CHƯƠNG 3 TRIỂN KHAI VÀ ĐÁNH GIÁ HỆ THỐNG
3.1 Triển khai và cài đặt thử nghiệm hệ thống
3.1.1 Xây dựng mô hình triển khai
Trong luận văn này, toàn bộ hệ thống máy chủ phục vụ cho việc thử nghiệm các kịch bản tấn công được triển khai trên hạ tầng ảo hoá ESXi, đặt tại Trung tâm an toàn, an ninh thông tin, Phòng 405, Toà nhà B1, Đại học Bách Khoa Hà Nội như sơ đồ bên dưới [Hình 3.1].
Nhóm máy chủ Linux Nhóm máy chủ Windows SIEM-QRadar IP: 192.168.39.69 192.168.39.0/24 WIN-SVR-01 IP: 192.168.39.171 WIN-SVR-02 IP: 192.168.39.158 WIN-SVR-JUMP01 IP: 192.168.39.156 Host: ubuntu20-01 IP: 192.168.39.168 Host: ubuntu20-02 IP: 192.168.39.165 Web Apps: Rule Platform
IP: 192.168.39.65
Hình 3.1. Sơ đồ mô hình triển khai hệ thống thu thập logs và thử nghiệm các kịch bản tấn công
Trong đó, nhóm thứ nhất gồm 3 máy chủ Windows được cấu hình một số chính sách kiểm toán Windows GPO và cài đặt, cấu hình dịch vụ Sysmon như đã đề xuất. Nhóm thứ hai gồm 2 máy chủ Linux được cấu hình dịch vụ auditd và osquery. Nhóm thứ ba gồm máy chủ SIEM-Qradar sẽ thu thập logs trên các máy chủ Windows, Linux và triển khai tập luật phát hiện hành vi tấn công. Máy chủ Linux còn lại sẽ triển khai hệ thống quản lý tập luật Rules-Cross-Platform.
Thông tin chi tiết về cấu hình phần cứng và dịch vụ cài đặt trên các máy chủ được tổng hợp trong bảng bên dưới.
63
Bảng 3.1. Bảng thông tin cấu hình hệ thống thử nghiệm
Máy chủ RAM Disk Hệ điều hành Dịch vụ
WIN-SVR-01 4GB 40GB Windows Server 2012 R2 Standand
IP: 192.168.39.171 Windows GPO, Sysmon WIN-SVR-02 4GB 40GB Windows Server
2012 R2 Standand
IP: 192.168.39.158 Windows GPO, Sysmon WIN-SVR-
JUMP01
4GB 40GB Windows Server 2012 R2 Standand
IP: 192.168.39.156 Windows GPO, Sysmon QradarCE 24GB 250 GB RedHat Enterprise Linux 7.7 IP: 192.168.39.69 Qradar Enterprise 7.4.2 ubuntu20-01 2GB 24GB Ubuntu 20.04 IP: 192.168.39.168
Cài osquery
ubuntu20-02 2GB 24GB Ubuntu 20.04 IP: 192.168.39.165 Cài auditd
web01 2GB 24GB Ubuntu 20.04 IP: 192.168.39.70 Web Server + MySQL Trong các hệ thống lớn, để đảm bảo tốt việc phân quyền và kiểm soát truy cập tới hệ thống máy chủ, người ta thường triển khai các giải pháp PAM (Privileged Access Management) như là Cyberark, Beyondtrust, … Tuy nhiên, trong điều kiện triển khai thử nghiệm mô hình nghiên cứu thì để đơn giản, em sẽ cấu hình máy chủ WIN-SVR-JUMP01 [Hình 3.1] hoạt động như một máy chủ trung gian cho phép thực hiện các phiên kết nối RDP (Remote Desktop Protocol) để truy cập từ xa tới các máy chủ khác.