Đang tải... (xem toàn văn)
TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) và THỰC NGHIỆM TRÊN MÃ NGUỒN MỞSIEM (Security Infomation and Event Management Hệ thống bảo mật thông tin và quản lý sự kiện an ninh) là hệ thống các phần mềm và dịch vụ được kết hợp từ SIM (Security information management) và SEM (Security event management). SIEM cung cấp dịch vụ phân tích thời gian thực và cảnh báo bảo mật được tạo từ dữ liệu thu thập từ các ứng dụng và phần cứng mạng.SIEM thu thập các dữ liệu về các sự kiện an ninh từ nhiều thiết bị khác nhau trong hệ thống để phân tích, tương quan và đưa ra cảnh báo bảo mật cho người quản trị về những nguy cơ đang xảy ra với hệ thống. SIEM còn cung cấp giải pháp ứng phó với các sự cố an ninh mạng, chuẩn hóa, lưu trữ và quản lý dữ liệu an ninh và dữ liệu đăng nhập.
TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN ❖ BÀI BÁO CÁO TIỂU LUẬN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỂU SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) VÀ THỰC NGHIỆM TRÊN MÃ NGUỒN MỞ Giảng viên hướng dẫn : ThS Nguyễn Thị Thanh Vân Sinh viên thực 14110054 Nguyễn Trường Hận : TP HỒ CHÍ MINH, THÁNG NĂM 2018 Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Tp Hồ Chí Minh, ngày… tháng … năm …… Giảng viên hướng dẫn Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN Tp Hồ Chí Minh, ngày… tháng … năm …… Giảng viên phản biện Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM LỜI CẢM ƠN Trên thực tế khơng có thành công mà không gắn liền với hỗ trợ, giúp đỡ dù hay nhiều, dù trực tiếp hay gián tiếp người khác Trong suốt thời gian từ bắt đầu thực đề tài đến nay, chúng em nhận nhiều quan tâm, giúp đỡ hướng dẫn cô giảng viên hướn dẫn Chúng em xin chân thành cảm ơn cô Nguyễn Thị Thanh Vân giảng viên khoa Công nghệ thông tin tận tâm hướng dẫn chúng em qua buổi báo cáo lớp buổi nói chuyện, thảo luận lĩnh vực sáng tạo báo cáo tiểu luận chun ngành Nếu khơng có lời hướng dẫn, dạy bảo báo cáo chúng em khó hồn thiện Một lần nữa, em xin chân thành cảm ơn cô Bài báo cáo thực khoảng thời gian tháng Bước đầu vào thực tế, tìm hiểu lĩnh vực sáng tạo nghiên cứu khoa học, kiến thức chúng em hạn chế nhiều bỡ ngỡ Trong q trình làm báo cáo tiểu luận chuyên ngành , khó tránh khỏi sai sót, mong hội đồng bỏ qua Đồng thời trình độ kinh nghiệm thực tiễn hạn chế nên báo cáo khơng thể tránh khỏi thiếu sót, chúng em mong nhận ý kiến đóng góp hội đồng để chúng em học thêm nhiều kinh nghiệm hoàn thành tốt báo cáo tốt nghiệp tới Sau cùng, em xin kính chúc q thầy thật dồi sức khỏe, niềm tin để tiếp tục thực sứ mệnh cao đẹp truyền đạt kiến thức cho hệ mai sau TP Hồ Chí Minh, ngày tháng năm 2018 Sinh viên thực Trần Đình Thi Nguyễn Trường Hận Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM DANH MỤC TỪ VIẾT TẮT PC: Personal Computer (Máy tính cá nhân) OS: Operating system (Hệ điều hành) DNS: Domain Name System (Hệ thống phân giải tên miền) DHCP: Dynamic Host Configuration Protocol (Hệ thống cấp phát địa Ip động) IDS: Intrucsion Detection System (Hệ thống phát xâm nhập) FTP: File Transfer Protocol (Phương thức chuyển tập tin) SIEM: Security Infomation and Event Management (Hệ thống bảo mật thông tin quản lý kiện an ninh) SEM: Security event management SIM: Security information management UDP: User Datagram Protocol (Giao thức cốt lõi giao thức TCP/IP) SNMP: Simple Network Management Protocol (Tập hợp giao thức mạng) OPSEC: Open Platform for Security SFTP: Secure File Transfer Protocol NAS: Network Attached Storage (Hệ thống lưu trữ liệu) SAN: Storage Area Networks OpenVAS: Open Vulnerability Assessment System (Phần mền rò quét điểm yếu hệ thống) P0f: Passive OS fingerprinting OSSEC: Open Source Host-based Intrusion Detection System GPL: GNU General Public License Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM DANH MỤC HÌNH ẢNH Hình 1: Các tính hệ thống SIEM 13 Hình 2: Thành phần hệ thống SIEM 18 Hình 3: Các nguồn liệu SIEM thu thập 22 Hình 4: Các dạng hiển thị liệu SIEM 25 Hình 5: Giao diện Splunk Enterprise 28 Hình 6: Sơ đồ thu thập liệu Splunk Enterprise 28 Hình 7: Cơng cụ tích hợp với Splunk Enterprise 30 Hình 8: Giao diện web OSSIM 31 Hình 9: Mơ hình mạng thực nghiệm 35 Hình 10: Giao diện Splunk Enterprise 37 Hình 11: Upload liệu lên server 37 Hình 12: Danh sách file logs 38 Hình 13: Mở file cấu hình quyền administrator 38 Hình 14: Cấu hình file inputs.conf 39 Hình 15: Khởi động Splunk forwader 40 Hình 16: Cấu hình port server nhận liệu 40 Hình 17: : Cấu hình port server nhận liệu 40 Hình 18: Kiểm tra server nhận host chưa 41 Hình 19: Danh sách file logs sau nhận log từ host 41 Hình 20: Download universal forwader cho linux 41 Hình 21: Cài đặt universal forwader client linux 42 Hình 22: Cài đặt universal forwader client linux 42 Hình 23: Khởi động universal forwader client linux 43 Hình 24: Cấu hình nhận server client linux 43 Hình 25: Xem danh sách server 43 Hình 26: Kiểm tra cấu hình ghi lại file outputs.config hay chưa 43 Hình 27: Cấu hình thêm data file inputs.config 44 Hình 28: Chạy cấu hình file input.config 44 Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM Hình 29: Kiểm tra server nhận host chưa 44 Hình 30: Danh sách file log nhận host 45 Hình 31: Tạo báo cáo cho dịch vụ SSH 45 Hình 32: Tạo báo cáo cho dịch vụ NTP 45 Hình 33: Tạo báo cáo cho dịch vụ web 46 Hình 34: Tạo báo cáo cho dịch vụ Telnet login 46 Hình 35: Tạo báo cáo cho dịch vụ FTP 46 Hình 36: Danh sách báo cáo 47 Hình 37: Cấu hình email dùng để gửi cảnh báo 47 Hình 38: Cài đặt bảo mật cho mail dùng để gửi cảnh cáo tới mail quản trị viên nhận cảnh báo 48 Hình 39: Tạo cảnh báo cho FTP kết nối thất bại 48 Hình 40: Tạo cảnh báo cho dịch vụ SSH kết nối thất bại 49 Hình 41: Đã thiết đặt email thành cơng 49 Hình 42: Xem liệu hệ thống 50 Hình 43: Nội dung file text lưu trữ nội dung file log tronng khoảng thời gian định 50 Hình 44: Dashboard cho dịch vụ SSH 51 Hình 45: Dashboard cho dịch vụ FTP 51 Hình 46: Thư mục lưu log cảnh báo hệ thống OSSEC 52 Hình 47: Tải thư mục chứa file logs cảnh báo hệ thống OSSEC vào Splunk server 52 Hình 48: Danh sách file logs cảnh bảo cảu hệ thống OSSEC gửi lên Splunk server 53 Hình 49: Giao diện công cụ DVWA 53 Hình 50: Tấn cơng SQL injection vào website server 54 Hình 51: Các file log nhận công website 54 Hình 52: Tạo cảnh cáo website bị công 54 Hình 53: Cảnh báo gửi tới mail quản trị viên 55 Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM DANH MỤC BẢNG BIỂU Bảng 1: Hệ thống mạng thực nghiệm 35 Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM MỤC LỤC NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN LỜI CẢM ƠN .3 DANH MỤC TỪ VIẾT TẮT DANH MỤC HÌNH ẢNH DANH MỤC BẢNG BIỂU MỤC LỤC PHẦN MỞ ĐẦU .11 Lý chọn đề tài .11 Mục tiêu đề tài 11 Đối tượng đề tài .12 Nội dung đề tài 12 Ý nghĩa đề tài 12 PHẦN NỘI DUNG 13 Chương 1: TÌM HIỂU HỆ THỐNG SECURITY INFORMATION AND EVENT MANAGEMENT (SIEM) 13 1.1 Tổng quan SIEM 13 1.2 Các tính hệ thống SIEM .14 Thu thập liệu, quản lí tập trung, tương quan kiện an ninh 14 Báo cáo, cảnh báo tới quản trị viên hệ thống, hiển thị tình trạng hệ thống 15 Kiểm soát truy cập, giám sát, đảm bảo an toàn hệ thống .15 Cung cấp giải pháp xử lý cố 16 1.3 Lợi ích, ưu điểm SIEM .16 1.4 Các thành phần hệ thống SIEM 17 Thiết bị nguồn dịch vụ .18 Các dạng ghi log 20 1.5 Cơ chế hoạt động hệ thống SIEM .21 Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM Thu thập thông tin từ thiết bị 21 Phân tích, chuẩn hóa ghi log, tương quan kiện an ninh 23 Theo dõi giám sát hệ thống 25 Báo cáo, cảnh báo, lưu trữ liệu 25 Chương 2: 2.1 CÁC CÔNG CỤ TRIỂN KHAI HỆ THỐNG SIEM 27 Splunk Enterprise 27 Cơ chế Splunk Enterprise thu thập thông tin 28 Splunk Enterprise giám sát hệ thống 29 Splunk Enterprise lưu trữ liệu 29 Splunk Enterprise ứng phó với cố 29 Mở rộng 29 2.2 AlienVault OSSIM 30 Phương pháp thu thập thông tin OSSIM 31 Tương quan kiện an ninh OSSIM 31 Các hành động ứng phó cố an ninh OSSIM 33 Một số cơng cụ mã nguồn mở tích hợp OSSIM 33 Chương 3: THỰC NGHIỆM 35 3.1 Mô tả 35 3.2 Sơ đồ mạng 35 3.3 Kịch 36 3.4 Công cụ 36 3.5 Triển khai 36 Upload liệu từ thư mục var/logs máy server 37 Cài đặt để client windows gửi log server .38 Cấu hình Universal forwarder máy client Ubuntu để gửi log cho server 41 Tạo báo cáo cho dịch vụ .45 Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM Hình 23: Khởi động universal forwader client linux B4 Cấu hình universal forwader nhận server Lệnh: /opt/splunkforwarder/bin/splunk add forward-server 192.168.2.3:9997 Hình 24: Cấu hình nhận server client linux B5 Kiểm tra danh sách server mà client forward tới Lệnh: /opt/splunkforwarder/bin/splunk list forward-server Hình 25: Xem danh sách server B6 Kiểm tra lại cấu hình Hình 26: Kiểm tra cấu hình ghi lại file outputs.config hay chưa 43 Báo cáo tiểu luận chun ngành mạng máy tính Hình 27: Cấu hình thêm data file inputs.config B7 Chạy cấu hình file input.config Lệnh: /opt/splunkforwarder/bin/splunk btool outputs list debug Hình 28: Chạy cấu hình file input.config Hình 29: Kiểm tra server nhận host chưa 44 Hệ thống SIEM Báo cáo tiểu luận chun ngành mạng máy tính Hình 30: Danh sách file log nhận host Tạo báo cáo cho dịch vụ Hình 31: Tạo báo cáo cho dịch vụ SSH Hình 32: Tạo báo cáo cho dịch vụ NTP 45 Hệ thống SIEM Báo cáo tiểu luận chun ngành mạng máy tính Hình 33: Tạo báo cáo cho dịch vụ web Hình 34: Tạo báo cáo cho dịch vụ Telnet login Hình 35: Tạo báo cáo cho dịch vụ FTP 46 Hệ thống SIEM Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM Hình 36: Danh sách báo cáo Tạo cảnh báo dịch vụ kết nối thất bại gửi cảnh báo đến mail quản trị viên B1 Cấu hình email dùng để gửi mail cảnh báo Hình 37: Cấu hình email dùng để gửi cảnh báo B2 Cài đặt bảo mật email dùng để gửi cảnh báo cho phép ứng trụy gửi mail splunk server truy cập 47 Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM Hình 38: Cài đặt bảo mật cho mail dùng để gửi cảnh cáo tới mail quản trị viên nhận cảnh báo B3 Thiết đặt email nhận cảnh báo Alert tạo Splunk server Hình 39: Tạo cảnh báo cho FTP kết nối thất bại 48 Báo cáo tiểu luận chuyên ngành mạng máy tính Hình 40: Tạo cảnh báo cho dịch vụ SSH kết nối thất bại Hình 41: Đã thiết đặt email thành công Xem liệu lưu dạng mục Dữ liệu lưu /opt/splunk/var/lib/splunk/defaultdb/db 49 Hệ thống SIEM Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM Hình 42: Xem liệu hệ thống Hình 43: Nội dung file text lưu trữ nội dung file log tronng khoảng thời gian định Tạo Dashboard dịch vụ 50 Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM Hình 44: Dashboard cho dịch vụ SSH Hình 45: Dashboard cho dịch vụ FTP Kết hợp Splunk Enterprise với hệ thống phát chống xâm nhập OSSEC B1 Tải cài đặt hệ thống mã nguồn mở OSSEC với gói cài đặt cần thiết máy splunk server thư mực /var/ Lệnh: get install build-essential gcc make apache2 libapache2-mod-php7.0 php7.0 php7.0-cli php7.0-common apache2-utils unzip wget sendmail inotify-tools –y wget https://github.com/ossec/ossec-hids/archive/2.9.0.tar.gz tar -xvzf 2.9.0.tar.gz cd ossec-hids-2.9.0 sh install.sh B2 Khởi động OSSEC Lệnh: 51 Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM /var/ossec/bin/ossec-control restart B3 Hệ thống OSSEC dễ dàng phát dấu công lưu thông tin chúng dạng file log tại: /var/ossec/logs/alerts/ Hình 46: Thư mục lưu log cảnh báo hệ thống OSSEC B4 Tải thư mục chứa file logs cảnh báo hệ thống OSSEC vào Splunk server Hình 47: Tải thư mục chứa file logs cảnh báo hệ thống OSSEC vào Splunk server 52 Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM Hình 48: Danh sách file logs cảnh bảo cảu hệ thống OSSEC gửi lên Splunk server Tạo cảnh cáo website server bị công Sử dụng công cụ mã nguồn mở Damn Vulnerable Web Application (DVWA) tạo môi trường thực hành công website hợp pháp Kiểu công sử dụng SQL injection với mức Security low Hình 49: Giao diện cơng cụ DVWA B1 Tấn cơng website Mã: 3' union all select 1,group_concat(user,password) from users # 53 Báo cáo tiểu luận chuyên ngành mạng máy tính Hình 50: Tấn cơng SQL injection vào website server B2 Kiểm tra log nhận Hình 51: Các file log nhận công website B3 Tạo cảnh báo Hình 52: Tạo cảnh cáo website bị công 54 Hệ thống SIEM Báo cáo tiểu luận chuyên ngành mạng máy tính Hình 53: Cảnh báo gửi tới mail quản trị viên 55 Hệ thống SIEM Báo cáo tiểu luận chuyên ngành mạng máy tính Hệ thống SIEM PHẦN KẾT LUẬN Trong lĩnh vực an ninh mạng, phát phòng chống cơng xâm nhập cho mạng máy tính đề tài hay, thu hút ý nhiều nhà nghiên cứu với nhiều hướng nghiên cứu nước khác SIEM giải cung cấp nhìn tổng thể hệ thống, quét lỗ hổng, đánh giá tổn thương, thu thập liệu sau phân tích liên kết kiện an ninh đưa cảnh báo báo cáo đáp ứng với chuẩn quốc tế Với mong muốn tìm hiểu triển khai thực tế giải pháp công nghệ xu ứng dụng đảm bảo an ninh cho hệ thống mạng giới Trong trình tìm hiểu, nghiên cứu triển khai, khóa luận chứng minh vai trò, ưu điểm SIEM việc đảm bảo an ninh cho hệ thống Kết đạt Trong giới hạn thực đề tài chúng em triển khai hệ thống SIEM với máy server hai máy client, cấu hình để client gửi file log cho server tiến hành phân tích log, tạo báo cáo cảnh báo theo yêu cầu quản trị viên Phát công website dạng SQL injection gửi cảnh báo cho quản trị viên qua email Tạo biểu đồ thể thông tin dịch vụ hệ thống Kết hợp Splunk Enterprise với phần mềm mã nguồn mở khác nhằm giúp cho việc giám sát an toàn hệ thống trở nên hiệu Song nhiều hạn chế Chưa đạt Vì hạn chế trình độ thời gian nên chúng em chưa thực số tính hệ thống SIEM ngăn chặn, xử lí có cơng, kiểm sốt truy cập người dùng hệ thống số chức phức tạp khác Khó khăn Trong q trình thực đề tài, chúng em gặp khó khăn định hướng mục tiêu đề tài, tìm kiếm nguồn tài liệu xác triển khai số chức phức tạp hệ thống SIEM, tìm hiểu cài đặt công cụ hỗ trợ cần thiết cho phần thực nghiệm Nhưng nhờ có hướng dẫn giản viên hướng dẫn giúp đỡ bạn bè chúng em dần hoàn thiện đề tài đạt kết định Phần giới thiệu cho người đọc nhìn tổng qt xác hệ thống giám sát an tồn mạng quản lí kiện an ninh SIEM 56 Báo cáo môn học lập trình mạng IMAP EMAIL CLIENT TÀI LIỆU THAM KHẢO [1] Lợi ích hệ thống giám sát an toàn mạng – SIEM, http://securitydaily.net/loi-ich-cua-mot-he-thong-giam-sat-an-toan-mang-siem/, 2/1/2018 [2] “Đồ án Splunk enterprise”, https://123doc.org//document/3586432-do-an-splunkenterprise.htm, 2/1/2018 [3] “Basic about Splunk”, https://www.scribd.com/document/365745120/278949990Basic-about-Splunk-docx, 2/1/2018 [4] “Splunk Document”, http://docs.splunk.com/Documentation, 2/1/2018 [5] “Splunk”, https://vi.wikipedia.org/wiki/Splunk, 2/1/2018 [6] “Giám sát mạng với Splunk - Part I”, https://sapham.net/giam-sat-mang-voisplunk-part-i/, 2/1/2018 [7] “SIEM”,http://www.tcivietnam.com/san-pham-dich-vu/giai-phap-an-toan- thong-tin-siem.html, 2/1/2018 [8] “How to Install and Configure OSSEC on Ubuntu Linux.”, https://blog.rapid7.com/2017/06/30/how-to-install-and-configure-ossec-on-ubuntulinux/, 3/1/2018 [9] “OSSEC HIDS”, http://nixmicrosoft.blogspot.com/2013/10/ossec-hids-host- based-intrusion.html, 3/1/2018 [10] “SIEM integration”, https://vincentlauzon.com/2016/12/02/azure-monitoring- siem-integration/, 3/1/2018 [11] “What is Splunk | https://www.youtube.com/watch?v=Ekai8Ln11Iw, 3/1/2018 57 Splunk Training”, ... chuyển tập tin) SIEM: Security Infomation and Event Management (Hệ thống bảo mật thông tin quản lý kiện an ninh) SEM: Security event management SIM: Security information management UDP: User Datagram... INFORMATION AND EVENT MANAGEMENT (SIEM) 1.1 Tổng quan SIEM SIEM (Security Infomation and Event Management - Hệ thống bảo mật thông tin quản lý kiện an ninh) hệ thống phần mềm dịch vụ kết hợp từ SIM (Security. .. thống SIEM mã nguồn mở với mơ hình mạng nhỏ, thực số tính biệt SIEM Đối tượng đề tài Hệ thống giám sát an toàn mạng quản lí kiện security information and event management (SIEM) Nội dung đề tài