Hi havia una vegada, un tallafocs i programes antivirus normals eren suficients per protegir la xarxa local, però aquest conjunt ja no és prou efectiu contra els atacs dels pirates informàtics moderns i el programari maliciós que ha proliferat recentment. El bon vell tallafoc només analitza les capçaleres de paquets, passant-los o bloquejant-los d'acord amb un conjunt de regles formals. No sap res sobre el contingut dels paquets i, per tant, no pot reconèixer les accions exteriorment legítimes dels intrusos. Els programes antivirus no sempre capturen programari maliciós, per la qual cosa l'administrador s'enfronta a la tasca de controlar l'activitat anòmala i aïllar els hosts infectats de manera oportuna.
Hi ha moltes eines avançades que us permeten protegir la infraestructura informàtica de l'empresa. Avui parlarem de sistemes de detecció i prevenció d'intrusions de codi obert que es poden implementar sense comprar costoses llicències de maquinari i programari.
Classificació IDS/IPS
IDS (Intrusion Detection System) és un sistema dissenyat per registrar activitats sospitoses en una xarxa o en un ordinador independent. Manté els registres d'esdeveniments i els notifica a la persona responsable de la seguretat de la informació. L'IDS inclou els elements següents:
- sensors per visualitzar el trànsit de la xarxa, diversos registres, etc.
- un subsistema d'anàlisi que detecta signes d'efectes nocius en les dades rebudes;
- emmagatzematge per a l'acumulació d'esdeveniments primaris i resultats de l'anàlisi;
- consola de gestió.
Inicialment, els IDS es classificaven per ubicació: es podrien enfocar a protegir nodes individuals (host-based o Host Intrusion Detection System - HIDS) o protegir tota la xarxa corporativa (network-based o Network Intrusion Detection System - NIDS). Val la pena esmentar l'anomenat. APIDS (Application protocol-based IDS): supervisen un conjunt limitat de protocols de capa d'aplicació per detectar atacs específics i no analitzen en profunditat els paquets de xarxa. Aquests productes solen assemblar-se als servidors intermediaris i s'utilitzen per protegir serveis específics: servidor web i aplicacions web (per exemple, escrites en PHP), servidors de bases de dades, etc. Un representant típic d'aquesta classe és mod_security per al servidor web Apache.
Estem més interessats en NIDS universals que admeten una àmplia gamma de protocols de comunicació i tecnologies d'anàlisi de paquets DPI (Deep Packet Inspection). Supervisen tot el trànsit que passa, començant per la capa d'enllaç de dades, i detecten una àmplia gamma d'atacs a la xarxa, així com l'accés no autoritzat a la informació. Sovint, aquests sistemes tenen una arquitectura distribuïda i poden interactuar amb diversos equips de xarxa actius. Tingueu en compte que molts NIDS moderns són híbrids i combinen diversos enfocaments. Depenent de la configuració i la configuració, poden resoldre diversos problemes, per exemple, protegir un node o tota la xarxa. A més, les funcions IDS per a les estacions de treball van ser assumides per paquets antivirus que, a causa de la propagació de troians destinats a robar informació, es van convertir en tallafocs multifuncionals que també resolen les tasques de reconeixement i bloqueig del trànsit sospitós.
Inicialment, IDS només podia detectar activitat de programari maliciós, escàners de ports o, per exemple, infraccions dels usuaris de les polítiques de seguretat corporativa. Quan es va produir un esdeveniment determinat, van notificar a l'administrador, però ràpidament va quedar clar que simplement reconèixer l'atac no n'hi havia prou: calia bloquejar-lo. Així, IDS es va transformar en IPS (Intrusion Prevention Systems): sistemes de prevenció d'intrusions que poden interactuar amb tallafocs.
