HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - - Phonthip PHOMMACHAN NGHIÊN CỨU LỰA CHỌN GIẢI PHÁP CƠNG NGHỆ CHO HỆ THỐNG GIÁM SÁT AN TỒN MẠNG NỘI BỘ NIX CỦA TRUNG TÂM INTERNET QUỐC GIA LÀO Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số: 8.48.01.01 TÓM TẮT ĐỀ ÁN TỐT NGHIỆP THẠC SĨ (Theo định hướng ứng dụng) HÀ NỘI - 2023 Đề án tốt nghiệp hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG MỞ ĐẦU TÍNH CẤP THIẾT CỦA ĐỀ TÀI Internet Lào đà phát triển mở rông khắp vùng miền nước tiến 10 dần hội nhập với khu vực giới Bên cạnh bùng nổ cách mạng công nghiệp 4.0 lĩnh vực xã hội, ngành Internet có đóng vai quan trò mũi nhọn để thúc đẩy việc phát triển kinh tế - xã hội tiến nhanh Do vậy, Lào tránh khỏi nước mục tiêu nhiều kẻ công không gian mạng nay, hậu gây ảnh hưởng lớn đến tảng phát triển kinh tế-xã 15 hội Internet Lào triển khai khắp vùng miền nước, bên cạnh việc bảo đảm an tồn thơng tin mạng vấn đề phức tạp Các công không gian mạng ngày có quy mơ lớn mức độ nguy hiểm chuẩn bị kỹ lưỡng Mục tiêu cơng khơng nhằm vào cá nhân mà cịn hướng tới tập đồn doanh nghiệp lớn hay hệ thống thông tin quan trọng quan nhà nước Trung tâm 20 Inetnet Quốc gia Lào (LANIC - Lao National Internet Center) có vai trị cung cấp dịch vụ Internet cho hệ thống thông tin Lào kết nối Internet quốc tế Hệ thống giám sát an tồn mạng (HTGSATM) có khả theo dõi thời gian thực tồn hệ thống phát công xảy từ bên hay bên hệ thống mạng nội NIX (National Internet Exchange) LANIC Do đó, người quản trị mạng 25 phát hệ thống bị cố hay bị kẻ cơng cố xâm nhập vào hệ thống sau có giải pháp khắc phục ngăn chặn kịp thời Do em công tác LANIC từ nhu cầu thực tế cần nghiên cứu giải pháp công nghệ để xây dựng HTGSATM cho NIX, em chọn đề tài: “Nghiên cứu lựa chọn giải pháp công nghệ cho hệ thống giám sát an toàn mạng nội NIX Trung tâm Internet 30 Quốc gia Lào” Hệ thống cần theo dõi thời gian thực, giúp người quản trị biết hệ thống bị cố để có giải pháp khắc phục kịp thời MỤC ĐÍCH NGHIÊN CỨU Tìm hiểu nắm bắt giải pháp phát công mạng, nội dung đề cương tập trung nghiên cứu khảo sát vấn đề công mạng lựa chọn giải pháp 35 công nghệ phát bao gồm: 1) Nghiên cứu, khảo sát tổng quan hệ thống mạng nội NIX, vấn đề công mạng, kiến trúc HTGS ATM; 2) Nghiên cứu thành phần kiến trúc HT GS ATM; 3) Nghiên cứu lựa chọn giải pháp công nghệ triển khai HT GS ATM cho mạng 40 NIX Trung tâm Internet QG Lào ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU Về đối tượng, phạm vi nghiên cứu: 1) Đối tượng nghiên cứu: Các giải pháp công nghệ cho HT GSATM; 2) Phạm vi nghiên cứu: Giải pháp thu thập thông tin, giải pháp phát bất thường, giải 45 pháp kiến trúc hệ thống PHƯƠNG PHÁP NGHIÊN CỨU 1) Về mặt lý thuyết: Thu thập, khảo sát, phân tích tài liệu thơng tin có liên quan vấn đề an tồn mạng 2) Về mặt thực nghiệm: Khảo sát thực tế Trung tâm Internet Quốc gia Lào 50 đề xuất giải pháp bảo mật mạng nội NIX Ý NGHĨA KHOA HỌC VÀ THỰC TIỄN CỦA ĐỀ TÀI Hệ thống giám sát an tồn mạng có vai trị quan trọng cho việc quản lý phát cố công mạng nội NIX để đảm bảo an tồn thơng tin cho quan, tổ chức doanh nghiệp 55 Nó góp phần làm giảm thối thiểu nguy cơ, mối nguy hại, xâm nhập từ bên bên ngồi, từ giúp người quản trị có phương án phát hiện, ngăn chặn kịp thời KẾT CẤU CỦA ĐỀ TÀI Ngoài phần mở đầu, kết luận tài liệu tham khảo, nội dung đề án tốt nghiệp gồm chương: 60 Chương 1: Khái quát mạng nội NIX vấn đề giám sát an toàn mạng Chương 2: Các thành phần hệ thống giám sát an toàn mạng Chương 3: Nghiên cứu lựa chọn giải pháp công nghệ rong triển khai hệ thống giám sát an toàn mạng cho mạng nội NIX Trung tâm Internet Quốc gia Lào 65 Chương I: KHÁI QUÁT VỀ MẠNG NỘI BỘ NIX VÀ VẤN ĐỀ GIÁM SÁT AN TỒN MẠNG Nội dung chương trình bày tóm tắt kiến trúc hệ thống mạng nội NIX nguy công, số loại cơng điển hình phổ biến nhất, đồng thời nhu cầu xây dựng HTGSATM cho mạng nội NIX Trung tâm Internet Quốc gia Lào 3 1.1 Khái quát kiến trúc mạng nội NIX LANIC 70 Hệ thống mạng Trung tâm Inetnet Quốc gia Lào kết nối nhà cung cấp dịch vụ Internet Quốc tế với nhà cung cấp dịch vụ Internet Lào thông qua trạm cửa ngõ quốc tế (IIG - International Internet Gateway), đồng thời kết nối quan Nhà nước nhà mạng Internet nội qua mạng nội (gọi National Internet Exchange NIX) Kiến trúc hệ thống mạng nội NIX Trung tâm Internet Quốc gia 75 Lào mơ tả hình 1.1 gồm thành phần sau: Hệ thống quan Nhà Nuốc IIG NIX Core Switch Nhà dịch vụ Internet Các ISPs Lào Hình 1.1: Kiến trúc hệ thống mạng nội NIX Lào  Hệ thống trung tâm Lao National Internet Center (LANIC) bao gồm thiết cốt lõi hệ thống hạ tầng mạng Lào kết nối Internet Hệ thống mạng quốc 80 gia bao gồm Router, Core Switch Firewall  Hệ thống Router kết nối Internet với nước láng giềng như: Việt Nam, Thái Lan, Trung Quốc, thiết bị đặt trung tâm tạo thành International Internet Gateway, thực kiểm soát cổng kết nối vào/ra Internet  85 Hệ thống Core Switch hệ thống kết nối nội trung tâm quan nhà nước, nhà dịch vụ Internet gọi National Internet Exchange, thục kiểm soát cổng kết nối vào/ra Internet nội  Hệ thống Firewall hệ thống kiểm tra ngăn chặn dấu hiệu công từ bền ngoại bên mạng, thực ngăn chặn vào/ra Internet  90 Hệ thống hạ tầng mạng trung tâm kết nối với ISP (Internet Service Provider) nước có Nhà cung cấp dịch vụ Internet kết nối vào hạ tầng mạng trung tâm bao gồm: LTC, ETL, Unitel, Plannet, Best Telecom LaoSat Ngoại ISP lớn cịn có quan nhà nước kết nối với trung tâm LANIC 4 1.2 Một số loại công điển hình mạng nội 1.2.1 Khái niệm, đối tượng mục đích cơng mạng 95 Tấn cơng mạng gì? Tại cơng mạng xảy ra? Các công mạng hoạt động nào? Mục đích cơng mạng gì? 1.2.2 Các giai đoạn trình công mạng 100 Trinh sát (Reconnaissance) Quét (Sacnning) Đạt quyền truy cập (Gaining Access) Duy trì quyền truy cập (Maintaining Access) 105 Xóa dấu vết (Clearing Tracks) 1.2.3 Các loại công mạng điển hình phổ biến Phần mềm độc hại (Malware) Lừa đảo (Phishing) SMiShing (còn gọi SMS lừa đảo) 110 Man-in-the-middle Tấn công DDoS Tấn công SQL injection Khai thác zero-day Domain name system tunneling 115 Drive-by download 10 Credential-based