Snort ΠΈΠ»ΠΈ Suricata. Π§Π°ΡΡ‚ΡŒ 1: Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ Π±Π΅ΡΠΏΠ»Π°Ρ‚Π½ΡƒΡŽ IDS/IPS для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти

Когда-Ρ‚ΠΎ для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ локальной сСти Π±Ρ‹Π»ΠΎ достаточно ΠΎΠ±Ρ‹ΠΊΠ½ΠΎΠ²Π΅Π½Π½ΠΎΠ³ΠΎ мСТсСтСвого экрана ΠΈ антивирусных ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌ, Π½ΠΎ ΠΏΡ€ΠΎΡ‚ΠΈΠ² Π°Ρ‚Π°ΠΊ соврСмСнных Ρ…Π°ΠΊΠ΅Ρ€ΠΎΠ² ΠΈ Ρ€Π°ΡΠΏΠ»ΠΎΠ΄ΠΈΠ²ΡˆΠ΅ΠΉΡΡ Π² послСднСС врСмя ΠΌΠ°Π»Π²Π°Ρ€ΠΈ Ρ‚Π°ΠΊΠΎΠΉ Π½Π°Π±ΠΎΡ€ ΡƒΠΆΠ΅ нСдостаточно эффСктивСн. Π‘Ρ‚Π°Ρ€Ρ‹ΠΉ-Π΄ΠΎΠ±Ρ€Ρ‹ΠΉ firewall Π°Π½Π°Π»ΠΈΠ·ΠΈΡ€ΡƒΠ΅Ρ‚ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ Π·Π°Π³ΠΎΠ»ΠΎΠ²ΠΊΠΈ ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ², пропуская ΠΈΠ»ΠΈ блокируя ΠΈΡ… Π² соотвСтствии с Π½Π°Π±ΠΎΡ€ΠΎΠΌ Ρ„ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΏΡ€Π°Π²ΠΈΠ». О содСрТимом ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² ΠΎΠ½ Π½ΠΈΡ‡Π΅Π³ΠΎ Π½Π΅ Π·Π½Π°Π΅Ρ‚, Π° ΠΏΠΎΡ‚ΠΎΠΌΡƒ Π½Π΅ ΠΌΠΎΠΆΠ΅Ρ‚ Ρ€Π°ΡΠΏΠΎΠ·Π½Π°Ρ‚ΡŒ внСшнС Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹Π΅ дСйствия Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ². АнтивирусныС ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΡ‹ Π½Π΅ всСгда ΠΎΡ‚Π»Π°Π²Π»ΠΈΠ²Π°ΡŽΡ‚ врСдоносноС ПО, поэтому ΠΏΠ΅Ρ€Π΅Π΄ администратором встаСт Π·Π°Π΄Π°Ρ‡Π° отслСТивания аномальной активности ΠΈ своСврСмСнной изоляции Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½Ρ‹Ρ… хостов.

Snort ΠΈΠ»ΠΈ Suricata. Π§Π°ΡΡ‚ΡŒ 1: Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ Π±Π΅ΡΠΏΠ»Π°Ρ‚Π½ΡƒΡŽ IDS/IPS для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти

ΠŸΠΎΠ·Π²ΠΎΠ»ΡΡŽΡ‰ΠΈΡ… Π·Π°Ρ‰ΠΈΡ‚ΠΈΡ‚ΡŒ ИВ-инфраструктуру ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹Ρ… срСдств сущСствуСт мноТСство. БСгодня ΠΌΡ‹ ΠΏΠΎΠ³ΠΎΠ²ΠΎΡ€ΠΈΠΌ ΠΎ систСмах обнаруТСния ΠΈ прСдупрСТдСния Π²Ρ‚ΠΎΡ€ΠΆΠ΅Π½ΠΈΠΉ с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ, Π²Π½Π΅Π΄Ρ€ΠΈΡ‚ΡŒ ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠΆΠ½ΠΎ Π±Π΅Π· ΠΏΠΎΠΊΡƒΠΏΠΊΠΈ дорогостоящСго оборудования ΠΈ ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹Ρ… Π»ΠΈΡ†Π΅Π½Π·ΠΈΠΉ.

ΠšΠ»Π°ΡΡΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡ IDS/IPS

IDS (Intrusion Detection System) β€” прСдназначСнная для рСгистрации ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… дСйствий Π² сСти ΠΈΠ»ΠΈ Π½Π° ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½ΠΎΠΌ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π΅ систСма. Она Π²Π΅Π΄Π΅Ρ‚ ΠΆΡƒΡ€Π½Π°Π»Ρ‹ событий ΠΈ увСдомляСт ΠΎ Π½ΠΈΡ… отвСтствСнного Π·Π° ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½ΡƒΡŽ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ сотрудника. Π’ составС IDS ΠΌΠΎΠΆΠ½ΠΎ Π²Ρ‹Π΄Π΅Π»ΠΈΡ‚ΡŒ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰ΠΈΠ΅ элСмСнты:

  • сСнсоры для просмотра сСтСвого Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°, Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Ρ… ΠΆΡƒΡ€Π½Π°Π»ΠΎΠ² ΠΈ Ρ‚.ΠΏ.Β 
  • подсистСму Π°Π½Π°Π»ΠΈΠ·Π°, Π²Ρ‹ΡΠ²Π»ΡΡŽΡ‰ΡƒΡŽ Π² ΠΏΠΎΠ»ΡƒΡ‡Π΅Π½Π½Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ… ΠΏΡ€ΠΈΠ·Π½Π°ΠΊΠΈ врСдоносного воздСйствия;
  • Ρ…Ρ€Π°Π½ΠΈΠ»ΠΈΡ‰Π΅ для накоплСния ΠΏΠ΅Ρ€Π²ΠΈΡ‡Π½Ρ‹Ρ… событий ΠΈ Ρ€Π΅Π·ΡƒΠ»ΡŒΡ‚Π°Ρ‚ΠΎΠ² Π°Π½Π°Π»ΠΈΠ·Π°;
  • консоль управлСния.

Π˜Π·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ IDS ΠΊΠ»Π°ΡΡΠΈΡ„ΠΈΡ†ΠΈΡ€ΠΎΠ²Π°Π»ΠΈΡΡŒ ΠΏΠΎ мСсту располоТСния: ΠΎΠ½ΠΈ ΠΌΠΎΠ³Π»ΠΈ Π±Ρ‹Ρ‚ΡŒ ΠΎΡ€ΠΈΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½Ρ‹ Π½Π° Π·Π°Ρ‰ΠΈΡ‚Ρƒ ΠΎΡ‚Π΄Π΅Π»ΡŒΠ½Ρ‹Ρ… ΡƒΠ·Π»ΠΎΠ² (host-based ΠΈΠ»ΠΈ Host Intrusion Detection System β€” HIDS) ΠΈΠ»ΠΈ Π·Π°Ρ‰ΠΈΡ‰Π°Ρ‚ΡŒ всю ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΡƒΡŽ ΡΠ΅Ρ‚ΡŒ (network-based ΠΈΠ»ΠΈ Network Intrusion Detection System β€” NIDS). Π‘Ρ‚ΠΎΠΈΡ‚ ΡƒΠΏΠΎΠΌΡΠ½ΡƒΡ‚ΡŒ Ρ‚.Π½. APIDS (Application protocol-based IDS): ΠΎΠ½ΠΈ ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°ΡŽΡ‚ ΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½Π½Ρ‹ΠΉ Π½Π°Π±ΠΎΡ€ ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² ΠΏΡ€ΠΈΠΊΠ»Π°Π΄Π½ΠΎΠ³ΠΎ уровня для выявлСния спСцифичСских Π°Ρ‚Π°ΠΊ ΠΈ Π½Π΅ Π·Π°Π½ΠΈΠΌΠ°ΡŽΡ‚ΡΡ Π³Π»ΡƒΠ±ΠΎΠΊΠΈΠΌ Π°Π½Π°Π»ΠΈΠ·ΠΎΠΌ сСтСвых ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ². Π’Π°ΠΊΠΈΠ΅ ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Ρ‹ ΠΎΠ±Ρ‹Ρ‡Π½ΠΎ Π½Π°ΠΏΠΎΠΌΠΈΠ½Π°ΡŽΡ‚ прокси ΠΈ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ΡΡ для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΊΠΎΠ½ΠΊΡ€Π΅Ρ‚Π½Ρ‹Ρ… сСрвисов: Π²Π΅Π±-сСрвСра ΠΈ Π²Π΅Π±-ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, написанных Π½Π° PHP), сСрвСра Π±Π°Π· Π΄Π°Π½Π½Ρ‹Ρ… ΠΈ Ρ‚.Π΄. Π’ΠΈΠΏΠΈΡ‡Π½Ρ‹ΠΉ ΠΏΡ€Π΅Π΄ΡΡ‚Π°Π²ΠΈΡ‚Π΅Π»ΡŒ этого класса β€” mod_security для Π²Π΅Π±-сСрвСра Apache.

Нас большС ΠΈΠ½Ρ‚Π΅Ρ€Π΅ΡΡƒΡŽΡ‚ ΡƒΠ½ΠΈΠ²Π΅Ρ€ΡΠ°Π»ΡŒΠ½Ρ‹Π΅ NIDS, ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°ΡŽΡ‰ΠΈΠ΅ ΡˆΠΈΡ€ΠΎΠΊΠΈΠΉ Π½Π°Π±ΠΎΡ€ ΠΊΠΎΠΌΠΌΡƒΠ½ΠΈΠΊΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… ΠΏΡ€ΠΎΡ‚ΠΎΠΊΠΎΠ»ΠΎΠ² ΠΈ Ρ‚Π΅Ρ…Π½ΠΎΠ»ΠΎΠ³ΠΈΠΈ Π³Π»ΡƒΠ±ΠΎΠΊΠΎΠ³ΠΎ Π°Π½Π°Π»ΠΈΠ·Π° ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² DPI (Deep Packet Inspection). Они мониторят вСсь проходящий Ρ‚Ρ€Π°Ρ„ΠΈΠΊ, начиная Ρβ€―ΠΊΠ°Π½Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ уровня, ΠΈ Π²Ρ‹ΡΠ²Π»ΡΡŽΡ‚ ΡˆΠΈΡ€ΠΎΠΊΠΈΠΉ спСктр сСтСвых Π°Ρ‚Π°ΠΊ, Π° Ρ‚Π°ΠΊΠΆΠ΅ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ Π½Π΅Π°Π²Ρ‚ΠΎΡ€ΠΈΠ·ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ доступа ΠΊ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ. Часто Ρ‚Π°ΠΊΠΈΠ΅ систСмы ΠΎΡ‚Π»ΠΈΡ‡Π°ΡŽΡ‚ΡΡ распрСдСлСнной Π°Ρ€Ρ…ΠΈΡ‚Π΅ΠΊΡ‚ΡƒΡ€ΠΎΠΉ ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ с Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹ΠΌ Π°ΠΊΡ‚ΠΈΠ²Π½Ρ‹ΠΌ сСтСвым ΠΎΠ±ΠΎΡ€ΡƒΠ΄ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ. ΠžΡ‚ΠΌΠ΅Ρ‚ΠΈΠΌ, Ρ‡Ρ‚ΠΎ ΠΌΠ½ΠΎΠ³ΠΈΠ΅ соврСмСнныС NIDS ΡΠ²Π»ΡΡŽΡ‚ΡΡ Π³ΠΈΠ±Ρ€ΠΈΠ΄Π½Ρ‹ΠΌΠΈ ΠΈ ΠΎΠ±ΡŠΠ΅Π΄ΠΈΠ½ΡΡŽΡ‚ нСсколько ΠΏΠΎΠ΄Ρ…ΠΎΠ΄ΠΎΠ². Π’ зависимости ΠΎΡ‚ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ ΠΈ настроСк ΠΎΠ½ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ Ρ€Π΅ΡˆΠ°Ρ‚ΡŒ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ Π·Π°Π΄Π°Ρ‡ΠΈ β€” Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, Π·Π°Ρ‰ΠΈΡ‚Ρƒ ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΡƒΠ·Π»Π° ΠΈΠ»ΠΈ всСй сСти. К Ρ‚ΠΎΠΌΡƒ ΠΆΠ΅ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ IDS для Ρ€Π°Π±ΠΎΡ‡ΠΈΡ… станций взяли Π½Π° сСбя антивирусныС ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΈΠ·-Π·Π° распространСния Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½Π½Ρ‹Ρ… Π½Π° ΠΊΡ€Π°ΠΆΡƒ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ троянов ΠΏΡ€Π΅Π²Ρ€Π°Ρ‚ΠΈΠ»ΠΈΡΡŒ Π² ΠΌΠ½ΠΎΠ³ΠΎΡ„ΡƒΠ½ΠΊΡ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½Ρ‹Π΅ брандмауэры, Ρ€Π΅ΡˆΠ°ΡŽΡ‰ΠΈΠ΅ Π² Ρ‚ΠΎΠΌ числС Π·Π°Π΄Π°Ρ‡ΠΈ распознавания ΠΈ блокирования ΠΏΠΎΠ΄ΠΎΠ·Ρ€ΠΈΡ‚Π΅Π»ΡŒΠ½ΠΎΠ³ΠΎ Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°.

