Báo cáo đồ án môn đồ án chuyên ngành giám sát xâm nhập bằng splunk

Đề tài nghiên cứu về các hoạt động bảo mật giám sát và phân tích hoạt động trên các mạng, máy chủ, thiết bị đầu cuối, cơ sở dữ liệu, ứng dụng, trang web và các hệ thống khác, tìm kiếm ho

BỘ GIÁO DỤC VÀ ĐÀO TẠOTRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM

BÁO CÁO ĐỒ ÁN MÔN ĐỒ ÁN CHUYÊN NGÀNH

GIÁM SÁT XÂM NHẬP BẰNG SPLUNK

Ngành: AN TOÀN THÔNG TIN

GVHD: TS Văn Thiên Hoàng

SVTH: Nguyễn Chí Hài MSSV: 2087700032

Phạm Lê Huy Hoàng MSSV: 2087700035

Lớp: 20DATA1

TP.Hồ Chí Minh, 2023

LỜI CẢM ƠNSau một thời gian nghiên cứu, thực nghiệm cùng với sự giúp đỡ của cácgiảng viên nhóm em đã hoàn thành khóa luận tốt nghiệp Nhóm em xin được bày

tỏ lời cảm ơn tới các giảng viên khoa Công nghệ thông tin trường Đại học côngnghệ TPHCM đã giúp đỡ nhóm hoàn thiện đề tài “Giám sát xâm nhập bằngsplunk” Đồng thời, nhóm em xin gửi lời cảm ơn chân thành nhất tới Ts VănThiên Hoàng, người đã trực tiếp hướng dẫn, cung cấp tài liệu, góp ý cũng nhưchia sẻ tận tình, dẫn dắt chúng em trong suốt quá trình nghiên cứu và thực hiện

đề tài

Tuy vậy, do thời gian có hạn cũng như kinh nghiệm còn hạn chế nên trongbài báo cáo này sẽ không tránh khỏi những thiếu sót, hạn chế nhất định Vì vậy,nhóm em rất mong nhận được sự chỉ bảo, đóng góp ý kiến của các giảng viên vàcác bạn để hoàn thiện và phát triển đề tài tốt hơn trong tương lai Xin chân thànhcảm ơn!

1

Nhiệm vụ của đồ án:

1 Trình bày tổng quan về SOC (Security Operation Center)

2 Tiến hành xây dựng hệ thống SOC (Security Operation Center)

3 Mô tả sơ đồ, cài đặt và tiến hành thực nghiệm hệ thống

4 Kết luận

2

MỤC LỤC

Nhiệm vụ của đồ án: 2

DANH MỤC THUẬT NGỮ VÀ VIẾT TẮT 6

PHẦN 1: MỞ ĐẦU 7

1.1 TÍNH CẤP THIẾT CỦA ĐỀ TÀI 7

1.2 MỤC ĐÍCH CỦA ĐỀ TÀI 7

1.3 PHƯƠNG PHÁP NGHIÊN CỨU 8

1.4 Ý NGHĨA THỰC TIỄN CỦA ĐỀ TÀI 8

PHẦN 2: NỘI DUNG 9

Chương 1: TỔNG QUAN VỀ SOC (SECURITY OPERATIONS CENTER) 9

1.1 GIỚI THIỆU CHUNG VỀ SECURITY OPERATIONS CENTER - SOC 9

1.1.1 Con người (People) 10

1.1.2 Quy trình (Processes) 11

1.1.3 Công nghệ (Technology) 12

1.2 KIẾN TRÚC 12

1.3 CÁC THÀNH PHẦN QUAN TRỌNG CỦA HỆ THỐNG SOC 14

1.3.1 Logs 14

1.3.2 Event 15

1.3.3 Alerts 15

1.3.4 Thành phần thu thập thông tin nhật ký an ninh mạng 16

1.3.5 Thành phần phân tích và lưu trữ 17

1.3.6 Thành phần quản lý tập trung 17

1.4 CÁC THÀNH PHẦN BẢO MẬT MẠNG 17

1.4.1 Firewall 17

1.4.1 IDS/IPS 19

1.4.2 Anti-virus 21

1.4.3 SIEM 22

Chương 2: XÂY DỰNG HỆ THỐNG SOC 27

2.1 XÁC ĐỊNH CÁC ĐỐI TƯỢNG CẦN XÂY DỰNG VÀ BẢO VỆ 27

3

2.2 XÂY DỰNG KẾ HOẠCH 27

2.3 VAI TRÒ NGƯỜI QUẢN TRỊ 28

2.4 QUY TRÌNH GIÁM SÁT HỆ THỐNG SOC 29

2.4.1 Khả năng áp dụng 29

2.4.2 Hoạt động giám sát 29

2.4.3 Luôn luôn cập nhật thông tin 30

2.4.4 Duy trì nhật ký 31

2.5 VẬN HÀNH HỆ THỐNG SOC 31

2.5.1 Phản ứng với các sự kiện và sự cố 31

2.5.2 Duy trì đánh giá sự kiện 31

Phần 3: KẾT LUẬN 33

3.1 NHỮNG KẾT QUẢ ĐẠT ĐƯỢC 33

3.2 NHỮNG KHÓ KHĂN THI THỰC HIỆN ĐỀ TÀI 33

3.3 ƯU ĐIỂM 33

3.4 HẠN CHẾ 33

3.5 HƯỚNG PHÁT TRIỂN TRONG TƯƠNG LAI 33

TÀI LIỆU THAM KHẢO 34

do an 34

4

DANH MỤC THUẬT NGỮ VÀ VIẾT TẮT

ST

T

Ký

hiệu

1 SOC Security Operation Center Trung tâm điều hành an ninh

2 IPS Intrusion Prevention System Hệ thống phát hiện xâm nhập

3 IDS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập

4 SIEM Security Information and Event

PHẦN 1: MỞ ĐẦU1.1 TÍNH CẤP THIẾT CỦA ĐỀ TÀI

An ninh mạng, bảo mật thông tin đang ngày càng trở nên quan trọng trongviệc thiết lập cấu trúc, dữ liệu tập trung và tránh bị rò rỉ trong một khu vực, cụthể là doanh nghiệp, công ty Để giải quyết thử thách này, nhóm chúng em xinnghiên cứu và phát triển các giải pháp giám sát an ninh mạng để tăng cường anninh và phản ứng với các sự kiện mạng

Chính vì thế, xây dựng hệ thống giám sát mạng là một nhiệm vụ phức tạp.Mặc dù lợi ích của việc triển khai hệ thống giám sát là rất nhiều mảng Các thànhphần chính của một hệ thống giám sát mà bất kỳ tổ chức nào muốn triển khaihướng tới đó là: con người, quy trình và công nghệ Tất cả yếu tố này cần đượccoi là thành phần quan trọng để góp phần xây dựng hệ thống an ninh toàn diện.Nhằm cải thiện một hệ thống giám sát mạng hiệu quả về mặt hoạt động, tacần phải hiểu rõ các quy trình và xác định được từng nhiệm vụ được giao trongmỗi thành phần Sau đó mới có thể tiến hành lập kế hoạch thích hợp cho các giaiđoạn phát triển và triển khai Và bên trong hệ thống giám sát an ninh mạng luônhiệu quả thì chúng phải bao gồm có các thủ tục, hành vi, được phát triển dựa vàoquá trình thu thập sự kiện mỗi ngày trên hệ thống Cũng chính cách tiếp cận này,

sẽ cho phép mô hình hệ thống mô phỏng của chúng em nhanh chóng nhận ra tìnhtrạng hệ thống của mình, định vi được hành vi trong hệ thống Từ đó mang lạicác bài học kinh nghiệm và kiến thức thông qua hoạt động thực tế của hệ thống

Từ những lý do trên, chúng em đã tìm hiểu và nghiên cứu đề tài “Giámsát xâm nhập bằng s[lunk” Đề tài nghiên cứu về các hoạt động bảo mật giámsát và phân tích hoạt động trên các mạng, máy chủ, thiết bị đầu cuối, cơ sở dữliệu, ứng dụng, trang web và các hệ thống khác, tìm kiếm hoạt động bất thường

có thể là dấu hiệu của sự cố bảo mật hoặc xâm nhập SOC có trách nhiệm đảmbảo rằng các sự cố an ninh tiềm ẩn được xác định, phân tích, bảo vệ, điều tra vàbáo cáo chính xác

1.2 MỤC ĐÍCH CỦA ĐỀ TÀI

Xây dựng, triển khai, vận hành và quản lý hệ thống giám sát an ninh mạng dựa trên nền tảng công nghệ phần mềm Splunk Hệ thống giám sát mạng SIEM (Splunk) sẽ trực tiếp giám sát và dữ liệu tập trung được đổ về Splunk từ

các thiết bị: firewall, suricata (ips/ids), anti-virus.

