- Họ và tên tác giả luận văn Nguyễn Việt Dũng CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN TÊN ĐỀ TÀI LUẬN VĂN Nghiên cứu các phương pháp công cụ hỗ trợ quản trị và giám sát an toàn – an ninh mạng LUẬN VĂN THẠC SĨ KỸ THUẬT KHOÁ 2012B Hà Nội – Năm 2015 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI. - Họ và tên tác giả luận văn Nguyễn Việt Dũng TÊN ĐỀ TÀI LUẬN VĂN Nghiên cứu các phương pháp công cụ hỗ trợ quản trị và giám sát an toàn – an ninh mạng Chuyên ngành : Công Nghệ Thông Tin LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN: TS. - NSM Data Type - Các kiểu dữ liệu trong phạm vi NSM xử lý 3 1.2.1. - Alert Data 4 Chương 2: Nghiên cứu cách thức thu thập NSM Data 6 2.1. - Chiến lược thu thập dữ liệu 6 2.1.1. - Define Threats - Xác định mối đe dọa tới hệ thống 6 2.1.2. - Identify Data Feeds - Xác định nguồn dữ liệu cần bảo mật 8 2.1.4. - Narrow Focus - Tập trung bảo mật nguồn dữ liệu xác định 9 2.2. - Xây dựng bộ cảm biến thu thập 11 2.2.1. - Nghiên cứu một số công cụ thu thập log 16 2.3.1. - Thu thập session data với Argus 16 2.3.2. - Thu thập Full Packet Capture Data (FPC Data) với Netsniff-NG 19 2.3.3. - Thu thập PSTR Data với Justniffer 21 Chương 3: Phát hiện xâm nhập mạng 23 3.1. - Nghiên cứu hệ thống Bro IDS 27 3.2.1. - Phát hiện và cảnh báo tấn công Brute-Force với Bro IDS 34 Chương 4: Phân tích dữ liệu mạng 40 4.1. - Giải pháp xây dựng hệ thống lưu trữ và phân tích log trong môi trường doanh nghiệp với ElasticSearch, Logstash và Kibana 44 4.3.1. - Xây dựng hệ thống lưu trữ, quản lý phân tích log HTTP tích hợp hệ thống Bro IDS trong môi trường mạng doanh nghiệp. - 45 Kết luận 55 Tài liệu tham khảo 57 LỜI CAM ĐOAN Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. - Tôi xin cam đoan mọi sự giúp đỡ cho việc thực hiện Luận văn này đã được cảm ơn và các thông tin trích dẫn trong Luận văn đã được chỉ rõ nguồn gốc. - Học viên thực hiện luận văn Nguyễn Việt Dũng Danh mục các ký hiệu, các chữ viết tắt Từ viết tắt Diễn giải Dịch nghĩa ACF Applied Collection Framework Phương pháp ứng dụng thu thập dữ liệu BPF Bakerley Packet Filters Bộ lọc gói tin Bakerley CPU Central Processing Unit Bộ xử lý trung tâm DVWA Damn Vulnerable Web Application Ứng dụng thực hành tấn công Web ET Emerging Threats Bộ Rule Emerrging Threats của Snort FPC Full Packet Capture Thu thập dữ liệu gói đầy đủ HIDS Host Intrusion Detection System Hệ thống phát hiện xâm nhập máy chủ IDS Intrusion Detection System Hệ thống phát hiện xâm nhập IOC Indicators of compromise Các chi số của sự thỏa hiệp IRC Internet Relay Chat Hệ thống nhắn tin trong thời gian thực NIDS Network Intrusion Detection System Hệ thống phát hiện xâm nhập mạng NSM Network Security Monitoring Giám sát an ninh mạng P2P Peer to Peer Kết nối điểm điểm PSTR Packet String Data Dữ liệu dạng chuỗi RTFM Real-time Flows Monitor Giám sát dữ liệu mạng trong thời gian thực SQLi SQL Injection Tấn công phá hoại bằng câu lệnh truy vấn SQL TTL Time To Live Thời gian của một gói tin đi trong mạng cho đến khi đến được địa chi đích VRT Vulnerability Research Team Đội nghiên cứu lỗ hổng bảo mật chuyên cung cấp các bộ Rule cho Snort SO Security Onion Tên một hệ điều hành giám sát an ninh mạng XSS Cross Site Scripting Tấn công chèn mã độc vào ứng dụng Web Danh mục hình ảnh Hình 1: Mô tả chu kỳ NSM. - 5 Hình 3: Mô tả bốn bước xác định kế hoạch thu thập dữ liệu. - 29 Hình 6: Nguyễn mẫu thông báo của Bro về phát hiện kịch bản tấn công Brute-Force. - 43 Hình 10: Hệ thống Website đang quản trị của doanh nghiêp. - 45 Hình 11: Cơ chế hoạt động của hệ thống lưu trữ, quản lý và phân tích log với ElasticSearch, Logstash và Kibana. - Xu hướng đã thay đổi, nếu cách đây khoảng năm năm, các cuộc tấn công mạng diễn ra trên thế giới hầu hết là những cuộc tấn công vừa và nhỏ chủ yếu vào người dùng đơn lẻ, hay các doanh nghiệp. - Nhưng những năm trở lại đây các tổ chức tội phạm mạng công khai tấn công vào các tập đoàn lớn, các bộ máy an ninh của chính phủ, xâm phạm dữ liệu bảo mật mang tính chính trị. - Các cuộc tấn công đánh sập cả hệ thống một công ty lớn là chuyện đã không còn hiếm. - Gần đây nhất tại Việt Nam, vào tháng 10 năm 2014 hệ thống một công ty thương mại điện từ hàng đầu của Việt Nam đã bị đánh sập hoàn toàn chỉ sau một đêm, với một hình thức tấn công được cho là có tính triệt hạ đó là kẻ tấn công đã xóa sạch toàn bộ dữ liệu trên các máy chủ của hệ thống. - Dù là nhằm vào mục đích chính trị hay cạnh tranh kinh tế thì người thiệt hại lớn nhất vẫn là những con người đang làm việc tại tổ chức bị tấn công. - Bản thân em cũng là một kỹ sư công nghệ thông tin của một công ty truyền thông và đã từng chịu ảnh hưởng của những cuộc tấn công mạng. - Đây là lí do thôi thúc em chọn đề tài Nghiên cứu các giải pháp và các công cụ giám sát an toàn – an ninh mạng. - Bài toán em đặt ra sau khi hoàn thành nghiên cứu lĩnh vực giám sát an toàn – an ninh mạng đó là có thể xây dựng một hệ thống giám sát an ninh mạng, bao gồm các công đoạn. - Xây dựng bộ cảm biến thu thập mạng kết hợp với các công cụ thu thập dữ liệu mã nguồn mở để làm cơ sở dữ liệu cho hệ thống phát hiện xâm nhập mạng và hệ thống phân tích log. - Nghiên cứu giải pháp phát hiện xâm nhập mạng bằng cách tìm hiểu, xây dựng và cách vận hành các hệ thống IDS mã nguồn mở. - Mục đích đặt ra đó là có thể vận hành một hệ thống IDS bảo vệ an ninh cho hệ thống mạng. - Tính toán, và xây dựng hệ thống lưu trữ, quản lý log để thực hiện phân tích. - Tìm hiểu các công cụ mã nguồn mở trong lĩnh vực quản lý log hệ thống, network. - Các công cụ hỗ trợ hình ảnh, đồ họa trực quan tích hợp với hệ thống lưu trữ log đưa ra một cách nhìn toàn cảnh và rõ ràng cho công cuộc phân tích mạng. - Trong từng giai đoạn nghiên cứu để xây dựng một hệ thống giám sát an ninh mạng em đã đưa vào trong Luận văn những giải pháp nghiên cứu được để giải quyết các khó khăn cho từng giai đoạn. - Cụ thể trong Luận văn này em đã phân tách ra ba tác vụ cơ bản cho một hệ thống giám sát an toàn – an ninh mạng dựa vào các yếu tố đã nêu trên, đó là tác vụ thu thập dữ liệu (Chương 2), tác vụ thứ hai là Phát hiện xâm nhập (Chương 3), và tác vụ cuối cùng là xây dựng cơ sở phân tích (Chương 4). - Tác vụ đầu tiên là tác vụ thu thập dữ liệu, ở phần này em đã đưa ra ba vấn đề để giải quyết đó là hoạch định chiến lược thu thập, xây dựng bộ cảm biến, và sử dụng các giải pháp công cụ thu thập mã nguồn mở phù hợp với chiến lược đã hoạch định và nền tảng cảm biến có thể đáp ứng. - Trong tác vụ đầu tiên này, vấn đề hoạch định chiến lược thu thập dữ liệu được nhấn mạnh là khâu quan trọng nhất. - Việc xác định rõ các yêu cầu bảo