Đang tải... (xem toàn văn)
Báo cáo bài tập lớn.Đề tài: TÌM HIỂU BỘ CÔNG CỤ SECURITY ONION VÀ ỨNG DỤNG TRONG GIÁM SÁT AN NINH MẠNGSecurity Onion là một bản phân phối Linux mã nguồn mở miễn phí để phát hiện xâm nhập, giám sát và quản lý nhật ký. Nó bao gồm bộ công cụ ELK (Elasticsearch, Logstash, Kibana), Snort, Suricata, Zeek, Wazuh, Sguil, Squert, CyberChef, Network Miner và nhiều công cụ bảo mật khác.
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MƠN HỌC THU THẬP VÀ PHÂN TÍCH ANMMT Đề tài: TÌM HIỂU BỘ CƠNG CỤ SECURITY ONION VÀ ỨNG DỤNG TRONG GIÁM SÁT ANM Sinh viên thực hiện: NGÔ QUANG THIÊN AT150456 Giảng viên hướng dẫn: Hà Nội, 9-2021 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MÔN HỌC THU THẬP VÀ PHÂN TÍCH ANMMT Đề tài: TÌM HIỂU BỘ CƠNG CỤ SECURITY ONION VÀ ỨNG DỤNG TRONG GIÁM SÁT ANM Sinh viên thực hiện: NGÔ QUANG THIÊN AT150456 Giảng viên hướng dẫn: Hà Nội, 9-2021 MỤC LỤC DANH MỤC HÌNH VẼ LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ SECURITY ONION 1.1 Giới thiệu Security Onion 1.2 Chức cốt lõi 1.3 Công cụ Security Onion 1.3.1 Cơng cụ phân tích 1.3.2 Công cụ hiển thị mạng 10 1.3.3 Công cụ hiển thị máy chủ 11 1.3.4 Elastic Stack 12 CHƯƠNG TRIỂN KHAI SECURITY ONION 13 2.1 Chế độ triển khai 13 2.1.1 Triển khai đánh giá 13 2.1.2 Triển khai độc lập 13 2.1.3 Triển khai phân tán 14 2.2 Các loại nút 15 2.3 Yêu cầu phần cứng 16 2.3.1 Triển khai độc lập 16 2.3.2 Triển khai phân tán 17 2.4 Phương pháp cài đặt 18 CHƯƠNG SGUIL TRONG SECURITY ONION 20 3.1 Giới thiệu 20 3.2 Kiến trúc 20 3.3 Luồng hoạt động 22 3.4 Bố cục bảng điều khiển 23 3.5 Làm việc với Sguil 24 3.5.1 Phân loại kiện 25 3.5.2 Truy vấn liệu 30 3.5.3 Trích xuất gói tin 33 3.5.4 Báo cáo kiện 34 3.4.5 Tra cứu địa ip 35 CHƯƠNG ỨNG DỤNG SECURITY ONION TRONG GSANM 36 4.1 Phát phân tích hành vi phân phối phần mềm độc hại 36 4.1.1 Mô tả kịch 36 4.1.2 Thực nghiệm 37 4.2 Phát phân tích cơng website 46 4.2.1 Mô tả kịch 46 4.2.2 Mơ hình hệ thống 46 4.2.3 Thực nghiệm 46 KẾT LUẬN 54 TÀI LIỆU THAM KHẢO 55 PHỤ LỤC 56 Phụ lục Triển khai Security Onion mơ hình độc lập 56 Phụ lục Triển khai Security Onion mơ hình phân tán 63 Phụ lục Triển khai DVWA 73 DANH MỤC HÌNH VẼ Hình 1.1 Sơ đồ hoạt động SO môi trường mạng doanh nghiệp truyền thống Hình 2.1 Mô hình triển khai SO chế độ độc lập 13 Hình 2.2 Mô hình luồng liệu triển khai độc lập 14 Hình 2.3 Mô hình triển khai SO chế độ phân tán 14 Hình 2.4 Mô hình luồng liệu triển khai phân tán tiêu chuẩn 15 Hình 3.1 Giao diện Sguil 0.9.0 20 Hình 3.2 Mô hình kiến trúc Sguil 21 Hình 3.3 Luồng nhận liệu cảnh báo từ NIDS 22 Hình 3.4 Minh họa mô hình làm việc Barnyard Snort 22 Hình 3.5 Luồng truy vấn liệu chi tiết cảnh báo 23 Hình 3.6 Bố cục bảng điều khiển Sguil 24 Hình 3.7 Các thành phần bảng điều khiển Sguil 25 Hình 3.8 Danh sách loại kiện Sguil 27 Hình 3.9 Phân loại kiện thủ công 28 Hình 3.10 tính phân loại kiện tự động 29 Hình 3.11 Tạo luật phân loại tự động dựa kiện trước 29 Hình 3.12 Danh sách phương pháp truy vấn 30 Hình 3.13 Giao diện truy vấn bảng kiện 30 Hình 3.14 Giao diện truy vấn kiện theo địa ip 31 Hình 3.15 Chức truy vấn nhanh Sguil 31 Hình 3.16 Chức truy vấn nâng cao Sguil 32 Hình 3.17 Giao diện tùy chỉnh truy vấn chọn truy vấn nâng cao 32 Hình 3.18 Danh sách chức tương tác gói tin 33 Hình 3.19 Giao diện chức Transcript 33 Hình 3.20 Giao diện Wireshark đọc gói tin chuyển tới từ Sguil 34 Hình 3.21 Danh sách phương thức xuất báo cáo 34 Hình 3.22 Điểm khác biệt lựa chọn Detail Summarry 35 Hình 3.23 Điểm khác biệt lựa chọn Normal Sanitized 35 Hình 3.24 Chức tra cứu thông tin địa ip 35 Hình 4.1 Tin nhắn mail đính kèm tệp độc hại 36 Hình 4.2 Nhập PCAP vào hệ thống 37 Hình 4.3 Khởi động Sguil theo dõi lưu lượng vừa nhập 37 Hình 4.4 Cảnh báo tạo sau nhập PCAP 38 Hình 4.5 Cặp giá trị ip/port hoán đổi thể luồng kết nối 38 Hình 4.6 Dấu thời gian thể thứ tự kiện 39 Hình 4.7 Quy tắc Snort phát truyền tải tệp thực thi 39 Hình 4.8 Sử dụng Transcript biểu diễn ghi luồng liệu truyền tải tệp 39 Hình 4.9 Payload luồng liệu truyền tải tệp 40 Hình 4.10 Chuyển tiếp kiện sang Wireshark 40 Hình 4.11 Sử dụng Wireshark trích xuất tệp truyền tải 41 Hình 4.12 Sử dụng NetworkMiner trích xuất tệp truyền tải 41 Hình 4.13 Kết quét tệp từ Virustotal 42 Hình 4.14 Sử dụng CyberChef tính tốn mã băm cho tệp 42 Hình 4.15 Thông tin thiết bị kẻ công thu NetworkMiner 43 Hình 4.16 Quy tắc phát hành vi đăng ký AZORult Client 43 Hình 4.17 Quy tắc phát hành vi phản hồi AZORult Server 44 Hình 4.18 Transcrip cung cấp ghi luồng TCP 44 Hình 4.19 Thông tin thiết bị kẻ công thu NetworkMiner 45 Hình 4.20 Dashboard Overview Kibana 45 Hình 4.21 Mô hình triển khai hệ thống 46 Hình 4.22 Giao diện web thực công XSS 47 Hình 4.23 Tấn công XSS thành công 47 Hình 4.24 Cảnh báo công XSS Sguil 48 Hình 4.25 Transcript biểu diễn liệu luồng kết nối 48 Hình 4.26 Thông tin thiết bị kẻ công thu NetworkMiner 49 Hình 4.27 Giao diện web thực công SQL Injection 50 Hình 4.28 Mã nguồn trang web kèm theo nội dung tệp yêu cầu 50 Hình 4.29 Cảnh báo sinh thực công SQL Injection 51 Hình 4.30 Giao diện Wireshark biểu diễn luồng liệu 51 Hình 4.31 Mã nguồn web trích xuất thơng qua liệu mạng 52 Hình 4.32 Mã nguồn chứa câu lệnh thực nội dung tệp mà kẻ công yêu cầu 52 Hình 4.33 Thông tin thiết bị kẻ công thu NetworkMiner 53 LỜI NĨI ĐẦU Cùng với phát triển cơng nghệ thông tin, đầu tư cho hạ tầng mạng doanh nghiệp ngày tăng cao, dẫn đến việc quản trị cố hệ thống mạng gặp nhiều khó khăn Đi với lợi ích phát triển hạ tầng mạng băng thông cao, khối lượng liệu mạng lớn, đáp ứng nhu cầu người dùng, hệ thống mạng phải đối đầu với nhiều thách thức công bên ngồi, tính sẵn sàng thiết bị, tài ngun hệ thống, v.v… Một giải pháp hữu hiệu để giải vấn đề thực triển khai giải pháp giám sát mạng, dựa thơng tin thu thập thơng qua q trình giám sát, nhân viên quản trị mạng phân tích, đưa đánh giá, dự báo, giải pháp nhằm giải vấn đề Để thực giám sát mạng có hiệu quả, chương trình giám sát phải đáp ứng yêu cầu sau: phải đảm bảo chương trình ln hoạt động, tính linh hoạt, chức hiệu quả, đơn giản triển khai, chi phí thấp Hiện nay, có nhiều phần mềm hỗ trợ việc giám sát mạng có hiệu Nagios, Zabbix, Zenoss, Cacti,… Đề tài “Nghiên cứu tìm hiểu công cụ Security Onion ứng dụng giám sát an ninh mạng” em lựa chọn thực với mục tiêu nghiên cứu, tìm hiểu về giải pháp giám sát mã nguồn mở giúp cho người có nhìn tổng quan về hệ thống giám sát mạng hồn chỉnh, đồng thời trình bày về cách thức áp dụng giải pháp vào hoạt động giám sát hệ thống CHƯƠNG TỔNG QUAN VỀ SECURITY ONION 1.1 Giới thiệu Security Onion Security Onion phân phối Linux mã nguồn mở miễn phí để phát xâm nhập, giám sát quản lý nhật ký Nó bao gồm cơng cụ ELK (Elasticsearch, Logstash, Kibana), Snort, Suricata, Zeek, Wazuh, Sguil, Squert, CyberChef, Network Miner nhiều công cụ bảo mật khác Trong sơ đồ bên dưới, thấy Security Onion mạng doanh nghiệp truyền thống với tường lửa, máy trạm máy chủ Người quản trị sử dụng Security Onion để theo dõi lưu lượng truy cập từ phía bên trung tâm liệu để phát kẻ xâm nhập môi trường mạng, thiết lập lệnh kiểm sốt (Command and Control) xâm nhập liệu Người quản trị muốn theo dõi lưu lượng truy cập phân vùng để để phát động thái có nguy từ bên Do ngày nhiều lưu lượng truy nhập mạng mã hóa, việc khắc phục điểm mù tới từ việc cách khả hiển thị bổ sung dạng chuẩn đoán thiết bị đầu cuối quan trọng Security Onion sử dụng nhật ký (logs) từ máy chủ máy trạm, sau tìm kiếm bao qt tồn mơi trường mạng nhật ký lưu trữ máy chủ lúc Hình 1.1 Sơ đồ hoạt động SO môi trường mạng doanh nghiệp truyền thống 1.2 Chức cốt lõi Security Onion kết hợp liền mạch ba chức cốt lõi bao gồm: chụp tồn gói tin, hệ thống phát xâm nhập dựa mạng/điểm cuối cơng cụ phân tích - Chụp tồn gói Trong Security Onion việc thực chụp tồn gói thực thông qua netsniff-ng Netsniff-ng nắm bắt tất lưu lượng truy cập mạng mà cảm biến Security Onion nhìn thấy lưu trữ nhiều - Hệ thống phát ngăn chặn xâm nhập dựa mạng/điểm cuối Hệ thống phát xâm nhập dựa mạng dựa điểm cuối (IDS) phân tích lưu lượng mạng hệ thống, đồng thời cung cấp liệu nhật ký cảnh báo cho kiện hoạt động phát - Cơng cụ phân tích Với tính chụp gói đầy đủ, nhật ký IDS liệu Bro, có lượng liệu khổng lồ tầm tay nhà phân tích Security Onion tích hợp cơng cụ Sguil, Squert, Kibana, CapMe để giúp nhà phân tích hiểu rõ liệu 1.3 Công cụ Security Onion Security Onion mơi trường tích hợp thiết kế với mục đích đơn giản hóa việc triển khai giải pháp NSM tồn diện Các cơng cụ cài đặt liên kết với cách tự động chặt chẽ, giúp người dùng triển khai hệ thống NSM cách dễ dàng mà không cần nhiều thời gian công sức để tìm hiểu, nghiên cứu biện pháp tích hợp ghép nối công cụ lại với nền tảng 1.3.1 Cơng cụ phân tích Đa phần cơng cụ phân tích tích hợp Security Onion sử dụng trình duyệt Mặc định Security Onion sử dụng trình duyệt Chromium Các trình duyệt khác hoạt động, nhiên theo khuyến cáo nên sử dụng trình duyệt dựa chromium để có khả tương thích tốt - Kibana: giao diện người dùng mã nguồn mở miễn phí, cho phép trực quan hóa liệu Elasticsearch điều hướng Elastic Stack - CapMe: giao diện web cho phép xem ghi PCAP hiển thị dạng tcpflow, xem ghi PCAP hiển thị Bro, tải xuống PCAP - CyberChef: ứng dụng web trực quan, đơn giản để thực tất hoạt động “cyber” trình duyệt web Các hoạt động bao gồm mã hóa đơn giản XOR Base64, mã hóa phức tạp AES, DES, tạo nhị phân, hexdumps, giải nén liệu, tính tốn băm, v.v… Cơng cụ thiết kế phép nhà phân tích kỹ thuật phi kỹ thuật thao tác liệu theo cách phức tạp mà không cần phải xử lý công cụ thuật toán phức tạp - Squert: ứng dụng web sử dụng để truy vấn xem liệu kiện lưu trữ sở liệu Sguil (thường liệu cảnh báo IDS) Squert công cụ trực quan cố gắng cung cấp ngữ cảnh bổ sung cho kiện thông qua việc sử dụng siêu liệu, biểu diễn chuỗi thời gian tập kết có trọng số nhóm hợp lý - Sguil: xây dựng nhà phân tích an ninh mạng Thành phần Sguil GUI trực quan cung cấp quyền truy cập kiện thời gian thực, liệu phiên ghi gói thơ Sguil tạo điều kiện thuận lợi cho việc thực hành giám sát an ninh mạng phân tích theo hướng kiện - NetworkMiner: cơng cụ phân tích mã nguồn mở NetworkMiner sử dụng cơng cụ thu thập gói/dị tìm mạng thụ động để phát hệ điều hành, phiên, tên máy chủ, cổng mở, v.v mà không đặt tạo lưu lượng mạng mạng NetworkMiner phân tích tệp PCAP để phân tích mạng ngoại tuyến tái tạo/tập hợp lại tệp chứng truyền từ tệp PCAP - Wireshark: trình phân tích giao thức mạng hàng đầu sử dụng rộng rãi giới Nó cho phép xem xảy mạng cấp độ vi mô Sự phát triển mạnh mẽ Wireshark nhờ đóng góp tình nguyện chuyên gia mạng toàn cầu tiếp nối dự án Gerald Combs bắt đầu vào năm 199 1.3.2 Công cụ hiển thị mạng - Snort: hệ thống ngăn chặn xâm nhập mã nguồn mở (IPS) hàng đầu giới Snort sử dụng loạt quy tắc giúp xác định hoạt động mạng độc hại sử dụng quy tắc để tìm gói phù hợp với chúng tạo cảnh báo cho người dùng Snort triển khai nội tuyến để dừng gói Snort có ba mục đích sử dụng chính: trình kiểm tra gói tcpdump, trình ghi gói - hữu ích cho việc gỡ lỗi lưu lượng mạng sử 10 66 67 68 Storage 69 70 Sensor 71 72 Phụ lục Triển khai DVWA Cài đặt XAMPP 73 74 75 Cài đặt DVWA 76 77 78 79 80 ...HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO MƠN HỌC THU THẬP VÀ PHÂN TÍCH ANMMT Đề tài: TÌM HIỂU BỘ CƠNG CỤ SECURITY ONION VÀ ỨNG DỤNG TRONG GIÁM SÁT ANM Sinh viên thực hiện: NGÔ... Cacti,… Đề tài “Nghiên cứu tìm hiểu cơng cụ Security Onion ứng dụng giám sát an ninh mạng” em lựa chọn thực với mục tiêu nghiên cứu, tìm hiểu về giải pháp giám sát mã nguồn mở giúp cho người... thống giám sát mạng hoàn chỉnh, đồng thời trình bày về cách thức áp dụng giải pháp vào hoạt động giám sát hệ thống CHƯƠNG TỔNG QUAN VỀ SECURITY ONION 1.1 Giới thiệu Security Onion Security Onion
