HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
----------

Phonthip PHOMMACHAN

NGHIÊN CỨU LỰA CHỌN GIẢI PHÁP CÔNG NGHỆ CHO
HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG NỘI BỘ NIX
CỦA TRUNG TÂM INTERNET QUỐC GIA LÀO

Chun ngành: KHOA HỌC MÁY TÍNH
Mã số: 8.48.01.01
TĨM TẮT ĐỀ ÁN TỐT NGHIỆP THẠC SĨ
(Theo định hướng ứng dụng)

HÀ NỘI - 2023

Đề án tốt nghiệp được hoàn thành tại:
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG


2

5


1

MỞ ĐẦU
1.

TÍNH CẤP THIẾT CỦA ĐỀ TÀI

Internet tại Lào đang trên đà phát triển mở rông ra khắp vùng miền cả nước và tiến

10

dần hội nhập với khu vực và thế giới. Bên cạnh sự bùng nổ của cuộc cách mạng công
nghiệp 4.0 trên mọi lĩnh vực trong xã hội, trong đó ngành Internet có đóng vai rất quan
trong là trò mũi nhọn để thúc đẩy việc phát triển kinh tế - xã hội tiến nhanh hơn. Do vậy,
Lào cũng không thể tránh khỏi những nước mục tiêu của nhiều kẻ tấn công không gian
mạng hiện nay, những hậu quả sẽ gây ảnh hưởng rất lớn đến nền tảng phát triển kinh tế-xã

15

hội. Internet của Lào đang triển khai khắp vùng miền cả nước, bên cạnh đó việc bảo đảm an
tồn thơng tin trên mạng cũng là một vấn đề khá phức tạp. Các cuộc tấn công không gian
mạng càng ngày có quy mơ lớn và mức độ càng nguy hiểm hơn và được chuẩn bị kỹ lưỡng.
Mục tiêu tấn cơng khơng chỉ nhằm vào các cá nhân nào đó mà cịn hướng tới các tập đồn
doanh nghiệp lớn hay các hệ thống thông tin quan trọng của cơ quan nhà nước. Trung tâm

20

Inetnet Quốc gia Lào (LANIC - Lao National Internet Center) có vai trị cung cấp dịch
vụ Internet cho các hệ thống thông tin tại Lào và kết nối Internet quốc tế. Hệ thống
giám sát an toàn mạng (HTGSATM) có khả năng theo dõi thời gian thực tồn hệ thống
và có thể phát hiện ra các cuộc tấn cơng xảy ra từ bên ngồi hay bên trong hệ thống mạng
nội bộ NIX (National Internet Exchange) của LANIC. Do đó, người quản trị mạng có thể

25

phát hiện được hệ thống của mình đang bị sự cố hay bị kẻ tấn cơng cố xâm nhập vào hệ
thống và sau đó sẽ có giải pháp khắc phục ngăn chặn kịp thời.

Do em đang công tác tại LANIC và từ nhu cầu thực tế cần nghiên cứu giải pháp công
nghệ để xây dựng một HTGSATM cho NIX, em chọn đề tài: “Nghiên cứu lựa chọn giải
pháp công nghệ cho hệ thống giám sát an toàn mạng nội bộ NIX của Trung tâm Internet

30

Quốc gia Lào”. Hệ thống cần theo dõi được thời gian thực, giúp người quản trị có thể biết
được hệ thống của mình đang bị sự cố để có giải pháp khắc phục kịp thời.
2.

MỤC ĐÍCH NGHIÊN CỨU
Tìm hiểu và nắm bắt các giải pháp phát hiện cuộc tấn công mạng, nội dung đề
cương sẽ tập trung nghiên cứu khảo sát vấn đề tấn công mạng và lựa chọn giải pháp

35

công nghệ phát hiện bao gồm:
1) Nghiên cứu, khảo sát tổng quan về hệ thống mạng nội bộ NIX, vấn đề tấn công
mạng, kiến trúc HTGS ATM;


2

2) Nghiên cứu các thành phần kiến trúc HT GS ATM;

3) Nghiên cứu lựa chọn giải pháp công nghệ trong triển khai HT GS ATM cho mạng
40

NIX của Trung tâm Internet QG Lào.
3.


ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU
Về đối tượng, phạm vi nghiên cứu:
1) Đối tượng nghiên cứu: Các giải pháp công nghệ cho HT GSATM;
2) Phạm vi nghiên cứu: Giải pháp thu thập thông tin, giải pháp phát hiện bất thường, giải

45

pháp kiến trúc hệ thống.

4.

PHƯƠNG PHÁP NGHIÊN CỨU
1) Về mặt lý thuyết: Thu thập, khảo sát, phân tích các tài liệu và thơng tin có liên

quan vấn đề an toàn mạng.
2) Về mặt thực nghiệm: Khảo sát thực tế tại Trung tâm Internet Quốc gia Lào và

50

đề xuất giải pháp bảo mật mạng nội bộ NIX.

5.

Ý NGHĨA KHOA HỌC VÀ THỰC TIỄN CỦA ĐỀ TÀI
Hệ thống giám sát an tồn mạng có vai trị rất quan trọng cho việc quản lý phát hiện ra các

sự cố hoặc cuộc tấn công mạng nội bộ NIX để đảm bảo sự an tồn thơng tin cho các cơ quan, tổ
chức và các doanh nghiệp.


55

Nó góp phần làm giảm thối thiểu các nguy cơ, các mối nguy hại, xâm nhập từ bên trong
hoặc bên ngồi, từ đó giúp người quản trị có các phương án phát hiện, ngăn chặn kịp thời.

6.

KẾT CẤU CỦA ĐỀ TÀI
Ngoài các phần mở đầu, kết luận và tài liệu tham khảo, nội dung đề án tốt nghiệp gồm 3

chương:

60

Chương 1: Khái quát về mạng nội bộ NIX và vấn đề giám sát an toàn mạng.
Chương 2: Các thành phần của hệ thống giám sát an toàn mạng.
Chương 3: Nghiên cứu lựa chọn giải pháp công nghệ rong triển khai hệ thống giám sát an toàn
mạng cho mạng nội bộ NIX của Trung tâm Internet Quốc gia Lào.

65

Chương I: KHÁI QUÁT VỀ MẠNG NỘI BỘ NIX VÀ VẤN ĐỀ GIÁM SÁT AN
TỒN MẠNG.
Nội dung chương 1 trình bày tóm tắt về kiến trúc hệ thống mạng nội bộ NIX và các
nguy cơ tấn công, một số loại tấn cơng điển hình và phổ biến nhất, đồng thời chỉ ra nhu cầu
xây dựng HTGSATM cho mạng nội bộ NIX của Trung tâm Internet Quốc gia Lào.


3


1.1 Khái quát về kiến trúc mạng nội bộ NIX của LANIC.
70

Hệ thống mạng của Trung tâm Inetnet Quốc gia Lào kết nối các nhà cung cấp
dịch vụ Internet Quốc tế với các nhà cung cấp dịch vụ Internet tại Lào thông qua trạm
cửa ngõ quốc tế (IIG - International Internet Gateway), đồng thời kết nối các cơ quan
Nhà nước và các nhà mạng Internet nội bộ qua mạng nội bộ (gọi là National Internet
Exchange NIX). Kiến trúc hệ thống mạng nội bộ NIX của Trung tâm Internet Quốc gia

75

Lào được mơ tả trên hình 1.1 gồm các thành phần sau:
Hệ thống cơ quan Nhà Nuốc

IIG

NIX Core Switch

Nhà dịch vụ Internet

Các ISPs tại Lào

Hình 1.1: Kiến trúc hệ thống mạng nội bộ NIX của Lào



Hệ thống của trung tâm Lao National Internet Center (LANIC) bao gồm các thiết
cốt lõi trong hệ thống hạ tầng mạng Lào đã kết nối Internet. Hệ thống mạng quốc

80


gia bao gồm các bộ Router, Core Switch và Firewall.


Hệ thống Router được kết nối ra Internet với các nước láng giềng như: Việt Nam,
Thái Lan, Trung Quốc, và các thiết bị đặt tại trung tâm tạo thành International
Internet Gateway, thực hiện kiểm soát cổng kết nối vào/ra Internet.


85

Hệ thống Core Switch là hệ thống kết nối nội bộ của trung tâm và các cơ quan nhà
nước, các nhà dịch vụ Internet được gọi là National Internet Exchange, thục hiện
kiểm soát cổng kết nối vào/ra Internet nội bộ.



Hệ thống Firewall là hệ thống kiểm tra và ngăn chặn những dấu hiệu của cuộc tấn
công từ bền ngoại và bên trong mạng, thực hiện ngăn chặn vào/ra Internet.


90

Hệ thống hạ tầng mạng của trung tâm được kết nối với các ISP (Internet Service
Provider) trong nước và hiện tại có 6 Nhà cung cấp dịch vụ Internet kết nối vào hạ
tầng mạng của trung tâm bao gồm: LTC, ETL, Unitel, Plannet, Best Telecom và
LaoSat. Ngoại ra các ISP lớn cịn có các cơ quan nhà nước đã kết nối với trung tâm
LANIC.



4

1.2 Một số loại tấn cơng điển hình trong mạng nội bộ.
1.2.1 Khái niệm, đối tượng và mục đích tấn cơng mạng.

95

1. Tấn cơng mạng là gì?
2. Tại sao các cuộc tấn công mạng xảy ra?
3. Các cuộc tấn công mạng hoạt động như thế nào?
4. Mục đích tấn cơng mạng là gì?

1.2.2 Các giai đoạn của quá trình tấn công mạng.

100

1. Trinh sát (Reconnaissance).
2. Quét (Sacnning).
3. Đạt được quyền truy cập (Gaining Access)
4. Duy trì quyền truy cập (Maintaining Access)
105

5. Xóa dấu vết (Clearing Tracks).

1.2.3 Các loại tấn cơng mạng điển hình và phổ biến nhất.
1. Phần mềm độc hại (Malware).
2. Lừa đảo (Phishing).
3. SMiShing (còn được gọi là SMS lừa đảo).
110


4. Man-in-the-middle.
5. Tấn công DDoS.
6. Tấn công SQL injection.
7. Khai thác zero-day.
8. Domain name system tunneling.

115

9. Drive-by download.
10. Credential-based attacks.
11. Credential stuffing.
12. Brute-force attack.

1.3 Nhu cầu và vai trị của hệ thống giám sát an tồn mạng.
120

Bảo đảm an tồn mạng cho hạ tầng cơng nghệ thơng tin cần đạt được ba yêu cầu sau:
‒

Confidentiality: Tính bảo mật thơng tin.

‒

Integrity: Tính tồn vẹn của thơng tin


5

‒


Availability: Tính sẵn sàng của thơng tin.
Để đáp ứng được ba yêu cầu trên, trong việc thiết kế và xây dựng một HTGSATM

125

cho mạng nội bộ NIX của Lào là hết sức cần thiết và có tính cấp bách, vai trị của hệ thống
giám sát đó có những chức năng chính như sau:

130

‒

Khả năng theo dõi: Các thiết bị trong hệ thống.

‒

Khả năng phát hiện: Những hành động bất thường của hệ thống.

‒

Khả năng thu thập: Những sự kiện của các thiết bị.

‒

Khả năng phân tích: Dữ liệu thu thập được từ hệ thống.

‒

Kản năng cảnh báo: Đưa ra cho người quản trị hệ thống.
Do vậy, cần có khảo sát mơ hình kiến trúc và các thành phần của HTGSATM, các


chức năng tối thiểu cần có, các giải pháp giám sát phát hiện tấn công và phát hiện bất
thường cơ bản nhằm triển khai được trong một mạng nội bộ NIX cho LANIC của Lào.
135

1.4 Kết luận chương.
Nội dung chương 1 đã nêu lên được khái quát về mạng nội bộ NIX của LANIC và
vấn đề giám sát an toàn mạng cho NIX. Các nội dung cụ thể đã trình bày gồm: Mơ hình
kiến trúc khái qt của mạng nội bộ NIX và vị trí của nó trong hệ thống LANIC; Khái quát
về tấn công, một số loại tấn công điển hình trong mạng nội bộ; Nhu cầu và vai trị của hệ

140

thống giám sát an tồn mạng NIX tại hệ thống trung tâm LANIC.
Chương tiếp theo sẽ giới thiệu về mơ hình kiến trúc hệ thống giám sát an tồn mạng
nội bộ; trình bày các thành phần hệ thống, các chức năng tối thiểu của hệ thống, kỹ thuật
theo dõi, phát hiện xâm nhập, đưa ra cảnh báo trong hệ thống, giám sát lưu lượng mạng,
một số phương pháp phát hiện lưu lượng bất thường và mơ hình điển hình cho phát hiện lưu

145

lượng bất thường.

Chương II: CÁC THÀNH PHẦN CỦA HỆ THỐNG GIÁM SÁT AN TOÀN
MẠNG.
Nội dung chương 2 sẽ giới thiệu về các thành phần, kiến trúc hệ thống, kỹ thuật theo
dõi, phát hiện xâm nhập, cảnh báo của một hệ thống giám sát mạng, vấn đề giám sát lưu
150

lượng mạng, tấn cơng. Chương này có đi sâu tìm hiểu một số phương thức và kỹ thuật thu

thập thơng tin dựa vào trích xuất gói tin thường gặp đồng thời có mơ tả một số phương
pháp, mơ hình phát hiện lưu lượng bất thường và kết nối bất thường.


6

2.1 Khái qt mơ hình kiến trúc hệ thống giám sát an toàn mạng.
2.1.1 Khái quát về khung kiến trúc hệ thống giám sát.
155

Công nghệ quản lý sự kiện và thông tin bảo mật SIEM (Security information and
event management) hỗ trợ phát hiện mối đe dọa, tuân thủ và quản lý sự cố bảo mật thông
qua việc thu thập và phân tích (cả gần thời gian thực và lịch sử) các sự kiện bảo mật, cũng
như nhiều nguồn dữ liệu theo ngữ cảnh và sự kiện khác. Các khả năng cốt lõi là phạm vi
rộng của việc thu thập và quản lý sự kiện nhật ký, khả năng phân tích các sự kiện nhật ký và

160

dữ liệu khác trên các nguồn khác nhau cũng như các khả năng vận hành (chẳng hạn như
quản lý sự cố, bảng điều khiển và báo cáo).


Các yếu tố cơ bản của việc giám sát an toàn mạng

Việc giám sát đạt được hiệu quả cao phải xác định được những yếu tố sau:
‒
165

Xác định đơn vị đó cần giám sát có hệ thống, thiết bị, hệ điều hành và dịch vụ như
thế nào cần giám sát.


‒

Xác định các thiết bị cốt lõi và các thiết bị khác có liên quan trong hệ thống của
họ và đưa ra giải pháp giám sát.

‒

Xác định các phần mềm quan trong trong hệ thống đó cần giám sát .

‒

Xác định các công cụ hỗ trợ của họ và đưa ra giải pháp phân tích hợp.Ví dụ các

170

cơng cụ NMAP, TCPDUMP, Wireshark, Nessus...
‒

Yếu tố con người cũng rất quan trọng trong hệ thống giám sát an toàn mạng.

 Các giải pháp cơng nghệ giám sát an tồn mạng
‒

Giải pháp tập trung thu thập và lưu trữ dữ liệu nhật ký.

‒

Giải pháp phân tích và xử lý dữ liệu nhật ký mà thu thập được và đưa ra cảnh báo


175

cho người quản trị mạng.
‒

Giải pháp quản lý gồm cả hai giải pháp trên nhằm khắc phục những vấn đề hạn chế
vốn có.

Hình 2.1: Mơ hình khung kiến trúc hệ thống giám sát an toàn mạng


7

180

2.1.2 Thành phần trung tâm của hệ thống giám sát an toàn mạng;
 Quản lý dữ liệu nhật ký và dữ liệu sự cố.
 Tương quan sự kiện và phân tích.
 Giám sát sự cố và cảnh báo an ninh.

2.1.3 Kết nối giữa các thành phần hệ thống.
185

2.1.4 Các thành phần phát hiện và ngăn chặn tấn công.
2.2 Các chức năng chủ yếu của hệ thống giám sát an toàn mạng.
2.2.1 Bốn chức năng hoạt động thiết yếu.
Thu thập dữ liệu

Phát hiên


Phân tích

Cảnh báo

Hình 2.2: Hoạt động thiết yếu của hệ thống giám sát an toàn mạng

190

2.2.2 Các chức năng chủ yếu của hệ thống giám sát an toàn mạng.
a) Thu thập dữ liệu (Collection)

195

‒

Xác định các điểm yếu còn tồn tại trong hệ thống đã giám sát.

‒

Xác định các nguy cơ xảy ra tấn công mạng.

‒

Xác định nguồn dữ liệu có liên quan.

‒

Tinh chế nguồn dữ liệu thu thập được.

‒


SPAN Port để thu thập dữ liệu gói tin từ các vị trí giám sát trên mạng.

‒

Xây dựng cơ sở dữ liệu (SAN) cho lưu giữ nhật ký .

‒

Cấu hình các phần cứng và phần mềm đã thu thập được.

b) Phát hiện (Detection)
200

c) Phân tích dữ liệu (Analysis)
Phân tích dữ liệu có thể được thực hiện với các nhiệm vụ sau:


‒

Phân tích gói tin đã thu được.

‒

Phân tích tình trạng mạng.

‒

Phân tích tình trạng máy chủ.



8

5

‒

205


Phân tích sự kiện do phần mềm độc hại gây ra.

Việc phân tích được dựa trên các loại log chính trong hệ thống như sau:
‒

Application log: Nhật ký ứng dụng, các sự kiện được ứng dụng ghi lại.

‒

System log: Nhật ký hệ thống, các sự kiện được hệ điều hành ghi lại.

‒

Security log: Nhật ký bảo mật, các sự kiện liên quan đến bảo mật, bao gồm

210

các lần thử đăng nhập hoặc xóa tệp.

215


‒

Directory service log: Nhật ký dịch vụ thư mục.

‒

DNS server log: Nhật ký máy chủ DNS, ghi lại hoạt động DNS.

‒

File replication service log: Nhật ký dịch vụ sao chép tệp.

‒

Log Access: Ghi lại thông tin truy cập của người dùng tới hệ thống.

‒

Log Event: Ghi lại chi tiết những sự kiện xảy ra trong hệ thống.

‒

Log Device: Ghi lại tình trạng hoạt động của các thiết bị phần cứng và
phần mềm.

d) Cảnh báo (Alert)

2.2.3 Các kỹ thuật phát hiện.
220


 Công nghệ phát hiện mối đe dọa sự kiện bảo mật để tổng hợp dữ liệu từ các sự
kiện trên toàn mạng, bao gồm xác thực, truy cập mạng và nhật ký từ các hệ
thống quan trọng.
 Công nghệ phát hiện mối đe dọa mạng để hiểu các mẫu lưu lượng truy cập trên
mạng và giám sát lưu lượng truy cập mạng, cũng như với internet.

225

 Công nghệ phát hiện mối đe dọa điểm cuối để cung cấp thông tin chi tiết về các
sự kiện độc hại có thể xảy ra trên máy người dùng, cũng như mọi thông tin hành
vi hoặc pháp y để hỗ trợ điều tra các mối đe dọa.

2.2.4 Các kỹ thuật phân tích.

230

Các sự kiện nhật ký chung liên quan đến bảo mật

‒

Báo cáo từ phần mềm chống vi-rút rằng thiết bị bị nhiễm phần mềm độc hại.

‒

Báo cáo từ tường lửa về lưu lượng truy cập đến/từ một địa chỉ mạng bị cấm.

‒

Cố gắng truy cập một hệ thống quan trọng từ một máy chủ hoặc địa chỉ IP

không xác định.

235

‒

Các lần truy cập hệ thống quan trọng không thành công.

‒

Thay đổi đặc quyền người dùng.


9

‒

Sử dụng các giao thức/cổng khơng an tồn hoặc bị cấm.

 Các sự cố bảo mật chung

240

‒

Email độc hại được người dùng tổ chức nhận và kích hoạt.

‒

Trang web độc hại được người dùng tổ chức truy cập.


‒

Việc sử dụng không đúng cách hoặc bị cấm bởi người dùng được ủy quyền.

‒

Truy cập trái phép.

‒

Cố gắng thỏa hiệp, từ chối quyền truy cập hoặc xóa hệ thống của tổ chức.

‒

Mất hoặc trộm thiết bị, chẳng hạn như máy tính xách tay của nhân viên, máy
chủ.

245

‒

Rò rỉ dữ liệu hoặc bị nhiễm phần mềm độc hại qua phương tiện di động.

 Phân tích nhật ký

2.2.5 Cảnh báo của hệ thống giám sát an toàn mạng.
2.3 Kiến trúc hệ thống thu thập thơng tin.
2.3.1 Kiến trúc hệ thống.


250
Hình 2.4: Kiến trúc hệ thống thu thập dữ liệu

1. Thông qua một tác nhân được cài đặt trên thiết bị (phương pháp phổ biến nhất).
2. Bằng cách kết nối trực tiếp với thiết bị bằng giao thức mạng hoặc lệnh gọi API.
3. Bằng cách truy cập tệp nhật ký trực tiếp từ bộ lưu trữ, thường ở định dạng Nhật
255

ký hệ thống.
4. Thông qua một giao thức truyền phát sự kiện như SNMP, Netflow hoặc IPFIX.

2.3.2 Các thiết bị phục vụ thu thập mẫu, thu thập thông tin.
 Thiết bị Switch:
 SPAN Port:
260

 Network Tap:
 Inline Device:


10

2.3.3 Các module cơ bản.


Module bắt giữ gói tin (Sensor)



Module phân tích, xử lý thơng tin


2.4 Mơ hình và các giải pháp phát hiện tấn công mạng.

265

2.4.1 Một số vấn đề cần quan tâm trong xây dựng mơ hình và lựa chọn giải
pháp.

270

275



Vấn đề phát hiện và kết hợp ngăn chặn



Vấn đề thu thập thơng tin giám sát mạng



Phân tích thông tin thu được



Liên lạc giữa các thành phần hệ thống




Đưa ra cảnh báo



Phản ứng



Thiết lập chính sách cho hệ thống

2.4.2 Một số phương pháp phát hiện bất thường.

Hình 2.8: Kiến trúc hệ thống pháp hiện xâm nhập

2.4.3 Lựa chọn giải pháp phát hiện tấn công trên mạng và trên máy đơn lẻ.
280

‒

Giải pháp giám sát mạng: Nhóm giải pháp này còn được gọi là phát hiện xâm
nhập dựa trên mạng (NIDS - Network-based IDS). Hệ thống sử dụng dữ liệu
trên tồn bộ lưu thơng mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy
trạm để phát hiện xâm nhập.

‒
285

Giải pháp giám sát máy trạm đơn: Nhóm giải pháp này còn được gọi là phát
hiện xâm nhập dựa trên máy trạm đơn (HIDS - Host-based IDS). Hệ thống sử
dụng dữ liệu kiểm tra từ một máy trạm đơn để phát hiện xâm nhập.


2.4.4 Lựa chọn mơ hình phát hiện hành vi bất thường.
290

a.

Nhóm mơ hình dựa trên thống kê

b.

Nhóm mơ hình dựa trên nhận thức hoặc dựa trên tri thức


11

295

c.

Nhóm mơ hình dựa trên khai phá dữ liệu

d.

Nhóm mơ hình dựa trên học máy

e.

Nhóm mơ hình dựa trên nhận dạng ý định của người dùng

f.


Nhóm mơ hình dựa trên miễn dịch máy tính

2.5 Kết luận chương.
Chương hai đã trình bày các thành phần HTGSATM trong hệ thống bao gồm các
thành phần, chức năng chủ yếu và trong phần này cũng nêu rõ các thiết bị cần thiết của hệ
thống giám sát. Ngoài ra cũng đã đưa ra vấn đề thu thập thông tin, và đi sâu về phát hiện
300

tấn công bất thường, nêu một số phương pháp phát hiện bất thường và một số mơ hình điển
hình cho phát hiện lưu lượng bất thường.
Phần tiếp theo sẽ trình bày về vấn đề nghiên cứu lựa chọn giải pháp phù hợp để kiển
khai HTGSATM cho mạng NIX của Lào, mô hình tổng quát cho hệ thống, kiến trúc hệ
thống, sử dụng một số tiện ích phần mềm, demo thử nghiệm đưa ra một số kết quả thử

305

nghiệm hệ thống và giải pháp triển khai áp dụng HTGSATM cho mạng nội bộ NIX tại
Trung tâm Internet Quốc gia Lào.

Chương III: NGHIÊN CỨU LỰA CHỌN GIẢI PHÁP CÔNG NGHỆ TRONG
TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG CHO MẠNG NỘI
BỘ NIX CỦA TRUNG TÂM INTERNER QUỐC GIA LÀO.
310

Chương ba này, tập trung trình bày về HTGSATM cho mạng nội bộ NIX của Lào
và nghiên cứu lựa chọn ra giải pháp phù thập nhất để triển khai hệ thống, và chương này
sẽ tập trung vào hệ thống thu thập thông tin từ mạng, sử dụng một số tiện ích phần mềm,
demo một số kết quả thử nghiệm hệ thống và triển khai áp dụng HTGSATM tại Trung tâm
Internet Quốc gia Lào.


315

3.1 Mô hình tổng qt cho hệ thống giám sát an tồn mạng nội bộ NIX.
Các thành phần chính của mơ hình gồm: khối Console, khối xử lý sự kiện, khối xử lý
luồng tin, khối thu thập sự kiện và khối thu thập luồng tin.


12
EP

FP

FC

EC

Console

NOC
Monitoring

Hệ thống cơ quan Nhà Nuốc

IIG

320

NIX Core Switch


Nhà dịch vụ Internet

Hình 3.1: Mơ hình HTGSATM cho NIX

3.1.1 Các thành phần chính của mơ hình.
a)

CONSOLE

b) EP - EVENT PROCESSOR
c)

325

FP - FLOW PROCESSOR

d) EC - EVENT COLLECTOR
e)

FC - FLOW COLLECTOR

3.1.2 Mơ hình triển khai.

330

‒

Dạng phân tán (Distributed).

‒


Dạng hoạt động độc lập (All in one).

3.1.3 Chức năng chính của hệ thống giám sát.
‒

Các sự kiện an ninh (Security Event): Được sinh ra từ các ứng dụng hoặc thiết
bị như: Nhật ký hệ thống IIS, Firewall, VPN (Virtual Private Network), IDS
(Intrusion Detection System), IPS (Intrusion Prevention System), …

‒

Bối cảnh hoạt động mạng (Network activity context): Tầng 7 bối cảnh ứng
dụng từ lưu lượng mạng và lưu lượng các ứng dụng.

335
‒

Thông tin hệ điều hành: Tên nhà sản xuất và chi tiết về số phiên bản.

‒

Các nhật ký hệ thống ứng dụng: Kế hoạch nguồn lực những đơn vị, cơ quan Nhà
nước hoặc những doanh nghiệp nào đã kết nối tại mạng NIX, quy trình làm
việc, cơ sở dữ liệu ứng dụng, nền tảng quản lý,...


13

340


345

3.2 Hệ thống thu thập thông tin từ mạng.


Thu thập thông tin



Phát hiện các dấu hiệu tấn công dựa trên tập luật



Phát hiện các dấu hiệu bất thường



Giám sát và phân tích lưu lượng trong mạng



Theo dõi tình trạng những ứng dụng dịch vụ trong mạng
FC

Luồng dữ
liệu

EC


CONSOLE

NOC

Monitoring

Log

Luồng dữ liệu

NIX
Log

Log

Log

Hình 3.2: Hệ thống thu thập thông tin

3.3 Lựa chọn giải pháp cơng nghệ cho hệ thống giám sát an tồn mạng.
 Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ và biểu diễn

350

nhật ký.
 Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý các nhật ký đã
được thu thập để đưa ra cảnh báo cho người dùng.

 Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải
pháp trên nhằm khắc phục những hạn chế vốn có.

355

Để đáp ứng được nhu cầu trên, đề án này lựa chọn giải pháp thứ ba “Giải pháp quản
lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai giải pháp quản lý thông tin an ninh
và giải pháp quản lý sự kiện an ninh trên nhằm khắc phục những hạn chế vốn có”.

3.4 Lựa chọn phần mềm nguồn mở cho hệ thống giám sát an toàn mạng.


14

360

Hình 3.3: Phần mềm mã nguồn miễn phí IDS/IPS

3.4.1 Kiến trúc phần mềm Suricata.
Kiến trúc của Suricata gồm 4 phần cơ bản sau:

365

‒

Khối thu tin (Packet Sniffer)

‒

Khối tiền xử lý (Preprocessors)

‒


Khối phát hiện (Detection Engine)

‒

Khối đầu ra (Output): Modul Alert/ Logging. Modul kết xuất thông tin

3.4.2 Chức năng của các thành phần Suricata.


370

Khối thu gói tin và giải mã gói tin (Packet Sniffer / Decoder)

‒

Phân tích mạng và troubleshooting.

‒

Performance network and bench marking.

‒

Nghe lén mật khẩu clear-text và những dữ liệu khác.



Khối tiền xử lý (Preprocessors)




Khối phát hiện (Detection Engine)

Các luật có thể được chia thành 2 phần:
375

‒

Phần Hearder: gồm các hành động (log/alert), loại giao thức (TCP, UDP, ICMP...),
địa chỉ IP nguồn, địa chỉ IP đích và port.

‒


Phần Options: là phần nội dung của gói tin được tạo ra để phù hợp với luật.
Khối cảnh báo / ghi log nhật ký

3.5 Demo thử nghiệm và đánh giá kết quả.
380

3.5.1 Mục tiêu và mơ hình thử nghiệm.


Mục tiêu:
‒

Thực hiện các tính năng phát hiện xâm nhập của IDS Suricata qua nhiều
môi trường khác nhau.

‒

385



Bảo vệ và đồng thời cảnh báo người quản trị server.

Mơ hình:


15

Hình 3.9: Mơ hình hoạt động của suricata

3.5.2 Cài đặt công cụ phần mềm.

390

‒

Phần mềm máy trạm ảo (cài với VMware Workstation)

‒

Máy chủ server Ubuntu.

‒

Phần mềm IDS/IPS Suricata.

‒


Máy trạm sử dụng hệ điều hành Windows để kiểm tra cài đặt phần mềm Nmap.

Các bước triển khai cài đặt hệ thống thử nghiệm như sau:

395

‒

Tải các phần mềm cần thực hiện.

‒

Cài đặt các phần mềm và HĐH hỗ trợ: VMware Workstation 16, Ubuntu
22.04.2 server, phần mềm Suericata-6.0.10 và phần mềm Nmap.



Cài đặt phần mềm Suericata-6.0.10: [15]

sudo apt-get install software-properties-common
sudo add-apt-repository ppa:oisf/suricata-stable
400

sudo apt-get update && sudo apt-get install suricata -y


Kiểm tra trạng thái Suricata:
sudo systemctl status suricata.service
sudo systemctl starts suricata.service



16

405

Hình 3.10: Trạng thái của suricata

3.5.3 Các kịch bản thử nghiệm.

410

‒

Thiết lập cấu hình cho Suricata

‒

Tạo và kiểm tra các tập luật cho phát hiện, cảnh báo

‒

Thử nghiệm phát hiện chặn quét ping

‒

Thử nghiệm phát hiện chặn quét cổng

3.5.4 Thực hiện Demo.
1. Thiết lập mặc định tập luật (rule) cơ bản.

Các bước thiết lập và kiểm tra tập luật mặc định như sau:
sudo systemctl stop suricata.service
415

sudo vim /etc/suricata/suricata.yaml
HOME_NET: "[192.168.198.0/24]"(điền vào ip-address đang sử dụng)

af-packet:
- interface: ens33
pcap:
420

- interface: ens33
community-id: true
:wq (lưu lại và thốt ra)
sudo suriacata-update

425

Hình 3.11: Cải đặt rules cơ bản cho suricata


Tạo file test:
Tạo một file test.rules để lưu các luật do người quản trị thiết lập.


17

Thực hiện dòng lệnh: Tại đây ta đặt các rule test vào Sau khi tạo file xong, mở file
suricata.yaml, vào mục “rule-file”. Di chuyển chuột đến cuối mục và thêm vào “/test.rules”

430

và lưu lại.
sudo vim /etc/suricata/suricata.yaml

435

rule-files:
- suricata.rules
- /etc/suricata/rules/test.rules
:wq


Kiểm tra lại rule có hợp lệ hay khơng:
sudo suricata -T -c /etc/suricata/suricata.yaml -v
Kết quả trên phần quản trị cho thấy Suricata đã được thiết lập tập luật mặc định theo

đúng yêu cầu.
440

sudo vim /etc/suricata/rules/test.rules.
2. Thử nghiệm phát hiện và chặn quét Ping.


Thiết lập luật:

Ta sẽ thiết lập các rule (luật) cho việc phát hiện Ping, quá trình Ping từ máy khác gửi đến.
sudo vim /etc/suricata/rules/test.rules
445


alert ICMP any any -> $HOME_NET any (msg:"ICMP Pinged..."; sid:1; rev:1;)
Tại máy có địa chỉ IP 192.168.134.73, thực hiện ping đến máy chủ 192.168.198.132,
kết quả hiển thị ping như trên hình sau.

Hình 3.12: Ping từ máy mạng External đến máy chủ

450

3. Kết quả tại trang quản trị Suricata như sau:
sudo tail /var/log/suricata/fast.log


18

10

Hình 3.13: Máy chủ suricata phát hiện ping từ máy khác

 Chặn Ping:
455

Thiết lập luật:
drop ICMP any any -> $HOME_NET any (msg:”Pinging ís blocked”;sid:2; rev:1;)

 Kết quả tại trang quản trị Suricata như sau:
sudo tail /var/log/suricata/fast.log

460

Hình 3.14: Blocked Ping từ máy mạng External đến máy chủ


Kết quả trên phần quản trị cho thấy Suricata đã phát hiện và chặn được ping tới máy
chủ theo đúng yêu cầu.
1. Thử nghiệm phát hiện và chặn quét quét cổng của máy chủ
 Scan Port máy chủ:
465

Sử dụng phần mềm Nmap windows quát All TCP máy chủ 192.168.198.0/24