mật của hệ thống, tính toán và đánh giá các mối nguy hiểm tiềm tàng đối với hệ thống cũng được đưa ra để có thể giải quyết bài toán đầu vào cho hệ thống giám sát an toàn – an ninh mạng. - Qua Chương 2 của Luận văn, em muốn nhấn mạnh vào tầm quan trọng của việc xác định rõ nhu cầu của hệ thống, đây được xem như cơ sở để xây dựng một hệ thống giám sát an toàn – an ninh mạng hiệu quả. - Chương 3 dành ra nghiên cứu các công cụ IDS. - Trong một hệ thống giám sát thì không thể thiếu được khả năng phát hiện các xâm nhập. - Đây là phạm vi hoạt động của một hệ thống IDS. - Tác vụ phát hiện trong hệ thống giám sát an toàn – an ninh mạng nằm ở giá trị các bộ tập Rule trên IDS. - Hệ thống IDS có thể rà soát các dữ liệu mạng trong thời gian thực hoặc từ các dữ liệu thống kê đã thu thập. - Với cơ chế sử dụng các bộ giải mã để rà soát các gói tin và áp đặt các Rule vào cho các gói tin dữ liệu mạng, hệ thống IDS được coi là bức tường phòng thủ đầu tiên của một hệ thống giám sát an toàn – an ninh mạng. - Việc cài đặt một công cụ IDS là không khó. - Vấn đề khó nhất và trọng tâm nhất trong đó là công cuộc tạo các bộ Rule thích hợp để mang lại giá trị phát hiện các mối nguy hại tới hệ thống. - Sau khi nghiên cứu một số các hệ thống IDS như Snort, Suricata và Bro, em quyết định chọn nền tảng Bro IDS để thực hành và xây dựng hệ thống IDS như là một giải pháp phát hiện xâm nhập cho hệ thống mạng. - Mặc dù trong nhiều tài liệu nghiên cứu người ta còn đánh giá Bro vượt xa khả năng của một IDS. - Bro có một ngôn ngữ kịch bản riêng biệt cung cấp các tính năng hữu ích để phân tích các giao thức, và với ngôn ngữ kịch bản của Bro nhiều người đánh giá rằng khả năng của Bro là chưa được khai thác hết. - Phần cuối cùng là mục tiêu xây dựng một hệ thống phân tích bao gồm các tác vụ lưu trữ, quản lý và thống kê dữ liệu mạng. - Tác vụ phân tích là điểm chốt chặn phòng thủ cuối cùng cho công cuộc bảo đảm tính an toàn- an ninh trong mạng. - Trong phần này Luận văn tập trung nghiên cứu và đưa ra một giải pháp hoàn chỉnh cho một hệ thống lưu trữ log bao gồm khả năng quản lý, truy xuất và thực hiện thống kê. - Luận văn cũng đề xuất tích hợp các công cụ hỗ trợ các khả năng hiển thị dạng bảng, dạng dashbroad với mục đích đưa đến các nhà phân tích một cái nhìn tổng thể hệ thống mạng của mình. - Giải pháp cho hệ thống phân tích được đề xuất trong Luận văn đó là sử dụng một bộ công cụ tổ hợp bao gồm: công cụ audit log Logstash, công cụ quản lý, lưu trữ, thống kê log ElasticSearch và công cụ hỗ trợ hiển thị thống kê qua giao diện Web là Kibana. - Lí do em chọn giải pháp này đó là cả ba công cụ này được tạo từ một tổ chức và với mục đích để tích hợp lại với nhau. - Điều này có nghĩa hệ thống phân tích lưu trữ log này là hoàn toàn đồng bộ và vận hành dễ dàng nhất. - Kiểm nghiệm thực tế khi em xây dựng, vận hành hệ thống này đó là có rất ít lỗi xảy ra trong qua trình làm việc với hệ thống, khả năng hỗ trợ và cài đặt các plugin dễ dàng và đa dạng. - Trong phần phân tích này, lí do em chọn nghiên cứu một giải pháp lưu trữ, quản lý, thống kê và phân tích log là bởi qua thời gian nghiên cứu từ lý thuyết cũng như thực tiễn công việc, em nhận ra rằng khái niệm phân tích là một phạm trù rộng, đây không phải tác vụ thường được đánh giá là thành công đối với nhiều nhà phân tích, đối với những nhà phân tích có kinh nghiệm lâu năm, trải qua nhiều sự cố tấn công mạng cũng như tiếp xúc và thu thập nhiều loại hình dấu hiệu tấn công có thể tỷ lệ xác suất phân tích sự kiện log để phát hiện tấn công cao. - Nhưng đối với những nhà phân tích ít kinh nghiệm hơn thì tỷ lệ thành công trong việc phát hiện là thấp hơn. - Trong một số tài liệu về forensic network hoặc về security network có một số đoạn chi ra rằng có một sự phân cấp ngầm giữa cộng đồng những nhà phân tích mạng. - Rất khó để có thể đưa ra một giải pháp chuẩn mực cho tác vụ phân tích và cũng khó để đánh giá được các vấn đề đưa ra có thực sự chính xác. - Bởi tác vụ phân tích được thực hiện cần rất nhiều kiến thức rộng lớn về: network, malware, TCP/IP, forensic, OS, device network … Đây cũng chính là lí do chính em chọn lựa nghiên cứu đưa ra giải pháp xây dựng hệ thống lưu trữ, quản lý, thống kê và phân tích log. - Trong Luận văn này Phương pháp nghiên cứu em chọn đó là tập trung nghiên cứu các công cụ mã nguồn mở hỗ trợ mạnh trên nền tảng nhân Linux để thực hiện các giải pháp giám sát an ninh mạng. - Một phần bởi sự tiếp cận với các công cụ giám sát an ninh mạng mã nguồn mở thường là miễn phí, có một cộng đồng phát triển mạnh mẽ, điều mà sẽ khó có thể dễ dàng thực hiện nghiên cứu thực tiễn trên các công cụ giám sát an ninh mạng trả phí. - Lí do thứ hai đó là theo nghiên cứu em thấy rằng hầu hết các hệ thống máy chủ hiện tại có đến 80% sử dụng các hệ điều hành Linux, Unix bởi tính gọn nhẹ, hiệu năng cao và tùy biến. - Vì vậy khi tiếp xúc với các công cụ mã nguồn mở để nghiên cứu đề tài giám sát an toàn – an ninh mạng em sẽ có thể tiếp cận một cách dễ dàng, và quan trọng tính ứng dụng sau khi nghiên cứu trong Luận văn này hoàn thành vào các hệ thống mạng hiện tại là rất khả thi. - Cuối cùng, em xin gửi lời cảm ơn chân thành tới Thầy TS.Trần Đức Khánh đã tạo điều kiện và hướng dẫn hết sức tận tình để em có thể định hướng và giải quyết các vấn đề trong đề tài này đã đề cập tới. - Chu Kỳ NSM Có thể mô tả về bản chất của NSM gồm ba từ: Thu thập dữ liệu (collection data), Phát hiện (detection), và Phân tích (Analysis) dữ liệu mạng. - Đây cũng là ba tác vụ chính của một hệ thống NSM, tạo thành một vòng tuần hoàn khép kín liên tục. - Một hệ thống NSM hoàn chỉnh khi đáp ứng tốt được cả ba tác vụ trên, mỗi một tác vụ được thực hiện bởi một hoặc một tập hợp các công cụ đặc thù để có thể thực hiện ba tác vụ nêu trên. - Công việc thu thập dữ liệu mạng hoạt động dựa trên một nền tảng phần cứng tốt kết hợp với khả năng thu thập dữ liệu mạng mạnh mẽ từ các công cụ mạng, xây dựng nên cơ sở dữ liệu mạng, được lưu trữ và phục vụ cho tác vụ phân tích, phát hiện các xâm nhập và sự thỏa hiệp với các hình thức tấn công trên hệ thống. - Trong vấn đề thu thập dữ liệu này, việc kiểm soát được các thông tin thu thập được Nguyễn Việt Dũng – 2012BCNTT1 Trang 2 là việc cần thiết. - vấn đề này có thể được mô tả bằng cụm từ: “kiểu dữ liệu NSM” (NSM data type), bao gồm: Full content Data, Session Data, Statistical Data, Packet tring Data và Alert Data. - Detection Nhiệm vụ của công đoạn detection đó là từ khối dữ liệu thu thập, sẽ được rà soát, kiểm tra. - Từ những dấu hiệu bất thường, bằng việc thống kê đối chiếu với các chính sách đặt ra theo các tác vụ đặc thù của hệ thống mà phát hiện được traffic bất thường trong mạng, hoặc sự lây lan của mailware, virus … đưa ra cảnh báo về những hiện tượng bất thường này. - Trên thực tế tác vụ Detection được thực hiện bởi những hệ thống phòng thủ, phát hiện xâm nhập mạng (Network intrusion detection system – NIDS) ví dụ như Snort IDS hoặc Bro IDS là những hệ thống phát hiện xâm nhập phổ biến và hiệu quả, hoặc kể đến như OSSEC, AIDE, MacAfree HIPS đây là những hệ thống phát hiện xâm nhập trên máy chủ (HIDS - Host intrusion detection system). - Trên những hệ thống này sẽ chứa các hàm, thuật toán để áp các rule (quy luật) cho việc rà soát trong cơ sở dữ liệu thu thập được. - Analysis Có thể nói tác vụ này là tác vụ chiếm nhiều thời gian nhất trong chu kỳ hoạt động của hệ thống NSM. - Tác vụ này phải được thực hiện trực tiếp bởi con người. - Khi hệ thống cảnh báo gửi về một event log nào đó rằng hệ thống đang có nguy cơ bị tấn công bởi một lượng traffic bất thường, hoặc một nguyên nhân nào đó … việc analysis được thực hiện ngay lập tức để tìm hiểu và khám phá thêm các thông tin liên quan đến event log này. - Vì chỉ có thể hiểu rõ vấn đề, tính chất của cuộc tấn công đang nhằm vào tổ chức của mình thì người quản trị, những chuyên gia bảo mật hệ thống mới có thể đưa ra cách đối phó, chiến lược xây dựng cấu trúc hệ thống để phòng thủ và tránh khỏi những cuộc tấn công. - Thậm chí có thể đưa ra những phương án thu thập, phát hiện điểm yếu kẻ tấn công từ đó có thể tấn công trở lại, hoặc cung cấp những thông tin cần thiết để đưa ra luật pháp xử lý. - Ta có thể phân loại, kể đến những hình thức phân tích sau: Nguyễn Việt Dũng – 2012BCNTT1 Trang 3 Packet Analysis Network Forensic Host Forensic Mailware Analysis 1.2. - NSM Data Type - Các kiểu dữ liệu trong phạm vi NSM xử lý Trong phạm vi dữ liệu NSM xử lý phân biệt thành các kiểu dữ liệu riêng biệt trong quá trình collection. - Mỗi kiểu dữ liệu đều có ý nghĩa riêng biệt cung cấp các thông tin cần thiết cho việc detection, analysis. - Session Data Session Data là kiểu dữ liệu sẽ chứa tất cả các thông tin giao tiếp giữa hai thiết bị mạng giữa hai thiết bị đầu cuối. - Session Data không mang nhiều thông tin và đẩy đủ như FPC data, chính vì vậy dung lượng file của Session Data nhỏ hơn rất nhiều, và sẽ được lưu lại kho dữ liệu thu thập được lâu hơn. - Những thông tin Session Data sẽ rất có giá trị trong quá trình phân tích. - Full Packet Capture Data (FPC Data) FPC Data là loại dữ liệu mang đầy đủ thông tin của tiến trình giao tiếp qua lại giữa hai điểm đầu cuối. - FPC Data thường có dung lượng lơn hơn so với các kiểu dữ liệu khác. - Giá trị của FPC Data là từ đó có thể có một cái nhìn tổng quát tiến trình giao tiếp, truyền nhận thông tin giữa hai điểm đầu cuối. - Các kiểu dữ liệu như Statistical Data hay Packet string Data cũng đều bắt nguồn từ FPC Data này. - Packet string Data Packet string Data là một phần trong FPC Data, nó tồn tại như một dạng dữ liệu trung gian giữa FPC Data và Session Data. - Những dữ liệu dạng này cung cấp một phần thông tin giống như trong FPC Data chứa nhưng sự khác biệt ở chỗ dung lượng lưu trữ cho Packet string data không tốn nhiều không gian lưu trữ như FPC data, và nó lưu được nhiều hơn, và có giá trị lâu hơn cho việc thống kê và phân tích.
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt