Eens op 'n tyd was 'n gewone firewall en anti-virus programme genoeg om die plaaslike netwerk te beskerm, maar so 'n stel is nie meer doeltreffend genoeg teen die aanvalle van moderne kuberkrakers en die wanware wat onlangs versprei het nie. Die goeie ou firewall ontleed slegs pakkieopskrifte, en gee dit deur of blokkeer dit in ooreenstemming met 'n stel formele reëls. Dit weet niks van die inhoud van die pakkette nie, en kan dus nie die uiterlike wettige optrede van indringers herken nie. Antivirusprogramme vang nie altyd wanware op nie, so die administrateur word gekonfronteer met die taak om abnormale aktiwiteit te monitor en besmette gashere betyds te isoleer.
Daar is baie gevorderde instrumente wat jou toelaat om die maatskappy se IT-infrastruktuur te beskerm. Vandag sal ons praat oor oopbron-inbraakopsporing en -voorkomingstelsels wat geïmplementeer kan word sonder om duur hardeware- en sagtewarelisensies te koop.
IDS/IPS klassifikasie
IDS (Intrusion Detection System) is 'n stelsel wat ontwerp is om verdagte aktiwiteite op 'n netwerk of op 'n aparte rekenaar te registreer. Dit hou gebeurtenislogboeke in stand en stel die persoon verantwoordelik vir inligtingsekuriteit daaroor in kennis. Die IDS sluit die volgende elemente in:
- sensors om netwerkverkeer, verskeie logs, ens.
- 'n analise-substelsel wat tekens van skadelike effekte in die ontvangde data opspoor;
- berging vir opeenhoping van primêre gebeurtenisse en ontledingsresultate;
- bestuurskonsole.
Aanvanklik is IDS volgens ligging geklassifiseer: hulle kon gefokus wees op die beskerming van individuele nodusse (gasheer-gebaseerde of Host Intrusion Detection System - HIDS) of die beskerming van die hele korporatiewe netwerk (netwerk-gebaseerde of Network Intrusion Detection System - NIDS). Dit is die moeite werd om die sg. APIDS (Toepassingsprotokol-gebaseerde IDS): hulle monitor 'n beperkte stel toepassingslaagprotokolle om spesifieke aanvalle op te spoor en ontleed nie netwerkpakkies diep nie. Sulke produkte lyk gewoonlik na gevolmagtigdes en word gebruik om spesifieke dienste te beskerm: webbediener en webtoepassings (byvoorbeeld geskryf in PHP), databasisbedieners, ens. 'n Tipiese verteenwoordiger van hierdie klas is mod_security vir die Apache-webbediener.
Ons is meer geïnteresseerd in universele NIDS wat 'n wye verskeidenheid kommunikasieprotokolle en DPI (Deep Packet Inspection) pakkieanalisetegnologieë ondersteun. Hulle monitor alle verbygaande verkeer, vanaf die dataskakellaag, en bespeur 'n wye reeks netwerkaanvalle, sowel as ongemagtigde toegang tot inligting. Dikwels het sulke stelsels 'n verspreide argitektuur en kan interaksie met verskeie aktiewe netwerktoerusting wees. Let daarop dat baie moderne NIDS hibriede is en verskeie benaderings kombineer. Afhangende van die konfigurasie en instellings, kan hulle verskeie probleme oplos - byvoorbeeld om een nodus of die hele netwerk te beskerm. Boonop is IDS-funksies vir werkstasies oorgeneem deur antiviruspakkette, wat weens die verspreiding van Trojane wat daarop gemik is om inligting te steel, in multifunksionele brandmure verander het wat ook die take oplos om verdagte verkeer te herken en te blokkeer.
Aanvanklik kon IDS slegs wanware-aktiwiteit, poortskandeerders, of, sê, gebruikersoortredings van korporatiewe sekuriteitsbeleide opspoor. Wanneer 'n sekere gebeurtenis plaasgevind het, het hulle die administrateur in kennis gestel, maar dit het vinnig duidelik geword dat dit nie genoeg was om net die aanval te erken nie - dit moes geblokkeer word. Dus het IDS omskep in IPS (Intrusion Prevention Systems) - inbraakvoorkomingstelsels wat in wisselwerking met brandmure kan werk.
Opsporingsmetodes
Moderne oplossings vir die opsporing en voorkoming van indringing gebruik verskeie metodes om kwaadwillige aktiwiteite op te spoor, wat in drie kategorieë verdeel kan word. Dit gee ons nog 'n opsie om stelsels te klassifiseer:
- Handtekeninggebaseerde IDS/IPS soek patrone in verkeer of monitor stelseltoestandveranderinge om 'n netwerkaanval of infeksiepoging op te spoor. Hulle gee feitlik nie misfires en vals positives nie, maar is nie in staat om onbekende dreigemente te identifiseer nie;
- Anomalie-opsporende IDS'e gebruik nie aanvalshandtekeninge nie. Hulle herken abnormale gedrag van inligtingstelsels (insluitend afwykings in netwerkverkeer) en kan selfs onbekende aanvalle opspoor. Sulke stelsels gee nogal baie vals positiewe en, indien dit verkeerd gebruik word, lam die werking van die plaaslike netwerk;
- Reël-gebaseerde IDS'e werk soos: as FEIT dan AKSIE. Trouens, dit is deskundige stelsels met kennisbasisse - 'n stel feite en reëls van afleiding. Sulke oplossings is tydrowend om op te stel en vereis dat die administrateur 'n gedetailleerde begrip van die netwerk moet hê.
Geskiedenis van IDS-ontwikkeling
Die era van vinnige ontwikkeling van die internet en korporatiewe netwerke het in die 90's van die vorige eeu begin, maar kenners was 'n bietjie vroeër verbaas oor gevorderde netwerksekuriteitstegnologie. In 1986 het Dorothy Denning en Peter Neumann die IDES (Intrusion Detection Expert System) model gepubliseer, wat die basis geword het van die meeste moderne inbraakdetectiestelsels. Sy het 'n kundige stelsel gebruik om bekende aanvalle te identifiseer, sowel as statistiese metodes en gebruiker/stelselprofiele. IDES het op Sun-werkstasies gehardloop en netwerkverkeer en toepassingsdata nagegaan. In 1993 is NIDES (Next-generation Intrusion Detection Expert System) vrygestel - 'n nuwe generasie intrusion opsporing deskundige stelsel.
Gebaseer op die werk van Denning en Neumann, het die MIDAS (Multics intrusion detection and alerting system) kundige stelsel in 1988 verskyn, met behulp van P-BEST en LISP. Terselfdertyd is die Haystack-stelsel wat op statistiese metodes gebaseer is, geskep. Nog 'n statistiese anomalie detector, W&S (Wisdom & Sense), is 'n jaar later by Los Alamos Nasionale Laboratorium ontwikkel. Die ontwikkeling van die bedryf het in 'n vinnige tempo verloop. Byvoorbeeld, in 1990 is anomalie-opsporing reeds in die TIM (Time-based inductive machine)-stelsel geïmplementeer deur induktiewe leer op opeenvolgende gebruikerpatrone (Common LISP language) te gebruik. NSM (Network Security Monitor) het toegangsmatrikse vir anomalie-opsporing vergelyk, en ISOA (Information Security Officer's Assistant) het verskeie opsporingstrategieë ondersteun: statistiese metodes, profielkontrolering en deskundige stelsel. Die ComputerWatch-stelsel wat by AT & T Bell Labs geskep is, het beide statistiese metodes en reëls vir verifikasie gebruik, en die ontwikkelaars van die Universiteit van Kalifornië het die eerste prototipe van 'n verspreide IDS terug in 1991 ontvang - DIDS (Distributed intrusion detection system) was ook 'n kenner stelsel.
Aanvanklik was IDS eie, maar reeds in 1998 het die Nasionale Laboratorium. Lawrence by Berkeley het Bro vrygestel (in 2018 herdoop tot Zeek), 'n oopbronstelsel wat sy eie reëltaal gebruik om libpcap-data te ontleed. In November van dieselfde jaar het die APE-pakkiesnuffel met behulp van libpcap verskyn, wat 'n maand later herdoop is na Snort, en later 'n volwaardige IDS / IPS geword het. Terselfdertyd het talle eie oplossings begin verskyn.
Snork en Suricata
Baie maatskappye verkies gratis en oopbron IDS/IPS. Vir lank is die reeds genoemde Snort as die standaardoplossing beskou, maar nou is dit deur die Suricata-stelsel vervang. Oorweeg hul voor- en nadele in 'n bietjie meer besonderhede. Snort kombineer die voordele van 'n handtekeningmetode met intydse anomalie-opsporing. Suricata laat ook ander metodes toe behalwe die opsporing van aanvalhandtekeninge. Die stelsel is geskep deur 'n groep ontwikkelaars wat van die Snort-projek afgeskei het en IPS-kenmerke ondersteun sedert weergawe 1.4, terwyl inbraakvoorkoming later in Snort verskyn het.
