Home lab không chỉ là nơi để bạn thử nghiệm các hệ điều hành, công cụ mới hay tự lưu trữ dịch vụ nhằm giảm sự phụ thuộc vào các dịch vụ đám mây. Mặc dù đây là những lợi ích rõ ràng, nhưng homelab còn là một môi trường lý tưởng để bạn học hỏi các quy trình chuẩn công nghiệp và bắt kịp xu hướng phát triển của ngành công nghệ. Một thành phần cốt lõi trong đó là tường lửa phần cứng (hardware firewall), giúp bạn làm quen với các quy tắc tường lửa nâng cao cũng như các gói bảo mật khác mà hệ điều hành tường lửa có thể chạy.
Một gói bảo mật quan trọng là IDS (Hệ thống Phát hiện Xâm nhập) hoặc IPS (Hệ thống Ngăn chặn Xâm nhập). Đây là các công cụ giám sát theo dõi lưu lượng mạng và báo cáo các vấn đề tiềm ẩn dựa trên bộ quy tắc đã định cho quản trị viên hoặc/và hệ thống IPS. Hai gói IDS/IPS mã nguồn mở thường được sử dụng rộng rãi trong môi trường doanh nghiệp là Snort và Suricata, và chúng cũng cực kỳ hữu ích trong môi trường home lab của bạn.
Switch mạng và thiết bị AVR trong tủ rack gọn gàng
Tại sao Snort và Suricata là không thể thiếu cho Home Lab của bạn?
Tường lửa truyền thống chỉ lọc dựa trên các quy tắc tĩnh
Việc có một tường lửa được cấu hình tốt là điều cần thiết, nhưng đó chỉ là một phần của cấu hình bảo mật đa lớp cho home lab của bạn. Thêm Snort hoặc Suricata để kiểm tra lưu lượng truy cập dựa trên các quy tắc phát hiện và cung cấp cho bạn nhật ký về các vấn đề tiềm ẩn sẽ bổ sung thêm một lớp bảo mật quan trọng. Lớp này cho phép bạn đi sâu hơn vào phân tích và tinh chỉnh các quy tắc tường lửa để mạng của bạn an toàn hơn tổng thể. Điều này giúp cải thiện hiệu quả của tường lửa pfSense hoặc OPNsense của bạn về lâu dài. Hơn nữa, nếu bạn chọn tham gia báo cáo dữ liệu nhật ký tường lửa, bạn sẽ góp phần làm cho bộ quy tắc tổng thể được sử dụng trong IDS trở nên tốt hơn cho tất cả mọi người.
Cận cảnh một tủ server nhỏ trong khung rack
Nâng cao kỹ năng bảo mật cá nhân
Phát triển các kỹ năng giá trị ngay tại nhà
Mục đích chính của việc sử dụng home lab là học hỏi những kỹ năng mới, và các hệ thống IDS/IPS như Snort và Suricata là những ví dụ điển hình về các gói tiêu chuẩn công nghiệp rất quan trọng để học hỏi nếu bạn muốn tham gia vào lĩnh vực an ninh mạng. Nhưng việc học không chỉ dừng lại ở cách sử dụng công cụ, thiết lập chúng và phân tích hàng đống tệp nhật ký mà chúng tạo ra. Bạn cũng có thể sử dụng home lab của mình để mô phỏng các cuộc tấn công, quan sát các mẫu mà chúng tạo ra và tìm hiểu cách bạn có thể đánh bại và vượt qua các cuộc tấn công đó để làm cho hệ thống của mình an toàn hơn.
Một số cuộc tấn công phổ biến để mô phỏng bao gồm Tấn công từ chối dịch vụ (DoS), Pass-the-Hash, quét cổng (port scanning) và tấn công vét cạn (brute force attacks). Tất cả những cuộc tấn công này đều có thể được phát hiện bằng cách sử dụng các quy tắc trong Snort hoặc Suricata. Đồng thời, có nhiều cách để giảm thiểu hoặc chống lại từng cuộc tấn công, tùy thuộc vào thiết kế mạng tổng thể của bạn. Ngoài ra, bạn cũng nên xem xét chạy một nền tảng SIEM (Security Information and Event Management) như Splunk hoặc ELK để thu thập nhật ký từ IDS của bạn và cảnh báo theo thời gian thực về các hoạt động đáng ngờ.
Hình ảnh switch mạng với cáp được quản lý gọn gàng
Laptop Lenovo Z51-70 cạnh một PC server cũ
Tăng cường khả năng quan sát mối đe dọa
Bạn không thể phòng thủ những gì bạn không nhìn thấy
Trong khi cả Snort và Suricata đều có thể phát hiện những thứ như phần mềm độc hại (malware) liên lạc về máy chủ điều khiển (command and control servers), lợi ích lớn nhất của chúng là thiết lập một đường cơ sở (baseline) về hoạt động lưu lượng truy cập cho home lab hoặc mạng tổng thể của bạn. Khi bạn có đường cơ sở đó, bạn có thể tạo ra các quy tắc tìm kiếm lưu lượng truy cập không tiêu chuẩn và xem những gì xuất hiện trong nhật ký.
Có thể những gì xuất hiện trong nhật ký không phải là mối đe dọa thực sự từ phần mềm độc hại hay tin tặc. Các nhật ký có thể ghi lại các thiết bị IoT hoạt động sai lệch, các giao diện mạng đang gặp sự cố hoặc bất kỳ điều gì không mong muốn khác trên mạng home lab của bạn. Nhưng nếu không có những nhật ký đó, bạn sẽ không biết phải bắt đầu tìm kiếm từ đâu, chỉ biết rằng lưu lượng mạng của bạn tăng đột biến vào những thời điểm nhất định trong ngày mà không rõ nguyên nhân.
Giám sát các container trong Uptime Kuma
Khả năng bảo vệ tùy chỉnh
Điều chỉnh bộ quy tắc dựa trên nhu cầu Home Lab của bạn
Mặc dù cả Snort và Suricata đều chạy trên các bộ quy tắc được tạo và duy trì bởi cộng đồng an ninh mạng, cả hai đều cho phép bạn tạo ra các quy tắc riêng dựa trên mạng mà bạn đang làm việc. Những quy tắc này có thể rất mạnh mẽ trong việc tìm kiếm các hoạt động độc hại. Điều đáng nói là nhiều quy tắc của Snort hoạt động trên Suricata, nhưng không phải tất cả các quy tắc đều như vậy. Có những công cụ tạo quy tắc trực tuyến giúp bạn dễ dàng tổng hợp cú pháp cần thiết, và đó thường là một điểm khởi đầu tốt, ngay cả khi bạn đã quen với cách tạo quy tắc.
Điều thú vị về phát hiện dựa trên quy tắc là mỗi công ty hoặc mạng mà bạn thiết kế đều là độc nhất và có những đặc điểm riêng sẽ hoạt động tốt cho việc phát hiện. Một số công ty không cho phép làm việc từ xa, và nếu bạn biết thời gian văn phòng vắng người, một quy tắc có thể được tạo để tìm kiếm lưu lượng truy cập sau giờ đó. Hoặc bạn có thể biết trình duyệt web mà công ty sử dụng và do đó, có thể thiết lập các quy tắc để tìm kiếm lưu lượng truy cập với các chuỗi tác nhân người dùng (user strings) khác, vì khả năng lưu lượng truy cập đó đến từ máy tính xách tay của công ty là rất nhỏ. Các khái niệm tương tự cũng áp dụng cho home lab của bạn khi kiểm tra lỗ hổng, vì bạn biết chính xác những gì đã được cài đặt và cách nó được cấu hình, từ đó có thể tạo ra các quy tắc để thông báo nếu phát hiện bất kỳ lưu lượng truy cập không tiêu chuẩn nào.
Cận cảnh Firewalla Gold Pro
Snort và Suricata: Những khác biệt quan trọng
Snort dễ tiếp cận hơn nhưng yêu cầu trả phí để truy cập sớm các quy tắc, trong khi Suricata có nhiều tính năng hơn
Cả Snort và Suricata đều có khả năng IDS và IPS, nhưng chúng khác nhau ở một số điểm có thể khiến một trong hai phù hợp hơn với trường hợp sử dụng của bạn. Snort dễ triển khai và phát triển các quy tắc mới dựa trên các mối đe dọa mới nổi hơn. Tuy nhiên, ngôn ngữ kịch bản Lua được sử dụng bởi Suricata cho phép nó tạo ra các quy tắc để bắt những thứ mà Snort không thể, khiến nó mạnh mẽ hơn ở một số khía cạnh, dù khó triển khai hơn một chút. Ngoài ra còn có một vài khác biệt lớn khác:
Snort:
- Cập nhật nhỏ sau mỗi 2-3 tuần
- Phạm vi tích hợp bên thứ ba rộng hơn
- Được duy trì bởi Cisco Systems
- Tùy chọn hỗ trợ trả phí (Cá nhân – 30 USD/năm, Chuyên nghiệp từ 300 USD/năm)
- Quy tắc Talos (Sử dụng cá nhân – 30 USD/năm, Chuyên nghiệp từ 400 USD/năm)
- Sử dụng tài nguyên thấp hơn
Suricata:
- Cập nhật lớn trung bình mỗi 3 tháng
- Được duy trì bởi Open Information Security Foundation (OISF)
- Suricata-Update (công cụ quản lý quy tắc)
- Có tính năng trích xuất tệp để kiểm tra thủ công, truy vấn VirusTotal và tự động phân tích sandbox
Cả hai hiện đều có kiến trúc đa luồng để phát hiện nhanh hơn và đều phù hợp để sử dụng trong home lab. Việc lựa chọn thực sự phụ thuộc vào tài nguyên bạn có để lưu trữ chúng và các yếu tố khác, chẳng hạn như gói nào được sử dụng tại nơi làm việc của bạn.
Cận cảnh router mạng cấp doanh nghiệp
Cáp Ethernet được cắm vào cổng RJ45
Cả Snort và Suricata đều là các công cụ bảo mật cấp doanh nghiệp, linh hoạt và hoạt động đồng bộ với các quy tắc tường lửa khác của bạn.
Việc nắm rõ những gì đang diễn ra trên mạng home lab của bạn là điều cần thiết cho mục đích bảo mật. Snort và Suricata đều là các công cụ IDS mạnh mẽ có thể giám sát mạng của bạn để phát hiện hoạt động độc hại. Tùy thuộc vào nền tảng bạn đang sử dụng và các yếu tố khác như hiệu suất throughput, cùng với việc bạn có cần các gói chuyên nghiệp để hỗ trợ và bộ quy tắc nâng cao hay không, mà bạn có thể đưa ra lựa chọn phù hợp.
Cả Snort và Suricata cũng có thể hoạt động như một IPS khi chúng đã có kiến thức cơ bản về lưu lượng mạng của bạn, biến chúng thành một giải pháp hoàn chỉnh mà không cần phải tìm một gói bảo mật khác để xuất danh sách phát hiện nhằm phân tích thêm. Dù là để phân tích phần mềm độc hại trong home lab, một trong hai công cụ này sẽ chỉ cho bạn thấy virus khó chịu đó đang cố gắng liên lạc về máy chủ điều khiển của nó ở đâu.
