Posted inSecurity

Triển khai Security Onion: Hướng dẫn thực hành Giám sát An ninh Mạng (NSM)

Security tutorial - IT technology blog
Security tutorial - IT technology blog

Tại sao Security Onion vượt trội hơn các giải pháp bảo mật rời rạc

Giám sát mạng trước đây thường đồng nghĩa với việc phải chuyển đổi qua lại giữa hàng tá tab trình duyệt. Bạn có một tab cho cảnh báo IDS, một tab khác để xem gói tin (packet capture) và tab thứ ba để tổng hợp log. Nếu bạn đã từng thử đối soát thủ công một cảnh báo từ Suricata với nhật ký kết nối Zeek cụ thể, bạn sẽ hiểu quy trình đó dễ dàng “vỡ trận” như thế nào khi có sự cố đang diễn ra. Security Onion loại bỏ sự bất tiện này bằng cách hợp nhất các công cụ bảo mật mã nguồn mở tốt nhất vào một bản phân phối Linux duy nhất đã được tối ưu bảo mật.

Tôi đã chứng kiến nhiều đội ngũ dành hàng tuần để vật lộn với các mẫu Logstash grok và trình phân tích tùy chỉnh thay vì thực sự điều tra các vụ xâm nhập. Họ cài đặt ELK stack, sau đó là Suricata, rồi nhận ra họ cần một cách để quản lý chứng chỉ và vai trò người dùng trên toàn hệ thống. Security Onion loại bỏ những gánh nặng đó. Nó cung cấp một giao diện gắn kết cho phép bạn thấy chính xác những gì đang đi qua đường truyền mà không gặp phải các vấn đề đau đầu về tích hợp.

So sánh các phương pháp: Hệ thống “chắp vá” vs. Security Onion

Trước khi bạn đầu tư vào phần cứng, hãy xem tại sao hầu hết các chuyên gia thích cách tiếp cận tích hợp hơn là xây dựng một nền tảng từ đầu.

Cơn ác mộng tích hợp thủ công

Trong một thiết lập thủ công, bạn có thể cài đặt Ubuntu rồi cài thêm Suricata để phát hiện dựa trên chữ ký (signature-based detection) và Zeek để lấy siêu dữ liệu mạng (network metadata). Mặc dù cách này cho phép tùy biến hoàn toàn, nhưng việc bảo trì là một công việc toàn thời gian. Chỉ cần một bản cập nhật Elasticsearch 8.x cũng có thể làm hỏng toàn bộ luồng dữ liệu của bạn. Bạn sẽ phải tự quản lý các cơ sở dữ liệu xác thực riêng biệt và xoay vòng chứng chỉ SSL cho từng dịch vụ cá nhân. Đó là công thức dẫn đến sự kiệt sức.

Hệ sinh thái Security Onion

Security Onion coi các công cụ này như một động cơ thống nhất. Nó dựa trên các container Docker để cô lập các thành phần, giúp việc cập nhật được điều phối bài bản thay vì xảy ra lỗi ngoài ý muốn. Giao diện SOC (Security Onion Console) tùy chỉnh cho phép bạn chuyển từ một cảnh báo cấp cao sang dữ liệu PCAP (Packet Capture) thô chỉ trong đúng hai lần nhấp chuột. Đối với môi trường thực tế, mức độ tích hợp này là cách duy nhất để duy trì tốc độ điều tra nhanh chóng.

Thực tế khi vận hành Security Onion: Ưu và Nhược điểm

Không có công cụ nào là “viên đạn bạc”. Dựa trên kinh nghiệm triển khai hệ thống này trong các môi trường lưu lượng cao của tôi, đây là những gì bạn thực sự nên mong đợi.

Ưu điểm

  • Tương quan gốc (Native Correlation): Các cảnh báo Suricata tự động liên kết với log của Zeek bằng Community ID duy nhất. Điều này giúp tiết kiệm hàng phút tìm kiếm thủ công cho mỗi sự kiện.
  • Ghi lại gói tin cấp độ điều tra số: Sử dụng Stenographer, hệ thống ghi lại mọi byte dữ liệu. Điều này cho phép bạn tái dựng chính xác các hành động của kẻ tấn công nhiều tuần sau khi sự việc xảy ra.
  • Khả năng mở rộng linh hoạt: Bạn có thể bắt đầu với một node “Evaluation” duy nhất. Khi lưu lượng tăng lên, bạn có thể chuyển sang kiến trúc phân tán với các node tìm kiếm (search node) và node chuyển tiếp (forward node) chuyên dụng.
  • Công cụ cho thợ săn (Hunters): Hệ thống được tích hợp sẵn CyberChef để giải mã các payload base64 và Playbook để tài liệu hóa logic phát hiện của bạn.

Nhược điểm

  • Yêu cầu tài nguyên lớn: Đây là một hệ thống cực kỳ ngốn tài nguyên. Nếu bạn cố gắng chạy nó trên một chiếc laptop cũ với 8GB RAM, Java heap cho Elasticsearch có thể sẽ bị treo chỉ trong vài phút.
  • Nhu cầu lưu trữ lớn: Việc ghi lại toàn bộ gói tin (FPC) rất tốn kém. Một đường truyền 1Gbps hoạt động ở mức 50% công suất có thể tạo ra gần 5TB dữ liệu mỗi ngày. Bạn cần ổ lưu trữ NVMe hoặc SSD tốc độ cao để kịp lập chỉ mục (indexing).
  • Đường cong học tập: Trình cài đặt rất đơn giản, nhưng để thành thạo KQL (Kibana Query Language) và cấu trúc log độc đáo của Zeek cần phải thực hành nhiều.

Yêu cầu phần cứng: Đừng trang bị thiếu

Hầu hết các trường hợp cài đặt thất bại mà tôi thấy đều là kết quả của phần cứng yếu. Security Onion về cơ bản là chạy cùng lúc một cơ sở dữ liệu, một công cụ tìm kiếm và một bộ xử lý gói tin thời gian thực.

Thông số cơ bản

  • CPU: Tối thiểu là 4 lõi vật lý. Đối với môi trường thực tế, cần từ 8 đến 16 lõi để xử lý các quy tắc (rules).
  • RAM: 16GB để thử nghiệm (chế độ Eval). Đối với thực tế, hãy bắt đầu ở mức 32GB hoặc 64GB nếu bạn dự định sử dụng các node tìm kiếm có thời gian lưu trữ lâu.
  • Lưu trữ: 200GB cho phòng thí nghiệm (lab). Đối với thực tế, hãy tính toán nhu cầu lưu trữ của bạn: (Tốc độ lưu lượng tính bằng Mbps * 0.108) = GB mỗi ngày.
  • Mạng: Bạn cần hai card mạng (NIC) vật lý. Một cổng dành cho **Quản trị** (Web UI/SSH). Cổng còn lại là cổng **Sniffing**, kết nối với SPAN hoặc Network TAP của bạn.

Khi thiết lập các tài khoản quản trị, hãy sử dụng mật khẩu có độ phức tạp cao. Tôi thường tạo chúng bằng công cụ chạy trên trình duyệt tại toolcraft.app/vi/tools/security/password-generator. Nó chạy cục bộ trong trình duyệt của bạn, vì vậy các khóa của bạn không bao giờ đi qua mạng. Vì console SOC nắm giữ toàn bộ lịch sử mạng của bạn, nên một mật khẩu yếu là một rủi ro cực lớn.

Từng bước một: Cài đặt Security Onion

Phiên bản 2.4+ được xây dựng trên Rocky Linux. Mặc dù bạn có thể thực hiện “cài đặt qua mạng” trên Ubuntu, tôi thực sự khuyên bạn nên sử dụng file ISO chính thức để có trải nghiệm ổn định nhất.

1. Chuẩn bị phương tiện cài đặt

Tải xuống file ISO và ghi nó vào ổ USB. Nếu bạn đang sử dụng máy ảo trong Proxmox hoặc VMware, hãy đảm bảo giao diện sniffing được đặt thành **Promiscuous Mode**. Nếu không có tùy chọn này, switch ảo sẽ loại bỏ bất kỳ lưu lượng nào không hướng đến địa chỉ MAC cụ thể của máy ảo đó.

2. Khởi động lần đầu

Khởi động hệ thống và chọn **Install Security Onion**. Trình cài đặt sẽ hướng dẫn bạn phân vùng ổ đĩa. Tôi khuyên bạn nên để trình cài đặt tự xử lý thiết lập LVM (Logical Volume Manager) trừ khi bạn có cấu hình RAID cụ thể trong đầu.

3. Chạy trình hướng dẫn thiết lập (Setup Wizard)

Sau khi khởi động lại, hãy đăng nhập và script thiết lập sẽ tự động kích hoạt. Nếu không, hãy nhập:

sudo sosetup

Chọn chế độ **EVAL** cho các phòng lab hoặc văn phòng nhỏ. Chế độ này đặt tất cả các thành phần trên một máy duy nhất. Đối với môi trường doanh nghiệp, bạn sẽ chọn **DISTRIBUTED**, chế độ này tách biệt cảm biến (sensor) khỏi trình quản lý (manager).

4. Cấu hình các giao diện mạng

Trình hướng dẫn sẽ yêu cầu bạn chỉ định các vai trò:

  1. Management Interface: Gán một IP tĩnh. Đừng bao giờ sử dụng DHCP cho hạ tầng bảo mật, vì việc thay đổi IP sẽ làm hỏng quá trình chuyển tiếp log.
  2. Sniffing Interface: Chọn cổng được kết nối với TAP/SPAN của bạn. Giao diện này sẽ ở chế độ “ẩn” (stealth) và không được gán địa chỉ IP.

5. Lựa chọn thành phần

Tôi khuyên bạn nên chọn **Suricata** làm công cụ IDS và **Zeek** để tạo siêu dữ liệu. Sự kết hợp này mang lại cho bạn những gì tốt nhất của cả hai thế giới: các cảnh báo dựa trên chữ ký và các bản ghi giao thức phong phú. Hệ thống sau đó sẽ tải các image Docker cần thiết, thường mất khoảng 20 phút trên đường truyền 100Mbps tiêu chuẩn.

6. Kiểm tra

Sau khi script hoàn tất, hãy kiểm tra trạng thái hệ thống của bạn:

sudo so-status

Mọi thứ sẽ hiển thị dấu kiểm màu xanh hoặc trạng thái `OK`. Nếu một container bị kẹt trong vòng lặp `restarting`, thường là do hệ thống bị thiếu RAM trong quá trình cấp phát Java heap ban đầu.

Sau khi cài đặt: Các bước đầu tiên

Đừng chỉ bỏ đi sau khi cài đặt xong. Có ba việc bạn cần làm ngay lập tức:

1. Mở tường lửa: Security Onion được khóa chặt theo mặc định. Để truy cập giao diện web từ laptop của bạn, hãy chạy sudo so-allow và chọn **a** cho Analyst (Nhà phân tích). Nhập IP máy trạm của bạn để đưa nó vào danh sách trắng (whitelist).

2. Cập nhật các quy tắc (Rules): Các chữ ký (signatures) sẽ bị lỗi thời hàng ngày. Chạy sudo rule-update để tải bộ quy tắc Emerging Threats (ET) Open mới nhất. Điều này đảm bảo bạn được bảo vệ trước các CVE mới nhất.

3. Bài kiểm tra “LITMUS”: Xác minh khả năng phát hiện bằng cách kích hoạt một cảnh báo giả định. Từ một máy trong mạng được giám sát, hãy chạy:

nslookup blackhole.emergingthreats.net

Trong vòng 60 giây, hãy kiểm tra tab **Alerts** trong SOC. Bạn sẽ thấy một kết quả cho “Suspicious DNS Query” (Truy vấn DNS khả nghi).

Lời kết

Xây dựng một nền tảng NSM chuyên nghiệp từng là đặc quyền của các công ty trong danh sách Fortune 500 với ngân sách khổng lồ. Security Onion đã thay đổi điều đó, mang lại khả năng hiển thị cấp doanh nghiệp cho bất kỳ ai có một máy chủ dự phòng. Hãy bắt đầu từ quy mô nhỏ bằng cách thành thạo giao diện “Hunt” để xem dữ liệu thô mà Zeek cung cấp. Bạn có thể sẽ bị sốc trước lượng “shadow IT” và thông tin đăng nhập dạng văn bản rõ (cleartext) đang trôi nổi trong mạng của mình mà bạn chưa bao giờ biết là chúng tồn tại.

Share:
Tags: