Tất cả tài liệu: https://drive.google.com/drive/folders/1nBWniC3Q5ulu5cJZO2HIEufUtcEUC6k1?usp=sharing
Mục lục Câu Phòng thủ theo lỗ hổng bào mật theo nguy - Phòng thủ theo lỗ hổng bảo mật: Tương đương xây tường gạch: vững bảo vệ nhiều mục tiêu Vấn đề: Gạch hỏng theo thời gian, cần khắc phục liên tục Phòng thủ theo nguy cơ: Tương đương dùng thủ mơn bảo vệ: bị thất bại lần đầu, có - thể tích lũy kinh nghiệm để phát triển, thay đổi chiến thuật bảo vệ phù hợp Ưu điểm: học, thích nghi, phát triển Câu Chu trình giám sát ATM Chu trình NSM bao gồm ba giai đoạn: thu thập liệu, phát xâm nhập, phân tích liệu Bước Thu thập liệu Chu trình NSM bắt đầu với bước quan trọng thu thập liệu Việc thu thập liệu thực với kết hợp phần cứng phần mềm việc tạo, xếp lưu trữ liệu cho việc phát xâm nhập phân tích liệu hệ thống NSM Thu thập liệu phần quan trọng chu trình NSM bước thực định hình khả tổ chức việc phát xâm nhập phân tích liệu hiệu Thu thập liệu bao gồm nhiệm vụ sau: Xác định vị trí có nhiều điểm yếu tồn tổ chức Xác định nguy ảnh hưởng đến mục tiêu tổ chức Xác định nguồn liệu có liên quan Tinh chế nguồn liệu thu thập Cấu hình cổng SPAN để thu thập liệu gói tin Xây dựng lưu trữ SAN cho lưu giữ nhật ký Cấu hình phần cứng phần mềm thu thập liệu Bước Phát xâm nhập Phát xâm nhập trình mà qua thu thập liệu kiểm tra cảnh báo tạo dựa kiện quan sát liệu thu thập không mong đợi Điều thường thực thơng qua số hình thức chữ ký, bất thường, phát dựa thống kê Kết tạo liệu cảnh báo Phát xâm nhập thường chức phần mềm với số gói phần mềm phổ biến Snort IDS Bro IDS Bước Phân tích liệu Phân tích giai đoạn cuối chu trình NSM, thực người diễn giải xem xét liệu cảnh báo Điều thường liên quan đến việc xem xét thu thập liệu bổ sung từ nguồn liệu khác Phân tích liệu thực với nhiệm vụ sau: Phân tích gói tin Phân tích mạng Phân tích máy chủ Phân tích phần mềm độc hại Phân tích liệu phần tốn thời gian chu trình NSM Chu trình NSM kết thúc học kinh nghiệm việc phát xâm nhập phân tích liệu cho bất thường tiếp tục hình thành chiến lược thu thập liệu cho tổ chức Câu Mô tả cách thức để xác định vị trí đặt cảm biến mạng? Có lẽ định quan trọng phải thực lập kế hoạch thu thập liệu NSM vị trí vật lý đặt cảm biến mạng Vị trí định xem bắt liệu gì, phát có liên quan đến liệu đó, mức độ mở rộng cho việc phân tích đến đâu Khơng có phương pháp thử việc xác định nơi để đặt cảm biến tốt mạng, có số thủ thuật thực hành tốt giúp tránh bẫy thông thường Sử dụng tài nguyên thích hợp Vị trí đặt cảm biến mục tiêu nhóm bảo mật, cần phải xác định cách tốt cho việc tích hợp thiết bị vào hệ thống mạng Các điểm vào/đi mạng Trong trường hợp lý tưởng, nguồn lực thích hợp có sẵn, nên đặt cảm biến điểm vào/đi mạng, cổng gateway Internet, mạng VPN tuyền thống, liên kết đối tác Tầm nhìn địa Internet cục Khi thực phát xâm nhập phân tích liệu, điều quan trọng khả xác định thiết bị nội đối tượng cảnh báo Đánh giá tài sản quan trọng Tổ chức cần phải có quy định tài sản quan trọng cần bảo vệ Tạo sơ đồ hiển thị cảm biến Sơ đồ mạng (bao gồm vị trí cảm biến) vô quan trọng dùng để tham khảo cho trình điều tra chuyên gia phân tích Câu Mơ tả hoạt động thu thập thông tin lớp mạng Thu thập thông tin q trình tập hợp thơng tin theo tiêu chí cụ thể nhằm làm rõ vấn đề, nội dung liên quan đến lĩnh vực định Thu thập thơng tin q trình xác định nhu cầu thơng tin, tìm nguồn thơng tin, thực tập hợp thơng tin theo yêu cầu nhằm đáp ứng mục tiêu định trước Đặc điểm: Thu thập thông tin hoạt động có tính mục đích Thu thập thơng tin có tính đa dạng phương pháp, cách thức Thu thập thơng tin tìm kiếm từ nguồn, kênh thông tin khác Thu thập thơng tin q trình liên tục, nhằm bổ sung, hồn chỉnh thơng tin cần thiết Thu thập thông tin chịu tác động nhiều nhân tố kỹ thu thập thông tin, kỹ sử dụng phương pháp, cách thức thu thập thông tin Thu thập thông tin khâu q trình thơng tin tổ chức Quy trình: Xác định nhu cầu bảo đảm thông tin Xác định kênh nguồn thông tin Thiết lập hình thức chế độ thu thập thơng tin Câu Mô tả số phương pháp thu thập thông tin theo lớp mạng Thu thập liệu mạng giúp phát cơng mạng hỗ trợ quản trị mạng Thông qua giám sát, kiểm tra, định cấu hình, kiểm sốt đánh giá thời gian thực dựa liệu mạng, quản trị viên mạng có hiệu suất hệ thống mạng, đánh giá Chất lượng dịch vụ (QoS) tìm điểm lỗi mạng Đối với Nhà cung cấp dịch vụ Internet (ISP), liệu mạng đóng vai trị kế tốn lưu lượng Thơng tin khối lượng thống kê lưu lượng truy cập tác động đến sách ISP Thu thập liệu dựa gói: Gói nhà cung cấp liệu quan trọng mạng dựa giao thức TCP/IP Một nút nguồn gửi gói bao gồm địa nguồn địa đích đến nút đích Khi đích nhận gói, giải mã tổng hợp thực thi để có liệu dự kiến Thu thập liệu dựa lưu lượng: Flow tập hợp gói có đặc điểm qua điểm quan sát cụ thể khoảng thời gian Khi gói khác vào thu, sách kiểm soát truy cập kế thừa từ gói trước luồng Câu Trình bày khái niệm giám sát an toàn mạng (NSM – Network Security Monitoring) Tại cần hệ thống giám sát an toàn mạng? Giám sát an toàn mạng hoạt động bảo vệ máy tính liệu khỏi tội phạm mạng nhiều cách khác NSM là: Quản lý thiết bị Quản lý kiện an ninh Điều tra số cho mạng máy tính Ngăn chặn xâm nhập Chúng ta cần hệ thống giám sát an toàn mạng để thực bảo vệ an toàn cho mạng máy tính nói chung liệu nói riêng Câu Hãy phân tích thấy giám sát an tồn mạng khác với phát xâm nhập? NSM xuất phát ủng hộ người/tổ chức có tư phịng thủ Các hoạt động mục tiêu là: Phá hủy, Phá vỡ, Làm suy giảm, Từ chối, Đánh lừa, Khai thác, Gây ảnh hưởng, Bảo vệ, Phát hiện, Khơi phục, Ứng phó NSM mơ hình cho lĩnh vực phát xây dựng tập đặc tính khác biệt hồn tồn so với phát xâm nhập truyền thống: - Phòng chống đến cho dù thất bại: Khi chấp nhận cuối tài sản bị tổn hại, tổ chức thay đổi cách bảo vệ tài sản họ Thay dựa vào phòng thủ, tổ chức cần tập trung thêm vào việc phát - phản ứng Tập trung vào tập liệu: Chỉ cung cấp cho chuyên gia phân tích liệu mà họ cần họ đưa định nhanh an tồn nhiều - Tiến trình theo chu trình: + Mơ hình phát xâm nhập cũ tiến trình tuyến tính đơn giản - thiếu trách nhiệm + Tiến trình phát ứng phó với xâm nhập cần phải có tính chu trình Phịng thủ theo nguy cơ: Nếu phòng thủ theo lỗ hổng tập trung vào “làm nào”, phịng thủ theo nguy tập trung vào “ai” “tại sao” Câu Hãy phân tích thách thức triển khai hệ thống giám sát an toàn mạng Sự đời NSM phòng thủ theo nguy coi bước phát triển lớn an tồn thơng tin mạng, nhiên lĩnh vực nên cịn mang nhiều khó khăn, thách thức Trong có số nỗ lực đưa nhằm chuẩn hóa thuật ngữ phương pháp, có chênh lệch lớn việc viết thực thực Với vấn đề an ninh mạng cụ thể, có vài ba người nói chuyện với nhau, họ sử dụng thuật ngữ khác Đây vấn đề hạn chế từ góc độ đào tạo Với người muốn thành công công việc liên quan đến an ninh mạng, họ phải có mức độ kiến thức trước bước vào thực tế Kiến thức bao gồm lý thuyết chung, thực hành yêu cầu cụ thể vấn đề Vấn đề kỹ thực hành để có hiệu tốt giám sát an tồn mạng vấn đề khó khăn Nguồn nhân lực NSM không đủ đáp ứng yêu cầu kinh nghiệm kiến thức cần thiết NSM cơng việc địi hỏi kinh nghiệm thực mức cấp cao để hướng dẫn nhân viên sở Tuy nhiên, hầu hết nhân viên từ mức trung đến mức cao thường khó khăn việc trì cơng việc, họ kết thúc vai trị tư vấn vị trí quản lý Vấn đề cuối cần nhắc đến thách thức lớn cho phát triển NSM chi phí cần thiết để thiết lập trì chương trình NSM Chi phí bao gồm phần cứng cần thiết để thu thập phân tích lượng liệu lớn tạo từ chức NSM, phần lớn chi phí cho lực lượng lao động cần thiết làm phân tích NSM, chi phí để hỗ trợ sở hạ tầng NSM cho chun gia phân tích Câu Trình bày ưu điểm nhược điểm hệ thống giám sát an tồn mạng Ưu điểm Nhược điểm Khơng tự ngăn chặn cố Có thể điều chỉnh Mỗi IDS ngăn chặn nội dung gói mạng cơng, Tường lủa hiển thị cổng giúp phát công địa IP sử dụng Vậy nên IDS máy chủ Ngồi ra, NIDS phần kế ứng phó lại hiển thị nội dung bên gói tán công tin, dùng để phát xâm Cần người quản lý có kinh nhập công, khai thác, nghiệm thiết bị đầu cuối bị xâm nhập IDS vơ hữu ích cho việc làm phần botnet giám sát mạng, tính hữu dụng Có thể xem liệu ngữ IDS phụ thuộc vào việc cảnh giao thức sử dụng thơng tin mà Khi NIDS thực phân tích IDS cung cấp Vì IDS khơng giao thức, xem xét tải ngăn công TCP UDP, cảm nên không hiệu ta thêm biến phát hoạt lớp bảo mật trừ có nhân viên, sách quản lý động đáng ngờ chúng biết Khơng xử lý gói thức giao thức nên mã hóa hoạt động IDS khơng thể đọc Có thể hội xác định loại liệu mã hóa, định lượng cơng IDS phân tích số lượng hoạt động cơng, thơng tin sử dụng để thực thay đổi hệ thống bảo mật thực điểu khiển với hiệu lớn Có thể phân tích để xác định lỗi vấn đề cấu hình mạng Các số liệu sau dùng để đánh giá rủi ro tương lai Giúp theo kịp với quy định dễ dàng Vì IDS cung cấp cung cấp khả hiển thị lớn mạng Chúng giúp dễ dàng đáp ứng quy định bảo mật Tăng hiệu Các cảm biến IDS phát thiết bị mạng máy chủ, họ kiểm tra liệu gói mạng, xác định dịch vụ hệ điều hành sử dụng Tiết kiệm nhiều thời gian làm thủ cơng Một IDS có thẻ tự động hóa phần cứng, hiệu giúp giảm yếu tố người, bù đắp chi phí cho việc triển khai IDS chúng thông qua IDS khơng phát gói tin gây tác hại sâu hệ thống Gói IP bị giả mạo Thơng tin từ gói tin IP đọc IDS địa mạng bị giả mạo Nó làm cho mối đe dọa khó bị phát Cảnh báo sai thường xuyên Trong số trường hợp cảnh báo sai nhiều cảnh báo thực mối đe dọa thực Chúng ta giảm thiểu cảnh báo giả cách cài đặt Các chuyên gia phải thực xem xét cảnh báo sai Nếu khơng bị lọt công thực Dễ bị cơng dựa giao thức NIDS bị lỗi đọc giao thực, liệu không hợp lệ Thư viện cấn cập nhập liên tục để phát mối đe dọa IDS tốt có thư viện đầy đủ, thư viện không cập nhập công khơng thể bảo vệ Như công mối lo ngại lớn hệ thống Câu 10: Hệ thống phát xâm nhập trái phép(IDS- Intrusion detection system) gì? Vẽ sơ đồ kiến trúc hệ thống IDS, giải thích tóm tắt IDS (Intrusion Detection Systems - Hệ thống phát xâm nhập) thiết bị phần mềm có nhiệm vụ giám sát traffic mạng, hành vi đáng ngờ cảnh báo cho admin hệ thống Mục đích IDS phát ngăn ngừa hành động phá hoại bảo mật hệ thống, hành động tiến trình cơng dị tìm, qt cổng IDS phân biệt công nội (từ nhân viên khách hàng tổ chức) cơng bên ngồi (từ hacker) Trong số trường hợp, IDS phản ứng lại với traffic bất thường/độc hại cách chặn người dùng địa IP nguồn truy cập mạng Kiến trúc hệ thống IDS bao gồm thành phần chính: Thành phần thu thập gói tin (information collection) Thành phần phân tích gói tin (Dectection) Event generator: máy phát kiện Thành phần phản hồi (respontion) gói tin phát công tin tặc Trong thành phần thành phần phân tích gói tin thành phần quan trọng thành phần cảm biến đóng vai trị định Bộ cảm biến tích hợp với thành phần sưu tập liệu – tạo kiện Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Câu 11: Hãy mô tả phương pháp Signature-based Anomaly-based sử dụng hệ thống phát xâm nhập trái phép (IDS) để đảm bảo an toàn mạng Signature-Based: Là IDS hoạt động dựa chữ ký, giám sát gói tin mạng so sánh chúng với sở liệu chữ ký, thuộc tính từ mối đe dọa biết, tương tự cách phần mềm diệt virus hoạt động Vấn đề hệ thống IDS không phát mối đe dọa mới, chữ ký để nhận biết chưa IDS kịp cập nhật Anomaly-Based: IDS phát mối đe dọa dựa bất thường Nó giám sát traffic mạng so sánh với baseline thiết lập Baseline xác định đâu mức bình thường mạng: loại băng thông thường dùng, giao thức thường dùng, cổng thiết bị thường kết nối với nhau, cảnh báo cho quản trị viên mạng người dùng phát traffic truy cập bất thường khác biệt đáng kể so với baseline Câu 12 So sánh hệ thống giám sát an toàn mạng (NSM - Network Security Monitoring) với hệ thống phát xâm nhập trái phép (IDS - Intrusion Detection System) NSM IDS Giống - Đều hệ thống giám sát phát xâm nhập, ngăn chặn truy nhập trái phép vào hệ thống - Các bước tổng quát NSM IDS: trải qua bước thu thập liệu, phân tích liệu phản hồi (cảnh báo cho người quản trị) Khác - Thu thập thông tin - Thiết bị phần mềm có thành phần hệ thống, nhiệm vụ giám sát traffic mạng, phân tích thơng tin, dấu hành vi đáng ngờ cảnh hiệu nhằm đánh giá đưa báo cho admin hệ thống cảnh báo cho người quản trị hệ thống - Các đối tượng: - Đối tượng: lưu lượng mạng Các máy trạm Cơ sở liệu Các ứng dụng Các server Các thiết bị mạng - Các hoạt động: phát xâm -Một số hoạt động: phá hủy,làm suy giảm,từ chối,đánh nhập, cảnh báo cho quản trị viên lừa,khai thác,… Câu 13: Hệ thống ngăn chặn xâm nhập trái phép (IPS) gì? So sánh IPS với hệ thống phát xâm nhập trái phép (IDS) IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) hệ thống theo dõi, ngăn ngừa kịp thời hoạt động xâm nhập không mong muốn Chức IPS xác định hoạt động nguy hại, lưu giữ thông tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép Hệ thống IPS xem trường hợp mở rộng hệ thống IDS, cách thức hoạt động đặc điểm hệ thống tương tự Điểm khác hệ thống IPS ngồi khả theo dõi, giám sát cịn có chức ngăn chặn kịp thời hoạt động nguy hại hệ thống Hệ thống IPS sử dụng tập luật tương tự hệ thống IDS Giống Khác IPS IDS Cả IPS/IDS đọc gói mạng so sánh nội dung với cở sở liệu mối de dọa biết - IPS hệ thống chủ động - IDS hệ thống phát thực bước để ngăn chặn hoạt động không phù hợp, xâm nhập cơng khơng xác bất xác định thường mạng báo cáo - IPS coi chúng Hơn nữa, IDS phần mở rộng IDS, có khả sử dụng để phát xem bổ sung để ngăn chặn mạng máy chủ có bị xâm xâm nhập phát nhập trái phép hay không chúng Câu 14: Hãy mô tả kỹ cần có chuyên gia phân tích an tồn mạng Chun gia phân tích hệ thống NSM: Kỹ cần thiết: Phòng thủ theo nguy cơ, NSM, chu trình NSM Chồng giao thức TCP/IP Các giao thức tầng ứng dụng Phân tích gói tin Kiến trúc Windows Kiến trúc Linux Phân tích liệu (BASH, Grep, SED, AWK, ) Cách sử dụng IDS (Snort, Suricata, ) Chỉ dẫn công hiệu chỉnh chữ ký IDS Mã nguồn mở Phương pháp chẩn đốn phân tích Phân tích phần mềm mã độc 10 Câu 15 Trong giám sát an toàn mạng, cần thu thập loại liệu nào? Nêu vài công cụ mã nguồn mở hỗ trợ việc thu thập liệu mà anh/chị biết Các loại liệu NSM: Dữ liệu bắt gói tin đầy đủ (FPC): Cung cấp liệu tất liệu truyền điểm đầu cuối Dữ liệu phiên: Tóm tắt thơng tin thiết bị mạng Dữ liệu thống kê: Dữ liệu tổ chức, phân tích thống kê liệu khác Dữ liệu kiểu chuỗi gói tin(PSTR): Là liệu trung gian FPC liệu phiên Dữ liệu nhật ký: tệp tin nhật ký thô Dữ liệu cảnh bảo: Mô tả cảnh báo có liệu bất thường Câu 16 Dữ liệu có nội dung đầy đủ (Full content data) gì? Làm để thu thập liệu có nội dung đầy đủ? Dữ liệu bắt gói tin đầy đủ (dữ liệu FPC): cung cấp thông tin đầy đủ tất gói liệu truyền hai điểm đầu cuối Các loại liệu FPC phổ biến theo định dạng liệu PCAP Loại liệu sử dụng nhiều đánh giá cao giá trị tính chất đầy đủ nó, phù hợp ngữ cảnh phân tích Các loại liệu khác, liệu thống kê hay liệu chuỗi gói tin, thường bắt nguồn từ liệu FPC Thu thập liệu có nội dung đầy đủ: Một số cơng cụ thu thập liệu có nội dung đầy đủ 11 a) Dumpcap - Là công cụ đơn giản bắt gói tin từ giao diện mạng ghi chúng vào - đĩa Có thể bắt gói tin cách gọi cơng cụ Dumpcap chọn giao diện mạng: dumpcap -i eth1 Hạn chế: + Khơng phù hợp tình cần hiệu suất cao mức thơng lượng cao, dẫn đến gói tin bị + Sự đơn giản cơng cụ làm hạn chế tính linh hoạt b) Daemonlogger - Là ứng dụng ghi log gói tin thiết kế đặc biệt để sử dụng mơi - trường NSM, thuộc chương trình phát triển IDS Sử dụng libpcap để bắt gói tin từ mạng, gồm có hai chế độ hoạt động: + Chế độ hoạt động để bắt gói tin từ mạng ghi chúng trực tiếp vào đĩa + Chế độ cịn lại cho phép bắt gói tin từ mạng ghi vào giao diện - mạng thứ hai Daemonlogger thực tốt so với Dumpcap mức thông lượng cao, bị hạn chế số môi trường doanh nghiệp lớn c) Netsniff-NG - Là cơng cụ bắt gói hiệu suất cao - Không dựa vào libpcap mà sử dụng chế zero-copy: bắt gói tin đầy đủ - - liên kết thơng lượng cao Bắt gói với chế RX_RING zero-copy, truyền gói tin với TX_RING + Có khả đọc gói tin từ giao diện chuyển hướng chúng vào giao diện khác + Khả lọc gói tin bị bắt giao diện Để bắt gói tin với Netsniff-NG, cần phải xác định đầu vào đầu ra: netsniff-ng -i eth1 -o data.pcap Cách thực - Lựa chọn công cụ thu thập: + Dumpcap Daemonlogger thường làm việc tốt hầu hết tình có khơng gói tin + Tuy nhiên, thơng