Mụ hỡnh tổng quan

Một phần của tài liệu Nghiên cứu xây dựng module giám sát an ninh mạng dựa trên mã nguồn mở snort (Trang 44 - 55)

5. Bố cục của đề tài

3.1.1. Mụ hỡnh tổng quan

Sau khi nghiờn cứu cỏc thành phần và chức năng của một hệ thống giỏm sỏt an ninh mạng, tụi dự định sẽ xõy dựng Module giỏm sỏt an ninh mạng với 5 thành phần là: Sensor, Collector, Database Center, Analysis và Website thực hiện cỏc chức năng sau đõy:

- Theo dừi

- Giỏm sỏt

- Cảnh bỏo

Dưới đõy là mụ hỡnh tổng quan của Module giỏm sỏt an ninh mạng:

Hỡnh 3.1: Mụ hỡnh Module giỏm sỏt an ninh mạng

36

Thành phần này đúng vai trũ là cỏc mỏy trinh sỏt nằm rải rỏc trờn mạng để thu thập thụng tin. Thành phần này bao gồm nhiều tiện ớch, mỗi tiện ớch là một phần mềm đơn lẻ, thực hiện một chức năng giỏm sỏt, thu thập, truy vấn thụng tin từ mụi trường mạng. Những thụng tin thu được sẽ được gửi về cho thành phần Collector để phõn tớch.

- Mỏy thu thập (Collector):

Thành phần này làm nhiệm vụ thu nhận thụng tin gửi về từ cỏc mỏy trinh sỏt và tiến hành tổng hợp thụng tin, gửi về cho CSDL để lưu trữ. Thành phần này cũng đúng vai trũ điều phối cụng việc cho cỏc Mỏy trinh sỏt.

- Cơ sở dữ liệu (Database Center):

Thành phần này đúng vai trũ lưu trữ cỏc CSDL mà Module giỏm sỏt an ninh mạng sử dụng. Tất cả dữ liệu sẽ được lưu theo định dạng cú cấu trỳc trong cỏc CSDL trờn mỏy chủ. Cỏc thành phần khỏc sẽ phải giao tiếp với CSDL này để lưu trữ và truy vấn thụng tin.

- Phõn tớch (Analysis):

Thành phần này sẽ tiến hành phõn tớch cỏc thụng tin thu thập được lưu trong CSDL để từ đú tỡm ra cỏc dấu hiệu bất thường. Sau khi phỏt hiện ra cỏc hành vi bất thường, thành phần này sẽ làm nhiệm vụ gửi cỏc thụng tin cảnh bỏo cho người quản trị qua giao diện Website.

- Website:

Đõy là thành phần trung tõm tương tỏc với người quản trị và mọi thành phần khỏc của Module giỏm sỏt an ninh mạng. Thành phần này bao gồm một giao diện Web để quản trị cú thể truy nhập, sử dụng cỏc chức năng của Module giỏm sỏt an ninh mạng: quản lý cỏc mỏy trinh sỏt, xem cỏc thụng tin thu thập được, yờu cầu một mỏy trinh sỏt truy vấn thụng tin và thiết lập cấu hỡnh cho hệ thống, …

Trong sơ đồ, những đường mũi tờn biểu thị tương tỏc giữa cỏc thành phần của hệ thống, những tương tỏc này cú thể là truyền lệnh điều khiển hoặc dữ liệu.

3.1.2. Mụ hỡnh chi tiết

37

Mỏy trinh sỏt đúng vai trũ là cỏc Sensor đặt tại nhiều nơi để thu thập thụng tin. Mỏy trạm trinh sỏt là tập hợp bao gồm rất nhiều tiện ớch, mỗi tiện ớch sẽ tương tỏc với một đối tượng nào đú (cú thể là file nhật ký, một thiết bị như Tường lửa, Bộ điều hướng,…) để lấy thụng tin gửi về lưu trữ trong CSDL trung tõm. Thụng tin về cỏc tiện ớch được lưu trong bảng "plugin” của cơ sở dữ liệu của Module giỏm sỏt an ninh mạng, bao gồm cỏc trường:

id: số hiệu của tiện ớch

Type: chỉ định loại tiện ớch

Name: tờn của tiện ớch

Description: mụ tả về tiện ớch

Mỗi tiện ớch cú thể tạo ra nhiều kiểu sự kiện khỏc nhau, thụng tin này được lưu trong bảng “plugin_sid” của cơ sở dữ liệu của Module giỏm sỏt an ninh mạng như sau:

plugin_id: số hiệu của tiện ớch sinh ra sự kiện

sid: số hiệu của sự kiện

reliability: mức độ tin cậy được gỏn cho sự kiện

priority: mức độ ưu tiờn được gỏn cho sự kiện

Name: tờn của sự kiện

Dưới đõy là một số sự kiện của tiện ớch Snort trong bộ tập hợp cỏc tiện ớch:  Tiện ớch cảnh bỏo:

Tiện ớch cảnh bỏo là những tiện ớch cú chức năng giỏm sỏt cỏc đối tượng và đưa ra những cảnh bỏo mỗi khi phỏt hiện thấy sự bất thường hoặc xảy ra một sự kiện nào đú cần được cảnh bỏo.

+ Đọc file nhật ký:

Để thực hiện chức năng giỏm sỏt, cỏc tiện ớch sẽ đọc file nhật ký hoạt động của cỏc chương trỡnh hoặc dịch vụ trờn hệ thống. Vớ dụ như: nhật ký ghi lại những lần người dựng đăng nhập vào hệ thống, nhật ký phỏt hiện xõm nhập ghi về cỏc sự kiện bất thường phỏt hiện được...

38

Những file nhật ký cú thể do những chương trỡnh hoặc dịch vụ khỏc nhau sinh ra, cú cấu trỳc và cỏch biểu diễn dữ liệu khỏc nhau. Mỏy trạm trinh sỏt sẽ chuẩn hoỏ lại những thụng tin đú, trớch xuất ra những thụng tin cần thiết.

+ Cảnh bỏo:

Sau khi chuẩn hoỏ, thụng tin đó được biểu diễn dưới dạng mỏy trạm cú thể hiểu được. Những thụng tin này sẽ được xem xột, so sỏnh với cỏc chớnh sỏch của hệ thống, mỗi khi cú sự kiện nào vi phạm những luật đó cấu hỡnh cho hệ thống thỡ hệ thống sẽ phỏt sinh cảnh bỏo tới người quản trị.

+ Một số tiện ớch cảnh bỏo được sử dụng:

id Type name description

1001 1 snort Snort Rules

1002 1 snort_tag Snort Tagging 1003 1 intrushield McAfee IntruShield 1100 1 spp_portscan Portscan1 1101 1 spp_minfrag Minfrag 1102 1 http_decode HTTP decode 1/2 1103 1 spp_defrag First defragmenter 1104 1 spp_anomsensor SPADE

1105 1 spp_bo Back Orifice

1106 1 spp_rpc_decode RPC Preprocessor 1107 1 spp_stream2 2nd stream preprocessor 1108 1 spp_stream3 3rd stream preprocessor 1109 1 spp_telnet Telnet option decoder 1110 1 spp_unidecode Unicode decoder 1111 1 spp_stream4 Stream4 preprocessor 1112 1 spp_arpspoof Arp Spoof detector

1113 1 spp_frag2 2nd fragment preprocessor

1114 1 spp_fnord NOP detector

39

1116 1 snort_decoder Snort Internal Decoder 1117 1 spp_portscan2 Portscan2 1118 1 spp_conversation Conversation 1119 1 spp_tba TBA 1120 1 spp_tba2 TBA

1121 1 spp_snmp SNMP decoder

1122 1 portscan Portscan decoder

1124 1 xlink2state xlink2state preprocessor 1501 1 apache Apache 1503 1 iptables Iptables

1504 1 fw1 FW1

1505 1 directive_alert OSSIM Directives Alerts 1506 1 realsecure Real Secure 1507 1 rrd_threshold RRD Threshold 1508 1 rrd_anomaly RRD Anomaly

1509 1 threshold Threshold exceeded

1510 1 cisco Cisco router

1511 1 p0f Passive OS fingerprinting tool

1512 1 arpwatch Ethernet/FDDI station monitor daemon

1513 1 prelude Prelude Hybrid IDS

1514 1 ciscopix Cisco Pix Firewall

1515 1 ciscoids Cisco Secure IDS

1516 1 pads Passive Asset Detection System

1517 1 ntsyslog Windows NT/2000/XP syslog service

1518 1 snarewindows Snare Agent for Windows

1519 1 netgear Netgear

1520 1 netscreen Juniper Netscreen

1521 1 postfix Postfix mailer

40

4001 1 osiris Osiris HIDS

4002 1 syslogd Syslog Daemon

Tiện ớch giỏm sỏt:

