CHƯƠNG II:

THIẾT LẬP HỆ THỐNG THU

THẬP THÔNG TIN AN NINH
MẠNG
1 Hệ thống TT&PTTTANM

2 Phương pháp thu thập

3 HONEYPOT/HONEYNET

4 Security Onion
 Hệ thống TT&PTTTANM

qThu thập, lưu trữ thông tin trên các

thành phần của hệ thống.
qPhân tích, xử lý các thông tin đã lưu
trữ.
qĐánh giá và đưa ra các cảnh báo cho
người quản trị hệ thống.

1
 Đối tượng

qMáy trạm (Client).

qMáy chủ (Server).
qCơ sở dữ liệu (Database).
qỨng dụng(Application).
qCác thiết bị mạng (Network devices).

2
 Yếu tố cơ bản

qXác định các đơn vị, hệ thống, thiết bị,

dịch vụ cần giám sát.
qXác định trang thiết bị, giải pháp phần
mềm thương mại cần giám sát.
qXác định phần mềm nội bộ và phần
mềm mã nguồn mở phục vụ giám sát.
qXác định các thiết bị, công cụ, giải
pháp hỗ trợ phân tích kết quả giám sát.
qXác định quy trình giám sát.
3
 Cấu trúc

qThành phần thu thập dữ liệu.

qThành phần phân tích và lưu trữ.
qThành phần quản trị tập trung.
qCác thành phần khác.

4
 Thành phần thu thập dữ liệu
ØThu thập toàn bộ dữ liệu nhật ký từ các
nguồn thiết bị, ứng dụng.
ØKiểm soát băng thông, không gian lưu
trữ.
ØPhân tách từng sự kiện và chuẩn hóa
các sự kiện vào một lược đồ chung.
ØTích hợp các sự kiện.
ØChuyển toàn bộ các sự kiện đã thu
thập về thành phần phân tích và lưu trữ.
5
 Thành phần phân tích và lưu trữ
Ø Tập hợp nhật ký tập trung, tiến hành
phân tích, so sánh tương quan.
Ø Môđun phân tích sẽ được hỗ trợ bởi
các luật (được định nghĩa trước) cũng
như khả năng tuỳ biến, nhằm đưa ra
kết quả phân tích chính xác nhất.
Ø Hỗ trợ kết nối đến các hệ thống lưu
trữ dữ liệu giúp nâng cao khả năng lưu
trữ và xây dựng kế hoạch dự phòng,
chống mất mát dữ liệu. 6
 Thành phần quản trị tập trung

ØCung cấp giao diện quản trị. Các giao

diện được phân quyền theo vai trò của
người quản trị.
ØHỗ trợ các mẫu báo cáo, các giao diện
theo dõi, điều kiện lọc, tập luật…
ØHỗ trợ các công cụ cho việc xử lý các sự
kiện an toàn mạng xảy ra trong hệ thống.

7
 Trung Tâm Điều Hành An Ninh

ØSecurity Operation Center (SOC).

§ Xử lý các vấn đề an ninh tập trung.
§ Bao gồm các chuyên gia phân tích an ninh,
để phát hiện phân tích, phản ứng, báo cáo
và ngăn chặn các sự cố ANM

9
Kiến trúc SOC

1
Các nhân tố quyết định SOCs

1
 Các nhân tố quyết định SOCs
§ Công nghệ: Cung cấp các giải pháp giám sát, phân
tích, phát hiện sự cố, điều tra truy vết sự cố.
§ Con người: Là những chuyên gia trong Trung tâm
điều hành an ninh, được phân công nhiệm vụ rõ ràng
để phối hợp vận hành hệ thống.
§ Quy trình: Là các quy định, quy trình, chính sách an
ninh thông tin được triển khai trên hệ thống.

1
Hướng dẫn triển khai SOC

www.themegallery.com
Ví dụ về sơ đồ tổ chức SOC

www.themegallery.com
 Công nghệ sử dụng

SIEM 2.0 Solutions (NOT just Log Management)

• Event Collector and Processor – Syslog, Log Files, SMB, ODBC > All Log
Sources
• Flow Collection and Processor – NetFlow, J-Flow, S-Flow, IPIX
• Asset Database (Based on Asset Criticality, Risk and Vulnerability, System and
Business Owner)
• Event and Flow Correlation – Advanced Threat Analytics
• Centralized Management Console for Security Dashboard and Reporting
• Integration with service desk for automated ticket creation > Offense Management

Compliance Management and Policy Conformance

• Configuration Audit across Infrastructure Systems and Devices
• ISO27001 / PCI-DSS3.0 / IEC-62443 Security Policy Compliance
• Risk Management – Identification and Mitigation
• Baseline Configuration Violation Monitoring (Continuous Compliance / Monitoring)
• Network Topology Mapping and Visualization
• Vulnerability Assessment and Management

1
 Công nghệ sử dụng
Network and Security Monitoring (Traditionally owned by the Networking
Team) > Integrate with Security Requirements
• Network Performance Monitor - SNMP
• Network Monitoring
• Link Utilization
• Availability Monitoring
• SLA reporting
• Integration with service desk for automated ticket creation

Security Analysis and Threat Intelligence

• Network Forensics (Raw Packet Capture > Session Reconstruction)
• Situation Awareness
• Artifacts and Packet Reconstruction (Chain of Custody)
• Monitor all Internet Activity (Linked to Identity (username) as opposed to IPs)
• Record metadata for recursive analysis during incident response
• Integration with Incident Response Handling (IRH)
• Threat Intelligence and Global Landscape

1
Vận Hành SOC

1
 Vận Hành SOC
§ Alert Analyst: Những chuyên viên có nhiệm vụ theo dõi,
giám sát, và cảnh báo từ hệ thống với thời gian 24/7.
Khi có cảnh báo từ hệ thống, sẽ phân tích, đánh giá và
chuyển tới Incident Responder hoặc SME/Hunter.
§ Incident Responder: Là những chuyên viên có nhiệm vụ
tiếp nhận những cảnh báo từ Alert Analyst. Thực hiện
ngăn chặn các sự cố được tiếp nhận.
§ SME/Hunter: Là những chuyên gia có kinh nghiệm làm
việc, có chuyên môn cao. Trực tiếp xử lý các sự cố an
ninh, điều tra, và đưa ra các điều lệnh ngăn chặn các
sự cố.
§ SOC Manager: Là người quản lý hệ thống SOC. Tiếp
nhận các thông tin báo cáo, phân tích từ các
SME/Hunter.
1
1 Hệ thống
TT&PTTTANM
2 Phương pháp thu thập

3 HONEYPOT/HONEYNET

4 Security Onion
 Các mức thu thập dữ liệu

q Thông tin dữ liệu trao đổi trong mạng.

q Dữ liệu nhật ký, sự kiện trên host.
q Dữ liệu nhật ký, sự kiện trên các thiết bị
mạng.

1
 Thu thập thông tin trong LAN, WLAN

Ø LAN:
q Hubs
q SPAN Ports
q TAPS
Ø WLAN:
q Active participation
q Passive participation
q Monitoring on the WAP
1
 Hub

Computer D Computer E

Computer A Computer B

Switch

Sniffer
Hub

Computer F

Server
1
 Hub
Ø Ưu điểm:
q Giá thành thấp.
q Dễ dàng sử dụng.
Ø Nhược điểm:
q Hạn chế tốc độ truyền dữ liệu (Hub hoạt động
chế độ half duplex).
q Gây ra xung đột mạng (Collision).
q Khi Hub bị sự cố sẽ dẫn đến việc kết nối bị
ngắt. 2
 SPAN ports

Protocol Analyzer IDS/IPS

SPAN ports
DMZ

DEP D
DEP C
DEP B
DEP A
INET

2
 SPAN ports
Ø Ưu điểm:
q Tích hợp sẵn trên hầu hết các switch
q Không tốn chi phí triển khai
q Khắc phục được các nhược điểm của
Hubs
q Có khả năng chuyển dữ liệu ở chế độ full
duplex
2
 SPAN ports
Ø Nhược điểm:
q Việc cấu hình SPAN port khá phức tạp, đòi hỏi
chuyên môn cao .
q Có thể xảy ra tình trạng mất gói khi cấu hình
SPAN port vì dữ liệu được gửi đến cổng giám
sát cao hơn sơ với khả năng của cổng.
q Một số nhà sx chỉ cung cấp khả năng cấu hình
cho một hoặc hai cổng giám sát.
q Gây quá tải cho switch, ảnh hưởng đến hoạt
động của mạng. 2
 TAP (Test access port)

qTAP là thiết bị dùng để sao chép dữ liệu

giữa hai điểm trên hệ thống mạng (router-
firewall, switch-switch, host-switch…).
qTất cả các gói tin được sao chép sẽ
chuyển đến cổng giám sát.

2
 TAP (Test access port)

Firewall Switch Switch

Monitoring Device

q Có 2 loại TAP in-line:

• TAP in-line truyền thống.
• TAP in-line kết hợp. 2
 TAP in-line truyền thống

• Chuyển dữ liệu từ hai chiều (Rx/Tx) của kết nối

full duplex ra hai cổng giám sát khác nhau.
• Thiết bị phân tích giám sát phải kết hợp dữ
liệu lại với nhau thông qua hai cổng mạng và
bộ định thời gian chung.

2
 TAP in-line kết hợp

• Có khả năng kết hợp dữ liệu cả hai chiều

Rx/Tx thành một luồng dữ liệu.
• Dữ liệu được xuất ra trên một cổng giám
sát.

