HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ MẠNH CƯỜNG NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN XÂM NHẬP TÍCH HỢP CHO MẠNG LAN LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2021 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG - LÊ MẠNH CƯỜNG NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN XÂM NHẬP TÍCH HỢP CHO MẠNG LAN CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HOÀNG XUÂN DẬU HÀ NỘI - 2021 LỜI CẢM ƠN Để thực hoàn thành đề tài luận văn thạc sĩ kỹ thuật này, xin chân thành cảm ơn Thầy, Cô Khoa Sau Đại học trường Học viện Bưu Chính Viễn Thơng tận tình dạy dỗ, truyền đạt cho nhiều kiến thức kỹ quý báu Tôi xin gửi lời cảm ơn sâu sắc đến giảng viên hướng dẫn trực tiếp tơi - TS Hồng Xn Dậu Cảm ơn thầy lắng nghe quan điểm cá nhân đưa nhận xét quý báu, góp ý dẫn dắt hướng suốt thời gian thực đề tài luận văn thạc sĩ kỹ thuật Tôi xin chân thành cảm ơn giúp đỡ, quan tâm động viên nhiều từ quan, tổ chức cá nhân trình thực đề tài Luận văn hoàn thành dựa tham khảo, đúc kết kinh nghiệm từ sách báo chuyên ngành, kết nghiên cứu liên quan Tuy nhiên kiến thức thời gian có giới hạn nên đề tài khó tránh khỏi thiếu sót, kính mong q thầy bạn đóng góp thêm để đề tài hồn chỉnh hơn! Tơi xin chân thành cảm ơn ! Hà Nội, ngày tháng 2021 Học viên Lê Mạnh Cường năm LỜI CAM ĐOAN Tôi cam đoan sản phẩm nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Các nội dung tơi tham khảo từ tài liệu trích dẫn thích đầy đủ Tôi xin chịu trách nhiệm luận văn Hà Nội, ngày tháng 2021 Học viên Lê Mạnh Cường năm MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN .ii MỤC LỤC .iii DANH MỤC VIẾT TẮT .v DANH MỤC HÌNH ẢNH vii MỞ ĐẦU CHƯƠNG I TỔNG QUAN VỀ XÂM NHẬP VÀ PHÁT HIỆN XÂM NHẬP .2 1.1 Tổng quan xâm nhập .2 1.1.1 Khái quát công, xâm nhập .3 1.1.2 Các dạng công, xâm nhập mạng 1.1.3 Các dạng công, xâm nhập host 10 1.2 Tổng quan phát xâm nhập 12 1.2.1 Khái quát phát xâm nhập .12 1.2.2 Phát xâm nhập mạng phát xâm nhập host 13 1.2.3 Phát xâm nhập dựa dấu hiệu dựa bất thường 14 1.3 Kết luận Chương I 15 CHƯƠNG II CÁC HỆ THỐNG PHÁT HIỆN XÂM NHẬP 17 2.1 Các hệ thống phát xâm nhập mạng 17 2.1.1 Snort 17 2.1.2 Suricata .20 2.2 Các hệ thống phát xâm nhập host 24 2.2.1 OSSEC .24 2.2.2 SolarWinds Security Event Manager 27 2.3 Các hệ thống phát xâm nhập tích hợp 29 2.3.1 IBM Qradar 29 2.3.2 Security Onion 33 2.4 Phân tích so sánh hệ thống phát xâm nhập .38 2.5 Kết luận Chương II .41 CHƯƠNG III THỬ NGHIỆM TRIỂN KHAI GIẢI PHÁP PHÁT HIỆN XÂM NHẬP TÍCH HỢP SECURITY ONION CHO MẠNG LAN .42 3.1 Mơ hình triển khai .42 3.1.1 Sơ đồ triển khai hệ thống Security Onion cho bảo mật mạng LAN 42 3.1.2 Các yêu cầu phần cứng phần mềm 43 3.2 Triển khai Security Onion cho mạng LAN 44 3.2.1 Triển khai thành phần phát xâm nhập mạng – NIDS 45 3.2.2 Triển khai thành phần phát xâm nhập host – HIDS 48 3.2.3 Triển khai thành phần giao diện quản trị .51 3.3 Một số kịch thử nghiệm, kết đánh giá 52 3.3.1 Một số kịch thử nghiệm phát công, xâm nhập 52 3.3.2 Các kết .61 3.3.3 Nhận xét, đánh giá 63 3.4 Kết luận Chương III 64 KẾT LUẬN .65 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 66 DANH MỤC VIẾT TẮT Ký hiệu Tên Tiếng Anh ADE Adverse Drug Event ARP Address Resolution Protocol CGI Computer-Generated Imagery CIS Center for Internet Security CPU Central Processing Unit Distributed Denial of Service DDOS DNS Domain Name Servers DOS Denial of Service FIM Federated Identity Manager FTP File Transfer Protocol GNU/GP L GNU General Public License HIDS Host Intrusion Detection System HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol IDS Intrusion Detection System IP IRC LAN Integrated Intrusion Detection System Internet Protocol Internet Relay Chat Local Area Network MAC Media access control NIC Network Interface Card IIDS Ý nghĩa Tiếng Việt Công cụ phát dị thường Giao thức phân giải địa Công nghệ mô hình ảnh máy tính Trung Tâm An Ninh Internet Bộ xử lý trung tâm Tấn công từ chối dịch vụ phân tán Hệ thống phân giải tên miền Tấn công từ chối dịch vụ Hệ thống quản lý nhận dạng Giao thức truyền tải tập tin Giấy phép phần mềm tự Hệ thống phát xâm nhập host Giao thức Truyền tải Siêu Văn Bản Giao thức Thông điệp Điều khiển Internet Hệ thống phát xâm nhập Hệ thống phát xâm nhập tích hợp Địa giao thức Internet Giao thức IRC Mạng cục Địa điều khiển truy nhập môi trường Card giao tiếp mạng Ký hiệu POC PPA Tên Tiếng Anh Network Intrusion Detection System Network Performance Monitor Packet Capture Data Payment Card Industry Data Security Standard Proof of Concept Personal Package Archive PPP Point-to-point Protocol RAM Random Access Memory SAM Server Application Monitor NIDS NPM PCAP PCI-DSS SEM SIEM security event management Security Information and Event Management SLIP Serial Line Internet Protocol SMB Server Message Block SSH Simple Network Management Protocol Secure Shell SSL Secure Sockets Layer SNMP TCP UDP VPN WMI XSS ML SVM GA Transmission Control Protocol User Datagram Protocol Virtual Private Network Windows Management Instrumentation Cross-site scripting Machine Learning Support Vector Machine Genetic Algorithms Ý nghĩa Tiếng Việt Hệ thống phát xâm nhập mạng Giám sát hiệu suất mạng Dữ liệu chụp gói mạng Bộ tiêu chuẩn bảo mật liệu thẻ toán Chứng minh khái niệm Lưu trữ gói cá nhân Giao thức mạng ngang hàng Bộ nhớ truy xuất ngẫu nhiên Giám sát ứng dụng máy chủ quản lý kiện bảo mật Quản lý thông tin kiện bảo mật Giao thức Internet đường dây nối tiếp Hệ thống tệp Internet chung Giao thức giám sát mạng đơn giản Giao thức SSH Chứng socket bảo mật Giao thức TCP Giao thức UCP Mạng riêng ảo Thiết bị quản lý Windows Tấn công script độc hại Phương pháp học máy Máy vectơ hỗ trợ Thuật toán di truyền Ký hiệu Tên Tiếng Anh ANN Artificial Neural Network DT Decision Tree Ý nghĩa Tiếng Việt Mạng thần kinh nhân tạo Cây định 66 Hình 3.17:Kết dị cổng Nmap Hệ thống Security Onion sử dụng thư viện luật ET Open cập nhật liên tục https://rules.emergingthreats.net/open/ Đối với trường hợp cơng dị cổng hệ thống áp dụng luật sau: alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"ET SCAN Potential VNC Scan "; flags:S,12; threshold: type both, track by_src, count 5, seconds 60; reference:url,doc.emergingthreats.net/2002911; classtype:attempted-recon; sid:2002911; rev:5; metadata:created_at 2010_07_30, updated_at 2010_07_30;) Khi phát đối tượng dò cổng, thành phần NIDS cụ thể Snort đưa cảnh báo:"ET SCAN Potential VNC Scan" lệnh dị cổng có chứa cờ S (flags:S) với số lượng từ gói tin trở lên vịng 60 giây trao đổi với máy tính Windows 67 Hình 3.18: Cảnh báo dị qt cổng III.3.1.2 Tấn công Dos Kịch kẻ xâm nhập sử dụng Hping3 từ máy tính Kali Linux thực cơng Dos đến máy tính Windows Ngồi đối tượng giả mạo địa công 192.168.56.104 Trạng thái cơng minh họa hình 3.19: Hình 3.19:Trạng thái cơng Dos Hping3 Đối với phương thức công này, Snort sử dụng luật sau: alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"ET SCAN Potential Scan OUTBOUND"; flags:S,12; threshold: type threshold, track by_src, count 1000, seconds 120; reference:url,en.wikipedia.org/wiki/Brute_force_attack; reference:url,doc.emergingthreats.net/2003068; classtype:attemptedrecon; sid:2003068; rev:6; metadata:created_at 2010_07_30, updated_at 2010_07_30;) Khi phát đối tượng gửi lượng lớn yêu cầu đến máy tính Windows, Snort đưa cảnh báo:"ET SCAN Potential Scan OUTBOUND" lệnh dị cổng có chứa cờ S (flags:S) với số lượng từ 1000 gói tin trở lên vịng 60 giây trao đổi với máy tính Windows 68 Hình 3.20:Cảnh báo cơng Dos III.3.1.3 Tấn công giao thức FTP Kịch kẻ xâm nhập tiến hành quét thông tin, mật đăng nhập người dùng máy chủ FTP máy tính Windows Đầu tiên ta có thư mục chia sẻ giao thức FTP máy Windows hình 3.21: Hình 3.21:Tạo thư mục chia sẻ qua giao thức FTP Đối tượng tạo file bao gồm user mật để xâm nhập thông qua giao thức FTP: Hình 3.22:Tạo tệp chứa thơng tin đăng nhập FTP Đối tượng công giao thức FTP Hydra máy tính Kali Linux 69 Hình 3.23:Minh họa công giao thức FTP Hydra Đối với trường hợp này, Snort sử dụng luật sau: alert tcp $HOME_NET 21 -> $EXTERNAL_NET any (msg:"ET SCAN Potential FTP Brute-Force attempt response"; flow:from_server,established; dsize: $HTTP_SERVERS $HTTP_PORTS (msg:"ET WEB_SERVER Wordpress Login Bruteforcing Detected"; flow:to_server,established; content:"/wp-login.php"; nocase; fast_pattern; http_uri; content:"POST"; http_method; content:"log|3d|"; http_client_body; content:"pwd|3d|"; http_client_body; threshold: type both, track by_src, count 5, seconds 60; classtype:attempted-recon; sid:2014020; rev:3; metadata:affected_product Wordpress, affected_product Wordpress_Plugins, attack_target Web_Server, created_at 2011_12_12, deployment Datacenter, signature_severity Major, tag Wordpress, updated_at 2020_04_22;) Khi phát đối tượng qt thơng tin trang Web Security Onion đưa cảnh báo "ET WEB_SERVER Wordpress Login Bruteforcing Detected" Hình 3.27:Cảnh báo cơng Webserver III.3.1.5 Khai thác lỗ hổng Eternalblue Windows Kịch kẻ xâm nhập quét khai thác Eternalblue, lỗ hổng ms17-010 Windows Lỗ hổng nguyên nhân khiến WannaCry lây lan mạnh mẽ Đối tượng sử dụng cơng cụ Metasploit máy tính Linux để khai thác lỗ hổng Đầu tiên kẻ công mở Metaspolit Linux quyền root sử dụng lệnh use exploit/windows/smb/ms17_010_eternalblue để chọn mã khai thác Eternalblue ms17-010 hình 3.28: 72 Hình 3.28:Lựa chọn mã khai thác Tiếp tục set tùy chọn: RHOST, PAYLOAD câu lệnh: - set RHOST : Lựa chọn mục tiêu khai thác - set PAYLOAD windows/x64/meterpreter/reverse_tcp: Lựa chọn giao thức để khai thác TCP Hình 3.29:Cài đặt mục tiêu giao thức Tiến hành xâm nhập lỗ hổng 73 Hình 3.30:Xâm nhập khai thác lỗ hổng ms17-010 Windows Sau xâm nhập lỗ hổng, ta thử khai thác lỗ hổng cách chuyển đến thư cụng hệ thống Windows ảnh Đối với kịch Security Onion sử dụng luật sau: alert tcp any any -> $HOME_NET any (msg:"ET XPLOIT Possible ETERNALBLUE Probe MS17-010 (MSF style)"; flow:to_server,established; content:"|ff|SMB|25 00 00 00 00 18 01 28|"; offset:4; depth:12; content:"|00 00 00 00 00 00 00 00 00 00|"; distance:2; within:10; content:"|23 00 00 00 07 00 5c 50 49 50 45 5c 00|"; fast_pattern; isdataat:!1,relative; threshold: type limit, track by_src, count 1, seconds 30; reference:url,github.com/rapid7/metasploitframework/blob/master/modules/auxiliary/scanner/smb/smb_ms17_01 0.rb; classtype:trojan-activity; sid:2025649; rev:3; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, created_at 2018_07_11, deployment Internal, former_category EXPLOIT, signature_severity Major, tag Metasploit, tag ETERNALBLUE, updated_at 2019_09_28;) 74 Ngoài cảnh báo từ Snort thành phần phát xâm nhập host OSSEC/Wazuh tích hợp Security Onion sử dụng quy tắc sau để xác định công thay đổi tập tin máy client ossec syscheck_new_entry File added to the system. syscheck, Khi phát đối tượng khai thác Eternalblue lỗ hổng ms17-010 cơng cụ Metasploit Security Onion đưa cảnh báo “ ET EXPLOIT Possible ETERNALBLUE Probe MS17-010 (MSF style)” “[OSSEC] File added to the system” Hình 3.31: Cảnh báo xâm nhập khai thác lỗ hổng Eternalblue III.3.2 Các kết Sau phát tình xâm nhập hệ thống, Sercurity Onion tổng hợp logs chuyển qua phân tích chung sau xuất cảnh báo Người dùng sử dụng giao diện Kibana Squert tích hợp sẵn gói cài đặt Sercurity Onion để xem chi tiết, thơng kê phân tích hay xuất báo cáo Giao diện thành phần quản trị hiển thị tổng số lượng cảnh báo, biểu đồ phân bổ theo thời gian thơng tin cảnh báo Sau công trên, Security Onion phát tức đưa cảnh báo realtime giao diện quản trị Trong lúc công diễn ra, Security Onion hoạt động tốt để trì ổn định hệ thống mạng Tuy nhiên, 75 công đồng thời nhiều phương thức khác lúc, hệ thống thử nghiệm sử dụng CPU mức tối đa 90~100%, gói tin đánh giá phản hồi kết chậm Hình 3.32:Tổng số lượng cảnh báo biểu đồ theo thời gian Hình 3.33:Thơng tin cảnh báo Khi lựa chọn vào cảnh báo , người xem chi tiết đầy đủ thông tin cảnh báo thời gian, địa xâm nhập, địa bị xâm nhập, phương thức xâm nhập, thời gian, … để phân tích cụ thể đưa phương án xử lý đổi với cảnh báo 76 Hình 3.34:Thơng tin chi tiết cảnh báo III.3.3 Nhận xét, đánh giá Security Onion phối miễn phí hồn chỉnh tích hợp cơng cụ để thu thập phân tích liệu hành vi hoạt động hệ thống mạng theo thời gian thực, qua cảnh báo đến người quản trị để có biện pháp xử lý kịp thời Bên cạnh việc tích hợp đầy đủ cơng cụ hiển thị tồn phân tích trang quản trị giúp cho người quản trị tiết kiệm thời gian Security Onion thực thu thập liệu điểm xác định: - Xác định điểm yếu tồn hệ thống mạng - Xác định nguy ảnh hưởng đến hệ thống - Xác định nguồn liệu cần thiết phân tích nguồn liệu thu thập - Thiết lập trích xuất liệu TAP đường truyền để thu thập liệu gói tin Sau thu thập liệu, Security Onion tiến hành xử lý liệu qua công cụ tích hợp sẵn gói cài đặt thơng qua quy tắc xây dựng sẵn Các liệu phân tích bao gồm: 77 Dựa mạng: - Dữ liệu gói tin đầy đủ - Dữ liệu phiên truy cập - Dữ liệu thống kê băng thông - Dữ liệu cảnh báo NIDS dựa vào luật có sẵn dấu hiệu bất thường Dựa máy client: - Dữ liệu nhật ký OS - Dữ liệu cảnh báo virus - Dữ liệu cảnh báo HIDS - Dữ liệu nhật ký Firewall Tuy nhiên, điểm mạnh Security Onion tồn số nhược điểm giao diện quản trị tương đối phức tạp việc tùy biến quy tắc khó khăn, địi hỏi nhiều thơi gian kiến thức hệ thống Ngồi ra, Security Onion chưa có khả back up liệu tự động Với điểm nêu Security Onion thích hợp với hệ thống vừa nhỏ có nguồn kinh phí thấp III.4 Kết luận Chương III Chương tập trung vào việc cài đặt triển khai hệ thống Security Onion Tại chương giới thiệu chi tiết yêu cầu cấu trúc, mơ hình thiết lập cho hệ thống Security Onion Việc tích hợp thành