Tải bản đầy đủ (.docx) (23 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Giám sát an toàn mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (284.85 KB, 23 trang )

Mục lục
1. Hãy phân tích sự khác biệt của phòng thủ theo lỗ hổng bảo mật và phòng thủ theo nguy cơ?
3
2. Trình bày chu trình giám sát an toàn mạng
3
3. Trình bày khung làm việc để thu thập dữ liệu ACF
4
4. Để xây dựng một cảm biến ta cần quan tâm tới những thành phần gì? Mô tả cách thức để xác
định các yêu cầu các thành phần phần cứng quan trọng của cảm biến ?
6
5. Mô tả cách thức để xác định vị trí đặt của cảm biến trong mạng?.
6
6. Trình bày khái niệm giám sát an toàn mạng (NSM – Network Security Monitoring). Tại sao
chúng ta cần hệ thống giám sát an toàn mạng?
7
7. Hãy phân tích để cho thấy giám sát an toàn mạng khác với phát hiện xâm nhập?
8
8. Hãy phân tích các thách thức khi triển khai hệ thống giám sát an toàn mạng.
9
9. Trình bày ưu điểm và nhược điểm của một hệ thống giám sát an toàn mạng.
10
10. Hệ thống phát hiện xâm nhập trái phép (IDS - Intrusion Detection System) là gì? Vẽ sơ đồ kiến
trúc của một hệ thống IDS và mô tả tóm tắt.
11
11. Hãy mô tả 2 phương pháp Signature-based và Anomaly-based được sử dụng trong hệ thống
phát hiện xâm nhập trái phép (IDS) để đảm bảo an toàn mạng.
12
12. So sánh hệ thống giám sát an toàn mạng (NSM - Network Security Monitoring) với hệ thống
phát hiện xâm nhập trái phép (IDS - Intrusion Detection System).
12
13. Hệ thống ngăn chặn xâm nhập trái phép (IPS) là gì? So sánh IPS với hệ thống phát hiện xâm


nhập trái phép (IDS).
13
14. Hãy mô tả các kỹ năng cần có của một chuyên gia phân tích an toàn mạng.
13
15. Trong giám sát an toàn mạng, chúng ta cần thu thập các loại dữ liệu nào? Nêu một vài công cụ
mã nguồn mở hỗ trợ việc thu thập dữ liệu mà anh/chị biết.
14
16. Dữ liệu có nội dung đầy đủ (Full content data) là gì? Làm thế nào để có thể thu thập được dữ
liệu có nội dung đầy đủ?
14
17. Dữ liệu phiên (Session data) là gì? Làm thế nào để có thể thu thập được dữ liệu phiên?
14
18. Dữ liệu kiểu chuỗi là gì? Làm thế nào để có thể thu thập được dữ liệu kiểu chuỗi?
15
19. Dữ liệu thống kê (Statistical data) là gì? Làm thế nào để có thể thu thập được dữ liệu thống kê?
Hãy mô tả một số công cụ được sử dụng trong việc thu thập/lưu/theo dõi các hoạt động mạng liên
quan đến dữ liệu thống kê.
16
20. Dữ liệu cảnh báo (Alert data) là gì? Làm thế nào để có thể thu thập được dữ liệu cảnh báo? 17
21. Host-based IDS và Network-based IDS là gì? Mô tả một số công nghệ tương ứng với mỗi loại
mà anh/chị biết?
17
22. Phần mềm Snort được sử dụng để làm gì? Hãy mô tả tóm tắt các chức năng của phần mềm
này?
19
23. Viết luật trong Snort để phát hiện ra có gói tin ping đến hệ thống mạng. Giải thích các tham số
trong luật này.
20
24. Viết luật trong Snort để phát hiện người dùng đang truy cập trang web vietnamnet.vn . Giải
thích các tham số trong luật này.

20
25. Viết luật trong Snort để phát hiện tấn công quét mạng kiểu SYN SCAN. Giải thích các tham số
trong luật này.
21
26. Dấu hiệu xâm nhập (IOC) là gì? Hãy phân loại IOC.
22
27. Để có thể quản lý được các IOC và chữ ký tốt nhất, cần tuân theo các nguyên tắc nào? Mô tả sơ
bộ về phần mềm quản lý IOC và chữ ký mà bạn biết.
22
28. Phát hiện xâm nhập dựa trên danh tiếng là gì? Làm cách nào để phát hiện tự động xâm nhập
dựa trên danh sách danh tiếng?
24
1


29. So sánh ưu và nhược điểm của 2 hệ thống IDS là Snort và Suricata.

24

1. Hãy phân tích sự khác biệt của phòng thủ theo lỗ hổng bảo mật và phòng thủ theo nguy cơ?

-

Phòng thủ theo lỗ hổng tập trung vào “làm thế nào” còn phòng thủ theo nguy cơ tập
trung vào “ai” muốn tấn công vào hệ thống và “tại sao” họ lại thực hiện hành động
này.
Phòng thủ theo lỗ hổng bảo mật
Phòng thủ theo nguy cơ
● Dựa vào kỹ thuật phòng chống
● Biết rằng việc phòng chống cuối cùng

sẽ thất bại
● Tập trung vào phát hiện xâm nhập
● Tập trung vào tập dữ liệu: Chỉ cung
cấp cho các chuyên gia phân tích
những dữ liệu mà họ cần thì họ có thể
đưa ra quyết định nhanh và an toàn
hơn nhiều
● Giả thiết có thể biết được tất cả các
2


nguy cơ
● Phân tích mỗi tấn công trong ngữ
cảnh đơn giản
● Phụ thuộc nhiều vào phát hiện xâm
nhập dựa trên chữ ký
● Ít khả năng phát hiện ra các nguy cơ
chưa biết

● Biết rằng các nguy cơ sẽ được sử
dụng các công cụ, chiến thuật và thủ
tục khác nhau
● Kết hợp thông minh từ mọi tấn công

● Tiến trình tuyến tính -> đơn giản và
thiếu trách nhiệm

● Rất có khả năng phát hiện ra các hoạt
động tấn công ngoài những dấu hiệu
đã biết

● Tiến trình theo chu trình

● Sử dụng toàn dữ liệu nguồn

1. Trình bày chu trình giám sát an toàn mạng

-

B1: thu thập dữ liệu
● Đây là phần quan trọng nhất của chu trình NSM bởi vì các bước thực hiện ở đây sẽ
định hình khả năng của một tổ chức trong việc phát hiện xâm nhập và phân tích dữ
liệu hiệu quả
● Các loại dữ liệu: dữ liệu nội dung đầy đủ, dữ liệu phiên, dữ liệu thống kê, dữ liệu
kiểu chuỗi trong gói tin, dữ liệu cảnh báo
● Cần nhiều lao động nhất trong chu trình NSM. Cần nỗ lực từ lãnh đạo tổ chức, đội
ngũ an ninh thô ng tin và các nhóm mạng, nhóm quản trị hệ thống
● Bao gồm các nhiệm vụ:
+ Xác định các vị trí có nhiều điểm yếu tồn tại trong tổ chức
+ Xác định các nguy cơ ảnh hưởng đến mục tiêu tổ chức
+ Xác định nguồn dữ liệu có liên quan
+ Tinh chế nguồn dữ liệu thu thập được
+ Cấu hình cổng SPAN để thu thập dữ liệu gói tin
+ Xây dựng lưu trữ SAN cho lưu giữ nhật ký
+ Cấu hình phần cứng và phần mềm thu thập dữ liệu
- B2: phát hiện xâm nhập
● Là quá trình mà qua đó dữ liệu thu thập được kiểm tra và cảnh báo sẽ được tạo ra
dựa trên các sự kiện quan sát được và dữ liệu thu thập không được như mong đợi
● Được thực hiện thông qua một số hình thức chữ ký, sự bất thường, hoặc phát
hiện dựa trên thống kê.
3



-

● Kết quả là tạo ra các dữ liệu cảnh báo.
● Thường là một chức năng của phần mềm với một số gói phần mềm phổ biến như
Snort IDS và Bro IDS của một hệ thống phát hiện xâm nhập mạng
B3: phân tích dữ liệu
● Diễn giải và xem xét dữ liệu cảnh báo
● Cần xem xét thu th ập dữ liệu bổ sung từ các nguồn dữ liệu khác
● Gồm : phân tích gói tin, phân tích mạng, phân tích máy chủ, phân tích phần mềm
độc hại
● Là phần tốn thời gian nhất trong chu trình NSM
● Một sự kiện có thể được chính thức nâng lên thành sự cố, và bắt đầu với các biện
pháp ứng phó
⇨ Chu trình NSM kết thúc bằng các bài học kinh nghiệm trong việc phát hiện xâm
nhập và phân tích dữ liệu cho bất kỳ sự bất thường nào và tiếp tục hình thành các
chiến lược thu thập dữ liệu cho tổ chức.

2. Trình bày khung làm việc để thu thập dữ liệu ACF

-

ACF là khung làm việc được xây dựng để làm giảm sự phức tạp của việc thu thập dữ
liệu, giúp tổ chức đánh giá các nguồn dữ liệu cần tập trung trong quá trình thu tập dữ
liệu
Gồm 4 giai đoạn:

a. Giai đoạn 1: xác định nguy cơ
+ Thay vì chỉ xác định nguy cơ chung, cần xác định các mối nguy cơ cụ thể vào mục

tiêu của tổ chức
+ Trả lời câu hỏi:”tình trạng xấu nhất liên quan đến khả năng sống còn của tổ chức
là gì?”
+ Các nguy cơ thường tác động đến: tính bảo mật, tính toàn vẹn, tính sẵn sàng
+ Từ nguy cơ đã xác định -> thấy được các kỹ thuật và công nghệ cần sử dụng để
giải quyết
+ Từ đó, có thể xác định được một danh sách các hệ thống có thể bị tấn công, dẫn
đến tổn thất về tài sản trí tuệ. Ví dụ như: máy chủ web, máy chủ cơ sở dữ liệu,
máy chủ lưu trữ tệp tin..
b. Giai đoạn 2: định lượng rủi ro
+ Khi xác định được một danh sách các nguy cơ, cần xác định xem các nguy cơ nào
cần được ưu tiên
+ Thực hiện bằng cách tính toán rủi ro gây ra bởi các nguy cơ tiềm ẩn:
Ảnh hưởng (I) x Xác suất(P) = Rủi ro (R)
✓ Ảnh hưởng là tác động của nguy cơ đến tổ chức
✓ Xác suất là khả năng nguy cơ xuất hiện
✓ Mức độ rủi ro mà nguy cơ gây ra đối với sự an toàn của mạng
c. Giai đoạn 3: xác định nguồn dữ liệu
+ Đi từ nguy cơ có hệ số rủi ro cao nhất, và xem xét bằng chứng thể hiện nguy cơ có
4


thể được nhìn thấy
+ Ví dụ, để kiểm tra nguy cơ tấn công máy chủ lưu trữ tệp tin, cần:
✓ Xác định cấu trúc máy chủ
✓ Vị trí trên mạng
✓ Người có quyền truy cập
✓ Đường dẫn mà dữ liệu đi vào
+ Dựa vào đó để kiểm tra cả hai nguồn dữ liệu dựa trên mạng cà dựa trên máy chủ
d. Giai đoạn 4: chọn lọc dữ liệu

+ Liên quan đến các bước kỹ thuật chiều sâu và cần phải xem xét tất cả các nguồn
dữ liệu riêng để xác định giá trị của nó
+ Cần phân tích chi phí/ lợi ích của các nguồn dữ liệu:
✓ Tài nguyên phần cứng, phần mềm, nhân công, việc tổ chức và lưu trữ dữ
liệu…
✓ Số lượng dữ liệu và thời gian lưu trữ dữ liệu
✓ Cần phải giảm tối thiểu chi phí lưu trữ và tăng tối đa độ quan tâm về dữ liệu
hữu ích dùng trong việc phân tích
+ Trên cơ sở đó, xây dựng cơ sở hạ tầng thích hợp cho việc thu thập dữ liệu
+ Dữ liệu liên tục được thu thập, được sử dụng cho phát hiện xâm nhập và phân tích
theo sự phát triển hệ thống mạng của tổ chức, và sẽ luôn cần phải xem xét lại
chiến lược thu thập dữ liệu
3. Để xây dựng một cảm biến ta cần quan tâm tới những thành phần gì? Mô tả cách thức để xác định
các yêu cầu các thành phần phần cứng quan trọng của cảm biến ?

-

Để xây dựng một cảm biến ta cần quan tâm tới thành phần phần cứng cảm biến và hệ
điều hành cảm biến
- Cách thức để xác định các yêu cầu các thành phần phần cứng quan trọng của cảm biến
là thiết lập và cấu hình một cảm biến tạm thời.
+ Xác định vị trí cần cài đặt trên mạng
+ Sử dụng một cổng SPAN hoặc một bộ trích dữ liệu mạng để dẫn lưu lượng dữ
liệu vào thiết bị
+ Cài đặt các công cụ thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu
vào các cảm biến để xác định các yêu cầu về hiệu suất của các công cụ riêng lẻ
CPU: phụ thuộc vào loại cảm biến triển khai. Cảm biến phát hiện xâm nhập cần nhiều
CPU
Bộ nhớ: cũng phụ thuộc vào loại cảm biến. Nên để khe cắm trống để nâng cấp sau này
Ổ cứng lưu trữ: Để có được kế hoạch hiệu quả cho nhu cầu lưu trữ dữ liệu, đòi hỏi phải

xác minh được vị trí và các hoạt động của cảm biến. Tùy thuộc loại cảm biến, cần đánh
giá lại thường xuyên
Giao diện mạng: mỗi cảm biến nên có tối thiểu 2 NIC để truy cập vào máy chủ và thu
thập dữ liệu. Số lương NIC phụ thuộc vào lượng băng thông gửi qua liên kết và các bộ
trích dữ liệu mạng. Cần đánh giá về lưu lượng mạng sẽ thu thập để xác định nhu cầu về
NIC
Cân bằng tải: yêu cầu vùng đệm socket: Khi lưu lượng mạng đã được đưa đến card
mạng, cần xem xét vấn đề cân bằng tải trong cảm biến thông qua các luồng ứng dụng
5


hoặc luồng xử lý khác nhau
Các cổng SPAN và bộ trích dữ liệu mạng: là cách đơn giản nhất để thu được các gói
tin đến cảm biến do là chức năng của swich
2. Mô tả cách thức để xác định vị trí đặt của cảm biến trong mạng?.
- Vị trí vật lý đặt các cảm biến trên mạng sẽ quyết định xem có thể bắt được dữ liệu gì,
phát hiện nào có thể có được liên quan đến dữ liệu đó, và mức độ mở rộng cho việc
phân tích được đến đâu.
- Mục đích: đảm bảo việc hiển thị thích hợp trong nguồn cung cấp dữ liệu đã được
thiết lập như là tiến trình quan trọng NSM trong tổ chức.
Cách xác định vị trí đặt cảm biến:
+ Sử dụng các tài nguyên thích hợp
✓ Nên tích cực tham gia vào quá trình sắp đặt mạng ngay trong giai đoạn đầu,
nhằm hiểu rõ nhất về cấu trúc và thiết kế sơ đồ mạng của tổ chức
+ Các điểm đi vào/đi ra mạng
✓ Lý tưởng là nên đặt một bộ cảm biến ngay tại điểm đi vào/đi ra mạng như cổng
gateway của Internet, các mạng VPN truyền thống, và các liên kết đối tác
✓ Trong các mạng nhỏ hơn, có thể triển khai cảm biến tại đường biên trên cạnh của
mạng
+ Tầm nhìn của địa chỉ Internet cục bộ

✓ Quan trọng là khả năng xác định thiết bị nội bộ nào là đối tượng chính của một
cảnh báo
+ Đánh giá tài sản quan trọng
✓ Cần phải có quy định tài sản nào là quan trọng nhất cần bảo vệ
✓ Từ đó có thể đặt các cảm biến một cách hợp lý, gần nhất với những tài sản quan
trọng
+ Tạo các sơ đồ hiển thị cảm biến
✓ Quan trọng khi được dùng để tham khảo cho quá trình điều tra của các chuyên gia
phân tích
✓ Mục tiêu của sơ đồ mạng là cho các chuyên gia phân tích nhanh chóng biết được
những tài sản nào mà một cảm biến bảo vệ và những tài sản nào đã ra ngoài vùng
bảo vệ đó
✓ Các thành phần cần thiết nhất của một sơ đồ mạng bao gồm:
● Khái quát logic mức cao của mạng
● Tất cả các thiết bị định tuyến, proxy, hoặc gateway có ảnh hưởng đến phát hiện
xâm nhậplưu lượng mạng
● Địa chỉ IP trong/ngoài của thiết bị định tuyến, proxy, và các gateway
● Máy trạm, máy chủ hoặc các thiết bị khác - nên được hiển thị theo nhóm trừ khi
đó là các thiết bị đặc biệt quan trọng
● Dải địa chỉ IP cho các nhóm máy trạm, máy chủ, và các thiết bị
● Tất cả các cảm biến NSM, và các vùng/khu vực phù hợp mà cảm biến có trách
nhiệm bảo vệ
6. Trình bày khái niệm giám sát an toàn mạng (NSM – Network Security
Monitoring). Tại sao chúng ta cần hệ thống giám sát an toàn mạng?
6


Giám sát an toàn mạng là việc thu thập các thông tin trên các thành phần của hệ thống,
phân tích các thông tin, dấu hiệu nhằm đánh giá và đưa ra các cảnh báo cho người quản
trị hệ thống .

Tại sao chúng ta cần hệ thống giám sát an toàn mạng : Internet là một kho dữ liệu khổng
lồ, là nơi mà tất cả những ai tham gia vào đều có thể cung cấp, lưu trữ và khai thác những
thông tin, dữ liệu sẵn có trên hệ thống. Cùng với đó sẽ là rất nhiều các mối nguy cơ, đe
dọa mà mọi người sẽ phải đối mặt, vượt qua khái niệm vùng lãnh thổ địa lý đến cấp độ
toàn cầu. Những người có hành vi xấu (muốn đánh cắp thông tin/dữ liệu, muốn gây hại
đến người dùng khác, muốn phá hủy các hệ thống quan trọng trong các tổ chức,..., có thể
được gọi chung là tội phạm Internet) có thể hoạt động theo tổ chức hoặc đơn lẻ. Vậy để
có thể đưa ra các luật (hay các quy tắc) và ép buộc tất cả mọi người thực thi các luật này
thì trong những năm vừa qua, nhiều cá nhân, tổ chức đã tập trung trọng tâm vào việc bảo
vệ máy tính và dữ liệu của họ khỏi những kẻ tội phạm mạng bằng nhiều cách khác nhau.
Đặc biệt, cách hiệu quả nhất để thực hiện việc này là thực thi giám sát an toàn mạng
(network security monitoring - NSM).
7. Hãy phân tích để cho thấy giám sát an toàn mạng khác với ?
● Phát hiện xâm nhập : là quá trình mà qua đó dữ liệu thu thập được kiểm tra và cảnh
báo sẽ được tạo ra dựa trên các sự kiện quan sát được và dữ liệu thu thập khôngđược
như mong đợi. Điều này thường được thực hiện thông qua một số hình thức chữ ký,
sự bất thường, hoặc phát hiện dựa trên thống kê. Kết quả là tạo ra các dữ liệu cảnh
báo. Trước khi sử dụng thuật ngữ NSM, lĩnh vực phát hiện thường được mô tả đơn
giản là phát hiện xâm nhập. Mặc dù NSM đã xuất hiện được khoảng mười năm,
nhưng các thuật ngữ này vẫn thường được sử dụng thay thế cho nhau. Đây không phải
là các từ đồng nghĩa, mà đúng hơn, phát hiện xâm nhập là một thành phần của NSM
hiện đại.
Việc phát hiện được xây dựng xung quanh mô hình cũ của phát hiện xâm nhập
thường có một vài đặc điểm riêng biệt:
- Bảo vệ ( phòng thủ ) theo lỗ hổng bảo mật : Mô hình phổ biến nhất của những kẻ
tấn công mạng máy tính là đột nhập vào mạng bằng cách khai thác một lỗ hổng
phần mềm. Vì mô hình này rất đơn giản và dễ dàng bị loại bỏ, nên đây là phần mà
hầu hết các chương trình phát hiện xâm nhập sớm được xây dựng xung quanh. Hệ
thống phát hiện xâm nhập (IDS) được triển khai với mục tiêu phát hiện việc khai
thác các lỗ hổng.

- Phát hiện trong tập dữ liệu quan trọng
- Phần lớn dựa trên chữ kí
- Cố gắng phân tích tự động hoàn toàn
● Giám sát an toàn mạng : là việc thu thập các thông tin trên các thành phần của hệ
thống, phân tích các thông tin, dấu hiệu nhằm đánh giá và đưa ra các cảnh báo cho
người quản trị hệ thống . Nó xuất phát và được ủng hộ bởi những người/tổ chức có
tư duy phòng thủ, ví dụ như trong quân đội, nơi mà các hoạt động có tầm quan trọng
7


và dữ liệu cần có tính bảo mật cao . NSM được coi là mô hình mới cho lĩnh vực
phát hiện và đã xây dựng được một tập các đặc tính khác biệt hoàn toàn so với phát
hiện xâm nhập truyền thống :
- Phòng chống đến cùng cho dù thất bại
- Tập trung vào tập dữ liệu
- Tiến trình theo chu trình gồm 3 giai đoạn : thu thập dữ liệu , phát hiện xâm nhập
và phân tích dữ liệu .
- Phòng thủ theo nguy cơ : Trong khi phòng thủ theo lỗ hổng tập trung vào “làm
thế nào”, thì phòng thủ theo nguy cơ tập trung vào “ai” và “tại sao”. Cụ thể, cần
phải tự hỏi rằng ai muốn tấn công vào hệ thống mạng của tổ chức, và tại sao họ
lại thực hiện hành động này? Phòng thủ theo nguy cơ là công việc khá khó khăn,
do hai nguyên nhân: (1) tầm nhìn sâu rộng vào hệ thống mạng của tổ chức và (2)
khả năng thu thập và phân tích thông tin tình báo liên quan đến mục đích và khả
năng của kẻ tấn công.
⇨ Chúng ta tập trung vào so sánh hai đặc điểm khác nhau quan trọng nhất : Phòng thủ
theo lỗ hổng bảo mật và phòng thủ theo nguy cơ là hai phương pháp bảo mật mạng
khác nhau.
Phòng thủ theo lỗ hổng bảo mật
Phòng thủ theo nguy cơ
● Dựa vào kỹ thuật phòng chống

● Tập trung vào phát hiện xâm nhập
● Giả thiết có thể biết được tất cả các
nguy cơ
● Phân tích mỗi tấn công trong ngữ
cảnh đơn giản
● Phụ thuộc nhiều vào phát hiện dựa
trên chữ ký
● Ít khả năng phát hiện ra các nguy cơ
chưa biết
● Tiến trình tuyến tính

● Biết rằng việc phòng chống cuối
cùng sẽ thất bại
● Tập trung vào tập dữ liệu
● Biết rằng các nguy cơ sẽ sử dụng
các công cụ, chiến thuật và thủ tục
khác nhau
● Kết hợp thông minh từ mọi tấn công
● Sử dụng toàn bộ dữ liệu nguồn
● Rất có khả năng phát hiện ra các
hoạt động tấn công ngoài những dấu
hiệu đã biết
● Tiến trình theo chu trình

8. Hãy phân tích các thách thức khi triển khai hệ thống giám sát an toàn mạng.
Sự ra đời của NSM và phòng thủ theo nguy cơ được coi là một bước phát triển lớn
trong an toàn thông tin mạng, tuy nhiên đây vẫn còn là một lĩnh vực mới nên còn mang
nhiều khó khăn, thách thức. Trong khi có một số nỗ lực được đưa ra nhằm chuẩn hóa
thuật ngữ và phương pháp, thì vẫn có một sự chênh lệch lớn giữa việc viết ra và những gì
đang thực sự được thực hiện.

Với một vấn đề an ninh mạng cụ thể, nếu có vài ba người nói chuyện với nhau, họ
sẽ có thể sử dụng các thuật ngữ khác nhau. Đây là vấn đề hạn chế từ góc độ đào tạo. Với
8


một người muốn thành công trong công việc liên quan đến an ninh mạng, họ phải có một
mức độ về kiến thức cơ bản trước khi bước vào thực tế. Kiến thức ở đây bao gồm lý
thuyết chung, thực hành và các yêu cầu cụ thể về một vấn đề.
Vấn đề về kỹ năng thực hành để có được hiệu quả tốt trong giám sát an toàn mạng
là một vấn đề khá khó khăn. Nguồn nhân lực về NSM không đủ đáp ứng yêu cầu về kinh
nghiệm và kiến thức cần thiết. NSM là một công việc đòi hỏi kinh nghiệm được thực hiện
ở mức cấp cao để có thể hướng dẫn nhân viên cơ sở. Tuy nhiên, hầu hết các nhân viên từ
mức trung đến mức cao đều thường khó khăn trong việc duy trì công việc, và họ kết thúc
trong vai trò tư vấn hoặc một vị trí quản lý.
Vấn đề cuối cùng cần nhắc đến như là một thách thức lớn cho sự phát triển của
NSM là chi phí cần thiết để thiết lập và duy trì một chương trình NSM. Chi phí bao gồm
phần cứng cần thiết để thu thập và phân tích lượng dữ liệu lớn được tạo ra từ các chức
năng NSM, phần lớn chi phí nữa là cho lực lượng lao động cần thiết làm phân tích NSM,
và chi phí để hỗ trợ cơ sở hạ tầng NSM cho các chuyên gia phân tích.
9. Trình bày ưu điểm và nhược điểm của một hệ thống giám sát an toàn mạng.
Hệ thống giám sát an toàn mạng được tạo ra với mục đích chính là thu thập dữ liệu, thông
tin về những sự kiện an ninh . Nó được tính từ những thiết bị đầu cuối cho tới lưu dữ liệu
tập trung , nhờ vào kết quả phân tích của hệ thống an toàn mạng , chúng ra có thể phát
hiện ra những nguy cơ trước sự tấn công của tin tặc .
Một trong những phần mềm giám sát mạng được mọi người dùng nhiều đó là Splunk.
Splunk là công cụ dựa trên tính năng từ việc phân tích Log và thiết kế trên nền tảng
Lucence, MongoDB. Công cụ này chuyên tìm kiếm, giám sát và phân tích những data lớn
của các ứng dụng, hệ thống, phần mềm và thiết bị hạ tầng mạng.
– Ưu và nhược điểm của Splunk:
+ Hỗ trợ đa dạng trên các máy trạm, Firewall, IDS/IPS, Log Event..

+ Không ngừng nghỉ cập nhật dữ liệu trong thời gian thực
+ Cơ chế tìm kiếm thông minh bao gồm các từ khóa, các hàm và cấu trúc tìm kiếm, từ đó
bạn có thể truy xuất mọi thứ theo mong muốn
+ Tự động khắc phục sự cố.
+Cơ chế hiển thị thông tin trực quan .
+ Cung cấp các API hỗ trợ việc tạo các ứng dụng trên Splunk của người dùng.
Tuy nhiên Splunk dùng để giám sát hệ thống này :
+ Không thích hợp với các hệ thống có bảo mật cao
+ Thời gian tìm hiểu, sử dụng và vận hành khá lâu
+ Đặc biệt phải có một hệ thống riêng đủ lớn. Và tất nhiên, Splunk không phù hợp với
các hệ thống có quy mô trung bình và nhỏ.
Ngoài Splunk ra còn có các công cụ giám sát mạng Syslog-Ng, Logzilla (Php SyslogNg), HP ArcSight Logger, Nagios, dịch vụ giám sát hệ thống Loggly
10. Hệ thống phát hiện xâm nhập trái phép (IDS - Intrusion Detection System) là gì?
Vẽ sơ đồ kiến trúc của một hệ thống IDS và mô tả tóm tắt.
Hệ thống phát hiện xâm nhập – IDS là một hệ thống giám sát lưu lượng mạng nhằm phát
9


hiện hiện tượng bất thường, các hoạt động trái xâm nhập phép và hệ thống. IDS có thể
phân biệt được những tấn công từ bên trong (nội bộ) hay tấn công từ bên ngoài (từ các tin
tặc).
IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các
phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa
trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạt chuẩn của hệ thống có
thể chấp nhận được ngay tại thời điểm hiện tại) để tìm ra các dấu hiệu khác thường.
● Kiến trúc của hệ thống phát hiện xâm nhập IDS :

Kiến trúc của hệ thống IDS bao gồm các thành phần chính:
- Thành phần thu thập thông tin (Information Collection): Bộ sinh sự kiện (Event
Generator) dựa vào các chính sách thu thập thông tin và tập các sự kiện để tạo ra cái gói

tin, chuyển sang thành phần Detection phân tích
- Thành phần phân tích gói tin ( Detection): Kết hợp với Thông tin của hệ thống và các
chính sách phát hiện (Detection Policy), phân tích các gói tin nhận được, chuyển kết quả
cho Response
- Thành phần phản hồi (Respone) Cảnh báo các gói tin bất thường tới hệ thống hoặc quản
trị viên..
Trong 3 thành phần này thì thành phần phân tích gói tin là một thành phần quan trọng
nhất và ở thành phần này bộ cảm biến đóng(Sensor) vai trò quyết định
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt
được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành
động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này.
Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile hành vi thông thường, các
tham số cần thiết (ví dụ: các ngưỡng).
11. Hãy mô tả 2 phương pháp Signature-based và Anomaly-based được sử dụng
trong hệ thống phát hiện xâm nhập trái phép (IDS) để đảm bảo an toàn mạng.
a) Cơ chế phát hiện dựa trên chữ kí:
10


- Là hình thức lâu đời nhất của phát hiện xâm nhập
- Duyệt dữ liệu để tìm ra các kết quả khớp với các mẫu đã biết (Mẫu được mô tả
bằng ngôn ngữ cụ thể trong nền tảng của một cơ chế phát hiện xâm nhập, chúng trở thành
chữ ký).
- Các mẫu được chia thành các mẫu nhỏ độc lập với nền tảng hoạt động. Do đó khi
phát hiện ra mẫu thì đó là dấu hiệu của tấn công.
- Có hai cơ chế phát hiện dựa trên chữ ký phổ biến là Snort và Suricata.
b) Cơ chế phát hiện dựa trên bất thường
- Là hình thức mới của phát hiện xâm nhập
- Dựa vào quan sát sự cố mạng và nhận biết lưu lượng bất thường thông qua các
chẩn đoán và thống kê.

- Có khả năng nhận ra các mẫu tấn công khác biệt với hành vi mạng thông thường.
-Đây là cơ chế tốt nhưng khó thực hiện.
12. So sánh hệ thống giám sát an toàn mạng (NSM - Network Security Monitoring)
với hệ thống phát hiện xâm nhập trái phép (IDS - Intrusion Detection System).
a) NSM:
+ Chức năng: Bảo vệ hệ thống khỏi tội phạm mạng bằng nhiều cách khác nhau.
+ NSM bao gồm: Thu thập dữ liệu, phát hiện xâm nhập, phân tích dữ liệu an ninh mạng
+ Được phân loại theo các miền: Bảo vệ, dò tìm, đáp ứng/phản ứng, duy trì
+ Các đặc tính:
- Phòng chống đến cùng cho dù thất bại
- Tập trung vào tập dữ liệu
- Tiến trình theo chu trình: thu thập dữ liệu -> phát hiện xâm nhập -> phân tích dữ
liệu -> thu thập dữ liệu (theo vòng tròn)
-Phòng thủ theo nguy cơ
+ Thách thức với NSM:
- Con người – chuyên gia phân tích là thành phần quan trọng nhất của 1 NSM
- Chi phí thiết lập và duy trì một NSM cao
- Khan hiếm nguồn nhân lực chất lượng tốt.
b) IDS:
+ Chức năng: Là 1 hệ thống tự động phát hiện và đưa ra cảnh báo về hoạt động xâm
nhập.
+ Giúp:
- Xác nhận các hệ thống bị tổn hại và các thiệt hại.
- Đánh giá sự cố
- Lần theo dấu vết xâm nhập
- Điều tra số.
+ Các yêu cầu với IDS
- Chạy liên tục với sự giám sát tối thiểu của con người.
- Có thể chịu lỗi
- Có khả năng mở rộng

- Có thể cấu hình theo chính sách bảo mật hệ thống
11


- Cho phép cấu hình động
13. Hệ thống ngăn chặn xâm nhập trái phép (IPS) là gì? So sánh IPS với hệ thống
phát hiện xâm nhập trái phép (IDS).
IPS là hệ thống có nhiệm vụ phát hiện, phản hồi và ngăn chặn xâm nhập
So sánh:
- IDS chỉ có thể phát hiện, IPS phát hiện và ngăn chặn xâm nhập.
- IDS đòi hỏi người quản trị tốn nhiều công sức hơn do nó chỉ có thể giám sát, còn ngăn
chặn thì người quản trị phải làm. IPS thì người quản trị không cần phải thực hiện ngăn
chặn.
- IDS hiện nay chỉ sử dung ít cơ chế phát hiện xâm nhập nên sẽ có thể để lọt tấn công,
thêm nữa các cơ chế IDS là tổng quát nên có thể dẫn đến tình trạng cảnh báo nhầm. IPS
được xây dựng trên nhiều cơ chế và hoàn toàn có thể tạo mới các cơ chế nên độ chính xác
cao hơn IDS.
14. Hãy mô tả các kỹ năng cần có của một chuyên gia phân tích an toàn mạng.
Có các kiến thức về:
● Phòng thủ theo nguy cơ, NSM, và chu trình NSM
● Chồng giao thức TCP/IP
● Các giao thức tầng ứng dụng
● Phân tích gói tin
● Kiến trúc Windows
● Kiến trúc Linux
● Phân tích dữ liệu cơ bản (BASH, Grep, SED, AWK,…)
● Cách sử dụng IDS (Snort, Suricata,…)
● Chỉ dẫn tấn công và hiệu chỉnh chữ ký IDS
● Mã nguồn mở
● Phương pháp chẩn đoán phân tích cơ bản

● Phân tích phần mềm mã độc cơ bản
15. Trong giám sát an toàn mạng, chúng ta cần thu thập các loại dữ liệu nào? Nêu
một vài công cụ mã nguồn mở hỗ trợ việc thu thập dữ liệu mà anh/chị biết.
Các loại dữ liệu:
Dữ liệu nội dung đầy đủ
Dữ liệu phiên
Dữ liệu thống kê
Dữ liệu kiểu chuỗi trong gói tin
Dữ liệu cảnh báo
Một vài công cụ: SiLK, snort, suricata,..
16. Dữ liệu có nội dung đầy đủ (Full content data) là gì? Làm thế nào để có thể thu
thập được dữ liệu có nội dung đầy đủ?
❖ Cung cấp thông tin đầy đủ về tất cả các gói dữ liệu được truyền giữa hai điểm đầu
cuối. Ví dụ như PCAP
12


❖ Thu thập được dữ liệu có nội dung đầy đủ:
Việc thu thập dữ liệu thông qua các sensor, nó thu thập, xử lý, lưu trữ từng gói dữ
liệu đầy đủ cho sử dụng sau này. Mức thu thập này là tốn nhiều lưu lượng lưu trữ,
phân tích nhất.
- Lượng dữ liệu thô nhất sẽ được lưu trữ bằng:
Capacity × Time
Capacity là tổng số băng thông trên tất cả các điểm capture data
Time là là tổng số thời gian phải lưu trữ dữ liệu đó.
- Lượng dữ liệu thô thông thường sẽ được lưu trữ:
Utilization × Time
Trong đó Utilization là băng thông trung bình trên tất cả các điểm capture data.
- Các tool có thể dùng cho việc thu thập full content data là Tcpdump/ Ethereal/
Snort

17. Dữ liệu phiên (Session data) là gì? Làm thế nào để có thể thu thập được dữ liệu
phiên?
❖ Là bản tóm tắt các thông tin liên lạc giữa hai thiết bị mạng
❖ Như là một cuộc hội thoại hoặc một luồng lưu lượng
❖ Là một trong những hình thức linh hoạt và hữu ích nhất của dữ liệu NSM
❖ Có một số điểm mạnh duy nhất có thể cung cấp giá trị
❖ đáng kể cho các chuyên gia phân tích NSM
THU THẬP DỮ LIỆU PHIÊN
➢ Cần 2 thành phần là một bộ sinh luồng và một bộ thu thập dữ liệu
➢ Bộ sinh luồng là thành phần phần cứng hoặc phần mềm, có trách nhiệm tạo ra các
luồng dữ liệu
▪ Phân tích các dữ liệu khác, hoặc là thu thập dữ liệu mạng trực tiếp từ giao diện
mạng
➢ Bộ thu thập luồng là phần mềm có nhiệm vụ nhận luồng dữ liệu từ bộ sinh luồng và
lưu chúng lại theo định dạng có thể phục hồi lại được
➢ Sinh luồng dữ liệu từ dữ liệu FPC trong khi đang thu thập FPC
▪ FPC hay bị lọc, hoặc có thể mất gói tin
▪ Mất dữ liệu luồng → Phương pháp này không được khuyến khích
➢ Thường bắt trực tiếp dữ liệu trên liên kết theo cùng cách mà dữ liệu FPC hoặc dữ
liệu cảnh báo NIDS được tạo ra
▪ Thực hiện bằng phần mềm trên máy tính, hoặc thông qua một thiết bị mạng như
bộ định tuyến
▪ 2 dạng: (1) theo thiết bị thì gọi là "sinh theo phần cứng", và (2) theo phần mềm
thì gọi là "sinh theo phần mềm".
➢ Sinh luồng dữ liệu theo phần cứng:
▪ Có thể tạo ra một số phiên bản của dữ liệu luồng bằng cách tận dụng phần cứng
hiện có
▪ Bộ định tuyến có khả năng thu nhận luồng sẽ được cấu hình với địa chỉ mạng
của bộ thu thập dữ liệu đích và luồng dữ liệu từ giao diện của bộ định tuyến sẽ
13



được gửi tới đích đó.
▪ Hầu hết các thiết bị Cisco có khả năng tạo dữ liệu NetFlow
➢ Sinh luồng dữ liệu theo phần mềm:
▪ Đa số các cài đặt NSM đều dựa trên sinh theo phần mềm
▪ Có nhiều ưu điểm vượt trội, trong đó ưu điểm lớn nhất là sự linh hoạt khi triển
khai phần mềm
▪ Sinh luồng bằng phần mềm liên quan đến:
- Thực hiện một daemon trên cảm biến để thu thập và chuyển tiếp luồng dữ liệu dựa
trên một cấu hình cụ thể
- Luồng dữ liệu này được tạo ra từ dữ liệu đi qua các giao diện thu thập dữ liệu
18. Dữ liệu kiểu chuỗi là gì? Làm thế nào để có thể thu thập được dữ liệu kiểu
chuỗi?
❖ Dữ liệu kiểu chuỗi trong gói tin: Packet String Data – PSTR
➢ Là một lựa chọn dữ liệu mà con người có thể đọc được, lấy từ dữ liệu FPC
➢ Có thể xuất hiện dưới nhiều hình thức khác nhau
● Ví dụ, tạo ra dữ liệu PSTR với định dạng cụ thể để diễn tả tiêu đề dữ liệu từ các
giao thức tầng ứng dụng phổ biến (như HTTP hoặc SMTP), mà không có tải dữ
liệu
❖ Log dữ liệu kiểu PSTR chỉ ra một HTTP URL được yêu cầu:
➢ Dữ liệu PSTR chỉ chứa các yêu cầu HTTP URL theo thời gian thực, có thể ứng
dụng trọng cơ chế phát hiện danh tiếng tự động
➢ Tập trung vào tải của gói tin sau tiêu đề của giao thức ứng dụng:
➢ Gồm một số lượng giới hạn các byte không phải là nhị phân từ tải của gói tin, có
thể cho biết mục đích của gói tin
➢ Có thể đi kèm với dữ liệu thừa
❖ THU THẬP DỮ LIỆU PSTR
➢ Đầu tiên, cần xem xét mức độ của các dữ liệu PSTR muốn thu thập
➢ Lý tưởng là tập trung vào việc thu thập dữ liệu tầng ứng dụng cần thiết, càng nhiều

từ các giao thức văn bản rõ càng tốt
➢ Vì có nhiều biến thể của dữ liệu PSTR có thể được thu thập nên không gian lưu
trữ dữ liệu sẽ biến đổi rất lớn
➢ Nên sử dụng một số phương pháp thảo luận ở phần trước để xác định có bao nhiêu
không gian lưu trữ để sử dụng cho dữ liệu PSTR
➢ Nên xem xét các khoảng thời gian dữ liệu được lưu lại
o Việc lưu dữ liệu FPC thường được xem xét theo chu kỳ vài giờ hoặc vài ngày
o Duy trì dữ liệu phiên cần xem xét theo chu kỳ quý hoặc năm
o Dữ liệu PSTR nên theo chu kỳ tuần hoặc tháng để lấp đầy khoảng trống giữa
FPC và dữ liệu phiên
➢ Chú ý là sẽ có sự biến đổi rất lớn khi đánh giá các nhu cầu lưu trữ dữ liệu PSTR,
phụ thuộc vào việc kinh doanh
➢ Thu thập dữ liệu PSTR từ mạng và thu thập từ dữ liệu FPC
➢ Tự động tạo ra dữ liệu PSTR hoặc thủ công
14


➢ Các giải pháp thủ công tuy chậm trong xử lý dữ liệu nhưng linh hoạt
➢ Thu thập dữ liệu với URLSnarf
➢ Thu thập dữ liệu yêu cầu HTTP một cách thụ động và lưu chúng dưới định dạng
log chung CLF
Ví dụ: bắt lưu lượng truy cập bằng tcpdump và sau đó truyền qua URLsnarf với
tùy chọn –p
➢ Thu thập dữ liệu với Httpry
▪ Là một công cụ bắt gói tin chuyên để hiển thị và ghi lại lưu lượng HTTP
▪ Có rất nhiều tùy chọn khi xử lý các dữ liệu đã thu thập, cho phép bắt và xuất
thông tin về tiêu đề HTTP theo bất kỳ thứ tự nào
19. Dữ liệu thống kê (Statistical data) là gì? Làm thế nào để có thể thu thập được dữ
liệu thống kê? Hãy mô tả một số công cụ được sử dụng trong việc thu thập/lưu/theo
dõi các hoạt động mạng liên quan đến dữ liệu thống kê.

❖ Dữ liệu thống kê là dữ liệu tổ chức, phân tích, giải thích và biểu diễn các loại dữ
liệu khác.
Thu thập được dữ liệu thống kê:
Các thiết bị mạng có thể mô tả dữ liệu thống kê như Cisco Accounting:
Để có thể tính toán được dữ liệu thống kê, sử dụng lệnh ip accounting trên một hoặc
nhiều mặt nạ mạng. Lệnh này đếm số packet mà rời một interface, do vậy có thể sắp xếp
traffic mà ta muốn xem. Ví dụ tại thiết bị mạng router có 2 Ethernet interfaces là fa0/0 và
fa0/1. Mặt nạ mạng đầu tiên là cho mạng internet trong khi mặt nạ thứ 2 là cho mạng nội
bộ. Để thống kê lượng traffic đến từ Internet, chúng ta bật IP accounting trên fa0/1. Nếu
ta muốn xem lượng traffic rời khỏi mạng nội bộ thì ta bận fa0/0.
❖ Tool để thu thập dữ liệu thống kê là Tcpdstat
Tcpdstat một chương trình để trích xuất thông tin thống kê từ các tệp tin tcpdump trace.
Tcpdstat đọc một tập tin tcpdump bằng cách sử dụng thư viện pcap và in các thống kê của
một trace. Kết quả bao gồm số lượng gói tin, tỷ lệ trung bình và độ lệch chuẩn, số cặp
nguồn và địa chỉ đích duy nhất, và sự cố về các giao thức. Tcpdstat được dự định cung
cấp một ý tưởng sơ bộ về nội dung trace. Đầu ra có thể dễ dàng chuyển đổi sang định
dạng HTTP. Nó cũng cung cấp thông tin hữu ích để tìm thấy sự bất thường trong một dấu
vết.
20. Dữ liệu cảnh báo (Alert data) là gì? Làm thế nào để có thể thu thập được dữ liệu
cảnh báo?
❖ Dữ liệu cảnh báo
▪ Dữ liệu cảnh báo là dữ liệu mô tả của các cảnh báo, và con trỏ chỉ đến dữ liệu
bất thường
▪ Kích thước nhỏ.
❖ Thu thập được dữ liệu cảnh báo sử dụng các tool như sguil.
Sguil là một công cụ tốt nhất cho các công cụ giám sát an ninh mạng. Nó liên kết
các thông báo IDS và một cơ sở dữ liệu các phiên TCP/IP, toàn bộ các gói dữ liệu
và các thông tin. Khi ta đã xác định các cảnh báo cần điều tra thêm, sguil cung cấp
15



ta truy cập liền mạch vào dữ liệu ta cần để quyết định cách xử lý tình huống đó.
Nói cách khác sguil đơn giản kết hợp các kết quả của các công cụ giám sát an ninh
khác nhau vào một giao diện duy nhất, cung cấp cho ta nhiều thông tin nhất trong
khoảng thời gian ngắn nhất.
- Sguil sử dụng cơ sở dữ liệu phụ trợ cho hầu hết các dữ liệu của nó, cho phép ta
thực hiện các truy vấn SQL đối với một số loại sự kiện an ninh khác nhau.
21. Host-based IDS và Network-based IDS là gì? Mô tả một số công nghệ tương ứng
với mỗi loại mà anh/chị biết?
1. Host-based IDS và Network-based IDS là gì?
Hệ thống IDS được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS
thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho bạn một sự hiểu biết
về những gì đang thực sự xảy ra trong mạng. Có hai tùy chọn chính khi bổ sung IDS trên
HIDS (Host-based IDS – hệ thống phát hiện xâm nhập máy chủ) và NIDS (Networkbased IDS - hệ thống phát hiện xâm nhập mạng).
a) Hệ thống phát hiện xâm nhập máy chủ
Sử dụng trực tiếp trên máy tính cá nhân, nó sẽ phân tích và giám sát máy tính. Ví dụ, nếu
có sự thay đổi một tập tin, nó sẽ phát hiện. HIDS được cài đặt trực tiếp trên hệ điều hành,
nó không giống như NIDS.
- Vị trí: cài đặt cục bộ trên máy tính và dạng máy tính => linh hoạt hơn NIDS
- Loại: software
- Nhiệm vị: phân tích lưu lượng ra vào mạng chuyển tói máy tính cài đặt HIDS
- Ưu điểm:
+ Cài đặt trên nhiều dạng máy tính: PC, laptop, máy chủ
+ Phân tích lưu lượng mạng rồi mới forward
+ Nó có thể chặn các traffic đã được mã hóa.
- Nhược điểm:
+ Đa số chạy trên hđh window
+ Chi phí triển khai cũng như tài nguyên ngày càng phình to.
+ Mặc đinh thì database HIDS được lưu trữ tạo local và chính điều này cũng có thể xem
là một nhược điểm nấu như máy tính chứa HIDS gặp trục trặc thì database cũng sẽ gặp

lỗi.
b) Hệ thống phát hiện xâm nhập mạng NIDS
Nó được cài đặt trên các máy tính nhưng hiện nay có các thiết bị NIDS chuyên dụng, nói
cách khác NIDS có thể chạy trên một thiết bị riêng biệt. NIDS có khả năng kiểm tra tất cả
các gói dữ liệu đi vào mạng. Nếu HIDS chỉ có thể xem được các gói dữ liệu của máy tính
đó nhưng với NIDS ta có thể xem được tất cả.
- Vị trí: mạng bên trong –NIDS- mạng bên ngoài
- Loại: hardware hoặc software
- Nhiệm vụ: chủ yếu giám sát lưu lượng ra vào mạng.
- Ưu điểm: ít tốn kém và giảm dung lượng tài nguyên lưu trữ.
- Nhược điểm:
+ Có thể xảy ra hiện tượng nghẽ khi lưu lượng mạng hoạt động ở mức cao.
16


