Đang tải... (xem toàn văn)
XÂY DỰNG HỆ THỐNG BẢO VỆ VÀ CẢHN BÁO XÂM NHẬP HOSTING Modsecurity sẽ được sử dụng để minh hoạ làm thế nào bảo mật ứng dụng web sử dụng WAF. Modsecurity bảo vệ các ứng dụng web từ nhiều cuộc tấn công và cho phép giám sát lưu lượng HTTP với sự can thiệp không nhiều của cơ sở hạ tầng hiện có. Nó là một mô đun mã nguồn mở của ứng dụng máy chủ web Apache và nó đã được bảo trì bởi SpiderLabs, Trustwave
BỘ GIÁO DỤC VÀ ĐÀO TẠO XÂY DỰNG HỆ THỐNG BẢO VỆ VÀ CẢNH BÁO XÂM NHẬP HOSTING ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NHẬN XÉT Nhận xét giảng viên hướng dẫn: GIẢNG VIÊN HƯỚNG DẪN (Ký ghi rõ họ tên) LỜI CAM ĐOAN Em xin cam đoan đồ án tốt nghiệp “Xây dựng hệ thống bảo vệ cảnh báo xâm nhập Hosting cho công ty TNHH Cơng Nghệ Phẩm Ba Đình sử dụng Modseurity” cơng trình nghiên cứu thân Những phần sử dụng tài liệu tham khảo đồ án nêu rõ phần tài liệu tham khảo Các số liệu, kết trình bày đồ án hồn toàn trung thực, sai em xin chịu hoàn toàn trách nhiệm chịu kỷ luật môn nhà trường đề MỤC LỤC NHẬN XÉT DANH SÁCH CÁC THUẬT NGỮ DANH SÁCH HÌNH VẼ .10 CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 11 1.1 Lý chọn đồ án 11 1.2 Mục tiêu đồ án .12 1.2.1 Mục tiêu tổng quát .12 1.2.2 Mục tiêu cụ thể 12 1.3 Giới hạn phạm vi đồ án 13 1.3.1 Đối tượng nghiên cứu 13 1.3.2 Phạm vi nghiên cứu .13 1.4 Nội dung thực .13 1.5 Phương pháp tiếp cận 14 CHƯƠNG 2: TỔNG QUAN VỀ TƯỜNG LỬA WEBSITE 15 2.1 Tổng quan WAF .15 2.1.1 WAF 15 2.1.2 Nguyên lý hoạt động WAF .16 2.1.3 Lợi ích tường lửa ứng dụng web 17 2.1.4 Các loại tường lửa ứng dụng web 19 2.2 ModSecurity .20 2.2.1 Khái niệm ModSecurity 20 2.2.2 Các khả ModSecurity 22 2.2.3 Quy trình xử lý ModSecurity 23 2.2.4 Khuyến cáo triển khai thực tế 24 2.3 Giới thiệu Nginx .25 2.3.1 Khái niệm .25 2.3.2 Nguyên lý hoạt động 26 2.3.3 Những tính Nginx 27 2.4 Giới thiệu ELK Stask 28 2.4.1 Giới thiệu Elasticsearch 29 2.4.2 Giới thiệu Logstash 31 2.4.3 Giới thiệu Kibana .33 2.5 Quy trình làm việc 36 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG BẢO VỆ VÀ CẢNH BÁO XÂM NHẬP HOSTING CHO CƠNG TY TNHH CƠNG NGHỆ PHẨM BA ĐÌNH SỬ DỤNG MODSECURITY 38 3.1 Khảo sát hệ thống 38 3.1.1 Tổng quan Cơng Ty TNHH Cơng Nghệ Phẩm Ba Đình 38 3.1.2 Khảo sát yêu cầu công ty 40 3.2 Phân tích yêu cầu hệ thống thiết kế giải pháp triển khai hệ thống 40 3.2.1 Phân tích yêu cầu 40 3.2.2 Thiết kế sơ đồ logic cho hệ thống 41 3.2.3 Yêu cầu hệ thống 42 3.3 Triển khai hệ thống Nginx ModSecurity .42 3.3.1 Cài đặt Nginx .42 3.3.2 Cài đặt ModSecurity .45 3.3.3 Cấu hình ModSecurity – Nginx .52 3.3.4 Kiểm tra hoạt động ModSecurity - Nginx 55 3.4 Triển khai công cụ ELK Stack .56 3.4.1 Cài đặt Java .56 3.4.2 Cài đặt Elasticsearch 57 3.4.3 Cài đặt Kibana 60 3.4.4 Cài đặt Logstash 62 3.4.5 Cài đặt Filebeat (Trên máy client) 65 3.5 Giám sát bảo mật liên tục ModSecurity & ELK 66 3.5.1 Cấu hình file conf Logstash 66 3.5.2 Cung cấp liệu vào Elasticsearch .67 3.5.3 Thiết lập Kibana 68 KẾT LUẬN 71 Kết đạt đồ án 71 Hạn chế đồ án 71 Hướng phát triển đồ án 71 TÀI LIỆU THAM KHẢO .72 DANH SÁCH CÁC THUẬT NGỮ STT Từ viết tắt Cụm từ tiếng Anh CPU Central Prossesing Unit Distributed Denial of DDoS Service DNS Domain Name System ELK Elastic Stack FLV Flash Video GPL General Public License Diễn giải Trung tâm sử lý liệu Tấn công từ chối dịch vụ Hệ thống phân giải tên miền Phục vụ logging Định dạng tệp vùng chứa Giấy phép phần mềm tự Giao thức truyền tải siêu văn HTTP HyperText Transfer Protoco 10 11 12 13 IDS IP IPS JSON LAN OS 14 OSVDB Intrusion Detection Systems Internet Protocol Intrusion Prevention System JavaScript Object Notation Local Network Area Operation System OpenSource Vulnerability Hệ thống ngăn chặn xâm nhập Giao thức hướng liệu Hệ thống phát xâm nhập Dữ liệu mở JavaScript Mạng cục Hệ điều hành Lỗ hổng bảo mật có nguồn 15 OWASP Database Open Web Application gốc mở Dự án bảo mật ứng dụng web 16 PERL Security Project Practical Extraction and mở Ngôn ngữ kết xuất báo cáo 17 RAM 18 SCGI Report Language Random Access Memory Simple Common Gateway thực dụng Bộ nhớ truy cập ngẫu nhiên Giao diện cổng chung đơn 19 20 SQL SSH 21 TCP Interface Structured Query Language Secure Shell Transmission Control giản Ngôn ngữ truy vấn Đăng nhập từ xa Giao thức điều khiển truyền 22 23 24 URL Protocol Uniform Resource Locator vận Định vị tài nguyên thống WAF WSGI Web Application Firewall Web Server Gateway Tường lửa ứng dụng Giao diện cổng máy chủ Web 25 XML 26 XSS Interface eXtensible Markup Ngôn ngữ đánh dấu mở rộng Language Cross Site Scripting Tấn công mã độc DANH SÁCH HÌNH VẼ 10 CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Lý chọn đồ án Tường lửa ứng dụng web không phổ biến tường lửa mạng, đề cập đến tin tức, báo hội thảo bảo mật Các doanh nghiệp chấp nhận sử dụng cơng nghệ nâng cao an tồn web cách đáng kể Nhưng cấu hình, triển khai trì cơng nghệ khơng đơn giản Để triển khai chúng thành công, ta cần phải hiểu rõ hoạt động ứng dụng cách đầy đủ cấu hình quy tắc tường lửa cách cẩn thận Hơn nữa, chi phí để mua sản phẩm thương mại đắt đỏ, chuyên gia khuyến khích bắt đầu sử dụng với sản phẩm mã nguồn mở, chẳng hạn ModSecurity, ta đưa định, giải pháp thích hợp với ngân sách mơi trường mạng bạn Trong vài năm gần đây, lỗ hổng ứng dụng web trở thành mối đe dọa lớn môi trường công nghệ thông tin Theo sở liệu lổ hổng mã nguồn mở (OSVDB), mối đe dọa ứng dụng web chiếm 50% tất lỗ hổng năm 2010 Do đó, bảo mật ứng dụng web trở thành vấn đề quan trọng mà bạn cần phải ý người dùng cuối người kinh doanh Tường lửa ứng dụng web (WAF) dạng tường lửa nhằm lọc lưu lượng HTTP dựa tập quy tắc Nó kiểm tra mức ứng dụng thường kèm thiết bị mơ đun máy chủ, có chức xác định ngăn chặn công web phổ biến cross-site scritpting (XSS) SQL injection việc tùy chỉnh quy tắc Do đó, việc tùy chỉnh quy tắc đáng quan tâm u cầu bảo trì cao Có nhiều cách để bảo vệ ứng dụng web, chẳng hạn thực đoạn mã an tồn, quản lý cấu hình an toàn, thực đánh giá lỗ hổng triển khai tường lửa ứng dụng web, khơng có giải pháp hoàn hảo, việc sử dụng tường lửa ứng dụng web phương thức bảo mật ứng dụng Kỹ thuật 11 Start enable Elasticserach sudo systemctl enable elasticsearch.service Hình 28 Enable Elasticsearch sudo systemctl start elasticsearch.service sudo systemctl status elasticsearch.service Hình 29 Start Elasticsearch Mở web browser http://localhost:9200/ 59 Hình 30 http://ip_elasticsearch:9200/ 3.4.3 Cài đặt Kibana Cài đặt Kibana wget https://artifacts.elastic.co/downloads/kibana/kibana-7.6.2amd64.deb Hình 31 Truy cập nguồn download Kibana sudo dpkg -i kibana-7.6.2-amd64.deb 60 Hình 32 Cài Kibana Cấu hình file Kibana sudo nano /etc/kibana/kibana.yml Hình 33 Cấu hình file Kibana.yml Start enable Kibana sudo systemctl enable kibana.service sudo systemctl start kibana.service 61 sudo systemctl status kibana.service Hình 34 Enable start Kibana Mở web browser http://server_ip:5601/ Hình 35 http://server_ip:5601/ 3.4.4 Cài đặt Logstash Cài đặt Logstash cd /tmp 62 wget https://artifacts.elastic.co/downloads/logstash/logstash-7.6.2.deb Hình 36 Truy cập nguồn download Logstash sudo dpkg -i logstash-7.6.2.deb Hình 37 Cài Logstash Cấu hình file Logstash sudo nano /etc/logstash/logstash.yml 63 Hình 38 Cấu hình file Logstash.yml Start enable Logstash sudo systemctl enable logstash.service sudo systemctl start logstash.service sudo systemctl status logstash.service 64 Hình 39 Enable start Logstash 3.4.5 Cài đặt Filebeat (Trên máy client) Cài đặt Filebeat wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.6.2amd64.deb Hình 40 Truy cập nguồn download Filebeat sudo dpkg -i filebeat-7.6.2-amd64.deb Hình 41 Cài Filebeat Cấu hình filebeat 65 Hình 42 Cấu hình file Filebeat.yml Start enable filebeat sudo systemctl enable filebeat.service sudo systemctl start filebeat.service sudo systemctl status filebeat.service Hình 43 Enable start Filebeat 3.5 Giám sát bảo mật liên tục ModSecurity & ELK 3.5.1 Cấu hình file conf Logstash 66 Các tệp cấu hình logstash có định dạng JSON nằm “/etc/logstash/conf.d” Tệp cấu hình bao gồm ba phần: đầu vào, lọc đầu Tôi tạo tệp cấu hình “beat-input.conf” sau tơi thiết lập đầu vào “Filebeat”: Hình 44 Cấu hình file beat-input.yml 3.5.2 Cung cấp liệu vào Elasticsearch Sau thứ thiết lập, liệu phân tích cú pháp gửi vào máy chủ Elasticsearch, máy chủ lập mục phân tích liệu cách nhanh chóng Tiếp theo thiết lập Elasticsearch với Kibana để trực quan hóa 67 Hình 45 Cung cấp liệu vào Elasticsearch 3.5.3 Thiết lập Kibana Để lấy liệu từ Elasticsearch, trước tiên, cần tạo "Mẫu mục" Kibana làm theo bước hiển thị hình ảnh bên dưới: Bước 1: Tạo mẫu mục cách xác định mẫu logstash- * trường mẫu mục 68 Hình 46 Tạo mục Bước 2: Tiếp theo, cung cấp @timestamp vào trường lọc thời gian, thao tác đảm bảo lọc liệu bạn theo thời gian Hình 47 Cung cấp @timestamp Bước 3: Nhấp vào biểu tượng “Khám phá” để xem nhật ký bạn 69 Hình 48 Xem nhật ký Modsecurity 70 KẾT LUẬN Kết đạt đồ án - Tổng quan hệ thống bảo mật ModSecurity cho công ty TNHH Công Nghệ phẩm Ba Đình - Khảo sát phân tích trạng hệ thống mạng, máy chủ, ứng dụng Công ty TNHH Cơng Nghệ phẩm Ba Đình - Đề xuất hệ thống cảnh báo ngăn chặn xâm nhập Hosting cho Webserver cơng ty - Đưa quy trình cách thức quản trị hệ thống WAF - Thực nghiệm sử dụng hệ thống Nginx ModSecurity cho công ty TNHH Cơng Nghệ phẩm Ba Đình Hạn chế đồ án Các liệu giả định Hướng phát triển đồ án Nghiên cứu sâu WAF đặc biệt ModSecurity 71 TÀI LIỆU THAM KHẢO [1] ModSecurity for Apache User Guide http://www.modsecurity.org/documentation/modsecurity-apache-manual1.9.2.html [2] Modsecurity Rules Project http://www.modsecurity.org/projects/rules/index.html [3] Gotroot mod_security rules http://www.gotroot.com/tiki-index.php?page=mod_security+rules [4] Ivan Ristic, Apache Security – O’reilly 2005, ISBN 0-596-00724-8 [5] Ryan C Barnett, Preventing Web Attack with Apache, Addíon Wesley Professional 2006, ISBN 0-321-32128-2 [6] Magnus Mischel, Modsecurity 2.5, 2009 Packt Publishing [7] ModSecurity® Reference Manual, Version 2.5.12 (Feb 3, 2010) Copyright © 2004-2010 Breach Security, Inc (http://www/breach.com) 72 ... CHƯƠNG 3: XÂY DỰNG HỆ THỐNG BẢO VỆ VÀ CẢNH BÁO XÂM NHẬP HOSTING CHO CÔNG TY TNHH CÔNG NGHỆ PHẨM BA ĐÌNH SỬ DỤNG MODSECURITY 3.1 Khảo sát hệ thống 3.1.1 Tổng quan Công Ty TNHH Công Nghệ Phẩm Ba... truyền thống không đủ mạnh để để bảo vệ web server ModSecurity cho phép bảo vệ web server (một/nhiều) thông qua chế can thiệp trực tiếp mức độ ứng dụng 12 Xây dựng hệ thống bảo vệ cảnh báo xâm nhập. .. việc 36 CHƯƠNG 3: XÂY DỰNG HỆ THỐNG BẢO VỆ VÀ CẢNH BÁO XÂM NHẬP HOSTING CHO CÔNG TY TNHH CƠNG NGHỆ PHẨM BA ĐÌNH SỬ DỤNG MODSECURITY 38 3.1 Khảo sát hệ thống 38 3.1.1 Tổng