Báo cáo đồ án môn đồ án chuyên ngành giám sát xâm nhập bằng splunk

Đề tài nghiên cứu về các hoạt động bảo mật giám sát và phân tích hoạt động trên các mạng, máy chủ, thiết bị đầu cuối, cơ sở dữ liệu, ứng dụng, trang web và các hệ thống khác, tìm kiếm ho

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

BÁO CÁO ĐỒ ÁN MÔN ĐỒ ÁN CHUYÊN NGÀNH

GIÁM SÁT XÂM NHẬP BẰNG SPLUNK

Ngành: AN TOÀN THÔNG TIN

GVHD: TS Văn Thiên Hoàng

SVTH: Nguyễn Chí Hài MSSV: 2087700032 Phạm Lê Huy Hoàng MSSV: 2087700035

Lớp: 20DATA1

TP.Hồ Chí Minh, 2023

LỜI CẢM ƠN

Sau một thời gian nghiên cứu, thực nghiệm cùng với sự giúp đỡ của các giảng viên nhóm em đã hoàn thành khóa luận tốt nghiệp Nhóm em xin được bày tỏ lời cảm ơn tới các giảng viên khoa Công nghệ thông tin trường Đại học công nghệ TPHCM đã giúp đỡ nhóm hoàn thiện đề tài “Giám sát xâm nhập bằng splunk” Đồng thời, nhóm em xin gửi lời cảm ơn chân thành nhất tới Ts Văn Thiên Hoàng, người đã trực tiếp hướng dẫn, cung cấp tài liệu, góp ý cũng như chia sẻ tận tình, dẫn dắt chúng em trong suốt quá trình nghiên cứu và thực hiện đề tài.

Tuy vậy, do thời gian có hạn cũng như kinh nghiệm còn hạn chế nên trong bài báo cáo này sẽ không tránh khỏi những thiếu sót, hạn chế nhất định Vì vậy, nhóm em rất mong nhận được sự chỉ bảo, đóng góp ý kiến của các giảng viên và các bạn để hoàn thiện và phát triển đề tài tốt hơn trong tương lai Xin chân thành cảm ơn!

1

Nhiệm vụ của đồ án:

1 Trình bày tổng quan về SOC (Security Operation Center) 2 Tiến hành xây dựng hệ thống SOC (Security Operation Center) 3 Mô tả sơ đồ, cài đặt và tiến hành thực nghiệm hệ thống 4 Kết luận

2

1.3 PHƯƠNG PHÁP NGHIÊN CỨU 8

1.4 Ý NGHĨA THỰC TIỄN CỦA ĐỀ TÀI 8

PHẦN 2: NỘI DUNG 9

Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER) 9

1.1 GIỚI THIỆU CHUNG VỀ SECURITY OPERATIONS CENTER - SOC 9

1.1.1 Con người (People) 10

Chương 2: XÂY DỰNG HỆ THỐNG SOC 27

2.1 XÁC ĐỊNH CÁC ĐỐI TƯỢNG CẦN XÂY DỰNG VÀ BẢO VỆ 27 3

2.2 XÂY DỰNG KẾ HOẠCH 27

2.3 VAI TRÒ NGƯỜI QUẢN TRỊ 28

2.4 QUY TRÌNH GIÁM SÁT HỆ THỐNG SOC 29

3.5 HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI 33

TÀI LIỆU THAM KHẢO 34

do an 34

4

DANH MỤC THUẬT NGỮ VÀ VIẾT TẮT

ST T

Ký hiệu

1 SOC Security Operation Center Trung tâm điều hành an ninh 2 IPS Intrusion Prevention System Hệ thống phát hiện xâm nhập 3 IDS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập 4 SIEM Security Information and Event

PHẦN 1: MỞ ĐẦU 1.1 TÍNH CẤP THIẾT CỦA ĐỀ TÀI

An ninh mạng, bảo mật thông tin đang ngày càng trở nên quan trọng trong việc thiết lập cấu trúc, dữ liệu tập trung và tránh bị rò rỉ trong một khu vực, cụ thể là doanh nghiệp, công ty Để giải quyết thử thách này, nhóm chúng em xin nghiên cứu và phát triển các giải pháp giám sát an ninh mạng để tăng cường an ninh và phản ứng với các sự kiện mạng.

Chính vì thế, xây dựng hệ thống giám sát mạng là một nhiệm vụ phức tạp Mặc dù lợi ích của việc triển khai hệ thống giám sát là rất nhiều mảng Các thành phần chính của một hệ thống giám sát mà bất kỳ tổ chức nào muốn triển khai hướng tới đó là: con người, quy trình và công nghệ Tất cả yếu tố này cần được coi là thành phần quan trọng để góp phần xây dựng hệ thống an ninh toàn diện.

Nhằm cải thiện một hệ thống giám sát mạng hiệu quả về mặt hoạt động, ta cần phải hiểu rõ các quy trình và xác định được từng nhiệm vụ được giao trong mỗi thành phần Sau đó mới có thể tiến hành lập kế hoạch thích hợp cho các giai đoạn phát triển và triển khai Và bên trong hệ thống giám sát an ninh mạng luôn hiệu quả thì chúng phải bao gồm có các thủ tục, hành vi, được phát triển dựa vào quá trình thu thập sự kiện mỗi ngày trên hệ thống Cũng chính cách tiếp cận này, sẽ cho phép mô hình hệ thống mô phỏng của chúng em nhanh chóng nhận ra tình trạng hệ thống của mình, định vi được hành vi trong hệ thống Từ đó mang lại các bài học kinh nghiệm và kiến thức thông qua hoạt động thực tế của hệ thống.

Từ những lý do trên, chúng em đã tìm hiểu và nghiên cứu đề tài “Giám sát xâm nhập bằng s[lunk” Đề tài nghiên cứu về các hoạt động bảo mật giám sát và phân tích hoạt động trên các mạng, máy chủ, thiết bị đầu cuối, cơ sở dữ liệu, ứng dụng, trang web và các hệ thống khác, tìm kiếm hoạt động bất thường có thể là dấu hiệu của sự cố bảo mật hoặc xâm nhập SOC có trách nhiệm đảm bảo rằng các sự cố an ninh tiềm ẩn được xác định, phân tích, bảo vệ, điều tra và báo cáo chính xác.

1.2 MỤC ĐÍCH CỦA ĐỀ TÀI

Xây dựng, triển khai, vận hành và quản lý hệ thống giám sát an ninh mạng dựa trên nền tảng công nghệ phần mềm Splunk Hệ thống giám sát mạng SIEM (Splunk) sẽ trực tiếp giám sát và dữ liệu tập trung được đổ về Splunk từ

các thiết bị: firewall, suricata (ips/ids), anti-virus ĐỐI TƯỢNG NGHIÊN CỨU

Xây dựng hệ thống giám sát phát hiện và ngăn chặn xâm nhập SURICATA (IPS/IDS).

Xây dựng hệ thống firewall để kiểm soát lượng traffic vào, ra khỏi hệ thống Xây dựng hệ thống Anti-Virus để phát hiện, loại bỏ các virus máy tính, khắc phục (một phần hoặc toàn phần) hậu quả của virus gậy ra và có khả năng được nâng cấp để nhận biết các virus trong tương lai.

Cuối cùng, xây dựng hệ thống SIEM (Splunk) nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối được nêu ở trên và lưu trữ dữ liệu một cách tập trung.

1.3 PHƯƠNG PHÁP NGHIÊN CỨU

Phương pháp nghiên cứu là tìm hiểu trên mạng, tham khảo ý kiến từ các tài liệu trang mạng có thế tin tưởng như Wikipedia, WhiteHat.vn, Cisco, … Mô phỏng hệ thống, thiết lập cấu hình và vận hành hệ thống thiết bị, thử nghiệm trong môi trường VMware Workstation Pro, sau đó có đánh giá và nhận xét.

1.4 Ý NGHĨA THỰC TIỄN CỦA ĐỀ TÀI

Khóa luận đề cập đến xây dựng một hệ thống tổng quan nhất về môn học liên quan đến an toàn và bảo mật thông tin Có ý nghĩa khoa học là một trong những giải pháp mới và hiệu quả cao, áp dụng được thực tế trong doanh nghiệp Và qua mô hình giám sát này sẽ cho chúng ta được cái nhìn tổng quan hơn về thế giới an ninh mạng.

Trung Tâm Điều Hành An Ninh (Security Operations Center - SOC) là một đơn vị xử lý các vấn đề an ninh tập trung Mục tiêu của SOC là phát hiện, phân tích và ứng phó với các sự cố an ninh mạng bằng cách sử dụng kết hợp các giải pháp công nghệ và quy trình hoạt động chặc chẽ Các trung tâm hoạt động bảo mật thường có nhân viên với các nhà phân tích bảo mật và kỹ sư cũng như các nhà quản lý giám sát các hoạt động bảo mật Nhân viên SOC làm việc chặt chẽ với các nhóm phản ứng sự cố để đảm bảo các vấn đề an ninh được giải quyết nhanh chóng khi phát hiện ra.

