Đang tải... (xem toàn văn)
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP PHÁT TRIỂN VÀ TÍCH HỢP CHỨC NĂNG GIÁM SÁT TOÀN VẸN TỆP TIN VÀO HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG Ngành An toàn thông tin Mã.
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP PHÁT TRIỂN VÀ TÍCH HỢP CHỨC NĂNG GIÁM SÁT TOÀN VẸN TỆP TIN VÀO HỆ THỐNG GIÁM SÁT AN TỒN MẠNG Ngành: An tồn thông tin Mã số: 7.48.02.02 Sinh viên thực hiện: Phạm Ngọc An Lớp: AT12G Người hướng dẫn: ThS Cao Minh Tuấn Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2020 MỤC LỤC Danh mục kí hiệu viết tắt Danh mục hình ảnh .4 Danh mục bảng Lời cảm ơn .7 Lời nói đầu .8 Chương Tổng quan an tồn thơng tin mạng máy tính 1.1 An tồn thơng tin .9 1.1.1 Khái niệm an toàn thông tin 1.1.2 Sự cần thiết an tồn thơng tin .10 1.1.3 Mục tiêu an tồn thơng tin 10 1.2 An tồn thơng tin kỷ nguyên 4.0 11 1.2.1 Ảnh hưởng công mạng đến hệ thống CNTT 11 1.2.2 Thách thức an tồn thơng tin kỷ ngun 4.0 14 1.2.3 Đảm bảo an tồn thơng tin kỷ ngun 4.0 .16 1.3 Các hiểm họa gây an tồn mạng máy tính 17 1.3.1 Hiểm họa từ mã độc 17 1.3.2 Hiểm họa từ công giả mạo ( Phising ) 18 1.3.3 Hiểm họa từ công trung gian( Man-in-the-middle ) 20 1.3.4 Hiểm họa từ công từ chối dịch vụ ( DOS,DDOS ) 20 1.3.5 Các hiểm họa khác 21 1.4 Các u cầu an tồn mạng máy tính 21 1.4.1 Tính bí mật ( Confidential ) .21 1.4.2 Tính tồn ven ( Integrity ) 22 1.4.3 Tính khả dụng ( Availability ) 22 1.4.4 Tính xác thực ( Authentication ) 23 1.4.5 Tính chối cãi ( Nonreputation ) 23 1.5 Một số giải pháp đảm bảo an tồn mạng máy tính 23 1.5.1 Công nghệ tường lửa 23 1.5.2 Hệ thống phát xâm nhập IDS/IPS 24 1.5.3 Hệ thống giám sát an toàn mạng .25 1.5.4 Giám sát an toàn mạng hệ 28 1.6 Kết luận chương 30 Chương Giới thiệu giải pháp giám sát an toàn mạng Wazuh 32 2.1 Tổng quan giới thiệu Wazuh .32 2.1.1 Các thành phần kiến trúc Wazuh 33 2.1.2 Kiến trúc chế hoạt động luồng liệu Wazuh 37 2.1.3 Ưu điểm ứng dụng phổ biến Wazuh 40 2.2 Cơ chế hoạt động chức giám sát tệp tin Wazuh .42 2.2.1 Cơ chế hoạt động File integrity monitoring .42 2.2.2 Thuật toán đồng hóa với wazuh server 45 2.3 Bộ giải pháp quản lý log tập trung EFK 46 2.3.1 Giới thiệu hệ thống log tập chung EFK STACK 46 2.3.2 Elasticsearch 47 2.3.3 Filebeat 49 2.3.4 Kibana .50 2.4 Thiết kế hệ thống giám sát tệp tin quản lý log 50 2.4.1 Hệ thống log tập trung .50 2.4.2 Hệ thống giám sát an toàn Wazuh hệ thống log tập trung EFK 52 2.5 Kết luận chương 54 Chương Triển khai hệ thống giám sát tảng Wazuh 55 3.1 Mục tiêu hệ thống 55 3.1.1 Giám sát toàn tệp tin 55 3.1.2 Mục tiêu hệ thống giám sát cần đạt 55 3.2 Mơ hình triển khai thực nghiệm 57 3.2.1 Mơ hình triển khai thực tế 57 3.2.2 Mơ hình triển khai thực nghiệm 59 3.3 Triển khai thực nghiệm 61 3.3.1 Cài đặt môi trường thực nghiệm .61 3.3.2 Thực nghiệm tính giám sát tệp tin Wazuh 62 3.3.3 Thực nghiệm ứng dụng giám sát tệp tin từ công mạng .63 3.4 Kết giám sát tệp tin 67 3.4.1 Kết sau giám sát tệp tin hệ thống 67 3.4.2 Đánh giá hệ thống giám sát tệp tin Wazuh 69 3.5 Kết luận chương 70 Kết luận 71 Tài liệu tham khảo .72 Phụ lục .73 Cài đặt máy chủ Wazuh Server 73 Phụ lục .75 Cài đặt máy chủ Elastic Stack .75 Phụ lục .77 Cài đặt Agent máy chủ Monitored Endpoint 77 Phụ lục .78 Cài đặt Website Bwapp 78 DANH MỤC KÍ HIỆU VÀ VIẾT TẮT ATTT An tồn thơng tin APT Advanced Persistent Threat CERT Computer Emegency Response Team CNTT Công nghệ thông tin FIM File integrity monitoring PIN Personal Information Number SMB Server Message Block SIEM Security information and event management TTTT Thông tin truyền thông DANH MỤC HÌNH ẢNH Hình 1.1 Tệp tin shortcut chứa đoạn mã bất thường .12 Hình 1.2 Số lượng cảnh báo cơng mạng vào hệ thống mạng CNTT trọng yếu quan Đảng Chính phủ, theo thống kê Trung tâm CNTT Giám sát An ninh mạng 15 Hình 1.3 Mánh khóe tinh vi cơng Phishing .19 Hình 1.4 Biểu đồ Số vụ công DDoS gần 21 Hình 2.1 Các chức Wazuh cung cấp .32 Hình 2.2 Các thành phần Wazuh 33 Hình 2.3 Các thành phần Wazuh agent 34 Hình 2.4 Các thành phần Wazuh server 35 Hình 2.5 Mơ hình xây dựng Single-node clusters 37 Hình 2.6 Mơ hình xây dựng Multi-node clusters 38 Hình 2.7 Cơ chế luồng liệu giao tiếp Wazuh .38 Hình 2.8 Cấu trúc thư mục tệp lưu trữ Wazuh server 40 Hình 2.9 Cơ chế hoạt động file integrity monitoring 43 Hình 2.10 Cấu hình tần suất quét 10h 43 Hình 2.11 Cấu hình giám sát thời gian thực 43 HÌnh 2.12 Cấu hình Whodata 44 Hình 2.13 Cấu hình bỏ qua cảnh báo kiểm tra cho file 44 Hình 2.14 Cơ chế đồng mới Wazuh từ 3.12 46 Hình 2.15 Cơ chế hoạt động EFK Stack 47 Hình 2.16 Cấu trúc bên Filebeat 49 Hình 2.17 Mơ hình hệ thống có sử dụng log tập trung 51 Hình 2.18 Giao diện overview Wazuh App 52 Hình 2.19 Giao diện quản trị danh sách agent 53 Hình 2.20 Giao diện tim kiếm log 53 Hình 2.21 Giao diện quản lý rule Wazuh App 54 Hình 3.1 Kiến trúc hệ thống thực tế .57 Hình 3.2 Các thành phần hệ thống 58 Hình 3.3 Mơ hình triển khai thực nghiệm .60 Hình 3.4 Cấu hình giám sát tồn vẹn tệp tin /etc/hosts cho máy chủ thực nghiệm.62 Hình 3.5 Log kiện sau thêm custom rule 63 Hình 3.6 Chọn lỗ hổng website bWAPP 64 Hình 3.7 Cấu hình giám sát thư mục mã nguồn Website 65 Hình 3.8 Upload tệp tin chứa mã độc lên máy chủ Website 65 Hình 3.9 Truy cập vào tệp tin mã độc upload lên máy 66 Hình 3.10 Chỉnh sửa file thơng qua mã độc C99 .66 Hình 3.11 Hệ thống ghi lại thông tin file mã độc tải lên máy chủ .67 Hình 3.12 Hệ thống ghi lại có thay đổi tệp tin index.php 67 Hình 3.13 Hệ thống ghi lại thay đổi người công cho người quản trị 67 Hình 3.14 Giao diện giám sát số lượng Agent Wazuh App 68 Hình 3.15 Giao diện truy cập vào biểu đồ giám sát tệp tin Wazuh App 68 Hình 3.16 Biểu đồ thống kê số lượng thay đổi file hệ thống 68 Hình 3.17 Biểu đồ thống kê số lượng thay đổi file xuất file báo cáo .69 Hình 3.18 Giao diện truy cập bWAPP sau cài đặt 78 DANH MỤC BẢNG Bảng 1.1 So sánh nhu cầu với khả hệ thống giám sát an toàn hệ 30 Bảng 3.1 Cấu hình máy chủ triển khai thực nghiệm .59 LỜI CẢM ƠN Trong trình thực đồ án tốt nghiệp này, tơi nhận giúp đỡ tận tình cán hướng dẫn ThS Cao Minh Tuấn – Giảng viên Khoa An tồn thơng tin Học viện Kỹ thuật Mật mã, quan tâm sâu sắc cán Hệ quản lý sinh viên động viên người thân bạn bè Xin cảm ơn tất người tạo điều kiện tốt để tơi hồn thành đồ án tốt nghiệp này! SINH VIÊN THỰC HIỆN ĐỒ ÁN Phạm Ngọc An LỜI NÓI ĐẦU Ngày này, với phát triển công nghệ thông tin, hạ tầng hệ thống doanh nghiệp ngày trọng đầu tư Đi với lợi ích phát triển hạ tầng hệ thống băng thông cao, khối lượng liệu lưu trữ máy chủ lớn, đáp ứng nhu cầu người dùng, hệ thống phải đối đầu với nhiều thách thức, đặc biệt cơng bên ngồi Một giải pháp hữu hiệu để giải vấn đề thực giám sát an tồn mạng Hiện nay, cơng cụ hỗ trợ việc giám sát an toàn mạng ngày đa dạng với nhiều chức giám sát hiệu như: phát xâm nhập, lỗ hổng, giám sát, băng thơng mạng, giám sát tính tồn vẹn tệp tin, Dựa thông tin thu thập thơng qua q trình giám sát, nhân viên quản trị hệ thống phân tích, đánh giá, dự báo đưa giải pháp nhằm giải vấn đề liên quan đến đảm bảo tính tồn vẹn sẵn sàng cho hệ thống Trong việc giám sát tính tồn vẹn tệp tin tính thiết yếu Tệp tin cho biết cấu hình thực hệ thống tích hợp chức giám sát toàn vẹn tệp tin cho phép doanh nghiệp quản lí, kiểm tra, giám sát, bảo vệ tốt thay đổi cấu hình hệ thống Mục tiêu đồ án tốt nghiệp với đề tài “Phát triển tích hợp chức giám sát toàn vẹn tệp tin vào hệ thống giám sát an toàn mạng” nhằm đưa giải pháp giám sát toàn vẹn tệp tin, có tính khả dụng cao, đơn giản triển khai, đáp ứng nhu cầu cần thiết doanh nghiệp việc giám sát an toàn hệ thống Nhiệm vụ đặt thực đồ án là: Hệ thống khái quát an tồn thơng tin giới thiệu hệ thống giám sát an tồn hệ Tìm hiểu tích hợp giải pháp giám sát an toàn hệ thống Triển khai hệ thống giám sát an toàn cho hệ thống Sau thời gian ba tháng thực đồ án, mục tiêu đạt Tuy nhiên giám sát an toàn lĩnh vực phức tạp, với thời gian thực đồ án tương đối ngắn nên khơng thể tránh khỏi thiếu sót Rất mong đóng góp ý kiến thầy để đồ án hồn thiện SINH VIÊN THỰC HIỆN ĐỒ ÁN Phạm Ngọc An - Cài đặt website bWAPP1 - Thực công tải lên mã độc web shell C99 vào máy chủ website - Thông qua mã độc để chỉnh sửa tệp tin index.php máy chủ website - Kiểm tra cảnh báo thay đổi tệp tin máy chủ website ghi nhận lại Wazuh server Kibana Phần triển khai máy chủ web bWAPP chứa lỗ hổng tham chiếu phụ lục Sau thực cài đặt truy cập website chọn lỗ hổng “Unrestricted File Upload” lỗ hổng cho phép công tải lên tệp tin chứa mã độc Hình 3.33 Chọn lỗ hổng website bWAPP Cấu hình giám sát tệp tin mã nguồn web Wazuh App Trên giao diện Wazuh app thực truy cập Management - Groups - FIM - Content - Edit : agent.conf, thêm cấu hình giám sát tệp tin /var/www/html/bwapp /var/www/html (3.20) Giải thích cấu hình: Website mã nguồn mở có chứa lỗ hổng phục vụ cho việc triển khai thử nghiệm cơng 64 - check_all=”yes”: Thực kiểm tra tồn tệp tin có thư mục /var/www/html/ - realtime=”yes”: Giám sát tệp tin thư mục theo thời gian thực - report_changes=”yes”: Các cảnh báo hiển thị nội dung thay đổi cho tất tệp văn thưc mục /var/www/html/ - whodata=”yes”: Lấy thống tin người thực thay đổi hệ điều hành tệp tin Hình 3.34 Cấu hình giám sát thư mục mã nguồn Website Thực công gửi lên tệp tin mã độc C99.php lên máy chủ Website Hình 3.35 Upload tệp tin chứa mã độc lên máy chủ Website Sau tải lên tệp tin mã độc người công thực truy cập vào file mã độc thực hành vi thay đổi với hệ thống 65 Hình 3.36 Truy cập vào tệp tin mã độc upload lên máy Trong phần thực nghiệm kẻ công tìm đường dẫn đến tệp tin index.php mã nguồn web thực chỉnh sửa thêm đoạn text “ CHANGE FILE INDEX.PHP FROM C99 SHELL” Hình 3.37 Chỉnh sửa file thông qua mã độc C99 Truy cập Kibana kiểm tra cảnh báo thay đổi tệp tin thư mục mã nguồn Nhận thấy có thư mục log chứa kiện upload file mã độc ghi lại 66 Hình 3.38 Hệ thống ghi lại thơng tin file mã độc tải lên máy chủ Tìm kiếm kiện liên quan, hệ thống phát thay đổi tệp tin index.php Hình 3.39 Hệ thống ghi lại có thay đổi tệp tin index.php Kiểm tra thông tin chi tiết thay đổi log, phát thay đổi thực Hình 3.40 Hệ thống ghi lại thay đổi người công cho người quản trị 3.4 Kết giám sát tệp tin 3.4.1 Kết sau giám sát tệp tin hệ thống Sau thực cài đặt Wazuh server, ELK Stack, agent hệ thống Truy cập vào hệ thống giao diện Wazuh Kibana Hệ thống đáp ứng đủ tổng số lượng 50 Agent 67 Hình 3.41 Giao diện giám sát số lượng Agent Wazuh App Trên giao diện Overview Wazuh App truy cập Integrity monitoring Hình 3.42 Giao diện truy cập vào biểu đồ giám sát tệp tin Wazuh App Sau trình giám tệp tin hệ thống thống xuất thống số giám sát theo nhiều dạng biểu đồ giúp người quản trị nhìn tổng quan tồn thay đổi hệ thống bao gồm số lượng thực thêm, sửa, xóa tệp tin, xếp loại năm người dùng máy chủ có thay đổi tệp tin nhiều Hình 3.43 Biểu đồ thống kê số lượng thay đổi file hệ thống 68 Đồng thời giao diện quản trị hệ thống ghi lại đưa biểu đồ thống kê tệp tin có thay đổi tổng số lượng thay đổi tệp tin đó, dựa vào thơng số người giám sát an toàn phát tệp tin có thay đổi bất thường Để thực quan sát rõ có Wazuh App hỗ trợ trích xuất báo cáo dạng file excel qua đánh giá xác thay đổi hệ thống Hình 3.44 Biểu đồ thống kê số lượng thay đổi file xuất file báo cáo 3.4.2 Đánh giá hệ thống giám sát tệp tin Wazuh Hệ thống giám sát an tồn mạng Wazuh đáp ứng tiêu chí hệ thống giám sát hệ bao gồm: - Là giải pháp mã nguồn mở Wazuh cho phép tích hợp nhanh vào hệ thống doanh nghiệp - Wazuh đáp ứng nhu cầu hoạt động phức tạp hệ thống qua việc hỗ trợ thu thập log qua agent qua giao thực mạng giúp đáp ứng mơi trường doanh nghiệp có nhiều loại thiết bị khác nhau, Wazuh hỗ trợ triển khai kiến trúc cluster đảm bảo tính sẵn sàng dễ dàng mở rộng đảm bảo hiệu môi trường hệ thống lớn - Wazuh giám sát hệ thống theo thời gian thực thơng qua cấu hình real-time monitoring giúp phát nguy bất thường tức thời hệ thống - Wazuh tích hợp với hệ thống log tập trung ELK Stack giúp đảm bảo việc lưu trữ liệu thời gian dài dễ dàng tim kiếm kiện thông qua sở liệu Elasticsearch Kibana - Có hỗ trợ giao diện quản lý tập trung Wazuh App đảm bảo người quản trị thực thay đổi cấu hình, giám sát tồn hệ thống thơng qua giao diện - Hỗ trợ phân tích hệ thống thông qua quy tắc chuẩn bảo mật PCI DSS, HIPAA, GDPR, NIST 800-53 69 3.5 Kết luận chương Hệ thống thực nghiệm minh họa hoạt động hệ thống giám sát tệp tin Wazuh xây dựng thành công, đáp ứng yêu cầu đặt thực nghiệm tính giám sát tồn vẹn tệp tin tích hợp vào hệ thống quản lý log tập trung Hệ thống thực nghiệm cho thấy cách thức hoạt động tính giám sát tệp tin Wazuh, mặt khác giúp cho người chuẩn bị làm quen với hệ thống nắm bắt hoạt động hệ thống hiệu giám sát cao khả quản trị dễ dàng Wazuh 70 KẾT LUẬN Ba chương đồ án thể mục tiêu đặt thực đồ án đạt Cụ thể: Chương hệ thống lại kiến thức tổng quan an tồn thơng tin mạng Chương trạng, thách thức đề cập đến giải pháp, tiêu chí cần có nhằm đảm bảo an tồn thơng tin cho hệ thống thời kỳ công nghệ 4.0, cụ thể ứng dụng giải pháp giám sát tệp tin vào hệ thống giám sát an toàn hệ vào thực tế Chương hai trình bày giải pháp giám sát an toàn mạng hệ Wazuh, chương đề cập chủ yếu tính Wazuh, ưu nhược điểm giải pháp đặc biệt sâu vào tìm hiểu chế hoạt động tính giám sát tệp tin hệ thống giám sát mạng Wazuh Đồng thời trình bày việc tích hợp hệ thống quản trị log tập trung EFK công nghệ Wazuh App sử dụng hệ thống để quản trị tập trung Wazuh EFK stack Trong chương ba, hệ thống thực nghiệm tích hợp tính giám sát an toàn tệp tin hệ thống log tập trung EFK xây dựng thành công Giải pháp giám sát tệp tin Wazuh chọn đáp ứng yêu cầu hệ thống giám sát an toàn mạng hệ giúp người quản trị dễ dàng giám sát bất thường hệ thống Hệ thống thực nghiệm xây dựng có ý nghĩa thực tiễn để đánh giá khả phát triển tích hợp chức giám sát tồn vào hệ thống giám sát an tồn mạng Do thời gian có hạn kiến thức thân hạn chế nên đồ án số vấn đề liên quan đến giám sát toàn vẹn tệp tin hệ thống chưa giải Đồ án đề cập đến việc phát triển cấu hình hệ thống tích hợp hệ thống giám sát an toàn mạng hệ thống quản lý log tập trung, chưa đưa vấn đề áp dụng học máy phát công đưa biện pháp phịng Bên cạnh đồ án chưa phân tích vào tiêu chuẩn bảo mật PCI DSS, HIPAA, GDPR, NIST 800-53 Trong thời gian tới em phát triển chức Wazuh như: giám sát tệp tin container tự động ngăn chặn công nhằm thay đổi tệp tin quan trọng hệ thống đưa cảnh báo qua SMS, Slack, , tự động xuất báo cáo định kỳ cho người quản trị 71 TÀI LIỆU THAM KHẢO [1] Positive technologies, https://www.ptsecurity.com/ww-en/analytics/webvulnerabilities-2020/ [2] Ssl lab, https://www.ssllabs.com/ssl-pulse [3] Lưu Quý, https://vnexpress.net/ma-doc-mao-danh-van-ban-chinh-phu-vecovid-19-4066692.html [4] BKAV, https://www.bkav.com.vn/tong-ket-an-ninh-mang-nam-2019-va-dubao-2020 [5] Chien Tran, https://securitydaily.net/loi-ich-cua-mot-he-thong-giam-sat-anninh-mang-siem/ [6] Song Phương – FPT IS, https://techinsight.com.vn/he-thong-giam-sat-antoan-thong-tin-phan-1/ [7] RSA Laboratories, RSA-OAEP Encryption Scheme, 2000 [8] Đoàn Thu Hà, Đồ án “ Nghiên cứu lỗ hỏng bảo mật an tồn thơng tin”, Khoa CNTT - Trường ĐHDL Hải Phịng [9] Phan Đình Diệu (2002), Lý thuyết mật mã an tồn thơng tin, NXB Đại học Quốc gia Hà Nội [8] Julie Shafiki, https://blog.safe-t.com/4-dmz-best-practices-to-shield-youfrom-attackers [9] Barbara Filkins, An Evaluator's Guide to NextGen SIEM, An Evaluator’s,2018 [12] Visio-stencils, https://techbast.com/2019/05/visio-stencils-network-diagramthat-runs-cluster-has-firewall-ips-email-storage-wifi.html [13] SHA1 Digest of an Empty String, http://craiccomputing.blogspot.com/2009/09/sha1-digest-of-empty-string.html [14] NGUYỄN KIỀU HƯNG, https://news.cloud365.vn/firewall-phan-4-xaydung-mo-hinh-firewall-voi-firewalld-service/ [15] Alibaba Clouder, https://www.alibabacloud.com/blog/managing-yourfirewall-on-centos-7-with-firewalld_594550 [16] THỦY DIỆU, http://vneconomy.vn/gia-mao-bo-cong-an-ma-doc-gandcrab52-dang-tran-vao-viet-nam-20190315163058856.htm [15] Phan Giang, https://wazuh.com/blog/file-integrity-monitoring-and-wazuhrestful-api/ 72 PHỤ LỤC Cài đặt máy chủ Wazuh Server Thêm repo Wazuh: # rpm import https://packages.wazuh.com/key/GPG-KEYWAZUH # cat > /etc/yum.repos.d/wazuh.repo
