Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 86 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
86
Dung lượng
6,02 MB
Nội dung
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN MỤC LỤC I.Thuật ngữ và từ viết tắt 3 II.Giới thiệu chung 5 II.1Mục tiêu của tài liệu 5 II.2Đối tượng sử dụng 5 III.Giao thức thu thập thông tin an toàn mạng - ISGP 5 III.1Mục tiêu giao thức thu thập thông tin ATM - ISGP 5 III.2Tham chiếu trên mô hình TCP/IP 5 III.3Bảo mật dữ liệu 6 III.4Lược đồ trao đổi thông tin 7 III.5Định dạng gói tin thông báo sự kiện 9 III.5.1Sự kiện chuẩn hóa 9 III.5.2Sự kiện MAC 10 III.5.3Sự kiện hệ điều hành 11 III.5.4Sự kiện dịch vụ (Service event) 12 IV.Phân tích yêu cầu hệ thống giám sát ATM 13 14 V.Kiến trúc hệ thống tiếp nhận thông tin ATM SIGS 15 V.1Thiết kế phân hệ thu thập TT ATM tự động – NSIAR 16 V.1.1Phân tích yêu cầu 16 V.1.2Thiết kế phân hệ phần mềm NSIAR 18 V.1.3Các yêu cầu khác đối với hệ thống NSAIR 27 V.2Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố 28 V.2.1Tổng quan quy trình xử lý thông báo sự cố 28 V.2.2Phân tích yêu cầu phân hệ hỗ trợ xử lý thông báo sự cố 29 V.2.3Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố 31 V.2.4Thiết kế cơ sở dữ liệu lưu trữ thông báo sự cố an toàn mạng 33 VI.Mô hình triển khai hệ thống theo dõi an toàn mạng 52 VII.Kiểm tra và kết quả thử nghiệm 53 VII.1Kiểm tra, thử nghiệm tiếp nhận thông tin an toàn mạng tự động 53 VII.1.1Phần mềm hỗ trợ thử nghiệm : SIGS Test Client 53 VII.1.2Nội dung và kết quả thử nghiệm 53 I.2.Thử nghiệm giả định trên môi trường mạng nội bộ số 001: 62 I.3.Thử nghiệm giả định trên môi trường mạng nội bộ số 002 63 I.3.1. Các bước tiến hành 63 I.3.2. Đánh giá thử nghiệm nội bộ số 002 64 II.Đánh giá chung cho thử nghiệm trên môi trường mạng nội bộ 64 III.KIẾM TRA THỬ NGHIỆM SO SÁNH VỚI KẾT QUẢ LÝ THUYẾT 65 VIII.Tài liệu tham khảo 66 IX.Phụ lục 01 Thiết kế giao diện quản lý thông báo sự cố 67 IX.1Giao diện chức năng dành cho người dùng 67 IX.1.1Chức năng mở thông báo mới 67 1 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN IX.2Giao diện chức năng dành cho quản trị hệ thống 72 IX.2.1Khung nhìn dành cho Admin 73 IX.2.2Khung nhìn dành cho chuyên viên 78 IX.3Giao diện chức năng dành cho cán bộ quản lý 85 IX.4Giao diện các chức năng dành cho chuyên viên 86 2 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN I. Thuật ngữ và từ viết tắt THUẬT NGỮ / TỪ VIẾT TẮT GIẢI THÍCH Firewall – FW Tường lửa Antivirus - AV Antivirus Intrusion Detected system - IDS Thiết bị / phần mềm phát hiện xâm nhập / tấn công trái phép. Intrution Prevented System- IPS Thiết bị / phần mềm ngăn ngừa xâm nhập / tấn công trái phép. SIGS Hệ thống thu thập thông tin an toàn mạng Internet. NSAIR Phân hệ tiếp nhận thông tin ATM tự động SAMS Phân hệ tiếp nhận và hỗ trợ xử lý thông báo sự cố SIG Gate Cổng tiếp nhận thông tin an toàn mạng SIPS Hệ phần mềm tác nghiệp xử lý thông tin theo dõi - thống kê - cảnh báo và điều khiển ISGP Giao thức thu thập thông tin an toàn mạng (Giao thức được xây dựng riêng trên cơ sở TCP/IP để phục vụ trao đổi thông tin an toàn mạng giữa SIGS và các thiết bị sensor chuyên dụng). Sensor Thiết bị cảm biến chuyên dụng để thu nhận hoặc phát hiện tấn công mạng. CSDL Cơ sở dữ liệu ATM An toàn mạng ATTT An toàn thông tin TT ATM Thông tin an toàn mạng – bao gồm các thông tin có khả năng phản ánh diễn biến, tình hình an toàn mạng. Thông tin an toàn mạng có thể là thông tin về băng thông, số liệu về các kết nối v.v…. IP Giao thức Internet Event Sự kiện an toàn thông tin Risk Rủi ro an toàn thông tin 3 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN Incident Sự cố an toàn thông tin Alarm Cảnh báo an toàn thông tin 4 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN II. Giới thiệu chung II.1 Mục tiêu của tài liệu Trình bày thiết kế và xây dựng hệ thống tiếp nhận thông tin an toàn mạng – SIGS và giao thức thu thập thông tin an toàn mạng. II.2 Đối tượng sử dụng Tài liệu này được cung cấp cho các đối tượng sau: - Chuyên gia thiết kế hệ thống giám sát an toàn mạng. - Chuyên gia thiết kế và lập trình phát triển hệ thống tiếp nhận thông tin an toàn mạng, các công cụ tích hợp một số thiết bị an toàn mạng thương mại vào hệ thống giám sát an toàn mạng. - Chuyên gia kiểm tra đánh giá, nâng cấp, sửa chữa hệ thống tiếp nhận thông tin an toàn mạng, các công cụ tích hợp một số thiết bị an toàn mạng thương mại vào hệ thống giám sát an toàn mạng. III. Giao thức thu thập thông tin an toàn mạng - ISGP III.1 Mục tiêu giao thức thu thập thông tin ATM - ISGP Giao thức thu thập thông tin an toàn mạng được xây dựng nhằm thống nhất, chuẩn hóa quy trình trao đổi thông tin các thiết bị sensor chuyên dụng và hệ thống thu thập thông tin an toàn mạng một cách an toàn, chính xác thông qua môi trường mạng TCP/IP. III.2 Tham chiếu trên mô hình TCP/IP Giao thức ISGP là giao thức tầng ứng dụng, được xây dựng dựa trên giao thức TCP, mô hình dưới đây mô tả quan hệ và phân lớp giữa ISGP với các giao thức khác. | ISGP | |HTTTP| |TFTP | | | + + + + + + + + | | | | + + + + + + | TCP | | UDP | | | 5 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN + + + + + + | | | + + + | Internet Protocol & ICMP | + + + | + + | Local Network Protocol | + + Quan hệ giữa ISGP và một số giao thức cơ bản khác III.3 Bảo mật dữ liệu Giao thức ISGP được xây dựng phục vụ trao đổi thông tin giữa các thiết bị sensor chuyên dụng (gọi tắt là Agent) và hệ thống tiếp nhận thông tin an toàn mạng SIPS (Server). Giao thức được thiết kế đảm bảo hỗ trợ hai chế độ hoạt động là có bảo mật và không bảo mật. Yêu cầu này xuất phát từ thực tế, bảo vệ tính bí mật của thông tin trao đổi thông qua mạng là rất cần thiết, phương pháp thông dụng nhất thường được sử dụng là mã hóa bằng các mô đun mã hóa và giải mã sử dụng các thuật toán mã hóa công khai hoặc mã hóa đối xứng đặt tại hai đầu kết nối. Tuy nhiên, giải pháp này chỉ phù hợp với các hệ thống có năng lực tính toán mạnh so với lượng dữ liệu cần phải tiếp nhận do liên tục phải thực hiện các phép tính để mã hóa và giải mã dữ liệu trong khi thực tế đối với hệ thống giám sát an toàn mạng thì số lượng thông tin trao đổi giữa các agent và server luôn luôn rất lớn và khó có hệ thống máy chủ nào có thể đáp ứng, đặc biệt do kinh phí đầu tư trang thiết bị của đề tài nghiên cứu còn hạn chế nên khi số lượng kết nối lớn chắc chắn sẽ xảy ra các hiện tượng quá tải tại thiết bị server tiếp nhận. Do đó giao thức được thiết kết để có thể thực hiện trao đổi thông tin bằng cả hai chế độ mã hóa hoặc không mã hóa. Đối với trường hợp giao thức hoạt động ở chế độ không mã hóa, thông tin trao đổi giữa agent và server sẽ vẫn an toàn nếu như triển khai một hệ thống mạng riêng ảo VPN sử dụng công nghệ IPSEC, với phương án này server sẽ không bị quá tải do việc mã hóa và giải mã dữ liệu đã được chuyển sang cho thiết bị VPN chuyên dụng. Đây cũng là hình 6 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN thức triển khi thực tế của hầu hết các hệ thống giám sát an toàn mạng thương mại đang áp dụng hiện nay như: SSIM của Synmatec hay Argsight. III.4 Lược đồ trao đổi thông tin Lược đồ trao đổi thông tin bao gồm năm bước cơ bản, được mô tả như hình dưới đây: Bước 1. Tạo khóa mã hóa - Generate Random key: - Mục đích: Sinh ra một khóa mã hóa ngẫu nhiên dài 16 bytes Bước 2. Gửi thông báo yêu cầu kết nối - CONNECT msg: - Mục đích: Gửi yêu cầu thiết lập kết nối từ agent tới server 7 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN - Định dạng gói tin bao gồm bốn thông tin chính connect key=”%s” id=”%d” type=”sensor” version=”%s”\n - Giải thích • key: key mã hóa (xâu kí tự bất kỳ 16 bytes) đã sinh ra • id: Số thứ tự được gán cho plugin (bắt đầu từ 1) • Type: kiểu sensor • version: phiên bản sensor Bước 3. Xác nhận kết nội – OK Msg - Mục đích: Server thông báo cho agent đã kết nối thành công - Định dạng gói tin ok id=”%d”\n - Mô tả: • ok là từ khóa xác định kết nối đã thành công • ID là số thứ tự của plug nhận được trong lệnh kết nối Bước 4. Thông báo lỗi - ERROR msg - Mục đích: Server thông báo cho agent kết nối không thành công - Định dạng gói tin error id=”%d”\n - Mô tả: • Error là từ khóa của thông báo lỗi • is là mã của sensor server đã nhận được từ trước Bước 5. Điều khiển - CONTROL msg: - Mục đích: Cho phép Server gửi các lệnh điều khiển hoạt động của Agent, Agent ở đây có thể là các sensor hoặc cũng có thể là các server khác. Lệnh điều khiển này có 4 chức năng , bao gồm: Enable/Disable/Start/Stop - Cấu trúc lệnh điều khiển: Các thông báo lệnh điều khiển có cấu trúc như sau 8 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN • Command plugin_id=\”%d”\n - Mô tả Trong đó các thuật ngữ được hiểu như sau: • Command là một trong bốn lệnh điều khiển sau: ◦ sensor-plugin-start Khởi động tiến trình được gắn với plugin ◦ sensor-plugin-stop Tắt tiến trình được gắn với plugin ◦ sensor-plugin-enable Bật plugin ◦ sensor-plugin-disnable Tắt plugin • plugin_id: Số thứ tự của plugin đã được gán III.5 Định dạng gói tin thông báo sự kiện Gói tin thông báo sự kiện là gói tin chứa nội dung thông tin mà Sensor gửi thông tin tới server các sự kiện thu nhận được. Các sự kiện được chia làm bốn loại : - Event đã chuẩn hóa, - MAC event, - OS Event, - Service Event III.5.1 Sự kiện chuẩn hóa - Định dạng gói tin event type=”detector" date="2006-08-09 12:12:11" plugin_id="4002" plugin_sid="1" sensor="192.168.1.10" interface="eth1" priority="1" src_ip="192.168.1.8" dst_ip="192.168.1.8" data="user1" log="Aug 9 12:12:11 ossim- sensor sshd[6466]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=localhost user=user1" 9 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN - Mô tả • EVENT: từ khóa xác định thông báo kiểu sự kiện • type: kiểu event, detector hoặc monitor • date: thời gian phát sinh event • plugin_id: id của plugin phát sinh event (nhận được từ CONNECT msg), dùng để phân biệt giữa các plugin • plugin_sid: plugin class, dùng để phân biệt giữa các message từ 1 plugin • interface: giao diện mạng • sensor: địa chỉ IP của sensor phát sinh event • priority: mức độ ưu tiên của event (deprecated) • protocol: một trong các giao thức TCP, UDP hoặc ICMP • src_ip: IP nguồn của event (do sensor nhận ra) • src_port: cổng nguồn (do sensor nhận ra) • dst_ip: IP đích của event (do sensor nhận ra) • dst_port: cổng đích (do sensor nhận ra) • log: nội dung log • data: event payload (hoặc bất cứ nội dung gì) • username: user phát sinh event (thường dùng trong HIDS event) • password: password cho event • filename: file dùng trong event (thường dùng trong HIDS event) • userdata1: các trường do user định nghĩa trong file config. tối đa 9 trường với mỗi plugin. Có thể chứa nội dung bất kỳ, thường là các nội dung trong log mà không nằm trong các trường còn lại. III.5.2 Sự kiện MAC Sự kiện MAC EVENT phát sinh khi có sự thay đổi địa chỉ MAC - Định dạng gói tin sự kiện mác bao gồm 10 [...]... Phân hệ phần mềm chuyên dụng thu thập thông tin - Phần mềm thu thập thông tin từ các thiết bị bảo vệ mạng thương mại - Phân hệ cơ sở dữ liệu và phần mềm xử lý thông tin trung tâm - Phân hệ hỗ trợ chỉ huy và điều hành ứng cứu sự cố 13 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN 14 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN Sơ đồ cấu trúc chung của hệ thống V Kiến trúc hệ thống tiếp nhận thông tin. .. trị • log: nhật ký 12 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN • Các trường được dành riêng: • userdata1: Bản sao của trường application • userdata2: Bản sao của trường service IV Phân tích yêu cầu hệ thống giám sát ATM Thiết kế tổng thể hệ thống giám sát ATM bao gồm năm thành phần chính sau đây: - Hệ thống tiếp nhận thông tin an toàn mạng – SIGS: Phân hệ thu thập thông tin an toàn mạng tự động... - Module tiếp nhận thông tin – NSAIR-R Module Quản lý việc xác thực các nguồn cung cấp thông tin và trao đổi thông tin - Module phân tích thông tin an toàn mạng – NSAIR-A Module Phân tích các thông tin thu được để xác định các thông tin an toàn mạng do các nguồn cung cấp khác nhau cung cấp - Module tương tác với CSDL – NSAIR-DI Module 22 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN Cung cấp các chức... hiện và kết quả - Các thông tin cập nhật chi tiết về thông báo sự cố qua email, tin nhắn nội bộ hoặc điện thoại Dữ liệu đầu vào của hệ thống bao gồm: - Thông báo gửi người sử dụng về biện pháp xử lý hoặc yêu cầu về cập nhật thêm thông tin - Các sự cố an toàn mạng - Các thông báo sự cố an toàn mạng 30 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN V.2.3 Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố V.2.3.1... khác nhau, bao gồm: + Phân hệ thu thập thông tin an toàn mạng tự động (NSIAR) có chức năng tiếp nhận thông tin an toàn mạng từ các phần mềm thu thập thông tin an toàn mạng và sensor tự phát triển + Phân hệ thu thập thông tin từ các kênh thông báo (SAM) có chức năng hỗ trợ tiếp nhận và xử lý các thông báo sự cố an toàn mạng Phân hệ này bao gồm hai module: * Cổng tiếp nhận thông báo sự cố an toàn mạng... động NSIAR được xây dựng hoạt động như một dịch vụ hoạt động ở chế độ background trên hệ điều hành Linux Dữ liệu đầu vào và các lệnh điều khiển được gửi tới NSIAR thông qua cổng TCP Với cơ chế hoạt động như trên, NSIAR hoạt động hoàn toàn độc lập với hệ thống SIPS giảm thiểu các tác động bất lợi giữa các hệ thống 18 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN V.1.2.2 Phân loại thông tin đầu vào Nguồn... trò tiếp nhận hai loại thông báo sự cố với đặc tính khác nhau, bao gồm: + Phân hệ thu thập thông tin an toàn mạng tự động (NSIAR) có chức năng tiếp nhận thông tin an toàn mạng từ các phần mềm thu thập thông tin an toàn mạng và sensor tự phát triển + Phân hệ thu thập thông tin từ các kênh thông báo (SAM) có chức năng hỗ trợ tiếp nhận và xử lý các thông báo sự cố an toàn mạng - Phân hệ các bộ cảm biến giám... này, hệ thống SIPS hoàn toàn độc lập và không bị ảnh hưởng khi SIGS có các thay đổi trong nội bộ Các trường hợp sử dụng chính của NSAIR-C bao gồm: - Cập nhật danh sách các nguồn cung cấp thông tin ATM - Mở và tắt các dịch vụ giải mã thông tin ATM 25 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN - Mở/khởi động lại và đóng dịch vụ tiếp nhận thông tin ATM V.1.2.6 Cấu trúc cơ sở dữ liệu lưu trữ thông tin. .. phân hệ SIGS Guest SIPS User SIGS User Các hệ thống giám sát của nước ngoài SIG GATE Các thiết bị bảo mật TM SAMS IDS/IPS PM TTTT AN TOÀN MẠNG GATEWAY ANTIVIRUS CSDL THÔNG TIN AN TOÀN MẠNG FIREWALL NSIAR MODULE SENSOR Business Control Gate SENSOR NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN Hệ thống tiếp nhận thông tin an toàn mạng SIGS bao gồm hai thành phần chính đóng vai trò tiếp nhận hai loại thông. .. bình thường của hệ điều hành, thông thường do các sản phẩm như Pof (Operationg System 21 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN anomaly detection) phát hiện ra Sự kiện OS bao gồm các thông tin cơ bản: host, hệ điều hành, sensor, cổng mạng và thời gian - Sự kiện MAC: Sự kiện an toàn mạng liên quan đến địa chỉ mac thường dựa thu thập từ các phần mềm giám sát arpwatch hoặc hệ thống pads Các sự . toàn thông tin Risk Rủi ro an toàn thông tin 3 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN Incident Sự cố an toàn thông tin Alarm Cảnh báo an toàn thông tin 4 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU. huy và điều hành ứng cứu sự cố. 13 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN 14 NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN V. Kiến trúc hệ thống tiếp nhận thông tin ATM SIGS 15 Sơ. thu thập thông tin ATM - ISGP Giao thức thu thập thông tin an toàn mạng được xây dựng nhằm thống nhất, chuẩn hóa quy trình trao đổi thông tin các thiết bị sensor chuyên dụng và hệ thống thu thập