Slide tìm hiểu về giám sát tập trung OSSIM
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.45 MB, 29 trang )
GIẢI PHÁP GIÁM SÁT TẬP TRUNG
OSSIM CHO HỌC VIỆN
Nhóm SV thực hiện:
1. Ngô Văn Thỉnh.
2. Phạm Công Lý.
3. Lê Văn Minh.
4. Nguyễn Văn Hoàng.
NỘI DUNG
1
Giới thiệu chung về SIEM & OSSIM
Khảo sát, phân tích hệ thống học viện
2
3
4
Đề xuất thiết kế giải pháp OSSIM
Demo
Học viện kỹ thuật Mật Mã
2
ĐẶT VẤN ĐỀ
Sự phát triển của hệ thống mạng đã đề ra một số nhu cầu:
•
Đảm bảo an toàn các thiết bị.
•
Quản lý thông tin và sự kiện.
•
Hệ thống vận hành tốt và an toàn.
IDS/IPS
Quản lý tập trung sự
• kiện
Hoạt động riêng lẻ.
an ninh mạng
• Không quản lý tập trung.
•
Không có sự tương quan liên kết sự kiện an ninh.
•
Đảm bảo tuân thủ an ninh còn hạn chế.
•
Khó khăn trong hoàn thành báo cáo về tình trạng an ninh hệ thống đúng theo chuẩn quốc
tế.
Học viện kỹ thuật Mật Mã
3
SIEM
SIEM (security Information and Event Management): Quản lý thông tin và sự kiện tập trung.
Học viện kỹ thuật Mật Mã
4
SIEM
Log
Sensor
Thu thập thông tin Log
Chuẩn hóa thông tin sự kiện an ninh.
Phân tích tương quan sự kiện an ninh
Server
Frame
Work
ALARM
SQL
Tổng hợp quyết định thông báo
Học viện kỹ thuật Mật Mã
5
OSSIM
Open Source Security Information Managerment (OSSIM): là một mã nguồn mở quản lý thông tin và sự kiện an ninh bao gồm tập hợp các công
cụ được thiết kế để trợ giúp các nhân viên quản trị phát hiện và phòng chống xâm nhập.
OSSIM
Học viện kỹ thuật Mật Mã
6
OSSIM
•
Giám sát tập trung các thiết bị trong mạng.
•
Thu thập các thông tin từ các sensor như snort, ARPwatch, Ntop,…..
•
Đọc các thông tin cảnh báo từ các loại thông tin hiện nay như CheckPoint, RealSecure, server Unix
•
Phân tích đánh giá mức độ an ninh và rủi ro của các sự kiện an toàn thông tin.
•
Phát hiện xâm nhập chính xác.
•
Dễ cài đặt và sử dụng => tiết kiệm nhân lực cho quản trị.
•
Lưu trữ thông tin dài hạn cho điều tra.
Học viện kỹ thuật Mật Mã
7
OSSIM
Kiến trúc OSSIM
Firewall, IDS, Router, Server,…. Hệ điều hành, Ứng
dụng,…
Tổng hợp và tiêu chuẩn hóa log từ: IDS (Snort), Quét lỗ hổng
(Nessus), Phát hiện sự bất thường (Spade, p0f, pads, arpwatch,
RRD abbehaviour), Giám sát mạng (Ntop) thành một chuẩn.
Học viện kỹ thuật Mật Mã
8
OSSIM
Kiến trúc OSSIM
Thu thập thông tin, chuẩn hóa và đánh giá rủi ro cho hệ thống, phân loại các loại tập tin,
các dấu hiệu bất thường cho hệ thống… sẽ được gửi lên framework để phân loại hành
động và mức độ cảnh báo cho hệ thống…và database để lưu trữ các sự kiện, các thông
tin cho hệ thống qua port 3306
Học viện kỹ thuật Mật Mã
9
OSSIM
Kiến trúc OSSIM
Quản lý các thành phần OSSIM và kết nối chúng lại với nhau. Cung cấp giao diện web,
Quản lý cấu hình thành phần OSSIM và truyền thông.
Cơ sở dữ liệu lưu trữ các sự kiện, các thông tin hữu ích cho việc quản lý của hệ thống.
Nó là cơ sở dữ liệu SQL
Học viện kỹ thuật Mật Mã
10
OSSIM
Kiến trúc OSSIM
Thu thập log bằng cách nào?
Tương quan sự kiện?
Tính toán rủi ro theo CT nào?
Học viện kỹ thuật Mật Mã
11
OSSIM
Network / Security
Host / OS/ Application
Học viện kỹ thuật Mật Mã
12
OSSEC Agents
Giải pháp HIDS mã nguồn mở
OSSIM
Học viện kỹ thuật Mật Mã
13
OSSEC Agents
ĐA NỀN TẢNG
KIỂM TRA TÍNH TOÀN VẸN
Linux, Solaris,
Windows, Mac,...
TÍCH HỢP
QUẢN LÝ LOG
vào cơ sở hạ tầng
hiện có (SIM/SEM)
QUẢN LÝ TẬP TRUNG
Thông qua một server quản lý chính
sách cho các máy trạm khác nhau
CẢNH BÁO THỜI GIAN THỰC
Có khả năng tùy biến
Học viện kỹ thuật Mật Mã
14
OSSIM
Kiến trúc OSSIM
Tương quan sự kiện?
Tính toán rủi ro theo CT nào?
Học viện kỹ thuật Mật Mã
15
OSSIM
RISK OF THE EVENT(0-10) =
[ASSET VALUE(0-5)*PRIORITY(0-5)*RELIABILITY(0-10)] /25
Trong đó:
•
ASSET VALUE: Giá trị của tài sản.
•
PRIORITY: Độ ưu tiên cho từng sự kiện an ninh (Default = 1).
•
RELIABILITY: Độ tin cậy của sự kiện an ninh (Default = 1).
•
RISK OF THE EVENT: Mức độ rủi ro của sự kiện an ninh.
Học viện kỹ thuật Mật Mã
16
OSSIM
Tương quan sự kiện (Correlation)
Là sự xem xét nhiều sự kiện có mối liên hệ liên quan với nhau để đưa ra quyết định thông báo hay không.
Ví dụ: CPU hoạt động 100%.
Sự kiện liên quan:
•
Có tồn tại virus hay không?
•
Có ứng dụng bị treo hay không?
•
Có sự gia tăng lưu lượng mạng hay không?
•
Lượng truy cập có chính đáng hay không?
Học viện kỹ thuật Mật Mã
17
Sơ đồ học viện
Học viện kỹ thuật Mật Mã
18
Tài sản hệ thống
Ngoài các thiết bị phần cứng như switch, router, AP, dây cáp, các máy trạm, hạ tầng mạng nói chung. Các phần mềm, các
tệp tin, các dữ liệu của Học viện được lưu trữ trên các máy chủ. Ta cần chú ý một số thiết bị sau:
•
1 Firewall
•
3 Máy chủ nội bộ
•
Các máy chủ dịch vụ DMZ: web, mail, fpt.
Là những thiết bị thiết yếu dễ bị tấn công.
Học viện kỹ thuật Mật Mã
19
Các loại rủi ro
•
Các tấn công vào khu vực DMZ khi mà các vùng đó chạy dịch vụ: web, mail, DNS.
•
Các tấn công tới người dùng (Social engineering) trong mạng.
•
Tấn công vào mạng LAN của Học viện:
•
Tấn công nghe trộm trên đường truyền
•
Tấn công vào từ chối dịch vụ vào hệ thống mạng văn phòng của các phòng, ban.
•
Tấn công bằng mã độc vào hệ thống mạng thông qua người dung hoặc các phương tiện khác
•
Xâm nhập vật lý tới các thiết bị cụ thể của hệ thống,
Học viện kỹ thuật Mật Mã
20
Sơ đồ học viện
Học viện kỹ thuật Mật Mã
21
Đề xuất giải pháp OSSIM
Học viện kỹ thuật Mật Mã
22
Cấu hình thiết bị
Firewall ASA5520-BUN-K9 cuả Cisco
•
Có nhiệm vụ quản lý lưu lượng và các truy cập mạng giữa các khu vực LAN, Management và DMZ.
•
Cisco ASA 5520 tích hợp cả IDS/IPS nên được sử dụng để cài đặt IDS/IPS luôn cho khu vực DMZ, LAN nhằm phát hiện
những dấu hiệu tấn công vào các khu vực này.
Học viện kỹ thuật Mật Mã
23
Cấu hình thiết bị
OSSIM Server:
•
OS: Debian Linux
•
CPU: E5620 2.4GHz – 4 Cores / 8 threads
•
RAM: 24GB
•
STORAGE: 3TB
•
OS: CentOS 7
•
IDS: Snort
•
CPU: E8400 3.0GHz – 2 Cores
•
RAM: 2GB
•
DISK: 500GB
NIDS:
Học viện kỹ thuật Mật Mã
24
Phân tích hệ thống
Hành động chủ yếu: quét cổng và IP firewall
Mục đích: đăng nhập chiếm quyền điều khiển
Phương pháp chủ yếu:
Học viện kỹ thuật Mật Mã
•
Quét cổng trực tiếp bằng Nmap
•
Lần theo tuyến traceroute
•
Lấy banner (banner grabbing)
25
