Đề tài Xây dựng phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng cho hệ thống

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ TÊN ĐỀ TÀI: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG Giảng viên hướng dẫn : Thầy Lộc Đức Huy Nhóm sinh viên thực hiện : Nguyễn Đức Tú Nguyễn Vương Huy Lớp : VT071A Tháng 06 / 2010 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ TÊN ĐỀ TÀI: XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT, GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ HIỆU NĂNG CHO HỆ THỐNG Giảng viên hướng dẫn : Thầy Lộc Đức Huy Nhóm sinh viên thực hiện : Nguyễn Đức Tú Nguyễn Vương Huy Lớp : VT071A Tháng 06 / 2010 Ngày nộp báo cáo Người nhận báo cáo (ký tên, ghi rõ họ và tên) i TRƯỜNG ĐẠI HỌC HOA SEN KHOA KHOA HỌC VÀ CÔNG NGHỆ PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP 1. Mỗi sinh viên phải viết riêng một báo cáo 2. Phiếu này phải dán ở trang đầu tiên của báo cáo Họ tên sinh viên/nhóm sinh viên thực hiện đề tài: (Sĩ số sinh viên trong nhóm : 2) 1) SV1 : Nguyễn Đức Tú ................................... Lớp : VT071A ......................... 2) SV2 : Nguyễn Vương Huy ............................ Lớp : VT071A ......................... Ngành: Mạng máy tính Tên đề tài: Xây dựng các phương thức giám sát, ghi nhận các sự kiện và đánh giá hiệu năng cho hệ thống ..................................................................................................................................... ..................................................................................................................................... * Các dữ liệu ban đầu:  ISA Server 2006 ( Forefront security )  Window Server 2003, PCs, v..v.. * Các yêu cầu đặc biệt:  Mô phỏng mạng bằng Solarwind  Thiết kế hệ thống mạng giả định  .......................................................................................................................... * Các kết quả tối thiểu phải có:  Ghi nhận, kiểm soát đánh chặn và tối ưu hóa hệ thống mạng  .......................................................................................................................... Ngày giao đề tài: 15/03/2010 Họ và tên GV hướng dẫn: Lộc Đức Huy Chữ ký:.............................. ii TÓM TẮT Trong vòng 14 tuần thực hiện đề tài “Tìm hiểu xây dựng các phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng hệ thống” chúng tôi đã đạt được các kết quả sau: - Nắm bắt và hiểu rõ các khái niệm về bảo mật, giám sát thông tin, các thành phần của một hệ thống giám sát và tường lửa. - Qui trình xây dựng một hệ thống giám sát. - Triển khai những hệ thống giám sát, ghi nhận sự kiện hệ thống như Audit, Snort, Forefront TMG 2010. - Đánh giá hiệu năng làm việc và các yếu tố ảnh hưởng của từng mô hình hệ thống. iii LỜI CẢM ƠN Chúng tôi chân thành cảm ơn tới các thầy cô trong văn phòng khoa Khoa Học – Công Nghệ, trường Đại học Hoa Sen đã tạo điều kiện cho chúng tôi có cơ hội thực hiện đề tài này, cũng như luôn cập nhật và gửi những thông tin liên quan về quá trình thực hiện đề tài. Bên cạnh đó, là sự hỗ trợ nhiệt tình, tư vấn hiệu quả từ giảng viên hướng dẫn – thầy Lộc Đức Huy, và cũng không quên gửi lời cảm ơn tới các anh phụ trách phòng máy. iv NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. ............................................................................................................................. v MỤC LỤC PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP ........................................................ i TÓM TẮT ................................................................................................................. ii LỜI CẢM ƠN .......................................................................................................... iii NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN................................................... iv MỤC LỤC ................................................................................................................. v DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU ........................................................ x ĐẶT VẤN ĐỀ ........................................................................................................... 1 1. Lý Do Chọn Đề Tài ........................................................................................... 1 2. Mục Tiêu Đạt Được Sau Đề Tài ....................................................................... 1 PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN............................................................ 2 3. Tổng Quan Về Bảo Mật Thông Tin ................................................................. 2 3.1 Khái quát bảo mật thông tin ........................................................................... 2 3.2 Các loại tấn công cơ bản ................................................................................ 2 3.3 Nhiệm vụ của người quản trị ......................................................................... 3 4. Tổng Quan Giám Sát Thông Tin...................................................................... 4 4.1 Khái quát giám sát thông tin .......................................................................... 4 4.2 Mục đích ....................................................................................................... 4 4.3 Lợi ích của việc giám sát thông tin ................................................................ 4 4.4 Vai trò của giám sát thông tin ........................................................................ 5 5. Nguyên Tắc Về Bảo Mật Thông Tin ................................................................ 8 5.1 Chiến lược bảo mật hệ thống ......................................................................... 8 5.2 An ninh bảo mật mạng ................................................................................... 9 PHẦN II: CÁC THÀNH PHẦN GIÁM SÁT HỆ THỐNG .................................. 11 vi 6. Hệ Thống IDS Và IPS ..................................................................................... 11 6.1 IDS (Hệ thống phát hiện xâm nhập) ............................................................. 11 6.1.1 Kiến trúc của hệ thống IDS ................................................................... 11 6.1.2 Phân loại IDS ........................................................................................ 12 6.1.3 Các cơ chế phát hiện xâm nhập ............................................................. 15 6.2 IPS (Hệ thống ngăn chặn xâm nhập) ............................................................ 17 6.2.1 Kiến trúc hệ thống IPS .......................................................................... 17 6.2.2 Phân loại IPS ........................................................................................ 19 6.2.3 Phân loại triển khai IPS ......................................................................... 20 6.2.4 Công nghệ ngăn chặn xâm nhập IPS ..................................................... 21 6.3 Đối chiếu IDS và IPS................................................................................... 24 7. Tìm Hiểu Về Hệ Thống Firewall .................................................................... 25 7.1 Chức Năng .................................................................................................. 25 7.2 Các thành phần và cơ chế hoạt động của Firewall ........................................ 25 7.2.1 Bộ lọc packet (packet-filtering router) ................................................... 25 7.2.2 Cổng ứng dụng (application-level-gateway) .......................................... 26 7.2.3 Cổng vòng (Circuit level Gateway) ....................................................... 27 7.3 Những hạn chế của firewall ......................................................................... 27 7.4 Các ví dụ Firewall ....................................................................................... 28 7.5 Các kiểu tấn công ........................................................................................ 30 7.5.1 Tấn công từ chối dịch vụ (Denial of Service Attacks) ........................... 30 7.5.2 Giả mạo danh tính ................................................................................. 32 7.5.3 Tấn công SMB ...................................................................................... 34 8. CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN HIỆU NĂNG HỆ THỐNG .................. 36 PHẦN III: TRIỂN KHAI CÁC MÔ HÌNH HỆ THỐNG ..................................... 37 vii 9. Audit Policies................................................................................................... 37 9.1 Khái quát về các chính sách giám sát sự kiện ............................................... 37 9.2 Các hạng mục trong Event Viewer .............................................................. 39 9.2.1 Custom view ......................................................................................... 39 9.2.2 Windows logs ....................................................................................... 40 9.2.3 Applications and Services Logs ............................................................ 41 9.3 Xây dựng và triển khai mô hình mạng ......................................................... 42 9.3.1 Mô hình lab thực hiện ........................................................................... 42 9.4 Thiết lập các chính sách giám sát ................................................................. 42 9.4.1 Application log ..................................................................................... 42 9.4.2 Audit account logon events ................................................................... 43 9.4.3 Audit account management ................................................................... 45 9.4.4 Audit directory service access ............................................................... 48 9.4.5 Audit logon events ................................................................................ 50 9.4.6 Audit object access ............................................................................... 52 9.4.7 Audit policy change .............................................................................. 56 9.4.8 Audit privilege use ................................................................................ 57 9.4.9 Audit process tracking .......................................................................... 58 9.4.10 Audit system events ........................................................................... 61 9.5 Giám sát hệ thống bằng command-line ........................................................ 62 9.6 Nhận xét ...................................................................................................... 64 10. Xây dựng hệ thống giám sát với SNORT..................................................... 65 10.1 Giới thiệu Snort ........................................................................................ 65 10.2 Cấu trúc của Snort .................................................................................... 65 10.3 Các chế độ hoạt động của Snort................................................................ 67 viii 10.3.1 Snort hoạt động như một Sniffer ........................................................ 67 10.3.2 Snort là một Packet Logger ................................................................ 70 10.3.3 Snort là một NIDS ............................................................................. 70 10.4 Khái quát về Rules ................................................................................... 71 10.4.1 Cấu trúc của một rule ......................................................................... 71 10.4.2 Cấu trúc của phần Header .................................................................. 72 10.4.3 Cấu trúc của phần Options ................................................................. 73 10.5 Hiện thị cảnh báo ..................................................................................... 74 10.6 Hiệu năng của Snort ................................................................................. 75 10.7 Mô hình triển khai Snort .......................................................................... 78 10.8 Tấn công trong mạng nội bộ ..................................................................... 79 10.8.1 Tấn công ARP Cache......................................................................... 80 10.8.2 Tấn công SMB................................................................................... 81 10.8.3 Tấn công Smurf attack ...................................................................... 82 10.8.4 Tấn công Land attack ......................................................................... 82 10.8.5 Tấn công Dos với HTTP Post ............................................................ 82 10.8.6 Một số rule cảnh báo.......................................................................... 82 10.9 Nhận xét ................................................................................................... 83 11. Xây dựng hệ thống giám sát với Forefront TMG ........................................ 84 11.1 Tìm hiểu tổng quan Forefront TMG ......................................................... 84 11.1.1 Một số tính năng mới trong Forefront TMG: ..................................... 84 11.1.2 Đặc điểm của Forefront TMG: ........................................................... 85 11.2 Mô hình triển khai .................................................................................... 86 11.2.1 Thiết lập chính sách tường lửa ........................................................... 87 11.2.2 Phát hiện và ngăn chặn tấn công ........................................................ 89 ix 11.2.3 Giám sát luồng giao thông ................................................................. 93 11.2.4 Theo dõi tổng quan và hiệu suất hệ thống .......................................... 96 11.2.5 Thiết lập báo cáo việc giám sát cho hệ thống ..................................... 97 11.3 Nhận xét ................................................................................................. 100 KẾT LUẬN ........................................................................................................... 101 PHỤ LỤC SNORT................................................................................................ 102 PHỤ LỤC FOREFRONT..................................................................................... 121 TÀI LIỆU THAM KHẢO .................................................................................... 124 x DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU Hình 1. Kiến trúc IDS ............................................................................................... 11 Hình 2. IDS dựa trên host. ........................................................................................ 13 Hình 3. IDS dựa vào mạng........................................................................................ 14 Hình 4. Xây dựng hệ thống với IPS. ......................................................................... 17 Hình 5. Hệ thống Promiscuous mode IPS ................................................................. 20 Hình 6. Hệ thống In-line IPS .................................................................................... 21 Hình 7. Hệ thống Signature-based IPS ...................................................................... 21 Hình 8. Hệ thống Anomaly-based IPS ...................................................................... 22 Hình 9. Hệ thống policy – based IPS ........................................................................ 23 Hình 10. Bộ lọc ứng dụng. ........................................................................................ 26 Hình 11. Cơ chế cổng vòng. ..................................................................................... 27 Hình 12. Single-Homed Bastion Host. ...................................................................... 29 Hình 13. Dual-Homed Bastion Host ......................................................................... 29 Hình 14. Mô hình vùng phi quân sự. ......................................................................... 30 Hình 15. Land Attack ............................................................................................... 31 Hình 16. Smurf Attack .............................................................................................. 32 Hình 17. Giả mạo ARP Cache .................................................................................. 34 Hình 18. Hộp thoại Create Custom View. ................................................................. 39 Hình 19. Khung nhìn hiển thị kết quả xuất hiện dưới Custom Views ........................ 40 Hình 20. Mô hình Lab triển khai ............................................................................... 42 Hình 21. Các chính sách giám sát ............................................................................. 43 Hình 22. Thiết lập chính sách giám sát ..................................................................... 43 xi Hình 23.Tài khoản đăng nhập thành công ................................................................. 44 Hình 24. Keberos chứng thực khi user đăng nhập ..................................................... 44 Hình 25. Tài khoản u1 đăng nhập sai password ........................................................ 45 Hình 26. Ghi nhận sự kiện tạo tài khoản u1 .............................................................. 46 Hình 27. Thông tin chi tiết khi tạo tài khoản u1 ........................................................ 46 Hình 28. Thông tin về việc xóa tài khoản .................................................................. 47 Hình 29. Ghi nhận sự kiện tạo group ........................................................................ 47 Hình 30. Thông tin chi tiết của filelog ...................................................................... 48 Hình 31. Thiết lập chính sách giám sát ..................................................................... 48 Hình 32. Ghi nhận sự kiện domain kết nối với nhau ................................................. 49 Hình 33. Chi tiết filelog 2 domain bắt đầu replicate .................................................. 49 Hình 34. Đồng bộ bản sao của một Active Directory kết thúc ................................... 49 Hình 35. Thiết lập chính sách giám sát ..................................................................... 50 Hình 36. Máy client đăng nhập sai password ............................................................ 50 Hình 37. Không ghi nhận sự kiện đăng nhập sai ....................................................... 51 Hình 38. Ghi nhận và thông báo máy truy cập trái phép vào hệ thống ....................... 51 Hình 39. Ghi nhận sự kiện u1 ................................................................................... 54 Hình 40.Chi tiết tài khoản u1 đăng nhập bằng máy KIT........................................... 54 Hình 41. Chi tiết các thư mục được user truy cập ...................................................... 55 Hình 42. Ghi nhận sự kiện xâm nhập trái phép ......................................................... 55 Hình 43. Chi tiết tài khoản truy cập .......................................................................... 56 Hình 44. Ghi nhận sự kiện thay đổi chính sách Logon/Logoff .................................. 56 Hình 45. Thông tin chi tiết của file log đã thay đổi ................................................... 57 Hình 46. Ghi nhận thay đổi của auditing Object Access ............................................ 57 Hình 47. Danh sách các quyền áp dụng lên toàn domain ........................................... 57 xii Hình 48.Khởi tạo tiến trình của dịch vụ DNS............................................................ 59 Hình 49.Gán token cho tiến trình vừa khởi tạo .......................................................... 59 Hình 50.Thoát tiến trình............................................................................................ 60 Hình 51.Ghi nhận sự kiện khởi động Firewall........................................................... 61 Hình 52.Ghi nhận sự kiện tắt Firewall ...................................................................... 62 Hình 53. Danh sách giám sát trong command-line .................................................... 62 Hình 54. Liệt kê chi tiết giám sát command-line ....................................................... 63 Hình 55. Thông tin giám sát của account logon trong command-line ........................ 64 Hình 56. Mô hình của các thành phần Snort .............................................................. 65 Hình 57. Lệnh snort -W ............................................................................................ 68 Hình 58. Lệnh snort –v -ix ........................................................................................ 68 Hình 59. Ví dụ client ping ........................................................................................ 68 Hình 60. Bảng tóm tắt các gói tin được bắt giữ trên Win .......................................... 69 Hình 61. Lệnh snort –vd -ix ...................................................................................... 