1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu xây dựng hệ thống giám sát an ninh mạng dựa trên mã nguồn mở

127 2 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 127
Dung lượng 6,52 MB

Nội dung

BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG DỰA TRÊN Mà NGUỒN MỞ Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Nguyễn Công Vĩnh – MSSV: AT150265 Người hướng dẫn: ThS Lê Văn Thuận Học viện Nông nghiệp Việt Nam Hà Nội, 2023 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG DỰA TRÊN Mà NGUỒN MỞ Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Nguyễn Công Vĩnh – MSSV: AT150265 Người hướng dẫn: ThS Lê Văn Thuận Học viện Nông nghiệp Việt Nam Hà Nội, 2023 MỤC LỤC Danh mục ký hiệu viết tắt iii Danh mục hình vẽ iv Danh mục bảng viii Lời cảm ơn ix Lời nói đầu x CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG 1.1 Tình hình an ninh mạng 1.2 Hệ thống giám sát an ninh mạng 1.3 Vai trò hệ thống giám sát an ninh mạng 1.4 Nghiên cứu hệ thống giám sát an ninh mạng tích hợp CHƯƠNG NGHIÊN CỨU CÁC CÔNG CỤ AN NINH MẠNG 2.1 pfSense Firewall 2.1.1 Firewall 2.1.2 pfSense Firewall 12 2.1.3 Các tính pfSense Firewall 14 2.1.4 Một số dịch vụ pfSense 19 2.2 Suricata IDS/IPS 20 2.2.1 Hệ thống phát xâm nhập 20 2.2.2 Suricata IDS/IPS 23 2.3 ModSecurity WAF 29 2.3.1 Web Application Firewall 29 2.3.2 ModSecurity 30 2.4 ELK Stack 34 2.4.1 Giới thiệu ELK Stack 34 2.4.2 Elasticsearch 35 2.4.3 Logstash 43 2.4.4 Kibana 49 2.4.5 Elastic Agent 50 2.4.6 Integrations 50 CHƯƠNG THIẾT KẾ VÀ TRIỂN KHAI HỆ THỐNG 52 3.1 Phân tích thiết kế mơ hình triển khai 52 3.1.1 Yêu cầu hệ thống: 52 3.1.2 Sơ đồ hệ thống mạng 52 3.2 Triển khai hệ thống 53 3.2.1 Thiết lập Vmware 53 3.2.2 Triển khai pfSense Firewall 56 3.2.3 Triển khai ELK Stack 78 3.2.4 Cấu hình thu thập log pfSense 84 3.2.5 Triển khai Suricata IDS 88 3.2.6 Triển khai ModSecurity WAF 94 i CHƯƠNG THỬ NGHIỆM VÀ ĐÁNH GIÁ KẾT QUẢ 101 4.1 Cấu hình rules công cụ 101 4.1.1 Cấu hình Rules pfSense 101 4.1.2 Cấu hình Rules Suricata 102 4.1.3 Cài đặt OWASP Core Rule Set – ModSecurity WAF 103 4.2 Thử nghiệm công 103 4.2.1 Tấn công Ping of Death 103 4.2.2 Tấn cơng dị qt cổng từ máy mạng LAN 104 4.2.3 Tấn công XSS, SQL Injection tới máy WebServer 105 4.2.4 Cài đặt mã độc đào tiền ảo vào máy mạng LAN 107 4.3 Đánh giá kết 108 4.3.1 pfSense Dashboard – Theo dõi Firewall 108 4.3.2 Suricata Dashboards – Phát xâm nhập 109 4.3.3 ModSecurity Dashboard – Phát công Web App 109 4.3.4 Hosts Metric Dashboard – Giám sát máy mạng 110 4.3.5 Các Dashboard khác 111 KẾT LUẬN 113 TÀI LIỆU THAM KHẢO 114 ii DANH MỤC KÝ HIỆU VÀ VIẾT TẮT CA Certificate Authority – Nhà cung cấp chứng Cert Certificate – Chứng CNTT Công nghệ thông tin DMZ Demilitarized Zone – Vùng phi quân ELK Elasticsearch, Logstash, Kibana IDS Intrusion Detection System – Hệ thống phát xâm nhập IP Internet Protocol IPS Intrusion Prevention System – Hệ thống ngăn chặn xâm nhập LAN UI Local Area Network – Mạng cục User Interface – Giao diện người dùng WAF Web Application Firewall – Tường lửa ứng dụng Web WAN Wide Area Network – Mạng diện rộng XSS Cross Site Scripting iii DANH MỤC HÌNH VẼ Hình 1.1 Tấn cơng mạng nhằm vào doanh nghiệp ASEAN năm 2022 Hình 1.2 Số máy tính Việt Nam bị nhiễm dịng mã độc phổ biến năm 2022 Hình 1.3 Hệ thống giám sát mạng Hình 1.4 Logo pfSense Hình 1.5 Logo Suricata Hình 1.6 Logo ModSecurity WAF Hình 1.7 Logo ELK Stack Hình 2.1 Packet-filtering firewall Hình 2.2 Application-level firewall 10 Hình 2.3 Circuit–level Firewall 10 Hình 2.4 Stateful inspection firewall 11 Hình 2.5 Mơ hình tường lửa lớp 12 Hình 2.6 Mơ hình tường lửa hai lớp 12 Hình 2.7 Mơ hình tường lửa ba lớp 12 Hình 2.8 pfSense Port forward 14 Hình 2.9 pfSense Rules 15 Hình 2.10 pfSense Schedules 15 Hình 2.11 pfSense Traffic shaper 16 Hình 2.12 pfSense Virtual Ips 17 Hình 2.13 pfSense VPN 18 Hình 2.14 Suricata 23 Hình 2.15 Lịch sử phát triển Suricata 24 Hình 2.16 Suricata Rule Format 25 Hình 2.17 Minh họa ModSecurity 31 Hình 2.18 Quá trình xử lý ModSecurity 33 Hình 2.19 Mơ hình Massive Parallel Processing 37 Hình 2.20 Mơ hình cụm Cluster ElasticSearch 37 Hình 2.21 Tiến trình phân tích từ tố (Analysis) ElasticSearch 43 Hình 2.22 Giới thiệu Logstash 44 Hình 2.23 Tiến trình ETL 45 Hình 2.24 Các tiến trình hoạt động Logstash 45 Hình 2.25 Cơ chế Pull, Push Logstash 46 Hình 2.26 Màn hình Kibana 49 iv Hình 2.27 Minh họa Elastic Agent 50 Hình 2.28 Quản lý Integrations 51 Hình 3.1 Sơ đồ hệ thống mạng 53 Hình 3.2 VMWare Virtual Network 53 Hình 3.3 Vmware Virtual Network Editor 54 Hình 3.4 DMZ Network 54 Hình 3.5 LAN Network 55 Hình 3.6 Data Network 55 Hình 3.7 pfSense – Tải ISO 56 Hình 3.8 pfSense – Cấu hình máy ảo 56 Hình 3.9 pfSense – copyright and Distribution 57 Hình 3.10 pfSense – Welcome 57 Hình 3.11 pfSense – Keymap 58 Hình 3.12 pfSense – Partition 58 Hình 3.13 pfSense – ZFS Config 59 Hình 3.14 pfSense – Virtual Device Type 59 Hình 3.15 pfSense – Select disk 60 Hình 3.16 pfSense – Confirm Install 60 Hình 3.17 pfSense – Finished 61 Hình 3.18 pfSense – Panel 61 Hình 3.19 pfSense – WAN Config 62 Hình 3.20 pfSense – LAN IP Config 63 Hình 3.21 pfSense – LAN 64 Hình 3.22 pfSense – Interfaces Assigned 65 Hình 3.23 LAN Client 65 Hình 3.24 LAN IP address 66 Hình 3.25 DMZ IP address 66 Hình 3.26 pfSense – Vị trí xác Interface 67 Hình 3.27 pfSense – LAN IP Address mong muốn 67 Hình 3.28 pfSense – Web UI 68 Hình 3.29 pfSense – General Information 68 Hình 3.30 pfSense – Timezone 69 Hình 3.31 pfSense – Home Page 69 Hình 3.32 pfSense – Apply Changes 70 Hình 3.33 pfSense – Tên Interfaces mong muốn 70 v C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Hình 3.34 pfSense – DMZ net rule 71 Hình 3.35 pfSense – DATA net rule 71 Hình 3.36 pfSense – OpenVPN CA 72 Hình 3.37 OpenVPN Server Cert 72 Hình 3.38 OpenVPN User Cert 73 Hình 3.39 pfSense – OpenVPN Server IP 74 Hình 3.40 pfSense – OpenVPN Servers 74 Hình 3.41 pfSense WAN Rule for OpenVPN 75 Hình 3.42 Cấu hình vùng mạng OpenVPN 75 Hình 3.43 pfSense – OpenVPN Client Export 76 Hình 3.44 pfSense – Client Export Utility 76 Hình 3.45 Export Client Config 76 Hình 3.46 OpenVPN Client Config 77 Hình 3.47 Thử nghiệm VPN Client 77 Hình 3.48 Thiết lập mạng ELK Server 78 Hình 3.49 ELK – netplan config 79 Hình 3.50 ELK – Địa IP 79 Hình 3.51 ELK – Nhập Enrollment Token 82 Hình 3.52 ELK – Nhập Verify Code 82 Hình 3.53 ELK – Trang đăng nhập 83 Hình 3.54 ELK – Trang chủ 83 Hình 3.55 ELK – pfSense Integration 84 Hình 3.56 ELK – pfSense – Add agents 85 Hình 3.57 ELK – pfSense – elastic–agent.yml 86 Hình 3.58 ELK – pfSense – Hoàn tất cài đặt agent 86 Hình 3.59 ELK – pfSense – Syslog Settings 87 Hình 3.60 pfSense – DNS Resolver custom options 87 Hình 3.61 pfSense – DNS Resolver Log level 88 Hình 3.62 pfSense – tìm kiếm Suricata package 88 Hình 3.63 pfSense – cài đặt thành công Suricata 89 Hình 3.64 pfSense – Syslog–ng 89 Hình 3.65 Logstash certs 89 Hình 3.66 Suricata – Add LAN interface 91 Hình 3.67 Suricata log path 91 Hình 3.68 pfSense – Syslog–ng – Advanced 93 Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn vi C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Hình 3.69 Import Suricata saved object 93 Hình 3.70 Webserver – Đưa vào DMZ 94 Hình 3.71 Webserver – Netplan 94 Hình 3.72 Địa IP WebServer 95 Hình 3.73 Cài đặt thành cơng ModSecurity 96 Hình 3.74 Nginx config 97 Hình 3.75 ModSecurity Audit Integration 98 Hình 3.76 ModSecurity Audit Integration Install 99 Hình 3.77 ModSecurity Audit – Add agents 99 Hình 3.78 ModSecurity Audit – elastic–agent.yml 100 Hình 3.79 ELK – ModSecurity – Hồn tất cài đặt agent 100 Hình 4.1 pfSense – LAN Rules 101 Hình 4.2 pfSense – DMZ Rules 102 Hình 4.3 pfSense – Data Rules 102 Hình 4.4 Ping of Death Attack 104 Hình 4.5 Nmap Scan Attack 105 Hình 4.6 Response 403 106 Hình 4.7 Coin mining 107 Hình 4.8 Firewall – Dashboard [pfSense] 108 Hình 4.9 Unbound - Dashboard [pfSense] 108 Hình 4.10 Suricata Dashboard 109 Hình 4.11 ModSecurity Dashboard 109 Hình 4.12 [Metrics System] Overview 110 Hình 4.13 Theo dõi máy bị công chèn mã độc đào tiền ảo 111 Hình 4.14 SSH Login Dashboard 111 Hình 4.15 SSH Login Dashboard 112 Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn vii C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an DANH MỤC BẢNG Bảng 2.1 Các toán tử địa Suricata Rule 27 Bảng 2.2 Ví dụ tốn tử địa Suricata Rule 27 Bảng 2.3 Toán tử cổng Suricata Rule 28 Bảng 2.4 Ví dụ toán tử cổng Suricata Rule 28 Bảng 3.1 Địa IP phân vùng mạng 52 Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn viii C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Tải thiết lập agent lên máy elk curl –L –O https://artifacts.elastic.co/downloads/beats/elastic– agent/elastic–agent–8.7.0–linux–x86_64.tar.gz tar xzvf elastic–agent–8.7.0–linux–x86_64.tar.gz cd elastic–agent–8.7.0–linux–x86_64 rm elastic–agent.yml Sau tạo file elastic–agent.yml chứa config vừa copy thay đổi username, password thành elastic password elastic Hình 3.78 ModSecurity Audit – elastic–agent.yml Lưu file elastic–agent.yml lại sau chạy lệnh sau để tiến hành chạy Agent sudo /elastic–agent install Khi bắt đầu cài đặt, ta hỏi số câu hỏi Elastic Agent will be installed at /opt/Elastic/Agent and will run as a service Do you want to continue? [Y/n]:Y Do you want to enroll this Agent into Fleet? [Y/n]:n Hình 3.79 ELK – ModSecurity – Hoàn tất cài đặt agent Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 100 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Chương THỬ NGHIỆM VÀ ĐÁNH GIÁ KẾT QUẢ 4.1 Cấu hình rules cơng cụ 4.1.1 Cấu hình Rules pfSense  LAN Rules Phân vùng LAN cần đáp ứng yêu cầu sau: - Cho phép kết nối tới Internet (mọi địa chỉ, cổng, protocol); - Không cho phép kết nối tới phân vùng mạng khác (Có thể bao gồm máy LAN); - Cho phép kết nối UDP 53 tới Firewall để phân giải tên miền - Cho phép kết nối TCP 9200 tới ELK Server (10.0.10.10) để Elastic Agent cài đặt Client gửi log tới Elasticsearch Ta cần tạo rule tương ứng với yêu cầu phía trên, xếp cho rule áp dụng cho đa số rule áp dụng cho thiểu số Hình 4.1 pfSense – LAN Rules  DMZ, DATA rules Khác với LAN cần có khả truy cập Internet phân vùng khác cần phải tách rời với Internet nhằm đảm bảo an tồn, tránh lộ lọt liệu Vì vậy, ta có yêu cầu cho phân vùng này: - Chặn kết nối từ phân vùng mạng; - Cho phép kết nối TCP 9200 tới ELK Server (10.0.10.10) để Elastic Agent cài đặt máy gửi Log tới Elasticsearch; - Ngồi ra, cần thêm rule DMZ phép Webserver (10.0.0.10) kết nối TCP 3306 tới DB–server (10.0.10.20) Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 101 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Dưới ảnh chụp Rules phân vùng mạng Hình 4.2 pfSense – DMZ Rules Hình 4.3 pfSense – Data Rules 4.1.2 Cấu hình Rules Suricata Tại trang quản lý pfSense, truy cập Services > Suricata > Interfaces chọn chỉnh sửa LAN Interface Tiếp đó, trang chỉnh sửa LAN Interface, chọn tab LAN Rules lựa chọn Category: custom.rules để tiến hành thêm rules phía vào lưu lại: alert icmp any any -> any any (msg:"Ping of Death detected"; icode:0; itype:8; dsize:>10000; sid:1000001; rev:1;) alert tcp any any -> any any (msg:"Nmap XMAS Tree Scan"; flags:FPU; threshold:type both, track by_src, count 200, seconds 5; sid:1000002; rev:2;) alert tcp any any -> any any (msg:"Nmap FIN Scan"; flags:F; threshold:type both, track by_src, count 200, seconds 5; sid:1000003; rev:2;) alert udp any any -> any any ( msg:"Nmap UDP Scan"; threshold:type both, track by_src, count 200, seconds 5; sid:1000004; rev:2;) Đây rule dùng để phát Ping of Death loại Nmap scan Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 102 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 4.1.3 Cài đặt OWASP Core Rule Set – ModSecurity WAF Đầu tiên, ta cần ssh vào máy WebServer tải OWASP Core Rule Set: cd ~ wget https://github.com/coreruleset/coreruleset/archive/refs/tags/v3 3.4.zip unzip v3.3.4.zip cp coreruleset–3.3.4/crs–setup.conf.example coreruleset– 3.3.4/crs–setup.conf sudo cp coreruleset–3.3.4 /etc/nginx/modsecurity/ –R Tiếp đó, ta cấu hình cho Nginx áp dụng core rule set: sudo nano /etc/nginx/modsecurity/main.conf Thêm dòng vào http lưu lại: Include /etc/nginx/modsecurity/coreruleset–3.3.4/crs–setup.conf Include /etc/nginx/modsecurity/coreruleset–3.3.4/rules/*.conf Kiểm tra lại lỗi cú pháp Nginx lần nữa: ncvinh@webserver:~$ sudo nginx –t nginx: the configuration file /etc/nginx/nginx.conf syntax is ok nginx: configuration file /etc/nginx/nginx.conf test is successful Khởi động lại Nginx để áp dụng thay đổi: sudo systemctl restart nginx 4.2 Thử nghiệm công Ta tiến hành thử nghiệm công vào máy phân vùng mạng để tiến hành đánh giá hiệu hệ thống giám sát an ninh mạng triển khai 4.2.1 Tấn công Ping of Death  Giới thiệu Ping of Death kiểu công Từ chối dịch vụ (DoS), kẻ cơng cố gắng làm sập, làm ổn định đóng băng máy tính dịch vụ nhắm vào cách gửi gói khơng định dạng gói có khối lượng lớn lệnh ping Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 103 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Ở ta tiến hành thực công Ping of Death từ máy mạng LAN tới địa IP khác để kiếm tra hiệu Suricata IDS triển khai phía - Máy thực công: Kali Linux – 192.168.10.11/24 (LAN) - Đối tượng bị công: 1.1.1.1 (Internet)  Tiến hành Để công ping of death, ta tiến hành gửi gói tin với size lớn, ta gửi gói tin với size 20.000 Tại máy Kali-linux phân vùng LAN, ta tiến hành thực câu lệnh: ping 1.1.1.1 -c -s 20000 Câu lệnh gửi gói tin với size 20.000 tới địa 1.1.1.1 Hình 4.4 Ping of Death Attack 4.2.2 Tấn cơng dị qt cổng từ máy mạng LAN  Giới thiệu Dò quét cổng bước thám mục tiêu quan trọng trước thực cơng vào mục tiêu sau Dị qt cổng cho ta biết cổng mở mục tiêu dịch vụ tương ứng cổng Ở đây, pfSense cấu hình rule chặt chẽ, ta thử nghiệm công từ máy tới máy khác mạng LAN để kiểm tra hiệu Suricata IDS triển khai - Máy thực công: Kali Linux – 192.168.10.11/24 (LAN) - Đối tượng bị công: Windows – 192.168.10.10/24 (LAN) Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 104 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an  Tiến hành Ta dùng nmap để thực dò quét cổng địa 192.168.10.10 với kiểu dò quét khác UDP Scan, FIN Scan, XMAS Scan Các câu lệnh thực hiện: nmap 192.168.10.10 -sU -Pn nmap 192.168.10.10 -sF -Pn nmap 192.168.10.10 -sX -Pn Hình 4.5 Nmap Scan Attack 4.2.3 Tấn công XSS, SQL Injection tới máy WebServer  Giới thiệu XSS, SQL hai loại cơng điển hình loại cơng Web XSS kiểu công tới client (máy khách), kiểu công cho phép kẻ công thực thi mã javascript trình duyệt nạn nhân, cho phép kẻ cơng đánh cắp session nạn nhân, dùng javascript thực thao tác trang web… SQL loại cơng tới server (máy chủ database) Kiểu công cho phép kẻ công thực thi câu lệnh SQL máy chủ Database mà trang web sử dụng Điều dẫn đến thất thoát liệu, thay đổi liệu, dẫn tới RCE (Remote Code Execute) Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 105 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Ở ta mô công XSS SQL Injection để kiểm tra hiệu ModSecurity WAF - Máy thực công: Máy Windows (WAN – Internet) - Đối tượng bị công: Web Server – 10.0.0.10 (DMZ)  Tiến hành Từ máy mạng, truy cập vào trang web http://web.vnncv.io đăng nhập với tài khoản bee/bug Sau đăng nhập thành công, ta lựa chọn kiểu công HTML Injection - Stored (Blog) Gửi payload XSS phía dưới: "> alert(origin) click me Sau đổi kiểu cơng thành SQL Injection - Stored (Blog) gửi payload SQL Injection phía dưới: ' OR = 1' ORDER BY ' OR SLEEP(5) ;WAITFOR DELAY '0:0:5'-' UNION SELECT @@VERSION,SLEEP(5),3 - Ta thấy, tất trả 403, có nghĩa ModSecurity hoạt động Hình 4.6 Response 403 Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 106 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 4.2.4 Cài đặt mã độc đào tiền ảo vào máy mạng LAN  Giới thiệu Khi máy bị công bị kiểm sốt, kẻ cơng cài đặt mã độc vào máy để tiến hành khai thác hiệu máy bị kiểm soát đào tiền ảo Ở ta truy cập vào trang web có chức đào tiền ảo để tiến hành mơ máy bị công bị cài đặt mã độc đánh giá hiệu hệ thống thu thập Log triển khai - Trang web sử dụng: https://miner.eo.finance/ - Đối tượng bị công: Windows – 192.168.10.10 (LAN)  Tiến hành Truy cập vào https://miner.eo.finance/ để tiến hành thực đào tiền ảo máy Windows Hình 4.7 Coin mining Sau truy cập, trang web tự động bắt đầu đào tiền ảo Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 107 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 4.3 Đánh giá kết 4.3.1 pfSense Dashboard – Theo dõi Firewall pfSense ta có Dashboard Firewall Unbound Tại Firewall Dashboard, ta thấy kiện, luồng liệu khơng hợp lệ mà pfSense chặn Hình 4.8 Firewall – Dashboard [pfSense] Còn Unbound Dashboard, ta thấy luồng DNS, Top tên miền, máy client thực truy vấn DNS Bằng vào liệu này, ta hồn tồn phát hiện, ngăn chặn việc truy cập vào trang web độc hại Hình 4.9 Unbound - Dashboard [pfSense] Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 108 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 4.3.2 Suricata Dashboards – Phát xâm nhập Hình 4.10 Suricata Dashboard Suricata dashboard hiển thị alert từ công cụ Suricata cách trực quan dễ hiểu Tại đây, dashboard cho thấy Suricata phát tổng cộng 21 công, gồm có loại cơng: UDP Scan, Ping of Death, FIN Scan, XMAS Scan Và ta thấy Ping of Death có số lượng 5, phù hợp với số lượng gói tin ICMP khối lượng 20.000 gửi trước 4.3.3 ModSecurity Dashboard – Phát công Web App Sau thực công vào Web App, ta tiến hành kiểm tra thông số mà hệ thống giám sát an ninh mạng thu thập từ ModSecurity WAF thơng qua Dashboard Hình 4.11 ModSecurity Dashboard Dashboard cho thấy ModSecurity phát công XSS, SQL Injection vào hệ thống Số lần công vào /htmli_stored.php số Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 109 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an lần công vào /sqli_7.php 5, với tổng số lần cơng phía Ngồi ra, Dashboard cho ta thấy TOP 10 địa IP tiến hành công TOP 10 đường dẫn bị cơng, từ giúp đỡ cho quản trị viên việc truy vết, xác định kẻ công xác định vị trí lỗ hổng bảo mật bên trang web 4.3.4 Hosts Metric Dashboard – Giám sát máy mạng Tại dashboard này, ta giám sát hoạt động máy chủ máy khách bên mạng Thông tin giám sát bao gồm nhiều thông tin CPU, RAM, Ổ đĩa, Mạng… Hình 4.12 [Metrics System] Overview Từ thơng số này, ta đánh giá mức độ ổn định máy theo dõi, từ nhận biết công mã độc đào tiền ảo (Dựa vào cpu), Mã độc mã hóa (CPU, Disk, ram)… Ngồi ta chọn máy cụ thể để tiến hành giám sát chi tiết máy Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 110 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Hình 4.13 Theo dõi máy bị công chèn mã độc đào tiền ảo Tại dashboard này, ta thấy CPU tăng đột ngột từ mức 50%, tương ứng với mức cài đặt phía Và ta thấy tiến trình sử dụng CPU nhiều Chrome giá trị 51.7% Từ giá trị này, ta nghi ngờ máy tính bị cơng tiến trình sử dụng nhiều CPU 4.3.5 Các Dashboard khác Ngồi việc giám sát thông số CPU, Ram… Một vài dashboard khác cịn giám sát máy cách sâu Ví dụ Dashboard giám sát số lượt đăng nhập SSH thành công, thất bại Hình 4.14 SSH Login Dashboard Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 111 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Tại Dashboard này, ta cịn giám sát lượt đăng nhập thất bại, top user bị cơng Hình 4.15 SSH Login Dashboard Ta cịn có Dashboard giám sát câu lệnh sudo sử dụng Điều giúp ta đảm bảo khơng có câu lệnh không mong muốn thực Figure 4.1 [Logs System] Sudo commands Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 112 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an KẾT LUẬN Trong bối cảnh công nghệ thông tin phát triển mạnh mẽ, việc bảo vệ an ninh mạng ưu tiên hàng đầu doanh nghiệp tổ chức Tuy nhiên, để đảm bảo an ninh mạng, không đơn sử dụng công cụ bảo mật thông thường firewall hay antivirus mà cịn phải có hệ thống giám sát an ninh mạng hiệu Với mong muốn nghiên cứu xây dựng hệ thống giám sát an ninh mạng dựa mã nguồn mở, đồ án này, sử dụng kết hợp công nghệ mã nguồn mở pfSense Firewall, Suricata IDS, ModSecurity WAF, ELK Stack để xây dựng nên hệ thống giám sát an ninh mạng tích hợp mạnh mẽ hiệu Cụ thể, pfSense sử dụng firewall để giám sát kiểm soát lưu lượng mạng, đồng thời hỗ trợ cấu hình tính bảo mật VPN Suricata IDS Suricata Modsecurity sử dụng để phát ngăn chặn công mạng cách phân tích nội dung gói tin mạng Còn ELK Stack sử dụng để lưu trữ, xử lý hiển thị thông tin liên quan đến bảo mật mạng cách trực quan dễ hiểu Kết đạt nhờ kết hợp công nghệ này, hệ thống giám sát an ninh mạng xây dựng đạt hiệu cao việc phát cố an ninh mạng, công mạng thử nghiệm lên phân vùng mạng phát xác nhanh chóng, từ giúp cho người quản trị chẩn đốn xử lý cố bảo mật cách nhanh chóng hiệu quả, giảm thiểu tối đa thiệt hại công gây Tôi hy vọng đồ án đóng góp vào việc nâng cao khả bảo mật mạng cho doanh nghiệp, đồng thời giúp cho nhà nghiên cứu chuyên gia bảo mật mạng tìm hiểu áp dụng công nghệ mã nguồn mở để xây dựng hệ thống giám sát an ninh mạng tốt tương lai Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn 113 C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn

Ngày đăng: 24/07/2023, 01:49

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w