Báo cáo đồ án tốt nghiệp xây dựng thiết bị trinh sát mạng

Các tổn hại có thể xảy ra do: Lỗicủa người sử dụng, các lỗ hổng trong các hệ điều hành cũng như các chươngtrình ứng dụng, các hành động hiểm độc, các lỗi phần cứng… An ninh mạng máy tính

MỤC LỤC

MỞ ĐẦU Chương 1 TỔNG QUAN VỀ QUẢN TRỊ HỆ THỐNG AN NINH MẠNG

1.1 Tổng quan về quản trị mạng 5

1.2 Tổng quan về an ninh mạng 6

1.3 Tổng quan về giám sát thông tin 7

1.3.1Khái quát giám sát thông tin 7

1.3.2Mục đích 7

1.4 An ninh bảo mật mạng 7

1.5 Yêu cầu đối với thiết bị trinh sát mạng 8

Chương 2 HỆ THỐNG QUẢN LÝ SỰ KIỆN THÔNG TIN AN NINH 2.1 Hệ thống mã nguồn mở quản lí sự kiện thông tin an ninh 10

2.2 Một số các SIEM thương mại và SIEM nguồn mở 11

2.2.1 Một số các SIEM thương mại 11

2.2.2 Một số các SIEM nguồn mở 15

Chương 3 XÂY DỰNG THIẾT BỊ TRINH SÁT MẠNG 3.1 Thiết kế hệ thống 22

3.2 Xây dựng hạt nhân nguồn mở đặc thù cài đặt trên thiết bị thu thập thông tin an ninh mạng 24

3.2.1 Tổng quan về Linux kernel 24

3.2.2 Cấu trúc bộ cài OSSIM 27

3.2.3 Các công cụ an ninh được tích hợp trong OSSIM 29

3.3 Xây dựng module kết nối truyền dữ liệu với hệ thống trung tâm hoạt động trên thiết bị thu thập thông tin an ninh mạng 32

3.4 Xây dựng module phân tích sự kiện an ninh thông tin 36

3.4.1 Mô hình phân tích Logs file 36

3.4.2 Cấu hình hệ thống 37

3.4.3 Định nghĩa các plugin 38

3.5 Thiết kế và xây dựng các mô hình tích hợp trên thiết bị thu thập thông tin an ninh mạng 42

3.5.1 Xây dựng mô hình tích hợp tất cả hệ thống trên một thiết bị 42

3.5.2 Xây dựng mô hình thiết lập riêng biệt 48

3.6 Xây dựng mô hình thiết lập tùy chọn 52

3.7 Ứng dụng lập trình di truyền định hướng văn phạm nối cây trong bài toán phát hiện xâm nhập tích hợp vào thiết bị 54

3.7.1 Tổng quan về lập trình GEN 55

3.7.2 Lập trình GEN tiến triển định hướng bởi văn phạm nối cây (TAG3P).58 3.7.3 Ứng dụng lập trình GEN định hướng bởi văn phạm nối cây vào bài toán phát hiện xâm nhập tích hợp vào thiết bị trinh sát mạng 67

Chương 4 XÂY DỰNG THỬ NGHIỆM THIẾT BỊ TRINH SÁT MẠNG 4.1 Xây dựng hệ thống 76

4.1.1 Mô hình mạng 76

4.1.2 Chính sách 76

4.1.3 Cấu hình 77

4.2 Thử nghiệm hệ thống 79

4.2.1 Giả lập hệ thống 79

4.2.2 Kết quả giám sát 79

KẾT LUẬN TÀI LIỆU THAM KHẢO

MỞ ĐẦU

Ngày nay, thế giới đang ngày một phát triển, công nghệ thông tin đóng mộtvai trò quan trọng trong, không thể thiếu trong mọi lĩnh vực của đời sống Sốlượng máy tính gia tăng, đòi hỏi hệ thống mạng phải phát triển theo để đáp ứngnhu cầu kết nối toàn cầu Hệ thống mạng ngày một phát triển đòi hỏi khả năngquản trị để có thể duy trì hoạt động của mạng một cách tốt nhất Vì vậy ngườiquản trị mạng cần một công cụ hỗ trợ khả năng quản trị

Đối với một hệ thống mạng, để có thể duy trì mạng hoạt động tốt thì có rấtnhiều thứ phải quản trị như là hiệu năng mạng, lưu lượng mạng, các ứng dụngchạy trên mạng, người sử dụng mạng, an ninh mạng Security Information EventManagement (SIEM) là một giải pháp hoàn chỉnh, đầy đủ cho phép các tổ chứcthực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống Đây làcông nghệ được các chuyên gia bảo mật rất quan tâm trong thời gian gần đây

Nó sử dụng các phương pháp phân tích chuẩn hóa và mối tương quan giữa các

sự kiện để đưa ra cảnh báo cho người quản trị

Được sự hướng dẫn nhiệt tình của thầy giáo, Tiến sĩ Hoàng Tuấn Hảo, em đãtìm hiểu, nghiên cứu đề tài: “Xây dựng thiết bị trinh sát mạng” Đề tài tập trungtìm hiểu mô hình SIEM, nghiên cứu mô hình thiết bị hệ thống riêng biệt và tùychọn trong mã nguồn mở OSSIM, từ đó tích hợp các công cụ an ninh mạng vàothiết bị và ứng dụng lập trình di truyền trong bài toán phát hiện xâm nhập trongvào thiết bị

Do lượng tài liệu chủ yếu bằng tiếng anh và kiến thức còn hạn chế nên khôngtránh khỏi những thiếu sót, rất mong nhận được sự đóng góp của thầy cô và cácbạn

Chương 1 TỔNG QUAN VỀ QUẢN TRỊ HỆ THỐNG AN NINH MẠNG

Ngày nay mạng internet đã lan rộng và phát triển rất mạnh mẽ Kéo theo nhucầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về viễnthông và công nghệ thông tin không ngừng phát triển ứng dụng để nâng caochất lượng và lưu lượng truyền tin

Từ đó các biện pháp bảo vệ thông tin dữ liệu cũng không ngừng đổi mới đảmbảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền thông tin trong các hệthống máy tính Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quátình truyền không thể đọc được bởi bất kì người dùng trái phép và toàn vẹn dữliệu đó trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kì người dùngtrái phép nào thông qua mạng

1.1 Tổng quan về quản trị mạng

Có thể khái quát công việc quản trị mạng bao gồm:

 Quản trị cấu hình, tài nguyên mạng: Bao gồm các công tác quản lý, kiểm soátcấu hình, quản lý tài nguyên cấp phát cho các đối tượng sử dụng khác nhau

 Quản trị người dùng, dịch vụ mạng: Bao gồm các công tác quản lý người sửdụng trên hệ thống và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượngđảm bảo theo đúng các chỉ tiêu đã đề ra

 Quản trị hiệu năng, hoạt động mạng: Bao gồm các công tác quản lý, giám sáthoạt động mạng lưới, đảm bảo các hoạt động của thiết bị hệ thống ổn định

 Quản trị an ninh, an toàn mạng: Bao gồm các công tác quản lý, giám sát mạnglưới, các hệ thống để đảm bảo phòng tránh các truy nhập trái phép. Việc phòngchống, ngăn chặn sự lây lan của các loại virus máy tính, các  phương thức tấncông như Dos làm tê liệt hoạt động của mạng cũng là một phần rất quan trọngtrong công tác quản trị, an ninh, an toàn mạng

 Trong đó hệ thống thông tin quản lý đóng vai trò trung gian giữa hệ thống trợgiúp quyết định và hệ thống thông tin tác nghiệp với chức năng chủ yếu là thuthập, xử lý và truyền tin

1.2 Tổng quan về an ninh mạng

Sự cần thiết phải hội nhập các dịch vụ vào cùng một hạ tầng cơ sở mạng tất cảtrong một là một điều hiển nhiên, làm phát sinh nhanh chóng việc các công nghệđưa vào các sản phẩm có liên quan đến an ninh còn non nớt

Do các nhà quản lý mạng phải cố gắng triển khai những công nghệ mới nhất vào

hạ tầng cơ sở mạng của mình, an ninh mạng trở thành một chức năng then chốttrong việc xây dựng và duy trì các mạng hiện đại của mọi tổ chức

An ninh mạng máy tính là tổng thể các giải pháp về mặt tổ chức và kỹ thuậtnhằm ngăn cản mọi nguy cơ tổn hại đến mạng Các tổn hại có thể xảy ra do: Lỗicủa người sử dụng, các lỗ hổng trong các hệ điều hành cũng như các chươngtrình ứng dụng, các hành động hiểm độc, các lỗi phần cứng…

An ninh mạng máy tính bao gồm vô số các phương pháp được sử dụng đểngăn cản các nguy cơ tổn hại đến mạng và việc đầu tiên phải tập trung vào việcquản trị, kiểm soát được toàn bộ hệ thống mạng, nhưng trước hết cần tập trungvào việc ngăn cản: Lỗi của người sử dụng và các hành động hiểm độc Và mụctiêu của an ninh mạng máy tính là cần phải đảm bảo ba nguyên tắc nền tảng đólà: Đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng

Các loại hình tấn công cơ bản:

Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn

hơn nhiều Một thực tế cho thấy bất bỳ một hệ thống nào dù được bảo vệchắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối Vì vậychúng ta cần phải xây dựng các chiến lượt bảo mật để có thể từng bước bảo vệ

hệ thống an toàn hơn Tấn công chủ động gồm: Tấn công chặn bắt thông tin, tấncông sửa đổi thông tin, chèn thông tin giả mạo, tấn công từ chối dịch vụ…

Tấn công bị động: Biết được thông tin truyền trên mạng Có hai kiểu tấn công

bị động đó là khai thác nội dung thông điệp và phân tích dòng dữ liệu Tấn côngnày chỉ biết được người gửi, người nhận trong phần IP Header của gói tin vàthống kê tần số trao đổi, số lượng, độ dài của thông tin chứ chúng không thểchỉnh sửa hoặc hủy hoại thông tin nội dung trao đổi Kiểu tấn công này khó phát

hiện vì nó không làm thay đổi dữ liệu và không để lại dấu vết rõ ràng Biện pháphữu hiệu để chống lại tấn công này là ngăn chặn.

1.3 Tổng quan về giám sát thông tin

1.3.1 Khái quát giám sát thông tin

Giám sát công nghệ thông tin, hoặc giám sát hệ thống thông tin, là một sựkiểm tra các điều khiển trong phần cơ sở hạ tầng trong công nghệ thông tin.Một giám sát thông tin cần có quá trình thu thập và đánh giá rõ ràng các hệthống thông tin và các hoạt động của một tổ chức Các đánh giá rõ ràng thuđược quyết định nếu hệ thống thông tin là bảo vệ tài sản, duy trì tính toàn vẹn

dữ liệu, và hoạt động hiệu quả để đạt được những mục tiêu hay những mụcđích của tổ chức

1.3.2 Mục đích

Để đánh giá khả năng bảo vệ của tổ chức và phân phối đúng thông tin cho cácbên ủy quyền Việc giám sát thông tin gồm những việc sau:

- Thông tin trong các hệ thống chỉ được tiết lộ cho người dùng có thẩm quyền

- Những thông tin được cung cấp bởi hệ thống luôn được chính xác, tin cậy vàkịp thời

1.4 An ninh bảo mật mạng

Bởi vì không thể có một giải pháp an toàn tuyệt đối nên chúng ta thườngphải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng ràochắn đối với các hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủyếu là bảo vệ thông tin cất giữ trong máy tính

Vì vậy ngoài một số biện pháp nhằm chống thất thoát thông tin trên đườngtruyền, mọi cố gắng tập trung vào việc xây dựng các mức rào chắn từ ngoàivào trong cho các hệ thống kết nối vào mạng

- Giám sát quyền truy cập

Nhằm kiểm soát, thống kê được lưu lượng truy cập, sử dụng tài nguyên củamạng và quyền hạn trên tài nguyên đó Hạn chế và phát hiện kịp thờinhững lượng truy cập và sử dụng trái phép tài nguyên mạng

- Thiết lập tài khoản và mật khẩu

Phương pháp bảo vệ này phổ biến nhất vì nó đơn giản, ít phí tổn và cũng rấthiệu quả Mỗi người sử dụng muốn truy cập vào mạng để sử dụng tàinguyên đều phải có một tài khoản và mật khẩu Trong khi đó, người quản trịmạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác địnhquyền truy cập của những người sử dụng khác

Trong hoàn cảnh thực tế do nhiều nguyên nhân khác nhau như quên mậtkhẩu hay bị đánh cắp mật khẩu Người quản trị mạng chịu trách nhiệm đặt mậtkhẩu hoặc thay đổi mật khẩu theo thời gian

- Mã hóa dữ liệu

Để bảo mật thông tin trên đường truyền chúng ta sử dụng các phươngpháp mã hóa Dữ liệu bị biến đổi từ dạng nhận thức được theo một thuật toánnào đó và sẽ được biến đổi ngược lại ở trạm nhận

- Tường lửa

Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửihoặc nhận vì các lí do nào đó để bảo vệ một máy tính hoặc cả mạng nội bộ

1.5 Yêu cầu đối với thiết bị trinh sát mạng

Theo những phân tích về nhu cầu thực tế, nguy cơ an ninh, giải pháp giám sát

an ninh tập trung cần đáp ứng được một số yêu cầu sau:

 Khả năng quản trị tập trung trên toàn hệ thống Hỗ trợ cả thiết bị vật lý vàthiết bị ảo Khả năng triển khai theo mô hình tập trung hoặc phân tán

 Khả năng thu thập log từ các nguồn: Server, IPS/IDS, Firewall, VPN, Switch,Router, Anti-virus, Anti-Spam, các hệ thống Authentication, DHCP, DAM,Enterprise application như Weblogic, Websphere, SAP ERP, POS Qua cácgiao thức Syslog hoặc bằng các giao thức như: JDBC, SNMP, SDEE, OPSEC,WMI

 Khả năng lưu trữ tạm thời log tại module thu thập nhật ký khi băng thông bịgiới hạn hoặc đường truyền đứt.Và khả năng lưu trữ log với số lượng lớn, hỗ trợviệc phân tích file log theo thời gian thực

 Khả năng tự động xác định các nguồn tạo log (tên các tài sản IT, profile củaứng dụng ) Và phát hiện ra các lỗ hổng bảo mật của các nguồn tạo log và đưa

ra cảnh báo ngay khi các lỗ hổng bảo mật đó bị khai thác

 Khả năng chuẩn hoá và so sánh tương quan các log theo thời gian thực cũngnhư các dữ liệu trong quá khứ nhằm cung cấp cho người quản trị một bức tranhtoàn cảnh về an ninh thông tin theo thời gian Tự động update các rules mới đểđưa ra các xử lý kịp thời khi có nguy cơ mất an toàn mạng

Chương 2

HỆ THỐNG QUẢN LÝ SỰ KIỆN THÔNG TIN AN NINH

Trong nhiều tổ chức, chính sách an ninh hoặc nguyên tắc kinh doanh yêucầu các biến cố an ninh phải được lưu trữ để giám sát và xác định các vấn đề anninh Thông tin thu thập được trong các biến cố an ninh thường rất quan trọng

để tái tạo chuỗi các sự kiện trong quá trình điều tra và quản lý an ninh hệ thống

Số lượng thông tin được tạo ra bởi các thiết bị an ninh và hệ thống có thể rất lớn,trong đó nhiều thông tin không cần thiết, các kiểu định dạng có thể khác nhaunên tỷ lệ chính xác mà các cảnh báo được tạo ra thường rất thấp Hơn thế nữa,các thiết bị khác nhau có thể tạo ra báo cáo về cùng một biến cố an ninh bằngcác cách khác nhau mà không có phương pháp nào để phân biệt được chúng.Bởi vậy, việc xây dựng hệ thống quản lý sự kiện thông tin an ninh hợp lý sẽmang lại lợi ích lớn trong hoạt động quản lý an ninh, làm giảm công sức, tănghiệu quả làm việc của những người quản trị hệ thống thông tin trong việc giámsát các thiết bị an ninh Việc xây dựng và quản lý hệ thống sự kiện thông tin anninh hết sức quan trọng, đòi hỏi kinh nghiệm và công sức của những người quảntrị trong thời gian dài

2.1 Hệ thống mã nguồn mở quản lí sự kiện thông tin an ninh

Sercurity information event management (SIEM) là một giải pháp hoàn chỉnhcho phép các tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin chomột hệ thống SIEM là sự kết hợp một số tính năng của quản lí thông tin an ninh(SEM) và quản lí sự kiện an ninh (SIM) Trong đó hệ thống mã nguồn mở SIEM

có thể được tách làm hai chức năng:

Sercurity event management (SEM): Thu thập các event log data do các thànhphần (thiết bị, ứng dụng) trong hệ thống tạo ra Sau đó tập trung hóa việc lưu trữ

và xử lí, phân tích các sự kiện rồi lập báo cáo, đưa ra thông báo, cảnh báo liênquan đến an ninh của hệ thống

Sercurity information management (SIM): Thông tin được lưu trữ từ SIM,được sử dụng để báo cáo dữ liệu đăng nhập cho bất kì thời gian nhất định.SIEM được định nghĩa như một bộ công nghệ gồm:

- Thu thập log: Thu thập dữ liệu từ nhiều nguồn, bao gồm cả mạng, bảo mật,máy chủ, cơ sở dữ liệu, ứng dụng…cung cấp khả năng hợp nhất dữ liệu đượcgiám sát tránh để mất các sự kiện quan trọng

- Tương quan giữa các sự kiện: Tìm kiếm các thuộc tính chung và liên kết các

sự kiện với nhau

- Nhóm các sự kiện giống nhau

- Phân tích và luồng thông tin

Ba yếu tố chính triển khai cho SIEM:

- Tầm nhìn trước mối đe dọa thời gian thực

- Vận hành hiệu quả

- Tính tuân thủ và các yêu cầu riêng cho hệ thống quản lí log

2.2 Một số các SIEM thương mại và SIEM nguồn mở

2.2.1 Một số các SIEM thương mại

a Giải pháp ArcSight của HP

- HP ArcSight là phiên bản sản phẩm bảo mật của HP bao gồm cả HPTippingPoint và HP Fortify ArcSight Enterprise Sercurity Manager (ESM) làphần mềm theo định hướng quy mô lớn, triển khai SEM tập trung

Hình vẽ 2.1: Mô hình giải pháp ArcSight của HP

- ArcSight Express cung cấp thiết bị dựa trên ESM được thiết kế cho thị trường

cỡ vừa với giám sát và báo cáo định sẵn

- HP ArcSight cho phép bảo vệ an toàn cho hệ thống thông tin của tổ chức,thông qua khả năng cung cấp một bức tranh tổng thể về các hoạt động của hệthống như: các mối đe dọa từ bên ngoài (malware, hackers), các mối đe dọa từbên trong (data breaches, fraud), rủi ro từ các điểm yếu trên ứng dụng và thayđổi cấu hình; đồng thời giải pháp cho phép tuân thủ các tiêu chuẩn an ninh nhưPCI DSS, ISO…

Hình vẽ 2.2: Mô hình dữ liệu đặt trưng

- ArcSight Logger cung cấp thiết bị và phần mềm cung cấp thu thập dữ liệuđăng nhập và chức năng quản lí có thể được thực hiện độc lập hoặc kết hợp vớiESM

- HP ArcSight thực hiện một kết nối hai chiều vào server, cung cấp khả nănglưu trữ dữ liệu, sự kiện vào môi trường phần cứng để truy cập và phân tích event

từ ArcSight Một kết nối Hadpoop hai chiều chung có sẵn ArcSight Faster đượcxem xét cho triển khai SIEM hạng trung ESM là sản phẩm thích hợp cho cáctriển khai lớn hơn

- Thu thập tất cả mọi thứ: đăng nhập dữ liệu từ bất kỳ thiết bị nào được bố trítrên cơ sở hoặc trong đám mây, trong đó có công ty SaaS như Salesforce,Box.net và Okta

- Corre kiến trúc: tối ưu hóa để chạy trên nhiều bộ xử lý, nén dữ liệu cao vànhanh hơn thông qua sự kiện

- Phân tích sự kiện: tìm kiếm tương tác hiệu suất cao, toàn diện khoan xuốngbáo cáo, và cảnh báo thời gian thực

an ninh cần thiết để ngăn chặn mối đe dọa phức tạp ngày nay

o FlexConnector phát triển Kit

o Nắm bắt bất kỳ dữ liệu nào từ bất kỳ thiết bị, Hệ thống hoặc ứng dụng bằngcách sử dụng một đơn giản "kéo và thả" kết nối phát triển khung

o Đăng nhập quản lý Framework.Quản lý và lưu trữ mỗi sự kiện xảy ra trongmôi trường của bạn một cách an toàn và hiệu quả

o Directory hội nhập.Đồng bộ hóa người dùng, vai trò và quyền lợi được thôngtin từ thư mục công ty tìm thấy hoạt động trái phép người dùng, chia sẻ tàikhoản sử dụng, và vi phạm chính sách vai trò

o Web dịch vụ API: Giao tiếp với nhau nó khuôn khổ quản lý để thu thập dữliệu hoặc cung cấp thông minh thông tin cho các nhà phân tích, kiểm toán viên

và quản lý

o Sự kiện Nhật ký được lưu trữ hiệu quả hơn để tìm kiếm và cảnh báo xảy ranhanh hơn nhiều

b Giải pháp QRadar của IBM

Qradar SIEM là một giải pháp SIEM mềm dẻo phù hợp cho các doanh nghiệplớn, cũng như các doanh nghiệp vừa và nhỏ Giải pháp IBM Qradar SIEM có thểđược triển khai theo mô hình phân tán hoặc tập trung

Hình vẽ 2.3: Mô hình giải pháp QRadar của IBMGiải pháp triển khai tập trung của IBM Qradar SIEM bao gồm modul quản trịtập trung, modul xử lí Event và Modul thu thập event đặt ở các site Giải pháptriển khai theo mô hình phân tán của IBM Qradar SIEM rất thuận lợi cho các tổchức có nhiều site đặt ở nhiều nơi khác nhau vì các giải pháp này không cần đẩylog ra khỏi các site để truyền về thiết bị xử lí event.

Qradar SIEM thu thập dữ liệu trên một loại các nguồn cung cấp dữ liệu sửdụng để xác định và quản lí danh sách tội phạm và khách hàng

- Ưu điểm:

+ Event Collector sẽ thu thập log từ các thiết bị và đẩy về thiết bị xử lý event(Event Processor) Trong trường hợp băng thông hạn chế hoặc đường truyềngiữa Event Collector và Event Processor bị đứt Các log sẽ được lưu vào storagecủa Event Collector và được đẩy về Event Processor khi đường truyền đượckhôi phục

+ Event Processor sẽ tiến hành so sánh tương quan các log lấy từ EventCollector

+ Console Appliance thực hiện việc giám sát toàn bộ hệ thống từ việc báocáo, cấu hình, áp đặt chính sách cho các site cũng như tiến hành so sánh tươngquan ở mức toàn bộ hệ thống

+ Module thu thập nhật ký và phân tích (Event Processor): là giao diện làmviệc trực tiếp đến các hệ thống cần thu thập và quản lý nhật ký Các thiết bị cầnquản lý sẽ gửi log tới Event Collector thông qua Syslog hoặc bằng các giao thức

như: JDBC, SNMP, SDEE, OPSEC Giải pháp của IBM cho phép hỗ trợ thuthập log của thiết bị vật lý và thiết bị ảo.

+ Module quản trị tập trung: đây chính là các công cụ cung cấp cho người

quản trị thông qua giao diện Web và giao diện QRadar Console Cung cấp giaodiện quản trị tập trung cho toàn bộ hệ thống SIEM (Security Operation Center).Các giao diện được phân quyền theo vai trò của người quản trị…

Apache LOIS là một bộ sưu tập nhật ký, phần mềm tương quan báo cáo và

chức năng báo động ALOIS được viết tắt “Advanced Log Data Insight System" được hiểu là một mã nguồn mở thực hiện đầy đủ các thông tin bảo mật

SIEM và hệ thống quản lí sự kiện Nhằm giám sát sự an toàn của nội dung, chủđộng trong việc phát hiện khả năng mất, trộm cắp nhầm lẫn sửa đổi hoặc truycập trái phép

Hình vẽ 2.4: Tổng quan về dòng chảy dữ liệu thông qua các module khác nhau

Cấu trúc của Apche ALOIS gồm 5 phần:

+ Insink: Tập hợp các thông điệp (message) đăng nhập khác nhau vào ApacheLOIS Nó là một phần mềm dựa trên phần mềm syslog lắng nghe các thông điệp

UDP, chờ thông điệp TCP và nhận các bộ sưu tập tin như file, email…trước các

bộ lọc để ngăn chặn sự quá tải từ các thông điệp đến hệ thống

+ Pumpy: là một bộ đệm FIFO thực hiện như một bảng cơ sở dữ liệu quan hệ

có chứa các thông điệp đến ban đầu

+ Prisma: phân loại các thông điệp đăng nhập vào các lĩnh vực riêng biệt dựatrên những biểu thức thông thường Trên thực tế Prisma là một tập hợp cácprismi, mỗi một prisma là một dạng thông điệp đăng nhập Một số prismi có thểđược áp dụng cho cùng một thông điệp

+ Dobby là cơ sở dữ liệu log trung tâm

+ Analyzer gồm hai hệ thống Lizard và Reptor Lizard là công cụ phân tíchgiao diện người dùng của Apache LOIS, nó cho phép tương tác các tình duyệtthông qua các dữ liệu thu thập được: Loại trừ, lựa chọn dữ liệu, phân loại dữliệu, lọc dữ liệu Reptor cho phép tự động kích hoạt các chế độ xem và so sánhkết quả của dữ liệu thu thập được với kết quả đã được cấu hình trước đó Trongtrường hợp kết quả không giống nhau thì reptor sẽ gửi kết quả đến các địa chỉ E-mail đã được xác định trước

b Predule IDS

Là một mã nguồn mở được thành lập vào năm 1998 bởi chuyên gia bảo mậtthông tin Yoann Vandoorselaere, Predule IDS được hình thành nhờ sự quan sátvới một số lượng lớn các hệ thống phát hiện xâm nhập để tang cường an ninh,

an toàn cho hệ thống máy tính

Predule IDS là một hệ thống “quản lí thông tin và sự kiện an ninh (SIEM)” nóthu thập, mã hóa , tập hợp tương quan và báo cáo tất cả các sự kiện bảo mật liênquan đến các sự kiện an toàn bảo mật trong hệ thống Ngoài ra nó còn có khảnăng phục hồi bất kì loại log nào hay các bản ghi hệ thống, syslog…

Predule IDS gồm năm thành phần chính gồm:

Sensor: bộ cảm biến là các đơn vị phát hiện được triển khai tại một số điểmtrên mạng Các sensor báo cáo chi tiết các thông tin bảo mật của hệ thống đểquản lí

Managers: Xử lí các dữ liệu tập trung từ các sensor Các manager có thểchuyển tiếp thông báo cho các manager khác hoặc trung tâm xử lí dữ liệu.

Hình vẽ 2.5: Mô hình hoạt động của Predule IDSTrong ví dụ trên ta thấy: Chi nhánh A được quyền truy cập vào các cảnh báođược tạo ra bởi các Sensor D, E, F mà k được truy cập được đến các Sensor A,

B, C nếu chưa được sự cho phép của NOC Tuy nhiên NOC có thể xem đượccác sự kiện được tạo ra bởi các chi nhánh khác như Branch A, B,C…

Counter Measure Agent: Trung tâm truy cập đo nhận dữ liệu từ một hệ thốngmanager khi có sự bất thường của hệ thống và triển khai hệ thống để ngăn chặn

Hình vẽ 2.6: Kiến trúc của PreduleCảm biến sensor có nhiệm vụ phát hiện xâm nhập và báo cáo các dấu hiệu,cảnh báo tới người quản lí bằng cách sử dụng một kết nối TLS tới “Predule-Manager” server Sau đó Predule-Manager có thể xử lí các cảnh báo và và đượclưu vào CSDL của hệ thống như: MySQL, PostgreSQL, tập tin XML…Tất cả sẽđược hiển thị lên một giao diện để xem những dấu hiệu tấn công, các cảnh báocủa hệ thống.

Khả năng tương thích của Predule:

Predule là một hệ thống có khả năng tương thích SIM với tất cả hệ thống cósẵn trên thị trường Được hỗ trợ với nhiều ngôn ngữ khác nhau như C, C+,Python, Ruby, Lua và Perl để người sử dụng có thể dễ dàng hơn trong việc cấuhình hệ thống cũng như chuyển đổi các ứng dụng bảo mật khác nhau

Khả năng tương thích nguồn gốc:

Sự phù hợp giữa Predule và các giải pháp bảo mật làm cải thiện chất lượngkhả năng thu thập và cấu hình dữ liệu:

Khả năng tương thích đăng nhập:

Predule có khả năng phân tích bất kì loại log nào (bản ghi hệ thống,syslog…)

c OSSIM

Hiện tại vấn đề thu thập và quản lý các sự kiện từ tất cả các thiết bị CNTTnhư: FW, IPS/IDS, Servers, Switch, App, Router, đang là vấn đề quan trọngvới doanh nghiệp, nếu không có việc thu thập và quản lý log tập trung và lâu dài

sẽ làm ảnh hưởng đến quá trình phân tích và tìm ra những sự cố trong quá trìnhvận hành, các thông tin bị dò rò rỉ một cách tràn lan trong doanh nghiệp, gây ranhững thiệt hại về kinh tế cho doanh nghiệp, vì vậy giải pháp SIEM củaAlientVault đã ra đời và đáp ứng được các yêu cầu đang tồn đọng trong cáchquản lý thu thập tất cả các sự kiện, các truy cập trái phép vào hệ thống CNTT,giúp người quản trị dễ dàng phát hiện các vấn đề sau:

 Hệ thống giám sát an ninh tập trung của AlientVault sẽ thu thập log và giámsát, báo cáo về các hoạt động xảy ra trên các hệ thống Firewall, Server,Antivirus system, IPS system, các truy cập từ xa, các thiết bị VPN, thiết bị địnhtuyến…

 Ngoài việc thu thập được các thông tin về nguy cơ và sự cố an toàn mạng, hệthống này giúp các doanh nghiệp chủ động và dễ dàng nhận dạng, xử lý nhanhcác nguy cơ này

 AlientVault đáp ứng nhu cầu về việc trang bị một hệ thống giám sát an ninhtập trung chủ động, dễ dàng cài đặt và sử dụng, tiết kiệm thời gian và nhân lựccho quá trình quản trị

 Lưu trữ thông tin dài hạn để làm chứng cứ, phục vụ điều tra theo theo các tiêuchuẩn về bảo mật CNTT

Open Source Security Information Management (OSSIM):là một mã nguồn

mở quản lí thông tin và sự kiện an ninh (Security information and Eventmanagement-SIEM) bao gồm tập hợp các công cụ được thiết kế để trợ giúp cácnhân viên quản trị phát hiện và phòng chống xâm nhập

OSSIM thu thập các thông tin từ các Sensor như Snort, ARPwatch, Ntop…vàđọc các thông tin alert (cảnh báo) từ các loại thông tin như hiện nay nhưCheckPoint, RealSecure, server Unix…phân tích đánh giá mức độ an ninh và rủi

ro của các sự kiện an toàn thông tin

AlientVault OpenSource SIEM (OSSIM) là một hệ thống an ninh toàn diệnbao gồm từ mức độ phát hiện lên đến một mức độ điều hành tạo ra các số liệu vàbáo cáo AlienVault được cung cấp như một sản phẩm bảo mật cho phép bạntích hợp vào một giao diện điều khiển tất cả các thiết bị và các công cụ bảo mật

có sẵn trên mạng của bạn, cũng như cài đặt các công cụ bảo mật có uy tín nguồn

mở như Snort, OpenVas, Ntop và OSSEC…

Các chức năng quan trọng của OSSIM:

Bảo vệ thông tin và tài nguyên quan trọng

Thực hiện theo dõi theo thời gian thực các tài nguyên quan trọng trong hệthống như: File server, các hệ thống kiểm soát và các cơ sở dữ liệu giúp nhận ranhững trạng thái bất ổn ngay cả khi các hệ thống đang hoạt động bình thường.OSSIM phân tích từng mảnh nhỏ các thông tin mà nó thu thập để nhận ra nhữngđiểm yếu trong hệ thống từ đó đưa ra những hành động cảnh bảo sớm cho ngườiquản trị

Cải thiện khả năng điều tra và khắc phục sự cố

Áp lực trong việc thu thập và lưu trữ dữ liệu có liên quan đến kiểm toán từnhiều nguồn khác nhau Việc quản lý nhật ký không hiệu quả, việc tìm kiếmthông tin từ hàng Terabytes dữ liệu là gần như không thể Trong khi các sự kiệnnày thực sự cần thiết trong để hỗ trợ cho việc kiểm toán và điều tra AlientVault

có thể giúp hệ thống lưu trữ và quản lý một lượng lớn dữ liệu nhật ký đồng thờicho phép nhanh chóng xử lý, phân tích điều tra hoặc tự động báo cáo theo cấuhình của người quản trị hệ thống

Theo dõi hành động bất thường của người dùng

AlientVault cung cấp khả năng quan sát toàn diện hệ thống, cho biết ai đangkết nối và làm gì trên hệ thống mạng AlientVault liên kết các thông tin người

dùng như: tên, vai trò cùng với thông tin chính xác về các ứng dụng và vị trítrong mạng để cung cấp khả năng xác minh các kết nối giữa người dùng thực tế(không chỉ dựa vào IP Address) với những hành động có mức độ rủi ro cao.

Cung cấp sự tuân thủ với chi phí thấp

Để vượt qua được các bước trong quá trình kiểm toán, hệ thống mạng của một

tổ chức phải đủ khả năng tự động chống đỡ trước các tấn công và bảo vệ cácthông tin bí mật AlientVault xây dựng sẵn và cung cấp các gói cho phép đápứng các tuân thủ này theo các yêu cầu cụ thể Kết quả là các báo cáo tuân thủ sẽđược tự động thực hiện và kiểm soát tuân thủ được giám sát liên tục, hiệu quảmang lại nhanh chóng trong khi chi phí thấp

Chương 3 XÂY DỰNG THIẾT BỊ TRINH SÁT MẠNG

Xây dựng thiết bị trinh mạng là một công việc rất cần thiết trong công tác cấuhình và quản trị hệ thống mạng, nó đóng vai trò quan trọng giúp người quản trị

có thể chủ động theo dõi hệ thống mạng, phát hiện và giải quyết các sự cố mạngmột cách hiệu quả

Trong đề tài này, em xây dựng một thiết bị trinh sát mạng với mục đích có thểquản trị được một hệ thống mạng thực một cách đơn giản và hiệu quả nhất Qua

đó thiết bị có thể phát hiện các mối đe dọa và cảnh báo đến người quản trị mộtcách kịp thời để ngăn chặn trước các cuộc tấn công Ngoài ra, có thể nghiên cứu,tìm hiểu và sử dụng một số công cụ an ninh mạng điển hình có khả năng thăm

dò, phát hiện các cuộc tấn công, giám sát lưu lượng mạng, quét lỗ hổng, đưa racảnh báo và báo cáo…cho người quản trị

Việc xây dựng thiết bị còn cho phép người quản trị có thể lựa chọn các môhình khác nhau tùy theo mục đích của người sử dụng để có thể cấu hình và càiđặt hệ thống mạng đảm bảo tính an ninh an toàn thông tin Ngoài ra thiết bị cònđược tích hợp thêm tính năng phát hiện xâm nhập nhờ ứng dụng lập trình ditruyền hướng nối cây để sinh ra các luật, các điều kiện, các dấu hiệu xâm nhập

để có thể đưa ra các cảnh báo nhanh chóng và chính xác

Thiết kế hệ thống

 Thiết bị trinh sát mạng bao gồm: ba máy tính được cài Ossim, card mạng,network tap Trong đó:

 Cấu hình máy tính

Các yêu cầu phần cứng AlientVault về cơ bản sẽ phụ thuộc vào số lượng các

sự kiện mỗi giây và thông lượng của mạng muốn bảo vệ Một yêu cầu tối thiểu

là luôn luôn khuyến khích để có ít nhất 4GB Ram Có thể phải tăng bộ nhớ Ram

có sẵn dựa trên thông lượng mạng, số lượng các sự kiện mà các máy chủAlientVault phải xử lý và số lượng dữ liệu cần phải được lưu trữ trong cơ sở dữ

liệu Để đạt được hiệu suất tối đa, nó là cần thiết để chỉ sử dụng những ứng dụng

và các thành phần mà sẽ có ích cho bạn trong từng trường hợp

Theo thông số và yêu cầu của phần mềm mã nguồn mở yêu cầu phần cứngcủa hệ thống như sau:

Hình vẽ 3.1: Yêu cầu hệ thống phần cứng của thiết bị

 Card mạng

Khi xem xét card mạng, bạn nên cố gắng để lựa chọn những hỗ trợ bởi trìnhđiều khiển e1000.Mô hình phát triển nguồn mở của trình điều khiển này đảmbảo khả năng tương thích tốt của các card với Debian GNU / Linux

 Network tap:

+ Là một thiết bị phần cứng để truy cập dữ liệu lưu thông qua mạng máy tính,

có vai trò giám sát lưu lượng mạng giao thông giữa hai điểm mạng

+ Network tap có ít nhất 3 cổng: Cổng A, cổng B và cổng màn hình, một tap

sẽ được chèn vào giữa hai cổng A và B, nó sẽ cho tất cả các lưu lượng mạngtruy cập thông qua không bị cản trở và có một bản sao dữ liệu đến cổng mànhình để nghe thông tin

+ Network tap thường được sử dụng cho các hệ thống phát hiện xâm nhập,thiết bị thăm dò mạng và các thiết bị giám sát và thu thập, thường được sử dụng

trong các ứng dụng bảo mật vì nó không làm ảnh hưởng tới mạng và khó bị pháthiện.

Router Fire Wall

Mail Server

Internet

Web Server FTP Server

Manage Server

Management

Outside Inside

DMZ Sensor

Sensor

Sensor

Hình vẽ 3.2: Sơ đồ bố trí cài đặt các thiết bị

 Chức năng cơ bản của thiết bị: Gồm hai phần chính

3.1.1 Tổng quan về Linux kernel

Kiến trúc cơ bản của hệ điều hành GNU/Linux:

Ở phía trên là người sử dụng, các ứng dụng hoặc không gian người sử dụng.Đây là nơi mà các ứng dụng người dùng thực hiện Dưới không gian sử dụng làkhông gian hạt nhân.

Ngoài ra còn có các thư viện C GNU(glibc) Các thư viện này cung cấp giaodiện hệ thống có thể kết nối với các hạt nhân và cung cấp với các cơ chế chuyểnđổi không gian giữa các ứng dụng và hạt nhân Điều này rất quan trọng vì hạtnhân và ứng dụng chiếm các không gian địa chỉ được bảo vệ ở các mức khácnhau Mỗi quá trình sử dụng không gian địa chỉ ảo riêng của nó, trong đó hạtnhân chiếm một không gian địa chỉ duy nhất

Nhân Linux có thể chia thành ba lớp Trên cùng là giao diện các lời gọi hệthống thực hiện các chức năng cơ bản như đọc, ghi Bên dưới là phần mã nhân

hệ điều hành (kernel code) hoặc chính xác hơn là mã nhân độc lập với kiến trúc

vi xử lý (processor) Các mã lệnh trong lớp này dùng chung cho mọi loạiprocessor mà Linux hỗ trợ Lớp dưới cùng là các mã lệnh phụ thuộc vào kiếntrúc từng loại processor (x86, x86-64, …)

Linux Kernel Diagram:

Hình vẽ 3.3: Mô hình cấu trúc nhân linux

Nhiệm vụ cơ bản của linux kernel:

Linux Kernel thực thi một giao diện máy ảo đối với các tiến trình người sửdụng Linux Kernel tổng hợp tất cả các phần cứng vào một giao diện ảo phùhợp Thêm nữa, Linux hỗ trợ đa nhiệm theo một kiểu mà người sử dụng dễ hiểu:Từng tiến trình một có thể thực hiện, mặc dù nó là tiến trình duy nhất trên máy,loại trừ việc sử dụng bộ nhớ chính và các tài nguyên phần cứng khác Kernelthực tế chạy nhiều tiến trình đồng thời và chịu trách nhiệm việc dàn xếp truy cậptới các tài nguyên phần cứng để cho từng tiến trình truy cập thuận lợi trong khiviệc bảo mật trong các tiến trình vẫn được duy trì

 Quản lý thời gian: Gọi thời gian hệ thống, xác định thời gian CPU, ngắt tiến

trình nếu thời gian thực hiện tiến trình đó quá lâu

 Quản lý tài nguyên: Như là bộ đĩa cứng…

 Quản lý hệ thống file.

 Quản lý các tiến trình.

 Quản lý các bộ điều khiển thiết bị.

 Quản lý lưu lượng mạng.

 Quản lý việc khởi động và dừng máy

 Quản lý bộ nhớ ảo: Để thực thi nhiều tiến trình đồng thời trong khi bộ nhớ có

hạn, Linux tổ chức bộ nhớ trên đĩa như một vùng bộ nhớ Kernel phải “swap”các tiến trình giữa bộ nhớ và bộ nhớ ảo

3.1.2 Cấu trúc bộ cài OSSIM

OSSIM (Open Source Security Information Management) là một mã nguồn

mở quản lý sự kiện, thông tin an ninh bao gồm một tập hợp các công cụ đượcthiết kế để trợ giúp các nhân viên quản trị mạng phát hiện và phòng chống xâmnhập

Cấu trúc bộ cài của OSSIM:

Trong bài em sử dụng Ossim phiên bản:

alienvault_open_source_siem_3.1_32bits.iso

Bộ cài Ossim được viết theo nhiều ngôn như khác nhau như: C, python, PHP,shell script…Có thể hiểu Ossim như là một hệ điều hành Debian(Linux) và tíchhợp các công cụ an ninh mạng trong hệ thống

Các file cấu hình chính của bộ cài tích hợp các công cụ an ninh mạng theođường dẫn: \pool\main\ \

Là file tập hợp tất cả các công cụ an ninh mạng được tích hợp vào OSSIMnhư Arpwatch, P0f, Pads, Fprobe, Snort, Nessus, Ntop…

Và các file cấu hình như:

Khả năng hoạt động của OSSIM:

 Sự trích suất: Mục đích OSSIM không chỉ để thu thập thông tin chi tiết dựatrên IDS hoặc giám sát thụ động, mà còn thực hiện một quá trình trích suất trong

đó hàng triệu sự kiện kỹ thuật nhỏ trở thành hàng chục báo động mà con người

có thể hiểu được Một phần chính của việc trích suất được thực hiện chủ yêu bởicông cụ Tương quan, cho phép người quản trị để tạo ra Chỉ dẫn Tương quanhoặc các mẫu để kết hợp các sự kiện nhỏ khác nhau để đưa các kết luận ở mức

độ cao hơn

 Lọc các cảnh báo sai: Một mục tiêu quan trọng của các sự kiện an ninh tươngquan là để chống lại khối lượng lớn các báo động được tạo ra bởi IDS và cácthiết bị an ninh nói chung Các tổ chức nhận có thể được hàng triệu cảnh báo saimỗi ngày, làm cho người quản trị không thể kiểm tra tất cả Các chỉ dẫn tươngquan OSSIM kiểm tra các sự kiện này bằng cách tìm kiếm các chứng cứ để chắc

chắn rằng đó có phải là các cuộc tấn công thật hay không Mặc định, OSSIMcung cấp một giá trị thấp về tham số tin cậy của hầu hết các sự kiện và sẽ tăngcho đến khi các kiểm tra được cung cấp bởi các công cụ tương quan.

 Quản lý rủi ro: OSSIM hoạt động, báo cáo và đưa ra các phản ứng bằng cách

sử dụng các thông số rủi ro Rủi ro được tính toán và lưu trữ cho từng sự kiệnriêng lẻ được thu thập Tiến trình quản lý an ninh đầy đủ bởi đánh giá này, gây

ra các phản ứng tự động, báo cáo báo động và tổng hợp các trạng thái rủi ro củamạng

3.1.3 Các công cụ an ninh được tích hợp trong OSSIM

Các công cụ mã nguồn mở được tích hợp trong OSSIM:

 Snort IDS.

Là một công cụ mã nguồn mở có khả năng phát hiện xâm nhập, những dấu

hiệu bất thường, phân tích lưu lượng và gói tin đăng nhập trên các mạng IP Nó

có thể thực hiện phân tích các giao thức, các nôi dung tìm kiếm và có thể pháthiện hàng loạt các cuộc tấn công và thăm dò như tấn công tràn bộ đệm, quétcổng tàng hình, tấn công CGI, thăm dò SMB…

Snort bao gồm nhiều thành phần, với mỗi thành phần thực hiện một chứcnăng riêng:

+ Module giải mã gói tin

+ Module tiền xử lí

+ Module phát hiện

+ Module log và cảnh báo

+ Module kết xuất thông tin

 Nessus: quét lỗ hổng.

Là một công cụ quét lỗ hổng bảo mật dùng để kiểm tra tính an toàn cho một

hệ thống, tính bảo mật của một trang web từ xa, máy tính cục bộ hay những thiết

bị bảo vệ thông tin…

Các thành phần chính của Nessus gồm:

+ Nessus Engine: nhận, thực thi và trả lời lại các yêu cầu quét của ngườidùng Việc quét các lỗ hổng được thực hiện theo các chỉ dẫn của các plugin (mộttập các câu lệnh script của ngôn ngữ kịch bản NASL)

+ Nessus Plugin: hệ thống file của ngôn ngữ kịch bản NASL, gồm các fileđịnh nghĩa inc và file kịch bản nasl

+ Nessus Server (nessusd): thực hiện nhận các yêu cầu quét của người dùng,sau đó phân tích, tổng hợp, trả lại kết quả cho Nessus client

+ Nessus Client: hiển thị kết quả quét lại cho người dùng thông qua trìnhduyệt web

+ Nessus Knowledge Base: “Cơ sở dữ liệu đã biết” của Nessus cho phép cácplugin sau tận dụng dữ liệu kết quả của Plugin trước đó Điều này giúp Nessus

dễ dàng mở rộng và tăng tốc độ thực thi

 Ntop: giám sát mạng.

Là công cụ được dùng để giám sát và đo lường lưu lượng mạng Ntop cungcấp các biểu đồ và các số liệu thống kê từ việc phân tích các lưu lượng mạngđược giám sát Ntop đồng thời cũng chứa rất nhiều thông tin về các loại dữ liệuchạy trong mạng, tạo một hồ sơ cho phép theo dõi từng người dùng trong mạng.Công việc chính của Ntop:

+ Đo lường lưu lượng

+ Giám sát lưu lượng

+ Lập kế hoạch và tối ưu hóa mạng

+ Phát hiện các vi phạm an ninh mạng

 Nagios: giám sát hiệu năng.

Là một công cụ giám sát các ứng dụng, dịch vụ, điều hành hệ thống, giao thứcmạng, hệ thống số liệu và các thành phần cơ sở hạ tầng

Nagios có các chức năng:

+ Giám sát trạng thái hoạt động của các dịch vụ mạng(SMTP, HTTP, ICMP,FTP, SSH, DNS, web proxy, name server, TCP port, UDP port, cơ sở dữ liệumysql… )

+ Giám sát các tài nguyên các máy phục vụ và các thiết bị đầu cuối: Tìnhtrạng sử dụng CPU, tình trạng sử dụng ổ đĩa cứng, tình trạng sử dụng bộ nhớtrong và swap, số tiến trình đang chạy, các tệp log hệ thống…

+ Giám sát các thông số an toàn các thiết bị phần cứng trên host như: nhiệt độCPU, tốc độ quạt, pin, giờ hệ thống…

+ Giám sát các thiết bị mạng có IP như switch, router và máy in, Nagios cóthể theo dõi tình trạng hoạt động của từng trạng thái bật tắt của từng cổng, lưulượng băng thông qua mỗi cổng

+ Cảnh báo cho người quản trị bằng nhiều hình thức như email, tin nhắn bằng

âm thanh nếu có thiết bị, dịch vụ gặp trục trặc

+ Tổng hợp, lưu trữ và báo cáo định kỳ về tình trạng hoạt động của mạng

 Osiris, Snare: host IDS

 Spade, HW Aberant Behaviour: phát hiện bất thường

 Arpwatch, P0f, Pads, Fprobe: giám sát thụ động

 Nmap: quét mạng

 Acid/Base: phân tích pháp lý

 OSVDB: cơ sở dữ liệu lỗ hổng

 Một vài chương trình nhỏ khác như là Oinkmaster, PHPAcl, fw1logcheck,ScanMap3d…

Danh sách các mô-đun kết nối tất cả các chương trình trên với nhau:

 Hệ thống thu thập

 Tương quan lô-gic, chéo, kiểm kê

 Quản lý thống kê

 Quản lý chính sách ưu tiên, thu thập

 Các báo cáo an ninh

 Quản lý sự cố và phản ứng

Tất cả các công cụ mã nguồn mở trên được xây dựng riêng biệt trên bộ càiOSSIM, mỗi một công cụ đảm nhiệm một chức năng khác nhau, tuy nhiên

chúng được thiết kế để có thể giao tiếp, kết nối và hỗ trợ nhau trong việc xâydựng hệ thống an ninh mạng cho thiết bị.

3.2 Xây dựng module kết nối truyền dữ liệu với hệ thống trung tâm hoạt động trên thiết bị thu thập thông tin an ninh mạng.

Công việc cốt lõi của OSSIM là có trách nhiệm thu thập sự kiện, quản lý vàtương quan, cũng như đánh giá rủi ro và cảnh báo, các công cụ này được viếtbằng C Các công cụ khác được cung cấp bởi OSSIM bao gồm agent (được viếtbằng Python) sử dụng để thu thập thông tin hệ thống mạng, một giao diện dựatrên nền web PHP, và Python daemon, framework, chịu trách nhiệm quản lý vàgiám sát các bộ phận khác của OSSIM Để lưu trữ dữ liệu, OSSIM dựa trên cơ

sở dữ liệu SQL

Để đơn giản trong quá trình quản lý thông tin trên mạng bao gồm các host hayFirewall hay IDS, server , OSSIM là tập hợp các thành phần riêng lẻ được tíchhợp lại, cho phép chúng ta điều khiền qua giao diện web

Một hệ thống OSSIM điển hình được triển khai bao gồm bốn nhân tố: Sensor,Server, Database, Framework Tất cả các thành phần của OSSIM là các moduleđộc lập và có thể cấu hình theo nhu cầu của người quản trị Tất cả thành phầnnày có thể được đặt ở các phần cứng khác nhau, tách riêng từng thành phần hoặcđặt chung chúng trên cùng một thiết bị

Hình vẽ 3.4: Kiến trúc hệ thống OSSIM

 Sensor: các thiết bị được triển khai trong mạng để giám sát các hoạt động

mạng

Chúng thường là:

 Là các detector và monitor, thu thập dữ liệu một cách thụ động thông qua cácbản mẫu (không ảnh hưởng đến lưu lượng mạng) và được lưu trong các Agentcủa OSSIM

 Là các scanner host, chủ động tìm kiếm các lỗ hổng trong mạng

 Gồm các agent OSSIM, có vai trò nhận dữ liệu từ các host trong mạng nhưrouter hoặc firewall, giao tiếp và gửi dữ liệu các sự kiện tới server quản lí trungtâm và được cấu hình trong file Output.py trong ossim-agent

 Một cấu hình sensor OSSIM điển hình gồm các chức năng như : IDS (Snort),Quét lỗ hổng (Nessus), Phát hiện sự bất thường (Spade, p0f, pads, arpwatch,RRD ab behaviour), Giám sát mạng (Ntop), Thu thập thông tin từ routers,

firewalls, IDS's Các công cụ này được tích hợp vào file cấu hình của sensor.Avconfig_profile_sensor.pm

Vd: Các công cụ được tích hợp trong Sensor

debug_log("Sensor Profile: Update OSSEC timezone (localtime file)");

my $command="if [ -f /etc/localtime ] && [ -f /var/ossec/etc/localtime ]; thenprov=`md5sum /etc/localtime| awk -F\' \' \'{print\$1}\'`; inst=`md5sum/var/ossec/etc/localtime| awk -F\' \' \'{print\$1}\'`; if [ \"\$prov\" != \"\$inst\" ];then cp -f /etc/localtime /var/ossec/etc/localtime; fi; fi";

}

 Server: Công việc chính của một Server là chuẩn hóa, thu thập, ưu tiên hóa,

đánh giá rủi ro và thiết lập mối tương quan các bộ máy bên trong Các công việcduy trì hoạt động như sao lưu, lập lịch sao lưu, tạo các thư mục online hoặc tiếnhành quét toàn bộ hệ thống

Việc thu thập thông tin, chuẩn hóa và đánh giá rủi ro cho hệ thống, phân loạicác loại tập tin, các dấu hiệu bất thường cho hệ thống…sẽ được gửi lênframework để phân loại hành động và mức độ cảnh báo cho hệ thống…vàdatabase để lưu trữ các sự kiện, các thông tin cho hệ thống qua port 3306

 Framework: Quản lý các thành phần OSSIM và kết nối chúng lại với nhau.

Cung cấp giao diện web, Quản lý cấu hình thành phần OSSIM và truyền thông

 Cơ sở dữ liệu (database): Cơ sở dữ liệu lưu trữ các sự kiện, các thông tin

hữu ích cho việc quản lý của hệ thống Nó là cơ sở dữ liệu SQL

3.3 Xây dựng module phân tích sự kiện an ninh thông tin

3.3.1 Mô hình phân tích Logs file

Phân tích, chuẩn hóa các logs file về cơ bản là khai phá một log message,trích xuất các giá trị cần thiết đưa vào các trường, sau đó có thể được lưu trữtrong một cơ sở dữ liệu để từ đó chạy các truy vấn Quá trình trích xuất các giátrị ra khỏi các log message và chuyển tới các trường được gọi là Normalization.Bởi vì các logs file được tạo ra bởi nhiều nguồn không theo bất kỳ tiêu chuẩnnào.Một số ít là rất dễ để người phân tích hệ thống mạng có thể đọc được, tuynhiên đa phần những cái khác có định dạng phức tạp và có thể được mã hóa theotiêu chuẩn của nhà sản xuất Vì vậy, đối với bất kỳ hệ thống chúng ta muốn sửdụng tốt các bản ghi, chúng ta cần một công cụ để phân tích cú pháp để đọc cácbản ghi và trích xuất các thông tin từ chúng vào các dạng thông tin tiêu chuẩn(tên người dùng, địa chỉ ip…)

Quá trình thu thập phân tích Logs file được xử lý như sau:

 Chìa khóa để hệ thống thu thập Logs và Normalization là Agent, một thànhphần trên các AlienVault Sensor.Các Agent xử lý các file log thông qua cácPlugins

Hình vẽ 3.5 Cấu trúc plugin-Agent

 Các Event Messages quan trọng được gán Security ID và được phân loạitrong các fields của normalized.Các Agent chuyển giao các bản ghi đã được xử

lý đến AlienVault Server

Các Agent chịu trách nhiệm thu thập tất cả các dữ liệu được gửi bởi các thiết

bị khác nhau hiện có trên mạng, để sau đó gửi nó đến máy chủ OSSIM trongmôi trường đã được tiêu chuẩn hóa Mục đích chuẩn hóa các sự kiện trước khigửi chúng đến máy chủ là để sau này có thể đối phó với những sự kiện như nhau

và để lưu trữ và xử lý đơn giản và mạch lạc hơn

Tất cả log file của những hệ thống hoặc thiết bị mà Sensor thu thập được, đòichúng phải một Plugin được tạo ra để diễn giải,chuyển đổi thành các sự kiện anninh mạng để phục vụ cho việc xử lý tương quan sự kiện sau này ở Ossimserver Một khi các dữ liệu này đã được chuẩn hóa nó sẽ được thông qua cácchức năng còn lại của các Agent để được gửi đến máy chủ OSSIM trong hìnhthức của một sự kiện an ninh mạng

Quá trình xây dựng một Agent Alienvault bao gồm 2 công việc sau:

 Cấu hình hệ thống: Phần cấu hình được sử dụng để xem xét các Logs file,dịch vụ liên quan đến kiểm soát và cấu hình các loại plugin mà chúng ta đã tạo

 Định nghĩa các Plugin: Các Plugin này được sử dụng biểu thức chính quy đểxác định các biến cần thiết của sự kiện an ninh mạng như Source IP, SourcePort, Destination IP, Destination Port, Username, Password, Userdata#

[event-consolidation]: Cho phép củng cố sự kiện ở cấp độ Agent Bạn nên sử

dụng chính sách thay vì điều này tính năng như hợp nhất ở cấp độ Agent ảnh

hưởng đến quá trình tương quan Bao gồm các biến: by_plugin, enable time.

[log] Cấu hình mức độ chi tiết và đường dẫn đến các logs file khác nhau bao

gồm các biến: Error, file, stats, verbose

[output-plain]: Viết trong một los file những gì đang được gửi đến OSSIM

Server bao gồm các biến: enable, file.

[output-server]: Cấu hình máy chủ mà các sự kiện được gửi bao gồm các biến:

enable, ip, port

[plugin-defaults]: Trong mục này biến có thể được định nghĩa để được sử dụng

trong các cấu hình bổ sung

[plugins]: Trong đó các plugin (detectors and monitors) được kích hoạt

Tên của plugin=đường dẫn tới thư mục cấu hình file plugin

[watchdog]: Giám sát các quá trình liên quan đến mỗi plugin (Trong trường hợp

nó đang chạy trong cùng một máy) bao gồm các biến enable, interval,

Có 2 kiểu kết nối của Plugin với nguồn dữ liệu đó là Detectors và Monitors

 Detector: plugin nhận được thông tin cung cấp các sự kiện từ chúng (Snort,Firewalls, Antivirus, Web servers, OS events ) Log Files được tạo bởiRSYSLOG system Log data được lấy từ hệ thống từ xa thông qua một trong cácgiao thức thu thập như SDEE and SFTP

 Monitor: Các thông tin cung cấp thông qua các chỉ số được thu thập từ cáccông cụ cài đặt trên hệ thống.( Ntop, Tcptrack, Nmap, Webs, Compromise &Attack )

Mỗi kết nối với nguồn dữ liệu được xây dựng trên hai tập tin:

 Plugin.cfg

Chứa các thông số cấu hình của các plugin và các quy tắc một sự kiện có để phùhợp để có thể được thu thập và chuẩn hóa.

 Plugin.sql

Chứa thông tin về tất cả các sự kiện có thể có thể được thu thập bằng cách sửdụng plugin (Plugin_id, Plugin_sid, tên được đặt cho sự kiện, độ ưu tiên, độ tincậy)

Cấu trúc tập tin Plugin sẽ có (ít nhất) ba phần chính:

 Default: Chứa thông tin có thể được tham khảo và lấy từ khắp mọi nơi.

 Config: Chứa các thông tin địa phương mà chỉ có thể được tham chiếu từ bên

ngoài hoặc tập tin trong phần riêng của nó

 ossim-agent-format: thực tế mã phân tích sự kiện, bạn có thể có nhiều phầncho nhiều sự kiện. Ngoài ra, phần khác có thể được sử dụng

 Translation: Có những plugins không thể đọc được định dạng đã mã hóa theođịnh dạng riêng của file nguồn, số "plugin_sid" không có thể được chiết xuất từ các log message và phải được chuyển đổi với một danh sách Danh sách nàyđược tạo ở đây

Cấu trúc của Plugin Detector bao gồm:

 plugin_id: Người dùng được dành khoảng 9000 – 10000

 Source: Log, Mssql Database, Mysql Database,Windows ManagementInstrumentation (wmi-system-logger), SDEE (Bản ghi thiết bị Cisco), SnortLog

 Location: đường dẫn tới tập tin lưu trữ sự kiện

 create_file: Tạo ra các tập tin trong trường hợp nó không tồn tại (false/true)

 process / start / stop / startup / shutdown: Các thiết lập được tạo nếu các quátrình đang chạy trên cùng 1 hệ thống

 Rule: Quy tắc xác định các định dạng của mỗi sự kiện và cách thức chúngđược chuẩn hóa

 Nó được viết bằng một biểu thức chính quy và danh sách các trường mà các

sự kiện sẽ có và một khi nó được gửi đến các AlienVault SIEM Trong một số

trường hợp chỉ có một biểu thức chính quy sẽ thu thập tất cả các sự kiện đến từmột ứng dụng, trong trường hợp khác đòi hỏi cần nhiều hơn một rule.

Ví dụ về 1 Rule:

 Tên của quy tắc là bắt buộc và quy tắc được nạp vào theo thứ tự chữ cái dựatrên tên được đặt cho từng quy tắc Một khi các bản ghi phù hợp với một regexcủa một quy tắc ossim agent thì dừng việc xử lý sự kiện.Quy tắc chung phảiđược nạp vào bộ nhớ cuối cùng, chúng sẽ có thể khớp với tất cả các sự kiện

 Rule phải bao gồm các event_type Các trường sau đây có thể được sử dụng

để chuẩn hóa sự kiện này:

Các field lưu trữ các event security

Trong đó: Các field màu đỏ bao gồm các giá trị mà luôn luôn phải được xácđịnh trong các plugin Các field màu xanh lá cây có thể sẽ được lấp đầy bởi cácAlienVault agent trong trường hợp chúng không thể tìm thấy trong log banđầu(Không bao gồm dòng khi tạo các plugin) Các field màu xám là tùy chọn

 Regexp: Biểu thức chính quy là 1 dạng kĩ thuật nhỏ mà hữu ích trong 1 vùngrộng lớp của chương trình, mặc dù không được nhiều nhà phát triển biết đến Nó

có thể hiểu như là 1 ngôn ngữ nhỏ dùng cho mục đích: để tìm chuỗi con trongbiểu thức chuỗi lớn, nó không phải là một kĩ thuật mới, xuất phát từ môi trườngUNIX, được dùng trong nhiều ngôn ngữ lập trình

 Các lĩnh vực biểu thức chính quy có chứa các biểu thức định nghĩa các địnhdạng của các sự kiện, và chiết xuất các thông tin để chuẩn hóa sự kiện này

 Các biểu thức thông thường được viết bằng cách sử dụng cú pháp biểu thứcchính quy được viết bằng ngôn ngữ Python