Giải đề cương giám sát an toàn mạng
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (414.3 KB, 20 trang )
Mục lục
Câu 1. Phòng thủ theo lỗ hổng bào mật và theo nguy cơ.
-
Phòng thủ theo lỗ hổng bảo mật:
Tương đương xây bức tường gạch: vững chắc và bảo vệ được nhiều mục tiêu
Vấn đề: Gạch hỏng theo thời gian, cần khắc phục liên tục
Phòng thủ theo nguy cơ:
Tương đương dùng thủ môn bảo vệ: có thể bị thất bại trong những lần đầu, có
-
thể tích lũy kinh nghiệm để phát triển, thay đổi chiến thuật bảo vệ phù hợp
Ưu điểm: học, thích nghi, và phát triển
Câu 2. Chu trình giám sát ATM
Chu trình NSM bao gồm ba giai đoạn: thu thập dữ liệu, phát hiện xâm nhập, và
phân tích dữ liệu.
Bước 1. Thu thập dữ liệu
Chu trình NSM bắt đầu với bước quan trọng nhất là thu thập dữ liệu. Việc thu
thập dữ liệu được thực hiện với sự kết hợp của cả phần cứng và phần mềm trong
1
việc tạo, sắp xếp và lưu trữ dữ liệu cho việc phát hiện xâm nhập và phân tích dữ
liệu trong hệ thống NSM.
Thu thập dữ liệu là phần quan trọng nhất của chu trình NSM bởi vì các bước
thực hiện ở đây sẽ định hình khả năng của một tổ chức trong việc phát hiện xâm
nhập và phân tích dữ liệu hiệu quả
Thu thập dữ liệu bao gồm các nhiệm vụ như sau:
Xác định các vị trí có nhiều điểm yếu tồn tại trong tổ chức
Xác định các nguy cơ ảnh hưởng đến mục tiêu tổ chức
Xác định nguồn dữ liệu có liên quan
Tinh chế nguồn dữ liệu thu thập được
Cấu hình cổng SPAN để thu thập dữ liệu gói tin
Xây dựng lưu trữ SAN cho lưu giữ nhật ký
Cấu hình phần cứng và phần mềm thu thập dữ liệu
Bước 2. Phát hiện xâm nhập
Phát hiện xâm nhập là quá trình mà qua đó thu thập dữ liệu được kiểm tra và
cảnh báo sẽ được tạo ra dựa trên các sự kiện quan sát được và dữ liệu thu thập
không được như mong đợi. Điều này thường được thực hiện thông qua một số
hình thức chữ ký, sự bất thường, hoặc phát hiện dựa trên thống kê. Kết quả là
tạo ra các dữ liệu cảnh báo.
Phát hiện xâm nhập thường là một chức năng của phần mềm với một số các gói
phần mềm phổ biến như Snort IDS và Bro IDS.
Bước 3. Phân tích dữ liệu
Phân tích là giai đoạn cuối cùng của chu trình NSM, và được thực hiện khi một
người diễn giải và xem xét dữ liệu cảnh báo. Điều này thường sẽ liên quan đến
việc xem xét thu thập dữ liệu bổ sung từ các nguồn dữ liệu khác. Phân tích dữ
liệu có thể được thực hiện với các nhiệm vụ sau:
Phân tích gói tin
Phân tích mạng
Phân tích máy chủ
Phân tích phần mềm độc hại
Phân tích dữ liệu là phần tốn thời gian nhất trong chu trình NSM.
Chu trình NSM kết thúc bằng các bài học kinh nghiệm trong việc phát hiện xâm
nhập và phân tích dữ liệu cho bất kỳ sự bất thường nào và tiếp tục hình thành
các chiến lược thu thập dữ liệu cho tổ chức.
2
Câu 3. Mô tả cách thức để xác định vị trí đặt của cảm biến trong mạng?
Có lẽ quyết định quan trọng nhất phải được thực hiện khi lập kế hoạch thu thập
dữ liệu NSM là vị trí vật lý đặt các cảm biến trên mạng. Vị trí này sẽ quyết định
xem có thể bắt được dữ liệu gì, phát hiện nào có thể có được liên quan đến dữ
liệu đó, và mức độ mở rộng cho việc phân tích được đến đâu.
Không có phương pháp thử và đúng đối với việc xác định nơi để đặt một bộ
cảm biến tốt nhất trên mạng, nhưng có một số thủ thuật và thực hành tốt nhất có
thể giúp tránh được những bẫy thông thường.
Sử dụng các tài nguyên thích hợp. Vị trí đặt cảm biến là mục tiêu của nhóm bảo
mật, do vậy cần phải xác định cách tốt nhất cho việc tích hợp các thiết bị này
vào hệ thống mạng.
Các điểm đi vào/đi ra mạng. Trong trường hợp lý tưởng, và khi các nguồn lực
thích hợp có sẵn, nên đặt một bộ cảm biến ngay tại điểm đi vào/đi ra mạng, như
cổng gateway của Internet, các mạng VPN tuyền thống, và các liên kết đối tác.
Tầm nhìn của địa chỉ Internet cục bộ. Khi thực hiện phát hiện xâm nhập và
phân tích dữ liệu, điều rất quan trọng là khả năng xác định thiết bị nội bộ nào là
đối tượng chính của một cảnh báo.
Đánh giá tài sản quan trọng. Tổ chức cần phải có quy định tài sản nào là quan
trọng nhất cần được bảo vệ.
Tạo các sơ đồ hiển thị cảm biến. Sơ đồ mạng (bao gồm vị trí của các cảm
biến) là vô cùng quan trọng khi được dùng để tham khảo cho quá trình điều tra
của các chuyên gia phân tích.
Câu 4. Mô tả hoạt động thu thập thông tin của từng lớp mạng
Thu thập thông tin là quá trình tập hợp thông tin theo những tiêu chí cụ thể
nhằm làm rõ những vấn đề, nội dung liên quan đến lĩnh vực nhất định.
Thu thập thông tin là quá trình xác định nhu cầu thông tin, tìm nguồn thông tin,
thực hiện tập hợp thông tin theo yêu cầu nhằm đáp ứng mục tiêu đã được định
trước
Đặc điểm:
Thu thập thông tin là hoạt động có tính mục đích.
Thu thập thông tin có tính đa dạng về phương pháp, cách thức.
Thu thập thông tin có thể tìm kiếm từ các nguồn, kênh thông tin khác
nhau.
Thu thập thông tin là một quá trình liên tục, nhằm bổ sung, hoàn chỉnh
thông tin cần thiết
3
Thu thập thông tin chịu tác động của nhiều nhân tố về kỹ năng thu thập
thông tin, kỹ năng sử dụng các phương pháp, cách thức thu thập thông tin
Thu thập thông tin là một khâu trong quá trình thông tin của một tổ chức
Quy trình:
Xác định nhu cầu bảo đảm thông tin
Xác định các kênh và nguồn thông tin
Thiết lập hình thức và chế độ thu thập thông tin
Câu 5. Mô tả một số phương pháp thu thập thông tin theo từng lớp mạng
Thu thập dữ liệu mạng có thể giúp phát hiện tấn công mạng và hỗ trợ quản trị
mạng. Thông qua giám sát, kiểm tra, định cấu hình, kiểm soát và đánh giá thời
gian thực dựa trên dữ liệu mạng, quản trị viên mạng có thể có được hiệu suất hệ
thống mạng, đánh giá Chất lượng dịch vụ (QoS) và tìm ra các điểm lỗi mạng.
Đối với Nhà cung cấp dịch vụ Internet (ISP), dữ liệu mạng đóng vai trò cơ bản
của kế toán lưu lượng. Thông tin khối lượng thống kê của lưu lượng truy cập tác
động đến chính sách của ISP.
Thu thập dữ liệu dựa trên gói:
Gói là một nhà cung cấp dữ liệu rất quan trọng trong các mạng dựa trên
giao thức TCP/IP.
Một nút nguồn gửi các gói bao gồm địa chỉ nguồn và địa chỉ đích đến một
nút đích . Khi đích nhận được các gói, giải mã và tổng hợp được thực thi
để có được dữ liệu dự kiến.
Thu thập dữ liệu dựa trên lưu lượng:
Flow là một tập hợp các gói có cùng đặc điểm đi qua một điểm quan sát
cụ thể trong một khoảng thời gian.
Khi một gói khác đi vào bộ thu, các chính sách của nó như kiểm soát truy
cập được kế thừa từ các gói trước đó trong cùng một luồng.
Câu 6. Trình bày khái niệm giám sát an toàn mạng (NSM – Network
Security Monitoring). Tại sao chúng ta cần hệ thống giám sát an toàn
mạng?
Giám sát an toàn mạng là hoạt động bảo vệ máy tính và dữ liệu khỏi tội phạm
mạng bằng nhiều cách khác nhau.
NSM không phải là:
Quản lý thiết bị
Quản lý sự kiện an ninh
4
Điều tra số cho mạng máy tính
Ngăn chặn xâm nhập
Chúng ta cần hệ thống giám sát an toàn mạng để thực hiện bảo vệ sự an toàn
cho mạng máy tính nói chung và dữ liệu nói riêng.
Câu 7. Hãy phân tích để cho thấy giám sát an toàn mạng khác với phát
hiện xâm nhập?
NSM xuất phát và được ủng hộ bởi những người/tổ chức có tư duy phòng thủ.
Các hoạt động và mục tiêu có thể là: Phá hủy, Phá vỡ, Làm suy giảm, Từ chối,
Đánh lừa, Khai thác, Gây ảnh hưởng, Bảo vệ, Phát hiện, Khôi phục, Ứng phó.
NSM là mô hình mới cho lĩnh vực phát hiện và đã xây dựng được một tập các
đặc tính khác biệt hoàn toàn so với phát hiện xâm nhập truyền thống:
- Phòng chống đến cùng cho dù thất bại: Khi đã chấp nhận là cuối cùng tài sản
có thể bị tổn hại, thì các tổ chức sẽ thay đổi cách bảo vệ tài sản của họ. Thay vì
chỉ dựa vào phòng thủ, các tổ chức cần tập trung thêm vào việc phát hiện và
-
phản ứng.
Tập trung vào tập dữ liệu: Chỉ cung cấp cho các chuyên gia phân tích những
dữ liệu mà họ cần thì họ có thể đưa ra quyết định nhanh và an toàn hơn nhiều.
- Tiến trình theo chu trình:
+ Mô hình phát hiện xâm nhập cũ là một tiến trình tuyến tính đơn giản
-
và thiếu trách nhiệm
+ Tiến trình phát hiện và ứng phó với xâm nhập cần phải có tính chu trình.
Phòng thủ theo nguy cơ: Nếu phòng thủ theo lỗ hổng tập trung vào “làm thế
nào”, thì phòng thủ theo nguy cơ tập trung vào “ai” và “tại sao”
Câu 8. Hãy phân tích các thách thức khi triển khai hệ thống giám sát an
toàn mạng
Sự ra đời của NSM và phòng thủ theo nguy cơ được coi là một bước phát triển
lớn trong an toàn thông tin mạng, tuy nhiên đây vẫn còn là một lĩnh vực mới
nên còn mang nhiều khó khăn, thách thức. Trong khi có một số nỗ lực được đưa
ra nhằm chuẩn hóa thuật ngữ và phương pháp, thì vẫn có một sự chênh lệch lớn
giữa việc viết ra và những gì đang thực sự được thực hiện.
Với một vấn đề an ninh mạng cụ thể, nếu có vài ba người nói chuyện với
nhau, họ sẽ có thể sử dụng các thuật ngữ khác nhau. Đây là vấn đề hạn
chế từ góc độ đào tạo. Với một người muốn thành công trong công việc
5
liên quan đến an ninh mạng, họ phải có một mức độ về kiến thức cơ bản
trước khi bước vào thực tế. Kiến thức ở đây bao gồm lý thuyết chung,
thực hành và các yêu cầu cụ thể về một vấn đề.
Vấn đề về kỹ năng thực hành để có được hiệu quả tốt trong giám sát an
toàn mạng là một vấn đề khá khó khăn. Nguồn nhân lực về NSM không
đủ đáp ứng yêu cầu về kinh nghiệm và kiến thức cần thiết. NSM là một
công việc đòi hỏi kinh nghiệm được thực hiện ở mức cấp cao để có thể
hướng dẫn nhân viên cơ sở. Tuy nhiên, hầu hết các nhân viên từ mức
trung đến mức cao đều thường khó khăn trong việc duy trì công việc, và
họ kết thúc trong vai trò tư vấn hoặc một vị trí quản lý.
Vấn đề cuối cùng cần nhắc đến như là một thách thức lớn cho sự phát
triển của NSM là chi phí cần thiết để thiết lập và duy trì một chương trình
NSM. Chi phí bao gồm phần cứng cần thiết để thu thập và phân tích
lượng dữ liệu lớn được tạo ra từ các chức năng NSM, phần lớn chi phí
nữa là cho lực lượng lao động cần thiết làm phân tích NSM, và chi phí để
hỗ trợ cơ sở hạ tầng NSM cho các chuyên gia phân tích.
Câu 9. Trình bày ưu điểm và nhược điểm của một hệ thống giám sát an
toàn mạng
Ưu điểm
Nhược điểm
1. Không tự ngăn chặn sự cố
1. Có thể được điều chỉnh trong
Mỗi IDS không thể ngăn chặn
nội dung của gói mạng
được các cuộc tấn công, nó chỉ
Tường lủa hiển thị các cổng và
giúp phát hiện ra cuộc tấn công
địa chỉ IP được sử dụng giữa 2
đó. Vậy nên IDS chỉ là một
máy chủ. Ngoài ra, NIDS có thể
phần trong kế hoặc ứng phó lại
hiển thị nội dung bên trong gói
các cuộc tán công
tin, dùng để phát hiện xâm
2. Cần người quản lý có kinh
nhập như tấn công, khai thác,
nghiệm
thiết bị đầu cuối bị xâm nhập
IDS vô cùng hữu ích cho việc
làm một phần của botnet
giám sát mạng, tính hữu dụng
2. Có thể xem dữ liệu trong ngữ
của IDS phụ thuộc vào việc
cảnh của giao thức
chúng ta sử dụng thông tin mà
Khi NIDS thực hiện phân tích
IDS cung cấp. Vì IDS không
giao thức, nó sẽ xem xét tải
ngăn được các cuộc tấn công
trong TCP hoặc UDP, các cảm
nên không hiệu quả khi ta thêm
biến có thể phát hiện các hoạt
lớp bảo mật trừ khi có nhân
viên, chính sách quản lý.
động đáng ngờ vì chúng biết
3. Không xử lý được các gói đã
các thức các giao thức nên
được mã hóa
hoạt động.
IDS không thể đọc được các dữ
3. Có thể hội xác định loại và
liệu khi đã được mã hóa, khi đó
6
định lượng tấn công
IDS phân tích số lượng và hoạt
động tấn công, thông tin này
có thể được sử dụng để thực
hiện thay đổi hệ thống bảo
mật hoặc thực hiện các điểu
khiển mới với hiệu quả lớn
hơn. Có thể phân tích để xác
định lỗi hoặc các vấn đề cấu
hình mạng. Các số liệu sau đó
có thể được dùng để đánh giá
các rủi ro trong tương lai
4. Giúp theo kịp với quy định dễ
dàng hơn
Vì IDS cung cấp cung cấp khả
năng hiển thị lớn hơn trên
mạng. Chúng giúp dễ dàng đáp
ứng các quy định bảo mật
5. Tăng hiệu quả
Các cảm biến IDS có thể phát
hiện các thiết bị mạng và máy
chủ, họ có thể kiểm tra dữ liệu
trong gói mạng, xác định các
dịch vụ hoặc hệ điều hành
được sử dụng. Tiết kiệm rất
nhiều thời gian khi làm thủ
công. Một IDS có thẻ được tự
động hóa phần cứng, những
hiệu quả này giúp giảm yếu tố
con người, bù đắp chi phí cho
việc triển khai IDS
4.
5.
6.
7.
chúng sẽ được thông qua. IDS
sẽ không phát hiện ra khi các
gói tin này gây tác hại sâu
trong hệ thống.
Gói IP vẫn có thể bị giả mạo
Thông tin từ một gói tin IP
được đọc bởi IDS nhưng địa
chỉ mạng vẫn có thể bị giả
mạo. Nó sẽ làm cho mối đe dọa
khó bị phát hiện hơn
Cảnh báo sai thường xuyên
Trong một số trường hợp cảnh
báo sai nhiều hơn các cảnh báo
thực về các mối đe dọa thực sự.
