Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (tt)
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - THIENXAY BOLIBOUN NGHIÊN CỨUVỀ HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG CHO TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH LÀO LaoCERT CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2017 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: PGS.TS HOÀNG ĐĂNG HẢI Phản biện 1: T.S Vũ Hữu Tiến Phản biện 2: PGS.TS Hà Quốc Trung Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông LỜI MỞ ĐẦU Hiện mạng Internet Lào có phát triển nhanh chóng ngày phổ biển rộng rãi góp phần quan trọng vào phát triển kinh tế, văn hóa xã hội Lào cho người để trao đổi chia sẻ, tìm kiếm thông tin tài nguyên mạng Các vụ công mạng Internet tăng lên nhanh chóng, ảnh hưởng lớn đến phát triển Internet xã hội mà phương pháp dùng để công liên tục hoàn thiện Những vụ công nhằm tất vào máy tính kết nối vào mạng Internet máy tính tất công ty lớn, ngân hàng, trường đại học, quan, tổ chức doanh nghiệp Việc giám sát an toàn mạng hoạt động lựa chọn đối tượng giám sát, phân tích trạng thái thông tin đối tượng giám sát nhằm xác định nhân tố ảnh hưởng đến an toàn hệ thống thông tin, bảo đảm tính nguyên vẹn, tính bảo mật, cảnh báo hành vi xâm phạm an toàn thông tin mạng hành vi có khả gây cố an toàn thông tin mạng Hệ thống giám sát an toàn mạng cho LaoCERT góp phần quan trọng vào tăng cường lực theo dõi, giám sát cố mạng Lào, giúp công việc quản lý theo dõi tập trung đạt hiệu quả, phù hợp với điều kiện thực tế nhằm đáp ứng nhu cầu theo dõi, giám sát cố mạng, đưa cảnh báo Trong hệ thống giám sát an toàn mạng, máy chủ, máy trạm, máy tính mạng LAN thường mục tiêu công, truy cập trái phép hay lấy cắp thông tin, mã hoá tài liệu Hiện nay, chương trình bảo mật, phòng chống virus bảo vệ hệ thống ( Anti-Virus, IDS, IPS, Firewall ) triển khai, nhiên công ngày tinh vi vượt qua hệ thống này, xảy công phải khoảng thời gian dài phát Ngoài ra, chương trình firewall bảo vệ mạng hầu hết tích hợp thiết bị phần cứng mạng Xây dựng hệ thống giám sát an toàn mạng nhằm theo dõi giám sát, phát xâm nhập trái phép để giúp cho công việc quản trị mạng tập trung đạt hiệu cao Chương I TỔNG QUAN VỀ GIÁM SÁT AN TOÀN MẠNG 1.1 Tổng quan số loại công mạng điển hình 1.1.2 Các giai đoạn trình công mạng Tấn công hoạt động nhằm khai thác điểm yếu, lỗ hổng bảo mật điểm nhạy cảm rủi ro tiểm ẩn hệ thống thông tin, mà có tồn điểm yếu có nguy bị công Các bước thực công mạng có giai đoạn sau: Trinh sát: Tìm kiếm đối tượng công điểm yếu hệ thống Khai thác: Là lạm dụng, làm biến chất, chia cắt dịch vụ mục tiêu Tấn công: Tin tặc tìm cách chiếm quyền điều khiển, kiểm soát hệ thống Duy trì cổng hậu: Trao đổi thông tin với máy nạn nhân thông qua cổng hậu Phá hoại: Có chủ đích, đánh cắp thông tin nhạy cảm, tạo móng vững bên hệ thống làm tin tặc muốn 1.1.3 Tấn công thăm dò Đối với loại công này, kẻ công chủ yếu muốn thăm dò hệ thống, tập hợp thông tin cần thiết xoay quanh tổ chức hệ thống Đây loại công điển hình muốn công kiểu kẻ công bắt đầu công thăm dò Kẻ công dùng để tổ chức đột nhập trái phép công từ chối dịch vụ (DoS) Các hình thức công kiểu thăm dò bao gồm: In dấu chân (footprinting): In dấu chân việc dùng công cụ kỹ thuật để lấy thông tin In dấu chân cách có hệ thống cho phép kẻ công lưu trữ đầy đủ bố trí bảo mật tổ chức Thông qua kết hợp công cụ kỹ thuật, kẻ công lấy số lượng không rõ rút thành dãy tên vùng cụ thể, khối mạng, địa IP hệ thống nối thẳng Internet Quét (scanning): Là quét cổng để nhận dạng điểm yếu hệ thống Công cụ quét cổng kết nối đến máy tính để xác định dãy địa IP, máy phục vụ DNS mở truy nhập vào máy tính Liệt kê (Enumerationning): Tổng hợp thông tin nạn nhân tài khoản hợp lệ tài nguyên từ hệ thống 1.1.4 Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ (DoS –Denial of Sevicec Attacks) loại công điển hình Đây loại công mà người thực dùng để khiến cho hệ thống sử dụng làm chậm hệ thống lại, khiến phục vụ cho người dùng truy cập vào dịch vụ server Với loại công này, kẻ công cố gắng vô hiệu hóa ngắt truy nhập mạng, khai thác tài nguyên mạng, dịch vụ hệ thống Mục đích kẻ công làm cho hệ thống không cung cấp dịch vụ được, kết nối, không cho phép người dùng truy nhập ứng dụng, thay đổi nội dung, gây ảnh hưởng, chí ngăn chặn trình đăng nhập vào nguồn tài nguyên mạng người dùng hợp lệ Các cách thức công DoS chủ yếu sau: Tấn công kiểu SYN flood: Kẻ công gửi lượng lớn gói tin yêu cầu mở kết nối (SYN-REQ) đến máy tính nạn nhân, máy tính nạn nhân yêu cầu kết nối dành chỗ bảng lưu kết nối nhớ cho yêu cầu kết nối, máy tính nạn nhân sau gửi gói tin xác nhận kết nối SYN-ACK để thiết lập kết nối đến kẻ công Kiểu công Land Attack Kiểu công Land Attack tương tự SYN flood, kẻ công sử dụng IP mục tiêu cần công để dùng làm địa IP nguồn gói tin, đẩy mục tiêu vào vòng lặp vô tận cố gắng thiết lập kết nối với Tấn công kiểu DDoS (Distributed Denial of Service) Tấn công DDoS (Distributed Denial of Service) dạng công từ nhiều máy tính tới đích, gây từ chối yêu cầu hợp lệ User bình thường Bằng cách tạo gói tin cực nhiều đến đích cụ thể, gây tình trạng tương tự hệ thống bị shutdown, công từ hệ thống máy tính cực lớn Internet Cách công lợi hại chỗ cần máy có kết nối Internet đơn giản với đường truyền bình thường đánh bật hệ thống có đường truyền tốt giới ta không kịp ngăn chặn Tấn công kiểu Smurf Attack: Tấn công Smurf sử dụng kiểu phát quảng bá có định hướng để gây ngập lụt đường truyền mạng máy nạn nhân Kẻ công gửi quảng bá lượng lớn gói tin ICMP (ping) với địa IP nguồn địa máy nạn nhân đến mạng sử dụng địa quảng bá (IP Broadcast address) Các máy khác mạng nhận thông điệp ICMP gửi trả lời đến máy có địa nguồn IP (là máy nạn nhân) Kết máy tính xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy 1.2.5 Một số loại công khác Tấn công giả mạo địa IP (IP Spoofing): Là dạng công kẻ công sử dụng địa IP giả, thường để đánh lừa máy nạn nhân để vượt qua hàng rào kiểm soát an ninh, kẻ công giả địa IP địa cục mạng LAN Nếu Router Firewall không cấu hình để nhận IP giả mạo mạng LAN nội kẻ công thực Tấn công nghe trộm (Sniffing): Là dạng công sử dụng thiết bị phần cứng phần mềm lắng nghe card mạng, Hub Router để bắt gói tin Tấn công người đứng (Man in the middle): Lợi dụng trình chuyển gói tin qua nhiều trạm, thuộc mạng khác nhau, kẻ công chặn bắt thông điệp bên tham gia chuyển thông chuyển thông điệp lại cho bên kia, thường sử dụng để đánh cắp thông tin Tấn công bom thư (Mail bombing): Là dạng công Dos kẻ công chuyển lượng lớn email đến nạn nhân, thực kĩ thuật Social Engineering khai thác lỗi hệ thống gửi nhận email SMTP Kẻ công lợi dụng máy chủ email không cấu hình tốt để gửi email cho chúng Tấn công thư rác (Spam emails): Là email không mong muốn, thường email quảng cáo, Spams gây lãng phí tài nguyên tính toán thời gian người dùng (phải lọc, xóa), Spams dùng để chuyển phần mền độc hại Tấn công kiểu Social Engineering: Tấn công kiểu Social Engineering dạng công sử dụng kĩ thuật xã hội để thuyết phục người dùng tiết lộ thông tin truy cấp thông tin có giá trị cho kẻ công Kẻ công mạo nhận người có ủy quyền người có thẩm quyền để yêu cầu nhân viên tiết lộ thông tin nhân/ tổ chức Kẻ công lập trang web giả để đánh lừa người dùng cung cấp thông tin cá nhân, thông tin tải khoản thẻ tín dụng Tấn công kiểu Phishing: Một kiểu công phishing kẻ công tạo trang web giả trông“giống hệt” trang web phổ biến Trong công phishing, kẻ công gửi email để người dùng click vào điều hướng đến trang web giả mạo, người dùng đăng nhập thông tin tài khoản họ, kẻ công lưu lại tên người mật lại Tấn công ứng dụng web: Tấn công ứng dụng web khai thác lỗ bảo mật liên quan đến ứng dụng web Các lỗi bảo mật ứng dụng web nguyên nhân chủ yếu gây lỗi website vận hành Sau xác định lỗi này, tin tặc sử dụng kỹ thuật khác để tiến hành khai thác hệ thống đích 1.2 Nhu cầu vai trò hệ thống giám sát an toàn mạng Hệ thống giám sát an toàn mạng hệ thống (bao gồm phần cứng phần mềm) để thu thập thông tin lỗ hổng bảo mật thiết bị mạng , nguy đe dọa hệ thống mạng, cố công mạng Trên sở thông tin thu được, hệ thống phát phân tích, phát dấu hiệu công, hành vi công, hành vi bất thường Đưa cảnh báo cho người quản trị mạng, người dùng An toàn mạng khái niệm để biểu thị yêu cầu bảo đảm an toàn thông tin mạng thông qua việc bảo đảm an toàn cho hệ thống mạng (máy chủ, máy trạm, Router, Switch, Firewall, hub phần mềm thiết bị đó) Hệ thống giám sát an toàn mạng đóng vai trò quan trọng thiếu hạ tầng công nghệ thông tin Nó lưu lại cách xác hoạt động hệ thống, tình trạng hoạt động hệ thống, ứng dụng, thiết bị hoạt động hệ thống, thu thập, chuẩn hóa, lưu trữ phân tích tương quan toàn kiện an toàn mạng sinh hệ thống thông tin tổ chức Ngoài ra, hệ thống giám sát mạng giúp phát kịp thời công mạng, điểm yếu, lô hổng bảo mật thiết bị, ứng dụng dịch vụ hệ thống mạng, máy tính bị nhiễm mã độc máy tính bị nghi ngờ Qua khảo sát thực tế Lào, nhu cầu thực tế đặt hạn chế ngăn chặn truy nhập trái phép vào hạ tầng công nghệ thông tin, ngăn chặn kết nối không đáng tin cậy, bảo mật thông tin mã hóa làm tăng độ an toàn cho việc truyền liệu, tích hợp vào hệ thống giám sát chương trình diệt virus với sở liệu cập nhật thường xuyên loại virus Tuy nhiên, hệ thống giám sát an toàn mạng chưa xây dựng cách toàn diện Lào Ở LaoCERT có thử nghiệm hững hệ thống nhỏ Nhu cầu xây dựng hệ thống giám sát an toàn mạng cho Lào cần thiết LaoCERT quan xây dựng, triển khai hệ thống để phục vụ công tác theo dõi, phát hiện, cảnh báo cố an toàn mạng cho quốc gia Lào Vai trò hệ thống giám sát an toàn mạng thể qua chức sau: Theo dõi, giám sát tình trạng hoạt động mạng, hệ thống thiết bị mạng, ứng dụng dịch vụ mạng Phát điểm yếu, lỗ hổng bảo mật thiết bị, ứng dụng dịch vụ mạng Phát máy tính bị nhiễm mã độc máy tính bị nghi ngờ nhiễm mã độc Phát công mạng, xâm nhập trái phép, lưu lượng bất thường mạng Đưa cảnh báo kịp thời tượng nêu Nhu cầu thực tế đặt cần có hệ thống theo dõi, giám sát an toàn mạng, hỗ trợ cảnh báo nguy công Đây vấn đề cấp bách đặt Bộ bưu Viễn thông Lào nói chung Trung tâm ứng cứu khẩn cấp máy tính Lào -LaCERT nói riêng 1.3 Kiến trúc hệ thống mạng Internet Lào khả triển khai áp dụng hệ thống giám sát an toàn mạng Hệ thống trung tâm LANIC (Lao National Internet Center) gồm thiết bị lõi hạ tầng công nghệ thông tin Lào cho kết nối Internet Hệ thống trung tâm bao gồm Router Switch Hệ thống tường lửa kết nối Internet gồm thiết bị tường lửa tạo vành đai bảo vệ, thực kiểm soát vào/ra Internet Hệ thống hạ tầng mạng ISP (Internet Service Provider) Hiện có nhà mạng kết nối vào hạ tầng Internet Lào gồm: LTC, ETL, Unitel, Beeline Sky Telecom 1.4 Kết luận chương Nội dung chương nêu lên tổng quan số loại công mạng điển hình, làm rõ công thăm dò, công từ chối dịch vụ số loại công khác Trên sở đó, luận văn trình bày nhu cầu vai trò hệ thống giám sát an toàn mạng kiến trúc hệ thống mạng Lào khả triển khai áp dụng hệ thống giám sát hệ thống trung tâm LANIC Chương II CÁC THÀNH PHẦN HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG 2.1 Giới thiệu chương Nội dung chương hai giới thiệu thành phần, kiến trúc hệ thống, kỹ thuật theo dõi, phát xâm nhập, cảnh báo hệ thống giám sát mạng, vấn đề giám sát lưu lượng mạng, công Chương có sâu tìm hiểu số phương thức kỹ thuật thu thập thông tin dựa vào trích xuất gói tin thường gặp đồng thời có mô tả số phương pháp, mô hình phát lưu lượng bất thường kết nối bất thường 2.2 Mô hình kiến trúc hệ thống giám sát an toàn mạng Mô hình kiến trúc hệ thống giám sát an toàn mạng hệ thống giám sát cố, thu thập thông tin nhật ký kiện an toàn mạng từ thiết bị đầu cuối, lưu trữ liệu cách tâp trung, theo dõi tình trạng hoạt động thiết bị máy tính hệ thống Hệ thống bao gồm phần mềm ghi nhận thông tin giúp người quản trị hệ thống ghi nhận, theo dõi thông tin qua 2.2.1 Thành phần trung tâm hệ thống giám sát an toàn mạng Thành phần trung tâm hệ thống giám sát an toàn mạng có tên Bộ quản lý kiện thông tin an toàn mạng (SIEM - Security Information and Event Manager) Đây thành phần quan trọng hệ thống giám sát an toàn mạng, có nhiệm vụ tổng hợp phân tích thông tin Thông tin thu thập từ phần mềm ghi nhận thông tin thiết bị đầu cuối, vị trí giám sát đặt mạng Thông tin SIEM tổng hợp tiến hành phân tích để nhận công, xâm hại vào hệ thống, dấu hiệu hành vi sách an toàn mạng, phát hành vi độc hại biết liên quan đến thiết bị đầu cuối Việc thu thập thông tin log từ tất thiết bị mạng, thiết bị an ninh, từ máy chủ, máy trạm từ ứng dụng nhằm lưu trữ lâu dài quản lý tập trung theo thời thực, phục vụ cho công tác thống kê điều tra cần thiết 2.2.2 IP sec VNP gateway Các kết nối từ vị trí giám sát mạng trung tâm giám sát an toàn mạng bảo mật thông qua VNP gateway, thực với giao thức bảo mật IPSec 2.2.3 IDS / IPS IDS (Intrusion Detection System) IPS (Intrusion Prevention System) thiết bị (máy tính cài đặt phần mềm chuyên dụng) phần mềm chuyên dụng cho phát xâm nhập trái phép ngăn chặn xâm nhập Đa phần IDS đại có cài đặt thêm phần chống xâm nhập, nghĩa IPS Do vậy, IDS IPS coi IDS/IPS cài đặt phương pháp phát có khả chống lại kiểu công mới, hành vi lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Tuy nhiên LaoCERT hệ thống nghiên cứu, chưa ứng dụng triển khai nhiều thực tế 2.3 Các chức tối thiểu hệ thống giám sát an toàn mạng 2.3.1 Bốn hoạt động thiết yếu Mô tả bốn hoạt động thiết yếu hệ thống giám sát an toàn mạng gồm: Thu thập liệu Phân tích liệu Phát xâm nhập Cảnh báo 2.3.2 Các chức chủ yếu hệ thống giám sát an toàn mạng Thu thập liệu (Collection) Thu thập liệu bao gồm nhiệm vụ sau: Xác định vị trí có điểm yếu tồn hệ thống ISP Xác định nguy xảy công mạng Xác định nguồn liệu có liên quan Tinh chế nguồn liệu thu thập Cấu hình cổng SPAN để thu thập liệu gói tin từ vị trí giám sát mạng Xây dựng sở liệu (SAN) cho lưu giữ nhật ký Cần hình phần cứng phần mềm thu thập liệu vị trí giám sát Phân tích liệu (Analysis) Phân tích giai đoạn thu thập thông tin hệ thống công việc phân tích thông tin, cụ thể việc thực mục hóa liệu, phát điều bất thường, mối đe dọa hệ thống Phân tích liệu thực với nhiệm vụ sau: 10 Phân tích gói tin thu Phân tích tình trạng mạng Phân tích tình trạng máy chủ Phân tích kiện phần mềm độc hại gây Phát (Detection) Phát trình phân tích liệu Qua liệu thu thập phân tích kiểm tra dựa kiện quan sát liệu thu thập không mong đợi Kết tạo liệu phục vụ cho việc cảnh báo Cảnh báo (Alert) Cảnh báo trình phát Các kết phát chọn lọc, đưa cảnh báo tùy theo mức độ nguy hiểm 2.3.3 Các kỹ thuật phân tích Nhiệm vụ hệ thống theo dõi, giám sát bảo vệ cho hệ thống máy tính dựa phân tích hành vi, phân tích dấu hiệu công đưa cảnh báo Việc nhận kẻ xâm nhập nhiệm vụ Phân tích dựa dấu hiệu hay gọi phát sử dụng sai Phương pháp phân biệt hoạt động thông thường người dùng hoạt động bất thường để tìm công nguy hiểm kịp thời 2.3.4 Các kỹ thuật phát Phát xâm nhập chức phần mềm thực phân tích liệu thu thập để tạo liệu cảnh báo Phát xâm nhập trái phép (Intrusion Detection System –IDS) phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống 2.3.5 Cảnh báo hệ thống giám sát an toàn mạng Cảnh báo hệ thống giám sát an toàn mạng bảo đảm an ninh thông tin, cảnh báo mối đe dọa, dấu hiệu bất thường hệ thống mạng, cung cấp 11 theo thời gian thực hành vị bất thường ghi nhận hệ thống cho người quản trị mạng quan, đơn vị, tổ chức theo thời gian thực Hệ thống (Security Information and Event Manager - SIEM) với hệ thống dựa vào thông tin kiện (event log) thu thập hệ thống mạng phân tích đưa thông tin, cảnh báo realtime hành động bất thường thông báo qua email SMS 2.4 Kiến trúc hệ thống thu thập thông tin 2.4.1 Kiến trúc hệ thống Chức thu thập thông tin (bắt giữ gói tin - packet capture) thực thông qua kiến trúc hệ thống sau: 2.4.2 Các thiết bị phục vụ thu thập mẫu, thu thập thông tin Trên sở cấp trên, phần trình bày chi tiết thiết bị sử dụng để thu thập thông tin vị trí mạng Thu thập thông tin nghĩa thu xem gói tin 2.4.2.1Thiết bị Hub: 2.4.2.2 SPAN Port: 2.4.2.3Network Tap: 2.4.3 Các module 2.4.3.1Module bắt giữ gói tin (Sensor): Việc thu thập thông tin thực qua thiết bị sensor (gồm phần cứng phần mềm) Các chức phân hệ bắt giữ gói tin bao gồm: Thu thập thông tin lưu lượng mạng Thu thập thông tin công mạng Thu thập mã độc hại phát tán mạng Thu thập phát dấu hiệu xâm nhập trái phép, đột nhập mạng 12 2.5 Một số phương pháp phát bất thường Phát bất thường phát biến đổi không bình thường hệ thống mạng, ví dụ có thăng giáng đáng kể so với lưu lượng bình thường mạng Phát nhanh sớm tượng bất thường giúp sớm phát dấu hiệu công mạng, dựa dấu hiệu sau: 2.5.1 Dựa dấu hiệu lưu lượng bất thường Phát dựa dấu hiệu (signature-based detection) hay gọi phát sử dụng sai Phương pháp phân biệt hoạt động thông thường người dùng hoạt động bất thường để tìm công nguy hiểm kịp thời Các dấu hiệu chia thành hai loại: Các dấu hiệu công – chúng mô tả mẫu hoạt động gây mối đe dọa bảo mật Điển hình, chúng thể mối quan hệ phụ thuộc thời gian loạt hoạt động kết hợp lại với hoạt động trung tính Các chuỗi văn chọn – dấu hiệu hợp với chuỗi văn tìm kiếm hoạt động nghi ngờ 2.5.2 Dựa dấu hiệu hành vi bất thường Phát dựa bất thường hay mô tả sơ lược phân tích hoạt động mạng máy tính lưu lượng mạng nhằm tìm kiếm bất thường Sự bất thường chệch hướng hay khỏi thứ tự, dạng, nguyên tắc thông thường Phát bất thường nhanh chóng phát công từ bên sử dụng tài khoản người dùng bị thỏa hiệp (compromised user account) 2.5.3 Dựa vào dấu hiệu kết nối bất thường Trong trình theo dõi kết nối – mạng xuất kết 13 nối lạ địa IP tên miền, kết nối ta có chi tiết thông tin máy tính mạng kết nối đồng thời xem hành vi dựa gói tin thu thập 2.6 Các mô hình điển hình cho phát bất thường Phát bất thường mạng phát lưu lượng có biến đổi không bình thường, có thăng giáng đáng kể so với thông lượng bình thường mạng, phát hành vi bất thường, kết nối bất thường Sự bất thường biến động lưu lượng tuyến kết nối, thay đổi cặp địa IP nguồn/đích, cặp cổng giao thức 2.6.1 Nhóm mô hình thống kê a) Mô hình hoạt động số đo ngưỡng (Operational Model or Threshold Metric): b) Mô hình chuỗi Markov hay mô hình đánh dấu (Markov Process or Marker Model) c) Mô hình mô-ment xác suất hay mô hình độ lệch trung bình độ lệch chuẩn (Statistical Moments or Mean and Standard Deviation) 2.6.2 Nhóm mô hình dựa vào tri thức a) Mô hình hệ chuyên gia (Expert System) b) Mô hình phân tích mẫu dấu hiệu (Signature Analysis) c) Mô hình phân tích chuyển đổi trạng thái (State Transition Analysis) 2.6.3 Nhóm mô hình dựa vào khai phá liệu (Data mining based Models) a) Mô hình phân cụm (Clustering Model) b) Mô hình phân lớp (Classification Model) 2.6.4 Nhóm mô hình học máy (Machine Learning Models) a) Mô hình dựa theo hệ miễn dịch nhân tạo (Artificial Immune System - AIS) b) Mô hình dựa theo máy vectơ hỗ trợ (Support Vector Machines - SVM) 14 2.7 Kết luận chương Chương hai đưa thành phần hệ thống giám sát an toàn mạng thành phần hệ thống giám sát bao gồm mô hình kiến trúc hệ thống giám sát an toàn mạng, thành phần, thiết bị kiến trúc phần mềm Ngoài đưa vấn đề giám sát lưu lượng, số phương pháp phát lưu lượng bất thường kết nối bất thường hoạt động giám sát đồng thời đưa sở lý thuyết mô hình điển hình cho phát lưu lượng bất thường Phần trình bày kiến trúc hệ thống thu thập thông tin từ mạng, hệ thống trung tâm, vấn đề truyền liệu từ sensor trung tâm, sử dụng số tiện ích phần mềm, demo số kết thử nghiệm hệ thống triển khai áp dụng hệ thống giám sát an toàn mạng LaoCERT cho quan, đơn vị, tổ chức doanh nghiệp vừa nhỏ Lào 15 Chương III TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG TỐI THIỂU CHO LAOCERT 3.1 Giới thiệu chương Chương trình bảy kiến trúc hệ thống thu thập thông tin từ mạng, hệ thống trung tâm, vấn đề truyền liệu từ sensor trung tâm, sử dụng số tiện ích phần mềm, demo số kết thử nghiệm hệ thống triển khai áp dụng hệ thống giám sát an toàn mạng LaoCERT cho quan, đơn vị, tổ chức doanh nghiệp vừa nhỏ Lào 3.2 Kiến trúc hệ thống thu thập thông tin từ mạng Kiến trúc hệ thống thu thập thông tin có chức phần mềm giám sát mạng sau: Thu thập thông tin Phát dấu hiệu công dựa tập luật Phát dấu hiệu bất thường Giám sát phân tích lưu lượng mạng Theo dõi tình trạng ứng dụng dịch vụ mạng Từ nhận xét trên, luận văn xây dựng sơ đồ chức phần mềm cho thiết bị gồm khối sau: Khối thu thập thông tin Khối giám sát lưu lượng mạng Khối đưa cảnh báo vi phạm luật Việc thu thập thông tin theo cấp ta chia thành cách sử dụng sau: Sử dụng sensors cài đặt toàn mạng để theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu thu nhận phân tích lưu lượng thời gian thực, gửi tín hiệu cảnh báo đến trạm quản trị cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa 16 Sử dụng sensors cài đặt tất máy chủ, máy trạm để quan sát tất hoạt động hệ thống, file log lưu lượng mạng thu thập Hệ thống trung tâm giám sát an toàn mạng, đặt Trung tâm ứng cứu khẩn cấp máy tính Lào – LaoCERT gồm modul chính: Giám sát an toàn mạng có vai trò quan trọng thông qua công tác giám sát kịp thời phát dấu hiệu công, đưa phương án xử lý nhanh trước cố, giúp cho LaoCERT, quan, tổ chức nhanh chóng khôi phục lại 17 hoạt động có cố an toàn mạng xảy Hoạt động giám sát an toàn mạng cần thực hiện, trì liên tục, đội ngũ chuyên trách giám sát an toàn mạng cần nâng cao trình độ chuyên môn, lực xử lý trước tình dự báo trước công nguy hiểm vào hệ thống mạng công nghệ thông tin giám sát 3.4 Vấn đề truyển liệu từ Sensor trung tâm Vấn đề truyển liệu từ sensor trung tâm nhiệm vụ bắt kiểm tra tất gói liệu để tìm dấu hiệu hành vi công, xâm nhập Sau phát dấu hiệu, sensor tạo cảnh báo chỗ lưu thông tin kiện, nội dung gói liệu liên quan vào dạng lưu trữ định, thường log file Các sensor cài đặt nhiều vị trí khác hệ thống mạng, gateway, phân vùng mạng quan trọng hệ thống cần giám sát Dữ liệu chứa thông tin cảnh báo kiện công mà sensor phát đưa hệ thống lưu trữ trung tâm 3.5 Một số tiện ích phần mềm hệ thống giám sát 3.5.1 Phần mềm Snort SNORT phần mềm phát xâm nhập mạng mã nguồn mở (Network Intrusion Detection System - NIDS) viết Martin Roesch đánh giá phần mềm IDS hiệu SNORT IDS hoạt động dựa luật lưu trữ file text chỉnh sửa người quản trị 3.5.2 Thành phần SNORT SNORT chia thành nhiều thành phần Những thành phần làm việc với để phát cách công cụ thể tạo output có định dạng theo yêu cầu.: Bộ phận giải mã gói tin (Packet Decoder); nhân gói tin từ giao diện mạng khác gửi cho phận phát 18 Bộ phận tiền xử lý (Preprocessor); chuẩn hóa liệu nhận Bộ phận phát (Dectection Engine); dựa dấu hiệu hành vi Hệ thống ghi log cảnh báo (Logging and Alerting System); phận phát tìm thấy gói tin, gói tin sử dụng để ghi lại hành vi Bộ phận đầu (Output Modules); hủy gói tin/ chặn kết nối công 3.5.3 Kiến trúc Snort Chức Snort phụ thuộc vào chế độ hoạt động quy định thời điểm chạy Snort có ba chế hoạt động chính: chế độ sniffer, log gói tin chế độ NIDS Chế độ sniffer cho phép Snort bắt gói tin xuất chúng hình định dạng đọc Chế độ log gói tin tương tự chế độ sniffer, ghi gói tin vào tệp tin hình Chế độ NIDS, thiết kế để đọc liệu bắt giư từ mạng, với mục tiêu cuối đưa cảnh báo 19 3.5.4 Phần mềm Suricata Trong Snort IDS phổ biến dựa chữ ký ngày nay, công cụ khác phổ biến không Suricata, IDS mã nguồn mở phát triển OISF Điều chủ yếu hiệu nó, việc thiết kế thực đa luồng Chức Suricata tương tự Snort, khác chỗ Suricata cho phép xử lý đa luồng 3.5.4.1 Các chức Suricata Đa luồng (Multi threading): Đa luồng IDS, nhiều luồng gói tin xử lý Luồng sử dụng nhiều module thread để xử lý công việc Luồng có hàng đợi xử lý đầu vào hàng đợi xử lý đầu Chúng sử dụng để lấy gói tin từ luồng khác từ packetpool chung (global) Một luồng đặt CPU/lõi Thống kê hiệu (Performance Statistics): Có hai phần để thống kê hiệu suất Đầu tiên, module đếm mục, chẳng hạn module đếm dòng mới/giây Thứ hai, module thu thập tất số liệu thống kê viết thống kê cho người quản trị xem thông qua log, snmp Công cụ thống kê hiệu suất thu thập như: số byte, số gói tin, lưu lượng, kích cỡ, giao thức, 3.5.4.2 Kiến trúc Suricata:: Suricata phát triển dựa Snort nên giữ nguyên kiến trúc bên Snort Kiến trúc có nhiều thành phần, với thành phần có chức riêng Các thành phần Suricata: Module giải mã gói tin Module tiền xử lý Module phát Module ghi cảnh báo 20 Module xuất thông tin Suricata chọn lọc nghiên cứu phù hợp với đề tài Luận văn nên sử dụng số module nhỏ đó, đặc biệt bắt gói tin giải mã gói tin, tiền xử lý Quá trình bắt gói tin, xử lý, phát hiện, đưa log file Suricata tương tự Snort 3.6 Demo số kết thử nghiệm 3.6.1 Tải Snort mạng để cài đặt 3.6.2 Khởi tạo Snort Suricata cho việc phát xâm nhập 3.6.3 Cấu hình Snort Suricata 3.6.3.1 Các biến 3.6.3.2 Đầu cảnh báo 3.6.3.3 Các tiền xử lý 3.7 Khả triển khai cho quan, tổ chức, doanh nghiệp Lào Như trình bày phần trên, hệ thống giám sát an toàn mạng áp dụng hạ tầng công nghệ thông tin Lào sau Triển khai áp dụng hệ thống giám sát an toàn mạng cho trung tâm mạng Internet quốc gia Lào Bộ bưu Viễn thông Lào Triển khai cho quan, đơn vị, tổ chức doanh nghiệp vừa nhỏ Thủ đô Viêng Chăn 3.8 Kết luận chương Chương trình bày kiến trúc hệ thống thu thập thông tin từ mạng việc thu thập, xử lý phân tích thông tin an toàn mạng truyển liệu từ sensor trung tâm xử lý Ngoài sử dụng phần mềm snort để bắt gói tin đưa kết thử nghiệm hệ thống 21 KẾT LUẬN Qua thời gian nghiên cứu nội dung: “Hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính Lào - LaoCERT” em có hội tìm hiểu sâu thành phần, module tạo nên hệ thống giám sát an toàn mạng Trong khuôn khổ thời gian có hạn, luận văn không tránh khỏi thiếu sót, thực thử nhiệm hệ thống Xây dựng hệ thống giám sát an toàn mạng nhu cầu thực tế Lào, đặc biệt cho Trung tâm ứng cứu khẩn cấp máy tính Lào – LaoCERT Trong nội dung luận văn giải số vấn đề sau: Nghiên cứu tìm hiểu số kiểu công điển hình bước triển khai công, tìm hiểu tổng quan hệ thống giám sát an toàn mạng Nghiên cứu mô hình triển khai hệ thống giám sát, thành phần, phương pháp kỹ thuật cho thu thập liệu, phân tích phát công mạng, phát bất thường, đưa cảnh báo Nghiên cứu, đưa kiến trúc hệ thống giám sát an toàn mạng LaoCERT, bao gồm thành phần bản, số tiện ích phần mềm triển khai đưa số kết thử nghiệm Một số vấn đề nội dung chưa giải được: Chưa xây dựng tường lửa để ngăn chặn công Chưa có nhiều demo chưa nhiều kết thử nghiệm hệ thống giám sát an toàn mạng Trong thời gian tới, em tiếp tục nghiên cứu, phát triển thêm số chức bổ sung cho hệ thống, ví dụ như: Phân tích thống kê kịp thời dạng công mà hệ thống chưa đưa Demo sô kết thử nghiệm hệ thống giám sát an toàn mạng cho LaoCERT toàn diện Bộ bưu Viễn thông Lào Triển khai áp dụng hệ thông giám sát an toàn mạng cho quan, đơn vị, tổ chức doanh nghiệp vừa nhỏ Thủ đông Viêng chăn 22 ... mạng thu thập Hệ thống trung tâm giám sát an toàn mạng, đặt Trung tâm ứng cứu khẩn cấp máy tính Lào – LaoCERT gồm modul chính: Giám sát an toàn mạng có vai trò quan trọng thông qua công tác giám. .. vai trò hệ thống giám sát an toàn mạng kiến trúc hệ thống mạng Lào khả triển khai áp dụng hệ thống giám sát hệ thống trung tâm LANIC Chương II CÁC THÀNH PHẦN HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG 2.1... nhiệm hệ thống Xây dựng hệ thống giám sát an toàn mạng nhu cầu thực tế Lào, đặc biệt cho Trung tâm ứng cứu khẩn cấp máy tính Lào – LaoCERT Trong nội dung luận văn giải số vấn đề sau: Nghiên cứu