phần NIDS, HIDS, giao diện quản trị làm rõ chương Các kịch xâm nhập hệ thống chuẩn bi để đánh giá khả hoạt động hệ thống phát xam nhập Security Onion 78 KẾT LUẬN Luận văn đạt sau: - Mục đích đề tài hướng nghiên cứu tổng quan xâm nhập phát xâm nhập hệ thống thông tin mạng LAN Phân biệt phương thức công giải pháp bảo mật tiêu biểu - Bên cạnh luận văn tập trung chi tiết vào hệ thống phát xâm nhập Security Onion tích hợp thành phần phát xâm nhập mạng host Qua cung cấp cho quản trị viên hệ thống công cụ đầy đủ nhằm theo dõi, phát sớm cảnh báo dấu hiệu xâm nhập với chi phí hợp lý - Qua nghiên cứu lý thuyết, luận văn nên bước cài đặt hệ thống Sercurity Onion mơ hình mạng LAN đơn giản Các kịch công xây dựng luận để xem xét khả hoạt động đánh giá tính khả thi hệ thống Hướng phát triển luận văn: - Xây dựng tập quy tắc hệ thống tương thích với thói quen hoạt động người dùng mạng LAN, loại bỏ cảnh báo không cần thiết tránh lãng phí tài nguyên hệ thống - Tối ưu giao diện hiển thị Kibana để người quản trị hệ thống nhanh chóng tiếp cận xử lý cảnh báo dễ dàng thống kê, tạo báo cáo định kỳ 79 DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Hồng Xn Dậu, Giáo trình sở an tồn thơng tin, Học viện công nghệ BCVT, Nhà xuất Thông tin Truyền thông, 2020 [2] Luật An ninh mạng Việt Nam năm 2018, ban hành từ ngày 01 tháng 01 năm 2019 [3] Lê Trung Nghĩa, Nghiên cứu ứng dụng hệ thống phát ngăn chặn xâm nhập cho hệ thống mạng máy tính dựa cơng nghệ mở, https://ictvietnam.vn/nghien-cuu-ung-dung-hethong-phat-hien-va-ngan-chan-xam-nhap-cho-he-thong-mangmay-tinh-dua-tren-cong-nghe-mo-8761.htm, truy cập tháng 05 năm 2021 [4] CSO, Top cybersecurity facts, figures and statistics for 2020, https://www.csoonline.com/article/3153707/top-cybersecurityfacts-figures-and-statistics.html, truy cập tháng 8.2020 [5] IBM QRadar SIEM, https://www.ibm.com/vn-en/products/qradarsiem, truy cập tháng 8.2020 [6] NortonLifeLock Inc., 10 cyber security facts and statistics for 2018, https://us.norton.com/internetsecurity-emerging-threats- 10-facts-about-todays-cybersecurity-landscape-that-you-shouldknow.html, truy cập tháng 8.2020 [7] Snort, https://www.snort.org, truy cập tháng 8.2020 [8] SolarWinds Security Event Manager, https://www.solarwinds.com, truy cập tháng 8.2020 [9] Sonicwall Cyber Threat Report, https://www.sonicwall.com/2021-cyber-threat-report/, truy cập tháng 4.2021 [10]Security Onion, https://securityonion.net, truy cập 8.2020 [11] OSSEC, https://www.ossec.net, truy cập tháng 8.2020 tháng 80 [12] Top 10 BEST Intrusion Detection Systems (IDS), https://www.softwaretestinghelp.com/intrusion-detectionsystems/, truy cập tháng 5.2021 [13]10 Best Network Intrusion Detection Systems Software & NIDS Tools, https://www.comparitech.com/net-admin/nids-tools- software/, truy cập tháng 5.2021 ... Trình bày tổng quan xâm nhập, dạng công xâm nhập hệ thống phát xâm nhập 2 Chương II: Các hệ thống phát xâm nhập Trình bày hệ thống phát xâm nhập mạng, xâm nhập host xâm nhập tích hợp Giới thiệu số... sở liệu I.2.2 Phát xâm nhập mạng phát xâm nhập host Hệ thống IDS dựa theo kiểu phạm vi giám sát phân làm loại là: Phát xâm nhập mạng phát xâm nhập host.[3] I.2.2.1 Phát xâm nhập mạng (NIDS - Network... công, xâm nhập host 10 1.2 Tổng quan phát xâm nhập 12 1.2.1 Khái quát phát xâm nhập .12 1.2.2 Phát xâm nhập mạng phát xâm nhập host 13 1.2.3 Phát xâm nhập dựa dấu hiệu dựa bất thường 14