Trung tâm ứng cứu khẩn cấp Máy tính Việt Nam (VNCERT) Báo cáo tổng kết đề tài: Nghiên cứu xây dựng hệ thống theo dõi, giám sát an toàn mạng theo mô hình quản lý tập trung để bảo vệ mạng Internet Việt Nam Cnđt: Vũ Quốc Khánh 8818 Hà néi - 2011 MỤC LỤC BÁC CÁO THỐNG KÊ iii MỤC LỤC DANH MỤC HÌNH VẼ CÁC THUẬT NGỮ VÀ VIẾT TẮT 12 CHƢƠNG I NGHIÊN CỨU THIẾT KẾ KIẾN TRÚC TỔNG THỂ HỆ THỐNG, CHỌN LỌC CÁC CHUẨN THÔNG TIN VÀ THIẾT BỊ 15 I.1 Nghiên cứu đề xuất mục tiêu, yêu cầu cấu trúc chung hệ thống giám sát an toàn mạng Internet 15 I.1.1 Hiện trạng tổ chức hạ tầng mạng Internet nguy an tồn thơng tin mạng Internet Việt Nam 15 I.1.2 Mục tiêu khả thi cho Hệ thống theo dõi giám sát an toàn mạng Internet Việt Nam 38 I.1.3 Kinh nghiệm triển khai số hệ thống giám sát an toàn mạng nƣớc 51 I.2 Nghiên cứu áp dụng tiêu chuẩn chuẩn quốc tế phục vụ cho xây dựng hệ thống 71 I.2.1 Nghiên cứu phân tích áp dụng tiêu chuẩn quốc tế hệ thống quản lý an tồn thơng tin tiêu chuẩn quy tắc thực hành đảm bảo an tồn thơng tin (ISO 17799:2005 ISO 27001:2005) cho hệ thống 71 I.2.2 Nghiên cứu, phân tích chuẩn quốc tế định dạng trao đổi thông tin cố an toàn mạng (IODEF tổ chức IETF) 77 I.2.3 Đề xuất khung trao đổi thông tin cố ATM khung trao đổi thông báo phát công mạng áp dụng 80 I.2.4 Nghiên cứu, phân tích chuẩn quốc tế định dạng trao đổi thông báo phát công mạng 82 I.3 Nghiên cứu lựa chọn nguồn cung cấp thơng tin an tồn mạng 86 I.3.1 Phân tích khả sử dụng khai thác thơng tin ATM từ nguồn cung cấp thông tin khác 86 I.4 Thiết kế kiến trúc tổng 90 I.4.1 Kiến trúc hệ thống 90 I.4.2 Lƣợc đồ liệu tổng thể 91 I.5 Hoàn thiện thiết kế tổng thể 94 1.5.1 Nội dung thực 94 1.5.2 Nhận xét chung 94 I.5.3 Yêu cầu chỉnh sửa, hoàn thiện cho sản phẩm đƣợc nhánh thực 96 CHƢƠNG II PHÁT TRIỂN HỆ THỐNG CƠ SỞ DỮ LIỆU TÍCH HỢP GIÁM SÁT AN TOÀN MẠNG (NSIDB) 98 II.1 Nghiên cứu, phân tích nguồn liệu đầu vào, chọn lựa cơng nghệ CSDL tích hợp NSIDB 98 II.1.1 Nghiên cứu, phân tích nguồn cung cấp thông tin ATM đƣa vào hệ thống CSDL tích hợp NSIDB 98 II.1.2 Xác định định dạng loại liệu đầu vào cho hệ thống CSDL tích hợp NSIDB 105 II.1.3 Phân tích lựa chọn công nghệ phù hợp áp dụng cho hệ thống CSDL tích hợp NSIDB, có khả mở rộng để kết nối tới nguồn liệu tƣơng thích nƣớc ngồi thơng tin ATM 111 II.2 Nghiên cứu, thiết kế hệ thống CSDL tích hợp NSIDB 118 II.2.1 Nghiên cứu, thiết kế phƣơng thức trao đổi thông tin CSDL với thành phần khác hệ thống 118 II.2.2 Thiết kế CSDL lƣu dự phịng khơi phục liệu có cố xảy 124 II.2.3 Thiết kế giải pháp bảo mật CSDL tích hợp giám sát an toàn mạng 125 II.2.4 Thiết kế tổng thể hệ thống CSDL tích hợp giám sát an tồn mạng NSIDB 130 II.3.1 Thiết kế chi tiết phân hệ CSDL lƣu trữ thông tin cố an toàn mạng 136 II.3.2 Thiết kế chi tiết phân hệ CSDL lƣu trữ thông tin công mạng 137 II.3.3 Thiết kế chi tiết phân hệ CSDL lƣu trữ thông tin trạng thái hệ thống xung yếu 138 II.3.4 Thiết kế chi tiết phân hệ CSDL lƣu trữ thông tin quản trị ngƣời sử dụng 140 Thiết kế chi tiết liệu 140 II.4 Xây dựng, triển khai phân hệ CSDL tích hợp NSIDB 141 II.4.1 Xây dựng, triển khai cài đặt, thử nghiệm phân hệ CSDL lƣu trữ thông tin cố ATM, phân hệ CSDL lƣu trữ thông tin công mạng So sánh với kết lý thuyết 141 II.4.2 Xây dựng, triển khai cài đặt, thử nghiệm phân hệ CSDL lƣu trữ thông tin trạng thái hệ thống xung yếu, phân hệ CSDL lƣu trữ thông tin quản trị ngƣời sử dụng 145 CHƢƠNG III NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN ATM TRUNG TÂM 149 III.1 Tổng quan 149 III.1.1 Phân hệ hỗ trợ xử lý thông báo cố 149 III.1.2 Phân hệ tiếp nhận thơng tin an tồn mạng tự động NSIAR 150 III.1.3 Khảo sát đánh giá trạng 150 III.1.4 Nghiên cứu thiết kế giao thức thu thập thơng tin an tồn mạng – ISGP 151 III.1.5 Nghiên cứu, thiết kế xây dựng phân hệ hỗ trợ xử lý thơng báo cố an tồn mạng - SAMS 151 III.1.6 Nghiên cứu xây dựng phân hệ tiếp nhận thơng tin an tồn mạng tự động NSIAR 151 III.1.7 Phƣơng pháp nghiên cứu 152 III.2 Các kết nghiên cứu đạt đƣợc nhánh 153 III.2.1 Nghiên cứu thiết kế giao thức thu thập thơng tin an tồn mạng – ISGP 153 III.2.2 Thiết kế tổng thể hệ thống tiếp nhận thơng tin an tồn mạng 160 III.2.3 Nghiên cứu, thiết kế xây dựng phân hệ hỗ trợ xử lý thông báo cố an toàn mạng - SAMS 161 III.2.4 Nghiên cứu, thiết kế xây dựng phân hệ tiếp nhận thơng tin an tồn mạng tự động NSIAR 165 III.2.5 Kết đạt đƣợc nhánh 170 III.3 Kết luận 171 CHƢƠNG IV PHÁT TRIỂN HỆ PHẦN MỀM TÁC NGHIỆP XỬ LÝ THEO DÕI – THỐNG KÊ – CẢNH BÁO VÀ ĐIỀU KHIỂN (SIPS) 172 IV.1 Nghiên cứu, phân tích số hệ thống xử lý thông tin theo dõi thống kê - cảnh báo thơng tin an tồn mạng giới 172 IV.1.1 Internet Storm Center (ISC) 172 IV.1.2 Honeypots 173 IV.1.3 Honeynet 174 IV.1.4 Symantec Security Response 174 IV.2 Nghiên cứu xác định chi tiết tiêu chí thơng tin cần phải theo dõi thống kê tình hình an tồn mạng Internet Việt Nam 175 IV.2.1 Các nguồn thông tin cần để thu thập, theo dõi thống kê 175 IV.2.2 Phân tích thơng tin cần theo dõi thống kê 176 IV.2.3 Các tiêu chí thơng tin cần phải theo dõi thống kê tình hình an tồn mạng Internet Việt Nam 177 IV.3 Nghiên cứu, phân tích cấp độ cảnh báo, hình thức cảnh báo yêu cầu biểu mẫu thông tin cảnh báo tình hình an tồn mạng Việt Nam 178 IV.3.1 Tìm hiểu hệ thống cấp độ cảnh báo định nghĩa mức cảnh báo Internet Việt Nam 178 IV.3.2 Hình thức cảnh báo 179 IV.3.3 Các mẫu biểu cảnh báo 179 IV.4 Nghiên cứu, phân tích thiết kế xây dựng giao thức giao tiếp hệ SIPS sensor chuyên dụng 180 IV.4.1 Chức nguyên tắc hoạt động hệ tập trung máy trinh sát 181 IV.4.2 Phân tích giao thức 181 IV.5 Phân tích thiết kế chức theo dõi hệ thống SIPS 181 IV.5.1 Hệ thống giám sát 182 IV.5.2 Mơ hình hệ thống giám sát 182 IV.5.3 Các thông tin thƣờng giám sát 182 IV.5.4 Thực giám sát theo 10 tiêu chí 182 IV.6 Phân tích thiết kế mơ đun chức thống kê hệ thống SIPS 183 IV.6.1 Các thành phần mô đun thống kê 184 IV.6.2 Một số thuật tốn áp dụng cho mơ đun thống kê 184 IV.7 Phân tích thiết kế mơ đun chức cảnh báo hệ thống SIPS 184 IV.7.1 Hệ thống đăng ký 184 IV.7.2 Hệ thống gửi cảnh báo 185 IV.7.3 Hệ thống Infocon 186 IV.8 Phân tích thiết kế mơ đun chức quản lý sensor chuyên dụng 187 IV.8.1 Chức quản lý tổng thể tất máy trinh sát 187 IV.8.2 Chức quản lý máy trinh sát 188 IV.9 Phân tích thiết kế mơ đun quản trị chung (quản trị ngƣời dùng, lƣu trữ dự phịng, quản trị hệ thống , cấu hình, ghi nhận thông tin, … ) hệ thống SIPS 189 IV.9.1 Cách thức quản lý phân quyền 189 IV.9.2 Giải pháp phpGACL 189 IV.10 Phân tích thiết kế giao diện hỗ trợ giám sát tình hình an tồn mạng 24/24 190 IV.10.1 Phân tích chức thành phần giao diện hỗ trợ giám sát an toàn mạng 190 IV.10.2 Xây dựng giao diện theo chức 190 IV.11 Lập trình, thử nghiệm mô đun chức theo dõi, mô đun chức thống kê, mô đun chức cảnh báo hệ thống SIPS Phân tích, đánh giá so sánh với kết lý thuyết 191 IV.11.1 Mô đun chức theo dõi 191 IV.11.2 Mô đun chức thống kê 192 IV.11.3 Mô đun chức cảnh báo 192 IV.12 Lập trình, thử nghiệm mô đun chức quản lý sensor chuyên dụng, mô đun quản trị chung 193 IV.12.1 Mô đun quản lý sensor chuyên dụng 193 IV.12.2 Mô đun quản trị chung 193 IV.13 Lập trình, thử nghiệm mô đun kết nối với CSDL NSIDB, mơ đun giao diện hỗ trợ giám sát tình hình ATM 24/24 194 IV.13.1 Mô đun kết nối sở liệu NSIDB 194 IV.13.2 Mô đun giao diện hỗ trợ giám sát tình hình an tồn mạng 195 CHƢƠNG V PHÁT TRIỂN SẢN PHẨM SENSOR CHUYÊN DÙNG DO VIỆT NAM LÀM CHỦ VỀ CÔNG NGHỆ 196 V.1 Tổng quan 196 V.1.1 Thiết bị sensor đặc thù thu thập thơng tin an tồn mạng: 196 V.1.2 Phần mềm thu thập thông tin an toàn mạng đầu cuối (trên hệ điều hành Windows): 197 V.1.3 Nghiên cứu vấn đề lý thuyết vấn đề: 197 V.1.4 Nghiên cứu thiết kế hệ thống thiết bị sensor: 198 V.1.5 Nghiên cứu, xây dựng mô đun phần mềm cho sensor: 198 V.1.6 Nghiên cứu, xây dựng phần mềm theo dõi an toàn mạng máy đầu cuối: 198 V.2 Các kết nghiên cứu đạt đƣợc nhánh 199 V.2.1 Nghiên cứu vấn đề lý thuyết 199 V.2.2 Nghiên cứu thiết kế hệ thống thiết bị sensor 202 V.2.3 Nghiên cứu, xây dựng mô đun phần mềm cho sensor 206 V.2.4 Nghiên cứu, xây dựng phần mềm theo dõi an toàn mạng máy đầu cuối 210 V.3 Các kết thử nghiệm môi trƣờng mạng thực 211 V.4 Kết luận 213 V.5 Danh mục thiết bị sensor mẫu 213 V.6 Kết thử nghiệm cho thiết bị sensor VDC 215 V.6.1 Các yêu cầu phƣơng án đặt thiết bị Sensor 215 V.6.2 Kiểm tra chức hoạt động thiết bị Sensor: 216 V.6.3 Kiểm tra chức hoạt động phần mềm đầu cuối Windows 217 V.6.4 Mô tả chi tiết lắp đặt sensor để triển khai thử nghiệm 218 CHƢƠNG VI PHÁT TRIỂN GIẢI PHÁP, CƠNG CỤ TÍCH HỢP MỘT SỐ THIẾT BỊ AN TOÀN MẠNG THƢƠNG MẠI ĐANG PHỔ BIẾN Ở VIỆT NAM 226 VI.1 Tổng quan 226 VI.2 Phƣơng pháp nội dung nghiên cứu 226 VI.2.1 Phƣơng pháp nghiên cứu 227 VI.1.2 Các nội dung nghiên cứu 228 VI.3 Tổng hợp sản phẩm kết đạt đƣợc nhánh 228 VI.3.1 Cấu trúc chuẩn tiếp nhận thơng tin an tồn mạng 228 VI.3.2 Cấu trúc chuẩn hóa thơng tin an toàn mạng 235 VI.3.3 Thiết kế tổng thể phần mềm thu nhận thông tin an toàn mạng thƣơng mại 238 VI.3.4 Sản phẩm thu đƣợc 244 VI.4 Kết luận 245 CHƢƠNG VII THỬ NGHIỆM, ĐO KIỂM VÀ PHÂN TÍCH ĐÁNH GIÁ HIỆU NĂNG CỦA HỆ THỐNG 247 VII.1 Tóm tắt nội dung thực 247 VII.2 Mô tả thử nghiệm 248 VII.2.1 Phân tích, đánh giá kết thử nghiệm 248 VII.1.2 Phân tích, đánh giá hiệu tồn hệ thống, so sánh với kế lý thuyết 259 VII.1.3 Kết luận 260 VII.3 Nghiên cứu rà soát để đƣa yêu cầu chỉnh sửa, hoàn thiện cho tất sản phẩm nhánh đề tài khác 260 VII.3.1 Báo cáo kết rà soát, đánh giá thử nghiệm 260 CHƢƠNG VIII KẾT QUẢ TRIỂN KHAI HỆ THÔNG TRÊN MÔI TRƢỜNG MẠNG THỰC TẾ 264 VIII.1 Sơ đồ hệ thống thực tế 264 VIII.2 Đánh giá kết triển khai hệ thống giám sát an toàn mạng quốc gia 265 VIII.3 Kết luận 267 TÀI LIỆU THAM KHẢO 268 DANH MỤC HÌNH VẼ Hình I.1: Mơ hình mạng lõi (Core) nhà kết nối Internet 16 Hình I.2: Mơ tả Kết nối Internet trung chuyển nƣớc 18 Hình I.3: Sơ đồ kết nối trung chuyển qua VNIX 18 Hình I.4: Kết nối từ Nhà cung cấp dịch vụ kết nối Internet đến khách hàng 20 Hình I.5: Sơ đồ kết nối khách hàng Bƣu điện địa phƣơng 21 Hình I.6: Sơ đồ kết nối từ ISP đến khách hàng 24 Hình I.7: Sơ đồ hoạt động quan chủ quản 59 Hình I.8: Lƣợc đồ mơ tả ngữ cảnh tổng thể Hệ thống theo dõi, giám sát an toàn mạng Internet Việt Nam 62 Hình I.9: Sơ đồ cấu trúc chức chung hệ thống 65 Hình I.10: Thu thập thơng tin từ thiết bị 81 Hình I.11: Mơ hình hoạt động 90 Hình I.12: Lƣợc đồ giám sát phát cố 92 Hình I.13: Lƣợc đồ hoạt động phân tích cố 93 Hình I.14: Lƣợc đồ báo cáo phát cố 93 Hình I.15: Lƣợc đồ phản ứng/ứng cứu cố 94 Hình II.1: Mơ hình tổng thể phần mềm tiếp nhận thông tin 98 Hình II.2: Mơ hình hệ thống quản lý an tồn Internet 112 Hình II.3: Hệ tập trung Hình II.4: Sơ đồ hoạt động hệ thống giám sát mạng 116 Hình II.5: Hệ thống CSDL tích hợp NSIDB 117 Hình II.5: Cấu trúc chung hệ thống CSDL tích hợp NSIDB 120 Hình II.6: Thu thập thơng tin từ thiết bị 122 Hình II.7: Sơ đồ tƣơng tác CSDL thành phần xử lý hệ thống 136 Hình II.8: Sơ đồ liên kết CSDL lƣu trữ thông tin cố 142 Hình II.9: Sơ đồ liên kết CSDL thông tin công 144 Hình II.10: Nhóm liên kết bảng máy chủ 146 Trong q trình thực hiện, nhóm có thêm số nghiên cứu lý thuyết thử nghiệm, cụ thể là: - Phân loại công xâm nhập thơng tin thu - Phương thức thu thập thông tin, phương pháp bắt giữ gói tin, phương pháp phát xâm nhập hành vi bất thường - Mơ hình phát xâm nhập lưu lượng bất thường có thích nghi - Topology cho thiết bị sensor mạng phù hợp cho việc thu thập thông tin - Một số giải pháp phần cứng tiêu biểu thiết bị phụ trợ cần thiết Nhóm đề xuất sử dụng thiết bị Tap để lấy mẫu thông tin Cách thức cho phép đặt thiết bị sensor không làm ảnh hưởng tới hoạt động bình thường mạng Về phát xâm nhập lưu lượng bất thường, nhóm đề xuất mơ hình kiến trúc thích nghi phát xâm nhập Hệ thích nghi phát xâm nhập dựa sở khai phá liệu thu thập từ sensor Một thuật toán phát bất thường xây dựng nhằm giúp mơ hình đạt hiệu hơn, tránh liệu nhiễu Thuật toán xây dựng sở cho phép lượng nhỏ liệu không “sạch” lẫn với lưu lượng liệu bình thường mạng Cơ sở xây dựng hệ thống thuật tốn xác suất, có khả thích nghi với lượng liệu nhiễu tồn hệ thống Về trao đổi thông tin với trung tâm giám sát, quản lý cấu hình phần mềm sensor, nhóm đề xuất giải pháp sử dụng truy cập từ xa qua kênh kết nối bảo mật SSH Thông qua phiên làm việc thiết lập với SSH, việc cập nhật cấu hình cho sensor thay đổi cấu hình phần mềm sensor hồn tốn dễ dàng Ngồi ra, nhóm đề xuất giải pháp kết nối mạng riêng ảo cho thiết bị sensor để kết nối với trung tâm giám sát Các kết nghiên cứu phân tích dựa báo cáo nghiên cứu thực đề tài cho thấy việc thực lựa chọn cấu hình thiết bị 36 để chế tạo sensor phần mềm cho sensor cần phải cân nhắc xem xét dựa nhiều tiêu chí trình bày báo cáo Tích hợp phần mềm mã nguồn mở giải pháp khả thi chọn đề tài Giải pháp cho phép làm chủ công nghệ, phát triển bổ sung chức cần thiết phù hợp với môi trường sử dụng sensor điều kiện Việt Nam Các kết sản phẩm đạt yêu cầu đề nhánh đề tài KC.01.09/06-10, bám sát đề cương nghiên cứu Kết nghiên cứu đạt áp dụng vào thực tế Nhóm tác giả công bố kết nghiên cứu số báo nước nước Các mẫu sensor thử nghiệm mạng thực tế cho kết phù hợp với lý thuyết áp dụng vào thực tiễn II.6 Nhánh 6: Phát triển giải pháp, cơng cụ tích hợp số thiết bị ATM thƣơng mại phổ biến Việt Nam vào hệ thống II.6.1 Yêu cầu sản phẩm Sản phẩm phải đạt nhánh đề tài bao gồm sản phẩm sau: Các báo cáo nghiên cứu xác định khuôn dạng thơng tin an tồn mạng đưa hệ thống tường lửa MiDFS Checkpoint,hệ thống IDS MCAFFEE ISS, hệ thống antivirus TrendMicro McAffee Báo cáo nghiên cứu việc chuẩn hố thơng tin ATM từ thiết bị để đáp ứng u cầu cung cấp thơng tin CSDL an tồn mạng Interrnet Việt nam bao gồm định dạng thơng tin chuẩn hóa mơ tả cố an tồn mạng sử dụng để cung cấp thông tin CSDL an toàn mạng Interrnet Việt nam 37 Báo cáo nghiên cứu, phân tích, thiết kế lập trình module tiếp nhận thông tin từ thiết bị/ phần mềm firewall có tên GFW để cung cấp tới hệ thống SIGS Báo cáo nghiên cứu, phân tích, thiết kế lập trình module tiếp nhận thơng tin từ thiết bị/ phần mềm IDS có tên GIDS để cung cấp tới hệ thống SIGS Báo cáo nghiên cứu, phân tích, thiết kế lập trình module tiếp nhận thơng tin từ phần mềm antivirus có tên GAV để cung cấp tới hệ thống SIGS Báo cáo kiểm tra thử nghiệm hiệu chỉnh module phần mềm II.6.2 Các nội dung thực hiện: Nhánh đề tài thực nhóm nội dung nghiên cứu sau đây: Nội dung 1: Nghiên cứu khn dạng thơng tin an tồn mạng thu thập từ số số thiết bị/ phần mềm ATM bao gồm: Thiết bị IDS Intrushiel McAffe Thiết bị IDS Proventia ISS IDS Snort thiết bị tường lửa bảo mật tích hợp MiDFS Tường lửa Checkpoint Tường lửa IPTABLE thiết bị tường lửa bảo mật tích hợp MiDFS Hệ thống Antivirus Corporation Edition Synmatec Hệ thống Virus Scan Enterprise McAffe Phần mềm antivirus ClamAV Kết quả: Đã xác định đầy đủ nội dung thơng tin an tồn mạng thu thập từ nguồn thiết bị / phần mềm 38 Nội dung 2: Nghiên cứu việc chuẩn hố thơng tin ATM từ thiết bị để đáp ứng yêu cầu cung cấp thông tin CSDL an toàn mạng Interrnet Việt nam Kết quả: Đã xây dựng chuẩn liệu gửi từ phần mềm thu thập thơng tin an tồn mạng từ thiết bị thương mại gửi tới hệ thống SIGS Nội dung 3: Nghiên cứu, phân tích, thiết kế lập trình module tiếp nhận thông tin từ thiết bị/ phần mềm firewall có tên GFW để cung cấp tới hệ thống SIGS Kết quả: Module xây dựng đáp ứng đầy đủ khả thu nhận thơng tin an tồn mạng từ thiết bị Fw Checkpoint FW MiDFS Ngoài thiết kế module cho phép mở rộng tiếp nhận loại FW khác Nội dung 4: Nghiên cứu, phân tích, thiết kế lập trình module tiếp nhận thông tin từ thiết bị/ phần mềm IDS có tên GIDS để cung cấp tới hệ thống SIGS Kết quả: Module xây dựng đáp ứng đầy đủ khả thu nhận thơng tin an tồn mạng từ thiết bị IDS Proventia MiDFS Ngoài thiết kế module cho phép mở rộng tiếp nhận loại IDS khác Nội dung 5: Nghiên cứu, phân tích, thiết kế lập trình module tiếp nhận thông tin từ thiết bị/ phần mềm antivirus có tên GAG để cung cấp tới hệ thống SIGS Kết quả: Module xây dựng đáp ứng đầy đủ khả thu nhận thơng tin an tồn mạng từ phần mềm AV: Antivirus Corporation Edition Synmatec; Virus Scan Enterprise McAffe; Phần mềm antivirus ClamAV Ngoài thiết kế module cho phép mở rộng tiếp nhận loại Antivirus khác Nội dung 5: Tích hợp module GFW, GIDS, GAG để xây dựng phần mềm thu thập thơng tin an tồn mạng 39 Kết quả: Phần mềm xây dựng tích hợp tất tính 03 module cho phép sử dụng tiện lợi thiết kế mở đảm bảo khả tích hợp thêm nhiều thiết bị loại thiết bị/ phần mềm có khả cung cấp thơng tin an toàn mạng khác Giải pháp cho phép mở rộng tối đa nguồn cung cấp thông tin Nội dung 6: Kiểm tra thử nghiệm module phân mềm xây dựng Kết quả: Kết kiểm tra thử nghiệm đạt yêu cầu II.6.3 Đánh giá kết quả, đề xuất Nhóm thực đề tài nhánh thực đầy đủ nội dung theo đề cương duyệt: - Thực nghiên cứu thông tin cung cấp từ nguồn bảy nguồn cung cấp khác như: Checkpoint, MiDFS, ISS IDS, Antivirus McAffee, Antivirus Synmatec, ClamAV antivirus, Snort, Nessus số nguồn cung cấp khác sử dụng để cung cấp thơng tin cho hệ thống giám sát an tồn mạng - Nghiên cứu, thiết kế lập trình phần mềm thu thập thơng tin an tồn mạng, sản phẩm tích hợp module GFWcó nhiệm vụ cung cấp thơng tin từ thiết bị Firewall, module GIDS có nhiệm vụ cung cấp thông tin từ thiết bị IDS module GAG có nhiệm vụ cung cấp thơng tin từ hệ thống - Kết phối hợp với công ty điện toán truyền số liệu VDC kiểm tra chức thành phần khả tích hợp với hệ thống giám sát an toàn mạng cho kết tốt, chứng minh phần mềm xây dựng hoạt động ổn định, phù hợp với yêu cầu đặt - Đề xuất thay đổi số thay đổi so với đề cương để đảm bảo phù hợp với thực tiễn khả ứng dụng lâu dài: + Hiện phần mềm phát virus McAffee TrendMicro cài đặt máy chủ Gateway khơng cịn sản xuất từ ba năm 40 Do việc sử dụng sản phẩm làm nguồn cung cấp khơng cịn phù hợp thực tiễn, nhóm đề tài đề nghị sử dụng sản phẩm phát diệt virus sau: Hệ thống phát virus Synmatec với chức quản trị tập trung – Antivirus Coporate Edition Synmatec, Phần mềm phát virus McAffee phần mềm phát virus mã nguồn mở ClamAV để thay + Thiết bị IDS McAffee không sử dụng phổ biến Việt Nam Đồng thời giá thành thiết bị cao nên kinh phí thực đề tài đủ để thuê thiết bị phục vụ thử nghiệm, nghiên cứu phân tích khơng đủ để mua sắm thiết bị đưa vào sử dụng lâu dài Do nhóm đề tài đề nghị sử dụng thiết bị MiDFS đề thay thiết bị sử dụng phần mềm IDS Snort miễn phí, mã nguồn mở, có khả ứng dụng rộng rãi lâu dài nên có ý nghĩa thực tiễn cao Sau thiết kế triển khai module phần mềm cung cấp liệu GFW, GIDS GAG nhóm nhận thấy việc tích hợp module vào phần mềm thu thập thơng tin an tồn mạng đem lại nhiều tiện lợi sử dụng, triển khai mà đảm bảo khả dễ dàng việc nâng cấp, bổ sung khả tiếp nhận thơng tin an tồn mạng khác tương lai như: có khả tiếp nhận thêm thơng tin an tồn mạng từ loại thiết bị phân tích đề tài IDS, IPS, Firewall, Antivirus khác Đồng thời thiết kế cho phép mở rộng tiếp nhận thơng tin an tồn mạng từ loại thiết bị / phần mềm khác như: hệ điều hành, tường lửa cá nhân, hệ quản trị sở liệu, Proxy, Thiết bị Router, Switch, modem tích hợp, Access point v.v… Với thiết kế mở rộng cho phép tích hợp nhiều nguồn thông tin yếu tố quan trọng đảm bảo tính hiệu quả, thực tiễn cho hệ thống giám sát an toàn mạng tương lai 41 II.7 Nhánh 7: Triển khai thử nghiệm mơ hình hệ thống theo dõi giám sát ATM môi trƣờng mạng cụ thể cấp quốc gia thu nhỏ mô hệ thống tổng thể II.7.1 Yêu cầu sản phẩm: Sản phẩm phải đạt báo cáo kết thử nghiệm, phân tích, đánh giá, so sánh kết chức bao gồm: Thử nghiệm chức phân hệ ghi nhận cố an toàn mạng ghi nhận công mạng Thử nghiệm chức giám sát lưu thơng, qt rà sốt điểm yếu, hệ thống CSDL tích hợp giám sát an tồn mạng; đánh giá tính tương thích với chuẩn trao đổi thông tin cố công mạng Thử nghiệm phân hệ hỗ trợ xử lý thông báo cố, tiếp nhận thơng tin an tồn mạng tự động từ thiết bị Thử nghiệm chức giám sát 24/24, thống kê phân tích để đưa cảnh báo hướng dẫn cho cá nhân, tổ chức Việt Nam Thử nghiệm hệ thống tường lửa bảo vệ tích hợp, chức lọc nội dung Thử nghiệm chức phát virus, mã độc hại… Thử nghiệm chức phân mềm theo dõi an toàn mạng tài đầu cuối, giải pháp tích hợp số thiết bị an toàn mạng thương mại phổ biến Việt Nam Thử nghiệm, đo kiểm thông số hoạt động tồn hệ thống, hiệu chỉnh phần mềm; phân tích, đánh giá hiệu toàn hệ thống 42 II.7.2 Các nội dung thực hiện: Đề tài nhánh thực nhóm nội dung cụ thể sau: Nội dung Thử nghiệm chức phân hệ ghi nhận cố an toàn mạng ghi nhận công mạng Kết thử nghiệm cho thấy thiết bị sensor hoạt động tốt, đáp ứng yêu cầu đề đề tài Bảng đo thử cho thấy thiết bị sensor đáp ứng yêu cầu chức phần mềm việc bắt giữ gói tin, ghi nhận cơng xâm nhập mạng, cố an toàn mạng hành vi bất thường; kiểm tra số chức năng/tiện ích khác sensor như: ghi nhật ký, giao diện quản lý, kết nối sensor trung tâm giám sát,… Nội dung Thử nghiệm chức giám sát lưu thông, quét rà soát điểm yếu, giám sát hệ thống & dịch vụ; hệ thống CSDL tích hợp giám sát an tồn mạng; đánh giá tính tương thích với chuẩn trao đổi thông tin cố công mạng Kết thử nghiệm cho thấy chức giám sát lưu thơng, qt rà sốt điểm yếu, hệ thống CSDL tích hợp giám sát an tồn mạng hoạt động tốt Những thông tin giám sát lưu thơng báo cáo dạng thống kê, có nhiều tùy chọn cho người dùng phân loại, chọn lọc theo tiêu chí cách dễ dàng, thơng tin cố phát đồng thời kèm theo chi tiết cần biết để tiến hành xử lý cố Chức quét rà soát điểm yếu liệt kê dịch vụ chạy hệ thống điểm yếu phát kèm theo mức độ nghiêm trọng chúng Chức giám sát hệ thống, dịch vụ cho thấy mức độ sẵn sàng hệ thống, đưa cảnh báo tới người dùng phát hệ thống dịch vụ ngừng hoạt động Hệ thống CSDL tích hợp lưu trữ đầy đủ thông tin cố thời điểm xảy cố, địa nguồn/đích, thơng tin chi tiết, ngồi cịn có giao diện giúp người dùng nhanh chóng tìm kiếm thơng tin 43 Nội dung Thử nghiệm phân hệ hỗ trợ xử lý thông báo cố, tiếp nhận thông tin an toàn mạng tự động từ thiết bị Kết thử nghiệm cho thấy phân hệ hỗ trợ xử lý thông báo cố website hỗ trợ người dùng thực quy trình xử lý cố Các chức website hoạt động tốt, hỗ trợ phân quyền nhóm thành viên khác như: quản trị hệ thống, chuyên viên xử lý, cán quản lý Các lỗi đầu vào nhập thông tin thiếu sai phát cảnh báo đầy đủ Quy trình khai báo, tiếp nhận xử lý thông tin website phù hợp với hoạt động nghiệp vụ xử lý cố an toàn mạng Trung tâm VNCERT Chức tiếp nhận thông tin an toàn mạng tự động từ thiết bị thử nghiệm môi trường mạng Internet thực tế với liệu giả định thu kết tốt Trong q trình thử nghiệm, hệ thống thu thập có khả tiếp nhận đầy đủ kiện sensor gửi đến, tốc độ tiếp nhận chấp nhận được, khơng có tượng sụt giảm tốc độ hay tắc nghẽn Kết cho thấy hệ thống có đủ điều kiện để hoạt động tốt môi trường mạng Internet thực tế Nội dung Thử nghiệm chức giám sát 24/24, thống kê phân tích để đưa cảnh báo hướng dẫn cho cá nhân, tổ chức Việt Nam Kết thử nghiệm cho thấy chức giám sát 24/24 hoạt động tốt Đây thành phần quan trọng thiếu hệ thống giám sát an toàn Internet Việc giám sát 24/24 bao gồm mười hình lớn, liên tục theo dõi thơng tin an tồn mạng quốc gia theo 10 tiêu chí thích hợp, cung cấp nhìn tồn cảnh tình hình an ninh mạng Việt Nam Những thông tin giám sát thể cách trực quan, cung cấp đầy đủ thông tin cho đội ngũ cán để sẵn sàng phân tích đưa cảnh báo có nguy cố Hệ thống dựa thông tin giám sát, thu thập từ hệ thống khác để tổng hợp, phân tích dự đốn trước mối nguy xảy ra, đồng thời sẵn sàng cảnh báo sớm mối 44 nguy tới tổ chức quan trọng để tránh thiệt hại cố an toàn mạng xảy Nội dung Thử nghiệm hệ thống tường lửa bảo vệ tích hợp, chức lọc nội dung Kết thử nghiệm cho thấy hệ thống tường lửa bảo vệ tích hợp, chức lọc nội dung hoạt động tốt Các thiết bị phần mềm bảo mật thương mại phát trường hợp tạo cố an toàn mạng giả định bao gồm: Lây nhiễm virus Tấn cơng mạng Vi phạm sách an tồn mạng thiết lập Việc thử nghiệm tiến hành mơ hình mạng dùng máy tính thật với số lượng máy thiết bị tương đương 02 phòng làm việc Các chức tường lửa kiểm thử bao gồm: Chặn địa IP Chặn kết nối đến cổng dịch vụ Phát xâm nhập / cơng trái phép Tường lửa tích hợp cung cấp chức lọc nội dung, phục vụ cho việc ngăn chặn truy nhập vào website độc hại theo URL theo nội dung Nội dung Thử nghiệm chức phát virus, mã độc hại… Kết thử nghiệm cho thấy chức phát virus, mã độc hại hoạt động tốt Quá trình thử nghiệm triển khai mơi trường mạng máy tính thật, cho kết khả quan Thiết bị thử nghiệm phát 100% mẫu virus Tốc độ truy cập mạng Internet bật chế độ phát virus thực tế đạt 90% so với không bật chế độ phát virus với kết nối mạng Internet sử dụng công nghệ ADSL đường truyền 2Mbps Trong môi 45 trường tiến hành thử nghiệm, không phát trường hợp hệ thống nhận dạng sai dấu hiệu virus, mã độc hại Nội dung Thử nghiệm chức phân mềm theo dõi an toàn mạng tài đầu cuối, giải pháp tích hợp số thiết bị an tồn mạng thương mại phổ biến Việt Nam Kết thử nghiệm cho thấy thiết bị đầu cuối thực tốt chức theo dõi an toàn mạng Chức bao gồm hoạt động bắt giữ gói tin, ghi nhận công xâm nhập mạng, cố an toàn mạng hành vi bất thường, đồng thời có số chức khác như: ghi nhật ký, giao diện quản lý, kết nối sensor trung tâm giám sát… Việc tích hợp thiết bị an toàn mạng thường mại phổ biến mang ý nghĩa lớn cho việc triển khai hệ thống sau Các tổ chức tham gia vào hệ thống giám sát an tồn mạng khơng phải thay thiết bị tương thích mà sử dụng thiết bị thông qua chuẩn trao đổi thông tin chung mà hệ thống hỗ trợ Nội dung Thử nghiệm, đo kiểm thông số hoạt động toàn hệ thống, hiệu chỉnh phần mềm; phân tích, đánh giá hiệu tồn hệ thống Kết thử nghiệm phần bao gồm tất nội dung đo kiểm, đánh giá thông số hoạt động chức hệ thống Việc thử nghiệm, đo kiểm thống số hoạt động toàn hệ thống cho kết tốt Thiết bị sensor hoạt động đáp ứng chức bản: bắt giữ gói tin, ghi nhận cơng xâm nhập mạng, cố an tồn mạng hành vi bất thường Bên cạnh đó, thiết bị sensor cung cấp chức năng: ghi nhật ký, giao diện quản lý, kết nối sensor trung tâm giám sát Q trình thu thập thơng tin đánh giá cho thấy hệ thống thử nghiệm hồn tồn tương thích để tương tác với chuẩn trao đổi thông tin công mạng giới 46 Về mặt lý thuyết, tăng số lượng sensor cần đánh giá lại lực hệ thống để có đầu tư gia tăng lực cho phù hợp Hiệu hệ thống đáp ứng yêu cầu thử nghiệm với lượng sensor vừa phải (dưới 10 sensor) Với lượng sensor lực máy chủ dịch vụ ngưỡng 25% Nếu quy mô triển khai thực tế lớn (vài trăm đến vài ngàn sensor) cần triển khai hệ thống tảng khả mở ứng dụng cơng nghệ ảo hóa hay cao cấp điện tốn đám mây để nâng cấp cách không giới hạn lực hệ thống II.7.3 Đánh giá kết quả, đề xuất Các kết thử nghiệm cho thấy hệ thống hoạt động với đầy đủ chức đăng ký đề tài Qua trình hoạt động thử nghiệm môi trường hệ thống thực tế với liệu thử nghiệm giả định, báo cáo kiểm thử cho thấy chức hoạt động tốt, theo với thiết kế phân tích Hệ thống xây dựng tảng mã nguồn mở, tạo điều kiện cho việc phát triển thêm ứng dụng, chức bổ sung sau Tuy nhiên, với mơ hình thử nghiệm quy mơ chưa lớn, cần phải có thêm thời gian thử nghiệm với quy mô lớn chuẩn bị trước khả nâng cao lực xử lý để hệ thống hoạt động hiệu quả, với thiết kế ban đầu III – Kết luận chung: Các đề tài hoàn thành khối lượng cơng việc đề Đề tài hồn thành số lượng sản phẩm chủng loại, số lượng chất lượng đăng ký Nhóm đề tài làm chủ nhiều công nghệ sâu giám sát an ninh mạng làm tiền đề cho việc triển khai hệ thống giám sát an ninh mạng tương lai 47 Sản phẩm phần mềm phần cứng đề tài hoạt động tích hợp chức với nhiều sản phẩm thương mại khác Và sản phẩm thời gian trước mắt công cụ tốt để triển khai nghiên cứu thực nghiệm nhằm rút kinh nghiệm tri thức để xây dựng cải tiến hoạt động hệ thống tương lai Đồng thời hệ thống môi trường Việt Nam để vựa hoạt động vừa đào tạo cán Dự đoán với lực kĩ thuật nay, hệ thống áp dụng để giám sát ATM mức quốc gia cho ISP tổ chức doanh nghiệp lớn Hệ thống hồn tồn vận hành độc lập tham gia tương tác vào hệ thống giám sát an ninh mạng quy mơ lớn Do hồn tồn cho mạng doanh nghiệp dùng thành phần mạng hệ thống giám sát an ninh mạng tương lai 48 Tài liệu tham khảo 01 Anton Chuvakin and Vladislav V Myasnyankin “Complete Snort-based IDS Architecture” ngày 19/11/2002 02 Peter Rob, Carlos Coronel “Database System Design” the sixth Edition 03 Richard Bejtlich “The Tao of Network Security Monitoring Beyond Intrusion Detection” nhà xuất Addison Wesley phát hành ngày 12/7/2004 04 McAffee Intrushield IPS Userguide 05 Linux Firewalls Using iptables 06 Kerry Cox, Christopher Gerg - Managing security with Snort and IDS tools O'Reilly Media, Inc., 2004 07 Wolfgang Barth - Nagios - System and Network Monitoring, 2006 08 Bryan Burns, Jennifer Stisa Granick, Steve Manzuik, Dave Killion, Paul Guersch, Nicolas Beauchesne - Security power tools, 2007, O'Reilly Media, Inc 09 Richard Bejtlich The Tao of Network Security Monitoring Beyond Intrusion Detection Publisher: Addison Wesley, 2004, ISBN: 0-32124677-2, 832 p 10 Michael Gregg and others Hack the Stack: Using the Snort and Ethereal to master the layers of an insecure network Publisher: Syngress Publishing, Inc., 2006, ISBN: 1-59749-109-8, 442 p 11 The Automated Incident Reporting project (http://aircert.sourceforge.net/) 12 The Open Source Security Information Management project (http://www.ossim.net/) 13 The Crusoe Correlated Intrusion Detection System (http://crusoecids.dyndns.org/) 14 The Monitoring, Intrusion Detection, & Administration System (http://midas-nms.sourceforge.net/) 15 The Sguil (http://sguil.sourceforge.net/) 49 43 IDMEF Data Model and XML http://xml.coverpages.org/IDMEF-provisional-draft-ietf-idwg-idmef-xml2.html 270 ... dõi giám sát an toàn mạng Internet Việt Nam xây dựng đề tài Mục tiêu Hệ thống giám sát cảnh báo sớm phản ứng nhanh với cố an toàn mạng thực chức là: 41 Thu thập thông tin liên tục nguy cố an toàn. .. Internet Việt Nam 15 I.1.2 Mục tiêu khả thi cho Hệ thống theo dõi giám sát an toàn mạng Internet Việt Nam 38 I.1.3 Kinh nghiệm triển khai số hệ thống giám sát an toàn mạng nƣớc... chiến lƣợc đảm bảo an ninh kinh tế an ninh xã hội Xây dựng hệ thống theo dõi giám sát an toàn mạng quốc gia hệ thống kỹ thuật mà nƣớc phải thiết lập Đó tiền đề để triển khai tiếp hệ thống kỹ thuật