Tiện ớch giỏm sỏt là những tiện ớch cú chức năng thống kờ và bỏo cỏo mỗi khi nhận được truy vấn từ mỏy thu thập. Bỡnh thường, cỏc tiện ớch này vẫn chạy để thu thập thụng tin, chỉ đến khi nhận được yờu cầu từ mỏy thu thập, mỏy trạm trinh sỏt mới gửi những kết quả trả lời về cho mỏy thu thập.

+ Truy vấn thụng tin:

Để thu thập thụng tin, cỏc tiện ớch phải gửi những truy vấn đến cỏc đối tượng. Vớ dụ như muốn kiểm tra xem trong mạng nội bộ cú bao nhiờu mỏy tớnh đang trực tuyến, tiện ớch sẽ phải gửi truy vấn đến mọi địa chỉ trong mạng. Đõy là bước gửi yờu cầu để thu thập thụng tin. Kết quả của bước này là tiện ớch sẽ nhận được dữ liệu dạng thụ.

+ Chuẩn húa:

Những thụng tin mà cỏc tiện ớch gửi truy vấn thu thập được là ở dạng thụ, chưa cú định dạng chuẩn. Vỡ vậy cần phải cú bước chuẩn hoỏ để chuyển đổi dữ liệu ở dạng thụ về dạng chuẩn của Module giỏm sỏt an ninh mạng. Dữ liệu ở dạng này đó cú cấu trỳc và sẽ được lưu vào cơ sở dữ liệu của hệ thống.

+ Trả lời:

Mỏy trạm trinh sỏt luụn hoạt động và chờ cỏc yờu cầu từ mỏy thu thập. Khi nhận được truy vấn từ mỏy thu thập, mỏy trạm sẽ đọc dữ liệu từ cơ sở dữ liệu và tổng hợp lại thành kết quả gửi trả về cho hệ tập trung.

+ Một số tiện ớch giỏm sỏt được sử dụng:

id type name description

2001 2 ossim OS-SIM

2002 2 arp_watch Arpwatch

2003 2 p0f P0f

41

2005 2 ntop NTop

2006 2 tcptrack tcptrack

2007 2 nagios Nagios

3.1.2.2. Mỏy thu thập

Mỏy thu thập là thành phần quản lý và điều phối cụng việc cho cỏc mỏy trạm trinh sỏt. Mỏy thu thập hoạt động dưới dạng dịch vụ, lắng nghe ở cổng 40001 (TCP) để tiếp nhận cỏc yờu cầu kết nối từ mỏy trạm trinh sỏt. Khi muốn điều khiển mỏy trinh sỏt, thu thập sẽ gửi yờu cầu đến cỏc mỏy trạm và chờ phản hồi từ mỏy trinh sỏt trả về.

Một mỏy thu thập cú thể quản lý nhiều mỏy trạm trinh sỏt. Mỗi khi mỏy thu thập muốn truy vấn thụng tin từ mỏy trinh sỏt nào thỡ mỏy thu thập sẽ tạo kết nối đến mỏy trinh sỏt đú để gửi truy vấn. Sau đõy là một số trường hợp mỏy thu thập sẽ tạo kết nối đến mỏy trạm trinh sỏt:

+ Khi mỏy thu thập muốn kiểm tra xem mỏy trạm cũn hoạt động hay khụng: việc kiểm tra chỉ đơn giản là tạo kết nối tới mỏy trạm, nếu kết nối thành cụng tức là mỏy trạm cũn hoạt động, nếu khụng sẽ coi như mỏy trạm đú đó ngưng hoạt động hoặc cú vấn đề khụng liờn lạc được.

+ Khi mỏy thu thập muốn truy vấn thụng tin từ mỏy trạm, nú sẽ tạo kết nối đến mỏy trạm, gửi truy vấn để nhận được phản hồi từ mỏy trạm. Bằng cỏch này mỏy chủ cũng cú thể gửi truy vấn để biết được trạng thỏi của cỏc dịch vụ đang chạy trờn mỏy trạm.

Trong quỏ trỡnh hoạt động, mỏy thu thập sẽ phải kết nối tới cơ sở dữ liệu để lấy những thụng tin về cỏc sự kiện được lưu trong đú. Việc ghi log của mỏy chủ cũng được thực hiện trờn cơ sở dữ liệu.

3.1.2.3. Cơ sở dữ liệu

Thành phần này là một hệ quản trị cơ sở dữ liệu, nơi tập trung lưu trữ dữ liệu của toàn bộ hệ thống. Do đặc thự của Module giỏm sỏt an ninh mạng cựng lỳc phải phục vụ nhiều đối tượng khỏc nhau nờn thành phần này phải là một mỏy chủ cơ sở dữ liệu hỗ trợ nhiều client kết nối đến. Module giỏm sỏt an ninh mạng sẽ sử dụng

42 một số cơ sở dữ liệu như sau:

Hỡnh 3.2: Cỏc cơ sở dữ liệu của Module giỏm sỏt an ninh mạng

Cơ sở dữ liệu cho Website:

Cơ sở dữ liệu cho Website chứa những thụng tin phục vụ cho hoạt động của Website. Sau đõy là một số bảng dữ liệu chớnh:

Users: lưu trữ thụng tin về người dựng, hệ thống sẽ kiểm tra tài khoản của người dựng từ bảng này mỗi khi người dựng đăng nhập vào hệ thống

Host: hệ thống lưu giữ thụng tin về cỏc host được giỏm sỏt trong mạng

Host_services: danh sỏch cỏc service chạy trờn cỏc host

Host_vulnerability: lưu trữ cỏc yếu điểm của host được phỏt hiện sau khi thực hiện quỏ trỡnh rà soỏt yếu điểm

Host_mac: danh sỏch địa chỉ vật lý (địa chỉ MAC) của cỏc thiết bị

Host_netbios: danh sỏch tờn của cỏc mỏy tớnh trong mạng

Host_os: danh sỏch hệ điều hành của cỏc mỏy tớnh trong mạng

Net: danh sỏch cỏc mạng mỏy tớnh được quản lý

Sensor: danh sỏch cỏc mỏy trinh sỏt tham gia vào Module giỏm sỏt an ninh mạng

Policy: bảng thiết lập cỏc chớnh sỏch cho cỏc đối tượng trong mạng

Events: bảng danh sỏch ghi nhận cỏc sự kiện

Config: lưu cỏc thụng tin về thiết lập cấu hỡnh hệ thống

Incidents: thụng tin về cỏc sự cố an toàn mạng

Plugins: thụng tin về cỏc tiện ớch dựng cho hệ thống, hệ thống cú rất nhiều tiện ớch cung cấp những dấu hiệu nhận dạng khỏc nhau

Cơ sở dữ liệu phỏt hiện xõm nhập:

Cơ sở dữ liệu phỏt hiện xõm nhập bao gồm cỏc bảng phục vụ cho hoạt động của thành phần phỏt hiện xõm nhập như sau:

43

Signature: lưu trữ cỏc dấu hiệu nhận dạng luồng lưu thụng mạng cú khả năng gõy mất an toàn cho hệ thống mạng.

Data: lưu trữ phần nội dung của gúi dữ liệu, khi cần cú thể đọc và phõn tớch ngược lại những gỡ xảy ra trờn mạng.

Ngoài ra cũn cú một số bảng khỏc lưu thụng tin mụ tả của một số loại gúi tin phổ biến: icmphdr, iphdr, tcphdr, udphdr.

Cơ sở dữ liệu điều khiển truy nhập:

Cơ sở dữ liệu điều khiển truy nhập dựng cho mục đớch phõn quyền truy nhập vào cỏc thành phần cho người sử dụng bao gồm cỏc bảng chứa thụng tin về định nghĩa cỏc nhúm người dựng, định nghĩa cỏc đối tượng trờn Website để phõn quyền truy nhập đến cỏc đối tượng cho từng nhúm người dựng.

3.1.2.4. Phõn tớch

Phõn tớch là thành phần xử lý chớnh Module giỏm sỏt an ninh mạng, bao gồm 4 chức năng chớnh:

Đỏnh giỏ:

Trong quỏ trỡnh Module giỏm sỏt an ninh mạng hoạt động, cú thể sẽ cú rất nhiều sự kiện được ghi nhận. Điều quan trọng là Module phải cú khả năng phõn tớch, đỏnh giỏ mức độ quan trọng và ưu tiờn của mỗi sự kiện để phục vụ cho việc sắp xếp và phõn loại. Sự đỏnh giỏ, phõn loại mức độ ưu tiờn phải cho biết những thụng tin sau:

+ Thành phần nào là quan trọng và cần bảo vệ? + Những địa chỉ nguồn nào là đỏng lo ngại? + Những địa chỉ đớch nào là đỏng lo ngại?

Mức độ ưu tiờn của một sự kiện phụ thuộc vào kiến trỳc mạng và phụ thuộc vào cỏc đặc tớnh của hệ thống và được định nghĩa trong cỏc Policy mà chỳng ta cú thể điều chỉnh được.

Chỳng ta cú thể xột vớ dụ sau:

Nếu một hệ thống chạy hệ điều hành UNIX và đang sử dụng mỏy chủ web là Apache, trong khi đú ta nhận được một cảnh bỏo về dấu hiệu một cuộc tấn cụng vào Mỏy chủ web IIS (Microsoft), thỡ cảnh bỏo đú cú mức ưu tiờn khụng cao.

44

Nếu một người dựng tạo một kết nối đỏng ngờ đến mỏy chủ, Module giỏm sỏt an ninh mạng cần phải:

+ Đặt độ ưu tiờn cao nhất nếu người dựng đú ở bờn ngoài mạng nội bộ và tấn cụng vào cơ sở dữ liệu khỏch hàng.

+ Đặt độ ưu tiờn thấp nếu người dựng đú ở trong mạng nội bộ và tấn cụng vào mỏy in mạng (khụng quan trọng bằng mỏy tớnh).

+ Bỏ qua nếu người dựng đú đang kiểm tra một mỏy chủ thử nghiệm.

+ Chớnh vỡ vậy mức độ ưu tiờn phụ thuộc vào ngữ cảnh của sự kiện, núi cỏch khỏc, mức độ quan trọng của cảnh bỏo cú liờn quan tới mụi trường của tổ chức, được mụ tả trong cơ sở tri thức về hệ thống mạng.

+ Danh sỏch cỏc mỏy tớnh và mạng (mó nhận dạng, hệ điều hành, cỏc dịch vụ...). + Chớnh sỏch truy cập: những ai được phộp truy cập, từ đõu và đến đõu.

Chớnh sỏch cho phộp ta định nghĩa cỏc đối tượng, nhúm đối tượng mà Module giỏm sỏt an ninh mạng sẽ quản lý. Sau đú, những sự kiện cú liờn quan đến những đối tượng này sẽ được chỳ ý, đỏnh giỏ xử lý tựy theo mức độ ưu tiờn của sự kiện và đối tượng. Module giỏm sỏt an ninh mạng cũng cho phộp thiết lập để phỏt ra cảnh bỏo đến người quản trị mỗi khi cú sự kiện nào đú xảy ra trờn đối tượng.

Tổng hợp:

Đõy chớnh là tớnh năng nổi bật của Module giỏm sỏt an ninh mạng theo cấu trỳc phõn bố. Nú cú khả năng kết hợp cỏc thụng tin để đưa ra quyết định:

+ Nhận biết được sự liờn quan của một cảnh bỏo với phiờn bản của sản phẩm hoặc hệ điều hành cú thể bị tấn cụng. (Nếu một cuộc tấn cụng chỉ ảnh hưởng đến mỏy chủ web IIS-Windows, thỡ hệ thống sẽ bỏ qua những đối tượng sử dụng mỏy chủ web Apache-Linux).

+ Nhận biết được sự liờn quan giữa phần mềm phỏt hiện xõm nhập Snort và phần mềm rà soỏt điểm yếu Nessus (nếu hệ thống cú khả năng bị tấn cụng vào một yếu điểm và Nessus phỏt hiện thấy hệ thống cú yếu điểm đú thỡ cảnh bỏo sẽ được gỏn mức ưu tiờn cao).

+ Cho phộp định nghĩa sự liờn quan giữa cỏc sự kiện xảy ra dựa vào một số dấu hiệu: Cỏc cảnh bỏo

45 Cỏc dấu hiệu bất thường

Một phần của tài liệu Nghiên cứu xây dựng module giám sát an ninh mạng dựa trên mã nguồn mở snort (Trang 44 - 55)

Tải bản đầy đủ (PDF)

(82 trang)