HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------
THIENXAY BOLIBOUN
NGHIÊN CỨUVỀ HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG
CHO TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH LÀO LaoCERT
CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN
MÃ SỐ: 60.48.01.04
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI – 2017
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS.TS. HOÀNG ĐĂNG HẢI
Phản biện 1: T.S. Vũ Hữu Tiến
Phản biện 2: PGS.TS. Hà Quốc Trung
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu
chính Viễn thông
Vào lúc: ............... giờ.............. ngày ......... tháng ........... năm ...................
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
LỜI MỞ ĐẦU
Hiện nay mạng Internet ở Lào đang có sự phát triển nhanh chóng ngày càng
phổ biển rộng rãi góp phần quan trọng vào phát triển kinh tế, văn hóa và xã hội tại
Lào cho mọi người để trao đổi chia sẻ, tìm kiếm thông tin và các tài nguyên trên
mạng. Các vụ tấn công trên mạng Internet cũng tăng lên nhanh chóng, ảnh hưởng
lớn đến phát triển Internet và xã hội mà các phương pháp dùng để tấn công cũng
liên tục được hoàn thiện. Những vụ tấn công nhằm tất cả vào các máy tính đang kết
nối vào mạng Internet các máy tính tất cả của các công ty lớn, ngân hàng, các
trường đại học, cơ quan, tổ chức và doanh nghiệp.
Việc giám sát an toàn mạng là hoạt động lựa chọn đối tượng giám sát, phân
tích trạng thái trong thông tin của đối tượng giám sát nhằm xác định những nhân tố
ảnh hưởng đến an toàn hệ thống thông tin, bảo đảm tính nguyên vẹn, tính bảo mật,
cảnh báo hành vi xâm phạm an toàn thông tin mạng hoặc hành vi có khả năng gây
ra sự cố an toàn thông tin mạng. Hệ thống giám sát an toàn mạng cho LaoCERT sẽ
góp phần quan trọng vào tăng cường năng lực theo dõi, giám sát sự cố mạng tại
Lào, giúp công việc quản lý và theo dõi được tập trung và đạt hiệu quả, phù hợp
với điều kiện thực tế nhằm đáp ứng nhu cầu theo dõi, giám sát các sự cố trên
mạng, đưa ra cảnh báo.
Trong một hệ thống giám sát an toàn mạng, các máy chủ, máy trạm, máy
tính trong mạng LAN thường là mục tiêu chính trong các cuộc tấn công, truy cập
trái phép hay lấy cắp thông tin, mã hoá tài liệu. Hiện nay, các chương trình bảo
mật, phòng chống virus bảo vệ hệ thống ( Anti-Virus, IDS, IPS, Firewall...) đã
được triển khai, tuy nhiên các cuộc tấn công ngày càng tinh vi vượt qua các hệ
thống này, khi đã xảy ra tấn công thì phải mất một khoảng thời gian khá dài mới
phát hiện ra. Ngoài ra, các chương trình firewall bảo vệ mạng hiện nay hầu hết
được tích hợp trong các thiết bị phần cứng của mạng. Xây dựng hệ thống giám sát
an toàn mạng là nhằm theo dõi giám sát, phát hiện các xâm nhập trái phép để giúp
cho công việc quản trị mạng được tập trung và đạt hiệu quả cao.
1
Chương I TỔNG QUAN VỀ GIÁM SÁT AN TOÀN MẠNG
1.1 Tổng quan về một số loại tấn công mạng điển hình
1.1.2 Các giai đoạn quá trình tấn công mạng
Tấn công là một hoạt động nhằm khai thác các điểm yếu, lỗ hổng bảo mật
những điểm nhạy cảm hoặc những rủi ro tiểm ẩn trong hệ thống thông tin, mà có
tồn tại điểm yếu thì sẽ có nguy cơ bị tấn công. Các bước thực hiện tấn công mạng
có 5 giai đoạn như sau:
Trinh sát: Tìm kiếm đối tượng tấn công và điểm yếu hệ thống.
Khai thác: Là lạm dụng, làm biến chất, chia cắt các dịch vụ của mục tiêu.
Tấn công: Tin tặc tìm cách chiếm quyền điều khiển, kiểm soát hệ thống.
Duy trì cổng hậu: Trao đổi thông tin với máy nạn nhân thông qua cổng hậu.
Phá hoại: Có chủ đích, đánh cắp các thông tin nhạy cảm, tạo nền móng vững
chắc hơn bên trong hệ thống hoặc làm bất cứ gì tin tặc muốn.
1.1.3 Tấn công thăm dò
Đối với loại tấn công này, kẻ tấn công chủ yếu muốn thăm dò hệ thống, và
tập hợp các thông tin cần thiết xoay quanh tổ chức của hệ thống. Đây là loại tấn
công điển hình nhất vì muốn tấn công kiểu gì thì kẻ tấn công cũng bắt đầu bằng
một cuộc tấn công thăm dò. Kẻ tấn công dùng để tổ chức một cuộc đột nhập trái
phép hoặc một cuộc tấn công từ chối dịch vụ (DoS).
Các hình thức tấn công kiểu thăm dò bao gồm:
In dấu chân (footprinting): In dấu chân là việc dùng các công cụ và kỹ thuật để
lấy thông tin. In dấu chân một cách có hệ thống sẽ cho phép kẻ tấn công lưu trữ
đầy đủ về bố trí bảo mật tổ chức. Thông qua kết hợp các công cụ và kỹ thuật,
kẻ tấn công có thể lấy số lượng không rõ rồi rút thành dãy tên vùng cụ thể, khối
mạng, địa chỉ IP của hệ thống nối thẳng Internet.
Quét (scanning): Là quét cổng để nhận dạng các điểm yếu trong hệ thống.
Công cụ quét cổng kết nối đến máy tính để xác định dãy địa chỉ IP, máy phục
vụ DNS nào được mở và có thể truy nhập vào máy tính.
2
Liệt kê (Enumerationning): Tổng hợp thông tin về nạn nhân như các tài khoản
hợp lệ hoặc các tài nguyên từ hệ thống.
1.1.4 Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (DoS –Denial of Sevicec Attacks) là loại tấn công
điển hình hiện nay. Đây là loại tấn công mà người thực hiện có thể dùng để khiến
cho một hệ thống không thể sử dụng được hoặc làm chậm hệ thống lại, khiến nó
không thể phục vụ cho những người dùng truy cập vào dịch vụ của server. Với loại
tấn công này, kẻ tấn công cố gắng vô hiệu hóa hoặc ngắt các truy nhập mạng, khai
thác tài nguyên mạng, các dịch vụ và cả hệ thống. Mục đích của kẻ tấn công là làm
cho hệ thống không cung cấp dịch vụ được, mất kết nối, không cho phép người
dùng truy nhập ứng dụng, thay đổi nội dung, gây ảnh hưởng, thậm chí ngăn chặn
quá trình đăng nhập vào các nguồn tài nguyên mạng của những người dùng hợp lệ.
Các cách thức tấn công DoS chủ yếu như sau:
Tấn công kiểu SYN flood:
Kẻ tấn công gửi một lượng lớn gói tin yêu cầu mở kết nối (SYN-REQ) đến
máy tính nạn nhân, máy tính nạn nhân yêu cầu kết nối và dành một chỗ trong bảng
lưu kết nối trong bộ nhớ cho mỗi yêu cầu kết nối, máy tính nạn nhân sau đó gửi gói
tin xác nhận kết nối SYN-ACK để thiết lập kết nối đến kẻ tấn công.
Kiểu tấn công Land Attack
Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng kẻ tấn
công sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn
trong gói tin, đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với
chính nó.
Tấn công kiểu DDoS (Distributed Denial of Service)
Tấn công DDoS (Distributed Denial of Service) là một dạng tấn công từ
nhiều máy tính tới một đích, nó gây ra từ chối các yêu cầu hợp lệ của các User bình
thường. Bằng cách tạo ra những gói tin cực nhiều đến một đích cụ thể, nó có thể
gây tình trạng tương tự như hệ thống bị shutdown, nó được tấn công từ một hệ
thống các máy tính cực lớn trên Internet. Cách tấn công này lợi hại ở chỗ chỉ cần
3
một máy có kết nối Internet đơn giản với đường truyền bình thường cũng có thể
đánh bật được hệ thống có đường truyền tốt nhất thế giới nếu như ta không kịp
ngăn chặn.
Tấn công kiểu Smurf Attack:
Tấn công Smurf là sử dụng kiểu phát quảng bá có định hướng để gây ngập
lụt đường truyền mạng của máy nạn nhân. Kẻ tấn công gửi quảng bá một lượng lớn
gói tin ICMP (ping) với địa chỉ IP nguồn là địa chỉ của máy nạn nhân đến một
mạng sử dụng một địa chỉ quảng bá (IP Broadcast address). Các máy khác trong
mạng nhận được thông điệp ICMP sẽ gửi trả lời đến máy có địa chỉ nguồn IP (là
máy nạn nhân). Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn
thông tin và dẫn tới bị treo máy.
1.2.5 Một số loại tấn công khác
Tấn công giả mạo địa chỉ IP (IP Spoofing):
Là dạng tấn công trong đó kẻ tấn công sử dụng địa chỉ IP giả, thường để
đánh lừa máy nạn nhân để vượt qua các hàng rào kiểm soát an ninh, nếu kẻ tấn
công giả địa chỉ IP là địa chỉ cục bộ của mạng LAN. Nếu Router hoặc Firewall
không được cấu hình để nhận ra IP giả mạo của mạng LAN trong nội bộ kẻ tấn
công có thể thực hiện.
Tấn công nghe trộm (Sniffing):
Là dạng tấn công sử dụng thiết bị phần cứng hoặc phần mềm lắng nghe trên
card mạng, Hub hoặc Router để bắt các gói tin.
Tấn công người đứng giữa (Man in the middle):
Lợi dụng quá trình chuyển gói tin đi qua nhiều trạm, thuộc các mạng khác
nhau, kẻ tấn công chặn bắt các thông điệp giữa 2 bên tham gia chuyển thông và
chuyển thông điệp lại cho các bên kia, thường được sử dụng để đánh cắp thông tin.
Tấn công bằng bom thư (Mail bombing):
Là dạng tấn công Dos khi kẻ tấn công chuyển một lượng lớn email đến nạn
nhân, có thể thực hiện được bằng kĩ thuật Social Engineering hoặc khai thác lỗi
4
trong hệ thống gửi nhận email SMTP. Kẻ tấn công có thể lợi dụng các máy chủ
email không được cấu hình tốt để gửi email cho chúng.
Tấn công bằng thư rác (Spam emails):
Là những email không mong muốn, thường là các email quảng cáo, Spams
gây lãng phí tài nguyên tính toán và thời gian của người dùng (phải lọc, xóa),
Spams cũng có thể dùng để chuyển các phần mền độc hại.
