Tải bản đầy đủ (.docx) (80 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

PHÁT TRIỂN MỘT SỐ TIỆN ÍCH GIÁM SÁT AN NINH MẠNG DỰA TRÊN CÔNG NGHỆ MÃ NGUỒN MỞ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.63 MB, 80 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP
Đề tài:

PHÁT TRIỂN MỘT SỐ TIỆN ÍCH GIÁM SÁT AN NINH MẠNG
DỰA TRÊN CÔNG NGHỆ MÃ NGUỒN MỞ

Hà Nội, 6/2016


Đồ án tốt nghiệp

Khoa an toàn thông tin

MỤC LỤC

Phạm Hữu Thiết

2

SPLUNK


Đồ án tốt nghiệp

Khoa an toàn thông tin

LỜI CẢM ƠN


Qua hơn 3 tháng làm việc hết mình tôi đã hoàn thành đồ án tốt nghiệp
của mình. Tôi xin được gửi lời cảm ơn sâu sắc đến TS. Lương Thế Dũng đã
tận tình chỉ bảo, giúp đỡ tôi trong quá trình làm đồ án.
Trong quá trình học tập tại trường tôi xin cảm ơn thầy cô và bạn bè cùng
khóa đã tạo điều kiện để tôi có thể hoàn thành tốt chương trình học. Tôi cũng
xin cám ơn gia đình và bạn bè đã luôn bên tôi, quan tâm, động viên giúp đỡ
tôi trong mọi hoàn cảnh khó khăn.
Đồ án được hoàn thành trong thời gian ngắn, chắc sẽ còn nhiều thiếu sót.
kính mong thầy cô và các bạn có những đóng góp tích cực để tôi có thể hoàn
thiện và phát triển hơn nữa đề tài của mình.
Tôi xin chân thành cảm ơn!

Phạm Hữu Thiết

3

SPLUNK


Đồ án tốt nghiệp

Khoa an toàn thông tin

DANH MỤC TỪ VIẾT TẮT
Từ viết tắt

Từ đầy đủ

DDOS


Distributed Denial of Service

SPL

Search Processing Language

NSM

Network Security Monitoring

JSON

JavaScript Object Notation

SNMP

Simple Network Management Protocol

SIEM

Security Information and Event Management

IDXP

Intrusion Detection Exchange Protocol

Phạm Hữu Thiết

4


SPLUNK


Đồ án tốt nghiệp

Khoa an toàn thông tin

DANH MỤC HÌNH VẼ

Phạm Hữu Thiết

5

SPLUNK


Đồ án tốt nghiệp

Khoa an toàn thông tin

DANH MỤC BẢNG

Phạm Hữu Thiết

6

SPLUNK


Đồ án tốt nghiệp


Khoa an toàn thông tin

LỜI NÓI ĐẦU
Đảm bảo an toàn cho hệ thống thông tin là việc làm hết sức quan trọng
đối với các doanh nghiệp, do công nghệ hiện nay hầu như công việc được giải
quyết dễ dàng hơn qua hệ thống máy tính. Lưu trữ, truy xuất dữ liệu cũng tiện
lợi hơn do đó hầu hết dữ liệu của công ty đều lưu trữ trên máy tính. Chính vì
thế mà ngày càng nhiều những hành vi xâm phạm đến hệ thống máy tính để
đánh cắp thông tin, phá hoại hệ thống làm ngưng trệ hoạt động, hay những
hoạt động vô tình nào đó cũng có thể gây tổn hại đến hệ thống. Những hành
động này có thể là ở bên ngoài hay chính nhân viên trong công ty điều này
cần thiết phải có thành phần ghi lại dấu vết các hành vi trong hệ thống để có
thể kiểm tra người truy cập, các hành động diễn ra làm bằng chứng pháp lí
sau này.
Hệ thống giám sát an ninh mạng ra đời giúp giải quyết các vấn đề liên
quan đến việc lưu trữ và xử lí các sự kiện của hệ thống, dịch vụ, thiết bị....,
đặc biệt là việc quản lí tập trung của nó mang lại rất nhiều tiện ích cho người
quản trị như có thể kiểm soát được thông tin của cả hệ thống chỉ trên một
máy, cho ra các sơ đồ trực quan để dễ dàng so sánh các hành động… Trong
thời gian làm đồ án em đã tìm hiểu được các vấn đề về hệ thống giám sát an
ninh mạng và xây dựng được ứng dụng giám sát website dựa trên một hệ
thống giám sát an ninh mạng cụ thể
Mục đích nghiên cứu
Tìm hiểu về hệ thống giám sát an ninh mạng nói chung và nghiên cứu
sâu về công nghệ nền tảng phục vụ cho giám sát an ninh mạng Splunk nói
riêng, từ đó xây dựng ứng dụng giám sát website dựa trên nền tảng Spunk.
Đối tượng nghiên cứu
- Hệ thống giám sát an ninh mạng .
- Công cụ giám sát an ninh mạng Splunk .

-Ứng dụng Splunk vào giám sát website.
Phương pháp nghiên cứu
- Thu thập thông tin từ các bài báo trong đó có phân tích, tổng hợp từ các
chuyên gian an ninh về vấn đề an ninh mạng trên thế giới và Việt Nam
Phạm Hữu Thiết

7

SPLUNK


Đồ án tốt nghiệp

Khoa an toàn thông tin

-Tìm hiểu thông tin qua tài liệu về các nguy cơ mất an toàn trong hệ
thống thông tin .
- Nghiên cứu tài liệu từ trang document của Splunk để có thể hiểu được
quá trình vận hành của hệ thống thu thập log này và tiến hành cài đặt vận
hành thử nghiệm.
Ý nghĩa khoa học và thực tiễn của đồ án
Về mặt lý thuyết:
- Có cái nhìn khái quát về hệ thống giám sát an ninh mạng
- Tìm hiểu được một số hệ thống giám sát an ninh mạng hiện nay
- Nắm được quá trình hoạt động , các thành phần của công cụ giám sát
Splunk
Về mặt thực tiễn:
- Xây dựng một hệ thống giám sát an ninh mạng qua đó xây dựng được
ứng dụng giám sát website tập trung .
Bố cục đồ án

Chương 1: Tổng quan về hệ thống giám sát an ninh mạng
Chương 2: Công cụ giám sát an ninh mạng Splunk
Chương 3: Xây dựng ứng dụng giám sát an ninh mạng dựa trên Splunk

Phạm Hữu Thiết

8

SPLUNK


Đồ án tốt nghiệp

Khoa an toàn thông tin

Chương 1: Tổng quan về giám sát an ninh mạng
1.1. Giới thiệu
Hiện tại chúng ta có thể không khỏi bỡ ngỡ trước độ phức tạp của hệ
thống mạng các thiết bị như router, switch, hub đã kết nối vô số các máy con
đến các dịch vụ trên mạng chủ cũng như ra ngoài Internet. Thêm vào đó là rất
nhiều các tiện ích bảo mật và truyền thông được cài đặt bao gồm cả tường lửa,
mạng riêng ảo, các dịch vụ chống spam thư và virus. Sự hiểu biết về cấu trúc
của hệ thống cũng như có được khả năng cảnh báo về hệ thống là một yếu tố
quan trọng trong việc duy trì hiệu suất cũng như tính toàn vẹn của hệ thống.
Có hàng ngàn khả năng có thể xảy ra đối với một hệ thống và quản trị viên
phải đảm bảo được rằng các nguy cơ xảy ra được thông báo một cách kịp thời
và chính xác.
Một hệ thống mạng thường có người dung bên trong và bên ngoài , bao
gồm nhân viên, khách hàng, đối tác và các bên liên quan. Tối ưu hiệu suất
mạng ảnh hưởng đến tổ chức theo các cách khác nhau. Ví dụ, nếu nhân viên

không thể truy cập các ứng dụng và thông tin mà họ cần dùng để làm việc thì
sẻ ảnh hưởng đến năng suất công việc. Hoặc khi khách hàng không thể hoàn
thành giao dịch trực tuyến, điều này có nghĩa là mất doanh thu và có ảnh
hưởng tới uy tín của tổ chức. Ngay cả khi các bên liên quan như các nhà đầu
tư không thể tìm kiếm, xem xét các thông tin của tổ chức cũng gây ảnh hưởng
tới tổ chức.
Đối với một hệ thống mạng, điều quan trọng là có được thông tin chính
xác vào đúng thời điểm. Tầm quan trọng chính là nắm bắt được thông tin
trạng thái của thiết bị vào thời điểm hiện tại, cũng như biết được thông tin về
các dịch vụ, ứng dụng của hệ thống.
Khi có sự cố xảy ra, ta cần phải được cảnh báo ngay lập tức, hoặc thông
qua các cảnh báo bằng âm thanh, qua màn hình hiển thị, qua email tự động
tạo ra bởi các chương trình giám sát. Ta biết càng sớm những gì đang diễn ra
và có càng nhiều thông tin đầy đủ trong các cảnh báo thì càng sớm có thể
khắc phục được sự cố đó

Phạm Hữu Thiết

9

SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
Để hiểu được về hệ thống, ta cần một giải pháp giám sát để có thể cung
cấp các thông tin quan trọng trong thời gian thực và ở bất cứ đâu cũng như bất
cứ thời điểm nào
1.2. Hệ thống giám sát an ninh mạng
Giám sát an ninh mạng (Network Security Monitoring – NSM) là việc

thu thập các thông tin trên các thành phần của hệ thống, phân tích các thông
tin, dấu hiệu nhằm đánh giá và đưa ra các cảnh báo cho người quản trị hệ
thống.
Hệ thống giám sát anh ninh mạng đóng vai trò quan trọng, không thể
thiếu trong hạ tầng công nghệ thông tin(CNTT) của các cơ quan, đợn vị, tổ
chức. Hệ thống này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích tương
quan toàn bộ các sự kiện mạng được sinh ra trong hệ thống CNTT của tổ
chức.
Ngoài ra, hệ thống giám sát an ninh mạng phát hiện kịp thời các tấn
công mạng, các điểm yếu , lỗi hổng bảo mật của các thiết bị, ứng dụng và
dịch vụ trong hệ thống. Phát hiện kịp thời sự bùng nổ virus trong hệ thống
mạng, các máy tính bị nhiễm mã độc, các máy tính bị nghi ngờ là thành viên
của mạng máy tính ma(botnet).
Để công tác giám sát an ninh mạng đạt hiệu quả cần phải xác định được
các yếu tố cốt lõi, cơ bản nhất của giám sát như:
Xác định các đơn vị, hệ thống, thiết bị, dịch vụ cần giám sát.
Xác định trang thiết bị, giải pháp phần mềm thương mại phục vụ giám
sát
Xác định phần mềm nội bộ và phần mềm nguồn mở phục vụ giám sát.
Xác định các thiết bị, công cụ, giải pháp hỗ trợ phân tích kết quả giám
sát .
Hệ thống giám sát an ninh mạng có thể được xây dựng theo một trong ba
giải pháp sau:
Giải pháp quản lý thông tin an ninh: tập trung vào việc thu thập, lưu trữ
và biểu diễn nhật ký.
Giải pháp quản lý sự kiện an ninh: tập trung vào việc phân tích và xử lý
các nhật ký đã được thu thập để đưa ra cảnh báo cho người dùng.
Phạm Hữu Thiết

