1. Trang chủ
  2. » Luận Văn - Báo Cáo

Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf

51 8 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 51
Dung lượng 7,28 MB

Cấu trúc

  • I. GI I THI Ớ ỆU (0)
    • 1. Danh sách sinh viên (8)
    • 2. M ục đích (8)
  • II. CƠ SỞ LÝ THUYẾT (9)
    • 1. T ng quan v ổ ề xâm nhậ p, k ỹ thuật và các ệ thống phát hiện xâm nhậ h p (0)
      • 1.1. H ệ thống phát hiện xâm nhậ p (9)
      • 1.2. K thu ỹ ật phát hiện xâm nhậ p (11)
    • 2. Gi i thi u v WAZUH ...................................................................................... 12 ớ ệ ề 1. Định nghĩa (0)
      • 2.2. Các thành phần (14)
      • 2.3. Ki ến trúc củ a Wazuh (18)
      • 2.4. Rules trong Wazuh (21)
      • 2.5. Các chức năng tiêu biểu của Wazuh (26)
  • III. NỘI DUNG TH C HI N DEMO ...................................................................... 30 Ự Ệ 1. Chu n bẩ ị môi trườ ng (0)
    • 1.1. Y êu cầu cài đặ t (31)
    • 1.2. Cài đặt elasticsearch (32)
    • 1.3. Cài đặt wazuh manger (33)
    • 1.4. Cài đặt filebeat (34)
    • 1.5. Cài đặt kibana và cấu hình (34)
    • 1.6. Cài đặt wazuh agent trên window (35)
    • 1.7. Cài đặt agent trên Ubuntu server (38)
    • 2. Demo (39)
      • 2.1. Brute force (39)
        • 2.1.1. Môi trườ ng th ực hiệ n (0)
        • 2.1.2. Các bước th c hi ự ệ n (0)
        • 2.1.3. Kết quả mong mu n ....................................................................... 41 ố 2.2. SQL injection (0)
        • 2.2.1. Chuẩ n b ị môi trườ ng (42)
        • 2.2.2. Các bước th c hi ự ệ n (0)
        • 2.2.3. Kết quả mong mu n ....................................................................... 44 ố 2.3. Brute force vào cổ ng d ịch vụ SSH (0)
        • 2.3.1. Chuẩ n b ị môi trườ ng (45)
        • 2.3.2. Các bước th c hi ự ệ n (0)
        • 2.3.3. Kết quả mong mu n ....................................................................... 46 ố 2.4. Phát hiện các file độ c xu ất hiện trong máy (0)
        • 2.4.1. Môi trườ ng chu n b ....................................................................... 46 ẩ ị 2.4.2. Các bước th c hiự ệ n (47)
        • 2.4.3. Kết quả mong mu n ....................................................................... 48 ố IV. KẾT LU N ......................................................................................................... 48Ậ 4.1. Ưu điểm (0)
      • 4.2. Nhược điểm (50)

Nội dung

GI I THI Ớ ỆU

Danh sách sinh viên

Tên các sinh viên trong nhóm:

M ục đích

B o m t vả ậ ốn là một vấn đề ớn đố ới môi trườ l i v ng doanh nghi p hi n nay ệ ệ Trong l ch sị ử đã có nhiều trường hợp tin thành công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị Đã có nhiều phương pháp phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên internet như : sử dụng Firewall, VPN trong đó có hệ thống phát hiện và ngăn chặn xâm nhập

Phát hiện xâm nhập là một trong những công nghệ và phương thức dùng để phát hiện hành động khả nghi trên cả Host và mạng Các phương pháp phát hiện xâm nh p bậ ắt đầu xu t hi n nhấ ệ ững năm gần đây, sử dụng phương thức phát hiện xâm nhập , ta có thể thu thập, sử dụng thông tin từ những lỗ hổng tấn công đã biết để tìm ra và cảnh báo một ai đó đang cố gắng tấn công vào mạng hay máy cá nhân

Vì vậy, là sinh viên được trang bị những kiến thức của ngành An toàn thông tin, v i nh ng ki n thớ ữ ế ức đã tiếp thu và vận đụng lý thuyết đó vào công việc th c t ự ế nên chúng em đã chọn đê tài “Triển khai h ệthống phát hiện xâm nhập WAZUH v.” ới mục đích xây dựng được hệ thống phát hiện và phòng chống xâm nhập trái phép nhằm đảm bảo an toàn hệthống m ng cho doanh nghiạ ệp và cá nhân

CƠ SỞ LÝ THUYẾT

Gi i thi u v WAZUH 12 ớ ệ ề 1 Định nghĩa

● ELK Stack S d ng cho vi c thu thử ụ ệ ập, phân tích, index, store, search và hiển thị dữ liệu log

Chạy trên : Windows, Linux, Solaris, BSD hoặc MAC OS Dùng thu thập các dạng khác nhau của dữ liệu hệ thống và ứng d ng Dụ ữ liệu được chuy n t i Wazuh ể ớ server thông qua 1 kênh được mã hóa và xác thực Để thiết lập kênh này, 1 quá trình đăng ký bao gồm pre-shared key duy nhất được thiết lập

Các agent có thể dùng để giám sát server vật lý, máy ảo, cloud instance (AWS, Azure hoặc Google cloud) Các các cài đặt pre-compile agent có sẵn cho các OS : Linux, AIX, Solaris, Windows và Darwin (Mac OS X)

Trên các OS Unix-based, agent chạy trên multiple process, các process này liên lạc với nhau thông qua local Unix domain socket 1 trong các process này phụ trách việc liên lạc và gửi dữ liệu tới Wazuh server Trên Windows, chỉ có 1 agent process chạy trên multiple task sử dụng mutexes

Các agent task hoặc process khác nhau được dùng để giám sát hệ thống theo các cách khác nhau (giám sát sự thay đổi v ề file, đọc log, quét các thay đổi h ệthống)

Sơ đồ sau thể hiện các internal task và process diễn ra trên các agent level.

● OpenSCAP: dựa vào các hồ sơ bảo mật cơ bản, định kỳ quét hệ thống, nó sẽ phát hiệ được các ứn ng dụng và cấu hình sẽ bị tấn công, không tuân theo các chuẩn được xác định theo CIS (Center of Internet Security)

● Agent Daemon: Process nh n dậ ữ liệu đượ ạc t o hoặc được thu th p b i t t c ậ ở ấ ả các thành phần agent khác Nó nén, mã hóa và phân phối dữ liệu tới server thông qua kênh được xác thực Process này chạy trên "chroot" environment được cô lập, có nghĩa rằng nó sẽ hạn chế truy cập tới các hệ thống được giám sát Điều này cải thiện được an toàn cho agent vì process đó là process duy nhất k t nế ố ới t i m ng.ạ

Thành phần server phụ trách việc phân tích dữ liệu nhận từ agent, tạo các ngưỡng cảnh báo khi 1 event ánh xạ ới rule (phát hiện xâm nhập, thay đổ v i file, cấu hình không tương thích với policy, rootkit )

Hình 6 Server trong Wazuh Server thông thường chạy các thành phần agent với mục tiêu giám sát chính nó Một s ố thành phần server chính là :

● Registration service: Được dùng để register agent mới được việc cung cấp và phân phối các key xác thực pre-shared, các key này là độc nhất với mỗi agent Process này chạy như 1 network service và hỗ trợ việc xác thực qua TLS/SSL

● Remote daemon service: Service này nhận dữ liệu từ agent Nó sử dụng pre- shared key để xác thực định danh c a mủ ỗi agent và mã hóa giao tiếp với chúng

● Analysis daemon: Process này thực hiện việc phân tích dữ ệu Nó sử li dụng các bộ giải mã để nh n dậ ạng thông tin được xử lý (các Windows event, SSHD logs ) và sau đó giải nén các yếu tố dữ liệu thích hợp từ log message (source ip, event id, user ) Sau đó, bằng cách sử ụng các rule đượ d c định nghĩa bằng các mẫu đặc biệt trên bộ ải mã, nó sẽ ạo các cảnh báo thậm chí ra lệnh để gi t thực hiện các biện pháp đối phó như chặn IP trên firewall

● RESTful API: Cung cấp interface để quản lý và giám sát cấ hình và trạng thái triển khai của các agent Nó cũng được dùng bởi Wazuh web interface (Kibana)

Elastic Stack là một bộ gồm các công cụ mã nguồn mở phục vụ cho mục đích quản lý log, bao gồm Elasticsearch, Kibana, Filebeat, Logstash, Các công cụ ủa c Elastic stack được sử d ng trong Wazuh gụ ồm:

• Elasticsearch: Một công cụ tìm kiếm và phân tích mạnh m v i chẽ ớ ức năng full-text search cũng như khả năng mở ộng cao Elasticsearch đượ r c t ổ chức phân phối, nghĩa là dữ liệu (index) sẽ được chia thành các phân đoạn cơ sở dữ liệu (shard) và mỗi phân đoạn có thể có 0 hoặc nhiều bản sao

• Kibana: Cung cấp một giao di n web linh hoệ ạt và trực quan cho mining, phân tích, và trình bày dữ liệu

• Filebeat: Một công cụ ọn nhẹ để forward log trong mạng, thường được g s d ng cho Elasticsearch ử ụ

Wazuh tích hợp Elastic Stack để lưu trữ và index các log đã được giải mã với Elasticsearch, và sử dụng như một giao diện console real-time để theo dõi các alert và phân tích log Bên cạnh đó, giao diện người dùng của Wazuh (chạy trên Kibana) cũng có thể được sử dụng để quản lý và giám sát hạ tầng c a Wazuh ủ

Một Elasticsearch index là một t p hậ ợp các văn bản có các đặc trưng tương tự Wazuh s d ng 3 index sau: ử ụ

• wazuh-alerts: các alert được tạo bởi Wazuh server

• wazuh-events: mọi event được gửi đến t agent ừ

• wazuh-monitoring: các dữliệu liên quan đến trạng thái của agent Nó được s d ng cho giao di n web cử ụ ệ ủa Wazuh để hiển thị các trạng thái của agent như:

“Active”, “Disconnected” hay “Never connected”

Với các index trên, document là các cảnh báo, archived event hoặc status event riêng lẻ

NỘI DUNG TH C HI N DEMO 30 Ự Ệ 1 Chu n bẩ ị môi trườ ng

Y êu cầu cài đặ t

Nhu cầu giám sát an ninh và thu thập log tập trung cho hệ thống từ 15-20 server Vì vậy chọn mô hình Single-node deployment

Hình 15 Cài đặt Wazuh server

Yêu cầu về cấu hình máy giám sát

Agents CPU RAM Storage(90days)

B ng 4ả Yêu cầu cấu hình máy wazuh-server

Cài đặt elasticsearch

Import the GPG key: o rpm import https://artifacts.elastic.co/GPG-KEY-elasticsearch

Thêm repo o cat > /etc/yum.repos.d/elastic.repo /etc/yum.repos.d/wazuh.repo

Ngày đăng: 04/05/2024, 12:48

HÌNH ẢNH LIÊN QUAN

Hình 1. Hệ th ống phát hiện xâm nhậ p IDS - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
nh 1. Hệ th ống phát hiện xâm nhậ p IDS (Trang 9)
Hình . Lưu đồ giám sát phát hiệ 2 n t ấn công, xâm nhậ p d ựa trên chữ ký - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
nh . Lưu đồ giám sát phát hiệ 2 n t ấn công, xâm nhậ p d ựa trên chữ ký (Trang 11)
Hình dướ i biểu di ễn giá trị entropy IP ngu n (IP entropy) c ồ ủa các gói tin theo cửa sổ trượt t ừ lưu lượng bình thường và entropy IP nguồ n c ủa các gói tin từ lưu lượng tấn công DDoS theo quan sát thực nghiệm và dựa trên kỹ thuật phân tích thống - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
Hình d ướ i biểu di ễn giá trị entropy IP ngu n (IP entropy) c ồ ủa các gói tin theo cửa sổ trượt t ừ lưu lượng bình thường và entropy IP nguồ n c ủa các gói tin từ lưu lượng tấn công DDoS theo quan sát thực nghiệm và dựa trên kỹ thuật phân tích thống (Trang 12)
Hình . Giá trị 3 emtropy của IP nguồn c ủa các gói tin lưu lượ ng h ợp pháp (Phần giá trị cao, đều) và entropy củ a IP nguồn c ủa các gói tin từ lưu lượ ng tấn công DDoS (phầ n - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
nh . Giá trị 3 emtropy của IP nguồn c ủa các gói tin lưu lượ ng h ợp pháp (Phần giá trị cao, đều) và entropy củ a IP nguồn c ủa các gói tin từ lưu lượ ng tấn công DDoS (phầ n (Trang 12)
Hình . Các thành phầ 4 n của Wazuh - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
nh . Các thành phầ 4 n của Wazuh (Trang 13)
Hình 6. Server trong Wazuh - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
Hình 6. Server trong Wazuh (Trang 16)
Hình 7. Multi-node deployment Single-node deployment - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
Hình 7. Multi-node deployment Single-node deployment (Trang 18)
Hình 8. Single-node deployment 2.3.1 Phương thức liên lạc và luồng dữ liệu - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
Hình 8. Single-node deployment 2.3.1 Phương thức liên lạc và luồng dữ liệu (Trang 19)
Hình . Phương thứ 9 c ho ạt độ ng của luồng dữ liệu 2.3.2 Agent- server communication - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
nh . Phương thứ 9 c ho ạt độ ng của luồng dữ liệu 2.3.2 Agent- server communication (Trang 19)
Hình 10. C ấu trúc Rules - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
nh 10. C ấu trúc Rules (Trang 21)
Hình 15 . Cài đặ t Wazuh server - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
nh 15 . Cài đặ t Wazuh server (Trang 31)
Hình 17 . Các agent đã được thêm vào wazuh -server - Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf
nh 17 . Các agent đã được thêm vào wazuh -server (Trang 36)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w