Die belangrikste verskil tussen die twee gewilde produkte is Suricata se vermoë om die GPU vir IDS-rekenaars te gebruik, sowel as die meer gevorderde IPS. Die stelsel is oorspronklik ontwerp vir multi-threading, terwyl Snort 'n enkeldraadproduk is. As gevolg van sy lang geskiedenis en nalatenskapkode, maak dit nie optimaal gebruik van multi-verwerker/multi-kern hardeware platforms nie, terwyl Suricata verkeer tot 10 Gbps op normale algemene rekenaars kan hanteer. Jy kan lank oor die ooreenkomste en verskille tussen die twee stelsels praat, maar hoewel die Suricata-enjin vinniger werk, maak dit nie saak vir nie te wye kanale nie.
Ontplooiingsopsies
IPS moet so geplaas word dat die stelsel die netwerksegmente onder sy beheer kan monitor. Dikwels is dit 'n toegewyde rekenaar, waarvan een koppelvlak na die randtoestelle koppel en daardeur "kyk" na onbeveiligde openbare netwerke (internet). Nog 'n IPS-koppelvlak is gekoppel aan die insette van die beskermde segment sodat alle verkeer deur die stelsel gaan en ontleed word. In meer komplekse gevalle kan daar verskeie beskermde segmente wees: byvoorbeeld, in korporatiewe netwerke word 'n gedemilitariseerde sone (DMZ) dikwels toegeken met dienste wat toeganklik is vanaf die internet.
So 'n IPS kan poortskandering of brute-force-aanvalle, die uitbuiting van kwesbaarhede in die posbediener, webbediener of skrifte, sowel as ander soorte eksterne aanvalle voorkom. As die rekenaars op die plaaslike netwerk met wanware besmet is, sal IDS hulle nie toelaat om die botnetbedieners wat buite geleë is, te kontak nie. Meer ernstige beskerming van die interne netwerk sal heel waarskynlik 'n komplekse opset vereis met 'n verspreide stelsel en duur bestuurde skakelaars wat in staat is om verkeer te weerspieël vir 'n IDS-koppelvlak wat aan een van die poorte gekoppel is.
Dikwels is korporatiewe netwerke onderhewig aan verspreide ontkenning-van-diens-aanvalle (DDoS). Alhoewel moderne IDS'e dit kan hanteer, help die ontplooiingsopsie hierbo min. Die stelsel herken kwaadwillige aktiwiteit en blokkeer valse verkeer, maar hiervoor moet die pakkies deur 'n eksterne internetverbinding gaan en sy netwerkkoppelvlak bereik. Afhangende van die intensiteit van die aanval, sal die data-oordragkanaal moontlik nie die las kan hanteer nie en die doelwit van die aanvallers sal bereik word. Vir sulke gevalle beveel ons aan dat IDS op 'n virtuele bediener met 'n bekende beter internetverbinding ontplooi word. U kan die VPS aan die plaaslike netwerk koppel deur 'n VPN, en dan moet u die roetering van alle eksterne verkeer daardeur opstel. Dan, in die geval van 'n DDoS-aanval, hoef u nie pakkies deur die verbinding met die verskaffer te bestuur nie, dit sal op die eksterne gasheer geblokkeer word.
Keuse-probleem
Dit is baie moeilik om 'n leier onder gratis stelsels te identifiseer. Die keuse van IDS / IPS word bepaal deur die netwerktopologie, die nodige beskermingsfunksies, sowel as die persoonlike voorkeure van die administrateur en sy begeerte om met die instellings te vroetel. Snork het 'n langer geskiedenis en is beter gedokumenteer, hoewel inligting oor Suricata ook maklik aanlyn gevind kan word. In elk geval, om die stelsel te bemeester, sal jy 'n paar pogings moet aanwend, wat uiteindelik sal betaal - kommersiële hardeware en hardeware-sagteware IDS / IPS is redelik duur en pas nie altyd in die begroting nie. Jy moet nie spyt wees oor die tyd wat jy spandeer nie, want 'n goeie administrateur verbeter altyd sy kwalifikasies ten koste van die werkgewer. In hierdie situasie wen almal. In die volgende artikel sal ons kyk na 'n paar opsies vir die implementering van Suricata en vergelyk die meer moderne stelsel met die klassieke IDS/IPS Snort in die praktyk.
Bron: will.com