Π˜Π·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ IDS ΠΌΠΎΠ³Π»ΠΈ Ρ‚ΠΎΠ»ΡŒΠΊΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠΈΠ²Π°Ρ‚ΡŒ дСйствия врСдоносного ПО, Ρ€Π°Π±ΠΎΡ‚Ρƒ сканСров ΠΏΠΎΡ€Ρ‚ΠΎΠ², ΠΈΠ»ΠΈ, скаТСм, Π½Π°Ρ€ΡƒΡˆΠ΅Π½ΠΈΡ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»ΡΠΌΠΈ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹Ρ… ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊ бСзопасности. ΠŸΡ€ΠΈ наступлСнии ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½ΠΎΠ³ΠΎ события ΠΎΠ½ΠΈ увСдомляли администратора, Π½ΠΎ довольно быстро стало понятно, Ρ‡Ρ‚ΠΎ просто Ρ€Π°ΡΠΏΠΎΠ·Π½Π°Ρ‚ΡŒ Π°Ρ‚Π°ΠΊΡƒ нСдостаточно β€” Π΅Π΅ Π½ΡƒΠΆΠ½ΠΎ Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ. Π’Π°ΠΊ IDS Ρ‚Ρ€Π°Π½ΡΡ„ΠΎΡ€ΠΌΠΈΡ€ΠΎΠ²Π°Π»ΠΈΡΡŒ Π² IPS (Intrusion Prevention Systems) β€” систСмы прСдотвращСния Π²Ρ‚ΠΎΡ€ΠΆΠ΅Π½ΠΈΠΉ, способныС Π²Π·Π°ΠΈΠΌΠΎΠ΄Π΅ΠΉΡΡ‚Π²ΠΎΠ²Π°Ρ‚ΡŒ с сСтСвыми экранами.

ΠœΠ΅Ρ‚ΠΎΠ΄Ρ‹ обнаруТСния

Π‘ΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½Ρ‹Π΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ для обнаруТСния ΠΈ прСдотвращСния Π²Ρ‚ΠΎΡ€ΠΆΠ΅Π½ΠΈΠΉ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ ΠΌΠ΅Ρ‚ΠΎΠ΄ΠΎΠ² опрСдСлСния врСдоносной активности, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°Π·Π΄Π΅Π»ΠΈΡ‚ΡŒ Π½Π° Ρ‚Ρ€ΠΈ ΠΊΠ°Ρ‚Π΅Π³ΠΎΡ€ΠΈΠΈ. Π­Ρ‚ΠΎ Π΄Π°Π΅Ρ‚ Π½Π°ΠΌ Π΅Ρ‰Π΅ ΠΎΠ΄ΠΈΠ½ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ классификации систСм:

  • Π‘ΠΈΠ³Π½Π°Ρ‚ΡƒΡ€Π½Ρ‹Π΅ IDS/IPS Π²Ρ‹ΡΠ²Π»ΡΡŽΡ‚ Π² Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅ Π½Π΅ΠΊΠΈΠ΅ ΡˆΠ°Π±Π»ΠΎΠ½Ρ‹ ΠΈΠ»ΠΈ ΠΎΡ‚ΡΠ»Π΅ΠΆΠΈΠ²Π°ΡŽΡ‚ измСнСния состояния систСм для опрСдСлСния сСтСвой Π°Ρ‚Π°ΠΊΠΈ ΠΈΠ»ΠΈ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ зараТСния. Они практичСски Π½Π΅ Π΄Π°ΡŽΡ‚ осСчСк ΠΈ Π»ΠΎΠΆΠ½Ρ‹Ρ… срабатываний, Π½ΠΎ Π½Π΅ способны Π²Ρ‹ΡΠ²ΠΈΡ‚ΡŒ нСизвСстныС ΡƒΠ³Ρ€ΠΎΠ·Ρ‹;
  • Π’Ρ‹ΡΠ²Π»ΡΡŽΡ‰ΠΈΠ΅ Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΈ IDS Π½Π΅ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‚ сигнатуры Π°Ρ‚Π°ΠΊ. Они Ρ€Π°ΡΠΏΠΎΠ·Π½Π°ΡŽΡ‚ ΠΎΡ‚Π»ΠΈΡ‡Π°ΡŽΡ‰Π΅Π΅ΡΡ ΠΎΡ‚ Π½ΠΎΡ€ΠΌΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ ΠΏΠΎΠ²Π΅Π΄Π΅Π½ΠΈΠ΅ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΎΠ½Π½Ρ‹Ρ… систСм (Π²ΠΊΠ»ΡŽΡ‡Π°Ρ Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΈ Π² сСтСвом Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ΅) ΠΈ ΠΌΠΎΠ³ΡƒΡ‚ ΠΎΠΏΡ€Π΅Π΄Π΅Π»ΠΈΡ‚ΡŒ Π΄Π°ΠΆΠ΅ нСизвСстныС Π°Ρ‚Π°ΠΊΠΈ. Π’Π°ΠΊΠΈΠ΅ систСмы Π΄Π°ΡŽΡ‚ довольно ΠΌΠ½ΠΎΠ³ΠΎ Π»ΠΎΠΆΠ½Ρ‹Ρ… срабатываний ΠΈ ΠΏΡ€ΠΈ Π½Π΅Π³Ρ€Π°ΠΌΠΎΡ‚Π½ΠΎΠΌ использовании ΠΏΠ°Ρ€Π°Π»ΠΈΠ·ΡƒΡŽΡ‚ Ρ€Π°Π±ΠΎΡ‚Ρƒ локальной сСти;
  • ΠžΡΠ½ΠΎΠ²Π°Π½Π½Ρ‹Π΅ Π½Π° ΠΏΡ€Π°Π²ΠΈΠ»Π°Ρ… IDS Ρ€Π°Π±ΠΎΡ‚Π°ΡŽΡ‚ ΠΏΠΎ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΡƒ: if ЀАКВ then Π”Π•Π™Π‘Π’Π’Π˜Π•. По сути Π΄Π΅Π»Π° это экспСртныС систСмы с Π±Π°Π·Π°ΠΌΠΈ Π·Π½Π°Π½ΠΈΠΉ β€” ΡΠΎΠ²ΠΎΠΊΡƒΠΏΠ½ΠΎΡΡ‚ΡŒΡŽ Ρ„Π°ΠΊΡ‚ΠΎΠ² ΠΈ ΠΏΡ€Π°Π²ΠΈΠ» логичСского Π²Ρ‹Π²ΠΎΠ΄Π°. Π’Π°ΠΊΠΈΠ΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ Ρ‚Ρ€ΡƒΠ΄ΠΎΠ΅ΠΌΠΊΠΈ Π² настройкС ΠΈ Ρ‚Ρ€Π΅Π±ΡƒΡŽΡ‚ ΠΎΡ‚ администратора Π΄Π΅Ρ‚Π°Π»ΡŒΠ½ΠΎΠ³ΠΎ понимания Ρ€Π°Π±ΠΎΡ‚Ρ‹ сСти.Β 

Π˜ΡΡ‚ΠΎΡ€ΠΈΡ развития IDS

Π­ΠΏΠΎΡ…Π° Π±ΡƒΡ€Π½ΠΎΠ³ΠΎ развития Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π° ΠΈ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹Ρ… сСтСй Π½Π°Ρ‡Π°Π»Π°ΡΡŒ Π² 90-Π΅ Π³ΠΎΠ΄Ρ‹ ΠΏΡ€ΠΎΡˆΠ»ΠΎΠ³ΠΎ Π²Π΅ΠΊΠ°, ΠΎΠ΄Π½Π°ΠΊΠΎ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚Ρ‹ΠΌΠΈ тСхнологиями сСтСвой бСзопасности спСциалисты ΠΎΠ·Π°Π΄Π°Ρ‡ΠΈΠ»ΠΈΡΡŒ Ρ‡ΡƒΡ‚ΡŒ Ρ€Π°Π½ΡŒΡˆΠ΅. Π’ 1986 Π³ΠΎΠ΄Ρƒ Π”ΠΎΡ€ΠΎΡ‚ΠΈ Π”Π΅Π½Π½ΠΈΠ½Π³ ΠΈ ΠŸΠΈΡ‚Π΅Ρ€ НСйман ΠΎΠΏΡƒΠ±Π»ΠΈΠΊΠΎΠ²Π°Π»ΠΈ модСль IDES (Intrusion detection expert system), ΡΡ‚Π°Π²ΡˆΡƒΡŽ основой Π±ΠΎΠ»ΡŒΡˆΠΈΠ½ΡΡ‚Π²Π° соврСмСнных систСм обнаруТСния Π²Ρ‚ΠΎΡ€ΠΆΠ΅Π½ΠΈΠΉ. Она использовала ΡΠΊΡΠΏΠ΅Ρ€Ρ‚Π½ΡƒΡŽ систСму для опрСдСлСния извСстных Π²ΠΈΠ΄ΠΎΠ² Π°Ρ‚Π°ΠΊ, Π° Ρ‚Π°ΠΊΠΆΠ΅ статистичСскиС ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ ΠΈ ΠΏΡ€ΠΎΡ„ΠΈΠ»ΠΈ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ/систСм. IDES Π·Π°ΠΏΡƒΡΠΊΠ°Π»Π°ΡΡŒ Π½Π° Ρ€Π°Π±ΠΎΡ‡ΠΈΡ… станциях Sun, провСряя сСтСвой Ρ‚Ρ€Π°Ρ„ΠΈΠΊ ΠΈ Π΄Π°Π½Π½Ρ‹Π΅ ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ. Π’ 1993 Π³ΠΎΠ΄Ρƒ Π²Ρ‹ΡˆΠ»Π° NIDES (Next-generation Intrusion Detection Expert System) β€” экспСртная систСма обнаруТСния Π²Ρ‚ΠΎΡ€ΠΆΠ΅Π½ΠΈΠΉ Π½ΠΎΠ²ΠΎΠ³ΠΎ поколСния.

На основС Ρ€Π°Π±ΠΎΡ‚ Π”Π΅Π½Π½ΠΈΠ½Π³Π° ΠΈ НСймана Π² 1988 Π³ΠΎΠ΄Ρƒ появилась экспСртная систСма MIDAS (Multics intrusion detection and alerting system), ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰Π°Ρ P-BEST ΠΈ LISP. Π’ΠΎΠ³Π΄Π° ΠΆΠ΅ Π±Ρ‹Π»Π° создана основанная Π½Π° статистичСских ΠΌΠ΅Ρ‚ΠΎΠ΄Π°Ρ… систСма Haystack. Π•Ρ‰Π΅ ΠΎΠ΄ΠΈΠ½ статистичСский Π΄Π΅Ρ‚Π΅ΠΊΡ‚ΠΎΡ€ Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΉ W&S (Wisdom & Sense) Π³ΠΎΠ΄ΠΎΠΌ ΠΏΠΎΠ·ΠΆΠ΅ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Π°Π»ΠΈ Π² Лос-Аламосской ΠΠ°Ρ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½ΠΎΠΉ Π»Π°Π±ΠΎΡ€Π°Ρ‚ΠΎΡ€ΠΈΠΈ. Π Π°Π·Π²ΠΈΡ‚ΠΈΠ΅ отрасли шло быстрыми Ρ‚Π΅ΠΌΠΏΠ°ΠΌΠΈ. К ΠΏΡ€ΠΈΠΌΠ΅Ρ€Ρƒ, Π² 1990 Π³ΠΎΠ΄Ρƒ Π² систСмС TIM (Time-based inductive machine) ΡƒΠΆΠ΅ Π±Ρ‹Π»ΠΎ Ρ€Π΅Π°Π»ΠΈΠ·ΠΎΠ²Π°Π½ΠΎ ΠΎΠ±Π½Π°Ρ€ΡƒΠΆΠ΅Π½ΠΈΠ΅ Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΉ с использованиСм ΠΈΠ½Π΄ΡƒΠΊΡ‚ΠΈΠ²Π½ΠΎΠ³ΠΎ обучСния Π½Π° ΠΏΠΎΡΠ»Π΅Π΄ΠΎΠ²Π°Ρ‚Π΅Π»ΡŒΠ½Ρ‹Ρ… ΠΏΠ°Ρ‚Ρ‚Π΅Ρ€Π½Π°Ρ… ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ (язык Common LISP). NSM (Network Security Monitor) для обнаруТСния Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΉ сравнивал ΠΌΠ°Ρ‚Ρ€ΠΈΡ†Ρ‹ доступа, Π° ISOA (Information Security Officer’s Assistant) ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π» Ρ€Π°Π·Π»ΠΈΡ‡Π½Ρ‹Π΅ стратСгии обнаруТСния: статистичСскиС ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹, ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΡƒ профиля ΠΈ ΡΠΊΡΠΏΠ΅Ρ€Ρ‚Π½ΡƒΡŽ систСму. Бозданная Π² AT&T Bell Labs систСма ComputerWatch использовала для ΠΏΡ€ΠΎΠ²Π΅Ρ€ΠΊΠΈ ΠΈ статистичСскиС ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ ΠΈ ΠΏΡ€Π°Π²ΠΈΠ»Π°, Π° ΠΏΠ΅Ρ€Π²Ρ‹ΠΉ ΠΏΡ€ΠΎΡ‚ΠΎΡ‚ΠΈΠΏ распрСдСлСнной IDS Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΈ УнивСрситСта ΠšΠ°Π»ΠΈΡ„ΠΎΡ€Π½ΠΈΠΈ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΠ»ΠΈ Π΅Ρ‰Π΅ Π² 1991 Π³ΠΎΠ΄Ρƒ β€” DIDS (Distributed intrusion detection system) ΠΏΠΎ ΡΠΎΠ²ΠΌΠ΅ΡΡ‚ΠΈΡ‚Π΅Π»ΡŒΡΡ‚Π²Ρƒ являлась ΠΈ экспСртной систСмой.

ΠŸΠΎΠ½Π°Ρ‡Π°Π»Ρƒ IDS Π±Ρ‹Π»ΠΈ ΠΏΡ€ΠΎΠΏΡ€ΠΈΠ΅Ρ‚Π°Ρ€Π½Ρ‹ΠΌΠΈ, Π½ΠΎ ΡƒΠΆΠ΅ Π² 1998 Π³ΠΎΠ΄Ρƒ ΠΠ°Ρ†ΠΈΠΎΠ½Π°Π»ΡŒΠ½Π°Ρ лаборатория ΠΈΠΌ. ЛоурСнса Π² Π‘Π΅Ρ€ΠΊΠ»ΠΈ выпустила Bro (Π² 2018 Π³ΠΎΠ΄Ρƒ ΠΎΠ½Π° Π±Ρ‹Π»Π° ΠΏΠ΅Ρ€Π΅ΠΈΠΌΠ΅Π½ΠΎΠ²Π°Π½Π° Π² Zeek) β€” систСму с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ, ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΡƒΡŽ собствСнный язык ΠΏΡ€Π°Π²ΠΈΠ» для Π°Π½Π°Π»ΠΈΠ·Π° Π΄Π°Π½Π½Ρ‹Ρ… libpcap. Π’ ноябрС Ρ‚ΠΎΠ³ΠΎ ΠΆΠ΅ Π³ΠΎΠ΄Π° появился ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΡŽΡ‰ΠΈΠΉ libpcap сниффСр ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² APE, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹ΠΉ Ρ‡Π΅Ρ€Π΅Π· мСсяц Π±Ρ‹Π» ΠΏΠ΅Ρ€Π΅ΠΈΠΌΠ΅Π½ΠΎΠ²Π°Π½ Π² Snort, Π° ΠΏΠΎΠ·Π΄Π½Π΅Π΅ стал ΠΏΠΎΠ»Π½ΠΎΡ†Π΅Π½Π½ΠΎΠΉ IDS/IPS. Π’ΠΎΠ³Π΄Π° ΠΆΠ΅ Π½Π°Ρ‡Π°Π»ΠΈ ΠΏΠΎΡΠ²Π»ΡΡ‚ΡŒΡΡ ΠΈ многочислСнныС ΠΏΡ€ΠΎΠΏΡ€ΠΈΠ΅Ρ‚Π°Ρ€Π½Ρ‹Π΅ Ρ€Π΅ΡˆΠ΅Π½ΠΈΡ.

Snort ΠΈ Suricata

Π’ΠΎ ΠΌΠ½ΠΎΠ³ΠΈΡ… компаниях ΠΎΡ‚Π΄Π°ΡŽΡ‚ ΠΏΡ€Π΅Π΄ΠΏΠΎΡ‡Ρ‚Π΅Π½ΠΈΠ΅ бСсплатным IDS/IPS с ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹ΠΌ исходным ΠΊΠΎΠ΄ΠΎΠΌ. Π”ΠΎΠ»Π³ΠΎΠ΅ врСмя стандартным Ρ€Π΅ΡˆΠ΅Π½ΠΈΠ΅ΠΌ ΡΡ‡ΠΈΡ‚Π°Π»Π°ΡΡŒ ΡƒΠΆΠ΅ упомянутая Π½Π°ΠΌΠΈ Snort, Π½ΠΎ сСйчас Π΅Π΅ потСснила систСма Suricata. Рассмотрим ΠΈΡ… прСимущСства ΠΈ нСдостатки Ρ‡ΡƒΡ‚ΡŒ ΠΏΠΎΠ΄Ρ€ΠΎΠ±Π½Π΅Π΅. Snort ΠΊΠΎΠΌΠ±ΠΈΠ½ΠΈΡ€ΡƒΠ΅Ρ‚ прСимущСства сигнатурного ΠΌΠ΅Ρ‚ΠΎΠ΄Π° с Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒΡŽ обнаруТСния Π°Π½ΠΎΠΌΠ°Π»ΠΈΠΉ Π² Ρ€Π΅Π°Π»ΡŒΠ½ΠΎΠΌ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ. Suricata Ρ‚Π°ΠΊΠΆΠ΅ позволяСт ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚ΡŒ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ ΠΌΠ΅Ρ‚ΠΎΠ΄Ρ‹ ΠΏΠΎΠΌΠΈΠΌΠΎ распознавания Π°Ρ‚Π°ΠΊ ΠΏΠΎ сигнатурам. БистСма Π±Ρ‹Π»Π° создана ΠΎΡ‚Π΄Π΅Π»ΠΈΠ²ΡˆΠ΅ΠΉΡΡ ΠΎΡ‚ ΠΏΡ€ΠΎΠ΅ΠΊΡ‚Π° Snort Π³Ρ€ΡƒΠΏΠΏΠΎΠΉ Ρ€Π°Π·Ρ€Π°Π±ΠΎΡ‚Ρ‡ΠΈΠΊΠΎΠ² ΠΈ ΠΏΠΎΠ΄Π΄Π΅Ρ€ΠΆΠΈΠ²Π°Π΅Ρ‚ Ρ„ΡƒΠ½ΠΊΡ†ΠΈΠΈ IPS, начиная с вСрсии 1.4, Π° Π² Snort Π²ΠΎΠ·ΠΌΠΎΠΆΠ½ΠΎΡΡ‚ΡŒ прСдотвращСния Π²Ρ‚ΠΎΡ€ΠΆΠ΅Π½ΠΈΠΉ появилась ΠΏΠΎΠ·Π΄Π½Π΅Π΅.

ОсновноС Ρ€Π°Π·Π»ΠΈΡ‡ΠΈΠ΅ ΠΌΠ΅ΠΆΠ΄Ρƒ двумя популярными ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚Π°ΠΌΠΈ Π·Π°ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π² Π½Π°Π»ΠΈΡ‡ΠΈΠΈ Ρƒ Suricata возмоТности использования GPU для вычислСний Π² Ρ€Π΅ΠΆΠΈΠΌΠ΅ IDS, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π² Π±ΠΎΠ»Π΅Π΅ ΠΏΡ€ΠΎΠ΄Π²ΠΈΠ½ΡƒΡ‚ΠΎΠΉ IPS. БистСма ΠΈΠ·Π½Π°Ρ‡Π°Π»ΡŒΠ½ΠΎ рассчитана Π½Π° ΠΌΠ½ΠΎΠ³ΠΎΠΏΠΎΡ‚ΠΎΡ‡Π½ΠΎΡΡ‚ΡŒ, Π² Ρ‚ΠΎ врСмя ΠΊΠ°ΠΊ Snort β€” ΠΏΡ€ΠΎΠ΄ΡƒΠΊΡ‚ ΠΎΠ΄Π½ΠΎΠΏΠΎΡ‚ΠΎΡ‡Π½Ρ‹ΠΉ. Из-Π·Π° своСй Π΄Π°Π²Π½Π΅ΠΉ истории ΠΈ унаслСдованного ΠΊΠΎΠ΄Π° ΠΎΠ½ Π½Π΅ ΠΎΠΏΡ‚ΠΈΠΌΠ°Π»ΡŒΠ½ΠΎ ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠ΅Ρ‚ многопроцСссорныС/многоядСрныС Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½Ρ‹Π΅ ΠΏΠ»Π°Ρ‚Ρ„ΠΎΡ€ΠΌΡ‹, Ρ‚ΠΎΠ³Π΄Π° ΠΊΠ°ΠΊ Suricata Π½Π° ΠΎΠ±Ρ‹Ρ‡Π½Ρ‹Ρ… ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Π°Ρ… ΠΎΠ±Ρ‰Π΅Π³ΠΎ назначСния позволяСт ΠΎΠ±Ρ€Π°Π±Π°Ρ‚Ρ‹Π²Π°Ρ‚ΡŒ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ Π΄ΠΎ 10 Π“Π±ΠΈΡ‚/сСк. О сходствах ΠΈ различиях Π΄Π²ΡƒΡ… систСм ΠΌΠΎΠΆΠ½ΠΎ Ρ€Π°ΡΡΡƒΠΆΠ΄Π°Ρ‚ΡŒ Π΄ΠΎΠ»Π³ΠΎ, Π½ΠΎ хотя Π΄Π²ΠΈΠΆΠΎΠΊ Suricata ΠΈ Ρ€Π°Π±ΠΎΡ‚Π°Π΅Ρ‚ быстрСС, для Π½Π΅ слишком ΡˆΠΈΡ€ΠΎΠΊΠΈΡ… ΠΊΠ°Π½Π°Π»ΠΎΠ² это Π½Π΅ ΠΈΠΌΠ΅Π΅Ρ‚ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΠΈΠ°Π»ΡŒΠ½ΠΎΠ³ΠΎ значСния.

Π’Π°Ρ€ΠΈΠ°Π½Ρ‚Ρ‹ развСртывания

IPS Π½Π΅ΠΎΠ±Ρ…ΠΎΠ΄ΠΈΠΌΠΎ Ρ€Π°Π·ΠΌΠ΅ΡΡ‚ΠΈΡ‚ΡŒ Ρ‚Π°ΠΊΠΈΠΌ ΠΎΠ±Ρ€Π°Π·ΠΎΠΌ, Ρ‡Ρ‚ΠΎΠ±Ρ‹ систСма ΠΌΠΎΠ³Π»Π° Π½Π°Π±Π»ΡŽΠ΄Π°Ρ‚ΡŒ Π·Π° ΠΏΠΎΠ΄ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒΠ½Ρ‹ΠΌΠΈ Π΅ΠΉ сСгмСнтами сСти. Π§Π°Ρ‰Π΅ всСго это Π²Ρ‹Π΄Π΅Π»Π΅Π½Π½Ρ‹ΠΉ ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€, ΠΎΠ΄ΠΈΠ½ интСрфСйс ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠ³ΠΎ ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ послС ΠΏΠΎΠ³Ρ€Π°Π½ΠΈΡ‡Π½Ρ‹Ρ… устройств ΠΈ «смотрит» Ρ‡Π΅Ρ€Π΅Π· Π½ΠΈΡ… Π² Π½Π΅Π·Π°Ρ‰ΠΈΡ‰Π΅Π½Π½Ρ‹Π΅ сСти ΠΎΠ±Ρ‰Π΅Π³ΠΎ пользования (Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚). Π”Ρ€ΡƒΠ³ΠΎΠΉ интСрфСйс IPS ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅Ρ‚ΡΡ Π½Π° Π²Ρ…ΠΎΠ΄ Π·Π°Ρ‰ΠΈΡ‰Π°Π΅ΠΌΠΎΠ³ΠΎ сСгмСнта, Ρ‡Ρ‚ΠΎΠ±Ρ‹ вСсь Ρ‚Ρ€Π°Ρ„ΠΈΠΊ ΠΏΡ€ΠΎΡ…ΠΎΠ΄ΠΈΠ» Ρ‡Π΅Ρ€Π΅Π· систСму ΠΈ анализировался. Π’ Π±ΠΎΠ»Π΅Π΅ слоТных случаях Π·Π°Ρ‰ΠΈΡ‰Π°Π΅ΠΌΡ‹Ρ… сСгмСнтов ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ нСсколько: скаТСм, Π² ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹Ρ… сСтях часто Π²Ρ‹Π΄Π΅Π»ΡΡŽΡ‚ Π΄Π΅ΠΌΠΈΠ»ΠΈΡ‚Π°Ρ€ΠΈΠ·ΠΎΠ²Π°Π½Π½ΡƒΡŽ Π·ΠΎΠ½Ρƒ (DMZ) с доступными ΠΈΠ· Π˜Π½Ρ‚Π΅Ρ€Π½Π΅Ρ‚Π° сСрвисами.

Snort ΠΈΠ»ΠΈ Suricata. Π§Π°ΡΡ‚ΡŒ 1: Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ Π±Π΅ΡΠΏΠ»Π°Ρ‚Π½ΡƒΡŽ IDS/IPS для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти

Вакая IPS ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€Π΅Π΄ΠΎΡ‚Π²Ρ€Π°Ρ‰Π°Ρ‚ΡŒ ΠΏΠΎΠΏΡ‹Ρ‚ΠΊΠΈ сканирования ΠΏΠΎΡ€Ρ‚ΠΎΠ² ΠΈΠ»ΠΈ Π²Π·Π»ΠΎΠΌΠ° с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ ΠΏΠ΅Ρ€Π΅Π±ΠΎΡ€Π° ΠΏΠ°Ρ€ΠΎΠ»Π΅ΠΉ, ΡΠΊΡΠΏΠ»ΡƒΠ°Ρ‚Π°Ρ†ΠΈΡŽ уязвимостСй Π² ΠΏΠΎΡ‡Ρ‚ΠΎΠ²ΠΎΠΌ сСрвСрС, Π²Π΅Π±-сСрвСрС ΠΈΠ»ΠΈ Π² скриптах, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ разновидности Π²Π½Π΅ΡˆΠ½ΠΈΡ… Π°Ρ‚Π°ΠΊ. Π’ случаС, Ссли ΠΊΠΎΠΌΠΏΡŒΡŽΡ‚Π΅Ρ€Ρ‹ локальной сСти Π±ΡƒΠ΄ΡƒΡ‚ Π·Π°Ρ€Π°ΠΆΠ΅Π½Ρ‹ врСдоносным ПО, IDS Π½Π΅ ΠΏΠΎΠ·Π²ΠΎΠ»ΠΈΡ‚ ΠΈΠΌ ΡΠ²ΡΠ·Π°Ρ‚ΡŒΡΡ с располоТСнными снаруТи сСрвСрами Π±ΠΎΡ‚Π½Π΅Ρ‚Π°. Для Π±ΠΎΠ»Π΅Π΅ ΡΠ΅Ρ€ΡŒΠ΅Π·Π½ΠΎΠΉ Π·Π°Ρ‰ΠΈΡ‚Ρ‹ Π²Π½ΡƒΡ‚Ρ€Π΅Π½Π½Π΅ΠΉ сСти скорСС всСго потрСбуСтс слоТная конфигурация с распрСдСлСнной систСмой ΠΈ Π½Π΅Π΄Π΅ΡˆΠ΅Π²Ρ‹ΠΌΠΈ управляСмыми ΠΊΠΎΠΌΠΌΡƒΡ‚Π°Ρ‚ΠΎΡ€Π°ΠΌΠΈ, способными Π·Π΅Ρ€ΠΊΠ°Π»ΠΈΡ€ΠΎΠ²Π°Ρ‚ΡŒ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ для ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½Π½ΠΎΠ³ΠΎ ΠΊ ΠΎΠ΄Π½ΠΎΠΌΡƒ ΠΈΠ· ΠΏΠΎΡ€Ρ‚ΠΎΠ² интСрфСйса IDS.

Часто ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½Ρ‹Π΅ сСти ΠΏΠΎΠ΄Π²Π΅Ρ€Π³Π°ΡŽΡ‚ΡΡ распрСдСлСнным Π°Ρ‚Π°ΠΊΠ°ΠΌ, Π½Π°ΠΏΡ€Π°Π²Π»Π΅Π½Π½Ρ‹ΠΌ Π½Π° ΠΎΡ‚ΠΊΠ°Π· Π² обслуТивании (DDoS). Π₯отя соврСмСнныС IDS ΡƒΠΌΠ΅ΡŽΡ‚ с Π½ΠΈΠΌΠΈ Π±ΠΎΡ€ΠΎΡ‚ΡŒΡΡ, ΠΏΡ€ΠΈΠ²Π΅Π΄Π΅Π½Π½Ρ‹ΠΉ Π²Ρ‹ΡˆΠ΅ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚ развСртывания здСсь Π΅Π΄Π²Π° Π»ΠΈ ΠΏΠΎΠΌΠΎΠΆΠ΅Ρ‚. БистСма распознаСт Π²Ρ€Π΅Π΄ΠΎΠ½ΠΎΡΠ½ΡƒΡŽ Π°ΠΊΡ‚ΠΈΠ²Π½ΠΎΡΡ‚ΡŒ ΠΈ Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΡƒΠ΅Ρ‚ ΠΏΠ°Ρ€Π°Π·ΠΈΡ‚Π½Ρ‹ΠΉ Ρ‚Ρ€Π°Ρ„ΠΈΠΊ, Π½ΠΎ для этого ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ Π΄ΠΎΠ»ΠΆΠ½Ρ‹ ΠΏΡ€ΠΎΠΉΡ‚ΠΈ Ρ‡Π΅Ρ€Π΅Π· внСшнСС ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΈ ΠΏΠΎΠΏΠ°ΡΡ‚ΡŒ Π½Π° Π΅Π΅ сСтСвой интСрфСйс. Π’ зависимости ΠΎΡ‚ интСнсивности Π°Ρ‚Π°ΠΊΠΈ, ΠΊΠ°Π½Π°Π» ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ Π΄Π°Π½Π½Ρ‹Ρ… ΠΌΠΎΠΆΠ΅Ρ‚ Π½Π΅ ΡΠΏΡ€Π°Π²ΠΈΡ‚ΡŒΡΡ с Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΎΠΉ ΠΈ Ρ†Π΅Π»ΡŒ Π·Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊΠΎΠ² Π±ΡƒΠ΄Π΅Ρ‚ достигнута. Для Ρ‚Π°ΠΊΠΈΡ… случаСв ΠΌΡ‹ Ρ€Π΅ΠΊΠΎΠΌΠ΅Π½Π΄ΡƒΠ΅ΠΌ Ρ€Π°Π·Π²ΠΎΡ€Π°Ρ‡ΠΈΠ²Π°Ρ‚ΡŒ IDS Π½Π° Π²ΠΈΡ€Ρ‚ΡƒΠ°Π»ΡŒΠ½ΠΎΠΌ сСрвСрС с Π·Π°Π²Π΅Π΄ΠΎΠΌΠΎ Π±ΠΎΠ»Π΅Π΅ ΠΏΡ€ΠΎΠΈΠ·Π²ΠΎΠ΄ΠΈΡ‚Π΅Π»ΡŒΠ½Ρ‹ΠΌ ΠΈΠ½Ρ‚Π΅Ρ€Π½Π΅Ρ‚-соСдинСниСм. ΠŸΠΎΠ΄ΠΊΠ»ΡŽΡ‡ΠΈΡ‚ΡŒ VPS ΠΊ локальной сСти ΠΌΠΎΠΆΠ½ΠΎ Ρ‡Π΅Ρ€Π΅Π· VPN, Π° Π·Π°Ρ‚Π΅ΠΌ потрСбуСтся Π½Π°ΡΡ‚Ρ€ΠΎΠΈΡ‚ΡŒ Ρ‡Π΅Ρ€Π΅Π· Π½Π΅Π³ΠΎ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ†ΠΈΡŽ всСго внСшнСго Ρ‚Ρ€Π°Ρ„ΠΈΠΊΠ°. Π’ΠΎΠ³Π΄Π° Π² случаС DDoS-Π°Ρ‚Π°ΠΊΠΈ Π½Π΅ придСтся Π³ΠΎΠ½ΡΡ‚ΡŒ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ Ρ‡Π΅Ρ€Π΅Π· ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠ΅ ΠΊ ΠΏΡ€ΠΎΠ²Π°ΠΉΠ΄Π΅Ρ€Ρƒ, ΠΎΠ½ΠΈ Π±ΡƒΠ΄ΡƒΡ‚ Π·Π°Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²Π°Π½Ρ‹ Π½Π° внСшнСм ΡƒΠ·Π»Π΅.

Snort ΠΈΠ»ΠΈ Suricata. Π§Π°ΡΡ‚ΡŒ 1: Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ Π±Π΅ΡΠΏΠ»Π°Ρ‚Π½ΡƒΡŽ IDS/IPS для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти

ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ° Π²Ρ‹Π±ΠΎΡ€Π°

Π’Ρ‹ΡΠ²ΠΈΡ‚ΡŒ Π»ΠΈΠ΄Π΅Ρ€Π° срСди бСсплатных систСм ΠΎΡ‡Π΅Π½ΡŒ слоТно. Π’Ρ‹Π±ΠΎΡ€ IDS/IPS опрСдСляСтся Ρ‚ΠΎΠΏΠΎΠ»ΠΎΠ³ΠΈΠ΅ΠΉ сСти, Π½ΡƒΠΆΠ½Ρ‹ΠΌΠΈ функциями Π·Π°Ρ‰ΠΈΡ‚Ρ‹, Π° Ρ‚Π°ΠΊΠΆΠ΅ Π»ΠΈΡ‡Π½Ρ‹ΠΌΠΈ прСдпочтСниями Π°Π΄ΠΌΠΈΠ½Π° ΠΈ Π΅Π³ΠΎ ΠΆΠ΅Π»Π°Π½ΠΈΠ΅ΠΌ Π²ΠΎΠ·ΠΈΡ‚ΡŒΡΡ с настройками. Snort ΠΈΠΌΠ΅Π΅Ρ‚ Π±ΠΎΠ»Π΅Π΅ давнюю ΠΈΡΡ‚ΠΎΡ€ΠΈΡŽ ΠΈ Π»ΡƒΡ‡ΡˆΠ΅ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚ΠΈΡ€ΠΎΠ²Π°Π½, хотя ΠΈ ΠΏΠΎ Suricata ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ Ρ‚Π°ΠΊΠΆΠ΅ Π½Π΅Ρ‚Ρ€ΡƒΠ΄Π½ΠΎ Π½Π°ΠΉΡ‚ΠΈ Π² сСти. Π’ любом случаС для освоСния систСмы придСтся ΠΏΡ€ΠΈΠ»ΠΎΠΆΠΈΡ‚ΡŒ ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹Π΅ усилия, ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π² ΠΈΡ‚ΠΎΠ³Π΅ окупятся β€” коммСрчСскиС Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½Ρ‹Π΅ ΠΈ Π°ΠΏΠΏΠ°Ρ€Π°Ρ‚Π½ΠΎ-ΠΏΡ€ΠΎΠ³Ρ€Π°ΠΌΠΌΠ½Ρ‹Π΅ IDS/IPS стоят достаточно Π΄ΠΎΡ€ΠΎΠ³ΠΎ ΠΈ Π½Π΅ всСгда ΠΏΠΎΠΌΠ΅Ρ‰Π°ΡŽΡ‚ΡΡ Π² Π±ΡŽΠ΄ΠΆΠ΅Ρ‚. Π–Π°Π»Π΅Ρ‚ΡŒ ΠΎ ΠΏΠΎΡ‚Ρ€Π°Ρ‡Π΅Π½Π½ΠΎΠΌ Π²Ρ€Π΅ΠΌΠ΅Π½ΠΈ Π½Π΅ стоит, ΠΏΠΎΡ‚ΠΎΠΌΡƒ Ρ‡Ρ‚ΠΎ Ρ…ΠΎΡ€ΠΎΡˆΠΈΠΉ Π°Π΄ΠΌΠΈΠ½ всСгда ΠΏΠΎΠ²Ρ‹ΡˆΠ°Π΅Ρ‚ ΠΊΠ²Π°Π»ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ Π·Π° счСт работодатСля. Π’ этой ситуации всС ΠΎΡΡ‚Π°ΡŽΡ‚ΡΡ Π² Π²Ρ‹ΠΈΠ³Ρ€Ρ‹ΡˆΠ΅. Π’ ΡΠ»Π΅Π΄ΡƒΡŽΡ‰Π΅ΠΉ ΡΡ‚Π°Ρ‚ΡŒΠ΅ ΠΌΡ‹ рассмотрим Π½Π΅ΠΊΠΎΡ‚ΠΎΡ€Ρ‹Π΅ Π²Π°Ρ€ΠΈΠ°Π½Ρ‚Ρ‹ развСртывания Suricata ΠΈ Π½Π° ΠΏΡ€Π°ΠΊΡ‚ΠΈΠΊΠ΅ сравним Π±ΠΎΠ»Π΅Π΅ ΡΠΎΠ²Ρ€Π΅ΠΌΠ΅Π½Π½ΡƒΡŽ систСму с классичСской IDS/IPS Snort.

Snort ΠΈΠ»ΠΈ Suricata. Π§Π°ΡΡ‚ΡŒ 1: Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ Π±Π΅ΡΠΏΠ»Π°Ρ‚Π½ΡƒΡŽ IDS/IPS для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти

Snort ΠΈΠ»ΠΈ Suricata. Π§Π°ΡΡ‚ΡŒ 1: Π²Ρ‹Π±ΠΈΡ€Π°Π΅ΠΌ Π±Π΅ΡΠΏΠ»Π°Ρ‚Π½ΡƒΡŽ IDS/IPS для Π·Π°Ρ‰ΠΈΡ‚Ρ‹ ΠΊΠΎΡ€ΠΏΠΎΡ€Π°Ρ‚ΠΈΠ²Π½ΠΎΠΉ сСти

Π˜ΡΡ‚ΠΎΡ‡Π½ΠΈΠΊ: habr.com