3.2.1. Hệ thống mã nguồn mở AlienVault OSSIM
AlienVault OSSIM (OSSIM) là một giải pháp giám sát an ninh mạng dựa trên nền tảng mã nguồn mở. OSSIM rất phù hợp với các hệ thống quy mô vừa và nhỏ, nó cho phép người dùng sử dụng có thể bổ xung, tùy biến chức năng sao cho phù hợp nhất với hệ thống mạng đặc thù. OSSIM thể hiện rõ mục đích của công nghệ SIEM với các mục tiêu chính như sau:
- AlienVault OSSIM thực hiện việc thu thập các sự kiện từ rất nhiều các thiết bị khác nhau như Firewall, IDS/IPS, các máy chủ, máy trạm,…trong hệ thống giám sát, từ các sự kiện có thể đưa ra các cảnh báo (alert) khác nhau.
- Các sự kiện thu thập được từ nhiều nguồn khác nhau sau đó sẽ được OSSIM phân tích để tìm ra mối liên hệ giữa các sự kiện khác nhau và đưa ra được những thông tin tổng hợp nhất có liên quan đến an ninh trong hệ thống.
- Những thông tin AlienVault OSSIM sau khi đã được phân tích, tổng hợp sẽ được đưa vào báo cáo cụ thể, nó là kết quả đánh giá về mức độ an ninh trong hệ thống được giám sát [11].
3.2.2. Một số chức năng chính của AlienVault OSSIM
- Tìm kiếm tài nguyên (Asset Discovery):
+ Sử dụng trực tiếp các công cụ quét trong mạng. + Giám sát mạng.
+ Kiểm kê tài nguyên.
+ Phần mềm kiểm kê các Host.
- Đánh giá lỗ hổng (Vulnerability Assessment): Báo cáo tổng quan Quản lý cảnh báo Quản lý tài sản Lỗ hổng hệ thống Website quản trị Cơ sở dữ liệu (SQL)
- Tương quan sự kiện
- Phân tích, đánh giá sự kiện - Tuân thủ chính sách
- Phân loại sự kiện - Lưu trữ … SIEM Hệ điều hành Thiết bị mạng Ứng dụng Thiết bị bảo mật Nguồn thu thập dữ kiện ngoài
Cảm biến
Nguồn Ossim
Chuẩn hóa dữ kiện vào
Quản lý sự kiện
+ Sử dụng các công cụ kiểm tra, phát hiện các lỗ hổng. + Thực hiện giám sát các lỗ hổng.
- Phát hiện mối đe dọa (Threat Detection):
+ Phát hiện mối đe dọa dựa trên Network IDS, Host IDS, Wireless IDS. + Giám sát tính toàn vẹn của File.
- Giám sát hành vi (Behavioral Monitoring): + Tập hợp thông tin nhật ký.
+ Phân tích luồng lưu lượng mạng.
+ Giám sát khả năng sẵn sàng của các dịch vụ. + Thu thập và phân tích các gói tin.
- Bảo mật thông minh (Security Intelligence):
+ Xác định mối quan hệ giữa các sự kiện thông qua SIEM. + Phản ứng trước các sự cố.
+ Báo cáo và các cảnh báo.
3.2.3. Mô hình tổng quan hệ thống phát hiện tấn công mạng dựa trên công nghệ Siem sử dụng công cụ AlienVault OSSIM nghệ Siem sử dụng công cụ AlienVault OSSIM
- Máy trinh sát (Sensor):
Thành phần này đóng vai trò là các máy trinh sát nằm rải rác trên mạng để thu thập thông tin. Thành phần này bao gồm nhiều tiện ích, mỗi tiện ích là một phần mềm đơn lẻ, thực hiện một chức năng giám sát, thu thập, truy vấn thông tin từ môi trường mạng. Những thông tin thu được sẽ được gửi về cho thành phần Collector để phân tích.
- Máy thu thập (Collector):
Thành phần này làm nhiệm vụ thu nhận thông tin gửi về từ các máy trinh sát và tiến hành tổng hợp thông tin, gửi về cho CSDL để lưu trữ. Thành phần này cũng đóng vai trò điều phối công việc cho các máy trinh sát.
