CHƯƠNG 3. ÁP DỤNG KĨ THUẬT ĐIỀU TRA SỐ ĐỂ GIÁM SÁT
3.2. Mô tả hệ thống
Hình 11: ệ thống thu thập thông tin
Hệ thống mạng hiện tại của Ủy ban nhân dân tỉnh bao gồm 4 module:
Internet, WAN, Core, Server.
- Mudule Internet: Gồm 2 thiết bị Router kết nối 2 đường truyền leaseline
của hai nhà cung cấp khác nhau chạy dự phòng qua giao thức BGP.
Phân hệ này phục vụ các tổ chức, công dân truy cập vào các ứng dụng thƣ điện tử, cổng thông tin điện tử và các phần mềm khác đang cài đặt tại trung tâm CNTT.
Module internet đang sử dụng 02 đường truyền với tốc độ 500mbps và 100mbps.
- Module WAN: Kết nối tới hệ thống mạng WAN của hành chính công mà hệ mạng của trung tâm CNTT. Tất cả các đơn vị sẽ kết nối vào Ủy ban nhân dân tỉnh qua module này để khai thác các ứng dụng của hành chính công đang cài đặt tại trung tâm. Module WAN được trang bị 02 đường truyền với tốc độ 1Gbs bảo đảm không bị tắc nghẽn vào các giờ cao điểm.
- Module Core: Đây là phần chuyển mạch lõi, trái tim của toàn hệ thống mạng.
- Module server: Tất cả các máy chủ web, máy chủ thƣ điện tử, máy chủ ứng dụng chuyên ngành của Ủy ban và các đơn vị trong tỉnh đều đƣợc đặt tại vùng mạng này. Hiện tại vùng này có khoảng 50 máy chủ vật lý và 40 máy chủ ảo sử dụng nền tảng Vmware Exsi 6.
- Module LAN: Đây là vùng dành cho cán bộ, công chức, viên chức của Ủy ban, có 90 máy tính hoạt động ở Module này.
Để thu thập thông tin an ninh mạng thì hệ thống thu thập an ninh mạng cần phải thu thập đƣợc dữ liệu ở các mức:
Thông tin dữ liệu trao đổi trên mạng; Dữ liệu nhật ký, sự kiện được lưu trên hệ thống host; Dữ liệu nhật ký, sự kiện trên các thiết bị mạng;
Một điều quan trọng quyết định cho việc thu thập và phân tích an ninh mạng hiệu quả chính là vị trí thích hợp để thu thập dữ liệu cần thiết phục vụ cho việc phân tích, hay nói cách khác thiết lập đƣợc một hệ thống thu thập
thông tin an ninh mạng để lấy các thông tin cần thiết. Có thể xem xét một trường hợp điển hình chặn bắt gói tin trên mạng để phục vụ cho việc phân tích gói tin. Việc phân tích các gói tin không chỉ đơn giản là việc cắm 1 thiết bị bắt gói tin vào một cổng mạng và thực hiện việc chặn bắt gói tin trong mạng đôi khi khó khăn hơn việc phân tích các gói dữ liệu.
Thách thức với vị trí đặt bộ chặn bắt đó là hệ thống mạng có một lƣợng lớn các thiết bị phần cứng mạng dùng để kết nối các thiết bị. Bên cạnh đó, một trong những thách thức của việc thu thập thông tin an ninh mạng là cấu hình đúng các bộ thu nhận có khả năng chặn bắt các thông tin mạng.
Trước khi để chặn bắt gói tin, cần phải được trang bị một giao diện mạng (NIC) hỗ trợ chế độ chặn bắt gói tin. Chế độ này cho phép NIC xem tất cả các gói tin truyền đi trên đường dẫn nó đang theo dõi, hiện nay hầu hết các hệ điều hành đều không cho phép NIC thực hiện chế độ này, do vậy cần phải cấu hình sang chế độ thực hiện chặn bắt gói tin.
3.2.1. Kiến trúc và thành phần hệ thống.
3.2.1.1. Thu thập trên host.
Việc thu nhận dữ liệu trên các thiết bị này sẽ thu đƣợc các thông tin mà hacker giao tiếp với các thiết bị dưới dạng không bị mã khóa.
Ngoài ra trên các host đều cài đặt các hệ điều hành, mỗi hệ điều hành duy trì các log có thể cung cấp nhiều thông tin. Hệ thống log thường xuyên ghi lại những cố gắng đăng nhập vào hệ thống dù thất bại hay thành công, cũng nhƣ bất kì cảnh báo hệ điều hành đã đƣa ra. Đây cũng là một kênh thông tin hữu ích cho việc thu thập thông tin an ninh mạng.
3.2.1.2. Thu thập trên mạng
Hiện nay, thu thập và phân tích thông tin an ninh mạng thông thường sử dụng hai phương pháp thu nhập và phân tích trực tuyến hoặc ngoại tuyến. Đối với hai phương pháp này thì việc bố trí kiến trúc và thành phần hệ thống có thay đổi khác nhau. Trong phương pháp thu thập và phân tích trực tuyến, người phân tích cần thực hiện việc chặn bắt gói thông tin mạng. Để thực hiện
việc phân tích này người ta sử dụng một trong các biện pháp sau: TAPS( Test Access Ports); Inline Devices; Hubs; SPAN Ports.
Thiết bị chuyên biệt đƣợc xây dựng cho việc truy cập luồng dữ liệu trên các thiết bị mạng. Thông thường thiết bị này được cài đặt trước tại những dữ liệu quan trọng, đồng thời những thiết bị này có khả năng chặn bắt dữ liệu tại lớp vật lí.
3.2.1.3. Thu thập trên thiết bị mạng
Thông tin thu thập trên các thiết bị mạng thông thường như router, switch, hub hay những thiết bị an ninh chuyên dụng như tường lửa, hệ thống phát hiện xâm nhập IDS rất có giá trị trong việc phân tích thông tin an ninh mạng.
Tùy thuộc vào từng loại thiết bị khác nhau, chúng ta sẽ thu thập các thông tin cần thiết cho quá trình phân tích sau này.