Смъркане или Суриката. Част 1: Избор на безплатен IDS/IPS за защита на вашата корпоративна мрежа

Някога обикновена защитна стена и антивирусни програми бяха достатъчни за защита на локалната мрежа, но такъв набор вече не е достатъчно ефективен срещу атаките на съвременните хакери и злонамерения софтуер, който напоследък се разпространява. Добрата стара защитна стена анализира само заглавките на пакетите, като ги предава или блокира в съответствие с набор от формални правила. Той не знае нищо за съдържанието на пакетите и следователно не може да разпознае външно законните действия на нарушителите. Антивирусните програми не винаги улавят зловреден софтуер, така че администраторът е изправен пред задачата да наблюдава аномалната активност и да изолира заразените хостове своевременно.

Има много усъвършенствани инструменти, които ви позволяват да защитите ИТ инфраструктурата на компанията. Днес ще говорим за системи за откриване и предотвратяване на проникване с отворен код, които могат да бъдат внедрени без закупуване на скъпи хардуерни и софтуерни лицензи.

IDS/IPS класификация

IDS (система за откриване на проникване) е система, предназначена да регистрира подозрителни дейности в мрежа или на отделен компютър. Той поддържа дневници на събития и уведомява лицето, отговорно за информационната сигурност за тях. IDS включва следните елементи:

• сензори за преглед на мрежов трафик, различни логове и др. 
• подсистема за анализ, която открива признаци на вредни ефекти в получените данни;
• съхранение за натрупване на първични събития и резултати от анализи;
• конзола за управление.

Първоначално IDS бяха класифицирани по местоположение: те можеха да бъдат фокусирани върху защитата на отделни възли (хост-базирана или Host Intrusion Detection System - HIDS) или защита на цялата корпоративна мрежа (мрежова или мрежова система за откриване на проникване - NIDS). Заслужава да се спомене т.нар. APIDS (базирани на приложен протокол IDS): Те наблюдават ограничен набор от протоколи на приложния слой, за да открият конкретни атаки и не анализират дълбоко мрежовите пакети. Такива продукти обикновено наподобяват проксита и се използват за защита на специфични услуги: уеб сървър и уеб приложения (например написани на PHP), сървъри на бази данни и др. Типичен представител на този клас е mod_security за уеб сървъра Apache.

Ние сме по-заинтересовани от универсални NIDS, които поддържат широк набор от комуникационни протоколи и DPI (Deep Packet Inspection) технологии за анализ на пакети. Те наблюдават целия преминаващ трафик, като се започне от слоя на връзката за данни, и откриват широк спектър от мрежови атаки, както и неоторизиран достъп до информация. Често такива системи имат разпределена архитектура и могат да взаимодействат с различно активно мрежово оборудване. Имайте предвид, че много съвременни NIDS са хибридни и комбинират няколко подхода. В зависимост от конфигурацията и настройките, те могат да решават различни проблеми - например защита на един възел или цялата мрежа. В допълнение, функциите на IDS за работни станции бяха поети от антивирусни пакети, които поради разпространението на троянски коне, насочени към кражба на информация, се превърнаха в многофункционални защитни стени, които също решават задачите за разпознаване и блокиране на подозрителен трафик.

Първоначално IDS можеше да открива само злонамерен софтуер, скенери на портове или, да речем, потребителски нарушения на корпоративните политики за сигурност. Когато настъпи определено събитие, те уведомиха администратора, но бързо стана ясно, че просто разпознаването на атаката не е достатъчно - тя трябва да бъде блокирана. Така IDS се трансформира в IPS (Intrusion Prevention Systems) - системи за предотвратяване на проникване, които могат да взаимодействат със защитни стени.

Методи за откриване

Съвременните решения за откриване и предотвратяване на проникване използват различни методи за откриване на злонамерена дейност, които могат да бъдат разделени на три категории. Това ни дава друга възможност за класифициране на системи:

• IDS/IPS, базирани на сигнатура, търсят модели в трафика или наблюдават промените в състоянието на системата, за да открият мрежова атака или опит за заразяване. Те практически не дават пропуски и фалшиви положителни резултати, но не са в състояние да открият неизвестни заплахи;
• IDS за откриване на аномалии не използват сигнатури за атака. Те разпознават необичайно поведение на информационните системи (включително аномалии в мрежовия трафик) и могат да открият дори неизвестни атаки. Такива системи дават доста много фалшиви положителни резултати и, ако се използват неправилно, парализират работата на локалната мрежа;
• Базираните на правила IDS работят като: ако ФАКТ, тогава ДЕЙСТВИЕ. Всъщност това са експертни системи с бази от знания – набор от факти и правила за извод. Такива решения отнемат много време за настройка и изискват администраторът да има подробно разбиране за мрежата. 

История на развитието на IDS

Ерата на бързо развитие на интернет и корпоративните мрежи започна през 90-те години на миналия век, но експертите бяха озадачени от напредналите технологии за мрежова сигурност малко по-рано. През 1986 г. Дороти Денинг и Питър Нойман публикуват модела IDES (Intrusion detection expert system), който става основата на повечето съвременни системи за откриване на прониквания. Тя използва експертна система за идентифициране на известни атаки, както и статистически методи и потребителски/системни профили. IDES работи на работни станции на Sun, като проверява мрежовия трафик и данните от приложенията. През 1993 г. е пусната NIDES (Next-generation Intrusion Detection Expert System) - експертна система от ново поколение за откриване на прониквания.

Въз основа на работата на Денинг и Нойман, експертната система MIDAS (Multics за откриване и предупреждение за проникване) се появява през 1988 г., използвайки P-BEST и LISP. По същото време е създадена системата Haystack, базирана на статистически методи. Друг статистически детектор на аномалия, W&S (Wisdom & Sense), е разработен година по-късно в Националната лаборатория в Лос Аламос. Развитието на индустрията вървеше с бързи темпове. Например, през 1990 г. откриването на аномалии вече е внедрено в системата TIM (Time-based inductive machine) с помощта на индуктивно обучение на последователни потребителски модели (Common LISP language). NSM (Network Security Monitor) сравнява матриците за достъп за откриване на аномалии, а ISOA (Information Security Officer's Assistant) поддържа различни стратегии за откриване: статистически методи, проверка на профили и експертна система. Системата ComputerWatch, създадена в AT & T Bell Labs, използва както статистически методи, така и правила за проверка, а разработчиците от Калифорнийския университет получиха първия прототип на разпределен IDS през 1991 г. - DIDS (Разпределена система за откриване на проникване) също беше експерт система.

Първоначално IDS бяха собственост, но вече през 1998 г., Националната лаборатория. Лорънс в Бъркли пусна Bro (преименуван на Zeek през 2018 г.), система с отворен код, която използва свой собствен език за правила за анализиране на данни от libpcap. През ноември същата година се появи снифърът на пакети APE, използващ libpcap, който месец по-късно беше преименуван на Snort и по-късно стана пълноправен IDS / IPS. В същото време започнаха да се появяват множество патентовани решения.

Смъркане и Суриката

Много компании предпочитат безплатни IDS/IPS с отворен код. Дълго време вече споменатият Snort се смяташе за стандартно решение, но сега е заменен от системата Suricata. Разгледайте техните предимства и недостатъци малко по-подробно. Snort съчетава предимствата на сигнатурния метод с възможността за откриване на аномалии в реално време. Suricata позволява и други методи освен откриването на сигнатура на атака. Системата е създадена от група разработчици, които се отделят от проекта Snort и поддържа IPS функции от версия 1.4, докато предотвратяването на проникване се появи в Snort по-късно.

Основната разлика между двата популярни продукта е способността на Suricata да използва GPU за IDS изчисления, както и по-модерния IPS. Системата първоначално е проектирана за многопоточна работа, докато Snort е еднопоточен продукт. Поради дългата си история и наследен код, той не използва оптимално многопроцесорни/многоядрени хардуерни платформи, докато Suricata може да обработва трафик до 10 Gbps на нормални компютри с общо предназначение. Можете да говорите за приликите и разликите между двете системи дълго време, но въпреки че двигателят Suricata работи по-бързо, за не твърде широки канали това няма значение.

Опции за внедряване

IPS трябва да бъде поставен по такъв начин, че системата да може да наблюдава мрежовите сегменти под неин контрол. Най-често това е специален компютър, единият интерфейс на който се свързва след крайните устройства и „гледа“ през тях към незащитени обществени мрежи (Интернет). Друг IPS интерфейс е свързан към входа на защитения сегмент, така че целият трафик преминава през системата и се анализира. В по-сложни случаи може да има няколко защитени сегмента: например в корпоративни мрежи често се разпределя демилитаризирана зона (DMZ) с услуги, достъпни от Интернет.

Такъв IPS може да предотврати сканиране на портове или груби атаки, използване на уязвимости в пощенския сървър, уеб сървъра или скриптовете, както и други видове външни атаки. Ако компютрите в локалната мрежа са заразени със зловреден софтуер, IDS няма да им позволи да се свържат с ботнет сървърите, разположени извън нея. По-сериозната защита на вътрешната мрежа най-вероятно ще изисква сложна конфигурация с разпределена система и скъпи управлявани комутатори, способни да отразяват трафика за IDS интерфейс, свързан към един от портовете.

Често корпоративните мрежи са обект на разпределени атаки за отказ на услуга (DDoS). Въпреки че съвременните IDS могат да се справят с тях, опцията за внедряване по-горе е от малка помощ тук. Системата разпознава злонамерена активност и блокира фалшивия трафик, но за целта пакетите трябва да преминат през външна интернет връзка и да достигнат мрежовия й интерфейс. В зависимост от интензивността на атаката, каналът за предаване на данни може да не успее да се справи с натоварването и целта на нападателите ще бъде постигната. За такива случаи препоръчваме внедряването на IDS на виртуален сървър с известна по-добра интернет връзка. Можете да свържете VPS към локалната мрежа чрез VPN и след това ще трябва да конфигурирате маршрутизирането на целия външен трафик през него. След това, в случай на DDoS атака, няма да се налага да управлявате пакети през връзката към доставчика, те ще бъдат блокирани на външния хост.

Проблем на избора

Много е трудно да се определи лидер сред безплатните системи. Изборът на IDS/IPS се определя от топологията на мрежата, необходимите защитни функции, както и от личните предпочитания на администратора и желанието му да си човърка с настройките. Snort има по-дълга история и е по-добре документиран, въпреки че информацията за Suricata също е лесна за намиране онлайн. Във всеки случай, за да овладеете системата, ще трябва да положите известни усилия, които в крайна сметка ще се изплатят - търговският хардуер и хардуерно-софтуерният IDS / IPS са доста скъпи и не винаги се вписват в бюджета. Не бива да съжалявате за прекараното време, защото добрият администратор винаги повишава квалификацията си за сметка на работодателя. В тази ситуация всички печелят. В следващата статия ще разгледаме някои опции за внедряване на Suricata и ще сравним по-модерната система с класическия IDS/IPS Snort на практика.

Източник: www.habr.com