Hướng dẫn xem và phân tích Log trên tường lửa để phát hiện tấn công mạng

Trong hệ thống bảo mật mạng của bất kỳ doanh nghiệp nào, Tường lửa (Firewall) luôn đóng vai trò là chốt chặn đầu tiên. Tuy nhiên, việc chỉ lắp đặt thiết bị là chưa đủ; giá trị thực sự của tường lửa nằm ở khả năng ghi nhận và báo cáo thông qua các bản ghi nhật ký (Log). Dưới đây là hướng dẫn chi tiết giúp các quản trị viên hệ thống (SysAdmin) hiểu và phân tích Log để bảo vệ hạ tầng mạng.

Tại sao việc đọc và phân tích Log tường lửa lại quan trọng?

Đối với người quản trị mạng, Log tường lửa được ví như “hộp đen” của hệ thống. Việc đọc và hiểu được các thông tin này mang lại những lợi ích cốt lõi cho an toàn thông tin:

Thứ nhất, nó giúp quản trị viên mạng nắm bắt tình hình an ninh mạng trong thời gian thực. Thay vì chờ đợi người dùng báo cáo lỗi mạng chậm hay không truy cập được dịch vụ, việc theo dõi Log (Log Monitor) cho phép IT nhìn thấy lưu lượng ra vào ngay tại thời điểm hiện tại, từ đó đánh giá được “sức khỏe” của đường truyền và các kết nối.

Thứ hai, phân tích Log giúp phát hiện sớm các dấu hiệu xâm nhập, rò rỉ dữ liệu hoặc tấn công từ chối dịch vụ (DDoS). Hầu hết các cuộc tấn công mạng đều trải qua giai đoạn thăm dò trước khi bùng phát. Những dấu hiệu nhỏ như một địa chỉ IP lạ cố gắng kết nối nhiều lần hay một cổng dịch vụ (Port) bất thường được kích hoạt đều được ghi lại trong Log. Nếu phát hiện sớm, ta có thể ngăn chặn cuộc tấn công ngay từ trong trứng nước.

Thứ ba, Log đóng vai trò quyết định trong việc hỗ trợ truy vết nguồn gốc tấn công (Forensics) sau khi sự cố xảy ra. Khi một cuộc tấn công đã hoàn tất hoặc mã độc đã lây nhiễm, dữ liệu lịch sử trong Log là bằng chứng duy nhất để trả lời các câu hỏi: Kẻ tấn công đến từ đâu? Chúng đã làm gì? Dữ liệu nào đã bị đánh cắp?

Cuối cùng, việc lưu trữ và phân tích Log là yêu cầu bắt buộc để đảm bảo tuân thủ các tiêu chuẩn bảo mật quốc tế. Đối với các doanh nghiệp, đặc biệt là khối ngân hàng, tài chính hoặc thương mại điện tử, việc tuân thủ các tiêu chuẩn như ISO 27001 hay PCI DSS đòi hỏi phải có quy trình giám sát và lưu trữ Log định kỳ để phục vụ công tác kiểm toán (Audit).

Cấu trúc cơ bản và các thông số cần lưu ý trong Log tường lửa

Để phân tích hiệu quả, trước hết chúng ta cần hiểu ngôn ngữ của tường lửa. Dù giao diện của các hãng như Fortinet, Cisco, Palo Alto hay Sophos có khác nhau, cấu trúc cốt lõi của một dòng Log thường tương đồng.

Các thành phần chính của một dòng Log

Một dòng Log tiêu chuẩn sẽ cung cấp đầy đủ thông tin về định danh và hành vi của một gói tin (packet), bao gồm:

Timestamp (Dấu thời gian): Đây là thông số quan trọng nhất để xác định trình tự sự kiện. Nó cho biết thời điểm chính xác (ngày, giờ, phút, giây) mà sự kiện xảy ra. Trong điều tra sự cố, timestamp giúp xâu chuỗi hành vi của kẻ tấn công theo dòng thời gian thực.

Source IP (IP nguồn) và Source Port: Thông số này cho biết “ai” đang gửi yêu cầu. Đây là địa chỉ của thiết bị khởi tạo kết nối. Trong trường hợp tấn công, đây thường là IP của hacker hoặc IP của một máy tính ma (botnet) bị lợi dụng.

Destination IP (IP đích) và Destination Port: Thông số này cho biết “nạn nhân” hoặc đích đến là ai. Nó xác định hệ thống hoặc dịch vụ nào trong mạng nội bộ của bạn đang là mục tiêu (ví dụ: Máy chủ Web, Database hay máy tính nhân viên).

Protocol (Giao thức): Xác định phương thức giao tiếp được sử dụng, phổ biến nhất là TCP, UDP hoặc ICMP. Việc nhận diện giao thức giúp xác định loại dịch vụ đang được truy cập hoặc loại hình tấn công (ví dụ: ICMP thường liên quan đến Ping Flood).

Action (Hành động): Đây là quyết định của tường lửa đối với gói tin đó. Các trạng thái thường gặp bao gồm: Allow (Cho phép đi qua), Deny (Từ chối và gửi phản hồi), Drop (Hủy bỏ gói tin trong im lặng), hoặc Reset (Ngắt kết nối).

Interface (Cổng giao tiếp): Cho biết gói tin đi vào hoặc đi ra từ cổng vật lý/logic nào trên thiết bị (ví dụ: WAN1, LAN, DMZ). Thông tin này giúp xác định hướng đi của luồng dữ liệu (Traffic Flow).

Phân biệt các mức độ cảnh báo (Severity Levels)

Không phải dòng Log nào cũng quan trọng như nhau. Hệ thống Syslog thường phân chia mức độ nghiêm trọng từ 0 đến 7 để quản trị viên dễ dàng lọc thông tin:

Mức độ Emergency/Alert là mức cao nhất, báo hiệu hệ thống không thể sử dụng được hoặc cần hành động can thiệp ngay lập tức. Ví dụ: Tường lửa bị quá nhiệt, nguồn điện bị mất hoặc dịch vụ chính bị sập.

Mức độ Critical đại diện cho các lỗi nghiêm trọng có thể ảnh hưởng đến quá trình vận hành, chẳng hạn như lỗi phần cứng bộ nhớ, ổ cứng đầy hoặc lỗi module phần mềm quan trọng.

Mức độ Error/Warning thường chỉ ra các lỗi xử lý hoặc cảnh báo ngưỡng hoạt động. Ví dụ: Cảnh báo việc xác thực thất bại, cấu hình sai hoặc băng thông đang chạm ngưỡng cao.

Mức độ Notice/Info chiếm phần lớn dung lượng Log, chứa thông tin về hoạt động bình thường của hệ thống như: Một phiên đăng nhập thành công, một kết nối VPN được thiết lập, hoặc cập nhật cơ sở dữ liệu hoàn tất.

Hướng dẫn nhận diện các dấu hiệu tấn công mạng qua Log

Kỹ năng quan trọng nhất của người làm bảo mật là nhìn vào hàng triệu dòng Log và tìm ra những điểm bất thường. Dưới đây là cách nhận diện các cuộc tấn công phổ biến:

Phát hiện tấn công quét cổng (Port Scanning)

Kỹ thuật quét cổng thường là bước đầu tiên của hacker để thăm dò hệ thống. Dấu hiệu nhận biết rõ ràng nhất là khi bạn thấy một địa chỉ IP nguồn (Source IP) thực hiện hàng loạt kết nối đến nhiều cổng đích (Destination Ports) khác nhau trên cùng một IP đích trong một khoảng thời gian cực ngắn, chỉ vài giây hoặc mili giây.

Trên giao diện Log hiển thị, bạn sẽ thấy hàng loạt hành động có trạng thái là “Deny” hoặc “Drop” liên tiếp xuất phát từ cùng một IP. Ví dụ: IP 1.2.3.4 thử kết nối vào Port 21, 22, 23, 80, 443… và đều bị chặn.

Mục đích kẻ tấn công ở đây là tìm kiếm xem bạn có đang mở bất kỳ cổng nào hay có dịch vụ nào bị cấu hình sai để khai thác lỗ hổng hay không.

Phát hiện tấn công dò mật khẩu (Brute Force/Dictionary Attack)

Đây là hình thức tấn công nhắm vào quyền truy cập. Dấu hiệu nhận biết là sự xuất hiện dày đặc của các kết nối nhắm vào một cổng dịch vụ cụ thể yêu cầu xác thực. Các mục tiêu thường gặp là Port 22 (SSH), Port 3389 (Remote Desktop – RDP), hoặc Port 443 (VPN/Web Admin).

Về mặt Log hiển thị, bạn sẽ thấy các thông báo dạng “Authentication failed”, “Login failed” hoặc “Bad password” lặp đi lặp lại liên tục từ một hoặc một nhóm IP. Tần suất có thể là vài lần mỗi giây.

