Mơ hình được thiết kê theo mơ hình mạng của một doanh nghiệp vừa và nhỏ. Bao gồm năm vùng mạng:
• Vùng inside: tồn bộ hệ thống mạng LAN người dùng. • Vùng DMZ: đặt các server (FTP, web, mail).
• Vùng outside: kết nối với router gateway. • Vùng Internet: kết nối với Internet. • Vùng managemet: đặt server quản trị.
Trên vùng mạng inside DMZ và outside, đặt các thiết bị sensor OSSIM để gửi dữ liệu về server OSSIM đặt trong vùng management.
4.1.2 Chính sách
Các chính sách của hệ thống mạng:
- Lưu lượng từ các host trong vùng management có thể đến được vùng inside, DMZ, outside và ra ngoài Internet.
- Lưu lượng từ các host trong vùng inside có thể đến được vùng DMZ, outside và ra ngồi Internet nhưng khơng thể vào vùng management được.
- Lưu lượng từ các host trong vùng DMZ có thể đến được vùng outside và ra ngồi Internet nhưng khơng thể vào vùng management và inside được.
- Lưu lượng từ các host trong vùng outside có thể đến được vùng DMZ và ra ngồi Internet nhưng khơng thể vào trong vùng management và inside được.
- Lưu lượng từ các host ngồi Internet chỉ có thể truy cập đến router bằng IP giao diện kết nối Internet của router:
+ Nếu cổng đích là 80 thì router sẽ tạo kết nối đến server web. + Nếu cổng đích là 25 thì router sẽ tạo kết nối đến server mail. + Nếu cổng đích là 20, 21 thì router sẽ tạo kết nối đến server FTP.
4.1.3 Cấu hình
a. Phân hoạch địa chỉ IP
Tất cả địa chỉ IP trong mạng sẽ được cấu hình theo như sơ đồ sau:
Hình vẽ 4.2. Địa chỉ IP tồn bộ hệ thống mạng b. Cấu hình định tuyến
Hệ thống mạng được cấu hình định tuyến như sau: Cấu hình các vùng mạng:
- Tất cả các host trong vùng management, inside, DMZ trỏ default-gateway đến firewall.
- Các sensor trỏ default-gateway đến firewall.
- Firewall trỏ default-gateway đến router.
- Router định tuyến tĩnh vào trong vùng management, inside, DMZ qua giao diện kết nối trực tiếp với router của firewall.
- Cấu hình quản trị
+ Kích hoạt giao thức NetFlow, Syslog trên firewall và router.
+ Kích hoạt OSSEC, Snare, Snort và Ntop trên các sensor OSSIM và server OSSIM. 4.2Thử nghiệm hệ thống
4.2.1 Giả lập hệ thống
Để giả lập hệ thống, sử dụng mã nguồn mở Back Track:
- Cài đặt Back Track trên các host của vùng Inside để tạo nhiều truy cập đến các server trong vùng DMZ và các host ngoài Internet.
- Cài đặt Back Track trên các host ngoài Internet và tạo nhiều truy cập đến các server trong vùng DMZ.
Thử nghiệm hệ thống bằng cách thực hiện một số các cuộc tấn công như tấn công DOS, tấn công brute force vào dịch vụ SSH, tấn cơng thăm dị, quét cổng…
4.2.2 Kết quả giám sát
Hình ảnh về lưu lượng mạng: