BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ *** GIÁM SÁT VÀ ỨNG PHÓ SỰ CỐ ATTT Đề tài Sử dụng AlienVault tân công khai thc một l hng MS lên my mục tiêu WinServer 2008 Ngành An toàn thông tin Sin[.]
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ *** GIÁM SÁT VÀ ỨNG PHÓ SỰ CỐ ATTT Đề tài: Sử dụng AlienVault tân công khai thc l hng MS lên my mục tiêu WinServer 2008 Ngành: An tồn thơng tin Sinh viên thực hiện: Bế Xuân Vũ – AT160360 Nguyễn Văn Mạnh – AT160334 Phạm Văn Đồng – AT160611 Giảng viên hướng dẫn: TS.Đặng Xun Bảo Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã LỜI NÓI ĐẦU Hiện với phát triển mạnh mẽ khoa học kỹ thuật nói chung cơng nghệ thơng tin nói riêng, việc ứng dụng công nghệ thông tin, Internet ngày trở lên phổ biến đời sống ngày hầu hết lĩnh vực Song song với phát triển hàng loạt nguy an tồn thơng tin Trong năm gần đây, website internet, liệu cá cá nhân, tổ chức, phủ … bị nhiều đợt cơng tội phạm mạng Có nhiều website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều liệu quan trọng bị đánh cắp Những vụ công gây thiệt hại nghiêm trọng có tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Vấn đề đảm bảo an tồn thơng tin ln quan, tổ chức đặt lên hàng đầu Tuy nhiên hàng năm vụ công mạng liên tục gia tăng mà chưa có biện pháp khắc phục hiệu Để đảm bảo tốt cho hệ thống mạng tránh khỏi đợt cơng chủ động phát công đưa phản ứng thích hợp Để làm cần phải có hệ thống có khả giám sát tồn hành động vào bất thường bên hệ thống mạng cần bảo vệ, có vấn đề công cụ bảo vệ hệ thống triển khai nước ta hầu hết mua nước với giá thành cao khó khăn lớn tổ chức vừa nhỏ Mặt khác sản phẩm thương mại nên công nghệ kỹ thuật hệ thống ln ln giữ kín phát sinh dạng công mới, nhà quản trị nước tự phát triển mở rộng Để giảm bớt khó khăn cho quan, tổ chức vừa nhỏ việc giám sát bảo vệ hệ thống mạng cách hiệu Tôi chọn đề tài “Sử dụng AlienVault công khai thác lỗ hổng MS lên máy mục tiêu WinServer 2008” CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CƠNG MẠNG 1.1 Tân cơng mạng my tính 1.1.1 Khi niệm tân cơng mạng Tấn cơng mạng hoạt động có chủ ý kẻ phạm tội lợi dụng lỗ hổng hệ thống thơng tin tiến hành phá vỡ tính sẵn sàng, tính tồn vẹn tính bí mật ̣thống thông tin 1.1.2 L hng bảo mật Lỗ hổng bảo mật lỗi phần mềm, lỗi đặc điểm kỹ thuật thiết kế, đa số lỗi lập trình Cấu trúc phần mềm thiết kế người, dịng code viết người, việc xuất lỗi tránh khỏi Đây lỗ hổng nằm ủ hệ thống phần mềm, đợi đến bị phát Khi đó, chúng dùng để công vào hệ thống Các lỗ hổng bảo mật hệ thống điểm yếu tạo ngưng trệ dịch vụ, thêm quyền người sử dụng cho phép truy nhập không hợp pháp vào hệ thống Các lỗ hổng nằm dịch vụ cung cấp sendmail, web, ftp Ngoài lỗ hổng cịn tồn tại hệ điều hành Windows, UNIX; ứng dụng mà người sử dụng thương xuyên sử dụng Phân loại lỗ hổng bảo mật : - Lỗ hổng loại C: Các lỗ hổng loại cho phép thực phương thức công theo Dos Mức độ nguy hiểm thấp, ảnh hưởng tới chất lượng dịch vụ, làm ngưng trệ, gián đoạn hệ thống.Khơng làm phá hỏng liệu đạt quyền truy nhập bất hợp pháp - Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm quyền hệ thống mà không cần thực kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình; Những lỗ hổng thường có ứng dụng hệ thống, dẫn đến lộ thơng tin yêu cầu bảo mật - Lỗ hổng loại A: Các lỗ hổng cho phép người sử dụng ngồi truy nhập vào hệ thống bất hợp pháp Lỗ hổng nguy hiểm, làm phá hủy toàn hệ thống Các lỗ hổng loại thường xuất hệ thống quản trị yếu khơng kiểm sốt cấu hình mạng 1.1.3 Một số dâu hiệu pht hệ thống bị tân công - Kiểm tra dấu hiệu hệ thống bị công: Hệ thống thường bị treo thường xuyên xuất thơng báo lỗi khơng rõ ràng Khó xác định nguyên nhân thiếu thông tin liên quan Trước tiên, xác định nguyên nhân có phải phần cứng hay khơng, khơng phải hệ thống bị công - Kiểm tra tài khoản người dùng hệ thống: Một số tài khoản lạ, ID tài khoản - Kiểm tra xuất tập tin lạ Thông thường phát xuất tập tin lạ thông qua cách đặt tên tập tin Người quản trị hệ thống cần có thói quen đặt tên tập tin theo quy luật định để dễ kiểm soát phát tập tin lạ - Kiểm tra thời gian thay đổi hệ thống, đặc biệt chương trình login - Kiểm tra hiệu hệ thống: Sử dụng tiện ích theo dõi tài ngun tiến trình hoạt động hệ thống - Kiểm tra hoạt động dịch vụ mà hệ thống cung cấp: Một mục đích cơng làm cho tê liệt hệ thống, hình thức cơng Dos Sử dụng tiện ích mạng để phát nguyên nhân hệ thống - Kiểm tra truy cập hệ thống tài khoản thơng thường, đề phịng trường hợp tài khoản bị truy cập trái phép thay đổi quyền truy cập mà người sử dụng hợp pháp khơng kiểm sốt - Kiểm tra tệp tin có liên quan đến cấu hình mạng dịch vụ Nên loại bỏ dịch vụ không cần thiết Nếu không loại bỏ dịch vụ nên chạy quyền root, không nên chạy quyền yếu Các biện pháp kết hợp với tạo nên sách bảo mật hệ thống 1.2 Hệ thống pht ngăn chặn xm nhập IDS/IPS 1.2.1 Hệ thống pht xm nhập IDS Do nguy hiển tổn thất đến từ công mạng ngày gia tăng nên cần xây dựng hệ thống phát xâm nhập (IDS) để phát dấu hiệu bất thường, cảnh báo có biểu bất thường giám sát hoạt động vào hệ thống để phân tích ngăn chặn kịp thời Intrusion Detection Systems (IDS) thiết bị phần cứng (các thiết bị phát xâm nhập Cisco (Cisco IDSM-2 Cisco IPS 4200 Series Sensors)) ứng dụng phần mềm giúp giám sát máy tính, hệ thống mạng trước hành động đe dọa đến hệ thống vi phạm sách an ninh báo cáo lại cho người quản trị hệ thống Một hệ thống phát xâm nhập cài đặt hệ thống mạng giống hệ thống cảnh báo chống trộm nhà Một số hệ thống phát xâm nhập cịn kiêm ln chức ngăn chặn mối đe dọa nhiên điều khơng cần thiết khơng phải chức của hệ thống phát xâm nhập Một hệ thống phát xâm nhập “xác định” mối nguy hại, “ghi” lại thơng tin chúng sau “báo cáo” lại thơng tin IDS phân loại theo chức thành loại Network-based IDS Host-based IDS Mỗi loại có cách tiếp cận riêng biệt để theo dõi bảo vệ liệu loại có ưu nhược điểm riêng 1.2.2 Hệ thống ngăn chặn xm nhập IPS Hệ thống ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe dọa công việc loại bỏ lưu lượng mạng bất hợp pháp, cho phép hoạt động hợp pháp tiếp tục IPS ngăn chặn công dạng sau: - Ứng dụng không mong muốn công kiểu “Trojan horse” nhằm vào mạng ứng dụng cá nhân, qua việc sử dụng nguyên tắc xác định danh sách kiểm sốt truy nhập - Các cơng từ chối dịch vụ “lụt” gói tin SYN ICMP việc dùng thuật toán dựa sở “ngưỡng” - Sự lạm dụng ứng dụng giao thức qua việc sử dụng qui tắc giao thức ứng dụng chữ kí - Những cơng tải hay lạm dụng ứng dụng việc sử dụng giới hạn tài nguyên dựa sở ngưỡng Các sản phẩm IPS nhận biết trạng thái tầng ứng dụng (chỉ nhận biết dịng thơng tin tầng mạng) Do công tầng ứng dụng không bị phát ngăn chặn CHƯƠNG PHÁT HIỆN TẤN CÔNG MẠNG VỚI CÔNG NGHỆ SIEM 2.1 Giới thiệu công nghệ Siem Hệ thống mạng ngày phát triển, số nhu cầu đặt như: Làm để quản lý nhiều thiết bị, việc quản lý thông tin kiện an ninh hệ thống vận hành tốt an tồn Đó câu hỏi mà nhà nghiên cứu hay quản trị viên an ninh mạng tìm câu trả lời cho tối ưu Đã có nhiều thiết bị IDS, IPS đời nhằm trả lời điều Nhưng hầu hết thiết bị hoạt động riêng lẻ, quản lý tập chung khơng có, tương quan liên kết kiện an ninh khơng có, bên cạnh việc đảm bảo tn thủ an ninh cịn hạn chế mệt mỏi để hoàn thành báo cáo tình trạng an ninh hệ thống Một số giải pháp trước công nghệ Siem đời: - Giải pháp quản lý an ninh thông tin - Security information management (SIM) SIM giải pháp công nghệ giải pháp giám sát an ninh mạng Ban đầu giải pháp SIM có khả lưu trữ nhật ký kiện an ninh cho hệ thống mạng (đây chức giải pháp giám sát an ninh nay) Hạn chế giải pháp khơng có khả phân tích kiện an ninh mà thực việc lưu trữ chúng Các nhật ký chủ yếu từ: Hệ Thống máy chủ, ứng dụng, thiết bị network từ thiết bị chuyên Security Các thành phần SIM bao gồm: Thành phần thu thập nhật ký, thành phần lưu trữ - Giải pháp quản lý kiện an ninh - Security event management (SEM) SEM thực việc xử lý log kiện an ninh từ thiết bị gửi bao gồm: Các thiết bị mạng (network devices), máy chủ (Server), ứng dụng theo thời gian thực nhằm thực việc việc theo dõi kiện an ninh xẩy hệ thống, phân tích tính tương quan thực hành động nhằm đảm bảo an toàn cho hệ thống Các thành phần hệ thống bao gồm: Thành phần thu thập nhật ký, thành phần phân tích nhật ký Ngồi cịn có thành phần khác như: thành phần quản lý phản ứng trước mối đe dọa (Threats Response Management), module tạo báo cáo (Complaince Report) - Giải pháp quản lý đăng nhập - Log Management System (LMS) LMS hệ thống thu thập lưu trữ tập tin đăng nhập (từ hệ điều hành, ứng dụng, vv) Thông tin tập trung thu thập từ nhiều nguồn Người quản trị thay phải kiểm tra hệ thống riêng lẻ quản trị tập trung điểm - Tương quan kiện an ninh - Security Event Correlation (SEC) SEC giải pháp tương quan kiện an ninh thu thập theo quy tắc cài đặt nhằm tăng giảm mức cảnh báo kiện an ninh - Giải pháp quản lý thông tin kiện an ninh - Security information and event management (SIEM) Giải pháp quản lý thông tin kiện an ninh giải pháp bảo mật an ninh cung cấp nhìn tổng thể hệ thống công nghệ thông tin tổ chức SIEM kết hợp giải pháp nêu Log từ thiết bị tạo ngày nhiều (Có thể hàng trăm triệu ghi log ngày) quản trị viên hay cơng cụ trước khó phân tích cách nhanh chóng, xác SIEM cung cấp việc tích hợp liệu quản lý file log từ nhiều nguồn, bao gồm mạng, máy chủ, sở liệu, ứng dụng, cung cấp khả hợp liệu để tránh kiện quan trọng Giải pháp Quản lý phân tích kiện an tồn thơng tin giải pháp toàn diện hoàn chỉnh, cho phép quan, tổ chức thực việc giám sát kiện an tồn thơng tin cho hệ thống Các thành phần SIEM bao gồm: thu thập nhật ký, phân tích lưu trữ, quản trị tập trung Nguyên lý SIEM thu liệu kiện an ninh từ nhiều thiết bị khác vị trí khác hệ thống dễ dàng phân tích, theo dõi tất liệu vị trí để phát xu hướng theo dõi dấu hiệu bất thường SIEM thu thập Log tài liệu liên quan đến an ninh khác để phân tích, tương quan liên kết SIEM làm việc thu thập Log kiện an ninh thông qua Agent Từ người dùng đầu cuối, máy chủ, thiết bị mạng chí thiết bị an ninh chuyên nghiệp Firewall, AntiVirus hệ thống phòng chống xâm nhập Các thiết bị thu thập thông tin chuyển tiếp thơng tin tới trung tâm nhằm chuẩn hóa, quản lý tập trung, phân tích, tương quan kiện an ninh Tiếp sau xác định kiện bất thường thông báo tới quản trị viên SIEM sử dụng nhằm theo dõi, xác định, quản lý hệ thống tài sản ứng phó với cố an ninh Một số kiện an ninh công từ chối dịch vụ (DoS), công có chủ ý, cơng mã độc hại phát tán virus SIEM xác định mà không dễ phát thiết bị khác Nhiều kiện khó phát bị che khuất hàng ngàn kiện an ninh khác giây Bên cạnh SIEM phát kiện an ninh khó phát hành vi vi phạm sách, cố gắng truy cập trái phép phương thức công kẻ cơng có trình độ cao xâm nhập vào hệ thống Một mục tiêu quan trọng cho nhà phân tích an ninh sử dụng SIEM giảm số lượng cảnh báo giả Hệ thống an ninh cho yếu kém, chẳng hạn hệ thống phát xâm nhập (IDS) thường có cảnh báo nhiều kiện giả Nhiều cảnh báo gây lãng phí thời gian, cơng sức nhà phân tích an ninh thường tập trung ý vào cảnh báo Điều làm cho nhà phân tích lại bỏ qua cảnh báo quan trọng Với hệ thống SIEM, việc giảm cảnh báo giả thực cách cẩn thận lọc quy tắc tương quan liên kết thông tin kiện an ninh với Điều xác định cảnh báo xác có kiện an ninh bất chấp số lượng lớn kiện an ninh SIEM cung cấp dịch vụ sau: - Quản lý nhật ký kiện an ninh (Log management) - Tuân thủ quy định CNTT (IT regulatory compliance) - Tương quan liên kết kiện an ninh (Event correlation) - Cung cấp hoạt động ứng phó (Active response) - Đảm bảo an ninh thiết bị đầu cuối (Endpoint security) 2.2 Thành phần hoạt động Siem SIEM bao gồm nhiều phần, phần làm công việc riêng biệt Mỗi thành phần hệ thống hoạt động độc lập với thành phần khác tất không hoạt động lúc khơng có hệ thống SIEM hiệu Tùy thuộc vào hệ thống sử dụng SIEM ln ln có thành phần cơ mô tả phần Bằng hiểu biết phần SIEM cách thức hoạt động, quản lý cách hiệu khắc phục cố vấn đề phát sinh Việc quan trọng thực triển khai SIEM cần phải hiểu làm việc Đối với nhà cung cấp khác có đơi chút khác chúng dựa khái niệm cốt lõi Thành phần thu thập thông tin, phân tích lưu trữ Các ghi Log thu thập từ thiết bị khác chúng có định dạng theo loại thiết bị Chúng ta cần thu thập chuyển định dạng chung Quá trình gọi chuẩn hóa liệu Sau tiến hành phân tích từ liệu thực tương quan kiện an ninh để đưa tới kết luận có cơng hay khơng Các thơng tin môi trường mạng mối đe dọa phổ biến có ích giai đoạn Việc đưa cảnh báo báo cáo tạo kết việc phân tích Các ghi Log lưu trữ trực tiếp SIEM vài đồng hồ sau chuyển tới nơi lưu trữ lâu dài để phục vụ cho trình điều tra sử dụng sau 2.2.1 Thiết bị Nguồn Thành phần Siem thiết bị đầu vào cung cấp liệu cho Siem Thiết bị nguồn thiết bị thực tế hệ thống mạng Router, Switch số loại máy chủ ghi log từ ứng dụng liệu Việc biết có hệ thống quan trọng việc triển khai SIEM Hiểu rõ nguồn mà muốn lấy bản ghi log giai đoạn đầu giúp tiết kiệm công sức, số tiền đáng kể giảm phức tạp triển khai Hệ điều hành: Microsoft Windows biến thể Linux UNIX, AIX, Mac OS hệ điều hành thường hay sử dụng Hầu hết hệ điều hành vê công nghệ khác thực nhiệm vụ điều mà tất có điểm chung chúng tạo ghi log Các ghi log cho thấy hệ thống bạn làm gì: Ai người đăng nhập, làm hệ thống Các ghi log tạo hệ điều hành hệ thống người sử dụng hoạt động hữu ích tiến hành ứng phó cố an ninh chẩn đốn vấn đề việc cấu hình sai Thiết bị: Hầu hết thiết bị hộp đen, quản trị hệ thống khơng có quyền truy cập trực tiếp vào hệ thống để thực số việc quản lý Nhưng quản lý thiết bị thông qua giao diện Giao diện dựa web, dịng lệnh chạy qua ứng dụng tải máy trạm quản trị viên Hệ điều hành thiết bị mạng chạy hệ điều hành thơng thường, chẳng hạn Microsoft Windows phiên Linux, hệ điều hành riêng biệt Ví dụ router switch Nó phụ thuộc vào nhà cung cấp, khơng truy cập trực tiếp vào hệ thống điều hành mà có thẻ truy cập vào thơng qua dịng lệnh giao diện web sử dụng để quản lý Các thiết bị lưu trữ ghi log chúng hệ thống thường cấu hình để gửi ghi thông qua syslog FTP Ứng dụng: Chạy hệ điều hành ứng dụng sử dụng cho loạt chức Trong hệ thống có hệ thống tên miền (DNS), dịch vụ cấp phát địa động (DHCP), máy chủ web, hệ thống thư điện tử vô số ứng dụng khác Các ghi ứng dụng chứa thông tin chi tiết tình trạng ứng dụng, ví dụ thống kê, sai sót, thơng tin tin nhắn Một số ứng dụng sinh ghi log có ích cho 2.2.2 Thu thập Log SIEM thu thập ghi Log từ nhiều thiết bị khác nhau, việc truyền ghi log từ thiết bị nguồn tới SIEM cần giữ bí mật, xác thực tin cậy việc sử dụng syslog giao thức SNMP, OPSEC, SFTP, IDXP Sau ghi log chuẩn hóa đưa định dạng Nếu thiết bị không hỗ trợ syslog hay giao thức cần phải sử dụng Agent Đó điều cần thực để thực việc lấy ghi log có định dạng mà SIEM hiểu Việc cài đặt Agent kéo dài q trình triển khai SIEM có ghi log theo dạng chuẩn mong muốn Khi kiện an ninh gửi đến máy chủ, mức độ ưu tiên định dạng theo chuẩn từ đến Người quản trị điều chỉnh giá trị mặc định thơng qua bảng tiêu chuẩn sách ưu tiên Chính sách thu