lượng lớn dễ gói tin Cần cơng cụ Netsniff-NG để hoạt động mơi trường có tỷ lệ lưu lượng - cao Lập kế hoạch thu thập: 12 + Những cân nhắc lưu trữ + Tính thơng lượng giao diện cảm biến với Netsniff-NG IFPPS: • IFPPS phần Netsniff-NG • IFPPS tạo số liệu thống kê chi tiết thông lượng giao • diện chọn, liệu khác liên quan đến CPU, đĩa I/O thống kê hệ thống khác • Hạn chế: khơng cung cấp chức để áp dụng lọc tới - - giao diện bắt gói tin -> khó muốn giảm bớt FPC + Tính thơng lượng giao diện cảm biến với liệu phiên: • Là cách linh hoạt để tính tốn, thống kê thơng lượng • Sử dụng công cụ rwfilter, rwcount rwstats SiLK Giảm tải cho lưu trữ liệu: + Loại bỏ dịch vụ: • Loại bỏ lưu lượng tạo dịch vụ riêng lẻ • Xác định dịch vụ thích hợp chiến lược nhờ sử dụng rwstats + Loại bỏ lưu lượng host tới host: • Là loại bỏ liên lạc host cụ thể • Sử dụng rwstat để xác định cặp IP có lưu lượng lớn Quản lý liệu thu thập: + Quản lý liệu thu thập dựa thời gian: Dễ dàng cho quản lý tự động + Quản lý liệu thu thập dựa kích thước: Khó khăn • Xóa tệp tin PCAP lưu cũ khối lượng lưu trữ vượt tỷ lệ phần trăm sử dụng khơng gian đĩa • Có thể sử dụng Daemonlogger để thực Câu 17 Dữ liệu phiên (Session data) gì? Làm để thu thập liệu phiên? Dữ liệu phiên: Là tóm tắt thơng tin liên lạc thiết bị Giống hội thoại luồng lưu lượng Cung cấp giá trị đáng kể cho chuyên gia NSM Thu thập liệu phiên: Cần thành phần: Bộ sinh luồng, thu thập liệu 13 Bộ sinh luồng: phần cứng phần mềm nhằm tạo luồng liệu Bộ thu thập liệu: phần mềm, có tác dụng nhận luồng liệu từ sinh luồng lưu chúng lại theo định dạng khơi phục Sinh luồng liệu từ liệu FPC thu thập FPC: Gây liệu, phương pháp khơng khuyến khích Thường bắt liệu trực tiếp liên kết: thực qua phần mềm máy tính thơng qua định tuyến Sinh luồng liệu theo phần cứng: o Tạo số phiên liệu luồng từ phần cứng có o Bộ định tuyến có khả thu nhận luồng cấu hình với địa mạng thu thập liệu đích luồng liệu từ giao diện định tuyến gửi tới đích Sinh luồng liệu theo phần mềm: o Đa số cài đặt NSM dựa sinh theo phần mềm o Có nhiều ưu điểm vượt trội, ưu điểm lớn linh hoạt triển khai phần mềm Câu 18 Dữ liệu kiểu chuỗi gì? Làm để thu thập liệu kiểu chuỗi? Dữ liệu kiểu chuỗi gói tin: Packet String Data –PSTR: Là lựa chọn liệu mà người đọc được, lấy từ liệu FPC Có thể xuất nhiều hình thức khác Thu thập liệu PSTR: Đầu tiên, cần xem xét mức độ liệu PSTR muốn thu thập Cần ý vào nhu cầu lưu trữ liệu PSTR Thu thập liệu PSTR từ mạng thu thập từ liệu FPC Tự động tạo liệu PSTR thủ công Thu thập liệu với URLSnarf Thu thập liệu với Httpry 14 Câu 19 Dữ liệu thống kê (Statistical data) gì? Làm để thu thập liệu thống kê? Hãy mô tả số công cụ sử dụng việc thu thập/lưu/theo dõi hoạt động mạng liên quan đến liệu thống kê Dữ liệu thống kê: Là liệu tổ chức, phân tích, giải thích biểu diễn loại liệu khác Dữ liệu thống kê bao gồm nhiều hình thức khác Thu thập liệu thống kê: Sử dụng Cảm biến thu thập liệu (collectiononly sensor) Đơn giản ghi nhật ký liệu thu thập FPC liệu phiên vào đĩa, tạo liệu khác (dữ liệu thống kê PSTR) dựa thu thập Mơ tả cơng cụ Rwstats: Rwstats tạo liệu thống kê dựa trường giao thức định Rwcount đếm gói tin byte liệu Rwcut chọn lựa trường liệu cịn rwuniq giúp phân loại Rwidsquery nhận đầu vào file luật Snort hay file cảnh báo, giúp luồng từ liệu đầu vào tương ứng với luật cảnh báo, từ tạo lời gọi rwfilter để tạo luồng phù hợp Câu 20 Dữ liệu cảnh báo (Alert data) gì? Làm để thu thập liệu cảnh báo? Dữ liệu cảnh báo: Khi công cụ phát bất thường liệu mà kiểm tra, tạo loại liệu gọi liệu cảnh báo Dữ liệu thường chứa mô tả cảnh báo, trỏ đến liệu bất thường Nói chung, kích thước liệu cảnh báo thường nhỏ, có trỏ đến liệu khác Việc phân tích NSM thường dựa hệ liệu cảnh báo Thu thập liệu cảnh báo: Phát xâm nhập chức phần mềm thực phân tích liệu thu thập để tạo liệu cảnh báo Dữ liệu cảnh báo tạo chế phát chuyển tới chuyên gia phân tích, việc phân tích bắt đầu Để phát thành công, cần ý đến việc lựa chọn chế phát đầu vào thích hợp Câu 21 Phần mềm Snort sử dụng để làm gì? Hãy mơ tả tóm tắt chức phần mềm này? Snort hệ thống phát xâm nhập mạng, viết tắt NIDS (Network intrusion detection system) Snort mã nguồn mở miễn phí với nhiều tính 15 tuyệt vời việc bảo vệ hệ thống bên trong, phát ngăn chặn cơng từ bên ngồi vào hệ thống Các luồng gói tin đưa vào Snort thơng qua Data Flow gồm bước: giải mã gói tin, tiền xử lý, cơng cụ phát sau qua giai đoạn đầu để xem liệu thông báo nhật ký Cấu trúc Snort: Snort bao gồm phần với chức khác nhau: Mô đun giải mã gói tin (Packet Decoder) Mơ đun tiền xử lý (Preprocessors) Mô đun phát (Detection Engine) Mô đun log cảnh báo (Logging and Alerting System) Mô đun kết xuất thông tin (Output Module) Câu 22 Viết luật Snort để phát có gói tin ping đến hệ thống mạng Giải thích tham số luật 16 alert ICMP any any -> any any (msg: "ALERT PING"; sid:1000005) Giải thích: alert: hành động ICMP giao thức tương ứng với ping Any1: địa ip nguồn( để any bao gồm tất cả) Any2: địa cổng nguồn -> hướng Any3: địa đích Any : cổng đích (msg: "ALERT PING"; sid:1000005) tham số tùy chọn Msg thông điệp cảnh báo Sid id phiên Câu 23 Viết luật Snort để phát người dùng truy cập trang web vietnamnet.vn Giải thích tham số luật Sử dụng CMD dùng lệnh nslookup tìm ip trang vietnamnet.vn Cmd > nslookup vietnamnet.vn Tìm ip vietnamnet.vn 123.30.184.9 Luật snort: alert tcp any any -> 123.30.184.9 any (msg: "GOING Vietnamnet.vn"; sid:1000005) Câu 24 Viết luật Snort để phát công quét mạng kiểu SYN SCAN Giải thích tham số luật alert tcp any any -> any any (flags: S; msg: " Possible SYN scan "; sid:1000005) flags: S sử dụng để quét mạng SYN TCP Câu 25 Viết luật Snort để phát công DOS, DDOS, Tấn cơng vét cạn Giải thích tham số luật DOS: alert tcpalert any any ->again $HOME_NET 80 (flags: S; msg:"Possible DoS Type : : flood"; flow:stateless; sid:3; detection_filter:track by_dst, count 20, Attack seconds SYN flooding Wetcp once open the file and add the following in a new line any any -> any 80 local.rules (flags: S; msg:"Possible DoS Attack Type :10;) SYN flood"; flow:stateless; sid:3; detection_filter:track by_dst, count 4, seconds 20;) Theo dõi cảnh báo 20s theo dõi đích để cảnh báo liên tục liên tục cảnh báo Gây liệu dư thừa nhiều Lọc cảnh báo 20s tránh cảnh báo liên tục 17 Câu 26 Dấu hiệu xâm nhập (IOC) gì? Hãy phân loại IOC Khái niệm IOC: Indicators of Compromise – IOC: thông tin sử dụng để mô tả khách quan xâm nhập mạng, độc lập tảng Ví dụ: địa IP máy chủ C&C, hay tập hành vi cho thấy email server SMTP relay độc hại Được trình bày theo nhiều cách thức định dạng Khác để sử dụng chế phát khác Nếu sử dụng ngôn ngữ định dạng cụ thể trở thành phần chữ ký Một chữ ký chứa nhiều IOC Phân loại IOC: IOC cho mạng: Là mẫu thơng tin bắt kết nối mạng máy chủ, mô tả khách quan xâm nhập Ví dụ: địa IPv4, địa IPv6, tên miền, chuỗi văn bản, giao thức truyền thơng,… IOC cho máy tính: Là mẫu thơng tin tìm thấy máy tính, mơ tả khách quan xâm nhập Ví dụ: tài khoản người dùng, đường dẫn thư mục, tên tiến trình, tên tệp tin, khóa đăng ký (registry),… IOC tĩnh: Là IOC mà giá trị định nghĩa cách rõ ràng Có ba biến thể IOC tĩnh: đơn vị (hay cịn gọi ngun tố), tính toán, hành vi IOC TĨNH IOC đơn vị: Là IOC cụ thể nhỏ mà chia tiếp thành thành phần nhỏ nữa, có ý nghĩa tình xâm nhập IOC hành vi: Là tập IOC đơn vị IOC tính tốn kết hợp với theo số hình thức logic, dung để cung cấp cho số tình hữu dụng Câu 27 Phát xâm nhập dựa danh tiếng gì? Làm cách để phát tự động xâm nhập dựa danh sách danh tiếng? Danh tiếng: Được sử dụng để phát ngăn chặn liên lạc với địa IP định dựa danh tiếng Để thực phát dựa danh tiếng cần có hai thành phần Đầu tiên, cần danh sách IP tên miền với danh tiếng xấu Sau có danh sách, cần đưa nội dung danh sách vào số loại hình chế phát xâm nhập dựa mục danh sách Có số tùy chọn cho việc tự động hóa nhiệm vụ sau: 18 Phát danh tiếng IP với Snort Trong khứ: Phát dựa danh tiếng cho địa IP với Snort thực với luật chuẩn Để giải vấn đề này, tiền xử lý danh tiếng phát triển Tiền xử lý chạy trước tất tiền xử lý khác cách có hiệu Phát danh tiếng IP với Suricata: Suricata nhanh chóng phổ biến thay cho Snort việc phát xâm nhập dựa chữ ký Điều chủ yếu khả kiểm tra lưu lượng truy cập đa luồng, làm cho thích hợp giám sát kết nối thông lượng cao Suricata sử dụng cú pháp luật tương tự Snort, nên luật sử dụng hai cơng cụ Câu 28 So sánh ưu nhược điểm hệ thống IDS Snort Suricata Ưu điểm Snort - Phổ biến giới có nhiều tính mạnh mẽ linh hoạt - Nhiều tính trở thành tiêu chuẩn cho ngành cơng nghiệp IDS - Chi phí thấp - Khó xóa bỏ dấu vết - Phát đối phó kịp thời - Có tính độc lập cao Suricata - Thay cho Snort việc phát xâm nhập dựa chữ ký - Khả kiểm tra lưu lượng truy cập đa luồng, thích hợp giám sát kết nối thông lượng cao - Sử dụng cú pháp luật tương tự Snort - Áp dụng hệ thống nhỏ Nhượ c điểm - Bị hạn chế với Switch - Bị hạn chế hiệu với gói tin mạng rộng băng thông lớn - Tăng thông lượng mạng - Thường sử dụng - Không thể phát cơng mới, chưa có dấu hiệu biết trước luật thiết lập nghiên cứu, không áp 19 dụng hệ thống doanh nghiệp 20 ... điểm Snort - Phổ biến giới có nhiều tính mạnh mẽ linh hoạt - Nhiều tính trở thành tiêu chuẩn cho ngành cơng nghiệp IDS - Chi phí thấp - Khó xóa bỏ dấu vết - Phát đối phó kịp thời - Có tính độc... lọc gói tin bị bắt giao diện Để bắt gói tin với Netsniff-NG, cần phải xác định đầu vào đầu ra: netsniff-ng -i eth1 -o data.pcap Cách thực - Lựa chọn công cụ thu thập: + Dumpcap Daemonlogger thường... - Áp dụng hệ thống nhỏ Nhượ c điểm - Bị hạn chế với Switch - Bị hạn chế hiệu với gói tin mạng rộng băng thông lớn - Tăng thông lượng mạng - Thường sử dụng - Không thể phát cơng mới, chưa có dấu