Lưu ý quan trọng: Bạn cần đặc biệt cảnh giác nếu sau hàng trăm dòng “Failed” lại xuất hiện một dòng “Login successful”. Điều này đồng nghĩa với việc kẻ tấn công đã dò trúng mật khẩu và hệ thống đã bị xâm nhập.

Phát hiện tấn công từ chối dịch vụ (DoS/DDoS)

Tấn công DoS/DDoS nhắm vào tính sẵn sàng của hệ thống. Dấu hiệu nhận biết là lưu lượng mạng (Traffic) tăng đột biến một cách bất thường từ một hoặc nhiều hướng khác nhau. Đồng thời, số lượng phiên kết nối (Session count) trên tường lửa tăng vọt, có thể chạm ngưỡng giới hạn phần cứng của thiết bị.

Trong Log hiển thị, hệ thống IPS/DoS Policy của tường lửa sẽ ghi nhận các cảnh báo về “Syn Flood”, “UDP Flood”, “ICMP Flood” hoặc cảnh báo băng thông cổng WAN đạt đỉnh (Saturation).

Các thông số cần quan tâm để xác định tấn công là: Số lượng phiên kết nối mới trên giây (New sessions per second) và phần trăm sử dụng băng thông (Bandwidth utilization). Nếu biểu đồ dựng đứng bất thường so với mức nền hàng ngày, đó là dấu hiệu của DDoS.

Phát hiện mã độc kết nối ra ngoài (C&C Callbacks)

Khác với các tấn công từ ngoài vào, đây là dấu hiệu cho thấy mạng nội bộ đã bị nhiễm độc. Dấu hiệu nhận biết là các thiết bị trong mạng LAN (máy tính nhân viên, máy chủ, thiết bị IoT) cố gắng chủ động khởi tạo kết nối đến các địa chỉ IP lạ trên Internet hoặc các tên miền độc hại đã nằm trong danh sách đen (Blacklist).

Log hiển thị sẽ ghi nhận Traffic từ trong ra ngoài (Outbound/Egress) hướng đến các cổng lạ thường không dùng cho duyệt web (ví dụ: IRC port 6667, hoặc các cổng high-range ngẫu nhiên). Ngoài ra, đích đến thường là các IP thuộc các quốc gia mà doanh nghiệp không có giao dịch kinh doanh hoặc các IP nằm trong mạng lưới ẩn danh (Tor nodes).

Quy trình phân tích và xử lý khi phát hiện Log bất thường

Khi phát hiện sự cố, quản trị viên cần giữ bình tĩnh và tuân thủ quy trình xử lý sau:

Bước 1: Lọc và cô lập dữ liệu (Filtering)

Giữa “biển” thông tin, việc tìm kiếm thủ công là bất khả thi. Hãy sử dụng bộ lọc (Filter) trên công cụ xem Log để chỉ hiển thị các dòng liên quan đến IP nghi ngờ (Source IP) hoặc dịch vụ đang bị tấn công (Destination Port). Đồng thời, cần loại bỏ các log nhiễu, tức là các traffic hợp lệ (Trusted traffic) để tập trung hoàn toàn vào vấn đề đang diễn ra.

Bước 2: Đối chiếu và xác minh (Correlation)

Một dòng log đơn lẻ có thể gây hiểu nhầm. Hãy kiểm tra địa chỉ IP nguồn trên các trang thông tin tình báo mối đe dọa (Threat Intelligence) uy tín như VirusTotal, Cisco Talos, AbuseIPDB hoặc IBM X-Force. Bước này giúp xác định xem hành vi này là tấn công thực sự hay chỉ là dương tính giả (False Positive). Ví dụ, một lượng lớn request đến Web Server có thể là tấn công, nhưng cũng có thể là bot của Google đang index dữ liệu.

Bước 3: Thực hiện hành động ngăn chặn

Sau khi xác nhận mối đe dọa, hãy hành động ngay lập tức. Trước hết, hãy tạo Policy hoặc Rule mới trên tường lửa để chặn (Block) vĩnh viễn IP nguồn độc hại. Nếu là tấn công DDoS quy mô lớn, hãy kích hoạt tính năng bảo vệ DoS Policy có sẵn hoặc liên hệ nhà cung cấp dịch vụ Internet (ISP) để hỗ trợ chặn từ nguồn (Upstream). Đối với trường hợp nhiễm mã độc bên trong (C&C Callback), cần ngắt kết nối mạng của thiết bị nội bộ bị nhiễm ngay lập tức để tránh mã độc lây lan ngang (Lateral movement) sang các máy khác.

Các công cụ hỗ trợ phân tích Log hiệu quả

Để công việc phân tích trở nên nhẹ nhàng và chính xác hơn, việc sử dụng công cụ hỗ trợ là điều cần thiết.

Công cụ tích hợp sẵn trên Firewall

Hầu hết các dòng tường lửa hiện đại thế hệ mới (NGFW) đều có sẵn công cụ phân tích trực quan. Tại Việt Nam, các dòng phổ biến như Fortinet có tính năng FortiView, cho phép xem Top Sources, Top Threats theo thời gian thực rất trực quan. Các hãng khác như Palo Alto hay Sophos cũng cung cấp Dashboard và Log View chi tiết, cho phép lọc (Filter) và xem chi tiết (Drill-down) vào từng gói tin ngay trên trình duyệt web.

Máy chủ lưu trữ và phân tích Log tập trung (Syslog Server/SIEM)

Tuy nhiên, lưu trữ trên thiết bị có giới hạn về dung lượng và khả năng xử lý. Do đó, giải pháp tối ưu là đẩy Log ra server riêng. Lợi ích của việc này là khả năng lưu trữ dài hạn (vài tháng đến vài năm) và khả năng phân tích sâu, tương quan dữ liệu từ nhiều thiết bị khác nhau.

Một số giải pháp phổ biến được các doanh nghiệp Việt Nam tin dùng bao gồm: Splunk (mạnh mẽ nhưng chi phí cao), ELK Stack (Elasticsearch, Logstash, Kibana – mã nguồn mở, linh hoạt), Graylog hoặc SolarWinds Kiwi Syslog (đơn giản, dễ dùng cho doanh nghiệp vừa và nhỏ).

Lời khuyên của chuyên gia để tối ưu hóa việc giám sát Log

Để hệ thống giám sát hoạt động trơn tru và chính xác, tôi có một số lời khuyên thực tế dựa trên kinh nghiệm triển khai:

Đầu tiên là vấn đề Đồng bộ thời gian (NTP). Hãy đảm bảo tất cả thiết bị mạng, máy chủ và tường lửa đều chạy đúng một múi giờ và được đồng bộ với một NTP Server chuẩn. Nếu thời gian bị lệch, việc đối chiếu log giữa các thiết bị khi điều tra sự cố sẽ trở thành cơn ác mộng.

Thứ hai, hãy cấu hình mức độ Log phù hợp. Sai lầm phổ biến là bật Log “Allow” cho tất cả traffic, điều này làm tốn tài nguyên và che lấp các thông tin quan trọng. Bạn chỉ nên Log các sự kiện quan trọng, các phiên kết nối VPN, và bắt buộc phải Log toàn bộ traffic bị chặn (Deny traffic) để phân tích tấn công.

Thứ ba, cần thường xuyên cập nhật Database cho tường lửa. Các bộ lọc IPS (Phòng chống xâm nhập), Antivirus hay Web Filter cần được cập nhật bản vá mới nhất từ hãng (Signature updates) để thiết bị có thể nhận diện và gắn nhãn (Label) chính xác các loại tấn công mới trong Log.

Cuối cùng, đừng chỉ dựa vào việc kiểm tra thủ công, hãy thiết lập cảnh báo (Email Alert). Cấu hình để tường lửa tự động gửi email ngay lập tức cho đội ngũ quản trị khi xuất hiện các sự kiện mức độ Critical hoặc khi phát hiện tấn công, giúp giảm thiểu thời gian phản ứng (Response time).

Kết luận

Log tường lửa không chỉ là những dòng chữ khô khan, chúng là “bằng chứng sống” phản ánh tình trạng an ninh của toàn bộ hệ thống mạng. Việc chủ động xem và phân tích Log là kỹ năng sinh tồn của mọi quản trị viên trong kỷ nguyên số.

Các doanh nghiệp nên xây dựng quy trình kiểm tra Log định kỳ (hàng ngày với hệ thống lớn hoặc hàng tuần với hệ thống nhỏ) thay vì chỉ mở ra xem khi mạng đã “sập”. Sự chủ động này chính là chìa khóa để chuyển từ thế bị động sang chủ động phòng thủ trước các mối đe dọa an ninh mạng ngày càng phức tạp.

Xem thêm:

Tường lửa của Trung tâm Dữ liệu hoạt động như thế nào?