BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ

TÊN ĐỀ TÀI:

XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT,
GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ
HIỆU NĂNG CHO HỆ THỐNG

Giảng viên hướng dẫn
:
Nhóm sinh viên thực hiện :
Lớp

:

Tháng 06 / 2010

Thầy Lộc Đức Huy
Nguyễn Đức Tú
Nguyễn Vương Huy
VT071A

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ

TÊN ĐỀ TÀI:

XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT,
GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ
HIỆU NĂNG CHO HỆ THỐNG

Giảng viên hướng dẫn

:

Nhóm sinh viên thực hiện :
Lớp

:

Tháng 06 / 2010
Ngày nộp báo cáo
Người nhận báo cáo (ký tên, ghi rõ họ và tên)

Thầy Lộc Đức Huy
Nguyễn Đức Tú
Nguyễn Vương Huy
VT071A

TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ

PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP
1. Mỗi sinh viên phải viết riêng một báo cáo
2. Phiếu này phải dán ở trang đầu tiên của báo cáo
Họ tên sinh viên/nhóm sinh viên thực hiện đề tài: (Sĩ số sinh viên trong nhóm : 2)
1) SV1 : Nguyễn Đức Tú ...................................

Lớp : VT071A.........................

2) SV2 : Nguyễn Vương Huy ............................

Lớp : VT071A.........................

Ngành: Mạng máy tính
Tên đề tài: Xây dựng các phương thức giám sát, ghi nhận các sự kiện và đánh giá
hiệu năng cho hệ thống
.....................................................................................................................................
.....................................................................................................................................
* Các dữ liệu ban đầu:
 ISA Server 2006 ( Forefront security )
 Window Server 2003, PCs, v..v..
* Các yêu cầu đặc biệt:
 Mô phỏng mạng bằng Solarwind
 Thiết kế hệ thống mạng giả định

..........................................................................................................................

* Các kết quả tối thiểu phải có:
 Ghi nhận, kiểm soát đánh chặn và tối ưu hóa hệ thống mạng

..........................................................................................................................

Ngày giao đề tài: 15/03/2010
Họ và tên GV hướng dẫn: Lộc Đức Huy

Chữ ký:..............................

i

TÓM TẮT

Trong vòng 14 tuần thực hiện đề tài “Tìm hiểu xây dựng các phương thức giám
sát, ghi nhận sự kiện và đánh giá hiệu năng hệ thống” chúng tôi đã đạt được các kết
quả sau:
-

Nắm bắt và hiểu rõ các khái niệm về bảo mật, giám sát thông tin, các thành
phần của một hệ thống giám sát và tường lửa.

-

Qui trình xây dựng một hệ thống giám sát.

-

Triển khai những hệ thống giám sát, ghi nhận sự kiện hệ thống như Audit,
Snort, Forefront TMG 2010.

-

Đánh giá hiệu năng làm việc và các yếu tố ảnh hưởng của từng mô hình hệ
thống.

ii

LỜI CẢM ƠN
Chúng tôi chân thành cảm ơn tới các thầy cô trong văn phòng khoa Khoa
Học – Công Nghệ, trường Đại học Hoa Sen đã tạo điều kiện cho chúng tôi có cơ
hội thực hiện đề tài này, cũng như luôn cập nhật và gửi những thông tin liên
quan về quá trình thực hiện đề tài. Bên cạnh đó, là sự hỗ trợ nhiệt tình, tư vấn
hiệu quả từ giảng viên hướng dẫn – thầy Lộc Đức Huy, và cũng không quên gửi
lời cảm ơn tới các anh phụ trách phòng máy.

iii

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN

.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................

iv

MỤC LỤC
PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP ........................................................ i
TÓM TẮT ................................................................................................................. ii
LỜI CẢM ƠN .......................................................................................................... iii
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN................................................... iv
MỤC LỤC................................................................................................................. v
DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU ........................................................ x
ĐẶT VẤN ĐỀ ........................................................................................................... 1
1.

Lý Do Chọn Đề Tài ........................................................................................... 1

2.

Mục Tiêu Đạt Được Sau Đề Tài ....................................................................... 1

PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN............................................................ 2
3.

4.

5.

Tổng Quan Về Bảo Mật Thông Tin ................................................................. 2
3.1

Khái quát bảo mật thông tin ........................................................................... 2

3.2

Các loại tấn công cơ bản ................................................................................ 2

3.3

Nhiệm vụ của người quản trị ......................................................................... 3

Tổng Quan Giám Sát Thông Tin...................................................................... 4
4.1

Khái quát giám sát thông tin .......................................................................... 4

4.2

Mục đích ....................................................................................................... 4

4.3

Lợi ích của việc giám sát thông tin ................................................................ 4

4.4

Vai trò của giám sát thông tin ........................................................................ 5

Nguyên Tắc Về Bảo Mật Thông Tin ................................................................ 8
5.1

Chiến lược bảo mật hệ thống ......................................................................... 8

5.2

An ninh bảo mật mạng................................................................................... 9

PHẦN II: CÁC THÀNH PHẦN GIÁM SÁT HỆ THỐNG .................................. 11

v

6.

Hệ Thống IDS Và IPS ..................................................................................... 11
6.1

6.1.1

Kiến trúc của hệ thống IDS ................................................................... 11

6.1.2

Phân loại IDS ........................................................................................ 12

6.1.3

Các cơ chế phát hiện xâm nhập ............................................................. 15

6.2

8.

IPS (Hệ thống ngăn chặn xâm nhập) ............................................................ 17

6.2.1

Kiến trúc hệ thống IPS .......................................................................... 17

6.2.2

Phân loại IPS ........................................................................................ 19

6.2.3

Phân loại triển khai IPS ......................................................................... 20

6.2.4

Công nghệ ngăn chặn xâm nhập IPS ..................................................... 21

6.3
7.

IDS (Hệ thống phát hiện xâm nhập)............................................................. 11

Đối chiếu IDS và IPS................................................................................... 24

Tìm Hiểu Về Hệ Thống Firewall .................................................................... 25
7.1

Chức Năng .................................................................................................. 25

7.2

Các thành phần và cơ chế hoạt động của Firewall ........................................ 25

7.2.1

Bộ lọc packet (packet-filtering router)................................................... 25

7.2.2

Cổng ứng dụng (application-level-gateway) .......................................... 26

7.2.3

Cổng vòng (Circuit level Gateway) ....................................................... 27

7.3

Những hạn chế của firewall ......................................................................... 27

7.4

Các ví dụ Firewall ....................................................................................... 28

7.5

Các kiểu tấn công ........................................................................................ 30

7.5.1

Tấn công từ chối dịch vụ (Denial of Service Attacks) ........................... 30

7.5.2

Giả mạo danh tính ................................................................................. 32

7.5.3

Tấn công SMB ...................................................................................... 34

CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN HIỆU NĂNG HỆ THỐNG.................. 36

PHẦN III: TRIỂN KHAI CÁC MÔ HÌNH HỆ THỐNG ..................................... 37
vi

9.

Audit Policies................................................................................................... 37
9.1

Khái quát về các chính sách giám sát sự kiện ............................................... 37

9.2

Các hạng mục trong Event Viewer .............................................................. 39

9.2.1

Custom view ......................................................................................... 39

9.2.2

Windows logs ....................................................................................... 40

9.2.3

Applications and Services Logs ............................................................ 41

9.3

Xây dựng và triển khai mô hình mạng ......................................................... 42

9.3.1
9.4

Mô hình lab thực hiện ........................................................................... 42

Thiết lập các chính sách giám sát................................................................. 42

9.4.1

Application log ..................................................................................... 42

9.4.2

Audit account logon events ................................................................... 43

9.4.3

Audit account management ................................................................... 45

9.4.4

Audit directory service access ............................................................... 48

9.4.5

Audit logon events ................................................................................ 50

9.4.6

Audit object access ............................................................................... 52

9.4.7

Audit policy change .............................................................................. 56

9.4.8

Audit privilege use ................................................................................ 57

9.4.9

Audit process tracking .......................................................................... 58

9.4.10

Audit system events ........................................................................... 61

9.5

Giám sát hệ thống bằng command-line ........................................................ 62

9.6

Nhận xét ...................................................................................................... 64

10.

Xây dựng hệ thống giám sát với SNORT..................................................... 65

10.1

Giới thiệu Snort ........................................................................................ 65

10.2

Cấu trúc của Snort .................................................................................... 65

10.3

Các chế độ hoạt động của Snort................................................................ 67
vii

10.3.1

Snort hoạt động như một Sniffer ........................................................ 67

10.3.2

Snort là một Packet Logger................................................................ 70

10.3.3

Snort là một NIDS ............................................................................. 70

10.4

Khái quát về Rules ................................................................................... 71

10.4.1

Cấu trúc của một rule ......................................................................... 71

10.4.2

Cấu trúc của phần Header .................................................................. 72

10.4.3

Cấu trúc của phần Options ................................................................. 73

10.5

Hiện thị cảnh báo ..................................................................................... 74

10.6

Hiệu năng của Snort ................................................................................. 75

10.7

Mô hình triển khai Snort .......................................................................... 78

10.8

Tấn công trong mạng nội bộ ..................................................................... 79

10.8.1

Tấn công ARP Cache......................................................................... 80

10.8.2

Tấn công SMB................................................................................... 81

10.8.3

Tấn công Smurf attack ...................................................................... 82

10.8.4

Tấn công Land attack ......................................................................... 82

10.8.5

Tấn công Dos với HTTP Post ............................................................ 82

10.8.6

Một số rule cảnh báo.......................................................................... 82

10.9
11.

Nhận xét................................................................................................... 83

Xây dựng hệ thống giám sát với Forefront TMG........................................ 84

11.1

Tìm hiểu tổng quan Forefront TMG ......................................................... 84

11.1.1

Một số tính năng mới trong Forefront TMG: ..................................... 84

11.1.2

Đặc điểm của Forefront TMG: ........................................................... 85

11.2

Mô hình triển khai .................................................................................... 86

11.2.1

Thiết lập chính sách tường lửa ........................................................... 87

11.2.2

Phát hiện và ngăn chặn tấn công ........................................................ 89
viii

11.2.3

Giám sát luồng giao thông ................................................................. 93

11.2.4

Theo dõi tổng quan và hiệu suất hệ thống .......................................... 96

11.2.5

Thiết lập báo cáo việc giám sát cho hệ thống ..................................... 97

11.3

Nhận xét................................................................................................. 100

KẾT LUẬN ........................................................................................................... 101
PHỤ LỤC SNORT................................................................................................ 102
PHỤ LỤC FOREFRONT..................................................................................... 121
TÀI LIỆU THAM KHẢO .................................................................................... 124

ix

DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU

Hình 1. Kiến trúc IDS ............................................................................................... 11
Hình 2. IDS dựa trên host. ........................................................................................ 13
Hình 3. IDS dựa vào mạng........................................................................................ 14
Hình 4. Xây dựng hệ thống với IPS. ......................................................................... 17
Hình 5. Hệ thống Promiscuous mode IPS ................................................................. 20
Hình 6. Hệ thống In-line IPS .................................................................................... 21
Hình 7. Hệ thống Signature-based IPS ...................................................................... 21
Hình 8. Hệ thống Anomaly-based IPS ...................................................................... 22
Hình 9. Hệ thống policy – based IPS ........................................................................ 23
Hình 10. Bộ lọc ứng dụng. ........................................................................................ 26
Hình 11. Cơ chế cổng vòng. ..................................................................................... 27
Hình 12. Single-Homed Bastion Host. ...................................................................... 29
Hình 13. Dual-Homed Bastion Host ......................................................................... 29
Hình 14. Mô hình vùng phi quân sự. ......................................................................... 30
Hình 15. Land Attack ............................................................................................... 31
Hình 16. Smurf Attack .............................................................................................. 32
Hình 17. Giả mạo ARP Cache .................................................................................. 34
Hình 18. Hộp thoại Create Custom View. ................................................................. 39
Hình 19. Khung nhìn hiển thị kết quả xuất hiện dưới Custom Views ........................ 40
Hình 20. Mô hình Lab triển khai ............................................................................... 42
Hình 21. Các chính sách giám sát ............................................................................. 43
Hình 22. Thiết lập chính sách giám sát ..................................................................... 43

x

Hình 23.Tài khoản đăng nhập thành công ................................................................. 44
Hình 24. Keberos chứng thực khi user đăng nhập ..................................................... 44
Hình 25. Tài khoản u1 đăng nhập sai password ........................................................ 45
Hình 26. Ghi nhận sự kiện tạo tài khoản u1 .............................................................. 46
Hình 27. Thông tin chi tiết khi tạo tài khoản u1 ........................................................ 46
Hình 28. Thông tin về việc xóa tài khoản .................................................................. 47
Hình 29. Ghi nhận sự kiện tạo group ........................................................................ 47
Hình 30. Thông tin chi tiết của filelog ...................................................................... 48
Hình 31. Thiết lập chính sách giám sát ..................................................................... 48
Hình 32. Ghi nhận sự kiện domain kết nối với nhau ................................................. 49
Hình 33. Chi tiết filelog 2 domain bắt đầu replicate .................................................. 49
Hình 34. Đồng bộ bản sao của một Active Directory kết thúc ................................... 49
Hình 35. Thiết lập chính sách giám sát ..................................................................... 50
Hình 36. Máy client đăng nhập sai password ............................................................ 50
Hình 37. Không ghi nhận sự kiện đăng nhập sai ....................................................... 51
Hình 38. Ghi nhận và thông báo máy truy cập trái phép vào hệ thống ....................... 51
Hình 39. Ghi nhận sự kiện u1 ................................................................................... 54
Hình 40.Chi tiết tài khoản u1 đăng nhập bằng máy KIT........................................... 54
Hình 41. Chi tiết các thư mục được user truy cập ...................................................... 55
Hình 42. Ghi nhận sự kiện xâm nhập trái phép ......................................................... 55
Hình 43. Chi tiết tài khoản truy cập .......................................................................... 56
Hình 44. Ghi nhận sự kiện thay đổi chính sách Logon/Logoff .................................. 56
Hình 45. Thông tin chi tiết của file log đã thay đổi ................................................... 57
Hình 46. Ghi nhận thay đổi của auditing Object Access............................................ 57
Hình 47. Danh sách các quyền áp dụng lên toàn domain........................................... 57
xi

Hình 48.Khởi tạo tiến trình của dịch vụ DNS............................................................ 59
Hình 49.Gán token cho tiến trình vừa khởi tạo.......................................................... 59
Hình 50.Thoát tiến trình............................................................................................ 60
Hình 51.Ghi nhận sự kiện khởi động Firewall........................................................... 61
Hình 52.Ghi nhận sự kiện tắt Firewall ...................................................................... 62
Hình 53. Danh sách giám sát trong command-line .................................................... 62
Hình 54. Liệt kê chi tiết giám sát command-line ....................................................... 63
Hình 55. Thông tin giám sát của account logon trong command-line ........................ 64
Hình 56. Mô hình của các thành phần Snort .............................................................. 65
Hình 57. Lệnh snort -W ............................................................................................ 68
Hình 58. Lệnh snort –v -ix ........................................................................................ 68
Hình 59. Ví dụ client ping ........................................................................................ 68
Hình 60. Bảng tóm tắt các gói tin được bắt giữ trên Win .......................................... 69
Hình 61. Lệnh snort –vd -ix ...................................................................................... 69
Hình 62. Lệnh snort –vde –ix.................................................................................... 69
Hình 63. Cấu trúc của một rule ................................................................................. 71
Hình 64. Ví dụ cấu trúc rule...................................................................................... 71
Hình 65. Cấu trúc phần Header ................................................................................. 72
Hình 66. Base đang hoạt động .................................................................................. 74
Hình 67. Thống kế dưới dạng đồ họa ........................................................................ 74
Hình 68. Thông tin 5 cảnh báo xảy ra nhiều nhất ...................................................... 75
Hình 69. Thông tin máy ping .................................................................................... 75
Hình 70. Thông tin IP ............................................................................................... 75
Hình 71 Các thông số ............................................................................................... 77
Hình 72. Hiệu suất CPU khi Snort hoạt động ............................................................ 78
xii

Hình 73. Triển khai IDS ........................................................................................... 78
Hình 74. Port Monitor............................................................................................... 79
Hình 75. Tấn công nội bộ. ........................................................................................ 79
Hình 76. Máy Victim 1 ............................................................................................. 80
Hình 77. Máy Victim 2 ............................................................................................. 81
Hình 78. Cảnh báo .................................................................................................... 81
Hình 79. Mô hình triển khai Forefront TMG Server.................................................. 86
Hình 80. Thiết lập các luật cơ bản cho hệ thống........................................................ 88
Hình 81. Máy client bị cấm truy cập facebook. ......................................................... 89
Hình 82. Các chức năng bảo vệ trong IDS. ............................................................... 90
Hình 83. Lọc tấn công DNS ...................................................................................... 91
Hình 84. Xuất hiện cảnh báo quét cổng..................................................................... 91
Hình 85. Bật tính năng IP Option.............................................................................. 92
Hình 86. Ghi nhận chi tiết về việc truy cập facebook. ............................................... 93
Hình 87. Ghi nhận chi tiết về việc truy cập facebook. ............................................... 94
Hình 88. Ghi nhận thông tin chi tiết về cuộc tấn công. .............................................. 95
Hình 89. Cảnh báo luồng thông tin đi vào quá nhanh. ............................................... 95
Hình 90.Bảng Dashboard .......................................................................................... 96
Hình 91. Tạo báo cáo từ ngày 1/6 đến 6/6. ................................................................ 97
Hình 92. Xuất báo cáo dưới dạng HTML.................................................................. 98
Hình 93. Thống kê các giao thức sử dụng ................................................................. 98
Hình 94. Thống kê người dùng truy cập.................................................................... 99
Hình 95. Thống kê các trang web truy xuất............................................................... 99
Hình 96. Thống kê luồng giao thông ra vào hệ thống. ............................................... 99
Hình 97. Thống kê tổng quát. ................................................................................. 100
xiii

Hình 98. Mô hình thử nghiệm Snort ....................................................................... 102
Hình 99. Cài đặt thành công ................................................................................... 103
Hình 100. service snortd start ................................................................................. 105
Hình 101. Not Using PCAP_FRAMES ................................................................... 105
Hình 102. Setup page.............................................................................................. 108
Hình 103. Create BASE .......................................................................................... 109
Hình 104. BASE thành công ................................................................................... 109
Hình 105. Giao diện BASE ..................................................................................... 109
Hình 106. Trang web tìm kiếm ............................................................................... 110
Hình 107. Thông tin IP ........................................................................................... 110
Hình 108. lệnh tail –f .............................................................................................. 110
Hình 109. Bảng tóm tắt các gói tin được bắt giữ ..................................................... 111
Hình 110. Installation Options ................................................................................ 112
Hình 111. Not Using PCAP_FRAMES trên Win .................................................... 113
Hình 112. Màn hình trên máy ảo báo lỗi khi cái Window Server 2008 x64 ............. 121
Hình 113. Báo lỗi cài Prepairation tool ................................................................... 123

xiv

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

ĐẶT VẤN ĐỀ
1. Lý Do Chọn Đề Tài
Đây là một đề tài có tính thực tiễn cao, áp dụng được cho hầu hết các hệ thống lớn
nhỏ. Hệ thống máy server farm hay hệ thống máy DMZ, đều là những khu vực quan
trọng đòi hỏi tính ổn định, an toàn và bảo mật cao, không cho bất kỳ một luồng thông
tin trái phép xâm nhập vào hệ thống. Chính vì thế chúng ta phải lập các kế hoạch,
phương thức giám sát , ghi nhận lại tất cả các sự kiện xâm nhập hệ thống trái phép hay
truy cập thay đổi dữ liệu, bên cạnh đó thường xuyên kiểm tra đánh giá hiệu năng cho
hệ thống để đảm bảo tính ổn định và không bị quá tải.

2. Mục Tiêu Đạt Được Sau Đề Tài
Chúng tôi sẽ có một kiến thức nhất định về xây dựng, triển khai các phương thức giám
sát, ghi nhận các sự kiện và đánh giá hiệu năng cho hệ thống.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 1

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN
3. Tổng Quan Về Bảo Mật Thông Tin
3.1 Khái quát bảo mật thông tin
Ngày nay, mạng Internet đã lan rộng và phát triển rất mạnh mẽ. Kéo theo nhu
cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về viễn thông và
công nghệ thông tin không ngừng phát triển ứng dụng để nâng cao chất lượng và lưu
lượng truyền tin.
Từ đó các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừng
đổi mới đảm bảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền thông tin trong
các máy tính nối mạng. Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá
trình truyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu
đó trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép
nào thông qua mạng.

3.2 Các loại tấn công cơ bản
Ta có thể phân ra 2 loại tấn công là tấn công thụ động và tấn công chủ động.
-

Tấn công thụ động: Mục tiêu của hacker là chỉ nắm bắt và đánh cắp thông tin.

Họ chỉ có thể biết được người gửi, người nhận trong phần IP header và thống kê
được tần số trao đổi, số lượng, độ dài của thông tin, chứ chúng không thể chỉnh
sửa hoặc làm hủy hoại nội dung thông tin dữ liệu trao đổi. Kiểu tấn công này khó
phát hiện nhưng có thể có biện pháp ngăn chặn hiệu quả. Đối với tấn công chủ
động có thể làm thay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lặp lại gói
tin đó.
-

Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn

hơn nhiều. Một thực tế cho thấy bất bỳ một hệ thống nào dù được bảo vệ chắc
chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. Vì vậy chúng ta cần
phải xây dựng các chiến lượt bảo mật để có thể từng bước bảo vệ hệ thống an toàn
hơn.
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 2

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

3.3 Nhiệm vụ của người quản trị
Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi,
nghiên cứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự
cố.
Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao cho
hiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh nghiệp khác
nhau.
Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập vào
tài nguyên mạng. Đề xuất những phương án dự phòng khi hệ thống gặp sự cố hay bị
tấn công. Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ro ngoài ý
muốn.
Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chúng
một cách hài hòa và hợp lý. Đó chỉ là điều kiện cần cho những quản trị mạng phải có
để đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 3

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

4. Tổng Quan Giám Sát Thông Tin
4.1 Khái quát giám sát thông tin
Khi công nghệ máy tính đã tiên tiến, các tổ chức đã trở nên ngày càng phụ
thuộc vào hệ thống thông tin máy tính để thực hiện các hoạt động quy trình, duy trì, và
báo cáo thông tin cần thiết.
Giám sát công nghệ thông tin, hoặc giám sát hệ thống thông tin, là một sự kiểm
tra các điều khiển trong phần cơ sở hạ tầng trong công nghệ thông tin (IT). Một giám
sát IT cần có quá trình thu thập và đánh giá rõ ràng các hệ thống thông tin và các hoạt
động của một tổ chức. Các đánh giá rõ ràng thu được quyết định nếu hệ thống thông
tin là bảo vệ tài sản, duy trì tính toàn vẹn dữ liệu, và hoạt động hiệu quả để đạt được
những mục tiêu hay những mục đích của tổ chức.

4.2

Mục đích

Mục đích là để đánh giá khả năng bảo vệ thông tin của tổ chức, và phân phối
đúng thông tin cho các bên được uỷ quyền. Việc giám sát IT gồm những việc sau:
-

Hệ thống máy tính của tổ chức có sẵn cho việc kinh doanh khi cần thiết (Tính

sẵn sàng)
-

Thông tin trong các hệ thống chỉ được tiết lộ cho người dùng có thẩm quyền

(Tính bảo mật)
-

Những thông tin được cung cấp bởi hệ thống luôn được chính xác, đáng tin

cậy, và kịp thời (Tính toàn vẹn)

4.3 Lợi ích của việc giám sát thông tin
-

Đem lại giá trị
Một trong những kết quả của việc thực hiện giám sát đúng là thông tin
phải hợp lệ và chính xác về trạng thái của thông tin như một nguồn tài nguyên
của công ty. Chất lượng của kế hoạch và quản lý vì vậy cần cải thiện, chính
xác, hợp lệ và các thông tin luôn sẵn có.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 4

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Từ chẩn đoán
Là đặc tính của phần lớn các cuộc giám sát. Yếu tố chẩn đoán của giám
sát có thể nhận ra các điểm mạnh và điểm yếu được xác định. Thông tin có thể
được sử dụng để xây dựng trên những điểm mạnh để loại bỏ những điểm yếu.

-

Từ phản hồi thông tin
Giám sát thông tin là một yếu tố quan trọng trong quá trình phản hồi.
Việc giám sát thông tin được sử dụng để xác định xem thông tin cụ thể đầu vào
cung cấp những thông tin kết quả mong muốn. Do đó giám sát thông tin là một
công cụ đánh giá và cung cấp thông tin có thể được sử dụng để lập kế hoạch và
thực hiện hành động khắc phục.

-

Lợi ích từ huấn luyện
Lợi ích này thường bị bỏ qua. Một giám sát thông tin cung cấp cơ hội để
tham gia đội ngũ nhân viên trong quá trình giám sát, đồng thời dạy họ thêm về
các quy trình, triết lý và các cấu trúc hỗ trợ việc sử dụng các nguồn tài nguyên
thông tin công ty. Các nhân viên sẽ có một sự hiểu biết tốt hơn, hình ảnh của
thông tin và vai trò của nó trong tổ chức.

4.4 Vai trò của giám sát thông tin
Thông tin đang ngày càng được công nhận là một nguồn tài nguyên có giá trị
mà cần phải được quản lý.
-

Quản lý thông tin cá nhân
Một trong những kết quả của giám sát thông tin là kiến thức về các
nguồn thông tin sẵn có và nơi chúng được cất giữ. Điều này có thể tăng cường
sử dụng thông tin.
Việc kiểm kê các thông tin được phân tích về tính hữu ích của các
nguồn thông tin và theo thông tin này, các quyết định về lưu trữ hoặc xử lý
thông tin có thể được thực hiện.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 5

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Quảng bá thông tin
Một giám sát thông tin làm tăng nhận thức về thông tin, phổ biến và sao
chép thông tin, tổ chức thông tin, truy cập thông tin, bảo vệ và lưu trữ thông
tin.

-

Quản lý hoạt động thông tin
Xác định nhu cầu thông tin là một thành phần rất quan trọng của giám
sát thông tin. Trong quá trình giám sát thông tin, nguồn thông tin xác định được
đánh giá về giá trị cao thích hợp cho người sử dụng biết.

-

Tổ chức quản lý thông tin
Phát triển và cung cấp một cơ sở hạ tầng công nghệ thông tin: Việc giám
sát các thông tin có thể được cấu trúc bao gồm các xét nghiệm công cụ công
nghệ thông tin có thể trợ giúp quản lý thông tin hiệu quả.
Xác định giá trị và chi phí của thông tin: Không phải tất cả giám sát
thông tin bao gồm các giai đoạn như là một. Các nhà nghiên cứu cho rằng điều
quan trọng là các định giá và chi phí của các nguồn thông tin nên tạo thành một
phần của một giám sát thông tin.
Việc lập một nơi cất giữ của các chủ thể thông tin: Đây là một thành
phần cốt lõi của phần lớn các cuộc giám sát thông tin. Việc điều phối và thực
hiện một chính sách thông tin tổ chức: Điều này có thể là một trong những kết
quả của giám sát thông tin. Thực hiện việc giám sát thông tin với mục đích
phát triển và thực hiện một chính sách thông tin của tổ chức.
Việc tổ chức thông tin trong hệ thống thông tin: sự giám sát thông tin sẽ
đưa ra quyết định như thế nào tổ chức các nguồn thông tin cần được tổ chức.
Việc quy hoạch, phát triển và đánh giá liên tục của hệ thống thông tin:
Việc giám sát thông tin nên được lặp đi lặp lại theo chu kỳ thường xuyên cho
mục đích đánh giá hệ thống thông tin và các nguồn.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 6

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Công ty, chiến lược quản lý thông tin
Sự phát triển của tài nguyên thông tin để cải thiện việc tổ chức, chiến
lược và quyết định. Giám sát thông tin có thể đóng góp đáng kể vào việc quản
lý thông tin hiệu quả, tức là nó có thể được coi như một công cụ quản lý thông
tin cực kỳ quan trọng .Điều này là do các giám sát thông tin cung cấp thông tin
chi tiết và chính xác của thông tin tổ chức.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 7

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

5. Nguyên Tắc Về Bảo Mật Thông Tin
5.1 Chiến lược bảo mật hệ thống
-

Thiết lập và giới hạn quyền cho user
Đối với các user chúng ta phải thiết lập chính sách quyền hạn nhất định
đối với tài nguyên mạng cho chúng. Từng loại user sẽ có các quyền hạn khác
nhau, ví dụ như một user của trưởng phòng sẽ có nhiều quyền hạn hơn user của
nhân viên. Tương tự như vậy user ở cấp độ thấp thì càng ít quyền hạn hơn,
phân quyền như vậy giúp ta hạn chế được những sự truy cập trái phép từ một
user bất kỳ.

-

Bảo vệ theo chiều sâu
Trong quá trình xây dựng hệ thống bảo mật ta không nên quá tin tưởng
và dựa vào một chế độ bảo vệ an toàn nào cho dù chúng rất mạnh, mà nên tạo
nhiều cơ chế an toàn để tương hỗ lẫn nhau. Với một hệ thống bảo vệ nhiều lớp
sẽ giúp ngăn cản và làm chậm quá trình thâm nhập của hacker, vì mỗi lớp bảo
vệ với một cơ chế bảo mật khác nhau nên chúng phải mất rất nhiều thời gian để
có thể phá các cơ chế bảo vệ này, đồng thời ta có thêm thời gian để khắc phục
sự cố một cách kịp thời.

-

Điểm liên kết yếu nhất
Trong hệ thống bảo vệ không phải lúc nào cũng kiên cố và an toàn,
những kẻ tấn công phá hoại thường tìm những chỗ yếu nhất của hệ thống để tấn
công, do đó ta cần phải thường xuyên kiểm tra, giám sát hệ thống để kịp thời
phát hiện những lỗ hổng để khắc phục. Thông thường chúng ta chỉ quan tâm
đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, vì vậy an toàn vật lý
được coi là điểm yếu nhất của hệ thống chúng ta.

-

Tính đa dạng bảo vệ
Nếu chúng ta làm việc trong một công ty lớn, gồm nhiều hệ thống máy
chủ khác nhau thì chúng ta cần sử dụng nhiều biện pháp bảo vệ khác nhau để
tăng độ phức tạp về bảo mật cho các hệ thống, nếu không một khi kẻ tấn công

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 8

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

thâm nhập vào được hệ thống thì chúng dễ dàng tấn công vào các hệ thống
khác.

5.2 An ninh bảo mật mạng
Bởi vì không thể có một giải pháp an toàn tuyệt đối nên chúng ta thường phải
sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắn đối với
các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin
cất giữ trong máy tính.
Vì vậy ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường
truyền, mọi cố gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong
cho các hệ thống kết nối vào mạng.
-

Giám sát quyền truy cập
Nhằm kiểm soát, thống kê được lưu lượng truy cập, sử dụng tài nguyên
của mạng và quyền hạn trên tài nguyên đó. Hạn chế và phát hiện kịp thời
những lượng truy cập và sử dụng trái phép tài nguyên mạng.

-

Thiết lập tài khoản và mật khẩu
Phương pháp bảo vệ này phổ biến nhất vì nó đơn giản, ít phí tổn và cũng
rất hiệu quả. Mỗi người sử dụng muốn truy cập vào mạng để sử dụng tài
nguyên đều phải có một tài khoản và mật khẩu. Trong khi đó, người quản trị
mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định
quyền truy cập của những người sử dụng khác.
Trong hoàn cảnh thực tế do nhiều nguyên nhân khác nhau như quên mật
khẩu hay bị đánh cắp mật khẩu. Người quản trị mạng chịu trách nhiệm đặt mật
khẩu hoặc thay đổi mật khẩu theo thời gian.

-

Mã hóa dữ liệu
Để bảo mật thông tin trên đường truyền chúng ta sử dụng các phương
pháp mã hóa. Dữ liệu bị biến đổi từ dạng nhận thức được theo một thuật toán
nào đó và sẽ được biến đổi ngược lại ở trạm nhận.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 9

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Bảo vệ vật lý
Ngăn cản các truy cập vật lý vào hệ thống. Thường dùng các biện pháp
truyền thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy
mạng, dùng ổ khóa trên máy tính hoặc các máy trạm không có ổ mềm.

-

Tường lửa
Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửi
hoặc nhận vì các lí do nào đó để bảo vệ một máy tính hoặc cả mạng nội bộ.

-

Các công tác quản trị
Việc bảo đảm cho hệ thống mạng máy tính hoạt động một cách an toàn,
không xảy ra sự cố là một công việc cấp thiết hàng đầu. Công tác quản trị mạng
máy tính phải được thực hiện một cách khoa học đảm bảo toàn bộ hệ thống
hoạt động bình thường trong giờ làm việc.
Song song đó phải có một hệ thống dự phòng khi có sự cố về phần cứng
hay phần mềm xảy ra. Lập kế hoạch backup dữ liệu quan trọng và bảo dưỡng
mạng theo định kỳ. Thiết lập các chính sách bảo mật dữ liệu, phân quyền truy
cập và tổ chức nhóm làm việc trên mạng. Thiết lập hệ thống và quy trình để
xác định và ngăn chặn thông tin độc hại hoặc không mong muốn. Xây dựng
một quá trình phản hồi để theo dõi và thống kê các chi tiết sự cố, đánh giá rủi
ro. Luôn cập nhật thường xuyên các công nghệ mới và các ứng dụng cho tổ
chức.
Liên tục cải tiến do môi trường kinh doanh thay đổi , cho phép các tổ
chức duy trì tình trạng bảo mật thông tin ở mức độ rủi ro có thể chấp nhận.
Đảm bảo việc bảo mật thông tin luôn ở trạng thái sẵn sàng để đáp ứng nhu cầu
của tổ chức ngay khi cần thiết.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 10

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

PHẦN II: CÁC THÀNH PHẦN GIÁM SÁT HỆ THỐNG
6. Hệ Thống IDS Và IPS
6.1 IDS (Hệ thống phát hiện xâm nhập)

Hình 1. Kiến trúc IDS
6.1.1 Kiến trúc của hệ thống IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính:
-

Thành phần thu thập thông tin (information collection)

-

Thành phần phát hiện (Detection)

-

Thành phần phản ứng (Response)
Trong ba thành phần thì thành phần phân tích gói tin là quan trọng nhất và ở

thành phần này bộ cảm biến đóng vai trò quyết định.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu– một bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc
thông tin sự kiện.
Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách
thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 11

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống
được bảo vệ hoặc bên ngoài.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương
thích. Vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ
sở dữ liệu chính sách phát hiện cho mục này. Thêm vào đó, cơ sở dữ liệu giữ các tham
số cấu hình, gồm có các chế độ truyền thông với hệ thống đáp trả. Bộ cảm biến cũng
có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn.
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc
phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả
chúng truyền thông với nhau.
IDS có khả năng dò tìm và phát hiện những cuộc tấn công vào hệ thống mạng.
IDS tạo ra một báo động khi nó biết có sự xâm nhập bất thường vào hệ thống. IDS
dựa trên các tiêu chí báo động cho phép nó có thể xác định các cuộc tấn công. Tất
nhiên, để có thể phát hiện các cuộc tấn công, một hoặc nhiều hệ thống IDS phải được
đặt một cách thích hợp trong mạng, hoặc cài đặt như các thiết bị mạng lưới giám sát
lưu lượng truy cập trên mạng hoặc cài đặt như máy trạm theo dõi hệ điều hành và ứng
dụng đáng ngờ. IDS còn có khả năng phát hiện các cuộc tấn công tinh vi sử dụng các
kỹ thuật lẫn tránh để qua mặt các IDS mà thâm nhập không bị phát hiện.
6.1.2 Phân loại IDS
Chức năng cơ bản của IDS là phát hiện người xâm nhập, IDS có các dạng chính như:
-

Hệ thống phát hiện xâm nhập dựa trên host (Host IDS)

-

Hệ thống phát hiện xâm nhập dựa trên mạng (Network IDS)

-

Hệ thống lai (Hybrid IDS – Distributed IDS)

Mỗi dạng của IDS đều có những ưu điểm và khuyết điểm riêng
-

Hệ Thống Phát hiện xâm nhập dựa trên host (HIDS)
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa
trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và
những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 12

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

dõi OS, ghi nhận các sự kiện và những thông điệp báo lỗi trên hệ thống máy
chủ.

Hình 2. IDS dựa trên host.
Ưu Điểm

Nhược Điểm

- HIDS sẽ phân tích trước khi mã
hóa và sau khi giải mã.

- Yêu cầu một đại lý trên mỗi máy
chủ mà muốn để bảo vệ.

- Cho phép xác định liệu một cuộc
tấn công đã thành công hay chưa.
(NIDS có thể phát hiện các cuộc tấn
công, nhưng nó đã không có cách nào
xác định liệu các cuộc tấn công đã
thành công.)

- Yêu cầu một đại lý có thể hỗ trợ
nhiều hệ điều hành.

- Không yêu cầu phần cứng IDS
chuyên dụng.
-

Phát hiện xâm nhập dựa vào mạng (NIDS)
NIDS liên quan đến việc đặt một IDS dành riêng trên một đoạn mạng rõ
ràng mà theo dõi lưu lượng truy cập thông qua phân đoạn này. Một NIDS có
thể được đặt trên các phân đoạn quan trọng trên toàn mạng để cung cấp bảo vệ
cho toàn bộ mạng.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 13

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 3. IDS dựa vào mạng.
Trong hình trên, tất cả lưu lượng truy cập từ Internet là thông qua router,
giao thông được phản ánh cho một cổng giám sát trên một IDS. NIDS thông
thường bao gồm một cổng giám sát cắm vào các đoạn mạng mà ta muốn theo
dõi. Cổng giám sát dễ dàng bị quá tải và sẽ có một số luồng giao thông bị bỏ
sót mà có thể chứa các cuộc tấn công chống lại mạng. Vì vậy, ta cần phải đặt
IDS cẩn thận, hợp lý để bảo đảm cổng giám sát sẽ không bị quá tải.
Ưu Điểm
- Một NIDS duy nhất có thể bảo vệ
phần lớn mạng trong hệ thống.
- Phát hiện tấn công dựa trên mạng,
chẳng hạn như port scan hoặc ping rà
soát.

Nhược Điểm
- Yêu cầu cài đặt trên một đoạn
mạng mà việc giám sát các cổng
không bị quá tải.
Yêu cầu phải giám sát các phần
khác nhau của mạng sử dụng nhiều
thiết bị IDS.
Yêu cầu phải tập hợp các giao
thông bị phân mảnh (giao thông IP
được chia thành nhiều mảnh IP).
Đòi hỏi CPU đáng kể và nhiều tài
nguyên bộ nhớ để có thể phân tích lưu
lượng truy cập theo dõi trong thời gian
thực.
Không thể phát hiện các cuộc tấn
công có trong thông tin liên lạc mã hóa.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 14

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Phát hiện xâm nhập IDS lai (Distributed (Hybrid) IDS)
Những hệ thống IDS lai là những hệ thống nhằm kết hợp những ưu điểm
của của mỗi dạng IDS, cũng như việc tối thiểu hóa những hạn chế. Trong hệ
thống lai, cả những bộ cảm biến và những máy chủ đều báo cáo về một trung
tâm quản trị.
Ngoài khả năng kết hợp được những điểm mạnh của hai dạng IDS, các
hệ IDS lai còn có thể kết hợp được hai cơ chế là dựa trên dấu hiệu và cơ chế
phát hiện bất thường.
6.1.3 Các cơ chế phát hiện xâm nhập
Mục đích của hệ thống IDS là nhằm cảnh báo cho nhóm quản trị viên khi phát

hiện xâm nhập. Những hệ thống báo trộm khởi phát một tín hiệu dựa trên sự chuyển
động của đầu dò. Các hệ thống IDS cũng có hai dạng cơ chế khởi phát (triggering
mechanism):
-

Phát hiện sự sử dụng sai (dựa trên những dấu hiệu)
Phát hiện sử dụng sai còn được gọi là phát hiện dựa trên dấu hiệu
(signature-based detection). Phát hiện sử dụng sai đòi hỏi những file dấu hiệu
(signature) để nhận dạng những hành động xâm nhập. Những file dấu hiệu sử
dụng trong phương pháp phát hiện sử dụng sai thì tương tự như những file dấu
hiệu trong những phần mềm diệt virus.
Ưu Điểm

Nhược Điểm

- Có ít cảnh báo nhầm hơn kiểu phát
hiện sự bất thường.

Không phát hiện những cuộc tấn
công mới hay chưa được biết.

- Không theo dõi những mẫu lưu
lượng hay tìm kiếm những sự bất
thường.

Không phát hiện những sự thay đổi
của những cuộc tấn công đã biết.

- Theo dõi những hoạt động đơn
giản để tìm sự tương xứng đối với bất
kỳ dấu hiệu nào đã được định dạng.
- Dễ hiểu cũng như dễ định dạng
hơn những hệ thống phát hiện sự bất
thường.

Khả năng quản trị cơ sở dữ liệu
những dấu hiệu là công việc mất nhiều
thời gian cũng như khó khăn.
Giống như tường lửa , bộ cảm biến
phải duy trì trạng thái dữ liệu trong bộ
nhớ để tìm lại nhanh hơn, nhưng mà
khoảng trống thì giới hạn.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 15

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Phát hiện sự không bình thường (dựa trên mô tả sơ lược)
Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát.
Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo
mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường.
Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường
bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group
profiles). Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông
thường và hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì
họ đã định nghĩa trong profile, hệ thống IDS sẽ phát sinh cảnh báo.
Ưu Điểm

Nhược Điểm

- Kẻ xâm nhập không bao giờ biết
lúc nào có, lúc nào không phát sinh
cảnh báo bởi vì họ không có quyền
truy cập vào những profile sử dụng để
phát hiện những cuộc tấn công.

- Không có sự bảo vệ trong suốt thời
gian khởi tạo ban đầu.

- Không dựa trên một tập những dấu
hiệu đã được định dạng hay những đợt
tấn công đã được biết.

- Khó khăn trong việc định nghĩa
cách hành động thông thường.

-

- Thường xuyên cập nhật profile khi
thói quen người dùng thay đổi.

-

Thời gian chuẩn bị ban đầu cao.

Cảnh báo nhầm

Chọn lựa giữa NIDS và HIDS
Những quản trị hệ thống mạng như chúng ta đều quan tâm đến NIDS và
HIDS, nhưng chọn thế nào để phù hợp với hệ thống mạng của mỗi doanh
nghiệp nhất? HIDS cho giải pháp trọn vẹn và NIDS cho giải pháp LAN.
Giống như khi cài đặt phần mềm chống virus, HIDS không chỉ thực hiện
cài đặt phần mềm trên các máy chủ chính mà còn phải cài đặt trên tất cả các
máy khách. Không có lý do nào giải thích tại sao cả NIDS và HIDS không
được sử dụng kết hợp với nhau trong một chiến lược IDS mạnh. NIDS dễ bị vô
hiệu hóa đối với kẻ xâm nhập. Rõ ràng cài đặt nhiều nút phát hiện trên mạng
bằng HIDS an toàn nhiều hơn là chỉ có một NIDS với một vài nút phát hiện chỉ
cho một đoạn mạng.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 16

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

6.2 IPS (Hệ thống ngăn chặn xâm nhập)
Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết
hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion
detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động
ngăn chặn các cuộc tấn công.
Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các
thiết bị trong mạng.

Hình 4. Xây dựng hệ thống với IPS.
6.2.1 Kiến trúc hệ thống IPS
Hệ thống IPS gồm 3 module chính:
-

Module phân tích gói
Module này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin.
Card mạng (NIC) của máy giám sát được đặt ở chế độ Promiscuous Mode, tất
cả các gói tin qua chúng đều được copy lại và chuyển lên lớp trên. Bộ phân tích
gói đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin
nào, dịch vụ gì? Các thông tin này được chuyển đến module phát hiện tấn công.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 17

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Module phát hiện tấn công
Đây là module quan trọng nhất trong hệ thống, có khả năng phát hiện
các cuộc tấn công. Có một số phương pháp để phát hiện các cuộc tấn công,
xâm nhập (Signature-Based IPS, Anomaly-Based IPS,…).
Phương pháp phát hiện phân tích các hoạt động của hệ thống, tìm kiếm
các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết
trước này gọi là các dấu hiệu tấn công.
Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công
nhanh và chính xác, giúp người quản trị xác định các lỗ hổng bảo mật trong hệ
thống. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được
các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy
hệ thống luôn phải cập nhật các mẫu tấn công mới.

-

Module phản ứng
Khi có dấu hiệu của sự tấn công hoặc xâm nhập, modul phát hiện tấn
công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến module phản
ứng. Lúc đó module phản ứng sẽ kíck hoạt firewall thực hiện chức năng ngăn
chặn cuộc tấn công. Tại module này, nếu chỉ đưa ra các cảnh báo tới các người
quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị
động.
Module phản ứng này tùy theo hệ thống mà có các chức năng khác
nhau. Dưới đây là một số kỹ thuật ngăn chặn:
 Terminate session
Cơ chế của kỹ thuật này là hệ thống IPS gửi gói tin reset, thiết lập lại
cuộc giao tiếp tới cả client và server. Kết quả cuộc giao tiếp sẽ được bắt đầu
lại, các mục đích của hacker không đạt được, cuộc tấn công bị ngừng lại.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 18

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

 Drop attack
Kỹ thuật này dùng firewall để hủy bỏ gói tin hoặc chặn đường một gói
tin đơn, một phiên làm việc hoặc một luồng thông tin giữa hacker và nạn
nhân.
 Modify firewall polices
Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật
khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các chính sách
điều khiển truy cập bởi người dùng đặc biệt trong khi cảnh báo tới người
quản trị.
 Real-time Alerting
Gửi các cảnh báo thời gian thực đến người quản trị để họ lắm được chi
tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
 Log packet
Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các file log.
Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là
nguồn thông tin giúp cho module phát hiện tấn công hoạt động.
Ba module trên họat động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh.
Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu
tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được
toàn bộ thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách
quản lý mềm dẻo.
6.2.2 Phân loại IPS
-

NIPS: thiết bị cảm biến được kết nối với các phân đoạn mạng để giám sát nhiều

máy.
-

HIPS: các đại lý phần mềm quản lý trung tâm được cài đặt trên mỗi máy chủ

lưu trữ. Các máy chủ được bảo vệ và báo cáo với trung tâm quản lý giao diện điều

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 19

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

khiển. HIPS cung cấp máy chủ lưu trữ cá nhân phát hiện và bảo vệ. HIPS không
đòi hỏi phần cứng đặc biệt.
6.2.3 Phân loại triển khai IPS
-

Promiscuous Mode IPS
Hệ thống IPS đứng trên firewall. Như vậy luồng dữ liệu vào hệ thống
mạng sẽ cùng đi qua firewall và IPS. IPS có thể kiểm soát luồng dữ liệu vào,
phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này,
Promiscuous Mode IPS có thể quản lý firewall, chỉ dẫn nó chặn lại các hành
động nghi ngờ.

Hình 5. Hệ thống Promiscuous mode IPS
-

In-line IPS
Vị trí IPS nằm trước firewall, luồng dữ liệu phải đi qua chúng trước khi
tới firewall. Điểm khác chính so với Promiscuous Mode IPS là có thêm chức
năng traffic-blocking. Điều đó làm cho IPS có thể ngăn chặn luồng giao thông
nguy hiểm nhanh hơn so với Promiscuous Mode IPS. Tuy nhiên vị trí này sẽ
làm cho tốc độ luồng thông tin qua ra vào mạng chậm hơn.
Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động
theo thời gian thực. Tốc độ họat động của hệ thống là một yếu tố rất quan

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 20

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

trọng. Qua trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các
cuộc tấn công ngay lập tức. Nếu không đáp ứng được điều này thì các cuộc tấn
công đã được thực hiện xong và hệ thống IPS là vô nghĩa.

Hình 6. Hệ thống In-line IPS
6.2.4 Công nghệ ngăn chặn xâm nhập IPS
-

Signature - Based IPS

Hình 7. Hệ thống Signature-based IPS

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 21

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập
tiêu biểu. Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu
hiện có. Nếu không có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là
một cuộc tấn công. Việc tạo ra các Signature-Based yêu cầu người quản trị phải có
những kỹ năng hiểu biết thật rõ về attacks, những mối nguy hai và phải biết phát triển
những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống
mạng.
-

Anomaly-Based IPS

Hình 8. Hệ thống Anomaly-based IPS
Anomaly-Based IPS phát hiện dựa trên sự bất thường hay mô tả sơ lược phân
tích những hoạt động của mạng và lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi
tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất
cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường.
Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo
mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo
mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả
sơ lược nhóm người dùng (user group profiles).

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 22

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Policy-Based IPS

Hình 9. Hệ thống Policy – based IPS
Policy-Based IPS sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của
một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều
phương thức được ưa chuộng để ngăn chặn.
-

Protocol Analysis-Based IPS.
Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc
chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi
sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một
hacker bắt đầu chạy một chương trình tấn công tới một Server. Trước tiên
hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể
không chứa data trong payload.
Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số
giao thức:
 Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay
không?
 Kiểm tra nội dung trong Payload (pattern matching).
 Thực hiện những cảnh cáo không bình thường.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 23

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

6.3 Đối chiếu IDS và IPS
Hiện nay, công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu
như hiểu đơn giản, ta có thể xem như IDS chỉ là một cái chuông để cảnh báo cho
người quản trị biết những nguy cơ có thể xảy ra tấn công. Với IPS, người quản trị
không những có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công
mà còn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn
công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo quy luật do nhà
quản trị định sẵn.
Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện
ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn
công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế của
IDS là tổng quát, dẫn đến tình trạng cảnh báo nhầm, làm tốn thời gian và công sức của
nhà quản trị. IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể
tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được
khả năng tấn công của mạng, thêm vào đó, độ chính xác của IPS là cao hơn so với
IDS.
Kiểm chứng qua ví dụ như nếu kẻ tấn công giả mạo của một đối tác, ISP, hay
là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ, mặc dù IDS có thể phát hiện
được cuộc tấn công từ chối dịch vụ và IP của khách hàng, của ISP, của đối tác. Nhưng
với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là
khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn
công.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 24

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

7. Tìm Hiểu Về Hệ Thống Firewall
7.1 Chức Năng
Internet Firewall (gọi tắt là firewall) là một thành phần đặt giữa Intranet và
Internet để kiểm soát tất cả các việc lưu thông và Internet để kiểm soát tất cả các việc
lưu thông và truy cập giữa chúng với nhau:
-

Firewall quyết định những dịch vụ nào từ bên ngoài được phép truy cập đến

các dịch vụ bên trong và cả những dịch vụ nào bên ngoài được phép truy cập bởi
những người bên trong.
-

Để firewall làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài và

ngược lại đều phải thực hiện thông qua firewall.
-

Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ thống mạng nội

bộ mới được quyền lưu thông qua Firewall.

7.2 Các thành phần và cơ chế hoạt động của Firewall
7.2.1 Bộ lọc packet (packet-filtering router)
Bộ lọc gói tin cho phép hay từ chối mỗi packet mà nó nhận được. Nó
kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn
một trong số các luật lệ lọc packet hay không. Các luật lệ lọc packet này là dựa
trên các thông tin ở đầu mỗi packet, dùng để cho phép truyền các packet đó.
-

Địa chỉ IP nơi xuất phát (IP source address)

-

Địa chỉ IP nơi nhận (IP destination address)

-

Những thủ tục truyền tin (TCP, UPD, ICMP, IP tunnel)

-

Cổng TCP/UPD nơi gửi và nhận

-

Dạng thông báo ICMP

Ưu Điểm
- Chi phí thấp vì đã bao gồm trong mỗi
router
- Không yêu cầu chuyên môn đặc biệt

-

Nhược Điểm
Đòi hỏi về sự lọc càng lớn
Các bộ luật lọc gói tin càng trở nên
dài, phức tạp, khó quản lý
Không kiểm soát được toàn bộ nội
dung của packet

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 25

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

7.2.2 Cổng ứng dụng (application-level-gateway)
Cơ chế này được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ,
hoạt động của nó dựa trên Proxy service. Proxy service được xem như các bộ chương
trình đặc biệt cài đặt trên gateway cho từng ứng dụng. Một cổng ứng dụng thường
được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặc biệt để chống
lại sự tấn công bên ngoài. Bastion host gồm những biện pháp đảm bảo an ninh như:
-

Bastion luôn chạy các phiên bản hệ điều hành an toàn chống lại sự tấn công
vào hệ quản trị.

-

Chỉ những dịch vụ nào thực sự cần thiết và quan trọng (telnet, DNS, FTP,…)
mới được cài đặt trên bastion host, vì hạn chế ứng dụng nào thì sẽ bớt đi sự tấn
công vào phần đó.

-

Proxy được cấu hình cho phép truy cập chỉ một số máy chủ nhất định.

-

Mỗi proxy sẽ duy trì, lưu trữ lại toàn bộ chi tiết của mỗi kết nối. Đây sẽ là cơ
sở để tìm ra dấu vết và ngăn chặn kẻ phá hoại.

Hình 10. Bộ lọc ứng dụng.

-

-

-

Ưu Điểm
Cho phép người quản trị hoàn toàn
điều khiển những ứng dụng và dịch
vụ nào được cho phép.
Cho phép ghi chép kiểm tra độ xác
thực rất tốt và có một nhật ký ghi
chép lại thông tin về truy cập hệ
thống
Bộ luật lọc cho cổng ứng dụng dẽ
dàng cấu hình và kiểm tra hơn so với
bộ lọc gói tin

-

Nhược Điểm
Bộ lọc cổng ứng dụng còn được xem
như là một firewall mềm, vì vậy đa
phần sẽ tốn chi phí khá cao cho
license.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 26

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

7.2.3 Cổng vòng (Circuit level Gateway)
-

Hoạt động ở lớp phiên của mô hình OSI hoặc là một lớp đệm giữa lớp ứng

dụng và lớp vận chuyển của mô hình TCP/IP. Cổng vòng đơn giản chỉ chuyển tiếp
các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet
nào.
-

Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản

trị mạng thật sự tin tưởng những người dùng bên trong.

Hình 11. Cơ chế cổng vòng.
Ưu điểm : Có thể cấu hình vừa cung cấp cổng ứng dụng cho những kết nối đến và
cổng vòng cho các kết nối đi ra. Vì thế làm cho hệ thống bức tường lửa dễ dàng sử
dụng cho những người trong nội bộ muốn trực tiếp truy cập tới các dịch vụ internet,
trong khi vẫn bảo vệ mạng nội bộ từ sự tấn công bên ngoài.

7.3 Những hạn chế của firewall
-

Chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong

muốn nhưng phải xác định rõ các thông số địa chỉ.
-

Không thể ngăn chặn một sự tấn công không đi qua nó. Không đi qua nó ở đây

có nghĩa là không thể chống lại một cuộc tấn công từ một sự rò rỉ thông tin do dữ
liệu bị đánh cắp bất hợp pháp hoặc bị tấn công từ nội bộ.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 27

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Không thể chống lại các cuộc tấn công từ sự thâm nhập của các chương trình

được chuyển theo thư điện tử và không thể làm nhiệm vụ rà quét virus, vì ngày
càng xuất hiện liên tục của các virus mới thoát khỏi khả năng kiểm soát của
firewall.

7.4 Các ví dụ Firewall
-

Bộ định tuyến lọc gói tin (Packet-Filtering Router)
Bộ lọc này phổ biến nhất vì chỉ bao gồm một bộ định tuyến lọc gói tin
đặt giữa mạng nội bộ và internet. Có hai chức năng chính là chuyển tiếp truyền
tải giữa hai mạng và sử dụng các bộ luật về lọc gói tin để cho phép hay từ chối
truyền.
Ưu Điểm

-

Giá thành thấp
Cấu hình đơn giản

Nhược Điểm
-

-

-

-

Dễ bị tấn công vào các bộ lọc cấu
hình không hoàn hảo, tấn công ngầm
dưới những dịch vụ đã được phép.
Tất cả hệ thống trong mạng nội bộ sẽ
bị tấn công nếu bộ lọc do một sự cố
nào đó ngừng hoạt động.
Nguy cơ bị tấn công cao hơn vì các
gói tin trao đổi trực tiếp với nhau chỉ
thông qua router.

Screened Host Firewall
Hệ thống này bao gồm một router lọc gói tin và một bastion host. Nó
thực hiện việc bảo mật ở cả tầng network (packet filtering) và ở tầng ứng dụng,
một khi có sự tấn công bên ngoài vào thì nó phải vượt qua hai tầng bảo mật. Hệ
thống này có dạng:
o Single – Homed Bastion Host
Mô hình hệ thống này bastion host được cấu hình trong mạng nội bộ, bô
luật lọc gói tin cài trên router sao cho tất cả các hệ thống bên ngoài chỉ có thể
truy cập vào được bastion host. Các truy cập từ bên ngoài vào trong mặc định
đều bị khoá, còn các truy xuất ra ngoài phải được xác nhận và xuất phát từ
bastion nhost.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 28

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 12. Single-Homed Bastion Host.
o Dual – Homed Bastion Host
Cung cấp độ bảo mật cao hơn, vì hệ thống dùng 2 cổng mạng một nối
với cổng ra internet, cổng còn lại nối với mạng nội bộ. Với mô hình này thì
trong hệ thống chỉ có duy nhất bastion host có thể truy cập được từ internet, sẽ
hạn chế được sự tấn công . Cần cấu hình chặn không cho người dùng truy cập
vào bastion host vì họ sẽ dễ dàng truy cập được mạng nội bộ một khi vào được
bastion host.

Hình 13. Dual-Homed Bastion Host
-

Vùng phi quân sự (DMZ Zone)
Hệ thống này còn được gọi là screen-subnet firewall, gồm hai router lọc
gói tin và một bastion host. Vùng DMZ là một mạng nhỏ được cô lập đặt giữa
internet và mạng nội bộ. Router bên ngoài chống lại những cuộc tấn công và
điều khiển truy cập vào DMZ, và từ DMZ muốn vào trong nội bộ thì phải xuất

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 29

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

phát từ bastion host. Router bên trong chỉ cho phép các hệ thống nội bộ truy
cập bastion host.

Hình 14. Mô hình vùng phi quân sự.
Ưu điểm:
-

Cản trở quá trình tấn công với ba lớp bảo vệ.

-

Hệ thống nội bộ sẽ bị ẩn đi vì router ngoài chỉ đưa vùng DMZ hiển thị ra
internet.

-

Đảm bảo các lượt truy cập an toàn cho các user nội bộ muốn ra ngoài, vì
router bên trong chỉ quảng bá vùng DMZ tới mạng nội bộ.

7.5 Các kiểu tấn công
7.5.1 Tấn công từ chối dịch vụ (Denial of Service Attacks)
Tấn công từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động
ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ
nào đó. Nó bao gồm làm tràn ngập mạng, mất kết nối với dịch vụ v.v..mục đích cuối
cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các
máy trạm (Client). Tấn công từ chối dịch vụ phân tán (tấn công DDoS- Distributed
denial of service) là một hình thức khác của tấn công DoS.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 30

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí
cả một hệ thống mạng rất lớn. Về bản chất thực sự của DoS, hacker sẽ chiếm dụng
một lượng lớn tài nguyên mạng như băng thông, bộ nhớ… và làm mất khả năng xử lý
các yêu cầu dịch vụ từ các client khác.
Có 2 loại tấn công chính: chiếm dụng nguồn tài nguyên (resource depletion) và
tấn công chiếm dụng băng thông (bandwidth depletion).
-

Tấn công chiếm dụng nguồn tài nguyên
Tấn công chiếm dụng nguồn tài nguyên làm nghẽn tài nguyên dịch vụ
trên máy nạn nhân do nó cấp phát quá nhiều, từ đó CPU của nạn nhân bị quá
tải và các quá trình xử lý dữ liệu bị đình trệ.
Tấn công kiểu Land Attack là một hình thức tấn công chiếm dụng tài
nguyên.Trong kiểu tấn công này thì hacker sẽ gửi nhiều gói tin SYN với cùng
một địa chỉ nguồn và địa chỉ đích và giống hệt port nguồn và port đích tới nạn
nhân.
Mục đích của kiểu tấn công này là buộc nạn nhân gửi các gói tin trả lời
cho chính nó (một vòng lặp vô tận khi cố gắng thiết lập kết nối). Bởi vì hacker
liên tục gửi các gói tin, nạn nhân có thể giải phóng tài nguyên bằng cách gửi
gói tin đến chính nó. Về mặt kỹ thuật, kẻ tấn công sử dụng tài nguyên riêng của
máy chủ để chống lại chính nó.

Hình 15. Land Attack
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 31

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Tấn công sử dụng băng thông
Tấn công chiếm dụng băng thông làm ngập mạng nạn nhận với lưu
lượng không mong muốn, từ đó khiến cho người dùng hợp pháp vào mạng nạn
nhân rất chậm, nếu không muốn nói là không thể nào vào được.
Tấn công kiểu Smurf Attack là một hình thức tấn công chiếm dụng băng
thông. Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch
đại. Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP
echo request cho toàn bộ mạng (broadcast). Các máy tính trong mạng sẽ đồng
loạt gửi gói tin ICMP echo reply cho máy tính mà hacker muốn tấn công. Kết
quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn
tới bị treo máy.

Hình 16. Smurf Attack
7.5.2 Giả mạo danh tính
Các hệ thống mạng sử dụng IP address để nhận biết sự tồn tại của mình.
Vì thế địa chỉ IP là sự quan tâm hàng đầu của những hacker. Khi họ hack vào
bất cứ hệ thống nào, họ đều biết địa chỉ IP của hệ thống mạng đó. Thông
thường, những người tấn công giả mạo IP address để xâm nhập và cấu hình lại
hệ thống, sửa đổi thông tin, v.v...

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 32

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Việc tạo ra một kiểu tấn công mới là mục đích của các hacker. Trên
mạng Internet hiện nay, có thể sẽ xuất hiện những kiểu tấn công mới được khai
sinh từ những hacker thích mày mò và sáng tạo.
Man in the middle là một hình thức tấn công giả mạo danh tính. Kiểu
tấn công có thể xuyên thủng một kết nối bảo mật VPN (Virtual Private
Network) giữa một máy trạm và trạm kết nối.Bằng cách chèn một trạm kết nối
giả lập giữa máy trạm và trạm kết nối, hacker trở thành “Man in the middle” và
hắn ta sẽ giả lập thành trạm kết nối đối với máy trạm và thành máy trạm đối với
trạm kết nối.
Hacker sẽ buộc máy trạm đăng nhập lại vào trạm kết nối - nạn nhân sẽ
phải đáp ứng và đăng nhập lại lên Access Point và ngược lại Access Point phải
đáp ứng kết nối thành công và dĩ nhiên thông qua hacker.
Để bắt đầu một cuộc tấn công, hacker âm thầm thu thập các thông tin
quan trọng của máy trạm khi kết nối đến Access Point như username,
servername, địa chỉ IP của client và server, ID dùng để kết nối, các phương
thức phê chuẩn…
Sau đó hacker này sẽ kết nối với Access Point bằng cách gởi yêu cầu kết
nối với thông tin trên và hiển nhiên thông tin yêu cầu này là của máy trạm hợp
lệ. Access Point sẽ yêu cầu kết nối VPN đến máy trạm, khi máy trạm nhận
được yêu cầu sẽ gởi thông tin để tạo kết nối. Hacker sẽ lắng nghe những thông
tin này từ hai phía để thu thập thông tin đáp ứng. Sau khi “lắng nghe” tất cả
quy trình kết nối thì hacker bắt đầu hành động. Họ sẽ gởi tín hiểu giả mạo với
gói lượng dữ liệu lớn tăng dần và đá văng kết nối của máy trạm hợp lệ ra khỏi
hệ thống và tiếp tục gởi để ngăn máy trạm không thể kết nối (vd: 0x00ffffff).
Lúc này hắn đàng hoàng đi vào hệ thống như một máy trạm hợp lệ.
Với kiểu tấn công này chỉ có cách giám sát hệ thống bằng cách thiết lập
IDS sẽ phát hiện và ngăn chặn kiểu tấn công này.
Một số hình thức tấn công của “Man in the middle”: tấn công giả mạo
ARP Cache, DNS Spoofing, chiếm quyền điều khiển Session (session
hijacking).v.v..

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 33

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

 Tấn công giả mạo ARP Cache
ARP thường được sử dụng để xác định địa chỉ MAC khi mà đã biết địa chỉ IP.
Sự chuyển đổi này được thực hiện thông qua việc tìm kiếm trong một bảng địa chỉ,
ARP cache sẽ giữ nhiệm vụ cập nhật bảng địa chỉ này bằng cách gửi broadcast các gói
dữ liệu yêu cầu chứa các địa chỉ IP đến các Client, nếu như IP của Client nào trùng
với IP nhận được thì sẽ phản hồi lại với gói dữ liệu chứa MAC Address của mình.
Những thành phần trong bảng này sẽ hết hạng trong một khoảng thời gian nhất định vì
Client có thể thay đổi phần cứng (NIC) thì khi đó bảng này sẽ được cập nhật lại. Tuy
nhiên một nhược điểm của ARP là không có bất kỳ sự kiểm tra nào từ những phản hồi
của các Client hợp lệ hoặc là nhận phản hồi từ những Client giả mạo.
ARP Poisoning là một trong những công nghệ mà cho phép tấn công theo kiểu
“Man in the middle”. Hacker sẽ vào giữa Client và Router, bằng cách “nhiễm” vào
Client, cho nên IP của Router được kết nối với MAC Address của hacker, ngược lại
bằng cách “nhiễm” vào Router cho nên IP của Client sẽ kết nối với MAC Address của
hacker, nghĩa là cuối cùng mọi giao tiếp giữa Client và Router đều phải thông qua
hacker.

Hình 17. Giả mạo ARP Cache
7.5.3 Tấn công SMB
System Message Block (SMB) là một cổng mạng cho phép Windows
chia sẻ tập tin, các cây thư mục và những thiết bị. Dựa vào lỗi này hacker có
thể thực thi các đoạn mã độc từ xa ở tầm hệ thống nhưng với điều kiện file

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 34

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

sharing đã được bật, sẽ làm tê liệt hệ thống máy tính từ xa (gây lỗi màn hình
xanh -blue screen of death).
Nguyên nhân chính xuất phát từ cách thức driver srv2.sys xử lý các yêu
cầu từ máy khách trong khi phần tiêu đề (header) của ô "Process Id High"
chứa đựng một ký tự "&". Bằng việc gửi lệch một thông tin header trong gói
tin SMB 2.0 yêu cầu kết nối, chẳng hạn như đặt một giá trị High trong field
Process ID (\x00\x26) là có thể làm treo hệ thống.Cuộc tấn công không cần đến
chứng thực nhận dạng, chỉ cần cổng 445 có thể truy xuất. Mối lo ngại ở đây là
cổng 445 thường được mở mặc định trong phần cấu hình mạng nội bộ (LAN)
của Windows.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 35

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

8. CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN HIỆU NĂNG HỆ THỐNG
Yếu tố con người:
 Thiết lập và cấu hình hệ thống: Lập kế hoạch và chiến lược trước khi
khởi tạo một luật bất kỳ, đảm bảo tính chính xác cho hệ thống.
 Thường xuyên cập nhật thông tin về hệ thống: Người quản trị phải luôn
theo dõi nhưng thông tin cập nhật firmware đối với phần cứng hoặc bản
nâng cấp đối với phần mềm để ngăn chặn các sự tấn công vào những lổ
hổng từ hệ thống.
Yếu tố vật lý:
 Có kế hoạch kiểm tra và rà soát định kỳ hệ thống điện nhằm tránh những
sự cố chập nổ ngoài ý muốn.
Yếu tố phần cứng:
 Lắp đặt hệ thống máy server đáp ứng được mức yêu cầu nhà sản xuất đề
ra trong sản phẩm để đảm bảo và duy trì hiệu suất làm việc ổn định cho
server.
 Lắp ráp các linh kiện phần cứng phải đồng bộ, tương thích với nhau.
Yếu tố chuyên môn:
 Độ phức tạp trong việc cấu hình hay yêu cầu một chuyên môn quá cao sẽ
là một phần nào gây sự cản trở nhất định trong việc thiết lập các cơ chế
giám sát, đồng thời cũng khó khăn cho người quản trị trong công tác quản
lý hệ thống.
Yếu tố phần mềm:
 Đối với hệ điều hành, đảm bảo rằng đó là một hệ điều hành “sạch” trước
khi cài đặt và cấu hình tường lửa. Song song, chúng ta vẫn phải cập nhật
những bản vá lỗi mới nhất.
 Đối với các ứng dụng và phần mềm được cài đặt trong máy, chúng ta
kiểm tra những phần mềm lạ, hoặc xoá ứng dụng không cần thiết sử
dụng, không nên để những ứng dụng này trong máy quá lâu, vì chúng có
thể mang lại nhiều rủi ro và nguy hiểm cho hệ thống.
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 36

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

PHẦN III: TRIỂN KHAI CÁC MÔ HÌNH HỆ THỐNG
9. Audit Policies
9.1 Khái quát về các chính sách giám sát sự kiện
Định nghĩa

Audit
Account
Logon
Events

Thiết lập mặc
định

Tạo một sự kiện khi một user hoặc máy tính cố

Tài khoản đăng

gắng xác thực đang sử dụng một tài khoản AD.

nhập thành công và

Ví dụ khi một user đăng nhập vào bất kỳ má

thất bại đều được

tính trong domain, một sự kiện đăng nhập tài

giám sát.

khoản.
Tạo một sự kiện khi một user đăng nhập nội bộ

Tài khoản đăng

hoặc từ xa vào một máy tính. Ví dụ , nếu một

nhập thành công và

trạm làm việc và một server được cấu hình để

thất bại đều được

giám sát những sự kiện truy cập, trạm làm việc

giám sát.

Audit Logon giám sát một user đăng nhập trực tiếp vào trạm
Events

này. Khi user kết nối tới một tập tin chia sẻ trên
server, máy server đăng nhập từ xa. Khi một
user đăng nhập, DC ghi nhận lại sự kiện đăng
nhập bởi vì những đoạn mã và chính sách đăng
nhập được lấy ra từ DC.

Audit
Account
Management

Giám sát những sự kiện, bao gồm việc khởi tạo,

Giám sát những

xóa hoặc sửa đổi của tài khoản người dùng,

hoạt động quản lý

nhóm hoặc máy tính và tái thiết lập mật khẩu

tài khoản thành

cho user.

công.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 37

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Giám sát sự kiện được chỉ định trong hệ thống

Giám sát những sự

SACL(system access control list), được quan sát kiện truy cập dịch
Audit

trong một hộp thoại những thiết lập an ninh cấp

vụ danh bạ thành

Directory

cao của đối tượng AD. Thêm vào đó định nghĩa

công, nhưng

Service

chính sách giám sát với thiết lập này, ta cũng

SACLs của một vài

Access

phải cấu hình giám sát cho đối tượng chỉ định

đối tượng chỉ định

hoặc đối tượng sử dụng SACL của một hoặc

những thiết lập

nhiều đối tượng.

giám sát.

Những việc giám sát thay đổi các chính sách

Chính sách thành

phân quyền người dùng, chính sách giám sát,

công thay đổi được

chính sách tin tưởng.

giám sát.

Giám sát việc sử dụng của một đặc quyền hay

Không có giám sát

quyền của user. Xem xét những ghi chú giải

được thực hiện mặc

Audit policy
Change

Audit

privilege use thích cho chính sách này trong Group Policy

định.

Management Editor (GPME).
Audit
System
Events

Việc khởi động lại, tắt, hoặc thay đổi của hệ

Giám sát những sự

thống giám sát sẽ ảnh hưởng đến hệ thống hay

kiện của hệ thống

an toàn dự liệu.

thành công và thất
bải.

Những sự kiện giám sát chẳng hạn như khởi

Giám sát những sự

Process

động chương trình và thoát chương trình. Xem

kiện theo dõi tiến

Tracking

xét chú thích cho chính sách này trong GPME.

trình thành công.

Audit

Tiếp cận tới những đối tượng như những tập tin, Giám sát những sự
thư mục, những khóa đăng ký và máy in những
Audit Object cái có SACL của chính chúng. Ngoài việc cho
Access

kiện truy cập đối
tượng thành công.

phép chính sách giám sát này, ta phải cấu hình
những mục giám sát trong SACL của các đối
tượng.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 38

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

9.2 Các hạng mục trong Event Viewer
9.2.1 Custom view
Việc cố gắng xác định một sự kiện cụ thể trong Windows Event Viewer là một
công việc rất khó khăn. Những tiến trình riêng biệt có thể tạo ra rất nhiều sự kiện khác
nhau trong một thời gian ngắn gây khó khăn cho việc xác định sự kiện muốn kiểm tra.
Custom Event View cho phép người dùng thực hiện các phiên tìm kiếm động nâng
cao dựa trên một số điều kiện lọc. Theo đó, chúng ta có thể xác định mọi sự kiện gây
ra lỗi nào đó ngoài việc chỉ tìm lỗi.
Hộp thoại Create Custom View là giao diện chính được sử dụng để tạo khung
nhìn tùy biến của các sự kiện máy chủ.

Hình 18. Hộp thoại Create Custom View.
Đầu tiên phải lựa chọn phạm vi của những sự kiện muốn lọc. Danh sách
Logged thả xuống cho phép kiểm soát những sự kiện xảy ra trong giờ trước, ngày
trước, tuần trước hay một giai đoạn thời gian cụ thể. ta có thể tạo một khoảng thời
gian tùy biến.
Trong hình trên có thể lựa chọn các cấp độ Event gồm Critical, Error,
Warning, Information, hay Verbose.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 39

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Sự kiện bằng Event Log (bản ghi sự kiện) hay Event Source (nguồn sự kiện)
không thể sử dụng cả hai. Nếu lựa chọn tùy chọn By Log, khi đó danh sách thả xuống
sẽ hiển thị một chuỗi option chọn có thể sử dụng để lựa chọn những Event Log riêng
biệt muốn đưa vào tiến trình lọc. Nếu lựa chọn tùy chọn By Source, danh sách thả
xuống sẽ hiển thị một số hộp chọn cho mọi Event Source hiện có. Tiếp theo, nhập
những Event ID khác nhau muốn lọc. Nếu không xác định được những Event ID cụ
thể, có thể nhập một vùng Event ID. Ví dụ, nếu muốn lọc những Event ID có giá trị từ
1 đến 99, hãy nhập 1-99.

Hình 19. Khung nhìn hiển thị kết quả xuất hiện dưới Custom Views
9.2.2 Windows logs
Windows Logs được định để lưu trữ các sự kiện từ các ứng dụng kế thừa và các sự
kiện áp dụng cho toàn bộ hệ thống.
-

Application log có chứa các sự kiện đăng nhập bởi các ứng dụng hoặc các

chương trình.
-

Security log chứa các sự kiện như cố gắng đăng nhập hợp lệ và không hợp lệ,

cũng như các sự kiện liên quan đến sử dụng tài nguyên, chẳng hạn như tạo, xóa
các tập tin hoặc các đối tượng khác. Người quản trị có thể xác định những gì các
sự kiện được ghi trong security log.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 40

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

-

Setup log chứa các sự kiện liên quan để thiết lập ứng dụng.

-

System log chứa các thành phần hệ thống đăng nhập của Windows. Ví dụ, sự

thất bại của một trình điều khiển hoặc các thành phần hệ thống khác để nạp lúc
khởi động được ghi lại trong system log. Các loại sự kiện đăng nhập của các thành
phần hệ thống được xác định trước bởi Windows.
-

Forwarded Events log đăng nhập được sử dụng để lưu trữ các sự kiện thu thập

từ các máy tính từ xa. Để thu thập các sự kiện từ các máy tính từ xa, bạn phải tạo
một đăng kí sự kiện.
9.2.3 Applications and Services Logs
Những sự kiện lưu trữ các bản ghi từ một ứng dụng đơn lẻ hoặc một thành
phần chứ không phải là sự kiện mà có thể có tác động rộng hệ thống.
Thể loại của các bản ghi bao gồm bốn phân nhóm: Admin, Operational,
Analytic, and Debug logs. Các sự kiện trong Admin log được quan tâm đặc biệt để
chuyên gia IT sử dụng Event Viewer để gỡ rối vấn đề. Các sự kiện trong Admin log
cung cấp cho bạn hướng dẫn về làm thế nào để đáp ứng cho họ.
Analytic logs lưu trữ các sự kiện mà theo dõi một vấn đề và một khối lượng lớn
các sự kiện được lưu lại. Debug logs được sử dụng bởi các nhà phát triển khi gỡ lỗi
các ứng dụng. Cả Analytic và Debug log được ẩn và vô hiệu hóa theo mặc định.
-

Admin: Những sự kiện này chủ yếu nhắm vào người dùng cuối, các quản trị

viên, và nhân viên hỗ trợ. Những sự kiện được tìm thấy trong các kênh Admin chỉ
ra một vấn đề và giải pháp cũng như các quy định rằng một quản trị viên có thể
hành động.
-

Operational events: được sử dụng để phân tích và chẩn đoán một vấn đề hay

xảy ra. Chúng có thể được sử dụng để kích hoạt các công cụ hoặc nhiệm vụ dựa
trên các vấn đề hay xảy ra.
-

Analytic events: được công bố về mức độ cao. Chúng mô tả những hoạt động

chương trình và chỉ ra những vấn đề mà không thể được xử lý bởi sự can thiệp của
người dùng.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 41

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Debug events: được sử dụng bởi các nhà phát triển khắc phục sự cố các vấn đề

với chương trình của họ.

9.3 Xây dựng và triển khai mô hình mạng
9.3.1 Mô hình lab thực hiện

Hình 20. Mô hình Lab triển khai
Gồm 4 máy:
-

Máy DC (Window Server 2008): lên AD, tạo domain test.local

-

Máy File server (Window Server 2003): tạo tập tin chia sẻ và phân quyền cho
user

-

Router: cấu hình theo 2 cách để vùng server và client liên lac với nhau
o Cách 1: Cấu hình Routing and Remote Access
o Cách 2: Tạo vùng server là VLAN 1 và clients là VLAN 2, cấu hình
InterVlan dùng giao thức Trunking 2 VLAN để chúng có thể liên lạc với
nhau.

- Máy client (Window XP): join domain test.local
9.4 Thiết lập các chính sách giám sát
9.4.1 Application log
Application log ghi lại sự kiện của các ứng dụng khác từ các nhà sản xuất khác
như symantec hay các ứng dụng mai. Thường thiết lập trong application là mặc định
của các ứng dụng nên chúng ta chỉ có thể đọc nó mà không thiết lập được.
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 42

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Các chính sách giám sát của hệ điều hành Window sẽ được ghi mặc định vào
Security Log. Kiểm tra sự kiện ghi giám sát được thiết lập và bảo mật bằng Group
Policy.

Hình 21. Các chính sách giám sát
9.4.2 Audit account logon events
Giám sát này sẽ thẩm định mỗi khi người dùng đăng nhập hoặc đăng xuất từ
một máy tính được sử dụng để hợp lệ hóa tài khoản. Ví dụ dễ hiểu nhất cho tình
huống này là khi một người dùng đăng nhập vào máy tính chạy hệ điều hành
Windows XP Professional nhưng lại được thẩm định bởi domain controller. Do
domain controller sẽ hợp lệ hóa người dùng, khi đó sự kiện sẽ được tạo trên domain
controller.

Hình 22. Thiết lập chính sách giám sát

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 43

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Với sự kiện user đăng nhập thành công ta sẽ có các sự kiện 4769 dịch vụ
Kerberos được yêu cầu và 4624 tài khoản đăng nhập thành công.

Hình 23.Tài khoản đăng nhập thành công
Sự kiện 4769 cho biết về user logon và logon tại máy tính nào, sự kiện này
gồm có cả chứng thực Kerberos. Mỗi sự kiện 4769 sẽ có số Logon GUID khác nhau.

Hình 24. Keberos chứng thực khi user đăng nhập

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 44

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Với việc đăng nhập sai pass ta có sự kiện 4771

Hình 25. Tài khoản u1 đăng nhập sai password
9.4.3 Audit account management
Giám sát này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang quản
lý tài khoản (user, group hoặc computer) trong cơ sở dữ liệu của người dùng trên máy
tính được cấu hình thẩm định. Những ví dụ cho các sự kiện này:
-

Tạo một tài khoản người dùng

-

Bổ sung thêm một người dùng vào nhóm

-

Đặt lại tên một tài khoản người dùng

Thay đổi mật khẩu của tài khoản người dùng
Với sự kiện ủy quyền cho user tạo, sửa, xóa user và group. Audit này cho
admin có thể giám sát các hoạt động của user được ủy quyền.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 45

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Sự kiện 4720 là tạo user, nhìn vào sự kiện này ta sẽ biết u1 tạo ra kt1

Hình 26. Ghi nhận sự kiện tạo tài khoản u1

Hình 27. Thông tin chi tiết khi tạo tài khoản u1

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 46

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Sự kiện 4726 là xóa user, 4724 là reset pass account.

Hình 28. Thông tin về việc xóa tài khoản
Với việc tạo group, event viewer cũng sẽ ghi lại những group mà user đã tạo.
Sự kiện 4727 cho thấy, user đã tạo ra 1 group có tính năng Global Group - Security

Hình 29. Ghi nhận sự kiện tạo group

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 47

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 30. Thông tin chi tiết của filelog
9.4.4 Audit directory service access
Giám sát này sẽ thẩm định sự kiện có liên quan đến việc truy cập của người
dùng vào đối tượng Active Directory (AD), AD này đã được cấu hình để kiểm tra sự
truy cập của người dùng thông qua System Access Control List (SACL) của đối
tượng. SACL của đối tượng AD sẽ chỉ rõ ba vấn đề sau:
-

Tài khoảng (của người dùng hoặc nhóm) sẽ được kiểm tra

-

Kiểu truy cập sẽ được kiểm tra, chẳng hạn như đọc, tạo, thay đổi,…

-

Sự truy cập thành công hay thất bại đối với đối tượng

Do mỗi một đối tượng đều có SACL riêng nên mức điều khiển sẽ rất chính xác.

Hình 31. Thiết lập chính sách giám sát
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 48

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Ví dụ về sự kiện này, ta có 2 domain. 1 domain là primary (tên DC) và 1
domain là additional domain (tên ForeFront)

Hình 32. Ghi nhận sự kiện domain kết nối với nhau
Khi 2 domain kết nối với nhau, đồng thời chúng replicate thông tin và dự liệu
của chúng cho nhau, sự kiện ghi nhận 2 quá trình xảy ra là 4932 – ghi nhận quá trình
bắt đầu replicate và 493 là kết thúc quá trình replicate.

Hình 33. Chi tiết filelog 2 domain bắt

Hình 34. Đồng bộ bản sao của một Active

đầu replicate

Directory kết thúc

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 49

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

9.4.5 Audit logon events
Giám sát này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang đăng
nhập, đăng xuất hay đang tạo một kết nối mạng đến một máy tính được cấu hình để
thẩm định các sự kiện đăng nhập. Một ví dụ điển hình về trường hợp sử dụng hạng
mục này là thời điểm các sự kiện được ghi là thời điểm người dùng đăng nhập vào
máy trạm của họ bằng tài khoản người dùng trong miền. Khi đó một sự kiện trên máy
trạm làm việc chứ không phải domain controller sẽ được tạo để thực hiện thẩm định..

Hình 35. Thiết lập chính sách giám sát
Cũng với sự kiện đăng nhập user, audit này cũng cho ta các sự kiện như audit
account logon events, nhưng đối với việc đăng nhập sai thì không có ghi nhận.

Hình 36. Máy client đăng nhập sai password

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 50

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 37. Không ghi nhận sự kiện đăng nhập sai
Trong quá trình cho máy client truy cập vào file server để khảo sát các tình
huống giám sát, vô tình cho máy router không join domain và truy cập vào file server,
ta sẽ thấy filelog báo lỗi 4625.

Hình 38. Ghi nhận và thông báo máy truy cập trái phép vào hệ thống

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 51

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Trong hình lab mô phỏng hiện thông báo:
Failure Information:
Failure Reason:

Unknown username or bad password

Thông báo đó ghi lý do sai vì tên người dùng không biết hoặc mật khẩu tồi,
nhưng lý do ở đây là vì không join domain, nên máy router sẽ không được máy DC
chứng thực và phân giải DNS nên hiển nhiên hệ thống sẽ không biết máy router là ai
và sẽ báo lỗi.
Network Information:
Workstation Name:

Router

Source Network Address: 172.16.1.3
Source Port:

1033

Từ bảng thông báo kéo xuống sẽ xuất hiện thêm thông tin về máy truy cập vào
bất hợp pháp là máy ROUTER với địa chỉ IP là 172.16.1.3 và port là 1033.
9.4.6 Audit object access
Giám sát này sẽ thẩm định sự kiện khi người dùng truy cập một đối tượng nào
đó. Các đối tượng ở đây có thể là các file, thư mục, máy in, Registry key hay các đối
tượng Active Directory. Thông thường chúng ta không cần cấu hình mức thẩm định
này, nó chỉ cần thiết khi có nhu kiểm tra sự truy cập tài nguyên nào đó.
Hệ thống có File Server, thư mục File Server sử dụng chứa tài nguyên cung cấp
cho nhân viên và NTFS Permision được cấu hình:
-

Group Nhansu chỉ có quyền truy cập, đọc, sửa và xóa ở thư mục Nhansu.

