HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ MẠNH CƯỜNG NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN XÂM NHẬP TÍCH HỢP CHO MẠNG LAN CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 8.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HOÀNG XUÂN DẬU HÀ NỘI - 2021 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Hoàng Xuân Dậu Phản biện 1: PGS.TS Trần Đình Quế Phản biện 2: TS Tạ Quang Hùng Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: 15 ngày 28 tháng 08 năm 2021 Có thể tìm hiểu luận văn tại: Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Hiện công xâm nhập ngày tận dụng lỗ hổng, điểm yếu hệ thống cách tinh vi, gây mối đe dọa tới an toàn thơng tin Các cơng đến từ nhiều hướng theo cách khác nhau, cần phải đưa sách biện pháp đề phịng cần thiết Mục đích cuối an tồn bảo mật hệ thống thông tin tài nguyên theo yêu cầu sau:[1] - Đảm bảo tính bí mật (Confidentiality): Thông tin bị truy nhập trái phép người khơng có thẩm quyền - Đảm bảo tính ngun vẹn (Intergrity): Thơng tin khơng thể bị sửa đổi, bị làm giả người khơng có thẩm quyền - Đảm bảo tính sẵn dùng (Availability): Thơng tin sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền - Đảm bảo tính khơng thể từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp Luận văn nghiên cứu xâm nhập hệ thống thông tin giải pháp phát xâm nhập hệ thống, phân tích đặc tính, phương thức hoạt động, đánh giá ưu nhược điểm tính ứng dụng thực tế Luận văn bao gồm chương với nội dung sau: Chương I: Tổng quan xâm nhập phát hiệm xâm nhập Trình bày tổng quan xâm nhập, dạng cơng xâm nhập hệ thống phát xâm nhập Chương II: Các hệ thống phát xâm nhập Trình bày hệ thống phát xâm nhập mạng, xâm nhập host xâm nhập tích hợp Giới thiệu số hệ thống tiêu biểu, thành phần, chức so sánh hệ thống Chương III: Thử nghiệm triển khai giải pháp phát xâm nhập tích hợp Security Onion cho mạng LAN Trình bày bước triển khai, cài đặt thành phần phát xâm nhập hệ thống Security Onion Thử nghiệm chạy thử với số kịch công xâm nhập phổ biến CHƯƠNG I TỔNG QUAN VỀ XÂM NHẬP VÀ PHÁT HIỆN XÂM NHẬP Chương I trình bày định nghĩa công, xâm nhập hệ thống, khái quát phương thức sử dụng, mục tiêu tác hại Tiếp phân loại dạng công, xâm nhập giới thiệu phương thức tiêu biểu I.1 Tổng quan xâm nhập Trong suốt năm qua, chứng kiến bùng nổ mạng Internet thương mại, gieo mầm cho mạng kỹ thuật số tồn cầu có tính tương tác, tạo thứ từ email đến việc chữa bệnh từ xa, từ trình duyệt đến mạng xã hội, từ ngân hàng trực tuyến thương mại điện tử phổ biến tiện dụng Với buớc đổi đáng kể công nghệ mạng giúp dễ dàng thu thập chia sẻ thông tin mang lại nhiều giá trị cho người Khi công nghệ ngày phổ biến rộng rãi, chi phí đổi giảm xuống, đồng nghĩa với việc người tiêu dùng, doanh nghiệp vừa nhỏ, chí nhỏ có hội đổi mới, sáng tạo tảng doanh nghiệp lớn Tuy nhiên, bên cạnh lợi ích lớn cá nhân, xã hội doanh nghiệp cách mạng số mang lại hành động phá hoại, trộm cắp chia rẽ đến gián điệp cố tình phá hoại tự nhiên tồn môi trường kỹ thuật số Tội phạm mạng tương tự loại tội phạm khác, có thủ phạm nạn nhân Để thực hành vi phạm tội chúng cần có động cơ, hội phương tiện Khi công nghệ ngày phổ biến ngày sử dụng nhiều hoạt động hàng ngày quốc gia, doanh nghiệp cá nhân, ngày nhiều hội cho tội phạm mạng hoạt động Khi khả truy cập kết nối dễ dàng hơn, phương tiện hội cho hành vi phạm tội mạng tăng lên Trước thời đại Internet, nguời biết cách sử dụng máy tính có lý để “tấn cơng” chúng Ngày nay, dễ dàng truy cập Internet từ thiết bị di động thông minh, nên phương tiện hội từ tăng lên đáng kể Hiện nguời kết nối với có nhiều cách sử dụng khơng gian ảo