Hệ thống trung tâm này có thể giúp bảo mật cho các thiết bị đầu cuối khác nhau: bảo mật website, bảo mật ứng dụng, bảo mật cơ sở dữ liệu, bảo mật máy chủ, bảo mật hệ thống mạng, máy tính, … Hệ thống SOC tùy theo kiến trúc thiết kế sẽ liên tục theo dõi mọi hoạt động trong hệ thống của khách hàng và đưa ra những cảnh báo Các tính năng chính của hệ thống như sau:

● Kiểm soát – tập trung vào kiểm soát các trạng thái bảo mật của hệ thống như: đánh giá bảo mật pentest, đánh giá tính tuân thủ, đánh giá lỗ hổng hệ thống, …

● Giám sát – tập trung vào các sự kiện và phản hồi dựa trên giám sát logs, quản trị SIEM và phản hồi sự cố.

● Hoạt động – tập trung vào quản trị hoạt động bảo mật như quản lý định danh và truy cập, quản lý khóa, quản trị tường lửa, …

Để xây dựng được hệ thống SOC thì điều quan trọng là cần có sự liên kết giữa con người (people), công nghệ (technology), quy trình (processes) Như hình sau:

Hình 1 Khối xây dựng của SOC

1.1.1 Con người (People)

- Nhân viên của SOC phải được đào tạo cần thiết để đối phó với công việc liên tục thay đổi và thường khá khó khăn của một nhà phân tích bảo mật, điều tra viên sự cố, chuyên gia về chủ đề hoặc người quản lý SOC.

Bảng 1: Nhiệm vụ và nhu cầu đào tạo của SOC

Cấp 1: Phân tích, cảnh báo (Tier 1: Alert Analyst)

- Liên tục theo dõi hàng đợi cảnh báo; xử lý

cảnh báo an ninh; theo dõi thiết bị cảm biến an ninh và thiết bị đầu cuối; thu thập dữ liệu và bối cảnh cần thiết để bắt đầu công việc ở Cấp 2.

Cấp 2: Ứng phó sự cố (Tier 2: Incident Responder)

- Thực hiện phân tích sự cố sâu bên trong bằng cách tương quan dữ liệu từ nhiều nguồn khác nhau; xác định nếu một hệ thống quan trọng hoặc tập dữ liệu đã bị ảnh hưởng; tư

vấn khắc phục; cung cấp hỗ trợ cho các phương pháp phân tích mới để phát hiện các mối đe dọa.

Cấp 3: Chuyên gia xử lý các vấn đề (Tier 3: Subject Matter Expert)

- Có kiến thức chuyên sâu về mạng, thiết bị

đầu cuối, mối đe dọa, điều tra số và dịch ngược phần mềm độc hại, cũng như chức năng của các ứng dụng cụ thể hoặc cơ sở hạ tầng CNTT cơ bản; hoạt động như một sự cố, không chờ đợi sự cố leo thang; tham gia chặt chẽ trong việc phát triển, điều chỉnh và thực hiện các phân tích phát hiện mối đe dọa.

Cấp 4: Quản lý SOC (SOC Manager)

- Quản lý các nguồn lực bao gồm nhân sự, ngân sách, lập kế hoạch thay đổi và chiến lược; đóng vai trò là người tổ chức cho các sự cố quan trọng; cung cấp định hướng chung cho SOC và đầu vào cho chiến lược bảo mật tổng thể.

1.1.2 Quy trình (Processes)

- Xác định các quy trình xử lý và điều tra sự cố có thể lặp lại để chuẩn hóa các hành động mà nhà phân tích SOC thực hiện và đảm bảo không có nhiệm vụ quan trọng nào rơi vào vết nứt Bằng cách tạo quy trình quản lý sự cố có thể lặp lại, các thành viên nhóm trách nhiệm và hành động từ việc tạo ra một cảnh báo và đánh giá Cấp 1 ban đầu để leo thang lên nhân sự Cấp 2 hoặc Cấp 3 được xác định Dựa trên quy trình làm việc, tài nguyên có thể được phân bổ hiệu quả.

- Quy trình bao gồm sáu giai đoạn: chuẩn bị, xác định, ngăn chặn, diệt trừ, phục hồi và rút ra bài học kinh nghiệm.

1.1.3 Công nghệ (Technology)

- Xây dựng một giải pháp thu thập, tổng hợp, phát hiện, phân tích và quản lý dữ liệu là công nghệ cốt lõi của SOC.

- Một hệ thống giám sát an ninh hiệu quả sẽ kết hợp dữ liệu được thu thập từ việc giám sát liên tục các điểm cuối (PC, máy tính xách tay, thiết bị di động và máy chủ, ) cũng như các mạng và nguồn nhật ký và sự kiện.Các dữ liệu này được thu thập trước và trong khi xảy ra sự cố, nên các nhà phân tích có thể ngay lập tức xoay vòng từ việc sử dụng hệ thống giám sát an ninh như một công cụ thám tử để sử dụng nó như một công cụ điều tra, xem xét các hoạt động đáng ngờ tạo nên sự cố hiện tại và thậm chí là một công cụ để quản lý phản ứng với các sự cố.

1.2 KIẾN TRÚC

Hình 2 Mô hình kiến trúc cơ bản của một hệ thống SOC

Kiến trúc cơ bản của một hệ thống SOC chia thành các lớp xử lý sau: - Reporting and management layer – Báo cáo và quản trị.

● Chịu trách nhiệm về việc quản lý các vấn đề về bảo mật, quản lý hệ thống các thiết bị, hệ thống mạng…

● Lập báo cáo về các sự cố trong hệ thống - Data collaboration – Tổng hợp các dữ liệu

● Lớp này sẽ quản lý các chính sách về các vấn đề an ninh Lưu trữ

và quản lý dữ liệu về sự cố đã xảy ra để cập nhật vào dữ liệu hệ thống Tự động hóa về an ninh.

- Security vulnerability: Phân tích lỗ hổng bảo mật.

● Cung cấp cơ sở dữ liệu về các lỗ hổng bảo mật phổ biến (CVE) giúp dễ dàng đối chiếu thông tin lỗ hổng trên các công cụ và dịch vụ khác nhau, dễ dàng xác định và cập nhật các bản vá lỗi thuận lợi cho việc bảo trì và xây dựng hệ thống.

● Kiểm soát cấu hình.

● Tổng hợp số liệu bảo mật, xếp hạng các rủi ro - Event correlation layer – Tương quan sự kiện.

+ Sử dụng công cụ tương quan sự kiện để quản lý, phân tích và lọc các sự kiện, phân tích luồng dữ liệu.

+ Tích hợp với hệ thống quản lý mạng như: NMS + Tích hợp xử lý rắc rối.

- Security information and event management (SIEM): Quản lý thông tin và sự kiện bảo mật.

+ Thu thập thông tin và sự kiện từ các thiết bị đầu cuối, dịch vụ … trong hệ thống Lưu trữ và quản lý tập trung.

+ Phân tích và xử lý các sự cố an ninh xảy ra - Network layer – Mạng.

+Vùng chứa các thiết bị mạng (Router, switch, ảo hóa, …), thiết bị đầu cuối (PC), server (DMZ, Data center), các thiết bị bảo mật (Firewall, IDS, AV, …).

+ Logs của các thiết bị hay dịch vụ ở lớp mạng này sẽ được chuyển tới SIEM để phân tích và xử lý.

Trung tâm điều hành an ninh (SOC) có thể giải quyết các vấn đề về lượng dữ liệu khổng lồ và đơn giản hóa mô hình dữ liệu của quản lý bảo mật nói chung Thông tin bảo mật từ tất cả các thiết bị mạng sẽ được lưu trữ vào cơ sở dữ liệu chung và được phân tích theo các chính sách bảo mật tùy chỉnh Tất cả các thông

tin có liên quan được lưu trữ để thực hiện phân tích rủi ro, giám sát rủi ro và giải quyết rủi ro Hệ thống SOC là một công cụ mạnh mẽ trong hoạt động của các chuyên gia bảo trì bảo mật và sẽ liên tục phân tích các rủi ro bảo mật của hệ thống và đưa ra các giải pháp một cách hiệu quả, linh hoạt.

Hệ thống SOC có thể được xây dựng theo một trong ba mô hình giải pháp sau: - Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ và biểu diễn nhật ký.

- Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng.

Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải pháp trên nhằm khắc phục những hạn chế vốn có Vì vậy, bài báo cáo này em sẽ hướng đến giải pháp này.

1.3 CÁC THÀNH PHẦN QUAN TRỌNG CỦA HỆ THỐNG SOC 1.3.1 Logs

Là một thành phần quan trọng của hệ thống mạng Nó lưu lại một cách chính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứng dụng, các thiết bị đã và đang hoạt động trong hệ thống.

Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng tới hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu …

Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện Log ứng dụng, log của điều hành, …

Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng và phần mềm đang được sử dụng: Router, Switch, Firewall, …

Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắc phục các sự cố trong hệ thống mạng Tuy nhiên, với những hệ thống lớn, chạy nhiều ứng dụng, lượng truy cập cao thì công việc phân tích log thực sự là một điều vô cùng khó khăn.

1.3.2 Event

Một sự kiện vẫn có thể là một bản ghi, nhưng nó là một bản ghi có bối cảnh cụ thể cho bạn Sự kiện có thể đến từ nhiều nguồn, không chỉ là nhật ký.

Ví dụ: một người dùng gọi để phàn nàn về quá nhiều tin nhắn rác trong email của anh ta là một sự kiện.

Trong mọi trường hợp, một sự kiện là một đầu vào cho SOC cần được thay đổi và xem xét để xác định xem nó có đảm bảo điều tra hoặc phân tích thêm không Nó thường là một bản ghi ý nghĩa mà ai đó muốn ghi lại về những gì đang xảy ra Thông thường có thể bao gồm ký hiệu Information, Warning, Exception Ví dụ:

- Dung lượng ổ đĩa đã vượt quá một ngưỡng nhất định, chẳng hạn như 95% - Việc sử dụng CPU vượt quá 99%.

- Một người dùng đăng nhập vào hệ thống.

Không phải tất cả các bản ghi mà bạn thu thập sẽ đủ xứng đáng để trở thành một sự kiện mà ai đó có thể phải xem lại Điều quan trọng là phải suy nghĩ về những sự kiện nào có liên quan đến mục tiêu xây dựng SOC và loại những sự kiện không liên quan hoặc không cần thiết.

1.3.3 Alerts

Một cảnh báo là một sự kiện được lưu ý đặc biệt bởi vì ai đó hoặc một cái gì đó đã thể hiện sự quan tâm đến sự kiện đó và muốn được cảnh báo về nó.

Có nhiều loại công cụ giám sát khác nhau nhưng thường làm cùng một việc: theo dõi nhật ký hoặc những thay đổi về hệ thống trên các thiết bị và sau đó thông báo cho người vận hành hoặc quản trị viên hệ thống rằng có vấn đề đang diễn ra Trong trường hợp của chúng tôi, các sự cố sẽ được thông báo cho SOC, nhằm nâng cao nhận thức về một vấn đề an ninh tiềm tàng cần được điều tra thêm bởi SOC.

Có bốn loại cảnh báo chính mà bạn có thể thấy: - False positive

- True positive - False negative - True negative

1.3.3.1 False Positive

Một cảnh báo giả xảy ra khi một hành động hoặc giao dịch xảy ra và một công cụ được cấu hình để phát hiện hành động đó và sau đó thực hiện cảnh báo, mặc dù hành động hoặc giao dịch đó thực sự là lưu lượng truy cập hợp pháp.

1.3.3.2 True Positive

True Positivve là những cảnh báo mà bạn thực sự không bao giờ muốn thấy bởi vì điều đó có nghĩa là một cái gì đó xấu đã xảy ra từ góc độ bảo mật Đây là những cảnh báo được cấu hình đúng và được kích hoạt chính xác để thông báo cho người rằng có vấn đề bảo mật tồn tại và cần phân tích hoặc khắc phục thêm Tùy thuộc vào quan điểm của bạn, rõ ràng cảnh báo tích cực thực sự là những gì bạn muốn có và càng gần 100% tất cả các cảnh báo của bạn là đúng, bạn càng đạt hiệu quả tối đa.

1.3.3.3 False Negative

Một tiêu cực sai xảy ra khi hệ thống bảo mật không phát hiện ra giao dịch hoặc sự kiện cụ thể mà nó được thiết kế để tìm Nó cũng có thể là một công cụ bảo mật không có khả năng phát hiện các hành động thực sự trong các điều kiện nhất định Một tiêu cực sai là rất nghiêm trọng vì đó là sự thất bại của các công cụ, hoạt động của bạn và SOC của bạn để phát hiện và phản hồi một sự kiện thực sự có thể gây tổn hại hoặc làm hỏng tổ chức của bạn.

1.3.3.4 True Negative

Khi không có cuộc tấn công nào diễn ra và không có báo động nào được nêu ra, bạn có một điều kiện tiêu cực thực sự Một cách khác để mô tả một tiêu cực thực sự là tất cả các quy tắc, công cụ và chữ ký của bạn đã đánh giá một gói dữ liệu hoặc nhật ký và không có kết quả khớp nào để chỉ ra một điều kiện sẽ kích hoạt cảnh báo Khi điều chỉnh, bạn phải chú ý đến những tiêu cực thực sự bởi vì khi bạn điều chỉnh, bạn sẽ thay đổi độ nhạy của các hệ thống bảo mật của bạn và có thể biến những tiêu cực thực sự thành tích cực sai Tiêu cực thực sự cũng có thể được coi là một sự kiện được quảng bá đến một cảnh báo.

1.3.4 Thành phần thu thập thông tin nhật ký an ninh mạng

Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng, …

gồm cả các thiết bị vật lý và thiết bị ảo hoá.

Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc dữ liệu nhật ký.

Phân tách từng sự kiện và chuẩn hoá các sự kiện vào một lược đồ chung Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích và lưu trữ.

Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ.

1.3.5 Thành phần phân tích và lưu trữ

Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung và tiến hành phân tích, so sánh tương quan.

Module phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước) cũng như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất.

Các nhật ký an ninh mạng được tiến hành phân tích, so sánh tương quan theo thời gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị Đồng thời cũng cho phép phân tích các dữ liệu trong quá khứ, nhằm cung cấp cho người quản trị một bức tranh toàn cảnh về an ninh mạng theo thời gian.

Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN, NAS) giúp nâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng, chống mất mát dữ liệu.

1.3.6 Thành phần quản lý tập trung

Cung cấp giao diện quản trị tập trung cho toàn bộ hệ thống giám sát an ninh mạng Các giao diện được phân quyền theo vai trò của người quản trị.

Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, điều kiện lọc, … Ngoài ra, các công cụ này còn cho phép tuỳ biến, thay đổi hay tạo mới các báo cáo một các dễ dàng để phù hợp với hệ thống của mình Hỗ trợ các công cụ cho việc xử lý các sự kiện an ninh mạng xảy ra trong hệ thống.

1.4 CÁC THÀNH PHẦN BẢO MẬT MẠNG 1.4.1 Firewall

Firewall là một hệ thống an ninh mạng, có thể dựa trên phần cứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát traffic vào, ra khỏi hệ thống Tường

lửa hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn Nó kiểm soát các truy cập đến nguồn lực của mạng thông qua một mô hình kiểm soát chủ động Nghĩa là, chỉ những traffic phù hợp với chính sách được định nghĩa trong tường lửa mới được truy cập vào mạng, mọi traffic khác đều bị từ chối.

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làm việc theo thuật tóan chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng, hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP, DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho các packet này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đó các loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉ của chúng.

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền các packet đó ở trên mạng Bao gồm:

• Địa chỉ IP nơi xuất phát (Source) • Địa chỉ IP nơi nhận (Destination).

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …) • Cổng TCP/UDP nơi xuất phát.

• Cổng TCP/UDP nơi nhận • Dạng thông báo ICMP • Giao diện packet đến Giao diện packet đi.

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ Việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định được phép mới vào được hệ thống mạng cục bộ Cũng nên lưu ý là do việc kiểm tra

dựa trên header của các packet nên bộ lọc không kiểm soát được nội dụng thông tin của packet Các packet chuyển qua vẫn có thể mang theo những hành động với ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.

Các sản phẩm Firewall: pfSense, IPFire, OPNSense, NG Firewall, … Trong đó Pfsense là một trong những firewall phổ biến hiện nay Giới thiệu một vài nét về Pfsense.

PFSense là một phần mềm tường lửa mã nguồn mở dựa trên nền tảng FreeBSD Pfsense có thể được cài trên mọi máy tính và đóng vai trò như một tường lửa chuyên dụng, bộ định tuyến cho mạng Tuy miễn phí nhưng nó mang những tính năng cao cấp của một tường lửa thương mại đắt tiền Nó có thể được cấu hình thông qua giao diện web và không cần phải có kiến thức về hệ thống FreeBSD để quản lý.

Để cài đặt Pfsense, ta truy cập vào trang chủ pfsense.org để download file có đuôi mở rộng là “.iso”

1.4.1 IDS/IPS

IDS (Instrustion detection system) hệ thống phát hiện xâm phạm: là một hệ thống nhằm phát hiện các hành động tấn công vào một mạng Mục đích của nó là phát hiện các hành động phá hoại đối với vấn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như thu thập thông tin, quét các cổng Tính năng chính của hệ thống này là cung cấp thông tin nhận biết về những hành động không bình thường và đưa ra các cảnh báo cho quản trị viên mạng để tiến hành xử lý đối với các cuộc tấn công Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những tấn công bên trong từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker) IDS có thể là 1 phần mềm, 1 phần cứng hoặc kết hợp giữa phần mềm và phần cứng.

Intrusion prevention system (IPS): là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó.

Chức năng của IDS/IPS:

• Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu.

• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp.

• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy nhập thông tin bất hợp pháp.

• Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa chữa…

• Ngăn chặn các cuộc tấn công, khai thác thông tin từ internet vào mạng nội bộ • Các sản phẩm IDS/IPS: Snort, Suricata, OSSEC, Bro IDS, …

Giới thiệu vài nét về Suricata.

Suricata là một hệ thống phát hiện xâm nhập mạng dựa trên mã nguồn mở Nó được phát triển bởi Open Information Security Foundation (OISF) Một phiên bản beta đã được phát hành vào tháng 12 năm 2009, bản chuẩn đầu tiên phát hành tiếp theo vào tháng 7 năm 2010.

Công cụ này được phát triển không nhằm cạnh tranh hay thay thế các công cụ hiện có, nhưng nó sẽ mang lại những ý tưởng và công nghệ mới trong lĩnh vực an ninh mạng.

Suricata là công cụ IDS/IPS dựa trên luật để theo dõi lưu lượng mạngvà cung cấp cảnh báo đến người quản trị hệ thống khi có sự kiện đáng ngờ xảy ra Nó được thiết kế để tương thích với các thành phần an ninh mạng hiện có Bản phát hành đầu tiên chạy trên nền tảng linux 2.6 có hỗ trợ nội tuyến (inline) và cấu hình giám sát lưu lượng thụ động có khả năng xử lý lưu lượng lên đến gigabit Suricata là công cụ IDS/IPS miễn phí trong khi nó vẫn cung cấp những lựa chọn khả năng mở rộng cho các kiến trúc an ninh mạng phức tạp.

Là một công cụ đa luồng, Suricata cung cấp tăng tốc độ và hiệu quả trong việc phân tích lưu lượng mạng Ngoài việc tăng hiểu quả phần cứng (với phần cứng và card mạng bị giới hạn), công cụ này được xây dựng để tận dụng khả

năng xử lý cao được cung cấp bới chip CPU đa lõi mới nhất Tai sao Suricata được nhiều người sử dụng:

• Dễ dàng cấu hình: Suricata làm việc như thế nào, tập tin cấu hình ở đâu, các luật như thế nà người quản trị đều có thể biết và cấu hình theo ý mình được Kể cả việc tạo ra các luật mới.

• Suricata là phần mềm mã nguồn mở: Suricata được phát hành dưới giấy phép GNU/GPL điều này có nghĩa là bất kỳ ai cũng có thể sử dụng Suricata một cách miễn phí dù đó là doanh nghiệp hay người dùng cá nhân Ngoài ra là vì phần mềm mã nguồn mở nên Suricata có một cộng đồng người sử dụng lớn, sẵn sàng hỗ trợ nếu có bất cứ thắc mắc gì.

• Chạy trên nhiều nền tảng khác nhau: chạy trên các hệ điều hành mã nguồn mỡ: Linux, CentOS, Debian, Fedora, FreeBSD, Windows, Mac OS X (10.5.8 and 10.6.8),…

• Luật của Suricata thường xuyên được cập nhật: Các luật của Suricata thường xuyên được bổ sung và cập nhật các hình thức xâm nhập mới.

1.4.2 Anti-virus

Anti-virus là phần mềm có tính phát hiện, loại bỏ các virus máy tính, khắc phục (một phần hoặc toàn phần) hậu quả của virus gậy ra và có khả năng được nâng cấp để nhận biết các virus trong tương lai.

Phần mềm diệt virus thường hoạt động theo các nguyên lý cơ bản như sau: • Kiểm tra (quét) các tập tin để phát hiện các virus đã biết trong cơ sở dữ liệu nhận dạng về virus của chúng.

• Phát hiện các hành động của các phần mềm giống như các hành động của virus hoặc các phần mềm độc hại.

Các kỹ thuật phát hiện, diệt virus: • So sánh với các mẫu virus biết trước • Nhận dạng hành vi đáng ngờ • Kiểm soát liên tục • Kết hợp mọi phương pháp.

Các sản phẩm antivirus: ClamAV, ClamWin, Moon Security AV, … Giới thiệu một vài nét về ClamAV

ClamAV là một công cụ mã nguồn mở chuyên dụng để phát hiện trojans, virus, malware và các mối nguy hiểm khác Giống như các chương trình Antivirus khác chúng đều phụ thuộc vào cơ sở dữ liệu chứa những dấu hiệu nhận biết (signature/checksum) về virus, … Cũng vì phụ thuộc nhiều vào CSDL nên chúng ta cần thường xuyên cập nhật CSDL của chương trình Antivirus.

Khả năng:

Clamav được thiết kế để quét các tập tin một cách nhanh chóng Phát hiện hơn 1 triệu virus, worm, trojan và virus marco Microsoft Office, phần mềm độc hại di động và các mối đe dọa khác.

Hỗ trợ quét các định dạng: Zip Rar, 7Zip, Tar, IMG, BinHex, … Nền tảng hỗ trợ: Linux (Ubuntu, Debian, Centos), UNIX (Solaris, FreeSBD, MAC OS), Windows.

1.4.3 SIEM

Security information and event management – SIEM là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung Theo đó, các sản phẩm SIEM cho phép phân tích tập trung và báo cáo về các sự kiện an toàn mạng của tổ chức Kết quả phân tích này có thể được dùng để phát hiện ra các cuộc tấn công mà không thể phát hiện được theo phương pháp thông thường Một số sản phẩm SIEM còn có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện được.

Các tổ chức khác nhau sử dụng hệ thống SIEM với mục đích khác nhau, do đó lợi ích thu được cũng khác nhau Ba lợi ích lớn nhất của SIEM:

• Quản lý tập trung • Giám sát an toàn mạng

• Cải thiện hiệu quả trong hoạt động xử lý sự cố

Quản lý tập trung: rất nhiều tổ chức triển khai SIEM với một mục đích

duy nhất: tập hợp các dữ liệu thông qua một giải pháp log tập trung Mỗi thiết bị đầu cuối cần có hệ thống ghi lại sự kiện an ninh và thường xuyên truyền dữ liệu log này về máy chủ SIEM Một máy chủ SIEM nhận dữ liệu log từ rất nhiều thiết bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an ninh của các thiết bị.

Giám sát an toàn mạng: lí do chính cho việc triển khai SIEM là hệ thống này có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiện được:

- Rất nhiều thiết bị đầu cuối có phần mềm ghi lại SE nhưng không tích hợp khả năng phát hiện sự cố Dù có thể quan sát các sự kiện và tạo ra các nhật ký chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của hành vi độc hại.

- Nâng cao khả năng phát hiện của SIEM là chúng có thể cho thấy sự tương quan sự kiện giữa các thiết bị Bằng cách thu thập SE của toàn hệ thống, SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa.

Cải thiện hoạt động xử lý sự cố hiệu quả: một lợi ích khác của các sản phẩm SIEM là gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thời gian và nguồn lực đối cho các nhân viên xử lý sự cố SIEM cải thiện điều này bằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối.

Ngoài ra, rất nhiều sản phẩm SIEM có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện khi các cuộc tấn công đang diễn ra SIEM không tự mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống an ninh khác của doanh nghiệp như tường lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại Điều này cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh khác của doanh nghiệp.

Ví dụ:

Lưu lại và vào lại thư mục /opt/splunk/bin để khởi động Splunk.

Đến đây ta đã hoàn tất việc cài đặt Splunk trên máy chủ 3.2.1.2 Nạp dữ liệu đầu vào cho SPLUNK

Mở trình duyệt vào truy cập vào trang web server của splunk để cấu hình IP máy chủ là: 192.168.24.183

Địa chỉ web tương ứng: 192.168.24.183:8000

Hình 3.6 Giao diện đăng nhập SPLUNK Sau khi đăng nhập thành công: