Đang tải... (xem toàn văn)
Chương 1. Tổng quan về hệ thống IDPS Suricata.............................................10 1.1. Hệ thống IDS...................................................................................................10 1.1.1. Giới thiệu.............................................................................................10 1.1.2. Kiến trúc và chức năng........................................................................10 1.1.3. Phân loại IDS......................................................................................14 1.1.4. Các kỹ thuật xử lý trong IDS...............................................................17 1.2. Hệ thống IPS...................................................................................................19 1.2.1. Giới thiệu.............................................................................................19 1.2.2. Kiến trúc của IPS.................................................................................20 1.2.3. Phân loại hệ thống IPS........................................................................22 1.2.4. Các kỹ thuật xử lý trong IPS................................................................23 1.3. Hệ thống phát hiện xâm nhập mạng Suricata..................................................24 1.3.1. Giới thiệu về Suricata..........................................................................24 1.3.2. Kiến trúc của suricata.........................................................................25 1.3.3. Luật trong Suricata..............................................................................28 Chương 2. Tìm hiểu về hệ thống ELK.................................................................46 2.1. Elasticsearch...................................................................................................47 2.1.1. Giới thiệu Elasticsearch......................................................................47 2.1.2. Kiến trúc của Elasticsearch.................................................................47 2.1.3. Các khái niệm cơ bản trong ElasticSearch.........................................49 2.1.4. Các dạng tìm kiếm...............................................................................51 2.2. Logstash..........................................................................................................52 2.2.1. Giới thiệu về Logstash.........................................................................52 2.2.2. Mô hình hoạt động của Logstash........................................................52 2.3. Kibana.............................................................................................................54 Chương 3. Triển khai hệ thống phát hiện và ngăn chặn xâm nhập SELKS ( Tích hợp Suricata và ELK)..................................................................56 3.1. Giới thiệu chung..............................................................................................56 3.2. Tìm hiểu thêm về Scirius................................................................................57 3.3. Cài đặt hệ thống SELKS trên VMWare Workstation.....................................59 3.4. Thiết lập hệ thống............................................................................................62 3.4.1. Thiết lập card mạng.............................................................................62 3.4.2. Java......................................................................................................65 3.4.3. Thiếp lập chế độ IDS với Suricata.......................................................65
HỌC VIỆN KỸ THUẬT MẬT Mà KHOA AN TỒN THƠNG TIN ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ BÁO CÁO THỰC TẬP TỐT NGHIỆP TÌM HIỂU … Sinh viên thực hiện: Trần Quang Huy Mã SV: Giảng viên hướng dẫn: Nguy Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã Hà Nội, 2020 NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN ……………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Hà nội, ngày… tháng… năm… Xác nhận giảng viên hướng dẫn AN TỒN ĐIỆN TỐN ĐÁM MÂY MỤC LỤC Nhận xét giảng viên hướng dẫn .1 Mục lục Danh mục kí hiệu viết tắt Danh mục hình vẽ Danh mục bảng Lời cảm ơn .8 Lời nói đầu .9 Chương Tổng quan hệ thống IDPS Suricata 10 1.1 Hệ thống IDS 10 1.1.1 Giới thiệu 10 1.1.2 Kiến trúc chức 10 1.1.3 Phân loại IDS 14 1.1.4 Các kỹ thuật xử lý IDS .17 1.2 Hệ thống IPS 19 1.2.1 Giới thiệu 19 1.2.2 Kiến trúc IPS .20 1.2.3 Phân loại hệ thống IPS 22 1.2.4 Các kỹ thuật xử lý IPS 23 1.3 Hệ thống phát xâm nhập mạng Suricata 24 1.3.1 Giới thiệu Suricata 24 1.3.2 Kiến trúc suricata .25 1.3.3 Luật Suricata 28 Chương Tìm hiểu hệ thống ELK .46 2.1 Elasticsearch 47 2.1.1 Giới thiệu Elasticsearch 47 2.1.2 Kiến trúc Elasticsearch .47 2.1.3 Các khái niệm ElasticSearch .49 2.1.4 Các dạng tìm kiếm .51 2.2 Logstash 52 2.2.1 Giới thiệu Logstash .52 2.2.2 Mơ hình hoạt động Logstash 52 2.3 Kibana 54 Chương Triển khai hệ thống phát ngăn chặn xâm nhập SELKS ( Tích hợp Suricata ELK) 56 3.1 Giới thiệu chung 56 3.2 Tìm hiểu thêm Scirius 57 3.3 Cài đặt hệ thống SELKS VMWare Workstation 59 3.4 Thiết lập hệ thống 62 3.4.1 Thiết lập card mạng 62 3.4.2 Java 65 3.4.3 Thiếp lập chế độ IDS với Suricata .65 AN TOÀN ĐIỆN TOÁN ĐÁM MÂY 3.4.4 Thiết lập chế độ IPS với Suricata 67 3.5 Tùy chỉnh vận hành 68 3.5.1 Giám sát hệ thống 68 3.5.2 Dữ liệu nhật ký 69 3.5.3 Kiểm tra trạng thái service 71 3.6 Kiểm tra giao diện WEB SELKS 72 3.7 Thực nghiệm 74 3.7.1 Đặt vấn đề 74 3.7.2 Mô tả thực nghiệm .74 3.7.3 Đưa kết thực nghiệm 74 Kết luận 76 Tài liệu tham khảo 77 AN TỒN ĐIỆN TỐN ĐÁM MÂY DANH MỤC KÍ HIỆU VÀ VIẾT TẮT CCM CNTT CSA CSP DDOS ENISA IaaS IEEE NIST PaaS RPO RTO SaaS SLA TGC Ma trận điều khiển đám mây Công nghệ thông tin Liên minh bảo mật đám mây Dịch vụ đám mây nhà cung cấp Tấn công từ chối dịch vụ Cơ quan an ninh mạng thông tin châu Âu Dịch vụ hạ tầng Institute of Electrical Electronics Engineers Viện tiêu chuẩn kỹ thuật số Quốc gia Hoa Kỳ Dịch vụ tảng Mục tiêu điểm khôi phục dịch vụ Mục tiêu thời gian phục hồi Dịch vụ phần mềm Thỏa thuận cấp độ dịch vụ Nhóm máy tính đáng tin cậy AN TỒN ĐIỆN TỐN ĐÁM MÂY DANH MỤC HÌNH VẼ Hình 1.1: 10 Hình 1.2: 11 Hình 1.3: 12 Hình 1.4: 13 Hình 1.5: 14 Hình 1.6: 16 Hình 1.7: 24 Hình 1.8: 28 Hình 1.9: 31 Hình 1.10: 32 Hình 1.11: 35 Hình 1.12: 39 Hình 2.1: ELK .44 Hình 2.2: 46 Hình 2.3: 47 Hình 2.4: 48 Hình 2.5: 50 Hình 2.6: 53 Hình 2.7: 53 Hình 3.1: 54 Hình 3.2: 56 Hình 3.3: 56 Hình 3.4: 57 Hình 3.5: 57 Hình 3.6: 58 Hình 3.7: 59 Hình 3.8: 59 Hình 3.9: 60 Hình 3.10: 62 Hình 3.11: 64 Hình 3.12: 65 AN TOÀN ĐIỆN TỐN ĐÁM MÂY Hình 3.13: 66 Hình 3.14 .67 Hình 3.15: 67 Hình 3.16: 68 Hình 3.17: 68 Hình 3.18: 68 Hình 3.19: 69 Hình 3.20: 70 Hình 3.21: 70 Hình 3.22: 71 Hình 3.23: 72 Hình 3.24: 72 Hình 3.25: 72 AN TỒN ĐIỆN TỐN ĐÁM MÂY DANH MỤC BẢNG Bảng 1.1: .41 Bảng 1.2: .42 AN TỒN ĐIỆN TỐN ĐÁM MÂY LỜI CẢM ƠN Trong trình thực báo cáo thực tập tốt nghiệp với đề tài “TÌM HIỂU …”, nhóm chúng em nhận giúp đỡ tận tình giảng viên hướng dẫn thầy/cơ Nguyễn… – Khoa An tồn thơng tin, Học viện Kỹ thuật Mật mã,… Xin chân thành cảm ơn! AN TOÀN ĐIỆN TỐN ĐÁM MÂY LỜI NĨI ĐẦU Trong thời đại cách mạng này, điện tốn đám mây cung cấp cho tổ chức phương tiện phương pháp cần thiết để đảm bảo ổn định tài dịch vụ chất lượng cao Tất nhiên, phải có hợp tác chung q trình điện tốn đám mây để đạt tới an toàn tối ưu tiêu chuẩn vận hành chung Với đời điện toán đám mây, điều cấp thiết với tất sẵn sàng cho cách mạng Bảo mật đám mây thể hội khác để áp dụng nguyên tắc bảo mật âm kỹ thuật cho miền cụ thể để giải cho loạt vấn đề định Bài báo cáo dựa tài liệu trình bày tảng cho khn khổ để đánh giá bảo mật đám mây Tài liệu dự định để xa gia tăng tiêu chí bảo mật mà giới thiệu Nó có lợi hoạt động trước đánh giá, chứng nhận công nhận đám mây Trước tiên, bắt đầu cách xem xét cơng việc có lĩnh vực sau đưa danh sách kiểm tra tiêu chí đánh giá trải rộng phạm vi hoạt động hỗ trợ bảo mật thơng tin cho điện tốn đám mây Mục tiêu báo cáo cung cấp cho người đọc cơng cụ có tổ chức, sử dụng để đánh giá bảo mật đám mây riêng, cộng đồng, công cộng lai Đánh giá bảo mật đám mây lai thực tốt cách quản lý việc đánh giá hai nhiều phiên đám mây cách sử dụng danh sách kiểm tra cho phiên Ví dụ như, hybrid bao gồm đám mây riêng đám mây công cộng, cần đánh giá thành phần riêng tư sử dụng danh sách kiểm tra đánh giá thành phần công cộng vào lĩnh vực riêng biệt chúng Khi thực theo cách này, dễ dàng so sánh lựa chọn thay đám mây công cộng SINH VIÊN THỰC HIỆN Nguyễn AN TỒN ĐIỆN TỐN ĐÁM MÂY tx-udp_tnl-csum-segmentation: off [fixed] tx-gso-partial: off [fixed] tx-sctp-segmentation: off [fixed] fcoe-mtu: off [fixed] tx-nocache-copy: off loopback: off [fixed] rx-fcs: off rx-all: off tx-vlan-stag-hw-insert: off [fixed] rx-vlan-stag-hw-parse: off [fixed] rx-vlan-stag-filter: off [fixed] l2-fwd-offload: off [fixed] busy-poll: off [fixed] hw-tc-offload: off [fixed] Để hệ thống SELKS lắng nghe dài hạn card mạng này, cầu thực sửa file interface /etc/network/interfaces.d đây: Hình 3.29: Sau reboot lại hệ thống, hồn thành thiết lập card mạng AN TỒN ĐIỆN TỐN ĐÁM MÂY 3.4.2 Java SELKS kèm với OpenJDK chuẩn cài sẵn Debian Elasticsearch, Oracle OpenJDK chấp nhận Tuy nhiên Oracle JAVA vận chuyển theo mặc định với SELKS thách thức quyền cấp phép Nếu bạn định chuyển từ OpenJDK sang Oracle JAVA, vui lòng thực theo hướng dẫn bên Hãy chắn bạn có hệ thống cập nhật Nâng cấp SELKS Nói chung sau cài đặt SELKS bạn dễ dàng chuyển sang Oracle Java thực thi kịch sau: 3.4.3 Thiếp lập chế độ IDS với Suricata Để thiếp lập chế độ IDS suricata ta cần thực bước sau: Bước 1: chỉnh sửa cấu hình file suricata.yaml suricata.yaml với mẫu address-groups: HOME_NET: "any" EXTERNAL_NET: "any" HTTP_SERVERS: "$HOME_NET" SMTP_SERVERS: "$HOME_NET" SQL_SERVERS: "$HOME_NET" DNS_SERVERS: "$HOME_NET" TELNET_SERVERS: "$HOME_NET" AIM_SERVERS: "$EXTERNAL_NET" DNP3_SERVER: "$HOME_NET" DNP3_CLIENT: "$HOME_NET" MODBUS_CLIENT: "$HOME_NET" MODBUS_SERVER: "$HOME_NET" ENIP_CLIENT: "$HOME_NET" ENIP_SERVER: "$HOME_NET" port-groups: HTTP_PORTS: "80" SHELLCODE_PORTS: "!80" AN TỒN ĐIỆN TỐN ĐÁM MÂY ORACLE_PORTS: 1521 SSH_PORTS: 22 DNP3_PORTS: 20000 MODBUS_PORTS: 502 FILE_DATA_PORTS: "[$HTTP_PORTS,110,143]" FTP_PORTS: 21 Hình 3.30: Bước 2: cần cài đặt để Suricata lắng nghe bắt lưu lượng card mạng cần lắng nghe, ví dụ ta cần lắng nghe card ens33, ta sử dụng câu lệnh /opt/selks/Scripts/Setup/setup-selks-ids-interface.sh sau chọn ens33 để lắng nghe AN TỒN ĐIỆN TỐN ĐÁM MÂY 6 Hình 3.31: 3.4.4 Thiết lập chế độ IPS với Suricata Cần bước để thiết lập: Bước 1: tiến hành chỉnh sửa file suricata.yaml mục thiết lập IDS Bước 2: chỉnh sửa file selks4-addin.yaml thư mục suricata câu lệnh vim /etc/suricata/selks4-addin.yaml, tìm dịng af-packet /af-packet sửa thông số sau: af-packet: interface: ens33 threads: # or a number that is below half the number of cores available defrag: yes cluster-type: cluster_flow cluster-id: 99 copy-mode: ips copy-iface: ens33 tpacket-v3: no ring-size: 2048 buffer-size: 64535 use-mmap: yes AN TỒN ĐIỆN TỐN ĐÁM MÂY Bước 3: tiến hành restart suricata: systemctl restart suricata Hình 3.32: 3.5 Tùy chỉnh vận hành 3.5.1 Giám sát hệ thống Metricbeat hỗ trợ việc giám sát hệ thống máy chủ cách thu thập số liệu từ hệ thống dịch vụ chạy máy chủ Metricbeat chèn số liệu thu thập trực tiếp vào Elasticsearch gửi chúng tới Logstash Để cài đặt Metricbeat sử dụng câu lệnh: apt install metricbeat AN TỒN ĐIỆN TỐN ĐÁM MÂY Hình 3.33 3.5.2 Dữ liệu nhật ký Chu kỳ log (nhật kí): Một chu kì log kéo dài vòng 30 ngày, sau 30 ngày, log cũ bị xóa đi, file cấu hình chu kì cho log nằm /etc/logrotate.d/suricata: AN TỒN ĐIỆN TỐN ĐÁM MÂY Hình 3.34: Vịng đời liệu: SELKS sử dụng Elastic Search sở liệu cơng cụ tìm kiếm mạnh mẽ, để kiểm tra không gian ổ đĩa liệu, ta sử dụng elasticsearch-curator, công cụ giúp quản lý liệu Và cài sẵn cài SELKS Hình 3.35: Ngồi cịn có crontab cài /etc/crontab, với việc tự động xóa liệu nhật kí cũ SELKS vào hàng ngày Hình 3.36: Và liệu nhật kí xóa liệu cũ lâu 14 ngày từ Elasticsearch AN TỒN ĐIỆN TỐN ĐÁM MÂY Hình 3.37: Xóa liệu ngày đó: Xóa tất kiện ngày: wget quiet -O http://localhost:9200/logstash-*-yy.mm.dd method=DELETE Xóa tất cảnh báo ngày: wget quiet -O “http://localhost:9200/logstash-alert-yy.mm.dd” method=DELETE Ta xóa liệu từ Elasticsearch Scirius: Hình 3.38: 3.5.3 Kiểm tra trạng thái service - Suricata: systemctl status suricata AN TỒN ĐIỆN TỐN ĐÁM MÂY - Elastic search: systemctl status elasticsearch - Logstash: systemctl status logstash - Kibana: systemctl status kibana - Scirius: supervisorctl status scirius - Evebox: systemctl status evebox 3.6 Kiểm tra giao diện WEB SELKS Hình 3.39: AN TỒN ĐIỆN TỐN ĐÁM MÂY Hình 3.40: Hình 3.41: AN TỒN ĐIỆN TỐN ĐÁM MÂY 3.7 Thực nghiệm 3.7.1 Đặt vấn đề Ta cần xây dựng hệ thống phát xâm nhập để theo dõi hoạt động bất thường mạng đưa cảnh báo Mục tiêu việc xây dựng không nhằm mục đích ngăn chặn xâm nhập trái phép, hoạt động bất thường mà giám sát đưa cảnh báo kịp thời, ghi lại hoạt động bất thường mạng nội 3.7.2 Mô tả thực nghiệm Một máy chủ SELKS dải IP 192.168.209.0/24 Một máy kali linux thực công Kịch bản: attacker tiến hành công thám vào mạng, phát cơng cảnh báo Hình 3.42: 3.7.3 Đưa kết thực nghiệm Phát công web giám sát (scirius) có nhật kí ghi lại file /var/log/suricata/fast.log AN TỒN ĐIỆN TỐN ĐÁM MÂY Hình 3.43: Hình 3.44: AN TỒN ĐIỆN TỐN ĐÁM MÂY KẾT LUẬN Sự gia tăng tiện ích điện tốn cơng cộng mang lại nhu cầu bảo mật tốt Về chất, dịch vụ đám mây công cộng cạnh tranh phải đối mặt với nhu cầu cung cấp dịch vụ tính hiệu chi phí cho phép dễ dàng áp dụng Nhưng điều quan trọng không nhu cầu dịch vụ đám mây công cộng coi giải pháp phù hợp an toàn để đáp ứng yêu cầu CNTT Và đó, CSP có vài thay đổi địa khác việc đánh giá sản phẩm họ tiêu chí thường chấp nhận Tương tự vậy, với đám mây riêng, yêu cầu bảo mật bao gồm từ giai đoạn thiết kế sớm nguyên tắc âm tuân thủ việc xây dựng đám mây riêng, chứng tục ngữ nằm mánh khóe đánh giá Các danh sách kiểm tra bảo mật báo cáo nhằm hướng dẫn người đọc phát triển danh sách riêng họ để xác minh tính bảo mật CSP đám mây riêng Hướng phát triển khuyến khích nghiên cứu tình trạng cơng việc cách theo dõi nhóm hàng đầu khác có liên quan đến hoạt động Vẫn chưa rõ mức độ thành cơng nhóm số này, ngày có nhiều hợp tác nhóm CSA CloudAudit/A6 Một điều chắn lĩnh vực phát triển nhanh chóng, điều đặc điểm độc đáo mơ hình điện tốn đám mây thúc đẩy tự động hóa lớn nhiều việc xác minh liên tục tiêu chí đánh giá AN TỒN ĐIỆN TOÁN ĐÁM MÂY TÀI LIỆU THAM KHẢO [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] Catteddu D., Hogben G Cloud Computing Information Assurance Framework, European Network and Information Security Agency (ENISA) www.enisa.europa.eu; 2009 [accessed 24.03.11] NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations; 2009 Controls Matrix (CM), Cloud Security Alliance V1.0; 2010 Catteddu D., Hogben G Cloud Computing Information Assurance Framework, European Network and Information Security Agency (ENISA) www.enisa.europa.eu; 2009 NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations; 2009 Controls Matrix (CM), Cloud Security Alliance V1.0; 2010 Catteddu D., Hogben G Cloud Computing Information Assurance Framework, European Network and Information Security Agency (ENISA) www.enisa.europa.eu; 2009 NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations; 2009 Controls Matrix (CM), Cloud Security Alliance V1.0; 2010 Catteddu D., Hogben G Cloud Computing Information Assurance Framework, European Network and Information Security Agency (ENISA) www.enisa.europa.eu; 2009 [accessed 24.03.11] NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations; 2009 Controls Matrix (CM), Cloud Security Alliance V1.0; 2010 Catteddu D., Hogben G Cloud Computing Information Assurance Framework, European Network and Information Security Agency (ENISA) www.enisa.europa.eu; 2009 NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations; 2009 Controls Matrix (CM), Cloud Security Alliance V1.0; 2010 AN TỒN ĐIỆN TỐN ĐÁM MÂY 7 [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] Catteddu D., Hogben G Cloud Computing Information Assurance Framework, European Network and Information Security Agency (ENISA) www.enisa.europa.eu; 2009 NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations; 2009 Controls Matrix (CM), Cloud Security Alliance V1.0; 2010 Catteddu D., Hogben G Cloud Computing Information Assurance Framework, European Network and Information Security Agency (ENISA) www.enisa.europa.eu; 2009 [accessed 24.03.11] NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations; 2009 Controls Matrix (CM), Cloud Security Alliance V1.0; 2010 Catteddu D., Hogben G Cloud Computing Information Assurance Framework, European Network and Information Security Agency (ENISA) www.enisa.europa.eu; 2009 NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations; 2009 Controls Matrix (CM), Cloud Security Alliance V1.0; 2010 Catteddu D., Hogben G Cloud Computing Information Assurance Framework, European Network and Information Security Agency (ENISA) www.enisa.europa.eu; 2009 NIST Special Publication 800-53 Revision 3, Recommended Security Controls for Federal Information Systems and Organizations; 2009 Controls Matrix (CM), Cloud Security Alliance V1.0; 2010 … AN TỒN ĐIỆN TỐN ĐÁM MÂY