Tải bản đầy đủ (.pdf) (50 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Security onion trong gsatm

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.94 MB, 50 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN

BÁO CÁO MƠN HỌC
GIÁM SÁT & ỨNG PHĨ SỰ CỐ AN TOÀN MẠNG

Đề tài:

NGHIÊN CỨU VỀ SECURITY ONION TRONG
GIÁM SÁT AN TỒN MẠNG
Sinh viên thực hiện

: Trình Thị Xn – AT160460
Bùi Thị Phương Duyên – AT160410
Nguyễn Thị Thảo Hiền – AT160418
Trần Văn Chiến – AT160
Lê Văn Tiền – AT160351

Giảng viên hướng dẫn : TS. Đặng Xuân Bảo

Hà Nội – 2023
i


LỜI NĨI ĐẦU
Cùng với sự phát triển của cơng nghệ thông tin, sự đầu tư cho hạ tầng mạng
trong mỗi doanh nghiệp ngày càng tăng cao, dẫn đến việc quản trị sự cố một hệ
thống mạng gặp rất nhiều khó khăn. Đi cùng với những lợi ích khi phát triển hạ
tầng mạng như băng thông cao, khối lượng dữ liệu trong mạng lớn, đáp ứng được
nhu cầu của người dùng, hệ thống mạng phải đối đầu với rất nhiều thách thức như
các cuộc tấn cơng bên ngồi, tính sẵn sàng của thiết bị, tài nguyên của hệ thống,


v.v… Một trong những giải pháp hữu hiệu nhất để giải quyết vấn đề này là thực
hiện triển khai giải pháp giám sát mạng và ứng phó sự cố, dựa trên những thơng
tin thu thập được thơng qua q trình giám sát, các nhân viên quản trị mạng có
thể phân tích, đưa ra những đánh giá, dự báo, giải pháp nhằm giải quyết những
vấn đề trên. Để thực hiện giám sát mạng có hiệu quả, một chương trình giám sát
phải đáp ứng được các u cầu sau: phải đảm bảo chương trình ln hoạt động,
tính linh hoạt, chức năng hiệu quả, đơn giản trong triển khai, chi phí thấp. Hiện
nay, có khá nhiều phần mềm hỗ trợ việc giám sát mạng có hiệu quả như Nagios,
Zabbix, Zenoss, Cacti, …
Đề tài “Nghiên cứu về Security Onion trong giám sát an ninh mạng” được
lựa chọn thực hiện với mục tiêu nghiên cứu, tìm hiểu về một giải pháp giám sát
mã nguồn mở giúp cho mọi người có cái nhìn tổng quan về một hệ thống giám sát
mạng hồn chỉnh, đồng thời trình bày về cách thức áp dụng giải pháp này vào
hoạt động giám sát hệ thống.

- ii -


MỤC LỤC
LỜI NÓI ĐẦU ...................................................................................................... ii
CHƯƠNG 1: TỔNG QUAN VỀ SECURITY ONION ........................................ 1
1.1.

Giới thiệu về Security Onion ................................................................. 1

1.2.

Chức năng cốt lõi................................................................................... 2

1.3.


Công cụ trong Security Onion ............................................................... 2

1.3.1. Cơng cụ phân tích................................................................................ 2
1.3.2. Cơng cụ hiển thị mạng ........................................................................ 4
1.4.

SGUIL trong Security Onion ................................................................ 4

1.4.1. Giới thiệu ............................................................................................. 4
1.4.2. Kiến trúc .............................................................................................. 5
CHƯƠNG 2: TRIỂN KHAI HỆ THỐNG ............................................................ 7
2.1.

Chuẩn bị................................................................................................. 7

2.2.

Thực nghiệm triển khai ......................................................................... 7

2.2.1. Cài đặt cơng cụ Security Onion .......................................................... 7
2.2.2. Cấu hình Security Onion ................................................................... 12
2.2.3. Thực hiện tấn cơng và phân tích cảnh báo ........................................ 19
CHƯƠNG 3: HOẠT ĐỘNG VÀ GIẢI PHÁP ỨNG PHĨ SỰ CỐ SECURITY
ONION TRONG GIÁM SÁT AN TỒN MẠNG............................................. 27
3.1.

Hoạt động giám sát của Security Onion .............................................. 27

3.2.


Phát hiện mạng và các điểm cuối ........................................................ 29

3.2.1. Phát hiện xâm nhập mạng theo quy tắc............................................. 29
3.2.2. Phát hiện xâm nhập mạng theo hướng phân tích (analysis-driven
network intrusion detection) ....................................................................... 31
3.2.3. Giám sát điểm cuối(endpoint) ........................................................... 33
- iii -


3.2.4. Cơng cụ Snort .................................................................................... 35
3.3.

Bắt gói tin ............................................................................................ 37

3.3.1. TCPDump.......................................................................................... 38
3.3.2. Wireshark .......................................................................................... 40
3.4.

Giải pháp để ứng phó sự cố ................................................................. 42

3.4.1. Phát hiện sự cố .................................................................................. 42
3.4.2. Phân tích sự cố .................................................................................. 42
3.4.3. Xác định nguyên nhân ....................................................................... 43
3.4.4. Phân loại và ưu tiên ........................................................................... 43
3.4.5. Đưa ra giải pháp ................................................................................ 43
3.4.6. Kiểm tra và đánh giá ......................................................................... 44
3.4.7. Tài liệu hóa và báo cáo...................................................................... 44
KẾT LUẬN ......................................................................................................... 45
TÀI LIỆU THAM KHẢO ................................................................................... 46


- iv -


CHƯƠNG 1:
1.1.

TỔNG QUAN VỀ SECURITY ONION

Giới thiệu về Security Onion
Security Onion là một bản phân phối Linux mã nguồn mở miễn phí để phát

hiện xâm nhập, giám sát và quản lý nhật ký. Nó bao gồm bộ cơng cụ ELK
(Elasticsearch, Logstash, Kibana), Snort, Suricata, Zeek, Wazuh, Sguil, Squert,
CyberChef, Network Miner và nhiều công cụ bảo mật khác. Trong sơ đồ bên dưới,
chúng ta thấy Security Onion trong mạng doanh nghiệp truyền thống với tường
lửa, máy trạm và máy chủ. Người quản trị có thể sử dụng Security Onion để theo
dõi lưu lượng truy cập từ phía bên ngồi trung tâm dữ liệu để phát hiện kẻ xâm
nhập một môi trường mạng, thiết lập lệnh và kiểm soát (Command and Control)
hoặc có thể là xâm nhập dữ liệu. Người quản trị cũng có thể muốn theo dõi lưu
lượng truy cập trong một phân vùng để để phát hiện các động thái có nguy cơ từ
bên trong. Do ngày càng nhiều lưu lượng truy nhập trong mạng được mã hóa, việc
khắc phục những điểm mù tới từ việc đó bằng cách bằng khả năng hiển thị bổ
sung dưới dạng chuẩn đoán thiết bị đầu cuối là rất quan trọng. Security Onion có
thể sử dụng được nhật ký (logs) từ các máy chủ và máy trạm, sau đó có thể tìm
kiếm bao qt tồn bộ mơi trường mạng và nhật ký lưu trữ của máy chủ cùng một
lúc.

Sơ đồ hoạt động của SO trong môi trường mạng doanh nghiệp truyền thống


-1-


1.2.

Chức năng cốt lõi

Security Onion là sự kết hợp liền mạch ba chức năng cốt lõi bao gồm: chụp toàn
bộ gói tin, hệ thống phát hiện xâm nhập dựa trên mạng/điểm cuối và cơng cụ phân
tích.
− Chụp tồn bộ gói:

Trong Security Onion việc thực hiện chụp tồn bộ gói được thực hiện thông
qua netsniff-ng. Netsniff-ng nắm bắt tất cả lưu lượng truy cập mạng mà
cảm biến của Security Onion nhìn thấy và lưu trữ nhiều nhất có thể.
− Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mạng/điểm cuối:

Hệ thống phát hiện xâm nhập dựa trên mạng và dựa trên điểm cuối (IDS)
phân tích lưu lượng mạng hoặc hệ thống, đồng thời cung cấp dữ liệu nhật
ký và cảnh báo cho các sự kiện và hoạt động được phát hiện.
− Cơng cụ phân tích

Với tính năng chụp gói đầy đủ, nhật ký IDS và dữ liệu Bro, có một lượng
dữ liệu khổng lồ trong tầm tay của nhà phân tích. Security Onion tích hợp
các cơng cụ như Sguil, Squert, Kibana, CapMe để giúp nhà phân tích hiểu
rõ những dữ liệu này.
1.3.

Công cụ trong Security Onion
Security Onion là một mơi trường tích hợp được thiết kế với mục đích đơn


giản hóa việc triển khai giải pháp NSM tồn diện. Các công cụ được cài đặt và
liên kết với nhau một cách tự động và chặt chẽ, giúp người dùng có thể triển khai
hệ thống NSM một cách dễ dàng mà không cần mất quá nhiều thời gian và công
sức của mình để tìm hiểu, nghiên cứu biện pháp tích hợp và ghép nối các công cụ
lại với nhau trên một nền tảng.
1.3.1. Cơng cụ phân tích
Đa phần cơng cụ phân tích được tích hợp trong Security Onion được sử
dụng trên trình duyệt. Mặc định Security Onion sử dụng trình duyệt Chromium.
Các trình duyệt khác có thể hoạt động, tuy nhiên theo khuyến cáo nên sử dụng
các trình duyệt dựa trên chromium để có khả năng tương thích tốt nhất.
-2-


− Kibana: là một giao diện người dùng mã nguồn mở miễn phí, cho phép trực

quan hóa dữ liệu trong Elasticsearch và điều hướng Elastic Stack.
− CapMe: là một giao diện web cho phép xem bản ghi PCAP được hiển thị

dưới dạng tcpflow, xem bản ghi PCAP được hiển thị bằng Bro, tải xuống
một PCAP.
− CyberChef: một ứng dụng web trực quan, đơn giản để thực hiện tất cả các

hoạt động “cyber” trong một trình duyệt web. Các hoạt động này bao gồm
mã hóa đơn giản như XOR và Base64, mã hóa phức tạp hơn như AES,
DES, tạo nhị phân, hexdumps, giải nén dữ liệu, tính tốn băm, v.v… Cơng
cụ này được thiết kế để cho phép các nhà phân tích kỹ thuật và phi kỹ thuật
thao tác dữ liệu theo những cách phức tạp mà không cần phải xử lý các
cơng cụ hoặc thuật tốn phức tạp.
− Squert: một ứng dụng web được sử dụng để truy vấn và xem dữ liệu sự kiện


được lưu trữ trong cơ sở dữ liệu Sguil (thường là dữ liệu cảnh báo IDS).
Squert là một công cụ trực quan cố gắng cung cấp ngữ cảnh bổ sung cho
các sự kiện thông qua việc sử dụng siêu dữ liệu, biểu diễn chuỗi thời gian
và tập kết quả có trọng số và nhóm hợp lý.
− Sguil: được xây dựng bởi các nhà phân tích an ninh mạng. Thành phần

chính của Sguil là GUI trực quan cung cấp quyền truy cập và các sự kiện
thời gian thực, dữ liệu phiên và các bản ghi gói thơ. Sguil tạo điều kiện
thuận lợi cho việc thực hành giám sát an ninh mạng và phân tích theo hướng
sự kiện.
− NetworkMiner: một cơng cụ phân tích mã nguồn mở. NetworkMiner có thể

được sử dụng như một cơng cụ thu thập gói/dị tìm mạng thụ động để phát
hiện hệ điều hành, phiên, tên máy chủ, các cổng đang mở, v.v.. mà không
đặt tạo ra bất kỳ lưu lượng mạng nào trên mạng. NetworkMiner cũng có
thể phân tích tệp PCAP để phân tích mạng ngoại tuyến và tái tạo/tập hợp
lại các tệp và chứng chỉ đã truyền từ tệp PCAP.
− Wireshark: một trình phân tích giao thức mạng hàng đầu và được sử dụng

rộng rãi trên thế giới. Nó cho phép xem những gì đang xảy ra trên mạng ở
-3-


cấp độ vi mô. Sự phát triển mạnh mẽ của Wireshark là nhờ sự đóng góp
tình nguyện của các chun gia mạng trên toàn cầu và là sự tiếp nối của
một dự án do Gerald Combs bắt đầu vào năm 199.
1.3.2. Công cụ hiển thị mạng
− Snort: là một hệ thống ngăn chặn xâm nhập mã nguồn mở (IPS) hàng đầu


trên thế giới. Snort sử dụng một loạt các quy tắc giúp xác định hoạt động
mạng độc hại và sử dụng các quy tắc đó để tìm các gói phù hợp với chúng
và tạo cảnh báo cho người dùng. Snort cũng có thể được triển khai nội tuyến
để dừng các gói này. Snort có ba mục đích sử dụng chính: như một trình
kiểm tra gói như tcpdump, như một trình ghi gói - rất hữu ích cho việc gỡ
lỗi lưu lượng mạng hoặc nó có thể được sử 11 dụng như một hệ thống ngăn
chặn xâm nhập mạng toàn diện. Snort có thể được tải xuống và định cấu
hình để sử dụng cho mục đích cá nhân và doanh nghiệp.
− Suricata: Suricata là công cụ phát hiện mối đe dọa mã nguồn mở độc lập

hàng đầu. Bằng cách kết hợp phát hiện xâm nhập (IDS), ngăn chặn xâm
nhập (IPS), giám sát an ninh mạng (NSM) và xử lý PCAP, Suricata có thể
nhanh chóng xác định, ngăn chặn và đánh giá ngay cả những cuộc tấn công
tinh vi nhất. - Zeek (Bro): Zeek là một khung phân tích mạng mạnh mẽ
khác nhiều so với IDS thơng thường mà bạn có thể biết. (Zeek là tên mới
của hệ thống Bro). Zeek là một cơng cụ phân tích lưu lượng mạng mã nguồn
mở thụ động. Nhiều nhà khai thác sử dụng Zeek như một trình giám sát an
ninh mạng (NSM) để hỗ trợ điều tra hoạt động đáng ngờ hoặc độc hại. Zeek
cũng hỗ trợ một loạt các nhiệm vụ phân tích lưu lượng ngoài miền bảo mật,
bao gồm đo lường hiệu suất và khắc phục sự cố.
1.4.

SGUIL trong Security Onion

1.4.1. Giới thiệu
Sguil là một bộ phần mềm mã nguồn mở NSM (Network Security
Monitoring) được viết bởi Bamm Visscher. Sguil được sử dụng để giám sát an

-4-



tồn mạng và phân tích các sự kiện dựa trên các cảnh báo IDS. Sguil client được
viết bằng ngôn ngữ Tcl/Tk kết hợp cùng cơ sở dữ liệu MySQL.

Hình 1.1. Giao diện Sguil 0.9.0

1.4.2. Kiến trúc
Hệ thống Sguil bao gồm một Sguil server duy nhất và một số lượng tùy ý
các Sguil sensor. Các sensor thực hiện tất cả các nhiệm vụ giám sát bảo mật và
cung cấp thông tin trở lại server một cách thường xuyên. Sguil server điều phối
thông tin này, lưu trữ chúng trong cơ sở dữ liệu và giao tiếp với các client thông
qua bảng điều khiển
Chức năng của từng thành phần trong hệ thống Sguil:
− Sensor

+ Phát hiện các sự kiện trên mạng
+ Tải lên số liệu thống kê về phiên và quét cổng
+ Ghi lại tất cả lưu lượng mạng
− Server

+ Nhận cảnh báo và thống kê từ sensor
+ Gửi cảnh báo và dữ liệu khác tới bảng điều khiển
+ Nhận yêu cầu từ bảng điều khiển
-5-


+ Theo dõi trạng thái cảnh báo
− Console

+ Phân tích và phân loại cảnh báo


Hình 1.2. Mơ hình kiến trúc Sguil

-6-


CHƯƠNG 2:
2.1.

TRIỂN KHAI HỆ THỐNG

Chuẩn bị

− 01 máy Window Server 2008
− 01 máy ảo chạy hệ điều hành Kali Linux kết nối cùng với LAN của

Windows Server để thực hiện xâm nhập mạng.
− 01 máy chủ cài đặt công cụ Security Onion để giám sát mạng.
2.2.

Thực nghiệm triển khai

Hình 2.1. Mơ hình hệ thống

2.2.1. Cài đặt cơng cụ Security Onion
Bấm chọn New Virtual Machine để tạo một máy ảo mới, sau đó thêm file ISO và
bấm Next để tiếp tục:

-7-



Chọn hệ điều hành Linux và version Ubuntu sau đó bấm Next để tiếp tục:

Đặt tên cho máy ảo tại mục name và chọn đường dẫn tại mục location:

Cài đặt các thông số cho máy ảo và bấm Close để kết thúc q trình tạo mới.
Giao diện chính xuất hiện, chọn Install để chuyển đến giao diện cài đặt.
-8-


Chọn ngôn ngữ cài đặt là English, chọn Next để tiếp tục.

Thiết lập loại cài đặt, tại đây chọn Erase disk and install Security Onion (dọn dẹp
ổ đĩa và cài đặt Security Onion). Bấm chọn Install Now để cài đặt ngay.

-9-


Giao diện tiếp theo lựa chọn loại bàn phím English (US):

Đặt tên máy và mật khẩu thích hợp, chọn Require my password to log in để yêu
cầu mật khẩu mỗi lần đăng nhập:

- 10 -


Giao diện cài đặt xuất hiện như hình sau: quá trình cài đặt mất vài phút

Q trình cài đặt hồn tất, thoát khỏi cửa sổ cài đặt. Bấm chọn Restart Now để
khởi động lại và lưu lại tồn bộ thơng số trong quá trình cài đặt.


- 11 -


Q trình cài đặt thành cơng.

2.2.2. Cấu hình Security Onion
Bấm chọn Set up icon để bắt đầu quá trình cấu hình :
Giao diện cấu hình như sau, xuất hiện các công cụ được hỗ trợ trong bộ công cụ
Security Onion. Bấm Yes và tiếp tục.

Tại bước này bỏ qua việc cấu hình mạng bằng cách chọn Yes, skip network
configuration.
- 12 -


Giao diện tiếp theo lựa chọn chế độ, chọn chế độ Production Mode (cấu hình bằng
tay thay vì cấu hình tự động).

Bấm chọn New để tạo mới máy chủ Security Onion:

- 13 -


Tạo tài khoản để đăng nhập vào các dịch vụ Kibana, Squert, Sguil trong Security
Onion với tên là kma3:

Thiết lập mật khẩu cho tài khoản đăng nhập trên, yêu cầu mật khẩu với độ dài tối
thiếu là 6 ký tự. Thực hiện xác nhận lại mật khẩu ở bước sau:
- 14 -



Giao diện tiếp theo lựa chọn bộ luật IDS mong muốn sử dụng, chọn Emerging
Threats Open (các mối đe dọa mới):

Tiếp theo chọn IDS engine, tại bước trên chọn luật Emerging Threats sẽ chọn
engine là Suricata:

- 15 -


- 16 -


Cài đặt định dạng IP cho HOME_NET (có thể để mặc định). Sau đó click chọn
“OK”

- 17 -


Nhập dung lượng không gian lưu trữ (GB), tối thiểu 19GB, sau đó nhấp “OK”

- 18 -


2.2.3. Thực hiện tấn cơng và phân tích cảnh báo
Khởi động máy Kali Linux và Win server 2008, thiết lập địa chỉ IP. Từ máy
attacker Kali thực hiện tấn công metaspolit đến máy victim windows server, sử
dụng công cụ Sguil để thu thập và phân tích các cảnh báo.
Đăng nhập bằng tài khoản và mật khẩu đã cấu hình vào Sguil trên giao diện

Security Onion.

Chọn vùng mạng cần giám sát, ở đây thiết lập card mạng ens33. Tích chọn Start
SGUIL để đi đến giao diện giám sát.

- 19 -


Thực hiện ping kiểm tra kêt nối từ máy attacker tới máy win server 2008.
Theo dõi cảnh báo trên Sguil.

Quá trình ping thực hiện 6 gói tin đồng thời trên Sguil cũng hiển thị được gói tin
này và đếm được đúng 6 gói tin với thời gian thực:

• Tại gói ICMP thấy địa chỉ IP nguồn và địa chỉ IP đích được hiển thị với
Protocol = 1 (ICMP).
• Có Event Message là GPL đây là luật cảnh báo cũ của Snort, phía sau là
tên đính kèm cảnh báo
- 20 -


Khi trỏ tới gói ICMP, Sguil hiển thị ra một vùng hiển thị chi tiết gói tin đó:
Tích Show Packet Data và Show Rules để xem chi tiết.

• Phía trên cùng là các luật: ở đây là luật cảnh báo ICMP (alert icmp)
• Phía dưới là thơng tin của IP Header được chỉ ra như Version = 4,
HeaderLength = 5, Time to live = 64 chỉ ra hệ điều hành Linux.
• Tiếp theo là thơng tin kiểu thơng báo ICMP: với code 0 và type =8 tức là
kiểu Echo Request
• Phần còn lại là Data 56 byte

Thực hiện dò quét cổng trên máy Attacker tới máy Win server bằng nmap.

- 21 -


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×