2
 TAP (Test access port)
Ø Ưu điểm:
qCó khả năng chuyển tiếp được các lỗi
tầng vật lý.
qKhông cần phải cấu hình, dễ dàng kết
nối.
qHỗ trợ tối đa khả năng sao chép dữ
liệu ở tốc độ cao với TAP in-line truyền
thống.
qKhông ảnh hưởng đến hiệu suất của 2
switch.
 TAP (Test access port)

Ø Nhược điểm:
q Kết nối bị ngắt khi thi công, lắp đặt.
q Thiết bị phân tích phải có hai cổng mạng
(TAP in-line truyền thống).
q Chi phí cao hơi so với các giải pháp dùng
Hub, Switch.

2
 Thu thập thông tin

Internet
Intruder
Sensor only sees
original channel

Sensor
DMZ

Intruder communicates
3
with second victim
 Thu thập thông tin

Internet
Intruder
Sensor
Sensor via SPAN port

DMZ

3
 Thu thập thông tin

Internet
Intruder
Sensor

DMZ

3
1 Hệ thống
TT&PTTTANM
2 Phương pháp thu thập

3 HONEYPOT/HONEYNET

4 Security Onion
 Honeypot/Honeynet

q Honeypot – hệ thống tài nguyên thông tin

được xây dựng với mục đích giả dạng,
đánh lừa những kẻ sử dụng và xâm nhập
không hợp pháp, ngăn cho chúng không
tiếp xúc với hệ thống thật.
q Honeypot – có thể giả dạng bất cứ loại
máy chủ tài nguyên nào (Mail Server, DNS,
Web…).
3
 Mục đích

Ø Thu thập các kỹ thuật, phương pháp tấn

công mới, mẫu mã độc mới được hacker
sử dụng.
Ø Giúp sớm phát hiện ra các lỗ hổng bảo mật
trong hệ thống thật.
Ø Thu thập thông tin, dấu vết của kẻ tấn
công để phục vụ trong công tác điều tra
số.
3
 Honeypot/Honeynet

LAN
workstation

DMZ
Honeypot
Proxy

Internet
LAN 3
Honeypot Attacker
 Phân loại

qTương tác thấp (Low Interaction).

ØBackOfficer Friendly (BOF)
ØSpecter
ØHoneyd
qTương tác cao (High Interaction).
ØHoneynet

3
 BackOfficer Friendly (BOF)

ØHoneypot tương tác thấp.

ØTương thích với bất kỳ phiên bản
Windows, Unix.
ØChỉ hỗ trợ một số dịch vụ như FTP,
Telnet, SMTP.

3
 Specter

ØHoneypot tương tác thấp nhưng tốt hơn BOF.

ØCó thể giả lập 14 port.
ØCó thể cảnh báo và quản lý từ xa.
ØBị giới hạn số dịch vụ hỗ trợ.

3
 Honeyd

ØHoneypot tương tác thấp.

ØCó thể lắng nghe trên tất cả các cổng
TCP, UDP.
ØCó thể mô phỏng được 473 OS.
ØBị giới hạn số dịch vụ hỗ trợ và không
có cơ chế cảnh báo khi hệ thống bị xâm
nhập.
3
 Honeynet

ØHoneypot tương tác cao.

ØLà một hệ thống thật.
ØCung cấp đầy đủ các ứng dụng, dịch vụ
thật.

4
 Low interaction honeypot

ØƯu điểm:
qDễ cài đặt, cấu hình, triển khai thực tế.
qHỗ trợ ghi log, phân tích traffic ở mức
đơn giản.
qNhiều sản phẩm sẵn có.

4
 Low interaction honeypot

ØNhược điểm:
qKhông có sự tương tác thật.
qKhả năng ghi log hạn chế.
qBị giới hạn về dịch vụ.
qDễ dàng bị phát hiện.

4
 High interaction honeypot

ØƯu điểm:
qThu thập được thông tin một cách chi
tiết.
qKhó bị phát hiện.
qNgăn chặn các nguy cơ trong tương lai.

4
 High interaction honeypot

ØNhược điểm:
q Chi phí triển khai cao.
q Phân tích tốn thời gian.
q Tốn thời gian vận hành, bảo dưỡng.

4
 Honeypot/honeynet
Internet
192.168.1.10 192.168.1.15 192.168.1.20

192.168.1.254

eth0
Honeywall eth2
10.1.1.1
Honeypot Honeypot Honeypot eth1
192.168.1.100 192.168.1.101 192.168.1.102

4
Cơ chế thu nhận dữ liệu trong Honeynet

4
Cơ chế thu nhận dữ liệu trong Honeynet

q Thu nhận dữ liệu từ tường lửa.

q Thu nhận dữ liệu từ luồng dữ liệu mạng.
q Thu nhận dữ liệu từ hoạt động của
honeypot trong hệ thống.

4
 Mô hình kiến trúc logic của Honeynet

Hệ thống Honeynet

Điều khiển dữ liệu Chính sách

Luồng thông tin
(Kiểm soát dữ liệu) (IPtables + Snort)

Thu nhận dữ liệu

Lưu trữ
(Sebek client-server)
dữ liệu

Phân tích dữ liệu

( Walley)

Kết quả phân tích

4
 Chức năng Honeynet

q Kiểm soát dữ liệu.

q Thu thập dữ liệu.
q Phân tích dữ liệu.

4
 Kiểm soát dữ liệu
Honeypot
No Restrictions
Honeywall
Internet
Honeypot

Restrictions

v Đếm số kết nối.

v Snort-inline.
v Kiểm soát băng thông.
5
 Thu thập dữ liệu
v Sử dụng Sebek.
v Sebek Client- Sebek Server.
Internet
Attacker

SSH
intruder activity

Honeywall
Gateway
(Sebek Server)
Honeypot A Honeypot B Honeypot C 5
(Sebek Client) (Sebek Client) (Sebek Client)
 Phân tích dữ liệu

v Phân tích gói tin.

v Phân tích luồng dữ liệu.
v Phân tích nhật ký sự kiện.
v Sử dụng Walleye.

5
Sơ đồ kiến trúc Honeywall

5
Giao diện Walleye

5
1 Hệ thống TT&PTTTANM

2 Phương pháp thu thập

3 HONEYPOT/HONEYNET

4 Security Onion
 Security Onion
Security Onion – Là một distro Linux chuyên về
phát hiện xâm nhập, giám sát an ninh, quản lý
các sự kiện an ninh trong hệ thống.
 Security Onion
Security Onion được xây dựng trên Xubuntu 10.04
ØSnort Øtcpreplay
ØSuricata Ømetasploit / Armitage
ØSguil Ønmap / Zenmap
ØSquert Øscapy
ØOSSEC Øhping
ØXplico Ønetcat

và nhiều công cụ bảo mật khác nữa…

Security Onion
 Security Onion
Security Onion is booted, now what?
ØRun Setup to configure Snort/Suricata/Sguil and then login to
Sguil to view alerts
Ø Use packet analysis tools to analyze packets
Ø Use packet crafting tools to test other IDSs
Ø Install to hard drive
Ø Standard Ubuntu installer
Ø Takes 10-20 minutes (depending on hardware)
Ø Creates a user account
Ø Reboot, remove DVD, and login with new user
 Security Onion

Plug-and-play

SPAN

Traditional tap
(Net Optics is good but $$$)
DualComm tap/SPAN
(starts at $59.95!)
Inline using 2 NICs:
Internet --> [eth0 --> IPS engine --> eth1] --> LAN
 IDS Engines

ØSnort 2.9.0.3
ØSuricata 1.1beta1
 IDS Rules

Ø Emerging Threats ruleset included

Ø Write your own rules
Ø Oinkmaster and PulledPork are included for automated rules
management
Ø Setup script uses PulledPork to download latest Emerging Threats
ruleset and (optionally) Snort VRT ruleset
IDS Rules Create Alerts in Sguil
IDS Alert Management using Sguil

Launch Sguil client in Security Onion

IDS Alert Management using Sguil
Launch Sguil client remotely and display on your
Windows box using ssh X-Forwarding
IDS Alert Management using Squert

Squert (web interface), now with alert visualization!

Packet Analysis/Forensics
Security Onion menu:
argus
bro
chaosreader
ngrep
Snort
tcpdump
tcpreplay
tcpxtract
Tshark
Wireshark
vortex
Xplico
Packet Crafting

Ønmap / Zenmap
Øhping3
Øinundator
Øostinato
Øscapy
Ømetasploit / Armitage
 Sguil
http://bammv.github.io/sguil/index.html

qSguil (phát âm sgweel) là công cụ mã nguồn

mở cho việc giám sát ANM.
qSguil hỗ trợ giám sát theo thời gian thực,
chặn bắt và phân tích gói tin theo nhiều chế độ
khác nhau.
qSguil client được viết bằng tcl/tk và chạy trên
tất cả các hệ điều hành hỗ trợ tcl/tk (Linux, BSD,
Solaris, Win32, MacOS).
 Sguil NSM Frontend
http://bammv.github.io/sguil/index.html

qSguil (phát âm sgweel) là công cụ mã nguồn

mở cho việc giám sát ANM.
qSguil hỗ trợ giám sát theo thời gian thực,
chặn bắt và phân tích gói tin theo nhiều chế độ
khác nhau.
qSguil client được biết bằng tcl/tk và chạy trên
tất cả các hệ điều hành hỗ trợ tcl/tk (Linux, BSD,
Solaris, Win32, MacOS).