BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH ĐỒ ÁN TỐT NGHIỆP NGÀNH CÔNG NGHỆ THÔNG TIN NGHIÊN CỨU VÀ THỰC NGHIỆM SOC SECURITY OPERATION CENTER GVHD: NGUYỄN THỊ THANH VÂN SVTH:VIÊN MINH NHỰT MSSV:15110270 SVTH: HUỲNH MINH CHIẾN MSSV:15110166 SVTH:NGUYỄN THANH NHÃ MSSV: 15110263 SKL 0 Tp Hồ Chí Minh, tháng 06/2019 an TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP.HCM KHOA CÔNG NGHỆ THƠNG TIN BỘ MƠN MẠNG MÁY TÍNH - - VIÊN MINH NHỰT: 15110270 HUỲNH MINH CHIẾN: 15110166 NGUYỄN THANH NHÃ: 15110263 ĐỀ TÀI: NGHIÊN CỨU VÀ THỰC NGHIỆM SOC SECURITY OPERATION CENTER KHÓA LUẬN TỐT NGHIỆP KỸ SƯ CNTT GIÁO VIÊN HƯỚNG DẪN: ThS Nguyễn Thị Thanh Vân KHÓA 2015 - 2019 an ĐH SƯ PHẠM KỸ THUẬT TP.HCM XẢ HỘI CHỦ NGHĨA VIỆT NAM KHOA CNTT Độc lập – Tự – Hạnh phúc ******* ******* PHIẾU NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Họ tên Sinh viên 1: Viên Minh Nhựt MSSV 1: 15110270 Họ tên Sinh viên 2: Huỳnh Minh Chiến MSSV 2: 15110166 Họ tên Sinh viên 3: Nguyễn Thanh Nhã MSSV 3: 15110263 Ngành: Công Nghệ Thông Tin Tên đề tài: Nghiên cứu thực nghiệm SOC - Security Operation Center Họ tên Giáo viên hướng dẫn: ThS Nguyễn Thị Thanh Vân NHẬN XÉT Về nội dung đề tài & khối lượng thực ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Ưu điểm ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Khuyết điểm ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Đề nghị cho bảo vệ hay không? Đánh giá loại: Điểm: Tp Hồ Chí Minh, ngày tháng Giáo viên hướng dẫn (Ký & ghi rõ họ tên) i an năm 2019 ĐH SƯ PHẠM KỸ THUẬT TP.HCM XẢ HỘI CHỦ NGHĨA VIỆT NAM KHOA CNTT Độc lập – Tự – Hạnh phúc ******* ******* PHIẾU NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Họ tên Sinh viên 1: Viên Minh Nhựt MSSV 1: 15110270 Họ tên Sinh viên 2: Huỳnh Minh Chiến MSSV 2: 15110166 Họ tên Sinh viên 3: Nguyễn Thanh Nhã MSSV 3: 15110263 Ngành: Công Nghệ Thông Tin Tên đề tài: Nghiên cứu thực nghiệm SOC - Security Operation Center Họ tên Giáo viên hướng dẫn: ThS Nguyễn Thị Thanh Vân NHẬN XÉT Về nội dung đề tài & khối lượng thực ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Ưu điểm ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Khuyết điểm ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Đề nghị cho bảo vệ hay không? Đánh giá loại: Điểm: Tp Hồ Chí Minh, ngày tháng Giáo viên phản biện (Ký & ghi rõ họ tên) ii an năm 2019 LỜI CẢM ƠN Sau thời gian nghiên cứu, thực nghiệm với giúp đỡ giảng viên nhóm em hồn thành khóa luận tốt nghiệp Nhóm em xin bày tỏ lời cảm ơn tới giảng viên khoa Công nghệ thông tin trường Đại học Sư phạm Kỹ thuật TP HCM giúp đỡ nhóm hoàn thiện đề tài “Nghiên cứu thực nghiệm SOC Security Operation Center” Đồng thời, nhóm em xin gửi lời cảm ơn chân thành tới Ths Nguyễn Thị Thanh Vân, người trực tiếp hướng dẫn, cung cấp tài liệu, góp ý chia sẻ tận tình, dẫn dắt chúng em suốt trình nghiên cứu thực đề tài Tuy vậy, thời gian có hạn kinh nghiệm hạn chế nên báo cáo