Snort ወይም ሱሪካታ. ክፍል 1፡ የድርጅትዎን ኔትወርክ ለመጠበቅ ነፃ መታወቂያ/አይፒኤስ መምረጥ

በአንድ ወቅት አንድ ተራ ፋየርዎል እና ፀረ-ቫይረስ ፕሮግራሞች የአካባቢን አውታረመረብ ለመጠበቅ በቂ ነበሩ, ነገር ግን እንዲህ ዓይነቱ ስብስብ በዘመናዊ ጠላፊዎች እና በቅርብ ጊዜ ተስፋፍቶ ከነበረው ማልዌር ጥቃቶች ጋር በቂ አይደለም. አንድ ጥሩ የድሮ ፋየርዎል የፓኬት ራስጌዎችን ብቻ ነው የሚተነትነው፣ በመደበኛ ደንቦች ስብስብ በመፍቀድ ወይም በማገድ። ስለ እሽጎቹ ይዘት ምንም የሚያውቀው ነገር የለም፣ እና ስለዚህ የአጥቂዎችን ህጋዊ የሚመስሉ ድርጊቶች ለይቶ ማወቅ አይችልም። የጸረ-ቫይረስ ፕሮግራሞች ሁልጊዜ ማልዌርን አይያዙም, ስለዚህ አስተዳዳሪው ያልተለመደ እንቅስቃሴን የመከታተል እና የተበከሉ አስተናጋጆችን በጊዜ የመለየት ስራ ይገጥመዋል.

የኩባንያውን የአይቲ መሠረተ ልማት ለመጠበቅ ብዙ የላቁ መሣሪያዎች አሉ። ዛሬ ስለ ክፍት ምንጭ ጣልቃገብነት ማወቂያ እና መከላከያ ዘዴዎች እንነጋገራለን, ይህም ውድ የሆኑ መሳሪያዎችን እና የሶፍትዌር ፈቃዶችን ሳይገዙ ሊተገበሩ ይችላሉ.

የIDS/IPS ምደባ

IDS (Intrusion Detection System) በኔትወርክ ወይም በግል ኮምፒዩተር ላይ አጠራጣሪ ድርጊቶችን ለመመዝገብ የተነደፈ ሥርዓት ነው። የክስተት ምዝግብ ማስታወሻዎችን ያስቀምጣል እና ስለእነሱ ለመረጃ ደህንነት ኃላፊ የሆነውን ሰራተኛ ያሳውቃል። የሚከተሉት ንጥረ ነገሮች እንደ መታወቂያው አካል ሊለዩ ይችላሉ፡

• የአውታረ መረብ ትራፊክን ለመመልከት ዳሳሾች, የተለያዩ ምዝግብ ማስታወሻዎች, ወዘተ. 
• በተቀበለው መረጃ ውስጥ የተንኮል-አዘል ተጽዕኖ ምልክቶችን የሚለይ የትንተና ንዑስ ስርዓት;
• የመጀመሪያ ደረጃ ክስተቶችን እና የትንተና ውጤቶችን ለማከማቸት ማከማቻ;
• አስተዳደር ኮንሶል.