Chúng ta vẫn có thể giảm thiểu
các cảnh báo giả này bằng cách
cài đặt. Các chuyên gia vẫn
phải thực hiện xem xét các
cảnh báo sai này. Nếu không
rất có thể bị lọt các cuộc tấn
công thực sự
Dễ bị tấn công dựa trên giao
thức
NIDS có thể bị lỗi khi đọc các
giao thực, dữ liệu không hợp lệ
Thư viện cấn được cập nhập
liên tục để phát hiện các mối
đe dọa mới nhất
IDS chỉ tốt khi có bộ thư viện
đầy đủ, nếu thư viện không
được cập nhập các cuộc tấn
công mới thì nó sẽ không thể
bảo vệ chúng ta. Như vậy các
cuộc tấn công mới nhất sẽ là
mối lo ngại lớn nhất của hệ
thống.
Câu 10: Hệ thống phát hiện xâm nhập trái phép(IDS- Intrusion detection
system) là gì? Vẽ sơ đồ kiến trúc của 1 hệ thống IDS, giải thích tóm tắt.
IDS (Intrusion Detection Systems - Hệ thống phát hiện xâm nhập) là thiết bị
hoặc phần mềm có nhiệm vụ giám sát traffic mạng, các hành vi đáng ngờ và
7
cảnh báo cho admin hệ thống. Mục đích của IDS là phát hiện và ngăn ngừa các
hành động phá hoại bảo mật hệ thống, hoặc những hành động trong tiến trình
tấn công như dò tìm, quét các cổng. IDS cũng có thể phân biệt giữa những cuộc
tấn công nội bộ (từ chính nhân viên hoặc khách hàng trong tổ chức) và tấn công
bên ngoài (từ hacker). Trong một số trường hợp, IDS có thể phản ứng lại với
các traffic bất thường/độc hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn
truy cập mạng.
Kiến trúc của hệ thống IDS bao gồm các thành phần chính:
Thành phần thu thập gói tin (information collection)
Thành phần phân tích gói tin (Dectection).
Event generator: máy phát hiện sự kiện.
Thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một
tấn công của tin tặc.
Trong 3 thành phần này thì thành phần phân tích gói tin là một thành
phần quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết
định.
Bộ cảm biến được tích hợp với thành phần sưu tập dữ liệu – một bộ tạo
sự kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện để
định nghĩa chế độ lọc thông tin sự kiện.
Câu 11: Hãy mô tả 2 phương pháp Signature-based và Anomaly-based
được sử dụng trong hệ thống phát hiện xâm nhập trái phép (IDS) để đảm
bảo an toàn mạng.
Signature-Based: Là các IDS hoạt động dựa trên chữ ký, giám sát các
gói tin trên mạng và so sánh chúng với cơ sở dữ liệu chữ ký, thuộc tính từ
những mối đe dọa đã biết, tương tự như cách phần mềm diệt virus hoạt
8
động. Vấn đề đối với hệ thống IDS này là có thể không phát hiện ra mối
đe dọa mới, khi chữ ký để nhận biết nó chưa được IDS kịp cập nhật.
Anomaly-Based: IDS này sẽ phát hiện mối đe dọa dựa trên sự bất
thường. Nó giám sát traffic mạng và so sánh với baseline đã được thiết
lập. Baseline sẽ xác định đâu là mức bình thường của mạng: loại băng
thông thường được dùng, giao thức thường dùng, cổng và thiết bị thường
kết nối với nhau, cảnh báo cho quản trị viên mạng hoặc người dùng khi
phát hiện traffic truy cập bất thường hoặc những khác biệt đáng kể so với
baseline.
Câu 12. So sánh hệ thống giám sát an toàn mạng (NSM - Network Security
Monitoring) với hệ thống phát hiện xâm nhập trái phép (IDS - Intrusion
Detection System).
NSM
IDS
Giống nhau - Đều là các hệ thống giám sát và phát hiện xâm nhập, ngăn chặn
các truy nhập trái phép vào hệ thống.
- Các bước tổng quát của cả NSM và IDS: đều trải qua 3 bước
chính là thu thập dữ liệu, phân tích dữ liệu và phản hồi (cảnh báo
cho người quản trị)
Khác nhau
- Thu thập các thông tin trên
- Thiết bị hoặc phần mềm có
các thành phần của hệ thống,
nhiệm vụ giám sát traffic mạng,
phân tích các thông tin, dấu
các hành vi đáng ngờ và cảnh
hiệu nhằm đánh giá và đưa ra
báo cho admin hệ thống.
các cảnh báo cho người quản
trị hệ thống.
- Các đối tượng:
- Đối tượng: lưu lượng mạng.
Các máy trạm
Cơ sở dữ liệu
Các ứng dụng
Các server
Các thiết bị mạng.
- Các hoạt động: phát hiện xâm
-Một số các hoạt động: phá
hủy,làm suy giảm,từ chối,đánh nhập, cảnh báo cho quản trị
viên.
lừa,khai thác,….
Câu 13: Hệ thống ngăn chặn xâm nhập trái phép (IPS) là gì? So sánh IPS
với hệ thống phát hiện xâm nhập trái phép (IDS).
IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ thống
theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn. Chức
9
năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin
này. Sau đó kết hợp với firewall để dừng ngay các hoạt động này, và cuối cùng
đưa ra các báo cáo chi tiết về các hoạt động xâm nhập trái phép trên. Hệ thống
IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt động
cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác nhau duy nhất
là hệ thống IPS ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn
chặn kịp thời các hoạt động nguy hại đối với hệ thống. Hệ thống IPS sử dụng
tập luật tương tự như hệ thống IDS.
Giống nhau
Khác nhau
IPS
IDS
Cả IPS/IDS đều đọc các gói mạng và so sánh nội dung với cở sở
dữ liệu về các mối de dọa đã biết.
- IPS là một hệ thống chủ động
- IDS là các hệ thống phát hiện
thực hiện các bước để ngăn chặn các hoạt động không phù hợp,
sự xâm nhập hoặc tấn công khi
không chính xác hoặc bất
xác định được nó.
thường trong mạng và báo cáo
- IPS có thể được coi là một
chúng. Hơn nữa, IDS có thể
phần mở rộng của IDS, có khả
được sử dụng để phát hiện xem
năng bổ sung để ngăn chặn sự
mạng hoặc máy chủ có bị xâm
xâm nhập trong khi phát hiện ra nhập trái phép hay không.
chúng.
Câu 14: Hãy mô tả các kỹ năng cần có của một chuyên gia phân tích an
toàn mạng.
Chuyên gia phân tích hệ thống NSM:
Kỹ năng cần thiết:
Phòng thủ theo nguy cơ, NSM, và chu trình NSM
Chồng giao thức TCP/IP
Các giao thức tầng ứng dụng
Phân tích gói tin
Kiến trúc Windows
Kiến trúc Linux
Phân tích dữ liệu cơ bản (BASH, Grep, SED, AWK,...)
Cách sử dụng IDS (Snort, Suricata,...)
Chỉ dẫn tấn công và hiệu chỉnh chữ ký IDS
Mã nguồn mở
Phương pháp chẩn đoán phân tích cơ bản
Phân tích phần mềm mã độc cơ bản
10
Câu 15. Trong giám sát an toàn mạng, chúng ta cần thu thập các loại dữ
liệu nào? Nêu một vài công cụ mã nguồn mở hỗ trợ việc thu thập dữ liệu
mà anh/chị biết.
Các loại dữ liệu NSM:
Dữ liệu bắt gói tin đầy đủ (FPC): Cung cấp dữ liệu về tất cả dữ liệu được
truyền giữa 2 điểm đầu cuối.
Dữ liệu phiên: Tóm tắt thông tin của 2 thiết bị mạng
Dữ liệu thống kê: Dữ liệu tổ chức, phân tích thống kê dữ liệu khác
Dữ liệu kiểu chuỗi trong gói tin(PSTR): Là dữ liệu trung gian giữa FPC
và dữ liệu phiên
Dữ liệu nhật ký: các tệp tin nhật ký thô
Dữ liệu cảnh bảo: Mô tả cảnh báo khi có dữ liệu bất thường.
Câu 16. Dữ liệu có nội dung đầy đủ (Full content data) là gì? Làm thế nào
để có thể thu thập được dữ liệu có nội dung đầy đủ?
Dữ liệu bắt gói tin đầy đủ (dữ liệu FPC): cung cấp thông tin đầy đủ về tất cả
các gói dữ liệu được truyền giữa hai điểm đầu cuối. Các loại dữ liệu FPC phổ
biến nhất là theo định dạng dữ liệu PCAP. Loại dữ liệu này được sử dụng nhiều
nhất và được đánh giá cao về giá trị do tính chất đầy đủ của nó, và rất phù hợp
trong ngữ cảnh phân tích. Các loại dữ liệu khác, như dữ liệu thống kê hay dữ
liệu chuỗi trong gói tin, thường bắt nguồn từ dữ liệu FPC.
Thu thập dữ liệu có nội dung đầy đủ:
1. Một số công cụ thu thập dữ liệu có nội dung đầy đủ
11
a) Dumpcap
- Là một công cụ đơn giản bắt gói tin từ một giao diện mạng và ghi chúng vào
-
đĩa
Có thể bắt các gói tin bằng cách gọi công cụ Dumpcap và chọn một giao diện
mạng: dumpcap -i eth1
Hạn chế:
+ Không phù hợp trong tình huống cần hiệu suất cao khi mức thông lượng
cao, có thể dẫn đến các gói tin bị mất
+ Sự đơn giản của công cụ này làm hạn chế tính linh hoạt của nó
b) Daemonlogger
- Là một ứng dụng ghi log gói tin được thiết kế đặc biệt để sử dụng trong môi
-
trường NSM, thuộc chương trình phát triển IDS
Sử dụng libpcap để bắt gói tin từ mạng, gồm có hai chế độ hoạt động:
+ Chế độ hoạt động chính là để bắt các gói tin từ mạng và ghi chúng trực
tiếp vào đĩa.
+ Chế độ còn lại cho phép bắt gói tin từ mạng và ghi vào một giao diện
-
mạng thứ hai
Daemonlogger thực hiện tốt hơn so với Dumpcap tại mức thông lượng cao, nó
vẫn có thể bị hạn chế trong một số môi trường doanh nghiệp lớn hơn.
c) Netsniff-NG
- Là một công cụ bắt gói hiệu suất cao.
- Không dựa vào libpcap mà sử dụng cơ chế zero-copy: bắt gói tin đầy đủ trên
-
-
các liên kết thông lượng cao
Bắt gói với cơ chế RX_RING zero-copy, truyền gói tin với TX_RING
+ Có khả năng đọc các gói tin từ một giao diện và chuyển hướng chúng
vào một giao diện khác.
