Bir zamanlar yerli şəbəkəni qorumaq üçün adi bir firewall və antivirus proqramları kifayət edirdi, lakin belə dəst artıq müasir hakerlərin hücumlarına və son vaxtlar çoxalmış zərərli proqramlara qarşı kifayət qədər effektiv deyil. Yaxşı köhnə firewall yalnız paket başlıqlarını təhlil edir, onları bir sıra rəsmi qaydalara uyğun olaraq ötürür və ya bloklayır. Paketlərin məzmunu haqqında heç nə bilmir və buna görə də müdaxilə edənlərin zahiri qanuni hərəkətlərini tanıya bilmir. Antivirus proqramları həmişə zərərli proqramları tutmur, buna görə də administrator anomal fəaliyyətə nəzarət etmək və yoluxmuş hostları vaxtında təcrid etmək vəzifəsi ilə üzləşir.
Şirkətin İT infrastrukturunu qorumağa imkan verən bir çox təkmil alətlər mövcuddur. Bu gün biz bahalı avadanlıq və proqram təminatı lisenziyaları almadan həyata keçirilə bilən açıq mənbəli müdaxilənin aşkarlanması və qarşısının alınması sistemləri haqqında danışacağıq.
IDS/IPS təsnifatı
IDS (Intrusion Detection System) şəbəkədə və ya ayrıca kompüterdə şübhəli fəaliyyətləri qeyd etmək üçün nəzərdə tutulmuş sistemdir. O, hadisələr jurnallarını aparır və onlar haqqında məlumat təhlükəsizliyinə cavabdeh olan şəxsi xəbərdar edir. IDS-ə aşağıdakı elementlər daxildir:
- şəbəkə trafikinə baxmaq üçün sensorlar, müxtəlif qeydlər və s.
- alınan məlumatlarda zərərli təsirlərin əlamətlərini aşkar edən təhlil alt sistemi;
- ilkin hadisələrin və təhlil nəticələrinin toplanması üçün saxlama;
- idarəetmə konsolu.
Əvvəlcə IDS yerləşdiyi yerə görə təsnif edilirdi: onlar ayrı-ayrı qovşaqların (host-based və ya Host Intrusion Detection System - HIDS) qorunmasına və ya bütün korporativ şəbəkənin (şəbəkə əsaslı və ya Şəbəkə müdaxiləsinin aşkarlanması sistemi - NIDS) qorunmasına yönəldilə bilər. Sözdə qeyd etməyə dəyər. APIDS (Application protocol-based IDS): onlar xüsusi hücumları aşkar etmək üçün məhdud proqram təbəqəsi protokollarını izləyir və şəbəkə paketlərini dərindən təhlil etmir. Belə məhsullar adətən proksilərə bənzəyir və xüsusi xidmətlərin qorunması üçün istifadə olunur: veb server və veb proqramlar (məsələn, PHP-də yazılmış), verilənlər bazası serverləri və s. Bu sinfin tipik nümayəndəsi Apache veb serveri üçün mod_security-dir.
Bizi daha çox geniş çeşidli kommunikasiya protokollarını və DPI (Deep Packet Inspection) paket analizi texnologiyalarını dəstəkləyən universal NIDS maraqlandırır. Onlar məlumat keçidi səviyyəsindən başlayaraq bütün keçən trafikə nəzarət edir və geniş spektrli şəbəkə hücumlarını, həmçinin məlumatlara icazəsiz girişi aşkarlayır. Çox vaxt belə sistemlər paylanmış arxitekturaya malikdir və müxtəlif aktiv şəbəkə avadanlıqları ilə qarşılıqlı əlaqədə ola bilir. Qeyd edək ki, bir çox müasir NIDS hibriddir və bir neçə yanaşmanı birləşdirir. Konfiqurasiya və parametrlərdən asılı olaraq, onlar müxtəlif problemləri həll edə bilərlər - məsələn, bir node və ya bütün şəbəkənin qorunması. Bundan əlavə, iş stansiyaları üçün IDS funksiyaları məlumat oğurlamağa yönəlmiş troyanların yayılması səbəbindən şübhəli trafikin tanınması və bloklanması vəzifələrini də həll edən çoxfunksiyalı firewalllara çevrilən antivirus paketləri tərəfindən qəbul edildi.
