Hình 4.4: Các bƣớc cải tiến tập luật cho hệ thống
Dữ liệu nhật ký
Phân tích, nhận dạng dấu hiệu
tấn cơng
Tạo luật dựa trên các dấu
Để có thể tạo các tập luật cho hệ thống, ngoài vấn đề xác định các rủi ro đối với đối tƣợng sẽ đƣợc áp dụng tập luật thì việc trƣớc hết cần làm chính là thu thập nhật ký hệ thống của thiết bị đó. Nội dung hƣớng tới của luận văn là tạo ra các tập luật cảnh báo tấn công vào ứng dụng web nhằm bổ sung vào hệ thống GSANM đang đƣợc triển khai. Sau đây là một ví dụ cụ thể để tạo tập luật cho hệ thống GSANM.
Trƣớc hết, ngƣời quản trị cần cấu hình thu thập nhật ký hệ thống cho hệ thống đƣợc GSNAM. VD: Quá trình thu thập nhật ký hệ thống cho Web Server IIS 6.0 có thể đƣợc thực hiện theo nhiều cách khác nhau. Tuy nhiên, trong ví dụ này q trình thu thập đƣợc thực hiện từ hai phía:
Phía máy chủ IIS: Bật tính năng ghi nhật ký hệ thống và chỉ rõ thƣ mục nào sẽ ghi nhật ký hệ thống.
Phía hệ thống GSANM: Ngƣời quản trị cung cấp Username và Password cho hệ thống GSANM đăng nhập vào máy chủ Web Server này để lấy nhật ký hệ thống và chuyển về hệ thống GSANM.
Quá trình đƣợc thực hiện tuần tự theo các bƣớc sau:
Bƣớc 1: Thực hiện cấu hình ghi nhật ký hệ thống
Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0
Bƣớc 2: Khai báo các thông tin chi tiết cho hệ thống GSANM thực hiện lấy nhật ký hệ
thống
Phía hệ thống GSANM, đƣợc ngƣời quản trị khai báo chi tiết các thông tin về: Máy chủ, tài khoản đƣợc cung cấp, giao thức sử dụng để thu thập nhật ký hệ thống, thƣ mục chứa nhật ký hệ thống.
Hình 4.6: Cấu hình thu thập nhật ký hệ thống trên hệ thống GSNAM
Sau khi nhật ký hệ thống IIS gửi về hệ thống GSNAM, hệ thống này sẽ hiển thị nhật ký hệ thống theo thời gian thực ở tab Log Activity. Khi có ngƣời dùng truy cập web thì hệ thống GSANM sẽ hiển thị nhật ký hệ thống nhƣ hình 4.7
Hình 4.7: Nhật ký hệ thống đƣợc hiển thị theo thời gian thực Và một số thông số khác của nhật ký hệ thống nhƣ hình 4.8 Và một số thông số khác của nhật ký hệ thống nhƣ hình 4.8
Hình 4.8: Các thơng số khác của nhật ký hệ thống
Bƣớc 3: Cập nhật các thiết bị hiện có của hệ thống
Thực hiện khai báo máy chủ vừa đƣợc thu thập nhật ký hệ thống vào phần các thiết bị hiện có của hệ thống để thuận tiện cho quá trình tạo luật.
Hình 4.9: Khai báo máy chủ vào phần Web Server
Bƣớc 4: Xác định các dấu hiện tấn công để đƣa vào tập luật
Trƣớc hết, trong trƣờng hợp này ngƣời quản trị sẽ tạo luật nhận dạng các tấn công Tiêm mã SQL sử dụng kỹ thuật UNION, SELECT. Để làm đƣợc việc này, ngƣời quản trị cần phân tích payload mà hệ thống GSANM thu đƣợc.
Hình 4.10: Phân thích payload thu đƣợc và xác đinh dấu hiệu tấn công
Từ các trƣờng payload ngƣời quản trị xác định đƣợc các thông tin quan trọng nhƣ: IP Source, IP Destination,…. và nhận ra dấu hiệu của tấn công Tiêm mã SQL qua chuỗi request đƣợc gửi đi có từ khóa UNION và SELECT. Bởi vì kỹ thuật tấn cơng SQL đƣợc phân chia thành nhiều loại khác nhau nên khi tạo luật chặn bắt tấn công ngƣời quản trị cũng phải phân chia và ghi rõ dấu hiệu của từng loại. Do đó trong trƣờng hợp này, tập luật phát hiện tấn công Tiêm mã SQL sử dụng kỹ thuật UNION và SELECT đƣa ra cảnh báo nếu yêu cầu tới máy chủ có kèm các chuỗi ký tự này.
Bƣớc 5: Tạo luật
Nhƣ vậy ngƣời quản trị đã xác định xong các yêu cầu cơ bản trong quá trình tạo luật, bây giờ ngƣời quản trị sẽ tạo tập luật trong tab Offenses. Quá trình tạo luật đƣợc thực hiện tuần tự theo thứ tự sau:
a) Xác định nơi quản lý tập luật
Rules Action New Event Rules (vì luật này đƣợc tạo ra từ các sự kiện an ninh) Ngƣời quản trị chọn đối tƣợng Web Server đã đƣợc khai báo trong phần trên để áp dụng cho luật này. Sau đó, ngƣời quản trị thực hiện mô tả dấu hiệu tấn công là: ―Trong nội dung của payload có chứa từ khóa UNION hoặc SELECT‖. Ngƣời quản trị thực hiện đặt tên cho cảnh báo: TAN CONG TIÊM MÃ SQL SU DUNG UNION, SELECT. Trong trƣờng hợp này, ngƣời quản trị không cần sử dụng ngôn ngữ Regular Expression vì đây dấu hiệu nhận dạng đơn giản. Tuy nhiên, trong nhiều trƣờng hợp khác ngƣời quản trị chỉ có thể tạo ra đƣợc các nhóm, mẫu để phát hiện tấn cơng bằng cách sử dụng Regex. VD: Nếu kẻ tấn công sử dụng chèn thêm chuỗi ‗or 1=1‘, nhƣng trong trƣờng hợp này ngƣời quản trị không sử dụng Regex để lọc chuỗi đƣợc chèn vào thì tấn cơng này sẽ vƣợt qua đƣợc lập luật nếu kẻ tấn công chèn chuỗi ‗or 2=2‘.
Hình 4.11: Các bƣớc tạo luật
b) Xác định tham số cho tập luật
Hình 4.12: Xác định các tham số cho luật
Sau đó, ngƣời quản trị thực hiện định lƣợng mức độ cảnh báo đƣợc đƣa ra cũng nhƣ các thông số liên quan đến cảnh báo nhƣ: Xác định category, mức độ nguy hiểm, mức độ liên quan, hành động phản hồi khi tập luật này đƣợc áp dụng, và có thể gửi cảnh báo qua email hay có lựa chọn khác.
Hình 4.13: Định lƣợng mức độ rủi ro của luật và các tham số khác