GIẢI PHÁP GIÁM SÁT TẬP TRUNG OSSIM CHO HỌC VIỆN Nhóm SV thực hiện: Ngô Văn Thỉnh Phạm Công Lý Lê Văn Minh Nguyễn Văn Hoàng NỘI DUNG Giới thiệu chung SIEM & OSSIM Khảo sát, phân tích hệ thống học viện Đề xuất thiết kế giải pháp OSSIM Demo Học viện kỹ thuật Mật Mã ĐẶT VẤN ĐỀ  Sự phát triển hệ thống mạng đề số nhu cầu: • Đảm bảo an toàn thiết bị • Quản lý thông tin kiện • Hệ thống vận hành tốt an toàn IDS/IPS Quản lý tập trung • kiện Hoạt động riêng lẻ an ninh mạng • Không quản lý tập trung • Không có tương quan liên kết kiện an ninh • Đảm bảo tuân thủ an ninh hạn chế • Khó khăn hoàn thành báo cáo tình trạng an ninh hệ thống theo chuẩn quốc tế Học viện kỹ thuật Mật Mã SIEM SIEM (security Information and Event Management): Quản lý thông tin kiện tập trung Học viện kỹ thuật Mật Mã SIEM Log Sensor Thu thập thông tin Log Chuẩn hóa thông tin kiện an ninh Phân tích tương quan kiện an ninh Server Frame Work ALARM SQL Tổng hợp định thông báo Học viện kỹ thuật Mật Mã OSSIM Open Source Security Information Managerment (OSSIM): mã nguồn mở quản lý thông tin kiện an ninh bao gồm tập hợp công cụ thiết kế để trợ giúp nhân viên quản trị phát phòng chống xâm nhập OSSIM Học viện kỹ thuật Mật Mã OSSIM • Giám sát tập trung thiết bị mạng • Thu thập thông tin từ sensor snort, ARPwatch, Ntop,… • Đọc thông tin cảnh báo từ loại thông tin CheckPoint, RealSecure, server Unix • Phân tích đánh giá mức độ an ninh rủi ro kiện an toàn thông tin • Phát xâm nhập xác • Dễ cài đặt sử dụng => tiết kiệm nhân lực cho quản trị • Lưu trữ thông tin dài hạn cho điều tra Học viện kỹ thuật Mật Mã OSSIM Kiến trúc OSSIM Firewall, IDS, Router, Server,… Hệ điều hành, Ứng dụng,… Tổng hợp tiêu chuẩn hóa log từ: IDS (Snort), Quét lỗ hổng (Nessus), Phát bất thường (Spade, p0f, pads, arpwatch, RRD abbehaviour), Giám sát mạng (Ntop) thành chuẩn Học viện kỹ thuật Mật Mã OSSIM Kiến trúc OSSIM Thu thập thông tin, chuẩn hóa đánh giá rủi ro cho hệ thống, phân loại loại tập tin, dấu hiệu bất thường cho hệ thống… gửi lên framework để phân loại hành động mức độ cảnh báo cho hệ thống…và database để lưu trữ kiện, thông tin cho hệ thống qua port 3306 Học viện kỹ thuật Mật Mã OSSIM Kiến trúc OSSIM Quản lý thành phần OSSIM kết nối chúng lại với Cung cấp giao diện web, Quản lý cấu hình thành phần OSSIM truyền thông Cơ sở liệu lưu trữ kiện, thông tin hữu ích cho việc quản lý hệ thống Nó sở liệu SQL Học viện kỹ thuật Mật Mã 10 OSSIM Kiến trúc OSSIM Tương quan kiện? Tính toán rủi ro theo CT nào? Học viện kỹ thuật Mật Mã 15 OSSIM RISK OF THE EVENT(0-10) = [ASSET VALUE(0-5)*PRIORITY(0-5)*RELIABILITY(0-10)] /25 Trong đó: • ASSET VALUE: Giá trị tài sản • PRIORITY: Độ ưu tiên cho kiện an ninh (Default = 1) • RELIABILITY: Độ tin cậy kiện an ninh (Default = 1) • RISK OF THE EVENT: Mức độ rủi ro kiện an ninh Học viện kỹ thuật Mật Mã 16 OSSIM Tương quan kiện (Correlation) Là xem xét nhiều kiện có mối liên hệ liên quan với để đưa định thông báo hay không Ví dụ: CPU hoạt động 100% Sự kiện liên quan: • Có tồn virus hay không? • Có ứng dụng bị treo hay không? • Có gia tăng lưu lượng mạng hay không? • Lượng truy cập có đáng hay không? Học viện kỹ thuật Mật Mã 17 Sơ đồ học viện Học viện kỹ thuật Mật Mã 18 Tài sản hệ thống Ngoài thiết bị phần cứng switch, router, AP, dây cáp, máy trạm, hạ tầng mạng nói chung Các phần mềm, tệp tin, liệu Học viện lưu trữ máy chủ Ta cần ý số thiết bị sau: • Firewall • Máy chủ nội • Các máy chủ dịch vụ DMZ: web, mail, fpt Là thiết bị thiết yếu dễ bị công Học viện kỹ thuật Mật Mã 19 Các loại rủi ro • Các công vào khu vực DMZ mà vùng chạy dịch vụ: web, mail, DNS • Các công tới người dùng (Social engineering) mạng • Tấn công vào mạng LAN Học viện: • Tấn công nghe trộm đường truyền • Tấn công vào từ chối dịch vụ vào hệ thống mạng văn phòng phòng, ban • Tấn công mã độc vào hệ thống mạng thông qua người dung phương tiện khác • Xâm nhập vật lý tới thiết bị cụ thể hệ thống, Học viện kỹ thuật Mật Mã 20 Sơ đồ học viện Học viện kỹ thuật Mật Mã 21 Đề xuất giải pháp OSSIM Học viện kỹ thuật Mật Mã 22 Cấu hình thiết bị Firewall ASA5520-BUN-K9 cuả Cisco • Có nhiệm vụ quản lý lưu lượng truy cập mạng khu vực LAN, Management DMZ • Cisco ASA 5520 tích hợp IDS/IPS nên sử dụng để cài đặt IDS/IPS cho khu vực DMZ, LAN nhằm phát dấu hiệu công vào khu vực Học viện kỹ thuật Mật Mã 23 Cấu hình thiết bị OSSIM Server: • OS: Debian Linux • CPU: E5620 2.4GHz – Cores / threads • RAM: 24GB • STORAGE: 3TB • OS: CentOS • IDS: Snort • CPU: E8400 3.0GHz – Cores • RAM: 2GB • DISK: 500GB NIDS: Học viện kỹ thuật Mật Mã 24 Phân tích hệ thống Hành động chủ yếu: quét cổng IP firewall Mục đích: đăng nhập chiếm quyền điều khiển Phương pháp chủ yếu: Học viện kỹ thuật Mật Mã • Quét cổng trực tiếp Nmap • Lần theo tuyến traceroute • Lấy banner (banner grabbing) 25 Phân tích hệ thống Hành động chủ yếu: khai thác lỗ hổng ứng dụng, Mục đích: Đánh cắp, phá hoại liệu,… Phương pháp chủ yếu: • DDoS - Botnet • SQL injection • Tấn công tầng ứng dụng máy chủ: XSS, trojan Học viện kỹ thuật Mật Mã 26 Phân tích hệ thống • Hack máy chủ nội nâng quyền • Máy trạm dính virus, Trojan,… • Nhân viên bị công socail engineering … Học viện kỹ thuật Mật Mã 27 DEMO 28 Sơ đồ DEMO INTERNET Window server Web server OSSIM server 5.196.45.227 5.196.45.228 5.196.45.224 Học viện kỹ thuật Mật Mã 29 [...]... Windows, Mac, TÍCH HỢP QUẢN LÝ LOG vào cơ sở hạ tầng hiện có (SIM/SEM) QUẢN LÝ TẬP TRUNG Thông qua một server quản lý chính sách cho các máy trạm khác nhau CẢNH BÁO THỜI GIAN THỰC Có khả năng tùy biến Học viện kỹ thuật Mật Mã 14 OSSIM Kiến trúc OSSIM Tương quan sự kiện? Tính toán rủi ro theo CT nào? Học viện kỹ thuật Mật Mã 15 OSSIM RISK OF THE EVENT(0-10) = [ASSET VALUE(0-5)*PRIORITY(0-5)*RELIABILITY(0-10)].. .OSSIM Kiến trúc OSSIM Thu thập log bằng cách nào? Tương quan sự kiện? Tính toán rủi ro theo CT nào? Học viện kỹ thuật Mật Mã 11 OSSIM Network / Security Host / OS/ Application Học viện kỹ thuật Mật Mã 12 OSSEC Agents Giải pháp HIDS mã nguồn mở OSSIM Học viện kỹ thuật Mật Mã 13 OSSEC Agents ĐA NỀN TẢNG KIỂM TRA TÍNH TOÀN VẸN... giải pháp OSSIM Học viện kỹ thuật Mật Mã 22 Cấu hình thiết bị Firewall ASA5520-BUN-K9 cuả Cisco • Có nhiệm vụ quản lý lưu lượng và các truy cập mạng giữa các khu vực LAN, Management và DMZ • Cisco ASA 5520 tích hợp cả IDS/IPS nên được sử dụng để cài đặt IDS/IPS luôn cho khu vực DMZ, LAN nhằm phát hiện những dấu hiệu tấn công vào các khu vực này Học viện kỹ thuật Mật Mã 23 Cấu hình thiết bị OSSIM Server:... PRIORITY: Độ ưu tiên cho từng sự kiện an ninh (Default = 1) • RELIABILITY: Độ tin cậy của sự kiện an ninh (Default = 1) • RISK OF THE EVENT: Mức độ rủi ro của sự kiện an ninh Học viện kỹ thuật Mật Mã 16 OSSIM Tương quan sự kiện (Correlation) Là sự xem xét nhiều sự kiện có mối liên hệ liên quan với nhau để đưa ra quyết định thông báo hay không Ví dụ: CPU hoạt động 100% Sự kiện liên quan: • Có tồn tại virus... hệ thống • Hack máy chủ nội bộ nâng quyền • Máy trạm dính virus, Trojan,… • Nhân viên bị tấn công socail engineering … Học viện kỹ thuật Mật Mã 27 DEMO 28 Sơ đồ DEMO INTERNET Window server Web server OSSIM server 5.196.45.227 5.196.45.228 5.196.45.224 Học viện kỹ thuật Mật Mã 29