Tải bản đầy đủ (.pdf) (51 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kỹ thuật

Báo Cáo Cuối Kỳ Triển Khai Hệ Thống Phát Hiện Xâm Nhập Wazuh.pdf

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (7.28 MB, 51 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

H C VI N CỌ Ệ ÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA CÔNG NGHỆ THÔNG TIN

BÁO CÁO CUỐI KỲ

Môn học: CHUYÊN ĐỀ AN NINH MẠNG

TRI N KHAI H ỂỆ THỐNG PHÁT HIỆN XÂM NHẬP WAZUH

Giảng viên: TS.Nguyễn Ngọc Điệp

Sinh viên: Trần Th ế Quân – B18DCAT194

Nguyễn Thanh Hưng – B18DCAT117

Phạm Gia Khiêm – B18DCAT129

Hà Nội, tháng 11 năm 2022

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

II. CƠ SỞ LÝ THUYẾT ... 8

1. T ng quan v ổ ề xâm nhập, k ỹ thuật và các ệ thống phát hiện xâm nhậh p ... 8

2.4. Rules trong Wazuh ... 20

2.5. Các chức năng tiêu biểu của Wazuh ... 25

III. NỘI DUNG TH C HI N DEMO ... 30Ự Ệ 1. Chu n bẩ ị môi trường ... 30

1.1. Yêu cầu cài đặt ... 30

1.2.Cài đặt elasticsearch ... 31

1.3.Cài đặt wazuh manger ... 32

1.4.Cài đặt filebeat ... 33

1.5.Cài đặt kibana và cấu hình ... 33

1.6. Cài đặt wazuh agent trên window ... 34

1.7. Cài đặt agent trên Ubuntu server ... 37

2. Demo ... 38

2.1. Brute force: ... 38

2.1.1. Môi trường thực hiện ... 38

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

2.3. Brute force vào cổng dịch vụ SSH ... 44

2.3.1. Chuẩn bị môi trường ... 44 2.3.2. Các bước th c hiự ện ... 44 2.3.3. Kết quả mong mu n ... 46ố 2.4. Phát hiện các file độc xuất hiện trong máy ... 46

2.4.1. Môi trường chu n b ... 46ẩ ị

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

<small>4 </small>

DANH SÁCH HÌNH VẼ

Hình 1. Hệ thống phát hiện xâm nhập IDS ... 8

Hình 2. Lưu đồ giám sát phát hiện tấn công, xâm nhập dựa trên chữ ký ... 10

Hình 3. Giá trị emtropy c a IP ngu n củ ồ ủa các gói tin lưu lượng hợp pháp (Phần giá trị cao, đều) và entropy của IP ngu n cồ ủa các gói tin từ lưu lượng tấn cơng DDoS (phần giá trị thấp) ... 11

Hình 4. Các thành phần c a Wazuhủ ... 12

Hình 5. Agent trong Wazuh ... 14

Hình 6. Server trong Wazuh ... 15

Hình 7. Multi-node deployment ... 17

Hình 8. Single-node deployment ... 18

Hình 9. Phương thức hoạt động c a lu ng d liệu ... 18ủ ồ ữ Hình 10. Cấu trúc Rules ... 20

Hình 11. Phân tích bảo m t trong Wazuh ... 26ậ Hình 12. Phát hiện xâm nhập trong Wazuh ... 27

