HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA CƠNG NGHỆ THÔNG TIN
Học phần: Chuyên đề an ninh mạng
Bài báo cáo:
Ứng dụng hệ thống IDS Security Onion vào giám sát
môi trường mạng doanh nghiệp
Giảng viên hướng dẫn:
TS. Nguyễn Ngọc Điệp
Sinh viên thực hiện:
Đồn Cơng Hồng
Nguyễn Thành Nam
Đồng Văn Quang
Vũ Tiến Quốc
Phạm Hải Sơn
HÀ NỘI, 2020
B16DCAT064
B16DCAT111
B16DCAT128
B16DCAT132
B16DCAT140
Mục lục
CHƯƠNG 1 Tổng quan về hệ thống phát hiện xâm nhập...........................1
1.1.Tổng quan về xâm nhập.................................................................................................1
1.2. Hệ thống phát hiện xâm nhập......................................................................................2
1.2.1.Hệ thống phát hiện xâm nhập cho mạng....................................................................2
1.2.2.Hệ thống phát hiện xâm nhập cho host......................................................................3
1.3. Kỹ thuật phát hiện xâm nhập.......................................................................................4
1.3.1.Phát hiện xâm nhập dựa trên chữ ký..........................................................................4
1.3.2.Phát hiện xâm nhập dựa trên bất thường (Anomaly intrusion detection)..................5
CHƯƠNG 2 Giới thiệu Security Onion.........................................................7
2.1. Giới thiệu........................................................................................................................7
2.2. Các chức năng................................................................................................................7
2.2.1. Bắt tất cả gói tin (Full Packet Capture):...................................................................8
2.2.2.Phát hiện mạng và các điểm cuối:.............................................................................9
2.2.3.Các cơng cụ phân tích..............................................................................................12
2.2.4. Các cơng cụ NIDS..................................................................................................19
2.2.5. Các cơng cụ hỗ trợ phân tích điểm cuối (Host Visibility)......................................20
CHƯƠNG 3 Cách thức hoạt động của Security Onion..............................21
3.1. Kiến trúc.......................................................................................................................21
3.1.1.Import.......................................................................................................................22
3.1.2.Evaluation................................................................................................................22
3.1.3.Standalone................................................................................................................23
3.1.4.Distributed...............................................................................................................23
3.1.5.Các loại nodes..........................................................................................................25
3.2.Cách thức hoạt động....................................................................................................25
3.2.1. IDS..........................................................................................................................26
3.2.2. IPS...........................................................................................................................26
3.3.Cài đặt............................................................................................................................26
3.3.1.Yêu cầu phần cứng đối với Security Onion.............................................................26
3.3.2. Môi trường cài đặt...................................................................................................27
3.3.3.Các tác vụ cần thực hiện sau khi cài đặt xong:........................................................28
CHƯƠNG 4 Luật trong Security Onion......................................................30
4.1. Rule Header.................................................................................................................31
4.1.1 Rule Action..............................................................................................................31
4.1.2. Protocol...................................................................................................................31
4.1.3. IP Address...............................................................................................................32
4.1.4. Port..........................................................................................................................32
4.1.5. Điều hướng.............................................................................................................32
4.2. Rule Option...................................................................................................................33
4.2.1. General....................................................................................................................33
4.2.2. Payload....................................................................................................................35
4.2.3. Non-Payload...........................................................................................................38
4.3: Add Local Rules...........................................................................................................44
4.3.1.Giới thiệu.................................................................................................................44
4.3.2.Chính sách IPS.........................................................................................................44
4.3.3.Các bước thực hiện..................................................................................................45
CHƯƠNG 5 Ứng dụng Security Onion giám sát môi trường mạng doanh
nghiệp
...................................................................................................48
5.1.
Các công cụ được sử dụng......................................................................................48
5.1.1.
Sguil...................................................................................................................48
5.1.2.
Wazuh................................................................................................................51
5.2.
Sơ đồ môi trường demo giám sát/phát hiện xâm nhập........................................76
5.3. Các bước cài đặt Security Onion để thực hiện giám sát server theo mơ hình mơi
trường demo trên................................................................................................................76
5.4. Thực hiện tấn cơng và phát hiện tấn công từ trong mạng, đưa ra cảnh
báo/phân tích bằng Sguil....................................................................................................92
5.4.1.
Phát hiện tấn cơng rà qt lỗ hổng.................................................................92
5.4.2.
Phát hiện tấn công DOS...................................................................................93
5.5. Các bước cài đặt Wazuh để thực hiện giám sát các điểm cuối trong mạng theo môi
trường demo trên Ubuntu.....................................................................................................98
5.5.1.
Cài đặt Wazuh Server.........................................................................................98
5.5.2.
Cài đặt Wazuh Agent........................................................................................105
5.6.
Demo Wazuh giám sát tính tồn vẹn của file (file integrity).............................105
5.6.1.
Tổng quan.......................................................................................................105
5.6.2.
Mơ hình triển khai.........................................................................................106
5.6.3.
Hướng dẫn cấu hình.......................................................................................107
Danh mục hình ảnh
Ảnh 1.1 Vị trí hệ thống IDS trong sơ đồ mạng.........................................................................................2
Ảnh 1.2 Các NIDS được bố trí để giám sát phát hiện xâm nhập tại cổng vào và cho từng phân đoạn
mạng...........................................................................................................................................................3
Ảnh 1.3 Sử dụng kết hợp NIDS và HIDS để giám sát lưu lượng mạng và các host................................4
Ảnh 1.4 Lưu đồ giám sát phát hiện tấn công, xâm nhập dựa trên chữ ký................................................5
Ảnh 1.5 Biểu đồ tín hiệu entropy theo thời gian.......................................................................................6
Ảnh 2.1 Sơ đồ hoạt động của SO trong môi trường mạng doanh nghiệp truyền thống...........................8
Ảnh 2.2 Minh họa phát hiện tấn công trên cơ sở hệ thống mạng (NIDS)................................................9
Ảnh 2.3 Minh họa phát hiện tấn công dựa trên cơ sở hệ thống máy chủ/đầu cuối (HIDS)...................11
Ảnh 2.4 Giao diện của SOC.....................................................................................................................12
Ảnh 2.5 Giao diện Hunt...........................................................................................................................12
Ảnh 2.6 Giao diện bắt và thu hồi gói tin của SOC..................................................................................13
Ảnh 2.7 Giao diện Kibana.......................................................................................................................14
Ảnh 2.8 Giao diện Cyberchef..................................................................................................................15
Ảnh 2.9 Giao diện CapME.......................................................................................................................16
Ảnh 2.10 Giao diện Squert.......................................................................................................................17
Ảnh 2.11 Giao diện Sguil.........................................................................................................................18
Ảnh 2.12 Giao diện Wireshark................................................................................................................18
Ảnh 3.1 Kiến trúc hoạt động tổng thể của Security Onion.....................................................................21
Ảnh 3.2 Kiến trúc Evaluation..................................................................................................................22
Ảnh 3.3 Kiến trúc Standalone..................................................................................................................23
Ảnh 3.4 Kiến trúc Distributed..................................................................................................................24
Ảnh 4.1 Cấu trúc luật trong Suricata.......................................................................................................30
Ảnh 4.2 Ví dụ luật trong Suricata............................................................................................................30
Ảnh 4.3 Thông tin phân loại lớp quy tắc.................................................................................................35
Ảnh 4.4 Một số tuỳ chọn của Ipopts........................................................................................................38
Ảnh 4.5 Bảng Type của ICMP Header...................................................................................................42
Ảnh 4.6 Kiểm tra sguil để biết cảnh báo tương ứng...............................................................................46
Ảnh 4.7 Xác minh payload......................................................................................................................47
Ảnh 5.1 Giao diện Sguil 0.9.0.................................................................................................................48
Ảnh 5.2 Barnyard nhận các cảnh báo từ Snort IDS, sử lý và lưu vào database.....................................49
Ảnh 5.3 Tổng quan kiến trúc của Sguil...................................................................................................50
Ảnh 5.4 Tổng quan kiến trúc của Sguil (2).............................................................................................51
Ảnh 5.5 Kiến trúc Single-node deployment của Wazuh.........................................................................54
Ảnh 5.6 Kiến trúc Multi-node deployment của Wazuh...........................................................................54
Ảnh 5.7 Sơ đồ giao tiếp giữa agent và server..........................................................................................55
Ảnh 5.8 Các file rule trong /var/ ossec/ruleset/rules...............................................................................56
Ảnh 5.9 Rule liên quan đến ssh của hệ thống 0095-sshd_rules.xml......................................................57
Ảnh 5.10 Cảnh báo hành vi đăng nhập sử dụng một non-existent user.................................................57
Ảnh 5.11 Dữ liệu hiển thị trên Kibana dưới dạng Table.........................................................................58
Ảnh 5.12 Dữ liệu hiển thị trên Kibana dưới dạng JSON........................................................................59
Ảnh 5.13 Các mức độ cảnh báo OSSEC.................................................................................................60
Ảnh 5.14 Luật OSSEC.............................................................................................................................61
Ảnh 5.15 Thông tin các file rule trong Wazuh.......................................................................................62
Ảnh 5.16 Các file rule của Windows.......................................................................................................62
Ảnh 5.17 Các file Rules Linux...................................................................................................................63
Ảnh 5.18 Sơ đồ cấu trúc node Manager..................................................................................................64
Ảnh 5.19 Tạo bộ decoder mới trong file local_decoder.xml..................................................................66
Ảnh 5.20 Thêm thông tin cho rule vào đường dẫn..................................................................................67
Ảnh 5.21 Kiểm tra rule............................................................................................................................68
Ảnh 5.22 Sao chép decoders.xml............................................................................................................69
Ảnh 5.23 Loại bỏ decoders.xml bằng thẻ <decoder_exclude>...............................................................69
Ảnh 5.24 Rule có id 5710........................................................................................................................70
Ảnh 5.25 Dán đoạn code rule id 5710 vào đường dẫn............................................................................71
Ảnh 5.26 Test rule vừa được sửa đổi.......................................................................................................72
Ảnh 5.27 Các tham số trong thẻ <rule>..................................................................................................72
Ảnh 5.28 Rule id 5710 cũ........................................................................................................................73
Ảnh 5.29 Các cảnh báo lặp lại.................................................................................................................73
Ảnh 5.30 Thêm tham số ignore................................................................................................................74
Ảnh 5.31 Kết quả sao khi thêm tham số ignore vào rule........................................................................74
Ảnh 5.32 Rule id 5710 sử dụng noalert...................................................................................................74
Ảnh 5.33 Kết quả sau khi thay đổi..........................................................................................................75
Ảnh 5.34 Sơ đồ demo giám sát phát hiện tấn công/xâm nhập..............................................................76
Ảnh 5.35 Cấu hình cài đặt máy ảo Security Onion trên máy server.......................................................77
Ảnh 5.36 Cài đặt Promiscuous Mode......................................................................................................78
Ảnh 5.37 Rà quét lỗ hổng máy server sử dụng công cụ Zenmap...........................................................92
Ảnh 5.38 Kết quả giám sát.......................................................................................................................93
Ảnh 5.39 Lệnh sửa file local.rules thông qua cửa sổ terminal................................................................93
Ảnh 5.40 Thêm luật vào file local.rules..................................................................................................94
Ảnh 5.41 Thực hiện lệnh rule-update để cập nhật IDS ruleset...............................................................95
Ảnh 5.42 Thực hiện tấn công DOS trên máy Kali..................................................................................96
Ảnh 5.43 Trạng thái website sau khi bị tấn công DOS...........................................................................96
Ảnh 5.44 Giao diện Sguil hiện cảnh báo tấn công DOS thời gian thực cùng các thông tin liên quan. .97
Ảnh 5.45 Cài đặt Wazuh-manager thành công........................................................................................99
Ảnh 5.46 Thông báo cài đặt thành công Elasticsearch..........................................................................101
Ảnh 5.47 Cài đặt thành công Filebeat...................................................................................................103
Ảnh 5.48 Giao diện quản trị Kibana của Wazuh-server........................................................................104
Ảnh 5.49 Sơ đồ cách thức hoạt động của FIM......................................................................................106
Ảnh 5.50 Sơ đồ triển khai Wazuh manager/agent................................................................................107
Ảnh 5.51 Kiểm tra cấu hình giám sát FIM..............................................................................................108
Ảnh 5.52 File .txt để thực hiện giám sát (1)..........................................................................................108
Ảnh 5.53 File .txt để thực hiện giám sát (2)..........................................................................................108
Ảnh 5.54 Giao diện quản trị Wazuh-manager.......................................................................................109
Ảnh 5.55 Integrity monitoring trong Wazuh-manager.........................................................................109
Ảnh 5.56 Kiểm tra tính tốn vẹn của file .txt (1)...................................................................................110
Ảnh 5.57 Kiểm tra tính tốn vẹn của file .txt (2)...................................................................................110
Danh mục từ viết tắt
Từ/cụm từ viết tắt
AF-PACKET
East-west traffic
CSV
CIS
CAT
DOS
FIM
GUI
GPL
HIDS
IDS
IP
IPS
ISO image
JSON
NIDS
NSM
NIC
North-south traffic
OSSEC
OVAL
PPA
SANCP
SCA
SOC
SPAN
Salt
Ý nghĩa
Một socket trong các hệ điều hành nhân
Linux, cho phép ứng dụng gửi và nhận các
gói tin
Lưu lượng truy cập trong 1 hệ thống trung
tâm dữ liệu
Comma-seperated value
Center for Internet Security
Configuration Assessment Tool
Denial-of-service
File integrity monitoring
Graphical User Interface
GNU General Public License
Host-based intrusion detection systems
Intrusion Detection System
Internet Protocol
Intrusion Prevention System
optical disc file system
JavaScript Object Notation
Network-based intrusion detection system
Network Security Monitoring
Network Interface Controller
Lưu lượng truy cập từ bên ngoài đến trung
tâm dữ liệu
(và ngược lại)
Open Source HIDS SECurity
Open Vulnerability and Assessment
Language
Personal Package Archives
(software repository được thiết kế cho người
dùng Ubuntu)
Security Analyst Network Connection
Profiler
Security Configuration Assessment
Security Onion Control
Switch Port Analyzer
(SaltStack) là một phần mềm Python mã
nguồn mở, dử dụng trong các tác vụ IT chủ
động hướng sự kiện (event-driven IT
automation), thi hành các tác vụ điều khiển
từ xa (remote task execution), quản lý cài
đặt/cấu hình (configuration management).
Cung cấp cách tiếp cận code-based với cơ
sở hạ tầng, các hệ thống cơ sở dữ liệu và các
hệ thống triển khai/quản lý, cài đặt/cấu hình
tự động, SecOps, cảnh báo rủi ro, công nghệ
đám mây.
SSH
Tcl
TCP
TCP/IP
TLS
Tk
TAP
UPS
WNIC
XCCDF
Secure Shell
Ngơn ngữ lập trình Tcl (phát âm như
“tickle”)[2]
Transmission Control Protocol
Internet protocol suite
(Transmission Control Protocol + Internet
Potocol)
Transport Layer Security
Một bộ công cụ thư viện mã nguồn mở đa
nền tảng, cung cấp các thành phần GUI cho
nhiều ngơn ngữ lập trình khác nhau [3]
Terminal Access Point
Uninterruptible power supply
Wireless Network Interface Controller
Extensible Configuration Checklist
Description Format
CHƯƠNG 1
Tổng quan về hệ thống phát hiện xâm nhập
1.1.Tổng quan về xâm nhập
Xâm nhập là tập các hành động nhằm thỏa hiệp với mục tiêu an tồn (tính bảo
mật, tính tồn vẹn và tính sẵn dùng) của tài ngun mạng hoặc máy tính.
Các hệ thống phát hiện tấn cơng, xâm nhập (IDS) là một lớp phòng vệ quan trọng trong
các lớp giải pháp đảm bảo an toàn cho hệ thống thơng tin và mạng theo mơ hình phịng
thủ có chiều sâu (defence in depth). Hệ thống phát hiện tấn cơng, xâm nhập IDS có
nhiệm vụ chính là:
-
Giám sát lưu lượng mạng hoặc các hành vi trên một hệ thống để nhận dạng các
dấu hiệu của tấn công, xâm nhập.
Khi phát hiện các hành vi tấn cơng, xâm nhập, thì ghi logs các hành vi này cho
phân tích bổ sung sau này.
Gửi thông báo cho người quản trị về các các hành vi tấn công, xâm nhập đã phát
hiện được
Thông thường hệ thống IDS thường được kết nối vào các bộ định tuyến, switch, card
mạng và chủ yếu làm nhiệm vụ giám sát và cảnh bảo, khơng có khả năng chủ động ngăn
chặn tấn công, xâm nhập
1
Ảnh 1.1 Vị trí hệ thống IDS trong sơ đồ mạng
1.2. Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập IDS được chia thành hai loại chính đó là: Hệ thống
phát hiện xâm nhập cho mạng và hệ thống phát hiện xâm nhập cho host.
1.2.1.Hệ thống phát hiện xâm nhập cho mạng
NIDS (Host-based IDS) phân tích lưu lượng mạng để phát hiện tấn công, xâm
nhập cho cả mạng hoặc một phần mạng. Trong một sơ đồ mạng, trong đó các NIDS
thường được bố trí để giám sát phát hiện xâm nhập tại cổng vào và cho từng phân đoạn
mạng.
2
Ảnh 1.2 Các NIDS được bố trí để giám sát phát hiện xâm nhập tại cổng vào và cho từng phân đoạn mạng
1.2.2.Hệ thống phát hiện xâm nhập cho host
HIDS (Host-based IDS) phân tích các sự kiện xảy ra trong hệ thống/dịch vụ để
phát hiện tấn công, xâm nhập cho hệ thống đó. Trong một sơ đồ mạng các NIDS thường
sử dụng để giám sát lưu lượng tại cổng mạng và HIDS để giám sát các host thông qua các
IDS agent. Một trạm quản lý (Management station) đƣợc thiết lập để thu nhập các thông
tin từ các NIDS và HIDS để xử lý và đưa ra quyết định cuối cùng.
3
Ảnh 1.3 Sử dụng kết hợp NIDS và HIDS để giám sát lưu lượng mạng và các host
1.3. Kỹ thuật phát hiện xâm nhập
Các kỹ thuật phát hiện xâm nhập được chia thành hai kỹ thuật chính đó là: phát
hiện xâm nhập dựa trên chữ ký và phát hiện xâm nhập dựa trên bất thường.
1.3.1.Phát hiện xâm nhập dựa trên chữ ký
Phát hiện xâm nhập dựa trên chữ ký (Signature-based intrusion detection) trước hết
cần xây dựng cơ sở dữ liệu các chữ ký, hoặc các dấu hiệu của các loại tấn công, xâm
nhập đã biết. Hầu hết các chữ ký, dấu hiệu được nhận dạng và mã hóa thủ cơng và dạng
biểu diễn thường gặp là các luật phát hiện (Detection rule). Bước tiếp theo là sử dụng cơ
sở dữ liệu các chữ ký để giám sát các hành vi của hệ thống, hoặc mạng, và cảnh báo nếu
phát hiện chữ ký của tấn công, xâm nhập.
4
Ảnh 1.4 Lưu đồ giám sát phát hiện tấn công, xâm nhập dựa trên chữ ký
Ưu điểm lớn nhất của phát hiện xâm nhập dựa trên chữ ký là có khả năng phát hiện
các tấn công, xâm nhập đã biết một cách hiệu quả. Ngoài ra, phương pháp này cho tốc độ
xử lý cao, đồng thời yêu cầu tài nguyên tính tốn tương đối thấp. Nhờ vậy, các hệ thống
phát hiện xâm nhập dựa trên chữ ký đƣợc ứng dụng rộng rãi trong thực tế. Tuy nhiên,
nhược điểm chính của phương pháp này là khơng có khả năng phát hiện các tấn công,
xâm nhập mới, do chữ ký của chúng chưa tồn tại trong cơ sở dữ liệu các chữ ký. Hơn
nữa, nó cũng địi hỏi nhiều cơng sức xây dựng và cập nhật cơ sở dữ liệu chữ ký, dấu hiệu
của các tấn công, xâm nhập.
1.3.2.Phát hiện xâm nhập dựa trên bất thường (Anomaly intrusion detection)
Phát hiện xâm nhập dựa trên bất thường (Anomaly intrusion detection) dựa trên giả
thiết: các hành vi tấn cơng, xâm nhập thường có quan hệ chặt chẽ với các hành vi bất
thường. Quá trình xây dựng và triển khai một hệ thống phát hiện xâm nhập dựa trên bất
thƣờng gồm 2 giai đoạn: là huấn luyện và là phát hiện.
-
Giai đoạn huấn luyện: Hồ sơ (profile) của đối tƣợng trong chế độ làm việc bình
thường được xây dựng. Để thực hiện giai đoạn huấn luyện này, cần giám sát đối
tƣợng trong một khoảng thời gian đủ dài để thu thập đƣợc đầy đủ dữ liệu mô tả
các hành vi của đối tượng trong điều kiện bình thường làm dữ liệu huấn luyện.
5
Tiếp theo, thực hiện huấn luyện dữ liệu để xây dựng mơ hình phát hiện, hay hồ sơ
của đối tượng.
-
Giai đoạn đoạn phát hiện: Thực hiện giám sát hành vi hiện tại của hệ thống và
cảnh báo nếu có khác biệt rõ nét giữa hành vi hiện tại và các hành vi lưu trong hồ
sơ của đối tượng.
Ảnh 1.5 Biểu đồ tín hiệu entropy theo thời gian
Giá trị entropy của IP nguồn của các gói tin từ lưu lượng hợp pháp (phần giá trị cao, đều)
và entropy của IP nguồn của các gói tin từ lưu lượng tấn cơng DDoS (phần giá trị thấp)
Hình trên biểu diễn giá trị entropy của IP nguồn của các gói tin theo cửa sổ trượt từ lưu
lượng bình thường và entropy của IP nguồn của các gói tin từ lưu lượng tấn cơng DDoS.
Có thể thấy sự khác biệt rõ nét giữa giá trị entropy của lưu lượng bình thường và lưu
lượng tấn cơng và như vậy, nếu một ngưỡng entropy được chọn phù hợp ta hồn tồn có
thể phát hiện sự xuất hiện của cuộc tấn công DDoS dựa trên sự thay đổi đột biến của giá
trị entropy.
Ưu điểm của phát hiện xâm nhập dựa trên bất thường là có tiềm năng phát hiện các loại
tấn công, xâm nhập mới mà không yêu cầu biết trước thông tin về chúng. Tuy nhiên,
phương pháp này có tỷ lệ cảnh báo sai tƣơng đối cao so với phương pháp phát hiện dựa
trên chữ ký. Điều này làm giảm khả năng ứng dụng thực tế của phát hiện xâm nhập dựa
trên bất thường. Ngồi ra, nó cũng tiêu tốn nhiều tài nguyên hệ thống cho việc xây dựng
hồ sơ đối tượng và phân tích hành vi hiện tại.
6
CHƯƠNG 1 Giới thiệu Security Onion
2.1. Giới thiệu
Security Onion (SO) là một phiên bản của Linux được thiết kế để phát hiện xâm
nhập và giám sát an toàn mạng. Bộ công cụ này dựa trên Xubuntu 10.04, gồm Snort,
Suticata, Sguil, Squert, Snorby, Bro, NetworkMiner, Xplico, và nhiều các công cụ an tồn
khác. Đây là bộ cơng cụ rất hữu dụng trong giảng dạy và học tập, ngồi ra Security Onion
cịn được sử dụng cho các văn phòng và mạng lưới cá nhân.
2.2. Các chức năng
Trong sơ đồ bên dưới, có thể thấy Security Onion trong môi trường mạng doanh
nghiệp sẽ bao gồm tường lửa, máy trạm và máy chủ. Người quản trị có thể sử dụng
Security Onion để theo dõi lưu lượng truy cập từ phía bên ngồi trung tâm dữ liệu
(North-south traffic) để phát hiện kẻ xâm nhập một mơi trường mạng, thiết lập lệnh và
kiểm sốt (Command and Control) hoặc có thể là xâm nhập dữ liệu. Người quản trị cũng
có thể muốn theo dõi lưu lượng truy cập trong 1 trung tâm dữ liệu (East-west traffic) để
để phát hiện các động thái có nguy cơ từ bên trong. Do ngày càng nhiều lưu lượng truy
nhập trong mạng được mã hóa, việc khắc phục những điểm mù tới từ việc đó bằng cách
bằng khả năng hiển thị bổ sung dưới dạng chuẩn đoán thiết bị đầu cuối (endpoint
telemetry) là rất quan trọng. Security Onion có thể sử dụng được nhật ký (logs) từ các
máy chủ và máy trạm, sau đó có thể tìm kiếm bao qt tồn bộ môi trường mạng và nhật
ký lưu trữ của máy chủ cùng một lúc.
7
Ảnh 2.6 Sơ đồ hoạt động của SO trong môi trường mạng doanh nghiệp truyền thống
Security Onion có ba chức năng cốt lõi chính:
2.2.1. Bắt tất cả gói tin (Full Packet Capture):
Bắt tất cả gói tin được thực hiện thơng qua công cụ Stenographer.
Stenographer là công cụ hỗ trợ bắt gói tin cho các gói dữ liệu đệm đến ổ đĩa, nhằm
mục đích phát hiện xâm nhập và giúp người quản trị có thể có các động thái kịp
thời khi phát hiện ra hiện tượng xâm nhập. Stenographer cung cấp cơ chế cài đặt
đọc và ghi các gói tin bắt được từ network adapter (card mạng) ra ổ đĩa (NIC-to8
disk packet writing), xử lý ngoại lệ khi ổ đĩa hết dung lượng bằng cách xóa bớt các
gói tin đi, cung cấp các phương thức để có thể đọc lại các gói tin cụ thể, nhanh
chóng. Sternographer sử dụng AP-PACKET để có thể thực hiện gửi và nhận các
gói tin.
2.2.2.Phát hiện mạng và các điểm cuối:
Phát hiện mạng và đầu cuối (network and endpoint detection) phân tích lưu lượng
gói tin trong mạng hoặc hệ thống máy chủ, đồng thời cung cấp dữ liệu nhật ký
(các bản ghi log) và cảnh báo cho các sự kiện và hoạt động được phát
hiện. Security Onion cung cấp nhiều tùy chọn:
Ảnh 2.7 Minh họa phát hiện tấn công trên cơ sở hệ thống mạng (NIDS)
o NIDS hướng theo quy tắc (Rule-driven NIDS). Để phát hiện xâm nhập
mạng theo quy tắc, Security Onion 2 sử dụng Suricata. Hệ thống dựa trên
9
quy tắc xem xét lưu lượng mạng để tìm dấu vân tay và số nhận dạng khớp
với lưu lượng độc hại, bất thường hoặc đáng ngờ.
o NIDS hướng phân tích. Để phát hiện xâm nhập mạng theo hướng phân tích
(analysis-driven network intrusion detection), Security Onion cung cấp
công cụ Zeek. Zeek giám sát hoạt động mạng và ghi vào nhật ký (log) mọi
kết nối, yêu cầu DNS, dịch vụ mạng và phần mềm được phát hiện, chứng
chỉ SSL và hoạt động HTTP, FTP, IRC, SMTP, SSH, SSL và Syslog mà nó
nhìn thấy, cung cấp khả năng hiển thị đầy đủ và thiết thực trong ngữ cảnh
dữ liệu và sự kiện xảy ra với chúng bên trong mơi trường mạng. Ngồi ra,
Zeek bao gồm các bộ phân tích cho nhiều giao thức phổ biến, và mặc định
có khả năng kiểm tra tổng MD5 cho các lần tải xuống tệp HTTP chống lại
dự án Đăng ký phần mềm mã độc của Team Cymru (Team Cymru’s
Malware Hash Registry project). Ngoài hoạt động ghi nhật ký và phân tích
lưu lượng, Zeek cung cấp nhiều giải pháp cho việc mở rộng để phân tích dữ
liệu mạng trong thời gian thực. Khung đầu vào cho phép cung cấp dữ liệu
vào Zeek, có thể được script theo một bộ lọc nào đó, ví dụ, để đọc một file
CSV của một nhân viên cấp quản lý và so sáng tương khắc của nó với các
hoạt động khác trong mạng, ví dụ như hoạt động tải một file thực thi
(executable file) từ mạng internet xuống. Framework phân tích dữ liệu cung
cấp các cách thức phân tích dữ liệu độc lập về giao thức, cho phép bắt dữ
liệu khi chúng đi qua môi trường mạng và tự động chuyển chúng vào môi
trường sandbox hoặc một file chia sẻ kiểm tra vi-rút.
10
Ảnh 2.8 Minh họa phát hiện tấn công dựa trên cơ sở hệ thống máy chủ/đầu cuối (HIDS)
o
Để giám sát điểm cuối, Security Onion cung cấp Wazuh, một công cụ HIDS
mã nguồn mở, miễn phí cho Windows, Linux và Mac OS X. Khi thêm bộ
lọc/bộ quét của Wazuh vào các điểm cuối trên mạng, người quản trị có thể nắm
bắt được các thơng tin có giá trị từ các điểm cuối (endpoint) đến các điểm thốt
(exit) trong mơi trường mạng . Wazuh thực hiện phân tích nhật ký, kiểm tra
tính tồn vẹn của tệp, giám sát chính sách, phát hiện rootkit, cảnh báo thời gian
thực và phản hồi chủ động. Một bổ sung mới cho Security Onion 2 là osquery
– một cơng cụ mã nguồn mở miễn phí khác có chức năng tương tự. Ngồi ra,
Security Onion có thể thu thập dữ liệu thông qua Syslog hoặc Beats.
11
2.2.3.Các cơng cụ phân tích
Ảnh 2.9 Giao diện của SOC
Ảnh 2.10 Giao diện Hunt
12
Ảnh 2.11 Giao diện bắt và thu hồi gói tin của SOC
Security Onion Console (SOC): Nó bao gồm một giao diện cảnh báo mới
cho phép người quản trị xem tất cả các cảnh báo NIDS và HIDS. Security
Onion Console (SOC) cũng bao gồm một giao diện Hunt mới để săn tìm
mối đe dọa, cho phép người quản trị truy vấn khơng chỉ cảnh báo NIDS /
HIDS mà cịn cả nhật ký Zeek và nhật ký hệ thống. Security Onion Console
(SOC) cũng bao gồm một giao diện để truy xuất toàn bộ gói tin (PCAP).
TheHive: TheHive là giao diện quản lý case. Khi đang làm việc với Alerts,
Hunt hoặc Kibana, người quản trị có thể tìm thấy các cảnh báo hoặc bản ghi
tiềm ẩn nguy cơ để gửi tới TheHive và tạo case.
13
Ảnh 2.12 Giao diện Kibana
Kibana: Kibana, được tạo ra bởi nhóm tại Elastic, cho phép nhanh chóng
phân tích và xoay vòng giữa tất cả các loại dữ liệu khác nhau do Security
Onion tạo ra thơng qua một “ơ kính duy nhất” (“single pane of glass”.). Nó
khơng chỉ bao gồm cảnh báo NIDS / HIDS mà còn cả nhật ký Zeek và nhật
ký hệ thống được thu thập thông qua nhật ký hệ thống hoặc phương tiện
truyền tải đại lý khác. Kibana có thể xoay vịng để chụp tồn bộ gói thông
qua Security Onion Console (SOC).
14
Ảnh 2.13 Giao diện Cyberchef
CyberChef cho phép giải mã, giải nén và phân tích các đoạn mã/dữ liệu
Playbook: Playbook là một ứng dụng web cho phép tạo Detection
Playbook. Các Detection Playbook mơ tả các khía cạnh khác nhau xung
quanh chiến lược phát hiện tấn công cụ thể.
15
Ảnh 2.14 Giao diện CapME
CapME: một ứng dụng web cho phép:
Xem một bản dịch pcap transcript được render bằng tcpflow hoặc Zeek
Tải về file pcap
16
Ảnh 2.15 Giao diện Squert
Squert: một ứng dụng web được sử dụng để thực hiện các câu lệnh truy vấn (querry) và
xem các sự kiện từ log thu thập được trong cơ sở dữ liệu của Sguil (các cảnh báo IDS):
Xem một bản dịch pcap transcript được render bằng tcpflow
Xem một bản dịch pcap transcript được render bằng Zeek
Tải về file pcap
Ảnh 2.16 Giao diện Sguil
17
Sguil: một ứng dụng phân tích/giám sát mạng, có GUI, cung cấp khả năng bắt và truy cập
các sự kiện thời gian thực, bắt tồn bộ gói tin và các dữ liệu phiên (session data). Sguil là
một công cụ NSM và cũng là một cơng cụ phân tích hướng sự kiện (event driven)
Ảnh 2.17 Giao diện Wireshark
Wireshark: một ứng dụng phân tích dựa trên giao thức mạng rất phổ biến.
2.2.4. Các công cụ NIDS
Các công cụ NIDS là các công cụ giám sát, phát hiện xâm nhập hệ thống
mạng, bắt được các hành động khả nghi cụ thể và đưa ra các cảnh báo dựa vào luật
(rule)
Security Onion có thể sử dụng Snort hoặc Suricata làm NIDS engine. Trong
quá trình setup, nếu tích chọn “Evaluation Mode”, Security Onion sẽ mặc định
NIDS engine là Snort. Các phiên bản cài đặt khác mặc định sử dụng Suricata trong
chế độ AF_PACKET
Các cảnh báo NIDS có thể được phân tích kĩ hơn bằng các công cụ: Squert,
Kibana, Sguil
Lệnh (terminal) chuyển đổi IDS engine từ Snort sang Suricata:
sudo so-sensor-stop
sudo sed -i 's|ENGINE=snort|ENGINE=suricata|g'
/etc/nsm/securityonion.conf
18