Khi nhắc đến bảo mật hệ thống, một trong những yếu tố quan trọng hàng đầu là khả năng phát hiện và ngăn chặn các cuộc tấn công mạng. Với kinh nghiệm từng triển khai nhiều hệ thống IDS (Intrusion Detection System) khác nhau, từ Snort, Zeek (trước đây là Bro) cho đến Suricata. Và tôi nhận thấy rằng rất nhiều quản trị viên hệ thống vẫn còn khá mơ hồ về IDS cũng như cách phân biệt nó với các giải pháp bảo mật khác như IPS (Intrusion Prevention System) và Firewall.

Trong bài viết này, tôi sẽ làm rõ những nội dung về:

• IDS là gì?
• Sự khác biệt giữa IDS, IPS và Firewall
• Hướng dẫn cài đặt và cấu hình Suricata IDS trên Ubuntu 20.04
• Các quy tắc tối ưu để IDS hoạt động hiệu quả nhất

IDS là gì?

IDS (Intrusion Detection System) là hệ thống giám sát lưu lượng mạng hoặc hoạt động trên hệ thống để phát hiện các hành vi đáng ngờ hoặc có dấu hiệu tấn công.

Có 2 loại IDS chính:

• NIDS (Network-based IDS): Giám sát toàn bộ lưu lượng mạng, phát hiện các cuộc tấn công vào hệ thống từ bên ngoài.
• HIDS (Host-based IDS): Giám sát các tệp nhật ký (log files), tiến trình và thay đổi hệ thống trên máy chủ nội bộ.

IDS vs IPS vs Firewall – Đừng nhầm lẫn giữa 3 khái niệm này

Rất nhiều người nhầm lẫn giữa IDS, IPS và Firewall, nhưng thực tế chúng có vai trò rất khác nhau:

Firewall là “tường lửa”, có nhiệm vụ lọc lưu lượng mạng theo quy tắc, còn IDS chỉ giám sát và cảnh báo. Trong khi đó, IPS có thể tự động ngăn chặn tấn công bằng cách chặn gói tin độc hại hoặc vô hiệu hóa kết nối.

Câu hỏi thường gặp:

1. Khi nào nên dùng IDS?

=> Nếu bạn cần giám sát hành vi tấn công mà không muốn thay đổi trực tiếp lưu lượng mạng, IDS là lựa chọn phù hợp.

1. Khi nào nên dùng IPS?

=> Nếu bạn muốn hệ thống tự động phản hồi và ngăn chặn mối đe dọa, hãy sử dụng IPS.

Hướng dẫn cài đặt Suricata IDS trên Ubuntu 20.04

Tại sao chọn Suricata?

Sau thời gian triển khai nhiều giải pháp IDS, tôi nhận thấy Suricata có nhiều ưu điểm nổi bật:

• Hiệu suất cao hơn Snort nhờ khả năng đa luồng (multi-threading).
• Hỗ trợ cả IDS và IPS.
• Hỗ trợ phân tích gói tin nâng cao với Lua scripting.

Cách cài đặt Suricata trên Ubuntu 20.04

Bước 1: Cập nhật hệ thống sudo apt update && sudo apt upgrade -y


Bước 2: Cài đặt Suricata sudo apt install suricata -y


Bước 3: Kiểm tra phiên bản Suricata suricata --build-info | grep "Suricata version"


Bước 4: Cấu hình Suricata chạy ở chế độ IDS

Mở tệp cấu hình: sudo nano /etc/suricata/suricata.yaml


Tìm dòng af-packet và đặt chế độ IDS:

af-packet:
  - interface: eth0
    copy-mode: ips
    tpacket-v3: yes

Lưu lại (Ctrl + X, nhấn Y để xác nhận).

Bước 5: Khởi động và kiểm tra Suricata

sudo systemctl start suricata
sudo systemctl enable suricata
sudo systemctl status suricata

Tối ưu hóa Suricata IDS để phát hiện hiệu quả hơn

Cập nhật danh sách rules (quy tắc phát hiện tấn công)

sudo suricata-update

Tích hợp Suricata với SIEM (Security Information and Event Management)

Nếu bạn muốn giám sát IDS từ xa, hãy tích hợp với Splunk hoặc ELK Stack (Elasticsearch, Logstash, Kibana).

Cấu hình Suricata gửi cảnh báo qua email

Mở tệp cấu hình:

sudo nano /etc/suricata/suricata.yaml

Tìm dòng outputs và thêm:

outputs:
  - eve-log:
      enabled: yes
      filename: /var/log/suricata/eve.json
      types:
        - alert
  - smtp-log:
      enabled: yes
      filename: smtp.log

Khởi động lại Suricata:

sudo systemctl restart suricata

Đọc thêm: Hệ thống SIEM là gì?

Lời kết

Thực tế là, IDS không thể thay thế hoàn toàn IPS hoặc Firewall. Tuy nhiên, IDS đóng vai trò rất quan trọng trong việc phát hiện sớm các cuộc tấn công, giúp quản trị viên có thời gian phản ứng kịp thời. Vì vậy, nếu bạn đang triển khai hệ thống bảo mật mạng, hãy kết hợp cả IDS, IPS và Firewall để đạt hiệu quả tối đa. Hy vọng với hướng dẫn này, bạn có thể tự cài đặt và tối ưu Suricata IDS một cách hiệu quả. Nếu bạn có bất kỳ câu hỏi nào, hãy để lại bình luận để cùng bạn luận nhé! Chia sẻ bài viết này nếu bạn thấy hữu ích!

Nội dung cùng chủ đề:

• Lỗ hổng Remote Code Execution
• SOC vs NOC
• Phishing simulation tools