Hình 13. Phát hiện l h ng trong Wazuhỗ ổ ... 28

Hình 14. Phân tích log trong Wazuh... 29

Hình 15. Cài đặt Wazuh server ... 30

Hình 16. Thêm agent trong kibana ... 35

Hình 17. Các agent đã được thêm vào wazuh-server ... 35

Hình 18. Các bước thêm agent ... 36

Hình 19. Cài đặt Wazuh agent ... 36

Hình 20: Deploy a new Linux system agent ... 37

Hình 21: Command để đăng kí agent trên Ubunt server ... 37

Hình 22: Cài đặt thành cơng agent Ubuntu Server ... 38

Hình 23. Sử d ng nmap thụ ực hiện rà quét lỗ hổng ... 39

Hình 24. Thực hiện tấn cơng Brute force ... 39

Hình 25. Wazuh nhận được alert Brute force ... 40

Hình 26. Nội dung alert Brute force ... 40

Hình 27. Rules Brute force ... 41

Hình 28. Web server trên máy windows 11 ... 41

Hình 29. Câu lệnh tấn cơng SQL injection ... 42

Hình 30. Sử dụng máy kali tấn cơng SQL injection vào web server ... 42

Hình 31. Wazuh nhận được alert SQL injection ... 43

Hình 32. Nội dung alert SQL injection ... 43

Hình 33. Rules SQL injection ... 44

Hình 34: Quét các cổng trên Ubuntu Server ... 44

Hình 35: Tấn cơng Brute force vào dịch vụ SSH ... 45

Hình 36: Cảnh báo Brute force hiện lên ... 45

Hình 37: Cấu hình file ossec.conf ... 47

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

<small>5 </small>

Hình 38: Custom rule phát hiện file độc hại ... 47

Hình 39: Restart Wazuh manager ... 47

Hình 40: Tải file độc hại về máy ... 48

Hình 41: Cảnh báo phát hiện file độc ... 48

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

<small>6 </small>

LỜI M Ở ĐẦU

Thế k XXI, ch ng ki n s ỷ ứ ế ự phát triển nhanh chóng của Internet và những ảnh hưởng sâu rộng tới mọi lĩnh vực đời sống của con người. Song song với những lợi ích mà mạng máy tính đem lại thì nó cũng trở thành mục tiêu lợi dụng của những kẻ tấn công, xâm nhậ trái phép nhằp m th c hi n nhự ệ ững mưu đồ ấu, đe dọ x a tới tính an tồn về bảo mật thơng tin của các tổ chức hay những người dùng kết nối mạng. Mặc dù, mỗi hệ thống máy tính đều có những cơ chế tự bảo vệ riêng nhưng có thể chưa đủ để phát hiện hay ngăn chặn những cu c tộ ấn công ngày một tinh vi hơn. Vấn đề đặt ra là làm sao xây dựng được một hệ thống có thể phát hiện sớm và có hiệu quả các cuộc tấn cơng hay xâm nhập trái phép từ đó đưa ra những cảnh báo và biện pháp xử lý kịp th i. M t s ờ ộ ố các hệ thống phát hiện xâm nhập m ng truy n thạ ề ống được áp dụng khá phổ ến và rộng rãi trên thế ới như hệ bi gi thống phát hiện xâm nhập dựa trên tập luật, phân tích thống kê,…Các hệ ống trên đã phát hiệ th n tốt nh ng cu c tữ ộ ấn công đã bi t v i t l cế ớ ỷ ệ ảnh báo sai thấp. Tuy nhiên, chúng t i t ạ ỏ ra kém hiệu qu ả đối v i nh ng ớ ữ cuộc tấn công mới, đồng thời phải luôn c p nhật luật m i. ậ ớ

Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng. Các phương thức phát hiện xâm nhập xuất hiện vài năm gần đây. Với các phương pháp này người quản trị có thể thu thập và sử ụng thông tin từ các dạ d ng tấn công chưa được biết hoặc phát hiện cu c tấn công đang diễộ n ra. Những thông tin thu thập được s ẽ giúp người qu n tr gia c an ninh mả ị ố ạng, đưa ra các chính sách an tồn cho hệ thống nhằm giảm thiểu nh ng tữ ấn công bất hợp pháp.

Vì vậy chúng em chọn đề tài: “Triển khai hệ thống phát hiện xâm nhập WAZUH.”

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<small>7 </small>

I. GIỚI THIỆU

1. Danh sách sinh viên Tên các sinh viên trong nhóm:

Nguyễn Thanh Hưng - B18DCAT117 Phạm Gia Khiêm - B18DCAT129 Trần Th ế Quân - B18DCAT194 2. Mục đích

B o m t vả ậ ốn là một vấn đề ớn đố ới môi trườ l i v ng doanh nghi p hi n nay. ệ ệ Trong l ch sị ử đã có nhiều trường hợp tin thành cơng trong việc xâm nhập vào mạng công ty và đem ra ngồi rất nhiều thơng tin giá trị. Đã có nhiều phương pháp phát triển để đảm bảo cho hạ tầng mạng và giao tiếp trên internet như : sử dụng Firewall, VPN trong đó có hệ thống phát hiện và ngăn chặn xâm nhập.

Phát hiện xâm nhập là một trong những công nghệ và phương thức dùng để phát hiện hành động khả nghi trên cả Host và mạng. Các phương pháp phát hiện xâm nh p bậ ắt đầu xu t hi n nhấ ệ ững năm gần đây, sử dụng phương thức phát hiện xâm nhập , ta có thể thu thập, sử dụng thông tin từ những lỗ hổng tấn công đã biết để tìm ra và cảnh báo một ai đó đang cố gắng tấn cơng vào mạng hay máy cá nhân.

Vì vậy, là sinh viên được trang bị những kiến thức của ngành An tồn thơng tin, v i nh ng ki n thớ ữ ế ức đã tiếp thu và vận đụng lý thuyết đó vào công việc th c t ự ế nên chúng em đã chọn đê tài “Triển khai h ệ thống phát hiện xâm nhập WAZUH v.” ới mục đích xây dựng được hệ thống phát hiện và phòng chống xâm nhập trái phép nhằm đảm bảo an toàn hệ thống m ng cho doanh nghiạ ệp và cá nhân.

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

<small>8 </small>

II. CƠ SỞ LÝ THUYẾT

1. Tổng quan v ề xâm nhập, kỹ thuật và các hệ thống phát hiện xâm nhập 1.1. H ệ thống phát hiện xâm nhập

1.1.1 Định nghĩa:

Hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) là mộ ớp t l phòng vệ quan trọng, là giải pháp đảm bảo an tồn cho hệ thống thơng tin và mạng theo mơ hình phịng thủ nhiều l p theo chiớ ều sâu. Các hệ thống IDS có thể được tri n ể khai ở trước hoặc sau tường lửa trong mơ hình mạng tùy theo mục đích sử dụng. Hình sau cung c p v ấ ị trí hệ thống IDS trong sơ đồ mạng, trong đó IDS thường được k t nế ối vào các bộ định tuyến, switch, card mạng và chủ ếu làm nhiệ y m vụ giám sát và cảnh báo, khơng có khả năng chủ động ngăn chặn tấn cơng, xâm nhập.

Hình 1. Hệ thống phát hiện xâm nhập IDS Nhiệm v ụ chính của các IDS bao gồm:

Giám sát lưu lượng mạng hoặc các hành vi trên một hệ thống để nhận dạng các d u hi u c a tấ ệ ủ ấn công, xâm nh p ậ

Khi phát hiện các hành vi tấn cơng, xâm nhập, thì ghi log các hành vi này cho phân tích bổ sung sau này

Gửi thông báo, cảnh báo cho người quản trị về các các hành vi tấn công, xâm nhập đã phát hiện được.

1.1.2. Phân loại:

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<small>9 </small> Có 2 phương pháp phân loại chính các hệ thống IDS gồm phân loại theo nguồn d ữ liệu và phân loại theo phương pháp phân tích dữ liệ u:

1.1.2.1. Phân loại theo nguồn dữ liệu:

Gồm 2 lo i: h ạ ệ thống phát hiện xâm nhập mạng (NIDS – Network-based IDS) và hệ thống phát hiện xâm nhập máy (HIDS – Host-based IDS).

Hệ thống phát hiện xâm nhập m ng (NIDS): ạ

Hệ thống phát hiện xâm nhập mạng giám sát cổng mạng và thực hi n thu ệ thập, phân tích lưu lượng mạng gồm các gói tin để phát hiện tấn cơng, xâm nh p cho c m ng ho c mậ ả ạ ặ ột phân đoạn m ng. ạ

Ưu điểm của NIDS là có khả năng giám sát phát hiện các dạng xâm nhập cho c m ng, hoả ạ ặc phân đoạn mạng do nó thường được tri n khai t i c ng ể ạ ổ mạng và sử ụng lưu lượ d ng m ng gạ ồm các gói tin đi/đến làm nguồn dữ liệu. Hạn ch cế ủa NIDS là gặp nhiều khó khăn khi phải giám sát cổng mạng có lưu lượng lớn, hoặc lưu lượng b ị mã hóa và các dạng xâm nhập trên các máy không phát sinh lưu lượng qua cổng mạng.

Có nhiều h ệ thống NIDS dựa trên phần cứng và phần mềm, thương mại hoặc mã mở được phát triển và ứng dụng trên thực tế. Có thể kể đến một s hệ ố thống NIDS n i tiếng như Check Point IPS, McAfee Network Security ố Platform, Snort, Bro và Suricata.

Hệ thống phát hiện xâm nhập máy (HIDS):

H ệ thống phát hiện xâm nhập cho máy giám sát các hoạt động của một máy, thu thập và thực hiện phân tích các sự ệ ki n xảy ra trong máy, hoặc d ch v ị ụ chạy trên máy để phát hiệ ấn công, xâm nhận t p, hoặc các hành vi lạm dụng. Ưu điểm của HIDS là có khả năng phát hiện chính xác các xâm nhập và các hành vi lạm dụng trên từng máy cụ thể do HIDS được cài đặt trên từng máy để giám sát các sự ki n x y ra trong h ệ ả ệ thống. H n ch cạ ế ủa HIDS là phải triển khai trên từng máy và điều này có thể phát sinh chi phí lớn cho cài đặt và bảo trì với các hệ thống mạng lớn.

Cũng như NIDS, các HIDS cũng được phát triển và ứng d ng rụ ộng rãi trên thực tế. Có thể ể đến các HIDS nổ k i tiếng như IMB QRadar, Tripwire, OSSEC, Security Onion và Wazuh.

1.1.2.2. Phân loại theo phương pháp phân tích dữ liệu:

Theo phương pháp phân tích dữ ệu, có 2 kỹ li thuật phát hiện được sử dụng, bao gồm: Phát hiện xâm nhập dựa trên chữ ký, dấu hi u, hoệ ặc phát hiện s l m d ng ự ạ ụ (Signature-based / misuse intrusion detection) và phát hiện xâm nhập dựa trên bất thường (Anomaly intrusion detection). Chi ti t hai kế ỹ thuật này sẽ được nói rõ tại ph n sau. ầ

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

<small>10 </small> 1.2. K thuỹ ật phát hiện xâm nhập

B n ch t c a kả ấ ủ ỹ thuật phát hiện xâm nhập là việc giám sát thu thập và phân tích dữ liệu nhằm phát hiện các dấu hiệu xuất hiện tấn công, xâm nhập. Để có thể nh n dậ ạng được các hành vi tấn công, xâm nhập, trước h t c n ế ầ xây dựng cơ sở ữ d liệu các dấu hi u, hoệ ặc chữ ký của các tấn công, xâm nhập đã biết, hoặc xây dựng hồ sơ mô tả ập các hành vi bình thườ t ng của đối tượng cần giám sát.

1.2.1. Phát hiện xâm nhập dựa trên chữ ký

Phát hiện xâm nhập dựa trên chữ ký trước hết cần xây dựng cơ sở dữ liệu các chữ ký, hoặc các dấu hiệu của các loạ ấn công, xâm nhập đã biếi t t. Hầu hết các chữ ký, dấu hiệu được nh n dậ ạng và mã hóa thủ công và dạng bi u diể ễn thường gặp là các luật phát hiện. Bước tiếp theo là sử ụng cơ sở d dữ ệu cácli chữ ký để giám sát các hành vi của h ệ thống, ho c mặ ạng, và cảnh báo nếu phát hiện dấu hi u, ch ệ ữ ký của tấn cơng, xâm nhập. Hình dưới biểu diễn lưu đồ giám sát phát hiện tấn cơng, xâm nhập dựa trên chữ ký điển hình, trong đó CSDL chữ ký là cơ sở ữ liệu lưu các dấ d u hi u, ệ chữ ký của các tấn cơng, xâm nhập đã biết.

Hình . Lưu đồ giám sát phát hiệ2 n tấn công, xâm nhập dựa trên chữ ký Ưu điểm l n nh t cớ ấ ủa phát hiện xâm nhập dựa trên chữ ký là có khả năng phát hiện các tấn công, xâm nhập đã biết một cách hiệu quả. Ngoài ra, phương pháp này cho tốc độ x ử lý cao, đồng thời yêu cầu tài ngun tính tốn tương đối thấp. Nh v y, ờ ậ các hệ thống phát hiện xâm nhập dựa trên chữ ký đã và đang được ứng dụng rộng rãi trong th c tự ế. Tuy nhiên, nhược đ ểm chính của phương pháp này là khơng có khải năng phát hiện các tấn công, xâm nhập mới, hoặc các biến thể của xâm nhập đã biết, do ch ữ ký của chúng chưa tồn tại trong cơ sở ữ liệ d u ch ữ ký. Hơn nữa, phương pháp này cũng địi hỏi nhiều cơng sức chun gia cho xây dựng và cập nhật cơ sở dữ liệu chữ ký, dấu hi u cệ ủa các tấn công, xâm nhập.

1.2.2. Phát hiện xâm nhập dựa trên bất thường

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<small>11 </small> Phát hiện xâm nhập dựa trên bất thường dựa trên giả thiết: các hành vi tấn cơng, xâm nhập thường có quan hệ chặt chẽ với các hành vi bất thường. Quá trình xây dựng và triển khai một hệ thống phát hiện xâm nhập dựa trên bất thường thường gồm 2 giai đoạn: (1) hu n luyấ ện và (2) phát hiện. Trong giai đoạn hu n luy n, hấ ệ ồ sơ của đối tượng cần giám sát trong chế độ làm việc bình thường được xây dựng. Để thực hiện giai đoạn hu n luyấ ện, cần giám sát đối tượng trong m t khoộ ảng th i gian ờ đủ dài để thu thập được đầy đủ dữ liệu mô tả các hành vi của đối tượng trong điều kiện bình thường làm dữ liệu hu n luy n.Ti p theo, th c hi n hu n luy n d liấ ệ ế ự ệ ấ ệ ữ ệu để xây dựng mô hình phát hiện, hay h ồ sơ của đối tượng. Trong giai đoạn phát hiện, thực hiện giám sát hành vi hiện tại của đối tượng và cảnh báo nếu có khác biệt rõ nét giữa hành vi hiện tại và các hành vi lưu trong hồ sơ của đối tượng.

Có nhiều kỹ thuật xử lý, phân tích dữ ệu cho xây dự li ng hồ sơ của đối tượng cần giám sát đã được nghiên cứu, đề xuất cho phát hiện xâm nhập dựa trên bất thường. Mục tiêu c a các kủ ỹ thuật xử lý, phân tích dữ liệu là có thể xây dựng h ồ sơ phát hiện tự động t dừ ữ liệu huấn luy n, c i thiệ ả ện được hi u quệ ả phát hiện, bao gồm tăng tỷ ệ l phát hiện đúng, giảm t l ỷ ệ phát hiện sai và giảm yêu cầu sử dụng tài ngun tính tốn. Một số ỹ thuậ ử lý, phân tích dữ liệu cho phát hiện xâm nhậ k t x p dựa trên bất thường có thể kể đến bao gồm: phân tích thống kê, khai phá dữ liệu, học máy và phân tích tương quan.

Hình dưới biểu diễn giá trị entropy IP ngu n (IP entropy) cồ ủa các gói tin theo cửa sổ trượt từ lưu lượng bình thường và entropy IP nguồn của các gói tin từ lưu lượng tấn công DDoS theo quan sát thực nghiệm và dựa trên kỹ thuật phân tích thống kê. Có thể thấy sự khác biệt rõ nét giữa giá trị IP entropy của lưu lượng bình thường và lưu lượng tấn công và như vậy nếu một ngưỡng entropy được chọn phù hợp ta hồn tồn có thể phát hiện s xu t hi n c a cu c tự ấ ệ ủ ộ ấn công DDoS dựa trên sự thay đổi đột biến của giá trị entropy.

