ĐẠI HỌC KINH Tế - ĐẠI HỌC ĐÀ NẴNG KHOA THỐNG KÊ – TIN HỌC BÁO CÁO THỰC TẬP NGHỀ NGHIỆP Tên đề tài: NGHIÊN CỨU BỘ CÔNG CỤ SECURITY ONION VÀ ỨNG DỤNG TRONG VIỆC GIÁM SÁT AN NINH MẠNG Chuyên ngành: Quản trị hệ thống thông tin Giảng viên hướng dẫn: Nguyễn Văn Chức MỤC LỤC MỤC LỤC PHẦN MỞ ĐẦU .4 Chương .5 MÃ NGUỒN MỞ SECURITY ONION 1.1 Khái niệm 1.2 Ưu nhược điểm công cụ 1.2.1 Ưu điểm 1.2.2 Nhược điểm 1.3 Chức Security Onion 1.3.1 Bắt tất gói tin (Full Packet Capture) 1.3.2 Phát mạng điểm cuối 1.4 Luật Security Onion .7 1.5 Nguyên lý hoạt động Security Onion 1.6 Các cơng cụ phân tích 1.6.1 Công cụ Sguil .10 1.6.2 Công cụ Squert 11 Kết luận chương 11 Chương .12 CƠNG CỤ PHÂN TÍCH SGUIL TRONG SECURITY ONION .12 2.1 Tổng quan Sguil 12 2.2 Các thành phần sguil 12 2.2.1 Sensor 12 2.2.2 Máy chủ Sguil (Sguil Server) 12 2.2.3 Console 13 2.3 Thao tác với sguil .13 2.4 Xử lý kiện Sguil 13 Kết luận chương 15 Chương .16 DEMO 16 3.1 Mơ hình triển khai .16 3.2 Thực Demo 17 KẾT LUẬN 22 TÀI LIỆU THAM KHẢO 23 DANH SÁCH TỪ VIẾT TẮT Từ viết tắt Diễn giải NIDS Network Intrusion Detection System SOC Security Onion Console IDS Intrusion Detection System IP Internet Protocol ICMP Internet Control Message Protocol TCP Transmission Control Protocol UDP User Datagram Protocol URI Uniform Resource Identifier Nmap Network Mapper XSS Cross-Site Scripting HTML Hyper Text Markup Language SQL Structured Query Language DVWA Damn Vulnerable Web Application PHẦN MỞ ĐẦU Hiện với phát triển nhanh chóng cơng nghệ Cùng với tổ chức, công ty mục tiêu công phổ biến tin tặc với nhiều hình thức cơng ngày tinh vi phức tạp Với tốc độ phát triển công nghệ ngày nhanh nay, hàng ngày có lượng thông tin lớn lưu trữ, chuyển tải thông qua cổng/trang thông tin điện tử kéo theo nhiều rủi ro an tồn thơng tin Theo thống kê cho thấy 75% công Internet công vào công ty doanh nghiệp khớp giới, gây thiệt hại vơ to lớn, việc tìm hiểu An ninh mạng cần thiết nhằm có cách phịng chống công bảo mật ứng dụng web hiệu trở thành yêu cầu cấp thiết Đó thách thức phát triển nhân cho việc an ninh bảo mật thông tin An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm không Việt Nam mà toàn giới Cùng với phát triển nhanh chóng mạng Internet, việc đảm bảo an ninh cho hệ thống thông tin trở nên cấp thiết hết Trong lĩnh vực an ninh mạng, bảo mật cho hệ thống mạng doanh nghiệp vấn đề cần thiết cấp bách tổ chức,doanh nghiệp mong muốn hạn chế rủi ro công mạng xảy Đối với công ty lớn, nguy bị công thông tin đồng nghĩa với việc thiệt hại hàng triệu USD, uy tín bị giảm sút, cịn với quan nhà nước y tế, giáo dục thiệt hại nghiêm trọng việc tổn thất kinh tế Nhằm đảm bảo thêm cho công ty nhỏ sử dụng hệ thống cách an tồn em chọn đề tài “Nghiên cứu công cụ Security Onion ứng dụng vào việc giám sát an ninh mạng” làm đề tài cho Báo Cáo Thực Tập Nghề Nghiệp từ áp dụng vào công việc thực tế Chương MÃ NGUỒN MỞ SECURITY ONION Chương tập trung vấn đề sau: 1.1 Khái niệm Security Onion Ưu nhược điểm công cụ Chức Security Onion Luật Security Onion Nguyên lý hoạt động Security Onion Các cơng cụ phân tích Kết luận Khái niệm Security Onion công cụ giám sát an ninh mạng ( NSM) mã nguồn mở phân phối mã nguồn mở Linux định hướng để phát mối đe dọa, giám sát bảo mật quản lý nhật ký Security Onion (SO) phiên Linux thiết kế để phát xâm nhập giám sát an tồn mạng Bộ cơng cụ dựa Ubuntu 10.4, gồm Snort, Suricata, Sguil, Squert, Snorby, Bro, NetworkMiner, Xplico, nhiều cơng cụ an tồn khác Đây công cụ hữu dụng mạng lưới văn phịng doanh nghiệp Security Onion khơng chứa công cụ phản ứng, phản ứng cố bảo mật bảo mật máy tính pháp y Nó chứa cơng cụ chủ động giúp ta biết xảy với mạng mình, biết lỗ hổng hệ thống, cổng mở cách khơng cần thiết Hình 1.1 Hình ảnh minh họa cho Security onion 1.2 Ưu nhược điểm công cụ 1.2.1 Ưu điểm - Là phiên Linux nên dễ dàng việc cài đặt, cấu khơng u cầu nhiều khả phần cứng máy cài đặt - Thuận tiện cài đặt hệ thống phát xâm nhập môi trường mạng - Giao diện đơn giản, dễ nhìn hỗ trợ phát thời gian thực thống kê liệu theo khoảng thời gian cụ thể - Bộ luật cập nhật thường xuyên cộng đồng chia sẻ, bên cạnh dễ dàng việc thiết kế, tạo luật riêng phù hợp với mục đích môi trường sử dụng 1.2.2 Nhược điểm - Security Onion hỗ trợ chức hoạt động hệ thống phát xâm nhập, ngăn chặn có xâm nhập xảy - Vì phát xâm nhập dựa luật có sẵn, phân tích gói tin cách bắt tồn gói khiến thời gian phát đơi có độ trễ định - Tuy cộng đồng chia sẻ bổ sung thêm luật thể phát hoàn tồn loại cơng, xâm nhập đặc biệt hình thức chưa có luật phù hợp 1.3 Chức Security Onion 1.3.1 Bắt tất gói tin (Full Packet Capture) Bắt tất gói tin thực thông qua công cụ Stenographer Stenographer công cụ hỗ trợ bắt gói tin cho gói liệu đệm đến ổ đĩa, nhằm mục đích phát xâm nhập giúp người quản trị có động thái kịp thời phát tượng xâm nhập Stenographer cung cấp chế cài đặt đọc ghi gói tin bắt từ network adapter (card mạng) ổ đĩa (NIC-to8 disk packet writing), xử lý ngoại lệ ổ đĩa hết dung lượng cách xóa bớt gói tin đi, cung cấp phương thức để đọc lại gói tin cụ thể, nhanh chóng Stenographer sử dụng AP-PACKET để thực gửi nhận gói tin 1.3.2 Phát mạng điểm cuối Phát mạng đầu cuối (network and endpoint detection) phân tích lưu lượng gói tin mạng hệ thống máy chủ, đồng thời cung cấp liệu nhật ký (các ghi log) cảnh báo cho kiện hoạt động phát Security Onion cung cấp nhiều tùy chọn NIDS hướng theo quy tắc (Rule-driven NIDS) Để phát xâm nhập mạng theo quy tắc, Security Onion sử dụng Suricata Hệ thống dựa quy tắc xem xét lưu lượng mạng để tìm dấu vân tay số nhận dạng khớp với lưu lượng độc hại, bất thường đáng ngờ NIDS hướng phân tích Để phát xâm nhập mạng theo hướng phân tích Security Onion cung cấp công cụ Zeek Zeek giám sát hoạt động mạng ghi vào nhật ký (log) kết nối, yêu cầu DNS, dịch vụ mạng phần mềm phát hiện, chứng SSL hoạt động HTTP, FTP, IRC, SMTP, SSH, SSL Syslog mà nhìn thấy, cung cấp khả hiển thị đầy đủ thiết thực ngữ cảnh liệu kiện xảy với chúng bên môi trường mạng Ngồi ra, Zeek bao gồm phân tích cho nhiều giao thức phổ biến, mặc định có khả kiểm tra tổng MD5 cho lần tải xuống tệp HTTP chống lại dự án Đăng ký phần mềm mã độc Team Cymru (Team Cymru Malware Hash Registry project) Ngồi hoạt động ghi nhật ký phân tích lưu lượng, Zeek cung cấp nhiều giải pháp cho việc mở rộng để phân tích liệu mạng thời gian thực Khung đầu vào cho phép cung cấp liệu vào Zeek, script theo lọc đó, ví dụ, để đọc file CSV nhân viên cấp quản lý so sánh tương khắc với hoạt động khác mạng, ví dụ hoạt động tải file thực thi (executable file) từ mạng internet xuống Framework phân tích liệu cung cấp cách thức phân tích liệu độc lập giao thức, cho phép bắt liệu chúng qua môi trường mạng tự động chuyển chúng vào môi trường sandbox file chia sẻ kiểm tra vi-rút Để giám sát điểm cuối, Security Onion cung cấp Wazuh, công cụ HIDS mã nguồn mở, miễn phí cho Windows, Linux Mac OS X Khi thêm lọc/bộ quét Wazuh vào điểm cuối mạng, người quản trị nắm bắt thơng tin có giá trị từ điểm cuối (endpoint) đến điểm (exit) mơi trường mạng Wazuh thực phân tích nhật ký, kiểm tra tính tồn vẹn tệp, giám sát sách, phát rootkit, cảnh báo thời gian thực phản hồi chủ động Một bổ sung cho Security Onion osquery – công cụ mã nguồn mở miễn phí khác có chức tương tự Ngồi ra, Security Onion thu thập liệu thơng qua Syslog Beats 1.4 Luật Security Onion Cách tạo luật Trong q trình cài đặt Security Onion lựa chọn Snort Suricata làm hệ thống phát xâm nhập mạng (NIDS) Tuy cơng cụ có cách cấu vận hành khác may mắn thay hai dùng chung cách cài đặt luật dùng cho Security Onion Bộ luật Security Onion dùng chung cho Snort hay Suricata bao gồm phần chính: Rule header rule Options Hình 1.2 Chi tiết thành phần câu Rule Rule Header: phần rule bao gồm thành phần: Actions: Việc xử lý liệu phân tích, Security Onion tích hợp IDS nên actions sử dụng chủ yếu alert Protocol: Giao thức sử dụng gói tin bao gồm: TCP, UDP, ICMP IP IP address: IP đích nguồn gói tin, rõ mục tiêu công hay cần bảo vệ để any Port: Cổng địa nguồn đích gói tin, tương tự địa IP viết luật ta để any để thơng báo áp dụng với cổng Direction: Tốn tử “->” đâu hướng nguồn, đâu hướng đích Ngồi cịn có tốn tử “” xem cặp địa IP/port nguồn đích Rule Options: Đây trọng tâm việc phát xâm nhập Nội dung chứa dấu hiệu để xác định xâm nhập Nó nằm sau phần Rule Header bọc cặp dấu ngoặc đơn “()”, tất rule options phân cách dấu chấm phẩy “;”, phần đối số tách dấu hai chấm “:” Rule options có nhiều lựa chọn không bắt buộc phải đủ thành phần hoạt động Bao gồm thành phần sau: Message (msg): Được dùng biết thông tin signature cảnh báo tương ứng Định dạng msg sau: msg:“………”; Signature ID (sid): Cho ta biết định danh riêng signature Định danh bắt đầu với số, luật tự tạo local số đếm từ 1000000 trở Định dạng sid sau: sid:1234567; Revision (rev): Mỗi sid thường kèm với rev đại diện cho phiên signature Mỗi signature sửa đổi số rev tăng lên người tạo luật Định dạng rev sau: rev:1; Classtype: Cung cấp thông tin việc phân loại lớp quy tắc cảnh báo Mỗi lớp tên ngắn gọn, có định dạng sau: classtype:test; Priority: Chỉ mức độ ưu tiên signature Các giá trị ưu tiên dao động từ 1-> 255 thường sử dụng giá trị từ 1->5 Mức ưu tiên cao 1, mức ưu tiên cao kiểm tra trước Định dạng mức ưu tiên sau: priority:1; Content: Thể nội dung cần viết signature, nội dung đặt dấu nháy kép Nội dung byte liệu, bao gồm ký tự thường, hoa, đặc biệt hay mã hex tương ứng Định dạng nội dung sau: content:“… ”; (Lưu ý kí tự đặc biệt nháy đơn, nháy kép, hai chấm,… phải chuyển mã hex) Offset: Là thuộc tính Content, độ lệch byte q trình kiểm tra Ví dụ offset=3 kiểm tra từ byte thứ gói tin Vì thuộc tính Content nên bắt buộc phải đặt sau content, có định dạng sau: content:“hello world!”; offset:5; Depth: Là thuộc tính Content, số lượng byte tối đa cần kiểm tra Ví dụ depth=3 kiểm tra byte đầu gói tin Vì thuộc tính Content nên bắt buộc phải đặt sau content, có định dạng sau: content:“hello world!”; depth:12; Nocase: Là thuộc tính Content, thơng báo kiểm tra gói tin chứa nội dung khơng phân biệt chữ hoa, chữ thường Vì thuộc tính Content nên bắt buộc phải đặt sau content, có định dạng sau: content:“Hello World!”; nocase; URI: Là thuộc tính Content, thơng báo chuẩn hóa gói tin chứa đường dẫn http mã hóa Vì thuộc tính Content nên bắt buộc phải đặt sau content, có định dạng sau: content:“/test page”; http_uri; Not: Là thuộc tính Content, thơng báo phát gói tin khơng chứa nội dung phần Content Thuộc tính not biểu dấu chấm than trước mục nội dung Content, có định dạng sau: content:!“hello”; 1.5 Nguyên lý hoạt động Security Onion Onion Security OS, tịch hợp nhiều tool IDS Snort, Sguil, Suricata, zeek, … Vì nên Onion hoạt động tương tự hệ thống IDS Xâm nhập tập hành động nhằm thỏa hiệp với mục tiêu an tồn (tính bảo mật, tính tồn vẹn tính sẵn dùng) tài nguyên mạng máy tính Các hệ thống phát công, xâm nhập (IDS) lớp phòng vệ quan trọng lớp giải pháp đảm bảo an tồn cho hệ thống thơng tin mạng theo mơ hình phịng thủ có chiều sâu (defence in depth) Hệ thống phát công, xâm nhập IDS có Nhiệm vụ là:  Giám sát lưu lượng mạng hành vi hệ thống để nhận dạng dấu hiệu công, xâm nhập  Khi phát hành vi công, xâm nhập, ghi logs hành vi cho phân tích bổ sung sau  Gửi thơng báo cho người quản trị các hành vi cơng, xâm nhập phát Hình 1.3 Giao diện Sguil 1.6.2 Công cụ Squert Squert ứng dụng web sử dụng để thực lệnh truy vấn xem kiện từ lothu thập sở liệu Sguil (các cảnh báo nhận từ NIDS), liệu thống kê theo biểu đồ trực quan giúp dễ dàng việc theo dõi xâm nhập Hình 1.4 Giao diện Squert Kết luận chương Trong chương nghiên cứu trình bày tổng quan cơng cụ Onion Security việc hỗ trợ phát xâm nhập hệ thống mạng Trình bày cách hoạt động chức cơng cụ IDS có Onion Security Tiếp theo chương Phân tích Sguil Security Onion Chương CƠNG CỤ PHÂN TÍCH SGUIL TRONG SECURITY ONION Chương tập trung vấn đề sau: - Tổng quan Sguil Các thành phần Sguil Thao tác với Sguil Xử lý kiện Sguid 2.1 Tổng quan Sguil Sguil công cụ giám sát mạng phân tích cơng, phát triển giao diện trực quan cho hệ thống giám sát Intrusion Detection System (IDS) Snort Sguil hỗ trợ việc quản lý phân tích cố bảo mật mạng cách hiệu 2.1 Giao diện Sguil 2.2 Các thành phần sguil Kiến trúc Sguil bao gồm thành phần sau đây: 2.2.1 Sensor - Là thành phần kiến trúc Sguil - Thu thập liệu từ công cụ giám sát mạng Snort Suricata - Gửi cảnh báo cố bảo mật ghi lại đến máy chủ Sguil để xử lý hiển thị giao diện người dùng 2.2.2 Máy chủ Sguil (Sguil Server) - Là thành phần trung tâm Sguil - Nhận liệu từ Sensor xử lý cảnh báo cố bảo mật - Lưu trữ liệu liên quan đến cố cung cấp giao diện người dùng cho việc xem phân tích - Sử dụng CSDL để lưu trữ liệu 2.2.3 Console - Phân tích phân loại cảnh báo 2.3 Thao tác với sguil Hình 2.1 Đăng nhập Sguil 2.4 Xử lý kiện Sguil Sguio không bảng điều khiển hỗ trợ điều tra cảnh báo mà cơng cụ để giải cảnh báo Ba tác vụ hoàn thành để quản lý cảnh báo Sguil: - - Các cảnh báo phát giả hết hạn, nhấn F8 để kiện biến khỏi hàng đợi Nếu nhà phân tích an ninh mạng khơng chắn cách xử lý kiện, nhấn F9 để báo cáo kiện Cảnh báo chuyển đến tab Event Alert Sguil Phân loại kiện Tácc vụ dành cho kiện xác định Trong Sguil, có sẵn danh mục tạo để gán nhãn kiện: Category I: Root/ Administrator Account Được sử dụng để phân loại kiện liên quan đến việc sử dụng tài khoản root tài khoản quản trị viên hệ thống - Sử dụng tài khoản root tài khoản quản trị viên để đăng nhập vào hệ thống Thay đổi cấu hình quan trọng hệ thống ứng dụng Tạo, xóa sửa đổi tài khoản người dùng khác hệ thống Truy cập vào tệp, thư mục liệu nhạy cảm Thực hành động quản lý hệ thống khởi động lại, tắt nguồn cài đặt phần mềm Category II: user Account Được dùng để phân loại kiện liên quan đến tài khaorn người dùng hệ thống Bao googm động kiện sau: - Đăng nhâp/ đăng xuấ người dùng Tạo xóa tài khoản - Thay đổi đặc quyền người dùng… Category III: Attempted Account Phân loại theo danh mục danh mục liên quan đến nỗ lực truy cập trái phép hoặc động đáng ngờ liên quan đến tài khoản người dùng Bao gồm hoặt động như: - Cố gắng đăng nhập khơng thành cơng Tấn cơng Khóa tài khoản hành động đáng ngờ khác nhắm mục tiêu vào tài khoản người dùng Category IV: Denial of Service Được dùng để phân loại kiện liên quan đến công từ chối dịch vụ (DoS) Nó gồm kiện liên quan như: - Cho thấy nỗ lực cố ý nhằm phá vỡ từ chối quyền truy cập vào hệ thống mạng (lưu lượng truy cập mạng mực, cạn kiệt tài nguyên kỹ thuật khác nhằm mục đích khiến dịch vụ hệ thống khơng khả dụng người dùng hợp pháp) Category V: Poor Security Practice or Policy Violation Các kiện danh mục cho thấy biện pháp bảo mật vi phạm sách bảo mật hệ thống Bao gồm kiện: - Truy cập trái phép Chia sẻ thông tin nhạy cảm Xử lý liệu khơng cách Vi phạm sách bảo mật hành vi chệch khỏi biện pháp bảo mật thiết lập Category VI: Reconnaissance Là danh mục sử dụng để phân loại kiện thông điệp liên quan đến hoạt động tìm hiểu (reconnaissance) mơi trường mạng Bao gồm hoạt động sau: - Quét cổng (port scanning) Truy vấn DNS khơng bình thường, qt mạng (network scanning) Thu thập thông tin hệ thống (system information gathering) Các hoạt động khác nhằm khám phá cấu trúc mạng, tìm kiếm thơng tin chi tiết hệ thống, xác định điểm yếu tiềm Category VII: Virus Activity Danh mục dành riêng cho kiện liên quan đến hoạt động Virus phát phần mềm virus độc hại hệ thống Bao gồm kiện như: - Lây nhiễm virus phần mềm độc hại Cảnh báo từ phần mềm chống virus Phát tệp hoạt động độc hại dấu hiệu khác diện virus phần mềm độc hại Kết luận chương Tổng quan, Sguil giải pháp mạnh mẽ toàn diện cho giám sát phân tích bảo mật mạng Nó cung cấp cơng cụ khả quản lý cảnh báo, phân tích kiện chi tiết tích hợp với cơng cụ phân tích khác để nâng cao khả phát phản ứng với mối đe dọa Chương DEMO 3.1 Mô hình triển khai Sử dụng: 01 máy chủ cài đặt cơng cụ Security Onion để thu thập phân tích NSM 01 máy Kali Linux để thực xâm nhập 01 máy người dùng Windows 10 Hình 3.1 Mơ hình thực  Security Onion Hệ điều hành : Bản phân phối Kali linux Địa IP: 192.168.1.10 Chức năng: Sử dụng cơng cụ IDS có Onion giám sát bất thường hệ thống mạng  Windows Hệ điều hành : Windows 10 Địa IP: 192.168.1.20 Chức năng: Làm Victim  Kali Linux Hệ điều hành: Kali linux Địa IP: 192.168.1.25 Chức năng: Thực cơng nạn nhân 3.2 Thực Demo Hình 3.1 Giao diện Security Onion Đăng nhập vào Sguil theo tên đăng nhập mật cài đặt Hình 3.2 Giao diện đăng nhập Hình 3.3 Chọn Unselect All để chọn vùng mạng cần giám sát Hình 3.4 Giao diện Sguil Tiếp theo, chuyển sang máy ảo Kali Linux (Attcacker) ping mạng kiểm tra kết nối với máy ảo Windows 10 (Victim) Theo dõi giao diện Sguil Trên máy ảo Kali Linux, mở cửa sổ Terminal vào nhập dòng lệnh: ping 192.168.1.120