-

Group Ketoan chỉ có quyền truy cập, đọc, sửa và xóa ở thư mục Ketoan.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 52

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Bảng phân quyền NTFS
Thư mục

Ketoan

Nhansu

File server

Group
Ketoan

Truy cập, đọc, sửa, Không cho phép
xóa file chính mình truy cập
tạo ra

Đọc

Nhansu

Không cho phép Truy cập, đọc,
truy cập
sửa, xóa file chính
mình tạo ra

Đọc

Bản Auditing
Thư mục

Ketoan

Nhansu

File server

Group
Ketoan

Truy cập, đọc, sửa, Không cho phép
xóa file chính mình truy cập - Success
tạo ra - Success
&Failed

Đọc - Success

Nhansu

Không cho phép Truy cập, đọc, sửa,
truy cập - Success xóa file chính mình
tạo ra - Success
&Failed

Đọc - Success

Bật tính năng Auditing trên thư mục File server để xác định xem những ai đã
thay đổi bên trong thư mục, thay đổi có thành công hay không, và lúc thay đổi thì
đang ngồi làm việc ở máy nào.
Cấu hình GPO link OU chứa computer account của File server (hoặc máy nào
làm File Server thì triển khai Audit Policy trực tiếp trên máy đó)
Tại máy File server vào Local Security Policy, chọn Audit Policy => Audit
Object Access chọn Success và Failure.
Cho kt1 đăng nhập vào file server, event vierwer lập tự ghi nhận lại sự kiện

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 53

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 39. Ghi nhận sự kiện u1
Sự kiện 5140 cho biết user đăng nhập và đang dùng máy nào.

Hình 40.Chi tiết tài khoản u1 đăng nhập bằng máy KIT

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 54

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Sự kiện 4656 cho biết user đang đăng nhập vào mục kế toán và 4663 một cố
gắng tạo được thực hiện để truy cập một đối tượng.

Hình 41. Chi tiết các thư mục được user truy cập
Với kt1 cố gắng đăng nhập trái phép vào mục nhân sự cũng được ghi nhận lại.

Hình 42. Ghi nhận sự kiện xâm nhập trái phép

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 55

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 43. Chi tiết tài khoản truy cập
9.4.7 Audit policy change
Chính sách giám sát này sẽ thẩm định mỗi sự kiện có liên quan đến thay đổi
của một trong ba lĩnh vực “policy” trên máy tính. Các lĩnh vực “policy” này gồm:
-

User Rights Assignment - Chỉ định quyền người dùng

-

Audit Policies - Các chính sách thẩm định

-

Trust relationships - Các mối quan hệ tin cậy
Thiết lập chính sách Logon/Logoff trong Local Security Policy, hệ thống sẽ

ghi nhận sự kiện ngay lập tức. Ta sẽ thấy sự kiện 4719- Chính sách thẩm định hệ
thống bị thay đổi.

Hình 44. Ghi nhận sự kiện thay đổi chính sách Logon/Logoff

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 56

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 45. Thông tin chi tiết của file log

Hình 46. Ghi nhận thay đổi của auditing

đã thay đổi

Object Access

9.4.8 Audit privilege use
Chính sách giám sát này sẽ thẩm định sự kiện có liên quan đến việc thực hiện
một nhiệm vụ nào đó được điều khiển bởi một người dùng có thẩm quyền. Mặc định
mức thẩm định này không được cấu hình để kiểm tra các sự kiện cho các hệ điều hành
nào. Danh sách các quyền người dùng khá rộng, gồm có:

Hình 47. Danh sách các quyền áp dụng lên toàn domain
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 57

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

9.4.9 Audit process tracking
Chính sách giám sát này sẽ thẩm định sự kiện có liên quan đến các quá trình
trên máy tính. Xác định để giám sát các thông tin theo dõi chi tiết cho các sự kiện như
kích hoạt chương trình, thoát tiến trình, xử lý sao chép, và truy cập các đối tượng gián
tiếp.
Nếu định nghĩa thiết lập này, ta có thể chỉ định những giám sát thành công và
cả thất bại, hoặc không để giám sát các loại ở tất cả các sự kiện. Những giám sát thành
công sẽ được tạo ra khi quá trình được theo dõi là thành công, và cũng tương tự đối
với những giám sát không thành công.
Một số event ID liên quan:
4689: tiến trình bị thoát, ngừng, hoặc được khởi động lại
4696: Một token đầu tiên được gán cho tiến trình sau khi tạo
4688: tiến trình mới được tạo
Đầu tiên ta bật hộp thoại dịch vụ DNS và khởi động chương trình lên, như
trong hình lab bên dưới ta sẽ thấy filelog 4696 (process creation) ghi nhận chung cho
các tiến trình khởi tạo và cụ thể ở đây là tiến trình của dịch vụ DNS.
Các thông tin được ghi nhận như:
Process Name:

C://Windows\System32\services.exe

Target Process Name:

C://Windows\System32\dns.exe

Thông tin trên được hiểu như services được ghi nhận là một tiến trình đang
được khởi tạo, mà cụ thể hơn trong tiến trình đó, đối tượng thật sự khởi tạo là dịch vụ
dns.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 58

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 48.Khởi tạo tiến trình của dịch vụ DNS.
Khi một tiến trình được khởi tạo, kèm theo đó là một token (mã thông báo)
được tạo và gán cho tiến trình mới này, tùy theo loại tiến trình sẽ được gán một token
khác nhau. Lab mô phỏng dưới đây của tiến trình khởi tạo dns được gán token loại 1.
Token Elevation Type:

TokenElevationTypeDefault(1)

Quá trình gán token cũng được gọi là quá trình khởi tạo (Process Creation)
nhưng có một event ID là 4688 để phân biệt với các quá trình khởi tạo khác

Hình 49.Gán token cho tiến trình vừa khởi tạo
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 59

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Mô hình lab tiếp theo đề cập đến tình huống cho dừng dịch vụ DNS, quá trình
giám sát sẽ xuất hiện ngay một filelog 4689 (Process Termination) với các thông tin:
A process has exited.

//tiến trình đã thoát

Account Name:

DC

//tên máy

Accoun Domain:

TEST //tên domain

Process Name:

C:\\Windows\System32\dns.exe //tên tiến trình

Hình 50.Thoát tiến trình
Các loại mã thông báo (token) cho biết loại mã thông báo đã được gán cho quá
trình mới theo chính sách của kiểm soát tài khoản người dùng.
-

Loại 1 là một mã thông báo đầy đủ không có quyền loại bỏ hoặc tắt. Một mã

thông báo đầy đủ chỉ được sử dụng nếu việc kiểm soát tài khoản người dùng bị vô
hiệu hoá hoặc nếu người dùng là tài khoản admin có sẵn hoặc tài khoản của một
dịch vụ.
-

Loại 2 là một mã thông báo cao hơn không có quyền loại bỏ hoặc vô hiệu hóa.

Một mã thông báo được sử dụng khi việc kiểm soát tài khoản người dùng được
kích hoạt và người sử dụng lựa chọn để bắt đầu chương trình bằng cách sử dụng
Run as administrator. Một mã thông báo cũng được sử dụng khi một ứng dụng
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 60

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

được cấu hình để luôn yêu cầu đặc quyền quản trị và người sử dụng là thành viên
của nhóm quản trị viên.
-

Loại 3 là một mã thông báo hạn chế với quyền quản trị gở bỏ và vô hiệu hóa.

Các mã thông báo giới hạn được sử dụng khi việc kiểm soát tài khoản người dùng
được kích hoạt, các ứng dụng không đòi hỏi đặc quyền hành chính, và người dùng
không chọn để bắt đầu chương trình bằng cách sử dụng Run as administrator.
9.4.10 Audit system events
Chính sách giám sát này sẽ thẩm định sự kiện có liên quan đến việc khởi động
lại hoặc tắt máy tính. Các sự kiện có liên quan với bản ghi bảo mật và bảo mật hệ
thống cũng sẽ được kiểm tra khi cách thức thẩm định này được kích hoạt. Đây là một
cấu hình thẩm định được yêu cầu cho máy tính cần kiểm tra không chỉ khi các sự kiện
xuất hiện mà cả khi bản thân bản ghi được xóa.
Chúng ta sẽ kiểm chứng chính sách giám sát này qua bằng cách bật và tắt
firewall trong hệ thống. Đầu tiên ta sẽ vào services.msc để bật cho firewall khởi động,
ngay lập tức bên hệ thống giám sát sẽ xuất hiện file log 5024 (Other System Events)
có ghi thông tin về trạng thái của firewall hệ thống là:
The Windows Firewall Service has started successfully.

Hình 51.Ghi nhận sự kiện khởi động Firewall

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 61

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Tiếp theo là trường hợp ta cho tắt firewall hệ thống, cũng tương tự sẽ xuất hiện
file log 5025 (Other System Events) với thông tin ghi nhận:
The Windows Firewall Service has been stopped.

Hình 52.Ghi nhận sự kiện tắt Firewall
Như tên gọi của chính sách giám sát này, nó chỉ có thể giám sát những dịch vụ,
thành phần của hệ thống và nhiễm nghiên các thành phần không thuộc sẽ không được
giám sát.

9.5 Giám sát hệ thống bằng command-line
Sử dụng công cụ auditpol.exe để giám sát các chính sách bằng command-line.
Tính năng này chỉ có trên Window Server 2008 để xem xét và thiết lập các chính sách
giám sát danh mục con, công cụ này không nhầm lẫn với Group Policy Object Editor
(gpedit.msc).

Hình 53. Danh sách giám sát trong command-line
Về tính năng thì auditpol vẫn hội tụ đầy đủ các tính năng của Audit Policy
trong Group Policy Editor, nhưng sự khác biệt và hữu ích của auditpol này so với
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 62

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

GPO Editor ở chỗ nó hiển thị đầy đủ các danh mục con trong từng chính sách giám
sát, để ta có một cái nhìn cụ thể hơn về những chính sách cần thiết lập.
Như các bài lab mô phỏng ở trên ta đã thấy giao diện của Audit Policy gồm 9
chính sách giám sát nhưng ta không thể hiểu trong những chính sách ấy có những
thành phần gì, thì hình minh họa bên dưới đây sẽ hiển thị cho ta xem các thành phần
con có trong từng chính sách tương ứng.

Hình 54. Liệt kê chi tiết giám sát command-line
Ta sẽ thiết lập chính sách giám sát “Account Logon”bằng một số lệnh như sau:
Auditpol /set /category:”Account Logon” /success:enable
Để biết thông tin sau khi cấu hình ta sẽ dùng lệnh cấu hình như sau:
Auditpol /get /category:*

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 63

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Đồng thời để kiểm tra, ta sẽ cho user đăng nhập vào domain, trong event viewer sẽ ghi
nhận lại sự kiện chứng thực Keberos, vì khi ta thiết lập khởi động cho chính sách
Account Logon trong đó có danh mục con chứng thực Keberos.

Hình 55. Thông tin giám sát của account logon trong command-line
Giữa 2 công cụ này thì chúng ta nên sử dụng một trong 2 để tránh những sự
nhầm lẫn qua lại không đáng có. Tuy những thông tin thiết lập chính sách giám sát
trên GPO sẽ hiển thị và replicate qua auditpol nhưng ngược lại thì thiết lập trên
auditpol sẽ không được hiển thị trên GPO mặc dù là những thiết lập đó đều được áp
đặt lên hệ thống.

9.6 Nhận xét
Công việc giám sát sự kiện của hệ thống luôn là khâu quan trọng trong quá
trình làm việc của quản trị viên. Chỉ với một số chính sách giám sát tuy đơn giản
nhưng biết cách thiết lập kết hợp từng loại chính sách với nhau sao cho hợp lý và hiệu
quả nhất với từng hệ thống khác nhau. Bên cạnh đó ta cần phải thường xuyên theo dõi,
phân loại và lọc các thông báo sự kiện để kiểm soát được tình trạng của hệ thống,
nhằm bảo đảm hệ thống luôn trong trạng thái an toàn. Đồng thời có thể nhanh chóng
phát hiện những đăng nhập trái phép, các rủi ro nguy hiểm hoặc báo lỗi từ hệ thống để
kịp thời khắc phục chúng.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 64

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

10. Xây dựng hệ thống giám sát với SNORT
10.1 Giới thiệu Snort
Snort là công cụ phát hiện xâm nhập khá phổ biến và hổ trợ cho nhiều hệ điều
hành như: CentOS, Fedora, Linux, Window, OpenBSD, Solaris…Snort là một dạng
NIDS (Network Instruction Detection System) sẽ đóng vai trò là một hệ thống được
cài đặt trong mạng làm nhiệm vụ giám sát những packet vào ra hệ thống mạng. Khi
Snort phát hiện ra một cuộc tấn công hay thăm dò thì nó có thể phản ứng bằng nhiều
cách khác nhau tùy thuộc vào cấu hình mà người quản trị mạng thiết lập.
Snort bao gồm một hoặc nhiều sensor và một server cơ sở dữ liệu chính. Các
sensor có thể được đặt trước hoặc sau firewall nhằm :
-

Giám sát các cuộc tấn công nhằm vào firewall và hệ thống mạng.

-

Có khẳ năng ghi nhớ các cuộc vượt firewall thành công.

10.2 Cấu trúc của Snort
Cấu trúc của Snort được chia thành nhiều phần. Những phần này làm việc cùng
nhau nhằm một mục đích là phát hiện các loại tấn công và tạo ra các đáp trả theo một
định dạng đã được cấu hình. Một Snort IDS cơ bản gồm các thành phần chính sau:
Packet Decoder : Bộ giải mã gói
Preprocessors : Bộ tiền xử lý
Detection Engine : Bộ máy phát hiện
Logging and Alerting System : Hệ thống ghi và cảnh báo
Output Modules : Các module xuất
Mô hình của các thành phần Snort

Hình 56. Mô hình của các thành phần Snort
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 65

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Packet Decoder (Bộ giải mã gói)
Bộ phận này thu nhập các gói tin từ các giao diện mạng khác nhau và
chuẩn bị cho gói tin được xử lý hoặc được gửi cho bộ phận phát hiện. Giao diện
mạng gồm: PPP, L2TP, Ethernet,v.v…

-

Preprocessor (Bộ tiền xử lý)
Là những thành phần hay những plug-in được sử dụng cùng với Snort để
sắp xếp và thay đổi những gói dữ liệu trước khi detection engine thực hiện
công việc tìm kiếm nếu gói dữ liệu đó là nguy hiểm. Một vài preprocessor có
thể thực hiện tìm ra những dấu hiệu bất thường trong tiêu đề gói và tạo ra các
cảnh báo. Preprocessor rất là quan trọng đối với IDS có chức năng chuẩn bị
những gói dữ liệu để phân tích cho việc thiết lập rule trong detection engine.
Hacker sử dụng nhiều kỹ thuật khác nhau nhằm đánh lừa IDS bằng
nhiều cách. Hacker cũng sử dụng sự phân mảnh để đánh bại IDS. Preprocessor
thường được dùng để bảo vệ những loại tấn công này. Preprocessor trong Snort
có thể tái hợp các gói, giải mã HTTP URI, tái hợp luồng TCP,v.v... Những chức
năng này rất là quan trọng trong thành phần IDS.

-

Detection Engine (Bộ máy phát hiện)
Đây chính là thành phần quan trọng nhất của Snort. Detection Engine chịu
trách nhiệm phát hiện nếu có hành vi xâm nhập trong một gói. Detection engine
sử dụng những rule Snort để làm việc này. Nếu một gói nào đó khớp với rule,
hành động thích hợp sẽ được tạo ra. Những hành động đó có thể là ghi gói hay
cảnh báo. Đây là bộ phận đóng vai trò quyết định về thời gian thực thi của Snort.
Phụ thuộc vào hệ năng của hệ thống và có bao nhiêu rule được định nghĩa mà nó
có thể tốn những khoảng thời gian cho công việc đáp ứng các gói. Nếu lưu lượng
trên mạng là quá lớn khi Snort đang hoạt động trong chế độ NIDS, có thể mất
một vài gói tin và có thể thời gian đáp ứng sẽ không chính xác. Lưu lượng của
detection engine phụ thuộc vào các yếu tố:
o Số lượng các luật.
o Sức khỏe của hệ thống có Snort đang chạy.
o Tốc độ bus được sử dụng.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 66

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

o Lưu lượng trên mạng.
Detection engine làm việc khác nhau trong mỗi phiên bản Snort. Trong
tất cả phiên bản Snort 1.x, detection engine ngừng xử lý trên gói đó khi phù
hợp với một rule. Phụ thuộc vào rule, detection engine có những hành động
tương ứng. Điều này có nghĩa là nếu một gói tin phù hợp với nhiều rule, chỉ có
một rule đầu tiên được áp dụng mà không xem xét tới các rule còn lại. Đây là
một vấn đề. Một rule có độ ưu tiên thấp sẽ tạo ra một cảnh báo có độ ưu tiên
thấp, nếu một rule có độ ưu tiên cao bị xếp sau trong chuỗi rule. Vấn đề này đã
được sửa trong Snort phiên bản 2, tất cả các rule đều được so khớp vào một gói
trước khi tạo một cảnh báo. Sau khi so khớp tất cả các rule, rule nào trọn vẹn
nhất sẽ được chọn để tạo cảnh báo.
Detection engine trong Snort 2.x đã được làm lại một cách hoàn chỉnh để
nó so sánh tốt hơn, phát hiện sớm hơn so với các phiên bản trước.
-

Logging and Alerting System (Hệ thống ghi và cảnh báo)
Phụ thuộc vào detection engine tìm trong gói, gói có thể được dùng để
ghi hành động hay tạo ra cảnh báo. Các thông tin ghi lại được giữ trong các file
text đơn giản hoặc các dạng khác.

-

Output Modules (Các module xuất)
Output modules hay plug-in thực hiện những hoạt động khác nhau phụ
thuộc vào việc muốn lưu kết quả tạo ra bởi logging và cảnh báo thế nào.

10.3 Các chế độ hoạt động của Snort
Snort có 3 cơ chế hoạt động: Hoạt động như một Sniffer, Packet Logger hay
là một NIDS.
10.3.1 Snort hoạt động như một Sniffer
Sử dụng Snort như một Sniffer là một cách giúp snort bắt được các gói tin
thông qua bộ cảm biến của mình. Kết quả của chế độ Snort sniffer hơi khác so

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 67

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

với các phần mềm sniffer khác. Một đặc tính hay của chế độ này là việc tóm tắt
lưu lượng mạng khi kết thúc việc bắt giữ gói tin.
Ví dụ về snort trên Win:
Liệt kê các card mạng hiện có:
snort -W

Hình 57. Lệnh snort -W
Để sử dụng Snort như là một sniffer, ta dùng câu lệnh:
snort -v –ix
với x là số hiệu card mạng mà Snort sẽ sử dụng để sniffer

Hình 58. Lệnh snort –v -ix
Ví dụ: lấy máy client ping thử một máy trong mạng

Hình 59. Ví dụ client ping

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 68

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Khi dừng chế độ sniffer, Snort sẽ tạo ra một bản tóm tắt các gói tin được bắt
giữ, bao gồm các giao thức.

Hình 60. Bảng tóm tắt các gói tin được bắt giữ trên Win
Để xem dữ liệu gói tin bắt được một cách chi tiết hơn, ta sử dụng cờ -d
snort -vd -ix

Hình 61. Lệnh snort –vd -ix
Với tùy chọn cờ -e, ta được cung cấp nhiều thông tin nhất ,bao gồm địa chỉ
MAC và địa chỉ IP
snort –vde –ix

Hình 62. Lệnh snort –vde –ix
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 69

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Để lưu lại trong file log thay vì xuất ra console, ta sử dụng
snort -vde -i1 > C:/log1/temp.log
10.3.2 Snort là một Packet Logger
Sau khi Sniffer các gói tin, nhiệm vụ tiếp theo là ghi log. Việc ghi log
chỉ đơn giản bằng cách thêm tùy chọn –l, theo sau đó là thư mục muốn lưu trữ
file log. Thư mục mặc định trong Snort là C:\snort\log. Ta có thể thiết lập thư
mục log ở nơi khác. Ví dụ: snort –l C:\log1.
Khi chạy chế độ này, Snort thu thập mỗi gói tin nó thấy và lưu chúng
vào thư mục log theo kiểu phân cấp. Snort lưu các gói tin thành các file ASCII,
với tên file được tạo ra từ giao thức và số cổng.
10.3.3 Snort là một NIDS
Khi cài đặt ở chế độ Snort mặc định trên Win, vị trí file này là
C:\snort\etc\snort.conf. Các cảnh báo được đặt trong file alert trong thư mục log
C:\snort\log. Snort sẽ thoát ra với một lỗi nếu file cấu hình hoặc thư mục log không
tồn tại. Khi sử dụng chế độ này cần chỉ rõ file cấu hình với cờ –c .
“snort -c c:\snort\etc\snort.conf -l c:\snort\log”
Dòng lệnh trên mặc định các thông tin sniffer sẽ được ghi vào file alerts và sẽ
tạo ra một file snort.log theo kiểu phân cấp. Nếu gói tin so trùng với một rule thì sự
ghị nhận hoặc cảnh báo được tạo ra. Ngược lại, nếu gói tin không trùng với một rule
thì không cảnh bảo nào tạo ra.
“snort -c c:\snort\etc\snort.conf -l c:\snort\log -A console”
Dùng lệnh này không ghi vào file alerts, nhưng sẽ tạo ra một file snort.log theo
kiểu phân cáp. Với cờ -A là thiết lập chế độ cảnh báo, “console” là ở giao diện điều
khiển. Bình thường trên giao diện ở cmd sẽ không hiện các sniffer, nhưng khi dùng
lệnh trên đồng thời ta xem được sniffer.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 70

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

10.4 Khái quát về Rules
Snort là một hệ thống NIDS hoạt động dựa trên các tập luật (rules). Trong
Snort rules có chứa những dấu hiệu thông thường để nhận biết các hoạt động bên
trong và ngoài mạng.
Khi Snort hoạt động, nó sẽ đọc các tập luật được xây dựng sẵn và phải được
cập nhật thường xuyên. Mỗi luật đại diện cho một cuộc tấn công.
Ví dụ: tập luật có thể được tạo ra để giám sát các nỗ lực quyét cổng, tìm dấu vết
(các dấu hiệu còn gọi là signature-base). Khi có một packet đến hệ thống nó sẽ
được áp vào tập luật, nếu có sự so trùng Snort sẽ phản ứng.
10.4.1 Cấu trúc của một rule
Tất cả các rule đều có 2 phần: header và options

Hình 63. Cấu trúc của một rule
Ví dụ rule mẫu:

Hình 64. Ví dụ cấu trúc rule

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 71

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Phần header chứa thông tin hoạt động mà rule sẽ làm. Đồng thời header cũng
chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói tin. Phần options chứa thông
điệp cảnh báo và thông tin về thông điệp sẽ được sử dụng để tạo ra cảnh báo. Phần
option cũng chứa tiêu chuẩn cho việc so sánh một luật dựa vào gói tin. Một rule có thể
phát hiện một kiểu hay nhiều kiểu xâm nhập.
10.4.2 Cấu trúc của phần Header

Hình 65. Cấu trúc phần Header
-

Action: là loại hành động của Snort khi tiêu chuẩn phát hiện và có sự so sánh
chính xác của một rule so với một gói tin. Những hoạt động điển hình là tạo
một cảnh báo hoặc ghi thông điệp. Có 5 loại action:
Action

-

Mô tả

Alert

Tạo cảnh báo và ghi file log

Log

Ghi log các gói tin

Pass

Bỏ qua các gói tin

Activate

Tạo cảnh báo và tự bật chức năng dynamic rule

Dynamic

Hoạt động như một log rule khi được kích hoạt bởi active rule

Protocol: là giao thức được dùng để áp dụng vào rule. Các giao thức có thể là
tcp, udp, icmp và IP.

-

Address: trong phần header có hai trường địa chỉ, gồm địa chỉ nguồn và địa
chỉ đích được xác định dựa trên trường Direction.

-

Direction: giúp phân biệt địa chỉ nguồn và địa chỉ đích. Ví dụ với trường
Direction là “” thì địa chỉ phía bên trái là nguồn, địa chỉ phía bên phải là
đích. Trường hợp muốn áp dụng snort theo cả 2 chiều thì sử dụng cú pháp “
<>” thay cho “”.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 72

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Ví dụ ghi log 2 chiều:
Log tcp 192.168.1.0/24 any <> 172.16.0.0/24
-

Port: Trong giao thức TCP hay UDP, Port xác định cổng nguồn và cổng đích
của gói tin khi rule áp dụng lên đó. Trong trường hợp giao thức lớp mạng như
IP hay ICMP, thì giá trị port numbers không có ý nghĩa.
Ví dụ: Phân tích phần header của một rule
alert tcp any any -> any 80 (content: "yahoo"; msg: "Yahoo Site Access";)
Hành động ở đây là “alert”, khi các TCP trafic từ bất kỳ địa chỉ IP và port được
gởi đến một địa chỉ IP bất kỳ trên Port 80 mà phần nội dung có chứa từ khóa
yahoo. Nếu tình huống này xảy ra, nghĩa là có một user nào đó trên LAN truy
cập vào 1 site có chứa từ yahoo thì một record Yahoo Site Access sẽ được ghi
vào log file.
10.4.3 Cấu trúc của phần Options
Một Snort rule có thể có nhiều option khác nhau phân cách bởi giấu “;” .Thông

thường phần Options có chứa từ khóa và một đối số. Một đối số truyền vào từ khóa
bằng một dấu “:”. Ví dụ:
msg : “Phat hien xam nhap”
Ở đây, msg là từ khóa và “Phat hien xam nhap” là đối số cho từ khóa. Do có rất
nhiều từ khóa nên ta sẽ đi một vài từ khóa tiêu biểu. Phần Option có các từ khóa sẽ
được đề cập trong phần phụ lục.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 73

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

10.5 Hiện thị cảnh báo
Dùng máy client truy cập web, ping hay scan port máy Snort server, thì trên
BASE ghi nhận lại mọi hoạt động.

Hình 66. Base đang hoạt động

Hình 67. Thống kế dưới dạng đồ họa
Chọn Most frequent 5 Unique Alerts: xem thông tin về 5 cảnh báo xảy
ra nhiều nhất. Source addres: Số lượng host tham gia

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 74

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 68. Thông tin 5 cảnh báo xảy ra nhiều nhất
Thông tin máy ping

Hình 69. Thông tin máy ping
Hoặc ta có thể biết thông tin các IP ở ngoài mạng, vào địa chỉ source
address

Hình 70. Thông tin IP

10.6 Hiệu năng của Snort
Snort có giám sát tình trạng hiện tại của hệ điều hành. Các thông số thể hiện
nhiều ý nghĩa và dựa vào đó ta có thể đoán được nhiều điều và đưa ra nhiều biện pháp
điều chỉ theo ý muốn.
Để có thể giám sát, vào file snort.conf cấu hình bật chức năng preprocessor
perfmonitor. Bộ tiền xử lý hiệu năng giám sát chỉ lấy ra một số các chọn lựa, các chọn
lựa này bao gồm:
Time: 300 seconds
Flow Stats: INACTIVE
Event Stats: INACTIVE
Max Perf Stats: INACTIVE
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 75

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Console Mode: ACTIVE
File Mode: /var/log/ snort.stats
SnortFile Mode: INACTIVE
Packet Count: 500
Ta có thể cấu hình để các dòng xuất hiện khi chạy Snort:
preprocessor perfmonitor: time 300 console file

var/log/snort/snort.stats

pktcnt 500
preprocessor perfmonitor : time 300 events flow file var/log/snort/snort.stats
max console pktcnt 500
Hay để chế độ chạy ẩn, vào file log messages để đọc
preprocessor perfmonitor: time 300 file /var/log/snort/snort.stats pktcnt 500
Các tham số có ý nghĩa:
 Time: khoảng thời gian tính bằng giây (s) giữa các lần lấy mẫu. Nếu đặt giá
trị thời gian quá thấp có thể gia tăng giả tạo giá trị. Giá trị mặc định là 300s.
 Console: Giao diện xuất ra màn hình console. Mặc định là được bật hay có
thể xuất ra bằng cách kèm theo tham số file.
 File <filename>: Kết quả xuất ra file theo đường dẫn đã định. Các thống kê
ghi lên file theo từng giá trị đơn lẻ, cách nhau bằng dấu phẩy “,” cho mỗi
lần chạy lấy mẫu.
 Pktcnt: Số lượng packets sẽ được xử lý trong thời gian đã định. Lưu ý nếu
số lượng packet bắt được ít hơn packet đã chỉ định thì sẽ không nhận được
số liệu thống kê.
 Flow: Phát sinh một số lượng lớn các thông tin chi tiết trên các dòng lưu
thông mạng network traffic flows (hoàn thành với các thông tin như chiều
dài gói tin cho đến số lượng gói tin mỗi dòng, dung lượng dòng mỗi port và
kiểu giao thức, các con số phân đoạn và vài thông tin khác).
 Events: Snort sẽ mở chức năng reporting và hiển thị trạng thái số lượng
signatures match. Phát sinh nhiều bộ dữ liệu đóng gói lại phản ánh số lượng
các dấu hiệu đã qua, đã khớp, hay đã được chứng thực. Có 2 loại là Nonqualified events và Qualified events được xác nhận dựa trên các cờ nhận
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 76

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

biết. Option này đặc biệt chú trọng bất kỳ sự bất cân xứng nào giữa cái
được mong đợi và cái đang thực sự được dùng để dò tìm bởi tập rule cho
trước.
 Max: Sẽ kích hoạt Snort hoạt động hết sức để nâng cao hiệu quả.
Với máy ảo có ổ cứng 8G, ram 512 MB, khi Snort hoạt động, thông số của CPU

Hình 71 Các thông số
CPU Usage: 0.075% (user) 0.337% (sys) 99.588% (idle)
Snort:

VIRT- Virtual Image (kb): 38412 - Tổng số lượng bộ nhớ ảo được sử

dụng.
RES - Resident size (kb): 18M - Bộ nhớ vật lý được sử dụng.
SHR - Shared Mem size (kb): 2264 - Số lượng bộ nhớ chia sẻ được sử
dụng bởi một nhiệm vụ.
Mỗi process trên CentOS có số lượng memory được sử dụng và biến thiên tuỳ
hoàn cảnh. Hơn nữa, memory được một process sử dụng có thể là tổng hợp của shared
memory, physical memory, virtual memory. Khi Snort làm việc, cần chú ý những
dòng luật, luật càng nhiều thì đương nhiên chiếm ram khá nhiều và những luật mặc
định không cần thiết thì nên tắt để giảm tải cho hệ thống .
Biểu đồ hiệu suất làm việc CPU trong vòng hơn 8 phút

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 77

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 72. Hiệu suất CPU khi Snort hoạt động

10.7 Mô hình triển khai Snort

Hình 73. Triển khai IDS
Mô hình có switch hỗ trợ port "giám sát" ("Span Port", "Port Monitoring",
"Management Port"). Với tính năng này, toàn bộ traffic của các máy tính nối vào
switch đều được giám sát. Các IDS cần 1 card mạng nối vào Port Monitor của switch.
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 78

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Khi dữ liệu được truyền qua switch, đồng thời switch sẽ gửi 1 bản sảo đến Port
Monitor .

Hình 74. Port Monitor

10.8 Tấn công trong mạng nội bộ

Hình 75. Tấn công nội bộ.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 79

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

10.8.1 Tấn công ARP Cache
Máy Hacker sẽ giả MAC địa chỉ của Victim 1, khi Victim 2 truy cập remote
desktop vào Victim 1, Hacker sẽ thu được những gói tin từ Victim 2 gửi cho Victim 1.
Khi đó IDS sẽ báo hiệu và người quản trị có nhiệm vụ đi tìm máy Hacker.
ARP spoof preprocessor giải mã những gói tin và phát hiện những cuộc tấn
công ARP. Khi được cấu hình thông số, preprocessor sẽ kiểm tra địa chỉ Ethernet và
các địa chỉ trong gói tin ARP. Khi xảy ra hiện tượng, một cảnh báo GID 112 và SID 4
được tạo ra.
Khi “unicast” được chỉ định, preprocessor sẽ kiểm tra những yêu cầu Unicast
ARP. Một cảnh báo GID 112 và SID 1 sẽ sinh ra nếu một Unicast ARP bị phát hiện.
preprocessor arpspoof[: -unicast]
preprocessor arpspoof_detect_host: ip mac
Cấu hình trong file snort.conf
preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.100.2 00:0C:29:2E:2A:47
preprocessor arpspoof_detect_host: 192.168.100.3 00:0C:29:14:7B:2F
preprocessor arpspoof_detect_host: 192.168.100.21 00:0C:29:D1:BE:1E
preprocessor arpspoof_detect_host: 192.168.100.66 00:0C:29:48:20:C9
Cấu hình file log
output alert_csv: /var/log/snort/alert.csv
Chú ý: Dấu hiện nhận biết cuộc tấn công này là 1 IP phải khớp với 1 MAC,
nhiệm vụ của người quản trị là phải thu nhập IP và MAC trong hệ thống.
Máy Hacker dùng chương Cain & Abel để giả MAC của 2 máy Victim để
sniffer các thông tin từ 2 máy

Hình 76. Máy Victim 1

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 80

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 77. Máy Victim 2
Đồng thời lúc đó IDS sẽ cánh báo có tấn công ARP

Hình 78. Cảnh báo
Để thấy được địa chỉ MAC của Hacker ta vào file alert.csv

10.8.2 Tấn công SMB
-

Dấu hiệu
Đây là dạng tấn công qua port 445 và đặt giá tri Process ID High là
"\x00\x26" , giá trị bình thường là "\x00\x00".

-

Luật
alert tcp $EXTERNAL_NET any -> $HOME_NET 445 (msg : "Tan cong
SMB"; content: "|00 26|"; flow:to_server,established; content:"|53 4d 42
20 32 2e 30 30 32 00|" ; sid: 1000003;)

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 81

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

10.8.3 Tấn công Smurf attack
-

Dấu hiệu
Đây là dạng tấn công làm ngập gói tin ICMP ECHO REPLY. Sự khác biệt lớn

giữa nó với gói tin ICMP ping “thật” là ở 2 trường: icmp_id = 0x00 và sequence
number = 0x00 (gói ping thật có id và sequence number khác 0). Ngoài ra Hacker
thường tăng kích thước payload mặc định của gói tin ping (32 byte) để nhanh
chóng làm ngập mạng victim.
-

Luật
alert icmp $EXTERNAL_NET any -> $HOME_NET any ( msg: “Tan cong
Smurf Attack”; dsize: >32; icmp_seq:0; icmp_id:0 ; sid: 1000004; )
10.8.4 Tấn công Land attack

-

Dấu hiệu
Land attack tấn công bằng cách gửi các gói tin có địa chỉ nguồn và đích giống

nhau.Bằng cách dùng từ khóa sameip trong Rule option là có thể phát hiện ra.
-

Luật
alert udp any any <> $HOME_NET any (msg : “Land Attack”; sameip;)
10.8.5 Tấn công Dos với HTTP Post

-

Dấu hiệu
Dạng tấn công này sẽ gứi hàng loạt dữ các liệu hợp lệ đến Server sẽ xử lý làm

tràn database và nghẽn hệ thống. Dùng wireshark bắt gói tin để tìm ra dầu hiệu nhận
biết cuộc tấn công này, trong đó có đoạn “48 54 54 50 2f 31 2e 31” là thường xuyên
xuất hiện.
- Luật
alert tcp $EXTERNAL_NET any -> $HOME_NET 80 (msg:"Tan cong DOS";
content:"|48 54 54 50 2f 31 2e 31 |"; flow:to_server; sid: 1000005;)
10.8.6 Một số rule cảnh báo
alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “Ping
cao hon 100”; dsize : > 100; sid: 1000006;)
 Phát hiện gói tin ping lớn hơn 100 byte
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 82

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

alert icmp $EXTERNAL_NET any -> $HOME_NET any (msg : “Tan
cong ping”; content: "|40 00|" ; sid: 1000009;)
 Phát hiện tấn công ping –f

10.9 Nhận xét
Snort là một IDS dùng để theo dõi những biến cố xảy ra trên tcp/ip stack do
mình định ra. Với Snort hoặc bất cứ ứng dụng IDS nào cũng cần phải có một bộ luật,
còn gọi là các "signature". Snort có thể áp dụng ở các mô hình mạng, với chi phí thấp
Snort là lựa chọn cho nhiều công ty có quy mô vừa và nhỏ cũng như những công ty có
quy mô lớn.
Ưu Điểm
-

Snort ghi nhận các luồng dữ liệu từ
trong ra ngoài hay ngược lại vào file
log do mình định ra giúp người quản
trị dễ giám sát dữ liệu.

-

Do phát triển dựa vào mã nguồn mở
nên Snort hoàn toàn miễn phí.

-

Người quản trị có thể tự viết luật và
kết hợp với các phần mềm và phần
cứng khác như: Cisco, Snortsam,
Swatch,.v.v..

-

Tối ưu hóa tập luật, phát triển luật
tương tác với tường lửa, nâng cao
Snort hoạt động như một hê thống
phát hiện ngăn chặn IPS.

Nhược Điểm
-

Snort không có khả năng chống lại
các cuộc tấn công.

-

Do tập luật của snort được công khai
trên mạng nên các hacker có thể tập
hợp các luật để thay đổi dấu hiệu tấn
công, từ đó có thể vượt qua giám sát
của Snort.

-

Tập luật còn có nhiều khuyết điểm
nên không thể sử dụng ngay mà còn
phải chỉnh sửa.

-

Không thể cập nhập tập luật theo thời
gian thực.

-

IDS thường xuyên đưa ra báo động
giả ( False Positives) là gánh nặng
cho quản trị hệ thống bởi nó cần được
theo dõi liên tục.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 83

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

11. Xây dựng hệ thống giám sát với Forefront TMG
11.1 Tìm hiểu tổng quan Forefront TMG
Forefront TMG được ra đời dựa trên nền tảng của các tính năng nổi bật về
tường lửa của ISA 2006 và bổ sung thêm vào đó các cơ chế bảo vệ an toàn tối ưu làm
tăng thêm tính mạnh mẽ trong việc bảo đảm an ninh cho một hệ thống mạng.
11.1.1 Một số tính năng mới trong Forefront TMG:
-

Web anti-malware: là một phần của dịch vụ bảo vệ Web cho Forefront TMG,
có thể quét virus, phần mềm độc hại và các mối đe dọa khác trên các trang
web.

-

URL filtering: Cho phép hoặc từ chối truy cập đến các trang web dựa trên
danh mục URL chẳng hạn như những trang web đen, những trang có nội dung
không lành mạnh, đồng thời cũng bảo vệ năng suất kinh doanh bằng cách hạn
chế hoặc chặn truy cập vào các trang web được coi là phiền nhiễu năng suất.

-

E-mail protection: dựa trên công nghệ tích hợp từ Forefront Bảo vệ cho
Exchange Server 2010. Forefront TMG phục vụ như là tiếp sức cho SMTP giao
thông, và quét virus, malware, spam cho e-mail .

-

HTTPS: cho phép kiểm tra phiên mã hoá HTTPS để kiểm tra các phần mềm
độc hại. Nhóm cụ thể các trang web như các trang web ngân hàng, có thể được
loại trừ khỏi kiểm tra vì lý do riêng tư.

-

Network Inspection System (NIS): Kiểm tra hệ thống mạng (NIS) cho phép
giao thông cần kiểm tra để khai thác lỗ hổng Microsoft. Dựa trên giao thức
phân tích, NIS có thể chặn các lớp học của các cuộc tấn công trong khi giảm
thiểu sai tích cực. Bảo vệ có thể được cập nhật khi cần thiết.

-

Network Address Translation: cho phép bạn xác định cá nhân máy chủ email có thể được công bố trên cơ sở NAT “1-tới-1”.

-

Voice over IP: Tăng cường hỗ trợ Voice IP trên bao gồm SIP traversal, cho
phép triển khai đơn giản của Voice over IP trong hệ thống.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 84

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

11.1.2 Đặc điểm của Forefront TMG:
-

Bảo vệ hệ thống toàn diện

-

Quản lý dễ dàng

-

Giám sát hệ thống hiệu quả
Chúng ta sẽ tìm hiểu các tính năng này để chứng minh xem rằng các đặc điểm

của Forefront TMG có thật sự đúng hay không. Để thuận tiện việc phân tích chúng ta
sẽ nhóm các tính năng này thành 3 nhóm chính đại điện cho 3 đặc điểm của Forefront:
-

Bảo vệ hệ thống toàn diện
o Anti-virus, anti-malware
Loại bỏ các trang web một linh hoạt dựa trên địa chỉ IP, tê n Domain, các URL.

TMG sẽ kiểm soát nội dung trong khi quét nhằm giúp phát hiện các phần mềm độc
hại, vì những sự lây nhiễm malware, virus đều có thể là nguyên nhân gây ra sự chậm
trễ trong việc truyền tải nội dung từ server đến client.
o Firewall & Web Access Policy
Cho phép kết nối từ mạng nguồn tới mạng đích trong khi đó vẫn bảo vệ khỏi
những truy cập độc hại bằng cách thiết lập những chính sách cụ thể cho phép hoặc
cấm truy cập tới mạng đích áp dụng lên từng user, từng group hoặc user.
o Server publishing
Bảo mật truy cập đến các server trong hệ thống nội bộ, tăng cường an ninh cho
việc truy cập từ xa vào Outlook Web Access bằng cách ngăn ngừa nhưng user không
được phép chứng thực liên lac đến máy chủ Outlook Web Access.
Truy cập từ xa thông qua các hình thức kết nối SSL của SSL VPNs. Tạo một
bức tường lửa và tạo ra các quy định của Outlook Web Access SSL kết nối để
Exchange Server.
o Virtual Private Networking
Tự động cấu hình kết nối VPN Site to site giữa 2 văn phòng. Mở rộng hỗ trợ
VPN Client bằng cách cho phép Secure NAT truy cập Internet mà không yêu cầu
Firewall Client cài đặt trên máy Client. Tăng cường an ninh mạng cho công ty, buộc
người sử dụng dựa trên hoặc nhóm dựa trên firewall policy trên VPN SecureNAT
client.
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 85

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Quản lý dễ dàng
Bao gồm các tính năng quản lý nhằm nâng cao mức độ an ninh mạng. Export

và import dữ liệu đã được cấu hình, lưu dữ liệu đã được cấu hình thành file .xml và
sau đó bạn có thể import file này vào 1 server khác. Cung cấp các sản phẩm, chẳng
hạn như quét virus, công cụ quản lý, và lọc các nội dung và báo cáo, trên đó xây dựng
và hội nhập với TMG.
-

Giám sát hệ thống hiệu quả
Giám sát việc đăng nhập xem firewall, Web Proxy, và SMTP Message

Screener logs. Giám sát và lọc session dựa trên firewall sessions, xác minh kết nối
bằng cách thường xuyên theo dõi cụ thể kết nối tới một máy tính hoặc URL. Cấu hình
TMG báo cáo một cách tự động, có thể lưu file báo cáo này vào folder được chỉ định,
hoặc xuất báo cáo dưới dạng html xem bằng trình duyệt web.

11.2 Mô hình triển khai

Hình 79. Mô hình triển khai Forefront TMG Server
Mô hình xây dựng hệ thống tường lửa gồm 2 lớp:
-

Lớp thứ nhất ngoài cùng sử dụng một tường lửa cứng là router Cisco được cấu
hình để tính tuyến vừa có tính năng ACL để lọc gói tin, thiết lập các luật hạn
chế việc truy xuất ra vào cơ bản, đồng thời cho phép mở port telnet cho người
quản trị truy xuất cũng như kết nối remote desktop từ ngoài vào trong, để tiện
cho việc quản trị hệ thống.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 86

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Lớp thứ hai sử dụng Forefront TMG làm tường lửa mềm, thiết lập các chính
sách lọc, giám sát luồng giao thông và xuất các báo cáo thường nhật để luôn có
những thông tin mới nhất về hệ thống.
Với đề tài “Tìm hiểu và xây dựng phương thức giám sát, ghi nhận sự kiện”

chúng ta sẽ nghiên cứu tập trung vào các phần sau đây của trong hệ thống Forefront
TMG:
11.2.1 Thiết lập chính sách tường lửa
Cơ chế hoạt động của các bộ luật truy cập (access rule) trong chính sách tường
lửa (firewall policy) dựa trên nền tảng tương tự với Access control list trong router.
Chúng ta cần lập kế hoạch thiết lập các chính sách cấm/cho phép phù hợp với từng đối
tượng. Để xây dựng một hệ thống phòng vệ hữu hiệu nhất chúng cần phải có sự phân
tích và chiến lược cho từng bộ luật, xác định các vấn đề sau đây trước khi tạo một bộ
luật:
Who?

Xác định đối tượng là ai (là gì) để áp đặt luật

Action?

Với hành động thực thi là cấm hay cho phép

What?

From-To

Cấm/Cho phép sử dụng ứng dụng hay giao thức
nào?
Xác định hướng truy cập của đối tượng từ đâu đến
đâu (vd: internal  external, hay ngược lai)

Mặc định sau khi cài đặt xong forefront sẽ có 1 luật mặc định (default rule) sẽ
cấm tất cả các truy xuất ra vào, đồng trình tạo chính sách truy xuất web (Web
Access Policy) sẽ tạo cho chúng ta thêm 2 luật nữa để truy xuất ra internet và chặn các
ứng dụng độc hại. chúng ta có thể bổ sung thêm các luật như cho phép phân giải giao
thứ DNS, cho phép gửi mail bằng POP3, SMTP, hoặc chỉ định cấm một trang web nào
đó.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 87

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Ví dụ về một tình huống tạo một luật cho phép máy client chỉ được truy xuất
trang facebook.com vào giờ nghỉ trưa (11h – 13h), ngoài giờ này sẽ bị cấm.

Hình 80. Thiết lập các luật cơ bản cho hệ thống.
Dựa vào các câu hỏi, ta triển khai như sau:
-

Xác định đối tượng (who): group KeToan

-

Xác định hành động (Action): Cho phép (Allow)

-

Xác định giao thức (What): HTTP, HTTPS

-

Xác định hướng truy cập (From –To): từ trong ra facebook

Ngoài ra chúng ta lập thời gian biểu là “giai lao” từ 11h – 13h cho phép truy xuất
facebook.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 88

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 81. Máy client bị cấm truy cập facebook.
Máy client truy cập vào Facebook nhưng bị cấm đó là do thời gian truy cập đã
quá 13h (1:20 PM), hiển thị tên máy Forefront TMG (fw.test.local).
Bằng việc đặt ra những câu hỏi để xác định rõ vấn đề cho từng tình huống khác
nhau, chúng ta đã có thể thiết lập một bộ luật hoàn chỉnh cho hệ thống.
11.2.2 Phát hiện và ngăn chặn tấn công
-

Hệ thống thanh tra mạng (Network Inspection System)
NIS kiểm tra lưu lượng truy cập web người dùng nội bộ và phát hiện và khoá

giao thông độc hại. NIS có thể được cập nhật các signature với MMPC (Microsoft
Malware Protection Center) ngay khi chúng được tạo ra, để bảo vệ chống lại các cuộc
tấn công và rủi ro.
NIS bảo vệ chống lại các lỗ hổng mạng, nó không bảo vệ chống lại các lỗ hổng
bảo mật tập tin, chẳng hạn như virus, phần mềm độc hại. NIS có thể cập nhật và cài
đặt tự động của tập chữ ký mới nhất được kích hoạt.
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 89

Trường Đại Học Hoa Sen
-

Khóa Luận Tốt Nghiệp

Hệ thống phát hiện xâm nhập
Trong TMG ,hệ thống phát hiện xâm nhập (Behavioral Instruction Detection)

vẫn hoạt động dựa trên ba cơ chế:
o Những tấn công thường gặp
Những tấn công thường gặp là Ping of Death, bomb UDP hay quét IP một nửa.
Những cơ cấu bảo vệ này không mới, nhưng đây là những cài đặt nên có cơ bản cho
phần lớn các server TMG.

Hình 82. Các chức năng bảo vệ trong IDS.
Mặc định, Forefront TMG log tất cả các gói đã rớt để được thông báo khi có
một xâm phạm cố gắng kết nối đến tường lửa.Forefront TMG cho phép cấu hình
tường lửa để lọc các traffic DNS với DNS-Filter tích hợp.
Đồng thời TMG bảo vệ khỏi overflow host name DNS, overflow length DNS
và nếu cần nó lọc khu vực truyền dữ liệu DNS. Nếu bạn kích hoạt mục khu vực truyền
dữ liệu DNS, TMG sẽ từ chối khu vực DNS có thể thông qua tường lửa.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 90

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 83. Lọc tấn công DNS
Trong Common Attacks, bật thêm tính năng port scan, sau đó dủng máy bên
ngoài internet sử dụng công cụ SupeerScan 4 quét cổng bên máy TMG để kiểm chúng
hoạt động của IDS. Khi máy tấn công đang quét cổng, trong mode Monitoring, tab
Alert ghi nhận cảnh báo một cuộc tấn công quét cổng từ địa chỉ IP 192.168.1.4

Hình 84. Xuất hiện cảnh báo quét cổng.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 91

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

o IP Options
Giao thức TCP/IP xác định một vài mục IP có thể dùng cho những mục đích
khác nhau trong IP network. Forefront TMG có khả năng khoá một số mục IP bởi
ngày nay không phải tất cả các mục IP đều được sử dụng trong mạng IP và một số
mục IP có thể dùng để xâm nhập network. Mặc định, TMG từ chối một số mục IP
(như hình dưới) và có thể từ chối các mục IP mà ta không muốn dùng.

Hình 85. Bật tính năng IP Option.
o IP Fragments
Phân mảnh IP được dùng để chia rời các gói nếu chúng lớn hơn kích thước tối
đa mặc định. Cài đặt này được tắt mặc định và phải cẩn thận khi bật nó lên vì nó có
thể phá vỡ kết nối và một số kết nối chẳng hạn như khi các kết nối VPN dựa trên
IPsec, L2TP sử dụng những gói tin kết nối có dung lượng lớn hơn mặc định sẽ bị khoá
ngay.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 92

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

11.2.3 Giám sát luồng giao thông
-

Phân tích, ghi nhận sự kiện các luồng giao thông (loggings)
Để theo dõi được những ghi nhận trong quá trình truy xuất từ trong ra ngoài

hay từ ngoài vào trong một cách cụ thể bằng cách khởi động truy vấn (Start Query)
trong tab Loggings.
Ví dụ: chúng ta dùng máy DC (172.16.15.2) truy cập trang facebook.com để
xem hoạt động của loggings.

Hình 86. Ghi nhận chi tiết về việc truy cập facebook.
Loggings ghi nhận cụ thể và chi tiết thông tin của các đối tượng cụ thể là:
o Thời gian: được hiển thị chi thiết ngày/tháng năm và từng giờ, phút,
giây.
o Địa chỉ nguồn / đích: 172.16.15.2 đang truy vấn đến địa chỉ 172.16.15.1
(card mạng lan) để biết đường ra internet (facebook.com). Sau đó, địa
chỉ 172.16.15.1 sẽ dùng địa chỉ 192.168.1.3(card mạng ngoài) truy vấn
ra ngoài bằng default gateway 192.168.1.1.
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 93

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

o Port / Protocol: Để ra được facebook, tất yếu là phải bằng port 80, giao
thức HTTP và port 53, giao thức DNS để phân giải tên miền.
o Hành động: Kết nối được cho phép.
o Luật thực thi: luật đã tạo “allow all” cho phép kết nối nào rat rang
facebook.
o Mạng nguồn/đích: truy xuất này đi từ trong nội bô (internal) ra bên
ngoài internet (External)
o URL: tên miền truy xuất là http://facebook.com

Hình 87. Ghi nhận chi tiết về việc truy cập facebook.
o Tên máy trạm: là FW chịu trách nhiệm giám sát luồng truy cập.
o Loại tên miền: Forefront tự động dò tìm thể loại của tên miền truy vấn
của facebook là thuộc loại Blog/Wiki.
o Địa chỉ NAT: ghi nhận địa chỉ 192.168.1.3.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 94

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Một ví dụ tiếp theo, chung ta sử dụng SuperScan 4 và Zenmap để scan port.

Hình 88. Ghi nhận thông tin chi tiết về cuộc tấn công.
Điều đầu tiên, sự khác biệt chính đó là các thông tin ghi nhận hiển thị bằng
màu đỏ, có nghĩa là các kết nối này đã bị cấm. Máy bên ngoài Internet 192.168.1.6 sử
dụng SuperScan 4 để quét cổng đã bị Forefront cấm bằng luật “Default rule”.
Nhưng có vẻ như SuperScan 4 dùng để quét cổng vẫn còn khá “hiền”. Vì vậy
tiếp theo, chúng ta sử dụng Zenmap để quét trên tất cả các cổng.

Hình 89. Cảnh báo luồng thông tin đi vào quá nhanh.
Dường như, Forefront đã gặp một chút khó khăn trong việc lọc các gói tin vì
Zenmap đạ quét trên tất cả các cổng TCP, tốc độ các gói tin đi vào quá nhanh để có
thể xử lý, nhưng nhìn chung vẫn khó lọt qua tầm kiểm soát của Forefront.
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 95

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

11.2.4 Theo dõi tổng quan và hiệu suất hệ thống

Hình 90.Bảng Dashboard
Đây cũng chính là một trong những tính năng mới, khá hữu dụng trong Forefront. Với
Dashboard, cung cấp cho chúng ta tổng hợp những mục như:
-

Alerts: Ghi nhận những cảnh báo tấn công, hay gặp sự cố.

-

Session: Ghi nhận phiên làm việc của firewall.

-

Protection Technology: Hiển thị những tính năng bảo vệ cho hệ thống.

-

Services: Hiển thị những dịch vụ dang sử dụng trong hệ thống.

-

System Performance: Cập nhật hiệu năng của CPU và RAM.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 96

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

11.2.5 Thiết lập báo cáo việc giám sát cho hệ thống
Với báo cáo Forefront TMG, có thể tạo một hồ sơ thường nhật của các mô hình
sử dụng thông thường, và có thể tóm tắt, phân tích thông tin đăng nhập. Ví dụ, ta có
thể xác định:

-

-

o Ai là người truy cập vào các trang web, và các trang web được truy cập.
Mà các giao thức và các ứng dụng đang được sử dụng thường xuyên
nhất.
o Tổng lưu lượng truy cập các mẫu.
o Hoạt động của Malware.
o Lọc URL.
o Mạng lưới hoạt động thanh tra.
Có hai loại báo cáo:
Báo cáo theo một khoàng thời gian xác định . Những báo cáo cung cấp một cái
nhìn cụ thể, chi tiết của các hoạt động được ghi lại bởi Forefront TMG qua bất
kỳ khoảng thời gian chỉ định.
Báo cáo công việc định kỳ. Ta có thể lập lịch trình các báo cáo tự động trên
một cơ sở hàng ngày, hàng tuần, hoặc hàng tháng. Các khoảng thời gian có sẵn
cho các báo cáo này có nhiều cấu trúc hơn so với báo cáo theokhoảng thời gian.
Chúng ta tạo báo cáo theo một khoảng thời gian từ 1/6 tới 6/6 để có thể nắm

bắt thông tin toàn diện về hệ thống.

Hình 91. Tạo báo cáo từ ngày 1/6 đến 6/6.
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 97

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Chọn mục “Generate View Selected Report” để xuất báo cáo theo dạng HTML.

Hình 92. Xuất báo cáo dưới dạng HTML.
Tiến hành duyệt mục tổng hợp để theo dõi các báo cáo trọng tâm, vì trong mục
tổng hợp hiển thị những hạng mục báo cáo tiêu biểu của các phần báo cáo, gồm:

Hình 93. Thống kê các giao thức sử dụng

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 98

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 94. Thống kê người dùng truy cập.

Hình 95. Thống kê các trang web truy xuất.

Hình 96. Thống kê luồng giao thông ra vào hệ thống.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 99

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 97. Thống kê tổng quát.

11.3 Nhận xét
Với một giao diện dễ nhìn, thân thiện với người dùng, cùng các công cụ thiết lập và
quản lý đơn giản mà hiệu quả, không yêu cầu một trình độ chuyên môn quá cao để cấu
hình. Forefront TMG đã đáp ứng được các điều kiện cần và đủ cho một công cụ tường
lửa thực thụ.
Ngoài các tính năng của một tường lửa mềm, điểm nổi bật của Forefront TMG là xuất
những báo cáo thật chi tiết và cụ thể, phân tích các luồng giao thông, ghi nhận các
giao thông ra vào mạng, hiển thị trạng thái, hiệu suất làm việc của hệ thống phần cứng
là CPU và bộ nhớ RAM.
Tuy nhiên nhược điểm lớn nhất của Forefront TMG là ngoài chi phí chi trả bản quyền,
yêu cầu hệ thống phần cứng cao chẳng hạn như yêu cầu phải được cài đặt trên
Window Server 2008 R2 x64 và RAM tối thiểu phải trên 1GB. hệ thống tường lửa
mềm này bó buộc người dùng trong các bộ tính năng riêng của chúng, đồng thời khó
tích hợp với các hệ thống tường lửa khác.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 100

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

KẾT LUẬN
Audit (Event viewer), Snort, Forefront TMG, cả ba cùng là những chương trình lập
luật và theo dõi, giám sát hệ thống. Nếu hệ thống thiết lập chính sách Audit và giám
sát bằng Event viewer hoạt động hiệu quả trên domain và giám sát những hành vi cả
các máy tính, các user được quản lý tập trung trong một domain; Cũng giống như
audit là lập luật cho hệ thống nhưng Snort và Forefront TMG hoạt động hiệu quả
trong việc giám sát và phân tích luồng thông tin chi tiết, nhưng luôn có những sự khác
biệt giữa chúng.

FOREFRONT TMG
-

Ưu Điểm

-

Nhược

-

Điểm
-

Cung cấp một giao diện
thân thiện với người dùng.
Trình quản lý các bộ luật rất
gọn gàng, linh hoạt.
Xuất các báo cáo đa dạng,
chi tiết.
Tăng cường những tính
năng cải tiến từ ISA và các
tính năng hoàn toàn mới
như NIS.
Yêu cầu phần cứng cao.
Phải chi trả phí bản quyền.
Giới hạn những người quản
trị trong việc xây dựng các
bộ luật.
Không thế tích hợp với các
hệ thống khác.

SNORT
-

-

-

Sự đơn giản trong giao diện.
Không yêu cầu phần cứng
cao.
Sử dụng trên nền mã nguồn
mở (Unix) nên sẽ không phải
trả tiền bản quyền.
Có khả năng mở rộng trong
việc tuỳ biến thiết lập luật
quản trị và tích hợp với
những hệ thống khác
Trình quản lý các luật đã
thiết lập rất khó khăn.
Yêu cầu người quản trị phải
có tầm kiến thức cao
Đòi hỏi phải có chiến lược
kỹ lưỡng trước khi lập luật.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 101

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

PHỤ LỤC SNORT

Hình 98. Mô hình thử nghiệm Snort
1. Cài đặt Snort trên nền CentOS 5.4
a. Các gói cài đặt
Để Snort hoạt động tốt, ta cài các gói hỗ trợ
Web server cần các gói: php, php-gd, php-mysql, httpd, php-pear,
mod_ssl (cung cấp cho HTTP và HTTPS và mật mã cho Apache) , gd
(thư viện gd hỗ trợ php) .
MySQL Database cần các gói: mysql, mysql-server, mysql-devel,
php-mysql, mysql-bench.
Mở rộng chức năng yum: yum-utils.
Hỗ trợ trình biên dịch C và C++ : gcc, gcc-c++.
Và các gói: pcre-devel, distcache-devel, glib2-devel, libpcap-devel.
Cài đặt có 2 cách:
1. Cài từng gói
#yum install mysql
2. Cài tất cả các gói một lần (mỗi gói cách nhau một khoảng trắng)
#yum install mysql mysql-devel mysql-bench mysql-server
Cài thêm các gói phát triển:
#yum groupinstall “Development Tools”
#yum groupinstall “Development Libraries”
#yum groupinstall “MySQL Database”

b. Cài đặt Snort
Tải các gói
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 102

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Gói cài đặt

Địa chỉ down

Mô tả

snort-2.8.6.tar.gz

http://www.snort.org/downloa
ds

Phần mềm cài
snort

snortrules-snapshot2.8.tar.gz

http://www.snort.org/downloa
ds

Các rules của
snort

Đưa cái gói vào thư mục soft trên Desktop của CentOS. Ta có đường
dẫn root/Desktop/soft. Dùng lệnh giải nén: tar –zxvf đối với file tar.gz
[root@localhost ~]# cd Desktop/soft/
[root@localhost soft]# tar -zxvf snort-2.8.6.tar.gz
Sau khi giải nén sau ta vào thư mục snort-2.8.6, chạy lệnh
# ./configure --with-mysql --enable-dynamicplugin
Lệnh ./configure --with-mysql --enable-dynamicplugin dùng để kiểm tra
các gói phụ thuộc có cài đủ chưa, nếu sau cùng mà ko còn lỗi thì mới
chạy được lệnh make.
# make && make install
Lệnh “make” đề tiến hành biên dịch Snort sang dạng thực thi nhưng các
file thực thi vẫn còn nằm trên thư mục hiện hành.
Lệnh “make install” để chép các file thực thi đó sang đúng vị trí của nó
trên hệ thống. Nếu như không có thông báo lỗi gì xảy ra thì đã hòan tất
việc cài đặt gói lên hệ thống.
Cài đặt thành công, dùng lệnh snort –V sẽ thấy phiên bản snort được cài.

Hình 99. Cài đặt thành công
c. Cấu hình thư mục cho Snort
Tạo thư mục lưu trữ file cấu hình và các rules
# mkdir /etc/snort
# mkdir /etc/snort/rules
Tạo thư mục lưu trư các file log
# mkdir /var/log/snort
Vào thư mục /etc bên trong source của snort-2.8.6
[root@localhost snort-2.8.6]# cd /etc/
[root@localhost etc]#
Chép các file cấu hình vào thư mục /etc/snort
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 103

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

# cp * /etc/snort
Tạo group snort và user snort
# groupadd snort
# useradd -g snort snort -s /sbin/nologin
Set quyền sở hữu và cho phép Snort ghi log vào thư mục chứ file log
# chown snort:snort /var/log/snort/
d. Cấu hình các thông số của Snort
File cấu hình /etc/snort/snort.conf
# gedit /etc/snort/snort.conf
Sửa các dòng và save lại
25, khai báo lớp mạng bên trong
var HOME_NET 192.168.1.0/24
28, khai báo lớp mạng bên ngoài, “any” là bất kì mạng nào
var EXTERNAL_NET any
60, khai báo vị trí các rules, do rules đặt ở /etc/snort/rules
var RULE_PATH /etc/snort/rules
270, cho phép ghi những thông điệp log vào CSDL của MySQL
output database: log, mysql, user=snort password=123 test
dbname=snort host=localhost
Ý nghĩa của dòng trên là: tên CSDL là snort và MySQL server đang
chạy ở localhost. Tài khoản sử dụng CSDL là snort, mật khẩu là
123.
e. Cài đặt rule cho Snort
Giải nén snortrules-snapshot-2.8.tar.gz
[root@localhost soft]# tar -zxvf snortrules-snapshot-2.8.tar.gz
[root@localhost soft]# cd rules
Copy tất cả rules vào thư mục /etc/snort/rules
[root@localhost rules]# cp * /etc/snort/rules
f. Cấu hình khởi động snort như 1 dịch vụ hệ thống
Tạo một liên kết mềm (symbolic link) của file snort binary đến
/usr/sbin/snort, tập tin snort binary nằm ở đường dẫn /usr/local/bin/snort
# ln -s /usr/local/bin/snort /usr/sbin/snort
Snort cung cấp các scrip để khởi động trong thư mục rpm/ trong thư
mục giải nén snort-2.8.6
[root@localhost soft]# cd snort-2.8.6
[root@localhost snort-2.8.6]# cd rpm
[root@localhost rpm]# cp snortd /etc/init.d
[root@localhost rpm]# cp snort.sysconfig /etc/sysconfig/snort
Set quyền lại cho file snortd
# chmod 755 /etc/init.d/snortd
Cấu hình Snort auto start
# chkconfig snortd on
Khởi động Snort
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 104

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

# service snortd start

Hình 100. service snortd start
Để khởi động snort ở chế độ debug nếu muốn kiểm tra lỗi dùng lệnh
#
snort –c /etc/snort/snort.conf –l /var/log/snort –i eth0
Nếu có lỗi xảy ra thì Snort sẽ tự động thoát và thông báo lỗi. Nếu vận
hành tốt sẽ có dòng “Not Using PCAP_FRAMES”, đây chỉ là một thông
điệp báo rằng Snort không đọc từ một file PCAP chứ không phải lỗi. Để
thoát ấn CTRL + C.

Hình 101. Not Using PCAP_FRAMES
g. Tạo CSDL Snort với MySQL
Khởi động dịch vụ MySQL
# service mysqld start
Set password cho root trong MySQL
# mysqladmin -u root password p@ss
Để đổi mật khẩu ta có thể dùng
# mysqladmin -u root –p<pass cũ> password <pass mới>
Kết nối đến MySQL server và nhập pass
# mysql –p
Tạo password cho tài khỏan snort

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 105

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Chú ý phải đặt pass trùng với tài khoản snort đã khai báo tại
/etc/snort/snort.conf
Tạo CSDL cho snort

Tạo các bảng: vào thư mục schames mà bạn giải nén snort snort-2.8.6
[root@localhost ~]# cd Desktop/soft/snort-2.8.6/schemas/
[root@localhost schemas]# mysql -u root -p < create_mysql snort
Kiểm tra tạo bảng thành công hay không
mysql –p
mysql> show databases;

mysql> use snort;
mysql> show tables;

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 106

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

h. Cài đặt và cấu hình BASE (Basic Analysis and Security Engine)
Cần cài thêm vài gói pear cho PHP
# pear install PEAR
# pear install --force PEAR
# pear install Image_Graph-alpha Image_Canvas-alpha Image_Color
Numbers_Roman
Dùng lệnh để xem các gói đã cài
# pear list

Tải các gói
Gói cài đặt

Địa chỉ down

Mô tả

adodb508a.tgz

http://sourceforge.net/projects/adodb/
files/

Phần
mềm cài
ADOBE

base-1.4.4.tar.gz

http://sourceforge.net/projects/securei
deas/files/

Phần
mềm cài
BASE

Cài đặt ADODB
# cp adodb508a.tgz /var/www/html/
# cd /var/www/html/
# tar -zxvf adodb508a.tgz
Cài đặt BASE
# cp base-1.4.4.tar.gz /var/www/html/
# cd /var/www/html/
# tar -zxvf base-1.4.4.tar.gz
# mv base-1.4.4/ base/
# cd base
# cp base_conf.php.dist base_conf.php
# gedit base_conf.php
Sửa các dòng và save lại
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 107

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

57, đường dẫn vào mục BASE
$BASE_urlpath = '/base';
79, đường dẫn vào mục adodb
$DBlib_path = '/var/www/html/adodb5';
101, khai báo tên CSDL của Snort
$alert_dbname = 'snort';
105, khao báo password
$alert_password = '123';
108, sửa lại thành 1 (có lưu trữ DB)
$archive_exists = 1;
109, khai báo tên lưu trữ
$archive_dbname = 'snort';
113, khai báo password
$archive_password = '123';
i. Kiểm tra
Cần phải bảo đảm các dịch vụ snortd, httpd và mysqld đều ở trạng thái
start
OK

Gõ lệnh: snort –c /etc/snort/snort.conf –l /var/log/snort –i eth0
Tại máy snort server mở firefox truy cập Snort: http://localhost/base ,
chọn Setup page

Hình 102. Setup page
Chọn Create BASE AG

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 108

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 103. Create BASE
Tạo BASE thành công

Hình 104. BASE thành công
Giao diện quản lí BASE

Hình 105. Giao diện BASE

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 109

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

BASE có hỗ trợ các trang tìm kiếm ip như:
http://www.dshield.org/ipinfo.html
http://www.trustedsource.org/
http://isc.sans.org/ipinfo.html

Hình 106. Trang web tìm kiếm
Ví dụ với trang http://isc.sans.org/ipinfo.html ta có thể biết chính xác ip
này ở đâu

Hình 107. Thông tin IP
Để theo dõi thời gian thực file log ta gõ lệnh : tail –f /var/log/snort/alert
, lệnh tail dùng để xem liên tục alert, có cái gì phát sinh là hiện ra.

Hình 108. lệnh tail –f
Đọc file log –r
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 110

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

#snort -dv -r /var/log/snort/snort.log.1077725466
Đọc file log và chỉ show các traffic có dạng TCP
#snort -dv -r /var/log/snort/snort.log.107657944 tcp
Quay lại với terminal: snort –c /etc/snort/snort.conf –l /var/log/snort –i
eth0, ta ấn thoát sẽ được như bảng ở dưới. Khi dừng chế độ sniffer,
Snort sẽ tạo ra một bảng tóm tắt các gói tin được bắt giữ, bao gồm các
giao thức, thống kê phân mảnh và tái hợp gói tin.

Hình 109. Bảng tóm tắt các gói tin được bắt giữ
2. Cài đặt Snort trên nền Window
Với mô hình Lab trên tiến hành cài snort trên Window Server 2008
a. Các gói cài đặt
Gói cài đặt

Địa chỉ down

Mô tả

Snort_2_8_6_Installer.e
xe

http://www.snort.org/down
loads

Phần mềm
cài snort

snortrules-snapshot2.8.tar.gz

http://www.snort.org/down
loads

Các rules
của snort

WinPcap_4_1_1.exe

http://www.winpcap.org/in Phần mềm
stall/default.htm
cài WinPcap

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 111

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Cài WinPcap trước rồi mới cài snort_2_8_6
Tiến hành cài Snort_2_8_6_Installer.exe
Installation Options có các cơ chế lưu trữ file log theo cơ sở dữ liệu
Microsoft SQL server hay Oracle. Do chỉ lưu trữ log trong Event Log
nên sẽ chọn đầu tiên.

Hình 110. Installation Options
Các bước tiếp theo cài như mặc định
b. Cấu hình các thông số của Snort
File cấu hình C:/Snort/etc/snort.conf
Sửa các dòng và save lại
Khai báo lớp mạng bên trong
var HOME_NET 192.168.1.0/24
Khai báo lớp mạng bên ngoài, “any” là bất kì mạng nào
var EXTERNAL_NET any
Khai báo vị trí các rules,
var RULE_PATH c:\snort\rules
Khai báo các biến include classification.config và reference.config
include C:Snort\etc\classification.config
include C:Snort\etc\reference.config
Khai báo đường dẫn đến thư viện dynamic preprocessor
C:\Snort\lib\snort_dynamicpreprocessor
Khai báo đường dẫn đến base preprocessor engine
C:\Snort\lib\snort_dynamicengine\sf_engine.dll
Xuất ra file log
# output log_tcpdump: tcpdump.log
output alert_fast: alerts.ids
c. Cài đặt rules cho Snort
Giải nén snortrules-snapshot-2.8.tar.gz, copy rules vào thư mục C:\Snort
d. Chạy thử Snort
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 112

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

cd C:\Snort\bin
c:\Snort\bin>snort -c c:\snort\etc\snort.conf -l c:\snort\log
Nếu gặp lỗi như ở dưới thì xóa file sf_sdf.dll từ
C:\Snort\lib\snort_dynamicpreprocessor
ERROR: Failed to initialize dynamic preprocessor: SF_SDF (IPV6)
version 1.1.1
Fatal Error, Quitting..
Cài đặt thành công Snort

Hình 111. Not Using PCAP_FRAMES trên Win
3. Từ khóa
i. Từ khóa thông dụng
 Từ khóa msg
msg: “noi dung”
Hiển thị thông báo trong alert và file log.
 Từ khóa gid
gid: <generator id>;
Tạo gid cho rule. Từ khóa gid được dùng để xác định những gì của Snort
tạo ra những sự kiện khi có báo động. Ví dụ gid 1 là liên kết với các hệ
thống phụ gids và hơn 100 được thiết kế cho preprocessors cụ thể và bộ giải
mã. Tùy chọn này nên được sử dụng cùng với sid, để tránh việc đụng độ giá
trị với những thành phần khác, ta nên đặt gid lớn hơn 1.000.000.Ví dụ:
alert tcp any any -> any 80 (content:"yahoo"; gid:1000001; sid:1;
rev:1;)
 Từ khóa sid
sid: <snort rules id>;

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 113

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Tạo sid cho rule. Từ khóa sid được sử dụng để nhận diện ra quy tắc Snort.
thông tin này cho phép output plugin xác định quy tắc dễ dàng. Tùy chọn
này nên được sử dụng với từ khoá rev.
Chú ý:

<100

Dành

cho

các

sử

dụng

trong

tương

lai

• 100-1.000.000 Những rule có trong bản phân phối Snort
•> 1.000.000 Được sử dụng cho các rule cục bộ
Ví dụ:
alert tcp any any -> any 80 (content:"yahoo"; sid:1000900; rev:1;)
 Từ khóa rev
rev: <revision integer>;
Từ khóa rev được sử dụng để nhận diện phiên bản sửa đổi các quy tắc của
Snort. Nếu cập nhật rule, từ khóa rev có thể sử dụng để phân biệt các phiên
bản. Tùy chọn này nên được sử dụng với từ khoá sid. Ví dụ:
alert tcp any any -> any 80 (content:"yahoo"; sid:1000900; rev:1;)
 Từ khóa priority
priority: <priority integer>;
Từ khóa này chỉ định một mức độ nghiêm trọng của rule.Ví dụ:
alert TCP any any -> any 80 (content:"php.image"; msg:"phat hien webvirus"; priority:10;)
ii. Từ khóa tác động đến payload
 Từ khóa content
content: [!] "<content string>";
Từ khóa này tìm mẫu dữ liệu bên trong gói. Mãu này có thể hiện thị ở dạng
chuỗi ASCII hay nhị phân trong hình thức mã hexa. Ví dụ luật sau đây phát
hiện một mẫu “GET” trong phần dữ liệu của gói TCP xuất phát từ địa chỉ
192.168.1.0. từ khóa GET thường được sử dụng cho nhiều loại tấn công
HTTP:
alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any
(content: “GET”; msg: “phat hien GET”;)

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 114

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Rule dưới đây cũng tương tự nhưng nó liệt kê ở dạng hexa:
alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any
(content: “|47 45 54|”; msg: “phat hien GET”;)
Mã hexa của 47= G, 45 = E, 54 = T. Ký tự hexa nằm trong cặp dấu “||”.
Ký hiệu “!” nghĩa là loại trừ, như ví dụ dưới thì phần nội dụng sẽ không
chứa “GET”.
alert tcp any any -> any 80 (content:!"GET";)
Từ khóa content có thể dùng chug với các từ khóa: depth, nocase,
offset,.v.v..
 Từ khóa offset
offset: <number>;
Từ khóa offset sử dụng để bắt đầu tìm trong khoảng nào đó từ điểm bắt đầu
của phần dữ liệu của gói. Dùng một con số làm đối số cho từ khóa này. Ví
dụ sau sẽ bắt đầu tìm từ “HTTP” bắt đầu từ byte thứ 5 trong gói.
alert tcp 192.168.1.0/24 any -> any any (content:"HTTP"; offset:
5; msg: "phat hien HTTP ";)
 Từ khóa depth
depth: <number>;
Từ khóa depth chỉ định một giới hạn dưới cho việc lấy mẫu. Từ khóa cho
phép chỉ định một khoẳng bắt đầu từ byte đầu tiên của gói. Dữ liệu sau
khoảng này không lấy mẫu nữa. Nếu kết hợp offset và depth cùng với
content, có thể chỉ ra vùng dữ liệu mà ta muốn lấy mẫu. Ví dụ muốn tìm từ
“HTTP”, bắt đầu từ byte thứ 5 và tìm kiếm tối đa đến byte thứ 20:
alert tcp 192.168.1.0/24 any -> any any (content:"HTTP"; offset:
5; depth: 20; msg: "phat hien HTTP";)
 Từ khóa nocase
nocase;
Từ khóa nocase không có đối số. Nocase giúp tìm mẫu trong dữ liệu không
phân biệt chữ hoa và chữ thường. Ví dụ:

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 115

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

alert tcp any any -> any 21 (content:"USER root"; msg:"FTP
ROOT"; nocase;)
 Từ khóa within
within: <byte count>;
Từ khóa within để chắc rằng N bytes thì nằm giữa sự so sánh mẫu.
Ví dụ dưới đây khi truy cập vào trang web có 14 byte thì sẽ báo alert , còn
vượt quá 14 byte thì không báo:
alert tcp any any -> any 80 (content:"www"; content: "com";
msg: "test within "; within:14; sid: 10000003;)
iii. Từ khóa tác động đến phần không payload
 Từ khóa flow
flow:[(established|stateless)]
[,(to_client|to_server|from_client|from_server)]
[,(no_stream|only_stream)];
Từ khóa flow dùng để áp dụng một rule trên những TCP đến những gói
trong phương hướng riêng. Từ khóa này dùng để xác định phương hướng.
Từ khóa chỉ cho phép rule áp dụng đến client hoặc server. Ý nghĩa các từ
khóa
Lựa chọn

Mô tả

to_client

Đáp ứng đến client

to_server

Đáp ứng đến server

from_client

Yêu cầu từ client

from_server Yếu cầu từ server
established
stateless
no_stream

Áp dụng rule để xác lập những phiên TCP
Áp dụng rule không cần xem trạng thái của phiên TCP
Bật những rule để áp dụng vào gói tin mà không cần xây dựng
từ một luồng

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 116

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

only_stream Áp dụng rule chỉ trên những gói đã xây dựng từ một luồng
Ví dụ:
alert tcp !$HOME_NET any -> $HOME_NET 21 (content:"CWD
incoming"; msg:"phat hien cd "; flow:from_client; nocase;)
 Từ khóa ttl
ttl:[[<number>-]><=]<number>;
Từ khóa ttl được dùng để phát hiện giá trị Time To Live của IP header. Từ
khóa có thể sử dụng với tất cả loại giao thức xây dựng trên giao thức IP,
bao gồm ICMP,UDP và TCP. Ví dụ:
ttl: <7;
 Từ khóa fragbits
fragbits:[+*!]<[MDR]>;
Tiêu đề IP header chứa 3 cờ bit, dùng để phân mảnh và tái hợp IP. Từ khóa
fragbits dùng để kiểm tra những bit phân mảnh và tái hợp được bật lên
trong IP header. Có các chức năng sau:
M - More Fragments – Bit có nhiều phân mảnh
D - Don’t Fragments – Bit không phân mảnh
R - Reserved Bit – Bit dành riêng cho tương lai
Những hiệu chỉnh sau có thể bật để thay đổi điều kiện so trùng:
“+” so trùng những bit cụ thể, gắn thêm bit cờ với những bit khác
“*” so trùng nếu những bit cụ thể được bật lên
“!” so trùng nếu những bit cụ thể không được bật lên
Ví dụ cảnh báo khi cả hai bit More Fragments và Reserved Bit được bật lên:
fragbits:MR+ ;
 Từ khóa dsize
dsize: [<>]<number>[<><number>];
Từ khóa dsize dùng để kiểm tra những gói tin có kích thước bất thường.
Ví dụ tìm kiếm những gói tin có kích thước giữa 100 và 200 bytes:
dsize: 100 <>400;
 Từ khóa id

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 117

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

id:<number>;
Từ khóa id dùng để so sánh trường ID phân mảnh. Mục đích là phát hiện ra
tấn công mà cò dùng ID cố định trong IP header.
 Từ khóa flags
flags:[!|*|+]<FSRPAU120>[,<FSRPAU120>];
Từ khóa flags dùng đề tìm ra cờ bit được bật trong TCP. Cờ bit này được sử
dụng cho nhiều công cụ bảo mật. Những cờ bit:
F - FIN (LSB in TCP Flags byte)
S - SYN
R - RST
P - PSH
A - ACK
U - URG
1 - Reserved bit 1 (MSB in TCP Flags byte)
2 - Reserved bit 2
0 - No TCP Flags Set
Ví dụ:
alert tcp any any -> $HOME_NET any (flags:RP; msg: “phat
hien RST-PSH”;)
 Từ khóa ack
ack: <number>;
Từ khóa ack kiểm tra một TCP acknowledge number.
 Từ khóa seq
seq:<number>;
Tứ khóa seq kiểm tra sequence number của TCP.
 Tứ khóa icmp_id
icmp_id:<number>;
Từ khóa dùng để kiểm tra một giá trị ICMP ID cụ thể.
 Từ khóa icmp_seq
icmp_seq:<number>;
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 118

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Từ khòa dùng để kiểm tra một giá trị ICMP sequence cụ thể.

4. Các thông số hiệu năng được đưa ra:
Packets received

Gói nhận được

Packets dropped

Gói bị bỏ

Percentage

of

packets Phần trăm các gói bỏ

dropped
Kpackets per second

Kpackets / giây

Average bytes per packets

Byte trung bình / gói

Mbits per second (wire)

Mbits / giây

Mbits per second (rebuilt)

Mbits trung bình Snort nhúng vào sau khi rebuilt các
packet / giây

Mbits per second (total)

Mbit / giây ( tổng cộng)

Pattern-matching percent

Phần trăm dữ liệu trung bình của nhận quá trình Snort
trong mô hình kết hợp

CPU usage

Sử dụng CPU: user time, system time, idle time

Alerts per second

Cảnh báo / giây

SYN packets per second

Gói SYN / giây

SYN/ACK packet per second Gói (SYN/ACK) / giây
New sessions per second

Phiên mới / giây

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 119

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Deleted sessions per second

Xóa phiên / giây

Total sessions

Tổng cộng phiên

Max sessions during time Phiên cực đại trong thời gian
interval
Stream flushes per second

Stream tràn / giây

Stream faults per second

Stream lỗi / giây

Stream timeouts

Stream thời gian chờ

Frag completes per second

Frag hoàn thành / giây

Frag inserts per second

Frag thêm / giây

Frag deletes per second

Frag xóa / giây

Frag flushes per second

Frag tràn / giây

Frag timeouts

Frag thời gian chờ

Frag faults

Frag lỗi

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 120

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

PHỤ LỤC FOREFRONT
Cài đặt ForeFront TMG 2010
Các yêu cầu trước khi cài đặt Forefront:
-

Máy Forefront TGM chỉ là domain member, phải join domain trước khi cài đặt

-

Cài

đặt

trên

nền

Window

Server

Ent

2008

Service

Pack

2

Start \ Run \ winver để kiểm tra, nếu là SP1 thì download bản hotfix SP2 cài
vào:
http://www.microsoft.com/downloads/details.aspx?familyid=656c9d4a-55ec4972-a0d7-b1a6fedf51a7&displaylang=en
-

Lưu ý: Đối với việc cài đặt trên máy ảo
Để cài được Window Server Ent 2008 x64 thì phải bật chức năng
Virtualization trong Bios \ Advances, vì chức năng này mặc định luôn ở trạng
thái tắt, nếu chưa bật sẽ báo lỗi CPU không tương thích với 64 bit

Hình 112. Màn hình trên máy ảo báo lỗi khi cái Window Server 2008 x64

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 121

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

- Cài đặt các Roles và Features:

-

Tải

Forefront

TGM

2010

:

http://technet.microsoft.com/en-

us/evalcenter/ee423778.aspx
-

Chạy file vừa tải về, đến giao diện cài đặt forefront, chọn Run Prepairation
Tool để kiểm tra .Net Framework 3.5, Installer 4.5, Windows Update và
Window Web Services API, nếu còn thiếu cái nào nó sẽ tự động tải về và cài
đặt .

-

Một số trường hợp chạy Prepairation Tool sẽ bị báo lỗi là do phiên bản hệ điều
hành không phải là SP2, vì vậy việc cài đặt SP2 cho Winserver 2008 là rất
quan trọng.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 122

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

Hình 113. Báo lỗi cài Prepairation tool
Sau khi giai đoạn chạy Prepairation Tool hoàn thành, chúng ta có thể cài đặt Forefront
TMG bình thường.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 123

Trường Đại Học Hoa Sen

Khóa Luận Tốt Nghiệp

TÀI LIỆU THAM KHẢO
[1] Marianne Swanson & Barbara Guttman, “Generally Accepted Principles and
Practices for Securing Information Technology Systems”, 1996.
[2] Jack J. Champlain & John Wiley & Sons, “Auditing Information Systems, Second
Edition”, 2003.
[3] ITSEAG, “Secure Your Information: Information Security Principles for
Enterprise Architecture”, Jun 2007.
[4] HANNERÍ BOTHA AND J.A. BOON, “The Information Audit: Principles and
Guidelines”, 2003.
[5] Brian Morgan & Neil Lovering, “CCNP Implementing Secure Converged Wide
Area Networks”, 2008.
[6] Jie Wang, “Computer Network Security”, June 2008.
[7] “SnortTM Users Manual 2.8.4”, April 21, 2009.
[8] Andrew R. Baker, Brian Caswell, Mike Poor, “Syngress - Snort 2.1 Intrusion
Detection_ Second Edition”, May 2004.
[9] Jesse Varsalone, “Microsoft Forefront Security Administration Guide”, 2009.
[10]

“Securing Networks with Cisco Routers and Switches” – 2007.

[11]

Các diễn dàn Tin học.

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống

Trang 124

Sign up to vote on this title
UsefulNot useful