Hình . Giá trị3 emtropy của IP nguồn của các gói tin lưu lượng hợp pháp (Phần giá trị cao, đều) và entropy của IP nguồn của các gói tin từ lưu lượng tấn công DDoS (phần

giá trị thấp)

Ưu điểm của phát hiện xâm nhập dựa trên bất thường là có tiềm năng phát hiện các loại tấn công, xâm nhập mới mà không yêu cầu biết trước thông tin về chúng. Tuy nhiên, phương pháp này thường có tỷ lệ cảnh báo sai tương đối cao so với phát

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

<small>12 </small> hi n dệ ựa trên chữ ký do mộ ố hành vi xâm nhập không tạt s i ra bất thường và ngược l i mạ ột hành vi bất thường nhưng không phải là xâm nhập. Điều này làm giảm kh ả năng ứng d ng th c t cụ ự ế ủa phát hiện xâm nhập dựa trên bất thường. Ngoài ra, phương pháp này cũng tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng hồ sơ đối tượng và phân tích hành vi hiện t i. Mạ ặc dù vậy, đây vẫn là một hướng nghiên cứu phát hiện xâm nhập đang rất được quan tâm nhằm cải thiện tỷ l ệ phát hiện, giảm tỷ lệ cảnh báo sai và giảm u cầu sử dụng tài ngun tính tốn, lưu trữ.

2. Giới thi u v WAZUH ệ ề 2.1. Định nghĩa

Wazuh là hệ thống phát hiện xâm nhập máy (HIDS) dùng cho việc bảo vệ an ninh, phát hiện mối đe doa, giám sát toàn vẹn và ứng phó sự cố. Wazuh là 1 project mã nguồn mở, được xây dựng từ các thành phần : OSSEC HIDS, OpenSCAP và Elastic Stack.

Hình . Các thành phầ4 n của Wazuh

● OSSEC HIDS : host-based Intrusion Detection System (HIDS) được dùng cho việc phát hiện xâm nhập, hi n thể ị và giám sát. Nó dựa vào 1 multi-platform agent cho việc đẩy dữ liệu hệ thống (log message, file hash và phát hiện bất thường) tới 1 máy quản lý trung tâm, nơi sẽ phân tích và xử lý, dựa trên các cảnh báo an ninh. Các agent truyền event data event data tới máy quản lý trung tâm thông qua kênh được bảo mật và xác thực.

● OpenSCAP được dùng để kiểm tra cấu hình hệ thống và phát hiện các ứng d ng d b tụ ễ ị ấn cơng. Nó được biết đến như là một công cụ được thi t kế ế để ki m tra viể ệc tuân thủ an ninh c a hủ ệ thống s dử ụng các tiêu chuẩn an ninh dùng cho môi trường doanh nghiệp

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

Chạy trên : Windows, Linux, Solaris, BSD hoặc MAC OS. Dùng thu thập các dạng khác nhau của dữ liệu hệ thống và ứng d ng. Dụ ữ liệu được chuy n t i Wazuh ể ớ server thông qua 1 kênh được mã hóa và xác thực. Để thiết lập kênh này, 1 quá trình đăng ký bao gồm pre-shared key duy nhất được thiết lập.

Các agent có thể dùng để giám sát server vật lý, máy ảo, cloud instance (AWS, Azure hoặc Google cloud). Các các cài đặt pre-compile agent có sẵn cho các OS : Linux, AIX, Solaris, Windows và Darwin (Mac OS X).

Trên các OS Unix-based, agent chạy trên multiple process, các process này liên lạc với nhau thông qua local Unix domain socket. 1 trong các process này phụ trách việc liên lạc và gửi dữ liệu tới Wazuh server. Trên Windows, chỉ có 1 agent process chạy trên multiple task sử dụng mutexes.

Các agent task hoặc process khác nhau được dùng để giám sát hệ thống theo các cách khác nhau (giám sát sự thay đổi v ề file, đọc log, quét các thay đổi h ệ thống). Sơ đồ sau thể hiện các internal task và process diễn ra trên các agent level.

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

<small>15 </small>

● OpenSCAP: dựa vào các hồ sơ bảo mật cơ bản, định kỳ quét hệ thống, nó sẽ phát hiệ được các ứn ng dụng và cấu hình sẽ bị tấn cơng, khơng tn theo các chuẩn được xác định theo CIS (Center of Internet Security)

● Agent Daemon: Process nh n dậ ữ liệu đượ ạc t o hoặc được thu th p b i t t c ậ ở ấ ả các thành phần agent khác. Nó nén, mã hóa và phân phối dữ liệu tới server thơng qua kênh được xác thực. Process này chạy trên "chroot" environment được cơ lập, có nghĩa rằng nó sẽ hạn chế truy cập tới các hệ thống được giám sát. Điều này cải thiện được an toàn cho agent vì process đó là process duy nhất k t nế ố ới t i m ng.ạ

2.2.2. Wazuh server

Thành phần server phụ trách việc phân tích dữ liệu nhận từ agent, tạo các ngưỡng cảnh báo khi 1 event ánh xạ ới rule (phát hiện xâm nhập, thay đổ v i file, cấu hình khơng tương thích với policy, rootkit...)

Hình 6. Server trong Wazuh

Server thơng thường chạy các thành phần agent với mục tiêu giám sát chính nó. Một s ố thành phần server chính là :

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

<small>16 </small>

● Registration service: Được dùng để register agent mới được việc cung cấp và phân phối các key xác thực pre-shared, các key này là độc nhất với mỗi agent. Process này chạy như 1 network service và hỗ trợ việc xác thực qua TLS/SSL

● Remote daemon service: Service này nhận dữ liệu từ agent. Nó sử dụng pre-shared key để xác thực định danh c a mủ ỗi agent và mã hóa giao tiếp với chúng.

● Analysis daemon: Process này thực hiện việc phân tích dữ ệu. Nó sử li dụng các bộ giải mã để nh n dậ ạng thông tin được xử lý (các Windows event, SSHD logs...) và sau đó giải nén các yếu tố dữ ệu thích hợp từ log message (source li ip, event id, user...) Sau đó, bằng cách sử ụng các rule đượ d c định nghĩa bằng các mẫu đặc biệt trên bộ ải mã, nó sẽ ạo các cảnh báo thậm chí ra lệnh để gi t thực hiện các biện pháp đối phó như chặn IP trên firewall.

● RESTful API: Cung cấp interface để quản lý và giám sát cấ hình và trạng thái triển khai của các agent. Nó cũng được dùng bởi Wazuh web interface (Kibana)

2.2.3. ELK STACK

Elastic Stack là một bộ gồm các công cụ mã nguồn mở phục vụ cho mục đích quản lý log, bao gồm Elasticsearch, Kibana, Filebeat, Logstash,.... Các công cụ ủa c Elastic stack được sử d ng trong Wazuh gụ ồm:

• Elasticsearch: Một cơng cụ tìm kiếm và phân tích mạnh m v i chẽ ớ ức năng full-text search cũng như khả năng mở ộng cao. Elasticsearch đượ r c t ổ chức phân phối, nghĩa là dữ liệu (index) sẽ được chia thành các phân đoạn cơ sở dữ liệu (shard) và mỗi phân đoạn có thể có 0 hoặc nhiều bản sao. • Kibana: Cung cấp một giao di n web linh hoệ ạt và trực quan cho mining,

phân tích, và trình bày dữ liệu..

• Filebeat: Một cơng cụ ọn nhẹ để forward log trong mạng, thường được g s d ng cho Elasticsearch. ử ụ

Wazuh tích hợp Elastic Stack để lưu trữ và index các log đã được giải mã với Elasticsearch, và sử dụng như một giao diện console real-time để theo dõi các alert và phân tích log. Bên cạnh đó, giao diện người dùng của Wazuh (chạy trên Kibana) cũng có thể được sử dụng để quản lý và giám sát hạ ng c a Wazuh. tầ ủ

Một Elasticsearch index là một t p hậ ợp các văn bản có các đặc trưng tương tự. Wazuh s d ng 3 index sau: ử ụ

• wazuh-alerts: các alert được tạo bởi Wazuh server. • wazuh-events: mọi event được gửi đến t agent. ừ

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

<small>17 </small> • wazuh-monitoring: các dữ liệu liên quan đến trạng thái của agent. Nó được s d ng cho giao di n web cử ụ ệ ủa Wazuh để hiển thị các trạng thái của agent như: “Active”, “Disconnected” hay “Never connected”

Với các index trên, document là các cảnh báo, archived event hoặc status event riêng lẻ.

Các index của Elasticsearch có thể được chia thành nhiều phân đoạn (shard) và nhân thành các bản sao. Mỗi thực thể này là một Lucene index. Vì vậy, có thể coi một Elasticsearch index là một tập các Lucene index. Khi một yêu cầu tìm kiếm được thực hi n tệ rên một Elasticsearch index, yêu cầu này sẽ được thực thi song song trên các phân đoạn của index và kết qu sau đó sẽ đượả c được trộn l i v i nhau. Viạ ớ ệc chia nhỏ các index của Elasticsearch được s d ng trong multiple-node Elasticsearch ử ụ cluster với mục đích mở rộng tìm kiếm để đảm bảo tính sẵn sàng. Đối với các single-node Elasticsearch cluster thì thường mỗi index s ẽ chỉ t n t i mồ ạ ột phân đoạn duy nhất

Khi Wazuh server và Elasticsearch cluster chạy trên các host khác nhau, Filebeat được dùng để truy n mề ột cách an toàn các cảnh báo, archived event tới Elasticsearch server sử d ng TLS. ụ

Hình 7. Multi-node deployment Single-node deployment

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

<small>18 </small> Wazuh và Elastic stack chạy với 1 single-node Elasticsearch cluster (số lượng agent < 50), có thể triển khai trên một single server. Ở triển khai này, Logstash sẽ đọc các cảnh báo, event từ Wazuh trực tiếp từ local file system và đẩy chúng tới local Elasticsearch instance.

Hình 8. Single-node deployment 2.3.1 Phương thức liên lạc và luồng dữ liệu

<small>Hình . Phương thứ9c hoạt động của luồng dữ liệu</small>

2.3.2 Agent-server communication

Wazuh agent s dử ụng OSSEC message protocol để gửi các event thu thập được tới Wazuh server thông qua port 1514 (UDP hoặc TCP). Wazuh server giải mã và thực hi n rule-check vệ ới các event nhận được với cơng cụ phân tích. Các event ứng với các rule được b sung dổ ữ liệu cảnh báo như rule-id và rule-name. Các event có thể được đẩy tới 1 hoặc cả 2 file sau, dựa vào việc có được event có tương ứng với rule hay khơng:

● File /var/ossec/logs/archives/archives.json chứa t t cấ ả các event dù có tương ứng với rule hay khơng.

</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">

Trên mơ hình triển khai diện rộng, Wazuh server s dử ụng Filebeat để chuy n ể dữ liệu v cề ảnh báo và event tới Logstash (5000/TCP) trên Elastic Stack server, sử d ng TLS. V i kiụ ớ ến trúc single-host, Logstash đọc tr c ti p t local fiự ế ừ le system mà không cần dùng Filebeat.

Logstash định hình incoming data, và có thể là GeoIP, trước gửi tới Elasticsearch (port 9200/TCP). Một khi d ữ liệu được index t i Elasticsearch, Kibana ớ (port 5601/TCP) được dùng để khai thác và hiển thị thông tin.

Wazuh App chạy bên trong Kibana liên tục truy vấn tới RESTful API (port 55000/TCP trên Wazuh manager) để hiển thị cấu hình và thơng tin trạng thái liên quan của server và agent, cũng như restart agent theo yêu cầu. Liên lạc này được mã hóa với TLS và được xác thực với username và password.

2.3.4 Lưu trữ dữ liệu

Các event về alert và non alert được lưu trữ cùng nhau trong file trên Wazuh -server và sau để gửi tới Elasticsearch. Các file này được vi t v i d ng JSON ho c vế ớ ạ ặ ới plain text format. Các file này được nén hàng ngày và được đánh dấu với MD5 và SHA1 checksums. Cấu trúc thư mục và tên file như sau :

root@wazuh-server:/var/ossec/logs/archives/2017/Jan# ls -l total 176

-rw-r--- 1 ossec ossec 234350 Jan 2 00:00 ossec-archive-01.json.gz -rw-r--- 1 ossec ossec 350 Jan 2 00:00 ossec-archive-01.json.sum -rw-r--- 1 ossec ossec 176221 Jan 2 00:00 ossec-archive-01.log.gz -rw-r--- 1 ossec ossec 346 Jan 2 00:00 ossec-archive-01.log.sum -rw-r--- 1 ossec ossec 224320 Jan 2 00:00 ossec-archive-02.json.gz -rw-r--- 1 ossec ossec 350 Jan 2 00:00 ossec-archive-02.json.sum -rw-r--- 1 ossec ossec 151642 Jan 2 00:00 ossec-archive-02.log.gz -rw-r--- 1 ossec ossec 346 Jan 2 00:00 ossec-archive-02.log.sum -rw-r--- 1 ossec ossec 315251 Jan 2 00:00 ossec-archive-03.json.gz -rw-r--- 1 ossec ossec 350 Jan 2 00:00 ossec-archive-03.json.sum -rw-r--- 1 ossec ossec 156296 Jan 2 00:00 ossec-archive-03.log.gz

</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">

<small>20 </small> -rw-r--- 1 ossec ossec 346 Jan 2 00:00 ossec-archive-03.log.sum

Việc Rotation và backup các file nén được khuyến khích, tùy theo khả năng lưu trữ của Wazuh Manager server. Sử dụng cron job để rà sốt các file nén.

Ngồi ra, bạn có thể lựa ch n vi c b qua viọ ệ ỏ ệc lưu trữ các file nén, và sử d ng ụ Elasticsearch cho các tài liệu lưu trữ, đặc biệt nếu bạn chạy Elasticsearch snapshot backup ho c multi-node Elasticsearch cluster cho shard replica. Bặ ạn có thể ử ụ s d ng cron job để di chuyển các index đã được snapshot t i mớ ột server lưu trữ và đánh dấu chúng với MD5 và SHA1.

2.4. Rules trong Wazuh

Luật (rules) là một phần vô cùng quan trọng trong hệ thống Wazuh, nó chính là cốt lõi trong việc đảm b o h ả ệ thống Wazuh có được hoạt động theo quy trình, chính xác và hiệu quả hay khơng. Rules có định dạng XML, được cấu hình trong Wazuh server /var/ossec/etc/ossec.conf và nằm trong thẻ. Rules được lưu trong /var/ossec/rules.

2.4.1 Cấu trúc Rules

Hình 10. Cấu trúc Rules

2.4.2 Thuộc tính của rules

</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">

<small>21 </small> Id: b t buắ ộc có ( mỗi rules sẽ có 1 id riêng k trùng lặp là các số t 100-99999ừ ,

khi t o mạ ới thì thường t ừ trên 100000) Level: bắt buộc có 16 level từ 0-15

00 Ignored Không thực hiện hành động nào. Khi gặp luật có cấp độ này thì s ẽ khơng có thơng báo. Các luật này được qt trước tất cả các luật khác. Chúng bao gồm các sự kiện khơng có sựliên quan

Thơng báo hệthống hoặc thơng báo trạng thái. Khơng có sự liên quan về bảo mật.

Các lỗi liên quan đến cấu hình hoặc thiết bị/ứng dụng khơng sử dụng.khơng có sự liên quan v bề ảo mật và thường được gây ra

bởi các cài đặt mặc định hoặc kiểm thử ph n mầ ềm.

</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">

Chỉ ra một con sâu hoặc virus không ảnh hưởng đến hệ th ng ố (như mã màu đỏ cho các máy chủ apache, vv). Chúng cũng bao

gồm các sự ện IDS thường xuyên và các lỗi thường xuyên ki

Chúng bao gồm các từ như "bad", "error", v.v. Những sự kiện này hầu như khơng được phân loại và có th ểcó một số mức độ

liên quan về bảo mật.

08 First time seen (lần đầu tiên nhìn thấy):

Bao gồm các sự ệ ần đầu tiên đượ ki n l c xem. Lần đầu tiên một s kiự ện IDS được kích hoạt hoặc lần đầu tiên người dùng đăng nh p. N u b n mậ ế ạ ới bắt đầu s d ng OSSEC HIDS, nh ngử ụ ữ thơng báo này có thể sẽ thường xun.Sau một thời gian sẽ

Bao gồm các lần đăng nhập dưới dạng người dùng không xác định hoặc từ nguồn khơng hợ ệ. Có thể có sự liên quan vềp l b o mả ật (đặc biệt nếu được lặ ại). Chúng cũng bao gồm các p l

lỗi liên quan đến tài khoản "qu n tr " (root). ả ị

Chúng bao gồm nhiều m t khậ ẩu không hợp lệ, nhi u lần đăng ề nhập không thành công, v.v. Họ có thể chỉ ra một cuộc tấn cơng hoặc có thể chỉ là người dùng vừa qn thơng tin đăng

Chúng bao gồm các thông báo liên quan đến việc sửa đổi các t p nh ệ ị phân hoặc sự ệ hi n di n c a rootkit (b ng ki m tra rooệ ủ ằ ể

Nếu b n ch c n sạ ỉ ầ ửa đổi cấu hình h ệ thống c a b n, b n sủ ạ ạ ẽ được báo về các thơng báo "syscheck". Nó có thể ch ra m t ỉ ộ cuộc tấn công thành công. Cũng bao gồm các sự kiện IDS sẽ bị

b qua (s l n l p l i cao). ỏ ố ầ ặ ạ

importancy h<sup>Chúng bao gồm các thơng báo lỗ</sup>ạt nhân, v.v. Chúng có th chỉể ra m<sup>i hoặc c</sup>ột cuộc tấn công chố<sup>ảnh báo từ</sup><sup> hệ thống, </sup>ng lại

</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">

B ng 1ả . Các mức level c a rules trong wazuh ủ

Noalert : không bắt buộc : không kích hoạt cảnh báo nếu rules h p lệ. ợ Frequency: chỉ định s lố ần rules được kiểm tra trước khi th c hi n. S lự ệ ố ần

kích hoạt phải gấp đơi số ần cài đặt. Ví dụ l : tần sơ = 2 => rule phải được so sánh 4 lần.(từ 1- 99999)

Timeframe: khung thời gian tính bằng giây, được s dử ụng để ế k t h p vợ ới frequency.(1-99999)

Ignore: thời gian (s) b ỏqua rule này. ( 1-99999)

Overwrite: Cho phép chỉnh sửa rule ( overwrite= "yes or no")

Ví dụ: Rule được tạo bằng ID: 3151 và nó sẽ kích hoạt cảnh báo cấp 10 nếu Rule 3102 kh p 8 lớ ần trong 120 giây qua.

</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">

<small>24 </small> 2.4.3 Phân loại rules

Trong Wazuh, luật được chia thành 2 loại: Luật nguyên tố và luậ ết k t h p: ợ Luật nguyên tố - các luật xử lý 1 sự ki n:ệ cảnh báo, thông báo hay hành

động ứng phó sẽ xuất hiện khi có 1 sự ện thỏa mãn. ki

Ví dụ: Bao nhiêu lần đăng nhập thất bại sẽ xuất hi n bệ ấy nhiêu lần thông báo.

Luật k t hế ợp – xử lý nhiều s ự kiện một lúc trong 1 luật: Có thể s d ng vử ụ ới thẻ Frequency và Timeframe để x ử lý một x kiự ện được di n ra nhi u lễ ề ần. Các luật được kết hợp với nhau thông qua id, sử dụng thẻ<if_sid> hoặc ( <if_match_sid>ho c <same_id> ho c<same_source_ip> - ặ ặ các thẻ này được kết hợp với Frequency và Timeframe).

2.4.4 Cách thức hoạt động của rules

T cừ ấu trúc thư mục của Rule s bao gẽ ồm Decoders và rule: 2.4.4.1 Một số cú pháp của decode

B ng 2. M t s ả ộ ố cú pháp decode Ví dụ:

</div>

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×