69 Hình 62. Lệnh snort –vde –ix.................................................................................... 69 Hình 63. Cấu trúc của một rule ................................................................................. 71 Hình 64. Ví dụ cấu trúc rule ...................................................................................... 71 Hình 65. Cấu trúc phần Header ................................................................................. 72 Hình 66. Base đang hoạt động .................................................................................. 74 Hình 67. Thống kế dưới dạng đồ họa ........................................................................ 74 Hình 68. Thông tin 5 cảnh báo xảy ra nhiều nhất ...................................................... 75 Hình 69. Thông tin máy ping .................................................................................... 75 Hình 70. Thông tin IP ............................................................................................... 75 Hình 71 Các thông số ............................................................................................... 77 Hình 72. Hiệu suất CPU khi Snort hoạt động ............................................................ 78 xiii Hình 73. Triển khai IDS ........................................................................................... 78 Hình 74. Port Monitor............................................................................................... 79 Hình 75. Tấn công nội bộ. ........................................................................................ 79 Hình 76. Máy Victim 1 ............................................................................................. 80 Hình 77. Máy Victim 2 ............................................................................................. 81 Hình 78. Cảnh báo .................................................................................................... 81 Hình 79. Mô hình triển khai Forefront TMG Server.................................................. 86 Hình 80. Thiết lập các luật cơ bản cho hệ thống. ....................................................... 88 Hình 81. Máy client bị cấm truy cập facebook. ......................................................... 89 Hình 82. Các chức năng bảo vệ trong IDS. ............................................................... 90 Hình 83. Lọc tấn công DNS ...................................................................................... 91 Hình 84. Xuất hiện cảnh báo quét cổng..................................................................... 91 Hình 85. Bật tính năng IP Option. ............................................................................. 92 Hình 86. Ghi nhận chi tiết về việc truy cập facebook. ............................................... 93 Hình 87. Ghi nhận chi tiết về việc truy cập facebook. ............................................... 94 Hình 88. Ghi nhận thông tin chi tiết về cuộc tấn công. .............................................. 95 Hình 89. Cảnh báo luồng thông tin đi vào quá nhanh. ............................................... 95 Hình 90.Bảng Dashboard .......................................................................................... 96 Hình 91. Tạo báo cáo từ ngày 1/6 đến 6/6. ................................................................ 97 Hình 92. Xuất báo cáo dưới dạng HTML. ................................................................. 98 Hình 93. Thống kê các giao thức sử dụng ................................................................. 98 Hình 94. Thống kê người dùng truy cập. ................................................................... 99 Hình 95. Thống kê các trang web truy xuất. .............................................................. 99 Hình 96. Thống kê luồng giao thông ra vào hệ thống. ............................................... 99 Hình 97. Thống kê tổng quát. ................................................................................. 100 xiv Hình 98. Mô hình thử nghiệm Snort ....................................................................... 102 Hình 99. Cài đặt thành công ................................................................................... 103 Hình 100. service snortd start ................................................................................. 105 Hình 101. Not Using PCAP_FRAMES ................................................................... 105 Hình 102. Setup page .............................................................................................. 108 Hình 103. Create BASE .......................................................................................... 109 Hình 104. BASE thành công ................................................................................... 109 Hình 105. Giao diện BASE ..................................................................................... 109 Hình 106. Trang web tìm kiếm ............................................................................... 110 Hình 107. Thông tin IP ........................................................................................... 110 Hình 108. lệnh tail –f .............................................................................................. 110 Hình 109. Bảng tóm tắt các gói tin được bắt giữ ..................................................... 111 Hình 110. Installation Options ................................................................................ 112 Hình 111. Not Using PCAP_FRAMES trên Win .................................................... 113 Hình 112. Màn hình trên máy ảo báo lỗi khi cái Window Server 2008 x64 ............. 121 Hình 113. Báo lỗi cài Prepairation tool ................................................................... 123 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 1 ĐẶT VẤN ĐỀ 1. Lý Do Chọn Đề Tài Đây là một đề tài có tính thực tiễn cao, áp dụng được cho hầu hết các hệ thống lớn nhỏ. Hệ thống máy server farm hay hệ thống máy DMZ, đều là những khu vực quan trọng đòi hỏi tính ổn định, an toàn và bảo mật cao, không cho bất kỳ một luồng thông tin trái phép xâm nhập vào hệ thống. Chính vì thế chúng ta phải lập các kế hoạch, phương thức giám sát , ghi nhận lại tất cả các sự kiện xâm nhập hệ thống trái phép hay truy cập thay đổi dữ liệu, bên cạnh đó thường xuyên kiểm tra đánh giá hiệu năng cho hệ thống để đảm bảo tính ổn định và không bị quá tải. 2. Mục Tiêu Đạt Được Sau Đề Tài Chúng tôi sẽ có một kiến thức nhất định về xây dựng, triển khai các phương thức giám sát, ghi nhận các sự kiện và đánh giá hiệu năng cho hệ thống. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 2 PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN 3. Tổng Quan Về Bảo Mật Thông Tin 3.1 Khái quát bảo mật thông tin Ngày nay, mạng Internet đã lan rộng và phát triển rất mạnh mẽ. Kéo theo nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về viễn thông và công nghệ thông tin không ngừng phát triển ứng dụng để nâng cao chất lượng và lưu lượng truyền tin. Từ đó các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừng đổi mới đảm bảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền thông tin trong các máy tính nối mạng. Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá trình truyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu đó trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép nào thông qua mạng. 3.2 Các loại tấn công cơ bản Ta có thể phân ra 2 loại tấn công là tấn công thụ động và tấn công chủ động. - Tấn công thụ động: Mục tiêu của hacker là chỉ nắm bắt và đánh cắp thông tin. Họ chỉ có thể biết được người gửi, người nhận trong phần IP header và thống kê được tần số trao đổi, số lượng, độ dài của thông tin, chứ chúng không thể chỉnh sửa hoặc làm hủy hoại nội dung thông tin dữ liệu trao đổi. Kiểu tấn công này khó phát hiện nhưng có thể có biện pháp ngăn chặn hiệu quả. Đối với tấn công chủ động có thể làm thay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lặp lại gói tin đó. - Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn hơn nhiều. Một thực tế cho thấy bất bỳ một hệ thống nào dù được bảo vệ chắc chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. Vì vậy chúng ta cần phải xây dựng các chiến lượt bảo mật để có thể từng bước bảo vệ hệ thống an toàn hơn. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 3 3.3 Nhiệm vụ của người quản trị Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi, nghiên cứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự cố. Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao cho hiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh nghiệp khác nhau. Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập vào tài nguyên mạng. Đề xuất những phương án dự phòng khi hệ thống gặp sự cố hay bị tấn công. Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ro ngoài ý muốn. Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chúng một cách hài hòa và hợp lý. Đó chỉ là điều kiện cần cho những quản trị mạng phải có để đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 4 4. Tổng Quan Giám Sát Thông Tin 4.1 Khái quát giám sát thông tin Khi công nghệ máy tính đã tiên tiến, các tổ chức đã trở nên ngày càng phụ thuộc vào hệ thống thông tin máy tính để thực hiện các hoạt động quy trình, duy trì, và báo cáo thông tin cần thiết. Giám sát công nghệ thông tin, hoặc giám sát hệ thống thông tin, là một sự kiểm tra các điều khiển trong phần cơ sở hạ tầng trong công nghệ thông tin (IT). Một giám sát IT cần có quá trình thu thập và đánh giá rõ ràng các hệ thống thông tin và các hoạt động của một tổ chức. Các đánh giá rõ ràng thu được quyết định nếu hệ thống thông tin là bảo vệ tài sản, duy trì tính toàn vẹn dữ liệu, và hoạt động hiệu quả để đạt được những mục tiêu hay những mục đích của tổ chức. 4.2 Mục đích Mục đích là để đánh giá khả năng bảo vệ thông tin của tổ chức, và phân phối đúng thông tin cho các bên được uỷ quyền. Việc giám sát IT gồm những việc sau: - Hệ thống máy tính của tổ chức có sẵn cho việc kinh doanh khi cần thiết (Tính sẵn sàng) - Thông tin trong các hệ thống chỉ được tiết lộ cho người dùng có thẩm quyền (Tính bảo mật) - Những thông tin được cung cấp bởi hệ thống luôn được chính xác, đáng tin cậy, và kịp thời (Tính toàn vẹn) 4.3 Lợi ích của việc giám sát thông tin - Đem lại giá trị Một trong những kết quả của việc thực hiện giám sát đúng là thông tin phải hợp lệ và chính xác về trạng thái của thông tin như một nguồn tài nguyên của công ty. Chất lượng của kế hoạch và quản lý vì vậy cần cải thiện, chính xác, hợp lệ và các thông tin luôn sẵn có. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 5 - Từ chẩn đoán Là đặc tính của phần lớn các cuộc giám sát. Yếu tố chẩn đoán của giám sát có thể nhận ra các điểm mạnh và điểm yếu được xác định. Thông tin có thể được sử dụng để xây dựng trên những điểm mạnh để loại bỏ những điểm yếu. - Từ phản hồi thông tin Giám sát thông tin là một yếu tố quan trọng trong quá trình phản hồi. Việc giám sát thông tin được sử dụng để xác định xem thông tin cụ thể đầu vào cung cấp những thông tin kết quả mong muốn. Do đó giám sát thông tin là một công cụ đánh giá và cung cấp thông tin có thể được sử dụng để lập kế hoạch và thực hiện hành động khắc phục. - Lợi ích từ huấn luyện Lợi ích này thường bị bỏ qua. Một giám sát thông tin cung cấp cơ hội để tham gia đội ngũ nhân viên trong quá trình giám sát, đồng thời dạy họ thêm về các quy trình, triết lý và các cấu trúc hỗ trợ việc sử dụng các nguồn tài nguyên thông tin công ty. Các nhân viên sẽ có một sự hiểu biết tốt hơn, hình ảnh của thông tin và vai trò của nó trong tổ chức. 4.4 Vai trò của giám sát thông tin Thông tin đang ngày càng được công nhận là một nguồn tài nguyên có giá trị mà cần phải được quản lý. - Quản lý thông tin cá nhân Một trong những kết quả của giám sát thông tin là kiến thức về các nguồn thông tin sẵn có và nơi chúng được cất giữ. Điều này có thể tăng cường sử dụng thông tin. Việc kiểm kê các thông tin được phân tích về tính hữu ích của các nguồn thông tin và theo thông tin này, các quyết định về lưu trữ hoặc xử lý thông tin có thể được thực hiện. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 6 - Quảng bá thông tin Một giám sát thông tin làm tăng nhận thức về thông tin, phổ biến và sao chép thông tin, tổ chức thông tin, truy cập thông tin, bảo vệ và lưu trữ thông tin. - Quản lý hoạt động thông tin Xác định nhu cầu thông tin là một thành phần rất quan trọng của giám sát thông tin. Trong quá trình giám sát thông tin, nguồn thông tin xác định được đánh giá về giá trị cao thích hợp cho người sử dụng biết. - Tổ chức quản lý thông tin Phát triển và cung cấp một cơ sở hạ tầng công nghệ thông tin: Việc giám sát các thông tin có thể được cấu trúc bao gồm các xét nghiệm công cụ công nghệ thông tin có thể trợ giúp quản lý thông tin hiệu quả. Xác định giá trị và chi phí của thông tin: Không phải tất cả giám sát thông tin bao gồm các giai đoạn như là một. Các nhà nghiên cứu cho rằng điều quan trọng là các định giá và chi phí của các nguồn thông tin nên tạo thành một phần của một giám sát thông tin. Việc lập một nơi cất giữ của các chủ thể thông tin: Đây là một thành phần cốt lõi của phần lớn các cuộc giám sát thông tin. Việc điều phối và thực hiện một chính sách thông tin tổ chức: Điều này có thể là một trong những kết quả của giám sát thông tin. Thực hiện việc giám sát thông tin với mục đích phát triển và thực hiện một chính sách thông tin của tổ chức. Việc tổ chức thông tin trong hệ thống thông tin: sự giám sát thông tin sẽ đưa ra quyết định như thế nào tổ chức các nguồn thông tin cần được tổ chức. Việc quy hoạch, phát triển và đánh giá liên tục của hệ thống thông tin: Việc giám sát thông tin nên được lặp đi lặp lại theo chu kỳ thường xuyên cho mục đích đánh giá hệ thống thông tin và các nguồn. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 7 - Công ty, chiến lược quản lý thông tin Sự phát triển của tài nguyên thông tin để cải thiện việc tổ chức, chiến lược và quyết định. Giám sát thông tin có thể đóng góp đáng kể vào việc quản lý thông tin hiệu quả, tức là nó có thể được coi như một công cụ quản lý thông tin cực kỳ quan trọng .Điều này là do các giám sát thông tin cung cấp thông tin chi tiết và chính xác của thông tin tổ chức. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 8 5. Nguyên Tắc Về Bảo Mật Thông Tin 5.1 Chiến lược bảo mật hệ thống - Thiết lập và giới hạn quyền cho user Đối với các user chúng ta phải thiết lập chính sách quyền hạn nhất định đối với tài nguyên mạng cho chúng. Từng loại user sẽ có các quyền hạn khác nhau, ví dụ như một user của trưởng phòng sẽ có nhiều quyền hạn hơn user của nhân viên. Tương tự như vậy user ở cấp độ thấp thì càng ít quyền hạn hơn, phân quyền như vậy giúp ta hạn chế được những sự truy cập trái phép từ một user bất kỳ. - Bảo vệ theo chiều sâu Trong quá trình xây dựng hệ thống bảo mật ta không nên quá tin tưởng và dựa vào một chế độ bảo vệ an toàn nào cho dù chúng rất mạnh, mà nên tạo nhiều cơ chế an toàn để tương hỗ lẫn nhau. Với một hệ thống bảo vệ nhiều lớp sẽ giúp ngăn cản và làm chậm quá trình thâm nhập của hacker, vì mỗi lớp bảo vệ với một cơ chế bảo mật khác nhau nên chúng phải mất rất nhiều thời gian để có thể phá các cơ chế bảo vệ này, đồng thời ta có thêm thời gian để khắc phục sự cố một cách kịp thời. - Điểm liên kết yếu nhất Trong hệ thống bảo vệ không phải lúc nào cũng kiên cố và an toàn, những kẻ tấn công phá hoại thường tìm những chỗ yếu nhất của hệ thống để tấn công, do đó ta cần phải thường xuyên kiểm tra, giám sát hệ thống để kịp thời phát hiện những lỗ hổng để khắc phục. Thông thường chúng ta chỉ quan tâm đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, vì vậy an toàn vật lý được coi là điểm yếu nhất của hệ thống chúng ta. - Tính đa dạng bảo vệ Nếu chúng ta làm việc trong một công ty lớn, gồm nhiều hệ thống máy chủ khác nhau thì chúng ta cần sử dụng nhiều biện pháp bảo vệ khác nhau để tăng độ phức tạp về bảo mật cho các hệ thống, nếu không một khi kẻ tấn công Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 9 thâm nhập vào được hệ thống thì chúng dễ dàng tấn công vào các hệ thống khác. 5.2 An ninh bảo mật mạng Bởi vì không thể có một giải pháp an toàn tuyệt đối nên chúng ta thường phải sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắn đối với các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin cất giữ trong máy tính. Vì vậy ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường truyền, mọi cố gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong cho các hệ thống kết nối vào mạng. - Giám sát quyền truy cập Nhằm kiểm soát, thống kê được lưu lượng truy cập, sử dụng tài nguyên của mạng và quyền hạn trên tài nguyên đó. Hạn chế và phát hiện kịp thời những lượng truy cập và sử dụng trái phép tài nguyên mạng. - Thiết lập tài khoản và mật khẩu Phương pháp bảo vệ này phổ biến nhất vì nó đơn giản, ít phí tổn và cũng rất hiệu quả. Mỗi người sử dụng muốn truy cập vào mạng để sử dụng tài nguyên đều phải có một tài khoản và mật khẩu. Trong khi đó, người quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định quyền truy cập của những người sử dụng khác. Trong hoàn cảnh thực tế do nhiều nguyên nhân khác nhau như quên mật khẩu hay bị đánh cắp mật khẩu. Người quản trị mạng chịu trách nhiệm đặt mật khẩu hoặc thay đổi mật khẩu theo thời gian. - Mã hóa dữ liệu Để bảo mật thông tin trên đường truyền chúng ta sử dụng các phương pháp mã hóa. Dữ liệu bị biến đổi từ dạng nhận thức được theo một thuật toán nào đó và sẽ được biến đổi ngược lại ở trạm nhận. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 10 - Bảo vệ vật lý Ngăn cản các truy cập vật lý vào hệ thống. Thường dùng các biện pháp truyền thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng ổ khóa trên máy tính hoặc các máy trạm không có ổ mềm. - Tường lửa Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửi hoặc nhận vì các lí do nào đó để bảo vệ một máy tính hoặc cả mạng nội bộ. - Các công tác quản trị Việc bảo đảm cho hệ thống mạng máy tính hoạt động một cách an toàn, không xảy ra sự cố là một công việc cấp thiết hàng đầu. Công tác quản trị mạng máy tính phải được thực hiện một cách khoa học đảm bảo toàn bộ hệ thống hoạt động bình thường trong giờ làm việc. Song song đó phải có một hệ thống dự phòng khi có sự cố về phần cứng hay phần mềm xảy ra. Lập kế hoạch backup dữ liệu quan trọng và bảo dưỡng mạng theo định kỳ. Thiết lập các chính sách bảo mật dữ liệu, phân quyền truy cập và tổ chức nhóm làm việc trên mạng. Thiết lập hệ thống và quy trình để xác định và ngăn chặn thông tin độc hại hoặc không mong muốn. Xây dựng một quá trình phản hồi để theo dõi và thống kê các chi tiết sự cố, đánh giá rủi ro. Luôn cập nhật thường xuyên các công nghệ mới và các ứng dụng cho tổ chức. Liên tục cải tiến do môi trường kinh doanh thay đổi , cho phép các tổ chức duy trì tình trạng bảo mật thông tin ở mức độ rủi ro có thể chấp nhận. Đảm bảo việc bảo mật thông tin luôn ở trạng thái sẵn sàng để đáp ứng nhu cầu của tổ chức ngay khi cần thiết. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 11 PHẦN II: CÁC THÀNH PHẦN GIÁM SÁT HỆ THỐNG 6. Hệ Thống IDS Và IPS 6.1 IDS (Hệ thống phát hiện xâm nhập) Hình 1. Kiến trúc IDS 6.1.1 Kiến trúc của hệ thống IDS Kiến trúc của hệ thống IDS bao gồm các thành phần chính: - Thành phần thu thập thông tin (information collection) - Thành phần phát hiện (Detection) - Thành phần phản ứng (Response) Trong ba thành phần thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết định. Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu– một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 12 mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống được bảo vệ hoặc bên ngoài. Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích. Vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. Thêm vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với hệ thống đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn. IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả chúng truyền thông với nhau. IDS có khả năng dò tìm và phát hiện những cuộc tấn công vào hệ thống mạng. IDS tạo ra một báo động khi nó biết có sự xâm nhập bất thường vào hệ thống. IDS dựa trên các tiêu chí báo động cho phép nó có thể xác định các cuộc tấn công. Tất nhiên, để có thể phát hiện các cuộc tấn công, một hoặc nhiều hệ thống IDS phải được đặt một cách thích hợp trong mạng, hoặc cài đặt như các thiết bị mạng lưới giám sát lưu lượng truy cập trên mạng hoặc cài đặt như máy trạm theo dõi hệ điều hành và ứng dụng đáng ngờ. IDS còn có khả năng phát hiện các cuộc tấn công tinh vi sử dụng các kỹ thuật lẫn tránh để qua mặt các IDS mà thâm nhập không bị phát hiện. 6.1.2 Phân loại IDS Chức năng cơ bản của IDS là phát hiện người xâm nhập, IDS có các dạng chính như: - Hệ thống phát hiện xâm nhập dựa trên host (Host IDS) - Hệ thống phát hiện xâm nhập dựa trên mạng (Network IDS) - Hệ thống lai (Hybrid IDS – Distributed IDS) Mỗi dạng của IDS đều có những ưu điểm và khuyết điểm riêng - Hệ Thống Phát hiện xâm nhập dựa trên host (HIDS) Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 13 dõi OS, ghi nhận các sự kiện và những thông điệp báo lỗi trên hệ thống máy chủ. Hình 2. IDS dựa trên host. Ưu Điểm Nhược Điểm - HIDS sẽ phân tích trước khi mã hóa và sau khi giải mã. - Cho phép xác định liệu một cuộc tấn công đã thành công hay chưa. (NIDS có thể phát hiện các cuộc tấn công, nhưng nó đã không có cách nào xác định liệu các cuộc tấn công đã thành công.) - Không yêu cầu phần cứng IDS chuyên dụng. - Yêu cầu một đại lý trên mỗi máy chủ mà muốn để bảo vệ. - Yêu cầu một đại lý có thể hỗ trợ nhiều hệ điều hành. - Phát hiện xâm nhập dựa vào mạng (NIDS) NIDS liên quan đến việc đặt một IDS dành riêng trên một đoạn mạng rõ ràng mà theo dõi lưu lượng truy cập thông qua phân đoạn này. Một NIDS có thể được đặt trên các phân đoạn quan trọng trên toàn mạng để cung cấp bảo vệ cho toàn bộ mạng. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 14 Hình 3. IDS dựa vào mạng. Trong hình trên, tất cả lưu lượng truy cập từ Internet là thông qua router, giao thông được phản ánh cho một cổng giám sát trên một IDS. NIDS thông thường bao gồm một cổng giám sát cắm vào các đoạn mạng mà ta muốn theo dõi. Cổng giám sát dễ dàng bị quá tải và sẽ có một số luồng giao thông bị bỏ sót mà có thể chứa các cuộc tấn công chống lại mạng. Vì vậy, ta cần phải đặt IDS cẩn thận, hợp lý để bảo đảm cổng giám sát sẽ không bị quá tải. Ưu Điểm Nhược Điểm - Một NIDS duy nhất có thể bảo vệ phần lớn mạng trong hệ thống. - Phát hiện tấn công dựa trên mạng, chẳng hạn như port scan hoặc ping rà soát. - Yêu cầu cài đặt trên một đoạn mạng mà việc giám sát các cổng không bị quá tải. - Yêu cầu phải giám sát các phần khác nhau của mạng sử dụng nhiều thiết bị IDS. - Yêu cầu phải tập hợp các giao thông bị phân mảnh (giao thông IP được chia thành nhiều mảnh IP). - Đòi hỏi CPU đáng kể và nhiều tài nguyên bộ nhớ để có thể phân tích lưu lượng truy cập theo dõi trong thời gian thực. - Không thể phát hiện các cuộc tấn công có trong thông tin liên lạc mã hóa. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 15 - Phát hiện xâm nhập IDS lai (Distributed (Hybrid) IDS) Những hệ thống IDS lai là những hệ thống nhằm kết hợp những ưu điểm của của mỗi dạng IDS, cũng như việc tối thiểu hóa những hạn chế. Trong hệ thống lai, cả những bộ cảm biến và những máy chủ đều báo cáo về một trung tâm quản trị. Ngoài khả năng kết hợp được những điểm mạnh của hai dạng IDS, các hệ IDS lai còn có thể kết hợp được hai cơ chế là dựa trên dấu hiệu và cơ chế phát hiện bất thường. 6.1.3 Các cơ chế phát hiện xâm nhập Mục đích của hệ thống IDS là nhằm cảnh báo cho nhóm quản trị viên khi phát hiện xâm nhập. Những hệ thống báo trộm khởi phát một tín hiệu dựa trên sự chuyển động của đầu dò. Các hệ thống IDS cũng có hai dạng cơ chế khởi phát (triggering mechanism): - Phát hiện sự sử dụng sai (dựa trên những dấu hiệu) Phát hiện sử dụng sai còn được gọi là phát hiện dựa trên dấu hiệu (signature-based detection). Phát hiện sử dụng sai đòi hỏi những file dấu hiệu (signature) để nhận dạng những hành động xâm nhập. Những file dấu hiệu sử dụng trong phương pháp phát hiện sử dụng sai thì tương tự như những file dấu hiệu trong những phần mềm diệt virus. Ưu Điểm Nhược Điểm - Có ít cảnh báo nhầm hơn kiểu phát hiện sự bất thường. - Không theo dõi những mẫu lưu lượng hay tìm kiếm những sự bất thường. - Theo dõi những hoạt động đơn giản để tìm sự tương xứng đối với bất kỳ dấu hiệu nào đã được định dạng. - Dễ hiểu cũng như dễ định dạng hơn những hệ thống phát hiện sự bất thường. - Không phát hiện những cuộc tấn công mới hay chưa được biết. - Không phát hiện những sự thay đổi của những cuộc tấn công đã biết. - Khả năng quản trị cơ sở dữ liệu những dấu hiệu là công việc mất nhiều thời gian cũng như khó khăn. - Giống như tường lửa , bộ cảm biến phải duy trì trạng thái dữ liệu trong bộ nhớ để tìm lại nhanh hơn, nhưng mà khoảng trống thì giới hạn. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 16 - Phát hiện sự không bình thường (dựa trên mô tả sơ lược) Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group profiles). Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông thường và hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì họ đã định nghĩa trong profile, hệ thống IDS sẽ phát sinh cảnh báo. Ưu Điểm Nhược Điểm - Kẻ xâm nhập không bao giờ biết lúc nào có, lúc nào không phát sinh cảnh báo bởi vì họ không có quyền truy cập vào những profile sử dụng để phát hiện những cuộc tấn công. - Không dựa trên một tập những dấu hiệu đã được định dạng hay những đợt tấn công đã được biết. - Thời gian chuẩn bị ban đầu cao. - Không có sự bảo vệ trong suốt thời gian khởi tạo ban đầu. - Thường xuyên cập nhật profile khi thói quen người dùng thay đổi. - Khó khăn trong việc định nghĩa cách hành động thông thường. - Cảnh báo nhầm - Chọn lựa giữa NIDS và HIDS Những quản trị hệ thống mạng như chúng ta đều quan tâm đến NIDS và HIDS, nhưng chọn thế nào để phù hợp với hệ thống mạng của mỗi doanh nghiệp nhất? HIDS cho giải pháp trọn vẹn và NIDS cho giải pháp LAN. Giống như khi cài đặt phần mềm chống virus, HIDS không chỉ thực hiện cài đặt phần mềm trên các máy chủ chính mà còn phải cài đặt trên tất cả các máy khách. Không có lý do nào giải thích tại sao cả NIDS và HIDS không được sử dụng kết hợp với nhau trong một chiến lược IDS mạnh. NIDS dễ bị vô hiệu hóa đối với kẻ xâm nhập. Rõ ràng cài đặt nhiều nút phát hiện trên mạng bằng HIDS an toàn nhiều hơn là chỉ có một NIDS với một vài nút phát hiện chỉ cho một đoạn mạng. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 17 6.2 IPS (Hệ thống ngăn chặn xâm nhập) Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng. Hình 4. Xây dựng hệ thống với IPS. 6.2.1 Kiến trúc hệ thống IPS Hệ thống IPS gồm 3 module chính: - Module phân tích gói Module này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin. Card mạng (NIC) của máy giám sát được đặt ở chế độ Promiscuous Mode, tất cả các gói tin qua chúng đều được copy lại và chuyển lên lớp trên. Bộ phân tích gói đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì? Các thông tin này được chuyển đến module phát hiện tấn công. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 18 - Module phát hiện tấn công Đây là module quan trọng nhất trong hệ thống, có khả năng phát hiện các cuộc tấn công. Có một số phương pháp để phát hiện các cuộc tấn công, xâm nhập (Signature-Based IPS, Anomaly-Based IPS,). Phương pháp phát hiện phân tích các hoạt động của hệ thống, tìm kiếm các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết trước này gọi là các dấu hiệu tấn công. Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công nhanh và chính xác, giúp người quản trị xác định các lỗ hổng bảo mật trong hệ thống. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy hệ thống luôn phải cập nhật các mẫu tấn công mới. - Module phản ứng Khi có dấu hiệu của sự tấn công hoặc xâm nhập, modul phát hiện tấn công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến module phản ứng. Lúc đó module phản ứng sẽ kíck hoạt firewall thực hiện chức năng ngăn chặn cuộc tấn công. Tại module này, nếu chỉ đưa ra các cảnh báo tới các người quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị động. Module phản ứng này tùy theo hệ thống mà có các chức năng khác nhau. Dưới đây là một số kỹ thuật ngăn chặn:  Terminate session Cơ chế của kỹ thuật này là hệ thống IPS gửi gói tin reset, thiết lập lại cuộc giao tiếp tới cả client và server. Kết quả cuộc giao tiếp sẽ được bắt đầu lại, các mục đích của hacker không đạt được, cuộc tấn công bị ngừng lại. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 19  Drop attack Kỹ thuật này dùng firewall để hủy bỏ gói tin hoặc chặn đường một gói tin đơn, một phiên làm việc hoặc một luồng thông tin giữa hacker và nạn nhân.  Modify firewall polices Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các chính sách điều khiển truy cập bởi người dùng đặc biệt trong khi cảnh báo tới người quản trị.  Real-time Alerting Gửi các cảnh báo thời gian thực đến người quản trị để họ lắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.  Log packet Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các file log. Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho module phát hiện tấn công hoạt động. Ba module trên họat động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh. Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được toàn bộ thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách quản lý mềm dẻo. 6.2.2 Phân loại IPS - NIPS: thiết bị cảm biến được kết nối với các phân đoạn mạng để giám sát nhiều máy. - HIPS: các đại lý phần mềm quản lý trung tâm được cài đặt trên mỗi máy chủ lưu trữ. Các máy chủ được bảo vệ và báo cáo với trung tâm quản lý giao diện điều Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 20 khiển. HIPS cung cấp máy chủ lưu trữ cá nhân phát hiện và bảo vệ. HIPS không đòi hỏi phần cứng đặc biệt. 6.2.3 Phân loại triển khai IPS - Promiscuous Mode IPS Hệ thống IPS đứng trên firewall. Như vậy luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua firewall và IPS. IPS có thể kiểm soát luồng dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này, Promiscuous Mode IPS có thể quản lý firewall, chỉ dẫn nó chặn lại các hành động nghi ngờ. Hình 5. Hệ thống Promiscuous mode IPS - In-line IPS Vị trí IPS nằm trước firewall, luồng dữ liệu phải đi qua chúng trước khi tới firewall. Điểm khác chính so với Promiscuous Mode IPS là có thêm chức năng traffic-blocking. Điều đó làm cho IPS có thể ngăn chặn luồng giao thông nguy hiểm nhanh hơn so với Promiscuous Mode IPS. Tuy nhiên vị trí này sẽ làm cho tốc độ luồng thông tin qua ra vào mạng chậm hơn. Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động theo thời gian thực. Tốc độ họat động của hệ thống là một yếu tố rất quan Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 21 trọng. Qua trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngay lập tức. Nếu không đáp ứng được điều này thì các cuộc tấn công đã được thực hiện xong và hệ thống IPS là vô nghĩa. Hình 6. Hệ thống In-line IPS 6.2.4 Công nghệ ngăn chặn xâm nhập IPS - Signature - Based IPS Hình 7. Hệ thống Signature-based IPS Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 22 Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập tiêu biểu. Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu hiện có. Nếu không có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là một cuộc tấn công. Việc tạo ra các Signature-Based yêu cầu người quản trị phải có những kỹ năng hiểu biết thật rõ về attacks, những mối nguy hai và phải biết phát triển những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống mạng. - Anomaly-Based IPS Hình 8. Hệ thống Anomaly-based IPS Anomaly-Based IPS phát hiện dựa trên sự bất thường hay mô tả sơ lược phân tích những hoạt động của mạng và lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường. Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group profiles). Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 23 - Policy-Based IPS Hình 9. Hệ thống Policy – based IPS Policy-Based IPS sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều phương thức được ưa chuộng để ngăn chặn. - Protocol Analysis-Based IPS. Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một hacker bắt đầu chạy một chương trình tấn công tới một Server. Trước tiên hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể không chứa data trong payload. Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số giao thức:  Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay không?  Kiểm tra nội dung trong Payload (pattern matching).  Thực hiện những cảnh cáo không bình thường. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 24 6.3 Đối chiếu IDS và IPS Hiện nay, công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu như hiểu đơn giản, ta có thể xem như IDS chỉ là một cái chuông để cảnh báo cho người quản trị biết những nguy cơ có thể xảy ra tấn công. Với IPS, người quản trị không những có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công mà còn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo quy luật do nhà quản trị định sẵn. Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế của IDS là tổng quát, dẫn đến tình trạng cảnh báo nhầm, làm tốn thời gian và công sức của nhà quản trị. IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được khả năng tấn công của mạng, thêm vào đó, độ chính xác của IPS là cao hơn so với IDS. Kiểm chứng qua ví dụ như nếu kẻ tấn công giả mạo của một đối tác, ISP, hay là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ, mặc dù IDS có thể phát hiện được cuộc tấn công từ chối dịch vụ và IP của khách hàng, của ISP, của đối tác. Nhưng với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn công. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 25 7. Tìm Hiểu Về Hệ Thống Firewall 7.1 Chức Năng Internet Firewall (gọi tắt là firewall) là một thành phần đặt giữa Intranet và Internet để kiểm soát tất cả các việc lưu thông và Internet để kiểm soát tất cả các việc lưu thông và truy cập giữa chúng với nhau: - Firewall quyết định những dịch vụ nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. - Để firewall làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài và ngược lại đều phải thực hiện thông qua firewall. - Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ thống mạng nội bộ mới được quyền lưu thông qua Firewall. 7.2 Các thành phần và cơ chế hoạt động của Firewall 7.2.1 Bộ lọc packet (packet-filtering router) Bộ lọc gói tin cho phép hay từ chối mỗi packet mà nó nhận được. Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn một trong số các luật lệ lọc packet hay không. Các luật lệ lọc packet này là dựa trên các thông tin ở đầu mỗi packet, dùng để cho phép truyền các packet đó. - Địa chỉ IP nơi xuất phát (IP source address) - Địa chỉ IP nơi nhận (IP destination address) - Những thủ tục truyền tin (TCP, UPD, ICMP, IP tunnel) - Cổng TCP/UPD nơi gửi và nhận - Dạng thông báo ICMP Ưu Điểm Nhược Điểm - Chi phí thấp vì đã bao gồm trong mỗi router - Không yêu cầu chuyên môn đặc biệt - Đòi hỏi về sự lọc càng lớn - Các bộ luật lọc gói tin càng trở nên dài, phức tạp, khó quản lý - Không kiểm soát được toàn bộ nội dung của packet Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 26 7.2.2 Cổng ứng dụng (application-level-gateway) Cơ chế này được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ, hoạt động của nó dựa trên Proxy service. Proxy service được xem như các bộ chương trình đặc biệt cài đặt trên gateway cho từng ứng dụng. Một cổng ứng dụng thường được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặc biệt để chống lại sự tấn công bên ngoài. Bastion host gồm những biện pháp đảm bảo an ninh như: - Bastion luôn chạy các phiên bản hệ điều hành an toàn chống lại sự tấn công vào hệ quản trị. - Chỉ những dịch vụ nào thực sự cần thiết và quan trọng (telnet, DNS, FTP,) mới được cài đặt trên bastion host, vì hạn chế ứng dụng nào thì sẽ bớt đi sự tấn công vào phần đó. - Proxy được cấu hình cho phép truy cập chỉ một số máy chủ nhất định. - Mỗi proxy sẽ duy trì, lưu trữ lại toàn bộ chi tiết của mỗi kết nối. Đây sẽ là cơ sở để tìm ra dấu vết và ngăn chặn kẻ phá hoại. Hình 10. Bộ lọc ứng dụng. Ưu Điểm Nhược Điểm - Cho phép người quản trị hoàn toàn điều khiển những ứng dụng và dịch vụ nào được cho phép. - Cho phép ghi chép kiểm tra độ xác thực rất tốt và có một nhật ký ghi chép lại thông tin về truy cập hệ thống - Bộ luật lọc cho cổng ứng dụng dẽ dàng cấu hình và kiểm tra hơn so với bộ lọc gói tin - Bộ lọc cổng ứng dụng còn được xem như là một firewall mềm, vì vậy đa phần sẽ tốn chi phí khá cao cho license. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 27 7.2.3 Cổng vòng (Circuit level Gateway) - Hoạt động ở lớp phiên của mô hình OSI hoặc là một lớp đệm giữa lớp ứng dụng và lớp vận chuyển của mô hình TCP/IP. Cổng vòng đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. - Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng bên trong. Hình 11. Cơ chế cổng vòng. Ưu điểm : Có thể cấu hình vừa cung cấp cổng ứng dụng cho những kết nối đến và cổng vòng cho các kết nối đi ra. Vì thế làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong nội bộ muốn trực tiếp truy cập tới các dịch vụ internet, trong khi vẫn bảo vệ mạng nội bộ từ sự tấn công bên ngoài. 7.3 Những hạn chế của firewall - Chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số địa chỉ. - Không thể ngăn chặn một sự tấn công không đi qua nó. Không đi qua nó ở đây có nghĩa là không thể chống lại một cuộc tấn công từ một sự rò rỉ thông tin do dữ liệu bị đánh cắp bất hợp pháp hoặc bị tấn công từ nội bộ. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 28 - Không thể chống lại các cuộc tấn công từ sự thâm nhập của các chương trình được chuyển theo thư điện tử và không thể làm nhiệm vụ rà quét virus, vì ngày càng xuất hiện liên tục của các virus mới thoát khỏi khả năng kiểm soát của firewall. 7.4 Các ví dụ Firewall - Bộ định tuyến lọc gói tin (Packet-Filtering Router) Bộ lọc này phổ biến nhất vì chỉ bao gồm một bộ định tuyến lọc gói tin đặt giữa mạng nội bộ và internet. Có hai chức năng chính là chuyển tiếp truyền tải giữa hai mạng và sử dụng các bộ luật về lọc gói tin để cho phép hay từ chối truyền. Ưu Điểm Nhược Điểm - Giá thành thấp - Cấu hình đơn giản - Dễ bị tấn công vào các bộ lọc cấu hình không hoàn hảo, tấn công ngầm dưới những dịch vụ đã được phép. - Tất cả hệ thống trong mạng nội bộ sẽ bị tấn công nếu bộ lọc do một sự cố nào đó ngừng hoạt động. - Nguy cơ bị tấn công cao hơn vì các gói tin trao đổi trực tiếp với nhau chỉ thông qua router. - Screened Host Firewall Hệ thống này bao gồm một router lọc gói tin và một bastion host. Nó thực hiện việc bảo mật ở cả tầng network (packet filtering) và ở tầng ứng dụng, một khi có sự tấn công bên ngoài vào thì nó phải vượt qua hai tầng bảo mật. Hệ thống này có dạng: o Single – Homed Bastion Host Mô hình hệ thống này bastion host được cấu hình trong mạng nội bộ, bô luật lọc gói tin cài trên router sao cho tất cả các hệ thống bên ngoài chỉ có thể truy cập vào được bastion host. Các truy cập từ bên ngoài vào trong mặc định đều bị khoá, còn các truy xuất ra ngoài phải được xác nhận và xuất phát từ bastion nhost. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 29 Hình 12. Single-Homed Bastion Host. o Dual – Homed Bastion Host Cung cấp độ bảo mật cao hơn, vì hệ thống dùng 2 cổng mạng một nối với cổng ra internet, cổng còn lại nối với mạng nội bộ. Với mô hình này thì trong hệ thống chỉ có duy nhất bastion host có thể truy cập được từ internet, sẽ hạn chế được sự tấn công . Cần cấu hình chặn không cho người dùng truy cập vào bastion host vì họ sẽ dễ dàng truy cập được mạng nội bộ một khi vào được bastion host. Hình 13. Dual-Homed Bastion Host - Vùng phi quân sự (DMZ Zone) Hệ thống này còn được gọi là screen-subnet firewall, gồm hai router lọc gói tin và một bastion host. Vùng DMZ là một mạng nhỏ được cô lập đặt giữa internet và mạng nội bộ. Router bên ngoài chống lại những cuộc tấn công và điều khiển truy cập vào DMZ, và từ DMZ muốn vào trong nội bộ thì phải xuất Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 30 phát từ bastion host. Router bên trong chỉ cho phép các hệ thống nội bộ truy cập bastion host. Hình 14. Mô hình vùng phi quân sự. Ưu điểm: - Cản trở quá trình tấn công với ba lớp bảo vệ. - Hệ thống nội bộ sẽ bị ẩn đi vì router ngoài chỉ đưa vùng DMZ hiển thị ra internet. - Đảm bảo các lượt truy cập an toàn cho các user nội bộ muốn ra ngoài, vì router bên trong chỉ quảng bá vùng DMZ tới mạng nội bộ. 7.5 Các kiểu tấn công 7.5.1 Tấn công từ chối dịch vụ (Denial of Service Attacks) Tấn công từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ nào đó. Nó bao gồm làm tràn ngập mạng, mất kết nối với dịch vụ v.v..mục đích cuối cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các máy trạm (Client). Tấn công từ chối dịch vụ phân tán (tấn công DDoS- Distributed denial of service) là một hình thức khác của tấn công DoS. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 31 DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí cả một hệ thống mạng rất lớn. Về bản chất thực sự của DoS, hacker sẽ chiếm dụng một lượng lớn tài nguyên mạng như băng thông, bộ nhớ và làm mất khả năng xử lý các yêu cầu dịch vụ từ các client khác. Có 2 loại tấn công chính: chiếm dụng nguồn tài nguyên (resource depletion) và tấn công chiếm dụng băng thông (bandwidth depletion). - Tấn công chiếm dụng nguồn tài nguyên Tấn công chiếm dụng nguồn tài nguyên làm nghẽn tài nguyên dịch vụ trên máy nạn nhân do nó cấp phát quá nhiều, từ đó CPU của nạn nhân bị quá tải và các quá trình xử lý dữ liệu bị đình trệ. Tấn công kiểu Land Attack là một hình thức tấn công chiếm dụng tài nguyên.Trong kiểu tấn công này thì hacker sẽ gửi nhiều gói tin SYN với cùng một địa chỉ nguồn và địa chỉ đích và giống hệt port nguồn và port đích tới nạn nhân. Mục đích của kiểu tấn công này là buộc nạn nhân gửi các gói tin trả lời cho chính nó (một vòng lặp vô tận khi cố gắng thiết lập kết nối). Bởi vì hacker liên tục gửi các gói tin, nạn nhân có thể giải phóng tài nguyên bằng cách gửi gói tin đến chính nó. Về mặt kỹ thuật, kẻ tấn công sử dụng tài nguyên riêng của máy chủ để chống lại chính nó. Hình 15. Land Attack Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 32 - Tấn công sử dụng băng thông Tấn công chiếm dụng băng thông làm ngập mạng nạn nhận với lưu lượng không mong muốn, từ đó khiến cho người dùng hợp pháp vào mạng nạn nhân rất chậm, nếu không muốn nói là không thể nào vào được. Tấn công kiểu Smurf Attack là một hình thức tấn công chiếm dụng băng thông. Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch đại. Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo request cho toàn bộ mạng (broadcast). Các máy tính trong mạng sẽ đồng loạt gửi gói tin ICMP echo reply cho máy tính mà hacker muốn tấn công. Kết quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy. Hình 16. Smurf Attack 7.5.2 Giả mạo danh tính Các hệ thống mạng sử dụng IP address để nhận biết sự tồn tại của mình. Vì thế địa chỉ IP là sự quan tâm hàng đầu của những hacker. Khi họ hack vào bất cứ hệ thống nào, họ đều biết địa chỉ IP của hệ thống mạng đó. Thông thường, những người tấn công giả mạo IP address để xâm nhập và cấu hình lại hệ thống, sửa đổi thông tin, v.v... Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 33 Việc tạo ra một kiểu tấn công mới là mục đích của các hacker. Trên mạng Internet hiện nay, có thể sẽ xuất hiện những kiểu tấn công mới được khai sinh từ những hacker thích mày mò và sáng tạo. Man in the middle là một hình thức tấn công giả mạo danh tính. Kiểu tấn công có thể xuyên thủng một kết nối bảo mật VPN (Virtual Private Network) giữa một máy trạm và trạm kết nối.Bằng cách chèn một trạm kết nối giả lập giữa máy trạm và trạm kết nối, hacker trở thành “Man in the middle” và hắn ta sẽ giả lập thành trạm kết nối đối với máy trạm và thành máy trạm đối với trạm kết nối. Hacker sẽ buộc máy trạm đăng nhập lại vào trạm kết nối - nạn nhân sẽ phải đáp ứng và đăng nhập lại lên Access Point và ngược lại Access Point phải đáp ứng kết nối thành công và dĩ nhiên thông qua hacker. Để bắt đầu một cuộc tấn công, hacker âm thầm thu thập các thông tin quan trọng của máy trạm khi kết nối đến Access Point như username, servername, địa chỉ IP của client và server, ID dùng để kết nối, các phương thức phê chuẩn Sau đó hacker này sẽ kết nối với Access Point bằng cách gởi yêu cầu kết nối với thông tin trên và hiển nhiên thông tin yêu cầu này là của máy trạm hợp lệ. Access Point sẽ yêu cầu kết nối VPN đến máy trạm, khi máy trạm nhận được yêu cầu sẽ gởi thông tin để tạo kết nối. Hacker sẽ lắng nghe những thông tin này từ hai phía để thu thập thông tin đáp ứng. Sau khi “lắng nghe” tất cả quy trình kết nối thì hacker bắt đầu hành động. Họ sẽ gởi tín hiểu giả mạo với gói lượng dữ liệu lớn tăng dần và đá văng kết nối của máy trạm hợp lệ ra khỏi hệ thống và tiếp tục gởi để ngăn máy trạm không thể kết nối (vd: 0x00ffffff). Lúc này hắn đàng hoàng đi vào hệ thống như một máy trạm hợp lệ. Với kiểu tấn công này chỉ có cách giám sát hệ thống bằng cách thiết lập IDS sẽ phát hiện và ngăn chặn kiểu tấn công này. Một số hình thức tấn công của “Man in the middle”: tấn công giả mạo ARP Cache, DNS Spoofing, chiếm quyền điều khiển Session (session hijacking).v.v.. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 34  Tấn công giả mạo ARP Cache ARP thường được sử dụng để xác định địa chỉ MAC khi mà đã biết địa chỉ IP. Sự chuyển đổi này được thực hiện thông qua việc tìm kiếm trong một bảng địa chỉ, ARP cache sẽ giữ nhiệm vụ cập nhật bảng địa chỉ này bằng cách gửi broadcast các gói dữ liệu yêu cầu chứa các địa chỉ IP đến các Client, nếu như IP của Client nào trùng với IP nhận được thì sẽ phản hồi lại với gói dữ liệu chứa MAC Address của mình. Những thành phần trong bảng này sẽ hết hạng trong một khoảng thời gian nhất định vì Client có thể thay đổi phần cứng (NIC) thì khi đó bảng này sẽ được cập nhật lại. Tuy nhiên một nhược điểm của ARP là không có bất kỳ sự kiểm tra nào từ những phản hồi của các Client hợp lệ hoặc là nhận phản hồi từ những Client giả mạo. ARP Poisoning là một trong những công nghệ mà cho phép tấn công theo kiểu “Man in the middle”. Hacker sẽ vào giữa Client và Router, bằng cách “nhiễm” vào Client, cho nên IP của Router được kết nối với MAC Address của hacker, ngược lại bằng cách “nhiễm” vào Router cho nên IP của Client sẽ kết nối với MAC Address của hacker, nghĩa là cuối cùng mọi giao tiếp giữa Client và Router đều phải thông qua hacker. Hình 17. Giả mạo ARP Cache 7.5.3 Tấn công SMB System Message Block (SMB) là một cổng mạng cho phép Windows chia sẻ tập tin, các cây thư mục và những thiết bị. Dựa vào lỗi này hacker có thể thực thi các đoạn mã độc từ xa ở tầm hệ thống nhưng với điều kiện file Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 35 sharing đã được bật, sẽ làm tê liệt hệ thống máy tính từ xa (gây lỗi màn hình xanh -blue screen of death). Nguyên nhân chính xuất phát từ cách thức driver srv2.sys xử lý các yêu cầu từ máy khách trong khi phần tiêu đề (header) của ô "Process Id High" chứa đựng một ký tự "&". Bằng việc gửi lệch một thông tin header trong gói tin SMB 2.0 yêu cầu kết nối, chẳng hạn như đặt một giá trị High trong field Process ID (\x00\x26) là có thể làm treo hệ thống.Cuộc tấn công không cần đến chứng thực nhận dạng, chỉ cần cổng 445 có thể truy xuất. Mối lo ngại ở đây là cổng 445 thường được mở mặc định trong phần cấu hình mạng nội bộ (LAN) của Windows. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 36 8. CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN HIỆU NĂNG HỆ THỐNG Yếu tố con người:  Thiết lập và cấu hình hệ thống: Lập kế hoạch và chiến lược trước khi khởi tạo một luật bất kỳ, đảm bảo tính chính xác cho hệ thống.  Thường xuyên cập nhật thông tin về hệ thống: Người quản trị phải luôn theo dõi nhưng thông tin cập nhật firmware đối với phần cứng hoặc bản nâng cấp đối với phần mềm để ngăn chặn các sự tấn công vào những lổ hổng từ hệ thống. Yếu tố vật lý:  Có kế hoạch kiểm tra và rà soát định kỳ hệ thống điện nhằm tránh những sự cố chập nổ ngoài ý muốn. Yếu tố phần cứng:  Lắp đặt hệ thống máy server đáp ứng được mức yêu cầu nhà sản xuất đề ra trong sản phẩm để đảm bảo và duy trì hiệu suất làm việc ổn định cho server.  Lắp ráp các linh kiện phần cứng phải đồng bộ, tương thích với nhau. Yếu tố chuyên môn:  Độ phức tạp trong việc cấu hình hay yêu cầu một chuyên môn quá cao sẽ là một phần nào gây sự cản trở nhất định trong việc thiết lập các cơ chế giám sát, đồng thời cũng khó khăn cho người quản trị trong công tác quản lý hệ thống. Yếu tố phần mềm:  Đối với hệ điều hành, đảm bảo rằng đó là một hệ điều hành “sạch” trước khi cài đặt và cấu hình tường lửa. Song song, chúng ta vẫn phải cập nhật những bản vá lỗi mới nhất.  Đối với các ứng dụng và phần mềm được cài đặt trong máy, chúng ta kiểm tra những phần mềm lạ, hoặc xoá ứng dụng không cần thiết sử dụng, không nên để những ứng dụng này trong máy quá lâu, vì chúng có thể mang lại nhiều rủi ro và nguy hiểm cho hệ thống. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 37 PHẦN III: TRIỂN KHAI CÁC MÔ HÌNH HỆ THỐNG 9. Audit Policies 9.1 Khái quát về các chính sách giám sát sự kiện Định nghĩa Thiết lập mặc định Audit Account Logon Events Tạo một sự kiện khi một user hoặc máy tính cố gắng xác thực đang sử dụng một tài khoản AD. Ví dụ khi một user đăng nhập vào bất kỳ má tính trong domain, một sự kiện đăng nhập tài khoản. Tài khoản đăng nhập thành công và thất bại đều được giám sát. Audit Logon Events Tạo một sự kiện khi một user đăng nhập nội bộ hoặc từ xa vào một máy tính. Ví dụ , nếu một trạm làm việc và một server được cấu hình để giám sát những sự kiện truy cập, trạm làm việc giám sát một user đăng nhập trực tiếp vào trạm này. Khi user kết nối tới một tập tin chia sẻ trên server, máy server đăng nhập từ xa. Khi một user đăng nhập, DC ghi nhận lại sự kiện đăng nhập bởi vì những đoạn mã và chính sách đăng nhập được lấy ra từ DC. Tài khoản đăng nhập thành công và thất bại đều được giám sát. Audit Account Management Giám sát những sự kiện, bao gồm việc khởi tạo, xóa hoặc sửa đổi của tài khoản người dùng, nhóm hoặc máy tính và tái thiết lập mật khẩu cho user. Giám sát những hoạt động quản lý tài khoản thành công. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 38 Audit Directory Service Access Giám sát sự kiện được chỉ định trong hệ thống SACL(system access control list), được quan sát trong một hộp thoại những thiết lập an ninh cấp cao của đối tượng AD. Thêm vào đó định nghĩa chính sách giám sát với thiết lập này, ta cũng phải cấu hình giám sát cho đối tượng chỉ định hoặc đối tượng sử dụng SACL của một hoặc nhiều đối tượng. Giám sát những sự kiện truy cập dịch vụ danh bạ thành công, nhưng SACLs của một vài đối tượng chỉ định những thiết lập giám sát. Audit policy Change Những việc giám sát thay đổi các chính sách phân quyền người dùng, chính sách giám sát, chính sách tin tưởng. Chính sách thành công thay đổi được giám sát. Audit privilege use Giám sát việc sử dụng của một đặc quyền hay quyền của user. Xem xét những ghi chú giải thích cho chính sách này trong Group Policy Management Editor (GPME). Không có giám sát được thực hiện mặc định. Audit System Events Việc khởi động lại, tắt, hoặc thay đổi của hệ thống giám sát sẽ ảnh hưởng đến hệ thống hay an toàn dự liệu. Giám sát những sự kiện của hệ thống thành công và thất bải. Audit Process Tracking Những sự kiện giám sát chẳng hạn như khởi động chương trình và thoát chương trình. Xem xét chú thích cho chính sách này trong GPME. Giám sát những sự kiện theo dõi tiến trình thành công. Audit Object Access Tiếp cận tới những đối tượng như những tập tin, thư mục, những khóa đăng ký và máy in những cái có SACL của chính chúng. Ngoài việc cho phép chính sách giám sát này, ta phải cấu hình những mục giám sát trong SACL của các đối tượng. Giám sát những sự kiện truy cập đối tượng thành công. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 39 9.2 Các hạng mục trong Event Viewer 9.2.1 Custom view Việc cố gắng xác định một sự kiện cụ thể trong Windows Event Viewer là một công việc rất khó khăn. Những tiến trình riêng biệt có thể tạo ra rất nhiều sự kiện khác nhau trong một thời gian ngắn gây khó khăn cho việc xác định sự kiện muốn kiểm tra. Custom Event View cho phép người dùng thực hiện các phiên tìm kiếm động nâng cao dựa trên một số điều kiện lọc. Theo đó, chúng ta có thể xác định mọi sự kiện gây ra lỗi nào đó ngoài việc chỉ tìm lỗi. Hộp thoại Create Custom View là giao diện chính được sử dụng để tạo khung nhìn tùy biến của các sự kiện máy chủ. Hình 18. Hộp thoại Create Custom View. Đầu tiên phải lựa chọn phạm vi của những sự kiện muốn lọc. Danh sách Logged thả xuống cho phép kiểm soát những sự kiện xảy ra trong giờ trước, ngày trước, tuần trước hay một giai đoạn thời gian cụ thể. ta có thể tạo một khoảng thời gian tùy biến. Trong hình trên có thể lựa chọn các cấp độ Event gồm Critical, Error, Warning, Information, hay Verbose. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 40 Sự kiện bằng Event Log (bản ghi sự kiện) hay Event Source (nguồn sự kiện) không thể sử dụng cả hai. Nếu lựa chọn tùy chọn By Log, khi đó danh sách thả xuống sẽ hiển thị một chuỗi option chọn có thể sử dụng để lựa chọn những Event Log riêng biệt muốn đưa vào tiến trình lọc. Nếu lựa chọn tùy chọn By Source, danh sách thả xuống sẽ hiển thị một số hộp chọn cho mọi Event Source hiện có. Tiếp theo, nhập những Event ID khác nhau muốn lọc. Nếu không xác định được những Event ID cụ thể, có thể nhập một vùng Event ID. Ví dụ, nếu muốn lọc những Event ID có giá trị từ 1 đến 99, hãy nhập 1-99. Hình 19. Khung nhìn hiển thị kết quả xuất hiện dưới Custom Views 9.2.2 Windows logs Windows Logs được định để lưu trữ các sự kiện từ các ứng dụng kế thừa và các sự kiện áp dụng cho toàn bộ hệ thống. - Application log có chứa các sự kiện đăng nhập bởi các ứng dụng hoặc các chương trình. - Security log chứa các sự kiện như cố gắng đăng nhập hợp lệ và không hợp lệ, cũng như các sự kiện liên quan đến sử dụng tài nguyên, chẳng hạn như tạo, xóa các tập tin hoặc các đối tượng khác. Người quản trị có thể xác định những gì các sự kiện được ghi trong security log. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 41 - Setup log chứa các sự kiện liên quan để thiết lập ứng dụng. - System log chứa các thành phần hệ thống đăng nhập của Windows. Ví dụ, sự thất bại của một trình điều khiển hoặc các thành phần hệ thống khác để nạp lúc khởi động được ghi lại trong system log. Các loại sự kiện đăng nhập của các thành phần hệ thống được xác định trước bởi Windows. - Forwarded Events log đăng nhập được sử dụng để lưu trữ các sự kiện thu thập từ các máy tính từ xa. Để thu thập các sự kiện từ các máy tính từ xa, bạn phải tạo một đăng kí sự kiện. 9.2.3 Applications and Services Logs Những sự kiện lưu trữ các bản ghi từ một ứng dụng đơn lẻ hoặc một thành phần chứ không phải là sự kiện mà có thể có tác động rộng hệ thống. Thể loại của các bản ghi bao gồm bốn phân nhóm: Admin, Operational, Analytic, and Debug logs. Các sự kiện trong Admin log được quan tâm đặc biệt để chuyên gia IT sử dụng Event Viewer để gỡ rối vấn đề. Các sự kiện trong Admin log cung cấp cho bạn hướng dẫn về làm thế nào để đáp ứng cho họ. Analytic logs lưu trữ các sự kiện mà theo dõi một vấn đề và một khối lượng lớn các sự kiện được lưu lại. Debug logs được sử dụng bởi các nhà phát triển khi gỡ lỗi các ứng dụng. Cả Analytic và Debug log được ẩn và vô hiệu hóa theo mặc định. - Admin: Những sự kiện này chủ yếu nhắm vào người dùng cuối, các quản trị viên, và nhân viên hỗ trợ. Những sự kiện được tìm thấy trong các kênh Admin chỉ ra một vấn đề và giải pháp cũng như các quy định rằng một quản trị viên có thể hành động. - Operational events: được sử dụng để phân tích và chẩn đoán một vấn đề hay xảy ra. Chúng có thể được sử dụng để kích hoạt các công cụ hoặc nhiệm vụ dựa trên các vấn đề hay xảy ra. - Analytic events: được công bố về mức độ cao. Chúng mô tả những hoạt động chương trình và chỉ ra những vấn đề mà không thể được xử lý bởi sự can thiệp của người dùng. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 42 - Debug events: được sử dụng bởi các nhà phát triển khắc phục sự cố các vấn đề với chương trình của họ. 9.3 Xây dựng và triển khai mô hình mạng 9.3.1 Mô hình lab thực hiện Hình 20. Mô hình Lab triển khai Gồm 4 máy: - Máy DC (Window Server 2008): lên AD, tạo domain test.local - Máy File server (Window Server 2003): tạo tập tin chia sẻ và phân quyền cho user - Router: cấu hình theo 2 cách để vùng server và client liên lac với nhau o Cách 1: Cấu hình Routing and Remote Access o Cách 2: Tạo vùng server là VLAN 1 và clients là VLAN 2, cấu hình InterVlan dùng giao thức Trunking 2 VLAN để chúng có thể liên lạc với nhau. - Máy client (Window XP): join domain test.local 9.4 Thiết lập các chính sách giám sát 9.4.1 Application log Application log ghi lại sự kiện của các ứng dụng khác từ các nhà sản xuất khác như symantec hay các ứng dụng mai. Thường thiết lập trong application là mặc định của các ứng dụng nên chúng ta chỉ có thể đọc nó mà không thiết lập được. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 43 Các chính sách giám sát của hệ điều hành Window sẽ được ghi mặc định vào Security Log. Kiểm tra sự kiện ghi giám sát được thiết lập và bảo mật bằng Group Policy. Hình 21. Các chính sách giám sát 9.4.2 Audit account logon events Giám sát này sẽ thẩm định mỗi khi người dùng đăng nhập hoặc đăng xuất từ một máy tính được sử dụng để hợp lệ hóa tài khoản. Ví dụ dễ hiểu nhất cho tình huống này là khi một người dùng đăng nhập vào máy tính chạy hệ điều hành Windows XP Professional nhưng lại được thẩm định bởi domain controller. Do domain controller sẽ hợp lệ hóa người dùng, khi đó sự kiện sẽ được tạo trên domain controller. Hình 22. Thiết lập chính sách giám sát Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 44 Với sự kiện user đăng nhập thành công ta sẽ có các sự kiện 4769 dịch vụ Kerberos được yêu cầu và 4624 tài khoản đăng nhập thành công. Hình 23.Tài khoản đăng nhập thành công Sự kiện 4769 cho biết về user logon và logon tại máy tính nào, sự kiện này gồm có cả chứng thực Kerberos. Mỗi sự kiện 4769 sẽ có số Logon GUID khác nhau. Hình 24. Keberos chứng thực khi user đăng nhập Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 45 Với việc đăng nhập sai pass ta có sự kiện 4771 Hình 25. Tài khoản u1 đăng nhập sai password 9.4.3 Audit account management Giám sát này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang quản lý tài khoản (user, group hoặc computer) trong cơ sở dữ liệu của người dùng trên máy tính được cấu hình thẩm định. Những ví dụ cho các sự kiện này: - Tạo một tài khoản người dùng - Bổ sung thêm một người dùng vào nhóm - Đặt lại tên một tài khoản người dùng Thay đổi mật khẩu của tài khoản người dùng Với sự kiện ủy quyền cho user tạo, sửa, xóa user và group. Audit này cho admin có thể giám sát các hoạt động của user được ủy quyền. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 46 Sự kiện 4720 là tạo user, nhìn vào sự kiện này ta sẽ biết u1 tạo ra kt1 Hình 26. Ghi nhận sự kiện tạo tài khoản u1 Hình 27. Thông tin chi tiết khi tạo tài khoản u1 Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 47 Sự kiện 4726 là xóa user, 4724 là reset pass account. Hình 28. Thông tin về việc xóa tài khoản Với việc tạo group, event viewer cũng sẽ ghi lại những group mà user đã tạo. Sự kiện 4727 cho thấy, user đã tạo ra 1 group có tính năng Global Group - Security Hình 29. Ghi nhận sự kiện tạo group Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 48 Hình 30. Thông tin chi tiết của filelog 9.4.4 Audit directory service access Giám sát này sẽ thẩm định sự kiện có liên quan đến việc truy cập của người dùng vào đối tượng Active Directory (AD), AD này đã được cấu hình để kiểm tra sự truy cập của người dùng thông qua System Access Control List (SACL) của đối tượng. SACL của đối tượng AD sẽ chỉ rõ ba vấn đề sau: - Tài khoảng (của người dùng hoặc nhóm) sẽ được kiểm tra - Kiểu truy cập sẽ được kiểm tra, chẳng hạn như đọc, tạo, thay đổi, - Sự truy cập thành công hay thất bại đối với đối tượng Do mỗi một đối tượng đều có SACL riêng nên mức điều khiển sẽ rất chính xác. Hình 31. Thiết lập chính sách giám sát Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 49 Ví dụ về sự kiện này, ta có 2 domain. 1 domain là primary (tên DC) và 1 domain là additional domain (tên ForeFront) Hình 32. Ghi nhận sự kiện domain kết nối với nhau Khi 2 domain kết nối với nhau, đồng thời chúng replicate thông tin và dự liệu của chúng cho nhau, sự kiện ghi nhận 2 quá trình xảy ra là 4932 – ghi nhận quá trình bắt đầu replicate và 493 là kết thúc quá trình replicate. Hình 33. Chi tiết filelog 2 domain bắt đầu replicate Hình 34. Đồng bộ bản sao của một Active Directory kết thúc Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 50 9.4.5 Audit logon events Giám sát này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang đăng nhập, đăng xuất hay đang tạo một kết nối mạng đến một máy tính được cấu hình để thẩm định các sự kiện đăng nhập. Một ví dụ điển hình về trường hợp sử dụng hạng mục này là thời điểm các sự kiện được ghi là thời điểm người dùng đăng nhập vào máy trạm của họ bằng tài khoản người dùng trong miền. Khi đó một sự kiện trên máy trạm làm việc chứ không phải domain controller sẽ được tạo để thực hiện thẩm định.. Hình 35. Thiết lập chính sách giám sát Cũng với sự kiện đăng nhập user, audit này cũng cho ta các sự kiện như audit account logon events, nhưng đối với việc đăng nhập sai thì không có ghi nhận. Hình 36. Máy client đăng nhập sai password Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 51 Hình 37. Không ghi nhận sự kiện đăng nhập sai Trong quá trình cho máy client truy cập vào file server để khảo sát các tình huống giám sát, vô tình cho máy router không join domain và truy cập vào file server, ta sẽ thấy filelog báo lỗi 4625. Hình 38. Ghi nhận và thông báo máy truy cập trái phép vào hệ thống Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 52 Trong hình lab mô phỏng hiện thông báo: Failure Information: Failure Reason: Unknown username or bad password Thông báo đó ghi lý do sai vì tên người dùng không biết hoặc mật khẩu tồi, nhưng lý do ở đây là vì không join domain, nên máy router sẽ không được máy DC chứng thực và phân giải DNS nên hiển nhiên hệ thống sẽ không biết máy router là ai và sẽ báo lỗi. Network Information: Workstation Name: Router Source Network Address: 172.16.1.3 Source Port: 1033 Từ bảng thông báo kéo xuống sẽ xuất hiện thêm thông tin về máy truy cập vào bất hợp pháp là máy ROUTER với địa chỉ IP là 172.16.1.3 và port là 1033. 9.4.6 Audit object access Giám sát này sẽ thẩm định sự kiện khi người dùng truy cập một đối tượng nào đó. Các đối tượng ở đây có thể là các file, thư mục, máy in, Registry key hay các đối tượng Active Directory. Thông thường chúng ta không cần cấu hình mức thẩm định này, nó chỉ cần thiết khi có nhu kiểm tra sự truy cập tài nguyên nào đó. Hệ thống có File Server, thư mục File Server sử dụng chứa tài nguyên cung cấp cho nhân viên và NTFS Permision được cấu hình: - Group Nhansu chỉ có quyền truy cập, đọc, sửa và xóa ở thư mục Nhansu. - Group Ketoan chỉ có quyền truy cập, đọc, sửa và xóa ở thư mục Ketoan. Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 53 Bảng phân quyền NTFS Thư mục Group Ketoan Nhansu File server Ketoan Truy cập, đọc, sửa, xóa file chính mình tạo ra Không cho phép truy cập Đọc Nhansu Không cho phép truy cập Truy cập, đọc, sửa, xóa file chính mình tạo ra Đọc Bản Auditing Thư mục Group Ketoan Nhansu File server Ketoan Truy cập, đọc, sửa, xóa file chính mình tạo ra - Success Không cho phép truy cập - Success &Failed Đọc - Success Nhansu Không cho phép truy cập - Success &Failed Truy cập, đọc, sửa, xóa file chính mình tạo ra - Success Đọc - Success Bật tính năng Auditing trên thư mục File server để xác định xem những ai đã thay đổi bên trong thư mục, thay đổi có thành công hay không, và lúc thay đổi thì đang ngồi làm việc ở máy nào. Cấu hình GPO link OU chứa computer account của File server (hoặc máy nào làm File Server thì triển khai Audit Policy trực tiếp trên máy đó) Tại máy File server vào Local Security Policy, chọn Audit Policy => Audit Object Access chọn Success và Failure. Cho kt1 đăng nhập vào file server, event vierwer lập tự ghi nhận lại sự kiện Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp Xây Dựng Các Phương Thức Giám Sát, Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 54 Hình 39. Ghi nhận sự kiện u1 Sự kiện 5140 cho biết user đăng nhập và đang dùng máy nào. Hình 40.Chi tiết tài khoản u1 đăng nhập bằng máy KIT Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp