Synology – Xây dựng hệ thống phòng chống xâm nhập cho các doanh nghiệp nhỏ và gia đình

Công nghệ từng chỉ dành cho doanh nghiệp đã được đưa vào bộ định tuyến Wi-Fi như thế nào – và những thách thức mà chúng tôi đã giải quyết.

Ngày xưa, chúng ta đã tự bảo vệ mình trước các cuộc tấn công mạng bằng cách cài đặt các chương trình chống vi-rút trên máy tính. Sau đó, chúng tôi bước vào kỷ nguyên IoT mà mọi thứ đều được kết nối – ngay cả màn hình trẻ em và chuông cửa video cũng có thể bị tấn công. Những người dùng hiểu biết về công nghệ từ lâu đã học cách thiết lập các quy tắc tường lửa, nhưng cho dù chúng có chi tiết đến đâu thì bản chất các quy tắc vẫn là tĩnh.

Truy cập an toàn & Phòng chống mối đe dọa: Sự khác biệt là gì?

Các gói Safe Access và Threat Prevention , cả hai đều có sẵn trên bộ định tuyến Synology chạy SRM 1.2 , đại diện cho hai cách tiếp cận khác nhau đối với bảo mật mạng.

Safe Access dựa trên DNS và IP. Nó tích hợp một số cơ sở dữ liệu bên ngoài (bao gồm cả Google Safe Browsing ) xác định các miền và IP liên quan đến phần mềm độc hại, lừa đảo, mạng botnet, kiểm soát máy chủ, kỹ thuật xã hội, v.v. Khi một thiết bị trong mạng cố gắng truy cập vào các điểm đến trong danh sách đen, Bộ định tuyến Synology sẽ ngăn kết nối ngay cả khi được thiết lập.

Threat Prevention dựa trên chữ ký số. Nó giám sát lưu lượng đến và đi bằng cách sử dụng Deep Packet Inspection (DPI) – không chỉ kiểm tra miền hoặc IP – và có thể loại bỏ bất kỳ gói độc hại nào được phát hiện trong thời gian thực. Ngoài các cuộc tấn công trên Internet, Threat Prevention có thể cảnh báo bạn về hành vi không phù hợp của người dùng, chẳng hạn như gửi mật khẩu thông qua lưu lượng HTTP không được mã hóa.

Cả hai gói đều hoạt động tự động. Bạn có thể xem lại nhật ký sự kiện và điều chỉnh các hành động, nhưng ngay cả khi bạn không làm như vậy, chúng vẫn âm thầm bảo vệ bạn.

Tuy nhiên, có một sự khác biệt quan trọng giữa chúng: hiệu suất.

Thách thức:  Doanh nghiệp phải trả giá

Công nghệ đằng sau Threat Prevention, được gọi là Intrusion Prevention System (IPS), là một phần không thể thiếu trong các biện pháp bảo vệ an ninh của nhiều doanh nghiệp. Bởi vì nó kiểm tra các gói mạng bằng DPI, nó có thể gây ảnh hưởng nghiêm trọng đến CPU và bộ nhớ, kéo tốc độ Internet nói chung xuống.

Doanh nghiệp có thể mua IPS vì họ có đủ khả năng sử dụng phần cứng cao cấp, một số có bộ xử lý bảo mật được xây dựng theo mục đích. Một doanh nghiệp với chi phí xây dựng bức tường lửa dễ dàng vượt quá 1.000 đô la Mỹ – một mức giá cắt cổ đối với hầu hết các gia đình và văn phòng nhỏ. Do đó, khi Synology lần đầu tiên cung cấp IPS trên bộ định tuyến Wi-Fi của chúng tôi, người dùng phải đưa ra lựa chọn: bảo mật cấp doanh nghiệp hoặc tốc độ Internet.

Đối với hầu hết các sản phẩm công nghệ, chúng ta sống với thực tế rằng không phải lúc nào chúng ta cũng có những thứ tốt nhất của cả hai thế giới.

Cách phần mềm thay đổi cuộc chơi

Khi xây dựng SRM 1.2, rất nhiều nỗ lực đã được dành để nâng cao hiệu suất IPS. Các yếu tố chính là sử dụng CPU và bộ nhớ, vì vậy sau khi nghiên cứu sâu rộng, những thay đổi sau đã được thực hiện:

• Cơ chế ghi nhật ký được cải tiến: Bản ^Beta Ngăn chặn Xâm nhập trước đây sử dụng bộ đệm để xử lý dữ liệu đầu ra từ công cụ phát hiện mối đe dọa – đây là cách tạo các bản ghi sự kiện. Tuy nhiên, nó cũng là một chương trình sử dụng nhiều CPU / bộ nhớ. Chúng tôi đã từ bỏ bộ đệm cũ và tự viết một phiên bản hiệu quả hơn, giảm đáng kể tài nguyên hệ thống bị chiếm dụng khi ghi nhật ký.
• Phân tích và phát hiện gói thông minh hơn: Không phải tất cả các gói đều như nhau. Khi nói đến các cuộc tấn công mạng, có các phần của phiên mạng được liên kết cụ thể với chúng, chẳng hạn như phần bắt đầu của mỗi phiên. Bằng cách kiểm tra các bộ phận này để tìm các gói dữ liệu độc hại, công cụ có thể đánh giá rủi ro của toàn bộ phiên mà không cần phải xem qua từng gói.
• Tăng mức ưu tiên cho công cụ phát hiện mối đe dọa: Trong phiên bản trước, mức ưu tiên của CPU và I / O được đặt thành rất thấp để giảm thiểu tác động của IPS lên hệ thống. Trong một mạng bận rộn, điều này đôi khi dẫn đến việc engine không thể xử lý các gói tin kịp thời. Sau những thay đổi ở trên đã giảm đáng kể việc sử dụng CPU và bộ nhớ, chúng tôi đặt các ưu tiên trở lại bình thường.

Vậy, chúng tạo ra sự khác biệt nào?

Chúng tôi đưa cả hai phiên bản để thử nghiệm trong thế giới thực. Cả hai đều được cập nhật để sử dụng cùng một bộ chữ ký mới nhất. Kết quả cho thấy rằng Threat Prevention mới có thể phát hiện số lượng sự kiện độc hại cao hơn, vì mức sử dụng CPU và bộ nhớ thấp hơn cho phép nó xử lý nhiều kết nối hơn mỗi giây (CPS).

Hình 1. Bản ^Beta Intrusion Prevention trong SRM 1.1: 1.844 sự kiện được phát hiện trong 7 ngày.

Hình 2. Threat Prevention trong SRM 1.2: 3.669 sự kiện được phát hiện trong 7 ngày.

Quan trọng hơn, nó dẫn đến hiệu suất tăng lên đáng kể. Lấy Synology RT2600ac làm ví dụ: thông lượng đã tăng từ dưới 100 Mbps lên gần với tốc độ Gigabit. Kết quả tương tự cũng được quan sát trên RT1900ac.

Hình 3. So sánh thông lượng giữa ^{bản Beta} Intrusion Prevention trong SRM 1.1 và Threat Prevention trong SRM 1.2.