attacks 11 Credential stuffing 12 Brute-force attack 1.3 Nhu cầu vai trò hệ thống giám sát an toàn mạng 120 Bảo đảm an toàn mạng cho hạ tầng công nghệ thông tin cần đạt ba yêu cầu sau: ‒ Confidentiality: Tính bảo mật thơng tin ‒ Integrity: Tính tồn vẹn thơng tin ‒ Availability: Tính sẵn sàng thơng tin Để đáp ứng ba yêu cầu trên, việc thiết kế xây dựng HTGSATM 125 cho mạng nội NIX Lào cần thiết có tính cấp bách, vai trị hệ thống giám sát có chức sau: 130 ‒ Khả theo dõi: Các thiết bị hệ thống ‒ Khả phát hiện: Những hành động bất thường hệ thống ‒ Khả thu thập: Những kiện thiết bị ‒ Khả phân tích: Dữ liệu thu thập từ hệ thống ‒ Kản cảnh báo: Đưa cho người quản trị hệ thống Do vậy, cần có khảo sát mơ hình kiến trúc thành phần HTGSATM, chức tối thiểu cần có, giải pháp giám sát phát công phát bất thường nhằm triển khai mạng nội NIX cho LANIC Lào 135 1.4 Kết luận chương Nội dung chương nêu lên khái quát mạng nội NIX LANIC vấn đề giám sát an toàn mạng cho NIX Các nội dung cụ thể trình bày gồm: Mơ hình kiến trúc khái qt mạng nội NIX vị trí hệ thống LANIC; Khái quát công, số loại cơng điển hình mạng nội bộ; Nhu cầu vai trò hệ 140 thống giám sát an toàn mạng NIX hệ thống trung tâm LANIC Chương giới thiệu mơ hình kiến trúc hệ thống giám sát an toàn mạng nội bộ; trình bày thành phần hệ thống, chức tối thiểu hệ thống, kỹ thuật theo dõi, phát xâm nhập, đưa cảnh báo hệ thống, giám sát lưu lượng mạng, số phương pháp phát lưu lượng bất thường mơ hình điển hình cho phát lưu 145 lượng bất thường Chương II: CÁC THÀNH PHẦN CỦA HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG Nội dung chương giới thiệu thành phần, kiến trúc hệ thống, kỹ thuật theo dõi, phát xâm nhập, cảnh báo hệ thống giám sát mạng, vấn đề giám sát lưu 150 lượng mạng, cơng Chương có sâu tìm hiểu số phương thức kỹ thuật thu thập thông tin dựa vào trích xuất gói tin thường gặp đồng thời có mơ tả số phương pháp, mơ hình phát lưu lượng bất thường kết nối bất thường 6 2.1 Khái qt mơ hình kiến trúc hệ thống giám sát an toàn mạng 2.1.1 Khái quát khung kiến trúc hệ thống giám sát 155 Công nghệ quản lý kiện thông tin bảo mật SIEM (Security information and event management) hỗ trợ phát mối đe dọa, tuân thủ quản lý cố bảo mật thơng qua việc thu thập phân tích (cả gần thời gian thực lịch sử) kiện bảo mật, nhiều nguồn liệu theo ngữ cảnh kiện khác Các khả cốt lõi phạm vi rộng việc thu thập quản lý kiện nhật ký, khả phân tích kiện nhật ký 160 liệu khác nguồn khác khả vận hành (chẳng hạn quản lý cố, bảng điều khiển báo cáo)  Các yếu tố việc giám sát an toàn mạng Việc giám sát đạt hiệu cao phải xác định yếu tố sau: ‒ 165 Xác định đơn vị cần giám sát có hệ thống, thiết bị, hệ điều hành dịch vụ cần giám sát ‒ Xác định thiết bị cốt lõi thiết bị khác có liên quan hệ thống họ đưa giải pháp giám sát ‒ Xác định phần mềm quan trong hệ thống cần giám sát ‒ Xác định công cụ hỗ trợ họ đưa giải pháp phân tích hợp.Ví dụ 170 cơng cụ NMAP, TCPDUMP, Wireshark, Nessus ‒ Yếu tố người quan trọng hệ thống giám sát an toàn mạng  Các giải pháp cơng