BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ
TÊN ĐỀ TÀI:
XÂY DỰNG PHƯƠNG THỨC GIÁM SÁT,
GHI NHẬN SỰ KIỆN VÀ ĐÁNH GIÁ
HIỆU NĂNG CHO HỆ THỐNG

Giảng viên hướng dẫn : Thầy Lộc Đức Huy
Nhóm sinh viên thực hiện : Nguyễn Đức Tú
Nguyễn Vương Huy
Lớp : VT071A Tháng 06 / 2010
BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC HOA SEN
KHOA KHOA HỌC VÀ CÔNG NGHỆ TÊN ĐỀ TÀI:

 ISA Server 2006 ( Forefront security )
 Window Server 2003, PCs, v v
* Các yêu cầu đặc biệt:
 Mô phỏng mạng bằng Solarwind
 Thiết kế hệ thống mạng giả định

* Các kết quả tối thiểu phải có:
 Ghi nhận, kiểm soát đánh chặn và tối ưu hóa hệ thống mạng


Ngày giao đề tài: 15/03/2010
Họ và tên GV hướng dẫn: Lộc Đức Huy Chữ ký:

ii
TÓM TẮT

Trong vòng 14 tuần thực hiện đề tài “Tìm hiểu xây dựng các phương thức giám
sát, ghi nhận sự kiện và đánh giá hiệu năng hệ thống” chúng tôi đã đạt được các kết
quả sau:
- Nắm bắt và hiểu rõ các khái niệm về bảo mật, giám sát thông tin, các thành
phần của một hệ thống giám sát và tường lửa.
- Qui trình xây dựng một hệ thống giám sát.
- Triển khai những hệ thống giám sát, ghi nhận sự kiện hệ thống như Audit,
Snort, Forefront TMG 2010.
- Đánh giá hiệu năng làm việc và các yếu tố ảnh hưởng của từng mô hình hệ
thống.


v
MỤC LỤC
PHIẾU GIAO ĐỀ TÀI ĐỀ ÁN TỐT NGHIỆP i
TÓM TẮT ii
LỜI CẢM ƠN iii
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN iv
MỤC LỤC v
DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU x
ĐẶT VẤN ĐỀ 1
1. Lý Do Chọn Đề Tài 1
2. Mục Tiêu Đạt Được Sau Đề Tài 1
PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN 2
3. Tổng Quan Về Bảo Mật Thông Tin 2
3.1 Khái quát bảo mật thông tin 2
3.2 Các loại tấn công cơ bản 2
3.3 Nhiệm vụ của người quản trị 3
4. Tổng Quan Giám Sát Thông Tin 4
4.1 Khái quát giám sát thông tin 4
4.2 Mục đích 4
4.3 Lợi ích của việc giám sát thông tin 4
4.4 Vai trò của giám sát thông tin 5
5. Nguyên Tắc Về Bảo Mật Thông Tin 8
5.1 Chiến lược bảo mật hệ thống 8
5.2 An ninh bảo mật mạng 9

9. Audit Policies 37
9.1 Khái quát về các chính sách giám sát sự kiện 37
9.2 Các hạng mục trong Event Viewer 39
9.2.1 Custom view 39
9.2.2 Windows logs 40
9.2.3 Applications and Services Logs 41
9.3 Xây dựng và triển khai mô hình mạng 42
9.3.1 Mô hình lab thực hiện 42
9.4 Thiết lập các chính sách giám sát 42
9.4.1 Application log 42
9.4.2 Audit account logon events 43
9.4.3 Audit account management 45
9.4.4 Audit directory service access 48
9.4.5 Audit logon events 50
9.4.6 Audit object access 52
9.4.7 Audit policy change 56
9.4.8 Audit privilege use 57
9.4.9 Audit process tracking 58
9.4.10 Audit system events 61
9.5 Giám sát hệ thống bằng command-line 62
9.6 Nhận xét 64
10. Xây dựng hệ thống giám sát với SNORT 65
10.1 Giới thiệu Snort 65
10.2 Cấu trúc của Snort 65
10.3 Các chế độ hoạt động của Snort 67

viii
10.3.1 Snort hoạt động như một Sniffer 67
10.3.2 Snort là một Packet Logger 70
10.3.3 Snort là một NIDS 70