Mètodes de detecció
Les solucions modernes de detecció i prevenció d'intrusions utilitzen diversos mètodes per detectar activitats malicioses, que es poden dividir en tres categories. Això ens ofereix una altra opció per classificar sistemes:
- L'IDS/IPS basat en signatures cerqueu patrons en el trànsit o superviseu els canvis d'estat del sistema per detectar un atac a la xarxa o un intent d'infecció. Pràcticament no donen fallades ni falsos positius, però no són capaços de detectar amenaces desconegudes;
- Els IDS que detecten anomalies no utilitzen signatures d'atac. Reconeixen el comportament anormal dels sistemes d'informació (incloses anomalies en el trànsit de la xarxa) i poden detectar fins i tot atacs desconeguts. Aquests sistemes donen molts falsos positius i, si s'utilitzen incorrectament, paralitzen el funcionament de la xarxa local;
- Els IDS basats en regles funcionen com: if FACT then ACTION. De fet, es tracta de sistemes experts amb bases de coneixement: un conjunt de fets i regles d'inferència. La configuració d'aquestes solucions requereix molt de temps i requereix que l'administrador tingui una comprensió detallada de la xarxa.
Història del desenvolupament de l'IDS
L'era del ràpid desenvolupament d'Internet i les xarxes corporatives va començar als anys 90 del segle passat, però, els experts es van veure desconcertats amb les tecnologies avançades de seguretat de xarxa una mica abans. L'any 1986, Dorothy Denning i Peter Neumann van publicar el model IDES (sistema expert de detecció d'intrusions), que es va convertir en la base de la majoria dels sistemes de detecció d'intrusions moderns. Va utilitzar un sistema expert per identificar atacs coneguts, així com mètodes estadístics i perfils d'usuari/sistema. IDES funcionava a les estacions de treball Sun, comprovant el trànsit de la xarxa i les dades de les aplicacions. L'any 1993 es va llançar NIDES (Sistema expert en detecció d'intrusions de nova generació), un sistema expert en detecció d'intrusions de nova generació.
Basat en el treball de Denning i Neumann, el 1988 va aparèixer el sistema expert MIDAS (Multics intrusion detection and alerting system), utilitzant P-BEST i LISP. Al mateix temps, es va crear el sistema Haystack basat en mètodes estadístics. Un altre detector d'anomalies estadístiques, W&S (Wisdom & Sense), es va desenvolupar un any després al Laboratori Nacional de Los Alamos. El desenvolupament de la indústria va avançar a un ritme ràpid. Per exemple, l'any 1990, la detecció d'anomalies ja es va implementar al sistema TIM (Time-based inductive machine) mitjançant l'aprenentatge inductiu en patrons d'usuari seqüencials (llenguatge Common LISP). NSM (Network Security Monitor) va comparar matrius d'accés per a la detecció d'anomalies, i ISOA (Information Security Officer's Assistant) va donar suport a diverses estratègies de detecció: mètodes estadístics, comprovació de perfils i sistema expert. El sistema ComputerWatch creat als AT & T Bell Labs va utilitzar tant mètodes estadístics com regles per a la verificació, i els desenvolupadors de la Universitat de Califòrnia van rebre el primer prototip d'IDS distribuït l'any 1991; DIDS (Sistema de detecció d'intrusions distribuït) també va ser un expert. sistema.
Al principi, els IDS eren propietaris, però ja el 1998, el National Laboratory. Lawrence a Berkeley va llançar Bro (anomenat Zeek el 2018), un sistema de codi obert que utilitza el seu propi llenguatge de regles per analitzar dades libpcap. Al novembre del mateix any, va aparèixer el rastrejador de paquets APE que utilitzava libpcap, que un mes més tard va passar a anomenar-se Snort, i més tard es va convertir en un IDS / IPS de ple dret. Al mateix temps, van començar a aparèixer nombroses solucions patentades.
Snort i Suricata
Moltes empreses prefereixen IDS/IPS gratuïts i de codi obert. Durant molt de temps, el ja esmentat Snort es va considerar la solució estàndard, però ara ha estat substituït pel sistema Suricata. Considereu els seus avantatges i desavantatges amb una mica més de detall. Snort combina els avantatges d'un mètode de signatura amb la detecció d'anomalies en temps real. Suricata també permet altres mètodes a més de la detecció de signatures d'atac. El sistema va ser creat per un grup de desenvolupadors que es van separar del projecte Snort i admet funcions IPS des de la versió 1.4, mentre que la prevenció d'intrusions va aparèixer a Snort més tard.
La principal diferència entre els dos productes populars és la capacitat de Suricata d'utilitzar la GPU per a la computació IDS, així com l'IPS més avançat. El sistema es va dissenyar originalment per a multifils, mentre que Snort és un producte d'un sol fil. A causa de la seva llarga història i codi heretat, no fa un ús òptim de plataformes de maquinari multiprocessador/multi-nucli, mentre que Suricata pot gestionar trànsit de fins a 10 Gbps en ordinadors de propòsit general normal. Es pot parlar de les semblances i diferències entre els dos sistemes durant molt de temps, però tot i que el motor Suricata funciona més ràpid, per a canals no massa amples no importa.
Opcions de desplegament
L'IPS s'ha de col·locar de manera que el sistema pugui controlar els segments de xarxa sota el seu control. Molt sovint, es tracta d'un ordinador dedicat, una de les interfícies es connecta després dels dispositius de punta i "busca" a través d'ells a xarxes públiques no segures (Internet). Una altra interfície IPS està connectada a l'entrada del segment protegit perquè tot el trànsit passi pel sistema i s'analitzi. En casos més complexos, pot haver-hi diversos segments protegits: per exemple, a les xarxes corporatives, sovint s'assigna una zona desmilitaritzada (DMZ) amb serveis accessibles des d'Internet.
Aquest IPS pot evitar l'exploració de ports o atacs de força bruta, l'explotació de vulnerabilitats al servidor de correu, servidor web o scripts, així com altres tipus d'atacs externs. Si els ordinadors de la xarxa local estan infectats amb programari maliciós, IDS no els permetrà contactar amb els servidors de botnets situats fora. Una protecció més seriosa de la xarxa interna probablement requerirà una configuració complexa amb un sistema distribuït i costosos commutadors gestionats capaços de reflectir el trànsit d'una interfície IDS connectada a un dels ports.
Sovint, les xarxes corporatives estan subjectes a atacs de denegació de servei distribuït (DDoS). Tot i que els IDS moderns poden tractar-los, l'opció de desplegament anterior és de poca ajuda aquí. El sistema reconeix l'activitat maliciosa i bloqueja el trànsit espuri, però per a això, els paquets han de passar per una connexió a Internet externa i arribar a la seva interfície de xarxa. Depenent de la intensitat de l'atac, és possible que el canal de transmissió de dades no pugui fer front a la càrrega i s'aconseguirà l'objectiu dels atacants. En aquests casos, recomanem desplegar IDS en un servidor virtual amb una connexió a Internet millor coneguda. Podeu connectar el VPS a la xarxa local mitjançant una VPN i, a continuació, haureu de configurar l'encaminament de tot el trànsit extern a través d'ella. Aleshores, en cas d'atac DDoS, no hauràs de conduir paquets a través de la connexió amb el proveïdor, es bloquejaran a l'amfitrió extern.
Problema d'elecció
És molt difícil identificar un líder entre els sistemes lliures. L'elecció d'IDS / IPS està determinada per la topologia de la xarxa, les funcions de protecció necessàries, així com les preferències personals de l'administrador i el seu desig de jugar amb la configuració. Snort té una història més llarga i està millor documentat, tot i que la informació sobre Suricata també és fàcil de trobar en línia. En qualsevol cas, per dominar el sistema, haureu de fer alguns esforços, que acabaran donant els seus fruits: el maquinari comercial i el maquinari-programari IDS / IPS són bastant cars i no sempre s'ajusten al pressupost. No us heu de penedir del temps dedicat, perquè un bon administrador sempre millora les seves qualificacions a costa de l'empresari. En aquesta situació, tothom guanya. En el següent article, veurem algunes opcions per desplegar Suricata i compararem el sistema més modern amb el clàssic IDS/IPS Snort a la pràctica.
Font: www.habr.com