Tấn công kiểu Social Engineering:
Tấn công kiểu Social Engineering là dạng tấn công sử dụng kĩ thuật xã hội
để thuyết phục người dùng tiết lộ thông tin truy cấp hoặc thông tin có giá trị cho kẻ
tấn công. Kẻ tấn công có thể mạo nhận là người có ủy quyền của người có thẩm
quyền để yêu cầu các nhân viên tiết lộ thông tin về cả nhân/ tổ chức. Kẻ tấn công
có thể lập trang web giả để đánh lừa người dùng cung cấp các thông tin cá nhân,
thông tin tải khoản và thẻ tín dụng.
Tấn công kiểu Phishing:
Một kiểu tấn công phishing là kẻ tấn công sẽ tạo ra một trang web giả
trông“giống hệt” như các trang web phổ biến. Trong tấn công phishing, kẻ tấn công
sẽ gửi một email để người dùng click vào đó và điều hướng đến trang web giả mạo,
khi người dùng đăng nhập thông tin tài khoản của họ, kẻ tấn công sẽ lưu lại tên
người và mật khẩu đó lại.
Tấn công ứng dụng web:
Tấn công ứng dụng web là khai thác các lỗ bảo mật liên quan đến ứng dụng
web. Các lỗi bảo mật ứng dụng web là nguyên nhân chủ yếu gây ra các lỗi đối với
website đang vận hành. Sau khi xác định các lỗi này, tin tặc sẽ sử dụng các kỹ thuật
khác nhau để tiến hành khai thác hệ thống đích.
1.2 Nhu cầu và vai trò của hệ thống giám sát an toàn mạng
Hệ thống giám sát an toàn mạng là hệ thống (bao gồm phần cứng và phần
mềm) để thu thập thông tin về lỗ hổng bảo mật của các thiết bị trên mạng , các
nguy cơ đe dọa hệ thống mạng, các sự cố tấn công mạng. Trên cơ sở thông tin thu
5
được, hệ thống phát hiện phân tích, phát hiện các dấu hiệu tấn công, các hành vi tấn
công, hành vi bất thường. Đưa ra cảnh báo cho người quản trị mạng, người dùng.
An toàn mạng là khái niệm để biểu thị yêu cầu bảo đảm an toàn thông tin
trên mạng thông qua việc bảo đảm an toàn cho các hệ thống mạng (máy chủ, máy
trạm, Router, Switch, Firewall, hub và cả phần mềm trên các thiết bị đó)
Hệ thống giám sát an toàn mạng đóng vai trò rất quan trọng không thể thiếu
trong hạ tầng công nghệ thông tin. Nó lưu lại một cách chính xác mọi hoạt động
của hệ thống, tình trạng hoạt động của hệ thống, các ứng dụng, các thiết bị đang
hoạt động trong hệ thống, thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn
bộ các sự kiện an toàn mạng được sinh ra trong hệ thống thông tin của tổ chức.
Ngoài ra, hệ thống giám sát mạng giúp phát hiện kịp thời các tấn công mạng, điểm
yếu, lô hổng bảo mật của các thiết bị, ứng dụng và dịch vụ trong hệ thống mạng,
các máy tính bị nhiễm mã độc và các máy tính bị nghi ngờ.
Qua khảo sát thực tế tại Lào, những nhu cầu thực tế đặt ra là hạn chế và
ngăn chặn những truy nhập trái phép vào hạ tầng công nghệ thông tin, ngăn chặn
những kết nối không đáng tin cậy, bảo mật thông tin và mã hóa làm tăng độ an toàn
cho việc truyền dữ liệu, tích hợp vào hệ thống giám sát các chương trình diệt virus
với cơ sở dữ liệu được cập nhật thường xuyên về những loại virus mới nhất.
Tuy nhiên, hiện nay hệ thống giám sát an toàn mạng vẫn chưa được xây
dựng một cách toàn diện ở Lào. Ở LaoCERT cũng đã có thử nghiệm hững hệ
thống nhỏ. Nhu cầu xây dựng một hệ thống giám sát an toàn mạng cho Lào là sự
cần thiết và LaoCERT sẽ là cơ quan xây dựng, triển khai hệ thống để phục vụ công
tác theo dõi, phát hiện, cảnh báo sự cố an toàn mạng cho cả quốc gia Lào.
Vai trò của hệ thống giám sát an toàn mạng thể hiện qua những chức năng
chính như sau:
Theo dõi, giám sát tình trạng hoạt động của mạng, hệ thống các thiết bị trên
mạng, các ứng dụng và dịch vụ trên mạng.
Phát hiện các điểm yếu, các lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trên mạng.
6
Phát hiện các máy tính bị nhiễm mã độc và các máy tính bị nghi ngờ nhiễm mã
độc.
Phát hiện các tấn công mạng, các xâm nhập trái phép, các lưu lượng bất thường
trên mạng.
Đưa ra cảnh báo kịp thời về các hiện tượng nêu trên.
Nhu cầu thực tế đặt ra là cần có một hệ thống theo dõi, giám sát an toàn
mạng, hỗ trợ cảnh báo về nguy cơ các tấn công. Đây là một vấn đề cấp bách đặt ra
đối với Bộ bưu chính Viễn thông Lào nói chung và Trung tâm ứng cứu khẩn cấp
máy tính Lào -LaCERT nói riêng.
1.3 Kiến trúc hệ thống mạng Internet của Lào và khả năng triển khai áp
dụng hệ thống giám sát an toàn mạng
Hệ thống trung tâm LANIC (Lao National Internet Center) gồm các thiết bị lõi
trong hạ tầng công nghệ thông tin của Lào cho kết nối Internet. Hệ thống trung
tâm bao gồm các bộ Router và Switch.
Hệ thống tường lửa kết nối ra Internet gồm các thiết bị tường lửa tạo ra vành
đai bảo vệ, thực hiện kiểm soát vào/ra Internet.
Hệ thống hạ tầng mạng của các ISP (Internet Service Provider). Hiện tại có 5
nhà mạng kết nối vào hạ tầng Internet của Lào gồm: LTC, ETL, Unitel, Beeline
và Sky Telecom.
1.4 Kết luận chương
Nội dung chương một đã nêu lên được tổng quan về một số loại tấn công
mạng điển hình, làm rõ tấn công thăm dò, tấn công từ chối dịch vụ và một số loại
tấn công khác. Trên cơ sở đó, luận văn đã trình bày về nhu cầu và vai trò của hệ
thống giám sát an toàn mạng trong kiến trúc hệ thống mạng của Lào và khả năng
triển khai áp dụng hệ thống giám sát tại hệ thống trung tâm LANIC.
7
Chương II CÁC THÀNH PHẦN HỆ THỐNG GIÁM SÁT
AN TOÀN MẠNG
2.1 Giới thiệu chương
Nội dung chương hai sẽ giới thiệu về các thành phần, kiến trúc hệ thống, kỹ
thuật theo dõi, phát hiện xâm nhập, cảnh báo của một hệ thống giám sát mạng, vấn
đề giám sát lưu lượng mạng, tấn công. Chương này có đi sâu tìm hiểu một số
phương thức và kỹ thuật thu thập thông tin dựa vào trích xuất gói tin thường gặp
đồng thời có mô tả một số phương pháp, mô hình phát hiện lưu lượng bất thường
và kết nối bất thường.
2.2 Mô hình kiến trúc hệ thống giám sát an toàn mạng
Mô hình kiến trúc hệ thống giám sát an toàn mạng là hệ thống giám sát các
sự cố, thu thập thông tin nhật ký các sự kiện an toàn mạng từ các thiết bị đầu cuối,
lưu trữ dữ liệu một cách tâp trung, theo dõi tình trạng hoạt động của các thiết bị và
máy tính trong hệ thống. Hệ thống bao gồm một phần mềm ghi nhận thông tin và
giúp người quản trị hệ thống có thể ghi nhận, theo dõi các thông tin qua nó.
8
2.2.1 Thành phần trung tâm của hệ thống giám sát an toàn mạng
Thành phần trung tâm của hệ thống giám sát an toàn mạng có tên là Bộ
quản lý sự kiện và thông tin an toàn mạng (SIEM - Security Information and Event
Manager). Đây là thành phần quan trọng nhất của hệ thống giám sát an toàn mạng,
có nhiệm vụ tổng hợp và phân tích thông tin. Thông tin được thu thập từ các phần
mềm ghi nhận thông tin tại các thiết bị đầu cuối, các vị trí giám sát đặt trên mạng.
Thông tin đó được SIEM tổng hợp và tiến hành phân tích để nhận ra các cuộc tấn
công, các xâm hại vào hệ thống, các dấu hiệu hành vi chính sách an toàn mạng,
phát hiện bất cứ hành vi độc hại nào đã biết liên quan đến thiết bị đầu cuối. Việc
thu thập thông tin log từ tất cả các thiết bị mạng, các thiết bị an ninh, từ máy chủ,
máy trạm và từ các ứng dụng nhằm lưu trữ lâu dài và quản lý tập trung theo thời
thực, phục vụ cho công tác thống kê và điều tra khi cần thiết.
2.2.2 IP sec VNP gateway
Các kết nối từ các vị trí giám sát trên mạng về trung tâm giám sát an toàn
mạng được bảo mật thông qua VNP gateway, thực hiện với giao thức bảo mật
IPSec.
2.2.3 IDS / IPS
IDS (Intrusion Detection System) và IPS (Intrusion Prevention System) có
thể là thiết bị (máy tính cài đặt phần mềm chuyên dụng) hoặc là phần mềm chuyên
dụng cho phát hiện xâm nhập trái phép và ngăn chặn xâm nhập. Đa phần các IDS
hiện đại đều có cài đặt thêm phần chống xâm nhập, nghĩa là IPS. Do vậy, hiện nay
IDS và IPS được coi là một.
IDS/IPS được cài đặt phương pháp phát hiện và có khả năng chống lại các
kiểu tấn công mới, các hành vi lạm dụng, dùng sai xuất phát từ trong hệ thống và
có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Tuy nhiên ở
LaoCERT hiện nay các hệ thống này vẫn mới đang được nghiên cứu, chưa được
ứng dụng triển khai nhiều trong thực tế.
2.3 Các chức năng tối thiểu của hệ thống giám sát an toàn mạng
2.3.1 Bốn hoạt động thiết yếu
9
Mô tả bốn hoạt động thiết yếu của hệ thống giám sát an toàn mạng gồm:
Thu thập dữ liệu
Phân tích dữ liệu
Phát hiện xâm nhập
Cảnh báo
2.3.2 Các chức năng chủ yếu của hệ thống giám sát an toàn mạng
Thu thập dữ liệu (Collection)
Thu thập dữ liệu bao gồm các nhiệm vụ như sau:
Xác định các vị trí có điểm yếu tồn tại trong hệ thống của các ISP
Xác định các nguy cơ xảy ra tấn công mạng
Xác định nguồn dữ liệu có liên quan
Tinh chế nguồn dữ liệu thu thập được
Cấu hình cổng SPAN để thu thập dữ liệu gói tin từ các vị trí giám sát trên
mạng.
Xây dựng cơ sở dữ liệu (SAN) cho lưu giữ nhật ký
Cần hình phần cứng và phần mềm thu thập dữ liệu tại các vị trí giám sát.
Phân tích dữ liệu (Analysis)
Phân tích là giai đoạn đã thu thập được những thông tin về hệ thống thì công
việc tiếp theo là phân tích thông tin, cụ thể là việc thực hiện chỉ mục hóa dữ liệu,
phát hiện những điều bất thường, những mối đe dọa của hệ thống.
Phân tích dữ liệu có thể được thực hiện với các nhiệm vụ sau:
10
Phân tích gói tin đã thu được
Phân tích tình trạng mạng
Phân tích tình trạng máy chủ
Phân tích sự kiện do phần mềm độc hại gây ra.
Phát hiện (Detection)
Phát hiện là quá trình tiếp theo phân tích dữ liệu. Qua đó dữ liệu thu thập
được phân tích sẽ được kiểm tra dựa trên các sự kiện quan sát được và dữ liệu thu
thập không được như mong đợi. Kết quả là tạo ra các dữ liệu phục vụ cho việc
cảnh báo.
Cảnh báo (Alert)
Cảnh báo là quá trình tiếp theo phát hiện. Các kết quả phát hiện được chọn
lọc, đưa ra cảnh báo tùy theo từng mức độ nguy hiểm.
2.3.3 Các kỹ thuật phân tích
Nhiệm vụ chính các hệ thống theo dõi, giám sát bảo vệ cho hệ thống máy
tính dựa trên phân tích các hành vi, phân tích các dấu hiệu tấn công và đưa ra cảnh
báo. Việc nhận ra kẻ xâm nhập là một trong những nhiệm vụ cơ bản.
Phân tích dựa trên dấu hiệu hay còn gọi là phát hiện sử dụng sai. Phương
pháp phân biệt giữa các hoạt động thông thường của người dùng và hoạt động bất
thường để tìm ra được các tấn công nguy hiểm kịp thời
2.3.4 Các kỹ thuật phát hiện
Phát hiện xâm nhập là một chức năng của phần mềm thực hiện phân tích các
dữ liệu thu thập được để tạo ra dữ liệu cảnh báo. Phát hiện xâm nhập trái phép
(Intrusion Detection System –IDS) là một phương pháp bảo mật có khả năng chống
lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và
có thể hoạt động tốt với các phương pháp bảo mật truyền thống.
2.3.5 Cảnh báo của hệ thống giám sát an toàn mạng
Cảnh báo của hệ thống giám sát an toàn mạng là bảo đảm an ninh thông tin,
cảnh báo các mối đe dọa, các dấu hiệu bất thường đối với hệ thống mạng, cung cấp
11
theo thời gian thực đối với các hành vị bất thường được ghi nhận trong hệ thống
cho người quản trị mạng của các cơ quan, đơn vị, tổ chức theo thời gian thực.
Hệ thống (Security Information and Event Manager - SIEM) với hệ thống
này dựa vào các thông tin sự kiện (event log) thu thập được trên hệ thống mạng sẽ
phân tích và đưa ra thông tin, cảnh báo realtime các hành động bất thường có thể
thông báo qua email hoặc SMS.
2.4 Kiến trúc hệ thống thu thập thông tin
2.4.1 Kiến trúc hệ thống
Chức năng thu thập thông tin (bắt giữ các gói tin - packet capture) được thực
hiện thông qua kiến trúc hệ thống như sau:
2.4.2 Các thiết bị phục vụ thu thập mẫu, thu thập thông tin
Trên cơ sở các cấp ở trên, phần này trình bày chi tiết về các thiết bị có thể sử
dụng để thu thập thông tin tại các vị trí mạng. Thu thập thông tin ở đây nghĩa là thu
được và xem được các gói tin.
2.4.2.1Thiết bị Hub:
2.4.2.2 SPAN Port:
2.4.2.3Network Tap:
2.4.3 Các module cơ bản
2.4.3.1Module bắt giữ gói tin (Sensor):
Việc thu thập thông tin có thể thực hiện qua một thiết bị sensor (gồm phần
cứng và phần mềm)
Các chức năng chính của phân hệ bắt giữ gói tin bao gồm:
Thu thập thông tin lưu lượng mạng.
Thu thập thông tin tấn công trên mạng.
Thu thập mã độc hại phát tán trên mạng.
Thu thập và phát hiện dấu hiệu xâm nhập trái phép, đột nhập mạng
12
2.5 Một số phương pháp phát hiện bất thường
Phát hiện bất thường là phát hiện những biến đổi không bình thường trong
hệ thống mạng, ví dụ có những thăng giáng đáng kể so với lưu lượng bình thường
của mạng. Phát hiện nhanh và sớm các hiện tượng bất thường có thể giúp sớm phát
hiện dấu hiệu tấn công mạng, dựa trên 3 dấu hiệu như sau:
2.5.1 Dựa trên dấu hiệu lưu lượng bất thường
Phát hiện dựa trên dấu hiệu (signature-based detection) hay còn gọi phát
hiện
sử dụng sai. Phương pháp này phân biệt giữa các hoạt động thông thường của
người dùng và hoạt động bất thường để tìm ra được các tấn công nguy hiểm kịp
thời
Các dấu hiệu được chia thành hai loại:
Các dấu hiệu tấn công – chúng mô tả các mẫu hoạt động có thể gây ra mối đe
dọa về bảo mật. Điển hình, chúng được thể hiện khi mối quan hệ phụ thuộc
thời gian giữa một loạt các hoạt động có thể kết hợp lại với các hoạt động trung
tính.
Các chuỗi văn bản được chọn – các dấu hiệu hợp với các chuỗi văn bản đang tìm
kiếm các hoạt động nghi ngờ
2.5.2 Dựa trên dấu hiệu hành vi bất thường
Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt
động
của mạng máy tính và lưu lượng mạng nhằm tìm kiếm sự bất thường. Sự bất
thường là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông
thường. Phát hiện bất thường có thể nhanh chóng phát hiện một cuộc tấn công từ
bên trong sử dụng tài khoản người dùng bị thỏa hiệp (compromised user account).
2.5.3 Dựa vào dấu hiệu kết nối bất thường
Trong quá trình theo dõi các kết nối ra – ngoài trong mạng xuất hiện các kết
13
nối lạ ra các địa chỉ IP hoặc tên miền, những kết nối này ta có chi tiết các thông tin
các máy tính nào trong mạng đang kết nối đồng thời xem những hành vi dựa trên
gói tin thu thập được.
2.6 Các mô hình điển hình cho phát hiện bất thường
Phát hiện bất thường trên mạng về cơ bản là phát hiện lưu lượng có sự biến
đổi không bình thường, có những thăng giáng đáng kể so với thông lượng bình
thường của mạng, phát hiện các hành vi bất thường, các kết nối bất thường. Sự bất
thường có thể là do biến động của lưu lượng trên tuyến kết nối, thay đổi cặp địa chỉ
IP nguồn/đích, cặp cổng giao thức.
2.6.1 Nhóm mô hình thống kê
a) Mô hình hoạt động trên số đo ngưỡng (Operational Model or Threshold
Metric):
b) Mô hình chuỗi Markov hay mô hình đánh dấu (Markov Process or Marker
Model)
c) Mô hình mô-ment xác suất hay mô hình độ lệch trung bình và độ lệch chuẩn
(Statistical Moments or Mean and Standard Deviation)
2.6.2 Nhóm mô hình dựa vào tri thức
a) Mô hình hệ chuyên gia (Expert System)
b) Mô hình phân tích mẫu dấu hiệu (Signature Analysis)
c) Mô hình phân tích chuyển đổi trạng thái (State Transition Analysis)
2.6.3 Nhóm các mô hình dựa vào khai phá dữ liệu (Data mining based
Models)
a) Mô hình phân cụm (Clustering Model)
b) Mô hình phân lớp (Classification Model)
2.6.4 Nhóm các mô hình học máy (Machine Learning Models)
a) Mô hình dựa theo hệ miễn dịch nhân tạo (Artificial Immune System - AIS)
b) Mô hình dựa theo máy vectơ hỗ trợ (Support Vector Machines - SVM)
14
2.7 Kết luận chương
Chương hai đã đưa ra các thành phần hệ thống giám sát an toàn mạng trong
thành phần hệ thống giám sát bao gồm mô hình kiến trúc hệ thống giám sát an toàn
mạng, các thành phần, thiết bị và kiến trúc phần mềm. Ngoài ra đã đưa ra vấn đề
giám sát lưu lượng, một số phương pháp phát hiện lưu lượng bất thường và kết nối
bất thường trong hoạt động giám sát đồng thời đưa ra cơ sở lý thuyết mô hình điển
hình cho phát hiện lưu lượng bất thường.
Phần tiếp theo sẽ trình bày kiến trúc hệ thống thu thập thông tin từ mạng, hệ
thống trung tâm, vấn đề truyền dữ liệu từ các bộ sensor về trung tâm, sử dụng một
số tiện ích phần mềm, demo một số kết quả thử nghiệm hệ thống và triển khai áp
dụng hệ thống giám sát an toàn mạng LaoCERT cho các cơ quan, đơn vị, tổ chức
và các doanh nghiệp vừa và nhỏ tại Lào.
15
Chương III TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN
TOÀN MẠNG TỐI THIỂU CHO LAOCERT
3.1 Giới thiệu chương
Chương này trình bảy về kiến trúc hệ thống thu thập thông tin từ mạng, hệ
thống trung tâm, vấn đề truyền dữ liệu từ các bộ sensor về trung tâm, sử dụng một
số tiện ích phần mềm, demo một số kết quả thử nghiệm hệ thống và triển khai áp
dụng hệ thống giám sát an toàn mạng LaoCERT cho các cơ quan, đơn vị, tổ chức
và các doanh nghiệp vừa và nhỏ tại Lào.
3.2 Kiến trúc hệ thống thu thập thông tin từ mạng
Kiến trúc hệ thống thu thập thông tin có chức năng cơ bản của phần mềm
giám sát mạng như sau:
Thu thập thông tin
Phát hiện các dấu hiệu tấn công dựa trên tập luật
Phát hiện các dấu hiệu bất thường
Giám sát và phân tích lưu lượng trong mạng
Theo dõi tình trạng những ứng dụng dịch vụ trong mạng
Từ những nhận xét trên, luận văn xây dựng sơ đồ chức năng phần mềm cho
thiết bị gồm các khối sau:
Khối thu thập thông tin
Khối giám sát lưu lượng mạng
Khối đưa ra cảnh báo nếu vi phạm luật
Việc thu thập thông tin theo từng cấp như trên ta chia thành 2 cách sử dụng
như sau:
Sử dụng các sensors cài đặt trên toàn mạng là để theo dõi trên mạng nhằm tìm
kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là
những dấu hiệu. thu nhận và phân tích lưu lượng trong thời gian thực, gửi tín
hiệu cảnh báo đến trạm quản trị và có thể được cấu hình nhằm tìm ra biện pháp
ngăn chặn những xâm nhập xa hơn.
16
Sử dụng các sensors cài đặt trên tất cả các máy chủ, các máy trạm để quan sát
tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng
thu thập được.
Hệ thống trung tâm giám sát an toàn mạng, đặt tại Trung tâm ứng cứu khẩn
cấp máy tính Lào – LaoCERT gồm 3 modul chính:
Giám sát an toàn mạng có vai trò rất quan trọng thông qua công tác giám sát
sẽ kịp thời phát hiện dấu hiệu các cuộc tấn công, đưa ra phương án xử lý nhanh
trước sự cố, giúp cho LaoCERT, các cơ quan, tổ chức nhanh chóng khôi phục lại
17
hoạt động khi có sự cố an toàn mạng xảy ra. Hoạt động giám sát an toàn mạng cần
được thực hiện, duy trì liên tục, đội ngũ chuyên trách về giám sát an toàn mạng
cần nâng cao trình độ chuyên môn, năng lực xử lý trước các tình huống có thể dự
báo trước về các cuộc tấn công nguy hiểm vào hệ thống mạng công nghệ thông tin
được giám sát
3.4 Vấn đề truyển dữ liệu từ các bộ Sensor về trung tâm
Vấn đề truyển dữ liệu từ sensor về trung tâm là nhiệm vụ bắt và kiểm tra tất
các gói dữ liệu để tìm ra các dấu hiệu của hành vi tấn công, xâm nhập. Sau khi phát
hiện được một dấu hiệu, sensor sẽ tạo ra các cảnh báo tại chỗ hoặc lưu thông tin về
sự kiện, nội dung của các gói dữ liệu liên quan vào một dạng lưu trữ nhất định,
thường là log file.
Các sensor được cài đặt tại nhiều vị trí khác nhau trong hệ thống mạng, tại
các gateway, các phân vùng mạng quan trọng của hệ thống cần giám sát. Dữ liệu
chứa thông tin cảnh báo về các sự kiện tấn công mà sensor phát hiện được đưa về
hệ thống lưu trữ trung tâm.
3.5 Một số tiện ích phần mềm trong hệ thống giám sát
3.5.1 Phần mềm Snort
SNORT là một phần mềm phát hiện xâm nhập mạng mã nguồn mở
(Network Intrusion Detection System - NIDS) viết bởi Martin Roesch và đang
được đánh giá là một trong những phần mềm IDS hiệu quả nhất hiện nay. SNORT
là một IDS hoạt động dựa trên các luật được lưu trữ trong các file text và có thể
được chỉnh sửa bởi người quản trị.
3.5.2 Thành phần của SNORT
SNORT được chia thành nhiều thành phần. Những thành phần này làm việc
với nhau để phát hiện các cách tấn công cụ thể và tạo ra output có định dạng theo
yêu cầu.:
Bộ phận giải mã gói tin (Packet Decoder); nhân gói tin từ các giao diện mạng
khác nhau và được gửi cho bộ phận phát hiện
18
Bộ phận tiền xử lý (Preprocessor); chuẩn hóa dữ liệu nhận được
Bộ phận phát hiện (Dectection Engine); dựa trên dấu hiệu hoặc hành vi
Hệ thống ghi log và cảnh báo (Logging and Alerting System); bộ phận phát
hiện tìm thấy trong gói tin, gói tin có thể được sử dụng để ghi lại các hành vi
Bộ phận đầu ra (Output Modules); hủy gói tin/ chặn kết nối nếu đó là tấn công
3.5.3 Kiến trúc Snort
Chức năng của Snort sẽ phụ thuộc vào chế độ hoạt động được quy định tại
thời điểm chạy. Snort có ba chế hoạt động chính: chế độ sniffer, log gói tin và chế
độ NIDS.
Chế độ sniffer cho phép Snort bắt các gói tin và xuất chúng ra màn hình trong
một định dạng có thể đọc được.
Chế độ log gói tin cũng tương tự như chế độ sniffer, chỉ ghi các gói tin vào tệp
tin chứ không phải ra màn hình.
Chế độ NIDS, được thiết kế để đọc dữ liệu bắt giư từ mạng, với mục tiêu cuối
cùng là đưa ra cảnh báo..
19
3.5.4 Phần mềm Suricata
Trong khi Snort là IDS phổ biến nhất dựa trên chữ ký ngày nay, một công
cụ khác cũng phổ biến không kém là Suricata, là một IDS mã nguồn mở được phát
triển bởi OISF. Điều này chủ yếu là do sự hiệu quả của nó, trong việc thiết kế thực
hiện đa luồng. Chức năng của Suricata tương tự như Snort, chỉ khác ở chỗ Suricata
cho phép xử lý đa luồng
3.5.4.1 Các chức năng chính của Suricata
Đa luồng (Multi threading): Đa luồng là mới đối với IDS, một hoặc nhiều
luồng gói tin cùng được xử lý. Luồng sử dụng một hoặc nhiều module thread
để xử lý công việc trên. Luồng có hàng đợi xử lý đầu vào và hàng đợi xử lý đầu
ra. Chúng được sử dụng để lấy gói tin từ luồng khác hoặc từ một packetpool
chung (global). Một luồng có thể được đặt ở trong CPU/lõi.
Thống kê hiệu năng (Performance Statistics): Có hai phần cơ bản để thống kê
hiệu suất. Đầu tiên, các module đếm các mục, chẳng hạn như một module đếm
các dòng mới/giây. Thứ hai, một module thu thập tất cả các số liệu thống kê và
viết thống kê sao cho người quản trị có thể xem được thông qua các log, snmp
Công cụ thống kê hiệu suất thu thập như: số byte, số gói tin, lưu lượng, kích
cỡ, giao thức,...
3.5.4.2 Kiến trúc của Suricata::
Suricata được phát triển dựa trên Snort nên nó vẫn giữ nguyên kiến trúc bên trong
của Snort. Kiến trúc của nó có nhiều thành phần, với mỗi thành phần có một chức
năng riêng.
Các thành phần chính của Suricata:
Module giải mã gói tin
Module tiền xử lý
Module phát hiện
Module bản ghi và cảnh báo
20
Module xuất thông tin
Suricata được chọn lọc và nghiên cứu là phù hợp với đề tài của Luận văn
nên sẽ được sử dụng một số module nhỏ trong đó, đặc biệt là bắt gói tin và giải mã
gói tin, tiền xử lý. Quá trình bắt gói tin, xử lý, phát hiện, đưa ra log file của
Suricata tương tự như Snort.
3.6 Demo một số kết quả thử nghiệm
3.6.1 Tải Snort trên mạng để cài đặt
3.6.2 Khởi tạo Snort và Suricata cho việc phát hiện xâm nhập
3.6.3 Cấu hình Snort và Suricata
3.6.3.1 Các biến
3.6.3.2 Đầu ra cảnh báo
3.6.3.3 Các bộ tiền xử lý
3.7 Khả năng triển khai cho các cơ quan, tổ chức, doanh nghiệp tại Lào
Như đã trình bày ở các phần trên, hệ thống giám sát an toàn mạng có thể áp
dụng tại các hạ tầng công nghệ thông tin tại Lào như sau.
Triển khai và áp dụng hệ thống giám sát an toàn mạng cho trung tâm mạng
Internet quốc gia Lào tại Bộ bưu chính Viễn thông tại Lào.
Triển khai cho các cơ quan, đơn vị, tổ chức và doanh nghiệp vừa và nhỏ trên
Thủ đô Viêng Chăn.
3.8 Kết luận chương
Chương 3 đã trình bày về kiến trúc hệ thống thu thập thông tin từ mạng việc
thu thập, xử lý phân tích thông tin an toàn mạng truyển dữ liệu từ sensor về trung
tâm xử lý. Ngoài ra sử dụng phần mềm snort để bắt gói tin và đưa ra kết quả thử
nghiệm của hệ thống.
21
KẾT LUẬN
Qua một thời gian nghiên cứu về nội dung: “Hệ thống giám sát an toàn
mạng cho trung tâm ứng cứu khẩn cấp máy tính của Lào - LaoCERT” em đã có cơ
hội tìm hiểu sâu về các thành phần, module tạo nên hệ thống giám sát an toàn
mạng. Trong khuôn khổ thời gian có hạn, luận văn không tránh khỏi những thiếu
sót, nhất là trong thực hiện thử nhiệm hệ thống. Xây dựng hệ thống giám sát an
toàn mạng đang là một nhu cầu thực tế tại Lào, đặc biệt cho Trung tâm ứng cứu
khẩn cấp máy tính của Lào – LaoCERT.
Trong nội dung luận văn đã giải quyết được một số vấn đề sau:
Nghiên cứu tìm hiểu về một số kiểu tấn công điển hình và các bước triển khai
cuộc tấn công, tìm hiểu được tổng quan về hệ thống giám sát an toàn mạng.
Nghiên cứu các mô hình triển khai một hệ thống giám sát, các thành phần, các
phương pháp kỹ thuật cho thu thập dữ liệu, phân tích và phát hiện tấn công
mạng, phát hiện bất thường, đưa ra cảnh báo.
Nghiên cứu, đưa ra kiến trúc hệ thống giám sát an toàn mạng tại LaoCERT,
bao gồm các thành phần cơ bản, một số tiện ích phần mềm triển khai và đưa ra
một số kết quả thử nghiệm.
Một số vấn đề nội dung chưa giải quyết được:
Chưa xây dựng được tường lửa để ngăn chặn tấn công.
Chưa có nhiều demo và chưa nhiều kết quả thử nghiệm hệ thống giám sát an
toàn mạng.
Trong thời gian tới, em sẽ tiếp tục nghiên cứu, phát triển thêm một số chức
năng bổ sung cho hệ thống, ví dụ như:
Phân tích thống kê kịp thời các dạng tấn công mà hệ thống còn chưa đưa ra
được.
Demo một sô kết quả thử nghiệm hệ thống giám sát an toàn mạng cho
LaoCERT và toàn diện trên Bộ bưu chính Viễn thông Lào
Triển khai và áp dụng hệ thông giám sát an toàn mạng cho các cơ quan, đơn vị,
tổ chức và doanh nghiệp vừa và nhỏ trên Thủ đông Viêng chăn.
22