nghệ giám sát an tồn mạng ‒ Giải pháp tập trung thu thập lưu trữ liệu nhật ký ‒ Giải pháp phân tích xử lý liệu nhật ký mà thu thập đưa cảnh báo 175 cho người quản trị mạng ‒ Giải pháp quản lý gồm hai giải pháp nhằm khắc phục vấn đề hạn chế vốn có Hình 2.1: Mơ hình khung kiến trúc hệ thống giám sát an toàn mạng 180 2.1.2 Thành phần trung tâm hệ thống giám sát an toàn mạng;  Quản lý liệu nhật ký liệu cố  Tương quan kiện phân tích  Giám sát cố cảnh báo an ninh 2.1.3 Kết nối thành phần hệ thống 185 2.1.4 Các thành phần phát ngăn chặn công 2.2 Các chức chủ yếu hệ thống giám sát an toàn mạng 2.2.1 Bốn chức hoạt động thiết yếu Thu thập liệu Phát hiên Phân tích Cảnh báo Hình 2.2: Hoạt động thiết yếu hệ thống giám sát an toàn mạng 190 2.2.2 Các chức chủ yếu hệ thống giám sát an toàn mạng a) Thu thập liệu (Collection) 195 ‒ Xác định điểm yếu tồn hệ thống giám sát ‒ Xác định nguy xảy công mạng ‒ Xác định nguồn liệu có liên quan ‒ Tinh chế nguồn liệu thu thập ‒ SPAN Port để thu thập liệu gói tin từ vị trí giám sát mạng ‒ Xây dựng sở liệu (SAN) cho lưu giữ nhật ký ‒ Cấu hình phần cứng phần mềm thu thập b) Phát (Detection) 200 c) Phân tích liệu (Analysis) Phân tích liệu thực với nhiệm vụ sau:  ‒ Phân tích gói tin thu ‒ Phân tích tình trạng mạng ‒ Phân tích tình trạng máy chủ 8 ‒ 205  Phân tích kiện phần mềm độc hại gây Việc phân tích dựa loại log hệ thống sau: ‒ Application log: Nhật ký ứng dụng, kiện ứng dụng ghi lại ‒ System log: Nhật ký hệ thống, kiện hệ điều hành ghi lại ‒ Security log: Nhật ký bảo mật, kiện liên quan đến bảo mật, bao gồm 210 lần thử đăng nhập xóa tệp 215 ‒ Directory service log: Nhật ký dịch vụ thư mục ‒ DNS server log: Nhật ký máy chủ DNS, ghi lại hoạt động DNS ‒ File replication service log: Nhật ký dịch vụ chép tệp ‒ Log Access: Ghi lại thông tin truy cập người dùng tới hệ thống ‒ Log Event: Ghi lại chi tiết kiện xảy hệ thống ‒ Log Device: Ghi lại tình trạng hoạt động thiết bị phần cứng phần mềm d) Cảnh báo (Alert) 2.2.3 Các kỹ thuật phát 220  Công nghệ phát mối đe dọa kiện bảo mật để tổng hợp liệu từ kiện toàn mạng, bao gồm xác thực, truy cập mạng nhật ký từ hệ thống quan trọng  Công nghệ phát mối đe dọa mạng để hiểu mẫu lưu lượng truy cập mạng giám sát lưu lượng truy cập mạng, với internet 225  Công nghệ phát mối đe dọa điểm cuối để cung cấp thông tin chi tiết kiện độc hại xảy máy người dùng, thông tin hành vi pháp y để hỗ trợ điều tra mối đe dọa 2.2.4 Các kỹ thuật phân tích  230 Các kiện nhật ký chung liên quan đến bảo mật ‒ Báo cáo từ phần mềm chống vi-rút thiết bị bị nhiễm phần mềm độc hại ‒ Báo cáo từ tường lửa lưu lượng truy cập đến/từ địa mạng bị cấm ‒ Cố gắng truy cập hệ thống quan trọng từ máy chủ địa IP không xác định 235 ‒ Các lần truy cập hệ thống quan trọng không thành công ‒ Thay đổi đặc quyền người dùng 9 ‒ Sử dụng giao thức/cổng khơng an tồn bị cấm  Các cố bảo mật chung 240 ‒ Email độc hại người dùng tổ chức nhận kích hoạt ‒ Trang web độc hại người dùng tổ chức truy cập ‒ Việc sử dụng không cách bị cấm người dùng ủy quyền ‒ Truy cập trái