Luận Văn Kết hợp Firewall và hệ thống phát hiện xâm nhập (IDS) để bảo vệ hệ thống mạng của doanh nghiệp trên

Đồ án tốt nghiệp năm 2011
Đề tài: Kết hợp Firewall và hệ thống phát hiện xâm nhập (IDS) để bảo vệ hệ thống mạng của doanh nghiệp trên nền tảng hệ điều hành Linux


MỤC LỤC
LỜI MỞ ĐẦU 9
LỜI CẢM ƠN 11
Chương I: TỔNG QUAN VỀ FIREWALL . 12
1.1 Firewall là gì? . 12
1.2 Chức năng của Firewall 13
1.3 Cấu trúc của Firewall 13
1.4 Các thành phần của Firewall . 13
1.4.1 Bộ lọc packet (Packet – filtering router) . 14
1.4.2 Cổng ứng dụng (application-level getway) 15
1.4.3 Cổng mạch (circuit-Level Gateway) . 17
1.5 Những hạn chế của firewall 18
Chương 2: LINUX FIREWALL IPTABLES 19
2.1 Tổng quan về Iptables . 19
2.2 Tính năng của Iptables 19
2.2.1 Bảng filter 20
2.2.2 Bảng NAT . 22
2.2.3 Bảng mangle 24
2.3 Cú pháp cơ bản của iptables . 26
2.3.1 Các lệnh (command) của iptables 27
2.3.2 Các điều kiện trong luật . 30
2.3.2.1 Nhóm các điều kiện chung 31
2.3.2.2 Nhóm các điều kiện ẩn 32
2.3.2.3 Nhóm các điều kiện hiện . 34
2.4 Các hành động trong luật 36
2.4.1 User-defined-chain 36
2.4.2 DROP 37
2.4.3 REJECT . 37
2.4.4 RETURN . 37
2.4.5 SNAT 37
2.4.6 MASQUERADE . 38
2.4.7 DNAT 39
2.5 Cách cơ bản để thiết lập một luật trong iptables 40
2.6 Cấu hình firewall iptables . 42
2.6.1 Định nghĩa các biến đại diện 43
2.6.2 Xóa luật hiện tại . 43
2.6.3 Đặt lại chính sách mặc định và ngắt firewall 44
2.6.4 Cho phép interface lookback 44
2.6.5 Xác định lựa chọn chính sách mặc định . 45
2.6.6 Kiểm tra nhanh tính hợp lệ của gói tin . 45
2.6.7 Sử dụng kêt nối có trạng thái để giảm xét luật . 46
2.6.8 Ngăn giả mạo địa chỉ . 46
2.6.9 Cấu hình cho phép một số dịch vụ TCP thông dụng 47
2.6.9.1 Email 47
2.6.9.2 Telnet 48
2.6.9.3 SSH 49
2.6.9.4 FTP . 50
2.6.9.5 Dịch vụ Web . 51
Chương 3: HỆ THỐNG PHÁT HIỆN XÂM NHẬP . 53
3.1 Tổng quan về hệ thống phát hiện xâm nhập – IDS 53
3.1.1 Sự cần thiết của tìm kiếm và phát hiện xâm nhập 53
3.1.1.1 Xâm nhập mạng là gì? 53
3.1.1.2 Phát hiện xâm nhập mạng là gì? 54
3.1.2 Một số khái niệm cơ bản trong hệ thống phát hiện xâm nhập . 54
3.1.2.1 Hệ thống phát hiện xâm nhập (IDS) 54
3.1.2.2 Network IDS – NIDS 54
3.1.2.3 Host IDS – HIDS 55
3.1.2.4 Các dấu hiệu (Signatures) . 55
3.1.2.5 Sensor . 55
3.1.3 Chức năng của IDS 56
3.1.3.1 Các ứng dụng cơ bản của IDS . 56
3.1.3.2 Các tính năng chính của IDS . 56
3.1.4 Phân loại 56
3.1.4.1 Theo tiêu chí phương pháp phát hiện 56
3.1.4.2 Theo tiêu chí môi trường vận hành của IDS 58
3.1.4.3 Theo tiêu chí cách phản ứng của IDS 58
3.1.5 Kiến trúc IDS . 58
3.1.5.1 Cơ sở hạ tầng của IDS 59
3.1.5.2 Cấu trúc của IDS . 61
3.1.6 Cách thức làm việc của IDS . 63
3.1.6.1 Nework-Based IDS (NIDS) 63
3.1.6.2 Host Based IDS (HIDS) 66
3.1.6.3 Hệ thống phát hiện xâm nhập phân tán (DIDS) . 69
3.1.6.4 Stack-based IDS 69
3.1.7 Một số phương pháp phát hiện xâm nhập của IDS . 70
3.1.7.1 Phương pháp bắt gói tin (Packet Sniffing) . 70
3.1.7.2 Phân tích nhật ký (Log Parsing) 70
3.1.7.3 Giám sát các cuộc gọi hệ thống (System Call Monitoring) 70
3.1.7.4 Giám sát hệ thống file (Filesystem Watching) . 71
3.1.8 IDS làm gì khi phát hiện ra một xâm nhập? . 71
3.1.8.1 Phản ứng thụ động (Passive Response) . 71
3.1.8.2 Phản ứng chủ động (Active Response) 71
3.2 Cấu hình và cài đặt hệ thống phát hiện xâm nhập với Snort IDS
Software . 72
3.2.1 Giới thiệu về Snort . 72
3.2.1.1 Sơ đồi khối của một hệ thống IDS sử dụng Snort 73
3.2.1.2 Các module thành phần bên trong Snort 74
3.2.1.2.1 Packet Decoder (Bộ phận giải mã gói) . 75
3.2.1.2.2 Preprocessors (Bộ phận xử lý trước) 75
3.2.1.2.3 Detection Engine (Bộ phận phát hiện) 76
3.2.1.2.4 Module ghi nhật ký và cảnh báo (Logging and Alert
System) . 77
3.2.1.2.5 Các module Output 77
3.2.1.3 Các chế độ hoạt động của Snort 77
3.2.2 Cài đặt Snort 80
3.2.2.1 Cài đặt một số công cụ phát triển 80
3.2.2.2 Cài đặt Snort . 81
3.2.2.3 Cài đặt BASE and ABOdb 87
3.2.2.4 Cài đặt Barnyard2 . 91
3.2.3 Snort rule . 92
3.2.3.1 Các thành phần chính 93
3.2.3.1.1 Rule Header . 93
3.2.3.1.2 Rules Option 94
3.2.3.2 Ví dụ về Snort rule 94
Chương 4: MÔ HÌNH THỬ NGHIỆM 96
4.1. Môi trường thử nghiệm . 96
4.2. Mô hình thử nghiệm . 96
4.3 Mô hình 1: Bảo vệ hệ thống có dịch vụ và chia sẻ internet . 98
4.3.1 Yêu cầu và cấu hình Firewal 99
4.3.2 Sử dụng Snort theo dõi lưu lượng mạng . 100
4.4 Mô hình 2: Phòng thủ và bảo vệ hệ thống với Snort IDS và Iptables 102
4.4.1 Tạo tấn công từ chối dịch vụ (DOS) 103
4.4.2 Kiểm tra và phân tích các dấu hiệu nhận được . 104
4.4.3 Ngăn chặn tấn công và phòng thủ hệ thống 108
Chương 5: TỔNG KẾT . 112
6.1 Kết quả đạt được . 112
6.2 Những hạn chế 113
6.3 Hướng nghiên cứu 113
TÀI LIỆU THAM KHẢO . 114


LỜI MỞ ĐẦU

Mạng Internet ra đời đã mang lại rất nhiều lợi ích cho con người. Tuy
nhiên, bên cạnh những ưu điểm nó còn tồn tại rất nhiều nhược điểm, điểm yếu mà
khó có thể khắc phục được. Một trong những yếu điểm của nó chính là bài toán về
an ninh, an toàn và bảo mật trên mạng Internet. Sự mở rộng về mặt địa lý cũng
như các ứng dụng trên mạng Internet chính là sự mở rộng cửa hơn đối với kẻ tấn
công mạng. Nguy cơ mạng bị tấn công nằm ở tất cả các quốc gia có kết nối
Internet, hơn nữa các thủ đoạn tấn công mạng ngày càng tinh vi. Bài toán an ninh,
an toàn mạng và tấn công mạng luôn đi song hành. Khi có kiểu tấn công mới thì
giải pháp an ninh, an toàn cần phải nâng cấp, cải tiến ngay tức thời để chống lại
tấn công này. Khi công cụ tấn công không còn hiệu quả, kẻ tấn công lại nghĩ ra
phương kế khác để vượt qua hệ thống bảo vệ. Có thể nói rằng cuộc đua giữa an
ninh, an toàn mạng và kẻ tấn công là cuộc chiến đầy phức tạp và không có hồi kết.
Ở Việt Nam, chưa có lúc nào mà các cuộc tấn công mạng và các Website bị
tấn công lại rầm rộ như những năm gần đây, đặc biệt vào những ngày đầu tháng 6
năm 2011, theo thống kê có khoảng hơn 1.500 website Việt Nam bị tấn công.
Chúng ta có thể nhìn thấy các Website của Việt Nam bị tấn công được liệt kê trên
các trang web của nước ngoài. Website bị tấn công rất đa dạng, từ ngành giáo dục
đào tạo, các trang thông tin của các tỉnh, cho tới các doanh nghiệp kinh doanh trên
mạng.
Giải pháp an ninh, an toàn được biết đến nhiều là các hệ thống bức tưởng
lửa (firewall). Firewall thường hoạt động như bộ lọc gói tin mạng (lọc địa chỉ,
cổng, dịch vụ .), nó giải quyết một số vấn đề cơ bản cho bài toán an ninh, an toàn
mạng. Tuy nhiên, thực tiễn hiện nay đòi hỏi một giải pháp phức tạp và thông minh
để kết hợp với firewall để bảo vệ hệ thống mạng của chúng ta một cách hiệu quả
hơn. Một giải pháp như vậy hiện đang được triển khai ở thực tế là các hệ phát hiện
xâm nhập (IDS – Intrusion Detection System).
Trong một vài năm trở lại đây, vấn đề an ninh mạng mới được quan tâm
nhiều ở Việt Nam. Chúng ta đã tổ chức một số hội nghị về an toàn thông tin mang
tầm cỡ quốc gia như VN Security . Trước đây, do điều kiện chủ quan cũng như
khách quan chúng ta chưa coi trọng nhiều về vấn đề an toàn mạng. Sau khi các
mạng của các cơ quan, doanh nghiệp bị tấn công ảnh hưởng nhiều đến thương hiệu,
kinh tế thì chúng ta mới bắt đầu chú ý tới an toàn và bảo mật mạng. Có thể nói Việt
Nam đã đi sau so với các quốc gia trên thế giới, điều này cũng dễ hiểu bởi vì trong
một thời gian khá dài chúng ta chỉ nghĩ tới việc triển khai các hệ thống thông tin và
ứng dụng công nghệ thông tin. Và bây giờ là thời điểm để chúng ta nhìn nhận sâu
hơn về các bài toán an ninh, an toàn và bảo mật mạng.
Với phạm vi kiến thức đã tích lũy, học hỏi được trong suốt 4 năm học đại
Đại học Nha Trang, cùng với xu hướng phát triển hiện nay tôi đã đi vào tìm hiểu và
nghiên cứu một hệ thống an ninh bảo mật mạng gồm firewall kết hợp với hệ thống
phát hiện xâm nhập để bảo vệ hệ thống mạng của doanh nghiệp trên nền tảng hệ
điều hành Linux.
Mang tính thực tế và bắt nhịp với công nghệ mới, đồ án này sẽ giúp tôi có
thêm kinh nghiệm, hiểu biết rõ một hệ điều hành tương đối mới so với mọi người
cũng như có thêm kiến thức về hệ thống firewall và dễ dàng thích nghi vào công
việc sau khi ra trường.
Trong quá trình tìm hiểu và làm báo cáo, do còn thiếu nhiều kinh nghiệm thực
tế nên không tránh khỏi những sai sót. Rất mong các thầy cô và các bạn góp ý để đề
tài được hoàn thiện hơn. Em xin chân thành cảm ơn!
Chương I: TỔNG QUAN VỀ FIREWALL
1.1 Firewall là gì?
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ
thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ
các nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ
thống. Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng (Trusted
network) khỏi các mạng không tin tưởng (Untrusted network).
Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một công
ty, tổ chức, hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn
chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ
bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Trong trường lợp lý tưởng, một Firewall cần phải cung cấp sự tách biệt về mặt
vật lý giữa các mạng với nhau. Ngày nay, sự tách biệt đó đã trở nên mờ dần bởi việc
sử dụng những mạng ảo. Sự ảo hóa giúp phân chia các mạng ở mức logic, điều này
không được khuyến khích trong xây dựng một hệ thống Firewall.
Với vai trò là một hệ thống bảo mật, Firewall tạo một bức tường bao quanh máy
tính hoặc một mạng với Internet. Bức tường đó quyết định những luồng thông tin
nào được phép trong một máy tính hay trong một mạng cục bộ. Firewall giúp bảo
vệ máy tính hay một mạng khỏi hackers, viruses, và những hoạt động mang tính
nguy hiểm.


TÀI LIỆU THAM KHẢO
[1] Russell, Rusty. iptables HOWTO ( http://netfilter.kernelnotes.org)
[2] Quick HOWTO : Ch14 : Linux Firewalls Using iptables - Linux Home
Networking
[3] Understanding Linux Network Internals – Oreilly
[4] Dr. Richard Stevens, “Network Intrusion Detection, Third Edition”, New
Riders Publishing, 2003.
[5] Kerry J. Cox, Christopher Gerg, “Managing Security with Snort and IDS
Tools”,O'Reilly, August 2004.
[6] Andrew R. Baker, Brian Caswell and Mike Poor, “Snort 2.1 Intrusion
Detection Second Edition”, Syngress Publishing, 2004.
[7] The Snort Project, “Snort
TM
Users Manual 2.6.1”, December 3 2006.
[8] http://www.snort.org
[9] IT.TheLibrarie.Com » Installing SNORT on Ubuntu 10.04
[10] Intrusion Detection Systems with Snort - Prentice Hall - 2003