VÀ CHỐNG XÂM NHẬP
2.1. Mô hình triển khai
2.1.1. Đặt vấn đề
Ta có mô hình mạng của Học Viện như sau:
Hình 2.1: Mô hình mạng của Học Viện
Yêu cầu đặt ra là cần bảo vệ hệ thống này vận hành an toàn, đảm bảo bí mật, toàn vẹn và sẵn sàng. Đảm bảo hệ thống có thể phát hiện, ngặn chặn kịp thời các tấn công, tránh các rủi ro trên mạng internet. Ở đây, chúng ta sẽ đi vào bảo vệ cho cơ sở 1 (Lan 1) tránh các xâm nhập trái phép. Đặc điểm của cơ sở 1 như sau:
• Có các phòng ban: hành chính, đào tạo, có khu vực thực hành, thư viện, văn phòng.
• Khu vực DMZ (hiện chưa triển khai dịch vụ nào). 2.1.2. Giải pháp
Để bảo vệ cơ sở 1 tránh các xâm nhập trái phép, chúng ta triển khai một hệ thống phát hiện và chống xâm nhập trái phép cho mạng này dựa trên phần mềm Suricata.
Hình 2.2: Mô hình bảo vệ hệ thống mạng cơ sở 1
Thực hiện triển khai hệ thống trên, ta có thể thực hiện triển khai theo mô hình sau:
Hình 2.3: Mô hình triển khai Với mô hình này, ta sử dụng:
• Máy cơ sở 1 với địa chỉ IP 192.168.150.132 đóng vai trò là mạng LAN 1 đang cần được bảo vệ chống xâm nhập trái phép.
• Máy Internet với địa chỉ IP 192.168.1.11 đóng vai trò là mạng bên ngoài.
• Máy CentOS với 2 card mạng cài Suricata đóng vai trò là một IDS/IPS dùng để kiểm soát truy cập, chống xâm nhập trái phép từ mạng bên ngoài vào mạng bên trong.
2.2. Triển khai mô hình
Đầu tiên ta sẽ phải thiết lập lại các biến cho các khu vực (địa chỉ IP) khác nhau và các biến cho các cổng. Mục đích của việc thiết lập biến này giúp cho việc thay đổi dễ dàng khi cần thiết.
Ví dụ khi thiết lập port cho dịch vụ HTTP là biến HTTP_PORTS: “80”, nhưng sau đó dịch vụ này không sử dụng port 80 nữa mà sử dụng port 8080, ta chỉ việc thay đổi giá trị tại biến HTTP_PORTS: “8080” mà không cần phải tìm và thay thế tất cả các giá trị tại các rule đã sử dụng.
Tiến hành mở file vi /etc/suricata/suricata.yaml. Trong tập tin này đã có các thiết lập sẵn ta chỉ cần thay đổi lại cho phù hợp với mô hình sử dụng trong bài báo cáo này. Tìm kiếm từ khóa “vars:” để tìm đến phần thiết lập các biến, trong trình soạn thảo vim ta dùng “/” để tìm kiếm, cú pháp như sau: /vars:
Trong mô hình chúng ta sử dụng máy có địa chỉ 192.168.150.132 đại diện cho mạng cơ sở 1 nên ta thiết lập biến HOME_NET như sau:
Trong mục “address-groups:” ta thay dòng
HOME_NET: “[192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12]” 172.16.0.0/12]”
thành
HOME_NET: “[192.168.150.0/24]”
Các thiết lập về address-groups và port-groups khác ta để mặc định.
Ta sẽ tạo 1 file rule để kiểm tra xem suricata đã hoạt động chưa. Ta dùng lệnh sau để tạo file “test.rules”:
vi /etc/suricata/rules/test.rules
alert ip $HOME_NET any -> $EXTERNAL_NET any (msg: “Phat hien ping”; sid:2; rev:1;)
Sau đó tập tin này lại, ta vào file suricata.yaml tìm đến phần “rule-files:” thêm “ – test.rules” vào cuối của mục này, lưu file lại và thoát ra.
Trên cửa sổ dòng lệnh ta gõ:
“suricata –c /etc/suricata/suricata.yaml –i eth4”
Dòng lệnh này có mục đích là sẽ áp file cấu hình lên giao diện mạng eth4. Sau khi gõ xong ta đợi đến khi có thông báo:
Ta tiến hành ping thử từ máy có địa chỉ 192.168.1.11 (EXTERNAL_NET) đến máy có địa chỉ 192.168.150.132 (HOME_NET).
ping 192.168.150.132
Ta sẽ xem log ở trên máy cài suricata xem có cảnh báo gì không. Dùng lệnh tail để xem log với tham số –f để theo dõi, ta dùng lệnh sau:
tail –f /var/log/suricata/fast.log
KẾT LUẬN
Trong thời gian nghiên cứu và làm đề tài vừa qua, nhóm chúng em đã thu được nhiều kiến thức, nhưng cũng có những mặt hạn chế.
• Kết quả đạt được:
o Biết được tổng quan về mô hình mạng của Học Viện.
o Biết được quy trình xây dựng và đảm bảo an toàn vận hành cho một hệ thống.
o Tìm hiểu được về phần mềm Suricata hỗ trợ trong việc phát hiện và ngăn chặn xâm nhập trái phép.
o Thử xây dựng một hệ thống có kết hợp phát hiện và ngăn chặn trái phép.
• Hạn chế:
o Chưa thực sự đưa ra được các biện pháp ngăn chặn xâm nhập.
o Chưa đưa ra được đầy đủ các biện pháp giúp bảo vệ an toàn cho hệ thống.
o Chưa nghiên cứu được hết các tính năng của Suricata. • Hướng phát triển:
o Tìm hiểu sâu hơn về các chức năng của Suricata.
o Nghiên cứu kỹ hơn để có thể đưa ra được hết các biện pháp bảo cho toàn bộ hệ thống được vận hành một cách an toàn.