- Cơ sở dữ liệu (Database Center):
Thành phần này đóng vai trò lưu trữ các CSDL mà hệ thống giám sát an ninh mạng sử dụng. Tất cả dữ liệu sẽ được lưu theo định dạng có cấu trúc trong các CSDL trên máy chủ. Các thành phần khác sẽ phải giao tiếp với CSDL này để lưu trữ và truy vấn thông tin.
- Phân tích (Analysis):
Thành phần này sẽ tiến hành phân tích các thông tin thu thập được lưu trong CSDL để từ đó tìm ra các dấu hiệu bất thường. Sau khi phát hiện ra các hành vi bất thường, thành phần này sẽ làm nhiệm vụ gửi các thông tin cảnh báo cho người quản trị qua giao diện Website.
- Website:
Đây là thành phần trung tâm tương tác với người quản trị và mọi thành phần khác của hệ thống giám sát an ninh mạng. Thành phần này bao gồm một giao diện Web để quản trị có thể truy nhập, sử dụng các chức năng của hệ thống giám sát an ninh mạng: quản lý các máy trinh sát, xem các thông tin thu thập được, yêu cầu một máy trinh sát truy vấn thông tin và thiết lập cấu hình cho hệ thống, …
Trong sơ đồ, những đường mũi tên biểu thị tương tác giữa các thành phần của hệ thống, những tương tác này có thể là truyền lệnh điều khiển hoặc dữ liệu.
3.3. Triển khai xây dựng
3.3.1. Triển khai OSSIM vào hệ thống mạng
Để triển khai OSSIM người quản trị cần nắm được đầy đủ thông tin về hệ thống mạng cần triển khai. Nắm được sơ đồ mạng, loại thiết bị, hệ điều hành, phần mềm đang được sử dụng. Đặc biệt là các máy chủ trọng yếu trong hệ thống.
- Yêu cầu phần cứng: Máy chủ + CPU: 3.2 GHz
+ Processor: 64 bit + RAM >= 8 GB
+ Disk Space: >= 40 GB + Total Cores >= 4
- Phần mềm mã nguồn mở được cài đặt vào máy chủ: AlienVault OSSIM 5.2.5
3.3.2. Một số công cụ được sử dụng trong OSSIM
- Công cụ phát hiện xâm nhập dựa trên máy chủ (HIDS): OSSEC
OSSEC là một công cụ mã nguồn mở phát hiện xâm nhập trên host. Công cụ này cung cấp nền tảng phân tích log, kiểm tra tính toàn vẹn của tập tin, phát hiện rootkit, giám sát chính sách, thời gian thực và đưa ra cảnh báo.
- Công cụ phát hiện xâm nhập (NIDS): Suricata
Suricata là một công cụ IDS/IPS mã nguồn mở được tích hợp vào OSSIM nhằm phát hiện xâm nhập, theo dõi lưu lượng mạng. Suricata cũng hoạt động dựa trên luật được thay thế cho Snort ở phiên bản AlienVault OSSIM 5.2.
Công cụ này tính năng tương tự như Snort và hỗ trợ Snort (VRT) Rules tuy nhiên cách làm việc cuả chúng khác nhau. Snort sử dụng Single-threaded (đơn luồng) trong khi đó Suricata chạy Multi-threaded (đa luồng).
- Công cụ phát hiện xâm nhập không dây Wireless intrusion detection system (WIDS): Kismet
Kismet là công cụ phát hiện xâm nhập không dây, công cụ này làm việc chủ yếu với mạng Wi-fi (IEEE 802.11) nhưng có thể xử lý các loại mạng khác thông qua Plug-in.
- Công cụ giám sát các nút mạng (Monitoring of nodes of network): Nagios Nagios là công cụ giám sát mạng, các kết nối, theo dõi sự sẵn sàng, thời gian hoạt động và thời gian đáp ứng của tất cả các nút trên mạng.
- Công cụ phân tích bất thường trong mạng (Analysis of network anomalies): P0f, PADS, Arpwatch, etc.
ARP là một giao thức trong bộ giao thức TCP/IP, dùng để ánh xạ các địa chỉ IP thành địa chỉ vật lý (MAC) trong mạng cục bộ.
Arpwatch: là một công cụ giám sát hoạt động ethernet và lưu giữ một cơ sở dữ liệu của ethernet cùng với địa chỉ IP. Hoạt động của Arpwatch bao gồm hai bước chính. Trước hết, chương trình sẽ thu thập và lưu giữ những cặp ánh xạ địa chỉ vật lý – địa chỉ IP của các máy tình trong mạng. Ví dụ một máy tính trong mạng đang hoạt động với địa chỉ IP x.y.z.t có địa chỉ vật lý của giao diện mạng là aa:bb:cc:dd:ee:ff. Sau bước này, chương trình sẽ giám sát các luồng dữ liệu lưu thông trên mạng, nếu chương trình phát hiện thấy một gói tin nào đó mang thông tin địa chỉ IP là x.y.z.t và địa chỉ vật lý khác aa:bb:cc:dd:ee:ff thì hệ thống sẽ phát ra cảnh báo. Vì trường hợp này có thể xảy ra khả năng một máy tính khác đang giả mạo địa chỉ IP x.y.z.t.
PADs: là công cụ phát hiện thụ động tài sản. Công cụ này theo dõi lưu lượng mạng, các bản ghi log và dịch vụ. Dữ liệu này được theo dõi bởi OSSIM khi có sự bất thường trong dịch vụ mạng.
P0f: Công cụ P0f được sử dụng thu thập thông tin về hệ điều hành. Công cụ này theo dõi lưu lượng truy cập mạng và xác định hệ điều hành. Thông tin này rất hữu ích trong quá trình suy luận tương quan.
- Công cụ Quét lỗ hổng trong hệ thống (Vulnerability scanner): OpenVAS Đây là một công cụ mã nguồn mở quét lỗ hổng phổ biến. Được sử dụng để quản lý và quét các lỗ hổng trong hệ thống mạng.
3.3.3. Đánh giá rủi ro
Đánh giá rủi ro là việc làm quan trọng nhằm xác định cái gì là quan trọng cái gì là không. Việc đánh giá rủi ro được coi như là một trợ lý của quá trình ra quyết định. OSSIM tính toán rủi ro cho từng sự kiện an ninh. Việc tính toán này dựa trên ba thông số sau:
-Giá trị tài sản (Mất bao nhiêu giá trị nếu bị xâm nhập) -Nguy cơ nào sẽ xảy ra.
-Xác suất xảy ra nó là bao nhiêu.
Bản ghi log được cung cấp từ các nguồn dữ liệu khác nhau đến máy chủ OSSIM. Các bản ghi log chuẩn hóa và hiển thị trong giao diện quản lý web như các sự kiện an ninh. Tickets được tự mở hoặc tự động tạo ra trong OSSIM. Để xử lý sự cố, OSSIM sẽ được xem xét báo động, tạo ra một ticket về sự cố có liên quan và gán nó cho thành phần thích hợp. Báo động xảy ra khi giá trị rủi ro của sự kiện an ninh bằng hoặc lớn hơn một giá trị nào đó. Rủi ro được tính toán theo công thức sau:
[ASSET VALUE(0-5)*PRIORITY(0-5)*RELIABILITY(0-10)]/25 = RISK OF THE EVENT(0-10)
Trong đó:
ASSET VALUE: Giá trị của tài sản.
PRIORITY: Độ ưu tiên cho từng sự kiện an ninh. RELIABILITY: Độ tin cậy của sự kiện an ninh.
RISK OF THE EVENT: Mức độ rủi ro của sự kiện an ninh.
Các tài sản trong OSSIM có giá trị tài sản từ 0-5. Số càng cao là tài sản có giá trị cao. Tài sản là một thiết bị, một máy chủ hoặc có thể là một nhóm máy chủ, các nhóm máy chủ, mạng và nhóm mạng. Căn cứ vào độ rủi ra của sự kiện để nhận thấy xác suất của một cuộc tấn công.