phép ‒ Cố gắng thỏa hiệp, từ chối quyền truy cập xóa hệ thống tổ chức ‒ Mất trộm thiết bị, chẳng hạn máy tính xách tay nhân viên, máy chủ 245 ‒ Rò rỉ liệu bị nhiễm phần mềm độc hại qua phương tiện di động  Phân tích nhật ký 2.2.5 Cảnh báo hệ thống giám sát an toàn mạng 2.3 Kiến trúc hệ thống thu thập thơng tin 2.3.1 Kiến trúc hệ thống 250 Hình 2.4: Kiến trúc hệ thống thu thập liệu Thông qua tác nhân cài đặt thiết bị (phương pháp phổ biến nhất) Bằng cách kết nối trực tiếp với thiết bị giao thức mạng lệnh gọi API Bằng cách truy cập tệp nhật ký trực tiếp từ lưu trữ, thường định dạng Nhật 255 ký hệ thống Thông qua giao thức truyền phát kiện SNMP, Netflow IPFIX 2.3.2 Các thiết bị phục vụ thu thập mẫu, thu thập thông tin  Thiết bị Switch:  SPAN Port: 260  Network Tap:  Inline Device: 10 2.3.3 Các module  Module bắt giữ gói tin (Sensor)  Module phân tích, xử lý thơng tin 2.4 Mơ hình giải pháp phát cơng mạng 265 2.4.1 Một số vấn đề cần quan tâm xây dựng mơ hình lựa chọn giải pháp 270 275  Vấn đề phát kết hợp ngăn chặn  Vấn đề thu thập thông tin giám sát mạng  Phân tích thơng tin thu  Liên lạc thành phần hệ thống  Đưa cảnh báo  Phản ứng  Thiết lập sách cho hệ thống 2.4.2 Một số phương pháp phát bất thường Hình 2.8: Kiến trúc hệ thống pháp xâm nhập 2.4.3 Lựa chọn giải pháp phát công mạng máy đơn lẻ 280 ‒ Giải pháp giám sát mạng: Nhóm giải pháp gọi phát xâm nhập dựa mạng (NIDS - Network-based IDS) Hệ thống sử dụng liệu tồn lưu thơng mạng, với liệu kiểm tra từ một vài máy trạm để phát xâm nhập ‒ 285 Giải pháp giám sát máy trạm đơn: Nhóm giải pháp cịn gọi phát xâm nhập dựa máy trạm đơn (HIDS - Host-based IDS) Hệ thống sử dụng liệu kiểm tra từ máy trạm đơn để phát xâm nhập 2.4.4 Lựa chọn mơ hình phát hành vi bất thường 290 a Nhóm mơ hình dựa thống kê b Nhóm mơ hình dựa nhận thức dựa tri thức 11 295 c Nhóm mơ hình dựa khai phá liệu d Nhóm mơ hình dựa học máy e Nhóm mơ hình dựa nhận dạng ý định người dùng f Nhóm mơ hình dựa miễn dịch máy tính 2.5 Kết luận chương Chương hai trình bày thành phần HTGSATM hệ thống bao gồm thành phần, chức chủ yếu phần nêu rõ thiết bị cần thiết hệ thống giám sát Ngoài đưa vấn đề thu thập thông tin, sâu phát 300 công bất thường, nêu số phương pháp phát bất thường số mơ hình điển hình cho phát lưu lượng bất thường Phần trình bày vấn đề nghiên cứu lựa chọn giải pháp phù hợp để kiển khai HTGSATM cho mạng NIX Lào, mơ hình tổng qt cho hệ thống, kiến trúc hệ thống, sử dụng số tiện ích phần mềm, demo thử nghiệm đưa số kết thử 305 nghiệm hệ thống giải pháp triển khai áp dụng HTGSATM cho mạng nội NIX Trung tâm Internet Quốc gia Lào Chương III: NGHIÊN CỨU LỰA CHỌN GIẢI PHÁP CÔNG NGHỆ TRONG TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG CHO MẠNG NỘI BỘ NIX CỦA TRUNG TÂM INTERNER QUỐC GIA LÀO 310 Chương ba này, tập trung trình bày HTGSATM cho mạng nội NIX Lào nghiên cứu lựa chọn giải pháp phù thập để triển khai hệ thống, chương tập trung vào hệ thống thu thập thông tin từ mạng, sử dụng số tiện ích phần mềm, demo số kết thử nghiệm hệ thống triển khai áp dụng HTGSATM Trung tâm Internet Quốc gia Lào 315 3.1 Mơ hình tổng quát cho hệ thống giám sát an toàn mạng nội NIX Các thành phần mơ hình gồm: khối Console, khối xử lý kiện, khối xử lý luồng tin, khối thu thập kiện khối thu thập luồng tin 12 EP FP FC EC Console NOC Monitoring Hệ thống quan Nhà Nuốc IIG 320 NIX Core Switch Nhà dịch vụ Internet Hình 3.1: Mơ hình HTGSATM cho NIX 3.1.1 Các thành phần mơ hình a) CONSOLE b) EP - EVENT PROCESSOR c) 325 FP - FLOW PROCESSOR d) EC - EVENT COLLECTOR e) FC - FLOW COLLECTOR 3.1.2 Mơ hình triển khai 330 ‒ Dạng phân tán (Distributed) ‒ Dạng hoạt động độc lập (All in one) 3.1.3 Chức hệ thống giám sát ‒ Các kiện an ninh (Security Event): Được sinh từ ứng dụng thiết bị như: Nhật ký hệ thống IIS, Firewall, VPN (Virtual Private Network), IDS (Intrusion Detection System), IPS (Intrusion Prevention System), … ‒ Bối cảnh hoạt động mạng (Network activity context): Tầng bối cảnh ứng dụng từ lưu lượng mạng lưu lượng ứng dụng 335 ‒ Thông tin hệ điều hành: Tên nhà sản xuất chi tiết số phiên ‒ Các nhật ký hệ thống ứng dụng: Kế hoạch nguồn lực đơn vị, quan Nhà nước doanh nghiệp kết nối mạng NIX, quy trình làm việc, sở liệu ứng dụng, tảng quản lý, 13 340 345 3.2 Hệ thống thu thập thông tin từ mạng  Thu thập thông tin  Phát dấu hiệu công dựa tập luật  Phát dấu hiệu bất thường  Giám sát phân tích lưu lượng mạng  Theo dõi tình trạng ứng dụng dịch vụ mạng FC Luồng liệu EC CONSOLE NOC Monitoring Log Luồng liệu NIX Log Log Log Hình 3.2: Hệ thống thu thập thông tin 3.3 Lựa chọn giải pháp công nghệ cho hệ thống giám sát an toàn mạng  Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ biểu diễn 350 nhật ký  Giải pháp quản lý kiện an ninh: tập trung vào việc phân tích xử lý nhật ký thu thập để đưa cảnh báo cho người dùng  Giải pháp quản lý phân tích kiện an ninh: kết hợp hai giải pháp nhằm khắc phục hạn chế vốn có 355 Để đáp ứng nhu cầu trên, đề án lựa chọn giải pháp thứ ba “Giải pháp quản lý phân tích kiện an ninh: kết hợp hai giải pháp quản lý thông tin an ninh giải pháp quản lý kiện an ninh nhằm khắc phục hạn chế vốn có” 3.4 Lựa chọn phần mềm nguồn mở cho hệ thống giám sát an toàn mạng 14 360 Hình 3.3: Phần mềm mã nguồn miễn phí IDS/IPS 3.4.1 Kiến trúc phần mềm Suricata Kiến trúc Suricata gồm phần sau: 365 ‒ Khối thu tin (Packet Sniffer) ‒ Khối tiền xử lý (Preprocessors) ‒ Khối phát (Detection Engine) ‒ Khối đầu (Output): Modul Alert/ Logging Modul kết xuất thông tin 3.4.2 Chức thành phần Suricata  370 Khối thu gói tin giải mã gói tin (Packet Sniffer / Decoder) ‒ Phân tích mạng troubleshooting ‒ Performance network and bench marking ‒ Nghe mật clear-text liệu khác  Khối tiền xử lý (Preprocessors)  Khối phát (Detection Engine) Các luật chia thành phần: 375 ‒ Phần Hearder: gồm hành động (log/alert), loại giao thức (TCP, UDP, ICMP ), địa IP nguồn, địa IP đích port ‒  Phần Options: phần nội dung gói tin tạo để phù hợp với luật Khối cảnh báo / ghi log nhật ký 3.5 Demo thử nghiệm đánh giá kết 380 3.5.1 Mục tiêu mơ hình thử nghiệm  Mục tiêu: ‒ Thực tính phát xâm nhập IDS Suricata qua nhiều môi trường khác ‒ 385  Bảo vệ đồng thời cảnh báo người quản trị server Mơ hình: 15 Hình 3.9: Mơ hình hoạt động suricata 3.5.2 Cài đặt công cụ phần mềm 390 ‒ Phần mềm máy trạm ảo (cài với VMware Workstation) ‒ Máy chủ server Ubuntu ‒ Phần mềm IDS/IPS Suricata ‒ Máy trạm sử dụng hệ điều hành Windows để kiểm tra cài đặt phần mềm Nmap Các bước triển khai cài đặt hệ thống thử nghiệm sau: 395 ‒ Tải phần mềm cần thực ‒ Cài đặt phần mềm HĐH hỗ trợ: VMware Workstation 16, Ubuntu 22.04.2 server, phần mềm Suericata-6.0.10 phần mềm Nmap  Cài đặt phần mềm Suericata-6.0.10: [15] sudo apt-get install software-properties-common sudo add-apt-repository ppa:oisf/suricata-stable 400 sudo apt-get update && sudo apt-get install suricata -y  Kiểm tra trạng thái Suricata: sudo systemctl status suricata.service sudo systemctl starts suricata.service 16 405 Hình 3.10: Trạng thái suricata 3.5.3 Các kịch thử nghiệm 410 ‒ Thiết lập cấu hình cho Suricata ‒ Tạo kiểm tra tập luật cho phát hiện, cảnh báo ‒ Thử nghiệm phát chặn quét ping ‒ Thử nghiệm phát chặn quét cổng 3.5.4 Thực Demo Thiết lập mặc định tập luật (rule) Các bước thiết lập kiểm tra tập luật mặc định sau: sudo systemctl stop suricata.service 415 sudo vim /etc/suricata/suricata.yaml HOME_NET: "[192.168.198.0/24]"(điền vào ip-address sử dụng) af-packet: - interface: ens33 pcap: 420 - interface: ens33 community-id: true :wq (lưu lại thoát ra) sudo suriacata-update 425 Hình 3.11: Cải đặt rules cho suricata  Tạo file test: Tạo file test.rules để lưu luật người quản trị thiết lập 17 Thực dòng lệnh: Tại ta đặt rule test vào Sau tạo file xong, mở file suricata.yaml, vào mục “rule-file” Di chuyển chuột đến cuối mục thêm vào “/test.rules” 430 lưu lại sudo vim /etc/suricata/suricata.yaml 435 rule-files: - suricata.rules - /etc/suricata/rules/test.rules :wq  Kiểm tra lại rule có hợp lệ hay khơng: sudo suricata -T -c /etc/suricata/suricata.yaml -v Kết phần quản trị cho thấy Suricata thiết lập tập luật mặc định theo yêu cầu 440 sudo vim /etc/suricata/rules/test.rules Thử nghiệm phát chặn quét Ping  Thiết lập luật: Ta thiết lập rule (luật) cho việc phát Ping, trình Ping từ máy khác gửi đến sudo vim /etc/suricata/rules/test.rules 445 alert ICMP any any -> $HOME_NET any (msg:"ICMP Pinged "; sid:1; rev:1;) Tại máy có địa IP 192.168.134.73, thực ping đến máy chủ 192.168.198.132, kết hiển thị ping hình sau Hình 3.12: Ping từ máy mạng External đến máy chủ 450 Kết trang quản trị Suricata sau: sudo tail /var/log/suricata/fast.log 18 10 Hình 3.13: Máy chủ suricata phát ping từ máy khác  Chặn Ping: 455 Thiết lập luật: drop ICMP any any -> $HOME_NET any (msg:”Pinging ís blocked”;sid:2; rev:1;)  Kết trang quản trị Suricata sau: sudo tail /var/log/suricata/fast.log 460 Hình 3.14: Blocked Ping từ máy mạng External đến máy chủ Kết phần quản trị cho thấy Suricata phát chặn ping tới máy chủ theo yêu cầu Thử nghiệm phát chặn quét quét cổng máy chủ  Scan Port máy chủ: 465 Sử dụng phần mềm Nmap windows quát All TCP máy chủ 192.168.198.0/24