phục vụ mục đích cá nhân thương mại, mục đích tốt xấu I.1.1 Khái quát cơng, xâm nhập Tất hình thức truy cập vào hệ thống máy tính, website, sở liệu, hạ tầng mạng, thiết bị cá nhân tổ chức thông qua mạng Internet với mục đích định coi xâm nhập mạng Khái niệm công mạng (hoặc “tấn công không gian mạng”) tiếng Anh Cyber attack (hoặc Cyberattack), ghép từ: Cyber (thuộc không gian mạng internet) attack (sự công, phá hoại) Tấn công mạng hành vi sử dụng không gian mạng, công nghệ thông tin phương tiện điện tử để phá hoại, gây gián đoạn hoạt động mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thơng tin, hệ thống xử lý điều khiển thông tin, sở liệu, phương tiện điện tử [2] I.1.2 Các dạng cơng, xâm nhập mạng Tấn cơng mạng q trình xâm nhập trái phép vào hệ thống mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thơng tin, hệ thống xử lý điều khiển thông tin, sở liệu, phương tiện điện tử nhằm chiếm mật khẩu, liệu, quyền truy cập hệ thống thông tin từ kẻ cơng khai thác thơng tin sử dụng vào mục đích trái phép.[3] Điều gây cản trở, rối loạn, làm tê liệt, gián đoạn, ngưng trệ hoạt động chủ sở hữu hệ thống mạng khiến họ thời gian, nguồn lực tiền bạc Và khơng an tồn 100% trước công mạng Tấn công mạng chủ yếu qua phương thức phổ biến sau: I.1.2.1 Tấn công từ chối dịch vụ - DOS Tấn công từ chối dịch vụ hành động công khiến server tài nguyên mạng không khả dụng với người dùng, thông thường làm gián đoạn tạm thời dịch vụ host kết nối Internet I.1.2.2 Từ chối dịch vụ phân tán – DDOS DDOS phương pháp công đến server cách sử dụng nhiều thiết bị, máy tính khác để đánh sập server Hiện tượng cơng DDOS có nhiều truy cập vào lúc, làm cho dịch vụ bị gián đoạn, không sử dụng server Đối tượng công DDOS không sử dụng máy tính để cơng, mà máy tính người dùng sử dụng để công Điểm khác biệt lớn DOS DDOS thay gửi request trực tiếp từ máy mình, hacker sử dụng máy bị hack từ trước để đồng loạt gửi lượng lớn request yêu cầu truy cập tới máy chủ I.1.2.3 Tấn cơng thơng qua thu thập gói tin - Sniffing Attack Thu thập gói tin q trình theo dõi nắm bắt tất gói liệu qua mạng máy tính Các gói tin đánh giá (packet sniffers) sử dụng để theo dõi lưu lượng liệu qua mạng Chúng gọi phân tích giao thức mạng Những kẻ cơng sử dụng cơng cụ đánh giá gói để nắm bắt gói liệu mạng Có nhiều loại cơng cụ dị tìm khác sử dụng chúng bao gồm Wireshark ,Ettercap , Better CAP, Tcpdump,WinDump , v.v I.1.2.4 Tấn cơng rà qt cổng dịch vụ, dị tìm lỗ hổng Là hình thức cơng nhằm thu thập thông tin hệ thống mục tiêu, từ phát điểm yếu Cách thức mà kẻ công tiến hành sau: dùng kỹ thuật ping để kiểm tra xem hệ thống nạn nhân có địa IP hoạt động Sau kẻ cơng kiểm tra dịch vụ chạy, cổng mở địa IP tìm thấy Cơng cụ mà kẻ công thường sử dụng bước Nmap I.1.2.5 Tấn công vào tài khoản, mật Tấn công vào tài khoản, mật hay Tấn công brute force phương pháp hack đơn giản phức tạp Đây kiểu cơng thủ cơng khơng có nhiều kĩ thuật phức tạp: thử đốn mật vơ số lần để tìm mật đung Kẻ công cố gắng giành quyền truy cập vào tài khoản người dùng cách đoán tên username/email mật Thông thường, động đằng sau brute force attack sử dụng tài khoản bị vi phạm để thực công quy mô lớn, đánh cắp liệu nhạy cảm, tắt hệ thống kết hợp ba yếu tố với I.1.2.6 Tấn công thông qua giả mạo - Spoofing Attack Khi thu thập, kẻ công quan sát lưu lượng liệu mạng bắt gói liệu cách sử dụng trình đánh giá gói Kẻ công giả mạo đánh cắp thông tin đăng nhập người dùng để khai thác với tư cách người dùng hợp pháp - Giả mạo địa IP - Giả mạo giao thức ARP - Giả mạo giới thiệu - Giả mạo địa lý I.1.2.7 Tấn công chiếm quyền điều khiển phiên hoạt động - Session Hijacking Tấn cơng phiên q trình chiếm lấy phiên (session) hoạt động, mục đích nhằm vượt qua q trình chứng thực truy cập khơng hợp lệ vào dịch vụ hệ thống máy tính Có phương pháp sử dụng cơng chiếm phiên hoạt động là: - Cố định phiên - Chiếm phiên thơng qua gói tin - Chiếm phiên thơng qua kịch - Chiếm phiên thơng qua quyền điều khiển trình duyệt I.1.2.8 Tấn công qua lỗi tràn nhớ đệm - Buffer Overflow Attack Tấn công thông qua lỗi tràn nhớ đệm kẻ xâm nhập cung cấp biên đầu vào hay liệu vượt khả xử lý chương trình làm cho hệ thống bị treo dẫn đến từ chối dịch vụ, từ kẻ xâm nhập lợi dụng chèn thực thi trái phép nhằm thực đoạn mã nguy hiểm từ xa Đa phần lỗi tràn nhớ đệm dẫn đến việc chiếm quyền điều khiển toàn hệ thống nên kiểu công thường sử dụng Tràn nhớ đệm xảy nhiều hệ điều hành, đặc biệt UNIX Windows, nhiều ứng dụng khác web, mail, ftp, dns, telnet, ssh, database, … 14 - Chạy nhiều tảng khác nhau: Chạy hệ điều hành nguồn mở Linux, CentOS Debian, Fedora, FreeBSD, Window, Mac OS X… - Luật Suricata thường xuyên cập nhật: Các luật Suricata thường xuyên bổ sung cập nhật hình thức xâm nhập b Nhược điểm - Việc kiểm tra nội dung gói mạng tốn CPU, đặc biệt tải lưu lượng nhiều gigabit Và thường yếu tố hạn chế hiệu suất Suricata: xử lý gói tin CPU II.2 Các hệ thống phát xâm nhập host Các hệ thống phát xâm nhập host theo dõi lưu lượng phân tích log client liên kết đến hệ thống OSSEC Suricata hai hệ thống phát xâm nhập host tiêu biểu II.2.1 OSSEC II.2.1.1 OSSEC gì? OSSEC phần mềm mã nguồn mở giúp phát xâm nhập dựa host (HIDS) OSSEC dựa log mã nguồn mở, miễn phí, đa tảng mở rộng có nhiều chế bảo mật khác OSSEC phát xâm nhập chữ ký dấu hiệu bất thường Các dấu hiệu bình thường bất thường mơ tả luật OSSEC OSSEC có cơng cụ phân tích tương quan mạnh mẽ, tích hợp giám sát phân tích log, kiểm tra tính tồn vẹn file, kiểm tra registry Windows, thực thi sách tập trung, giám sát sách, phát rootkit, cảnh báo thời gian thực phản ứng cách chủ động công diễn Các hành động định nghĩa trước luật OSSEC Ngoài việc triển khai HIDS, thường sử dụng cơng cụ phân tích log, theo dõi phân tích ghi lại, IDS, máy chủ Web ghi xác thực OSSEC chạy hầu hết hệ điều hành, bao gồm Linux, OpenBSD, FreeBSD, Mac OS X, Sun Solaris Microsoft Windows.[11] II.2.1.2 Thành phần chức Các thành phần chức chủ yếu OSSEC là: 15 Log based Intrusion Detection (LIDs) and Log Monitoring: Rootkit and Malware Detection: File Integrity Monitoring (FIM): Phát thay đổi hệ thống Active Response: System Inventory: - Ossec thường hoạt động theo mô hình Server-Agent/Agentless cài mơi trường OS sau: + Manager (Server) nơi lưu trữ sở liệu việc kiểm tra tính tồn vẹn file Quản lý, lưu tất rule, decoder (bộ giải mã), cấu hình + Agent phần mềm cài đặt máy client giúp thu thập thơng tin gửi cho Server để phân tích, thống kê Agent cung cấp số thông tin thu thập theo thời gian thực + Agentless hệ thống khơng cài gói Ossec-agent Trên Agentless thực việc kiểm tra tính tồn vẹn, giúp monitor firewall, router hay chí hệ thống Unix + Ảo hóa/ VMware - Ossec cho phép cài đặt agent guest OS (Máy ảo) Ossec giám sát việc login, logouts lỗi bên ESX Server Ngồi cảnh báo tùy chọn cấu hình khơng an tồn bật + Firewalls, switches and routers thiết bị tương tự Agentless, Ossec nhận phân tích nhật ký hệ thống từ nhiều firewall, switch, router II.2.1.3 Ưu nhược điểm Ossec a Ưu điểm - Ossec hỗ trợ cài đặt đa tảng (Linux, Mac OS, Window, Solaris) - Chức Cảnh báo thời gian thực ( Real-time Alert ) kết hợp với smtp, sms, syslog cho phép người dùng nhận cảnh báo thiết bị có hỗ trợ email 16 - Ngồi tính Active-respone giúp block cơng - Có thể tích hợp với hệ thống đại (SIM/SEM) - Mơ hình Server – Agent/Agentless, cho phép Server dễ dàng quản lý tập trung sách nhiều OS - Ossec hỗ trợ giám sát agent, agentless (Client không cài đặt gói agent) thiết bị router, firewall b Nhược điểm - Khả nâng cấp Ossec phức tạp tương đối khó khăn Các quy tắc cũ bị xóa bị quy tắc ghi đè sau nâng cấp hệ thống II.2.2 SolarWinds Security Event Manager II.2.2.1 SolarWinds Security Event Manager gì? SolarWinds® Security Event Manager (SEM) phần mềm giải pháp giám sát phát xâm nhập host pháy triển công ty SolarWinds Inc SolarWinds SEM thu thập liệu nhật ký hệ thống mạng từ hai tài nguyên: Thiết bị Agents - ứng dụng phần mềm thu thập chuẩn hóa liệu nhật ký trước gửi đến Trình quản lý SEM thiết bị Non Agent - thiết bị gửi liệu nhật ký trực tiếp đến Trình quản lý SEM để chuẩn hóa xử lý Sau chuẩn hóa, Trình quản lý SEM xử lý liệu so sánh tương quan liệu dựa quy tắc người dùng xác định lọc cảnh báo cục bộ, đồng thời bắt đầu hành động liên quan [8] II.2.2.2 Thành phần chức Một cài đặt SEM hoàn chỉnh bao gồm thành phần sau: - Trình quản lý SEM (hoặc SEM VM), thu thập xử lý thông tin nhật ký kiện Thành phần cài đặt - Phần mềm máy tính để bàn ứng dụng web cho phép xem thông tin SEM từ máy tính để bàn máy tính xách tay Trình quản lý SEM trang điều khiển tổng quát thiết bị dựa Linux Trình quản lý SEM thu thập xử lý thông tin nhật ký kiện Nó bao gồm hệ thống nhân Linux tùy biến lại kết hợp với 17 dịch vụ máy chủ Syslog máy thu bẫy SNMP Dữ liệu thông tin nén tối ưu hóa cho tìm kiếm máy chủ web thông qua chế so sánh tương quan SEM chấp nhận đầu vào thiết bị giao thức TCP UDP SEM Agent cài đặt máy trạm, máy chủ thiết bị mạng khác Nó thu thập chuẩn hóa liệu nhật ký thời gian thực Nhật ký kiện Windows, nhiều loại nhật ký sở liệu nhật ký cục thiết bị truyền liệu qua TCP tới Trình quản lý SEM Nhật ký hệ thống truyền thơng điệp qua TCP tới Trình quản lý SEM TCP ưu tiên UDP TCP đảm bảo thông điệp đến nguyên vẹn II.2.2.3 Ưu nhược điểm SolarWinds Security Event Manager a Ưu điểm - Một tính đáng giá SolarWinds SEM cho phép thu thập nhật ký từ hầu hết nguồn liệu, sử dụng nhiều loại xác thực thu thập khả chuẩn hóa nhật ký từ hệ thống khác thành định dạng chung - So với hệ thống khác, SolarWinds SEM tương đối dễ dàng để thiết lập chạy sử dụng, thiết bị ảo dễ bảo trì - SolarWinds SEM cho phép tùy chỉnh trang tổng quan người dùng để nhanh chóng tìm thấy thơng tin liên quan đến vị trí b Nhược điểm - Mặc dù thiết lập ban đầu đơn giản, tùy chỉnh đối báo cáo để định cấu hình xác cảnh báo thích hợp lại tương đối phức tạp - Tính cảnh báo qua email với SolarWinds gửi số lượng lớn email cảnh báo trùng lặp II.3 Các hệ thống phát xâm nhập tích hợp II.3.1 IBM Qradar II.3.1.1 IBM Qradar gì? IBM QRadar dịng sản phẩm cung cấp hệ điều hành bảo mật thông minh độc quyền IBM - SIOS Danh sách sản phẩm bao 18 gồm Trình quản lý lỗ hổng QRadar (QRadar Vulnerability Manager) để quét mạng phát lỗ hổng, Cố vấn QRadar với Watson (QRadar Advisor with Watson), Phân tích hành vi người dùng QRadar (QRadar User Behavior Analysis), Trình quản lý rủi ro QRadar (QRadar Risk Manager), Quản lý kiện bảo mật thông tin Qradar (QRadar SIEM), nhiều Tất sản phẩm hoạt động tảng chung đảm bảo việc dễ dàng tích hợp, khả mở rộng, đơn giản cách cung cấp nhiều chức sản phẩm trải nghiệm người dùng tổng thể Bằng cách hợp kiện nhật ký liệu luồng mạng từ thiết bị, điểm cuối ứng dụng phân phối tồn mạng, QRadar thu thập tất thơng tin khác tổng hợp kiện liên quan thành cảnh báo để tăng tốc độ phân tích khắc phục cố.[5] II.3.1.2 Thành phần chức Các thành phần kiến trúc giải pháp mô tả đây: Bảng điều khiển QRadar - QRadar Console phần trung tâm giải pháp cung cấp giao diện người dùng, thông tin tài sản, trang tổng quan, báo cáo, xâm nhập chức quản trị Nó hoạt động sở liệu tổng thể với tùy chọn triển khai Bộ xử lý kiện (EP) để lưu khôi phục tự động Bảng điều khiển nhận liệu từ EP qua Bộ lọc tràn để đảm bảo luồng liệu đến đáp ứng quy tắc Các kiện đánh dấu để điều tra thêm vi phạm tạo chuyển cho thành phần đánh giá (Magistrate) Các đánh giá dựa tương quan kiện xử lý kiện (Event Processor) Các đánh giá chuyển thông qua Ariel Proxy Server, phần bảng điều khiển, thu thập thông tin từ Ariel Query Máy chủ Bộ xử lý kiện EP quản lý tất kiện luồng kích hoạt việc tạo hành vi phạm tội Công cụ phát dị thường (ADE) phần bảng điều khiển, tìm kiếm mơ-đun tích 19 lũy Bộ xử lý kiện để tìm điểm bất thường xảy ADE sử dụng ba loại quy tắc: - Quy tắc ngưỡng - kiểm tra phạm vi số chẳng hạn truyền liệu lớn - Sự bất thường - thay đổi hành vi so với khung thời gian dài hơn, tức hoạt động dịch vụ - Hành vi - khác biệt so với thời điểm ngày tuần trước đó, tức vấn đề quy trình lưu Cuối cùng, Máy chủ quản lý thông tin lỗ hổng bảo mật chịu trách nhiệm trì tài sản, sở liệu Bộ xử lý kiện - Event Processor Bộ thu thập kiện - Event Collector Bộ thu thập luồng - Flow Collector - So sánh chữ ký - so sánh chuỗi tải trọng, hỗ trợ chữ ký tùy chỉnh - So sánh dựa cổng - tức cổng 443 xác định HTTPS Có hai thành phần tùy chọn khác kiến trúc SIEM: Nút liệu QRadar (QRadar Data Node) Máy chủ ứng dụng QRadar (QRadar App Host) Nút liệu cung cấp khả lưu trữ xử lý cho việc triển khai QRadar Máy chủ ứng dụng máy chủ quản lý chuyên dụng cung cấp tài nguyên CPU nhớ để chạy ứng dụng IBM Security App Exchange QRadar Phân tích hành vi người dùng (QRadar User Behaviour Analytics UBA) II.3.1.3 Ưu nhược điểm IBM Qradar a Ưu điểm - Giải pháp IBM hỗ trợ tùy chọn triển khai Tính khả dụng cao (Hight Availability-HA) cho thiết bị vật lý thiết bị ảo với phương pháp tiếp cận máy chủ phụ kết hợp thành cụm, máy chủ phụ trạng thái chờ trường hợp máy chủ bị lỗi đảm nhận chức triển khai 20 - IBM QRadar có khả lưu trữ nhiều người thuê lần triển khai Miền tạo cho người thuê liên kết nguồn liệu với chúng cách ly môi trường người thuê với - IBM cung cấp tài liệu đặc biệt cho khía cạnh sản phẩm, lợi lớn để hiểu giải pháp, triển khai quản trị b Nhược điểm - Đối với người sử dụng, QRadar có kiến trúc phức tạp khiến việc quản lý tất phận cấu trúc tương đối khó khăn - Các u cầu cấu hình máy đáp ứng hệ thống cao II.3.2 Security Onion Doug Burks bắt đầu xây dựng Security Onion dựa dự án mở miễn phí vào năm 2008 để cung cấp tảng toàn diện để phát xâm nhập, giám sát an ninh mạng quản lý nhật ký Vào năm 2014, Security Onion Solutions, LLC thức thành lập Security Onion phân phối trì Security Onion Solutions, LLC.[10] II.3.2.1 Security Onion gì? Security Onion phân phối Linux miễn phí mở để tìm kiếm mối đe dọa, giám sát an ninh doanh nghiệp quản lý nhật ký Nó bao gồm TheHive , Playbook Sigma, Fleet osquery , CyberChef , Elasticsearch , Logstash , Kibana , Suricata , Zeek , Wazuh nhiều cơng cụ bảo mật khác Các chương trình tồn phát triển giải pháp hoạt động độc lập Nhưng mục đích chun biệt cao, tất phân phối Linux tích hợp cơng cụ Và, việc cài đặt tất công cụ từ nhiều mã nguồn khác khó khăn Security Onion giải vấn đề hiệu thành công Security Onion có cơng cụ để cung cấp cho vấn đề bảo mật hệ thống mạng máy chủ Security Onion sử dụng làm Hệ thống phát xâm nhập (IDS) kết hợp NIDS HIDS Người dùng cần thông qua bước cài đặt hệ thống nhất, sau sử dụng tất cơng cụ tích hợp sẵn Security Onion.[10] 21 Security Onion thường sử dụng để theo dõi lưu lượng truy cập từ phía hệ thống nhằm phát xâm nhập vào mơi trường, thiết lập lệnh kiểm sốt xâm nhập liệu Security Onion sử dụng nhật ký từ máy chủ máy trạm hệ thống để sau người quản trị tìm kiếm tất mạng nhật ký lưu trữ lúc II.3.2.2 Thành phần chức Security Onion kết hợp liền mạch ba chức là: - Chụp tồn gói tin hệ thống - Phát mạng điểm cuối hệ thống - Cơng cụ phân tích mạnh mẽ Chụp tồn gói tin Phát mạng điểm cuối - Phát xâm nhập mạng - NIDS - Siêu liệu giao thức - Protocol metadata - Phát xâm nhập host – HIDS Các công cụ phân tích - Analysis Tools Hiện Security Onion tích hợp chặt chẽ công cụ sau: - Security Onion Console (SOC) - TheHive - Kibana) - CyberChef - Playbook II.3.2.3 Ưu nhược điểm Security Onion a Ưu điểm - Security Onion phần mềm hồn tồn miễn phí sử dụng nhân hệ điều hành mã nguồn mở Linux với cộng đồng hỗ trợ lớn - Security Onion tích hợp loạt cơng cụ bảo mật linh hoạt cao bao gồm công cụ quản lý cảm biến, phân tích lưu lượng dị tìm gói tin cài đặt sẵn vận hành mà không cần phần mềm IDS / IPS bổ sung 22 - Security Onion cập nhật thường xuyên để cải thiện mức độ bảo mật b Nhược điểm Ngoài ưu điểm Security Onion tồn vài điểm yếu sau: - Security Onion chưa hỗ trợ Wi-Fi để quản lý mạng - Quản trị viên cần bổ sung kiến thức để tìm hiểu cơng cụ khác để sử dụng hiệu phân phối Security Onion - Không có lưu tự động tệp cấu hình ngoại trừ quy tắc Để lưu người dùng cần sử dụng phần mềm bên thứ ba II.4 Phân tích so sánh hệ thống phát xâm nhập IDS công nghệ bảo mật tạo nhằm xác định cô lập hành vi xâm nhập hệ thống máy tính Mỗi hệ thống IDS khác có cách tiếp cận khác Do chuyên gia bảo mật cần lựa chọn IDS phù hợp cho hệ thống máy tính cụ thể Điều phức tạp có vơ số giải pháp thị trường Các tiêu chí, đặc tính lựa chọn, xác định để so sánh đánh giá cách giải pháp khác II.5 Kết luận Chương II Chương liệt kê số công cụ phát xâm nhập tiêu biểu loại mơ hình hệ thống phát xâm nhập mạng, host hệ thống phát xâm nhập tích hợp Qua phân tích cơng nghệ, thành phần chức công cụ Cuối so sánh ưu, nhược điểm cơng cụ mơ hình hệ thống phát xâm nhập 23 CHƯƠNG III THỬ NGHIỆM TRIỂN KHAI GIẢI PHÁP PHÁT HIỆN XÂM NHẬP TÍCH HỢP SECURITY ONION CHO MẠNG LAN Chương III sâu vào giải pháp phát xâm nhập tích hợp tiêu biểu Security Onion Trong chương mô tả bước triển khai thành phần hệ thống Security Onion kịch công thử nghiệm, từ đánh giá kết đạt III.1 Mơ hình triển khai III.1.1 Sơ đồ triển khai hệ thống Security Onion cho bảo mật mạng LAN Sơ đồ triển khai Security Onion gồm thành phần chính: - Hệ thống mạng bao gồm Internet, firewall, router, switch: nơi Security Onion lắng nghe công từ cổng chuyển mạch - Hệ thống Security Onion: thành phần sơ đồ đặt sau lớp mạng - Hệ thống máy chủ: gồm máy chủ máy người dùng hệ thống mạng III.1.2 Các yêu cầu phần cứng phần mềm III.1.2.1 Yêu cầu phần cứng Security Onion hỗ trợ kiến trúc x86-64 Để cài đặt Security Onion yêu cầu hệ thống tối thiểu CPU Cores RAM 8GB III.1.2.2 Yêu cầu phần mềm Để cài đặt Security Onion, cần tải xuống file ISO Security Onion tải xuống file ISO Ubuntu 16.x tiêu chuẩn thêm PPA Security Onion gói thành phần III.2 Triển khai Security Onion cho mạng LAN Các bước cài đặt hệ thống Security Onion III.2.1 Triển khai thành phần phát xâm nhập mạng – NIDS Sau hoàn thành cài đặt Security Onion hệ thống chạy IDS Security Onion chạy Snort Suricata làm Hệ thống phát xâm nhập mạng (NIDS) III.2.2 Triển khai thành phần phát xâm nhập host – HIDS Ngoài thành phần phát xâm nhập mạng, Security Onion thu thập nhật ký từ điểm cuối Security Onion sử dụng 24 Beat,OSSEC/ Wazuh Sysmon làm thành phần phát xâm nhập host (HIDS) III.2.3 Triển khai thành phần giao diện quản trị Security Onion sử dụng Elastic Stack để tổng hợp liệu từ thành phần hệ thống sau phân tích hiển thị trực quan liệu theo thời gian thực Elastic Stack tích hợp cho Security Onion bao gồm ngăn thành phần Elasticsearch, Logstash Kibana III.3 Một số kịch thử nghiệm, kết đánh giá III.3.1 Một số kịch thử nghiệm phát công, xâm nhập Các kịch thử nghiệm phát công, xâm nhập vào hệ thống xây dựng Oracle VM VirtualBox bao gồm máy chủ Security Onion phiên 16.04, máy tính client Windows 10, máy tính cơng Kali Linux III.3.1.1 Tấn cơng dị cổng Kịch kẻ xâm nhập sử dụng máy tính Kali Linux tiến hành dị tìm cổng mở máy tính Windows Đối tượng sử dụng Nmap dị tìm địa 192.168.56.102 máy tính Windows nhận thấy cổng 135/TCP dịch vụ msrpc, cổng 138/TCP dịch vụ netbios-ssn cổng 445/TCP dịch vụ microsoft-ds mở III.3.1.2 Tấn công Dos Kịch kẻ xâm nhập sử dụng Hping3 từ máy tính Kali Linux thực cơng Dos đến máy tính Windows Ngồi đối tượng giả mạo địa công 192.168.56.104 III.3.1.3 Tấn công giao thức FTP Kịch kẻ xâm nhập tiến hành quét thông tin, mật đăng nhập người dùng máy chủ FTP máy tính Windows III.3.1.4 Tấn cơng qt lỗ hổng Web Server Kịch kẻ công quét để tìm lỗ hổng nhằm xâm nhập hệ thống Webserver từ máy tính Kali Linux Sau biết thông tin trang web, đối tượng tiếp tục sử dụng cơng cụ Wpscan để tìm lỗ hổng máy chủ Web 25 III.3.1.5 Khai thác lỗ hổng Eternalblue Windows Kịch kẻ xâm nhập quét khai thác Eternalblue, lỗ hổng ms17-010 Windows Lỗ hổng ngun nhân khiến WannaCry lây lan mạnh mẽ Đối tượng sử dụng cơng cụ Metasploit máy tính Linux để khai thác lỗ hổng III.3.2 Các kết Sau phát tình xâm nhập hệ thống, Sercurity Onion tổng hợp logs chuyển qua phân tích chung sau xuất cảnh báo Người dùng sử dụng giao diện Kibana Squert tích hợp sẵn gói cài đặt Sercurity Onion để xem chi tiết, thơng kê phân tích hay xuất báo cáo Giao diện thành phần quản trị hiển thị tổng số lượng cảnh báo, biểu đồ phân bổ theo thời gian thông tin cảnh báo Sau cơng trên, Security Onion phát tức đưa cảnh báo realtime giao diện quản trị Trong lúc công diễn ra, Security Onion hoạt động tốt để trì ổn định hệ thống mạng Tuy nhiên, công đồng thời nhiều phương thức khác lúc, hệ thống thử nghiệm sử dụng CPU mức tối đa 90~100%, gói tin đánh giá phản hồi kết chậm III.3.3 Nhận xét, đánh giá Security Onion phối miễn phí hồn chỉnh tích hợp cơng cụ để thu thập phân tích liệu hành vi hoạt động hệ thống mạng theo thời gian thực, qua cảnh báo đến người quản trị để có biện pháp xử lý kịp thời Bên cạnh việc tích hợp đầy đủ cơng cụ hiển thị tồn phân tích trang quản trị giúp cho người quản trị tiết kiệm thời gian Security Onion thực thu thập liệu điểm xác định: - Xác định điểm yếu tồn hệ thống mạng - Xác định nguy ảnh hưởng đến hệ thống 26 - Xác định nguồn liệu cần thiết phân tích nguồn liệu thu thập - Thiết lập trích xuất liệu TAP đường truyền để thu thập liệu gói tin Sau thu thập liệu, Security Onion tiến hành xử lý liệu qua cơng cụ tích hợp sẵn gói cài đặt thông qua quy tắc xây dựng sẵn Các liệu phân tích bao gồm: Dựa mạng: - Dữ liệu gói tin đầy đủ - Dữ liệu phiên truy cập - Dữ liệu thống kê băng thông - Dữ liệu cảnh báo NIDS dựa vào luật có sẵn dấu hiệu bất thường Dựa máy client: - Dữ liệu nhật ký OS - Dữ liệu cảnh báo virus - Dữ liệu cảnh báo HIDS - Dữ liệu nhật ký Firewall Tuy nhiên, điểm mạnh Security Onion tồn số nhược điểm giao diện quản trị tương đối phức tạp việc tùy biến quy tắc khó khăn, đòi hỏi nhiều thơi gian kiến thức hệ thống Ngồi ra, Security Onion chưa có khả back up liệu tự động Với điểm nêu Security Onion thích hợp với hệ thống vừa nhỏ có nguồn kinh phí thấp III.4 Kết luận Chương III Chương tập trung vào việc cài đặt triển khai hệ thống Security Onion Tại chương giới thiệu chi tiết yêu cầu cấu trúc, mơ hình thiết lập cho hệ thống Security Onion Việc tích hợp thành phần NIDS, HIDS, giao diện quản trị làm rõ chương Các kịch xâm nhập hệ thống chuẩn bi để đánh giá khả hoạt động hệ thống phát xam nhập Security Onion 27 KẾT LUẬN Luận văn đạt sau: - Mục đích đề tài hướng nghiên cứu tổng quan xâm nhập phát xâm nhập hệ thống thông tin mạng LAN Phân biệt phương thức công giải pháp bảo mật tiêu biểu - Bên cạnh luận văn tập trung chi tiết vào hệ thống phát xâm nhập Security Onion tích hợp thành phần phát xâm nhập mạng host Qua cung cấp cho quản trị viên hệ thống công cụ đầy đủ nhằm theo dõi, phát sớm cảnh báo dấu hiệu xâm nhập với chi phí hợp lý - Qua nghiên cứu lý thuyết, luận văn nên bước cài đặt hệ thống Sercurity Onion mơ hình mạng LAN đơn giản Các kịch công xây dựng luận để xem xét khả hoạt động đánh giá tính khả thi hệ thống Hướng phát triển luận văn: - Xây dựng tập quy tắc hệ thống tương thích với thói quen hoạt động người dùng mạng LAN, loại bỏ cảnh báo không cần thiết tránh lãng phí tài nguyên hệ thống - Tối ưu giao diện hiển thị Kibana để người quản trị hệ thống nhanh chóng tiếp cận xử lý cảnh báo dễ dàng thống kê, tạo báo cáo định kỳ 28 DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Hồng Xn Dậu, Giáo trình sở an tồn thơng tin, Học viện cơng nghệ BCVT, Nhà xuất Thông tin Truyền thông, 2020 [2] Luật An ninh mạng Việt Nam năm 2018, ban hành từ ngày 01 tháng 01 năm 2019 [3] Lê Trung Nghĩa, Nghiên cứu ứng dụng hệ thống phát ngăn chặn xâm nhập cho hệ thống mạng máy tính dựa công nghệ mở, https://ictvietnam.vn/nghien-cuu-ung-dung-he-thong-phat-hien-vangan-chan-xam-nhap-cho-he-thong-mang-may-tinh-dua-tren-congnghe-mo-8761.htm, truy cập tháng 05 năm 2021 [4] CSO, Top cybersecurity facts, figures and statistics for 2020, https://www.csoonline.com/article/3153707/top-cybersecurity-factsfigures-and-statistics.html, truy cập tháng 8.2020 [5] IBM QRadar SIEM, https://www.ibm.com/vn-en/products/qradar-siem, truy cập tháng 8.2020 [6] NortonLifeLock Inc., 10 cyber security facts and statistics for 2018, https://us.norton.com/internetsecurity-emerging-threats-10-factsabout-todays-cybersecurity-landscape-that-you-should-know.html, truy cập tháng 8.2020 [7] Snort, https://www.snort.org, truy cập tháng 8.2020 [8] SolarWinds Security Event Manager, https://www.solarwinds.com, truy cập tháng 8.2020 [9] Sonicwall Cyber Threat Report, https://www.sonicwall.com/2021cyber-threat-report/, truy cập tháng 4.2021 [10]Security Onion, https://securityonion.net, truy cập tháng 8.2020 [11] OSSEC, https://www.ossec.net, truy cập tháng 8.2020 [12] Top 10 BEST Intrusion Detection Systems (IDS), https://www.softwaretestinghelp.com/intrusion-detection-systems/, truy cập tháng 5.2021 [13]10 Best Network Intrusion Detection Systems Software & NIDS Tools, https://www.comparitech.com/net-admin/nids-tools-software/, cập tháng 5.2021 truy ... hình hệ thống phát xâm nhập 23 CHƯƠNG III THỬ NGHIỆM TRIỂN KHAI GIẢI PHÁP PHÁT HIỆN XÂM NHẬP TÍCH HỢP SECURITY ONION CHO MẠNG LAN Chương III sâu vào giải pháp phát xâm nhập tích hợp tiêu biểu... Trình bày tổng quan xâm nhập, dạng công xâm nhập hệ thống phát xâm nhập Chương II: Các hệ thống phát xâm nhập Trình bày hệ thống phát xâm nhập mạng, xâm nhập host xâm nhập tích hợp Giới thiệu số... thống mạng máy chủ I.2.2 Phát xâm nhập mạng phát xâm nhập host Hệ thống IDS dựa theo kiểu phạm vi giám sát phân làm loại là: Phát xâm nhập mạng phát xâm nhập host.[3] I.2.2.1 Phát xâm nhập mạng