3.3.4. Chuẩn hóa log
Trong OSSIM, Plugin được tạo ra nhằm chuẩn hóa các log đầu vào khác nhau thành một dạng bản ghi chuẩn duy nhất hoặc trích xuất dữ liệu cần trong bản log đầu vào và chuyển nó thành một sự kiện. Mặc định OSSIM đã có những plugin cho những
nguồn dữ liệu thường gặp. Tuy nhiên thực tế ngày càng phát sinh nhiều nguồn dữ liệu mới hay đặc thù thiết bị của từng hệ thống mạng. Trong trường hợp này cần tạo ra những plugin mới để OSSIM có thể làm việc được.
Plugin trong OSSIM bao gồm hai tập tin:
<plugin_name>.cfg Tập tin này nằm trong thư mục /etc/ossim/agent/plugins. Tập tin này quy định cụ thể thông số, quy tắc dữ liệu của file log cần chuẩn hóa. Cơ bản tập tin này bao gồm: Vị trí của nguồn dữ liệu nhận được, biểu thức và các quy tắc cần thiết để phân tích nguồn dữ liệu.
<plugin_name>.sql tập tin này nằm trong:
/usr/share/doc/ossim-mysql/contrib/plugins
Tập tin này mô tả mọi sự kiện được dùng để đánh giá, tương quan hay lưu trữ như:
ID Plugin
ID của loại sự kiện Tên gán cho sự kiện
Mức độ ưu tiên và giá trị độ tin cậy
- Tập tin <plugin_name>.cfg được biên tập cụ thể như sau:
+ Phần Header: Tất cả các Plugin đều có một phần tiêu đề như sau # AlienVault plugin
# Author: AlienVault Team
# Plugin {{ Tên Plugin }} id:{{ plugin_id }} version: - # Last modification: {{ LAST_MODIFICATION_DATE }} #
# Plugin Selection Info:
# {{vendor}}:{{model}}:{{version}}:{{per_asset}} #
#END-HEADER #
+ Phần cấu hình chi tiết: Ví dụ cấu hình cho file log từ phần mềm diệt virus Mcafee
[DEFAULT] // phần thiết lập mặc định cho các sự kiện plugin_id=1571
[config]
type=detector //kiểu của plugin enable=yes
source=log
location=/var/log/mcafee.log // vị trí file log create_file=false process= start=no stop=no startup= shutdown= [translation] //bảng dịch BLOCKED=1
[mcafee-blocked] //quy tắc cho sự kiện
event_type=event //kiểu của sự kiện (event, aler...)
regexp="(?P<date>\d+\/\d+\/\d+\t\TIME...)\t(.*)\t(.*)\t(.*)\t(.*)" //Biểu thức mô tả dữ liệu date={normalize_date($date)} plugin_sid=1 filename={$3} userdata1={$4} src_ip={$5}
- Tập tin <plugin_name>.sql được biên tập cụ thể như sau: -- McAfee Antivirus
Dữ liệu chuẩn hóa được để gửi đến Server OSSIM
-- Plugin id: 1571
DELETE FROM plugin WHERE id = "1571";
DELETE FROM plugin_sid where plugin_id = "1571";
INSERT IGNORE INTO plugin (id, type, name, description) VALUES (1571, 1, 'mcafee', 'McAfee Antivirus');
INSERT IGNORE INTO plugin_sid (plugin_id, sid, category_id, class_id, name, priority, reliability) VALUES (1571, 1, NULL, NULL, 'McAfee Antivirus: BLOCKED', 1, 3);
- Để đưa plugin này vào hoạt động ta phải sao chép hai tệp này đến đúng địa chỉ nêu trên và tiến hành cập nhật cơ sở dữ liệu bằng lệnh:
cat exchangews.sql | ossim-db ossim-server restart
3.3.5. Xây dựng luật trong Ossim
“Luật” Trong OSSIM ta có thể hiểu đơn giản nó giống như các quy tắc hay luật lệ. Nó sẽ có phần mô tả một trạng thái hay hành động gì sẽ xảy ra khi trạng thái đầu vào đúng. OSSIM cho phép người sử dụng có thể viết các luật của riêng mình sao cho phù hợp nhất với hệ thống mạng. Thay vì phải phụ thuộc vào nhà cung cấp, một cơ quan bên ngoài, hoặc phải cập nhật khi có một cuộc tấn công mới hay một phương pháp khai thác lỗ hổng mới được phát hiện. Người quản trị có thể viết riêng một luật dành cho hệ thống của mình dựa vào các sự kiện bất thường hoặc khi nhìn thấy các lưu lượng, sự kiện mạng bất thường trên giao diện quản lý sự kiện theo thời gian thực.
Hình 3.3: Quản lý sự kiện theo thời gian thực
Ưu điểm của việc tự viết các luật là có thể tùy biến và cập nhật một cách cực kỳ nhanh chóng khi hệ thống mạng có sự bất thường.
Trong OSSIM luật được biên tập trong file user.xml
Cấu trúc một luật để đưa ra cảnh báo khi phát hiện bất thường trong hệ thống như sau:
<directive id="ID" name="Tên của chỉ thị" priority="độ ưu tiên 1-5"> <rule type="loại quy tắc" name="tên quy tắc" reliability="Độ tin cậy" occurrence="số lần xảy ra" from="địa chỉ nguồn" to="địa chỉ đích"
port_from="cổng nguồn" port_to="cổng đích" plugin_id="id của nguồn dữ liệu" plugin_sid="id của sự kiện" protocol="Giao thức" sensor="địa chỉ của cảm biến">
</rule> </directive>
Các luật này có thể được xếp thành nhiều lớp nhằm đánh giá chính xác hơn về sự kiện và tăng độ tin cậy của sự kiện.
3.4. Thử nghiệm và kết quả
3.4.1. Mô hình thử nghiệm thực tế
Đưa hệ thống phát hiện tấn công mạng OSSIM vào thử nghiệm với mô hình:
* Mô tả: Hệ thống trên bao gồm
- Thiết bị mạng bao gồm:
+ Modem (Dùng kết nối internet)
+ Switch ( Thiết bị chuyển mạch kết nối các thiết bị trong mạng) + Wireless Access point (Thiết bị thu phát sóng wifi)
- Máy chủ Web
+ Địa chỉ IP: 192.168.1.22
+ Hệ điều hành: Windows Server 2008 + Cài đặt IIS làm webserver
+ HIDS: OSSEC Agent - Máy chủ SQL Server Internet Modem Switch (HIDS) Web Server (HIDS) SQL Server Pc1 OSSIM Server Pc2 Pc3 Pcn Wireless Access point Hình 3.4: Mô hình thử nghiệm thực tế
+ Hệ điều hành: Windows Server 2012
+ Hệ quản trị cơ sở dữ liệu: Microsoft SQL Server 2008 R2 + HIDS: OSSEC Agent
- Máy chủ Phát hiện tấn công mạng OSSIM + Địa chỉ IP: 192.168.1.212
- Các máy trạm từ pc1, pc2 đến pcn
Hệ điều hành của các máy trạm rất đa dạng từ Windows xp, Windows 7, Windows 8, windows 10 ...
Các máy trạm này có địa chỉ IP nằm trong vùng 192.168.1.0/24
* Các trường hợp thử nghiệm:
- Tấn công thăm dò (Sử dụng phần mềm Nmap). - Tấn công đăng nhập vào dịch vụ Remote desktop.
- Phát hiện máy trạm nội bộ nằm trong mạng lưới botnet bị điều khiển để thực hiện tấn công DDOS.
- Tấn công SQL Ịnection.
Chúng ta sẽ thử nghiệm và theo dõi cảnh báo qua giao diện Web của hệ thống phát hiện tấn công OSSIM.
3.4.2. Tấn công thăm dò
Trong thử nghiệm này tôi sử dụng phần mềm quét cổng Nmap từ một máy trạm trên Internet tới địa chỉ của web server.