PHỤ LỤC FOREFRONT 121
TÀI LIỆU THAM KHẢO 124 x
DANH MỤC CÁC HÌNH ẢNH, BẢNG BIỂU

Hình 1. Kiến trúc IDS 11
Hình 2. IDS dựa trên host. 13
Hình 3. IDS dựa vào mạng 14
Hình 4. Xây dựng hệ thống với IPS. 17
Hình 5. Hệ thống Promiscuous mode IPS 20
Hình 6. Hệ thống In-line IPS 21
Hình 7. Hệ thống Signature-based IPS 21
Hình 8. Hệ thống Anomaly-based IPS 22
Hình 9. Hệ thống policy – based IPS 23
Hình 10. Bộ lọc ứng dụng. 26
Hình 11. Cơ chế cổng vòng. 27
Hình 12. Single-Homed Bastion Host. 29
Hình 13. Dual-Homed Bastion Host 29
Hình 14. Mô hình vùng phi quân sự. 30
Hình 15. Land Attack 31
Hình 16. Smurf Attack 32
Hình 17. Giả mạo ARP Cache 34
Hình 18. Hộp thoại Create Custom View. 39
Hình 19. Khung nhìn hiển thị kết quả xuất hiện dưới Custom Views 40
Hình 20. Mô hình Lab triển khai 42
Hình 21. Các chính sách giám sát 43
Hình 22. Thiết lập chính sách giám sát 43


Hình 50.Thoát tiến trình 60
Hình 51.Ghi nhận sự kiện khởi động Firewall 61
Hình 52.Ghi nhận sự kiện tắt Firewall 62
Hình 53. Danh sách giám sát trong command-line 62
Hình 54. Liệt kê chi tiết giám sát command-line 63
Hình 55. Thông tin giám sát của account logon trong command-line 64
Hình 56. Mô hình của các thành phần Snort 65
Hình 57. Lệnh snort -W 68
Hình 58. Lệnh snort –v -ix 68
Hình 59. Ví dụ client ping 68
Hình 60. Bảng tóm tắt các gói tin được bắt giữ trên Win 69
Hình 61. Lệnh snort –vd -ix 69
Hình 62. Lệnh snort –vde –ix 69
Hình 63. Cấu trúc của một rule 71
Hình 64. Ví dụ cấu trúc rule 71
Hình 65. Cấu trúc phần Header 72
Hình 66. Base đang hoạt động 74
Hình 67. Thống kế dưới dạng đồ họa 74
Hình 68. Thông tin 5 cảnh báo xảy ra nhiều nhất 75
Hình 69. Thông tin máy ping 75
Hình 70. Thông tin IP 75
Hình 71 Các thông số 77
Hình 72. Hiệu suất CPU khi Snort hoạt động 78

xiii
Hình 73. Triển khai IDS 78
Hình 74. Port Monitor 79
Hình 75. Tấn công nội bộ. 79
Hình 76. Máy Victim 1 80
Hình 77. Máy Victim 2 81

Hình 106. Trang web tìm kiếm 110
Hình 107. Thông tin IP 110
Hình 108. lệnh tail –f 110
Hình 109. Bảng tóm tắt các gói tin được bắt giữ 111
Hình 110. Installation Options 112
Hình 111. Not Using PCAP_FRAMES trên Win 113
Hình 112. Màn hình trên máy ảo báo lỗi khi cái Window Server 2008 x64 121
Hình 113. Báo lỗi cài Prepairation tool 123
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 1
ĐẶT VẤN ĐỀ
1. Lý Do Chọn Đề Tài
Đây là một đề tài có tính thực tiễn cao, áp dụng được cho hầu hết các hệ thống lớn
nhỏ. Hệ thống máy server farm hay hệ thống máy DMZ, đều là những khu vực quan
trọng đòi hỏi tính ổn định, an toàn và bảo mật cao, không cho bất kỳ một luồng thông
tin trái phép xâm nhập vào hệ thống. Chính vì thế chúng ta phải lập các kế hoạch,
phương thức giám sát , ghi nhận lại tất cả các sự kiện xâm nhập hệ thống trái phép hay
truy cập thay đổi dữ liệu, bên cạnh đó thường xuyên kiểm tra đánh giá hiệu năng cho
hệ thống để đảm bảo tính ổn định và không bị quá tải.
2. Mục Tiêu Đạt Được Sau Đề Tài
Chúng tôi sẽ có một kiến thức nhất định về xây dựng, triển khai các phương thức giám
sát, ghi nhận các sự kiện và đánh giá hiệu năng cho hệ thống.
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 2
PHẦN I: CÁC KHÁI NIỆM TỔNG QUAN
3. Tổng Quan Về Bảo Mật Thông Tin

Lĩnh vực bảo mật thông tin đòi hỏi người quản trị mạng phải luôn tìm tòi,
nghiên cứu và đào sâu những kiến thức mới để luôn làm chủ trong mọi tình huống sự
cố.
Đồng thời họ phải thiết lập các chiến lược xây dựng hệ thống bảo mật sao cho
hiệu quả và phù hợp với cơ địa của từng hệ thống thông tin của các doanh nghiệp khác
nhau.
Thường xuyên theo dõi, giám sát những luồng thông tin và lượng truy cập vào
tài nguyên mạng. Đề xuất những phương án dự phòng khi hệ thống gặp sự cố hay bị
tấn công. Lập lịch bảo trì hệ thống thường xuyên để giảm thiểu những rủi ro ngoài ý
muốn.
Luôn cập nhật những công nghệ mới về bảo mật thông tin và áp dụng chúng
một cách hài hòa và hợp lý. Đó chỉ là điều kiện cần cho những quản trị mạng phải có
để đảm bảo hệ thống thông tin luôn an toàn và bảo mật ở mức độ cao nhất có thể.

Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 4
4. Tổng Quan Giám Sát Thông Tin
4.1 Khái quát giám sát thông tin
Khi công nghệ máy tính đã tiên tiến, các tổ chức đã trở nên ngày càng phụ
thuộc vào hệ thống thông tin máy tính để thực hiện các hoạt động quy trình, duy trì, và
báo cáo thông tin cần thiết.
Giám sát công nghệ thông tin, hoặc giám sát hệ thống thông tin, là một sự kiểm
tra các điều khiển trong phần cơ sở hạ tầng trong công nghệ thông tin (IT). Một giám
sát IT cần có quá trình thu thập và đánh giá rõ ràng các hệ thống thông tin và các hoạt
động của một tổ chức. Các đánh giá rõ ràng thu được quyết định nếu hệ thống thông
tin là bảo vệ tài sản, duy trì tính toàn vẹn dữ liệu, và hoạt động hiệu quả để đạt được
những mục tiêu hay những mục đích của tổ chức.
4.2 Mục đích

tham gia đội ngũ nhân viên trong quá trình giám sát, đồng thời dạy họ thêm về
các quy trình, triết lý và các cấu trúc hỗ trợ việc sử dụng các nguồn tài nguyên
thông tin công ty. Các nhân viên sẽ có một sự hiểu biết tốt hơn, hình ảnh của
thông tin và vai trò của nó trong tổ chức.
4.4 Vai trò của giám sát thông tin
Thông tin đang ngày càng được công nhận là một nguồn tài nguyên có giá trị
mà cần phải được quản lý.
- Quản lý thông tin cá nhân
Một trong những kết quả của giám sát thông tin là kiến thức về các
nguồn thông tin sẵn có và nơi chúng được cất giữ. Điều này có thể tăng cường
sử dụng thông tin.
Việc kiểm kê các thông tin được phân tích về tính hữu ích của các
nguồn thông tin và theo thông tin này, các quyết định về lưu trữ hoặc xử lý
thông tin có thể được thực hiện.

Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp

Xây Dựng Các Phương Thức Giám Sát,
Ghi Nhận Sự Kiện và Đánh Giá Hiệu Năng Cho Hệ Thống Trang 6
- Quảng bá thông tin
Một giám sát thông tin làm tăng nhận thức về thông tin, phổ biến và sao
chép thông tin, tổ chức thông tin, truy cập thông tin, bảo vệ và lưu trữ thông
tin.
- Quản lý hoạt động thông tin
Xác định nhu cầu thông tin là một thành phần rất quan trọng của giám
sát thông tin. Trong quá trình giám sát thông tin, nguồn thông tin xác định được
đánh giá về giá trị cao thích hợp cho người sử dụng biết.
- Tổ chức quản lý thông tin
Phát triển và cung cấp một cơ sở hạ tầng công nghệ thông tin: Việc giám
sát các thông tin có thể được cấu trúc bao gồm các xét nghiệm công cụ công

5. Nguyên Tắc Về Bảo Mật Thông Tin
5.1 Chiến lược bảo mật hệ thống
- Thiết lập và giới hạn quyền cho user
Đối với các user chúng ta phải thiết lập chính sách quyền hạn nhất định
đối với tài nguyên mạng cho chúng. Từng loại user sẽ có các quyền hạn khác
nhau, ví dụ như một user của trưởng phòng sẽ có nhiều quyền hạn hơn user của
nhân viên. Tương tự như vậy user ở cấp độ thấp thì càng ít quyền hạn hơn,
phân quyền như vậy giúp ta hạn chế được những sự truy cập trái phép từ một
user bất kỳ.
- Bảo vệ theo chiều sâu
Trong quá trình xây dựng hệ thống bảo mật ta không nên quá tin tưởng
và dựa vào một chế độ bảo vệ an toàn nào cho dù chúng rất mạnh, mà nên tạo
nhiều cơ chế an toàn để tương hỗ lẫn nhau. Với một hệ thống bảo vệ nhiều lớp
sẽ giúp ngăn cản và làm chậm quá trình thâm nhập của hacker, vì mỗi lớp bảo
vệ với một cơ chế bảo mật khác nhau nên chúng phải mất rất nhiều thời gian để
có thể phá các cơ chế bảo vệ này, đồng thời ta có thêm thời gian để khắc phục
sự cố một cách kịp thời.
- Điểm liên kết yếu nhất
Trong hệ thống bảo vệ không phải lúc nào cũng kiên cố và an toàn,
những kẻ tấn công phá hoại thường tìm những chỗ yếu nhất của hệ thống để tấn
công, do đó ta cần phải thường xuyên kiểm tra, giám sát hệ thống để kịp thời
phát hiện những lỗ hổng để khắc phục. Thông thường chúng ta chỉ quan tâm
đến kẻ tấn công trên mạng hơn là kẻ tiếp cận hệ thống, vì vậy an toàn vật lý
được coi là điểm yếu nhất của hệ thống chúng ta.
- Tính đa dạng bảo vệ
Nếu chúng ta làm việc trong một công ty lớn, gồm nhiều hệ thống máy
chủ khác nhau thì chúng ta cần sử dụng nhiều biện pháp bảo vệ khác nhau để
tăng độ phức tạp về bảo mật cho các hệ thống, nếu không một khi kẻ tấn công
Trường Đại Học Hoa Sen Khóa Luận Tốt Nghiệp

Trích đoạn Applications and Services Logs Audit logon events Audit process tracking Cấu trúc của phần Header Hiệu năng của Snort

---