thập thơng tin: Có thể thiết lập sách ưu tiên thu thập cảm biến để lọc củng cố thông tin kiện an ninh trước gửi chúng đến máy chủ Kỹ thuật cho phép người quản trị để điều tiết kiện an ninh quản lý thông tin, không nhiều kiện an ninh hệ thống mạng làm cho lúng túng không Cơ chế thu thập ghi log phụ thuộc vào thiết bị có phương thức thu thập sau: Push log: Các ghi log thiết bị nguồn gửi SIEM Phương pháp có lợi ích: Dễ dàng cài đặt cấu hình Thơng thường, cần thiết lập tiếp nhận sau kết nối thiết bị nguồn đến phận tiếp nhận Ví dụ syslog Khi cấu hình thiết bị nguồn sử dụng syslog, thiết lập địa IP DNS tên máy chủ syslog mạng thiết bị tự động gửi ghi thơng qua syslog Tuy nhiên phương pháp cịn số nhược điểm Ví dụ, sử dụng syslog môi trường UDP Bản chất vốn việc sử dụng syslog mơi trường UDP có nghĩa khơng đảm bảo gói tin đến đích, UDP giao thức khơng hướng kết nối Nếu tình xảy mạng chẳng hạn loại virus mạnh mạng, khơng nhận gói tin syslog Một vấn đề phát sinh khơng đặt quyền điều khiển truy cập thích hợp máy thu nhận ghi log cấu hình sai có phần mềm độc hại làm tràn ngập thơng tin sai lệch Điều làm cho kiện an ninh khó phát Nếu cơng có chủ ý nhằm chống lại SIEM kẻ xấu làm sai lệch thơng tin và thêm liệu rác vào SIEM Do hiểu biết thiết bị gửi ghi log cho SIEM điều quan trọng Prebuilt Log collection: Tùy thuộc vào SIEM, thường có phương pháp xây dựng sẵn có sẵn để lấy ghi từ thiết bị ứng dụng Ví dụ, trỏ máy chủ SIEM chạy sở liệu Oracle cung cấp cho thông tin sở liệu SIEM SIEM có phương pháp xác thực quy tắc (Rules) xây dựng để lấy thông tin từ sở liệu Oracle Ví dụ làm cho việc lấy ghi từ thiết bị nguồn dễ dàng Nhưng ứng dụng mà muốn lấy ghi log khơng có phương pháp hay quy tắc xác định trước khó Trong trường hợp này, cần thay đổi ghi từ định dạng file gốc thành dạng mà SIEM hiểu Một ví dụ chạy ứng dụng máy chủ ứng dụng lưu trữ ghi định dạng tập tin máy chủ Chúng ta sử dụng ứng dụng khác để đọc tập tin gửi ghi thông qua syslog Trong trường hợp máy chủ Windows, để làm việc với ghi khơng chuẩn sử dụng Windows Event Log đưa Windows Event Log vào SIEM 2.2.3 Chuẩn hóa tng hợp kiện an ninh Vô số ghi log gửi từ thiết bị ứng dụng môi trường đến SIEM Tại thời điểm này, tất ghi định dạng gốc ban đầu, khơng thực điều ngoại trừ lưu vào nơi Nhưng để ghi log hữu ích SIEM cần định dạng lại chúng sang định dạng chuẩn Việc thay đổi tất loại ghi log khác thành ghi có định dạng gọi chuẩn hóa Việc chuẩn hóa ghi log giúp cho SIEM thống ghi log, nhanh chóng phân tích tương quan kiện an ninh sau Sau q trình chuẩn hóa ghi log q trình tổng hợp kiện an ninh diễn Mục đích q trình tổng hợp kiện an ninh thuộc kiểu để thấy tổng thể hệ thống Điều tương tự với trình tương quan kiện an ninh Tương quan kiện an ninh tổng hợp nhiều kiện an ninh khác để đưa kết luận có hay khơng cơng 2.2.4 Lưu trữ Log Khi phân tích liệu lưu trữ trực tuyến khơng cịn cần thiết chúng chuyển tới nơi khác để lưu trữ dài hạn Dữ liệu lưu trữ dạng chuẩn hóa nhằm đẩy nhanh tốc độ tìm kiếm sử dụng sau Bên cạnh chúng lưu trữ dạng gốc ban đầu nhằm phục vụ nhu cầu bằng chứng điều tra số sau Thông thường chúng lưu trữ dạng nén mã hóa SIEM cung cấp khả lưu trữ đến hàng trăm triệu kiện an ninh khác Có ba cách mà lưu trữ ghi SIEM là: Dùng sở liệu, file Text dạng file nhị phân - Lưu trữ dạng sở liệu Lưu trữ ghi log sở liệu cách lưu trữ ghi log hay dùng SIEM Cơ sở liệu thường tảng sở liệu chuẩn Oracle, MySQL, Microsoft SQL ứng dụng sở liệu lớn khác sử dụng doanh nghiệp Phương pháp cho phép tương tác dễ dàng với liệu truy vấn sở liệu phần ứng dụng sở liệu Hiệu suất tốt truy cập vào ghi log cơ sở liệu, phụ thuộc vào phần cứng sở liệu chạy, ứng dụng sở liệu phải tối ưu hóa để chạy với SIEM Sử dụng sở liệu giải pháp tốt cho việc lưu trữ nhật ký - Lưu trữ dạng file Text Một tập tin văn chuẩn để lưu trữ thông tin định dạng đọc Các thơng tin cần phải có ranh giới phân cách dấu phẩy, tab số kí hiệu khác Vì thơng tin phân tích đọc Phương pháp lưu trữ không sử dụng thường xuyên Hành động viết đọc từ tập tin văn dường chậm so với phương pháp khác Thật khơng có nhiều lợi ích sử dụng tập tin text để lưu trữ liệu, dễ dàng cho ứng dụng bên để truy cập liệu Nếu ghi log lưu trữ tập tin văn bản, khơng khó khăn viết mã riêng để mở tập tin lấy thông tin để cung cấp cho cho ứng dụng khác Một lợi ích khác tập tin văn người đọc dễ dàng để nhà phân tích tìm kiếm hiểu Chúng ta mở tập tin sử dụng lệnh grep số cơng cụ tìm kiếm tập tin văn khác để tìm thơng tin tìm kiếm mà không cần mở giao diện điều khiển - Lưu trữ dạng file nhị phân Định dạng tập tin nhị phân sử dụng tập tin với định dạng tùy chỉnh để lưu trữ thông tin duới dạng nhị phân SIEM biết làm để đọc ghi vào file 2.2.5 Gim st cảnh bo Khi có tất ghi log SIEM kiện an ninh xử lý, điều cần làm để sử dụng hữu ích với thơng tin từ bản ghi log khác SIEM có giao diện điều khiển dựa web ứng dụng tải máy trạm Cả hai giao diện cho phép tương tác với liệu lưu trữ SIEM Giao diện điều khiển sử dụng để quản lý SIEM Giao diện ứng dụng cho phép xử lý cố cung cấp nhìn tổng quan mơi trường Bình thường muốn xem thông tin xử lý cố kỹ sư phải đến thiết bị khác xem ghi log định dạng gốc Nhưng với SIEM đơn giản tiện lợi nhiều Nó xử lý nơi nhất, phân tích tất ghi log khác dễ dàng SIEM chuẩn hóa thơng tin liệu Trong quản lý giám sát giao diện điều khiển SIEM, phát triển nội dung quy định sử dụng để tìm thông tin từ kiện an ninh xử lý Giao diện điều khiển cách để giao tiếp với liệu lưu trữ SIEM SIEM cung cấp ba cách để thông báo tới quản trị viên có cơng hay hành vi bất thường xảy Thứ nhất, SIEM đưa cảnh báo chúng nhận có điều bất thường Thứ hai, SIEM gửi thông báo vào thời điểm xác định trước công thứ ba quản trị viên theo dõi giám sát SIEM theo thời gian thực thông qua giao diện web Các IDS thông thường đưa nhiều cảnh báo giả với SIEM tạo tỷ lệ nhỏ thông báo Tuy nhiên tất thơng báo cần thiết để thực hành động hay đơn giản bỏ qua cịn tùy thuộc vào mức độ kiện an ninh Một số sản phẩm SIEM thực hành động ứng phó xóa phần mềm độc hại, đóng số cổng thơng qua việc kết nối tới thiết bị Báo cáo lập lịch để đưa báo cáo thường xuyên Các báo thể theo chuẩn quốc tế thể qua biểu đồ trực quan số liệu Những báo cáo cung cấp nhanh chóng nhìn tổng quan cho quản trị viên nhà quản lý CHƯƠNG XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM VỚI MÃ NGUỒN MỞ ALIENVAULT OSSIM 3.1 Mục tiêu xy dựng công cụ Nhận thấy khả triển khai hệ thống giám sát an ninh mạng quan tổ chức nhỏ Việt Nam hạn chế thiết bị lẫn nhân lực hệ thống mã nguồn mở OSSIM giải pháp dễ dàng triển khai tiết kiêm chi phí mà đảm bảo phòng chống phát tốt trước công Tuy nhiên hệ thống cần phải xây dựng công cụ, luật phù hợp với mạng cụ thể để hệ thống đưa cảnh báo xác hạn chế tối đa cảnh báo giả Thiết lập luật để hệ thống phát kiểu công như: Tấn công đăng nhập, cơng dị qt cổng, nhằm vào lỗ hổng ứng dụng Web, phát máy trạm nằm mạng lưới botnet nhằm thực công DDOS, phát công từ nội 3.2 Hệ thống mơ hình pht tân cơng mạng 3.2.1 Hệ thống mã nguồn mở AlienVault OSSIM AlienVault OSSIM (OSSIM) giải pháp giám sát an ninh mạng dựa tảng mã nguồn mở OSSIM phù hợp với hệ thống quy mô vừa nhỏ, cho phép người dùng sử dụng bổ xung, tùy biến chức cho phù hợp với hệ thống mạng đặc thù OSSIM thể rõ mục đích cơng nghệ SIEM với mục tiêu sau: - AlienVault OSSIM thực việc thu thập kiện từ nhiều thiết bị khác Firewall, IDS/IPS, máy chủ, máy trạm,…trong hệ thống giám sát, từ kiện đưa cảnh báo (alert) khác Các kiện thu thập từ nhiều nguồn khác sau OSSIM phân tích để tìm mối liên hệ kiện khác đưa thơng tin tổng hợp có liên quan đến an ninh hệ thống - Những thông tin AlienVault OSSIM sau phân tích, tổng hợp đưa vào báo cáo cụ thể, kết đánh giá mức độ an ninh hệ thống giám sát 3.2.2 Một số chức AlienVault OSSIM - Tìm kiếm tài ngun (Asset Discovery): + Sử dụng trực tiếp công cụ quét mạng + Giám sát mạng + Kiểm kê tài nguyên + Phần mềm kiểm kê Host - Đánh giá lỗ hổng (Vulnerability Assessment): + Sử dụng công cụ kiểm tra, phát lỗ hổng + Thực giám sát lỗ hổng - Phát mối đe dọa (Threat Detection): + Phát mối đe dọa dựa Network IDS, Host IDS, Wireless IDS + Giám sát tính tồn vẹn File - Giám sát hành vi (Behavioral Monitoring): + Tập hợp thông tin nhật ký + Phân tích luồng lưu lượng mạng + Giám sát khả sẵn sàng dịch vụ + Thu thập phân tích gói tin - Bảo mật thông minh (Security Intelligence): + Xác định mối quan hệ kiện thông qua SIEM + Phản ứng trước cố + Báo cáo cảnh báo 3.2.3 Mơ hình tng quan hệ thống pht tân công mạng dựa công nghệ Siem sử dụng công cụ AlienVault OSSIM - Máy trinh sát (Sensor): Thành phần đóng vai trị máy trinh sát nằm rải rác mạng để thu thập thơng tin Thành phần bao gồm nhiều tiện ích, tiện ích phần mềm đơn lẻ, thực chức giám sát, thu thập, truy vấn thông tin từ môi trường mạng Những thông tin thu gửi cho thành phần Collector để phân tích - Máy thu thập (Collector): Thành phần làm nhiệm vụ thu nhận thông tin gửi từ máy trinh sát tiến hành tổng hợp thông tin, gửi cho CSDL để lưu trữ Thành phần đóng vai trị điều phối cơng việc cho máy trinh sát - Cơ sở liệu (Database Center): Thành phần đóng vai trị lưu trữ CSDL mà hệ thống giám sát an ninh mạng sử dụng Tất liệu lưu theo định dạng có cấu trúc CSDL máy chủ Các thành phần khác phải giao tiếp với CSDL để lưu trữ truy vấn thông tin - Phân tích (Analysis): Thành phần tiến hành phân tích thơng tin thu thập lưu CSDL để từ tìm dấu hiệu bất thường Sau phát hành vi bất thường, thành phần làm nhiệm vụ gửi thông tin cảnh báo cho người quản trị qua giao diện Website - Website: Đây thành phần trung tâm tương tác với người quản trị thành phần khác hệ thống giám sát an ninh mạng Thành phần bao gồm giao diện Web để quản trị truy nhập, sử dụng chức hệ thống giám sát an ninh mạng: quản lý máy trinh sát, xem thông tin thu thập được, yêu cầu máy trinh sát truy vấn thông tin thiết lập cấu hình cho hệ thống, … Trong sơ đồ, đường mũi tên biểu thị tương tác thành phần hệ thống, tương tác truyền lệnh điều khiển liệu 3.3 Triển khai xy dựng 3.3.1 Triển khai OSSIM vào hệ thống mạng Để triển khai OSSIM người quản trị cần nắm đầy đủ thông tin hệ thống mạng cần triển khai Nắm sơ đồ mạng, loại thiết bị, hệ điều hành, phần mềm sử dụng Đặc biệt máy chủ trọng yếu hệ thống - Yêu cầu phần cứng: Máy chủ + CPU: 3.2 GHz + Processor: 64 bit + RAM >= GB + Disk Space: >= 40 GB + Total Cores >= - Phần mềm mã nguồn mở cài đặt vào máy chủ: AlienVault OSSIM 5.2.5 3.3.2 Một số công cụ sử dụng OSSIM - Công cụ phát xâm nhập dựa máy chủ (HIDS): OSSEC OSSEC công cụ mã nguồn mở phát xâm nhập host Công cụ cung cấp tảng phân tích log, kiểm tra tính toàn vẹn tập tin, phát rootkit, giám sát sách, thời gian thực đưa cảnh báo - Công cụ phát xâm nhập (NIDS): Suricata Suricata công cụ IDS/IPS mã nguồn mở tích hợp vào OSSIM nhằm phát xâm nhập, theo dõi lưu lượng mạng Suricata hoạt động dựa luật thay cho Snort phiên AlienVault OSSIM 5.2 Cơng cụ tính tương tự Snort hỗ trợ Snort (VRT) Rules nhiên cách làm việc cuả chúng khác Snort sử dụng Single-threaded (đơn luồng) Suricata chạy Multi-threaded (đa luồng) - Công cụ phát xâm nhập không dây Wireless intrusion detection system (WIDS): Kismet Kismet công cụ phát xâm nhập không dây, công cụ làm việc chủ yếu với mạng Wi-fi (IEEE 802.11) xử lý loại mạng khác thông qua Plug-in - Công cụ giám sát nút mạng (Monitoring of nodes of network): Nagios Nagios công cụ giám sát mạng, kết nối, theo dõi sẵn sàng, thời gian hoạt động thời gian đáp ứng tất nút mạng - Cơng cụ phân tích bất thường mạng (Analysis of network anomalies): P0f, PADS, Arpwatch, etc ARP giao thức giao thức TCP/IP, dùng để ánh xạ địa IP thành địa vật lý (MAC) mạng cục Arpwatch: công cụ giám sát hoạt động ethernet lưu giữ sở liệu ethernet với địa IP Hoạt động Arpwatch bao gồm hai bước Trước hết, chương trình thu thập lưu giữ cặp ánh xạ địa vật lý – địa IP máy tình mạng Ví dụ máy tính mạng hoạt động với địa IP x.y.z.t có địa vật lý giao diện mạng aa:bb:cc:dd:ee:ff Sau bước này, chương trình giám sát luồng liệu lưu thơng mạng, chương trình phát thấy gói tin mang thơng tin địa IP x.y.z.t địa vật lý khác aa:bb:cc:dd:ee:ff hệ thống phát cảnh báo Vì trường hợp xảy khả máy tính khác giả mạo địa IP x.y.z.t PADs: công cụ phát thụ động tài sản Công cụ theo dõi lưu lượng mạng, ghi log dịch vụ Dữ liệu theo dõi OSSIM có bất thường dịch vụ mạng P0f: Công cụ P0f sử dụng thu thập thông tin hệ điều hành Công cụ theo dõi lưu lượng truy cập mạng xác định hệ điều hành Thơng tin hữu ích q trình suy luận tương quan - Cơng cụ Qt lỗ hổng hệ thống (Vulnerability scanner): OpenVAS Đây công cụ mã nguồn mở quét lỗ hổng phổ biến Được sử dụng để quản lý quét lỗ hổng hệ thống mạng 3.3.3 Đnh gi rủi ro Đánh giá rủi ro việc làm quan trọng nhằm xác định quan trọng không Việc đánh giá rủi ro coi trợ lý trình định OSSIM tính tốn rủi ro cho kiện an ninh Việc tính tốn dựa ba thơng số sau: - Giá trị tài sản (Mất giá trị bị xâm nhập) - Nguy xảy - Xác suất xảy Bản ghi log cung cấp từ nguồn liệu khác đến máy chủ OSSIM Các ghi log chuẩn hóa hiển thị giao diện quản lý web kiện an ninh Tickets tự mở tự động tạo OSSIM Để xử lý cố, OSSIM xem xét báo động, tạo ticket cố có liên quan gán cho thành phần thích hợp Báo động xảy giá trị rủi ro kiện an ninh bằng lớn giá trị Rủi ro tính tốn theo cơng thức sau: [ASSET VALUE(0-5)*PRIORITY(0-5)*RELIABILITY(0-10)]/25 = RISK OF THE EVENT(0-10) Trong đó: ASSET VALUE: Giá trị tài sản PRIORITY: Độ ưu tiên cho kiện an ninh RELIABILITY: Độ tin cậy kiện an ninh RISK OF THE EVENT: Mức độ rủi ro kiện an ninh Các tài sản OSSIM có giá trị tài sản từ 0-5 Số cao tài sản có giá trị cao Tài sản thiết bị, máy chủ nhóm máy chủ, nhóm máy chủ, mạng nhóm mạng Căn vào độ rủi kiện để nhận thấy xác suất cơng 3.3.4 Chuẩn hóa log Trong OSSIM, Plugin tạo nhằm chuẩn hóa log đầu vào khác thành dạng ghi chuẩn trích xuất liệu cần log đầu vào chuyển thành kiện Mặc định OSSIM có plugin cho nguồn liệu thường gặp Tuy nhiên thực tế ngày phát sinh nhiều nguồn liệu hay đặc thù thiết bị hệ thống mạng Trong trường hợp cần tạo plugin để OSSIM làm việc Plugin OSSIM bao gồm hai tập tin: .cfg Tập tin nằm thư mục /etc/ossim/agent/plugins Tập tin quy định cụ thể thông số, quy tắc liệu file log cần chuẩn hóa Cơ tập tin bao gồm: Vị trí nguồn liệu nhận được, biểu thức quy tắc cần thiết để phân tích nguồn liệu .sql tập tin nằm trong: /usr/share/doc/ossim-mysql/contrib/plugins Tập tin mô tả kiện dùng để đánh giá, tương quan hay lưu trữ như: ID Plugin ID loại kiện Tên gán cho kiện Mức độ ưu tiên giá trị độ tin cậy - Tập tin .cfg biên tập cụ thể sau: + Phần Header: Tất Plugin có phần tiêu đề sau # AlienVault plugin # Author: AlienVault Team # Plugin {{ Tên Plugin }} id:{{ plugin_id }} version: # Last modification: {{ LAST_MODIFICATION_DATE }} # # Plugin Selection Info: # {{vendor}}:{{model}}:{{version}}:{{per_asset}} # #END-HEADER # + Phần cấu hình chi tiết: Ví dụ cấu hình cho file log từ phần mềm diệt virus Mcafee [DEFAULT] // phần thiết lập mặc định cho kiện plugin_id=1571