Đang tải... (xem toàn văn)
ìm hiểu những thách thức đặt ra trong việc quản lý cơ sở hạ tầng an ninh hệ thống. Tìm hiểu hệ thống giám sát và phân tích các sự kiện an ninh là gì và động lực để triển khai hệ thống giám sát và phân tích các sự kiện an ninh. Tìm hiểu một số giải pháp thường gặp ( thương mại, mã nguồn mở). Lựa chọn giải pháp phù hợp, so sánh, giải thích lý do chọn giải pháp này. Tìm hiểu những tính năng của giải pháp, những tính năng này phục vụ những yêu cầu gì, bảo vệ cái gì trong thực tế ? Tìm hiểu về kiến trúc hệ thống. Đề xuất mô hình triển khai. Kiểm tra tính năng trong môi trường lab ảo. Kiểm tra tính năng trong môi trường thực tế. Biết, hiểu, phân tích ( nâng cao) các cảnh báo, dấu hiệu bất thường trong hệ thống. Tìm hiểu về cơ chế phát hiện cuộc tấn công ( dựa trên signatures hay behavior ? Nếu là signatures thì như thế nà
ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THƠNG TIN KHOA MẠNG MÁY TÍNH & TRUYỀN THƠNG CÔNG TY CP VIỄN THÔNG FPT TELECOM BÁO CÁO THỰC TẬP DOANH NGHIỆP ĐƠN VỊ THỰC TẬP: CÁN BỘ HƯỚNG DẪN: THỰC TẬP SINH: MSSV: CÔNG TY CP FPT TELECOM NGUYỄN TĂNG HƯNG NGUYỄN LÊ TUẤN KIỆT 12520212 TPHCM, 6/2016 ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THƠNG TIN KHOA MẠNG MÁY TÍNH & TRUYỀN THƠNG CÔNG TY CP VIỄN THÔNG FPT TELECOM BÁO CÁO THỰC TẬP DOANH NGHIỆP CÁN BỘ HƯỚNG DẪN: NGUYỄN TĂNG HƯNG THỰC TẬP SINH: NGUYỄN LÊ TUẤN KIỆT MSSV: 12520212 TPHCM, 6/2016 NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN NHẬN XÉT CỦA KHOA LỜI CẢM ƠN Trân trọng gửi lời cảm ơn Công ty CP Viễn Thông FPT Telecom tạo điều kiện cho em có hội thực tập công ty Chỉ thời gian ngắn, nhờ dẫn nhiệt tình anh Nguyễn Anh Đức, anh Nguyễn Tăng Hưng anh chị SOC Team hỗ trợ, giúp đỡ để em hồn thành nhiệm vụ cơng ty Đồng thời cảm ơn tất người công ty hướng dẫn, giúp đỡ cho em tận tình khó khăn cơng việc, đến khó khăn việc làm quen với mơi trường Tạo điều kiện để em nghiên cứu học hỏi thêm nhiều nội dung thích ứng cơng việc từ đơn giản đến phức tạp sâu nội dung công việc ứng dụng thực tế Cuối xin cảm ơn thầy cô khoa Mạng máy tính & Truyền thơng nhiệt tình hỗ trợ, tạo điều kiện cho em hoàn thành báo cáo Nguyễn Lê Tuấn Kiệt MỤC LỤC I GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN VIỄN THÔNG FPT TELECOM I.1 Giới thiệu chung: I.2 Giới thiệu tổ An Tồn Thơng Tin I.3 Nhiệm vụ sinh viên phân công, thời gian thực thực tế: I.3.1 Đề tài thực tập: I.3.2 Yêu cầu đề tài: I.3.3 Kế hoạch thực đề tài: I.3.4 Mục tiêu đạt được: II NỘI DUNG CHI TIẾT CÔNG VIỆC II.1 Khái niệm giám sát an ninh mạng: Security Monitoring II.2 Tại phải giám sát an ninh mạng: II.3 Một số giải pháp giám sát an ninh mạng thường gặp: II.3.1 Giải pháp quản lý an ninh thông tin SIM II.3.2 Hệ thống quản lý kiện an ninh SEM II.3.3 Hệ thống quản lý phân tích kiện an ninh SIEM II.3.4 Một số giải pháp SIEM thương mại – miễn phí thường gặp: II.3.5 Những chức hệ thống SIEM 10 II.3.6 Một số tiêu chí để chọn giải pháp SIEM phù hợp: 11 II.4 Giới thiệu hãng AlienVault sản phẩm AlienVault OSSIM: 12 II.4.1 Kiến trúc AlienVault OSSIM: 13 II.4.2 Một số chức chính: 15 II.4.3 Một số tính năng: 16 II.5 Kết thực nghiệm: 17 II.5.1 Mơ hình triển khai: 17 II.5.2 Danh sách Lab thực hiện: 18 III TÀI LIỆU THAM KHẢO: 20 DANH MỤC HÌNH ẢNH Hình II.1 Hệ thống SIM Hình II.2 Hệ thống SEM Hình II.3 Hệ thống SIEM Hình II.4 Biểu đồ Gartner hệ thống SIEM năm 2015 13 Hình II.5 Kiến trúc AlienVault OSSIM 14 Hình II.6 Một số tính 16 Hình II.7 Mơ hình triển khai 17 Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom I GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN VIỄN THÔNG FPT TELECOM I.1 Giới thiệu chung: Được thành lập ngày 31/01/1997, Công ty Cổ phần Viễn thông FPT (FPT Telecom) khởi đầu từ Trung tâm Dịch vụ Trực tuyến với thành viên sáng lập sản phẩm mạng Intranet Việt Nam mang tên “Trí tuệ Việt Nam – TTVN” Sau 18 năm hoạt động, FPT Telecom trở thành nhà cung cấp dịch vụ viễn thông Internet hàng đầu khu vực với 6000 nhân viên, 60 chi nhánh nước Hiện nay, FPT Telecom cung cấp sản phẩm, dịch vụ bao gồm: Internet băng rộng: ADSL/VDSL, TriplePlay, FTTH Kênh thuê riêng, Tên miền, Email, Lưu trữ web, Trung tâm liệu Các dịch vụ giá trị gia tăng Internet: Truyền hình FPT, Điện thoại cố định (VoIP), Giám sát từ xa(IP Camera), Chứng thực chữ ký số (CA), Điện toán đám mây (Cloud computing), Với phương châm “Mọi dịch vụ kết nối”, FPT Telecom không ngừng nghiên cứu triển khai tích hợp ngày nhiều dịch vụ giá trị gia tăng đường truyền Internet nhằm đem lại lợi ích tối đa cho khách hàng sử dụng Đồng thời, việc đẩy mạnh hợp tác với đối tác viễn thông lớn giới, xây dựng tuyến cáp quang quốc tế hướng triển khai mạnh mẽ để đưa dịch vụ tiếp cận với thị trường toàn cầu, nâng cao vị FPT Telecom nói riêng nhà cung cấp dịch vụ viễn thơng Việt Nam nói chung Các lĩnh vực mà công ty CP Viễn Thông FPT Telecom hoạt động: Cung cấp hạ tầng mạng viễn thông cho dịch vụ Internet băng thông rộng Cung cấp sản phẩm, dịch vụ viễn thông, Internet Dịch vụ giá trị gia tăng mạng Internet, điện thoại di động Dịch vụ tin nhắn, liệu, thơng tin giải trí mạng điện thoại di động Cung cấp trò chơi trực tuyến mạng Internet, điện thoại di động Thiết lập hạ tầng mạng cung cấp dịch vụ viễn thông, Internet Xuất nhập thiết bị viễn thông Internet 1|Page Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom Hiện tại, FPT Telecom hoạt động theo mơ hình cơng ty thành viên: CÔNG TY TNHH MTV VIỄN THÔNG QUỐC TẾ FPT (FPT TELECOM INTERNATIONAL, VIẾT TẮT LÀ FTI) CÔNG TY TNHH MTV VIỄN THÔNG FPT TÂN THUẬN I.2 Giới thiệu tổ An Tồn Thơng Tin SOC Team ( Security Operation Center Team) nhóm thành lập từ ban dự án FPT ( FPT R&D Team) có nhiệm vụ, chức sau: Thực việc pentest website sản phẩm khác ban dự án FPT Phối hợp với ban dự án để phát hiện, sửa lỗi sản phẩm trước thực chạy production Nghiên cứu hệ thống SIEM hệ thống phân tích log I.3 Nhiệm vụ sinh viên phân công, thời gian thực thực tế: I.3.1 Đề tài thực tập: Tên đề tài Tìm hiểu, triển khai hệ thống giám sát phân tích kiện an ninh Cán HD: Nguyễn Tăng Hưng SVTH Nguyễn Lê Tuấn Kiệt Thời gian thực Từ ngày 14/3/2016 đến hết ngày 14/5/2016 I.3.2 Yêu cầu đề tài: Đề xuất solution Proposal hệ thống giám sát phân tích kiện an ninh hệ thống SIEM ( Security Information and Event Management) Hiểu tính vai trò chúng thực tế Demo tính tương ứng I.3.3 Kế hoạch thực đề tài: 2|Page Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom Tài nguyên Công việc thực cần hỗ trợ - Tìm hiểu, lập kế hoạch thực đề tài - Thời gian dự kiến 14/3 – 20/3 Tìm hiểu hệ thống giám sát an ninh - Tìm hiểu giải pháp AlienVault OSSIM - So sánh số giải pháp thường gặp, giải thích lý chọn giải 21/3 – 3/4 pháp - Tìm hiểu chế hoạt động SPAN port catalyst switch Cisco Có thể yêu cầu hỗ trợ thêm máy để thực kết nối chạy máy ảo - Thực giai đoạn 4/4 – 17/4 - Thực giai đoạn 18/4 – 1/5 Có thể yêu cầu hỗ trợ training thêm pentest Yêu cầu thiết bị thật switch, router, pc, server,… 3|Page Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom thiết bị khác đem lại khía cạnh, cách nhìn khác kiện an tồn thơng tin Như để thu thập, đồng thời “xây dựng lên mối quan hệ” thông tin mà thiết bị đem lại cách nhanh ? Giải pháp mà đề xuất xây dựng hệ thống monitoring đơn ? Liệu hệ thống monitoring thơng thường có “đủ” đem lại thơng tin mà cần ? Trước hết, xét đến giải pháp phòng chống xâm nhập Firewall, IDS/IPS, Proxy, DLP,… Với giải pháp này, thường dùng cách tiếp cận “dùng phân tích để phân loại packet thời gian thực ” mà phát hiện, cảnh báo chí ngăn chặn ( cấu hình ) cơng vào hệ thống Tuy nhiên, có khả thiết bị nhận lầm ( false positive ), không phát công ( false negative ) lỗi nhà quản trị bỏ sót Các giải pháp thực việc ghi log lại dấu hiệu bất thường hay chí công, nhiên chúng ghi lại nhận phần khía cạnh mà chúng hoạt động Ví dụ: giải pháp Endpoint Security thu thập thông tin username, host, file, hoạt động user host cụ thể, giải pháp IDS/IPS thu thập thơng tin gói tin, giao thức, địa IP, Payload, giải pháp Service Log ghi lại thông tin user login, session hoạt động,… Những thông tin điều kiện cần để thực giám sát an ninh, chưa điều kiện đủ để giám sát toàn hệ thống Cái mong muốn nhìn tồn diện hệ thống, qui trình nghiệp vụ diễn Tiếp đến, xét đến giải pháp network monitoring thông thường Với giải pháp này, dù theo mơ hình agent / server hay agentless cung cấp khả thu thập log từ thiết bị mạng, thiết bị đầu cuối : computer, server,… đem cho nhìn tổng quan chủ yếu performance thiết bị, đáp ứng đủ nhu cầu công việc ngày Tuy nhiên, kiện không phản ánh mức độ an ninh hệ thống, chẳng hạn cơng việc backup gây ảnh hưởng đến hiệu mạng, có dấu hiệu “tương tự” công thật chất công thật Để kết luận cơng, thực cần nhiều “dấu hiệu” khác Vì giải pháp network monitoring chưa “đủ” 6|Page Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thơng FPT Telecom Còn cách tiếp cận giải pháp giám sát an ninh “tách thành phần phát khỏi thành phần phòng thủ” tức trước hết cung cấp nhìn tổng thể hệ thống kiến trúc mạng Nó thu thập thơng tin từ hệ thống bảo vệ, chuẩn hóa, tiến hành phân tích đưa mối tương quan kiện hệ thống để phát hiện, cảnh báo sớm mối đe dọa SẼ diễn hệ thống, sau cung cấp giải pháp kịp thời để ứng phó với mối đe dọa,… giải pháp không tiêu tốn nhiều tài nguyên cho việc phân tích “on-the-fly” packet giải pháp khác II.3 Một số giải pháp giám sát an ninh mạng thường gặp: II.3.1 Giải pháp quản lý an ninh thơng tin SIM Hình II.1 Hệ thống SIM Giải pháp SIM phần giải pháp giám sát an ninh mạng tập trung giải vấn đề việc lưu trữ, quản lý tập trung thông tin log file thiết bị mạng Router, switch, AP, thiết bị đầu cuối Server, Computer đến thiết bị bảo mật Firewall, IDS/IPS,… cho phép việc quản lý, truy xuất dễ dàng thông qua thiết bị tập trung Các giải pháp SIM thường hoạt động theo chế agent – server, agent chịu trách nhiệm thu thập thông tin gửi cho server, server có nhiệm vụ hiển thị, thống kê, báo cáo cho quản trị viên Một số giải pháp thương mại mà chúng 7|Page Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom ta kể đến ArcSight ESM, Q1 Lab Qradars, Symantec Security Information 360,… Điểm yếu: Tuy nhiên, hệ thống thiếu thành phần phân tích, xử lý kiện nên SIM phát xử lý kiện an ninh thông tin đơn giản Ngồi ra, SIM gọi LM (Log Management) II.3.2 Hệ thống quản lý kiện an ninh SEM Hình II.2 Hệ thống SEM Hệ thống SEM tập trung vào việc giải vấn đề phân tích, xử lý, xây dựng tương quan kiện an ninh từ nguồn liệu thu thập chuẩn hóa sẵn Điểm yếu : 8|Page Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom Hạn chế giải pháp khơng có khả thực chuẩn hóa liệu, trước triển khai hệ thống SEM cần hạ tầng thu thập chuẩn hóa log Một số giải pháp SEM thường gặp LogZilla ( opensource), ArchSight Logger ( thương mại) II.3.3 Hệ thống quản lý phân tích kiện an ninh SIEM Hình II.3 Hệ thống SIEM SIEM khắc phục điểm yếu hai giải pháp cách kết hợp SIM SEM thành giải pháp tổng pháp tổng thể có tên SIEM SIEM thu thập thông tin từ nhiều thiết bị khác nhau, tiến hành lưu trữ, phân tích, hỗ trợ kết xuất báo cáo (tính SIM) xây dựng mối tương quan kiện an ninh hệ thống để phát hiện, theo dõi, cảnh báo dấu hiệu bất thường dẫn đến cơng ( tính SEM) II.3.4 Một số giải pháp SIEM thương mại – miễn phí thường gặp: Thương mại AlienVault USM ( Unified Mã nguồn mở Security AlienVault OSSIM Management ) Security Information IBM Security Qradar Management ) ( OpenSource and Event 9|Page Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom Splunk Security Onion HP ArcSight Prelude LogRthythm Cisco MARS II.3.5 Những chức hệ thống SIEM Một số chức quan trọng mà giải pháp SIEM thiết phải có : Quản lý nhật ký kiện an ninh ( Log Management) : SIEM thực thu thập, quản lý log từ thiết bị hệ thống Sau đó, SIEM tiến hành chuẩn hóa thơng tin log theo định dạng dễ dàng cho việc xử lý, phân tích lưu trữ, tìm kiếm cơng tác pháp chứng sau Đảm bảo tuân thủ qui định an tồn thơng tin ( IT Regulatory Compliance ) : Chúng ta xây dựng tập luật riêng sử dụng tập luật xây dựng sẵn từ nhà sản xuất để kiểm tra tn thủ qui định an tồn thơng tin doanh nghiệp Sau đó, qui định đối chiếu với thông tin log thu thập để kiểm tra, xác định hành vi vi phạm qui định đặt tổ chức Xây dựng tương quan kiện an ninh thời gian thực ( Realtime Event Correlation ) : Xây dựng lên mối liên hệ thông tin thu thập thiết bị từ xác định có cần thiết phát cảnh báo hay khơng Tính hỗ trợ nhiều cho việc phát hành vi, dấu hiệu bất thường dẫn đến cơng mạng mà hạn chế cảnh báo giả ( false positive ) hệ thống Ví dụ, server hoạt động 100%, SIEM thiết lập để kiểm tra xem có kiện sau hay khơng ? o Phần mềm antimalware server có phát phần mềm độc hại hoạt động server hay không ? o Trên server có ứng dụng hay dịch vụ ngừng hoạt động hay không ? o Số lượng kết nối đến server gia tăng đột biến có phải nhu cầu đáng người dùng hay khơng ? 10 | P a g e Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom o Lưu lượng mạng tăng bất thường có phải người dùng hệ thống sử dụng công từ chối dịch vụ ? Các kết nối từ nguồn nguồn khác ? ( DOS hay DDOS ? ) Cung cấp hoạt động ứng phó ( Active Response ) : Khả tương tự khả chống xâm nhập thiết bị IPS Nếu có kiện vượt ngưỡng cho phép rules quản trị viên thiết lập thực hành động ( tự động block IP chẳng hạn) Cung cấp khả lưu trữ lâu dài ( Log Retention) : Khả lưu trữ thông tin nhật ký lâu dài phục vụ cho công tác pháp chứng, điều tra tội phạm số khả so sánh kiện khứ Đảm bảo an ninh thiết bị đầu cuối ( Endpoint Security) : cách giám sát hoạt động thiết bị an ninh khác Firewall, Host IDS, phần mềm antivirus hệ thống, giám sát hoạt động người dùng đảm bảo chúng hoạt động cách xác Ngồi ra, SIEM cung cấp khả quản lý phân loại tài sản phần cứng, phần mềm client hay server Do tính vượt trội mà giải pháp SIEM cung cấp, nên hầu hết giải pháp nhà sản xuất lớn thị trường xây dựng theo mơ hình SIEM II.3.6 Một số tiêu chí để chọn giải pháp SIEM phù hợp: Dù chọn giải pháp thương mại hay giải pháp mã nguồn mở miễn phí phải cần ý đến số tiêu chí quan trọng sau Phù hợp với qui mơ, kinh phí doanh nghiệp Số lượng thiết bị hỗ trợ: Đảm bảo tất phần mềm, phần cứng, thiết bị mạng có phải hỗ trợ Module thu thập biến cố Đảm bảo sensors phải có khả giám sát luồng traffic thu thập thông tin nhật ký cần quan tâm Tiêu chí phụ thuộc vào hai yếu tố : thứ 11 | P a g e Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom khả thu thập thiết bị thứ hai vị trí triển khai thiết bị sensors ( thường TAP SPAN port switch ) Khả xây dựng tập luật Đảm bảo tập luật phải đa dạng, phong phú có khả tùy biến hay tạo luật phù hợp với nhu cầu Khả lưu trữ linh hoạt đầy đủ Đảm bảo sở liệu hệ thống linh hoạt, đủ khả lưu trữ thơng tin có giá trị Khả mở rộng hoạt động hiệu Đảm bảo hệ thống phải có khả thu thập, xử lý nhanh với kiện Đồng thời, đảm bảo khả mở rộng dễ dàng có nhu cầu nâng cấp tương lai Khả sử dụng chức giao diện người dùng Giao diện trực quan, trình bày tất thơng tin quan trọng Ngồi hệ thống báo cáo phải đa dạng, phong phú, phù hợp với tiêu chuẩn có khả tùy biến cao Tính mở hệ thống Đây tiêu chí quan trọng việc ưu tiên lựa chọn sản phẩm mã nguồn mở cho phép người dùng tùy biến, phát triển thêm tính cho phù hợp với môi trường doanh nghiệp cụ thể II.4 Giới thiệu hãng AlienVault sản phẩm AlienVault OSSIM: AlienVault hãng tiếng cung cấp giải pháp bảo mật phần cứng lẫn phần mềm thành lập vào năm 2007 với trụ sở đặt Mỹ Với sứ mệnh cung cấp giải pháp đồng bảo mật cho doanh nghiệp với qui mô nào, đem lại bảo vệ toàn diện trước hầu hết nguy đến từ internet AlienVault phát triển giải pháp Unified Security Management với hỗ trợ cộng đồng Open Threat Exchange AlienVault Security Intelligence Lab Đồng thời, 12 | P a g e Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom hãng phát triển phiên mã nguồn mở cung cấp miễn phí ( với hạn chế tính ) để doanh nghiệp dùng thử trước định nâng cấp lên phiên thương mại với tính cao cấp Năm 2015, Sản phẩm AlienVault USM sản phẩm Garner đánh giá mức “Visionaries” Hiện OSSIM tích hợp với Prelule dự án MASSIF ( Management of Security Information and Event Management in Service Infrastructures) tài trợ Euroupe ICT với phát triển 17 tổ chức từ quốc gia nỗ lực xây dựng, triển khai “next generation SIEM” : hệ giải pháp SIEM truyền thống Hình II.4 Biểu đồ Gartner hệ thống SIEM năm 2015 II.4.1 Kiến trúc AlienVault OSSIM: Giải pháp AlienVault USM thiết kế theo kiến trúc lớp với thành phần Sensors, Server Logger Ngồi thành phần khác Framework hay Database Mỗi thành phần có chức khác 13 | P a g e Báo cáo thực tập doanh nghiệp – Cơng ty Cổ Phần Viễn Thơng FPT Telecom Hình II.5 Kiến trúc AlienVault OSSIM Thành phần AlienVault USM Servers: Cung cấp giao diện web quản lý đồng chức khác, cung cấp nhìn trực quan cho quản trị viên, hỗ trợ chức giải pháp SIEM : Các chức USM Servers: o Thu thập thông tin USM Sensors gửi o So sánh, xây dựng tương quan kiện Rule thiết lập sẵn o Cảnh báo, kết xuất báo cáo o Lưu trữ thơng tin cấu hình thành phần hệ thống o Lưu trữ tạm thời kiện hỗ trợ cho việc đánh giá rủi ro o Quản lý, thiết lập sách Thành phần AlienVault USM Sensors: Đây thành phần triển khai hạ tầng core – switch hệ thống mạng ( triển khai remote-site ), gồm thành phần chính: sensors, agent plugin Sensors giám sát luồng traffic, thực chức Agent thực thu thập log từ thiết bị mà muốn giám sát, chuyển thơng tin ( dạng raw – format ) cho plugins theo thiết bị, Các plugins tiến hành chuẩn hóa dạng chung gửi cho Server Mỗi dạng chuẩn hóa SỰ KIỆN USM 14 | P a g e Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom II.4.2 Một số chức chính: USM ngồi việc có đầy đủ tính giải pháp SIEM hỗ trợ thêm tính quan trọng việc sử dụng cơng cụ mã nguồn mở tích hợp giao diện nhất, cung cấp cho người quản trị nhìn đầy đủ tồn vẹn hệ thống tính bao gồm : Quản lý tài sản ( Asset Discovery), Đánh giá mối đe dọa lỗ hổng bảo mật ( Vulnerability and Threat Assessment), Phát mối đe dọa ( Threat Detection ), Giám sát hành vi ( Behavioral Monitoring ) SIEM ( quản lý & phân tích kiện) o Thu thập log từ thiết bị mạng từ thiết bị đầu cuối ( computer, server) o Giám sát luồng traffic vào hệ thống mạng o Phát phân loại tài sản o Thực chức quét lỗ hổng bảo mật o Thu thập, phân tích dấu hiệu bất thường o Kết xuất NetFlow cho số luồng traffic Mỗi thành phần Sensors có card mạng: Card Manage dùng để trao đổi liệu với thành phần khác, card Monitor thường gắn với SPAN port hệ thống core - switch ( gắn với TAP Network) Ngoài ra, sử dụng thêm card hỗ trợ thu thập log file từ thiết bị ( nhiên, card tùy chọn, tích hợp card vào card management được) Các remote sensors triển khai remote-site cấu hình giao tiếp với server trung tâm thông qua kết nối tcp thông thường ( liệu gửi plaintext) cấu hình kết nối thông qua VPN ( liệu gửi mã hóa ) Thành phần AlienVault USM Logger: Đây thành phần có nhiệm vụ lưu trữ bảo mật thông tin log thu thập từ Sensors ( dạng raw-log) , hỗ trợ cho công tác lưu trữ lâu dài việc điều tra, pháp chứng kỹ thuật số ( Khác với thành phần database server hỗ trợ cho việc lưu trữ tạm thời alarm, cảnh báo hệ thống thời gian ngắn ) 15 | P a g e Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thơng FPT Telecom II.4.3 Một số tính năng: Hình II.6 Một số tính Quản lý tài sản ( Asset Discovery): Hỗ trợ chế quét chủ động hay bị động, cho phép admin theo dõi thiết bị kết nối, danh sách phần mềm sử dụng, cấu hình chi tiết thiết bị để phát kịp thời mối đe dọa tiềm tàng hệ thống thông qua giao diện quản lý nhất, đồng thời phát kịp thời thiết bị trái phép hệ thống Đánh giá mối đe dọa lỗ hổng bảo mật ( Vulnerability and Threat Assessment) Hỗ trợ phát lỗ hổng bảo mật hệ thống, từ đưa giải pháp để khắc phục hai chế : Authenticated Scanning Unauthenticated scanning Phát mối đe dọa ( Threat Detection ) Hỗ trợ việc nhanh chóng phát dấu hiệu công cách sử dụng kết hợp giải pháp network IDS Host IDS Giám sát hành vi ( Behavioral Monitoring) Giám sát thay đổi bất thường mạng, hệ thống dịch vụ dẫn đến công 16 | P a g e Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom Quản lý phân tích kiện ( Security Information and Event Management) Open Threat Exchange (OTX): Open Threat Exchange cộng đồng người dùng AlienVault phát triển cho phép thu thập, phối hợp, chia sẻ thông tin công mối hiểm họa toàn giới với tham gia 140 quốc gia Người dùng tùy chọn chia sẻ thông tin mối đe dọa, thông tin kiểm định chuyên gia bảo mật AlienVault trước truyền tải đến cộng đồng người dùng sử dụng II.5 Kết thực nghiệm: II.5.1 Mơ hình triển khai: Hình II.7 Mơ hình triển khai Các thành phần hệ thống bao gồm: PfSense Firewall Domain Controller : Windows Server 2k8 với tên domain fpt.local Client Attacker sử dụng hệ điều hành Windows XP 17 | P a g e Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom Triển khai hệ thống AlienVault OSSIM vùng mạng INTERNAL theo kiểu cài đặt All-in-One (AIO) Triển khai thêm Remote Sensors lớp mạng DMZ, tiến hành cấu hình hệ thống theo mơ hình One Server – MultiSensors ( Sensors Internal sensor DMZ) Web Server sử dụng DVWQ tiện cho việc pentest cơng Web Application Trên server có cài sẵn Mod Security hỗ trợ việc phát công Web II.5.2 Danh sách Lab thực hiện: Lab 1: Cài đặt, triển khai AlienVault OSSIM o Task 1: Cài đặt AlienVault AIO o Task : Cài đặt AlienVault Sensors Lab 2: Triển khai mơ hình Single – Remote Sensors o Task 1: Cấu hình nhận remote sensor từ DMZ Lab 3: Triển khai Agent lên hệ thống Linux Windows o Task 1: Tích hợp AlienVault OSSIM vào Domain Controllers o Task 2: Triển khai OSSEC agent Windows theo hình thức tự động o Task 3: Triển khai OSSEC agent Linux theo hình thức thủ cơng o Task 4: Triển khai OSSEC Agentless thiết bị mạng o Task 5: Cấu hình Syslog server Alienvault Sensors Lab : Kiểm chứng tính bản: o Task 1: Kiểm chứng tính Asset Discovery o Task 2: Kiểm chứng tính quét lỗ hổng Vulnerability Scanning Lab 5: Web Application Attack Use Case o Task 1: Xây dựng use case cho công SQL Injection ( Remote Attack ) o Task 2: Xây dựng use case cho công Port Scanning ( Remote Attack ) Lab : Network Behavioral Analysis o Task 1: Tìm hiểu, cấu hình cơng cụ Netflow Analysis o Task 2: Tìm hiểu, cấu hình cơng cụ Network Protocol Analysis 18 | P a g e Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom Lab : System Monitoring Use Case o Task : Xây dựng use case cho việc phát thay đổi hệ thống o Task 2: Xây dựng use case cho việc phát cơng SSH BruteForce Lab 8: Tìm hiểu customize datasource plugin AlienVault o Task 1: Tìm hiểu data source plugin AlienVault o Task 2: Xây dựng data source plugin ModSecurity Lab : Tìm hiểu xây dựng correlation rules o Task 1: Tìm hiểu kỹ thuật phân tích tương quan o Task 2: Xây dựng logical Correlation rule AlienVault 19 | P a g e Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom III TÀI LIỆU THAM KHẢO: [1] David Vassallo, “AlienVault and ELK Integration” [Online] Avaiable at : http://blog.davidvassallo.me/2015/06/28/alienvault-elk-integration/ [2] HawDogFlvrWtr, “Raw Log Replacement for us open source folks Logstash, Kibana and Elastic Search” [online] Avaiable at : https://www.alienvault.com/forums/discussion/1206/raw-logger-replacement-for-usopensource-folks-logstash-kibana-elasticsearch/p1 [3] Damian Hermanowski, “Title of thesis : Test implement of the opensource program support IT audit”, Unpublish thesis type, PRACA DYPLOMOWA INŻYNIERSKA University, 2015 [4] ChrisFly, Martin Nystrom, Security Monitoring.Published by Oreily Media Inc, 1005 Graveinsteit Highway North 20 | P a g e ... Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom Hiện tại, FPT Telecom hoạt động theo mơ hình cơng ty thành viên: CÔNG TY TNHH MTV VIỄN THÔNG QUỐC TẾ FPT (FPT TELECOM. .. Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom I GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN VIỄN THÔNG FPT TELECOM I.1 Giới thiệu chung: Được thành lập ngày 31/01/1997, Công ty Cổ phần... HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THƠNG TIN KHOA MẠNG MÁY TÍNH & TRUYỀN THƠNG CÔNG TY CP VIỄN THÔNG FPT TELECOM BÁO CÁO THỰC TẬP DOANH NGHIỆP CÁN BỘ HƯỚNG DẪN: NGUYỄN TĂNG HƯNG THỰC TẬP SINH: NGUYỄN