መጀመሪያ ላይ፣ IDS በቦታ ተከፋፍለዋል፡ እነሱ የተናጠል ኖዶችን ለመጠበቅ (በአስተናጋጅ ላይ የተመሰረተ ወይም የአስተናጋጅ ጣልቃገብነት ማወቂያ ስርዓት - ኤችአይዲኤስ) ወይም አጠቃላይ የድርጅት አውታረ መረብን ለመጠበቅ (በአውታረ መረብ ላይ የተመሰረተ ወይም የአውታረ መረብ ጣልቃ ገብነት ማወቂያ ስርዓት - NIDS) ላይ ያተኮሩ ሊሆኑ ይችላሉ። የሚባሉትን መጥቀስ ተገቢ ነው። APIDS (በመተግበሪያ ፕሮቶኮል ላይ የተመሰረተ መታወቂያ): የተወሰኑ ጥቃቶችን ለመለየት የተወሰኑ የመተግበሪያ ደረጃ ፕሮቶኮሎችን ይቆጣጠራሉ እና የአውታረ መረብ እሽጎች ጥልቅ ትንታኔ አያደርጉም። እንደነዚህ ያሉ ምርቶች ብዙውን ጊዜ ፕሮክሲዎችን ስለሚመስሉ የተወሰኑ አገልግሎቶችን ለመጠበቅ ያገለግላሉ-የድር አገልጋይ እና የድር መተግበሪያዎች (ለምሳሌ ፣ በPHP የተፃፉ) ፣ የውሂብ ጎታ አገልጋይ ፣ ወዘተ. የዚህ ክፍል ዓይነተኛ ምሳሌ ለ Apache ድር አገልጋይ mod_security ነው።

ሰፊ የግንኙነት ፕሮቶኮሎችን እና ዲፒአይ (ዲፕ ፓኬት ኢንስፔክሽን) ቴክኖሎጂዎችን የሚደግፉ ሁለንተናዊ NIDS ላይ የበለጠ ፍላጎት አለን። ከዳታ ማገናኛ ንብርብር ጀምሮ ሁሉንም የሚያልፉ ትራፊክ ይቆጣጠራሉ እና ሰፊ የአውታረ መረብ ጥቃቶችን እንዲሁም ያልተፈቀደ መረጃ የማግኘት ሙከራዎችን ይገነዘባሉ። ብዙ ጊዜ እንደዚህ ያሉ ስርዓቶች የተከፋፈለ አርክቴክቸር አላቸው እና ከተለያዩ ንቁ የአውታረ መረብ መሳሪያዎች ጋር መስተጋብር መፍጠር ይችላሉ። ብዙ ዘመናዊ NIDS ድቅል እንደሆኑ እና በርካታ አቀራረቦችን እንደሚያጣምሩ ልብ ይበሉ። እንደ ውቅር እና ቅንጅቶች ላይ በመመስረት የተለያዩ ችግሮችን መፍታት ይችላሉ - ለምሳሌ አንድ መስቀለኛ መንገድን ወይም መላውን አውታረመረብ መጠበቅ። በተጨማሪም የIDS ለስራ ጣቢያዎች ተግባራት በፀረ-ቫይረስ ፓኬጆች ተወስደዋል ይህም መረጃን ለመስረቅ ያለመ ትሮጃኖች መስፋፋት ወደ ሁለገብ ፋየርዎል በመቀየር አጠራጣሪ ትራፊክን የማወቅ እና የመዝጋት ችግሮችን ይፈታል ።

መጀመሪያ ላይ፣ IDS የማልዌር እንቅስቃሴን፣ የወደብ ስካነሮችን፣ ወይም የተጠቃሚዎችን የድርጅት ደህንነት ፖሊሲዎች ጥሰት ብቻ ነው ማግኘት የሚችለው። አንድ የተወሰነ ክስተት ሲከሰት ለአስተዳዳሪው አሳውቀዋል, ነገር ግን ጥቃቱን ማወቅ ብቻ በቂ እንዳልሆነ በፍጥነት ግልጽ ሆነ - መታገድ አለበት. ስለዚህ IDS ወደ አይፒኤስ (የጣልቃ መከላከያ ዘዴዎች) ተለውጠዋል - ከኬላዎች ጋር መስተጋብር መፍጠር የሚችሉ የጣልቃ መከላከያ ስርዓቶች።

የማወቂያ ዘዴዎች

ዘመናዊ የጠለፋ ፍለጋ እና የመከላከያ መፍትሄዎች ተንኮል አዘል ድርጊቶችን ለመለየት የተለያዩ ዘዴዎችን ይጠቀማሉ, ይህም በሶስት ምድቦች ሊከፈል ይችላል. ይህ ስርዓቶችን ለመመደብ ሌላ አማራጭ ይሰጠናል፡-

• በፊርማ ላይ የተመሰረተ IDS/IPS በትራፊክ ውስጥ ያሉ ንድፎችን ፈልጎ ማግኘት ወይም የአውታረ መረብ ጥቃትን ወይም የኢንፌክሽን ሙከራን ለመወሰን በስርዓቶች ሁኔታ ላይ ያሉ ለውጦችን ይቆጣጠሩ። እነሱ በተግባራዊ ሁኔታ የተሳሳቱ እሳቶችን እና የውሸት ውጤቶችን አይሰጡም, ነገር ግን የማይታወቁ ስጋቶችን መለየት አይችሉም;
• Anomaly-ማግኘት IDSs የጥቃት ፊርማዎችን አይጠቀሙም። የመረጃ ስርዓቶችን (በአውታረ መረብ ትራፊክ ውስጥ ያሉ ያልተለመዱ ነገሮችን ጨምሮ) ያልተለመዱ ባህሪያትን ይገነዘባሉ እና እንዲያውም ያልታወቁ ጥቃቶችን ሊያገኙ ይችላሉ. እንደነዚህ ያሉት ስርዓቶች በጣም ብዙ የውሸት አወንታዊ ውጤቶችን ይሰጣሉ እና በስህተት ጥቅም ላይ ከዋሉ የአካባቢያዊ አውታረመረብ ሥራን ሽባ ይሆናሉ ።
• ደንብን መሰረት ያደረገ መታወቂያ በመርህ ላይ ይሰራል፡ FACT ከሆነ ከዚያ እርምጃ። በመሠረቱ, እነዚህ የእውቀት መሠረቶች ያሏቸው የባለሙያዎች ስርዓቶች ናቸው - የእውነታዎች ስብስብ እና የሎጂክ አመክንዮ ደንቦች. እንደነዚህ ያሉ መፍትሄዎች ለማዋቀር ጉልበት የሚጠይቁ እና አስተዳዳሪው ስለ አውታረ መረቡ ዝርዝር ግንዛቤ እንዲኖራቸው ይፈልጋሉ. 

የIDS ልማት ታሪክ

የበይነመረብ እና የኮርፖሬት ኔትወርኮች ፈጣን እድገት የጀመረው ባለፈው ክፍለ ዘመን በ 90 ዎቹ ውስጥ ነው, ነገር ግን ባለሙያዎች ትንሽ ቀደም ብሎ በላቁ የአውታረ መረብ ደህንነት ቴክኖሎጂዎች ግራ ተጋብተዋል. እ.ኤ.አ. በ 1986 ዶሮቲ ዴኒንግ እና ፒተር ኑማን የ IDES (Intrusion detection ኤክስፐርት ሲስተም) ሞዴል አሳትመዋል, ይህም ለአብዛኛዎቹ ዘመናዊ የጠለፋ መፈለጊያ ስርዓቶች መሰረት ሆኗል. የታወቁ የጥቃት ዓይነቶችን እንዲሁም የስታቲስቲክስ ዘዴዎችን እና የተጠቃሚ/ስርዓት መገለጫዎችን ለመለየት የባለሙያዎችን ስርዓት ተጠቅሟል። IDES የአውታረ መረብ ትራፊክን እና የመተግበሪያ ውሂብን በመፈተሽ በፀሃይ የስራ ጣቢያዎች ላይ ሮጠ። እ.ኤ.አ. በ 1993 NIDES (የቀጣዩ ትውልድ ጣልቃገብነት ማወቂያ ኤክስፐርት ሲስተም) ተለቀቀ - አዲስ ትውልድ ጣልቃ-ገብ ማወቂያ ባለሙያ ስርዓት።

በዴንኒንግ እና በኒውማን ስራ ላይ በመመስረት, MIDAS (Multics intrusion detection and alerting system) P-BEST እና LISP በመጠቀም ኤክስፐርት ሲስተም በ1988 ታየ። በተመሳሳይ ጊዜ በስታቲስቲክስ ዘዴዎች ላይ የተመሰረተው የሃይስታክ ስርዓት ተፈጠረ. ሌላ የስታቲስቲክስ አኖማሊ ዳሳሽ W&S (ጥበብ እና ስሜት) ከአንድ አመት በኋላ በሎስ አላሞስ ብሔራዊ ላቦራቶሪ ተፈጠረ። ኢንዱስትሪው በፍጥነት እያደገ ነበር። ለምሳሌ፣ እ.ኤ.አ. በ1990 የቲም (Time-based inductive machine) ስርዓት ቀደም ሲል በተከታታይ የተጠቃሚ ቅጦች (የጋራ LISP ቋንቋ) ላይ ኢንዳክቲቭ ትምህርትን በመጠቀም ያልተለመደ ማወቂያን ተግባራዊ አድርጓል። NSM (የአውታረ መረብ ደህንነት መቆጣጠሪያ) ያልተለመዱ ነገሮችን ለመለየት የመዳረሻ ማትሪክቶችን በማነፃፀር እና ISOA (የመረጃ ደህንነት ኦፊሰር ረዳት) የተለያዩ የማወቂያ ስልቶችን ደግፏል፡ እስታቲስቲካዊ ዘዴዎች፣ የመገለጫ ፍተሻ እና የባለሙያዎች ስርዓት። በ AT&T Bell Labs የተፈጠረው የኮምፒዩተር ዋች ሲስተም ለማረጋገጫ ስታቲስቲካዊ ዘዴዎችን እና ደንቦችን ተጠቅሟል፣ እና የካሊፎርኒያ ዩኒቨርሲቲ ገንቢዎች በ1991 የተከፋፈለውን መታወቂያ የመጀመሪያ ፕሮቶታይፕ ተቀብለዋል - DIDS (የተከፋፈለ ኢንትሪሽን ማወቂያ ስርዓት) እንዲሁም የባለሙያ ስርዓት ነበር።

መጀመሪያ ላይ IDS የባለቤትነት መብት ነበረው, ግን ቀድሞውኑ በ 1998 ውስጥ, ብሔራዊ ላቦራቶሪ. ሎውረንስ በርክሌይ Bro (በ2018 ዚክ ተብሎ የተሰየመ)፣ የlibpcap ውሂብን ለመተንተን የባለቤትነት ህግ ቋንቋን የሚጠቀም ክፍት ምንጭ ስርዓትን ለቋል። በዚሁ አመት በኖቬምበር ላይ የ APE ፓኬት አነፍናፊ ሊብፕካፕ ታየ፣ እሱም ከአንድ ወር በኋላ Snort ተባለ፣ እና በኋላ ሙሉ በሙሉ IDS/IPS ሆነ። በተመሳሳይ ጊዜ, በርካታ የባለቤትነት መፍትሄዎች መታየት ጀመሩ.

Snort እና ሱሪካታ

ብዙ ኩባንያዎች ነፃ እና ክፍት ምንጭ IDS/IPS ይመርጣሉ። ለረጅም ጊዜ ቀደም ሲል የተጠቀሰው Snort እንደ መደበኛ መፍትሄ ተደርጎ ይወሰድ ነበር, አሁን ግን በሱሪካታ ስርዓት ተተክቷል. ጥቅሞቻቸውን እና ጉዳቶቻቸውን በጥቂቱ በዝርዝር እንመልከታቸው። Snort በፊርማ ላይ የተመሰረተ ዘዴን በእውነተኛ ጊዜ ያልተለመዱ ነገሮችን የመለየት ችሎታን ያጣምራል። ሱሪካታ በፊርማ የሚፈጸሙ ጥቃቶችን ከማወቅ በተጨማሪ ሌሎች ዘዴዎችን እንድትጠቀም ይፈቅድልሃል። ስርዓቱ የተፈጠረው ከSnort ፕሮጀክት በተለዩ የገንቢዎች ቡድን ነው እና ከስሪት 1.4 ጀምሮ የአይፒኤስ ተግባራትን ይደግፋል፣ እና Snort በኋላ ላይ ጣልቃ ገብነትን የመከላከል ችሎታን አስተዋወቀ።