+ NIDS không thể giám sát những thứ đang vận hành trong một hđh.
2. Mô tả một số công nghệ tương ứng.
a) NIDS
- Snort: là một NIDS là một IDS trạng thái, nó có thể tập hợp lạ và ghi nhận các tấn
công dựa trên phân đoạn TCP.
Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng. Các phần chính
đó là:
• Môđun giải mã gói tin (Packet Decoder)
• Môđun tiền xử lý (Preprocessors)
• Môđun phát hiện (Detection Engine)
• Môđun log và cảnh báo (Logging and Alerting System)
• Môđun kết xuất thông tin (Output Module)
• Kiến trúc của Snort được mô tả trong hình sau:

.


b) HIDS
- Thiết bị giám sát logfile (logfile monitors), thiết bị này sẽ cố gắng phát hiện những xâm
nhâp bằng cách phân tích các log sự kiên của hệ thống. Ví dụ: một thiết bị giám sát
logfile sẽ tìm kiếm những logfile ghi nhận những truy cập Apache để truy tìm ra đặc điểm
của những yêu cầu /cgi-bin/ . Công nghệ này bị giới hạn bởi vì nó chỉ tìm kiếm trong các
sự kiện đã được log - là những thứ mà kẻ tấn công rất dễ để thay thế. Thêm vào đó, hệ
thống có thể bỏ qua các sự kiện hệ thống cấp thấp mà chỉ ghi lại các hoạt động cấp cao.
Ví dụ: HIDS sẽ bỏ qua nếu kể tấn công chỉ đọc nội dung file như /etc/passwd. Tuy nhiên
hệ thống giám sát host logfile hoàn toàn đưa lại một số thuận tiên cho việc giám sát với
các công cụ hệ thống được xây dựng vì HIDS có hệ thống chuyển dịch tổng hợp an toàn
tới một server trung tâm, không giống như những syslog thông thường khác.
17


22. Phần mềm Snort được sử dụng để làm gì? Hãy mô tả tóm tắt các chức năng của
phần mềm này?
Phần mềm Snort là một hệ thống phát hiện xâm nhập mạng(NIDS) mã nguồn mở miễn
phí. NIDS là một kiểu của hệ thống phát hiện xâm nhập, được sử dụng để quét dữ liệu di
chuyển trên mạng. Snort cung cấp khả năng phát hiện xâm nhaao theo thời gian thực.
Ngoài ra Snort cũng được biết như một HIDS khi nó được cài đặt trên một host cụ thể và
chỉ để phát hiện các sự tấn công nhắm đến host đó.
Snort được miêu tả như một bình chân không, lưu giữ tất cả các gói tin và cho phép bạn
thực hiệ nhiều tác vụ một khi đã giữ được gói tin đó. Ta có thể dùng Snort như một
chương trình bắt gói tin, lưu trữ và kiểm tra về sau hoặc sắp xếp chúng, từ đó, so sánh với
các đặc thù của hiểm họa để biết được đó là hiểm họa nào nhằm phát hiện xâm nhập.
Snort sử dụng các luật được lưu trữ trong các file text, có thẻ được chỉnh sửa bởi người
quản trị. Các luật được nhóm thành các kiểu. Các luật thuộc về mỗi loại được lưu trong
các file khác nhau. File cấu hình chính của Snort là snort.conf. Snort đọc những luật này
vào lúc khởi tạo và xây dựng cấu trúc dữ liệu để cung cấp các tập luật nhằm bắt giữ dữ

liệu. Snort có một tập hợp các luật được định nghĩa trước để phát hiện các hành động
xâm nhập. Các luật của Snort có thể thay đổi.

Câu 23: Viết luật trong Snort để phát hiện ra có gói tin ping đến hệ thống mạng.
Giải thích các tham số trong luật này.
Giải thích các tham số:
+ alert- cảnh báo: tạo ra cảnh báo sử dụng phương pháp đã lựa chọn trước vầ sau đó ghi
log lại các gói tin.
+ tcp: là giao thức . Có 4 loại giao thức mà Snort hiện đang phân tích các hành vi bất
thường là tcp, udp, icmp, và ip.
+ any … -> any …: địa chỉ IP. Các địa chỉ này dùng để kiểm tra nơi đi và nơi đến của
một gói tin. Địa chỉ IP có thể là địa chỉ của một máy đơn hoặc cũng có thể là địa chỉ của
một lớp mạng. Từ khóa ‘any’ được sử dụng để định nghĩa một địa chỉ bất kì. Trong hai
địa chỉ IP trong một tập luật Snort thì sẽ có một địa chỉ IP nguồn vào địa chỉ IP đích, việc
xác định đâu là nguồn đâu là đích phụ thuộc vào ‘->’ .
+ … 443 -> … any: là cổng, có thể được định nghĩa bằng nhiều cách. Với từ khóa ‘any’
giống như địa chỉ IP để chỉ có thể được sử dụng bất kì cổng nào.
+ ->: điều hướng – chỉ ra đâu là hướng nguồn, đâu là hướng đích. Phần địa chỉ IP và port
ở phía bên trái của toán tử được gọi là địa chỉ và port nguồn, phần bên phải được coi như
địa chỉ đích và port đích.
+ msg:"Facebook web traffic detected": là một từ khóa hữu ích khi muốn gán thêm một
chuỗi văn bản vào log và cảnh báo.
+ content:"facebook.com": thiết lập các luật cho phép tìm kiếm các chuỗi cụ thể trong
phần tải của gói tin và kích hoạt các cảnh báo dựa trên các dữ liệu đó.
18


+ sid:10000: được sử dụng để xách định duy nhất một luật trong Snort. Tùy chọn này cho
phép output plugin có thể định danh các luật một cách dễ dàng.
24. Viết luật trong Snort để phát hiện người dùng đang truy cập trang web

vietnamnet.vn . Giải thích các tham số trong luật này.
alert tcp any 80 -> any any ( \
msg:"vietnamnet.vn web traffic detected"; \
content:" vietnamnet.vn "; sid:10000; )
Giải thích các tham số:
+ alert- cảnh báo: tạo ra cảnh báo sử dụng phương pháp đã lựa chọn trước vầ sau đó ghi
log lại các gói tin.
+ tcp: là giao thức . Có 4 loại giao thức mà Snort hiện đang phân tích các hành vi bất
thường là tcp, udp, icmp, và ip.
+ any … -> any …: địa chỉ IP. Các địa chỉ này dùng để kiểm tra nơi đi và nơi đến của
một gói tin. Địa chỉ IP có thể là địa chỉ của một máy đơn hoặc cũng có thể là địa chỉ của
một lớp mạng. Từ khóa ‘any’ được sử dụng để định nghĩa một địa chỉ bất kì. Trong hai
địa chỉ IP trong một tập luật Snort thì sẽ có một địa chỉ IP nguồn vào địa chỉ IP đích, việc
xác định đâu là nguồn đâu là đích phụ thuộc vào ‘->’ .
+ … 80 -> … any: là cổng, có thể được định nghĩa bằng nhiều cách. Với từ khóa ‘any’
giống như địa chỉ IP để chỉ có thể được sử dụng bất kì cổng nào.
+ ->: điều hướng – chỉ ra đâu là hướng nguồn, đâu là hướng đích. Phần địa chỉ IP và port
ở phía bên trái của toán tử được gọi là địa chỉ và port nguồn, phần bên phải được coi như
địa chỉ đích và port đích.
msg:"vietnamnet.vn web traffic detected": là một từ khóa hữu ích khi muốn gán thêm
một chuỗi văn bản vào log và cảnh báo.
+ content:" vietnamnet.vn ": thiết lập các luật cho phép tìm kiếm các chuỗi cụ thể trong
phần tải của gói tin và kích hoạt các cảnh báo dựa trên các dữ liệu đó.
+ sid:10000: được sử dụng để xách định duy nhất một luật trong Snort. Tùy chọn này cho
phép output plugin có thể định danh các luật một cách dễ dàng.
25. Viết luật trong Snort để phát hiện tấn công quét mạng kiểu SYN SCAN. Giải
thích các tham số trong luật này.
alert tcp any any -> any any (flags: SA; msg:"SYNC-ACK packet detected";)
Giải thích các tham số:
+ alert- cảnh báo: tạo ra cảnh báo sử dụng phương pháp đã lựa chọn trước vầ sau đó ghi

log lại các gói tin.
+ tcp: là giao thức . Có 4 loại giao thức mà Snort hiện đang phân tích các hành vi bất
thường là tcp, udp, icmp, và ip.
+ any … -> any …: địa chỉ IP. Các địa chỉ này dùng để kiểm tra nơi đi và nơi đến của
một gói tin. Địa chỉ IP có thể là địa chỉ của một máy đơn hoặc cũng có thể là địa chỉ của
một lớp mạng. Từ khóa ‘any’ được sử dụng để định nghĩa một địa chỉ bất kì. Trong hai
địa chỉ IP trong một tập luật Snort thì sẽ có một địa chỉ IP nguồn vào địa chỉ IP đích, việc
xác định đâu là nguồn đâu là đích phụ thuộc vào ‘->’ .
+ … any -> … any: là cổng, có thể được định nghĩa bằng nhiều cách. Với từ khóa ‘any’
19


giống như địa chỉ IP để chỉ có thể được sử dụng bất kì cổng nào.
+ ->: điều hướng – chỉ ra đâu là hướng nguồn, đâu là hướng đích. Phần địa chỉ IP và port
ở phía bên trái của toán tử được gọi là địa chỉ và port nguồn, phần bên phải được coi như
địa chỉ đích và port đích.
+ msg:"SYNC-ACK packet detected": là một từ khóa hữu ích khi muốn gán thêm một
chuỗi văn bản vào log và cảnh báo.
+ flags: SA : Từ khóa flag được sử dụng để kiểm tra các bit trong trường TCP Flag của
TCP Header. Các bit này gồm:
F

FIN - Finish (LSB in TCP Flags byte)

S

SYN - Synchronize sequence numbers

R


RST - Reset

P

PSH – Push

A

ACK – Acknowledgment

U

URG – Urgent

26. Dấu hiệu xâm nhập (IOC) là gì? Hãy phân loại IOC.
❖ Indicators of Compromise – IOC: là những thông tin được sử dụng để mô tả khách
quan một xâm nhập mạng, độc lập về nền tảng
Ví dụ: địa chỉ IP của máy chủ C&C, hay tập các hành vi cho thấy email server là SMTP
relay độc hại
● Được trình bày theo nhiều cách thức và định dạng khác nhau để có thể được sử
dụng bởi các cơ chế phát hiện khác nhau
● Nếu được sử dụng trong một ngôn ngữ hoặc định dạng cụ thể có thể trở thành một
phần của một chữ ký.
❖ Phân loại IOC
● IOC cho mạng:
- Là một mẫu thông tin có thể được bắt trên kết nối mạng giữa các máy chủ, mô
tả khách qauan một xâm nhập.
- Ví dụ: đị chỉ IPv4, địa chỉ IPv6, tên miền, chuỗi văn bản, giao thức truyền
thông,…
● IOC cho máy tính:

- Là một mẫu thông tin được tìm thấy trên một máy tính, mô tả khách quan một
xâm nhập
- Ví dụ: tài khoản người dùng, đường dẫn thư mục, tên tiến trình, tên tệp tin,
khóa đăng ký (registry),…
27. Để có thể quản lý được các IOC và chữ ký tốt nhất, cần tuân theo các nguyên tắc
nào? Mô tả sơ bộ về phần mềm quản lý IOC và chữ ký mà bạn biết.
20


- Các nguyên tắc để quản lý IOC và chữ ký tốt nhất:
● Định dạng dữ liệu thô:
● Dễ tiếp cận: chuyên gia có thể truy cập và chỉnh sửa IOC và chữ ký dễ dàng
● Dễ tìm kiếm: nên tồn tại trong một định dạng dễ tìm kiếm
● Dễ theo dõi sửa đổi
● Theo dõi việc triển khai
● Sao lưu dữ liệu
- Phần mềm quản lý IOC và chữ ký: Snort NIDS
Snort có thể nhân dữ liệu bằng cách phân tích một tệp tin PCAP hoặc bằng cách lấy từ
1 giao diện mạng đang giám sát của cảm biến. Khi Snort nhận dữ liệu này, bước đầu tiên
là phân tích bằng các bộ giải mã gói tin. Trong thực tế, đây là 1 loạt các bộ giải mã phân
tích dữ liệu gói và bình thường hóa dữ liệu để thích hợp cho việc phân tích bởi các tiền
xử lý và các công cụ phát hiện.
Khi dữ liệu đã được xử lý bởi các bộ giải mã gói tin, nó được gửi đến các tiền xử ly trong
Snort. Có hai loại tiền xử ly. Loại đầu tiên được sử dụng cho mục đich phát hiện xâm nhập. Loại
thứ hai bao gồm những tiền xử lý được sử dụng để sửa đổi dữ liệu gói, sao cho có thể được phân
tích tốt hơn bởi cac công cụ phát hiện.

Sau khi kết thúc tiền xử lý, dữ liệu được chuyển tới engine phát hiện trong kiến truc Snort.
Engine phat hiện có trách nhiệm phân tích cú pháp các luật và xác định liệu các điều kiện
xác định trong cac luật phu hợp với lưu lượng đang được phân tích hay không.

Khi engine phát hiện xác định rằng lưu lượng phù hợp với luật, nó chuyển dữ liệu qua
các plugin đầu ra xác định trong tệp tin cấu hinh Snort, để từ đo một chuyên gia phân tích có thể
được thông báo về các cảnh bao. Snort có thể ghi log lại theo nhiều định dạng, bao gồm cả các
thông báo đơn dòng trong một tệp tin văn bản, tệp tin CSV, định dạng PCAP chứa lưu lượng phù
hợp với các luật, định dạng XML, Syslog,....

21


28. Phát hiện xâm nhập dựa trên danh tiếng là gì? Làm cách nào để phát hiện tự
động xâm nhập dựa trên danh sách danh tiếng?
❖ Phát hiện dựa trên danh tiếng
● Là một tập con của phát hiện dựa trên chữ ký
● Phát hiện thông tin liên lạc giữa các máy tính được bảo vệ trong mạng và các máy
tính trên Internet có thể bị nhiễm độc do đã từng tham gia vào các hành động độc
hại trước đó
● Kết quả phát hiện dựa trên các chữ ký đơn giản như địa chỉ IP hoặc tên miền
❖ Cách nào để phát hiện tự động xâm nhập dựa trên danh sách danh tiếng
- Phát hiện danh tiếng IP với Snort
● Sử dụng tiền xử lý danh tiếng
● Cần tạo ra một tệp tin gọi là preprocessor_rules trong /etc/NSM/rules của bộ cảm
biến SO
alert ( msg: “REPUTATION_EVENT_BLACKLIST"; sid: 1;gid: 136; rev: 1; metadata:
rule-type preproc ;classtype:bad-unknown; )
● Chỉnh sửa: /etc/nsm/sensor_name/snort.conf
● Bổ sung IP vào: /etc/nsm/rules/black_list.rules
- Phát hiện danh tiếng với Suricata:
● Sửa đổi file cấu hình Suricata.yaml , dựa trên danh sách thủ công giống Snort
- Phát hiện danh tiếng với Bro:
● Thích hợp cho việc phát hiện một số loại IOC, chẳng hạn như địa chỉ IP, tên miền,

địa chỉ thư điện tử và chứng chỉ SSL nhờ sử dụng các tính năng xử lý thông minh
có sẵn được gọi là intel framework
29. So sánh ưu và nhược điểm của 2 hệ thống IDS là Snort và Suricata.
● Ưu điểm
- Cả Suricata và Snort có khả năng phát hiện xâm nhập hệ thống
- “Trong suốt” với người sử dụng lẫn kẻ tấn công
- Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
- Tránh tấn công DOS ảnh hưởng tới 1 host nào đó
- Có khả năng xác định lỗi ở tầng Network (trong mô hình OSI)
- Độc lập với hệ điều hành
● Nhược điểm
- Cả 2 đều có thể tạo ra cảnh báo sai, nhưng nguyên nhân chủ yếu là do điểm
yếu của bộ rules được sử dụng
- Không thể phân tích các traffic đã được encrypt ( ví dụ: SSL, SSH, IPSec,…)
- Đòi hỏi phải được cập nhật các signature mới nhất để thực sự an toàn
- Có độ trễ giữa thời điểm bị attack với thời điểm phát báo động. Khi báo động
được phát ra, hệ thống có thể đã bị tổn hại
- Không cho biết việc attack có thành công hay không
- Giới hạn bang thông

22


-

23




Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×