KHÓA LUẬN: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP HIDS OSSEC (full file Setup & DEMO). Nhận tin nhắn hỗ trợ về đề tài

THÔNG TIN TÀI LIỆU

Cấu trúc

LỜI CẢM ƠN
LỜI CAM ĐOAN
DANH MỤC HÌNH ẢNH
DANH MỤC TỪ VIẾT TẮT
DANH MỤC BẢNG
MỤC LỤC
MỞ ĐẦU
- I. Lý do chọn đề tài
- II. Mục tiêu của đề tài
- III. Đối tượng nghiên cứu
- IV. Phạm vi nghiên cứu
- V. Bố cục khóa luận
CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
- 1.1 Hệ thống phát hiện xâm nhập (IDS)
  - 1.1.1 Chức năng của hệ thống phát hiện xâm nhập
  - 1.1.2 Các thành phần của hệ thống phát hiện xâm nhập
  - 1.1.3 Nguyên lý hoạt động của hệ thống phát hiện xâm nhập
- 1.2 Phân loại hệ thống phát hiện xâm nhập
  - 1.2.1 Host-base IDS (HIDS)
  - 1.2.2 Network-base IDS (NIDS)
  - 1.2.3 So sánh HIDS và NIDS
- 1.3 Mô hình triển khai IDS
  - 1.3.1 Mô hình HIDS
  - 1.3.2 Mô hình NIDS
- 1.4 Các phương pháp nhận diện của hệ thống phát hiện xâm nhập
  - 1.4.1 Nhận diện dựa vào dấu hiệu (Signature-base Detection)
  - 1.4.2 Nhận diện dựa vào sự bất thường (Abnormaly-base Detection)
  - 1.4.3 Phân tích trạng thái của giao thức (Staful Protocol Analysis)
CHƯƠNG 2: ỨNG DỤNG HIDS OSSEC TRONG PHÁT HIỆN XÂM NHẬP
- 2.1 Giới thiệu về OSSEC
- 2.2 Các thành phần chính của OSSEC
  - 2.2.1. Server
  - 2.2.2. Agent
- 2.3 Các tính năng chính
- 2.4 Quy trình phân tích của OSEC HIDS
- 2.5 Phương thức hoạt động của OSSEC
  - 2.5.1 Hệ thống luật của OSSEC
  - 2.5.2 Phương thức hoạt động của luật
- 2.6. Các hoạt động kiểm tra và các phản ứng của OSSEC
  - 2.6.1 Kiểm tra tính toàn vẹn
  - 2.6.2. Quá trình kiểm tra dò quét phát hiện Rootkit
  - 2.6.3 Phản ứng chủ động
CHƯƠNG 3: TRIỂN KHAI VÀ THỰC NGHIỆM
- 3.1. Khảo sát thực trạng
- 3.2. Mô hình đề xuất
- 3.3 Triển khai hệ thống HIDS OSSEC
  - 3.3.1 Mô hình triển khai
  - 3.3.2 Triển khai OSSEC Server
  - 3.3.3 Triển khai OSSEC agent
- 3.4 Thực nghiệm
  - 3.4.1. Phát hiện user tắt chương trình giám sát
  - 3.4.2 Phát hiện dò quét cổng (Portscans)
  - 3.4.3 Phát hiện và ngăn chặn Bruteforce SSH
- 3.5 Đánh giá kết quả sau thực nghiệm
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN
- Sau quá trình nghiên cứu cho phép rút ra kêt luận
- Đánh giá ưu điểm và hạn chế của khóa luận
- Phạm vi ứng dụng của khóa luận:
- Khóa luận có thể phát triển theo các hướng sau đây
TÀI LIỆU THAM KHẢO

Nội dung

ĐÂY BỘ TÀI LIỆU ĐẦY ĐỦ FULL HƯỚNG DẪN CÀI ĐẶT VÀ DEMO CHO CHUYÊN NGÀNH MẠNG ĐANG TÌM HIỂU VÀ NGHIÊN CỨU VỀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP HIDS

LỜI CẢM ƠN Lời đầu tiên, xin chân thành cảm ơn đến thầy giáo, cô giáo trường Đại học Duy Tân tận tình giảng dạy truyền đạt cho kiến thức quý báu suốt trình học tập giảng đường …… Đặc biệt thầy ……………, người trực tiếp hướng dẫn, giúp đỡ tơi nhiều q trình học tập để hồn thành báo cáo Khóa luận tốt nghiệp Tôi xin chân thành cảm ơn gia đình, bạn bè, người thân ln tạo điều kiện tốt để tơi hồn thiện đề tài Với kiến thức nhiều hạn chế, báo cáo khơng tránh khỏi sai sót Rất mong nhận lời góp ý thầy cơ, bạn bè để tơi có thêm kiến thức, trau dồi thêm kỹ thân Tôi xin chân thành cảm ơn LỜI CAM ĐOAN Tôi xin cam đoan nội dung Khóa luận tơi thực hướng dẫn thầy ……………………… Mọi tham khảo dùng khóa luận trích dẫn rõ ràng trung thực tên tác giả, tên cơng trình, thời gian, địa điểm công bố Mọi chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá xin chịu hoàn toàn trách nhiệm Đà Nẵng, ngày , tháng , năm 2020 TÁC GIẢ KHOÁ LUẬN DANH MỤC HÌNH ẢNH HÌNH TÊN HÌNH Hình 1.1 Các thành phần IDS Hình 1.2 Hoạt động IDS Hình 1.3 Một số vị trí triển khai IDS Hình 1.4 Mơ hình triển khai HIDS Hình 1.5 Mơ hình triển khai NIDS Hình 2.1 Các thành phần OSSEC Hình 2.2 Quy trình phân tích OSSEC HIDS Hình 2.3 Luật phát cài đặt phần mềm Hình 3.1 Mơ hình khảo sát Hình 3.2 Mơ hình khảo sát Hình 3.3 Mơ hình đề xuất dựa mơ hình khảo sát Hình 3.4 Mơ hình triển khai HIDS OSSEC dựa vào phần mơ hình đề xuất vùng LAN vùng Internal Server Hình 3.5 Cài đặt ngơn ngữ Hình 3.6 Cài đặt chế độ hoạt động cho server Hình 3.7 Cấu hình vị trí lưu OSSEC Hình 3.8 Cấu hình HIDS OSSEC Hình 3.9 Cài đặt hồn tất Hình 3.10 Thêm Agent Hình 3.11 Khai báo thơng tin Agent Hình 3.12 Lấy key xác thực cho Agent Hình 3.13 Cài đặt giao diện cho OSSEC Hình 3.14 Giao diện quản lý OSSEC Hình 3.15 Kiểm tra trạng thái Agent Hình 3.16 Chọn chế độ hoạt động Agent Hình 3.17 Khai báo địa IP OSSEC Server Hình 3.18 Kích hoạt key xác thực đối Agent Hình 3.19 Giao diện cài đặt OSSEC Windows Hình 3.20 Mơ hình thực nghiệm dựa mơ hình triển khai Hình 3.21 Phần mềm cần giám sát hoạt động Hình 3.22 Cấu hình OSSEC.conf OSSEC_Agent_Windows Hình 3.23 Tạo local rule OSSEC Server Hình 3.24 Kết báo phần mềm giám sát bị tắt Hình 3.25 Email cảnh báo từ HIDS OSSEC Hình 3.26 Các tác vụ hoạt động OSSEC_Agent_Windows Hình 3.27 Tạo local rule OSSEC Server Attacker thu thông tin cổng OSSEC khơng hoạt động Hình 3.28 Attacker thu thơng tin cổng OSSEC khơng hoạt động Hình 3.29 Cảnh báo phát quét cổng chặn IP Hình 3.30 Hình 3.30: Email cảnh báo phát dị quét cổng Hình 3.31 Cấu hình Active-response OSSEC Server Hình 3.32 Cấu hình agent.conf OSSEC_Server Hình 3.33 Attacker lấy thông tin đăng nhập SSH OSSEC không hoạt động Hình 3.34 Cảnh báo phát BurteForce SSH chặn IP Attacker Hình 3.35 Email cảnh báo phát bruteforce SSH Hình 3.36 Kết nhận máy Attacker DANH MỤC TỪ VIẾT TẮT TỪ VIẾT TẮT NGHĨA TIẾNG ANH NGHĨA TIẾNG VIỆT IDS HIDS Intrusion detection system Host-base Intrusion detection Hệ thống phát xâm nhập Hệ thống phát xâm nhập NIDS system Network-base Intrusion host Hệ thống phát xâm nhập DMZ LAN DNS HTTP SSH VPN FTP NAC DDoS detection system Demilitarized Zone Local Area Network Domain Name System HyperText Transfer Protocol Secure Shell Virtual Private Network File Transfer Protocol Network Access Control Distributed Denial of Service mạng Vùng mạng trung lập Vùng mạng nội Hệ thống tên miền Giao thức truyền tải siêu văn Mơi trường an tồn Mạng riêng ảo Giao thức truyền tập tin Kiểm soát truy cập mạng Từ chối dịch vụ phân tán DANH MỤC BẢNG BẢNG TÊN BẢNG Bảng 1.1 Bảng so sánh giữ HIDS NIDS Bảng 2.1 Bảng quy tắc OSSEC Bảng 3.1 Mơ tả IP mơ hình triển khai Bảng 3.2 Mơ tả IP mơ hình thực nghiệm MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii DANH MỤC HÌNH ẢNH iii DANH MỤC TỪ VIẾT TẮT v DANH MỤC BẢNG vi MỞ ĐẦU ix I Lý chọn đề tài .ix II Mục tiêu đề tài ix III Đối tượng nghiên cứu .x IV Phạm vi nghiên cứu x V Bố cục khóa luận .x CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP .1 1.1 Hệ thống phát xâm nhập (IDS) .1 1.1.1 Chức hệ thống phát xâm nhập 1.1.2 Các thành phần hệ thống phát xâm nhập 1.1.3 Nguyên lý hoạt động hệ thống phát xâm nhập 1.2 Phân loại hệ thống phát xâm nhập 1.2.1 Host-base IDS (HIDS) .4 1.2.2 Network-base IDS (NIDS) .5 1.2.3 So sánh HIDS NIDS 1.3 Mơ hình triển khai IDS 1.3.1 Mơ hình HIDS 1.3.2 Mơ hình NIDS .10 1.4 Các phương pháp nhận diện hệ thống phát xâm nhập 11 1.4.1 Nhận diện dựa vào dấu hiệu (Signature-base Detection) 11 1.4.2 Nhận diện dựa vào bất thường (Abnormaly-base Detection) .11 1.4.3 Phân tích trạng thái giao thức (Staful Protocol Analysis) 12 CHƯƠNG 2: ỨNG DỤNG HIDS OSSEC TRONG PHÁT HIỆN XÂM NHẬP 13 2.1 Giới thiệu OSSEC 13 2.2 Các thành phần OSSEC .13 2.3 Các tính 15 2.4 Quy trình phân tích OSEC HIDS 17 2.5 Phương thức hoạt động OSSEC .18 2.5.1 Hệ thống luật OSSEC 18 2.5.2 Phương thức hoạt động luật .20 2.6 Các hoạt động kiểm tra phản ứng OSSEC 22 2.6.1 Kiểm tra tính tồn vẹn 22 2.6.2 Quá trình kiểm tra dò quét phát Rootkit 23 2.6.3 Phản ứng chủ động 24 CHƯƠNG 3: TRIỂN KHAI VÀ THỰC NGHIỆM .26 3.1 Khảo sát thực trạng .26 3.2 Mô hình đề xuất 28 3.3 Triển khai hệ thống HIDS OSSEC .29 3.3.1 Mơ hình triển khai 29 3.3.2 Triển khai OSSEC Server 30 3.3.3 Triển khai OSSEC agent 34 3.4 Thực nghiệm 36 3.4.1 Phát user tắt chương trình giám sát .38 3.4.2 Phát dò quét cổng (Portscans) 40 3.4.3 Phát ngăn chặn Bruteforce SSH 43 3.5 Đánh giá kết sau thực nghiệm 46 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .47 TÀI LIỆU THAM KHẢO .49 MỞ ĐẦU I Lý chọn đề tài Với tốc độ phát triển ứng dụng CNTT&TT ngày nhanh nay, hàng ngày có lượng thơng tin lớn lưu trữ sở, hệ thống liệu cách thức công ngày trở nên đa dạng xâm nhập vào hệ thống làm tăng rủi ro an toàn thông tin nên việc theo dõi giám sát hệ thống để đảm bảo an tồn thơng tin, phát tình nguy hiểm xảy với hệ thống vô quan trọng Để giảm thiểu, phịng ngừa ngăn chặn cơng từ bên ngồi vào sử dụng nhiều cách để thưc điển hình thơng dụng sử dụng firewall để đánh chặn thông qua việc lọc gói tin hay qua quy tắc thiết lập, nhược điểm cơng xảy phía mạng firewall phát cảnh báo đến người quản trị được, nên cần có hệ thống giám sát theo dõi, ghi lại kiện xảy phát hiện, đưa cảnh báo hành vi có khả đe dọa đến an ninh hệ thống “ NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP HIDS VỚI OSSEC” giải pháp giúp thực điều II Mục tiêu đề tài - Nắm kiến thức hệ thống phát xâm nhập : khái niệm IDS, thành phần IDS, ngun lý hoạt động, mơ hình triển khai IDS, ứng dụng IDS phổ biến - Nắm kiến thức, chức năng, nguyên lí hoạt động q trình phân tích HIDS OSSEC - Triển khai xây dựng kịch kiểm nghiệm để kiểm thử hoạt động OSSEC HIDS - Xây dựng thêm quy tắc để nâng cao khả phát hành vi bất thường - Các kiện xảy thu thập ghi chép lại vào log hệ thống, email cảnh báo gửi đến quản trị viện có mối đe dọa hành vi cho an toàn theo kịch thực nghiệm đề III Đối tượng nghiên cứu - Hệ thống phát xâm nhập IDS - Hệ thống HIDS OSSEC - Các mơ hình triển khai hệ thống mạng thường sử dụng IV Phạm vi nghiên cứu - Nghiên cứu tính năng, thành phần, nhiệm vụ, trình hoạt động nhận dạng hành vi xâm nhập xử lý IDS - Nghiên cứu xây dựng, triển khai hệ thống HIDS OSSEC - Kiểm thử trình hoạt động HIDS OSSEC với kịch đề V Bố cục khóa luận Bố cục khóa luận gồm có chương: - Chương 1: Tổng quan hệ thống phát xâm nhập - Chương 2: Ứng dụng HIDS OSSEC phát xâm nhập - Chương 3: Triển khai thực nghiệm 10 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC OSSEC Server phát dựa thông tin bất thường từ việc đăng nhập sai nhiều lần vào tài khoản từ phát cảnh báo chặn IP Attacker 3.4.1 Phát user tắt chương trình giám sát Ở giả sử có phần mềm Wordpad đóng vai trị chương trình giám sát cần đảm bảo hoạt động liên tục, chương trình quan trọng cần đảm bảo hoạt động Hình 3.21: Phần mềm cần giám sát hoạt động Để thực cần phải cấu hình OSSEC Agent lấy danh sách tác vụ hoạt động từ windows, cấu sau file OSSEC.conf đường dẫn C:\ProgramFile(x86)\OSSEC-agent Hình 3.22: Cấu hình OSSEC.conf OSSEC_Agent_Windows Trên OSSEC Server, cần tạo quy tắc cục để nhận danh sách tác vụ từ OSSEC Agent đối chiếu để kiểm tra xem người dùng có 55 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC tắt chương trình giám sát hay khơng Chúng ta cấu hình file local_rules.xml đường dẫn /var/OSSEC/rules Hình 3.23: Tạo local rule OSSEC Server Đầu tiên rule 100050 lấy danh sách tác vụ từ OSSEC Agent gửi về, rule 100051 liên kết với rule 100050 có tác dụng chuỗi wordpad.exe thẻ match khơng có danh sách tác vụ nhận cảnh level đưa thông báo chương trình giám sát bị tắt, ngược lại wordpad hoạt động rule 100051 kích hoạt khơng đưa cảnh báo Hình 3.24: Kết báo phần mềm giám sát bị tắt Đồng thời tin nhắn cảnh báo gửi đến email người quản trị, điều tạo tiện lợi chủ động nhanh chóng để giải việc 56 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC Hình 3.25: Email cảnh báo từ HIDS OSSEC Ngồi kiểm tra lại tác vụ hoạt động agent cách kiểm tra lại archives.log var/OSSEC/logs/archives/ Hình 3.26: Các tác vụ hoạt động OSSEC_Agent_Windows 3.4.2 Phát dò quét cổng (Portscans) Khi hacker dị qt cổng có tín hiệu kết nối đến cổng từ vị trí hacker, OSSEC thu thập kết nối thông qua chu trình quét hệ thống, thu thập nhật kí hoạt động phân tích qua giải mã trước quy tắc kiểm tra đưa cảnh báo hành động phát có đanh dị qt cổng 57 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC Tuy nhiên thân HIDS OSSEC phát điều đó, chúng phải tích hợp cơng cụ thu thập OSSEC dựa vào nhật kí mà cơng cụ thu để phát Portscans đưa hành động tiếp theo, tích hợp cơng cụ phát portscans Chúng ta cài đặt sau  root@ubuntu:/home/server# apt install portsentry Tiếp theo cần tạo giải mã file decode.xml cho OSSEC theo đường dẫn /var/OSSEC/etc/ sau: ^portsentry portsentry attackalert: TCP SYN/Normal scan from host: (S+)/S+ to (S+) port: (d+)$ srcip,protocol,dstport portsentry is already blocked Ignoring$ Host: (S+)/S+ is 58 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC srcip portsentry ^attackalert: scan from host: (S+)/S+ to S+ port: (d+) $ srcip, dstport portsentry ^attackalert: Host: ^(S+)/S+ srcip Bộ giải mã thực trích xuất thơng tin mà portsentry thu từ file nhật kí hoạt động địa IP nguồn, IP đích, cổng mà hacker quét qua trước chuyển cho quy tắc xử lý Các quy tắc dựa vào gải mã để phát ngăn chặn hành động dò quét cuả hacker cách block Ip hacker, soạn quy tắc cho OSSEC thực điều file local_rules.xml đường dẫn /var/OSSEC/rules sau 59 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC Hình 3.27: Tạo local rule OSSEC Server Rule 1600000 có nhiệm vụ lấy thơng tin từ giải mã, rule 1600002 có nhiệm vụ đưa cảnh báo block IP attacker Chúng ta giả sử Attacker scan đến host đó, ta giả sử Attacker scan port OSSEC Server, OSSEC khơng hoạt động Attacker thu cổng mở OSSEC Server Hình 3.28: Attacker thu thơng tin cổng OSSEC khơng hoạt động Và OSSEC bật hacker có hành động dị qt cổng cảnh báo hành động ngăn chặn từ OSSEC đưa Hình 3.29: Cảnh báo phát quét cổng chặn IP Email cảnh gửi đến quản trị viên 60 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC Hình 3.30: Email cảnh báo phát dị qt cổng Từ lúc cảnh báo đưa hành động liên lạc hai máy bị cắt đứt 3.4.3 Phát ngăn chặn Bruteforce SSH Ở đây, thực mô công bruteforce SSH Đầu tiên xác định tập quy tắc có liên quan, vấn đề liên quan đến SSH sử dụng quy tắc có sẳn OSSEC nằm tập lệnh sshd_rules.xml đường dẫn /var/OSSEC/rules/ Sau cấu hình phản ứng chủ động OSSEC file OSSEC.conf đường dẫn /var/OSSEC/etc/ sau Hình 3.31: Cấu hình Active-response OSSEC Server Theo cấu hình ta giải thích sau: 61 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC - Command: Sử dụng tập lệnh firewall-drop để chặn IP có tính chất đe dọa tường lửa cục IP vi phạm quy tắc đặt - Location: Lệnh thực thi tồn máy có cài đặt OSSEC mạng - Rules_id: Lệnh thực thi quy tắc 5712 kích hoạ - Timeout: Là thời gian chặn IP, ta giả sử chặn 120 giây Sau phải cấu hình quản lý tập trung để nhận nhật ký phản ứng chủ động từ agent, để có phát sinh cơng agent OSSEC Server nhận ngay, Ta cấu sau: Hình 3.32: Cấu hình agent.conf OSSEC_Server Sau tất sẳn sàng, ta thử công Buteforce SHH server, máy attacker chúng sử dụng tool Hydra để thưc với lệnh sau:  root@ubuntu:/home/attacker# hydra -l server -P /home/Desktop/list.txt 192.168.20.2 -t ssh Đầu tiên ta thử OSSEC hacker dễ lấy thơng tin login server Hình 3.33: Attacker lấy thơng tin đăng nhập SSH OSSEC không hoạt động 62 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC Và OSSEC khởi động bị công nhận cảnh bảo mức 10 việc phát bruteforce SSH sau IP attacker bị chặn lại Hình 3.34: Cảnh báo phát BurteForce SSH chặn IP Attacker Email cảnh báo gửi đến email quản trị viên Hình 3.35: Email cảnh báo phát bruteforce SSH Trên máy Attacker kết nối từ chối kết nối từ server 63 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC Hình 3.36: Kết nhận máy Attacker 3.5 Đánh giá kết sau thực nghiệm Qua kịch kết sau thực nghiệm ta rút số kết luận đánh giá sau ưu điểm hạn chế hệ thống phát xâm nhập HIDS OSSEC  Ưu điểm: - OSSEC chương trình mã nguồn mở, triển khai nhiều hệ hành khác - Tính ổn định tương đối cao, q trình cài đặt khơng địi hỏi q nhiều yêu cầu hệ thống - Việc giám sát ghi nhận kiện xảy xác, rõ ràng đầy đủ thông tin - Hổ trợ 700 quy tắc, giúp việc phát hành vi xâm nhập gây ảnh hưởng an ninh, an toàn hệ thống chặt chẽ - Người quản trị thiết lập hay mở rơng thêm quy tắc OSSEC để nâng cao khả giám sát phát biểu bất thường xảy - Các phản ứng chủ động phát sinh mối đe dọa hoạt động hiệu  Hạn chế: 64 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC - Việc mở rộng quy tắc muốn nâng cao khả hệ thống đòi hỏi am hiểu sâu OSSEC trình hoạt động, cách lấy thông tin log cách thiết lập cấu hình tùy biến mở rộng bên - Để có hiệu tốt việc bảo vệ mạng bên yêu cầu yêu cầu OSSEC nên kèm với giải pháp khác tạo thành nhiều tầng bảo mật - OSSEC có hạn chế việc phát mối đe dọa nhiên tích hợp với cơng cụ, phần mềm khác để khắc phục điều 65 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN Sau trình nghiên cứu cho phép rút kêt luận - Đề tài trình bày kiến thức tổng quát hệ thống phát xâm nhập IDS bao gồm NIDS HIDS - Đề tài trình bày kiến thức OSSEC HIDS - Xây dựng kịch để thực với OSSEC HIDS - Vận hành kiểm thử thành công với kịch đưa Đánh giá ưu điểm hạn chế khóa luận  Ưu điểm - Nghiên cứu nắm kiến thức hệ thống phát xâm nhập - Nghiên cứu triển khai hệ thống phát xâm nhập HIDS OSSEC - Vận hành thử nghiệm hệ thống thành công - Mở rộng quy tắc theo yêu cầu kịch thử nghiệm  Hạn chế - Chưa khai thác nhiều ứng dụng, chức HIDS OSSEC - Chưa tìm hiểu nhiều cách cấu hình nâng cao cho HIDS OSSEC tối ưu cho HIDS OSSEC - Vẫn cịn tình trạng xuất cảnh báo sai Phạm vi ứng dụng khóa luận: - Về mặt lý thuyết: Ứng dụng để xây dựng mơ hình bảo mật mạng bên hổ trợ cơng tác giảng dạy, tìm hiểu hoạt động ứng dụng IDS 66 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC - Về mặt thực tiển: Có thể triển khai cho cơng ty, doanh nghiệp vừa nhỏ tích hợp sử dụng thiết bị, phần mềm an ninh khác để tạo thành nhiều lớp bảo mật triển khai cho công ty, doanh nghiệp lớn Khóa luận phát triển theo hướng sau - Phát triển mở rộng quy tắc để nâng cao việc quản lí theo giõi giám sát Agent Ngồi ra, thơng qua quy tắc mở rộng để cải thiện nhanh nhạy việc ghi nhận kiện nâng cao tính ổn định xác - Thiết lập trích xuất thơng tin cho OSSEC để đơn giản hóa file nhật kí để dễ dàng xem kiểm tra cần thiết - Xây dựng triển khai hệ thống thực tế cho công ty, tổ chức doanh nghiệp - Tối ưu khả phát mối nguy hại cách tích hợp thêm ứng dụng phần mềm khác vào OSSEC **** Để cấu hình cho ossec gửi mail phải cài đặt máy stmp local postfix tham khảo trang sau để tìm cách cài đặt https://www.linode.com/docs/guides/configure-postfix-to-send-mail-using-gmailand-google-workspace-on-debian-or-ubuntu/ https://www.linode.com/community/questions/11614/unable-to-sendmail-viapostfix-on-ubuntu-server https://documentation.wazuh.com/3.0/user-manual/manager/manual-emailreport/smtp_authentication.html 67 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt [1] Trần Tiến Công, Nghiên cứu triển khai hệ thống IDS/IPS, Trường Đại Học Cơng Nghệ, 2009 [2] Vũ Đình Cường Cách bảo vệ liệu quan trọng phương pháp phát thâm nhập NXB Lao Động Xã Hội 2009 [3] Đặng Ngọc Cường Bài giảng an ninh Internet, Trường Đại Học Duy Tân, 2018 Tài liệu tiếng Anh [4] Andrew Hay et (2008) OSSEC Host-Based Intrusion Detection Guide Tài liệu Internet [5] OSSEC Documentation (2020) [6] Jesus Linares (2016) Blocking attacks with Active Response [7] Anonymous (2015) How to monitor running processes with OSSEC [8] Wazuh Docs (2020) SMTP server with authentication [9] Chris Binnie Customizing PortSentry 68 Nghiên cứu triển khai hệ thống phát xâm nhập HIDS VỚI OSSEC 69

Ngày đăng: 06/09/2021, 15:01