Hướng dẫn cài đặt Security Onion
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNGKHOA CƠNG NGHỆ THÔNG TINHọc phần: Chuyên đề an ninh mạngBài báo cáo:Ứng dụng hệ thống IDS Security Onion vào giám sátmôi trường mạng doanh nghiệpGiảng viên hướng dẫn:TS. Nguyễn Ngọc ĐiệpSinh viên thực hiện:Đồn Cơng HồngNguyễn Thành NamĐồng Văn QuangVũ Tiến QuốcPhạm Hải SơnHÀ NỘI, 2020B16DCAT064B16DCAT111B16DCAT128B16DCAT132B16DCAT140 Mục lụcCHƯƠNG 1 Tổng quan về hệ thống phát hiện xâm nhập...........................11.1.Tổng quan về xâm nhập.................................................................................................11.2. Hệ thống phát hiện xâm nhập......................................................................................21.2.1.Hệ thống phát hiện xâm nhập cho mạng....................................................................21.2.2.Hệ thống phát hiện xâm nhập cho host......................................................................31.3. Kỹ thuật phát hiện xâm nhập.......................................................................................41.3.1.Phát hiện xâm nhập dựa trên chữ ký..........................................................................41.3.2.Phát hiện xâm nhập dựa trên bất thường (Anomaly intrusion detection)..................5CHƯƠNG 2 Giới thiệu Security Onion.........................................................72.1. Giới thiệu........................................................................................................................72.2. Các chức năng................................................................................................................72.2.1. Bắt tất cả gói tin (Full Packet Capture):...................................................................82.2.2.Phát hiện mạng và các điểm cuối:.............................................................................92.2.3.Các cơng cụ phân tích..............................................................................................122.2.4. Các cơng cụ NIDS..................................................................................................192.2.5. Các cơng cụ hỗ trợ phân tích điểm cuối (Host Visibility)......................................20CHƯƠNG 3 Cách thức hoạt động của Security Onion..............................213.1. Kiến trúc.......................................................................................................................213.1.1.Import.......................................................................................................................223.1.2.Evaluation................................................................................................................223.1.3.Standalone................................................................................................................233.1.4.Distributed...............................................................................................................233.1.5.Các loại nodes..........................................................................................................253.2.Cách thức hoạt động....................................................................................................253.2.1. IDS..........................................................................................................................263.2.2. IPS...........................................................................................................................263.3.Cài đặt............................................................................................................................263.3.1.Yêu cầu phần cứng đối với Security Onion.............................................................263.3.2. Môi trường cài đặt...................................................................................................273.3.3.Các tác vụ cần thực hiện sau khi cài đặt xong:........................................................28CHƯƠNG 4 Luật trong Security Onion......................................................304.1. Rule Header.................................................................................................................31 4.1.1 Rule Action..............................................................................................................314.1.2. Protocol...................................................................................................................314.1.3. IP Address...............................................................................................................324.1.4. Port..........................................................................................................................324.1.5. Điều hướng.............................................................................................................324.2. Rule Option...................................................................................................................334.2.1. General....................................................................................................................334.2.2. Payload....................................................................................................................354.2.3. Non-Payload...........................................................................................................384.3: Add Local Rules...........................................................................................................444.3.1.Giới thiệu.................................................................................................................444.3.2.Chính sách IPS.........................................................................................................444.3.3.Các bước thực hiện..................................................................................................45CHƯƠNG 5 Ứng dụng Security Onion giám sát môi trường mạng doanhnghiệp...................................................................................................485.1.Các công cụ được sử dụng......................................................................................485.1.1.Sguil...................................................................................................................485.1.2.Wazuh................................................................................................................515.2.Sơ đồ môi trường demo giám sát/phát hiện xâm nhập........................................765.3. Các bước cài đặt Security Onion để thực hiện giám sát server theo mơ hình mơitrường demo trên................................................................................................................765.4. Thực hiện tấn cơng và phát hiện tấn công từ trong mạng, đưa ra cảnhbáo/phân tích bằng Sguil....................................................................................................925.4.1.Phát hiện tấn cơng rà qt lỗ hổng.................................................................925.4.2.Phát hiện tấn công DOS...................................................................................935.5. Các bước cài đặt Wazuh để thực hiện giám sát các điểm cuối trong mạng theo môitrường demo trên Ubuntu.....................................................................................................985.5.1.Cài đặt Wazuh Server.........................................................................................985.5.2.Cài đặt Wazuh Agent........................................................................................1055.6.Demo Wazuh giám sát tính tồn vẹn của file (file integrity).............................1055.6.1.Tổng quan.......................................................................................................1055.6.2.Mơ hình triển khai.........................................................................................1065.6.3.Hướng dẫn cấu hình.......................................................................................107 Danh mục hình ảnhẢnh 1.1 Vị trí hệ thống IDS trong sơ đồ mạng.........................................................................................2Ảnh 1.2 Các NIDS được bố trí để giám sát phát hiện xâm nhập tại cổng vào và cho từng phân đoạnmạng...........................................................................................................................................................3Ảnh 1.3 Sử dụng kết hợp NIDS và HIDS để giám sát lưu lượng mạng và các host................................4Ảnh 1.4 Lưu đồ giám sát phát hiện tấn công, xâm nhập dựa trên chữ ký................................................5Ảnh 1.5 Biểu đồ tín hiệu entropy theo thời gian.......................................................................................6Ảnh 2.1 Sơ đồ hoạt động của SO trong môi trường mạng doanh nghiệp truyền thống...........................8Ảnh 2.2 Minh họa phát hiện tấn công trên cơ sở hệ thống mạng (NIDS)................................................9Ảnh 2.3 Minh họa phát hiện tấn công dựa trên cơ sở hệ thống máy chủ/đầu cuối (HIDS)...................11Ảnh 2.4 Giao diện của SOC.....................................................................................................................12Ảnh 2.5 Giao diện Hunt...........................................................................................................................12Ảnh 2.6 Giao diện bắt và thu hồi gói tin của SOC..................................................................................13Ảnh 2.7 Giao diện Kibana.......................................................................................................................14Ảnh 2.8 Giao diện Cyberchef..................................................................................................................15Ảnh 2.9 Giao diện CapME.......................................................................................................................16Ảnh 2.10 Giao diện Squert.......................................................................................................................17Ảnh 2.11 Giao diện Sguil.........................................................................................................................18Ảnh 2.12 Giao diện Wireshark................................................................................................................18Ảnh 3.1 Kiến trúc hoạt động tổng thể của Security Onion.....................................................................21Ảnh 3.2 Kiến trúc Evaluation..................................................................................................................22Ảnh 3.3 Kiến trúc Standalone..................................................................................................................23Ảnh 3.4 Kiến trúc Distributed..................................................................................................................24Ảnh 4.1 Cấu trúc luật trong Suricata.......................................................................................................30Ảnh 4.2 Ví dụ luật trong Suricata............................................................................................................30Ảnh 4.3 Thông tin phân loại lớp quy tắc.................................................................................................35Ảnh 4.4 Một số tuỳ chọn của Ipopts........................................................................................................38Ảnh 4.5 Bảng Type của ICMP Header...................................................................................................42Ảnh 4.6 Kiểm tra sguil để biết cảnh báo tương ứng...............................................................................46Ảnh 4.7 Xác minh payload......................................................................................................................47Ảnh 5.1 Giao diện Sguil 0.9.0.................................................................................................................48Ảnh 5.2 Barnyard nhận các cảnh báo từ Snort IDS, sử lý và lưu vào database.....................................49Ảnh 5.3 Tổng quan kiến trúc của Sguil...................................................................................................50Ảnh 5.4 Tổng quan kiến trúc của Sguil (2).............................................................................................51Ảnh 5.5 Kiến trúc Single-node deployment của Wazuh.........................................................................54Ảnh 5.6 Kiến trúc Multi-node deployment của Wazuh...........................................................................54Ảnh 5.7 Sơ đồ giao tiếp giữa agent và server..........................................................................................55Ảnh 5.8 Các file rule trong /var/ ossec/ruleset/rules...............................................................................56Ảnh 5.9 Rule liên quan đến ssh của hệ thống 0095-sshd_rules.xml......................................................57Ảnh 5.10 Cảnh báo hành vi đăng nhập sử dụng một non-existent user.................................................57Ảnh 5.11 Dữ liệu hiển thị trên Kibana dưới dạng Table.........................................................................58Ảnh 5.12 Dữ liệu hiển thị trên Kibana dưới dạng JSON........................................................................59Ảnh 5.13 Các mức độ cảnh báo OSSEC.................................................................................................60Ảnh 5.14 Luật OSSEC.............................................................................................................................61Ảnh 5.15 Thông tin các file rule trong Wazuh.......................................................................................62Ảnh 5.16 Các file rule của Windows.......................................................................................................62Ảnh 5.17 Các file Rules Linux...................................................................................................................63 Ảnh 5.18 Sơ đồ cấu trúc node Manager..................................................................................................64Ảnh 5.19 Tạo bộ decoder mới trong file local_decoder.xml..................................................................66Ảnh 5.20 Thêm thông tin cho rule vào đường dẫn..................................................................................67Ảnh 5.21 Kiểm tra rule............................................................................................................................68Ảnh 5.22 Sao chép decoders.xml............................................................................................................69Ảnh 5.23 Loại bỏ decoders.xml bằng thẻ |