Tải bản đầy đủ (.pdf) (74 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Nghiên cứu các chức năng của tường lửa thế hệ mới suricata và ứng dụng trong mạng nội bộ doanh nghiệp

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.09 MB, 74 trang )

LỜI CẢM ƠN
Được sự phân công của Khoa Công nghệ thông tin - Trường Đại học
Công nghệ thông tin và Truyền thông Thái Nguyên, và sự đồng ý của cô giáo
hướng dẫn Th.S Ngô Thị Lan Phương em đã thực hiện đề tài "Nghiên cứu
các chức năng của tường lửa thế hệ mới Suricata và ứng dụng trong mạng
nội bộ doanh nghiệp"
Em xin chân thành cảm ơn cô giáo đã tận tình hướng dẫn, giảng dạy và giúp
đỡ trong suốt quá trình em học tập và làm đồ án tốt nghiệp.
Em xin cảm ơn toàn thể các thầy cô giáo – Trường Đại học Công nghệ thông
tin và Truyền thông đã truyền dạy cho em những kiến thức quý báu trong suốt quá
trình học tập tại trường để em có thể hoàn thành tốt đồ án tốt nghiệp.
Mặc dù đã có rất nhiều cố gắng, nhưng do thời gian và kiến thức có hạn nên
không thể tránh khỏi những sai lầm và thiếu sót. Em rất mong được sự đóng góp
của quý thầy cô và các bạn để đồ án được hoàn thiện hơn.
Em xin chân thành cảm ơn!
Thái Nguyên, ngày tháng năm 2016
Sinh viên thực hiện

Nguyễn Thị Thu Trang

1


LỜI CAM ĐOAN
Em xin cam đoan đây là đề tài nghiên cứu do em tự thực hiện với sự hướng
dẫn và chỉ dạy trực tiếp của cô giáo Th.S Ngô Thị Lan Phương. Các nội dung và
kết quả trong đồ án chưa từng được công bố ở các nghiên cứu khác.
Em xin chịu trách nhiệm về đồ án tốt nghiệp của mình.
Thái Nguyên, ngày tháng năm 2016
Sinh viên


Nguyễn Thị Thu Trang

2


MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT

Thuật ngữ, từ viết tắt
NGFWS
DPI
IDS
IPS
NSM
SSL
SSH
PCAP
ICMP
TCP
UDP
HTTP
DNS
SMTP
SMB
IMAP
TLS

Diễn giải
Next Generation Firewalls
In-Line Deep Packet Inspection

Intrusion Detection System
Intrusion Prevention System
Network Security Mornitoring
Secure Socket Layer L
Secure Shell
Packet Capture
Internet Control Message Protocol
Transmission Control Protocol
User Datagram Protocol
Hypertext Transfer Protocol
Domain Name System
Simple Mail Transfer Protocol
Server Message Block
Internet Message Access Protocol
Transport Layer Security

3


DANH MỤC BẢNG, HÌNH ẢNH
Bảng 1.1: Bảng so sánh giữa tường lửa truyền thống và tường lửa thế hệ mới
25

Bảng 3.1: Các thành phần của hệ thống mạng

57

Hình 1.1: Vị trí của firewall trong hệ thống mạng

16


Hình 1.2: Ứng dụng trung tâm phân loại lưu lượng dữ liệu xác định các ứng dụng
cụ thể chảy qua mạng, không phân biệt các cổng và giao thức sử dụng

19

Hình 1.3: Các kỹ thuật NGFWs sử dụng để xác định ứng dụng không phân biệt
cổng, giao thức, chiến thuật lần tránh hoặc mã hoá SSL21
Hình 1.4: Nhận dạng người dùng tích hợp các thư mục doanh nghiệp dựa vào
chính sách người dùng, báo cáo và pháp lý.

22

Hình 1.5: Xác định nội dung dựa vào hợp nhất quét các mối đe doạ, dữ liệu bí mật
và lọc URL 24
Hình 2.1: Kiến trúc của Suricata 29
Hình 2.2: Các gói tin đi vào Sniffer

30

Hình 2.3: Quá trình xử lí ở Preprocessors 31
Hình 2.4: Gói tin được xử lý ở Detection Engine bằng các luật32
Hình 2.5: Thành phần cảnh báo và logging
Hình 2.6: Cấu trúc luật trong Suricata

33

37

Hình 2.7: Bảng các tuỳ chọn của Reference


40

Hình 2.7: Thông tin phân loại lớp quy tắc41
Hình 2.8: Một số tuỳ chọn của Ipopts

44

Hình 2.9: Bảng Type của ICMP Header 48
Hình 3.1: Hệ thống kết nối hoàn toàn với Internet

51

Hình 3.2: Hệ thống mạng ngắt kết nối hoàn toàn với Internet 52
Hình 3.3: Hệ thống bán kết nối Internet 53
4


Hình 3.4: Hệ thống chia thành hai mạng 54
Hình 3.5: Hệ thống mạng công ty hiện nay

55

Hình 3.5: Sơ đồ hệ thống mạng sử dụng Suricata

56

Hình 3.6: Thông báo áp file cấu hình lên giao diện eth0 thành công 63
Hình 3.7: Ping từ máy mạng External đến máy chủ


64

Hình 3.8: Kết quả phát hiện Ping trên Suricata 64
Hình 3.9: Kết quả thông báo chặn Ping trên Suricata

65

Hình 3.10: Phát hiện giao thức TCP trên Suricata

65

Hình 3.11: Phát hiện giao thức UDP trên Suricata

66

Hình 3.12: Chặn giao thức TCP trên Suricata

66

Hình 3.13: Chặn giao thức UDP trên Suricata

67

Hình 4.1: Mô hình hệ thống mạng kết hợp GPU, DPDK, Suricata
Hình 4.2: Mô hình hoạt động của hệ thống

71

72


Hình 4.3: Kết quả thời gian mã hóa cùng dữ liệu đầu vào của GPU và CPU 73

5


MỞ ĐẦU
1. Tính cấp thiết của đề tài
Ngày nay, chúng ta đang chứng kiến và thụ hưởng những thành tựu to lớn
của cuộc cách mạng khoa học kỹ thuật mới - cuộc cách mạng công nghệ thông tin.
Mặc dù cuộc cách mạng này mới chỉ khởi đầu từ những năm cuối của thế kỷ XX,
bắt nguồn bằng việc phát minh ra máy tính điện tử (Computer) và thực sự bùng
phát khi mạng thông tin toàn cầu (Internet) được sử dụng rộng rãi, song đã
được nhiều nhà khoa học dự báo là sẽ đưa xã hội loài người tiến vào một kỷ
nguyên mới, một thời kỳ mới - nền kinh tế tri thức, một nền kinh tế được tiên
đoán là sẽ phát triển mạnh mẽ gấp nhiều lần so với cuộc cách mạng công
nghiệp trước đây. Thực tiễn đời sống xã hội trên thế giới và ngay cả ở Việt
Nam chúng ta những năm vừa qua đã kiểm chứng cho dự báo này. Máy tính và
công nghệ kỹ thuật số đi kèm đã và đang thay thế các công nghệ trước đây trên
tất cả mọi lĩnh vực đời sống xã hội. Máy tính đã nhanh chóng hiện diện và
được sử dụng rộng rãi trong hầu hết các lĩnh vực của đời sống xã hội, với
những mục đích sử dụng cũng hết sức đa dạng, từ sản xuất, kinh doanh, ứng
dụng khoa học kỹ thuật cho đến mục đích giải trí đơn thuần.
Mới chỉ hình thành và phát triển vài thập kỷ, nhưng cuộc cách mạng mới
này đã khiến cho nhiều ngành kinh tế, xã hội và văn hoá hoàn toàn phụ thuộc
vào các công nghệ mới của nó, đặc biệt phải kể đến vai trò của máy tính điện
tử và Internet. Công nghệ thông tin cũng hình thành một thế hệ mới, thế hệ phụ
thuộc vào công nghệ thông tin, coi máy tính, Internet, E-mail, điện thoại di
động, máy ảnh số, máy nghe nhạc số... là những công cụ không thể thiếu trong
cuộc sống. Đặc biệt là sự phát triền bùng nổ của mạng lưới thương mại điện tử
ở Việt Nam nói riêng và thế giới nói chung đã ngày càng trở thành mục tiêu

của nhiều attacker hơn.
Cũng như bất kỳ một thành tựu khoa học nào của nhân loại, khi mà các thành
tựu càng được ứng dụng rộng rãi trong đời sống xã hội thì càng dễ bị lợi dụng, sử
dụng hoặc là mục tiêu của tội phạm. Các thành tựu do công nghệ thông tin đem lại
cũng không nằm ngoài quy luật đó. Vì vậy, trong thế giới mà công nghệ thông tin đã
tạo ra cho con người đã hình thành một khái niệm về tội phạm - tội phạm trong lĩnh
vực công nghệ thông tin hay còn được biết đến với các tên khác nhau như: tội phạm
mạng (Cyber Crimes), tội phạm máy tính hay tội phạm liên quan đến máy tính
(Computer Crimes). Đây là vấn đề đang gây rất nhiều khó khăn không chỉ đối với
Việt Nam mà còn đối với nhiều nước trên thế giới. Do vậy, việc tìm ra các giải pháp
6


hữu hiệu trong việc phòng chống lại các tội phạm công nghệ thông tin đang là vấn
đề được quan tâm hàng đầu và cũng là những thách thức trong ngành công nghệ
thông tin của mỗi quốc gia.
Với sự phát triển ngày càng nhiều cùng những thử đoạn ngày càng tinh vi và
nguy hiểm của các attacker hiện nay thì đối với một hệ thống mạng của doanh
nghiệp vấn đề an toàn an ninh phải được đặt lên hàng đầu. Sử dụng một tường lửa
với những công nghệ hiện đại và các chức năng có thể ngăn chặn các cuộc tấn công
của các hacker là một giải pháp hữu hiệu cho các doanh nghiệp trong việc phát hiện,
ngăn chặn các mối đe doạ nguy hiểm để bảo vệ hệ thống mạng.
2. Mục tiêu nghiên cứu
Nghiên cứu các chức năng chính của tường lửa thế hệ mới và các kỹ thuật sử
dụng trong tường lửa thế hệ mới.
Nghiên cứu cấu trúc của tường lửa thế hệmới Suricata, các chức năng của
Suricata và các cài đặt, cấu hình trên hệ điều hành Linux.
Nghiên cứu về các luật của Suricata, cấu trúc luật và các thành phần trong luật
của Suricata. Viết một số luật đơn giản trong Suricata và thực thi các luật.
Nghiên cứu, phân tích dấu hiệu của một số cuộc tấn công, hình thành các luật

tương ứng với đặc điểm của các dạng tấn công và xâm nhập đó.
3. Đối tượng nghiên cứu
Đối tượng nghiên cứu của đề tài là công nghệ tường lửa thế hệ mới nói chung.
Hệ thống tường lửa thế hệ mới Suricata, chức năng và cấu trúc tập luật của Suricata.
Nghiên cứu và hình thành các tập luật đối với các dạng tấn công, xâm
nhập cụ thể.
4. Phương pháp nghiên cứu
Nghiên cứu lý thuyết phát hiện xâm nhập thông qua các tài liệu báo cáo,
luận văn…
Nghiên cứu lý thuyết về tường lửa thế hệ mới thông qua các tài liệu của tác giả
Lawrence C. Miller, tài liệu của hãng Palo Alto và các nguồn tài liệu khác.
Nghiên cứu lý thuyết về Suricata thông qua tài liệu từ trang chủ Suricata, tài
liệu Sourcefile của Suricata và các tài liệu khác.
Cài đặt và triển khai hệ thống trên Linux.
Tìm hiểu về các phương thức xâm nhập, tấn công và khai thác lỗ hổng, công cụ
và cách thực hiện.
Triển khai tấn công, khai thác lỗ hổng. Sau đó đọc log, phân tích gói tin bắt
được, chuyển hoá thành các luật nhằm phát hiện và ngăn chặn.
5. Nội dung đề tài
Luận văn tập trung phân tích các chức năng của tường lửa thế hệ mới, cấu trúc,
7


chức năng và tập luật của tường lửa thế hệ mới Suricata. Phân tích một số cuộc tấn
công xâm nhập từ đó hình thành các tập luật phát hiện và ngăn chặn tương ứng. Bài
luận văn gồm 4 chương:
Chương 1: Tổng quan về công nghệ tường lửa thế hệ mới
Giới thiệu tổng quan về công nghệ tưởng lửa thế hệ mới, đi sâu phân tích các
chức năng và kỹ thuật sử dụng của tường lửa thế hệ mới.
Chương 2: Tường lửa thế hệ mới Suricata

Giới thiệu tổng quan về Suricata, phân tích cấu trúc, chức năng của Suricata..
Phân tích chi tiết cấu trúc một luật trong Suricata.
Chương 3: Demo phát hiện và chặn một số giao thức trên Suricata
Phân tích một số dạng tấn công và thiết lập các luật tương ứng. Thiết lập một số
luật cơ bản và thực nghiệm trên Suricata. Cài đặt Suricata trên hệ điều hành Linux.
Ứng dụng Suricata trong việc phát hiện và ngăn chặn các giao thức
Chương 4: Khả năng ứng dụng và mở rộng của kết quả nghiên cứu
Tóm tắt, nhận xét các kết quả đã đạt được và các hạn chế cần phải khắc phục
trong bài báo cáo. Nêu lên ý nghĩa khoa học và ứng dụng trong thực tiễn của tường
lửa thế hệ mới. Đặt ra hướng phát triển trong tương lai và ứng dụng của nó trong
ngành công nghệ thông tin đặc biệt là lĩnh vực an toàn an ninh mạng

8


CHƯƠNG 1: TỔNG QUAN VỀ CÔNG NGHỆ TƯỜNG LỬA
THẾ HỆ MỚI
1.1. Tổng quan về bảo mật
1.1.1. Khái niệm
Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản. Hạn chế ở
đây có nghĩa là không thể triệt phá hết ngay việc lạm dụng, cho nên cần sẵn sàng
để phòng mọi khả năng xấu. Bên cạnh đó, cần phải phân tích chính xác các cuộc
tấn công, các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết
để làm giảm thiệt hại gây nên từ các cuộc tấn công.
Khái niệm bảo mật được định nghĩa theo 3 lĩnh vực chính:
 Bảo mật máy tính (Computer Security): Là một tiến trình ngăn chặn và phát
hiện sử dụng không hợp pháp vào máy tính của bạn bằng cách lựa chọn các công
cụ thiết kế để bảo vệ dữ liệu và tấn công của hackers.
 Bảo mật mạng (Network Security): Là phương pháp để bảo vệ dữ liệu
trong suốt quá trình chuyển động của chúng.

 Bảo mật Internet (Internet Security): Là phương pháp để bảo vệ dữ liệu
trong suốt quá trình vận chuyển của chúng ra ngoài đến kết nối Inernet.
1.1.2. Các phương pháp xâm nhập hệ thống
Tấn công (attack) là hoạt động có chủ ý của kẻ phạm tội lợi dụng các thương
tổn của hệ thống thông tin và tiến hành phá vỡ tính sẵn sàng, tính toàn vẹn và tính
bí mật của hệ thống thông tin.
1.1.2.1. Phương thức tấn công để thăm dò mạng
Thăm dò là việc thu thập thông tin trái phép về tài nguyên, các lỗ hổng hoặc
dịch vụ của hệ thống.
Tấn công thăm dò thường bao gồm các hình thức: Sniffing, Ping Sweep,
Ports Scanning.
a. Sniffing (Nghe lén)
Sniffing là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc
điểm của cơ chế TCP/IP.
Sniffer ban đầu là một kỹ thuật bảo mật, được phát triển nhằm giúp các nhà
quản trị mạng khai thác mạng hiệu quả hơn và có thể kiểm tra lỗi các dữ liệu vào
mạng cũng như các dữ liệu trong mạng. Sau này, các hacker dùng phương pháp
này để lấy cắp mật khẩu hay các thông tin nhạy cảm khác.
Biến thể của sniffer là các chương trình nghe lén bất hợp pháp như: công cụ
nghe lén yahoo, ăn cắp password email…
9


b. Ping sweep
- Ping: đưa ra một gói yêu cầu ICMP và đợi trả lời một thông báo trả lời từ
một máy hoạt động.
- Ping Sweep: xác định hệ thống đang “sống” hay không rất quan trọng vì có
thể hacker ngừng ngay tấn công khi xác định hệ thống đó đã “chết”. Việc xác định
trạng thái hệ thống có thẻ sử dụng kỹ thuật Ping Scan hay gọi với tên Ping Sweep.
- Bản chất của quá trình này là gửi một ICMP Echo Request đến máy chủ mà

hacker đang muốn tấn công và mong đợi một ICMP Reply.
- Ngoài lệnh ping sẵn có trên Windows, còn có một số công cụ ping sweep
như: Pinger, Friendly, Ping Pro…
c. Port scanning
Port scanning là một quá trình kết nối các cổng (TCP và UDP) trên một hệ
thống mục tiêu nhằm xác định xem dịch vụ nào đang “chạy” hoặc đang trong trạng
thái “nghe”. Xác định các cổng nghe là một công việc rất quan trọng nhằm xác
định được loại hình hệ thống và những ứng dụng đang được sử dụng.
Port scanning thực hiện các chức năng:
- Xác định máy đang ở cổng nào.
- Xác định hệ thống đang sử dụng dịch vụ nào.
Mỗi công cụ có cơ chế port scan riêng.
1.1.2.2. Tấn công xâm nhập (access attack)
Tấn công xâm nhập là một thuật ngữ rộng miêu tả bất kỳ kiểu tấn công nào
đòi hỏi người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo
mật với mục đích thao túng dữ liệu, nâng cao đặc quyền.
Tấn công truy nhập hệ thống: là hành động nhằm đạt được quyền truy cập bất
hợp pháp đến một hệ thống mà ở đó hacker không có tài khoản sử dụng.
Tấn công xâm nhập thao túng dữ liệu: kẻ xâm nhập đọc, viết, xóa, sao chép
hay thay đổi dữ liệu.

1.1.2.3. Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ là tên gọi chung của cách tấn công làm cho một hệ
thốn nào đó bị quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt động của hệ
thống hoặc hệ thống phải ngưng hoạt động.
Tùy theo phương thức thực hiện mà nó được biết dưới nhiều tên gọi khác nhau:
- Khởi đầu là lợi dụng sự yếu kém của giao thức TCP (Transmision Control
Protocol) để thực hiện tấn công từ chối dịch vụ DoS (Denial of Service).
- Tiếp theo là tấn công từ chối dịch vụ phân tán DDoS (Distributed DoS)
10



- Mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS
(Distributed Reflection DoS).
1.1.2.4. Phương pháp tấn công hệ thống DNS
DNS Server là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn
công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy
hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền trên mạng.
1.1.2.5. Phương thức tấn công lớp ứng dụng
Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một
trong những cách thông dụng nhất là tấn công vào các điểm yếu của phần mềm
như sendmail, HTTP, FTP…Nguyên nhân chủ yếu của các tấn công lớp ứng dụng
này là chúng sử dụng những port cho qua bởi Firewall. Ví dụ các hacker tấn công
Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25…
1.1.2.6. Phương pháp tấn công nhúng mã độc
a. Virus
Là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép
chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính…).
Những virus được viết trong thời gian gần đây đa phần hướng đến việc
lấy cắp thông tin cá nhân (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột
nhập chiếm quyền điều khiển hoặc các hành động khác nhằm có lợi cho người
phát tán virus.
Virus thường bị lây nhiễm qua các phương thức như thư điện tử và Internet.
b. Trojan horse
Là một phần mềm độc hại, nó có chức năng hủy hoại tương tự như virus
nhưng nó không có khả năng tự nhân bản như virus. Trên các máy tính, các hacker
thường đính kèm một Trojan horse vào một cái tên mà người dùng ít nghi ngờ vào
một thư điện tử với việc khuyến khích người dùng mở đính kèm ra. Trojan horse
thường là các tệp khả nghi trên máy tính và do đó sẽ có các đuôi như *.exe, *.com,
*.scr hay *.pif. Nếu một Trojan horse có tên là “Readme.txt.exe” thì tệp này sẽ

hiển thị một cách mặc định thành “Readme.txt” và nó sẽ đánh lừa người dùng rằng
đây chỉ là một loại hồ sơ văn bản không thể gây hại.
1.1.3. Các mối đe dọa về bảo mật
Hiện nay, một hệ thống công nghệ thông tin luôn bị đe dọa tấn công bởi các
hacker nên việc xây dựng một hệ thống bảo vệ xâm nhập là cần thiết đối với mỗi

11


một tổ chức. Các hình thức tấn công của hacker ngày càng tinh vi, mức độ tấn
công ngày càng nguy hiểm hơn, nên không một hệ thống nào có thể đảm bảo hoàn
toàn không bị xâm nhập. Nếu các tổ chức phòng chống tội phạm công nghệ thông
tin đang cố gắng cập nhật, sửa đổi để cung cấp cho người dùng những phương
pháp phòng chống hiệu quả thì bên cạnh đó, những kẽ tấn công cũng ngày đêm
nghiên cứu tung ra các hình thức xâm nhập phá hoại khác.
Để bảo vệ tốt được một hệ thống, đầu tiên bạn phải có cái nhìn tổng quát về
các nguy cơ tấn công, nghĩa là đầu tiên bạn phải nhận định được bạn cần bảo vệ
cái gì, bảo vệ khỏi ai cùng với đó bạn phải hiểu các kiểu đe dọa đến sự bảo mật
mạng của bạn. Thông thường sẽ có 4 mối đe dọa bảo mật sau:
 Mối đe dọa bên trong
 Mối đe dọa bên ngoài
 Mối đe dọa có cấu trúc và không có cấu trúc
a. Mối đe dọa bên trong
Mối đe dọa bên trong là kiểu tấn công được thực hiện từ một cá nhân hoặc
một tổ chức được tin cậy trong mạng và có một vài quyền hạn để truy cập vào hệ
thống. Hầu hết chúng ta chỉ quan tâm xây dựng một hệ thống firewall và giám sát
dữ liệu truy cập ở các đường biên mạng mà ít để ý đến các truy cập trong mạng nội
do sự tin tưởng vào các chính sách được người quản trị quy định trong hệ thống.
Do sự bảo mật trong một mạng local thường lỏng lẻo nên đây là môi trường
thường được các hacker sử dụng để tấn công hệ thống.

Mối đe dọa bên trong thường được thực hiện bởi các nhân viên có bất đồng
với công ty, các gián điệp kinh tế hay do một máy client đã bị hacker chiếm quyền
truy cập. Mối đe dọa này thường ít được để ý và phòng chống vì các nhân viên có
thể truy cập vào mạng và dữ liệu quan trọng của sever.
b. Mối đe dọa ở bên ngoài
Mối đe dọa bên ngoài là việc các hacker cố gắng xâm nhập vào một hệ thống
mạng nào đó bằng một vài kỹ thuật hay việc phá hoại truy cập hệ thống (DoS,
12


DDoS…). Xây dựng hệ thống firewall và cảnh báo để ngăn ngừa các mối đe dọa
từ bên ngoài là việc mà ccs công ty và tổ chức thường phải bỏ nhiều thời gian và
tiền bạc để đầu tư phát triển.
c. Mối đe dọa không có cấu trúc và có cấu trúc
Mối đe dọa tấn công vào một hệ thống có thể đến từ rất nhiều loại. Phổ biến
nhất là các hacker mới vào nghề, còn ít kiến thức và không có kinh nghiệm, thực
hiện việc tấn công bằng cách sử dụng công cụ hoặc thực hiện tấn công DoS (mối
đe dọa không có cấu trúc). Hoặc việc tấn công được thực hiện bởi các hacker thực
thụ hoặc cả một tổ chức (mối đe dọa có cấu trúc), họ là những người có kiến thức
và kinh nghiệm cao, nắm rõ việc hoạt động của các hệ thống, giao thức mạng cũng
như các phương pháp thường được sử dụng để ngăn chặn trong các firewall. Đây
là mối đe dọa khó ngăn ngừa và phòng chống nhất đối với các hệ thống mạng.
1.2. Công nghệ tường lửa thế hệ mới
1.2.1. Giới thiệu về firewall
Firewall là một thiết bị, hay một hệ thống điều khiển truy cập mạng, nó có
thể là phần cứng hoặc phần mềm hoặc kết hợp cả hai.
Firewall thường được đặt tại mạng vành đai để đóng vai trò như cổng nối
(gateway) bảo mật giữa một mạng tin cậy và mạng không tin cậy, có thể giữa
Intranet và Internet hoặc giữa mạng của doanh nghiệp chủ với mạng của đối tác.
Firewall được thiết kế để ngăn chặn tất cả các lưu lượng không được phép và

cho phép các lưu lượng được phép đi qua nó. Vì vậy, thiết bị firewall thường bao
gồm hai giao tiếp mạng (network interface): một nối với mạng bên trong (intranet:
mạng cần bảo vệ) và một nối với mạng bên ngoài (Internet: mạng không tin cậy).

13


Hình 1.1: Vị trí của firewall trong hệ thống mạng
Firewall đóng vai trò như một getway, nhưng nhiệm vụ của nó khác với
router. Router là thiết bị mạng, thường được sử dụng cho mục tiêu định tuyến lưu
lượng mạng (có thể từ chối lưu lượng nào đó). Trong khi đó, firewall là thiết bị
bảo mật, có nhiệm vụ giám sát và điều khiển lưu lượng mạng (chỉ cho phép lưu
lượng thích hợp đi qua).
Firewall cung cấp một cơ chế cấu hình linh hoạt, nó có thể được cấu hình để
cho phép hoặc cấm các lưu lượng dựa trên dịch vụ, địa chỉ IP của nguồn hoặc đích,
hoặc ID của người yêu cầu sử dụng dịch vụ. Nó cũng có thể được cấu hình để ghi
lại (log) tất cả các lưu lượng đã đi qua nó.
1.2.2. Khái niệm công nghệ tường lửa thế hệ mới
An ninh mạng tại hầu hết các doanh nghiệp hiện nay gặp phải những vấn đề
như bị phân tán hay bị hỏng gây ra những nguy cơ đe doạ không mong muốn và
tốn nhiều chi phí. Giải pháp an toàn an ninh mạng truyền thống đã không theo kịp
sự phát triển và thay đổi của các ứng dụng, các mối đe doạ và kết nối mạng. Hơn
nữa các biện pháp doanh nghiệp đưa ra để khắc phục vấn đề này hầu hết không
mạng lại hiệu quả. Như vậy một yêu cầu thực tiễn và cấp bách đặt ra đó là phải tái
tạo lại an toàn an ninh mạng và có biện pháp bảo vệ hệ thống mạng một cách hiệu
quả nhất.
Dựa trên những nhu cầu thực tiễn của thị trường công nghệ thông tin như
vậy, các chuyên gia trong lĩnh vực an minh mạng đã cho ra đời khái niệm công
nghệ tường lửa thế hệ mới và các dòng sản phẩm tường lửa thế hệ mới. Với sự tích
hợp các công nghệ tiên tiến hiện đại nhất trong phát hiện, ngăn chặn và phòng

chống các cuộc tấn công, mối đe doạ nguy hiểm đã giúp các doanh nghiệp có một
giải pháp hiệu quả trong việc bảo vệ an ninh mạng của công ty mình.
Tường lửa thế hệ mới (Next Generation Firewalls – NGFWs) là nền tảng
14


mạng tích hợp đầy đủ tường lửa truyền thống với các thiết bị mạng có chức
năng lọc như in-line deep packet inspection (DPI), intrucsion prevention system
(IPS) và các kỹ thuật ngăn chặn khác như SSL, SSH, lọc website, quản lý chất
lượng dịch vụ, quản lý băng thông, kiểm tra chống virus và quản lý sự tham gia
của bên thứ ba.[2]
NGFWs được xây dựng dựa trên nền tảng bảo mật mạng của doanh nghiệp,
NGFWs “fix the ploblem at the it’s core”. NGFWs phân loại lưu lượng dữ liệu dựa
vào các đặc tính của ứng dụng để cho phép khả năng hiển thị và kiểm soát toàn bộ
ứng dụng chạy trong mạng doanh nghiệp.
Các yêu cầu chức năng cần thiết cho một NGFWs hoạt động hiệu quả bao gồm:
 Xác định ứng dụng không cần chú ý đến cổng, giao thức, các kỹ thuật lẩn
tránh, mã hoá SSL trước khi làm bất cứ điều gì khác.
 Cung cấp các biện pháp bảo vệ để chống lại một loại các mối đe doạ ở
thời gian thực, bao gồm cả những người hoạt động ở lớp ứng dụng.
 Cung cấp khả năng hiện thị, kiểm soát chính sách dựa trên các ứng dụng
bao gồm cả các chức năng riêng lẻ.
 Không chỉ kết hợp mà phải tích hợp khả năng phòng chống xâm nhập của
tường lửa truyền thống.
 Nhận dạng chính xác người sử dụng và sau đó sử dụng thông tin nhận
dạng như một thuộc tính trong chính sách giám sát.
 Hỗ trợ mutil-gigabit.
Khả năng điển hình của tường lửa truyền thống là lọc gói tin, dịch địa chỉ
mạng và địa chỉ cổng mạng (NAT), kiểm tra trạng thái và mạng riêng ảo (VPN).
Khả năng phòng chống xâm nhập điển hình là chống lại các lỗ hổng và những dấu

hiệu của sự đe doạ, phỏng đoán các dấu hiệu và sự xâm nhập.
Chìa khoá cốt lõi và điểm mạnh của NGFWs là làm tất cả các khả năng một
tưởng lửa truyền thống với khả năng tiên tiến như: tích hợp các công nghệ tiên
tiến, hiệu suất cao và các tính năng khác nhằm cung cấp một giải pháp mạng doanh
nghiệp hiệu quả.
1.2.3. Một số công nghệ, kỹ thuật sử dụng trong NGFWs
 Hệ thống phát hiện xâm nhập mạng IDS
IDS (Intrusion Detection System) là hệ thống giám sát lưu thông mạng (có thể là
phần cứng hoặc phần mềm), có khả năng nhận biết những hoạt động khả nghi hay
những hành động xâm nhập trái phép trên hệ thống mạng trong tiến trình tấn công,
cung cấp thông tin nhận biết và đưa ra cảnh báo cho hệ thống, nhà quản trị. IDS có thể
phân biệt được các cuộc tấn công từ nội bộ hay tấn công từ bên ngoài.
IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết hay dựa trên so
15


sánh lưu thông mạng hiện tại với baseline (thông số chuẩn của hệ thống có thể
chấp nhận được) để tìm ra các dấu hiệu bất thường.
 Hệ thống ngăn chặn xâm nhập mạng IPS
IPS ( Intrusion Prevention System) là một hệ thống có thể phát hiện và ngăn
chặn sự xâm nhập từ bên ngoài vào các hệ thống máy tính.
IPS là một phương pháp tiếp cận an ninh mạng bằng cách ưu tiên sử dụng các
công nghệ tiên tiến để phát hiện và ngăn chặn các nỗ lực xâm nhập vào hệ thống
máy tính. IPS kiểm tra các luồng lưu lượng ra/ vào một hệ thống máy tính hoặc
mạng máy tính nhằm mục đích vi phạm an ninh. Nếu phát hiện mối đe dọa thì nó
sẽ có những hành động bảo vệ như ngăn chặn gói tin hoặc ngắt toàn bộ kết nối.
IPS kiểm tra, ghi chép lại một cách chi tiết các hành động đang đăng nhập vào hệ
thống và gửi cảnh báo cho hệ thống hoặc quản trị mạng. Các IPS khác nhau có
phương thức khác nhau trong việc kiểm tra các luồng dữ liệu để phát hiện các mối
đe dọa, xâm nhập.

 Công nghệ giám sát an ninh mạng NSM
Giám sát an ninh mạng (Network Security Mornitoring) là việc thu thập các
thông tin trên các thành phần của hệ thống, phân tích các thông tin, dấu hiệu nhằm
đánh giá và đưa ra các cảnh báo cho người quản trị hệ thống.
Đối tượng của giám an ninh mạng là tất cả các thành phần, thiết bị trong hệ
thống mạng:
- Các máy trạm
- Cơ sở dữ liệu
- Các ứng dụng
- Các server
- Các thiết bị mạng
 Sử dụng PCAP log lại thông tin của lưu lượng dữ liệu mạng
PCAP (packet capture) bao gồm những giao diện lập trình ứng dụng (API)
dùng để chặn bắt và phân tích các lưu lượng dữ liệu trên mạng. PCAP thực hiện
các chức năng lọc gói dữ liệu theo những luật của người dùng khi chúng được
truyền tới ứng dụng, truyền những gói dữ liệu thô tới mạng, thu thập thông tin
thống kê lưu lượng mạng. Đối với các hệ thống thuộc họ Unix ta có thư viện
libpcap, còn đối với Window ta có thư viện được port từ libpcap là winpcap.
 Phân tích các dòng dữ liệu của file PCAP, tự động xử lý file PCAP
1.2.4. Chức năng của NFGWs
 Xác định ứng dụng
Thiết lập cổng và giao thức là bước quan trọng đầu tiên trong việc xác định
ứng dụng nhưng đó là chưa đủ. Nhận dạng, xác định ứng dụng một cách nhanh
16


chóng và mạnh mẽ thông qua việc kiểm tra và cho phép kiểm soát chặt chẽ các
dòng chảy (lưu lượng truy cập) của session thông qua một tường lửa dựa trên ứng
dụng cụ thể đang chạy thay vì chỉ dựa trên các thiết lập cơ bản thì không thể nhận
rõ được các giao tiếp mạng.


Hình 1.2: Ứng dụng trung tâm phân loại lưu lượng dữ liệu xác định các ứng
dụng cụ thể chảy qua mạng, không phân biệt các cổng và giao thức sử dụng
Xác thực rõ ràng các ứng dụng là mục đích cuả phân loại lưu lượng dữ liệu
mạng tại trung tâm của NGFWs. Nó đòi hỏi tiếp cận đa yếu tố để xác định danh
tính của các ứng dụng trên mạng, bất kể cổng, giao thức, mã hoá hay các kỹ thuật
lần tránh để vượt qua tường lửa. Kỹ thuật nhận dạng ứng dụng được sử dụng trong
NGF bao gồm:

 Phát hiện giao thức ứng dụng và giải mã
Phát hiện các giao thức ứng dụng ( ví dụ: HTTP, FTP…) và nếu SSL
được sử dụng thì sẽ tiến hành giải mã các lưu lượng dữ liệu để phân tích các
dữ liệu đó. Lưu lượng dữ liệu được mã hoá lại sau khi tất cả các kỹ thuật
nhận dạng được hoạt động.

 Giải mã giao thức ứng dụng
17


Xác định các giao thức đã được phát hiện là “thực tế“ hay nó được sử dụng
như là một “đường hầm” để ẩn đi các ứng dụng (ví dụ: Yahoo!Messenger có thể
được ẩn bên trong HTTP)
 Dấu hiệu ứng dụng
Dấu hiệu ngữ cảnh dựa trên tìm kiếm các đặc tính duy nhất và đặc điểm toàn
tác để xác định ứng dụng không phụ thuộc vào cổng và giao thức được sử dụng.
Điều này bao gồm khả năng phát hiện các chức năng cụ thể trong các ứng dụng
(chẳng hạn như chuyển tập tin trong IM (Instant Messenger) session)

 Heuristics
Đối với các dữ liệu vượt quá khả năng của phân tích dấu hiệu thì khi đó phân

tích Heuristics (hành vi) được áp dụng để nhận dạng các ứng dụng phức tạp, chẳng
hạn như P2P (Peer-to-peer) hay công cụ VoIP (Voice over Internet Protocol).

18


Hình 1.3: Các kỹ thuật NGFWs sử dụng để xác định ứng dụng không phân
biệt cổng, giao thức, chiến thuật lần tránh hoặc mã hoá SSL
 Xác định người dùng
Công nghệ nhận dạng người dùng sử dụng liên kết các địa chỉ IP để nhận
dạng người dùng cụ thể, tạo điều kiện cho khả năng hiển thị và kiểm soát các hoạt
động mạng trên một cơ sở cho mỗi người dùng. Tích hợp chặt chẽ với các thư mục
LDAP (Lightweight Directory Access Protocol là một giao thức ứng dụng truy cập
các cấu trúc thư mục. Nó được thiết kế trên giao thức Internet TCP/IP), chẳng hạn
như Microsoft Active Directory (AD), hỗ trợ mục tiêu này theo hai cách:
- Thứ nhất, nó luôn kiểm chứng và duy trì các mối quan hệ với người sử đụng
địa chỉ IP bằng cách kết hợp các giải pháp như: giám sát đăng nhập, các kỹ thuật
captive portal…
- Tiếp theo nó giao tiếp với AD để thu thập các thông tin người dùng.
Các chi tiết, thông tin sau khi thu thập được sẽ được lưu trữ để hỗ trợ cho các
nhiệm vụ:
19


- Đạt được tầm nhìn vào người cụ thể chịu trách nhiệm cho tất cả ứng dụng,
nội dung và mối đe doạ của lưu lượng truy cập trên mạng.
- Cho phép sử dụng nhận dạng như là một biến trong chính sách kiểm soát
truy cập.
- Tạo điều kiện xử lý sự cố, phản ứng sự cố và báo cáo.
Với việc nhận dạng người dùng, bộ phận IT có được một cơ chế mạnh mẽ để

giúp kiểm soát việc sử dụng các ứng dụng một cách thông minh.

Hình 1.4: Nhận dạng người dùng tích hợp các thư mục doanh nghiệp dựa
vào chính sách người dùng, báo cáo và pháp lý.

20


 Xác định nội dung
Việc xác định nội dung truyền vào của tường lửa thế hệ mới với các khả năng
chưa từng có ở các tường lửa trước đây của các doanh nghiệp như: phòng ngừa các
mối đe doạ thời gian thực trong lưu lượng truy cập cho phép, kiểm soát các hoạt
động truy cập Web, các tập tin và lọc dữ liệu.
 Threat prevention (phòng chống mối đe doạ): thành phần này ngăn chặn
các spyware, virus, các lỗ hổng xâm nhập mạng mà không phụ thuộc vào lưu
lượng ứng dụng.
 Application decoder: Xử lý dòng dữ liệu và kiểm tra nó để xác định cụ
thể các mối đe doạ.
 Stream-based virus and spyware scanning: Quét lưu lượng truy cập ngay
sau khi nhân được các gói tin đầu tiền của một tập tin thay vì quét sau khi
nhận được toàn bộ tập tin vào bộ nhớ để tối đa hoá thông lượng và giảm
thiểu bộ nhớ.
 Uniform threat signature format: Tăng hiệu suất bằng cách tránh sự cẩn
thiết phải sử dụng công cụ quét riêng biệt cho từng mối đe doạ. Viruses,
spyware, các lỗ hổng đều có thể được phát hiện trong một lần.
 Vulnerability attack protection (IPS): Chương trình mạnh mẽ cho việc
bình thường hoá các lưu lượng truy cập và chống phân mảnh được nối bởi
các giao thức bất thường, hành vi bất thường, cơ chế phát hiện heuristic để
cung cấp bảo vệ trên phạm vi rộng nhất của cả hai mối đe doạ là mối đe
doạ đã biết và mối đe doạ chưa biết.

 URL filtering: Mặc dù không bắt buộc, nhưng lọc URL (Uniform
Resource Locator) đôi khi cũng được dùng để phân loại nội dung. Việc phân tích
dựa trên cơ sở dữ liệu URL cho phép các quản trị viên giám sát và kiểm soát hoạt
động truy cập Web của người sử dụng. Được sử dụng kết hợp với xác định người
dùng, chính sách sử dụng Web, thậm chí được thiết lập trên mỗi cơ sở sử dụng,
hơn nữa là bảo vệ các doanh nghiệp từ các quy định, rủi ro liên quan đến pháp lý.
 File and data filtering: Sử dụng giải pháp kiểm tra chuyên sâu ứng dụng,
tập tin và lọc dữ liệu cho phép thực thi các chính sách làm giảm nguy cơ của các
tập tin trái phép và chuyển giao dữ liệu. Khả năng bao gồm: ngăn chặn các file
kiểu thực tại của file (không dựa vào phần mở rộng) và khả năng kiểm soát việc
chuyển giao các mô hình dữ liệu nhạy cảm. Thành phần này bổ sung chi tiết cho
nhận dạng ứng dụng, mà đối với nhiều ứng dụng cung cấp khả năng kiểm soát tập
tin trong một ứng dụng riêng lẻ.
Với việc xác định nội dung, bộ phận IT có được khả năng ngăn chặn các mối đe
21


doạ, giảm việc sử dụng không hợp lệ của Internet và giúp ngăn chặn rỏ rỉ dữ liệu.

Hình 1.5: Xác định nội dung dựa vào hợp nhất quét các mối đe doạ, dữ liệu
bí mật và lọc URL
 Chính sách kiểm soát
Xác định các ứng dụng sử dụng (nhận dạng ứng dụng), những người đang sử
dụng ứng dụng (nhận dạng người sử dụng), và những gì họ đang sử dụng cho ứng
dụng (xác định nội dung) là một bước quan trọng đầu tiên trong việc tìm hiểu về
lưu lượng truy cập đi qua mạng. Tìm hiểu các ứng dụng làm những gì, các cổng
mà nó sử dụng, công nghệ cơ bản của nó, và hành vi của nó là bước tiếp theo để
đưa ra một quyết định sáng suốt về cách xử lý với các ứng dụng. Khi một bức
tranh hoàn chỉnh về cách sử dụng là đã đạt được, tổ chức có thể áp dụng chính
sách với một loạt các phản ứng chi tiết hơn và thích hợp hơn thay vì chỉ đơn giản

là "cho phép" hoặc "từ chối" - các tùy chọn chỉ có sẵn trong cổng của tường lửa
truyền thống. Điều này có thể được thực hiện bởi sự kết hợp của nhận dạng ứng
dụng, người dùng, nội dung và các mô hình bảo mật tích cực của các tường lửa
thế hệ mới. Tường lửa truyền thống có các mô hình bảo mật, nhưng thiếu thông
minh. Thiết bị an ninh khác có thể có một số các thông tin tình báo, nhưng
không phải là mô hình bảo mật. Ví dụ về các tùy chọn kiểm soát chính sách
22


trong NGFWs bao gồm:
 Cho phép hoặc từ chối
 Cho phép nhưng quét các lỗ hổng, virus và các mối đe dọa khác
 Cho phép dựa trên lịch trình, người dùng, hoặc các nhóm
 Giải mã và kiểm tra
 Áp dụng định hình lưu lượng truy cập thông qua QoS
 Áp dụng chuyển tiếp dựa trên chính sách
 Cho phép chức năng ứng dụng nhất định
 Kết hợp bất kỳ các chính sách nói trên
1.2.5. So sánh giữa tường lửa truyền thống và tường lửa thế hệ mới
Bảng 1.1: Bảng so sánh giữa tường lửa truyền thống và tường lửa thế hệ mới
Thuộc tính
Source

Công nghệ sử
dụng

Cơ chế hoạt
động

Phạm vi hoạt

động

Tường lửa truyền thống
Mã nguồn đóng
Sử dụng các kỹ thuật:
- Lọc, bắt gói tin thông qua
bộ lọc gói tin
- Lọc, chặn giao thức thông
qua port (đóng, mở port)
- Sử dụng cơ chết NAT trong
che dấu địa chỉ IP

 Packet Filtering
- Lọc gói theo địa chỉ
- Lọc gói theo cổng (dịch
vụ)
 Application Gateway
- Sử dụng cơ chế Proxy
 Circuit Level Gate
- Sử dụng cơ chế Nat để
che dấu địa chỉ IP

Tầng network
23

Tường lửa thế hệ mới
Mã nguồn mở
Sử dụng các công nghệ hiện đại
và tiên tiến:
- Công nghệ phát hiện xâm

nhập IDS
- Công nghệ phòng chống xâm
nhập IPS
- Công nghệ giám sát an ninh
mạng NMS
- Sử dụng công nghệ PCAP
trong việc log thông tin lưu
chuyển lưu lượng mạng…
 Application identification
- Phát hiện giao thức ứng
dụng và giải mã
- Giải mã giao thức ứng dụng
- Dấu hiệu ứng dụng
- Heuristics
 User identification
 Content identification
- URL filtering
- File and data filtering
- Threat prevention
Tầng Application


 Quản lý và kiểm soát
luồng dữ liệu trên mạng
 Xác thực quyền truy cập
 Hoạt động như một thiết bị
trung gian
 Bảo vệ tài nguyên
 Ghi nhận và báo cáo các sự
kiện


Chức năng cơ
bản

Các sản phẩm

 Sortware firewall
SunScreen firewall, IPF,
Microsoft ISA server, Check
Point NG, Linux’s IPTables …
 Appliance firewall
Cisco PIX, NetScreen
firewall, SonicWall
Appliaces, WatchGuard
Fireboxes, Nokia firewall…
 Integrated firewalls

24

 Thực hiện các chức năng
của tường lửa truyền thống như
lọc gói tin, kiểm tra giao thức
stateful (SPI), kết nối VPN,
NAT…
 Thích ứng và tiếp nhận linh
hoạt các mối đe dọa hiện thời,
tích hợp, hỗ trợ và nâng cấp
đường dẫn cho việc lưu các
thông tin dữ liệu và các kỹ
thuật mới để giải quyết các vấn

đề xâm nhập trong tương lai.
 Application identification
and filtering
 Directory integration
 Integrated rather than
merely colocated network
intrusion prevention
 Tích hợp SSL giải mã với
tốc độ multi-gigabit
 SSL and SSH inspection
 Có khả năng lọc sâu các gói
tin nhờ công nghệ in-line deep
packet inspection (DPI).
Malware filtering
 Tường lửa thế hệ mới của
HP
 Tường lửa thế hệ mới
Check Point của Checkpoint
Software Technologies
 Palo Alto Firewall của Palo
Alto
 Một số tường lửa mềm:
Suricata, Iptable, Snort…


CHƯƠNG 2: TƯỜNG LỬA THẾ HỆ MỚI VỀ SURICATA
2.1. Giới thiệu về Suricata
Suricata là một hệ thống phát hiện xâm nhập dựa trên mã nguồn mở. Nó
được phát triển bởi Open Information Security Foundation (OISF). Một phiên bản
beta đã được phát hành vào tháng 12 năm 2009, bản chuẩn đầu tiên phát hành tiếp

theo vào tháng 7 năm 2010[11][12].
Công cụ này được phát triển không nhằm cạnh tranh hay thay thế các công tụ
hiện có, nhưng nó sẽ mang lại những ý tưởng và công nghệ mới trong lĩnh vực an
toàn an ninh mạng.
Suricata là công cụ IDS/IPS dựa trên luật để theo dõi lưu lượng mạng và
cung cấp cảnh báo đến người quản trị hệ thống khi có sự kiện đáng ngờ xảy ra. Nó
được thiết kế để tương thích với các thành phần an ninh mạng hiện có. Bản phát
hành đầu tiên chạy trên nền tảng linux 2.6 có hỗ trợ nội tuyến (inline) và cấu hình
giám sát lưu lượng thụ động có khả năng xử lý lưu lượng lên đến gigabit. Suricata
là công cụ IDS/IPS miễn phí trong khi nó vẫn cung cấp những lựa chọn khả năng
mở rộng cho các kiến trúc an ninh mạng phức tạp nhất.
Là một công cụ đa luồng, suricata cung cấp tăng tốc độ và hiệu quả trong
việc phân tích lưu lượng mạng. Ngoài việc tăng hiệu quả phần cứng (với phần
cứng và card mạng giới hạn), công cụ này được xây dựng để tận dụng khả năng xử
lý cao được cung cấp bởi chip CPU đa lõi mới nhất.
Tại sao Suricata được nhiều người sử dụng:
 Dễ dàng cấu hình: Suricata làm việc như thế nào, tập tin cấu hình ở đâu,
các luật như thế nào người quản trị đều có thể biết và cấu hình theo ý mình được.
Kể cả việc tạo ra các luật mới.
 Suricata là phần mềm mã nguồn mở: Sricata được phát hành dưới giấy
phép GNU/GPL điều này có nghĩa là bất cứ ai cũng có thể sử dụng Suricata một
cách miễn phí dù đó là doanh nghiệp hay người dùng cá nhân. Ngoài ra vì là phần
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×