Triển Khai Hệ Thống Giám Sát AlienVault
Mô hình cài đặt
Cài đặt AlienVault
Nhấn Enter để tiếp tục → Chọn ngôn ngữ → Nhấn Continue → Đợi load xong.
Chọn eth0 là interface kết nối đến máy tính quản trị
Tiếp tục cấu hình địa chỉ IP của Interface này, đây là địa chỉ IP trong mạng quản lý. Theo mô hình mạng trên nó có IP là: 172.16.1.2
SubnetMask: 255.255.255.0, Gateway: 172.16.1.1
Tiếp theo nhập mật khẩu cho tài khoản quản trị root:
Các bước tiếp theo để mặc định và quá trình cài đặt bắt đầu.
Giao diện đăng nhập hệ điều hành sau khi cài đặt xong.
Đăng nhập với quyền root để vào hệ thống.
Ta có thể truy cập vào giao diện đồ hoạ của AlienVault bằng trình duyệt theo địa chỉ 172.16.1.2
Cấu hình AlienVault
Cấu hình mạng giám sát
Tại menu chọn của AlienVault, chọn mục 3 Jaibreak System để vào CLI và cấu hình mạng như sau:
Lưu lại cấu hình mạng.
Khởi động lại cấu hình mạng bằng lệnh
service networking restart
Kiểm tra lại cấu hình mạng.
Cấu hình bộ cảm biến OSSEC
Sau khi cấu hình mạng hoàn tất, tiếp theo phải cấu hình các thông số về máy tính được giám sát bao gồm: tên máy, địa chỉ IP. Sau đó phải tạo khóa xác thực giữa máy chủ AlienVault và máy được giám sát.
Để làm được điều này cần sử dụng phần mềm kết nối thông qua giao thức SSH tới AlienVault. Sử dụng MobaXterm (có thể thay bằng PuTTy hoặc các phần mềm tương tự khác) để kết nối:
Giao diện quản trị AlienVault xuất hiện
Chọn số 3 để vào CLI
Chọn A để thêm máy tính giám sát
Chọn y để xác nhận thêm máy tính.
Tiếp tục chọn E để trích xuất khóa xác thực sử dụng cho máy Windows 2019.
Quay trở lại giao diện chính, thiết lập agent là máy Linux. Chọn (A).
Nhập thông tin về tên web server và địa chỉ IP tương ứng:
Chọn y để xác nhận. Tiếp tục chọn E để trích xuất khóa xác thực.
Cài đặt và cấu hình máy OSSEC trên máy tính được giám sát
Trên máy Windows
Để thực hiện giám sát các hành vi tấn công tại các máy tính chạy Windows phải cài đặt công cụ phần mềm OSSEC client trên các máy đó. Khi có sự kiện xảy ra trên máy này OSSEC client sẽ gửi thông tin về máy chủ OSSEC (AlienVault) để phân tích và phát hiện hành vi tấn công.
Kích hoạt chức năng ghi lại hành động đăng nhập bằng tài khoản của Windows Server bằng cách:
Start → Administrative Tools → Local Security Policy.
Trong mục Audit Policy kích hoạt ghi lại hành động đăng nhập cả thành công và thất bại.
Bật cmd, gõ lệnh gpupdate /force để cập nhật policy
Tiếp theo cài đặt phần mềm Ossec Agent. Nhấn Next theo mặc định.
Sau khi cài đặt thành công nhập thông tin về máy chủ OSSEC: IP, Key Authention đã trích xuất ở bước trên. Chọn Manage → Start để kích hoạt.
Nhấn Save để lưu thiết lập.
Trên máy Linux
Cài đặt các gói cần thiết
sudo apt install build-essential
sudo apt-get install -y libsystemd-dev
sudo apt install gcc make libevent-dev zlib1g-dev libssl-dev libpcre2-dev
Tải gói phần mềm ossec-hids về rồi giải nén.
Tiến hành cài OSSEC
Nhấn Enter để bắt đầu quá trình cài đặt.
Truy cập vào tiến trình quản lý ossec agent để nhập khóa xác thực đã tạo trên máy AlienVault.
Sử dụng lệnh sau để khởi động lại dịch vụ trên cả máy chủ AlienVault và Linux: Restart lại dịch vụ và kiểm tra agent đã kết nối.
Hoàn thành thiết lập 2 máy agent để máy chủ AlienValult giám sát sự kiện từ xa
Quản lý AlienVault thông qua giao diện web
Sử dụng trình duyệt web truy cập theo địa chỉ IP: https://172.16.1.2
Giao diện tổng quát của AlienVault:
Trong Tab Analysis, chọn chức năng phân tích sự kiện an toàn (Security events)
Chọn Real Time để theo dõi sự kiện theo thời gian thực:
Trong Tab Environment chọn Detection để xem các trạng thái hoạt động của các agent hiện tại:
Thực hiện tấn công vào mật khẩu trên máy Server 2019
Trên máy Kali: Bật công cụ xhydra để tấn công mật khẩu bằng từ điển:
Tab target:
Single Target: 192.168.1.3
Port: 3389
Protocol : rdp
Tab Passwords:
Username: administrator
PasswordList: cài đặt và dùng thư viện rockyou.txt
Chuyển sang giao diện web quản trị AlienVault với chức năng giám sát thời gian thực :
Ta phát hiện sự kiện máy tính server bị tấn công.
YOUTUBE
Toàn bộ quá trình mình thực hiện có thể xem tại link youtube sau:
