Giới thiệu về bộ công cụ Security Onion, triển khai hệ thống Security Onion, hoạt động giám sát của Security Onion, Thực hiện tấn công đơn giản và giám sát trên Security Onion, bắt log và nhận cảnh báo, Nêu ra giải pháp để khắc phục sự cố
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO MƠN HỌC GIÁM SÁT & ỨNG PHĨ SỰ CỐ AN TOÀN MẠNG Đề tài: NGHIÊN CỨU VỀ SECURITY ONION TRONG GIÁM SÁT AN TOÀN MẠNG Sinh viên thực : Trình Thị Xuân – AT160460 Bùi Thị Phương Duyên – AT160410 Nguyễn Thị Thảo Hiền – AT160418 Trần Văn Chiến – AT160 Lê Văn Tiền – AT160351 Giảng viên hướng dẫn : TS Đặng Xuân Bảo Hà Nội – 2023 i LỜI NÓI ĐẦU Cùng với phát triển công nghệ thông tin, đầu tư cho hạ tầng mạng doanh nghiệp ngày tăng cao, dẫn đến việc quản trị cố hệ thống mạng gặp nhiều khó khăn Đi với lợi ích phát triển hạ tầng mạng băng thông cao, khối lượng liệu mạng lớn, đáp ứng nhu cầu người dùng, hệ thống mạng phải đối đầu với nhiều thách thức cơng bên ngồi, tính sẵn sàng thiết bị, tài nguyên hệ thống, v.v… Một giải pháp hữu hiệu để giải vấn đề thực triển khai giải pháp giám sát mạng ứng phó cố, dựa thơng tin thu thập thơng qua q trình giám sát, nhân viên quản trị mạng phân tích, đưa đánh giá, dự báo, giải pháp nhằm giải vấn đề Để thực giám sát mạng có hiệu quả, chương trình giám sát phải đáp ứng yêu cầu sau: phải đảm bảo chương trình ln hoạt động, tính linh hoạt, chức hiệu quả, đơn giản triển khai, chi phí thấp Hiện nay, có nhiều phần mềm hỗ trợ việc giám sát mạng có hiệu Nagios, Zabbix, Zenoss, Cacti, … Đề tài “Nghiên cứu Security Onion giám sát an ninh mạng” lựa chọn thực với mục tiêu nghiên cứu, tìm hiểu giải pháp giám sát mã nguồn mở giúp cho người có nhìn tổng quan hệ thống giám sát mạng hồn chỉnh, đồng thời trình bày cách thức áp dụng giải pháp vào hoạt động giám sát hệ thống - ii - MỤC LỤC LỜI NÓI ĐẦU ii CHƯƠNG 1: TỔNG QUAN VỀ SECURITY ONION 1.1 Giới thiệu Security Onion 1.2 Chức cốt lõi 1.3 Công cụ Security Onion 1.3.1 Cơng cụ phân tích 1.3.2 Công cụ hiển thị mạng 1.4 SGUIL Security Onion 1.4.1 Giới thiệu 1.4.2 Kiến trúc CHƯƠNG 2: TRIỂN KHAI HỆ THỐNG 2.1 Chuẩn bị 2.2 Thực nghiệm triển khai 2.2.1 Cài đặt công cụ Security Onion 2.2.2 Cấu hình Security Onion 12 2.2.3 Thực công phân tích cảnh báo 19 CHƯƠNG 3: HOẠT ĐỘNG VÀ GIẢI PHÁP ỨNG PHÓ SỰ CỐ SECURITY ONION TRONG GIÁM SÁT AN TOÀN MẠNG 27 3.1 Hoạt động giám sát Security Onion 27 3.2 Phát mạng điểm cuối 29 3.2.1 Phát xâm nhập mạng theo quy tắc 29 3.2.2 Phát xâm nhập mạng theo hướng phân tích (analysis-driven network intrusion detection) 31 3.2.3 Giám sát điểm cuối(endpoint) 33 - iii - 3.2.4 Công cụ Snort 35 3.3 Bắt gói tin 37 3.3.1 TCPDump 38 3.3.2 Wireshark 40 3.4 Giải pháp để ứng phó cố 42 3.4.1 Phát cố 42 3.4.2 Phân tích cố 42 3.4.3 Xác định nguyên nhân 43 3.4.4 Phân loại ưu tiên 43 3.4.5 Đưa giải pháp 43 3.4.6 Kiểm tra đánh giá 44 3.4.7 Tài liệu hóa báo cáo 44 KẾT LUẬN 45 TÀI LIỆU THAM KHẢO 46 - iv - CHƯƠNG 1: 1.1 TỔNG QUAN VỀ SECURITY ONION Giới thiệu Security Onion Security Onion phân phối Linux mã nguồn mở miễn phí để phát xâm nhập, giám sát quản lý nhật ký Nó bao gồm công cụ ELK (Elasticsearch, Logstash, Kibana), Snort, Suricata, Zeek, Wazuh, Sguil, Squert, CyberChef, Network Miner nhiều công cụ bảo mật khác Trong sơ đồ bên dưới, thấy Security Onion mạng doanh nghiệp truyền thống với tường lửa, máy trạm máy chủ Người quản trị sử dụng Security Onion để theo dõi lưu lượng truy cập từ phía bên ngồi trung tâm liệu để