1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Đắc Thời XÂY DỰNG CÁC HỆ THỐNG PHÂN TÍCH, QUẢN LÝ MẠNG TRÊN CƠ SỞ TÍCH HỢP NHIỀU MÃ NGUỒN MỞ Nguyễn Đắc Thời Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8480104 TÓM TẮT LUẬN VĂN THẠC SĨ TP HCM - NĂM 2022 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS.ĐÀM QUANG HỒNG HẢI (Ghi rõ học hàm, học vị) Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng LỜI MỞ ĐẦU Hiện có nhiều cơng cụ IDS cơng cụ hỗ trợ phân tích log, trực quan hóa liệu mã nguồn mở Mỗi loại cơng cụ có ưu điểm, nhược điểm khác nhau, kết hợp lại có hệ thống có tính phù hợp, hiệu khác Nghiên cứu tác giả nhằm giúp quản trị viên nhanh chóng lựa chọn hệ thống tối ưu cho mơ hình mạng doanh nghiệp Nhận thấy mơ hình quản lý mạng Viettel Tây Ninh cịn đơn sơ nhiều thiếu sót cần cải thiện để đảm bảo an tồn thơng tin, học viên thực đề tải “Xây dựng hệ thống phân tích, quản lý mạng sở tích hợp nhiều mã nguồn mở” nhằm tiếp cận kiến thức chuyên sâu, từ đưa giải pháp phù hợp để giám sát hệ thống mạng LAN dựa hệ thống quản lý sử dụng mã nguồn mở Nội dung luận văn chia làm 04 phần sau: Chương 1: TỔNG QUAN VỀ AN TOÀN HỆ THỐNG MẠNG VÀ MẠNG VIETTEL TÂY NINH : nghiên cứu IDS/IPS thành phần, phân loại, chức Nghiên cứu loại IDS Snort, Zeek, Suricata thành phần, kiến trúc, luật ứng Nghiên cứu cách kết hợp công cụ IDS, cơng cụ phân tích, giao diện UI Chương 2: CÁC CƠNG NGHỆ AN TỒN HỆ THỐNG MẠNG: tình hình nghiên cứu IDS/IPS giới nước Các ứng dụng giảm sát hệ thống mạng nghiên cứu sử dụng giới Chương 3: XÂY DỰNG HỆ THỐNG PHÂN TÍCH QUẢN LÝ MẠNG TRÊN MÃ NGUỒN MỞ, TRIỂN KHAI VỚI CÁC CÔNG NGHỆ IDS KHÁC NHAU: mô hệ thống mạng Single- IDS, mô khả quản lý, giám sát mạng, so sánh, đánh giá ưu nhược điểm loại IDS Snor, Suricata, Zeek Chương 4: XÂY DỰNG HỆ THỐNG QUẢN LÝ MẠNG ĐA LỚP VỚI NHIỀU CÔNG NGHỆ IDS, TRIỂN KHAI TẠI VIETTEL TÂY NINH: xây dựng Multi-IDS cho hệ thống quản lý mạng ứng dụng Viettel Tây Ninh CHƯƠNG - TỔNG QUAN VỀ AN TOÀN HỆ THỐNG MẠNG VÀ MẠNG VIETTEL TÂY NINH 1.1 Các cơng trình giới Trong tin học, xâm nhập có nghĩa truy cập sử dụng trái phép hệ thống máy tính Schell Martin (2006, 180) định nghĩa hành động xâm nhập “xâm nhập hệ thống máy tính cách phá vỡ bảo mật khiến rơi vào trạng thái khơng an tồn” Để giám sát cảnh báo quản trị viên hệ thống việc sử dụng trái phép vậy, cần có cơng cụ Rehman (2003, 5-6) mơ tả IDS hệ thống có phương pháp kỹ thuật để phát hoạt động trái phép dựa quy tắc chữ ký Các hệ thống phát xâm nhập cung cấp cho người quản trị hệ thống công cụ khả thi sử dụng để tự động giám sát hệ thống cung cấp cảnh báo cho người quản trị hệ thống Sử dụng hệ thống này, quản trị viên phát việc sử dụng trái phép hệ thống họ theo dõi việc sử dụng đáng ngờ 1.2 Các cơng trình nước Trong nước, công nghệ IDS/IPS áp dụng chủ yếu kế thừa từ cơng trình nghiên cứu nước Nhiều giải pháp xây dựng hệ thống IPS thực tế triển khai hiệu đánh giá cao Hạn chế giải pháp triển khai hệ thống phân đoạn mạng nhỏ, nên chưa đánh giá hết hiệu suất hệ thống vấn đề hệ thống IPS gặp phải triển khai thực tế 1.3 Giới thiệu chung Viettel Tây Ninh Viettel Tây Ninh đơn vị kinh doanh lớn tỉnh Tây Ninh, với doanh thu năm lên đến 1200 tỷ đồng, có lượng khách hàng lớn lên đến 800.000 khách hàng Viettel Tây Ninh có 500 cán bộ, nhân viên hoạt động nhiều kênh, lớp bán hàng từ mức tỉnh đến mức huyện Hình 1.1 Mơ hình tổ chức Viettel Tây Ninh 1.4 Khảo sát hệ thống mạng Viettel Tây Ninh Viettel Tây Ninh gồm có:  Trụ sở Trung tâm Thành phố Tây Ninh: + 08 phòng ban chức riêng biệt: Phòng kinh doanh, Phòng kỹ thuật, Phòng nhân sự, Phòng CSKH, Phòng hạ tầng, Phịng tài chính, Phịng quản lý bán hàng, Phịng Marketing + 01 Data center lưu trữ liệu tập trung, phần mềm ERP, kế toán, quản trị khách hàng, web server, FPT Server + 01 Trung tâm bán lẻ thuộc trụ sở Viettel Tây Ninh(có sử dụng wifi)  09 Chi nhánh Viettel huyện trung tâm hành huyện: + 01 Trung tâm bán hàng Viettel huyện (Gồm trưởng, phó huyện 30 nhân bán hàng) + 01 Cửa hàng giao dịch với khách hàng (có sử dụng wifi để cung cấp trải nghiệm cho KH) Tại trụ sở chính, hệ thống mạng LAN kết nối quản lý tập trung Router Hệ thống mạng LAN quy hoạch mạng LAN nội bộ, có cán nhân viên Viettel phép sử dụng Trụ sở nơi đặt máy chủ liệu, cho phép chi nhánh kết nối đồng liệu Hệ thống mạng chi nhánh trang bị server, hệ thống backup, lưu trữ router phần mềm, ứng dụng, đường truyền WAN kết nối đến trụ sở CHƯƠNG - CÁC CƠNG NGHỆ AN TỒN HỆ THỐNG MẠNG 2.1 Tổng quan hệ thống phát xâm nhập IDS Khái niệm IDS: IDS (Intrusion Detection System – hệ thống phát xâm nhập) thiết bị phần mềm ứng dụng giám sát, phân tích lưu lượng hệ thống lưu lượng mạng nhằm phát hành động bất thường, hoạt động trái phép xâm nhập vào hệ thống IDS phát dựa dấu hiệu nguy biết (giống cách thức hoạt động antivirus) dựa việc so sánh lưu thông mạng với thông số chuẩn hệ thống để tìm dấu hiệu bất thường Từ đưa cảnh báo đến quản trị viên Hình 2.1: Mơ hình mạng NIDS 2.2 Nghiên cứu loại IDS phổ biến 2.2.1 Snort Snort NIDS Martin Roesh phát triển theo mô hình mã nguồn mở Mặc dù Snort IDS miễn phí có nhiều tính tuyệt vời Nó xây dựng để phát ngăn chặn xâm nhập Được thiết kế mô-đun để kiểm tra gói đến cách tạo quy tắc để phát gói bất thường Snort chạy nhiều tảng Linux, Windows, OpenBSD, NetBSD, FreeBSD, MacOS ,Solaris Snort hỗ trợ giao thức sau: Ethernet, Cisco HDLC, SLIP, 8021, HP-UX, AIX, IRIX, Token Ring, FDDI, PPP PF OpenBSD 2.2.2 Suricata Suricata hệ thống phát xâm nhập mã nguồn mở, phát triển Open Information Security Foundation (OISF) Công cụ không phát triển để cạnh tranh thay công cụ có, mang lại ý tưởng công nghệ lĩnh vực an ninh mạng Suricata công cụ phát ngăn chặn xâm nhập dựa quy tắc IDS / IPS (Hệ thống phát xâm nhập / Hệ thống ngăn chặn xâm nhập) để giám sát lưu lượng mạng đưa cảnh báo cho quản trị viên hệ thống xảy kiện đáng ngờ Ngồi ra, thiết kế để tương thích với thành phần an ninh mạng có Bản phát hành chạy tảng linux với hỗ trợ nội tuyến cấu hình giám sát lưu lượng thụ động có khả xử lý lưu lượng lên đến gigabit Suricata cơng cụ IDS / IPS miễn phí cung cấp tùy chọn mở rộng cho kiến trúc an ninh mạng phức tạp Suricata tăng tốc độ hiệu việc phân tích lưu lượng mạng nhờ hỗ trợ xử lý đa luồng Ngoài việc tăng hiệu suất phần cứng (với phần cứng card mạng hạn chế), công cụ xây dựng để tận dụng sức mạnh xử lý cao chip CPU đa lõi 2.2.3 Zeek Zeek framework mã nguồn mở sử dụng để phân tích giám sát mạng Nhiệm vụ giám sát mạng liệu mạng cảnh báo, phát công Zeek IDS thường dùng để bảo vệ hạ tầng an ninh cho trường đại học, trung tâm nghiên cứu, doanh nghiệp vừa nhỏ… Các tính Zeek: • Triển khai Chạy hệ thống kiểu UNIX (MacOS, FreeBSD, Linux…) Phân tích thời gian thực ngoại tuyến Hỗ trợ cụm cluster, triển khai tốc độ cao, quy mô lớn Mã nguồn mở với giấy phéps BSD • Phân tích Ghi log phục vụ cho việc phân tích Phân tích độc lập giao thức tầng ứng dụng (DNS, FTP, HTTP, SSH, SSL, SMTP…) Hỗ trợ IPv6 toàn diện Cảnh báo thời gian thực xảy cơng • Ngơn ngữ kịch Ngơn ngữ hồn chỉnh để phục vụ cho việc phân tích Mơ hình lập trình dựa kiện Hỗ trợ mở rộng để theo dõi quản lý trạng thái mạng theo thời gian • Giao diện Bản ghi log có cấu trúc ASCII phù hợp Tích hợp để phân tích đầu vào thời gian thực Thư viện mở rộng C để trao đổi kiện Zeek với chương trình khác: Perl, Python, Ruby… Có khả gọi tiến trình bên ngồi từ ngơn ngữ kịch 2.3 Các phần mềm mở tích hợp với phần mềm IDS 2.3.1 Pfsnene PfSense ứng dụng có chức định tuyến, tường lửa miễn phí, ứng dụng cho phép mở rộng mạng mà không bị thỏa hiệp bảo mật Bắt đầu vào năm 2004, firewall bắt đầu chập chững – dự án bảo mật tập trung vào hệ thống nhúng – pfSense có triệu lượt download sử dụng để bảo vệ mạng có tất kích cỡ, từ mạng gia đinh đến mạng lớn công ty/doanh nghiệp Ứng dụng có cộng đồng phát triển tích cực nhiều tính bổ sung lần phát hành nhằm cải thiện tính bảo mật, ổn định khả linh hoạt 2.3.2 Splunk Splunk phần mềm cho phép CNTT tìm kiếm duyệt logs liệu IT thời gian thực Người dùng phát cố ứng dụng nào, máy chủ thiết bị; cảnh báo nguy tiềm ẩn báo cáo hoạt động dịch vụ thành phần khác mạng Và giải pháp troubleshoot cho hệ thống Splunk công cụ liệu linh hoạt khả mở rộng cho liệu máy tính tạo sở hạ tầng CNTT CNTT Nó thu thập ,lập mục khai thác liệu tạo từ nguồn , định dạng vị trí bao gồm đóng gói ứng dụng tùy chỉnh , máy chủ ứng dụng , máy chủ web , sở liệu , mạng , máy ảo, hypervisors, hệ điều hành nhiều mà không cần phải phân tích cú pháp tùy chỉnh , điều hợp sở liệu phụ trợ 2.4 Kết luận chương: Trong chương này, tác giải nghiên cứu tìm hiểu khái quát hệ thống IDS: khái niệm, chức năng, loại , công cụ cơng mạng Tìm hiểu cách thức hoạt động loại IDS phổ biến như: Snort, Suricata, Zeek, loại kiến trúc IDS Từ tác giả ứng dụng xây dựng hệ thống cho chương kiểm nghiệm kịch công công cụ nghiên cứu CHƯƠNG - XÂY DỰNG HỆ THỐNG PHÂN TÍCH QUẢN LÝ MẠNG TÍCH HỢP MÃ NGUỒN MỞ - TRIỂN KHAI VỚI CÁC CÔNG NGHỆ IDS KHÁC NHAU 3.1 Mục tiêu - Xây dựng hệ thống phân tích quản lý mạng ứng dụng cho mạng doanh nghiệp vừa nhỏ cách tích hợp nhiều mã nguồn mở với loại IDS tìm hiểu (Snort, Suricata, Zeek) - Đánh so sánh tính hiệu hệ thống giám sát mã nguồn mở Mục tiêu xây dựng áp dụng cho loại doanh nghiệp có quy mơ khác - Xây dựng hệ thống phân tích quản lý mạng áp dụng cho doanh nghiệp có quy mơ vừa nhỏ có quy mơ hệ thống mạng đơn giản từ 1-2 vùng mạng 3.2 Phương pháp - Xây dựng hệ thống giám sát mạng mã nguồn mở hệ thống IDS: Snort, Suricata Zeek, tích hợp mã nguồn mở phân tích như: Splunk, pfSense - Các giải pháp kết hợp tham khảo cộng đồng mã nguồn mở cho kết hợp mang lại hiểu nhất, trực quan - Sử dụng loại cơng cụ bổ trợ (pFsenne, Splunk ) để so sánh hiệu loại IDS 3.3 Mơ hình triển khai - Triển khai hệ thống phân tích giám sát mạng mã nguồn mở snort, suricata zeek phân vùng vùng mạng quan trọng hệ thống datacenter, hay hệ thống máy chủ chi nhánh huyện - Ba hệ thống thiết kế phần cứng để đánh giá - Môi trường thử nghiệm tạo với máy chủ ảo chạy phần mềm ảo hóa VMWare Phần mềm VMWare cho phép chạy tất máy chủ thử nghiệm máy giảm bớt phức tạp việc thiết lập thử nghiệm VMWare dự án mã nguồn mở miễn phí để sử dụng cho mục đích cá nhân giáo dục sử dụng - Mơi trường thử nghiệm có ba máy chủ đích, nhiều máy khác nhau, tất nằm hệ thống 12 Thực nghiệm công DOS Thực cơng DOS từ máy có địa 20.0.00/8, 20.0.0/8… cơng vào hệ thống máy chủ có IP 20.0.00/8, 20.0.0/8 Sau hệ thống Datacenter Suricata phát cảnh báo: Hình 3.7: Phát ngăn chặn DoS lên LAN 3.4.3 Thực nghiệm đánh giá zeek Để hệ thống phát công từ vùng mạng lên hệ thống Datacenter cài Zeek Elastic stack để giám sát lưu thông tin điều khiển,đưa cảnh báo… Dưới mơ hình thực nghiệm với IDS –Zeek Thực nghiệm công Ping/Scan port: Thực cơng Scan port /Ping từ máy có địa 1726.0/8 công vào hệ thống máy chủ Sau hệ thống Datacenter Zeek phát cảnh: Hình 3.8: Thực nghiệm cơng port scan đến mạng nội mà zeek giám sát 13 Hình 3.9: Các cảnh báo lưu file /usr/local/logs/current/notice.log Hình 3.10: Phát port scan vùng mạng 3.5 Kết luận Qua trình thực nghiệm, hệ thống IDS có ưu nhược điểm khác nhau, chi tiết sau: Snort IDS có khả nhận biết nhanh cơng SSH, DDOS, Virus, có độ trễ xử lý thấp cảnh báo thấp, có mức tiêu hao tài nguyên lưu lượng mạng thấp Tuy nhiên khả nhận biết cơng khai thác thông tin lớp ứng dụng Snort dễ sử dụng, có cộng đồng hỗ trợ lớn, giúp quản trị viên áp dụng doanh nghiệp có quy mô vừa nhỏ Hệ thống quản lý, cảnh báo mail dễ cấu hình sử dụng Ở Tây Ninh Snort phù hợp với số loại hình doanh nghiệp phù hợp: Trung tâm dạy học Anh Ngữ Việt Mỹ, doanh nghiệp kinh doanh vận tải nhà xe Đồng Phước, Suricata IDS, tương tự Snort, có đầy đủ khả phát cơng, bảo vệ Mặc khác, Suricata có hỗ trợ xử lý đa luồng, giúp xử lý hiệu hệ thống lớn hơn, xử lý nhanh Snort Tuy nhiên, qua thực nghiệm, Suricata có nhiều nhược điểm chưa phân biệt Ping hay Ddos, chưa hỗ trợ phát chặn client truy cập địa web không tin cậy Suricata phù hợp xây dựng với doanh nghiệp lớn, có hệ thống mạng phức tạp hỗ trợ đa nhân, đa luồng, cần hỗ trợ thành phần tường lửa, antivirus bên để ngăn chặn xâm nhập Suricata phù hợp với 14 doanh nghiệp quy mô tương đối như: Công ty TNHH Gain Lucky, SaiLun, Việt Nam Mộc Bài Zeek IDS: hệ thống IDS có giao diện sử dụng câu lệnh phức tạp, quy tắc rule phức tạp, dụng rule đơn giản tiêu tốn thời gian để xử lý Tuy nhiên ZEEK giám sát chi tiết hệ thống mạng, có phát tất bất lượng lưu lượng mạng Khác với Snort Suricata, Zeek hoạt động mạnh hiệu tầng ứng dụng Do Zeek ứng dụng hệ thống cần mức bảo mật cao doanh nghiệp Datacenter, vùng DMZ có bảo mật cao Hệ thống FTP server, Camera server Ứng dụng Tây Ninh cho doanh nghiệp như: Các cơng ty tài chính, ngân hàng, Viettel, Tác giả nhận định loại IDS có ưu điểm, nhược điểm khác nhau, mơ hình doanh nghiệp, quản trị viên tham khảo lựa chọn hệ thống phù hợp Tuy nhiên mô hình doanh nghiệp lớn, có nhiều vùng mạng cần phải đánh giá có kết hợp để xây hệ thống bảo vệ toàn diện 15 CHƯƠNG - XÂY DỰNG HỆ THỐNG PHÂN TÍCH QUẢN LÝ MẠNG ĐA LỚP VỚI NHIỀU CÔNG NGHỆ IDS - ỨNG DỤNG TẠI VIETTEL TÂY NINH 4.1 Đặc tả hệ thống mạng doanh nghiệp cỡ lớn Đối với hệ thống mạng cỡ lớn có nhiều phân vùng mạng phức tạp, việc xây dựng hệ thống Singgle IDS chưa bảo vệ toàn diện cho doanh nghiệp đánh giá, phân tích chương Đặc biệt doanh nghiệp có quy mơ lớn, nhiều nguy bị cơng, từ bên trong, từ bên ngồi Hình 4.1: Mơ hình mạng doanh nghiệp lớn Formatted: Not Highlight Hình 4.2: Mơ hình mạng Viettel Tây Ninh 16 4.2 Xây dựng kịch kiểm thử nghiệm cơng Hình 4.3: Các yêu cầu bảo vệ mạng Viettel Tây Ninh 4.2.1 Kịch 1: Tấn cơng từ phịng ban nội trụ sở lên DataCenter Người công: nhân viên A muốn công Datacenter để phá hoại đánh cắp liệu, kịch thực công nhằm kiểm tra khả tồn DataCenter trước nhiều công khả phát cơng IDS phịng ban nội + trụ sở Đánh giá Qua kịch 1, ta thấy IDS Snort Zeek hoạt động hiệu quả, chặn cơng từ phịng ban trụ sở + chi nhánh Datacenter tồn tốt trước nhiều công.Tấn công phát gửi mail Zeek server Hình 4.4: Tấn cơng phát gửi mail zeek server 17 Log splunk Hình 4.5: Log splunk Mail Hình 4.6: Mail cảnh báo Hình 4.7: Mail cảnh báo (2) 18 4.2.2 Kịch 2: Tấn công từ Internet vào Datacenter  Người cơng: người bên ngồi muốn phá hoại hoăc lấy liệu từ Datacenter  Kịch thực công nhằm kiểm tra khả tồn DataCenter trước nhiều công khả phát cơng IDS trụ sở (trụ sở có chức chặn cơng từ Internet vào) Đánh giá Qua kịch 2, ta thấy khả tồn tốt DataCenter trước nhiều công khả phát công IDS trụ sở (trụ sở có chức chặn cơng từ Internet vào)  Q trình cơng Hình 4.8: Q trình cơng  Log IDS Hình 4.9: Log IDS ghi lại  Cảnh báo mail: Sau công, splunk tạo alert gửi mail tới mail quản trị viên hệ thống quay lập tức, nội dung mail thông báo loại công “Splunk Alert: SERVER ZEEK ALERT…” 19 4.2.3 Kịch 3: Tấn công từ vùng nội chi nhánh huyện lên DataCenter  Nhân viên thuộc chi nhánh huyện công Data center  Kịch thực công nhằm kiểm tra khả tồn DataCenter trước nhiều công khả phát công IDS vùng nội chi nhánh (lớp mạng 22.0.0.0/8 20.0.0.0/8)Qua kiểm tra độ mạnh hệ thống IDS Snort IDS Zeek, IDS Suricata Đánh giá Sau hồn thành hình thức cơng trên, máy đồng loạt thực DOS server trụ sở Các công nhằm kiểm tra khả ngăn chặn hình thức cơng gián điệp IDS chi nhánh trước luồng liệu công chuyển trụ sở Qua kịch 3, ta thấy khả tồn tốt DataCenter trước nhiều công khả phát công IDS vùng nội chi nhánh Và hệ thống IDS phát công vào Data Center từ vùng chi nhánh huyện  Q trình cơng Hình 4.10: Q trình cơng Log IDS Hình 4.11: Log IDS 20 Cảnh báo mail: Sau công, splunk tạo alert gửi mail tới mail quản trị viên hệ thống quay lập tức, nội dung mail thông báo loại công “Splunk Alert: SERVER ZEEK ALERT…” Hình 4.12: Cảnh báo mail cho quản trị viên hệ thống 4.2.4 Kịch 4: Tấn công kết hợp Internet phịng ban cơng DataCenter trụ sở Người bên cấu kết nhân viên công Datacenter Kịch thực công nhằm kiểm tra khả tồn tại trụ sở phát gián điệp cấu kết với nhân viên bên nội -> Kiểm tra khả phát cảnh báo giả hệ thống IDS Suricata + Zeek (là khả phân biệt lúc có cơng thật, lúc cơng giả lúc gián điệp) Các công nhằm kiểm tra khả bảo vệ IDS trụ sở trước công đồng thời từ mạng doanh nghiệp Đánh giá Kịch thực công nhằm kiểm tra khả tồn tại trụ sở phát gián điệp cấu kết với nhân viên bên nội -> Kiểm tra khả phát cảnh báo giả hệ thống IDS Suricata + Zeek (là khả phân biệt lúc có cơng thật, lúc công giả lúc gián điệp) Kết thu cho thấy IDS trụ sở phát gián điệp cấu kết với nhân viên bên nội Các công nhằm kiểm tra khả bảo vệ IDS trụ sở trước công đồng thời từ ngồi mạng doanh nghiệp o ip máy cơng 21 Hình 4.13: Ip máy cơng Log IDS Hình 4.14: Log IDS Cảnh báo mail: Sau công, splunk tạo alert gửi mail tới mail quản trị viên hệ thống quay lập tức, nội dung mail thông báo loại công “Splunk Alert: SERVER: ZEEK ALERT…” 4.2.5 Kịch 5: Nội chi nhánh công vào DMZ chi nhánh huyện Nội chi nhánh công vào máy chủ chi nhánh huyện Sử dụng máy nội 22.0.0.0/8 (22.0.0/8; 22.0.0/8) thuộc vùng mạng nội chi nhánh công vào máy chủ vùng DMZ chi nhánh (20.0.0/8) Máy 22.0.0/8: Thực công XSS, SQL injection vào ứng dụng web Máy 22.0.0.2/8: Thực công mã độc vào ứng dụng Web Đánh giá Kết kịch cho thấy khả bảo vệ vùng DMZ chi nhánh huyện IDS Snort tốt, IDS Snort phát nhiều công vào vùng DMZ, ngăn chặn gửi cảnh báo tới quản trị viên hệ thống 22 Hình 4.15: Ip máy cơng Q trình cơng (gián điệp truy cập website chứa mã độc nhằm phá hoại hệ thống) (Nguồn website: https://archive.siasat.com/news/top-100-dangerouswebsites-revealed-29507/) Hình 4.16: Q trình cơng Log Snort 23 Hình 4.17: Log ghi lại IDS Log Splunk Hình 4.18: Log ghi lại Log Server Splunk Cảnh báo mail: Sau công, splunk tạo alert gửi mail tới mail quản trị viên hệ thống quay lập tức, nội dung mail thông báo loại công “Splunk Alert: SNORT ALERT: (http_inspect): NO CONTENT-LENGTH OR TRANSFER-ENCODING IN H…”, thông số cơng ip máy cơng, thời gian, hình thức, loại hình cơng… 4.3 Kết luận Thơng qua kịch trên, cho thấy hệ thống bảo vệ mạng doanh nghiệp, vùng mạng nội (các chi nhánh huyện) dùng Datacenter…3 hệ thống IDS bổ sung tương tác với tạo tập luật (Rule) hoàn chỉnh, chặn DOS, SSH Brute Force, FTP Brute Force, Port Scan…nếu tách riêng hệ thống hệ thống với 24 điểm yếu riêng ảnh hưởng tới mạng doanh nghiệp Khi tích hợp IDS vào hệ thống, ta hệ thống tích hợp IDS (Snort, Suricata, Zeek) bảo vệ mạng doanh nghiệp lẫn ngoài, chống lại nhiều công, phát gián điệp… Qua xây dựng thực nghiệm, tác giả nhận định hệ thống kết hợp nhiều IDS mang lại hiệu toàn diện, bảo vệ tất vùng mạng, với mức bảo vệ chun sâu mơ hình mạng doanh nghiệp cỡ lớn Tuy nhiên, doanh nghiệp phải có đủ nguồn lực nhân sự, cần người quản trị có kiến thức sâu loại IDS, có đủ tài cho lĩnh vực cơng nghệ thơng tin Đặc biệt đơn vị tác giả Viettel Tây Ninh, góp phần xây dựng ứng dụng thực tế thời gian tới đảm bảo yêu cầu bảo mật đơn vị mở rộng quy mô thời gian tới 25 CHƯƠNG - KẾT LUẬN VÀ ĐÁNH GIÁ 5.1 Về mặt lý thuyết Luận văn nghiên cứu ba giải pháp IDS mã nguồn mở khác nhau, Snort, Suricata Zeek, để so sánh với mặt cung cấp bảo mật cho môi trường mạng doanh nghiệp vừa nhỏ Snort, Suricata Zeek công cụ IDS mã nguồn mở thiết lập phù hợp để sử dụng chung Các sản phẩm mã nguồn mở khác dựa máy chủ bị giới hạn cách Cùng với kết hợp với cơng cụ có liên quan để tạo nên hệ thống hoàn thiện Ngoài ta, luận văn thực nghiên cứu nguy công từ nhiều vùng mạng dạng công khác đề xuất mơ hình mạng cho doanh nghiệp cỡ vừa nhỏ với Single IDS Multiple IDS Từ giúp quản trị viên có khả ứng dụng nhanh vào mơ hình doanh nghiệp 5.2 Về mặt thực tiễn Tác giả xây dựng hệ thống quản lý mạng sử dụng Single IDS Multiple IDS nhằm ứng dụng để tư vấn triển khai cho nhiều loại doanh nghiệp khác như: Ba hệ thống phân tích quản lý mạng sử dụng Single IDS kết hợp với công cụ mã mở khác, để ứng dụng tư vấn cho doanh nghiệp đối tác Viettel Tây Ninh địa bàn Hệ thống Multiple IDS sử dụng công nghệ IDS khác kết hợp để bảo vệ toàn diện cho doanh nghiệp cỡ lớn Xây dựng đề xuất hệ thống quản lý mạng phù hợp với mơ hình mạng Viettel Tây Ninh, đáp ứng đủ yêu cầu bảo mật nhiều lớp, đồng thời dự đoán nhiều nguy bị xâm nhập từ nhiều vùng mạng với nhiều kịch công dự đoán trước 5.3 Về hạn chế: Việc xây dựng mơ hình thực mơi trường giả lập quy mô phần cứng chưa kịp thời xây dựng Do việc đánh giá hệ thống chưa hồn tồn xác so với thực tế, tác giả xây dựng nhiều kịch xảy với số quy mô số lượng máy thật mô vùng mạng Về quy mô, triển khai cho doanh nghiệp cỡ lớn gặp hạn chế khả xử lý liệu lớn, chưa đủ đáp ứng yêu cầu câng bằn tải (Load Balancing), luật (Rule) hệ thống IDS chưa tích hợp AI (trí tuệ nhân tạo) để Rule tự học chặn hình thức cơng biến đổi liên tục 26 Trong tình hình dịch bệnh, mơ hình chưa thực tất công đa dang mà dừng lại công thường gặp DoS, điều khiển SSH, BruteForce, XSS, SQL injection Web Server 5.4 Hướng phát triển Triển khai hệ thống đa dạng mềm dẻo Có thể đan xen hệ thống vào lồng ghép hệ thống Hệ thống dự định mở rộng thêm nhiều dịch vụ công nghệ thông tin vào quản lý hệ thống AD, quản lý thêm nhiều server quan trọng phức tạp Hướng đề tài, áp dụng công nghệ máy học, học sâu, trí tuệ nhân tạo vào hệ thống, đặc biệt tích hợp máy học vào Rule hệ thống IDS nhằm giúp hệ thống tự học qua liệu có sẵn để đủ khả phát hình thức cơng mới, tinh vi Hệ thống cịn giúp quản trị viên khơng phụ thuộc luật có sẵn, khơng cần update luật liên tục mà đảm bảo hệ thống tự phân tích, đánh giá, ngăn chặn, giúp giảm tải cho quản trị viên chi phí quản trị cho doanh nghiệp