiền xử lý
Bảng 2.2. Các cờ sử dụng với từ khoá flags


~ xi ~

Số hóa bởi Trung tâm Học liệu - ĐHTN
tnu.edu.vn/


-


~ 1 ~
MỞ ĐẦU
1. Đặt vấn
đề
An ninh, an toàn thông tin (ATTT) thực sự trở thành vấn đề “nóng” sau
một loạt các sự kiện ở tầm quốc gia và quốc tế. Vụ việc các chương trình do
thám của Cơ quan An ninh quốc gia Mỹ bị đưa ra công khai và hàng loạt các vụ
tấn công của tin tặc đã khiến nhận thức và mối quan tâm của xã hội đối với
vấn đề này càng sâu sắc và rõ nét hơn trong những năm tới.
Các chuyên gia an ninh mạng đã đoán trước rằng trong kỷ nguyên
Internet di động, vấn đề khủng khiếp nhất sẽ là an ninh, dự đoán này bây giờ
đang trở thành thực tế. Trong những năm gần đây, các website trên Internet,
cũng như các dữ liệu của các doanh nghiệp, tổ chức, chính phủ,… đã bị nhiều
đợt tấn công của các tội phạm mạng. Đã có nhiều website, hệ thống mạng bị
ngưng hoạt động trong nhiều giờ, nhiều dữ liệu quan trọng đã bị đánh cắp.
Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và tác động tiêu cực, ảnh
hưởng trực tiếp đến nhiều cá nhân, công việc kinh doanh của các doanh nghiệp,
ảnh hưởng đến nền an ninh quốc phòng của nhiều quốc gia.
Các vụ tấn công mạng ngày càng gia tăng, với nhiều loại hình tấn công và
mức độ ngày càng nghiêm trọng. Những kẻ tấn công cũng có nhiều mục đích
khác nhau như: chính trị, tài chính, tôn giáo, gián điệp, khủng bố… nhằm đánh
cắp dữ liệu, phá hủy dữ liệu, làm cho hệ thống bị ngưng hoạt động, hoạt động
chậm…
Tấn công mạng và chiến tranh không gian mạng ngày càng trở nên
nghiêm trọng. Vì vậy việc nghiên cứu các hê th ống giam sat , chông tân công
mạng và ứng dụng trong phòng thủ mạng để đảm bảo mạng hoạt động ổn

định, bảo đảm an toàn thông tin trên mạng là việc làm rất cần thiết. Giải quyết
vấn đề an ninh mạng là việc làm của cả xã hội và là vấn đề cấp bách hiên nay.
Với tình hình cấp thiết

như trên, em xin mạnh dạn nghiên cứu và triển

khai thành luận văn với đề tài: “Nghiên cưu hê thông giam sat, chông tân
công mang”.
2. Mục tiêu nghiên cứu
+ Tìm hiểu rõ về hệ thống giam sat , chống tấn công mạng mã nguồn mở.
+ Nghiên cứu triển khai các ứng dụng mã nguồn mở giám sát, chống tấn
công mạng (Cacti, Snort).

Số hóa bởi Trung tâm Học liệu ĐHTN

/>

3. Đối tượng và phạm vi nghiên cứu
- Đối tượng của đề tài:
+ Một số phương thức giám sát, chống tấn công mạng: Poll, Alert,
SNMP, IDS/IPS.
+ Bộ công cụ mã nguồn mở: Cacti, Snort.
- Phạm vi nghiên cứu:
+ Tìm hiểu về công nghệ, mô hình, giao thức giám sát mạng.
+ Kiến trúc giám sát mạng mã nguồn mở.
+ Chức năng, phân loại, cơ chế hoạt động của hệ thống chống tấn công
mạng
4. Phương pháp nghiên cứu
+ Phương pháp nghiên cứu lý thuyết: Tông hơp tai liêu, phân tich, suy diên.
+ Xây dựng bài toán mô phong , thực nghiệm để chứng minh những

nghiên cứu về lý thuyết của đề tài.
5. Ý nghĩa khoa học của đề tài
- Về lý thuyết:
+ Là tài liệu tham khảo về kiến trúc quản trị mạng và phần mềm mã
nguồn mở
Cacti và Snort.
+ Nắm vững nội dung nghiên cứu về tổng quan các kiến trúc của hệ
thống quản lý hiện tại của mạng, giao thức SNMP và IDS/IPS.
- Về thực tiễn:
+ Ý nghĩa thực tiễn của đề tài : Xây dựng , thiết kế , thử nghiệm và ứng
dụng quản trị mạng trong công việc thực tế . Bên cạnh đó , sẽ có những giai
pháp an toan , an ninh mang đê phong ngưa cac cuôc tân công mang như hiện
nay .
6. Bố cục của luận văn
Dựa trên đối tượng và phạm vi nghiên cứu, luận văn sẽ được phân làm
3 chương chính với các nội dung cụ thể như sau:
Chương 1. Tổng quan an ninh mạng
Chương 2. Nghiên cứu bộ công cụ giam sat , chông tân công mạng
Chương 3. Nghiên cứu ứng dụng mã nguồn mở cacti và Snort


CHƯƠNG 1. TỔNG QUAN AN NINH MẠNG
1.1. Tình hình an ninh mạng hiện nay
Các nguy cơ từ mã độc, tấn công từ chối dịch vụ, xu hướng “Internet
of Things” (khái niệm chỉ các thiết bị kết nối được với nhau và kết nối với
Internet) là “mồi ngon” của tin tặc… sẽ đe dọa tình hình an ninh mạng tại Việt
Nam.
1.2. Các yếu tố đảm bảo an toàn thông tin
- Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối
tượng.

- Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc.
- Tính sẵn sàng: Thông tin phải luôn sẵn sàng để tiếp cận, để phục vụ theo
đúng mục đích và đúng cách.
- Tính chính xác: Thông tin phải chính xác, tin cậy.
- Tính không khước từ (chống chối bỏ): Thông tin có thể kiểm chứng được
nguồn gốc hoặc người đưa tin.
1.3. Các mối đe dọa đến an toàn thông tin
Các mối đe dọa đến an toàn hệ thống là các hành động hoặc các sự
kiện/hành vi có khả năng xâm hại đến độ an toàn của một hệ thống thông tin.
- Mục tiêu đe dọa tấn công: Chủ yếu là các dịch vụ an ninh
 Khả năng bảo mật thông tin: Sẽ bị đe dọa nếu thông tin không được
bảo mật.
 Tính toàn vẹn của thông tin: Đe dọa thay đổi cấu trúc thông tin.
 Tính chính xác của thông tin: Đe dọa thay đổi nội dung thông tin.
 Khả năng cung cấp dịch vụ của hệ thống: Làm cho hệ thống không
thể cung cấp được dịch vụ (tính sẵn sàng).
 Khả năng thống kê tài nguyên hệ thống.
- Đối tượng đe dọa tấn công: Là chủ thể gây hại đến hệ thống
 Khả năng đe dọa tấn công của đối tượng: Khả năng truy cập để khai
thác các lỗ hổng hệ thống tạo ra mối đe dọa trực tiếp.
 Sự hiểu biết của đối tượng về mục tiêu đe dọa tấn công: user ID, file
mật khẩu, vị trí file, địa chỉ mạng,…
 Động cơ tấn công của đối tượng: Chinh phục, lợi ích cá nhân, cố
tình.
- Hành vi đe dọa tấn công:


 Lợi dụng quyền truy nhập thông tin hệ thống.
 Cố tình hoặc vô tình thay đổi thông tin hệ thống.
 Truy cập thông tin bất hợp pháp.

 Cố tình hoặc vô tình phá hủy thông tin hoặc hệ thống.
 Nghe lén thông tin.
 Ăn cắp phần mềm hoặc phần cứng.
- Phân loại các mối đe
dọa:
 Có mục đích.
 Không có mục đích.
 Từ bên ngoài.
 Từ bên trong.
1.4. Các lỗ hổng hệ thống
Hiện nay trên thế giới có nhiều cách phân lọai khác nhau về lỗ hổng của
hệ thống mạng. Dưới đây là cách phân loại sau đây được sử dụng phổ biến
theo mức độ tác hại hệ thống.
1.4.1. Các lỗ hổng loại C
Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo
DoS (Denial of Services – Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh
hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống, không
làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.
1.4.2. Các lỗ hổng loại B
Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống
mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ
nguy hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng
dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
Các lỗ hổng loại B có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép
người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không
hợp pháp. Người sử dụng cục bộ được hiểu là người đã có quyền truy nhập vào
hệ thống với một số quyền hạn nhất định.


1.4.3. Các lỗ hổng loại A

Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào
hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn
bộ hệ thống. Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn
và bảo mật của hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ
thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có trên
phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần
mềm sử dụng sẽ có thể bỏ qua những điểm yếu này.
1.5. Các nguy cơ mất an toàn thông tin
Cùng với sự phổ cập Internet ngày càng rộng rãi, vấn đề bảo đảm an
toàn, an ninh thông tin trên môi trường mạng cũng ngày càng trở nên cấp thiết.
Các nguy cơ mất an toàn thông tin đang gia tăng cả về số lượng và mức độ
nghiêm trọng. Trước các hiểm họa tinh vi và gánh nặng tuân thủ các quy định
bảo mật mới, các phương thức và hệ thống bảo mật truyền thống đã không
còn hiệu quả để đảm bảo an toàn thông tin và dữ liệu cho các tổ chức, cần có
những công cụ và kỹ thuật tiên tiến hơn để bảo vệ lợi ích của tổ chức, đảm
bảo an toàn, duy trì kiểm soát các ứng dụng và dữ liệu.
1.5.1. Kiểu tấn công thăm dò.
Thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ hổng hoặc
dịch vụ của hệ thống. Các cách tấn công truy cập hay DoS thường được tiến
hành bởi kiểu tấn công thăm dò. Hiển nhiên, các hacker phải biết có thể tấn
công cái gì trước khi xâm nhập. Thăm dò giống như một kẻ trộm nhà băng
muốn biết có bao nhiêu bảo vệ đang làm nhiệm vụ, bao nhiêu camera, vị trí
của chúng và đường thoát hiểm. Thăm dò là một kiểu tấn công, nó cũng là một
giai đoạn tấn công.
1.5.2. Kiểu tấn công truy cập
Truy cập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào đòi hỏi
người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật
với mục đích thao túng dữ liệu, nâng cao đặc quyền, hay đơn giản chỉ là truy
cập vào hệ thống:

+ Tấn công truy cập hệ thống: Hacker thường tìm kiếm quyền truy
cập đến một thiết bị bằng cách chạy một đoạn mã hay bằng những công cụ
hack (hacking


tool) hay là khai thác một yếu điểm của ứng dụng hoặc một dịch vụ đang chạy
trên
máy chủ.
+ Tấn công truy cập thao túng dữ liệu: Thao túng dữ liệu xuất hiện
khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu. Nó có thể đơn
giản như việc tìm phần mềm chia sẻ trên máy tính, hay khó hơn như việc cố
gắng xâm nhập một hệ thống tín dụng của cục thông tin.
+ Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền là
một dạng tấn công phổ biến. Bằng cách nâng cao đặc quyền, kẻ xâm nhập có
thể truy cập vào các files hay folder dữ liệu mà tài khoản người sử dụng ban
đầu không được cho phép truy cập. Mục đích chung của hacker là chiếm được
quyền truy cập ở mức độ quản trị. Khi đã đạt được mục đích đó, họ có toàn
quyền điều khiển hệ thống mạng.
1.5.3. Kiểu tấn công từ chối dịch vụ
Kiểu tấn công DdoS được thực hiện nhằm làm vô hiệu hóa, làm hư hỏng,
hay gây tổn hại đến tài nguyên mạng với mục đích cản trở việc sử dụng những
hệ thống này của người dùng. Tấn công DdoS gồm các giai đoạn sau:
+ Giai đoạn đầu tiên – Mục tiêu: Là giai đoạn định nghĩa đối tượng.
Điều đầu tiên cần làm rõ trong mọi hoạt động cũng như việc hacking là xác
định được mục tiêu. Kết quả của việc xác lập mục tiêu của kiểu tấn công dẫn
đến việc hình thành, chọn lựa những công cụ và phương pháp phù hợp. Nếu kẻ
xâm nhập có động cơ trả thù thì kiểu tấn công DdoS phù hợp với nhu cầu đó.
Nếu kẻ tấn công là một đối thủ thì, xâm nhập hệ thống và thao túng dữ liệu
mới là mục tiêu. Khi kẻ xâm nhập tiến hành những bước của một kiểu tấn
công, thì mục tiêu có thể và thường thay đổi.

+ Giai đoạn hai thăm dò: Giai đoạn thăm dò, như chính tựa đề của nó,
là giai đoạn mà hacker sử dụng nhiều nguồn tài nguyên để thu thập thông tin
về hệ thống đối tượng.
+ Giai đoạn thứ ba tấn công: Giai đoạn cuối cùng là giai đoạn tấn
công. Trong giai đoạn tấn công kẻ xâm nhập bắt đầu cố gắng xâm nhập
mạng và tài nguyên hệ thống trên mạng. Bằng cách sử dụng các thông tin đã
thu thập được, một vài hacker có thể thực hiện việc tấn công nhiều lần cho đến
khi phát hiện được lỗi bảo mật để có thể khai thác.


1.6. Giải pháp an ninh mạng
1.6.1. Giơi thiêu chung vê quan ly hê thông mang
Một loạt các thiết bị điển hình cần được quản ly gồm : Máy tính cá nhân,
máy trạm, server, máy vi tính cỡ nhỏ, máy vi tính cỡ lớn, các thiết bị đầu cuối,
modem, các gateway, router và switch, tất cả mới chỉ là một phần của danh
sách các thiết bị sẽ phải được quản ly.
1.6.2. Hai phương thức giám sát Poll và Alert
Hai phương thức giám sát “Poll” và “Alert”, đây là 2 phương thức cơ bản
của các kỹ thuật giám sát hệ thống, nhiều phần mềm và giao thức được xây
dựng dựa trên 2 phương thức này, trong đó có SNMP.
1.6.2.1. Phương thưc Poll
Nguyên tắc hoạt động: Máy chủ giám sát sẽ thường xuyên hỏi thông tin
của thiết bị cần giám sát. Nếu máy giám sát không hỏi thì thiết bị không trả lời,
nếu máy giám sát hỏi thì thiết bị phải trả lời. Bằng cách hỏi thường xuyên,
máy giám sát sẽ
luôn cập nhật được thông tin mới nhất từ thiết bị.
Máy chủ giám sát

Thiết bị (Device)


Yêu cầu
#1
Yêu cầu

Phản hồi

#1

#2
Phản hồi

#2

Hình 1.1. Minh họa cơ chế Poll
1.6.2.2. Phương thức Alert
Nguyên tắc hoạt động: Mỗi khi trong thiết bị xảy ra một sự kiện (event)
nào đó thì thiết bị sẽ tự động gửi thông báo cho máy giám sát, gọi là Alert. Máy
giám sát không hỏi thông tin định kỳ từ thiết bị.
Thiết bị chỉ gửi những thông báo mang tính sự kiện chứ không gửi
những thông tin thường xuyên thay đổi, nó cũng sẽ không gửi Alert nếu chẳng
có sự kiện gì xảy ra. Chẳng hạn khi một port down/up thì thiết bị sẽ gửi cảnh
báo, còn tổng số byte truyền qua port đó sẽ không được thiết bị gửi đi vì đó
là thông tin thường


xuyên thay đổi. Muốn lấy những thông tin thường xuyên thay đổi thì máy giám
sát
phải chủ động đi hỏi thiết bị, tức là phải thực hiện phương thức Poll.
Máy chủ giám sát


Thiết bị (Device)
Thông báo
#1

Sự kiện

#1

Thông báo
#2

Sự kiện

#2

(No có sự kiện)
Sự kiện

#3

Thông báo
#3
Hình 1.2. Minh họa cơ chế Alert
1.6.2.3. So sánh phương thức Poll và Alert
Hai phương thức Poll và Alert là hoàn toàn khác nhau về cơ chế. Một
ứng dụng giám sát có thể sử dụng Poll hoặc Alert, hoặc cả hai, tùy vào yêu cầu
cụ thể trong thực tế.
Bảng sau so sánh những điểm khác biệt của 2 phương thức :
POLL


AlERT

Có thể chủ động lấy những thông
tin
cần thiết từ các đối tượng

Tất cả những event xảy ra đều
được

mình gửi về Manager, Manager phải có cơ

quan tâm, không cần lấy những thông chế lọc những even cần thiết, hoặc
tin không cần thiết từ những nguồn Device phải thiết lập được cơ chế
không quan tâm

chỉ gửi những event cần thiết lập

Có thể lập bảng trạng thái tất cả
các

Nếu không có event gi xảy ra
thì

thông tin của Device sau khi poll Manager

không

biết

được trạng


qua một lượt các thông tin đó. Ví dụ thái của Device. Ví dụ Device có một
Device có

một

port

down

và port down và Manager được khởi

Manager được khởi động sau đó, thì động sau đó, thì Manager sẽ không
Manager sẽ biết được port đang down thể biết được port đang down.
sau khi poll qua một lượt tất cả các
port.
Trong trường hợp đường truyền giữa

Khi

đường truyền


gián

đoạn

Manager và Device xảy ra gián đoạn



Device có sự thay đổi thì nó vẫn

Device có sự thay đổi, thì Manager

gửi alert cho Manager, nhưng alert


không
khi

thể

cập

nhật.

Tuy

nhiên không thể đến được Manager. Sau
đó

đường truyền thông suốt trở lại thì mặc dù đường truyền có thông suốt
Manager sẽ cập nhật được thông tin trở lại thì Manager vẫn không thể
mới nhất do nó luôn luôn poll định kỳ.
Chỉ cần cài đặt Manager để trỏ đến
tất

biết được những gì đã xảy ra.
Phải cài đặt tại từng Device để trỏ
đến


cả các Device. Có thể dễ dàng thay

Manager. Khi thay đổi Manager thì

đổi một Manager khác.

phải cài đặt lại trên tất cả các

Nếu tần suất poll thấp, thời gian
chờ

Device để trỏ về Manager mới.
Ngay khi có sự kiện xảy ra thì
Device

giữa hai chu kỳ poll dài sẽ làm sẽ gửi alert đến Manager, do đó
Manager chậm cập nhật các thay đổi Manager luôn luôn có thông tin mới
của Device. Nghĩa là nếu thông tin nhất tức thời.
Device đã thay đổi nhưng vẫn chưa
đến lượt poll kế tiếp thì Manager vẫn
giữ
tinsót
cũ.các sự kiện: Khi
Cóthông
thể bỏ
Device

Manager sẽ được thông báo mỗi khi
có sự kiện xảy ra ở Device, do đó


có thay đổi, sau đó thay đổi trở lại như Manager không bỏ sót bất kỳ sự kiện
ban đầu trước khi đến poll kế tiếp nào.
thì Manager sẽ không phát hiện được.
Nếu chu kỳ Poll ngắn sẽ gây tốn
băng

Không có chu kỳ gửi tin nên không
tốn nhiều băng thông như cơ chế Poll.

thông, nếu chu kỳ dài thì thông tin
giám sát sẽ không chính xác.
Bảng 1.1. So sánh hai phương thức Poll và Alert
1.6.3. Giao thức quản lý giám sát mạng SNMP
1.6.3.1. Giơi thiêu SNMP
SNMP là “giao thức quản lý mạng đơn giản. Giao thức là một tập hợp các
thủ tục mà các bên tham gia cần tuân theo để có thể giao tiếp được với nhau.
Trong lĩnh vực thông tin, một giao thức quy định cấu trúc, định dạng (format)
của dòng dữ liệu trao đổi với nhau và quy định trình tự, thủ tục để trao đổi
dòng dữ liệu đó. Nếu một bên tham gia gửi dữ liệu không đúng định dạng hoặc
không theo trình tự thì các bên khác sẽ không hiểu hoặc từ chối trao đổi thông
tin. SNMP là một giao thức, do đó nó có những quy định riêng mà các thành
phần trong mạng phải tuân theo.


Một thiết bị hiểu được và hoạt động tuân theo giao thức SNMP được gọi là
“có hỗ trợ SNMP” (SNMP supported) hoặc “tương thích SNMP” (SNMP
compartible). SNMP dùng để quản lý, nghĩa là có thể theo dõi, có thể lấy thông
tin, có thể được thông báo, và có thể tác động để hệ thống hoạt động như ý
muốn.

Ví dụ một số khả năng của giao thức SNMP:
 Theo dõi tốc độ đường truyền của một router, biết được tổng số byte
đã truyền/nhận.
 Lấy thông tin máy chủ đang có bao nhiêu ổ cứng, mỗi ổ cứng còn trống
bao nhiêu.
 Tự động nhận cảnh báo khi switch có một port bị down.
 Điều khiển tắt (shutdown) các port trên switch.
SNMP dùng để quản lý mạng, nghĩa là nó được thiết kế để chạy trên
nền TCP/IP và quản lý các thiết bị có nối mạng TCP/IP. Các thiết bị mạng không
nhất thiết phải là máy tính mà có thể là switch, router, firewall, adsl gateway,
và cả một số phần mềm cho phép quản trị bằng SNMP.
1.6.3.2. Ưu điêm cua thiêt kê SNMP
SNMP được thiết kế để đơn giản hóa quá trình quản lý các thành phần
trong mạng. Nhờ đó các phần mềm SNMP có thể được phát triển nhanh và tốn ít
chi phí.
SNMP được thiết kế để có thể mở rộng các chức năng quản lý, giám
sát. Không có giới hạn rằng SNMP có thể quản lý được cái gì. Khi có một thiết bị
mới với các thuộc tính, tính năng mới thì người ta có thể thiết kế “custom”
SNMP để phục vụ cho riêng mình.
SNMP được thiết kế để có thể hoạt động độc lập với các kiến trúc và cơ
chế của các thiết bị hỗ trợ SNMP. Các thiết bị khác nhau có hoạt động khác
nhau nhưng đáp ứng SNMP là giống nhau.
1.6.3.3. Các phiên bản của SNMP
SNMP có 4 phiên bản: SNMPv1, SNMPv2c, SNMPv2u và SNMPv3. Các
phiên bản này khác nhau một chút ở định dạng bản tin và phương thức hoạt
động. Hiện tại SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất và
có nhiều phần mềm hỗ trợ nhất. Trong khi đó chỉ có một số thiết bị và phần
mềm hỗ trợ SNMPv3.



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×