Professional Documents
Culture Documents
3 HONEYPOT/HONEYNET
4 Security Onion
Hệ thống TT&PTTTANM
1
Đối tượng
2
Yếu tố cơ bản
4
Thành phần thu thập dữ liệu
ØThu thập toàn bộ dữ liệu nhật ký từ các
nguồn thiết bị, ứng dụng.
ØKiểm soát băng thông, không gian lưu
trữ.
ØPhân tách từng sự kiện và chuẩn hóa
các sự kiện vào một lược đồ chung.
ØTích hợp các sự kiện.
ØChuyển toàn bộ các sự kiện đã thu
thập về thành phần phân tích và lưu trữ.
5
Thành phần phân tích và lưu trữ
Ø Tập hợp nhật ký tập trung, tiến hành
phân tích, so sánh tương quan.
Ø Môđun phân tích sẽ được hỗ trợ bởi
các luật (được định nghĩa trước) cũng
như khả năng tuỳ biến, nhằm đưa ra
kết quả phân tích chính xác nhất.
Ø Hỗ trợ kết nối đến các hệ thống lưu
trữ dữ liệu giúp nâng cao khả năng lưu
trữ và xây dựng kế hoạch dự phòng,
chống mất mát dữ liệu. 6
Thành phần quản trị tập trung
7
Trung Tâm Điều Hành An Ninh
9
Kiến trúc SOC
1
Các nhân tố quyết định SOCs
1
Các nhân tố quyết định SOCs
§ Công nghệ: Cung cấp các giải pháp giám sát, phân
tích, phát hiện sự cố, điều tra truy vết sự cố.
§ Con người: Là những chuyên gia trong Trung tâm
điều hành an ninh, được phân công nhiệm vụ rõ ràng
để phối hợp vận hành hệ thống.
§ Quy trình: Là các quy định, quy trình, chính sách an
ninh thông tin được triển khai trên hệ thống.
1
Hướng dẫn triển khai SOC
www.themegallery.com
Ví dụ về sơ đồ tổ chức SOC
www.themegallery.com
Công nghệ sử dụng
1
Công nghệ sử dụng
Network and Security Monitoring (Traditionally owned by the Networking
Team) > Integrate with Security Requirements
• Network Performance Monitor - SNMP
• Network Monitoring
• Link Utilization
• Availability Monitoring
• SLA reporting
• Integration with service desk for automated ticket creation
1
Vận Hành SOC
1
Vận Hành SOC
§ Alert Analyst: Những chuyên viên có nhiệm vụ theo dõi,
giám sát, và cảnh báo từ hệ thống với thời gian 24/7.
Khi có cảnh báo từ hệ thống, sẽ phân tích, đánh giá và
chuyển tới Incident Responder hoặc SME/Hunter.
§ Incident Responder: Là những chuyên viên có nhiệm vụ
tiếp nhận những cảnh báo từ Alert Analyst. Thực hiện
ngăn chặn các sự cố được tiếp nhận.
§ SME/Hunter: Là những chuyên gia có kinh nghiệm làm
việc, có chuyên môn cao. Trực tiếp xử lý các sự cố an
ninh, điều tra, và đưa ra các điều lệnh ngăn chặn các
sự cố.
§ SOC Manager: Là người quản lý hệ thống SOC. Tiếp
nhận các thông tin báo cáo, phân tích từ các
SME/Hunter.
1
1 Hệ thống
TT&PTTTANM
2 Phương pháp thu thập
3 HONEYPOT/HONEYNET
4 Security Onion
Các mức thu thập dữ liệu
1
Thu thập thông tin trong LAN, WLAN
Ø LAN:
q Hubs
q SPAN Ports
q TAPS
Ø WLAN:
q Active participation
q Passive participation
q Monitoring on the WAP
1
Hub
Computer D Computer E
Computer A Computer B
Switch
Sniffer
Hub
Computer F
Server
1
Hub
Ø Ưu điểm:
q Giá thành thấp.
q Dễ dàng sử dụng.
Ø Nhược điểm:
q Hạn chế tốc độ truyền dữ liệu (Hub hoạt động
chế độ half duplex).
q Gây ra xung đột mạng (Collision).
q Khi Hub bị sự cố sẽ dẫn đến việc kết nối bị
ngắt. 2
SPAN ports
SPAN ports
DMZ
DEP D
DEP C
DEP B
DEP A
INET
2
SPAN ports
Ø Ưu điểm:
q Tích hợp sẵn trên hầu hết các switch
q Không tốn chi phí triển khai
q Khắc phục được các nhược điểm của
Hubs
q Có khả năng chuyển dữ liệu ở chế độ full
duplex
2
SPAN ports
Ø Nhược điểm:
q Việc cấu hình SPAN port khá phức tạp, đòi hỏi
chuyên môn cao .
q Có thể xảy ra tình trạng mất gói khi cấu hình
SPAN port vì dữ liệu được gửi đến cổng giám
sát cao hơn sơ với khả năng của cổng.
q Một số nhà sx chỉ cung cấp khả năng cấu hình
cho một hoặc hai cổng giám sát.
q Gây quá tải cho switch, ảnh hưởng đến hoạt
động của mạng. 2
TAP (Test access port)
2
TAP (Test access port)
Monitoring Device
2
TAP in-line kết hợp
2
TAP (Test access port)
Ø Ưu điểm:
qCó khả năng chuyển tiếp được các lỗi
tầng vật lý.
qKhông cần phải cấu hình, dễ dàng kết
nối.
qHỗ trợ tối đa khả năng sao chép dữ
liệu ở tốc độ cao với TAP in-line truyền
thống.
qKhông ảnh hưởng đến hiệu suất của 2
switch.
TAP (Test access port)
Ø Nhược điểm:
q Kết nối bị ngắt khi thi công, lắp đặt.
q Thiết bị phân tích phải có hai cổng mạng
(TAP in-line truyền thống).
q Chi phí cao hơi so với các giải pháp dùng
Hub, Switch.
2
Thu thập thông tin
Internet
Intruder
Sensor only sees
original channel
Sensor
DMZ
Intruder communicates
3
with second victim
Thu thập thông tin
Internet
Intruder
Sensor
Sensor via SPAN port
DMZ
3
Thu thập thông tin
Internet
Intruder
Sensor
DMZ
3
1 Hệ thống
TT&PTTTANM
2 Phương pháp thu thập
3 HONEYPOT/HONEYNET
4 Security Onion
Honeypot/Honeynet
LAN
workstation
DMZ
Honeypot
Proxy
Internet
LAN 3
Honeypot Attacker
Phân loại
3
BackOfficer Friendly (BOF)
3
Specter
3
Honeyd
4
Low interaction honeypot
ØƯu điểm:
qDễ cài đặt, cấu hình, triển khai thực tế.
qHỗ trợ ghi log, phân tích traffic ở mức
đơn giản.
qNhiều sản phẩm sẵn có.
4
Low interaction honeypot
ØNhược điểm:
qKhông có sự tương tác thật.
qKhả năng ghi log hạn chế.
qBị giới hạn về dịch vụ.
qDễ dàng bị phát hiện.
4
High interaction honeypot
ØƯu điểm:
qThu thập được thông tin một cách chi
tiết.
qKhó bị phát hiện.
qNgăn chặn các nguy cơ trong tương lai.
4
High interaction honeypot
ØNhược điểm:
q Chi phí triển khai cao.
q Phân tích tốn thời gian.
q Tốn thời gian vận hành, bảo dưỡng.
4
Honeypot/honeynet
Internet
192.168.1.10 192.168.1.15 192.168.1.20
192.168.1.254
eth0
Honeywall eth2
10.1.1.1
Honeypot Honeypot Honeypot eth1
192.168.1.100 192.168.1.101 192.168.1.102
4
Cơ chế thu nhận dữ liệu trong Honeynet
4
Cơ chế thu nhận dữ liệu trong Honeynet
4
Mô hình kiến trúc logic của Honeynet
Hệ thống Honeynet
4
Chức năng Honeynet
4
Kiểm soát dữ liệu
Honeypot
No Restrictions
Honeywall
Internet
Honeypot
Restrictions
SSH
intruder activity
Honeywall
Gateway
(Sebek Server)
Honeypot A Honeypot B Honeypot C 5
(Sebek Client) (Sebek Client) (Sebek Client)
Phân tích dữ liệu
5
Sơ đồ kiến trúc Honeywall
5
Giao diện Walleye
5
1 Hệ thống TT&PTTTANM
3 HONEYPOT/HONEYNET
4 Security Onion
Security Onion
Security Onion – Là một distro Linux chuyên về
phát hiện xâm nhập, giám sát an ninh, quản lý
các sự kiện an ninh trong hệ thống.
Security Onion
Security Onion được xây dựng trên Xubuntu 10.04
ØSnort Øtcpreplay
ØSuricata Ømetasploit / Armitage
ØSguil Ønmap / Zenmap
ØSquert Øscapy
ØOSSEC Øhping
ØXplico Ønetcat
Plug-and-play
SPAN
Traditional tap
(Net Optics is good but $$$)
DualComm tap/SPAN
(starts at $59.95!)
Inline using 2 NICs:
Internet --> [eth0 --> IPS engine --> eth1] --> LAN
IDS Engines
ØSnort 2.9.0.3
ØSuricata 1.1beta1
IDS Rules
Ønmap / Zenmap
Øhping3
Øinundator
Øostinato
Øscapy
Ømetasploit / Armitage
Sguil
http://bammv.github.io/sguil/index.html