1 MỤC LỤC MỞ ĐẦU Ngày nay, thế giới đang ngày một phát triển, công nghệ thông tin đóng một vai trò quan trọng trong, không thể thiếu trong mọi lĩnh vực của đời sống. Số lượng máy tính gia tăng, đòi hỏi hệ thống mạng phải phát triển theo để đáp ứng nhu cầu kết nối toàn cầu. Hệ thống mạng ngày một phát triển đòi hỏi khả năng quản trị để có thể duy trì hoạt động của mạng một cách tốt nhất. Vì vậy người quản trị mạng cần một công cụ hỗ trợ khả năng quản trị. Đối với một hệ thống mạng, để có thể duy trì mạng hoạt động tốt thì có rất nhiều thứ phải quản trị như là hiệu năng mạng, lưu lượng mạng, các ứng dụng chạy trên mạng, người sử dụng mạng, an ninh mạng. Security Information Event Management (SIEM) là một giải pháp hoàn chỉnh, đầy đủ cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống. Đây là công nghệ được các chuyên gia bảo mật rất 2 quan tâm trong thời gian gần đây. Nó sử dụng các phương pháp phân tích chuẩn hóa và mối tương quan giữa các sự kiện để đưa ra cảnh báo cho người quản trị. Được sự hướng dẫn nhiệt tình của thầy giáo, Tiến sĩ Hoàng Tuấn Hảo, em đã tìm hiểu, nghiên cứu đề tài: “Xây dựng thiết bị trinh sát mạng”. Đề tài tập trung tìm hiểu mô hình SIEM, nghiên cứu mô hình thiết bị hệ thống riêng biệt và tùy chọn trong mã nguồn mở OSSIM, từ đó tích hợp các công cụ an ninh mạng vào thiết bị và ứng dụng lập trình di truyền trong bài toán phát hiện xâm nhập trong vào thiết bị. Do lượng tài liệu chủ yếu bằng tiếng anh và kiến thức còn hạn chế nên không tránh khỏi những thiếu sót, rất mong nhận được sự đóng góp của thầy cô và các bạn. Chương 1 TỔNG QUAN VỀ QUẢN TRỊ HỆ THỐNG AN NINH MẠNG Ngày nay mạng internet đã lan rộng và phát triển rất mạnh mẽ. Kéo theo nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về viễn thông và công nghệ thông tin không ngừng phát triển ứng dụng để nâng cao chất lượng và lưu lượng truyền tin. Từ đó các biện pháp bảo vệ thông tin dữ liệu cũng không ngừng đổi mới đảm bảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền thông tin trong các hệ thống máy tính. Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá tình truyền không thể đọc được bởi bất kì người dùng trái phép và toàn vẹn dữ liệu đó trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kì người dùng trái phép nào thông qua mạng. 1.1 Tổng quan về quản trị mạng Có thể khái quát công việc quản trị mạng bao gồm: 3  Quản trị cấu hình, tài nguyên mạng: Bao gồm các công tác quản lý, kiểm soát cấu hình, quản lý tài nguyên cấp phát cho các đối tượng sử dụng khác nhau.  Quản trị người dùng, dịch vụ mạng: Bao gồm các công tác quản lý người sử dụng trên hệ thống và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượng đảm bảo theo đúng các chỉ tiêu đã đề ra.  Quản trị hiệu năng, hoạt động mạng: Bao gồm các công tác quản lý, giám sát hoạt động mạng lưới, đảm bảo các hoạt động của thiết bị hệ thống ổn định.  Quản trị an ninh, an toàn mạng: Bao gồm các công tác quản lý, giám sát mạng lưới, các hệ thống để đảm bảo phòng tránh các truy nhập trái phép. Việc phòng chống, ngăn chặn sự lây lan của các loại virus máy tính, các phương thức tấn công như Dos làm tê liệt hoạt động của mạng cũng là một phần rất quan trọng trong công tác quản trị, an ninh, an toàn mạng.  Trong đó hệ thống thông tin quản lý đóng vai trò trung gian giữa hệ thống trợ giúp quyết định và hệ thống thông tin tác nghiệp với chức năng chủ yếu là thu thập, xử lý và truyền tin. 1.2 Tổng quan về an ninh mạng Sự cần thiết phải hội nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng tất cả trong một là một điều hiển nhiên, làm phát sinh nhanh chóng việc các công nghệ đưa vào các sản phẩm có liên quan đến an ninh còn non nớt. Do các nhà quản lý mạng phải cố gắng triển khai những công nghệ mới nhất vào hạ tầng cơ sở mạng của mình, an ninh mạng trở thành một chức năng then chốt trong việc xây dựng và duy trì các mạng hiện đại của mọi tổ chức. An ninh mạng máy tính là tổng thể các giải pháp về mặt tổ chức và kỹ thuật nhằm ngăn cản mọi nguy cơ tổn hại đến mạng. Các tổn hại có thể xảy ra do: Lỗi của người sử dụng, các lỗ hổng trong các hệ điều hành cũng như các chương trình ứng dụng, các hành động hiểm độc, các lỗi phần cứng… An ninh mạng máy tính bao gồm vô số các phương pháp được sử dụng để ngăn cản các nguy cơ tổn hại đến mạng và việc đầu tiên phải tập trung vào việc quản trị, kiểm soát được toàn bộ hệ thống mạng, nhưng trước hết cần tập trung vào việc ngăn cản: Lỗi của người sử dụng và các hành động hiểm độc. Và mục tiêu của an ninh mạng máy tính là cần phải đảm bảo ba nguyên tắc nền tảng đó là: Đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng. 4 Các loại hình tấn công cơ bản: Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều. Một thực tế cho thấy bất bỳ một hệ thống nào dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. Vì vậy chúng ta cần phải xây dựng các chiến lượt bảo mật để có thể từng bước bảo vệ hệ thống an toàn hơn. Tấn công chủ động gồm: Tấn công chặn bắt thông tin, tấn công sửa đổi thông tin, chèn thông tin giả mạo, tấn công từ chối dịch vụ… Tấn công bị động: Biết được thông tin truyền trên mạng. Có hai kiểu tấn công bị động đó là khai thác nội dung thông điệp và phân tích dòng dữ liệu. Tấn công này chỉ biết được người gửi, người nhận trong phần IP Header của gói tin và thống kê tần số trao đổi, số lượng, độ dài của thông tin chứ chúng không thể chỉnh sửa hoặc hủy hoại thông tin nội dung trao đổi. Kiểu tấn công này khó phát hiện vì nó không làm thay đổi dữ liệu và không để lại dấu vết rõ ràng. Biện pháp hữu hiệu để chống lại tấn công này là ngăn chặn. 1.3 Tổng quan về giám sát thông tin 1.3.1 Khái quát giám sát thông tin Giám sát công nghệ thông tin, hoặc giám sát hệ thống thông tin, là một sự kiểm tra các điều khiển trong phần cơ sở hạ tầng trong công nghệ thông tin. Một giám sát thông tin cần có quá trình thu thập và đánh giá rõ ràng các hệ thống thông tin và các hoạt động của một tổ chức. Các đánh giá rõ ràng thu được quyết định nếu hệ thống thông tin là bảo vệ tài sản, duy trì tính toàn vẹn dữ liệu, và hoạt động hiệu quả để đạt được những mục tiêu hay những mục đích của tổ chức. 1.3.2 Mục đích Để đánh giá khả năng bảo vệ của tổ chức và phân phối đúng thông tin cho các bên ủy quyền. Việc giám sát thông tin gồm những việc sau: - Thông tin trong các hệ thống chỉ được tiết lộ cho người dùng có thẩm quyền. - Những thông tin được cung cấp bởi hệ thống luôn được chính xác, tin cậy và kịp thời. 1.4 An ninh bảo mật mạng Bởi vì không thể có một giải pháp an toàn tuyệt đối nên chúng ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắn đối với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong máy tính. 5 Vì vậy ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường truyền, mọi cố gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong cho các hệ thống kết nối vào mạng. - Giám sát quyền truy cập Nhằm kiểm soát, thống kê được lưu lượng truy cập, sử dụng tài nguyên của mạng và quyền hạn trên tài nguyên đó. Hạn chế và phát hiện kịp thời những lượng truy cập và sử dụng trái phép tài nguyên mạng. - Thiết lập tài khoản và mật khẩu Phương pháp bảo vệ này phổ biến nhất vì nó đơn giản, ít phí tổn và cũng rất hiệu quả. Mỗi người sử dụng muốn truy cập vào mạng để sử dụng tài nguyên đều phải có một tài khoản và mật khẩu. Trong khi đó, người quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy cập của những người sử dụng khác. Trong hoàn cảnh thực tế do nhiều nguyên nhân khác nhau như quên mật khẩu hay bị đánh cắp mật khẩu. Người quản trị mạng chịu trách nhiệm đặt mật khẩu hoặc thay đổi mật khẩu theo thời gian. - Mã hóa dữ liệu Để bảo mật thông tin trên đường truyền chúng ta sử dụng các phương pháp mã hóa. Dữ liệu bị biến đổi từ dạng nhận thức được theo một thuật toán nào đó và sẽ được biến đổi ngược lại ở trạm nhận. - Tường lửa Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửi h oặc nhận vì các lí do nào đó để bảo vệ một máy tính hoặc cả mạng nội bộ. 1.5 Yêu cầu đối với thiết bị trinh sát mạng Theo những phân tích về nhu cầu thực tế, nguy cơ an ninh, giải pháp giám sát an ninh tập trung cần đáp ứng được một số yêu cầu sau: • Khả năng quản trị tập trung trên toàn hệ thống. Hỗ trợ cả thiết bị vật lý và thiết bị ảo. Khả năng triển khai theo mô hình tập trung hoặc phân tán. • Khả năng thu thập log từ các nguồn: Server, IPS/IDS, Firewall, VPN, Switch, Router, Anti-virus, Anti-Spam, các hệ thống Authentication, DHCP, DAM, Enterprise application như Weblogic, Websphere, SAP ERP, POS Qua các giao thức Syslog hoặc bằng các giao thức như: JDBC, SNMP, SDEE, OPSEC, WMI. 6 • Khả năng lưu trữ tạm thời log tại module thu thập nhật ký khi băng thông bị giới hạn hoặc đường truyền đứt.Và khả năng lưu trữ log với số lượng lớn, hỗ trợ việc phân tích file log theo thời gian thực. • Khả năng tự động xác định các nguồn tạo log (tên các tài sản IT, profile của ứng dụng ). Và phát hiện ra các lỗ hổng bảo mật của các nguồn tạo log và đưa ra cảnh báo ngay khi các lỗ hổng bảo mật đó bị khai thác. • Khả năng chuẩn hoá và so sánh tương quan các log theo thời gian thực cũng như các dữ liệu trong quá khứ nhằm cung cấp cho người quản trị một bức tranh toàn cảnh về an ninh thông tin theo thời gian. Tự động update các rules mới để đưa ra các xử lý kịp thời khi có nguy cơ mất an toàn mạng. Chương 2 HỆ THỐNG QUẢN LÝ SỰ KIỆN THÔNG TIN AN NINH Trong nhiều tổ chức, chính sách an ninh hoặc nguyên tắc kinh doanh yêu cầu các biến cố an ninh phải được lưu trữ để giám sát và xác định các vấn đề an ninh. Thông tin thu thập được trong các biến cố an ninh thường rất quan trọng để tái tạo chuỗi các sự kiện trong quá trình điều tra và quản lý an ninh hệ thống. Số lượng thông tin được tạo ra bởi các thiết bị an ninh và hệ thống có thể rất lớn, trong đó nhiều thông tin không cần thiết, các kiểu định dạng có thể khác nhau nên tỷ lệ chính xác mà các cảnh báo được tạo ra thường rất thấp. Hơn thế nữa, các thiết bị khác nhau có thể tạo ra báo 7 cáo về cùng một biến cố an ninh bằng các cách khác nhau mà không có phương pháp nào để phân biệt được chúng. Bởi vậy, việc xây dựng hệ thống quản lý sự kiện thông tin an ninh hợp lý sẽ mang lại lợi ích lớn trong hoạt động quản lý an ninh, làm giảm công sức, tăng hiệu quả làm việc của những người quản trị hệ thống thông tin trong việc giám sát các thiết bị an ninh. Việc xây dựng và quản lý hệ thống sự kiện thông tin an ninh hết sức quan trọng, đòi hỏi kinh nghiệm và công sức của những người quản trị trong thời gian dài. 2.1 Hệ thống mã nguồn mở quản lí sự kiện thông tin an ninh Sercurity information event management (SIEM) là một giải pháp hoàn chỉnh cho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống. SIEM là sự kết hợp một số tính năng của quản lí thông tin an ninh (SEM) và quản lí sự kiện an ninh (SIM). Trong đó hệ thống mã nguồn mở SIEM có thể được tách làm hai chức năng: Sercurity event management (SEM): Thu thập các event log data do các thành phần (thiết bị, ứng dụng) trong hệ thống tạo ra. Sau đó tập trung hóa việc lưu trữ và xử lí, phân tích các sự kiện rồi lập báo cáo, đưa ra thông báo, cảnh báo liên quan đến an ninh của hệ thống. Sercurity information management (SIM): Thông tin được lưu trữ từ SIM, được sử dụng để báo cáo dữ liệu đăng nhập cho bất kì thời gian nhất định. SIEM được định nghĩa như một bộ công nghệ gồm: - Thu thập log: Thu thập dữ liệu từ nhiều nguồn, bao gồm cả mạng, bảo mật, máy chủ, cơ sở dữ liệu, ứng dụng…cung cấp khả năng hợp nhất dữ liệu được giám sát tránh để mất các sự kiện quan trọng. - Tương quan giữa các sự kiện: Tìm kiếm các thuộc tính chung và liên kết các sự kiện với nhau. - Nhóm các sự kiện giống nhau. - Phân tích và luồng thông tin. Ba yếu tố chính triển khai cho SIEM: - Tầm nhìn trước mối đe dọa thời gian thực. - Vận hành hiệu quả. - Tính tuân thủ và các yêu cầu riêng cho hệ thống quản lí log. 2.2 Một số các SIEM thương mại và SIEM nguồn mở 2.2.1 Một số các SIEM thương mại a. Giải pháp ArcSight của HP 8 - HP ArcSight là phiên bản sản phẩm bảo mật của HP bao gồm cả HP TippingPoint và HP Fortify. ArcSight Enterprise Sercurity Manager (ESM) là phần mềm theo định hướng quy mô lớn, triển khai SEM tập trung. Hình vẽ 2.1: Mô hình giải pháp ArcSight của HP - ArcSight Express cung cấp thiết bị dựa trên ESM được thiết kế cho thị trường cỡ vừa với giám sát và báo cáo định sẵn. - HP ArcSight cho phép bảo vệ an toàn cho hệ thống thông tin của tổ chức, thông qua khả năng cung cấp một bức tranh tổng thể về các hoạt động của hệ thống như: các mối đe dọa từ bên ngoài (malware, hackers), các mối đe dọa từ bên trong (data breaches, fraud), rủi ro từ các điểm yếu trên ứng dụng và thay đổi cấu hình; đồng thời giải pháp cho phép tuân thủ các tiêu chuẩn an ninh như PCI DSS, ISO… Hình vẽ 2.2: Mô hình dữ liệu đặt trưng - ArcSight Logger cung cấp thiết bị và phần mềm cung cấp thu thập dữ liệu đăng nhập và chức năng quản lí có thể được thực hiện độc lập hoặc kết hợp với ESM. - HP ArcSight thực hiện một kết nối hai chiều vào server, cung cấp khả năng lưu trữ dữ liệu, sự kiện vào môi trường phần cứng để truy cập và phân tích event từ ArcSight. 9 Một kết nối Hadpoop hai chiều chung có sẵn. ArcSight Faster được xem xét cho triển khai SIEM hạng trung. ESM là sản phẩm thích hợp cho các triển khai lớn hơn. - Thu thập tất cả mọi thứ: đăng nhập dữ liệu từ bất kỳ thiết bị nào được bố trí trên cơ sở hoặc trong đám mây, trong đó có công ty SaaS như Salesforce, Box.net và Okta. - Corre kiến trúc: tối ưu hóa để chạy trên nhiều bộ xử lý, nén dữ liệu cao và nhanh hơn thông qua sự kiện. - Phân tích sự kiện: tìm kiếm tương tác hiệu suất cao, toàn diện khoan xuống báo cáo, và cảnh báo thời gian thực Ưu điểm: + Cung cấp một bộ đầy đủ các tính năng có thể sử dụng để hỗ trợ cho hệ thống trung tâm an ninh. + ArcSight Express cung cấp một lựa chọn triển khai đơn giản SIEM hạng trung. + Thiết lập module để theo dõi hoạt động người dùng, quản lí thông tin.  Tính năng o HP ArcSight ESM là một mạnh mẽ và linh hoạt các mối đe dọa và nguy cơ giám sát nền tảng có thể được sử dụng để xây dựng các quy tắc quản lý phức tạp an ninh cần thiết để ngăn chặn mối đe dọa phức tạp ngày nay. o FlexConnector phát triển Kit o Nắm bắt bất kỳ dữ liệu nào từ bất kỳ thiết bị, Hệ thống hoặc ứng dụng bằng cách sử dụng một đơn giản "kéo và thả" kết nối phát triển khung. o Đăng nhập quản lý Framework.Quản lý và lưu trữ mỗi sự kiện xảy ra trong môi trường của bạn một cách an toàn và hiệu quả. o Directory hội nhập.Đồng bộ hóa người dùng, vai trò và quyền lợi được thông tin từ thư mục công ty tìm thấy hoạt động trái phép người dùng, chia sẻ tài khoản sử dụng, và vi phạm chính sách vai trò. o Web dịch vụ API: Giao tiếp với nhau nó khuôn khổ quản lý để thu thập dữ liệu hoặc cung cấp thông minh thông tin cho các nhà phân tích, kiểm toán viên và quản lý. o Sự kiện Nhật ký được lưu trữ hiệu quả hơn để tìm kiếm và cảnh báo xảy ra nhanh hơn nhiều b. Giải pháp QRadar của IBM Qradar SIEM là một giải pháp SIEM mềm dẻo phù hợp cho các doanh nghiệp lớn, cũng như các doanh nghiệp vừa và nhỏ. Giải pháp IBM Qradar SIEM có thể được triển khai theo mô hình phân tán hoặc tập trung. 10 Hình vẽ 2.3: Mô hình giải pháp QRadar của IBM Giải pháp triển khai tập trung của IBM Qradar SIEM bao gồm modul quản trị tập trung, modul xử lí Event và Modul thu thập event đặt ở các site. Giải pháp triển khai theo mô hình phân tán của IBM Qradar SIEM rất thuận lợi cho các tổ chức có nhiều site đặt ở nhiều nơi khác nhau vì các giải pháp này không cần đẩy log ra khỏi các site để truyền về thiết bị xử lí event. Qradar SIEM thu thập dữ liệu trên một loại các nguồn cung cấp dữ liệu sử dụng để xác định và quản lí danh sách tội phạm và khách hàng. - Ưu điểm: + Event Collector sẽ thu thập log từ các thiết bị và đẩy về thiết bị xử lý event (Event Processor). Trong trường hợp băng thông hạn chế hoặc đường truyền giữa Event Collector và Event Processor bị đứt. Các log sẽ được lưu vào storage của Event Collector và được đẩy về Event Processor khi đường truyền được khôi phục. + Event Processor sẽ tiến hành so sánh tương quan các log lấy từ Event Collector. + Console Appliance thực hiện việc giám sát toàn bộ hệ thống từ việc báo cáo, cấu hình, áp đặt chính sách cho các site cũng như tiến hành so sánh tương quan ở mức toàn bộ hệ thống. + Module thu thập nhật ký và phân tích (Event Processor): là giao diện làm việc trực tiếp đến các hệ thống cần thu thập và quản lý nhật ký. Các thiết bị cần quản lý sẽ gửi log tới Event Collector thông qua Syslog hoặc bằng các giao thức như: JDBC, SNMP, SDEE, OPSEC Giải pháp của IBM cho phép hỗ trợ thu thập log của thiết bị vật lý và thiết bị ảo. + Module quản trị tập trung: đây chính là các công cụ cung cấp cho người quản trị thông qua giao diện Web và giao diện QRadar Console. Cung cấp giao diện quản trị tập trung cho toàn bộ hệ thống SIEM (Security Operation Center). Các giao diện được phân quyền theo vai trò của người quản trị… 2.2.2 Một số các SIEM nguồn mở [...]... DỰNG THIẾT BỊ TRINH SÁT MẠNG Xây dựng thiết bị trinh mạng là một công việc rất cần thiết trong công tác cấu hình và quản trị hệ thống mạng, nó đóng vai trò quan trọng giúp người quản trị có thể chủ động theo dõi hệ thống mạng, phát hiện và giải quyết các sự cố mạng một cách hiệu quả Trong đề tài này, em xây dựng một thiết bị trinh sát mạng với mục đích có thể quản trị được một hệ thống mạng thực một... thập Các báo cáo an ninh Quản lý sự cố và phản ứng Tất cả các công cụ mã nguồn mở trên được xây dựng riêng biệt trên bộ cài OSSIM, mỗi một công cụ đảm nhiệm một chức năng khác nhau, tuy nhiên chúng được thiết kế để có thể giao tiếp, kết nối và hỗ trợ nhau trong việc xây dựng hệ thống an ninh mạng cho thiết bị 3.2 Xây dựng module kết nối truyền dữ liệu với hệ thống trung tâm hoạt động trên thiết bị thu... lưu lượng mạng truy cập thông qua không bị cản trở và có một bản sao dữ liệu đến cổng màn hình để nghe thông tin + Network tap thường được sử dụng cho các hệ thống phát hiện xâm nhập, thiết bị thăm dò mạng và các thiết bị giám sát và thu thập, thường được sử dụng trong các ứng dụng bảo mật vì nó không làm ảnh hưởng tới mạng và khó bị phát hiện Hình vẽ 3.2: Sơ đồ bố trí cài đặt các thiết bị  Chức năng... quả nhất Qua đó thiết bị có thể phát hiện các mối đe dọa và cảnh báo đến người quản trị một cách kịp thời để ngăn chặn trước các cuộc tấn công Ngoài ra, có thể nghiên cứu, tìm hiểu và sử dụng một số công cụ an ninh mạng điển hình có khả năng thăm dò, phát hiện các cuộc tấn công, giám sát lưu lượng mạng, quét lỗ hổng, đưa ra cảnh báo và báo cáo cho người quản trị Việc xây dựng thiết bị còn cho phép... và cài đặt hệ thống mạng đảm bảo tính an ninh an toàn thông tin Ngoài ra thiết bị còn được tích hợp 18 thêm tính năng phát hiện xâm nhập nhờ ứng dụng lập trình di truyền hướng nối cây để sinh ra các luật, các điều kiện, các dấu hiệu xâm nhập để có thể đưa ra các cảnh báo nhanh chóng và chính xác Thiết kế hệ thống  Thiết bị trinh sát mạng bao gồm: ba máy tính được cài Ossim, card mạng, network tap •... thi • Ntop: giám sát mạng Là công cụ được dùng để giám sát và đo lường lưu lượng mạng Ntop cung cấp các biểu đồ và các số liệu thống kê từ việc phân tích các lưu lượng mạng được giám sát Ntop đồng thời cũng chứa rất nhiều thông tin về các loại dữ liệu chạy trong mạng, tạo • một hồ sơ cho phép theo dõi từng người dùng trong mạng Công việc chính của Ntop: + Đo lường lưu lượng + Giám sát lưu lượng + Lập... cứng của thiết bị • Card mạng 19 Khi xem xét card mạng, bạn nên cố gắng để lựa chọn những hỗ trợ bởi trình điều khiển e1000.Mô hình phát triển nguồn mở của trình điều khiển này đảm bảo khả năng tương thích tốt của các card với Debian GNU / Linux • Network tap: + Là một thiết bị phần cứng để truy cập dữ liệu lưu thông qua mạng máy tính, có vai trò giám sát lưu lượng mạng giao thông giữa hai điểm mạng +... toán, hệ thống mạng của một tổ chức phải đủ khả năng tự động chống đỡ trước các tấn công và bảo vệ các thông tin bí mật AlientVault xây dựng sẵn và cung cấp các gói cho phép đáp ứng các tuân thủ này theo các yêu cầu cụ thể Kết quả là các báo cáo tuân thủ sẽ được tự động thực hiện và kiểm soát tuân thủ được giám sát liên tục, hiệu quả mang lại nhanh chóng trong khi chi phí thấp 17 Chương 3 XÂY DỰNG THIẾT... số Translation phải được xác định trong một phân vùng [translation] Translate bằng cách sử dụng function translate () 35 3.4 Thiết kế và xây dựng các mô hình tích hợp trên thiết bị thu thập thông tin an 3.4.1 ninh mạng Xây dựng mô hình tích hợp tất cả hệ thống trên một thiết bị Bộ cài Ossim cho người sử dụng nhiều lựa chọn khác nhau như người dùng có thể chọn cài đặt tất cả hệ thống bao gồm 4 thành... trí cài đặt các thiết bị  Chức năng cơ bản của thiết bị: Gồm hai phần chính • Thiết bị thu thập Thu thập, tập hợp các sự kiện được tạo ra trên hệ thống mạng, phân loại và định dạng của mỗi loại sự kiện • Thiết bị quản trị 20 Phân tích, phát hiện các dấu hiệu xâm phạm, bất thường, sự tổn thương, các cuộc tấn công bên trong và bên ngoài hệ thống Thiết bị còn có thể phát hiện các lỗ hổng và xác định . báo cáo tuân thủ sẽ được tự động thực hiện và kiểm soát tuân thủ được giám sát liên tục, hiệu quả mang lại nhanh chóng trong khi chi phí thấp. 17 Chương 3 XÂY DỰNG THIẾT BỊ TRINH SÁT MẠNG Xây. cố mạng một cách hiệu quả. Trong đề tài này, em xây dựng một thiết bị trinh sát mạng với mục đích có thể quản trị được một hệ thống mạng thực một cách đơn giản và hiệu quả nhất. Qua đó thiết. an ninh mạng điển hình có khả năng thăm dò, phát hiện các cuộc tấn công, giám sát lưu lượng mạng, quét lỗ hổng, đưa ra cảnh báo và báo cáo cho người quản trị. Việc xây dựng thiết bị còn cho