phát kẻ xâm nhập môi trường mạng, thiết lập lệnh kiểm soát (Command and Control) xâm nhập liệu Người quản trị muốn theo dõi lưu lượng truy cập phân vùng để để phát động thái có nguy từ bên Do ngày nhiều lưu lượng truy nhập mạng mã hóa, việc khắc phục điểm mù tới từ việc cách khả hiển thị bổ sung dạng chuẩn đoán thiết bị đầu cuối quan trọng Security Onion sử dụng nhật ký (logs) từ máy chủ máy trạm, sau tìm kiếm bao qt tồn mơi trường mạng nhật ký lưu trữ máy chủ lúc Sơ đồ hoạt động SO môi trường mạng doanh nghiệp truyền thống -1- 1.2 Chức cốt lõi Security Onion kết hợp liền mạch ba chức cốt lõi bao gồm: chụp toàn gói tin, hệ thống phát xâm nhập dựa mạng/điểm cuối cơng cụ phân tích − Chụp tồn gói: Trong Security Onion việc thực chụp tồn gói thực thơng qua netsniff-ng Netsniff-ng nắm bắt tất lưu lượng truy cập mạng mà cảm biến Security Onion nhìn thấy lưu trữ nhiều − Hệ thống phát ngăn chặn xâm nhập dựa mạng/điểm cuối: Hệ thống phát xâm nhập dựa mạng dựa điểm cuối (IDS) phân tích lưu lượng mạng hệ thống, đồng thời cung cấp liệu nhật ký cảnh báo cho kiện hoạt động phát − Cơng cụ phân tích Với tính chụp gói đầy đủ, nhật ký IDS liệu Bro, có lượng liệu khổng lồ tầm tay nhà phân tích Security Onion tích hợp công cụ Sguil, Squert, Kibana, CapMe để giúp nhà phân tích hiểu rõ liệu 1.3 Cơng cụ Security Onion Security Onion môi trường tích hợp thiết kế với mục đích đơn giản hóa việc triển khai giải pháp NSM tồn diện Các công cụ cài đặt liên kết với cách tự động chặt chẽ, giúp người dùng triển khai hệ thống NSM cách dễ dàng mà không cần nhiều thời gian cơng sức để tìm hiểu, nghiên cứu biện pháp tích hợp ghép nối cơng cụ lại với tảng 1.3.1 Công cụ phân tích Đa phần cơng cụ phân tích tích hợp Security Onion sử dụng trình duyệt Mặc định Security Onion sử dụng trình duyệt Chromium Các trình duyệt khác hoạt động, nhiên theo khuyến cáo nên sử dụng trình duyệt dựa chromium để có khả tương thích tốt -2- − Kibana: giao diện người dùng mã nguồn mở miễn phí, cho phép trực quan hóa liệu Elasticsearch điều hướng Elastic Stack − CapMe: giao diện web cho phép xem ghi PCAP hiển thị dạng tcpflow, xem ghi PCAP hiển thị Bro, tải xuống PCAP − CyberChef: ứng dụng web trực quan, đơn giản để thực tất hoạt động “cyber” trình duyệt web Các hoạt động bao gồm mã hóa đơn giản XOR Base64, mã hóa phức tạp AES, DES, tạo nhị phân, hexdumps, giải nén liệu, tính tốn băm, v.v… Cơng cụ thiết kế phép nhà phân tích kỹ thuật phi kỹ thuật thao tác liệu theo cách phức tạp mà không cần phải xử lý cơng cụ thuật tốn phức tạp − Squert: ứng dụng web sử dụng để truy vấn xem liệu kiện lưu trữ sở liệu Sguil (thường liệu cảnh báo IDS) Squert công cụ trực quan cố gắng cung cấp ngữ cảnh bổ sung cho kiện thông qua việc sử dụng siêu liệu, biểu diễn chuỗi thời gian tập kết có trọng số nhóm hợp lý − Sguil: xây dựng nhà phân tích an ninh mạng Thành phần Sguil GUI trực quan cung cấp quyền truy cập kiện thời gian thực, liệu phiên ghi gói thơ Sguil tạo điều kiện thuận lợi cho việc thực hành giám sát an ninh mạng phân tích theo hướng kiện − NetworkMiner: cơng cụ phân tích mã nguồn mở NetworkMiner sử dụng cơng cụ thu thập gói/dị tìm mạng thụ động để phát hệ điều hành, phiên, tên máy chủ, cổng mở, v.v mà không đặt tạo lưu lượng mạng mạng NetworkMiner phân tích tệp PCAP để phân tích mạng ngoại tuyến tái tạo/tập hợp lại tệp chứng truyền từ tệp PCAP − Wireshark: trình phân tích giao thức mạng hàng đầu sử dụng rộng rãi giới Nó cho phép xem xảy mạng -3- cấp độ vi mô Sự phát triển mạnh mẽ Wireshark nhờ đóng góp tình nguyện chun gia mạng toàn cầu tiếp nối dự án Gerald Combs bắt đầu vào năm 199 1.3.2 Công cụ hiển thị mạng − Snort: hệ thống ngăn chặn xâm nhập mã nguồn mở (IPS) hàng đầu giới Snort sử dụng loạt quy tắc giúp xác định hoạt động mạng độc hại sử dụng quy tắc để tìm gói phù hợp với chúng tạo cảnh báo cho người dùng Snort triển khai nội tuyến để dừng gói Snort có ba mục đích sử dụng chính: trình kiểm tra gói tcpdump, trình ghi gói - hữu ích cho việc gỡ lỗi lưu lượng mạng sử 11 dụng hệ thống ngăn chặn xâm nhập mạng tồn diện Snort tải xuống định cấu hình để sử dụng cho mục đích cá nhân doanh nghiệp − Suricata: Suricata công cụ phát mối đe dọa mã nguồn mở độc lập hàng đầu Bằng cách kết hợp phát xâm nhập (IDS), ngăn chặn xâm nhập (IPS), giám sát an ninh mạng (NSM) xử lý PCAP, Suricata nhanh chóng xác định, ngăn chặn đánh giá công tinh vi - Zeek (Bro): Zeek khung phân tích mạng mạnh mẽ khác nhiều so với IDS thơng thường mà bạn biết (Zeek tên hệ thống Bro) Zeek công cụ phân tích lưu lượng mạng mã nguồn mở thụ động Nhiều nhà khai thác sử dụng Zeek trình giám sát an ninh mạng (NSM) để hỗ trợ điều tra hoạt động đáng ngờ độc hại Zeek hỗ trợ loạt nhiệm vụ phân tích lưu lượng miền bảo mật, bao gồm đo lường hiệu suất khắc phục cố 1.4 SGUIL Security Onion 1.4.1 Giới thiệu Sguil phần mềm mã nguồn mở NSM (Network Security Monitoring) viết Bamm Visscher Sguil sử dụng để giám sát an -4- tồn mạng phân tích kiện dựa cảnh báo IDS Sguil client viết ngôn ngữ Tcl/Tk kết hợp sở liệu MySQL Hình 1.1 Giao diện Sguil 0.9.0 1.4.2 Kiến trúc Hệ thống Sguil bao gồm Sguil server số lượng tùy ý Sguil sensor Các sensor thực tất nhiệm vụ giám sát bảo mật cung cấp thông tin trở lại server cách thường xuyên Sguil server điều phối thông tin này, lưu trữ chúng sở liệu giao tiếp với client thông qua bảng điều khiển Chức thành phần hệ thống Sguil: − Sensor + Phát kiện mạng + Tải lên số liệu thống kê phiên quét cổng + Ghi lại tất lưu lượng mạng − Server + Nhận cảnh báo thống kê từ sensor + Gửi cảnh báo liệu khác tới bảng điều khiển + Nhận yêu cầu từ bảng điều khiển -5- + Theo dõi trạng thái cảnh báo − Console + Phân tích phân loại cảnh báo Hình 1.2 Mơ hình kiến trúc Sguil -6- mà nhìn thấy, cung cấp khả hiển thị đầy đủ thiết thực ngữ cảnh liệu kiện xảy với chúng bên môi trường mạng Khi Zeek hoạt động, nhận liệu từ thiết bị giám sát sử dụng cảm biến (sensor) để phân tích liệu Các cảm biến Zeek thiết kế để phát loại hoạt động khác mạng, bao gồm: • Phân tích nội dung gói tin: Zeek phân tích nội dung gói tin mạng để phát hoạt động đáng ngờ, chẳng hạn công từ chối dịch vụ (DoS) công mã độc • Phát kết nối mạng: Zeek phân tích kết nối thiết bị mạng để phát hoạt động đáng ngờ, chẳng hạn cơng từ bên ngồi vào mạng • Phân tích liệu mạng: Zeek phân tích luồng liệu mạng để phát hoạt động đáng ngờ, chẳng hạn công tràn nhớ đệm công khai thác lỗ hổng bảo mật Sau phân tích hoạt động mạng, Zeek tạo kiện (events) để ghi lại thông tin hoạt động Các kiện lưu trữ sở liệu, truy vấn sử dụng để phân tích hoạt động mạng Zeek hỗ trợ việc viết script tùy chỉnh để phân tích hoạt động mạng, giúp người dùng tùy chỉnh Zeek để phù hợp với nhu cầu họ Các script viết ngơn ngữ Lua, sử dụng để thêm chức phân tích mạng tùy chỉnh vào Zeek Không Zeek bao gồm phân tích cho nhiều giao thức phổ biến, mặc định có khả kiểm tra tổng MD5 cho lần tải xuống tệp HTTP chống lại dự án Đăng ký phần mềm mã độc Team Cymru (Team Cymru’s Malware Hash Registry project) Ngoài hoạt động ghi nhật ký phân tích lưu lượng, Zeek cung cấp nhiều giải pháp cho việc mở rộng để phân tích liệu mạng thời gian thực Khung đầu vào cho phép cung cấp liệu vào Zeek, script theo lọc - 32 - đó, ví dụ, để đọc file CSV nhân viên cấp quản lý so sáng tương khắc với hoạt động khác mạng, ví dụ hoạt động tải file thực thi (executable file) từ mạng internet xuống Framework phân tích liệu cung cấp cách thức phân tích liệu độc lập giao thức, cho phép bắt liệu chúng qua môi trường mạng tự động chuyển chúng vào môi trường sandbox file chia sẻ kiểm tra vi-rút a Hình 3.4 Phát cơng dựa sở máy chủ/đầu cuối (HIDS) 3.2.3 Giám sát điểm cuối(endpoint) Để giám sát điểm cuối, Security Onion cung cấp Wazuh, công cụ HIDS mã nguồn mở, miễn phí cho Windows, Linux Mac OS X Khi thêm lọc/bộ quét Wazuh vào điểm cuối mạng, người quản trị nắm bắt thơng tin có giá trị từ điểm cuối (endpoint) đến điểm (exit) mơi trường mạng Wazuh sử dụng nhiều phương pháp để phát cố bảo mật hệ thống mạng, bao gồm: • Giám sát kiện: Wazuh theo dõi kiện hệ thống giám sát hoạt động bất thường đáng ngờ Các kiện bao gồm tệp - 33 - thư mục tạo, sửa đổi xóa, u cầu truy cập khơng ủy quyền thao tác đăng nhập đăng xuất • Phát xâm nhập: Wazuh sử dụng công nghệ phát xâm nhập Snort Suricata để giám sát mạng phát công từ bên từ bên mạng Các công bao gồm công từ chối dịch vụ (DDoS), công đánh cắp thông tin, cơng mã độc cơng khác • Giám sát hành vi quy trình: Wazuh giám sát hành vi quy trình hệ thống để phát hoạt động đáng ngờ Các hoạt động bao gồm quy trình chạy với đặc quyền cao, hoạt động khởi động tắt dịch vụ kết nối mạng đến địa IP đáng ngờ • Phân tích ghi chép: Wazuh phân tích ghi chép hệ thống để phát hoạt động đáng ngờ Các ghi chép bao gồm lệnh dòng lệnh thực thi, kết nối mạng hành vi đáng ngờ khác Khi phát cố bảo mật, Wazuh tạo cảnh báo ghi lại thông tin chi tiết cố Các cảnh báo gửi đến hệ thống quản lý cố Sguil để xử lý mối đe dọa mạng cách nhanh chóng hiệu Wazuh thực phân tích nhật ký, kiểm tra tính tồn vẹn tệp, giám sát sách, phát rootkit, cảnh báo thời gian thực phản hồi chủ động Một bổ sung cho Security Onion osquery – công cụ mã nguồn mở miễn phí khác có chức tương tự Security Onion thu thập liệu thông qua Syslog Beats Nhưng kể từ Security Onion 2.4 Wazuh khơng thêm vào cơng cụ thay vào có nhiều cơng cụ khác Squert (một giao diện người dùng cho Snort), CapME (cơng cụ thu thập phân tích gói tin mạng), NetworkMiner (cơng cụ phân tích liệu từ gói tin mạng), nhiều cơng cụ khác để hỗ trợ việc phát phân tích cố bảo mật mạng - 34 - 3.2.4 Công cụ Snort Trong Sguil, Snort phần quan trọng việc giám sát phát hoạt động đáng ngờ mạng, tích hợp Sguil sử dụng để phát công mạng thông qua tập luật định nghĩa trước Sguil sử dụng tập luật Snort để phát mẫu hành vi đáng ngờ mạng Nếu Snort phát hoạt động đáng ngờ, tạo cảnh báo thông báo cho người quản trị mạng Các cảnh báo sau chuyển đến Squert để quản lý phân tích thêm Các tập luật Snort viết ngôn ngữ nó, gọi ngơn ngữ luật Snort (Snort rule language) Một tập luật Snort bao gồm phần sau: • Header: Định nghĩa loại tập luật, số phiên bản, tên tập luật, ngày tạo, tác giả cấp độ ưu tiên tập luật alert tcp any any -> any 80 (msg:"Possible HTTP GET Request"; flow:established,to_server; content:"GET"; nocase; http_method; depth:4; threshold:type both, track by_src, count 10, seconds 60; sid:100001; rev:1;) Phần header tập luật bao gồm: ✓ alert: Loại tập luật, trường hợp cảnh báo ✓ tcp any any -> any 80: Quy định nguồn đích lưu lượng mạng, trường hợp địa IP cổng nguồn, địa IP cổng đích cổng 80 ✓ msg: Mô tả ngắn gọn tập luật ✓ flow: Chỉ định thông tin liên quan đến luồng mạng, trường hợp gói tin TCP thiết lập đến máy chủ ✓ content: Các chuỗi liệu mà Snort tìm kiếm gói tin ✓ nocase: Chỉ định Snort khơng phân biệt chữ hoa/chữ thường ✓ http_method: Chỉ định gói tin phải yêu cầu HTTP ✓ depth: Chỉ định kích thước tối đa liệu phân tích Snort ✓ threshold: Các cài đặt ngưỡng dùng để quản lý tần suất xuất tập luật tránh việc tạo nhiều cảnh báo - 35 - ✓ sid: Mã số định danh tập luật ✓ rev: Số phiên tập luật • Protocol: Xác định giao thức mà tập luật áp dụng Các giao thức phổ biến bao gồm TCP, UDP ICMP alert icmp any any -> any any (msg:"ICMP Echo Reply Detected"; icode:0; itype:0; sid:100002; rev:1;) ✓ icmp: Giao thức mạng, trường hợp ICMP (Internet Control Message Protocol) ✓ any any -> any any: Quy định nguồn đích lưu lượng mạng, trường hợp địa IP cổng nguồn, địa IP cổng đích ✓ msg: Mơ tả ngắn gọn tập luật ✓ icode: Mã code giao thức ICMP, trường hợp (Echo Reply) ✓ itype: Mã type giao thức ICMP, trường hợp (Echo Request) ✓ sid: Mã số định danh tập luật ✓ rev: Số phiên tập luật • IP addresses port numbers: Xác định địa IP nguồn đích với số cổng nguồn đích • Rule options: Xác định tùy chọn cho tập luật, bao gồm tính đánh dấu ghi lại kiện, tùy chỉnh điều kiện kiểm tra xác định thông tin cụ thể hoạt động xâm nhập alert tcp any any -> any any (msg:"Possible SQL injection attempt"; content:"SELECT"; nocase; content:"FROM"; nocase; sid:1000001; rev:1;) Phần rule option tập luật bao gồm: msg: Mô tả ngắn gọn tập luật - 36 - ✓ content: Nội dung mà tập luật cần tìm kiếm payload gói tin, trường hợp chuỗi "SELECT" "FROM" ✓ nocase: Không phân biệt chữ hoa chữ thường nội dung tìm kiếm ✓ sid: Mã số định danh tập luật ✓ rev: Số phiên tập luật Tập luật kích hoạt cảnh báo có gói tin TCP gửi từ nguồn đến đích mạng, chứa chuỗi "SELECT" "FROM" payload Cảnh báo cho thấy có nguy cơng SQL injection Khi tập luật Snort sử dụng để phát yêu cầu đăng nhập không hợp lệ đến máy chủ web cách xác định giao thức TCP số cổng đích 80 (sử dụng HTTP) Tập luật đánh dấu ghi lại kiện liên quan đến hoạt động Đây ví dụ tập luật Snort Tập luật sử dụng giao thức TCP số cổng đích 80 (sử dụng HTTP) Tập luật phát yêu cầu đăng nhập không hợp lệ đến máy chủ web chứa chuỗi ký tự "POST", "/login.php", "username=" "password=" Nếu yêu cầu đăng nhập khơng hợp lệ tìm thấy, tập luật ghi lại kiện đánh dấu với ID số 100001 phiên alert tcp any any -> any 80 (msg:"Invalid login content:"POST"; nocase; content:"/login.php"; content:"username="; nocase; content:"password="; sid:100001; rev:1;) 3.3 attempt"; nocase; nocase; Bắt gói tin Đối với việc bắt phân tích gói tin mạng, Security Onion có sử dụng nhiều cơng cụ kể Snort, Suricata hay Zeek có hỗ trợ bắt gói tin mạng, đề cập đến hai loại cơng cụ điển hình Tcpdump – loại cơng cụ dịng lệnh Wireshark – công cụ giao diện đồ họa để bắt phân tích gói tin qua mạng - 37 - 3.3.1 TCPDump Đối với TCPDump thực thao tác dòng lệnh Để bắt gói tin đáng nghi sử dụng tùy chọn tcpdump để lọc gói tin dựa tiêu chí địa IP, cổng đích, giao thức, v.v Ví dụ, để bắt gói tin TCP đến cổng 80 địa IP đích 192.168.1.1, bạn sử dụng lệnh sau: sudo tcpdump tcp dst 192.168.1.1 and