Sự phát triển của hệ thống mạng đã đề ra một số nhu cầu:• Đảm bảo an toàn các thiết bị.. Quản lý tập trung sự kiện an ninh mạng... Open Source Security Information Managerment OSSIM: l
Trang 1Nhóm SV thực hiện:
1 Ngô Văn Thỉnh.
2 Phạm Công Lý.
3 Lê Văn Minh.
4 Nguyễn Văn Hoàng.
Trang 2Giới thiệu chung về SIEM & OSSIM
Trang 3 Sự phát triển của hệ thống mạng đã đề ra một số nhu cầu:
• Đảm bảo an toàn các thiết bị.
• Quản lý thông tin và sự kiện.
• Hệ thống vận hành tốt và an toàn.
IDS/IPS
• Hoạt động riêng lẻ.
• Không quản lý tập trung.
• Không có sự tương quan liên kết sự kiện an ninh.
• Đảm bảo tuân thủ an ninh còn hạn chế.
Quản lý tập trung sự kiện an ninh mạng
Trang 5Thu thập thông tin Log
Chuẩn hóa thông tin sự kiện an ninh
Phân tích tương quan sự kiện an ninh
Trang 6Open Source Security Information Managerment (OSSIM): là một mã nguồn mở quản lý thông tin và sự kiện an ninh bao gồm tập hợp các công
cụ được thiết kế để trợ giúp các nhân viên quản trị phát hiện và phòng chống xâm nhập.
Trang 7• Giám sát tập trung các thiết bị trong mạng.
• Thu thập các thông tin từ các sensor như snort, ARPwatch, Ntop,…
• Đọc các thông tin cảnh báo từ các loại thông tin hiện nay như CheckPoint, RealSecure, server Unix
• Phân tích đánh giá mức độ an ninh và rủi ro của các sự kiện an toàn thông tin
• Phát hiện xâm nhập chính xác
• Dễ cài đặt và sử dụng => tiết kiệm nhân lực cho quản trị
• Lưu trữ thông tin dài hạn cho điều tra
Trang 9Kiến trúc OSSIM
Thu thập thông tin, chuẩn hóa và đánh giá rủi ro cho hệ thống, phân loại các loại tập tin,
các dấu hiệu bất thường cho hệ thống… sẽ được gửi lên framework để phân loại hành
động và mức độ cảnh báo cho hệ thống…và database để lưu trữ các sự kiện, các thông
tin cho hệ thống qua port 3306
Trang 10Kiến trúc OSSIM
Quản lý các thành phần OSSIM và kết nối chúng lại với nhau Cung cấp giao diện web,
Quản lý cấu hình thành phần OSSIM và truyền thông.
Cơ sở dữ liệu lưu trữ các sự kiện, các thông tin hữu ích cho việc quản lý của hệ thống
Nó là cơ sở dữ liệu SQL
Trang 11Kiến trúc OSSIM
Thu thập log bằng cách nào?
Tính toán rủi ro theo CT nào?
Tương quan sự kiện?
Trang 12Network / Security
Host / OS/ Application
Trang 14ĐA NỀN TẢNG Linux, Solaris,
Windows, Mac,
QUẢN LÝ LOG
TÍCH HỢP vào cơ sở hạ tầng hiện có (SIM/SEM)
CẢNH BÁO THỜI GIAN THỰC
Có khả năng tùy biến
KIỂM TRA TÍNH TOÀN VẸN
QUẢN LÝ TẬP TRUNG Thông qua một server quản lý chính
sách cho các máy trạm khác nhau
Trang 15Kiến trúc OSSIM
Tính toán rủi ro theo CT nào?
Tương quan sự kiện?
Trang 16RISK OF THE EVENT(0-10) =
[ASSET VALUE(0-5)*PRIORITY(0-5)*RELIABILITY(0-10)] /25
Trong đó:
• ASSET VALUE: Giá trị của tài sản
• PRIORITY: Độ ưu tiên cho từng sự kiện an ninh (Default = 1)
• RELIABILITY: Độ tin cậy của sự kiện an ninh (Default = 1)
• RISK OF THE EVENT: Mức độ rủi ro của sự kiện an ninh
Trang 17Tương quan sự kiện (Correlation)
Là sự xem xét nhiều sự kiện có mối liên hệ liên quan với nhau để đưa ra quyết định thông báo hay không
Ví dụ: CPU hoạt động 100%
Sự kiện liên quan:
• Có tồn tại virus hay không?
• Có ứng dụng bị treo hay không?
• Có sự gia tăng lưu lượng mạng hay không?
Trang 19Ngoài các thiết bị phần cứng như switch, router, AP, dây cáp, các máy trạm, hạ tầng mạng nói chung Các phần mềm, các tệp tin, các dữ liệu của Học viện được lưu trữ trên các máy chủ Ta cần chú ý một số thiết bị sau:
• 1 Firewall
• 3 Máy chủ nội bộ
• Các máy chủ dịch vụ DMZ: web, mail, fpt
Là những thiết bị thiết yếu dễ bị tấn công
Trang 20• Các tấn công vào khu vực DMZ khi mà các vùng đó chạy dịch vụ: web, mail, DNS.
• Các tấn công tới người dùng (Social engineering) trong mạng
• Tấn công vào mạng LAN của Học viện:
• Tấn công nghe trộm trên đường truyền
• Tấn công vào từ chối dịch vụ vào hệ thống mạng văn phòng của các phòng, ban
• Tấn công bằng mã độc vào hệ thống mạng thông qua người dung hoặc các phương tiện khác
• Xâm nhập vật lý tới các thiết bị cụ thể của hệ thống,
Trang 23Firewall ASA5520-BUN-K9 cuả Cisco
• Có nhiệm vụ quản lý lưu lượng và các truy cập mạng giữa các khu vực LAN, Management và DMZ
• Cisco ASA 5520 tích hợp cả IDS/IPS nên được sử dụng để cài đặt IDS/IPS luôn cho khu vực DMZ, LAN nhằm phát hiện những dấu hiệu tấn công vào các khu vực này
Trang 24OSSIM Server:
• OS: Debian Linux
• CPU: E5620 2.4GHz – 4 Cores / 8 threads
Trang 25Mục đích: đăng nhập chiếm quyền điều khiển Phương pháp chủ yếu:
• Quét cổng trực tiếp bằng Nmap
• Lần theo tuyến traceroute
• Lấy banner (banner grabbing)
Trang 27• Máy trạm dính virus, Trojan,…
• Nhân viên bị tấn công socail engineering
…
Trang 29INTERNET