Đang tải... (xem toàn văn)
Luận văn nghiên cứu giải pháp giám sát an toàn thông tin dựa trên SIEM (Security Information and Event Management) là hệ thống được thiết kế nhằm thu thập và phân tích nhật ký, các sự kiện an toàn thông tin từ các thiết bị đầu cuối và được lưu trữ tập trung. Hệ thống SIEM cho phép phân tích tập trung và báo cáo về các sự kiện an toàn thông tin của tổ chức, phát hiện thông qua các bộ luật tương quan (correlation rule). Mời các bạn tham khảo!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG NGUYỄN CƠNG TÙNG NGHIÊN CỨU GIẢI PHÁP AN TỒN THƠNG TIN VÀ ỨNG DỤNG TẠI VIỆN KHCN SÁNG TẠO VIỆT NAM LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – NĂM 2020 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG NGUYỄN CƠNG TÙNG NGHIÊN CỨU GIẢI PHÁP AN TỒN THƠNG TIN VÀ ỨNG DỤNG TẠI VIỆN KHCN SÁNG TẠO VIỆT NAM Chuyên ngành: Hệ thống thông tin Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN TẤT THẮNG HÀ NỘI – NĂM 2020 i LỜI CAM ĐOAN Tôi cam đoan đề tài: “Nghiên cứu giải pháp an tồn thơng tin ứng dụng Viện KHCN Sáng tạo Việt Nam” cơng trình nghiên cứu riêng hướng dẫn TS Nguyễn Tất Thắng Những phân tích, kết luận, kết luận văn kết tác giả, số liệu nêu trung thực chưa cơng bố cơng trình khác Hà Nội, ngày 10 tháng 11 năm 2020 Tác giả Nguyễn Công Tùng ii LỜI CẢM ƠN Lời cho xin gửi lời cảm ơn chân thành đến thầy, cô giáo Học viện Công nghệ Bưu Viễn thơng tận tình bảo, hướng dẫn, giúp đỡ tơi suốt q trình thực luận văn Tôi xin gửi lời cảm ơn chân thành đặc biệt tới thầy hướng dẫn khoa học TS Nguyễn Tất Thắng, tận tình bảo hướng dẫn, đưa định hướng đắn giúp em hoàn thành luận văn Xin trân trọng cảm ơn cảm ơn tập thể lớp Cao học hệ thống thông tin khố 2019-2021 đồng hành, khích lệ chia sẻ suốt trình học tập làm luận văn Trong trình thực luận văn, thân cố gắng, chủ động sưu tầm tài liệu, củng cố kiến thức… nhiên khó tránh khỏi thiếu sót, hạn chế Rất mong nhận dạy, góp ý thầy, giáo bạn lớp để luận văn hoàn thiện có tính ứng dụng cao thực tiễn Xin trân trọng cảm ơn! Hà Nội, ngày 10 tháng 11 năm 2020 Học viên Nguyễn Công Tùng iii MỤC LỤC LỜI CẢM ƠN ii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT v DANH SÁCH CÁC BẢNG vi MỞ ĐẦU 1 Lý chọn đề tài Tổng quan đề tài nghiên cứu Mục tiêu nghiên cứu đề tài CHƯƠNG TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 Tổng quan chung tình hình an tồn thơng tin 1.2 Các mối đe dọa an tồn thơng tin phương thức cơng mạng 1.2.1 Các mối đe dọa an toàn thông tin 1.2.2 Những cách thức công hệ thống mạng máy tính 1.3 Giới thiệu tổng quan hệ thống SIEM 1.3.1 Tổng quan SIEM 1.3.2 Chức SIEM 1.3.3 Các thành phần hệ thống 1.3.4 Kiến trúc cách thức hoạt động hệ thống SIEM 1.4 Kết luận chung chương 15 CHƯƠNG NGHIÊN CỨU GIẢI PHÁP AN TỒN THƠNG TIN 16 2.1 Các giải pháp giám sát an tồn thơng tin 16 2.1.1 Giải pháp HP ArcSight ESM 16 2.1.2 Giải pháp IBM Security Qradar 17 2.1.3 Giải pháp Mcafee ESM 19 2.1.4 Giải pháp MARS Cisco 19 2.1.5 Giải pháp AlienVault OSSIM 20 2.1.6 Giải pháp Splunk 20 2.2 Lựa chọn giải pháp Splunk 22 2.2.1 Giới thiệu tổng quan giải pháp Splunk 22 2.2.2 Tính giải pháp Splunk 24 2.2.3 Thành phần Splunk 29 iv 2.2.4 Cách thức hoạt động Splunk 44 2.3 Kết luận chương 46 CHƯƠNG XÂY DỰNG HỆ THỐNG GIÁM SÁT AN TỒN THƠNG TIN CHO HỆ THỐNG MẠNG VIỆN KHCN SÁNG TẠI VIỆT NAM 47 3.1 Khảo sát mạng nội Viện KHCN Sáng tạo Việt Nam 47 3.1.1 Chức năng, trang thiết bị mơ hình có hệ thống mạng Viện KHCN Sáng tạo Việt Nam 47 3.1.2 Yêu cầu sử dụng 48 3.1.3 Hiện trạng vấn đề liên quan trình vận hành, khai thác mạng máy tính Viện KHCN Sáng tạo Việt Nam 48 3.2 Kiến nghị đề xuất giải pháp giám sát Splunk cho mạng máy tính Viện KHCN Sáng tạo Việt Nam 49 3.3 Cài đặt vận hành hệ thống 48 3.4 Thử nghiệm đánh giá 70 3.4.1 Nội dung thử nghiệm 70 3.4.2 Kết thử nghiệm đánh giá 71 3.5 Kết luận chương 71 KẾT LUẬN 72 v DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Từ viết tắt AI Tiếng Anh Tiếng Việt Artificial Intelligence Trí tuệ nhân tạo Advanced Persistent Threat Mối đe dọa liên tục nâng cao ATTT Safety information An tồn thơng tin CNTT Information Technology Cơng nghệ thơng tin IDS Intrusion Detection System Hệ thống phát xâm nhập IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập Science and technology Khoa học công nghệ LAN Local Area Network Mạng lưới khu vực địa phương SIEM Security Information and Event Thông tin bảo mật quản lý APT KHCN VPN Management kiện Virtual Private Network Mạng riêng ảo vi DANH SÁCH CÁC BẢNG Bảng 2.1: Các trường Index 34 Bảng 2.2: Vị trí lưu trữ thư mục index 41 vii DANH MỤC CÁC HÌNH Hình 1.1: Bộ phận thiết bị nguồn Hình 1.2: Bộ phận thu thập log Hình 1.3: Bộ phận phân tích, chuẩn hóa log 10 Hình 1.4: Log đăng nhập hệ thống máy chủ windows 11 Hình 1.5: Hệ thống firewall ASA hiển thị Log đăng nhập 11 Hình 1.6: Log chuẩn hóa 11 Hình 1.7: Bộ phận tương quan kiện 12 Hình 1.8: Kiểm sốt q trình đăng nhập tài khoản 12 Hình 1.9: Hệ thống SIEM hiển thị kiện 13 Hình 1.10: Sơ đồ minh họa tương quan kiện 13 Hình 1.11: Bộ phận lưu trữ log 14 Hình 1.12: Bộ phận giám sát 14 Hình 2.1: HP ArcSight Enterprise Security Manager 16 Hình 2.4: Mơ hình hoạt động Splunk 22 Hình 2.5: Mơ hình thu thập log tập trung 30 Hình 2.6: Mơ hình thu thập log cân tải 31 Hình 2.7: Cơ chế hoạt động Splunk 44 Hình 2.8: Sơ đồ hoạt động Splunk 45 Hình 3.1: Mơ hình hoạt động hệ thống mạng Viện KHCN Sáng tạo VN 47 Hình 3.2: Hệ thống mạng Viện KHCN Sáng tạo Việt Nam………………… 49 Hình 3.3 Cấu hình thơng tin tài khoản 49 Hình 3.4 Giải nén file sau tải 49 Hình 3.5 Đăng nhập vào tài khoản splunk tiến hành cài đặt 50 Hình 3.6 Bổ sung thông tin cho tài khoản Splunk 51 Hình 3.7 Giao diện Slunk sau cài đăt 51 Hình 3.8 Giao diện tùy chọn Add data Splunk 51 Hình 3.9 Giao diện tùy chọn Monitor Splunk 52 Hình 3.10 Lựa chọn File & Directories để lấy log 52 Hình 3.11 Lựa chọn file để thu thập log 53 Hình 3.12 Hiển thị thông tin Splunk – giao diện 53 Hình 3.13 Hiển thị thông tin Splunk – giao diện 54 Hình 3.14 Thơng tin hiển thị sử dụng CPU – giao diện 54 Hình 3.15 Thơng tin hiển thị sử dụng CPU – giao diện 55 Hình 3.16 Thơng tin hiển thị sử dụng CPU – Giao diện 55 Hình 3.17 Giao diện cấu hình Splunk 56 viii Hình 3.18 Lựa chọn Data inputs để lấy Log từ máy chủ Firewall Pfsense 56 Hình 3.19 Lựa chọn Add New UDP để lấy Log từ máy chủ Firewall Pfsense 57 Hình 3.20 Giao diện hiển thị kết sau lưu port 57 Hình 3.21 Lựa chọn System Logs máy Pfsense 57 Hình 3.22 Lựa chọn Setting máy Pfsense 58 Hình 3.23 Tìm kiếm thành công máy chủ Pfsense Splunk - giao diện 58 Hình 3.24 Tìm kiếm thành cơng máy chủ Pfsense Splunk - giao diện 59 Hình 3.25 Cài đặt Splunk Forwarder để lấy Log từ máy chủ Windows Server 59 Hình 3.26 Chọn chấp nhận điều khoản splunk để cài đặt 60 Hình 3.27 Giao diện nhập địa IP cổng kết nối 60 Hình 3.28 Chọn Remote Windows Data 61 Hình 3.29 Giao diện lựa chọn kiểu lấy log 61 Hình 3.30 Giao diện chọn Splunk Add-on for Windows 62 Hình 3.31 Giao diện lựa chọn kết thúc trình cài đặt 62 Hình 3.32 Giao diện lưu trữ thư mục 63 Hình 3.33 Splunk hoạt động Task Manager 63 Hình 3.34 Giao diện cấu hình Splunk 64 Hình 3.35 Cấu hình Receive data thành cơng 64 Hình 3.36 Giao diện tìm kiếm Splunk 65 Hình 3.37 Giao diện hiển thị kết tìm kiếm thành cơng máy chủ Windows 65 Hình 3.38 Giao diện hiển thị dịch vụ DNS chạy máy chủ Windows 65 Hình 3.39 Giao diện hiển thị log máy chủ Windows Splunk 66 Hình 3.40 Giao diện hiển thị tổng quan thông số máy chủ Windows 66 Hình 3.41 Giao diện tổng quan hiển thị dịch vụ DNS Splunk 66 Hình 3.42 Giao diện lựa chọn kiểu lấy log Windows 10 67 Hình 4.43 Giao diện nhập địa IP cổng kết nối 67 Hình 3.44 Giao diện lựa chọn kết thúc trình cài đặt Windows 10 68 Hình 3.45 Giao diện hiển thị thơng tin từ forwarding 68 Hình 3.46 Giao diện hiển thị thơng tin error log 69 61 Tiếp tục chọn Next Hình 3.26 Chọn chấp nhận điều khoản splunk để cài đặt Nhập vào địa máy chủ splunk port Lưu ý: ta chọn port trùng với port cấu hình Splunk ( Setting > Forwarding and Receive data ) để liệu gửi qua Splunk Hình 3.27 Giao diện nhập địa IP cổng kết nối 62 Chọn mục Remote Windows Data để gửi thông tin log, event, performance DomainController Hình 3.28 Chọn Remote Windows Data Chọn loại log mà ta cần giám sát, ta tùy chỉnh lại file sau cài đặt Hình 3.29 Giao diện lựa chọn kiểu lấy log Ta chọn cài đặt Splunk Add-on for Windows 63 Hình 3.30 Giao diện chọn Splunk Add-on for Windows Chọn Finish để kết thúc trình cài đặt Hình 3.31 Giao diện lựa chọn kết thúc trình cài đặt Copy thư mục TA-DNSServer-NT6 TA-DomainController-NT6 vào thư mục câu hình Splunk để gửi thơng tin tới Sau ta restart server để splunk hoạt động 64 Hình 3.32 Giao diện lưu trữ thư mục Sau cài đặt xong, ta khởi động lại windows server kiểm tra tiến trình thấy Splunk hoạt động Hình 3.33 Splunk hoạt động Task Manager 65 Tại giao diện Splunk, Hình 3.34 Giao diện cấu hình Splunk Vào Forwarding and Receiving add thêm port 10000 trùng với port lúc cài đặt Windows Server Hình 3.35 Cấu hình Receive data thành công 66 Sau sau gắn port ta, vào Search & Reporting kiểm tra liệu gửi qua cho Splunk Hình 3.36 Giao diện tìm kiếm Splunk Kết trả sau tìm kiếm máy chủ Windows Splunk Hình 3.37 Giao diện hiển thị kết tìm kiếm thành cơng máy chủ Windows Hình 3.38 Giao diện hiển thị dịch vụ DNS chạy máy chủ Windows 67 Hình 3.39 Giao diện hiển thị log máy chủ Windows Splunk Hình 3.40 Giao diện hiển thị tổng quan thông số máy chủ Windows Hình 3.41 Giao diện tổng quan hiển thị dịch vụ DNS Splunk 68 3.3.5 Lấy Log từ máy chủ Windows 10 người dùng phân tích Cài đặt Splunk Forwarder Windows 10 Hình 3.42 Giao diện lựa chọn kiểu lấy log Windows 10 69 Hình 4.43 Giao diện nhập địa IP cổng kết nối Hình 3.44 Giao diện lựa chọn kết thúc trình cài đặt Windows 10 Kết quả: Với hiển thị cụ thể cho đăng nhập từ máy windows 10: host="desktop-ojgr9dn" "logname=system" source="WinEventLog:System" "sid=s-1-5" Hình 3.45 Giao diện hiển thị thông tin từ forwarding 70 - Thông tin error log Hình 3.46 Giao diện hiển thị thông tin error log 3.4 Thử nghiệm đánh giá 3.4.1 Nội dung thử nghiệm Luận văn thực thử nghiệm số nội dung sau (1) Cài đặt máy chủ giám sát tập trung Splunk Ta tiến hành cài đặt máy chủ Splunk, nơi thông tin đổ từ máy thu thập, lưu trữ phân tích chúng Ta cần phải đảm bảo đường truyền mạng ổn định, kết nối tới máy giám sát không gặp trục trặc (2) Lấy log từ máy chủ Linux cài đặt Splunk để phân tích Ta tiến hành cấu hình máy chủ Splunk để lấy Log máy chủ Linux đưa phân tích (3) Cài đặt giám sát lấy Log từ máy chủ Firewall Pfsense phân tích Ta cài đặt cấu hình System Logs Pfsense mở cổng để lấy log từ máy chủ Firewall Pfsense để phân tích, từ ta theo dõi hoạt động vào hệ thống mạng (4) Lấy Log từ máy chủ Windows Server Ta tiến hành cài đặt Cài đặt Splunk Forwarder cấu hình sử dụng công cụ Splunk để lấy Log từ máy chủ Windows Server vào phân tích 71 (5) Lấy Log từ máy chủ Windows 10 người dùng phân tích Trong phần cài đặt cấu hình để lấy Log từ Windows 10 người dùng để phân tích 3.4.2 Kết thử nghiệm đánh giá Phần thử nghiệm đưa kết trình bày phần phụ lục Luận văn Các kết thử nghiệm khả quan, vận hành tốt ổn định đáp ứng nhu cầu giám sát an tồn thơng tin Các giải pháp thử nghiệm ứng dụng cho mạng nội Viện Khoa học công nghệ sáng tạo Việt Nam 3.5 Kết luận chương Chương luận văn khảo sát mạng nội Viện KHCN Sáng tạo Việt Nam, vấn đề nảy sinh trình sử dụng yêu cầu giám sát hệ thống mạng nhằm đáp ứng nhu cầu đào tạo Viện KHCN Sáng tạo Việt Nam Luận văn đề xuất giải pháp giám sát an toàn thông tin cho hệ thống mạng Viện KHCN Sáng tạo Việt Nam Kết thử nghiệm phù hợp với yêu cầu đề ban đầu 72 KẾT LUẬN Kết dự kiến đạt luận văn: Với mục tiêu nghiên cứu, áp dụng giải pháp giám sát an tồn thơng tin vào hệ thống CNTT Viện KHCN Sáng tạo Việt Nam, luận văn đạt số kết sau đây: - Tổng quan giám sát an tồn thơng tin - u cầu giám sát hệ thống an tồn thơng tin - Giải pháp giám sát an tồn thơng tin Splunk SIEM - Tăng cường bảo đảm ATTT cho hệ thống CNTT Viện KHCN Sáng tạo Việt Nam Hướng phát triển tiếp theo: Học viên tiếp tục nghiên cứu, hoàn thiện, tối ưu giải pháp để đảm bảo ATTT cho hệ thống CNTT Viện KHCN Sáng tạo Việt Nam mức cao sử dụng công nghệ AI để phát hành vi công 73 DANH MỤC TÀI LIỆU THAM KHẢO Tài liệu nước [1] Trần Công Cẩn (2019) – Mô mạng máy tính Trường Đại học Khánh Hịa – Trường Đại học Khánh Hịa [2] Hồng Xn Dậu (2007) - Bài giảng an tồn bảo mật hệ thống thơng tin [3] [4] [5] Học viện Cơng nghệ Bưu Viễn thơng PGS.TSKH Hồng Đăng Hải (2018) - Quản lý an tồn thơng tin - Học viện Cơng nghệ Bưu Viễn thông Nhà xuất Khoa học Kỹ thuật Phương Minh Nam (2010) - Nguy an ninh, an tồn thơng tin, liệu số giải pháp khắc phục – Bộ Công An Trần Văn Khá (2008) – Firewall Linux Iptables Tài liệu ngước [6] Arne Mikalsen and Per Borgesen (2002) - Local Area Network Management - Design n Security University College Norway [7] Certified Ethical Hacker – Ec Council [8] [9] [10] [11] [12] Certified Information System Security Professional – Microsoft Cisco Certified Network Associate – Cisco Academy David Miller et al (2010) Security Information and Event Management Eliud Ir Eliud Aganze (2014) - Design Implementation And Management Of Secured LAN MSc Jomokenyatta University of Agriculture And Technology Gert De Laet, Gert Schauwers (2004) - Network Security Fundamentals Publisher Cisco Press [14] Helling (2015) - Home Network Security Eindhoven University of Techonogy IETF RFC 1701: Generic Routing Encapsulation (GRE) [15] [16] [17] IETF RFC 2637: Point - to - Point Tunneling Protocol (PPTP) IETF RFC 2661: Layer Two Tunnuling Protocol (L2TP) Jan Vykopal (2008) - Security Analysis of a Computer Network Masaryk [13] [18] [19] University Faculty of Informatics Kaiyuan Yang (2011) - Bachelor’s Thesis Abstract Turku University of Applied Sciences Kevin Wey Kaye Tham (2006) - Dev Security Service For Network 74 [20] [21] Architectures PhD Quyeesland University of Technology Overview of Virtual Private Networks and IPSec Technologies - Cisco System R.C.Sreijl (2000) - Analysis of Managed Virtual Private Network Tamirat Atsemegiorgis (20130 - Building a Secure Local Area Network Helsinki Metropolia University of Applied Sciences Tài liệu từ Internet: [23] http://www.cisco.com/go/vpn Ngày 29/4/2020 [22] [24] [25] [26] [27] [28] http://www.lpi.org/ Ngày 29/4/2020 http://www.vjst.vn/vn/tin-tuc/2653/big-data-va-ung-dung-trong-bao-matthong-tin.aspx Ngày 29/4/2020 https://ictnews.vietnamnet.vn/cntt/bao-mat/nua-dau-nam-2019-so-cuoctan-cong-mang-vao-cac-he-thong-thong-tin-viet-nam-tiep-tuc-giam184932 Ngày 29/4/2020 https://securitydaily.net/splunk-cong-cu-toan-nang-cho-cac-chuyen-giagiam-sat-an-ninh-mang/ Ngày 29/4/2020 https://trendmicro.ctydtp.vn/10-vu-tan-cong-internet-lon-nhat-lichsu.html Ngày 29/4/2020 [29] [30] https://vnetwork.vn/vi/news/10-thong-ke-ve-an-ninh-mang-2019 https://www.elastic.co/elk-stack/ Ngày 29/4/2020 [31] [32] https://www.elastic.co/products Ngày 29/4/2020 https://www.snort.org/ Ngày 29/4/2020 ... CNTT Viện KHCN Sáng tạo Việt Nam ứng dụng giải pháp an toàn thông tin Viện Bố cục luận văn Luận văn trình bày chương: Chương luận văn khảo sát tổng quan tình hình an tồn thơng tin mối đe dọa an. .. thông tin Việt Nam [26] Trước thực trạng cấp thiết đó, học viên xin chọn đề tài ? ?Nghiên cứu giải pháp an toàn thông tin ứng dụng Viện KHCN Sáng tạo Việt Nam? ?? làm đề tài luận văn nhằm nghiên cứu, ... tin Chương luận văn tập trung nghiên cứu giải pháp an tồn thơng tin, từ đưa giải pháp an tồn thơng tin Chương luận văn tập trung nghiên cứu hệ thống mạng Viện KHCN Sáng tạo đề xuất ứng dụng giải