không tránh khỏi thiếu sót, hạn chế định Vì vậy, nhóm em mong nhận bảo, đóng góp ý kiến giảng viên bạn để hoàn thiện phát triển đề tài tốt tương lai Xin chân thành cảm ơn! TP Hồ Chí Minh, ngày 19 tháng năm 2019 Nhóm sinh viên thực hiện: Viên Minh Nhựt 15110270 Huỳnh Minh Chiến 15110166 Nguyễn Thanh Nhã 15110263 iii an Trường ĐH Sư Phạm Kỹ Thuật TP.HCM Khoa: CNTT ******* ĐỀ CƯƠNG KHÓA LUẬN TỐT NGHIỆP Họ tên sinh viên 1: Viên Minh Nhựt MSSV1: 15110270 Họ tên sinh viên 2: Huỳnh Minh Chiến MSSV2: 15110166 Họ tên sinh viên 3: Nguyễn Thanh Nhã MSSV3: 15110263 Thời gian làm khóa luận: từ: Đến: ……………………………… Chuyên ngành: Mạng máy tính Tên khóa luận: Nghiên cứu thực nghiệm SOC - Security Operation Center GV hướng dẫn: Ths Nguyễn Thị Thanh Vân Nhiệm vụ Khóa Luận: Trình bày tổng quan SOC (Security Operation Center) Tiến hành xây dựng hệ thống SOC (Security Operation Center) Mô tả sơ đồ, cài đặt tiến hành thực nghiệm hệ thống Kết luận Tóm tắt đề cương PHẦN 1: MỞ ĐẦU 1.1 Tính cấp thiết đề tài 1.2 Mục đích đề tài 1.3 Đối tượng nghiên cứu 1.4 Phương pháp nghiên cứu 1.5 Ý nghĩa thực tiễn đề tài Phần 2: NỘI DUNG Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER) 1.1 Giới thiệu chung Security Operations Center - SOC 1.1.1 Con người (People) 1.1.2 Quy trình (Processes) 1.1.3 Cơng nghệ (Technology) 1.2 Kiến trúc 1.3 Các thành phần quan trọng hệ thống SOC 1.3.1 Logs iv an 1.3.2 Event 1.3.3 Alerts 1.3.4 Thành phần thu thập thông tin nhật ký an ninh mạng 1.3.5 Thành phần phân tích lưu trữ 1.3.6 Thành phần quản lý tập trung 1.4 Các thành phần bảo mật mạng 1.4.1 Firewall 1.4.2 IDS/IPS 1.4.3 Anti-virus 1.4.4 SIEM Chương 2: XÂY DỰNG HỆ THỐNG SOC 2.1 Xác định đối tượng cần xây dựng bảo vệ 2.2 Xây dựng kế hoạch 2.3 Vai trò người quản trị 2.4 Quy trình giám sát hệ thống SOC 2.4.1 Khả áp dụng 2.4.2 Hoạt động giám sát 2.4.3 Luôn cập nhật thông tin 2.4.4 Duy trì nhật ký 2.5 Vận hành hệ thống SOC 2.5.1 Phản ứng với kiện cố 2.5.2 Duy trì đánh giá kiện Chương 3: THỰC NGHIỆM 3.1 Giới thiệu 3.1.1 Mơ hình thực nghiệm 3.1.2 Mơ tả 3.2 Xây dựng hệ thống 3.2.1 Xây dựng hệ thống SIEM 3.2.2 Cài đặt Anti-virus ClamAV 3.2.3 Xây dựng hệ thống Firewall – Pfsense 3.2.4 Xây dựng hệ thống IDS – Suricata 3.2.5 Cấu hình phản hồi, cảnh báo (website, email) v an 3.3 Thực nghiệm công 3.3.1 Mơ hình cơng 3.3.2 Tấn cơng ping of death 3.3.3 Port scan Nmap Attack Prevent 3.3.4 SSH Brute Force attacks 3.3.5 Tấn công MS17-010 3.3.6 SQL Injection 3.3.7 Phân tích log từ ClamAV – Antivirus 3.3.8 Phân tích log từ Firewall - Pfsense Phần 3: KẾT LUẬN 3.1 Những kết đạt 3.2 Những khó khăn thi thực đề tài 3.3 Ưu điểm 3.4 Hạn chế 3.5 Hướng phát triển tương lai TÀI LIỆU THAM KHẢO vi an KẾ HOẠCH THỰC HIỆN STT Thời gian Công việc Ghi 15 tháng – 27 tháng Tìm hiểu yêu cầu xác định Tìm tài liệu mục tiêu đề tài 28 tháng – 10 tháng Tiếp tục tìm hiểu Tìm tài liệu Viết đề cường 11 tháng – 15 tháng Viết lý thuyết chương Tìm tài liệu, xây dựng hệ thống 16 tháng – 27 tháng Hoàn thành chương 1, viết lý thuyết chương xây dựng Xây dựng hệ thống Splunk hệ thống Splunk 28 tháng – 24 tháng Tiếp tục xây dựng hệ thống Chuyển liệu thành phần – Suricata, Splunk phân tích ClamAV, Pfsense log 25 tháng – 27 tháng Xây dựng hệ thống phản hồi, Cảnh báo qua email cảnh báo 28 tháng – tháng tháng – tháng Kết nối máy – mạng Hoàn thành hệ LAN thống Hoàn chỉnh báo cáo, hệ thống Hoàn chỉnh báo cáo, hệ thống Ý kiến giáo viên hướng dẫn Ngày tháng năm 2019 Người viết đề cường (Ký ghi rõ họ tên) vii an MỤC LỤC MỤC LỤC viii DANH MỤC HÌNH ẢNH xi DANH MỤC THUẬT NGỮ VÀ VIẾT TẮT xiv PHẦN 1: MỞ ĐẦU 1.1 TÍNH CẤP THIẾT CỦA ĐỀ TÀI .1 1.2 MỤC ĐÍCH CỦA ĐỀ TÀI 1.3 ĐỐI TƯỢNG NGHIÊN CỨU 1.4 PHƯƠNG PHÁP NGHIÊN CỨU .2 1.5 Ý NGHĨA THỰC TIỄN CỦA ĐỀ TÀI .2 Phần 2: NỘI DUNG Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER) 1.1 GIỚI THIỆU CHUNG VỀ SECURITY OPERATIONS CENTER - SOC 1.1.1 Con người (People) 1.1.2 Quy trình (Processes) 1.1.3 Công nghệ (Technology) 1.2 KIẾN TRÚC 1.3 CÁC THÀNH PHẦN QUAN TRỌNG CỦA HỆ THỐNG SOC .8 1.3.1 Logs 1.3.2 Event .8 1.3.3 Alerts .9 1.3.4 Thành phần thu thập thông tin nhật ký an ninh mạng 10 1.3.5 Thành phần phân tích lưu trữ 10 1.3.6 Thành phần quản lý tập trung .10 1.4 CÁC THÀNH PHẦN BẢO MẬT MẠNG 11 1.4.1 Firewall 11 1.4.2 IDS/IPS 12 1.4.3 Anti-virus 14 1.4.4 SIEM 15 Chương 2: XÂY DỰNG HỆ THỐNG SOC 20 2.1 XÁC ĐỊNH CÁC ĐỐI TƯỢNG CẦN XÂY DỰNG VÀ BẢO VỆ 20 viii an • Ping of death • Port scan nmap attack prevent • SSH Brute force attacks • MS17-010 • SQL Injection 3.3.2 Tấn công Ping of death - Máy Kali-Attacker sử dụng công cụ hping3 Kali Linux để công “ping of death” vào vùng DMZ/Internal hệ thống - Màn hình máy cơng: • Sử dụng lệnh: hping3 –S –p 80 –flood –rand-source 192.168.222.142 • Trong đó: 192.168.222.142 ip máy nạn nhân Hình 62 Tiến hành công DDoS - Khi máy Kali-Attacker thực lệnh hping3 công vào Web Server (DMZ)/PC (Internal) Thì máy suricata (IDS) phát hiện, ghi nhận lại Logs gửi cho máy chủ Splunk - Màn hình máy Splunk sau nhận Logs phân tích Thơng tin từ Logs sau phân tích cho thấy nhiều máy có IP khác truy cập liên tục vào máy có IP hệ thống thời gian ngắn 62 an Hình 63 Splunk bắt kiện cơng DDoS Hình 64 Splunk gửi mail cảnh báo cho người quản trị Hình 65 SMS cảnh báo DDoS 3.3.3 Port scan Nmap Attack Prevent - FIN Scan: sử dụng công cụ nmap Kali Linux #nmap –sF 192.168.222.142 • Trong đó: o 192.168.222.142 ip máy nạn nhân o –sF: FIN Scan 63 an Hình 66 Tấn cơng FIN Scan • Khi máy Kali-Attacker thực FIN Scan máy hệ thống Máy IDS phát gửi Logs Splunk để phân tích • Màn hình máy Splunk Hình 67 Splunk bắt kiện FIN Scan - XMAS Tree Scan: sử dụng công cụ nmap Kali Linux #nmap –sX 192.168.222.142 • Trong đó: o 192.168.222.142 ip máy nạn nhân o –sF: Xmas Tree Scan 64 an Hình 68 Tấn cơng Xmas Tree Scan • Khi máy Kali-Attacker thực Xmas Tree Scan máy hệ thống Máy IDS phát gửi Logs Splunk để phân tích Hình 69 Splunk bắt kiện Xmas Tree Scan Hình 70 SMS gửi cảnh báo NMap 3.3.4 SSH Brute Force attacks - Sử dụng công cụ Hydra Kali Linux #hydra –l root –P /root/Desktop/pass.txt –t ssh://192.168.22.141 -V 65 an Hình 71 Tấn cơng SSH Brute Force attacks - Màn hình máy Splunk sau nhận Logs phân tích Hình 72 Splunk bắt kiện SSH Brute Force attacks 3.3.5 Tấn công MS17-010 - Sử dụng Metasploit Kali Linux - Màn hình máy Kali-Attacker: Hình 73 Kiểm tra máy nạn nhân có lỗ hổng ms17-010 hay không - Khi phát máy nạn nhân có lỗ hổng ms17-010 Tiến hành cấu hình metasploit để cơng 66 an Hình 74 Thiết lập cơng MS17-010 Hình 75 Tiến hành cơng Hình 76 Phát cơng khai thác lỗ hổng MS17-010 67 an Hình 77 SMS gửi cảnh báo công MS17-010 3.3.6 SQL Injection - Máy chủ Web Server – cài đặt DVWA (Web chứa lổ hổng) - Màn hình máy Kali-Attacker truy cập vào Web Server – DVWA Hình 78 Trang web thực thi cơng SQL • Thực chuỗi cơng: “%' or 0=0 union select null, version() +” • Kết trả username, password hình bên 68 an Hình 79 Kết cơng SQL Injection Hình 80 Splunk phát SQL Injection 3.3.7 Phân tích log từ ClamAV – Antivirus Như trình bày phần giới thiệu, cần thường xuyên update CSDL chứa mẫu nhận diện virus/malware ClamAV quét phát chúng Các file CSDL update lưu tại: #/var/lib/clamav/daily.cvd #/var/lib/clamav/main.cvd 69 an Để tiến hành quét kiểm tra thư mục ta tạo file chứa dấu hiệu virus cách copy chuỗi sau vào file X5O!P%@AP[4\PZX54(P^)7CC)7}$EICARSTANDARD-ANTIVIRUS-TEST-FILE!$H+H* Tiến hành quét thư mục /home/clamav Dữ liệu từ ClamAV chuyển Splunk Server Hình 81 Log từ ClamAV Ở ta quan tâm tới liệu có dạng: /home/clamav/TanTrongMuaBay.mp4: Eicar-Test-Signature FOUND Chú thích: /home/clamav/TanTrongMuaBay.mp4: địa file chứa dấu hiệu virus Eicar-Test-Signature: tên dấu hiệu phát virus FOUND: ClamAV phát file chứa virus Nên ta tiến hành phân tích log để lọc lấy liệu cần tìm host=clamav "FOUND" | rex field=_raw "(?(/[a-zA-Z].{1,})(\n/[a-zA-Z].{1,})?(\n/[a-zA-Z].{1,})?)" | table src _time Trong trường hợp ta quản lý nhiều file log ClamAV từ nhiều client nạp liệu cho Splunk trường hợp ta xử lý file log 70 an Hình 82 File chứa log ClamAV Để lọc liệu cần tìm ta dùng câu lệnh sau: source="/var/log/clamav/clamav.log" "FOUND" | rex field=_raw "(?(/[a-zA-Z].{1,})(\n/[a-zA-Z].{1,})?(\n/[a-zA-Z].{1,})?)" | table src _time host Lọc liệu ClamAV từ nhiều host khác Hình 83 Phân tích log ClamAV Ta định dạng lại cột thông tin hiển thị gửi mail tổng hợp báo cáo câu lệnh sau: host=clamav "FOUND" | rex field=_raw "(?(/[a-zA-Z].{1,})(\n/[a-zA-Z].{1,})?)" 71 an | eval my_time=_time | convert timeformat="%Y-%m-%d %Hh:%Mm:%Ss" ctime(my_time) | table src my_time | rename src as "Thư mục" my_time as "Thời gian" | sendemail to="hacgiayitspkt@gmail.com" from="kryptoctf@gmail.com" server="smtp.gmail.com:587" subject="Here is an email from Splunk" message="This is an example message" sendresults=true inline=true format=raw sendpdf=true Sau tổng hợp xong Splunk gữi mail thơng báo Hình 84 Nội dung mail thơng báo 72 an Hình 85 File báo cáo Splunk gữi kèm theo mail 3.3.8 Phân tích log từ Firewall – Pfsense - Trên Pfsense ta xem luồng liệu qua Hình 86 Log Pfsense 73 an Phần 3: KẾT LUẬN 3.1 NHỮNG KẾT QUẢ ĐẠT ĐƯỢC Với mục tiêu khóa luận mà giáo viên hướng dẫn đề ra, đề tài khóa luận cho nhóm chúng em có hội nghiên cứu triển khai áp dụng hệ thống SOC áp dụng Splunk vào mơ hình mạng thực tế Hiểu cách thức truyền liệu hệ thống đổ tập trung Splunk qua giao thức TCP đến port 9997, UDP đến port 514 tương ứng với hệ thống mà nhóm chúng em mơ tả Chương Có nhìn tổng quan cách thức xây hệ thống tập trung nói chung chức phận hệ thống nói riêng 3.2 NHỮNG KHÓ KHĂN THI THỰC HIỆN ĐỀ TÀI - Thiếu kinh nghiệm cho việc xây dựng hệ thống nên hệ thống cịn sơ sài - Trình độ Tiếng Anh thấp nên việc đọc tài liệu Tiếng Anh bị hạn chế 3.3 ƯU ĐIỂM - Phân tích, filter kiện gửi Splunk - Xây dựng phản hồi có kiện xảy 3.4 HẠN CHẾ Dù nhóm cố gắng tìm hiểu phát triển hệ thống cách tốt nhất, khả thân cịn hạn chế, nên khơng tránh khỏi thiếu sót, khuyết điểm: sở lý thuyết chưa sâu, chức splunk server chưa tìm hiểu hết, add-on tích hợp splunk chưa tìm tích hợp nhiều 3.5 HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI Mặc dù tồn hạn chế bên trên, với tâm nhóm, hệ thống tiếp tục nâng cấp, cải tiến nhằm tiến tới hoàn hảo 74 an TÀI LIỆU THAM KHẢO [1] https://www.mcafee.com/enterprise/en-ca/security-awareness/operations/what-is-soc.html [2] http://www.iv2-technologies.com/SOCConceptAndImplementation.pdf [3] http://www.ciscopress.com/articles/article.asp?p=2455014&seqNum=7 [4] https://blog.rapid7.com/2017/02/14/how-to-install-suricata-nids-on-ubuntu-linux/ [5] https://linoxide.com/linux-how-to/install-splunk-ubuntu/ [6] https://www.rsaconference.com/writable/presentations/file_upload/tech-203.pdf [7] https://cdn.fbsbx.com/v/t59.270821/15148672_10210764748865261_733559360227115008_n.pdf/rsa-advanced-soc-solution-sans-socroadmap-whitepaper.pdf?_nc_cat=103&_nc_oc=AQm8usmVw2rQ8dQL4mXHxp2j_rHVWtyeVX2py5apFWeqO2p 9f1jlLXeGHuB4GcX4imXOGzAAdRkKZboMMWFBCkI&_nc_ht=cdn.fbsbx.com&oh=f039f341744538275fc0f96ef8ba061a&oe=5 D2C013B&dl=1&fbclid=IwAR3Aancin_TD6_i4g6wd2N4OcqTpq0ibNbkoxv2y26JY2nIqQ2kRlIEu4 Yk 75 an S an K L 0 ... học kinh nghiệm kiến thức thông qua hoạt động thực tế hệ thống Từ lý trên, chúng em tìm hiểu nghiên cứu đề tài ? ?Nghiên cứu thực nghiệm SOC - Security Operation Center? ?? Đề tài nghiên cứu hoạt... nghiên cứu 1.4 Phương pháp nghiên cứu 1.5 Ý nghĩa thực tiễn đề tài Phần 2: NỘI DUNG Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER) 1.1 Giới thiệu chung Security Operations Center - SOC. .. tính Tên khóa luận: Nghiên cứu thực nghiệm SOC - Security Operation Center GV hướng dẫn: Ths Nguyễn Thị Thanh Vân Nhiệm vụ Khóa Luận: Trình bày tổng quan SOC (Security Operation Center) Tiến hành