Nghiên cứu các phương pháp công cụ hỗ trợ quản trị và giám sát an toàn an ninh mạng

Danh mục các ký hiệu, các chữ viết tắt Từ viết tắt Diễn giải Dịch nghĩa Framework Phương pháp ứng dụng thu thập dữ liệu BPF Bakerley Packet Filters Bộ lọc gói tin Bakerley CPU Central Pr

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

Chuyên ngành : Công Nghệ Thông Tin

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN: TS TRẦN ĐỨC KHÁNH

Hà Nội – Năm 2015

Mục lục

2.1.1 Define Threats - Xác định mối đe dọa tới hệ thống 6

2.1.2 Quantify Risk - Đánh giá rủi ro, mức độ thiệt hại 7

2.1.3 Identify Data Feeds - Xác định nguồn dữ liệu cần bảo mật 8

2.1.4 Narrow Focus - Tập trung bảo mật nguồn dữ liệu xác định 9

2.2 Xây dựng bộ cảm biến thu thập 11

2.3.2 Thu thập Full Packet Capture Data (FPC Data) với Netsniff-NG 19

3.1.3 Tính phát triển, kế thừa và sự đào thải các IOC 25

3.1.5 Quản lý các IOC và Signature đơn giản với CSV 26

3.2.2 Phát hiện và cảnh báo tấn công Brute-Force với Bro IDS 34

4.3 Giải pháp xây dựng hệ thống lưu trữ và phân tích log trong môi trường doanh nghiệp với ElasticSearch, Logstash và Kibana 44

4.3.1 Giới thiệu về ElasticSearch, logstash, Kibana 44

4.3.2 Xây dựng hệ thống lưu trữ, quản lý phân tích log HTTP tích hợp hệ thống Bro IDS trong môi trường mạng doanh nghiệp 45

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi Các số liệu kết quả trong Luận văn là trung thực và chưa từng được ai công bố trong bất kì công trình nào

Tôi xin cam đoan mọi sự giúp đỡ cho việc thực hiện Luận văn này đã được cảm ơn và các thông tin trích dẫn trong Luận văn đã được chỉ rõ nguồn gốc

Học viên thực hiện luận văn

Danh mục các ký hiệu, các chữ viết tắt

Từ viết tắt Diễn giải Dịch nghĩa

Framework

Phương pháp ứng dụng thu thập dữ liệu

BPF Bakerley Packet Filters Bộ lọc gói tin Bakerley CPU Central Processing Unit Bộ xử lý trung tâm

Application

Ứng dụng thực hành tấn công Web

Threats của Snort FPC Full Packet Capture Thu thập dữ liệu gói đầy

đủ HIDS Host Intrusion Detection

System

Hệ thống phát hiện xâm nhập máy chủ

IDS Intrusion Detection

System

Hệ thống phát hiện xâm nhập

IOC Indicators of compromise Các chi số của sự thỏa

hiệp IRC Internet Relay Chat Hệ thống nhắn tin trong

thời gian thực

Detection System

Hệ thống phát hiện xâm nhập mạng

Monitoring

Giám sát an ninh mạng

PSTR Packet String Data Dữ liệu dạng chuỗi

RTFM Real-time Flows Monitor Giám sát dữ liệu mạng

trong thời gian thực SQLi SQL Injection Tấn công phá hoại bằng

câu lệnh truy vấn SQL TTL Time To Live Thời gian của một gói tin

đi trong mạng cho đến khi đến được địa chi đích VRT Vulnerability Research

Team

Đội nghiên cứu lỗ hổng bảo mật chuyên cung cấp các bộ Rule cho Snort

giám sát an ninh mạng XSS Cross Site Scripting Tấn công chèn mã độc

vào ứng dụng Web

Danh mục hình ảnh

Hình 1: Mô tả chu kỳ NSM 1

Hình 2: Mô tả NSM data type 5

Hình 3: Mô tả bốn bước xác định kế hoạch thu thập dữ liệu 6

Hình 4: Giao diện trình tạo IOC trong Webpage OpenIOC 26

Hình 5: Danh sách các trường thông tin trong file HTTP log của Bro 29

Hình 6: Nguyễn mẫu thông báo của Bro về phát hiện kịch bản tấn công Brute-Force 39

Hình 7: Mô tả gói tin được capture trên Wireshark 41

Hình 8: Chuyển đổi dạng nhị phân ra hệ thập lục phân 42

Hình 9: Mô tả cú pháp bộ lọc BPF 43

Hình 10: Hệ thống Website đang quản trị của doanh nghiêp 45

Hình 11: Cơ chế hoạt động của hệ thống lưu trữ, quản lý và phân tích log với ElasticSearch, Logstash và Kibana 48

Hình 12: Cấu hình Logstash-Forwarder 49

Hình 13: Cấu hình các thông số truyền tiếp thông tin giữa Logstash-Forwader và Logstash server 50

Hình 14: Kiểm tra và lọc các trường thông tin Logstash sẽ đánh chi mục để gửi đến ElasticSearch 50

Hình 15: Giao diện chính của Kibana với các cột hiển thị lưu lượng HTTP trong thời gian thực 51

Hình 16: Mô tả thống kê http status code, top 10 ip chiếm session,geoip trên Kibana 52

Hình 17: Monitor Storage ElasticSearch với plugin Kopf 53

Hình 18: Monitor CPU, RAM, Process ElasticSearch với plugin bigdesk 54

Mở đầu

Trong thế giới mạng ngày nay, ngày càng nhiều xuất hiện những tổ chức hacker được phát hiện, những tổ chức này tập hợp đông đảo những hacker trên toàn thế giới và được hậu thuẫn bởi những tiềm lực kinh tế mạnh mẽ Xu hướng đã thay đổi, nếu cách đây khoảng năm năm, các cuộc tấn công mạng diễn ra trên thế giới hầu hết là những cuộc tấn công vừa và nhỏ chủ yếu vào người dùng đơn lẻ, hay các doanh nghiệp Nhưng những năm trở lại đây các tổ chức tội phạm mạng công khai tấn công vào các tập đoàn lớn, các bộ máy an ninh của chính phủ, xâm phạm dữ liệu bảo mật mang tính chính trị Các cuộc tấn công đánh sập cả hệ thống một công ty lớn là chuyện đã không còn hiếm Gần đây nhất tại Việt Nam, vào tháng 10 năm

2014 hệ thống một công ty thương mại điện từ hàng đầu của Việt Nam đã bị đánh sập hoàn toàn chỉ sau một đêm, với một hình thức tấn công được cho là có tính triệt

hạ đó là kẻ tấn công đã xóa sạch toàn bộ dữ liệu trên các máy chủ của hệ thống Toàn bộ công ty này lao đao khi không thể cung cấp các dịch vụ, những thứ đang kiếm ra tiền trả lương cho hàng nghìn nhân viên trong công ty bỗng chốc ngừng lại

vô thời hạn Có nhiều câu hỏi đặt ra cho mục đích của những kẻ tấn công, nhưng một sự thật quan trọng hơn đó là tương lai của hàng nghìn con người đang bị đặt dấu hỏi nếu công ty không thể vực dậy nổi sau biến cố đó Dù là nhằm vào mục đích chính trị hay cạnh tranh kinh tế thì người thiệt hại lớn nhất vẫn là những con người đang làm việc tại tổ chức bị tấn công

Bản thân em cũng là một kỹ sư công nghệ thông tin của một công ty truyền thông và đã từng chịu ảnh hưởng của những cuộc tấn công mạng Đây là lí do thôi thúc em chọn đề tài Nghiên cứu các giải pháp và các công cụ giám sát an toàn – an ninh mạng Bài toán em đặt ra sau khi hoàn thành nghiên cứu lĩnh vực giám sát an toàn – an ninh mạng đó là có thể xây dựng một hệ thống giám sát an ninh mạng, bao gồm các công đoạn:

- Xây dựng bộ cảm biến thu thập mạng kết hợp với các công cụ thu thập dữ liệu mã nguồn mở để làm cơ sở dữ liệu cho hệ thống phát hiện xâm nhập mạng và hệ thống phân tích log

- Nghiên cứu giải pháp phát hiện xâm nhập mạng bằng cách tìm hiểu, xây dựng và cách vận hành các hệ thống IDS mã nguồn mở Mục đích đặt ra đó

là có thể vận hành một hệ thống IDS bảo vệ an ninh cho hệ thống mạng

- Tính toán, và xây dựng hệ thống lưu trữ, quản lý log để thực hiện phân tích Tìm hiểu các công cụ mã nguồn mở trong lĩnh vực quản lý log hệ thống, network Các công cụ hỗ trợ hình ảnh, đồ họa trực quan tích hợp với hệ thống lưu trữ log đưa ra một cách nhìn toàn cảnh và rõ ràng cho công cuộc phân tích mạng

Trong từng giai đoạn nghiên cứu để xây dựng một hệ thống giám sát an ninh mạng

em đã đưa vào trong Luận văn những giải pháp nghiên cứu được để giải quyết các khó khăn cho từng giai đoạn Cụ thể trong Luận văn này em đã phân tách ra ba tác

vụ cơ bản cho một hệ thống giám sát an toàn – an ninh mạng dựa vào các yếu tố đã nêu trên, đó là tác vụ thu thập dữ liệu (Chương 2), tác vụ thứ hai là Phát hiện xâm nhập (Chương 3), và tác vụ cuối cùng là xây dựng cơ sở phân tích (Chương 4)

Tác vụ đầu tiên là tác vụ thu thập dữ liệu, ở phần này em đã đưa ra ba vấn đề

để giải quyết đó là hoạch định chiến lược thu thập, xây dựng bộ cảm biến, và sử dụng các giải pháp công cụ thu thập mã nguồn mở phù hợp với chiến lược đã hoạch định và nền tảng cảm biến có thể đáp ứng Trong tác vụ đầu tiên này, vấn đề hoạch định chiến lược thu thập dữ liệu được nhấn mạnh là khâu quan trọng nhất Việc xác định rõ các yêu cầu bảo mật của hệ thống, tính toán và đánh giá các mối nguy hiểm tiềm tàng đối với hệ thống cũng được đưa ra để có thể giải quyết bài toán đầu vào cho hệ thống giám sát an toàn – an ninh mạng Qua Chương 2 của Luận văn, em muốn nhấn mạnh vào tầm quan trọng của việc xác định rõ nhu cầu của hệ thống, đây được xem như cơ sở để xây dựng một hệ thống giám sát an toàn – an ninh mạng hiệu quả

Chương 3 dành ra nghiên cứu các công cụ IDS Trong một hệ thống giám sát thì không thể thiếu được khả năng phát hiện các xâm nhập Đây là phạm vi hoạt động của một hệ thống IDS Tác vụ phát hiện trong hệ thống giám sát an toàn – an ninh mạng nằm ở giá trị các bộ tập Rule trên IDS Hệ thống IDS có thể rà soát các

dữ liệu mạng trong thời gian thực hoặc từ các dữ liệu thống kê đã thu thập Với cơ chế sử dụng các bộ giải mã để rà soát các gói tin và áp đặt các Rule vào cho các gói tin dữ liệu mạng, hệ thống IDS được coi là bức tường phòng thủ đầu tiên của một

hệ thống giám sát an toàn – an ninh mạng Việc cài đặt một công cụ IDS là không khó Vấn đề khó nhất và trọng tâm nhất trong đó là công cuộc tạo các bộ Rule thích hợp để mang lại giá trị phát hiện các mối nguy hại tới hệ thống Sau khi nghiên cứu một số các hệ thống IDS như Snort, Suricata và Bro, em quyết định chọn nền tảng Bro IDS để thực hành và xây dựng hệ thống IDS như là một giải pháp phát hiện xâm nhập cho hệ thống mạng Cũng bởi Bro được đánh giá là một trong những IDS mạnh mẽ nhất hiện nay trong phạm vi IDS mã nguồn mở Mặc dù trong nhiều tài liệu nghiên cứu người ta còn đánh giá Bro vượt xa khả năng của một IDS Bro có một ngôn ngữ kịch bản riêng biệt cung cấp các tính năng hữu ích để phân tích các giao thức, và với ngôn ngữ kịch bản của Bro nhiều người đánh giá rằng khả năng của Bro là chưa được khai thác hết

Phần cuối cùng là mục tiêu xây dựng một hệ thống phân tích bao gồm các tác

vụ lưu trữ, quản lý và thống kê dữ liệu mạng Tác vụ phân tích là điểm chốt chặn phòng thủ cuối cùng cho công cuộc bảo đảm tính an toàn- an ninh trong mạng Trong phần này Luận văn tập trung nghiên cứu và đưa ra một giải pháp hoàn chỉnh cho một hệ thống lưu trữ log bao gồm khả năng quản lý, truy xuất và thực hiện thống kê Luận văn cũng đề xuất tích hợp các công cụ hỗ trợ các khả năng hiển thị dạng bảng, dạng dashbroad với mục đích đưa đến các nhà phân tích một cái nhìn tổng thể hệ thống mạng của mình Giải pháp cho hệ thống phân tích được đề xuất trong Luận văn đó là sử dụng một bộ công cụ tổ hợp bao gồm: công cụ audit log Logstash, công cụ quản lý, lưu trữ, thống kê log ElasticSearch và công cụ hỗ trợ hiển thị thống kê qua giao diện Web là Kibana Lí do em chọn giải pháp này đó là

cả ba công cụ này được tạo từ một tổ chức và với mục đích để tích hợp lại với nhau Điều này có nghĩa hệ thống phân tích lưu trữ log này là hoàn toàn đồng bộ và vận hành dễ dàng nhất Kiểm nghiệm thực tế khi em xây dựng, vận hành hệ thống này

đó là có rất ít lỗi xảy ra trong qua trình làm việc với hệ thống, khả năng hỗ trợ và

cài đặt các plugin dễ dàng và đa dạng Cung cấp công nghệ cluster cho phép tăng tốc độ xử lý truy xuất và thống kê log nhanh và hiệu quả Trong phần phân tích này,

lí do em chọn nghiên cứu một giải pháp lưu trữ, quản lý, thống kê và phân tích log

là bởi qua thời gian nghiên cứu từ lý thuyết cũng như thực tiễn công việc, em nhận

ra rằng khái niệm phân tích là một phạm trù rộng, đây không phải tác vụ thường được đánh giá là thành công đối với nhiều nhà phân tích, đối với những nhà phân tích có kinh nghiệm lâu năm, trải qua nhiều sự cố tấn công mạng cũng như tiếp xúc

và thu thập nhiều loại hình dấu hiệu tấn công có thể tỷ lệ xác suất phân tích sự kiện log để phát hiện tấn công cao Nhưng đối với những nhà phân tích ít kinh nghiệm hơn thì tỷ lệ thành công trong việc phát hiện là thấp hơn Trong một số tài liệu về forensic network hoặc về security network có một số đoạn chi ra rằng có một sự phân cấp ngầm giữa cộng đồng những nhà phân tích mạng Rất khó để có thể đưa ra một giải pháp chuẩn mực cho tác vụ phân tích và cũng khó để đánh giá được các vấn đề đưa ra có thực sự chính xác Bởi tác vụ phân tích được thực hiện cần rất nhiều kiến thức rộng lớn về: network, malware, TCP/IP, forensic, OS, device network … Đây cũng chính là lí do chính em chọn lựa nghiên cứu đưa ra giải pháp xây dựng hệ thống lưu trữ, quản lý, thống kê và phân tích log

Trong Luận văn này Phương pháp nghiên cứu em chọn đó là tập trung nghiên cứu các công cụ mã nguồn mở hỗ trợ mạnh trên nền tảng nhân Linux để thực hiện các giải pháp giám sát an ninh mạng Một phần bởi sự tiếp cận với các công cụ giám sát an ninh mạng mã nguồn mở thường là miễn phí, có một cộng đồng phát triển mạnh mẽ, điều mà sẽ khó có thể dễ dàng thực hiện nghiên cứu thực tiễn trên các công cụ giám sát an ninh mạng trả phí Lí do thứ hai đó là theo nghiên cứu

em thấy rằng hầu hết các hệ thống máy chủ hiện tại có đến 80% sử dụng các hệ điều hành Linux, Unix bởi tính gọn nhẹ, hiệu năng cao và tùy biến Vì vậy khi tiếp xúc với các công cụ mã nguồn mở để nghiên cứu đề tài giám sát an toàn – an ninh mạng

em sẽ có thể tiếp cận một cách dễ dàng, và quan trọng tính ứng dụng sau khi nghiên cứu trong Luận văn này hoàn thành vào các hệ thống mạng hiện tại là rất khả thi

Cuối cùng, em xin gửi lời cảm ơn chân thành tới Thầy TS.Trần Đức Khánh

đã tạo điều kiện và hướng dẫn hết sức tận tình để em có thể định hướng và giải quyết các vấn đề trong đề tài này đã đề cập tới Nếu không có sự hướng dẫn tận tình

và tạo điều kiện của Thầy, em đã không thể hoàn thành Luận văn này

Chương 1: Tiếp cận các khái niệm trong lĩnh vực NSM

Có thể mô tả về bản chất của NSM gồm ba từ: Thu thập dữ liệu (collection data), Phát hiện (detection), và Phân tích (Analysis) dữ liệu mạng Đây cũng là ba tác vụ chính của một hệ thống NSM, tạo thành một vòng tuần hoàn khép kín liên tục

Một hệ thống NSM hoàn chỉnh khi đáp ứng tốt được cả ba tác vụ trên, mỗi một tác

vụ được thực hiện bởi một hoặc một tập hợp các công cụ đặc thù để có thể thực hiện

vụ phân tích, phát hiện các xâm nhập và sự thỏa hiệp với các hình thức tấn công trên hệ thống

Trong vấn đề thu thập dữ liệu này, việc kiểm soát được các thông tin thu thập được

là việc cần thiết vấn đề này có thể được mô tả bằng cụm từ: “kiểu dữ liệu NSM” (NSM data type), bao gồm:

Full content Data, Session Data, Statistical Data, Packet tring Data và Alert Data

Nhiệm vụ của công đoạn detection đó là từ khối dữ liệu thu thập, sẽ được rà soát, kiểm tra Từ những dấu hiệu bất thường, bằng việc thống kê đối chiếu với các chính sách đặt ra theo các tác vụ đặc thù của hệ thống mà phát hiện được traffic bất thường trong mạng, hoặc sự lây lan của mailware, virus … đưa ra cảnh báo về những hiện tượng bất thường này

Trên thực tế tác vụ Detection được thực hiện bởi những hệ thống phòng thủ, phát hiện xâm nhập mạng (Network intrusion detection system – NIDS) ví dụ như Snort IDS hoặc Bro IDS là những hệ thống phát hiện xâm nhập phổ biến và hiệu quả, hoặc kể đến như OSSEC, AIDE, MacAfree HIPS đây là những hệ thống phát hiện xâm nhập trên máy chủ (HIDS - Host intrusion detection system) Trên những hệ thống này sẽ chứa các hàm, thuật toán để áp các rule (quy luật) cho việc rà soát trong cơ sở dữ liệu thu thập được

Có thể nói tác vụ này là tác vụ chiếm nhiều thời gian nhất trong chu kỳ hoạt động của hệ thống NSM Tác vụ này phải được thực hiện trực tiếp bởi con người Khi hệ thống cảnh báo gửi về một event log nào đó rằng hệ thống đang có nguy cơ

bị tấn công bởi một lượng traffic bất thường, hoặc một nguyên nhân nào đó … việc analysis được thực hiện ngay lập tức để tìm hiểu và khám phá thêm các thông tin liên quan đến event log này Vì chỉ có thể hiểu rõ vấn đề, tính chất của cuộc tấn công đang nhằm vào tổ chức của mình thì người quản trị, những chuyên gia bảo mật

hệ thống mới có thể đưa ra cách đối phó, chiến lược xây dựng cấu trúc hệ thống để phòng thủ và tránh khỏi những cuộc tấn công Thậm chí có thể đưa ra những phương án thu thập, phát hiện điểm yếu kẻ tấn công từ đó có thể tấn công trở lại, hoặc cung cấp những thông tin cần thiết để đưa ra luật pháp xử lý

Ta có thể phân loại, kể đến những hình thức phân tích sau:

 Packet Analysis

 Network Forensic

 Host Forensic

 Mailware Analysis

Trong phạm vi dữ liệu NSM xử lý phân biệt thành các kiểu dữ liệu riêng biệt trong quá trình collection Mỗi kiểu dữ liệu đều có ý nghĩa riêng biệt cung cấp các thông tin cần thiết cho việc detection, analysis

FPC Data là loại dữ liệu mang đầy đủ thông tin của tiến trình giao tiếp qua lại giữa hai điểm đầu cuối FPC Data thường có dung lượng lơn hơn so với các kiểu

dữ liệu khác FPC Data có một định dạng chung là một PCAP File Giá trị của FPC Data là từ đó có thể có một cái nhìn tổng quát tiến trình giao tiếp, truyền nhận thông tin giữa hai điểm đầu cuối Các kiểu dữ liệu như Statistical Data hay Packet string Data cũng đều bắt nguồn từ FPC Data này

Packet string Data là một phần trong FPC Data, nó tồn tại như một dạng dữ liệu trung gian giữa FPC Data và Session Data Packet string data là thông tin dạng chuỗi, text từ phần Headers của các gói tin, ví dụ như HTTP headers Những dữ liệu dạng này cung cấp một phần thông tin giống như trong FPC Data chứa nhưng sự khác biệt ở chỗ dung lượng lưu trữ cho Packet string data không tốn nhiều không gian lưu trữ như FPC data, và nó lưu được nhiều hơn, và có giá trị lâu hơn cho việc thống kê và phân tích

1.2.4 Statistical Data

Statistical Data là những dữ liệu được dùng để kiểm tra, phân tích và thống

kê Statistical data mang nhiều định dạng khác nhau và chưa nhiều thông tin khác nhau Từ một kho dữ liệu statistical data hoàn toàn có thể đưa ra những kết quả thông kê để tìm ra sự bất thường đã và đang xảy ra trên hệ thống Cũng có thể coi một kho dữ liệu Statistical Data là một dạng điển hình của OLAP (Online analysis processing)

Log Data là những dữ liệu thô, các loại log từ thiết bị, hệ thống, ứng dụng

Ví dụ như log Web-proxy server, log Switch, router, log Firewall, VPN authentication log, Syslog data Kiểu dữ liệu này có độ lớn tùy biến, và mức độ hữu ích còn tùy thuộc vào nguồn gốc và hoàn cảnh

Khi một công cụ phát hiện xâm nhập phát hiện một hiện tượng bất thường xác định hoặc không xác định, trên công cụ này đã được cấu hình trong những trường hợp bất thường sẽ gửi đi một thông điệp mô tả về sự kiện bất thường này Thông điệp này được gọi là Alert Data Việc hệ thống NSM phân tích các sự kiện bất thường chủ yếu là từ Alert Data gửi về

Nhìn lại tổng thế các kiểu dữ liệu trong phạm vi NSM xử lý Ta có thể hình dung rõ hơn qua hình ảnh sau:

Hình 2: Mô tả NSM data type

Chương 2: Nghiên cứu cách thức thu thập NSM Data

Như đã trình bàyở trên, tác vụ Collection data là tác vụ tối quan trọng trong chuỗi chu kỳ làm việc xử lý của một hệ thống NSM Tác vụ này hoạt động dựa trên nền tảng của sự kết hợp giữa sức mạnh phần cứng và các công cụ phần mềm để làm nhiệm vụ thu thập dữ liệu Trên thực tế việc thu thập dữ liệu cần một nền tảng phần cứng bao gồm sức mạnh của CPU, Ram, Storage không nhỏ Bởi lưu lượng mạng trên hệ thống là lớn vì vậy sẽ có một lượng lớn dữ liệu được thu thập và lưu trên Storage Việc xây dựng và có một lộ trình có chiến lược thu thập dữ liệu là cần thiết Việc này là khó và không phải cá nhân hay một tổ chức nào cùng có thể hiểu rõ tất

cả, tường tận luồng dữ liệu đi trong hệ thống mạng của mình có đặc điểm gì, đặc thù dữ liệu ra sao Vì vậy một khái niệm trong quá trình collection data của hệ thống NSM được đặt ra đó là “Applied Collection Framework – ACF” ACF là khái niệm trong đó nêu ra các bước cần thực hiện để giúp cho tổ chức, hay người xây dựng hệ thống NSM có thể đúc rút ra điểm mấu chốt mà tác vụ collection data cần tập trung thu thập và khai thác

Bốn bước này là: Define Threats + Quantify Risk + Identify Data Feeds + Narrow Focus

Hình 3: Mô tả bốn bước xác định kế hoạch thu thập dữ liệu

Việc đặt ra câu hỏi dữ liệu nào là quan trọng trong hệ thống là cần thiết để

hoàn thành bước này, cần đánh giá được rủi ro nếu hệ thống này bị xâm nhập, thông tin bị đánh cắp hậu quả sẽ ra sao Xác định được vấn đề này việc xây dựng hệ thống giám sát, bảo mật thông tin cho hệ thống mới thực sự mang lại hiệu quả về tính an ninh trong hệ thống, và chi phí đầu tư vào hệ thống giám sát Khi đã xác định được mục tiêu cần giám sát và bảo vệ trong hệ thống thì việc tiến hành triển khai các công tác bảo mật cho hệ thống đó cũng là một bài toán cần phải đặt ra những câu hỏi để giải quyết nó

Xác định được những vấn đề quan trọng cần tập trung thực hiện bảo mật an toàn thông tin Thì cũng cần phải tính toán và phân loại các rủi ro Từ đó đưa ra các giải pháp và hình thức bảo vệ những thông tin này Những thông tin được tính toán

và đánh giá là quan trọng sẽ được ưu tiên đầu tư nguồn lực, chất xám và chi phí để bảo toàn hơn là những rủi ro kém quan trọng hơn Có một công thức tính toán rủi ro như sau:

Impact (I) x Probability (P) = Risk (R)1

Theo đó chỉ số (I) là chỉ số được xem xét như mức độ ảnh hưởng của rủi ro chỉ số (I) này có thang điểm từ 1 -5 Với 1 là mức độ ảnh hưởng thấp nhất, tương tự

5 là cao nhất Mức độ ảnh hưởng có thể hiểu theo một số ý nghĩa như nếu xảy ra rủi

ro sự tổn thất tài chính là bao nhiêu, khả năng phục hồi dữ liệu bị mất, và thời gian phục hồi là bao lâu

Chỉ số (P) là chỉ số xác xuất rủi ro có thể xảy đến Cũng với thang điểm từ 1 – 5 Việc xác định xác xuất có thể xem xét đến các vấn đề như xác xuất các sự cố tấn công có thể xảy ra, tính dễ thỏa hiệp của ứng dụng chạy trên hệ thống đó, hay xác xuất rủi ro bị tấn công vào hạ tầng mạng cao hay thấp

Đã xác định được các giá trị (I) và (P) thì việc định lượng được giá trị rủi ro cũng có thang điểm để đánh giá, đó là từ 1 – 25 Tương ứng với giá trí rủi ro mức thấp nhất là 1, và cao nhất là 25

1ChrisSanders(2013), Applied Network Security Monitoring, Elsevier Inc, USA

 1 – 9: Giá trị rủi ro thấp (Low Risk)

 10 – 16: Giá trị rủi ro trung bình (Medium Risk)

 17 – 25: Giá trị rủi ro ở mức cao (High Risk)

Mặc dù thang điểm đưa ra để đánh giá mức độ ảnh hưởng (I) và chỉ số xác xuất rủi

ro (P) chỉ mang tính chất tương đối và chủ quan Nhưng không thể phủ nhận những chỉ số này là cần thiết và cần được tính toán và đánh giá dựa trên kinh nghiệm, hiểu biết hệ thống của những người chịu trách nhiệm duy trì vận hành và phát triển hệ thống

Bước tiếp theo của ACF đó là định danh chính xác các kiểu dữ liệu trong hệ thống đang được xác định là ưu tiên cần thiết để bảo vệ Ví dụ trên một hệ thống File server đang cần được giám sát và bảo vệ an toàn thông tin, bên cạnh việc xác định những rủi ro tiềm tàng cho hệ thống, điều cần thiết phải nắm được kiến trúc hạ tầng nơi mà máy chù File server này đặt tại vị trí nào trong hệ thống mạng, ai là người sẽ được phép truy cập, đường đi của luồng dữ liệu vào và ra trên máy chủ, dựa vào những thông tin này ta có thể kiểm tra được các luồng dữ liệu nào thuộc nhóm Network-based và dữ liệu nào thuộc vào nhóm Host-Based Dựa vào đó ta có thể đưa ra một danh sách các kiểu dữ liệu cần quan tâm trong một hệ thống File server như sau:

 Network-Based

o File server VLAN - Full packet capture data

o File server VLAN - Session Data

o File server Vlan - Throughput Statistical Data

o File server Vlan - Signature-based NIDS Alert Data

o File server Vlan - Anomy-based IDS Alert Data

o Upstream Router - Firewall log data

 Host-Based

o File server - OS Event Log Data

o File server - Antivirus Alert Data

o File server - HIDS Alert Data

Đây là bước cuối cùng của quá trình ACF, làm thế nào để khai thác được dữ liệu hiện có, để có được những thông tin hữu ích từ kho dữ liệu đã thu thập được

Từ việc rà soát, kiểm tra, chắt lọc thông tin từ đám dữ liệu thu thập được, ta có thể nhìn thấy những điểm bất thường, có thể là sự tăng cao bất thường của các gói tin đến từ một nguồn nhất định, hoặc dấu hiệu CPU của hệ thống làm việc quá tải … đây chỉ là một trong số nhiều dấu hiệu cho thấy sự bất thường trong hệ thống có thể xảy ra

Có một vấn đề cũng cần phải đề cập đến đó hệ thống lưu trữ cho việc thu thập dữ liệu Có nhiều kiểu dữ liệu sẽ được thu thập, và vấn đề đặt ra là đầu tư bao nhiêu chi phí vào hệ thống lưu trữ cũng là một bài toán cần phải được doanh nghiệp tính toán Tất nhiên nếu nguồn vốn dồi dào, tổ chức đó có thể đầu tư vào hệ thống một kho lưu trữ đủ nhiều để có thể phục vụ tốt cho dự án NSM, nhưng vấn đề đặt ra ở đây không phải là chi phí nhiều hay ít, mà đó là việc cần tập trung chắt lọc những dữ liệu cần thiết, để tập trung phân tích chúng Tránh trường hợp quá nhiều dữ liệu gây loãng hay làm giảm sự chú ý của những người giám sát khiến cho việc phân tích và phát hiện mất nhiều thời gian hơn

Việc sàng lọc và tập trung vào những dữ liệu cần thiết để phân tích và phát hiện xâm nhập có thể được coi là bước khó khăn nhất, đòi hỏi nhiều kiến thức về hệ thống, mạng hạ tầng, các dấu hiệu tấn công vào hệ thống máy chủ, hiểu rõ hoạt động của hệ thống

Cũng cần có một kế hoạch cụ thể, xem xét khoảng thời gian lưu lại log đã thu thập trên hệ thống Với một doạnh nghiệp vừa và nhỏ, ta không thể nào có đủ nguồn lực cũng như chi phí để mua về một hệ thống lưu trữ lớn để phục vụ mục đích lưu trữ log dữ liệu thu thập Tùy vào mục đích cũng như nhu cầu của tổ chức, đặc thù của hệ thống mà có thể quyết định khoảng thời gian lưu trữ

Dưới đây là một số gợi ý cho việc xem xét những sự kiện, log hệ thống cần quan tâm trong hệ thống Network-based và Host-based đối với môi trường File

server như đã đề cập bên trên:

 Network-based

o Full packet capture data

 Thông tin port / Protocol đến và đi từ File server

 Thông tin định tuyến của SMB traffic đi ra ngoài VLAN

o Session data

 Tất cả các bản ghi liên quan đến VLAN

o Data throughput Statistical Data

 Thông lượng Data ra vào File server

 Giá trị thống kê thông lượng trung bình theo ngày, tuần, tháng

o Signature-Based NIDS Alert Data - Dấu hiệu cảnh báo từ hệ thống NIDS

 Bao gồm tất cả các log cảnh báo

 Các Rule đang đặt cho hệ thống Windows và SMB protocol

o Nomaly-Based NIDS Alert Data - Dấu hiệu bất thường được cảnh báo

từ NIDS

 Các cảnh báo liên quan đến sự thay đổi trên OS File server

 Các cảnh báo về thông lượng download từ File server

o Firewall log Data

 Log Firewall deny (External → Internal)

 Host-Based

o System Event Log Data – Event log trên hệ thống máy chủ

 Windows security log

 logon success

 logon Failed

 Các tài khoản được tạo và chỉnh sửa

o Windows system log

 File System Permission Changes

o Host-Based IDS Alert Data

 Tất cả các log cảnh báo từ hệ thống này

Các bộ cảm biến có thể thay đổi vai trò trong các giai đoạn của chu kỳ NSM (giám sát bảo mật mạng) tùy theo kích thước của 1 hệ thống mạng và các mối đe dọa phải đối mặt

2.2.1.a Chỉ thu thập

Một bộ cảm biến chỉ thu thập chỉ đơn thuần lưu trữ các dữ liệu có chọn lọc như các dữ liệu phiên và dữ liệu FPC tới đĩa cứng và đôi khi sẽ sinh ra các dữ liệu khác (mang tính thống kê và chuỗi gói dữ liệu PSTR) dựa trên những gì đã chọn lọc Những điều này được thấy trong những tổ chức lớn hơn nơi mà các công cụ phát hiện truy cập tới các dữ liệu đã chọn lọc để thực hiện xử lý từ xa Việc phân tích cũng được thực hiện tách biệt với bộ cảm biến, khi dữ liệu có liên quan được kéo đến các thiết bị khác khi cần thiết Một bộ cảm biến chính là các cốt lõi mà không cài thêm các phần mềm khác và các phân tích viên ít khi có khả năng trực tiếp truy cập nó

thực từ card mạng hoặc gần như thời gian thực đối với các dữ liệu PCAP đã được lưu vào đĩa cứng Khi thực hiện phân tích, dữ liệu được kéo về lại một thiết bị khác thay vì việc phân tích được thực hiện trên bản thân bộ cảm biến Đây là kiểu phổ biến nhất để triển khai bộ cảm biến, với đó các phân tích viên truy cập trực tiếp tới

bộ cảm biến theo dịp để tương tác nhiều công cụ phát hiện khác nhau

Kiểu cảm biến cuối cùng là kiểu mà việc thu thập, phát hiện và phân tích tất

cả được thực hiện trên chính bộ cảm biến Nghĩa là 1 tập hợp đầy đủ của các công

cụ phân tích cộng với các công cụ thu thập và phát hiện được cài đặt trên bộ cảm biến Điều này có thể bao gồm các hồ sơ phân tích viên trên bộ cảm biến, 1 môi trường giao diện đồ họa hay giao diện đồ họa người dùng của phần mềm NIDS như Snortby Với bộ cảm biến toàn chu trình, hầu như tất cả các tác vụ giám sát bảo mật mạng NSM được thực hiện từ bộ cảm biến Những kiểu cảm biến này được thấy phổ biến nhất trong các tổ chức rất nhỏ nơi mà tồn tại duy nhất 1 bộ cảm biến hoặc các tài nguyên phần cứng bị giới hạn

Trong hầu hết các kịch bản, bộ cảm biến nửa chu kỳ được ưa chuộng hơn Điều này chủ yếu nhờ vào sự dễ dàng bổ sung các công cụ phát hiện trên cùng 1 hệ thống mà dữ liệu được thu thập Nó cũng là an toàn hơn và bảo mật hơn với các phân tích viên để kéo các bản sao dữ liệu về những máy tính dành riêng cho phân tích nhằm xem xét kỹ lưỡng, hơn là tương tác với bản thân dữ liệu gốc Điều này ngăn ngừa việc xử lý sai dữ liệu mà kết quả là có thể mất đi 1 vài thứ quan trọng Mặc dù các phân tích viên cần tương tác với các bộ cảm biến tại vài cấp độ, họ không nên sử dụng chúng như là môi trường phân tích desktop trừ khi không có tùy chọn khác Bộ cảm biến phải được bảo vệ như là 1 tài sản mạng quan trọng đến mức không thể tin được

Một khi kế hoạch phù hợp đã được thực hiện, việc mua phần cứng cho bộ cảm biến trở nên cần thiết Điều quan trọng nhất cần được ghi chú ở đây là bộ cảm biến, thực sự, là 1 máy chủ Có nghĩa rằng khi triển khai bộ cảm biến, phần cứng

cấp độ máy chủ phải được tiện ích hóa Đã thấy có quá nhiều trường hợp bộ cảm biến được ném cùng các phụ tùng, hoặc tệ hơn, trên giá thiết bị có thấy 1 máy tính trạm được sử dụng như 1 bộ cảm biến Kiểu phần cứng như thế này có thể chấp nhận được trong các kịch bản kiểm thử và thí nghiệm, nhưng nếu thực sự làm giám sát bảo mật mạng (NSM) nghiêm túc thì nên đầu tư vào các phần cứng đáng tin cậy Một nỗ lực phối hợp kỹ thuật được yêu cầu để xác định số lượng tài nguyên phần cứng sẽ cần đến Nỗ lực này phải được tính hệ số thành phẩm trong kiểu của - bộ cảm biến sẽ được triển khai, số lượng dữ liệu được thu thập và lượng dữ liệu được giữ lại theo mong muốn

Chúng ta có thể kiểm tra các thành phần phần cứng thiết yếu của bộ cảm biến

1 cách độc lập Trước khi làm điều này, nó giúp cho việc thiết lập và cấu hình 1 bộ cảm biến tạm thời nhằm xác định các yêu cầu phần cứng Điều này có thể là 1 máy chủ khác, 1 máy tính trạm, hoặc thậm chí là 1 laptop

Trước khi cài đặt bộ cảm biến tạm thời, bạn nên biết nơi mà bộ cảm biến sẽ được đặt trong mạng Điều này bao gồm cả việc bố trí vật lý lẫn bố trí logic để xác định các đường dẫn mạng nào bộ cảm biến sẽ giám sát Việc xác định các bố trí bộ cảm biến sẽ được bàn sâu hơn ở chương này

Một khi bộ cảm biến đã được đặt vào trong mạng, bạn sẽ tiện ích hóa hoặc là

cơ chế SPAN port hoặc là cơ chế network tap để đạt được lưu lượng truyền dẫn tới thiết bị Tiếp theo bạn có thể cài đặt các công cụ thu thập - phát hiện - phân tích trên

bộ cảm biến để xác định các yêu cầu hiệu năng của từng công cụ Hãy nhớ rằng không cần thiết bạn phải có 1 bộ cảm biến tạm thời mạnh mẽ đến mức mà nó sẽ quán xuyến tất cả các công cụ này có hiệu lực cùng 1 lúc Thay vào đó, bạn sẽ muốn tạo hiệu lực cho các công cụ 1 cách độc lập để tính toán hiệu năng tải, và rồi tổng kết các kết quả từ các công cụ để đánh giá nhu cầu chung

2.2.2.a Bộ vi xử lý

Số lượng CPU cần đến hầu như dựa vào kiểu bộ cảm biến được triển khai Nếu triển khai bộ cảm biến chỉ thu thập, thì có lẽ không cần đến số lượng đáng kể đối với sức mạnh bộ xử lý, khi mà các tác vụ này đang không xử lý quá mức

chuyên sâu Việc xử lý chuyên sâu điển hình nhất của CPU ở đây là việc phát hiện,

do đó, nếu triển khai bộ cảm biến kiểu nửa chu kỳ hay toàn chu trình thì nên có kế hoạch bổ sung thêm CPU hoặc số core của CPU Nếu trông đợi vào sự phát triển quan trọng thì 1 bộ blade chassis có thể là 1 tùy chọn hấp dẫn, khi nó cho phép sự

bổ sung thêm cho các phiến máy tính blade để tăng tài nguyên CPU

Một cách dễ dàng khác để lập kế hoạch triển khai là số core CPU được cần đến trên hệ thống với các công cụ đang được triển khai Những yêu cầu riêng sẽ thay đổi lớn từ nơi này qua nơi khác tùy thuộc vào tổng băng thông cần giám sát, kiểu lưu lượng truyền dẫn, các tập hợp qui định đã lựa chọn cho cơ chế phát hiện dựa trên chữ ký như phần mềm Snort hay Suricata, và chính sách đã nạp vào trong công cụ như Bro Chúng ta sẽ kiểm thử một số cân nhắc về hiệu năng và những khởi điểm của từng công cụ trong từng mảng việc tương ứng

Nếu đã triển khai 1 bộ cảm biến thử nghiệm, có thể giám sát việc sử dụng CPU với SNMP, hay với 1 công cụ trên Unix như phần mềm top hay htop

2.2.2.b Bộ nhớ

Số lượng bộ nhớ cần thiết cho việc thu thập và phát hiện thường là nhỏ hơn cho việc phân tích Điều này bởi vì việc phân tích thường chạy nhiều tiến trình của cùng 1 công cụ theo lượt Nói chung là bộ cảm biến nên có gánh nặng về bộ nhớ nhưng số lượng này sẽ tăng quyết liệt nếu bộ cảm biến toàn chu trình được triển khai Từ khi việc tăng cường bộ nhớ thường khó để kế hoạch, tốt nhất là nên mua phần cứng với nhiều khe cắm bổ sung cho bộ nhớ dành sẵn cho sự phát triển trong tương lai

Như vừa thảo luận trước đó về việc sử dụng CPU, các công cụ như top hay htop có thể được sử dụng để xác định chính xác những ứng dụng cụ thể đang chiếm dụng bao nhiêu bộ nhớ Nhớ rằng nó có tính phán đoán khi đánh giá này được thực hiện trong lúc bộ cảm biến đang theo dõi lưu lượng truyền dẫn tương tự với tải hoạt động

nó sẽ trải nghiệm trong sản phẩm thực

Thực tế mà nói, bộ nhớ tương đối không đắt, và một số các công cụ giám sát mạng mới nhất đang cố gắng để tận dụng thực tế đó Việc có một số lượng bộ nhớ

lớn hơn cho các công cụ sẽ giúp tăng cường hiệu năng dưới những tải hoạt động dữ liệu lớn

Một trong những mảng khó khăn nhất với các tổ chức để lên kế hoạch là lưu trữ đĩa cứng Điều này chủ yếu bởi có quá nhiều nhân tố để cân nhắc Việc hoạch định hiệu quả cho nhu cầu lưu trữ đòi hỏi bạn xác định việc bố trí bộ cảm biến và kiểu lưu lượng truyền dẫn bạn sẽ thu thập và phát sinh với bộ cảm biến Một khi bạn đã định hình ra tất cả điều này, bạn phải ước tính những nhu cầu tương lai khi

hệ thống mạng phát triển về kích cỡ Cân nhắc với tất cả điều đó, không có gì ngạc nhiên rằng, thậm chí sau khi 1 bộ cảm biến đã được triển khai, những nhu cầu lưu trữ phải được đánh giá lại

Chuỗi các bước sau có thể giúp xác định các nhu cầu lưu trữ cho một bộ cảm biến Những bước này nên được thực hiện với mỗi bộ cảm biến bạn đang triển khai

Tận dụng bộ cảm biến tạm thời, bạn nên bắt đầu tính toán nhu cầu lưu trữ dữ liệu bằng cách xác định lượng dữ liệu NSM được thu thập trên các khoảng thời gian xác định Thử thu thập ít nhất 24 giờ dữ liệu theo nhiều chu kỳ thu thập, với 1 chu

kỳ thu thập theo ngày trong tuần và 1 chu kỳ trong ngày cuối tuần Điều này cho bạn 1 miêu tả chính xác về dòng dữ liệu bao phủ cả những thời gian hoạt động cao điểm và không cao điểm đối với các ngày trong tuần và các ngày cuối tuần Một khi

đã thu thập được các tập dữ liệu, sau đó bạn có thể tính trung bình những con số này

để hướng đến lượng trung bình của dữ liệu được phát sinh theo từng giờ

Ví dụ, 1 bộ cảm biến có lẽ phát sinh ra 300GB dữ liệu PCAP theo chu kỳ 24 giờ các ngày trong tuần (lúc cao điểm) và 25GB trong ngày cuối tuần (không cao điểm) Để tính trung bình theo ngày, ta nhân tổng dữ liệu lúc cao điểm với số ngày trong tuần (300x5=1500GB) và nhân tổng dữ liệu lúc không cao điểm với số ngày cuối tuần (25x2=50GB) Tiếp theo cộng 2 kết quả và lấy tổng chung chia cho số ngày của cả

1 tuần (1550:7=221,43GB) Có thể lấy kết quả chia tiếp cho số giờ của 1 ngày để xác định lượng dữ liệu PCAP được phát sinh từng giờ (221,43:24=9,23GB)

 Xác định chu kỳ nắm bắt lưu giữ khả thi cho từng kiểu dữ liệu

Mỗi tổ chức nên định nghĩa một tập hợp tối thiểu hoạt động và các chu kỳ nắm bắt dữ liệu lý tưởng cho việc thực hiện các dịch vụ giám sát bảo mật mạng NSM tại 1 mức độ chấp nhận được Lý tưởng hoạt động được thiết lập như là 1 mục tiêu hợp lý cho việc thực hiện NSM tới khoảng mở tốt nhất có thể Việc xác định các con số này phụ thuộc vào sự nhạy cảm của những hành động của bạn, và ngân sách có sẵn cho phần cứng bộ cảm biến Khi những con số này đã được xác định, có thể áp dụng chúng tới lượng dữ liệu đã được thu thập để thấy cần bao nhiêu không gian để đạt được mục tiêu nắm bắt

Các thông tin Session Data chứa có thể được coi là những thông tin hữu ích nhất trong hệ thống NSM thu thập được Sự giao tiếp giữa hai thiết bị tạo ra những tiến trình, những phiên giao dịch hay có thể hình dung quá trình giao tiếp này như một flow data Nếu như việc xem xét và kiểm tra một FPC Data cung cấp cho ta toàn bộ thông tin trong quá trình giao tiếp giữa thiết bị đầu cuối Sau đó ta có thể kiểm tra đến Session Data để biết thêm các thông tin phiên giao dịch kết nối giữa hai điểm đầu cuối này Session Data không có thông tin cho câu hỏi “Quá trình giao tiếp vận chuyển những thông tin gì?” nhưng sẽ cung cấp cho ta thông tin về Ai? ở đâu? và Khi nào?

Argus là một công cụ mã nguồn mở, không chỉ có tính năng thu thập Session Data mà Argus được xem như một trong những công cụ phân tích mạnh mẽ Argus

là một dự án được viết bởi Carter Bullard vào năm 1993 trong khi ông vẫn đang làm việc tại CERT Argus được xem như công cụ giám sát mạng trong thời gian thực đầu tiên trên thế giới (Real-time Flows Monitor – RTFM) RTFM được định nghĩa trong RFC 2724

Argus được nhìn nhận như một giải pháp cho việc giám sát luồng dữ liệu Session Data hơn là chỉ đơn thuần như một công cụ thu thập các dữ liệu phiên giao

dịch thuần túy Ngoài khả năng thu thập và đưa ra một cái nhìn toàn diện trong luồng dữ liệu trong hệ thống Argus còn có khả năng phân tích phát hiện và cảnh báo các hiểm họa trong mạng Đặc điểm của Argus là giám sát được các lưu lượng mạng ở cả hai chiều điểm đầu cuối và trích xuất ra bản ghi

Phần này sẽ đưa ra các khái niệm hoạt động của Argus, cách thức triển khai Argus và làm thế nào để các tác vụ trong Argus phối hợp thực hiện tốt các quy trình

xử lý thông tin giúp cho việc phân tích hiệu quả và tiết kiệm chi phí

Về phần các gói cài đặt, Argus bao gồm 2 bộ cài Bộ cài thứ nhất sau khi được cài đặt sẽ có nghiệm vụ thu thập dữ liệu mạng Thiết bị được cài gói Argus đầu tiên này thường gọi là những cảm biến, cảm biến sau khi thực hiện nghiệm vụ thu thập dữ liệu sẽ đẩy dữ liệu đó đến hệ thống lưu trữ tập trung Trong thực tế một cảm biến và một server lưu trữ có thể nằm chung trên một server vật lý Tức là một server vật lý

có thể vừa đóng vai trò như một cảm biến và cũng là một server lưu trữ

Gói thứ 2 là Argus client trong trường hợp cài đặt và triển khai thành công gói Argus đầu tiên và đẩy dữ liệu về hệ thống lưu trữ thành công thì thiết bị được cài gói Argus client này sẽ thực hiện được những nghiệm vụ như truy xuất được log file, các tập tin và các thông số có gía trị từ hệ thống lưu trữ và thực hiện phân tích trong thời gian thực

Argus là một công cụ đặc biệt bởi vì nó được tích hợp nhiều tính năng hơn hầu hết các công cụ phân tích khác Và hơn nữa Argus mạnh mẽ ngay từ trong chính nó Dưới đây là một số liệt kê các tính năng hữu ích của Argus:

- Cung cấp giao diện đồ họa trực quan chính xác traffic network trong thời gian thực

- Giám sát kết nối mạng (ping test)

- Theo dõi các port TCP/UDP

- Theo dõi được hầu hết các ứng dụng TCP/UDP (HTTP, SMTP, RADIUS … )

- Giám sát nội dung một trang web

- Giám sát SNMP OIDs (tình trạng BGP, điện áp UPS, Nhiệt độ … )

- Giám sát các truy vấn SQL

- Có thể tự giám sát chính nó

- Cảnh báo các hoạt động leo thang khi phát hiện sự bất thường

- Lữu giữ các dữ liệu thống kê, phục vụ phân tích

- Giám sát các chỉ số chất lượng đường truyền SLAs - Service Level Agreements

- Hỗ trợ IPv6

- Có thể cấu hình nhiều máy chủ dự phòng

Trên đây là một số tính năng cơ bản của Argus, ngoài ra khả năng của Argus vẫn còn có thể được phát triển và mở rộng hợn nữa để phù hợp với từng kiến trúc và hoạt động đặc trưng của mỗi hệ thống

 Cách thức vận hành Argus trên giao diện dòng lệnh

- -d : Khai báo chạy Argus như một deamon ở chế độ nền

- -i : chọn giao diện network để lắng nghe traffic

- -w : Gán tên cho file được capture

- -ip : khai báo với Argus là chỉ lắng nghe và thu thập các ip traffic, ngoài ra

có thể thu thập ARP …

o Ra client

Một trong các công cụ hữu ích nhất trong gói Argus client đó là công cụ Ra client Ra client cung cấp nhiều tính năng ấn tượng, đầu tiên và cơ bản nhất đó là khả năng cho phép đọc, lọc, và duyệt dữ liệu thô từ Kho dữ liệu mà Argus đã thu

thập Trong trường hợp cần tập trung vào vấn đề kiểm tra và ngăn chặn sự xâm nhập trong hệ thống, ta có thể lọc các thông tin từ Ra client như : IP, protocol và port

root# ra -n -r <path filename> -L0

Dưới đây là ví dụ giao diện mà ra sẽ trích xuất:

09 Jan 15 23:43:10 man version=2.0 probeid=3848370891 STA

Start Type SrcAddr Sport Dir DstAddr Dport State

Trong tất cả các kiểu dữ liệu NSM, thì Full Packet Capture Data là kiểu dữ liệu sẽ chưa đầy đủ các thông tin trong quá trình trò chuyện giữa điểm đầu cuối Có được dữ liệu Full Packet Capture Data là được coi như nắm trong tay một đoạn băng ghi hình cuộc trò chuyện giữa điểm đầu cuối trong quá trình giao tiếp đó Trong các cuộc tấn công xâm nhập hệ thống, có được Full Capture Data là có được bằng chứng quá trình xâm nhập, thời gian và lỗ hổng nào bị kẻ tấn công khái thác Định dạng dữ liệu đặc trưng của FPC Data là ở định dạng pcap Định dạng pcap được hỗ trợ hầu hết trên các công cụ thu thập, phân tích, phát hiện xâm nhập trên hệ thống mã nguồn mở Một số thư viện được viết ra cho việc biên dịch các file pcap, nhưng phổ biến nhất vẫn là thư viện libpcap bộ thư viện Libpcap hỗ trợ cho hầu hết các công cụ thu thập và phân tích gói tin mã nguồn mở mà sẽ được đề cập trong báo cáo này như: Dumpcap, Wireshark, Tcpdump … và còn nhiều các công cụ khác nữa Tất cả các kiểu dữ liệu NSM hầu hết đều sử dụng định dạng pcap, nhờ có thư viện libpcap mà công việc xử lý và trích xuất các kiểu dữ liệu dạng thu thập trở nên dễ dàng hơn

Netsniff-NG là một công cụ capture được đánh giá hiệu năng cao, được viết bởi Daniel Bork mann Trong khi các công cụ mã nguồn mở khác hầu hết đều sử dụng hàm thư viên Libcap để capture, thì Netsniff-NG sử dụng cơ chế zero-copy để capture packets Đây là cơ chế mà có thể hỗ trợ Netsniff-NG hoạt động ở một môi trường mạng tải cao

Một trong những tính năng đặc thù của Netsniff-NG đó là không chỉ cho phép thực hiện capture packet với RX_RING trong cơ chế zero_copy mà còn cả chiều chuyển tiếp packet TX_RING Điều này có nghĩa rằng Netsniff-NG cung cấp khả năng capture packet trên một interface và chuyển hướng chúng sang một interface khác Netsniff-NG cũng có khả năng cho phép lọc các packet capture được trong quá trình chuyển hướng các packet giữa các interface

Ví dụ lệnh chạy Netsniff-NG:

netsniff-ng -i eth0 -o data.pcap

Lệnh trên sẽ thực hiện capture packet trên interface eth0, và ghi chúng ra một file có tên là data.pcap, với tham số -o Trong câu lệnh trên, các packet capture sẽ hiện lên màn hình, và nếu không muốn các packet capture được hiện lên trên màn hình ta có thể dùng đến tham số -s để đưa về chế độ chạy nền

Netsniff-NG cung cấp một số các tùy chọn sau trong công việc capture FPC:

 -g <group> : chạy capture packet trên một group được chỉ định

 -f <filename> : sử dụng tính năng lọc BPF từ một file được chỉ định

 -F <value> : chỉ định dung lượng file, hoặc thời gian capture kết thúc ở chế

độ single-file

 -H : đặt chế độ xử lý ưu tiên cho tiến trình capture

 -i <interface> : chỉ định giao diện lắng nghe thu thập packet

 -o <file> : đầu ra của file

 -t <type> : khai báo kiểu luồng dữ liệu sẽ thực hiện capture

 -P <prefix> : đặt đường dẫn cho file capture

 -s : khai báo chế độ chạy nền

 -u <user> : khai báo chạy với quyền user

PSTR Data là một thuật ngữ chính xác để định nghĩa về những thông tin mà

nó mang lại Đó là một chuỗi những thông tin khác nhau mà một nhà phân tích có thể khai thác ở nó Ví dụ, một vài trường hợp một tổ chức chi muốn xem xét kiểm tra và giám sát lưu lượng các giao thức ở tầng ứng dụng như (HTTP hoặc SMTP)

mà không muốn tốn quá nhiều phân vùng lưu trữ để có thể thu thập FPC data Trong trường hợp này, tổ chức này đã loại bỏ đi những dữ liệu không cần thiết cho mục đích giám sát của mình Với PSTR data ta có thể thu thập chắt lọc từ FPC data hoặc có thể trực tiếp thu thập PSTR data với sự trợ giúp của một số công cụ tốt

Justniffer là một công cụ mạnh mẽ cho phép tùy biến các kết quả phân tích một cách phong phú với những gói TCP có lưu lượng HTTP Justniffer được phát triển chủ yếu cho việc tinh giản các thông tin mạng trong các quá trình khắc phục sự

cố Điều này chính là cần thiết cho những chuyên gia phân tích với tất cả các mục đích sẽ làm với kiểu dữ liệu PSTR Justniffer cũng có thể tăng cường sự mạnh mẽ của nó với các script đơn giản để có thể tùy biến đầu ra như một giải pháp thống kê

và phân tích Các script này có thể viết bằng một bash script Hoặc trong một trường hợp khác có thể sử dụng một ngôn ngữ kịch bản Python script được gọi là Justniffer-grab-http-traffic, dùng để trích xuất ra các giao tiếp HTTP trong suốt quá trình thu thập Justniffer có thể được nâng cấp lên để có thể đo, thống kê các khoảng thời gian phản hổi, thời gian kết nối giữa hai điểm đầu cuối Ta có thể tham khảo với cách cài đặt như sau:

Bổ sung vào PPA nguồn cập nhật cho Sniffer:

sudo add-apt-repository ppa:oreste-notelli/ppa

Cập nhật repository:

Sudo apt-get update

Cài đặt Sniffer với APT:

Sudo apt-get install jusniffer

Các tùy chọn trên Justniffer hỗ trợ như sau:

 -I <interface>: Chọn một giao diện mạng để capture gói tin

 -f <file>: Lựa chọn file PCAP để đọc

 -p <filter>: Chọn bộ lọc muốn sử dụng

 -l <format>: Chọn định dạng đặc biệt cho chuỗi thu được

 -u: Mã hóa những kí tự không thể trích xuất ra được bằng dấu chấm

Với Justniffer việc lọc dữ liệu cho các request header, response header không còn là việc khó, làm việc này với Justniffer là vô cùng đơn giản:

sudo justniffer -f packets.pcap -p “tcp port 80” -u -l “%newline%request header%newline%response.header”