10


SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
Giải pháp quản lý và phân tích sự kiện an ninh: là sự kết hợp của cả hai
giải pháp trên nhằm khắc phục những hạn chế vốn có.
Hệ thống giám sát mạng có thể giám sát các mạng có kích thước lớn,
nhỏ, trung bình. Một số loại mạng như là : Wireless or wired, Lan, VPN,
WAN.
Thị trường kinh doanh luôn đòi hỏi các chức năng trang web mới để sử
dụng nội bộ và bên ngoài. Giám sát cho phép các nhà quản lý phân bổ nguồn
lực để duy trì tính toàn vẹn của hệ thống.
Một hệ thống giám sát sẽ giúp định hướng trong môi trường phức tạp,
đưa ra các cảnh báo, người quản lý có thể sử dụng các báo cáo này để :
- Xác nhận việc tuân thủ quy định và chính sách.
- Tiết kiệm chi phí tiềm lực bằng cách tìm nguồn dữ liệu dư thừa.
- Giải quyết việc bị lấy cắp thông tin.
- Trợ giúp xác định năng suất của nhân viên.
- Xác định liên kết mạng diện rộng yếu và thắt cổ chai
- Xác định độ trể truyền tải dữ liệu
- Tìm bất thường trong mạng nội bộ có thể cho biết một mối đe dọa an
ninh.
Đối tượng của giám sát an ninh mạng là tất cả các thành phần, thiết bị
trong hệ thống mạng .
- Các máy trạm
- Cơ sở dữ liệu
- Các ứng dụng
- Các server

- Các thiết bị mạng
1.3. Lợi ích của một hệ thống giám sát an toàn mạng – SIEM
1.3.1. Quản lý tập trung
Rất nhiều tổ chức triển khai SIEM với một mục đích duy nhất: tập hợp
các dữ liệu thông qua một giải pháp nhật ký tập trung. Mỗi thiết bị đầu cuối
cần có hệ thống ghi lại sự kiện an ninh và thường xuyên truyền dữ liệu nhật
ký (log) này về máy chủ SIEM. Một máy chủ SIEM nhận dữ liệu nhật ký từ
rất nhiều thiết bị khác nhau và sau đó sẽ thực hiện thống kê, phân tích, báo
Phạm Hữu Thiết
11
SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
cáo để tạo ra một báo cáo duy nhất cho thấy sự tương quan giữa các sự kiện
an ninh của các thiết bị.
Một tổ chức không có các hệ thống tập trung dữ liệu nhật ký sẽ cần rất
nhiều công sức trong việc tập hợp báo cáo. Trong môi trường như vậy, cần
phải tạo ra báo cáo riêng về tình trạng hoạt động cho mỗi thiết bị đầu cuối,
hoặc lấy dữ liệu định kì bằng cách thủ công từ mỗi thiết bị rồi tập hợp chúng
lại và phân tích để thành một báo cáo. Khó khăn xảy ra là không nhỏ do sự
khác biệt hệ điều hành, ứng dụng và các phần mềm khác nhau dẫn đến các
nhật ký sự kiện an ninh được ghi lại khác nhau. Chuyển đổi tất cả thông tin đó
thành một định dang chung đòi hỏi việc phát triển hoặc tùy biến mã nguồn
rất lớn.

Hình 1.1. Phương pháp thu thập dữ liệu.
Một lí do khác cho thấy tại sao SIEM rất hữu ích trong việc quản lý và
báo cáo tập trung là việc hỗ trợ sẵn các mẫu báo cáo phù hợp với các chuẩn

quốc tế như Health Insurance Portability and Accountability Act (HIPAA),
Payment Card Industry Data Security Standard (PCI DSS) và Sarbanes-Oxley
Act (SOX). Nhờ SIEM, một tổ chức có thể tiết kiệm đáng kể thời gian, nguồn
lực để đạt được đủ các yều cầu về báo cáo an ninh định kỳ.
1.3.2. Giám sát an toàn mạng
Lí do chính cho việc triển khai SIEM là hệ thống này có thể phát hiện ra
các sự cố mà các thiết bị thông thường không phát hiện được. Thứ nhất, rất
nhiều thiết bị đầu cuối có phần mềm ghi lại sự kiện an ninh nhưng không tích
Phạm Hữu Thiết
12
SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
hợp khả năng phát hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các
nhật ký, chúng luôn thiếu khả năng phân tích để xác định các dấu hiệu của
hành vi độc hại.
Lý do thứ hai nâng cao khả năng phát hiện của SIEM là chúng có thể
cho thấy sự tương quan sự kiện giữa các thiết bị. Bằng cách thu thập sự kiện
của toàn tổ chức, SIEM có thể thấy được nhiều phần khác nhau của các cuộc
tấn công thông qua nhiều thiết bị và sau đó tái cấu trúc lại chuỗi sự kiện và
xác định cuộc tấn công ban đầu là gì và nó đã thành công hay chưa. Nói theo
cách khác, trong khi một giải pháp ngăn chặn xâm nhập IPS có thể thấy được
một phần của một cuộc tấn công và hệ điều hành của máy chủ mục tiêu cũng
cho thấy được một phần khác của cuộc tấn công đó, một SIEM có thể kiểm
tra dữ liệu nhật ký của tất cả sự kiện này và xác định máy chủ mục tiêu đó đã
bị nhiễm mã độc, hay tấn công thành công hay chưa, từ đó có thể thực hiện
cách li chúng ra một mạng riêng và xử lí cuộc tấn công.
Cần hiểu rằng SIEM không thay thế các sản phẩm kiểm soát an ninh

phát hiện tấn công như hệ thống ngăn chặn xâm nhập IPS, công nghệ tường
lửa và phần mềm diệt virus. Một SIEM độc lập không có tác dụng gì ngoài
theo dõi các sự kiện an ninh đang diễn ra. SIEM được thiết kế để sử dụng các
dữ liệu nhật ký được ghi lại bởi các phần mềm khác nhau từ đó phân tích
tương quan và đưa ra các cảnh báo.
Ngoài ra, rất nhiều sản phẩm SIEM có khả năng ngăn chặn các cuộc tấn
công mà chúng phát hiện khi các cuộc tấn công đang diễn ra. SIEM không tự
mình trực tiếp ngăn chặn các cuộc tấn công, thay vào đó nó kết nối vào hệ
thống an ninh khác của doanh nghiệp như tường lửa và chuyển chúng đến
phần cấu hình để ngăn chặn hành vi độc hại. Điều này cho phép SIEM ngăn
chặn các cuộc tấn công không nhận biết được bởi các thành phần an ninh
khác của doanh nghiệp.
Để có những bước tiến xa hơn, một tổ chức cần tìm kiếm và thu thập các
IEM (các thông tin về các mối nguy hại, hình thức tấn công…) từ các nguồn
bên ngoài đáng tin cậy. Nếu SIEM phát hiện bất cứ hành vi độc hại nào đã
biết liên quan đến thiết bị đầu cuối, nó sẽ phản ứng ngăn chặn các kết nối
Phạm Hữu Thiết

13

SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
hoặc làm gián đoạn, cách ly thiết bị đang tương tác với thiết bị khác nhằm
ngăn ngừa cuộc tấn công từ điểm đầu tiên.
1.3.3. Cải thiện hoạt động xử lý sự cố hiệu quả
Một lợi ích khác của các sản phẩm SIEM là gia tăng đáng kể hiệu quả
việc xử lý sự cố, tiết kiệm đáng kể thời gian và nguồn lực đối cho các nhân

viên xử lý sự cố. SIEM cải thiện điều này bằng cách cung một một giao diện
đơn giản để xem xét tất cả dữ liệu nhật ký an ninh từ nhiều thiết bị đầu cuối.
Ví dụ:
- Cho phép nhân viên xử lý sự cố nhanh chóng phát hiện một mũi của
cuộc tấn công vào doanh nghiệp.
- Cho phép xác định nhanh chóng tất cả thiết bị đầu cuối bị ảnh hưởng
bởi cuộc tấn công.
- Cung cấp cơ chế tự động nhằm ngăn chặn các cuộc tấn công đang diễn
ra và cách ly các thiết bị đầu cuối đã bị xâm hại.
- Lợi ích của các sản phẩm SIEM khiến chúng trở nên cần thiết hơn bao
giờ hết, đặc biệt đối với các cơ quan nhà nước, ngân hàng, các doanh nghiệp
tài chính, các tập đoàn công nghệ…
- Sản phẩm SIEM cho phép tổ chức có được bức tranh toàn cảnh về các
sự kiện an ninh xảy ra. Bằng cách tập hợp các dữ liệu nhật ký an ninh từ các
trạm kiểm soát an ninh, hệ điều hành của thiết bị đầu cuối, ứng dụng và các
phần mềm khác, SIEM có thể phân tích một lượng lớn dữ liệu nhằm xác định
các cuộc tấn công và xâm hại ẩn dấu đằng sau các dữ liệu này.
1.4. Một số sản phẩm giám sát an ninh mạng
1.4.1. Công cụ SPlunk

Hình 1.2. Công cụ Splunk.
Phạm Hữu Thiết

14

SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin

Splunk là một phần mềm giám sát mạng dựa trên sức mạnh của việc
phân tích Log. Splunk thực hiện các công việc tìm kiếm, giám sát và phân
tích các dữ liệu lớn được sinh ra từ các ứng dụng, các hệ thống và các thiết bị
hạ tầng mạng. Nó có thể thao tác tốt với nhiều loại dịnh dạng dữ liệu khác
nhau (Syslog, csv, apache-log, access_combined…). Splunk được xây dựng
dựa trên nền tảng Lucene and MongoDB với một giao diện web hết sức trực
quan.
CHÍNH SÁCH BẢN QUYỀN: Splunk cung cấp 2 bộ miễn phí và trả
phí cho người dùng
- Sản phẩm trả phí: Có tất cả các chức năng của Splunk, không hạn chế
kích thước dữ liệu.
- Sản phẩm miễn phí: Hạn chế một số chức năng, hạn chế khối lượng dữ
liệu mỗi ngày là 500MB. Bao gồm các chức năng: Đánh chỉ mục dữ liệu, tìm
kiếm trong thời gian thực, thống kế và kết xuất báo cáo.
TÍNH NĂNG:
- Định dạng Log: Hỗ trợ hầu như tất cả các loại log của hệ thống, thiết bị
hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register của các
máy trạm ….
- Các hình thức thu thập dữ liệu: Splunk có thể thực hiện việc thu thập
log từ rất nhiều nguồn khác nhau. Từ một file hoặc thư mục (kể cả file nén)
trên server, qua các kết nối UDP, TCP từ các Splunk Server khác trong mô
hình Splunk phân tán, từ các Event Logs, Registry của Windows …Splunk kết
hợp rất tốt với các công cụ thu thập log khác.
- Cập nhật dữ liệu: Splunk cập nhật dữ liệu liên tục khi có thay đổi trong
thời gian thực. Giúp cho việc phát hiện và cảnh báo trong thời gian thực.
- Đánh chỉ mục dữ liệu: Splunk có thể đánh chỉ mục dữ liệu với một khối
lượng dữ liệu rất lớn trong một khoảng thời gian ngắn. Giúp việc tìm kiếm
diễn ra nhanh chóng và thuận tiện.
- Tìm kiếm thông tin: Splunk làm việc rất tốt với dữ liệu lớn và cập nhật
liên tục. Nó cung cấp cơ chế tìm kiếm với một “Splunk Language” cực kỳ

thông minh bao gồm các từ khóa, các hàm và cấu trúc tìm kiếm giúp người sử
dụng có thể truy xuất mọi thứ, theo rất nhiều tiêu chí từ tập dữ liệu rất lớn.
Phạm Hữu Thiết

15

SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
Những nhà quản trị mạng cao cấp và chuyên nghiệp thường gọi Splunk với
cái tên “Splunk toàn năng” hay “Splunk as Google for Log files” để nói lên
sức mạnh của Splunk.
- Giám sát và cảnh báo: Splunk cung cấp cho người dùng một cơ chế
cảnh báo dựa trên việc tìm kiếm các thông tin do chính người sử dụng đặt ra.
Khi có vấn đề liên quan tới hệ thống phù hợp với các tiêu chí mà người dùng
đã đặt ra thì hệ thống sẽ cảnh báo ngay tới người dùng (cảnh bảo trực tiếp qua
giao diện, giử Email).
- Khắc phục sự cố: Splunk còn cung câp một cơ chế tự động khắc phục
với các vấn đề xảy ra bằng việc tự động chạy các file Script mà người dùng tự
tạo (Ví dụ như: Chặn IP, đòng Port …) khi có các cảnh báo xảy ra.
- Hiển thị thông tin: Splunk cung cấp một cơ chế hiển thị rất trực quan
giúp người sử dụng có thể dễ dàng hình dung về tình trạng của hệ thống, đưa
ra các đánh giá về hệ thống. Splunk còn từ động kết xuất ra các báo cáo với
nhiều loại định dạng một cách rất chuyên nghiệp.
- Phát triển: Cũng cung cấp các API hỗ trợ việc tạo các ứng dụng trên
Splunk của người dùng. Một số bộ API điển hình như Splunk SDK (Cung cấp
các SDK trên nền tảng Python, Java, JS, PHP), Shep (Splunk Hadoop
Intergration – Đây là sự kết hợp giữa Splunk và Hadoop), Shuttl (Là một sản

phẩm hỗ trợ việc sao lưu dữ liệu trong Splunk), Splunkgit (Giúp bạn hình
dung dữ liệu tốt hơn), Splunk power shell resource Kit (Bộ công cụ hỗ trợ
việc mở rộng và quản lý hệ thống).
LƯU Ý:
- Splunk mạnh về khả năng phân tích và cảnh báo tuy nhiên nó lại không
mạnh và không đảm bảo về việc thu thập và truyền tải log. Cụ thể là nó chưa
có cơ chế bảo mật trên đường truyền, không phù hợp với những hệ thống đòi
hỏi bảo mật cao.
- Để phát huy hết được sức mạnh của Splunk cần có thời gian tìm hiểu
và sử dụng. Nó chưa có cơ chế giúp tự động phát hiện ra các tấn công hay các
vấn đề từ bên ngoài. Nhưng điều này phụ thuộc vào kinh nghiệm sử dụng và
vốn hiểu biết của người quản trị.
Phạm Hữu Thiết

16

SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
- Đề triển khai được một hệ thống sử dụng Splunk hiệu quả chúng ta
cũng cần có một hệ thống riêng, đây cũng là một trở ngại không nhỏ với các
hệ thống có quy mô trung bình và nhỏ.
TRIỂN KHAI:
- Với một hệ thống lớn để triển khai được Splunk chúng ta cần phải có
một Server riêng để tập trung Log. Tuy nhiên Splunk làm không tốt việc tập
trung Log từ các Server hay thiết bị khác. Vì thế chúng ta cần sử dụng một số
công cụ khác để thực hiện việc tập trung Log và về Splunk Server. Cụ thể là
ta có thể kết hợp với syslog, Snare (for Windows), sử dụng qua Heroku ….

- Triển khai hệ thống phân tán: Splunk hỗ trợ người dùng thiết lập một
hệ thống phân tán khi lượng dữ liệu là quá lớn vượt qua khả năng lưu trữ và
xử lý của một máy.

Hình 1.3. Mô hình triển khai Splunk cho doanh nghiệp
1.4.2. Loggly
Là một dịch vụ quản lý Log trực tuyến dựa trên mô hình điện toán đám
mây. Nó được phát triển bời chính các nhân viên đã từng làm việc với Splunk.
Là một dịch vụ giúp người dùng dễ dàng để triển khai một hệ thống giám sát
an ninh mạng. Cụ thể là mọi dữ liệu về Log sẽ được chuyển đến Loggly
Server quan các client như snare hoặc một công cụ do Loggly cung cấp. Dữ
liệu được chuyển về server của Loggly sẽ được xử lý, phân tích và đưa ra các
cảnh báo tới các nhà qsssuản trị.
CHÍNH SÁCH BẢN QUYỀN
Loggly là một dịch vụ trả phí. Người sử dụng cần phải trả phí để sử dụng
(Có miễn phí dùng thử 30 ngày).
Phạm Hữu Thiết
17
SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
TÍNH NĂNG: Loggy cung cấp các chức năng gần giống với Splunk với
việc tìm kiếm thông tin trên Log, hiển thị dưới dạng biểu đồ một cách trực
quan, cảnh báo tới người sử dụng khi hệ thống có vấn đề.
- Hỗ trợ định dạng: Khác với Splunk, Loggly chỉ hoạt động tốt với
Syslog. Muốn xử dụng các loại Log khác chúng ta cần phải convert chúng về
Syslog để sử dụng.
- Thu thập thông tin: Loggly xây dựng trên mô hình SaaS (Software as a

Service). Nên để thu thập Log chúng ta chỉ cần cấu hình hệ thống với một
client được cung cấp để gửi Syslog tới và xử lý tại Server của Splunk.
- Đánh chỉ mục dữ liệu: Loggly có thể thực hiện việc đánh chỉ mục dữ
liệu một cách nhanh chóng và tối ưu.
- Tìm kiếm thông tin: Loggly cung cấp một cơ chế tìm kiếm thông minh
và nhanh chóng có thể xác định sự cố và có thể thiết lập các cảnh báo. Tuy
không đầy đủ các tính năng như tìm kiếm với Splunk nhưng cơ chế Loggly
cũng giúp người quản trị có thể tìm kiếm và thiết lập các vấn đề mà người
quản trị mong muốn.
- Cảnh báo và giám sát: Loggly cung cấp một giao diện hiển thị tình
trạng, kết quả tìm kiếm bằng biểu đồ rất trực quan giúp người quản trị dễ
dàng hình dung hệ thống. Cũng giống như Splunk cơ chế cảnh báo của
Loggly cũng hoạt động dựa trên việc thiết lập tìm kiếm thông tin trên Log,
cảnh báo tới người dùng khi có một (nhiều) các bản ghi phù hợp với cú pháp
tìm kiếm theo những cấu hình của người sử dụng.
NHƯỢC ĐIỂM:
- Do hoạt động trên mô hình Service nên hiệu suất của Loggly không
thực sự thích hợp với những hệ thống ở mức độ doanh nghiệp lớn.
- Việc truyền tải một lượng dữ liệu lớn cũng làm giảm hiệu suất trong
việc phân tích và cảnh báo. Đặc biệt là với những mạng có tốc độ truy cập
thấp.
- Loggly không hỗ trợ các tính năng tự động khắc phục lỗi. (tự động
chạy script đã cấu hình sẵn để khắc phục lỗi).
TRIỂN KHAI
Phạm Hữu Thiết

18

SPLUNK



Đồ án tốt nghiệp
Khoa an toàn thông tin
- Triển khai hệ thống với Loggly rất đơn giản bằng việc chúng ta chỉ cần
đăng ký một tài khoản, thực hiện cấu hình để gửi Syslog tới Loggly Server là
chúng ta đã có thể sử dụng đầy đủ các tính năng của Loggly.
- Rất thích hợp với những hệ thống ở quy mô nhỏ và vừa.
1.4.3. Syslog-Ng
Syslog-ng là một công cụ thu thập Log rất hiệu quả và linh hoạt là sự lựa
chọn của rất nhiều nhà quản trị mạng trong việc xây dựng một hệ thống log
tập trung. Syslog-ng được xây dựng dựa trên chuẩn syslog trên nền tảng Unix
và các hệ điều hành tương tự. Gồm xây dựng với 2 thành phần Syslog-ng
client và Syslog-ng Server. Các Client thực hiện việc thu thập log quan trọng
gửi tới máy chủ tập trung và lưu trữ.
CHÍNH SÁCH BẢN QUYỀN: Syslog-ng là một phần mềm mã nguồn
mở được phát triển trên nền tảng của Syslogd. Hiện nay nó có hai phiên bản
và được phát triên bởi Balabit IT Security Ltd
- Phiên bản miễn phí: Syslog-ng Open Source Edition (OSE).
- Phiên bản trả phí độc quyền: Premium Edition (PE).
TÍNH NĂNG
- Thu thập dữ liệu: Syslog-client thực hiện việc tập trung log từ các host
và gửi về Syslog server. Syslog-ng thực hiện việc thu thập log từ các server
khác nhau dựa trên giao thức TCP, đảm bảo không bị mất mát thông tin trên
đường truyền. Syslog-ng cung cấp một cơ chế truy xuất log an toàn dựa trên
SSL/TLS.
- Định dạng log: Theo mặc định Syslog-ng chỉ hỗ trợ chuẩn, Syslog
trong Unix. Theo mặc đinh Windows không hỗ trợ Syslog.Tuy nhiên chúng ta
có thể sử dụng một số biện pháo để chuyển các loại log về dạng Syslog.
Syslog-ng cũng hoạt động rất tốt trên những môi trường (hệ điều hành, phần
cứng) khác nhau: Linux, BSD, Sun Solaris, HP-UX, AIX và Unix khác.

- Lưu trữ: Với Syslog-ng, ta có thể lưu trữ dữ liệu vào cơ sở dữ liệu cho
phép tìm kiếm và truy vấn dễ dàng. Syslog-ng hỗ trợ các hệ CSDL: MSSQL,
MYSQL, Oracle và PostgreSQL.
- Lọc và phân loại: Syslog-ng cung cấp cơ chế lọc nhằm phân loại các
Log message và cũng hạn chế lượng dữ liệu đổ về server log từ các client. Cơ
Phạm Hữu Thiết

19

SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
chế lọc của Syslog-ng dựa trên các thông số khác nhau như source host, ứng
dụng, sự ưu tiên trong Log message.
- Cơ chế thu thập Log: Syslog-ng client được đặt trên các các client sẽ
thực hiệc việc thu tập các loại Log trên client đó. Sau đó dữ liệu sẽ được đi
qua bộ phận lọc của syslog-ng (gồm những luật đã được cấu hình trước). Sau
đó mới được gửi đến các Server log hoặc chuyển đến một Relay server rồi
mới chuyển tới Log Server.
NHƯỢC ĐIỂM:
- Syslog-ng không phải là 1 phần mềm phân tích cho nên syslog-ng chỉ
có thể lọc những log message phù hợp với 1 số tiêu chí định trước. Syslogng không thể làm tốt nhiệm vụ phân tích và cảnh báo các nguy cơ đến người
quản trị.
TRIỂN KHAI
- Để triển khai một hệ thống syslog-ng ta cần có 2 thành phần là một
server được cài đặt syslog-ng server và các client được cài đặt trên các client
để thu thập log. Một điểm đáng chú ý là Syslog không hỗ trợ windows.
1.4.4. Logzilla (Php Syslog-Ng)


Hình 1.4. Mô hình hoạt động của Logzilla
Phạm Hữu Thiết

20

SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
Là phần mềm mã nguồn mở hỗ trợ việc quản lý Log tập trung được phát
triển dự trên PHP-Syslog-ng. Logzilla có thể quản lý với hàng triệu thông
điệp Log, hàng ngàn thiết bị cùng lúc. Được xây dựng trên nền web với một
giao diện quản lý trực quan và thuận tiện cho người dùng. Là sự lựa chọn của
nhiều nhà quản lý và giám sát anh ninh mạng.
TÍNH NĂNG
- Thu thập dữ liệu: LogZilla mặc định không hỗ trợ việc thu thập Log từ
các thiết bị hay các Server khác nó tập trung vào việc thực hiện trên Log đã
có dựa trên việc thu thập Log của Syslog-ng.
- Hỗ trợ định dạng Log: Theo mặc định LogZilla chỉ hỗ trợ Syslog chuẩn
Syslog giống như Syslog-ng. Tuy nhiên, nó có thể hỗ trợ quản lý các sự kiện
trong Windows.
- Tìm kiếm thông tin: LogZilla cung cấp một giao diện tìm kiêm theo từ
khóa và theo một số thuộc tính khá trực quan và thông minh. Tuy không được
đánh giá cao như SPLUNK nhưng LogZilla cũng được các nhà quản trị mạng
đánh giá khá cao về chức năng tìm kiếm các thông tin trong Log.
- Cảnh báo và giám sát mạng: LogZilla hỗ trợ việc phát hiện các sự kiện
một cách nhanh chóng trong thời gian thực. Có thể nhanh chóng phát hiện các
điểm suy thoái của các thiết bị và máy chủ. LogZilla cũng hỗ trợ việc cảnh

báo qua Email.
- Trích xuất thông tin: LogZilla cũng hỗ trợ việc tạo kết xuất ra các báo
cáo theo các định dạng: Excel và CSV. LogZilla còn hỗ trợ việc hiển thị dưới
một số dạng biểu đồ giúp người quản trị dễ dàng hình dung hệ thống một cách
trực quan.
TRIỂN KHAI
- LogZilla nhìn chung chỉ thực hiện việc tìm kiếm và quản lý các thông
tin đã có trên Log một cách nhanh chóng. Ta cần thiết phải kết hợp với các
công cụ khác để tập trung và xử lý Log hiệu quả hơn (Syslog-ng).
- Để triển khai LogZilla ta cần kết hợp với một hệ thống thu thập Log
khác thực hiện công việc thu thập thông tin từ các máy chủ và thiết bị khác
trên mạng.
TRIỂN KHAI
Phạm Hữu Thiết

21

SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
- Triển khai một hệ thống LogZilla hoạt động tương đối dễ dàng ta chỉ
cần thực hiện cấu hình trên Syslog-ng Server để đọc các dữ liệu mà Syslog-ng
đã lưu trữ.

Phạm Hữu Thiết

22


SPLUNK


Đồ án tốt nghiệp

Khoa an toàn thông tin

1.4.5. HP ArcSight Logger
HP ArcSight Logger là một sản phẩm trong bộ sản phẩm ArcSight của
Hp. Nó cung cấp một giải pháp hiệu quả về trong việc quản lý log. Nó có khả
năng thu thập, phân tích và lưu trữ với một khối lượng Log lớn với nhiều loại
định dạng khác nhau. Nó hỗ trợ việc triển khai hệ thống dưới nhiều hình thức
như thiết bị, phần mềm, máy ảo hoặc các dịch vụ đám mây.
CHÍNH SÁCH BẢN QUYỀN: HP ArcSight Logger cung cấp 2 phiên
bản dùng thử và trả phí.
- Với phiên bản trả phí, có đầy đủ các tính năng của HP ArcSight Logger
và không giới hạn về khối lượng dữ liệu.
- Phiên bản dùng thử được hỗ trợ xử lý với dữ liệu 750 MB/ngày. Hạn
chế một số chức năng: Hỗ trợ triển khai hệ thống phân tán và Support từ các
chuyên gia của hệ thống của HP.
TÍNH NĂNG
- Hỗ trợ nhiều loại định dạng Log: Syslog, Eventlog, Device Log …
- Phân tích toàn diện dữ liệu.
- Cảnh báo và giám sát hệ thống trong thời gian thực.
- Đánh chỉ mục dữ liệu, tìm kiếm và kết xuất báo cáo.
- Đi sâu vào việc phân tích ngữ cảnh từ các thông tin nhận được.
TRIỂN KHAI
- Ta có thể dễ dàng triển khai HP ArcSight Logger như một thiết bị, một
phần mềm hay một dịch vụ đám mây.
- HP ArcSight Logger hỗ trợ việc triển khai hệ thống phân tán một cách

dễ dàng.
1.4.6. Nagios
Nagios là một hệ thống dùng để giám sát một hệ thống mạng. Nagios
thực hiện việc theo dõi và đưa ra các cảnh báo về trạng thái các host và các
dịch vụ. Nó được xây dựng trên nền Linux và đã hỗ trợ hầu hết các hệ điều
hành tương tự Linux. Một điểm khác so với các công cụ khác là Nagios giám
sát dựa tình trạng hoạt động của các máy trạm và dịch vụ. Nó sử dụng các
Plug-in được cài đặt trên các máy trạm, thực hiện việc kiểm tra các máy trạm
và dịch vụ theo định kỳ và gửi thông tin trạng thái về Nagios Server sau đó
Phạm Hữu Thiết

23

SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
thông tin sẽ được đưa lên với một giao diện Web (Sử dụng Nagvis) và có thể
gửi thông tin về trạng thái tới nhà quản trị qua email, SMS… khi có sự cố xảy
ra. Việc theo dõi có thể được cấu hình một cách chủ động hoặc bị động dựa
trên mục đích sử dụng của người quản trị.
CHÍNH SÁCH BẢN QUYỀN: Cung cấp 2 phiên bản miễn phí và trả
phí hỗ trợ các hệ thống nhỏ và cả các hệ thống doanh nghiệp.
TÍNH NĂNG
- Giám sát các dịch vụ mạng (SNMP, POP3, HTTP, NNTP, PING…) và
các tài nguyên của các máy trạm (processor load, disk usage…).
- Dễ dàng phát triển các plug-in riêng. Chophép người sử dụng dễ dàng
phát triển các dịch vụ giám sát nhu cầu sử dụng bằng việc sử dụng các ngôn
ngữ shell script, C ++, Perl, Ruby, Python, PHP, C# ….).

- Việc giám sát các dịch vụ là song song.
- Có khả năng phát hiện và phân biệt được host nào là down và host nào
là unreachable.
- Thông tin cảnh báo (khi host và các dịch vụ xảy ra xự cố) bằngemail,
SMS sử dụng 3G, …
- Sử dụng giao diện Web để theo dõi trạng thái của mạng, xem lịch sử
các cảnh báo và các sự cố xảy ra.
TRIỂN KHAI
- Nagios chỉ hoạt động trên các máy chủ chạy hệ điều hành họ
Unix/Linux.
- Để triển khai một hệ thống Nagios ta cần một Server chạy Nagios được
cấu hình để có thể thực hiện việc nhận thông báo trạng thái từ các Plug-in đã
được cài đặt trên các máy trạm.
- Nagios có thể hoạt động tốt với Splunk. Hỗ trợ việc tìm kiếm và cảnh
báo hiệu quả hơn.
- Nagios cũng hỗ trợ việc xây dựng một hệ thống phân tán giúp cân bằng
tải và hoạt động ổn định hơn trong các hệ thống lớn.
- Một số Plug-in điển hình: NRPE(giám sát thông tin từ xa), NSCA(hỗ
trợ việc giám sát chủ động), NDOUtils (Hỗ trợ việc lưu trữ dữ liệu),
Phạm Hữu Thiết

24

SPLUNK


Đồ án tốt nghiệp
Khoa an toàn thông tin
PNP4Nagios (Hỗ trợ việc phân tích dữ liệu), Nagvis(Hỗ trợ việc hiển thị và
biểu diễn trạng thái) …


Hình 1.5. Mô hình triển khai Nagios

Phạm Hữu Thiết

25

SPLUNK


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×