Giới thiệu Splunk là một tập đoàn đa quốc gia của Mỹ có trụ sở tại San Francisco, California,làm phần mềm để thu thập Log, tìm kiếm, theo dõi và phân tích dữ liệu lớn big data domáy tạo
Trang 1BAN CƠ YẾU CHÍNH PHỦ
Trang 2MỤC LỤC
1 Điều kiện tiên quyết 2
2 Giới thiệu 2
3 Kịch bản thực hành 2
4 Mục tiêu bài thực hành 2
5 Tổ chức thực hành 3
6 Môi trường thực hành 3
6.1 Phần cứng, phần mềm 3
6.2 Máy ảo và công cụ 3
7 Sơ đồ thực hành 4
8 Các nhiệm vụ cần thực hiện 4
Nhiệm vụ 1 Cài đặt tường lửa Pfsense trên HĐH Linux FreeBSD 64 bit 4
Nhiệm vụ 2 Cấu hình tường lửa Pfsense 8
Nhiệm vụ 3 Cài đặt phần mềm Splunk trên HĐH Linux 10
Nhiệm vụ 4: Cài đặt win 2k8 vào giao diện quản trị của Pfsense và Splunk 14
Nhiệm vụ 5 : Thu thập Log từ Pfsense vào Splunk 16
9 Đánh giá bài thực hành 20
Trang 3Thông tin phiên bản bài thực hành
Phiên
bản
Trang 41 Điều kiện tiên quyết
Không
2 Giới thiệu
Splunk là một tập đoàn đa quốc gia của Mỹ có trụ sở tại San Francisco, California,làm phần mềm để thu thập Log, tìm kiếm, theo dõi và phân tích dữ liệu lớn (big data) domáy tạo ra, thông qua một giao diện web nhằm giải quyết nhiều bài toán khác nhau củacác tổ chức, doanh nghiệp như trong việc giám sát, vận hành hệ thống, điều tra sựcố.v.v Phần mềm Splunk thu thập, đánh chỉ mục dữ liệu, tìm kiếm trong thời gian thựctrong một kho lưu trữ dữ liệu có thể tìm kiếm, từ đó nó tạo ra các đồ thị, báo cáo, cảnhbáo, biểu đồ
PfSense là một ứng dụng có chức năng định tuyến vào tường lửa mạnh và miễnphí, ứng dụng này sẽ cho phép bạn mở rộng mạng của mình mà không bị thỏa hiệp về sựbảo mật
Trong bài thực hành này, chúng ta sẽ bước đầu tiếp cận với phần mềm splunk vàPfsense thông qua việc triển khai cài đặt sản phẩm trên môi trường Linux
Splunk là công vụ hỗ trợ thu thập log từ hệ điều hành, tường lửa, các thiết bị khác.Đối với hệ thống cần thu thập thông tin dữ liệu Splunk là công thường được sử dụng mộtcách dễ dàng nhất Trong mô hình thực hành ta thiết lập tường lửa Pfsense để kết nốimạng bên trong với bên ngoài Cấu hình Pfsense để hoạt động mạng một cách tốt nhất.Mạng bên trong cấu hình máy chủ chạy Splunk thông qua giao diện ta có thể quản lýđược log của các thiết bị Cấu hình lấy log từ Pfsense đẩy xuống máy chủ Splunk để thuthập các event log và phân tích hoạt động của Pfsense Ta thiết lập 2 giao diện splunk vàPfsense để quản trị một cách dễ dàng Bài thực hành dưới hướng dẫn chi tiết ta cách càiđặt cấu hình Pfsense và splunk, cách thu thập thông tin log từ Pfsense vào splunk
4 Mục tiêu bài thực hành
Bài thực hành này nhằm giúp sinh viên học và hiểu về:
- Cài đặt tường lửa Pfsense trên môi trường Linux
- Cấu hình tường lửa Pfsense theo mô hình sử dụng giao diện Web
- Cài đặt phần mềm splunk trên HĐH Linux
- Thu thập logs từ pfsense vào splunk để phân tích
Trang 5 Cấu hình tối thiểu: Intel Core i3, 4GB RAM, 50 GB ổ cứng
Yêu cầu phần mềm trên máy:
Hệ điều hành trên máy tính: Windows 7 64bit trở lên
Phần mềm ảo hóa VMWare Workstation 15.0 trở lên
Yêu cầu kết nối mạng Internet: có
6.2 Máy ảo và công cụ
Máy ảo: 03 máy Trong đó:
Máy ảo 1 (Pfsense trên Linux):
Máy ảo 2 (Win Server 2008):
Máy ảo 3 (Centos ):
Các công cụ cần chuẩn bị cho bài thực hành:
File ISO cài đặt Pfsense trên HDH Linux
File ISO cài đặt Centos và file Splunk cài trên centos
Trang 6Máy Winserver 2k8 đóng vai trò là 1 máy bên trong mạng LAN, kết nối tới 1 giao
diện của tường lửa để quản trị và giao diện của Splunk
Máy Centos (Spluck) đóng vai trò là 1 máy chủ trong mạng LAN
Máy Pfsense đóng vai trò là tường lửa kiểm soát các truy cập từ internet qua mạng
WAN và kết nối với mạng nội bộ qua mạng LAN
8 Các nhiệm vụ cần thực hiện
Nhiệm vụ 1 Cài đặt tường lửa Pfsense trên HĐH Linux FreeBSD 64
bit Bước 1: Download phần mềm tại đây: www.pfsense.org
Bước 2: Sử dụng VMware để cài đặt Pfsense
- Tạo máy ảo để bắt đầu cài đặt
Trang 7- Chọn đường dẫn đến file cài đặt và lựa chọn Add để thêm card mạng cho máy ảo
theo mô hình
Trang 8- Tiến hành cài đặt.
- Để mặc định quá trình boot và lựa chọn Accept these settings.
Trang 9- Tiếp tục lựa chọn Quick/Easy Install Rồi chọn OK để xác nhận việc cài đặt.
- Chọn Standard Kernel Sau đó reboot lại để quá trình cài đặt hoàn tất
Trang 10Nhiệm vụ 2 Cấu hình tường lửa Pfsense
Bước 1: Giao diện quản trị PfSense Chọn 1 để tiến hành cấu hình các card mạng
- Hệ thống hỏi có muốn thiết lập VLANs không Ở đây chúng ta chọn No.
- Thiết lập em0 là giao diện WAN và em1 là giao diện LAN tương ứng
- Sau đó ấn Enter để bỏ qua các thiết lập bổ sung
- Chọn Yes (y) để xác nhận lại quá trình thiết lập
- Sau khi thiết lập xong các giao diện, chúng ta tiến hành chọn option 2 để thiết lập địa chỉ IP cho từng card mạng
Trang 11- Chọn 1 để cấu hình cho card WAN.
- Thiết lập địa chỉ IP như trong hình
- Bỏ qua thiết lập DHCP6 (Gõ “n”) và bỏ qua thiết lập IPv6 (Gõ enter để bỏ qua) Sau đó chọn “y” để cho phép quản trị tường lửa thông qua giao diện web (http).
- Thiết lập tương tự đối với card mạng LAN còn lại
Trang 12Nhiệm vụ 3 Cài đặt phần mềm Splunk trên HĐH Centos
- Truy cập vào hệ thống với tài khoản user, pass = “resu” Pass của root là “toor”
- Xem tên các card mạng bằng câu lệnh “ip addr” Trong hình chúng ta thấy card
mạng eno16777736 chính là card chúng ta cần thiết lập địa chỉ ip.
- Để cấu hình địa chỉ ip, chúng ta truy cập vào thư mục scripts File ifcfg-eno16777736 chính là file chúng ta cần cấu hình
/etc/sysconfig/network Dùng vi trong centos để đọc và chỉnh sửa file ifcfg-eno16777736 Luư ý để cấu hình ta phải dùng lệnh su để lấy quyền root (Pass:toor)
Trang 13- Cấu hình địa chỉ ip như trong hình Sau đó lưu lại với :x
- Khởi động lại dịch vụ và tiến hành ping thử tới tường lửa trong hệ thống
Trang 14- Tiến hành copy file cài đặt splunk-6.5.2-67571ef4b87d-Linux-x86_64.tgz vào
Centos Ở đây chúng ta sử dụng công cụ psftp trong PuTTy cài đặt trên máy Win2k8 để copy dữ liệu
- Dùng lệnh ls kiểm tra đã thấy xuất hiện file cần cài đặt.
Trang 15- Cấu hình để splunk khởi động cùng hệ thống dùng câu lệnh /splunk enable start và reboot lại để hoàn tất quá trình cài đặt.
boot Khởi động xem kiểm tra xem splunk có khởi chạy cùng hệ thống không
- Tắt tường lửa mặc định và truy cập vào giao diện quản trị theo địa chỉhttp://192.168.10.150:8000
Trang 16Nhiệm vụ 4: Cài đặt win 2k8 vào giao diện quản trị của Pfsense và Splunk
- Thiết lập địa chỉ IP trên máy Win 2k8
- Tiến hành truy cập PfSense thông qua giao diện web theo địa chỉhttp://192.168.10.200 Username mặc định là “admin” và pass là “pfsense”
Trang 17- Giao diện truy cập thành công.
- Truy cập vào giao diện quản trị theo địa chỉ http://192.168.10.150:8000
- User đăng nhập “admin”, pass là “changeme”.
Trang 18Nhiệm vụ 5 : Thu thập Log từ Pfsense vào Splunk
a) Trên máy Pfsense
- Vào Status=>System Logs Chọn tab Settings
- Tích vào ô: Send log message to remote syslog server Ip máy chủ nhận log là 192.168.10.150 (máy Splunk) Chọn các log muốn gửi qua Splunk sau đó save lại
Trang 19b) Trên máy Centos đã cài sẵn Splunk:
- Chọn Setting =>Data inputs
- Chọn Addnew trong phần UDP
Trang 20- Cấu hình port 514 và địa chỉ ip gửi log về là địa chỉ của tường lửa PfSense:
192.168.10.200 Sau đó chọn Next
- Cấu hình như theo hướng dẫn và chọn Review để xem lại cấu hình đã chọn Chọn Submit để hoàn tất
Trang 21- Sau đó chúng ta thử tắt tường lửa đi xem trên máy splunk có nhận được log đẩy vềkhông Kết quả máy chủ splunk đã có nhận được log đẩy về thông báo PfSense đã bị tắt.
Trang 229 Đánh giá bài thực hành
1 Cài đặt tường lửa Pfsense trên HĐH Linux 2 Căn cứ báo cáoFreeBSD 64 bit
3 Cài đặt phần mềm Splunk trên HĐH Linux 3 Căn cứ báo cáo
4 Cài đặt winserver 2008 vào giao diện quản trị của 2 Căn cứ báo cáoPfsense và Splunk
5 Thu thập log từ Pfsense và Splunk 1 Căn cứ báo cáo
Trang 2320
