BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ HỌC PHẦN THU THẬP & PHÂN TÍCH THƠNG TIN AN NINH MẠNG BÀI THỰC HÀNH Triển khai hệ thống giám sát ANM sử dụng Splunk (Phiên bản: 1.0) Hà Nội, 2019 MỤC LỤC Điều kiện tiên 2 Giới thiệu Kịch thực hành Mục tiêu thực hành .2 Tổ chức thực hành .3 Môi trường thực hành .3 6.1 Phần cứng, phần mềm 6.2 Máy ảo công cụ Sơ đồ thực hành Các nhiệm vụ cần thực Nhiệm vụ Cài đặt tường lửa Pfsense HĐH Linux FreeBSD 64 bit .4 Nhiệm vụ Cấu hình tường lửa Pfsense Nhiệm vụ Cài đặt phần mềm Splunk HĐH Linux 10 Nhiệm vụ 4: Cài đặt win 2k8 vào giao diện quản trị Pfsense Splunk 14 Nhiệm vụ : Thu thập Log từ Pfsense vào Splunk .16 Đánh giá thực hành 20 Thông tin phiên thực hành Phiên Ngày tháng Mô tả Thực 1.Điều kiện tiên Khơng 2.Giới thiệu Splunk tập đồn đa quốc gia Mỹ có trụ sở San Francisco, California, làm phần mềm để thu thập Log, tìm kiếm, theo dõi phân tích liệu lớn (big data) máy tạo ra, thông qua giao diện web nhằm giải nhiều toán khác tổ chức, doanh nghiệp việc giám sát, vận hành hệ thống, điều tra cố.v.v Phần mềm Splunk thu thập, đánh mục liệu, tìm kiếm thời gian thực kho lưu trữ liệu tìm kiếm, từ tạo đồ thị, báo cáo, cảnh báo, biểu đồ PfSense ứng dụng có chức định tuyến vào tường lửa mạnh miễn phí, ứng dụng cho phép bạn mở rộng mạng mà khơng bị thỏa hiệp bảo mật Trong thực hành này, bước đầu tiếp cận với phần mềm splunk Pfsense thông qua việc triển khai cài đặt sản phẩm môi trường Linux 3.Kịch thực hành Splunk công vụ hỗ trợ thu thập log từ hệ điều hành, tường lửa, thiết bị khác Đối với hệ thống cần thu thập thông tin liệu Splunk công thường sử dụng cách dễ dàng Trong mơ hình thực hành ta thiết lập tường lửa Pfsense để kết nối mạng bên với bên ngồi Cấu hình Pfsense để hoạt động mạng cách tốt Mạng bên cấu hình máy chủ chạy Splunk thơng qua giao diện ta quản lý log thiết bị Cấu hình lấy log từ Pfsense đẩy xuống máy chủ Splunk để thu thập event log phân tích hoạt động Pfsense Ta thiết lập giao diện splunk Pfsense để quản trị cách dễ dàng Bài thực hành hướng dẫn chi tiết ta cách cài đặt cấu hình Pfsense splunk, cách thu thập thơng tin log từ Pfsense vào splunk 4.Mục tiêu thực hành Bài thực hành nhằm giúp sinh viên học hiểu về: - Cài đặt tường lửa Pfsense mơi trường Linux - Cấu hình tường lửa Pfsense theo mơ hình sử dụng giao diện Web - Cài đặt phần mềm splunk HĐH Linux - Thu thập logs từ pfsense vào splunk để phân tích 5.Tổ chức thực hành Yêu cầu thực hành: thực hành độc lập Thời gian: 45 phút 6.Môi trường thực hành 6.1 Phần cứng, phần mềm  Yêu cầu phần cứng:  01 máy tính  Cấu hình tối thiểu: Intel Core i3, 4GB RAM, 50 GB ổ cứng   Yêu cầu phần mềm máy:  Hệ điều hành máy tính: Windows 64bit trở lên  Phần mềm ảo hóa VMWare Workstation 15.0 trở lên Yêu cầu kết nối mạng Internet: có 6.2 Máy ảo cơng cụ  Máy ảo: 03 máy Trong đó:  Máy ảo (Pfsense Linux): - RAM: 1GB, HDD: 20GB - Sử dụng 02 giao diện mạng:  + Địa IP: 10.10.10.10 VMNet2 (mạng WAN) + Địa IP: 192.168.10.200 VMNet3 (Mạng LAN) Máy ảo (Win Server 2008): - Cài đặt hệ điều hành Windows Server 2008  - Địa IP: 192.168.10.100 VMNet2 Máy ảo (Centos ): - Cài đặt hệ điều hành Centos - Địa IP: 192.168.10.150 - Cài đặt phần mềm Splunk cấu hình  Các công cụ cần chuẩn bị cho thực hành:  File ISO cài đặt Pfsense HDH Linux  File ISO cài đặt Centos file Splunk cài centos  File ISO cài đặt Winserver 2008 7.Sơ đồ thực hành 192.168.10.100 Win Server 2k8 Pfsense Centos (Splunk) 192.168.10.150 Máy Winserver 2k8 đóng vai trị máy bên mạng LAN, kết nối tới giao diện tường lửa để quản trị giao diện Splunk Máy Centos (Spluck) đóng vai trị máy chủ mạng LAN Máy Pfsense đóng vai trị tường lửa kiểm soát truy cập từ internet qua mạng WAN kết nối với mạng nội qua mạng LAN 8.Các nhiệm vụ cần thực Nhiệm vụ Cài đặt tường lửa Pfsense HĐH Linux FreeBSD 64 bit Bước 1: Download phần mềm đây: www.pfsense.org Bước 2: Sử dụng VMware để cài đặt Pfsense - Tạo máy ảo để bắt đầu cài đặt - Chọn đường dẫn đến file cài đặt lựa chọn Add để thêm card mạng cho máy ảo theo mơ hình - Tiến hành cài đặt - Để mặc định trình boot lựa chọn Accept these settings - Tiếp tục lựa chọn Quick/Easy Install Rồi chọn OK để xác nhận việc cài đặt - Chọn Standard Kernel Sau reboot lại để q trình cài đặt hồn tất Nhiệm vụ Cấu hình tường lửa Pfsense Bước 1: Giao diện quản trị PfSense Chọn để tiến hành cấu hình card mạng - - Hệ thống hỏi có muốn thiết lập VLANs khơng Ở chọn No - Thiết lập em0 giao diện WAN em1 giao diện LAN tương ứng - Sau ấn Enter để bỏ qua thiết lập bổ sung - Chọn Yes (y) để xác nhận lại trình thiết lập Sau thiết lập xong giao diện, tiến hành chọn option để thiết lập địa IP cho card mạng - - Chọn để cấu hình cho card WAN - Thiết lập địa IP hình Bỏ qua thiết lập DHCP6 (Gõ “n”) bỏ qua thiết lập IPv6 (Gõ enter để bỏ qua) Sau chọn “y” phép quản trị tường lửa thông qua giao diện web (http) - Thiết lập tương tự card mạng LAN lại Nhiệm vụ Cài đặt phần mềm Splunk HĐH Centos - Truy cập vào hệ thống với tài khoản user, pass = “resu” Pass root “toor” - Xem tên card mạng câu lệnh “ip addr” Trong hình thấy card mạng eno16777736 card cần thiết lập địa ip - Để cấu hình địa ip, truy cập vào thư mục /etc/sysconfig/networkscripts File ifcfg-eno16777736 file cần cấu hình - Dùng vi centos để đọc chỉnh sửa file ifcfg-eno16777736 Luư ý để cấu hình ta phải dùng lệnh su để lấy quyền root (Pass:toor) 10 - Cấu hình địa ip hình Sau lưu lại với :x - Khởi động lại dịch vụ tiến hành ping thử tới tường lửa hệ thống 11 - Tiến hành copy file cài đặt splunk-6.5.2-67571ef4b87d-Linux-x86_64.tgz vào Centos Ở sử dụng công cụ psftp PuTTy cài đặt máy Win2k8 để copy liệu - Dùng lệnh ls kiểm tra thấy xuất file cần cài đặt - Tiến hành giải nén - Sau giải nén, file cài đặt nằm đường dẫn /opt/splunk/bin Sử dụng câu lệnh /splunk start - -accept-license để bắt đầu cài đặt - Q trình cài đặt hồn tất 12 - Cấu hình để splunk khởi động hệ thống dùng câu lệnh /splunk enable bootstart reboot lại để hoàn tất trình cài đặt - Khởi động xem kiểm tra xem splunk có khởi chạy hệ thống khơng - Tắt tường lửa mặc định truy cập vào giao diện quản trị theo địa http://192.168.10.150:8000 13 Nhiệm vụ 4: Cài đặt win 2k8 vào giao diện quản trị Pfsense Splunk - Thiết lập địa IP máy Win 2k8 - Tiến hành truy cập PfSense thông qua giao diện web theo địa http://192.168.10.200 Username mặc định “admin” pass “pfsense” 14 - Giao diện truy cập thành công - Truy cập vào giao diện quản trị theo địa http://192.168.10.150:8000 - User đăng nhập “admin”, pass “changeme” 15 Nhiệm vụ : Thu thập Log từ Pfsense vào Splunk a) - - Trên máy Pfsense Vào Status=>System Logs Chọn tab Settings Tích vào ơ: Send log message to remote syslog server Ip máy chủ nhận log 192.168.10.150 (máy Splunk) Chọn log muốn gửi qua Splunk sau save lại 16 b) Trên máy Centos cài sẵn Splunk: - Chọn Setting =>Data inputs - Chọn Addnew phần UDP 17 - Cấu hình port 514 địa ip gửi log địa tường lửa PfSense: 192.168.10.200 Sau chọn Next - Cấu theo hướng dẫn chọn Review để xem lại cấu hình chọn Chọn Submit để hoàn tất 18 - Sau thử tắt tường lửa xem máy splunk có nhận log đẩy khơng Kết máy chủ splunk có nhận log đẩy thông báo PfSense bị tắt 19 9.Đánh giá thực hành STT Nội dung thực Cài đặt tường lửa Pfsense HĐH FreeBSD 64 bit Cấu hình tường lửa Pfsense Cài đặt phần mềm Splunk HĐH Linux Cài đặt winserver 2008 vào giao diện quản trị củ Pfsense Splunk Thu thập log từ Pfsense Splunk Tổng điểm 20 ... việc triển khai cài đặt sản phẩm môi trường Linux 3.Kịch thực hành Splunk công vụ hỗ trợ thu thập log từ hệ điều hành, tường lửa, thiết bị khác Đối với hệ thống cần thu thập thông tin liệu Splunk. .. theo mơ hình sử dụng giao diện Web - Cài đặt phần mềm splunk HĐH Linux - Thu thập logs từ pfsense vào splunk để phân tích 5.Tổ chức thực hành Yêu cầu thực hành: thực hành độc lập Thời gian: 45 phút... Pfsense Splunk 14 Nhiệm vụ : Thu thập Log từ Pfsense vào Splunk .16 Đánh giá thực hành 20 Thông tin phiên thực hành Phiên Ngày tháng Mô tả Thực 1.Điều kiện tiên Không 2.Giới thiệu Splunk