Tải bản đầy đủ (.pdf) (27 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Web

THỰC TẬP DOANH NGHIỆP CÔNG TY CP FPT TELECOM

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1002.23 KB, 27 trang )

ĐẠI HỌC QUỐC GIA TP. HCM
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG
CÔNG TY CP VIỄN THÔNG FPT TELECOM

BÁO CÁO

THỰC TẬP DOANH NGHIỆP

ĐƠN VỊ THỰC TẬP:
CÁN BỘ HƯỚNG DẪN:
THỰC TẬP SINH:
MSSV:

CÔNG TY CP FPT TELECOM
NGUYỄN TĂNG HƯNG
NGUYỄN LÊ TUẤN KIỆT
12520212

TPHCM, 6/2016


ĐẠI HỌC QUỐC GIA TP. HCM
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN
KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG
CÔNG TY CP VIỄN THÔNG FPT TELECOM

BÁO CÁO

THỰC TẬP DOANH NGHIỆP


CÁN BỘ HƯỚNG DẪN: NGUYỄN TĂNG HƯNG
THỰC TẬP SINH:
NGUYỄN LÊ TUẤN KIỆT
MSSV:
12520212

TPHCM, 6/2016


NHẬN XÉT CỦA CÁN BỘ HƯỚNG DẪN
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................


NHẬN XÉT CỦA KHOA.

...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................
...........................................................................................................................................


LỜI CẢM ƠN.
Trân trọng gửi lời cảm ơn Công ty CP Viễn Thông FPT Telecom đã tạo điều kiện
cho em có cơ hội được thực tập tại công ty.
Chỉ trong một thời gian ngắn, nhưng nhờ sự chỉ dẫn nhiệt tình của anh Nguyễn
Anh Đức, anh Nguyễn Tăng Hưng và các anh chị trong SOC Team đã hỗ trợ, giúp đỡ
để em có thể hoàn thành được nhiệm vụ của mình tại công ty.
Đồng thời cảm ơn tất cả mọi người trong công ty đã hướng dẫn, giúp đỡ cho em
tận tình cả những khó khăn trong công việc, đến những khó khăn việc làm quen với môi
trường mới. Tạo điều kiện để em nghiên cứu và học hỏi thêm nhiều nội dung và thích
ứng công việc từ đơn giản đến phức tạp và đi sâu hơn về nội dung công việc trong ứng
dụng thực tế.

Cuối cùng xin cảm ơn thầy cô trong khoa Mạng máy tính & Truyền thông đã
nhiệt tình hỗ trợ, tạo điều kiện cho em hoàn thành bài báo cáo này.

Nguyễn Lê Tuấn Kiệt


MỤC LỤC
I.

GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN VIỄN THÔNG FPT TELECOM ... 1
I.1.

Giới thiệu chung: ............................................................................................... 1

I.2.

Giới thiệu về tổ An Toàn Thông Tin ................................................................. 2

I.3.

Nhiệm vụ sinh viên được phân công, thời gian thực hiện thực tế: ................... 2

I.3.1. Đề tài thực tập: ........................................................................................... 2
I.3.2. Yêu cầu đối với đề tài: ................................................................................ 2
I.3.3. Kế hoạch thực hiện đề tài: .......................................................................... 2
I.3.4. Mục tiêu đạt được: ...................................................................................... 4
II. NỘI DUNG CHI TIẾT CÔNG VIỆC. ................................................................ 5
II.1.

Khái niệm về giám sát an ninh mạng: Security Monitoring. ......................... 5


II.2.

Tại sao phải giám sát an ninh mạng: .............................................................. 5

II.3.

Một số giải pháp giám sát an ninh mạng thường gặp: ................................... 7

II.3.1.

Giải pháp quản lý an ninh thông tin SIM. ............................................... 7

II.3.2.

Hệ thống quản lý sự kiện an ninh SEM .................................................. 8

II.3.3.

Hệ thống quản lý và phân tích sự kiện an ninh SIEM ............................ 9

II.3.4.

Một số giải pháp SIEM thương mại – miễn phí thường gặp: ................. 9

II.3.5.

Những chức năng cơ bản của một hệ thống SIEM. .............................. 10

II.3.6.


Một số tiêu chí để chọn một giải pháp SIEM phù hợp: ........................ 11

II.4.

Giới thiệu về hãng AlienVault và sản phẩm AlienVault OSSIM: ............... 12

II.4.1.

Kiến trúc AlienVault OSSIM:............................................................... 13

II.4.2.

Một số chức năng chính: ...................................................................... 15

II.4.3.

Một số tính năng: .................................................................................. 16

II.5.

Kết quả thực nghiệm: ................................................................................... 17

II.5.1.

Mô hình triển khai: ................................................................................ 17

II.5.2.

Danh sách các bài Lab thực hiện: ......................................................... 18


III. TÀI LIỆU THAM KHẢO:................................................................................. 20


DANH MỤC HÌNH ẢNH
Hình II.1 Hệ thống SIM ................................................................................................. 7
Hình II.2. Hệ thống SEM ............................................................................................... 8
Hình II.3 Hệ thống SIEM .............................................................................................. 9
Hình II.4 Biểu đồ Gartner về các hệ thống SIEM năm 2015 ...................................... 13
Hình II.5 Kiến trúc AlienVault OSSIM ....................................................................... 14
Hình II.6 Một số tính năng chính ................................................................................. 16
Hình II.7 Mô hình triển khai ........................................................................................ 17


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
I. GIỚI THIỆU VỀ CÔNG TY CỔ PHẦN VIỄN THÔNG FPT TELECOM
I.1.

Giới thiệu chung:

Được thành lập ngày 31/01/1997, Công ty Cổ phần Viễn thông FPT (FPT Telecom)
khởi đầu từ Trung tâm Dịch vụ Trực tuyến với 4 thành viên sáng lập cùng sản phẩm
mạng Intranet đầu tiên của Việt Nam mang tên “Trí tuệ Việt Nam – TTVN”. Sau hơn
18 năm hoạt động, FPT Telecom đã trở thành một trong những nhà cung cấp dịch vụ
viễn thông và Internet hàng đầu khu vực với hơn 6000 nhân viên, 60 chi nhánh trong và
ngoài nước. Hiện nay, FPT Telecom đang cung cấp các sản phẩm, dịch vụ chính bao
gồm:
 Internet băng rộng: ADSL/VDSL, TriplePlay, FTTH
 Kênh thuê riêng, Tên miền, Email, Lưu trữ web, Trung tâm dữ liệu
 Các dịch vụ giá trị gia tăng trên Internet: Truyền hình FPT, Điện thoại cố

định (VoIP), Giám sát từ xa(IP Camera), Chứng thực chữ ký số (CA), Điện
toán đám mây (Cloud computing),...
Với phương châm “Mọi dịch vụ trên một kết nối”, FPT Telecom luôn không ngừng
nghiên cứu và triển khai tích hợp ngày càng nhiều các dịch vụ giá trị gia tăng trên cùng
một đường truyền Internet nhằm đem lại lợi ích tối đa cho khách hàng sử dụng. Đồng
thời, việc đẩy mạnh hợp tác với các đối tác viễn thông lớn trên thế giới, xây dựng các
tuyến cáp quang quốc tế là những hướng đi được triển khai mạnh mẽ để đưa các dịch
vụ tiếp cận với thị trường toàn cầu, nâng cao hơn nữa vị thế của FPT Telecom nói riêng
và các nhà cung cấp dịch vụ viễn thông Việt Nam nói chung.
Các lĩnh vực mà công ty CP Viễn Thông FPT Telecom hoạt động:
 Cung cấp hạ tầng mạng viễn thông cho dịch vụ Internet băng thông rộng
 Cung cấp các sản phẩm, dịch vụ viễn thông, Internet
 Dịch vụ giá trị gia tăng trên mạng Internet, điện thoại di động
 Dịch vụ tin nhắn, dữ liệu, thông tin giải trí trên mạng điện thoại di động
 Cung cấp trò chơi trực tuyến trên mạng Internet, điện thoại di động
 Thiết lập hạ tầng mạng và cung cấp các dịch vụ viễn thông, Internet
 Xuất nhập khẩu thiết bị viễn thông và Internet.
1|Page


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
Hiện tại, FPT Telecom hiện đang hoạt động theo mô hình 2 công ty thành viên:
 CÔNG TY TNHH MTV VIỄN THÔNG QUỐC TẾ FPT (FPT TELECOM
INTERNATIONAL, VIẾT TẮT LÀ FTI)
 CÔNG TY TNHH MTV VIỄN THÔNG FPT TÂN THUẬN
I.2.

Giới thiệu về tổ An Toàn Thông Tin

SOC Team ( Security Operation Center Team) là nhóm được thành lập từ ban dự án

của FPT ( FPT R&D Team) có nhiệm vụ, chức năng chính sau:
 Thực hiện việc pentest website và các sản phẩm khác của ban dự án FPT.
 Phối hợp với ban dự án để phát hiện, sửa lỗi các sản phẩm trước khi thực hiện
chạy production.
 Nghiên cứu hệ thống SIEM và các hệ thống phân tích log.
I.3.

Nhiệm vụ sinh viên được phân công, thời gian thực hiện thực tế:

I.3.1. Đề tài thực tập:
Tên đề tài

Tìm hiểu, triển khai hệ thống giám sát và phân tích các sự kiện
an ninh

Cán bộ HD:

Nguyễn Tăng Hưng

SVTH

Nguyễn Lê Tuấn Kiệt

Thời gian thực

Từ ngày 14/3/2016 đến hết ngày 14/5/2016

hiện
I.3.2. Yêu cầu đối với đề tài:
 Đề xuất được solution Proposal về hệ thống giám sát và phân tích các sự kiện

an ninh hệ thống SIEM ( Security Information and Event Management).
 Hiểu được các tính năng và vai trò của chúng trong thực tế.
 Demo được các tính năng tương ứng.
I.3.3. Kế hoạch thực hiện đề tài:

2|Page


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
Tài nguyên

Công việc thực hiện

cần hỗ trợ
-

Tìm hiểu, lập kế hoạch thực hiện đề
tài

-

Thời gian dự kiến
14/3 – 20/3

Tìm hiểu về hệ thống giám sát an
ninh

-

Tìm hiểu về giải pháp AlienVault

OSSIM.

-

So sánh một số giải pháp thường
gặp, giải thích lý do tại sao chọn giải

21/3 – 3/4

pháp này.
-

Tìm hiểu cơ chế hoạt động của
SPAN port trên các catalyst switch
Cisco

Có thể yêu
cầu hỗ trợ
thêm một máy
để thực hiện
kết nối chạy
máy ảo.

-

Thực hiện giai đoạn 1

4/4 – 17/4

-


Thực hiện giai đoạn 2

18/4 – 1/5

Có thể yêu
cầu hỗ trợ
training thêm
về pentest.
Yêu cầu các
thiết bị thật
như switch,
router, pc,
server,…

3|Page


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
-

Tìm hiểu về khả năng mở rộng cũng
như giải pháp xây dựng cơ chế HA

2/5 – 8/5

cho hệ thống
-

Báo cáo, xây dựng tài liệu.


9/5 – 13/5

I.3.4. Mục tiêu đạt được:
Tài liệu này mô tả chức năng, cách thức triển khai hệ thống giám sát và phân tích các
sự kiện an ninh bằng giải pháp AlienVault OSSIM (OpenSource Security Information
and Event Management) :
 Tìm hiểu những thách thức đặt ra trong việc quản lý cơ sở hạ tầng an ninh hệ
thống.
 Tìm hiểu hệ thống giám sát và phân tích các sự kiện an ninh là gì và động lực
để triển khai hệ thống giám sát và phân tích các sự kiện an ninh.
 Tìm hiểu một số giải pháp thường gặp ( thương mại, mã nguồn mở).
 Lựa chọn giải pháp phù hợp, so sánh, giải thích lý do chọn giải pháp này.
 Tìm hiểu những tính năng của giải pháp, những tính năng này phục vụ những
yêu cầu gì, bảo vệ cái gì trong thực tế ?
 Tìm hiểu về kiến trúc hệ thống.
 Đề xuất mô hình triển khai.
 Kiểm tra tính năng trong môi trường lab ảo.
 Kiểm tra tính năng trong môi trường thực tế.
 Biết, hiểu, phân tích ( nâng cao) các cảnh báo, dấu hiệu bất thường trong hệ
thống.
 Tìm hiểu về cơ chế phát hiện cuộc tấn công ( dựa trên signatures hay behavior ?
Nếu là signatures thì như thế nào, còn nếu là behavior thì cơ chế xây dựng nên
baseline hệ thống bằng cách nào)
 Tìm hiểu về cách customize một rule phù hợp với nhu cầu.
 Tìm hiểu về khả năng mở rộng cũng như cơ chế xây dựng HA cho hệ thống ( có
thể tìm hiểu thêm các case studies, best practice trên trang web của hãng ).

4|Page



Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
II. NỘI DUNG CHI TIẾT CÔNG VIỆC.
II.1.

Khái niệm về giám sát an ninh mạng: Security Monitoring.

Giám sát an ninh mạng ( Network Security Monitoring ) là một qui trình bao gồm thu
thập, phân tích và leo thang thông tin để có thể kịp thời phát hiện, ngăn chặn và
phản ứng nhanh với các mối đe dọa tiềm tàng trong hệ thống. Giám sát an ninh mạng (
NSM ) là một cách hữu hiệu để có thể phát hiện nhanh chóng mối đe dọa trước khi họ
có thể gây hại đến chúng ta.
Đối tượng của giám sát an ninh mạng là tất cả các thành phần, thiết bị trong hệ thống
mạng, bao gồm:
 Log và Alerts:
o Giải pháp bảo mật : IPS/IDS, Firewall, DLP, Web Filter, Proxy, WAF,...
o Hạ tầng mạng: Router, Switch, Domain Controller, Wireless Access
Point, Application Server.
 Knowledge:
o Thông tin về hạ tầng: kiến trúc, mô hình mạng, thông tin cấu hình thiết bị
mạng.
o Kiến thức, qui trình nghiệp vụ kinh doanh.
II.2.

Tại sao phải giám sát an ninh mạng:

Chúng ta không thể quản lý những gì mà chúng ta không thể đo đạc. Đó là nguyên tắc
vàng trong quản lý và đối với việc quản lý an toàn thông tin cũng không phải là ngoại
lệ. Vì vậy để quản lý an toàn thông tin, là biến ATTT thành thứ có thể đo đạt, so sánh
được. Một cách duy nhất để biến an toàn thông tin thành thứ có thể đo đạt được bằng

cách thu thập log file (file nhật ký ) từ các thiết bị càng nhiều càng tốt. Nhưng làm sao
để có thể theo dõi sự hoạt động của người dùng cuối, ứng dụng trong hệ thống, thiết bị
phần cứng cũng như các tài sản mạng đang hiện hữu, đồng thời cũng phải đảm bảo được
việc tuân thủ thực thi theo các chuẩn chính sách như ISO27001 hay PCI DSS trong khi
hệ thống mạng ngày càng rộng lớn, qui mô doanh nghiệp ngày càng mở rộng ? Trong
khi số lượng các log file tạo từ các thiết bị là vô cùng lớn, với các kiểu định dạng khác
nhau, mỗi file log từ các thiết bị mang lại một lượng thông tin khác nhau. Đồng thời, ở
5|Page


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
mỗi thiết bị khác nhau đem lại một khía cạnh, một cách nhìn khác nhau về cùng một sự
kiện an toàn thông tin. Như vậy làm sao để có thể thu thập, đồng thời “xây dựng lên mối
quan hệ” giữa thông tin mà các thiết bị này đem lại một cách nhanh nhất ? Giải pháp mà
chúng ta đề xuất là xây dựng một hệ thống monitoring đơn thuần ? Liệu hệ thống
monitoring thông thường đó có “đủ” đem lại thông tin mà chúng ta cần ?
Trước hết, xét đến các giải pháp phòng chống xâm nhập như Firewall, IDS/IPS, Proxy,
DLP,…. Với các giải pháp này, thường dùng cách tiếp cận “dùng phân tích để phân loại
các packet trong thời gian thực ” mà vì vậy chúng ta có thể phát hiện, cảnh báo và thậm
chí là ngăn chặn ( nếu như được cấu hình đúng ) các cuộc tấn công vào hệ thống. Tuy
nhiên, vẫn có khả năng các thiết bị này nhận lầm ( false positive ), không phát hiện được
cuộc tấn công ( false negative ) hoặc do lỗi của nhà quản trị bỏ sót. Các giải pháp này
vẫn thực hiện được việc ghi log lại những dấu hiệu bất thường hay thậm chí là cuộc tấn
công, tuy nhiên chúng chỉ ghi lại nhận một phần khía cạnh mà chúng hoạt động. Ví dụ:
giải pháp về Endpoint Security chỉ thu thập được thông tin về username, host, các file,
hoạt động của user trên một host cụ thể, giải pháp về IDS/IPS chỉ thu thập thông tin về
gói tin, giao thức, địa chỉ IP, Payload, giải pháp về Service Log ghi lại thông tin về user
login, session hoạt động,… Những thông tin này chỉ là điều kiện cần để có thể thực hiện
giám sát an ninh, nhưng vẫn chưa là điều kiện đủ để giám sát toàn hệ thống. Cái chúng
ta mong muốn là một cái nhìn toàn diện về hệ thống, về qui trình nghiệp vụ đang diễn

ra.
Tiếp đến, xét đến các giải pháp network monitoring thông thường. Với giải pháp này,
dù là theo mô hình agent / server hay agentless thì cung cấp khả năng thu thập log từ
các thiết bị mạng, các thiết bị đầu cuối : computer, server,… đem cho chúng ta cái nhìn
tổng quan chủ yếu là về performance của các thiết bị, đáp ứng đủ những nhu cầu công
việc hằng ngày. Tuy nhiên, các sự kiện này không phản ánh được đúng mức độ an ninh
của hệ thống, chẳng hạn một công việc backup vẫn có thể gây ảnh hưởng đến hiệu năng
mạng, có dấu hiệu “tương tự” như một cuộc tấn công nhưng thật chất không phải là một
cuộc tấn công thật sự. Để có thể kết luận là một cuộc tấn công, thực sự cần rất nhiều
“dấu hiệu” khác nhau. Vì vậy giải pháp network monitoring vẫn chưa “đủ”.

6|Page


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
Còn đối với cách tiếp cận của một giải pháp về giám sát an ninh thì nó sẽ “tách thành
phần phát hiện ra khỏi thành phần phòng thủ” tức là trước hết cung cấp một cái nhìn
tổng thể về hệ thống cũng như là kiến trúc mạng. Nó thu thập các thông tin từ các hệ
thống bảo vệ, chuẩn hóa, tiến hành phân tích đưa các mối tương quan sự kiện trong hệ
thống để phát hiện, cảnh báo sớm những mối đe dọa SẼ diễn ra trong hệ thống, sau đó
mới cung cấp các giải pháp kịp thời để ứng phó với các mối đe dọa,… và vì vậy đối với
giải pháp này không tiêu tốn quá nhiều tài nguyên cho việc phân tích “on-the-fly” một
packet như các giải pháp khác.
II.3.

Một số giải pháp giám sát an ninh mạng thường gặp:

II.3.1. Giải pháp quản lý an ninh thông tin SIM.