Əvvəlcə IDS yalnız zərərli proqram fəaliyyətini, port skanerlərini və ya, məsələn, istifadəçinin korporativ təhlükəsizlik siyasətlərinin pozulmasını aşkar edə bilərdi. Müəyyən bir hadisə baş verəndə administratoru xəbərdar etdilər, lakin tez bir zamanda məlum oldu ki, hücumu tanımaq kifayət deyil - onu bloklamaq lazım idi. Beləliklə, IDS IPS (Intrusion Prevention Systems) - təhlükəsizlik duvarları ilə qarşılıqlı əlaqə qura bilən müdaxilənin qarşısının alınması sistemlərinə çevrildi.
Aşkarlama üsulları
Müasir müdaxilənin aşkarlanması və qarşısının alınması həlləri zərərli fəaliyyəti aşkar etmək üçün müxtəlif üsullardan istifadə edir, onları üç kateqoriyaya bölmək olar. Bu, bizə sistemləri təsnif etmək üçün başqa seçim verir:
- İmza əsaslı IDS/IPS şəbəkə hücumunu və ya yoluxma cəhdini aşkar etmək üçün trafikdə nümunələri axtarır və ya sistem vəziyyətindəki dəyişikliklərə nəzarət edir. Onlar praktiki olaraq səhvlər və yanlış müsbətlər vermirlər, lakin naməlum təhlükələri aşkar edə bilmirlər;
- Anomaliya aşkarlayan İDS-lər hücum imzalarından istifadə etmir. Onlar informasiya sistemlərinin anormal davranışını (şəbəkə trafikindəki anomaliyalar daxil olmaqla) tanıyır və hətta naməlum hücumları aşkar edə bilirlər. Bu cür sistemlər kifayət qədər çox yanlış müsbət nəticələr verir və səhv istifadə edildikdə yerli şəbəkənin işini iflic edir;
- Qayda əsaslı IDS-lər belə işləyir: FACT, onda AKSİYON. Əslində bunlar bilik bazası olan ekspert sistemləridir - faktlar toplusu və nəticə çıxarma qaydaları. Bu cür həllərin qurulması çox vaxt aparır və administratordan şəbəkə haqqında ətraflı məlumat tələb edir.
IDS-in inkişaf tarixi
İnternetin və korporativ şəbəkələrin sürətli inkişafı erası keçən əsrin 90-cı illərində başladı, lakin mütəxəssisləri bir az əvvəl qabaqcıl şəbəkə təhlükəsizliyi texnologiyaları çaşdırdı. 1986-cı ildə Doroti Denninq və Peter Neumann ən müasir müdaxilə aşkarlama sistemlərinin əsasına çevrilən IDES (Intrusion aşkarlama ekspert sistemi) modelini nəşr etdilər. O, məlum hücumları, həmçinin statistik metodları və istifadəçi/sistem profillərini müəyyən etmək üçün ekspert sistemindən istifadə edib. IDES şəbəkə trafikini və proqram məlumatlarını yoxlayaraq Sun iş stansiyalarında işləyirdi. 1993-cü ildə NIDES (Next-generation Intrusion Detection Expert System) buraxıldı - yeni nəsil müdaxilənin aşkarlanması üzrə ekspert sistemi.
Denninq və Neymanın işi əsasında 1988-ci ildə P-BEST və LISP-dən istifadə etməklə MIDAS (Multics intrusion aşkarlama və xəbərdarlıq sistemi) ekspert sistemi meydana çıxdı. Eyni zamanda statistik metodlara əsaslanan Haystack sistemi yaradılmışdır. Digər statistik anomaliya detektoru W&S (Wisdom & Sense) bir il sonra Los Alamos Milli Laboratoriyasında hazırlanmışdır. Sənayenin inkişafı sürətlə davam etdi. Məsələn, 1990-cı ildə anomaliyaların aşkarlanması artıq TIM (Vaxt əsaslı induktiv maşın) sistemində ardıcıl istifadəçi nümunələri (Ümumi LISP dili) üzrə induktiv öyrənmə istifadə etməklə həyata keçirilmişdir. NSM (Şəbəkə Təhlükəsizliyi Monitoru) anomaliyaların aşkarlanması üçün giriş matrislərini müqayisə etdi və ISOA (İnformasiya Təhlükəsizliyi Məmurunun Köməkçisi) müxtəlif aşkarlama strategiyalarını dəstəklədi: statistik üsullar, profil yoxlaması və ekspert sistemi. AT & T Bell Labs-da yaradılan ComputerWatch sistemi yoxlama üçün həm statistik üsullardan, həm də qaydalardan istifadə etdi və Kaliforniya Universitetinin tərtibatçıları 1991-ci ildə paylanmış IDS-nin ilk prototipini aldılar - DIDS (Paylanmış müdaxilə aşkarlama sistemi) həm də ekspert idi. sistemi.
Əvvəlcə IDS mülkiyyət idi, lakin artıq 1998-ci ildə Milli Laboratoriya. Berklidəki Lawrence, libpcap məlumatlarını təhlil etmək üçün öz qaydalar dilindən istifadə edən açıq mənbə sistemi olan Bro (2018-ci ildə Zeek adlandırıldı) buraxdı. Həmin ilin noyabrında libpcap istifadə edən APE paket sniffer peyda oldu, bir ay sonra adı dəyişdirilərək Snort oldu və daha sonra tam hüquqlu IDS/IPS oldu. Eyni zamanda, çoxsaylı mülkiyyət həlləri görünməyə başladı.
Snort və Suricata
Bir çox şirkət pulsuz və açıq mənbə IDS/IPS-ə üstünlük verir. Uzun müddət əvvəl qeyd olunan Snort standart həll hesab olunurdu, lakin indi onu Suricata sistemi əvəz etdi. Onların üstünlüklərini və mənfi cəhətlərini bir az daha ətraflı nəzərdən keçirin. Snort real vaxt rejimində anomaliyaları aşkar etmək imkanı ilə imza metodunun üstünlüklərini birləşdirir. Suricata hücum imzasının aşkarlanmasından başqa digər üsullara da imkan verir. Sistem Snort layihəsindən ayrılan və 1.4 versiyasından bəri IPS xüsusiyyətlərini dəstəkləyən bir qrup tərtibatçı tərəfindən yaradılmışdır, müdaxilənin qarşısının alınması isə Snort-da daha sonra ortaya çıxdı.
İki məşhur məhsul arasındakı əsas fərq Suricatanın IDS hesablamaları üçün GPU-dan, eləcə də daha təkmil IPS-dən istifadə etmək qabiliyyətidir. Sistem əvvəlcə çoxillik üçün nəzərdə tutulmuşdu, Snort isə tək yivli məhsuldur. Uzun tarixə və köhnə koduna görə o, çox prosessorlu/çoxnüvəli aparat platformalarından optimal istifadə etmir, Suricata isə normal ümumi təyinatlı kompüterlərdə 10 Gbit/s-ə qədər trafiki idarə edə bilir. İki sistem arasındakı oxşarlıqlar və fərqlər haqqında uzun müddət danışa bilərsiniz, lakin Suricata mühərriki daha sürətli işləsə də, çox geniş olmayan kanallar üçün bunun əhəmiyyəti yoxdur.
Yerləşdirmə variantları
IPS elə yerləşdirilməlidir ki, sistem onun nəzarəti altında olan şəbəkə seqmentlərinə nəzarət edə bilsin. Çox vaxt bu, xüsusi bir kompüterdir, bir interfeysi kənar cihazlardan sonra bağlanır və onlar vasitəsilə təhlükəsiz olmayan ictimai şəbəkələrə (İnternet) "baxır". Başqa bir IPS interfeysi qorunan seqmentin girişinə qoşulur ki, bütün trafik sistemdən keçsin və təhlil edilsin. Daha mürəkkəb hallarda bir neçə qorunan seqment ola bilər: məsələn, korporativ şəbəkələrdə tez-tez demilitarizasiya zonası (DMZ) İnternetdən əldə edilə bilən xidmətlərlə ayrılır.
Belə bir IPS port skanının və ya kobud güc hücumlarının, poçt serverində, veb serverdə və ya skriptlərdə zəifliklərin istismarının, eləcə də digər xarici hücumların qarşısını ala bilər. Əgər yerli şəbəkədəki kompüterlər zərərli proqramla yoluxmuşdursa, IDS onlara kənarda yerləşən botnet serverləri ilə əlaqə saxlamağa icazə verməyəcək. Daxili şəbəkənin daha ciddi mühafizəsi çox güman ki, portlardan birinə qoşulmuş IDS interfeysi üçün trafiki əks etdirə bilən paylanmış sistem və bahalı idarə olunan açarlarla mürəkkəb konfiqurasiya tələb edəcək.
Çox vaxt korporativ şəbəkələr paylanmış xidmətdən imtina (DDoS) hücumlarına məruz qalır. Müasir IDS-lər onlarla məşğul ola bilsə də, yuxarıdakı yerləşdirmə variantı burada çox az kömək edir. Sistem zərərli fəaliyyəti tanıyır və saxta trafiki bloklayır, lakin bunun üçün paketlər xarici İnternet bağlantısından keçməli və onun şəbəkə interfeysinə çatmalıdır. Hücumun intensivliyindən asılı olaraq məlumat ötürmə kanalı yükün öhdəsindən gələ bilməyəcək və hücum edənlərin məqsədinə nail olunacaq. Belə hallar üçün biz daha yaxşı internet bağlantısı olan virtual serverdə IDS-i yerləşdirməyi tövsiyə edirik. VPS-ni VPN vasitəsilə yerli şəbəkəyə qoşa bilərsiniz və sonra onun vasitəsilə bütün xarici trafikin marşrutunu konfiqurasiya etməlisiniz. Daha sonra, DDoS hücumu baş verərsə, paketləri provayderlə əlaqə vasitəsilə idarə etməli olmayacaqsınız, onlar xarici hostda bloklanacaqlar.
Seçim problemi
Pulsuz sistemlər arasında lider müəyyən etmək çox çətindir. IDS / IPS seçimi şəbəkə topologiyası, lazımi təhlükəsizlik xüsusiyyətləri, həmçinin administratorun şəxsi üstünlükləri və parametrlərlə məşğul olmaq istəyi ilə müəyyən edilir. Snort daha uzun tarixə malikdir və daha yaxşı sənədləşdirilmişdir, baxmayaraq ki, Suricata haqqında məlumatı onlayn tapmaq da asandır. İstənilən halda, sistemi mənimsəmək üçün müəyyən səylər göstərməli olacaqsınız ki, bu da nəticədə öz bəhrəsini verəcək - kommersiya aparatları və aparat-proqram təminatı IDS/IPS olduqca bahalıdır və həmişə büdcəyə uyğun gəlmir. Keçirdiyiniz vaxta görə peşman olmamalısınız, çünki yaxşı idarəçi həmişə işəgötürənin hesabına öz ixtisasını artırır. Bu vəziyyətdə hamı qalib gəlir. Növbəti məqalədə biz Suricata-nın yerləşdirilməsi üçün bəzi variantları nəzərdən keçirəcəyik və praktikada klassik IDS/IPS Snort ilə daha müasir sistemi müqayisə edəcəyik.
Mənbə: www.habr.com