+ Khả năng lọc các gói tin bị bắt giữa các giao diện
Để bắt gói tin với Netsniff-NG, cần phải xác định một đầu vào và một đầu ra:
netsniff-ng -i eth1 -o data.pcap
2. Cách thực hiện
- Lựa chọn công cụ thu thập:
+ Dumpcap và Daemonlogger thường làm việc tốt trong hầu hết các tình
huống có ít hoặc không mất gói tin.
+ Tuy nhiên, thông lượng càng lớn thì càng dễ mất gói tin. Cần công cụ
như Netsniff-NG để hoạt động trong môi trường có tỷ lệ lưu lượng rất
-
cao.
Lập kế hoạch thu thập:
12
+ Những cân nhắc khi lưu trữ
+ Tính thông lượng giao diện cảm biến với Netsniff-NG và IFPPS:
• IFPPS là một phần của Netsniff-NG
• IFPPS tạo ra số liệu thống kê chi tiết thông lượng hiện tại của
giao
• diện được chọn, các dữ liệu khác liên quan đến CPU, đĩa I/O và
thống kê hệ thống khác.
• Hạn chế: không cung cấp chức năng để áp dụng một bộ lọc tới
-
-
giao diện đang bắt gói tin -> khó muốn giảm bớt FPC
+ Tính thông lượng giao diện cảm biến với dữ liệu phiên:
• Là cách linh hoạt nhất để tính toán, thống kê thông lượng.
• Sử dụng công cụ rwfilter, rwcount và rwstats trong SiLK
Giảm tải cho lưu trữ dữ liệu:
+ Loại bỏ dịch vụ:
• Loại bỏ lưu lượng được tạo ra bởi các dịch vụ riêng lẻ
• Xác định các dịch vụ thích hợp trong chiến lược này nhờ sử dụng
rwstats
+ Loại bỏ lưu lượng host tới host:
• Là loại bỏ các liên lạc giữa các host cụ thể
• Sử dụng rwstat để xác định các cặp IP có lưu lượng lớn nhất
Quản lý dữ liệu thu thập:
+ Quản lý dữ liệu thu thập dựa trên thời gian: Dễ dàng cho quản lý tự
động
+ Quản lý dữ liệu thu thập dựa trên kích thước: Khó khăn hơn
• Xóa tệp tin PCAP lưu cũ nhất khi khối lượng lưu trữ vượt quá
một tỷ lệ phần trăm nào đó đã sử dụng trên không gian đĩa
• Có thể sử dụng Daemonlogger để thực hiện.
Câu 17. Dữ liệu phiên (Session data) là gì? Làm thế nào để có thể thu thập
được dữ liệu phiên?
Dữ liệu phiên:
Là bản tóm tắt các thông tin liên lạc giữa 2 thiết bị.
Giống như một cuộc hội thoại hoặc một luồng lưu lượng.
Cung cấp giá trị đáng kể cho chuyên gia NSM.
Thu thập dữ liệu phiên:
Cần 2 thành phần: Bộ sinh luồng, bộ thu thập dữ liệu.
13
Bộ sinh luồng: là phần cứng hoặc phần mềm nhằm tạo ra các luồng dữ
liệu.
Bộ thu thập dữ liệu: là phần mềm, có tác dụng nhận luồng dữ liệu từ bộ
sinh luồng và lưu chúng lại theo định dạng có thể khôi phục được.
Sinh luồng dữ liệu từ dữ liệu FPC trong thu thập FPC: Gây mất dữ liệu,
phương pháp này không được khuyến khích
Thường bắt dữ liệu trực tiếp trên liên kết: thực hiện qua phần mềm máy
tính hoặc thông qua bộ định tuyến.
Sinh luồng dữ liệu theo phần cứng:
o Tạo ra một số phiên bản dữ liệu luồng từ phần cứng hiện có.
o Bộ định tuyến có khả năng thu nhận luồng sẽ được cấu hình với địa
chỉ mạng của bộ thu thập dữ liệu đích và luồng dữ liệu từ giao diện
của bộ định tuyến sẽ được gửi tới đích đó.
Sinh luồng dữ liệu theo phần mềm:
o Đa số các cài đặt NSM đều dựa trên sinh theo trên phần mềm.
o Có nhiều ưu điểm vượt trội, trong đó ưu điểm lớn nhất là sự linh
hoạt khi triển khai phần mềm
Câu 18. Dữ liệu kiểu chuỗi là gì? Làm thế nào để có thể thu thập được dữ
liệu kiểu chuỗi?
Dữ liệu kiểu chuỗi trong gói tin: Packet String Data –PSTR:
Là một lựa chọn dữ liệu mà con người có thể đọc được, lấy từ dữ liệu
FPC
Có thể xuất hiện dưới nhiều hình thức khác nhau
Thu thập dữ liệu PSTR:
Đầu tiên, cần xem xét mức độ của các dữ liệu PSTR muốn thu thập
Cần chú ý vào nhu cầu lưu trữ dữ liệu PSTR
Thu thập dữ liệu PSTR từ mạng và thu thập từ dữ liệu FPC
Tự động tạo ra dữ liệu PSTR hoặc thủ công
Thu thập dữ liệu với URLSnarf
Thu thập dữ liệu với Httpry
14
Câu 19. Dữ liệu thống kê (Statistical data) là gì? Làm thế nào để có thể thu
thập được dữ liệu thống kê? Hãy mô tả một số công cụ được sử dụng trong
việc thu thập/lưu/theo dõi các hoạt động mạng liên quan đến dữ liệu thống
kê.
Dữ liệu thống kê: Là dữ liệu tổ chức, phân tích, giải thích và biểu diễn các loại
dữ liệu khác. Dữ liệu thống kê có thể bao gồm nhiều hình thức khác nhau.
Thu thập dữ liệu thống kê: Sử dụng Cảm biến chỉ thu thập dữ liệu (collectiononly sensor). Đơn giản là ghi nhật ký những dữ liệu đã thu thập như FPC và dữ
liệu phiên vào đĩa, và đôi khi tạo ra dữ liệu khác (dữ liệu thống kê và PSTR)
dựa trên những gì đã thu thập được.
Mô tả công cụ Rwstats: Rwstats tạo ra các dữ liệu thống kê dựa trên các
trường giao thức chỉ định.
Rwcount đếm gói tin và byte dữ liệu.
Rwcut chọn lựa các trường dữ liệu còn rwuniq có thể giúp phân loại.
Rwidsquery có thể nhận đầu vào là file luật của Snort hay file cảnh báo,
và giúp chỉ ra luồng nào từ dữ liệu đầu vào tương ứng với luật hoặc cảnh
báo, từ đó tạo ra lời gọi rwfilter để tạo ra luồng phù hợp.
Câu 20. Dữ liệu cảnh báo (Alert data) là gì? Làm thế nào để có thể thu thập
được dữ liệu cảnh báo?
Dữ liệu cảnh báo: Khi công cụ phát hiện ra bất kỳ một bất thường nào trong dữ
liệu mà nó kiểm tra, thì nó sẽ tạo ra một loại dữ liệu gọi là dữ liệu cảnh báo. Dữ
liệu này thường chứa mô tả của các cảnh báo, và một con trỏ chỉ đến dữ liệu bất
thường. Nói chung, kích thước của dữ liệu cảnh báo thường rất nhỏ, có khi chỉ
là con trỏ chỉ đến dữ liệu khác. Việc phân tích NSM thường dựa trên các thế hệ
của dữ liệu cảnh báo.
Thu thập dữ liệu cảnh báo: Phát hiện xâm nhập là một chức năng của phần
mềm thực hiện phân tích các dữ liệu thu thập được để tạo ra dữ liệu cảnh báo.
Dữ liệu cảnh báo được tạo ra bởi các cơ chế phát hiện được chuyển tới chuyên
gia phân tích, và đó là khi việc phân tích bắt đầu. Để phát hiện thành công, cần
chú ý đến việc lựa chọn cơ chế phát hiện và đầu vào thích hợp.
Câu 21. Phần mềm Snort được sử dụng để làm gì? Hãy mô tả tóm tắt các
chức năng của phần mềm này?
Snort là một hệ thống phát hiện xâm nhập mạng, viết tắt là NIDS (Network
intrusion detection system). Snort là một mã nguồn mở miễn phí với nhiều tính
15
năng tuyệt vời trong việc bảo vệ hệ thống bên trong, phát hiện và ngăn chặn sự
tấn công từ bên ngoài vào hệ thống.
Các luồng gói tin được đưa vào Snort thông qua Data Flow gồm 3 bước: giải mã
gói tin, tiền xử lý, công cụ phát hiện sau đó sẽ qua giai đoạn đầu ra để xem dữ
liệu là các thông báo hay là các nhật ký.
Cấu trúc của Snort: Snort bao gồm 6 phần với 6 chức năng khác nhau:
Mô đun giải mã gói tin (Packet Decoder)
Mô đun tiền xử lý (Preprocessors)
Mô đun phát hiện (Detection Engine)
Mô đun log và cảnh báo (Logging and Alerting System)
Mô đun kết xuất thông tin (Output Module)
Câu 22. Viết luật trong Snort để phát hiện ra có gói tin ping đến hệ thống
mạng. Giải thích các tham số trong luật này.
16
alert ICMP any any -> any any (msg: "ALERT PING"; sid:1000005)
Giải thích:
alert: là hành động
ICMP là giao thức tương ứng với ping
Any1: là địa chỉ ip nguồn( để any là bao gồm tất cả)
Any2: là địa chỉ cổng nguồn
-> là hướng
Any3: địa chỉ đích
Any 4 : là cổng đích
(msg: "ALERT PING"; sid:1000005) là tham số tùy chọn trong đó
Msg là thông điệp cảnh báo
Sid là id phiên
Câu 23. Viết luật trong Snort để phát hiện người dùng đang truy cập trang
web vietnamnet.vn . Giải thích các tham số trong luật này.
Sử dụng CMD dùng lệnh nslookup tìm ip trang vietnamnet.vn
Cmd > nslookup vietnamnet.vn
Tìm được ip vietnamnet.vn là 123.30.184.9
Luật snort: alert tcp any any -> 123.30.184.9 any (msg: "GOING
Vietnamnet.vn"; sid:1000005)
Câu 24. Viết luật trong Snort để phát hiện tấn công quét mạng kiểu SYN
SCAN. Giải thích các tham số trong luật này.
alert tcp any any -> any any (flags: S; msg: " Possible SYN scan ";
sid:1000005)
flags: S sử dụng để quét mạng SYN trong TCP
Câu 25. Viết luật trong Snort để phát hiện tấn công DOS, DDOS, Tấn công
vét cạn. Giải thích các tham số trong luật này.
DOS:
alert tcpalert
any
any
->again
$HOME_NET
80 (flags:
S; msg:"Possible
DoS
Type
: :
flood";
flow:stateless;
sid:3;
detection_filter:track
by_dst,
count
20, Attack
seconds
SYN
flooding.
Wetcp
once
open
the
file
and
add the
following
in a new
line
any
any
->
any
80 local.rules
(flags:
S; msg:"Possible
DoS
Attack
Type
:10;)
SYN
flood"; flow:stateless; sid:3; detection_filter:track by_dst, count 4, seconds 20;)
Theo dõi 4 cảnh báo trong 20s theo dõi bởi đích do nếu để cảnh báo liên tục thì
sẽ liên tục cảnh báo. Gây dữ liệu dư thừa nhiều. Lọc 4 cảnh báo trong 20s thì
tránh được cảnh báo liên tục.
17
Câu 26. Dấu hiệu xâm nhập (IOC) là gì? Hãy phân loại IOC.
Khái niệm IOC:
Indicators of Compromise – IOC: là những thông tin được sử dụng để mô
tả khách quan một xâm nhập mạng, độc lập về nền tảng. Ví dụ: địa chỉ IP
của máy chủ C&C, hay tập các hành vi cho thấy email server là SMTP
relay độc hại
Được trình bày theo nhiều cách thức và định dạng
Khác nhau để có thể được sử dụng bởi các cơ chế phát hiện khác nhau
Nếu được sử dụng trong một ngôn ngữ hoặc định dạng cụ thể trở thành
một phần của một chữ ký. Một chữ ký có thể chứa một hoặc nhiều IOC.
Phân loại IOC:
IOC cho mạng: Là một mẫu thông tin có thể được bắt trên kết nối mạng
giữa các máy chủ, mô tả khách quan một xâm nhập. Ví dụ: địa chỉ IPv4,
địa chỉ IPv6, tên miền, chuỗi văn bản, giao thức truyền thông,…
IOC cho máy tính: Là một mẫu thông tin được tìm thấy trên một máy
tính, mô tả khách quan một xâm nhập. Ví dụ: tài khoản người dùng,
đường dẫn thư mục, tên tiến trình, tên tệp tin, khóa đăng ký (registry),…
IOC tĩnh: Là những IOC mà giá trị được định nghĩa một cách rõ ràng Có
ba biến thể của IOC tĩnh: đơn vị (hay còn gọi là nguyên tố), được tính
toán, và hành vi IOC TĨNH
IOC đơn vị: Là các IOC cụ thể và nhỏ mà không thể chia được tiếp thành
các thành phần nhỏ hơn nữa, nhưng vẫn có ý nghĩa trong tình huống một
xâm nhập
IOC hành vi: Là tập các IOC đơn vị và IOC được tính toán được kết hợp
với nhau theo một số hình thức logic, dung để cung cấp cho một số tình
huống hữu dụng.
Câu 27. Phát hiện xâm nhập dựa trên danh tiếng là gì? Làm cách nào để
phát hiện tự động xâm nhập dựa trên danh sách danh tiếng?
Danh tiếng: Được sử dụng để phát hiện và ngăn chặn các liên lạc với các địa
chỉ IP nhất định dựa trên danh tiếng.
Để thực hiện phát hiện dựa trên danh tiếng cần có hai thành phần. Đầu tiên, cần
ít nhất một danh sách các IP hoặc tên miền với danh tiếng xấu. Sau khi có ít
nhất một danh sách, cần đưa nội dung của danh sách vào một số loại hình cơ
chế phát hiện xâm nhập dựa trên các mục trong danh sách. Có một số tùy chọn
cho việc tự động hóa các nhiệm vụ này như sau:
18
Phát hiện danh tiếng IP với Snort Trong quá khứ: Phát hiện dựa trên
danh tiếng cho các địa chỉ IP với Snort được thực hiện với các luật chuẩn.
Để giải quyết được vấn đề này, tiền xử lý danh tiếng đã được phát triển.
Tiền xử lý này chạy trước tất cả các tiền xử lý khác một cách có hiệu quả.
Phát hiện danh tiếng IP với Suricata: Suricata nhanh chóng phổ biến
như một thay thế cho Snort trong việc phát hiện xâm nhập dựa trên chữ
ký. Điều này chủ yếu là do khả năng kiểm tra lưu lượng truy cập đa
luồng, làm cho nó thích hợp hơn khi giám sát kết nối thông lượng cao.
Suricata cũng sử dụng cú pháp luật tương tự như Snort, nên các luật có
thể được sử dụng bởi cả hai công cụ này.
Câu 28. So sánh ưu và nhược điểm của 2 hệ thống IDS là Snort và Suricata.
Ưu
điểm
Snort
- Phổ biến nhất trong thế
giới do có nhiều tính năng
mạnh mẽ và linh hoạt.
- Nhiều tính năng trở thành
tiêu chuẩn cho ngành công
nghiệp IDS
- Chi phí thấp
- Khó xóa bỏ dấu vết
- Phát hiện và đối phó kịp
thời
- Có tính độc lập cao
Suricata
- Thay thế cho Snort trong
việc phát hiện xâm nhập
dựa trên chữ ký.
- Khả năng kiểm tra lưu
lượng truy cập đa luồng,
thích hợp hơn khi giám sát
kết nối thông lượng cao.
- Sử dụng cú pháp luật
tương tự như Snort
- Áp dụng trong các hệ
thống nhỏ
Nhượ
c điểm
- Bị hạn chế với Switch
- Bị hạn chế về hiệu năng
với gói tin trong mạng
rộng băng thông lớn
- Tăng thông lượng mạng
- Thường sử dụng trong
- Không thể phát hiện các
cuộc tấn công mới, chưa
có dấu hiệu biết trước
hoặc các luật đã thiết lập
nghiên cứu, không áp
19
dụng trong hệ thống của
doanh nghiệp
20
