NGHIÊN CỨU XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG MÃ NGUỒN MỞ ZABBIX ỨNG DỤNG TRONG PHÁT HIỆN TẤN CÔNG MẠNG

NỘI DUNG01 TÍNH CẤP THIẾT CỦA CHUYỀN ĐỀ 03 NGHIÊN CỨU VỀ HỆ THỐNG GIÁM SÁT MÃ NGUỒN MỞ ZABBIX 02 TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT AN NINH MẠNG 04 KHẢO SÁT HỆ THỐNG VÀ XÂY DỰNG KỊCH BẢN.

NỘI DUNG

01

TÍNH CẤP THIẾT CỦA CHUYỀN ĐỀ

03

NGHIÊN CỨU VỀ HỆ THỐNG GIÁM

SÁT MÃ NGUỒN MỞ ZABBIX

02

TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT

AN NINH MẠNG

04

KHẢO SÁT HỆ THỐNG VÀ XÂY DỰNG KỊCH BẢN

TÍNH CẤP THIẾT CỦA CHUYÊN ĐỀ

Mạng lưới toàn cầu đang phải đối mặt với những mối đe dọa an ninh mạng ngày càng tinh vi và phức tạp hơn

Ngày càng gia tăng sự kết nối mạng giữa các thiết bị và hệ thống, từ các máy tính cá nhân đến các máy chủ đám mây

Các cuộc tấn công mạng ngày càng phổ biến và nguy hiểm hơnCác công cụ giám sát hệ thống như Zabbix, Nagios, Security Onion,…không chỉ giúp theo dõi sự hoạt động của mạng một cách chi tiết mà còn cung cấp khả năng phát hiện sớm các biểu hiện của cuộc tấn công

Giám sát an ninh mạng không chỉ là một yếu tố quan trọng mà còn là một nhu cầu cấp thiết

TỔNG QUAN VỀ HỆ THỐNG GIÁM SÁT AN

NINH MẠNG

1.1 Một số vấn đề thực tiễn về an ninh

mạng tại Việt Nam

1.2 Tổng quan về giám sát an ninh mạng

1.3 Hệ thống giám sát an ninh mạng

1.1 Một số vấn đề thực tiễn về an ninh mạng tại Việt Nam

Theo khoản 1 Điều 2 Luật An ninh mạng 2018 định nghĩa ANM như sau: “An ninh mạng là sự bảo đảm hoạt động trên không gian mạng không gây phương hại đến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân”.

1.1.1 Khái niệm an ninh mạng

ANM hoạt động thông qua một cơ sở hạ tầng chặt chẽ, được chia

thành ba phần chính

Bảo vệ dữ liệu ở nơi chúng được lưu trữ và cả khi các dữ liệu này di chuyển trên các mạng lưới thông tin.

Là một tập hợp con của bảo mật CNTT ANM thực hiện nhiệm vụ đảm bảo dữ liệu kỹ thuật số trên các mạng lưới, máy tính và thiết bị cá nhân nằm ngoài sự truy cập, tấn công và phá hủy bất hợp pháp.

Bảo mật CNTT An ninh mạng

Là một tập hợp con của ANM Loại bảo mật này sử dụng phần cứng và phần mềm để bảo vệ bất kỳ dữ liệu nào được gửi từ máy tính cá nhân hoặc các thiết bị khác đến hệ thống mạng lưới thông tin

An ninh máy tính

1.1.2 Cơ sở pháp lý liên quan đến an ninh mạng

1

2

Những nguyên tắc để bảo vệ an ninh mạng

Căn cứ Điều 4 Luật An ninh mạng 2018 quy định nguyên tắc bảo vệ ANM

Những biện pháp bảo vệ an ninh mạng

Căn cứ Điều 5, Luật An ninh mạng 2018 quy định về biện pháp bảo vệ ANM

1.1 Một số vấn đề thực tiễn về an ninh mạng tại Việt Nam

Thách thức về bảo vệ chủ quyền không gian mạng quốc gia

Thách thức về tấn công mạng

Thách thức về bảo vệ an ninh mạng đối với dữ liệu quốc gia

Thách thức về nhận thức, kiến thức về không gian mạng còn hạn chế

Thách thức đối với an ninh mạng Việt Nam trong giai đoạn hiện nay

1.1 Một số vấn đề thực tiễn về an ninh mạng tại Việt Nam

1.2 Tổng quan về giám sát an ninh mạng

1.2.1 Khái niệm và ý nghĩa giám sát an ninh mạng

Theo khoản 1 Điều 14 Luật An ninh mạng 2018 quy định giám sát an ninh mạng đối với hệ thống thông tin quan trọng về an ninh quốc gia như sau: “Giám sát an ninh mạng là hoạt động thu thập, phân tích tình hình nhằm xác định nguy cơ đe dọa an ninh mạng, sự cố an ninh mạng, điểm yếu, lỗ hổng bảo mật, mã độc, phần cứng độc hại để cảnh báo, khắc phục, xử lý”

Ý nghĩa của giám sát an minh mạng nhằm:

+ Theo dõi các hoạt động mạng, kiểm tra lỗ hổng bảo mật, phân tích mã độc và phần cứng độc hại, cũng như xác định các điểm yếu trong cơ sở hạ tầng mạng

+ Phân tích, đánh giá và phản ứng đối với các mối đe dọa và vấn đề bảo mật

1.2 Tổng quan về giám sát an ninh mạng

1.2.2 Quy trình triển khai giám sát an ninh mạng

Quy trình giám sát an ninh mạng

1.2 Tổng quan về giám sát an ninh mạng

1.2.2 Quy trình triển khai giám sát an ninh mạng

- Trình tự giám sát ANM của lực lượng chuyên trách bảo vệ ANM:+ Gửi thông báo bằng văn bản yêu cầu triển khai biện pháp giám sát ANM tới chủ quản hệ thống thông tin; trong văn bản nêu rõ lý do, thời gian, nội dung và phạm vi tiến hành giám sát ANM;

+ Triển khai biện pháp giám sát ANM;+ Định kỳ thống kê, báo cáo kết quả giám sát ANM.

1.2 Tổng quan về giám sát an ninh mạng

1.2.3 Các phương pháp và công cụ sử dụng trong giám sát an ninh mạng

Hệ thống giám sát mạng có thể được xây dựng theo ba giải pháp khác nhau:

- Giải pháp quản lý thông tin an ninh- Giải pháp quản lý sự kiện an ninh

- Giải pháp quản lý và phân tích sự kiện an ninh

1.2 Tổng quan về giám sát an ninh mạng

• Các công cụ trong giám sát an ninh mạng

Công cụ splunk

1.2 Tổng quan về giám sát an ninh mạng

• Các công cụ trong giám sát an ninh mạng

Hệ thống giám sát mã nguồn mở Zabbix

1.2 Tổng quan về giám sát an ninh mạng

• Các công cụ trong giám sát an ninh mạng

Hệ thống giám sát Nagios

1.3 Hệ thống giám sát an ninh mạng

1.3.1 Khái niệm hệ thống giám sát an ninh mạng

Giám sát mạng là quá trình giám sát tính khả dụng, thời gian hoạt động, hoạtđộng và hiệu suất của các hệ thống mạng Trong đó bao gồm theo dõi và phân tích các thành phần mạng như bộ định tuyến, thiết bị chuyển mạch, tường lửa, các dịch vụ mạng

Mục tiêu chính của hệ thống giám sát mạng là đảm bảo rằng mạng hoạt động ổn định và đáp ứng được yêu cầu của người dùng

Hệ thống giám sát mạng thường sử dụng các phương pháp và công nghệ đa dạng như sử dụng các thiết bị giám sát mạng, phân tích lưu lượng mạng, giám sát địa chỉ IP, và theo dõi thông tin về các thiết bị mạng để phát hiện và giải quyết các vấn đề trên mạng

- Yếu tố con người, đặc biệt là quy trình phục vụ giám sát, đóng vai trò quan trọng trong việc đảm bảo hiệu quả của hệ thống giám sát mạng

1.3 Hệ thống giám sát an ninh mạng

Thành phần

Cảm biếnHệ thống phân tích

Trung tâm quản lýHệ thống cảnh báo

Hệ thống phản ứng

Ghi nhật ký và phân tích sự cố

Bảo mật dữ liệu

Cơ sở dữ liệu thông tin

1.3.2 Thành phần, chức năng chính của hệ thống giám sát an ninh mạng

1.3 Hệ thống giám sát an ninh mạng

1.3.3 Ứng dụng của hệ thống giám sát an ninh mạng

Ứng dụng

Ứng dụng

Đề xuất kế hoạch cho

việc nâng cấp và sửa

chữaĐề xuất kế

hoạch cho việc nâng cấp và sửa

chữa

Nhận biết khi nào cần

triển khai giải pháp để

phục hồi Nhận biết khi nào cần

triển khai giải pháp để

phục hồi Theo dõi

hoạt động của các tài nguyên dịch

vụ trên hệ thống

Theo dõi hoạt động của các tài nguyên dịch

vụ trên hệ thống

NGHIÊN CỨU VỀ HỆ THỐNG GIÁM SÁT MÃ

2.1 Khái niệm và kiến trúc hệ thống giám sát mã nguồn mở Zabbix

2.1.1 Khái niệm hệ thống giám sát mã nguồn mở Zabbix

Zabbix, được sáng lập bởi Alexei Vladishev, hiện đang nhận được sự hỗ trợ và phát triển từ Zabbix SIA

Zabbix là một công cụ mã nguồn mở dành cho giám sát mạng Nó liệt kê các tham số của một mạng, tình trạng và tính toàn vẹn của máy chủ, router, switch, Zabbix sử dụng một cơ chế thông báo linh hoạt để cảnh báo về thông tin của các thành phần mạng, cho phép người dùng cấu hình email cảnh báo cho bất kỳ sự kiện nào, giúp giải quyết vấn đề nhanh chóng trong hạ tầng mạng

2.1 Khái niệm và kiến trúc hệ thống giám sát mã nguồn mở Zabbix

2.1.2 Ưu điểm, nhược điểm và tính năng của Zabbix

Ưu điểm

Phần mềm giám sát miễn phí

Khả năng hỗ trợ SNMPTự động phát hiện và thêm các sever

Dễ sử dụng

Hoạt động trên nhiều nền tảng phổ biện

Linh hoạt trong việc phân quyền, kiểm soát quyền

truy cậpLinh hoạt trong việc phân quyền, kiểm soát quyền

truy cập

2.1 Khái niệm và kiến trúc hệ thống giám sát mã nguồn mở Zabbix

2.1.2 Ưu điểm, nhược điểm và tính năng của Zabbix

Nhược điểm

Không có giao diện web mobile hỗ trợ

Không phù hợp với hệ thống mạng lớn hơn 1000+

node thiết bị client cần giám sátKhông phù hợp với hệ thống mạng lớn hơn 1000+

node thiết bị client cần giám sát

Tính tương thích hạn chế với các công nghệ mới

Hiệu suất có thể giảm khi giám sát nhiều dịch vụ và

thiết bịHiệu suất có thể giảm khi giám sát nhiều dịch vụ và

thiết bị

2.1.3 Kiến trúc của hệ thống giám sát an ninh mạng Zabbix

Kiến trúc của Zabbix bao gồm 4 thành phần cơ bản: Zabbix Server, Zabbix Proxy, Zabbix Agent, Zabbix Web frontend.

2.1 Khái niệm và kiến trúc hệ thống giám sát mã nguồn mở Zabbix

2.2 Các thành phần cơ bản và cơ chế hoạt động của Zabbix

2.2.1 Các phần tử cơ bản của Zabbix

Zabbiz

Host

Item

TriggersTemplat

e

2.2.2 Cơ chế hoạt động của Zabbix

Cơ chế hoạt động của Zabbix

2.2 Các thành phần cơ bản và cơ chế hoạt động của Zabbix

2.3 Các mô hình triển khai hệ thống giám sát an ninh mạng Zabbix

2.3.1 Mô hình giám sát tập trung (Centralized Monitoring)

Mô hình cài đặt trên một máy chủ 01 máy chủ không được khuyến cáo trên các hệ thống giám sát lớn, tuy nhiên đây là một mô hình cơ bản và phù hợp với hệ thống nhỏ có số lượng thiết bị cần giám sát ít Một Node cài tất cả các thành phần Zabbix Server, Zabbix Database, Zabbix Web Frontend.

2.3 Các mô hình triển khai hệ thống giám sát an ninh mạng Zabbix

2.3.1 Mô hình giám sát phân tán (Distributed monitoring)

- 01 Zabbix server kết hợp với nhiều Zabbix proxies, mỗi proxy có thể được đặt tại một chi nhánh hoặc một trung tâm dữ liệu khác nhau

- Mô hình này là lựa chọn phù hợp cho các doanh nghiệp có môi trường mạng phức tạp, nơi mà việc giám sát từ xa và tập trung là cần thiết

2.4 Triển khai hệ thống giám sát an ninh mạng Zabbix

2.4.1 Yêu cầu của hệ thống* Đối với Zabbix Server:

- Bộ xử lý (CPU): Cần một bộ xử lý đa lõi với tốc độ xung nhịp cao để xử lý các yêu

cầu giám sát từ nhiều Agents và thiết bị mạng Đối với môi trường nhỏ hoặc thử nghiệm, một CPU với ít nhất 2 nhân và tốc độ xung nhịp từ 2GHz trở lên có thể đáp ứng được

- Bộ nhớ (RAM): Yêu cầu ít nhất 4GB RAM để đảm bảo cho Zabbix Server hoạt

động, đặc biệt là trong môi trường có nhiều Agents hoặc dữ liệu giám sát lớn

- Dung lượng đĩa: Cần ít nhất 20GB dung lượng đĩa trống để cài đặt hệ thống và lưu

trữ dữ liệu, logs và tệp tin cấu hình của Zabbix

2.4 Triển khai hệ thống giám sát an ninh mạng Zabbix

2.4.1 Yêu cầu của hệ thống* Đối với Zabbix Agents trên các máy Client:

- Bộ xử lý (CPU): Cần một bộ xử lý đủ mạnh để chạy Zabbix Agent và xử lý các

yêu cầu giám sát Một CPU đơn nhân với tốc độ xung nhịp từ 1GHz trở lên

- Bộ nhớ (RAM): Yêu cầu RAM không cao, thường ít nhất 128MB RAM cho mỗi

Agent

- Dung lượng đĩa: Cần dung lượng đủ để cài đặt Zabbix Agent và lưu trữ các tệp

tin log

2.4 Triển khai hệ thống giám sát an ninh mạng Zabbix

2.4.2 Hướng dẫn cài đặt hệ thống mã nguồn mở Zabbix

- Bước 1: Kiểm tra phiên bản cập nhật mới nhất của máy chủ và địa chỉ IP.- Bước 2: Download Zabbix 5.0 từ trang chủ chính thức của Zabbix

- Bước 3: Cài đặt Web Zabbix mysql và mariadb database.- Bước 4: Sửa đổi tệp cấu hình của máy chủ Zabbix

- Bước 5: Khởi động tất cả các dịch vụ và thiết lập tường lửa cho phép cổng web và cổng dịch vụ Zabbix

- Bước 6: Nhập URL như sau: http://192.168.205.154/zabbix/

Zabbix Server

2.4 Triển khai hệ thống giám sát an ninh mạng Zabbix

2.4.2 Hướng dẫn cài đặt hệ thống mã nguồn mở Zabbix

- Bước 1: Tải Zabbix Agent trên máy Window 10.- Bước 2: Cài đặt Zabbix Agent trên máy Window 10.- Bước 3: Thêm host cần giám sát trên máy chủ Zabbix Server

Zabbix Agent

2.4 Triển khai hệ thống giám sát an ninh mạng Zabbix

2.4.3 Một số hình ảnh kết quả giám sát hệ thống

Giám sát card Wifi và lưu lượng mạng

2.4 Triển khai hệ thống giám sát an ninh mạng Zabbix

2.4.3 Một số hình ảnh kết quả giám sát hệ thống

Giám sát tỷ lệ thời gian ổ đĩa được sử dụng

2.4 Triển khai hệ thống giám sát an ninh mạng Zabbix

2.4.3 Một số hình ảnh kết quả giám sát hệ thống

Giám sát sự thay đổi đột ngột trong tải CPU

KHẢO SÁT HỆ THỐNG VÀ XÂY DỰNG KỊCH BẢN

3.1 Khảo sát hệ thống và đề xuất giải pháp

3.2 Xây dựng kịch bản thực tiến hành mô phỏng tế và

3.1 Khảo sát hệ thống và đề xuất giải pháp

- Đơn vị khảo sát: Trường THPT Ngô Gia Tự, TP Tuy Hòa, tỉnh Phú Yên.

Tiền thân là trường Trung học tỉnh hạt Hiếu Xương, được thành lập năm 1968 Sau ngày miền Nam giải phóng (4/1975), chính quyền cách mạng đã tiếp quản cơ sở vật chất của trường trung học tỉnh hạt Hiếu Xương và nhanh chóng ổn định tình hình, tổ chức việc dạy và học Hiện nay trường biên chế 87 cán bộ giáo viên với khoảng 1200 học sinh

- Hệ thống khảo sát: Hệ thống quản lý giáo dục học sinh trong phạm vi trường

THPT Ngô Gia Tự, Tuy Hòa, thông qua trang web smas.edu.vn

3.1 Khảo sát hệ thống và đề xuất giải pháp

3.1 Khảo sát hệ thống và đề xuất giải pháp

Đề xuất mô hình giám sát hệ thống Smas tại trường THPT Ngô Gia Tự.

3.2 Xây dựng kịch bản thực tế và tiến hành mô phỏng

3.2.1 Xây dựng kịch bản

* Kịch bản 1: Kẻ tấn công sử dụng kỹ thuật tấn công DOS vào WinServer làm cho CPU của WinServer tăng rất cao gây nguy hiểm cho hệ thống Ngay lúc này, hệ thống giám sát mã nguồn mở Zabbix sẽ gửi về thông báo Telegram nghi ngờ WinServer đang bị tấn công DOS và báo cáo dung lượng CPU tại thời điểm đó cho người quản trị Khi xử lý sự cố bị tấn công thành công, Zabbix sẽ thông báo lỗi này được khắc phục trong một khoảng thời gian nào đó

* Kịch bản 2: Kẻ tấn công sử dụng kỹ thuật tấn công Metaploits Framework để xâm nhập vào máy Win10Client chiếm quyền điều khiển Sau đó, đổi hostname của máy Win10Client Ngay lập tức, hệ thống giám sát mã nguồn mở Zabbix sẽ gửi về thông báo Telegram Win10Client vừa bị thay đổi hostname cho người quản trị để kịp thời xử lý

DEMO

CẢM ƠN QUÝ THẦY CÔ

ĐÃ LẮNG NGHE!!!