ذات مرة ، كان جدار الحماية العادي وبرامج مكافحة الفيروسات كافية لحماية الشبكة المحلية ، لكن هذه المجموعة لم تعد فعالة بما يكفي ضد هجمات المتسللين المعاصرين والبرامج الضارة التي انتشرت مؤخرًا. يحلل جدار الحماية القديم الجيد رؤوس الحزم فقط ، ويمررها أو يحظرها وفقًا لمجموعة من القواعد الرسمية. إنها لا تعرف أي شيء عن محتويات العبوات ، وبالتالي لا يمكنها التعرف على الإجراءات الشرعية ظاهريًا للمتطفلين. لا تلتقط برامج مكافحة الفيروسات دائمًا البرامج الضارة ، لذلك يواجه المسؤول مهمة مراقبة النشاط الشاذ وعزل المضيفين المصابين في الوقت المناسب.
هناك العديد من الأدوات المتقدمة التي تسمح لك بحماية البنية التحتية لتكنولوجيا المعلومات الخاصة بالشركة. سنتحدث اليوم عن أنظمة كشف التسلل والوقاية مفتوحة المصدر التي يمكن تنفيذها دون شراء تراخيص أجهزة وبرامج باهظة الثمن.
تصنيف IDS / IPS
نظام كشف التسلل (IDS) هو نظام مصمم لتسجيل الأنشطة المشبوهة على شبكة أو على جهاز كمبيوتر منفصل. تحتفظ بسجلات الأحداث وتخطر الشخص المسؤول عن أمن المعلومات بشأنها. يتضمن IDS العناصر التالية:
- أجهزة استشعار لعرض حركة مرور الشبكة ، والسجلات المختلفة ، وما إلى ذلك.
- نظام فرعي للتحليل يكتشف علامات الآثار الضارة في البيانات المستلمة ؛
- تخزين لتراكم الأحداث الأولية ونتائج التحليل ؛
- وحدة إدارة.
في البداية ، تم تصنيف IDS حسب الموقع: يمكن أن تركز على حماية العقد الفردية (المستندة إلى المضيف أو نظام اكتشاف التسلل المضيف - HIDS) أو حماية شبكة الشركة بأكملها (نظام اكتشاف اختراق الشبكة أو الشبكة - NIDS). ومن الجدير بالذكر ما يسمى ب. APIDS (معرفات مستندة إلى بروتوكول التطبيق): تراقب مجموعة محدودة من بروتوكولات طبقة التطبيق لاكتشاف هجمات محددة ولا تحلل حزم الشبكة بعمق. تشبه هذه المنتجات عادةً البروكسيات وتُستخدم لحماية خدمات معينة: خادم الويب وتطبيقات الويب (على سبيل المثال ، مكتوبة بلغة PHP) ، وخوادم قواعد البيانات ، وما إلى ذلك. الممثل النموذجي لهذه الفئة هو mod_security لخادم الويب Apache.
نحن مهتمون أكثر بـ NIDS العالمية التي تدعم مجموعة واسعة من بروتوكولات الاتصال وتقنيات تحليل حزم DPI (الفحص العميق للحزم). يراقبون جميع حركات المرور العابرة ، بدءًا من طبقة ارتباط البيانات ، ويكتشفون مجموعة واسعة من هجمات الشبكة ، فضلاً عن الوصول غير المصرح به إلى المعلومات. غالبًا ما يكون لهذه الأنظمة بنية موزعة ويمكنها التفاعل مع العديد من معدات الشبكة النشطة. لاحظ أن العديد من NIDS الحديثة مختلطة وتجمع بين عدة طرق. اعتمادًا على التكوين والإعدادات ، يمكنهم حل العديد من المشكلات - على سبيل المثال ، حماية عقدة واحدة أو الشبكة بأكملها. بالإضافة إلى ذلك ، تم الاستيلاء على وظائف IDS لمحطات العمل بواسطة حزم مكافحة الفيروسات ، والتي تحولت ، بسبب انتشار أحصنة طروادة التي تهدف إلى سرقة المعلومات ، إلى جدران حماية متعددة الوظائف تعمل أيضًا على حل مهام التعرف على حركة المرور المشبوهة وحظرها.
في البداية ، كان بإمكان IDS فقط اكتشاف نشاط البرامج الضارة أو الماسحات الضوئية للمنافذ أو ، على سبيل المثال ، انتهاكات المستخدم لسياسات أمان الشركة. عند وقوع حدث معين ، قاموا بإخطار المسؤول ، ولكن سرعان ما أصبح واضحًا أن مجرد التعرف على الهجوم لم يكن كافيًا - يجب حظره. لذلك تحول نظام IDS إلى IPS (أنظمة منع التطفل) - أنظمة منع التطفل التي يمكنها التفاعل مع جدران الحماية.
етоды обнаружения
تستخدم حلول الكشف عن التسلل والوقاية الحديثة طرقًا مختلفة للكشف عن النشاط الضار ، والتي يمكن تقسيمها إلى ثلاث فئات. هذا يعطينا خيارًا آخر لتصنيف الأنظمة:
- يبحث IDS / IPS القائم على التوقيع عن أنماط في حركة المرور أو مراقبة تغييرات حالة النظام لاكتشاف هجوم الشبكة أو محاولة الإصابة. إنهم لا يقدمون عمليا أخطاء وإيجابيات كاذبة ، لكنهم غير قادرين على اكتشاف التهديدات غير المعروفة ؛
- لا تستخدم أنظمة كشف التسلل لاكتشاف العيوب توقيعات الهجوم. يتعرفون على السلوك غير الطبيعي لأنظمة المعلومات (بما في ذلك الحالات الشاذة في حركة مرور الشبكة) ويمكنهم اكتشاف حتى الهجمات غير المعروفة. تعطي هذه الأنظمة الكثير من الإيجابيات الخاطئة ، وإذا تم استخدامها بشكل غير صحيح ، فإنها تشل عمل الشبكة المحلية ؛
- تعمل IDS المستندة إلى القواعد مثل: if FACT ثم ACTION. في الواقع ، هذه أنظمة خبيرة ذات قواعد معرفية - مجموعة من الحقائق وقواعد الاستدلال. تستغرق مثل هذه الحلول وقتًا طويلاً في الإعداد وتتطلب من المسؤول أن يكون لديه فهم مفصل للشبكة.
تاريخ تطوير IDS
بدأ عصر التطور السريع للإنترنت وشبكات الشركات في التسعينيات من القرن الماضي ، ومع ذلك ، كان الخبراء في حيرة من قبل تقنيات أمان الشبكات المتقدمة قبل ذلك بقليل. في عام 90 ، نشر دوروثي دينينج وبيتر نيومان نموذج IDES (نظام خبير اكتشاف التسلل) ، والذي أصبح أساسًا لمعظم أنظمة اكتشاف التسلل الحديثة. استخدمت نظامًا خبيرًا لتحديد الهجمات المعروفة ، بالإضافة إلى الأساليب الإحصائية وملفات تعريف المستخدم / النظام. تم تشغيل IDES على محطات عمل Sun ، للتحقق من حركة مرور الشبكة وبيانات التطبيق. في عام 1986 ، تم إطلاق NIDES (نظام خبير اكتشاف التسلل من الجيل التالي) - وهو عبارة عن جيل جديد من نظام خبير في اكتشاف التسلل.
استنادًا إلى عمل Denning و Neumann ، ظهر نظام MIDAS (نظام الكشف عن التسلل والتنبيه متعدد الاستخدامات) في عام 1988 ، باستخدام P-BEST و LISP. في الوقت نفسه ، تم إنشاء نظام Haystack على أساس الأساليب الإحصائية. تم تطوير كاشف شذوذ إحصائي آخر ، W&S (الحكمة والإحساس) ، بعد عام في مختبر لوس ألاموس الوطني. استمر تطوير الصناعة بخطى سريعة. على سبيل المثال ، في عام 1990 ، تم تنفيذ اكتشاف الشذوذ بالفعل في نظام TIM (الآلة الحثية المستندة إلى الوقت) باستخدام التعلم الاستقرائي على أنماط المستخدم المتسلسلة (لغة LISP الشائعة). قارن NSM (مراقب أمان الشبكة) مصفوفات الوصول لاكتشاف الشذوذ ، ودعمت ISOA (مساعد ضابط أمن المعلومات) استراتيجيات الكشف المختلفة: الطرق الإحصائية ، وفحص الملف الشخصي ونظام الخبراء. استخدم نظام ComputerWatch الذي تم إنشاؤه في AT & T Bell Labs طرقًا وقواعد إحصائية للتحقق ، وتلقى مطورو جامعة كاليفورنيا أول نموذج أولي لنظام IDS الموزع في عام 1991 - كان DIDS (نظام كشف التسلل الموزع) أيضًا خبيرًا نظام.
في البداية ، كانت IDS مملوكة ، ولكن بالفعل في عام 1998 ، كان المختبر الوطني. أصدر لورانس في بيركلي Bro (أعيدت تسميته Zeek في 2018) ، وهو نظام مفتوح المصدر يستخدم لغة القواعد الخاصة به لتحليل بيانات libpcap. في نوفمبر من نفس العام ، ظهر برنامج APE packet sniffer باستخدام libpcap ، والذي تم تغيير اسمه بعد شهر إلى Snort ، وأصبح فيما بعد IDS / IPS كامل الأهلية. في الوقت نفسه ، بدأت تظهر العديد من الحلول الاحتكارية.
سنورت وسوريكاتا
تفضل العديد من الشركات أنظمة IDS / IPS المجانية والمفتوحة المصدر. لفترة طويلة ، كان يعتبر Snort هو الحل القياسي ، ولكن الآن تم استبداله بنظام Suricata. ضع في اعتبارك مزاياها وعيوبها بمزيد من التفصيل. يجمع Snort بين مزايا طريقة التوقيع واكتشاف الشذوذ في الوقت الفعلي. يسمح Suricata أيضًا بطرق أخرى إلى جانب اكتشاف توقيع الهجوم. تم إنشاء النظام من قبل مجموعة من المطورين الذين انفصلوا عن مشروع Snort ويدعمون ميزات IPS منذ الإصدار 1.4 ، بينما ظهر منع التطفل في Snort لاحقًا.
يتمثل الاختلاف الرئيسي بين المنتجين الشائعين في قدرة Suricata على استخدام وحدة معالجة الرسومات لحوسبة IDS ، بالإضافة إلى تقنية IPS الأكثر تقدمًا. تم تصميم النظام في الأصل للترابط المتعدد ، في حين أن Snort هو منتج ذو ترابط واحد. نظرًا لتاريخها الطويل ورمزها القديم ، فإنها لا تحقق الاستخدام الأمثل لمنصات الأجهزة متعددة المعالجات / متعددة النواة ، بينما يمكن لـ Suricata التعامل مع حركة مرور تصل إلى 10 جيجابت في الثانية على أجهزة الكمبيوتر العادية للأغراض العامة. يمكنك التحدث عن أوجه التشابه والاختلاف بين النظامين لفترة طويلة ، ولكن على الرغم من أن محرك Suricata يعمل بشكل أسرع ، إلا أنه لا يهم بالنسبة للقنوات غير الواسعة جدًا.
خيارات النشر
يجب وضع IPS بطريقة تمكن النظام من مراقبة أجزاء الشبكة الخاضعة لسيطرته. غالبًا ما يكون هذا جهاز كمبيوتر مخصصًا ، تتصل إحدى واجهاته بعد الأجهزة الطرفية و "تنظر" من خلالها إلى الشبكات العامة غير الآمنة (الإنترنت). يتم توصيل واجهة IPS أخرى بإدخال المقطع المحمي بحيث تمر كل حركة المرور عبر النظام ويتم تحليلها. في الحالات الأكثر تعقيدًا ، قد يكون هناك العديد من القطاعات المحمية: على سبيل المثال ، في شبكات الشركات ، غالبًا ما يتم تخصيص منطقة منزوعة السلاح (DMZ) بخدمات يمكن الوصول إليها من الإنترنت.
يمكن أن تمنع IPS هذه فحص المنافذ أو هجمات القوة الغاشمة ، واستغلال نقاط الضعف في خادم البريد أو خادم الويب أو البرامج النصية ، بالإضافة إلى أنواع أخرى من الهجمات الخارجية. إذا كانت أجهزة الكمبيوتر على الشبكة المحلية مصابة ببرامج ضارة ، فلن تسمح لهم IDS بالاتصال بخوادم الروبوتات الموجودة بالخارج. من المرجح أن تتطلب الحماية الأكثر جدية للشبكة الداخلية تكوينًا معقدًا بنظام موزع ومحولات مُدارة باهظة الثمن قادرة على عكس حركة المرور لواجهة IDS المتصلة بأحد المنافذ.
غالبًا ما تتعرض شبكات الشركات لهجمات حجب الخدمة الموزعة (DDoS). على الرغم من أن IDSs الحديثة يمكنها التعامل معها ، إلا أن خيار النشر أعلاه قليل المساعدة هنا. يتعرف النظام على النشاط الضار ويحظر حركة المرور الزائفة ، ولكن لهذا ، يجب أن تمر الحزم عبر اتصال إنترنت خارجي وتصل إلى واجهة الشبكة الخاصة بها. اعتمادًا على شدة الهجوم ، قد لا تتمكن قناة نقل البيانات من التعامل مع الحمل وسيتم تحقيق هدف المهاجمين. في مثل هذه الحالات ، نوصي بنشر IDS على خادم ظاهري مع اتصال إنترنت معروف أفضل. يمكنك توصيل VPS بالشبكة المحلية من خلال VPN ، وبعد ذلك ستحتاج إلى تكوين توجيه كل حركة المرور الخارجية من خلالها. بعد ذلك ، في حالة حدوث هجوم DDoS ، لن تضطر إلى قيادة الحزم من خلال الاتصال بالموفر ، فسيتم حظرها على المضيف الخارجي.
مشكلة الاختيار
من الصعب جدًا تحديد قائد بين الأنظمة الحرة. يتم تحديد اختيار IDS / IPS من خلال طوبولوجيا الشبكة ، ووظائف الحماية اللازمة ، بالإضافة إلى التفضيلات الشخصية للمسؤول ورغبته في العبث بالإعدادات. يتمتع Snort بتاريخ أطول ويتم توثيقه بشكل أفضل ، على الرغم من أنه من السهل أيضًا العثور على معلومات حول Suricata عبر الإنترنت. على أي حال ، لإتقان النظام ، سيتعين عليك بذل بعض الجهود ، والتي ستؤتي ثمارها في النهاية - الأجهزة التجارية وبرامج الأجهزة IDS / IPS باهظة الثمن ولا تتناسب دائمًا مع الميزانية. يجب ألا تندم على الوقت الذي تقضيه ، لأن المسؤول الجيد يحسن مؤهلاته دائمًا على حساب صاحب العمل. في هذه الحالة ، يفوز الجميع. في المقالة التالية ، سننظر في بعض الخيارات لنشر Suricata ومقارنة النظام الأكثر حداثة مع IDS / IPS Snort الكلاسيكي في الممارسة العملية.
المصدر: www.habr.com