በሁለቱ ታዋቂ ምርቶች መካከል ያለው ዋነኛው ልዩነት የሱሪካታ ጂፒዩ ኮምፒውቲንግን በIDS ሁነታ የመጠቀም ችሎታ እና እንዲሁም የላቀ አይፒኤስ ነው። ስርዓቱ መጀመሪያ ላይ ለብዙ-ክሮች የተነደፈ ነው, Snort ደግሞ ባለ አንድ-ክር ምርት ነው. በረጅም ታሪኩ እና የቆየ ኮድ ምክንያት፣ ባለብዙ ፕሮሰሰር/ባለብዙ-ኮር ሃርድዌር መድረኮችን በአግባቡ አይጠቀምም፣ ሱሪካታ ግን በመደበኛ አጠቃላይ ዓላማ ኮምፒውተሮች እስከ 10 Gbps የሚደርስ ትራፊክ ማስተናገድ ይችላል። በሁለቱ ስርዓቶች መካከል ስላለው ተመሳሳይነት እና ልዩነት ለረጅም ጊዜ መነጋገር እንችላለን, ነገር ግን የሱሪካታ ሞተር በፍጥነት ቢሰራም, በጣም ሰፊ ያልሆኑ ቻናሎች ይህ መሠረታዊ ጠቀሜታ የለውም.

የማሰማራት አማራጮች

IPS ስርዓቱ በእሱ ቁጥጥር ስር ያሉትን የአውታረ መረብ ክፍሎችን መከታተል በሚችልበት መንገድ መቀመጥ አለበት. ብዙውን ጊዜ ይህ ራሱን የቻለ ኮምፒዩተር ነው ፣ አንደኛው በይነገጽ ከጫፍ መሳሪያዎች በኋላ የተገናኘ እና በእነሱ በኩል ወደ ያልተጠበቁ የህዝብ አውታረ መረቦች (በይነመረብ) ውስጥ “ይመለከታቸዋል”። ሁሉም ትራፊክ በስርዓቱ ውስጥ እንዲያልፍ እና እንዲተነተን ሌላ የአይፒኤስ በይነገጽ ከተጠበቀው ክፍል ግብዓት ጋር ተገናኝቷል። በጣም ውስብስብ በሆኑ ጉዳዮች ላይ, በርካታ የተጠበቁ ክፍሎች ሊኖሩ ይችላሉ-ለምሳሌ, በድርጅታዊ አውታረ መረቦች ውስጥ ብዙውን ጊዜ ከኢንተርኔት ሊደረስባቸው ከሚችሉ አገልግሎቶች ጋር የተከፋፈለ ዞን (DMZ) ይመደባል.

እንዲህ ዓይነቱ አይፒኤስ ወደብ መቃኘትን ወይም የይለፍ ቃል brute Force ጥቃቶችን ፣ በደብዳቤ አገልጋይ ፣ በድር አገልጋይ ወይም በስክሪፕት ውስጥ ያሉ ተጋላጭነቶችን መጠቀምን እንዲሁም ሌሎች የውጭ ጥቃቶችን መከላከል ይችላል። በአካባቢያዊ አውታረመረብ ላይ ያሉ ኮምፒውተሮች በማልዌር ከተበከሉ, IDS ውጭ የሚገኙትን የbotnet አገልጋዮችን እንዲገናኙ አይፈቅድላቸውም. ለበለጠ ከባድ የውስጥ አውታረ መረብ ጥበቃ፣ ከአንዱ ወደቦች ጋር ለተገናኘው የIDS በይነገጽ ትራፊክን ለማንፀባረቅ የተከፋፈለ ስርዓት እና ውድ የሚተዳደሩ ማብሪያ / ማጥፊያ ያለው ውስብስብ ውቅር ያስፈልጋል።

የኮርፖሬት ኔትወርኮች ብዙ ጊዜ የተከፋፈለ የአገልግሎት መከልከል (DDoS) ጥቃቶች ይጋለጣሉ። ምንም እንኳን ዘመናዊ መታወቂያዎች እነሱን መቋቋም ቢችሉም, ከላይ ያለው የማሰማራት አማራጭ እዚህ ሊረዳ አይችልም. ስርዓቱ ተንኮል አዘል እንቅስቃሴዎችን ይገነዘባል እና አጭበርባሪ ትራፊክን ያግዳል ፣ ግን ይህንን ለማድረግ ፓኬጆቹ በውጫዊ የበይነመረብ ግንኙነት ውስጥ ማለፍ እና የአውታረ መረብ በይነገጽ መድረስ አለባቸው። እንደ ጥቃቱ ጥንካሬ የውሂብ ማስተላለፊያ ቻናል ጭነቱን መቋቋም አይችልም እና የአጥቂዎች ግብ ይሳካል. ለእንደዚህ አይነት ጉዳዮች መታወቂያውን በቨርቹዋል ሰርቨር ላይ በግልፅ የበለጠ ኃይለኛ የኢንተርኔት ግንኙነት እንዲሰራ እንመክራለን። ቪፒኤስን ከአካባቢያዊ አውታረመረብ ጋር በቪፒኤን ማገናኘት ይችላሉ እና ከዚያ በእሱ በኩል ሁሉንም የውጭ ትራፊክ ማዘዋወርን ማዋቀር ያስፈልግዎታል። ከዚያ የዲዶኤስ ጥቃት በሚደርስበት ጊዜ ከአቅራቢው ጋር ባለው ግንኙነት ፓኬቶችን መላክ አይኖርብዎትም ፣ እነሱ በውጫዊ መስቀለኛ መንገድ ላይ ይዘጋሉ።

የምርጫ ችግር

በነጻ ስርዓቶች መካከል መሪን መለየት በጣም አስቸጋሪ ነው. የ IDS / IPS ምርጫ የሚወሰነው በኔትወርክ ቶፖሎጂ, በሚፈለገው የደህንነት ተግባራት, እንዲሁም በአስተዳዳሪው የግል ምርጫዎች እና ከቅንብሮች ጋር ለመጣጣም ባለው ፍላጎት ነው. Snort ረዘም ያለ ታሪክ ያለው እና በተሻለ ሁኔታ የተመዘገበ ነው፣ ምንም እንኳን በሱሪካታ ላይ ያለው መረጃ እንዲሁ በመስመር ላይ ለማግኘት ቀላል ነው። በማንኛውም ሁኔታ ስርዓቱን ለመቆጣጠር አንዳንድ ጥረቶችን ማድረግ አለብዎት, ይህም በመጨረሻው ውጤት ያስገኛል - የንግድ ሃርድዌር እና ሃርድዌር-ሶፍትዌር IDS / IPS በጣም ውድ ናቸው እና ሁልጊዜ ከበጀት ጋር አይጣጣሙም. ባጠፋው ጊዜ መጸጸቱ ምንም ፋይዳ የለውም, ምክንያቱም ጥሩ አስተዳዳሪ ሁልጊዜ በአሠሪው ወጪ ችሎታውን ያሻሽላል. በዚህ ሁኔታ ሁሉም ሰው ያሸንፋል. በሚቀጥለው ርዕስ አንዳንድ የሱሪካታ ማሰማራት አማራጮችን እንመለከታለን እና የበለጠ ዘመናዊ አሰራርን ከጥንታዊው IDS/IPS Snort ጋር እናወዳድራለን።

ምንጭ: hab.com