Posted inSecurity

Nắm Vững Phòng Thủ Mạng: Triển Khai Suricata IDS/IPS trên Linux

Security tutorial - IT technology blog
Security tutorial - IT technology blog

Bắt Đầu Nhanh: Suricata trong 5 Phút

Bảo mật mạng không còn chỉ dành cho các doanh nghiệp lớn. Đó là một yêu cầu cơ bản cho bất kỳ ai quản lý máy chủ hoặc thậm chí là một mạng gia đình nâng cao. Sau khi máy chủ của tôi bị tấn công brute-force SSH vào nửa đêm, tôi hiện ưu tiên bảo mật ngay từ khâu thiết lập ban đầu. Một Hệ thống Phát hiện Xâm nhập (IDS) và Hệ thống Ngăn chặn Xâm nhập (IPS) như Suricata bổ sung một lớp phòng thủ quan trọng vào đó.

Suricata là một công cụ IDS/IPS và Giám sát Bảo mật Mạng (NSM) mã nguồn mở, hiệu suất cao. Nó được thiết kế để phát hiện các mối đe dọa phức tạp bằng cách sử dụng phát hiện dựa trên chữ ký, bất thường và giao thức. Hãy cùng cài đặt và chạy nó một cách nhanh chóng.

Cài đặt trên Ubuntu/Debian

Đối với hầu hết các hệ thống dựa trên Debian, Suricata có sẵn:


sudo add-apt-repository ppa:oisf/suricata-stable
sudo apt update
sudo apt install suricata

Xác minh Cài đặt

Kiểm tra phiên bản để đảm bảo nó được cài đặt chính xác:


suricata -V

Cấu hình Cơ bản (Chế độ IDS)

Suricata thường đi kèm với một tệp cấu hình mặc định (/etc/suricata/suricata.yaml) và một số quy tắc cơ bản. Để kiểm tra nhanh, bạn thường có thể chạy nó ở chế độ IDS trên một giao diện cụ thể, giám sát lưu lượng một cách thụ động.

Đầu tiên, xác định giao diện mạng của bạn:


ip a

Giả sử giao diện chính của bạn là eth0 hoặc enp0s3. Bạn có thể khởi động Suricata với lệnh này:


sudo suricata -c /etc/suricata/suricata.yaml -i eth0

Thay thế eth0 bằng tên giao diện thực tế của bạn. Lệnh này chạy Suricata ở chế độ nền trước. Nó ghi nhật ký cảnh báo vào /var/log/suricata/fast.log và các sự kiện chi tiết vào /var/log/suricata/eve.json.

Kiểm tra với một Quy tắc Đơn giản

Để xem Suricata hoạt động, hãy kích hoạt một quy tắc đã biết. Cấu hình mặc định thường bao gồm các bộ quy tắc phát hiện các lần quét mạng phổ biến. Từ một máy khác (hoặc thậm chí cùng máy nếu bạn sử dụng localhost), hãy thử quét Nmap đơn giản:


nmap -sT <your_target_IP>

Sau đó, kiểm tra nhật ký Suricata của bạn:


tail -f /var/log/suricata/fast.log

Bạn sẽ thấy các cảnh báo liên quan đến quét Nmap. Điều này cho thấy Suricata đang tích cực phát hiện hoạt động đáng ngờ.

Tìm hiểu sâu về Khả năng của Suricata

Cài đặt và chạy Suricata là một chuyện. Việc hiểu kiến trúc cơ bản của nó và cách nó đạt được khả năng phát hiện mạnh mẽ là rất quan trọng để phòng thủ mạng hiệu quả.

Suricata là gì?

Không giống như các công cụ bắt gói tin đơn giản hơn, Suricata là một công cụ đa luồng được thiết kế để đạt hiệu suất ở quy mô lớn. Nó có thể xử lý lưu lượng mạng lớn, phù hợp cho cả máy chủ nhỏ và mạng doanh nghiệp tốc độ cao. Sức mạnh của nó nằm ở việc kết hợp nhiều phương pháp phát hiện:

  • Phát hiện dựa trên chữ ký: So khớp các mẫu lưu lượng với cơ sở dữ liệu về các mối đe dọa đã biết.
  • Phân tích giao thức: Hiểu các giao thức mạng phổ biến (HTTP, DNS, TLS) để phát hiện các sai lệch so với hành vi mong đợi.
  • Phát hiện bất thường: Xác định các mẫu lưu lượng bất thường có thể cho thấy một cuộc tấn công zero-day.

IDS so với IPS: Điểm khác biệt chính

  • Hệ thống Phát hiện Xâm nhập (IDS): Ở chế độ IDS, Suricata giám sát lưu lượng mạng một cách thụ động. Khi nó phát hiện hoạt động đáng ngờ, nó sẽ ghi lại một cảnh báo. Nó không can thiệp vào luồng lưu lượng, hoạt động như một hệ thống báo động im lặng. Điều này lý tưởng cho việc triển khai ban đầu và giám sát mà không gây rủi ro gián đoạn mạng.

  • Hệ thống Ngăn chặn Xâm nhập (IPS): Suricata hoạt động nội tuyến khi ở chế độ IPS, nghĩa là tất cả lưu lượng mạng chảy trực tiếp qua nó. Nếu phát hiện một mối đe dọa, Suricata có thể chủ động chặn lưu lượng độc hại trong thời gian thực, ngăn chặn nó tiếp cận mục tiêu. Điều này cung cấp một biện pháp phòng thủ chủ động hơn nhưng đòi hỏi cấu hình cẩn thận để tránh các dương tính giả ảnh hưởng đến lưu lượng hợp pháp.

Cách thức hoạt động của các Quy tắc Suricata

Khả năng phát hiện của Suricata phần lớn được thúc đẩy bởi công cụ quy tắc của nó, sử dụng cú pháp tương tự như các quy tắc Snort. Một quy tắc thường bao gồm hai phần chính: tiêu đề (header) và các tùy chọn quy tắc (rule options).

Tiêu đề Quy tắc

Tiêu đề định nghĩa hành động, giao thức, IP nguồn/đích và các cổng. Ví dụ:


alert tcp any any -> any 80 (msg:"ET POLICY Host Không phải RFC1918 Đến trong Tiêu đề HTTP Host"; flow:to_server; content:"Host|"; http_header; pcre:"/^Host\x3a\x20(?:(?:10\.\d{1,3}\.\d{1,3}\.\d{1,3})|(?:172\.(?:1[6-9]|2\d|3[01])\.\d{1,3}\.\d{1,3})|(?:192\.168\.\d{1,3}\.\d{1,3}))/H"; classtype:bad-unknown; sid:2018865; rev:2;)
  • alert: Hành động cần thực hiện (ghi nhật ký cảnh báo). Các hành động khác bao gồm drop (loại bỏ), reject (từ chối), pass (cho phép).
  • tcp: Giao thức (có thể là ip, tcp, udp, icmp).
  • any any -> any 80: IP/Cổng nguồn (bất kỳ/bất kỳ) đến IP/Cổng đích (bất kỳ/80).

Các Tùy chọn Quy tắc

Chúng được đặt trong dấu ngoặc đơn và cung cấp các tiêu chí so khớp chi tiết cùng với siêu dữ liệu:

  • msg: Thông báo sẽ được ghi lại khi quy tắc được kích hoạt.
  • flow: Chỉ định hướng của lưu lượng mà quy tắc áp dụng (ví dụ: to_server – đến máy chủ, to_client – đến máy khách).
  • content: Tìm kiếm các chuỗi byte cụ thể trong phần tải gói tin.
  • pcre: Cho phép sử dụng Biểu thức Chính quy Tương thích Perl để so khớp mẫu phức tạp hơn.
  • sid: ID Suricata duy nhất cho quy tắc.
  • rev: Số phiên bản sửa đổi của quy tắc.

Kiến trúc Mạng để Triển khai Suricata

Vị trí vật lý của Suricata ảnh hưởng đáng kể đến chức năng của nó:

  • SPAN/TAP (Chế độ IDS): Trong thiết lập này, Suricata nhận một bản sao lưu lượng mạng. Cổng Switched Port Analyzer (SPAN) (còn gọi là port mirroring) trên một bộ chuyển mạch sao chép lưu lượng đến Suricata. Ngoài ra, một network TAP (Test Access Point) là một thiết bị phần cứng được chèn vào liên kết mạng để tạo một bản sao của lưu lượng. Cả hai phương pháp đều cho phép giám sát thụ động mà không ảnh hưởng đến hiệu suất mạng, khiến chúng hoàn hảo cho các triển khai IDS.

  • Inline (Chế độ IPS): Đối với IPS, Suricata được đặt trực tiếp trên đường đi của lưu lượng mạng. Điều này có nghĩa là tất cả các gói tin đều chảy qua Suricata, cho phép nó kiểm tra và có thể chặn chúng. Để đạt được điều này, cần có các cấu hình thẻ giao diện mạng (NIC) cụ thể, như sử dụng thẻ bypass hoặc thiết lập chế độ bridge, để đảm bảo lưu lượng tiếp tục ngay cả khi Suricata gặp sự cố.

Sử dụng Nâng cao và Tinh chỉnh

Khi bạn đã quen thuộc với các kiến thức cơ bản, việc mở rộng khả năng của Suricata bao gồm cấu hình nâng cao, các quy tắc tùy chỉnh và tối ưu hóa hiệu suất.

Kích hoạt Chế độ IPS

Để kích hoạt chức năng IPS, bạn thường cần cấu hình Suricata chạy ở chế độ inline. Điều này thường bao gồm:

  1. Cấu hình Card Mạng: Sử dụng một card mạng chuyên dụng cho IPS với hai cổng có thể được cấu hình như một cầu nối (bridge), hoặc sử dụng một card bypass chuyên dụng.

  2. Cấu hình Suricata: Trong tệp suricata.yaml, bạn sẽ sửa đổi cài đặt nfqueue hoặc af-packet trong phần outputs. Ngoài ra, hãy đảm bảo rằng các quy tắc có hành động drop (loại bỏ) hoặc reject (từ chối) được bật.

Dưới đây là một cấu hình af-packet điển hình cho IPS:


af-packet:
  - interface: eth0
    threads: 1
    defrag: yes
    cluster_type: cluster_flow
    cluster_id: 99
    copy_mode: ips
    copy_iface: eth1
    # Suricata sẽ bắt các gói tin từ eth0 và trả về eth1.
    # Đảm bảo eth0 và eth1 được cấu hình như một bridge hoặc ở chế độ IPS.

Đoạn mã này thể hiện một thiết lập mang tính khái niệm. Cấu hình thực tế phụ thuộc nhiều vào kernel và driver NIC của bạn. Luôn kiểm tra kỹ lưỡng trong môi trường thử nghiệm trước khi triển khai IPS vào môi trường sản xuất.

Quản lý Quy tắc: Luôn đi trước các Mối đe dọa

Suricata chỉ hiệu quả khi các quy tắc của nó hiệu quả. Việc cập nhật quy tắc thủ công rất tẻ nhạt và dễ xảy ra lỗi, nhưng các công cụ như PulledPork hoặc Suricata-Update sẽ tự động hóa quá trình này.

Suricata-Update

Suricata-Update là công cụ hiện đại, chính thức để quản lý các quy tắc Suricata. Nó tải xuống, hợp nhất và cập nhật các bộ quy tắc từ nhiều nguồn khác nhau (ví dụ: Emerging Threats Open, Proofpoint ET Pro nếu đăng ký).


sudo suricata-update
sudo systemctl restart suricata

Cấu hình /etc/suricata/update.yaml để chỉ định các nguồn quy tắc mong muốn của bạn. Thường xuyên chạy suricata-update (ví dụ: thông qua một cron job hàng ngày hoặc hàng tuần) là rất cần thiết.

Tạo Quy tắc Tùy chỉnh

Đôi khi, các quy tắc chung chung không đủ. Bạn có thể cần phát hiện các mối đe dọa nội bộ hoặc các lỗ hổng ứng dụng cụ thể. Các quy tắc tùy chỉnh được viết trong các tệp văn bản thuần túy (ví dụ: /etc/suricata/rules/local.rules) và được bao gồm trong suricata.yaml. Luôn xác thực các quy tắc tùy chỉnh bằng lệnh suricata -T -c /etc/suricata/suricata.yaml trước khi triển khai chúng.


alert tcp any any -> $HOME_NET any (msg:"Quy tắc Tùy chỉnh: Quét TCP Nội bộ Đáng ngờ"; flow:to_client,established; flags:S,A; dsize:0; threshold:type limit,track by_src,count 5,seconds 60; classtype:attempted-recon; sid:9000001; rev:1;)

Ví dụ này sẽ cảnh báo nếu một máy chủ nội bộ nhận 5 gói tin TCP SYN-ACK trống trong vòng 60 giây từ một nguồn bên ngoài, có khả năng cho thấy một nỗ lực quét.

Tinh chỉnh Hiệu suất

  • Đa luồng (Multi-threading): Cấu hình Suricata sử dụng nhiều lõi CPU để xử lý gói tin. Điều này thường được thực hiện trong tệp suricata.yaml dưới các phần runmodethreading. Chế độ chạy autofp (Auto Flow Processing) thường là một điểm khởi đầu tốt.

  • Tải phần cứng (Hardware Offload): Các NIC hiện đại cung cấp các tính năng như Receive Side Scaling (RSS) hoặc Generic Receive Offload (GRO) có thể giảm tải CPU. Đảm bảo chúng được cấu hình đúng cách.

  • Tối ưu hóa Quy tắc: Một bộ quy tắc lớn, kém hiệu quả có thể ảnh hưởng đáng kể đến hiệu suất. Thường xuyên xem xét và tắt các quy tắc không liên quan đến môi trường của bạn hoặc gây ra quá nhiều dương tính giả.

Mẹo Thực tế để Quản lý Suricata Liên tục

Triển khai Suricata chỉ là bước đầu tiên. Phòng thủ mạng hiệu quả đòi hỏi sự giám sát và thích ứng liên tục.

Hiểu rõ Nhật ký của bạn

Đầu ra chính của Suricata cho các cảnh báo và sự kiện là eve.json (Định dạng Sự kiện Mở rộng). Đầu ra JSON này chứa dữ liệu phong phú, có cấu trúc về các mối đe dọa được phát hiện, thông tin luồng và hơn thế nữa. Sử dụng các công cụ như jq để dễ dàng phân tích cú pháp:


tail -f /var/log/suricata/eve.json | jq '.'

Đối với việc ghi nhật ký số lượng lớn, hãy cân nhắc chuyển tiếp eve.json đến một hệ thống Quản lý Thông tin và Sự kiện Bảo mật (SIEM). Các ví dụ bao gồm ELK Stack (Elasticsearch, Logstash, Kibana) hoặc Splunk, những công cụ này cung cấp khả năng trực quan hóa, tương quan và lưu trữ dài hạn tốt hơn.

Xử lý các Dương tính Giả

Dương tính giả là không thể tránh khỏi, đặc biệt với các bộ quy tắc mạnh mẽ. Khi lưu lượng hợp pháp kích hoạt một cảnh báo, bạn có một vài lựa chọn:

  • Vô hiệu hóa quy tắc: Nếu quy tắc liên tục không chính xác đối với môi trường của bạn.
  • Sửa đổi quy tắc: Nếu đó là một quy tắc tùy chỉnh, hãy tinh chỉnh các điều kiện của nó.
  • Ngăn chặn quy tắc (Suppress the rule): Sử dụng cơ chế ngăn chặn của Suricata để bỏ qua các cảnh báo từ các IP, cổng hoặc ID thông báo cụ thể. Điều này được ưu tiên hơn là tắt hoàn toàn một quy tắc nếu nó thường hữu ích.

Ví dụ quy tắc ngăn chặn (thêm vào /etc/suricata/suppress.rules và bao gồm trong suricata.yaml):


suppress gen_id 1, sig_id 2018865, track by_src, ip 192.168.1.100

Điều này sẽ ngăn chặn các cảnh báo từ một quy tắc cụ thể (gen_id 1, sig_id 2018865) có nguồn gốc từ 192.168.1.100.

Cập nhật và Bảo trì Định kỳ

  • Cập nhật Quy tắc: Tự động hóa suricata-update chạy hàng ngày hoặc hàng tuần thông qua cron.
  • Cập nhật Phần mềm: Luôn cập nhật Suricata để hưởng lợi từ các bản sửa lỗi, cải thiện hiệu suất và khả năng phát hiện mới.
  • Sao lưu Cấu hình: Thường xuyên sao lưu tệp suricata.yaml và các tệp quy tắc tùy chỉnh của bạn.

Chọn Mô hình Triển khai của bạn

Bắt đầu với Suricata ở chế độ IDS (SPAN/TAP) để giám sát. Điều này cho phép bạn hiểu các cảnh báo và điều chỉnh các quy tắc mà không ảnh hưởng đến lưu lượng trực tiếp. Khi bạn tự tin về độ chính xác của nó và đã nắm rõ các dương tính giả, hãy cân nhắc kích hoạt IPS cho các phân đoạn quan trọng của mạng nơi việc chặn chủ động là cần thiết.

Triển khai Suricata tăng cường đáng kể tư thế bảo mật mạng của bạn. Nó cung cấp khả năng hiển thị có giá trị về các mối đe dọa và khả năng chủ động phòng thủ chống lại chúng. Giống như bất kỳ công cụ bảo mật nào, nó đòi hỏi sự chú ý liên tục, nhưng những hiểu biết và sự bảo vệ mà nó mang lại là vô giá.

Share:
Tags: