[ LAB 4 ] Tích hợp OPNsense với hệ thống giám sát (Graylog)

T

TuanKhai3112

Intern
Mục lục
I. Các thành phần trong mô hình
II. Nội dung
 1. Cài đặt Graylog trên Ubuntu
 2. Tích hợp OPNsense với Graylog sử dụng Suricata
III. Kết luận
I. Các thành phần trong mô hình
Mô hình mạng sử dụng để triển khai luật phát hiện cơ bản bao gồm:
OPNsense:​
  • Giao diện WAN: NAT kết nối ra Internet.​
  • Giao diện LAN (vmnet5): Kết nối nội bộ với các máy ảo Kali, Windows và Ubuntu.​
Máy Windows 7 (IP: 192.168.1.10):​
  • Gắn card mạng vmnet5.​
  • Được dùng làm mục tiêu kiểm tra cảnh báo từ Suricata.​
Máy Kali Linux (IP: 192.168.1.20):​
  • Gắn 2 card mạng:​
    • NAT (để kết nối Internet).​
    • vmnet5 (để gửi lưu lượng nội bộ tới Windows 7 và đi qua OPNsense).​
  • Dùng để tạo traffic kiểm thử như ping, scan cổng, kết nối HTTPS, v.v.​
Máy Ubuntu (IP: 192.168.1.30): ( máy dựng tiếp theo trong bài này )​
  • Gắn 2 card mạng:​
    • NAT (để kết nối Internet).​
    • vmnet5 (để kết nối nội bộ và tương tác với các máy trong mạng LAN).​
  • Sử dụng để hỗ trợ kiểm thử thêm lưu lượng mạng và gửi log tới Graylog.​
II. Nội dung
 1. Cài đặt Graylog trên Ubuntu​
  • Bước 1: Cập nhật hệ thống​
    • sudo apt update && sudo apt upgrade -y​
  • Bước 2: Cài đặt Java (Graylog yêu cầu Java 11+)​
    • sudo apt install openjdk-11-jre-headless -y​
    • java -version​
  • Bước 3: Cài đặt MongoDB​
  • Bước 4: Cài đặt Elasticsearch​
    • Graylog 7.0.8 thường tương thích với Elasticsearch 7.x, cài bản phù hợp:​
    • wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -​
    • sudo apt install apt-transport-https -y​
    • echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list​
    • sudo apt update​
    • sudo apt install elasticsearch -y​
    • sudo systemctl enable elasticsearch​
    • sudo systemctl start elasticsearch​
    • sudo systemctl status elasticsearch​
    • Chỉnh sửa cấu hình Elasticsearch:​
    • Mở file /etc/elasticsearch/elasticsearch.yml chỉnh sửa hoặc thêm dòng:​
    • cluster.name: graylog​
    • network.host: 127.0.0.1​
    • Sau đó restart:​
    • sudo systemctl restart elasticsearch​
  • Bước 5: Cài đặt Graylog server​
  • Bước 6: Cấu hình Graylog​
    • Tạo mật khẩu cho admin:​
    • echo -n yourpassword | shasum -a 256​
    • Mở file /etc/graylog/server/server.conf tìm và sửa các dòng sau:​
    • password_secret = (tạo một chuỗi ngẫu nhiên dài 96 ký tự, dùng lệnh `pwgen -N 1 -s 96` để tạo)​
    • root_password_sha2 = (đặt giá trị mã hóa sha256 của mật khẩu admin ở trên)​
    • rest_listen_uri = http://0.0.0.0:9000/api/
    • web_listen_uri = http://0.0.0.0:9000/
  • Bước 7: Khởi động Graylog​
    • sudo systemctl daemon-reload​
    • sudo systemctl enable graylog-server​
    • sudo systemctl start graylog-server​
    • sudo systemctl status graylog-server​
  • Bước 8: Truy cập giao diện web Graylog​
    • Mở trình duyệt vào http://192.168.1.30:9000, đăng nhập với tài khoản admin và mật khẩu đã tạo.​
1748808366062.png
2. Tích hợp OPNsense với Graylog sử dụng Suricata
Vào giao diện Graylog chọn System > Inputs :
1748808528253.png

