Tài liệu Đề tài Xây dựng phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng cho hệ thống: BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ
TÊN ĐỀ TÀI:
XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT,
GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ
HIỆU NĂNG CHO HỆ THỐNG
Giảng viên hướng dẫn : Thầy Lộc Đức Huy
Nhóm sinh viên thực hiện : Nguyễn Đức Tú
Nguyễn Vương Huy
Lớp : VT071A
Tháng 06 / 2010
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ
TÊN ĐỀ TÀI:
XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT,
GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ
HIỆU NĂNG CHO HỆ THỐNG
Giảng viên hướng dẫn : Thầy Lộc Đức Huy
Nhóm sinh viên thực hiện : Nguyễn Đức Tú
Nguyễn Vương Huy
Lớp : VT071A
Tháng 06 / 2010
Ngày nộp báo cáo
Người nhận báo cáo (ký tên, ghi rõ họ và tên)
i
TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ
PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP
1. Mỗi sinh viên phải viết riêng một báo cáo
2. Phiếu này phải dán ở trang đầu tiên của báo cáo
Họ tên sinh viên/nhóm sinh viên thực hiện đề tài: (Sĩ số sinh viên trong nhóm : 2)
1) SV1...
140 trang |
Chia sẻ: tranhong10 | Lượt xem: 1303 | Lượt tải: 1
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Xây dựng phương thức giám sát, ghi nhận sự kiện và đánh giá hiệu năng cho hệ thống, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ
TÊN ĐỀ TÀI:
XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT,
GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ
HIỆU NĂNG CHO HỆ THỐNG
Giảng viên hướng dẫn : Thầy Lộc Đức Huy
Nhóm sinh viên thực hiện : Nguyễn Đức Tú
Nguyễn Vương Huy
Lớp : VT071A
Tháng 06 / 2010
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ
TÊN ĐỀ TÀI:
XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT,
GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ
HIỆU NĂNG CHO HỆ THỐNG
Giảng viên hướng dẫn : Thầy Lộc Đức Huy
Nhóm sinh viên thực hiện : Nguyễn Đức Tú
Nguyễn Vương Huy
Lớp : VT071A
Tháng 06 / 2010
Ngày nộp báo cáo
Người nhận báo cáo (ký tên, ghi rõ họ và tên)
i
TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ
PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP
1. Mỗi sinh viên phải viết riêng một báo cáo
2. Phiếu này phải dán ở trang đầu tiên của báo cáo
Họ tên sinh viên/nhóm sinh viên thực hiện đề tài: (Sĩ số sinh viên trong nhóm : 2)
1) SV1 : Nguyễn Đức Tú ................................... Lớp : VT071A .........................
2) SV2 : Nguyễn Vương Huy ............................ Lớp : VT071A .........................
Ngành: Mạng máy tính
Tên đề tài: Xây dựng các phương thức giám sát, ghi nhận các sự kiện và đánh giá
hiệu năng cho hệ thống
.....................................................................................................................................
.....................................................................................................................................
* Các dữ liệu ban đầu:
ISA Server 2006 ( Forefront security )
Window Server 2003, PCs, v..v..
* Các yêu cầu đặc biệt:
Mô phỏng mạng bằng Solarwind
Thiết kế hệ thống mạng giả định
..........................................................................................................................
* Các kết quả tối thiểu phải có:
Ghi nhận, kiểm soát đánh chặn và tối ưu hóa hệ thống mạng
..........................................................................................................................
Ngày giao đề tài: 15/03/2010
Họ và tên GV hướng dẫn: Lộc Đức Huy Chữ ký:..............................
ii
TÓM TẮT
Trong vòng 14 tuần thực hiện đề tài “Tìm hiểu xây dựng các phương thức giám
sát, ghi nhận sự kiện và đánh giá hiệu năng hệ thống” chúng tôi đã đạt được các kết
quả sau:
- Nắm bắt và hiểu rõ các khái niệm về bảo mật, giám sát thông tin, các thành
phần của một hệ thống giám sát và tường lửa.
- Qui trình xây dựng một hệ thống giám sát.
- Triển khai những hệ thống giám sát, ghi nhận sự kiện hệ thống như Audit,
Snort, Forefront TMG 2010.
- Đánh giá hiệu năng làm việc và các yếu tố ảnh hưởng của từng mô hình hệ
thống.
iii
LỜI CẢM ƠN
Chúng tôi chân thành cảm ơn tới các thầy cô trong văn phòng khoa Khoa
Học – Công Nghệ, trường Đại học Hoa Sen đã tạo điều kiện cho chúng tôi có cơ
hội thực hiện đề tài này, cũng như luôn cập nhật và gửi những thông tin liên
quan về quá trình thực hiện đề tài. Bên cạnh đó, là sự hỗ trợ nhiệt tình, tư vấn
hiệu quả từ giảng viên hướng dẫn – thầy Lộc Đức Huy, và cũng không quên gửi
lời cảm ơn tới các anh phụ trách phòng máy.
iv
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
.............................................................................................................................
v
MỤC LỤC
PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP ........................................................ i
TÓM TẮT ................................................................................................................. ii
LỜI CẢM ƠN .......................................................................................................... iii
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN................................................... iv
MỤC LỤC ................................................................................................................. v
DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU ........................................................ x
ĐẶT VẤN ĐỀ ........................................................................................................... 1
1. Lý Do Chọn Đề Tài ........................................................................................... 1
2. Mục Tiêu Đạt Được Sau Đề Tài ....................................................................... 1
PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN............................................................ 2
3. Tổng Quan Về Bảo Mật Thông Tin ................................................................. 2
3.1 Khái quát bảo mật thông tin ........................................................................... 2
3.2 Các loại tấn công cơ bản ................................................................................ 2
3.3 Nhiệm vụ của người quản trị ......................................................................... 3
4. Tổng Quan Giám Sát Thông Tin...................................................................... 4
4.1 Khái quát giám sát thông tin .......................................................................... 4
4.2 Mục đích ....................................................................................................... 4
4.3 Lợi ích của việc giám sát thông tin ................................................................ 4
4.4 Vai trò của giám sát thông tin ........................................................................ 5
5. Nguyên Tắc Về Bảo Mật Thông Tin ................................................................ 8
5.1 Chiến lược bảo mật hệ thống ......................................................................... 8
5.2 An ninh bảo mật mạng ................................................................................... 9
PHẦN II: CÁC THÀNH PHẦN GIÁM SÁT HỆ THỐNG .................................. 11
vi
6. Hệ Thống IDS Và IPS ..................................................................................... 11
6.1 IDS (Hệ thống phát hiện xâm nhập) ............................................................. 11
6.1.1 Kiến trúc của hệ thống IDS ................................................................... 11
6.1.2 Phân loại IDS ........................................................................................ 12
6.1.3 Các cơ chế phát hiện xâm nhập ............................................................. 15
6.2 IPS (Hệ thống ngăn chặn xâm nhập) ............................................................ 17
6.2.1 Kiến trúc hệ thống IPS .......................................................................... 17
6.2.2 Phân loại IPS ........................................................................................ 19
6.2.3 Phân loại triển khai IPS ......................................................................... 20
6.2.4 Công nghệ ngăn chặn xâm nhập IPS ..................................................... 21
6.3 Đối chiếu IDS và IPS................................................................................... 24
7. Tìm Hiểu Về Hệ Thống Firewall .................................................................... 25
7.1 Chức Năng .................................................................................................. 25
7.2 Các thành phần và cơ chế hoạt động của Firewall ........................................ 25
7.2.1 Bộ lọc packet (packet-filtering router) ................................................... 25
7.2.2 Cổng ứng dụng (application-level-gateway) .......................................... 26
7.2.3 Cổng vòng (Circuit level Gateway) ....................................................... 27
7.3 Những hạn chế của firewall ......................................................................... 27
7.4 Các ví dụ Firewall ....................................................................................... 28
7.5 Các kiểu tấn công ........................................................................................ 30
7.5.1 Tấn công từ chối dịch vụ (Denial of Service Attacks) ........................... 30
7.5.2 Giả mạo danh tính ................................................................................. 32
7.5.3 Tấn công SMB ...................................................................................... 34
8. CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN HIỆU NĂNG HỆ THỐNG .................. 36
PHẦN III: TRIỂN KHAI CÁC MÔ HÌNH HỆ THỐNG ..................................... 37
vii
9. Audit Policies................................................................................................... 37
9.1 Khái quát về các chính sách giám sát sự kiện ............................................... 37
9.2 Các hạng mục trong Event Viewer .............................................................. 39
9.2.1 Custom view ......................................................................................... 39
9.2.2 Windows logs ....................................................................................... 40
9.2.3 Applications and Services Logs ............................................................ 41
9.3 Xây dựng và triển khai mô hình mạng ......................................................... 42
9.3.1 Mô hình lab thực hiện ........................................................................... 42
9.4 Thiết lập các chính sách giám sát ................................................................. 42
9.4.1 Application log ..................................................................................... 42
9.4.2 Audit account logon events ................................................................... 43
9.4.3 Audit account management ................................................................... 45
9.4.4 Audit directory service access ............................................................... 48
9.4.5 Audit logon events ................................................................................ 50
9.4.6 Audit object access ............................................................................... 52
9.4.7 Audit policy change .............................................................................. 56
9.4.8 Audit privilege use ................................................................................ 57
9.4.9 Audit process tracking .......................................................................... 58
9.4.10 Audit system events ........................................................................... 61
9.5 Giám sát hệ thống bằng command-line ........................................................ 62
9.6 Nhận xét ...................................................................................................... 64
10. Xây dựng hệ thống giám sát với SNORT..................................................... 65
10.1 Giới thiệu Snort ........................................................................................ 65
10.2 Cấu trúc của Snort .................................................................................... 65
10.3 Các chế độ hoạt động của Snort................................................................ 67
viii
10.3.1 Snort hoạt động như một Sniffer ........................................................ 67
10.3.2 Snort là một Packet Logger ................................................................ 70
10.3.3 Snort là một NIDS ............................................................................. 70
10.4 Khái quát về Rules ................................................................................... 71
10.4.1 Cấu trúc của một rule ......................................................................... 71
10.4.2 Cấu trúc của phần Header .................................................................. 72
10.4.3 Cấu trúc của phần Options ................................................................. 73
10.5 Hiện thị cảnh báo ..................................................................................... 74
10.6 Hiệu năng của Snort ................................................................................. 75
10.7 Mô hình triển khai Snort .......................................................................... 78
10.8 Tấn công trong mạng nội bộ ..................................................................... 79
10.8.1 Tấn công ARP Cache......................................................................... 80
10.8.2 Tấn công SMB................................................................................... 81
10.8.3 Tấn công Smurf attack ...................................................................... 82
10.8.4 Tấn công Land attack ......................................................................... 82
10.8.5 Tấn công Dos với HTTP Post ............................................................ 82
10.8.6 Một số rule cảnh báo.......................................................................... 82
10.9 Nhận xét ................................................................................................... 83
11. Xây dựng hệ thống giám sát với Forefront TMG ........................................ 84
11.1 Tìm hiểu tổng quan Forefront TMG ......................................................... 84
11.1.1 Một số tính năng mới trong Forefront TMG: ..................................... 84
11.1.2 Đặc điểm của Forefront TMG: ........................................................... 85
11.2 Mô hình triển khai .................................................................................... 86
11.2.1 Thiết lập chính sách tường lửa ........................................................... 87
11.2.2 Phát hiện và ngăn chặn tấn công ........................................................ 89
ix
11.2.3 Giám sát luồng giao thông ................................................................. 93
11.2.4 Theo dõi tổng quan và hiệu suất hệ thống .......................................... 96
11.2.5 Thiết lập báo cáo việc giám sát cho hệ thống ..................................... 97
11.3 Nhận xét ................................................................................................. 100
KẾT LUẬN ........................................................................................................... 101
PHỤ LỤC SNORT................................................................................................ 102
PHỤ LỤC FOREFRONT..................................................................................... 121
TÀI LIỆU THAM KHẢO .................................................................................... 124
x
DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU
Hình 1. Kiến trúc IDS ............................................................................................... 11
Hình 2. IDS dựa trên host. ........................................................................................ 13
Hình 3. IDS dựa vào mạng........................................................................................ 14
Hình 4. Xây dựng hệ thống với IPS. ......................................................................... 17
Hình 5. Hệ thống Promiscuous mode IPS ................................................................. 20
Hình 6. Hệ thống In-line IPS .................................................................................... 21
Hình 7. Hệ thống Signature-based IPS ...................................................................... 21
Hình 8. Hệ thống Anomaly-based IPS ...................................................................... 22
Hình 9. Hệ thống policy – based IPS ........................................................................ 23
Hình 10. Bộ lọc ứng dụng. ........................................................................................ 26
Hình 11. Cơ chế cổng vòng. ..................................................................................... 27
Hình 12. Single-Homed Bastion Host. ...................................................................... 29
Hình 13. Dual-Homed Bastion Host ......................................................................... 29
Hình 14. Mô hình vùng phi quân sự. ......................................................................... 30
Hình 15. Land Attack ............................................................................................... 31
Hình 16. Smurf Attack .............................................................................................. 32
Hình 17. Giả mạo ARP Cache .................................................................................. 34
Hình 18. Hộp thoại Create Custom View. ................................................................. 39
Hình 19. Khung nhìn hiển thị kết quả xuất hiện dưới Custom Views ........................ 40
Hình 20. Mô hình Lab triển khai ............................................................................... 42
Hình 21. Các chính sách giám sát ............................................................................. 43
Hình 22. Thiết lập chính sách giám sát ..................................................................... 43
xi
Hình 23.Tài khoản đăng nhập thành công ................................................................. 44
Hình 24. Keberos chứng thực khi user đăng nhập ..................................................... 44
Hình 25. Tài khoản u1 đăng nhập sai password ........................................................ 45
Hình 26. Ghi nhận sự kiện tạo tài khoản u1 .............................................................. 46
Hình 27. Thông tin chi tiết khi tạo tài khoản u1 ........................................................ 46
Hình 28. Thông tin về việc xóa tài khoản .................................................................. 47
Hình 29. Ghi nhận sự kiện tạo group ........................................................................ 47
Hình 30. Thông tin chi tiết của filelog ...................................................................... 48
Hình 31. Thiết lập chính sách giám sát ..................................................................... 48
Hình 32. Ghi nhận sự kiện domain kết nối với nhau ................................................. 49
Hình 33. Chi tiết filelog 2 domain bắt đầu replicate .................................................. 49
Hình 34. Đồng bộ bản sao của một Active Directory kết thúc ................................... 49
Hình 35. Thiết lập chính sách giám sát ..................................................................... 50
Hình 36. Máy client đăng nhập sai password ............................................................ 50
Hình 37. Không ghi nhận sự kiện đăng nhập sai ....................................................... 51
Hình 38. Ghi nhận và thông báo máy truy cập trái phép vào hệ thống ....................... 51
Hình 39. Ghi nhận sự kiện u1 ................................................................................... 54
Hình 40.Chi tiết tài khoản u1 đăng nhập bằng máy KIT........................................... 54
Hình 41. Chi tiết các thư mục được user truy cập ...................................................... 55
Hình 42. Ghi nhận sự kiện xâm nhập trái phép ......................................................... 55
Hình 43. Chi tiết tài khoản truy cập .......................................................................... 56
Hình 44. Ghi nhận sự kiện thay đổi chính sách Logon/Logoff .................................. 56
Hình 45. Thông tin chi tiết của file log đã thay đổi ................................................... 57
Hình 46. Ghi nhận thay đổi của auditing Object Access ............................................ 57
Hình 47. Danh sách các quyền áp dụng lên toàn domain ........................................... 57
xii
Hình 48.Khởi tạo tiến trình của dịch vụ DNS............................................................ 59
Hình 49.Gán token cho tiến trình vừa khởi tạo .......................................................... 59
Hình 50.Thoát tiến trình............................................................................................ 60
Hình 51.Ghi nhận sự kiện khởi động Firewall........................................................... 61
Hình 52.Ghi nhận sự kiện tắt Firewall ...................................................................... 62
Hình 53. Danh sách giám sát trong command-line .................................................... 62
Hình 54. Liệt kê chi tiết giám sát command-line ....................................................... 63
Hình 55. Thông tin giám sát của account logon trong command-line ........................ 64
Hình 56. Mô hình của các thành phần Snort .............................................................. 65
Hình 57. Lệnh snort -W ............................................................................................ 68
Hình 58. Lệnh snort –v -ix ........................................................................................ 68
Hình 59. Ví dụ client ping ........................................................................................ 68
Hình 60. Bảng tóm tắt các gói tin được bắt giữ trên Win .......................................... 69
Hình 61. Lệnh snort –vd -ix ...................................................................................... 69
Hình 62. Lệnh snort –vde –ix.................................................................................... 69
Hình 63. Cấu trúc của một rule ................................................................................. 71
Hình 64. Ví dụ cấu trúc rule ...................................................................................... 71
Hình 65. Cấu trúc phần Header ................................................................................. 72
Hình 66. Base đang hoạt động .................................................................................. 74
Hình 67. Thống kế dưới dạng đồ họa ........................................................................ 74
Hình 68. Thông tin 5 cảnh báo xảy ra nhiều nhất ...................................................... 75
Hình 69. Thông tin máy ping .................................................................................... 75
Hình 70. Thông tin IP ............................................................................................... 75
Hình 71 Các thông số ............................................................................................... 77
Hình 72. Hiệu suất CPU khi Snort hoạt động ............................................................ 78
xiii
Hình 73. Triển khai IDS ........................................................................................... 78
Hình 74. Port Monitor............................................................................................... 79
Hình 75. Tấn công nội bộ. ........................................................................................ 79
Hình 76. Máy Victim 1 ............................................................................................. 80
Hình 77. Máy Victim 2 ............................................................................................. 81
Hình 78. Cảnh báo .................................................................................................... 81
Hình 79. Mô hình triển khai Forefront TMG Server.................................................. 86
Hình 80. Thiết lập các luật cơ bản cho hệ thống. ....................................................... 88
Hình 81. Máy client bị cấm truy cập facebook. ......................................................... 89
Hình 82. Các chức năng bảo vệ trong IDS. ............................................................... 90
Hình 83. Lọc tấn công DNS ...................................................................................... 91
Hình 84. Xuất hiện cảnh báo quét cổng..................................................................... 91
Hình 85. Bật tính năng IP Option. ............................................................................. 92
Hình 86. Ghi nhận chi tiết về việc truy cập facebook. ............................................... 93
Hình 87. Ghi nhận chi tiết về việc truy cập facebook. ............................................... 94
Hình 88. Ghi nhận thông tin chi tiết về cuộc tấn công. .............................................. 95
Hình 89. Cảnh báo luồng thông tin đi vào quá nhanh. ............................................... 95
Hình 90.Bảng Dashboard .......................................................................................... 96
Hình 91. Tạo báo cáo từ ngày 1/6 đến 6/6. ................................................................ 97
Hình 92. Xuất báo cáo dưới dạng HTML. ................................................................. 98
Hình 93. Thống kê các giao thức sử dụng ................................................................. 98
Hình 94. Thống kê người dùng truy cập. ................................................................... 99
Hình 95. Thống kê các trang web truy xuất. .............................................................. 99
Hình 96. Thống kê luồng giao thông ra vào hệ thống. ............................................... 99
Hình 97. Thống kê tổng quát. ................................................................................. 100
xiv
Hình 98. Mô hình thử nghiệm Snort ....................................................................... 102
Hình 99. Cài đặt thành công ................................................................................... 103
Hình 100. service snortd start ................................................................................. 105
Hình 101. Not Using PCAP_FRAMES ................................................................... 105
Hình 102. Setup page .............................................................................................. 108
Hình 103. Create BASE .......................................................................................... 109
Hình 104. BASE thành công ................................................................................... 109
Hình 105. Giao diện BASE ..................................................................................... 109
Hình 106. Trang web tìm kiếm ............................................................................... 110
Hình 107. Thông tin IP ........................................................................................... 110
Hình 108. lệnh tail –f .............................................................................................. 110
Hình 109. Bảng tóm tắt các gói tin được bắt giữ ..................................................... 111
Hình 110. Installation Options ................................................................................ 112
Hình 111. Not Using PCAP_FRAMES trên Win .................................................... 113
Hình 112. Màn hình trên máy ảo báo lỗi khi cái Window Server 2008 x64 ............. 121
Hình 113. Báo lỗi cài Prepairation tool ................................................................... 123
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 1
ĐẶT VẤN ĐỀ
1. Lý Do Chọn Đề Tài
Đây là một đề tài có tính thực tiễn cao, áp dụng được cho hầu hết các hệ thống lớn
nhỏ. Hệ thống máy server farm hay hệ thống máy DMZ, đều là những khu vực quan
trọng đòi hỏi tính ổn định, an toàn và bảo mật cao, không cho bất kỳ một luồng thông
tin trái phép xâm nhập vào hệ thống. Chính vì thế chúng ta phải lập các kế hoạch,
phương thức giám sát , ghi nhận lại tất cả các sự kiện xâm nhập hệ thống trái phép hay
truy cập thay đổi dữ liệu, bên cạnh đó thường xuyên kiểm tra đánh giá hiệu năng cho
hệ thống để đảm bảo tính ổn định và không bị quá tải.
2. Mục Tiêu Đạt Được Sau Đề Tài
Chúng tôi sẽ có một kiến thức nhất định về xây dựng, triển khai các phương thức giám
sát, ghi nhận các sự kiện và đánh giá hiệu năng cho hệ thống.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 2
PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN
3. Tổng Quan Về Bảo Mật Thông Tin
3.1 Khái quát bảo mật thông tin
Ngày nay, mạng Internet đã lan rộng và phát triển rất mạnh mẽ. Kéo theo nhu
cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về viễn thông và
công nghệ thông tin không ngừng phát triển ứng dụng để nâng cao chất lượng và lưu
lượng truyền tin.
Từ đó các khái niệm về biện pháp bảo vệ thông tin dữ liệu cũng không ngừng
đổi mới đảm bảo tính toàn vẹn và bảo mật cho việc lưu trữ và truyền thông tin trong
các máy tính nối mạng. Tính bảo mật và toàn vẹn đảm bảo cho các dữ liệu trong quá
trình truyền không thể đọc được bởi bất kỳ người dùng trái phép và toàn vẹn dữ liệu
đó trong khi truyền dẫn không bị sửa đổi hoặc tạo ra bởi bất kỳ người dùng trái phép
nào thông qua mạng.
3.2 Các loại tấn công cơ bản
Ta có thể phân ra 2 loại tấn công là tấn công thụ động và tấn công chủ động.
- Tấn công thụ động: Mục tiêu của hacker là chỉ nắm bắt và đánh cắp thông tin.
Họ chỉ có thể biết được người gửi, người nhận trong phần IP header và thống kê
được tần số trao đổi, số lượng, độ dài của thông tin, chứ chúng không thể chỉnh
sửa hoặc làm hủy hoại nội dung thông tin dữ liệu trao đổi. Kiểu tấn công này khó
phát hiện nhưng có thể có biện pháp ngăn chặn hiệu quả. Đối với tấn công chủ
động có thể làm thay đổi nội dung, xóa bỏ, xắp xếp lại thứ tự hoặc làm lặp lại gói
tin đó.
- Tấn công chủ động: Dễ phát hiện nhưng để ngăn chặn hiệu quả thì khó khăn
hơn nhiều. Một thực tế cho thấy bất bỳ một hệ thống nào dù được bảo vệ chắc
chắn đến đâu cũng không thể đảm bảo là an toàn tuyệt đối. Vì vậy chúng ta cần
phải xây dựng các chiến lượt bảo mật để có thể từng bước bảo vệ hệ thống an toàn
hơn.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 3
3.3 Nhiệm vụ của người quản trị
Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi,
nghiên cứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự
cố.
Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao cho
hiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh nghiệp khác
nhau.
Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập vào
tài nguyên mạng. Đề xuất những phương án dự phòng khi hệ thống gặp sự cố hay bị
tấn công. Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ro ngoài ý
muốn.
Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chúng
một cách hài hòa và hợp lý. Đó chỉ là điều kiện cần cho những quản trị mạng phải có
để đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 4
4. Tổng Quan Giám Sát Thông Tin
4.1 Khái quát giám sát thông tin
Khi công nghệ máy tính đã tiên tiến, các tổ chức đã trở nên ngày càng phụ
thuộc vào hệ thống thông tin máy tính để thực hiện các hoạt động quy trình, duy trì, và
báo cáo thông tin cần thiết.
Giám sát công nghệ thông tin, hoặc giám sát hệ thống thông tin, là một sự kiểm
tra các điều khiển trong phần cơ sở hạ tầng trong công nghệ thông tin (IT). Một giám
sát IT cần có quá trình thu thập và đánh giá rõ ràng các hệ thống thông tin và các hoạt
động của một tổ chức. Các đánh giá rõ ràng thu được quyết định nếu hệ thống thông
tin là bảo vệ tài sản, duy trì tính toàn vẹn dữ liệu, và hoạt động hiệu quả để đạt được
những mục tiêu hay những mục đích của tổ chức.
4.2 Mục đích
Mục đích là để đánh giá khả năng bảo vệ thông tin của tổ chức, và phân phối
đúng thông tin cho các bên được uỷ quyền. Việc giám sát IT gồm những việc sau:
- Hệ thống máy tính của tổ chức có sẵn cho việc kinh doanh khi cần thiết (Tính
sẵn sàng)
- Thông tin trong các hệ thống chỉ được tiết lộ cho người dùng có thẩm quyền
(Tính bảo mật)
- Những thông tin được cung cấp bởi hệ thống luôn được chính xác, đáng tin
cậy, và kịp thời (Tính toàn vẹn)
4.3 Lợi ích của việc giám sát thông tin
- Đem lại giá trị
Một trong những kết quả của việc thực hiện giám sát đúng là thông tin
phải hợp lệ và chính xác về trạng thái của thông tin như một nguồn tài nguyên
của công ty. Chất lượng của kế hoạch và quản lý vì vậy cần cải thiện, chính
xác, hợp lệ và các thông tin luôn sẵn có.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 5
- Từ chẩn đoán
Là đặc tính của phần lớn các cuộc giám sát. Yếu tố chẩn đoán của giám
sát có thể nhận ra các điểm mạnh và điểm yếu được xác định. Thông tin có thể
được sử dụng để xây dựng trên những điểm mạnh để loại bỏ những điểm yếu.
- Từ phản hồi thông tin
Giám sát thông tin là một yếu tố quan trọng trong quá trình phản hồi.
Việc giám sát thông tin được sử dụng để xác định xem thông tin cụ thể đầu vào
cung cấp những thông tin kết quả mong muốn. Do đó giám sát thông tin là một
công cụ đánh giá và cung cấp thông tin có thể được sử dụng để lập kế hoạch và
thực hiện hành động khắc phục.
- Lợi ích từ huấn luyện
Lợi ích này thường bị bỏ qua. Một giám sát thông tin cung cấp cơ hội để
tham gia đội ngũ nhân viên trong quá trình giám sát, đồng thời dạy họ thêm về
các quy trình, triết lý và các cấu trúc hỗ trợ việc sử dụng các nguồn tài nguyên
thông tin công ty. Các nhân viên sẽ có một sự hiểu biết tốt hơn, hình ảnh của
thông tin và vai trò của nó trong tổ chức.
4.4 Vai trò của giám sát thông tin
Thông tin đang ngày càng được công nhận là một nguồn tài nguyên có giá trị
mà cần phải được quản lý.
- Quản lý thông tin cá nhân
Một trong những kết quả của giám sát thông tin là kiến thức về các
nguồn thông tin sẵn có và nơi chúng được cất giữ. Điều này có thể tăng cường
sử dụng thông tin.
Việc kiểm kê các thông tin được phân tích về tính hữu ích của các
nguồn thông tin và theo thông tin này, các quyết định về lưu trữ hoặc xử lý
thông tin có thể được thực hiện.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 6
- Quảng bá thông tin
Một giám sát thông tin làm tăng nhận thức về thông tin, phổ biến và sao
chép thông tin, tổ chức thông tin, truy cập thông tin, bảo vệ và lưu trữ thông
tin.
- Quản lý hoạt động thông tin
Xác định nhu cầu thông tin là một thành phần rất quan trọng của giám
sát thông tin. Trong quá trình giám sát thông tin, nguồn thông tin xác định được
đánh giá về giá trị cao thích hợp cho người sử dụng biết.
- Tổ chức quản lý thông tin
Phát triển và cung cấp một cơ sở hạ tầng công nghệ thông tin: Việc giám
sát các thông tin có thể được cấu trúc bao gồm các xét nghiệm công cụ công
nghệ thông tin có thể trợ giúp quản lý thông tin hiệu quả.
Xác định giá trị và chi phí của thông tin: Không phải tất cả giám sát
thông tin bao gồm các giai đoạn như là một. Các nhà nghiên cứu cho rằng điều
quan trọng là các định giá và chi phí của các nguồn thông tin nên tạo thành một
phần của một giám sát thông tin.
Việc lập một nơi cất giữ của các chủ thể thông tin: Đây là một thành
phần cốt lõi của phần lớn các cuộc giám sát thông tin. Việc điều phối và thực
hiện một chính sách thông tin tổ chức: Điều này có thể là một trong những kết
quả của giám sát thông tin. Thực hiện việc giám sát thông tin với mục đích
phát triển và thực hiện một chính sách thông tin của tổ chức.
Việc tổ chức thông tin trong hệ thống thông tin: sự giám sát thông tin sẽ
đưa ra quyết định như thế nào tổ chức các nguồn thông tin cần được tổ chức.
Việc quy hoạch, phát triển và đánh giá liên tục của hệ thống thông tin:
Việc giám sát thông tin nên được lặp đi lặp lại theo chu kỳ thường xuyên cho
mục đích đánh giá hệ thống thông tin và các nguồn.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 7
- Công ty, chiến lược quản lý thông tin
Sự phát triển của tài nguyên thông tin để cải thiện việc tổ chức, chiến
lược và quyết định. Giám sát thông tin có thể đóng góp đáng kể vào việc quản
lý thông tin hiệu quả, tức là nó có thể được coi như một công cụ quản lý thông
tin cực kỳ quan trọng .Điều này là do các giám sát thông tin cung cấp thông tin
chi tiết và chính xác của thông tin tổ chức.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 8
5. Nguyên Tắc Về Bảo Mật Thông Tin
5.1 Chiến lược bảo mật hệ thống
- Thiết lập và giới hạn quyền cho user
Đối với các user chúng ta phải thiết lập chính sách quyền hạn nhất định
đối với tài nguyên mạng cho chúng. Từng loại user sẽ có các quyền hạn khác
nhau, ví dụ như một user của trưởng phòng sẽ có nhiều quyền hạn hơn user của
nhân viên. Tương tự như vậy user ở cấp độ thấp thì càng ít quyền hạn hơn,
phân quyền như vậy giúp ta hạn chế được những sự truy cập trái phép từ một
user bất kỳ.
- Bảo vệ theo chiều sâu
Trong quá trình xây dựng hệ thống bảo mật ta không nên quá tin tưởng
và dựa vào một chế độ bảo vệ an toàn nào cho dù chúng rất mạnh, mà nên tạo
nhiều cơ chế an toàn để tương hỗ lẫn nhau. Với một hệ thống bảo vệ nhiều lớp
sẽ giúp ngăn cản và làm chậm quá trình thâm nhập của hacker, vì mỗi lớp bảo
vệ với một cơ chế bảo mật khác nhau nên chúng phải mất rất nhiều thời gian để
có thể phá các cơ chế bảo vệ này, đồng thời ta có thêm thời gian để khắc phục
sự cố một cách kịp thời.
- Điểm liên kết yếu nhất
Trong hệ thống bảo vệ không phải lúc nào cũng kiên cố và an toàn,
những kẻ tấn công phá hoại thường tìm những chỗ yếu nhất của hệ thống để tấn
công, do đó ta cần phải thường xuyên kiểm tra, giám sát hệ thống để kịp thời
phát hiện những lỗ hổng để khắc phục. Thông thường chúng ta chỉ quan tâm
đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, vì vậy an toàn vật lý
được coi là điểm yếu nhất của hệ thống chúng ta.
- Tính đa dạng bảo vệ
Nếu chúng ta làm việc trong một công ty lớn, gồm nhiều hệ thống máy
chủ khác nhau thì chúng ta cần sử dụng nhiều biện pháp bảo vệ khác nhau để
tăng độ phức tạp về bảo mật cho các hệ thống, nếu không một khi kẻ tấn công
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 9
thâm nhập vào được hệ thống thì chúng dễ dàng tấn công vào các hệ thống
khác.
5.2 An ninh bảo mật mạng
Bởi vì không thể có một giải pháp an toàn tuyệt đối nên chúng ta thường phải
sử dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắn đối với
các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông tin
cất giữ trong máy tính.
Vì vậy ngoài một số biện pháp nhằm chống thất thoát thông tin trên đường
truyền, mọi cố gắng tập trung vào việc xây dựng các mức rào chắn từ ngoài vào trong
cho các hệ thống kết nối vào mạng.
- Giám sát quyền truy cập
Nhằm kiểm soát, thống kê được lưu lượng truy cập, sử dụng tài nguyên
của mạng và quyền hạn trên tài nguyên đó. Hạn chế và phát hiện kịp thời
những lượng truy cập và sử dụng trái phép tài nguyên mạng.
- Thiết lập tài khoản và mật khẩu
Phương pháp bảo vệ này phổ biến nhất vì nó đơn giản, ít phí tổn và cũng
rất hiệu quả. Mỗi người sử dụng muốn truy cập vào mạng để sử dụng tài
nguyên đều phải có một tài khoản và mật khẩu. Trong khi đó, người quản trị
mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác định
quyền truy cập của những người sử dụng khác.
Trong hoàn cảnh thực tế do nhiều nguyên nhân khác nhau như quên mật
khẩu hay bị đánh cắp mật khẩu. Người quản trị mạng chịu trách nhiệm đặt mật
khẩu hoặc thay đổi mật khẩu theo thời gian.
- Mã hóa dữ liệu
Để bảo mật thông tin trên đường truyền chúng ta sử dụng các phương
pháp mã hóa. Dữ liệu bị biến đổi từ dạng nhận thức được theo một thuật toán
nào đó và sẽ được biến đổi ngược lại ở trạm nhận.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 10
- Bảo vệ vật lý
Ngăn cản các truy cập vật lý vào hệ thống. Thường dùng các biện pháp
truyền thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy
mạng, dùng ổ khóa trên máy tính hoặc các máy trạm không có ổ mềm.
- Tường lửa
Ngăn chặn thâm nhập trái phép và lọc bỏ các gói tin không muốn gửi
hoặc nhận vì các lí do nào đó để bảo vệ một máy tính hoặc cả mạng nội bộ.
- Các công tác quản trị
Việc bảo đảm cho hệ thống mạng máy tính hoạt động một cách an toàn,
không xảy ra sự cố là một công việc cấp thiết hàng đầu. Công tác quản trị mạng
máy tính phải được thực hiện một cách khoa học đảm bảo toàn bộ hệ thống
hoạt động bình thường trong giờ làm việc.
Song song đó phải có một hệ thống dự phòng khi có sự cố về phần cứng
hay phần mềm xảy ra. Lập kế hoạch backup dữ liệu quan trọng và bảo dưỡng
mạng theo định kỳ. Thiết lập các chính sách bảo mật dữ liệu, phân quyền truy
cập và tổ chức nhóm làm việc trên mạng. Thiết lập hệ thống và quy trình để
xác định và ngăn chặn thông tin độc hại hoặc không mong muốn. Xây dựng
một quá trình phản hồi để theo dõi và thống kê các chi tiết sự cố, đánh giá rủi
ro. Luôn cập nhật thường xuyên các công nghệ mới và các ứng dụng cho tổ
chức.
Liên tục cải tiến do môi trường kinh doanh thay đổi , cho phép các tổ
chức duy trì tình trạng bảo mật thông tin ở mức độ rủi ro có thể chấp nhận.
Đảm bảo việc bảo mật thông tin luôn ở trạng thái sẵn sàng để đáp ứng nhu cầu
của tổ chức ngay khi cần thiết.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 11
PHẦN II: CÁC THÀNH PHẦN GIÁM SÁT HỆ THỐNG
6. Hệ Thống IDS Và IPS
6.1 IDS (Hệ thống phát hiện xâm nhập)
Hình 1. Kiến trúc IDS
6.1.1 Kiến trúc của hệ thống IDS
Kiến trúc của hệ thống IDS bao gồm các thành phần chính:
- Thành phần thu thập thông tin (information collection)
- Thành phần phát hiện (Detection)
- Thành phần phản ứng (Response)
Trong ba thành phần thì thành phần phân tích gói tin là quan trọng nhất và ở
thành phần này bộ cảm biến đóng vai trò quyết định.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu– một bộ tạo sự kiện.
Cách sưu tập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc
thông tin sự kiện.
Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách
thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 12
mạng. Số chính sách này cùng với thông tin chính sách có thể được lưu trong hệ thống
được bảo vệ hoặc bên ngoài.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương
thích. Vì vậy có thể phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ
sở dữ liệu chính sách phát hiện cho mục này. Thêm vào đó, cơ sở dữ liệu giữ các tham
số cấu hình, gồm có các chế độ truyền thông với hệ thống đáp trả. Bộ cảm biến cũng
có cơ sở dữ liệu của riêng nó, gồm dữ liệu lưu về các xâm phạm phức tạp tiềm ẩn.
IDS có thể được sắp đặt tập trung (ví dụ như được tích hợp vào trong tường lửa) hoặc
phân tán. Một IDS phân tán gồm nhiều IDS khác nhau trên một mạng lớn, tất cả
chúng truyền thông với nhau.
IDS có khả năng dò tìm và phát hiện những cuộc tấn công vào hệ thống mạng.
IDS tạo ra một báo động khi nó biết có sự xâm nhập bất thường vào hệ thống. IDS
dựa trên các tiêu chí báo động cho phép nó có thể xác định các cuộc tấn công. Tất
nhiên, để có thể phát hiện các cuộc tấn công, một hoặc nhiều hệ thống IDS phải được
đặt một cách thích hợp trong mạng, hoặc cài đặt như các thiết bị mạng lưới giám sát
lưu lượng truy cập trên mạng hoặc cài đặt như máy trạm theo dõi hệ điều hành và ứng
dụng đáng ngờ. IDS còn có khả năng phát hiện các cuộc tấn công tinh vi sử dụng các
kỹ thuật lẫn tránh để qua mặt các IDS mà thâm nhập không bị phát hiện.
6.1.2 Phân loại IDS
Chức năng cơ bản của IDS là phát hiện người xâm nhập, IDS có các dạng chính như:
- Hệ thống phát hiện xâm nhập dựa trên host (Host IDS)
- Hệ thống phát hiện xâm nhập dựa trên mạng (Network IDS)
- Hệ thống lai (Hybrid IDS – Distributed IDS)
Mỗi dạng của IDS đều có những ưu điểm và khuyết điểm riêng
- Hệ Thống Phát hiện xâm nhập dựa trên host (HIDS)
Bằng cách cài đặt một phần mềm trên tất cả các máy tính chủ, IDS dựa
trên máy chủ quan sát tất cả những hoạt động hệ thống, như các file log và
những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 13
dõi OS, ghi nhận các sự kiện và những thông điệp báo lỗi trên hệ thống máy
chủ.
Hình 2. IDS dựa trên host.
Ưu Điểm Nhược Điểm
- HIDS sẽ phân tích trước khi mã
hóa và sau khi giải mã.
- Cho phép xác định liệu một cuộc
tấn công đã thành công hay chưa.
(NIDS có thể phát hiện các cuộc tấn
công, nhưng nó đã không có cách nào
xác định liệu các cuộc tấn công đã
thành công.)
- Không yêu cầu phần cứng IDS
chuyên dụng.
- Yêu cầu một đại lý trên mỗi máy
chủ mà muốn để bảo vệ.
- Yêu cầu một đại lý có thể hỗ trợ
nhiều hệ điều hành.
- Phát hiện xâm nhập dựa vào mạng (NIDS)
NIDS liên quan đến việc đặt một IDS dành riêng trên một đoạn mạng rõ
ràng mà theo dõi lưu lượng truy cập thông qua phân đoạn này. Một NIDS có
thể được đặt trên các phân đoạn quan trọng trên toàn mạng để cung cấp bảo vệ
cho toàn bộ mạng.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 14
Hình 3. IDS dựa vào mạng.
Trong hình trên, tất cả lưu lượng truy cập từ Internet là thông qua router,
giao thông được phản ánh cho một cổng giám sát trên một IDS. NIDS thông
thường bao gồm một cổng giám sát cắm vào các đoạn mạng mà ta muốn theo
dõi. Cổng giám sát dễ dàng bị quá tải và sẽ có một số luồng giao thông bị bỏ
sót mà có thể chứa các cuộc tấn công chống lại mạng. Vì vậy, ta cần phải đặt
IDS cẩn thận, hợp lý để bảo đảm cổng giám sát sẽ không bị quá tải.
Ưu Điểm Nhược Điểm
- Một NIDS duy nhất có thể bảo vệ
phần lớn mạng trong hệ thống.
- Phát hiện tấn công dựa trên mạng,
chẳng hạn như port scan hoặc ping rà
soát.
- Yêu cầu cài đặt trên một đoạn
mạng mà việc giám sát các cổng
không bị quá tải.
- Yêu cầu phải giám sát các phần
khác nhau của mạng sử dụng nhiều
thiết bị IDS.
- Yêu cầu phải tập hợp các giao
thông bị phân mảnh (giao thông IP
được chia thành nhiều mảnh IP).
- Đòi hỏi CPU đáng kể và nhiều tài
nguyên bộ nhớ để có thể phân tích lưu
lượng truy cập theo dõi trong thời gian
thực.
- Không thể phát hiện các cuộc tấn
công có trong thông tin liên lạc mã hóa.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 15
- Phát hiện xâm nhập IDS lai (Distributed (Hybrid) IDS)
Những hệ thống IDS lai là những hệ thống nhằm kết hợp những ưu điểm
của của mỗi dạng IDS, cũng như việc tối thiểu hóa những hạn chế. Trong hệ
thống lai, cả những bộ cảm biến và những máy chủ đều báo cáo về một trung
tâm quản trị.
Ngoài khả năng kết hợp được những điểm mạnh của hai dạng IDS, các
hệ IDS lai còn có thể kết hợp được hai cơ chế là dựa trên dấu hiệu và cơ chế
phát hiện bất thường.
6.1.3 Các cơ chế phát hiện xâm nhập
Mục đích của hệ thống IDS là nhằm cảnh báo cho nhóm quản trị viên khi phát
hiện xâm nhập. Những hệ thống báo trộm khởi phát một tín hiệu dựa trên sự chuyển
động của đầu dò. Các hệ thống IDS cũng có hai dạng cơ chế khởi phát (triggering
mechanism):
- Phát hiện sự sử dụng sai (dựa trên những dấu hiệu)
Phát hiện sử dụng sai còn được gọi là phát hiện dựa trên dấu hiệu
(signature-based detection). Phát hiện sử dụng sai đòi hỏi những file dấu hiệu
(signature) để nhận dạng những hành động xâm nhập. Những file dấu hiệu sử
dụng trong phương pháp phát hiện sử dụng sai thì tương tự như những file dấu
hiệu trong những phần mềm diệt virus.
Ưu Điểm Nhược Điểm
- Có ít cảnh báo nhầm hơn kiểu phát
hiện sự bất thường.
- Không theo dõi những mẫu lưu
lượng hay tìm kiếm những sự bất
thường.
- Theo dõi những hoạt động đơn
giản để tìm sự tương xứng đối với bất
kỳ dấu hiệu nào đã được định dạng.
- Dễ hiểu cũng như dễ định dạng
hơn những hệ thống phát hiện sự bất
thường.
- Không phát hiện những cuộc tấn
công mới hay chưa được biết.
- Không phát hiện những sự thay đổi
của những cuộc tấn công đã biết.
- Khả năng quản trị cơ sở dữ liệu
những dấu hiệu là công việc mất nhiều
thời gian cũng như khó khăn.
- Giống như tường lửa , bộ cảm biến
phải duy trì trạng thái dữ liệu trong bộ
nhớ để tìm lại nhanh hơn, nhưng mà
khoảng trống thì giới hạn.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 16
- Phát hiện sự không bình thường (dựa trên mô tả sơ lược)
Khi tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát.
Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo
mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường.
Nhà quản trị bảo mật có thể định nghĩa những hoạt động bình thường
bằng cách tạo ra những bản mô tả sơ lược nhóm người dùng (user group
profiles). Mỗi profile được sử dụng như là định nghĩa cho người sử dụng thông
thường và hoạt động mạng. Nếu một người sử dụng làm chệch quá xa những gì
họ đã định nghĩa trong profile, hệ thống IDS sẽ phát sinh cảnh báo.
Ưu Điểm Nhược Điểm
- Kẻ xâm nhập không bao giờ biết
lúc nào có, lúc nào không phát sinh
cảnh báo bởi vì họ không có quyền
truy cập vào những profile sử dụng để
phát hiện những cuộc tấn công.
- Không dựa trên một tập những dấu
hiệu đã được định dạng hay những đợt
tấn công đã được biết.
- Thời gian chuẩn bị ban đầu cao.
- Không có sự bảo vệ trong suốt thời
gian khởi tạo ban đầu.
- Thường xuyên cập nhật profile khi
thói quen người dùng thay đổi.
- Khó khăn trong việc định nghĩa
cách hành động thông thường.
- Cảnh báo nhầm
- Chọn lựa giữa NIDS và HIDS
Những quản trị hệ thống mạng như chúng ta đều quan tâm đến NIDS và
HIDS, nhưng chọn thế nào để phù hợp với hệ thống mạng của mỗi doanh
nghiệp nhất? HIDS cho giải pháp trọn vẹn và NIDS cho giải pháp LAN.
Giống như khi cài đặt phần mềm chống virus, HIDS không chỉ thực hiện
cài đặt phần mềm trên các máy chủ chính mà còn phải cài đặt trên tất cả các
máy khách. Không có lý do nào giải thích tại sao cả NIDS và HIDS không
được sử dụng kết hợp với nhau trong một chiến lược IDS mạnh. NIDS dễ bị vô
hiệu hóa đối với kẻ xâm nhập. Rõ ràng cài đặt nhiều nút phát hiện trên mạng
bằng HIDS an toàn nhiều hơn là chỉ có một NIDS với một vài nút phát hiện chỉ
cho một đoạn mạng.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 17
6.2 IPS (Hệ thống ngăn chặn xâm nhập)
Hệ thống IPS (intrusion prevention system) là một kỹ thuật an ninh mới, kết
hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS (intrusion
detection system), có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động
ngăn chặn các cuộc tấn công.
Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các
thiết bị trong mạng.
Hình 4. Xây dựng hệ thống với IPS.
6.2.1 Kiến trúc hệ thống IPS
Hệ thống IPS gồm 3 module chính:
- Module phân tích gói
Module này có nhiệm vụ phân tích cấu trúc thông tin trong các gói tin.
Card mạng (NIC) của máy giám sát được đặt ở chế độ Promiscuous Mode, tất
cả các gói tin qua chúng đều được copy lại và chuyển lên lớp trên. Bộ phân tích
gói đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin
nào, dịch vụ gì? Các thông tin này được chuyển đến module phát hiện tấn công.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 18
- Module phát hiện tấn công
Đây là module quan trọng nhất trong hệ thống, có khả năng phát hiện
các cuộc tấn công. Có một số phương pháp để phát hiện các cuộc tấn công,
xâm nhập (Signature-Based IPS, Anomaly-Based IPS,).
Phương pháp phát hiện phân tích các hoạt động của hệ thống, tìm kiếm
các sự kiện giống với các mẫu tấn công đã biết trước. Các mẫu tấn công biết
trước này gọi là các dấu hiệu tấn công.
Kiểu phát hiện tấn công này có ưu điểm là phát hiện các cuộc tấn công
nhanh và chính xác, giúp người quản trị xác định các lỗ hổng bảo mật trong hệ
thống. Tuy nhiên, phương pháp này có nhược điểm là không phát hiện được
các cuộc tấn công không có trong cơ sở dữ liệu, các kiểu tấn công mới, do vậy
hệ thống luôn phải cập nhật các mẫu tấn công mới.
- Module phản ứng
Khi có dấu hiệu của sự tấn công hoặc xâm nhập, modul phát hiện tấn
công sẽ gửi tín hiệu báo hiệu có sự tấn công hoặc xâm nhập đến module phản
ứng. Lúc đó module phản ứng sẽ kíck hoạt firewall thực hiện chức năng ngăn
chặn cuộc tấn công. Tại module này, nếu chỉ đưa ra các cảnh báo tới các người
quản trị và dừng lại ở đó thì hệ thống này được gọi là hệ thống phòng thủ bị
động.
Module phản ứng này tùy theo hệ thống mà có các chức năng khác
nhau. Dưới đây là một số kỹ thuật ngăn chặn:
Terminate session
Cơ chế của kỹ thuật này là hệ thống IPS gửi gói tin reset, thiết lập lại
cuộc giao tiếp tới cả client và server. Kết quả cuộc giao tiếp sẽ được bắt đầu
lại, các mục đích của hacker không đạt được, cuộc tấn công bị ngừng lại.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 19
Drop attack
Kỹ thuật này dùng firewall để hủy bỏ gói tin hoặc chặn đường một gói
tin đơn, một phiên làm việc hoặc một luồng thông tin giữa hacker và nạn
nhân.
Modify firewall polices
Kỹ thuật này cho phép người quản trị cấu hình lại chính sách bảo mật
khi cuộc tấn công xảy ra. Sự cấu hình lại là tạm thời thay đổi các chính sách
điều khiển truy cập bởi người dùng đặc biệt trong khi cảnh báo tới người
quản trị.
Real-time Alerting
Gửi các cảnh báo thời gian thực đến người quản trị để họ lắm được chi
tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Log packet
Các dữ liệu của các gói tin sẽ được lưu trữ trong hệ thống các file log.
Mục đích để các người quản trị có thể theo dõi các luồng thông tin và là
nguồn thông tin giúp cho module phát hiện tấn công hoạt động.
Ba module trên họat động theo tuần tự tạo nên hệ thống IPS hoàn chỉnh.
Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu
tố: thực hiện nhanh, chính xác, đưa ra các thông báo hợp lý, phân tích được
toàn bộ thông lượng, cảm biến tối đa, ngăn chặn thành công và chính sách
quản lý mềm dẻo.
6.2.2 Phân loại IPS
- NIPS: thiết bị cảm biến được kết nối với các phân đoạn mạng để giám sát nhiều
máy.
- HIPS: các đại lý phần mềm quản lý trung tâm được cài đặt trên mỗi máy chủ
lưu trữ. Các máy chủ được bảo vệ và báo cáo với trung tâm quản lý giao diện điều
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 20
khiển. HIPS cung cấp máy chủ lưu trữ cá nhân phát hiện và bảo vệ. HIPS không
đòi hỏi phần cứng đặc biệt.
6.2.3 Phân loại triển khai IPS
- Promiscuous Mode IPS
Hệ thống IPS đứng trên firewall. Như vậy luồng dữ liệu vào hệ thống
mạng sẽ cùng đi qua firewall và IPS. IPS có thể kiểm soát luồng dữ liệu vào,
phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công. Với vị trí này,
Promiscuous Mode IPS có thể quản lý firewall, chỉ dẫn nó chặn lại các hành
động nghi ngờ.
Hình 5. Hệ thống Promiscuous mode IPS
- In-line IPS
Vị trí IPS nằm trước firewall, luồng dữ liệu phải đi qua chúng trước khi
tới firewall. Điểm khác chính so với Promiscuous Mode IPS là có thêm chức
năng traffic-blocking. Điều đó làm cho IPS có thể ngăn chặn luồng giao thông
nguy hiểm nhanh hơn so với Promiscuous Mode IPS. Tuy nhiên vị trí này sẽ
làm cho tốc độ luồng thông tin qua ra vào mạng chậm hơn.
Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động
theo thời gian thực. Tốc độ họat động của hệ thống là một yếu tố rất quan
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 21
trọng. Qua trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các
cuộc tấn công ngay lập tức. Nếu không đáp ứng được điều này thì các cuộc tấn
công đã được thực hiện xong và hệ thống IPS là vô nghĩa.
Hình 6. Hệ thống In-line IPS
6.2.4 Công nghệ ngăn chặn xâm nhập IPS
- Signature - Based IPS
Hình 7. Hệ thống Signature-based IPS
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 22
Signature-Based IPS là tạo ra một luật gắn liền với những hoạt động xâm nhập
tiêu biểu. Một Signature-Based IPS giám sát tất cả các traffic và so sánh với dữ liệu
hiện có. Nếu không có sẽ đưa ra những cảnh báo cho người quản trị để cho biết đó là
một cuộc tấn công. Việc tạo ra các Signature-Based yêu cầu người quản trị phải có
những kỹ năng hiểu biết thật rõ về attacks, những mối nguy hai và phải biết phát triển
những Signature đề dò tìm (detect) những cuộc tấn công và mối nguy hại với hệ thống
mạng.
- Anomaly-Based IPS
Hình 8. Hệ thống Anomaly-based IPS
Anomaly-Based IPS phát hiện dựa trên sự bất thường hay mô tả sơ lược phân
tích những hoạt động của mạng và lưu lượng mạng nhằm tìm kiếm sự bất thường. Khi
tìm thấy sự bất thường, một tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất
cứ sự chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông thường.
Chính vì dạng phát hiện này tìm kiếm những bất thường nên nhà quản trị bảo
mật phải định nghĩa đâu là những hoạt động, lưu lượng bất thường. Nhà quản trị bảo
mật có thể định nghĩa những hoạt động bình thường bằng cách tạo ra những bản mô tả
sơ lược nhóm người dùng (user group profiles).
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 23
- Policy-Based IPS
Hình 9. Hệ thống Policy – based IPS
Policy-Based IPS sẽ phản ứng hoặc có những hành động nếu có sự vi phạm của
một cấu hình policy xảy ra. Bởi vậy, một Policy-Based IPS cung cấp một hoặc nhiều
phương thức được ưa chuộng để ngăn chặn.
- Protocol Analysis-Based IPS.
Giải pháp phân tích giao thức(Protocol Analysis-Based IPS) về việc
chống xâm nhập thì cũng tương tự như Signature-Based IPS, nhưng nó sẽ đi
sâu hơn về việc phân tích các giao thức trong gói tin(packets).Ví dụ: Một
hacker bắt đầu chạy một chương trình tấn công tới một Server. Trước tiên
hacker phải gửi một gói tin IP cùng với kiểu giao thức, theo một RFC, có thể
không chứa data trong payload.
Một Protocol Analysis-Based sẽ detect kiểu tấn công cơ bản trên một số
giao thức:
Kiểm tra khả năng của giao thức để xác định gói tin đó có hợp pháp hay
không?
Kiểm tra nội dung trong Payload (pattern matching).
Thực hiện những cảnh cáo không bình thường.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 24
6.3 Đối chiếu IDS và IPS
Hiện nay, công nghệ của IDS đã được thay thế bằng các giải pháp IPS. Nếu
như hiểu đơn giản, ta có thể xem như IDS chỉ là một cái chuông để cảnh báo cho
người quản trị biết những nguy cơ có thể xảy ra tấn công. Với IPS, người quản trị
không những có thể xác định được các lưu lượng khả nghi khi có dấu hiệu tấn công
mà còn giảm thiểu được khả năng xác định sai các lưu lượng. Với IPS, các cuộc tấn
công sẽ bị loại bỏ ngay khi mới có dấu hiệu và nó hoạt động tuân theo quy luật do nhà
quản trị định sẵn.
Với IDS, do số lượng cơ chế là ít nên có thể dẫn đến tình trạng không phát hiện
ra được các cuộc tấn công với cơ chế không định sẵn, dẫn đến khả năng các cuộc tấn
công sẽ thành công, gây ảnh hưởng đến hệ thống. Thêm vào đó, do các cơ chế của
IDS là tổng quát, dẫn đến tình trạng cảnh báo nhầm, làm tốn thời gian và công sức của
nhà quản trị. IPS thì được xây dựng trên rất nhiều cơ chế tấn công và hoàn toàn có thể
tạo mới các cơ chế phù hợp với các dạng thức tấn công mới nên sẽ giảm thiểu được
khả năng tấn công của mạng, thêm vào đó, độ chính xác của IPS là cao hơn so với
IDS.
Kiểm chứng qua ví dụ như nếu kẻ tấn công giả mạo của một đối tác, ISP, hay
là khách hàng, để tạo một cuộc tấn công từ chối dịch vụ, mặc dù IDS có thể phát hiện
được cuộc tấn công từ chối dịch vụ và IP của khách hàng, của ISP, của đối tác. Nhưng
với IPS thì khác nó sẽ phát hiện ngay từ đầu dấu hiệu của cuộc tấn công và sau đó là
khoá ngay các lưu lượng mạng này thì mới có khả năng giảm thiểu được các cuộc tấn
công.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 25
7. Tìm Hiểu Về Hệ Thống Firewall
7.1 Chức Năng
Internet Firewall (gọi tắt là firewall) là một thành phần đặt giữa Intranet và
Internet để kiểm soát tất cả các việc lưu thông và Internet để kiểm soát tất cả các việc
lưu thông và truy cập giữa chúng với nhau:
- Firewall quyết định những dịch vụ nào từ bên ngoài được phép truy cập đến
các dịch vụ bên trong và cả những dịch vụ nào bên ngoài được phép truy cập bởi
những người bên trong.
- Để firewall làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài và
ngược lại đều phải thực hiện thông qua firewall.
- Chỉ có những trao đổi nào được phép bởi chế độ an ninh của hệ thống mạng nội
bộ mới được quyền lưu thông qua Firewall.
7.2 Các thành phần và cơ chế hoạt động của Firewall
7.2.1 Bộ lọc packet (packet-filtering router)
Bộ lọc gói tin cho phép hay từ chối mỗi packet mà nó nhận được. Nó
kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thỏa mãn
một trong số các luật lệ lọc packet hay không. Các luật lệ lọc packet này là dựa
trên các thông tin ở đầu mỗi packet, dùng để cho phép truyền các packet đó.
- Địa chỉ IP nơi xuất phát (IP source address)
- Địa chỉ IP nơi nhận (IP destination address)
- Những thủ tục truyền tin (TCP, UPD, ICMP, IP tunnel)
- Cổng TCP/UPD nơi gửi và nhận
- Dạng thông báo ICMP
Ưu Điểm Nhược Điểm
- Chi phí thấp vì đã bao gồm trong mỗi
router
- Không yêu cầu chuyên môn đặc biệt
- Đòi hỏi về sự lọc càng lớn
- Các bộ luật lọc gói tin càng trở nên
dài, phức tạp, khó quản lý
- Không kiểm soát được toàn bộ nội
dung của packet
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 26
7.2.2 Cổng ứng dụng (application-level-gateway)
Cơ chế này được thiết kế để tăng cường chức năng kiểm soát các loại dịch vụ,
hoạt động của nó dựa trên Proxy service. Proxy service được xem như các bộ chương
trình đặc biệt cài đặt trên gateway cho từng ứng dụng. Một cổng ứng dụng thường
được coi như là một pháo đài (bastion host), bởi vì nó được thiết kế đặc biệt để chống
lại sự tấn công bên ngoài. Bastion host gồm những biện pháp đảm bảo an ninh như:
- Bastion luôn chạy các phiên bản hệ điều hành an toàn chống lại sự tấn công
vào hệ quản trị.