ĐỐI TƯỢNG NGHIÊN CỨU

Xây dựng hệ thống giám sát phát hiện và ngăn chặn xâm nhậpSURICATA (IPS/IDS)

Xây dựng hệ thống firewall để kiểm soát lượng traffic vào, ra khỏi hệ thống.Xây dựng hệ thống Anti-Virus để phát hiện, loại bỏ các virus máy tính,khắc phục (một phần hoặc toàn phần) hậu quả của virus gậy ra và có khả năngđược nâng cấp để nhận biết các virus trong tương lai

Cuối cùng, xây dựng hệ thống SIEM (Splunk) nhằm thu thập thông tinnhật ký các sự kiện an ninh từ các thiết bị đầu cuối được nêu ở trên và lưu trữ dữliệu một cách tập trung

1.3 PHƯƠNG PHÁP NGHIÊN CỨU

Phương pháp nghiên cứu là tìm hiểu trên mạng, tham khảo ý kiến từ cáctài liệu trang mạng có thế tin tưởng như Wikipedia, WhiteHat.vn, Cisco, … Môphỏng hệ thống, thiết lập cấu hình và vận hành hệ thống thiết bị, thử nghiệmtrong môi trường VMware Workstation Pro, sau đó có đánh giá và nhận xét

1.4 Ý NGHĨA THỰC TIỄN CỦA ĐỀ TÀI

Khóa luận đề cập đến xây dựng một hệ thống tổng quan nhất về môn họcliên quan đến an toàn và bảo mật thông tin Có ý nghĩa khoa học là một trongnhững giải pháp mới và hiệu quả cao, áp dụng được thực tế trong doanh nghiệp

Và qua mô hình giám sát này sẽ cho chúng ta được cái nhìn tổng quan hơn về thếgiới an ninh mạng

PHẦN 2: NỘI DUNG Chương 1: TỔNG QUAN VỀ SOC (SECURITY

Hệ thống trung tâm này có thể giúp bảo mật cho các thiết bị đầu cuối khácnhau: bảo mật website, bảo mật ứng dụng, bảo mật cơ sở dữ liệu, bảo mật máychủ, bảo mật hệ thống mạng, máy tính, … Hệ thống SOC tùy theo kiến trúc thiết

kế sẽ liên tục theo dõi mọi hoạt động trong hệ thống của khách hàng và đưa ranhững cảnh báo Các tính năng chính của hệ thống như sau:

● Kiểm soát – tập trung vào kiểm soát các trạng thái bảo mật của hệ thốngnhư: đánh giá bảo mật pentest, đánh giá tính tuân thủ, đánh giá lỗ hổng hệ thống,

Hình 1 Khối xây dựng của SOC

1.1.1 Con người (People)

- Nhân viên của SOC phải được đào tạo cần thiết để đối phó với côngviệc liên tục thay đổi và thường khá khó khăn của một nhà phân tích bảo mật,điều tra viên sự cố, chuyên gia về chủ đề hoặc người quản lý SOC

Bảng 1: Nhiệm vụ và nhu cầu đào tạo của SOC

Cấp 1: Phân tích, cảnh báo

(Tier 1: Alert Analyst)

- Liên tục theo dõi hàng đợi cảnh báo; xử

lý cảnh báo an ninh; theo dõi thiết bị cảm biến

an ninh và thiết bị đầu cuối; thu thập dữ liệu

và bối cảnh cần thiết để bắt đầu công việc ởCấp 2

Cấp 2: Ứng phó sự cố (Tier 2:

Incident Responder)

- Thực hiện phân tích sự cố sâu bên trong bằng cách tương quan dữ liệu từ nhiều nguồnkhác nhau; xác định nếu một hệ thống quan trọng hoặc tập dữ liệu đã bị ảnh hưởng; tư

vấn khắc phục; cung cấp hỗ trợ cho các phương pháp phân tích mới để phát hiện các mối đe dọa.

Cấp 3: Chuyên gia xử lý các vấn

đề (Tier 3: Subject Matter Expert)

- Có kiến thức chuyên sâu về mạng, thiết

bị đầu cuối, mối đe dọa, điều tra số và dịch ngược phần mềm độc hại, cũng như chức năng của các ứng dụng cụ thể hoặc cơ sở hạ tầng CNTT cơ bản; hoạt động như một sự

cố, không chờ đợi sự cố leo thang; tham gia chặt chẽ trong việc phát triển, điều chỉnh và thực hiện các phân tích phát hiện mối đe dọa

Cấp 4: Quản lý SOC (SOC Manager)

- Quản lý các nguồn lực bao gồm nhân sự, ngân sách, lập kế hoạch thay đổi và chiến lược; đóng vai trò là người tổ chức cho các

sự cố quan trọng; cung cấp định hướng chungcho SOC và đầu vào cho chiến lược bảo mật tổng thể

- Quy trình bao gồm sáu giai đoạn: chuẩn bị, xác định, ngăn chặn, diệttrừ, phục hồi và rút ra bài học kinh nghiệm

1.1.3 Công nghệ (Technology)

- Xây dựng một giải pháp thu thập, tổng hợp, phát hiện, phân tích và quản

lý dữ liệu là công nghệ cốt lõi của SOC

- Một hệ thống giám sát an ninh hiệu quả sẽ kết hợp dữ liệu được thu thập

từ việc giám sát liên tục các điểm cuối (PC, máy tính xách tay, thiết bị di động vàmáy chủ, ) cũng như các mạng và nguồn nhật ký và sự kiện.Các dữ liệu nàyđược thu thập trước và trong khi xảy ra sự cố, nên các nhà phân tích có thể ngaylập tức xoay vòng từ việc sử dụng hệ thống giám sát an ninh như một công cụthám tử để sử dụng nó như một công cụ điều tra, xem xét các hoạt động đángngờ tạo nên sự cố hiện tại và thậm chí là một công cụ để quản lý phản ứng vớicác sự cố

1.2 KIẾN TRÚC

Hình 2 Mô hình kiến trúc cơ bản của một hệ thống SOC

Kiến trúc cơ bản của một hệ thống SOC chia thành các lớp xử lý sau:

- Reporting and management layer – Báo cáo và quản trị

● Chịu trách nhiệm về việc quản lý các vấn đề về bảo mật, quản lý

hệ thống các thiết bị, hệ thống mạng…

● Lập báo cáo về các sự cố trong hệ thống

- Data collaboration – Tổng hợp các dữ liệu

● Lớp này sẽ quản lý các chính sách về các vấn đề an ninh Lưu trữ

và quản lý dữ liệu về sự cố đã xảy ra để cập nhật vào dữ liệu hệ thống Tự độnghóa về an ninh.

- Security vulnerability: Phân tích lỗ hổng bảo mật

● Cung cấp cơ sở dữ liệu về các lỗ hổng bảo mật phổ biến (CVE)giúp dễ dàng đối chiếu thông tin lỗ hổng trên các công cụ và dịch vụ khác nhau,

dễ dàng xác định và cập nhật các bản vá lỗi thuận lợi cho việc bảo trì và xâydựng hệ thống

● Kiểm soát cấu hình

● Tổng hợp số liệu bảo mật, xếp hạng các rủi ro

- Event correlation layer – Tương quan sự kiện

+ Sử dụng công cụ tương quan sự kiện để quản lý, phân tích và lọc các

sự kiện, phân tích luồng dữ liệu

+ Tích hợp với hệ thống quản lý mạng như: NMS

+ Tích hợp xử lý rắc rối

- Security information and event management (SIEM): Quản lý thông tin

và sự kiện bảo mật

+ Thu thập thông tin và sự kiện từ các thiết bị đầu cuối, dịch vụ … trong

hệ thống Lưu trữ và quản lý tập trung

+ Phân tích và xử lý các sự cố an ninh xảy ra

Trung tâm điều hành an ninh (SOC) có thể giải quyết các vấn đề về lượng

dữ liệu khổng lồ và đơn giản hóa mô hình dữ liệu của quản lý bảo mật nói chung.Thông tin bảo mật từ tất cả các thiết bị mạng sẽ được lưu trữ vào cơ sở dữ liệuchung và được phân tích theo các chính sách bảo mật tùy chỉnh Tất cả các thông

tin có liên quan được lưu trữ để thực hiện phân tích rủi ro, giám sát rủi ro và giảiquyết rủi ro Hệ thống SOC là một công cụ mạnh mẽ trong hoạt động của cácchuyên gia bảo trì bảo mật và sẽ liên tục phân tích các rủi ro bảo mật của hệ thống

và đưa ra các giải pháp một cách hiệu quả, linh hoạt

Hệ thống SOC có thể được xây dựng theo một trong ba mô hình giải pháp sau:

- Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ

sẽ hướng đến giải pháp này

1.3 CÁC THÀNH PHẦN QUAN TRỌNG CỦA HỆ THỐNG SOC

1.3.1 Logs

Là một thành phần quan trọng của hệ thống mạng Nó lưu lại một cáchchính xác mọi hoạt động của hệ thống, tình trạng hoạt động của hệ thống, các ứngdụng, các thiết bị đã và đang hoạt động trong hệ thống

Log Access: Là log ghi lại toàn bộ thông tin truy cập của người dùng tới

hệ thống, truy cập của các ứng dụng tới cơ sở dữ liệu …

Log Event: là log ghi lại chi tiết những sự kiện mà hệ thống đã thực hiện.Log ứng dụng, log của điều hành, …

Log Device: là log ghi lại tình trạng hoạt động của các thiết bị phần cứng

và phần mềm đang được sử dụng: Router, Switch, Firewall, …

Log là một thành phần cực kỳ hữu hiệu cho việc giám sát cũng như khắcphục các sự cố trong hệ thống mạng Tuy nhiên, với những hệ thống lớn, chạynhiều ứng dụng, lượng truy cập cao thì công việc phân tích log thực sự là mộtđiều vô cùng khó khăn

1.3.2 Event

Một sự kiện vẫn có thể là một bản ghi, nhưng nó là một bản ghi có bốicảnh cụ thể cho bạn Sự kiện có thể đến từ nhiều nguồn, không chỉ là nhật ký

Ví dụ: một người dùng gọi để phàn nàn về quá nhiều tin nhắn rác trongemail của anh ta là một sự kiện.

Trong mọi trường hợp, một sự kiện là một đầu vào cho SOC cần đượcthay đổi và xem xét để xác định xem nó có đảm bảo điều tra hoặc phân tíchthêm không Nó thường là một bản ghi ý nghĩa mà ai đó muốn ghi lại về những

gì đang xảy ra Thông thường có thể bao gồm ký hiệu Information, Warning,Exception Ví dụ:

- Dung lượng ổ đĩa đã vượt quá một ngưỡng nhất định, chẳng hạn như 95%

- Việc sử dụng CPU vượt quá 99%

- Một người dùng đăng nhập vào hệ thống

Không phải tất cả các bản ghi mà bạn thu thập sẽ đủ xứng đáng để trởthành một sự kiện mà ai đó có thể phải xem lại Điều quan trọng là phải suy nghĩ

về những sự kiện nào có liên quan đến mục tiêu xây dựng SOC và loại những sựkiện không liên quan hoặc không cần thiết

1.3.3 Alerts

Một cảnh báo là một sự kiện được lưu ý đặc biệt bởi vì ai đó hoặc một cái

gì đó đã thể hiện sự quan tâm đến sự kiện đó và muốn được cảnh báo về nó

Có nhiều loại công cụ giám sát khác nhau nhưng thường làm cùng mộtviệc: theo dõi nhật ký hoặc những thay đổi về hệ thống trên các thiết bị và sau đóthông báo cho người vận hành hoặc quản trị viên hệ thống rằng có vấn đề đangdiễn ra Trong trường hợp của chúng tôi, các sự cố sẽ được thông báo cho SOC,nhằm nâng cao nhận thức về một vấn đề an ninh tiềm tàng cần được điều trathêm bởi SOC

Có bốn loại cảnh báo chính mà bạn có thể thấy:

- False positive

- True positive

- False negative

- True negative

1.3.3.1 False Positive

Một cảnh báo giả xảy ra khi một hành động hoặc giao dịch xảy ra và mộtcông cụ được cấu hình để phát hiện hành động đó và sau đó thực hiện cảnh báo,mặc dù hành động hoặc giao dịch đó thực sự là lưu lượng truy cập hợp pháp.1.3.3.2 True Positive

True Positivve là những cảnh báo mà bạn thực sự không bao giờ muốnthấy bởi vì điều đó có nghĩa là một cái gì đó xấu đã xảy ra từ góc độ bảo mật.Đây là những cảnh báo được cấu hình đúng và được kích hoạt chính xác đểthông báo cho người rằng có vấn đề bảo mật tồn tại và cần phân tích hoặc khắcphục thêm Tùy thuộc vào quan điểm của bạn, rõ ràng cảnh báo tích cực thực sự

là những gì bạn muốn có và càng gần 100% tất cả các cảnh báo của bạn là đúng,bạn càng đạt hiệu quả tối đa

1.3.3.3 False Negative

Một tiêu cực sai xảy ra khi hệ thống bảo mật không phát hiện ra giao dịchhoặc sự kiện cụ thể mà nó được thiết kế để tìm Nó cũng có thể là một công cụbảo mật không có khả năng phát hiện các hành động thực sự trong các điều kiệnnhất định Một tiêu cực sai là rất nghiêm trọng vì đó là sự thất bại của các công

cụ, hoạt động của bạn và SOC của bạn để phát hiện và phản hồi một sự kiện thực

sự có thể gây tổn hại hoặc làm hỏng tổ chức của bạn

1.3.3.4 True Negative

Khi không có cuộc tấn công nào diễn ra và không có báo động nào đượcnêu ra, bạn có một điều kiện tiêu cực thực sự Một cách khác để mô tả một tiêucực thực sự là tất cả các quy tắc, công cụ và chữ ký của bạn đã đánh giá một gói

dữ liệu hoặc nhật ký và không có kết quả khớp nào để chỉ ra một điều kiện sẽkích hoạt cảnh báo Khi điều chỉnh, bạn phải chú ý đến những tiêu cực thực sựbởi vì khi bạn điều chỉnh, bạn sẽ thay đổi độ nhạy của các hệ thống bảo mật củabạn và có thể biến những tiêu cực thực sự thành tích cực sai Tiêu cực thực sựcũng có thể được coi là một sự kiện được quảng bá đến một cảnh báo

1.3.4 Thành phần thu thập thông tin nhật ký an ninh mạng

Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng, …

gồm cả các thiết bị vật lý và thiết bị ảo hoá.

Kiểm soát băng thông và không gian lưu trữ thông qua khả năng chọn lọc

dữ liệu nhật ký

Phân tách từng sự kiện và chuẩn hoá các sự kiện vào một lược đồ chung.Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần phân tích và lưu trữ

Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu trữ

1.3.5 Thành phần phân tích và lưu trữ

Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung

và tiến hành phân tích, so sánh tương quan

Module phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước)cũng như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất

Các nhật ký an ninh mạng được tiến hành phân tích, so sánh tương quantheo thời gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị Đồng thờicũng cho phép phân tích các dữ liệu trong quá khứ, nhằm cung cấp cho ngườiquản trị một bức tranh toàn cảnh về an ninh mạng theo thời gian

Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN, NAS) giúpnâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng, chống mất mát dữliệu

1.4 CÁC THÀNH PHẦN BẢO MẬT MẠNG

1.4.1 Firewall

Firewall là một hệ thống an ninh mạng, có thể dựa trên phần cứng hoặcphần mềm, sử dụng các quy tắc để kiểm soát traffic vào, ra khỏi hệ thống Tường

lửa hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn Nókiểm soát các truy cập đến nguồn lực của mạng thông qua một mô hình kiểmsoát chủ động Nghĩa là, chỉ những traffic phù hợp với chính sách được địnhnghĩa trong tường lửa mới được truy cập vào mạng, mọi traffic khác đều bị từchối.

Firewall hoạt động chặt chẽ với giao thức TCP/IP, vì giao thức này làmviệc theo thuật tóan chia nhỏ các dữ liệu nhận được từ các ứng dụng trên mạng,hay nói chính xác hơn là các dịch vụ chạy trên các giao thức (Telnet, SMTP,DNS, SMNP, NFS …) thành các gói dữ liệu (data packets) rồi gán cho cácpacket này những địa chỉ có thể nhận dạng, tái lập lại ở đích cần gửi đến, do đócác loại Firewall cũng liên quan rất nhiều đến các packet và những con số địa chỉcủa chúng

Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được Nókiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãnmột trong số các luật lệ của lọc packet hay không Các luật lệ lọc packet này làdựa trên các thông tin ở đầu mỗi packet (header), dùng để cho phép truyền cácpacket đó ở trên mạng Bao gồm:

• Địa chỉ IP nơi xuất phát (Source)

• Địa chỉ IP nơi nhận (Destination)

• Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel …)

• Cổng TCP/UDP nơi xuất phát

• Cổng TCP/UDP nơi nhận

• Dạng thông báo ICMP

• Giao diện packet đến

Giao diện packet đi

Nếu packet thỏa các luật lệ đã được thiết lập trước của Firewall thì packet

đó được chuyển qua, nếu không thỏa thì sẽ bị loại bỏ Việc kiểm soát các cổnglàm cho Firewall có khả năng chỉ cho phép một số loại kết nối nhất định đượcphép mới vào được hệ thống mạng cục bộ Cũng nên lưu ý là do việc kiểm tra

dựa trên header của các packet nên bộ lọc không kiểm soát được nội dụng thôngtin của packet Các packet chuyển qua vẫn có thể mang theo những hành độngvới ý đồ ăn cắp thông tin hay phá hoại của kẻ xấu.

Các sản phẩm Firewall: pfSense, IPFire, OPNSense, NG Firewall, …Trong đó Pfsense là một trong những firewall phổ biến hiện nay Giớithiệu một vài nét về Pfsense

PFSense là một phần mềm tường lửa mã nguồn mở dựa trên nền tảngFreeBSD Pfsense có thể được cài trên mọi máy tính và đóng vai trò như mộttường lửa chuyên dụng, bộ định tuyến cho mạng Tuy miễn phí nhưng nó mangnhững tính năng cao cấp của một tường lửa thương mại đắt tiền Nó có thể đượccấu hình thông qua giao diện web và không cần phải có kiến thức về hệ thốngFreeBSD để quản lý

Để cài đặt Pfsense, ta truy cập vào trang chủ pfsense.org để download file

có đuôi mở rộng là “.iso”

1.4.1 IDS/IPS

IDS (Instrustion detection system) hệ thống phát hiện xâm phạm: là một

hệ thống nhằm phát hiện các hành động tấn công vào một mạng Mục đích của

nó là phát hiện các hành động phá hoại đối với vấn đề bảo mật hệ thống, hoặcnhững hành động trong tiến trình tấn công như thu thập thông tin, quét các cổng.Tính năng chính của hệ thống này là cung cấp thông tin nhận biết về những hànhđộng không bình thường và đưa ra các cảnh báo cho quản trị viên mạng để tiếnhành xử lý đối với các cuộc tấn công Thêm vào đó công cụ IDS cũng có thểphân biệt giữa những tấn công bên trong từ bên trong tổ chức (từ chính nhân viênhoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker) IDS có thể là 1phần mềm, 1 phần cứng hoặc kết hợp giữa phần mềm và phần cứng

Intrusion prevention system (IPS): là một kỹ thuật an ninh mới, kết hợpcác ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS(intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấncông và tự động ngăn chặn các cuộc tấn công đó

Chức năng của IDS/IPS:

• Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của

dữ liệu trong hệ thống Các biện pháp đưa ra ngăn chặn được việc thay đổi bấthợp pháp hoặc phá hoại dữ liệu

• Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài Bảo vệ tínhkhả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tincủa người dùng hợp pháp

• Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tàinguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngănchặn được sự truy nhập thông tin bất hợp pháp

• Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó,khôi phục, sửa chữa…

• Ngăn chặn các cuộc tấn công, khai thác thông tin từ internet vào mạng nội bộ

• Các sản phẩm IDS/IPS: Snort, Suricata, OSSEC, Bro IDS, …

Giới thiệu vài nét về Suricata

Suricata là một hệ thống phát hiện xâm nhập mạng dựa trên mã nguồn

mở Nó được phát triển bởi Open Information Security Foundation (OISF) Mộtphiên bản beta đã được phát hành vào tháng 12 năm 2009, bản chuẩn đầu tiênphát hành tiếp theo vào tháng 7 năm 2010

Công cụ này được phát triển không nhằm cạnh tranh hay thay thế cáccông cụ hiện có, nhưng nó sẽ mang lại những ý tưởng và công nghệ mới tronglĩnh vực an ninh mạng

Suricata là công cụ IDS/IPS dựa trên luật để theo dõi lưu lượng mạngvàcung cấp cảnh báo đến người quản trị hệ thống khi có sự kiện đáng ngờ xảy ra

Nó được thiết kế để tương thích với các thành phần an ninh mạng hiện có Bảnphát hành đầu tiên chạy trên nền tảng linux 2.6 có hỗ trợ nội tuyến (inline) và cấuhình giám sát lưu lượng thụ động có khả năng xử lý lưu lượng lên đến gigabit.Suricata là công cụ IDS/IPS miễn phí trong khi nó vẫn cung cấp những lựa chọnkhả năng mở rộng cho các kiến trúc an ninh mạng phức tạp

Là một công cụ đa luồng, Suricata cung cấp tăng tốc độ và hiệu quả trongviệc phân tích lưu lượng mạng Ngoài việc tăng hiểu quả phần cứng (với phầncứng và card mạng bị giới hạn), công cụ này được xây dựng để tận dụng khả

năng xử lý cao được cung cấp bới chip CPU đa lõi mới nhất.

Tai sao Suricata được nhiều người sử dụng:

• Dễ dàng cấu hình: Suricata làm việc như thế nào, tập tin cấu hình ở đâu,các luật như thế nà người quản trị đều có thể biết và cấu hình theo ý mìnhđược Kể cả việc tạo ra các luật mới

• Suricata là phần mềm mã nguồn mở: Suricata được phát hành dưới giấyphép GNU/GPL điều này có nghĩa là bất kỳ ai cũng có thể sử dụng Suricatamột cách miễn phí dù đó là doanh nghiệp hay người dùng cá nhân Ngoài ra là

vì phần mềm mã nguồn mở nên Suricata có một cộng đồng người sử dụng lớn,sẵn sàng hỗ trợ nếu có bất cứ thắc mắc gì

• Chạy trên nhiều nền tảng khác nhau: chạy trên các hệ điều hành mãnguồn mỡ: Linux, CentOS, Debian, Fedora, FreeBSD, Windows, Mac OS X(10.5.8 and 10.6.8),…

• Luật của Suricata thường xuyên được cập nhật: Các luật của Suricatathường xuyên được bổ sung và cập nhật các hình thức xâm nhập mới

1.4.2 Anti-virus

Anti-virus là phần mềm có tính phát hiện, loại bỏ các virus máy tính, khắcphục (một phần hoặc toàn phần) hậu quả của virus gậy ra và có khả năng đượcnâng cấp để nhận biết các virus trong tương lai

Phần mềm diệt virus thường hoạt động theo các nguyên lý cơ bản như sau:

• Kiểm tra (quét) các tập tin để phát hiện các virus đã biết trong cơ sở dữliệu nhận dạng về virus của chúng

• Phát hiện các hành động của các phần mềm giống như các hành độngcủa virus hoặc các phần mềm độc hại

Các kỹ thuật phát hiện, diệt virus:

• So sánh với các mẫu virus biết trước

• Nhận dạng hành vi đáng ngờ

• Kiểm soát liên tục

• Kết hợp mọi phương pháp

Các sản phẩm antivirus: ClamAV, ClamWin, Moon Security

AV, … Giới thiệu một vài nét về ClamAV

ClamAV là một công cụ mã nguồn mở chuyên dụng để phát hiện trojans,virus, malware và các mối nguy hiểm khác Giống như các chương trìnhAntivirus khác chúng đều phụ thuộc vào cơ sở dữ liệu chứa những dấu hiệu nhậnbiết (signature/checksum) về virus, … Cũng vì phụ thuộc nhiều vào CSDL nênchúng ta cần thường xuyên cập nhật CSDL của chương trình Antivirus.Khả năng:

Clamav được thiết kế để quét các tập tin một cách nhanh chóng.Phát hiện hơn 1 triệu virus, worm, trojan và virus marco Microsoft Office, phần mềm độc hại di động và các mối đe dọa khác

Hỗ trợ quét các định dạng: Zip Rar, 7Zip, Tar, IMG, BinHex, …Nền tảng hỗ trợ: Linux (Ubuntu, Debian, Centos), UNIX (Solaris, FreeSBD, MAC OS), Windows

1.4.3 SIEM

Security information and event management – SIEM là hệ thống đượcthiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầucuối và lưu trữ dữ liệu một cách tập trung Theo đó, các sản phẩm SIEM chophép phân tích tập trung và báo cáo về các sự kiện an toàn mạng của tổ chức Kếtquả phân tích này có thể được dùng để phát hiện ra các cuộc tấn công mà khôngthể phát hiện được theo phương pháp thông thường Một số sản phẩm SIEM còn

có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện được

Các tổ chức khác nhau sử dụng hệ thống SIEM với mục đích khác nhau,

do đó lợi ích thu được cũng khác nhau Ba lợi ích lớn nhất của SIEM:

• Quản lý tập trung

• Giám sát an toàn mạng

• Cải thiện hiệu quả trong hoạt động xử lý sự cố

Quản lý tập trung: rất nhiều tổ chức triển khai SIEM với một mục đích

duy nhất: tập hợp các dữ liệu thông qua một giải pháp log tập trung Mỗi thiết bịđầu cuối cần có hệ thống ghi lại sự kiện an ninh và thường xuyên truyền dữ liệulog này về máy chủ SIEM Một máy chủ SIEM nhận dữ liệu log từ rất nhiều thiết

bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báo cáo để tạo ra mộtbáo cáo duy nhất cho thấy sự tương quan giữa các sự kiện an ninh của các thiếtbị

Giám sát an toàn mạng: lí do chính cho việc triển khai SIEM là hệ thốngnày có thể phát hiện ra các sự cố mà các thiết bị thông thường không phát hiệnđược:

- Rất nhiều thiết bị đầu cuối có phần mềm ghi lại SE nhưng không tíchhợp khả năng phát hiện sự cố Dù có thể quan sát các sự kiện và tạo ra các nhật

ký chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của hành vi độchại

- Nâng cao khả năng phát hiện của SIEM là chúng có thể cho thấy sựtương quan sự kiện giữa các thiết bị Bằng cách thu thập SE của toàn hệ thống,SIEM có thể thấy được nhiều phần khác nhau của các cuộc tấn công thông quanhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện và xác định cuộc tấn côngban đầu là gì và nó đã thành công hay chưa

Cải thiện hoạt động xử lý sự cố hiệu quả: một lợi ích khác của các sảnphẩm SIEM là gia tăng đáng kể hiệu quả việc xử lý sự cố, tiết kiệm đáng kể thờigian và nguồn lực đối cho các nhân viên xử lý sự cố SIEM cải thiện điều nàybằng cách cung một một giao diện đơn giản để xem xét tất cả dữ liệu nhật ký anninh từ nhiều thiết bị đầu cuối

Ngoài ra, rất nhiều sản phẩm SIEM có khả năng ngăn chặn các cuộc tấncông mà chúng phát hiện khi các cuộc tấn công đang diễn ra SIEM không tựmình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ thống

an ninh khác của doanh nghiệp như tường lửa và chuyển chúng đến phần cấuhình để ngăn chặn hành vi độc hại Điều này cho phép SIEM ngăn chặn các cuộctấn công không nhận biết được bởi các thành phần an ninh khác của doanhnghiệp

Ví dụ:

Lưu lại và vào lại thư mục /opt/splunk/bin để khởi động Splunk.

Đến đây ta đã hoàn tất việc cài đặt Splunk trên máy chủ.3.2.1.2 Nạp dữ liệu đầu vào cho SPLUNK

Mở trình duyệt vào truy cập vào trang web server của splunk để cấu hình IP máy chủ là: 192.168.24.183

Địa chỉ web tương ứng: 192.168.24.183:8000

Hình 3.6 Giao diện đăng nhập SPLUNK

Sau khi đăng nhập thành công: