Tìm hiểu và xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ SIEM

+ Tấn công từ chối dịch vụ cổ điển Tấn công từ chối dịch vụ cổ điển DoS là một phương pháp tấn công từ chối dịch vụ xuất hiện đầu tiên với các kiểu tấn công như Smurf Attack, Tear Drop,

TÔN ĐỨC CƯỜNG

TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Thái Nguyên, năm 2016

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

NGƯỜI HƯỚNG DẪN KHOA HỌC

TS TRẦN ĐỨC SỰ

Thái Nguyên, năm 2016

LỜI CAM ĐOAN Tôi là: Tôn Đức Cường

Giáo viên hướng dẫn: TS Trần Đức Sự

Tôi xin cam đoan luận văn “Tìm hiểu và xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ SIEM” này là công trình nghiên cứu của riêng tôi Các

số liệu sử dụng trong luận văn là trung thực Các kết quả nghiên cứu được trình bày trong luận văn chưa từng được công bố tại bất kỳ công trình nào khác

Thái Nguyên, ngày 21 tháng 09 năm 2016

Tôn Đức Cường

LỜI CẢM ƠN

Sau hơn 6 tháng nỗ lực tìm hiểu, nghiên cứu và thực hiện luận văn Cao học với

nội dung “Tìm hiểu và xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ SIEM” đã cơ bản hoàn thành Ngoài sự nỗ lực của bản thân, tôi còn nhận được

rất nhiều sự quan tâm, giúp đỡ của các thầy cô trường Đại học Công nghệ thông tin

và Truyền thông, Viện Công nghệ thông tin để tôi hoàn thành tốt luận văn của mình Trước hết tôi xin gửi lời cảm ơn chân thành đến các thầy cô trường Đại học Công nghệ thông tin và Truyền thông – Đại học Thái Nguyên, các thầy cô là các giáo sư, tiến sỹ công tác tại Viện Công nghệ thông tin đã truyền đạt những kiến thức quý báu trong suốt thời gian học thạc sỹ tại trường Đặc biệt, tôi xin gửi lời cảm ơn tới thầy

giáo TS Trần Đức Sự đã tận tình hướng dẫn và chỉ bảo trong suốt thời gian làm luận

văn Bên cạnh đó tôi cũng xin gửi lời cảm ơn tới lãnh đạo trường Cao đẳng Thương mại và Du lịch nơi tôi công tác đã tạo tạo điều kiện, giúp đỡ tôi cùng một số trang thiết bị hỗ trợ thử nghiệm cho công cụ đã xây dựng

Do thời gian, kiến thức và các trang thiết bị còn hạn chế, luận văn chưa thực nghiệm được nhiều, kết quả đạt được chỉ mang tính chất thử nghiệm, rất mong nhận được sự góp ý từ phía thầy cô, bạn bè để bản luận văn của tôi được hoàn thiện hơn

Thái Nguyên, tháng 07 năm 2016

HỌC VIÊN

Tôn Đức Cường

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC TỪ VIẾT TẮT iv

DANH MỤC HÌNH VẼ v

LỜI NÓI ĐẦU 1

CHƯƠNG 1 TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG MẠNG 3

1.1 T ẤN CÔNG TRONG MẠNG MÁY TÍNH 3

1.1.1 Khái niệm về tấn công mạng 3

1.1.2 An toàn mạng 3

1.1.3 Lỗ hổng bảo mật 4

1.1.4 Các kiểu tấn công mạng phổ biến 5

1.1.5 Mô hình tấn công mạng 9

1.1.6 Một số dấu hiệu phát hiện hệ thống bị tấn công 12

1.2 H Ệ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS 13

1.2.1 Hệ thống phát hiện xâm nhập IDS 13

1.2.2 Network-based IDS 13

1.2.3 Host-based IDS 15

1.2.4 Hệ thống ngăn chặn xâm nhập IPS 17

1.3 H Ệ THỐNG GIÁM SÁT AN NINH MẠNG 18

1.3.1 Giới thiệu hệ thống giám sát an ninh mạng 18

1.3.2 Mô hình giám sát an ninh mạng 18

1.3.3 Các công nghệ giám sát an ninh mạng 20

CHƯƠNG 2 PHÁT HIỆN TẤN CÔNG MẠNG VỚI CÔNG NGHỆ SIEM 22

2.1 G IỚI THIỆU VỀ CÔNG NGHỆ S IEM 22

2.1.1 Quản lý nhật ký sự kiện an ninh 25

2.1.2 Tuân thủ các quy định về CNTT 26

2.1.3 Tương quan liên kết các sự kiện an ninh 26

2.1.4 Cung cấp các hoạt động ứng phó 27

2.1.5 Đảm bảo an ninh thiết bị đầu cuối 27

2.2 T HÀNH PHẦN VÀ HOẠT ĐỘNG CỦA S IEM 27

2.2.1 Thiết bị Nguồn 28

2.2.2 Thu thập Log 30

2.2.3 Chuẩn hóa và tổng hợp sự kiện an ninh 32

2.2.4 Tương quan sự kiện an ninh 33

2.2.5 Lưu trữ Log 36

2.2.6 Giám sát và cảnh báo 37

2.3 M ỘT SỐ HỆ THỐNG TRIỂN KHAI S IEM 39

2.3.1 MARS 39

2.3.2 IBM Qradar 39

2.3.3 Splunk 40

2.3.4 AlienVault OSSIM 41

CHƯƠNG 3 XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM VỚI MÃ NGUỒN MỞ ALIENVAULT OSSIM 42 3.1 M ỤC TIÊU XÂY DỰNG CÔNG CỤ 42

3.2 H Ệ THỐNG VÀ MÔ HÌNH PHÁT HIỆN TẤN CÔNG MẠNG 42

3.2.1 Hệ thống mã nguồn mở AlienVault OSSIM 42

3.2.2 Một số chức năng chính của AlienVault OSSIM 43

3.2.3 Mô hình tổng quan hệ thống phát hiện tấn công mạng dựa trên công nghệ Siem sử dụng công cụ AlienVault OSSIM 44

3.3 T RIỂN KHAI XÂY DỰNG 46

3.3.1 Triển khai OSSIM vào hệ thống mạng 46

3.3.2 Một số công cụ được sử dụng trong OSSIM 46

3.3.3 Đánh giá rủi ro 48

3.3.4 Chuẩn hóa log 48

3.3.5 Xây dựng luật trong Ossim 51

3.4 T HỬ NGHIỆM VÀ KẾT QUẢ 53

3.4.1 Mô hình thử nghiệm thực tế 53

3.4.2 Tấn công thăm dò 54

3.4.3 Tấn công đăng nhập 57

3.4.4 Tấn công từ chối dịch vụ 60

3.4.5 Tấn công vào hệ quản trị cơ sở dữ liệu SQL 62

3.4.6 Đánh giá, kết quả 64

KẾT LUẬN 65

TÀI LIỆU THAM KHẢO 66

DANH MỤC TỪ VIẾT TẮT

04 Drdos Distributed Reflection Denial of Service

05 IDS Intrusion Detection Systems (Phát hiện xâm

nhập)

06 NIDS Network-based Intrusion Detection Systems

07 HIDS Host-based Intrusion Detection Systems

DANH MỤC HÌNH VẼ

Hình 1.1: Mô hình tấn công phân tán 10

Hình 1.2: Các bước tấn công mạng 10

Hình 1.3: Mô hình triển khai hệ thống NIDS 14

Hình 1.4: Mô hình hệ thống HIDS 16

Hình 1.5: Mô hình giám sát an ninh mạng dạng phân tán 19

Hình 1.6: Mô hình giám sát an ninh mạng dạng độc lập 19

Hình 1.7: Giao diện web của một phần mềm NMS 20

Hình 2.1: Hệ thống phát hiện tấn công mạng 24

Hình 2.2: Mô tả chuẩn hóa sự kiện 33

Hình 2.3: Sự kiện an ninh theo thời gian thực 35

Hình 2.4: Giao diện Web của Splunk 40

Hình 2.5: Báo cáo của AlienVault OSSIM 41

Hình 3.1: Mô hình hoạt động của OSSIM .43

Hình 3.2: Mô hình tổng quan phát hiện tấn công mạng 44

Hình 3.3: Quản lý sự kiện theo thời gian thực 52

Hình 3.4: Mô hình thử nghiệm thực tế 53

Hình 3.5: Phần mềm Nmap 56

Hình 3.6: Cảnh báo tấn công quét cổng 56

Hình 3.7: Chi tiết cảnh báo tấn công quét cổng 57

Hình 3.8: Các sự kiện tương quan cho cảnh báo quét cổng 57

Hình 3.9: Kết nối tới máy chủ Web bằng dịch vụ Remote desktop 59

Hình 3.10: Cảnh báo tấn công đăng nhập 59

Hình 3.11: Các sự kiện tương quan cho cảnh báo đăng nhập 60

Hình 3.12: Công cụ tấn công từ chối dịch vụ 61

Hình 3.13: Cảnh báo có tấn công dos từ ip nội bộ 62

Hình 3.14: Tấn công SQL injection 63

Hình 3.15: Cảnh báo cho tấn công SQL injection 64

LỜI NÓI ĐẦU

Hiện nay với sự phát triển mạnh mẽ của khoa học kỹ thuật nói chung và công nghệ thông tin nói riêng, việc ứng dụng công nghệ thông tin, Internet ngày càng trở lên phổ biến trong đời sống hằng ngày cũng như trong hầu hết các lĩnh vực Song song với sự phát triển đó là hàng loạt các nguy cơ về mất an toàn thông tin Trong những năm gần đây, các website trên internet, cũng như dữ liệu của cá cá nhân, tổ chức, chính phủ … đã bị nhiều đợt tấn công của tội phạm mạng Có rất nhiều các website, hệ thống mạng bị ngừng hoạt động trong nhiều giờ, nhiều dữ liệu quan trọng

bị đánh cắp Những vụ tấn công đã gây ra thiệt hại nghiêm trọng và có tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Vấn đề đảm bảo an toàn thông tin luôn được các cơ quan, tổ chức đặt lên hàng đầu Tuy nhiên hàng năm các

vụ tấn công mạng vẫn liên tục gia tăng mà chưa có biện pháp khắc phục hiệu quả

Để có thể đảm bảo tốt nhất cho hệ thống mạng tránh khỏi những đợt tấn công đó

là chủ động phát hiện các tấn công và đưa ra những phản ứng thích hợp Để làm được như vậy cần phải có một hệ thống có khả năng giám sát toàn bộ các hành động ra vào

và những bất thường bên trong hệ thống mạng cần bảo vệ, có một vấn đề là các công

cụ bảo vệ hệ thống được triển khai ở nước ta hầu hết đều mua của nước ngoài với giá thành rất cao đây là một khó khăn lớn đối với các tổ chức vừa và nhỏ Mặt khác vì là sản phẩm thương mại nên công nghệ và kỹ thuật của các hệ thống đó luôn luôn được giữ kín vì thế mỗi khi phát sinh các dạng tấn công mới, các nhà quản trị trong nước không thể tự phát triển mở rộng được

Để giảm bớt khó khăn cho các cơ quan, tổ chức vừa và nhỏ trong việc giám sát

và bảo vệ hệ thống mạng một cách hiệu quả Tôi đã chọn đề tài “Tìm hiểu và xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ Siem” dưới sự hướng

dẫn của TS Trần Đức Sự

Sau phần mở đầu, nội dung chính của luận văn đi vào tìm hiểu các phương pháp tấn công mạng, kỹ thuật phát hiện tấn công và công nghệ quản lý thông tin và sự kiện an ninh Luận văn gồm 3 chương như sau:

Chương 1: Tổng quan về tấn công và phát hiện tấn công mạng Khái quát về

tình hình an ninh mạng, các kiểu tấn công mạng phổ biến, đi sâu tìm hiểu về hệ thống phát hiện tấn công, mô hình giám sát an ninh mạng đang được áp dụng

Chương 2: Kỹ thuật phát hiện tấn công mạng với công nghệ Siem Phân tích

thành phần và cách thức hoạt động của Siem Một số phần mềm ứng dụng công nghệ Siem

Chương 3: Xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ Siem

Đưa ra mô hình hệ thống giám sát, phát hiện tận công thực tế Xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ Siem

Cuối cùng là phần đánh giá, kết luận và hướng phát triển của đề tài

CHƯƠNG 1 TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN

TẤN CÔNG MẠNG 1.1 Tấn công trong mạng máy tính

1.1.1 Khái niệm về tấn công mạng

Tấn công mạng là hoạt động có chủ ý của kẻ phạm tội lợi dụng các lỗ hổng của

hệ thống thông tin và tiến hành phá vỡ tính sẵn sàng, tính toàn vẹn và tính bí mật của

hệ thống thông tin

An toàn mạng có thể hiểu là cách bảo vệ nhằm đảm bảo an toàn cho tất cả các thành phần của mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định

và với chỉ những người có thẩm quyền tương ứng

An toàn mạng thường bao gồm: Xác định chính xác các khả năng, nguy cơ xâm nhập mạng, các sự cố rủi ro đối với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng

- Các kiểu vi phạm an toàn mạng

Các lỗ hổng về an toàn và bảo mật của hệ thống là những tình huống có khả năng gây mất mát và tổn hại hệ thống Có 4 hiểm họa đối với an toàn hệ thống là: Sự phá hoại, sự sửa đổi, sự can thiệp và sự giả mạo

+ Sự phá hoại: Tài nguyên của hệ thống sẽ bị mất đi, không ở trạng thái sẵn sàng hoặc không thể sử dụng được Cố ý phá hoại các thiết bị phần cứng, xóa bỏ file dữ liệu, chương trình hoặc làm sai chức năng quản lý của hệ điều hành để nó không thể tìm ra được file cụ thể trên đĩa

+ Sự can thiệp: đối tượng không được phép có thể truy cập vào hệ thống sử dụng tài nguyên hệ thống hoặc sao chép chương trình, sao chép dữ liệu trái phép + Sự sửa đổi: Thay đổi giá trị cơ sở dữ liệu, sửa đổi chương trình làm chương trình không hoạt động đúng với chức năng được thiết kế, thay đổi dữ liệu đang truyền qua phương tiện điện tử

+ Sự giả mạo: Giả mạo những đối tượng hợp pháp trong hệ thống, đưa ra giao dịch giả vào mạng truyền thông, thêm dữ liệu vào cơ sở dữ liệu hiện có

- Các mục tiêu an toàn mạng

Đảm bảo an toàn mạng là nhằm mục đích đảm bảo cho tính đúng đắn, độ tin cậy cao nhất của thông tin được xử lý, đồng thời bảo vệ được các thông tin được lưu trữ trong các cơ sở dữ liệu và thông tin lưu chuyển trên mạng Một hệ thống được xem

là an toàn chỉ có sự kết hợp của ba đặc tính: Tính bảo mật, tính toàn vẹn và tính sẵn sàng của tài nguyên mạng và các dịch vụ mạng Vấn đề an toàn thông tin còn thể hiện qua mối quan hệ giữa người sử dụng với hệ thống mạng và tài nguyên mạng Các quan hệ này được đảm bảo bằng các phương thức xác thực, cấp phép sử dụng và từ chối phục vụ [1]

+ Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng

+ Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc + Tính sẵn sàng: Thông tin phải luôn sãn sàng để tiếp cận, phục vụ theo đúng mục đích và đúng cách

+ Tính chính xác: Thông tin phải có độ chính xác và tin cậy

+ Tính không khước từ: Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin

là không thể tránh khỏi Đây là những lỗ hổng nằm ủ mình trong hệ thống phần mềm, đợi đến khi bị phát hiện Khi đó, chúng có thể được dùng để tấn công vào hệ thống Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng cũng có thể nằm ở các dịch vụ cung cấp như sendmail, web, ftp Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows, UNIX; hoặc trong các ứng dụng mà người sử dụng thương xuyên sử dụng [1]

Phân loại lỗ hổng bảo mật :

- Lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo Dos Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống.Không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp

- Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền trên

hệ thống mà không cần thực hiện kiểm tra tính hợp lệ Mức độ nguy hiểm trung bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật

- Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ

hệ thống Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng

1.1.4 Các kiểu tấn công mạng phổ biến

- Tấn công thăm dò

Kiểu tấn công thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống Việc thăm dò được thăm dò theo các bước thăm dò thụ động (thu thập các thông tin được công khai) và thăm dò chủ động(sử dụng các công

cụ để tìm kiếm thông tin trên máy tính của nạn nhân) Thăm dò nó cũng là một giai đoạn tấn công, trong giai đoạn này mục đích của người tấn công là thu thập mọi thông tin của hệ thống, tìm kiếm các lỗ hổng để thực hiện các giai đoạn tấn công tiếp theo

- Nghe trộm (Eavesdropping)

Nhìn chung, phần lớn các thông tin liên lạc mạng diễn ra ở dạng rõ (cleartext) - định dạng không bảo đảm an toàn, cho phép kẻ tấn công có thể can thiệp vào dữ liệu trên mạng như nghe lén, chỉnh sửa nội dung thông tin Nếu không có các dịch vụ

mã hóa mạnh mẽ dựa trên mật mã, dữ liệu trên mạng có thể bị đọc bởi những kẻ có

ý đồ xấu và gây ra tổn thất lớn cho cá nhân cũng như các tổ chức

Việc nghe trộm thông tin trên đường truyền có thể được thực hiện bằng việc cài keylog, phần mềm chặn bắt gói tin, phân tích giao thức hay thậm chí là các thiết bị phần cứng hỗ trợ việc “lắng nghe” các thông tin liên lạc trên mạng

- Tấn công truy cập

Tấn công truy cập là kiểu tấn công giúp người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền hay đơn giản chỉ là truy cập vào hệ thống

+ Tấn công truy cập hệ thống: Người tấn công thường tìm kiếm quyền truy cập đến một thiết bị bằng cách chạy một đoạn mã, bằng những công cụ hỗ tợ (Hacking tool) hoặc là khai thác một điểm yếu của ứng dụng hay một dịch vụ đang chạy trên máy chủ

+ Tấn công truy cập thao túng dữ liệu: Thao túng dữ liệu xuất hiện khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu

+ Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền là một dạng tấn công phổ biến Bằng cách nâng cao đặc quyền, kẻ xâm nhập có thể truy cập vào các files hay folder dữ liệu mà tài khoản người sử dụng ban đầu không được cho phép truy cập Khi kẻ xâm nhập đạt được mức độ quyền truy cập đủ cao, họ có thể cài đặt phần mềm như là backdoors và Trojan horses, cũng như cho phép truy cập sâu hơn

và thăm dò Mục đích chung là chiếm được quyền truy cập ở mức độ quản trị Khi đã đạt được mục đích đó, họ có toàn quyền điều khiển hệ thống mạng

- Tấn công từ chối dịch vụ

Đây là cách tấn công làm cho hệ thống bị tấn công quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt động của hệ thống hoặc hệ thống phải nhưng hoạt động

Tùy theo phương thức thực hiện mà mà nó được biết dưới nhiều tên gọi khác nhau Mục đích là lợi dụng sự yếu kém của giao thức TCP (Transmision control protocol)

để thực hiện tấn công tưg chối dịch vụ Dos (Denial of Service), mới hơn là tấn công

từ chối dịch vụ phân tán Ddos, mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ Drdos

+ Tấn công từ chối dịch vụ cổ điển

Tấn công từ chối dịch vụ cổ điển DoS là một phương pháp tấn công từ chối dịch

vụ xuất hiện đầu tiên với các kiểu tấn công như Smurf Attack, Tear Drop, SYN Attack… Các kiểu tấn công này thường được áp dụng đối với đối tượng tấn công là

hệ thống máy chủ bảo mật kém, băng thông (bandwidth) yếu, thậm chí trong nhiều trường hợp, đối tượng tin tặc có thể sử dụng đường truyền có tốc độ vừa phải cũng

có thể thực hiện thành công các kiểu tấn công này

Tear drop: Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset định để xác định vị trí của mảnh

đó trong gói dữ liệu được chuyển đi Khi các mảnh này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các mảnh lại với nhau theo thứ tự đúng như ban đầu Lợi dụng sơ hở đó, ta chỉ cần gởi đến hệ thống đích một loạt gói packets với giá trị offset chồng chéo lên nhau Hệ thống đích sẽ không thể nào sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash, reboot hoặc ngừng hoạt động nếu số lượng gói packets với giá trị offset chồng chéo lên nhau quá lớn

SYN Attack: Trong SYN Attack, hacker sẽ gởi đến hệ thống đích một loạt SYN packets với địa chỉ ip nguồn không có thực Hệ thống đích khi nhận được các SYN packets này sẽ gởi trở lại các địa chỉ không có thực đó và chờ đợi để nhận thông tin phản hồi từ các địa chỉ ip giả Vì đây là các địa chỉ IP không có thực, nên hệ thống đích sẽ sẽ chờ đợi vô ích và còn đưa các “request” chờ đợi này vào bộ nhớ, gây lãng phí một lượng đáng kể bộ nhớ trên máy chủ mà đúng ra là phải dùng vào việc khác thay cho phải chờ đợi thông tin phản hồi không có thực này Nếu ta gởi cùng một lúc

nhiều gói tin có địa chỉ IP giả như vậy thì hệ thống sẽ bị quá tải dẫn đến bị crash hoặc boot máy tính

Smurf Attack: Trong Smurf Attack, hacker sẽ gởi các gói tin ICMP đến địa chỉ broadcast của mạng khuếch đại Điều đặc biệt là các gói tin ICMP packets này có địa chỉ ip nguồn chính là địa chỉ IP của nạn nhân Khi các packets đó đến được địa chỉ broadcast của mạng khuếch đại, các máy tính trong mạng khuếch đại sẽ tưởng rằng máy tính nạn nhân đã gởi gói tin ICMP packets đến và chúng sẽ đồng loạt gởi trả lại

hệ thống nạn nhân các gói tin phản hồi ICMP packets Hệ thống máy nạn nhân sẽ không chịu nổi một khối lượng khổng lồ các gói tin này và nhanh chóng bị ngừng hoạt động, crash hoặc reboot

UDP Flooding: Cách tấn công UDP đòi hỏi phải có 2 hệ thống máy cùng tham gia Hackers sẽ làm cho hệ thống của mình đi vào một vòng lặp trao đổi các dữ liệu qua giao thức UDP Và giả mạo địa chỉ IP của các gói tin là địa chỉ loopback (127.0.0.1) , rồi gởi gói tin này đến hệ thống của nạn nhân trên cổng UDP echo (7)

Hệ thống của nạn nhân sẽ trả lời lại các messages do 127.0.0.1 (chính nó) gửi đến, kết quả là nó sẽ đi vòng một vòng lặp vô tận Tuy nhiên, có nhiều hệ thống không cho dùng địa chỉ loopback nên hacker sẽ giả mạo một địa chỉ IP của một máy tính nào đó trên mạng nạn nhân và tiến hành ngập lụt UDP trên hệ thống của nạn nhân Tấn công DNS: Hacker có thể đổi một lối vào trên Domain Name Server của hệ thống nạn nhân rồi cho chỉ đến một website nào đó của hacker Khi máy khách yêu cầu DNS phân tích địa chỉ bị xâm nhập thành địa chỉ IP, lập tức DNS (đã bị hacker thay đổi cache tạm thời) sẽ đổi thành địa chỉ IP mà hacker đã cho chỉ đến đó Kết quả

là thay vì phải vào trang Web muốn vào thì các nạn nhân sẽ vào trang Web do chính hacker tạo ra Một cách tấn công từ chối dịch vụ thật hữu hiệu

+ Tấn công từ chối dịch vụ phân tán DDos:

Tấn công từ chối dịch vụ phân tán DDoS, so với tấn công DoS cổ điển, sức mạnh tăng gấp nhiều lần Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch hệ thống, dẫn đến ngưng hoạt động hệ thống Để thực hiện DDoS, người tấn công tìm cách chiếm dụng và điều khiển nhiều máy

tính/mạng máy tính trung gian được gọi là botnet từ nhiều nơi để đồng loạt gửi ào ạt các gói tin với số lượng rất lớn nhằm chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó

+ Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS:

Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDoS lại là kiểu tấn công mới nhất, mạnh nhất trong các kiểu tấn công DoS Trong suốt quá trình máy chủ bị tấn công bằng DRDoS, không một máy khách nào có thể kết nối được vào máy chủ đó Tất cả các dịch vụ chạy trên nền TCP/IP như DNS, HTTP, FTP, POP3 đều bị vô hiệu hóa Về cơ bản, DRDoS là sự phối hợp giữa hai kiểu DoS và DDoS Nó có kiểu tấn công SYN với một máy tính đơn, vừa có sự kết hợp giữa nhiều máy tính để chiếm dụng băng thông như kiểu DDoS Kẻ tấn công thực hiện bằng cách giả mạo địa chỉ của máy chủ mục tiêu rồi gửi yêu cầu SYN đến các máy chủ lớn như Yahoo, Microsoft, Google để các máy chủ này gửi các gói tin SYN/ACK đến máy chủ mục tiêu Quá trình cứ lặp lại liên tục với nhiều máy chủ lớn tham gia nên máy chủ mục tiêu nhanh chóng bị quá tải, băng thông (bandwitch) bị chiếm dụng bởi máy chủ lớn, dẫn đến máy chủ mục tiêu không thể hoạt động bình thường

- Giả mạo (Spoofing)

Hầu hết các mạng và hệ điều hành sử dụng địa chỉ IP để xác nhận một đối tượng

là hợp lệ Trong một số trường hợp, một địa chỉ IP có thể bị giả mạo, kẻ tấn công cũng có thể sử dụng những chương trình đặc biệt để xây dựng các gói tin IP có vẻ như xuất phát từ những địa chỉ hợp lệ thuộc mạng nội bộ của một công ty Sau khi đoạt được quyền truy cập vào mạng bằng IP hợp lệ, kẻ tấn công có thể thực hiện các

ý đồ xấu như sửa đổi, định tuyến lại hay xóa dữ liệu hệ thống

1.1.5 Mô hình tấn công mạng

- Mô hình tấn công truyền thống

Mô hình tấn công truyền thống là mô hình tấn công xuất phát từ một nguồn từ một đến một hoặc từ một đến nhiều Có nghĩa là cuộc tấn công xảy ra từ một nguồn gốc

- Mô hình tấn công phân tán

Mô hình tấn công phân tán sử dụng quan hệ “nhiều đến một” và “nhiều đến nhiều” Tấn công phân tán dựa trên các cuộc tấn công cổ điển thuộc nhóm từ chối dịch vụ, chính xác hơn là dựa trên các cuộc tấn công như Flood hay Storm (Những thuật ngữ trên có thể hiểu tương tự như “bão”, “Lũ lụt” hay “Thác tràn”)

Hình 1.1: Mô hình tấn công phân tán

- Các bước tấn công mạng

Hình 1.2: Các bước tấn công mạng

Xác định mục tiêu tấn công

Thu thập thông tin, tìm lỗ hổng

Lựa chọn mô hình tấn công, xây dựng công cụ

Thực hiện tấn công

Xóa dấu vết (Nếu cần)

Các kiểu tấn công có nhiều hình thức khác nhau, nhưng thông thường đều thực hiện qua các bước như sau:

+ Xác định mục tiêu tấn công: Xác định rõ mục tiêu tấn công, nơi chuẩn bị tấn công

+ Thu thập thông tin và tìm lỗ hổng: Khảo sát thu thập thông tin về hệ thống chuẩn bị tấn công bằng nhiều hình thức Sau khi đã thu thập thông tin, người tấn công

sẽ dò tìm những thông tin về lỗ hổng bảo mật của hệ thống dựa trên những thông tin

đã thu thập được, phân tích điểm yếu của hệ thống mạng, sử dụng các công cụ hỗ trợ

dò quét, tìm lỗi trên hệ thống đó

+ Lựa chọn mô hình tấn công và công cụ: Khi đã có được những điểm yếu của

hệ thống mạng, người tấn công sẽ sử dụng các mô hình phù hợp, lựa chọn một công

cụ hoặc tự xây dựng một công cụ để tấn công vào hệ thống

+ Thực hiện tấn công: Sửa dụng các công cụ hỗ trợ, áp dụng mô hình tấn công

đã lựa chọn và các lỗ hổng hệ thống tiến hành tấn công vào hệ thống, Sau khi đã tấn công thành công, khai thác được lỗ hổng của hệ thống Người tấn công sẽ thực hiện việc duy trì với mục đích khai thác và tấn công trong tương lai gần Người tấn công

có thể sử dụng những thuật như mở cửa sau (backdoor) hoặc cài đặt một trojan để nhằm mục đích duy trì sự xâm nhập của mình Việc duy trì và làm chủ một hệ thống tạo cho kẻ tấn công có đủ những điều kiện để khai thác, phục vụ những nhu cầu về thông tin Ngoài ra hệ thống mạng này khi bị chiếm quyền điều khiển cũng sẽ trở thành nạn nhân của một hệ thống botnet được sử dụng trong các cuộc tấn công khác

Ví dụ như tấn công từ chối dịch vụ đến một hệ thống khác

+ Xóa dấu vết: Khi đã tấn công thành công một hệ thống, người tấn công sẽ

cố gắng duy trì sự xâm nhập Sau đó người tấn công phải làm sao xóa hết dấu vết để không bị phát hiện hoặc không còn chứng cứ pháp lý Người tấn công có thể xóa các tập tin log, xóa các cảnh báo từ hệ thống phát hiện xâm nhập Ở các giai đoạn thu thập thông tin và dò tìm lỗ hổng trong bảo mật, người tấn công thường làm lưu lượng trong mạng thay đổi khác với lúc bình thường rất nhiều, đồng thời tài nguyên hệ thống

bị ảnh hưởng đáng kể

Những dấu hiệu này rất có ích cho người quản trị mạng có thể phân tích và đánh giá tình hình hoạt động của hệ thống mạng Hầu hết các cuộc tấn công đều tiến hành tuần tự như các bước đã nêu trên Làm sao để biết hệ thống mạng đang bị tấn công, xâm nhập ngay từ hai bước đầu tiên là hết sức quan trọng

1.1.6 Một số dấu hiệu phát hiện hệ thống bị tấn công

- Kiểm tra các dấu hiệu hệ thống bị tấn công: Hệ thống thường bị treo hoặc thường xuyên xuất hiện những thông báo lỗi không rõ ràng Khó xác định nguyên nhân do thiếu thông tin liên quan Trước tiên, xác định các nguyên nhân có phải do phần cứng hay không, nếu không phải rất có thể hệ thống đã bị tấn công [1]

- Kiểm tra tài khoản người dùng mới trên hệ thống: Một số tài khoản lạ, nhất là

ID của tài khoản đó bằng 0

- Kiểm tra sự xuất hiện các tập tin lạ Thông thường phát hiện sự xuất hiện các tập tin lạ thông qua cách đặt tên các tập tin Người quản trị hệ thống cần có thói quen đặt tên các tập tin theo quy luật nhất định để dễ đang kiểm soát và phát hiện các tập tin lạ

- Kiểm tra thời gian thay đổi trên hệ thống, đặc biệt là các chương trình login

- Kiểm tra hiệu năng của hệ thống: Sử dụng các tiện ích theo dõi tài nguyên và các tiến trình đang hoạt động trên hệ thống

- Kiểm tra hoạt động của các dịch vụ mà hệ thống cung cấp: Một trong các mục đích tấn công là làm cho tê liệt hệ thống, hình thức tấn công Dos Sử dụng các tiện ích về mạng để phát hiện nguyên nhân trên hệ thống

- Kiểm tra truy cập hệ thống bằng các tài khoản thông thường, đề phòng trường hợp các tài khoản này bị truy cập trái phép và thay đổi quyền truy cập mà người sử dụng hợp pháp không kiểm soát được

- Kiểm tra các tệp tin có liên quan đến cấu hình mạng và dịch vụ Nên loại bỏ các dịch vụ không cần thiết Nếu không loại bỏ những dịch vụ này nên chạy dưới quyền root, không nên chạy bằng các quyền yếu hơn

Các biện pháp này kết hợp với nhau tạo nên một chính sách về bảo mật đối với

hệ thống

1.2 Hệ thống phát hiện và ngăn chặn xâm nhập IDS/IPS

1.2.1 Hệ thống phát hiện xâm nhập IDS

Do sự nguy hiển và tổn thất đến từ các cuộc tấn công mạng ngày càng gia tăng nên cần xây dựng một hệ thống phát hiện xâm nhập (IDS) để phát hiện các dấu hiệu bất thường, cảnh báo khi có biểu hiện bất thường và giám sát các hoạt động ra vào hệ thống để phân tích và ngăn chặn kịp thời

Intrusion Detection Systems (IDS) có thể là một thiết bị phần cứng (các thiết bị phát hiện xâm nhập của Cisco (Cisco IDSM-2 hoặc Cisco IPS 4200 Series Sensors)) hoặc cũng có thể là một ứng dụng phần mềm giúp giám sát máy tính, hệ thống mạng trước các hành động đe dọa đến hệ thống hoặc vi phạm chính sách an ninh và báo cáo lại cho người quản trị hệ thống Một hệ thống phát hiện xâm nhập cài đặt trên hệ thống mạng giống như một hệ thống cảnh báo chống trộm trong một ngôi nhà Một số hệ thống phát hiện xâm nhập còn kiêm luôn cả chức năng ngăn chặn các mối đe dọa đó tuy nhiên điều đó có thể không cần thiết và cũng không phải là chức năng chính của của một hệ thống phát hiện xâm nhập

Một hệ thống phát hiện xâm nhập cơ bản sẽ “xác định” các mối nguy hại, “ghi” lại thông tin về chúng và sau đó “báo cáo” lại các thông tin đó

IDS có thể được phân loại theo chức năng thành 2 loại là Network-based IDS và Host-based IDS Mỗi loại có một cách tiếp cận riêng biệt để theo dõi và bảo vệ dữ liệu và mỗi loại cũng có những ưu nhược điểm riêng

1.2.2 Network-based IDS

Hệ thống phát hiện xâm nhập dựa trên mạng hoạt động như một thiết bị độc lập trên mạng Nó thường được đặt ở các segment mạng hoặc các điểm kết nối giữa các vùng mạng khác nhau Nhờ đó nó có thể giám sát lưu lượng mạng từ nhiều host khác nhau trong vùng mạng đó NIDS có thể là một thiết bị phần cứng hoặc phần mềm

Về cấu trúc thì NIDS thường bao gồm một tập hợp các cảm biến (sensors) được đặt ở các điểm khác nhau trong hệ thống mạng Các cảm biến này sẽ thực hiện giám sát lưu lượng mạng, thực hiện phân tích cục bộ lưu lượng mạng đó và báo cáo

về cho trung tâm quản lý (Center Management Console)

Một số NIDS: Snort, Suricata, các NIDS của Cisco, Juniper

Ưu điểm của NIDS:

- Quản lý được cả một network segment (gồm nhiều host) Chi phí thấp vì có thể giám sát cả một hệ thống mạng lớn với chỉ vài thiết bị (mạng được thiết kế tốt)

- Phát hiện và đối phó kịp thời: NIDS phát hiện các cuộc tấn công ngay khi xảy

ra, vì thế việc cảnh báo và đối phó có thể thực hiện được nhanh hơn VD: một hacker thực hiện tấn công DoS dựa trên TCP có thể bị NIDS phát hiện và ngăn chặn ngay bằng việc gửi yêu cầu TCP reset nhằm chấm dứt cuộc tấn công trược khi nó xâm nhập

và phá vỡ máy bị hại

- Có tính độc lập với OS (Operating System)

- Phát hiện được các cuộc tấn công mà HIDS bỏ qua: Khác với HIDS, NIDS kiểm tra header của tất cả các gói tin vì thế nó không bỏ sót các dấu hiệu xuất phát từ đây

Ví dụ nhiều cuộc tấn công DoS, TearDrop (phân nhỏ) chỉ được phát hiện khi xem header của các gói tin lưu chuyền trên mạng

Hình 1.3: Mô hình triển khai hệ thống NIDS

Nhược điểm của NIDS:

- NIDS có thể gặp khó khăn trong việc xử lý tất cả các gói tin trên một mạng có kích thước lớn và mật độ lưu thông cao Điều này dẫn đến NIDS có thể sẽ không thể phát hiện ra một cuộc tấn công khi mạng đang ở trạng thái over-whelming (quá tải)

- Bị hạn chế bởi switch Trên các mạng chuyển mạch hiện đại, các switch được

sử dụng nhiều để chia mạng lớn thành các segment nhỏ để dễ quản lý Vì thế dẫn đến NIDS không thể thu thập được thông tin trong toàn hệ thống mạng Do chỉ kiểm tra trên segment mà nó kết nối trực tiếp nên nó không thể phát hiện tấn công trên một segment khác Vấn đề này dẫn đến việc tổ chức phải mua một số lượng lớn cảm biến nếu muốn bao phủ toàn hệ thống mạng của họ, làm tăng chi phí

- NIDS không thể phân tích được các thông tin đã bị mã hóa (SSL, SSH )

- Một số hệ thống NIDS có thể gặp khó khăn với dạng tấn công phân mảnh gói

dự liệu (fragmenting packets)

- NIDS không thể phân biệt được một cuộc tấn công thành công hay thất bại Nó chỉ có thể phân biệt được có một cuộc tấn công đã được khởi xướng Điều này nghĩa

là để biết được cuộc tấn công đó thành công hay thất bại người quản trị phải điều tra các máy chủ và xác định nó có bị xâm nhập hay không

1.2.3 Host-based IDS

Hệ thống phát hiện xâm nhập dựa trên máy chủ hoạt động trên một máy trạm đơn HIDS sẽ sử dụng các tài nguyên của máy chủ đó để theo dõi lưu lượng truy cập

và phát hiện các cuộc tấn công nếu có Bằng cách này HIDS có thể theo dõi được tất

cả các hoạt động trên host đó như tập tin log và những lưu lượng mạng ra vào host

đó Ngoài ra nó còn theo dõi hệ điều hành, lịch sử sổ sách, các thông điệp báo lỗi của máy chủ

Không phải hầu hết các cuộc tấn công đều thông qua hệ thống mạng, nên không phải lúc nào NIDS cũng có thể phát hiện được cuộc tấn công trên một host Ví dụ, kẻ tấn công có quyền physical access, từ đó có thể xâm nhập vào host đó mà không cần tạo ra bất cứ network traffic nào

Một ưu điểm của HIDS so với NIDS đó là nó có thể ngăn chặn các cuộc tấn công phân mảnh (Fragmentation Attacks) Bởi vậy nên HIDS thường được cài đặt trên các trên các máy chủ xung yếu của tổ chức, các server trong vùng DMZ (do là mục tiêu tấn công chính)

HIDS cũng thường theo dõi những gì thay đổi trên hệ thống như các thuộc tính của hệ thống tập tin, các thuộc tính (kích thước, vị trí, quyền…) của tập tin, phát hiện tập tin mới được tạo ra hay xóa đi

Một số HIDS: Symantec ESM, OSSEC, Tripwire

Ưu điểm của HIDS:

- Xác định được kết quả của cuộc tấn công: Do HIDS sử dụng dữ liệu log lưu các

sự kiện xảy ra, nó có thể biết được cuộc tấn công là thành công hay thất bại với độ chính xác cao hơn NIDS Vì thế, HIDS có thể bổ sung thông tin tiếp theo khi cuộc tấn công được sớm phát hiện với NIDS

- Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát các hoạt động mà NIDS không thể như: truy nhập file, thay đổi quyền, các hành động

Hình 1.4: Mô hình hệ thống HIDS

thực thi, truy nhập dịch vụ được phân quyền Đồng thời nó cũng giám sát các hoạt động chỉ được thực hiện bởi người quản trị Vì thế hệ thống HIDS có thể là một công

cụ cực mạnh để phân tích các cuộc tấn công có thể xảy ra do nó thường cung cấp nhiều thông tin chi tiết và chính xác hơn một hệ NIDS

- Không bị ảnh hưởng bởi các thiết bị chuyển mạch (switch)

Nhược điểm của HIDS:

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công

- HIDS không thể phát hiện việc quét mạng (network scan bằng nmap) do chỉ giám sát trên host mà nó được cài đặt

- Có thể bị vô hiệu hóa bởi tấn công từ chối dịch vụ (DoS)

- Chiếm tài nguyên hệ thống: Do cài đặt trên máy cần bảo vệ nên nó sẽ sử dụng tài nguyên của hệ thống như RAM, CPU, Hard Disk dẫn đến có thể làm giảm hiệu suất của việc giám sát

- HIDS sẽ không hoạt động khi hệ điều hành của host đó lỗi hoặc không hoạt động

1.2.4 Hệ thống ngăn chặn xâm nhập IPS

Hệ thống ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, dữ liệu và mạng Chúng sẽ làm giảm bớt những mối đe dọa tấn công bằng việc loại bỏ lưu lượng mạng bất hợp pháp, trong khi vẫn cho phép các hoạt động hợp pháp được tiếp tục IPS ngăn chặn các cuộc tấn công dưới những dạng sau:

- Ứng dụng không mong muốn và tấn công kiểu “Trojan horse” nhằm vào mạng

và ứng dụng cá nhân, qua việc sử dụng các nguyên tắc xác định và danh sách kiểm soát truy nhập

- Các tấn công từ chối dịch vụ như “lụt” các gói tin SYN và ICMP bởi việc dùng các thuật toán dựa trên cơ sở “ngưỡng”

- Sự lạm dụng các ứng dụng và giao thức qua việc sử dụng những qui tắc giao thức ứng dụng và chữ kí

- Những tấn công quá tải hay lạm dụng ứng dụng bằng việc sử dụng giới hạn tài nguyên dựa trên cơ sở ngưỡng

Các sản phẩm IPS không thể nhận biết được trạng thái tầng ứng dụng (chỉ có thể nhận biết được các dòng thông tin trên tầng mạng) Do vậy các cuộc tấn công trên tầng ứng dụng sẽ không bị phát hiện và ngăn chặn

1.3 Hệ thống giám sát an ninh mạng

1.3.1 Giới thiệu hệ thống giám sát an ninh mạng

Giám sát an ninh mạng là việc thu thập các thông tin trên các thành phần của hệ thống, phân tích các thông tin, dấu hiệu nhằm đánh giá và đưa ra các cảnh báo cho người quản trị hệ thống Hệ thống giám sát an ninh mạng được triển khai tại các hệ thống mạng có độ nhảy cảm cao hoặc có các thông tin cần bảo mật, hoặc cũng có thể đơn giản chỉ là để theo dõi các diễn biến của mạng [8]

1.3.2 Mô hình giám sát an ninh mạng

Về mô hình giám sát an ninh mạng được triển khai có hai dạng chính: Dạng phân tán và dạng hoạt động độc lập

- Dạng phân tán: Là mô hình mà trong đó có hệ thống xử lý được đặt ở trung tâm

và mọi hoạt động của hệ thống như: Các sự kiện, luồng dữ liệu,… sẽ được xử lý tại trung tâm sau đó được hiển thị lên giao diện Website Đối với mô hình này thường đòi hỏi một sự đầu tư quy mô cả về thiết bị lẫn con người để vận hành hệ thống này

Hình 1.5: Mô hình giám sát an ninh mạng dạng phân tán

- Dạng hoạt động độc lập: Đây là mô hình mà hệ thống được xây dựng riêng lẻ cho các đơn vị, và không liên quan tới nhau, có nghĩa là hệ thống hoạt động độc lập Các nhật ký hệ thống và luồng dữ liệu được trực tiếp thu thập tại mạng con, sau đó đẩy về thiết bị giám sát an ninh mạng và tại đây luồng dữ liệu sẽ được xử lý Tuy nhiên, mô hình này phù hợp cho các ngân hàng và đơn vị nhỏ và yêu cầu về đầu tư

và lực lượng con người không cao [8]

Hình 1.6: Mô hình giám sát an ninh mạng dạng độc lập

1.3.3 Các công nghệ giám sát an ninh mạng

- Công nghệ NMS (Network Monitoring Solution) là công nghệ tập trung vào các giải pháp quản lý hiệu xuất mạng, giám sát mạng, giám sát tình trạng gói tin, thời gian đáp ứng và số liệu hiệu xuất của các thiết bị như router, switch, các máy chủ NMS phân tích băng thông tiêu thụ bởi người sử dụng và các ứng dụng thông qua NetFlow, Sflow, jFlow, FIX và đưa ra biểu đồ

Thu thập, phân tích các bản ghi từ tường lửa

Quản lý các địa chỉ IP sẽ cấp và đã được cấp Theo dõi các cổng switch và các thiết bị kết nối với nó trong thời gian thực

Quản trị qua giao diện web và Thiết lập các ngưỡng với nhiều cấp để đưa ra cảnh báo

Hình 1.7: Giao diện web của một phần mềm NMS

NMS tối đa hóa độ sẵn sàng cho hệ thống bằng cách giám sát tất cả các thiết bị hoạt động trong hệ thống mạng, bao gồm máy chủ, máy trạm, thiết bị mạng và các ứng dụng Khi có sự cố, NMS sẽ tự động cảnh báo để nhà quản trị có giải pháp kịp thời Một số sản phẩm NMS của các nhà cung cấp hàng đầu thế giới còn có khả năng khuyến nghị, hướng dẫn các bước cho nhà quản trị khắc phục sự cố Giải pháp do hệ thống đưa

ra có thể không chính xác 100% vì chỉ là tập hợp kinh nghiệm của các chuyên gia hàng

đầu thế giới trong cùng lĩnh vực, nhưng chúng cũng góp phần giảm thiểu thời gian tìm kiếm giải pháp, đặc biệt với các nhà quản trị chưa có nhiều kinh nghiệm

- Công nghệ Siem

Công nghệ quản lý và phân tích sự kiện an toàn thông tin viết tắt là SIEM (Security information and event management – SIEM) là hệ thống được thiết kế nhằm thu thập thông tin nhật ký các sự kiện an ninh từ các thiết bị đầu cuối và lưu trữ dữ liệu một cách tập trung Theo đó, các sản phẩm SIEM cho phép phân tích tập trung và báo cáo

về các sự kiện an toàn mạng của tổ chức Kết quả phân tích này có thể được dùng để phát hiện ra các cuộc tấn công mà không thể phát hiện được theo phương pháp thông thường Một số sản phẩm SIEM còn có khả năng ngăn chặn các cuộc tấn công mà chúng phát hiện được

Sản phẩm SIEM đã xuất hiện nhiều năm nay, nhưng tiền thân của sản phẩm này nhắm đến các tổ chức lớn với khả năng và đội ngũ phân tích an ninh chuyên biệt SIEM đang dần trở nên nổi bật, phù hợp cả với nhu cầu của các tổ chức vừa và nhỏ Kiến trúc SIEM ngày nay bao gồm phầm mềm SIEM cài đặt trên một máy chủ cục bộ, một phần cứng cục bộ hoặc một thiết bị ảo dành riêng cho SIEM

CHƯƠNG 2 PHÁT HIỆN TẤN CÔNG MẠNG VỚI CÔNG NGHỆ SIEM 2.1 Giới thiệu về công nghệ Siem

Hệ thống mạng ngày càng phát triển, một số nhu cầu đặt ra như: Làm sao để quản

lý rất nhiều các thiết bị, việc quản lý thông tin và sự kiện an ninh trong hệ thống vận hành tốt và an toàn Đó là câu hỏi mà các nhà nghiên cứu hay các quản trị viên an ninh mạng đang đi tìm câu trả lời sao cho tối ưu nhất Đã có rất nhiều các thiết bị IDS, IPS ra đời nhằm trả lời điều đó Nhưng hầu hết các thiết bị này đều hoạt động riêng lẻ, quản lý tập chung là không có, sự tương quan liên kết các sự kiện an ninh cũng không có, bên cạnh đó là việc đảm bảo tuân thủ an ninh còn hạn chế và có thể

là rất mệt mỏi để hoàn thành các báo cáo về tình trạng an ninh của hệ thống Một số

giải pháp trước khi công nghệ Siem ra đời:

- Giải pháp quản lý an ninh thông tin - Security information management (SIM) SIM là giải pháp công nghệ đầu tiên trong các giải pháp giám sát an ninh mạng Ban đầu giải pháp SIM chỉ có khả năng lưu trữ các nhật ký sự kiện an ninh cho các hệ thống mạng (đây cũng là một trong các chức năng chính của giải pháp giám sát an ninh hiện nay) Hạn chế của giải pháp này là không có khả năng phân tích các sự kiện an ninh mà chỉ thực hiện việc lưu trữ chúng Các nhật ký này chủ yếu là từ: Hệ Thống máy chủ, các ứng dụng, thiết bị network và từ các thiết bị chuyên về Security Các thành phần chính của SIM bao gồm: Thành phần thu thập nhật ký, thành phần lưu trữ

- Giải pháp quản lý các sự kiện an ninh - Security event management (SEM)

SEM thực hiện việc xử lý log và các sự kiện an ninh từ các thiết bị gửi về bao gồm: Các thiết bị mạng (network devices), các máy chủ (Server), các ứng dụng theo thời gian thực nhằm thực việc việc theo dõi các sự kiện an ninh xẩy ra trong hệ thống, phân tích tính tương quan và thực hiện các hành động nhằm đảm bảo an toàn cho hệ thống Các thành phần chính của hệ thống bao gồm: Thành phần thu thập nhật ký, thành phần phân tích nhật ký Ngoài ra còn có các thành phần khác như: thành phần quản lý phản ứng trước các mối đe dọa (Threats Response Management), các module tạo báo cáo (Complaince Report)

- Giải pháp quản lý đăng nhập - Log Management System (LMS)

LMS là một hệ thống thu thập và lưu trữ tập tin đăng nhập (từ hệ điều hành, ứng dụng, vv) Thông tin tập trung được thu thập từ nhiều nguồn Người quản trị thay

vì phải kiểm tra từng hệ thống riêng lẻ thì quản trị tập trung tại một điểm duy nhất

- Tương quan sự kiện an ninh - Security Event Correlation (SEC)

SEC là giải pháp tương quan các sự kiện an ninh thu thập được theo các quy tắc

đã cài đặt nhằm tăng hoặc giảm mức cảnh báo đối với một sự kiện an ninh

- Giải pháp quản lý thông tin và sự kiện an ninh - Security information and event management (SIEM)

Giải pháp quản lý thông tin và sự kiện an ninh là một giải pháp bảo mật an ninh cung cấp cái nhìn tổng thể về hệ thống công nghệ thông tin của một tổ chức SIEM

là sự kết hợp của các giải pháp nêu trên

Log từ các thiết bị tạo ra ngày càng nhiều (Có thể hàng trăm triệu bản ghi log trong một ngày) thì các quản trị viên hay các công cụ trước đó khó có thể phân tích một cách nhanh chóng, chính xác được SIEM cung cấp việc tích hợp dữ liệu quản lý file log từ nhiều nguồn, bao gồm cả mạng, máy chủ, cơ sở dữ liệu, ứng dụng, cung cấp khả năng hợp nhất dữ liệu để tránh mất các sự kiện quan trọng [9]

Giải pháp Quản lý và phân tích sự kiện an toàn thông tin là giải pháp toàn diện và hoàn chỉnh, cho phép các cơ quan, tổ chức thực hiện việc giám sát các sự kiện an toàn thông tin cho một hệ thống

và theo dõi các dấu hiệu bất thường [9]

SIEM thu thập Log và các tài liệu liên quan đến an ninh khác để phân tích, tương quan liên kết SIEM làm việc thu thập Log và các sự kiện an ninh thông qua các Agent Từ người dùng đầu cuối, các máy chủ, các thiết bị mạng và thậm chí là các thiết bị an ninh chuyên nghiệp như Firewall, AntiVirus hoặc các hệ thống phòng chống xâm nhập Các thiết bị thu thập thông tin chuyển tiếp thông tin tới trung tâm nhằm chuẩn hóa, quản lý tập trung, phân tích, tương quan các sự kiện an ninh Tiếp sau đó có thể xác định các sự kiện bất thường và thông báo tới quản trị viên

SIEM được sử dụng nhằm theo dõi, xác định, quản lý hệ thống tài sản và ứng phó với các sự cố an ninh Một số sự kiện an ninh như tấn công từ chối dịch vụ (DoS), tấn công có chủ ý, tấn công mã độc hại và phát tán virus SIEM cũng có thể xác định mà không dễ phát hiện bằng các thiết bị khác Nhiều sự kiện khó phát hiện hoặc bị che

Cơ sở dữ liệu Ứng dụng Thông tin cấu hình Thông tin lỗ hổng Hoạt động của người dùng

khuất bởi hàng ngàn các sự kiện an ninh khác trong mỗi giây Bên cạnh đó SIEM có thể phát hiện những sự kiện an ninh khó phát hiện hơn như các hành vi vi phạm chính sách, cố gắng truy cập trái phép và phương thức tấn công của những kẻ tấn công có trình độ cao xâm nhập vào hệ thống

Một mục tiêu quan trọng cho các nhà phân tích an ninh sử dụng SIEM là giảm số lượng cảnh báo giả Hệ thống an ninh được cho là yếu kém, chẳng hạn như hệ thống phát hiện xâm nhập (IDS) thường có những cảnh báo về nhiều sự kiện giả Nhiều cảnh báo này gây lãng phí thời gian, công sức của các nhà phân tích an ninh và thường tập trung chú ý vào các cảnh báo đó Điều đó làm cho các nhà phân tích lại bỏ qua các cảnh báo quan trọng hơn Với hệ thống SIEM, việc giảm các cảnh báo giả được thực hiện một cách cẩn thận bởi các bộ lọc và các quy tắc tương quan liên kết giữa các thông tin sự kiện an ninh với nhau Điều đó xác định và cảnh báo chính xác khi

có sự kiện an ninh bất chấp số lượng lớn những sự kiện an ninh

SIEM cung cấp các dịch vụ sau:

- Quản lý nhật ký sự kiện an ninh (Log management)

- Tuân thủ các quy định về CNTT (IT regulatory compliance)

- Tương quan liên kết các sự kiện an ninh (Event correlation)

- Cung cấp các hoạt động ứng phó (Active response)

- Đảm bảo an ninh thiết bị đầu cuối (Endpoint security)

2.1.1 Quản lý nhật ký sự kiện an ninh

SIEM quản lý Log từ các thiết bị trong hệ thống Bắt đầu với việc cấu hình các

vị trí quan trọng trong hệ thống để gửi các sự kiện an ninh vào một cơ sở dữ liệu tập trung SIEM sẽ chuẩn hóa các Log này về một định dạng duy nhất để phân tích, tương quan liên kết Sau đó, SIEM lưu trữ các file Log, tổ chức, tìm kiếm và các dịch vụ khác để đáp ứng nhu cầu quản lý mà các tổ chức yêu cầu Phần quản lý dữ liệu này cũng sử dụng để phân tích về thời gian thực, tình trạng khai thác dữ liệu và an ninh của toàn bộ hệ thống

2.1.2 Tuân thủ các quy định về CNTT

Tất cả các sự kiện từ các hệ thống quan trọng đang được sử dụng truy nhập, chúng

ta có thể xây dựng các bộ lọc hoặc các thiết lập các luật và tính toán thời gian để kiểm tra và xác thực việc tuân thủ của họ hoặc để xác định hành vi vi phạm các yêu cầu tuân thủ đã đặt ra của tổ chức Các luật đó được đối chiếu với log được đưa vào hệ thống Có thể giám sát số lần thay đổi mật khẩu, xác định hệ điều hành hoặc các bản

vá lỗi ứng dụng, kiểm tra chống virus, phần mềm gián điệp và cập nhật Chúng ta có thể xây dựng tập luật riêng của mình cho các bộ lọc hoặc các luật để hỗ trợ trong việc tuân thủ các quy định đã đề ra Nhiều nhà cung cấp SIEM có các tập đóng gói sẵn các quy tắc được thiết kế đặc biệt để đáp ứng các yêu cầu về pháp luật và các quy định khác nhau mà các doanh nghiệp cần phải tuân thủ Chúng được đóng gói và cung cấp bởi các nhà cung cấp một cách miễn phí hoặc mất một khoản chi phí

2.1.3 Tương quan liên kết các sự kiện an ninh

Sự tương quan liên kết giữa các sự kiện an ninh mang đem lại thông báo tốt hơn cho hệ thống Chúng ta không chỉ qua một sự kiện duy nhất để quyết định cách ứng phó hay không ứng phó với nó Với tương quan liên kết giữa các sự kiện an ninh, chúng ta xem xét điều kiện khác nhau trước khi kích hoạt báo động Ví dụ, một máy chủ có CPU sử dụng 100% có thể được gây ra bởi nhiều nguyên nhân khác nhau Nó

có thể do một vấn đề xảy ra hoặc có thể không Cũng có thể là một dấu hiệu cho thấy

hệ thống bị quá tải với các hoạt động và yêu cầu một hoặc nhiều dịch vụ hoặc các ứng dụng cần được chia sẻ trên các máy chủ khác Và cũng có thể là máy chủ đạt đến hết công suất do bị tấn công từ chối dịch vụ (DoS) vào hệ thống Hoặc nó có thể là ngừng trệ tạm thời một cách tự nhiên của máy chủ

Các công cụ tương quan trên một SIEM có thể kiểm tra và xem xét (tương quan) các sự kiện khác không phải liên quan đến việc sử dụng CPU Có thể cung cấp một bức tranh đầy đủ hơn về tình trạng của máy chủ để loại trừ giả thuyết về nguyên nhân của vấn đề Ví dụ, trong trường hợp sử dụng CPU 100%, SIEM có thể được cấu hình

để xem xét một số nguyên nhân sau đây:

- Phần mềm chống virus xác định có phần mềm độc hại trên máy chủ hay không

- Bất kỳ máy chủ nào có CPU sử dụng 100% thì cần xem xét có hay không sự tồn tại của virus

- Một ứng dụng hoặc nhiều ứng dụng, dịch vụ ngừng hoạt động

- Sự gia tăng lưu lượng mạng do nhu cầu chính đáng của người dùng nhưng vượt quá sự cung cấp dịch vụ của máy chủ

- Sự gia tăng lưu lượng mạng nhưng không do nhu cầu chính đáng của người dùng vượt quá sự cung cấp dịch vụ của máy chủ như một cuộc tấn công DoS

Đó là sự tương quan các sự kiện an ninh Cảnh báo của SIEM giúp chúng ta đưa

ra cách ứng phó tùy thuộc vào các điều kiện

2.1.4 Cung cấp các hoạt động ứng phó

Tất cả các thiết bị cung cấp đầu vào cho SIEM, các quy tắc và bộ lọc sẽ xác định

và phân tích mối quan hệ giữa các thông tin đầu vào đó Chúng ta có thể cấu hình các hành động và thực hiện các phản ứng ứng phó cho tất cả các sự kiện an ninh hoặc có thể cấu hình riêng biệt cho từng loại sự kiện khác nhau

Lợi ích việc thực hiện các hoạt động ứng phó là rất tốt, nhưng bên cạnh đó nó cũng có điều bất lợi Nếu chúng ta không cấu hình cẩn thận và chính xác thì nó có thể đưa ra các hành động ứng phó không cần thiết

2.1.5 Đảm bảo an ninh thiết bị đầu cuối

Hầu hết các hệ thống SIEM có thể giám sát an ninh cho các thiết bị đầu cuối để thông báo sự an toàn của hệ thống SIEM cung cấp việc quản lý cũng như đánh giá tài sản các thiết bị Bên cạnh là việc dò quét lỗ hổng và cập nhật các bản vá Nhiều

hệ thống SIEM có thể theo dõi các thiết bị như PC, server, Firewall Một số hệ thống SIEM thậm chí có thể quản lý an ninh cho thiết bị đầu cuối, có sự điều chỉnh và hoàn thiện hơn đối với thiết bị an ninh đó trên hệ thống Như cấu hình Firewall, cập nhật

và theo dõi Anti-Virus, chống spyware, chống spam email

2.2 Thành phần và hoạt động của Siem

SIEM bao gồm nhiều phần, mỗi phần làm một công việc riêng biệt Mỗi thành phần trong hệ thống này có thể hoạt động độc lập với các thành phần khác nhưng nếu tất cả không cùng hoạt động một lúc thì chúng ta sẽ không có một hệ thống SIEM

hiệu quả Tùy thuộc vào hệ thống đang sử dụng nhưng mỗi SIEM sẽ luôn luôn có các thành phần cơ bản cơ bản được mô tả trong phần này Bằng sự hiểu biết từng phần của SIEM và cách thức hoạt động, chúng ta có thể quản lý một cách hiệu quả và khắc phục sự cố các vấn đề khi phát sinh

Việc quan trọng khi thực hiện triển khai SIEM là cần phải hiểu nó làm việc như thế nào Đối với mỗi nhà cung cấp khác nhau sẽ có đôi chút khác nhau nhưng chúng đều dựa trên những khái niệm cốt lõi Thành phần cơ bản vẫn là thu thập thông tin, phân tích và lưu trữ Các bản ghi Log được thu thập từ các thiết bị khác nhau và chúng

có thể có những định dạng theo từng loại thiết bị Chúng ta cần thu thập và chuyển

nó về một định dạng chung Quá trình này gọi là chuẩn hóa dữ liệu Sau đó sẽ tiến hành phân tích từ các dữ liệu này và thực hiện tương quan sự kiện an ninh để đưa tới kết luận có một cuộc tấn công hay không Các thông tin về môi trường mạng và các mối đe dọa phổ biến rất có ích trong giai đoạn này Việc đưa ra cảnh báo và các báo cáo sẽ được tạo ra như một kết quả của việc phân tích Các bản ghi Log được lưu trữ trực tiếp trên SIEM ít nhất vài giờ đồng hồ sau đó chuyển tới nơi lưu trữ lâu dài để phục vụ cho quá trình điều tra hoặc sử dụng sau này

2.2.1 Thiết bị Nguồn

Thành phần đầu tiên của Siem là các thiết bị đầu vào cung cấp dữ liệu cho Siem Thiết bị nguồn có thể là một thiết bị thực tế trong hệ thống mạng như Router, Switch hoặc một số loại máy chủ và cũng có thể là các bản ghi log từ một ứng dụng hoặc chỉ

là dữ liệu bất kỳ Việc biết về những gì mình có trong hệ thống là rất quan trọng trong việc triển khai SIEM Hiểu rõ những nguồn mà chúng ta muốn lấy các bản ghi log trong giai đoạn đầu sẽ giúp chúng ta tiết kiệm được công sức, số tiền đáng kể và giảm

sự phức tạp trong triển khai

Hệ điều hành: Microsoft Windows và các biến thể của Linux và UNIX, AIX, Mac OS là những hệ điều hành thường hay được sử dụng Hầu hết các hệ điều hành

vê cơ bản công nghệ khác nhau và thực hiện một nhiệm vụ nào đó nhưng một trong những điều mà tất cả đều có điểm chung là chúng tạo ra các bản ghi log Các bản ghi log sẽ cho thấy hệ thống của bạn đã làm gì: Ai là người đăng nhập, làm những gì trên

hệ thống Các bản ghi log được tạo ra bởi một hệ điều hành về hệ thống và người sử dụng hoạt động sẽ rất hữu ích khi tiến hành ứng phó sự cố an ninh hoặc chẩn đoán vấn đề hay chỉ là việc cấu hình sai

Thiết bị: Hầu hết các thiết bị là các hộp đen, các quản trị hệ thống không có quyền truy cập trực tiếp vào hệ thống để thực hiện một số việc quản lý cơ bản Nhưng có thể quản lý các thiết bị thông qua một giao diện Giao diện này có thể dựa trên web, dòng lệnh hoặc chạy qua một ứng dụng được tải về máy trạm của quản trị viên Hệ điều hành các thiết bị mạng chạy có thể là một hệ điều hành thông thường, chẳng hạn như Microsoft Windows hoặc phiên bản của Linux, nhưng nó cũng có thể là một hệ điều hành riêng biệt Ví dụ như một router hoặc switch Nó phụ thuộc vào nhà cung cấp, chúng ta không bao giờ có thể truy cập trực tiếp vào hệ thống điều hành cơ bản của nó mà chỉ có thẻ truy cập vào thông qua dòng lệnh hoặc giao diện web được sử dụng để quản lý Các thiết bị lưu trữ các bản ghi log của chúng trên hệ thống hoặc thường có thể được cấu hình để gửi các bản ghi ra thông qua syslog hoặc FTP

Ứng dụng: Chạy trên các hệ điều hành là những ứng dụng được sử dụng cho một loạt các chức năng Trong một hệ thống chúng ta có thể có hệ thống tên miền (DNS), dịch vụ cấp phát địa chỉ động (DHCP), máy chủ web, hệ thống thư điện tử và vô số các ứng dụng khác Các bản ghi ứng dụng chứa thông tin chi tiết về tình trạng của ứng dụng, ví dụ như thống kê, sai sót, hoặc thông tin tin nhắn Một số ứng dụng sinh

ra bản ghi log sẽ có ích cho chúng ta

Xác định bản ghi log cần thiết: Sau khi xác định các thiết bị nguồn trong hệ thống, chúng ta cần xem xét việc thu thập các bản ghi log từ các thiết bị nào là cần thiết và quan trọng cho SIEM Một số điểm cần chú ý trong việc thu thập các bản ghi log như sau:

- Thiết bị nguồn nào được ưu tiên Dữ liệu nào là quan trọng mà chúng ta cần phải thu thập

- Kích thước các bản ghi log sinh ra trong khoảng thời gian nhất định là bao nhiêu Những thông tin này dùng để xác định SIEM cần bao nhiêu tài nguyên cho chúng, đặc biệt là không gian lưu trữ