Hình II.1 Hệ thống SIM

Giải pháp SIM là một phần trong giải pháp giám sát an ninh mạng tập trung giải quyết
vấn đề việc lưu trữ, quản lý tập trung các thông tin log file của các thiết bị mạng như
Router, switch, AP, các thiết bị đầu cuối như Server, Computer đến cả các thiết bị bảo
mật như Firewall, IDS/IPS,… cho phép việc quản lý, truy xuất dễ dàng thông qua thiết
bị tập trung duy nhất. Các giải pháp SIM thường hoạt động theo cơ chế agent – server,
agent sẽ chịu trách nhiệm thu thập các thông tin và gửi về cho server, server có nhiệm
vụ hiển thị, thống kê, báo cáo cho quản trị viên. Một số giải pháp thương mại mà chúng

7|Page


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
ta có thể kể đến như ArcSight ESM, Q1 Lab Qradars, Symantec Security Information
360,…
Điểm yếu:
Tuy nhiên, hệ thống này thiếu đi thành phần phân tích, xử lý sự kiện nên SIM chỉ có thể
phát hiện và xử lý những sự kiện an ninh thông tin đơn giản. Ngoài ra, SIM còn gọi là
LM (Log Management)

II.3.2. Hệ thống quản lý sự kiện an ninh SEM

Hình II.2. Hệ thống SEM

Hệ thống SEM tập trung vào việc giải quyết vấn đề phân tích, xử lý, xây dựng tương
quan các sự kiện an ninh từ những nguồn dữ liệu đã được thu thập và chuẩn hóa sẵn.
Điểm yếu :

8|Page



Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
Hạn chế của giải pháp này là không có khả năng thực hiện được chuẩn hóa dữ liệu, vì
vậy trước khi triển khai hệ thống SEM thì chúng ta cần một hạ tầng thu thập và chuẩn
hóa log . Một số giải pháp SEM thường gặp như là LogZilla ( opensource), ArchSight
Logger ( thương mại)
II.3.3. Hệ thống quản lý và phân tích sự kiện an ninh SIEM

Hình II.3 Hệ thống SIEM
SIEM là sự khắc phục điểm yếu của hai giải pháp trên bằng cách kết hợp SIM và SEM
thành một giải pháp tổng pháp tổng thể có tên mới là SIEM. SIEM thu thập thông tin từ
nhiều thiết bị khác nhau, tiến hành lưu trữ, phân tích, hỗ trợ kết xuất báo cáo (tính năng
của SIM) và xây dựng mối tương quan giữa các sự kiện an ninh trong hệ thống để phát
hiện, theo dõi, cảnh báo những dấu hiệu bất thường có thể dẫn đến cuộc tấn công ( tính
năng của SEM).
II.3.4. Một số giải pháp SIEM thương mại – miễn phí thường gặp:
Thương mại
AlienVault

USM

(

Unified

Mã nguồn mở
Security AlienVault OSSIM

Management )

Security


Information

IBM Security Qradar

Management )

( OpenSource
and

Event

9|Page


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
Splunk

Security Onion

HP ArcSight

Prelude

LogRthythm
Cisco MARS

II.3.5. Những chức năng cơ bản của một hệ thống SIEM.
Một số chức năng quan trọng mà một giải pháp SIEM nhất thiết phải có :
 Quản lý nhật ký sự kiện an ninh ( Log Management) : SIEM thực hiện thu thập,

quản lý log từ các thiết bị trong hệ thống .Sau đó, SIEM sẽ tiến hành chuẩn hóa
các thông tin log này theo một định dạng duy nhất dễ dàng cho việc xử lý, phân
tích và lưu trữ, tìm kiếm và công tác pháp chứng về sau.
 Đảm bảo tuân thủ các qui định về an toàn thông tin ( IT Regulatory Compliance
) : Chúng ta có thể xây dựng các tập luật riêng hoặc sử dụng những tập luật được
xây dựng sẵn từ nhà sản xuất để kiểm tra về sự tuân thủ qui định về an toàn thông
tin trong doanh nghiệp. Sau đó, những qui định này sẽ được đối chiếu với thông
tin log đã thu thập để kiểm tra, xác định những hành vi vi phạm những qui định
đặt ra của tổ chức.
 Xây dựng tương quan giữa các sự kiện an ninh thời gian thực ( Realtime Event
Correlation ) : Xây dựng lên mối liên hệ giữa các thông tin thu thập được giữa
các thiết bị từ đó xác định được có cần thiết phát ra một cảnh báo hay không.
Tính năng này không những hỗ trợ rất nhiều cho việc phát hiện hành vi, dấu hiệu
bất thường có thể dẫn đến một cuộc tấn công mạng mà còn hạn chế những cảnh
báo giả ( false positive ) trong hệ thống. Ví dụ, khi một server hoạt động 100%,
SIEM có thể được thiết lập để kiểm tra xem có các sự kiện sau đây hay không ?
o Phần mềm antimalware trên server có phát hiện phần mềm độc hại đang
hoạt động trên server hay không ?
o Trên server có ứng dụng hay dịch vụ nào ngừng hoạt động hay không ?
o Số lượng kết nối đến server gia tăng đột biến có phải là do nhu cầu chính
đáng của người dùng hay không ?
10 | P a g e


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
o Lưu lượng mạng tăng bất thường có phải là do người dùng trong hệ thống
sử dụng hay là do một cuộc tấn công từ chối dịch vụ ? Các kết nối này từ
một nguồn duy nhất hay là do các nguồn khác nhau ? ( DOS hay DDOS ?
)
 Cung cấp các hoạt động ứng phó ( Active Response ) : Khả năng này tương tự

như khả năng chống xâm nhập trên các thiết bị IPS. Nếu có một sự kiện nào vượt
quá ngưỡng cho phép thì các rules do quản trị viên thiết lập sẽ thực hiện một hành
động nào đó ( như tự động block IP chẳng hạn).
 Cung cấp khả năng lưu trữ lâu dài ( Log Retention) : Khả năng lưu trữ thông tin
nhật ký lâu dài phục vụ cho công tác pháp chứng, điều tra tội phạm số và khả
năng so sánh các sự kiện trong quá khứ.
 Đảm bảo an ninh thiết bị đầu cuối ( Endpoint Security) : bằng cách giám sát sự
hoạt động của các thiết bị an ninh khác như Firewall, Host IDS, các phần mềm
antivirus trong hệ thống, giám sát hoạt động của người dùng đảm bảo chúng đang
hoạt động một cách chính xác. Ngoài ra, SIEM còn cung cấp khả năng quản lý
và phân loại tài sản phần cứng, phần mềm trên client hay server.
Do các tính năng vượt trội mà giải pháp SIEM cung cấp, nên hầu hết các giải pháp của
các nhà sản xuất lớn trên thị trường đều xây dựng theo mô hình SIEM.
II.3.6. Một số tiêu chí để chọn một giải pháp SIEM phù hợp:
Dù là chọn các giải pháp thương mại hay các giải pháp mã nguồn mở miễn phí thì cũng
phải cần chú ý đến một số tiêu chí quan trọng sau
 Phù hợp với qui mô, kinh phí của doanh nghiệp
 Số lượng các thiết bị hỗ trợ:
Đảm bảo rằng tất cả các phần mềm, phần cứng, thiết bị mạng đang có đều phải được
hỗ trợ
 Module thu thập biến cố
Đảm bảo rằng các sensors phải có khả năng giám sát được các luồng traffic và thu thập
được các thông tin nhật ký cần quan tâm. Tiêu chí này phụ thuộc vào hai yếu tố : thứ
11 | P a g e


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
nhất là về khả năng thu thập của thiết bị và thứ hai là vị trí triển khai các thiết bị
sensors này ( thường là các TAP hoặc trên SPAN port của các switch )
 Khả năng xây dựng các tập luật

Đảm bảo rằng các tập luật phải đa dạng, phong phú và có khả năng tùy biến hay tạo
được một luật mới phù hợp với nhu cầu
 Khả năng lưu trữ linh hoạt và đầy đủ
Đảm bảo cơ sở dữ liệu của hệ thống linh hoạt, đủ khả năng lưu trữ các thông tin có giá
trị
 Khả năng mở rộng và hoạt động hiệu quả
Đảm bảo hệ thống phải có khả năng thu thập, xử lý nhanh với các sự kiện. Đồng thời,
đảm bảo khả năng mở rộng là dễ dàng khi có nhu cầu nâng cấp trong tương lai
 Khả năng sử dụng và chức năng giao diện của người dùng
Giao diện trực quan, trình bày được tất cả các thông tin quan trọng. Ngoài ra hệ thống
báo cáo phải đa dạng, phong phú, phù hợp với các tiêu chuẩn và có khả năng tùy biến
cao
 Tính mở của hệ thống
Đây cũng là một tiêu chí quan trọng trong việc ưu tiên lựa chọn các sản phẩm mã
nguồn mở cho phép người dùng tùy biến, phát triển thêm các tính năng sao cho phù
hợp nhất với một môi trường doanh nghiệp cụ thể.

II.4.

Giới thiệu về hãng AlienVault và sản phẩm AlienVault OSSIM:

AlienVault là một trong những hãng nổi tiếng cung cấp những giải pháp bảo mật về
phần cứng lẫn phần mềm được thành lập vào năm 2007 với trụ sở đặt tại Mỹ. Với sứ
mệnh cung cấp một giải pháp đồng nhất về bảo mật cho các doanh nghiệp với bất kỳ qui
mô nào, đem lại sự bảo vệ toàn diện trước hầu hết các nguy cơ đến từ internet.
AlienVault phát triển giải pháp Unified Security Management cùng với sự hỗ trợ của
cộng đồng Open Threat Exchange và AlienVault Security Intelligence Lab. Đồng thời,
12 | P a g e



Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
hãng cũng phát triển phiên bản mã nguồn mở được cung cấp miễn phí ( với sự hạn chế
về tính năng ) để doanh nghiệp có thể dùng thử trước khi quyết định nâng cấp lên phiên
bản thương mại với những tính năng cao cấp hơn. Năm 2015, Sản phẩm AlienVault
USM là sản phẩm duy nhất được Garner đánh giá ở mức “Visionaries”. Hiện tại OSSIM
đang được tích hợp với Prelule trong dự án của MASSIF ( Management of Security
Information and Event Management in Service Infrastructures) được tài trợ bởi Euroupe
ICT với sự phát triển hơn 17 tổ chức từ 7 quốc gia trong nỗ lực xây dựng, triển khai
“next generation SIEM” : thế hệ tiếp theo của giải pháp SIEM truyền thống.

Hình II.4 Biểu đồ Gartner về các hệ thống SIEM năm 2015

II.4.1. Kiến trúc AlienVault OSSIM:
Giải pháp AlienVault USM được thiết kế theo kiến trúc 3 lớp với 3 thành phần chính
là Sensors, Server và Logger. Ngoài ra còn các thành phần khác như Framework hay
Database. Mỗi thành phần có một chức năng khác nhau.

13 | P a g e


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom

Hình II.5 Kiến trúc AlienVault OSSIM
 Thành phần AlienVault USM Servers:
Cung cấp một giao diện web quản lý đồng nhất các chức năng khác, cung cấp cái nhìn
trực quan cho các quản trị viên, hỗ trợ chức năng chính của giải pháp SIEM :
Các chức năng chính của USM Servers:
o Thu thập những thông tin được các USM Sensors gửi về
o So sánh, xây dựng tương quan sự kiện trên các Rule đã được thiết lập sẵn.
o Cảnh báo, kết xuất báo cáo

o Lưu trữ thông tin cấu hình của các thành phần trong hệ thống
o Lưu trữ tạm thời các sự kiện hỗ trợ cho việc đánh giá rủi ro
o Quản lý, thiết lập các chính sách
 Thành phần AlienVault USM Sensors:
Đây là thành phần được triển khai ở các hạ tầng core – switch trong các hệ thống mạng
( hoặc có thể triển khai tại các remote-site ), gồm 3 thành phần chính: sensors, agent và
plugin. Sensors sẽ giám sát các luồng traffic, thực hiện 5 chức năng chính. Agent sẽ thực
hiện thu thập log từ các thiết bị mà chúng ta muốn giám sát, chuyển thông tin đó ( dưới
dạng raw – format ) cho từng plugins theo từng thiết bị, Các plugins này sẽ tiến hành
chuẩn hóa một dạng chung rồi gửi cho Server. Mỗi dạng đã được chuẩn hóa là một SỰ
KIỆN trong USM.
14 | P a g e


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
II.4.2. Một số chức năng chính:
USM ngoài việc có đầy đủ tính năng của một giải pháp SIEM còn hỗ trợ thêm 5 tính
năng quan trọng bằng việc sử dụng các công cụ mã nguồn mở được tích hợp trong một
giao diện duy nhất, cung cấp cho người quản trị cái nhìn đầy đủ và toàn vẹn về hệ thống.
5 tính năng này bao gồm : Quản lý tài sản ( Asset Discovery), Đánh giá mối đe dọa và
lỗ hổng bảo mật ( Vulnerability and Threat Assessment), Phát hiện mối đe dọa ( Threat
Detection ), Giám sát hành vi ( Behavioral Monitoring ) và SIEM ( quản lý & phân tích
sự kiện)
o Thu thập log từ các thiết bị mạng và từ các thiết bị đầu cuối ( computer,
server)
o Giám sát các luồng traffic ra vào hệ thống mạng.
o Phát hiện và phân loại tài sản
o Thực hiện chức năng quét các lỗ hổng bảo mật
o Thu thập, phân tích những dấu hiệu bất thường
o Kết xuất NetFlow cho một số luồng traffic.

Mỗi thành phần Sensors có ít nhất là 2 card mạng: Card Manage dùng để trao đổi dữ
liệu với các thành phần khác, còn card Monitor thường gắn với SPAN port trên hệ
thống core - switch ( hoặc gắn với TAP Network). Ngoài ra, chúng ta có thể sử dụng
thêm 1 card hỗ trợ thu thập log file từ các thiết bị ( tuy nhiên, card này là tùy chọn,
chúng ta có thể tích hợp card này vào card management cũng được)
Các remote sensors triển khai tại các remote-site có thể được cấu hình giao tiếp với các
server trung tâm thông qua kết nối tcp thông thường ( dữ liệu gửi đi là plaintext) hoặc
có thể cấu hình kết nối thông qua VPN ( dữ liệu gửi đi được mã hóa )
 Thành phần AlienVault USM Logger:
Đây là thành phần có nhiệm vụ lưu trữ bảo mật những thông tin log đã thu thập từ
các Sensors ( dưới dạng raw-log) , hỗ trợ cho công tác lưu trữ lâu dài và trong việc
điều tra, pháp chứng kỹ thuật số.
( Khác với thành phần database trong server chỉ hỗ trợ cho việc lưu trữ tạm thời những
sự alarm, cảnh báo của hệ thống trong thời gian ngắn )
15 | P a g e


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
II.4.3. Một số tính năng:

Hình II.6 Một số tính năng chính
 Quản lý tài sản ( Asset Discovery):
Hỗ trợ cơ chế quét chủ động hay bị động, cho phép admin theo dõi được các thiết bị
đang kết nối, danh sách các phần mềm đang được sử dụng, cấu hình chi tiết các thiết bị
để phát hiện kịp thời những mối đe dọa tiềm tàng trong hệ thống thông qua một giao
diện quản lý duy nhất, đồng thời còn có thể phát hiện kịp thời những thiết bị trái phép
trong hệ thống.
 Đánh giá mối đe dọa và lỗ hổng bảo mật ( Vulnerability and Threat
Assessment)
Hỗ trợ phát hiện những lỗ hổng bảo mật trong hệ thống, từ đó đưa ra giải pháp để khắc

phục bằng hai cơ chế : Authenticated Scanning và Unauthenticated scanning.
 Phát hiện mối đe dọa ( Threat Detection )
Hỗ trợ việc nhanh chóng phát hiện dấu hiệu của cuộc tấn công bằng cách sử dụng kết
hợp giải pháp network IDS và Host IDS
 Giám sát hành vi ( Behavioral Monitoring)
Giám sát những thay đổi bất thường trong mạng, hệ thống và dịch vụ có thể dẫn đến
cuộc tấn công.

16 | P a g e


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
 Quản lý và phân tích sự kiện ( Security Information and Event Management)
Open Threat Exchange (OTX): Open Threat Exchange là một cộng đồng người dùng
được AlienVault phát triển cho phép thu thập, phối hợp, chia sẻ thông tin về các cuộc
tấn công cũng như là các mối hiểm họa mới trên toàn thế giới với sự tham gia của hơn
140 quốc gia. Người dùng có thể tùy chọn chia sẻ thông tin về các mối đe dọa, những
thông tin này sẽ được kiểm định bởi các chuyên gia bảo mật của AlienVault trước khi
được truyền tải đến cộng đồng người dùng sử dụng.
II.5.

Kết quả thực nghiệm:

II.5.1. Mô hình triển khai:

Hình II.7 Mô hình triển khai
Các thành phần trong hệ thống bao gồm:
 PfSense Firewall.
 Domain Controller : Windows Server 2k8 với tên domain là fpt.local
 Client và Attacker sử dụng hệ điều hành Windows XP


17 | P a g e


Báo cáo thực tập doanh nghiệp – Công ty Cổ Phần Viễn Thông FPT Telecom
 Triển khai hệ thống AlienVault OSSIM ở vùng mạng INTERNAL theo kiểu cài
đặt All-in-One (AIO)
 Triển khai thêm Remote Sensors tại lớp mạng DMZ, tiến hành cấu hình hệ thống
theo mô hình One Server – MultiSensors ( 1 Sensors ở Internal và 1 sensor ở
DMZ)
 Web Server sử dụng DVWQ tiện cho việc pentest các cuộc tấn công trên nền
Web Application. Trên server có cài sẵn Mod Security hỗ trợ việc phát hiện các
cuộc tấn công trên nền Web.
II.5.2. Danh sách các bài Lab thực hiện:
 Lab 1: Cài đặt, triển khai AlienVault OSSIM
o Task 1: Cài đặt AlienVault AIO
o Task 2 : Cài đặt AlienVault Sensors
 Lab 2: Triển khai mô hình Single – Remote Sensors
o Task 1: Cấu hình nhận remote sensor từ DMZ
 Lab 3: Triển khai Agent lên hệ thống Linux và Windows.
o Task 1: Tích hợp AlienVault OSSIM vào Domain Controllers.
o Task 2: Triển khai OSSEC agent trên Windows theo hình thức tự động
o Task 3: Triển khai OSSEC agent trên Linux theo hình thức thủ công
o Task 4: Triển khai OSSEC Agentless trên các thiết bị mạng
o Task 5: Cấu hình Syslog server trên Alienvault Sensors.
 Lab 4 : Kiểm chứng tính năng cơ bản:
o Task 1: Kiểm chứng tính năng Asset Discovery
o Task 2: Kiểm chứng tính năng quét lỗ hổng Vulnerability Scanning.
 Lab 5: Web Application Attack Use Case
o Task 1: Xây dựng use case cho cuộc tấn công SQL Injection ( Remote

Attack )
o Task 2: Xây dựng use case cho cuộc tấn công Port Scanning ( Remote
Attack )
 Lab 6 : Network Behavioral Analysis
o Task 1: Tìm hiểu, cấu hình công cụ Netflow Analysis.
o Task 2: Tìm hiểu, cấu hình công cụ Network Protocol Analysis.
18 | P a g e


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×