Home lab không chỉ là nơi để bạn thử nghiệm các hệ điều hành, công cụ mới hay tự lưu trữ dịch vụ nhằm giảm sự phụ thuộc vào các giải pháp đám mây. Nó còn là môi trường lý tưởng để học hỏi các quy trình chuẩn công nghiệp và cập nhật xu hướng phát triển trong lĩnh vực IT. Một thành phần cốt lõi của home lab là tường lửa phần cứng, cho phép bạn tìm hiểu về các quy tắc tường lửa nâng cao và các gói bảo mật khác mà hệ điều hành tường lửa có thể chạy.
Một gói bảo mật quan trọng là IDS (Intrusion Detection System – Hệ thống phát hiện xâm nhập). Công cụ giám sát này theo dõi lưu lượng mạng và báo cáo các vấn đề tiềm ẩn dựa trên bộ quy tắc của nó cho quản trị viên và/hoặc một IPS (Intrusion Prevention System – Hệ thống ngăn chặn xâm nhập). Snort và Suricata là hai gói IDS/IPS mã nguồn mở thường được sử dụng trong môi trường doanh nghiệp và chúng cũng hữu ích không kém trong home lab.
Thiết bị mạng trong tủ rack, minh họa hệ thống home lab và tường lửa phần cứng
1. Phát hiện mối đe dọa nâng cao vượt trội
Tường lửa truyền thống chỉ lọc theo quy tắc tĩnh
Việc có một tường lửa được cấu hình tốt là một điều cần thiết, nhưng đó chỉ là một phần của cấu hình bảo mật đa lớp cho home lab của bạn. Thêm Snort hoặc Suricata để kiểm tra lưu lượng dựa trên các quy tắc phát hiện của chúng và cung cấp cho bạn nhật ký về các vấn đề tiềm ẩn sẽ tạo thêm một lớp bảo mật nữa, giúp bạn đào sâu và tinh chỉnh các quy tắc tường lửa để mạng lưới của bạn an toàn hơn. Điều này làm cho tường lửa pfSense hoặc OPNsense của bạn hoạt động hiệu quả hơn về lâu dài, và nếu bạn chọn tham gia báo cáo dữ liệu nhật ký tường lửa, bạn sẽ giúp cải thiện bộ quy tắc tổng thể được sử dụng trong IDS cho tất cả mọi người.
Tủ rack nhỏ chứa máy chủ và thiết bị mạng, thể hiện cấu hình home lab
2. Phát triển kỹ năng an ninh mạng giá trị
Trang bị kỹ năng chuẩn ngành ngay tại nhà
Mục đích chính của việc sử dụng home lab là học hỏi các kỹ năng mới, và các hệ thống IDS/IPS như Snort và Suricata là những ví dụ hoàn hảo về các gói phần mềm tiêu chuẩn công nghiệp rất quan trọng để học nếu bạn muốn theo đuổi ngành an ninh mạng. Nhưng không chỉ là việc học cách sử dụng các công cụ, thiết lập chúng và phân tích hàng núi tập tin nhật ký mà chúng tạo ra. Bạn cũng có thể sử dụng home lab để mô phỏng các cuộc tấn công, quan sát các mẫu hình mà chúng tạo ra và cách bạn có thể vượt qua các cuộc tấn công đó để làm cho hệ thống của mình an toàn hơn.
Một số cuộc tấn công phổ biến để mô phỏng bao gồm Denial of Service (DoS), Pass-the-Hash, quét cổng (port scanning) và tấn công vét cạn (brute force). Tất cả những cuộc tấn công này đều có thể được phát hiện bằng cách sử dụng các quy tắc trong Snort hoặc Suricata, và có một số cách để giảm thiểu hoặc phòng chống từng loại tấn công, tùy thuộc vào thiết kế mạng tổng thể của bạn. Cũng đáng cân nhắc chạy một nền tảng SIEM (Security Information and Event Management) như Splunk hoặc ELK để thu thập nhật ký từ IDS của bạn và cảnh báo theo thời gian thực về các hoạt động đáng ngờ.
Kỹ thuật viên quản lý dây cáp gọn gàng trên switch mạng, tượng trưng cho quản trị an ninh mạng home lab
3. Tăng cường khả năng hiển thị mối đe dọa
Không thể phòng thủ nếu không nhìn thấy
Trong khi cả hai công cụ này đều có thể phát hiện những thứ như phần mềm độc hại kết nối về máy chủ điều khiển và kiểm soát của nó, lợi ích lớn nhất là thiết lập một đường cơ sở (baseline) hoạt động lưu lượng cho home lab hoặc mạng tổng thể của bạn. Khi bạn có đường cơ sở đó, bạn có thể tạo các quy tắc để tìm kiếm lưu lượng không chuẩn và xem những gì xuất hiện trong nhật ký.
Có thể đó không phải là các mối đe dọa thực sự từ phần mềm độc hại hay tin tặc. Nhật ký có thể ghi lại các thiết bị IoT hoạt động sai, giao diện mạng đang trở nên lỗi hoặc bất kỳ số lượng điều không mong muốn nào trên mạng home lab của bạn. Nhưng nếu không có những nhật ký đó, bạn sẽ không biết bắt đầu tìm kiếm từ đâu, chỉ biết rằng lưu lượng mạng của bạn tăng đột biến vào những thời điểm nhất định trong ngày mà không rõ nguyên nhân.
Màn hình giám sát các container trong Uptime Kuma, minh họa tầm quan trọng của việc theo dõi mối đe dọa trong home lab
4. Bảo vệ tùy chỉnh linh hoạt theo nhu cầu
Điều chỉnh bộ quy tắc theo yêu cầu home lab
Trong khi cả Snort và Suricata đều chạy trên các bộ quy tắc được tạo và duy trì bởi cộng đồng an ninh mạng, cả hai đều cho phép bạn tạo các quy tắc riêng dựa trên mạng mà bạn đang làm việc, và những quy tắc này có thể rất mạnh mẽ trong việc tìm kiếm hoạt động độc hại. Điều đáng nói là nhiều quy tắc của Snort hoạt động trên Suricata, nhưng không phải mọi quy tắc đều như vậy. Có các trình tạo quy tắc trực tuyến để dễ dàng tổng hợp cú pháp cần thiết, và đó thường là một điểm khởi đầu tốt, ngay cả khi bạn đã quen với cách tạo quy tắc.
Điều thú vị về việc phát hiện dựa trên quy tắc là mỗi công ty hoặc mạng mà bạn đang thiết kế đều độc đáo, và có những tính năng sẽ hoạt động tốt để phát hiện. Một số công ty không cho phép làm việc từ xa, và nếu bạn biết thời gian văn phòng hầu hết không có nhân viên, một quy tắc có thể được tạo để tìm kiếm lưu lượng sau giờ đó. Hoặc bạn có thể biết trình duyệt web mà công ty sử dụng và do đó, có thể thiết lập các quy tắc để tìm kiếm lưu lượng với các chuỗi người dùng khác vì khả năng lưu lượng đó đến từ máy tính xách tay của công ty là nhỏ. Các khái niệm tương tự cũng hoạt động cho home lab của bạn khi kiểm tra các lỗ hổng, vì bạn biết chính xác những gì được cài đặt và cách cấu hình nó, và có thể tạo ra các quy tắc để thông báo nếu bất kỳ lưu lượng không chuẩn nào được tìm thấy.
Cận cảnh thiết bị tường lửa Firewalla Gold Pro, minh họa giải pháp bảo mật phần cứng tùy chỉnh cho home lab
5. Snort và Suricata: Lựa chọn khác biệt
Snort dễ triển khai hơn, Suricata mạnh mẽ hơn
Cả Snort và Suricata đều có khả năng IDS và IPS, nhưng chúng khác nhau ở những điểm có thể làm cho một trong hai tốt hơn cho trường hợp sử dụng của bạn. Snort là công cụ dễ triển khai và phát triển các quy tắc mới dựa trên các mối đe dọa mới nổi. Tuy nhiên, ngôn ngữ kịch bản Lua được sử dụng bởi Suricata có nghĩa là nó có thể tạo ra các quy tắc để bắt những thứ mà Snort không thể, làm cho nó mạnh mẽ hơn ở một số khía cạnh, dù khó triển khai hơn một chút. Có một vài điểm khác biệt chính khác:
Snort:
- Cập nhật nhỏ sau mỗi 2-3 tuần
- Phạm vi tích hợp bên thứ ba rộng hơn
- Được duy trì bởi Cisco Systems
- Các tùy chọn hỗ trợ trả phí (Cá nhân – 30 USD/năm, Chuyên nghiệp từ 300 USD/năm)
- Quy tắc Talos (Sử dụng cá nhân – 30 USD/năm, Chuyên nghiệp từ 400 USD/năm)
- Sử dụng tài nguyên thấp hơn
Suricata:
- Cập nhật lớn trung bình mỗi 3 tháng
- Được duy trì bởi Open Information Security Foundation (OISF)
- Suricata-Update (công cụ quản lý quy tắc)
- Có tính năng trích xuất tập tin để kiểm tra thủ công, truy vấn VirusTotal và tự động sandboxing
Cả hai hiện đều có kiến trúc đa luồng để phát hiện nhanh hơn, và cả hai đều phù hợp cho việc sử dụng trong home lab. Việc lựa chọn thực sự phụ thuộc vào tài nguyên bạn có để lưu trữ chúng và các yếu tố khác, như gói phần mềm mà nơi làm việc của bạn đang sử dụng.
Router mạng cấp doanh nghiệp, thể hiện sự khác biệt và khả năng của các hệ thống IDS/IPS như Snort và Suricata
Cả Snort và Suricata đều là công cụ bảo mật cấp doanh nghiệp, linh hoạt và hoạt động hiệu quả cùng các quy tắc tường lửa khác của bạn
Việc nắm rõ những gì đang diễn ra trên mạng home lab là điều cần thiết cho mục đích bảo mật. Snort và Suricata đều là những công cụ IDS mạnh mẽ có thể giám sát mạng của bạn để tìm kiếm hoạt động độc hại. Việc lựa chọn phụ thuộc vào nền tảng bạn đang sử dụng, các yếu tố cần cân nhắc khác bao gồm hiệu suất thông lượng, và liệu bạn có cần các gói chuyên nghiệp để hỗ trợ và bộ quy tắc nâng cao hay không.
Cả Snort và Suricata cũng có thể hoạt động như một IPS một khi chúng đã có kiến thức cơ bản về lưu lượng mạng của bạn, biến chúng thành một giải pháp hoàn chỉnh mà không cần tìm một gói bảo mật khác để xuất danh sách phát hiện để phân tích thêm. Đối với việc phân tích phần mềm độc hại trong home lab, bất kỳ công cụ nào trong số này cũng sẽ cho bạn biết virus đó đang cố gắng kết nối về đâu.
Hãy thảo luận trong phần bình luận bên dưới nếu bạn có kinh nghiệm sử dụng Snort hay Suricata trong home lab của mình, hoặc muốn biết thêm về các giải pháp an ninh mạng khác!