dst port 80 Khi có gói tin phù hợp với tiêu chí lọc định, tcpdump hiển thị chi tiết gói tin này, bao gồm thơng tin header payload chúng Bạn sử dụng thơng tin để phân tích gói tin xác định liệu chúng có đáng ngờ hay khơng Ví dụ: 10:53:23.456789 IP 192.168.1.100.1234 > 192.168.2.200.80: Flags [S], seq 1234, win 512, options [mss 1460] 10:53:23.567890 IP 192.168.2.200.80 > 192.168.1.100.1234: Flags [S.], seq 5678, ack 1235, win 512, options [mss 1460] 10:53:23.678901 IP 192.168.1.100.1234 > 192.168.2.200.80: Flags [.], ack 5679, win 512 Trong ví dụ này, gói tin TCP bắt tcpdump Tiêu chí lọc định gói tin đến cổng 80 địa IP đích 192.168.2.200 Các gói tin phù hợp với tiêu chí lọc bao gồm: • Gói tin số 1: gói tin SYN gửi từ địa IP nguồn 192.168.1.100 cổng nguồn 1234 tới địa IP đích 192.168.2.200 cổng đích 80 • Gói tin số 2: gói tin SYN-ACK trả lời từ địa IP đích 192.168.2.200 cổng đích 80 tới địa IP nguồn 192.168.1.100 cổng nguồn 1234 • Gói tin số 3: gói tin ACK gửi từ địa IP nguồn 192.168.1.100 cổng nguồn 1234 tới địa IP đích 192.168.2.200 cổng đích 80 - 38 - Các gói tin hiển thị terminal tcpdump chạy, giúp ta phân tích kiểm tra gói tin để xác định liệu chúng có đáng ngờ hay khơng Các gói tin cho đáng ngờ khi: • Các gói tin ICMP Echo Request đến từ địa IP không rõ ràng, gửi đến địa IP cơng khai Điều cho thấy có kiểm tra tồn thiết bị mạng • Các gói tin SYN đến từ địa IP biết đến máy chủ web công ty Nếu số lượng lớn gói tin gửi đến khoảng thời gian ngắn, cơng DDoS • Các gói tin có kích thước lớn bình thường gửi đến từ địa IP không rõ ràng Điều cho thấy có cơng tràn đệm thực • Các gói tin có chứa ký tự lạ loạt yêu cầu HTTP không hợp lệ gửi đến từ địa IP không rõ ràng Điều cho thấy có cơng mạng thực Ví dụ: Giả sử bắt gói tin tcpdump interface mạng máy tính bạn muốn lọc gói tin ICMP Bạn sử dụng lệnh sau: sudo tcpdump -i eth0 icmp Trong ví dụ này, eth0 tên interface mạng sử dụng để bắt gói tin icmp tiêu chí lọc định để bắt gói tin ICMP Nếu có gói tin ICMP gửi mạng gửi đến từ địa IP máy tính chúng ta, tcpdump bắt gói tin hiển thị nội dung Ví dụ: nội dung gói tin ICMP bắt tcpdump: 14:46:21.430080 IP 192.168.1.1 > 192.168.1.2: ICMP echo request, id 1234, seq 1, length 64 - 39 - Trong ví dụ này, 192.168.1.1 địa IP nguồn 192.168.1.2 địa IP đích gói tin Gói tin ICMP echo request, có id 1234, seq độ dài 64 Từ thơng tin trên, đánh giá xem gói tin có đáng ngờ hay khơng tiếp tục kiểm tra chi tiết khác gói tin để xác định liệu có phải công hay không 3.3.2 Wireshark Wireshark dạng cơng cụ thao tác đồ họa tích hợp cơng cụ Security Onion Nó cho phép người dùng bắt phân tích gói tin mạng để tìm kiếm vấn đề bảo mật, lỗi hệ thống, hay đơn giản để hiểu cách mạng hoạt động Trong Security Onion, Wireshark sử dụng tập tin bắt công cụ tcpdump, Snort, Suricata Zeek Nó cho phép người dùng thực phân tích gói tin mạng trực tiếp thời gian thực theo dõi kết nối mạng Bộ lọc Wireshark cho phép người dùng lọc gói tin theo tiêu chí định, giúp tìm kiếm phân tích liệu dễ dàng Các lọc cho phép lọc gói tin cần thiết cách sử dụng tiêu chí địa IP nguồn/đích, cổng nguồn/đích, giao thức, nội dung gói tin Điều giúp giảm số lượng gói tin phải xử lý tăng khả tìm kiếm cố bảo mật Để sử dụng lọc Wireshark, người dùng chọn lọc có sẵn tạo lọc tùy chỉnh Dưới số ví dụ lọc Wireshark cách chúng hoạt động: • Bộ lọc theo địa IP nguồn: để lọc gói tin từ địa IP nguồn định, ta sử dụng cú pháp sau: ip.src == - 40 - • Ví dụ: để lọc gói tin từ địa IP nguồn 192.168.1.100, ta sử dụng lọc ip.src == 192.168.1.100 • Bộ lọc theo địa IP đích: để lọc gói tin tới địa IP đích định, ta sử dụng cú pháp sau: ip.dst == Ví dụ: để lọc gói tin đến địa IP đích 8.8.8.8, ta sử dụng lọc ip.dst == 8.8.8.8 • Bộ lọc theo giao thức: để lọc gói tin theo giao thức định, ta sử dụng cú pháp sau: protocol == Ví dụ: để lọc gói tin sử dụng giao thức HTTP, ta sử dụng lọc protocol == http • Bộ lọc theo port nguồn port đích: để lọc gói tin theo port nguồn port đích, ta sử dụng cú pháp sau: tcp.port == udp.port == Ví dụ: để lọc gói tin sử dụng port nguồn 80, ta sử dụng lọc tcp.port == 80 • Bộ lọc kết hợp: người dùng kết hợp nhiều tiêu chí lọc cách sử dụng toán tử logic AND (&&) OR (||) Ví dụ: để lọc gói tin từ địa IP nguồn 192.168.1.100 sử dụng giao thức HTTP, ta sử dụng lọc ip.src == 192.168.1.100 && protocol == http Một số đặc điểm chung gói tin đáng ngờ bao gồm: • Được gửi từ đến địa IP lạ không phép truy cập • Có kích thước lớn nhỏ bình thường khơng phù hợp với loại giao thức sử dụng • Chứa chuỗi ký tự liệu khơng phù hợp độc hại • Thơng tin header không không hợp lệ Tất điều hiển thị Wireshark bắt gói tin Tuy nhiên, để đánh giá xác gói tin có phải đáng ngờ hay không, cần phải xem xét nhiều yếu tố khác áp dụng kỹ thuật phân tích mạng chuyên sâu - 41 - 3.4 Giải pháp để ứng phó cố 3.4.1 Phát cố Bước phát cố thông qua giám sát mạng hệ thống Các cơng cụ Security Onion sử dụng để phát công hoạt động đáng ngờ mạng nhiều cơng cụ tích hợp sẵn có Ví dụ: Security Onion phát cơng brute-force vào tài khoản đăng nhập hệ thống thông qua việc giám sát cổng đăng nhập (như SSH, Telnet, FTP) phân tích đăng nhập khơng hợp lệ đăng nhập thất bại liên tục Khi công brute-force thực hiện, công cố gắng đăng nhập vào tài khoản cách liên tục thử mật khác đến tìm mật xác để truy cập vào hệ thống Security Onion phát cảnh báo cố cách sử dụng công cụ giám sát Snort, Suricata Wazuh Các tập luật thiết lập trước Snort Suricata phát đặc điểm công bruteforce, chẳng hạn việc thử nhiều lần đăng nhập với tài khoản không hợp lệ, việc sử dụng mật yếu thử nhiều mật khác liên tục Khi phát cố cơng brute-force, Wazuh gửi cảnh báo đến quản trị viên thông qua email thông báo trực tiếp giao diện người dùng Wazuh Điều cho phép quản trị viên thực biện pháp để ngăn chặn công, chẳng hạn chặn địa IP cơng thiết lập sách mật mạnh cho tài khoản đăng nhập hệ thống 3.4.2 Phân tích cố Sau phát cố, phân tích cố Các ghi nhật ký, liệu gói tin tài liệu khác sử dụng để từ phân tích cố gặp phải Wireshark Snort cơng cụ giám sát mạng phân tích liệu gói tin Sau phát cố brute-force, Security Onion thực biện pháp cấm địa IP tài khoản đăng nhập đó, thơng báo cho - 42 - người quản trị mạng thực biện pháp bảo mật khác yêu cầu thay đổi mật cấu hình lại hệ thống đăng nhập 3.4.3 Xác định nguyên nhân Sau phân tích cố, xác định nguyên nhân cố Điều bao gồm xác định công mạng, lỗ hổng bảo mật vấn đề hệ thống khác Security Onion phát dấu hiệu cơng brute-force, chẳng hạn như: • Một địa IP cố gắng kết nối đến tài khoản với nhiều mật khác khoảng thời gian ngắn • Một địa IP cố gắng kết nối đến nhiều tài khoản khác với mật khác khoảng thời gian ngắn • Một địa IP cố gắng kết nối đến tài khoản với mật sai nhiều lần, sau ngừng khoảng thời gian ngắn trước tiếp tục cố gắng 3.4.4 Phân loại ưu tiên Các cố phân loại ưu tiên dựa mức độ nghiêm trọng ảnh hưởng đến hệ thống mạng Security Onion sử dụng cơng cụ phân tích xác định nguyên nhân để giúp xác định nguồn gốc công brute-force, chẳng hạn phân tích tệp nhật ký, liệu chụp gói tin tệp thống kê Từ đó, quản trị viên đưa biện pháp phịng ngừa bảo vệ hệ thống khỏi công tương tự tương lai 3.4.5 Đưa giải pháp Dựa thông tin phân tích xác định được, giải pháp biện pháp khắc phục cố đưa Việc giải cố bao gồm việc sửa lỗi, tăng cường bảo mật khắc phục vấn đề khác hệ thống - 43 - Ví dụ cơng Brute – force áp dụng số giải pháp sau: • Sử dụng mật mạnh: Sử dụng mật mạnh, phức tạp độ dài đủ lớn (ít ký tự, bao gồm chữ hoa, chữ thường, số ký tự đặc biệt) làm giảm khả bị công brute force • Tăng độ phức tạp mật khẩu: Yêu cầu người dùng thay đổi mật thường xuyên không sử dụng mật trùng với tên đăng nhập thơng tin cá nhân • Giới hạn số lần đăng nhập thất bại: Thiết lập giới hạn số lần đăng nhập thất bại để hạn chế công brute force Nếu người dùng nhập sai mật nhiều lần, hệ thống tự động khóa tài khoản khoảng thời gian định • Sử dụng captcha: Sử dụng captcha để chắn người dùng người khơng phải bot • Sử dụng mã hóa liệu: Sử dụng mã hóa liệu để bảo vệ mật truyền thông tin đăng nhập qua mạng • Sử dụng phần mềm bảo mật: Sử dụng phần mềm bảo mật để giám sát phát công brute force, với biện pháp bảo vệ khác để ngăn chặn cơng • Cập nhật phần mềm: Đảm bảo phần mềm hệ thống ứng dụng cập nhật thường xuyên để tránh lỗ hổng bảo mật công 3.4.6 Kiểm tra đánh giá Sau giải cố, biện pháp triển khai cần kiểm tra đánh giá để đảm bảo chúng đáp ứng yêu cầu tiêu chuẩn bảo mật hệ thống mạng 3.4.7 Tài liệu hóa báo cáo Cuối cùng, cố biện pháp khắc phục cần tài liệu hóa báo cáo cho bên liên quan để cung cấp thông tin tài liệu hỗ trợ cho tương lai - 44 - KẾT LUẬN Thơng qua q trình tìm hiểu ứng dụng hệ thống hoàn thành đầy đủ tiêu chí đề đề tài bao gồm: nghiên cứu triển khai hệ thống giám sát an ninh mạng cơng cụ Security Onion, tìm hiểu cách sử dụng Sguil Security Onion ứng dụng Security Onion hoạt động giám sát an ninh mạng Triển khai hệ thống thành cơng tìm hiểu sử dụng Sguil: nắm rõ chức Sguil cung cấp ứng dụng hoạt động giám sát an ninh mạng Ứng dụng hệ thống: thực nghiệm thành công việc phát phân tích cơng xảy hệ thống Bên cạnh cịn số khó khăn chưa có nhiều kinh nghiệm với thời gian có hạn, nên em chưa thể tìm hiểu tồn cơng cụ tích hợp Security Onion Định hướng phát triển tiếp tục tìm hiểu cơng cụ tích hợp Security Onion để ứng dụng hoạt động giám sát an ninh mạng Phát triển giao diện web phục vụ quản trị hệ thống thay sử dụng command Tích hợp MITRE ATT&CK Navigator để trực quan hóa khả phịng thủ hệ thống Phát triển mô-đun phát bất thường dựa liệu thu thập Cho phép tạo quy tắc áp dụng cho liệu nhật ký Nghiên cứu bổ sung khả tích với hệ thống khác SOAR, Thread Intelligent - 45 - TÀI LIỆU THAM KHẢO [1] Security Onion docmument https://onion.cover6.training/docs/index.html#document-about [2] Network Security Analysis with SGUIL https://pt.slideshare.net/mboman/sguil [3] Open Source Network Security Monitoring With Sguil https://indico.fnal.gov/event/384/contributions/83863/attachments/53398/63774 /nsm_with_sguil-2.pdf [4] Detecting and Preventing Web Application Attacks with Security Onion https://www.giac.org/paper/gcia/7994/configuring-security-onion-detectprevent-web-application-attacks/117146 [5] How to: Analysing packet captures with Security Onion https://blog.apnic.net/2019/07/09/how-to-analysing-packet-captures-withsecurity-onion - 46 -