Cấu hình Suricata xuất log sang Graylog :
1748808651504.png

Sau đó cấu hình 1 rule phát hiện Scan từ kali sang win7 để test :
1748808738410.png

Tiếp theo sang kali :
1748808787838.png

Ta sẽ thấy được từ OPNSense :
1748808822332.png

Sau đó vào Gaylog để xem :
1748808847941.png

Vậy đã thấy được log từ Graylog.​
III. Kết luận
  • Việc tích hợp OPNsense với hệ thống giám sát log tập trung Graylog thông qua công cụ phát hiện xâm nhập Suricata giúp nâng cao khả năng giám sát và phát hiện các sự cố bảo mật mạng một cách hiệu quả. Mô hình này tận dụng được ưu điểm của Suricata trong việc phân tích lưu lượng mạng theo thời gian thực, đồng thời gửi các cảnh báo dạng log về Graylog để tập trung quản lý và phân tích chi tiết.​
  • Qua các bước triển khai, chúng ta đã thực hiện thành công việc cài đặt Graylog trên máy chủ Ubuntu, cấu hình Suricata trên OPNsense để phát hiện các hành vi bất thường và thiết lập gửi log về Graylog. Điều này không những giúp cho việc quản lý sự kiện mạng được trực quan và dễ dàng hơn mà còn hỗ trợ phân tích sâu các cảnh báo giúp tăng cường bảo mật cho hệ thống mạng nội bộ.​
  • Từ đó, mô hình giám sát này phù hợp áp dụng cho các hệ thống mạng doanh nghiệp vừa và nhỏ, góp phần nâng cao hiệu quả quản lý an ninh mạng, hỗ trợ nhanh chóng trong việc phản ứng với các mối đe dọa bảo mật.​


 
Bài viết liên quan
[Lý thuyết] #2: Tìm hiểu cơ chế phát hiện tấn công bởi Hải Đăng,
[Lý thuyết] #1: Tìm hiểu khái niệm IPS/IDS bởi Hải Đăng,
[ LAB 6 ] Cấu hình HA và Backup cho hệ thống IPS/IDS bởi TuanKhai3112,
[ LAB 5 ] Kiểm tra và xác nhận cấu hình OPNsense và Graylog bởi TuanKhai3112,
[ LAB 3 ] Cấu hình luật phát hiện cơ bản trên OPNsense bởi TuanKhai3112,
[LAB 2] Cấu hình mô phỏng SPAN Port trên OPNsense để giám sát mạng nội bộ bởi TuanKhai3112,
Được quan tâm
[ LAB 3 ] Cấu hình luật phát hiện cơ bản trên OPNsense bởi TuanKhai3112,
[ LAB 6 ] Cấu hình HA và Backup cho hệ thống IPS/IDS bởi TuanKhai3112,
[ LAB 5 ] Kiểm tra và xác nhận cấu hình OPNsense và Graylog bởi TuanKhai3112,
[Lý thuyết] #1: Tìm hiểu khái niệm IPS/IDS bởi Hải Đăng,
[Lý thuyết] #2: Tìm hiểu cơ chế phát hiện tấn công bởi Hải Đăng,
Bài viết mới
[Lý thuyết] #2: Tìm hiểu cơ chế phát hiện tấn công bởi Hải Đăng,
[Lý thuyết] #1: Tìm hiểu khái niệm IPS/IDS bởi Hải Đăng,
[ LAB 6 ] Cấu hình HA và Backup cho hệ thống IPS/IDS bởi TuanKhai3112,
[ LAB 5 ] Kiểm tra và xác nhận cấu hình OPNsense và Graylog bởi TuanKhai3112,
[ LAB 3 ] Cấu hình luật phát hiện cơ bản trên OPNsense bởi TuanKhai3112,
[LAB 2] Cấu hình mô phỏng SPAN Port trên OPNsense để giám sát mạng nội bộ bởi TuanKhai3112,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top