Tải bản đầy đủ (.docx) (82 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

Nghiên cứu các chức năng của tường lửa thế hệ mới suricata và ứng dụng trong mạng nội bộ doanh nghiệp

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.18 MB, 82 trang )

LỜI CẢM ƠN
Được sự phân công của Khoa Công nghệ thông tin - Trường Đại học Công
nghệ thông tin và Truyền thông Thái Nguyên, và sự đồng ý của thầy giáo hướng
dẫn PGS.TS. Nguyễn Ái Việt em đã thực hiện đề tài "Nghiên cứu các chức
năng của tường lửa thế hệ mới Suricata và ứng dụng trong mạng nội bộ
doanh nghiệp" tại Công ty cổ phần truyền thông và công nghệ Viegrid.
Em xin chân thành cảm ơn thầy giáo PGS.TS. Nguyễn Ái Việt đã tận tình
hướng dẫn, giảng dạy và giúp đỡ trong suốt quá trình em học tập và làm đồ án
tốt nghiệp.
Em xin cảm ơn toàn thể các thầy cô giáo – Trường Đại học Công nghệ
thông tin và Truyền thông đã truyền dạy cho em những kiến thức quý báu trong
suốt quá trình học tập tại trường để em có thể hoàn thành tốt đồ án tốt nghiệp.
Em xin chân thành cảm ơn ban lãnh đạo, các anh (chị) trong công ty
Viegrid đã hết sức tạo điều kiện, giảng dạy kiến thức và giúp đỡ em trong quá
trình em học tập và rèn luyện tại công ty.
Mặc dù đã có rất nhiều cố gắng, nhưng do thời gian và kiến thức có hạn nên
không thể tránh khỏi những sai lầm và thiếu sót. Em rất mong được sự đóng góp
của quý thầy cô và các bạn để đồ án được hoàn thiện hơn.
Em xin chân thành cảm ơn!
Thái Nguyên, ngày tháng

năm 2015

Sinh viên thực hiện
Lưu Thị Huy

1


LỜI CAM ĐOAN
Em xin cam đoan đây là đề tài nghiên cứu do em tự thực hiện với sự hướng


dẫn và chỉ dạy trực tiếp của thầy giáo PGS.TS. Nguyễn Ái Việt. Các nội dung và
kết quả trong đồ án chưa từng được công bố ở các nghiên cứu khác.
Em xin chịu trách nhiệm về đồ án tốt nghiệp của mình.
Thái Nguyên, ngày tháng

năm 2015

Sinh viên
Lưu Thị Huy

MỤC LỤ

2


MỞ ĐẦU.............................................................................................................................................9
1.1. Tính cấp thiết của đề tài.........................................................................................................9
CHƯƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ TƯỜNG LỬA THẾ HỆ MỚI........12
1.1. Tổng quan về bảo mật.......................................................................................12
1.1.1. Khái niệm......................................................................................................12
1.1.2. Các phương pháp xâm nhập hệ thống............................................................12
1.1.3. Các mối đe dọa về bảo mật............................................................................15
1.2. Công nghệ tường lửa thế hệ mới.......................................................................17
1.2.1. Giới thiệu về firewall.....................................................................................17
1.2.2. Khái niệm công nghệ tường lửa thế hệ mới...................................................18
1.2.3. Một số công nghệ, kỹ thuật sử dụng trong NGFWs.......................................19
1.2.4. Chức năng của NFGWs.................................................................................21
1.2.5. So sánh giữa tường lửa truyền thống và tường lửa thế hệ mới.......................27
CHƯƠNG 2: TƯỜNG LỬA THẾ HỆ MỚI VỀ SURICATA..........................................30
2.1. Giới thiệu về Suricata.......................................................................................30

2.2. Cấu trúc của Suricata........................................................................................31
2.2.1. Packet Sniffer (Decoder)..............................................................................32
2.2.2. Preprocessors.................................................................................................33
2.2.3. Detection Engine...........................................................................................34
2.2.4. Thành phần cảnh báo/logging........................................................................35
2.3. Chức năng của Suricata....................................................................................37
2.3.1. HTTP layer support.......................................................................................37
2.3.2. Packet decoding.............................................................................................37
2.3.3. State support..................................................................................................38
2.3.4. Thresholding (ngưỡng cảnh báo)...................................................................38
2.4. Luật trong Suricata...........................................................................................39
2.4.1. Giới thiệu.......................................................................................................39
2.4.2. Rule Header...................................................................................................40
2.4.3. Rule Option...................................................................................................42

3


CHƯƠNG 3: DEMO PHÁT HIỆN VÀ CHẶN MỘT SỐ GIAO THỨC TRÊN
SURICATA.......................................................................................................................................54
3.1. Một số mô hình mạng doanh nghiệp.................................................................54
3.3. Cài đặt và cấu hình trên mạng LAN.................................................................57
3.3.1. Đặt vấn đề......................................................................................................57
3.3.2. Giải pháp.......................................................................................................59
Công ty đã thiết kế và xây dựng giải pháp bảo vệ an toàn an ninh mạng V-AZUR
................................................................................................................................. 59
3.4. Cài đặt Suricata.................................................................................................62
3.5. Cấu hình Suricata.............................................................................................63
3.6. Thiết lập các tập luật cơ bản và thực nghiệm....................................................65
3.6.1. Tạo file test....................................................................................................65

3.6.2. Ping...............................................................................................................65
3.6.3. Phát hiện truy cập..........................................................................................68
CHƯƠNG 4: KHẢ NĂNG ỨNG DỤNG VÀ MỞ RỘNG CỦA CÁC KẾT QUẢ
NGHIÊN CỨU................................................................................................................................72
4.1. Kết quả nghiên cứu...........................................................................................72
4.2. Ý nghĩa khoa học và khả năng ứng dụng của đề tài..........................................73
4.2.1. Ý nghĩa khoa học...........................................................................................73
4.2.2. Khả năng ứng dụng của đề tài........................................................................74
4.3. Hướng phát triển mở rộng đề tài.......................................................................75
TÀI LIỆU THAM KHẢO...........................................................................................................79

4


DANH MỤC CÁC TỪ VIẾT TẮT
Thuật ngữ, từ viết tắt
NGFWS
DPI
IDS
IPS
NSM
SSL
SSH
PCAP
ICMP
TCP
UDP
HTTP
DNS
SMTP

SMB
IMAP
TLS

Ý nghĩa
Next Generation Firewalls
In-Line Deep Packet Inspection
Intrusion Detection System
Intrusion Prevention System
Network Security Mornitoring
Secure Socket Layer L
Secure Shell
Packet Capture
Internet Control Message Protocol
Transmission Control Protocol
User Datagram Protocol
Hypertext Transfer Protocol
Domain Name System
Simple Mail Transfer Protocol
Server Message Block
Internet Message Access Protocol
Transport Layer Security

DANH MỤC HÌNH VẼ
DANH MỤC HÌNH VỄ
Hình 1.1: Vị trí của firewall trong hệ thống mạng...................................................17
Hình 1.2: Ứng dụng trung tâm phân loại lưu lượng dữ liệu xác định các ứng dụng
cụ thể chảy qua mạng, không phân biệt các cổng và giao thức sử dụng..................21
Hình 1.3: Các kỹ thuật NGFWs sử dụng để xác định ứng dụng không phân biệt
cổng, giao thức, chiến thuật lần tránh hoặc mã hoá SSL.........................................23

Hình 1.4: Nhận dạng người dùng tích hợp các thư mục doanh nghiệp dựa vào
chính sách người dùng, báo cáo và pháp lý.............................................................24
Hình 1.5: Xác định nội dung dựa vào hợp nhất quét các mối đe doạ, dữ liệu bí
mật và lọc URL.......................................................................................................26
Hình 2.1: Kiến trúc của Suricata..............................................................................31
Hình 2.2: Các gói tin đi vào Sniffer.........................................................................32

5


Hình 2.3: Quá trình xử lí ở Preprocessors................................................................34
Hình 2.4: Gói tin được xử lý ở Detection Engine bằng các luật..............................35
Hình 2.5: Thành phần cảnh báo và logging.............................................................36
Hình 2.6: Cấu trúc luật trong Suricata.....................................................................40
Hình 2.7: Bảng các tuỳ chọn của Reference............................................................43
Hình 2.7: Thông tin phân loại lớp quy tắc...............................................................44
Hình 2.8: Một số tuỳ chọn của Ipopts......................................................................47
Hình 2.9: Bảng Type của ICMP Header.................................................................51
Hình 3.1: Hệ thống kết nối hoàn toàn với Internet...................................................54
Hình 3.2: Hệ thống mạng ngắt kết nối hoàn toàn với Internet.................................55
Hình 3.3: Hệ thống bán kết nối Internet..................................................................56
Hình 3.4: Hệ thống chia thành hai mạng.................................................................57
Hình 3.5: Hệ thống mạng công ty hiện nay.............................................................58
Hình 3.5: Sơ đồ hệ thống mạng sử dụng Suricata....................................................59
Hình 3.6: Thông báo áp file cấu hình lên giao diện eth0 thành công.......................66
Hình 3.7: Ping từ máy mạng External đến máy chủ................................................67
Hình 3.8: Kết quả phát hiện Ping trên Suricata........................................................67
Hình 3.9: Kết quả thông báo chặn Ping trên Suricata..............................................68
Hình 3.10: Kết quả thông báo phát hiện HTTP request trên Suricata......................69
Hình 3.11: Phát hiện giao thức TCP trên Suricata...................................................70

Hình 3.12: Phát hiện giao thức UDP trên Suricata...................................................70
Hình 3.13: Chặn giao thức TCP trên Suricata..........................................................71
Hình 3.14: Chặn giao thức UDP trên Suricata.........................................................71
Hình 4.1: Mô hình hệ thống mạng kết hợp GPU, DPDK, Suricata..........................75
Hình 4.3: Mô hình hoạt động của hệ thống.............................................................76
Hình 4.2: Kết quả thời gian mã hóa cùng dữ liệu đầu vào của GPU và CPU...................77

6


DANH MỤC BẢNG
Bảng 1.1: Bảng so sánh giữa tường lửa truyền thống và tường lửa thế hệ mới..........27
Bảng 3.1: Các thành phần của hệ thống mạng......................................................................60

7


MỞ ĐẦU
1.1. Tính cấp thiết của đề tài
Ngày nay, chúng ta đang chứng kiến và thụ hưởng những thành tựu to lớn
của cuộc cách mạng khoa học kỹ thuật mới - cuộc cách mạng công nghệ thông
tin. Mặc dù cuộc cách mạng này mới chỉ khởi đầu từ những năm cuối của thế kỷ
XX, bắt nguồn bằng việc phát minh ra máy tính điện tử (Computer) và thực sự
bùng phát khi mạng thông tin toàn cầu (Internet) được sử dụng rộng rãi, song đã
được nhiều nhà khoa học dự báo là sẽ đưa xã hội loài người tiến vào một kỷ
nguyên mới, một thời kỳ mới - nền kinh tế tri thức, một nền kinh tế được tiên
đoán là sẽ phát triển mạnh mẽ gấp nhiều lần so với cuộc cách mạng công nghiệp
trước đây. Thực tiễn đời sống xã hội trên thế giới và ngay cả ở Việt Nam chúng ta
những năm vừa qua đã kiểm chứng cho dự báo này. Máy tính và công nghệ kỹ
thuật số đi kèm đã và đang thay thế các công nghệ trước đây trên tất cả mọi lĩnh

vực đời sống xã hội. Máy tính đã nhanh chóng hiện diện và được sử dụng rộng
rãi trong hầu hết các lĩnh vực của đời sống xã hội, với những mục đích sử dụng
cũng hết sức đa dạng, từ sản xuất, kinh doanh, ứng dụng khoa học kỹ thuật cho
đến mục đích giải trí đơn thuần.
Mới chỉ hình thành và phát triển vài thập kỷ, nhưng cuộc cách mạng mới
này đã khiến cho nhiều ngành kinh tế, xã hội và văn hoá hoàn toàn phụ thuộc vào
các công nghệ mới của nó, đặc biệt phải kể đến vai trò của máy tính điện tử và
Internet. Công nghệ thông tin cũng hình thành một thế hệ mới, thế hệ phụ thuộc
vào công nghệ thông tin, coi máy tính, Internet, E-mail, điện thoại di động, máy
ảnh số, máy nghe nhạc số... là những công cụ không thể thiếu trong cuộc sống.
Đặc biệt là sự phát triền bùng nổ của mạng lưới thương mại điện tử ở Việt Nam
nói riêng và thế giới nói chung đã ngày càng trở thành mục tiêu của nhiều
attacker hơn.
Cũng như bất kỳ một thành tựu khoa học nào của nhân loại, khi mà các thành
tựu càng được ứng dụng rộng rãi trong đời sống xã hội thì càng dễ bị lợi dụng, sử
dụng hoặc là mục tiêu của tội phạm. Các thành tựu do công nghệ thông tin đem lại
cũng không nằm ngoài quy luật đó. Vì vậy, trong thế giới mà công nghệ thông tin
đã tạo ra cho con người đã hình thành một khái niệm về tội phạm - tội phạm trong
8


lĩnh vực công nghệ thông tin hay còn được biết đến với các tên khác nhau như: tội
phạm mạng (Cyber Crimes), tội phạm máy tính hay tội phạm liên quan đến máy
tính (Computer Crimes). Đây là vấn đề đang gây rất nhiều khó khăn không chỉ đối
với Việt Nam mà còn đối với nhiều nước trên thế giới. Do vậy, việc tìm ra các giải
pháp hữu hiệu trong việc phòng chống lại các tội phạm công nghệ thông tin đang
là vấn đề được quan tâm hàng đầu và cũng là những thách thức trong ngành công
nghệ thông tin của mỗi quốc gia.
Với sự phát triển ngày càng nhiều cùng những thử đoạn ngày càng tinh vi và
nguy hiểm của các attacker hiện nay thì đối với một hệ thống mạng của doanh

nghiệp vấn đề an toàn an ninh phải được đặt lên hàng đầu. Sử dụng một tường lửa
với những công nghệ hiện đại và các chức năng có thể ngăn chặn các cuộc tấn
công của các hacker là một giải pháp hữu hiệu cho các doanh nghiệp trong việc
phát hiện, ngăn chặn các mối đe doạ nguy hiểm để bảo vệ hệ thống mạng.
1.2. Mục tiêu nghiên cứu
Nghiên cứu các chức năng chính của tường lửa thế hệ mới và các kỹ thuật sử
dụng trong tường lửa thế hệ mới.
Nghiên cứu cấu trúc của tường lửa thế hệmới Suricata, các chức năng của
Suricata và các cài đặt, cấu hình trên hệ điều hành Linux.
Nghiên cứu về các luật của Suricata, cấu trúc luật và các thành phần trong
luật của Suricata. Viết một số luật đơn giản trong Suricata và thực thi các luật.
Nghiên cứu, phân tích dấu hiệu của một số cuộc tấn công, hình thành các luật
tương ứng với đặc điểm của các dạng tấn công và xâm nhập đó.
1.3. Đối tượng nghiên cứu
Đối tượng nghiên cứu của đề tài là công nghệ tường lửa thế hệ mới nói
chung. Hệ thống tường lửa thế hệ mới Suricata, chức năng và cấu trúc tập luật của
Suricata.
Nghiên cứu và hình thành các tập luật đối với các dạng tấn công, xâm nhập
cụ thể.
1.4. Phương pháp nghiên cứu
Nghiên cứu lý thuyết phát hiện xâm nhập thông qua các tài liệu báo cáo,
luận văn…

9


Nghiên cứu lý thuyết về tường lửa thế hệ mới thông qua các tài liệu của tác
giả Lawrence C. Miller, tài liệu của hãng Palo Alto và các nguồn tài liệu khác.
Nghiên cứu lý thuyết về Suricata thông qua tài liệu từ trang chủ Suricata, tài
liệu Sourcefile của Suricata và các tài liệu khác.

Cài đặt và triển khai hệ thống trên Linux.
Tìm hiểu về các phương thức xâm nhập, tấn công và khai thác lỗ hổng, công
cụ và cách thực hiện.
Triển khai tấn công, khai thác lỗ hổng. Sau đó đọc log, phân tích gói tin bắt
được, chuyển hoá thành các luật nhằm phát hiện và ngăn chặn.
1.5. Nội dung đề tài
Luận văn tập trung phân tích các chức năng của tường lửa thế hệ mới, cấu
trúc, chức năng và tập luật của tường lửa thế hệ mới Suricata. Phân tích một số
cuộc tấn công xâm nhập từ đó hình thành các tập luật phát hiện và ngăn chặn
tương ứng. Bài luận văn gồm 4 chương:
Chương 1: Tổng quan về công nghệ tường lửa thế hệ mới
Giới thiệu tổng quan về công nghệ tưởng lửa thế hệ mới, đi sâu phân tích các
chức năng và kỹ thuật sử dụng của tường lửa thế hệ mới.
Chương 2: Tường lửa thế hệ mới Suricata
Giới thiệu tổng quan về Suricata, phân tích cấu trúc, chức năng của Suricata..
Phân tích chi tiết cấu trúc một luật trong Suricata.
Chương 3: Demo phát hiện và chặn một số giao thức trên Suricata
Phân tích một số dạng tấn công và thiết lập các luật tương ứng. Thiết lập một số
luật cơ bản và thực nghiệm trên Suricata. Cài đặt Suricata trên hệ điều hành Linux.
Ứng dụng Suricata trong việc phát hiện và ngăn chặn các giao thức
Chương 4: Khả năng ứng dụng và mở rộng của kết quả nghiên cứu
Tóm tắt, nhận xét các kết quả đã đạt được và các hạn chế cần phải khắc phục
trong bài báo cáo. Nêu lên ý nghĩa khoa học và ứng dụng trong thực tiễn của tường
lửa thế hệ mới. Đặt ra hướng phát triển trong tương lai và ứng dụng của nó trong
ngành công nghệ thông tin đặc biệt là lĩnh vực an toàn an ninh mạng

10


CHƯƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ TƯỜNG LỬA

THẾ HỆ MỚI
1.1. Tổng quan về bảo mật
1.1.1. Khái niệm
Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Hạn chế ở
đây có nghĩa là không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng
để phòng mọi khả năng xấu. Bên cạnh đó, cần phải phân tích chính xác các cuộc
tấn công, các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết
để làm giảm thiệt hại gây nên từ các cuộc tấn công.
Khái niệm bảo mật được định nghĩa theo 3 lĩnh vực chính:
 Bảo mật máy tính (Computer Security): Là một tiến trình ngăn chặn và
phát hiện sử dụng không hợp pháp vào máy tính của bạn bằng cách lựa chọn các
công cụ thiết kế để bảo vệ dữ liệu và tấn công của hackers.
 Bảo mật mạng (Network Security): Là phương pháp để bảo vệ dữ liệu
trong suốt quá trình chuyển động của chúng.
 Bảo mật Internet (Internet Security): Là phương pháp để bảo vệ dữ liệu
trong suốt quá trình vận chuyển của chúng ra ngoài đến kết nối Inernet.
1.1.2. Các phương pháp xâm nhập hệ thống
Tấn công (attack) là hoạt động có chủ ý của kẻ phạm tội lợi dụng các
thương tổn của hệ thống thông tin và tiến hành phá vỡ tính sẵn sàng, tính toàn
vẹn và tính bí mật của hệ thống thông tin.
1.1.2.1. Phương thức tấn công để thăm dò mạng
Thăm dò là việc thu thập thông tin trái phép về tài nguyên, các lỗ hổng hoặc
dịch vụ của hệ thống.
Tấn công thăm dò thường bao gồm các hình thức: Sniffing, Ping Sweep,
Ports Scanning.
a. Sniffing (Nghe lén)
Sniffing là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc
điểm của cơ chế TCP/IP.

11



Sniffer ban đầu là một kỹ thuật bảo mật, được phát triển nhằm giúp các nhà
quản trị mạng khai thác mạng hiệu quả hơn và có thể kiểm tra lỗi các dữ liệu vào
mạng cũng như các dữ liệu trong mạng. Sau này, các hacker dùng phương pháp
này để lấy cắp mật khẩu hay các thông tin nhạy cảm khác.
Biến thể của sniffer là các chương trình nghe lén bất hợp pháp như: công
cụ nghe lén yahoo, ăn cắp password email…
b. Ping sweep
- Ping: đưa ra một gói yêu cầu ICMP và đợi trả lời một thông báo trả lời từ
một máy hoạt động.
- Ping Sweep: xác định hệ thống đang “sống” hay không rất quan trọng vì
có thể hacker ngừng ngay tấn công khi xác định hệ thống đó đã “chết”. Việc xác
định trạng thái hệ thống có thẻ sử dụng kỹ thuật Ping Scan hay gọi với tên Ping
Sweep.
- Bản chất của quá trình này là gửi một ICMP Echo Request đến máy chủ
mà hacker đang muốn tấn công và mong đợi một ICMP Reply.
- Ngoài lệnh ping sẵn có trên Windows, còn có một số công cụ ping sweep
như: Pinger, Friendly, Ping Pro…
c. Port scanning
Port scanning là một quá trình kết nối các cổng (TCP và UDP) trên một hệ
thống mục tiêu nhằm xác định xem dịch vụ nào đang “chạy” hoặc đang trong
trạng thái “nghe”. Xác định các cổng nghe là một công việc rất quan trọng nhằm
xác định được loại hình hệ thống và những ứng dụng đang được sử dụng.
Port scanning thực hiện các chức năng:
- Xác định máy đang ở cổng nào.
- Xác định hệ thống đang sử dụng dịch vụ nào.
Mỗi công cụ có cơ chế port scan riêng.
1.1.2.2. Tấn công xâm nhập (access attack)
Tấn công xâm nhập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào

đòi hỏi người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo
mật với mục đích thao túng dữ liệu, nâng cao đặc quyền.

12


Tấn công truy nhập hệ thống: là hành động nhằm đạt được quyền truy cập
bất hợp pháp đến một hệ thống mà ở đó hacker không có tài khoản sử dụng.
Tấn công xâm nhập thao túng dữ liệu: kẻ xâm nhập đọc, viết, xóa, sao chép
hay thay đổi dữ liệu.
1.1.2.3. Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ là tên gọi chung của cách tấn công làm cho một hệ
thốn nào đó bị quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt động của
hệ thống hoặc hệ thống phải ngưng hoạt động.
Tùy theo phương thức thực hiện mà nó được biết dưới nhiều tên gọi khác
nhau:
- Khởi đầu là lợi dụng sự yếu kém của giao thức TCP (Transmision Control
Protocol) để thực hiện tấn công từ chối dịch vụ DoS (Denial of Service).
- Tiếp theo là tấn công từ chối dịch vụ phân tán DDoS (Distributed DoS)
- Mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS
(Distributed Reflection DoS).
1.1.2.4. Phương pháp tấn công hệ thống DNS
DNS Server là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn
công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy
hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền trên mạng.
1.1.2.5. Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một
trong những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm
như sendmail, HTTP, FTP…Nguyên nhân chủ yếu của các tấn công lớp ứng
dụng này là chúng sử dụng những port cho qua bởi Firewall. Ví dụ các hacker tấn

công Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port
25…
1.1.2.6. Phương pháp tấn công nhúng mã độc
a. Virus
Là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao
chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính…).

13


Những virus được viết trong thời gian gần đây đa phần hướng đến việc
lấy cắp thông tin cá nhân (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột
nhập chiếm quyền điều khiển hoặc các hành động khác nhằm có lợi cho người
phát tán virus.
Virus thường bị lây nhiễm qua các phương thức như thư điện tử và Internet.
b. Trojan horse
Là một phần mềm độc hại, nó có chức năng hủy hoại tương tự như virus
nhưng nó không có khả năng tự nhân bản như virus. Trên các máy tính, các
hacker thường đính kèm một Trojan horse vào một cái tên mà người dùng ít nghi
ngờ vào một thư điện tử với việc khuyến khích người dùng mở đính kèm ra.
Trojan horse thường là các tệp khả nghi trên máy tính và do đó sẽ có các đuôi
như *.exe, *.com, *.scr hay *.pif. Nếu một Trojan horse có tên là
“Readme.txt.exe” thì tệp này sẽ hiển thị một cách mặc định thành “Readme.txt”
và nó sẽ đánh lừa người dùng rằng đây chỉ là một loại hồ sơ văn bản không thể
gây hại.
1.1.3. Các mối đe dọa về bảo mật
Hiện nay, một hệ thống công nghệ thông tin luôn bị đe dọa tấn công bởi các
hacker nên việc xây dựng một hệ thống bảo vệ xâm nhập là cần thiết đối với mỗi
một tổ chức. Các hình thức tấn công của hacker ngày càng tinh vi, mức độ tấn
công ngày càng nguy hiểm hơn, nên không một hệ thống nào có thể đảm bảo

hoàn toàn không bị xâm nhập. Nếu các tổ chức phòng chống tội phạm công nghệ
thông tin đang cố gắng cập nhật, sửa đổi để cung cấp cho người dùng những
phương pháp phòng chống hiệu quả thì bên cạnh đó, những kẽ tấn công cũng
ngày đêm nghiên cứu tung ra các hình thức xâm nhập phá hoại khác.
Để bảo vệ tốt được một hệ thống, đầu tiên bạn phải có cái nhìn tổng quát về
các nguy cơ tấn công, nghĩa là đầu tiên bạn phải nhận định được bạn cần bảo vệ
cái gì, bảo vệ khỏi ai cùng với đó bạn phải hiểu các kiểu đe dọa đến sự bảo mật
mạng của bạn. Thông thường sẽ có 4 mối đe dọa bảo mật sau:
 Mối đe dọa bên trong
 Mối đe dọa bên ngoài

14


 Mối đe dọa có cấu trúc và không có cấu trúc
a. Mối đe dọa bên trong
Mối đe dọa bên trong là kiểu tấn công được thực hiện từ một cá nhân hoặc
một tổ chức được tin cậy trong mạng và có một vài quyền hạn để truy cập vào hệ
thống. Hầu hết chúng ta chỉ quan tâm xây dựng một hệ thống firewall và giám sát
dữ liệu truy cập ở các đường biên mạng mà ít để ý đến các truy cập trong mạng
nội do sự tin tưởng vào các chính sách được người quản trị quy định trong hệ
thống. Do sự bảo mật trong một mạng local thường lỏng lẻo nên đây là môi
trường thường được các hacker sử dụng để tấn công hệ thống.
Mối đe dọa bên trong thường được thực hiện bởi các nhân viên có bất đồng
với công ty, các gián điệp kinh tế hay do một máy client đã bị hacker chiếm
quyền truy cập. Mối đe dọa này thường ít được để ý và phòng chống vì các nhân
viên có thể truy cập vào mạng và dữ liệu quan trọng của sever.
b. Mối đe dọa ở bên ngoài
Mối đe dọa bên ngoài là việc các hacker cố gắng xâm nhập vào một hệ
thống mạng nào đó bằng một vài kỹ thuật hay việc phá hoại truy cập hệ thống

(DoS, DDoS…). Xây dựng hệ thống firewall và cảnh báo để ngăn ngừa các mối
đe dọa từ bên ngoài là việc mà ccs công ty và tổ chức thường phải bỏ nhiều thời
gian và tiền bạc để đầu tư phát triển.
c. Mối đe dọa không có cấu trúc và có cấu trúc
Mối đe dọa tấn công vào một hệ thống có thể đến từ rất nhiều loại. Phổ biến
nhất là các hacker mới vào nghề, còn ít kiến thức và không có kinh nghiệm, thực
hiện việc tấn công bằng cách sử dụng công cụ hoặc thực hiện tấn công DoS (mối
đe dọa không có cấu trúc). Hoặc việc tấn công được thực hiện bởi các hacker
thực thụ hoặc cả một tổ chức (mối đe dọa có cấu trúc), họ là những người có kiến
thức và kinh nghiệm cao, nắm rõ việc hoạt động của các hệ thống, giao thức
mạng cũng như các phương pháp thường được sử dụng để ngăn chặn trong các
firewall. Đây là mối đe dọa khó ngăn ngừa và phòng chống nhất đối với các hệ
thống mạng.

15


1.2. Công nghệ tường lửa thế hệ mới
1.2.1. Giới thiệu về firewall
Firewall là một thiết bị, hay một hệ thống điều khiển truy cập mạng, nó có
thể là phần cứng hoặc phần mềm hoặc kết hợp cả hai.
Firewall thường được đặt tại mạng vành đai để đóng vai trò như cổng nối
(gateway) bảo mật giữa một mạng tin cậy và mạng không tin cậy, có thể giữa
Intranet và Internet hoặc giữa mạng của doanh nghiệp chủ với mạng của đối tác.
Firewall được thiết kế để ngăn chặn tất cả các lưu lượng không được phép
và cho phép các lưu lượng được phép đi qua nó. Vì vậy, thiết bị firewall thường
bao gồm hai giao tiếp mạng (network interface): một nối với mạng bên trong
(intranet: mạng cần bảo vệ) và một nối với mạng bên ngoài (Internet: mạng
không tin cậy).


Hình 1.1: Vị trí của firewall trong hệ thống mạng
Firewall đóng vai trò như một getway, nhưng nhiệm vụ của nó khác với
router. Router là thiết bị mạng, thường được sử dụng cho mục tiêu định tuyến lưu
lượng mạng (có thể từ chối lưu lượng nào đó). Trong khi đó, firewall là thiết bị
bảo mật, có nhiệm vụ giám sát và điều khiển lưu lượng mạng (chỉ cho phép lưu
lượng thích hợp đi qua).
Firewall cung cấp một cơ chế cấu hình linh hoạt, nó có thể được cấu hình
để cho phép hoặc cấm các lưu lượng dựa trên dịch vụ, địa chỉ IP của nguồn hoặc

16


đích, hoặc ID của người yêu cầu sử dụng dịch vụ. Nó cũng có thể được cấu hình
để ghi lại (log) tất cả các lưu lượng đã đi qua nó.
1.2.2. Khái niệm công nghệ tường lửa thế hệ mới
An ninh mạng tại hầu hết các doanh nghiệp hiện nay gặp phải những vấn đề
như bị phân tán hay bị hỏng gây ra những nguy cơ đe doạ không mong muốn và
tốn nhiều chi phí. Giải pháp an toàn an ninh mạng truyền thống đã không theo
kịp sự phát triển và thay đổi của các ứng dụng, các mối đe doạ và kết nối mạng.
Hơn nữa các biện pháp doanh nghiệp đưa ra để khắc phục vấn đề này hầu hết
không mạng lại hiệu quả. Như vậy một yêu cầu thực tiễn và cấp bách đặt ra đó là
phải tái tạo lại an toàn an ninh mạng và có biện pháp bảo vệ hệ thống mạng một
cách hiệu quả nhất.
Dựa trên những nhu cầu thực tiễn của thị trường công nghệ thông tin như
vậy, các chuyên gia trong lĩnh vực an minh mạng đã cho ra đời khái niệm công
nghệ tường lửa thế hệ mới và các dòng sản phẩm tường lửa thế hệ mới. Với sự
tích hợp các công nghệ tiên tiến hiện đại nhất trong phát hiện, ngăn chặn và
phòng chống các cuộc tấn công, mối đe doạ nguy hiểm đã giúp các doanh nghiệp
có một giải pháp hiệu quả trong việc bảo vệ an ninh mạng của công ty mình.
Tường lửa thế hệ mới (Next Generation Firewalls – NGFWs) là nền tảng

mạng tích hợp đầy đủ tường lửa truyền thống với các thiết bị mạng có chức
năng lọc như in-line deep packet inspection (DPI), intrucsion prevention
system (IPS) và các kỹ thuật ngăn chặn khác như SSL, SSH, lọc website, quản
lý chất lượng dịch vụ, quản lý băng thông, kiểm tra chống virus và quản lý sự
tham gia của bên thứ ba.[2]
NGFWs được xây dựng dựa trên nền tảng bảo mật mạng của doanh nghiệp,
NGFWs “fix the ploblem at the it’s core”. NGFWs phân loại lưu lượng dữ liệu
dựa vào các đặc tính của ứng dụng để cho phép khả năng hiển thị và kiểm soát
toàn bộ ứng dụng chạy trong mạng doanh nghiệp.
Các yêu cầu chức năng cần thiết cho một NGFWs hoạt động hiệu quả bao gồm:
- Xác định ứng dụng không cần chú ý đến cổng, giao thức, các kỹ thuật lẩn
tránh, mã hoá SSL trước khi làm bất cứ điều gì khác.

17


- Cung cấp các biện pháp bảo vệ để chống lại một loại các mối đe doạ ở
thời gian thực, bao gồm cả những người hoạt động ở lớp ứng dụng.
- Cung cấp khả năng hiện thị, kiểm soát chính sách dựa trên các ứng dụng
bao gồm cả các chức năng riêng lẻ.
- Không chỉ kết hợp mà phải tích hợp khả năng phòng chống xâm nhập của
tường lửa truyền thống.
- Nhận dạng chính xác người sử dụng và sau đó sử dụng thông tin nhận
dạng như một thuộc tính trong chính sách giám sát.
- Hỗ trợ mutil-gigabit.
Khả năng điển hình của tường lửa truyền thống là lọc gói tin, dịch địa chỉ
mạng và địa chỉ cổng mạng (NAT), kiểm tra trạng thái và mạng riêng ảo (VPN).
Khả năng phòng chống xâm nhập điển hình là chống lại các lỗ hổng và những
dấu hiệu của sự đe doạ, phỏng đoán các dấu hiệu và sự xâm nhập.
Chìa khoá cốt lõi và điểm mạnh của NGFWs là làm tất cả các khả năng một

tưởng lửa truyền thống với khả năng tiên tiến như: tích hợp các công nghệ tiên
tiến, hiệu suất cao và các tính năng khác nhằm cung cấp một giải pháp mạng
doanh nghiệp hiệu quả.
1.2.3. Một số công nghệ, kỹ thuật sử dụng trong NGFWs

 Hệ thống phát hiện xâm nhập mạng IDS
IDS (Intrusion Detection System) là hệ thống giám sát lưu thông mạng (có thể
là phần cứng hoặc phần mềm), có khả năng nhận biết những hoạt động khả nghi hay
những hành động xâm nhập trái phép trên hệ thống mạng trong tiến trình tấn công,
cung cấp thông tin nhận biết và đưa ra cảnh báo cho hệ thống, nhà quản trị. IDS có
thể phân biệt được các cuộc tấn công từ nội bộ hay tấn công từ bên ngoài.
IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết hay dựa trên
so sánh lưu thông mạng hiện tại với baseline (thông số chuẩn của hệ thống có thể
chấp nhận được) để tìm ra các dấu hiệu bất thường.

 Hệ thống ngăn chặn xâm nhập mạng IPS
IPS ( Intrusion Prevention System) là một hệ thống có thể phát hiện và ngăn
chặn sự xâm nhập từ bên ngoài vào các hệ thống máy tính.

18


IPS là một phương pháp tiếp cận an ninh mạng bằng cách ưu tiên sử dụng
các công nghệ tiên tiến để phát hiện và ngăn chặn các nỗ lực xâm nhập vào hệ
thống máy tính. IPS kiểm tra các luồng lưu lượng ra/ vào một hệ thống máy tính
hoặc mạng máy tính nhằm mục đích vi phạm an ninh. Nếu phát hiện mối đe dọa
thì nó sẽ có những hành động bảo vệ như ngăn chặn gói tin hoặc ngắt toàn bộ kết
nối. IPS kiểm tra, ghi chép lại một cách chi tiết các hành động đang đăng nhập
vào hệ thống và gửi cảnh báo cho hệ thống hoặc quản trị mạng. Các IPS khác
nhau có phương thức khác nhau trong việc kiểm tra các luồng dữ liệu để phát

hiện các mối đe dọa, xâm nhập.

 Công nghệ giám sát an ninh mạng NSM
Giám sát an ninh mạng (Network Security Mornitoring) là việc thu thập các
thông tin trên các thành phần của hệ thống, phân tích các thông tin, dấu hiệu
nhằm đánh giá và đưa ra các cảnh báo cho người quản trị hệ thống.
Đối tượng của giám an ninh mạng là tất cả các thành phần, thiết bị trong hệ
thống mạng:
- Các máy trạm
- Cơ sở dữ liệu
- Các ứng dụng
- Các server
- Các thiết bị mạng

 Sử dụng PCAP log lại thông tin của lưu lượng dữ liệu mạng
PCAP (packet capture) bao gồm những giao diện lập trình ứng dụng (API)
dùng để chặn bắt và phân tích các lưu lượng dữ liệu trên mạng. PCAP thực hiện
các chức năng lọc gói dữ liệu theo những luật của người dùng khi chúng được
truyền tới ứng dụng, truyền những gói dữ liệu thô tới mạng, thu thập thông tin
thống kê lưu lượng mạng. Đối với các hệ thống thuộc họ Unix ta có thư viện
libpcap, còn đối với Window ta có thư viện được port từ libpcap là winpcap.

 Phân tích các dòng dữ liệu của file PCAP, tự động xử lý file PCAP

19


1.2.4. Chức năng của NFGWs

 Xác định ứng dụng

Thiết lập cổng và giao thức là bước quan trọng đầu tiên trong việc xác định
ứng dụng nhưng đó là chưa đủ. Nhận dạng, xác định ứng dụng một cách nhanh
chóng và mạnh mẽ thông qua việc kiểm tra và cho phép kiểm soát chặt chẽ các
dòng chảy (lưu lượng truy cập) của session thông qua một tường lửa dựa trên
ứng dụng cụ thể đang chạy thay vì chỉ dựa trên các thiết lập cơ bản thì không thể
nhận rõ được các giao tiếp mạng.

Hình 1.2: Ứng dụng trung tâm phân loại lưu lượng dữ liệu xác định các
ứng dụng cụ thể chảy qua mạng, không phân biệt các cổng và giao thức sử dụng
Xác thực rõ ràng các ứng dụng là mục đích cuả phân loại lưu lượng dữ liệu
mạng tại trung tâm của NGFWs. Nó đòi hỏi tiếp cận đa yếu tố để xác định danh
tính của các ứng dụng trên mạng, bất kể cổng, giao thức, mã hoá hay các kỹ thuật
lần tránh để vượt qua tường lửa. Kỹ thuật nhận dạng ứng dụng được sử dụng
trong NGF bao gồm:

20


 Phát hiện giao thức ứng dụng và giải mã
Phát hiện các giao thức ứng dụng ( ví dụ: HTTP, FTP…) và nếu SSL được
sử dụng thì sẽ tiến hành giải mã các lưu lượng dữ liệu để phân tích các dữ liệu
đó. Lưu lượng dữ liệu được mã hoá lại sau khi tất cả các kỹ thuật nhận dạng được
hoạt động.

 Giải mã giao thức ứng dụng
Xác định các giao thức đã được phát hiện là “thực tế“ hay nó được sử dụng
như là một “đường hầm” để ẩn đi các ứng dụng (ví dụ: Yahoo!Messenger có thể
được ẩn bên trong HTTP)
 Dấu hiệu ứng dụng
Dấu hiệu ngữ cảnh dựa trên tìm kiếm các đặc tính duy nhất và đặc điểm

toàn tác để xác định ứng dụng không phụ thuộc vào cổng và giao thức được sử
dụng. Điều này bao gồm khả năng phát hiện các chức năng cụ thể trong các ứng
dụng (chẳng hạn như chuyển tập tin trong IM (Instant Messenger) session)

 Heuristics
Đối với các dữ liệu vượt quá khả năng của phân tích dấu hiệu thì khi đó
phân tích Heuristics (hành vi) được áp dụng để nhận dạng các ứng dụng phức
tạp, chẳng hạn như P2P (Peer-to-peer) hay công cụ VoIP (Voice over Internet
Protocol).

21


Hình 1.3: Các kỹ thuật NGFWs sử dụng để xác định ứng dụng không phân
biệt cổng, giao thức, chiến thuật lần tránh hoặc mã hoá SSL

 Xác định người dùng
Công nghệ nhận dạng người dùng sử dụng liên kết các địa chỉ IP để nhận
dạng người dùng cụ thể, tạo điều kiện cho khả năng hiển thị và kiểm soát các
hoạt động mạng trên một cơ sở cho mỗi người dùng. Tích hợp chặt chẽ với các
thư mục LDAP (Lightweight Directory Access Protocol là một giao thức ứng
dụng truy cập các cấu trúc thư mục. Nó được thiết kế trên giao thức Internet
TCP/IP), chẳng hạn như Microsoft Active Directory (AD), hỗ trợ mục tiêu này
theo hai cách:
- Thứ nhất, nó luôn kiểm chứng và duy trì các mối quan hệ với người sử
đụng địa chỉ IP bằng cách kết hợp các giải pháp như: giám sát đăng nhập, các kỹ
thuật captive portal…

22



- Tiếp theo nó giao tiếp với AD để thu thập các thông tin người dùng.
Các chi tiết, thông tin sau khi thu thập được sẽ được lưu trữ để hỗ trợ cho
các nhiệm vụ:
- Đạt được tầm nhìn vào người cụ thể chịu trách nhiệm cho tất cả ứng dụng,
nội dung và mối đe doạ của lưu lượng truy cập trên mạng.
- Cho phép sử dụng nhận dạng như là một biến trong chính sách kiểm soát
truy cập.
- Tạo điều kiện xử lý sự cố, phản ứng sự cố và báo cáo.
Với việc nhận dạng người dùng, bộ phận IT có được một cơ chế mạnh mẽ
để giúp kiểm soát việc sử dụng các ứng dụng một cách thông minh.

Hình 1.4: Nhận dạng người dùng tích hợp các thư mục doanh nghiệp dựa
vào chính sách người dùng, báo cáo và pháp lý.

23


 Xác định nội dung
Việc xác định nội dung truyền vào của tường lửa thế hệ mới với các khả
năng chưa từng có ở các tường lửa trước đây của các doanh nghiệp như: phòng
ngừa các mối đe doạ thời gian thực trong lưu lượng truy cập cho phép, kiểm soát
các hoạt động truy cập Web, các tập tin và lọc dữ liệu.
- Threat prevention (phòng chống mối đe doạ): thành phần này ngăn chặn
các spyware, virus, các lỗ hổng xâm nhập mạng mà không phụ thuộc vào lưu
lượng ứng dụng.
 Application decoder: Xử lý dòng dữ liệu và kiểm tra nó để xác định cụ
thể các mối đe doạ.
 Stream-based virus and spyware scanning: Quét lưu lượng truy cập ngay
sau khi nhân được các gói tin đầu tiền của một tập tin thay vì quét sau

khi nhận được toàn bộ tập tin vào bộ nhớ để tối đa hoá thông lượng và
giảm thiểu bộ nhớ.
 Uniform threat signature format: Tăng hiệu suất bằng cách tránh sự cẩn
thiết phải sử dụng công cụ quét riêng biệt cho từng mối đe doạ. Viruses,
spyware, các lỗ hổng đều có thể được phát hiện trong một lần.
 Vulnerability attack protection (IPS): Chương trình mạnh mẽ cho việc
bình thường hoá các lưu lượng truy cập và chống phân mảnh được nối
bởi các giao thức bất thường, hành vi bất thường, cơ chế phát hiện
heuristic để cung cấp bảo vệ trên phạm vi rộng nhất của cả hai mối đe
doạ là mối đe doạ đã biết và mối đe doạ chưa biết.
- URL filtering: Mặc dù không bắt buộc, nhưng lọc URL (Uniform
Resource Locator) đôi khi cũng được dùng để phân loại nội dung. Việc phân tích
dựa trên cơ sở dữ liệu URL cho phép các quản trị viên giám sát và kiểm soát hoạt
động truy cập Web của người sử dụng. Được sử dụng kết hợp với xác định người
dùng, chính sách sử dụng Web, thậm chí được thiết lập trên mỗi cơ sở sử dụng,
hơn nữa là bảo vệ các doanh nghiệp từ các quy định, rủi ro liên quan đến pháp lý.
- File and data filtering: Sử dụng giải pháp kiểm tra chuyên sâu ứng dụng,
tập tin và lọc dữ liệu cho phép thực thi các chính sách làm giảm nguy cơ của các

24


tập tin trái phép và chuyển giao dữ liệu. Khả năng bao gồm: ngăn chặn các file
kiểu thực tại của file (không dựa vào phần mở rộng) và khả năng kiểm soát việc
chuyển giao các mô hình dữ liệu nhạy cảm. Thành phần này bổ sung chi tiết cho
nhận dạng ứng dụng, mà đối với nhiều ứng dụng cung cấp khả năng kiểm soát
tập tin trong một ứng dụng riêng lẻ.
Với việc xác định nội dung, bộ phận IT có được khả năng ngăn chặn các
mối đe doạ, giảm việc sử dụng không hợp lệ của Internet và giúp ngăn chặn rỏ rỉ
dữ liệu.


Hình 1.5: Xác định nội dung dựa vào hợp nhất quét các mối đe doạ, dữ liệu
bí mật và lọc URL

 Chính sách kiểm soát
Xác định các ứng dụng sử dụng (nhận dạng ứng dụng), những người đang
sử dụng ứng dụng (nhận dạng người sử dụng), và những gì họ đang sử dụng cho
ứng dụng (xác định nội dung) là một bước quan trọng đầu tiên trong việc tìm
hiểu về lưu lượng truy cập đi qua mạng. Tìm hiểu các ứng dụng làm những gì,

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×