BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

HỌC PHẦN
THU THẬP & PHÂN TÍCH THÔNG TIN AN NINH MẠNG

BÀI THỰC HÀNH

Triển khai hệ thống giám sát ANM sử dụng Splunk

(Phiên bản: 1.0)

Hà Nội, 2019
 MỤC LỤC
1. Điều kiện tiên quyết ............................................................................................ 2
2. Giới thiệu.............................................................................................................. 2
3. Kịch bản thực hành ............................................................................................. 2
4. Mục tiêu bài thực hành ....................................................................................... 2
5. Tổ chức thực hành............................................................................................... 3
6. Môi trường thực hành ........................................................................................ 3
6.1. Phần cứng, phần mềm ........................................................................................ 3
6.2. Máy ảo và công cụ ............................................................................................. 3
7. Sơ đồ thực hành ................................................................................................... 4
8. Các nhiệm vụ cần thực hiện ............................................................................... 4
Nhiệm vụ 1. Cài đặt tường lửa Pfsense trên HĐH Linux FreeBSD 64 bit ............... 4
Nhiệm vụ 2. Cấu hình tường lửa Pfsense.................................................................. 8
Nhiệm vụ 3. Cài đặt phần mềm Splunk trên HĐH Linux....................................... 10
Nhiệm vụ 4: Cài đặt win 2k8 vào giao diện quản trị của Pfsense và Splunk ......... 14
Nhiệm vụ 5 : Thu thập Log từ Pfsense vào Splunk ................................................ 16
9. Đánh giá bài thực hành..................................................................................... 20
 Thông tin phiên bản bài thực hành

Phiên Ngày tháng Mô tả Thực hiện

bản

1
1. Điều kiện tiên quyết
Không
2. Giới thiệu
Splunk là một tập đoàn đa quốc gia của Mỹ có trụ sở tại San Francisco, California,
làm phần mềm để thu thập Log, tìm kiếm, theo dõi và phân tích dữ liệu lớn (big data) do
máy tạo ra, thông qua một giao diện web nhằm giải quyết nhiều bài toán khác nhau của
các tổ chức, doanh nghiệp như trong việc giám sát, vận hành hệ thống, điều tra sự
cố.v.v... Phần mềm Splunk thu thập, đánh chỉ mục dữ liệu, tìm kiếm trong thời gian thực
trong một kho lưu trữ dữ liệu có thể tìm kiếm, từ đó nó tạo ra các đồ thị, báo cáo, cảnh
báo, biểu đồ.
PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễn
phí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sự
bảo mật. ...
Trong bài thực hành này, chúng ta sẽ bước đầu tiếp cận với phần mềm splunk và
Pfsense thông qua việc triển khai cài đặt sản phẩm trên môi trường Linux
3. Kịch bản thực hành
Splunk là công vụ hỗ trợ thu thập log từ hệ điều hành, tường lửa, các thiết bị khác.
Đối với hệ thống cần thu thập thông tin dữ liệu Splunk là công thường được sử dụng một
cách dễ dàng nhất. Trong mô hình thực hành ta thiết lập tường lửa Pfsense để kết nối
mạng bên trong với bên ngoài. Cấu hình Pfsense để hoạt động mạng một cách tốt nhất.
Mạng bên trong cấu hình máy chủ chạy Splunk thông qua giao diện ta có thể quản lý
được log của các thiết bị. Cấu hình lấy log từ Pfsense đẩy xuống máy chủ Splunk để thu
thập các event log và phân tích hoạt động của Pfsense. Ta thiết lập 2 giao diện splunk và
Pfsense để quản trị một cách dễ dàng. Bài thực hành dưới hướng dẫn chi tiết ta cách cài
đặt cấu hình Pfsense và splunk, cách thu thập thông tin log từ Pfsense vào splunk.
4. Mục tiêu bài thực hành
Bài thực hành này nhằm giúp sinh viên học và hiểu về:
- Cài đặt tường lửa Pfsense trên môi trường Linux.
- Cấu hình tường lửa Pfsense theo mô hình sử dụng giao diện Web.
- Cài đặt phần mềm splunk trên HĐH Linux.
- Thu thập logs từ pfsense vào splunk để phân tích.

2
5. Tổ chức thực hành
Yêu cầu thực hành: thực hành độc lập
Thời gian: 45 phút
6. Môi trường thực hành
6.1. Phần cứng, phần mềm
 Yêu cầu phần cứng:
 01 máy tính
 Cấu hình tối thiểu: Intel Core i3, 4GB RAM, 50 GB ổ cứng
 Yêu cầu phần mềm trên máy:
 Hệ điều hành trên máy tính: Windows 7 64bit trở lên
 Phần mềm ảo hóa VMWare Workstation 15.0 trở lên
 Yêu cầu kết nối mạng Internet: có
6.2. Máy ảo và công cụ
 Máy ảo: 03 máy. Trong đó:
 Máy ảo 1 (Pfsense trên Linux):
- RAM: 1GB, HDD: 20GB
- Sử dụng 02 giao diện mạng:
+ Địa chỉ IP: 10.10.10.10. VMNet2 (mạng WAN)
+ Địa chỉ IP: 192.168.10.200. VMNet3 (Mạng LAN)
 Máy ảo 2 (Win Server 2008):
- Cài đặt hệ điều hành Windows Server 2008
- Địa chỉ IP: 192.168.10.100. VMNet2
 Máy ảo 3 (Centos ):
- Cài đặt hệ điều hành Centos
- Địa chỉ IP: 192.168.10.150
- Cài đặt phần mềm Splunk và cấu hình
 Các công cụ cần chuẩn bị cho bài thực hành:
 File ISO cài đặt Pfsense trên HDH Linux
 File ISO cài đặt Centos và file Splunk cài trên centos
 File ISO cài đặt Winserver 2008

3
7. Sơ đồ thực hành

Win Server 2k8

192.168.10.100 LAN WAN
Internet
192.168.10.200 10.10.10.10

Pfsense

Centos (Splunk)
192.168.10.150

Máy Winserver 2k8 đóng vai trò là 1 máy bên trong mạng LAN, kết nối tới 1 giao
diện của tường lửa để quản trị và giao diện của Splunk.
Máy Centos (Spluck) đóng vai trò là 1 máy chủ trong mạng LAN.
Máy Pfsense đóng vai trò là tường lửa kiểm soát các truy cập từ internet qua mạng
WAN và kết nối với mạng nội bộ qua mạng LAN.
8. Các nhiệm vụ cần thực hiện
Nhiệm vụ 1. Cài đặt tường lửa Pfsense trên HĐH Linux FreeBSD 64 bit
Bước 1: Download phần mềm tại đây: www.pfsense.org
Bước 2: Sử dụng VMware để cài đặt Pfsense.
- Tạo máy ảo để bắt đầu cài đặt.

4
 - Chọn đường dẫn đến file cài đặt và lựa chọn Add để thêm card mạng cho máy ảo
theo mô hình.

5
- Tiến hành cài đặt.

- Để mặc định quá trình boot và lựa chọn Accept these settings.

6
- Tiếp tục lựa chọn Quick/Easy Install. Rồi chọn OK để xác nhận việc cài đặt.

- Chọn Standard Kernel. Sau đó reboot lại để quá trình cài đặt hoàn tất.

7
Nhiệm vụ 2. Cấu hình tường lửa Pfsense
Bước 1: Giao diện quản trị PfSense. Chọn 1 để tiến hành cấu hình các card mạng.

- Hệ thống hỏi có muốn thiết lập VLANs không. Ở đây chúng ta chọn No.

- Thiết lập em0 là giao diện WAN và em1 là giao diện LAN tương ứng.

- Sau đó ấn Enter để bỏ qua các thiết lập bổ sung.

- Chọn Yes (y) để xác nhận lại quá trình thiết lập.

- Sau khi thiết lập xong các giao diện, chúng ta tiến hành chọn option 2 để thiết lập
địa chỉ IP cho từng card mạng.

8
 - Chọn 1 để cấu hình cho card WAN.

- Thiết lập địa chỉ IP như trong hình.

- Bỏ qua thiết lập DHCP6 (Gõ “n”) và bỏ qua thiết lập IPv6 (Gõ enter để bỏ qua).
Sau đó chọn “y” để cho phép quản trị tường lửa thông qua giao diện web (http).

- Thiết lập tương tự đối với card mạng LAN còn lại.

9
Nhiệm vụ 3. Cài đặt phần mềm Splunk trên HĐH Centos
- Truy cập vào hệ thống với tài khoản user, pass = “resu”. Pass của root là “toor”.

- Xem tên các card mạng bằng câu lệnh “ip addr”. Trong hình chúng ta thấy card
mạng eno16777736 chính là card chúng ta cần thiết lập địa chỉ ip.

- Để cấu hình địa chỉ ip, chúng ta truy cập vào thư mục /etc/sysconfig/network-
scripts. File ifcfg-eno16777736 chính là file chúng ta cần cấu hình.

- Dùng vi trong centos để đọc và chỉnh sửa file ifcfg-eno16777736. Luư ý để cấu
hình ta phải dùng lệnh su để lấy quyền root. (Pass:toor)

10
- Cấu hình địa chỉ ip như trong hình. Sau đó lưu lại với :x

- Khởi động lại dịch vụ và tiến hành ping thử tới tường lửa trong hệ thống.

11
 - Tiến hành copy file cài đặt splunk-6.5.2-67571ef4b87d-Linux-x86_64.tgz vào
Centos. Ở đây chúng ta sử dụng công cụ psftp trong PuTTy cài đặt trên máy Win2k8 để
copy dữ liệu.

- Dùng lệnh ls kiểm tra đã thấy xuất hiện file cần cài đặt.

- Tiến hành giải nén.

- Sau khi giải nén, file cài đặt nằm ở đường dẫn /opt/splunk/bin. Sử dụng câu lệnh
./splunk start - -accept-license để bắt đầu cài đặt.

- Quá trình cài đặt hoàn tất

12
 - Cấu hình để splunk khởi động cùng hệ thống dùng câu lệnh ./splunk enable boot-
start và reboot lại để hoàn tất quá trình cài đặt.

- Khởi động xem kiểm tra xem splunk có khởi chạy cùng hệ thống không.

- Tắt tường lửa mặc định và truy cập vào giao diện quản trị theo địa chỉ
http://192.168.10.150:8000.

13
 Nhiệm vụ 4: Cài đặt win 2k8 vào giao diện quản trị của Pfsense và Splunk
- Thiết lập địa chỉ IP trên máy Win 2k8.

- Tiến hành truy cập PfSense thông qua giao diện web theo địa chỉ
http://192.168.10.200. Username mặc định là “admin” và pass là “pfsense”.

14
 - Giao diện truy cập thành công.

- Truy cập vào giao diện quản trị theo địa chỉ http://192.168.10.150:8000.
- User đăng nhập “admin”, pass là “changeme”.

15
 Nhiệm vụ 5 : Thu thập Log từ Pfsense vào Splunk
a) Trên máy Pfsense.
- Vào Status=>System Logs. Chọn tab Settings

- Tích vào ô: Send log message to remote syslog server. Ip máy chủ nhận log là
192.168.10.150 (máy Splunk). Chọn các log muốn gửi qua Splunk sau đó save lại.

16
 b) Trên máy Centos đã cài sẵn Splunk:
- Chọn Setting =>Data inputs

- Chọn Addnew trong phần UDP.

17
 - Cấu hình port 514 và địa chỉ ip gửi log về là địa chỉ của tường lửa PfSense:
192.168.10.200. Sau đó chọn Next.

- Cấu hình như theo hướng dẫn và chọn Review để xem lại cấu hình đã chọn. Chọn
Submit để hoàn tất.

18
 - Sau đó chúng ta thử tắt tường lửa đi xem trên máy splunk có nhận được log đẩy về
không. Kết quả máy chủ splunk đã có nhận được log đẩy về thông báo PfSense đã bị tắt.

19
9. Đánh giá bài thực hành

STT Nội dung thực hiện Điểm Cách kiểm tra

Cài đặt tường lửa Pfsense trên HĐH Linux
1 2 Căn cứ báo cáo
FreeBSD 64 bit
2 Cấu hình tường lửa Pfsense 2 Căn cứ báo cáo
3 Cài đặt phần mềm Splunk trên HĐH Linux 3 Căn cứ báo cáo
Cài đặt winserver 2008 vào giao diện quản trị của
4 2 Căn cứ báo cáo
Pfsense và Splunk
5 Thu thập log từ Pfsense và Splunk 1 Căn cứ báo cáo
Tổng điểm 10

20