- Chỉ những dịch vụ nào thực sự cần thiết và quan trọng (telnet, DNS, FTP,)
mới được cài đặt trên bastion host, vì hạn chế ứng dụng nào thì sẽ bớt đi sự tấn
công vào phần đó.
- Proxy được cấu hình cho phép truy cập chỉ một số máy chủ nhất định.
- Mỗi proxy sẽ duy trì, lưu trữ lại toàn bộ chi tiết của mỗi kết nối. Đây sẽ là cơ
sở để tìm ra dấu vết và ngăn chặn kẻ phá hoại.
Hình 10. Bộ lọc ứng dụng.
Ưu Điểm Nhược Điểm
- Cho phép người quản trị hoàn toàn
điều khiển những ứng dụng và dịch
vụ nào được cho phép.
- Cho phép ghi chép kiểm tra độ xác
thực rất tốt và có một nhật ký ghi
chép lại thông tin về truy cập hệ
thống
- Bộ luật lọc cho cổng ứng dụng dẽ
dàng cấu hình và kiểm tra hơn so với
bộ lọc gói tin
- Bộ lọc cổng ứng dụng còn được xem
như là một firewall mềm, vì vậy đa
phần sẽ tốn chi phí khá cao cho
license.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 27
7.2.3 Cổng vòng (Circuit level Gateway)
- Hoạt động ở lớp phiên của mô hình OSI hoặc là một lớp đệm giữa lớp ứng
dụng và lớp vận chuyển của mô hình TCP/IP. Cổng vòng đơn giản chỉ chuyển tiếp
các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet
nào.
- Cổng vòng thường được sử dụng cho những kết nối ra ngoài, nơi mà các quản
trị mạng thật sự tin tưởng những người dùng bên trong.
Hình 11. Cơ chế cổng vòng.
Ưu điểm : Có thể cấu hình vừa cung cấp cổng ứng dụng cho những kết nối đến và
cổng vòng cho các kết nối đi ra. Vì thế làm cho hệ thống bức tường lửa dễ dàng sử
dụng cho những người trong nội bộ muốn trực tiếp truy cập tới các dịch vụ internet,
trong khi vẫn bảo vệ mạng nội bộ từ sự tấn công bên ngoài.
7.3 Những hạn chế của firewall
- Chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong
muốn nhưng phải xác định rõ các thông số địa chỉ.
- Không thể ngăn chặn một sự tấn công không đi qua nó. Không đi qua nó ở đây
có nghĩa là không thể chống lại một cuộc tấn công từ một sự rò rỉ thông tin do dữ
liệu bị đánh cắp bất hợp pháp hoặc bị tấn công từ nội bộ.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 28
- Không thể chống lại các cuộc tấn công từ sự thâm nhập của các chương trình
được chuyển theo thư điện tử và không thể làm nhiệm vụ rà quét virus, vì ngày
càng xuất hiện liên tục của các virus mới thoát khỏi khả năng kiểm soát của
firewall.
7.4 Các ví dụ Firewall
- Bộ định tuyến lọc gói tin (Packet-Filtering Router)
Bộ lọc này phổ biến nhất vì chỉ bao gồm một bộ định tuyến lọc gói tin
đặt giữa mạng nội bộ và internet. Có hai chức năng chính là chuyển tiếp truyền
tải giữa hai mạng và sử dụng các bộ luật về lọc gói tin để cho phép hay từ chối
truyền.
Ưu Điểm Nhược Điểm
- Giá thành thấp
- Cấu hình đơn giản
- Dễ bị tấn công vào các bộ lọc cấu
hình không hoàn hảo, tấn công ngầm
dưới những dịch vụ đã được phép.
- Tất cả hệ thống trong mạng nội bộ sẽ
bị tấn công nếu bộ lọc do một sự cố
nào đó ngừng hoạt động.
- Nguy cơ bị tấn công cao hơn vì các
gói tin trao đổi trực tiếp với nhau chỉ
thông qua router.
- Screened Host Firewall
Hệ thống này bao gồm một router lọc gói tin và một bastion host. Nó
thực hiện việc bảo mật ở cả tầng network (packet filtering) và ở tầng ứng dụng,
một khi có sự tấn công bên ngoài vào thì nó phải vượt qua hai tầng bảo mật. Hệ
thống này có dạng:
o Single – Homed Bastion Host
Mô hình hệ thống này bastion host được cấu hình trong mạng nội bộ, bô
luật lọc gói tin cài trên router sao cho tất cả các hệ thống bên ngoài chỉ có thể
truy cập vào được bastion host. Các truy cập từ bên ngoài vào trong mặc định
đều bị khoá, còn các truy xuất ra ngoài phải được xác nhận và xuất phát từ
bastion nhost.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 29
Hình 12. Single-Homed Bastion Host.
o Dual – Homed Bastion Host
Cung cấp độ bảo mật cao hơn, vì hệ thống dùng 2 cổng mạng một nối
với cổng ra internet, cổng còn lại nối với mạng nội bộ. Với mô hình này thì
trong hệ thống chỉ có duy nhất bastion host có thể truy cập được từ internet, sẽ
hạn chế được sự tấn công . Cần cấu hình chặn không cho người dùng truy cập
vào bastion host vì họ sẽ dễ dàng truy cập được mạng nội bộ một khi vào được
bastion host.
Hình 13. Dual-Homed Bastion Host
- Vùng phi quân sự (DMZ Zone)
Hệ thống này còn được gọi là screen-subnet firewall, gồm hai router lọc
gói tin và một bastion host. Vùng DMZ là một mạng nhỏ được cô lập đặt giữa
internet và mạng nội bộ. Router bên ngoài chống lại những cuộc tấn công và
điều khiển truy cập vào DMZ, và từ DMZ muốn vào trong nội bộ thì phải xuất
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 30
phát từ bastion host. Router bên trong chỉ cho phép các hệ thống nội bộ truy
cập bastion host.
Hình 14. Mô hình vùng phi quân sự.
Ưu điểm:
- Cản trở quá trình tấn công với ba lớp bảo vệ.
- Hệ thống nội bộ sẽ bị ẩn đi vì router ngoài chỉ đưa vùng DMZ hiển thị ra
internet.
- Đảm bảo các lượt truy cập an toàn cho các user nội bộ muốn ra ngoài, vì
router bên trong chỉ quảng bá vùng DMZ tới mạng nội bộ.
7.5 Các kiểu tấn công
7.5.1 Tấn công từ chối dịch vụ (Denial of Service Attacks)
Tấn công từ chối dịch vụ DoS (Denial of Service) có thể mô tả như hành động
ngăn cản những người dùng hợp pháp khả năng truy cập và sử dụng vào một dịch vụ
nào đó. Nó bao gồm làm tràn ngập mạng, mất kết nối với dịch vụ v.v..mục đích cuối
cùng là máy chủ (Server) không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các
máy trạm (Client). Tấn công từ chối dịch vụ phân tán (tấn công DDoS- Distributed
denial of service) là một hình thức khác của tấn công DoS.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 31
DoS có thể làm ngưng hoạt động của một máy tính, một mạng nội bộ, thậm chí
cả một hệ thống mạng rất lớn. Về bản chất thực sự của DoS, hacker sẽ chiếm dụng
một lượng lớn tài nguyên mạng như băng thông, bộ nhớ và làm mất khả năng xử lý
các yêu cầu dịch vụ từ các client khác.
Có 2 loại tấn công chính: chiếm dụng nguồn tài nguyên (resource depletion) và
tấn công chiếm dụng băng thông (bandwidth depletion).
- Tấn công chiếm dụng nguồn tài nguyên
Tấn công chiếm dụng nguồn tài nguyên làm nghẽn tài nguyên dịch vụ
trên máy nạn nhân do nó cấp phát quá nhiều, từ đó CPU của nạn nhân bị quá
tải và các quá trình xử lý dữ liệu bị đình trệ.
Tấn công kiểu Land Attack là một hình thức tấn công chiếm dụng tài
nguyên.Trong kiểu tấn công này thì hacker sẽ gửi nhiều gói tin SYN với cùng
một địa chỉ nguồn và địa chỉ đích và giống hệt port nguồn và port đích tới nạn
nhân.
Mục đích của kiểu tấn công này là buộc nạn nhân gửi các gói tin trả lời
cho chính nó (một vòng lặp vô tận khi cố gắng thiết lập kết nối). Bởi vì hacker
liên tục gửi các gói tin, nạn nhân có thể giải phóng tài nguyên bằng cách gửi
gói tin đến chính nó. Về mặt kỹ thuật, kẻ tấn công sử dụng tài nguyên riêng của
máy chủ để chống lại chính nó.
Hình 15. Land Attack
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 32
- Tấn công sử dụng băng thông
Tấn công chiếm dụng băng thông làm ngập mạng nạn nhận với lưu
lượng không mong muốn, từ đó khiến cho người dùng hợp pháp vào mạng nạn
nhân rất chậm, nếu không muốn nói là không thể nào vào được.
Tấn công kiểu Smurf Attack là một hình thức tấn công chiếm dụng băng
thông. Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch
đại. Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP
echo request cho toàn bộ mạng (broadcast). Các máy tính trong mạng sẽ đồng
loạt gửi gói tin ICMP echo reply cho máy tính mà hacker muốn tấn công. Kết
quả là máy tính này sẽ không thể xử lý kịp thời một lượng lớn thông tin và dẫn
tới bị treo máy.
Hình 16. Smurf Attack
7.5.2 Giả mạo danh tính
Các hệ thống mạng sử dụng IP address để nhận biết sự tồn tại của mình.
Vì thế địa chỉ IP là sự quan tâm hàng đầu của những hacker. Khi họ hack vào
bất cứ hệ thống nào, họ đều biết địa chỉ IP của hệ thống mạng đó. Thông
thường, những người tấn công giả mạo IP address để xâm nhập và cấu hình lại
hệ thống, sửa đổi thông tin, v.v...
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 33
Việc tạo ra một kiểu tấn công mới là mục đích của các hacker. Trên
mạng Internet hiện nay, có thể sẽ xuất hiện những kiểu tấn công mới được khai
sinh từ những hacker thích mày mò và sáng tạo.
Man in the middle là một hình thức tấn công giả mạo danh tính. Kiểu
tấn công có thể xuyên thủng một kết nối bảo mật VPN (Virtual Private
Network) giữa một máy trạm và trạm kết nối.Bằng cách chèn một trạm kết nối
giả lập giữa máy trạm và trạm kết nối, hacker trở thành “Man in the middle” và
hắn ta sẽ giả lập thành trạm kết nối đối với máy trạm và thành máy trạm đối với
trạm kết nối.
Hacker sẽ buộc máy trạm đăng nhập lại vào trạm kết nối - nạn nhân sẽ
phải đáp ứng và đăng nhập lại lên Access Point và ngược lại Access Point phải
đáp ứng kết nối thành công và dĩ nhiên thông qua hacker.
Để bắt đầu một cuộc tấn công, hacker âm thầm thu thập các thông tin
quan trọng của máy trạm khi kết nối đến Access Point như username,
servername, địa chỉ IP của client và server, ID dùng để kết nối, các phương
thức phê chuẩn
Sau đó hacker này sẽ kết nối với Access Point bằng cách gởi yêu cầu kết
nối với thông tin trên và hiển nhiên thông tin yêu cầu này là của máy trạm hợp
lệ. Access Point sẽ yêu cầu kết nối VPN đến máy trạm, khi máy trạm nhận
được yêu cầu sẽ gởi thông tin để tạo kết nối. Hacker sẽ lắng nghe những thông
tin này từ hai phía để thu thập thông tin đáp ứng. Sau khi “lắng nghe” tất cả
quy trình kết nối thì hacker bắt đầu hành động. Họ sẽ gởi tín hiểu giả mạo với
gói lượng dữ liệu lớn tăng dần và đá văng kết nối của máy trạm hợp lệ ra khỏi
hệ thống và tiếp tục gởi để ngăn máy trạm không thể kết nối (vd: 0x00ffffff).
Lúc này hắn đàng hoàng đi vào hệ thống như một máy trạm hợp lệ.
Với kiểu tấn công này chỉ có cách giám sát hệ thống bằng cách thiết lập
IDS sẽ phát hiện và ngăn chặn kiểu tấn công này.
Một số hình thức tấn công của “Man in the middle”: tấn công giả mạo
ARP Cache, DNS Spoofing, chiếm quyền điều khiển Session (session
hijacking).v.v..
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 34
Tấn công giả mạo ARP Cache
ARP thường được sử dụng để xác định địa chỉ MAC khi mà đã biết địa chỉ IP.
Sự chuyển đổi này được thực hiện thông qua việc tìm kiếm trong một bảng địa chỉ,
ARP cache sẽ giữ nhiệm vụ cập nhật bảng địa chỉ này bằng cách gửi broadcast các gói
dữ liệu yêu cầu chứa các địa chỉ IP đến các Client, nếu như IP của Client nào trùng
với IP nhận được thì sẽ phản hồi lại với gói dữ liệu chứa MAC Address của mình.
Những thành phần trong bảng này sẽ hết hạng trong một khoảng thời gian nhất định vì
Client có thể thay đổi phần cứng (NIC) thì khi đó bảng này sẽ được cập nhật lại. Tuy
nhiên một nhược điểm của ARP là không có bất kỳ sự kiểm tra nào từ những phản hồi
của các Client hợp lệ hoặc là nhận phản hồi từ những Client giả mạo.
ARP Poisoning là một trong những công nghệ mà cho phép tấn công theo kiểu
“Man in the middle”. Hacker sẽ vào giữa Client và Router, bằng cách “nhiễm” vào
Client, cho nên IP của Router được kết nối với MAC Address của hacker, ngược lại
bằng cách “nhiễm” vào Router cho nên IP của Client sẽ kết nối với MAC Address của
hacker, nghĩa là cuối cùng mọi giao tiếp giữa Client và Router đều phải thông qua
hacker.
Hình 17. Giả mạo ARP Cache
7.5.3 Tấn công SMB
System Message Block (SMB) là một cổng mạng cho phép Windows
chia sẻ tập tin, các cây thư mục và những thiết bị. Dựa vào lỗi này hacker có
thể thực thi các đoạn mã độc từ xa ở tầm hệ thống nhưng với điều kiện file
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 35
sharing đã được bật, sẽ làm tê liệt hệ thống máy tính từ xa (gây lỗi màn hình
xanh -blue screen of death).
Nguyên nhân chính xuất phát từ cách thức driver srv2.sys xử lý các yêu
cầu từ máy khách trong khi phần tiêu đề (header) của ô "Process Id High"
chứa đựng một ký tự "&". Bằng việc gửi lệch một thông tin header trong gói
tin SMB 2.0 yêu cầu kết nối, chẳng hạn như đặt một giá trị High trong field
Process ID (\x00\x26) là có thể làm treo hệ thống.Cuộc tấn công không cần đến
chứng thực nhận dạng, chỉ cần cổng 445 có thể truy xuất. Mối lo ngại ở đây là
cổng 445 thường được mở mặc định trong phần cấu hình mạng nội bộ (LAN)
của Windows.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 36
8. CÁC YẾU TỐ ẢNH HƯỞNG ĐẾN HIỆU NĂNG HỆ THỐNG
Yếu tố con người:
Thiết lập và cấu hình hệ thống: Lập kế hoạch và chiến lược trước khi
khởi tạo một luật bất kỳ, đảm bảo tính chính xác cho hệ thống.
Thường xuyên cập nhật thông tin về hệ thống: Người quản trị phải luôn
theo dõi nhưng thông tin cập nhật firmware đối với phần cứng hoặc bản
nâng cấp đối với phần mềm để ngăn chặn các sự tấn công vào những lổ
hổng từ hệ thống.
Yếu tố vật lý:
Có kế hoạch kiểm tra và rà soát định kỳ hệ thống điện nhằm tránh những
sự cố chập nổ ngoài ý muốn.
Yếu tố phần cứng:
Lắp đặt hệ thống máy server đáp ứng được mức yêu cầu nhà sản xuất đề
ra trong sản phẩm để đảm bảo và duy trì hiệu suất làm việc ổn định cho
server.
Lắp ráp các linh kiện phần cứng phải đồng bộ, tương thích với nhau.
Yếu tố chuyên môn:
Độ phức tạp trong việc cấu hình hay yêu cầu một chuyên môn quá cao sẽ
là một phần nào gây sự cản trở nhất định trong việc thiết lập các cơ chế
giám sát, đồng thời cũng khó khăn cho người quản trị trong công tác quản
lý hệ thống.
Yếu tố phần mềm:
Đối với hệ điều hành, đảm bảo rằng đó là một hệ điều hành “sạch” trước
khi cài đặt và cấu hình tường lửa. Song song, chúng ta vẫn phải cập nhật
những bản vá lỗi mới nhất.
Đối với các ứng dụng và phần mềm được cài đặt trong máy, chúng ta
kiểm tra những phần mềm lạ, hoặc xoá ứng dụng không cần thiết sử
dụng, không nên để những ứng dụng này trong máy quá lâu, vì chúng có
thể mang lại nhiều rủi ro và nguy hiểm cho hệ thống.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 37
PHẦN III: TRIỂN KHAI CÁC MÔ HÌNH HỆ THỐNG
9. Audit Policies
9.1 Khái quát về các chính sách giám sát sự kiện
Định nghĩa
Thiết lập mặc
định
Audit
Account
Logon
Events
Tạo một sự kiện khi một user hoặc máy tính cố
gắng xác thực đang sử dụng một tài khoản AD.
Ví dụ khi một user đăng nhập vào bất kỳ má
tính trong domain, một sự kiện đăng nhập tài
khoản.
Tài khoản đăng
nhập thành công và
thất bại đều được
giám sát.
Audit Logon
Events
Tạo một sự kiện khi một user đăng nhập nội bộ
hoặc từ xa vào một máy tính. Ví dụ , nếu một
trạm làm việc và một server được cấu hình để
giám sát những sự kiện truy cập, trạm làm việc
giám sát một user đăng nhập trực tiếp vào trạm
này. Khi user kết nối tới một tập tin chia sẻ trên
server, máy server đăng nhập từ xa. Khi một
user đăng nhập, DC ghi nhận lại sự kiện đăng
nhập bởi vì những đoạn mã và chính sách đăng
nhập được lấy ra từ DC.
Tài khoản đăng
nhập thành công và
thất bại đều được
giám sát.
Audit
Account
Management
Giám sát những sự kiện, bao gồm việc khởi tạo,
xóa hoặc sửa đổi của tài khoản người dùng,
nhóm hoặc máy tính và tái thiết lập mật khẩu
cho user.
Giám sát những
hoạt động quản lý
tài khoản thành
công.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 38
Audit
Directory
Service
Access
Giám sát sự kiện được chỉ định trong hệ thống
SACL(system access control list), được quan sát
trong một hộp thoại những thiết lập an ninh cấp
cao của đối tượng AD. Thêm vào đó định nghĩa
chính sách giám sát với thiết lập này, ta cũng
phải cấu hình giám sát cho đối tượng chỉ định
hoặc đối tượng sử dụng SACL của một hoặc
nhiều đối tượng.
Giám sát những sự
kiện truy cập dịch
vụ danh bạ thành
công, nhưng
SACLs của một vài
đối tượng chỉ định
những thiết lập
giám sát.
Audit policy
Change
Những việc giám sát thay đổi các chính sách
phân quyền người dùng, chính sách giám sát,
chính sách tin tưởng.
Chính sách thành
công thay đổi được
giám sát.
Audit
privilege use
Giám sát việc sử dụng của một đặc quyền hay
quyền của user. Xem xét những ghi chú giải
thích cho chính sách này trong Group Policy
Management Editor (GPME).
Không có giám sát
được thực hiện mặc
định.
Audit
System
Events
Việc khởi động lại, tắt, hoặc thay đổi của hệ
thống giám sát sẽ ảnh hưởng đến hệ thống hay
an toàn dự liệu.
Giám sát những sự
kiện của hệ thống
thành công và thất
bải.
Audit
Process
Tracking
Những sự kiện giám sát chẳng hạn như khởi
động chương trình và thoát chương trình. Xem
xét chú thích cho chính sách này trong GPME.
Giám sát những sự
kiện theo dõi tiến
trình thành công.
Audit Object
Access
Tiếp cận tới những đối tượng như những tập tin,
thư mục, những khóa đăng ký và máy in những
cái có SACL của chính chúng. Ngoài việc cho
phép chính sách giám sát này, ta phải cấu hình
những mục giám sát trong SACL của các đối
tượng.
Giám sát những sự
kiện truy cập đối
tượng thành công.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 39
9.2 Các hạng mục trong Event Viewer
9.2.1 Custom view
Việc cố gắng xác định một sự kiện cụ thể trong Windows Event Viewer là một
công việc rất khó khăn. Những tiến trình riêng biệt có thể tạo ra rất nhiều sự kiện khác
nhau trong một thời gian ngắn gây khó khăn cho việc xác định sự kiện muốn kiểm tra.
Custom Event View cho phép người dùng thực hiện các phiên tìm kiếm động nâng
cao dựa trên một số điều kiện lọc. Theo đó, chúng ta có thể xác định mọi sự kiện gây
ra lỗi nào đó ngoài việc chỉ tìm lỗi.
Hộp thoại Create Custom View là giao diện chính được sử dụng để tạo khung
nhìn tùy biến của các sự kiện máy chủ.
Hình 18. Hộp thoại Create Custom View.
Đầu tiên phải lựa chọn phạm vi của những sự kiện muốn lọc. Danh sách
Logged thả xuống cho phép kiểm soát những sự kiện xảy ra trong giờ trước, ngày
trước, tuần trước hay một giai đoạn thời gian cụ thể. ta có thể tạo một khoảng thời
gian tùy biến.
Trong hình trên có thể lựa chọn các cấp độ Event gồm Critical, Error,
Warning, Information, hay Verbose.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 40
Sự kiện bằng Event Log (bản ghi sự kiện) hay Event Source (nguồn sự kiện)
không thể sử dụng cả hai. Nếu lựa chọn tùy chọn By Log, khi đó danh sách thả xuống
sẽ hiển thị một chuỗi option chọn có thể sử dụng để lựa chọn những Event Log riêng
biệt muốn đưa vào tiến trình lọc. Nếu lựa chọn tùy chọn By Source, danh sách thả
xuống sẽ hiển thị một số hộp chọn cho mọi Event Source hiện có. Tiếp theo, nhập
những Event ID khác nhau muốn lọc. Nếu không xác định được những Event ID cụ
thể, có thể nhập một vùng Event ID. Ví dụ, nếu muốn lọc những Event ID có giá trị từ
1 đến 99, hãy nhập 1-99.
Hình 19. Khung nhìn hiển thị kết quả xuất hiện dưới Custom Views
9.2.2 Windows logs
Windows Logs được định để lưu trữ các sự kiện từ các ứng dụng kế thừa và các sự
kiện áp dụng cho toàn bộ hệ thống.
- Application log có chứa các sự kiện đăng nhập bởi các ứng dụng hoặc các
chương trình.
- Security log chứa các sự kiện như cố gắng đăng nhập hợp lệ và không hợp lệ,
cũng như các sự kiện liên quan đến sử dụng tài nguyên, chẳng hạn như tạo, xóa
các tập tin hoặc các đối tượng khác. Người quản trị có thể xác định những gì các
sự kiện được ghi trong security log.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 41
- Setup log chứa các sự kiện liên quan để thiết lập ứng dụng.
- System log chứa các thành phần hệ thống đăng nhập của Windows. Ví dụ, sự
thất bại của một trình điều khiển hoặc các thành phần hệ thống khác để nạp lúc
khởi động được ghi lại trong system log. Các loại sự kiện đăng nhập của các thành
phần hệ thống được xác định trước bởi Windows.
- Forwarded Events log đăng nhập được sử dụng để lưu trữ các sự kiện thu thập
từ các máy tính từ xa. Để thu thập các sự kiện từ các máy tính từ xa, bạn phải tạo
một đăng kí sự kiện.
9.2.3 Applications and Services Logs
Những sự kiện lưu trữ các bản ghi từ một ứng dụng đơn lẻ hoặc một thành
phần chứ không phải là sự kiện mà có thể có tác động rộng hệ thống.
Thể loại của các bản ghi bao gồm bốn phân nhóm: Admin, Operational,
Analytic, and Debug logs. Các sự kiện trong Admin log được quan tâm đặc biệt để
chuyên gia IT sử dụng Event Viewer để gỡ rối vấn đề. Các sự kiện trong Admin log
cung cấp cho bạn hướng dẫn về làm thế nào để đáp ứng cho họ.
Analytic logs lưu trữ các sự kiện mà theo dõi một vấn đề và một khối lượng lớn
các sự kiện được lưu lại. Debug logs được sử dụng bởi các nhà phát triển khi gỡ lỗi
các ứng dụng. Cả Analytic và Debug log được ẩn và vô hiệu hóa theo mặc định.
- Admin: Những sự kiện này chủ yếu nhắm vào người dùng cuối, các quản trị
viên, và nhân viên hỗ trợ. Những sự kiện được tìm thấy trong các kênh Admin chỉ
ra một vấn đề và giải pháp cũng như các quy định rằng một quản trị viên có thể
hành động.
- Operational events: được sử dụng để phân tích và chẩn đoán một vấn đề hay
xảy ra. Chúng có thể được sử dụng để kích hoạt các công cụ hoặc nhiệm vụ dựa
trên các vấn đề hay xảy ra.
- Analytic events: được công bố về mức độ cao. Chúng mô tả những hoạt động
chương trình và chỉ ra những vấn đề mà không thể được xử lý bởi sự can thiệp của
người dùng.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 42
- Debug events: được sử dụng bởi các nhà phát triển khắc phục sự cố các vấn đề
với chương trình của họ.
9.3 Xây dựng và triển khai mô hình mạng
9.3.1 Mô hình lab thực hiện
Hình 20. Mô hình Lab triển khai
Gồm 4 máy:
- Máy DC (Window Server 2008): lên AD, tạo domain test.local
- Máy File server (Window Server 2003): tạo tập tin chia sẻ và phân quyền cho
user
- Router: cấu hình theo 2 cách để vùng server và client liên lac với nhau
o Cách 1: Cấu hình Routing and Remote Access
o Cách 2: Tạo vùng server là VLAN 1 và clients là VLAN 2, cấu hình
InterVlan dùng giao thức Trunking 2 VLAN để chúng có thể liên lạc với
nhau.
- Máy client (Window XP): join domain test.local
9.4 Thiết lập các chính sách giám sát
9.4.1 Application log
Application log ghi lại sự kiện của các ứng dụng khác từ các nhà sản xuất khác
như symantec hay các ứng dụng mai. Thường thiết lập trong application là mặc định
của các ứng dụng nên chúng ta chỉ có thể đọc nó mà không thiết lập được.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 43
Các chính sách giám sát của hệ điều hành Window sẽ được ghi mặc định vào
Security Log. Kiểm tra sự kiện ghi giám sát được thiết lập và bảo mật bằng Group
Policy.
Hình 21. Các chính sách giám sát
9.4.2 Audit account logon events
Giám sát này sẽ thẩm định mỗi khi người dùng đăng nhập hoặc đăng xuất từ
một máy tính được sử dụng để hợp lệ hóa tài khoản. Ví dụ dễ hiểu nhất cho tình
huống này là khi một người dùng đăng nhập vào máy tính chạy hệ điều hành
Windows XP Professional nhưng lại được thẩm định bởi domain controller. Do
domain controller sẽ hợp lệ hóa người dùng, khi đó sự kiện sẽ được tạo trên domain
controller.
Hình 22. Thiết lập chính sách giám sát
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 44
Với sự kiện user đăng nhập thành công ta sẽ có các sự kiện 4769 dịch vụ
Kerberos được yêu cầu và 4624 tài khoản đăng nhập thành công.
Hình 23.Tài khoản đăng nhập thành công
Sự kiện 4769 cho biết về user logon và logon tại máy tính nào, sự kiện này
gồm có cả chứng thực Kerberos. Mỗi sự kiện 4769 sẽ có số Logon GUID khác nhau.
Hình 24. Keberos chứng thực khi user đăng nhập
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 45
Với việc đăng nhập sai pass ta có sự kiện 4771
Hình 25. Tài khoản u1 đăng nhập sai password
9.4.3 Audit account management
Giám sát này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang quản
lý tài khoản (user, group hoặc computer) trong cơ sở dữ liệu của người dùng trên máy
tính được cấu hình thẩm định. Những ví dụ cho các sự kiện này:
- Tạo một tài khoản người dùng
- Bổ sung thêm một người dùng vào nhóm
- Đặt lại tên một tài khoản người dùng
Thay đổi mật khẩu của tài khoản người dùng
Với sự kiện ủy quyền cho user tạo, sửa, xóa user và group. Audit này cho
admin có thể giám sát các hoạt động của user được ủy quyền.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 46
Sự kiện 4720 là tạo user, nhìn vào sự kiện này ta sẽ biết u1 tạo ra kt1
Hình 26. Ghi nhận sự kiện tạo tài khoản u1
Hình 27. Thông tin chi tiết khi tạo tài khoản u1
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 47
Sự kiện 4726 là xóa user, 4724 là reset pass account.
Hình 28. Thông tin về việc xóa tài khoản
Với việc tạo group, event viewer cũng sẽ ghi lại những group mà user đã tạo.
Sự kiện 4727 cho thấy, user đã tạo ra 1 group có tính năng Global Group - Security
Hình 29. Ghi nhận sự kiện tạo group
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 48
Hình 30. Thông tin chi tiết của filelog
9.4.4 Audit directory service access
Giám sát này sẽ thẩm định sự kiện có liên quan đến việc truy cập của người
dùng vào đối tượng Active Directory (AD), AD này đã được cấu hình để kiểm tra sự
truy cập của người dùng thông qua System Access Control List (SACL) của đối
tượng. SACL của đối tượng AD sẽ chỉ rõ ba vấn đề sau:
- Tài khoảng (của người dùng hoặc nhóm) sẽ được kiểm tra
- Kiểu truy cập sẽ được kiểm tra, chẳng hạn như đọc, tạo, thay đổi,
- Sự truy cập thành công hay thất bại đối với đối tượng
Do mỗi một đối tượng đều có SACL riêng nên mức điều khiển sẽ rất chính xác.
Hình 31. Thiết lập chính sách giám sát
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 49
Ví dụ về sự kiện này, ta có 2 domain. 1 domain là primary (tên DC) và 1
domain là additional domain (tên ForeFront)
Hình 32. Ghi nhận sự kiện domain kết nối với nhau
Khi 2 domain kết nối với nhau, đồng thời chúng replicate thông tin và dự liệu
của chúng cho nhau, sự kiện ghi nhận 2 quá trình xảy ra là 4932 – ghi nhận quá trình
bắt đầu replicate và 493 là kết thúc quá trình replicate.
Hình 33. Chi tiết filelog 2 domain bắt
đầu replicate
Hình 34. Đồng bộ bản sao của một Active
Directory kết thúc
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 50
9.4.5 Audit logon events
Giám sát này sẽ thẩm định mỗi sự kiện có liên quan đến người dùng đang đăng
nhập, đăng xuất hay đang tạo một kết nối mạng đến một máy tính được cấu hình để
thẩm định các sự kiện đăng nhập. Một ví dụ điển hình về trường hợp sử dụng hạng
mục này là thời điểm các sự kiện được ghi là thời điểm người dùng đăng nhập vào
máy trạm của họ bằng tài khoản người dùng trong miền. Khi đó một sự kiện trên máy
trạm làm việc chứ không phải domain controller sẽ được tạo để thực hiện thẩm định..
Hình 35. Thiết lập chính sách giám sát
Cũng với sự kiện đăng nhập user, audit này cũng cho ta các sự kiện như audit
account logon events, nhưng đối với việc đăng nhập sai thì không có ghi nhận.
Hình 36. Máy client đăng nhập sai password
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 51
Hình 37. Không ghi nhận sự kiện đăng nhập sai
Trong quá trình cho máy client truy cập vào file server để khảo sát các tình
huống giám sát, vô tình cho máy router không join domain và truy cập vào file server,
ta sẽ thấy filelog báo lỗi 4625.
Hình 38. Ghi nhận và thông báo máy truy cập trái phép vào hệ thống
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 52
Trong hình lab mô phỏng hiện thông báo:
Failure Information:
Failure Reason: Unknown username or bad password
Thông báo đó ghi lý do sai vì tên người dùng không biết hoặc mật khẩu tồi,
nhưng lý do ở đây là vì không join domain, nên máy router sẽ không được máy DC
chứng thực và phân giải DNS nên hiển nhiên hệ thống sẽ không biết máy router là ai
và sẽ báo lỗi.
Network Information:
Workstation Name: Router
Source Network Address: 172.16.1.3
Source Port: 1033
Từ bảng thông báo kéo xuống sẽ xuất hiện thêm thông tin về máy truy cập vào
bất hợp pháp là máy ROUTER với địa chỉ IP là 172.16.1.3 và port là 1033.
9.4.6 Audit object access
Giám sát này sẽ thẩm định sự kiện khi người dùng truy cập một đối tượng nào
đó. Các đối tượng ở đây có thể là các file, thư mục, máy in, Registry key hay các đối
tượng Active Directory. Thông thường chúng ta không cần cấu hình mức thẩm định
này, nó chỉ cần thiết khi có nhu kiểm tra sự truy cập tài nguyên nào đó.
Hệ thống có File Server, thư mục File Server sử dụng chứa tài nguyên cung cấp
cho nhân viên và NTFS Permision được cấu hình:
- Group Nhansu chỉ có quyền truy cập, đọc, sửa và xóa ở thư mục Nhansu.
- Group Ketoan chỉ có quyền truy cập, đọc, sửa và xóa ở thư mục Ketoan.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 53
Bảng phân quyền NTFS
Thư mục
Group
Ketoan Nhansu File server
Ketoan Truy cập, đọc, sửa,
xóa file chính mình
tạo ra
Không cho phép
truy cập
Đọc
Nhansu Không cho phép
truy cập
Truy cập, đọc,
sửa, xóa file chính
mình tạo ra
Đọc
Bản Auditing
Thư mục
Group
Ketoan Nhansu File server
Ketoan Truy cập, đọc, sửa,
xóa file chính mình
tạo ra - Success
Không cho phép
truy cập - Success
&Failed
Đọc - Success
Nhansu Không cho phép
truy cập - Success
&Failed
Truy cập, đọc, sửa,
xóa file chính mình
tạo ra - Success
Đọc - Success
Bật tính năng Auditing trên thư mục File server để xác định xem những ai đã
thay đổi bên trong thư mục, thay đổi có thành công hay không, và lúc thay đổi thì
đang ngồi làm việc ở máy nào.
Cấu hình GPO link OU chứa computer account của File server (hoặc máy nào
làm File Server thì triển khai Audit Policy trực tiếp trên máy đó)
Tại máy File server vào Local Security Policy, chọn Audit Policy => Audit
Object Access chọn Success và Failure.
Cho kt1 đăng nhập vào file server, event vierwer lập tự ghi nhận lại sự kiện
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 54
Hình 39. Ghi nhận sự kiện u1
Sự kiện 5140 cho biết user đăng nhập và đang dùng máy nào.
Hình 40.Chi tiết tài khoản u1 đăng nhập bằng máy KIT
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp
Các file đính kèm theo tài liệu này:
- file_goc_779793.pdf