Nghiên Cứu và Xây Dựng Hệ Thống Giám Sát An Toàn Thông Tin Dựa Trên Snort

IDS (Intrusion Detection System) và IPS (Intrusion Prevention System) là hai công nghệ nền tảng trong lĩnh vực an ninh mạng. Hệ thống phát hiện xâm nhập (IDS) có chức năng chính là giám sát lưu lượng mạng hoặc các hoạt động trên một máy chủ (host) để tìm kiếm các dấu hiệu của hành vi đáng ngờ hoặc các cuộc tấn công đã biết. Khi phát hiện, IDS sẽ tạo ra cảnh báo và ghi lại sự kiện, nhưng không tự động can thiệp để ngăn chặn. Có hai loại IDS chính: Network-based IDS (NIDS) giám sát toàn bộ lưu lượng mạng và Host-based IDS (HIDS) giám sát hoạt động trên một máy chủ cụ thể. Ngược lại, Hệ thống phòng chống xâm nhập (IPS) là một bước tiến hóa của IDS. Ngoài khả năng phát hiện, IPS còn có thể chủ động thực hiện các hành động ngăn chặn cuộc tấn công trong thời gian thực, chẳng hạn như loại bỏ các gói tin độc hại, chấm dứt phiên kết nối hoặc cấu hình lại tường lửa. Snort có thể hoạt động ở cả hai chế độ này, mang lại sự linh hoạt cao trong việc triển khai IDS/IPS.

Snort là một hệ thống phát hiện và ngăn chặn xâm nhập mạng (IDS/IPS) miễn phí và là một công cụ an ninh mạng mã nguồn mở hàng đầu. Nó sử dụng một ngôn ngữ dựa trên quy tắc để thực hiện phân tích lưu lượng mạng, tìm kiếm và đối sánh nội dung để phát hiện nhiều loại tấn công khác nhau. Các cuộc tấn công này bao gồm quét cổng (port scans), tấn công tràn bộ đệm (buffer overflows), tấn công CGI, và các nỗ lực lấy dấu vân tay hệ điều hành (OS fingerprinting). Ưu điểm lớn nhất của Snort là tính linh hoạt, chi phí thấp và được hỗ trợ bởi một cộng đồng lớn mạnh. Nó cho phép các quản trị viên tùy chỉnh bộ luật để phù hợp với môi trường mạng cụ thể của mình. Nhờ khả năng này, một Hệ Thống Giám Sát An Toàn Thông Tin Dựa Trên Snort có thể được tinh chỉnh để giảm thiểu cảnh báo sai (false positives) và tập trung vào những mối đe dọa thực sự, biến nó thành một công cụ không thể thiếu cho các doanh nghiệp mọi quy mô.

Các cuộc tấn công mạng ngày càng đa dạng. Tấn công Man-in-the-Middle (MITM) xảy ra khi kẻ tấn công bí mật xen vào giữa giao tiếp của hai bên để nghe lén hoặc sửa đổi dữ liệu. Các biến thể của nó bao gồm giả mạo ARP (ARP Spoofing) và giả mạo DNS (DNS Spoofing). Tấn công từ chối dịch vụ (DoS) và từ chối dịch vụ phân tán (DDoS) nhằm mục đích làm quá tải tài nguyên của máy chủ hoặc mạng, khiến người dùng hợp pháp không thể truy cập dịch vụ. Một kiểu tấn công khác là Phishing, một kỹ thuật lừa đảo xã hội nhằm lấy cắp thông tin nhạy cảm như tên đăng nhập, mật khẩu bằng cách giả mạo các trang web uy tín. Ngoài ra, các cuộc tấn công khai thác lỗ hổng phần mềm, tấn công nội bộ từ nhân viên bất mãn cũng là những rủi ro đáng kể. Mỗi loại tấn công đều để lại những dấu vết đặc trưng trong lưu lượng mạng, và đây chính là cơ sở để các hệ thống phát hiện xâm nhập như Snort nhận diện và cảnh báo.

Một cuộc tấn công mạng có chủ đích thường diễn ra theo nhiều giai đoạn tuần tự. Giai đoạn đầu tiên là Thăm dò (Reconnaissance), nơi kẻ tấn công thu thập thông tin về mục tiêu, chẳng hạn như địa chỉ IP, tên miền, và các dịch vụ đang chạy. Tiếp theo là giai đoạn Quét hệ thống (Scanning), sử dụng các công cụ để tìm kiếm các cổng mở và các lỗ hổng đã biết. Giai đoạn thứ ba là Chiếm quyền điều khiển (Gaining Access), kẻ tấn công khai thác một lỗ hổng để xâm nhập vào hệ thống. Sau khi đã vào được bên trong, chúng sẽ tiến hành giai đoạn Duy trì điều khiển (Maintaining Access) bằng cách cài đặt các backdoor hoặc rootkit. Cuối cùng, để tránh bị phát hiện, chúng thực hiện giai đoạn Xóa dấu vết (Covering Tracks) bằng cách thay đổi hoặc xóa các file log. Một Hệ Thống Giám Sát An Toàn Thông Tin Dựa Trên Snort có thể phát hiện các hoạt động bất thường ở hầu hết các giai đoạn này, đặc biệt là giai đoạn thăm dò và quét hệ thống, giúp ngăn chặn cuộc tấn công trước khi nó gây ra thiệt hại.

Kiến trúc của Snort bao gồm năm thành phần cốt lõi. Đầu tiên là Module giải mã gói tin (Packet Decoder), sử dụng thư viện pcap để bắt và phân tích cấu trúc các gói tin thô từ lớp liên kết dữ liệu trở lên. Tiếp theo, gói tin được chuyển đến Module tiền xử lý (Preprocessors), nơi thực hiện các tác vụ quan trọng như ghép các gói tin bị phân mảnh, giải mã và chuẩn hóa giao thức (ví dụ: HTTP, FTP) để chống lại các kỹ thuật lẩn tránh. Module quan trọng nhất là Module phát hiện (Detection Engine), chịu trách nhiệm so sánh dữ liệu trong gói tin với bộ Luật Snort đã được định nghĩa. Nếu phát hiện một sự trùng khớp, thông tin sẽ được gửi đến Module log và cảnh báo (Logging and Alerting System). Cuối cùng, Module kết xuất thông tin (Output Module) định dạng và gửi các cảnh báo này đến nơi lưu trữ, có thể là file log, cơ sở dữ liệu, hoặc một hệ thống SIEM.

Quy trình xử lý một gói tin trong Snort diễn ra theo một luồng rõ ràng. Ban đầu, card mạng của hệ thống Snort được đặt ở chế độ promiscuous để thu thập tất cả các gói tin di chuyển qua nó. Gói tin này ngay lập tức được đưa vào Module giải mã để xác định các giao thức (Ethernet, IP, TCP/UDP). Sau khi được giải mã, nó đi qua các Module tiền xử lý. Tại đây, các tiền xử lý viên sẽ kiểm tra và chuẩn hóa dữ liệu, ví dụ như tái cấu trúc lại một phiên TCP hoàn chỉnh. Dữ liệu đã được chuẩn hóa sau đó được đưa vào Module phát hiện. Module này áp dụng hàng ngàn Snort rules lên gói tin một cách hiệu quả để tìm kiếm các dấu hiệu tấn công. Nếu một luật được kích hoạt, một sự kiện sẽ được tạo ra và chuyển đến hệ thống log và cảnh báo. Cuối cùng, thông tin cảnh báo chi tiết, bao gồm gói tin gây ra cảnh báo, sẽ được ghi lại thông qua Module kết xuất, phục vụ cho quá trình phân tích log Snort sau này.

Mỗi Luật Snort được chia thành hai phần chính. Phần Header bao gồm các thành phần cơ bản: Action (hành động cần thực hiện, ví dụ: alert, log, drop), Protocol (giao thức cần kiểm tra, ví dụ: TCP, UDP, ICMP), Source IP/Port (địa chỉ IP và cổng nguồn), Direction (hướng của lưu lượng, ví dụ: ->), và Destination IP/Port (địa chỉ IP và cổng đích). Phần thứ hai là Phần Options, được đặt trong dấu ngoặc đơn và chứa các từ khóa chi tiết hơn để kiểm tra gói tin. Các tùy chọn phổ biến bao gồm msg (nội dung thông điệp cảnh báo), content (tìm kiếm một chuỗi ký tự cụ thể trong phần payload của gói tin), sid (mã định danh duy nhất của luật), và classtype (phân loại cuộc tấn công). Sự kết hợp giữa Header và Options tạo ra một cơ chế phát hiện cực kỳ mạnh mẽ và chi tiết.

Viết một luật Snort cơ bản không quá phức tạp. Ví dụ, để phát hiện một gói tin ICMP Ping (thường dùng trong giai đoạn thăm dò), ta có thể viết một luật đơn giản: alert icmp any any -> $HOME_NET any (msg:"ICMP test detected"; sid:10000001;). Trong đó, $HOME_NET là một biến đã được định nghĩa trong file cấu hình Snort (snort.conf). Để phát hiện một nỗ lực truy cập vào một thư mục nhạy cảm trên web server, ta có thể sử dụng từ khóa content: alert tcp any any -> $HTTP_SERVERS 80 (msg:"Confidential folder access attempt"; flow:to_server,established; content:"/etc/passwd"; classtype:web-application-attack; sid:10000002;). Luật này sẽ tìm kiếm chuỗi "/etc/passwd" trong các gói tin TCP hướng đến cổng 80 của máy chủ web, chỉ trong các phiên đã được thiết lập. Việc thực hành viết các luật như vậy giúp củng cố hiểu biết và tăng cường khả năng bảo vệ của hệ thống.

Một mô hình triển khai thực nghiệm phổ biến bao gồm ba máy ảo: một máy tấn công (Attacker, ví dụ: Kali Linux), một máy nạn nhân (Client, ví dụ: Windows Server), và một máy cài đặt Snort làm Network Intrusion Detection System (NIDS). Máy Snort được cấu hình để giám sát toàn bộ lưu lượng mạng giữa máy attacker và máy client. Quá trình cài đặt Snort trên một hệ điều hành Linux (như CentOS hoặc Ubuntu) thường bắt đầu bằng việc cài đặt các thư viện cần thiết như libpcap, libdnet, và DAQ. Sau đó, tiến hành tải về mã nguồn Snort, biên dịch và cài đặt. Bước quan trọng tiếp theo là cấu hình Snort, chủ yếu là chỉnh sửa file /etc/snort/snort.conf, trong đó cần định nghĩa các biến mạng (HOME_NET, EXTERNAL_NET), đường dẫn đến các file luật, và kích hoạt các preprocessor cần thiết. Cuối cùng, tạo các file luật tùy chỉnh như local.rules để thêm các quy tắc phát hiện riêng.

Để kiểm tra hiệu quả của hệ thống, một kịch bản tấn công DoS đơn giản có thể được thực hiện. Từ máy Attacker, sử dụng công cụ hping3 để gửi một lượng lớn gói tin ICMP đến máy Client với lệnh: hping3 -1 -d 120 --flood [IP_CLIENT]. Lệnh này sẽ tạo ra một cơn lũ gói tin ICMP, làm cạn kiệt tài nguyên của máy Client, biểu hiện qua việc CPU tăng vọt và mạng bị tắc nghẽn. Trên máy Snort, một luật đã được cấu hình trong local.rules để phát hiện lưu lượng ICMP bất thường, ví dụ: alert icmp any any -> $HOME_NET any (msg:"ICMP Flood Detected"; detection_filter: track by_dst, count 100, seconds 10; sid:10000003;). Khi cuộc tấn công diễn ra, Snort sẽ thực hiện giám sát mạng thời gian thực, phát hiện sự gia tăng đột biến của gói tin ICMP, đối sánh với luật và ngay lập tức tạo ra cảnh báo. Kết quả này được ghi lại và có thể được xem trực tiếp trên console hoặc thông qua phân tích log Snort, xác nhận rằng hệ thống đã phát hiện thành công cuộc tấn công.

Ưu điểm chính của Snort bao gồm: là mã nguồn mở và miễn phí, có một cộng đồng hỗ trợ lớn, bộ luật linh hoạt và dễ tùy chỉnh, có thể hoạt động ở cả hai chế độ IDS và IPS. Tuy nhiên, hệ thống này cũng tồn tại một số nhược điểm. Một trong những hạn chế lớn nhất là Snort nguyên bản xử lý gói tin trên một luồng (single-threaded), điều này có thể gây ra tình trạng bỏ sót gói tin trên các mạng có băng thông rất lớn. Thêm vào đó, Snort không thể phân tích các lưu lượng đã được mã hóa như SSL/TLS hay IPSec, tạo ra một điểm mù an ninh. Một vấn đề khác là nguy cơ xảy ra cảnh báo giả (False Positive), đòi hỏi quản trị viên phải liên tục tinh chỉnh bộ luật để tối ưu hóa hiệu năng Snort và giảm thiểu các cảnh báo không chính xác, tránh gây mệt mỏi cho đội ngũ an ninh.

Suricata thường được coi là đối thủ cạnh tranh trực tiếp và là một sự thay thế hiện đại cho Snort. Điểm mạnh lớn nhất của Suricata là khả năng xử lý đa luồng (multi-threading) nguyên bản, cho phép nó xử lý lưu lượng mạng tốc độ cao hiệu quả hơn Snort. Suricata cũng tương thích với bộ luật của Snort, giúp việc chuyển đổi trở nên dễ dàng hơn. Zeek (Bro) lại có một cách tiếp cận khác. Thay vì chỉ tập trung vào việc đối sánh dựa trên chữ ký (signature-based) như Snort và Suricata, Zeek là một framework phân tích mạng mạnh mẽ. Nó cung cấp các bản ghi (log) cực kỳ chi tiết về mọi hoạt động mạng (HTTP, DNS, SSL,...) và cho phép phân tích hành vi (behavioral analysis) thông qua ngôn ngữ kịch bản riêng. Trong nhiều môi trường hiện đại, người ta thường kết hợp các công cụ này: sử dụng Snort/Suricata để phát hiện dựa trên chữ ký và Zeek để phân tích sâu và săn lùng mối đe dọa (threat hunting).