THỰC TẬP DOANH NGHIỆP CÔNG TY CP FPT TELECOM

ìm hiểu những thách thức đặt ra trong việc quản lý cơ sở hạ tầng an ninh hệ thống.  Tìm hiểu hệ thống giám sát và phân tích các sự kiện an ninh là gì và động lực để triển khai hệ thống giám sát và phân tích các sự kiện an ninh.  Tìm hiểu một số giải pháp thường gặp ( thương mại, mã nguồn mở).  Lựa chọn giải pháp phù hợp, so sánh, giải thích lý do chọn giải pháp này.  Tìm hiểu những tính năng của giải pháp, những tính năng này phục vụ những yêu cầu gì, bảo vệ cái gì trong thực tế ?  Tìm hiểu về kiến trúc hệ thống.  Đề xuất mô hình triển khai.  Kiểm tra tính năng trong môi trường lab ảo.  Kiểm tra tính năng trong môi trường thực tế.  Biết, hiểu, phân tích ( nâng cao) các cảnh báo, dấu hiệu bất thường trong hệ thống.  Tìm hiểu về cơ chế phát hiện cuộc tấn công ( dựa trên signatures hay behavior ? Nếu là signatures thì như thế nà

ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG CÔNG TY CP VIỄN THÔNG FPT TELECOM

BÁO CÁO THỰC TẬP DOANH NGHIỆP

ĐƠN VỊ THỰC TẬP: CÔNG TY CP FPT TELECOM CÁN BỘ HƯỚNG DẪN: NGUYỄN TĂNG HƯNG

THỰC TẬP SINH: NGUYỄN LÊ TUẤN KIỆT

TPHCM, 6/2016

ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG CÔNG TY CP VIỄN THÔNG FPT TELECOM

BÁO CÁO THỰC TẬP DOANH NGHIỆP

CÁN BỘ HƯỚNG DẪN: NGUYỄN TĂNG HƯNG THỰC TẬP SINH: NGUYỄN LÊ TUẤN KIỆT

TPHCM, 6/2016

NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN

NHẬN XÉT CỦA KHOA

để em có thể hoàn thành được nhiệm vụ của mình tại công ty

Đồng thời cảm ơn tất cả mọi người trong công ty đã hướng dẫn, giúp đỡ cho em tận tình cả những khó khăn trong công việc, đến những khó khăn việc làm quen với môi trường mới Tạo điều kiện để em nghiên cứu và học hỏi thêm nhiều nội dung và thích ứng công việc từ đơn giản đến phức tạp và đi sâu hơn về nội dung công việc trong ứng dụng thực tế

Cuối cùng xin cảm ơn thầy cô trong khoa Mạng máy tính & Truyền thông đã nhiệt tình hỗ trợ, tạo điều kiện cho em hoàn thành bài báo cáo này

Nguyễn Lê Tuấn Kiệt

MỤC LỤC

I GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN VIỄN THÔNG FPT TELECOM 1

I.1 Giới thiệu chung: 1

I.2 Giới thiệu về tổ An Toàn Thông Tin 2

I.3 Nhiệm vụ sinh viên được phân công, thời gian thực hiện thực tế: 2

I.3.1 Đề tài thực tập: 2

I.3.2 Yêu cầu đối với đề tài: 2

I.3.3 Kế hoạch thực hiện đề tài: 2

I.3.4 Mục tiêu đạt được: 4

II NỘI DUNG CHI TIẾT CÔNG VIỆC 5

II.1 Khái niệm về giám sát an ninh mạng: Security Monitoring 5

II.2 Tại sao phải giám sát an ninh mạng: 5

II.3 Một số giải pháp giám sát an ninh mạng thường gặp: 7

II.3.1 Giải pháp quản lý an ninh thông tin SIM 7

II.3.2 Hệ thống quản lý sự kiện an ninh SEM 8

II.3.3 Hệ thống quản lý và phân tích sự kiện an ninh SIEM 9

II.3.4 Một số giải pháp SIEM thương mại – miễn phí thường gặp: 9

II.3.5 Những chức năng cơ bản của một hệ thống SIEM 10

II.3.6 Một số tiêu chí để chọn một giải pháp SIEM phù hợp: 11

II.4 Giới thiệu về hãng AlienVault và sản phẩm AlienVault OSSIM: 12

II.4.1 Kiến trúc AlienVault OSSIM: 13

II.4.2 Một số chức năng chính: 15

II.4.3 Một số tính năng: 16

II.5 Kết quả thực nghiệm: 17

II.5.1 Mô hình triển khai: 17

II.5.2 Danh sách các bài Lab thực hiện: 18

III TÀI LIỆU THAM KHẢO: 20

DANH MỤC HÌNH ẢNH

Hình II.1 Hệ thống SIM 7

Hình II.2 Hệ thống SEM 8

Hình II.3 Hệ thống SIEM 9

Hình II.4 Biểu đồ Gartner về các hệ thống SIEM năm 2015 13

Hình II.5 Kiến trúc AlienVault OSSIM 14

Hình II.6 Một số tính năng chính 16

Hình II.7 Mô hình triển khai 17

Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

18 năm hoạt động, FPT Telecom đã trở thành một trong những nhà cung cấp dịch vụ viễn thông và Internet hàng đầu khu vực với hơn 6000 nhân viên, 60 chi nhánh trong và ngoài nước Hiện nay, FPT Telecom đang cung cấp các sản phẩm, dịch vụ chính bao gồm:

 Internet băng rộng: ADSL/VDSL, TriplePlay, FTTH

 Kênh thuê riêng, Tên miền, Email, Lưu trữ web, Trung tâm dữ liệu

 Các dịch vụ giá trị gia tăng trên Internet: Truyền hình FPT, Điện thoại cố định (VoIP), Giám sát từ xa(IP Camera), Chứng thực chữ ký số (CA), Điện toán đám mây (Cloud computing),

Với phương châm “Mọi dịch vụ trên một kết nối”, FPT Telecom luôn không ngừng nghiên cứu và triển khai tích hợp ngày càng nhiều các dịch vụ giá trị gia tăng trên cùng một đường truyền Internet nhằm đem lại lợi ích tối đa cho khách hàng sử dụng Đồng thời, việc đẩy mạnh hợp tác với các đối tác viễn thông lớn trên thế giới, xây dựng các tuyến cáp quang quốc tế là những hướng đi được triển khai mạnh mẽ để đưa các dịch

vụ tiếp cận với thị trường toàn cầu, nâng cao hơn nữa vị thế của FPT Telecom nói riêng

và các nhà cung cấp dịch vụ viễn thông Việt Nam nói chung

Các lĩnh vực mà công ty CP Viễn Thông FPT Telecom hoạt động:

 Cung cấp hạ tầng mạng viễn thông cho dịch vụ Internet băng thông rộng

 Cung cấp các sản phẩm, dịch vụ viễn thông, Internet

 Dịch vụ giá trị gia tăng trên mạng Internet, điện thoại di động

 Dịch vụ tin nhắn, dữ liệu, thông tin giải trí trên mạng điện thoại di động

 Cung cấp trò chơi trực tuyến trên mạng Internet, điện thoại di động

 Thiết lập hạ tầng mạng và cung cấp các dịch vụ viễn thông, Internet

 Xuất nhập khẩu thiết bị viễn thông và Internet

Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

2 | P a g e

Hiện tại, FPT Telecom hiện đang hoạt động theo mô hình 2 công ty thành viên:

 CÔNG TY TNHH MTV VIỄN THÔNG QUỐC TẾ FPT (FPT TELECOM INTERNATIONAL, VIẾT TẮT LÀ FTI)

 CÔNG TY TNHH MTV VIỄN THÔNG FPT TÂN THUẬN

I.2 Giới thiệu về tổ An Toàn Thông Tin

SOC Team ( Security Operation Center Team) là nhóm được thành lập từ ban dự án của FPT ( FPT R&D Team) có nhiệm vụ, chức năng chính sau:

 Thực hiện việc pentest website và các sản phẩm khác của ban dự án FPT

 Phối hợp với ban dự án để phát hiện, sửa lỗi các sản phẩm trước khi thực hiện

chạy production

 Nghiên cứu hệ thống SIEM và các hệ thống phân tích log

I.3 Nhiệm vụ sinh viên được phân công, thời gian thực hiện thực tế:

I.3.1 Đề tài thực tập:

Tên đề tài Tìm hiểu, triển khai hệ thống giám sát và phân tích các sự kiện

an ninh Cán bộ HD: Nguyễn Tăng Hưng

Thời gian thực

hiện

Từ ngày 14/3/2016 đến hết ngày 14/5/2016

I.3.2 Yêu cầu đối với đề tài:

 Đề xuất được solution Proposal về hệ thống giám sát và phân tích các sự kiện

an ninh hệ thống SIEM ( Security Information and Event Management)

 Hiểu được các tính năng và vai trò của chúng trong thực tế

 Demo được các tính năng tương ứng

I.3.3 Kế hoạch thực hiện đề tài:

Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

3 | P a g e

Tài nguyên

cần hỗ trợ Công việc thực hiện Thời gian dự kiến

- Tìm hiểu, lập kế hoạch thực hiện đề

- Tìm hiểu về hệ thống giám sát an ninh

- Tìm hiểu về giải pháp AlienVault OSSIM

- So sánh một số giải pháp thường gặp, giải thích lý do tại sao chọn giải pháp này

- Tìm hiểu cơ chế hoạt động của SPAN port trên các catalyst switch Cisco

Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

4 | P a g e

I.3.4 Mục tiêu đạt được:

Tài liệu này mô tả chức năng, cách thức triển khai hệ thống giám sát và phân tích các

sự kiện an ninh bằng giải pháp AlienVault OSSIM (OpenSource Security Information and Event Management) :

 Tìm hiểu những thách thức đặt ra trong việc quản lý cơ sở hạ tầng an ninh hệ thống

 Tìm hiểu hệ thống giám sát và phân tích các sự kiện an ninh là gì và động lực

để triển khai hệ thống giám sát và phân tích các sự kiện an ninh

 Tìm hiểu một số giải pháp thường gặp ( thương mại, mã nguồn mở)

 Lựa chọn giải pháp phù hợp, so sánh, giải thích lý do chọn giải pháp này

 Tìm hiểu những tính năng của giải pháp, những tính năng này phục vụ những yêu cầu gì, bảo vệ cái gì trong thực tế ?

 Tìm hiểu về kiến trúc hệ thống

 Đề xuất mô hình triển khai

 Kiểm tra tính năng trong môi trường lab ảo

 Kiểm tra tính năng trong môi trường thực tế

 Biết, hiểu, phân tích ( nâng cao) các cảnh báo, dấu hiệu bất thường trong hệ thống

 Tìm hiểu về cơ chế phát hiện cuộc tấn công ( dựa trên signatures hay behavior ? Nếu là signatures thì như thế nào, còn nếu là behavior thì cơ chế xây dựng nên baseline hệ thống bằng cách nào)

 Tìm hiểu về cách customize một rule phù hợp với nhu cầu

 Tìm hiểu về khả năng mở rộng cũng như cơ chế xây dựng HA cho hệ thống ( có thể tìm hiểu thêm các case studies, best practice trên trang web của hãng )

- Tìm hiểu về khả năng mở rộng cũng như giải pháp xây dựng cơ chế HA cho hệ thống

2/5 – 8/5

- Báo cáo, xây dựng tài liệu 9/5 – 13/5

Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

5 | P a g e

II NỘI DUNG CHI TIẾT CÔNG VIỆC

II.1 Khái niệm về giám sát an ninh mạng: Security Monitoring

Giám sát an ninh mạng ( Network Security Monitoring ) là một qui trình bao gồm thu thập, phân tích và leo thang thông tin để có thể kịp thời phát hiện, ngăn chặn và

phản ứng nhanh với các mối đe dọa tiềm tàng trong hệ thống Giám sát an ninh mạng ( NSM ) là một cách hữu hiệu để có thể phát hiện nhanh chóng mối đe dọa trước khi họ

có thể gây hại đến chúng ta

Đối tượng của giám sát an ninh mạng là tất cả các thành phần, thiết bị trong hệ thống mạng, bao gồm:

 Log và Alerts:

o Giải pháp bảo mật : IPS/IDS, Firewall, DLP, Web Filter, Proxy, WAF,

o Hạ tầng mạng: Router, Switch, Domain Controller, Wireless Access Point, Application Server

 Knowledge:

o Thông tin về hạ tầng: kiến trúc, mô hình mạng, thông tin cấu hình thiết bị mạng

o Kiến thức, qui trình nghiệp vụ kinh doanh

II.2 Tại sao phải giám sát an ninh mạng:

Chúng ta không thể quản lý những gì mà chúng ta không thể đo đạc Đó là nguyên tắc vàng trong quản lý và đối với việc quản lý an toàn thông tin cũng không phải là ngoại

lệ Vì vậy để quản lý an toàn thông tin, là biến ATTT thành thứ có thể đo đạt, so sánh được Một cách duy nhất để biến an toàn thông tin thành thứ có thể đo đạt được bằng cách thu thập log file (file nhật ký ) từ các thiết bị càng nhiều càng tốt Nhưng làm sao

để có thể theo dõi sự hoạt động của người dùng cuối, ứng dụng trong hệ thống, thiết bị phần cứng cũng như các tài sản mạng đang hiện hữu, đồng thời cũng phải đảm bảo được việc tuân thủ thực thi theo các chuẩn chính sách như ISO27001 hay PCI DSS trong khi

hệ thống mạng ngày càng rộng lớn, qui mô doanh nghiệp ngày càng mở rộng ? Trong khi số lượng các log file tạo từ các thiết bị là vô cùng lớn, với các kiểu định dạng khác nhau, mỗi file log từ các thiết bị mang lại một lượng thông tin khác nhau Đồng thời, ở

Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

6 | P a g e

mỗi thiết bị khác nhau đem lại một khía cạnh, một cách nhìn khác nhau về cùng một sự kiện an toàn thông tin Như vậy làm sao để có thể thu thập, đồng thời “xây dựng lên mối quan hệ” giữa thông tin mà các thiết bị này đem lại một cách nhanh nhất ? Giải pháp mà chúng ta đề xuất là xây dựng một hệ thống monitoring đơn thuần ? Liệu hệ thống monitoring thông thường đó có “đủ” đem lại thông tin mà chúng ta cần ?

Trước hết, xét đến các giải pháp phòng chống xâm nhập như Firewall, IDS/IPS, Proxy, DLP,… Với các giải pháp này, thường dùng cách tiếp cận “dùng phân tích để phân loại các packet trong thời gian thực ” mà vì vậy chúng ta có thể phát hiện, cảnh báo và thậm chí là ngăn chặn ( nếu như được cấu hình đúng ) các cuộc tấn công vào hệ thống Tuy nhiên, vẫn có khả năng các thiết bị này nhận lầm ( false positive ), không phát hiện được cuộc tấn công ( false negative ) hoặc do lỗi của nhà quản trị bỏ sót Các giải pháp này vẫn thực hiện được việc ghi log lại những dấu hiệu bất thường hay thậm chí là cuộc tấn công, tuy nhiên chúng chỉ ghi lại nhận một phần khía cạnh mà chúng hoạt động Ví dụ: giải pháp về Endpoint Security chỉ thu thập được thông tin về username, host, các file, hoạt động của user trên một host cụ thể, giải pháp về IDS/IPS chỉ thu thập thông tin về gói tin, giao thức, địa chỉ IP, Payload, giải pháp về Service Log ghi lại thông tin về user login, session hoạt động,… Những thông tin này chỉ là điều kiện cần để có thể thực hiện giám sát an ninh, nhưng vẫn chưa là điều kiện đủ để giám sát toàn hệ thống Cái chúng

ta mong muốn là một cái nhìn toàn diện về hệ thống, về qui trình nghiệp vụ đang diễn

ra

Tiếp đến, xét đến các giải pháp network monitoring thông thường Với giải pháp này,

dù là theo mô hình agent / server hay agentless thì cung cấp khả năng thu thập log từ các thiết bị mạng, các thiết bị đầu cuối : computer, server,… đem cho chúng ta cái nhìn tổng quan chủ yếu là về performance của các thiết bị, đáp ứng đủ những nhu cầu công việc hằng ngày Tuy nhiên, các sự kiện này không phản ánh được đúng mức độ an ninh của hệ thống, chẳng hạn một công việc backup vẫn có thể gây ảnh hưởng đến hiệu năng mạng, có dấu hiệu “tương tự” như một cuộc tấn công nhưng thật chất không phải là một cuộc tấn công thật sự Để có thể kết luận là một cuộc tấn công, thực sự cần rất nhiều

“dấu hiệu” khác nhau Vì vậy giải pháp network monitoring vẫn chưa “đủ”

Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

7 | P a g e

Còn đối với cách tiếp cận của một giải pháp về giám sát an ninh thì nó sẽ “tách thành phần phát hiện ra khỏi thành phần phòng thủ” tức là trước hết cung cấp một cái nhìn tổng thể về hệ thống cũng như là kiến trúc mạng Nó thu thập các thông tin từ các hệ thống bảo vệ, chuẩn hóa, tiến hành phân tích đưa các mối tương quan sự kiện trong hệ thống để phát hiện, cảnh báo sớm những mối đe dọa SẼ diễn ra trong hệ thống, sau đó mới cung cấp các giải pháp kịp thời để ứng phó với các mối đe dọa,… và vì vậy đối với giải pháp này không tiêu tốn quá nhiều tài nguyên cho việc phân tích “on-the-fly” một packet như các giải pháp khác

II.3 Một số giải pháp giám sát an ninh mạng thường gặp:

II.3.1 Giải pháp quản lý an ninh thông tin SIM

Hình II.1 Hệ thống SIM

Giải pháp SIM là một phần trong giải pháp giám sát an ninh mạng tập trung giải quyết vấn đề việc lưu trữ, quản lý tập trung các thông tin log file của các thiết bị mạng như Router, switch, AP, các thiết bị đầu cuối như Server, Computer đến cả các thiết bị bảo mật như Firewall, IDS/IPS,… cho phép việc quản lý, truy xuất dễ dàng thông qua thiết

bị tập trung duy nhất Các giải pháp SIM thường hoạt động theo cơ chế agent – server, agent sẽ chịu trách nhiệm thu thập các thông tin và gửi về cho server, server có nhiệm

vụ hiển thị, thống kê, báo cáo cho quản trị viên Một số giải pháp thương mại mà chúng

Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

9 | P a g e

Hạn chế của giải pháp này là không có khả năng thực hiện được chuẩn hóa dữ liệu, vì vậy trước khi triển khai hệ thống SEM thì chúng ta cần một hạ tầng thu thập và chuẩn hóa log Một số giải pháp SEM thường gặp như là LogZilla ( opensource), ArchSight Logger ( thương mại)

II.3.3 Hệ thống quản lý và phân tích sự kiện an ninh SIEM

Hình II.3 Hệ thống SIEM

SIEM là sự khắc phục điểm yếu của hai giải pháp trên bằng cách kết hợp SIM và SEM thành một giải pháp tổng pháp tổng thể có tên mới là SIEM SIEM thu thập thông tin từ nhiều thiết bị khác nhau, tiến hành lưu trữ, phân tích, hỗ trợ kết xuất báo cáo (tính năng của SIM) và xây dựng mối tương quan giữa các sự kiện an ninh trong hệ thống để phát hiện, theo dõi, cảnh báo những dấu hiệu bất thường có thể dẫn đến cuộc tấn công ( tính năng của SEM)

II.3.4 Một số giải pháp SIEM thương mại – miễn phí thường gặp:

AlienVault USM ( Unified Security

Management )

IBM Security Qradar

AlienVault OSSIM ( OpenSource Security Information and Event Management )