Thao trường mạng CrC500: Giải pháp đào tạo, diễn tập an ninh mạng Việt Nam
Thao trường mạng (Cyber Range) [1] là giải pháp giúp các chuyên gia, học viên có thể thực hành các kỹ thuật, kỹ năng trong các mạng và hệ thống phức tạp; nhằm phản ứng với những tình huống thực tế phổ biến hoặc đặc thù. Đây là môi trường ảo và độc lập được thiết kế cho mục đích đào tạo, huấn luyện và diễn tập với chi phí thấp, thời gian triển khai nhanh, ít bị hạn chế bởi các quy định về bảo mật so với việc tiếp cận các hệ thống vật lý thực tế.
Ngoài ra, thao trường mạng còn có thể được sử dụng để kiểm thử, đánh giá an toàn một hệ thống công nghệ thông tin (CNTT) cụ thể dựa trên việc mô phỏng, giả lập hệ thống trên thao trường mà không cần tiếp cận trực tiếp hệ thống thực tế.
Hiện nay, nhiều giải pháp thao trường mạng trên thế giới đã được phát triển dưới sự bảo trợ của chính phủ, quân đội hoặc là sản phẩm độc lập của các công ty lớn như: CyberBit, Cisco CyberRange, KYPO, DoD Cyber Security Range, Virginia Cyber Range, Raytheon Cyber Range, European Space Agency (ESA) Cyber Range, CybExer Cyber Range, IBM Cyber Range.
Trong đó, CyberBit [2] của Israel, Cisco CyberRange [3] của Mỹ là 2 sản phẩm được sử dụng phổ biến tại Việt Nam. Đây là 2 giải pháp có quy mô, mức độ hoàn thiện cao, có khả năng tạo ra các mạng phức tạp. Tuy nhiên, sản phẩm này chưa thực sự phù hợp tại Việt Nam bởi: mức độ phụ thuộc công nghệ; chi phí bản quyền lớn; khả năng tuỳ biến phù hợp với yêu cầu thực tế tại Việt Nam chưa cao.
Ở Việt Nam, một số công ty, đơn vị nghiên cứu cũng đã bước đầu tiếp cận xây dựng các hệ thống diễn tập an ninh mạng như: tập đoàn Bkav, Đại học Công nghệ thông tin (Đại học Quốc gia thành phố Hồ Chí Minh). Tuy nhiên, các sản phẩm này đang trong giai đoạn thử nghiệm, ứng dụng trong một số phạm vi nhất định.
C500 Cyber Range (CrC500) [4] của Học viện An ninh nhân dân là thao trường mạng có các chức năng cơ bản của Cyberbit, Cisco Cyber Range. CrC500 được phát triển dựa trên việc tích hợp các giải pháp nguồn mở như: OpenStack, Linux Firmadyne, các công cụ rà quét, khai thác lỗ hổng, pháp lý số… Đặc biệt, công cụ mô phỏng mạng EVE-NG, giám sát mạng Splunk và cổng quản lý được tự phát triển dựa trên nền tảng ASP.NET MVC. Thao trường là giải pháp có chi phí thấp, có thể triển khai trên các hạ tầng sẵn có, phù hợp với điều kiện hiện tại của nước ta. Hệ thống có khả năng tuỳ biến, mở rộng cao, dễ dàng nâng cấp và bổ sung các kịch bản, mục tiêu phù hợp với bài toán an ninh mạng ở Việt Nam.
Nếu như các giải pháp nước ngoài hướng tới xây dựng các mạng Điều khiển giám sát và thu thập dữ liệu (Supervisory control and data acquisition – SCADA) phức tạp, đánh giá các sản phẩm cao cấp cung cấp cho doanh nghiệp; thì CrC500 hướng tới việc mô phỏng các hạ tầng thiết bị phổ biến trong các cơ quan, doanh nghiệp và gia đình như: các thiết bị dân dụng, thiết bị di động sử dụng hệ điều hành Android, các hệ thống mạng phổ biến từ doanh nghiệp cho đến gia đình.
Các chức năng của chính của CrC500
Cung cấp các môi trường ảo: với số lượng từ 10 đến hàng trăm máy tính và được thiết lập sẵn với các công cụ phục vụ thực hành. Bên cạnh đó, phòng Lab ảo cho phép quản lý và truy cập thông qua đám mây, nên người tổ chức thao trường và người học không phải đáp ứng yêu cầu máy tính cấu hình cao, mà chỉ cần sử dụng trình duyệt có kết nối Internet. Song song, quy mô có thể thay đổi dễ dàng trong thời gian ngắn. Để thuận tiện, CrC500 còn cung cấp 50 kịch bản cùng với các hệ thống đã được mô phỏng sẵn và kết nối mặc định với các phòng Lab ảo.
Giám sát toàn bộ trạng thái các hệ thống: CrC500 có thể giám sát thông tin các máy tính của người học (gồm thông tin hệ thống, giám sát màn hình, thông tin mạng) và giám sát các thành phần chuyên dụng của các hệ thống như OpenStack, EVE.
Quản lý lớp học và kết quả của người tham gia diễn tập: Hệ thống quản lý kết quả học tập cho phép đánh giá kết quả tự động dựa trên so sánh kết quả, đánh giá thông tin giám sát quá trình của người tham gia hoặc qua chấm báo cáo thông qua kênh tập trung.
Các thành phần của CrC500
Hiện tại, CrC500 hỗ trợ triển khai 3 cách diễn tập khác nhau: theo hình thức cướp cờ (Cature the flag), đối kháng (Attack and Defence) hoặc luyện tập cấu hình, kiểm tra, phân tích mục tiêu.
Kiến trúc tổng thể của CrC500 gồm 6 thành phần chính: Phòng học ảo (C500VC), mô phỏng mạng (EVE), kịch bản diễn tập (C500Sc), giám sát (C500M), quản lý kết quả diễn tập (C500El), mục tiêu (C500Tg).
Hình 1. Mô hình tổng thể hệ thống diễn tập tấn công và phòng thủ CrC500
Phòng học ảo
Thành phần đầu tiên của hệ thống diễn tập là phòng học ảo. Bao gồm các máy tính, thiết bị đi động mà người dùng có thể truy cập và sử dụng để tham gia vào các cuộc diễn tập. Phòng học ảo được sử dụng với 2 mục đích:
- Thực hành: Người học có thể tham gia luyện tập thực hành, chơi CTF...
- Thao diễn: Người học đóng vai là người tham gia tấn công (Redteam) hoặc người tham gia phòng thủ (Blueteam). Đội tấn công sẽ tiến hành các hoạt động tấn công, khai thác các mục tiêu giả định. Đội phòng thủ (Blue team) có vai trò quản trị, đảm bảo an toàn thông tin tiến hành các hoạt động cấu hình thiết bị, khắc phục lỗ hổng bảo mật, đảm bảo an toàn cho hệ thống cần bảo vệ.
Mô phỏng mạng
CrC500 mô phỏng các hệ thống mạng theo các sơ đồ, kịch bản dựa trên module EVE-NG. Đây là một giải pháp mô phỏng mạng được các chuyên gia CISCO đánh giá tốt nhất hiện nay. Module được cài đặt và triển khai đầy đủ, có khả năng mô phỏng các thiết bị mạng bao gồm thiết bị định tuyến, thiết bị tường lửa, IDS/IPS,… để xây dựng được các hệ thống mạng phổ biến hiện nay tại các cơ quan, doanh nghiệp vừa và nhỏ.
Phần mềm có giao diện đồ họa trực quan thuận tiện cho việc quản trị, xây dựng kịch bản, cho phép tối ưu hóa tài nguyên và mô phỏng gần như đầy đủ các thiết bị mạng của các nhà sản xuất khác nhau mà không cần phải tạo host riêng cho từng máy ảo như GNS3. Nó cho phép mô phỏng thiết bị mạng thương mại trên Dynamips hoặc IOU và các thiết bị mạng khác dựa nền tảng QEMU.
Hình 2. Mô phỏng một mạng doanh nghiệp
Module này cho phép xây dựng hệ thống mở, kết nối với các hệ thống khác thông qua các giao thức mạng. Các mô hình mạng được xây dựng có thể kết nối với các phòng học ảo hay mục tiêu. Các mô hình này cũng có thể mở rộng bằng cách kết nối các thiết bị vật lý trực tiếp vào vị trí đã được quy hoạch, cấu hình sẵn. Các dữ liệu được thiết lập cũng được sao lưu để dễ dàng phục hồi khi có sự cố xảy ra.
CrC500 đã cài đặt sẵn 45 mô hình mạng tương ứng với 45 kịch bản, mỗi mô hình được nhân bản thành 10 - 15 phiên bản độc lập khác nhau để cung cấp cho người thực hành, diễn tập.
Giám sát
Module giám sát được phát triển trên giải pháp giám sát mạng Splunk. C500M cho phép giám sát các thiết bị đầu cuối, thiết bị trên định tuyến và băng thông chung của hệ thống mạng. Đối với thiết bị đầu cuối, C500M có thể thu thập nhật ký (log) hệ thống ứng dụng, các thư mục, tệp tin và chương trình đang chạy trên các thiết bị này. Với các thiết bị mạng, C500M có khả năng giám sát hầu hết các dựa trên giao thức SNMP. Dữ liệu thu thập được từ hệ thống giám sát mạng mô phỏng như băng thông luồng dữ liệu, hoạt động của các thiết bị endpoint, thiết bị mạng được trực quan hoá cho người giám sát thông qua các bảng giám sát trực quan (dashboard).
C500M hiện tại đang sử dụng cho giáo viên, quản lý để có giám sát tổng quan cũng như chi tiết về thao trường đang diễn ra. Ngoài ra, C500M còn có khả năng giám sát trực tiếp màn hình của người tham gia diễn tập trong thời gian thực, có thể trực tiếp thao tác để hướng dẫn, hỗ trợ, gợi ý cho người học.
Quản lý thực hành, diễn tập
Module quản lý thực hành, diễn tập giúp quản lý các kịch bản, lớp học, người học và kết quả của người học. C500eL hỗ trợ nhiều kiểu đánh giá khác nhau như tự động đánh giá hay đánh giá qua các báo cáo của sinh viên. C500eL đã tích hợp hệ thống đánh giá theo hình thức CTF, cho phép tính điểm, đánh giá người diễn tập với các tình huống được thiết lập trong hệ thống kịch bản diễn tập. Hệ thống kịch bản diễn tập có thể kết hợp cả hai hình thức: nguy cơ và tấn công phòng thủ. Người dùng sẽ được cung cấp thông tin quản trị các máy chủ, máy thực hiện tấn công trong hệ thống mạng mô phỏng để tìm kiếm các “flag” theo từng kịch bản diễn tập.
Kết quả diễn tập cũng được thể hiện trực quan qua giao diện Website hiển thị thông tin kết quả diễn tập, người dùng có thể dễ dàng theo dõi và tạo không khí cạnh tranh trong các cuộc diễn tập. C500eL cũng giúp giảng viên có thể giám sát máy tính của học viên, qua đó trợ giúp hoặc cảnh bảo sớm các hành vi không được phép. C500eL kết nối với các phân hệ khác để tạo thành hệ thống thống nhất, đồng bộ trong CrC500.
Kịch bản diễn tập
Các kịch bản được xây dựng với các mức độ từ cơ bản đến nâng cao, cho phép huấn luyện, đào tạo nhiều đối tượng học khác nhau. Các kịch bản được xây dựng đảm bảo tính thực tiễn, lựa chọn các hình thức tấn công điển hình, phổ biến trong thực tế. Bên cạnh đó, với lợi thế của hệ thống mô phỏng mạng, CrC500 cho phép xây dựng các kịch bản liên quan đến thiết bị IoT, hệ thống SCADA, cho phép tuỳ chỉnh, lựa chọn quy mô và thiết bị cho mỗi kịch bản tấn công và phòng thủ.
Hệ thống kịch bản cũng kết hợp với hệ thống đánh giá, đưa ra các gợi ý thực hiện cho người học trong thời gian tham gia diễn tập cho từng kịch bản cụ thể. Điều này giúp người học có thể có định hướng tốt hơn hoặc tiếp thu tốt với các kịch bản tấn công và phòng thủ mới.
Hiện tại, C500KB có sẵn 45 kịch bản thuộc 8 nhóm khác nhau, trong đó có các kịch bản mang tính đặc thù của ngành Công an. Cấu trúc của mỗi kịch bản gồm 5 phần: mục tiêu, mô tả kịch bản, yêu cầu diễn tập, cách thức đánh giá và hướng dẫn diễn tập. Để sử dụng được các kịch bản này, các sơ đồ mạng tương ứng, mục tiêu trong kịch bản và máy thực hành phục vụ cho kịch bản luôn sẵn sàng. Nhằm phục vụ cho mục tiêu đào tạo, hơn 50% số kịch bản có sẵn có hướng dẫn diễn tập cụ thể, giúp học viên tham khảo cách giải quyết các kịch bản. Đây là đặc trưng và cũng đóng góp lớn của các nhà phát triển CrC500 đối với thao trường giành cho đào tạo, huấn luyện về an toàn, an ninh mạng.
Các mục tiêu thực hành
C500Tg là tập các mục tiêu sử dụng để thực hành cấu hình, rà quét, khai thác lỗi, tấn công, phân tích đánh giá trong các kịch bản. C500Tg hỗ trợ thiết lập nhiều loại mục tiêu khác nhau: các máy chủ, máy trạm, thiết bị mobile, thiết bị mạng hay cả hệ thống mạng. Các mục tiêu được tạo ra từ các nguồn:
- EVE-NG: giải pháp giúp mô phỏng các thiết bị mạng phổ biến như router, tường lửa của các doanh nghiệp, các máy chủ, máy trạm…
- F-Sandbox: giải pháp được cải tiến và tích hợp vào hệ thống với mục đích mô phỏng các thiết bị định tuyến dòng soho của các hãng như Tplink, Dlink…
Theo tập các kịch bản C500KB, các mục tiêu khác nhau gắn với các kịch bản đã được xây dựng sẵn cho diễn tập. Bên cạnh đó, đối với các mục tiêu IoT, tập mục tiêu trong hệ thống mạng đã tích hợp các mục tiêu thực tế để đảm bảo thao trường diễn tập có tính thực tiễn cao. Hệ thống cũng cho phép mở rộng kết nối với các mục tiêu là các máy trạm, máy chủ, thiết bị di động mô phỏng trên VMWare, OpenStack…
Kết luận
CrC500 hiện vẫn đang tiếp tục được hoàn thiện để tích hợp các khả năng mới như: tạo luồng dữ liệu mạng mô phỏng tấn công, đánh giá mức độ chịu tải hệ thống, mở rộng các loại mạng, đa dạng phù hợp với từng lĩnh vực, các phòng lab chuyên dụng cho phân tích chứng cứ điện tử, phân tích mã độc… Quản trị viên, giáo viên và học viên tham gia thao trường mạng CrC500 thông qua cổng địa chỉ qldt.firmware.vn.
Tài liệu tham khảo [1]. Evangelos C. Chaskos, Cyber-security training: A comparative analysis of cyber- ranges and emerging trends, Master thesis, National and Kapodistrian university of Athens, 3-2019.
[2]. CyberBit. Url: https://www.cyberbit.com/.
[3]. Hệ thống huấn luyện an toàn thông tin mạng Cyber Range. Url: http://www.antoanthongtin.vn/tin-tuc-san-pham/he-thong-huan-luyen-an-toan-thong-tin-mang-cyber-range-105479.
[4]. Dung Xuan Nguyen, Thuy Thi Thanh Pham, Toan Ngoc Nguyen, Phu Nghi Tran, Dung Thi Kim Ha, Hoai Thi Phan. CyberRC500: Towards an Ecosystem for Cyber Security Training. Tạp chí Khoa học Quân sự, 2018.
|
TS. Trần Nghi Phú, Học viện An ninh nhân dân